企業(yè)信息安全防護體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全防護體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全防護體系范文

關鍵詞：信息安全；體系架構；授權訪問；安全控制；異常監(jiān)控

1概述

隨著信息化建設的快速發(fā)展，信息技術創(chuàng)新影響著人們的工作方式和生活習慣，網(wǎng)絡已成為信息傳播和知識共享的載體，提高了工作效率，促進了社會的發(fā)展和進步，但由于網(wǎng)絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性，決定了信息安全威脅的客觀存在。近年來，國內(nèi)國外信息安全的事件層出不窮，計算機病毒和木馬仍然是最大的安全威脅，假冒用戶和主機身份進行不法活動或?qū)嵤┕舻默F(xiàn)象逐漸增多，SQL注入、數(shù)據(jù)監(jiān)聽、緩沖區(qū)溢出攻擊依然盛行，網(wǎng)絡釣魚和網(wǎng)絡欺詐日益嚴重，敏感數(shù)據(jù)外泄和盜取事件頻頻發(fā)生，信息安全形勢日趨嚴峻。因此，如何建立多層次的信息安全防護體系，如何保證企業(yè)信息安全，已成為各企業(yè)必須面對的重要問題。

2體系架構總體設計

針對企業(yè)中桌面計算機數(shù)量龐大、應用系統(tǒng)平臺多樣化、互聯(lián)網(wǎng)業(yè)務應用急劇增長，不合規(guī)計算機接入內(nèi)網(wǎng)、互聯(lián)網(wǎng)違規(guī)訪問、系統(tǒng)賬戶盜用等行為無法管控，網(wǎng)絡黑客人侵、病毒木馬感染、信息數(shù)據(jù)竊取等問題，通過大量的分析調(diào)研，確定企業(yè)級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計，同時選擇成熟主流的安全產(chǎn)品，統(tǒng)一規(guī)劃設計桌面安全管理、身份管理與認證、網(wǎng)絡安全域戈0分等功能系統(tǒng)，規(guī)范信息系統(tǒng)安全防護和審計標準，最大程度保證信息資源的可用性和安全性。

2.1桌面安全管理系統(tǒng)設計

桌面計算機是產(chǎn)生和存放重要信息的源頭，但桌面計算機往往是信息安全事件中最薄弱的環(huán)節(jié)，因此，為切實保證企業(yè)信息業(yè)務正常開展，保障個人信息數(shù)據(jù)安全，建立先進實用的桌面安全管理系統(tǒng)十分必要。該系統(tǒng)主要包括安全防范和后臺安全管理兩個模塊。

2.1.1安全防范功能模塊

安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略，查殺策略應定義為“隔離”；對于惡意商業(yè)應用程序，由于這類軟件只是一些廣告類的惡意重新，終止進程就可以解決問題的，安全風險程度不是很高，所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務檢測功能、啟用端口掃描檢測功能，以及自動禁止攻擊者的IP時間限定為600秒，避免出現(xiàn)由于大量攻擊行為而消耗計算機性能和網(wǎng)絡帶寬的情況發(fā)生，提高桌面計算機抵御惡意攻擊的能力。

2.1.2后臺管理模塊

區(qū)域管理器是后臺管理功能模塊重要組件，通過配置計算機IP范圍、區(qū)域管理器參數(shù)、設備掃描器參數(shù)，可對安裝探頭程序的桌面計算機進行管理。實現(xiàn)桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。

2.2身份管理與認證系統(tǒng)設計

當前應用系統(tǒng)已成為企業(yè)開展各項日常業(yè)務的重要平臺，但由于這些應用系統(tǒng)登錄方式不統(tǒng)一、安全認證模式多樣、部分系統(tǒng)密碼強度不足等情況，嚴重影響企業(yè)信息數(shù)據(jù)的安全性和保密性，因此建立身份管理與認證系統(tǒng)，可以從根本上實現(xiàn)用戶身份認證，保證系統(tǒng)訪問的安全性。身份管理與認證系統(tǒng)由集中身份管理、統(tǒng)一認證和公共密鑰基礎設施三個模塊組成。

2.2.1集中身份管理模塊

集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式，對應用系統(tǒng)中的用戶身份信息進行匯總與清理，建立統(tǒng)一的用戶身份視圖，實現(xiàn)用戶實體與用戶身份信息的唯一對應。集中身份管理模塊固化對用戶身份的集中管理流程，包括與用戶身份管理相關的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類，從而設計出集中身份管理的功能模型，如圖1所示。

2.2.2統(tǒng)一認證模塊

統(tǒng)一認證模塊支持用戶身份的強認證，可對獲取權威的身份鑒別信息進行身份認證，包括用戶口令、用戶數(shù)字證書、數(shù)字證書撤銷列表等。通過對信息系統(tǒng)一般的身份認證流程進行分析，可以得到統(tǒng)一認證采用的身份信息和鑒別信息都來自于信息系統(tǒng)本身（或分散的目錄服務）。

2.2.3公共密鑰基礎設施模塊

公共密鑰基礎設施系統(tǒng)（PKI）由認證中心（CA）、密鑰管理中心（KMC）和證書注冊中心（RA）等三部分組成。認證中心采用商密SRQ-14數(shù)字證書認證產(chǎn)品和商密SJY-63密鑰管理產(chǎn)品，并可提供可信的第三方擔保功能，認證中心支持頒發(fā)證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息，利用PMI技術保證密鑰信息數(shù)據(jù)的安全。證書注冊中心可為用戶提供數(shù)字證書申請的注冊受理，用戶身份信息的審核，用戶數(shù)字證書的申請與下載，用戶數(shù)字證書的撤銷與更新等服務。

2.3網(wǎng)絡安全域系統(tǒng)設計

前大部分企業(yè)的內(nèi)部網(wǎng)絡中均包含有非業(yè)務性質(zhì)網(wǎng)絡，且網(wǎng)絡行為不受限，對內(nèi)部應用系統(tǒng)的安全構成嚴重威脅。為構建安全可靠網(wǎng)絡架構，通過劃分網(wǎng)絡安全域，提高整體網(wǎng)絡的安全性。網(wǎng)絡安全域設計應包括互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間、企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)之間、關鍵應用系統(tǒng)與普通應用系統(tǒng)之間等三個層次的安全防護。本著“先邊界安全加固，后深入內(nèi)部防護”的指導思想，本文僅對互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的安全域進行研究和探索，如圖2所示。

2.3.1安全防護模塊

安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備，主要是通過檢測過濾網(wǎng)絡上的數(shù)據(jù)包，保證內(nèi)部網(wǎng)絡的安全。防火墻可以位于兩個或者多個網(wǎng)絡之間，是實施網(wǎng)絡之間訪問控制的一組組件的集合，通過制定安全策略后防火墻能夠限制被保護的內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的信息訪問與交換。入侵檢測設備是防火墻的合理補充，一般該設備部署在內(nèi)部網(wǎng)絡邊界。

2.3.2行為審計模塊

行為審計模塊可以提供網(wǎng)頁過濾技術、應用控制技術、外發(fā)信息審計技術等，可有效防止機密信息的外泄，避免不良信息的擴散，提高員工的工作效率，保障網(wǎng)絡資源合理使用，提高網(wǎng)絡可管理性。

2.3.3日志分析模塊

日志分析模塊基于Syslog標準協(xié)議，可以對不同設備、主機、應用系統(tǒng)進行日志綜合分析和集中展現(xiàn)；實現(xiàn)對報警信息的靈活配置和管理，同時提供靈活的報警規(guī)則配置、實時報警和歷史報警信息的綜合管理；基于設備、報警類別、日期等因素進行組合統(tǒng)計和報表，為管理人員提供直觀的統(tǒng)計信息和報表信息。

3關鍵技術

3.1準入控制技術

建立具有結構化、層次化的準入控制體系，針對計算機違規(guī)行為下發(fā)阻斷策略，確保接入內(nèi)網(wǎng)的計算機符合企業(yè)信息安全方面的規(guī)定。主要方法共有兩種，一種是在互聯(lián)網(wǎng)出口處部署端點準人設備，強制所有接人互聯(lián)網(wǎng)桌面計算機安裝桌面安全軟件，另一種是使用虛擬隔離技術，制定訪問控制策略，針對不合規(guī)的桌面計算機下發(fā)阻斷策略，保證內(nèi)部網(wǎng)絡安全。

3.2主動安全防范技術

主動安全防范技術包括病毒木馬探測和數(shù)字證書認證等，病毒木馬探測技術能夠強化桌面計算機實時防護功能，主動攔截病毒木馬，防范日常攻擊和未知安全威脅；數(shù)字證書認證技術能夠?qū)崿F(xiàn)USBkey證書和Pin口令的雙因素認證方式，可以解決賬號權限安全管理問題。

4應用效果

在某企業(yè)部署的信息安全防御體系應用效果良好。累計查殺新型網(wǎng)絡病毒木馬560多萬個；強認證登錄100多萬次；抵御外部攻擊600多萬次，阻止訪問木馬釣魚網(wǎng)站5萬余次。

第2篇：企業(yè)信息安全防護體系范文

關鍵詞：大數(shù)據(jù)；計算機信息安全；企業(yè)；防護策略

大數(shù)據(jù)（bigdata）形成于傳統(tǒng)計算機網(wǎng)絡技術應用中，并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合，而是其中涵蓋了更多的數(shù)據(jù)信息處理技術、傳輸技術和應用技術。正如國際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計算機信息技術處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會各個領域行業(yè)才應用大數(shù)據(jù)技術來為計算機信息安全提供防范措施，尤其是企業(yè)計算機信息網(wǎng)絡，更需要它來構建網(wǎng)絡信息防護體系，迎接來自于企業(yè)外部不同背景下的不同安全威脅。

