企業信息安全防護體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業信息安全防護體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業信息安全防護體系范文

關鍵詞：信息安全；體系架構；授權訪問；安全控制；異常監控

1概述

隨著信息化建設的快速發展，信息技術創新影響著人們的工作方式和生活習慣，網絡已成為信息傳播和知識共享的載體，提高了工作效率，促進了社會的發展和進步，但由于網絡環境的復雜性、多變性以及信息系統的脆弱性，決定了信息安全威脅的客觀存在。近年來，國內國外信息安全的事件層出不窮，計算機病毒和木馬仍然是最大的安全威脅，假冒用戶和主機身份進行不法活動或實施攻擊的現象逐漸增多，SQL注入、數據監聽、緩沖區溢出攻擊依然盛行，網絡釣魚和網絡欺詐日益嚴重，敏感數據外泄和盜取事件頻頻發生，信息安全形勢日趨嚴峻。因此，如何建立多層次的信息安全防護體系，如何保證企業信息安全，已成為各企業必須面對的重要問題。

2體系架構總體設計

針對企業中桌面計算機數量龐大、應用系統平臺多樣化、互聯網業務應用急劇增長，不合規計算機接入內網、互聯網違規訪問、系統賬戶盜用等行為無法管控，網絡黑客人侵、病毒木馬感染、信息數據竊取等問題，通過大量的分析調研，確定企業級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計，同時選擇成熟主流的安全產品，統一規劃設計桌面安全管理、身份管理與認證、網絡安全域戈0分等功能系統，規范信息系統安全防護和審計標準，最大程度保證信息資源的可用性和安全性。

2.1桌面安全管理系統設計

桌面計算機是產生和存放重要信息的源頭，但桌面計算機往往是信息安全事件中最薄弱的環節，因此，為切實保證企業信息業務正常開展，保障個人信息數據安全，建立先進實用的桌面安全管理系統十分必要。該系統主要包括安全防范和后臺安全管理兩個模塊。

2.1.1安全防范功能模塊

安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略，查殺策略應定義為“隔離”；對于惡意商業應用程序，由于這類軟件只是一些廣告類的惡意重新，終止進程就可以解決問題的，安全風險程度不是很高，所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務檢測功能、啟用端口掃描檢測功能，以及自動禁止攻擊者的IP時間限定為600秒，避免出現由于大量攻擊行為而消耗計算機性能和網絡帶寬的情況發生，提高桌面計算機抵御惡意攻擊的能力。

2.1.2后臺管理模塊

區域管理器是后臺管理功能模塊重要組件，通過配置計算機IP范圍、區域管理器參數、設備掃描器參數，可對安裝探頭程序的桌面計算機進行管理。實現桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。

2.2身份管理與認證系統設計

當前應用系統已成為企業開展各項日常業務的重要平臺，但由于這些應用系統登錄方式不統一、安全認證模式多樣、部分系統密碼強度不足等情況，嚴重影響企業信息數據的安全性和保密性，因此建立身份管理與認證系統，可以從根本上實現用戶身份認證，保證系統訪問的安全性。身份管理與認證系統由集中身份管理、統一認證和公共密鑰基礎設施三個模塊組成。

2.2.1集中身份管理模塊

集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式，對應用系統中的用戶身份信息進行匯總與清理，建立統一的用戶身份視圖，實現用戶實體與用戶身份信息的唯一對應。集中身份管理模塊固化對用戶身份的集中管理流程，包括與用戶身份管理相關的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類，從而設計出集中身份管理的功能模型，如圖1所示。

2.2.2統一認證模塊

統一認證模塊支持用戶身份的強認證，可對獲取權威的身份鑒別信息進行身份認證，包括用戶口令、用戶數字證書、數字證書撤銷列表等。通過對信息系統一般的身份認證流程進行分析，可以得到統一認證采用的身份信息和鑒別信息都來自于信息系統本身（或分散的目錄服務）。

2.2.3公共密鑰基礎設施模塊

公共密鑰基礎設施系統（PKI）由認證中心（CA）、密鑰管理中心（KMC）和證書注冊中心（RA）等三部分組成。認證中心采用商密SRQ-14數字證書認證產品和商密SJY-63密鑰管理產品，并可提供可信的第三方擔保功能，認證中心支持頒發證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息，利用PMI技術保證密鑰信息數據的安全。證書注冊中心可為用戶提供數字證書申請的注冊受理，用戶身份信息的審核，用戶數字證書的申請與下載，用戶數字證書的撤銷與更新等服務。

2.3網絡安全域系統設計

前大部分企業的內部網絡中均包含有非業務性質網絡，且網絡行為不受限，對內部應用系統的安全構成嚴重威脅。為構建安全可靠網絡架構，通過劃分網絡安全域，提高整體網絡的安全性。網絡安全域設計應包括互聯網與企業網之間、企業辦公網與生產網之間、關鍵應用系統與普通應用系統之間等三個層次的安全防護。本著“先邊界安全加固，后深入內部防護”的指導思想，本文僅對互聯網與企業網之間的安全域進行研究和探索，如圖2所示。

2.3.1安全防護模塊

安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備，主要是通過檢測過濾網絡上的數據包，保證內部網絡的安全。防火墻可以位于兩個或者多個網絡之間，是實施網絡之間訪問控制的一組組件的集合，通過制定安全策略后防火墻能夠限制被保護的內部網絡與外部網絡之間的信息訪問與交換。入侵檢測設備是防火墻的合理補充，一般該設備部署在內部網絡邊界。

2.3.2行為審計模塊

行為審計模塊可以提供網頁過濾技術、應用控制技術、外發信息審計技術等，可有效防止機密信息的外泄，避免不良信息的擴散，提高員工的工作效率，保障網絡資源合理使用，提高網絡可管理性。

2.3.3日志分析模塊

日志分析模塊基于Syslog標準協議，可以對不同設備、主機、應用系統進行日志綜合分析和集中展現；實現對報警信息的靈活配置和管理，同時提供靈活的報警規則配置、實時報警和歷史報警信息的綜合管理；基于設備、報警類別、日期等因素進行組合統計和報表，為管理人員提供直觀的統計信息和報表信息。

3關鍵技術

3.1準入控制技術

建立具有結構化、層次化的準入控制體系，針對計算機違規行為下發阻斷策略，確保接入內網的計算機符合企業信息安全方面的規定。主要方法共有兩種，一種是在互聯網出口處部署端點準人設備，強制所有接人互聯網桌面計算機安裝桌面安全軟件，另一種是使用虛擬隔離技術，制定訪問控制策略，針對不合規的桌面計算機下發阻斷策略，保證內部網絡安全。

3.2主動安全防范技術

主動安全防范技術包括病毒木馬探測和數字證書認證等，病毒木馬探測技術能夠強化桌面計算機實時防護功能，主動攔截病毒木馬，防范日常攻擊和未知安全威脅；數字證書認證技術能夠實現USBkey證書和Pin口令的雙因素認證方式，可以解決賬號權限安全管理問題。

4應用效果

在某企業部署的信息安全防御體系應用效果良好。累計查殺新型網絡病毒木馬560多萬個；強認證登錄100多萬次；抵御外部攻擊600多萬次，阻止訪問木馬釣魚網站5萬余次。

第2篇：企業信息安全防護體系范文

關鍵詞：大數據；計算機信息安全；企業；防護策略

大數據（bigdata）形成于傳統計算機網絡技術應用中，并不能將它理解為傳統意義中大量數據的集合，而是其中涵蓋了更多的數據信息處理技術、傳輸技術和應用技術。正如國際信息咨詢公司Gartner所言“大數據在某些層面已經超越了現有計算機信息技術處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會各個領域行業才應用大數據技術來為計算機信息安全提供防范措施，尤其是企業計算機信息網絡，更需要它來構建網絡信息防護體系，迎接來自于企業外部不同背景下的不同安全威脅。

