文章摘要：        一般來(lái)講，大型機(jī)構(gòu)在網(wǎng)絡(luò)化…

       一般來(lái)講，大型機(jī)構(gòu)在網(wǎng)絡(luò)化過(guò)程中面臨的安全問(wèn)題可包括網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)安全。針對(duì)網(wǎng)絡(luò)系統(tǒng)安全方面，機(jī)構(gòu)需要防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)的存取或破壞以及非法入侵；在數(shù)據(jù)安全方面機(jī)構(gòu)則需要防止機(jī)要，敏感數(shù)據(jù)被竊取或非法復(fù)制，使用等。各類計(jì)算機(jī)病毒，系統(tǒng)陷阱(Trapdoors)，隱蔽訪問(wèn)通道，黑客攻擊等造成敏感數(shù)據(jù)泄密，Web站點(diǎn)癱瘓等等問(wèn)題，都是機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)化面臨的外部威脅。如何搭建安全的網(wǎng)絡(luò)架構(gòu)，如何將非法入侵者拒之門外，如何防止內(nèi)部信息外泄，這些都是企業(yè)/機(jī)構(gòu)在進(jìn)行網(wǎng)絡(luò)化過(guò)程中必須解決的問(wèn)題。
      目前，機(jī)構(gòu)僅僅利用Firewall在網(wǎng)絡(luò)的邊緣設(shè)置了快速有效的網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)巡警系統(tǒng)，可以對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御低階通訊層次的攻擊，防止主機(jī)及個(gè)人電腦的入侵，檢測(cè)惡意的可執(zhí)行程序和阻絕網(wǎng)絡(luò)的濫用。
這種解決方案是針對(duì)外部入侵的防范，對(duì)于機(jī)構(gòu)內(nèi)部信息保密安全管理卻無(wú)任何作用。對(duì)于一個(gè)大型機(jī)構(gòu)，信息保密安全防范尤為重要。以往人為控制的教育加監(jiān)督(人工填寫日志)的安全管理方式是無(wú)法阻止內(nèi)部工作人員運(yùn)用現(xiàn)今的高科技信息載體主動(dòng)或被動(dòng)泄密(如利用EMAIL，F(xiàn)TP，筆記本，光盤，可移動(dòng)存儲(chǔ)等)的，這是每一個(gè)安全管理人員必須認(rèn)真對(duì)待的問(wèn)題。
Internet是一個(gè)開(kāi)放的網(wǎng)絡(luò)，同其高速發(fā)展相關(guān)的負(fù)面結(jié)果就是嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。特別是日益嚴(yán)重的內(nèi)部信息泄漏問(wèn)題，F(xiàn)BI和CSI對(duì)484家公司調(diào)查顯示：

編號(hào)	安全事件	占有比例
1	內(nèi)部安全威脅	85%
2	內(nèi)部未授權(quán)的存儲(chǔ)	16%
3	專利信息被竊取	14%
4	內(nèi)部人員的財(cái)務(wù)欺騙	12%
5	資料或網(wǎng)絡(luò)的破壞	11%

      從上述數(shù)據(jù)中，我們可以看出面對(duì)來(lái)自于公司內(nèi)部的安全威脅，必要的安全措施對(duì)企業(yè)是如何重要。當(dāng)前，國(guó)內(nèi)的企業(yè)用重金購(gòu)置防火墻，防病毒軟件來(lái)防止外界威脅的同時(shí)，往往忽視了對(duì)內(nèi)部安全威脅的對(duì)策。