1關于企業(yè)計算機信息安全防護體系的建設需求

企業(yè)計算機系統(tǒng)涉及海量數(shù)據(jù)和多種關鍵技術，它是企業(yè)正常運營的大腦，為了避免來自于內(nèi)外因素的干擾，確保企業(yè)正常運轉(zhuǎn)，必須為“大腦”建立計算機信息安全防護體系，基于信息安全水平評價目標來確立各項預訂指標性能，確保企業(yè)計算機系統(tǒng)不會遭遇侵犯威脅，保護重要信息安全。因此企業(yè)所希望的安全防護體系建設應該滿足以下3項需要。首先，該安全防護體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務流程來綜合判斷和考慮企業(yè)計算機信息安全技術、制度及管理相關問題，并同時快速分析出企業(yè)在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷，并提出相應的防護措施。其次，可以對潛在威脅企業(yè)計算機系統(tǒng)的不安定因素進行定性、定量分析，有必要時還要建立全面評價模型來展開分析預測，提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。第三，可以利用體系評價結果來確定企業(yè)信息安全水平與企業(yè)規(guī)模，同時評價該防護體系能為企業(yè)帶來多大收益，確保防護體系能與企業(yè)所投入發(fā)展狀況相互吻合。

2大數(shù)據(jù)環(huán)境對企業(yè)計算機信息安全建設的影響

大數(shù)據(jù)環(huán)境改變了企業(yè)計算機信息安全建設的思路與格局，應該從技術與管理維度兩個層面來看這些影響變化。

2.1基于企業(yè)計算機信息安全建設的技術維度影響

大數(shù)據(jù)所蘊含技術豐富，它可以運用分布式并行處理機制來管理企業(yè)計算機信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性，還能提高信息處理的準確性與傳輸連續(xù)性。因為在大數(shù)據(jù)背景下，復雜數(shù)據(jù)類型處理案例比比皆是，必須要避免信息處理過程錯誤所帶來的企業(yè)信息資源安全損失，所以應該采取大數(shù)據(jù)環(huán)境技術來展開新的信息處理方式及存儲方式，像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式，對企業(yè)計算機信息進行有效存儲、轉(zhuǎn)移和管理，提高其信息安全水平。分布式計算會為企業(yè)計算機信息建立大型數(shù)據(jù)庫，或者采用第三方云服務提供商所提供的虛擬平臺來管理信息，這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫、基礎性安防技術等等建設環(huán)節(jié)的大筆成本費用。在信息傳遞方面，大數(shù)據(jù)環(huán)境主要能夠干預企業(yè)信息傳遞，例如為企業(yè)計算機系統(tǒng)提供高速不中斷的傳遞功能模塊，以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過程中為了確保企業(yè)計算機信息傳輸?shù)陌踩煽浚蜁诖髷?shù)據(jù)技術來為企業(yè)提供數(shù)據(jù)加密服務，確保數(shù)據(jù)傳輸整個過程都處于安全狀態(tài)，避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。

2.2基于企業(yè)計算機信息安全建設的管理維度影響

在大數(shù)據(jù)環(huán)境下，企業(yè)計算機信息安全的管理維度影響不容忽視，它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個方面。在人員管理管理方面，大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變，它創(chuàng)建了企業(yè)自帶辦公設備BYOD（BringYourOwnDevice），BYOD一方面能有效提高員工積極性，一方面也能為企業(yè)購置辦公設備節(jié)約成本，不過它也能影響到企業(yè)計算機的信息安全管理事項，移動設備大幅度降低了企業(yè)對計算機系統(tǒng)安全的可控度，可能會難以發(fā)現(xiàn)來自于外部黑客及安全漏洞、計算機病毒對系統(tǒng)的入侵，一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面，它可能會對企業(yè)信息安全帶來巨大影響，因為第三方信息是需要用來進行加工分析的，但它對于企業(yè)計算機系統(tǒng)是否能形成保障實際上是難以被企業(yè)穩(wěn)定控制的，所以企業(yè)要確切保證第三方信息安全管理的有效性，基于大數(shù)據(jù)強化企業(yè)信息安全水平，利用分權式組織結構來提高企業(yè)計算機系統(tǒng)及信息的利用效率，同時也增強大數(shù)據(jù)之于企業(yè)計算機系統(tǒng)的應用實效性。

3基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計算機信息安全防護策略

企業(yè)計算機信息安全對企業(yè)發(fā)展至關重要，為其建立安全防護體系首先要明確其信息安全管理是一項動態(tài)復雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術3方面來滲透大數(shù)據(jù)意識及相關技術理念，為企業(yè)計算機系統(tǒng)構筑防線，保護信息安全。

3.1基于管理層面的計算機信息安全防護策略

社會企業(yè)其實就是大數(shù)據(jù)的主要來源，所以企業(yè)在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術單一、難以滿足企業(yè)信息安全需求等問題。企業(yè)需要基于大數(shù)據(jù)技術來建立計算機信息安全防護機制，從大數(shù)據(jù)本身出發(fā)，做到對數(shù)據(jù)的有效收集和合理分析，準確排查安全問題，建立企業(yè)計算機信息安全組織機構。本文認為，該計算機信息安全防護策略中應該包含安全運行監(jiān)管機制、信息安全快速響應機制、信息訪問控制機制、信息安全管理機制以及災難備份機制等等。在面對企業(yè)的關鍵性信息時，應該在計算機系統(tǒng)中設置信息共享圈，盡可能降低外部不相關人員對于某些機密信息的接觸可能性，所以在此共享圈中還應該設置信息共享層次安全結構，為信息安全施加“雙保險”。另一方面，企業(yè)管理層也應該為計算機系統(tǒng)建立信息安全生態(tài)體系，一方面為保護管理層信息流通與共享，一方面也希望在大數(shù)據(jù)環(huán)境下實現(xiàn)信息技術的有效交流，為管理層提出企業(yè)決策提供有力技術支持。再者，企業(yè)應該完善大數(shù)據(jù)管理制度。首先企業(yè)應該明確大數(shù)據(jù)主要由非結構化和半結構化數(shù)據(jù)共同組成，所以要明確計算機系統(tǒng)中的所有大數(shù)據(jù)信息應該通過周密分析與計算才能最終獲取，做到對系統(tǒng)中大數(shù)據(jù)存儲、分析、應用與管理等流程的有效規(guī)范。舉例來說，某些企業(yè)在管理存儲于云端的第三方信息時，就應該履行與云服務商所簽訂的第三方協(xié)議，在此基礎上來為企業(yè)自身計算機系統(tǒng)設置單獨隔離單元，防止信息泄露現(xiàn)象。另一方面，企業(yè)必須實施基于大數(shù)據(jù)的組織結構扁平化建設，這樣也能確保計算機系統(tǒng)信息流轉(zhuǎn)速度無限加快，有效降低企業(yè)基層員工與高層管理人員及領導之間的信息交流障礙[2]。

3.2基于人員層面的計算機信息安全防護策略

目前企業(yè)人員所應用計算機個人系統(tǒng)已經(jīng)趨向于移動智能終端化，許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動終端連接企業(yè)內(nèi)部網(wǎng)絡，可以實現(xiàn)對企業(yè)數(shù)據(jù)庫及內(nèi)部信息的有效訪問，這雖然能夠提高員工的工作積極性，節(jié)約企業(yè)購置辦公設備成本，但實際上它也間接加大了企業(yè)對計算機信息安全的管理難度。具體來說，企業(yè)無法跟蹤員工的移動終端來監(jiān)控黑客行蹤，無法第一時間發(fā)現(xiàn)潛藏病毒對企業(yè)計算機系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對員工個人來展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計，明確員工在工作進程中信息的實際利用狀況。而且企業(yè)也應該在基于保護大數(shù)據(jù)安全的背景下來強化員工信息安全教育，培養(yǎng)他們的信息安全意識，讓員工在使用BYOD進行企業(yè)內(nèi)部計算機數(shù)據(jù)庫訪問及相關信息共享過程中提前主動做好數(shù)據(jù)防護工作，輔助企業(yè)共同保護內(nèi)部重要機密信息。

3.3基于安全監(jiān)管技術層面的計算機信息安全防護策略

在大數(shù)據(jù)環(huán)境中，企業(yè)如果僅僅依靠計算機軟件來維持信息安全已經(jīng)無法滿足現(xiàn)實安全需求，如果能從安全監(jiān)管技術層面來提出相應保護方案則要配合大數(shù)據(jù)相關技術來實施?？紤]到企業(yè)容易受到高級可持續(xù)攻擊（AdvancedPersistentThreat）載體的威脅（形成隱藏APT），不易被計算機系統(tǒng)發(fā)覺，為企業(yè)信息帶來不可估量威脅，所以企業(yè)應該基于大數(shù)據(jù)技術來尋找APT在實施網(wǎng)絡攻擊時所留下的隱藏攻擊記錄，利用大數(shù)據(jù)配合計算機系統(tǒng)分析來找到APT攻擊源頭，從源頭遏制它所帶來的安全威脅，這種方法在企業(yè)已經(jīng)被證實為可行方案。另外，也可以考慮對企業(yè)計算系統(tǒng)中重要信息進行隔離存儲，利用較為完整的身份識別來訪問企業(yè)計算機管理系統(tǒng)。在這里會為每一位員工發(fā)放唯一的賬號密碼，并利用大數(shù)據(jù)來記錄員工在系統(tǒng)中操作的實時動態(tài)，監(jiān)控他們的一切行為。企業(yè)要意識到大數(shù)據(jù)的財富化可能會導致計算機系統(tǒng)大量信息泄露，從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下，應該為計算機系統(tǒng)建立信息安全模式，利用其智能數(shù)據(jù)管理來實現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控，盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外，企業(yè)也可以考慮建立大數(shù)據(jù)實時風險模型，對計算機系統(tǒng)中所涉及的所有信息安全事件進行有效管理，協(xié)助企業(yè)完成預警報告、應急響應以及風險分析，做好對內(nèi)外部違規(guī)、誤操作行為的有效審計，提高企業(yè)信息安全防護水平[3]。

4總結

現(xiàn)代企業(yè)為保護計算機信息數(shù)據(jù)安全就必須與時俱進，結合大數(shù)據(jù)環(huán)境，利用信息管理、情報、數(shù)學模型構建等多種科學理論來付諸實踐，分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個因素，最后做出科學合理評價。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對自身計算機信息安全的相關防護策略，希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。

參考文獻：

[1]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經(jīng)大學,2014:49-51.