1關于企業計算機信息安全防護體系的建設需求

企業計算機系統涉及海量數據和多種關鍵技術，它是企業正常運營的大腦，為了避免來自于內外因素的干擾，確保企業正常運轉，必須為“大腦”建立計算機信息安全防護體系，基于信息安全水平評價目標來確立各項預訂指標性能，確保企業計算機系統不會遭遇侵犯威脅，保護重要信息安全。因此企業所希望的安全防護體系建設應該滿足以下3項需要。首先，該安全防護體系能夠系統的從企業內外部環境、生產及銷售業務流程來綜合判斷和考慮企業計算機信息安全技術、制度及管理相關問題，并同時快速分析出企業在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷，并提出相應的防護措施。其次，可以對潛在威脅企業計算機系統的不安定因素進行定性、定量分析，有必要時還要建立全面評價模型來展開分析預測，提出能夠確保體系信息安全水平提升的優質方案。第三，可以利用體系評價結果來確定企業信息安全水平與企業規模，同時評價該防護體系能為企業帶來多大收益，確保防護體系能與企業所投入發展狀況相互吻合。

2大數據環境對企業計算機信息安全建設的影響

大數據環境改變了企業計算機信息安全建設的思路與格局，應該從技術與管理維度兩個層面來看這些影響變化。

2.1基于企業計算機信息安全建設的技術維度影響

大數據所蘊含技術豐富，它可以運用分布式并行處理機制來管理企業計算機信息安全。它不僅僅能確保企業信息的可用性與完整性，還能提高信息處理的準確性與傳輸連續性。因為在大數據背景下，復雜數據類型處理案例比比皆是，必須要避免信息處理過程錯誤所帶來的企業信息資源安全損失，所以應該采取大數據環境技術來展開新的信息處理方式及存儲方式，像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式，對企業計算機信息進行有效存儲、轉移和管理，提高其信息安全水平。分布式計算會為企業計算機信息建立大型數據庫，或者采用第三方云服務提供商所提供的虛擬平臺來管理信息，這種做法可以為企業省下防火墻、數據庫、基礎性安防技術等等建設環節的大筆成本費用。在信息傳遞方面，大數據環境主要能夠干預企業信息傳遞，例如為企業計算機系統提供高速不中斷的傳遞功能模塊，以確保企業信息傳遞的完整性與可持續性。在此過程中為了確保企業計算機信息傳輸的安全可靠，就會基于大數據技術來為企業提供數據加密服務，確保數據傳輸整個過程都處于安全狀態，避免任何信息泄露、被盜取現象的發生。

2.2基于企業計算機信息安全建設的管理維度影響

在大數據環境下，企業計算機信息安全的管理維度影響不容忽視，它體現在人員管理、大數據管理與第三方信息安全等多個方面。在人員管理管理方面，大數據為企業所提供的是由傳統集中辦公向分散式辦公的工作模式轉變，它創建了企業自帶辦公設備BYOD（BringYourOwnDevice），BYOD一方面能有效提高員工積極性，一方面也能為企業購置辦公設備節約成本，不過它也能影響到企業計算機的信息安全管理事項，移動設備大幅度降低了企業對計算機系統安全的可控度，可能會難以發現來自于外部黑客及安全漏洞、計算機病毒對系統的入侵，一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面，它可能會對企業信息安全帶來巨大影響，因為第三方信息是需要用來進行加工分析的，但它對于企業計算機系統是否能形成保障實際上是難以被企業穩定控制的，所以企業要確切保證第三方信息安全管理的有效性，基于大數據強化企業信息安全水平，利用分權式組織結構來提高企業計算機系統及信息的利用效率，同時也增強大數據之于企業計算機系統的應用實效性。

3基于大數據優化環境下的企業計算機信息安全防護策略

企業計算機信息安全對企業發展至關重要，為其建立安全防護體系首先要明確其信息安全管理是一項動態復雜的系統性工程。企業需要從管理、人員和技術3方面來滲透大數據意識及相關技術理念，為企業計算機系統構筑防線，保護信息安全。

3.1基于管理層面的計算機信息安全防護策略

社會企業其實就是大數據的主要來源，所以企業在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術單一、難以滿足企業信息安全需求等問題。企業需要基于大數據技術來建立計算機信息安全防護機制，從大數據本身出發，做到對數據的有效收集和合理分析，準確排查安全問題，建立企業計算機信息安全組織機構。本文認為，該計算機信息安全防護策略中應該包含安全運行監管機制、信息安全快速響應機制、信息訪問控制機制、信息安全管理機制以及災難備份機制等等。在面對企業的關鍵性信息時，應該在計算機系統中設置信息共享圈，盡可能降低外部不相關人員對于某些機密信息的接觸可能性，所以在此共享圈中還應該設置信息共享層次安全結構，為信息安全施加“雙保險”。另一方面，企業管理層也應該為計算機系統建立信息安全生態體系，一方面為保護管理層信息流通與共享，一方面也希望在大數據環境下實現信息技術的有效交流，為管理層提出企業決策提供有力技術支持。再者，企業應該完善大數據管理制度。首先企業應該明確大數據主要由非結構化和半結構化數據共同組成，所以要明確計算機系統中的所有大數據信息應該通過周密分析與計算才能最終獲取，做到對系統中大數據存儲、分析、應用與管理等流程的有效規范。舉例來說，某些企業在管理存儲于云端的第三方信息時，就應該履行與云服務商所簽訂的第三方協議，在此基礎上來為企業自身計算機系統設置單獨隔離單元，防止信息泄露現象。另一方面，企業必須實施基于大數據的組織結構扁平化建設，這樣也能確保計算機系統信息流轉速度無限加快，有效降低企業基層員工與高層管理人員及領導之間的信息交流障礙[2]。

3.2基于人員層面的計算機信息安全防護策略

目前企業人員所應用計算機個人系統已經趨向于移動智能終端化，許多BYOD工作方案紛紛出現。這些工作方案利用智能移動終端連接企業內部網絡，可以實現對企業數據庫及內部信息的有效訪問，這雖然能夠提高員工的工作積極性，節約企業購置辦公設備成本，但實際上它也間接加大了企業對計算機信息安全的管理難度。具體來說，企業無法跟蹤員工的移動終端來監控黑客行蹤，無法第一時間發現潛藏病毒對企業計算機系統及內網安全的潛在威脅。因此企業需要針對員工個人來展開大數據背景下的信息流通及共享統計，明確員工在工作進程中信息的實際利用狀況。而且企業也應該在基于保護大數據安全的背景下來強化員工信息安全教育，培養他們的信息安全意識，讓員工在使用BYOD進行企業內部計算機數據庫訪問及相關信息共享過程中提前主動做好數據防護工作，輔助企業共同保護內部重要機密信息。

