成都信息工程学院银杏酒店管理学院本科毕业论文
网络环境下企业信息安全分析与对策
摘要:随着计算机技术与通信技术的飞速发展,信息已成为企业发展的关键,但是企业在享受着信息系统给公司带来巨大经济效益的同时,也面临着非常大的安全风险。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题,并从中找到针对企业行之有效的安全防范技术。本文从物理安全,系统安全,应用管理安全,黑客攻击,病毒危害等方面对企业网络所面临的安全问题进行了分析与研究,并提出一系列解决的对策,包括:通过划分VLAN的方法,使用加密技术、身份认证技术来保证系统安全;依靠预防黑客攻击技术和网络防病毒技术解决与外部网络连接时产生的网络安全问题;通过建立安全管理体系来应对管理上的漏洞。文章最后用一实例来说明如何构建企业信息安全体系。
关键词:信息安全 管理体系 网络技术(关键词不能超过5个)
I
成都信息工程学院银杏酒店管理学院本科毕业论文
The Enterprise Information Security Analysis and Countermeasures Under The Network Environment
Abstract: Along with the Rapid development of computer technology and Communications technology, information has become the key to the enterprise development, but enterprise enjoys the information system bringing huge economic efficiency to the companies well as faces the very large security risk. Therefore, This makes the enterprise must re-examine the security problems of current information system faces. and find out effective safe guard technology for enterprise from it. The article has make the Analysis and Research of the Enterprise facing network security problems from the aspects of Physical security, system security, application security, management security, hacker attacks, virus damage and so on, And puts forward a series of countermeasures to solve, including. Through the method of dividing VLAN, use encryption technology、authentication technology to guarantee system security; rely on the preventing hacker attacks technology and the network anti-virus technology, solve the network security problem when connect the external network; Deals with the loopholes in management the establishment of a safety management system. At last, with an example to illustrate how to build enterprise information security system
Keywords: Information security Management system Network technology
1.页眉:成都信息工程学院银杏酒店管理学院本科毕业论文,居中。 2.页脚:摘要及目录采用ⅠⅡⅢ,正文采用1、2、3、4??,居中。
II
成都信息工程学院银杏酒店管理学院本科毕业论文
目 录
引言................................................................................................................................................... 1 1 信息安全的相关定义 ................................................................................................................... 1 1.1 信息安全 .............................................................................................................................. 1 1.2 信息安全的基本属性 .......................................................................................................... 2 2 网络环境下企业信息安全分析 ................................................................................................... 3 2.1 物理安全 .............................................................................................................................. 3 2.2 系统安全 .............................................................................................................................. 3 2.3 黑客攻击 .............................................................................................................................. 4 2.4 网络病毒风险 ...................................................................................................................... 4 2.5 应用管理安全 ...................................................................................................................... 5 3 网络环境下企业信息安全对策 ................................................................................................... 5 3.1 物理安全对策 ...................................................................................................................... 5
3.1.1 机房环境安全 ......................................................................................................... 5 3.1.2 通信线路安全 ......................................................................................................... 5 3.1.3 电源等设备安全 ..................................................................................................... 6 3.2 系统安全对策 ...................................................................................................................... 6
3.2.1 VLAN(虚拟局域网)技术 ................................................................................... 6 3.2.2 认证技术 ............................................................................................................. 7 3.2.3 信息加密技术 ..................................................................................................... 8 3.3 黑客攻击对策 ...................................................................................................................... 8
