1 绪论
1.1 研究背景和意义
1.1.1 研究背景
社会的发展和经济的飞跃都无法离开计算机网络迅速发展的支持,在现在这个网络化的企业和社会中,网络的正常运行和稳定的信息服务是必不可少的。但是随处可见的网络中,到处存在着各种各样的不安全因素,对计算机、个人乃至企业的信息安全造成了很大的威胁,因此,如何保证个人信息安全、企业信息安全已经是全社会面临的一个共同问题。
在互联网环境下,由于网络的开放性、普适性和隐匿性,使得企业整体环境的运行、维护及管理变得可控性更低,因此在黑客的蓄意攻击下,很容易导致企业信息系统的瘫痪,或者敏感数据被窃取。网络是信息时代最具代表性的时代产物,它在为人们提供一系列便利的同时,也会带来一定的安全隐患。近年来,网络安全事件不断的发生,Facebook 用户隐私数据泄露、澳大利亚政府雇员个人信息泄露、委内瑞拉大规模停电等网络安全事件引起了全球范围内的广泛关注,而这一类的安全事件也敲响了网络安全的警钟。由于网络在社会中的广泛应用,国家也对网络安全问题给与了高度的重视,从多方面出台相关政策,旨在加强网络信息的监管,从而推动互联网乃至整个社会的和谐发展。但是现阶段国内所使用的网络系统及管理与国外相比仍然存在着一定的差距,网络用户缺乏应有的安全防护意识,企业对于网络安全的投入不足,缺少对于网络安全的防护机制及响应的安全策略,被黑客攻击后没有对应的应急恢复措施。一方面是因为安全技术的缺乏,核心安全技术远远落后于国外,另一方面也是因为中国近些年发展太快,国内用户对于网络安全的普遍不重视,没有意识到网络安全问题会给大家带来多大的影响,这也就为恶意攻击者提供了良好的施展环境,使得网络安全事件更容易发生。
..............................
1.2 国内外研究发展现状
自上世纪 90 年代计算机以及因特网的普及后,随着社会的发展,人类已经开始全面迈向信息化的时代。随着信息技术的飞速发展,人们在计算机上的工作已经从单机上运行的文件处理和办公自动化,发展到内网、外网、互联网等全球范围内的业务处理和信息共享,这些通常被称为局域网、城域网和广域网。随着德国率先提出工业 4.0,全世界各个重要的经济体也提出了类似的规划和纲领,中国也根据自身的发展情况相应的提出了中国制造 2025。如今,信息化革命与信息化建设协同工业自动化将显著提高企业的生产效率,大大增加企业在市场上的竞争力,同时为企业明显减少长期开支、节能减排,使企业进入可持续发展。然而,现代信息化技术在给社会提供便利、更高效的带来收益的同时,也使人们在持续面临着网络安全管理的巨大挑战。
企业网络通常是黑客攻击的首选目标。如果一个黑客能够突破企业的网络安全防御系统,那它就有可能突破并访问企业内部的所有计算机。据统计,网络安全事故在近几年造成的损失达到了每年数千亿美元,网络系统的重要性和脆弱性已经被国家政府以及企业组织所意识到。因此,企业的信息化建设对于企业的发展及判断企业是否是一个具有竞争力的现代化企业是非常重要的标准,而在信息化建设中,能否有效保障数据信息的安全、网络防护的稳定性及系统的可用性,则直接反映了信息化建设的成功与否,也是企业可持续并且稳定发展的重要手段。
............................
