前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全體系建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。
1.企業(yè)信息化建設(shè)的重要性
信息化發(fā)展對(duì)于企業(yè)人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對(duì)于企業(yè)的整體發(fā)展的影響,相比較原來用人來發(fā)現(xiàn)風(fēng)險(xiǎn),信息化大數(shù)據(jù)管控更能提前預(yù)知風(fēng)險(xiǎn)并幫助企業(yè)更好地解決問題;對(duì)于企業(yè)組織結(jié)構(gòu)和流程的影響,集成化的網(wǎng)絡(luò)信息系統(tǒng)是提高質(zhì)效的一把利器。但現(xiàn)實(shí)使用中,企業(yè)的信息化進(jìn)程存在安全度低、信息泄露嚴(yán)重和安全意識(shí)低等現(xiàn)象,導(dǎo)致企業(yè)和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設(shè)對(duì)企業(yè)發(fā)展有著不可小覷的作用,能比原來的模式更有效處理問題、促進(jìn)企業(yè)發(fā)展,是所有企業(yè)在發(fā)展過程中不可或缺的一個(gè)環(huán)節(jié)。
2.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題
2.1網(wǎng)絡(luò)安全意識(shí)不強(qiáng)
科學(xué)技術(shù)的不斷發(fā)展進(jìn)步,對(duì)于企業(yè)發(fā)展的影響作用不言而喻,但是,相當(dāng)一部分企業(yè)卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術(shù)、社會(huì)和政府等多方面的努力下,企業(yè)的信息化建設(shè)發(fā)展速度加快,取得很大的進(jìn)展,其重要作用毋庸置疑,各個(gè)企業(yè)都越來越重視信息化的進(jìn)步。但在新聞報(bào)道中,經(jīng)常見到有信息非法獲取、信息交易導(dǎo)致用戶信息泄露,這也是每個(gè)企業(yè)需要反思的問題。數(shù)據(jù)泄露、信息是否安全等問題并沒有引起所有企業(yè)的重視,嚴(yán)重的不僅會(huì)導(dǎo)致用戶信息泄露,如果發(fā)生企業(yè)數(shù)據(jù)庫被篡改、網(wǎng)絡(luò)系統(tǒng)崩潰等事件,給企業(yè)帶來的名譽(yù)和財(cái)產(chǎn)損失不可估量。
2.2技術(shù)水平不高
世界范圍內(nèi)都存在一個(gè)不好處理的網(wǎng)絡(luò)難題———黑客。企業(yè)在信息化發(fā)展的過程中,免不了遇到技術(shù)問題,由于有關(guān)人員或團(tuán)隊(duì)自身的水平不夠和相關(guān)方面的經(jīng)驗(yàn)的缺失,不可避免會(huì)存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機(jī)會(huì),讓他們有機(jī)會(huì)盜取信息。即使是市面上使用的各個(gè)“管家”與殺毒軟件也完全檢測(cè)不到,對(duì)企業(yè)的安全構(gòu)成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發(fā)企業(yè)使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發(fā)展的好處,但卻貪圖低成本的小利益,花費(fèi)小成本購買使用安全保護(hù)性低的工作軟件,結(jié)局只會(huì)帶來難以挽回的后果。
3.企業(yè)信息化建設(shè)提高網(wǎng)絡(luò)信息安全性的措施
3.1切實(shí)提高企業(yè)安全意識(shí)
科學(xué)技術(shù)的進(jìn)步,促進(jìn)企業(yè)重視信息安全,思考信息安全問題和公司發(fā)展之間不可分割的關(guān)系,因?yàn)樾畔⑿孤稁頁p失還是小事,如果因此減少了企業(yè)競(jìng)爭(zhēng)力,甚至阻礙了企業(yè)發(fā)展才是最可怕的結(jié)果。因此,企業(yè)應(yīng)當(dāng)提高安全意識(shí),提前準(zhǔn)備對(duì)策、制定應(yīng)對(duì)突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術(shù)水平的團(tuán)隊(duì),運(yùn)用專業(yè)知識(shí)和工作經(jīng)驗(yàn)切實(shí)增強(qiáng)防火墻安全度,定期維護(hù)信息系統(tǒng),從源頭的技術(shù)傳輸階段維護(hù)信息安全,建立完善的信息保護(hù)制度,以此來保護(hù)信息安全、促進(jìn)企業(yè)發(fā)展。
3.2提高信息系統(tǒng)的管理水平
雖然現(xiàn)在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護(hù)軟件,但是這些軟件也不能保證絕對(duì)的安全。改革舊的風(fēng)險(xiǎn)評(píng)估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統(tǒng)等級(jí)、減小信息被盜的風(fēng)險(xiǎn),在信息系統(tǒng)建立過程中,及早發(fā)現(xiàn)風(fēng)險(xiǎn)并妥善處理對(duì)企業(yè)發(fā)展尤其重要。
3.3使用安全性高的軟件
歸根結(jié)底,所有的安全問題都是安全性低所導(dǎo)致的。雖然說沒有絕對(duì)安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護(hù)能力也越強(qiáng),能更好地保護(hù)信息安全。因此,企業(yè)千萬不能貪圖小利益使用低防護(hù)級(jí)軟件,保護(hù)信息安全,維護(hù)自身發(fā)展利益才是最重要的。
【關(guān)鍵詞】網(wǎng)絡(luò);數(shù)據(jù);安全
2012年開始,某企業(yè)啟動(dòng)了企業(yè)網(wǎng)絡(luò)安全優(yōu)化工程。目的是為了實(shí)現(xiàn)在企業(yè)系統(tǒng)內(nèi),進(jìn)行一體化管理,實(shí)現(xiàn)各分支網(wǎng)絡(luò)之間互聯(lián)互通。項(xiàng)目重點(diǎn)是建設(shè)好綜合數(shù)據(jù)網(wǎng)絡(luò),實(shí)現(xiàn)所屬單位局域網(wǎng)及廠、站信息傳輸通道全面接入;形成該企業(yè)綜合業(yè)務(wù)處理廣域網(wǎng)絡(luò)。同時(shí)還將進(jìn)一步建設(shè)專門的調(diào)度數(shù)據(jù)網(wǎng)絡(luò),實(shí)現(xiàn)“專網(wǎng)專用”,從而確保生產(chǎn)安全有序的開展。該企業(yè)生產(chǎn)、辦公等各個(gè)領(lǐng)域當(dāng)中,無論是企業(yè)內(nèi)部管理還是各級(jí)機(jī)構(gòu)間的遠(yuǎn)程信息交互,都將建立在網(wǎng)絡(luò)基礎(chǔ)之上,而通過網(wǎng)絡(luò)進(jìn)行交互的信息范圍也涵蓋了包括生產(chǎn)調(diào)度數(shù)據(jù)、財(cái)務(wù)人事數(shù)據(jù)、辦公管理數(shù)據(jù)等在內(nèi)的諸多方面,在這樣的前提下,進(jìn)一步完善企業(yè)網(wǎng)絡(luò)架構(gòu),全局性和系統(tǒng)性地構(gòu)建網(wǎng)絡(luò)安全體系,使其為企業(yè)發(fā)展和信息化提供有力支持,已成為當(dāng)前需要開展的首要工作之一。
1.網(wǎng)絡(luò)安全技術(shù)架構(gòu)策略
網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)系統(tǒng)工程,該企業(yè)網(wǎng)絡(luò)安全體系建設(shè)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則組織實(shí)施,采用先進(jìn)的“平臺(tái)化”建設(shè)思想、模塊化安全隔離技術(shù),避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的關(guān)系,堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在該企業(yè)廣域網(wǎng)絡(luò)架構(gòu)建設(shè)中,為了實(shí)現(xiàn)可管理的、可靠的、高性能網(wǎng)絡(luò),采用層次化的方法,將網(wǎng)絡(luò)分為核心層、分布層和接入層3個(gè)層次,這種層次結(jié)構(gòu)劃分方法也是目前國內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下,3個(gè)層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作,從而有效保證了整個(gè)網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。
2.局域網(wǎng)絡(luò)標(biāo)準(zhǔn)化
(1)中心交換區(qū)域
局域網(wǎng)的中心交換區(qū)域負(fù)責(zé)網(wǎng)絡(luò)核心層的高性能交換和傳輸功能,提供各項(xiàng)數(shù)據(jù)業(yè)務(wù)的交換,同時(shí)負(fù)責(zé)連接服務(wù)器區(qū)域、網(wǎng)絡(luò)管理區(qū)域、樓層區(qū)域、廣域網(wǎng)路由器和防火墻設(shè)備等,此外還要提供分布層的統(tǒng)一控制策略功能。具體到安全防護(hù)層面,可通過部署防火墻模塊、高性能網(wǎng)絡(luò)分析模塊、入侵探測(cè)系統(tǒng)模塊實(shí)現(xiàn)安全加固。
(2)核心數(shù)據(jù)服務(wù)器區(qū)域
因?yàn)閿?shù)據(jù)大集中和存儲(chǔ)中心已經(jīng)勢(shì)在必行,可建設(shè)專門的核心數(shù)據(jù)區(qū)域,并采用2立的具有安全控制能力的局域網(wǎng)交換機(jī),通過千兆雙鏈路和服務(wù)器群連接。在安全防護(hù)方面,可在通過防火墻模塊實(shí)現(xiàn)不同等級(jí)安全區(qū)域劃分的同時(shí),部署DDOS攻擊檢測(cè)模塊和保護(hù)模塊,以保障關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器的安全不受攻擊。
(3)樓層區(qū)域
樓層交換區(qū)域的交換機(jī)既做接入層又做分布層,將直接連接用戶終端設(shè)備,如PC機(jī)等,因此設(shè)備需要具有能夠?qū)崿F(xiàn)VLAN的合理劃分和基本的VLAN隔離。
(4)合作伙伴和外包區(qū)域
提供合作伙伴的開發(fā)測(cè)試環(huán)境、與內(nèi)部數(shù)據(jù)中心的安全連接及與Internet區(qū)域的連接通路。
