企业信息安全方案设计

企业信息安全方案设计（通用6篇）

篇1：企业信息安全方案设计

企业网络信息安全解决方案

一、信息安全化定义

企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施，保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了、改不了信息，系统瘫不了、信息假不了、行为赖不了。

二、企业信息安全管理现状

当前企业在信息安全管理中普遍面临的问题：

(1)缺乏来自法律规范的推动力和约束；

(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法；

(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理；

(4)在安全管理中不够重视人的因素；(5)缺乏懂得管理的信息安全技术人员；

(6)企业安全意识不强，员工接受的教育和培训不够。

三、企业信息安全管理产品

建立完善的企业信息安全管理系统，必须内外兼修，一方面要防止外部入侵，另一方面也要防范内部人员泄密可能。所以在选择企业信息安全管理产品时，必须是一个完整的体系结构。目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：用户身份认证，如静态密码、动态密码（短信密码、动态口令牌、手机令牌）、USB KEY、IC卡、数字证书、指纹虹膜等。

防火墙

即访问控制系统，它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

安全路由器

由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

安全服务器

安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

安全管理中心

由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

入侵检测系统（IDS）

入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

入侵防御系统（IPS）

入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

安全数据库

由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

数据容灾设备

数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施，在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。

编辑本段企业信息安全管理对策 1.网络管理

一般企业网与互联网物理隔离, 因而与互联网相比, 其安全性较高, 但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题, 具体而言：

(1)在IP 资源管理方面, 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。这分两种情况实现, 第一种情况是如果客户机连在支持网管的交换机上的, 可以通过网管中心的管理软件, 对该交换机远程实施Port Security 策略, 将客户端网卡MAC 地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管, 则可以通过Web 网页调用一个程序, 通过该程序把MAC 地址和IP 地址捆绑在一起。这样, 就不会出现IP 地址被盗用而不能正常使用网络的情况。

(2)在网络流量监测方面, 可使用网络监测软件对网络传输数据协议类型进行分类统计, 查看数据、视频、语音等各种应用的利用带宽, 防止频繁进行大文件的传输, 甚至发现病毒的转移及传播方向。

2.服务器管理

常见应用服务器安装的操作系统多为Windows 系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一, 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等, 审核的对象可以是DC、Exchange Server、SQL Server、IIS 等。

在组策略实施时, 如果想使用软件限制策略, 即哪些客户不能使用哪个软件, 则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分, 系统软件备份拟利用现有的专用备份程序, 制定一个合理的备份策略, 如每周日晚上做一次完全备份, 然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。

3.客户端管理

对大多数单位的网管来说, 客户端的管理都是最头痛的问题, 只有得力的措施才能解决这个问题, 这里介绍以下几种方法:

1)将客户端都加入到域中, 这一点很重要, 因为只有这样, 客户端才能纳入管理员集中管理的范围。

2)只给用户以普通域用户的身份登录到域, 因为普通域用户不属于本地Administrators 和Power Users 组, 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作, 应通过本地安全策略, 授予他们“关机”和“修改系统时间”等权利。

3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。

5)利用SMS 对客户端进行不定期监控, 发现不正常情况及时处理。

4.数据备份与数据加密

由于应用系统的加入, 各种数据库日趋增长, 如何确保数据在发生故障或灾难性事件情况下不丢失, 是当前面临的一个难题。这里介绍四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低, 保存性最强, 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式, 两台机器系统相互备份, 应用层数据全部放在共享的磁盘阵列柜中, 这种方式能解决单机故障或宕机的问题, 同时又能防止单个硬盘故障导致的数据丢失, 但前期投资较大。第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储, 实现较高级别的磁盘等硬件故障的数据备份, 但是成本较高, 一般不能防止系统层的故障, 如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况, 如物理地“取走”数据库, 在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密, 即以加密格式存储和传输敏感数据。发送方用加密密钥, 通过加密设备或算法, 将信息加密后发送出去。接收方在收到密文后, 用解密密钥将密文解密, 恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文, 从而对信息起到保密作用。

5.病毒防治

对防病毒软件的要求是: 能支持多种平台, 至少是在Windows 系列操作系统上都能运行;能提供中心管理工具, 对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面, 可通过服务器直接进行分发, 尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中, 本单位以一台服务器作为中央控制一级服务器, 实现对网络中所有计算机的保护和监控, 并使用其中有效的管理功能, 如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下, 一级服务器病毒代码库升级后半分钟内, 客户端的病毒代码库也进行了同步更新。

四、企业网络、信息安全解决方案 1）大型企业

大型企业部门林立，相当一部分会在外地有分支机构，业务系统普遍采用建设虚拟专网的方式，起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署，比如防火墙，可以把企业访问互联网的风险降低，但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有意、无意的操作行为，致使业务系统不能正常使用，或者机密数据外泄，对企业的网络安全，信息保密造成很大的威胁，拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患，保障业务系统的政策正常安全运行和企业机密数据的安全。

建议大型企业在网络中部署：防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。

2）中型企业

中型企业基本已具备完整的网络体系，但是企业的信息化技术力量相对大型企业可能薄弱一点，对于员工的上网行为和电脑操作行为可能要求得不会太严格，即使向员工制定了一定的管理制度，也会在制度的执行过程中因为人为的因素而变成一纸空文，所以用硬件设备来保障和规范网络、信息的安全尤为重要，中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。

建议中型企业部署：防火墙、IDS、路由器、上网行为管理、防泄密系统等。

3）小型企业

小型企业在人员规模、基础建设、资金实力等方面都相对落后于大中型企业，但是在发展阶段的小型企业，对网络、信息的安全问题同样不能忽视，目前各式各样的聊天工具、视频网站、网游、P2P下载等，都会直接影响到员工的工作效率，并且占用了大部分的带宽，使得业务系统和正常的工作无法得到保障，且小型企业一般不会配置专业的网管人员，这就是有的小型企业配置了好的电脑，够用的宽带，但是仍然有大部分员工一直抱怨总是不能上网，或者上网太慢，邮件发不出去等问题。从综合实力来讲，小型企业在网络、信息安全方面的投入会比较有限，建议企业配置中低端的安全设备，防火墙，上网行为管理，以研发和设计为主的企业对于防泄密系统的部署还是有必要的。

篇2：企业信息安全方案设计

【摘要】在飞速发展的互联网时代，企业的信息安全尤为重要，短时间的网络中断或者部分的信息泄露，就会给企业造成巨大的损失。为避免信息安全问题的发生，我们应该从企业需求分析，考虑多方面的防护，根据需求采取各种措施，设计多种解决方案，从软件到硬件对企业的信息化网络进行防护，杜绝或减少信息化安全给企业带来的损失。

