網絡環(huán)境下的企業(yè)信息安全問題研究目錄TOC\o"1-3"\h\u265111緒論 1162741.1研究背景與意義 16111.1.1研究的背景 1287561.1.2研究的意義 1319072企業(yè)信息安全概述 382332.1企業(yè)信息安全的等級與特征 3173992.2企業(yè)信息安全的重要性 4310083網絡環(huán)境下影響企業(yè)信息安全問題分析 5217243.1網絡信息安全涉及的技術 5310223.1.1防火墻技術 5107733.1.2數據加密技術 5124103.1.3數字簽名 6148303.1.4數字證書 7204373.1.5病毒防護技術 778803.2影響企業(yè)信息安全的因素 8188603.2.1網絡病毒 8257863.2.2“黑客”入侵 8224133.2.3計算機網絡協(xié)議存在的安全問題 9116653.2.4數據丟失 9288633.2.5人文環(huán)境 1095893.3產生企業(yè)信息安全問題的根源分析 10252853.3.1互聯(lián)網犯罪行為嚴重 10220033.3.2黑客技術發(fā)展迅速 107023.3.3用戶安全意識不強 1146853.3.4領導者的支持與參與程度不強 11263683.3.5企業(yè)內部信息管理機構不完善 11202744企業(yè)信息安全策略設計 12210974.1技術手段 1223834.1.1計算機防毒和殺毒 1218364.1.2安裝補丁程序 12146834.1.3做好重要資料管理 1395174.1.4防火墻技術 1324404.2管理手段 1461914.2.1提高安全防范意識 14244524.2.2健全有效的信息安全管理制度 14318284.3法律手段 15100904.3.1用法律武器抵制侵犯 15214444.3.2落實法律責任 15285014.3.3加強法律意識 16323785結論 1783066參考文獻 181緒論1.1研究背景與意義1.1.1研究的背景進入21世紀以來，以Internet為代表的信息網絡技術已經廣泛應用于社會各個領域，信息全球化已經成為社會發(fā)展的必然趨勢，信息安全的內涵也就發(fā)生了根本性的變化，它不僅僅從一般性的防衛(wèi)變成了一種非常普遍的防范，還從一種專門的領域擴展成無處不在。尤其計算機技術和網絡技術高速發(fā)展的同時，對整個社會的科學技術、經濟與文化帶來巨大的推動和沖擊，尤其近十幾年來計算機網絡在企業(yè)信息安全各方面應用深入已經成為企業(yè)信息不可或缺的部分，但同時也給我們帶來許多挑戰(zhàn)。隨著企業(yè)信息化水平的逐步提高，隨之而來的信息安全問題也越來越突出，網絡安全與否，直接關系到企業(yè)能否正常進行運轉，并且隨著網絡規(guī)模的不斷擴大，企業(yè)信息安全事故的數量以及其造成的損失也在成倍地增長，病毒、黑客、網絡犯罪等給我們的信息安全帶來很大威脅，網絡環(huán)境下的企業(yè)信息安全是一個系統(tǒng)的、全局的管理問題，網絡上的任何一個漏洞，如果不進行有效的安全防護，網絡信息系統(tǒng)將會受到具有破壞性的攻擊和危害，一旦企業(yè)網絡遭到攻擊，企業(yè)信息泄露，甚至被人篡改，就會給企業(yè)帶來不可估量的損失。因此信息網絡安全是一個綜合的系統(tǒng)工程，需要我們做長期的探索和規(guī)劃。這樣我們的企業(yè)才能長遠發(fā)展。1.1.2研究的意義在當今全球一體化的商業(yè)環(huán)境中，信息的重要性被廣泛接受，信息系統(tǒng)在商業(yè)和政府組織中得到了真正的廣泛應用。許多組織對其信息系統(tǒng)不斷增長的依賴性，加上在信息系統(tǒng)上運作業(yè)務的風險、收益和機會，使得信息安全成為企業(yè)管理越來越關鍵的一部分。但企業(yè)的信息安全系統(tǒng)是一串復雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所有地方，不安全因素總是存在，沒有一個系統(tǒng)是完美的

