《企业信息网络安全管理架构部署探析》由会员分享,可在线阅读,更多相关《企业信息网络安全管理架构部署探析(5页珍藏版)》请在金锄头文库上搜索。
1、 摘 要:企业网络信息安全管理架构的部署,既是用户需求带动的结果,也是网络安全领 域向全方位、纵深化、专业化方向发展的结果,通过安全需求分析,对企业信息网络安全 架构进行了设计,并对企业信息网络安全工程的部署作了细致的探讨。通过对企业信息网 络安全管理架构的部署,可有效地实现企业安全建设的最终目标。 关键词:企业;网络安全;管理;部署 1 引言 随着信息化进程的提速,越来越多地企业信息被披露于企业内外部网络环境中,如何 保护企业机密,保障企业信息安全,成为企业信息化发展过程中必然需要面临和解决的问 题。 对于企业信息网络安全管理需要部署的内容,首先要明确企业的哪些资产需要保护, 确定关键数据和
2、相关业务支持技术资产的价值,然后在此基础上,制定并实施安全策略, 完成安全策略的责任分配,设立安全标准。2 企业网络信息安全需求分析 对企业网络信息安全的网络调查显示:有超过 85%的安全威胁来自企业内部;有 16% 来自内部未授权的访问;有 11%资料或网络的破坏。可以看出:来自于企业内部的安全威 胁比来自于外部的威胁要大得多,必要的安全措施对企业是非常重要的。安全风险分析通 常包括对系统资源的价值属性的分析、资源面临的威胁分析、系统的安全缺陷分析等等。 分析的目标就是确定安全系统的建设环境,建立信息系统安全的基本策略。 2.1 企业信息网络安全需求 企业对信息网络安全方面的需求主要包含:
3、(1)业务系统与其它信息系统充分隔离。 (2)企业局域网与互联的其它网络充分隔离。 (3)全面的病毒防御体系,恢复已被病毒感染的设备及数据。 (4)关键业务数据必须进行备份,具有完善的灾难恢复功能。 (5)管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,并根据 评估结果采用相应措施。 (6)关键业务数据和敏感数据在公网上的传输必须加密,防止非法获取和篡改。 (7)加强内部人员操作的技术监控,采用强有力的认证系统,代替一些不安全的用户 名/口令系统授权模式。 (8)建立完善的入侵审计和监控措施,监视和记录外部或者内部人员可能发起的攻击。(9)对整个信息系统进行安全审计,可预见管理
4、和总拥有成本控制。 2.2 企业信息网络安全内容 从企业整体考虑,它的信息网络安全包括以下六个方面: (1)企业信息网络安全策略建设,它是安全系统执行的安全策略建设的依据。 (2)企业信息网络管理体系建设,它是安全系统的安全控制策略和安全系统体系结构 建设的依据。 (3)企业信息网络资源管理体系建设,它是安全系统体系结构规划的依据。 (4)企业信息网络人员管理建设,它是保障安全系统可靠建设、维护和应用的前提。(5)企业信息网络工程管理体系建设,信息安全系统工程必须与它统一规划和管理。(6)企业信息网络事务持续性保障规划,它是信息安全事件处理和安全恢复系统建设 的依据。 3 企业信息网络安全架构
5、 3.1 企业信息网络安全系统设计 安全系统设计是在信息系统安全策略的基础上,从安全策略的分析中抽象出安全系统 及其服务。安全系统的设计如图 1 所示。安全系统设计的目标是设计出系统安全防御体系, 设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系,忠实地贯彻 系统安全策略。 3.2 企业信息网络安全系统组建 安全系统设计关心的是抽象定义的系统。具体系统组建是建立在设计基础上的实现。 通常系统功能组件的实现方式是软件、硬件和固体等。安全系统组建的另一项重要内容是 配制安全系统,并将安全系统与整个信息系统形成一体。 4 企业信息网络安全工程的部署 信息系统安全是信息系统服务质量的
6、要求,网络安全系统应当融于信息网络服务系统 之中,其建设与维护应当与信息网络系统的建设和维护保持一致,遵循系统工程的方法。 网络安全工程就是应用系统工程建设和维护网络安全系统。 4.1 工程环节 系统工程总是与被建设的系统特性紧密结合,工程环节与系统生命周期保持同步。安 全系统的生命周期也是基本如此,因而安全系统工程典型的基本环节包括信息系统安全需 求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改 造等,如图 2 所示。 (1)安全的互联网接入。 企业内部网络的每位员工要随时登录互联网,因此 Internet 接入平台的安全是该企业 信息系统安全的关键部分,可采用
