企业信息安全分析论文（5篇）范文

第一篇：企业信息安全构建分析

摘要:现今社会属于信息化社会，信息在社会生活中的作用越来越大。另外，企业在生产发展的过程中，对于信息的依赖性也越来越大。企业需要依据信息提供的市场需求，进行各项的生产经营活动。针对这种情况，企业在发展的过程中，还需要建立相应地信息系统，对企业内部的各项信息进行管理与处理。本文主要从信息系统管理体系的内容出发，对企业信息系统管理体系的特点进行了分析，并在此基础上，分析了企业信息系统管理体系如何构建。

关键词:企业信息安全;管理体系;构建

由于现今信息技术的快速发展，导致企业在进行市场竞争的时候，其主要机制以及原则也发生了一定的改变。信息化技术的发展，使得企业市场竞争具有很强的时效性。因此，企业现今所需要考虑的问题就是如何在现代信息化的环境下，对内部的信息系统进行积极构建。另外，在信息系统中，主要强调的是信息、技术与人的有机统一。因此，在对企业生产过程中产生的信息进行科学的管理也是一项难度较大的工作［1］。在进行内部信息管理的时候，管理者既需要对现今社会上的先进科学技术以及信息技术有较为深刻的认识，还需要对企业内部涉及到的各种资源进行合理协调，从而实现企业发展的可持续性。

一、企业信息安全管理体系的内涵

企业中的信息资源主要指的是企业在发展以及运营过程中，产生的一切信息文件，如资料、图表以及数据等。其贯穿于企业管理以及企业运行的全过程。从现今的情况来看，企业中涉及到的信息资源和企业的人力资源、无力资源以及财力资源都一样重要，为企业发展起着重要的推动作用。而信息管理的主要含义是企业生产以及发展过程中所产生的信息资源进行收集、处理以及分析，根据得出的信息数据，做出有关企业发展的重要决策。依据这个定义可以得出，信息系统管理体系的主要意义就是对企业中涉及到的所有信息技术按照企业发展的未来规划进行总体规划的制定，具有一定的思想性以及未来性。信息系统管理体系主要是对企业的发展战略进行充分考虑，以企业发展得到的数据以及信息为基础而建立起来的一种多维分层，具有动态性。从本质上来说，企业内部所进行的管理方式主要是对企业中的人力资源、物力资源以及财力资源等进行科学的管理，并依据对这些资源的管理，实现对信息资源的有序管理。因此，信息系统的管理也应该分为对人力资源进行的信息资源管理、对物力资源所进行的信息资源管理等。每个部分在企业信息资源管理的时候，都是独立进行的，且又是有机联系的［2］。企业的整个信息系统具有整体性的特点。企业之所以有进行信息资源管理的需求主要是因为企业需要对企业内部的各种要素进行协调，从而实现企业协调发展。

二、企业信息安全管理体系的主要特点以及相关的构建原则分析

(一)信息系统管理体系的主要特点

通过对信息系统管理体系的相关内容进行分析发现，信息系统管理体系所具有的主要特点有:首先，综合性。由于信息系统管理体系本身可含有的内容较多，且涉及到企业内部管理的方方面面，如组织、文化以及工程、发展战略等，同时，也涉及到了人力资源管理、财务管理以及通信技术等，可以说，对于企业发展内外的各种因素都进行了涉及。因此，企业信息系统管理体系具有一定的综合性。其次，多样性的层次。由于企业信息系统管理体系本身就是具有一定的层次性的，各种企业内部的子系统可以根据其实际情况，对其进行分级。再次，多维性［3］。企业信息系统的复杂性是造成其具有多维性的主要原因。从另一个层面来说，其多维性也是多视图的表现，可以从任何一个角度对管理体系进行理解。和建筑学一样，信息系统管理体系也体现了一定的立体概念。最后，动态性。由于信息系统管理体系是一个开放程度较高的体系，因此，其系统的内容结构等都可以根据实际情况以及环境的变化实时进行调整。

