旅游企业信息化建设进程中信息安全问题及对策研究

辽宁对外经贸学院 徐 畅

旅游企业信息化建设进程中信息安全问题及对策研究

辽宁对外经贸学院 徐 畅

在旅游企业不断进行信息化建设的过程中，信息安全问题越来越重要了。文中针对旅游企业信息化建设进程中频繁出现的内部和外部的信息安全问题进行了分析，并针对这些问题，为旅游企业信息化建设的健康发展提供了关于技术、管理方面的对策。

旅游企业；信息化；信息安全；问题；对策

0　前言

在现今飞速发展的信息时代，信息技术的快速进步和广泛应用为旅游企业带来了良好的发展前景，旅游企业信息化是顺应时代发展的潮流，更是旅游企业自身不断发展与完善的有效途径。但信息化发展的同时，也存在着信息安全问题。本文针对旅游企业信息化面临的电子邮件、计算机病毒、外来存储设备这三种外部威胁，以及信息化软件问题、技术人才缺乏、安全管理不规范这三种内部隐患，从技术和管理方面总结出几点对策。并重点对电子邮件安全问题及防范对策进行分析、研究。

1　旅游企业信息化概述

旅游企业信息化是指在生产、经营、管理旅游产品的过程中，旅游企业通过运用最先进的互联网、计算机、通信等信息化产品和技术，整合旅游企业内外部信息资源并加以利用，从而提高企业的生产、管理和经营水平，进而增强企业市场竞争力的整个过程①。目前，我国的旅游业已经进入到一个新的发展阶段，对于旅游信息产业来说，是一次难得的发展机遇。旅游企业信息化也是大势所趋，在这种情况下，企业更应该注重信息化过程中的信息安全问题，不能让这个问题成为企业的软肋。

2　信息安全问题

2.1外部威胁

2.1.1电子邮件

在旅游企业信息化这个背景之下，将传统的沟通方式转变为信息化的沟通是旅游企业信息化建设的一部分。电子邮件则在这个信息化的沟通过程中扮演着重要角色，然而，电子邮件的安全问题也日益突出，令人防不胜防，例如，电子邮件炸弹、垃圾邮件、电子邮件病毒等②。

第一种邮件问题是电子邮件炸弹，当收到电子邮件炸弹就意味着邮件服务器或企业人员在短时间内收到了数量极多的无用邮件，并且大多数邮件是从一个虚设的地址发出的，会大规模的占用系统资源和可用空间。而电子邮件炸弹中含有的大量的信息在网络里来回的传输，会使得传输信道变得异常堵塞，加重服务器的工作强度，造成接收端邮件服务器堵塞，严重时甚至可能会造成网络瘫痪，也正是电子邮件炸弹这类攻击会使得电子邮件系统不能正常使用。同时，邮箱空间是有限的，当企业人员短时间内收到成千上万封的无用邮件时，邮箱空间极容易填满，那么真正有用的新邮件将会丢失或者退回，旅游企业的工作人员无法及时与内外部人员联系，进而影响到旅游企业与内外部的沟通。

第二种邮件问题是垃圾邮件，垃圾邮件近年来呈大幅度增长的模式，一些不法分子会将大量的垃圾邮件发送到企业的邮箱里。而垃圾邮件也会占用互联网的带宽、邮件服务器的容量，使得CPU的性能在一点点的下降，最终致使旅游企业中的计算机提前老化、更换，不利于企业的信息化建设的绿色发展。之所以称有些电子邮件为垃圾邮件，是因为这类邮件中的内容大多是反和平、反社会、黄色暴力等反动内容，会给社会造成一定影响，当旅游企业收件人员不慎点开这类邮件时，也会给这些勤恳工作的员工们的心里造成一些负面影响，影响员工的情绪。

第三种邮件问题是电子邮件病毒，例如著名的尼姆达病毒就是通过邮件、网页浏览等方式传播，它是一种传播性非常强的恶意病毒。对于个人用户的PC机而言，它可以通过邮件、网上即时通讯工具和PTF程序同时进行感染。对于服务器而言，它利用微软服务器程序的漏洞进行传播。由于尼姆达病毒在自身传染的过程中占用大量网络带宽和计算机内部资源，因此旅游企业的网络会受到很大影响，甚至是瘫痪。而且很多病毒是集病毒、蠕虫、木马于一体，会随着收件人浏览邮件的过程中开始自动执行，可能会修改、窃取系统密码，泄漏机密文件等。甚至可能会在系统中安装后门程序，使系统被黑客控制。