7、外部边缘防火墙,其内部用户登录互联网时经过内部防 火墙,再由外部边缘防火墙映射到互联网。外部边缘防火墙与内部防火墙之间形成了 DMZ 区。 (2)防火墙访问控制。 外部边缘防火墙提供 PAT 服务,配置 IPSec 加密协议实现 VPN 拨号连接以及端到端 VPN 连接,并通过扩展 ACL 对进出防火墙的流量进行严格的端口服务控制。 内部防火墙处于内部网络与 DMZ 区之间,它允许内网所有主机能够访问 DMZ 区,但 DMZ 区进入内网的流量则进行严格的过滤。 (3)用户认证系统。 用户认证系统主要用于解决拨号和 VPN 接入的安全问题,它是从完善系统用户认证、 访问控制和使用审计方面的功能来
8、增强系统的安全性。 拨号用户和 VPN 用户身份认证在主域服务器上进行,用户账号集中在主域服务器上开 设。系统中设置严格的用户访问策略和口令策略,强制用户定期更改口令。同时配置 VPN 日志服务器,记录所有 VPN 用户的访问,作为系统审计的依据。 (4)入侵检测系统。 企业可在互联网流量汇聚的交换机处部署入侵检测系统,它可实时监控内网中发生的 安全事件,使得管理员及时做出反应,并可记录内部用户对 Internet 的访问,管理者可审 计 Internet 接入平台是否被滥用。 (5)网络防病毒系统。 企业应全面地布置防病毒系统,包括客户机、文件服务器、邮件服务器和 OA 服务器。 (6)VP
9、N 加密系统。 企业可建立虚拟专网 VPN,主要为企业移动办公的员工提供通过互联网访问企业内网 OA 系统,同时为企业内网用户访问公司的 SAP 系统提供 VPN 加密连接。 需要注意的是,由于 VPN 机制需要执行加密和解密过程,其传输效率将降低 3040,因此对于关键业务,如果有条件应该尽可能采用数据专线方式。 (7)网络设备及服务器加固。 企业网络管理员应定期对各种网络设备和主机进行安全性扫描和渗透测试,及时发现漏洞并采取补救措施。安全性扫描主要是利用一些扫描工具,模拟黑客的方法和手段,以 匿名身份接入网络,对网络设备和主机进行扫描并进行分析,目的是发现系统存在的各种 漏洞。 根据安全扫
10、描和渗透测试的结果,网络管理员即可有针对性地进行系统加固,具体加 固措施包括:关闭不必要的网络端口;视网络应用情况禁用 ICMP、SNMP 等协议;安装 最新系统安全补丁;采用 SSH 而不是 Telnet 进行远程登录;调整本地安全策略,禁用不需 要的系统缺省服务;启用系统安全审计日志。 (8)办公电脑安全管理系统。 企业应加强对桌面电脑的安全管理。主要有: 补丁管理:主要用于修复桌面电脑系统漏洞,避免蠕虫病毒、黑客攻击和木马程序 等。 间谍软件检测:能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛 伊木马和其他恶意程序的已知威胁。 安全威胁分析:能够自动检测桌面电脑的配置风险,
11、包括共享、口令、浏览器等安 全问题,并自动进行修补或提出修改建议。 应用程序阻止:用户随意安装的游戏等应用程序可能导致系统紊乱、冲突,影响正 常办公。管理员可以通过远程执行指令,阻止有关应用程序的运行。 设备访问控制:对用户电脑的硬件采用适当的访问控制策略,防止关键数据丢失和 未授权访问。 (9)数据备份系统。 企业应制定备份策略,定期对一些重要数据进行备份。 4.2 持续性计划 (1)架构评估。 企业网络信息安全管理架构的评估应由 IT 部门、相关责任部门以及终端用户代表来共 同参与,确保所有的部门都能纳入安全框架中。 (2)系统安全运行管理。 要保障信息系统安全,就必须维护安全系统充分发挥
12、作用的环境。这种环境包括安全 系统的配置、系统人员的安全职责分工与培训。 (3)安全系统改造。 信息系统安全的对抗性必然导致信息安全系统不断改造。导致安全系统改造的因素可 以归结为 4 个方面:技术发展因素;系统环境因素;系统需求因素;安全事件因素。 (4)网络安全制度建设及人员安全意识教育。 企业应当采取积极防御措施,主动防止非授权访问操作,从客户端操作平台实施高等 级防范,使不安全因素在源头被控制。这对工作流程相对固定的重要信息系统显得更为重 要而可行。 需开展计算机安全意识教育和培训,加强计算机安全检查,以此提高最终用户对计算 机安全的重视程度。为各级机构的系统管理员提供信息系统安全方面的专业培训,提高处 理计算机系统安全问题的能力。 参考文献 1赵迪,赵望达,刘静.基于 B/S 架构的安全生产监督管理信息系统J,中国公共 安全(学术版),2006,(04).2周敏文,谭海文.浅析我国安全生产信息化建设的现状与对策 J,露天采矿技术,2005,(06). 3美Harold F.Tipton,Micki Krause 著,张文,邓芳玲,程向莉,吴娟等译.信息安全管理手册(卷 III) (第四版) M,北京:电子工业出版社,2004 年 6 月,237-264. 4邢戈, 张玉清, 冯登国. 网络安全管理平台研究J,计算机工程, 2004,(10).
