企業信息化建設中的信息安全問題

王嘉偉

摘要：企業信息化是企業可可持續發展之中十分重要的組成部分，本文在論述了企業信息化概念的基礎之上，分析了在企業信息化建設之中如何處理信息安全問題。

關鍵詞：企業信息化；信息安全；措施

中圖分類號：C29文獻標識碼： A

引言

隨著信息化的高速發展，中國網絡信息安全面臨巨大威脅，技術性安全隱患和事件逐年增多。企業的信息網絡同樣面臨嚴重的安全威脅和風險，據調查，中國約有50%的企業遇到過網絡攻擊，很多企業稱因攻擊行為或病毒入侵而受到不同程度的損失，26%的企業稱公司的機密信息被盜取或泄漏。近年來，中國企業已經開始增強信息安全意識，部署防火墻、入侵檢測和安全審計等各種網絡安全產品。然而，安全形勢依然嚴峻，技術性安全隱患和事件依然逐年增多。企業信息安全主要面臨設備被控、數據被竊及業務被癱三類威脅。企業信息化程度越高，面臨的安全風險就越大，一旦發生安全事件造成的損失就越大。

1、企業信息化的概念

一般來說，企業信息化是指企業以業務流程的優化和重構為基礎，在一定的深度和廣度上利用計算機技術、網絡技術和數據庫技術，控制和集成化管理企業生產經營活動中的各種信息，實現企業內外部信息的共享和有效利用，以提高企業的經濟效益和市場競爭力，這將涉及到對企業管理理念的創新，管理流程的優化，管理團隊的重組和管理手段的創新。企業信息化實質上是將企業的生產過程、物料移動、事務處理、現金流動、客戶交互等業務過程數字化，通過各種信息系統網絡加工生成新的信息資源，提供給各層次的人們洞悉、觀察各類動態業務中的一切信息，以作出有利于生產要素組合優化的決策，使企業資源合理配置，以使企業能適應瞬息萬變的市場經濟競爭環境，求得最大的經濟效益。從動態的角度來看，企業信息化就是企業應用信息技術及產品的過程，或者更確切地說，企業信息化是信息技術由局部到全局，由戰術層次到戰略層次向企業全面滲透，運用于流程管理、支持企業經營管理的過程。這個過程表明，信息技術在企業的應用，在空間上是一個由無到有、由點到面的過程；在時間上具有階段性和漸進性；信息化的核心和本質是企業運用信息技術，進行隱含知識的挖掘和編碼化，進行業務流程的管理。

2、企業信息化建設中的安全隱患

企業信息化建設的目的是為了提高企業的經濟效益和企業的競爭力，在這個過程中運用了計算機技術、網絡技術等一些電子技術。在這些先進的技術的帶領下，企業競爭力提高的同時，信息安全的問題更值得我們注意。信息化的安全問題主要是指企業的整個信息網絡系統的軟、硬件能夠被穩妥的保護，有能夠抵抗一些偶然的和惡意的破壞，并能夠持續、穩定的運行的多種技術的保障。當然信息化安全不只有技術方面的問題，也有管理方面的人為因素。

計算機網絡的安全，在網絡信息的環境下，計算機網絡的安全問題主要存在于計算的軟件的開發中。軟件自身的漏洞是信息安全的主要威脅。在進行信息化的過程中，應對所使用的軟件進行甄別。在網絡自身的應用過程中，網絡是不會應為故障而影響到信息的傳輸，但是由于網絡功能也是依附于計算機系統軟件的使用，由于系統自身問題導致這些漏洞點更容易被攻擊者所利用。除了網絡自身和軟件自身的問題，管理人員的選擇也至關重要，在信息化過程中使用的大型軟件，要求使用者能夠根據說明使用軟件，更加重要的是對軟件進行必要的升級。在使用過程中，更應該注意用戶名和和密碼的保存，不應使用設備自身所默認的用戶名和密碼。

外部攻擊帶來的安全隱患，除了來自于外部的惡意攻擊帶來危害外，企業內部人員通過各種手段和外界勾結，造成的危害也不能忽視。企業內部人員由于能力參差不齊，造成的認為失誤，比如造成信息的格式化、重要數據的丟失、垃圾郵件泛濫等情況。有一定技術能力的工作人員，可以修改指定的計算機程序，使得這種程序在指定時間運行造成大規模的計算機信息泄露。還有利用計算機網絡后門進入企業信息計算機內部，以此來監視計算機系統的入侵行為。企業內部的人員，有些具有完全合法的訪問計算機系統的權限，另外由于計算機網絡的軟件和硬件大都采用了專有公司的產品，這樣以來一些廠商就擁有了對計算機網絡訪問的合法權限，還有一些特殊的人群比如警察、政府工作人員等也具有查詢企業信息網絡的權限，除了以上幾種，還有擁有高端技術的黑客對計算機的入侵。

2、加強企業信息化數據庫安全的幾項措施

2.1、信息安全的重要性

就信息安全本身來說，信息安全是個系統性很強的整體工程，信息安全是需要在信息化實施的過程中，根據所面臨的系統威脅、攻擊、漏洞的形式的變化相應的做出變化的解決方案。企業信息系統在具體的安全措施上需要以下幾個方面：計算機硬件的安全、計算機軟件的安全、數據的保密性、數據的完整性、數據的可控性、數據的可審查性、數據的可用性、網絡身份的人性、數據可靠的認定、防御外部攻擊。

