企業信息系統的安全與防護姓名： 學號： 院（系）:專業：企業信息系統的安全與防護摘要：信息技術和信息產業的發展，推動了計算機及其網絡在社會生活各個領域的廣泛應用，而在企業的現代化管理中尤為突出。本文主要從企業信息系統所面臨的安全威脅以及企業信息系統安全運行應當采取的防范措施兩方面進行探討。關鍵字：企業信息系統系統威脅防護概述從“信息化高速公路”到“數字地球”，信息化浪潮席卷全球。Internet的迅猛發展不僅帶動了信息產業和國民經濟地快速增長，也為企業的發展帶來了勃勃生機。企業通過Internet可以把遍布世界各地的資源互聯互享，但因為其開放性，在Internet上傳輸的信息在安全性上不可避免地會面臨很多風險。當越來越多的企業把自己的業務系統放到網絡上后，針對網絡的各種非法入侵、病毒等活動也隨之增多。其信息系統主要有以下幾個特點：企業內部網日益完善，具備層次化的網絡結構，成為企業通向Internet的傳輸紐帶。一系列重要的應用系統建立在內部網中，負責企業日常的生產管理，如ERP、CRM、PLM、PDM、OA等。隨著信息化程度的深入、企業的不斷發展與壯大。企業內的終端數量日益膨脹。與此同時，企業的分公司、供貨商、銷售商通過Internet聯入總部，時時查詢或者上報數據。對于這兩類終端，他們的特點是數量龐大，不易管理。企業信息系統面臨的威脅在現實的網絡應用中，威脅是普遍存在的。威脅的描述性定義就是潛在的安全隱患。個人計算機僅僅一個簡易的應用便可滿足常規用戶的需要，而企業的服務器一般要擔當多個角色，提供多個服務，這樣的后果是節約了成本，犧牲了安全，安全原理其實就是木桶原理，任何局部的隱患都會使全局的安全性崩潰，這類似于射擊,面積大的目標被命中的概率更大。在現有的信息系統中，威脅的種類層出不窮，網絡無時無刻在發展，威脅也無時無刻在翻新。目前的企業信息系統中，威脅主要有以下幾類：物理威脅、漏洞威脅、病毒威脅、入侵威脅和復合性威脅。（1）物理威脅物理威脅最為簡單，也最容易防范，更容易被忽略，許多信息機構服務被中止僅僅因停電、斷網和硬件損毀。例如，某處施工時無意破壞了通信電纜或是供電線路都會導致大規模的損失，所以保障企業信息系統的物理安全至關重要，我們可以通過以下方式保障信息系統的物理安全：一是機房采用UPS不間斷電源，保障停電后服務能夠不中斷運行，也杜絕因停電損失數據的事件發生。二是對網絡設備多清查，多檢測。三是機房杜絕外人接近，同時拆除服務器不必要的數據接口，防信息流失和隱患程序流入，服務器加物理鎖，防惡意關機和非法重啟。有條件的企業最好采用RDP遠程登陸服務器，避免人員與服務器直接接觸。（2） 漏洞威脅僅次于物理威脅的是漏洞威脅，幾乎所有的安全事件都源于漏洞。漏洞主要分系統漏洞和軟件漏洞，網絡結構漏洞。系統漏洞相對常見，目前企業中常用的操作系統大致分為兩種‘Windows和Unix/Linux。基于NT內核的WindowsNT4Windows2000、WindowsServer2003都是常見的操作系統，只要有效利用組策略構建適合企業現狀的安全模型。必須重視WindowsUpdate,保證系統最新，因為漏出的安全缺陷官方會迅速通過WindowsUpdate布置到計算機上。常用的MicrosoftBaselineSecurityAnalyzer檢測安全漏洞，及時修復。平時關閉一些不必要的端口和服務，管理員要設置強密碼，防止黑客掛字典爆破，保障全局安全。對于Unix/Linux系統的企業安全漏洞也不容忽略。主流應用于企業的發行版本有FreeBSD，RedHatLinux，SuseLinux，DebianLinux盡量不要使用一些小組織Linux發行版,如果企業有足夠的技術資源，可以考慮定制適合自己的Linux發行版。眾所周知,Linux為開源軟件，無數優秀的特性被加入進來。