【正文】 ................................................................. 14 安全審計管理 ....................................................................................................... 14 應(yīng)急管理 ............................................................................................................... 14 4 企業(yè)信息安全體系建立實例 ..................................................................................................... 15 公司簡介 ............................................................................................................................ 15 信息安全體系的構(gòu)建 ........................................................................................................ 16 結(jié) 論 ........................................................................................................................................... 21 參 考文獻(xiàn) ......................................................................................................................................... 22 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 IV 致 謝 ........................................................................................................................................... 23 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 1 引言 信息社會的到來給全球發(fā)展帶來了契機(jī)，信息技術(shù)的運用引起了人們生產(chǎn)方式，生活方式和思想觀念的轉(zhuǎn)變，極大地促進(jìn)了人類社會發(fā)展和人類文明的進(jìn)步，把人們帶進(jìn)了嶄新的時代；信息系統(tǒng)的建設(shè)逐步成為各個企業(yè)不可或缺的基礎(chǔ)設(shè)施；信息成為企業(yè)發(fā)展的重要戰(zhàn)略資源，決策資源和控制市場的靈魂。信息化水平成 為衡量一個企業(yè)實力的重要標(biāo)志，搶占信息資源成為企業(yè)之間競爭的重要內(nèi)容。然而企業(yè)在享受網(wǎng)絡(luò)信息所帶來利益的同時，也面臨著信息安全的嚴(yán)峻考驗，企業(yè)信息安全成為世界性的現(xiàn)實問題。據(jù)統(tǒng)計，全球平均每 20 秒就發(fā)生一次計算機(jī)病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破；竊取商業(yè)信息的事件平均以每月 260%的速度增加；約 70%的網(wǎng)絡(luò)主管報告了因機(jī)密信息泄露而受損失。 2022 年 5 月至 2022 年 5 月間，有54%的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計算機(jī)病毒、蠕蟲和木馬程序的安全事件為 84%，遭到端口掃描或網(wǎng)絡(luò)攻擊的占 36%，垃圾郵件占 35%[1]。而病毒的泛濫，更讓國內(nèi)外眾多企業(yè)蒙受了巨額經(jīng)濟(jì)損失。加強(qiáng)信息安全建設(shè)，已成為了目前國內(nèi)外企業(yè)迫在眉睫的大事。 1 信息安全的相關(guān)定義 當(dāng)前電子信息安全的概念正在與時俱進(jìn)，他從早期的通信保密發(fā)展到關(guān)注信息的保密，完整，可用，可控和不可否認(rèn)的信息安全，并進(jìn)一步發(fā)展到如今的信息保障和信息保障體系。對于信息基礎(chǔ)設(shè)施的管理活動來說，信息保障和政策；技術(shù)和機(jī)制在整個信息基礎(chǔ)設(shè)施的所有層面上均能得到實施。既面向數(shù)據(jù)安全概念：信息的保密性，完整性，可用性，又面向使用者的安全概念：鑒別，授權(quán)， 訪問，控制，抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個人隱私，知識產(chǎn)權(quán)等的保護(hù)。這兩者的結(jié)合就是信息安全保障體現(xiàn)的安全服務(wù)，而這些安全問題又要依托于密碼，數(shù)字簽名，身份驗證技術(shù)，防火墻，災(zāi)難恢復(fù)，防毒墻和防黑客入侵等安全機(jī)制加以解決，其中安全技術(shù)和管理是信息安全的核心，而安全標(biāo)準(zhǔn)和系統(tǒng)評估則是信息安全的基礎(chǔ)。 