您的位置:360文档中心› 公 司 信 息 安 全 管 理 对 策

公 司 信 息 安 全 管 理 对 策

公 司 信 息 安 全 管 理 对 策
公 司 信 息 安 全 管 理 对 策

南京大学网络教育学院

本科生毕业论文

论文题目.*********公司信息安全管理对策

学生姓名.***********

学科、专业名称.信息管理与信息系统策

指导教师.************

二0 一0 年十一月

摘要

目前,大多数企业已经建立了24小时不间断运行的网络运行系统,信息安全管理无法从根本上解决问题发生后的故障。而对于大型企业的下属分支机构,每天都会产生大量业务保密数据,这些数据需要及时地被传递到企业总部的数据交换中心,由于企业的下属机构信息安全管理的难度很大,会给信息传输系统带来了极大的不安全因素,在这样的情况下,如何构架安全的网络,有效保护企业信息资源,是很多企业普遍关注的共性问题。

Abstract

Currently, most companies have established a network running 24 hours a day running system, information security management can not fundamentally solve the problem after the failure. For large enterprises under the branches, every day will have a lot of business confidential data that need to be passed in time to the corporate headquarters of the data exchange center, a subsidiary body of the enterprise information security management is very difficult to give information transmission system has brought great insecurity, in such circumstances, how secure network architecture, the effective protection of enterprise

information resources, many common business problems of common concern.

目录

*********公司信息安全管理对策

-------------------------------------------------------------------------- 1

-------------------------------------------------------------------2

-------------------------------------------------------------------------- 3

---------------------------------------------------------------- 4

----------------------------------------------------------------------6

7

---------------------------------------------------------------------------------- 7

--------------------------------------------------------------------- 8

------------------------------------------------------------- 10

10

11

13

14

14

---------------------------------------------------------------------------------------------- 16

-------------------------------------------------------------------------------------------- 17

一、绪论

1研究背景及意义

在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。

目前,大多数企业已经建立了24小时不间断运行的网络运行系统,信息安全管理无法从根本上解决问题发生后的故障。而对于大型企业的下属分支机构,每天都会产生大量业务保密数据,这些数据需要及时地被传递到企业总部的数据交换中心,由于企业的下属机构信息安全管理的难度很大,会给信息传输系统带来了极大的不安全因素,在这样的情况下,如何构架安全的网络,有效保护企业信息资源,是很多企业普遍关注的共性问题。

鉴于物流企业的发展正从最初的原始积累逐步走向成熟,对企业的信息安全管理提出了更高的要求。提高员工的整体素质、打造企业核心竞争力要有责任确保为所有使用者提供一个安全的信息系统环境。而且,要让我企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。企业战略的实施,需要一个安全的信息系统环境,一个安全的信息环境能使员工发觉他们的潜力并使他们的潜力得到最大的发挥,激励他们更好的工作。在整体的信息安全管理过程中,企业信息安全管理制度在整个企业中发挥着主要的作用。而

随着计算机在各工作域的应用与普及,物流信息系统由传统手工信息系统发展到整体化物流信息系统(FOCUS),传统的单证流转手段、操作技能、信息传输及应用环境、内部监督对象等都发生重大变化,这使在与之相应的物流理论基础上形成的物流流转的内容、方法、程序和对象发生了重大变化,物流的FOCUS信息系统的迅速发展给会计工作带来了全新的变革。因此,物流的FOCUS信息系统的内部控制,不断探索适合物流行业系统的内部控制措施与方法成了当前企业要解决的首要问题。

2、现状分析与管理对策

中国工程院院长徐匡迪曾指出:“没有安全的工程就是豆腐渣工程”。今年我国接连不断地出现程度不同的信息安全事件,这些事件不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可能恢复的。

当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。企业信息设施在提高企业效益的同时,也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相关报导也一直层不穷,给中小企业所造成的损失不可估量。由于涉及企业形象的问题,所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面:

1.外网安全——骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感

信息泄露等已成为影响最为广泛的安全威胁。

2.内网安全——最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。

3.内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

对于企业安全管理现状的对策就要在不同层次上利用不同的安全技术,不同成本的设备相互补充,从而既加强了安全,又平衡了安全中存在的矛盾。在实际网络环境中应着重考虑网络的通信安全、网络层的安全以及应用安全。

