企事业单位信息安全管理毕业论文.doc

信息安全论文论文题目：企事业单位信息安全管理作 者： 所在学院： 专业班级： 指导教师： 职 称： 专业班级： 2014.12.23目录摘要2引言3第1章信息安全管理概述41.1信息安全管理的概念41.2人们对信息安全管理重要性的认识41.3信息安全今后的发展趋势4第2章企事业单位信息安全应急管理52.1外部因素对信息安全的危害52.2企业简介62.3新闻报道8第3章企事业单位信息安全的重要作用113.1企事业单位信息安全问题113.2 信息安全的对企业的重要性123.3信息安全是企事业发展的需要13第4章企事业单位信息安全管理模型154.1管理概念154.2企业信息化安全管理16第5章 防范企事业单位泄露信息措施175.1企事业单位遇到主要的信息安全问题175.2严控计算机封锁信息外泄途径185.3信息使用权限细分195.4通过移动介质泄密往往是信息泄漏的主要方式205.5避免信息从本地被转移205.6避免众多安全防护产品基于操作系统的脆弱性215.7制定合适的制度，对违反企业规定的行为进行奖惩22结束语22参考文献23摘要随着信息技术的不断发展，信息安全技术已经越来越被人们所重视。首先介绍了信息安全的起源、近几年由于安全问题所带来的巨大损失，然后给出了信息安全的几个定义以及它的特点，具体分析了信息安全所面对的不同方面的威胁。同时简单的介绍了信息安全的体系结构，具体的介绍了信息安全技术的两个重要的技术：密码技术和网络防御技术。其中密码技术包括基于数学的密码技术和基于非数学的密码技术，网络防御技术主要讲的是防火墙技术。最后对未来进行了一些期望，希望能够及时的掌握技术，避免过多的损失。 关键词： 企事业信息安全管理 信息安全技术 引言目前计算机网络面临着很大的威胁，其构成的因素是多方面的。这种威胁将不断给社会带来了巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性在早期，很多的专业计算机人员就通过对网络安全构成威胁的主要因素的研究，已经开发了很多种类的产品。但纵观所有的网络安全技术，我们不难发现加密技术在扮演着主打角色。它无处不在，作为其他技术的基础，它发挥了重要的作用。为了确保信息的安全与畅通，研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及其技术措施。认真分析网络面临的威胁，我认为，计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下，首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。第1章信息安全管理概述1.1信息安全管理的概念国家，组织或个人了实现信息安全目标，运用一定的手段或技术体系，对涉及信息安全的非技术因素进行系统管理的活动称为信息安全管理。该定义揭示了安全管理的主体（即国家，组织或个体），对象（即信息安全的非技术因素）与目的（即实现信息安全目标），并强调手段或技术体系的运用与系统管理的活动过程。该定义还明确了信息安全管理的对象主要是非技术因素，范围广泛，符合当前的综合治理理论，也提醒人们要用系统的观点来审视信息安全问题。信息安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的信息安全管理则指微观层面上的组织或个体的信息安全管理。1.2人们对信息安全管理重要性的认识 随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。通过深化这种思想，信息安全的实现活动可划分为三个阶段来体现。 第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全。 第二阶段，管理浪潮。因为高层管理人员对安全问题的关注，关于信息安全的文件化规定迅速发展起来。 第三阶段制度浪潮。人们很自然地关心自己的组织比其他的组织在信息安全活动上是否更成功。信息安全标准化可以解决用户“如何得知在实践中漏掉了哪些方面”信息安全认证可以解决“怎么向合作伙伴证明组织的信息安全”，培育组织自己的信息安全文化可以消除“组织内部用户是组织的最大敌人”等问题。