公司网络安全措施范文第1篇

某些企业的业务人员存在知识掌握不扎实、系统操作掌握不熟练、风险防范意识不高等多种问题，这些因素都可能导致业务员因操作不当引发相应的风险危机。操作风险有以下几种表现形式：①公司业务员在电脑上安装非法软件，将内外网连接互通引发黑客攻击、病毒感染等严重后果；②公司业务员不熟悉自身工作业务流程或者是对业务系统掌握不扎实、功能操作不熟悉在账务操作时出现错误；③公司业务员在离开工作台、交接班、下班时没及时退出业务操作界面，给不法人员提供了便利条件，不法人员趁机进入业务界面进行非法操作。不法人员可以对业务系统进行数据修改、篡改程序等恶意操作，使公司造成严重的经济损失；④公司业务员利用职务之便进行贪污挪用公款等非法操作，给公司造成严重的经济损失。

2管理风险

对计算机和网络系统管理不当造成的风险属于管理风险。使用系统时忽略了计算机和网络的固有缺陷和潜在的危险，并且对信息泄密没有给与足够的重视，计算计和网络犯罪没有相应健全的惩治制度。相应的企业在思想上没有注重网络风险防范，在制度上、人员管理上没有完善的规章制度，以上都属于计算机安全管理制度不完善的表现。管理、执行不到位给计算机和网络带来了额外的风险。公司制定的制度存在漏洞、操作执行不到位都会引发系统潜在的风险。公司制度过于陈旧不符合现展需求。如果企业只重视业务发展却疏于企业管理，使管理过于形式化，业务员忽视密码维权、客户数据保密等规章制度。如今公司业务员存在流动性大、工作年限少的特点，公司业务员的整体素质有所下降。大部分业务员都停留在简单的应用层面，公司业务员工作经验少、业务知识和操作水平等各项业务素质低下，这些可能引发计算机和网络系统的潜在风险。

3网络攻击风险

网络攻击有多种形式，网络攻击以窃取重要信息、恶意破坏、炫耀技术等为目的。网络攻击包括几下几种形式：(1)破坏数据攻击人员通过不法操作修改、破坏数据库数据，或者是通过截取网络传输的数据，是业务数据库瘫痪最终致使业务无法正常运行。(2)拒绝服务攻击人员通过不法操作使计算机和网络系统停止相应的服务。这种风险是由网络协议本身的安全缺陷造成的。(3)盗窃重要信息攻击人员通过不法作窃取、伪装目标机器上的重要信息，不法者通过获取的信息谋取不正当利益。

险防范模式的探究

4.1风险防范的结构体系

计算机和网络风险防范模式包括以下几部分内容：风险防范措施选择、风险防范策略选择、风险防范的实施。另外风险防范措施选择包括风险假设、风险限制、风险规避、研究和了解、风险转移、风险计划几种类型；风险防范策略选择包括选择防范控制类别和风险防范实施点的寻找两部分内容。实施风险防范包括对行动优先级的排序、评价建议的安全控制、实施成本及收益的分析、风险防范控制的选择、责任分配、制定安全措施的实现计划、实现被选择的安全控制,最后就是进行残余风险分析这几个过程。

4.2实施风险防范模式

在风险防范措施的实施过层中，应该遵循以下原则：将系统中的最大风险找出来，争取用最小的代价来消除或是减缓相应的风险，并且将其造成的影响降到最低。实施措施的是执行通过以下7个步骤完成，实施风险防范措施流程及其输入输出如图1所示：

5总结

公司网络安全措施范文第2篇

承诺书是指承诺人对要约人的要约完全同意的意思，并以书面形式表达。以下是小编收集整理的关于网络信息安全的承诺书，欢迎大家阅读，但愿对你有借鉴作用。

关于网络信息安全承诺书1为了保护我校校园网络系统的安全，促进学校计算机网络的应用和发展，保证校园网络的正常运行，根据市公安局和市教育局的有关文件以及《__x中学网络安全管理制度》的要求，请各位老师配合做好以下工作：

一、每位老师使用的电脑应使用固定ip地址并进行绑定，使用真实姓名对计算机进行命名。具体操作方法：鼠标右键点击"我的电脑"_属性_计算机名，在此界面的中部“要重新命名此计算机或加入域”，单击更改，改名的格式：__李__，以此类推。