【关键词】信息安全；网络安全；安全防护；

前言

在日常的企业办公中，总部和各分公司以及出差的员工都需要实时地进行资源共享和信息传输，企业和企业之间的业务来往也是非常依赖于网络。但是由于互联网的通信协议原始设计的局限性和互联网的开放性，信息采用明文传输，导致互联网的安全性问题越来越严重，网络攻击、非法访问、窃取信息等不断发生，给企业的正常运行带来严重的安全隐患，有时会造成巨大的损失。网络攻击，会造成企业的服务器瘫痪；信息窃取，会造成企业的商业机密泄漏，内部服务器被非法访问，会破坏传输信息的完整性或者被假冒；网络病毒，会造成整个公司的服务器被病毒感染，使得公司网络陷入瘫痪，造成公司系统的崩溃。目前的现状是信息和网络技术发展迅速，信息的安全技术相对滞后，用户在引入安全设备和系统时，有些是缺乏培训和学习，有些是对信息安全的重要性与技术认识不足，最终致使安全设备系统没有能够使其发挥最大的作用。比如对某些通信和操作需要限制，管理员没有意识到或是为了方便，设置成全开放状态等等，造成了网络漏洞。

1.企业安全需求分析

根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑

1.1网络传输保护：主要是数据加密，防窃听保护。

1.2密码账户信息保护：对网络银行和客户信息进行保护，防止泄露。

1.3网络的病毒防护：采用网络防病毒系统，对网内一些可能携带病毒的设备定期进行防护与查杀。

1.4侵检测系统：广域网接入部分设置入侵检测系统。

1.5系统漏洞的分析：安装漏洞分析软件和设备。

2.具体措施

2.1重要数据备份：重要数据信息一定做到定期备份

2.2网络安全结构可伸缩性：安全设备的可伸缩性，能根据需要随时进行功能、规模的扩展。

2.3安全审计：主要包括内容审计和网络通信审计

2.4网络设备防雷：埋设地线，做好防雷设施布控。

2.5重要信息点的防电磁泄露：安装好屏蔽设施设备，3.安全解决方案

3.1物理安全和运行安全

企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故，以及人为操作失误或错误，及各种计算机犯罪行为导致的破坏过程。企业的运行安全即计算机与网络设备运行过程中的系统安全，是指对网络与信息系统的运行过程和运行状态的保护。主要的保护方式有风险分析与漏洞扫描、防火墙与物理隔离、病毒防治、访问控制、安全审计、源路由过滤、数据备份、入侵检测等。

3.2选择和购买安全硬件和软件产品

3.2.1硬件产品主要是防火墙的选购。

对于防火墙的选购要具备明确防火墙保护对象和需求的安全等级、根据安全级别确定防火墙的安全标准、选用功能适中且能扩展和安全有保障的防火墙、能满足不同平台需求，并可集成于网络设备中、应能提供良好地售后服务的产品等要求。

3.2.2软件产品主要是杀毒软件的选择。

本方案中在选择杀毒软件时应当注意几个方面的要求：具有优秀的病毒防治技术、程序内核安全可靠、有对付国产和国外病毒的能力、系统资源占用低，性能优越、易管理和使用、集成度高、可调控系统资源的占用率、有便捷的网络化自动升级等优点。

3.2.3网络规划与子网划分组网规则。

规划网络要规划到未来的三到六年。并且在未来，企业的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构，星形连接在用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出，所以选择星形网络最好。

3.2.4网络隔离与访问控制。

网络安全是一个综合的系统工程，是由许多因素决定的，仅仅采用高档的安全产品并不能解决全部问题，对安全设备的管理要求也是非常高的。如果安全产品在管理上是各自管理，很容易因为某个设备的设置不当，造成整个网络出现重大安全隐患。技术员不够专业，上述现象就会更加容易出现；具体企业的维护人员的水平也有差异，配置的差异容易造成错误进而使网络中断。所以，选择安全设备就应当尽量选择可以进行网络化集中管理的设备，这样集成化管理的设备由少量的专业人员对其进行管理、配置，会成倍的提高整体网络的安全性和稳定性。

3.2.5操作系统安全增强。

企业各级网络系统平台的安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患，因此要加强对系统后门程序的管理，对一些可能被利用的后门程序要及时进行系统的补丁升级。

3.2.6应用系统安全。

企业应用的系统安全，首先包括用户进入系统的身份鉴别与控制，使用网络各种资源的权限管理和访问控制，涉及到安全相关的操作一定要进行审计等。用户按等级分类，分为各级管理员用户和各类业务用户。数据库系统、E-MAIL服务、WWW服务、VPN、FTP和TELNET应用中服务器系统自身的安全非常重要，这些系统提供安全的服务也非常重要。本方案中，应用漏洞扫描设备对网络系统进行定期扫描，对存在的网络漏洞、系统漏洞、操作系统漏洞、应用程序漏洞、等进行探测、扫描，发现漏洞及时告警，自动提供解决措施或给出参考意见，及时提醒网络安全管理员作好相应调整。

3.2.7重点主机防护。

为重点主机，堡垒机建立主机防御系统，对于一些重要的资源，我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限，只允许已知的合法的应用程序访问这些资源。

3.2.8连接与传输安全。

由于企业中心内部网络存在两套网络系统，其中一套为企业对内网，内网主要运行的是内部办公、业务系统，生产系统等；另一套是外网与INTERNET相连，通常是通过宽带接入，与企业系统内部的上、下级机构网络相连。跨越INTERNET通过公共线路建立的企业集团内部局域网，通过网络进行信息共享、数据交换。INTERNET本身就缺乏有效的安全保护，信息传输过程中如果不采取相应的安全措施，非常容易受到网络上其他主机的监听而造成重要信息的泄密或被非法篡改的严重后果。所以在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。这样就能有效地避免数据传输过程中面临的安全威胁。

4.结束语

篇3：企业网信息安全建设方案

随着科学技术的高速发展,工业化社会正步向信息型社会,企业资源也由资本转变为信息、知识和能力,市场需求瞬间万变,企业竞争最关键的问题是及时满足客户的需求,甚至了解客户超过了解自己;企业要适应市场、满足客户需求,在世界经济一体化的大潮中立于不败,就必须加大信息化的力度,做精、做实企业内部的信息管理,并依据信息化的要求,完成企业内部的重组,使企业能在当今的竞争中立于不败,并求得更大的发展。

2. 峄化公司网络现状

目前,峄化公司仅少部分计算机接入了互联网,无任何安全防护措施,无法对网络进行管理;公司内部无OA、电子邮件等生产办公应用系统,大部分计算机还处于单机运行状态,无法共享集团公司ERP、短信、网站、医保、工业自动化等系统资源,形成信息孤岛,给公司的生产、办公、管理、信息发布造成极大不便;作为煤化公司下属单位之一,峄化公司现有信息网络不能满足煤化公司ERP系统联网需求。

