【S公司计算机网络安全基础防护的研究9000字（论文）】

S公司计算机网络安全基础防护的研究目录TOC\o"1-3"\h\u31873第1章绪论 112801.1研究背景和意义 135861.2研究目的和方法 116302第2章JS公司为例计算机网络主要的安全问题 1266272.1JS公司简介 132402.2JS公司存在的问题分析 112162.2.1企业电脑设备和系统落后 1280502.2.2信息安全管理制度有待完善 2302682.2.3信息安全管理部门和专业人才缺失 212174第3章企业网络安全隐患的原因分析 2295893.1领导层不够重视，管理制度流于形式化 2229753.2信息安全技术缺乏定期的维护和更新 3189283.3公司员工信息安全的防范意识普遍不足 39466第4章解决网络安全隐患的措施 356234.1加强JS公司组织管理体系 4281284.1.1建立信息安全决策机构 445964.1.2成立信息安全管理机构 4238034.1.3组建信息安全执行机构 4261254.2优化JS公司信息安全管理体系 473174.2.1完善信息安全等级管理 549184.2.2增强人力资源安全管理 5292744.2.3增强资产管理体系 658364.2.4规范信息安全事故管理 67794.2.5完善业务连贯性管理 751174.3增强JS公司信息安全技术体系 7309244.3.1采用安全隔离技术 8310724.3.2加强防火墙技术 8186394.3.3增加终端准入防御技术 831854.3.4提高安全加密技术 8315954.3.5实施“病毒”防控技术 9209414.3.6提高容灾备份技术 912772第5章结论 1016477参考文献 11第1章绪论1.1研究背景和意义由于计算机网络的发达,计算机办公成为常态,近年来,因为计算机与互联网重大安全事故频繁,给许多使用者造成很大的损失,比如黑客非法入侵、软件泄漏、木马病毒植入等威胁。为了创造一种安全的上网环境,通常公司内都会用专业的内网以减少骇客的入侵,不过内网的许多限制容易影响到工作,这时候就必须建立相应的安全防护方案。1.2研究目的和方法为保证企业计算机网络环境信息数据的机密性、完整性以及使用性受到保护。需对网络安全概念、内涵、特点与意义等展开剖析、介绍,从网络的安全状况和网络事件,反映出当前互联网上所存在的网络安全问题,并利用中国网络安全关键技术防火墙,逐步化解当前所存在的网络安全问题。第2章JS公司为例计算机网络主要的安全问题2.1JS公司简介菏泽市JS有限公司创建于一九九五年,从事电子领域技术开发、技术转让、技术咨询、技术服务、单片机软件硬件设计、电子产品销售等业务，是一个以研发为主的高科技企业。公司拥有工程师4名，技术人员12名。登记注册资本为一百一十八万,是一个中小规模的综合性企业。通过二十余年的发展与壮大,目前企业所经营门市的总建筑面积已经达到了五百多平方米,仓库建筑面积约三百多平方米,年均营业额一千余万元,盈利接近二百余万元,在圈内已具有了一定的社会认知度与口碑。但随着互联网+理念的提倡,中国传统产业也正在逐步走向信息化,企业如何运用信息化扩大经营发展、提升产品效益、维护知识产权,已成为企业未来发展的重点方向。2.2JS公司存在的问题分析2.2.1企业电脑设备和系统落后JS因为中小企业,为了节约经营成本,企业内大多数的计算机都已使用了几年,不仅配备陈旧老化问题存在现状很突出,而且技术更新换代速率较慢,多数计算机的操作系统也并不是很统一,部分计算机的操作系统甚至还在使用盗版的Windows7等旧版操作系统。计算机保护和杀毒也是由采用过该计算机的员工本人随机配置的操作系统,包括了360安全卫士、QQ安全管家、金山毒霸、百度杀毒、卡巴斯基、McAfee等林林总总,但缺乏某个统一规范的管理体系。老旧的计算机设备,或者使用了落伍的操作系统,在安全性上几乎很难有所保障,而且特别极易遭到病毒攻击或被种植木马程序,有可能会由此导致公司内部信息的泄露。适时退役老旧计算机设备,并重新统一配置正版最优秀的windows操作系统和企业版杀毒软件,对于JS公司而言势在必行。