企业信息安全隐患及解决方案浅析.doc

1、精品文档就在这里-各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-企业信息安全隐患及解决方案浅析 2006-08-04 10:12 范英磊 上海情报服务平台 我要评论(0) 摘要：企业信息安全解决方案的出现虽然可以有效的遏制住外网的攻击，但对企业内部因人为因素而造成的信息泄漏则是无能为力的。所以企业不能光装上安全系统就高枕无忧了，还要在部门和员工中培养牢固的信息安全防范意识，制定科学而严格的上网操作规范。 标签：企业信息安全隐患 随着信息技术和信息产业的发展，以Internet为代表的全球性信息化浪潮，使得信息网络技术的应用日益普及，应用层次逐渐深入，应用领域从传统的、

2、小型业务系统逐渐向大型、关键业务系统扩展，如党政部门信息系统、金融业务系统、企业商务系统等。越来越多的企业建立了自己的企业网络，并与Internet相联。在网络中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息。这些有的是敏感性信息，有的甚至是国家机密。所以不可避免会受到各种主动或被动的人为攻击，如信息泄漏、信息窃取、数据篡改、数据增删、计算机病毒等。近年来，垃圾邮件日益蔓延，企业网页不时遭到黑客篡改攻击，计算机病毒泛滥成灾，网络信息系统中的各种犯罪活动已经严重危害着社会的发展和企业的安全，给全球的企业造成了巨大的损失

3、。计算机网络犯罪案件急剧上升，已经成为普遍的国际性问题。形形色色的安全问题不仅给企业带来了巨额的经济损失，也严重阻碍了我国的信息化进程。根据国家计算机病毒应急处理中心的调查显示：2003年中国计算机病毒感染率高达85.57%。因此，在企业信息化过程中，加强企业信息安全建设，及时采取相应的防范措施，已成为目前国内企业迫在眉睫的大事。一、企业信息安全隐患当前，企业的信息安全隐患来自于两个方面，即外部的攻击和内部泄密。1、外来的攻击大部分外来攻击可分为三类：闯入、拒绝服务、信息窃取。 闯入最常见的攻击就是闯入，他们闯进计算机里，就向普通合法用户一样使用你的电脑。闯入的手段是比较多的，常见的类型是，利

4、用社会工程学攻击（如：你打个电话给ISP，说你是某个用户，为了做某些工作，要求立即改变密码）。比如一种最简单的方式是猜测用户名的密码，在有些情况下这是比较容易的，有许多一般用户并不太重视自己的密码，或嫌麻烦怕忘记密码而将密码取的容易猜测到，还有一种方法，是搜索整个系统，发现软件，硬件的漏洞（BUG）或配置错误，以获得系统的进入权。 拒绝服务这是一种将对方机器的功能或服务给以远程摧毁或中断的攻击方式，拒绝服务（Denial of services）攻击的手段也是多种多样的，最早出现的大概是叫“邮包炸弹”，即攻击者用一个程序不断地向被攻击者的邮箱发出大量邮件同时还匿藏自己的地址信息，以至于邮件使用

5、者几乎无法处理。甚至导致邮件服务系统因为大量的服务进程而崩溃。而被袭击者也无法确认谁是攻击者。另一些攻击手段是利用软件本身的设计漏洞进行远程攻击，其中比较著名的是微软的OOB(Out Of Bond)漏洞，只要对着运行95或NT的139口发出一个不合法的包，就会导致操作系统轻则断掉网络连接，重则彻底死机或重启。 信息窃取有一些攻击手段允许攻击者即使不操作被攻击的电脑系统也能得到想要的数据。比较典型的是用网络嗅查器(Sniffer)监听网络中的包信息，从中发现有用的信息，如：用户名，密码，甚至付款信息等。Sniffer的工作有点象现实社会里装电话窃听装置一样。在共享式网络环境里，Sniffer是

6、很可怕的，它可以监听大量的网络信息。2、来自企业内部的威胁随着各行各业信息化建设的推进，内部泄密已经成为威胁企业信息安全的最大隐患。FBI和CSI对484家公司的信息安全作了调查，结果发现： 有超过85%的安全威胁来自企业内部 有16%来自内部未授权的存取 有14%专利信息被窃取 有12%内部人员的财务欺骗 有11%资料或网络的破坏 中国国内80的网站存在安全隐患，20的网站有严重安全问题 从上述数据中可以看出：面对来自于公司内部的安全威胁，必要的安全措施对企业是如何重要。而这又恰恰是最容易被企业所忽视的“盲区”。伴随着移动存储设备小型化和电子邮件等通信技术的发展，许多企业、事务所、学校、金融

