企業(yè)信息安全建設(shè)論文

　　企業(yè)信息安全建設(shè)論文結(jié)合筆者公司信息化建設(shè)的實(shí)際，從技術(shù)上研究企業(yè)信息安全的解決方案。

　　企業(yè)信息安全建設(shè)論文【1】

　　摘要：隨著現(xiàn)代科學(xué)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)信息技術(shù)得到普遍應(yīng)用，信息的安全問題也日益突出。

　　關(guān)鍵詞:信息安全;信息內(nèi)網(wǎng);信息外網(wǎng);存儲(chǔ)介質(zhì);安全策略;信息泄密

　　隨著計(jì)算機(jī)和網(wǎng)絡(luò)應(yīng)用的加速發(fā)展，信息安全問題已經(jīng)引起許多國(guó)家的普遍關(guān)注，成為當(dāng)今信息安全技術(shù)領(lǐng)域的一個(gè)重要研究課題。

　　對(duì)企業(yè)信息安全而言，影響信息安全的因數(shù)很多，除Internet系統(tǒng)自身的開放性外，內(nèi)部用戶訪問控制，用戶身份識(shí)別，安全意識(shí)不高等都可能�信息安全造成威脅。

　　信息安全技術(shù)是解決如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)安全傳輸?shù)募夹g(shù)手段。

　　企業(yè)信息安全建設(shè)主要從以下二方面開展，一方面是企業(yè)信息安全保密管理規(guī)章制度，另一方面是信息安全保密技術(shù)。

　　本文著重從技術(shù)上探討企業(yè)信息安全的解決方案。

　　1 信息安全目前狀況

　　現(xiàn)在黑客的攻擊并不是破壞底層的系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的。

　　網(wǎng)絡(luò)攻擊帶來安全威脅，如：網(wǎng)頁掛馬、網(wǎng)頁仿冒、網(wǎng)頁篡改等。

　　隨著網(wǎng)絡(luò)合規(guī)應(yīng)用要求越來越多，針對(duì)應(yīng)用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

　　在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄漏事件;攻擊者主要來自企業(yè)內(nèi)部，而不是來自外部的黑客等攻擊者;安全事件造成最大的經(jīng)濟(jì)損失主要是內(nèi)部人員有意或無意的信息泄漏事件。

　　信息泄漏事件往往不被人們所關(guān)注，沒有引起企業(yè)主管領(lǐng)導(dǎo)和技術(shù)人員的足夠重視和關(guān)注;針對(duì)外部黑客攻擊的防范措施、解決方案、技術(shù)和產(chǎn)品較多較成熟，而針對(duì)內(nèi)部員工的失泄密行為，目前還沒有成熟的、全面的解決方案。

　　對(duì)于來自內(nèi)部信息泄密的安全問題，一直是整個(gè)信息安全保障體系的難點(diǎn)和弱點(diǎn)所在

　　2 企業(yè)信息泄密的主要途徑

　　企業(yè)信息泄密途徑多種多樣，歸納起來有網(wǎng)絡(luò)泄密、存儲(chǔ)介質(zhì)泄密、電磁波輻射泄密、工作人員違規(guī)操作泄密等。

　　而網(wǎng)絡(luò)泄密、存儲(chǔ)介質(zhì)泄密是信息泄密的薄弱環(huán)節(jié)，也是最易發(fā)生的，在技術(shù)上要重點(diǎn)防控。

　　3 企業(yè)信息泄密的主體分析

　　3.1外部入侵泄密

　　外部入侵又分外部網(wǎng)絡(luò)入侵和外部實(shí)體入侵。

　　外部網(wǎng)絡(luò)入侵是指對(duì)方利用系統(tǒng)的漏洞或安全防護(hù)薄弱環(huán)節(jié)，通過一定的技術(shù)手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，攔截網(wǎng)絡(luò)傳輸信息、攻擊計(jì)算機(jī)而達(dá)到竊取計(jì)算機(jī)上存儲(chǔ)的機(jī)密信息。

　　外部網(wǎng)絡(luò)入侵竊密途徑有黑客入侵、病毒感染、木馬竊密、傳輸攔截等。

　　外部實(shí)體入侵是指外部人員通過各種方式接近或進(jìn)入信息安全防護(hù)實(shí)體，直接對(duì)保護(hù)實(shí)體進(jìn)行盜竊，非法獲取載有涉密信息的計(jì)算機(jī)、存儲(chǔ)介質(zhì)、紙質(zhì)文件等，或者使用移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行非法拷貝，利用存儲(chǔ)介質(zhì)剩磁進(jìn)行數(shù)據(jù)恢復(fù)等。

