专科论文电子档 070704040033陈飞现代企业信息安全管理面临的问题7.docx

1、专科论文电子档 070704040033 陈飞 现代企业信息安全管理面临的问题7湖南公安高等专科学校学生毕业论文(设计)题目现代企业信息安全管理面临的问题及对策研究姓名陈飞学号070704040033所属系部计算机科学技术系专业信息安全技术指导教师杨卫平完成时间2009年 12月 8 日湖南公安高等专科学校学生毕业论文(设计)开题报告书题目现代企业信息安全管理面临的问题及对策研究姓名陈飞学号070704040033所属系部计算机科学技术系专业信息安全技术指导教师杨卫平论文(设计)题目现代企业信息安全管理面临的问题及对策研究课题的根据：1）说明本题目的理论、实际意义 2）综述国内外有关本课题的研

2、究动态和自己的见解 1)企业信息化已被推广应用，更好的为企业建设以及电子商务的发展，它可以使网上虚拟项目团队共享企业范围的项目管理软件，从而可以对项目进行更协作、更熟练的管理，也更容易实现项目目标和组织目标。因此，企业的信息安全问题也随之出现。企业信息安全管理涉及面广、信息量大，信息非常复杂和密集。因此，研究和开发适应我国国情和面向不同行业特点的企业安全信息管理与安全性评价计算机辅助系统，具有重要意义。2)通过对中外企业信息安全管理的比较,试分析我国在这方面的不足并借鉴国外的新技术来弥补缺陷，从而使我国企业更快、更健康的发展，取得突出的成就。课题的主要内容:本论文充分叙述了现代企业信息安全管理

3、的各种问题以及针对各种问题所提出的相应的对策,就中外现代企业信息安全管理进行对照比较研究,找出我国现代企业信息安全管理方面存在的不足,结合我国的实际情况给出我个人的一些建议与方案。1.现代企业信息安全管理面临的问题。2.研究国内外现代企业信息安全管理的动态。3.针对性的对现代企业信息安全管理面临的问题提出解决方法。4.通过对中外现代企业信息安全管理的分析,借鉴国外先进的现代企业信息安全管理的研究,提出自己的意见。研究方法： 1、请教指导老师 2、查阅借鉴相关网站和书籍 3、理论联系实践完成期限和采取的主要措施：完成期限一个月， 分四个阶段：09年11月11日：查找分析相关资料09年11月15日

4、：提交毕业设计开题报告书09年11月25日：确定总体设计方案 09年12月10日：整理资料，提交论文主要参考资料：1Christopher.信息安全管理M.北京：清华大学出版社，20052李成大.计算机信息安全M.北京：北京邮电出版社，2004 3张红旗.信息网络安全M.北京：清华大学出版社，20024张耀祖.网络安全技术M.北京：北京大学出版社,20095陈忠文.信息安全与法律法规M.武汉：武汉大学出版社，2009指导教师意见：签名： 年 月 日湖南公安高等专科学校毕业论文(设计)成绩评定表指导教师评审意见评语：论文（设计）成绩评定等级：指导教师（签名）： 年 月 日系评审组复评意见评语：论

5、文（设计）成绩最终评定等级：评审组组长（签名）： 年 月 日目 录摘 要 1关键词 第1章 导论 21.1 信息安全概述 21.2 信息安全管理概述 21.3 信息安全的必要性 21.4 信息安全管理的重要性 3第2章 企业信息化 42.1 企业信息化的现状 42.2 企业信息化的特点 42.3 企业信息化建设中的信息安全形势 5第3章 企业信息安全管理中存在的问题 73.1 海量安全事件的分析 73.2 存在孤立的安全信息 73.3 安全知识孤岛 73.4 响应缺乏保障 73.5安全策略缺乏管理 73.6 运维习惯冲突 7第4章 对策与建议 84.1网络管理 84.2 客户端管理 84.3服

6、务器管理 84.4 数据备份与数据加密 84.5病毒防治 9第5章 结束语 11参考文献 12致 谢 13摘 要 随着企业信息化建设和应用高潮的到来，信息安全问题已日益突出，在现代企业网络安全建设体系中，投入了大量的人力和物力建立自己的安全体系，但由于没有一个完善和到位的安全管理策略，安全问题还是不能够有效解决，而采用先进的安全技术产品也不能发挥有效的作用。本文主要从企业信息化、针对企业信息安全管理，深入分析企业信息安全管理所面临的问题，及对于这些问题的对策研究。关键词：现代企业信息安全；信息安全管理；企业信息化；企业信息安全管理第1章 导论1.1 信息安全概述 网络技术的发展加速了信息的传输

