企业信息安全防护策略研究

企业信息安全防护策略研究

艾立蓝殷

（桂林电器科学研究院有限公司，广西桂林541004）

摘要：随着经济的发展、科技的进步、新技术的大量应用，信息安全已成为企业关注的重大安全问题。本文首先从企业信息安全的重要性着手，然后分析了企业在信息安全方面面临的主要威胁，接下来对企业信息安全漏洞态势进行了详细解读，最后从技术、操作、管理三个方面提出13条具体的企业信息安全防护策略，希望本文的研究结论能为企业信息技术部门的信息安全管理提供帮助。

关键词：企业；信息安全；防护策略

一、引言

随着经济发展和科技进步，云计算、大数据、物联网、移动互联网和智能管控等新技术也在企业的信息化建设过程中得到了普遍应用，与之伴随的网络信息安全问题也越来越成为国家和企业关注的重大安全问题。但企业所面临的安全形势却日益严峻，暴露在互联网上的信息系统及设备数量不断增加，对其实施攻击的技术门槛不断降低，系统的高危漏洞不断出现，重大信息安全事件不断发生，企业信息安全总体风险处于持续攀升的高危状态。

二、企业信息安全的重要性

随着计算机技术的不断发展，计算机被广泛地应用于企业的各个领域，在提高工作效率的同时，也使企业管理水平有一个明显的提高。在企业中ERP系统、OA系统以及各类管理信息系统、各种信息制作和传播工具时刻都在产生、传输、使用和存储着大量信息，这些内部信息包括了从客户需求到销售、订单、计划、研发、设计、工艺、制造等整个产品全生命周期的各类数据，这些数据对于企业来说价值巨大，特别是研发、设计、工艺等数据还可能涉及知识产权，关系企业经营和生产安全，甚至关乎国家安全。

三、信息安全的主要威胁因素

3.1计算机病毒

计算机病毒具有寄生性、传染性、破坏性、潜伏性等特点，是编制或在计算机程序中插入的、破坏计算机功能或破坏数据，影响计算机使用并能够自我复制的计算机指令或程序代码，它主要通过复制、传送数据包和运行程序等操作进行传播。计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展的必然产物，移动硬盘、闪存盘、光盘、网络等都是计算机病毒传播的主要途径。

3.2木马

木马是指利用计算机程序漏洞侵入后窃取文件的程序。多数情况下木马不会直接对电脑产生危害，而主要是以控制为主，是一种具有隐秘性的、自发性的，能被用来进行恶意进攻行为的程序。例如特洛伊木马，它可以很隐蔽的在宿主的计算机上运行，在其没有察觉的情况下，使攻击者获得远程访问权限以及系统控制权限。

3.3拒绝服务攻击

拒绝服务攻击是黑客常用的攻击手段之一，指攻击者想办法让目标机器停止提供服务。实际上，对网络宽带进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能给目标机器造成麻烦，导致某些服务被暂停，都是拒绝服务攻击。

3.4黑客攻击

目前，黑客攻击是计算机网络遇到的最大威胁，一般能分为网络攻击和侦察。前者是以各种方式进行选择性的破坏对方信息完整性和有效性，后者以获得对方机密信息为目的，不影响网络的正常工作情况下进行截取、窃取或破译的做法。例如2017年5月，“蠕虫式”勒索软件“WannaCry”勒索病毒入侵了全球150多个国家的信息系统，雷诺、日产等汽车制造厂商被迫停产，多国能源、通讯等重要行业损失惨重，该病毒就利用了黑客组织“影子经纪人”披露的美国国安局的“永恒之蓝”漏洞进行传播，给企业的信息系统造成了巨大危害。

3.5软件漏洞

操作系统和各种软件均是人为编写和进行调试的，他的设计和结构不可能没有缺陷或者漏洞，因此不能不出现问题。然而这些漏洞一定会被计算机病毒和恶意程序所恶意利用，让计算机处于危险状态之下，这样的情况下，一旦接入互联网，必然带来安全问题。

3.6系统的维护措施不当

系统固有的漏洞为黑客的攻击提供了方便，系统维护措施不正确也是造成安全隐患的重要因素之一。即使在对系统进行了维护的情况下，因为防火墙以及路由器等的过滤规则十分复杂，系统出现新的漏洞也是可能的。当管理人员发现新的漏洞时，管理人员应该立即分析他的危险程度大小，并且进行积极的措施补救。

四、企业信息安全漏洞态势分析

中国是互联网大国，也是遭受互联网攻击最频繁的国家之一，从2013年起，我国每年新增信息安全漏洞数量呈现较快上升态势，其中高危和中危级别的安全漏洞增长迅速。2009年10月，中国信息安全测评中心建设运维的国家信息安全漏洞库（简称CNNVD）网站正式上线，根据CNNVD统计：自2010年来以来，新增漏洞数量呈现整体增加的趋势；截至2017年12月31日，CNNVD收录漏洞总量约有10万个，信息安全漏洞中软件漏洞占比超过70%；漏洞类型呈现多样化特征，主要包括缓冲区溢出、跨站脚本、权限许可和访问控制、信息泄露、输入验证、资源管理错误、代码注入、SQL注入、跨站请求伪造、路径遍历、数字错误、密码与加密问题、信任管理、授权问题、操作系统命令注入、竞争条件、后置链接、不受控搜索路径元素、目录遍历、硬编码、安全性能、拒绝服务、中间人、DLL劫持等。