3. 系统设计目标及原则

3.1 设计目标

峄化公司信息化建设的目标:实现公司内部数据网络互联;实现与集团公司信息资源共享;建设互联网统一出口,实现安全接入;满足煤化公司ERP系统联网需求。

3.2 设计原则

兖矿集团峄化公司信息化建设作为集团公司信息化的一个组成部分,必须与兖矿集团公司信息化设计保持一致,统一标准,统一规划。同时本设计遵循可靠性、安全性、先进性、实用性、可扩展性的基本原则。

4. 系统设计

4.1、光纤路由设计

如图1所示,共设置党群楼中心机房、电修车间、大学生北公寓楼、热电车间4个光缆汇接点。从中心机房敷设48芯的光缆至电修车间,敷设24芯的光缆至热电车间,分别敷设6芯光缆至行政楼、生产楼、化机厂等节点。从电修车间分别敷设24芯光缆至大学生北公寓楼和供水站,分别敷设6芯光缆至质检车间、压缩车间、合成车间等节点,同时,至集团公司总部的24芯光缆汇接于此。

从大学生北公寓楼分别敷设6芯光缆至经营楼、档案室、工程部等节点。从热电车间分别敷设6芯光缆至包装车间、原料车间、车队等节点。厂服中心、曙园、净化车间等小于100米的短距节点采用网线连接。

4.2 网络设计

4.2.1、网络结构

峄化公司数据网络采用星型拓扑结构,中心机房安装一台H3C S5500-52C-EI核心交换机,提供4个千兆光口、48个千兆/百兆电口;行政楼、大学生北公寓楼分别安装一台H3C S3600-28P-EI交换机,分别提供2个千兆光口、24个百兆电口;生产楼、电修车间、热电车间等节点安装H3C S3100-26TP-EI交换机,提供24个百兆口。

核心交换机划分业务vlan,配置路由协议,使用一个千兆端口与集团公司总部互联,使用2个千兆端口分别与行政楼、大学生北公寓楼互联,使用百兆端口通过光电收发器分别与生产楼、电修车间、热电车间等互联。

4.2.2、机房监控系统

机房监控系统包括环境及动力量监控系统和视频监控系统。环境量监控包括机房温度、湿度、门磁、水浸、空调开关状态等。动力量监控包括UPS参数、机房市电有无等量。峄化公司机房监控系统接入兖矿信息中心现有机房监控平台,实现了机房环境量及动力量的实时监控。峄山化工机房人员经过授权,就可通过IE浏览器登录,查看机房环境量实际情况。

5. 企业网的安全

为了确保网络安全能为信息化进一步的建设提供可靠的安全保护,重点在几个方面加以优化。

(1)网内服务器和工作站均应统一安装防病毒和防攻击软件,并使其处于最新版本,关键业务计算机还应安装隔离卡以确保数据安全。

(2)在工控网和办公网之间增加安全隔离设备,严格禁止外网用户直接访问工控网内部工作站。

(3)安全评估。网络安全评估主要是对网络中的各种系统、设备和数据库进行漏洞扫描,找出整个网络系统中最容易受到攻击的环节,对公司数据网的安全进行有效的评估。通过定期开展风险评估工作,能够及时发现、消除网络中存在的安全隐患和新出现的安全漏洞,能够准确、及时地掌握现阶段整个网络节点的网络安全现状,能够有效增强网络对越来越多的各种网络安全威胁和突发性安全事件的抵御能力。

6. 总结

通过峄化公司企业局域网的建设和投入使用,结束了公司计算机单机运行状态,为以后OA系统、电子邮件等生产办公应用系统,共享兖矿集团公司ERP、短信、网站、医保、工业自动化等系统资源,提供了网络平台;通过兖矿集团公司出口接入因特网,为峄化公司的生产、办公、管理、信息发布提供了极大的方便,并能充分共享因特网上的信息资源;通过对信息资源的深化开发和广泛利用,实现产品设计信息化、生产过程信息化、产品服务、销售信息化、经营管理信息化、决策信息化,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和企业竞争力。

参考文献

[1]徐志坚.信息系统与公司竞争[M].北京:科学出版社,2002

[2]李崇超.信息化是中小企业发展的战略选择[J].中国乡镇企业会计,2006.

[3]刘满城.论企业管理信息系统建设的问题与对策.商业现代化,2006.

篇4：中小企业信息安全整体方案

【关键词】信息安全；网络安全；安全防护；

前言

1.企业安全需求分析

根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑

1.1网络传输保护：主要是数据加密，防窃听保护。

1.2密码账户信息保护：对网络银行和客户信息进行保护，防止泄露。

1.3网络的病毒防护：采用网络防病毒系统，对网内一些可能携带病毒的设备定期进行防护与查杀。

1.4侵检测系统：广域网接入部分设置入侵检测系统。

1.5系统漏洞的分析：安装漏洞分析软件和设备。

2.具体措施

2.1重要数据备份：重要数据信息一定做到定期备份

2.2网络安全结构可伸缩性：安全设备的可伸缩性，能根据需要随时进行功能、规模的扩展。

2.3安全审计：主要包括内容审计和网络通信审计

2.4网络设备防雷：埋设地线，做好防雷设施布控。

2.5重要信息点的防电磁泄露：安装好屏蔽设施设备，

3.安全解决方案

3.1物理安全和运行安全

3.2选择和购买安全硬件和软件产品

3.2.1硬件产品主要是防火墙的选购。

3.2.2软件产品主要是杀毒软件的选择。

3.2.3网络规划与子网划分组网规则。

3.2.4网络隔离与访问控制。

3.2.5操作系统安全增强。

3.2.6应用系统安全。

3.2.7重点主机防护。

3.2.8连接与传输安全。

由于企业中心内部网络存在两套网络系统，其中一套为企业对内网，内网主要运行的是内部办公、业务系统，生产系统等；另一套是外网与INTERNET相连，通常是通过宽带接入，与企业系统内部的上、下级机构网络相连。跨越INTERNET通过公共线路建立的企业集团内部局域网，通过网络进行信息共享、数据交换。INTERNET本身就缺乏有效的安全保护，信息传输过程中如果不采取相应的安全措施，非常容易受到网络上其他主机的监听而造成重要信息的泄密或被非法篡改的严重后果。所以在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。这样就能有效地避免数据传输过程中面临的安全威胁。

4.结束语

篇5：企业信息化建设安全解决方案

企业信息化建设安全解决方案

（天威诚信）(版本：1.0)

