【网络环境下的企业信息安全问题研究14000字（论文）】

网络环境下的企业信息安全问题研究目录TOC\o"1-3"\h\u265111绪论 1162741.1研究背景与意义 16111.1.1研究的背景 1287561.1.2研究的意义 1319072企业信息安全概述 382332.1企业信息安全的等级与特征 3173992.2企业信息安全的重要性 4310083网络环境下影响企业信息安全问题分析 5217243.1网络信息安全涉及的技术 5310223.1.1防火墙技术 5107733.1.2数据加密技术 5124103.1.3数字签名 6148303.1.4数字证书 7204373.1.5病毒防护技术 778803.2影响企业信息安全的因素 8188603.2.1网络病毒 8257863.2.2“黑客”入侵 8224133.2.3计算机网络协议存在的安全问题 9116653.2.4数据丢失 9288633.2.5人文环境 1095893.3产生企业信息安全问题的根源分析 10252853.3.1互联网犯罪行为严重 10220033.3.2黑客技术发展迅速 107023.3.3用户安全意识不强 1146853.3.4领导者的支持与参与程度不强 11263683.3.5企业内部信息管理机构不完善 11202744企业信息安全策略设计 12210974.1技术手段 1223834.1.1计算机防毒和杀毒 1218364.1.2安装补丁程序 12146834.1.3做好重要资料管理 1395174.1.4防火墙技术 1324404.2管理手段 1461914.2.1提高安全防范意识 14244524.2.2健全有效的信息安全管理制度 14318284.3法律手段 15100904.3.1用法律武器抵制侵犯 15214444.3.2落实法律责任 15285014.3.3加强法律意识 16323785结论 1783066参考文献 181绪论1.1研究背景与意义1.1.1研究的背景进入21世纪以来，以Internet为代表的信息网络技术已经广泛应用于社会各个领域，信息全球化已经成为社会发展的必然趋势，信息安全的内涵也就发生了根本性的变化，它不仅仅从一般性的防卫变成了一种非常普遍的防范，还从一种专门的领域扩展成无处不在。尤其计算机技术和网络技术高速发展的同时，对整个社会的科学技术、经济与文化带来巨大的推动和冲击，尤其近十几年来计算机网络在企业信息安全各方面应用深入已经成为企业信息不可或缺的部分，但同时也给我们带来许多挑战。随着企业信息化水平的逐步提高，随之而来的信息安全问题也越来越突出，网络安全与否，直接关系到企业能否正常进行运转，并且随着网络规模的不断扩大，企业信息安全事故的数量以及其造成的损失也在成倍地增长，病毒、黑客、网络犯罪等给我们的信息安全带来很大威胁，网络环境下的企业信息安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，如果不进行有效的安全防护，网络信息系统将会受到具有破坏性的攻击和危害，一旦企业网络遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因此信息网络安全是一个综合的系统工程，需要我们做长期的探索和规划。这样我们的企业才能长远发展。1.1.2研究的意义在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全成为企业管理越来越关键的一部分。但企业的信息安全系统是一串复杂的环节，安全措施必须渗透到系统的所有地方，不安全因素总是存在，没有一个系统是完美的

，信息安全是企业必须面对的问题。中国工程院院长徐匡迪曾指出：“没有安全的工程就是豆腐渣工程”。信息安全事件，不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响，甚至不可弥补，因此，研究企业信息安全问题是非常必要的。1.2研究内容与框架通过介绍当前的研究背景与意义，在概念等方面简单介绍了企业信息安全的等级与特征，在企业信息安全防护体系的构建需花费大量人力、物力、财力和基本安全保护能力之间寻求一个利于企业发展的平衡点，使企业的信息安全尽可能得到有效的保证，也迫使管理者把更多的目光放在信息安全方面，重视企业信息安全的重要性。