【正文】 ................................................................. 14 安全審計(jì)管理 ....................................................................................................... 14 應(yīng)急管理 ............................................................................................................... 14 4 企業(yè)信息安全體系建立實(shí)例 ..................................................................................................... 15 公司簡(jiǎn)介 ............................................................................................................................ 15 信息安全體系的構(gòu)建 ........................................................................................................ 16 結(jié) 論 ........................................................................................................................................... 21 參 考文獻(xiàn) ......................................................................................................................................... 22 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 IV 致 謝 ........................................................................................................................................... 23 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 1 引言 信息社會(huì)的到來(lái)給全球發(fā)展帶來(lái)了契機(jī)，信息技術(shù)的運(yùn)用引起了人們生產(chǎn)方式，生活方式和思想觀念的轉(zhuǎn)變，極大地促進(jìn)了人類社會(huì)發(fā)展和人類文明的進(jìn)步，把人們帶進(jìn)了嶄新的時(shí)代；信息系統(tǒng)的建設(shè)逐步成為各個(gè)企業(yè)不可或缺的基礎(chǔ)設(shè)施；信息成為企業(yè)發(fā)展的重要戰(zhàn)略資源，決策資源和控制市場(chǎng)的靈魂。信息化水平成 為衡量一個(gè)企業(yè)實(shí)力的重要標(biāo)志，搶占信息資源成為企業(yè)之間競(jìng)爭(zhēng)的重要內(nèi)容。然而企業(yè)在享受網(wǎng)絡(luò)信息所帶來(lái)利益的同時(shí)，也面臨著信息安全的嚴(yán)峻考驗(yàn)，企業(yè)信息安全成為世界性的現(xiàn)實(shí)問(wèn)題。據(jù)統(tǒng)計(jì)，全球平均每 20 秒就發(fā)生一次計(jì)算機(jī)病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破；竊取商業(yè)信息的事件平均以每月 260%的速度增加；約 70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。 2022 年 5 月至 2022 年 5 月間，有54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序的安全事件為 84%，遭到端口掃描或網(wǎng)絡(luò)攻擊的占 36%，垃圾郵件占 35%[1]。而病毒的泛濫，更讓國(guó)內(nèi)外眾多企業(yè)蒙受了巨額經(jīng)濟(jì)損失。加強(qiáng)信息安全建設(shè)，已成為了目前國(guó)內(nèi)外企業(yè)迫在眉睫的大事。 1 信息安全的相關(guān)定義 當(dāng)前電子信息安全的概念正在與時(shí)俱進(jìn)，他從早期的通信保密發(fā)展到關(guān)注信息的保密，完整，可用，可控和不可否認(rèn)的信息安全，并進(jìn)一步發(fā)展到如今的信息保障和信息保障體系。對(duì)于信息基礎(chǔ)設(shè)施的管理活動(dòng)來(lái)說(shuō)，信息保障和政策；技術(shù)和機(jī)制在整個(gè)信息基礎(chǔ)設(shè)施的所有層面上均能得到實(shí)施。既面向數(shù)據(jù)安全概念：信息的保密性，完整性，可用性，又面向使用者的安全概念：鑒別，授權(quán)， 訪問(wèn)，控制，抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個(gè)人隱私，知識(shí)產(chǎn)權(quán)等的保護(hù)。這兩者的結(jié)合就是信息安全保障體現(xiàn)的安全服務(wù)，而這些安全問(wèn)題又要依托于密碼，數(shù)字簽名，身份驗(yàn)證技術(shù)，防火墻，災(zāi)難恢復(fù)，防毒墻和防黑客入侵等安全機(jī)制加以解決，其中安全技術(shù)和管理是信息安全的核心，而安全標(biāo)準(zhǔn)和系統(tǒng)評(píng)估則是信息安全的基礎(chǔ)。 信息安全 根據(jù)國(guó)際標(biāo)準(zhǔn)化組織（ ISO）的定義，信息安全為“為數(shù)據(jù)處理系統(tǒng)建成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 2 立所采取的技術(shù)和管理的安全保護(hù)措施，以保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露” [2]。