公 司 信 息 安 全 管 理 对 策.docx

1、公 司 信 息 安 全 管 理 对 策南京大学网络教育学院本 科 生 毕 业 论 文论文题目. *公司 信 息 安 全 管 理 对 策 学生姓名. * 学科、专业名称. 信 息 管 理 与 信 息 系 统 策 指导教师. * 二 0 一0 年 十一 月摘 要目前，大多数企业已经建立了24小时不间断运行的网络运行系统，信息安全管理无法从根本上解决问题发生后的故障。而对于大型企业的下属分支机构，每天都会产生大量业务保密数据，这些数据需要及时地被传递到企业总部的数据交换中心，由于企业的下属机构信息安全管理的难度很大，会给信息传输系统带来了极大的不安全因素，在这样的情况下，如何构架安全的网络，有效保护

2、企业信息资源，是很多企业普遍关注的共性问题。AbstractCurrently, most companies have established a network running 24 hours a day running system, information security management can not fundamentally solve the problem after the failure. For large enterprises under the branches, every day will have a lot of business confide

3、ntial data that need to be passed in time to the corporate headquarters of the data exchange center, a subsidiary body of the enterprise information security management is very difficult to give information transmission system has brought great insecurity, in such circumstances, how secure network a

4、rchitecture, the effective protection of enterprise information resources, many common business problems of common concern.*公司信息安全管理对策1 绪论1.1研究背景及意义- 11.2现状分析与管理对策-21.3研究的主要内容- 32 *公司信息安全管理概述2.1*公司公司网络简介- 42.2 公司现阶段的策略-63 *公司信息安全管理对策的需求分析31 企业信息安全管理战略研究- 73.1.1战略研究- 73.1.2企业信息安全策略- 83.2公司网络安全的需求分析-

5、103.2.1计算机网络系统集中管理- 103.2.2网络数据存储备份管理- 113.2.3网络安全的架构与职责的划分- 134 企业信息安全分析及整体应用管理的研究4.1网络信息系统安全风险的分析- 144.2网络信息系统的整体安全规划- 145 结论- 166 致 谢- 177 参考文献- 18一、 绪论1研究背景及意义在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略，企

6、业战略也恰当利用信息技术的优势。目前，大多数企业已经建立了24小时不间断运行的网络运行系统，信息安全管理无法从根本上解决问题发生后的故障。而对于大型企业的下属分支机构，每天都会产生大量业务保密数据，这些数据需要及时地被传递到企业总部的数据交换中心，由于企业的下属机构信息安全管理的难度很大，会给信息传输系统带来了极大的不安全因素，在这样的情况下，如何构架安全的网络，有效保护企业信息资源，是很多企业普遍关注的共性问题。鉴于物流企业的发展正从最初的原始积累逐步走向成熟，对企业的信息安全管理提出了更高的要求。提高员工的整体素质、打造企业核心竞争力要有责任确保为所有使用者提供一个安全的信息系统环境。而且

7、，要让我企业在认识到安全的信息系统好处的同时，应该自我保护以避免使用信息系统时的固有风险。企业战略的实施，需要一个安全的信息系统环境，一个安全的信息环境能使员工发觉他们的潜力并使他们的潜力得到最大的发挥，激励他们更好的工作。在整体的信息安全管理过程中，企业信息安全管理制度在整个企业中发挥着主要的作用。而随着计算机在各工作域的应用与普及，物流信息系统由传统手工信息系统发展到整体化物流信息系统（FOCUS），传统的单证流转手段、操作技能、信息传输及应用环境、内部监督对象等都发生重大变化，这使在与之相应的物流理论基础上形成的物流流转的内容、方法、程序和对象发生了重大变化，物流的FOCUS信息系统的迅

8、速发展给会计工作带来了全新的变革。因此，物流的FOCUS信息系统的内部控制，不断探索适合物流行业系统的内部控制措施与方法成了当前企业要解决的首要问题。2、现状分析与管理对策中国工程院院长徐匡迪曾指出：“没有安全的工程就是豆腐渣工程”。今年我国接连不断地出现程度不同的信息安全事件，这些事件不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设施在提高企业效益的同

9、时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面： 1.外网安全骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。 2.内网安全最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，

10、或者使得不法员工可以通过网络泄漏企业机密。 3.内部网络之间、内外网络之间的连接安全随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 对于企业安全管理现状的对策就要在不同层次上利用不同的安全技术，不同成本的设备相互补充，从而既加强了安全，又平衡了安全中存在的矛盾。在实际网络环境中应着重考虑网络的通信安全、网络层的安全以及应用安全。 1. 网络的通信安全要使网络安全，