(二)信息系统管理体系的构建原则

一般来说，在进行信息系统管理体系的构建时，需要遵循的主要原则与:首先，较容易进行理解。信息系统管理体系的最终目标是服务于企业的发展，因此信息系统管理体系需要具备一定的实用性。另外，为了便于企业人员的实行，其还应该具备操作简单的特点。如果信息系统管理体系设置的过于晦涩难懂，就会导致企业人员难以对其进行有效应用，从而失去其实际应用价值。其次，应该具备一定的战略性。企业信息系统管理体系在进行实际构建的时候，应该对企业整体的发展战略以及运营状况进行充分把握。这样一来，可以使得信息系统管理体系在发挥其作用的时候，从企业的实际需求出发，对企业发展的战略进行充分把握，进而为企业所进行的各项决策提供一定的依据。最后，可操作性强。由于信息系统管理体系的主要目的就是对企业的各项资源，如信息资源、人力资源以及财务资源等进行充分管理［4］。因此，信息系统管理体系在建立的时候，需要具备一定的可操作性。只有具备较强的可操作性，才能将其充分运用于企业发展以及运营过程中，并产生企业决策所需要的信息。另外，需要注意的是，由于企业信息系统属于应用型系统，因此，在实际运用的时候，还需要定期对其进行维护，检查其中出现的各项失误，并对其进行积极整改，从而使得该信息系统得以平稳高效运行。

作者:卢仁鹏 单位:成都理工大学管理科学学院信息管理与信息系统专业

参考文献:

［1］张继德．两化深度融合条件下企业分阶段构建内部控制体系研究［J］．会计研究，2013，06:69－74+96．

［2］孙雪．基于医院信息系统探究医院信息管理体系的构建［J］．中国卫生产业，2014，10:185－186．

［3］李春灿．信息管理与信息系统专业本科生就业能力指标体系的构建及培养研究［J］．职业时空，2014，05:11－17．

［4］柯健．企业信息生态系统评价指标体系构建研究［J］．图书情报工作，2011，14:54－58．

［5］刘跃娟，白雪峰，任重贵，张建．应用型本科信息管理与信息系统(医学信息方向)专业课程体系的构建［J］．信息化建设，2015，10:31－33．

第二篇：网络环境下的企业信息安全管理策略

摘要:随着信息技术的不断发展,信息化开始深入到了人们的日常工作与生活中,信息系统的安全也受到了人们的广泛关注。想要确保网络与信息系统的正常使用,就要求企业中的管理人员要不断提高对息信息安全的管理力度,提高控制的效果,运用好网络协议,保证企业中信息的安全与可靠。基于此本文针对网络环境下的企业信息安全管理进行了简要阐述,并提出几点个人看法,仅供参考。

关键词:企业信息安全;网络环境;安全管理

在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在长期的发展过程中,人们将网络比喻成了一把双刃剑,虽然存在着较大的优势,但是其问题也不容小觑。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。

1企业中信息安全的重要性

企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展[1]。

2做好企业信息安全建设的措施

对于企业信息安全来说,是一项系统性的工程,并需要在技术与管理上做好相关工作,这样才能保证信息的安全。因此,在实际中就要认识到技术在信息安全管理中的重要性,同时还要完善系统的管理工作,发挥出应有的作用与效果,同时还要做好风险评估与技术创新等工作,以此来保证企业中信息的安全。

2.1安全风险评估

随着网络的不断发展,信息的种类也开始逐渐增多,这样所产生的问题也在不断的增多,并呈现出了越来越厉害的趋势,所以也就使得人们开始思考筹划信息系统的过程中,为了保证系统的健康营运而建造出全面的安全保障系统。通过对目前的应用系统进行分析与评估等工作是实际可行的办法。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。

2.2实际技术上的创新与管理

时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。对于企业来说,想要在行业市场竞争中占据一席之地,就要做好创新工作,全面实现创新理念,认识到制度创新是技术创新的基础,构建出完善的管理体系,提高程序以及方法上的科学性,同时还要保证财力上的支持,实现技术的改进与创新[2]。首先,要做好技术上的创新。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。普遍采用的恢复技术有HDDoctor等。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。同时还要明确怎样进行防护,掌握风险的来源。因此,在实际中就要对网络安全风险进行评估,并将重点放在安全测试评估技术上。其目标是要掌握好相关的技术,完善的测评流程,健全风险评估的体系。其次,完善管理措施。在长期的发展过程中,企业中的信息化建设开始从战术地位向着战略地位的方向发展了。因此,就要从经营战略的层面上出发,将信息化建设与企业中的经营战略结合在一起,在环境分析的基础上来制定出发展战略,及时对企业中的信息化纲领进行调整。同时还要明确的是要在满足企业发展战略的基础上来明确企业中的信息化愿景。第一,建立出完善的管理制度,明确管理的方案,以及安全服务等方面的内容,从企业自身的实际情况上出发没离开选择可以保证企业自身信息安全的产品。第二,建立出运维管理制度。在这一制度中要包含安全监控、设备设施的安全以及应急预案的处理等方面。第三,将监督检查机制落实到实际中去。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全[3]。