1.3信息安全今后的发展趋势随着互联网的发展，尤其是商务类应用的快速发展，网络安全问题日益严峻，互联网信息安全急需加强。2013 年 7 月，中国互联网络信息中心发布的2012年中国互联网网络安全报告显示，2012 年总体上看，黑客活动仍然日趋频繁，网站后门、网络钓鱼、移动互联网恶意程序、拒绝服务攻击事件呈大幅增长态势直接影响网民和企业权益，阻碍行业健康发展；针对特定目标的有组织高级可持续攻击（APT攻击）日渐增多，国家、企业的网络信息系统安全面临严峻挑战；据不完全统计，2012 年有 50 余个我国网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖，其中已证实确为真实信息的数据近 5000 万条。同时，由于网民习惯在不同网站使用同样的账号和密码， 2012年又有多个电商网站和论坛被披露由此导致用户个人信息泄露。网站安全尤其是网站中用户个人信息和数据的安全问题，仍然面临严重威胁。随着移动互联网的迅速兴起和电子商务的迅速发展，移动支付市场将在未来几年迎来高速发展，移动信息安全问题也随之突出起来。据中国电子商务研究中心统计，到 2013 年，中国移动支付市场规模将超 1,500 亿元，未来几年银联手机支付的年均增速将超过 40%。目前，移动信息安全问题之所以突出，与手机功能的发展密不可分。过去只能作为简单的通信工具，现在因为科学技术的提高与移动通信网络的形成，手机已基本拥有计算机的大部分功能，特别是近年来手机网银支付功能的实现，各类扣取话费、窃取个人隐私等恶意软件与威胁也就相应诞生。据国家互联网应急中心（CNCERT）发布的2012 年中国互联网网络安全报告显示， 2012 年，我国移动用户数量稳步增长，新增智能设备数量跃居世界首位，应用程序商店下载量快速增长。在移动互联网快速发展的同时，移动互联网恶意程序也在快速繁衍和扩散。2012 年，CNCERT/CC监测和网络安全企业通报的移动互联网恶意程序样本有 162981 个，较 2011 年增长 25 倍，移动信息安全急需加强。第2章企事业单位信息安全应急管理2.1外部因素对信息安全的危害信息安全是企事业单位进行正常工作运作的基础,也是内部信息化工作开展的必要条件,如何利用信息网络进行安全的通信,在保护自身信息安全的同时,又极大地依靠网络提高工作效率,获取经济效益最大值,成为当前网络安全和信息安全迫在眉睫的问题。随着信息技术的发展,数据库在企业中的应用越来越广泛,企业越来越依赖信息技术的应用来提升企业自身的竞争优势和运转效率,然而,伴随而来的信息安全问题也让企业面临着重大的经济损失,因此,在知识经济时代,信息越来越成为企业的重要资产,其安全性直接关系到企业资产的安全性和企业的生存。2.2企业简介纳斯达克是由美国全国证券交易商协会为了规范混乱的场外交易和为小企业提供融资平台于1971年2月8日创建。纳斯达克的特点是收集和发布场外交易非上市股票的证券商报价，它现已成为全球第二大的证券交易市场。现有上市公司总计5400多家，纳斯达克又是全世界第一个采用电子交易并面向全球的股市，它在55个国家和地区设有26万多个计算机销售终端。（图2-1）纳斯达克指数是反映纳斯达克证券市场行情变化的股票价格平均指数，基本指数为100。纳斯达克的上市公司涵盖所有高新技术行业，包括软件、计算机、电信、生物技术、零售和批发贸易等，已经有5400家企业在此挂牌融资。每一只上市证券均拥有各自的证券代码，证券与代码一一对应，且证券的代码一旦确定，就不再改变，这主要是便于电脑识别，使用时也比较方便。纳斯达克证券代码多由数个（常为四个）大写英文字母构成，如：BIDU，是百度2005年8月5日在纳斯达克上市的证券代码。纳斯达克股票市场是世界上主要的股票市场中成长速度最快的市场，而且它是首家电子化的股票市场。每天在美国市场上换手的股票中有超过半数的交易在纳斯达克上进行的，将近有5400家公司的证券在这个市场上挂牌。 纳斯达克在传统的交易方式上通过应用当今先进的技术和信息计算机和电讯技术使它与其它股票市场相比独树一帜，代表着世界上最大的几家证券公司的 519位券商被称作做市商，他们在纳斯达克上提供了6万个竞买和竞卖价格。