二、所有连入校园网络的计算机均须安装使用公安部门检测认证的杀毒软件，禁止安装网上下载的未经公安部门检测认证的或试用版的杀毒软件，同时要做好病毒和木马等安全防范工作。

三、坚决杜绝访问国家禁止的非法网站、国内外的反动、迷信、暴力、色情等不健康的网站。

四、禁止浏览、下载并传播一些盗版、迷信、暴力、色情等不健康的内容的文件和电影。

五、校园网中对外信息的web服务器中的内容必须经部门领导审核才能，所有校园网用户的帐号密码必须自己妥善保管使用，不得随意公布转借。

六、校园网的所有用户有义务向网络安全管理人员或有关部门报告违法犯罪行为和有害的、不健康的信息，并协助有关部门进行调查。校园网建设领导小组应不定期检查校园网络信息的内容，督促管理员和各部门对有害信息进行清除。

请老师们遵守以上条例，如有违反，将导致无法上网并承担一切后果。

关于网络信息安全承诺书2为保障互联网网络与信息安全，维护国家安全和社会稳定，保障公民、法人和其他组织的合法权益，承诺遵守《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《互联网安全保护技术措施规定》(公安部82号令)等有关法律法规的规定，履行以下法定义务：

一、依法进行备案登记

1、在网络正式联通后的三十日内到郴州市公安局网技支队进行备案登记;

2、向公安机关提供本单位互联网资料、网络拓扑结构和接入本网络的接入单位和用户情况;

3、向公安机关提供本单位IP地址范围、分配给本网联网用户IP地址和详细使用情况。

4、与郴州市公安局网技支队建立联席制度和用户资料报告制度，确保用户IP等资料及时更新。

二、依法从事信息服务业务

不利用国际联网制作、复制、、传播下列信息：(注：据修订后的292号令的相关内容进行修改)

(一)煽动抗拒、破坏宪法和法律、行政法规实施的;

(二)煽动颠覆国家政权、推翻社会主义制度的;

(三)煽动分裂国家、破坏国家统一的;

(四)煽动民族仇恨、民族歧视，破坏民族团结的;

(五)捏造或者歪曲事实，散布谣言，扰乱社会秩序的;

(六)宣扬封建迷信、淫秽、色情、、暴力、凶杀、恐怖，教唆犯罪的;

(七)公然侮辱他人或者捏造事实诽谤他人的;

(八)损害国家机关信誉的;

(九)其他违反宪法和法律、行政法规的。

发现网络传输的信息明显属于上述所列内容之一的，立即停止传输，保存有关记录，并向公安机关报告;对网络传输的信息内容难以辨别的，经相关主管部门审核同意后再。

三、切实履行安全保护职责

建立并落实以下网络信息安全保护管理制度和技术保护措施：

(一)信息、审核制度;

(二)信息监视、保存、清除和备份制度;

(三)病毒检测和网络安全漏洞检测制度;

(四)违法案件报告和协助查处制度;

(五)账号使用登记和操作权限管理制度;

(六)安全管理人员岗位工作职责;

(七)安全教育和培训制度;

(八)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施

(九)重要数据库和系统主要设备的冗灾备份措施;

(十)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施，信息内容留存六个月以上，日志信息留存12个月以上;

(十一)在公共信息服务中发现、停止传输违法信息，并保留相关记录;

(十二)提供新闻、出版以及电子公告等服务的，能够记录并留存的信息内容及时间;

(十三)开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复;

(十四)开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息;

(十五)法律、法规和规章规定应当落实的其他安全保护制度和安全保护技术措施。

提供微博客、博客、论坛、即时通讯等交互式信息服务的，还应落实以下安全保护管理制度和安全保护技术措施：

(一)专职信息安全员管理制度，按照日均发帖1万条以下的配备1名，10万条以下配备3-5名，100万条以下不少于20名，500万条以下不少于50名，超过500万条的不少于60名的标准配备安全员;

(二)用户实名注册保护管理制度及措施;

(三)7_24小时公共信息巡查制度;