，信息安全是企業(yè)必須面對的問題。中國工程院院長徐匡迪曾指出：“沒有安全的工程就是豆腐渣工程”。信息安全事件，不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導致巨大的經濟損失，還造成了不良的社會影響，甚至不可彌補，因此，研究企業(yè)信息安全問題是非常必要的。1.2研究內容與框架通過介紹當前的研究背景與意義，在概念等方面簡單介紹了企業(yè)信息安全的等級與特征，在企業(yè)信息安全防護體系的構建需花費大量人力、物力、財力和基本安全保護能力之間尋求一個利于企業(yè)發(fā)展的平衡點，使企業(yè)的信息安全盡可能得到有效的保證，也迫使管理者把更多的目光放在信息安全方面，重視企業(yè)信息安全的重要性。企業(yè)技術人員也應熟練掌握信息安全所涉及的技術，尤其是防火墻技術、數據加密技術、數字簽名、數字證書和病毒防護這些日常企業(yè)信息安全息息相關的技術，也應該讓非技術人員有所了解，這樣才能有效利用和保護這些信息，在這些技術的基礎上分析影響企業(yè)信息安全的因素，如網絡病毒，計算機網絡協(xié)議和人為無意操作等，從各個方面綜合分析，確保企業(yè)信息安全不會因為這些因素遭受破壞，所以我們要從根源分析這些因素產生的原因，從深層次的原因杜絕這些隱患。企業(yè)信息安全是一個全方位的工作，所以我們不能從單一角度來解決信息安全問題，必須把技術手段，管理手段，法律手段結合起來使用，不能只依靠先進的設備和技術手段，來確保信息的絕對安全，也不能只依賴管理者的管理手段，忽視技術與法律，科技是第一生產力，而法律是最強大的武器，把三者結合起來，定能構造一個積極健康，運行良好的企業(yè)信息安全環(huán)境，使企業(yè)穩(wěn)定發(fā)展。企業(yè)信息安全問題根源企業(yè)信息安全問題根源用戶安全意識不強黑客技術發(fā)展迅速互聯(lián)網犯罪行為嚴重用戶安全意識不強黑客技術發(fā)展迅速互聯(lián)網犯罪行為嚴重企業(yè)內部信息管理機構不完善領導者的支持與參與程度不強企業(yè)內部信息管理機構不完善領導者的支持與參與程度不強企業(yè)信息安全因素企業(yè)信息安全因素網絡病毒數據丟失“網絡病毒數據丟失“黑客”入侵人文環(huán)境計算機網絡協(xié)議人文環(huán)境計算機網絡協(xié)議企業(yè)信息安全技術企業(yè)信息安全技術數據加密技術病毒防護技術數字簽名數字證書防火墻技術數據加密技術病毒防護技術數字簽名數字證書防火墻技術圖一：企業(yè)信息安全問題研究框架2企業(yè)信息安全概述信息安全本身包括的范圍很大，可以說大到國家軍事政治等機密安全，小到如防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環(huán)境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制（數字簽名、信息認證、數據加密等），直至安全系統(tǒng)，其中任何一個安全漏洞都可以威脅全局安全。信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。而不同等級的信息需要不同的等級防護，具體如下：2.1企業(yè)信息安全的等級與特征企業(yè)信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國，信息安全等級保護廣義上為涉及到該工作的標準、產品、系統(tǒng)、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統(tǒng)安全等級保護，是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置的綜合性工作。企業(yè)信息安全防護體系的構建需要大量的人力、物力和財力，并且對企業(yè)信息安全系統(tǒng)的運行性能造成影響。因此，對企業(yè)信息安全性能的要求沒有限度，必須以安全威脅的風險系數為依據，保證適宜的防護等級，確保企業(yè)信息系統(tǒng)的運行效率和質量。不同等級的企業(yè)信息安全系統(tǒng)應具備的基本安全保護能力如下：第一級安全保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復部分功能。第二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內恢復部分功能。第三級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大部分功能。第四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。2.2企業(yè)信息安全的重要性企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。隨著網絡環(huán)境的日益惡化以及企業(yè)自身的發(fā)展伴隨著越來越多的商業(yè)泄密事件的發(fā)生，信息安全問題逐漸被重視，信息安全建設成了企業(yè)首要任務，所以，在不久的將來，信息安全將更多的被企業(yè)所關注，會有更多的企業(yè)加入到安全行列中來的，這也是企業(yè)生存和發(fā)展的關鍵步驟之一。