2 理论依据
2.1 P2DR2 网络安全模型
P2DR2 是 P2DR 的进阶模型,P2DR 名称来源于其模型的四个组成部分,分别是策略(Policy)、保护(Protection)、检测(Detection)和响应(Response),也就是 PPDR,也叫 P2DR,P2DR 模型是 ISS 美国国际互联网安全系统公司提出的动态网络安全体系的代表模型,同时也是动态安全模型的原始安全模型。该模型主要是根据风险管理的安全策略对系统中需要进行保护的资源进行描述,并以合适且必要的途径对其加以保护。在整个安全模型中,策略是整个模型的核心,所有的防护手段、检测方法和响应措施全部围绕着安全策略来施行。
而 P2DR2 模型是在 P2DR 的基础上,增加了一个 R(Recovery)恢复,使得该模型在根据防护策略进行防护时能够动态的发现系统中存在的问题,并对发现的问题及时做出响应,进而对其结合技术与管理手段进行实时的处理,从而形成自适应动态安全体系,如图 2.1 所示,该理论最基本原理是,认为网络安全相关的所有行为及活动,无论是网络攻击行为、安全防护行为、系统检测行为还是系统响应行为等都需要花费时间,所以可以用时间来衡量一个安全管理体系的安全能力和安全性。
网络安全管理毕业论文参考
2.2 ISMS 信息安全管理体系
信息安全管理体系(Information Security Management System)(简称 ISMS)[22]是系统地解决信息安全问题的一种有效途径。ISMS 是组织整体管理体系中不可或缺的组成部分。在组织中,作为一个整体,在特定的范围内使用这些策略和方法来实现信息安全。因此,ISO/IEC27001 作为时下具有代表性的国际信息安全管理体系标准,已经得到越来越多的国家和组织的认可。对企业来讲,信息安全是实际管理中更多的是风险管理的问题,风险管理一般是围绕信息安全风险而展开的评估、处理、应对和控制的一系列活动,此外,风险评估更是建立信息安全管理体系的重要条件,也是 PDCA ( Plan, Do, Check, Action)中 Plan 阶段最重要的活动。得益于风险评估,企业可以对其当前面临的安全问题进行系统全面的了解,分析、判断问题的严重性及影响程度,从而确定在信息安全建设方面的实际需求。ISO27001 标准指出,组织所有选择控制目标和控制风险的行为,都应该从风险评估中得出的实际需求出发。
风险管理就是识别风险,评估风险,并且对其采取必要的应对措施将风险降低到企业可以接受的水平,并将其维持在这个水平的一个过程。而信息安全管理的核心管理内容就是风险管理。因此,往往会用风险管理来概述信息安全管理。
风险管理的过程与信息安全管理基本相似,他也是动态发展并且不停重复优化并循环的过程。在每一个风险管理周期的后期,如果发现因为出现了新的变化而引起了新的风险,或者因为业务本身的需求体现,都需要再次进入下一轮的风险管理周期。在风险评估中,通过以脆弱性分析为主线,结合 ISO27001 标准的控制点的识别方式,获得企业内部全面详细的风险信息,可以更好的控制企业目前所面临的风险,从而提高风险的可控性。通过实施企业的风险管理,一方面可以不断提高企业全体员工的信息安全意识,明确信息安全管理的在每一位员工身上所体现的职责及义务,与此同时,也是推广信息安全管理理念,强化员工安全意识并且整体进行信息安全管理规范化的过程。规范信息安全工作流程,明确企业每一位员工所应该承担的安全责任及义务,从而为企业信息系统的持续稳定运行提供强有力的保障。另一方面,实施风险管理也是建立全面、完整的信息安全管理体系,有效控制信息系统风险的开端。通过实施标准化的信息安全管理体系,可以有效提高信息安全的管理级别。通过风险评估和风险控制,可以有效降低企业的信息系统随时需要面对的安全风险,从而减少潜在的安全隐患,减少因信息系统故障及数据丢失或被窃取而造成的经济损失,进而使信息系统受到蓄意攻击时,能够确保业务的连续性并将公司损失降至最低。
............................
