[摘要]伴随计算机信息技术的发展和提高,社会信息化已经成为不可阻挡的历史潮流。人们的生活方式和企业的经营活动逐渐朝数字化的方向进行变革。生活和工作的数字化是基于一张满足全球互联互通的网络平台,我们才可以轻松获取全球的任何信息,实现跨区域的企业经营活动。然而,凡事有利必有弊,当前网络技术的应用给我们带来了巨大便利,同时我们也把自己暴露到了全球的公众视野,无时无刻不处于被恶意攻击的威胁之中。如何在有效利用信息技术的同时,能够及时识别威胁,并能提前规避恶意攻击,为我们的信息安全提供有效的保障措施。这需要通过对复杂多元、综合交互的网络信息平台进行深度剖析,形成有效的信息安全建设策略,同时配合行之有效的实践措施,保卫好我们的信息安全,为企业的经营活动带来安全可靠的信息化环境。
[关键词]数字化变革;企业信息安全;安全建设策略和实践措施
目前企业信息技术推广应用正在从单项应用向集成化、综合化、网络化应用发展,在节能、降耗、减少污染、提高生产效率和产品质量方面,发挥了越来越大的作用,在企业改造中采用电子信息技术,生产的效率和效益都大幅度提高。企业通过采用计算机集成的信息化生产管理系统,使生产装配周期缩短3~5倍,库存积压也下降了20%~50%。
1信息化建设带动了行业的快速发展,成为企业经济新的增长点
信息化在企业的规模化发展和营收的可持续增加中发挥着越来越大的作用,已经产生出巨大的经济效益。信息化培育了新的经济增长点,对企业经济体制和经济增长方式的两个根本性转变具有重要的促进作用。
1.1网络信息化的发展趋势
企业信息化就是企业利用现代信息技术,通过信息资源的深化开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和企业竞争力的过程。大力推进企业信息化,能够为技术创新、产业创新、应用创新和创新创业提供重要基础支撑。快速推进国民经济信息化,也是我国加快现代化建设的一项战略任务,也是世界各国积极推进的一项战略任务。
1.2信息化建设的国家政策推力
信息技术具有很强渗透、溢出、带动和引领等效应,信息技术创新和普及应用已经成为培育经济发展新动能、推动社会提档升级、构筑竞争新优势的重要手段。党的十九大提出:推动互联网、大数据、人工智能和实体经济深度融合,以及加快数字中国、网络强国和智慧社会的建设等任务要求,2019年政府工作报告和中央经济工作会议又分别提出要拓展“智能+”和大力发展数字经济,这些政策举措将信息化发展将推向一个崭新的阶段。
1.3网络信息安全的威胁分析
21世纪以互联网为代表的信息化浪潮席卷世界每个角落,伴随着互联网的飞速发展,网络信息安全问题日益突出,越来越受到社会各界的高度关注。如何在推动社会信息化进程中加强网络与信息安全管理,维护互联网各方的根本利益、社会和谐稳定,促进经济社会的持续健康发展,成为我们在信息化时代必须要认真解决的一个重大问题。
1.4信息化建设面临的主要威胁
飞速发展的互联网业在给社会和公众创造效益、带来方便的同时,其系统的漏洞和网络的开放性也给国家的经济建设和企业发展以及人们的社会生活带来了负面影响,病毒侵袭、网络欺诈、信息污染、黑客攻击等问题更是给我们带来困扰和危害。计算机网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络的因素有很多,其所面临的威胁也就来自多个方面,主要威胁如下。(1)人为的失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享都会对网络安全带来威胁。(2)信息截取:通过信道进行信息的截取,获取机密信息,或通过信息的流量分析,通信频度、长度分析,推出有用信息,这种方式不会破坏信息的内容,不易被发现。这种方式在过去的军事对抗、政治对抗和当今经济对抗中最常用,也是最有效的方式。(3)内部窃密和破坏:内部或本系统的人员通过网络窃取机密、泄露或更改信息以及破坏信息系统。据美国联邦调查局的一项调查显示,70%的攻击是从内部发动的,只有30%是从外部攻进来的。(4)黑客攻击:黑客已经成为网络安全的最大隐患。近年来,特别是2000年2月7日,美国著名的雅虎、亚马逊等八大顶级网站接连遭受来历不明的电子攻击,导致服务系统中断,这次攻击给这些网站造成的直接损失达12亿美元,间接经济损失高达10亿美元。(5)技术缺陷:由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免会留下技术缺陷,由此可造成网络的安全隐患。其次,网络硬件、软件产品多数依靠进口,如全球90%的计算机都装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门进入网络的,这方面的报道经常见之于报端。(6)病毒:从1988年报道的第一例病毒(蠕虫病毒)侵入美国军方互联网,导致8500台计算机染毒和6500台停机,造成直接经济损失近1亿美元,此后这类事情此起彼伏,从2001年红色代码到2012年的冲击波和震荡波等病毒发作的情况看,计算机病毒感染方式已从单机的被动传播变成了利用网络的主动传播,不仅带来网络的破坏,而且造成网上信息的泄露,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。