隨著企業(yè)信息化水平的逐步提高，隨之而來的信息安全問題也越來越突出，網絡安全與否，直接關系到企業(yè)能否正常進行運轉，并且隨著網絡規(guī)模的不斷擴大，企業(yè)信息安全事故的數量以及其造成的損失也在成倍地增長，病毒、黑客、網絡犯罪等給我們的信息安全帶來很大威脅，網絡環(huán)境下的企業(yè)信息安全是一個系統(tǒng)的、全局的管理問題，網絡上的任何一個漏洞，如果不進行有效的安全防護，網絡信息系統(tǒng)將會受到具有破壞性的攻擊和危害，一旦企業(yè)網絡遭到攻擊，企業(yè)信息泄露，甚至被人篡改，就會給企業(yè)帶來不可估量的損失。因此信息網絡安全是一個綜合的系統(tǒng)工程，需要我們做長期的探索和規(guī)劃。這樣我們的企業(yè)才能長遠發(fā)展。3網絡環(huán)境下影響企業(yè)信息安全問題分析3.1網絡信息安全涉及的技術企業(yè)網絡系統(tǒng)涉及到各方面的網絡安全問題，我認為整個企業(yè)的安全體系必須集成多種安全技術實現(xiàn)，如防火墻技術、數據加密技術、數字簽名技術、數字證書技術、病毒防護技術等，下面就以上技術加以詳細闡述：3.1.1防火墻技術所謂“防火墻”則是綜合采用適當技術在被保護網絡周邊建立的用于分隔被保護網絡與外部網絡的系統(tǒng)，其實是一種隔離技術，“防火墻”一方面阻止外界對內部網絡資源的非法訪問，另一方面也可以防止系統(tǒng)內部對外部系統(tǒng)的不安全訪問。防火墻作為內部網絡安全的一道屏障，目的是用來保護內部網絡資源，強化內部網絡安全策略，防止內部信息泄露和外部入侵，同時也可以通過網絡地址轉換功能以緩解地址源緊張問題，以實現(xiàn)防火墻對網絡進行集中安全的管理，實現(xiàn)防火墻的主要技術有：數據包過濾、應用級網關、代理服務和地址轉換。防火墻也可以對Internet使用狀況進行登記查詢并對Internet連入代價和潛在帶寬瓶頸進行確認。防火墻還可以配置WWW和FTP服務，以方便相應用戶對此類服務進行訪問，也可以保護和禁止相關網絡系統(tǒng)的訪問；防火墻還具有審計功能。只要計算機中有足夠的磁盤空間或是記錄功能，其就能將經過防火墻的網絡流記錄在其中，一旦有危險信息出現(xiàn)的時候，防火墻也能將相關信息反映給防火墻管理人員，以便管理人員能及時解決相應問題，保證網絡安全。防火墻劣勢是在使用過程中，對已經授權的訪問并不能采取相應保護。畢竟防火墻允許保護系統(tǒng)正常通信的信息是需要通過防火墻的，所以如果其應用程序本身就存在一定錯誤，防火墻則不能發(fā)揮其作用以阻止其攻擊，也就是說是已經經過授權的。防火墻工作是按照配置規(guī)則進行的。一旦按照隨意規(guī)則進行配置，就會使防火墻功能減弱，與此同時防火墻對于那些已經授權的用戶，對于他們的合法訪問攻擊是不能更好發(fā)揮其作用的。此外，防火墻也不能對脆弱的管理措施進行修復，更不能阻止不經過防火墻的惡意攻擊。3.1.2數據加密技術數據加密又稱密碼學，它是一門歷史悠久的技術，指通過加密算法和加密密鑰將明文轉變?yōu)槊芪?，而解密則是通過解密算法和解密密鑰將密文恢復為明文。數據加密目前仍是計算機系統(tǒng)對信息進行保護的一種最可靠的辦法，它利用密碼技術對信息進行加密，實現(xiàn)信息隱蔽，從而起到保護信息安全的作用。數據加密技術是網絡安全技術的基石，按照加密算法分類，加密技術有兩種。第一種是對稱加密技術，采用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰和解密密鑰使用同一個密鑰，即同一個算法，這種方法在密碼學中叫做對稱加密算法，對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標準(DES)，另一個對稱密鑰加密系統(tǒng)是國際數據加密算法(IDEA)，它比DES的加密性好，而且對計算機功能要求也沒有那么高。第二種是非對稱加密技術，1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是“公開密鑰系統(tǒng)”。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。而最著名的非對稱加密算法莫過于RSA加密算法，與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰(publickey)和私有密鑰(privatekey)，公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密，因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫做非對稱加密算法。