企業(yè)信息安全建設論文

　　企業(yè)信息安全建設論文結(jié)合筆者公司信息化建設的實際，從技術(shù)上研究企業(yè)信息安全的解決方案。

　　企業(yè)信息安全建設論文【1】

　　摘要：隨著現(xiàn)代科學技術(shù)的迅猛發(fā)展，計算機信息技術(shù)得到普遍應用，信息的安全問題也日益突出。

　　關(guān)鍵詞:信息安全;信息內(nèi)網(wǎng);信息外網(wǎng);存儲介質(zhì);安全策略;信息泄密

　　隨著計算機和網(wǎng)絡應用的加速發(fā)展，信息安全問題已經(jīng)引起許多國家的普遍關(guān)注，成為當今信息安全技術(shù)領域的一個重要研究課題。

　　對企業(yè)信息安全而言，影響信息安全的因數(shù)很多，除Internet系統(tǒng)自身的開放性外，內(nèi)部用戶訪問控制，用戶身份識別，安全意識不高等都可能�信息安全造成威脅。

　　信息安全技術(shù)是解決如何有效進行介入控制，以及如何保證數(shù)據(jù)安全傳輸?shù)募夹g(shù)手段。

　　企業(yè)信息安全建設主要從以下二方面開展，一方面是企業(yè)信息安全保密管理規(guī)章制度，另一方面是信息安全保密技術(shù)。

　　本文著重從技術(shù)上探討企業(yè)信息安全的解決方案。

　　1 信息安全目前狀況

　　現(xiàn)在黑客的攻擊并不是破壞底層的系統(tǒng)，而是為了入侵應用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的。

　　網(wǎng)絡攻擊帶來安全威脅，如：網(wǎng)頁掛馬、網(wǎng)頁仿冒、網(wǎng)頁篡改等。

　　隨著網(wǎng)絡合規(guī)應用要求越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

　　在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄漏事件;攻擊者主要來自企業(yè)內(nèi)部，而不是來自外部的黑客等攻擊者;安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄漏事件。

　　信息泄漏事件往往不被人們所關(guān)注，沒有引起企業(yè)主管領導和技術(shù)人員的足夠重視和關(guān)注;針對外部黑客攻擊的防范措施、解決方案、技術(shù)和產(chǎn)品較多較成熟，而針對內(nèi)部員工的失泄密行為，目前還沒有成熟的、全面的解決方案。

　　對于來自內(nèi)部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在

　　2 企業(yè)信息泄密的主要途徑

　　企業(yè)信息泄密途徑多種多樣，歸納起來有網(wǎng)絡泄密、存儲介質(zhì)泄密、電磁波輻射泄密、工作人員違規(guī)操作泄密等。

　　而網(wǎng)絡泄密、存儲介質(zhì)泄密是信息泄密的薄弱環(huán)節(jié)，也是最易發(fā)生的，在技術(shù)上要重點防控。

　　3 企業(yè)信息泄密的主體分析

　　3.1外部入侵泄密

　　外部入侵又分外部網(wǎng)絡入侵和外部實體入侵。

　　外部網(wǎng)絡入侵是指對方利用系統(tǒng)的漏洞或安全防護薄弱環(huán)節(jié)，通過一定的技術(shù)手段進入內(nèi)部網(wǎng)絡，攔截網(wǎng)絡傳輸信息、攻擊計算機而達到竊取計算機上存儲的機密信息。

　　外部網(wǎng)絡入侵竊密途徑有黑客入侵、病毒感染、木馬竊密、傳輸攔截等。

　　外部實體入侵是指外部人員通過各種方式接近或進入信息安全防護實體，直接對保護實體進行盜竊，非法獲取載有涉密信息的計算機、存儲介質(zhì)、紙質(zhì)文件等，或者使用移動存儲介質(zhì)進行非法拷貝，利用存儲介質(zhì)剩磁進行數(shù)據(jù)恢復等。

　　3.2 內(nèi)部人員泄密

　　內(nèi)部信息泄密是指單位內(nèi)部的工作人員，在工作過程中無意識地泄露單位機密，或者利用職務之便有意地竊取單位機密。

　　如：存儲介質(zhì)丟失或失竊，在上網(wǎng)時對信息的處理過程中因缺乏保護意識而無意中泄密以及非法外聯(lián)、非法內(nèi)聯(lián)、非法拷貝、非法共享、非法打印、上網(wǎng)外發(fā)信息等諸多方面。

　　4 企業(yè)信息安全的解決方案

　　每個企業(yè)對信息安全的等級不一樣，其信息安全的解決方案也不一樣，我公司是上海市電力公司下屬的一家國有企業(yè)，企業(yè)的信息安全要滿足國家電網(wǎng)的要求，按照國家電網(wǎng)的要求來建設。

