前言:想要寫出一篇引人入勝的文章?我們特意為您整理了企業(yè)辦公信息安全論文范文,希望能給你帶來靈感和參考,敬請閱讀。
企業(yè)辦公的信息系統(tǒng)是基于公司防火墻、服務(wù)器、訪問web、郵件、公司內(nèi)部網(wǎng)絡(luò)、辦公pc機(jī)、數(shù)據(jù)庫、互聯(lián)網(wǎng)技術(shù)及相應(yīng)的輔助硬件設(shè)備組成的,是一個(gè)綜合管理系統(tǒng)。從安全形勢來看,企業(yè)辦公的信息系統(tǒng)存在著嚴(yán)重的威脅。信息設(shè)備提供了便捷及資源共享,但同時(shí)在安全方面又是脆弱和復(fù)雜的,對數(shù)據(jù)安全和保密構(gòu)成威脅。潛在的安全威脅主要有以下方面:信息泄露:信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體;破壞信息的完整性:數(shù)據(jù)未經(jīng)非授權(quán)被增刪、修改或破壞而受到損失;拒絕服務(wù):對信息或其他資源的合法訪問被無條件地阻止;非授權(quán)訪問:某一資源被某個(gè)非授權(quán)的人,或以非授權(quán)的方式使用;竊聽:用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息;業(yè)務(wù)流分析:通過對系統(tǒng)進(jìn)行長期監(jiān)聽,利用統(tǒng)計(jì)分析方法對某些參數(shù)進(jìn)行研究,從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律;假冒:通過欺騙通信系統(tǒng)(或用戶)達(dá)到非法用戶冒充成為合法用戶,或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊;旁路控制:攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱獲得非授權(quán)的權(quán)利;授權(quán)侵犯:被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人,卻將此權(quán)限用于其他非授權(quán)的目的,也稱作“內(nèi)部攻擊”;特洛伊木馬:軟件中含有一個(gè)覺察不出的有害的程序段,當(dāng)其被執(zhí)行時(shí),會破壞用戶的安全;陷阱門:在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”,使得在特定的數(shù)據(jù)輸入時(shí),允許違反安全策略;抵賴:這是一種來自用戶的攻擊,如否認(rèn)自己曾經(jīng)過的某條消息、偽造一份對方來信等;重放:出于非法目的,將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝,而重新發(fā)送;計(jì)算機(jī)病毒:一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序;人員不慎:一個(gè)授權(quán)的人為了某種利益,或由于粗心,將信息泄露給一個(gè)非授權(quán)的人;媒體廢棄:信息被從廢棄的磁碟或打印過的存儲介質(zhì)中獲得;物理侵入:侵入者繞過物理控制而獲得對系統(tǒng)的訪問;竊?。褐匾陌踩锲罚缌钆苹蛏矸菘ū槐I;業(yè)務(wù)欺騙:某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等。
2企業(yè)辦公中的信息安全策略
2.1保護(hù)網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是為保護(hù)企業(yè)內(nèi)部各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機(jī)密性、完整性、認(rèn)證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施如下:全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略;制訂網(wǎng)絡(luò)安全的管理措施;使用防火墻;盡可能記錄網(wǎng)絡(luò)上的一切活動;注意對網(wǎng)絡(luò)設(shè)備的物理保護(hù);檢驗(yàn)網(wǎng)絡(luò)平臺系統(tǒng)的脆弱性;建立可靠的鑒別機(jī)制。
2.2保護(hù)應(yīng)用安全
保護(hù)應(yīng)用安全,主要是針對特定應(yīng)用(如Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、ftp服務(wù)器等)所建立的安全防護(hù)措施,這種安全防護(hù)措施獨(dú)立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊,如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密,都通過IP層加密,但是許多應(yīng)用還有自己的特定安全要求。由于應(yīng)用層對安全的要求最嚴(yán)格、最復(fù)雜,因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。雖然網(wǎng)絡(luò)層上的安全仍有其特定地位,但是人們不能完全依靠它來解決企業(yè)信息系統(tǒng)的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。
2.3保護(hù)系統(tǒng)安全
保護(hù)系統(tǒng)安全,是指從整體信息系統(tǒng)的角度進(jìn)行安全防護(hù),與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián),其安全策略包含下述一些措施:①在安裝的軟件中,檢查和確認(rèn)未知的安全漏洞;②技術(shù)與管理相結(jié)合,使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性。③建立詳細(xì)的安全審計(jì)日志,以便檢測并跟蹤入侵攻擊等。
2.4加強(qiáng)員工的信息安全培訓(xùn)
企業(yè)辦公中,員工在上班時(shí)經(jīng)常進(jìn)行一些與工作無關(guān)的計(jì)算機(jī)操作,不僅影響網(wǎng)絡(luò)速度,更影響系統(tǒng)安全。因此,在整個(gè)企業(yè)辦公中的信息系統(tǒng)管理中,人為因素最重要,必須加強(qiáng)對計(jì)算機(jī)使用者的安全培訓(xùn)。
作者:吳霞 單位:中石油遼河油田分公司特種油公司