一般來說網絡安全中通常采用組合密碼技術來強化加密算法，這樣可大大增強算法的安全性。例如加密和解密數據用單密鑰密碼算法(如DES／IDEA)，而用RSA雙密鑰密碼算法來傳遞會話密鑰，這樣就能充分發(fā)揮對稱密碼體制的高速簡便性以及非對稱密碼體制的密鑰安全性。3.1.3數字簽名數字簽名是以電子形式存在于數據信息之中的，或作為其附件的或邏輯上與之有聯(lián)系的數據，可用于辨別數據簽署人的身份，并表明簽署人對數據信息中包含的信息的認可。數字簽名可以用來證明消息是由發(fā)送者簽發(fā)的，而且，當數字簽名用于存儲數據或程序時，可以用來驗證數據或程序的完整性。與普通手寫簽名一樣，數字簽名可以用來驗證信息的真實性。每個人都有一對“鑰匙”（數字身份），其中一個只有她/他本人知道（密鑰），另一個公開的（公鑰），簽名的時候用密鑰，驗證簽名的時候用公鑰，因為任何人都可以落款聲稱她/他就是你，因此公鑰必須向接受者信任的人（身份認證機構）來注冊，注冊后身份認證機構給你發(fā)一數字證書，對文件簽名后，你把此數字證書連同文件及簽名一起發(fā)給接受者，接受者向身份認證機構求證是否真的是用你的密鑰簽發(fā)的文件。數字簽名有兩種功效：一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。二是數字簽名能確定消息的完整性，因為數字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數字簽名的值也將發(fā)生變化。不同的文件將得到不同的數字簽名，采用數字簽名，能夠確認以下兩點：保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件，所以企業(yè)運用數字簽名可以保證企業(yè)信息安全，也可以保護企業(yè)相關利益。3.1.4數字證書數字證書相對于網上身份證，以數字簽名通過第三方權威認證有限進行網上身份認證，具有真實性功能，數字證書安全、保密、防篡改，可以對企業(yè)信息安全有效的保護。數字證書里存有很多數字和英文，當使用數字證書進行身份認證時，它將隨機生成128位的身份碼，每份數字證書都能生成相應但每次都不可能相同的數碼，從而保證數據傳輸的保密性，即相當于生成一個復雜的密碼。數字證書綁定了公鑰及其持有者的真實身份，它類似于現(xiàn)實生活中的居民身份證，所不同的是數字證書不再是紙質的證照，而是一段含有證書持有者身份信息并經過認證中心審核簽發(fā)的電子數據，可以更加方便靈活地運用在電子商務和電子政務中。數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。數字簽名與數字證書通常緊密相關，二者相結合使用保護企業(yè)信息在傳輸使用的過程這不會遭受攻擊，可以有效的保證企業(yè)信息的安全。3.1.5病毒防護技術病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網絡的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。病毒程序可以通過文件下載、電子郵件、使用盜版光盤或軟盤、通過Web游覽傳播（主要是惡意的Java控件網站）、人為投放等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染，病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器不能正常運行等病毒防護的主要技術如下：阻止病毒的傳播。在所有計算機上安裝病毒監(jiān)控軟件。檢查和清除病毒。使用防病毒軟件檢查和清除病毒。病毒數據庫的升級。病毒數據庫應不斷更新，并下發(fā)到桌面系統(tǒng)。3.2影響企業(yè)信息安全的因素網絡環(huán)境下能對企業(yè)信息安全造成威脅的因素有很多，可能是有意的攻擊，也可能是無意的操作，可能是內部的破壞，也可能是外來攻擊者對信息資源的非法使用。歸結起來，企業(yè)信息安全面臨下列安全隱患：3.2.1網絡病毒計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒具有有破壞性，復制性和傳染性的特點。計算機病毒的主要傳播方式就是網絡傳播，也是危害計算機網絡安全的主要問題，一旦病毒爆發(fā)，輕則降低速度，影響工作效率，重則使網絡堵塞，破壞服務器信息，甚至造成網絡癱瘓，造成不可估量的損失。在互聯(lián)網安全問題中,網絡病毒發(fā)生的頻率高,影響的面積廣,并且造成的破壞和損失也列在所有安全威脅之首。