【网络环境下的企业信息安全问题探究9400字（论文）】

目录第1章前言进入21世纪以来，以Internet为代表的信息网络技术已经广泛应用于社会各个领域，信息全球化已经成为社会发展的必然趋势，信息安全的内涵也就发生了根本性的变化，它不仅仅从一般性的防卫变成了一种非常普遍的防范，还从一种专门的领域扩展成无处不在。尤其计算机技术和网络技术高速发展的同时，对整个社会的科学技术、经济与文化带来巨大的推动和冲击，尤其近十几年来计算机网络在企业信息安全各方面应用深入已经成为企业信息不可或缺的部分，但同时也给我们带来许多挑战。随着企业信息化水平的逐步提高，随之而来的信息安全问题也越来越突出，网络安全与否，直接关系到企业能否正常进行运转，并且随着网络规模的不断扩大，企业信息安全事故的数量以及其造成的损失也在成倍地增长，病毒、黑客、网络犯罪等给我们的信息安全带来很大威胁，网络环境下的企业信息安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，如果不进行有效的安全防护，网络信息系统将会受到具有破坏性的攻击和危害，一旦企业网络遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因此信息网络安全是一个综合的系统工程，需要我们做长期的探索和规划。这样我们的企业才能长远发展。第4章网络环境下企业信息安全策略设计第2章企业信息安全概述2.1企业信息安全的等级与特征企业信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。企业信息安全防护体系的构建需要大量的人力、物力和财力，并且对企业信息安全系统的运行性能造成影响。因此，对企业信息安全性能的要求没有限度，必须以安全威胁的风险系数为依据，保证适宜的防护等级，确保企业信息系统的运行效率和质量。不同等级的企业信息安全系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。2.2企业信息安全的重要性企业要保持健康可持续性发展，信息安全是基本的保证之一。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生，信息安全问题逐渐被重视，信息安全建设成了企业首要任务，所以，在不久的将来，信息安全将更多的被企业所关注，会有更多的企业加入到安全行列中来的，这也是企业生存和发展的关键步骤之一。随着企业信息化水平的逐步提高，随之而来的信息安全问题也越来越突出，网络安全与否，直接关系到企业能否正常进行运转，并且随着网络规模的不断扩大，企业信息安全事故的数量以及其造成的损失也在成倍地增长，病毒、黑客、网络犯罪等给我们的信息安全带来很大威胁，网络环境下的企业信息安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，如果不进行有效的安全防护，网络信息系统将会受到具有破坏性的攻击和危害，一旦企业网络遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因此信息网络安全是一个综合的系统工程，需要我们做长期的探索和规划。这样我们的企业才能长远发展。第3章网络环境下企业信息安全问题分析3.1网络信息安全涉及的技术3.1.1防火墙技术所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统，其实是一种隔离技术，“防火墙”一方面阻止外界对内部网络资源的非法访问，另一方面也可以防止系统内部对外部系统的不安全访问。防火墙作为内部网络安全的一道屏障，目的是用来保护内部网络资源，强化内部网络安全策略，防止内部信息泄露和外部入侵，同时也可以通过网络地址转换功能以缓解地址源紧张问题，以实现防火墙对网络进行集中安全的管理，实现防火墙的主要技术有：数据包过滤、应用级网关、代理服务和地址转换。防火墙也可以对Internet使用状况进行登记查询并对Internet连入代价和潜在带宽瓶颈进行确认。防火墙还可以配置WWW和FTP服务，以方便相应用户对此类服务进行访问，也可以保护和禁止相关网络系统的访问；防火墙还具有审计功能。只要计算机中有足够的磁盘空间或是记录功能，其就能将经过防火墙的网络流记录在其中，一旦有危险信息出现的时候，防火墙也能将相关信息反映给防火墙管理人员，以便管理人员能及时解决相应问题，保证网络安全。3.1.2数据加密技术数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法，它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息安全的作用。数据加密技术是网络安全技术的基石，按照加密算法分类，加密技术有两种。第一种是对称加密技术，采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥和解密密钥使用同一个密钥，即同一个算法，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准(DES)，另一个对称密钥加密系统是国际数据加密算法(IDEA)，它比DES的加密性好，而且对计算机功能要求也没有那么高。第二种是非对称加密技术，1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。而最著名的非对称加密算法莫过于RSA加密算法，与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥(publickey)和私有密钥(privatekey)，公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密，因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。