另外,对网络安全的威胁还包括自然灾害等不可抗力因素。对以上计算机网络的安全威胁归纳起来常表现为以下特征:(1)窃听:攻击者通过监视网络数据获得敏感信息。(2)重传:攻击者先获得部分或全部信息,而以后将此信息发送给接受者。(3)伪造:攻击者将伪造的信息发送给接受者。(4)篡改:攻击者对合法用户之间的通信信息进行修改、删除、插入,再发送给接受者。(5)拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻碍合法用户获得服务。(6)行为否认:通信实体否认已经发生的行为。(7)非授权访问:没有预先经过同意,就使用网络或计算机资源。(8)传播病毒:通过网络传播计算机病毒,其破坏性非常强,而且用户很难防范。
2信息化建设安全问题对企业的威胁
现在企业面临的安全挑战比以往任何时候都要严峻。随着渗透工具和漏洞利用攻击包逐渐商品化,安全隐患(如恶意软件等)又被赋予了新的力量。而我们的安全保卫战将是一场持久战,越来越多的员工与客户需要随时随地以多种方式进行网络通信,又更增加了安全战的复杂性。由于威胁的增加,互联网中存在的威胁更加难以评估,现在如果没有明确目标以及衡量是否安全的可靠方法,企业信息化安全将带来更多新的挑战。在企业信息化安全威胁中,最常见的威胁有如下几类:
2.1ERP系统信息安全威胁
当前ERP系统是泛指针对物资资源管理、人力资源管理、财务资源管理、信息资源管理集成一体化的企业管理软件。ERP系统实现了对整个企业供应链的管理,适应了企业在知识经济时代市场竞争的需要。鉴于ERP系统的巨大优势,目前绝大多数大型企业均实现了ERP系统的部署实施。然而,由于互联网上存在大量的网络攻击、木马、蠕虫等网络安全威胁,而ERP系统的正常运行依赖大量的网络传输、数据处理和消息交互,这就阻碍了ERP系统的应用与实施。因此,研究ERP系统所面对的安全威胁并采取相应措施进行规避是一项非常重要的课题。
2.2内部信息泄露成威胁企业安全的主流
当今的企业面临更复杂的信息安全问题。与个人用户相比,企业中存在大量的高质量数据。大多数企业都开放了社交网络页面,存在更多可接入点,员工的移动性仍在增加,各种新、旧安全问题摆在企业面前。在新的安全防御面前,拉拢内部工程师、敏感数据的利益诱惑等比创建新的恶意软件要容易得多。数据泄露调查报告显示内部原因造成的数据泄露较上一年增加了两倍多,达到了46%,内部威胁成为攻击主流。所以要把数据泄露放在企业运营层面看待,它不仅仅保护企业内部的一些流程,不是对企业IT架构有多重要,而是对企业有多重要。
2.3黑客盗取信息牟取暴利,成企业网络安全最大威胁
利用“黑客”技术侵入企业内网、破坏他人网站,窃取数据信息借以非法牟利,这种网络犯罪已渐成产业。对于企业和整个社会来说,黑客网络犯罪将造成极大危害。这就要求企业必须对网络安全给予足够重视,更需要相关部门在立法、技术上给予保障,多管齐下,方能保证网络安全。2.3.1黑客盗取信息愈发“市场化”社交网站以及一些审查不严的应用程序商店受到黑客的攻击越来越猛烈,黑客们惯用伎俩是,在社交网站页面上附加仿冒的病毒扫描。比如,突然间弹出一个窗口说,“你的系统可能受到感染,但我们会为你做一个免费的扫描”。还有一个更高级一点的版本,那就是让这个窗口无法关闭。在用户们为病毒扫描这一诈骗手段头痛时,黑客又把目标瞄向了商业信息。该网站使用一个虚假的解码器,把链接指向另一个发布有视频的网页。如果要播放这段视频就得下载这个假的解码器,而它实际上是一个专为盗取商业信息而设计的恶意软件。2.3.2黑客出手动机多来自利益诱惑有知情人士透露,黑客的每日收入不断创新高,这样的诱惑会导致越来越多的IT人才转向黑客这一行,而最终导致的结果就是使企业蒙受苦难。有调查发现,现在新增恶意程序数量,超越过去10年总和,亚太区约75%的受访企业曾遭黑客入侵,被盗取知识产权、客户信用卡数据及客户个人身份。
2.4钓鱼攻击成为企业主要安全威胁
成功利用钓鱼邮件对安全企业造成的数据泄露攻击为我们敲响了警钟,一些专家嗤之以鼻的低技术含量攻击方法也可能造成严重威胁。企业必须定期记录和监测网络是否存在这种钓鱼攻击造成的数据泄露。在钓鱼攻击中,企业必须更注重响应和遏制,而不仅仅是预防。同样重要的是,企业需要广泛地监控内部网络以确保数据没有泄露出去。
3结语
所以,警报和报告形式的信息不仅能够确保安全设施有效运行,也能够记录安全设备的有效性。企业对管理、风险和合规的高度关注都驱使IT安全部门实现更大透明度,首先就需要部署精心设计的完整的且能够进行集中管理的安全方法,如防恶意软件、DLP(数据丢失防御)、漏洞评估和软件漏洞修复等。管理威胁的能力以及结合报告与解决方案日志的能力变得越来越重要。
主要参考文献
[1]中国石油天然气集团公司安全环保部.油气管道工程建设员工安全手册[M].北京:石油工业出版社,2009.
[2]唐乾林.网络安全系统集成与建设[M].北京:机械工业出版社,2010.
[3]孙明琪.浅析网络信息安全技术在油气田企业中的应用[J].中国新通信,2019(14)
作者:郝俊祥 单位:中国石油天然气股份有限公司河南销售分公司信息化管理处