2.2.2信息安全管理制度有待完善JS企业基本上缺乏一个成体系的安全管理体系。企业的安全管理体系非常简单,加上缺乏强大的约束性和制约性条文,无法全面涵盖JS企业的安全管理问题或漏洞。同时,就是这样缺乏完备的安全管理体系,却不能切实的得以落实。安全管理体系完备程度的不足,使得如果发生一些管理之外的或者运行规范不清晰的突发状况,负有应对情况的一线人员无法措手,便无法切实保障公司信息系统的绝对安全性。因此,制定一套完善可靠的企业信息管理制度,是JS公司得以长足发展的当务之急,并以此来确保JS公司信息安全管理等相关工作高效有序地进行。2.2.3信息安全管理部门和专业人才缺失尽管已经或多或少地出现过一些安全方面的问题,但是JS企业甚至不是一家职权明确的管理机关,这与企业的安全管理制度不健全和专业安全管理水平不够有极大关联。信息管理部门是企业的关键部分,与行政、设计和销售等部门相比,对公司的发展有着莫大关联。所以,JS企业都必须设置内部安全信息管理部门,并招聘安全专业人才,专门负责监测、管理和应对企业内部安全事件以及人员安全培训等有关事项,并建立了一些针对性的有关企业安全的紧急程序。第3章企业网络安全隐患的原因分析3.1领导层不够重视，管理制度流于形式化计算机信息技术的使用,帮助JS企业大大提高了效率,也给企业的各种管理工作带来了便利。尽管JS公司的核心领导阶层都非常认同企业中建立信息化系统的重要价值,也认识到了建立信息化系统中的安全性问题,但是在潜意识内却仍然缺乏重视,或者抱有侥幸心理,使得JS公司的信息安全管理体系逐渐流于形式化,或者表面化。因为企业领导层本身的忽视与松懈,对网络安全并没有足够的安全意识,很自然的就会出现了企业网络安全方面的问题,一些人员可能任意地通过个别U盘或移动计算机硬盘连接企业计算机,并上传或拷贝工作资源;企业共享盘没有设定秘密和授权,每个管理人员都能够进入并查看、下载、拷贝企业设计资料及项目信息等。3.2信息安全技术缺乏定期的维护和更新JS企业缺少专业的安全管理部门以及解决安全管理事宜的人才,致使企业没有足够多的力量和知识储备去保障企业关键信息系统数据的安全性。随着当今网络技术进展快速,计算机技术的创新也势如破竹,一日万里。不过,由于人才的欠缺,使得JS企业无法对企业的网络安全技术和保护软件等定期进行更新换代,从而跟紧互联网技术变革的新态势,真正维护企业的互联网安全。所以,没有设定专业的管理部门和配备专门的计算机人员,导致企业发生网络安全问题时,没有专业部门适时介入,也没有专业的人员进行解决。3.3公司员工信息安全的防范意识普遍不足因为JS企业并不是对公司人员进行过信息安全教育的普及,致使公司员工对网络安全问题的防范意识比较欠缺,也缺乏对或者不是很在意企业安全问题的有效保护。经常出现在上班时间中任意利用安全性不确定的外设、任意加载安全性不明确的文档、开启不明确的连接和安装安全性不明确的应用系统软件等,为企业的信息安全问题隐藏了很大的风险。在许多时候,公司人员往往由于自身无意中的一些行为而给企业信息资产带来巨大损失。比如访问某些与工作不有关的,或许不安全的网页、采用公司所限制的聊天软件、不能定期查杀计算机病毒、缺少快速更新的杀毒软件、不能按时维修系统漏洞等,所有这种事件均会引起企业隐患,并引起了许多由于系统漏洞的木马攻击和病毒的进攻等,极可能会给JS企业带来巨大资产经济损失。第4章解决网络安全隐患的措施4.1加强JS公司组织管理体系4.1.1建立信息安全决策机构安全管理组织机构的第一层次是信息安全行政最高级决定机关,是负责管理JS企业内部安全管理工作的最高级机关。由企业主要负责人履行主体责任,同时负责审批内部安全预案的建设、安全策略的分发以及内部安全建设方案的实施与监督等,为企业的安全管理工作提供了权力保证和资源保障。正根据此,JS企业内部设立了专业的安全领导团队,担任企业安全的最高级决定机关,领导小组下设安全办事处,负责落实并推广企业安全领导集团的一切指示。其工作内容主要是:以国家和行业关于安全工作的有关法律和规章、政策规定为基础,身体集团公司领导小组研究制订的内部安全战略计划、管理标准和技术规范等;研究确定与公司内部安全相关的各部分管理工作职能,并督促、引导内部安全管理工作的顺利实施。