大部分企业存在着信息安全防护水平偏低、管理力度不足、防护措施不到位、从业人员安全意识不强和高端技术人才匮乏等问题。受限于现有计算机系统结构、产业基础、工程方法、开发周期、安全意识、资金人力投入等诸多因素，信息技术产品及应用系统在设计、实现、部署、运行、维护等阶段不可避免地存在各种安全缺陷，从而直接或间接地导致各种信息安全事件的发生。信息安全漏洞主要指在信息技术、产品及系统在需求、设计、实现、配置、维护和使用等过程中，所产生的安全缺陷。对于业务连续性、实时性要求高的企业信息系统来说，无论是利用这些漏洞造成业务中断、获得控制权限还是窃取敏感生产数据，都将对企业信息系统造成极大的安全威胁。

五、企业的信息安全防护策略

5.1技术防护策略

5.1.1安装网络防火墙。防火墙就是对网络之间的访问控制来防止外部用户通过非法手段来获取合法的网络资源，进而为计算机网络系统提供一个较为特殊的网络安全防护设备。企业信息安全可通过安装防火墙来进行有效防护，让防火墙通过包过滤型、地址转换型、代理型和监测型等不同的类型来避免外部的恶意侵入。

5.1.2安装漏洞补丁程序。企业信息安全系统中存在的漏洞是其容易遭受攻击的原因所在，表现为软件、硬件或程序方面的问题。因此，企业可以使用专门的漏洞扫描器，对这些安全漏洞及时安装相关的补丁程序，有效解决漏洞程序所带来的各种安全隐患或问题。

5.1.3安装防病毒软件。企业应提供中心管理工具，对各类服务器和工作站统一管理和控制，以一台服务器作为中央控制一级服务器，实现对网络中所有计算机的保护和监控，并使用其中有效的管理功能，如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等，同时通过服务器直接进行分发，同步更新客户端的病毒代码库，尽量减少客户端维护工作量。

5.1.4安装入侵检测系统。企业可在所有所关注流量都必须流经的链路上部署安装入侵检测系统，通过实时监视，开展异常入侵检测和误用入侵检测，一旦发现异常情况就发出警告。

5.1.5对数据进行加密和签名。企业应运用好文件加密和数字签名技术，对数据传输、存储以及鉴别的安全性进行有效的防护。对企业信息系统中的数据进行加密，即以加密格式存储和传输敏感数据，防止非法用户对企业内部数据的窃取、侦听或破坏；同时，还可以用非对称加密算法和单向散列函数进行数字签名，保障安全的网络信息空间。

5.2操作防护策略

5.2.1定期做好数据备份。企业可采用磁带机或硬盘备份、本地磁盘阵列进行硬盘数据冗余、双机容错、服务器集中存储等方式，定期进行数据备份，确保数据在发生故障或灾难性事件情况下不丢失。

5.2.2隐藏IP地址。由于黑客经常利用一些网络探测技术来查看企业的主机信息，特别是主机的IP地址，然后发动Dos、Floop溢出攻击等攻击；企业可使用代理服务器来隐藏IP地址，保障企业主机的网络安全。

5.2.3关闭不必要的端口。由于黑客在入侵时常常会扫描你的计算机端口，企业可用工具软件关闭不常用的端口，特别是要关闭用来提供网页服务的80和443端口，或者是换成其他端口来提供网页服务。

5.2.4更换管理员账号。由于黑客经总是试图获得拥有最高的系统权限的管理员账户密码，企业可为管理员账户设置8位以上包含字母、数字和特殊字符的密码，并定期修改；还可以重命名该账户，再创建一个无管理权限的管理员账户欺骗入侵者。

5.2.5杜绝来宾账户的入侵。由于来宾账户常黑客入侵打开了方便之门，企业应当禁用或彻底删除来宾账户；对必须要保留来宾账户的情况，要给来宾账户设置复查的密码并详细设置来宾账户对物理路径的访问权限。

5.3管理防护策略

5.3.1加强网络管理。可采用IP与MAC捆绑的方式防止用户随意更改IP地址和随意更换交换机上的端口；同时可使用网络监测软件对网络传输数据协议类型进行分类统计，查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向；安全性要求较高的企业，也可对企业网与互联网进行物理隔离。

5.3.2加强服务器管理。可采取服务器安全审核、组策略实施、服务器的备份策略等方式，加强服务器管理。

5.3.3加强客户端管理。可将客户端都加入到域中，纳入管理员集中管理的范围；同时只给用户以普通域用户的身份登录到域，限制内网用户在的操作权利。

六、结束语

企业信息安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。随着信息安全威胁因素、攻击手段的不断演变，用一般的防护措施进行信息安全保护力度还不够，企业内部应当将信息安全保护等级调高，并结合多元化的防护策略，全面分析了解信息安全漏洞，总结出信息安全防护的规律，将防护技术、操作防范和管理手段充分的结合在一起，最终形成一整套完善的企业信息安全体系。

参考文献

[1]田廷剑.基于计算机网络信息和网络安全及其防护策略研究[J].电子技术与软件工程，2015，09：237-238.

[2]刘国庆闫桂林.计算机网络信息安全及防护策略研究[J].电子技术与软件工程，2015，08：223.

[3]汪东芳，鞠杰.大数据时代计算机网络信息安全及防护策略研究[J].无线互联科技，2015（24）：40-41.

作者简介：艾立，男，广西桂林人，本科，桂林电器科学研究院有限公司工程师，主要从事企业信息化规划，信息系统实施及运维，数据库管理，信息管理方法和策略等方面的管理和研究；

蓝殷，男，广西桂林人，本科，桂林电器科学研究院有限公司工程师，主要从事信息系统实施及运维，数据库管理，网络安全与维护等方面的管理和研究。