信息安全 是一個(gè)動(dòng)態(tài)的復(fù)雜過(guò)程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。 信息安全的威脅來(lái)自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險(xiǎn)管理的思想，對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧咨茟?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性、完整性和可用性，人們建立起信息安全管理體系，它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)，表示成方針、原則、目標(biāo)、方法、核查表等要素的集合。 信息安全的基本屬性 信息安全的基本屬性有：信息的完整性、可用性、機(jī)密性、可控性、可靠性和不可否認(rèn)性 [3]。 （ 1）完整性：完整性是指信息在存儲(chǔ)、傳輸和提取的過(guò)程中保持不被修改延遲、不亂序和不丟失的特性。一般通過(guò)訪問(wèn)控制阻止篡改行為，通過(guò)信息摘要算法來(lái)檢驗(yàn)信息是否被篡改。 （ 2）可用性：信息可用性指的是信息可被合法用戶訪問(wèn)并能按要求順序使用的特性，即在需要就可取用所需的信息。目前要保證系統(tǒng)和網(wǎng)絡(luò)能提供正常的服務(wù)，除了備份和冗余配置之外，沒(méi)有特別有效的方法。 （ 3）機(jī)密性：是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體，或 供其使用的特性。信息機(jī)密性針對(duì)信息被允許訪問(wèn)對(duì)象的多少而不同。所有人員都可以訪問(wèn)的信息為公用信息，需要限制訪問(wèn)的信息一般為敏感信息或秘密，機(jī)密性通常通過(guò)訪問(wèn)控制阻止非授權(quán)用戶獲得機(jī)密信息，通過(guò)加密技術(shù)阻止非授權(quán)用戶獲知信息內(nèi)容。 （ 4）可控性：信息可控性是指可以控制授權(quán)范圍內(nèi)的信息流向以及行為方式，對(duì)信息的傳播及內(nèi)容具有控制能力。為保證可控性，通常通過(guò)握手協(xié)議和認(rèn)證對(duì)用戶進(jìn)行身份鑒別，通過(guò)日志記錄對(duì)用戶的所有活動(dòng)進(jìn)行監(jiān)控、查詢和審計(jì)。 （ 5）可靠性：可靠性是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信 息的迅速、準(zhǔn)確和連續(xù)的轉(zhuǎn)移等），但也有人認(rèn)為可靠性就是人成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 3 們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。 （ 6）不可否認(rèn)性：不可否認(rèn)性是指能保證用戶無(wú)法在事后否認(rèn)曾對(duì)信息進(jìn)行的生成、簽發(fā)、接受等行為，是針對(duì)通訊各方面信息真實(shí)同一性的安全要求，一般用數(shù)字簽名和公證機(jī)制來(lái)保證不可否認(rèn)性。 2 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全分析 計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。信息網(wǎng)絡(luò)化使信息公開(kāi)化、信息利用自由化，其結(jié)果是信息資源的共享和互動(dòng)，任何人都可以在網(wǎng)上發(fā)布信息和獲取信息，網(wǎng)上的一些用戶出于好奇的心 理，或者蓄意破壞的動(dòng)機(jī)，對(duì)企業(yè)網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)機(jī)密信息，非法使用網(wǎng)絡(luò)資源等，給企業(yè)造成巨大的損失。 物理安全 網(wǎng)絡(luò)物理安全是企業(yè)整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀壞、電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱，報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。很多企業(yè)容 易忽視這些問(wèn)題，雖然這些問(wèn)題不會(huì)時(shí)常發(fā)生，但一旦發(fā)生了，對(duì)企業(yè)的打擊是致命的。 系統(tǒng)安全 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，復(fù)雜性高，存在難以避免的安全漏洞。再加上 因特網(wǎng)的基石是 TCP/IP 協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒(méi)有考慮安全因素，因?yàn)槟菢訜o(wú)疑增大代碼量，從而降低了 TCP/IP 的運(yùn)行效率，所以說(shuō) TCP/IP 本身在設(shè)計(jì)上就是不安全的 ， 很容易被竊聽(tīng)和欺騙 。 大多數(shù)因特網(wǎng)上的流量是沒(méi)有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽(tīng)和劫持 ， 這予黑客以可趁之機(jī)。再者目前很多企業(yè)由于資金，技術(shù)等問(wèn)題，沒(méi)有建立起一個(gè)立體式的網(wǎng)絡(luò)安全系統(tǒng)，而是簡(jiǎn)單的運(yùn)用單一的技術(shù)手段來(lái)保證企業(yè)信息的安全，這樣雖然能解決一些問(wèn)題，但很有限。