《企业信息化安全管理探讨》由会员分享,可在线阅读,更多相关《企业信息化安全管理探讨(2页珍藏版)》请在金锄头文库上搜索。
1、企业信息化安全管理探讨一、引言目前大部分企业已经将协同办公平台、财务系统、人力资源系统、科技管理系统等 部署在网络环境中。如何构建安全的网络环境,确保企业经营、技术等信息的安全,成为 信息化人员的头等大事。二、企业信息化面临的问题企业信息化建设通常以业务为主导,不重视信息安全问题,认为网络内部署了防火 墙、划分了 vlan、安装了杀毒软件、设置了登录密码、服务器做了磁盘阵列,就可以防止 木马病毒、恶意入侵、窃取篡改数据、ddos 等恶意攻击、数据不会丢失,且认为员工自律 不会登录不良网站。正是企业这种淡漠的安全意识使黑客有了可乘之机,为信息安全埋下 巨大隐患。近些年黑客技术不断提高,以情报、金
2、钱等为目的 APT 攻击更加不择手段,信 息安全面临越来越大的挑战,网络安全架构亟待提升。三、解决办法信息安全管理企业应建立信息安全管理组织,由最高领导人担任组长。在组长的带领下建立信息 安全管理体系,为信息安全管理提供依据。ISMS 的规划与建立应遵循 PDCA 模型,即规 划建立 ISMS、实施和运行 ISMS、监视和评审 ISMS、保持和改进 ISMS。信息安全管理体系一旦建立,应该计划、实施、维护和持续改进该体系,保持其有 效性1。制定信息安全管理制度,要求员工严格遵守。持续对信息化人员进行培训,增强 安全意识提高安全技术水平。定期对网络环境进行安全审计和风险评估,发现安全薄弱环 节,
3、及时采取改进措施。技术措施信息安全要求网络处于有效监控的状态下,确保网络与在网络中存储、传输的信息 的安全。合理配置网络环境,提高安全事件发生的门槛来减少威胁。信息安全产品包括防 火墙、入侵检测系统、入侵防御系统、网闸、虚拟专用网设备、综合日志审计平台、杀毒 软件、数据备份系统等,这些安全产品分别在 OSI 网络模型的各个层面上针对性的实施。防火墙通常架设在互联网和局域网界面上作为门禁,主要作用在数据链路层到传输 层,合法用户可以进入内网在授权范围内进行操作,非法用户被拒之门外。防火墙的地址 转换功能,解决了 ipv4 地址资源枯竭的问题,同时用户访问外网资源时起到隐藏地址的作 用。防火墙具有
4、 IPSec VPN 功能,在吞吐量要求不高的情况下,启用 IPSec 协议来实现 远程接入,实现在公网上架设专网的端对端的加密和验证服务,提高数据异地传输的安全 性。但防火墙不能识别来自内网的攻击,一旦被突破也不再过问其在内网的任何操作,墙 后需要增加能对内网起监视作用的设备。IDS 通畅作用在传输层到会话层,根据用户操作结合神经网络模型、专家知识库等 进行综合分析,实时监控网络状态,发现攻击立即向防火墙、IPS 等设备发出警报。 IDS 按入侵检测技术可以分为基于标识的技术和基于异常的技术1。基于标识的技术的关键是 维护入侵知识库,这种方式可以确定攻击类型,以进行针对性处理,但很难发现新型
5、入侵 事件;基于异常的技术,关键是如何精确定义“正常”值,优点是判别范围广,能发现新型 攻击,但无法准确判断攻击手法,不易应对。两种技术相结合可以达到更好的效果。IDS 应挂接在内网中心位置,如果系统包含 多个逻辑隔离子网,需要分布部署并统一管理。IPS 根据自身特征库发现网络异常情况,过滤有害数据流,丢弃有害数据包,辅助 识别入侵和攻击。IPS 布置在防火墙和内部网之间或其他网络边界,数据必须流经 IPS 才能进出内部网。IPS 接到报警或检测到攻击后,针对本次威胁级别采取告警、丢弃报文、切断会话、 切断 TCP 连接等操作来应对攻击,保护内网安全。IDS 和 IPS 相互协作提高了网络的抗