[2]雷邦蘭,龍張華.基于大數(shù)據(jù)背景的計算機信息安全及防護研討[J].網(wǎng)絡安全技術與應用,2016(5):56,58.

第3篇：企業(yè)信息安全防護體系范文

［關鍵詞］ 網(wǎng)絡；安全威脅；中國石油；網(wǎng)絡安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業(yè)務靈活性、成本控制成為企業(yè)經(jīng)營者最關心的問題，彈性靈活的業(yè)務流程需求日益加強，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務上網(wǎng)、遠程辦公等業(yè)務模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡的建設。越來越多的企業(yè)核心業(yè)務、數(shù)據(jù)上網(wǎng)，一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理，國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求，包括 IT 數(shù)據(jù)、流程、應用和基礎結構的完整性、可用性和準確性等方面。

然而信息網(wǎng)絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應用，云環(huán)境下的數(shù)據(jù)安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業(yè)網(wǎng)絡安全防護體系，滿足業(yè)務發(fā)展的需要，已成為企業(yè)信息化建設、甚至是企業(yè)業(yè)務發(fā)展必須要考慮的問題。

2 大型企業(yè)網(wǎng)絡面臨的安全威脅

賽門鐵克的《2011 安全狀況調(diào)查報告》顯示：29％的企業(yè)定期遭受網(wǎng)絡攻擊，71％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業(yè)網(wǎng)絡應用存在的安全威脅主要包括：（1）內(nèi)網(wǎng)應用不規(guī)范。企業(yè)網(wǎng)絡行為不加限制，P2P下載等信息占據(jù)大量的網(wǎng)絡帶寬，同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對內(nèi)網(wǎng)應用系統(tǒng)安全構成威脅。（2）網(wǎng)絡接入控制不嚴。網(wǎng)絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng)，特別是二級單位自建的VPN系統(tǒng)，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（4）衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網(wǎng)絡安全風險較大。無線接入由于靈活方便，常在局域網(wǎng)絡中使用，但是存在容易侵入、未經(jīng)授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（6）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡與管理網(wǎng)絡尚沒有明確的隔離規(guī)范，大多數(shù)二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡的病毒感染。

3 大型企業(yè)網(wǎng)絡安全防護體系建設

中國石油信息化建設處于我國大型企業(yè)領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設列為信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。中國石油網(wǎng)絡安全域建設是其重要建設內(nèi)容。

中國石油網(wǎng)絡分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關的信息系統(tǒng)，是相對封閉、有隔離的專用網(wǎng)絡。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對內(nèi)服務業(yè)務信息系統(tǒng)的網(wǎng)絡，與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務和應用的網(wǎng)絡，與互聯(lián)網(wǎng)相連（見圖1）。

為了構建安全可靠的中國石油網(wǎng)絡安全架構，中國石油通過劃分中國石油網(wǎng)絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網(wǎng)絡的安全性，同時，為安全事件追溯提供必要的技術手段。網(wǎng)絡安全域?qū)嵤╉椖堪凑障冗吔绨踩庸?、后深入?nèi)部防護的指導思想，將項目分為：廣域網(wǎng)邊界防護、廣域網(wǎng)域間與數(shù)據(jù)中心防護、廣域網(wǎng)域內(nèi)防護3部分。

廣域網(wǎng)邊界防護子項目主要包括數(shù)據(jù)中心邊界防護和區(qū)域網(wǎng)絡中心邊界防護。數(shù)據(jù)中心邊界防護設計主要是保障集團公司統(tǒng)一規(guī)劃應用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡中心邊界安全防護在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時，還需保障部分自建應用系統(tǒng)的正常運行?，F(xiàn)中石油在全國范圍內(nèi)建立和完善16個互聯(lián)網(wǎng)出口的安全防護，所有單位均通過16個互聯(lián)網(wǎng)出口對外聯(lián)系，規(guī)劃DMZ，制定統(tǒng)一的策略，對外服務應用統(tǒng)一部署DMZ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網(wǎng)與內(nèi)網(wǎng)接入點進行部署，并根據(jù)其在網(wǎng)絡層面由下至上的分布，保護策略強度依次由弱至強。數(shù)據(jù)中心安全防護按照數(shù)據(jù)中心業(yè)務系統(tǒng)的現(xiàn)狀和定級情況，將數(shù)據(jù)中心劃分為4個安全區(qū)域，分別是核心網(wǎng)絡、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡與廣域網(wǎng)邊界，二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡管理區(qū)與核心區(qū)邊界，二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護，構成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護水平。

域內(nèi)防護是指分離其他網(wǎng)絡并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術，規(guī)范域內(nèi)防護標準，實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠程接入控制系統(tǒng)用戶管理模式為基礎，并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠程接入方式，為出差員工、分支機構接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應關系為基礎，實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設備管理準入及授權控制、實名審計；以部署設備證書為基礎，實現(xiàn)數(shù)據(jù)中心對外提供服務的信息系統(tǒng)服務器網(wǎng)絡身份真實可靠，從而確保區(qū)域網(wǎng)絡中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4 結束語

一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡已成為企業(yè)正常運營的基本條件，然而信息網(wǎng)絡的安全威脅日益加劇，企業(yè)網(wǎng)絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡安全域建設，系統(tǒng)地解決網(wǎng)絡安全問題，供其他企業(yè)參考。

主要參考文獻

［1］王擁軍. 淺談企業(yè)網(wǎng)絡安全防護體系的建設 ［J］． 信息安全與通信保密，2011（12）.

第4篇：企業(yè)信息安全防護體系范文

[關鍵詞]廣播發(fā)送平臺 信息安全 防護體系 有效性

中圖分類號：F262.5 文獻標識碼：A 文章編號：1009-914X（2014）24-0306-01

進入21世紀以來，社會經(jīng)濟迅猛發(fā)展，科學技術水平逐步提高，信息手段已經(jīng)成為了各行各業(yè)運用的主要設施。廣播作為人們生活的重要內(nèi)容之一，其傳播方式的改變就成為了大勢所趨。在現(xiàn)代化設備逐步更新?lián)Q代的大背景下，我國的廣播發(fā)送平臺也從以往的單一人工操作方式，轉(zhuǎn)變?yōu)榱俗詣踊?、集成化的傳遞手段，信息的傳送更加高效快速，人們獲取信息資源也更具實效性，在很大程度上節(jié)約了時間，并減少了人力資源投入。但是這種現(xiàn)代化的信息傳遞方法也存在著明顯的弊端，很多黑客入侵系統(tǒng)，認為制作惡意代碼，給廣播發(fā)送平臺帶來了巨大的損失，不利于信息設備的長久使用，如何完善廣播發(fā)送平臺信息安全防護體系已經(jīng)成為了社會各界關注的焦點。針對這樣的現(xiàn)象，本文就結合我國廣播發(fā)送平臺信息傳遞的實際情況，簡單闡述一下怎樣構建有效的防護體系，從而確保信息安全傳遞，促進我國廣播事業(yè)的有效發(fā)展。

一、廣播發(fā)送平臺信息安全防護體系的主要內(nèi)容

第一，信息安全保護模型。信息系統(tǒng)的安全防護是一個復雜的過程，在具體實施中要首先分析其信息系統(tǒng)的風險情況，接著再制定有效的保護方式，最后在技術、管理等方面予以保護，提升信息的安全完整度，將安全風險降低到最小。

第二，信息保障技術框架結構。信息保障技術框架結構簡稱為IATF，它是由美國國家安全局（NSA）制定的，以保護美國政府和工業(yè)界的信息與信息技術設施提供技術指南為目的的結構框架。IATF強調(diào)的是人、技術、操作這三個核心要素，從多種不同的角度對信息系統(tǒng)進行防護。IATF關注四個信息安全保障領域，即本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡和基礎設施、支撐性基礎設施。在此基礎上，對信息信息系統(tǒng)就可以做到多層防護，實現(xiàn)組織的任務或業(yè)務運作，這樣的防護被稱為“深度防護戰(zhàn)略”。

二、廣播發(fā)送平臺信息安全防護體系的構建

廣播發(fā)送平臺信息安全防護體系的有效構建對信息的快速傳遞、設備的有效保護以及信息的安全性具有非常積極的作用。為了切實達到這一目標，廣播單位機構一定要構建完善的體系制度，以保證信息的安全性。

（一）安全邊界區(qū)域

廣播發(fā)送系統(tǒng)的網(wǎng)絡結構比較復雜，包括系統(tǒng)外網(wǎng)、系統(tǒng)內(nèi)網(wǎng)及互聯(lián)網(wǎng)，安全邊界區(qū)域安全的建設需要從如下幾個方面考慮。

（1）訪問控制。對廣播發(fā)送系統(tǒng)的內(nèi)網(wǎng)和外網(wǎng)、內(nèi)網(wǎng)不同區(qū)域間進行分割，對不同區(qū)域之間的實現(xiàn)訪問控制，通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡協(xié)議等參數(shù)進行分析，可以實現(xiàn)對網(wǎng)絡流量的精細控制，把可能的安全風險控制在各自相對獨立的區(qū)域內(nèi)，有效避免安全風險的大規(guī)模擴散?？梢圆捎冒踩O備有物理隔離、防火墻、網(wǎng)閘、可管控防火墻等技術。