4.1.2成立信息安全管理机构安全管理是安全组织机构的第二层次,由由公司的信息化部分承担,在上级组织的领导下,全面承担公司日常安全的管理、保障、监察和安全教学与训练等工作,加强公司安全文明意识的建设,规范和指导公司员工实施合理的规范、办合理的服务。4.1.3组建信息安全执行机构信息安全技术执行机关是国家信息安全组织机构的第三层部门,由数据中心人员和各机关专职或兼职安全技术员所构成,在上级机构的直接领导和监管下,职责保障公司信息安全技术管理体系的合理有序有力地实施与调整,并采用具体情况实际而微的手段进行信息安全对策,以解决公司安全隐患,以及进行重大信息安全案例后的具体情况实际应对与善后处理。在具体实施阶段,公司必须对信息系统的重要职责进行设定和强化监督,为公司信息系统设置了信息系统管理者、信息安全审核员、网络管理员、安全保密管理者、信息系统应用开发者,而职位的设置原则也要求五人必须各自独岗。4.2优化JS公司信息安全管理体系4.2.1完善信息安全等级管理建设和健全JS公司的安全保密分级管理系统。对涉密信息内容,按照意义和敏感性程度分成四种类型:绝密、机要、绝密、内部资源。"绝密"高级资料是最关键的企业资料,和企业生产、营销、人事等有很大的利益关联,只在JS企业内个别机关领导级传阅的重要文书或资料,如果泄露会使企业的生产安全和效益受到非常重大的损失。"机密"是重要的企业文件,主要指与企业生存、产品、科研、业务、人员等有着密切利益联系的,可以在JS企业个别机关领导级上传阅的文件,这些信息如果外泄会使企业的安全与效益遭受很大损失。"秘密"是一般的企业文档,与企业生存、产品、发展、运营、人员等重大利益关联,视为可以在JS企业各部门内传阅的文档,泄露会让企业利益遭受一定损失的资料。除上述三种以外,任何公司文档均应当属于"内部资料",如企业宣传册,以及企业内部公开的方案演示图片等,并视为能够在JS公司企业范围内传阅的文档。按不同保密等级划分范围为:一、绝密级:是指与绝密内容有直接工作联系的人员,如JS公司法人长、董事、总经理级,以及其他人员等;第二、秘密级:与秘密内容有直接关联的人员,如JS公司各部门经理层等;第三、保密级别:与保密内容有直接关联的人员,如JS公司各部门骨干成员等;对于内部的公开消息,只有JS公司内部人员才知道,且未经同意,严禁从外部传阅。4.2.2增强人力资源安全管理制定和健全了JS公司的人力资源安全管理制度。并按照国家各密级知晓范围规定和信息系统标准规定的安全等级要求,对有关员工实施了资质审核。JS公司的每个员工应该清楚其在安全体系中的职务与权利。信息系统的重要职位人员需要进行严格的筛选,且重要职位的人员不得兼任,招聘形式包含但不限于政审、签订相关保密合同、行业能力考评。定时培养负责运行与保护信息体系的工作人员并通过技术培训考评,在考评业绩及格后可以持续在职位上开展工作,并续签用工协议和保密协议书。重要职务人员和涉密部门工作人员一定要与企业签定秘密合同,以保证企业履行对系统应尽的安全保密义务;并保证所有重要职务人员在离职后有一年的脱密期,脱密期间内不准再离开。重要职务员工如需辞职或调岗,须在脱密期后,严格补办调离手续,同时撤消并冻结其曾使用过的所有帐号,同时更改其在各信息系统中的口令密码。对参与操作和保护企业信息系统的工作人员实行定期安全技术培训,考核达标者才能上岗工作。对实际承担企业安全管理工作的人员实行高级安全技术培训,考核达标者方可上岗工作,并签订了保密合同。关键岗位工作人员和涉密人员均须与企业签订保密合同,以确定其对系统企业所承担的安全保密职责。关键岗位员工的调岗或辞职都需要从密从严办理整个调离过程,因此岗位对接人一定要及时更新调离者之前在我们计算机信息系统中的任何帐户密码和口令,并撤除或冰封其使用的任何帐号和权利。4.2.3增强资产管理体系建立健全JS企业的固定资产及隐形资本管理制度。资产管理工作分为涉密人员的管理工作、重要信息系统资产的备份恢复管理工作、涉密场所、计算机系统与网络的管理工作、涉密移动通讯装置与存储设备的管理工作等。简单而言,就可以概括为场所设备管理、装置管理和软件管理等工作。制定了机房安全进出记录制度,不相关的管理人员不得进驻机房。