　　4.1 采用網(wǎng)絡物理隔離技術(shù)及網(wǎng)絡VLAN技術(shù)

　　信息內(nèi)網(wǎng)是指承載公司信息化業(yè)務應用的網(wǎng)絡系統(tǒng)，且與互聯(lián)網(wǎng)斷開的網(wǎng)絡，如：人事�工資和財務信息的處理都在信息內(nèi)網(wǎng)上進行;信息外網(wǎng)是指與互聯(lián)網(wǎng)連接的網(wǎng)絡，如：收發(fā)電子郵件、上網(wǎng)搜索信息等。

　　VLAN是在一個物理網(wǎng)上劃出來的邏輯網(wǎng)絡，VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。

　　與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，可以控制廣播風暴;可提高網(wǎng)絡的安全性。

　　在公司內(nèi)部組建二個物理上隔離的信息內(nèi)網(wǎng)和信息外網(wǎng)，切斷內(nèi)網(wǎng)與外網(wǎng)的物理連接，徹底杜絕通過外網(wǎng)入侵的途徑;禁止內(nèi)網(wǎng)終端與外網(wǎng)終端交叉使用，做到雙網(wǎng)物理隔離和雙網(wǎng)雙機。

　　通過劃分虛擬網(wǎng)絡(VLAN)進行網(wǎng)絡區(qū)域控制，將服務器網(wǎng)段與內(nèi)網(wǎng)終端網(wǎng)段邏輯區(qū)分開來，并制定訪問策略進行控制;嚴禁使用無線局域網(wǎng);內(nèi)網(wǎng)IP地址必須使用靜態(tài)分配方式，并由公司統(tǒng)一規(guī)劃與管理;實行IP與MAC地址綁定策略。

　　4.2 部署桌面終端管理系統(tǒng)和文件加密系統(tǒng)，確保信息安全

　　因世博保電要求，根據(jù)上級單位對我公司的信息安全的要求，我公司在2010年初就部署了北信源桌面終端管理系統(tǒng)和文件加密系統(tǒng)，對用戶的桌面終端進行管理，禁止使用桌面終端的光驅(qū)、串口、并口、無線網(wǎng)卡、Mdem、移動硬盤，只允許做過安全標簽的安全U盤才能使用，其他外來U盤禁止使用，啟用802.1X準入控制，確保網(wǎng)絡計算機的接入安全。

　　文件加密系統(tǒng)對設計圖紙文件、WORD文件、EXCEL文件等進行加密管理，加密文件只能在公司內(nèi)網(wǎng)打開，即使加密文件不幸被外單位竊獲，在外單位的電腦上打開也是亂碼，保證了公司的信息安全。

　　4.3 操作系統(tǒng)安全及防病毒技術(shù)

　　定期對操作系統(tǒng)進行打補丁升級，修補系統(tǒng)漏洞;定期更改操作系統(tǒng)的登錄密碼，密碼要滿足一定復雜性要求，關(guān)閉多余賬戶、多余服務和共享目錄，部署江民網(wǎng)絡版殺毒軟件，定期對殺毒軟件更新升級，定期對操作系統(tǒng)殺毒，確保操作系統(tǒng)的安全。

　　4.4 互聯(lián)網(wǎng)接入安全加固

　　在互聯(lián)網(wǎng)接入處安裝諾基亞IP390防火墻和深信服M5100AC上網(wǎng)行為管控設備，并啟用管控策略。

　　防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù),普遍運用于企業(yè)信息安全建設中。

　　合理使用防火墻,可以構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,有效地將企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)隔離開來,有利于提高網(wǎng)絡抵抗黑客攻擊的能力和系統(tǒng)的安全性。

　　在WindowsXP/Windows7系統(tǒng)中可以開啟自身帶的防火墻功能,桌面終端還可以安裝專業(yè)的防火墻軟件,如360安全衛(wèi)士和江民防火墻等。

　　諾基亞IP390防火墻是對互聯(lián)網(wǎng)入口進行管控，而深信服M5100AC上網(wǎng)行為管控設備是對桌面終端瀏覽互聯(lián)網(wǎng)的內(nèi)容進行控制管理。

　　從技術(shù)與管理上限制用戶對反動、色情等國家明令禁止站點的訪問，并按規(guī)定留存不低于半年的所有訪問互聯(lián)網(wǎng)日志;啟用郵件過濾服務，對敏感內(nèi)容進行過濾，同時加強對有關(guān)人員的安全保密教育，不要將公司的敏感信息對外發(fā)布。