北京天威诚信电子商务服务有限公司

2013年3月企业信息化建设安全解决方案

目录前言......................................................................................................................................1 1.1 概述...............................................................................................................................1 1.2 安全体系.......................................................................................................................1 1.3 本文研究内容...............................................................................................................2 2 **集团企业信息化现状......................................................................................................2 2.1 **集团企业信息化现状...............................................................................................2 2.1.1 **集团现状..........................................................................错误！未定义书签。2.1.2 **集团信息化现状................................................................................................2 2.1.3 主要系统现状及存在问题....................................................................................3 2.1.4 其他问题................................................................................................................4 2.2 **集团企业信息化系统需求分析...............................................................................4 2.2.1 网络需求分析........................................................................................................4 2.2.2 系统需求分析:.......................................................................................................5 2.2.3 安全需求分析

3.3.4 门户系统建设......................................................................................................17 3.3.5 业务管理和运营支撑系统..................................................................................17 3.3.6 企业信息化管理..................................................................................................17 3.4 安全建设.....................................................................................................................17 3.4.1 网络边界安全防护..............................................................................................17 3.4.2 入侵检测与防御..................................................................................................18 3.4.3 安全漏洞扫描和评估..........................................................................................20 3.4.4 防病毒系统..........................................................................................................20 3.4.5 终端监控与管理..................................................................................................21 4 结束语................................................................................................................................22 4.1 论文工作总结.............................................................................................................22 4.2 本方案不足之处.........................................................................................................22 企业信息化建设安全解决方案前言

1.1概述

国内企业的信息化建设也经历了几起几落，取得了一些成绩，也积累了一些经验教训。在发展的同时，各企业也不同程度上产生了信息孤岛，信息集成的优势还没有发挥出来，阻碍了企业信息化的发展，并在相当程度上抵消了网络技术带给我们的便利和效率。如果我们把分析信息系统集成问题的着眼点放在基础数据信息流上，通过基础数据信息流将企业各部门的主要功能“穿起来”，而不是根据现有部门的功能来考虑信息系统的集成问题，就可以建立起既具有稳定性，又具有灵活性的全企业集成化的信息系统模型，有效地防止信息孤岛的产生。因此，为了建设一个优秀的1T系统，要以基础数据为根本，以先进的管理思想为指导，以领先的技术为辅助。企业信息化作为一个严密的信息系统，数据处理的准确性、及时性和可靠性是以各业务环节数据的完整和准确为基础的。企业信息化建设中有一句老话:“三分技术，七分管理，十二分数据”，信息系统的实施是建立在完善的基础数据之上的，而信息系统的成功运行则是基于对基础数据的科学管理。因此，理顺企业的数据流是企业信息化建设成功的关键之一。信息化建设是对企业管理水平进行量化的过程，企业的管理水平是信息化的基础。管理是一种思路，这种思路可以用数字来表示，当这些数字形成数据流时，也就表示了这一管理思想的过程，理顺了数据流也等于理顺了管理。IT技术人员通常不了解管理思路，但对数据流却相当熟悉，这就有利于IT技术人员开发符合要求的软件产品。企业信息化就是利用技术的手段将先进的企业管理思想融入企业的经营管理中，在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。因此要明确部门间哪些数据需要共享，哪些数据要上报企业领导，哪些部门需要获取外部的知识或信息，企业的哪些数据需要对外发布和宣传，哪些数据需要保密，子公司要与总公司交换哪些数据等等。当数据流理顺后，相应的业务管理流程也就一目了然，管理流程也就理顺了。图l一l管理流程图

1.2安全体系

网络安全是一个综合的系统工程，需要考虑涉及到的所有软硬件产品环节。网络的总体安全取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，其总体安全就得不到保障，这也就是所谓的木桶效应，一个由一根根木条钉成的水桶，它的盛水量是由其最短的那根木条决定的，网络安全正是如此，其设计、实施必须要有全面的考虑，否则就会得不到保障。网络安全也是个长期的过程，是个不断完善的过程，不能说买了几个产品就一劳永逸的解决了所有的安全问题，需要不断对现有系企业信息化建设安全解决方案

统进行安全评估，发现新的安全问题，另外也要跟踪最新的安全技术，及时调整自己的安全策略。通常安全设计需要参照如下模式:

图安全模式

网络安全不单是单点的安全，而是整个系统的安全，需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。安全需求和风险评估是制定安全策略的依据。我们先要对现有的网络的安全进行风险分析，风险分析的结果作为制定安全策略的重要依据之一。然后根据安全策略的要求，选择相应的安全机制和安全技术，实施安全防御系统、进行监控与检测。安全防御系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。安全防御系统搭建得完善与否，直接决定着整个网络安全程度，无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络中的后门。响应与恢复系统是保障网络安全性的重要手段。根据检测和响应的结果，可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强业务网安全措施。

1.3本文研究内容

本课题源于**集团企业信息化建设这一项目。目前**集团各子公司各自组网，使用各自的以办公系统。为了适应市场的不断发展和激烈竞争，提高福建电信实业公司的服务水平和服务质量，增强对新业务的支撑能力和反应速度，满足客户需求的不断变化和发展，要求建立一个统一的对外平台。现在互联网处于开放的状态，网上充斥着各种信息，病毒、恶意攻击、窃取公司机密等等屡见不鲜，由于**集团与各子公司经过互联网进行以互联，对外提供web服务，同时各公司存在上网的需求，因此保护企业网络，防止信息泄漏更是急切需要解决的问题。本解决方案就是要提供网络互联、网络监测、流量控制、带宽保证、防入侵检测。系统可帮助值班人员随时了解到网络质量以及设备的工作状态;系统对历史信息进行记录并提供查询功能，方便用户对出现的情况原因进行深入分析;系统提供图形化界面管理，方便用户实现人性化管理，同时抗击各种非法攻击和干扰，保证网络安全可靠。**集团企业信息化现状

2.1 **集团企业信息化现状

2.1.1 **集团信息化现状

描述…… 企业信息化建设安全解决方案

2.1.2 主要系统现状及存在问题

描述……

2.1.2.1 门户网站、企业邮箱系统

目前**、设计院、邮科公司、工程公司都有公司网站，有公司域名，但是网站内容非常有限，仅用于发布一些企业宣传信息、产品信息、招聘信息等，且信息更新频度较低。除邮科公司网站系统部署在自有服务器上外，其他公司的网站系统都是租用电信的服务器或硬盘空间。各子公司的网站和实业公司的网站系统之间没有进行“超链”。**、设计院、邮科通信公司、工程公司有公司的邮箱系统，采用公司域名作为邮箱系统的域名。除邮科通信公司的邮箱系统是架设在自有服务器上外，其他公司的邮箱系统都是主机托管或租用电信的邮箱服务。

