《信息化网络安全管理设计方案》由会员分享,可在线阅读,更多相关《信息化网络安全管理设计方案(3页珍藏版)》请在金锄头文库上搜索。
1、信息化网络安全管理设计方案随着信息技术的发展和人们的工作生活对信息网络系统的依赖性的增强, 安全威胁的增加、安全事件的频繁出现,社会各界对安全问题日渐重视起来。 信息与网络系统的建设重点已经转移到安全系统的建设上来。在过去的几年中,人们把安全系统的建设目光集中到防火墙系统、防病毒 系统、入侵检测系统和漏洞扫描系统等几个系统上面,随着这些系统的建设成 功,政府、金融、电信和其他企业的网络系统的安全性得到了一定的提升和增 强。但是,应该注意的是,国内不少单位虽然花了大量的金钱买了很多安全产 品,配置了复杂的安全设备,在一定程度上提升了网络安全的性能,但是同时 又出现了不少新的问题。 许多单位将出现
2、的问题都归咎于信息部门人员,不但不公平,同时也无法 真正解决问题。信息部门多样而繁杂的工作,以及有限的人力,使得信息安全 管理的工作,成为其沉重而无法独力承担的责任。信息安全不是纯粹的技术问 题,是技术、策略和管理的综合。而重点在于管理,唯有完善的管理,才能降 低安全风险,避免不必要的损失。为了做好安全管理,首先要 提升单位的整体 安全意识,要高度重视信息安全管理,切实加强领导,以高度的责任感进一步推 进信息化建设和信息安全管理。 近年来信息泄漏事件往往不被人们所关注,没有引起我们的主管领导、技 术人员足够的重视和关注。安全事件造成的经济损失最大的,最主要的是内部 人员有意或无意的信息泄漏所造
3、成的经济损失,带来的影响是不可挽回的,甚至 是灾难性的;因黑客攻击造成的损失往往并不严重,是有限的,是可恢复和弥 补的;从防范措施来看,针对外部黑客攻击的防范措施、解决方案、技术和产 品已经有很多,甚至很成熟,而针对内部员工的失泄密行为,目前没有成熟的、 全面的解决方案。特别是党政、金融机构等部门的领导都在埋怨没有成熟的技 术方法手段解决日益增长的内部员工的有意识或无意识的失泄密事件的发生。 目前大多数机构针对内部职工的失泄密行为所采取的措施大致有: 禁止网络联接,禁止自己的员工上网,或严禁涉密或涉及核心技术、专利 的计算机上网; 禁止可移动存储器使用,禁止员工使用移动存储设备,如:软盘、光盘
4、、 闪存存储设备(USB 盘,USB 硬盘)等; 贴封条,定期检查,在一些外设接口上贴上封条,并定期检查。 如此等等的这些方法和措施,都是人为的控制、监督管理的方法,目的就 是为了堵住可能是泄密的途径和漏洞。这些方法都无法从本质上解决内部员工 失泄密的问题。 同时,这些方法和措施存在很多问题和风险: 首先,这些被动的解决方案的作用的发挥程度,依靠内部人员的责任心、 良心和自觉性,无法使员工充分发挥主观能动性,自觉地杜绝失、泄密行为; 其次,这些解决方案是强制的安全管理方法,不易已被员工所接受,可能 会带来员工的逆反心理,有意识的制造失泄密事件; 再次,这些解决方案本身还不完善,还存在诸多隐患,
5、无法全面阻止员工 的失泄密行为,无法防止失泄密事件的发生; 最后,这些解决方案给实际工作带来的很多不便,致使员工的工作效率下降,得不偿失。 为了能切实有效的进行管理,并杜绝网络泄密事件的发生,提出如下一些 网络安全的解决方案。 一、在技术上 1、通过安装防火墙,实现下列的安全目标: 1)利用防火墙将 Internet 外部网络、DMZ 服务区、安全监控与备份中心进 行有效隔离,避免与外部网络直接通信; 2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全; 3)利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前 被拒绝; 4)利用防火墙使用 IP 与 MAC 地址绑定功
6、能,加强终端用户的访问认证,同 时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内; 5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作; 6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第 二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的 访问控制。 2、网络内的权限控制 通过目录服务等操作系统存在的服务队对主机内的资源进行权限访问的控 制,可将具体的安全控制到文件级。通过对网络作安全的划分控制、如通过设 置“vlan“等,对整个网络进行权限控制。 3. 入侵检测系统技术 通过使用入侵检测系统,我们可以做到: 1)对网络边界
7、点的数据进行检测,防止黑客的入侵; 2)对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 3)监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作;4)对用户的非正常活动进行统计分析,发现入侵行为的规律; 5)实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 6)对关键正常事件及异常行为记录日志,进行审计跟踪管理。 通过使用入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、 网络服务缺陷攻击、Dos&Ddos 攻击、缓冲区溢出攻击、Web 攻击、后门攻击等。4、网络防病毒 为了使整个机关网络免受病毒侵害,保证网络系统中信息的可用性,构建 从主机到服务器的
8、完善的防病毒体系。以服务器作为网络的核心,通过派发的 形式对整个网络部署杀毒,同时要对 Lotus Domino 内进行查杀毒。 5、网络内的信息流动的监控 对网络内流动的信息进行监控,防止非法访问信息的传播和记录控制非法 信息的传播、对“涉密信息“进行安全防护。 6、无线接入安全管理 现在无线网络使用越来越普遍,对无线网络的接入,同样需要进行安全控 制,可以根据 IP 和 MAC 绑定的方式确保无线接入的安全性,对未经容许的无线 设备、笔记本电脑则无法接入无线网络。有效防止外部的病毒或黑客程序被带进内网。 7、操作系统以及应用系统的安全设置 通常,操作系统以及应用系统都提供有强大的安全设置,
9、为保证系统的安 全性,我们要在合理配置好操作系统以及应用系统的安全设置,在这个层面上 要在保证安全和使用方便两者之间的关系取得一定的平衡。 比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、数据库 是否容许远程管理、用户账号权限控制等等。并且制定对黑客入侵的防范策略。8、安全审计、日志审核机制 网络安全,不光是要防范杜绝,还要建立“ 档案“。合理的配置安全审计, 一些重要的安全信息、系统、设备的登入登出,都可以完整记录下来。而日志 审核也可以对于故障排查、安全检查有很好的帮助。 9、内部网络安全机制 根据部门以及功能的需求,在局域网通过 vlan 的划分,既可以阻止大规模 的广播风暴影
10、响整体网络的通畅,保障网络的稳定。并且通过交换机的 ACL 的 控制,根据网络应用以及各部门内部信息保密的需求,对不同的网段之间的访 问进行访问的控制。同时一些交换机具备流量控制、源路由限制等功能,根据 企业实际情况设置也可加强企业内部网络的安全,降低因病毒、网络攻击造成 的网络威胁。 二、在管理上 以上所有的网络安全管理是基于技术方面,为了使网络能够安全高效有序 的运转这些系统,更需要配合一套完整的网络安全管理制度。 1、建立网络安全管理制度,明确网络安全管理的职责 2、完善网络安全设置各方面的技术文档,按照技术文档进行设定安全策略 以及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有 文档记录 3、确定网络安全管理的具体责任人。 4、加强培训,提高人们的网络安全意识和防范意识。 5、 6、 网络带来巨大便利的同时,也带来了许多挑战,其中安全问题尤为突出。 加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些 风险会日益加重。通过以上方案的设计和实施,可以使安全隐患得到良好的改 善。