3 A 公司网络安全管理现状 ........................................ 12
3.1 A 公司简介 ................................................. 12
3.2 A 公司网络安全管理背景 ................................. 12
4 A 公司网络安全问题原因分析 .................................... 19
4.1 潜在威胁分析 ........................................ 19
4.1.1 人为因素 ....................................... 19
4.1.2 系统因素 ...................................... 20
5 网络安全管理改进方案设计 .................................... 27
5.1 网络安全组织管理 .................................... 27
5.1.1 安全规划 .............................................. 29
5.1.2 安全技术 ......................................... 31
6 方案实施的保障措施
6.1 组织保障
网络安全问题的改善是一项系统性的工程,而获取公司管理层的全面支持则无疑是能否将 A 公司的网络安全改善项目顺利实施的必要条件。在方案开始实施之前首先需要得到的是 A 公司管理层对于网络安全问题改善的全力支持,主要包括资金及人员的保障。
(1) 公司的发展离不开投资,而合理必要的投资则是加快公司发展、提升公司价值及保障公司利益必不可少的手段。因此需要在项目开始之前与公司管理层充分说明目前 A 公司所面临的网络安全问题及这些问题给公司造成的影响,进而阐述信息安全管理改善可以为公司提供的改善价值。网络安全改善的投入意义正如保险,投入较小的成本,来保障整体较大的利益,只有公司管理层对于安全改善能够给与充分的理解并支持,才能让改善项目获得充分的资金支持。 项目开始之前,资金保障的获得主要通过向管理层阐述及明确网络安全管理改善项目实施的必要性及迫切性来达成,也就是项目开始之前的商业论证。通过商业论证可以较详细的向管理层说明网络安全管理改善项目的背景、目的、方法、成本以及项目周期,以供管理层进行评估,因此,客观的描述目前公司存在的安全风险及评估风险可能导致的影响应该是在商业论证中获得项目资金保障的最重要也是最开始的一步。
项目开始之后,应该对项目各阶段严格进行管控。主要包括项目阶段验收的质量把控,出现变更需求时对于变更必要性和影响性的评估,严格控制变更所导致的额外费用。当然变更的费用在项目开始之前就应该设立,但变更专项费用的设置并不意味着这笔费用必须要使用掉。
网络安全管理毕业论文怎么写
..............................
结论
本论文从 A 公司的实际情况出发,结合现在环境中存在的网络安全问题,参考当下常用的网络安全技术及管理方法,对苏州工厂进行网络安全管理的升级改善,从而提升A 公司的网络安全,进而推动 A 公司在信息系统中日常运营、管理等方面的进一步发展。
在本论文中,主要取得的结论如下。
首先,通过实际的环境考察及系统分析,发现 A 公司在网络安全管理技术上缺少必要的安全技术支持,因此留下了不少的安全漏洞。其次,A 公司对于网络安全的风险管理几乎为零,没有网络安全事故演练及安全事件应急处理流程,这对于安全事件发生后的及时止损有着不可忽视的作用。人员管理方面,A 公司的管理层对于网络安全管理的重视度不够,公司普通员工的网络安全意识较差,缺少网络安全管理政策来遵循,急需提升全员网络安全意识,定期进行网络安全意识培训。总体而言,经过整体优化改进后的 A 公司网络安全防护级别已经基本完备,对之前存在的网络安全管理漏洞进行修复后,A 公司的网络安全性及网络安全管理水平可以得到较大的提升,而网络安全意识培养及网络安全管理政策则对网络安全的人为影响因素可以进行极大的弥补,多方面的改善将对 A 公司的网络安全管理级别起到建设性的提升。
本文对于 A 公司网络安全改善的研究还存在一定的不足,如下两点有待后期进一步改进。
(1) 基于 A 公司苏州公司的改善规划,在本文的研究中没有对网络安全的防护技术进行深入的分析研究,因此在第二阶段的网络安全改善中需要在技术方面做进一步的研究。
(2) 受限于总部整体的规划及政策法规的限制,在苏州工厂网络安全改善研究中能使用的解决方法存在一定的限制,期望将来在公司内部的协调中能够得到一定的改进。
随着企业的不断发展,企业所面临的安全风险也会不断增加,企业对于信息化建设的要求也会不断提升。因此仍然需要不断的提升企业安全管理水平,从网络安全管理提升为信息安全管理,用标准的信息安全管理体系来全方位提升企业的信息安全管理。
参考文献(略)