前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)內(nèi)網(wǎng)信息安全范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)內(nèi)網(wǎng)信息安全范文第1篇

近年來，許多企業(yè)內(nèi)網(wǎng)數(shù)據(jù)信息泄露事件頻繁出現(xiàn)，這預(yù)示企業(yè)內(nèi)容數(shù)據(jù)信息泄露防御工作存在嚴(yán)重的缺陷。并且隨著各種新型技術(shù)、熱門應(yīng)用的應(yīng)用，增加了對企業(yè)內(nèi)網(wǎng)的攻擊頻率和針對性，造成大量的數(shù)據(jù)信息泄露，這對于企業(yè)的健康、穩(wěn)定以及長足發(fā)展是非常不利的。十之后，信息安全作為重大戰(zhàn)略，上升到國家高度，加強(qiáng)并構(gòu)筑企業(yè)信息防御能力顯得更為重要和迫切。因此，文章針對信息泄露防御模型在企業(yè)內(nèi)網(wǎng)安全中應(yīng)用的研究具有一定的現(xiàn)實(shí)意義。

2企業(yè)內(nèi)網(wǎng)安全現(xiàn)狀分析

目前，黑客間諜、木馬等在不停的給企業(yè)內(nèi)網(wǎng)制造安全麻煩，并且利用各種新型技術(shù)、熱門應(yīng)用等，增加了對企業(yè)內(nèi)網(wǎng)的攻擊頻率，并且攻擊目標(biāo)越來越具有針對性，盜取了企業(yè)內(nèi)網(wǎng)中的眾多重要數(shù)據(jù)信息，給企業(yè)內(nèi)網(wǎng)安全埋下嚴(yán)重的隱患。同時，對企業(yè)內(nèi)網(wǎng)數(shù)據(jù)信息泄露事件進(jìn)行分析，影響企業(yè)內(nèi)網(wǎng)信息安全的因素，不僅僅是黑客間諜、木馬的攻擊，還有一部分是由于企業(yè)并沒有創(chuàng)建科學(xué)、有效的信息防御模型，再加上企業(yè)內(nèi)網(wǎng)安全維護(hù)人員自身疏忽、操作不當(dāng)或者其他原因可能引發(fā)內(nèi)網(wǎng)數(shù)據(jù)信息的泄露。正是由于上述眾多原因，并且企業(yè)在運(yùn)行的過程中的業(yè)務(wù)流程以及數(shù)據(jù)信息量的不斷的增多，加上泄露防御系統(tǒng)、員工失誤等導(dǎo)致的信息泄露事件逐漸的增多，因此亟待采取有效的措施進(jìn)行安全控制和處理。目前，企業(yè)針對內(nèi)網(wǎng)信息泄露的防御措施包括以下幾個方面：禁止使用打印機(jī)、光驅(qū)、軟驅(qū)等；禁止使用可移動儲存器；禁止使用網(wǎng)絡(luò)連接等，上述“人治”的方式雖然組織了敏感信息進(jìn)入到企業(yè)內(nèi)網(wǎng)，但是卻降低了系統(tǒng)的可用性，實(shí)用性不強(qiáng)。