但這個特性也相當致命，一個完全透明的系統對于黑客來說具有相當大的優勢，作為Linux用戶，采用安全防御措施相當重要。同Windows一樣，最基本的措施是及時安裝安全補丁，留意近期的安全通告，同時根據業務需要，關閉不必要的系統服務。由于Linux的帳戶模型比較復雜，還需根據需要刪除一些諸如adm，lp，sync，shutdown,halt,mail等特權帳號，同時為存在的帳號設定強密碼。帳號管理上要為不同的ID分配不同的權限，并且歸并列不同的用戶組中。（3） 病毒威脅操作系統的正確使用和配置很重要，操作系統安全是企業信息系統安全的基礎，對企業信息系統殺傷力比較大的是病毒威脅，作網絡通信服務病毒發生的概率還是比較高的。能夠引起計算機的故障，破壞計算機數據的程序統稱為計算機病毒，我認為該定義僅能夠定義早期的病毒，是一個狹隘的病毒定義，現在的病毒特征更廣泛，間諜軟件、木馬、流氓軟件、廣告軟件、行為記錄軟件、惡意共享軟件等等，它們的危害遠遠超出了傳統定義中“占用系統資源”、“破壞數據”“阻塞網絡”等經典危害。這些新型病毒可以導致重要機密泄露，甚至現有的安全機制全部崩潰。日常應用中，一般保證系統經常更新并有防毒應用，病毒很難感染，在常用服務器上部署強大的安全機制，同時多進行員工的安全教育，預防病毒損失還應及時做數據備份，一般中小型非信息企業每日應有增量備份，每周應有全盤備份，在病毒發生時早報警，早恢復。（4） 入侵威脅大部分病毒攻擊已經被編寫者確定，只是機械性的執行，但入侵則是人為攻擊策略靈活多變。現在的黑客已經從業余發展到越來越專業化。動機已發生本質的變化，早期黑客僅為炫耀一下自己高超的技術或發泄一下情緒而已，現在的黑客憑借技術大發不義之財。網絡產業逐步走向規范化，相應的立法也日趨完善。但黑客還是廣范存在的。一般來講，只要不給黑客創造成熟條件，一般的入侵或攻擊是難以實現的。所謂的條件，其根源還是系統或軟件的漏洞，手段主要以木馬為主，通常配合一些遠程控制軟件。主要防范措施還是要以入侵檢測為主，早發現，早處理，對于觸犯法律的還要報告相關司法部門。（5） 復合性威脅復合性威脅并非出現在規范的廣義里的，但現實應用中，任何威脅都以復合形式出現。試想，一次完美的入侵，并非一個單一的條件就可發生的，需要其他條件的配合。因此，保障信息系統任何微小細節的安全，才能使安全事件的發生幾率降至最低。企業信息系統安全運行的防范措施企業信息系統安全運行的防范措施是企業信息系統高效運行的方針，其能在很大程度上確保信息系統安全有效的運行。相應的企業安全運行的措施一般可以分為以下幾類：（1） 安全認證機制：安全認證機制是確保企業信息系統安全的一種常用技術，主要用來防范對系統進行主動攻擊的惡意行為。安全認證，一方面需要驗證信息發送者的真實性，防止出現不真實;另一方面可以防止信息在傳送或存儲過程中被篡改、重放或延遲的可能。一般來說，安全認證的實用技術主要由身份識別技術和數字簽名技術組成。（2） 數據的加密以及解密：數據的加密與解密主要是用來防止存儲介質的非法被竊或拷貝，以及信息傳輸線路因遭竊聽而造成一些重要數據的泄漏，故在系統中應對重要數據進行加密存儲與傳輸等安全保密措施。加密是把企業數據轉換成不能直接辨識與理解的形式；而解密是加密的逆行式即把經過加密以后的信息、數據還原為原來的易讀形式。（3）入侵檢測系統的配備：入侵檢測系統是最近幾年來才出現的網絡安全技術,它通過提供實時的入侵檢測,監視網絡行為并進而來識別網絡的入侵行為，從而對此采取相應的防護措施。采用防火墻技術：防火墻技術是為了確保網絡的安全性而在內部和外部之間構建的一個保護層。其不但能夠限制外部網對內部網的訪問，同時也能阻止內部網絡對外部網中一些不健康或非法信息的訪問。加強信息管理：在企業信息系統的運行過程中，需要要對全部的信息進行管理，對經營活動中的物理格式和電子格式的信息進行分類并予以控制，將所有抽象的信息記錄下來并存檔。結語隨著計算