而目前企業(yè)遇到的最大的安全隱患便是病毒（包括木馬病毒和后門病毒）和流氓軟件，例如今年上半年河北大約有100萬臺電腦遭受病毒感染和攻擊，而且入侵、攻擊和欺騙手段花樣翻新，給河北的企業(yè)用戶造成巨大的威脅。3.2.2“黑客”入侵黑客被定義為專指利用系統(tǒng)安全漏洞對網絡進行攻擊破壞或竊取資料的人。黑客利用計算機網絡存在的漏洞，盜取或篡改個人用戶的資料、窺探個人隱私，竊取企業(yè)的商業(yè)機密，還有部分黑客侵入國家網絡安全系統(tǒng)，造成國家財產的損失或危害社會公共安全。黑客就像是一個計算機數據信息的竊賊，他們以編寫計算機病毒、制造網絡攻擊、侵入局域網系統(tǒng)或網站后臺為業(yè)，其技術水平往往與網絡科技更新同步，甚至超前，是當今世界網絡威脅的最大制造者。黑客一般采取信息轟炸、獲取密碼、PING炸彈、攻破防火墻等方式，輕則造成數據被篡改，嚴重會造成網絡系統(tǒng)癱瘓或服務器拒絕服務。據中國互聯(lián)網絡信息中心發(fā)布的報告，09上半年，有1億1千萬中國網民遇到過賬號或密碼被盜的問題，而這些問題都與黑客有關，現(xiàn)在，讓人擔憂的是，企業(yè)信息化發(fā)展趨勢之下，掌握類似技術的黑客正在互聯(lián)網上一個個所謂的“黑客培訓學校”被成批復制，基于此網絡環(huán)境下的企業(yè)信息安全問題讓人越來越擔憂，不得不重視黑客問題。3.2.3計算機網絡協(xié)議存在的安全問題計算機網絡協(xié)議是有關計算機網絡通信的一整套規(guī)則，或者說是為完成計算機網絡通信而制訂的規(guī)則、約定和標準。Internet中的關鍵協(xié)議是TCP／IP協(xié)議，即網絡通訊協(xié)議。而這一協(xié)議當初制定是出于資源共享的目的，而沒有考慮安全方面的問題，致使Internet自身存在脆弱性，也容易遭受攻擊。例如出現(xiàn)DOS、DDOS攻擊，SYN-Flood攻擊、ICMP攻擊、源路由攻擊、截取連接攻擊、以及IP地址被盜用等問題。隨著信息時代的來臨，企業(yè)信息資源共享應當成為一種必須，它不僅有利于企業(yè)在激烈的市場競爭中獲得優(yōu)勢，也將極大地促進社會信息資源的優(yōu)化配置，商業(yè)機密作為企業(yè)另一種形式的信息資源，是企業(yè)生存與發(fā)展的核心技術，而現(xiàn)實中企業(yè)信息資源共享與商業(yè)機密有時會產生矛盾。在資源共享時計算機網絡協(xié)議會危及企業(yè)信息安全，不容忽視。3.2.4數據丟失計算機系統(tǒng)由于系統(tǒng)崩潰、硬件設備的故障或損壞、網絡黑客入侵、計算機病毒發(fā)作以及管理員的誤操作等各種原因會導致數據出錯、丟失和損害，如果沒有事先對數據進行備份，后果不堪設想。信息安全,核心就是數據安全。虛擬的數據,其實存儲著人們真實的財富，而在日常的應用中,我們的數據會因各種各樣的原因丟失,束手無策的情況時有發(fā)生。企業(yè)在2008年面臨的最大信息安全挑戰(zhàn)已經昭然若揭,這就是數據丟失。2012年九月，位于河南洛陽的一家國企公司，其職員周某在辦公之時，突遇電腦死機問題，多次重啟仍不能正常識別硬盤，且出現(xiàn)“噠噠”聲響，重要的是該硬盤存儲了公司近八年的技術資料和圖紙，如果丟失，公司將遭遇巨大損失。同樣類似的案例在上海某國企財務人員李倩身上也重現(xiàn)了，在國慶前夕，她遭遇極其嚴重的數據丟失，癥狀也是電腦突然無法正常啟動，經IT部門工程師檢測，也是硬盤出現(xiàn)問題，直接導致財務報表遺失，影響了整個公司的正常運轉。事實上，企業(yè)遭遇數據丟失并不是新鮮事，據效率源（全球數據恢復設備研發(fā)知名企業(yè)）數據恢復專家介紹，從該公司分布在北京、上海、浙江、河南、內蒙、廣東等地的幾十家數據恢復連鎖服務中心統(tǒng)計的數據來看，平均每個中心每天都會接手1-5個來自企業(yè)的數據丟失案例，且大多都是因為電腦使用年限過長，硬盤硬件老化導致信息安全問題。3.2.5人文環(huán)境對信息安全影響最深的即為人為因素。使用信息系統(tǒng)人員的素質以及他們對信息安全的重視程度將決定整個信息系統(tǒng)的安全程度。在企業(yè)內部，由于規(guī)章制度不健全、業(yè)務不熟練、違章操作、保密觀念不強，網絡管理人員隨意將口令或賬號告之他人或是無意泄露，都會導致在網絡的信息安全上產生可能的漏洞。更有企業(yè)內部人員如果企圖破壞網絡系統(tǒng)，錯誤地進入數據庫、惡意導入或刪除信息系統(tǒng)的數據等，都將給企業(yè)的正常運作和管理造成極大的安全風險。此外，信息安全管理機制不健全，缺乏統(tǒng)一的監(jiān)管，以及相關的信息網絡安全制度的執(zhí)行和監(jiān)督力度不足，致使網絡安全存在隱患。