　　3.2 內(nèi)部人員泄密

　　內(nèi)部信息泄密是指單位內(nèi)部的工作人員，在工作過程中無意識(shí)地泄露單位機(jī)密，或者利用職務(wù)之便有意地竊取單位機(jī)密。

　　如：存儲(chǔ)介質(zhì)丟失或失竊，在上網(wǎng)時(shí)對(duì)信息的處理過程中因缺乏保護(hù)意識(shí)而無意中泄密以及非法外聯(lián)、非法內(nèi)聯(lián)、非法拷貝、非法共享、非法打印、上網(wǎng)外發(fā)信息等諸多方面。

　　4 企業(yè)信息安全的解決方案

　　每個(gè)企業(yè)對(duì)信息安全的等級(jí)不一樣，其信息安全的解決方案也不一樣，我公司是上海市電力公司下屬的一家國(guó)有企業(yè)，企業(yè)的信息安全要滿足國(guó)家電網(wǎng)的要求，按照國(guó)家電網(wǎng)的要求來建設(shè)。

　　4.1 采用網(wǎng)絡(luò)物理隔離技術(shù)及網(wǎng)絡(luò)VLAN技術(shù)

　　信息內(nèi)網(wǎng)是指承載公司信息化業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)系統(tǒng)，且與互聯(lián)網(wǎng)斷開的網(wǎng)絡(luò)，如：人事�工資和財(cái)務(wù)信息的處理都在信息內(nèi)網(wǎng)上進(jìn)行;信息外網(wǎng)是指與互聯(lián)網(wǎng)連接的網(wǎng)絡(luò)，如：收發(fā)電子郵件、上網(wǎng)搜索信息等。

　　VLAN是在一個(gè)物理網(wǎng)上劃出來的邏輯網(wǎng)絡(luò)，VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過第3層的路由器來完成的。

　　與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，可以控制廣播風(fēng)暴;可提高網(wǎng)絡(luò)的安全性。

　　在公司內(nèi)部組建二個(gè)物理上隔離的信息內(nèi)網(wǎng)和信息外網(wǎng)，切斷內(nèi)網(wǎng)與外網(wǎng)的物理連接，徹底杜絕通過外網(wǎng)入侵的途徑;禁止內(nèi)網(wǎng)終端與外網(wǎng)終端交叉使用，做到雙網(wǎng)物理隔離和雙網(wǎng)雙機(jī)。

　　通過劃分虛擬網(wǎng)絡(luò)(VLAN)進(jìn)行網(wǎng)絡(luò)區(qū)域控制，將服務(wù)器網(wǎng)段與內(nèi)網(wǎng)終端網(wǎng)段邏輯區(qū)分開來，并制定訪問策略進(jìn)行控制;嚴(yán)禁使用無線局域網(wǎng);內(nèi)網(wǎng)IP地址必須使用靜態(tài)分配方式，并由公司統(tǒng)一規(guī)劃與管理;實(shí)行IP與MAC地址綁定策略。

　　4.2 部署桌面終端管理系統(tǒng)和文件加密系統(tǒng)，確保信息安全

　　因世博保電要求，根據(jù)上級(jí)單位對(duì)我公司的信息安全的要求，我公司在2010年初就部署了北信源桌面終端管理系統(tǒng)和文件加密系統(tǒng)，對(duì)用戶的桌面終端進(jìn)行管理，禁止使用桌面終端的光驅(qū)、串口、并口、無線網(wǎng)卡、Mdem、移動(dòng)硬盤，只允許做過安全標(biāo)簽的安全U盤才能使用，其他外來U盤禁止使用，啟用802.1X準(zhǔn)入控制，確保網(wǎng)絡(luò)計(jì)算機(jī)的接入安全。

　　文件加密系統(tǒng)對(duì)設(shè)計(jì)圖紙文件、WORD文件、EXCEL文件等進(jìn)行加密管理，加密文件只能在公司內(nèi)網(wǎng)打開，即使加密文件不幸被外單位竊獲，在外單位的電腦上打開也是亂碼，保證了公司的信息安全。

　　4.3 操作系統(tǒng)安全及防病毒技術(shù)

