对互联网时代油田企业信息安全问题的措施与对策
2022-07-06张德傲
张德傲
摘 要:网络安全是保障信息安全的一个重要问题。网络时代,每一台计算机都联入网络,无论是内部局域網还是广域的互联网,在每一台计算机获取网上便利资源的同时,也把自身的信息暴露在外,给了黑客一个可以窃取信息的入口。所以,如何做好网络安全工作,关系着我们油田企业的发展,甚至会对企业安全产生影响。
关键词:信息安全;网络安全;油田企业
信息安全是我们油田企业日常工作中需要重视起来的重要问题。信息安全主要涉及三个方面:信息的机密性、完整性和可用性。只有同时保证了这三个方面,才可以保证信息是安全的。以一台计算机接入了网络,这台计算机中存储的信息将面临来自网络中针对这三个方面的威胁。所以,网络安全对于我们油田企业这样需要保密信息的单位尤其重要,我们必须正确认识信息安全的三个方面问题,深入了解其特点,才能够在日常工作中提高信息安全意识,加强信息安全管理,保证油田企业的信息安全。
一、信息安全问题被忽略的几个方面:
根据油田企业的工作范围,所涉及的办公信息尤其是标书、财务等皆属保密信息,对信息安全中的信息保密性要求很高。目前,我们在信息安全方面存在着一些问题。
1、对信息安全问题没有明确的了解。我们办公计算机有的是不接入互联网的,只接入内部局域网,以方便整个油田系统内部的工作人员互相的信息交流以及资源共享。大多数人简单地认为办公电脑没有连接入互联网就不存在黑客恶意攻击的问题。但是,在资源共享的同时,我们也共享了风险。一旦油田系统内部网络中有一台计算机受到黑客的攻击并且被其控制,那么,接入整个内部网中的其他电脑就存在被该黑客攻击的风险。如果黑客的攻击是恶意的,整个系统可能会存在泄密现象、无法正常工作等问题。
2、信息安全意识没有得到广泛的认知。我们只是认为保证信息的安全性(即信息机密性)就是保证了信息安全,对信息安全的其他两个重要方面(即信息的可用性及信息的完整性)没有全面的了解和认识。
计算机学界对信息安全的定义就是信息的机密性、可用性和完整性,三者缺一不可。信息的机密性对于我们油田企业来说是非常重要的,但是我们也不能忽略其他两个问题。比如,黑客侵入一台计算机,计算机中的信息没有被黑客泄露给其他机构,但是该计算机中的信息被篡改或者被修改了访问权限(即无法访问该记录),那么,被入侵的计算机中的信息也被认为是不安全的。毕竟计算机中的信息是要帮助我们工作的,一旦信息无法读取或者读取的是错误的信息,即使这是一条没有外泄的信息,它也是没有实际意义的。
3、对黑客窃取信息的渠道了解不全面。我们只是认为,只要办公室里的计算机和服务器等连接到单位局域网的设备正常运行,就认为办公信息是安全的。
互联网时代,我们都对计算机的重要性给予了充分的肯定,对计算机的物理安全及网络安全都有了非常充分的认识。但是,目前的科技发展已经不再是只有计算机是智能终端设备的时代了。随着智能手机的快速发展,一部普通的智能手机几乎相当于一台小型计算机的工作能力。也就是说,我们在做好了计算机安全工作的同时,应当着重强调一下智能终端的安全问题,比如智能手机、平板电脑等设备,曾经被我们认为是仅供娱乐消遣的产品,已经可以是一个可接入互联网的移动终端。也就是说,针对互联网时代的信息安全,不应该仅仅局限在计算机安全工作上,还需要花大力气把信息安全做到移动设备上。
二、信息安全问题的解决策略
1、健全局域网网络安全措施。接入到局域网中的计算机,就是共同分享该局域网上的资源,同时也要共同承担网络中的风险。在局域网中没有互联网上恶意的攻击。但是对于误操作而导致的电脑病毒引入、黑客攻击也要加强警惕。比如某一台计算机因为外部接入了带有病毒的移动硬盘或其他电子设备,已经被感染的计算机会自动将病毒程序转发给局域网中的其他计算机,可能会导致信息外泄、系统无法正常工作。针对这一问题,我们在日常工作中要提高警惕,对计算机的外接设备要进行安全确认,只有通过认证的外接设备才可以接入到办公计算机中。在办公计算机中需要安装外接设备识别软件,对于没有安全认证的移动设备,不允许接入计算机,即使连接到计算机也不会被计算机读取。如此,可以保证自己使用的计算机不会成为传播计算机病毒的源头。
针对局域网中其他计算机传播恶意程序的问题,我们应该在本地计算机上安装检测软件,一旦我们在使用计算机登录局域网的同时接收到了恶意程序,检测软件可以截获恶意程序并提醒计算机用户来自于局域网的恶意程序,做到及早发现问题。
2、信息的机密性、可用性及完整性三者同样重要。信息的机密性是指只有信息发送方及信息接收方可以获得信息的内容。信息的可用性是指该信息是可以访问的,我们可以对一个可用的信息进行增加、删除、修改、查询等操作。信息的完整性是指整条记录是完整存储在存储介质中,没有信息丢失以及部分信息缺失的问题。
信息在网络传输过程中,数据包应该是经过加密设置的。如果信息在网络传输过程中被恶意截获,截获信息的第三方即使得到了该数据包,也没有办法看到信息本身。对信息的加密,保证了信息的机密性。针对信息加密的算法有很多种,比较经典的算法有DES,AES,RSA等。其原理基本一致,针对原始信息(明文)转换成二进制码后,对二进制信息按照一定规律进行移位及修改。加密算法和秘钥的生成是加密过程的核心步骤。加密传输的信息使得信息的安全得到了保证。
3、重视移动设备的信息安全工作。传统的电子化办公已经广泛地被大家认可,计算机安全问题和网络安全问题也被认为是信息安全的重要部分。但是,对于新兴的移动终端电子设备安全意识还不够。以目前主流的智能手机为例,虽然一部手机的主要用途是接打电话及娱乐活动,但是,从其产品的工作能力角度来看,一部智能手机完全可以是一部小型的计算机设备。也就是说一部智能手机可以完成一台计算机的所有工作。这就意味着一部智能手机已经是一个潜在的恶意程序引入源。
针对移动设备具有移动性好、便于隐藏、能够以无线的方式接入网络等特点,从行政角度,应加强移动设备的监管力度;从技术角度,系统内部网络要针对无线设备的接入进行安全认证,针对每一个接入系统内部网络的移动设备都记录其信息,做好信息流出接口的监管。
4、提高广大员工的信息安全意识。针对大家对信息安全问题没有明确的了解的情况,我们应该加大培训力度,定期对员工进行信息安全方面的相关培训,简单、易懂地为大家讲解信息安全的问题,做到让大家印象深刻并引以为鉴。只有充分地了解信息安全问题,才能够在日常工作中保持高度的警觉,保证信息安全。
信息安全是互联网时代对我们的新挑战,如何能够保证日常工作在满足信息机密性、完整性和可用性的环境下正常运行,需要我们全体员工的共同努力。