【正文】 作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)、安全軟件和工具軟件等的采購(gòu)、安裝、使用、更新和維護(hù)。 （ 1）重要的操作系統(tǒng)和應(yīng)用軟件應(yīng)在安全管理員的監(jiān)督下進(jìn)行安裝。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 14 （ 2）軟件安裝后，原件應(yīng)進(jìn)行登記造冊(cè)，由專(zhuān)人保管。軟件更新后，軟件的新舊版本均應(yīng)登記造冊(cè)，由專(zhuān)人保管。舊版本的銷(xiāo)毀應(yīng)受?chē)?yán)格控制。 （ 3）定期對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)及其它相關(guān)軟件進(jìn)行稽核審計(jì)，分析與安全有關(guān)的事件，堵塞漏洞。 口令管理 （ 1）信息系統(tǒng)口令一般集中產(chǎn)生。 （ 2）口令的長(zhǎng)度根據(jù)訪(fǎng)問(wèn)等級(jí)確定；涉及國(guó)家絕密級(jí)的信息的口令不少 于十二個(gè)字 符（或六個(gè)漢字）：涉及國(guó)家機(jī)密級(jí)信息的口令不少于十個(gè)字符 (或五個(gè)漢字 ) [10]。 （ 3）不能把口令以明碼方式保留在任何媒介上：輸入的口令不應(yīng)顯示在顯示終端上。 （ 4）口令傳送必須加密，并與用戶(hù)身份識(shí)別碼一一對(duì)應(yīng)。 （ 5）強(qiáng)度特別高的訪(fǎng)問(wèn)控制應(yīng)使用一次性口令機(jī)制。 網(wǎng)絡(luò)管理 （ 1）缺少必要安全措施的網(wǎng)絡(luò)不能正式投入使用。 （ 2）網(wǎng)絡(luò)方案設(shè)計(jì)必須充分考慮其安全性，網(wǎng)絡(luò)建設(shè)過(guò)程中應(yīng)有安全管理人員參加。 （ 3)由專(zhuān)人實(shí)施對(duì)網(wǎng)絡(luò)的統(tǒng)一管理、監(jiān)督與控制，網(wǎng)絡(luò)調(diào)整及運(yùn)行狀況詳細(xì)記錄歸檔。 安全審 計(jì)管理 （ 1）制定保存和調(diào)閱審計(jì)日志的管理制度，定期檢查信息系統(tǒng)中網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用等環(huán)節(jié)的審計(jì)功能模塊，確保其訪(fǎng)問(wèn)審計(jì)記錄和運(yùn)行日志沒(méi)有被修改和毀壞。 （ 2）及時(shí)對(duì)審計(jì)內(nèi)容進(jìn)行分析，找出潛在的安全威脅和異常行為，追查發(fā)生異常行為的原因和人員。 （ 3）根據(jù)對(duì)信息系統(tǒng)安全漏洞掃描報(bào)告和通知，及時(shí)調(diào)整安全策略。 （ 4）定期將審計(jì)結(jié)果報(bào)企業(yè)領(lǐng)導(dǎo)，并歸檔。 應(yīng)急管理 信息系統(tǒng)運(yùn)轉(zhuǎn)過(guò)程的每個(gè)環(huán)節(jié)都必須對(duì)可能發(fā)生的安全事件和故障，制定應(yīng)急管理制度。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 15 （ 1）根據(jù)不同的安全事件和故障類(lèi)型，按照最壞程度制定相應(yīng) 的應(yīng)急措施，進(jìn)行測(cè)試和演練。 （ 2）一旦事件發(fā)生，啟用應(yīng)急措施，記錄現(xiàn)場(chǎng)情況和系統(tǒng)斷點(diǎn)，了解事件的范圍，判斷事件的危害性和損失，按規(guī)定報(bào)主管領(lǐng)導(dǎo)和有關(guān)部門(mén)。 （ 3）事后要分析原因，總結(jié)教訓(xùn)，彌補(bǔ)系統(tǒng)的脆弱性，完善安全策略、服務(wù)和過(guò)程。 4 企業(yè)信息安全體系建立實(shí)例 對(duì)企業(yè)來(lái)說(shuō)，建立一個(gè)合理、經(jīng)濟(jì)的信息安全管理體系是十分重要和必要的。但如何建立信息安全管理體系，卻有多種方法和手段，但根本方法是要建立健全的信息安全管理制度和采用相應(yīng)的技術(shù)手段。通過(guò)制度和手段的有機(jī)結(jié)合，可以達(dá)到最佳的信息安全管理效果。