3.3基于安全監管技術層面的計算機信息安全防護策略

在大數據環境中，企業如果僅僅依靠計算機軟件來維持信息安全已經無法滿足現實安全需求，如果能從安全監管技術層面來提出相應保護方案則要配合大數據相關技術來實施。考慮到企業容易受到高級可持續攻擊（AdvancedPersistentThreat）載體的威脅（形成隱藏APT），不易被計算機系統發覺，為企業信息帶來不可估量威脅，所以企業應該基于大數據技術來尋找APT在實施網絡攻擊時所留下的隱藏攻擊記錄，利用大數據配合計算機系統分析來找到APT攻擊源頭，從源頭遏制它所帶來的安全威脅，這種方法在企業已經被證實為可行方案。另外，也可以考慮對企業計算系統中重要信息進行隔離存儲，利用較為完整的身份識別來訪問企業計算機管理系統。在這里會為每一位員工發放唯一的賬號密碼，并利用大數據來記錄員工在系統中操作的實時動態，監控他們的一切行為。企業要意識到大數據的財富化可能會導致計算機系統大量信息泄露，從而產生內部威脅。所以在大數據背景下，應該為計算機系統建立信息安全模式，利用其智能數據管理來實現系統的安全管理與自我監控，盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外，企業也可以考慮建立大數據實時風險模型，對計算機系統中所涉及的所有信息安全事件進行有效管理，協助企業完成預警報告、應急響應以及風險分析，做好對內外部違規、誤操作行為的有效審計，提高企業信息安全防護水平[3]。

4總結

現代企業為保護計算機信息數據安全就必須與時俱進，結合大數據環境，利用信息管理、情報、數學模型構建等多種科學理論來付諸實踐，分析大數據環境下可能影響到企業信息安全水平的各個因素，最后做出科學合理評價。本文僅僅從較淺角度分析了公司企業在大數據背景下對自身計算機信息安全的相關防護策略，希望為企業安全穩定發展提供有益參考。

參考文獻：

[1]尹淋雨.大數據環境下企業信息安全水平綜合評價模型研究[D].安徽財經大學,2014:49-51.

[2]雷邦蘭,龍張華.基于大數據背景的計算機信息安全及防護研討[J].網絡安全技術與應用,2016(5):56,58.

第3篇：企業信息安全防護體系范文

［關鍵詞］ 網絡；安全威脅；中國石油；網絡安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業務靈活性、成本控制成為企業經營者最關心的問題，彈性靈活的業務流程需求日益加強，辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現，促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網，一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理，國家監管部門對企業的內控管理提出了多項規范要求，包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。

然而信息網絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發展，網絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰不斷增加。特別是云的應用，云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系，滿足業務發展的需要，已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。

2 大型企業網絡面臨的安全威脅

賽門鐵克的《2011 安全狀況調查報告》顯示：29％的企業定期遭受網絡攻擊，71％ 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大，信息系統多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業網絡應用存在的安全威脅主要包括：（1）內網應用不規范。企業網絡行為不加限制，P2P下載等信息占據大量的網絡帶寬，同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網，對內網應用系統安全構成威脅。（2）網絡接入控制不嚴。網絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統安全措施不全。企業中的VPN系統，特別是二級單位自建的VPN系統，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統員工用戶，行為難以監管和約束。（4）衛星信號易泄密。衛星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區作業的一線生產單位，通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網絡安全風險較大。無線接入由于靈活方便，常在局域網絡中使用，但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（6）生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范，大多數二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產網被來自管理網絡的病毒感染。

3 大型企業網絡安全防護體系建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業信息安全保障體系建設列為信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。中國石油網絡安全域建設是其重要建設內容。

中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統，是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路，承載對內服務業務信息系統的網絡，與外網邏輯隔離。外網是實現對外提供服務和應用的網絡，與互聯網相連（見圖1）。

為了構建安全可靠的中國石油網絡安全架構，中國石油通過劃分中國石油網絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網絡的安全性，同時，為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想，將項目分為：廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。

廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時，還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護，所有單位均通過16個互聯網出口對外聯系，規劃DMZ，制定統一的策略，對外服務應用統一部署DMZ，內網與外網邏輯隔離，內網員工能正常收發郵件、瀏覽網頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網與內網接入點進行部署，并根據其在網絡層面由下至上的分布，保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況，將數據中心劃分為4個安全區域，分別是核心網絡、二級系統區、三級系統區、網絡管理區；通過完善數據中心核心網絡與廣域網邊界，二級系統、三級系統、網絡管理區與核心區邊界，二、三級系統區內部各信息系統間的邊界防護，構成數據中心縱深防御的體系，提升整體安全防護水平。

域內防護是指分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準，實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎，并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式，為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎，實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計；以部署設備證書為基礎，實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠，從而確保區域網絡中心、數據中心互聯網接入的安全性。

4 結束語

一個穩定安全的企業信息網絡已成為企業正常運營的基本條件，然而信息網絡的安全威脅日益加劇，企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設，系統地解決網絡安全問題，供其他企業參考。

主要參考文獻

［1］王擁軍. 淺談企業網絡安全防護體系的建設 ［J］． 信息安全與通信保密，2011（12）.

第4篇：企業信息安全防護體系范文

[關鍵詞]廣播發送平臺 信息安全 防護體系 有效性

中圖分類號：F262.5 文獻標識碼：A 文章編號：1009-914X（2014）24-0306-01

進入21世紀以來，社會經濟迅猛發展，科學技術水平逐步提高，信息手段已經成為了各行各業運用的主要設施。廣播作為人們生活的重要內容之一，其傳播方式的改變就成為了大勢所趨。在現代化設備逐步更新換代的大背景下，我國的廣播發送平臺也從以往的單一人工操作方式，轉變為了自動化、集成化的傳遞手段，信息的傳送更加高效快速，人們獲取信息資源也更具實效性，在很大程度上節約了時間，并減少了人力資源投入。但是這種現代化的信息傳遞方法也存在著明顯的弊端，很多黑客入侵系統，認為制作惡意代碼，給廣播發送平臺帶來了巨大的損失，不利于信息設備的長久使用，如何完善廣播發送平臺信息安全防護體系已經成為了社會各界關注的焦點。針對這樣的現象，本文就結合我國廣播發送平臺信息傳遞的實際情況，簡單闡述一下怎樣構建有效的防護體系，從而確保信息安全傳遞，促進我國廣播事業的有效發展。

一、廣播發送平臺信息安全防護體系的主要內容

第一，信息安全保護模型。信息系統的安全防護是一個復雜的過程，在具體實施中要首先分析其信息系統的風險情況，接著再制定有效的保護方式，最后在技術、管理等方面予以保護，提升信息的安全完整度，將安全風險降低到最小。

第二，信息保障技術框架結構。信息保障技術框架結構簡稱為IATF，它是由美國國家安全局（NSA）制定的，以保護美國政府和工業界的信息與信息技術設施提供技術指南為目的的結構框架。IATF強調的是人、技術、操作這三個核心要素，從多種不同的角度對信息系統進行防護。IATF關注四個信息安全保障領域，即本地計算環境、區域邊界、網絡和基礎設施、支撐性基礎設施。在此基礎上，對信息信息系統就可以做到多層防護，實現組織的任務或業務運作，這樣的防護被稱為“深度防護戰略”。

二、廣播發送平臺信息安全防護體系的構建

廣播發送平臺信息安全防護體系的有效構建對信息的快速傳遞、設備的有效保護以及信息的安全性具有非常積極的作用。為了切實達到這一目標，廣播單位機構一定要構建完善的體系制度，以保證信息的安全性。

（一）安全邊界區域

廣播發送系統的網絡結構比較復雜，包括系統外網、系統內網及互聯網，安全邊界區域安全的建設需要從如下幾個方面考慮。

（1）訪問控制。對廣播發送系統的內網和外網、內網不同區域間進行分割，對不同區域之間的實現訪問控制，通過對數據包的源地址、目的地址、源端口、目的端口、網絡協議等參數進行分析，可以實現對網絡流量的精細控制，把可能的安全風險控制在各自相對獨立的區域內，有效避免安全風險的大規模擴散。可以采用安全設備有物理隔離、防火墻、網閘、可管控防火墻等技術。

