企业信息安全问题案例与相应管理策略

88算机安全2008.9行业应用1引言信息安全问题越来越来受到企业相关人员的关注。在企业内部，虽然采取了各种安全措施，仍然发生过诸多的安全问题，而且会给企业带来不同程度的损失。先进的计算机技术在于应用，也在应用中体现。因此，如何提高企业内部计算机的管理水平，是摆在企业管理和计算机管理人员的重要课题。本文通过多年的研究和具体实践，针对当前国内企业中的计算机应用和管理状况，就出现的信息安全问题进行了分析研究，从计算机网络管理出发，论述了企业信息安全的重要性，以提高相关人员的安全风险意识；简述了信息安全的特征和内容；阐明信息系统稳定性给信息安全造成的威胁，并提出信息系统稳定性也信息安全问题；以具体的案例形式指出存在的信息安全问题，并给出相应的、有效的解决方法或解决策略。本文旨在进一步推动企业信息化管理步伐，提高企业计算机及信息管理水平，以避免或减少由信息安全问题带来的经济损失。2企业信息安全的重要性随着计算机技术的不断发展，计算机被广泛地应用于各个领域，如数值计算、数据处理、辅助设计与制造、人工智能、家电产品等。在企业（包括政府机关、事业单位、生产企业、商品流通企业、金融财税等）中，利用计算机进行管理的目的是为了提高工作效率，使企业管理水平有一个明显的提高。例如，ERP（企业资源计划）系统、OA(办公自动化)系统以及各类管理信息系统、各种信息制作和传播工具等，都要涉及信息的存储、传输与使用等信息处理问题，而尤为突出的是信息处理过程中的信息安全问题。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患，一旦丢失、损坏或泄露、不能及时送达，都会给企业造成很大的损失。如果是商业机密信息，给企业造成的损失会更大，甚至会影响到企业的生存和发展。在没有使用计算机进行信息管理之前，信息通常都是以纸介质和某些设备（如录音、录像设备等）进行保存和传播，并对信息的安全管理有着严格的行政管理、法律法规约束，一旦出现安全问题，可以通过行政、执法手段进行追踪，查出问题的根源，并追究其相应的责任。而现在用计算机管理的信息安全问题更为复杂，象数据瞬间丢失、瞬间被盗、瞬间被破坏等问题，大大增加了管理难度。如果管理不善，如重要文件、图纸、信用卡账户等机密文件，出现安全问题时很难查清。因此，企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。企业信息安全问题案例与相应管理策略孙克泉1，张致政2(1.南开社区学院，天津300100；2.天津百利二通机械有限公司，天津300300)摘要：该文对企业信息安全问题进行了分析研究，旨在解决当前企业信息安全管理问题。在企业计算机网络管理的实践研究基础上，对信息安全问题进行了分析；提出了信息系统的稳定性也是信息安全问题的观点；对具体安全问题给出相应的安全管理策略。提出了新的信息安全观点，并试图给出解决当前企业关注的信息安全问题的有效方法。关键词:信息安全；企业管理；管理策略；安全策略；系统稳定性CasesonInformationSafetyProblemsinEnterprise&RelativeStrategiesSUNKe-quan1,ZHANGZhi-zheng2(1.NankaiCommunityCollege,Tianjin300100,P.R.China;2.TianjinBailiertongMachineryCoLtd,Tianjin300300,P.R.China)Abstract:Toresolvetheongoingenterpriseproblemininformationsecuritymanagement,informationsecurityissuesareanalyzed.Computersafetynetworkisstudiedbasedonpracticalmanagementinenterpriseandthenewviewpointisputforwardthatinformationstabilityisalsothesafeproblem.Tosolvethesecurity-relatedproblemstrategiesontheconcretesecurityissueareinvestigatedwiththepurpuseoffindinganeffectivewaytosolvethesecurity-relatedproblem.Keywords:informationsafety;businessenterprisemanagement;managementstrategy;safetystrategy;systemstability892008.9计算机安行业应用3信息安全的基本概述到目前为止，信息安全还没有一个公认、统一的定义。国际、国内对信息安全的论述大致分为两大类：一类是指具体的信息安全技术系统的安全；另一类是指某些特定的信息体系（如银行系统、军事指挥系统）的安全。但也有人认为这两种定义也不能完全概括信息安全问题。3.1信息安全的特征信息入侵者不管怀有什么用意，采用什么手段，他们都要通过攻击信息的4个安全特征来达到目的。这4个安全特征是：完整性（Integrity）、可用性(Availiability)、保密性(Confidentiality)、可控性(Controliability)[1]。在技术上，信息安全就是保证在客观上杜绝对信息的4种特征的安全威胁，使信息的所有者在主观上对其信息的本源性放心。3.2信息安全的基本内容信息安全的基本内容包括：实体安全、运行安全、信息资产安全和人员安全等内容。