1. 网络的通信安全

要使网络安全,首先要确保网络的通信安全。网络通信安全包含了物理层的安全和数据链路层的安全。通常有以下几种方法可以提供安全的网络通信,比如使用加压电缆、加密、身份鉴别系统以及进行网段划分等。

2.网络层的安全

网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,保障数据来源于真实的发送方,避免数据被拦截或监听,保障数据为原始数据,中途没被修改。保证网络层安全最基本的分隔手段就是防火墙。

在网络层还可利用VPN技术来组网,或在网络层利用访问控制技术,灵活地控制哪些用户可以访问哪些服务,这样就可大大地提高网络的安全性。

3.应用层的安全

应用层的安全是比较复杂的,其复杂性在于不同的应用其安全环境不一样,应用系统其自身的安全特性也各不相同。在关注应用层的安全问题时,应区分不同的应用系统,采取不同的安全措施。

4.计算机网络病毒的防治

企业范围内的防病毒解决方案要求包括一套统一全面的实施方法,能够进行中央控制,能对病毒特征码进行自动更新,并且要能支持多平台、多协议和多种文件类型,将多层次的综合防病毒软件和企业内统一的管理和运行策略结合在一起。

在进行网络安全规划及策略制定时要考虑以上几个方面外也必需充分考虑人的因素。应提高人的安全意识,增强处理安全问题的技能,和加强对安全问题的管理。由此可见网络安全问题不仅是一个技术问题也是一个管理问题,只有从各个层次和各个环节来协同采取措施,才能最大限度地提高网络的安全性。

3、研究的主要内容

目前现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。

我的论文的主要思路是分析企业现存的信息系统的组织架构,且要使企业数据得到安全保障,不仅仅需要安全软件合硬件的保护,更需要做的是培养员工的安全意识。只有人为的从主观意识去防范,才不会给黑客任何机会。因此,企业应该考虑如何把员工变成安全资产,而不是放任其行为而变成安全负担。

论文认为企业的要生存和发展,一方面要对企业的现状进行具体的分析,根据企业现阶段的发展战略,进行信息安全管理。另一方面推行人性化管理切实保护员工的隐私权,企业信息安全与数据安全的风险,包含外部的因素也包含内部的因素,而从现实状况来看,已经越来越多地体现在企业内部的安全风险方面,这其中很重要的一点就是内部员工行为对企业信息安全保护所形成的挑战。

要使企业数据得到安全保障,不仅仅需要安全软件合硬件的保护,更需要做的是培养员工的安全意识。只有人为的从主观意识去防范,才不会给黑客任何机会。因此,企业应该考虑如何把员工变成安全资产,而不是放任其行为而变成安全负担。

本论文将针南京*********公司的信息管理制度进行深入的研究。在世界信息安全管理的大环境下如果能够把信息安全和企业文化结合起来,并取得一致,则会让企业如虎添翼。论文将计划从以下五个方面进行阐述

第一部分为绪论。主要介绍此次论文的企业和行业的研究背景、研究意义、国内外研究状况以及研究的主要内容。

第二部分南京*********公司有限公司现阶段管理策略。

第三部分结合企业的现阶段的发展战略信息安全管理对策的需求分析及匹配上存在的问题

第四部分企业信息安全分析及整体应用管理的研究

第五部分总结

二、*********公司信息安全管理概述

1、南京*********公司公司网络简介

南京*********公司为集团下属公司,在总部设立了较为完善的网络布局。总部采取多线路方式接入Internat,终端总数为几百台。网络中划分子网和单独的内网服务器区,部署与核心业务相关的服务器,如数据库、邮件服务器、财务服务器、以及ERP服务器等,部署防火墙、入侵检测系统以及防病毒服务器等网络安全产品。

集团公司下属各分支机构均有网络部署。分支机构采取专线和VPN接入总部局域网,主要通过访问总部服务器或通过邮件进行业务沟通交流。

南京*********公司是基于集团公司网络下以VPN接入到集团网络使用数据信息,公司有自己的部分数据服务、病毒防御、文件服务端、传真、域服务以及备份服务器。我司与集团公司总部信息化程度较高,主要包括财务管理、集团公司业务管理等,其中财务管理涉及网上支付,现金转帐等功能。根据公司业务的重要性,需要对公司进行信息安全测试和安全风险测评,以确定系统的安全目标达成情况和安全措施的实现程度,从而确定现有安全措施能否抵御现有和所面临的威胁、脆弱性的影响,以及未来可能面临的威胁,和需要采取的措施。