企业技术人员也应熟练掌握信息安全所涉及的技术，尤其是防火墙技术、数据加密技术、数字签名、数字证书和病毒防护这些日常企业信息安全息息相关的技术，也应该让非技术人员有所了解，这样才能有效利用和保护这些信息，在这些技术的基础上分析影响企业信息安全的因素，如网络病毒，计算机网络协议和人为无意操作等，从各个方面综合分析，确保企业信息安全不会因为这些因素遭受破坏，所以我们要从根源分析这些因素产生的原因，从深层次的原因杜绝这些隐患。企业信息安全是一个全方位的工作，所以我们不能从单一角度来解决信息安全问题，必须把技术手段，管理手段，法律手段结合起来使用，不能只依靠先进的设备和技术手段，来确保信息的绝对安全，也不能只依赖管理者的管理手段，忽视技术与法律，科技是第一生产力，而法律是最强大的武器，把三者结合起来，定能构造一个积极健康，运行良好的企业信息安全环境，使企业稳定发展。企业信息安全问题根源企业信息安全问题根源用户安全意识不强黑客技术发展迅速互联网犯罪行为严重用户安全意识不强黑客技术发展迅速互联网犯罪行为严重企业内部信息管理机构不完善领导者的支持与参与程度不强企业内部信息管理机构不完善领导者的支持与参与程度不强企业信息安全因素企业信息安全因素网络病毒数据丢失“网络病毒数据丢失“黑客”入侵人文环境计算机网络协议人文环境计算机网络协议企业信息安全技术企业信息安全技术数据加密技术病毒防护技术数字签名数字证书防火墙技术数据加密技术病毒防护技术数字签名数字证书防火墙技术图一：企业信息安全问题研究框架2企业信息安全概述信息安全本身包括的范围很大，可以说大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞都可以威胁全局安全。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。而不同等级的信息需要不同的等级防护，具体如下：2.1企业信息安全的等级与特征企业信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。企业信息安全防护体系的构建需要大量的人力、物力和财力，并且对企业信息安全系统的运行性能造成影响。因此，对企业信息安全性能的要求没有限度，必须以安全威胁的风险系数为依据，保证适宜的防护等级，确保企业信息系统的运行效率和质量。不同等级的企业信息安全系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。2.2企业信息安全的重要性企业要保持健康可持续性发展，信息安全是基本的保证之一。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生，信息安全问题逐渐被重视，信息安全建设成了企业首要任务，所以，在不久的将来，信息安全将更多的被企业所关注，会有更多的企业加入到安全行列中来的，这也是企业生存和发展的关键步骤之一。随着企业信息化水平的逐步提高，随之而来的信息安全问题也越来越突出，网络安全与否，直接关系到企业能否正常进行运转，并且随着网络规模的不断扩大，企业信息安全事故的数量以及其造成的损失也在成倍地增长，病毒、黑客、网络犯罪等给我们的信息安全带来很大威胁，网络环境下的企业信息安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，如果不进行有效的安全防护，网络信息系统将会受到具有破坏性的攻击和危害，一旦企业网络遭到攻击，企业信息泄露，甚至被人篡改，就会给企业带来不可估量的损失。因此信息网络安全是一个综合的系统工程，需要我们做长期的探索和规划。这样我们的企业才能长远发展。3网络环境下影响企业信息安全问题分析3.1网络信息安全涉及的技术企业网络系统涉及到各方面的网络安全问题，我认为整个企业的安全体系必须集成多种安全技术实现，如防火墙技术、数据加密技术、数字签名技术、数字证书技术、病毒防护技术等，下面就以上技术加以详细阐述：3.1.1防火墙技术所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统，其实是一种隔离技术，“防火墙”一方面阻止外界对内部网络资源的非法访问，另一方面也可以防止系统内部对外部系统的不安全访问。防火墙作为内部网络安全的一道屏障，目的是用来保护内部网络资源，强化内部网络安全策略，防止内部信息泄露和外部入侵，同时也可以通过网络地址转换功能以缓解地址源紧张问题，以实现防火墙对网络进行集中安全的管理，实现防火墙的主要技术有：数据包过滤、应用级网关、代理服务和地址转换。防火墙也可以对Internet使用状况进行登记查询并对Internet连入代价和潜在带宽瓶颈进行确认。