2.3充分运用防火墙技术

在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。另外,一些防火墙技术也会支持互联网服务特性的企业内部构建网络技术体系,也即是所谓的VPN,VPN会将全球的LAN以及电子网进行整合,从而来专用通信线路,实现资源的共享。

3结语

总的来说,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。

作者:汤宏亮 单位:中国铁路通信信号上海工程局集团有限公司

参考文献:

[1]范立宇.网络环境下信息安全管理体系建设研究及其构架[J].电子制作,2015,(18):44-45.

[2]李勇.基于网络环境下的企业信息安全管理[J].数字通信世界,2015,(06):166-166.

[3]郭士娟.冷金敏,冯涛等.网络环境下现代企业信息安全管理与隐患防范对策构建[J].信息系统工程,2013,(06):75-76.

第三篇：电力企业信息安全文化的建设

摘要：提出了电力企业信息安全文化的构建，从提高员工信息安全意识和建立信息安全管理规范两方面入手，提高员工信息安全意识，可以形成统一的信息安全理念和"信息安全、人人有责"的信息安全文化氛围；建立信息安全管理规范，让信息安全文化有章可循，有据可依。通过企业信息安全文化的构建，提高企业信息安全防护能力。

关键词：企业信息安全;企业文化;管理规范

1现状分析

企业在信息安全建设时，为了信息安全的最大化保障，花费了大量的财力，购置基础防护设施，不管是信息安全硬件还是软件，但是信息安全问题还是频发。溯其根源，大部分是因为企业内部员工信息安全意识过于薄弱。据统计，在发生信息安全事件时，只有20%～30%是因为外部人员破坏或其他外部原因造成，另外70%～80%是由于内部员工的疏忽或有意泄漏造成的［3］。根据GooAnn的《2012年度中国企业员工信息安全意识调查报告》结果显示，在所有受访者中，只有9.4%有良好的信息安全意识。因此，如何提高员工信息安全意识，不仅对企业的发展有利，也对员工自身有所帮助。员工有了好的信息安全意识，还需要管理制度作为企业文化的准则。以国网江西省电力公司为例，根据国网公司的统一要求，首先，使用通用制度作为公司统一的管理制度，国网省公司只能编制相应的补充管理规范。管理规范如何能够体现员工自身的意愿，除了内容要符合公司实际情况以外，更为重要的是需要一个好的管理规范修订办法，不断改进提升管理规范，满足公司信息安全的发展需求。

2电力企业信息安全文化建设

提高员工信息安全意识的主要手段包括培训、宣贯和考核等，但是填鸭式的培训和宣贯往往收效甚微，甚至可能适得其反，为提升员工信息安全意识，让员工自身投入到信息安全中，感受信息安全企业文化。本文以国网江西省电力公司为例，主要从以下三个方面开展。

2.1提高员工信息安全意识

信息安全培训有时候往往理论和实践是分离的，未能做到理论和实践有效相结合。为了进一步提高信息安全意识培训的效果，本文提出使用“理论-实践-理论”的培训模式。该培训模式的思想为：从理论中来，到实践中去，又回到理论本身，形成一个抽象到具体，又从具体中抽象的过程。“理论-实践-理论”培训模式步骤介绍：理论代表管理规范的抽象要求，实践代表管理规范的具体实施细则。首先，通过对管理规范的学习，了解公司总体的信息安全要求，通过学习与自身工作岗位相关的管理规范，对岗位信息安全要求有所了解。其次，在已有的信息安全知识基础上，培训学习公司目前部署的所有信息安全技术手段，并熟练使用这些技术手段，通过技术手段对员工行为的约束，更为深刻地了解管理规范的具体条款。最后，回到管理规范条款的仔细学习，通过结合管理规范和技术手段，加深自己对信息管理规范的理解。虽然有了合理的培训模式，但是信息安全意识的提高还是不能一蹴而就，需要循序渐进，不断加深员工对信息安全的认识和了解，加强企业信息安全氛围，使信息安全成为国网公司企业文化的组成部分。国网江西信通公司，作为信息安全的责任和专业单位，对企业信息安全工作的开展起着重要作用，为更好地提高员工信息安全意识，依托信通公司的专业知识，主要从以下三个方面信息安全企业文化构建工作。