      內(nèi)網(wǎng)安全現(xiàn)狀分析嚴(yán)重的信息外泄
      在大量的安全事件中，最為嚴(yán)重的是企業(yè)內(nèi)部員工直接造成或者參與的非法信息外泄事件，并且由于內(nèi)部員工對(duì)于內(nèi)部的組織結(jié)構(gòu)，人員部署，機(jī)構(gòu)設(shè)置相對(duì)于外部人員要熟悉的多，因此，內(nèi)部員工造成致使的信息外泄事件往往情節(jié)嚴(yán)重，并且損失巨大！
      信息外泄的途徑包括：計(jì)算機(jī)工作人員由于對(duì)專業(yè)知識(shí)的不熟悉而泄密 
      對(duì)電子信息保密的意識(shí)還不強(qiáng)，常常由于專業(yè)知識(shí)不熟悉而泄密。如有些人由于不知道計(jì)算機(jī)的電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施，因而給他人提供竊密的機(jī)會(huì)。有些人由于不知道計(jì)算機(jī)軟盤上的剩滋可以提取還原，將曾經(jīng)存貯過(guò)秘密信息的軟盤交流出去，因而造成泄密。有些人因事離機(jī)時(shí)沒(méi)有及時(shí)關(guān)機(jī)，或者采取屏幕保護(hù)加密措施，使各種輸入，輸出信息暴露在界面上。規(guī)章制度不健全或者違反規(guī)章制度泄密
      如有的單位沒(méi)有配備專門的計(jì)算機(jī)維護(hù)管理人員，或者機(jī)房管理不嚴(yán)格，無(wú)關(guān)人員可以隨意進(jìn)出機(jī)房。當(dāng)機(jī)器發(fā)生故障時(shí)，隨意叫自己的朋友或者外面的人進(jìn)入機(jī)房維修，或者將發(fā)生故障的計(jì)算機(jī)送修前既不做消磁處理，又不安排專人監(jiān)修，造成秘密數(shù)據(jù)被竊。操作人員對(duì)涉密信息與非涉密信息沒(méi)有分開(kāi)存儲(chǔ)，甚至將所有的文件都放在一個(gè)公共目錄里，也沒(méi)有進(jìn)行加密處理或者保護(hù)處理，使涉密信息處于無(wú)密可保的狀態(tài)。故意泄密
      由于電子信息文檔不象傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會(huì)留下痕跡，所以竊取秘密也非常容易。電子計(jì)算機(jī)操作人員徇私枉法，受親友或朋友委托，通過(guò)計(jì)算機(jī)查詢有關(guān)案情，就可以向有關(guān)人員泄露案情。計(jì)算機(jī)操作人員被收買，泄露計(jì)算機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會(huì)使不法分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)，數(shù)據(jù)庫(kù)內(nèi)的重要秘密。

      分散的桌面系統(tǒng)
      企業(yè)內(nèi)部大量的、分散的桌面和有效管理是企業(yè)內(nèi)部安全的一種重要保障。分散的桌面系統(tǒng)信息：對(duì)企業(yè)而已，網(wǎng)絡(luò)內(nèi)部大量?jī)?nèi)部的桌面系統(tǒng)信息不能被有效的，快速的，集中的收集起來(lái)，不但給管理帶來(lái)相當(dāng)?shù)睦щy，同時(shí)也為集中管理造成了障礙；信息的發(fā)起源：我們接觸和處理的信息當(dāng)中，絕大多數(shù)都是由桌面系統(tǒng)產(chǎn)生的，正是由于我們的桌面每天都在產(chǎn)生著不同密級(jí)的信息，并且有不同的人希望通過(guò)費(fèi)常規(guī)手段來(lái)獲取這些不同秘密的信息，才產(chǎn)生了安全威脅，因此可以說(shuō)，桌面系統(tǒng)是安全事件的產(chǎn)生源；攻擊的發(fā)起點(diǎn)：幾乎所有的攻擊，安全威脅都是從桌面發(fā)起并完成的，大量的絕密信息外泄也從桌面系統(tǒng)外泄的。

      缺乏有效的管理機(jī)制
      企業(yè)內(nèi)部往往都缺乏比較有效的管理機(jī)制，來(lái)對(duì)內(nèi)部安全進(jìn)行有效的管理：不完善的內(nèi)部安全管理機(jī)制：企業(yè)內(nèi)部有一定數(shù)量的管理機(jī)制，但是這些管理機(jī)制本身存在著一些問(wèn)題和不足，也導(dǎo)致了內(nèi)部安全管理沒(méi)有得到"制度性"的保障；內(nèi)部安全管理機(jī)制不能被有效執(zhí)行：企業(yè)內(nèi)部缺乏有效的管理制度執(zhí)行機(jī)制，使得管理制度不被執(zhí)行，為數(shù)不少的管理制度仍然還只是停留著紙面上。

      缺乏內(nèi)網(wǎng)安全系統(tǒng)和方案
      對(duì)內(nèi)網(wǎng)安全系統(tǒng)和方案的缺乏，也對(duì)內(nèi)網(wǎng)的安全管理帶來(lái)了一定的阻礙：大多數(shù)安全系統(tǒng)都只是來(lái)自于外部的入侵：針對(duì)于來(lái)自外部的入侵，已經(jīng)大量成熟的安全系統(tǒng)來(lái)防范，但是內(nèi)部的安全威脅和隱患，卻很少被注意到，或者已經(jīng)注意到，卻沒(méi)有完善的安全系統(tǒng)和安全來(lái)解決企業(yè)的內(nèi)部安全問(wèn)題；內(nèi)部安全系統(tǒng)還不夠成熟：在少數(shù)的內(nèi)部安全系統(tǒng)中，多數(shù)都只是關(guān)注某個(gè)具體的訪問(wèn)，比如撥號(hào)連接控制，文件保護(hù)等，僅僅是一個(gè)技術(shù)意義上的產(chǎn)品，不能提出全面的內(nèi)部安全管理方案。