我国情况大致相仿。一方面Internet上网人数增加, 另一方面, 同一时期内外电对在我国发生的Internet安全事件的报道数量也大增, 其中包括经济犯罪、窃密、黑客入侵, 造谣惑众等等。以上报导只是全部景观的一角,却预示着全球信息安全形势不容乐观。我国正处于网络发展的初级阶段, 又面临着发达国家信息优势的压力, 要在信息化进程中趋利避害,从一开始就做好信息安全工作十分重要。这是这项工作难度也非常大, 经常遇到十分困难的选择, 甚至非难。人们对于"该不该"和"能不能"抓好信息安?全也尚有不同的看法。我们应当充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的Internet安全问题的办法。在此, 仅就企业内部网的信息安全的建设作一个详细的讨论。

　　世纪之交，信息化已成为国际性发展趋势，作为国民经济信息化的基础，企业信息化建设受到国家和企业的广泛重视。

　　企业信息化，企业网络的建设是基础，从计算机网络技术和应用发展的现状来看，Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念，通过与Internet的联结，企业网络的范围可以是跨地区的，甚至跨国界的。

　　现在，Internet的发展已成燎原之势，随着WWW上商业活动的激增，Intranet也应运而生。近几年，许多有远见的企业领导者都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时，它也带来了巨大的潜在的危险，至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事，而在国外企业网领域出现的安全事故已经是数不胜数。因此，我们应该在积极进行企业网建设的同时，就应借鉴国外企业网建设和管理的经验，在网络安全上多考虑一些，将企业网中可能出现的危险和漏洞降到最低。使已经花了不少财力、人力和时间后，建立起来的网络真正达到预想的效果。

　　从总体上来说,企业网络建设以下几方面的误区：解决方案上的误区、应用开发上的误区和系统管理上的误区。

　　在解决方案上的误区主要包括：

　　1、认为只要肯花钱就万事大吉了。诚然，投资是企业网络建设的基本，但并非所有的东西都能直接买来。事实上，数据、应用软件、网络系统管理及网络的应用水平等都不是简单买来了事的。

　　2、不根据实际需求，盲目认为购买的硬件、软件产品越先进越好，甚至要求达到10年不落后等要求。这种提法本身就不科学，信息技术的发展是日新月异的，10年前谁也不知道现在的计算机会发展到如此水平，同样，10年后如何也无法预料。这样一来，后果是可以想到的：平台越先进，设备越昂贵，技术越复杂，建设的投入与产出相比一定很高，这当然不是企业需要得到的结果。

　　3、认为有了网络、服务器、数据库、联通了Internet就能要什么就有什么了，忽视总体数据体系规划和组织、应用系统开发，数据的采集、传输、加工、存储和查询等具体应用工作。而缺少这些，网络的作用就不能充分发挥出来，这恰恰与企业网络建设的初衷相违。

　　4、认为可以"毕其功于一役"地搞企业网络建设，实际上，这是一项长期的工作。

　　5、认为只要找到好的供应商、系统集成商就肯定可以把网络建好，没有想到只有良好的合作才能获得成功，只有建立自己的技术队伍才能保持成功之果。

　　应用开发是企业网络系统建设中的重要内容，也是网络建设成功与否的关键。不少企业网络建设项目中，在应用开发方面也存在一些误区：

　　1. 认为只要有好的计算机专业人员去干就可以了，业务人员不参与应用开发工作，甚至不很好地配合。事实上，由于专业计算机人员缺少具体业务知识和经验，无法独立开发出很适合业务部门的应用软件。

　　2. 认为凡是业务部门、业务人员提出的需求都要进行开发。在应用开发的范围上，不进行认真地分析，不分主次。实际上，许多现成的工具软件已包含了许多功能，例如EXECL，但由于不重视业务人员计算机技能的提高，一切功能都寄希望于开发。这就造成开发成本的提高和工作重点的分散。

　　3. 认为只有采用最新潮的开发工具和最时髦的开发语言才能开发好的软件，而不顾自己的实际需求，也不问那些工具和语言到底有什么用。

　　4. 认为开发软件与操作软件一样容易，所以不重视开发人员的工作，随意提出需求，之后又随意改动。这样的改动，很可能给开发增加许多工作量，更为严重的是，破坏开发的总体规划，导致开发进度的延迟。

　　5. 企业高级领导认为开发工作是下面的事情，不参与总体规划，却对开发抱着过高的期望，以为开发结果一定应符合自己的想象。

　　企业网络效果的发挥离不开系统管理，决不仅仅是安装好企业网络的设备，配置好软件那么简单，同样一个运行良好的企业网离不开人的管理，系统管理在网络建设和维护中是至关重要的，目前在系统管理方面存在的误区主要包括：

　　1. 认为系统管理只要有计算机人员就可以了，不建立规范、有效的管理制度，没有想到系统管理实际上是企业管理中必不可少的一部分。

　　2. 认为系统管理就是对计算机、网络设备、系统软件的管理，没考虑到对企业整体信息资源的管理，不注重对数据信息的规范化、标准化管理。

　　3. 认为系统管理简单，费用不高，投入的财力、人力、物力不足。有许多企业的系统管理员只会"玩"PC而已，网管软件也被当作是可有可无的东西。殊不知，随着网络技术的发展和信息的增多，系统管理工作是相当复杂和繁重的。