（2）身份鑒別。訪問的內網用戶，需要對他們的網絡應用行為進行管理，包括進行身份認證、對訪問資源的限制、對網絡訪問行為進行控制，以及使用傳輸介質的身份鑒別等。

（3）攻擊防范。TCP或IP 協議具有開放特性，從協議角度缺少足夠的安全特性，給廣播發送系統帶來了安全風險，常見的威脅有IP地址竊取、IP地址假冒、網絡端口掃描以及拒絕服務攻擊等。在安全邊界必須提供有效的檢測和防范措施，采用安全設備有入侵檢測、入侵防御系統的技術。

（二）安全計算環境

廣播發送系統信息平臺的安全計算環境主要由業務終端、管理終端、應用服務器、數據庫服務器及應用系統本身構成。安全計算環境內容，包括操作系統和數據庫管理系統所提供的安全功能。

（1）統一管控。為了廣播發送系統的網絡環境安全，需要對全體的操作終端和服務器實現統一管控。對業務終端系統，可以采用安全方式進行結構化保護；對服務器系統和數據庫系統，采用安全管控器方式進行結構化保護。安全管理平臺對分布在內部計算環境的各種業務終端、管理終端、應用服務器和數據庫服務器進行統一監控和管理。

（2）安全審計。廣播發送信息系統、操作終端、服務器的操作系統及數據庫系統，配置并啟用操作日志功能。同時，安全管理中心的日志審計系統，將操作系統、數據庫、業務系統的日志信息收集，并進行集中審計，為管理員進行分析提供便利。

（3）應用安全。現有應用安全的基礎上，針對廣播發送信息系統核心業務的安全需求，采取防護措施保障。主要包括對身份鑒別、訪問控制、數據傳輸、安全審計等層面進行控制，構建應用安全系統整體的保護策略。

（三）網絡和基礎設施

（1）安全通信網絡。廣播發送信息系統的安全通信網絡防護系統負責保證安全系統在通過網絡進行跨域訪問時的安全，同時防止外部網絡非法訪問內部安全系統，通信網絡傳輸安全主要是保密性、完整性和抗抵賴，這個功能可以通過加密傳輸來實現，而且能夠阻止網絡入侵行為，采用安全管理中心的通信網絡監控模塊予以實現（圖1）。

（2）物理安全基礎設施。對于廣播發送信息系統的物理安全基礎設施的建設，應從如下幾個方面來規劃和考慮：

第一，嚴格控制機房的出入，包括根據廣播發送信息系統的安全級別來安排機房訪問層次劃分，部署門警系統、部署視頻監控系統來防止對物理機房的非法訪問。

第二，電力系統的保護，保障系統的持續電力供應系統，配備合適功率的UPS電源，達到一類供電標準，同時對電力的布線嚴格按照相關標準執行，加裝電力監測系統，有效的對電力系統實時監測。

第三，物理線路安全保護，對于物理線路的安全保護是保證信息系統持續安全、運行的關鍵， 需要建立防電磁泄漏系統以及物理線路的備份保護等。

結束語

總而言之，由于社會主義現代化建設的不斷發展完善，計算機、互聯網等現代化設施已經走進了千家萬戶，在各行各業中都得到了廣泛應用。廣播發送平臺作為技術運用的主要方面，更是受到了社會各界的關注。為了保證信息的快速安全傳遞，提升信息的有效性，我國廣播單位一定要構建信息安全防護的有效體系，完善安全邊界、營造安全環境，并健全相關網絡和基礎設施，為廣播事業的發展作鋪墊。

參考文獻

[1] 江龍才.電網企業信息安全防護體系研究與應用[A].安徽省電力公司、安徽省電機工程學會.第一屆電力安全論壇優秀論文集[C].安徽省電力公司、安徽省電機工程學會：2008：6.

第5篇：企業信息安全防護體系范文

【 關鍵詞 】 郵件系統；信息安全；郵件通訊安全；Coremail郵件系統

How to Ensure the Safety of E-mail Messages

Deng Chu-yan

[Mailtech Information Technology （Beijing） Co.，Ltd. GuangdongGuangzhou 510305]

【 Abstract 】 E-mail， as a data carrier， envolves a lot of valuable information and data. Once the mailbox is hacked， it will directly cause adverse consequences of corporate finance， information security， enterprise image and personal privacy. Coremail mail system focus on email for 15 years， and successfully develope Email information security solutions， at aspects of data storage， email delivery， login， anti spam， anti-virus， data management etc.

【 Keywords 】 mailing system； information security； e-mail communication security； coremail e-mail system

1 引言

電子郵件作為數據信息的載體，承載著很多有價值的資料和數據。尤其是大數據時代，郵件數據的價值越來越高，很容易遭到黑客覬覦。一旦郵箱被盜，將直接對企業經濟安全、企業機密安全、企業形象和個人隱私造成不可預估的損失。

因此，安全的電子郵件系統在企業信息化建設中，發揮著巨大的推動作用，并獲得越來越多企業和政府機構用戶青睞和關注。調查數據顯示，安全的電子郵件系統在企業信息化和電子商務中擁有龐大的發展潛力。

2 常見的電子郵件泄密途徑

近幾年來，從國家政府到民間企業，郵件安全事故層出不窮。常見的電子郵件泄密途徑有幾種形式。

1）傳輸過程泄密：普通郵件傳輸的過程是明文的，如果沒有對傳輸通道進行安全防護，黑客可用技術手段切斷傳輸、攔截郵件。

2）內容泄密：由于普通郵件是明文存儲，所以黑客一旦攔截到郵件，就可獲得所有郵件內容。

3）用戶名和密碼泄密：使用弱密碼、密碼明文存放、網絡釣魚、木馬等病毒軟件和程序漏洞很容易造成密碼的泄露。

因此，郵件信息安全事故頻發的本質原因是沒有對數據進行全方位安全防護。要確保郵件數據安全，郵件系統服務商應該從郵件生命周期著手，采取防御措施，解決郵件安全問題。

3 基于郵件生命周期的安全防護體系

除了系統自身堅固的安全防護，盈世Coremail郵件系統從用戶需求和實際業務應用著手，從存儲、登錄、傳輸、反垃圾、管理、防御的郵件信息生命周期著手，保障郵件信息安全。

3.1 用戶登錄行為安全防護

3.1.1 多層次密碼策略

大多數情況下，郵件泄密是由于用戶使用簡單密碼引起的。為了提升用戶的安全意識，Coremail郵件系統對用戶登錄密碼設置采用了多層次密碼策略功能。

弱密碼策略：提供弱密碼檢查工具，找出使用弱密碼的用戶。通過弱密碼策略，提高用戶密碼強度，使得郵箱賬號難以被猜測。

密碼有效期：某一特定時間后，強制郵箱用戶修改密碼才能繼續使用郵件。

防猜密碼：用戶被猜密碼超過頻率限制時，出現圖形驗證碼和IP賬號自鎖定，需輸入正確密碼和驗證碼后方可解鎖。

3.1.2 登錄異常提醒

Coremail可實時查詢最近14天的歷史登錄記錄，包括登錄IP、時間、何種登錄方式及是否登錄成功。如果用戶的郵箱在非法IP地址登錄過，系統會自動發出提醒，讓用戶確認上次登錄是否安全。一旦用戶發現任何異常，就可以及時核對登錄信息，并更改郵箱密碼，保障郵箱的安全。