(四)信息网络安全事件应急处置工作制度及措施。

(五)法律、法规和规章规定应当落实的其他安全保护技术措施。

四、配合公安机关互联网管理工作

1、按公安机关通知要求，第一时间对含有违法有害内容的地址、目录或者服务器进行关闭或删除;

2、当公安机关依法查询、追踪和查处通过计算机信息网络实施的违法犯罪活动时，如实提供有关信息、资料及数据文件。

3、建立网络与信息安全责任人联系制度，保证公安机关可以随时与本单位安全责任人沟通联系。

本单位法定代表人为第一负责人，相关部门负责人为第二负责人，并确保联系畅通。

4、网站提供信息服务项目、网站网址、接入服务商、安全负责人及联系方式等发生变更的，相关情况应于变更后一个工作日内报告公安机关。

若有违反上述承诺的行为，愿意承担法律责任。

单位电话：__________ 单位传真：__________

法定代表人及联系电话：__________

网络与信息安全责任人及联系电话(所有相关部门安全负责人均应列明)：

此承诺书一式两份，一份报公安机关网络安全保卫部门备案，一份单位/个人留存。

单位盖章(个人签名)：__________

_____年_____月_____日

关于网络信息安全承诺书3杭州电商互联科技有限公司：

本用户郑重承诺遵守本承诺书的有关条款,如有违反本承诺书有关条款的行为,由本用户承担由此带来的一切民事、行政和刑事责任。

一、本用户承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际互联安全保护管理办法》及其他国家有关法律、法规和行政规章制度。

二、本用户已知悉并承诺遵守《电信业务经营许可管理办法》、《互联网IP地址备案管理办法》、《非经营性互联网信息服务备案管理办法》、等国家相关部门有关文件的规定。

三、本用户保证不利用网络危害国家安全、泄露国家秘密，不侵犯国家的、社会的、集体的利益和第三方的合法权益，不从事违法犯罪活动。

四、本用户承诺严格按照国家相关的法律法规做好本用户网站的信息安全管理工作，按政府有关部门要求设立信息安全责任人和信息安全审查员。

五、本用户承诺健全各项网络安全管理制度和落实各项安全保护技术措施。

六、本用户承诺不制作、复制、查阅和传播下列信息：

1.反对宪法所确定的基本原则的;

2.危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的;

3.损害国家荣誉和利益的;

4.煽动民族仇恨、民族歧视，破坏民族团结的;

5.破坏国家宗教政策，宣扬邪教和封建迷信的; 6.散布谣言，扰乱社会秩序，破坏社会稳定;

7.散布淫秽、色情、、暴力、凶杀、恐怖或者教唆犯罪的;

8.侮辱或者诽谤他人，侵害他人合法权益的;

9.含有法律、行政法规禁止的其他内容的。

七、本用户承诺不从事下列危害计算机信息网络安全的活动：

1.未经允许，进入计算机信息网络或者使用计算机信息网络资源的;

2.未经允许，对计算机信息网络功能进行删除、修改或者增加的;

3.未经允许，对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的;

4.故意制作、传播计算机病毒等破坏性程序的;

5.其他危害计算机信息网络安全的。

八、本用户承诺当计算机信息系统发生重大安全事故时，立即采取应急措施，保留有关原始记录，并在24小时内向政府监管部门报告并书面知会贵单位。

九、若违反本承诺书有关条款和国家相关法律法规的，本用户全部承担相应法律责任，造成财产损失的，由本用户承担全部赔偿。你单位有权停止服务，且无需承担任何责任。

十、本承诺书自签署之日起生效。

客户签章：

关于网络信息安全承诺书4为维护__公司信息安全，保证公司内部网络环境的稳定，保障各系统运行效率，我愿意遵守以下承诺：

1、确保设备正常运行，不随意查看来历不明的信息，打开相关信息前确保系统处于安全防护中心开启状态。

2、不利用外部软件系统传输重要文件，重要文件传输尽量利用企业邮箱，以免造成重要文件、数据泄漏。

3、涉及到的重要文件信息，其电子文档应该存储在涉密介质中加密单独存储。

4、对单位使用的系统，每三个月更换一次密码，且密码需要字母、数字、符号混搭使用，提高账户的安全性。

5、私人账户密码与公司系统用户密码完全分开，不设置一样或类似密码。

6、不在单位私自架设WIFI网络。

7、对自己在用的办公电脑内的公司机密信息的安全负责，当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。

