企业信息化网络中存在的安全隐患及防治对策.docx

?

?

企业信息化网络中存在的安全隐患及防治对策

?

?

马晋明

摘要：概述了企业信息化网络所面对的威胁和原因。对企业的网络安全进行全面分析，提出了企业的网络安全体系，并以技术手段和管理方式为基础，构建企业的网络安全体系。

关键词：企业网络；网络安全；安全体系

前言

由于计算机与通信技术的快速发展，人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大，对社会的影响也日益增大，网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现，网络安全也变得日益重要。为了保证企业网络自身的安全性，必须采取有效的手段面对网络中的各种威胁[1]。

1企业网络的威胁及其风险管理

企业网络的信息是自由传输的，尽管有各种各样的方式威胁着企业网络的安全，但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁，并根据这些威胁所导致的企业风险进行有效管理。首先，企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护，针对设备可以提供什么样的访问和怎么协调这样的工作。其次，评估需要进行网络安全保护的资源和财产。最后，分析所有对企业网络安全的可能威胁，并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失，它可以是偶然的，也可以是刻意的。威胁有很多方式，一般可以简单归纳为以下三种基本的类型：

1未经授权的访问。指未经过授权的人员却可以访问网络资产，而且也存在对网络资产进行篡改的可能。

2假冒。指由于伪造的凭证假冒其他人进行活动。

3拒绝服务。指服务中断。

2企业信息化的网络安全策略体系[2]

网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针，而且在内部发布网络的安全策略以及身份证明，从而为网络安全提供支持和认证。

2.1安全策略的文档结构

a)最高方针。是安全策略的主文档，属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则，网络安全各个方面所应遵守的原则方法和指导性策略。

b)技术的规范与标准。其内容包含：各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。

c)管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作，还能有效的推广及实行,是由最高方针引申而来，对用户协议具有规范作用。而用户协议对其不能违背。

d)组织机构以及人员的职责。负责安全管理的组织机构以及人员职责，包含负责安全管理的机构的组织形式以及运作方式，还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性，需得到有效推广及实行。

e)用户的协议。与用户所签署的文档及协议，包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定，并在违反安全规定时的处罚依据[3]。

2.2建立策略体系

目前，大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系，制定出安全策略的系列文档。

建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系，其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前，由于企业中机构间的网络现状与业务情况的差别较大，所以在基本的策略体系和框架下，可以让各个机构以自身情况为基础，对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。

2.3策略的发布与执行

企业网络安全的策略系列文档在制定完成后，必须得到发布以及有效执行。发布与执行的过程除了需要得到高层领导的支持与推动外，而且还要有可行的、合适的发布以及正确的推动手段。同时在策略发布与执行前，还需要对每个员工进行相关的培训，以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艱苦的、长期的工作，需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工，工作的方式与流程可能还需要改变，所以其推行难度相当大；同时，安全策略的本身还可能存在这样那样的缺陷，例如太过复杂及繁琐、不切实际以及规定有所缺欠等，都会影响到整体策略的落实[4]。

3企业信息化网络安全技术的总体方案

3.1引入防火墙系统[5]

通过引入防火墙系统，可以利用防火墙功能中的“访问控制+边界隔离”，从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的，可以