7、机构、高科技研究所等单位的重要资料很容易流失到网络外部。在信息就是生产力的大竞争环境中，给企业造成无法估计的损失。二、企业信息安全解决方案1、信息安全解决方案的市场需求为了解除内外因素对企业造成的信息安全危机，把由其带来的经济损失降到最低，配备一个适合企业自身且行之有效的网络安全方案就显得迫在眉睫了。仅仅是单纯的网络安全产品已经不能满足企业的网络安全防护需求。企业用户的整体需求要求网络安全产品必须向综合方向发展，那么技术也就必须要朝融合的方向发展。用户需要能够系统地完善和保障自己的网络安全。因此，整体安全解决方案近年来逐渐成为用户的首选，这也是网络安全市场发展的大势所趋。网络安全解决方案市场的

8、出现和发展，既是用户需求带动的结果，也是网络安全领域向全方位、纵深化、专业化方向发展的结果。2、中小型企业网络安全市场潜力巨大赛迪顾问认为：2005年及未来五年，中国网络安全产品市场用户需求空间很大，市场前景广阔，尤其是中小型企业用户的IT应用已经逐渐完善，他们的网络安全防护意识也已经形成，另外网络安全服务市场也基本尚未开发。赛迪顾问建议，政府应当积极为网络安全产业创造优良的发展环境。用户应当进一步加强网络安全防范意识，并采取有效手段切实提高防范能力。厂商则应当规范竞争秩序，在合作竞争中寻求整个安全产业链的发展出路；厂商还要正确引导用户的需求，通过提高自身技术和服务创新能力来提升竞争力，从而树

9、立良好的品牌形象并获得持续发展。3、网络信息安全解决方案的业界最新动态2005年6月，在由计算机世界方案评析实验室（CCW Solution Analysis Lab）主办的2005年优秀信息安全应用解决方案评选中，有14家参选者脱颖而出，获得优秀信息安全解决方案奖。它们是：赛门铁克、联想网御、上海安纵、saftnet china、美讯智 、中联绿盟 、冠群电脑、（中国）冠群金辰、 anay networks、网新易尚 、中创软件、 东软软件、天融信、华勤通信。计算机世界方案评析实验室（CCWSolutionAnalysisLab）是国内知名解决方案评估实验室，此次安全解决方案评选历经1个月时

10、间的筹备，共收集安全解决方案30多个。经过国家信息中心首席工程师/主任宁家骏、国家信息安全评测认证中心总工程师陈晓桦、国家电力调度通信中心总工程师辛耀中等专家团成员的综合评选下，根据计算机世界方案评析实验室专门为信息安全方案横向评估制定的40多项评估指标体系，对不同厂商的解决方案从需求把握、行业知识、设计思路、产品功能特性等方面进行了全方位的衡量。根据量化评分规则，对整体解决方案进行综合评定。在这些获奖厂商中不乏为人熟知的网络安全产品品牌，它们旗下新推出的产品和理念就是引领网络安全市场的风向标，以下介绍几个针对企业信息网络安全应用的解决方案。赛门铁克（Symantec）企业网络防病毒解决方案赛

11、门铁克成立于1982年，是互联网安全技术的全球领导厂商，为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案，旗下的诺顿品牌是个人安全产品全球零售市场的领导者，在行业中屡获奖项。2005年，它推出了一个全方位、多层次的、整体的网络防病毒解决方案。方案中涉及的防病毒产品有：1Norton AntiVirus Enterprise Solution 4.02Norton AntiVirus 7.0 Corporate Edition3Norton AntiVirus 7.0 Corporate Edition for NetWare4Norton AntiVirus 2.5 f

12、or Lotus Notes/Domino(on OS/2, Windows NT, IBM AIX)/(Intel/DEC Alpha)5Norton AntiVirus 2.5 for Microsoft Exchange(Intel/DEC Alpha)6.Norton AntiVirus 5.0 for OS/27.Norton AntiVirus 6.0 for Machintosh8.Norton AntiVirus 5.0 for Windows NT(DEC Alpha)9.Norton AntiVirus 4.0 for NetWare10.Norton AntiVirus

13、1.5 for Firewalls11.Norton AntiVirus 2.5 for Gateways (on Windows NT, Solaris)12.Norton AntiVirus Plus for Tivoli Enterprise and IT Director13.Symantec System Center来源于IT网络结构方面：Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护，尤其是对电子邮件的防病毒，Symantec 具有最全面的解决方案，包括市场上流行的所有邮件系统以及其他的基于Unix平

