【正文】 bstract: Along with the Rapid development of puter technology and Communications technology, information has bee the key to the enterprise development, but enterprise enjoys the information system bringing huge economic efficiency to the panies well as faces the very large security risk. Therefore, This makes the enterprise must reexamine the security problems of current information system faces. and find out effective safe guard technology for enterprise from it. The article has make the Analysis and Research of the Enterprise facing work security problems from the aspects of Physical security, system security, application security, management security, hacker attacks, virus damage and so on, And puts forward a series of countermeasures to solve, including. Through the method of dividing VLAN, use encryption technology、 authentication technology to guarantee system security。本文從物理安全，系統(tǒng)安全，應(yīng)用管理安全，黑客攻擊，病毒危害等方面對企業(yè)網(wǎng)絡(luò)所面臨的安全問題進(jìn)行了分析與研究，并提出一系列解決的對策，包括：通過劃分 VLAN 的方法，使用加密技術(shù)、身份認(rèn)證技術(shù)來保證系統(tǒng)安全；依靠預(yù)防黑客攻擊技術(shù)和網(wǎng) 絡(luò)防病毒技術(shù)解決與外部網(wǎng)絡(luò)連接時(shí)產(chǎn)生的網(wǎng)絡(luò)安全問題；通過建立安全管理體系來應(yīng)對管理上的漏洞。成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 I 網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全分析與對策 摘要： 隨著計(jì)算機(jī)技術(shù)與通信技術(shù)的飛速發(fā)展，信息已成為企業(yè)發(fā)展的關(guān)鍵，但是企業(yè)在享受著信息系統(tǒng)給公司帶來巨大經(jīng)濟(jì)效益的同時(shí)，也面臨著非常大的安全風(fēng)險(xiǎn)。因此，這就使得企業(yè)必須重新審視當(dāng)前信息系統(tǒng)所面臨的安全問題，并從中找到針對企業(yè)行之有效的安全防范技術(shù)。文章最后用一實(shí)例來說明如何構(gòu)建企業(yè)信息安全體系。 rely on the preventing hacker attacks technology and the work antivirus technology, solve the work security problem when connect the external work。信息化水平成 為衡量一個(gè)企業(yè)實(shí)力的重要標(biāo)志，搶占信息資源成為企業(yè)之間競爭的重要內(nèi)容。據(jù)統(tǒng)計(jì)，全球平均每 20 秒就發(fā)生一次計(jì)算機(jī)病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破；竊取商業(yè)信息的事件平均以每月 260%的速度增加；約 70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。而病毒的泛濫，更讓國內(nèi)外眾多企業(yè)蒙受了巨額經(jīng)濟(jì)損失。 1 信息安全的相關(guān)定義 當(dāng)前電子信息安全的概念正在與時(shí)俱進(jìn)，他從早期的通信保密發(fā)展到關(guān)注信息的保密，完整，可用，可控和不可否認(rèn)的信息安全，并進(jìn)一步發(fā)展到如今的信息保障和信息保障體系。既面向數(shù)據(jù)安全概念：信息的保密性，完整性，可用性，又面向使用者的安全概念：鑒別，授權(quán)， 訪問，控制，抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個(gè)人隱私，知識產(chǎn)權(quán)等的保護(hù)。 信息安全 根據(jù)國際標(biāo)準(zhǔn)化組織（ ISO）的定義，信息安全為“為數(shù)據(jù)處理系統(tǒng)建成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 2 立所采取的技術(shù)和管理的安全保護(hù)措施，以保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露” [2]。 信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性、完整性和可用性，人們建立起信息安全管理體系，它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)，表示成方針、原則、目標(biāo)、方法、核查表等要素的集合。 （ 1）完整性：完整性是指信息在存儲、傳輸和提取的過程中保持不被修改延遲、不亂序和不丟失的特性。 （ 2）可用性：信息可用性指的是信息可被合法用戶訪問并能按要求順序使用的特性，即在需要就可取用所需的信息。 （ 3）機(jī)密性：是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體，或 供其使用的特性。所有人員都可以訪問的信息為公用信息，需要限制訪問的信息一般為敏感信息或秘密，機(jī)密性通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密技術(shù)阻止非授權(quán)用戶獲知信息內(nèi)容。為保證可控性，通常通過握手協(xié)議和認(rèn)證對用戶進(jìn)行身份鑒別，通過日志記錄對用戶的所有活動進(jìn)行監(jiān)控、查詢和審計(jì)。 （ 6）不可否認(rèn)性：不可否認(rèn)性是指能保證用戶無法在事后否認(rèn)曾對信息進(jìn)行的生成、簽發(fā)、接受等行為，是針對通訊各方面信息真實(shí)同一性的安全要求，一般用數(shù)字簽名和公證機(jī)制來保證不可否認(rèn)性。信息網(wǎng)絡(luò)化使信息公開化、信息利用自由化，其結(jié)果是信息資源的共享和互動，任何人都可以在網(wǎng)上發(fā)布信息和獲取信息，網(wǎng)上的一些用戶出于好奇的心 理，或者蓄意破壞的動機(jī)，對企業(yè)網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)機(jī)密信息，非法使用網(wǎng)絡(luò)資源等，給企業(yè)造成巨大的損失。物理安全的風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀壞、電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱，報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。 系統(tǒng)安全 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。再加上 因特網(wǎng)的基石是 TCP/IP 協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒有考慮安全因素，因?yàn)槟菢訜o疑增大代碼量，從而降低了 TCP/IP 的運(yùn)行效率，所以說 TCP/IP 本身在設(shè)計(jì)上就是不安全的 ， 很容易被竊聽和欺騙 。再者目前很多企業(yè)由于資金，技術(shù)等問題，沒有建立起一個(gè)立體式的網(wǎng)絡(luò)安全系統(tǒng)，而是簡單的運(yùn)用單一的技術(shù)手段來保證企業(yè)信息的安全，這樣雖然能解決一些問題，但很有限。 黑客攻擊 隨著信息技術(shù)的普及，企業(yè)一般都會利用互聯(lián)網(wǎng)接入來加速提高本公司業(yè)務(wù)與工作績效，黑客的惡意攻擊行為無疑會成為阻礙這一進(jìn)程發(fā)展最大也最嚴(yán)重的威脅。另外，一個(gè)更嚴(yán)重的問題 —— 網(wǎng)絡(luò)敲詐，正有逐步提升的趨勢。 網(wǎng)絡(luò)病毒風(fēng)險(xiǎn) 現(xiàn)今的互聯(lián)網(wǎng)已基本成為了一個(gè)病毒肆虐生長繁殖的土壤，幾乎每一天都會有上百種新的病毒或者木馬產(chǎn) 生，隨著 Inter 開拓性的發(fā)展。一種威脅是來自文檔下載。而共享軟件和各種可執(zhí)行的文檔，如格式化的介紹性文檔已成為病毒傳播的重要途徑。另一種主要威脅來自于電子郵件。只要簡單地敲敲鍵盤，郵件就能夠發(fā)給一個(gè)或一組收信人?；银澴泳褪谴蠹宜熘睦?。中灰鴿子病毒后的電腦會被遠(yuǎn)程攻擊者完全控制，具備和管理者一樣的管理權(quán)限，遠(yuǎn)程黑客可以輕易的復(fù)制、刪除、上傳、下載保存在電腦上的文件，機(jī)密文件。并且，遠(yuǎn)程攻擊者在竊取資料后，還可以遠(yuǎn)程將病毒卸載，達(dá)到銷毀成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 5 證據(jù)的目的 [4]。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞，傳出至關(guān)重要的信息，錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等。 物 理安全對策 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。正常的防范措施主要在三個(gè)方面。在樓頂安裝了避雷設(shè)施，即在主機(jī)房外部安裝接閃器、引下線和接地裝置，吸引雷電流，并為泄放提供了一條低阻值通道。另外，還采取相應(yīng)的防盜、防靜電、防火、防水等措施。對機(jī)房水管、暖氣管、金屬門采用各種電磁屏蔽措施，阻止輻射發(fā)生。為提高屏蔽室的 效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門的 關(guān)起等。 電源系統(tǒng)電壓的波動、浪涌電流和突然斷電等意外情況的發(fā)生可能引起計(jì)算機(jī)系統(tǒng)存儲信息的丟失、存儲設(shè)備的損壞等情況的發(fā)生，必須依照國家的相關(guān)標(biāo)準(zhǔn)配備。首先根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求來劃分虛擬子網(wǎng) (VLAN)。其采用的主要技術(shù)有： VLAN（虛擬局域網(wǎng)）技術(shù)，認(rèn)證技術(shù)，信息加密技術(shù)等。 運(yùn)用 VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分 VLAN。從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法 [5]： （ 1） 基于端口的 VLAN 劃分 ： 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法。 （ 2） 基于 MAC 地址的 VLAN 劃分 ： MAC 地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng) 卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 7 （ 3） 基于路由的 VLAN 劃分 ： 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。 就目前來說， 大多數(shù)企業(yè) 采取上述第 3 種方式，第 2 種方式為輔助性的方案。目前有關(guān)認(rèn)證的主要技術(shù)有：消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。 數(shù)字簽名能夠防止他人冒名進(jìn)行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進(jìn)行過的發(fā)送和接收活動，數(shù)字簽名使用的是公鑰密碼技術(shù) RSA 非對稱加密法，安全性很高。 （ 2）接收方用發(fā)送方 的公開密鑰對數(shù)字簽名進(jìn)行解密變換，得到一個(gè)成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 8 數(shù)字簽名的明文。 （ 3）接收方將得到的明文通過單向函數(shù)進(jìn)行計(jì)算，同樣得到一個(gè)數(shù)字簽名，再將兩個(gè)數(shù)字簽名進(jìn)行對比，如果相同，則證明簽名有效，否則無效。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據(jù)驗(yàn)證結(jié)果來拒收該報(bào)文，也能使其無法偽造報(bào)文簽名及對報(bào)文進(jìn)行修改，原因是數(shù)字簽名是對整個(gè)報(bào)文進(jìn) 行的，是一組代表報(bào)文特征的定長代碼，同一個(gè)人對不同的報(bào)文將產(chǎn)生不同的數(shù)字簽名。 信息加密技術(shù) 加密是實(shí)現(xiàn)信息存儲和傳輸保密性的一種重要手段。對稱密鑰加密，加密解密速度快、算法易實(shí)現(xiàn)、安全性好，缺點(diǎn)是密鑰長度短、“窮舉”方式進(jìn)攻的代價(jià)小。加密技術(shù)中的另一重要的問題是密鑰管理，主要考慮密鑰設(shè)置協(xié)議、密鑰分配、密鑰保護(hù)、密鑰產(chǎn)生及進(jìn)入等方面的問題。 防火墻技術(shù) 根據(jù) CNCERT/CC 調(diào)查顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，防火墻的使用率最高達(dá)到 %，是防止黑客攻擊的橋頭堡 [7]。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò) 內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 （ 1） 雙重宿主主機(jī)體系結(jié)構(gòu)：又稱為雙宿／多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺裝有成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 9 兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，其體系結(jié)構(gòu)如圖 32： 圖 32 雙重宿主主機(jī)體系結(jié)構(gòu) （ 2） 屏蔽主機(jī)體系結(jié)構(gòu)：屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成，其配置如圖 33所示。網(wǎng)絡(luò)管理員將堡壘主機(jī)、WEB 服務(wù)器、 Email 服務(wù)器等公用服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 10 圖 34 屏蔽子網(wǎng)體系結(jié)構(gòu) 網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，那么我們究竟應(yīng)該在哪些地方 部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部 Inter 的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng) (VLAN)，則應(yīng)該在各個(gè) VLAN 之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng) (VPN)。 入侵檢測技術(shù) 防火墻只是一種被動防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。其次，防火墻對來自內(nèi)部的攻擊無能為力。對于以上提到的問題，一個(gè)更為有效的解決途徑就是入侵檢測技術(shù)。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截 和響應(yīng)入侵。 在入侵檢測系統(tǒng)中利用審計(jì)記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達(dá)到限制這些活動，以保護(hù)系統(tǒng)的安全。 網(wǎng)絡(luò)病毒對策 病毒防治體系特性 根據(jù)現(xiàn)代企業(yè)的具體境況，我們建議企業(yè)應(yīng)該建立起復(fù)雜的多層次病毒防治體系，以應(yīng)對當(dāng)前的網(wǎng)絡(luò)病毒。在企業(yè)中，重要的數(shù)據(jù)往往保存在位于整個(gè)網(wǎng)絡(luò)中央結(jié)點(diǎn)的