7、和处理，缩短了人们之间的时空距离，方便了交流；同时对信息安全提出了新的挑战。据统计，全球平均20秒就发生一次计算机病毒入侵；互联网上的防火墙大约25%被攻破；窃取商业信息的事件平均以每月260%的速度增加；约70%的网络主管报告了因机密信息泄露而受损失。 信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。国际标准化组织(ISO)定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。1.2 信息安全管理概述 信息安全管理是通

8、过维护信息的机密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制。信息安全管理一般包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作，通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等十个领域内建立管理控制措施，来为组织建立起一张完备的信息安全“保护网”，来保证组织信息资产的安全与业务的连续性。总之，信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全“

9、滴水不漏”。 1.3 信息安全的必要性伴随着当前信息化、社会化的发展,信息已经成为一项重要的经营资源。由于电子化、网络化的发展, 人们可以将大量的数据简单地通过网络发送, 或者将大量的数据保在一枚存储卡上, 携带出去。与此相对应, 窃取信息的诱因也增大, 由于过失而导致信息泄露的可能性也增加了。同时, 随着人才的流动不断发展, 公司的员工, 因各种原因常会流动到其它竞争对手企业中去工作。另外, 企业业务一体化的不断发展, 对外派遣员工成了企业常见的现象, 与各种各样的人共享信息以及和他们在同一场所工作的情况增加, 从而可能发生各种信息资产的对外泄露, 导致公司的商业信用丧失, 大批客户流失,

10、无疑这对企业经营会造成重大的影响( 参见图1) 。因此, 不管是外在因素还是内在因素,都增加了企业信息资产外流的风险, 所以加强企业信息安全管理是必要的, 迫在眉睫。失去客户丧失信用图1.1 信息安全的必要性1.4 信息安全管理的重要性 信息时代组织的正常运作离不开信息安全，组织商业机密的泄露会使组织失去核心竞争力，失去市场，失去客户；组织信息系统的故障会造成组织业务的中断，会造成资产与声誉的损失，因此组织要保持可持续发展，信息安全是重要保证之一。 人们日常生活也与信息安全息息相关，在信息化时代，个人信息以各种方式保存在银行、医院、保险公司、网络服务商的数据库，这些信息如果被非法利用，就会造成

11、对个人隐私、个人资产、个人名誉造成损害。 信息安全管理是保护国家、组织、个人等各个层面上信息安全的重要基础。在一个有效的信息安全管理体系之上，通过完善信息安全治理结构，综合应用信息安全管理策略和信息安全技术产品，才有可能建立起一个真正意义上的信息安全防护体系。 随着信息化的发展，越来越多的企业信息被放置于企业的内外部网络环境中。如何保护企业机密，保障企业信息安全，也被越来越多的企业摆上了议事日程。虽然企业对于信息安全建设相当重视，但是信息安全问题并非仅仅重视就能解决的，它还需要相应的技术和手段。第2章 企业信息化企业信息化是指企业利用现代信息技术，通过对信息资源的深化开发和广泛的利用，不断提高

12、生产、经营、管理、决策的效率和水平，进而提高企业经济效益和企业竞争力的过程。2.1 企业信息化的现状我国企业信息化建设已有20多年的历史，并取得了一定成效。但总的来看，与西方主要发达国家相比，我国企业信息化规模、层次和总体水平都还存在很大差距。从总体上看，存在地区不平衡，还较多停留在表面应用层次上，没有深入到企业的运行、管理各个环节。目前在国内企业中，信息化普及率还处于较初级的阶段。计世资讯于近期对全生25个省市的百余家大型企业信息化建设现状和发展趋势进行了深入的调查研究。结果显示，我国大型企业信息化建设水平相对较高，92. 5%建设了企业内部网；76.3%建设了财务管理软件；73.8%建设了

13、企业外部网站；36.5%建设了ERP（企业资源规划）系统；28.8%建设了客服中心系统。但是，据对国家重点企业的调查，信息化建设投资仅占企业总资产的0.3%，与发达国家大企业信息化投入占总资产8%的水平相距甚远。中小型企业信息化建设水平相对更低。调查显示，占我国工商企业总数99%的中小企业，有近一半的企业还没有配备计算机，实现计算机辅助设计系统、办公自动化的系统、信息管理的系统、ERP系统等的企业更少。虽然目前国内很多企业都配了电脑、联了网，但作为当前信息化发展最具特色的企业内部Intranet 的建设状况却不尽如人意，大多企业还停留在办公自动化的水平上。在如何实现企业信息化方面，大部分企业的