3信息泄露防御模型在企業(yè)內(nèi)網(wǎng)安全中的應(yīng)用分析

3.1信息泄漏防御模型原理

本文提出了基于密碼隔離的信息泄露防御模型，利用密碼以及訪問控制的方式，在企業(yè)內(nèi)網(wǎng)中創(chuàng)建一個虛擬網(wǎng)，以此解決企業(yè)內(nèi)網(wǎng)敏感信息泄露的問題。文章給出一個科學(xué)的秘鑰管理協(xié)議，結(jié)合對稱加密算法，賦予了該信息泄露防御模型一人加密指定多人解密的功能，即企業(yè)中的任何用戶對敏感信息進(jìn)行加密后，能夠指定一個或者多個解密者，以此控制敏感信息的傳播途徑與范圍。該信息泄露防御模型在企業(yè)內(nèi)網(wǎng)安全中應(yīng)用的最大特點(diǎn)在于擁有者與使用者不分離，例如，企業(yè)內(nèi)部人員在不改變終端的前提下，同時不影響其任何權(quán)限，具有訪問終端上的所有客體的權(quán)限，這樣很容易導(dǎo)致企業(yè)內(nèi)網(wǎng)的敏感信息外泄，但是這樣必須控制用戶的行為，因此，文章提出的基于密碼隔離的信息泄露防御模型，將系統(tǒng)的主體、客體進(jìn)行分級，即低安全級與高安全級，其中高安全級儲存以及傳遞的信息需要受到保護(hù)，不能泄露到企業(yè)外部。因此，該模型的核心思想表現(xiàn)為：當(dāng)模型判斷信息為敏感信息時，將信息的安全等級提升為高安全級，如果高安全級的信息被傳遞至外部網(wǎng)絡(luò)或者設(shè)備時，會對信息進(jìn)行加密，然后將敏感信息相對應(yīng)的數(shù)據(jù)文件標(biāo)記成高安全級，在應(yīng)用環(huán)境中形成一個密碼隔離的虛擬網(wǎng)絡(luò)，在該虛擬網(wǎng)絡(luò)中敏感信息以密文的形式存在，即使黑客或者惡意用戶將信息通過移動儲存器、網(wǎng)絡(luò)等傳遞到企業(yè)外部，但是得不到相應(yīng)的解密密鑰，也不會導(dǎo)致企業(yè)信息被泄露。

3.2CIBSM模型的應(yīng)用

近年來，企業(yè)內(nèi)網(wǎng)信息系統(tǒng)規(guī)模不斷的擴(kuò)大，覆蓋范圍越來越廣，因此信息系統(tǒng)的組成也逐漸的向復(fù)雜化方向發(fā)展，威脅信息系統(tǒng)安全的因素不斷的增多，如果僅僅提出保證企業(yè)內(nèi)網(wǎng)信息安全的理論，并不能夠保證企業(yè)內(nèi)網(wǎng)信息安全，還需要給出科學(xué)、合理、可行的實(shí)施方法，基于此創(chuàng)建了OM/AM框架，即O-objective（目標(biāo)）、M-model（模型）、A-architecture（架構(gòu)）、M-mechanism（機(jī)制），該架構(gòu)實(shí)現(xiàn)了“做什么”到“怎樣做”的轉(zhuǎn)變，即將CIBSM模型從理論到實(shí)踐，從工程上給出可行的實(shí)施方法，有效的解決了企業(yè)內(nèi)網(wǎng)信息外泄的隱患。CIBSM模型的工程實(shí)現(xiàn)采用安全內(nèi)核方式，通過控制文件讀寫以及進(jìn)程的方式防止信息泄露，在實(shí)際應(yīng)用的過程中應(yīng)該注意以下兩個方面：3.2.1密鑰管理協(xié)議方面密鑰管理機(jī)制在一定程度上決定了CIBSM模型的實(shí)用性以及安全性，因此密鑰管理機(jī)制應(yīng)該保證企業(yè)內(nèi)網(wǎng)的所有合法終端都能夠?qū)γ舾行畔⑦M(jìn)行加密，并且在企業(yè)的應(yīng)用環(huán)境中對加密的敏感信息進(jìn)行解密，并且保證非法終端部能夠解密加密的敏感信息。同時，還應(yīng)該保證解密秘鑰的透明性，防止用戶將密鑰帶到企業(yè)外部環(huán)境?；诖?，CIBSM模型采用基于身份的密鑰管理機(jī)制，便于實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)信息的安全傳遞與儲存。3.2.2可信終端引入方面通過引入可信終端，能夠?qū)崿F(xiàn)對敏感信息的降級處理，實(shí)現(xiàn)對企業(yè)內(nèi)部敏感信息的正確管理，并且所有的敏感信息都需要經(jīng)過可信終端的降級處理，即用戶需要將敏感信息通過外部儲存裝置或者打印帶至企業(yè)應(yīng)用環(huán)境以外時，可信終端會對所有的敏感信息進(jìn)行降級處理，以此保證企業(yè)內(nèi)網(wǎng)敏感信息的安全性?？尚沤K端的引入，在不降低系統(tǒng)可用性的基礎(chǔ)上，提高了企業(yè)內(nèi)網(wǎng)敏感信息的安全性。

