企業(yè)信息技術(shù)論文

　　信息技術(shù)是時代的潮流，信息化的產(chǎn)生對社會的發(fā)展產(chǎn)生了巨大的沖擊，包括企業(yè)安全理念。下面是由學(xué)習(xí)啦小編整理的企業(yè)信息技術(shù)論文，謝謝你的閱讀。

　　企業(yè)信息技術(shù)論文篇一

　　淺談企業(yè)信息安全技術(shù)

　　摘要：信息化是時代的潮流，信息化的產(chǎn)生對社會的發(fā)展產(chǎn)生了巨大的沖擊，包括企業(yè)安全理念。本文介紹了信息安全保護的發(fā)展歷程，從最初的信息保密過渡到業(yè)務(wù)安全保障到目前的多業(yè)務(wù)平臺安全保護。針對企業(yè)信息系統(tǒng)現(xiàn)狀，筆者從硬件、技術(shù)以及人員行為三個角度來對目前企業(yè)信息安全存在的問題進行分析，指出了目前企業(yè)信息系統(tǒng)安全的癥結(jié)所在。結(jié)合問題所在，從三個角度出發(fā)，分別提出改進建議，希望能夠?qū)ζ髽I(yè)信息安全水平的提高起到有效的幫助。

　　關(guān)鍵詞：信息安全;信息安全管理

　　中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)15-3491-03

　　計算機、網(wǎng)絡(luò)已經(jīng)逐漸成為我們工作生活中必不可少的一部分了，企業(yè)辦公自動化已經(jīng)成為普遍現(xiàn)象。但是我們在享受信息化帶來諸多便利的同時，也要看到信息化給企業(yè)帶來的諸多不便。2011年上半年，花期銀行由于遭受黑客攻擊，二十多萬客戶資料信息外泄，為銀行和客戶帶來巨大的損失，同期國際著名的安全解決方案提供商RSA遭受黑客的惡意攻擊，對其超過五百家客戶造成潛在風(fēng)險，給該企業(yè)帶來高達數(shù)百萬的損失。信息安全是企業(yè)整體安全的重要方面，一旦企業(yè)重要的信息外泄，會給企業(yè)帶來巨大的風(fēng)險，甚至有可能將企業(yè)帶入破產(chǎn)的境地。

　　1企業(yè)信息系統(tǒng)安全的發(fā)展

　　隨著信息技術(shù)的產(chǎn)生，信息系統(tǒng)安全的保護也隨之而來，并且隨著信息技術(shù)的不斷更新?lián)Q代，信息系統(tǒng)安全保護的戰(zhàn)略也不斷發(fā)展，接下來我們可以簡要地分析一下信息安全系統(tǒng)的發(fā)展歷程。

　　信息系統(tǒng)安全的第一步是保障信息的安全，當(dāng)時各個電子業(yè)務(wù)系統(tǒng)較為獨立，互聯(lián)網(wǎng)還不太流行，這時主要技術(shù)是對信息進行加密，普遍運用風(fēng)險分析法來對系統(tǒng)可能出現(xiàn)的漏洞進行分析，合理地填補漏洞，消除威脅，這是一種基于傳統(tǒng)安全理念指導(dǎo)下的系統(tǒng)安全保護。

　　隨著互聯(lián)網(wǎng)技術(shù)的深入，信息系統(tǒng)安全開始逐步向業(yè)務(wù)安全轉(zhuǎn)化，開始從信息產(chǎn)業(yè)的角度出發(fā)來考慮安全狀況，此時的互聯(lián)網(wǎng)已經(jīng)成為工作生活的一個組成部分。這時候我們需要保護的不再僅僅是相關(guān)信息了，我們需要對整個業(yè)務(wù)流程進行保護，分析其可能出現(xiàn)的問題。本階段的安全防護理念關(guān)注整個業(yè)務(wù)流程的周期，對流程的每一個節(jié)點進行綜合考慮。信息保護在此時只是整個系統(tǒng)安全的一部分，是作為最為基礎(chǔ)的防護技術(shù)，除此之外，還強調(diào)對整個流程的監(jiān)控，防止某個節(jié)點可能出現(xiàn)的不安全因素，一旦出現(xiàn)任何風(fēng)吹草動的現(xiàn)象我們可以立即予以控制。此外，審計技術(shù)在這個時候也被引入，通過對技術(shù)操作的跟蹤，可以對攻擊發(fā)起者進行責(zé)任追究，對攻擊者起到一種震懾的效果。