3.2 郵件收發安全管控

3.2.1 反垃圾反病毒防護

病毒郵件、垃圾郵件是黑客慣用的郵箱攻擊手段之一。作為支持網易全系列品牌郵箱和眾多政府高校企業客戶的郵件系統，Coremail設置了百萬探針郵箱，擁有全國千萬級IP信譽機制，采用二十多種反垃圾郵件技術，同時還嵌入反病毒模塊，最大限度地確保郵件內容安全。同時還有全國最大的CAC反垃圾運營中心，能夠對最新垃圾郵件樣本進行實時分析，以智能算法學習+人工嚴格審核雙重服務機制，大幅增強對可疑郵件的過濾判定。

3.2.2 郵件監控與審核

電子郵件作為企業商業信息的重要載體之一，對整個企業的電子郵件信息資源進行有效的管制將十分必要。Coremail從企業的具體需求出發，提供郵件監控和審核功能，使企業能有針對性地加強郵件收發內部控制管理。

3.2.3 郵件密級

Coremail郵件系統可提供郵件密級功能，用戶的密級與郵件、附件密級對應，密級低的人員均不可查看密級高的郵件和附件，確保信息的安全。密級共分五級：公開

3.2.4 郵件加密

Coremail提供采用獨家算法的郵件加密解密中心。在發送重要或郵件時，可以添加郵件獨立密碼，收件人需通過密碼解鎖才能讀取郵件正文和附件。就算黑客跟蹤收件人的郵箱，也無法直接看到郵件內容，保證信息安全。

3.3 郵件數據傳輸安全防護

保護用戶電子郵件隱私不被情報機構獲取需要加密技術的支持，但大部分郵件供應商不支持端到端加密技術。目前， Coremail是支持“端對端傳輸加密”的郵件系統。在郵件傳送、投遞過程中，Coremail通過CMTP私有協議對郵件內容進行加密和重新編碼，所以就算郵件內容被掃描、被攔截，也不致泄密。雖然Coremail私有協議CMTP僅支持使用Coremail郵件系統的服務器端傳輸，但因為Coremail覆蓋6億終端用戶，能最大程度地實現“端對端”安全傳輸。

3.4 郵件信息管理

由于郵件歸檔系統的數據比較敏感等特點，為此，Coremail針對性地提出管理員、郵件審計員和安全監察員分權操作的業務管理模式，使得企業相關部門各司其職，郵件歸檔系統可真正安全的應用起來。

基于郵件生命周期的安全防護體系，是對用戶登錄、郵件數據本源、數據傳輸通道、數據管理等進行層層防護，最大程度地避免網絡病毒、黑客入侵等行為導致的郵件信息安全問題。與此同時，我們應該看到網民安全意識不足也是郵箱安全問題層出不窮的重要原因，因此網民安全意識亟待提高。

第6篇：企業信息安全防護體系范文

關鍵詞：智能電網 信息安全 防護體系 可信平臺

中圖分類號：F49 文獻標識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網建設步伐的推進，更多的設備和用戶接入電力系統，例如，智能電表、分布式電源、數字化保護裝置、先進網絡等，這些設備的應用使電網的信息化、自動化、互動化程度比傳統電網大大提高，它們在提升電網監測與管理方面發揮了重要作用，但同時也給數據與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網公司數據中心的服務器，有可能造成客戶信息泄露或數據安全問題，嚴重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環境下使用電網的服務，成了當前電網信息安全建設的重要內容之一。

2 電力企業信息安全建設的關鍵問題

云計算技術在電力企業的業務管理中已經逐步得到應用，另外，隨著技術的成熟和商業成本的降低，基于可信計算平臺的網絡應用獲得了迅猛發展。如果在電網業務管理體系中將可信計算與云計算結合起來，將會使電網的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。

在可信計算環境下，每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內置密鑰，在模塊間能夠構成一個天然的安全通信信道。因此，可以將廣播的內容放在可信平臺模塊中，通過安全通信信道來進行廣播，這樣可以極大地節約通信開銷。

智能電網的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調度運維層四個層次。那么，智能電網的信息安全就必須包括物理安全、網絡安全、數據安全及備份恢復等方面。因此，其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。

3 智能電網信息防護體系框架

3.1 數字證書體系

數字證書體系CA是建設一套符合國家政策要求的電子認證系統，并作為電力企業信息化建設的重要基礎設施，實現各實體身份在網絡上的真實映射，滿足各應用系統中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統主要包括根CA系統、CA簽發系統、RA注冊管理系統、KM系統、證書狀態查詢系統和LDAP目錄服務系統，總體結構如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業提供集中的終端（桌面）綜合安全管理的桌面管理產品，打造一個安全、可信、規范、健康的內網環境，如圖3所示。

該體系能滿足用戶：確保入網終端符合要求；全面監測終端健康狀況；保證終端信息安全可控；動態監測內網安全態勢；快速定位解決終端故障；規范員工網絡行為；統一內網用戶身份管理等。

3.3 等級防護體系

此外，在設計信息安全體系時，還需要針對電力企業的業務應用系統，按照不同的安全保護等級，設計信息系統安全等級保護方案，如圖4所示。

根據國家關于《信息系統等級保護基本要求》中關于信息安全管理的規定，該體系應該包括物理安全、網絡安全、主機安全、應用安全、數據安全等方面。

4 結論與展望

本文將電力云技術與可信計算結合起來，設計了面向智能電網的信息安全防護體系框架，從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結合，不斷完善信息安全方案，使電網做到真正的智能、堅強。

（基金項目：中央高校基本科研業務費專項資金項目（11MG50）；河北省高等學校科學研究項目（Z2013007））

參考文獻：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網技術綜述[J].電網技術，2009，33（8）：1-7.

[2] 國家電網.關于加快推進堅強智能電網建設的意見[N].國家電網報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網信息系統體系結構研究[J].計算機學報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統實例與研究現狀[J].軟件學報，2009（5）：1337-1348.

第7篇：企業信息安全防護體系范文

 

隨著現代信息技術的發展，自動化和現代通訊技術開始在供電企業的電網中不斷應用，實現了供電企業信息傳輸的準確、及時，提高了供電企業的企業職工的工作效率。但是現代信息技術的應用也給供電企業帶來一定的風險因素，由于現代信息技術在電網中的應用等級和應用程度不同，因此其存在隱患的等級也就有所差別，將各種級別的業務系統混合進行處理將會導致各種問題。因此必須本著高性能、高安全、標準化的原則設計調度數據信息系統。

 

1 調度數據信息系統的重要性

 

隨著電力市場的市場化趨勢，整個電力市場中的電力調度中心、電力監控中心、變電站和用戶之間的數據交換日益頻繁，電力系統的電網組成也日益復雜，不同級別的業務系統也日益增多，這就為黑客、病毒等對整個電力系統的攻擊日益頻繁，增加大面積停電的風險及二次系統崩潰的風險。因此必須加強對電力調度數據信息系統的安全性建設，加強二次系統的安全防護措施，保證供電企業電力系統的正常運行。

 

2 調度數據信息系統面臨的風險因素

 

2.1 信息泄露或者數據破壞

 

在調度數據信息系統工作的過程中，其業務處理數據存在泄露的風險，其丟失方式為：數據在傳輸過程中丟失;數據的存儲介質發生丟失或泄露;數據被以非法手段竊取，惡意對數據進行刪除、修改、插入;系統設計時缺乏隱蔽通道等。

 

2.2 系統管理人員缺乏安全意識[1]。

 

在整個調度數據信息系統工作的過程中，系統管理人員的安全意識是系統安全中最重要的一環。但是在實際工作中，系統管理人員缺乏相應的安全意識，安全管理措施不到位，口令選擇隨意性較大，隨意將自己的賬號密碼透漏給他人，經常與他人共享相關資源，致使系統存在較大的安全隱患。