4結(jié)束語

企業(yè)內(nèi)網(wǎng)信息安全范文第2篇

信息安全準(zhǔn)則是風(fēng)險評估和制定最優(yōu)解決方案的關(guān)鍵，優(yōu)秀的信息安全準(zhǔn)則包括：根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險管理；有組織的確定員工角色和責(zé)任；對用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理；在應(yīng)用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護(hù)的問題；在應(yīng)用中實(shí)施逐層防護(hù)；建立高度集成的安全防護(hù)框架；將監(jiān)控、審計和快速反應(yīng)結(jié)合為一體。良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念，從而讓企業(yè)信息管理部門更好地對風(fēng)險進(jìn)行管控。

2企業(yè)信息安全管理的主要手段

2.1網(wǎng)絡(luò)安全

（1）保證安全的外部人員連接。在日常工作中，外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求，由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn)，因此存在信息安全隱患?？刂拼祟愶L(fēng)險的手段主要有：對用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段；全面管控外部單位的網(wǎng)絡(luò)接入等。

（2）遠(yuǎn)程接入控制。隨著VPN技術(shù)的不斷發(fā)展，遠(yuǎn)程接入的風(fēng)險已降低到企業(yè)的可控范圍，而近年來移動辦公的興起更是推動了遠(yuǎn)程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY，動態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全。

（3）網(wǎng)絡(luò)劃分。在過去，企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟，非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全，實(shí)現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。

（4）網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補(bǔ)充，主要用于監(jiān)控網(wǎng)絡(luò)傳輸，在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備，入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為，隨著信息技術(shù)的發(fā)展，各大安全廠商如賽門鐵克，思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。

（5）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域，給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全，信息管理部門需要使用更新更安全的協(xié)議（如無線保護(hù)接入WPA或WPA2）；使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò)；利用802.1x和EAP技術(shù)加強(qiáng)對無線網(wǎng)絡(luò)的訪問控制。

2.2訪問控制

（1）密碼策略。高強(qiáng)度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強(qiáng)度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害，企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。

（2）用戶權(quán)限管理。企業(yè)的員工從進(jìn)入公司到離職是一個完整的生命周期，要便捷有效地在這個生命周期中對員工的權(quán)限進(jìn)行管理，需要企業(yè)具有完善的身份管理平臺，從而實(shí)現(xiàn)授權(quán)流程的自動化，并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸。

（3）公鑰系統(tǒng)。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊，無線網(wǎng)絡(luò)訪問授權(quán)，VPN接入，文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平，因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。

2.3監(jiān)控與審計

（1）病毒掃描與補(bǔ)丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)，在終端定期更新病毒定義，進(jìn)行病毒自掃描，自動更新操作系統(tǒng)補(bǔ)丁，以減少桌面終端的安全風(fēng)險。此類管控手段通常需要在用戶的終端上安裝客戶端，或?qū)K端進(jìn)行定制，在終端接入企業(yè)內(nèi)網(wǎng)時，終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評估打分，通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成：防病毒系統(tǒng)；內(nèi)容過濾網(wǎng)關(guān)；郵件過濾網(wǎng)關(guān)；惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。

（3）安全事件記錄和審計。企業(yè)應(yīng)當(dāng)配置日志審計系統(tǒng)，收集信息安全事件，產(chǎn)生審計記錄，根據(jù)記錄進(jìn)行安全事件分析，并采取相應(yīng)的處理措施。

2.4培訓(xùn)與宣傳提高企業(yè)管理層和員工的信息安全意識，是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性，管理層才會支持信息安全管理建設(shè)，用戶才會配合信息管理部門工作。利用定期培訓(xùn)，宣傳海報，郵件等方式定期反復(fù)對企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳，能有效提高企業(yè)信息安全管理水平。

3總結(jié)

企業(yè)內(nèi)網(wǎng)信息安全范文第3篇

企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全面臨的主要威脅：①操作系統(tǒng)的安全性；②防火墻的安全性；③來自內(nèi)部網(wǎng)用戶的安全威脅；④采用的TCP／IP協(xié)議族軟件，本身缺乏安全性；⑤應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少；⑥網(wǎng)絡(luò)設(shè)施本身和運(yùn)行環(huán)境因素的影響，網(wǎng)絡(luò)規(guī)劃、運(yùn)行管理上的不完善帶來的威脅。