并制定了门卫与交接班的制度。建设机房主要装置并维护记录文档;积极检查设备机房的主要设备,以确保装置处于正常运转状态。并记录信息系统在不同时间节点上的工作状况,特别是资源费用是不是出现在非正常或超过了系统设定标准。对每一件设备均须建立条目健全、监管严密的采购、交易、运用、保管、修理和报废等工作记录管理制度,并且认真进行工作记录和检察事项,实现设备管理标准化。由专业的技师负责进行机器设备的每日清洁和定期维护,保证机器设备处于良好状况。如果设备发生重大故障,进行维修。定时清除落后或老化的计算机设备,并定期检查公司网络线路管道,以防止因电气设备及线路老化而对公司的信息传输线路产生危害。要确保装置在出厂标称的运行状况下(如温度、湿度、电压、磁力干扰等)下运转。软件产品监管领域围涉及操控系统软件、运用软件系统、信息库、安全软件和工具软件等的购买、配置、应用、变更与维修。统一安装了企业所采用的正版软件、工程设计类应用软件和查杀病毒类应用软件等。4.2.4规范信息安全事故管理建立了健全统一规范的现代JS公司安全事故管理体系。通过对企业安全保护的"事前"、"事中"、"事后"三环节对可能发生的情况进行预演与设计,建立了公司安全的管理规范、标准、作业过程等,并建立了公司内部规范的企业安全事故管理制度,定期比对并保证落实预防措施到位。同时面向所有的公司员工定期进行相关技术培训,以提高对所有人员的安全事件的应对能力。但不管采用什么样的管理方法,都无法做到绝对的的安全性,总有一定几率出现重大安全事件,所以见兔顾犬式的企业安全管理方法已经成为管理系统中的重要一环。网络安全事故就象安全系统总的残次品,必须要采取措施进行预防,这就务必要最可能快地按照流程规范上报,方便于及时采取相应的安全措施,减少网络安全事故的对企业的危害。JS企业所有人员发觉企业安全已经受到损害或可能受到损害时,应立即采用补救措施并报送安全管理工作组织及安全管理办公室,安全管理办公室将根据紧急工作预案及相关流程和办法及时进行适当处置。4.2.5完善业务连贯性管理建立和健全了JS公司的信息安全的业务衔接性管理。所谓业务衔接性管理,是指企业采取预防与恢复控制有机地结合的方式,使自然灾害或重大安全事故所造成的破坏程度降低至企业所可以接受的程度。其重点目标指的是以"业务连贯性管理的构建与执行"为原则,包括了减少损害、标识危险、限制重大灾难事件影响,以及确保企业即时地从新进行对基本运作的控制等几个方面。而业务持续性管理的重点目标则是为防止企业当发生主要经营活动的重大沉积或中断时,可以保障主要经营过程不遭受重入障碍或重大灾难事件的威胁。因此业务衔接性管理是一个很重要的、综合的企业管理课题,对JS公司的经营各个方面都影响很大。能够预防在企业经营活动发生间断之时,并确保主要营业活动经过时不受到网络信息系统严重故障以及自然灾害的威胁,并确保将它们随时修复好。对JS公司这样的中小企业而言,产生各种各样的信息系统侵害事件的几率可以说是非常高的,不管是内因还是外因,无意之举还是故意为之的,是否都是人为因素的的。所以,JS企业内的信息系统控制部门务必作好了在遭遇侵害时,尽快积极制定措施的准备。4.3增强JS公司信息安全技术体系上文提到,因为JS企业之前缺乏专门的安全管理与解决安全监管事宜的专业人才,导致企业缺乏足够多的力量和技术储备去保障企业关键信息系统数据的安全性。而构建企业的网络安全管理体系,就需要有信息作为保障。JS企业必须合理运用最新的安全信息,以维护企业的系统硬件、软件和数据,避免系统的软件和信息遭受破坏、修改和窃取,以保证系统连贯安全平稳的运营。4.3.1采用安全隔离技术JS公司在信息安全管理技术系统内合理使用安全隔离技术。安全数据交换模块、外网络处理模块,以及网闸联动组成了网络安全信息系统的内部安全分离系统,可以很有效地实现JS公司的网络系统实现了内部分离,但同时系统内各种数据信息依旧能够实现安全可靠的数据信息交流、输到、处理等。虽然在内部各种数据信息运行的进程中有许多复杂的环节,但它们都可以实现由分离系统自动运作的目的,公司内部有关操作人员只需要对内部所有的网络安全信息实现安全通通讯,既保障了JS公司内部网络系统的安全性,又能够给他们的使用体验给予更多的便利。