随着信息技术和信息产业的发展,以Internet为代表的全球性信息化浪潮,使得信息网络技术的应用日益普及,应用层次逐渐深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,如党政部门信息系统、金融业务系统、企业商务系统等。越来越多的企业建立了自己的企业网络,并与Internet相联。在网络中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息。这些有的是敏感性信息,有的甚至是国家机密。所以不可避免会受到各种主动或被动的人为攻击,如信息泄漏、信息窃取、数据篡改、数据增删、计算机病毒等。近年来,垃圾邮件日益蔓延,企业网页不时遭到黑客篡改攻击,计算机病毒泛滥成灾,网络信息系统中的各种犯罪活动已经严重危害着社会的发展和企业的安全,给全球的企业造成了巨大的损失。计算机网络犯罪案件急剧上升,已经成为普遍的国际性问题。形形色色的安全问题不仅给企业带来了巨额的经济损失,也严重阻碍了我国的信息化进程。根据国家计算机病毒应急处理中心的调查显示:2003年中国计算机病毒感染率高达85.57%。因此,在企业信息化过程中,加强企业信息安全建设,及时采取相应的防范措施,已成为目前国内企业迫在眉睫的大事。
一、企业信息安全隐患
当前,企业的信息安全隐患来自于两个方面,即外部的攻击和内部泄密。
1、外来的攻击
大部分外来攻击可分为三类:闯入、拒绝服务、信息窃取。
● 闯入
最常见的攻击就是闯入,他们闯进计算机里,就向普通合法用户一样使用你的电脑。闯入的手段是比较多的,常见的类型是,利用社会工程学攻击(如:你打个电话给ISP,说你是某个用户,为了做某些工作,要求立即改变密码)。比如一种最简单的方式是猜测用户名的密码,在有些情况下这是比较容易的,有许多一般用户并不太重视自己的密码,或嫌麻烦怕忘记密码而将密码取的容易猜测到,还有一种方法,是搜索整个系统,发现软件,硬件的漏洞(BUG)或配置错误,以获得系统的进入权。
● 拒绝服务
这是一种将对方机器的功能或服务给以远程摧毁或中断的攻击方式,拒绝服务(Denial of services)攻击的手段也是多种多样的,最早出现的大概是叫"邮包炸弹",即攻击者用一个程序不断地向被攻击者的邮箱发出大量邮件同时还匿藏自己的地址信息,以至于邮件使用者几乎无法处理。甚至导致邮件服务系统因为大量的服务进程而崩溃。而被袭击者也无法确认谁是攻击者。另一些攻击手段是利用软件本身的设计漏洞进行远程攻击,其中比较著名的是微软的OOB(Out Of Bond)漏洞,只要对着运行95或NT的139口发出一个不合法的包,就会导致操作系统轻则断掉网络连接,重则彻底死机或重启。
● 信息窃取
有一些攻击手段允许攻击者即使不操作被攻击的电脑系统也能得到想要的数据。比较典型的是用网络嗅查器(Sniffer)监听网络中的包信息,从中发现有用的信息,如:用户名,密码,甚至付款信息等。Sniffer的工作有点象现实社会里装电话窃听装置一样。在共享式网络环境里,Sniffer是很可怕的,它可以监听大量的网络信息。
2、来自企业内部的威胁
随着各行各业信息化建设的推进,内部泄密已经成为威胁企业信息安全的最大隐患。FBI和CSI对484家公司的信息安全作了调查,结果发现:
● 有超过85%的安全威胁来自企业内部
● 有16%来自内部未授权的存取
● 有14%专利信息被窃取
● 有12%内部人员的财务欺骗
● 有11%资料或网络的破坏
● 中国国内80%的网站存在安全隐患,20%的网站有严重安全问题
从上述数据中可以看出:面对来自于公司内部的安全威胁,必要的安全措施对企业是如何重要。而这又恰恰是最容易被企业所忽视的"盲区"。伴随着移动存储设备小型化和电子邮件等通信技术的发展,许多企业、事务所、学校、金融机构、高科技研究所等单位的重要资料很容易流失到网络外部。在信息就是生产力的大竞争环境中,给企业造成无法估计的损失。