因此在安全管理上的一系列漏洞可能會導致巨額經費打造的網絡安全機制形同虛設。3.3產生企業(yè)信息安全問題的根源分析3.3.1互聯(lián)網犯罪行為嚴重互聯(lián)網進入人們生活的各個角落，人們很多事情都需要通過網絡來完成。正因為這樣，網絡犯罪也越來越普遍。人們利用網絡盜取別人的信息，對企業(yè)員工用戶的保密信息、財產等造成嚴重損失。據統(tǒng)計，2010年日本被檢舉的網絡犯罪案件達到了6933起，包括使用他人密碼進行不法入侵、網上違法商品買賣等，而網絡上流傳的兒童色情圖像等違法、有害的信息也超過了4萬件。無論哪一項，都是歷史最高值，這表明網絡空間成為了犯罪的溫床。在日本警察的白皮書中還提及網絡攻擊對于企業(yè)及政府機關電腦系統(tǒng)的威脅，通過外部的不法操作，入侵存在缺陷的企業(yè)數據庫，盜取大量的個人信息，然后再偽裝成企業(yè)，向用戶發(fā)送帶有病毒的郵件，感染用戶電腦并盜取信息，這類案件尤為突出。索尼公司便因為黑客的不法入侵，導致上億份個人信息流失，被迫向用戶支付巨額的賠償，企業(yè)一旦被攻擊，就可能傷害到整個品牌形象，造成重大損失。企業(yè)管理人員應強化危機管理，加強警戒。3.3.2黑客技術發(fā)展迅速互聯(lián)網不斷發(fā)展，商業(yè)活動越來越多，現(xiàn)在出現(xiàn)的很多病毒都是帶有商業(yè)利益的，病毒的方式有木馬、蠕蟲、間諜程序等，導致網絡中的信息和數據被盜取。黑客之所以能給用戶數據帶來威脅，因為它能使病毒進行偽裝和隱藏，以致于一般的殺毒軟件無法檢查并查殺病毒。從事網絡安全技術服務的公司，如果沒有研究開發(fā)黑客技術的水平，或者沒有發(fā)現(xiàn)客戶系統(tǒng)潛在隱患的能力，其服務質量是提不上來的。目前國際上很多從事網絡安全業(yè)務的公司紛紛雇請黑客從事網絡安全檢測與產品開發(fā)，甚至一些政府部門也不惜重金招納黑客為其服務，因為網絡安全的防范對象是惡意黑客，所以必須有了解攻擊手段的黑客參與，才能更全面地防范黑客攻擊。合格的網絡安全專家必須具有黑客的能力，不了解黑客技術的網絡安全專家是不可想象的。所以黑客技術發(fā)展迅速是企業(yè)信息安全的大患，危害嚴重，應該合理利用。3.3.3用戶安全意識不強對于互聯(lián)網用戶應該加強安全意識，所有用戶要有自身網絡保護意識，還要注意自身的網絡行為是否給他人造成危害意識，有時用戶的不經意行為就會造成其他用戶的安全威脅。例如，廣州北大青鳥湘計立德網絡工程師分析外媒報道，互聯(lián)網安全企業(yè)賽門鐵克公司（Symantec）提供的服務調查研究報告揭示，企業(yè)用戶對Linux郵件服務器安全意識的缺乏為“僵尸病毒”的傳播大開便利之門，并使得眾多運行Linux操作系統(tǒng)的用戶遭受“僵尸病毒”感染。安全與我們的日常生活及工作息息相關，安全事故會給當事人及其親屬帶來巨大的痛苦和損失，而很多安全事故都是由于缺乏安全意識或者安全意識不強造成的，因此培養(yǎng)具備良好安全意識的個人對于提升整個社會安全水準就顯得非常重要。3.3.4領導者的支持與參與程度不強某些企業(yè)領導對企業(yè)信息安全管理的認識不同或重視不夠，現(xiàn)代企業(yè)在網絡環(huán)境下已趨向信息化建設，而有些企業(yè)領導不能轉變舊觀念，不能適應信息化的社會，對信息和信息技術推動企業(yè)發(fā)展的重要性和作用認識不足，對迅猛發(fā)展的世界信息化浪潮,仍處在認識上的茫然狀態(tài)。在網絡環(huán)境下就導致企業(yè)信息安全出現(xiàn)了隱患，產生了不同效果。企業(yè)領導者對企業(yè)的發(fā)展起著關鍵作用,領導重視及參與程度的不同,直接導致企業(yè)信息安全發(fā)展程度的差異。3.3.5企業(yè)內部信息管理機構不完善從總體上,我國很多企業(yè)管理基礎薄弱,如管理意識淡薄,管理手段單一,管理措施落后,管理基礎數據缺乏及不準確等,使企業(yè)信息安全出現(xiàn)了隱患。另外,企業(yè)信息管理機構不健全,信息管理不規(guī)范,信息處理與傳輸落后,信息設備利用率低等也是影響企業(yè)信息化安全發(fā)展的重要因素。4企業(yè)信息安全策略設計4.1技術手段4.1.1計算機防毒和殺毒鑒于計算機病毒會對網絡安全產生極大的危害，因此要在計算機上安裝殺毒軟件。在安裝殺毒軟件都要定時的進行系統(tǒng)安全掃描消除安全隱患，同時要定期的對殺毒軟件和病毒庫進行升級、更新。例如常用的360安全衛(wèi)士，瑞星殺毒軟件等。由于在網絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，所以計算機病毒的防范是網絡安全性建設中重要的一環(huán)。