企業信息技術論文

　　信息技術是時代的潮流，信息化的產生對社會的發展產生了巨大的沖擊，包括企業安全理念。下面是由學習啦小編整理的企業信息技術論文，謝謝你的閱讀。

　　企業信息技術論文篇一

　　淺談企業信息安全技術

　　摘要：信息化是時代的潮流，信息化的產生對社會的發展產生了巨大的沖擊，包括企業安全理念。本文介紹了信息安全保護的發展歷程，從最初的信息保密過渡到業務安全保障到目前的多業務平臺安全保護。針對企業信息系統現狀，筆者從硬件、技術以及人員行為三個角度來對目前企業信息安全存在的問題進行分析，指出了目前企業信息系統安全的癥結所在。結合問題所在，從三個角度出發，分別提出改進建議，希望能夠對企業信息安全水平的提高起到有效的幫助。

　　關鍵詞：信息安全;信息安全管理

　　中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)15-3491-03

　　計算機、網絡已經逐漸成為我們工作生活中必不可少的一部分了，企業辦公自動化已經成為普遍現象。但是我們在享受信息化帶來諸多便利的同時，也要看到信息化給企業帶來的諸多不便。2011年上半年，花期銀行由于遭受黑客攻擊，二十多萬客戶資料信息外泄，為銀行和客戶帶來巨大的損失，同期國際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊，對其超過五百家客戶造成潛在風險，給該企業帶來高達數百萬的損失。信息安全是企業整體安全的重要方面，一旦企業重要的信息外泄，會給企業帶來巨大的風險，甚至有可能將企業帶入破產的境地。

　　1企業信息系統安全的發展

　　隨著信息技術的產生，信息系統安全的保護也隨之而來，并且隨著信息技術的不斷更新換代，信息系統安全保護的戰略也不斷發展，接下來我們可以簡要地分析一下信息安全系統的發展歷程。

　　信息系統安全的第一步是保障信息的安全，當時各個電子業務系統較為獨立，互聯網還不太流行，這時主要技術是對信息進行加密，普遍運用風險分析法來對系統可能出現的漏洞進行分析，合理地填補漏洞，消除威脅，這是一種基于傳統安全理念指導下的系統安全保護。

　　隨著互聯網技術的深入，信息系統安全開始逐步向業務安全轉化，開始從信息產業的角度出發來考慮安全狀況，此時的互聯網已經成為工作生活的一個組成部分。這時候我們需要保護的不再僅僅是相關信息了，我們需要對整個業務流程進行保護，分析其可能出現的問題。本階段的安全防護理念關注整個業務流程的周期，對流程的每一個節點進行綜合考慮。信息保護在此時只是整個系統安全的一部分，是作為最為基礎的防護技術，除此之外，還強調對整個流程的監控，防止某個節點可能出現的不安全因素，一旦出現任何風吹草動的現象我們可以立即予以控制。此外，審計技術在這個時候也被引入，通過對技術操作的跟蹤，可以對攻擊發起者進行責任追究，對攻擊者起到一種震懾的效果。

　　到目前為止，業務系統的獨立性和邊界已經逐步弱化，系統間的融合更為常見。以礦業企業為例，在大型集團中，往往存在財務系統、生產系統、銷售系統、統計分析系統等，這些系統之間需要相互勾稽，系統與系統之間需要互相取數，因此大量的系統集中到了一個業務平臺中，由該平臺來提供整體服務。這樣的話，我們對于信息系統安全的需求也從單系統向多系統轉換，我們在關心單個系統安全的同時，還要對其系統平臺服務給予更多的關注。這樣的話，企業信息安全也開始由業務流程向服務轉換。

　　2企業信息安全存在的問題分析

　　信息安全問題我們可以將其進行進一步細分為物理、技術以及人為等三類因素。

　　首先來看物理方面，物理安全主要指的是機器設備以及網絡線路出現的問題。一般企業在進行信息設備設置時最先考慮的因素是人員安全，即在保證信息設備不會對企業員工人身安全造成威脅的前提下再進行設備本身考慮。信息設備一般屬于電氣設備，容易受到打雷、水電等災害的影響。如果服務器主機受到嚴重破壞，有可能導致企業整個信息系統崩潰。相對于其他電氣設備而言，信息設備耐壓數值比較小，企業需要其持續不斷地運行，并且磁場的干擾對網絡影響比較明顯，這些都對信息設備的物理安全提出了要求，需要防止可能出現的問題。