下面通過(guò)百 川科技有限公司的信息安全管理體系的建立過(guò)程，來(lái)說(shuō)明怎樣建立企業(yè)信息安全體系。 公司簡(jiǎn)介 本人曾在這家公司實(shí)習(xí)過(guò)，對(duì)之有所了解。成都百川科技有限公司（簡(jiǎn)稱(chēng)百川公司）是一家專(zhuān)業(yè)機(jī)械制造廠(chǎng)家，公司從 1999 年開(kāi)始采用計(jì)算機(jī)技術(shù)應(yīng)用于產(chǎn)品開(kāi)發(fā)、生產(chǎn)管理之中，形成了具有百川特色的信息化應(yīng)用體系。 百川 公司信息安全管理體系的建立和運(yùn)行過(guò)程分為四個(gè)步驟 ，如圖 41：并以循環(huán)的方式給予完善和鞏固。 圖 41 百川 公司信息安全防護(hù)體系建立過(guò)程示意圖 （ 1）信息 安全風(fēng)險(xiǎn)分析與評(píng)估是建立信息安全管理體系的第一步，利用“失誤模型及后果分析法”技術(shù)，發(fā)現(xiàn)系統(tǒng)中每一個(gè)環(huán)節(jié)所產(chǎn)生的（或潛在的）失誤條件，對(duì)信息安全的影響程度。 信息安全體系管理與控制中心 信息安全風(fēng)險(xiǎn) 分析與評(píng)估 信息安全防護(hù) 策略與制度 信息安全防 護(hù)技術(shù)實(shí)施 信息安全管理效果分析評(píng)估 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 16 （ 2）信息安全防護(hù)策略與制度是建立信息安全管理體系的基礎(chǔ)，通過(guò)確定關(guān)鍵信息、崗位配置、工作人員的權(quán)限，明確企業(yè)信息的使用范圍和處理方式。 （ 3）信息安全防護(hù)技術(shù)實(shí)施是對(duì)信息安全防護(hù)策略與制度執(zhí)行情況的監(jiān)控手段，是維護(hù)信息安全管理體系的保障。 （ 4）信息安全防護(hù)效果分析評(píng)估是為完善動(dòng)態(tài)信息安全管理體系提供必要的依據(jù)。通過(guò)信息安全管理效果分析和評(píng)估，可以不 斷發(fā)現(xiàn)新的安全漏洞和隱患，進(jìn)一步完善信息安全防護(hù)策略和制度 。 信息安全體系的構(gòu)建 （ 1)信息安全風(fēng)險(xiǎn)分析與評(píng)估與信息安全防護(hù)效果分析評(píng)估，是百川公司建立信息安全體系的重要組成部分，前者是發(fā)現(xiàn)問(wèn)題，并提出可行性方案，后者是對(duì)已經(jīng)成型的管理模式進(jìn)行分析，發(fā)現(xiàn)問(wèn)題，并提出整改意見(jiàn)。兩者是有機(jī)的統(tǒng)一體。 （ 2)信息安全防護(hù)策略與制度 百川公司按照信息流的層次、使用單位和使用對(duì)象，在信息安全管理體系中給予充分體現(xiàn)?？偨?jīng)理辦公室和公司信息中心是信息安全管理體系的管理部門(mén)，總經(jīng)理辦公室主要負(fù)責(zé)建立涉及企業(yè)信息安全 管理體系的各種行政管理制度和日常的監(jiān)督檢查，信息中心負(fù)責(zé)計(jì)算機(jī)硬件、軟件、局域網(wǎng)、操作日志、各部門(mén)子系統(tǒng)管理員的購(gòu)買(mǎi)、維護(hù)、監(jiān)督和授權(quán)等。而企業(yè)各部門(mén)只負(fù)責(zé)本部門(mén)的授權(quán)事宜。百川公司對(duì)各級(jí)員工分為兩類(lèi)五級(jí)，即普通工作人員的初級(jí)、中級(jí)、高級(jí) 3 級(jí)和管理人員 2 級(jí)。各級(jí)人員的權(quán)限是不同的，越往上權(quán)限越高。 百川公司針對(duì)企業(yè)信息安全管理體系的要求，設(shè)置了專(zhuān)門(mén)人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全管理體系的日常維護(hù)。設(shè)置了系統(tǒng)管理員、日志管理員、安全管理員、數(shù)據(jù)管理員和文件打印員等崗位，在工作權(quán)限方面進(jìn)行分工，相互制約。 系統(tǒng)管 理員主要負(fù)責(zé)企業(yè)局域網(wǎng)的建設(shè)和維護(hù)、外購(gòu)軟件的安全性能測(cè)試以及日志管理員、安全管理員、數(shù)據(jù)管理員和文件打印員的權(quán)限分配和授權(quán)。 