（2）身份鑒別。訪問的內(nèi)網(wǎng)用戶，需要對他們的網(wǎng)絡應用行為進行管理，包括進行身份認證、對訪問資源的限制、對網(wǎng)絡訪問行為進行控制，以及使用傳輸介質(zhì)的身份鑒別等。

（3）攻擊防范。TCP或IP 協(xié)議具有開放特性，從協(xié)議角度缺少足夠的安全特性，給廣播發(fā)送系統(tǒng)帶來了安全風險，常見的威脅有IP地址竊取、IP地址假冒、網(wǎng)絡端口掃描以及拒絕服務攻擊等。在安全邊界必須提供有效的檢測和防范措施，采用安全設備有入侵檢測、入侵防御系統(tǒng)的技術。

（二）安全計算環(huán)境

廣播發(fā)送系統(tǒng)信息平臺的安全計算環(huán)境主要由業(yè)務終端、管理終端、應用服務器、數(shù)據(jù)庫服務器及應用系統(tǒng)本身構成。安全計算環(huán)境內(nèi)容，包括操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)所提供的安全功能。

（1）統(tǒng)一管控。為了廣播發(fā)送系統(tǒng)的網(wǎng)絡環(huán)境安全，需要對全體的操作終端和服務器實現(xiàn)統(tǒng)一管控。對業(yè)務終端系統(tǒng)，可以采用安全方式進行結構化保護；對服務器系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，采用安全管控器方式進行結構化保護。安全管理平臺對分布在內(nèi)部計算環(huán)境的各種業(yè)務終端、管理終端、應用服務器和數(shù)據(jù)庫服務器進行統(tǒng)一監(jiān)控和管理。

（2）安全審計。廣播發(fā)送信息系統(tǒng)、操作終端、服務器的操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)，配置并啟用操作日志功能。同時，安全管理中心的日志審計系統(tǒng)，將操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務系統(tǒng)的日志信息收集，并進行集中審計，為管理員進行分析提供便利。

（3）應用安全?，F(xiàn)有應用安全的基礎上，針對廣播發(fā)送信息系統(tǒng)核心業(yè)務的安全需求，采取防護措施保障。主要包括對身份鑒別、訪問控制、數(shù)據(jù)傳輸、安全審計等層面進行控制，構建應用安全系統(tǒng)整體的保護策略。

（三）網(wǎng)絡和基礎設施

（1）安全通信網(wǎng)絡。廣播發(fā)送信息系統(tǒng)的安全通信網(wǎng)絡防護系統(tǒng)負責保證安全系統(tǒng)在通過網(wǎng)絡進行跨域訪問時的安全，同時防止外部網(wǎng)絡非法訪問內(nèi)部安全系統(tǒng)，通信網(wǎng)絡傳輸安全主要是保密性、完整性和抗抵賴，這個功能可以通過加密傳輸來實現(xiàn)，而且能夠阻止網(wǎng)絡入侵行為，采用安全管理中心的通信網(wǎng)絡監(jiān)控模塊予以實現(xiàn)（圖1）。

（2）物理安全基礎設施。對于廣播發(fā)送信息系統(tǒng)的物理安全基礎設施的建設，應從如下幾個方面來規(guī)劃和考慮：

第一，嚴格控制機房的出入，包括根據(jù)廣播發(fā)送信息系統(tǒng)的安全級別來安排機房訪問層次劃分，部署門警系統(tǒng)、部署視頻監(jiān)控系統(tǒng)來防止對物理機房的非法訪問。

第二，電力系統(tǒng)的保護，保障系統(tǒng)的持續(xù)電力供應系統(tǒng)，配備合適功率的UPS電源，達到一類供電標準，同時對電力的布線嚴格按照相關標準執(zhí)行，加裝電力監(jiān)測系統(tǒng)，有效的對電力系統(tǒng)實時監(jiān)測。

第三，物理線路安全保護，對于物理線路的安全保護是保證信息系統(tǒng)持續(xù)安全、運行的關鍵， 需要建立防電磁泄漏系統(tǒng)以及物理線路的備份保護等。

結束語

總而言之，由于社會主義現(xiàn)代化建設的不斷發(fā)展完善，計算機、互聯(lián)網(wǎng)等現(xiàn)代化設施已經(jīng)走進了千家萬戶，在各行各業(yè)中都得到了廣泛應用。廣播發(fā)送平臺作為技術運用的主要方面，更是受到了社會各界的關注。為了保證信息的快速安全傳遞，提升信息的有效性，我國廣播單位一定要構建信息安全防護的有效體系，完善安全邊界、營造安全環(huán)境，并健全相關網(wǎng)絡和基礎設施，為廣播事業(yè)的發(fā)展作鋪墊。

參考文獻

[1] 江龍才.電網(wǎng)企業(yè)信息安全防護體系研究與應用[A].安徽省電力公司、安徽省電機工程學會.第一屆電力安全論壇優(yōu)秀論文集[C].安徽省電力公司、安徽省電機工程學會：2008：6.

第5篇：企業(yè)信息安全防護體系范文

【 關鍵詞 】 郵件系統(tǒng)；信息安全；郵件通訊安全；Coremail郵件系統(tǒng)

How to Ensure the Safety of E-mail Messages

Deng Chu-yan

[Mailtech Information Technology （Beijing） Co.，Ltd. GuangdongGuangzhou 510305]

【 Abstract 】 E-mail， as a data carrier， envolves a lot of valuable information and data. Once the mailbox is hacked， it will directly cause adverse consequences of corporate finance， information security， enterprise image and personal privacy. Coremail mail system focus on email for 15 years， and successfully develope Email information security solutions， at aspects of data storage， email delivery， login， anti spam， anti-virus， data management etc.

【 Keywords 】 mailing system； information security； e-mail communication security； coremail e-mail system

1 引言

電子郵件作為數(shù)據(jù)信息的載體，承載著很多有價值的資料和數(shù)據(jù)。尤其是大數(shù)據(jù)時代，郵件數(shù)據(jù)的價值越來越高，很容易遭到黑客覬覦。一旦郵箱被盜，將直接對企業(yè)經(jīng)濟安全、企業(yè)機密安全、企業(yè)形象和個人隱私造成不可預估的損失。

因此，安全的電子郵件系統(tǒng)在企業(yè)信息化建設中，發(fā)揮著巨大的推動作用，并獲得越來越多企業(yè)和政府機構用戶青睞和關注。調(diào)查數(shù)據(jù)顯示，安全的電子郵件系統(tǒng)在企業(yè)信息化和電子商務中擁有龐大的發(fā)展?jié)摿Α?/p>

2 常見的電子郵件泄密途徑

近幾年來，從國家政府到民間企業(yè)，郵件安全事故層出不窮。常見的電子郵件泄密途徑有幾種形式。

1）傳輸過程泄密：普通郵件傳輸?shù)倪^程是明文的，如果沒有對傳輸通道進行安全防護，黑客可用技術手段切斷傳輸、攔截郵件。

2）內(nèi)容泄密：由于普通郵件是明文存儲，所以黑客一旦攔截到郵件，就可獲得所有郵件內(nèi)容。

3）用戶名和密碼泄密：使用弱密碼、密碼明文存放、網(wǎng)絡釣魚、木馬等病毒軟件和程序漏洞很容易造成密碼的泄露。

因此，郵件信息安全事故頻發(fā)的本質(zhì)原因是沒有對數(shù)據(jù)進行全方位安全防護。要確保郵件數(shù)據(jù)安全，郵件系統(tǒng)服務商應該從郵件生命周期著手，采取防御措施，解決郵件安全問題。

3 基于郵件生命周期的安全防護體系

除了系統(tǒng)自身堅固的安全防護，盈世Coremail郵件系統(tǒng)從用戶需求和實際業(yè)務應用著手，從存儲、登錄、傳輸、反垃圾、管理、防御的郵件信息生命周期著手，保障郵件信息安全。

3.1 用戶登錄行為安全防護

3.1.1 多層次密碼策略

大多數(shù)情況下，郵件泄密是由于用戶使用簡單密碼引起的。為了提升用戶的安全意識，Coremail郵件系統(tǒng)對用戶登錄密碼設置采用了多層次密碼策略功能。

弱密碼策略：提供弱密碼檢查工具，找出使用弱密碼的用戶。通過弱密碼策略，提高用戶密碼強度，使得郵箱賬號難以被猜測。

密碼有效期：某一特定時間后，強制郵箱用戶修改密碼才能繼續(xù)使用郵件。

防猜密碼：用戶被猜密碼超過頻率限制時，出現(xiàn)圖形驗證碼和IP賬號自鎖定，需輸入正確密碼和驗證碼后方可解鎖。

3.1.2 登錄異常提醒

Coremail可實時查詢最近14天的歷史登錄記錄，包括登錄IP、時間、何種登錄方式及是否登錄成功。如果用戶的郵箱在非法IP地址登錄過，系統(tǒng)會自動發(fā)出提醒，讓用戶確認上次登錄是否安全。一旦用戶發(fā)現(xiàn)任何異常，就可以及時核對登錄信息，并更改郵箱密碼，保障郵箱的安全。

3.2 郵件收發(fā)安全管控

3.2.1 反垃圾反病毒防護

病毒郵件、垃圾郵件是黑客慣用的郵箱攻擊手段之一。作為支持網(wǎng)易全系列品牌郵箱和眾多政府高校企業(yè)客戶的郵件系統(tǒng)，Coremail設置了百萬探針郵箱，擁有全國千萬級IP信譽機制，采用二十多種反垃圾郵件技術，同時還嵌入反病毒模塊，最大限度地確保郵件內(nèi)容安全。同時還有全國最大的CAC反垃圾運營中心，能夠?qū)ψ钚吕]件樣本進行實時分析，以智能算法學習+人工嚴格審核雙重服務機制，大幅增強對可疑郵件的過濾判定。