病毒是信息安全的殺手，從病毒發(fā)作的情況來看，病毒的攻擊目標沒有特定性，而且越來越隱蔽。從個人網站到企業(yè)網絡，無不受其所害，曾經有網絡公司的防火墻被不明身份的黑客攻破了，牽扯到大量的用戶信息被泄露，造成巨大損失。面對各式各樣不斷展演變中的病毒，企業(yè)對信息系統(tǒng)的日常維護和管理就顯得尤為重要。企業(yè)網絡部門工作人員要定期給辦公司電腦操作系統(tǒng)存在的安全漏洞打補丁，還要給每個客戶端都設置可靠的防毒軟件、防火墻、漏洞掃描系統(tǒng)、日志系統(tǒng)，加強入侵檢測和補丁管理，對企業(yè)遭受到的病毒攻擊進行集中分析，掌握企業(yè)計算機系統(tǒng)中存在的安全隱患，采取有效的措施和方法防范由于病毒感染導致企業(yè)重要信息出現(xiàn)泄漏或者破壞。同時網絡技術人員也要對公司所有電腦進行防病毒軟件升級工作，確保網絡內所有服務器和終端計算機都安裝防病毒軟件，將殺病毒軟件設置成為自動升級狀態(tài)，及時更新病毒特征碼和系統(tǒng)補丁，防止由于個人疏忽造成沒有及時升級帶來病毒庫的安全威脅，保證企業(yè)信息系統(tǒng)的正常運行。4.1.2安裝補丁程序目前廣泛應用的操作系統(tǒng)軟件都存在系統(tǒng)漏洞，比如WindowsXP，Vista，Windows7系統(tǒng)中都存在漏洞，需要在其官網下載安裝補丁程序，能夠有效防止黑客攻擊，以實現(xiàn)計算機網絡系統(tǒng)的安全運行。安全漏洞是任何一種計算機軟件都存在著的安全隱患，都要不斷通過軟件更新及安裝軟件安全補丁來完善。任何企業(yè)都不希望自己企業(yè)的信息系統(tǒng)因為安全漏洞而受到攻擊或者非授權的操作，所以管理及使用人員要不斷的下載安全補丁來完善企業(yè)信息系統(tǒng)。軟件安全補丁的來源，驗證安全性、可靠性、檢測其完整性，每一步都非常重要，應該認真對待，及時檢查系統(tǒng)更新后出現(xiàn)的情況，這樣才能使企業(yè)信息安全得到保證，不讓不法分子有機可圖，使企業(yè)信息得到高效運轉。安裝軟件安全補丁是目前計算機用戶面臨的最重要的工作之一。計算機用戶現(xiàn)在面對的是大量的安全漏洞，這些漏洞不但給計算機用戶帶來諸多不便，而且給黑客造成可乘之機，給企業(yè)系統(tǒng)信息安全造成極大的威脅，為了更好的防范非授權的訪問，保護網絡和企業(yè)信息安全必須及時下載安全補丁，來保證IT環(huán)境安全，使企業(yè)系統(tǒng)處于高效和最新工作狀態(tài)。4.1.3做好重要資料管理當服務器或者硬盤發(fā)生故障時，重要的企業(yè)數據會受到嚴重威脅，但往往公司簡單的數據安全、信息安全體系對企業(yè)數據恢復、服務器數據恢復束手無策。為了保證信息系統(tǒng)的正常運行和業(yè)務的正常開展，專業(yè)的企業(yè)數據恢復、服務器數據恢復格外重要。大多數企業(yè)采用備份手段來解決日常的數據安全問題，企業(yè)在購買安裝和配置服務器時，通常采用常見的兩臺服務器“一用一備”。企業(yè)網絡技術人員將重要信息備份在一些光盤、U盤或者移動硬盤上，然后將其放置在不同的地方，避免同時受損害或者丟失，最大限度的保障企業(yè)信息安全和數據的完整性。做好數據的備份是解決數據安全問題的最直接與最有效措施之一。4.1.4防火墻技術防火墻就是一個位于計算機和它所連接的網絡之間的軟件。該計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口，而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信，在很大程度上保護了網絡的安全性。加密技術網絡安全中，加密作為一把系統(tǒng)安全的鑰匙，是實現(xiàn)網絡安全的重要手段之一，正確的使用加密技術可以確保信息的安全。數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數據的過程。與數據加密技術緊密相關的另一項技術是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有并由該用戶賦予它一個口令或密碼字，該密碼與網絡服務器上注冊密碼一致，當口令與身份特征共同使用時，智能卡的保密性是相當有效的。4.2管理手段在強調技術解決信息網絡安全的同時，還必須花大力氣加強對使用網絡的人員的管理，注意管理方式和實現(xiàn)方法，因為諸多的不安全因素恰恰反映在組織管理或人員工作時錄入、使用等方面，而這又是計算機網絡安全所必須考慮的基本問題。所以，要采取切實可行的方法，加強管理，立章建制，增強內部人員的安全防范意識。