《【《公司计算机网络安全基础防护浅析8900字》(论文)】.docx》由会员分享,可在线阅读,更多相关《【《公司计算机网络安全基础防护浅析8900字》(论文)】.docx(11页珍藏版)》请在第一文库网上搜索。
1、公司计算机网络安全基础防护的研究目录1结论21.1 研究背景和意义212研究目的和方法22JS公司为例计算机网络主要的安全问题32.1 JS公司简介32.2 JS公司存在的问题分析32.2.1 企业电脑设备和系统落后32.2.2 信息安全管理制度有待完善42.2.3 信息安全管理部门和专业人才缺失43企业网络安全隐患的原因分析43.1 领导层不够重视,管理制度流于形式化43.2 信息安全技术缺乏定期的维护和更新43.3 公司员工信息安全的防范意识普遍不足54解决网络安全隐患的措施54.1 加强JS公司组织管理体系54.1.1 建立信息安全决策机构54.1.2 成立信息安全管理机构64.1.3
2、组建信息女全执仃机构64.2 优化JS公司信息安全管理体系64.2.1 完善信息安全等级管理64.2.2 增强人力资源安全管理74.2.3 增强资产管理体系74.2.4 规范信息安全事故管理84.2.5 完善业务连贯性管理84.3 增强JS公司信息安全技术体系94.3.1 采用安全隔离技术94.3.2 加强防火墙技术94.3.3 增加终端准入防御技术94.3.4 提高安全加密技术104.3.5 实施“病毒”防控技术104.3.6 提高容灾备份技术105结论H参考文献121结论1.1 研究背景和意义由于计算机网络的发达,计算机办公成为常态,近年来,因为计算机与互联网重大安全事故频繁,给许多使用者
3、造成很大的损失,比如黑客非法入侵、软件泄漏、木马病毒植入等威胁。为了创造一种安全的上网环境,通常公司内都会用专业的内网以减少骇客的入侵,不过内网的许多限制容易影响到工作,这时候就必须建立相应的安全防护方案。1.2 研究目的和方法为保证企业计算机网络环境信息数据的机密性、完整性以及使用性受到保护。需对网络安全概念、内涵、特点与意义等展开剖析、介绍,从网络的安全状况和网络事件,反映出当前互联网上所存在的网络安全问题,并利用中国网络安全关键技术防火墙,逐步化解当前所存在的网络安全问题。2JS公司为例计算机网络主要的安全问题2.1 JS公司简介荷泽市JS有限公司创建于一九九五年,从事电子领域技术开发、
4、技术转让、技术咨询、技术服务、单片机软件硬件设计、电子产品销售等业务,是一个以研发为主的高科技企业。公司拥有*工程师4名,技术人员12名。登记注册资本为一百一十八万,是一个中小规模的综合性企业。通过二十余年的发展与壮大,目前企业所经营门市的总建筑面积已经达到了五百多平方米,仓库建筑面积约三百多平方米,年均营业额一千余万元,盈利接近二百余万元,在圈内已具有了一定的社会认知度与口碑。但随着互联网+理念的提倡,中国传统产业也正在逐步走向信息化,企业如何运用信息化扩大经营发展、提升产品效益、维护知识产权,已成为企业未来发展的重点方向。2.2 JS公司存在的问题分析2.2.1 企业电脑设备和系统落后JS
5、因为中小企业,为了节约经营成本,企业内大多数的计算机都已使用了几年,不仅配备陈旧老化问题存在现状很突出,而且技术更新换代速率较慢,多数计算机的操作系统也并不是很统一,部分计算机的操作系统甚至还在使用盗版的WindOWS7等旧版操作系统。计算机保护和杀毒也是由采用过该计算机的员工本人随机配置的操作系统,包括了360安全卫士、QQ安全管家、金山毒霸、百度杀毒、卡巴斯基、McAfee等林林总总,但缺乏某个统一规范的管理体系。老旧的计算机设备,或者使用了落伍的操作系统,在安全性上几乎很难有所保障,而且特别极易遭到病毒攻击或被种植木马程序,有可能会由此导致公司内部信息的泄露。适时退役老旧计算机设备,并重