3.2.2 郵件監(jiān)控與審核

電子郵件作為企業(yè)商業(yè)信息的重要載體之一，對整個企業(yè)的電子郵件信息資源進行有效的管制將十分必要。Coremail從企業(yè)的具體需求出發(fā)，提供郵件監(jiān)控和審核功能，使企業(yè)能有針對性地加強郵件收發(fā)內(nèi)部控制管理。

3.2.3 郵件密級

Coremail郵件系統(tǒng)可提供郵件密級功能，用戶的密級與郵件、附件密級對應，密級低的人員均不可查看密級高的郵件和附件，確保信息的安全。密級共分五級：公開

3.2.4 郵件加密

Coremail提供采用獨家算法的郵件加密解密中心。在發(fā)送重要或郵件時，可以添加郵件獨立密碼，收件人需通過密碼解鎖才能讀取郵件正文和附件。就算黑客跟蹤收件人的郵箱，也無法直接看到郵件內(nèi)容，保證信息安全。

3.3 郵件數(shù)據(jù)傳輸安全防護

保護用戶電子郵件隱私不被情報機構獲取需要加密技術的支持，但大部分郵件供應商不支持端到端加密技術。目前， Coremail是支持“端對端傳輸加密”的郵件系統(tǒng)。在郵件傳送、投遞過程中，Coremail通過CMTP私有協(xié)議對郵件內(nèi)容進行加密和重新編碼，所以就算郵件內(nèi)容被掃描、被攔截，也不致泄密。雖然Coremail私有協(xié)議CMTP僅支持使用Coremail郵件系統(tǒng)的服務器端傳輸，但因為Coremail覆蓋6億終端用戶，能最大程度地實現(xiàn)“端對端”安全傳輸。

3.4 郵件信息管理

由于郵件歸檔系統(tǒng)的數(shù)據(jù)比較敏感等特點，為此，Coremail針對性地提出管理員、郵件審計員和安全監(jiān)察員分權操作的業(yè)務管理模式，使得企業(yè)相關部門各司其職，郵件歸檔系統(tǒng)可真正安全的應用起來。

基于郵件生命周期的安全防護體系，是對用戶登錄、郵件數(shù)據(jù)本源、數(shù)據(jù)傳輸通道、數(shù)據(jù)管理等進行層層防護，最大程度地避免網(wǎng)絡病毒、黑客入侵等行為導致的郵件信息安全問題。與此同時，我們應該看到網(wǎng)民安全意識不足也是郵箱安全問題層出不窮的重要原因，因此網(wǎng)民安全意識亟待提高。

第6篇：企業(yè)信息安全防護體系范文

關鍵詞：智能電網(wǎng) 信息安全 防護體系 可信平臺

中圖分類號：F49 文獻標識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設步伐的推進，更多的設備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護裝置、先進網(wǎng)絡等，這些設備的應用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高，它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用，但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網(wǎng)公司數(shù)據(jù)中心的服務器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環(huán)境下使用電網(wǎng)的服務，成了當前電網(wǎng)信息安全建設的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設的關鍵問題

云計算技術在電力企業(yè)的業(yè)務管理中已經(jīng)逐步得到應用，另外，隨著技術的成熟和商業(yè)成本的降低，基于可信計算平臺的網(wǎng)絡應用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務管理體系中將可信計算與云計算結合起來，將會使電網(wǎng)的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。

在可信計算環(huán)境下，每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰，在模塊間能夠構成一個天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺模塊中，通過安全通信信道來進行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調(diào)度運維層四個層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡安全、數(shù)據(jù)安全及備份恢復等方面。因此，其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。

3 智能電網(wǎng)信息防護體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設一套符合國家政策要求的電子認證系統(tǒng)，并作為電力企業(yè)信息化建設的重要基礎設施，實現(xiàn)各實體身份在網(wǎng)絡上的真實映射，滿足各應用系統(tǒng)中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務系統(tǒng)，總體結構如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測終端健康狀況；保證終端信息安全可控；動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢；快速定位解決終端故障；規(guī)范員工網(wǎng)絡行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級防護體系

此外，在設計信息安全體系時，還需要針對電力企業(yè)的業(yè)務應用系統(tǒng)，按照不同的安全保護等級，設計信息系統(tǒng)安全等級保護方案，如圖4所示。

根據(jù)國家關于《信息系統(tǒng)等級保護基本要求》中關于信息安全管理的規(guī)定，該體系應該包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等方面。

4 結論與展望

本文將電力云技術與可信計算結合起來，設計了面向智能電網(wǎng)的信息安全防護體系框架，從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅強。

（基金項目：中央高?；究蒲袠I(yè)務費專項資金項目（11MG50）；河北省高等學?？茖W研究項目（Z2013007））

參考文獻：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術綜述[J].電網(wǎng)技術，2009，33（8）：1-7.

[2] 國家電網(wǎng).關于加快推進堅強智能電網(wǎng)建設的意見[N].國家電網(wǎng)報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結構研究[J].計算機學報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統(tǒng)實例與研究現(xiàn)狀[J].軟件學報，2009（5）：1337-1348.

第7篇：企業(yè)信息安全防護體系范文

 

隨著現(xiàn)代信息技術的發(fā)展，自動化和現(xiàn)代通訊技術開始在供電企業(yè)的電網(wǎng)中不斷應用，實現(xiàn)了供電企業(yè)信息傳輸?shù)臏蚀_、及時，提高了供電企業(yè)的企業(yè)職工的工作效率。但是現(xiàn)代信息技術的應用也給供電企業(yè)帶來一定的風險因素，由于現(xiàn)代信息技術在電網(wǎng)中的應用等級和應用程度不同，因此其存在隱患的等級也就有所差別，將各種級別的業(yè)務系統(tǒng)混合進行處理將會導致各種問題。因此必須本著高性能、高安全、標準化的原則設計調(diào)度數(shù)據(jù)信息系統(tǒng)。

 

1 調(diào)度數(shù)據(jù)信息系統(tǒng)的重要性

 

隨著電力市場的市場化趨勢，整個電力市場中的電力調(diào)度中心、電力監(jiān)控中心、變電站和用戶之間的數(shù)據(jù)交換日益頻繁，電力系統(tǒng)的電網(wǎng)組成也日益復雜，不同級別的業(yè)務系統(tǒng)也日益增多，這就為黑客、病毒等對整個電力系統(tǒng)的攻擊日益頻繁，增加大面積停電的風險及二次系統(tǒng)崩潰的風險。因此必須加強對電力調(diào)度數(shù)據(jù)信息系統(tǒng)的安全性建設，加強二次系統(tǒng)的安全防護措施，保證供電企業(yè)電力系統(tǒng)的正常運行。

 

2 調(diào)度數(shù)據(jù)信息系統(tǒng)面臨的風險因素

 

2.1 信息泄露或者數(shù)據(jù)破壞

 

在調(diào)度數(shù)據(jù)信息系統(tǒng)工作的過程中，其業(yè)務處理數(shù)據(jù)存在泄露的風險，其丟失方式為：數(shù)據(jù)在傳輸過程中丟失;數(shù)據(jù)的存儲介質(zhì)發(fā)生丟失或泄露;數(shù)據(jù)被以非法手段竊取，惡意對數(shù)據(jù)進行刪除、修改、插入;系統(tǒng)設計時缺乏隱蔽通道等。

 

2.2 系統(tǒng)管理人員缺乏安全意識[1]。

 

在整個調(diào)度數(shù)據(jù)信息系統(tǒng)工作的過程中，系統(tǒng)管理人員的安全意識是系統(tǒng)安全中最重要的一環(huán)。但是在實際工作中，系統(tǒng)管理人員缺乏相應的安全意識，安全管理措施不到位，口令選擇隨意性較大，隨意將自己的賬號密碼透漏給他人，經(jīng)常與他人共享相關資源，致使系統(tǒng)存在較大的安全隱患。

 

2.3 系統(tǒng)存在設計漏洞

 

供電企業(yè)電力系統(tǒng)的設計程序復雜，技術要求較高，這就使得整個電力系統(tǒng)存在一定漏洞，調(diào)度數(shù)據(jù)信息系統(tǒng)的設計也不可避免的存在一定的問題，這些設計漏洞則成為網(wǎng)絡安全攻擊的主要目標。另外，系統(tǒng)還存在一些易被他人利用的附加服務，這也是網(wǎng)絡安全攻擊的重點。一旦網(wǎng)絡攻擊入侵整個調(diào)度數(shù)據(jù)信息系統(tǒng)，將會對整個電力系統(tǒng)產(chǎn)生巨大破壞力和影響力。

 

2.4 操作及配置錯誤

 

這主要表現(xiàn)在對調(diào)度數(shù)據(jù)信息系統(tǒng)的結構和設計參數(shù)缺乏系統(tǒng)的研究，缺乏對系統(tǒng)整體功能的深入了解。在系統(tǒng)運行的日常監(jiān)控中，系統(tǒng)操作隨意性較大，提高了系統(tǒng)網(wǎng)絡安全的風險性。由于調(diào)度數(shù)據(jù)信息系統(tǒng)是一個復雜的系統(tǒng)，系統(tǒng)整個功能的設計也是一個相對復雜的動態(tài)的設計過程，容易發(fā)生系統(tǒng)配置錯誤，這也會加劇系統(tǒng)網(wǎng)絡安全的風險[2]。

 

3 二次安全防護在調(diào)度數(shù)據(jù)網(wǎng)的應用

 