11、首先要确保网络的通信安全。网络通信安全包含了物理层的安全和数据链路层的安全。通常有以下几种方法可以提供安全的网络通信，比如使用加压电缆、加密、身份鉴别系统以及进行网段划分等。 2.网络层的安全网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，保障数据来源于真实的发送方，避免数据被拦截或监听，保障数据为原始数据，中途没被修改。保证网络层安全最基本的分隔手段就是防火墙。 在网络层还可利用VPN技术来组网，或在网络层利用访问控制技术，灵活地控制哪些用户可以访问哪些服务，这样就可大大地提高网络的安全性。 3.应用层的安全应用层的安全是比较复杂的，其复杂性在于不同的应用其安全环境不

12、一样，应用系统其自身的安全特性也各不相同。在关注应用层的安全问题时，应区分不同的应用系统，采取不同的安全措施。 4.计算机网络病毒的防治企业范围内的防病毒解决方案要求包括一套统一全面的实施方法，能够进行中央控制，能对病毒特征码进行自动更新，并且要能支持多平台、多协议和多种文件类型，将多层次的综合防病毒软件和企业内统一的管理和运行策略结合在一起。 在进行网络安全规划及策略制定时要考虑以上几个方面外也必需充分考虑人的因素。应提高人的安全意识，增强处理安全问题的技能，和加强对安全问题的管理。由此可见网络安全问题不仅是一个技术问题也是一个管理问题，只有从各个层次和各个环节来协同采取措施，才能最大限度地

13、提高网络的安全性。3、研究的主要内容目前现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方，其中一些甚至连系统的设计者、实现者和使用者都不知道。因此，不安全因素总是存在。没有一个系统是完美的，没有一项技术是灵丹妙药。我的论文的主要思路是分析企业现存的信息系统的组织架构，且要使企业数据得到安全保障，不仅仅需要安全软件合硬件的保护，更需要做的是培养员工的安全意识。只有人为的从主观意识去防范，才不会给黑客任何机会。因此，企业应该考虑如何把员工变成安全资产，而不是放任其行为而变成安全负担。论文认为企业的要生存和发展，一方面要对企业的现状进行具体的分析，根据企业现阶段的发展战略，进行

14、信息安全管理。另一方面推行人性化管理 切实保护员工的隐私权，企业信息安全与数据安全的风险，包含外部的因素也包含内部的因素，而从现实状况来看，已经越来越多地体现在企业内部的安全风险方面，这其中很重要的一点就是内部员工行为对企业信息安全保护所形成的挑战。要使企业数据得到安全保障，不仅仅需要安全软件合硬件的保护，更需要做的是培养员工的安全意识。只有人为的从主观意识去防范，才不会给黑客任何机会。因此，企业应该考虑如何把员工变成安全资产，而不是放任其行为而变成安全负担。本论文将针南京*公司的信息管理制度进行深入的研究。在世界信息安全管理的大环境下如果能够把信息安全和企业文化结合起来，并取得一致，则会让企

15、业如虎添翼。论文将计划从以下五个方面进行阐述第一部分为绪论。主要介绍此次论文的企业和行业的研究背景、研究意义、国内外研究状况以及研究的主要内容。 第二部分 南京*公司有限公司现阶段管理策略。第三部分 结合企业的现阶段的发展战略信息安全管理对策的需求分析及匹配上存在的问题第四部分企业信息安全分析及整体应用管理的研究第五部分 总结二、 *公司信息安全管理概述1、南京*公司公司网络简介南京*公司为集团下属公司，在总部设立了较为完善的网络布局。总部采取多线路方式接入Internat，终端总数为几百台。网络中划分子网和单独的内网服务器区，部署与核心业务相关的服务器，如数据库、邮件服务器、财务服务器、以及

16、ERP服务器等，部署防火墙、入侵检测系统以及防病毒服务器等网络安全产品。集团公司下属各分支机构均有网络部署。分支机构采取专线和VPN接入总部局域网，主要通过访问总部服务器或通过邮件进行业务沟通交流。南京*公司是基于集团公司网络下以VPN接入到集团网络使用数据信息，公司有自己的部分数据服务、病毒防御、文件服务端、传真、域服务以及备份服务器。我司与集团公司总部信息化程度较高，主要包括财务管理、集团公司业务管理等，其中财务管理涉及网上支付，现金转帐等功能。根据公司业务的重要性，需要对公司进行信息安全测试和安全风险测评，以确定系统的安全目标达成情况和安全措施的实现程度，从而确定现有安全措施能否抵御现有

