第四章  网络安全与数据合规管理



              全风险来分别源于政府层面和社会管理各个层面，可以根据对象不同，可以将网
              络安全风险划分为以下几类。
                  （一）来自外部网络的威胁
                  企业网络一般不是单独存在的，与外部网络具有密切的互连性。由于目前网

              络系统不断扩大的范围以及不断扩展的覆盖面，企业内部网络所面临的安全威胁
              自然而然也显著增加。来自外部的入侵者想方设法侵入网络的关键节点，窃取企
              业核心信息资源。由于企业网络包含职员公用的办公系统，办公电脑都会具有一
              定的关联，公司或者职员电脑中有涉密信息，如果内部网络任何一台电脑被黑客

              攻击或者受计算机病毒入侵，势必对同一网络上的其他系统产生严重的影响。更
              可怕的是，透过网络的信息高速公路传播，往往影响和侵害与本系统网络互联的
              外单位网络。因此，通过一道保护屏障将系统内部局域网和外部网络分隔显得十
              分重要。例如，设立防火墙，如果没有做好周密的安全防护工作，外部的网络安

              全威胁轻而易举地随时会入侵到内部网络。
                  （二）局域网存在的安全威胁
                  相关研究表明，目前发生的网络安全受到攻击的事件中，来源于内部网络侵
              犯的事件大约占大多数。来源于机构内部局域网的威胁包括：对关键、敏感数据

              意识薄弱而导致误用或滥用；内部员工故意出卖或者泄漏内部网络的构架；内部
              员工通过各种途径恶意盗取他人涉密的信息并且将其传播到外部网络。
                  （三）网络设备存在的安全隐患
                  网络构成部分中的硬件设备，主要包含路由器、交换机、防火墙等，这些设

              备的设置有些较复杂，由于技术人员自身安全意识薄弱而疏忽或者对设置方式的
              理解偏差，而导致这些设备的安全性存在潜在的隐患。
                  （四）操作系统的安全风险
                  我们所说的系统安全一般情况是指操作系统方面的安全。人们安装操作系

              统主要考虑的因素是能满足日常办公或者是简单易用为目标，对其安全性的考虑
              甚少，因此系统安装设置方式通常都是以缺省选项来进行。从安全风险的角度来
              看，系统隐患表现在安装较多平时工作中不会用到的模块，开放较多不必要开放
              的端口，系统的安全风险自然也就产生了。软件开发商在开发系统的时候，往往

              留有 BackDoor（后门），就目前市场上用的操作系统来说，不论是 UNIX 抑或
              Windows 也存在以上问题；另外，系统自身固有的安全漏洞也是不可避免。这些


                                                                                     163