前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了企業(yè)網(wǎng)絡(luò)安全需求與網(wǎng)絡(luò)安全方案探討范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
關(guān)鍵詞:企業(yè);網(wǎng)絡(luò)安全;需求;網(wǎng)絡(luò)安全方案
1企業(yè)網(wǎng)絡(luò)安全需求分析
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無(wú)泄露,保持網(wǎng)絡(luò)穩(wěn)定、安全地運(yùn)行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問(wèn)題
企業(yè)網(wǎng)絡(luò)安全面臨的問(wèn)題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行,但企業(yè)對(duì)網(wǎng)絡(luò)安全的重要性依然認(rèn)識(shí)不足,缺乏網(wǎng)絡(luò)安全規(guī)劃,沒(méi)有明確的網(wǎng)絡(luò)安全目標(biāo)[3]。(2)網(wǎng)絡(luò)安全意識(shí)不足。從企業(yè)的決策者到普通員工并沒(méi)有充分意識(shí)到網(wǎng)絡(luò)安全的重要性,企業(yè)網(wǎng)絡(luò)安全存在很大隱患。(3)網(wǎng)絡(luò)安全設(shè)施不健全。無(wú)論大型企業(yè),還是中小企業(yè),都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問(wèn)題,以致設(shè)施陳舊、不完整,面對(duì)外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點(diǎn)[4],缺乏系統(tǒng)性、協(xié)同性、靈活性,面對(duì)萬(wàn)物互聯(lián)和更高級(jí)的威脅,傳統(tǒng)防護(hù)手段捉襟見(jiàn)肘、防不勝防[5]。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢(shì)共同決定的,內(nèi)外都不會(huì)一成不變,所以企業(yè)網(wǎng)絡(luò)安全需求是一個(gè)動(dòng)態(tài)過(guò)程,具有時(shí)效性?;诖耍獪?zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求,必須對(duì)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析,一般而言,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6],具體體現(xiàn)在以下幾個(gè)方面:(1)網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實(shí)用性是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過(guò)于簡(jiǎn)單,而且沒(méi)有形成完整的體系,對(duì)企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。(2)網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu),負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運(yùn)行管理等。(3)網(wǎng)絡(luò)安全運(yùn)行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系,采用實(shí)用的運(yùn)行管理方法,對(duì)服務(wù)器安全、網(wǎng)絡(luò)訪問(wèn)可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則
網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計(jì)網(wǎng)絡(luò)安全方案,避免失于偏頗和“詞不達(dá)意”,設(shè)計(jì)原則可以有很多,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。(2)簡(jiǎn)單適用原則。過(guò)于復(fù)雜的方案漏洞多,本身就不安全。(3)系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對(duì)的威脅是多方面的,只專注于一點(diǎn)無(wú)法保障網(wǎng)絡(luò)安全。(4)需求、風(fēng)險(xiǎn)與代價(jià)平衡原則。沒(méi)有任何方案可以做到絕對(duì)安全,追求過(guò)高的安全性要付出巨大代價(jià),所以要學(xué)會(huì)取舍,平衡風(fēng)險(xiǎn)與代價(jià)。(5)可維護(hù)性原則。沒(méi)有任何系統(tǒng)可以做到無(wú)懈可擊,要做到能隨時(shí)調(diào)整、升級(jí)、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時(shí)也要加強(qiáng)管理,減少管理漏洞,對(duì)于復(fù)雜的安全形勢(shì),要多做預(yù)案,提前防范突發(fā)事件。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實(shí)安全域的防護(hù)策略、制定訪問(wèn)控制策略、檢查網(wǎng)絡(luò)邊界、分級(jí)防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點(diǎn)出發(fā),將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域,如圖1所示。互聯(lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù),服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi),便于各個(gè)安全子域內(nèi)部署相應(yīng)等級(jí)的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻,而是綜合了防病毒、入侵檢測(cè)和防火墻的一體化安全設(shè)備。該設(shè)備運(yùn)用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺(tái)上,按需開(kāi)啟多種功能,其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種,X86架構(gòu)適于百兆網(wǎng)絡(luò),若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級(jí)、維護(hù)及開(kāi)發(fā)周期方面,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢(shì)。