　　到目前為止，業(yè)務(wù)系統(tǒng)的獨立性和邊界已經(jīng)逐步弱化，系統(tǒng)間的融合更為常見。以礦業(yè)企業(yè)為例，在大型集團中，往往存在財務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)、銷售系統(tǒng)、統(tǒng)計分析系統(tǒng)等，這些系統(tǒng)之間需要相互勾稽，系統(tǒng)與系統(tǒng)之間需要互相取數(shù)，因此大量的系統(tǒng)集中到了一個業(yè)務(wù)平臺中，由該平臺來提供整體服務(wù)。這樣的話，我們對于信息系統(tǒng)安全的需求也從單系統(tǒng)向多系統(tǒng)轉(zhuǎn)換，我們在關(guān)心單個系統(tǒng)安全的同時，還要對其系統(tǒng)平臺服務(wù)給予更多的關(guān)注。這樣的話，企業(yè)信息安全也開始由業(yè)務(wù)流程向服務(wù)轉(zhuǎn)換。

　　2企業(yè)信息安全存在的問題分析

　　信息安全問題我們可以將其進行進一步細分為物理、技術(shù)以及人為等三類因素。

　　首先來看物理方面，物理安全主要指的是機器設(shè)備以及網(wǎng)絡(luò)線路出現(xiàn)的問題。一般企業(yè)在進行信息設(shè)備設(shè)置時最先考慮的因素是人員安全，即在保證信息設(shè)備不會對企業(yè)員工人身安全造成威脅的前提下再進行設(shè)備本身考慮。信息設(shè)備一般屬于電氣設(shè)備，容易受到打雷、水電等災(zāi)害的影響。如果服務(wù)器主機受到嚴重破壞，有可能導(dǎo)致企業(yè)整個信息系統(tǒng)崩潰。相對于其他電氣設(shè)備而言，信息設(shè)備耐壓數(shù)值比較小，企業(yè)需要其持續(xù)不斷地運行，并且磁場的干擾對網(wǎng)絡(luò)影響比較明顯，這些都對信息設(shè)備的物理安全提出了要求，需要防止可能出現(xiàn)的問題。

　　其次是技術(shù)方面，對于大量企業(yè)而言，可以分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)相對安全性較高。對于絕大多數(shù)企業(yè)而言，局域網(wǎng)都會通過一定途徑與外部網(wǎng)相連接。這樣內(nèi)部網(wǎng)路安全性就受到內(nèi)部網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)進行的溝通的威脅。同時，操作系統(tǒng)的安全以及應(yīng)用程序的安全都是技術(shù)上所面臨的困擾。

　　在操作系統(tǒng)方面，我們的選擇比較狹窄，大多數(shù)企業(yè)只能選擇微軟操作系統(tǒng)，每個系統(tǒng)都存在一定的漏洞，都會造成信息的外泄。其實操作系統(tǒng)同樣是軟件，微軟為系統(tǒng)安全會不定期推出安全更新與漏洞補丁，雖然我們可以通過系統(tǒng)的Windows Update或其他輔助軟件來給系統(tǒng)修修補補，但這還不是100%的安全保證。隨著微軟在安全技術(shù)上的逐漸改進，系統(tǒng)漏洞出現(xiàn)的次數(shù)越來越少，現(xiàn)在很多黑客開始把注意力轉(zhuǎn)移到常用的第三方軟件上來，也就是要利用這些軟件的漏洞來進行攻擊。相對于操作系統(tǒng)而言，應(yīng)用軟件方面我們選擇性比較大，但目前流行的各種病毒、木馬都會給我們企業(yè)的信息安全帶來極大的影響。

　　尤其是現(xiàn)在大部分企業(yè)都建立有自己的官方網(wǎng)站，保存著企業(yè)的重要數(shù)據(jù)和客戶資料等，而如果網(wǎng)站存在一個通用漏洞，就會被惡意的黑客攻擊，甚至黑客還會進行木馬的上傳來得到WebShell，添加隱藏超級賬號，使用遠程桌面連接等操作，從而導(dǎo)致網(wǎng)絡(luò)淪落為黑客手中的“肉雞”。因此，如果使用網(wǎng)站模板代碼，必須要時刻關(guān)注該網(wǎng)站模板是否有最新的漏洞被曝光，及時到官網(wǎng)上下載并打上相關(guān)的漏洞補丁程序。另外，網(wǎng)管務(wù)必要有經(jīng)常查看網(wǎng)站登錄日志的習(xí)慣，檢查后臺登錄的IP是否有異地的可疑信息，或者是否被添加了異常的管理賬號等等，永遠繃緊安全這根弦。