这些大范围的活动由一个庞大的计算机网络进行处理，向遍布55个国家的投资者显示其中的最优报价。纳斯达克拥有各种各样的做市商，投资者在纳斯达克市场上任何一支挂牌的股票的交易都采取公开竞争来完成用他们的自有资本来买卖纳斯达克股票。这种竞争活动和资本提供活动使交易活跃地进行，广泛有序的市场、指令的迅速执行为大小投资者买卖股票提供了有利条件。这一切不同于拍卖市场。它有一个单独的指定交易员，nasdaq全球总裁或特定的人。这个人被指定负责一种股票在这处市场上的所有交易，并负责搓合买卖双方，在必要时为了保持交易的不断进行还要充当交易者的角色。纳斯达克增大了交易市场中的优秀因素，并增强了他的交易系统，这些改进使纳斯达克有能力把投资者的指令发送到其它的电子通讯网络中去，感觉好像进入了一个拍卖市场。 该市场允许市场期票出票人通过电话或互联网直接交易，而不拘束在交易大厅进行，而且交易的内容大多与新技术，尤其是计算机方面相关，是世界第一家电子证券交易市场。虽然纳斯达克是一个电子化的证券交易市场，但它仍然有个代表性的“交易中心”存在，该中心坐落于纽约时代广场旁的时报广场四号，该大楼又常被称为：康泰纳仕大楼。时代广场四号内并没有一般证券交易所常有的各种硬件设施，取而代之的是一个大型的摄影棚，配合高科技的投影屏幕并且有欧美各国主要财经新闻电视台的记者派驻进行即时行情报道。 （图2-1）2006年2月，纳斯达克宣布将股票市场分为三个层次：“纳斯达克全球精选市场”、“纳斯达克全球市场”（即原来的“纳斯达克全国市场”）以及“纳斯达克资本市场（即原来的纳斯达克小型股市场），进一步优化了市场结构，吸引不同层次的企业上市。纳斯达克全球精选市场的标准在财务和流通性方面的要求高于世界上任何其他市场，列入纳斯达克精选市场是优质公司成就与身份的体现。作为纳斯达克最大而且交易最活跃的股票市场，纳斯达克全球市场有近4400只股票挂牌。要想在纳斯达克全国市场折算，这家公司必须满足严格的财务、资本额和共同管理等指标。在纳斯达克全球市场中有一些世界上最大和最知名的公司。2010年12月9日，当当网以“DANG”为股票代码顺利登陆美国纽交所，成为中国第一家完全基于线上业务赴美上市的综合性网上商城。当日开盘价24.5美元，较发行价16美元高出8.5美元，收盘价29.91美元，股价最高上涨至30.9美元。当当网本次IPO共发行1700万份美国存托股票（ADS），每份ADS相当于5股普通股。其中1320万份ADS由公司发行，380万份由公司股东出售。瑞士信贷、摩根士丹利是当当网此次IPO的主承销商。而此次融资将用于扩张和促进运营，包括扩大产品门类，拓展物流能力，改进底层技术。纳斯达克专为成长期的公司提供的市场，纳斯达克小资本额市场有1700多只股票挂牌。作为小型资本额等级的纳斯达克上市标准中，财务指标要求没有全球市场上市标准那样严格，但他们共同管理的标准是一样的。当小资本额公司发展稳定后，他们通常会提升至纳斯达克全球市场。公司将在上市顾问团队的协助下进行公司的管理运营、财务和法务方面的全方位、深入的尽职调查。尽职调查将为公司起草注册说明书、招股书、路演促销等奠定基础。为了更好地把握和了解发行公司的经营业务状况，以便于起草精确和有吸引力的招股书，主承销商、主承销商的法律顾问以及发行公司的法律顾问将对发行公司的财产和有关合同协议作广泛的审查，包括所有的贷款协议、重要的合同以及政府的许可，等等。此外，他们还将与公司的高级管理人员、财务人员和审计人员等进行讨论。同时，主承销商往往要求公司的法律顾问和会计师提供有关在注册说明书中的事件的意见。承销协议书将约定由公司的法律顾问出具有关公司的合法成立及运营、发行证券的有效性、其他法律事件的法律意见。此外，承销协议还将要求公司法律顾问出具关于注册说明书是否充分披露的意见。最后，发行公司还要被要求提供一封“告慰信”，即由其独立的注册会计师确认注册说明书中的各种财务数据。2.3新闻报道随着信息技术的广泛应用及迅猛发展，人们的各种信息活动更多地通过以计算机及网络为主体的信息系统进行，信息安全越来越依赖于信息系统的安全。 