　　4. 认为系统管理工作只是辅助性工作，不能为企业创造直接效益，可以不予重视。结果导致专业计算机人才流失，只好使用非专业人员，使管理效果大打折扣。

　　5. 认为只有看的见的东西才值钱，因而不愿意在服务上花钱。在系统管理上无法得到专业厂商的支持，导致管理水平业余而落后。

　　长期以来, 人们把信息安全理解为对信息的机密性、完整性和可获性的保护, 这固然是对的, 但这个观念是在二十多年前主机时代形成的。当时人们需要保护的是设在专用机房内的主机以及数据的安全性, 因此它是面向单机、面向数据的。八十年代进入了微机和局域网时代, 计算机已从专用机房内解放到分散的办公桌面乃至家庭, 由于它的用户/网络结构比较简单、对称,所以既要依靠技术措施保护,还要制定人人必须遵守的规定。因此, 这个时代的信息安全是面向网管、面向规约的。九十年代进入了互联网时代, 每个用户有都可以联接、使用乃至控制散布在世界上各个角落的上网计算机, 因此Internet的信息安全内容更多, 更为强调面向连接、面向用户("人")。因为在这个崭新的世界里, 人与计算机的关系发生了质的变化。人、网、环境相结合, 形成了一个复杂的巨系统。通过网上的协同和交流, 人的智能和计算机快速运行的能力汇集并融合起来, 创造了新的社会生产力, 丰富着大量应用(电子商务, 网上购物等等)和满足着人们的各种社会需要(交流、学习、医疗、消费、娱乐、安全感、安全环境等等)。在这个复杂巨系统中, "人"以资源使用者的身份出现, 是系统的主体, 处于主导地位, 而系统的资源(包括硬软件、通讯网、数据、信息内容等)则是客体, 它是为主体即"人"服务的, 与此相适应, 信息安全的主体也是"人"(包括用户、团体、社会和国家), 其目的主要是保证主体对信息资源的控制。可以这样说: 面向数据的安全概念是前述的保密性、完整性和可获性, 而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务功能), 而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心, 安全标准和系统评估是信息安全的基础。

　　总之从历史的、人网大系统的概念出发, 现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。信息安全的完整内涵是和信息安全的方法论相匹配的, 信息安全系统是一个多维、多因素、多层次、多目标的系统。因此, 有必要从方法论的角度去理解现有的信息安全模式。

　　1. 分析与综合的辩证思维方法: 要在分析过程中从整体上把握好分析要素的内部矛盾, 例如:*在威胁分析中的环境灾害与人员失误、无意疏忽与有意破坏、外部人员与内部职员、窃密篡改与拒绝服务、个人行为与有组织的信息战威胁等关系。 在脆弱性分析中的软件、协议缺陷与嵌入后门、网络层、系统层、应用层薄弱环节的关联等。 在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系。 在综合方法上则应该面向过程, 着眼发展: 风险管理的综合方法: 立足于尽量减少风险, 实行资产评估, 风险估算, 重点选择, 综合平衡, 政策制定, 系统实施, 审计监管等的全过程和全面质量管理。 安全评估的综合方法: 面向设计过程, 强调系统总体评价。在评估标准上掌握好传统与现实、国际通用互认和中国特点的关系。在保护轮廓内掌握好安全功能和保障的关系。

　　2. 从系统复杂性的观点理解和解决安全问题: 信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术的有机总和。这需要在不同层面上面向目标, 用定性与定量相结合、技术措施与专家经验相结合的综合集成方法加以解决。对信息内容的管理则要从源头、传递、网关、服务网站和用户层面进行综合治理。以创新精神跟上网络和安全技术的新发展我们处在网络调整发展和科技突飞猛进的时代, 信息安全技术是具有对抗性的敏感技术, 面对日益迫切的需要, 唯一的出路就是自主?创新。但是自主创新并不排斥吸取国外的先进技术相反, 只有密切跟踪国际信息安全技术的新进民才能知已

　　知彼, 为我所用, 在技术创新上以下发展值得注意:

　　1. 在信息安全系统的构建、模式、评估方面

　　风险管理技术已由传统的相对固定的模式向灵活的不断反馈、不断演进的弹性模式转化, 强调可测量的方法体系, 形成所谓"有适应能力的风险管理模式"。

　　十年前, 信息安全系统构建理念是"自上而下"即顶层设计。从Internet的历史特点和发展现实出发, 需要先"自下而上"赴, 接着"上下结合", 然后再在网络的确定范围内从全局上规划, 构成安全体系。系统安全不能作到一劳永逸, 需要动态的构建模型。

　　在安全功能、服务的配置上, 过去是先从整体定义入手, 但是Internet量个多元化的应用环境, 而且日新月异。因此现实的解决办法是"分而治之"。各种应用, 各个部门, 先在统一的规范下, "从我做起"或者分层分步实施。这在相当一段时间内, 是推动网络发展、激励安全应用的现实途径。

　　新的安全协议不断出现, 有的已趋于成熟, 例如大家熟知IPv6已被公认安全性较强, 又能比IPv4提供更好的互连互通功能, 很有可能进入主流, 如何使我们的安全产品能同时支持IPv6已提到日程上

　　人类社会向来是正义与邪恶并存,在科学技术进步的同时人类也面临新的威胁,计算机技术的发展带来的计算机犯罪就是其中典型的例子。下面谈谈实施一个完整的安全体系应该考虑的问题。