企業(yè)網(wǎng)絡(luò )信息安全的內部威脅及其對策論文

　　目前為了滿(mǎn)足信息交流與資源共享眾多企業(yè)構建了內部網(wǎng)絡(luò )，企業(yè)內部網(wǎng)絡(luò )中傳遞的信息包含了大量的內部機密與重要文件資料，其安全性對于企業(yè)的核心利益和長(cháng)遠發(fā)展有著(zhù)重要影響。本文探討了企業(yè)網(wǎng)絡(luò )信息安全的內部威脅及其對策，旨在提供一定的參考借鑒。

　　1 企業(yè)網(wǎng)絡(luò )信息安全的內部威脅的分析

　　1.1 隨意更改IP地址

　　企業(yè)網(wǎng)絡(luò )使用者對于計算機IP地址的更改是常見(jiàn)的信息安全問(wèn)題，一方面更改IP地址后，可能與其他計算機產(chǎn)生地址沖突，造成他人無(wú)法正常使用的問(wèn)題，另一方面更改IP的行為將使監控系統無(wú)法對計算機的網(wǎng)絡(luò )使用進(jìn)行追溯，不能準確掌握設備運行狀況，出現異常運行等問(wèn)題難以進(jìn)行核查。

　　1.2 私自連接互聯(lián)網(wǎng)

　　企業(yè)內部人員通過(guò)撥號或寬帶連接的形式，將計算機接入互聯(lián)網(wǎng)私自瀏覽網(wǎng)絡(luò )信息，使企業(yè)內部網(wǎng)絡(luò )與外界網(wǎng)絡(luò )環(huán)境的隔離狀態(tài)被打破，原有設置的防火墻等病毒防護體系不能有效發(fā)揮作用，部分木馬、病毒將以接入外網(wǎng)的計算機為跳板，進(jìn)而侵入企業(yè)網(wǎng)絡(luò )內部的其他計算機。

　　1.3 隨意接入移動(dòng)存儲設備

　　移動(dòng)硬盤(pán)、U盤(pán)等移動(dòng)存儲設備的接入是當前企業(yè)內部網(wǎng)絡(luò )信息安全的最大隱患，部分企業(yè)內部人員接入的移動(dòng)存儲設備已經(jīng)感染了病毒，而插入計算機的時(shí)候又未能進(jìn)行有效的病毒查殺，這使得病毒直接侵入企業(yè)計算機，形成企業(yè)信息數據的內外網(wǎng)間接地交換，造成機密數據的泄漏。

　　1.4 不良軟件的安裝

　　部分企業(yè)盡管投入了大量資金在內部網(wǎng)絡(luò )建設與信息安全保護體系構建之中，但受版權意識不足、軟件購置資金較少等原因的限制，一些企業(yè)在計算機上安裝的是盜版、山寨軟件，這些軟件一方面不能保證計算機的正常使用需求，對企業(yè)內部網(wǎng)絡(luò )的運行造成一定影響，同時(shí)這些軟件還可能預裝了部分插件，用于獲取企業(yè)內部資料信息，這都對內網(wǎng)計算機形成了一定的威脅。

　　1.5 人為泄密或竊取內網(wǎng)數據資料

　　受管理制度不完善、監控力度不完善等因素的影響，一些內部人員在企業(yè)內部網(wǎng)絡(luò )中獲取了這些數據信息，通過(guò)攜帶的移動(dòng)存儲設備進(jìn)行下載保存，或者連接到外網(wǎng)進(jìn)行散播，這是極為嚴重的企業(yè)網(wǎng)絡(luò )信息安全的內部威脅問(wèn)題。

　　2 企業(yè)網(wǎng)絡(luò )信息安全的內部威脅成因分析

　　2.1 企業(yè)網(wǎng)絡(luò )信息安全技術(shù)方面

　　我國計算機與網(wǎng)絡(luò )科學(xué)技術(shù)的研究相對滯后，在計算機安全防護系統和軟件方面的開(kāi)發(fā)仍然無(wú)法滿(mǎn)足企業(yè)的實(shí)際需求，缺少適合網(wǎng)絡(luò )內部和桌面電腦的信息安全產(chǎn)品，這使得當前企業(yè)網(wǎng)絡(luò )內部監控與防護工作存在這漏洞，使企業(yè)管理人員不能有效應對外部入侵，同時(shí)不能對企業(yè)內部人員的操作行為進(jìn)行監控管理。

　　2.2 企業(yè)網(wǎng)絡(luò )信息安全管理方面

　　在企業(yè)中，內部員工對于信息安全缺乏準確的認知，計算機和內部網(wǎng)絡(luò )的使用較為隨意，這給企業(yè)網(wǎng)絡(luò )安全帶來(lái)了極大的隱患。同時(shí)，企業(yè)信息管理部門(mén)不能從自身實(shí)際情況出發(fā)，完善內部數據資料管理體系，在內部網(wǎng)絡(luò )使用上沒(méi)有相應的用戶(hù)認證以及權限管理，信息資料也沒(méi)有進(jìn)行密級劃定，任何人都能隨意瀏覽敏感信息。另外，當前企業(yè)網(wǎng)絡(luò )信息安全的內部威脅大多產(chǎn)生于內部員工，企業(yè)忽視了對員工的信息安全管理，部分離職員工仍能夠登錄內部網(wǎng)絡(luò )，這使得內部網(wǎng)絡(luò )存在著(zhù)極大的泄密風(fēng)險。