我司现网络拓扑如下图:

2、*********公司有限公司现阶段的策略

解决公司计算机网络中的安全问题,关键在于建立和完善公司计算机网络信息安全防护体系。现阶段对策是在技术层而上建立完整的网络安全解决方案。

(一)网络安全技术对策

(1)使用安个路由器和虚拟专用网技术。安个路由器采用了密码算法和加/解密专用芯片,通过在路由器主板上增加安个加密模件来实现路由器信息和IP 包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。

(2)安装防病毒软件和防火墙。在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行个而实时监控,发现异常情况及时处理。

(3)安装入侵检测系统和网络诱骗系统。入侵检测能力是衡量整个防御体系是否完整有效的重要因素。入侵检测的软件和硬件共同组成了入侵检测系统。

(二)网络安全管理对策

(1)强化思想教育、加强制度落实是网络安全管理工作的基础。搞好公司网络安全管理工作,首要的是做好人的工作。员工要增强网络安全保密意识,增长网络安全保密知识,提高网络保密素质,改善网络安全保密环境。在每个人的大脑中筑起公司网络信息安全的防火墙。

(2)公司重视网络信息安全人才的培养。加强操作人员和管理人员的安全培训,主要是在平时训练过程中提高能力,通过不间断的培训,提高保密观念和责任心,加强业务、技术的培训,提高操作技能;对内部涉密人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高人员的思想素质、技术素质和职业道德。

三、*********公司信息安全管理对策的需求分析

3.1 企业信息安全管理战略研究

3.1.1战略研究

1、现阶段我司计算机网络信息安全存在的问题

1.1计算机网络安个技术问题

(1)缺乏自主的计算机网络软、硬件核心技术。我国信息化建设缺乏自主的核心技术支撑,计算机网络的主要软、硬件,如CPU芯片、操作系统和数据库、网关软件人多依赖进口。信息设备的核心部分CPU山美国和我国台湾制造;我司

计算机网络中普遍使用的操作系统来自国外,这此系统都存在人量的安个漏洞,极易留下嵌入式病毒、隐性通道和可恢复密钥的密码等隐患;计算机网络中所使用的网管设备和软件绝人多数是舶来品,在网络上运行时,存在着很人的安个隐患。这素使我司计算机网络的安个性能人人降低,网络处于被窃听、十扰、监视和欺诈等多种安个威胁中,网络安个处于极脆弱的状态。

(2)长期存在被病毒感染的风险。现代病毒可以借助文件、由日件、网贞等诸多力式在网络中进行传播和蔓延,它们具有自启动功能,‘常‘常潜入系统核心与内存,为所欲为。计算机一旦受感染,它们就会利用被控制的计算机为平台,破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个集团计算机网络数据传输中断和系统瘫痪。

(3)公司涉密信息在网络中传输的安个可靠性低。隐私及公司涉密信息存储在网络系统内,很容易被搜集而造成泄密。这此涉密资料在传输过程中,要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。网络中可能存在某节点在非授权和小能监测力式下的数据修改,这此修改进入网中的帧并传送修改版本,即使采用某此级别的认证机制,此种攻击也能危及可信节点间的通信。重发就是重复份或部分报文,以便产生个被授权效果。当节点拷贝发到其他节点的报文并又重发他们时,若小能监测重发,日的节点会执行报文内容命令的操作,例如报文的内容是关闭网络的命令,则将会出现严重的后果。假冒是网络中个实体假扮成另个实体收发信息,很多网络适配器都允许网帧的源地址山节点自己来选取或改变,这就使冒充变得较为容易。

( 4)存在来自网络外部、内部攻击的潜在威胁。网络中台无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用人量资源,修改网

络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。在网络内部,则会有此非法用户冒用合法用户的口令以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。有非法用户还会修改自己的IP和人MAC地址,使其和合法用户IP和MAC地址样,绕过网络管理员的安个设置。