17、和所面临的威胁、脆弱性的影响，以及未来可能面临的威胁，和需要采取的措施。我司现网络拓扑如下图：2、 *公司有限公司现阶段的策略 解决公司计算机网络中的安全问题，关键在于建立和完善公司计算机网络信息安全防护体系。现阶段对策是在技术层而上建立完整的网络安全解决方案。 （一）网络安全技术对策（1）使用安个路由器和虚拟专用网技术。安个路由器采用了密码算法和加/解密专用芯片，通过在路由器主板上增加安个加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。 （2）安装防病毒软件和防火墙。在主机上安装防病毒软件，能对病毒进行定时或实时的病毒扫描及漏洞检测，变被动清毒为主动截

18、杀，既能查杀未知病毒，又可对文件、邮件、内存、网页进行个而实时监控，发现异常情况及时处理。 （3）安装入侵检测系统和网络诱骗系统。入侵检测能力是衡量整个防御体系是否完整有效的重要因素。入侵检测的软件和硬件共同组成了入侵检测系统。 （二）网络安全管理对策 （1）强化思想教育、加强制度落实是网络安全管理工作的基础。搞好公司网络安全管理工作，首要的是做好人的工作。员工要增强网络安全保密意识，增长网络安全保密知识，提高网络保密素质，改善网络安全保密环境。在每个人的大脑中筑起公司网络信息安全的防火墙。 （2）公司重视网络信息安全人才的培养。加强操作人员和管理人员的安全培训，主要是在平时训练过程中提高能力

19、，通过不间断的培训，提高保密观念和责任心，加强业务、技术的培训，提高操作技能；对内部涉密人员更要加强人事管理，定期组织思想教育和安全业务培训，不断提高人员的思想素质、技术素质和职业道德。三、 *公司信息安全管理对策的需求分析31 企业信息安全管理战略研究3.1.1战略研究1、现阶段我司计算机网络信息安全存在的问题1.1计算机网络安个技术问题 (1)缺乏自主的计算机网络软、硬件核心技术。我国信息化建设缺乏自主的核心技术支撑，计算机网络的主要软、硬件，如CPU芯片、操作系统和数据库、网关软件人多依赖进口。信息设备的核心部分CPU山美国和我国台湾制造;我司计算机网络中普遍使用的操作系统来自国外，这此

20、系统都存在人量的安个漏洞，极易留下嵌入式病毒、隐性通道和可恢复密钥的密码等隐患;计算机网络中所使用的网管设备和软件绝人多数是舶来品，在网络上运行时，存在着很人的安个隐患。这素使我司计算机网络的安个性能人人降低，网络处于被窃听、十扰、监视和欺诈等多种安个威胁中，网络安个处于极脆弱的状态。 (2)长期存在被病毒感染的风险。现代病毒可以借助文件、由日件、网贞等诸多力式在网络中进行传播和蔓延，它们具有自启动功能，常常潜入系统核心与内存，为所欲为。计算机一旦受感染，它们就会利用被控制的计算机为平台，破坏数据信息，毁损硬件设备，阻塞整个网络的正常信息传输，甚至造成整个集团计算机网络数据传输中断和系统瘫痪。

21、 (3)公司涉密信息在网络中传输的安个可靠性低。隐私及公司涉密信息存储在网络系统内，很容易被搜集而造成泄密。这此涉密资料在传输过程中，要经过许多外节点，且难以查证，在任何中介节点均可能被读取或恶意修改，包括数据修改、重发和假冒。网络中可能存在某节点在非授权和小能监测力式下的数据修改，这此修改进入网中的帧并传送修改版本，即使采用某此级别的认证机制，此种攻击也能危及可信节点间的通信。重发就是重复份或部分报文，以便产生个被授权效果。当节点拷贝发到其他节点的报文并又重发他们时，若小能监测重发，日的节点会执行报文内容命令的操作，例如报文的内容是关闭网络的命令，则将会出现严重的后果。假冒是网络中个实体假扮