6、入 侵能力。安全隔离网闸一般用于内外网数据交换频繁的网络,网闸采用专用通道技术,通过 硬件通信卡、私有通信协议、签名机制、病毒查杀模块等安全配置实现数据的安全交换。 专用高速通信卡保证了通信速度,私有通信协议使 TCP、UDP 等公网协议失效,与加密签 名机制有机结合保证了内外处理单元间数据交换的机密性、完整性和可信性。网闸发现异 常会立即切断连接、报警并记录,保护隔离子网的数据安全。VPN 工作在传输层到应用层,通过硬件或软件方式实现,用于解决员工异地安全访 问总部应用系统的问题。VPN 利用加密技术在公网上封装出一个私有数据通道,即对通道 中的数据包进行加密传输并转换数据包目标地址实现远程
7、访问,避免数据在传输中被窥探 和篡改,确保数据在公网上传输的安全性。企业常用的 VPN 技术包括 IPSec VPN、SSL VPN。IPSec VPN 技术在防火墙部分有介绍;SSL VPN 广泛应用基于 Web 的远程安全接入, 以 HTTPS 协议为基础,利用 SSL 协议提供的身份认证、数据加密和消息完整性进行验证, 为应用层间的通信建立安全连接,为用户远程访问公司内部网络提供安全保障。上网行为管理,通过对接入认证、页面过滤、合规审计、文件下载等进行管理,防 止非法信息恶意传播,减少感染木马、病毒的机会,避免企业信息、科研成果泄露。并可 实时监控、管理网络资源使用情况,提高各应用系统运
8、行效率。数据备份系统的配置也非常有必要,数据备份系统可以降低误操作、病毒感染、自 然灾害等意外导致的意外宕机对企业办公的影响。备份策略宜选择完全备份、差分备份、 增量备份相结合的方式,以缩短备份时间,节省存储空间,方便灾难恢复。备份方式分为 冷备和热备,冷备容易配置、资源开销小,但数据恢复时间长。热备对数据和系统进行整 体备份,资源开销大,优点是数据恢复快。根据备份地域不同又可分为本地备份和异地备份,本地备份易维护,但是无法应对 本地环境遭到破坏的情况,运行数据遭到破坏的同时备份的数据也会遭到破坏,导致系统 无法恢复;异地备份利用软件通过网络传输到异地存储设备,本地运行环境遭到破坏不影 响异地
9、的备份数据,可以开展数据恢复工作,但备份过程中面临被窃取和篡改的风险。数 据备份的策略、方式、地域选择等应以安全为前提,结合企业现状、数据规模、和系统特 点进行选择,以达到数据恢复的目的。随着安全设备的增多,出现了设备间的策略冲突、资源平衡、功能发挥等问题,安 全管理中心集中采集网络设备运行状态、安全事件、访问记录等信息,对这些信息进行全 面审计,管理员根据审计结果及时调整设备配置和策略,确保网络设备分工协作,处于良 好的运行状态。四、结论企业办公网络化使企业数据面临巨大的风险,企业要不断提高安全意识,在信息安 全的问题上应当管理和技术并重。建立信息安全管理体系,并严格按照 PDCA 模型不断循 环改进,确保 ISMS 的有效性。同时要加大信息安全投入,充分利用信息技术手段,结合企业现状和可接受的风险 程度,改进网络架构模式,确保拓扑结构的合理。及时了解各网络设备的运行情况,定期 进行安全审计和风险评估,调整设备配置及安全策略并及时对软硬件进行升级,以确保网 络能够有效检测攻击并具有防御能力。企业信息化在满足应用的前提下,不断提高信息安 全能力,为企业发展奠定良好的基础。