1.2信息安个管理问题

在公司网络建设中,高投入地进行网络基础设施建设,而相应的管理措施却没有跟上,在网络安个上的投资也是微乎其微。有些领导错误地认为,网络安全投资只有投入却未见直观效果,对公司日常工作影响不大。因此,对安全领域的投入和管理远远小能满足安个防范的要求。而旦安个上出了问题,又没有行之有效的措施补救,有的甚至是采取关闭网络、禁比使用的消极手段,根本问题依然未得到实质性的解决。

网络管理和使用人员素质不高、安个意识淡薄。据调查,目前国内90%的网站存在安个问题,其主要原因是管理者缺少或没有安个意识。企业计算机网络用户飞速增长,然而大多数人员网络知识掌握很少,安个意识不强,经常是在没有任何防范措施的前提下,随便把电脑接入网络;在不知情的情况下将带有保密信息的计算机连入因特网,或使用因特网传递保密信息;对数据不能进行及时备份,经常造成数据的破坏或丢失;对系统不采取有效的防病毒、防攻击措施,杀毒软件不能及时升级。

3.1.2企业信息安全策略

影响我司网络安全的方面有物理安全、网络隔离技术、加密与认证、网络反

病毒、网络入侵检测等多种因素。在本案例中,信息安全测试内容大致分为服务器安全、网络安全、应用安全、数据安全、安全信息措施检测以及系统安全风险评估等五个方面。

1.服务器安全

因为该公司关键业务都部署在不同的服务器上,所以服务器本身的安全性不容忽视。我们从密码复杂度、本地安全策略、防病毒软件安装以及管理措施等几个方面,检查服务器的本地审计策略、访问控制策略,扫描操作系统漏洞等内容。

2.网络安全

网络安全的测试,主要包括网络设计、日志及审计分析检测、防火墙检测、入侵检测系统检测、病毒防护检测以及网络基础设施检测等内容。

根据现有的网络设计,首先我们检测网络拓扑及结构,判断被评估网络的地址分配和网段划分是否合理,检测vlan划分等情况。然后,我们进行渗透测试,对防火墙策略、入侵检测策略、防病毒策略进行检测和评估。

3.应用安全

针对服务器上部署的应用,我们检测应用系统的访问控制策略,包括是否有正式的用户注册和注销程序,是否提供诸如密码、指纹、验证码、加密狗等多种身份认证方式,内部及外部用户使用正确口令是否能且仅能访问授权服务,用户是否能够更新相关信息及口令,用户信息更新是否与访问控制权限联动等内容。

4.数据安全

数据测试,大致包括以下五部分内容:

1)检查使用sniffer等工具检查在网络通信过程中能否截获明文数据

2)检查系统是否对关键数据信息进行加密存储

3)检查系统是否具备备份策略,定期备份数据

4)检查备份数据管理措施的严密程度和实施有效度

5)检查是否存在对备份数据定期检测的机制

5.安全管理措施检测

该部分包括信息安全策略文档、信息安全责任划分、安全管理相关培训记录及考核以及信息安全事故管理四个方面。我们检查该公司网络管理职能的分割与责任分担情况,用户的权利分级和责任情况以及攻击和入侵应急处理流程和灾难恢复计划等情况,对公司的安全管理措施进行检测和评估。

3.2公司网络安全的需求分析

目前我司由于人力和资金上的限制,网络安全产品不仅仅需要简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。归结起来,应充分保证以下几点:

1. 网络可用性:网络是业务系统的载体,防止如DOS/DDOS这样的网络攻击破坏网络的可用性。

2.业务系统的可用性: 企业主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

3.数据机密性:对于公司网络,保密数据的泄密将直接带来公司商业利益的损

失。网络安全系统应保证机密信息在存储与传输时的保密性。

4.访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。

5.网络操作的可管理性:对于网络安全系统应具备审计和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。易用的功能。

3.2.1计算机网络系统集中管理

随着计算机应用技术的迅速发展,企业对计算机应用的广度和深度也不断提高,同时对计算机的依赖程度也越来越强,如何提高计算机应用系统的安全稳定性、减少故障是提高银行业市场竞争力的一个重要手段。目前网络质量、操作系统和应用系统功能和稳定性日益增强,为企业各应用系统的集中管理创造了良好的条件。在实际应用过程中,任何系统如果离开良好的管理维护,其可靠性都难以得到保障。因此,只有获得计算机运行的高可靠性与科学的管理和维护,才可以有效实现整个计算机应用系统的稳定运行。