14、台下的邮件系统。在系统平台支持方面：Symantec对各种操作系统提供全面的支持，如：IBM AIX，Linux，AS/400，OS/390，SUN Solaris，Dos，Windows/3x，Windows 95/98，Windows NT Workstation/Server，Windows 2000，OS/2，NOVELL Netware，Macintosh等。在防病毒技术方面：Symantec采用各种先进的反病毒技术，尤其在对付未知病毒和多态病毒方面，采用了各种先进的技术对其进行查杀，如：启发式侦测技术(Bloodhund TM),神经网络技术，打击技术(Striker32)和防宏病

15、毒技术(MVP)等，因此NAV产品不仅能查、杀各种未知病毒，还能修复被病毒感染的文件。在防病毒软件和防病毒策略管理方面：通过赛门铁克的SSC(Symantec System Center) 赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。在病毒定义码和扫描引擎升级方面：采用模块化(NAVEX)的升级方式，也就是说，用户每次升级都包括最新的病毒定义码和扫描引擎，而且各种NAV产品采用的是同一套病毒定义码和扫描引擎，方便用户病毒定义码和扫描引擎的升级，同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。在技术支持和服务方面：Sym

16、antec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应，并能迅速提供相应的解决方案。如上所述，赛门铁克(Symantec)企业网络防病毒解决方案为企业的网络、系统和应用提供全面的病毒防护。联想网御的“等级化安全体系”业务策略联想网御公司是国内领先的信息安全服务与产品提供商。2005年5月11日，联想网御在北京发布了2005财年的业务策略，将以“等级化安全体系”为核心全面展开。这是国内第一家安全厂商在对国家等级保护相关政策（27号文件和66号文件）及客户应用需求做了深入的理论研究和实践探索的基础上，配合国家安全建设的步骤，率先将该理论作为业务的战略思想。充分显示了联想网御在安全理

17、念、方案、产品、技术的前瞻性和实践积累上已遥遥领先国内其他厂商。长期以来，绝大多数企业并不清楚怎么建设安全系统才是经济合理的，既有在投资时吝惜了一部分钱却造成日后严重信息安全损失的案例，也有“投资千万元保护百万元资产”的事情，而且还不在少数。等级化安全体系对于解决安全建设中的相关问题是一种行之有效的方法，能帮助客户做到心中有数、建设有序、控制有力。”“等级化安全体系”旨在根据不同用户在不同阶段的需求、业务特性及应用重点，根据“定级管理要求建设方案”三步走的原则，利用等级化与体系化相结合的安全体系设计方法，在遵循国家等级保护制度的同时，将等级化安全理念融会到产品、方案及应用中，为客户建设一套覆盖

18、全面、重点突出、节约成本、持续运行的安全保障体系。联想网御还分别针对行业大客户以及中小型客户量身定做了等级化安全体系方案和等级保护方案，并阐述了如何以网御精品构建等级化安全体系，包括联想网御产品研发战略的等级化思路、多NP万兆级防火墙等级化服务平台、SOC安全管理等级化平台等。可谓从方案、产品、技术角度将该方法体系落到了实处。上海安纵的可变基础平台XSTF现在信息安全需要集成这个概念已经普遍为人所认识。然而目前的安全集成还处在初级阶段，往往只是产品的叠加，相互间缺乏标准的通信接口，更为重要的是，还不能与应用紧密地结合起来。因此，用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用

19、的安全解决方案。上海安纵信息科技有限公司研究开发的“XSTF”是一个具有高度标准化、良好扩展性，并与应用紧密结合的可变安全基础平台，将各种“针对特定环境或者特殊用途的安全技术和产品”与“对它们的应用、整合、管理”分离开，从而屏蔽底层安全技术细节，使用户可参与定制与自身业务应用相关的安全系统。同时由于平台的开放性，使系统可以快速整合第三方安全产品，大大提高系统的安全防护能力。用户可以用这个平台对业务应用环境的安全需求建模，选择不同安全组件，统一管理和部署，从而快速有效地定制符合自身应用需求的安全解决方案。整个安全系统是一个“X”模型，而XSTF平台就是其中的汇聚点。向上，它提供针对业务应用的安全

20、系统建模方法和工具，以实现个性化定制的需求。对下，提供安全中间件封装工具和相应技术规范，可以快速将不同类型的安全产品和技术封装成平台可用的安全中间件，从而纳入整个安全系统。此外，加强企业信息安全防范意识尤为重要。企业信息安全解决方案的出现虽然可以有效的遏制住外网的攻击，但对企业内部因人为因素而造成的信息泄漏则是无能为力的。所以企业不能光装上安全系统就高枕无忧了，还要在部门和员工中培养牢固的信息安全防范意识，制定科学而严格的上网操作规范。这样一来，尽管安全隐患是不可能完全消除的，但是通过各种有力措施，却可以将其减到最小程度。从而有利于企业间的良性竞争，推动国家经济的发展。2010年读书节活动方案

