導(dǎo)語：企業(yè)信息化建設(shè)網(wǎng)絡(luò)安全主要威脅分析一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］伴隨計(jì)算機(jī)信息技術(shù)的發(fā)展和提高，社會信息化已經(jīng)成為不可阻擋的歷史潮流。人們的生活方式和企業(yè)的經(jīng)營活動逐漸朝數(shù)字化的方向進(jìn)行變革。生活和工作的數(shù)字化是基于一張滿足全球互聯(lián)互通的網(wǎng)絡(luò)平臺，我們才可以輕松獲取全球的任何信息，實(shí)現(xiàn)跨區(qū)域的企業(yè)經(jīng)營活動。然而，凡事有利必有弊，當(dāng)前網(wǎng)絡(luò)技術(shù)的應(yīng)用給我們帶來了巨大便利，同時我們也把自己暴露到了全球的公眾視野，無時無刻不處于被惡意攻擊的威脅之中。如何在有效利用信息技術(shù)的同時，能夠及時識別威脅，并能提前規(guī)避惡意攻擊，為我們的信息安全提供有效的保障措施。這需要通過對復(fù)雜多元、綜合交互的網(wǎng)絡(luò)信息平臺進(jìn)行深度剖析，形成有效的信息安全建設(shè)策略，同時配合行之有效的實(shí)踐措施，保衛(wèi)好我們的信息安全，為企業(yè)的經(jīng)營活動帶來安全可靠的信息化環(huán)境。

［關(guān)鍵詞］數(shù)字化變革；企業(yè)信息安全；安全建設(shè)策略和實(shí)踐措施

目前企業(yè)信息技術(shù)推廣應(yīng)用正在從單項(xiàng)應(yīng)用向集成化、綜合化、網(wǎng)絡(luò)化應(yīng)用發(fā)展，在節(jié)能、降耗、減少污染、提高生產(chǎn)效率和產(chǎn)品質(zhì)量方面，發(fā)揮了越來越大的作用，在企業(yè)改造中采用電子信息技術(shù)，生產(chǎn)的效率和效益都大幅度提高。企業(yè)通過采用計(jì)算機(jī)集成的信息化生產(chǎn)管理系統(tǒng)，使生產(chǎn)裝配周期縮短3~5倍，庫存積壓也下降了20％~50％。

1信息化建設(shè)帶動了行業(yè)的快速發(fā)展，成為企業(yè)經(jīng)濟(jì)新的增長點(diǎn)

信息化在企業(yè)的規(guī)?；l(fā)展和營收的可持續(xù)增加中發(fā)揮著越來越大的作用，已經(jīng)產(chǎn)生出巨大的經(jīng)濟(jì)效益。信息化培育了新的經(jīng)濟(jì)增長點(diǎn)，對企業(yè)經(jīng)濟(jì)體制和經(jīng)濟(jì)增長方式的兩個根本性轉(zhuǎn)變具有重要的促進(jìn)作用。

1．1網(wǎng)絡(luò)信息化的發(fā)展趨勢

企業(yè)信息化就是企業(yè)利用現(xiàn)代信息技術(shù)，通過信息資源的深化開發(fā)和廣泛利用，不斷提高生產(chǎn)、經(jīng)營、管理、決策的效率和水平，進(jìn)而提高企業(yè)經(jīng)濟(jì)效益和企業(yè)競爭力的過程。大力推進(jìn)企業(yè)信息化，能夠?yàn)榧夹g(shù)創(chuàng)新、產(chǎn)業(yè)創(chuàng)新、應(yīng)用創(chuàng)新和創(chuàng)新創(chuàng)業(yè)提供重要基礎(chǔ)支撐。快速推進(jìn)國民經(jīng)濟(jì)信息化，也是我國加快現(xiàn)代化建設(shè)的一項(xiàng)戰(zhàn)略任務(wù)，也是世界各國積極推進(jìn)的一項(xiàng)戰(zhàn)略任務(wù)。

1．2信息化建設(shè)的國家政策推力

信息技術(shù)具有很強(qiáng)滲透、溢出、帶動和引領(lǐng)等效應(yīng)，信息技術(shù)創(chuàng)新和普及應(yīng)用已經(jīng)成為培育經(jīng)濟(jì)發(fā)展新動能、推動社會提檔升級、構(gòu)筑競爭新優(yōu)勢的重要手段。黨的提出：推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合，以及加快數(shù)字中國、網(wǎng)絡(luò)強(qiáng)國和智慧社會的建設(shè)等任務(wù)要求，2019年政府工作報(bào)告和中央經(jīng)濟(jì)工作會議又分別提出要拓展“智能＋”和大力發(fā)展數(shù)字經(jīng)濟(jì)，這些政策舉措將信息化發(fā)展將推向一個嶄新的階段。