2.1.2.2 人力资源管理系统

目前所有子公司都没有单独完整的人力资源管理系统，部分公司目前使用的人力资管理系统主要是80年代原省邮电管理局统一使用的老系统或相关业务管理部门指定的小软件，目前已经难以满足企业的人力资源管理需求。部分公司正在学习金蝶HR系统，但是目前都没有正式使用该软件。这些软件都是单机版或者C/S架构的网络版，无法满足《指导意见》提出的2级架构要求。调研中，各子公司的人力资源部门都强烈希望集团能够尽快提供一套统一的人力资源管理系统。

2.1.2.3 财务管理系统、报表系统

所有子公司都统一使用金蝶K/3系统作为财务基础核算系统，该系统为C/S架构的网络版，该架构无法满足《指导意见》提出的2级架构要求。目前所有子公司都购买了金蝶公司的支撑服务。**无法通过远程访问方式了解各子公司的财务数据。目前所有子公司都使用北京久其公司的久其报表软件单机版，报表模板由**统一下发，各子公司财务部负责收集数据，汇总后上报给**。各子公司上报的数据中有一部分人力资源、经营的数据需要财务以外的部门提供，目前通过手工方式提供。**的报表上报也是使用久其单机版，由省电信公司财务部下发模板，收集各子公司上报的数据汇总后报送给省电信公司财务部。目前无需向其他单位提供统计报表(如统计局、省管局等)。目前没有购买久其公司的维护支撑服务。

2.1.2.4 经营分析系统

目前包括**在内，都没有专门的IT系统用来支撑经营分析。目前的经营分析主要通过各业务部门手工提取数据进行加工分析后形成经营分析报告。企业信息化建设安全解决方案

2.1.2.5 业务运营支撑系统

设计院的主要业务:设计业务，系统集成(工程业务)，使用自己开发的一套系统来支撑其业务。该系统技术架构比较先进，功能基本满足该公司的业务需求，由于为自己开发的系统，维护支撑、软件功能升级都比较便利。邮科通信公司的业务类型比较杂:软件开发、系统集成、电信业务支撑服务、生产销售、工程服务、工程设计，目前没有统一的IT系统来支撑，而是由各个专业部门自行开发或引入一些系统来支撑日常业务，存在种类繁多不统一，信息无法共享的问题。工程公司的业务类型:工程施工，部分施工、维护，也是采用自行开发的一套系统来支撑业务。

2.1.3 其他问题

 集团内各子公司网络规模庞大，网络设备种类多，配置复杂，版本参差不齐，对系统资源利用和性能指标缺乏实时的、集中的监控管理机制; 在接入Internet方面，部分子公司保留有Internet出口，部分终端可其它方式访问Internet，存在网络安全隐患; 网络上运行的诸多服务器和网络设备都有设置有多个用户帐号和口令，但缺乏统一的口令管理机制，认证方式不可靠。

 网络中连接有为数众多的终端，大多终端安装有防病毒软件。但缺乏病毒防护的统一监控和管理，系统管理员维护工作量较大并且复杂。

2.2 **集团企业信息化系统需求分析

2.2.1 网络需求分析

结合**集团的1T现状及本省的06一09年IT总体规划需求，拟在**集团有限公司集团总部建设一中心点，作为中心机房，通过中心点与全市5个上市子公司之间组建办公网。本期建设的IT系统能够省集中部署的全部采用省集中部署模式。如下图:

图

IT基础设施建设实施关键点

1.明确应用系统的硬件及网络带宽需求

评估未来5年**的应用系统的IT环境需求，包括妥种主机设备、网络带宽、电源容量、存储容量等需求，在机房设计施工时预留足够的余量。2.安全方案设计

充分考虑企业信息化的安全需求，特别与工nternet相连的网络、应用系

比较成熟，安全强度足够高，并且应用上需要支持远程办公，本次建设将不采用物理隔离方式。异地备份方案采用在子公司机房部署备份服务器的方式。3.机房选址

选定**机房作为中心机房，该机房具有较大的扩展空间。异地备份机房选用邮科公司智能网机房。

4.机房设计施工，包括电源改造、增加UPS、增加空调设备等

现有机房的市电容量不足，没有专用空调，未配备统一的UPS，因此需要在本次建设统一考虑。

5.网络实施

包括专线线路、ADSLVPN线路、楼内线路的施工、调测，施工进度依赖线路提供商和综合布线进度，必须做好工程质量监督和进度监督。6.设备采购、安装

本次IT建设对多个应用软件的部署环境进行统筹考虑，数据进行集中存储，数据库软件尽量选用同一种，中间件也尽量选用相同厂家的同一版本，这样便于管理和维护，也可以共享主机平台，但是对设备的可靠性和性能要求较高，并且需要考虑系统间的性能干扰。设备的选型将考虑未来5年的性能需求增长，将以当前需求的200%的性能参数配置主机设备，此外主机设备留有等量的扩展空间。

2.2.2 系统需求分析: 2.2.2.1 财务系统

**集团与各子公司财务业务统一，软件统一，这是本次的财务系统的集中部署的最有利条件。

产生的本地化需求不能在现有系统上进行配置或二次开发来满足时，才考虑在子公司单独部署以系统。以系统在选型时必须考虑良好的接口开放性和二次开发支撑能力。**集团、设计院、邮科公司、工程公司都拥有自己的公司网站，但是功能简单，且连最简单的互相链接都没有。**需要一个统一的门户来有效整合各子公司的品牌资源，做统一的形象推广。

2.2.3 安全需求分析

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:  误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响;如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗; 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;内部人员在上班时间玩游戏，看视频等。

 网络设备的安全隐患，网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，2.2.3.5 应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

 资源共享的安全风险

**集团网络内部有自动化办化系统。而办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

 系统的安全风险

**集团网络提供基于Web的信息发布系统，也存在安全的风险，例如Web服务器本身存在漏洞容易受到攻击，网页被篡改，Web服务器容易受到网络病毒的感染。Web是电子业务的发布板，与其他服务器连接在一起，对Web服务器的攻击容易波及其他的网络服务器和设备。

 数据库服务器的安全风险

**集团网络内部的很多应用是基于数据库的。数据库服务器的安全风险包括:数据库服务器的管理员口令过于简单，非授权用户的访问，通过口令猜测获得系统管理员权限，数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复，也是需要考虑的安全问题。 电子邮件系统的安全风险

内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。

 病毒侵害的安全风险

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害

4.机房重地却是任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件;5.内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。

2.2.3.7 性能需求

由于安全控制的原理和特点，加上了安全的防护手段之后，多多少少会对网络和系统带来性能的影响。因此，我们在进行安全设计和选择安全产品时，必须将对网络和系统的性能的影响的考虑放在重要的位置