(5)外聯(lián)網(wǎng)區(qū)域
企業(yè)營銷系統(tǒng)需要與銀行等外聯(lián)網(wǎng)連接,建議部署銀行外聯(lián)匯接交換機(jī),通過2條千兆鏈路分別連接到核心交換機(jī)。并通過防火墻模塊劃分外聯(lián)系統(tǒng)安全區(qū)域。
(6)網(wǎng)絡(luò)和安全管理區(qū)域
為了對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行更加安全可靠的管理,可使用獨(dú)立的安全區(qū)域來集中管理,通過防火墻或交換機(jī)模塊來保護(hù)該區(qū)域,并賦予較高的安全級(jí)別,在邊界進(jìn)行嚴(yán)格安全控制。
3.統(tǒng)一互聯(lián)網(wǎng)出口
對(duì)于該企業(yè)的廣域網(wǎng)絡(luò),統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口,減少企業(yè)廣域網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口,能夠有效減少來自外網(wǎng)的安全威脅,對(duì)統(tǒng)一出口接點(diǎn)的安全防護(hù)加固,能夠集中實(shí)施安全策略。面對(duì)企業(yè)各個(gè)分支機(jī)構(gòu)局域網(wǎng)絡(luò)都與互聯(lián)網(wǎng)絡(luò)連接的局面,將會(huì)給企業(yè)廣域網(wǎng)絡(luò)安全帶來更大的威脅。由于綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)作為相對(duì)獨(dú)立的一個(gè)大型企業(yè)網(wǎng)絡(luò),設(shè)置如此眾多的互聯(lián)網(wǎng)出口,一方面不利于互聯(lián)網(wǎng)出口的安全管理,增加了安全威脅的幾率;另一方面也勢(shì)必增加互聯(lián)網(wǎng)出口的租用費(fèi)用,提高了運(yùn)營成本。
由于該企業(yè)綜合數(shù)據(jù)網(wǎng)的骨干帶寬是622M,在綜合數(shù)據(jù)網(wǎng)絡(luò)上利用MPLS VPN開出一個(gè)“互聯(lián)網(wǎng)VPN”,使各分支的互聯(lián)網(wǎng)訪問都通過這個(gè)VPN通道建立鏈接。通過統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口,強(qiáng)化互聯(lián)網(wǎng)接入?yún)^(qū)域安全控制,可防御來自Internet的安全威脅,DMZ區(qū)的安全防護(hù)得到進(jìn)一步加強(qiáng);通過提供安全可靠的VPN遠(yuǎn)程接入,互聯(lián)網(wǎng)出口的負(fù)載均衡策略得到加強(qiáng),對(duì)不同業(yè)務(wù)和不同用戶組的訪問服務(wù)策略控制,有效控制P2P等非工作流量對(duì)有限帶寬的無限占用,能夠?qū)ヂ?lián)網(wǎng)訪問的NAT記錄進(jìn)行保存和查詢。
4.三層四區(qū)規(guī)劃
提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略,并提出了“三層四區(qū)”安全防護(hù)體系的總體框架。基于這一設(shè)計(jì)規(guī)范,并結(jié)合該企業(yè)網(wǎng)絡(luò)的實(shí)際情況,未來公司的網(wǎng)絡(luò)區(qū)域可以劃分為企業(yè)生產(chǎn)系統(tǒng)和企業(yè)管理信息系統(tǒng),其中企業(yè)生產(chǎn)系統(tǒng)包括I區(qū)和II區(qū)的業(yè)務(wù);企業(yè)管理信息系統(tǒng)包括III區(qū)和IV區(qū)的業(yè)務(wù)。I區(qū)到IV區(qū)的安全級(jí)別逐級(jí)降低,I區(qū)最高,IV區(qū)最低。
在上述區(qū)域劃分的基礎(chǔ)上,可在橫向和縱向上采用下列技術(shù)方式實(shí)現(xiàn)不同安全區(qū)域間的隔離。
(1)縱向隔離
在未來調(diào)度數(shù)據(jù)網(wǎng)建成后,將安全區(qū)I和安全區(qū)II運(yùn)行在獨(dú)立的調(diào)度數(shù)據(jù)網(wǎng)上,安全區(qū)III和安全區(qū)IV運(yùn)行在目前的綜合數(shù)據(jù)網(wǎng)上,達(dá)到2網(wǎng)完全分開,實(shí)現(xiàn)物理隔離。在調(diào)度數(shù)據(jù)網(wǎng)中,采用MPLS VPN將安全區(qū)I和安全區(qū)II的連接分別分隔為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng),在綜合數(shù)據(jù)網(wǎng)中,則采用MPLS VPN將互聯(lián)網(wǎng)連接和安全區(qū)III及安全區(qū)IV的連接分開,分為管理信息子網(wǎng)和互聯(lián)網(wǎng)子網(wǎng)。
(2)橫向隔離
考慮到I區(qū)和II區(qū)對(duì)安全性的要求極高,對(duì)于I區(qū)和II區(qū)進(jìn)行重點(diǎn)防護(hù),采用物理隔離裝置與其他區(qū)域隔離;而在I區(qū)和II區(qū)之間可采用防火墻隔離,配合分布式威脅防御機(jī)制,防范網(wǎng)絡(luò)威脅;考慮到III區(qū)和IV區(qū)之間頻繁的數(shù)據(jù)交換需求,III區(qū)和IV區(qū)之間視情況采用交換機(jī)防火墻模塊進(jìn)行隔離,并在區(qū)域內(nèi)部署IDS等安全監(jiān)控設(shè)備,在骨干網(wǎng)上不再分成2個(gè)不同的VPN;由于外部的威脅主要來自于Intern過出口,因此可在全省Internet出口集中的基礎(chǔ)上,統(tǒng)一設(shè)置安全防護(hù)策略,通過防火墻與III區(qū)、IV區(qū)之間進(jìn)行隔離。
5.綜合數(shù)據(jù)網(wǎng)安全防護(hù)
綜合業(yè)務(wù)數(shù)據(jù)網(wǎng),主要承載了0A、95598、營銷、財(cái)務(wù)等應(yīng)用系統(tǒng),同時(shí)也在進(jìn)行SCADA/EMS等調(diào)度業(yè)務(wù)的接入試點(diǎn)。
采用網(wǎng)絡(luò)安全監(jiān)控響應(yīng)中心為核心的分布式威脅防御技術(shù),對(duì)全網(wǎng)的病毒攻擊和病毒傳播進(jìn)行主動(dòng)防護(hù),通過關(guān)聯(lián)網(wǎng)絡(luò)和安全設(shè)備配置信息、NetFlow、應(yīng)用日志和安全事件,從中心的控制臺(tái)實(shí)時(shí)發(fā)現(xiàn)、跟蹤、分析、防御、報(bào)告和存儲(chǔ)整個(gè)企業(yè)網(wǎng)絡(luò)中的安全事件和攻擊。同時(shí)分布式威脅防御手段不但用于對(duì)綜合數(shù)據(jù)骨干網(wǎng)進(jìn)行安全防護(hù),而且通過建立2級(jí)安全監(jiān)控響應(yīng)中心,對(duì)包括綜合數(shù)據(jù)網(wǎng)、企業(yè)本部局域網(wǎng)、分支機(jī)構(gòu)局域網(wǎng)在內(nèi)的全網(wǎng)設(shè)備進(jìn)行監(jiān)控。
關(guān)鍵詞:網(wǎng)絡(luò)安全技術(shù) 企業(yè)網(wǎng)絡(luò) 解決方案
中圖分類號(hào):TN711文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,自由的、開放的、國際化的Internet給政府機(jī)構(gòu)、企事業(yè)單位帶來了前所未有的變革,使得企事業(yè)單位能夠利用Internet提高辦事效率和市場(chǎng)反應(yīng)能力,進(jìn)而提高競(jìng)爭(zhēng)力。另外,網(wǎng)絡(luò)安全問題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而真多,凡是有網(wǎng)絡(luò)的地方就存在著安全隱患。在2007年1月舉行的達(dá)沃斯世界經(jīng)濟(jì)論壇上,與會(huì)者首次觸及了互聯(lián)網(wǎng)安全問題,表明網(wǎng)絡(luò)安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí),網(wǎng)絡(luò)安全隱患也越來越大,如何針對(duì)企業(yè)的具體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)出先進(jìn)的安全方案并選配合理的網(wǎng)絡(luò)安全產(chǎn)品,以及搭建有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是擺在計(jì)算機(jī)工作者面前的巨大課題。
一、企業(yè)網(wǎng)絡(luò)安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù),同時(shí)又要面對(duì)Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示:2009年,被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡(luò)信息安全事件。在發(fā)生過安全事件的企業(yè)中,83%的企業(yè)感染了計(jì)算機(jī)病毒、蠕蟲和木馬程序,36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡(luò)端口掃描,拒絕服務(wù)攻擊和網(wǎng)頁篡改等安全危機(jī)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的攻擊,已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項(xiàng)重要工作。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)病毒和黑客工具軟件具有技術(shù)先進(jìn)、隱蔽性強(qiáng)、傳播速度快、破壞力強(qiáng)等特點(diǎn)。這主要表現(xiàn)在: 1.網(wǎng)絡(luò)安全所面臨的是一個(gè)國際化的挑戰(zhàn),網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶,而是可以來自Internet上的任何一個(gè)終端機(jī)器。2.由于網(wǎng)絡(luò)技術(shù)是全開放的,任何一個(gè)團(tuán)體組織或者個(gè)人都可能獲得,開放性的網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊往往是多方面的,例如:對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊,對(duì)物理傳輸線路的攻擊,對(duì)硬件的攻擊,也可以是對(duì)軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網(wǎng)絡(luò)服務(wù)器,因?yàn)榫W(wǎng)絡(luò)最初對(duì)用戶的使用并沒有提供任何的技術(shù)約束。