8、不安装有可能危及公司计算机网络的任何软件。

9、不利用网络系统制作、传播、复制有害信息。

10、不利用公司网络入侵他人计算机获取重要文件。

11、未经授权不使用他人计算机。

12、未经授权不查阅他人邮件。

13、不故意干扰网络畅通运行。

14、不浏览没有安全许可的网站。

15、不利用公司网络便利观看与工作无关的视频、音频等相关文件。

16、不利用公司网络便利使用与工作无关的软件(股票、影音)等类似软件。

17、不使用个人介质如光盘、U盘、移动硬盘等存储设备拷贝公司的重要文件、资料并带出公司。

18、不将ERP帐号或OA帐号密码透露给他人，不让他人代己做ERP单据或办理OA流程。

19、对自己在用的办公电脑使用杀毒软件和防火墙，并设置好自动更新和病毒库自动升级，定期杀毒。

20、不在工作时间利用计算机网络从事与本职工作无关的活动。

承诺人：

日期：

公司网络安全措施范文第3篇

不久前，思科系统公司首席安全官John Stewart称：“企业正在安全流程中浪费金钱，使用补丁和使用杀毒软件，都是不起作用的。”

对此笔者的感想是，在理论上思科公司是可以不使用杀毒软件、打补丁的方法，用更先进的措施办法来解决病毒等威胁攻击的。但我也想用个现实的例子说明一下：晋惠帝御宴，方食肉脯，东抚奏旱荒，饥民多饿死。帝曰：“饥民无谷食，便食这肉脯，也可充腹，何致饿死？”这其实和思科首席安全官的话语有很大程度的相似。

那么，企业究竟应该如何保证企业网络的安全呢？笔者认为应该从以下几步开始。

第一步:

确定安全策略

首先弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器?办公系统有多少客户端、业务网段有多少客户端、公司的核心数据有多少，存储在哪里?目前亚洲地区仍有相当多的公司，手工将关键数据存储在工作簿或账簿上。如果贵公司的计算机通常只是用来文字处理，或者是玩游戏，那数据可能根本不值得去保护。然而，如果贵公司保存有大量的敏感信息，例如信用卡号码或者财务往来交易事项，那么贵公司所需要的安全等级将会很高。

一般企业网络的应用系统，主要有Web、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。从整个网络系统的管理上来看，既有内部用户，也有外部用户，因此，整个企业的网络系统存在以下两个方面的安全问题：

1.Internet的安全性:目前互联网应用越来越广泛，黑客与病毒无孔不入，这极大地影响了Internet的可靠性和安全性，保护Internet、加强网络安全建设已经迫在眉捷。

2.企业内网的安全性:企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权的访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

第二步:

弄清自身需求

要搞清楚，每年预算多少经费用于支付安全策略?可以购买什么?是一个入门级常用的防火墙还是一个拥有多种特性的综合网关UTM产品?企业局域网客户端的安全需求是什么？有多少台严格的机器？此外，很重要的一步便是在功能性和安全性方面做出选择。贵公司网络必须提供的服务有哪些：邮件、网页还是数据库?该网络真的需要即时消息么?某些情况下，贵公司拥有什么并不重要，重要的是怎么利用它。相对于将整个预算花在一个“花架子”似的防火墙上，实现多层防御是一个很不错的策略。尽管如此，我们还是有必要去查看一下整个网络，并弄清楚如何划分才会最佳。

针对网络受到非法攻击以及病毒爆发，网络管理员还需做好准备工作:目前的设备能够做好足够的日志么?路由器、防火墙或者系统日志服务器能够告诉我们非法侵入的时间和手段吗?是否有一个适当位置可以用来恢复?如果受到攻击的服务器需要擦除并重新配置，能尽可能减少关键数据的流失，并快速实现么?

