快递业务操作与管理实务：信息系统安全概述

进入21 世纪以来， 国内快递企业为了提高服务效率和质量， 纷纷依靠IT 技术逐步构建了自身的信息系统和业务运营平台， 不仅改善了企业管理水平， 提高了劳动生产率， 同时也增强了企业的核心竞争力。 然而基于计算机网络应用平台的快递信息系统在带给企业效率与便利的同时， 也同样具有致命的脆弱性及易受攻击性。 一旦企业网络遭到破坏甚至被攻击，企业信息泄露甚至被篡改， 就会给企业造成不可估量的损失。 因而， 研究与防范信息安全问题， 对各个快递企业来说是重要的、紧迫的。

(一) 快递信息安全问题分析

快递企业信息安全管理应针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施， 保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏， 为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。 各个快递企业信息系统的形式虽然是多种多样的， 但主要面临的隐患与风险却是共通的， 一般有以下几点。

1.物理因素造成的隐患

(1) 场地环境受到侵扰。

计算机机房所处的位置有一定的安全技术要求。 网络线缆和通信媒介等通信设施都可能因为地震、电磁场、雷电等环境因素以及其他人为因素而发生物理损坏； 来自各种自然灾害、电磁辐射、电磁干扰等自然威胁是不可预测的， 会直接影响企业信息的安全； 计算机电源保护和接地保护同样非常重要， 且一旦出现故障， 会直接造成企业信息的丢失或破坏。

(2) 计算机自身出现故障。

计算机主要部件如硬盘、内存等的运行情况同样会影响数据的安全性， 其可靠性值得企业管理者注意。 另外， 各部件防盗以及防老化， 都不可忽视。

(3) 移动存储带来危害。

当今各种移动存储设备如优盘、移动硬盘等在企业中大量使用， 如果缺乏设备监管及监督， 很可能造成计算机感染病毒和数据的泄露， 而快递企业中最珍贵的数据主要是客户信息、财务数据及营运数据等。

2.网络共享造成的隐患

(1) 系统和软件的漏洞。

以微软Windows 为代表的各种操作系统的漏洞不断地被发现， 相应的蠕虫病毒也不断地产生， 这对企业内计算机的安全补丁工作提出了极大的要求。 另外， 很多软件存在“后门”， 这些“后门” 本来是软件公司的设计编程人员为了以后软件扩展和维护而设置的， 一般不为外人所知， 但一旦“后门” 洞开， 其就会成为攻击者攻击网络系统的捷径。

(2) 人为的恶意攻击。

典型的黑客攻击和计算机犯罪属于这一类威胁。 此类攻击又可以分为以下两种: 一种是主动攻击， 它以各种方式有选择地破坏信息的机密性、可用性和完整性； 另一种是被动攻击， 它是在不影响网络正常工作的情况下， 进行截获、窃取、破译以获得重要机密信息。 这两种攻击均可对计算机网络造成直接的、极大的危害， 导致企业机密数据的泄漏和丢失。

(3) 病毒、垃圾邮件等威胁。

计算机病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等很容易利用企业网络安全防护措施的漏洞侵入企业的内部网络， 给企业信息基础设施、企业业务带来无法估量的损失。

3.人文环境造成的隐患

(1) 员工网络信息安全意识淡薄。

网络是新生事物， 许多人一接触就忙着用于学习、工作和娱乐等， 对网络信息的安全性无暇顾及， 安全意识相当淡薄， 对网络信息不安全的事实认识不足。 权威调查机构IDC 的统计表明: 30% ～40%的工作时间内发生的企业员工网络访问行为是与业务无关的， 比如游戏、聊天、视频、点对点下载等。 另一项调查表明: 1/3 的员工曾在上班时间玩电脑游戏。这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出， 并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃。

(2) 企业缺乏必要的管理与监督。

企业经营者往往看重的是网络对企业运行的便捷效用， 而忽视了其带来的安全隐患， 对企业信息安全的投入和管理远远不能满足安全防范的要求。 管理者的忽视， 造成在整个企业从上到下普遍存在侥幸心理， 没有形成主动防范、积极应对的全员意识， 更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。(www.xing528.com)