实体安全是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上，实体安全是指环境安全、设备安全和媒体安全。运行安全是为了保障系统功能的安全实现，提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全，可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受安全技能培训有关。因此，人员的安全意识是通过培训，以及安全技能的积累才能逐步提高，人员安全在特定环境下、特定时间内是一定的。4企业的信息安全分析在企业管理中，为了保证企业的信息安全，主要采用两种手段，一是行政管理手段、二是计算机技术管理手段。根据信息安全的特征及基本内容，在具体的安全管理上，首先要考虑采用什么手段才能保证企业的信息安全。这样才能有的放矢，出了安全问题才能找出是行政管理问题还是计算机管理的问题，也才能提出解决问题的方法。需要强调的是，单凭计算机技术管理手段是有其局限性的。这是由于新的安全问题会随着时间的推移而显现。所以，计算机技术管理手段往往滞后于新安全问题的出现，需要一定时间来完善系统，包括制定新的安全策略，信息系统的升级等。在此情况下，加强行政管理是必须的。因此，通常应采取以行政管理手段为主，以技术手段为辅的策略。在计算机权限分配时遵守权责对等的原则；重要岗位人事变动前的议动时，要有重要数据保护措施。从信息安全内容上看，无论是实体安全、运行安全、企业资产安全、还是人员安全，无不与计算机的管理水平有关。在企业的发展过程中，对于信息的实体安全和人员安全问题，计算机管理人员有责任向企业负责人提出相关的建议，并加以妥善解决。在实体安全、人员安全问题一定的情况下，计算机管理人员应该对运行安全、信息资产安全负责。除了实体安全、人员安全问题外，对企业信息安全的威胁主要来自两个方面，一方面是来自对企业内部计算机存储设备上（本机设备）的信息安全威胁；另一方面是来自于网络对信息安全的威胁。下面就从计算机管理角度对企业信息安全问题进行分析。4.1企业内部计算机存储设备的安全问题分析目前，企业内部的每个部门几乎都拥有和使用计算机，甚至有的部门一人拥有和使用多台计算机。一般情况下，存储在某台计算机上的重要文件、数据等信息的泄漏，是很难查觉的，直至造成影响或损失时才被发现。企业内部人员对重要文件或数据的泄露窃取主要是依靠移动存储设备、企业内部网以及互联网。典型的移动存储设备有软盘、光盘、U盘、移动硬盘和手提电脑等，这些设备本来是为使用者提供方便的，但同时也带来了安全隐患。如果计算机使用人员对本身的计算机管理不严格，重要信息就很有可能被利益驱动者盗取。同样，企业内部人员也可以通过内部网络非法获取重要信息并利用互联网的邮件等功能传输到企业外部。通常情况下，计算机使用者对信息安全问题意识不是很强、而且对这些移动存储设备管理水平有限。因此，作为计算机管理人员应该考虑如何防范移动存储设备带来的安全问题隐患。4.2源于网络的信息安全问题分析除了来自本机设备的安全问题外，昀主要的是源于网90算机安全2008.9行业应用络的信息安全问题。而且网络对信息安全的威胁更为复杂。源于网络的信息安全威胁主要是企业内部人员、黑客、网络罪犯、间谍等，这些人员都有可能利用系统弱点给信息安全造成威胁。其中内部人员可能有意或无意地泄露企业内部信息资产；黑客由起初的个人爱好或追求刺激，来挑战网络的安全防范技术，近来已经转向追求利益；网络罪犯出于经济或政治目的侵入系统窃取信息或实施破坏；间谍（包括工业间谍或情报人员）都是有组织有目的的侵入系统窃取信息或实施破坏，其力度明显比一般的黑客和网络罪犯都要大。从以上情况分析得知，对于源于网络的信息安全，除企业内部人员无意识地泄露企业内部信息外，无论是企业内部和外部人员，都是未经授权对企业信息的访问和窃取。这种事情的发生，主要是利用网络系统弱点或漏洞对企业信息安全的威胁。4.3产生信息安全问题的根源分析4.3.1蓄意破坏企业内部或外部人员有意通过物理手段对系统组件、结构和信息进行更改、移动、和销毁等，直接危及信息的机密性，完整性、可用性和可控性。严重时会引起整个系统瘫痪和不可恢复。由于进行蓄意破坏的人员特别是内部人员可能熟悉整个系统的情况并拥有某些操作权限和信任关系，因此这种风险带来的破坏一般是巨大的。4.3.2欺骗和窃密通常的信息系统为智能化系统，如果缺乏相应的安全措施，依靠高技术手段和方法是可以欺骗并窃取相关信息的。除通过通信信道的脆弱性进行威胁外，也包括物理方式和逻辑方式直接进行的窃密。欺骗和窃密主要是危及信息的机密性和可用性。4.3.3错误和冗余在信息处理、传输、存储和维护过程中，由于人为或系统原因造成错误以及功能外冗余，影响信息的完整性，有时也会影响信息的机密性和可用性。如操作员错误的数据输入或存取导致信息的泄露、篡改或丢失，或错误地将存取权提供给未授权者。这里的人员包括企业内部各部门的计算机使用者，甚至包括企业内部的计算机网络管理人员。4.3.4后门后门是指通过获取软硬件中含有的特殊代码进入和控制操作系统，从而获取信息。这些特殊代码是一般开发者有意或无意留下的，本身没有危害，但未授权人可以通过这些特殊代码获得软硬件设备的标识信息或进入操作系统特权，威胁系统中信息的安全。4.3.5缺陷或漏洞：信息系统中各组成部分和整个网络在设计时，由于考虑不周全或者是设计者本身的技术能力限制，在设计、开发、制造和施工时无意识地留下缺陷和漏洞被供攻击者开发利用。4.3.6恶意代码恶意代码是一些不良企图的程序代码，能够影响和破坏系统功能。常见的有特洛伊木马、逻辑炸弹、蠕虫等病毒，以及有害的脚本调试程序。4.3.7管理不当或失控信息系统作为一个软硬件集成的有机整体，其安全除软硬件自身的安全保护外，重要的是进行有效管理。只有有效管理，安全性才能得到相应的保障。就操作系统而言，即使