　　定期對(duì)操作系統(tǒng)進(jìn)行打補(bǔ)丁升級(jí)，修補(bǔ)系統(tǒng)漏洞;定期更改操作系統(tǒng)的登錄密碼，密碼要滿足一定復(fù)雜性要求，關(guān)閉多余賬戶、多余服務(wù)和共享目錄，部署江民網(wǎng)絡(luò)版殺毒軟件，定期對(duì)殺毒軟件更新升級(jí)，定期對(duì)操作系統(tǒng)殺毒，確保操作系統(tǒng)的安全。

　　4.4 互聯(lián)網(wǎng)接入安全加固

　　在互聯(lián)網(wǎng)接入處安裝諾基亞IP390防火墻和深信服M5100AC上網(wǎng)行為管控設(shè)備，并啟用管控策略。

　　防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù),普遍運(yùn)用于企業(yè)信息安全建設(shè)中。

　　合理使用防火墻,可以構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,有效地將企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)隔離開來,有利于提高網(wǎng)絡(luò)抵抗黑客攻擊的能力和系統(tǒng)的安全性。

　　在WindowsXP/Windows7系統(tǒng)中可以開啟自身帶的防火墻功能,桌面終端還可以安裝專業(yè)的防火墻軟件,如360安全衛(wèi)士和江民防火墻等。

　　諾基亞IP390防火墻是對(duì)互聯(lián)網(wǎng)入口進(jìn)行管控，而深信服M5100AC上網(wǎng)行為管控設(shè)備是對(duì)桌面終端瀏覽互聯(lián)網(wǎng)的內(nèi)容進(jìn)行控制管理。

　　從技術(shù)與管理上限制用戶對(duì)反動(dòng)、色情等國(guó)家明令禁止站點(diǎn)的訪問，并按規(guī)定留存不低于半年的所有訪問互聯(lián)網(wǎng)日志;啟用郵件過濾服務(wù)，對(duì)敏感內(nèi)容進(jìn)行過濾，同時(shí)加強(qiáng)對(duì)有關(guān)人員的安全保密教育，不要將公司的敏感信息對(duì)外發(fā)布。

　　建立信息安全應(yīng)急響應(yīng)機(jī)制，抓好網(wǎng)絡(luò)與信息系統(tǒng)日常監(jiān)測(cè)維護(hù)。

　　4.5信息系統(tǒng)實(shí)體安全的物理環(huán)境加固

　　要保證企業(yè)信息系統(tǒng)的安全、可靠，必須保證信息系統(tǒng)實(shí)體有個(gè)安全的物理環(huán)境條件。

　　這個(gè)安全的環(huán)境是指機(jī)房及其設(shè)施，要重視機(jī)房環(huán)境建設(shè)和管理，機(jī)房要安裝安全門禁系統(tǒng)，禁止無關(guān)人員進(jìn)入。

　　為了防止自然災(zāi)害的發(fā)生，對(duì)重要信息系統(tǒng)，要有異地容災(zāi)建設(shè)，并做好數(shù)據(jù)備份工作。

　　5 結(jié)束語

　　企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，信息安全解決方案的制定需要從整體上進(jìn)行把握。

　　必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強(qiáng)信息安全立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的信息安全標(biāo)準(zhǔn)。

　　參考文獻(xiàn)：

　　[1] 袁浩,張金榮.INTERNET接入、網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社,2011.

　　企業(yè)信息化建設(shè)中信息安全問題【2】

　　【摘要】隨著經(jīng)濟(jì)社會(huì)和現(xiàn)代科技的發(fā)展，越來越多的企業(yè)意識(shí)到信息化建設(shè)對(duì)企業(yè)發(fā)展的重要性，逐步加大企業(yè)信息化建設(shè)的投資力度，加強(qiáng)對(duì)企業(yè)信息化建設(shè)中信息安全問題的分析，積極采取有效的信息安全防范措施。

　　【關(guān)鍵詞】企業(yè)信息化建設(shè);信息安全問題;防范措施

　　當(dāng)今是信息爆炸時(shí)代，信息化時(shí)代的到來給企業(yè)帶來了更為廣闊的發(fā)展空間。

　　企業(yè)通過互聯(lián)網(wǎng)渠道搜集海量信息，為企業(yè)產(chǎn)品推廣和聯(lián)系客戶提供了平臺(tái)。

　　當(dāng)前，尤其是伴隨著“兩化融合”的推進(jìn)，許多的企業(yè)都意識(shí)到加強(qiáng)信息化建設(shè)對(duì)自身發(fā)展的重要性，加大了對(duì)信息化建設(shè)的資金、人力投入，以促進(jìn)企業(yè)走向信息化發(fā)展道路。