防火墙还可以配置WWW和FTP服务，以方便相应用户对此类服务进行访问，也可以保护和禁止相关网络系统的访问；防火墙还具有审计功能。只要计算机中有足够的磁盘空间或是记录功能，其就能将经过防火墙的网络流记录在其中，一旦有危险信息出现的时候，防火墙也能将相关信息反映给防火墙管理人员，以便管理人员能及时解决相应问题，保证网络安全。防火墙劣势是在使用过程中，对已经授权的访问并不能采取相应保护。毕竟防火墙允许保护系统正常通信的信息是需要通过防火墙的，所以如果其应用程序本身就存在一定错误，防火墙则不能发挥其作用以阻止其攻击，也就是说是已经经过授权的。防火墙工作是按照配置规则进行的。一旦按照随意规则进行配置，就会使防火墙功能减弱，与此同时防火墙对于那些已经授权的用户，对于他们的合法访问攻击是不能更好发挥其作用的。此外，防火墙也不能对脆弱的管理措施进行修复，更不能阻止不经过防火墙的恶意攻击。3.1.2数据加密技术数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法，它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息安全的作用。数据加密技术是网络安全技术的基石，按照加密算法分类，加密技术有两种。第一种是对称加密技术，采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥和解密密钥使用同一个密钥，即同一个算法，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准(DES)，另一个对称密钥加密系统是国际数据加密算法(IDEA)，它比DES的加密性好，而且对计算机功能要求也没有那么高。第二种是非对称加密技术，1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。而最著名的非对称加密算法莫过于RSA加密算法，与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥(publickey)和私有密钥(privatekey)，公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密，因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。一般来说网络安全中通常采用组合密码技术来强化加密算法，这样可大大增强算法的安全性。例如加密和解密数据用单密钥密码算法(如DES／IDEA)，而用RSA双密钥密码算法来传递会话密钥，这样就能充分发挥对称密码体制的高速简便性以及非对称密码体制的密钥安全性。3.1.3数字签名数字签名是以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。数字签名可以用来证明消息是由发送者签发的，而且，当数字签名用于存储数据或程序时，可以用来验证数据或程序的完整性。与普通手写签名一样，数字签名可以用来验证信息的真实性。每个人都有一对“钥匙”（数字身份），其中一个只有她/他本人知道（密钥），另一个公开的（公钥），签名的时候用密钥，验证签名的时候用公钥，因为任何人都可以落款声称她/他就是你，因此公钥必须向接受者信任的人（身份认证机构）来注册，注册后身份认证机构给你发一数字证书，对文件签名后，你把此数字证书连同文件及签名一起发给接受者，接受者向身份认证机构求证是否真的是用你的密钥签发的文件。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性，因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名，采用数字签名，能够确认以下两点：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件，所以企业运用数字签名可以保证企业信息安全，也可以保护企业相关利益。3.1.4数字证书数字证书相对于网上身份证，以数字签名通过第三方权威认证有限进行网上身份认证，具有真实性功能，数字证书安全、保密、防篡改，可以对企业信息安全有效的保护。数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，所不同的是数字证书不再是纸质的证照，而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。