 

2.3 系統存在設計漏洞

 

供電企業電力系統的設計程序復雜，技術要求較高，這就使得整個電力系統存在一定漏洞，調度數據信息系統的設計也不可避免的存在一定的問題，這些設計漏洞則成為網絡安全攻擊的主要目標。另外，系統還存在一些易被他人利用的附加服務，這也是網絡安全攻擊的重點。一旦網絡攻擊入侵整個調度數據信息系統，將會對整個電力系統產生巨大破壞力和影響力。

 

2.4 操作及配置錯誤

 

這主要表現在對調度數據信息系統的結構和設計參數缺乏系統的研究，缺乏對系統整體功能的深入了解。在系統運行的日常監控中，系統操作隨意性較大，提高了系統網絡安全的風險性。由于調度數據信息系統是一個復雜的系統，系統整個功能的設計也是一個相對復雜的動態的設計過程，容易發生系統配置錯誤，這也會加劇系統網絡安全的風險[2]。

 

3 二次安全防護在調度數據網的應用

 

調度數據信息系統在運行過程中會遇到各種各樣的風險，一旦系統發生運行故障，會造成電力企業整個電力系統的運行故障，嚴重者可能會誘發重大安全事故，給電力企業及用戶造成重大損失。因此采取相關的有效措施，切實解決這一問題，其中最主要的措施就是建立二次安全防護。

 

3.1 實現制度安全的防護體系的建立

 

為保證調度數據信息系統的穩定安全運行，必須建立起恰當的安全防護體系，這一安全防護體系包括三個方面的內容，即應用安全防護體系，網絡安全防護體系，制度安全防護體系，而制度安全防護體系更是貫穿于整個安全防護體系。制度安全防護體系的主要作用是建立完善的系統保障制度，實現系統的制度化管理，如操作安全、應急反應等，并建立有效的措施，確保系統保障制度的落實。在系統保障制度落實后，不同的網絡單位的相關部門也必須通過相應的信息安全措施加強對調度數據信息系統的管理，建立審計制度，提高調度數據信息系統的安全意識。

 

3.2 實現調度數據信息系統的縱向加密認證

 

調度數據信息系統的縱向加密認證是通過特定的加密認證的裝置實現的，其加密認證裝置放置于各級調度中心，根據電力企業的實際調度需求建立相應的加密隧道。加密認證裝置可以實現電力企業電力系統專用通信協議轉換功能，實現對調度數據信息系統端到端的選擇性保護，具體體現在如下兩點：首先是為電力需求量較大的地區提供電力傳輸網絡屏障，防止網絡安全事件發生;其次是為電力企業下屬網絡單位提供認證和加密的功能，保證單位之間信息傳輸的完整性和安全性。

 

3.3 實現對調度數據信息系統縱向邊界的保護

 

在進行數據調度過程中，所有傳輸的數據都必須經過系統的縱向邊界，該區域也是整個系統中最薄弱的環節，是最容易受到網絡攻擊的環節。為保證系統縱向邊界的安全，應該在特定的網絡路由器及交換機兩部分之間設立安全防護裝置，如縱向加密，防止外界的入侵，起到保護網絡安全的作用。另外，通過縱向加密認證后，可以拒絕外部的大部分攻擊，同時還可以實現對系統異常運行數據和外部威脅的實時監測。縱向加密這種安全防護措施相當于現代的門衛，一旦發生外部入侵，其檢測措施可以在第一時間進行檢測，并根據其自身的結構特點制定出相應的防御措施。

 

3.4 加固審計策略

 

在進行網絡安全防護措施時，除建立必要的防護措施外，還應該建立相應的事后處理機制，保證系統的事后跟蹤能力，保證系統可以實現對用戶的連接，例如端口的連接、IP地址的連接等，實現對用戶信息的詳細全面記錄，保證安全防護體系的安全威脅的追溯能力，為今后數據信息分析提供現實依據。安全防護系統本身具有Syslog功能，該功能可以實現對重要信息的記錄。一般而言，網絡設備應該具有相應的安全審計能力，便于系統網管服務器實現設備日志的管理，實現對設備日志的存儲區分。另外，越來越多的科學技術開始應用到電力企業的電力系統中，如智能變電站，其主要作用是對整個電力企業的線路進行調節，只有實現對整個電力企業線路的有效調節，保證線路的穩定性，才能促進電力的快速穩定發展。但是智能化變電站在運行過程中也需要大量傳輸數據，其數據安全性決定著智能化變電站的工作效率、智能變電站的運行安全及整個電力系統的安全性，因此也必須使用二次安全防護措施進行保護，保證數據的安全，保證其運行安全和整個電力系統的運行安全。

 

4 結束語

 

隨著現代信息技術的發展，電力企業的電力調度效率和服務質量明顯提高，但是也給電力企業帶來一定的風險。在整個電力企業電力系統中，調度數據信息系統具有極其重要的作用，因此其調度數據信息系統的設計必須秉持經濟、高效、安全的原則，發揮系統的安全性、可靠性和標準性特點，保證電力企業電力系統的穩定運行。

第8篇：企業信息安全防護體系范文

關鍵詞：病毒；防護；安全體系；架構設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）11-2494-03

隨著信息技術與網絡技術的不斷發展，計算機病毒已發展成為危害企業正常運行的一大問題。根據美國《金融時報》報道，現在平均每20秒就發生一次入侵計算機網絡的事件，超過三分之一的互聯網被攻破。國內百分之八十的網絡存在安全隱患，百分之二十的網站有嚴重安全問題。計算機病毒不僅會造成人力資源與物質資源的浪費，還會隨著病毒的傳播演化，形成一個社會化問題，對社會穩定與國家安全構成了極大的威脅。因此，從計算機病毒特點出發，利用已有的安全體系研究方法，對計算機病毒的防護架構展開分析與設計，不僅能夠增強企業的自我防護能力，而且對病毒在整個社會范圍內的肆意傳播起到有力的制約作用，具有十分重要的意義。

1 計算機病毒特點

研究表明[1]，對當前網絡安全危害最大的威脅為計算機病毒，它將會造成網絡通信阻塞、文件系統破壞、甚至重要數據丟失等嚴重后果，給企業與個人帶來重大的財產損失。為了更為清晰地認識與理解計算機病毒帶來的安全風險，我們首先對計算機病毒的特點展開剖析。一般而言，計算機病毒會附著在宿主程序的可執行文件中，隨著宿主程序的運行開始執行病毒程序，并且它們具有自我繁殖與網絡繁殖功能，在不斷傳播的過程中加劇破壞程度。傳統的計算機病毒具有以下特征：（1）可以感染可執行代碼的程序或文件；（2）能夠通過網絡進行病毒傳播；（3）會造成引導失敗或破壞扇區，引發硬盤的格式化；（4）消耗計算機內存，減緩計算機運行速度；（5）躲避防毒軟件，具有較強的隱蔽性。