　　但伴隨著企業(yè)信息化建設(shè)過程中也出現(xiàn)了一些信息安全問題，例如：不法分子采取技術(shù)手段竊取企業(yè)重要信息進(jìn)行不正當(dāng)交易。

　　企業(yè)重要信息一旦泄露，很可能會(huì)給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失，嚴(yán)重者可能會(huì)造成企業(yè)倒閉。

　　因此，作為企業(yè)而言在加快信息化建設(shè)的同時(shí)絕對(duì)不能忽視信息安全問題。

　　深入性地分析信息安全問題產(chǎn)生的原因，積極采取有效措施，減少或者避免信息安全問題的發(fā)生。

　　1企業(yè)信息安全問題分析

　　就當(dāng)前企業(yè)信息化建設(shè)中存在安全問題的原因來講，只要主要有內(nèi)因和外因兩種。

　　具體分析如下：

　　1.1內(nèi)部原因

　　1.1.1企業(yè)信息系統(tǒng)安全意識(shí)薄弱

　　當(dāng)前，多數(shù)企業(yè)都意識(shí)到信息化建設(shè)對(duì)自身發(fā)展的重要性，加大了信息化建設(shè)的投入力度。

　　但因缺乏實(shí)踐指導(dǎo)，管理層信息化意識(shí)缺乏，發(fā)展盲目，對(duì)信息安全問題往往忽視，使得信息化系統(tǒng)運(yùn)行過程中出現(xiàn)不同程度的安全問題。

　　1.1.2信息安全軟件技術(shù)不高

　　當(dāng)前國(guó)內(nèi)的信息安全軟件技術(shù)雖然發(fā)展較快，但同國(guó)外發(fā)達(dá)國(guó)家的信息安全軟件技術(shù)水平相比，差距仍舊比較大。

　　并且信息安全軟件是“盾”，黑客病毒是“矛”，防范措施總是很難趕上病毒以及黑客的發(fā)展。

　　1.1.3管理缺乏規(guī)范

　　部分企業(yè)由于沒有從思想上認(rèn)識(shí)到信息安全問題的危害性，重投入，輕管理，空有信息系統(tǒng)卻管理混亂，沒有建立有效的安全問題防范機(jī)制，這就給惡意人員侵入企業(yè)信息系統(tǒng)提供了機(jī)會(huì)，造成企業(yè)的重要信息被竊取或丟失。

　　1.1.4專業(yè)技術(shù)人員缺乏

　　一般而言，企業(yè)信息安全系統(tǒng)的維護(hù)和升級(jí)都要有專業(yè)的技術(shù)人員操作。

　　但由于企業(yè)的高層對(duì)于信息化的認(rèn)識(shí)程度、企業(yè)的發(fā)展程度差異，導(dǎo)致部分企業(yè)沒有配置專門的管理技術(shù)人員，設(shè)備與系統(tǒng)缺乏專業(yè)的維護(hù)管理。

　　1.1.5信息安全問題的相關(guān)法律不夠健全

　　針對(duì)當(dāng)前國(guó)內(nèi)危及企業(yè)信息安全的違法犯罪行為，我國(guó)還沒有相關(guān)的法律法規(guī)體系，導(dǎo)致這種類型犯罪較難管理，企業(yè)因信息被竊取而造成的經(jīng)濟(jì)損失，也很難獲得合理賠償。

　　1.2外部原因

　　現(xiàn)階段，企業(yè)信息系統(tǒng)受到的威脅主要來源于外部。

　　隨著現(xiàn)代信息技術(shù)的高速發(fā)展，信息逐漸在市場(chǎng)中突顯出其重要作用。

　　一些不法分子看準(zhǔn)信息對(duì)企業(yè)發(fā)展重要性的這一點(diǎn)采用不同手段來竊取企業(yè)的一些重要信息來謀取利益。

　　此外，還有一些企業(yè)為了能夠在市場(chǎng)中取得競(jìng)爭(zhēng)優(yōu)勢(shì)，也會(huì)采取一些不法手段來獲取其他競(jìng)爭(zhēng)對(duì)手的信息，借以打壓競(jìng)爭(zhēng)對(duì)手。

　　2企業(yè)信息化建設(shè)中安全問題的應(yīng)對(duì)措施

　　2.1企業(yè)應(yīng)提高信息安全問題防范意識(shí)