2.2.4 安全管理策略

网络安全关键基础之一就是构成企业总体信息安全方案的综合策略。

 可用性声明:使用户对系统的可用性有所了解。如果系统被入侵，用户根据这个声明所述，就可以知道系统在多长时间内可以恢复。声明应提及冗余及恢复的解决方法，列出操作时间及因维护而造成的停机时间，以及网络发生故障时的负责人是谁; 信息技术系统及网络维护政策:说明内部及外部的维修人员如何处理访问技术。该政策其中一项重要说明是讲述企业是否允许进行远程操作，以及对这类访问的控制方法；

 违规报告政策:指明哪类违规行为应该报告(例如个人隐私及安全、内部及外部)以及向谁报告。轻松的气氛或采用匿名报告的方式可以鼓励员工报告违规行为。该政策还应包括企业发生安全事故后应对外界询问的指南，及指明企业信息的保密程度，即哪些信息不应向外界披露。

2.2.4.2 访问控制策略

访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据操作权限的限制，主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问，访问控制策略应包括以下内容:  每个业务应用系统的安全要求; 确认所有与业务应用系统有关的信息; 信息发布及授权的策略，例如:安全级别及原则，以及信息分类的需要; 不同系统及网络之间的访问控制及信息分类策略的一致性; 关于保护访问数据或服务的相关法律或任何合同规定; 一般作业类的标准用户访问配置; 在分布式及互联的环境中，管理所有类别的连接的访问权限。

网络访问控制用于控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。

**集团网络应根据信息密级和信息重要性划分安全域，在安全域与非安全域之间用安全保密设备进行隔离和访问控制;在同一安全域中，根据信息的密级和信息重要性进行分割和访问控制。通常将**集团网络重要服务器所在的子网和重要的工作子网分别划分为单独的安全域。当局域与远程网络连接时，通常在局域网与远程网络之间的接口处配置安全保密产品。(如防火墙、保密网关等)进行网络边界安全保护，采取必要的步骤，在最短的时间恢复系统，以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，它可在网络系统受到危害之前拦截和响应入侵。我们通过在**集团网络的关键环节放置入侵检测产品，它监视计算机网络或计算机系统的运行，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。

2.2.4.4 漏洞扫描与风险评估策略

从信息安全的角度看，漏洞扫描是网络安全防御中的一项重要技术，其原理

是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，从而为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上，安全扫描工具可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。

2.2.4.5 计算机病毒防治策略

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，网络系统中使用的操作系统大多为W工NDOWS系统，比较容易感染病毒。因此计算

于企业来说是非常重要的。灾难恢复的步骤应包括测试救援程序的有效性(是否对可疑的通讯及事故作出反应)、在事故发生后，企业如何分析事故的发生过程、程序如何迅速恢复、如何减少企业的损失等。

络，同时提供备用拨号VPN接入。外网WEB服务器接在 AmarantenF600防火墙DMZ区，对外开启 tep80http服务。

3.2 网络建设

3.2.1 中心机房及其配套设施建设

因为需要采用两种接入方式，因此我们在**集团中心机房采用以下设备

 核心路由器。与各分实业公司的连接方面，因为要使用 CNZMPLSVPN线路，因此我们建议采用一台思科公司的 Cisco28n路由器作为**CE，让各各实业分公司用户可以高速、安全、稳定地访问**集团中心机房的应用服务器及访问集团机房应用服务器。

 安全网关。与远程移动办公用户连接方面，因为要采用VPN的连接方式，我们建议采用思科公司的 ASA5520自适应安全设备让远程移动办公用户可以安全访问实业集团中心机房应用服务器。另一方面，AsA5520自适应安全设备还可作为防火墙功能使用，有效阻止来自Internet及各实业分公司的非法访问行为。

3.2.2 中国实业集团与**集团公司的连接

采用CNZ将**集团与集团互连。采用CNZ电路的组网方式，能确保提供稳定的线路质量、较高的带宽、良好的安全保密特性，使用户对集团企业信

 中心机房采用自适应安全设备作广域网的核心安全设备，能够提供良好的安全性和VPN服务。有4个千兆GE接口，和1个100M以太接口。支持高达500个

IPSeeVPN对，可扩展至最大5000个IPSe。vPN对，支持500个 WEBVPN对，可扩展至2500个 WEBVPN对。完全可以保证**集团公司的广域网安全接入的较长时间内的需求。

 中心机房采用CNZ电路与中国实业集团总公司和各实业分公司建立连接，满足带宽及时延要求。 各实业分公司采用一台 CISCO28n路由器加上RJ45扩展卡，可提供1条接口，CNZ电路占用一条，InternetVPN使用一条，做好链路备份工作。

 采用功能强大的网络管理系统，增强对设备和应用的系统。

3.3 系统建设

3.3.1 财务系统

**集团跟各专业子公司统一采用用友ERPNC 5.0软件，在功能域上实现如下功能:功能域

1、财务基础核算(总帐、应收应付、合并报表等);

2、资产管理;

3、现金流管理;

4、财务状况监控，财务状况分析;

5、预算管理(编制、执行、结果);

6、资金管理，大额支出管理

7、关联交易系统.部署模式

集中部署，各子公司远程登录本系统使用。

3.3.2 人力资源管理系统

功能域

1、全省员工基本信息管理;

2、人事管理、岗位及工作信息管理;

3、薪酬、考核管理;

4、合同管理;

5、组织管理;

6、统计查询报表，人力资源分析;

7、招聘管理.部署模式

集中部署，各子公司远程登录本系统使用。

3.3.3 门户、OA系统

功能域.部署模式

本次以系统的实施将采用**集中部署的模式进行，通过配置各子公司的以流程来实现子公司的以系统覆盖企业信息化建设安全解决方案

3.3.4 门户系统建设

企业门户功能域包括企业信息展现(内部门户)和企业网站(外部门户)两个功能模块。办公及辅助管理功能域主要包括文件公务流转、企业邮箱、知识管理、资产管理四个功能模块。功能域

5.对外网站

企业上市信息披露

企业形象宣传

企业产品宣传

人力招聘信息

远程办公支持 6.对内门户: 单点登陆整合以系统整合邮箱系统整合久其报表系统实现初步的知识管理

资产管理

3.3.5 业务管理和运营支撑系统

采用其报表系统作为业务统一管理和分析系统。

.功能域.部署模式

集中部署，各子公司远程登录本系统使用。

3.3.6 企业信息化管理

根据实业集团公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的 CiscoworksVMS网络管理系统。CIScoworksVMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护企业的生产率和降低运营成本。

以将其用作一个“预过滤器”，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。**集团信息网服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。在内网防火墙之外采用两台。1sco3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的 InternetVPN采用 CiscoASA552O防火墙，同时提供拨号VPN接入，外网访问通过 AmarantenF60O防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在枷

arantenF600防火墙眼Z区，对外开启 tep80http服务。通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。我们通过配置 AmarantenF600防火墙实现以下功能: 1.可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分用户可以访问外网，而其他用户不能通过防火墙访问Internet。

