大中型企業(yè)信息網絡安全體系設計與實現

《大中型企業(yè)信息網絡安全體系設計與實現》由會員分享，可在線閱讀，更多相關《大中型企業(yè)信息網絡安全體系設計與實現（3頁珍藏版）》請在裝配圖網上搜索。

1、大中型企業(yè)信息網絡安全體系設計與實現 摘　要：隨著大中型企業(yè)信息化建設速度的不斷加快，企業(yè)信息網絡安全體系建設的需求不斷增加，本文通過分析大中型企業(yè)信息網絡安全現狀及威脅，提出了構建企業(yè)總體安全信息體系的方案及原則，列舉了實現企業(yè)信息安全體系建設的主要技術和手段。企業(yè)通過信息網絡安全管理體系的部署，可有效地實現企業(yè)信息安全建設的最終目標。 關鍵詞：企業(yè)；信息網絡；安全體系；安全技術 　　大中型企業(yè)作為我國國民經濟的骨干企業(yè)，在國家經濟發(fā)揮舉足輕重的作用，現代經濟活動離不開信息和網絡，大中型企業(yè)對網絡和信息技術的依賴性很強，企業(yè)員工多、信息化互聯設備多、種類多樣，企

2、業(yè)的關鍵業(yè)務大多架構在IT系統之上，網絡環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應用。目前，許多大中型企業(yè)提出了建立“數字化企業(yè)”的目標，在企業(yè)信息化建設中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢在必行。 1企業(yè)信息網絡安全威脅及風險 　　近年來,許多大中型企業(yè)十分重視信息網絡建設的應用和開發(fā)，但是對于信息網絡安全的防護并沒有得到足夠重視。根據調研機構的調查報告顯示，國內企業(yè)中63%經常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網絡資源濫用、員工信息安全意識淡薄等。 　　目前企

3、業(yè)面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗，垃圾郵件、企業(yè)機密泄露、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業(yè)最為頭疼的網絡安全問題，企業(yè)網絡環(huán)境日趨嚴峻。 2 企業(yè)網絡安全體系 　　大中型企業(yè)網絡面臨嚴峻的安全形勢，迫使各企業(yè)意識到構建完備安全體系的重要性，隨著網絡攻擊的多樣化，只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊，同時還要隨時注重操作系統、數據庫、軟硬件設備的安全性；企業(yè)安全體系建設不僅要有效抵御外網攻擊，而且要能防范可能來自內部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統架構才能保障企業(yè)網絡安全，最終建立一套以內外兼防為特征的企

4、業(yè)安全保障體系。 　　企業(yè)信息網絡安全體系由物理安全、鏈路安全、網絡安全、系統安全、信息安全五部分構成。 　　物理安全：物理安全主要是保護企業(yè)數據庫服務器、應用服務器、網絡設備、數據介質及其他物理實體設備的安全，提供一個安全可靠的物理運行環(huán)境。 　　鏈路安全：數據鏈路層（第二協議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網絡鏈路傳送的數據不被竊聽和篡改。 　　網絡安全：網絡安全主要包括：通過防火墻隔離內外網絡，不同區(qū)域的訪問控制，部署基于網絡的身份認證及入侵檢測系統、VPN、網絡集中防病毒等手段實現網絡設備自身的安全可靠。 　　系統安全：系統安全主要指數據庫、操作系統的安全保護。保

5、證應用系統的可靠性、完整性和高效性。 　　信息安全：主要通過數據加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。 　　典型企業(yè)信息網絡安全管理體系拓撲結構如圖一所示： 3信息安全體系設計原則 　　企業(yè)安全設計應遵循如下原則： 3．1保密性：信息不能夠泄露給非授權用戶、實體或過程，或供其利用的特性。 3．2完整性：信息完整性是指信息在輸入和傳輸的過程中，不被非法授權修改和破壞，保證數據的一致性。 3． 3可用性：保障授權用戶在需要時可以獲取信息并按要求使用的特性。 3．4可控性：對信息的處理、傳遞、存儲等具有控制能力。 　　信息安全就是要保障維護信息的機密性、完整性