14、理解还很初级。2.2 企业信息化的特点国务院信息化推广办公室赵小凡司长在2007年1月及2007年9月20日的讲话中指出，我国中小企业信息化的状况很不理想。企业信息化的特点如下：2.2.1半数企业对信息化效果满意对于信息化总体的满意情况，56.8%的企业认为很满意或比较满意，认为一般的占38.6%。企业在已经采用的各项信息化应用中，对财务管理的满意度最高，很满意的企业超过50%，对其余的应用满意度均一般，对网站的不满意度略高。通过多角度统计分析发现，企业对信息化的满意度与信息化水平没有明显关系，与企业规模也没有明显关系。这一点也说明，企业追求的是合适的信息化水平和方案，而不是也没必要盲目追求先

15、进。2.2.2信息化措施从企业采取的信息化措施来看，67%的企业具有专职信息化人员，54.5% 的企业具有局域网，这组数据比以往资料统计数据有明显进步，说明中小企业对信息化的重视程度提高。2.2.3信息化应用企业信息化应用主要在财务管理、销售管理和办公的自动化方面，中小企业在生产、采购、人事、库存等领域的应用不多。近半数的企业建有网站，主要用于发布信息，收集客户的信息，网站应用层次不高。中小企业信息化的应用范围明显小于大企业。国家社科院2005 年对全国中小企业信息化状况的统计显示，国内近63%的中小企业未建立自己的网站，利用互联网进行交易的中小企业仅占企业总数的11.11% ；85%的企业对

16、网站的应用局限于宣传企业形象和信息查询。本次调查的数据表明中小企业信息化发展有所进步。2.2.4信息化需求 在信息化需求方面，企业将提高领导决策水平、加强管理控制和监督、提高生产运营效率等方面作为重要选择，认为减少人员、提高绩效考核水平等项目不太重要。依经验判断，中小企业与大企业对信息化的需求是不同的。企业希望利用网站来进行售后服务、收集客户信息与网上销售。多数企业认为，最适合自身信息化的开发方式是委托开发，租用IT提供商服务的方式最不适合。2.3 企业信息化建设中的信息安全形势在 2006 年中国计算机网络安全应急年会上，国家计算机网络应急技术处理协调中心(简称CNCERT/ CC)发布了“

17、2005年全国网络安全状况调查报告”，此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国数千个企业的网络安全状况进行的，该报告显示，CNCERT/ CC 在 2005年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12万件，同2004年全年收到6万多件报告的相比，网络安全事件报告数量大大增加。此外，根据信息周刊英文版与管理咨询机构埃森哲咨询公司(Accenture)合作进行的“2005 年中国企业信息安全调查”(该调查通过网络在线进行，对700名我国企业的商业科技和安全专业人员进行了调查) 结果显示：对于信息安全问题，我国的受访者们都表示出担心，接近半数(46 %)

18、的人认为，他们的公司要比上一年更容易受到病毒代码的攻击，遭受更多安全攻击。在这些受访者当中，系统复杂程度( 55% )、用户意识( 53%)和预算限制(30 %)是他们面临的最大挑战。有51 % 的我国企业2005 年的信息安全投入等于或低于10 万美元，只有18 % 的受访者表示，公司采用了防间谍的软件，其他的用来保护信息系统的工具包括基本用户密码(82%)、网络防火墙(67%) 、VPN (44 %)和安全套接层(SSL)协议(46%)。我国企业面临的信息安全形势不容乐观，一方面企业面临信息安全威胁在迅速增加，而另一方面，信息安全投入严重不足，用户安全意识和安全防护技术水平的提升还有很大空

19、间，虽然信息安全问题是全球性的难题，但和发达国家的企业相比，我国企业信息安全问题的解决手段和能力应该说还存在相当差距。随着信息技术和网络技术的发展,企业进入了网络时代 企业在享受信息化带来的众多好处的同时, 也面临着日益突出的信息网络安全问题网络安全直接影响着企业的发展和经济利益 能否建立完善的网络安全管理体系是从根本上解决网络安全问题的关键。2.3.1 安全管理执行机构为了网络安全, 要健全安全管理执行机构,成立领导和专家小组,组建安全管理小组和安全应急响应小组各组成员应包括领导,专家,安全技术顾问,系统管理员,计算机网络设备维护人员,网站信息录入人员,软硬件供应厂商s, 等 安全管理小组负

