论企业信息安全及防范.doc

摘要网络的普及极大地促进了企业电子商务活动的开展，然而网络环境中不安全因素的存在使信息经济时代企业赖以生存的信息资源及其应用系统的安全性受到极大的威胁，进而影响到企业的经营与发展。因此为了保护企业的信息安全，维持企业的竞争优势，必须综合应用技术、管理和法律手段，解决网络环境下企业的信息安全问题。本文从内外两方面分析了企业信息安全问题和对应的措施，从而达到保障企业信息安全的目的。关键词：信息安全；网络安全；防范技术 The problem and prevention research of the enterprise information security (XIAO Huanhuan)AbstractThe popularization of the Internet has greatly promoted enterprise electronic commerce activities, however in the network environment safety factor in the era of information economy enterprises survival and the information resources and the application of the system security threats, and tremendous influence to the enterprise management and development. So in order to protect the enterprise information safety, maintain the competitive advantage of enterprises must be integrated application of technology, management and law under the network environment, and solve the problem of information security of the enterprise. From the two aspects of inside and outside the enterprise information security problem analysis and the corresponding measures, so as to ensure the enterprise information security purposes.Key words： Information security; Network security; Guard technology目 录摘要IAbstractII引言1一、企业信息安全问题分析1（一）计算机面临的外部威胁2（二）计算机面临的内部威胁3二、企业信息安全建设的意义4三、企业信息安全问题的防范4（一）技术防范4（二）管理措施6四、结论8五、参考文献9六、谢辞10III引言在信息化的二十一世纪里，“信息就是财富，安全才有价值”。信息安全是当今信息化社会十分重视的问题，信息安全是一个非常广泛的概念，同样企业信息安全也涉及到多个方面，关于信息安全的定义有很多不同的说法，但其含义都是相似的。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。企业信息安全一般包括实体安全、运行安全、信息安全、管理安全四个方面的内容。实体安全也就是指物理安全包括环境安全、设备安全和介质安全等企业硬件设施；运行安全是指为保证计算机网络信息系统连续不断地运行所应采取的一系列安全措施及软件设施，包括风险分析、检测、监控与审计跟踪、应急计划和应急措施、计算机病毒检测与预防等；信息安全是指对企业信息系统中以各种形式存在的信息提供有效的保护，保证信息的准确性，使其不会因为企业内部或外部的原因而遭到泄露、破坏、删除或篡改；管理安全主要是指在实现信息安全管理的整个过程中，人应该做什么，如何做，所谓管理安全主要是对人的管理。其中通常把实体安全看作是企业信息安全的基础，把运行安全看作是对企业信息安全强有力的支持，把对信息本身的保护则是信息安全的核心和最终目标，而管理安全则是贯穿于整个信息安全工作的生命线。一、企业信息安全问题分析今天，信息已成为企业的重要资源之一，随着计算机技术应用的普及，各个组织机构的运行越来越依赖和离不开计算机，各种业务的运行架构于现代化的网络环境中。企业信息系统作为信息化程度高、计算机网络应用情况比较先进的一个特殊系统，其业务也同样地越来越依赖于计算机网络。随着市场经济的不断发展, 企业竞争越来越激烈, 国际化合作不断增多, 同时, 计算机和网络技术广泛普及, 越来越多的企业开始进行信息化建设, 企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。在信息化不断发展扩大的同时, 企业也面临着信息安全的严峻考验。总的来说企业面临的信息安全威胁可以概括为两类：一是来自企业内部的威胁，如意外安全事故和内部工作人员操作失误和故意破坏等；二是来自企业外部的安全威胁，包括计算机病毒的威胁、黑客和蠕虫的攻击。据2009年以来我国对发生网络安全事件的调查中获得以下数据：从可能的攻击来源来看，来自外部的攻击约占40.2%，来自内部的攻击约占6.6%，内外均有的攻击约占24.8%，还有28.3%的攻击来源并不清楚。新浪网. 2009年全国信息网络安全状况暨计算机病毒疫情调查表 EB/OL /voteresult.php?pid=35567由此可见，可能攻击的来源主要来自于企业外部，企业信息安全建设重点应该放在对来自于外部的攻击防御上，同时也应加强企业内部信息安全管理以及对其他因素进行控制。 （一）计算机面临的外部威胁 计算机网络所面临的外部威胁是多方面的。