信息安全论文分析

一引言（绪论）

根据相关统计数据，我国中小企业有3700多万家，在整个企业的总数当中占了95%，对GDP贡献占55%，提供的就业机会占75%以上。可见中小企业在我国经济结构中占据十分重要的地位。国家非常鼓励和支持中小企业的发展。可是中小企业的发展面临两个很大的压力：一个是市场竞争的压力；另一个是企业自身提高完善的压力。信息安全建设作为一种先进手段是中小企业实现可持续发展和提高市场竞争力的重要保障。中小企业的信息安全将增强企业的竞争力，理顺和规范了企业的管理，也就提高了企业效率。同时也能改善企业的服务质量，提高客户的满意度和忠诚度。这就是信息安全能给中小企业发展带来的巨大作用。所以说我国中小企业的的信息安全建设是“刻不容缓”的。可是我国中小企业要实现信息安全还相当困难。从投资比例来看，发达国家企业信息安全投资一般占投资总额的8%，而我国仅仅占0.3%！采用信息安全的中小企业所占比例，国外一般达到60%以上，但在我国也就是13%左右。信息安全程度相当低。

信息安全问题是所有企业在信息安全过程所面临的重大问题，中小型企业由于对信息安全认识程度的不够深入，往往给企业造成无可挽回的重大损失。

企业信息安全威胁主要来自以下几个方面：

一是网络攻击的威胁，会造成企业交换机、路由器、服务器或者工作站瘫痪，从而造成企业信息系统瘫痪，给企业正常运营造成严重影响；如2007年联众游戏世界在北京、上海、石家庄的多台服务器曾经遭到黑客袭击，时间近1个月，严重影响了联众公司的正常运营，并造成直接损失达数百万元。

二是来信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，

破坏传输信息的完整性或者被直接假冒。

三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。如曾“CIH”、“熊猫烧香”、“灰鸽子”等病毒就才曾经造成了企业的服务器和工作站无法正常工作，而ARP病毒往往会造成企业网络系统效率低下，甚至无法工作，给企业带来了极为严重的的后果。

那么如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失呢？

二XXX公司需求分析

某企业是电子行业的知名企业，随着企业规模的不断扩大，信息安全问题成为企业发展中的瓶颈。

该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，企业拥有10M专线互联网接入带宽，员工在外地可使用ADSL、CDMA 登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。

企业目前面临以下问题：因此信息安全问题迫在眉睫。

1. 外部网络的安全威胁

企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及

员工主机上都有涉密信息。假如内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。

如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。

2.内部局域网的安全威胁

公司研发部门的图纸、文档和软件的泄密给公司造成了巨大的损失，企业新开发的产品不断被竞争对手仿制并提前上市，给公司的销售业绩也带来很大压力；公司的机密资料通过互联网、移动介质等多种途径被泄露出去。

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括：误用和滥用关键、敏感数据；内部人员故意泄漏内部网络的网络结构；内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。

3.病毒的威胁

目前U盘病毒和ARP病毒在互联网广为传播，员工通过U盘、移动硬盘等可移动存储介质和外界进行数据交换，在方便的同时也从外界带来了大量的病毒，此类病毒寄生在移动介质中，能够自动复制，在不知不觉中公司的工作站就大量地被病毒感染，从而严重影响了公司的正常运作。

公司拥有10M换联网接入带宽，所有员工都可以通过工作站快速进入换联网检索资料，给工作带来了很大的方便，但同时也从换联网带来了大量的病毒，有时甚至带来新病毒变种，杀毒软件无法查杀，给公司的信息安全埋下了很大的隐患。

病毒问题已经严重影响了公司的正常运营。

4.设备管理的安全隐患

网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，可能由于管理疏忽、不正确理而使这些设备可用但安全性不佳。

某些设备的口令泄露知识他人获取管理员口令，新设备投入使用也可能存在管理漏洞，信息管理人员离职工作交接不够规范也会造成重要口令的泄露，给信息安全也带来了严重的威胁。

5.企业管理与信息安全

信息安全不仅仅是技术问题，一个良好的信息安全体系离不开企业成熟规范的管理制度；没有相应的管理制度，IT技术无法发挥出其真正的优势和效力。

ISO27001标准是企业信息安全建设的国际标准，企业可以根据自身情况按照ISO27001标准进行规范、有效的信息安全建设。

ISO27001是企业进行信息安全建设的标准

中小企业要不断发展，就必须将信息安全建设提升到企业管理的高度，只有将企业管理和信息安全制度进行有机地整合，才能真正发挥出IT技术的优势，使之真正成为企业安全、稳定运营的基础，并真正成为企业在市场经济环境中快速发展的核心竞争力的一部分。

三设计目标

1.构建强大的防火墙体系，有效隔离外部攻击，确保网络边界安全。

2.通过加密手段，对外发文件进行加密，即使文件被通过非法手段传播出去，文件本身以密文的形式存储，不会造成信息泄露。

3.建立全网统一、有效地防病毒体系，防止病毒在整个网络中的大规模传播，防止各种病毒等进入企业内部网络，阻止各类恶意代码攻击内部信息系统。

4.建立有效地应急处理和灾难恢复机制，确保突发时间后能迅速恢复系统的各项应用服务。

5.建立有效的安全管理机制，确保相关信息系统的信息安全管理组织健全、管理措施到位、管理制度完善、管理职责明确。

四方案设计

4.1 建立强大的防火墙体系，抵御网络攻击

当一个企业决定用防火墙来实施组织的安全策略之后，下一步要做的就是选择一个安全、实惠、合适的防火墙；企业需要具备什么功能的防火墙，是否需要购买很贵、很高级别的防火墙，是依靠企业自己的IT资源构建独有的防火墙系统还是选择选择供应商提供的防火墙，防火墙的硬件规格应当达到什么样的水平，防火墙固有的局限性能否满足企业的需求？在选择防火墙时，企业应当根据自身的需求选择最合适的产品。