企业信息安全论文网络环境下企业信息安全隐患与防范策.doc

文章源于科技论文发表网： QQ:1003 59168 企业信息安全论文：网络环境下企业信息安全隐患与防范策略【摘要】网络在提高企业办事效率的同时，也对企业信息系统的安全造成了威胁。网络环境下，企业信息系统面临着来自物理因素、网络共享和人文环境等三个方面的安全隐患，形势严峻。企业信息安全隐患的防范是一个全方位的工作，需要运用技术、管理和法律三大手段，建立一个综合性的防御安全体系，最大限度地降低企业信息有可能遭受的安全隐患。【关键词】信息安全；网络共享；企业信息系统 进入二十一世纪的今天，随着社会、经济和科学技术的飞速发展，计算机网络在经济和生活的各个领域迅速普及。众多企业为了提高办事效率和市场反应能力，也都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。在网络环境下，企业获得信息共享、信息交流、信息服务，改善了企业管理水平、提高了劳动生产率、增强企业核心竞争力。然而，网络是把双刃剑。在带给企业机遇与便利的同时，网络环境固有的开放性、共享性、交互性和分散性，也造成了企业信息系统具有致命的脆弱性、易受攻击性。1一旦企业网络遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因而，研究与防范信息安全问题，对企业来说是重要的、紧迫的。本文分析了网络环境下企业信息安全容易发生的三大安全隐患，有针对性地提出了三大防范策略，以期能够帮助企业在满足信息利用要求的基础上，最大限度地保障企业信息安全。 一、网络环境下企业信息安全隐患网络环境下能对企业信息系统安全造成威胁的因素有很多，可能是有意的攻击，也可能是无意的误操作；可能是内部的破坏，也可能是外来攻击者对信息系统资源的非法使用，归结起来，企业信息可能面临三大方面的安全隐患。（一）物理因素造成的隐患 1场地环境受到侵扰计算机机房所处的位置有一定的安全技术要求。网络线缆和通讯媒介等通信设施都可能因为地震、电磁场、雷电等环境因素以及其他人为因素而发生物理损坏；来自于各种自然灾害、电磁辐射、电磁干扰等自然威胁是不可预测的，会直接影响企业信息的安全；计算机电源保护和接地保护同样非常重要，且一旦出现故障，直接造成企业信息的丢失或破坏。 2计算机自身出现故障计算机主要部件如硬盘、内存等的运行情况同样会影响数据的安全性，其可靠性值得企业管理者注意。另外，各部件防盗以及防老化，都不可忽视。 3移动存储带来危害当今各种移动存储设备如优盘、移动硬盘、MP3等在企业中大量使用，如果缺乏设备监管及监督，很可能造成计算机感染病毒和数据的泄露。（二）网络共享造成的隐患 1系统和软件的漏洞以微软windows为代表的各种操作系统不断地被发现漏洞，相应的蠕虫病毒也不断地产生，这对企业内计算机的安全补丁工作提出了极大的要求；另外，很多软件存在“后门”，这些“后门”本来是软件公司的设计编程人员为了以后软件扩展和维护而设置的，一般不为外人所知，但一旦“后门”洞开，其就会成为攻击者攻击网络系统的捷径。2 2人为地恶意攻击典型的黑客攻击和计算机犯罪属于这一类威胁。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的机密性、可用性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。3这两种攻击均可对计算机网络造成直接的极大的危害，导致企业机密数据的泄漏和丢失。 3病毒、垃圾邮件等的威胁计算机病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等很容易利用企业网络安全防护措施的漏洞侵入企业的内部网络，给企业信息基础设施、企业业务带来无法估量的损失。（三）人文环境造成的隐患 1员工网络信息安全意识淡薄网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。权威调查机构IDC的统计表明：3040的工作时间内发生的企业员工网络访问行为是与业务无关的，比如游戏、聊天、视频、P2P下载等等；另一项调查表明：1/3的员工曾在上班时间玩电脑游戏。4这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出，并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃。 2企业缺乏必要的管理与监督企业经营者往往看重的是网络对企业运行的便捷效用，而忽视了其带来的安全隐患，对企业信息安全的投入和管理远远不能满足安全防范的要求。管理者的忽视，造成在整个企业中从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。二、网络环境下企业信息安全隐患的防范策略以上所列出的是目前比较常见的企业信息安全隐患，事实上，现实中企业所面临的安全问题形势是更加复杂且严峻的。因此，企业管理者必须时刻保持警觉，不断增强防范意识，采取切实有效的防范措施，把有关影响网络安全的各个方面结合起来，相互弥补，不断完善，才能织起一张安全大网。从防范策略上来讲，可以采用技术、管理和法律三大手段。（一）技术手段 1防火墙防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。