影响计算机网络的因素有很多,其所面临的外部威胁也就来自多个方面,主要有:1、黑客攻击:黑客已经成为网络安全的克星,造成损失也随着攻击手段的提高而增加;2、病毒:从1988年报道的第一例病毒(蠕虫病毒) 侵入美国军方互联网,导致8500 台计算机染毒和6500 台停机,造成直接经济损失近1 亿美元,此后这类事情此起彼伏,计算机病毒感染方式已从单机的被动传播变成了利用网络的主动传播,不仅带来网络的破坏,而且造成网上信息的泄漏,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。3、技术缺陷:由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。其次,网络硬件、软件产品多数依靠进口,如全球90 %的微机都装微软的Windows 操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入网络的,这方面的报道经常见诸于报端;另外,对网络安全的威胁还包括自然灾害等不可抗力因素。以上对计算机网络的安全威胁归纳起来常表现为以下特征:窃听:攻击者通过监视网络数据获得敏感信息;重传:攻击者先获得部分或全部信息,而以后将此信息发送给接受者;伪造:攻击者将伪造的信息发送给接受者;篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接受者;拒绝服务攻击:供给者通过某种方法使系统响应减慢甚至瘫痪,组织合法用户获得服务;行为否认:通讯实体否认已经发生的行为;非授权访问:没有预先经过同意,就使用网络或计算机资源;传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。（二）计算机面临的内部威胁在常见的内部安全威胁中，一些是由于工作人员不慎造成的，如操作员安全配置不当造成的安全漏洞，以及有时企业的员工会因为某些不经意的行为对企业的信息资产造成破坏而引起企业信息安全问题。另一些信息安全问题是由于被授权的人员的滥用误用造成的，一个授权的人为了金钱或某种利益，将企业信息泄露给一个非授权的人或者企业的争竞对手。而造成企业内部在信息安全问题的因素有：1、员工缺乏完备的安全意识，一些企业管理人员对信息安全的认知和管理决策水平不高。现在，信息安全虽然已经引起了企业的重视，但仍有部分中小企业认为自己的企业规模小，不会受到攻击，缺乏安全防范意识。2、缺乏一套完善的安全管理制度，更缺乏对安全制度执行的严格管理。如安全策略和政策不明确，管理松散。3、缺乏既懂技术又精通信息安全的专业人才。4、企业对信息安全领域的资金和人员投入不够。5、企业管理者对信息安全产品缺乏认识，没有根据企业的实际情况按照需求去选择企业的信息安全产品。6、安全管理人员不足，岗位权责不明确，不能有效实施和执行某些安全措施。总的来说，我国的信息安全研究起步晚，产业化投入少，力量分散，与西方的先进的技术国家存在较大的差距，而随着国家信息化的推进，对信息安全产品和系统的需求越来越大，国外高安全等级的安全产品对我国进行封锁禁售，自主的信息安全设备又不能满足国家信息化的需求。在我国，信息安全产业的发展还受到多种因素的限制，主要是全民信息安全意识薄弱，企业领导不重视，导致有效市场对信息安全产品的需求不足。不少的信息系统在建设时，只考虑如何发挥处理效能，而没有安全防范意识，不愿把更多的钱用在安全措施上。二、企业信息安全建设的意义要做好企业信息安全建设工作，应注重抓好三个方面：一是坚持组织机构制度建设；二是坚持因地制宜，采取得力措施；三是坚持以人为本，提高管理人员的素质。企业信息安全建设对企业的安全管理工作和企业的发展意义重大。首先，信息安全建设将提高员工信息安全意识，提升企业信息安全管理的水平，增强组织地与灾难性时间的能力，是企业信息化建设中的重大环节，必将大大提高信息管理工作的安全性和可靠性，使其更好的服务于企业的业务发展。其次，通过信息安全建设，可有效提高对信息安全风险的控制能力，通过等级保护、风险评估等工作接续起来，使得信息安全管理更加科学有效。最后，企业信息安全建设将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。三、企业信息安全问题的防范 （一）技术防范从2009年公安部的调查结果中我们可以看到，在网络安全产品的使用上，防火墙约占30.8%,防病毒约占28.5%，入侵检测和漏洞扫描约占18.2%，信息内容和垃圾邮件约占9.2%，安全审计约占7.4%,其他约占6.0%。新浪网. 2009年全国信息网络安全状况暨计算机病毒疫情调查表 EB/OL /voteresult.php?pid=355671、防火墙技术。防火墙技术是通过对网络拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。目前防火墙产品主要有如下几种:包过滤防火墙:通常安装在路由器上,根据网络管理员设定的访问控制清单对流经防火墙信息包的IP 源地址, IP 目标地址、封装协议(如TCP/ IP 等) 和端口号等进行筛选。代理服务器防火墙:包过滤技术可以通过对IP 地址的封锁来禁止未经授权者的访问。但是它不太适合于公司用来控制内部人员访问外界的网络。对于有这样要求的企业,可以采用代理服务器技术来加以实现。代理服务器通常由服务端程序和客户端程序两部分构成,客户端程序与中间节点( Proxy Server)连接,这样,从外部网络就只能看到代理服务器而看不到任何的内部资源。状态监视防火墙:通过检测模块(一个能够在网关上执行网络安全策略的软件引擎) 对相关数据的监测后,从中抽取部分数据(即状态信息) ,并将其动态地保存起来作为以后制定安全决策的参考。检测模块能支持多种协议和应用程序,并可容易地实现应用和服务的扩充。采用状态监视器技术后,当用户的访问到达网关操作系统之前,状态监视器要对访问请求抽取有关数据结合网络配置和安全规定进行分析,以做出接纳、拒绝鉴定或给该通信加密等的决定。