隨著計算機病毒的不斷發展，傳統的計算機病毒威脅也日趨復雜化與智能化，其對網絡安全造成的危害也在不斷加大，我們將這種新型的威脅稱為混合型威脅[2]。混合型威脅綜合了病毒傳播與多種黑客技術，能夠自動發現與利用系統漏洞，并通過系統漏洞進行病毒的快速傳播與感染。與傳統病毒相比，具有混合型威脅特性的病毒具有以下特征：（1）傳播速度更快，混合型威脅病毒傳播速度極快，通常在幾個小時甚至幾分鐘內感染整個網絡，致使網絡癱瘓；（2）侵入性與隱蔽性更強，混合型威脅病毒引入了自動化的漏洞發現與利用技術，使其更容易侵入計算機，并具有很強的隱蔽性；（3）破壞程度更大，混合型威脅病毒能夠智能地利用計算機漏洞，且伴隨著木馬程序，在傳播過程中形成大規模的DDOS攻擊，破壞性與危害性得到進一步提升。2001年7月爆發的紅色代碼（Code Red）就是該類病毒的典型代表，其集成了多種黑客技術，例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等，給互聯網用戶帶來了極大的沖擊。2009年爆發的震網（Stuxnet）病毒[3]則主要針對伊朗的核設施實施攻擊，該病毒同時利用微軟和西門子公司產品的7個最新漏洞，可以繞過安全產品的檢測在短期內不被發現。即使被發現之后三年之久，“震網”病毒仍然困擾著軍事戰略家、計算機安全專家、政治決策者和廣大民眾。

由此可見，計算機病毒防護是企業網絡安全亟需解決的首要問題，如何構建合理的計算機病毒防護架構，增強計算機系統和網絡系統的安全性已成為人們關注的焦點。

2 企業安全體系中的病毒防護架構設計

2.1 企業安全體系內容

企業安全體系是指企業在進行信息采集、信息傳播、信息處理、信息存儲和信息運用過程中，能夠保證信息安全性、完整性、可用性、真實性和可控性等方面的基礎設施與保障措施[4]。企業安全體系內容主要包括三個方面，即人員、制度和技術，三者既相互聯系又相互制約，形成了一個不可分割的整體，具體描述如下：

1） 人員。人員是企業安全體系中最薄弱的環節，根據信息安全防護鏈分析，人通常是造成企業信息泄露和信息丟失的主要因素。因此，企業安全體系首先解決的威脅不是外部，而是企業內部人員的安防意識與安防能力，加大企業員工的信息安全教育，傳授信息安全技巧，培養信息安全綜合防護能力，是構建企業安全體系的基礎。

2） 制度。制度是企業從日常的工作出發，制定相應的規范與規章，制約企業人員進行安全防護。因此，企業安全體系必須加強規章制度的制定與實施，明確安防責任人，規定安防控制措施與獎懲措施。例如，制定《企業系統安全管理規定》、《企業應急處理管理規定》、《企業數據安全規范管理方法》、《企業密碼體制管理辦法》、《企業病毒防護手冊》等一系列規章制度。此外，企業還需加大監管力度，以制度為依據約束與管理員工，完善企業安全體系建設。

3） 技術。技術是企業安全體系的核心與基本保障，只有建立一套安全穩定的信息安全技術體系，才能夠保證企業信息化辦公的安全運行。此處的安全技術主要包括身份鑒別技術、病毒防護技術、訪問審計技術、網絡安全技術、數據加密技術等一系列信息安全技術，同時，企業還需要訂購與部署一些相關安全產品，例如企業網絡防火墻、病毒防護軟件、VPN設備、入侵檢測設備等。

2.2 企業病毒威脅分析

根據企業安全管理的實際情況，我們可以對病毒威脅劃分類型，從而為病毒防護架構設計提供技術支撐。

企業病毒威脅大致可以分為邊界威脅、內網威脅、數據威脅以及遠程接入威脅四類，具體描述如下：

1） 邊界威脅。邊界是指企業內部網絡與互聯網等外部網絡之間的銜接區域，如果病毒防護措施不理想，病毒很容易通過邊界區域進入企業的內部網絡，對企業造成極大的危害，因此，邊界威脅是企業信息安全建設面臨的首要威脅。

2） 內網威脅。內部威脅是指病毒對企業內部網絡節點造成的威脅，主要包括系統漏洞威脅、Web服務漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業內部節點數目眾多、病毒威脅多樣，因此，內網威脅很難實現全面與有效防護。

3） 數據威脅。數據威脅是指病毒對企業內部的數據庫造成的威脅。由于企業的數據中心是企業內部信息傳輸與交換最為密集的地方，一旦遭到攻擊將會對企業帶來巨大的損失，因此，數據威脅是企業信息安全建設必須重點考慮的一項威脅。

4） 遠程接入威脅。由于現代化的企業一般會建立異地分支機構，在總部與分支建立網絡連接時大都采用具有保密性的網絡連接技術，例如VPN技術。病毒對該類加密技術也會產生一定的威脅，當遠程接入的VPN遭到病毒攻擊，企業內部網絡將會產生較大的損失，因此，該類威脅也是企業信息安全建設必須考慮的一項重要威脅。

2.3 病毒防護架構設計

根據企業安全體系主要內容，針對病毒對企業帶來的各類威脅，該文提出了一種新型的病毒防護架構，如圖2所示。

企業病毒防護架構包括縱向的防護內容與橫向的威脅類型。針對不同的威脅類型，在“人員―制度―技術”三個不同的層面進行分析與研討，并給出相應的解決方案。該防護架構具體描述如下：

a）邊界―人員：組織邊界網絡管理人員進行專業培訓，使其掌握邊界網絡的病毒防護知識，熟練邊界網絡防護設備的操作與應用。

b）內網―人員：組織全體員工進行病毒預防知識培訓，加強病毒防護意識，減少木馬、蠕蟲等病毒進入內網的潛在危險。

c）數據―人員：組織數據管理人員進行病毒防護培訓，使其掌握數據庫入侵知識、病毒攻擊手段以及應急處理方法等多種防護技能，熟練防護設備的操作與應用。

d）遠程接入―人員：組織負責遠程接入的管理人員進行專業培訓，掌握針對VPN連接的加密體制、用戶權限管理方法、病毒攻擊手段以及應急處理方法。

e）邊界―制度：建立企業邊界網絡管理規章制度，明確值班人員的工作職責、病毒防護手冊、獎懲制度，約束網絡管理人員行為，減少失誤，確保邊界網絡安全。

f）內部―制度：建立企業員工的病毒防護制度，建立監督機構，依據規章制度規范企業員工的病毒防護措施。

g）數據―制度：建立企業數據中心管理規定，明確數據管理人員的工作職責、病毒防護措施以及應急處理方法，按照制度規范各項操作。

h）遠程接入―制度：建立遠程接入管理規定，規范遠程接入操作，減少因操作失誤造成的病毒侵入與攻擊。

i）邊界―技術：針對邊界病毒威脅，企業應該對安全設備集成AV防護模塊，或者部署硬件防病毒墻，從而可以有效阻止病毒侵入內網，而且在網絡邊界應增加URL過濾功能，對一些已知的病毒載體網站（掛馬網站或不健康的網站）進行地址過濾，減少病毒隱患。

j）內網―技術：針對內網威脅，應建立兩級病毒防護機制，即企業級的病毒防護中心與個人版的病毒防護系統。企業級的病毒防護中心負責整個網絡的病毒防護，為個人提供殺毒軟件更新服務；個人的病毒防護系統則利用殺毒軟件、軟件防火墻進行病毒防護，且定時更新軟件系統，做到個人計算機系統、軟件應用等實時防護。

k）數據―技術：針對數據威脅，應在數據中心建立硬件防火墻，對安全信任網絡與非安全網絡進行隔離，并且設置針對DDOS攻擊與病毒攻擊的防御軟件與設備，例如，殺毒軟件、具有高性能檢測引擎的入侵防御系統等，具體的防護技術可以詳見參考文獻[5]。

l）遠程接入―技術：針對遠程接入威脅，應加強VPN連接的用戶訪問權限管理，減少無關人員的侵入與破壞，并且加入防病毒軟件，監測連接的安全性。

與傳統的計算機病毒防護架構不同，該文提出的防護架構更為合理，其不僅局限于局部的技術架構，而且關注了更為高層的制度與人員的安全防護能力，為企業全面推進病毒安全防護體系建設提供可靠指導。

3 結束語

隨著計算機病毒的復雜性、智能性與危害性不斷提高，企業病毒防護能力已發展成為企業信息化建設中的一個重要問題。該文首先對計算機病毒的特點與發展趨勢展開分析，隨后利用企業安全體系內容（人員，制度，技術），結合企業潛在的病毒威脅，提出了病毒防護框架及其相應的解決方法。該框架能夠有效指導企業病毒防護建設，為企業的網絡利用及信息化辦公提供保障。

參考文獻：

[1] 周子英.某集團網絡信息安全體系的構建[J].計算機應用與軟件， 2009， 26（12）：273-277.