因此，笔者认为，企业的安全需要可以归纳为以下几点。

1．基本安全需求

保护企业网络中设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。针对企业网络的运行环境，主要包括：网络正常运行、网络管理、网络部署、数据库及其他服务器资料不被窃取、保护用户账号口令等个人资料不被泄露、对用户账号和口令进行集中管理、对授权的个人限制访问功能、分配个人操作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通信服务、保证拨号用户的上网安全等。

2．关键业务系统的安全需求

关键业务系统是企业网络应用的核心。关键业务系统应该具有最高的网络安全措施，其安全需求主要包括：访问控制，确保业务系统不被非法访问；数据安全，保证数据库软硬系统的整体安全性和可靠性，保证数据不被来自网络内部其他子系统（子网段）的破坏；安全预警，对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据；系统服务器、客户机以及电子邮件系统的综合防病毒措施等。

第三步:

制定解决方案

前两步是不可或缺的部分，不了解自身状况就无法制定因地制宜的解决方案。解决方案是指定给有具体需求的单位，有大众性，但无通用性。调查显示：近60%的企业面临着以防护病毒和恶意行为为主的信息安全需求。

那么，下一步，就是采用何种解决方案的问题。针对防毒解决方案，笔者推荐瑞星公司的几款产品：瑞星网络版杀毒软件企业版、瑞星防毒墙、瑞星网络安全预警系统。

这是企业整体防毒解决方案，主要是为了以下几个目的。

1. 网络边缘防护

防毒墙可以根据用户的不同需要，具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

2. 内部网络行为监控和规范

网络安全预警系统可对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力，企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。

3. 计算机病毒的监控和清除

网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，可以实现防病毒体系的统一、集中管理，实时掌握了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

4. 用控制台和Web方式管理

通过这两种方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时掌握了解网络当前的运行基本信息。

5. 可进行日志分析和报表统计

这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表、月报表、年报表等，通过来源分析、目标分析、类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。

6. 功能模块化组合

公司网络安全措施范文第4篇

企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的，是一个综合管理系统。从安全形势来看，企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享，但同时在安全方面又是脆弱和复杂的，对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面：信息泄露：信息被泄露或透露给某个非授权的实体；破坏信息的完整性：数据未经非授权被增删、修改或破坏而受到损失；拒绝服务：对信息或其他资源的合法访问被无条件地阻止；非授权访问：某一资源被某个非授权的人，或以非授权的方式使用；窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息；业务流分析：通过对系统进行长期监听，利用统计分析方法对某些参数进行研究，从中发现有价值的信息和规律；假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击；旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利；授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”；特洛伊木马：软件中含有一个觉察不出的有害的程序段，当其被执行时，会破坏用户的安全；陷阱门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略；抵赖：这是一种来自用户的攻击，如否认自己曾经过的某条消息、伪造一份对方来信等；重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送；计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序；人员不慎：一个授权的人为了某种利益，或由于粗心，将信息泄露给一个非授权的人；媒体废弃：信息被从废弃的磁碟或打印过的存储介质中获得；物理侵入：侵入者绕过物理控制而获得对系统的访问；窃取：重要的安全物品，如令牌或身份卡被盗；业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。

2企业办公中的信息安全策略

2.1保护网络安全

网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：全面规划网络平台的安全策略；制订网络安全的管理措施；使用防火墙；尽可能记录网络上的一切活动；注意对网络设备的物理保护；检验网络平台系统的脆弱性；建立可靠的鉴别机制。

2.2保护应用安全

保护应用安全，主要是针对特定应用（如Web服务器、数据库服务器、ftp服务器等）所建立的安全防护措施，这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

2.3保护系统安全

保护系统安全，是指从整体信息系统的角度进行安全防护，与网络系统硬件平台、操作系统、各种应用软件等互相关联，其安全策略包含下述一些措施：①在安装的软件中，检查和确认未知的安全漏洞；②技术与管理相结合，使系统具有最小穿透风险性。③建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

2.4加强员工的信息安全培训

公司网络安全措施范文第5篇

本文在信息系统安全理论的指导下，对马钢财务公司软件系统与网络系统安全性进行分析，提出了马钢财务公司软件系统与网络系统安全的需求和安全设计原则。

关键词：金融机构；信息系统；软件系统；网络系统；安全性

随着金融系统信息化改革的逐步推行，计算机与网络系统已大规模的应用在金融领域。但是应该看到，信息系统为金融机构带来便捷与利益的同时，也带来了前所未有的安全问题。在这种情况下，加强对金融机构信息系统的监管及风险防范就变得十分重要。