調(diào)度數(shù)據(jù)信息系統(tǒng)在運行過程中會遇到各種各樣的風險，一旦系統(tǒng)發(fā)生運行故障，會造成電力企業(yè)整個電力系統(tǒng)的運行故障，嚴重者可能會誘發(fā)重大安全事故，給電力企業(yè)及用戶造成重大損失。因此采取相關的有效措施，切實解決這一問題，其中最主要的措施就是建立二次安全防護。

 

3.1 實現(xiàn)制度安全的防護體系的建立

 

為保證調(diào)度數(shù)據(jù)信息系統(tǒng)的穩(wěn)定安全運行，必須建立起恰當?shù)陌踩雷o體系，這一安全防護體系包括三個方面的內(nèi)容，即應用安全防護體系，網(wǎng)絡安全防護體系，制度安全防護體系，而制度安全防護體系更是貫穿于整個安全防護體系。制度安全防護體系的主要作用是建立完善的系統(tǒng)保障制度，實現(xiàn)系統(tǒng)的制度化管理，如操作安全、應急反應等，并建立有效的措施，確保系統(tǒng)保障制度的落實。在系統(tǒng)保障制度落實后，不同的網(wǎng)絡單位的相關部門也必須通過相應的信息安全措施加強對調(diào)度數(shù)據(jù)信息系統(tǒng)的管理，建立審計制度，提高調(diào)度數(shù)據(jù)信息系統(tǒng)的安全意識。

 

3.2 實現(xiàn)調(diào)度數(shù)據(jù)信息系統(tǒng)的縱向加密認證

 

調(diào)度數(shù)據(jù)信息系統(tǒng)的縱向加密認證是通過特定的加密認證的裝置實現(xiàn)的，其加密認證裝置放置于各級調(diào)度中心，根據(jù)電力企業(yè)的實際調(diào)度需求建立相應的加密隧道。加密認證裝置可以實現(xiàn)電力企業(yè)電力系統(tǒng)專用通信協(xié)議轉(zhuǎn)換功能，實現(xiàn)對調(diào)度數(shù)據(jù)信息系統(tǒng)端到端的選擇性保護，具體體現(xiàn)在如下兩點：首先是為電力需求量較大的地區(qū)提供電力傳輸網(wǎng)絡屏障，防止網(wǎng)絡安全事件發(fā)生;其次是為電力企業(yè)下屬網(wǎng)絡單位提供認證和加密的功能，保證單位之間信息傳輸?shù)耐暾院桶踩浴?/p>

 

3.3 實現(xiàn)對調(diào)度數(shù)據(jù)信息系統(tǒng)縱向邊界的保護

 

在進行數(shù)據(jù)調(diào)度過程中，所有傳輸?shù)臄?shù)據(jù)都必須經(jīng)過系統(tǒng)的縱向邊界，該區(qū)域也是整個系統(tǒng)中最薄弱的環(huán)節(jié)，是最容易受到網(wǎng)絡攻擊的環(huán)節(jié)。為保證系統(tǒng)縱向邊界的安全，應該在特定的網(wǎng)絡路由器及交換機兩部分之間設立安全防護裝置，如縱向加密，防止外界的入侵，起到保護網(wǎng)絡安全的作用。另外，通過縱向加密認證后，可以拒絕外部的大部分攻擊，同時還可以實現(xiàn)對系統(tǒng)異常運行數(shù)據(jù)和外部威脅的實時監(jiān)測?？v向加密這種安全防護措施相當于現(xiàn)代的門衛(wèi)，一旦發(fā)生外部入侵，其檢測措施可以在第一時間進行檢測，并根據(jù)其自身的結構特點制定出相應的防御措施。

 

3.4 加固審計策略

 

在進行網(wǎng)絡安全防護措施時，除建立必要的防護措施外，還應該建立相應的事后處理機制，保證系統(tǒng)的事后跟蹤能力，保證系統(tǒng)可以實現(xiàn)對用戶的連接，例如端口的連接、IP地址的連接等，實現(xiàn)對用戶信息的詳細全面記錄，保證安全防護體系的安全威脅的追溯能力，為今后數(shù)據(jù)信息分析提供現(xiàn)實依據(jù)。安全防護系統(tǒng)本身具有Syslog功能，該功能可以實現(xiàn)對重要信息的記錄。一般而言，網(wǎng)絡設備應該具有相應的安全審計能力，便于系統(tǒng)網(wǎng)管服務器實現(xiàn)設備日志的管理，實現(xiàn)對設備日志的存儲區(qū)分。另外，越來越多的科學技術開始應用到電力企業(yè)的電力系統(tǒng)中，如智能變電站，其主要作用是對整個電力企業(yè)的線路進行調(diào)節(jié)，只有實現(xiàn)對整個電力企業(yè)線路的有效調(diào)節(jié)，保證線路的穩(wěn)定性，才能促進電力的快速穩(wěn)定發(fā)展。但是智能化變電站在運行過程中也需要大量傳輸數(shù)據(jù)，其數(shù)據(jù)安全性決定著智能化變電站的工作效率、智能變電站的運行安全及整個電力系統(tǒng)的安全性，因此也必須使用二次安全防護措施進行保護，保證數(shù)據(jù)的安全，保證其運行安全和整個電力系統(tǒng)的運行安全。

 

4 結束語

 

隨著現(xiàn)代信息技術的發(fā)展，電力企業(yè)的電力調(diào)度效率和服務質(zhì)量明顯提高，但是也給電力企業(yè)帶來一定的風險。在整個電力企業(yè)電力系統(tǒng)中，調(diào)度數(shù)據(jù)信息系統(tǒng)具有極其重要的作用，因此其調(diào)度數(shù)據(jù)信息系統(tǒng)的設計必須秉持經(jīng)濟、高效、安全的原則，發(fā)揮系統(tǒng)的安全性、可靠性和標準性特點，保證電力企業(yè)電力系統(tǒng)的穩(wěn)定運行。

第8篇：企業(yè)信息安全防護體系范文

關鍵詞：病毒；防護；安全體系；架構設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）11-2494-03

隨著信息技術與網(wǎng)絡技術的不斷發(fā)展，計算機病毒已發(fā)展成為危害企業(yè)正常運行的一大問題。根據(jù)美國《金融時報》報道，現(xiàn)在平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡的事件，超過三分之一的互聯(lián)網(wǎng)被攻破。國內(nèi)百分之八十的網(wǎng)絡存在安全隱患，百分之二十的網(wǎng)站有嚴重安全問題。計算機病毒不僅會造成人力資源與物質(zhì)資源的浪費，還會隨著病毒的傳播演化，形成一個社會化問題，對社會穩(wěn)定與國家安全構成了極大的威脅。因此，從計算機病毒特點出發(fā)，利用已有的安全體系研究方法，對計算機病毒的防護架構展開分析與設計，不僅能夠增強企業(yè)的自我防護能力，而且對病毒在整個社會范圍內(nèi)的肆意傳播起到有力的制約作用，具有十分重要的意義。

1 計算機病毒特點

研究表明[1]，對當前網(wǎng)絡安全危害最大的威脅為計算機病毒，它將會造成網(wǎng)絡通信阻塞、文件系統(tǒng)破壞、甚至重要數(shù)據(jù)丟失等嚴重后果，給企業(yè)與個人帶來重大的財產(chǎn)損失。為了更為清晰地認識與理解計算機病毒帶來的安全風險，我們首先對計算機病毒的特點展開剖析。一般而言，計算機病毒會附著在宿主程序的可執(zhí)行文件中，隨著宿主程序的運行開始執(zhí)行病毒程序，并且它們具有自我繁殖與網(wǎng)絡繁殖功能，在不斷傳播的過程中加劇破壞程度。傳統(tǒng)的計算機病毒具有以下特征：（1）可以感染可執(zhí)行代碼的程序或文件；（2）能夠通過網(wǎng)絡進行病毒傳播；（3）會造成引導失敗或破壞扇區(qū)，引發(fā)硬盤的格式化；（4）消耗計算機內(nèi)存，減緩計算機運行速度；（5）躲避防毒軟件，具有較強的隱蔽性。

隨著計算機病毒的不斷發(fā)展，傳統(tǒng)的計算機病毒威脅也日趨復雜化與智能化，其對網(wǎng)絡安全造成的危害也在不斷加大，我們將這種新型的威脅稱為混合型威脅[2]。混合型威脅綜合了病毒傳播與多種黑客技術，能夠自動發(fā)現(xiàn)與利用系統(tǒng)漏洞，并通過系統(tǒng)漏洞進行病毒的快速傳播與感染。與傳統(tǒng)病毒相比，具有混合型威脅特性的病毒具有以下特征：（1）傳播速度更快，混合型威脅病毒傳播速度極快，通常在幾個小時甚至幾分鐘內(nèi)感染整個網(wǎng)絡，致使網(wǎng)絡癱瘓；（2）侵入性與隱蔽性更強，混合型威脅病毒引入了自動化的漏洞發(fā)現(xiàn)與利用技術，使其更容易侵入計算機，并具有很強的隱蔽性；（3）破壞程度更大，混合型威脅病毒能夠智能地利用計算機漏洞，且伴隨著木馬程序，在傳播過程中形成大規(guī)模的DDOS攻擊，破壞性與危害性得到進一步提升。2001年7月爆發(fā)的紅色代碼（Code Red）就是該類病毒的典型代表，其集成了多種黑客技術，例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等，給互聯(lián)網(wǎng)用戶帶來了極大的沖擊。2009年爆發(fā)的震網(wǎng)（Stuxnet）病毒[3]則主要針對伊朗的核設施實施攻擊，該病毒同時利用微軟和西門子公司產(chǎn)品的7個最新漏洞，可以繞過安全產(chǎn)品的檢測在短期內(nèi)不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)之后三年之久，“震網(wǎng)”病毒仍然困擾著軍事戰(zhàn)略家、計算機安全專家、政治決策者和廣大民眾。