企业应安装质量可靠、功能强大的防火墙，以减少病毒的传播和黑客的攻击，保证网络系统安全，并时刻关注防火墙的运行情况，注意软件的维护和升级。 2病毒防控企业网络系统应形成统一完整的病毒防御体系，注意利用硬件防火墙与软件防火墙及防病毒软件相结合，设置隔离区来防止病毒的入侵。同时，定期进行防病毒软件的病毒数据库的更新，用防病毒软件来防止来自互联网病毒进入内部。采用防毒与杀毒相结合、以防为主的方式，在病毒可能流传的各个渠道设置监控，结合定时病毒扫描和自动更新，查杀病毒，保证系统安全。 3技术加密与认证密码技术是网络安全最有效的技术之一。信息加密，可以有效保护网内的数据、文件、口令和控制信息，保护网上传输的数据。企业信息加密，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。 4数据备份数据备份是指将计算机系统中硬盘上的一部分数据通过适当的形式转录到可脱机保存的介质（如移动硬盘、优盘和光盘）上，以便需要时再输入计算机系统使用。没有任何一项措施比数据备份更能够保障信息的安全。制定应急处理计划，做好备份和恢复，是企业信息安全的后方阵地。平时做好数据备份应当是企业内计算机管理员的一项重要工作。完善的数据备份应该是动态的、多重的备份，这样才能保证操作系统遭到破坏后能够迅速恢复这些数据库的使用。（二）管理手段 1强化安全保护意识，做好环境建设企业各级管理者应当要加强计算机及系统本身实体的安全管理，如机房、计算机终端、网络控制室等场所的物理安全，注意对意外事故和自然灾害的防范。 2建立健全企业信息安全管理制度和操作规程制度建设是确保企业信息安全的关键。因此，企业首先要树立网络信息安全管理理念，确定信息安全保护工作的目标和对象，要求“实体可信，行为可控，资源可管，事件可查，运行可靠”；5其次，建立健全安全管理制度，确保所有的安全管理措施落到实处，比如操作人员管理制度、操作技术管理制度、病毒防护制度、设备管理维护制度、软件和数据管理制度等。再者，制定科学、详细的操作规程，规范日常操作，制定信息系统的维护制度和应急预案，确保企业信息系统的安全管理。 3加强计算机用户管理企业应结合自身硬软件、数据和网络等方面实际情况，提高工作人员的保密观念、责任心和安全意识，加强业务技术培训，防止人为事故的发生。必要时，可运用技术手段，通过设置身份限制，对不同设备设置访问权限，对于各子系统工作人员每人设置一个账号，并且每个账号设置口令，并要求定期进行更改口令。（三）法律手段 1加强法律意识在网络环境下，企业的信息安全问题应该有相应的法律法规作为保障。它涉及网络安全、计算机安全、数据安全、使用权限和信息主权以及个人隐私等法律范畴。尽管我国到目前为止，对企业信息安全的法律保护还很薄弱，但已经有一些相应的法律法规可供企业管理者借鉴。1994年2月颁布的中华人民共和国计算机信息系统安全保护条例揭开了我国计算机安全工作新的一页，是我国信息安全领域内第一个全国性的行政法规，它标志我国的计算机安全工作开始走上规范化的法律轨道。随后，中华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法、商用密码管理条例、计算机信息系统国际联网保密管理规定、计算机病毒防治管理方法等一系列法律法规相继出台，成为企业信息安全的有力保障。因此，企业管理者及各级工作人员应当强化自己的法律意识，认真学习领会相关法律条款的精神和规定，从思想上真正认识到企业信息安全问题的重要性和必要性。 2落实法律责任采取系列措施防范企业信息安全隐患固然重要，但是一旦问题出现，往往会出现企业内部人员相互推卸责任的现象。因此，要从根本上强化企业人员的信息安全意识，关键点和突破口在于落实企业人员的法律责任。企业应建立健全合法性的责任追究制，明确机构、人员的职责和要求，也明确部门负责人和相关人员的职责和要求，从制度上保证了各级人员依法履行责任和义务。大量事实证明，只有企业内所有人员都在法律的约束下规范自己的行为，才能为本单位做好信息安全工作创造良好的法律环境。 3用法律武器抵制侵犯国务院颁发的中华人民共和国计算机信息系统安全保护条例中明确规定计算机安全应引起各级管理者的重视，并且强调要“维护计算机信息系统的安全运行”。网络侵犯以黑客攻击最为普遍。在我国，如果把网络比作是一个生机勃勃的青年的话，那么黑客就像是隐藏在他身体内部的一只毒瘤，随着他的成长而恶性膨胀。我国各项计算机安全法律法规出台以后，在威慑黑客方面一直在做着不懈的努力。刑法285条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役”。最高人民法院于1997年12月确定上述罪行的罪名为“非法侵入计算机信息系统罪”。6因而，对于恶意侵犯企业信息安全的不法行为，企业各级人员应当坚决地运用法律武器，制止侵犯行为，捍卫企业信息的安全与完整。 三、结语网络环境下，企业在大力发展计算机、多媒体技术实现企业信息现代化、提升企业核心竞争力的同时，必须强化信息安全意识，认识到网络环境下企业信息可能遭遇的安全隐患，切实采取相应的措施，为企业信息安全保驾护航。企业信息安全隐患的防范是一个全方位的工作，需要从多方面进行有效管理以及合理运用技术、制度、政策、法规等进行全方位的考虑，建立一个综合性的防御安全体系，最大限度地降低企业信息有可能遭受的安全隐患，使得计算机技术在企