　　企業(yè)應(yīng)提高信息安全問題防范意識(shí)，將信息安全問題防范工作上升到企業(yè)戰(zhàn)略層面，將其放在企業(yè)信息化建設(shè)工作的重要位置，立足長(zhǎng)遠(yuǎn)，合理規(guī)劃，重視信息化建設(shè)中信息安全問題的防范，加強(qiáng)對(duì)信息安全問題的研究，積極采取有效措施防范可能會(huì)發(fā)生的信息安全問題，建立長(zhǎng)效機(jī)制。

　　2.2正確選擇信息安全防護(hù)軟件

　　目前，企業(yè)在信息化建設(shè)中對(duì)于信息安全問題往往會(huì)采用信息安全防護(hù)軟件方式來防范安全問題。

　　但有些企業(yè)在選擇信息安全防護(hù)軟件時(shí)沒有注重信息安全防護(hù)軟件的質(zhì)量，有時(shí)候選擇一些防護(hù)性能弱，價(jià)格低廉的軟件。

　　使得信息安全防護(hù)軟件起不到防護(hù)功能。

　　即浪費(fèi)了企業(yè)資金，由起不到應(yīng)有的效果。

　　2.3加強(qiáng)企業(yè)信息系統(tǒng)管理

　　我們知道，不管是任何安全防護(hù)硬件或者軟件都不是完美的，都存在一定的漏洞，都有可能遭到破壞和攻擊，使其失去防護(hù)功能。

　　所以，其只是輔助措施，對(duì)于信息安全防護(hù)工作不能完全依賴技術(shù)手段，以為只要采購(gòu)好軟硬設(shè)備舊高枕無憂了，而是要在擁有技術(shù)手段的同時(shí)，加強(qiáng)日常管理，建立長(zhǎng)效管理機(jī)制。

　　通過健全的信息安全管理制度，并且管理人員切實(shí)貫徹落實(shí)才能防患于未然。

　　建立信息安全風(fēng)險(xiǎn)評(píng)估體制。

　　基于企業(yè)的信息系統(tǒng)不是在同一時(shí)間和同一技術(shù)支持下所建立的，所以在信息系統(tǒng)運(yùn)行管理中各個(gè)系統(tǒng)可能存在的運(yùn)行安全隱患是不同的。

　　這就需要企業(yè)根據(jù)系統(tǒng)的不同找出各自的不安全因素和漏洞。

　　建立完善的信息安全風(fēng)險(xiǎn)評(píng)估體制，通過量化分析，制定切實(shí)可行的信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)防范措施。

　　加強(qiáng)網(wǎng)絡(luò)管理。

　　企業(yè)的信息系統(tǒng)遭到破壞，信息泄露都是企業(yè)外的一些不法分子通過網(wǎng)絡(luò)來竊取的。

　　因此，企業(yè)內(nèi)部應(yīng)建立完善的網(wǎng)絡(luò)管理專業(yè)人才隊(duì)伍，加強(qiáng)對(duì)網(wǎng)絡(luò)安全管理，給企業(yè)信息系統(tǒng)的運(yùn)行提供安全可靠環(huán)境。

　　3結(jié)語

　　總之，加強(qiáng)信息化建設(shè)已經(jīng)成為當(dāng)前企業(yè)必須要重視的課題。

　　在企業(yè)信息化建設(shè)快速發(fā)展的同時(shí)，信息系統(tǒng)安全問題也越來越突出，給企業(yè)信息系統(tǒng)的可靠性運(yùn)行造成了不同程度的影響，所以，企業(yè)應(yīng)重視信息系統(tǒng)安全問題的分析和研究，采取有效的信息安全防范對(duì)策，確保企業(yè)信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行。

　　參考文獻(xiàn)

　　[1]李曉東.我國(guó)企業(yè)信息化發(fā)展的現(xiàn)狀、障礙及對(duì)策建議[J].數(shù)以經(jīng)濟(jì)技術(shù)經(jīng)濟(jì)研究，2011(01).

【企業(yè)信息安全建設(shè)論文】相關(guān)文章：

企業(yè)信息安全的論文10-08

桌面安全管理系統(tǒng)中企業(yè)信息建設(shè)應(yīng)用論文10-09

關(guān)于造型企業(yè)信息安全的論文10-08

企業(yè)信息安全治理框架論文10-09

電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則及實(shí)踐的論文10-11

企業(yè)信息安全問題研究論文10-08

關(guān)于企業(yè)信息安全現(xiàn)狀分析的論文10-08

電力企業(yè)信息網(wǎng)絡(luò)安全建設(shè)策略探討論文10-11

企業(yè)信息安全現(xiàn)狀分析研究論文10-08