　　建立信息安全應急響應機制，抓好網(wǎng)絡與信息系統(tǒng)日常監(jiān)測維護。

　　4.5信息系統(tǒng)實體安全的物理環(huán)境加固

　　要保證企業(yè)信息系統(tǒng)的安全、可靠，必須保證信息系統(tǒng)實體有個安全的物理環(huán)境條件。

　　這個安全的環(huán)境是指機房及其設施，要重視機房環(huán)境建設和管理，機房要安裝安全門禁系統(tǒng)，禁止無關(guān)人員進入。

　　為了防止自然災害的發(fā)生，對重要信息系統(tǒng)，要有異地容災建設，并做好數(shù)據(jù)備份工作。

　　5 結(jié)束語

　　企業(yè)信息安全是一項復雜的系統(tǒng)工程，涉及技術(shù)、設備、管理和制度等多方面的因素，信息安全解決方案的制定需要從整體上進行把握。

　　必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強信息安全立法和執(zhí)法的力度，建立備份和恢復機制，制定相應的信息安全標準。

　　參考文獻：

　　[1] 袁浩,張金榮.INTERNET接入、網(wǎng)絡安全[M].北京：電子工業(yè)出版社,2011.

　　企業(yè)信息化建設中信息安全問題【2】

　　【摘要】隨著經(jīng)濟社會和現(xiàn)代科技的發(fā)展，越來越多的企業(yè)意識到信息化建設對企業(yè)發(fā)展的重要性，逐步加大企業(yè)信息化建設的投資力度，加強對企業(yè)信息化建設中信息安全問題的分析，積極采取有效的信息安全防范措施。

　　【關(guān)鍵詞】企業(yè)信息化建設;信息安全問題;防范措施

　　當今是信息爆炸時代，信息化時代的到來給企業(yè)帶來了更為廣闊的發(fā)展空間。

　　企業(yè)通過互聯(lián)網(wǎng)渠道搜集海量信息，為企業(yè)產(chǎn)品推廣和聯(lián)系客戶提供了平臺。

　　當前，尤其是伴隨著“兩化融合”的推進，許多的企業(yè)都意識到加強信息化建設對自身發(fā)展的重要性，加大了對信息化建設的資金、人力投入，以促進企業(yè)走向信息化發(fā)展道路。

　　但伴隨著企業(yè)信息化建設過程中也出現(xiàn)了一些信息安全問題，例如：不法分子采取技術(shù)手段竊取企業(yè)重要信息進行不正當交易。

　　企業(yè)重要信息一旦泄露，很可能會給企業(yè)帶來嚴重的經(jīng)濟損失，嚴重者可能會造成企業(yè)倒閉。

　　因此，作為企業(yè)而言在加快信息化建設的同時絕對不能忽視信息安全問題。

　　深入性地分析信息安全問題產(chǎn)生的原因，積極采取有效措施，減少或者避免信息安全問題的發(fā)生。

　　1企業(yè)信息安全問題分析

　　就當前企業(yè)信息化建設中存在安全問題的原因來講，只要主要有內(nèi)因和外因兩種。

　　具體分析如下：

　　1.1內(nèi)部原因

　　1.1.1企業(yè)信息系統(tǒng)安全意識薄弱

　　當前，多數(shù)企業(yè)都意識到信息化建設對自身發(fā)展的重要性，加大了信息化建設的投入力度。

　　但因缺乏實踐指導，管理層信息化意識缺乏，發(fā)展盲目，對信息安全問題往往忽視，使得信息化系統(tǒng)運行過程中出現(xiàn)不同程度的安全問題。

　　1.1.2信息安全軟件技術(shù)不高

　　當前國內(nèi)的信息安全軟件技術(shù)雖然發(fā)展較快，但同國外發(fā)達國家的信息安全軟件技術(shù)水平相比，差距仍舊比較大。

　　并且信息安全軟件是“盾”，黑客病毒是“矛”，防范措施總是很難趕上病毒以及黑客的發(fā)展。

　　1.1.3管理缺乏規(guī)范

　　部分企業(yè)由于沒有從思想上認識到信息安全問題的危害性，重投入，輕管理，空有信息系統(tǒng)卻管理混亂，沒有建立有效的安全問題防范機制，這就給惡意人員侵入企業(yè)信息系統(tǒng)提供了機會，造成企業(yè)的重要信息被竊取或丟失。

　　1.1.4專業(yè)技術(shù)人員缺乏

　　一般而言，企業(yè)信息安全系統(tǒng)的維護和升級都要有專業(yè)的技術(shù)人員操作。

　　但由于企業(yè)的高層對于信息化的認識程度、企業(yè)的發(fā)展程度差異，導致部分企業(yè)沒有配置專門的管理技術(shù)人員，設備與系統(tǒng)缺乏專業(yè)的維護管理。

　　1.1.5信息安全問題的相關(guān)法律不夠健全

　　針對當前國內(nèi)危及企業(yè)信息安全的違法犯罪行為，我國還沒有相關(guān)的法律法規(guī)體系，導致這種類型犯罪較難管理，企業(yè)因信息被竊取而造成的經(jīng)濟損失，也很難獲得合理賠償。