2網(wǎng)絡(luò)信息安全方案實(shí)施

通過對化工企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀的分析與研究，我們制定如下企業(yè)信息安全策略。慶陽石化的計算機(jī)網(wǎng)絡(luò)主干采用千兆以太網(wǎng)絡(luò)光纖技術(shù)，實(shí)現(xiàn)數(shù)據(jù)中心核心交換機(jī)與管控中心、中央控制室、生活區(qū)匯聚層交換機(jī)間的高帶寬連接；廠區(qū)各區(qū)域接入層交換機(jī)與匯聚層交換機(jī)間采用千兆以太網(wǎng)光纖實(shí)現(xiàn)高速連接；接入層采用千兆以太網(wǎng)雙絞線技術(shù)，實(shí)現(xiàn)千兆到桌面。各業(yè)務(wù)服務(wù)器全部采用千兆以太網(wǎng)絡(luò)光纖或雙絞線技術(shù)，實(shí)現(xiàn)與核心交換機(jī)的1000M連接。同時為保護(hù)辦公網(wǎng)絡(luò)及本地內(nèi)網(wǎng)間數(shù)據(jù)安全，需設(shè)置區(qū)域網(wǎng)絡(luò)隔離控制及公網(wǎng)訪問安全控制。

2．1防火墻的實(shí)施方案

從網(wǎng)絡(luò)整體安全性出發(fā)，運(yùn)用2臺CISCOpix535的防火墻，其中一臺主要對業(yè)務(wù)網(wǎng)和企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一臺則對Internet和企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等則是針對外服務(wù)器連接在防火墻的DMZ區(qū)以及內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行隔離。

2．2網(wǎng)絡(luò)安全漏洞管理方案

當(dāng)前企業(yè)網(wǎng)絡(luò)中的服務(wù)器主要有WWW，郵件，域以及存儲等，除此之外，其中還有十分重要的數(shù)據(jù)庫服務(wù)器。對管理工作人員而言，他們無法確切了解服務(wù)器系統(tǒng)及整個網(wǎng)絡(luò)安全缺陷或漏洞，更沒有辦法對其進(jìn)行解決。因此，必須依靠漏洞掃描的方法對其進(jìn)行定期的掃描、分析以及評估等，對于過程中存在的部分問題及漏洞及時向安全系統(tǒng)發(fā)送報告，使其及時對安全漏洞進(jìn)行風(fēng)險評估，從而在第一時間內(nèi)進(jìn)行解決，增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性。

2．3防病毒方案

當(dāng)前企業(yè)主要運(yùn)用的是Symantec防病毒軟件，主要是對網(wǎng)絡(luò)內(nèi)的服務(wù)器及內(nèi)部的計算機(jī)設(shè)備進(jìn)行全面性病毒防護(hù)。同時，在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，使局域網(wǎng)內(nèi)的全部計算機(jī)處在一個防病毒的區(qū)域之中。此外，還可以運(yùn)用防病毒管理域的服務(wù)器針對整個領(lǐng)域進(jìn)行病毒防范，制定統(tǒng)一的反病毒策略，設(shè)置場掃描任務(wù)調(diào)度系統(tǒng)，使其進(jìn)行自動檢查與病毒防范。

2．4訪問控制管理

必須實(shí)行有效的用戶口令及訪問限制制度，一次來確保網(wǎng)絡(luò)的安全性，致使唯獨(dú)合法用戶進(jìn)行合法資源的訪問設(shè)置。與此同時，還需要在內(nèi)網(wǎng)的系統(tǒng)管理過程中嚴(yán)格管理全部設(shè)備口令（口令之中最好有大寫字母，字符以及數(shù)字等），切記不可在不同的系統(tǒng)上采用統(tǒng)一性的口令，否則將會出現(xiàn)嚴(yán)重的故障問題。實(shí)施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問系統(tǒng)資源。