数字签名与数字证书通常紧密相关，二者相结合使用保护企业信息在传输使用的过程这不会遭受攻击，可以有效的保证企业信息的安全。3.1.5病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒程序可以通过文件下载、电子邮件、使用盗版光盘或软盘、通过Web游览传播（主要是恶意的Java控件网站）、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等病毒防护的主要技术如下：阻止病毒的传播。在所有计算机上安装病毒监控软件。检查和清除病毒。使用防病毒软件检查和清除病毒。病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。3.2影响企业信息安全的因素网络环境下能对企业信息安全造成威胁的因素有很多，可能是有意的攻击，也可能是无意的操作，可能是内部的破坏，也可能是外来攻击者对信息资源的非法使用。归结起来，企业信息安全面临下列安全隐患：3.2.1网络病毒计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有有破坏性，复制性和传染性的特点。计算机病毒的主要传播方式就是网络传播，也是危害计算机网络安全的主要问题，一旦病毒爆发，轻则降低速度，影响工作效率，重则使网络堵塞，破坏服务器信息，甚至造成网络瘫痪，造成不可估量的损失。在互联网安全问题中,网络病毒发生的频率高,影响的面积广,并且造成的破坏和损失也列在所有安全威胁之首。而目前企业遇到的最大的安全隐患便是病毒（包括木马病毒和后门病毒）和流氓软件，例如今年上半年河北大约有100万台电脑遭受病毒感染和攻击，而且入侵、攻击和欺骗手段花样翻新，给河北的企业用户造成巨大的威胁。3.2.2“黑客”入侵黑客被定义为专指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。黑客利用计算机网络存在的漏洞，盗取或篡改个人用户的资料、窥探个人隐私，窃取企业的商业机密，还有部分黑客侵入国家网络安全系统，造成国家财产的损失或危害社会公共安全。黑客就像是一个计算机数据信息的窃贼，他们以编写计算机病毒、制造网络攻击、侵入局域网系统或网站后台为业，其技术水平往往与网络科技更新同步，甚至超前，是当今世界网络威胁的最大制造者。黑客一般采取信息轰炸、获取密码、PING炸弹、攻破防火墙等方式，轻则造成数据被篡改，严重会造成网络系统瘫痪或服务器拒绝服务。据中国互联网络信息中心发布的报告，09上半年，有1亿1千万中国网民遇到过账号或密码被盗的问题，而这些问题都与黑客有关，现在，让人担忧的是，企业信息化发展趋势之下，掌握类似技术的黑客正在互联网上一个个所谓的“黑客培训学校”被成批复制，基于此网络环境下的企业信息安全问题让人越来越担忧，不得不重视黑客问题。3.2.3计算机网络协议存在的安全问题计算机网络协议是有关计算机网络通信的一整套规则，或者说是为完成计算机网络通信而制订的规则、约定和标准。Internet中的关键协议是TCP／IP协议，即网络通讯协议。而这一协议当初制定是出于资源共享的目的，而没有考虑安全方面的问题，致使Internet自身存在脆弱性，也容易遭受攻击。例如出现DOS、DDOS攻击，SYN-Flood攻击、ICMP攻击、源路由攻击、截取连接攻击、以及IP地址被盗用等问题。随着信息时代的来临，企业信息资源共享应当成为一种必须，它不仅有利于企业在激烈的市场竞争中获得优势，也将极大地促进社会信息资源的优化配置，商业机密作为企业另一种形式的信息资源，是企业生存与发展的核心技术，而现实中企业信息资源共享与商业机密有时会产生矛盾。在资源共享时计算机网络协议会危及企业信息安全，不容忽视。3.2.4数据丢失计算机系统由于系统崩溃、硬件设备的故障或损坏、网络黑客入侵、计算机病毒发作以及管理员的误操作等各种原因会导致数据出错、丢失和损害，如果没有事先对数据进行备份，后果不堪设想。信息安全,核心就是数据安全。虚拟的数据,其实存储着人们真实的财富，而在日常的应用中,我们的数据会因各种各样的原因丢失,束手无策的情况时有发生。企业在2008年面临的最大信息安全挑战已经昭然若揭,这就是数据丢失。2012年九月，位于河南洛阳的一家国企公司，其职员周某在办公之时，突遇电脑死机问题，多次重启仍不能正常识别硬盘，且出现“哒哒”声响，重要的是该硬盘存储了公司近八年的技术资料和图纸，如果丢失，公司将遭遇巨大损失。