　　3 企業(yè)網(wǎng)絡(luò )信息安全的內部威脅解決對策

　　3.1 管控企業(yè)內部用戶(hù)網(wǎng)絡(luò )操作行為

　　對企業(yè)內部用戶(hù)網(wǎng)絡(luò )操作行為的管控是避免出現內部威脅的重要方法，該方法能夠有效避免企業(yè)網(wǎng)絡(luò )資源非法使用的風(fēng)險。企業(yè)網(wǎng)絡(luò )管理部門(mén)可在內部計算機上安裝桌面監控軟件，為企業(yè)網(wǎng)絡(luò )信息安全管理構筑首層訪(fǎng)問(wèn)控制，從而實(shí)現既定用戶(hù)在既定時(shí)間內通過(guò)既定計算機訪(fǎng)問(wèn)既定數據資源的控制。企業(yè)應對內部用戶(hù)或用戶(hù)組進(jìn)行權限管理，將內部信息數據進(jìn)行密級劃分，將不同用戶(hù)或用戶(hù)組能夠訪(fǎng)問(wèn)的文件和可以執行的操作進(jìn)行限定。同時(shí)，在用戶(hù)登錄過(guò)程中應使用密碼策略，提高密碼復雜性，設置口令鎖定服務(wù)器控制臺，杜絕密碼被非法修改的風(fēng)險。

　　3.2 提高企業(yè)網(wǎng)絡(luò )安全技術(shù)水平

　　首先管理部門(mén)應為企業(yè)網(wǎng)絡(luò )構建防火墻，對計算機網(wǎng)絡(luò )進(jìn)程實(shí)施跟蹤，從而判斷訪(fǎng)問(wèn)網(wǎng)絡(luò )進(jìn)程的合法性，對非法訪(fǎng)問(wèn)進(jìn)行攔截。同時(shí)，將企業(yè)網(wǎng)絡(luò )IP地址與計算機MAC地址綁定，避免IP地址更改帶來(lái)的網(wǎng)絡(luò )沖，同時(shí)對各計算機的網(wǎng)絡(luò )行為進(jìn)行有效追蹤，提高病毒傳播與泄密問(wèn)題的追溯效率。另外，可通過(guò)計算機屬性安全控制的方式，降低用戶(hù)對目錄和文件的誤刪除和修改風(fēng)險。最后，應對企業(yè)網(wǎng)絡(luò )連接的計算機進(jìn)行徹底的病毒查殺，杜絕病毒的內部蔓延。

　　3.3 建立信息安全內部威脅管理制度

　　企業(yè)網(wǎng)絡(luò )信息安全管理工作的重點(diǎn)之一，就是制定科學(xué)而完善的信息安全管理制度，并將執行措施落到實(shí)處。其中，針對部分企業(yè)人員將內部機密資料帶離企業(yè)的行為，在情況合理的條件下，應進(jìn)行規范化的登記記錄。針對企業(yè)網(wǎng)絡(luò )文件保存，應制定規律的備份周期，將數據信息進(jìn)行匯總復制加以?xún)Υ�。針對離職員工，應禁止其帶走任何企業(yè)文件資料，同時(shí)對其內部網(wǎng)絡(luò )登錄賬號進(jìn)行注銷(xiāo)，防止離職員工再次登入內部網(wǎng)絡(luò )。

　　3.4 強化企業(yè)人員網(wǎng)絡(luò )安全培訓

　　加強安全知識培訓，使每位計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數據，保證本地數據信息的安全可靠。加大對計算機信息系統的安全管理，防范計算機信息系統泄密事件的發(fā)生。加強網(wǎng)絡(luò )知識培訓，通過(guò)培訓，掌握IP地址的配置、數據的共享等網(wǎng)絡(luò )基本知識，樹(shù)立良好的計算機使用習慣。

　　4 結語(yǔ)

　　綜上所述，信息安全是當前企業(yè)網(wǎng)絡(luò )應用和管理工作的要點(diǎn)之一，企業(yè)應嚴格管控企業(yè)內部用戶(hù)網(wǎng)絡(luò )操作行為，提高企業(yè)網(wǎng)絡(luò )安全技術(shù)水平，建立信息安全內部威脅管理制度，強化企業(yè)人員網(wǎng)絡(luò )安全培訓，進(jìn)而對企業(yè)網(wǎng)絡(luò )信息安全內部威脅進(jìn)行全面控制，從而提高敏感信息與機密資料的安全性。

【企業(yè)網(wǎng)絡(luò )信息安全的內部威脅及其對策論文】相關(guān)文章：

網(wǎng)絡(luò )信息安全存在的問(wèn)題及對策論文09-27

關(guān)于計算機網(wǎng)絡(luò )信息安全及其防護對策的探析論文09-02

網(wǎng)絡(luò )安全威脅因素與安全技術(shù)論文08-19

威脅信息安全的攻擊類(lèi)型及結構論文09-19

企業(yè)內部控制及其信息表露10-13

試論企業(yè)內部審計存在的問(wèn)題及其對策10-26

探討信息化時(shí)代企業(yè)網(wǎng)絡(luò )安全防范對策論文09-04

網(wǎng)絡(luò )信息安全與防范論文05-23

信息化對通訊企業(yè)內部控制的影響及內部審計對策08-25

淺談企業(yè)技術(shù)創(chuàng )新中的信息需求及其對策10-15