2.对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议

网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，和每个服务(端口)情况设置拦截端口。日志设置，网络数据实时监控设置。入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。

3.4.3 安全漏洞扫描和评估

安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞，按照高中底三种风险级别罗列出来，同时针对每个漏洞给出修补的办法。漏洞扫描器的对象是基于TCP协议的网络设备，包括服务器、路由器交换机、工作站、网络打印机、防火墙等，通过模拟黑客攻击手法，探测网络设备存在的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。只需在**集团公司中心机房配置一台机器上安装上漏洞扫描器即可对全网所有网络设备及服务器等进行扫描。设置对昵B服务器、邮柞服务器、DNS服务器、数据库服务器、等进行基于网络的扫描。系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中中可猜中的口令，不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描器采用Console/Agent结构，首先需要一台Console，在被扫描的机器上安装Agent代理，由Console集中管理所有的Agent的扫描服务。数据库扫描器是针对数据库管理系统的风险评估检测工具，可以利用它建立数据库的安全规则，通过运用审核程序来提供有关安全风险和位置的简明报告。利用数据库扫描器定期地通过网络快速、方便地扫描数据库，去检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据库扫描器目前支持的数据库类型有 :MSSQLServer、ora。le和Sybase等。只需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。计划配置一台便携式笔记本电脑安装漏洞扫描软件，从不同的网络位置扫描**集团中心机房所有的应用服务器、交换机路由器、防火墙等联网设备，该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。

3.4.4 防病毒系统

通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合当代企业网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。在**集团网络中部署全面的病毒扫描解决方案，从单机、网络到Internet/Intranet网关全方位多平台的防病毒产品，满足不同用户对计算机从清除病毒到网络通讯系统全面防范监控的要求。单机病毒防火墙:适用于未联网的单个windows桌面机，支持win98、winNTWorkstation、Win2000/XPProfessional等个人操作系统。服务器病毒防火墙:文件服务器是企业网中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。需要为服务器提了针对性的防病毒解决方案，支持包括Net，are、企业信息化建设安全解决方案

NT及AlphaNT为平台的多种服务器的病毒防护。电子邮件服务器病毒防火墙:对邮件服务器进行针对性的病毒扫描服务，使服务器本身不受病毒感染，同时防止病毒通过邮件交叉感染。邮件服务器产品覆盖 MierosoftExehange、LotusNotesforNT、AIX、Solaris、HPUX、IBM5390和05400等。网络杀毒服务器:实时的、基于Web的、可集中控管的桌面反病毒解决方案。从管理控制台，管理员可配置、更新、扫描、监控所有的客户端的反病毒防护，降低企业的整体成本。在病毒爆发情况下，管理员可将所有的客户端的病毒码更新至最新状态并进行扫描，进行整个企业的病毒扫描。防毒中央控管系统:使用中央控管系统后，网管人员可以使用浏览器为应用界面，在企业网内部的任意工作站或通过Internet实现对跨地区、跨平台的企业防毒系统实施统一管理和监控。随着近年来尼姆达、冲击波等蠕虫病毒的泛滥，越来越多的病毒通过系统漏洞进行主动的复制和传播，仅仅依靠针对主机的防病毒软件并不能完全阻止蠕虫病毒在网络中的扩散。而据ICSA(国际计算机安全协会)的统计表明，超过90%的病毒是通过网络传播的，因此网关防病毒是**集团网络安全建设的重中之重。我们需要针对**集团网络的安全需求，对 AmarantenF600的结束语

4.1 论文工作总结

本企业信息安全解决方案实现了企业以互联，提供了安全的Site一to一SiteVPN与移动办公VPN接入，针对移动办公提供了 CISCOeasyVPN和 LZTPVPN的同时安全连接，其中 LZTPVPN为CISCO新增支持功能。由于目前最大的安全隐患都是出在内网上，针对企业外网和内网，特别是内网提供一揽子解决方案。

4.2 本方案不足之处

篇6：企业信息安全方案设计

摘要：随着我国经济水平的不断发展，企业管理制度也在逐步完善与改进。但是，由于市场变化以及企业自身因素等，导致企业经济信息管理始终存在一定的安全性问题，这些问题将会对企业发展产生严重的不利影响。提高企业经济信息管理安全性就要健全经济信息体系的安全保障，提高工作人员的工作能力。

关键词：信息安全；企业管理；经济

信息管理高效的经济信息管理是企业不断发展的重要保障，而要想实现高效的信息管理，对信息安全性的管理与控制是十分重要的一个因素。近年来，随着科技与管理理念的不断丰富，对信息管理中的信息安全性控制也在不断强化并起到了一定的作用。但是，由于企业

信息管理涉及的因素较多，导致目前仍旧存在一定的安全隐患。因此，有必要对企业的经济信息管理中的信息安全进行分析与探讨。

一、企业经济信息管理的信息安全存在的问题

（一）企业管理力度不足

企业管理力度不足是信息管理目前存在的普遍问题，也是导致企业信息管理存在安全隐患的主要原因之一。一方面，部分企业将管理重点放在了人员管理与财务控制方面，忽视了对经济信息安全的管理与控制；另一方面，部分企业的管理人员由于专业素质与工作经验的缺乏，对信息安全管理没有采取科学的方式方法，导致信息安全管理难以充分发挥其作用与价值，进而导致信息管理存在一定的安全隐患。总之，管理人员与管理制度是导致企业管理力度不足的重要因素。

（二）缺乏总体规划

在企业管理中，对经济信息的管理涉及到许多因素，所以高效的管理需要一个科学的总体规划。对于企业来说，经济信息管理不是单个部门或人员的工作，而是需要整个企业人员都具有信息保护的意识。但在实际工作中，由于工作内容具有一定的差异性或工作重点不同等原因，使得不同的员工与信息安全的意识程度不同，所以管理效果也难以达到最佳状态。考虑到这些问题，企业在进行经济信息管理时就需要制定一个整体规划，但许多企业在这方面的工作力度仍有不足。（三）对信息安全不够重视随着我国经济的不断发展，市场竞争也越来越激烈，此时保证企业的经济信息安全是管理中十分重要的一部分。但是，在实际竞争中，许多企业对经济信息的安全保障意识不够强烈。只是单一的对市场信息进行分析，而没有完善的管理系统，难免会导致信息储存或管理出现一定的问题，甚至造成企业关键经济信息的泄露，给企业发展带来不可挽回的损失。另外，信息管理中管理人员作用的发挥也非常重要。部分企业没有重视到这一点，管理人员的管理能力提升速度较慢，导致安全隐患的存在。