　　1.2外部原因

　　現(xiàn)階段，企業(yè)信息系統(tǒng)受到的威脅主要來源于外部。

　　隨著現(xiàn)代信息技術(shù)的高速發(fā)展，信息逐漸在市場中突顯出其重要作用。

　　一些不法分子看準信息對企業(yè)發(fā)展重要性的這一點采用不同手段來竊取企業(yè)的一些重要信息來謀取利益。

　　此外，還有一些企業(yè)為了能夠在市場中取得競爭優(yōu)勢，也會采取一些不法手段來獲取其他競爭對手的信息，借以打壓競爭對手。

　　2企業(yè)信息化建設中安全問題的應對措施

　　2.1企業(yè)應提高信息安全問題防范意識

　　企業(yè)應提高信息安全問題防范意識，將信息安全問題防范工作上升到企業(yè)戰(zhàn)略層面，將其放在企業(yè)信息化建設工作的重要位置，立足長遠，合理規(guī)劃，重視信息化建設中信息安全問題的防范，加強對信息安全問題的研究，積極采取有效措施防范可能會發(fā)生的信息安全問題，建立長效機制。

　　2.2正確選擇信息安全防護軟件

　　目前，企業(yè)在信息化建設中對于信息安全問題往往會采用信息安全防護軟件方式來防范安全問題。

　　但有些企業(yè)在選擇信息安全防護軟件時沒有注重信息安全防護軟件的質(zhì)量，有時候選擇一些防護性能弱，價格低廉的軟件。

　　使得信息安全防護軟件起不到防護功能。

　　即浪費了企業(yè)資金，由起不到應有的效果。

　　2.3加強企業(yè)信息系統(tǒng)管理

　　我們知道，不管是任何安全防護硬件或者軟件都不是完美的，都存在一定的漏洞，都有可能遭到破壞和攻擊，使其失去防護功能。

　　所以，其只是輔助措施，對于信息安全防護工作不能完全依賴技術(shù)手段，以為只要采購好軟硬設備舊高枕無憂了，而是要在擁有技術(shù)手段的同時，加強日常管理，建立長效管理機制。

　　通過健全的信息安全管理制度，并且管理人員切實貫徹落實才能防患于未然。

　　建立信息安全風險評估體制。

　　基于企業(yè)的信息系統(tǒng)不是在同一時間和同一技術(shù)支持下所建立的，所以在信息系統(tǒng)運行管理中各個系統(tǒng)可能存在的運行安全隱患是不同的。

　　這就需要企業(yè)根據(jù)系統(tǒng)的不同找出各自的不安全因素和漏洞。

　　建立完善的信息安全風險評估體制，通過量化分析，制定切實可行的信息系統(tǒng)運行風險防范措施。

　　加強網(wǎng)絡管理。

　　企業(yè)的信息系統(tǒng)遭到破壞，信息泄露都是企業(yè)外的一些不法分子通過網(wǎng)絡來竊取的。

　　因此，企業(yè)內(nèi)部應建立完善的網(wǎng)絡管理專業(yè)人才隊伍，加強對網(wǎng)絡安全管理，給企業(yè)信息系統(tǒng)的運行提供安全可靠環(huán)境。

　　3結(jié)語

　　總之，加強信息化建設已經(jīng)成為當前企業(yè)必須要重視的課題。

　　在企業(yè)信息化建設快速發(fā)展的同時，信息系統(tǒng)安全問題也越來越突出，給企業(yè)信息系統(tǒng)的可靠性運行造成了不同程度的影響，所以，企業(yè)應重視信息系統(tǒng)安全問題的分析和研究，采取有效的信息安全防范對策，確保企業(yè)信息系統(tǒng)的安全、穩(wěn)定、可靠運行。

　　參考文獻

　　[1]李曉東.我國企業(yè)信息化發(fā)展的現(xiàn)狀、障礙及對策建議[J].數(shù)以經(jīng)濟技術(shù)經(jīng)濟研究，2011(01).

【企業(yè)信息安全建設論文】相關(guān)文章：

企業(yè)信息安全的論文10-08

桌面安全管理系統(tǒng)中企業(yè)信息建設應用論文10-09

關(guān)于造型企業(yè)信息安全的論文10-08

企業(yè)信息安全治理框架論文10-09

電力企業(yè)信息安全網(wǎng)絡建設原則及實踐的論文10-11

企業(yè)信息安全問題研究論文10-08

關(guān)于企業(yè)信息安全現(xiàn)狀分析的論文10-08

電力企業(yè)信息網(wǎng)絡安全建設策略探討論文10-11

企業(yè)信息安全現(xiàn)狀分析研究論文10-08