3.1.3数字签名数字签名是以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。数字签名可以用来证明消息是由发送者签发的，而且，当数字签名用于存储数据或程序时，可以用来验证数据或程序的完整性。与普通手写签名一样，数字签名可以用来验证信息的真实性。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性，因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名，采用数字签名，能够确认以下两点：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件，所以企业运用数字签名可以保证企业信息安全，也可以保护企业相关利益。3.1.4数字证书数字证书相对于网上身份证，以数字签名通过第三方权威认证有限进行网上身份认证，具有真实性功能，数字证书安全、保密、防篡改，可以对企业信息安全有效的保护。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。数字签名与数字证书通常紧密相关，二者相结合使用保护企业信息在传输使用的过程这不会遭受攻击，可以有效的保证企业信息的安全。3.1.5病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒程序可以通过文件下载、电子邮件、使用盗版光盘或软盘、通过Web游览传播（主要是恶意的Java控件网站）、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。3.2影响企业信息安全的因素3.2.1网络病毒计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有有破坏性，复制性和传染性的特点。计算机病毒的主要传播方式就是网络传播，也是危害计算机网络安全的主要问题，一旦病毒爆发，轻则降低速度，影响工作效率，重则使网络堵塞，破坏服务器信息，甚至造成网络瘫痪，造成不可估量的损失。在互联网安全问题中,网络病毒发生的频率高,影响的面积广,并且造成的破坏和损失也列在所有安全威胁之首。而目前企业遇到的最大的安全隐患便是病毒（包括木马病毒和后门病毒）和流氓软件，例如今年上半年河北大约有100万台电脑遭受病毒感染和攻击，而且入侵、攻击和欺骗手段花样翻新，给河北的企业用户造成巨大的威胁。3.2.2“黑客”入侵黑客被定义为专指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。黑客利用计算机网络存在的漏洞，盗取或篡改个人用户的资料、窥探个人隐私，窃取企业的商业机密，还有部分黑客侵入国家网络安全系统，造成国家财产的损失或危害社会公共安全。黑客就像是一个计算机数据信息的窃贼，他们以编写计算机病毒、制造网络攻击、侵入局域网系统或网站后台为业，其技术水平往往与网络科技更新同步，甚至超前，是当今世界网络威胁的最大制造者。黑客一般采取信息轰炸、获取密码、PING炸弹、攻破防火墙等方式，轻则造成数据被篡改，严重会造成网络系统瘫痪或服务器拒绝服务。据中国互联网络信息中心发布的报告，09上半年，有1亿1千万中国网民遇到过账号或密码被盗的问题，而这些问题都与黑客有关，现在，让人担忧的是，企业信息化发展趋势之下，掌握类似技术的黑客正在互联网上一个个所谓的“黑客培训学校”被成批复制，基于此网络环境下的企业信息安全问题让人越来越担忧，不得不重视黑客问题。3.2.3计算机网络协议存在的安全问题计算机网络协议是有关计算机网络通信的一整套规则，或者说是为完成计算机网络通信而制订的规则、约定和标准。Internet中的关键协议是TCP／IP协议，即网络通讯协议。而这一协议当初制定是出于资源共享的目的，而没有考虑安全方面的问题，致使Internet自身存在脆弱性，也容易遭受攻击。例如出现DOS、DDOS攻击，SYN-Flood攻击、ICMP攻击、源路由攻击、截取连接攻击、以及IP地址被盗用等问题。随着信息时代的来临，企业信息资源共享应当成为一种必须，它不仅有利于企业在激烈的市场竞争中获得优势，也将极大地促进社会信息资源的优化配置，商业机密作为企业另一种形式的信息资源，是企业生存与发展的核心技术，而现实中企业信息资源共享与商业机密有时会产生矛盾。在资源共享时计算机网络协议会危及企业信息安全，不容忽视。3.2.4数据丢失计算机系统由于系统崩溃、硬件设备的故障或损坏、网络黑客入侵、计算机病毒发作以及管理员的误操作等各种原因会导致数据出错、丢失和损害，如果没有事先对数据进行备份，后果不堪设想。信息安全,核心就是数据安全。虚拟的数据,其实存储着人们真实的财富，而在日常的应用中,我们的数据会因各种各样的原因丢失,束手无策的情况时有发生。事实上，企业遭遇数据丢失并不是新鲜事，据效率源（全球数据恢复设备研发知名企业）数据恢复专家介绍，从该公司分布在北京、上海、浙江、河南、内蒙、广东等地的几十家数据恢复连锁服务中心统计的数据来看，平均每个中心每天都会接手1-5个来自企业的数据丢失案例，且大多都是因为电脑使用年限过长，硬盘硬件老化导致信息安全问题。第4章网络环境下企业信息安全策略设计4.1技术手段4.1.1计算机防毒和杀毒鉴于计算机病毒会对网络安全产生极大的危害，因此要在计算机上安装杀毒软件。在安装杀毒软件都要定时的进行系统安全扫描消除安全隐患，同时要定期的对杀毒软件和病毒库进行升级、更新。例如常用的360安全卫士，瑞星杀毒软件等。由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，所以计算机病毒的防范是网络安全性建设中重要的一环。病毒是信息安全的杀手，从病毒发作的情况来看，病毒的攻击目标没有特定性，而且越来越隐蔽。从个人网站到企业网络，无不受其所害，曾经有网络公司的防火墙被不明身份的黑客攻破了，牵扯到大量的用户信息被泄露，造成巨大损失。面对各式各样不断展演变中的病毒，企业对信息系统的日常维护和管理就显得尤为重要。