[2] 趙聰.完善網絡安全體系，全面提升信息網絡病毒防護水平[J].天津科技，2009，36（4）：82-84.

[3] Robert McMillan.Siemens： Stuxnet worm hit industrial systems[R].ComputerWorld，Septemper 14， 2010.

第9篇：企業信息安全防護體系范文

1.1安全防御意識缺失

企業內部人員并沒有充分認知到網絡安全防護的重要性，安全防護意識存在很大程度的缺失。隨著數字化技術的普及，網絡辦公方式將逐步實現數字化，辦公模式網絡化將會致使企業內部人員對自動化技術產生高度依賴性。但是企業內部人員并沒有對網絡安全防護工作給予高度重視，很多企業內部的防御系統都存在陳舊老化的現象，沒有對網絡防御系統進行及時更新，網絡建設沒有足夠的資金支持，沒有針對網絡安全構建完善的防護機制；面對網絡惡意破壞，企業內部的網絡系統并不具備良好的抵抗能力，一旦遭受破壞，將會很難進行維修；企業領導者并沒針對網絡安全開設相應的管理部門，也沒有配備專業人員對網絡系統進行信息安全監管。

1.2網絡非法入侵

企業網絡系統存在較多漏洞，網絡黑客將會利用這些漏洞非法入侵企業內部網絡系統，繼而篡改企業信息資源、下載企業重要資料，致使企業內部商業機密出現損壞、丟失或是泄漏等問題，會對企業的生存與發展造成巨大的不良影響。除此之外，網絡黑客還可以利用網絡系統漏洞，冒充他人，在網絡上進行非法訪問、竊取商業機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為，對企業的信息化網絡工程建設造成非常大的威脅，是企業實現信息化建設的主要障礙性因素。

1.3網絡病毒

網絡病毒可以通過多種途徑對企業網絡系統進行感染與侵害，例如，文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網絡進行傳播，因此網絡病毒的感染范圍非常大，感染效率較快，對企業網絡系統具有較大的危害性。隨著計算機技術的普及，網絡技術在各個領域受到了大力推廣，為網絡病毒的傳播提供了主要途徑，并在很大程度上提高了網絡病毒的感染效率。企業內部人員在使用介質軟件或是數據時，都有可能促使企業網絡系統感染網絡病毒，致使企業網絡系統出現崩潰現象，整個網絡工程處于癱瘓狀態，導致企業網絡系統無法發揮自身的服務功能，會給企業造成嚴重的經濟損失。除此之外，網絡病毒還可以采取其他手段對企業網絡系統進行病毒感染，例如竊取用戶名、登錄密碼等。

1.4忽視內部防護

企業在構建網絡化工程時，將對外工程作為系統防護重點，高度重視安全防火墻技術，并沒有對內部防護工程的重要性形成正確的認知。安全防火墻只能提高企業網絡工程的對外防護質量，對內部防護毫無作用，如果使用企業內的計算機攻擊網絡工程的局部區域，網絡工程的局部區域將會受到嚴重破壞。現階段，內部攻擊行為也被列為企業網絡安全建設的主要障礙性因素之一，因此，企業領導者要高度重視內部防護工程建設，只有這樣，才能確保企業網絡化工程實現安全建設。根據相關調查資料顯示，現階段，我國企業網絡所遭受的安全攻擊中，內部網絡攻擊在中發生事件中占據著非常大的比例，企業內部人員對于網絡安全沒有形成良好的防范意識、網絡結構被無意泄漏、IP地址隨意更改、亂用敏感數據等都會對企業網絡系統內部防護工程造成巨大威脅。

2企業實現網絡安全建設的具體措施

2.1完善網絡安全體系

企業內部人員在構建網絡化工程前，要深入了解網絡信息的安全情況，對網絡信息的需求進行準確把握，具體分析企業內部人員的使用情況以及非法攻擊情況，繼而采取科學合理的措施，開展具有針對性的信息安全管理工作，這樣可以為網絡安全建設提供基礎保障。企業網絡化工程安全性受到影響主要體現在兩方面，分別是外部入侵、內部使用。內部使用是指企業內部工作人員沒有遵照相關規范標準進行網絡操作、信息安全防護意識存在缺失等，致使企業內部信息出現泄漏等現象；外部入侵是指網絡木馬、黑客攻擊以及網絡病毒等。這兩種方式都會對企業網絡安全建設造成巨大的不良影響，會致使企業信息丟失，危害企業的生存與發展，因此，企業內部人員應根據企業網絡化工程的實際使用情況，構建相應的安全體系，企業領導者還要針對工作人員的行為進行標準規范，避免工作人員在實際網絡應用中，出現違規操作行為，提高企業內部人員的安全防護意識，并構建軟硬件防護體系，可以有效抵抗外部入侵，從而保障企業網絡信息的安全。

2.2構建網絡安全系統

現階段，企業在網絡化工程建設過程中，主要采取兩種防護方式構建安全系統，分別是軟件防護、硬件防護。面對現階段科學技術發展對網絡安全建設提出的要求，企業內部人員在構建網絡安全系統時，應該將軟件防護與硬件防護進行有效結合，只有這樣，才能確保企業網絡工程系統實現安全化建設，提高網絡信息的安全性，促使網絡化工程的服務功能得以全面發揮。隨著企業規模的不斷擴大，企業內部人員要想全面提升企業的網絡化工程的防護能力，還要對網絡硬件的使用情況進行深入分析，繼而才能對防火墻服務器標準進行選擇，這樣可以有效提升服務器的可行性。企業內部人員要想構建良好的網絡安全系統，首先要對系統硬件設備進行深入調查，確定系統設備類型，準確把握企業內部人員的實際使用需求，繼而再對防火墻類型進行選擇。

2.3對網絡安全設置進行有效強化

首先，企業內部人員要對企業網絡系統進行充分了解，準確把握其與互聯網之間的接入方式，然后選擇適宜的軟件設備以及防火墻設備，這樣可以促使互聯網與企業網絡化工程之間實現安全接入，有效提升企業網絡工程的防護能力。對于企業原有的防火墻，不應進行拆除，應該在其基礎上構建入侵檢測系統，這樣可以對企業內部網絡工程的運行狀況進行實時檢測，如果有突況，可以進行及時反映，這樣不僅可以為企業內部人員的工作提供很大的便捷性，還能為企業網絡信息安全建設提供技術保障。為了實現移動辦公，企業內部人員可以構建一種加密系統，例如，VPN加密系統，利用該系統，企業內部人員可以通過互聯網對企業內網進行訪問，而不必擔心出現信息泄露等情況，可以有效提升企業網絡安全的防護功效。

3結語