　　其次是技術方面，對于大量企業而言，可以分為內部網絡和外部網絡，內部網絡相對安全性較高。對于絕大多數企業而言，局域網都會通過一定途徑與外部網相連接。這樣內部網路安全性就受到內部網絡設備與外部網絡進行的溝通的威脅。同時，操作系統的安全以及應用程序的安全都是技術上所面臨的困擾。

　　在操作系統方面，我們的選擇比較狹窄，大多數企業只能選擇微軟操作系統，每個系統都存在一定的漏洞，都會造成信息的外泄。其實操作系統同樣是軟件，微軟為系統安全會不定期推出安全更新與漏洞補丁，雖然我們可以通過系統的Windows Update或其他輔助軟件來給系統修修補補，但這還不是100%的安全保證。隨著微軟在安全技術上的逐漸改進，系統漏洞出現的次數越來越少，現在很多黑客開始把注意力轉移到常用的第三方軟件上來，也就是要利用這些軟件的漏洞來進行攻擊。相對于操作系統而言，應用軟件方面我們選擇性比較大，但目前流行的各種病毒、木馬都會給我們企業的信息安全帶來極大的影響。

　　尤其是現在大部分企業都建立有自己的官方網站，保存著企業的重要數據和客戶資料等，而如果網站存在一個通用漏洞，就會被惡意的黑客攻擊，甚至黑客還會進行木馬的上傳來得到WebShell，添加隱藏超級賬號，使用遠程桌面連接等操作，從而導致網絡淪落為黑客手中的“肉雞”。因此，如果使用網站模板代碼，必須要時刻關注該網站模板是否有最新的漏洞被曝光，及時到官網上下載并打上相關的漏洞補丁程序。另外，網管務必要有經常查看網站登錄日志的習慣，檢查后臺登錄的IP是否有異地的可疑信息，或者是否被添加了異常的管理賬號等等，永遠繃緊安全這根弦。

　　對局域網進行妥善管理，讓網絡運行始終安全、穩定，一直是所有網絡管理員的主要職責。為了保證局域網的安全性，不少網絡管理員開動腦筋，并且不惜花費重金，“請”來了各式各樣的專業安全工具，來為局域網進行保駕護航。然而在實際工作過程中，如果沒有現成的專業安全防范工具，也可以利用客戶端系統自帶的安全功能，保護自己的上網安全。

　　最后是人員方面，人員是企業信息外泄的重要途徑，其中我們可以將其分為兩大類，一類是內部人員的泄密。這往往體現在員工將企業核心機密通過硬盤等設備將其帶出公司信息設備，并且造成遺失等現象，最終導致公司機密為外界所獲取，信息安全受到嚴重威脅。另一部分是黑客攻擊，這類攻擊對公司造成的損失非常大。該行為的目標就是獲取相應的信息。隨著黑客技術的發展，傳統的防火墻甚至物理網閘斷開都難以完全避免黑客的攻擊。目前企業繁多的保護程序對黑客的防護效果不佳，反倒給用戶帶來了諸多不便。

　　3企業信息安全改進建議

　　3.1物理安全防護

　　網絡結構設計直接影響到企業的信息安全，局域網的網絡拓撲設計也成了信息防護的關鍵所在，一般情況下，企業的網絡拓撲結構圖如下：

　　圖1內部網拓撲結構圖

　　在整個流程中，核心交換機是關鍵，首先它必須滿足國家相關的規定標準，可以承載相應的功能。機房設計要考慮到防盜、防火等，必須實行24小時監控。硬件防火墻是我們進行信息保護的一個重要措施，性能比軟件防火墻更為強大，這也決定了硬件防火墻的價格相對而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個技術措施，它獨立于計算機系統，一般難以通過常用的軟件模擬方式來對其進行攻擊，因此獨立性能更高。通過合理配置計算機硬件保護器，我們可以將信息保護的基礎工作做得更加有效，能夠為控制技術風險和人為風險提供良好的基礎。

