企业信息化中的安全问题作者：王博刘岳琨揣黎明：《中国管理信息化》2017年第07期（吉林石化信息网络公司，吉林吉林市）[摘要]信息安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。[关键词]安全；信息系统；审计；虚拟化doi：10.3969/j.issn.1673-0194.2017.07.028[]F239.1[文献标识码]A[]1673-0194（2017）07-0058-041引言随着信息技术的高速发展，企业业务对于IT系统的依赖性不断增强，信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾，企业IT运营既要满足业务发展对业务交付灵活性的要求，又要防止信息泄露，因为信息安全问题关系到企业的声誉，同时关系到企业的经营风险，更关系到国家的机密信息安全。2目前化工行业信息安全风险分析2.1化工行业信息化发展趋势石油化学工业是基础性产业，在国民经济中占有举足轻重的地位，是我国的支柱产业部门之一，化工行业之所以重视信息化工作，首先与2015“年李克强总理提出的互联网+”的大发展背景密不可分，工艺流程的制定、化工装置的运行、化工产品的销售都高度依赖于信息化、互联网技术；其次是从化工行业的自身特点衍生出来的，其产品数量多、种类多，产品各个环节的各个控制点特别多，这就要求用信息化技术能够对化工生产中的各个环节产生积极和促进作用。2.2化工行业信息安全管理的现状和挑战因为信息安全管理的要求，在网络管理层面，石油系统内的企业已经建立了完善的内、外网隔离的管理平台，两个网络完全物理隔离，不能互相访问；石油系统内还部署了病毒防御、主动攻击防御系统（SymantecEndpointProtection），保密安全，漏洞防护等一系列安全防护系统，看似已经建立了一个信息非常安全、固若金汤的基础架构。但在实际业务发展中，仍然存在一些隐患，不容忽视，面临挑战。一方面企业的业务已经非常依赖信息系统，因为业务发展需要急需把内网系统交付到外网去，即人员在出差过程中能处理内网的业务。现有的内外网隔离架构，只有特权用户能够进行办公，为新的用户授权又需要经过一系列严格的程序，交付周期相对较长，因此不具备实现业务交付的灵活性。另一方面，即使建立了内外网隔离的架构，也不能从根本阻止信息泄露，而且对于信息泄露事件也不能做到追本溯源，以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络，而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵，只能获得企业非关键信息；而对内网进行的各种违规操作，才是最致命的，给企业带来巨大的经营风险。所以即使进行了完全隔离，也不能杜绝信息泄露，内部网络的信息泄露主要来自于以下三个方面（见图1）：（1）由外包服务公司员工引起信息泄露。伴随着IT系统越来越复杂，客户本身很难成为各种应用系统、各种管理系统的专家，往往采用服务外包方式进行管理，现实的问题在于，由于没有一套完善的监控、审计机制，外包服务公司人员究竟在管理平台上修改了什么，平台上的数据被是否被保存到了IT服务外包人员本地电脑上并被泄漏出去，是否有危及系统安全和数据保密的操作都不得而知，出现人为操作故障后，追溯问题根源存在争执，追究责任困难，这就成为了信息泄露的最大漏洞。（2）由内部IT人员引起信息泄露。在IT系统管理过程中，IT管理人员通常有非常大的权限，如何管理和评估这些人员在日常工作中是否有超过权限的操作，怎么清晰地知道哪个IT人员什么时间做过什么操作，都是摆在企业面前的现实问题。（3）由内部业务人员引起信息泄露。业务人员因为直接掌握了企业财务、设备、销售、物料、物流等各个方面的数据，也是信息泄露的关键因素之一。3建设审计系统的意义由于企业信息安全管理存在外包服务公司员工引起信息泄露、内部IT人员引起信息泄露、内部业务人员引起信息泄露的情况，因此围绕业务系统需要建立可控的、有序的安全架构，以防止和杜绝任何企业数据泄漏的隐患...