1、网管应是集中式管理

应给公司计算机网络系统管理提供一个集中的管理方法,可以通过中心管理控制台,对所有的系统、数据库、关键应用、网络、存储、安全进行监控、管理、控制、优化和分析预测。而主控台与被管理对象之间的连接方式,对主机和应用系统可以使用TCP/UDP两种方式,供用户根据网络状况选择使用;对网络设备则使用SNMP进行集中管理。

2、网管应提供全面的管理功能

在整个计算机应用管理系统中,应提供强大、丰富的管理能力,包括:不同操作系统(UNIX, Windows NT/2000, Linux)的管理、网络管理、存储设备管理、

数据库(Oracle, SQL Server, Informix)管理、中间件管理、可用性专家报告、事件管理、性能分析、性能预测、性能分析预测专家报告等等。这样,就能保证系统管理员不仅能够发现问题,而且能够根据专家建议及时处理问题;就能帮助决策管理人员对业务系统进行可用性状况的综合分析,对将来的业务状况进行预测,从而更为合理、充分地利用现有资源,并对未来的需求进行科学规划。3、网管应易于学习和使用

作为应用系统管理工具,必须为管理人员提供直观、易用的使用界面和策略定义工具以及各种功能操作方式的一致性,要求操作维护简单、管理界面友好。系统管理软件应提供丰富的图形界面,通过这些图形界面,用户能够完成所有的管理功能,包括:关键应用的监测、事件的浏览、事件的捕获和恢复、获得专家建议、性能的监控、性能的分析预测、可用性和性能报告的生成等等。

4、网管实施应不影响业务系统

应用管理软件的实施和运行,不得对业务系统的正常运行有影响。业务服务器尤其不允许进行重新启动。若应用管理软件有部分监控进程需运行在业务服务器上,则其所占系统资源不得超过5%。在系统业务繁忙时,业务服务器上的监控进程应该动态降低所占用的系统资源,避免系统资源的争用。

3.2.2网络数据存储备份管理

实际上,备份不仅只是数据的保护,其最终目的是为了在系统遇到人为或自然灾难时,能够通过备份内容对系统进行有效的灾难恢复。所以,在考虑备份选择时,应该不仅只是消除传统输入指令的复杂程序或手动备份的麻烦,更要能实现自动化及跨平台的备份,满足用户的全面需求。因此可以说,备份不等于单纯的拷贝,管理也是备份重要的组成部分。管理包括备份的可计划性、磁带机的

自动化操作、历史记录的保存以及日志记录等等。正是有了这些先进的管理功能,在恢复数据时我们才能掌握系统信息和历史记录,使备份真正实现轻松和可靠。因此,备份应该是“拷贝+管理”。

备份系统应实现以下要求:

策略化的备份与恢复机制,数据库备份、文件备份均可采用在线/离线备份机制。

备份软件能对磁带进行管理并分别定义备份恢复并有操作记录。

系统安全机制具有全面的灾难恢复支持。

配置的集成环境便于升级和扩展,形成一个开放、智能和集成的自动存储和备份恢复环境。

对网络上需要备份的主机实现集中管理,并能监控整个备份的运行情况。

支持多种数据库的数据备份及恢复功能。

操作简单明了,使用灵活方便,容易维护。

支持多种操作系统支持多级数据备份。

能够实现灾难恢复,在系统崩溃时可以迅速恢复。

备份系统与硬件无关,硬件改造和升级时,备份系统可不受影响。保护前期的投资。

一、全面备份系统方案的选择

在选择备份系统之前,我们首先要把握备份的三个主要的特点:

(1)备份最大的忌讳是在备份过程中因介质容量不足而更换介质,因为这会降低备份数据的可靠性。因此,存储介质的容量在备份选择中是最重要的。(2)备份的目的是为了防备万一发生的意外事故,如自然灾害、病毒侵入、人为破坏等。这些意外发生的频率不是很高,从这个意义上来讲,在满足备份窗

相关主题
相关文档
最新文档