　　對局域網(wǎng)進行妥善管理，讓網(wǎng)絡(luò)運行始終安全、穩(wěn)定，一直是所有網(wǎng)絡(luò)管理員的主要職責(zé)。為了保證局域網(wǎng)的安全性，不少網(wǎng)絡(luò)管理員開動腦筋，并且不惜花費重金，“請”來了各式各樣的專業(yè)安全工具，來為局域網(wǎng)進行保駕護航。然而在實際工作過程中，如果沒有現(xiàn)成的專業(yè)安全防范工具，也可以利用客戶端系統(tǒng)自帶的安全功能，保護自己的上網(wǎng)安全。

　　最后是人員方面，人員是企業(yè)信息外泄的重要途徑，其中我們可以將其分為兩大類，一類是內(nèi)部人員的泄密。這往往體現(xiàn)在員工將企業(yè)核心機密通過硬盤等設(shè)備將其帶出公司信息設(shè)備，并且造成遺失等現(xiàn)象，最終導(dǎo)致公司機密為外界所獲取，信息安全受到嚴重威脅。另一部分是黑客攻擊，這類攻擊對公司造成的損失非常大。該行為的目標就是獲取相應(yīng)的信息。隨著黑客技術(shù)的發(fā)展，傳統(tǒng)的防火墻甚至物理網(wǎng)閘斷開都難以完全避免黑客的攻擊。目前企業(yè)繁多的保護程序?qū)诳偷姆雷o效果不佳，反倒給用戶帶來了諸多不便。

　　3企業(yè)信息安全改進建議

　　3.1物理安全防護

　　網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計直接影響到企業(yè)的信息安全，局域網(wǎng)的網(wǎng)絡(luò)拓撲設(shè)計也成了信息防護的關(guān)鍵所在，一般情況下，企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如下：

　　圖1內(nèi)部網(wǎng)拓撲結(jié)構(gòu)圖

　　在整個流程中，核心交換機是關(guān)鍵，首先它必須滿足國家相關(guān)的規(guī)定標準，可以承載相應(yīng)的功能。機房設(shè)計要考慮到防盜、防火等，必須實行24小時監(jiān)控。硬件防火墻是我們進行信息保護的一個重要措施，性能比軟件防火墻更為強大，這也決定了硬件防火墻的價格相對而言更為昂貴。硬件加密卡也是我們目前使用范圍比較廣泛的一個技術(shù)措施，它獨立于計算機系統(tǒng)，一般難以通過常用的軟件模擬方式來對其進行攻擊，因此獨立性能更高。通過合理配置計算機硬件保護器，我們可以將信息保護的基礎(chǔ)工作做得更加有效，能夠為控制技術(shù)風(fēng)險和人為風(fēng)險提供良好的基礎(chǔ)。

　　3.2技術(shù)安全

　　相對而言，技術(shù)安全是比較難以處理的，信息技術(shù)的發(fā)展非常迅速，我們難以面對層出不窮的網(wǎng)絡(luò)技術(shù)攻擊做出完全有效的防御，需要及時改變技術(shù)防御措施。

　　3.2.1數(shù)字簽名和加密技術(shù)

　　在網(wǎng)絡(luò)中，我們可以不斷發(fā)展傳統(tǒng)的數(shù)字簽名和加密技術(shù)，防止黑客的多種入侵。

　　我們可以以數(shù)字簽名為例，通過設(shè)定數(shù)字簽名，用戶在進行各種操作時會打上自身的印記，可以防止除授權(quán)者以外的修改，能夠極大地提高整體的安全系數(shù)，抵御黑客的攻擊。在這個程序中，我們需要予以關(guān)注的是數(shù)字證書的獲取，一般有以下三個途徑：a使用相關(guān)軟件創(chuàng)建自身的數(shù)字證書;b從商業(yè)認證授權(quán)機構(gòu)獲取;c從內(nèi)部專門負責(zé)認證安全管理機構(gòu)獲取。

　　3.2.2入侵防護系統(tǒng)(IPS)