然而，以计算机及网络为主体的信息系统有其本身的脆弱性，存在来自各方面的安全威胁，信息安全问题日益突出。1994年8月1日，由于一只松鼠通过位于康涅狄格网络主计算机附近一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。（图2-2）（图2-2）纽约纳斯达克证券交易所2013年8月22日中午因技术故障暂停了交易所2000多只上市公司股票的交易活动，大约3个小时后证券交易恢复运营。消息称是由于UTP 证券信息处理器 （SIP协议）报价传输出现问题, 在纳斯达克上市的股票包括苹果，谷歌和微软在内数千只股票，市值总额高达5.7万亿美元.这一故障导致美国证券市场的大部分交易事实上陷入了停滞，所有在纳斯达克证券交易所的股票、ETF和期权产品的交易都被冻结，纽约股票交易所和美国第三大电子交易运营商BATS交易所也暂停了这些证券产品的相关交易活动。这也意味着广受市场参与者关注的纳斯达克综合指数首次停止更新。纳斯达克工作人员随后表示，已经接到通知不会取消处于开放状态的订单，虽然之前已经表示客户可以取消他们的单子；如果客户不愿意在交易恢复后继续参加，应该在复牌前取消订单。截至目前纳斯达克交易所尚未对其技术问题给出任何合理解释，纳斯达克此番技术故障问题继高盛自爆”乌龙门“事件过后还不到3天，引发了人们对金融交易市场风险的担忧。业界人士预计这一故障还将扭曲其他各大股指的计算结果，如Industrial Average ， S&P500 index 和Dow Jones Indices.12：30分 ：来自彭博社消息称，美东时间下午12时22分26秒，纳斯达克期权市场交易已经停止。消息称是由于UTP SIP报价传输出现问题。同时一些在纳斯达克交易的股票，诸如苹果和Facebook,股价在中午过后不久也开始呈直线。（图2-3）（图2-3）纳斯达克OMX集团在12时15分宣布停止交易，其他交易所纷纷效仿，纳斯达克还表示停止期权市场交易，但发言人拒一步发表评论。纳斯达克在其运营对手纽交所告诉交易者该交易所Arca电子盘交易系统出现技术问题一个多小时后才发布公告。纽交所称屏幕上开始出现一些断断续续的TACT符号，并且按照字母顺序做Z字形移动。纽交所告诉其顾客，早先Arca电子盘交易系统在处理顾客订单信息的时候已经出现了问题，交易所计划在受影响的证券所取消一些尚未完成的订单。据纳斯达克工作人员称，已经接到通知不会取消处于开放状态的订单，虽然之前已经表示客户可以取消他们的单子；如果客户不愿意在交易恢复后继续参加，应该在复牌前取消订单；工作人员同时表示交易何时恢复，时间待定。在长达2个多小时的等待中，人们开始纷纷猜测到底是因为什么造成了此次事故。媒体表示，纳斯达克停止整个交易并不是第一次，早在1994年，纳斯达克遭遇了一次尴尬的中断，停电34分钟，而造成这场事故的主角是一只松鼠。WSJ翻出了在1994年8月2日发布的文章，显示”United Illuminating Co的工作人员声称，昨天纳斯达克出现的停电事故是由一只松鼠造成的。由松鼠导致交易系统出现问题在7年以来这是第二次，第一次发生在1984年12月，一只松鼠造成了Trumbull长达40分钟的断电。3：02：在停止交易两个多小时后，纳斯达克发布一则声明称，计划在美东时间下午3：25分恢复交易。3：02分左右恢复号码AAME的交易，3：10分恢复纳斯达克证券交易所上市的证券。3：25分：纳斯达克恢复交易，但对于造成停止交易的技术故障问题仍未给出明确答复。（图2-4） （图2-4）第3章企事业单位信息安全的重要作用3.1企事业单位信息安全问题网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创造了一些全新的工作方式，尤其是因特网的出现更给用户带来了巨大的方便。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2005年5月至2006年5月间，有54%的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和钓鱼木马程序的安全事件为84%，遭到端口扫描或网络攻击的占36%，垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73%。