信息安全 根據(jù)國際標(biāo)準(zhǔn)化組織（ ISO）的定義，信息安全為“為數(shù)據(jù)處理系統(tǒng)建成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 2 立所采取的技術(shù)和管理的安全保護(hù)措施，以保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露” [2]。信息安全 是一個動態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。 信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險管理的思想，對可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，依據(jù)風(fēng)險評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?，妥善?yīng)對可能發(fā)生的風(fēng)險。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性、完整性和可用性，人們建立起信息安全管理體系，它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)，表示成方針、原則、目標(biāo)、方法、核查表等要素的集合。 信息安全的基本屬性 信息安全的基本屬性有：信息的完整性、可用性、機(jī)密性、可控性、可靠性和不可否認(rèn)性 [3]。 （ 1）完整性：完整性是指信息在存儲、傳輸和提取的過程中保持不被修改延遲、不亂序和不丟失的特性。一般通過訪問控制阻止篡改行為，通過信息摘要算法來檢驗信息是否被篡改。 （ 2）可用性：信息可用性指的是信息可被合法用戶訪問并能按要求順序使用的特性，即在需要就可取用所需的信息。目前要保證系統(tǒng)和網(wǎng)絡(luò)能提供正常的服務(wù)，除了備份和冗余配置之外，沒有特別有效的方法。 （ 3）機(jī)密性：是指信息不泄漏給非授權(quán)的個人和實體，或 供其使用的特性。信息機(jī)密性針對信息被允許訪問對象的多少而不同。所有人員都可以訪問的信息為公用信息，需要限制訪問的信息一般為敏感信息或秘密，機(jī)密性通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密技術(shù)阻止非授權(quán)用戶獲知信息內(nèi)容。 （ 4）可控性：信息可控性是指可以控制授權(quán)范圍內(nèi)的信息流向以及行為方式，對信息的傳播及內(nèi)容具有控制能力。為保證可控性，通常通過握手協(xié)議和認(rèn)證對用戶進(jìn)行身份鑒別，通過日志記錄對用戶的所有活動進(jìn)行監(jiān)控、查詢和審計。 （ 5）可靠性：可靠性是指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信 息的迅速、準(zhǔn)確和連續(xù)的轉(zhuǎn)移等），但也有人認(rèn)為可靠性就是人成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 3 們對信息系統(tǒng)而不是對信息本身的要求。 （ 6）不可否認(rèn)性：不可否認(rèn)性是指能保證用戶無法在事后否認(rèn)曾對信息進(jìn)行的生成、簽發(fā)、接受等行為，是針對通訊各方面信息真實同一性的安全要求，一般用數(shù)字簽名和公證機(jī)制來保證不可否認(rèn)性。 2 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全分析 計算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性共同構(gòu)成了計算機(jī)網(wǎng)絡(luò)的潛在威脅。信息網(wǎng)絡(luò)化使信息公開化、信息利用自由化，其結(jié)果是信息資源的共享和互動，任何人都可以在網(wǎng)上發(fā)布信息和獲取信息，網(wǎng)上的一些用戶出于好奇的心 理，或者蓄意破壞的動機(jī)，對企業(yè)網(wǎng)絡(luò)上連接的計算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)機(jī)密信息，非法使用網(wǎng)絡(luò)資源等，給企業(yè)造成巨大的損失。 物理安全 網(wǎng)絡(luò)物理安全是企業(yè)整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀壞、電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱，報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。很多企業(yè)容 易忽視這些問題，雖然這些問題不會時常發(fā)生，但一旦發(fā)生了，對企業(yè)的打擊是致命的。 系統(tǒng)安全 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，復(fù)雜性高，存在難以避免的安全漏洞。再加上 因特網(wǎng)的基石是 TCP/IP 協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了 TCP/IP 的運行效率，所以說 TCP/IP 本身在設(shè)計上就是不安全的 ， 很容易被竊聽和欺騙 。 大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持 ， 這予黑客以可趁之機(jī)。再者目前很多企業(yè)由于資金，技術(shù)等問題，沒有建立起一個立體式的網(wǎng)絡(luò)安全系統(tǒng)，而是簡單的運用單一的技術(shù)手段來保證企業(yè)信息的安全，這樣雖然能解決一些問題，但很有限。比如有些企業(yè)用了加密技術(shù)，防止了信息的泄露，但卻沒有使用認(rèn)證技術(shù)，導(dǎo)致信息的不成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 4 完整性的出現(xiàn)，從而違背信息安全的不可否認(rèn)性，給企業(yè)造成損失。 