22、成另个实体收发信息，很多网络适配器都允许网帧的源地址山节点自己来选取或改变，这就使冒充变得较为容易。 ( 4)存在来自网络外部、内部攻击的潜在威胁。网络中台无防备的电脑很容易受到局域网外部的入侵，修改硬盘数据，种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性，或伪装为合法用户进入网络并占用人量资源，修改网络数据、窃取、破译机密信息、破坏软件执行，在中间站点拦截和读取绝密信息等。在网络内部，则会有此非法用户冒用合法用户的口令以合法身份登录网站后，查看机密信息，修改信息内容及破坏应用系统的运行。有非法用户还会修改自己的IP和人MAC地址，使其和合法用户IP和MAC地址样，绕过网络管理员的安

23、个设置。1.2信息安个管理问题 在公司网络建设中，高投入地进行网络基础设施建设，而相应的管理措施却没有跟上，在网络安个上的投资也是微乎其微。有些领导错误地认为，网络安全投资只有投入却未见直观效果，对公司日常工作影响不大。因此，对安全领域的投入和管理远远小能满足安个防范的要求。而旦安个上出了问题，又没有行之有效的措施补救，有的甚至是采取关闭网络、禁比使用的消极手段，根本问题依然未得到实质性的解决。 网络管理和使用人员素质不高、安个意识淡薄。据调查，目前国内90%的网站存在安个问题，其主要原因是管理者缺少或没有安个意识。企业计算机网络用户飞速增长，然而大多数人员网络知识掌握很少，安个意识不强，经常

24、是在没有任何防范措施的前提下，随便把电脑接入网络;在不知情的情况下将带有保密信息的计算机连入因特网，或使用因特网传递保密信息;对数据不能进行及时备份，经常造成数据的破坏或丢失;对系统不采取有效的防病毒、防攻击措施，杀毒软件不能及时升级。3.1.2企业信息安全策略影响我司网络安全的方面有物理安全、网络隔离技术、加密与认证、网络反病毒、网络入侵检测等多种因素。在本案例中，信息安全测试内容大致分为服务器安全、网络安全、应用安全、数据安全、安全信息措施检测以及系统安全风险评估等五个方面。 1.服务器安全 因为该公司关键业务都部署在不同的服务器上，所以服务器本身的安全性不容忽视。我们从密码复杂度、本地安

25、全策略、防病毒软件安装以及管理措施等几个方面，检查服务器的本地审计策略、访问控制策略，扫描操作系统漏洞等内容。 2.网络安全 网络安全的测试，主要包括网络设计、日志及审计分析检测、防火墙检测、入侵检测系统检测、病毒防护检测以及网络基础设施检测等内容。 根据现有的网络设计，首先我们检测网络拓扑及结构，判断被评估网络的地址分配和网段划分是否合理，检测vlan划分等情况。然后，我们进行渗透测试，对防火墙策略、入侵检测策略、防病毒策略进行检测和评估。 3.应用安全 针对服务器上部署的应用，我们检测应用系统的访问控制策略，包括是否有正式的用户注册和注销程序，是否提供诸如密码、指纹、验证码、加密狗等多种身

26、份认证方式，内部及外部用户使用正确口令是否能且仅能访问授权服务，用户是否能够更新相关信息及口令，用户信息更新是否与访问控制权限联动等内容。 4.数据安全 数据测试，大致包括以下五部分内容： 1)检查使用sniffer等工具检查在网络通信过程中能否截获明文数据 2)检查系统是否对关键数据信息进行加密存储 3)检查系统是否具备备份策略，定期备份数据 4)检查备份数据管理措施的严密程度和实施有效度 5)检查是否存在对备份数据定期检测的机制 5.安全管理措施检测 该部分包括信息安全策略文档、信息安全责任划分、安全管理相关培训记录及考核以及信息安全事故管理四个方面。我们检查该公司网络管理职能的分割与责任

27、分担情况，用户的权利分级和责任情况以及攻击和入侵应急处理流程和灾难恢复计划等情况，对公司的安全管理措施进行检测和评估。3.2公司网络安全的需求分析目前我司由于人力和资金上的限制，网络安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。归结起来，应充分保证以下几点:1. 网络可用性:网络是业务系统的载体，防止如DOS/DDOS这样的网络攻击破坏网络的可用性。2.业务系统的可用性: 企业主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。3.数据机密性:对于公司网络，保密数据的泄密将直接带来公司商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。4.访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。5.网络操作的可管理性:对于网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能。易用的功能。3.2.1计算机网络系统集中管理随着计算机应用技术的迅速发