由此可見，計算機病毒防護是企業(yè)網(wǎng)絡安全亟需解決的首要問題，如何構建合理的計算機病毒防護架構，增強計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的安全性已成為人們關注的焦點。

2 企業(yè)安全體系中的病毒防護架構設計

2.1 企業(yè)安全體系內(nèi)容

企業(yè)安全體系是指企業(yè)在進行信息采集、信息傳播、信息處理、信息存儲和信息運用過程中，能夠保證信息安全性、完整性、可用性、真實性和可控性等方面的基礎設施與保障措施[4]。企業(yè)安全體系內(nèi)容主要包括三個方面，即人員、制度和技術，三者既相互聯(lián)系又相互制約，形成了一個不可分割的整體，具體描述如下：

1） 人員。人員是企業(yè)安全體系中最薄弱的環(huán)節(jié)，根據(jù)信息安全防護鏈分析，人通常是造成企業(yè)信息泄露和信息丟失的主要因素。因此，企業(yè)安全體系首先解決的威脅不是外部，而是企業(yè)內(nèi)部人員的安防意識與安防能力，加大企業(yè)員工的信息安全教育，傳授信息安全技巧，培養(yǎng)信息安全綜合防護能力，是構建企業(yè)安全體系的基礎。

2） 制度。制度是企業(yè)從日常的工作出發(fā)，制定相應的規(guī)范與規(guī)章，制約企業(yè)人員進行安全防護。因此，企業(yè)安全體系必須加強規(guī)章制度的制定與實施，明確安防責任人，規(guī)定安防控制措施與獎懲措施。例如，制定《企業(yè)系統(tǒng)安全管理規(guī)定》、《企業(yè)應急處理管理規(guī)定》、《企業(yè)數(shù)據(jù)安全規(guī)范管理方法》、《企業(yè)密碼體制管理辦法》、《企業(yè)病毒防護手冊》等一系列規(guī)章制度。此外，企業(yè)還需加大監(jiān)管力度，以制度為依據(jù)約束與管理員工，完善企業(yè)安全體系建設。

3） 技術。技術是企業(yè)安全體系的核心與基本保障，只有建立一套安全穩(wěn)定的信息安全技術體系，才能夠保證企業(yè)信息化辦公的安全運行。此處的安全技術主要包括身份鑒別技術、病毒防護技術、訪問審計技術、網(wǎng)絡安全技術、數(shù)據(jù)加密技術等一系列信息安全技術，同時，企業(yè)還需要訂購與部署一些相關安全產(chǎn)品，例如企業(yè)網(wǎng)絡防火墻、病毒防護軟件、VPN設備、入侵檢測設備等。

2.2 企業(yè)病毒威脅分析

根據(jù)企業(yè)安全管理的實際情況，我們可以對病毒威脅劃分類型，從而為病毒防護架構設計提供技術支撐。

企業(yè)病毒威脅大致可以分為邊界威脅、內(nèi)網(wǎng)威脅、數(shù)據(jù)威脅以及遠程接入威脅四類，具體描述如下：

1） 邊界威脅。邊界是指企業(yè)內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)等外部網(wǎng)絡之間的銜接區(qū)域，如果病毒防護措施不理想，病毒很容易通過邊界區(qū)域進入企業(yè)的內(nèi)部網(wǎng)絡，對企業(yè)造成極大的危害，因此，邊界威脅是企業(yè)信息安全建設面臨的首要威脅。

2） 內(nèi)網(wǎng)威脅。內(nèi)部威脅是指病毒對企業(yè)內(nèi)部網(wǎng)絡節(jié)點造成的威脅，主要包括系統(tǒng)漏洞威脅、Web服務漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業(yè)內(nèi)部節(jié)點數(shù)目眾多、病毒威脅多樣，因此，內(nèi)網(wǎng)威脅很難實現(xiàn)全面與有效防護。

3） 數(shù)據(jù)威脅。數(shù)據(jù)威脅是指病毒對企業(yè)內(nèi)部的數(shù)據(jù)庫造成的威脅。由于企業(yè)的數(shù)據(jù)中心是企業(yè)內(nèi)部信息傳輸與交換最為密集的地方，一旦遭到攻擊將會對企業(yè)帶來巨大的損失，因此，數(shù)據(jù)威脅是企業(yè)信息安全建設必須重點考慮的一項威脅。

4） 遠程接入威脅。由于現(xiàn)代化的企業(yè)一般會建立異地分支機構，在總部與分支建立網(wǎng)絡連接時大都采用具有保密性的網(wǎng)絡連接技術，例如VPN技術。病毒對該類加密技術也會產(chǎn)生一定的威脅，當遠程接入的VPN遭到病毒攻擊，企業(yè)內(nèi)部網(wǎng)絡將會產(chǎn)生較大的損失，因此，該類威脅也是企業(yè)信息安全建設必須考慮的一項重要威脅。

2.3 病毒防護架構設計

根據(jù)企業(yè)安全體系主要內(nèi)容，針對病毒對企業(yè)帶來的各類威脅，該文提出了一種新型的病毒防護架構，如圖2所示。

企業(yè)病毒防護架構包括縱向的防護內(nèi)容與橫向的威脅類型。針對不同的威脅類型，在“人員―制度―技術”三個不同的層面進行分析與研討，并給出相應的解決方案。該防護架構具體描述如下：

a）邊界―人員：組織邊界網(wǎng)絡管理人員進行專業(yè)培訓，使其掌握邊界網(wǎng)絡的病毒防護知識，熟練邊界網(wǎng)絡防護設備的操作與應用。

b）內(nèi)網(wǎng)―人員：組織全體員工進行病毒預防知識培訓，加強病毒防護意識，減少木馬、蠕蟲等病毒進入內(nèi)網(wǎng)的潛在危險。

c）數(shù)據(jù)―人員：組織數(shù)據(jù)管理人員進行病毒防護培訓，使其掌握數(shù)據(jù)庫入侵知識、病毒攻擊手段以及應急處理方法等多種防護技能，熟練防護設備的操作與應用。

d）遠程接入―人員：組織負責遠程接入的管理人員進行專業(yè)培訓，掌握針對VPN連接的加密體制、用戶權限管理方法、病毒攻擊手段以及應急處理方法。

e）邊界―制度：建立企業(yè)邊界網(wǎng)絡管理規(guī)章制度，明確值班人員的工作職責、病毒防護手冊、獎懲制度，約束網(wǎng)絡管理人員行為，減少失誤，確保邊界網(wǎng)絡安全。

f）內(nèi)部―制度：建立企業(yè)員工的病毒防護制度，建立監(jiān)督機構，依據(jù)規(guī)章制度規(guī)范企業(yè)員工的病毒防護措施。

g）數(shù)據(jù)―制度：建立企業(yè)數(shù)據(jù)中心管理規(guī)定，明確數(shù)據(jù)管理人員的工作職責、病毒防護措施以及應急處理方法，按照制度規(guī)范各項操作。

h）遠程接入―制度：建立遠程接入管理規(guī)定，規(guī)范遠程接入操作，減少因操作失誤造成的病毒侵入與攻擊。

i）邊界―技術：針對邊界病毒威脅，企業(yè)應該對安全設備集成AV防護模塊，或者部署硬件防病毒墻，從而可以有效阻止病毒侵入內(nèi)網(wǎng)，而且在網(wǎng)絡邊界應增加URL過濾功能，對一些已知的病毒載體網(wǎng)站（掛馬網(wǎng)站或不健康的網(wǎng)站）進行地址過濾，減少病毒隱患。

j）內(nèi)網(wǎng)―技術：針對內(nèi)網(wǎng)威脅，應建立兩級病毒防護機制，即企業(yè)級的病毒防護中心與個人版的病毒防護系統(tǒng)。企業(yè)級的病毒防護中心負責整個網(wǎng)絡的病毒防護，為個人提供殺毒軟件更新服務；個人的病毒防護系統(tǒng)則利用殺毒軟件、軟件防火墻進行病毒防護，且定時更新軟件系統(tǒng)，做到個人計算機系統(tǒng)、軟件應用等實時防護。

k）數(shù)據(jù)―技術：針對數(shù)據(jù)威脅，應在數(shù)據(jù)中心建立硬件防火墻，對安全信任網(wǎng)絡與非安全網(wǎng)絡進行隔離，并且設置針對DDOS攻擊與病毒攻擊的防御軟件與設備，例如，殺毒軟件、具有高性能檢測引擎的入侵防御系統(tǒng)等，具體的防護技術可以詳見參考文獻[5]。

l）遠程接入―技術：針對遠程接入威脅，應加強VPN連接的用戶訪問權限管理，減少無關人員的侵入與破壞，并且加入防病毒軟件，監(jiān)測連接的安全性。

與傳統(tǒng)的計算機病毒防護架構不同，該文提出的防護架構更為合理，其不僅局限于局部的技術架構，而且關注了更為高層的制度與人員的安全防護能力，為企業(yè)全面推進病毒安全防護體系建設提供可靠指導。

3 結束語

隨著計算機病毒的復雜性、智能性與危害性不斷提高，企業(yè)病毒防護能力已發(fā)展成為企業(yè)信息化建設中的一個重要問題。該文首先對計算機病毒的特點與發(fā)展趨勢展開分析，隨后利用企業(yè)安全體系內(nèi)容（人員，制度，技術），結合企業(yè)潛在的病毒威脅，提出了病毒防護框架及其相應的解決方法。該框架能夠有效指導企業(yè)病毒防護建設，為企業(yè)的網(wǎng)絡利用及信息化辦公提供保障。

參考文獻：

[1] 周子英.某集團網(wǎng)絡信息安全體系的構建[J].計算機應用與軟件， 2009， 26（12）：273-277.