20、责制定,实施,评估具体的安全解决方案和安全管理制度 安全应急小组主要由具体负责安全的工程师组成, 一旦发生安全事故,该小组将快速反应,应急处理,消除安全隐患。2.3.2安全管理制度解决网络与信息安全问题, 仅从技术方面入手是不够的, 还应加强网络信息安全的管理工作, 制定完善的计算机安全管理条例是网络安全的重要组成部分, 通过管理制度的严格施可以防止人为泄密,内部黑客,病毒传播,从而提高职工的安全意识 信息安全管理应从信息安全管理制度入手,加强内部人员管理和相关文档,文件的管理安全管理制度主要包括: 人事安全管理制度、操作安全管理制度、场地与设施安全管理制度、设备安全管理制度、网络安全管理制度

21、、操作系统、数据库安全管理制度、数据备份安全管理制度、应用软件安全管理制度、技术文档安全管理制度、 资料安全管理制度、口令安全管理制度、应急安全管理制度人员管理是信息安全管理的核心,应对所有有关内部工作人员进行网络安全知识的基础培训,严格按照应用需求对人员进行安全等级划分,同时指定专人负责网络安全管理 安全管理人员有变动时,进行相应的密码更改 对在实际应用过程中出现的各种信息安全事件和安全状况进行严格记录,利用网络管理软件对各种重要网络行为,各种涉及系统重要配置的更改进行审核并计入日志 经验告诉我们,网络安全往往从后方(内部用户)被攻克的比较多这些不是技术,也不是产品,而恰恰是企业制定的规定.

22、第3章 企业信息安全管理中存在的问题3.1 海量安全事件的分析 企业信息系统中来源于防火墙、入侵检测、漏洞扫描、防病毒等安全设备的事件随着互联网攻击行为和蠕虫的泛滥，在一个中等规模的网络上就可以形成海量安全事件，这些事件中又存在非常多的误报和重复现象，在进行事件分析时，由于只考虑事件本身的严重程度，没有和实际的业务和资产情况结合，使得一些潜在的威胁往往被忽略，特别是安全系统，例如安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息使得管理员疲于应付，容易忽略一些重要但是数量较少的告警，海量安全事件是现代企业安全管理和审计面临的主要挑战之一。3.2 存在孤立的安全信息 相对独立的IT设备产生了相

23、对孤立的安全信息，企业缺乏智能的关联分析方法，分析多个安全信息之间的联系，揭示安全信息的本质，例如什么样的安全事件是真正的安全事件，它是否真正影响到业务系统的运行等。3.3 安全知识孤岛 许多前沿的安全技术往往只由企业内部少数人员了解，他们缺少一个途径将这些知识共享出来以提高企业整体的安全水平。同时由于目前只有少量的安全管理人员，凭借有限的人力投入根本无法及时有效的分析实时的安全告警，使得这些重要程度完全不同的安全提示都同样淹没在海量的日志与告警信息中，无法得到有效的分析与及时的处理。3.4 响应缺乏保障 安全问题和隐患被发掘出来，但是缺少一个良好的机制去保证相应的安全措施得到良好的执行。至今

24、困扰许多企业的安全问题之一弱口令就是响应缺乏保障的结果。3.5安全策略缺乏管理 随着安全知识水平的提高、安全产品的部署和安全技术手段的采用，企业在自身发展过程中往往制定了大量的安全制度和规定，已经形成了比较完整的安全策略的体系，但是数量的庞大并不能代表安全策略的完善，反而安全策略版本的混乱、内容的重复和片面、关键制度的缺失等等问题在企业中不同程度的存在，同时由于缺乏有效的执行监督流程和反馈机制而使现有的安全策略体系的效果大打折扣。3.6 运维习惯冲突 以往的运维工作都是基于资产的运维，但是安全却是基于安全事件的运维。企业每出现一个安全问题需要进行一次大范围的维护，比如出现病毒问题。这使得安全的

25、运维工作不同于以往运维工作习惯，造成运维工作效率低下，并且难以规划。第4章 对策与建议4.1网络管理一般企业网与互联网物理隔离，因而与互联网相比，其安全性较高，但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题，具体而言：(1) 在IP资源管理方面，采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。 (2)在网络流量监测方面，可使用网络监测软件对网络传输数据协议类型进行分类统计，查看数据、视频、语音的等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向。4.2 客户端管理对大多数单位的网管来说，客户端的管理都是他们最头痛的问