2.1．1开展多渠道的信息安全知识宣贯

信息安全知识需要随时随地的学习和熟悉，只有通过多渠道的宣贯，才能让企业员工时时刻刻都能接触到信息安全知识，并得到学习和警示。发挥国网江西信通公司的专业优势，采用浅显易懂的文字和图片相结合的方式，编制信息安全知识手册，发放给每个员工学习，碰到不清楚的地方，随手可查。其次，通过国网江西信通公司负责运维的内网门户网站，设立信息安全知识宣贯专栏或飘窗，利用定期更新的方式，让员工每天可以接触到信息安全知识，加深了解。另外，利用员工每天高频率使用的个人办公电脑作为宣传媒介，开展宣贯工作，比如：设立办公电脑信息安全知识桌面壁纸、屏保动画及鼠标垫等等。通过以上多渠道的宣贯，让信息安全知识随时随地可以学习，让员工感受到信息安全企业文化触手可得，闲暇可学。

2.1.2定期组织信息安全知识讲座讨论

信息安全知识不断推陈出新，所以需要定期开展信息安全知识的讲座，让员工获得最新的信息安全知识。国网江西信通公司现有多名国网领军及专家人才，还有兼职培训师，都是信息安全方面的能手，利用他们专业的技能，开展信息安全知识讲座讨论，让员工感受到信息安全知识的重要性。另外，为了进一步加深员工对信息安全知识的了解，可以邀请国网公司相关专家，开展信息安全案例的讲座，通过对发生在自己身边的信息安全案例进行学习，更能认识到信息安全不是纸上谈兵。通过信息安全知识讲座讨论，感受到信息安全企业文化重在实践，近在身边。

2.1.3开展信息安全知识趣味竞赛

除了宣贯和讲座以外，了解信息安全知识的另一个好的途径就是考核，但是考核只会让员工死记硬背，不能真正了解信息安全知识的实质内容，所以，可以通过理论知识和实践知识竞赛的方式，让员工主动学习信息安全知识，也能学习如何把理论和实践相结合。通过开展信息安全知识趣味竞赛，并加以物质或精神奖励的方式，可以鼓励员工积极主动地学习信息安全知识，同时可以让员工有参与感，形成人人参与，人人有责的信息安全企业文化氛围。

2.2信息安全管理规范的修订

随着电力企业的发展，信息安全管理规范需要进行不断优化改进，并及时修订，以适应新的信息安全管理要求。在对管理规范进行修订时，通常根据二个方面开展：第一、国网公司的通用制度修编，国网公司统一新的通用制度，国网省公司进行新制度的学习和遵循；第二、国网省公司根据实际情况进行管理规范的调整。其中，第一方面由国网公司统一组织，国网省公司主要开展第二方面的修订，根据员工对信息安全认知的提高和实际工作问题的反馈，进行管理规范的修订，然而，员工对问题的描述往往较为模糊，并不像信息安全管理人员或运维人员描述的准确，所以会导致管理规范修订存在不精确的问题。为了改进这样的修订机制，本文选择由信息安全管理技术出发，技术手段是对管理规范的具体化，也是对管理办法内容的可操作化。所以，本文提出了从技术手段入手，逆向来提炼管理规范修订需求，管理规范修订流程图通过员工使用企业的信息安全管理设备和信息安全管理系统，向专业信息安全运维人员反馈在使用中存在的问题，然后由信息安全运维人员和管理人员进行提炼汇总，形成管理规范修订的新需求，从而更为准确地修订信息安全管理规范。

作者:王婧 沈宏杰 单位:江西省 电力职业技术学院

参考文献：

［1］国家电网公司.国家电网公司企业文化手册［M］.中国电力出版.2007.