3企業(yè)網(wǎng)絡(luò)信息安全管理

3．1完善網(wǎng)絡(luò)信息安全管理機(jī)制

在當(dāng)前企業(yè)網(wǎng)絡(luò)運(yùn)營過程中，必須確保其信息安全管理的規(guī)范化。只有將企業(yè)網(wǎng)絡(luò)與信息管理的安全性納入生產(chǎn)管理體系，才能使企業(yè)網(wǎng)絡(luò)得以正常運(yùn)行。此外，還必須加強(qiáng)建設(shè)網(wǎng)絡(luò)和信息安全保證體系中的安全決策指揮、安全管理技術(shù)、安全管理制度以及安全教育培訓(xùn)等多個系統(tǒng)，并實(shí)施行企業(yè)行政正職負(fù)責(zé)制，進(jìn)一步明確各個部門的責(zé)任等。

3．2建立人員安全的管理制度

必須了解企業(yè)內(nèi)部人員錄取、崗位分配、考核以及培訓(xùn)等管理內(nèi)容，提高工作人員的信息安全意識，才能確保企業(yè)內(nèi)部信息安全體系的有效進(jìn)行，為企業(yè)未來的發(fā)展奠定基礎(chǔ)。

3．3建立系統(tǒng)運(yùn)維管理制度

明確環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、惡意代碼防范、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。

3．4建立系統(tǒng)建設(shè)管理制度

企業(yè)內(nèi)網(wǎng)信息安全范文第4篇

Gartner的調(diào)查數(shù)據(jù)顯示，目前有超過85%的企業(yè)信息安全威脅來自企業(yè)內(nèi)網(wǎng)。雖然很多企業(yè)的信息安全防護(hù)體系都將外部威脅作為防護(hù)的重中之重，但數(shù)據(jù)泄露事件卻愈演愈烈，企業(yè)的內(nèi)網(wǎng)安全面臨挑戰(zhàn)。

大量投入?yún)s效果不佳

為了防范數(shù)據(jù)泄露事件的發(fā)生，目前雖然許多企業(yè)開始調(diào)整信息安全資金的投入方向，并在改善內(nèi)網(wǎng)安全環(huán)境的同時推出更為嚴(yán)格的懲戒制度，但實(shí)際上，理想的防范水準(zhǔn)與現(xiàn)實(shí)情況還存在著很大的差距。

“企業(yè)內(nèi)網(wǎng)的信息系統(tǒng)面臨的安全風(fēng)險日漸加劇?！北本┦袊钒残畔⒓夹g(shù)有限公司（下文簡稱國路安，GLA）研發(fā)總監(jiān)林順東認(rèn)為，有兩個關(guān)鍵因素導(dǎo)致企業(yè)內(nèi)網(wǎng)安全防護(hù)的效果不佳：首先是在傳統(tǒng)的防護(hù)結(jié)構(gòu)中，每臺終端及應(yīng)用操作人員都是系統(tǒng)與外部環(huán)境連接的邊界，這些邊界數(shù)量多、分布范圍廣、類型復(fù)雜，給企業(yè)的安全管理控制帶來極大的難度；其次是傳統(tǒng)的殺毒軟件、入侵檢測等安全工具基于“黑名單”的安全機(jī)制，已經(jīng)無法滿足當(dāng)前企業(yè)的防護(hù)需求，特別是企業(yè)的業(yè)務(wù)系統(tǒng)具有相對明確的操作人員和運(yùn)行流程，應(yīng)該采用更為適合也更嚴(yán)格的“白名單”機(jī)制。

從架構(gòu)上防止數(shù)據(jù)泄露

為了改變企業(yè)在內(nèi)網(wǎng)安全領(lǐng)域遇到的窘境，國路安提出了稱為“云縱深防御”的新思路。據(jù)林順東介紹，云縱深防御架構(gòu)是通過安全虛擬化技術(shù)和應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，將應(yīng)用系統(tǒng)（包括應(yīng)用終端和應(yīng)用服務(wù)器）整體部署到云端（數(shù)據(jù)中心或機(jī)房），從而有效減少應(yīng)用系統(tǒng)與外部環(huán)境之間的邊界數(shù)量和邊界種類。另外，云縱深防御還采用“白名單”安全機(jī)制對應(yīng)用操作人員及其操作行為進(jìn)行安全控制和規(guī)范，從根本上提高了應(yīng)用系統(tǒng)的安全性。