日志管理員主要負(fù)責(zé)對(duì)日志文件的內(nèi)容進(jìn)行檢查、清理，對(duì)日志內(nèi)容所成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 17 描述的事件進(jìn)行分析，提出信息安全和系統(tǒng)運(yùn)行等方面的報(bào)告和預(yù)防建議。經(jīng)過(guò)整理的日志文件，通過(guò)數(shù)據(jù)管理員進(jìn)行備份與保存。 安全管理員主要負(fù)責(zé)軟件的防“病毒”侵襲、電子文件的解密以及各客戶(hù)端的權(quán)限分配和授權(quán)。 數(shù)據(jù)管理員主要負(fù)責(zé)定期對(duì)企業(yè)各系統(tǒng)所產(chǎn)生的數(shù)據(jù)、電子文擋進(jìn)行有效備份，確保數(shù)據(jù)和電子文擋的安全，以便在企業(yè)信息網(wǎng)絡(luò)出現(xiàn) “災(zāi)難”時(shí)恢復(fù)數(shù)據(jù)和電子文擋。同時(shí)，維護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)管理系統(tǒng)。 文件打印員主要負(fù)責(zé)與產(chǎn)品開(kāi)發(fā)有關(guān)的技術(shù)文擋、企業(yè)允許外發(fā)文擋的打印，所打印的電子文檔必須得到相關(guān)權(quán)限的批準(zhǔn)和授權(quán)。一般情況下，所打印的電子文檔應(yīng)通過(guò) OA、 PDM 或 ERP 系統(tǒng)的打印審批流程。 在百川公司計(jì)算機(jī)應(yīng)用軟件中，通過(guò)對(duì)商品化軟件的二次開(kāi)發(fā)和設(shè)定，使所有應(yīng)用軟件，如 CAD、 WORD 等建立了軟件操作登錄窗口，每個(gè)操作人員必須輸入自己的用戶(hù)名和登錄口令，方可進(jìn)入或啟動(dòng)軟件進(jìn)行操作。操作人員在 CAPP（工藝人員）、 OA（所有辦公人員）、 PDM（工 藝、設(shè)計(jì)人員）、 ERP（生產(chǎn)經(jīng)營(yíng)人員）和 Windows（所有員工）等系統(tǒng)中，進(jìn)行身份確認(rèn)，并授予相應(yīng)的操作權(quán)限，保證企業(yè)信息的安全。 （ 3） 信息安全防護(hù)技術(shù)實(shí)施： 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 18 百川公司局域網(wǎng)拓?fù)鋱D如圖 42： 圖 42 百川公司計(jì)算機(jī)局域網(wǎng)拓?fù)鋱D 百川公司根據(jù)其具體業(yè)務(wù)和部門(mén)來(lái)進(jìn)行局域網(wǎng)的構(gòu)建，為了保護(hù)信息的安全，主要采用了以下技術(shù)： 防火墻技術(shù) 從拓?fù)鋱D上可以很清晰的看出來(lái)，百川公司采用的防火墻部署結(jié)構(gòu)是屏蔽子網(wǎng)體系結(jié)構(gòu)。整個(gè)網(wǎng)絡(luò)分為三部分：直接和外部廣域網(wǎng)相連的部分即：不安全區(qū)；公用服務(wù)器和堡壘主機(jī)存放區(qū)即： DMZ 區(qū)（非軍事區(qū)）；內(nèi)部網(wǎng)區(qū)即：安全區(qū)。這種部署能大大降低黑客對(duì)內(nèi)網(wǎng)的攻擊，因?yàn)槿肭终弑仨殢某啥夹畔⒐こ虒W(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 19 外向內(nèi)突破 3 個(gè)不同的設(shè)備才能侵襲內(nèi)部網(wǎng)絡(luò)：外部路由器，堡壘主機(jī)，還有內(nèi)部路由器。如果將內(nèi)外路由器分別采用不同廠(chǎng)商的路由器，則入侵的難度還會(huì)加大，從而有效地保護(hù)了企業(yè)的信息安全。 入侵檢測(cè)技術(shù) 防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。因此百川公司采用了主動(dòng)防御技術(shù) — 入侵檢測(cè)技術(shù)。公司采用的是 ISS公司（國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司）的 RealSecure 入侵檢測(cè)系統(tǒng) 。