2.2、做好硬件的管理工作

企業機關信息部門的網管部門不僅應該做好局域網的日常維護工作，更加應該做好硬件的管理里工作。

2.2.1、物理隔離是做好安全隔離的第一步工作，網管部門的中心機房應該設置專用屏蔽措施，防止電磁泄漏，專業的防雷擊、防靜電處理措施必不可少，在國家和企業保密規定之下嚴格執行機房的建設，配套鑰匙、數據庫服務器等存放地點需要專人負責。在進行局域網的因特網連接時需要謹慎處理，核心部門譬如財務部門的局域網管理需要保證相對獨立性。

2.2.2、硬件配置如核心服務器重點照看，確保安全。相對重要的硬盤光盤等存儲設備需要進行登記保管，保密等級較高的需要備案并且上交密保部門。

2.2.3、網絡終端設備使用安全也是硬件安全的一環，信息共享和辦公自動化使得局域網終端計算機的使用需要避免串機使用，不能借記網絡賬號，確保專人專機，防止非本部門人員使用終端計算機。報廢計算機和存儲設備及時銷毀。

2.2.4、防火墻系統是在不同網絡或者處于不同網絡安全區域之間的軟硬件組合，能夠決定哪些內部服務可以被外部訪問，哪些服務可以由內部人員訪問，因此它控制著網絡的信息流，是安全策略（允許、拒絕、監測）的決定場所，可以為局域網提供良好的信息安全服務。（5）入侵監測系統部署。防火墻的盲區是無法阻止內部人員作案，采用入侵監測系統（IDS）可以與防火墻形成互補，采取證據記錄等方式用于跟蹤、恢復和斷開網絡連接等服務。

2.3、安全運維信息

安全運維體系的作用是在安全管理體系和安全技術體系的運行過程中，發現和糾正各類安全保障措施存在的問題和不足，保證它們穩定可靠運行，有效執行安全策略規定的目標和原則。當運行維護過程中發現目前的信息安全保障體系不能滿足本單位信息化建設的需要時，應當制訂新的安全保障體系建設規劃，進而通過新一輪信息安全保障體系建設，使安全保障體系的保障能力得到全面提升。

2.4、數據備份和數據備份恢復策略

通過數據備份和數據備份恢復可以加強企業信息化中的數據庫安全，企業的數據大都存儲在計算機硬盤之中，也就面臨著計算機最常見的問題，即因為發生一些故障問題導致數據丟失。計算機發生故障導致數據丟失的集中常見情況主要包括磁盤故障、電源故障、軟件故障、災害故障以及人為的破壞。無論是以上哪種情況的發生，都會使數據庫中的信息丟失，因此企業必須采取積極和必要的措施以保征數據庫系統能夠在故障發生之后及時和準確的恢復到之前狀態。數據庫管理系統中的備份和恢復功能就是應對這種情況的常見措施，通常是將數據復制到本地機制上，也可以復制到其他機器上，以保證計算機出現故障后能將數據庫系統還原到正常狀態

2.5、做好軟件的防護工作

登陸身份限制、登陸秘鑰驗證以及登陸 IP 限定等，這些入網條件是敵對分子進行截取的重要資源。嚴格的秘鑰驗證體系和定期的更換秘鑰并且由專人管理是必不可少的措施。對超極權限用戶的身份識別和驗證要更加嚴格，必要時秘鑰不停更換。條件允許可以采用生物特征識別等等智能識別技術。封存空余IP地址，并進行IP地址和Mac地址的綁定，不存在空閑 IP 地址的局域網能夠有效地防止 IP 地址沖突引起的網絡中斷和隨意登陸。啟用殺毒軟件檢測所有計算機，并采取警告等措施強制沒有安裝殺入軟件的計算機安裝殺毒軟件。同時，以交換式集線器替代共享式集線器使得單播包僅僅在連接節點之間傳送、選擇一個功能強大的殺毒軟件，及時更新病毒庫和殺毒軟件版本和采用安全穩定、管理方便、適合企業的操作系統等手段是做好軟件防護的必不可少的步驟。網絡的隔離。不同網段之間的訪問方式、訪問形式可以由三層交換機之上的網絡訪問控制列表來進行限制。網絡隔離能夠提供如telnet、ping 和 ftp 等訪問方式。網絡的隔離同時也可以在二層交換機之上通過對于 VLAN 的隔離來實現。屬性安全控制?？梢苑乐褂脩魧τ谖募恼`刪除操作，同時提供如執行修改、查看文件目錄、顯示正在寫入數據和拷貝的文件，并提供查看隱藏文件、共享文件等功能。

3、結語

企業信息化改革的數據庫安全問題是一個復雜而又多變的問題，不能簡單通過某一技術或方案就能解決的了的，而是需要法律、管理和社會因素的配合，從多方面、全方位進行數據保護。做好數據庫安全防護，必將為企業的信息化改革開拓更廣泛的發展空間。

參考文獻

[1]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014,06:132+134.

[2]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界,2012,05:61-62.

[3]張興.淺談企業信息化建設中信息安全保障[J].品牌(下半月),2014,09:42.

[4]査春霞.企業信息化數據安全評價指標體系研究[D].江蘇科技大學,2010.