二、企業(yè)網(wǎng)絡(luò)安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網(wǎng)絡(luò)上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接,沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā),只有文件“擺渡”,對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡(luò)信息安全隔離網(wǎng)閘。
(二)網(wǎng)絡(luò)系統(tǒng)安全解決方案。網(wǎng)絡(luò)應(yīng)用服務(wù)器的操作系統(tǒng)選擇是一個(gè)很重要的部分,網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務(wù)器的性能。網(wǎng)絡(luò)操作系統(tǒng)的系統(tǒng)軟件,管理并控制著計(jì)算機(jī)軟硬件資源,并在用戶與計(jì)算之間擔(dān)任著重要的橋梁作用。一般對(duì)其采用下列設(shè)置保障其基本安全
1.關(guān)閉不必要的服務(wù)。2.制定嚴(yán)格的賬戶策略。3.科學(xué)的分配用戶賬戶權(quán)限。4.科學(xué)的安全配置和分析。 (三)入侵檢測(cè)解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系中,大部分企業(yè)都部署了防火墻對(duì)企業(yè)進(jìn)行保護(hù)。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點(diǎn)。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風(fēng)險(xiǎn)。根據(jù)企業(yè)網(wǎng)絡(luò)的實(shí)際應(yīng)用情況,對(duì)網(wǎng)絡(luò)環(huán)境安全狀況進(jìn)行詳細(xì)的分析研究認(rèn)為,對(duì)外提供應(yīng)用服務(wù)的服務(wù)器應(yīng)該受到重點(diǎn)的監(jiān)控和防護(hù)。在這一區(qū)域部署入侵檢測(cè)系統(tǒng),這樣可以充分發(fā)揮IDS的優(yōu)勢(shì),形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動(dòng)功能優(yōu)勢(shì),則可以大大提升動(dòng)態(tài)防護(hù)的效果。
(四)安全管理解決方案。信息系統(tǒng)安全管理機(jī)構(gòu)是負(fù)責(zé)信息安全日常事務(wù)工作的,應(yīng)按照國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標(biāo),結(jié)合自身信息系統(tǒng)的安全需求建立安全實(shí)施細(xì)則,并負(fù)責(zé)貫徹實(shí)施。 單位安全網(wǎng)(即內(nèi)網(wǎng))系統(tǒng)安全管理機(jī)構(gòu)主要實(shí)現(xiàn)以下職能:
1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。
2.確定信息安全各崗位人員的職責(zé)和權(quán)限,實(shí)行相互授權(quán)、相互牽連,建立崗位責(zé)任制。
3.審議并通過安全規(guī)劃,年度安全報(bào)告,有關(guān)安全的宣傳、教育、培訓(xùn)計(jì)劃。
關(guān)鍵詞:網(wǎng)絡(luò)系統(tǒng) 互聯(lián)網(wǎng) 系統(tǒng)架構(gòu)
面對(duì)全球市場(chǎng)化的挑戰(zhàn),企業(yè)要實(shí)現(xiàn)跨地區(qū)、跨行業(yè)、跨國經(jīng)營的戰(zhàn)略目標(biāo),要把工作重點(diǎn)轉(zhuǎn)向技術(shù)創(chuàng)新、管理創(chuàng)新和制度創(chuàng)新上來,信息化是必然的選擇。油田的數(shù)字化建設(shè)為油田的生產(chǎn)經(jīng)營業(yè)務(wù)提供安全、穩(wěn)定、高效、可靠的網(wǎng)絡(luò)服務(wù)目標(biāo),把工作重心轉(zhuǎn)移到確?!皵?shù)字化管理”的網(wǎng)絡(luò)需要上來,緊緊圍繞中國石油規(guī)劃的計(jì)算機(jī)局域網(wǎng)改進(jìn)項(xiàng)目實(shí)施,主要從計(jì)算機(jī)主干網(wǎng)絡(luò)、網(wǎng)絡(luò)安全體系、網(wǎng)絡(luò)數(shù)字化管理等方面,提供了強(qiáng)有力的通信信息服務(wù)保障。油田的數(shù)字化建設(shè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性提出了更高的要求。本文分析油田網(wǎng)絡(luò)安全體系和網(wǎng)絡(luò)管理。
一、網(wǎng)絡(luò)系統(tǒng)架構(gòu)
遵循中國石油局域網(wǎng)建設(shè)和運(yùn)維規(guī)范,結(jié)合各地油田實(shí)際,科學(xué)規(guī)劃,從網(wǎng)絡(luò)架構(gòu)、設(shè)備配置、系統(tǒng)承載能力、網(wǎng)絡(luò)帶寬等全面構(gòu)架網(wǎng)絡(luò)。
網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)。按照核心層、匯聚層、接入層三層架構(gòu)的設(shè)計(jì)原則,在主要油氣區(qū)設(shè)置網(wǎng)絡(luò)匯聚節(jié)點(diǎn),提高網(wǎng)絡(luò)覆蓋面,滿足油氣生產(chǎn)需要。
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用雙星型結(jié)構(gòu)。自有電路與社會(huì)電路資源結(jié)合使用,在鏈路層面提高了油氣區(qū)網(wǎng)絡(luò)的可靠性和安全性。對(duì)于主要油氣區(qū)域的匯聚節(jié)點(diǎn),采用網(wǎng)狀組網(wǎng)方式,增加到其他匯聚節(jié)點(diǎn)的千兆級(jí)電路,提高網(wǎng)絡(luò)冗余度。
設(shè)備配置。主干節(jié)點(diǎn)設(shè)備采用冗余配置。西安網(wǎng)絡(luò)核心、各網(wǎng)絡(luò)匯聚節(jié)點(diǎn)及重要三級(jí)節(jié)點(diǎn)的路由器、交換機(jī),采用雙設(shè)備冗余配置。用設(shè)備與備份設(shè)備雙機(jī)模式工作,在系統(tǒng)或者硬件故障時(shí)候應(yīng)用自動(dòng)切換,在硬件層面提高主干網(wǎng)絡(luò)的安全性、可靠性。
網(wǎng)絡(luò)帶寬。油田的數(shù)字化管理全面展開,計(jì)算機(jī)網(wǎng)絡(luò)的帶寬需要按照業(yè)務(wù)需求進(jìn)行規(guī)劃。將網(wǎng)絡(luò)業(yè)務(wù)分為生產(chǎn)、辦公、住宅三類,逐一預(yù)測(cè)帶寬。將主干網(wǎng)絡(luò)承載的主要業(yè)務(wù)生產(chǎn)數(shù)據(jù)按照其業(yè)務(wù)層級(jí).從井站、作業(yè)區(qū)、廠部到公司,逐級(jí)分解,明確了主干網(wǎng)絡(luò)的帶寬需求,初步確定了網(wǎng)絡(luò)核心與各匯聚節(jié)點(diǎn)之間采用雙2.5Gbps鏈路互聯(lián),三級(jí)節(jié)點(diǎn)至網(wǎng)絡(luò)匯聚節(jié)點(diǎn)采用1―2個(gè)1000Mbps-ff聯(lián),核心網(wǎng)絡(luò)采用雙萬兆互聯(lián)的鏈路方案。為確保鏈路的可靠性,主要節(jié)點(diǎn)之間采用雙鏈路互聯(lián)。
二、網(wǎng)絡(luò)安全體系的規(guī)劃和構(gòu)建
如何規(guī)劃和設(shè)計(jì)好網(wǎng)絡(luò)安全體系,是油田數(shù)字化管理基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重中之重,也是支持各種信息化應(yīng)用系統(tǒng)運(yùn)行的關(guān)鍵所在。按照中國石油的統(tǒng)一規(guī)劃,各油田計(jì)算機(jī)網(wǎng)絡(luò),對(duì)上,與中國石油總部內(nèi)部網(wǎng)絡(luò)互聯(lián),對(duì)外,可以就地通過電信運(yùn)營商接入Internet。這樣就可以從結(jié)構(gòu)上將網(wǎng)絡(luò)安全分為內(nèi)部安全、外部安全進(jìn)行考慮。油田在打造暢通、可靠的油田計(jì)算機(jī)主干網(wǎng)絡(luò)的同時(shí),同步做好網(wǎng)絡(luò)安全工作,從網(wǎng)絡(luò)的邊界層、核心層、接入層及安全體系等方面進(jìn)行統(tǒng)籌規(guī)劃,已初步形成了邊界嚴(yán)防護(hù)、核心重監(jiān)控、桌面勤補(bǔ)漏、全網(wǎng)建體系的網(wǎng)絡(luò)安全管理理念。網(wǎng)絡(luò)安全性得到加強(qiáng),非正常應(yīng)用流量減少90%。在邊界層,采用防火墻及IPS技術(shù),實(shí)現(xiàn)對(duì)來自外網(wǎng)的安全第一級(jí)防護(hù);在網(wǎng)絡(luò)核心層,首次在企業(yè)網(wǎng)應(yīng)用了流量清洗技術(shù),不僅實(shí)現(xiàn)了外網(wǎng)第二級(jí)安全防護(hù),還實(shí)現(xiàn)企業(yè)內(nèi)部各個(gè)重要業(yè)務(wù)及用戶之間的流量監(jiān)測(cè)及攻擊性數(shù)據(jù)清洗;在接入層,采用漏洞掃描系統(tǒng),不定期對(duì)敏感業(yè)務(wù)系統(tǒng)進(jìn)行掃描和加固,及時(shí)發(fā)現(xiàn)安全隱患并予以消除;在主干網(wǎng)方面,以建立網(wǎng)絡(luò)安全體系為核心,加強(qiáng)網(wǎng)絡(luò)安全管理,初步建立起了主干網(wǎng)的安全評(píng)估體系。
1、互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。在與互聯(lián)網(wǎng)的接入部分,按照安全區(qū)、信息交換區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)三個(gè)安全區(qū)進(jìn)行建設(shè),規(guī)劃兩臺(tái)防火墻,考慮到出口網(wǎng)絡(luò)萬兆升級(jí)以及防火墻處理能力,同時(shí)為了降低出口網(wǎng)絡(luò)復(fù)雜度,選擇自帶IPS功能的防火墻,通過防火墻設(shè)備完成出口網(wǎng)絡(luò)