2.1.2计算机病毒

旅游企业信息化就意味着计算机的广泛使用，这也会给不法分子可乘之机。病毒带来的危害对企业造成了一定威胁，轻则会导致计算机用户出现死机的状况，重则会损坏硬盘及网络程序，扰乱网络的正常运行③。计算机病毒会盗取个人信息、机密文件、重要密码等。若企业被计算机病毒干扰，将会给企业造成无法预计的损失，这对企业来说无疑是一大严重威胁。

2.1.3外来存储设备

在企业中，外来存储设备的使用是极其频繁的，例如，移动优盘、光盘和软盘、打印机、扫描仪等可移动设备。然而，这些设备都存在着对企业计算机中的重要信息进行拷贝、删除、甚至是盗取的可能性。如果旅游企业的内部信息资料或是重要决策被泄露出去，会给企业造成严重的损失，影响企业形象，亦会给竞争对手创造一个反击的机会。

2.2内部隐患

2.2.1信息化软件问题

在国内，适用于旅游企业信息化建设的软件不论从数量或者质量上来说，都存在着一定的不足之处，特别是与国外的先进软件相比，确实是有很大的差距④。这也使得企业容易遭受病毒与黑客的侵扰，需要聘请专业人员来进行维护，花费大量时间、人力、财力，如此一来可能会形成恶性循环，阻碍旅游企业信息化建设的健康快速发展。

2.2.2技术人才缺乏

在传统的旅游营销方式影响下，旅游企业的高层领导并没有对企业信息化中的信息安全问题有更深层次的认识，缺乏对专门人才的培养和挖掘，导致旅游企业没有专门的技术管理人员。当旅游企业有信息安全突发状况时，没有专业技术人员进行处理，会影响企业的运行效率，给企业造成直接的经济损失。

2.2.3安全管理不规范

旅游企业信息化建设的基本要求就是信息安全管理，但是部分企业领导的思想依旧停留于传统的经营模式，对信息安全问题的认识不足。没有建立有效的信息安全问题防范机制，使得信息化建设的过程中出现不同程度的安全问题，为不法人员入侵企业的信息系统提供了机会。

3　对策研究

3.1技术方面

3.1.1安装安全防护软件

关于电子邮件方面的防范：

第一，针对电子邮件炸弹和垃圾邮件的防范，可将二者归为一类进行研究，因为二者都是通过巨量发送的方式占用接收者和邮件服务器的带宽，从而使邮件服务器不堪重负造成瘫痪。防范这类邮件攻击的最基本措施就是设置邮件过滤器，例如E-mail notify，能够在接收邮件之前检查发件人的资料，若有可疑之处，则可在邮件进入收件人的邮箱之前将其删除。另外也可以安装专用工具来进行防范，例如砍信机。当收件人的邮箱被“攻占”，则可使用这类专门的工具来清除邮件。

可以采取反垃圾邮件技术进行防范，这项技术主要可以分为四大类——验证查询技术、过滤技术、挑战技术、密码技术。而验证查询技术中的DKIM技术是一种比较常见的技术。DKIM（Domain-Keys Identified Mail）技术是基于雅虎的DomainKeys验证技术和思科的Internet Identified Mail。雅虎的DomainKeys利用公共密钥密码术验证电子邮件发件人。它会发送一个系统生成的签名，并将签名插入到电子邮件标题中，而接收系统利用DNS发布的一个公共密钥来验证这个签名。思科的验证技术也是利用密码算法，但它是将签名和电子邮件消息本身关联在一起。发送服务器为电子邮件消息签名，并将一个新的标题插入到签名和用于生成签名的公共密钥中。而接收系统验证这个为电子邮件消息签名的公共密钥，同时公共密钥是授权给发件地址使用。

DKIM技术是把这两个验证技术结合起来，它用和DomainKeys相同的方式，用DNS发布的公共密钥验证签名，也利用思科的标题签名技术确保一致性。DKIM给邮件提供一种能同时验证每个域邮件发送者和消息完整性的机制。一旦域被验证，就用来和邮件中的发送者地址作比较，来辨别真伪。倘若是伪造的，就可能是spam或者是欺骗邮件，可以被丢弃；倘若是真的，并且域是已知的，则可为其建立良好的声誉，并绑定到反垃圾邮件策略系统中，也可以在服务提供商之间共享，甚至是直接提供给用户。