21、一、 活动目的：书是人类的朋友，书是人类进步的阶梯！为了拓宽学生的知识面，通过开展“和书交朋友，遨游知识大海洋”系列读书活动，激发学生读书的兴趣，让每一个学生都想读书、爱读书、会读书，从小养成热爱书籍，博览群书的好习惯，并在读书实践活动中陶冶情操，获取真知，树立理想！ 二、活动目标： 1、通过活动，建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动，在校园内形成热爱读书的良好风气。 3、通过活动，使学生养成博览群书的好习惯。4、通过活动，促进学生知识更新、思维活跃、综合实践能力的提高。 三、活动实施的计划 1、 做好读书登记簿 （1） 每个学生结合个人实际，准备一本读书登记簿，

22、具体格式可让学生根据自己喜好来设计、装饰，使其生动活泼、各具特色，其中要有读书的内容、容量、实现时间、好词佳句集锦、心得体会等栏目，高年级可适当作读书笔记。 （2） 每个班级结合学生的计划和班级实际情况，也制定出相应的班级读书目标和读书成长规划书，其中要有措施、有保障、有效果、有考评，简洁明了，易于操作。 （3）中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、 举办读书展览： 各班级定期举办“读书博览会”，以“名人名言”、格言、谚语、经典名句、“书海拾贝”、“我最喜欢的”、“好书推荐”等形式，向同学们介绍看过的新书、好书、及书中的部分内容交流自己在读书活动中的心得体会,

23、在班级中形成良好的读书氛围。 3、 出读书小报： 3、通过活动，使学生养成博览群书的好习惯。B比率分析法和比较分析法不能测算出各因素的影响程度。C采用约当产量比例法，分配原材料费用与分配加工费用所用的完工率都是一致的。C采用直接分配法分配辅助生产费用时，应考虑各辅助生产车间之间相互提供产品或劳务的情况。错 C产品的实际生产成本包括废品损失和停工损失。C成本报表是对外报告的会计报表。C成本分析的首要程序是发现问题、分析原因。C成本会计的对象是指成本核算。C成本计算的辅助方法一般应与基本方法结合使用而不单独使用。C成本计算方法中的最基本的方法是分步法。XD当车间生产多种产品时，“废品损失”、“停工

24、损失”的借方余额，月末均直接记入该产品的产品成本 中。D定额法是为了简化成本计算而采用的一种成本计算方法。F“废品损失”账户月末没有余额。F废品损失是指在生产过程中发现和入库后发现的不可修复废品的生产成本和可修复废品的修复费用。F分步法的一个重要特点是各步骤之间要进行成本结转。()G各月末在产品数量变化不大的产品，可不计算月末在产品成本。错G工资费用就是成本项目。()G归集在基本生产车间的制造费用最后均应分配计入产品成本中。对J计算计时工资费用，应以考勤记录中的工作时间记录为依据。()J简化的分批法就是不计算在产品成本的分批法。()J简化分批法是不分批计算在产品成本的方法。对 J加班加点工资既

25、可能是直接计人费用，又可能是间接计人费用。J接生产工艺过程的特点，工业企业的生产可分为大量生产、成批生产和单件生产三种，XK可修复废品是指技术上可以修复使用的废品。错K可修复废品是指经过修理可以使用，而不管修复费用在经济上是否合算的废品。P品种法只适用于大量大批的单步骤生产的企业。Q企业的制造费用一定要通过“制造费用”科目核算。Q企业职工的医药费、医务部门、职工浴室等部门职工的工资，均应通过“应付工资”科目核算。 S生产车间耗用的材料，全部计入“直接材料”成本项目。 S适应生产特点和管理要求，采用适当的成本计算方法，是成本核算的基础工作。()W完工产品费用等于月初在产品费用加本月生产费用减月末

26、在产品费用。对Y“预提费用”可能出现借方余额，其性质属于资产，实际上是待摊费用。对 Y引起资产和负债同时减少的支出是费用性支出。XY以应付票据去偿付购买材料的费用，是成本性支出。XY原材料分工序一次投入与原材料在每道工序陆续投入，其完工率的计算方法是完全一致的。Y运用连环替代法进行分析，即使随意改变各构成因素的替换顺序，各因素的影响结果加总后仍等于指标的总差异，因此更换各因索替换顺序，不会影响分析的结果。()Z在产品品种规格繁多的情况下，应该采用分类法计算产品成本。对Z直接生产费用就是直接计人费用。XZ逐步结转分步法也称为计列半成品分步法。A按年度计划分配率分配制造费用，“制造费用”账户月末(可能有月末余额/可能有借方余额/可能有贷方余额/可能无月末余额)。A按年度计划分配率分配制造费用的方法适用于(季节性生产企业)-精品 文档-