的安全防護(hù)和入侵防護(hù)功能。防火墻選型上既考慮國內(nèi)產(chǎn)品自主知識(shí)產(chǎn)權(quán)的優(yōu)勢(shì)、又兼顧國外產(chǎn)品高性能及穩(wěn)定性好的特點(diǎn)。
2、內(nèi)網(wǎng)安全。通過對(duì)目前業(yè)界各類安全技術(shù)的跟蹤和研究,重點(diǎn)按照攙D層做清洗、桌面做漏洞掃描及加固、全網(wǎng)進(jìn)行安全體系建設(shè)三方面強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全建設(shè)。核心網(wǎng)絡(luò)流量監(jiān)控及清洗。一方面,通過建立流量模型,保障主要業(yè)務(wù)。在網(wǎng)絡(luò)核心。采用相對(duì)串接、鏡像等方式先進(jìn)的分光技術(shù),部署旁路流量分析監(jiān)管設(shè)備,通過分析網(wǎng)絡(luò)核心、互聯(lián)網(wǎng)出口等流量情況,提煉重要業(yè)務(wù)的特性,建立全網(wǎng)主要業(yè)務(wù)流量模型,為網(wǎng)絡(luò)規(guī)劃建設(shè)提供依據(jù)。對(duì)于P2P等對(duì)于網(wǎng)絡(luò)帶寬消耗較大的業(yè)務(wù),設(shè)定閥值及流量管理規(guī)則,使P2P等業(yè)務(wù)對(duì)用戶網(wǎng)絡(luò)訪問影響降到最低。另―方面,通過對(duì)異常流量的清洗,保障核心業(yè)務(wù)及網(wǎng)絡(luò)的安全。針對(duì)目前在網(wǎng)絡(luò)中頻繁發(fā)生的病毒攻擊等行為,選擇旁路部署的網(wǎng)絡(luò)異常流量清洗設(shè)備,通過采用策略路由和BGP引流方式實(shí)現(xiàn)流量監(jiān)控與異常流量的清洗,使得網(wǎng)絡(luò)安全管理變被動(dòng)為主動(dòng)、由事后分析到事前防范、由未知到可視。據(jù)統(tǒng)計(jì)。2010年3月份就成功消除安全事件1600多起,較大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠性。各類安全策略及規(guī)則庫的及時(shí)更新升級(jí),也使得系統(tǒng)能應(yīng)對(duì)各類新的攻擊。
3、安全評(píng)估建設(shè)及桌面漏洞掃描。在網(wǎng)絡(luò)核心部署漏洞掃描系統(tǒng),不定期對(duì)相關(guān)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行掃描,發(fā)現(xiàn)漏洞,及時(shí)進(jìn)行系統(tǒng)加固,減少安全事件的發(fā)生,提高網(wǎng)絡(luò)穩(wěn)定性。在此基礎(chǔ)上。與國家有安全資質(zhì)的第三方公司合作,開展安全體系建設(shè),逐步建立較為完善的網(wǎng)絡(luò)安全管理體系。
三、網(wǎng)絡(luò)管理
經(jīng)過計(jì)算機(jī)網(wǎng)絡(luò)的大規(guī)模建設(shè)發(fā)展,網(wǎng)絡(luò)運(yùn)維工作量規(guī)模成倍增長,而網(wǎng)絡(luò)運(yùn)維人員沒有增加,如何高效運(yùn)維已經(jīng)成了追在眉睫的問題,通過不斷的調(diào)研和測(cè)試,我們認(rèn)為目前的網(wǎng)絡(luò)廠家的專業(yè)化網(wǎng)管軟件、第三方網(wǎng)管軟件、國內(nèi)的網(wǎng)絡(luò)軟件之中,第三方的較為實(shí)用,縱觀CA、HP等廠家的系統(tǒng),Solarwinds成為目前比較適合單位實(shí)際,能快速高效部署和運(yùn)維的一套經(jīng)濟(jì)實(shí)用的系統(tǒng)。主要實(shí)現(xiàn)了以下幾個(gè)方面的開發(fā)和應(yīng)用:實(shí)現(xiàn)對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、防火墻、服務(wù)器等的實(shí)時(shí)監(jiān)測(cè),涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個(gè)廠家的產(chǎn)品,監(jiān)測(cè)參數(shù)包括CPU、內(nèi)存、帶寬、會(huì)話數(shù)等;實(shí)現(xiàn)對(duì)各類故障的實(shí)時(shí)告警和管理,以短信等方式及時(shí)提醒運(yùn)維人員;實(shí)時(shí)展現(xiàn)全網(wǎng)拓?fù)浣Y(jié)構(gòu),以圖形化界面友好展示網(wǎng)絡(luò)暢通情況;實(shí)現(xiàn)對(duì)全網(wǎng)設(shè)備的配置自動(dòng)備份,能進(jìn)行配置比對(duì),方便技術(shù)人員分析設(shè)備運(yùn)行情況;量化統(tǒng)計(jì)分析網(wǎng)絡(luò)及設(shè)備的可用性等指標(biāo);靈活定制各類報(bào)表,方便決策分析和統(tǒng)計(jì)。通過自定義方式建立起來的資源管理,極大方便了網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)和資料的管理。
四、結(jié)論
在近一年多的實(shí)際運(yùn)維中,主干網(wǎng)絡(luò)未出現(xiàn)中斷、出口通暢,網(wǎng)絡(luò)可用性達(dá)到l00%。網(wǎng)絡(luò)整體服務(wù)能力的各項(xiàng)指標(biāo)明顯提高:網(wǎng)頁平均打開時(shí)間由15ms降低到7ms;主干帶寬利用率保持
參考文獻(xiàn)
[1] 程澤兵. 構(gòu)建油田網(wǎng)絡(luò)安全防護(hù)體系的研究[J]. 中國科技信息. 2005(19)
[2] 宋永鑫,李國慶. 油田網(wǎng)絡(luò)安全初步探討[J]. 油氣田地面工程. 2005(01)
關(guān)鍵詞信息安全;PKI;CA;VPN
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng),企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。
在下面的描述中,以某公司為例進(jìn)行說明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析
通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
通過對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護(hù)
對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖3
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
1 信息環(huán)境下的企業(yè)管理路徑
1.1 完善管理信息化建設(shè)體制
企業(yè)要加快管理信息系統(tǒng)建設(shè),規(guī)范信息化標(biāo)準(zhǔn)體系,提高管理的信息化水平。首先,企業(yè)要成立信息化管理部門,負(fù)責(zé)企業(yè)信息化建設(shè)項(xiàng)目的全面推進(jìn),并且結(jié)合企業(yè)信息環(huán)境和管理需求制定信息化工作管理制度、專項(xiàng)經(jīng)費(fèi)管理制度、信息化工作考核制度等,保障信息系統(tǒng)建設(shè)制度化開展。其次,明確管理信息系統(tǒng)建設(shè)重點(diǎn),如生產(chǎn)指揮調(diào)度管理系統(tǒng)、資金管理系統(tǒng)、會(huì)計(jì)核算系統(tǒng)、移動(dòng)辦公系統(tǒng)、物資采購管理系統(tǒng)等,提高企業(yè)對(duì)各項(xiàng)經(jīng)營活動(dòng)的管控能力。最后,建立信息化標(biāo)準(zhǔn)體系,包括技術(shù)支撐、基礎(chǔ)建設(shè)、安全保障、業(yè)務(wù)應(yīng)用等方面的標(biāo)準(zhǔn),從而確保企業(yè)管理信息系統(tǒng)建設(shè)項(xiàng)目的質(zhì)量。
1.2 建設(shè)企業(yè)ERP系統(tǒng)
企業(yè)要結(jié)合經(jīng)營管理實(shí)際情況,引入ERP系統(tǒng),從供應(yīng)鏈管理層面推動(dòng)物流、資金流與信息流的有機(jī)整合,提高企業(yè)集成化、信息化管理水平,提升企業(yè)供應(yīng)鏈運(yùn)作效率。在ERP系統(tǒng)的支持下,企業(yè)要實(shí)現(xiàn)財(cái)務(wù)業(yè)務(wù)一體化管理,完善財(cái)務(wù)管理系統(tǒng)功能,促使業(yè)務(wù)產(chǎn)生的信息實(shí)時(shí)傳遞到財(cái)務(wù)部門進(jìn)行處理,同時(shí)也將財(cái)務(wù)信息、財(cái)務(wù)報(bào)告及時(shí)提供給企業(yè)管理層進(jìn)行查閱,并將其作為企業(yè)經(jīng)營決策的可靠依據(jù)。
1.3 優(yōu)化人力資源信息化管理
在信息環(huán)境下,為進(jìn)一步提升企業(yè)的管理水平,應(yīng)當(dāng)在現(xiàn)有的基礎(chǔ)上,對(duì)人力資源信息化管理進(jìn)行優(yōu)化。首先,企業(yè)應(yīng)當(dāng)建立起一個(gè)相對(duì)完善的且包含績效考核、員工培訓(xùn)、人才能力管理的信息化系統(tǒng),并通過對(duì)相關(guān)流程的梳理,促進(jìn)企業(yè)管理規(guī)范化和標(biāo)準(zhǔn)化,從而全面提升企業(yè)的人力資源管理效率。其次,企業(yè)可將一些重要的項(xiàng)目作為契機(jī),實(shí)現(xiàn)人力資源與企業(yè)管理要求的對(duì)接,遵循現(xiàn)代企業(yè)管理的思維方式,開展相關(guān)的人力資源信息化管理工作,如員工績效考核、領(lǐng)導(dǎo)干部測(cè)評(píng)等,借助項(xiàng)目成果,提升企業(yè)人力資源的整體管理水平,由此能夠推動(dòng)企業(yè)在信息環(huán)境下的穩(wěn)定、持續(xù)發(fā)展。
1.4 加強(qiáng)信息化建設(shè)中的風(fēng)險(xiǎn)管理
企業(yè)在建設(shè)信息化的過程中不可避免地會(huì)面臨各種風(fēng)險(xiǎn),為此,企業(yè)應(yīng)當(dāng)采取有效的方法和措施加強(qiáng)風(fēng)險(xiǎn)管理。企業(yè)應(yīng)當(dāng)建立相對(duì)完善的風(fēng)險(xiǎn)防范機(jī)制,在該機(jī)制建立的過程中,要對(duì)管理信息系統(tǒng)開發(fā)中的所有風(fēng)險(xiǎn)予以充分考慮,針對(duì)風(fēng)險(xiǎn)因素進(jìn)行有效的管理。實(shí)踐證明,大多數(shù)風(fēng)險(xiǎn)都可以通過相應(yīng)的方法進(jìn)行防控,其前提是需要對(duì)風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的識(shí)別,但必須指出的是,風(fēng)險(xiǎn)本身具有不確定性和隨機(jī)性的特點(diǎn),并且有些風(fēng)險(xiǎn)是很難進(jìn)行預(yù)防和控制的,因此,企業(yè)在開發(fā)管理信息系統(tǒng)時(shí),必須制訂出一套能夠應(yīng)對(duì)突發(fā)意外事件的方案,從而在意外發(fā)生時(shí),能夠進(jìn)行解決,避免造成損失。