UTM軟件上可以集成防病毒、入侵檢測(cè)、內(nèi)容過(guò)濾、防垃圾郵件、流量管理等多種功能,通過(guò)模式匹配實(shí)現(xiàn)特征庫(kù)統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級(jí)思想,包含集中管理與單機(jī)管理的雙重管理機(jī)制,實(shí)現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫(xiě),用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸,發(fā)現(xiàn)異常數(shù)據(jù)可以即時(shí)中斷傳輸或進(jìn)行隔離,先于攻擊達(dá)成實(shí)現(xiàn)防護(hù),與防火墻功能上互補(bǔ),并支持串行接入模式,采用基于策略的防護(hù)方式,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示),可實(shí)時(shí)監(jiān)測(cè)外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過(guò)程,發(fā)現(xiàn)入侵行為即報(bào)警、阻斷,同時(shí)還能精確阻擊SQL注入攻擊。IDS是入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem)的英文縮寫(xiě),能對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)時(shí)監(jiān)視,發(fā)現(xiàn)可疑報(bào)警或采取其他主動(dòng)反應(yīng)措施,屬于監(jiān)聽(tīng)設(shè)備,其安全策略包括異常入侵檢測(cè)、誤用入侵檢測(cè)兩種方式,可部署在核心交換機(jī)上,對(duì)進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測(cè),如圖1所示。
2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫(kù),通過(guò)掃描檢測(cè)遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為,與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性,掃描對(duì)象包括網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫(kù)。漏洞掃描運(yùn)用的技術(shù)有主機(jī)在線掃描、端口掃描、操作系統(tǒng)識(shí)別、漏洞監(jiān)測(cè)數(shù)據(jù)采集、智能端口識(shí)別、多重服務(wù)檢測(cè)、系統(tǒng)滲透掃描等。漏洞掃描系統(tǒng)部署方式包括獨(dú)立式部署和分布式部署。前者適于比較簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu),例如電子商務(wù)、中小企業(yè)等;后者適于復(fù)雜、分布點(diǎn)多、數(shù)據(jù)相對(duì)分散的網(wǎng)絡(luò)結(jié)構(gòu),例如政府、電力行業(yè)、金融行業(yè)、電信運(yùn)營(yíng)商等。圖1為采用獨(dú)立式部署的漏洞掃描系統(tǒng)方案。
2.2.5部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)網(wǎng)絡(luò)安全審計(jì)是指基于設(shè)定的安全策略,實(shí)時(shí)跟蹤記錄網(wǎng)絡(luò)動(dòng)態(tài),查找入侵和違規(guī)訪問(wèn)受保護(hù)資源的行為,為網(wǎng)絡(luò)安全管理提供入侵或違規(guī)訪問(wèn)的證據(jù)。根據(jù)審計(jì)對(duì)象,網(wǎng)絡(luò)安全審計(jì)分為主機(jī)審計(jì)、設(shè)備審計(jì)、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、用戶行為審計(jì)、終端審計(jì)等類型。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)功能包括信息采集、信息分析、信息存儲(chǔ)、信息展示、自身安全性、可審計(jì)性等。根據(jù)部署方式,安全審計(jì)系統(tǒng)分為集中部署和分布式部署。集中部署方式同漏洞掃描系統(tǒng),可布置在核心交換機(jī)上。
2.2.6網(wǎng)絡(luò)安全管理方案網(wǎng)絡(luò)安全管理的原則是職責(zé)分離和責(zé)任關(guān)聯(lián)。職責(zé)分離是指參與信息處理系統(tǒng)的人,不能從事本職工作以外與安全相關(guān)的工作,例如系統(tǒng)開(kāi)發(fā)、機(jī)密文件傳送等。責(zé)任關(guān)聯(lián)是指與安全相關(guān)的活動(dòng)需多人在場(chǎng),而且一個(gè)人也不能長(zhǎng)期擔(dān)任與安全相關(guān)的職務(wù),需強(qiáng)制輪換和輪流培訓(xùn)。最重要的環(huán)節(jié)是建立健全安全管理制度,包括設(shè)備安全管理制度、軟件安全管理制度、數(shù)據(jù)安全管理制度、網(wǎng)絡(luò)信息安全管理制度、病毒防護(hù)管理制度、下載安全管理制度等。其次,加強(qiáng)人員安全管理,包括加強(qiáng)網(wǎng)絡(luò)安全教育、開(kāi)展網(wǎng)絡(luò)安全技能培訓(xùn)、不斷更新升級(jí)安全技術(shù)等。
參考文獻(xiàn)
[1]屈正庚,呂鵬.中小型企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)[J].太赫茲科學(xué)與電子信息學(xué)報(bào),2019,17(1):158-161.
[2]趙俊.工業(yè)4.0時(shí)代企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的研究與設(shè)計(jì)[D].徐州:中國(guó)礦業(yè)大學(xué),2019:6-18.
[3]郭磊.中央企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析和對(duì)策[J].上海船舶運(yùn)輸科學(xué)研究所學(xué)報(bào),2019,42(3):56-61.
[4]黃仁亮,李瑞.中央企業(yè)網(wǎng)絡(luò)安全整體保障解決方案[J].信息技術(shù)與標(biāo)準(zhǔn)化,2019(9):11-14.
[5]周鴻祎.打造萬(wàn)物互聯(lián)時(shí)代應(yīng)對(duì)網(wǎng)絡(luò)安全新挑戰(zhàn)的國(guó)之重器[J].網(wǎng)信軍民融合,2019(10):47-49.
[6]李東儒.中小型企業(yè)網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)現(xiàn)[D].沈陽(yáng):沈陽(yáng)理工大學(xué),2018:18-21.
作者:張偉宏 黃麟 陳媛 單位:云南電網(wǎng)有限責(zé)任公司大理供電局
級(jí)別:省級(jí)期刊
榮譽(yù):--
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)