［2］李雪,白洁,胡晓荷.品文化之悟成功之道-信息安全企业文化面面观［J］.信息安全与通信保密,2008（5）.

［3］李旭,孙硕.浅析企业文化建设与员工信息安全意识［J］.现代营销,2012（11）.［责任编辑韩翠丽］。

第四篇：企业信息安全审计分析

摘要:随着科学技术的发展，网络应运而生，开始广泛的应用于各个领域，影响着社会的生产和人们的生活。在网络出现之后，整个世界的联系在加强，人们会通过网络来传输和获取信息，为社会生产带来更多的便利。但网络的力量过于强大，且网络使各个行业之间的联系非常的紧密，因此它的安全性是极为重要的，直接影响着社会的稳定。如果网络世界没有了安全保障，那么无论是商业系统，还是企业生产，都会受到严重的影响，甚至对人们的生活、国家的安定构成一定的威胁。因此，为了顺应时展的需求，保障信息系统安全的安全审计开始出现。本文主要分析了企业信息系统安全审计的概念和意义，提出了安全审计的实施步骤。

关键词:企业生产；企业信息安全；安全审计

前言

安全审计不仅涉及到企业，也涉及到整个社会，甚至是国家的网络安全，因此安全审计是一个极为庞大的系统工程。我国有相关规定：保护计算机信息系统的安全主要是对维护国家经济、国防建设以及重点科学等重要领域进行保护，使其在一个安全的环境下运行。本文对经济建设中企业自身的利益为切入点，分析了安全审计对于网络信息系统的重要性，对相关的计算机网络系统安全审计进行探讨。

一、企业信息安全审计的重要意义

1、信息系统中安全审计的必要性

无论是个人，还是企业、政府等机构，在运用计算机网络的时候都需要安全保障，以保证系统的安全，防止重要数据信息的泄露和丢失。很多个人、企业等在使用计算机系统的过程中，都会按照自己的需求来设置相应的安全保护系统，做出相应的安排。但系统是否安全，不能仅仅凭着系统使用者的判断,而是由专业的计算机系统保护人员来评价的。这样才能客观、公正的进行审查，找出计算机系统中存在安全隐患的地方，并采取相应的措施来改变。因此，安全审计必须要遵循公平、公正的原则。

2、安全审计是审计的重要组成部分

在审计之中，安全审计是一个新的内容，其产生的原因主要是计算机和互联网技术的普及，以及开放式网络internet的广泛应用。安全审计对于企业的发展起着重要的作用，是企业信息安全的保障，也是企业自身的职责。安全审计是一个专门的审计项目，主要是由于安全审计的特殊性。计算机网络问题涉及到的企业和个人很多，影响到所有参与者的利益，且网络环境包含了多方面的知识和信息，具有复杂性和综合性。因此，无论是国家的财政收支，还是企业的信息管理，都需要保证计算机网络的安全，这就需要使用安全审计。

3、安全审计的监督体系

安全审计体系应使国家、社会和企业融为一体，以国家的安全审计作为主导，其余的为组成部分。企业要在国家政府的领导下，对计算机网络安全审计提供相应的服务，保证网络的安全。它是社会对网络系统安全作出评价得一种产物。安全审计需要定期的对网络的安全性做出检查和评价，确定计算机网络环境的安全，保证系统的正常运行。

二、企业信息安全审计的程序

安全审计要确定具体的内容和时间，以及相关的审计方法，就需要根据安全审计程序来做好相关的规程。安全审计不同于其他的审计方法，其实施过程主要分为以下三个阶段：

1、审计准备阶段

审计准备阶段主要是指对审计对象的情况、目标制度和结构等作基本的了解，并制定出相应的工作计划。在审计准备阶段，审计人员应确定对象的重点、安全要求及漏洞等，并采取相应的措施来避免漏洞的产生。首先，了解网络的基本情况，也就是通过企业的工作人员等咨询相关的计算机网络情况，通过实地观察来进行分析，找到可能存在的问题，掌握网络的连接情况。再则要了解企业安全控制的目标。一般来说，企业安全控制是为了保证系统的正常运行，数据信息完整可靠；企业的数据要有备份，出现问题后能够使系统快速的恢复正常等。此外，审计准备阶段还需要了解企业现行安全控制情况和可能出现的漏洞。审计人员要掌握企业对网络的安全保密计划，了解控制目标实现的具体情况，系统是否还存在漏洞等，再采取相应的措施。