6、新统一配置正版最优秀的windows操作系统和企业版杀毒软件,对于JS公司而言势在必行。2.2.2 信息安全管理制度有待完善JS企业基本上缺乏一个成体系的安全管理体系。企业的安全管理体系非常简单,加上缺乏强大的约束性和制约性条文,无法全面涵盖JS企业的安全管理问题或漏洞。同时,就是这样缺乏完备的安全管理体系,却不能切实的得以落实。安全管理体系完备程度的不足,使得如果发生一些管理之外的或者运行规范不清晰的突发状况,负有应对情况的一线人员无法措手,便无法切实保障公司信息系统的绝对安全性。因此,制定一套完善可靠的企业信息管理制度,是JS公司得以长足发展的当务之急,并以此来确保JS公司信息安全管理等相
7、关工作高效有序地进行。2.2.3 信息安全管理部门和专业人才缺失尽管已经或多或少地出现过一些安全方面的问题,但是JS企业甚至不是一家职权明确的管理机关,这与企业的安全管理制度不健全和专业安全管理水平不够有极大关联。信息管理部门是企业的关键部分,与行政、设计和销售等部门相比,对公司的发展有着莫大关联。所以JS企业都必须设置内部安全信息管理部门,并招聘安全专业人才,专门负责监测、管理和应对企业内部安全事件以及人员安全培训等有关事项,并建立了一些针对性的有关企业安全的紧急程序。3企业网络安全隐患的原因分析3.1 领导层不够重视,管理制度流于形式化计算机信息技术的使用,帮助JS企业大大提高了效率,也给
8、企业的各种管理工作带来了便利。尽管JS公司的核心领导阶层都非常认同企业中建立信息化系统的重要价值,也认识到了建立信息化系统中的安全性问题,但是在潜意识内却仍然缺乏重视,或者抱有侥幸心理,使得JS公司的信息安全管理体系逐渐流于形式化,或者表面化。因为企业领导层本身的忽视与松解对网络安全并没有足够的安全意识彳艮自然的就会出现了企业网络安全方面的问题,一些人员可能任意地通过个别U盘或移动计算机硬盘连接企业计算机,并上传或拷贝工作资源;企业共享盘没有设定秘密和授权,每个管理人员都能够进入并查看、下载、拷贝企业设计资料及项目信息等。3.2 信息安全技术缺乏定期的维护和更新JS企业缺少专业的安全管理部门以
9、及解决安全管理事宜的人才,致使企业没有足够多的力量和知识储备去保障企业关键信息系统数据的安全性。随着当今网络技术进展快速,计算机技术的创新也势如破竹,一日万里。不过,由于人才的欠缺,使得JS企业无法对企业的网络安全技术和保护软件等定期进行更新换代,从而跟紧互联网技术变革的新态势,真正维护企业的互联网安全。所以,没有设定专业的管理部门和配备专门的计算机人员,导致企业发生网络安全问题时,没有专业部门适时介入,也没有专业的人员进行解决。3.3 公司员工信息安全的防范意识普遍不足因为JS企业并不是对公司人员进行过信息安全教育的普及,致使公司员工对网络安全问题的防范意识比较欠缺,也缺乏对或者不是很在意企
10、业安全问题的有效保护。经常出现在上班时间中任意利用安全性不确定的外设、任意加载安全性不明确的文档、开启不明确的连接和安装安全性不明确的应用系统软件等,为企业的信息安全问题隐藏了很大的风险。在许多时候,公司人员往往由于自身无意中的一些行为而给企业信息资产带来巨大损失。比如访问某些与工作不有关的,或许不安全的网页、采用公司所限制的聊天软件、不能定期查杀计算机病毒、缺少快速更新的杀毒软件、不能按时维修系统漏洞等,所有这种事件均会引起企业隐患,并引起了许多由于系统漏洞的木马攻击和病毒的迸攻等,极可能会给JS企业带来巨大资产经济损失。4解决网络安全隐患的措施4.1 加强JS公司组织管理体系4.1.1 建
11、立信息安全决策机构安全管理组织机构的第一层次是信息安全行政最高级决定机关,是负责管理JS企业内部安全管理工作的最高级机关。由企业主要负责人履行主体责任,同时负责审批内部安全预案的建设、安全策略的分发以及内部安全建设方案的实施与监督等,为企业的安全管理工作提供了权力保证和资源保障。正根据此,JS企业内部设立了专业的安全领导团队,担任企业安全的最高级决定机关,领导小组下设安全办事处,负责落实并推广企业安全领导集团的一切指示。其工作内容主要是:以国家和行业关于安全工作的有关法律和规章、政策规定为基础,身体集团公司领导小组研究制订的内部安全战略计划、管理标准和技术规范等;研究确定与公司内部安全相关的各