2 保障企業(yè)信息安全的體系構(gòu)建
在信息環(huán)境下,信息安全是企業(yè)開展管理信息化建設(shè)面臨的重大問題之一,直接關(guān)系到企業(yè)管理信息化水平的提升。為此,企業(yè)要結(jié)合管理實(shí)際需求,構(gòu)建起信息安全保障體系,具體實(shí)施措施如下。
2.1 加強(qiáng)網(wǎng)絡(luò)安全管理
企業(yè)在加強(qiáng)網(wǎng)絡(luò)安全管理的過程中,可采取如下技術(shù)措施。
2.1.1 對(duì)遠(yuǎn)程接入進(jìn)行嚴(yán)格控制近年來,虛擬專用網(wǎng)絡(luò)技術(shù)(VPN)獲得了快速發(fā)展,由此大幅度降低了遠(yuǎn)程接入給企業(yè)帶來的風(fēng)險(xiǎn),與此同時(shí),移動(dòng)辦公的出現(xiàn),在一定程度上促進(jìn)了遠(yuǎn)程接入的發(fā)展,為確保遠(yuǎn)程接入的安全性,企業(yè)可以應(yīng)用USB KEY身份認(rèn)證或是動(dòng)態(tài)口令等方式,對(duì)遠(yuǎn)程接入進(jìn)行安全控制。
2.1.2 IPSec企業(yè)內(nèi)網(wǎng)中存在一些非受控終端,這些終端的存在給黑客提供了訪問企業(yè)網(wǎng)絡(luò)的路徑,為確保網(wǎng)絡(luò)信息的安全性,企業(yè)可以應(yīng)用IPSec,由此能夠?qū)?nèi)部終端進(jìn)行管理和控制。
2.1.3 入侵檢測(cè)這是防火墻的一項(xiàng)補(bǔ)充技術(shù),能夠?qū)W(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控,當(dāng)檢測(cè)到可疑的數(shù)據(jù)信息傳輸后,會(huì)自行發(fā)出報(bào)警。通過入侵檢測(cè),可以使企業(yè)對(duì)來自外部的惡意攻擊進(jìn)行有效的防范。
2.1.4 確保無線網(wǎng)絡(luò)安全大部分企業(yè)的辦公區(qū)域內(nèi)都有無線網(wǎng)絡(luò)覆蓋,其在給企業(yè)和用戶帶來便利的同時(shí),也給信息安全帶來了一定的隱患。為確保無線網(wǎng)絡(luò)安全,企業(yè)應(yīng)當(dāng)采用比較安全的協(xié)議,如WPA或WPA2等,也可借助EAP協(xié)議對(duì)無線網(wǎng)絡(luò)進(jìn)行訪問控制。
2.2 加強(qiáng)訪問控制
在信息環(huán)境下,企業(yè)可以通過加強(qiáng)訪問控制,來確保網(wǎng)絡(luò)信息安全,具體可采取如下技術(shù)措施。
2.2.1 密碼策略相關(guān)研究結(jié)果表明,密碼的強(qiáng)度等級(jí)越高,破解所需的時(shí)間越長,正因如此,使得提高企業(yè)用戶的密碼強(qiáng)度等級(jí)成為訪問控制最為有效的手段之一,為此,企業(yè)應(yīng)當(dāng)制定合理可行的密碼策略,并借助相關(guān)的技術(shù)措施確保策略的執(zhí)行。
2.2.2 權(quán)限管理企業(yè)應(yīng)當(dāng)對(duì)身份管理平臺(tái)進(jìn)行完善,以此為依托對(duì)員工的權(quán)限進(jìn)行管理,并實(shí)行企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用單點(diǎn)登錄的策略。
2.2.3 構(gòu)建公匙系統(tǒng)該系統(tǒng)是訪問控制的核心,通過它能夠有效提高無線網(wǎng)絡(luò)訪問授權(quán)、VPN接入的安全水平。
2.3 加強(qiáng)信息安全監(jiān)控與審計(jì)
企業(yè)在加強(qiáng)信息安全的監(jiān)控與審計(jì)方面,可以采取如下技術(shù)措施。
2.3.1 掃描病毒這是一種較為有效的網(wǎng)絡(luò)信息安全監(jiān)控手段,通過防病毒軟件系統(tǒng),可以對(duì)病毒進(jìn)行自動(dòng)掃描,并針對(duì)操作系統(tǒng)存在的漏洞,自動(dòng)進(jìn)行相關(guān)“補(bǔ)丁”的更新,由此大幅度提升了桌面終端的安全性。這種技術(shù)措施需要將客戶端安裝在企業(yè)用戶的終端設(shè)備上,當(dāng)終端與企業(yè)內(nèi)網(wǎng)進(jìn)行連接時(shí),病毒掃描軟件便會(huì)啟動(dòng),并對(duì)將要接入的終端設(shè)備進(jìn)行評(píng)估,通過之后,才能與企業(yè)內(nèi)網(wǎng)連接。
2.3.2 防控體系針對(duì)網(wǎng)絡(luò)黑客的惡意攻擊,企業(yè)應(yīng)當(dāng)構(gòu)建相應(yīng)的防控體系,該體系可由以下幾個(gè)部分組成:能夠?qū)崟r(shí)更新的防病毒軟件、可以過濾掉不安全信息、郵件及非法網(wǎng)頁的網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)等。
2.3.3 記錄與審計(jì)企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng),借助該系統(tǒng)對(duì)信息安全事件進(jìn)行收集,進(jìn)而生成審計(jì)記錄,據(jù)此對(duì)安全事件進(jìn)行分析,并采取有效的措施加以解決處理。
2.4 加強(qiáng)員工信息安全培訓(xùn)
在信息環(huán)境下,企業(yè)網(wǎng)絡(luò)信息安全需要憑借全體員工來維護(hù),為此,企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)員工信息安全方面的培訓(xùn),借此來增強(qiáng)他們的信息安全意識(shí)。為使培訓(xùn)效果最大化,必須保證培訓(xùn)工作的實(shí)效性,首先,要做好網(wǎng)絡(luò)管理人員的技術(shù)技能培訓(xùn)工作,可將培訓(xùn)的重點(diǎn)放在網(wǎng)絡(luò)設(shè)備的安裝與調(diào)試以及軟件的配置上。其次,應(yīng)加大對(duì)企業(yè)領(lǐng)導(dǎo)層的培訓(xùn),通過培訓(xùn)使領(lǐng)導(dǎo)層認(rèn)識(shí)到提高網(wǎng)絡(luò)信息安全的重要性和安全管理體系建設(shè)的必要性,以便獲得他們的支持,使信息安全管理工作的開展更加順利。最后,應(yīng)當(dāng)加大對(duì)網(wǎng)絡(luò)客戶端上用戶的培訓(xùn),培訓(xùn)的重點(diǎn)為實(shí)際操作,并在培訓(xùn)完畢后,制定相關(guān)的管理制度,要求用戶嚴(yán)格執(zhí)行,從而確保網(wǎng)絡(luò)信息的安全。
3 結(jié) 論
在信息環(huán)境下,企業(yè)要積極推動(dòng)管理信息化建設(shè),將其滲透到物流管理、人力資源管理、財(cái)務(wù)管理等多個(gè)管理領(lǐng)域,從而不斷提高企業(yè)管理效率。與此同時(shí),企業(yè)也要認(rèn)清管理信息化建設(shè)帶來的信息安全問題,針對(duì)信息安全管理的薄弱環(huán)節(jié)制定有效的管理措施,做好員工信息安全培訓(xùn)工作,保障企業(yè)管理信息系統(tǒng)建設(shè)的順利實(shí)施,不斷提高企業(yè)信息化管理水平。
關(guān)鍵詞:企業(yè)局域網(wǎng);防病毒;安全性
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 14-0000-01
一、引言
隨著信息化發(fā)展及其在企業(yè)局域網(wǎng)建設(shè)中的地位提升,信息化部門如何建立有效運(yùn)營環(huán)境,確保信息安全,顯得尤為重要,其中的病毒防御是關(guān)鍵環(huán)節(jié)。本文總結(jié)了病毒的傳播、防病毒系統(tǒng)的建立、維護(hù)及管理方法,對(duì)建立有效的企業(yè)網(wǎng)絡(luò)有一定的指導(dǎo)意義。
二、計(jì)算機(jī)病毒在局域網(wǎng)中的傳播
(一)計(jì)算機(jī)病毒在局域網(wǎng)中的傳播途徑。局域網(wǎng)主要是指在一定范圍內(nèi)由服務(wù)器和多臺(tái)計(jì)算機(jī)組成的互聯(lián)網(wǎng)絡(luò),擁有較高傳輸速率的同時(shí)為病毒傳播提供了有效的通道。以下為計(jì)算機(jī)病毒在局域網(wǎng)內(nèi)相互傳播的幾種普遍途徑:1.共享:資源共享作為局域網(wǎng)優(yōu)勢(shì)之一,實(shí)現(xiàn) “數(shù)據(jù)開放性”的同時(shí)造就了病毒感染的直接性。2.服務(wù)器染毒:如局域網(wǎng)中服務(wù)器染病,所有經(jīng)過服務(wù)器的數(shù)據(jù)也會(huì)被順帶感染,從而造成整個(gè)網(wǎng)絡(luò)感染病毒。3.終端染毒:如局域網(wǎng)中一臺(tái)終端染毒,任何接受此終端數(shù)據(jù)的計(jì)算機(jī)都會(huì)快速、便易的成為另一臺(tái)染毒終端,導(dǎo)致網(wǎng)內(nèi)病毒互相感染,屢殺不盡。
(二)計(jì)算機(jī)病毒在局域網(wǎng)中的傳播特點(diǎn):1.感染速度快:因局域網(wǎng)高效的網(wǎng)絡(luò)傳輸速度,也為計(jì)算機(jī)病毒的迅速傳播鋪平了道路,引領(lǐng)著計(jì)算機(jī)病毒踏上高速傳播之路。2.擴(kuò)散面廣:病毒可以通過局域網(wǎng)內(nèi)的一臺(tái)計(jì)算機(jī)逐個(gè)傳播,最終蔓延到局域網(wǎng)內(nèi)所有計(jì)算機(jī)。3.難徹底清除:局域網(wǎng)中染毒文件通過計(jì)算機(jī)信息交互相互傳遞、相互感染。只要存在一臺(tái)計(jì)算機(jī)未能殺毒干凈,就可能使整個(gè)網(wǎng)絡(luò)重新被病毒感染,反反復(fù)復(fù)無法徹底清除。4.破壞性大:局域網(wǎng)一旦出現(xiàn)病毒入侵,會(huì)造成網(wǎng)內(nèi)計(jì)算機(jī)重要數(shù)據(jù)被破壞、系統(tǒng)資源被搶占及影響計(jì)算機(jī)運(yùn)行速度等問題,嚴(yán)重時(shí)甚至可以造成整個(gè)網(wǎng)絡(luò)癱瘓,無形損失難以估量。
三、防病毒系統(tǒng)在企業(yè)局域網(wǎng)中的部署