(二) 快递信息安全预防

建立完善的企业信息安全管理系统， 必须内外兼修， 一方面要防止外部入侵， 另一方面也要防范内部人员泄密。

1.网络管理

一般情况下企业网与互联网物理隔离， 因而与互联网相比， 其安全性较高， 但在日常运行管理中我们仍然面临网络维护、违规使用网络事件等问题。 具体而言， 一是在IP 资源管理方面， 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。 这分两种情况实现， 第一种情况是如果客户机连在支持网管的交换机上， 可以通过网管中心的管理软件， 对该交换机远程实施Port Security 策略， 将客户端网卡MAC 地址固定绑在相应端口上。 第二种情况是如果客户机连接的交换机或集线器不支持网管， 则可以通过Web 网页调用一个程序， 通过该程序把MAC 地址和IP 地址捆绑在一起。 这样， 就不会出现IP 地址被盗用而不能正常使用网络的情况。 二是在网络流量监测方面， 可使用网络监测软件对网络传输数据协议类型进行分类统计， 查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输， 甚至发现病毒的转移及传播方向。

2.服务器管理

常见应用服务器安装的操作系统多为Windows 系列， 服务器的管理包括服务器安全审核、在组策略实施、服务器的备份策略。

服务器安全审核是网管日常工作项目之一， 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等， 审核的对象可以是DC， Exchange Server， SQL Server， IIS 等。

在组策略实施时， 如果想使用软件限制策略， 即哪些客户不能使用哪个软件， 则需要把操作系统升级到Windows 2003 Server。

服务器的备份策略包括系统软件备份和数据库备份两部分， 系统软件备份拟利用现有的专用备份程序， 制定一个合理的备份策略， 如每周日晚上做一次完全备份， 然后周一到周五晚上做增量备份或差额备份。

3.客户端管理

客户端的管理是快递企业最头痛的问题， 只有得力的措施才能解决这个问题， 这里介绍以下几种方法。

(1) 将客户端都加入域中。 这一点很重要， 因为只有这样， 客户端才能纳入管理员集中管理的范围。

(2) 只给用户以普通域用户的身份登录到域， 因为普通域用户不属于本地Administrators 和Power Users 组， 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。 当然为了便于用户工作， 应通过本地安全策略， 授予他们“关机” 和“修改系统时间” 等权利。

(3) 实现客户端操作系统补丁程序的自动安装。

(4) 实现客户端防病毒软件的自动更新。

(5) 利用SMS 对客户端进行不定期监控， 发现不正常情况及时处理。

4.数据备份与数据加密

由于应用系统的加入， 各种数据库日趋增长， 如何确保数据在发生故障或灾难性事件情况下不丢失， 是当前面临的一个难题。 这里介绍四种解决方法。 第一种解决办法是用磁带机或硬盘进行数据备份。 该办法价格最低， 保存性最强， 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。 第三种方案是采用双机容错方式， 两台机器系统相互备份， 应用层数据全部放在共享的磁盘阵列柜中， 这种方式能解决单机故障或宕机的问题， 同时又能防止单个硬盘故障导致的数据丢失， 但前期投资较大。 第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储， 实现较高级别的磁盘等硬件故障的数据备份， 但是成本较高， 一般不能防止系统层的故障， 如感染病毒或系统崩溃。

考虑到网络上非认证用户可能试图旁路系统的情况， 如物理地“取走” 数据库， 在通信线路上窃听截获。 对这样的威胁最有效的解决方法就是数据加密， 即以加密格式存储和传输敏感数据。 发送方用加密密钥， 通过加密设备或算法， 将信息加密后发送出去。 接收方在收到密文后， 用解密密钥将密文解密， 恢复为明文。 如果传输中有人窃取， 他只能得到无法理解的密文， 从而对信息起到保密作用。

5.病毒防治

对防病毒软件的要求是: 能支持多种平台， 至少是在Windows 系列操作系统上都能运行； 能提供中心管理工具， 对各类服务器和工作站统一管理和控制； 在软件安装、病毒代码升级等方面， 可通过服务器直接进行分发， 尽可能减少客户端维护工作量； 病毒代码的升级要迅速有效。 在实施过程中， 本单位以一台服务器作为中央控制一级服务器， 实现对网络中所有计算机的保护和监控， 并使用其中有效的管理功能， 如: 管理员可以向客户端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客户端等。 正常情况下， 一级服务器病毒代码库升级后半分钟内， 客户端的病毒代码库也进行了同步更新。