第二，针对电子邮件病毒的防范。最基本的对策就是打开防火墙和邮件实时监控功能。另外可以选择安装可靠的防护软件，及时下载相关防护软件的补丁，定期升级病毒库。比如说安装特定的SMTP杀毒软件，它能将从Internet上下载的已被感染的邮件到达本地邮件服务器之前拦截住，保持本地网络的干净。

而选择一款强大专业的防火墙是防范邮件病毒的有效方法。Barracuda反垃圾邮件网关及病毒邮件防火墙是一款专业过滤病毒邮件和垃圾邮件的防火墙，它逻辑上部署在邮件服务器的前端，对经过的邮件进行12层过滤，帮助邮件系统抵抗最新的病毒邮件、垃圾邮件等各类邮件威胁。将过滤后的正常邮件发送给邮件服务器，使得用户免遭病毒邮件和垃圾邮件的困扰。

关于计算机病毒的防范，企业在安装防护软件时，不应该一味的只考虑节约成本价格，而忽略了软件的安全等级。一定要选择多种类的、安全系数大的防护软件，预防企业信息化建设过程中可能出现的安全问题，也为了不免给企业造成更大的经济损失。

3.1.2进行权限控制

要增强对访问控制的监管力度。访问控制是保证内、外用户对系统资源的访问，防止非授权用户进入系统，实现对授权用户的存取权限控制⑤。尽量避免内部人员对账户进行违规操作，限制指定用户登录，涉及到企业的机密文件必须要进行严格的保护，并且仅能对指定用户开放，这样可以有效的防止外部人员窃取或者篡改信息。同时要对各部门的网络权限进行限制，有效的将部门网络、员工网络、财务网络进行分隔，可以提高网络系统的稳定性与安全性。

3.2管理方面

3.2.1加强安全管理

任何防护软件都不是完美无缺的，都可能会遭到攻击和破坏。所以，信息安全防护并不能仅仅依赖技术，安装防护软件是起辅助作用。要建立健全信息安全管理制度和安全风险评估机制，对企业信息系统中存在的安全风险进行正确的评估，找出影响其安全运行的漏洞，制定出最佳解决对策。为旅游企业信息化的建设提供更安全的保证。

3.2.2注重人才培养

要加强对旅游信息专业人才的多方面素质培养。旅游信息化，就意味着注重计算机网络技术、现代通讯技术等技术手段，与此同时也要注重信息安全问题。对该方面的人才培养不仅要强调计算机方面的技术养成，而且更要加强对于信息安全问题的学习，来满足我国旅游企业信息化对人才的需求。

3.2.3树立正确的安全意识

旅游企业信息化建设过程中，必须要树立正确的信息安全意识，要从旅游企业的高层开始，自上而下，使得整个企业人员都具有信息安全意识。倘若企业中的机密信息泄露，会给企业造成巨大的经济损失、形象损失，更会给企业竞争对手创造了有利的发展条件。因此，要将信息安全防范工作放在旅游企业信息化建设进程中的核心位置，加强对其研究，采取积极有效的防范措施。

4　结语

在这个注重信息化的时代中，旅游业又进入到一个新的发展阶段，因此旅游企业信息化建设是大势所趋。但是旅游企业在信息化建设中应该着重注意信息安全问题，选择安全性能高的防护软件、进行权限控制、加强安全管理、注重专业人才培养、树立正确的安全意识。在信息化建设中，旅游企业应该全面深刻地考虑可能会对信息系统安全有所影响的因素，来确保旅游企业信息化建设健康发展。

［1］王中雨.浅谈旅游企业信息化建设［J］.软件工程师，2012，12：29-31.

［2］吴捷.企业信息化建设中信息安全问题的研究［J］.通讯世界，2016，01：247-248.

［3］邢娜.计算机病毒的安全防御策略［J］.电子测试，2015，02：134-135+114.

［4］马良.企业信息化建设中的信息安全问题［J］.才智，2014，01：313.

［5］李孟琦.企业信息化建设中信息安全问题及对策［J］.中国新通信，2016，16：52-53.