　　3.2技術安全

　　相對而言，技術安全是比較難以處理的，信息技術的發展非常迅速，我們難以面對層出不窮的網絡技術攻擊做出完全有效的防御，需要及時改變技術防御措施。

　　3.2.1數字簽名和加密技術

　　在網絡中，我們可以不斷發展傳統的數字簽名和加密技術，防止黑客的多種入侵。

　　我們可以以數字簽名為例，通過設定數字簽名，用戶在進行各種操作時會打上自身的印記，可以防止除授權者以外的修改，能夠極大地提高整體的安全系數，抵御黑客的攻擊。在這個程序中，我們需要予以關注的是數字證書的獲取，一般有以下三個途徑：a使用相關軟件創建自身的數字證書;b從商業認證授權機構獲取;c從內部專門負責認證安全管理機構獲取。

　　3.2.2入侵防護系統(IPS)

　　傳統的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數IDS系統都是被動的，而入侵防護系統(IPS)則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的后續數據包，都能在IPS設備中被清除掉。

　　3.2.3統一威脅管理(UTM)

　　美國著名的IDC對統一威脅管理(UTM)安全設備的定義的是由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設備里，構成一個標準的統一管理平臺。UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。這幾項功能并不一定要同時都得到使用，不過它們應該是UTM設備自身固有的功能。

　　UTM安全設備也可能包括其它特性，例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過，其它特性通常都是為主要的安全功能服務的。

　　3信息安全管理

　　這主要是針對人員管理而設定的，是企業內部管理流程的一個重要方面，這是企業內部管控制度的一個重要組成方面。

　　每個企業都要有明確的硬件設備管理制度，專人負責保管，監督審查，確保硬件使用的合理和安全性。其次要對操作人員進行足夠的培訓，要求每一個使用人員都了解應當進行的合理操作，明白可能存在的網絡安全隱患。第三要對數據保管有明確的責任和制度，防止大量數據的丟失，導致公司整體系統癱瘓。

　　為了進一步加強和規范計算機信息系統安全，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室于2007年6月和7月聯合頒布了《信息安全等級保護管理辦法》和《關于開展全國重要信息系統安全等級保護定級工作的通知》，并召開了全國重要信息系統安全等級保護定級工作部署專題電視電話會議，標志著我國信息安全等級保護制度歷經十多年的探索正式開始實施。

　　建立計算機信息系統安全等級保護制度，是我國計算機信息系統安全保護工作中的一件大事，它直接關系到各行各業的計算機信息系統建設和管理，是一項復雜的社會化的系統工程，需要社會各界的共同參與。大中型企業應該認真學習《信息安全等級保護管理辦法》及相關技術標準規范，大力開展培訓工作，落實好信息網絡安全管理、安全技術、信息安全等崗位人員的繼續教育培訓，不斷提高信息安全等級保護的能力與水平。

　　4結束語

　　在我們進行企業信息安全管理過程中，企業及企業員工是否對信息安全工作有足夠的認識十分重要，企業領導和上層應該對企業信息安全工作給予必要的關注，企業信息安全不能僅僅依靠專業的IT技術人員，它需要我們全體企業員工的共同努力。

　　參考文獻：

　　[1]孫博.企業信息安全及相關技術概述[J].科技創新導報,2009(04).

　　[2]徐國芹.淺議如何建立企業信息安全體系架構[J].中國高新技術企業,2009(5).

　　[3]王東.“北京移動案”暴露信息安全管理軟肋[J].中國新通信,2006(6).

　　[4]吳輝.淺談企業信息安全管理方案[J].科技情報開發與經濟,2010(25).

　　[5]徐新件,朱健華.關于企業網絡信息安全管理問題研究[J].供電企業管理,2008(2).

　　[6]汪紅梅.我國信息安全保障體系存在的問題及對策芻議[J].信息網絡安全,2008(2).

　　[7]盛玉.檔案信息安全與安全保障體系內容的關系分析[J].網絡財富,2009(12).

　　[8]崢嶸.信息備份為企業信息安全保駕護航[J].中國經貿.2008(10).

　　[9]田麗.網絡環境下企業信息安全管理組織機構設計[J].東北財經大學學報,2008(3).

點擊下頁還有更多>>>企業信息技術論文