企業(yè)內(nèi)網(wǎng)信息安全范文第5篇

關(guān)鍵詞：信息安全；管理體系；PKI/CA；MPLS VPN；基線

在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營、綜合管理之中，實(shí)現(xiàn)資源和信息共享，為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程，木桶原理可以很好地詮釋信息安全，一個企業(yè)安全不取決于最強(qiáng)項，而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識、專業(yè)人員技術(shù)水平等多方面共同建設(shè)，才能有效提高企業(yè)信息安全，才能為企業(yè)生產(chǎn)、經(jīng)營保駕護(hù)航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設(shè)方面，在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。

1.1管理制度不健全，制度多重化

信息安全制度建設(shè)方面較為被動，大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問題，然后一個相關(guān)制度，制度修修補(bǔ)補(bǔ)。同一類問題有時出現(xiàn)不同管理規(guī)定里，處理辦法不一，甚至發(fā)生沖突。原有信息安全管理制度寬泛，操作性較差。信息系統(tǒng)建設(shè)渠道不同，未提前進(jìn)行信息安全方面考慮，管理職責(zé)不明，導(dǎo)致部分信息安全工作開始不順暢。

1.2安全區(qū)域劃分不明，網(wǎng)絡(luò)架構(gòu)不清晰

基層供電企業(yè)系統(tǒng)建設(shè)主要由上級推廣系統(tǒng)和自建系統(tǒng)，系統(tǒng)建設(shè)時候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng)，特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么，存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯，網(wǎng)絡(luò)架構(gòu)不清晰。

1.3未建立一體化安全防護(hù)體系

從近些年已經(jīng)發(fā)生的各類信息安全事件來看，內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足，存在網(wǎng)絡(luò)帶寬濫用；終端接入沒有相應(yīng)準(zhǔn)入控制，不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò)，網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險；內(nèi)部人員對核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制；移動介質(zhì)未實(shí)施注冊制管理等問題。

1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求，在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項，這些恰恰是別人利用漏洞?；鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時，沒有統(tǒng)一基線標(biāo)準(zhǔn)，沒有對設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固，企業(yè)存在潛在風(fēng)險。

1.5信息安全意識較差，技術(shù)水平參差不齊

企業(yè)信息安全認(rèn)識存在認(rèn)識上誤區(qū)，常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備，外部不易攻破內(nèi)部，事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機(jī)密泄露等，這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識主動更新，未取得專門信息安全專業(yè)人員資質(zhì)，處理問題能力表現(xiàn)參差不齊。

2必要性

信息安全為國家安全重要組成部門，電力企業(yè)信息安全為國家信息安全的重要元素，電網(wǎng)安全事關(guān)國計民生。2014年2月，國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件，前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒（Stuxnet病毒）網(wǎng)絡(luò)攻擊，其中一個關(guān)鍵問題就是利用移動介質(zhì)擺渡來進(jìn)行攻擊，造成設(shè)備癱瘓，這一系列信息安全事件都事關(guān)國家安全，因此人人都要有信息安全意識。首先要防止企業(yè)機(jī)密數(shù)據(jù)（財務(wù)、人資、投資、客戶等）泄漏；其次，保持?jǐn)?shù)據(jù)真實(shí)性和完整性，錯誤的或被篡改的不當(dāng)信息可能會導(dǎo)致錯誤的決策或商業(yè)機(jī)會甚至信譽(yù)的喪失；最后，信息的可用性，防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作，業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效，不能得到及時有效恢復(fù)，會造成重大損失。建立嚴(yán)格的訪問控制，前面數(shù)據(jù)分級時有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級，按照分級的要求制定嚴(yán)格的訪問控制策略，基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限；權(quán)限分離原則是將不同的工作職能分開，只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為，提高工作效率，保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。

3特點(diǎn)探析

通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看，主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識等方面存在問題，有以下特點(diǎn)。

3.1管理制度方面

常說信息安全“三方技術(shù)、七分管理”，制度建設(shè)對信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級主管部門建立一套統(tǒng)一管理制度，基層供電企業(yè)遵照執(zhí)行，可以根據(jù)各單位具體情況進(jìn)一步細(xì)化，讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上，實(shí)現(xiàn)全網(wǎng)一體化，規(guī)范化。