(一)企業(yè)局域網(wǎng)建立防病毒系統(tǒng)的必要性。企業(yè)局域網(wǎng)的特征決定了如果要確保整個(gè)網(wǎng)絡(luò)的防毒性,就必須保證連接在網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)都具備防護(hù)病毒的能力。然而,這不只是每臺(tái)計(jì)算機(jī)簡(jiǎn)單的安裝了殺毒軟件即可實(shí)現(xiàn)的,它需要建立一個(gè)多層次、協(xié)調(diào)一致的立體防病毒系統(tǒng),以分布處理、集中控制為技術(shù),以系統(tǒng)中心、服務(wù)器、客戶端、控制臺(tái)為核心結(jié)構(gòu),實(shí)現(xiàn)遠(yuǎn)程集中控管、遠(yuǎn)程病毒報(bào)警、遠(yuǎn)程配置、智能升級(jí)、全網(wǎng)查殺、日志管理、病毒溯源等功能,將網(wǎng)絡(luò)中的所有計(jì)算機(jī)有機(jī)地結(jié)合在一起,確保整個(gè)網(wǎng)絡(luò)安全性。
(二)企業(yè)局域網(wǎng)防病毒系統(tǒng)的總體規(guī)劃。防病毒系統(tǒng)建立的應(yīng)以加強(qiáng)對(duì)病毒的防護(hù)工作為目的,通過防病毒系統(tǒng)的管理控制臺(tái)統(tǒng)一部署防毒策略,集中管理網(wǎng)內(nèi)每臺(tái)計(jì)算機(jī),確保每個(gè)終端擁有有效的病毒防護(hù)能力。從服務(wù)器到終端,由上到下緊密結(jié)合,最終形成一個(gè)立體的、完整的企業(yè)網(wǎng)病毒防護(hù)體系。
四、防病毒系統(tǒng)在企業(yè)局域網(wǎng)中的管理
(一)制定統(tǒng)一管理策略。防病毒系統(tǒng)在網(wǎng)絡(luò)內(nèi)的作用不僅是簡(jiǎn)單的檢測(cè)和清除病毒,還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作,還要制定安全策略、防毒策略、主動(dòng)防御規(guī)則等采用主動(dòng)防御機(jī)制,將病毒隔離在網(wǎng)絡(luò)大門之外。因此,集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求,防病毒管理人員可以通過管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng),統(tǒng)一制定防病毒策略,對(duì)網(wǎng)內(nèi)中計(jì)算機(jī)實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一調(diào)控,保障網(wǎng)內(nèi)所有終端免受病毒的影響。
(二)制定統(tǒng)一管理制度。為了適應(yīng)信息技術(shù)的發(fā)展,落實(shí)國家信息安全分級(jí)保護(hù)制度,根據(jù)國家保密相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)制定適用于企業(yè)局域網(wǎng)的防惡意代碼系統(tǒng)制度,確保信息數(shù)據(jù)安全,降低病毒爆發(fā),并按照制度對(duì)防病毒系統(tǒng)進(jìn)行管理及維護(hù)工作。
(三)統(tǒng)一快速、方便的升級(jí)。企業(yè)局域網(wǎng)防病毒系統(tǒng)對(duì)更新的及時(shí)性需求尤其突出,應(yīng)定期更新計(jì)算機(jī)病毒樣本庫。針對(duì)公司這種物理隔離的網(wǎng)絡(luò),防病毒系統(tǒng)的升級(jí)采用從Internet下載病毒代碼和病毒查殺引擎的更新文件,通過光盤信息輸入到防病毒系統(tǒng)的服務(wù)器上,并通過自動(dòng)更新設(shè)置進(jìn)行全網(wǎng)的計(jì)算機(jī)終端病毒庫升級(jí)工作,保障全網(wǎng)終端正常升級(jí)工作的同時(shí)盡可能地減少人力的介入。
五、對(duì)企業(yè)局域網(wǎng)防病毒工作的安全建議
(一)加強(qiáng)員工安全意識(shí)。對(duì)員工進(jìn)行以防病毒系統(tǒng)為主題的相關(guān)培訓(xùn),介紹防病毒系統(tǒng)相關(guān)制度、策略等內(nèi)容、講解殺毒軟件的基本功能及應(yīng)用,使員工具備防毒、反毒的意思及定期全盤殺毒、分析染毒記錄、正確判斷殺毒軟件是否有效等能力,從而積極地配合管理人員的管理與維護(hù)工作。
(二)加強(qiáng)技術(shù)手段:1.安裝企業(yè)專業(yè)的防病毒軟件進(jìn)行統(tǒng)一的策略下發(fā)及全面監(jiān)控工作。2.定期更新病毒庫、升級(jí)操作系統(tǒng)的安全補(bǔ)丁避免現(xiàn)在利用操作系統(tǒng)漏洞所傳播的病毒。3.關(guān)閉一些對(duì)企業(yè)局域網(wǎng)用戶作用不大但卻為攻擊者提供方便的一些服務(wù)。4.當(dāng)發(fā)現(xiàn)某臺(tái)計(jì)算機(jī)出現(xiàn)病毒大量報(bào)警或染毒情況異常時(shí)應(yīng)立即對(duì)其隔離,阻止其聯(lián)入網(wǎng)內(nèi),避免其作為病毒源感染其他計(jì)算機(jī)。
(三)加強(qiáng)管理手段。配備相應(yīng)的防病毒系統(tǒng)管理人員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)防病毒系統(tǒng)的日常管理及維護(hù)工作,制定相應(yīng)的防病毒制度及策略。并結(jié)合防病毒相關(guān)制度及計(jì)算機(jī)管理制度,定期對(duì)網(wǎng)內(nèi)終端計(jì)算機(jī)進(jìn)行檢查工作,發(fā)現(xiàn)異常事件及時(shí)處理,杜絕人為因素引起的病毒泛濫情況。
六、總結(jié)
病毒是企業(yè)局域網(wǎng)中最普遍、最常見但對(duì)網(wǎng)絡(luò)信息安全最大的威脅來源,建立一個(gè)安全的、有效的企業(yè)病毒防護(hù)系統(tǒng)是信息系統(tǒng)安全體系建設(shè)的重要任務(wù)。它不但可以對(duì)網(wǎng)內(nèi)計(jì)算機(jī)病毒進(jìn)行有效地查、殺、防等安全防護(hù),還可以在病毒防護(hù)的同時(shí)簡(jiǎn)潔、方便和高效的管理網(wǎng)內(nèi)計(jì)算機(jī),最大程度地減少終端用戶和管理維護(hù)人員的工作量,確保企業(yè)局域網(wǎng)信息安全。
參考文獻(xiàn):
[1]張愛香.對(duì)計(jì)算機(jī)病毒防治措施的探討.2012
關(guān)鍵詞:分布式;信息安全;規(guī)劃;方案
中圖分類號(hào):TP309.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據(jù)來自eWeek 的消息,市場(chǎng)研究機(jī)構(gòu)Gartner 研究報(bào)告稱,很對(duì)企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長,但由于推動(dòng)力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主,因此他們對(duì)安全技術(shù)和服務(wù)的選擇和使用仍停留在一個(gè)相對(duì)較低的水平。尤其對(duì)于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言,因?yàn)樾畔踩枨蠛筒渴鹣鄬?duì)更加復(fù)雜,投入更多,因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。
本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。
2 總體規(guī)劃原則和目標(biāo)
2.1 總體規(guī)劃原則
對(duì)于分布式企業(yè)的信息安全規(guī)劃,要遵守如下原則:適度集中,控制風(fēng)險(xiǎn);突出重點(diǎn),分級(jí)保護(hù);統(tǒng)籌安排,分步實(shí)施;分級(jí)管理,責(zé)任到崗;資源優(yōu)化,注重效益。
這個(gè)原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。
2.2 總體規(guī)劃目標(biāo)
信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同,但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上,下面將分別對(duì)組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃,對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的,而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開和部署。
3 信息安全組織規(guī)劃
3.1 組織規(guī)劃目標(biāo)
組織建設(shè)是信息安全建設(shè)的基本保證,信息安全組織的目標(biāo)是:
1)完善和形成一個(gè)獨(dú)立的、完整的、動(dòng)態(tài)的、開放的信息安全組織架構(gòu),達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求;
2)打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對(duì)內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全,對(duì)外可以向社會(huì)提供高品質(zhì)的安全服務(wù);
3)建設(shè)一個(gè) “信息安全運(yùn)維中心(SOC)”,能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng),能夠?qū)ν馓峁┌踩?wù)平臺(tái)。
3.2 組織規(guī)劃實(shí)施
對(duì)于組織規(guī)劃這個(gè)方面,是屬于一個(gè)企業(yè)信息安全規(guī)劃的上層建筑,需要用一種由上而下的方法來實(shí)現(xiàn),其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對(duì)于分布式企業(yè)而言,需要主導(dǎo)部門從上層著手,建章立制,強(qiáng)化安全教育,加大基礎(chǔ)人力、財(cái)力和物力的投入。
4 信息安全管理規(guī)劃
4.1 管理規(guī)劃目標(biāo)
信息安全管理規(guī)劃的目標(biāo)是,完善和形成“七套信息安全軟措施”,具體包括:一套等級(jí)劃分指標(biāo),一套信息安全策略,一套信息安全制度,一套信息安全流程規(guī)范,一套信息安全教育培訓(xùn)體系,一套信息安全風(fēng)險(xiǎn)監(jiān)管機(jī)制,一套信息安全績效考核指標(biāo)?!捌咛仔畔踩洿胧标P(guān)系如圖1所示。
4.2 信息安全管理設(shè)計(jì)
基于對(duì)管理目標(biāo)的分析,信息安全管理的原則以風(fēng)險(xiǎn)管理為主,集中安全控制。管理要素由管理對(duì)象、安全威脅、脆弱性、風(fēng)險(xiǎn)、保護(hù)措施組成。
4.2.1 信息安全等級(jí)劃分指標(biāo)