2、审计实施阶段

在安全审计的实施阶段，其主要的内容是对内部的安全控制措施进行测试，确保措施的安全有效。首先，数据通信控制的目标是保持数据的完全与完整，在设备出现失灵现象的时候要及时的纠正，防止数据的丢失，并防止外来的internet及内部的非法操作软件。要达到目标，需要做以下的测试：选取一组数据传输，检查是否存在因线路噪声引起的数据失真；检查相关的通信记录，保证数据接收的正确性；对控制密钥的额安全程序进行检查；对信息通道上各个点上的内容进行检查；确定防火墙的控制性与便捷性是否处于平衡的状态；还要检查相应的口令控制程序，确保口令文件的安全。此外，要做好相关的硬件测试，对硬件的各项控制情况进行评价。审计人员要确定实物的安全控制措施是否恰当，检查操作人员是否对运行各部件出现问题的地方作了相应的记录；检查是否严格的按照流程来进行操作，操作流程是否合理；检查各硬件的资料是否完整。

3、审计终结阶段

安全审计的终结阶段主要是对企业内部的安全控制系统进行评价，并根据安全控制系统的状况提出相应的改进措施。一般来说，按照系统的完善程度、漏洞大小和存在问题的性质可以分为三个等级：一是基本安全，二是不够安全，三是危险。这几个等级需要运用不同的审计评价方式。

作者:张昕 单位:大庆油田信息技术公司北京分公司

参考文献:

[1]白雪祺,张锐锋.浅析企业信息系统安全体系建设[J].管理观察,2014,(27):81-83.

[2]张蕾.电力企业信息系统的数据安全审计[C].//2005年电力信息化高级论坛--ERP、现代网络技术及信息安全论文集.2005:159-160.

[3]陈晓.电力企业信息系统中统一身份认证与访问控制应用研究[D].华北电力大学(北京),2013.

第五篇：数字证书在企业信息安全应用

摘要:计算机、网络和人们的工作、生活联系越来越紧密,同时产生了大量信息。这些信息涉及个人隐私甚至工作秘密,信息的泄露会极大损害个人、企业的利益。如何保证这些信息在个人计算机、网络中使用和传输的机密性、完整性、安全性,以及对信息使用和接收者的身份确认,成了近年来信息安全领域研究的一个重要课题。

关键词:企业信息安全;数字证书;私钥公钥

着科技水平、信息化技术的发展,计算机、网络和人们的工作、生活联系越来越紧密。计算机的使用与网络的应用产生了大量的数据和信息,这些信息部分可以随意公开,少部分涉及个人隐私甚至工作秘密不能被他人知晓。如何保证个人数据、信息在使用和传输中的机密性、完整性、安全性,以及对信息使用和接收者的身份确认,成了信息安全领域研究的一个重要课题。

1存在的问题

随着信息化水平的提高,办公自动化系统、生产管理系统、ERP、邮件等系统在企业内部网络的使用,方便了员工的信息共享,提高了企业管理效率。但是每一个系统都有不同的账号登录,员工在各系统间频繁登录,要记录不同的账号与密码,维护难度大。通常系统登录采取账号加口令方式,账号加口令认证采用的是明文传输。这种身份认证方式存在安全漏洞,安全性差,用户一般使用容易记忆的口令,如数字、生日、姓名缩写等。因此建立安全、可靠的身份认证体系显得尤为重要。

1.1身份认证技术

常用身份认证技术包括单因素认证、双因素认证、生理特征认证等。账号加口令属于单因素认证;双因素是指除使用账号加口令认证方式外,采用诸如:USBKey(智能芯片卡),pin码,数字证书等其他的认证方式的一种强身份认证方式;生理特征身份认证以人体唯一的指纹、虹膜、声音等为依据进行认证;但是数据采集成本大、运营成本高,存储与传输难度大。从实用性和成本角度企业一般采取PKI/CA的双因素身份认证。