3.3.1 防火墙技术 ............................................................................................................. 8 3.3.2 入侵检测技术 ....................................................................................................... 10 3.4 网络病毒对策 .................................................................................................................... 11
3.4.1 病毒防治体系特性 ............................................................................................... 11 3.4.2 病毒防治软件安装 ............................................................................................... 11 3.4.3 病毒防护体系的自动控制 ................................................................................... 12 3.5 应用管理安全对策 ............................................................................................................ 12
3.5.1 人事管理 ............................................................................................................... 13 3.5.2 场地设施管理 ....................................................................................................... 13 3.5.3 设备管理 ............................................................................................................... 13 3.5.4 软件管理 ............................................................................................................... 13 3.5.5 口令管理 ............................................................................................................... 14 3.5.6 网络管理 ............................................................................................................... 14 3.5.7 安全审计管理 ....................................................................................................... 14 3.5.8 应急管理 ............................................................................................................... 14
4 企业信息安全体系建立实例 ..................................................................................................... 15 4.1 公司简介 ............................................................................................................................ 15 4.2 信息安全体系的构建 ........................................................................................................ 16 结 论 ........................................................................................................................................... 21 参考文献 ......................................................................................................................................... 22 致 谢 ........................................................................................................................................... 23
III
成都信息工程学院银杏酒店管理学院本科毕业论文
引言
信息社会的到来给全球发展带来了契机,信息技术的运用引起了人们生产方式,生活方式和思想观念的转变,极大地促进了人类社会发展和人类文明的进步,把人们带进了崭新的时代;信息系统的建设逐步成为各个企业不可或缺的基础设施;信息成为企业发展的重要战略资源,决策资源和控制市场的灵魂。信息化水平成为衡量一个企业实力的重要标志,抢占信息资源成为企业之间竞争的重要内容。然而企业在享受网络信息所带来利益的同时,也面临着信息安全的严峻考验,企业信息安全成为世界性的现实问题。据统计,全球平均每20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。2007年5月至2008年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%[1]。而病毒的泛滥,更让国内外众多企业蒙受了巨额经济损失。加强信息安全建设,已成为了目前国内外企业迫在眉睫的大事。
1 信息安全的相关定义
当前电子信息安全的概念正在与时俱进,他从早期的通信保密发展到关注信息的保密,完整,可用,可控和不可否认的信息安全,并进一步发展到如今的信息保障和信息保障体系。对于信息基础设施的管理活动来说,信息保障和政策;技术和机制在整个信息基础设施的所有层面上均能得到实施。既面向数据安全概念:信息的保密性,完整性,可用性,又面向使用者的安全概念:鉴别,授权,访问,控制,抗否认性和可服务性以及基于内容的个人隐私,知识产权等的保护。这两者的结合就是信息安全保障体现的安全服务,而这些安全问题又要依托于密码,数字签名,身份验证技术,防火墙,灾难恢复,防毒墙和防黑客入侵等安全机制加以解决,其中安全技术和管理是信息安全的核心,而安全标准和系统评估则是信息安全的基础。
1.1 信息安全
根据国际标准化组织(ISO)的定义,信息安全为“为数据处理系统建
1
成都信息工程学院银杏酒店管理学院本科毕业论文
立所采取的技术和管理的安全保护措施,以保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露” [2]。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性、完整性和可用性,人们建立起信息安全管理体系,它是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的系统,表示成方针、原则、目标、方法、核查表等要素的集合。
1.2 信息安全的基本属性
信息安全的基本属性有:信息的完整性、可用性、机密性、可控性、可靠性和不可否认性[3]。
(1)完整性:完整性是指信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性。一般通过访问控制阻止篡改行为,通过信息摘要算法来检验信息是否被篡改。
(2)可用性:信息可用性指的是信息可被合法用户访问并能按要求顺序使用的特性,即在需要就可取用所需的信息。目前要保证系统和网络能提供正常的服务,除了备份和冗余配置之外,没有特别有效的方法。
(3)机密性:是指信息不泄漏给非授权的个人和实体,或供其使用的特性。信息机密性针对信息被允许访问对象的多少而不同。所有人员都可以访问的信息为公用信息,需要限制访问的信息一般为敏感信息或秘密,机密性通常通过访问控制阻止非授权用户获得机密信息,通过加密技术阻止非授权用户获知信息内容。
(4)可控性:信息可控性是指可以控制授权范围内的信息流向以及行为方式,对信息的传播及内容具有控制能力。为保证可控性,通常通过握手协议和认证对用户进行身份鉴别,通过日志记录对用户的所有活动进行监控、查询和审计。
(5)可靠性:可靠性是指信息以用户认可的质量连续服务于用户的特性(包括信息的迅速、准确和连续的转移等),但也有人认为可靠性就是人
2