二、对企业信息管理安全产生影响的主要因素分析

（一）环境因素的影响

由于市场竞争比较激烈，许多企业将管理重心放在了市场拓展与产品优化等方面，出现了先重视产品与业务，再考虑信息安全的现象，导致信息安全管理滞后于业务的进行，产生一定的安全隐患。这是外部环境的影响，内部环境对企业的信息管理也有着一定的影响。企业的业务流程对信息管理体系的设置与实施有着一定的影响。此外，部分企业虽然重视对信息安全的管理，但由于防范体系的不够完善等原因，使得安全责任没有落实到具体，这些都是导致经济信息管理存在安全隐患的因素。

（二）人为因素的影响

人为因素的影响主要是指经济信息管理人员的工作能力与工作态度等因素的影响。一方面，安全管理人员是接触机密信息的直接人员，这部分工作人员若是出现刻意泄露或工作疏忽等现象，极易导致企业关键经济信息的泄露，给企业带来不可挽回的损失，影响企业的稳定发展。另一方面，技术人员也是人为因素中的重要部分，技术人员主要对相关设备进行管理与维护，也能够直接接触到关键信息。需要维护的设备较多，但部分企业为了节约人力成本，让同一个技术人员负责多个设备的维护，导致技术人员的工作难度增加，进而影响其工作效率。

（三）技术因素的影响

信息安全技术是保证信息安全的重要因素，也是企业在这方面管理中比较重视的一部分。具体来说，技术因素对信息安全的影响主要体现在以下两个方面：一是软件方面影响，包含了设计漏洞或技术缺陷，以及杀毒软件更新较慢或临时发生的运行故障等问题，这些都是

对信息安全管理产生影响的因素。二是信息管理体系的设计方面，包含了风险评估数据、业务流程数据、测试数据、访问权限设置以及对信息资产的保护程度等。这些因素导致信息管理体系存在必然的安全隐患或漏洞，而这些漏洞将会为整个企业管理带来严重的不利影响。

三、强化企业经济信息管理中信息安全的必要性

（一）企业信息管理的主要特征

企业信息管理的特征主要包括三个内容：第一是具有保密性，这是信息管理的基本特征，也是信息管理的基本要求。各个部门负责的事项不同，部门人员只能获取应当了解的信息，而不能越权了解其他私密信息。第二是完整性。保证经济信息的完整是企业信息管理的基本原则，只有保证信息具有基本的完整性，才能更加精准地获得数据价值，从而发挥其作用。第三是可用性。只有具有较强的可用价值与企业的私密信息，才具有一定的安全保护价值，才能在企业发展中发

挥其本身的作用。

（二）强化信息管理安全的必要性

正是由于经济信息具有的这些特征，才使其有了明确的强化必要性。首先，强化信息安全的管理有助于保证数据的保密性与完整性。只有保证信息的完整与私密，才能促使其在企业竞争中充分发挥价值。其次，信息的高效运用与价值发挥的实现，本身就需要一定的网络条件，而网络环境比较复杂，所以对数据的安全保护就显得十分关键。例如，不法分子的信息盗取、网路黑客的恶意攻击等，都是影响信息安全的因素。所以，对信息安全管理进行加强，是企业实现进一步发展的重要手段。

四、提高企业经济信息管理安全性的建议

（一）健全经济信息体系的安全保障

构建健全的经济信息体系的安全保障，是实现高效经济信息管理的重要前提，也是实现信息管理制度能够稳定发展的重要条件。在健全管理体系的保障过程中，最为首要的任务，即是在系统设计过程中就强调安全性。从目前来看，由于市场的宽容度逐渐升高，越来越多的企业参与到市场竞争中。由于部分企业对信息安全的认知不够明确，或者管理制度不够合理等因素，导致其经济信息管理制度本身就存在一定的安全隐患，不利于企业的发展。因此，企业需充分明确自身实力与发展情况，确定当前发展中的关键，设计针对性的安全管理制度。具体来说，企业可加强对进入内部信息系统的准入设置与权限、增加必要的保护屏障技术等。另外，还可借助科学技术与计算机技术，将指纹识别等运用到信息管理中，以保障管理制度的安全性。

（二）提高工作人员的工作能力

企业重要的经济信息泄露，其中一个关键的原因，即是工作人员的刻意为之或工作疏忽导致的。因此，在企业的经济信息管理中，提升工作人员的工作能力与安全意识是十分有必要的一项措施。一方面，企业可加强对管理人员的培训，促使其对信息安全有明确的认识；同时，还可借助培训，提升管理人员的管理能力与风险意识。另一方面，管理责任的落实也十分重要。企业的经济信息涉及到许多企业的重要信息，要在日常管理者中将管理责任落实到具体，进而提高工作人员的管理责任心。此外，提高管理人员的职业道德以及综合素质等，也是一个比较有效的方式，能够在一定程度上提高企业的经济信息管理效率。

（三）强调对硬件的安全管理

在信息安全这个问题上，管理设备与硬件条件的强化是必不可少的一部分。可以说，硬件设备是高效的信息安全管理中的重要基础。首先，针对企业的实际情况，可淘汰一部分功能比较传统的设备，购进更先进、安全保障程度更高的设备，进而促使设备在信息安全管理

中充分发挥作用。其次，在运用过程中，随着运用时间的增长硬件设备的损耗程度也更大，所以对硬件设备的维护工作必须得到重视。企业可安排专门的维护人员，定期对设备进行检查或零件更换，避免因硬件系统而导致的信息泄露等问题。同时，还可对维护人员进行培训，以提高其技术水平。此外，合理的安全屏障与接入控制、禁止未授权访问或下载文件等措施都是硬件强化中的重要方法，能够在一定程度上加强对经济信息的安全保障。

（四）健全企业信息安全管理制度

企业信息安全管理制度的完善，是保证企业经济信息管理安全性的重要因素。从企业管理的角度来讲，企业对经济信息进行的管理是根据本身的信息安全需要、业务分析以及风险预测等的结果，并结合科学技术与计算机技术实现的信息管理。构建完善的信息管理制度，能够为信息管理提供包括设计、运行等各个方面的安全保障，并有效避免因安全隐患导致的各类安全事故。一方面，企业可建立起相关的安全管理体系与防范制度，加强对关键数据的保存与备份，以保证在发生安全事故时能够及时进行弥补，避免业务受到影响，进而将企业的损失降到最小程度；另一方面，还可建立起集中的管理控制体系，将经济信息进行综合管理，并借助企业内部的管理平台对其进行管理。

结语

据上述的分析可知，强化企业经济信息管理中的信息安全，不仅是推动企业不断发展的重要方法，更是推进我国企业管理理念不断完善的重要手段。通过健全经济信息体系的安全保障、提高工作人员的工作能力、强调对硬件的安全管理，以及健全企业信息安全管理制度等方式，从企业管理的各个角度强调了信息安全的重要性，在一定程度上提高了企业信息管理中的信息安全。

参考文献：

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处