企業信息安全建設論文

　　企業信息安全建設論文結合筆者公司信息化建設的實際，從技術上研究企業信息安全的解決方案。

　　企業信息安全建設論文【1】

　　摘要：隨著現代科學技術的迅猛發展，計算機信息技術得到普遍應用，信息的安全問題也日益突出。

　　關鍵詞:信息安全;信息內網;信息外網;存儲介質;安全策略;信息泄密

　　隨著計算機和網絡應用的加速發展，信息安全問題已經引起許多國家的普遍關注，成為當今信息安全技術領域的一個重要研究課題。

　　對企業信息安全而言，影響信息安全的因數很多，除Internet系統自身的開放性外，內部用戶訪問控制，用戶身份識別，安全意識不高等都可能�信息安全造成威脅。

　　信息安全技術是解決如何有效進行介入控制，以及如何保證數據安全傳輸的技術手段。

　　企業信息安全建設主要從以下二方面開展，一方面是企業信息安全保密管理規章制度，另一方面是信息安全保密技術。

　　本文著重從技術上探討企業信息安全的解決方案。

　　1 信息安全目前狀況

　　現在黑客的攻擊并不是破壞底層的系統，而是為了入侵應用，竊取數據，帶有明顯的商業目的。

　　網絡攻擊帶來安全威脅，如：網頁掛馬、網頁仿冒、網頁篡改等。

　　隨著網絡合規應用要求越來越多，針對應用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術上確保信息安全。

　　在眾多的攻擊行為和事件中，發生最多的安全事件是信息泄漏事件;攻擊者主要來自企業內部，而不是來自外部的黑客等攻擊者;安全事件造成最大的經濟損失主要是內部人員有意或無意的信息泄漏事件。

　　信息泄漏事件往往不被人們所關注，沒有引起企業主管領導和技術人員的足夠重視和關注;針對外部黑客攻擊的防范措施、解決方案、技術和產品較多較成熟，而針對內部員工的失泄密行為，目前還沒有成熟的、全面的解決方案。

　　對于來自內部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在

　　2 企業信息泄密的主要途徑

　　企業信息泄密途徑多種多樣，歸納起來有網絡泄密、存儲介質泄密、電磁波輻射泄密、工作人員違規操作泄密等。

　　而網絡泄密、存儲介質泄密是信息泄密的薄弱環節，也是最易發生的，在技術上要重點防控。

　　3 企業信息泄密的主體分析

　　3.1外部入侵泄密

　　外部入侵又分外部網絡入侵和外部實體入侵。

　　外部網絡入侵是指對方利用系統的漏洞或安全防護薄弱環節，通過一定的技術手段進入內部網絡，攔截網絡傳輸信息、攻擊計算機而達到竊取計算機上存儲的機密信息。

　　外部網絡入侵竊密途徑有黑客入侵、病毒感染、木馬竊密、傳輸攔截等。

　　外部實體入侵是指外部人員通過各種方式接近或進入信息安全防護實體，直接對保護實體進行盜竊，非法獲取載有涉密信息的計算機、存儲介質、紙質文件等，或者使用移動存儲介質進行非法拷貝，利用存儲介質剩磁進行數據恢復等。

　　3.2 內部人員泄密

　　內部信息泄密是指單位內部的工作人員，在工作過程中無意識地泄露單位機密，或者利用職務之便有意地竊取單位機密。

　　如：存儲介質丟失或失竊，在上網時對信息的處理過程中因缺乏保護意識而無意中泄密以及非法外聯、非法內聯、非法拷貝、非法共享、非法打印、上網外發信息等諸多方面。

　　4 企業信息安全的解決方案

　　每個企業對信息安全的等級不一樣，其信息安全的解決方案也不一樣，我公司是上海市電力公司下屬的一家國有企業，企業的信息安全要滿足國家電網的要求，按照國家電網的要求來建設。

　　4.1 采用網絡物理隔離技術及網絡VLAN技術

　　信息內網是指承載公司信息化業務應用的網絡系統，且與互聯網斷開的網絡，如：人事�工資和財務信息的處理都在信息內網上進行;信息外網是指與互聯網連接的網絡，如：收發電子郵件、上網搜索信息等。

　　VLAN是在一個物理網上劃出來的邏輯網絡，VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。

　　與傳統的局域網技術相比較，VLAN技術更加靈活，可以控制廣播風暴;可提高網絡的安全性。

　　在公司內部組建二個物理上隔離的信息內網和信息外網，切斷內網與外網的物理連接，徹底杜絕通過外網入侵的途徑;禁止內網終端與外網終端交叉使用，做到雙網物理隔離和雙網雙機。

　　通過劃分虛擬網絡(VLAN)進行網絡區域控制，將服務器網段與內網終端網段邏輯區分開來，并制定訪問策略進行控制;嚴禁使用無線局域網;內網IP地址必須使用靜態分配方式，并由公司統一規劃與管理;實行IP與MAC地址綁定策略。