1．3網(wǎng)絡(luò)信息安全的威脅分析

21世紀(jì)以互聯(lián)網(wǎng)為代表的信息化浪潮席卷世界每個角落，伴隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)信息安全問題日益突出，越來越受到社會各界的高度關(guān)注。如何在推動社會信息化進(jìn)程中加強(qiáng)網(wǎng)絡(luò)與信息安全管理，維護(hù)互聯(lián)網(wǎng)各方的根本利益、社會和諧穩(wěn)定，促進(jìn)經(jīng)濟(jì)社會的持續(xù)健康發(fā)展，成為我們在信息化時代必須要認(rèn)真解決的一個重大問題。

1．4信息化建設(shè)面臨的主要威脅

飛速發(fā)展的互聯(lián)網(wǎng)業(yè)在給社會和公眾創(chuàng)造效益、帶來方便的同時，其系統(tǒng)的漏洞和網(wǎng)絡(luò)的開放性也給國家的經(jīng)濟(jì)建設(shè)和企業(yè)發(fā)展以及人們的社會生活帶來了負(fù)面影響，病毒侵襲、網(wǎng)絡(luò)欺詐、信息污染、黑客攻擊等問題更是給我們帶來困擾和危害。計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅主要有對網(wǎng)絡(luò)中信息的威脅和對網(wǎng)絡(luò)中設(shè)備的威脅兩種。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素有很多，其所面臨的威脅也就來自多個方面，主要威脅如下。（1）人為的失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享都會對網(wǎng)絡(luò)安全帶來威脅。（2）信息截?。和ㄟ^信道進(jìn)行信息的截取，獲取機(jī)密信息，或通過信息的流量分析，通信頻度、長度分析，推出有用信息，這種方式不會破壞信息的內(nèi)容，不易被發(fā)現(xiàn)。這種方式在過去的軍事對抗、政治對抗和當(dāng)今經(jīng)濟(jì)對抗中最常用，也是最有效的方式。（3）內(nèi)部竊密和破壞：內(nèi)部或本系統(tǒng)的人員通過網(wǎng)絡(luò)竊取機(jī)密、泄露或更改信息以及破壞信息系統(tǒng)。據(jù)美國聯(lián)邦調(diào)查局的一項(xiàng)調(diào)查顯示，70％的攻擊是從內(nèi)部發(fā)動的，只有30％是從外部攻進(jìn)來的。（4）黑客攻擊：黑客已經(jīng)成為網(wǎng)絡(luò)安全的最大隱患。近年來，特別是2000年2月7日，美國著名的雅虎、亞馬遜等八大頂級網(wǎng)站接連遭受來歷不明的電子攻擊，導(dǎo)致服務(wù)系統(tǒng)中斷，這次攻擊給這些網(wǎng)站造成的直接損失達(dá)12億美元，間接經(jīng)濟(jì)損失高達(dá)10億美元。（5）技術(shù)缺陷：由于認(rèn)識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計(jì)過程中，難免會留下技術(shù)缺陷，由此可造成網(wǎng)絡(luò)的安全隱患。其次，網(wǎng)絡(luò)硬件、軟件產(chǎn)品多數(shù)依靠進(jìn)口，如全球90％的計(jì)算機(jī)都裝微軟的Windows操作系統(tǒng)，許多網(wǎng)絡(luò)黑客就是通過微軟操作系統(tǒng)的漏洞和后門進(jìn)入網(wǎng)絡(luò)的，這方面的報(bào)道經(jīng)常見之于報(bào)端。（6）病毒：從1988年報(bào)道的第一例病毒（蠕蟲病毒）侵入美國軍方互聯(lián)網(wǎng)，導(dǎo)致8500臺計(jì)算機(jī)染毒和6500臺停機(jī)，造成直接經(jīng)濟(jì)損失近1億美元，此后這類事情此起彼伏，從2001年紅色代碼到2012年的沖擊波和震蕩波等病毒發(fā)作的情況看，計(jì)算機(jī)病毒感染方式已從單機(jī)的被動傳播變成了利用網(wǎng)絡(luò)的主動傳播，不僅帶來網(wǎng)絡(luò)的破壞，而且造成網(wǎng)上信息的泄露，特別是在專用網(wǎng)絡(luò)上，病毒感染已成為網(wǎng)絡(luò)安全的嚴(yán)重威脅。另外，對網(wǎng)絡(luò)安全的威脅還包括自然災(zāi)害等不可抗力因素。對以上計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅歸納起來常表現(xiàn)為以下特征：（1）竊聽：攻擊者通過監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息。（2）重傳：攻擊者先獲得部分或全部信息，而以后將此信息發(fā)送給接受者。（3）偽造：攻擊者將偽造的信息發(fā)送給接受者。（4）篡改：攻擊者對合法用戶之間的通信信息進(jìn)行修改、刪除、插入，再發(fā)送給接受者。（5）拒絕服務(wù)攻擊：攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻礙合法用戶獲得服務(wù)。（6）行為否認(rèn)：通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為。（7）非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。（8）傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常強(qiáng)，而且用戶很難防范。