同样类似的案例在上海某国企财务人员李倩身上也重现了，在国庆前夕，她遭遇极其严重的数据丢失，症状也是电脑突然无法正常启动，经IT部门工程师检测，也是硬盘出现问题，直接导致财务报表遗失，影响了整个公司的正常运转。事实上，企业遭遇数据丢失并不是新鲜事，据效率源（全球数据恢复设备研发知名企业）数据恢复专家介绍，从该公司分布在北京、上海、浙江、河南、内蒙、广东等地的几十家数据恢复连锁服务中心统计的数据来看，平均每个中心每天都会接手1-5个来自企业的数据丢失案例，且大多都是因为电脑使用年限过长，硬盘硬件老化导致信息安全问题。3.2.5人文环境对信息安全影响最深的即为人为因素。使用信息系统人员的素质以及他们对信息安全的重视程度将决定整个信息系统的安全程度。在企业内部，由于规章制度不健全、业务不熟练、违章操作、保密观念不强，网络管理人员随意将口令或账号告之他人或是无意泄露，都会导致在网络的信息安全上产生可能的漏洞。更有企业内部人员如果企图破坏网络系统，错误地进入数据库、恶意导入或删除信息系统的数据等，都将给企业的正常运作和管理造成极大的安全风险。此外，信息安全管理机制不健全，缺乏统一的监管，以及相关的信息网络安全制度的执行和监督力度不足，致使网络安全存在隐患。因此在安全管理上的一系列漏洞可能会导致巨额经费打造的网络安全机制形同虚设。3.3产生企业信息安全问题的根源分析3.3.1互联网犯罪行为严重互联网进入人们生活的各个角落，人们很多事情都需要通过网络来完成。正因为这样，网络犯罪也越来越普遍。人们利用网络盗取别人的信息，对企业员工用户的保密信息、财产等造成严重损失。据统计，2010年日本被检举的网络犯罪案件达到了6933起，包括使用他人密码进行不法入侵、网上违法商品买卖等，而网络上流传的儿童色情图像等违法、有害的信息也超过了4万件。无论哪一项，都是历史最高值，这表明网络空间成为了犯罪的温床。在日本警察的白皮书中还提及网络攻击对于企业及政府机关电脑系统的威胁，通过外部的不法操作，入侵存在缺陷的企业数据库，盗取大量的个人信息，然后再伪装成企业，向用户发送带有病毒的邮件，感染用户电脑并盗取信息，这类案件尤为突出。索尼公司便因为黑客的不法入侵，导致上亿份个人信息流失，被迫向用户支付巨额的赔偿，企业一旦被攻击，就可能伤害到整个品牌形象，造成重大损失。企业管理人员应强化危机管理，加强警戒。3.3.2黑客技术发展迅速互联网不断发展，商业活动越来越多，现在出现的很多病毒都是带有商业利益的，病毒的方式有木马、蠕虫、间谍程序等，导致网络中的信息和数据被盗取。黑客之所以能给用户数据带来威胁，因为它能使病毒进行伪装和隐藏，以致于一般的杀毒软件无法检查并查杀病毒。从事网络安全技术服务的公司，如果没有研究开发黑客技术的水平，或者没有发现客户系统潜在隐患的能力，其服务质量是提不上来的。目前国际上很多从事网络安全业务的公司纷纷雇请黑客从事网络安全检测与产品开发，甚至一些政府部门也不惜重金招纳黑客为其服务，因为网络安全的防范对象是恶意黑客，所以必须有了解攻击手段的黑客参与，才能更全面地防范黑客攻击。合格的网络安全专家必须具有黑客的能力，不了解黑客技术的网络安全专家是不可想象的。所以黑客技术发展迅速是企业信息安全的大患，危害严重，应该合理利用。3.3.3用户安全意识不强对于互联网用户应该加强安全意识，所有用户要有自身网络保护意识，还要注意自身的网络行为是否给他人造成危害意识，有时用户的不经意行为就会造成其他用户的安全威胁。例如，广州北大青鸟湘计立德网络工程师分析外媒报道，互联网安全企业赛门铁克公司（Symantec）提供的服务调查研究报告揭示，企业用户对Linux邮件服务器安全意识的缺乏为“僵尸病毒”的传播大开便利之门，并使得众多运行Linux操作系统的用户遭受“僵尸病毒”感染。安全与我们的日常生活及工作息息相关，安全事故会给当事人及其亲属带来巨大的痛苦和损失，而很多安全事故都是由于缺乏安全意识或者安全意识不强造成的，因此培养具备良好安全意识的个人对于提升整个社会安全水准就显得非常重要。3.3.4领导者的支持与参与程度不强某些企业领导对企业信息安全管理的认识不同或重视不够，现代企业在网络环境下已趋向信息化建设，而有些企业领导不能转变旧观念，不能适应信息化的社会，对信息和信息技术推动企业发展的重要性和作用认识不足，对迅猛发展的世界信息化浪潮,仍处在认识上的茫然状态。在网络环境下就导致企业信息安全出现了隐患，产生了不同效果。