目前政府部门、金融部门、企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。许多企事业单位信息已经成为各企事业单位中的重要资源，也是一种重要的"无形财富"，大、中型企业如何保护信息安全和网络安全，最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响，是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。目前有十五个典型的信息安全问题急需解决。网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前, 国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中,但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。在一个企业成长过程中，外部的激烈竞争不可避免，甚至 会有助于企业发展壮大，而往往堡垒最容易从内部攻破，因此，心怀不轨的离职或在职员工是企业内部最阴险可怕的敌人。因为他们掌握着企业内部的重要机密资料，熟悉内部情况，便有机会将机密资料泄露给竞争对手，使得对手知己知彼，可轻松地达到其非法目的。3.2 信息安全的对企业的重要性 在企业经营中，各种大大小小的泄密事件几乎每天都在发生，只是形式和影响力各有不同，泄密涉及核心技术、市场策略、产销策略、货源情报、价格体系、财务资料、设计程序、产品配方、制作工艺、管理诀窍、客户名单、招投标中的标的及标书内容等信息。 据统计，企业商业涉密案件中，有31%为在职员工所为，40%以上跟跳槽员工有关系，员工泄密比例之高令人瞠目。据调查，多数企业员工承认跳槽时会带走文件、销售协议和合同清单等重要资料，并有可能泄露给下一个公司或为自己所用。对于企业来讲，那些即将离职的员工是很危险的。因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。员工离职经常导致营销网络、商业机密、制造工艺的外泄，甚至商标专利都会被泄露，与此同时80%的在职员工可以轻松地获取到“有竞争力”的资料和信息。可见，企业内部机密隐患重重，企业信息安全现状令人堪忧！ 企业信息化建设已经成为这个时代不可或缺的产物，为各个企业信息的传播带来了极大便利，它是企业发展的需要，也是企业稳定的必要前提，但是信息安全的危险因素也越来越多。因此，现在企业的首要任务是建立一个有安全性，有保障性的信息系统，以保证企业的信息安全。目前，企业信息安全还处于起步阶段，发展还不健全，还存在一系列需要解决的问题。由于网络发展，经济信息量的猛增，信息的处理越来越依靠计算机，但是计算机有其固有的弱点，比如计算机病毒的威胁、人员素质较低、黑客人侵、窃听或拦截企业重要数据源等等，信息的安全性存在危险。一个企业要想稳步发展，必须有健全的信息安全保障。企业的信息化程度越高，企业的数据安全越重要。 信息安全的危险因素有很多，有来自企业内部的，也有来自企业外部的。那么我们应该系统的分析并解决这些危险因素。首先我们了解企业内部的不安全因素有哪些，比如病毒入侵电脑，破坏电脑，黑客的入侵。针对这类因素，我们就要使用有效的杀毒软件，定期对计算机进行杀毒，定期对计算机进行检查清理。企业内部另外一个不安全因素就是人为因素，有的企业员工素质比较低，对企业的一些数据信息保管不善，也不重视信息的安全，随意泄露企业的信息，这对信息安全也是极度危险的。为了防止这些现象的发生，企业应该对员工进行培训和引导他们保护企业的信息。而企业的外部危险因素也是相当重要的，比如企业的一些外部生产活动，自己泄露了一些信息和数据，还有就是竞争对手可能通过很多方法收集企业的信息，这些也是导致企业信息不安全的因素。那我们在生产活动的时候就应该小心谨慎地处理自己的信息数据，以免泄露。针对竞争对手，要保护好自己的商业信息，尽量做到保护好企业有价值的信息。