比如有些企業(yè)用了加密技術(shù)，防止了信息的泄露，但卻沒(méi)有使用認(rèn)證技術(shù)，導(dǎo)致信息的不成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 4 完整性的出現(xiàn)，從而違背信息安全的不可否認(rèn)性，給企業(yè)造成損失。 黑客攻擊 隨著信息技術(shù)的普及，企業(yè)一般都會(huì)利用互聯(lián)網(wǎng)接入來(lái)加速提高本公司業(yè)務(wù)與工作績(jī)效，黑客的惡意攻擊行為無(wú)疑會(huì)成為阻礙這一進(jìn)程發(fā)展最大也最嚴(yán)重的威脅。其中，有來(lái)自競(jìng)爭(zhēng)公司的幕后黑手，或 者來(lái)自對(duì)本企業(yè)有怨恨情緒的員工，以及對(duì)該企業(yè)持不滿態(tài)度的顧客等，出于不同目的或報(bào)復(fù)情緒都可能對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與盜竊。另外，一個(gè)更嚴(yán)重的問(wèn)題 —— 網(wǎng)絡(luò)敲詐，正有逐步提升的趨勢(shì)。許多不法分子利用木馬、病毒、間諜軟件，或者dos 攻擊等非法方式對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜用企業(yè)數(shù)據(jù)，并以此作為向企業(yè)敲詐勒索的交換條件，由于大部分企業(yè)普遍存在著信息安全環(huán)等薄弱問(wèn)題，因此很多企業(yè)都成為這種違法行為最大的受害者。 網(wǎng)絡(luò)病毒風(fēng)險(xiǎn) 現(xiàn)今的互聯(lián)網(wǎng)已基本成為了一個(gè)病毒肆虐生長(zhǎng)繁殖的土壤，幾乎每一天都會(huì)有上百種新的病毒或者木馬產(chǎn) 生，隨著 Inter 開(kāi)拓性的發(fā)展。 Inter帶來(lái)了兩種不同的安全威脅。一種威脅是來(lái)自文檔下載。這些被瀏覽的或是通過(guò) FTP 下載的文檔中可能存在病毒。而共享軟件和各種可執(zhí)行的文檔，如格式化的介紹性文檔已成為病毒傳播的重要途徑。并且， Inter 上還出現(xiàn)了 Java 和 Active X 形式的惡意小程式。另一種主要威脅來(lái)自于電子郵件。大多數(shù)的 Inter 郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。只要簡(jiǎn)單地敲敲鍵盤(pán)，郵件就能夠發(fā)給一個(gè)或一組收信人。因此，受病毒感染的文檔或文檔就可能通過(guò)網(wǎng)關(guān)和郵 件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)，從而給企業(yè)造成巨大的損失?；银澴泳褪谴蠹宜熘睦印；银澴硬《居⑽拿麨椋@個(gè)木馬黑客工具大致于 2022 年出現(xiàn)在互聯(lián)網(wǎng)，當(dāng)時(shí)被判定為高危木馬，經(jīng)過(guò)作者的不懈努力，該病毒從 2022 年起連續(xù)三年榮登國(guó)內(nèi) 10 大病毒排行榜，至今已經(jīng)衍生出超過(guò) 6 萬(wàn)個(gè)變種。中灰鴿子病毒后的電腦會(huì)被遠(yuǎn)程攻擊者完全控制，具備和管理者一樣的管理權(quán)限，遠(yuǎn)程黑客可以輕易的復(fù)制、刪除、上傳、下載保存在電腦上的文件，機(jī)密文件。病毒還可以記錄每一個(gè)點(diǎn)擊鍵盤(pán)的操作，這些操作信息可以被遠(yuǎn)程攻擊者輕 松獲得。并且，遠(yuǎn)程攻擊者在竊取資料后，還可以遠(yuǎn)程將病毒卸載，達(dá)到銷毀成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 5 證據(jù)的目的 [4]。 應(yīng)用管理安全 管理安全是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。如內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞，傳出至關(guān)重要的信息，錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等。 3 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全對(duì)策 對(duì)于上述存在的信息安全問(wèn)題，可以從以下幾個(gè)方面進(jìn)行解決。 物 理安全對(duì)策 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。正常的防范措施主要在三個(gè)方面。 機(jī)房環(huán)境安全 防雷措施：對(duì)機(jī)房?jī)?nèi)所有計(jì)算機(jī)和各種地線系統(tǒng)采用統(tǒng)一的防雷處理，即建筑物內(nèi)共地系統(tǒng)，保證設(shè)備安全，并能防止電磁信息泄漏。在樓頂安裝了避雷設(shè)施，即在主機(jī)房外部安裝接閃器、引下線和接地裝置，吸引雷電流，并為泄放提供了一條低阻值通道。機(jī)房?jī)?nèi)部采取屏蔽 、合理布線、過(guò)電壓保護(hù)等技術(shù)措施，以此達(dá)到防雷的目的。另外，還采取相應(yīng)的防盜、防靜電、防火、防水等措施。 通信線路安全 主要是對(duì)電源線和信號(hào)線采取加裝性能良好的濾波器功能，減小阻抗和導(dǎo)線間的交叉耦合，阻止傳導(dǎo)發(fā)射。對(duì)機(jī)房水管、暖氣管、金屬門(mén)采用各種電磁屏蔽措施，阻止輻射發(fā)生。對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門(mén)進(jìn)行屏蔽處理，以防止磁鼓，磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的 效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門(mén)的 關(guān)起等。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 6 電源等設(shè)備安全 主要是加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備的使用管理，強(qiáng)調(diào)堅(jiān)持做好硬件設(shè)備（如交換機(jī)、路由器、