企业领导者对企业的发展起着关键作用,领导重视及参与程度的不同,直接导致企业信息安全发展程度的差异。3.3.5企业内部信息管理机构不完善从总体上,我国很多企业管理基础薄弱,如管理意识淡薄,管理手段单一,管理措施落后,管理基础数据缺乏及不准确等,使企业信息安全出现了隐患。另外,企业信息管理机构不健全,信息管理不规范,信息处理与传输落后,信息设备利用率低等也是影响企业信息化安全发展的重要因素。4企业信息安全策略设计4.1技术手段4.1.1计算机防毒和杀毒鉴于计算机病毒会对网络安全产生极大的危害，因此要在计算机上安装杀毒软件。在安装杀毒软件都要定时的进行系统安全扫描消除安全隐患，同时要定期的对杀毒软件和病毒库进行升级、更新。例如常用的360安全卫士，瑞星杀毒软件等。由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，所以计算机病毒的防范是网络安全性建设中重要的一环。病毒是信息安全的杀手，从病毒发作的情况来看，病毒的攻击目标没有特定性，而且越来越隐蔽。从个人网站到企业网络，无不受其所害，曾经有网络公司的防火墙被不明身份的黑客攻破了，牵扯到大量的用户信息被泄露，造成巨大损失。面对各式各样不断展演变中的病毒，企业对信息系统的日常维护和管理就显得尤为重要。企业网络部门工作人员要定期给办公司电脑操作系统存在的安全漏洞打补丁，还要给每个客户端都设置可靠的防毒软件、防火墙、漏洞扫描系统、日志系统，加强入侵检测和补丁管理，对企业遭受到的病毒攻击进行集中分析，掌握企业计算机系统中存在的安全隐患，采取有效的措施和方法防范由于病毒感染导致企业重要信息出现泄漏或者破坏。同时网络技术人员也要对公司所有电脑进行防病毒软件升级工作，确保网络内所有服务器和终端计算机都安装防病毒软件，将杀病毒软件设置成为自动升级状态，及时更新病毒特征码和系统补丁，防止由于个人疏忽造成没有及时升级带来病毒库的安全威胁，保证企业信息系统的正常运行。4.1.2安装补丁程序目前广泛应用的操作系统软件都存在系统漏洞，比如WindowsXP，Vista，Windows7系统中都存在漏洞，需要在其官网下载安装补丁程序，能够有效防止黑客攻击，以实现计算机网络系统的安全运行。安全漏洞是任何一种计算机软件都存在着的安全隐患，都要不断通过软件更新及安装软件安全补丁来完善。任何企业都不希望自己企业的信息系统因为安全漏洞而受到攻击或者非授权的操作，所以管理及使用人员要不断的下载安全补丁来完善企业信息系统。软件安全补丁的来源，验证安全性、可靠性、检测其完整性，每一步都非常重要，应该认真对待，及时检查系统更新后出现的情况，这样才能使企业信息安全得到保证，不让不法分子有机可图，使企业信息得到高效运转。安装软件安全补丁是目前计算机用户面临的最重要的工作之一。计算机用户现在面对的是大量的安全漏洞，这些漏洞不但给计算机用户带来诸多不便，而且给黑客造成可乘之机，给企业系统信息安全造成极大的威胁，为了更好的防范非授权的访问，保护网络和企业信息安全必须及时下载安全补丁，来保证IT环境安全，使企业系统处于高效和最新工作状态。4.1.3做好重要资料管理当服务器或者硬盘发生故障时，重要的企业数据会受到严重威胁，但往往公司简单的数据安全、信息安全体系对企业数据恢复、服务器数据恢复束手无策。为了保证信息系统的正常运行和业务的正常开展，专业的企业数据恢复、服务器数据恢复格外重要。大多数企业采用备份手段来解决日常的数据安全问题，企业在购买安装和配置服务器时，通常采用常见的两台服务器“一用一备”。企业网络技术人员将重要信息备份在一些光盘、U盘或者移动硬盘上，然后将其放置在不同的地方，避免同时受损害或者丢失，最大限度的保障企业信息安全和数据的完整性。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。4.1.4防火墙技术防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信，在很大程度上保护了网络的安全性。加密技术网络安全中，加密作为一把系统安全的钥匙，是实现网络安全的重要手段之一，正确的使用加密技术可以确保信息的安全。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。与数据加密技术紧密相关的另一项技术是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字，该密码与网络服务器上注册密码一致，当口令与身份特征共同使用时，智能卡的保密性是相当有效的。