3.3信息安全是企事业发展的需要在现在这个信息时代下，信息技术对企业越来越重要，网络改变了传统的商务运作模式，企业的信息交换和传播都依赖网络的传输，改变了企业原来的生产方式和思想观念。企业信息安全包括网络安全、系统安全、数据安全等方面。随着我国企业信息建设不断推进，企业对信息安全也越来越重视。企业信息多种多样，无论企业大小，每天都会产生很多的信息，一份报表，一张订单，一张发票，一张收据等等，都透露着企业的信息，而这些信息都是企业的资源，都存在它的价值。如果这些信息泄露，将可能对企业带来损失。时代的发展也离不开信息安全，信息安全是基础，只有信息安全有了保障，社会才能稳步前进，企业才能得到稳定发展的根基。信息安全是企业发展的基础，要充分认识信息安全工作的紧迫性和长期性。从企业的稳定与安全，经济的发展和保护企业利益的角度来看，一定要搞好基础性工作和基础设施建设，建立信息安全保障的同时，搞好连接信息安全保障体系建设安全、建设健康的网络环境和促进信息化的建设。无论科技多发达，技术多高超，那也是人类创造的，因此，信息安全也是离不开人的。很多的企业信息泄露，都是人为原因造成，滥用企业信息的行为，给企业带来了极大损失。随着信息技术和网络技术的发展，各种信息数据的安全问题成为企业的重要任务。信息安全就是保护企业不受各方面威胁，确保各项工作的连续性，将信息安全带来的损失降到最小，使企业获得最大的利益。各种企业的数据有多重形式存在，有纸质的、电子档的，一般以电子文档的形式存在。而这些重要的数据关系到一个企业的安全，是关系生死存亡的大事。因此，企业应该加强员工电脑管理，部署专业的企业电脑监控管理软件（iMonitor软件）。只有事前做好防范工作，企业才能避免商业秘密泄露的事件频频上演。 信息安全产业规模偏小。体现在：一是企业规模小，注册资本少。注册资金超过1000万元的，占40%左右，大部分信息安全企业注册资金不超过1000万元，74.2的企业员工人数在100人以下，员工人数不足50人的企业占55；二是现开发的市场不大，2009年产值超过1000万的企业占45%，利润超过500万元的企业只占22.6。技术优势未能充分显现，缺乏品牌产品和著名企业。信息安全企业承担的研发项目50%以上集中在技术含量较低的项目。信息安全产业近年来承担的国家级研发项目只占全部研发项目总数的8%。尽管部分信息安全企业十分注重专利及著作权的申请与保护，但信息安全企业缺乏拥有的代表性成果，特别是申请的国际专利偏少。 实施企业信息安全认证制度，营造产、学、研、用环境。不同于其他工业软硬件的特点，在于信息安全产业是“问题”主导的。用户只有确实出了安全事故（比如病毒泛滥、资料泄密、网站被黑等情况）才想起安全保护。因此信息安全产业的产、学、研、用环境中，“用”的作用尤为突出，要做好信息安全工作，必须要求用户有明确的需求驱动力。（图3-1） 全球计算机网络商业化进展加速，信息安全事件带来的经济损失越来越高，趋利性的恶性网络攻击日益增多，信息安全产业以其战略性、全局性、先导性和保障性等特点，在整个信息产业发展格局中地位举足轻重。预计未来几年，我国信息安全产业将保持年均30%以上的高速度增长。南京紧紧依托打造“世界软件名城”和建设“中国服务外包基地城市”的战略机遇，软件产业不断加大产业培育和创新力度，积极提升产业竞争力。信息安全产业依托我市智力优势突出、经济基础好、两化融合度高等条件，如措施得力、优势整合，必将会将南京建设成为全国乃至全球的信息安全产业名城。（图3-1）第4章企事业单位信息安全管理模型4.1管理概念随着计算机技术的发展与普及，许多企事业单位和管理机构都建立了自己的管理信息系统。在信息系统开发设计过程中，安全性能总是被放在首要的位置，成为信息系统生存的关键。构建企业级信息系统的安全模型已日益成为一个重要的研究领域。 本文以管理信息系统的安全要求为出发点，对信息安全模型及相关的信息安全技术展开了深入的研究，从授权的时限性方面对典型的RBAC96做了扩展，设计了一个具有时限的基于角色的访问控制模型。它是一个具有通用性的企业级信息系统的安全模型，由一系列组件构成，包括访问控制组件、身份验证组件及数据库加密组件。 