4.2.1提高安全防范意識結合近年來多發(fā)的危害網絡安全事件，很大程度上是由于網絡使用者安全意識不強有關。為了保障計算機網絡系統(tǒng)的安全需要提高網絡使用者的安全意識和網絡安全技術水平，規(guī)范網絡使用者的操作行為，避免出現(xiàn)人為因素造成的網絡安全問題。企業(yè)信息的安全離不開人，信息安全各環(huán)節(jié)的執(zhí)行最終都需要由人這個主體來完成。如果相關人員的安全意識薄弱，不小心泄密，則比其他安全不足帶來的損失會更大。沒有信息安全意識的企業(yè)員工常常會成為信息安全中最薄弱的一環(huán)。營造企業(yè)安全文化，最終目的就是讓這個企業(yè)的全體員工具備對災害事故及其風險的安全知識、防范意識和行動準則。這就要求企業(yè)必須不斷地提高員工的安全文化素質。具體來說，就是增強員工預防事故意識，糾正對事故認識上的偏差，用安全文化去影響和教育員工。當突遇自然災害時，員工能理智地支配自己的行動，有效地進行處置和搶救，把災害造成的損失降到最低,只有這樣，才能保障企業(yè)的長足發(fā)展和經濟效益的提高。當然，員工安全素質的提高不是一朝一夕的事情，需要不斷學習，行之有效地組織員工進行安全培訓和安全演練，建立健全安全工作責任制，定期進行安全檢查，落實制度執(zhí)行情況，在濃厚的安全文化氛圍中逐步養(yǎng)成、逐步提高員工的安全生產意識和自我防范能力。4.2.2健全有效的信息安全管理制度沒有安全管理，就沒有信息安全。真正的網絡安全實際上靠的不是這個或那個安全產品，而是自身固有的安全意識。尋求解決安全問題的根本方法在于不僅要具備安全可信的辦公電腦，也要建立更加完善的數據安全管理制度。真正實現(xiàn)企業(yè)的信息安全管理僅僅依靠技術手段是不夠的，必須對規(guī)章制度上加強企業(yè)人員的信息安全防范意識。首先要做好員工的培訓的管理。信息只是一種編碼形式，人才是信息的操作者，每個環(huán)節(jié)中安全隱患的最終來源都是人。為了能夠加強企業(yè)工作人員的信息安全防范意識，企業(yè)要加強對公司員工的系統(tǒng)培訓，從計算機基本知識到信息安全防范的具體方法都要進行細致講解，針對一些員工在日常使用計算機過程中不規(guī)范行為進行及時矯正，針對一些年紀較大的、對計算機不是十分熟悉的老員工，企業(yè)網絡技術人員要現(xiàn)場演示操作，讓員工養(yǎng)成良好的使用習慣。同時要選出有豐富計算機操作經驗的人員負責每個部分電腦的日常清潔、維護和管理，負責對部門電腦病毒庫的升級、電腦的內部清理等工作，確保企業(yè)信息安全。還要加強系統(tǒng)運行環(huán)境和維護管理，要加強對機房電源、空調系統(tǒng)、消防系統(tǒng)、監(jiān)控系統(tǒng)、門禁裝置等基礎設施的維護和管理，確保其可靠、正常的運行。嚴禁非系統(tǒng)管理人員隨意進入機房，嚴禁在機房內抽煙。嚴格落實機房巡視、系統(tǒng)巡檢、運行測試、操作審批、機房出入登記、信息安全故障上報等工作制度。嚴禁在機房的服務器上瀏覽網頁、隨意下載軟件、打游戲等。4.3法律手段4.3.1用法律武器抵制侵犯我國《刑法》第285條明確規(guī)定：違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。最高人民法院于1997年12月確定上述罪行為“非法侵入計算機系統(tǒng)罪”。因而，對于惡意侵犯企業(yè)信息安全的不法行為。企業(yè)各級人員應當堅決的運用法律武器制止侵犯行為，捍衛(wèi)企業(yè)信息的安全與完整。技術是實現(xiàn)企業(yè)信息安全的物質基礎,管理是實現(xiàn)企業(yè)信息安全的落實手段,司法措施則是實現(xiàn)企業(yè)信息安全的有力保障。企業(yè)信息安全的策略應該是以管理為中心、以技術為基礎、以法律為保障的三位一體的綜合治理策略。4.3.2落實法律責任企業(yè)建立健全合法性的責任追究制，明確機構、人員的職責和要求，也明確部門負責人和相關工作人員的職責和要求。大量的事實證明，只有企業(yè)內所有人員都在法律的約束下規(guī)范自己的行為，才能為本單位做好信息安全工作創(chuàng)造良好的法律環(huán)境?，F(xiàn)在世界上每一天所產生的信息量都達到了人類誕生至今信息量的總和，信息作為一種資源，正發(fā)揮著越來越重要的作用。而保密工作在保護信息資源不被非法知悉、篡改方面的地位與作用也顯得日益重要而突出，新修訂的《中華人民共和國保守國家秘密法》，明確國家秘密是國家安全和利益的一種信息表現(xiàn)形式，是國家的重要戰(zhàn)略資源；保守國家秘密是一種國家行為，也是一種國家責任；同時在企業(yè)中保護企