2信息化建設(shè)安全問題對企業(yè)的威脅

現(xiàn)在企業(yè)面臨的安全挑戰(zhàn)比以往任何時候都要嚴(yán)峻。隨著滲透工具和漏洞利用攻擊包逐漸商品化，安全隱患（如惡意軟件等）又被賦予了新的力量。而我們的安全保衛(wèi)戰(zhàn)將是一場持久戰(zhàn)，越來越多的員工與客戶需要隨時隨地以多種方式進(jìn)行網(wǎng)絡(luò)通信，又更增加了安全戰(zhàn)的復(fù)雜性。由于威脅的增加，互聯(lián)網(wǎng)中存在的威脅更加難以評估，現(xiàn)在如果沒有明確目標(biāo)以及衡量是否安全的可靠方法，企業(yè)信息化安全將帶來更多新的挑戰(zhàn)。在企業(yè)信息化安全威脅中，最常見的威脅有如下幾類：

2．1ERP系統(tǒng)信息安全威脅

當(dāng)前ERP系統(tǒng)是泛指針對物資資源管理、人力資源管理、財(cái)務(wù)資源管理、信息資源管理集成一體化的企業(yè)管理軟件。ERP系統(tǒng)實(shí)現(xiàn)了對整個企業(yè)供應(yīng)鏈的管理，適應(yīng)了企業(yè)在知識經(jīng)濟(jì)時代市場競爭的需要。鑒于ERP系統(tǒng)的巨大優(yōu)勢，目前絕大多數(shù)大型企業(yè)均實(shí)現(xiàn)了ERP系統(tǒng)的部署實(shí)施。然而，由于互聯(lián)網(wǎng)上存在大量的網(wǎng)絡(luò)攻擊、木馬、蠕蟲等網(wǎng)絡(luò)安全威脅，而ERP系統(tǒng)的正常運(yùn)行依賴大量的網(wǎng)絡(luò)傳輸、數(shù)據(jù)處理和消息交互，這就阻礙了ERP系統(tǒng)的應(yīng)用與實(shí)施。因此，研究ERP系統(tǒng)所面對的安全威脅并采取相應(yīng)措施進(jìn)行規(guī)避是一項(xiàng)非常重要的課題。

2．2內(nèi)部信息泄露成威脅企業(yè)安全的主流

當(dāng)今的企業(yè)面臨更復(fù)雜的信息安全問題。與個人用戶相比，企業(yè)中存在大量的高質(zhì)量數(shù)據(jù)。大多數(shù)企業(yè)都開放了社交網(wǎng)絡(luò)頁面，存在更多可接入點(diǎn)，員工的移動性仍在增加，各種新、舊安全問題擺在企業(yè)面前。在新的安全防御面前，拉攏內(nèi)部工程師、敏感數(shù)據(jù)的利益誘惑等比創(chuàng)建新的惡意軟件要容易得多。數(shù)據(jù)泄露調(diào)查報(bào)告顯示內(nèi)部原因造成的數(shù)據(jù)泄露較上一年增加了兩倍多，達(dá)到了46％，內(nèi)部威脅成為攻擊主流。所以要把數(shù)據(jù)泄露放在企業(yè)運(yùn)營層面看待，它不僅僅保護(hù)企業(yè)內(nèi)部的一些流程，不是對企業(yè)IT架構(gòu)有多重要，而是對企業(yè)有多重要。