3.2網(wǎng)絡(luò)信息安全技術(shù)方面

上級專業(yè)主管部門，站在企業(yè)高度，制定專業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃，分布實(shí)施，最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。

3.3信息安全意識培養(yǎng)方面

企業(yè)員工信息安全意識培養(yǎng)是個長期的過程，不是通過一次兩次培訓(xùn)就能解決的，采取形式多樣化方式來培養(yǎng)員工安全意識，可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進(jìn)行。針對專業(yè)人員，要讓他們養(yǎng)成按照制度辦事習(xí)慣，用戶需要申請某項資源，嚴(yán)格按照制度執(zhí)行，填寫相應(yīng)資源申請，有時候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往，人人都會知道自己該做什么，不該做什么，該怎么做，企業(yè)信息安全意識就會得到極大提高。

3.4專業(yè)技術(shù)人員水平方面

信息安全技術(shù)日新月異，不學(xué)習(xí)就落后，不斷收集信息安全方面信息，共同討論相關(guān)話題，建立相應(yīng)培訓(xùn)機(jī)制，專業(yè)人員實(shí)行持證上崗，提升專業(yè)人員實(shí)際解決問題能力，有效提高人員專業(yè)素養(yǎng)，成為企業(yè)信息安全方面專家。

4實(shí)施和開展

從2009年開始，先后進(jìn)行一系列信息安全建設(shè)，涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面，整體提高基層供電企業(yè)信息安全狀況。

4.1信息安全制度建設(shè)

2010年開始信息安全體系ISO27001、27002建設(shè)，結(jié)合企業(yè)情況，形成30個信息安全相關(guān)文件，涵蓋企業(yè)信息安全方針、等級保護(hù)、人員管理、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平，先后增加修改建設(shè)管理、實(shí)用化管理、項目管理、信息安全管理、運(yùn)維管理、綜合管理5個方面14個管理細(xì)則。經(jīng)過這一系列制度建設(shè)，基層供電企業(yè)有章可循，全網(wǎng)信息安全依據(jù)統(tǒng)一，明確短板情況。

4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控

首先依據(jù)電監(jiān)會5號文件要求，網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè)，生產(chǎn)實(shí)時控制大區(qū)（Ⅰ、Ⅱ區(qū)）與信息管理大區(qū)（Ⅲ、Ⅳ區(qū)）之間采用國家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離，網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，在綜合數(shù)據(jù)網(wǎng)上，利用MPLSVPN，根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng)，構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng)，已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng)，進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng)，采用PKI登陸，在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求，進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口，部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備，建立統(tǒng)一上網(wǎng)行為管理策略，規(guī)范員工上網(wǎng)行為，合理使用有限互聯(lián)網(wǎng)資源，審計員工上網(wǎng)日志，以備不時之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng)，實(shí)現(xiàn)病毒軟件統(tǒng)一安裝，病毒庫自動更新，防護(hù)策略統(tǒng)一下發(fā)，定期統(tǒng)計病毒分布情況，同時作為終端接入內(nèi)網(wǎng)必備選項，對終端病毒態(tài)勢比較嚴(yán)重用戶進(jìn)行督促整改，有效防止病毒在企業(yè)內(nèi)部蔓延，進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù)，在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM，并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺，進(jìn)行日志管理分析，展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢，預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證，建設(shè)統(tǒng)一桌面管理，所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng)，系統(tǒng)啟用強(qiáng)制安全策略，終端采用采用DHCP，用戶不能自動修改IP地址，在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定，杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行，不滿足要求用戶，自動重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查，滿足要求后自動接入內(nèi)網(wǎng)，強(qiáng)制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動介質(zhì)注冊制，極大提高終端安全性，有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制，實(shí)現(xiàn)4A統(tǒng)一安全管理，認(rèn)證、賬號、授權(quán)、審計集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池，按照用戶需求，提交相應(yīng)申請材料，授權(quán)訪問特定設(shè)備和資源，并對用戶訪問行為全程記錄審計。

5結(jié)語