财务公司作为非银行业金融机构，不仅每天都有大量的资金流动，还贮存着各种极其敏感的客户资料，甚至涉及很多高度的商务机密，所以财务公司的内部网络安全问题非常重要，同时由于互联网的飞速发展和黑客数量的不断增长，这个问题也变得越来越急迫。

马钢财务公司网络信息系统的结构，根据可能出现的风险，提出不同的的网络安全需求。其中按不同功能的子系统的网络划分为资金系统网、账务系统网、办公自动化网络和测试系统网中，以生产用资金系统网与账务系统网作为最高级别的安全需求，采取比较高级别的安全策略。资金系统网、账务系统网与其他网络相隔离，其内部也要实施高等级的安全策略；测试系统网虽然与生产网是相互隔离的，但测试系统网中存放着大量从资金系统与账务系统中拷贝过来的生产信息。所以，测试系统网也应采取中等级别的安全策略。

具体来说，财务公司的信息系统安全需求与针对需求采取有效措施主要有以下几个方面：

1 合理的网络结构与安全措施

合理地规划网络边界和功能，合理地设置网络接口，对各功能子网特别是生产网进行详细的VLAN划分，以便于隔离问题，使结构可管理，接口可控制。在网络边界处部署防火墙与入侵预防系统ips。见图1-1马钢财务公司网络实施方案。整个网络组建在马钢集团网环境内。物理通过2个防火墙组成一个相对独立的网络环境。并对不同的功能区域设置不同的Vlan，形成了不同功能区域之间的网络隔离。

2 用户身份鉴别

在资金系统与账务系统中通过服务器电子证书（CFCA）与用户名、密码双重认证，对终端和用户的合法性进行鉴别认证，防范非法用户假冒合法用户进入系统。

3 数据通信加密

所有使用公共网络的成员单位与马钢财务公司间通信必须使用虚拟专用网vpn，以防止数据泄密，同时防止遭受来自通信线路上的非法截获、分析、篡改、重放等。财务公司与银行间通信使用专线，彻底避免了数据泄密。

4 病毒防范

建立网络病毒防范体系，采用先进的网络防病毒技术，通过趋势科技杀毒软件对全系统实施网络防范病毒策略，在全网络范围内对病毒进行有效的预防、隔离，并在保证数据完整性的前提下清除病毒。对病毒库与安全策略进行定期更新，保证杀毒软件可以防范最新的病毒与恶意攻击手段。

5 数据备份

当系统出现不可逆的灾难性故障时数据备份就显得极其重要。建立备份和恢复机制，对重要的网络设备、业务系统和数据进行备份，在遭受攻击时，能够尽快地恢复网络系统服务和数据环境，将损失降到最低程度。马钢财务公司采用了Symantec BackupExec和NetBackup产品系列作为信息系统数据集中备份解决方案。设备上使用了一台IBM 3650M3作为备份服务器，负责整个备份系统的管理，包括备份策略的制订、备份工作的调度、备份数据库的保存、数据恢复等。备份服务器通过光纤连接磁带库，并通过备份软件NBU进行磁带库中机械手和磁带驱动器的控制。其他有备份需求的服务器上安装备份软件的客户端软件，根据备份策略中定义的备份时间，自动将数据通过网络备份到磁盘和磁带库，无须人工干预。在需要时可以自己恢复或者通过备份服务器由管理员进行恢复。除了安装备份软件的客户端软件外，根据数据库服务器需要安装了备份软件的数据库（Oracle）软件，可以实现在线数据库备份。

为保障业务的持续性和信息系统数据安全，除了将数据备份存储在本机介质中外，还建立了一套异地数据备份机制将数据备份到异地容灾中心。

通过一系列的成熟的措施，马钢财务公司构建一个相对安全的系统环境，最大限度的保证了资金与信息的安全。但随着信息技术的发展，计算机病毒与网络攻击手段也在不断变异更新。预防措施的更新都是在系统安全受到威胁而发生的，要想做到系统长期的稳定，必须实时的关注系统防护的最新趋势，不断引入系统防护新措施，调整系统的安全策略。

参考文献

[1]陈静，中国金融系统信息化及其发展趋势[J]，m络世界，2000年第10期：15-1