访问控制组件用来实现对系统的安全访问，防止非法用户进入系统以及合法用户对系统资源的非法操作。本文将访问权限与角色相联系，通过给用户分配适合的角色，让用户与访问权限相联系。在本模型中，用户的授权是具有时限性的，用户通过身份认证后，系统只激活在时限内的权限，将此作为用户能否访问系统资源的依据。而且在本模型中，实行三权分立方案，将管理权限分割给系统管理员，安全管理员和应用管理员，这三个角色各行其责，相互监督制约。 本文从系统运行效率和安全性出发，采用两种认证方式实现对不同级别用户的身份认证，即基于摘要口令的认证方式和基于椭圆曲线的认证方式。后者的安全级别更高，其安全性是基于解椭圆曲线离散对数问题的困难度。 在数据库加密方面，通过对各种加密算法的分析比较，选择综合性能比较好的3DES算法结合子密钥技术对数据库中敏感信息进行加密，并采用二级密钥工作方式，主密钥用于生成工作密钥，用工作密钥对数据进行加密，实现密钥的动态管理。数据的加密解密都在客户端进行，保证了数据传输的安全。 最后通过一个实际的应用系统基于BS的高校信息统计管理系统，验证了本模型的实用性和通用性。4.2企业信息化安全管理企业信息化，企业信息化实质上是将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化，通过各种信息系统网络加工生成新的信息资源，提供给各层次的人们洞悉、观察各类动态业务中的一切信息，以作出有利于生产要素组合优化的决策，使企业资源合理配置，以使企业能适应瞬息万变的市场经济竞争环境，求得最大的经济效益。随着我国工业信息化建设的不断深入，信息化已经成为企业发展的重要推动力量，国外企业信息化建设和应用已经走在我们前面。经济全球化的发展以及WTO的加入，更对许多企业提出了新的挑战，就企业而言，信息化是生存和发展的必由之路。企业信息化是一项系统工程，信息化安全也是企业信息化建设的关键环节。特别是随着互联网日新月异的发展和企业集团信息化整合的加强，企业网络应用的范围在不断扩大，如通过互联网获取信息、展现企业形象、开展电子商务等，通过广域网实现集团内部资源共享、统一集团管理等，企业信息化网络不再是单纯意义上的Intranet，而更多的则是基于Internet的网络和应用。但网络开放的同时，带来的安全问题就更加严峻了，各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。网络技术的迅速发展，各种依托网络开展的攻击技术也得到了蔓延。黑客攻击手段越来越丰富。各类破坏力较大的攻击工具、文摘都可以在网上唾手可得；企业的安全现状常常使得他们成了黑客攻击破坏的首选“试验品”。另外病毒的发展已经远远超过了人们预期的想象。破坏性越来越严重；加上企业内部信息安全和相关系统上的漏洞，为一些不法人员提供了大量的犯罪途径。所以企业迅速建立完善的信息安全体质已经势在必行。企业信息化安全管理是一个普遍问题，但是，不同行业信息化有自己的特点，企业信息化安全管理的重点和所采取的对策也不尽相同，因此，面向企业信息化的特点，本文专门针对企业信息系统涉及的安全管理问题进行了系统地分析，并结合在国内外相关专题的研究情况，提出适合行业特点的安全对策。第5章 防范企事业单位泄露信息措施5.1企事业单位遇到主要的信息安全问题越来越多的中国企业开始具有核心的知识产权与不可外泄的商业秘密，因而众多的企业也开始重视信息安全体系的建设。但是，更多的企业把自己的注意力放在了防止外部入侵即网络边界安全，而恰恰忽略了身边的威胁内部泄密。据FBI和CSI曾对484家公司进行的网络安全调查结果显示：超过85%的安全威胁来自公司内部，由于内部人员泄密所导致的资产损失高达6000多万美元，它是黑客所造成损失的16倍、病毒所造成损失的12倍。企业若是忽略了其内网安全防范措施，将损失许多宝贵的核心数据、专利技术信息，多年累积的技术资产和研发投入成为他人的嫁衣，甚至可能因此导致企业失去竞争力。企业还可能丧失的是其声誉，以及员工、合作伙伴与客户的信赖。面对日渐严重的内部泄密事件，我们如何守护企业的核心信息，如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实，针对内网安全，防止内部信息泄漏早已有了比较成熟的体系。