1.2PKI公钥基础设施

PKI公钥基础设施[1],是一种利用公钥理论和技术建立的密钥管理平台,它能够为网络应用和数据传输提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,为每个合法用户的使用提供合法性的证明。基于企业网络环境,无论是B/S、C/S架构的系统应用。利用PKI可以方便地建立,维护一个可信的企业内部网络环境,使企业员工在网络环境中能够确认彼此的身份和认证交换的信息;实现通信中各实体的身份认证,保证数据的完整性、真实性、抗抵赖性和信息保密等。

2PKI/CA系统

通常一个完整PKI系统必须包含几个部分:PKI客户端、注册机构RA、认证机构CA和LDAP目录服务器。

2.1PKI体系结构

PKI客户端是证书的使用者、持有者;RA证书注册机构,负责核实证书申请者的身份,是用户与认证中心服务连接的接口;认证机构CA是PKI的核心,负责制定证书策略、初始化RA,接收、撤销和更新证书请求,为实体生成密钥对,CA在密码传输中采用MD5加密算法,采取公钥与私钥结合的方式,在证书认证和下发中采用不可逆下发。CA负责签发网络用户的电子身份标识,对CRL证书注销列表进行管理;LDAP服务器提供目录浏览服务,负责将用户信息以及数字证书加入到服务器上。

2.2PKI建设

通常根据企业的性质不同和规模大小可以采用不同的建设方案,建设方案的选择直接关系到了PKI/CA系统的使用、管理、维护及安全性。一般有以下几种:(1)采用现有存在的面向公众服务商业性数字认证机构+部级权威公证模式。(2)采用完全自行建设模式。通过建立行业内部认证+内部审核公证系。第一种方式具有建设成本较低,无需建立维护、培训和支持团队,无需自己定义管理和安全策略。但应用和管理灵活性差。证书管理策略依赖于服务商,业务可靠性、稳定性依赖于外部服务,风险较高。第二种方式要独立建立、维护、培训和运营的整个PKI过程,并对PKI所有事物负全责,其中包括系统、通信、数据库及物理安全、网络安全、冗余系统、恢复等,对人员要求也比较高。比较适合具有全国、全省、行业范围内有多种业务相关的关键信息系统的应用;企业内部网络系统存在大量涉密信息对安全性可靠性要求高,企业内网与外网采取物理隔离的网络通常采取这种建设模式。

3USKkey在数字证书中的使用

3.1USBKey的特点

为了适应企业网络环境的特殊性,保障计算机和系统安全性,企业一般采用PIN码加USBKey的方式进行双因素登录。USBKey属于密码设备,内置智能卡芯片,通过存储的私钥信息在企业网络内部系统中实现身份认证、数字签名等功能。

3.2文件加密传输

为保障企业内部涉密文件的加密传输,保证接受者的合法读取权,都可以通过身份认证进行解决。加密传输对原有明文的文件按照某种特定算法进行处理,形成不可读的一段代码“密文”,匹配相应的密钥之后显示原来的文件内容。

3.3USBKey私钥证书恢复

通常企业信息安全管理部门设置专属的CA管理人员,负责证书的维护,对用户的证书申请、重发放及密钥制作。企业内部网络用户丢失或者损坏USBKey,CA管理人员通过数字证书系统密钥恢复数据,将私钥备份复制到新的USBKey中。

3.4USBKey的管理

企业内部采用双因素认证,工作中难免个人PIN码和USBKey被他人知悉。为了防范需要加强PIN码和USBKey的管理,定期修改PIN码,停止使用计算机时将USBKey存放到安全的设备中如:文件柜、密码柜中,人走拔key。企业内部大量USBKey的使用,增加管理难度,为了区分采取数字编码或制作用户标牌进行划分。同时完善日志,审计用户信息、终端信息、认证时间和成功失败情况等,若出现异常,便于追踪,加强防范。

4结语

随着企业信息安全意识的加强,以及在商务领域中PKI/CA技术的广泛应用。数字证书系统已经是一种成熟的技术手段,在数据安全加密和加密传输中能够较好的解决信息安全方面的问题,随着信息化水平的提高数字认证、身份认证技术必将广泛应用到各行业中。

作者:马萌 单位:中国空空导弹研究院 

参考文献:

[1]谢冬青,冷建.PKI原理与技术[M].北京:清华大学出版社,2004.