信息安全等級(jí)保護(hù)是國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化健康發(fā)展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關(guān)于保護(hù)對(duì)象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對(duì)策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。
4.2.4 信息安全規(guī)范
信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求,在信息安全規(guī)范方面,根據(jù)調(diào)查,建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中,安全管理規(guī)范主要針對(duì)人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則;信息安全技術(shù)規(guī)范主要針對(duì)安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應(yīng)遵循的信息安全程序,其目的是減少安全隱患,降低風(fēng)險(xiǎn)。
4.2.6 信息安全績效考核指標(biāo)
信息安全績效考核指標(biāo)是指針對(duì)信息安全工作的質(zhì)量和態(tài)度而給出的評(píng)價(jià)依據(jù),其目的是增強(qiáng)信息安全責(zé)任意識(shí),提高信息安全工作質(zhì)量。
4.2.7 信息安全監(jiān)管機(jī)制
信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險(xiǎn)的識(shí)別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險(xiǎn)的控制,做到“安全第一,預(yù)防為主”。
4.2.8 信息安全教育培訓(xùn)體系
其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè),提高企業(yè)人員的信息安全意識(shí)和技能,增強(qiáng)企業(yè)信息安全能力。
5 信息安全技術(shù)規(guī)劃
5.1 技術(shù)規(guī)劃目標(biāo)
信息安全技術(shù)規(guī)劃目標(biāo)簡(jiǎn)言之是:給業(yè)務(wù)運(yùn)營提供信息安全環(huán)境,為企業(yè)轉(zhuǎn)型提供契機(jī),構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下:
1)打造信息安全基礎(chǔ)環(huán)境,調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施,建立安全專網(wǎng),設(shè)置兩個(gè)中心(信息安全運(yùn)維中心、災(zāi)備中心);
2)建立一體化信息安全平臺(tái),綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測(cè)試、安全培訓(xùn)等功能,實(shí)現(xiàn)的集中安全管理控制,快速安全事件響應(yīng),高可信的安全防護(hù),拓展企業(yè)業(yè)務(wù),開辟信息安全服務(wù)新領(lǐng)域。
5.2 信息安全運(yùn)維中心(SOC)
SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作,SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施,提供信息安全中心技術(shù)人員的辦公場(chǎng)所,提供“7×24”小時(shí)連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時(shí)監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級(jí)等業(yè)務(wù),SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外,SOC 的技術(shù)性工作還要做以下幾個(gè)方面:
1)硬件基礎(chǔ)建設(shè),主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成,實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能;
2)軟件基礎(chǔ)建設(shè),包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。
圖1 信息安全軟措施關(guān)系
圖2 信息安全總體框架
圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系
5.3 信息安全綜合測(cè)試環(huán)境
隨著分布式企業(yè)信息化程度的日也加深,需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng),為了保障安全,必須對(duì)這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查,消除安全隱患。基于此,綜合測(cè)試環(huán)境建設(shè)的內(nèi)容包括:安全測(cè)試網(wǎng)絡(luò);測(cè)試系統(tǒng)設(shè)備;安全測(cè)試工具;安全測(cè)試分析系統(tǒng);安全測(cè)試知識(shí)庫。
其中,安全測(cè)試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬;測(cè)試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬;安全測(cè)試工具覆蓋防范類、檢測(cè)類、評(píng)估類、應(yīng)急恢復(fù)類、管理類等,并提供使用說明、漏洞掃描、應(yīng)用安全分析;安全測(cè)試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能;安全知識(shí)庫包含以下內(nèi)容:漏洞知識(shí)庫,補(bǔ)丁信息庫,安全標(biāo)準(zhǔn)知識(shí)庫,威脅場(chǎng)景視頻庫,攻擊特征知識(shí)庫,信息安全解決案例庫,安全產(chǎn)品知識(shí)庫,安全概念和術(shù)語知識(shí)庫。
5.4 安全平臺(tái)建設(shè)規(guī)劃
參照國際上PDRR 模型和國家信息安全方面規(guī)范,建議信息安全總體框架設(shè)計(jì)如圖2所示。
主要目的,以資產(chǎn)為核心,通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù),以安全管理來約束組織的行為,以技術(shù)手段輔助安全管理。其中,資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示,核心為資產(chǎn),圍繞資產(chǎn)是組織,組織是管理,最外層是安全措施。
在平臺(tái)中集成十個(gè)安全機(jī)制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認(rèn)證授權(quán);信息安全防護(hù);信息安全監(jiān)控;信息安全測(cè)試;信息安全審核;信息安全應(yīng)急響應(yīng);信息安全教育培訓(xùn);信息安全服務(wù)。
6 信息安全服務(wù)業(yè)務(wù)規(guī)劃
6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)
信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡(jiǎn)言之是:以信息安全服務(wù)為切入點(diǎn),充分發(fā)揮企業(yè)優(yōu)勢(shì)資源,引領(lǐng)信息安全市場(chǎng),為企業(yè)轉(zhuǎn)型創(chuàng)造時(shí)機(jī)。具體目標(biāo)如下:
1)推出面向客戶安全(檢查、教育、配置)產(chǎn)品;2)推出面向大型企業(yè)的信息安全咨詢產(chǎn)品;3)推出面向家庭安全上網(wǎng)產(chǎn)品;4)推出面向企業(yè)安全運(yùn)維產(chǎn)品;5)推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。
6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)
服務(wù)業(yè)務(wù)規(guī)劃主要針對(duì)具體業(yè)務(wù)而言,在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例:
1)信息安全咨詢類產(chǎn)品,其服務(wù)功能主要有:信息安全風(fēng)險(xiǎn)評(píng)估;信息安全規(guī)劃設(shè)計(jì);信息安全產(chǎn)品顧問。
2)信息安全教育培訓(xùn)類產(chǎn)品,其服務(wù)功能主要有:提供信息安全操作環(huán)境;提供信息安全知識(shí)教育;提供信息安全運(yùn)維教育。
3)家庭類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:推出“家庭綠色上網(wǎng)”安全服務(wù);家庭上網(wǎng)防病毒服務(wù);家庭上網(wǎng)機(jī)器安全檢查服務(wù);家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。
4)企業(yè)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:企業(yè)安全上網(wǎng)控制服務(wù);企業(yè)安全專網(wǎng)服務(wù);安全信息通告;企業(yè)運(yùn)維服務(wù)。
5)容災(zāi)類安全服務(wù)產(chǎn)品,其服務(wù)功能主要有:面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù);面向政府信息系統(tǒng)災(zāi)備服務(wù);面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù);面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。
7 結(jié)束語
通過結(jié)合分布式企業(yè)的具體實(shí)際,按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn),提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo),按照組織、管理和技術(shù)三個(gè)方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后,依據(jù)服務(wù)規(guī)劃目標(biāo),提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。
參考文獻(xiàn):
[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報(bào),2006,23,(1):25~28.