一旦某个访问违反了上述安全规定,安全报警器就会拒绝该访问,并向系统管理器报告网络状态。但它的配置非常复杂,而且会降低网络信息的传输速度。2、病毒防范技术。计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。当前的杀毒软件正面临着互联网的挑战。目前,世界上每天有1350 种新病毒出现,并且60 %的病毒都是通过互联网来进行传播。张海宁. 企业信息安全与防范技术J企业家天地.下旬刊2009(2)为了能有效保护企业的信息资源,要求杀毒软件能支持所有企业可能用到的互联网协议及邮件系统,能适应并及时跟上瞬息万变的时代步伐。在这些方面,国外的一些杀毒软件如Norton、McAfee 等走在了前面。只有有效截断病毒的入口,才能避免企业及用户由于病毒的爆发而引起的经济损失。3. 加密型技术。以数据加密为基础的网络安全系统的特征是:通过对网络数据的可靠加密来保护网络系统中(包括用户数据在内) 的所有数据流,从而在不对网络环境作任何特殊要求的前提下,从根本上解决了网络安全的两大要求(即网络服务的可用性和信息的完整性) 。采用加密技术网络系统的优点在于:不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程中也不会对所经过网络路径的安全程度做出要求,从而真正实现了网络通信过程端到端的安全保障。加密技术按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络传输中,加密技术是一种效率高而又灵活的安全手段。4、 入侵检测技术。入侵检测技术主要分成两大类型:异常入侵检测:是指能够根据异常行为和使用计算机资源情况检测出来的入侵. 异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为。异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立,不同模型构成不同的检测方法。异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后做出决策判断的检测技术。误用入侵检测:是指利用已知系统和应用软件的弱点攻击模式来检测入侵。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种. 误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测. 入侵模式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在入侵的企图。5、 网络安全扫描技术。网络安全扫描技术主要包含:端口扫描技术:端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤;漏洞扫描技术:漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。除了以上介绍的几种网络安全技术之外,还有一些被广泛应用的安全技术,如身份验证、存取控制、安全协议等。 （二）管理措施在2009年对网络安全的调查数据中可得出安全管理和技术措施的比例如下图所示:图1：关于安全管理和技术措施的比例图 开展信息安全管理制度建设，提高信息系统安全管理水平。按照信息安全等级保护管理办法、信息系统安全等级保护基本要求，参照信息系统安全管理要求、信息系统安全工程管理要求等标准规范要求，建立健全并落实符合企业实际情况的安全管理制度：1、建立信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；比如建立安全响应小组，对企业安全事件进行及时的响应，分析和处理，在安全事件发生后，及时采取措施维护或恢复企业信息安全，将企业损失尽可能降到最低。2、建立人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；员工的信息安全意识的高低，是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应该加强对员工安全培训，提高他们的信息安全意识。在企业中，可以采用多种形式对员工开展信息安全教育，充分利用公司内部的舆论宣传（内部电视台、内部报刊、组织信息安全知识竞赛等），将员工的信息安全教育纳入绩效考校体系。只有多种措施综合配合，才能提高信息安全的效果，最终达到支持企业运营、降低信息泄露风险的目的。3、建立系统建设管理制度，明确信息安全管理方案、产品采购使用、授权管理机制密码使用、软件开发、安全服务等管理内容；例如：每个企业都有自己的特点，在选择信息安全技术产品时不能搞“一刀切”，必须立足企业本身的实际情况，选择适合企业的信息安全产品。4、建立系统运维管理制度，明确环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、事件处置、应急预案等管理内容。5、建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。四、结论综上所述，保证企业信息安全必须立足于信息安全技术和企业内部安全管理这两个基础，以安全技术为支撑，加强企业内部管理，对企业信息安全进行实时管理与监控；同时加强信息安全教育，提高信息安全意识，开展信息安全管理制度建设，提高信息系统安全管理水平。一旦发生信息安全问题，以便能提供全方位的、综合的解决方案，达到维护企业信息的安全目的。五、参考文献1姜爱晓.企业信息安全威胁与层次性解决方案J.工业技术经济，2009（7）. 2刘凯、张铭锐、张毅.企业信息安全问题分析J.中国商界(上月),2009(05).3张伟军 信息安全的挑战与对策.信息安全与通信保密2007(6)4 潘爱武浅议企业网络信息安全威胁与防范J科教文汇，2006(8)5 雷超企业信息网络系统安全平台的构建及探讨J中国勘察设计，2005(9)6 温增勇浅谈企业信息网