这得益于一个还不为广大企业所知的行业信息防泄漏行业。信息防泄漏从这个行业诞生时刻开始就致力于保护国家秘密，维护国家涉密内网安全，防止涉密信息泄漏。随着企业保护核心信息的需求日益增长，信息防泄漏行业也开始逐渐为广大企业提供信息安全服务。面对企业的内网安全问题，信息防泄漏行业凭借多年来服务于国家政府机关积累的经验，提出六项措施，有效防止内部泄密，守护企业核心机密。5.2严控计算机封锁信息外泄途径在企业当中，有一种非常普遍的情况，就是对于计算机外设完全没有任何监控。每台计算机可以任意使用各种USB设备，可以随意读取光盘，可以连接打印机，能够随时的打印文件。这也就极大地方便了内部人员将核心信息，商业机密带离公司，从而导致信息泄漏。也有一部分公司，感觉都到了内部泄漏的风险，采取了一些手段，例如拆掉光驱，塑封USB口一些简单的方式，希望能够控制内部人员随意使用外设端口，但是这些控制方式都能够很轻易的破解，并没有带来真正意义上的效果。更有一些公司，感觉到简单的控制手段无法保证效果，就采用了一些技术手段，例如利用修改注册表或者设置组策略等形式，达到禁止外设端口的效果。这样在一定程度上，起到了一定效果，然而，针对那些真正企图泄漏内部机密的幕后黑手而言，这些手段能够很轻易地被破解。要达到彻底封锁信息外泄途径，就需要应用专门技术，例如鼎普科技的“内网安全综合管理系统”综合利用中间层驱动、驱动拦截、线程注入等驱动级技术，对操作系统底层驱动进行拦截，保证对接口、设备的监控准确有效，并在此基础上实现设备监控、文件监控、打印监控等。可准确识别打印机、硬盘、活动硬盘、MODEM等设备，并可对设备的使用进行控制。通过严格控制计算机外设端口，有效监控审计所有的计算机操作行为，做到封锁信息外泄途径，起到让核心信息“看得见、用得了、拿不走”的效果。同时建立及时有效的报警审计功能，将内部信息泄漏的一切可能扼杀在萌芽状态，内部人员一旦出现可疑操作、违规操作及时阻断、发现并报警，防患于未然。5.3信息使用权限细分  随着信息化程度的不断提高和自动化办公的不断普及，公司文件由传统的纸质文件越来越多的向电子化文档转换，而这些公司文件零散的存储在各计算机中，然而大多数的公司在进行防护系统建设的时候，更多的是把目光放到了网络边界安全，也更多的偏向于监控计算机设备以及计算机使用者的操作，对于真正重要的核心信息本身的防护却有限。同时由于许多的公司业务流程已不再是狭窄孤立的，而是非常具有动态性、协作性和广泛性的合作过程。例如：在日常办公过程中，可能需要公司内外的人员通过演示文稿、电子表格或文档的形式来复制、共享、打印输出等信息。这也带来一个问题就是没有一个行之有效、更加细分化的策略权限控制手段，帮助管理者限定核心信息针对个人具体的使用权限。这是一个很有效地手段，就是将核心信息集中存储，保证终端不保存机密信息，在利用驱动级文件权限控制技术、剪贴板防护技术、数据消除技术、进程数字签名技术等技术，强制终端用户只能通过系统提供的安全虚拟平台访问文档集中管理服务器上的资源。这样就既解决了核心信息分散不易管理的难题，又可以针对核心信息进行详细的权限控制，针对不同的内部人员执行不用的读、写、复制、删除等等操作策略。保证公司能够对接触使用核心信息的内部人员进行控制，全面了解核心文件“谁能看、谁能改、谁能用、谁能带”。有效的降低了内部人员泄密的可能。5.4通过移动介质泄密往往是信息泄漏的主要方式  目前广泛应用于企业单位中的信息交互工具就是移动介质，作为最有效的信息移动的手段之一，移动存储介质具有使用方便，存储空间大等众多的优点。然而移动存储介质的容量越做越大，体积却越做越做小，非常容易丢失。而移动存储设备本身在设计上由于考虑较多的是易用性，所以往往没有任何防护措施。一旦移动存储设备丢失或被盗，就会造成存储其中的信息外泄。并且大多数企业在日常使用的过程中，并不限定移动介质的使用范围，使得员工无论是在公司内的电脑，还是个人电脑，或者网吧等等其他地方的电脑上任意使用，使得文件可被轻易复制或者被病毒、木马侵害，造成信息泄密。由此可见不被管控的移动存储设备