4.3.2加强防火墙技术JS公司在网络安全管理技术系统中,合理运用了防火墙技术。防火墙最主要的功用,是针对于具有危险性的业务信息加以过筛与拦截,并针对企业网络的信息提高了访问权限,以增强网络安全保护。也因此,JS公司的内部网络数据库仅可以在企业区域内有局域网的情况下才能访问与运行,在局域网以外访问的操作便会被屏蔽。同时,防火墙也可以高效率地计算出使用时产生的全部数据,并针对于具有威胁可能的情况下可以精准预测与警报,从而达到对JS公司内部网络的安全性的最佳保证。随着服务形态的不断更新,单纯的的服务(端口)封堵实在无法适应动态的服务要求,必须通过以内容的深层次的检测技术为基准,对区域内的服务清单进行甄别,同时借助大数据分析背景下的分析能力对反常服务清单进行智能评估。4.3.3增加终端准入防御技术JS公司在企业安全管理技术系统中,合理应用终端准允防护技术。终端准允防范技术中最关键的是将JS公司的应用服务器端口作为介入节点,对互联网的连接情况加以监控,并运用安全服务器、安全网关设备等技术相结合,对所有连接互联网的应用端口按强行规定实施公司防护,以及时把控JS公司应用端的互联网信息运营轨迹,进而提高对应用端的风险主动防御本领。4.3.4提高安全加密技术JS公司主张在安全信息管理技术系统中,合理使用安全信息密码。而安全信息加密技术则是指运用逻辑措施,对信息网络加以保护,以避免信息安全数据泄露的技术手段。加密技术是电子商务和电子贸易中的最基本技术手段,为"互联网+"环境下的企业间电子商务贸易和信息互动提供了技术保证。在当前,安全加密技术主要分为对称加密和不对称加密。其中,对称性密码,又称作私密钥加密,是一项以口令为基准的设置密钥技术,设定密钥的人与取消密钥的人都通过相同的秘密钥实现了消息加密破译;而不对称性密码,又称作公开钥加密,密码钥匙和破解钥匙之间具有某种区别,即加密钥在通常情况下向外界公开,而解密钥则仅仅是由破译人自身所知道。公共钥匙密码的主要优点表现在,可以对互联网的开放性特点进行有效利用,也可以很方便地进行数字签章和认证,但是劣势则在于,它的计算过程较为繁琐。JS公司基于对消息交换的高安全性要求,因此可以很灵便地选用安全的加密技术。4.3.5实施“病毒”防控技术JS公司在安全管理技术系统中合理应用了"病毒"的防范技术。与相对于普遍单机防范病毒相区别的是,公司网络内"病毒"防治应当以"同一个监管、同一个计划"为前提条件,建立一套完整的"病毒"防范管理体系。JS公司对"病毒"贯彻"防止为首,防杀紧密结合"的管理工作原则上,在对公司网络内部结构计算机配置充分了解的基本上,把我"病毒"生成情况、防毒产品销售击毙"病毒"的运转情况,并进入可控的中心信息管理网络平台,统一装备JS公司企业版抗毒产品销售,定时完成防"病毒"系统软件的病毒数据库系统自动更新。4.3.6提高容灾备份技术JS公司主张在国家安全管理技术体系中,合理使用容灾备份技术。与容灾备份其实是二个概念。容灾,是为了企业在面临重大自然灾害事故对企业信息安全的严重打击之际,为信息系统正常工作时提供节点级的系统修复功能,以协助企业实现业务连贯的目的;而备份,则是为了在灾难性事故来临时维护数据免遭意外的损毁。利用容灾备份管理信息技术,JS公司能够建立并保持某个备用的存储体系,从而保障了系统和财务数据面对灾级事故的防御。而容灾备份管理信息技术又通常区分为数据信息类容灾和使用类容灾。数据类容灾,是指建立一个数据备份体系,可以随时恢复重要的应用数据分析;而利用类容灾,则是指建立一个全面、同步更新的备份利用体系。建设JS企业的容灾备份体系,是保障企业数据资产安全可靠,不因自然灾害而灭失的关键手段,是保证企业数据安全的最终手段。JS企业的信息化建设工作还在持续发展和完善中,对企业有关人员也提出了更深水准的新信息技术能力要求,以使这些新信息技术能力可以在JS企业的信息管理工作中,充分地发挥其真正的管理功能。为有效合理地利用最新的技术保障公司安全,JS公司将依据实际状况,综合考虑企业的现实需要,构建企业安全技术管理制度,逐步确定企业信息管理员的主要职能,并定期进行相应培训,以提高信息管理人员的专业能力,