它是計(jì)算機(jī)網(wǎng)絡(luò)上自動(dòng)實(shí)時(shí)的入侵檢測(cè)和 響應(yīng)系統(tǒng) ，能 對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)并自動(dòng)對(duì)可疑行為進(jìn)行響應(yīng)，最大程度保護(hù)網(wǎng)絡(luò)安全； 其 運(yùn)行在特定的主機(jī)上，監(jiān)聽(tīng)并解析所有的網(wǎng)絡(luò)信息，及時(shí)發(fā)現(xiàn)具有攻擊特征的信息包；檢測(cè)本地網(wǎng)段，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，對(duì)發(fā)現(xiàn)的入侵做出及時(shí)的響應(yīng)。當(dāng)檢測(cè)到攻擊時(shí)， 系統(tǒng) 能即刻做出響應(yīng)，進(jìn)行告警 /通知（向控制臺(tái)告警、向安全管理員發(fā) Email、 SNMPtrap、查看實(shí)時(shí)會(huì)話(huà)和通報(bào)其他控制臺(tái)），記錄現(xiàn)場(chǎng)（記錄事件日志及整個(gè)會(huì)話(huà)），采取安全響應(yīng)行動(dòng)（終止入侵連接、調(diào)整網(wǎng)絡(luò)設(shè)備配置，如防火墻、執(zhí)行特定的用戶(hù)響應(yīng)程序）。 虛擬局域網(wǎng)技術(shù) 從圖中可以看出，百川公司劃分了很多個(gè)虛擬局域網(wǎng)，其具體采用的是基于端口的 VLAN 劃分。公司根據(jù)信息的敏感程度對(duì)局域網(wǎng)進(jìn)行了劃分，這樣能有效的保證信息的安全，含有敏感數(shù)據(jù)的用戶(hù)組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同 VLAN 內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè) VLAN 內(nèi)的用戶(hù)不能和其它 VLAN 內(nèi)的用戶(hù)直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。 認(rèn)證技術(shù) 公司主要采用了身份認(rèn)證技術(shù)和數(shù)字簽名技術(shù)。身份認(rèn)證主要是針對(duì)內(nèi)部員工，當(dāng)員工需要訪(fǎng)問(wèn)公司內(nèi)部數(shù)據(jù)時(shí)， 需根據(jù)數(shù)據(jù)的機(jī)密等級(jí)由網(wǎng)絡(luò)管理員賦予其不同的權(quán)限，進(jìn)而配發(fā)動(dòng)態(tài)口令牌。而對(duì)于公司和其他公司的業(yè)務(wù)往來(lái)，就需要用到數(shù)字簽名技術(shù)，來(lái)保證雙方數(shù)據(jù)傳輸?shù)陌踩院筒豢煞裾J(rèn)性。 數(shù)據(jù)加密技術(shù) 百川公司根據(jù)具體的安全策略，對(duì)公司的信息采用了兩種加密產(chǎn)品即：成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 20 文件 /文件夾加密產(chǎn)品，全盤(pán)加密 (FDE 技術(shù) )產(chǎn)品。前者主要用于一般重要性且經(jīng)常要用到的信息；后者主要用于重要的不經(jīng)常進(jìn)行變更的信息。TrueCrypt，賽門(mén)鐵克的 Endpoint Encryption 是公司的首選加密產(chǎn)品。 病毒防治技術(shù) 百川公司網(wǎng)絡(luò)防病毒方案的組成 采 用多層次結(jié)構(gòu) ， 智能化 ， 全自動(dòng) ， 集中管理 ， 強(qiáng)制策略執(zhí)行以及多平臺(tái)支持的技術(shù) ， 在網(wǎng)絡(luò)結(jié)構(gòu)的每一個(gè)層次 ，每一個(gè)平臺(tái) ， 每一種環(huán)境下都有相應(yīng)的防病毒產(chǎn)品對(duì)其進(jìn)行防病毒保護(hù) ， 如在防火墻 、 網(wǎng)關(guān) ， 服務(wù)器以及工作站等都有相應(yīng)的防病毒產(chǎn)品 。 