中小企业如何进行网络信息安全建设.docVIP

中小企业如何进行网络信息安全建设 ?2007-07-27 17:10 ?范怀炜 邢居云 周德康 ?网管员世界 摘要：本文总结了作者所经历的网络信息安全建设经验，针对中小企业提出一些建设网络信息安全的指导性意见，给出了一个网络信息安全建设案例，以供参考。 标签：信息安全??建设??网络??中小企业 网络是企业信息化的基石，而网络信息安全则成为网络运用的障碍。企业对网络的利用率低，不仅仅是网络带宽的问题，更多的是考虑到网络安全的问题。因为害怕在网络上会出现这样或那样的问题，而不愿或不敢在网络上运行可以信息化的业务系统，而继续使用传统的或手工的方式来完成繁重的业务工作。对于网络信息安全有两个普遍的观点：其一是“三分技术，七分管理”，说的是网络信息安全主要靠管理手段来保障，技术对网络信息安全的贡献只占三成；其二是“木桶原理”，说的是网络信息安全由一些基本的安全因素构成，这些安全因素中最脆弱的哪一部分将成为网络信息安全的最大威胁。中小企业建设网络信息安全的内容网络信息安全的实质是：保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们能正常发挥作用，保障系统能够安全可靠地工作。网络信息安全大体上可以分为：物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人的因素等几个方面。对网络信息常采用的攻击手段有：窃取机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战等几大类。针对中小企业网络信息安全建设，主要包括以下几个内容：（1）物理安全：主要包括机房和配线间的条件、自然灾害、人为破坏、信息入侵等，进一步可以分为如下一些方面： 机房和配线间的电源、接地、防雷、防潮、防盗、防火、防尘、防鼠、温度调节、通风条件、强电流干扰等。 地震、火灾、洪水、台风等。 人为误操作、有意破坏信息系统或通信线路或设备、恐怖活动、战争等。 线路搭听、从网络入口处侵入网络等。（2）计算机硬件和软件的资产安全：主要包括计算机硬件不被替换或者移走，所使用的计算机软件是否存在版权问题，是否使用了不允许使用的软件等。（3）网络体系结构安全：主要包括如下一些内容： 相对独立的局域网的拓扑结构不存在环路。 通信线路通信性能上不存在瓶颈。 通信线路某一部分故障影响的范围尽可能小。 通信网络设备故障影响的范围尽可能小。 局域网与Internet的连接要有隔离措施等。 （4）病毒防范：病毒是影响网络和信息安全最频繁、最直接的因素，其破坏程度可大可小。（5）入侵检测与安全审计：入侵可以分为来自局域网内部的入侵和来自局域网外部的入侵，所以入侵检测与安全审计可以在两个地方来实现，分别是在局域网与广域网的接口处即路由器或防火墙区域和在计算机终端操作系统上或接入级交换机上。（6）信息活动跟踪与记录：防火墙和入侵检测的防御思想是如果发现某些信息数据是恶意的，那么直接把这些信息数据“杀死”。而信息活动跟踪与记录的防御思想是把所有信息数据的踪迹记录下来，如果发生了网络信息安全事件，则检查是哪些信息数据造成这个安全事件，并把这些信息数据的踪迹作为证据交给国家安全部门来处理。防火墙和入侵检测是对“黑客”的主动防御，靠技术手段实现；而信息活动跟踪与记录则是对“黑客”的被动防御，靠法律武器来实现。（7）信息安全：信息安全主要包括信息的访问控制安全和信息的传输安全，即信息不能够让没有授权的用户看到甚至修改或者删除，有授权的用户需要信息时应该能够快速、方便地得到信息，信息在传输或者存储过程中应该加密等。（8）信息系统正常运行：包括操作系统、数据库管理系统、应用软件系统及硬件系统的正常运行，受系统的设计缺陷、系统漏洞等因素影响。（9）法律安全：法律安全主要是指有人恶意地利用企业的网络和计算机等设备，进行计算机犯罪；也可能是企业的网络和计算机设备受到病毒、木马、黑客程序等的控制，成为傀儡计算机，自主进行计算机犯罪。司法机关在追查计算机犯罪时，只能追查到犯罪分子使用的某个网络接口，而不能追查到接口以内的局域网上具体是哪台计算机。为了防止计算机犯罪，以及保留计算机犯罪分子进行犯罪的证据，技术上使用网络信息审计系统，来保证网络上所传输的信息的安全性以及记录不安全信息的痕迹。（10）安全管理：网络和信息安全是一个逐步加固的过程，一步到位的方法是没有的。在网络和信息安全上普遍采用“三分技术，七分管理”的措施来保障。企业必须形成一整套关于网络和信息安全的管理办法，并且要把这套管理办法交给一个强有力的部门来执行。网络信息安全建设指导原则网络信息安全的建设没有统一的定式，受企业的地理环境、人文环境、对应用系统的使用程度和依赖程度、网络和软硬件等基础设施状况以及企业领导的重视程度和经费预算等因素