企业信息化建设中的网络安全机制研究.doc

绪论 1.1 企业信息化安全建设的背景 在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多企业对信息系统不断增长的依赖性，加上企业在信息系统上业务运作风险的不断增大，使得信息安全成为企业管理越来越关键的一部分。 现实世界的任何系统都是由一串复杂的环节组成的，安全措施必须渗透到系统的所有地方，其中一些环节甚至是系统的设计者、实现者和使用者都不知道的。因此，不安全因素总是存在，没有一个系统是完美的，没有一项技术是万能的。 我国政府主管部门以及各行各业己经认识到了信息安全的重要性。政府部门开始出台一系列相关策略，直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台针对信息安全技术产品的应用标准和规范，安全技术、产品、市场在发展，很多企业都在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。 长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。致力于安全技术和产品研发的企业不遗余力地投入资源，新的技术和产品不断涌现;其它企业也更加相信安全产品，把仅有的预算也都投入到安全产品的采购上。事实上，仅仅依靠技术和产品来保障信息安全的愿望往往难以实现，许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“三分技术，七分管理”这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。简单归类，管理方面因素所占比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此，管理已经成为信息安全保障能力的重要基础。 总结近年来发达国家信息安全领域的发展和演变，可以看到以下规律和趋势：企业信息化的不断发展导致企业对信息安全的重视，信息安全的核心逐渐从信息安全技术转移到信息安全管理。 信息安全策略是一个企业解决信息安全问题最重要的步骤，也是企业整个信息安全机制的基础。信息安全策略明确规定了企业需要保护什么，为什么需要保护和由谁保护，没有合理的信息安全策略，再好的信息安全专家和安全工具也没有价值。一个企业的信息安全策略可以反映出这个企业对现实安全威胁和未来安全风险的预期，也可以反应出企业内部业务人员和技术人员对安全风险的认识和应对。 1.2 企业信息化安全建设的意义 随着信息安全事件的不断发生，信息安全问题已经逐渐得到企业领导者和管理者的广泛重视，除了安全技术的不断投资，很多管理者也开始重视企业信息化建设中的网络安全管理问题。在学者和专家的推动下，很多国内企业相继开始了信息安全机制的建设，然而，国内企业在进行信息安全机制建设时，经常出现的情况是：刚开始时热情高涨，文档制度一大堆，一段时间以后，这些文档制度就被束之高阁，一切又回到旧轨道，致使企业的信息安全策略得不到真正的实施。 因此，本研究的意义就在于，在中国的现实环境中，结合国内外的研究成果，找出企业信息化建设中网络安全机制出现的问题，找出影响企业信息安全建设的关键因素，有针对性的提出政策建议，帮助解决信息安全策略实施难的问题，提高企业的信息安全水平。 企业信息化建设中网络安全机制现状分析 2.1 通用的信息安全评估标准 在信息安全领域，信息安全标准是一个非常重要的方面，它既是信息安全理论研究的结果，又是信息安全保障体系的重要组成部分。在广泛阅读现有文献的基础上，本文对信息安全标准的研究现状做一个简要的回顾。 (1)开展信息安全标准研究的组织 信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织在制定标准或技术规则，与信息安全标准有关的国际组织主要有以下四个： ISO(国际标准化组织)。ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会)，主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。 IEC(国际电工委员会)。IEC除了在信息安全标准化方面与ISO联合成立了JTC1分委员会外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108