12、部分管理工作职能,并督促、引导内部安全管理工作的顺利实施。4.1.2 成立信息安全管理机构安全管理是安全组织机构的第二层次,由由公司的信息化部分承担,在上级组织的领导下,全面承担公司日常安全的管理、保障、监察和安全教学与训练等工作,加强公司安全文明意识的建设,规范和指导公司员工实施合理的规范、办合理的服务。4.1.3 组建信息安全执行机构信息安全技术执行机关是国家信息安全组织机构的第三层部门,由数据中心人员和各机关专职或兼职安全技术员所构成,在上级机构的直接领导和监管下,职责保障公司信息安全技术管理体系的合理有序有力地实施与调整,并采用具体情况实际而微的手段进行信息安全对策,以解决公司安全隐患
13、,以及进行重大信息安全案例后的具体情况实际应对与善后处理。在具体实施阶段,公司必须对信息系统的重要职责进行设定和强化监督,为公司信息系统设置了信息系统管理者、信息安全审核员、网络管理员、安全保密管理者、信息系统应用开发者,而职位的设置原则也要求五人必须各自独岗。4.2 优化JS公司信息安全管理体系4.2.1 完善信息安全等级管理建设和健全JS公司的安全保密分级管理系统。对涉密信息内容,按照意义和敏感性程度分成四种类型:绝密、机要、绝密、内部资源。“绝密“高级资料是最关键的企业资料,和企业生产、营销、人事等有很大的利益关联,只在JS企业内个别机关领导级传阅的重要文书或资料,如果泄露会使企业的生产
14、安全和效益受到非常重大的损失。“机密”是重要的企业文件,主要指与企业生存、产品、科研、业务、人员等有着密切利益联系的,可以在JS企业个别机关领导级上传阅的文件,这些信息如果外泄会使企业的安全与效益遭受很大损失。“秘密”是一般的企业文档,与企业生存、产品、发展、运营、人员等重大利益关联,视为可以在JS企业各部门内传阅的文档,泄露会让企业利益遭受一定损失的资料。除上述三种以外,任何公司文档均应当属于“内部资料”,如企业宣传册,以及企业内部公开的方案演示图片等,并视为能够在JS公司企业范围内传阅的文档。按不同保密等级划分范围为:一、绝密级:是指与绝密内容有直接工作联系的人员,如JS公司法人长、董事、
15、总经理级,以及其他人员等;第二、秘密级:与秘密内容有直接关联的人员,如JS公司各部门经理层等;第三、保密级别:与保密内容有直接关联的人员,如JS公司各部门骨干成员等;对于内部的公开消息,只有JS公司内部人员才知道,且未经同意,严禁从外部传阅。4.2.2 增强人力资源安全管理制定和健全了JS公司的人力资源安全管理制度。并按照国家各密级知晓范围规定和信息系统标准规定的安全等级要求,对有关员工实施了资质审核。JS公司的每个员工应该清楚其在安全体系中的职务与权利。信息系统的重要职位人员需要进行严格的筛选,且重要职位的人员不得兼任,招聘形式包含但不限于政审、签订相关保密合同、行业能力考评。定时培养负责运
16、行与保护信息体系的工作人员并通过技术培训考评,在考评业绩及格后可以持续在职位上开展工作,并续签用工协议和保密协议书。重要职务人员和涉密部门工作人员一定要与企业签定秘密合同,以保证企业履行对系统应尽的安全保密义务;并保证所有重要职务人员在离职后有一年的脱密期,脱密期间内不准再离开。重要职务员工如需辞职或调岗,须在脱密期后,严格补办调离手续,同时撤消并冻结其曾使用过的所有帐号,同时更改其在各信息系统中的口令密码。对参与操作和保护企业信息系统的工作人员实行定期安全技术培训,考核达标者才能上岗工作。对实际承担企业安全管理工作的人员实行高级安全技术培训,考核达标者方可上岗工作,并签订了保密合同。关键岗位工作人员和涉密人员均须与企业签订保密
免费区 
