企业办公信息安全论文

1企业办公中的信息安全威胁

企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的，是一个综合管理系统。从安全形势来看，企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享，但同时在安全方面又是脆弱和复杂的，对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面：信息泄露：信息被泄露或透露给某个非授权的实体；破坏信息的完整性：数据未经非授权被增删、修改或破坏而受到损失；拒绝服务：对信息或其他资源的合法访问被无条件地阻止；非授权访问：某一资源被某个非授权的人，或以非授权的方式使用；窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息；业务流分析：通过对系统进行长期监听，利用统计分析方法对某些参数进行研究，从中发现有价值的信息和规律；假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击；旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利；授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”；特洛伊木马：软件中含有一个觉察不出的有害的程序段，当其被执行时，会破坏用户的安全；陷阱门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略；抵赖：这是一种来自用户的攻击，如否认自己曾经过的某条消息、伪造一份对方来信等；重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送；计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序；人员不慎：一个授权的人为了某种利益，或由于粗心，将信息泄露给一个非授权的人；媒体废弃：信息被从废弃的磁碟或打印过的存储介质中获得；物理侵入：侵入者绕过物理控制而获得对系统的访问；窃取：重要的安全物品，如令牌或身份卡被盗；业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。

2企业办公中的信息安全策略

2.1保护网络安全

网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：全面规划网络平台的安全策略；制订网络安全的管理措施；使用防火墙；尽可能记录网络上的一切活动；注意对网络设备的物理保护；检验网络平台系统的脆弱性；建立可靠的鉴别机制。

2.2保护应用安全

保护应用安全，主要是针对特定应用（如Web服务器、数据库服务器、ftp服务器等）所建立的安全防护措施，这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

2.3保护系统安全

保护系统安全，是指从整体信息系统的角度进行安全防护，与网络系统硬件平台、操作系统、各种应用软件等互相关联，其安全策略包含下述一些措施：①在安装的软件中，检查和确认未知的安全漏洞；②技术与管理相结合，使系统具有最小穿透风险性。③建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

2.4加强员工的信息安全培训

企业办公中，员工在上班时经常进行一些与工作无关的计算机操作，不仅影响网络速度，更影响系统安全。因此，在整个企业办公中的信息系统管理中，人为因素最重要，必须加强对计算机使用者的安全培训。

作者：吴霞 单位：中石油辽河油田分公司特种油公司