2．3黑客盜取信息牟取暴利，成企業(yè)網(wǎng)絡(luò)安全最大威脅

利用“黑客”技術(shù)侵入企業(yè)內(nèi)網(wǎng)、破壞他人網(wǎng)站，竊取數(shù)據(jù)信息借以非法牟利，這種網(wǎng)絡(luò)犯罪已漸成產(chǎn)業(yè)。對于企業(yè)和整個社會來說，黑客網(wǎng)絡(luò)犯罪將造成極大危害。這就要求企業(yè)必須對網(wǎng)絡(luò)安全給予足夠重視，更需要相關(guān)部門在立法、技術(shù)上給予保障，多管齊下，方能保證網(wǎng)絡(luò)安全。2．3．1黑客盜取信息愈發(fā)“市場化”社交網(wǎng)站以及一些審查不嚴(yán)的應(yīng)用程序商店受到黑客的攻擊越來越猛烈，黑客們慣用伎倆是，在社交網(wǎng)站頁面上附加仿冒的病毒掃描。比如，突然間彈出一個窗口說，“你的系統(tǒng)可能受到感染，但我們會為你做一個免費(fèi)的掃描”。還有一個更高級一點(diǎn)的版本，那就是讓這個窗口無法關(guān)閉。在用戶們?yōu)椴《緬呙柽@一詐騙手段頭痛時，黑客又把目標(biāo)瞄向了商業(yè)信息。該網(wǎng)站使用一個虛假的解碼器，把鏈接指向另一個有視頻的網(wǎng)頁。如果要播放這段視頻就得下載這個假的解碼器，而它實(shí)際上是一個專為盜取商業(yè)信息而設(shè)計(jì)的惡意軟件。2．3．2黑客出手動機(jī)多來自利益誘惑有知情人士透露，黑客的每日收入不斷創(chuàng)新高，這樣的誘惑會導(dǎo)致越來越多的IT人才轉(zhuǎn)向黑客這一行，而最終導(dǎo)致的結(jié)果就是使企業(yè)蒙受苦難。有調(diào)查發(fā)現(xiàn)，現(xiàn)在新增惡意程序數(shù)量，超越過去10年總和，亞太區(qū)約75％的受訪企業(yè)曾遭黑客入侵，被盜取知識產(chǎn)權(quán)、客戶信用卡數(shù)據(jù)及客戶個人身份。

2．4釣魚攻擊成為企業(yè)主要安全威脅

成功利用釣魚郵件對安全企業(yè)造成的數(shù)據(jù)泄露攻擊為我們敲響了警鐘，一些專家嗤之以鼻的低技術(shù)含量攻擊方法也可能造成嚴(yán)重威脅。企業(yè)必須定期記錄和監(jiān)測網(wǎng)絡(luò)是否存在這種釣魚攻擊造成的數(shù)據(jù)泄露。在釣魚攻擊中，企業(yè)必須更注重響應(yīng)和遏制，而不僅僅是預(yù)防。同樣重要的是，企業(yè)需要廣泛地監(jiān)控內(nèi)部網(wǎng)絡(luò)以確保數(shù)據(jù)沒有泄露出去。

3結(jié)語

所以，警報(bào)和報(bào)告形式的信息不僅能夠確保安全設(shè)施有效運(yùn)行，也能夠記錄安全設(shè)備的有效性。企業(yè)對管理、風(fēng)險(xiǎn)和合規(guī)的高度關(guān)注都驅(qū)使IT安全部門實(shí)現(xiàn)更大透明度，首先就需要部署精心設(shè)計(jì)的完整的且能夠進(jìn)行集中管理的安全方法，如防惡意軟件、DLP（數(shù)據(jù)丟失防御）、漏洞評估和軟件漏洞修復(fù)等。管理威脅的能力以及結(jié)合報(bào)告與解決方案日志的能力變得越來越重要。

主要參考文獻(xiàn)

［1］中國石油天然氣集團(tuán)公司安全環(huán)保部．油氣管道工程建設(shè)員工安全手冊［M］.北京：石油工業(yè)出版社，2009．

［2］唐乾林.網(wǎng)絡(luò)安全系統(tǒng)集成與建設(shè)［M］.北京：機(jī)械工業(yè)出版社，2010．

［3］孫明琪．淺析網(wǎng)絡(luò)信息安全技術(shù)在油氣田企業(yè)中的應(yīng)用［J］．中國新通信，2019（14）

作者：郝俊祥 單位：中國石油天然氣股份有限公司河南銷售分公司信息化管理處