26、题。只有得力的措施才能解决这个问题，这里推荐以下方法：(1) 将客户端都加入到域中，这一点很重要。因为只有这样，客户端才能纳入管理员集中管理的范围。 (2) 只给用户以普通域用户的身份登录到域，因为普通域用户不属于本地Administrators和Power Users组，这样就可以限制他们在本地计算机上安装大多数软件。(3) 实现客户端操作系统补丁程序的自动安装。 (4) 实现客户端防病毒软件的自动更新。 (5) 利用SMS对客户端进行不定期监控，发现不正常情况及时处理。4.3服务器管理常见应用服务器安装的操作系统多为Windows系列，服务器的管理包括服务器安全审核、组策略实施、服务器的备

27、份策略。服务器安全审核是网管的日常工作项目之一，审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等，审核的对象可以是DC、Exchange Server、SQL Server、IIS等。在组策略实施时，如果想使用软件限制策略，即哪些客户不能使用哪个软件，则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件备份拟利用现有的专用备份程序，制定一个合理的备份策略。4.4 数据备份与数据加密由于应用系统的加入，各种数据库日趋增长，如何确保数据在发生故障或灾难性事件情况下不丢失，是当前面临的一个难题。这里有四种解决方法:表4.4

28、 数据备份与数据加密四种解决方法第一种方案用磁带机或硬盘进行数据备份。第二种方案采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案采用双机容错方式，两台机器系统相互备份，应用层数据全部放在共享的磁盘阵列柜中。第四种方案采用NAS或SAN来实现各服务器的集中区域存储，实现较高级别的磁盘等硬件故障的数据备份。4.5病毒防治对防病毒软件的要求是：能支持多种平台，至少是在Windows系列操作系统上都能运行；能提供中心管理工具，对各类服务器和工作站统一管理和控制；在软件安装、病毒代码升级等方面，可通过服务器直接进行分发，尽可能减少客户端维护工作量；病毒代码的升级要迅速有效。以下针对电力企

29、业的信息安全管理与防范措施：目前电力企业信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，生产、传输、配供等关键环节已部分实施了信息化，企业信息化的深度已触及到用电营业厅和变电所。电力企业在信息化建设过程中，由于其系统庞大，部门关系复杂，在网络结构与软件的实现方面有着明显的特征，主要集中三个方面： (1) 常规的MIS 系统（包含过程控制的生产MIS 系统）与实时控制系统边界不清。 (2) 普通操作人员计算机应用水平较低，一般仅能够操作某个应用系统。 (3) 信息系统关系繁杂，子系统间相互关联。 根据电力企业信息系统的结构及各类业务的实际应用，采用以下具体措施以达到企业信息网

30、络及系统的安全： (1) 在信息网络中按照各种业务安全等级的不同划分VPN，充分作到信息传输的安全隔离。 (2) 配备防火墙系统以实现公司与外部网络之间及不同安全等级业务之间的连接的访问控制。 (3) 作为防火墙的补充，须在内部关键业务网段配备入侵检测系统，在各关键业务的边界布置IDS（入侵检测系统）探头以防备来自内部的攻击及外部通过防火墙的攻击。 (4) 配备安全评估系统，定期对电力网络系统进行扫描，主动发现安全漏洞，及时修补。 (5) 关闭不用的服务、给系统打补丁、重要主机单独设立网段、定期检查系统日志文件，在备份设备上及时备份、定期检查关键配置文件、重要用户的口令应该定期修改，不同主机使

31、用不同的口令。 (6) 配备灾难恢复系统，防止意外的发生。对一些重要的实时应用系统在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。第5章 结束语从目前的整体发展水平来看，我国的企业信息化同国外发达地区相比存在诸多不足。中国信息安全方面的发展和需求虽然才起步，发展的速度却很快。但国内企业在企业安全建设上存在着许多误区，比如有很多企业以为贵的防火墙、杀毒软件或者其他安全产品就是好的，于是就买来使用，其实贵的产品并不一定适合每个企业。比起国外的企业信息安全管理，我国在这发面的重视程度还不够。因此，借鉴国外企业安全管理先进经验的基础上，应用系统工程学、管理学、人类工效学、人力资源管理等理论，对企业实施全面的、系统化安全管理进行了实践和应用研究。从而使我国企业能快速的发展，增强我国的综合国力。在本次学习中，因为时间紧，加之本身对这方面的知识的不熟悉，论文必定有考虑不周的地方，恳请老师批评指正。 参考文献