[4] 張慶華. 信息網(wǎng)絡(luò)動(dòng)態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術(shù)安全評(píng)估的系列標(biāo)準(zhǔn)[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標(biāo)準(zhǔn)[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運(yùn)營商IT系統(tǒng)網(wǎng)絡(luò)架構(gòu)的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
關(guān)鍵詞:電子商務(wù)信用保障 原因分析 解決途徑
一、我國中小企業(yè)電子商務(wù)信用保障體系發(fā)展瓶頸的原因分析
1.誠信基礎(chǔ)薄弱。我國誠信基礎(chǔ)薄弱,導(dǎo)致電子商務(wù)交易社會(huì)信任度低。由于我國長期的“重商主義”影響,導(dǎo)致一些傳統(tǒng)的社會(huì)誠信道德與倫理的缺失?,F(xiàn)實(shí)社會(huì)中,假冒偽劣商品肆虐、虛假廣告泛濫、合同履約率低、經(jīng)理人缺少誠信、信用卡詐騙、對(duì)欠債追討不力等誠信問題每天見于報(bào)端,幾乎成了普遍現(xiàn)象;而電子商務(wù)作為不見面的交易模式,使得眾多中小企業(yè)電子商務(wù)難以得到消費(fèi)者的認(rèn)同。同時(shí),正因?yàn)檫@種不見面的交易模式,使得某些中小企業(yè)只注重短期效益,抱著“撈一把就走”的心態(tài)經(jīng)營網(wǎng)站,結(jié)果在商品質(zhì)量、物流配送和售后服務(wù)等方面很難讓消費(fèi)者滿意,甚至欺騙消費(fèi)者,這嚴(yán)重?fù)p害了電子商務(wù)的健康發(fā)展。
2.信用法律機(jī)制不健全。近年來,我國的信用法律體系建設(shè)已經(jīng)初見成效,但這些信用信息基本處于相對(duì)封閉狀態(tài),人們很難利用,甚至有時(shí)不得不對(duì)信用信息本身持懷疑態(tài)度,這就為少數(shù)人、少數(shù)用戶、少數(shù)企業(yè)說謊、失信、欺騙、詐騙提供了可趁之機(jī)。在市場(chǎng)經(jīng)濟(jì)條件下,誠信與法制是相互補(bǔ)充、相互支持的。健全的法制體系是誠信規(guī)范的前提和基礎(chǔ),能夠?yàn)檎\信體系的建立和有效運(yùn)行提供有力的保障,總體看,我國雖然在法制保障誠信規(guī)范方面做了一些工作,但相對(duì)于迅猛發(fā)展的電子商務(wù)仍顯滯后。雖然國家已經(jīng)頒布了《中華人民共和國電子簽名法》以及商務(wù)部《關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的意見》等,然而,電子商務(wù)的發(fā)展需要更多更完善的法律規(guī)范以及強(qiáng)有力的執(zhí)法力度,目前實(shí)施的法律規(guī)范顯然不足以完全解決阻礙電子商務(wù)發(fā)展的信用問題。
3.部分中小企業(yè)自身素質(zhì)不高,電子商務(wù)信用意識(shí)淡薄。對(duì)于任何企業(yè)乃至一個(gè)國家,信用都是一種稀缺資源,是支撐電子商務(wù)發(fā)展的重要保障。我國的市場(chǎng)經(jīng)濟(jì)是由計(jì)劃經(jīng)濟(jì)脫胎而來,社會(huì)信用經(jīng)濟(jì)發(fā)育較晚,市場(chǎng)信用交易不發(fā)達(dá),社會(huì)普遍缺乏在新經(jīng)濟(jì)條件下的信用意識(shí)和信用道德規(guī)范。很多企業(yè)與個(gè)人對(duì)于信用的重要性缺乏應(yīng)有的認(rèn)識(shí),“無商不奸”的觀念在他們的思想中根深蒂固,認(rèn)為企業(yè)不講信用照樣可以生存和發(fā)展,社會(huì)上信用缺失現(xiàn)象非常普遍,這種觀念意識(shí)無疑制約了我國電子商務(wù)信用狀況的改善,必將對(duì)電子商務(wù)秩序造成巨大的破壞,新經(jīng)濟(jì)難以健康運(yùn)轉(zhuǎn)。
4.中小企業(yè)電子商務(wù)信用缺乏統(tǒng)一管理。對(duì)參與電子商務(wù)的中小企業(yè)沒有建立詳細(xì)的信用檔案,應(yīng)以集中、統(tǒng)一、規(guī)范的形式或標(biāo)識(shí)反映中小企業(yè)網(wǎng)站的資信與交易記錄等信息,如企業(yè)的基本資料、經(jīng)濟(jì)信用資料、客戶評(píng)價(jià)等。同時(shí),由于現(xiàn)有第三方信用評(píng)價(jià)機(jī)構(gòu)對(duì)參與電子商務(wù)交易的中小企業(yè),因利益關(guān)系而導(dǎo)致資格評(píng)審不把關(guān),身份認(rèn)證不到位,信用檔案不完善,以至于造成虛假網(wǎng)站、虛假商品信息等的不斷出現(xiàn),讓消費(fèi)者面對(duì)掛著所謂的”可信”標(biāo)志的網(wǎng)站而云里霧里。
二、我國中小企業(yè)電子商務(wù)信用保障體系發(fā)展瓶頸的解決途徑
完善網(wǎng)絡(luò)購物環(huán)境,推動(dòng)電子商務(wù)發(fā)展,當(dāng)務(wù)之急是解決電子商務(wù)信用保障體系發(fā)展的瓶頸問題,促進(jìn)我國中小企業(yè)電子商務(wù)的健康發(fā)展。首先,政府的引導(dǎo)與規(guī)范以及分類監(jiān)管是必不可少的。第二是媒體和廣大的消費(fèi)者以及各類的服務(wù)支撐機(jī)構(gòu)、金融機(jī)構(gòu)的監(jiān)督。第三則是第三方信用服務(wù)機(jī)構(gòu),能夠有效的遏制詐騙現(xiàn)象的發(fā)生,從消費(fèi)者角度來說,也更相信與交易方?jīng)]有任何利益往來的第三方的審查評(píng)價(jià)。第四是中小企業(yè)的自律和推崇誠信,誠信不僅僅是一種聲譽(yù)更是一種財(cái)富,尤其是對(duì)于中小企業(yè),電子商務(wù)的誠信建設(shè)更加重中之重。具體有以下幾個(gè)途徑:
1.進(jìn)一步完善電子商務(wù)信用保障體系
要盡快在電子商務(wù)信用方面進(jìn)行立法,明確電子商務(wù)交易雙方、電子商務(wù)服務(wù)提供商的權(quán)利和義務(wù),以及工商部門、工信部門、商務(wù)部門、公安部門、銀行等相關(guān)機(jī)構(gòu)的職責(zé),加強(qiáng)對(duì)中小企業(yè)的信用管理。扶持獨(dú)立的第三方信用服務(wù)機(jī)構(gòu),鼓勵(lì)社會(huì)化服務(wù)機(jī)構(gòu)開展個(gè)人征信、企業(yè)征信、企業(yè)評(píng)級(jí)、企業(yè)信用風(fēng)險(xiǎn)管理、企業(yè)及個(gè)人征信咨詢服務(wù)、征信系統(tǒng)設(shè)計(jì)及開發(fā)等業(yè)務(wù)。建立一個(gè)具有高度社會(huì)公信力的企業(yè)信用查詢和監(jiān)督平臺(tái),為電子商務(wù)交易活動(dòng)提供有價(jià)值的參考和指引。建立電子商務(wù)失信懲戒機(jī)制,對(duì)有不良信用記錄的中小企業(yè)予以懲處,視情節(jié)輕重處以罰金、停業(yè)整頓等;對(duì)于影響惡劣的企業(yè)法人,規(guī)定在若干年內(nèi)不得注冊(cè)企業(yè)經(jīng)商。加強(qiáng)行業(yè)自律,促進(jìn)誠信經(jīng)營。
2.加強(qiáng)電子商務(wù)的信息安全建設(shè)
信息安全是電子商務(wù)順利發(fā)展的基礎(chǔ)和動(dòng)力。要從法律法規(guī)、組織管理、信息技術(shù)3個(gè)層面建立電子商務(wù)信息安全保障體系。完善電子商務(wù)信息安全方面的法律法規(guī),嚴(yán)厲打擊針對(duì)電子商務(wù)活動(dòng)的網(wǎng)絡(luò)犯罪。目前,國內(nèi)網(wǎng)絡(luò)犯罪采用的主要手段是信息截取、信息篡改、信息假冒和交易抵賴。為此,電子商務(wù)的信息安全體系要滿足使用者和數(shù)據(jù)識(shí)別要求,對(duì)存儲(chǔ)加密數(shù)據(jù)進(jìn)行保密,對(duì)聯(lián)網(wǎng)交易支付可靠性提供保證,提供方便的安全管理以及數(shù)據(jù)完整性校驗(yàn)等。中小企業(yè)和電子商務(wù)服務(wù)提供商要積極應(yīng)用防火墻、加密、認(rèn)證以及反病毒技術(shù),消除電子交易過程中的網(wǎng)絡(luò)安全隱患。對(duì)電子商務(wù)服務(wù)平臺(tái)要進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù),加強(qiáng)數(shù)據(jù)和信息系統(tǒng)的災(zāi)難備份,以確保用戶各類信息的安全。
3.完善中小企業(yè)電子商務(wù)信用評(píng)價(jià)體系
按照統(tǒng)一規(guī)劃、統(tǒng)一發(fā)展的原則,盡快建設(shè)全國聯(lián)網(wǎng)的中小企業(yè)信用評(píng)價(jià)體系,實(shí)現(xiàn)銀行、工商、稅務(wù)、公安等部門的信息的共享。信用評(píng)價(jià)體系的運(yùn)作,在建立和初始階段,應(yīng)由政府部門牽頭組織以確保其權(quán)威性,使得消費(fèi)者對(duì)信息的真實(shí)性無需置疑。就我國當(dāng)前的電子商務(wù)環(huán)境,我認(rèn)為易趣的個(gè)人積分是一種較為有效的方法,易趣門戶網(wǎng)站對(duì)每個(gè)賣家都有其信用積分,以此來確定該賣家是否能夠誠信守約。在設(shè)計(jì)中小企業(yè)信用評(píng)價(jià)體系時(shí),我們可借鑒易趣的評(píng)價(jià)指標(biāo),綜合考慮中小企業(yè)資產(chǎn)負(fù)債率、資金周轉(zhuǎn)率和凈資產(chǎn)收益率等財(cái)務(wù)分析指標(biāo)和企業(yè)的社會(huì)經(jīng)濟(jì)狀況、行業(yè)發(fā)展?fàn)顩r、資金人力資源等外部環(huán)境指標(biāo)對(duì)企業(yè)的信用評(píng)分,供消費(fèi)者自行查詢并選擇。
4.建立嚴(yán)格的網(wǎng)絡(luò)銷售商和網(wǎng)絡(luò)運(yùn)營商的資格認(rèn)證和準(zhǔn)入制度
由網(wǎng)絡(luò)營運(yùn)商向銷售商收取一定的賠付準(zhǔn)備金,建立專門基金,由相關(guān)部門進(jìn)行監(jiān)督和管理,當(dāng)銷售商出現(xiàn)詐騙問題或所售產(chǎn)品質(zhì)量存在問題時(shí),一旦法院的裁判文書生效,就可以用賠償基金先行對(duì)消費(fèi)者進(jìn)行賠付。制定誠信體系建設(shè)的標(biāo)準(zhǔn)和規(guī)范,需要打破目前各行業(yè)征信系統(tǒng)分割的現(xiàn)狀,將各行業(yè)征信系統(tǒng)進(jìn)行統(tǒng)一整合,并向社會(huì)公眾開放,這樣才能有效遏制網(wǎng)絡(luò)欺詐行為。