　　傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此防火墻對于很多入侵攻擊仍然無計可施。絕大多數(shù)IDS系統(tǒng)都是被動的，而入侵防護系統(tǒng)(IPS)則傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。

　　3.2.3統(tǒng)一威脅管理(UTM)

　　美國著名的IDC對統(tǒng)一威脅管理(UTM)安全設(shè)備的定義的是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設(shè)備里，構(gòu)成一個標準的統(tǒng)一管理平臺。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。這幾項功能并不一定要同時都得到使用，不過它們應(yīng)該是UTM設(shè)備自身固有的功能。

　　UTM安全設(shè)備也可能包括其它特性，例如安全管理、日志、策略管理、服務(wù)質(zhì)量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過，其它特性通常都是為主要的安全功能服務(wù)的。

　　3信息安全管理

　　這主要是針對人員管理而設(shè)定的，是企業(yè)內(nèi)部管理流程的一個重要方面，這是企業(yè)內(nèi)部管控制度的一個重要組成方面。

　　每個企業(yè)都要有明確的硬件設(shè)備管理制度，專人負責(zé)保管，監(jiān)督審查，確保硬件使用的合理和安全性。其次要對操作人員進行足夠的培訓(xùn)，要求每一個使用人員都了解應(yīng)當(dāng)進行的合理操作，明白可能存在的網(wǎng)絡(luò)安全隱患。第三要對數(shù)據(jù)保管有明確的責(zé)任和制度，防止大量數(shù)據(jù)的丟失，導(dǎo)致公司整體系統(tǒng)癱瘓。

　　為了進一步加強和規(guī)范計算機信息系統(tǒng)安全，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室于2007年6月和7月聯(lián)合頒布了《信息安全等級保護管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，并召開了全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議，標志著我國信息安全等級保護制度歷經(jīng)十多年的探索正式開始實施。

　　建立計算機信息系統(tǒng)安全等級保護制度，是我國計算機信息系統(tǒng)安全保護工作中的一件大事，它直接關(guān)系到各行各業(yè)的計算機信息系統(tǒng)建設(shè)和管理，是一項復(fù)雜的社會化的系統(tǒng)工程，需要社會各界的共同參與。大中型企業(yè)應(yīng)該認真學(xué)習(xí)《信息安全等級保護管理辦法》及相關(guān)技術(shù)標準規(guī)范，大力開展培訓(xùn)工作，落實好信息網(wǎng)絡(luò)安全管理、安全技術(shù)、信息安全等崗位人員的繼續(xù)教育培訓(xùn)，不斷提高信息安全等級保護的能力與水平。

　　4結(jié)束語

　　在我們進行企業(yè)信息安全管理過程中，企業(yè)及企業(yè)員工是否對信息安全工作有足夠的認識十分重要，企業(yè)領(lǐng)導(dǎo)和上層應(yīng)該對企業(yè)信息安全工作給予必要的關(guān)注，企業(yè)信息安全不能僅僅依靠專業(yè)的IT技術(shù)人員，它需要我們?nèi)w企業(yè)員工的共同努力。

　　參考文獻：

　　[1]孫博.企業(yè)信息安全及相關(guān)技術(shù)概述[J].科技創(chuàng)新導(dǎo)報,2009(04).

　　[2]徐國芹.淺議如何建立企業(yè)信息安全體系架構(gòu)[J].中國高新技術(shù)企業(yè),2009(5).

　　[3]王東.“北京移動案”暴露信息安全管理軟肋[J].中國新通信,2006(6).

　　[4]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報開發(fā)與經(jīng)濟,2010(25).

　　[5]徐新件,朱健華.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全管理問題研究[J].供電企業(yè)管理,2008(2).

　　[6]汪紅梅.我國信息安全保障體系存在的問題及對策芻議[J].信息網(wǎng)絡(luò)安全,2008(2).

　　[7]盛玉.檔案信息安全與安全保障體系內(nèi)容的關(guān)系分析[J].網(wǎng)絡(luò)財富,2009(12).

　　[8]崢嶸.信息備份為企業(yè)信息安全保駕護航[J].中國經(jīng)貿(mào).2008(10).

　　[9]田麗.網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全管理組織機構(gòu)設(shè)計[J].東北財經(jīng)大學(xué)學(xué)報,2008(3).

點擊下頁還有更多>>>企業(yè)信息技術(shù)論文