企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁，还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统，加强入侵检测和补丁管理，对企业遭受到的病毒攻击进行集中分析，掌握企业计算机系统中存在的安全隐患，采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作，确保网络内所有服务器和终端计算机都安装防病毒软件，将杀病毒软件设置成为自动升级状态，及时更新病毒特征码和系统补丁，防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁，保证企业信息系统的正常运行。4.1.2安装补丁程序目前广泛应用的操作系统软件都存在系统漏洞，比如WindowsXP，Vista，Windows7系统中都存在漏洞，需要在其官网下载安装补丁程序，能够有效防止黑客攻击，以实现计算机网络系统的安全运行。安全漏洞是任何一种计算机软件都存在着的安全隐患，都要不断通过软件更新及安装软件安全补丁来完善。任何企业都不希望自己企业的信息系统因为安全漏洞而受到攻击或者非授权的操作，所以管理及使用人员要不断的下载安全补丁来完善企业信息系统。软件安全补丁的来源，验证安全性、可靠性、检测其完整性，每一步都非常重要，应该认真对待，及时检查系统更新后出现的情况，这样才能使企业信息安全得到保证，不让不法分子有机可图，使企业信息得到高效运转。安装软件安全补丁是目前计算机用户面临的最重要的工作之一。计算机用户现在面对的是大量的安全漏洞，这些漏洞不但给计算机用户带来诸多不便，而且给黑客造成可乘之机，给企业系统信息安全造成极大的威胁，为了更好的防范非授权的访问，保护网络和企业信息安全必须及时下载安全补丁，来保证IT环境安全，使企业系统处于高效和最新工作状态。4.1.3做好重要资料管理当服务器或者硬盘发生故障时，重要的企业数据会受到严重威胁，但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展，专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题，企业在购买安装和配置服务器时，通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上，然后将其放置在不同的地方，避免同时受损害或者丢失，最大限度的保障企业信息安全和数据的完整性。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。4.1.4防火墙技术防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信，在很大程度上保护了网络的安全性。4.2管理手段4.2.1提高安全防范意识结合近年来多发的危害网络安全事件，很大程度上是由于网络使用者安全意识不强有关。为了保障计算机网络系统的安全需要提高网络使用者的安全意识和网络安全技术水平，规范网络使用者的操作行为，避免出现人为因素造成的网络安全问题。营造企业安全文化，最终目的就是让这个企业的全体员工具备对灾害事故及其风险的安全知识、防范意识和行动准则。这就要求企业必须不断地提高员工的安全文化素质。具体来说，就是增强员工预防事故意识，纠正对事故认识上的偏差，用安全文化去影响和教育员工。当突遇自然灾害时，员工能理智地支配自己的行动，有效地进行处置和抢救，把灾害造成的损失降到最低,只有这样，才能保障企业的长足发展和经济效益的提高。当然，员工安全素质的提高不是一朝一夕的事情，需要不断学习，行之有效地组织员工进行安全培训和安全演练，建立健全安全工作责任制，定期进行安全检查，落实制度执行情况，在浓厚的安全文化氛围中逐步养成、逐步提高员工的安全生产意识和自我防范能力。4.2.2健全有效的信息安全管理制度首先要做好员工的培训的管理。信息只是一种编码形式，人才是信息的操作者，每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识，企业要加强对公司员工的系统培训，从计算机基本知识到信息安全防范的具体方法都要进行细致讲解，针对一些员工在日常使用计算机过程中不规范行为进行及时矫正，针对一些年纪较大的、对计算机不是十分熟悉的老员工，企业网络技术人员要现场演示操作，让员工养成良好的使用习惯。同时要选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理，负责对部门电脑病毒库的升级、电脑的内部清理等工作，确保企业信息安全。还要加强系统运行环境和维护管理，要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理，确保其可靠、正常的运行。严禁非系统管理人员随意进入机房，严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。结论结论信息是社会发展的重要战略资源,也是衡量一个企业乃至国家的重要参数。在信息时代的今天,人们对信息的依赖越来越高,因此信息安全就尤为地重要。网络环境下，企业在大力推进信息化建设、提升企业核心竞争力的同时，必须强化信息安全意识，认识到网络环境下企业信息可能遭到的安全隐患，从多方面进行有效管理以及合理运用技术、管理、制度和法律等进行全方位的考虑，建立一个综合性的防御安全体系，最大限度地降低企业信息有可能遭受的安全隐患，使得计算机技术在企业信息管理和运用中更好地发挥应有作用。信息安全管理体系的构建不是一劳永逸而是不断改进的，对于现代企业而言，信息技术的发展给企业信息安全带来巨大隐患，企业的信息安全也越来越受到信息安全部门和企业管理者的重视。信息安全工作是一个全方位的系统工程，每个企业面临的信息安全环境不同，企业应该结合自己实际情况，从思想上、技术上、管理上多管齐下，采取有