4.2管理手段在强调技术解决信息网络安全的同时，还必须花大力气加强对使用网络的人员的管理，注意管理方式和实现方法，因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面，而这又是计算机网络安全所必须考虑的基本问题。所以，要采取切实可行的方法，加强管理，立章建制，增强内部人员的安全防范意识。4.2.1提高安全防范意识结合近年来多发的危害网络安全事件，很大程度上是由于网络使用者安全意识不强有关。为了保障计算机网络系统的安全需要提高网络使用者的安全意识和网络安全技术水平，规范网络使用者的操作行为，避免出现人为因素造成的网络安全问题。企业信息的安全离不开人，信息安全各环节的执行最终都需要由人这个主体来完成。如果相关人员的安全意识薄弱，不小心泄密，则比其他安全不足带来的损失会更大。没有信息安全意识的企业员工常常会成为信息安全中最薄弱的一环。营造企业安全文化，最终目的就是让这个企业的全体员工具备对灾害事故及其风险的安全知识、防范意识和行动准则。这就要求企业必须不断地提高员工的安全文化素质。具体来说，就是增强员工预防事故意识，纠正对事故认识上的偏差，用安全文化去影响和教育员工。当突遇自然灾害时，员工能理智地支配自己的行动，有效地进行处置和抢救，把灾害造成的损失降到最低,只有这样，才能保障企业的长足发展和经济效益的提高。当然，员工安全素质的提高不是一朝一夕的事情，需要不断学习，行之有效地组织员工进行安全培训和安全演练，建立健全安全工作责任制，定期进行安全检查，落实制度执行情况，在浓厚的安全文化氛围中逐步养成、逐步提高员工的安全生产意识和自我防范能力。4.2.2健全有效的信息安全管理制度没有安全管理，就没有信息安全。真正的网络安全实际上靠的不是这个或那个安全产品，而是自身固有的安全意识。寻求解决安全问题的根本方法在于不仅要具备安全可信的办公电脑，也要建立更加完善的数据安全管理制度。真正实现企业的信息安全管理仅仅依靠技术手段是不够的，必须对规章制度上加强企业人员的信息安全防范意识。首先要做好员工的培训的管理。信息只是一种编码形式，人才是信息的操作者，每个环节中安全隐患的最终来源都是人。为了能够加强企业工作人员的信息安全防范意识，企业要加强对公司员工的系统培训，从计算机基本知识到信息安全防范的具体方法都要进行细致讲解，针对一些员工在日常使用计算机过程中不规范行为进行及时矫正，针对一些年纪较大的、对计算机不是十分熟悉的老员工，企业网络技术人员要现场演示操作，让员工养成良好的使用习惯。同时要选出有丰富计算机操作经验的人员负责每个部分电脑的日常清洁、维护和管理，负责对部门电脑病毒库的升级、电脑的内部清理等工作，确保企业信息安全。还要加强系统运行环境和维护管理，要加强对机房电源、空调系统、消防系统、监控系统、门禁装置等基础设施的维护和管理，确保其可靠、正常的运行。严禁非系统管理人员随意进入机房，严禁在机房内抽烟。严格落实机房巡视、系统巡检、运行测试、操作审批、机房出入登记、信息安全故障上报等工作制度。严禁在机房的服务器上浏览网页、随意下载软件、打游戏等。4.3法律手段4.3.1用法律武器抵制侵犯我国《刑法》第285条明确规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。最高人民法院于1997年12月确定上述罪行为“非法侵入计算机系统罪”。因而，对于恶意侵犯企业信息安全的不法行为。企业各级人员应当坚决的运用法律武器制止侵犯行为，捍卫企业信息的安全与完整。技术是实现企业信息安全的物质基础,管理是实现企业信息安全的落实手段,司法措施则是实现企业信息安全的有力保障。企业信息安全的策略应该是以管理为中心、以技术为基础、以法律为保障的三位一体的综合治理策略。4.3.2落实法律责任企业建立健全合法性的责任追究制，明确机构、人员的职责和要求，也明确部门负责人和相关工作人员的职责和要求。大量的事实证明，只有企业内所有人员都在法律的约束下规范自己的行为，才能为本单位做好信息安全工作创造良好的法律环境。现在世界上每一天所产生的信息量都达到了人类诞生至今信息量的总和，信息作为一种资源，正发挥着越来越重要的作用。而保密工作在保护信息资源不被非法知悉、篡改方面的地位与作用也显得日益重要而突出，新修订的《中华人民共和国保守国家秘密法》，明确国家秘密是国家安全和利益的一种信息表现形式，是国家的重要战略资源；保守国家秘密是一种国家行为，也是一种国家责任；同时在企业中保护企