黑客攻擊 隨著信息技術(shù)的普及，企業(yè)一般都會利用互聯(lián)網(wǎng)接入來加速提高本公司業(yè)務(wù)與工作績效，黑客的惡意攻擊行為無疑會成為阻礙這一進(jìn)程發(fā)展最大也最嚴(yán)重的威脅。其中，有來自競爭公司的幕后黑手，或 者來自對本企業(yè)有怨恨情緒的員工，以及對該企業(yè)持不滿態(tài)度的顧客等，出于不同目的或報復(fù)情緒都可能對企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與盜竊。另外，一個更嚴(yán)重的問題 —— 網(wǎng)絡(luò)敲詐，正有逐步提升的趨勢。許多不法分子利用木馬、病毒、間諜軟件，或者dos 攻擊等非法方式對企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜用企業(yè)數(shù)據(jù)，并以此作為向企業(yè)敲詐勒索的交換條件，由于大部分企業(yè)普遍存在著信息安全環(huán)等薄弱問題，因此很多企業(yè)都成為這種違法行為最大的受害者。 網(wǎng)絡(luò)病毒風(fēng)險 現(xiàn)今的互聯(lián)網(wǎng)已基本成為了一個病毒肆虐生長繁殖的土壤，幾乎每一天都會有上百種新的病毒或者木馬產(chǎn) 生，隨著 Inter 開拓性的發(fā)展。 Inter帶來了兩種不同的安全威脅。一種威脅是來自文檔下載。這些被瀏覽的或是通過 FTP 下載的文檔中可能存在病毒。而共享軟件和各種可執(zhí)行的文檔，如格式化的介紹性文檔已成為病毒傳播的重要途徑。并且， Inter 上還出現(xiàn)了 Java 和 Active X 形式的惡意小程式。另一種主要威脅來自于電子郵件。大多數(shù)的 Inter 郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。只要簡單地敲敲鍵盤，郵件就能夠發(fā)給一個或一組收信人。因此，受病毒感染的文檔或文檔就可能通過網(wǎng)關(guān)和郵 件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)，從而給企業(yè)造成巨大的損失?；银澴泳褪谴蠹宜熘睦??；银澴硬《居⑽拿麨?，這個木馬黑客工具大致于 2022 年出現(xiàn)在互聯(lián)網(wǎng)，當(dāng)時被判定為高危木馬，經(jīng)過作者的不懈努力，該病毒從 2022 年起連續(xù)三年榮登國內(nèi) 10 大病毒排行榜，至今已經(jīng)衍生出超過 6 萬個變種。中灰鴿子病毒后的電腦會被遠(yuǎn)程攻擊者完全控制，具備和管理者一樣的管理權(quán)限，遠(yuǎn)程黑客可以輕易的復(fù)制、刪除、上傳、下載保存在電腦上的文件，機(jī)密文件。病毒還可以記錄每一個點擊鍵盤的操作，這些操作信息可以被遠(yuǎn)程攻擊者輕 松獲得。并且，遠(yuǎn)程攻擊者在竊取資料后，還可以遠(yuǎn)程將病毒卸載，達(dá)到銷毀成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 5 證據(jù)的目的 [4]。 應(yīng)用管理安全 管理安全是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。如內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞，傳出至關(guān)重要的信息，錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等。 3 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全對策 對于上述存在的信息安全問題，可以從以下幾個方面進(jìn)行解決。 物 理安全對策 保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備，設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。正常的防范措施主要在三個方面。 機(jī)房環(huán)境安全 防雷措施：對機(jī)房內(nèi)所有計算機(jī)和各種地線系統(tǒng)采用統(tǒng)一的防雷處理，即建筑物內(nèi)共地系統(tǒng)，保證設(shè)備安全，并能防止電磁信息泄漏。在樓頂安裝了避雷設(shè)施，即在主機(jī)房外部安裝接閃器、引下線和接地裝置，吸引雷電流，并為泄放提供了一條低阻值通道。機(jī)房內(nèi)部采取屏蔽 、合理布線、過電壓保護(hù)等技術(shù)措施，以此達(dá)到防雷的目的。另外，還采取相應(yīng)的防盜、防靜電、防火、防水等措施。 通信線路安全 主要是對電源線和信號線采取加裝性能良好的濾波器功能，減小阻抗和導(dǎo)線間的交叉耦合，阻止傳導(dǎo)發(fā)射。對機(jī)房水管、暖氣管、金屬門采用各種電磁屏蔽措施，阻止輻射發(fā)生。對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理，以防止磁鼓，磁帶與高輻射設(shè)備等的信號外泄。為提高屏蔽室的 效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計，如信號線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門的 關(guān)起等。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 6 電源等設(shè)備安全 主要是加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備的使用管理，強(qiáng)調(diào)堅持做好硬件設(shè)備（如交換機(jī)、路由器、