　　4.2 部署桌面終端管理系統和文件加密系統，確保信息安全

　　因世博保電要求，根據上級單位對我公司的信息安全的要求，我公司在2010年初就部署了北信源桌面終端管理系統和文件加密系統，對用戶的桌面終端進行管理，禁止使用桌面終端的光驅、串口、并口、無線網卡、Mdem、移動硬盤，只允許做過安全標簽的安全U盤才能使用，其他外來U盤禁止使用，啟用802.1X準入控制，確保網絡計算機的接入安全。

　　文件加密系統對設計圖紙文件、WORD文件、EXCEL文件等進行加密管理，加密文件只能在公司內網打開，即使加密文件不幸被外單位竊獲，在外單位的電腦上打開也是亂碼，保證了公司的信息安全。

　　4.3 操作系統安全及防病毒技術

　　定期對操作系統進行打補丁升級，修補系統漏洞;定期更改操作系統的登錄密碼，密碼要滿足一定復雜性要求，關閉多余賬戶、多余服務和共享目錄，部署江民網絡版殺毒軟件，定期對殺毒軟件更新升級，定期對操作系統殺毒，確保操作系統的安全。

　　4.4 互聯網接入安全加固

　　在互聯網接入處安裝諾基亞IP390防火墻和深信服M5100AC上網行為管控設備，并啟用管控策略。

　　防火墻作為一種將內外網隔離的技術,普遍運用于企業信息安全建設中。

　　合理使用防火墻,可以構筑內外網之間的安全屏障,有效地將企業內部網與互聯網隔離開來,有利于提高網絡抵抗黑客攻擊的能力和系統的安全性。

　　在WindowsXP/Windows7系統中可以開啟自身帶的防火墻功能,桌面終端還可以安裝專業的防火墻軟件,如360安全衛士和江民防火墻等。

　　諾基亞IP390防火墻是對互聯網入口進行管控，而深信服M5100AC上網行為管控設備是對桌面終端瀏覽互聯網的內容進行控制管理。

　　從技術與管理上限制用戶對反動、色情等國家明令禁止站點的訪問，并按規定留存不低于半年的所有訪問互聯網日志;啟用郵件過濾服務，對敏感內容進行過濾，同時加強對有關人員的安全保密教育，不要將公司的敏感信息對外發布。

　　建立信息安全應急響應機制，抓好網絡與信息系統日常監測維護。

　　4.5信息系統實體安全的物理環境加固

　　要保證企業信息系統的安全、可靠，必須保證信息系統實體有個安全的物理環境條件。

　　這個安全的環境是指機房及其設施，要重視機房環境建設和管理，機房要安裝安全門禁系統，禁止無關人員進入。

　　為了防止自然災害的發生，對重要信息系統，要有異地容災建設，并做好數據備份工作。

　　5 結束語

　　企業信息安全是一項復雜的系統工程，涉及技術、設備、管理和制度等多方面的因素，信息安全解決方案的制定需要從整體上進行把握。

　　必須做到管理和技術并重，安全技術必須結合安全措施，并加強信息安全立法和執法的力度，建立備份和恢復機制，制定相應的信息安全標準。

　　參考文獻：

　　[1] 袁浩,張金榮.INTERNET接入、網絡安全[M].北京：電子工業出版社,2011.

　　企業信息化建設中信息安全問題【2】

　　【摘要】隨著經濟社會和現代科技的發展，越來越多的企業意識到信息化建設對企業發展的重要性，逐步加大企業信息化建設的投資力度，加強對企業信息化建設中信息安全問題的分析，積極采取有效的信息安全防范措施。