網(wǎng)絡(luò)防病毒解決方案主要包含以下幾個(gè)組成部分 ： 系統(tǒng)控制中心 ， 報(bào)警管理系統(tǒng) ， 產(chǎn)品管理單元 ， 防病毒產(chǎn)品 (包括各種平臺(tái)下的服務(wù)器和客戶(hù)端防病毒產(chǎn)品 )， 產(chǎn)品和病毒定義碼升級(jí)管理軟件 。 通過(guò)這幾個(gè)部分的有機(jī)協(xié)作工作，很好的解決了病毒對(duì)企業(yè)信息的破壞。 信息安全是一個(gè)相對(duì)概念，沒(méi)有絕對(duì)的安全。確定合理 的信息安全措施，防止因過(guò)分強(qiáng)調(diào)信息安全而大幅度降低系統(tǒng)運(yùn)行質(zhì)量和性能，妥善處理信息安全與運(yùn)行質(zhì)量及性能的關(guān)系，進(jìn)一步規(guī)范系統(tǒng)運(yùn)行規(guī)則，建立符合標(biāo)準(zhǔn)與合理相結(jié)合的安全措施，可提高系統(tǒng)的運(yùn)行效果。通過(guò)百川公司信息安全管理體系的建立，使企業(yè)的信息始終處于有效和安全的管理狀態(tài)之中，杜絕了可能造成的信息泄露之源，保護(hù)了企業(yè)的根本利益。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 21 結(jié) 論 企業(yè)信息系統(tǒng)是企業(yè)信息化的核心設(shè)施，必須建立完善的、智能化的網(wǎng)絡(luò)安全防范體系，確保網(wǎng)絡(luò)的安全、穩(wěn)定、高效地運(yùn)行。而網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題， 兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范非法用戶(hù)的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。只有通過(guò)多方面的不斷努力，企業(yè)信息系統(tǒng)才能夠在比較安全的環(huán)境下工作 。 總之，企業(yè)信息系統(tǒng)的安全問(wèn)題將會(huì)越來(lái)越得到人們的重視，其不但是一個(gè)技術(shù)難題，同時(shí)更是一個(gè)管理安全的問(wèn)題。企業(yè)信息系統(tǒng)安全建設(shè)是一個(gè)非常復(fù)雜的系統(tǒng)工程。因此，企業(yè)必須綜合考慮各種相關(guān)因素，制定合理的目標(biāo)、規(guī)劃相應(yīng)的技術(shù)方案等。信息安全技術(shù)必將隨著網(wǎng)絡(luò)技術(shù)與通信技術(shù)的發(fā)展而不斷得到完善。成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 22 參考文獻(xiàn) [1]王大運(yùn) .科教創(chuàng)新 [J].科海故事博覽， 2022， (2)： 1013. [2]王秀和，楊明 .計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析 [J].中國(guó)教育技術(shù)設(shè)備， 2022，（ 3） :13. [3]張千里 .網(wǎng)絡(luò)安全新技術(shù) [M].北京 :人民郵電出版社， 2022. [5]龍冬陽(yáng) .網(wǎng)絡(luò)安全技術(shù)及應(yīng)用 [M].廣州 :華南理工大學(xué)出版社， 2022. [6]常建平，靳慧云，婁梅枝 .網(wǎng)絡(luò)安全與計(jì)算機(jī)犯罪 [M].北京 :中國(guó)人民公安 大學(xué)出版社， 2022. 注意： 所有參考文獻(xiàn)只列出期刊、著作。 各種網(wǎng)站、報(bào)刊只在論文中用腳注標(biāo)記。成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 23 致 謝 本論文是 2022 年 12 月至 2022 年 5 月底在成都信息工程學(xué)院銀杏酒店管理學(xué)院完成的。整篇論文從搜集資料到醞釀、寫(xiě)作、定稿歷時(shí) 7 個(gè)月，在此期間，得到了王趙舜老師的熱情幫助和悉心指導(dǎo)。王老師每次都耐心地給我分析論文的可取之處和不足之處，提出修改意見(jiàn)，從初稿到定稿給了我很大鼓勵(lì)。在此，我謹(jǐn)向王老師致以最衷心的謝意，同時(shí)感謝電子商務(wù)系的各位領(lǐng)導(dǎo)、老師，特別是劉