[2] 趙聰.完善網(wǎng)絡安全體系，全面提升信息網(wǎng)絡病毒防護水平[J].天津科技，2009，36（4）：82-84.

[3] Robert McMillan.Siemens： Stuxnet worm hit industrial systems[R].ComputerWorld，Septemper 14， 2010.

第9篇：企業(yè)信息安全防護體系范文

1.1安全防御意識缺失

企業(yè)內(nèi)部人員并沒有充分認知到網(wǎng)絡安全防護的重要性，安全防護意識存在很大程度的缺失。隨著數(shù)字化技術的普及，網(wǎng)絡辦公方式將逐步實現(xiàn)數(shù)字化，辦公模式網(wǎng)絡化將會致使企業(yè)內(nèi)部人員對自動化技術產(chǎn)生高度依賴性。但是企業(yè)內(nèi)部人員并沒有對網(wǎng)絡安全防護工作給予高度重視，很多企業(yè)內(nèi)部的防御系統(tǒng)都存在陳舊老化的現(xiàn)象，沒有對網(wǎng)絡防御系統(tǒng)進行及時更新，網(wǎng)絡建設沒有足夠的資金支持，沒有針對網(wǎng)絡安全構建完善的防護機制；面對網(wǎng)絡惡意破壞，企業(yè)內(nèi)部的網(wǎng)絡系統(tǒng)并不具備良好的抵抗能力，一旦遭受破壞，將會很難進行維修；企業(yè)領導者并沒針對網(wǎng)絡安全開設相應的管理部門，也沒有配備專業(yè)人員對網(wǎng)絡系統(tǒng)進行信息安全監(jiān)管。

1.2網(wǎng)絡非法入侵

企業(yè)網(wǎng)絡系統(tǒng)存在較多漏洞，網(wǎng)絡黑客將會利用這些漏洞非法入侵企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)，繼而篡改企業(yè)信息資源、下載企業(yè)重要資料，致使企業(yè)內(nèi)部商業(yè)機密出現(xiàn)損壞、丟失或是泄漏等問題，會對企業(yè)的生存與發(fā)展造成巨大的不良影響。除此之外，網(wǎng)絡黑客還可以利用網(wǎng)絡系統(tǒng)漏洞，冒充他人，在網(wǎng)絡上進行非法訪問、竊取商業(yè)機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為，對企業(yè)的信息化網(wǎng)絡工程建設造成非常大的威脅，是企業(yè)實現(xiàn)信息化建設的主要障礙性因素。

1.3網(wǎng)絡病毒

網(wǎng)絡病毒可以通過多種途徑對企業(yè)網(wǎng)絡系統(tǒng)進行感染與侵害，例如，文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網(wǎng)絡進行傳播，因此網(wǎng)絡病毒的感染范圍非常大，感染效率較快，對企業(yè)網(wǎng)絡系統(tǒng)具有較大的危害性。隨著計算機技術的普及，網(wǎng)絡技術在各個領域受到了大力推廣，為網(wǎng)絡病毒的傳播提供了主要途徑，并在很大程度上提高了網(wǎng)絡病毒的感染效率。企業(yè)內(nèi)部人員在使用介質(zhì)軟件或是數(shù)據(jù)時，都有可能促使企業(yè)網(wǎng)絡系統(tǒng)感染網(wǎng)絡病毒，致使企業(yè)網(wǎng)絡系統(tǒng)出現(xiàn)崩潰現(xiàn)象，整個網(wǎng)絡工程處于癱瘓狀態(tài)，導致企業(yè)網(wǎng)絡系統(tǒng)無法發(fā)揮自身的服務功能，會給企業(yè)造成嚴重的經(jīng)濟損失。除此之外，網(wǎng)絡病毒還可以采取其他手段對企業(yè)網(wǎng)絡系統(tǒng)進行病毒感染，例如竊取用戶名、登錄密碼等。

1.4忽視內(nèi)部防護

企業(yè)在構建網(wǎng)絡化工程時，將對外工程作為系統(tǒng)防護重點，高度重視安全防火墻技術，并沒有對內(nèi)部防護工程的重要性形成正確的認知。安全防火墻只能提高企業(yè)網(wǎng)絡工程的對外防護質(zhì)量，對內(nèi)部防護毫無作用，如果使用企業(yè)內(nèi)的計算機攻擊網(wǎng)絡工程的局部區(qū)域，網(wǎng)絡工程的局部區(qū)域?qū)艿絿乐仄茐摹，F(xiàn)階段，內(nèi)部攻擊行為也被列為企業(yè)網(wǎng)絡安全建設的主要障礙性因素之一，因此，企業(yè)領導者要高度重視內(nèi)部防護工程建設，只有這樣，才能確保企業(yè)網(wǎng)絡化工程實現(xiàn)安全建設。根據(jù)相關調(diào)查資料顯示，現(xiàn)階段，我國企業(yè)網(wǎng)絡所遭受的安全攻擊中，內(nèi)部網(wǎng)絡攻擊在中發(fā)生事件中占據(jù)著非常大的比例，企業(yè)內(nèi)部人員對于網(wǎng)絡安全沒有形成良好的防范意識、網(wǎng)絡結構被無意泄漏、IP地址隨意更改、亂用敏感數(shù)據(jù)等都會對企業(yè)網(wǎng)絡系統(tǒng)內(nèi)部防護工程造成巨大威脅。

2企業(yè)實現(xiàn)網(wǎng)絡安全建設的具體措施

2.1完善網(wǎng)絡安全體系

企業(yè)內(nèi)部人員在構建網(wǎng)絡化工程前，要深入了解網(wǎng)絡信息的安全情況，對網(wǎng)絡信息的需求進行準確把握，具體分析企業(yè)內(nèi)部人員的使用情況以及非法攻擊情況，繼而采取科學合理的措施，開展具有針對性的信息安全管理工作，這樣可以為網(wǎng)絡安全建設提供基礎保障。企業(yè)網(wǎng)絡化工程安全性受到影響主要體現(xiàn)在兩方面，分別是外部入侵、內(nèi)部使用。內(nèi)部使用是指企業(yè)內(nèi)部工作人員沒有遵照相關規(guī)范標準進行網(wǎng)絡操作、信息安全防護意識存在缺失等，致使企業(yè)內(nèi)部信息出現(xiàn)泄漏等現(xiàn)象；外部入侵是指網(wǎng)絡木馬、黑客攻擊以及網(wǎng)絡病毒等。這兩種方式都會對企業(yè)網(wǎng)絡安全建設造成巨大的不良影響，會致使企業(yè)信息丟失，危害企業(yè)的生存與發(fā)展，因此，企業(yè)內(nèi)部人員應根據(jù)企業(yè)網(wǎng)絡化工程的實際使用情況，構建相應的安全體系，企業(yè)領導者還要針對工作人員的行為進行標準規(guī)范，避免工作人員在實際網(wǎng)絡應用中，出現(xiàn)違規(guī)操作行為，提高企業(yè)內(nèi)部人員的安全防護意識，并構建軟硬件防護體系，可以有效抵抗外部入侵，從而保障企業(yè)網(wǎng)絡信息的安全。

2.2構建網(wǎng)絡安全系統(tǒng)

現(xiàn)階段，企業(yè)在網(wǎng)絡化工程建設過程中，主要采取兩種防護方式構建安全系統(tǒng)，分別是軟件防護、硬件防護。面對現(xiàn)階段科學技術發(fā)展對網(wǎng)絡安全建設提出的要求，企業(yè)內(nèi)部人員在構建網(wǎng)絡安全系統(tǒng)時，應該將軟件防護與硬件防護進行有效結合，只有這樣，才能確保企業(yè)網(wǎng)絡工程系統(tǒng)實現(xiàn)安全化建設，提高網(wǎng)絡信息的安全性，促使網(wǎng)絡化工程的服務功能得以全面發(fā)揮。隨著企業(yè)規(guī)模的不斷擴大，企業(yè)內(nèi)部人員要想全面提升企業(yè)的網(wǎng)絡化工程的防護能力，還要對網(wǎng)絡硬件的使用情況進行深入分析，繼而才能對防火墻服務器標準進行選擇，這樣可以有效提升服務器的可行性。企業(yè)內(nèi)部人員要想構建良好的網(wǎng)絡安全系統(tǒng)，首先要對系統(tǒng)硬件設備進行深入調(diào)查，確定系統(tǒng)設備類型，準確把握企業(yè)內(nèi)部人員的實際使用需求，繼而再對防火墻類型進行選擇。

2.3對網(wǎng)絡安全設置進行有效強化

首先，企業(yè)內(nèi)部人員要對企業(yè)網(wǎng)絡系統(tǒng)進行充分了解，準確把握其與互聯(lián)網(wǎng)之間的接入方式，然后選擇適宜的軟件設備以及防火墻設備，這樣可以促使互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡化工程之間實現(xiàn)安全接入，有效提升企業(yè)網(wǎng)絡工程的防護能力。對于企業(yè)原有的防火墻，不應進行拆除，應該在其基礎上構建入侵檢測系統(tǒng)，這樣可以對企業(yè)內(nèi)部網(wǎng)絡工程的運行狀況進行實時檢測，如果有突況，可以進行及時反映，這樣不僅可以為企業(yè)內(nèi)部人員的工作提供很大的便捷性，還能為企業(yè)網(wǎng)絡信息安全建設提供技術保障。為了實現(xiàn)移動辦公，企業(yè)內(nèi)部人員可以構建一種加密系統(tǒng)，例如，VPN加密系統(tǒng)，利用該系統(tǒng)，企業(yè)內(nèi)部人員可以通過互聯(lián)網(wǎng)對企業(yè)內(nèi)網(wǎng)進行訪問，而不必擔心出現(xiàn)信息泄露等情況，可以有效提升企業(yè)網(wǎng)絡安全的防護功效。

3結語