　　【關鍵詞】企業信息化建設;信息安全問題;防范措施

　　當今是信息爆炸時代，信息化時代的到來給企業帶來了更為廣闊的發展空間。

　　企業通過互聯網渠道搜集海量信息，為企業產品推廣和聯系客戶提供了平臺。

　　當前，尤其是伴隨著“兩化融合”的推進，許多的企業都意識到加強信息化建設對自身發展的重要性，加大了對信息化建設的資金、人力投入，以促進企業走向信息化發展道路。

　　但伴隨著企業信息化建設過程中也出現了一些信息安全問題，例如：不法分子采取技術手段竊取企業重要信息進行不正當交易。

　　企業重要信息一旦泄露，很可能會給企業帶來嚴重的經濟損失，嚴重者可能會造成企業倒閉。

　　因此，作為企業而言在加快信息化建設的同時絕對不能忽視信息安全問題。

　　深入性地分析信息安全問題產生的原因，積極采取有效措施，減少或者避免信息安全問題的發生。

　　1企業信息安全問題分析

　　就當前企業信息化建設中存在安全問題的原因來講，只要主要有內因和外因兩種。

　　具體分析如下：

　　1.1內部原因

　　1.1.1企業信息系統安全意識薄弱

　　當前，多數企業都意識到信息化建設對自身發展的重要性，加大了信息化建設的投入力度。

　　但因缺乏實踐指導，管理層信息化意識缺乏，發展盲目，對信息安全問題往往忽視，使得信息化系統運行過程中出現不同程度的安全問題。

　　1.1.2信息安全軟件技術不高

　　當前國內的信息安全軟件技術雖然發展較快，但同國外發達國家的信息安全軟件技術水平相比，差距仍舊比較大。

　　并且信息安全軟件是“盾”，黑客病毒是“矛”，防范措施總是很難趕上病毒以及黑客的發展。

　　1.1.3管理缺乏規范

　　部分企業由于沒有從思想上認識到信息安全問題的危害性，重投入，輕管理，空有信息系統卻管理混亂，沒有建立有效的安全問題防范機制，這就給惡意人員侵入企業信息系統提供了機會，造成企業的重要信息被竊取或丟失。

　　1.1.4專業技術人員缺乏

　　一般而言，企業信息安全系統的維護和升級都要有專業的技術人員操作。

　　但由于企業的高層對于信息化的認識程度、企業的發展程度差異，導致部分企業沒有配置專門的管理技術人員，設備與系統缺乏專業的維護管理。

　　1.1.5信息安全問題的相關法律不夠健全

　　針對當前國內危及企業信息安全的違法犯罪行為，我國還沒有相關的法律法規體系，導致這種類型犯罪較難管理，企業因信息被竊取而造成的經濟損失，也很難獲得合理賠償。

　　1.2外部原因

　　現階段，企業信息系統受到的威脅主要來源于外部。

　　隨著現代信息技術的高速發展，信息逐漸在市場中突顯出其重要作用。

　　一些不法分子看準信息對企業發展重要性的這一點采用不同手段來竊取企業的一些重要信息來謀取利益。

　　此外，還有一些企業為了能夠在市場中取得競爭優勢，也會采取一些不法手段來獲取其他競爭對手的信息，借以打壓競爭對手。

　　2企業信息化建設中安全問題的應對措施

　　2.1企業應提高信息安全問題防范意識

　　企業應提高信息安全問題防范意識，將信息安全問題防范工作上升到企業戰略層面，將其放在企業信息化建設工作的重要位置，立足長遠，合理規劃，重視信息化建設中信息安全問題的防范，加強對信息安全問題的研究，積極采取有效措施防范可能會發生的信息安全問題，建立長效機制。

　　2.2正確選擇信息安全防護軟件

　　目前，企業在信息化建設中對于信息安全問題往往會采用信息安全防護軟件方式來防范安全問題。

　　但有些企業在選擇信息安全防護軟件時沒有注重信息安全防護軟件的質量，有時候選擇一些防護性能弱，價格低廉的軟件。

　　使得信息安全防護軟件起不到防護功能。

　　即浪費了企業資金，由起不到應有的效果。

　　2.3加強企業信息系統管理

　　我們知道，不管是任何安全防護硬件或者軟件都不是完美的，都存在一定的漏洞，都有可能遭到破壞和攻擊，使其失去防護功能。

　　所以，其只是輔助措施，對于信息安全防護工作不能完全依賴技術手段，以為只要采購好軟硬設備舊高枕無憂了，而是要在擁有技術手段的同時，加強日常管理，建立長效管理機制。

　　通過健全的信息安全管理制度，并且管理人員切實貫徹落實才能防患于未然。

　　建立信息安全風險評估體制。

　　基于企業的信息系統不是在同一時間和同一技術支持下所建立的，所以在信息系統運行管理中各個系統可能存在的運行安全隱患是不同的。

　　這就需要企業根據系統的不同找出各自的不安全因素和漏洞。

　　建立完善的信息安全風險評估體制，通過量化分析，制定切實可行的信息系統運行風險防范措施。

　　加強網絡管理。

　　企業的信息系統遭到破壞，信息泄露都是企業外的一些不法分子通過網絡來竊取的。

　　因此，企業內部應建立完善的網絡管理專業人才隊伍，加強對網絡安全管理，給企業信息系統的運行提供安全可靠環境。

　　3結語

　　總之，加強信息化建設已經成為當前企業必須要重視的課題。

　　在企業信息化建設快速發展的同時，信息系統安全問題也越來越突出，給企業信息系統的可靠性運行造成了不同程度的影響，所以，企業應重視信息系統安全問題的分析和研究，采取有效的信息安全防范對策，確保企業信息系統的安全、穩定、可靠運行。

　　參考文獻

　　[1]李曉東.我國企業信息化發展的現狀、障礙及對策建議[J].數以經濟技術經濟研究，2011(01).

【企業信息安全建設論文】相關文章：

企業信息安全的論文10-08

桌面安全管理系統中企業信息建設應用論文10-09

關于造型企業信息安全的論文10-08

企業信息安全治理框架論文10-09

電力企業信息安全網絡建設原則及實踐的論文10-11

企業信息安全問題研究論文10-08

關于企業信息安全現狀分析的論文10-08

電力企業信息網絡安全建設策略探討論文10-11

企業信息安全現狀分析研究論文10-08