企业信息安全建设论文.doc

企业信息安全建设论文 企业信息安全建设论文结合笔者公司信息化建设的实际从技术上研究企业信息安全的解决方案 企业信息安全建设论文【1】 摘要：随着现代科学技术的迅猛发展计算机信息技术得到普遍应用信息的安全问题也日益突出 关键词:信息安全;信息内网;信息外网;存储介质;安全策略;信息泄密 随着计算机和网络应用的加速发展信息安全问题已经引起许多国家的普遍关注成为当今信息安全技术领域的一个重要研究课题 对企业信息安全而言影响信息安全的因数很多除Internet系统自身的开放性外内部用户访问控制用户身份识别安全意识不高等都可能?信息安全造成威胁 信息安全技术是解决如何有效进行介入控制以及如何保证数据安全传输的技术手段 企业信息安全建设主要从以下二方面开展一方面是企业信息安全保密管理规章制度另一方面是信息安全保密技术 本文着重从技术上探讨企业信息安全的解决方案 1信息安全目前状况 现在黑客的攻击并不是破坏底层的系统而是为了入侵应用窃取数据带有明显的商业目的 网络攻击带来安全威胁如：网页挂马、网页仿冒、网页篡改等 随着网络合规应用要求越来越多针对应用的攻击也越来越多除了在管理制度上确保信息安全外还要在技术上确保信息安全 在众多的攻击行为和事件中发生最多的安全事件是信息泄漏事件;攻击者主要来自企业内部而不是来自外部的黑客等攻击者;安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄漏事件 信息泄漏事件往往不被人们所关注没有引起企业主管领导和技术人员的足够重视和关注;针对外部黑客攻击的防范措施、解决方案、技术和产品较多较成熟而针对内部员工的失泄密行为目前还没有成熟的、全面的解决方案 对于来自内部信息泄密的安全问题一直是整个信息安全保障体系的难点和弱点所在 2企业信息泄密的主要途径 企业信息泄密途径多种多样归纳起来有网络泄密、存储介质泄密、电磁波辐射泄密、工作人员违规操作泄密等 而网络泄密、存储介质泄密是信息泄密的薄弱环节也是最易发生的在技术上要重点防控 3企业信息泄密的主体分析 3.1外部入侵泄密 外部入侵又分外部网络入侵和外部实体入侵 外部网络入侵是指对方利用系统的漏洞或安全防护薄弱环节通过一定的技术手段进入内部网络拦截网络传输信息、攻击计算机而达到窃取计算机上存储的机密信息 外部网络入侵窃密途径有黑客入侵、病毒感染、木马窃密、传输拦截等 外部实体入侵是指外部人员通过各种方式接近或进入信息安全防护实体直接对保护实体进行盗窃非法获取载有涉密信息的计算机、存储介质、纸质文件等或者使用移动存储介质进行非法拷贝利用存储介质剩磁进行数据恢复等 3.2内部人员泄密 内部信息泄密是指单位内部的工作人员在工作过程中无意识地泄露单位机密或者利用职务之便有意地窃取单位机密 如：存储介质丢失或失窃在上网时对信息的处理过程中因缺乏保护意识而无意中泄密以及非法外联、非法内联、非法拷贝、非法共享、非法打印、上网外发信息等诸多方面 4企业信息安全的解决方案 每个企业对信息安全的等级不一样其信息安全的解决方案也不一样我公司是上海市电力公司下属的一家国有企业企业的信息安全要满足国家电网的要求按照国家电网的要求来建设 4.1采用网络物理隔离技术及网络VLAN技术 信息内网是指承载公司信息化业务应用的网络系统且与互联网断开的网络如：人事?工资和财务信息的处理都在信息内网上进行;信息外网是指与互联网连接的网络如：收发电子邮件、上网搜索信息等 VLAN是在一个物理网上划出来的逻辑网络VLAN是一种比较新的技术工作在OSI参考模型的第2层和第3层一个VLAN就是一个广播域VLAN之间的通信是通过第3层的路由器来完成的 与传统的局域网技术相比较VLAN技术更加灵活可以控制广播风暴;可提高网络的安全性 在公司内部组建二个物理上隔离的信息内网和信息外网切断内网与外网的物理连接彻底杜绝通过外网入侵的途径;禁止内网终端与外网终端交叉使用做到双网物理隔离和双网双机 通过划分虚拟网络(VLAN)进行网络区域控制将服务器网段与内网终端网段逻辑区分开来并制定访问策略进行控制;严禁使用无线局域网;内网IP地址必须使用静态分配方式并由公司统一规划与管理;实行IP与MAC地址绑定策略 4.2部署桌面终端管理系统和文件加密系统确保信息安全 因世博保电要求根据上级单位对我公司的信息安全的要求我公司在年初就部署了北信源桌面终端管理系统和文件加密系统对用户的桌面终端进行管理禁止使用桌面终端的光驱、串口、并口、无线网卡、Mdem、移动硬盘只允许做过安全标签的安全U盘才能使用其他外来U盘禁止使用启用802.1X准入控制确保网络计算机的接入安全 文件加密系统对设计图纸文件、WORD文件、EXCEL文件等进行加密管理加密文件只能在公司内网打开即使加密文件不幸被外单位窃获在外单位的电脑上打开也是乱码保证了公司的信息安全 4.3操作系统安全及防病毒技术 定期对操作系统进行打补丁升级修补系统漏洞;定期更改操作系统的登录密码密码要满足一定复杂性要求关闭多余账户、多余服务和共享目录部署江民网络版杀毒软件定期对杀毒软件更新升级定期对操作系统杀毒确保操作系统的安全 4.4互联网接入安全加固 在互联网接入处安装诺基亚IP390防火墙和深信服M5100AC上网行为管控设备并启用管控策略 防火墙作为一种将内外网隔离的技术,普遍运用于企业信息安全建设中 合理使用防火墙,可以构筑内外网之间的安全屏障,有效地将企业内部网与互联网隔离开来,有利于提高网络抵抗黑客攻击的能力和系统的安全性 在WindowsXP/Windows7系统中可以开启自身带的防火墙功能,桌面终端还可以安装专业的防火墙软件,如360安全卫士和江民防火墙等 诺基亚IP390防火墙是对互联网入口进行管控而深信服M5100AC上网行为管控设备是对桌面终端浏览互联网的内容进行控制管理 从技术与管理上限制用户对反动、色情等国家明令禁止站点的访问并按规定留存不低于半年的所有访问互联网日志;启用邮件过滤服务对敏感内容进行过滤同时加强对有关人员的安全保密教育不要将公司的敏感信息对外发布 建立信息安全应急响应机制抓好网络与信息系统日常监测维护 4.5信息系统实体安全的物理环境加固 要保证企业信息系统的安全、可靠必须保证信息系统实体有个安全的物理环境条件 这个安全的环境是指机房及其设施要重视机房环境建设和管理机房要安装安全门禁系统禁止无关人员进入 为了防止自然灾害的发生对重要信息系统要有异地容灾建设并做好数据备份工作 5结束语 企业信息安全是一项复杂的系统工程涉及技术、设备、管理和制度等多方面的因素信息安全解决方案的制定需要从整体上进行把握 必须做到管理和技术并重安全技术必须结合安全措施并加强信息安全立法和执法的力度建立备份和恢复机制制定相应的信息安全标准 参考文献： 1袁浩,张金荣.INTERNET接入、网络安全M.北京