6、、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。 4 企業(yè)網絡安全防范技術手段 　　目前企業(yè)信息網絡布署的安全技術手段主要方式有： 4.1防火墻系統 　　防火墻系統作為企業(yè)網絡安全系統必不可少的組成部分，用于防范來自外部interne非法用戶對企業(yè)內部網絡的主動威脅。防火墻系統搭建在內部網絡與外部公共Internet網絡之間，通過合理配置訪問控制策略，管理Internet和內部網絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數據傳輸等。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴重的情況下，建議配置專用的DDOS防火墻。 4.2入侵檢測系統 　　入侵檢

7、測系統（簡稱“IDS”）是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。IDS是一種積極主動的安全防護技術，可以彌補防火墻相對靜態(tài)防御的不足，通過對來自外部網和內部的各種行為進行實時檢測，及時發(fā)現未授權或異常現象以及各種可能的攻擊企圖，記錄有關事件，以便網管員及時采取防范措施，為事后分析提供依據的依據。 4.3漏洞掃描系統 　　企業(yè)內部部署漏洞掃描系統，不間斷地對企業(yè)工作站、服務器、防火墻、交換機等進行安全檢查，提供記錄有關漏洞的詳細信息和最佳解決對策，協助網管員及時發(fā)現和堵絕漏洞、降低風險，防患于未然。 4.4網頁防篡改系統 　　網頁防篡改系統主要

8、是防止企業(yè)對外Web遭受黑客的篡改，保證企業(yè)外部網站的正常運行。防篡改系統利用先進的Web服務器核心內嵌技術，將篡改檢測模塊（數字水印技術）和應用防護模塊（防注入攻擊）內嵌于Web服務器內部，并輔助以增強型事件觸發(fā)檢測技術，不僅實現了對靜態(tài)網頁和腳本的實時檢測和恢復，更可以保護數據庫中的動態(tài)內容免受來自于Web的攻擊和篡改，徹底解決網頁防篡改問題。 4.5上網行為管理系統 　　上網行為管理系統主要部署在企業(yè)外部防火墻和內部核心交換機之間，針對企業(yè)內部員工訪問Internet行為進行集中管理與控制。其主要功能有：網頁過濾、應用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理

9、、內容審計（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸等）、用戶管理、日志管理等功能。 4.6內網安全管理平臺 　　據FBI/CSI中國CNISTEC調查報告：來自企業(yè)外部威脅占20%，內部威脅高達80%。針對大型企業(yè)日益復雜的內部網絡環(huán)境以及基于企業(yè)保密管理的需求，必須構造一套內網安全管理平臺，規(guī)范和管理內部網絡環(huán)境，提高內部網絡資源的可控性。其功能應包括：用戶認證與授權、IP與MAC綁定、網絡監(jiān)控、桌面監(jiān)控、安全域管理、存儲介質管理、補丁分發(fā)、文檔安全管理、資產管理、日志報表管理等。 4.7企業(yè)集中防病毒系統 　　在病毒肆虐的時代，反病毒已經成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網絡情況比

10、較復雜，由于員工計算機水平大多不高，構造一套完整的企業(yè)集中防病毒網絡系統平臺，可以強化病毒防護系統的應用策略和統一管理策略，并且使企業(yè)員工電腦的病毒庫及時得到更新，增強病毒防護有效性，降低病毒對安全帶來的威脅。 　　集中防病毒系統應具有：集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。 4.8建立健全企業(yè)安全管理組織體系及制度，加強企業(yè)信息安全意識 　　企業(yè)在建設信息網絡安全建設技術手段的同時，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓，增強每個員工的安全意識，為大中型企業(yè)信息安全管理奠定基礎。 　　隨著信息技術的發(fā)展，企業(yè)無線接入、電子商務交易、數字簽名、數字證書

11、等安全管理也應逐步納入企業(yè)信息安全體系范疇。 五、 結束語 　　目前，大中型企業(yè)信息進程的深入和互聯網的快速發(fā)展，網絡化已經成為企業(yè)信息化的發(fā)展大趨勢，針對各種網絡應用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網絡安全問題日漸突出，網絡安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，同時，網絡信息安全是一個系統工程，涉及人員、硬軟件設備、資金、制度等因素，沒有絕對可靠的安全技術，科學有效的管理可以彌補技術安全漏洞的缺陷。 參考文獻： 　　［1］向宏，傅鸝，詹榜華 著信息安全測評與風險評估 電子工業(yè)出版社2009-01 　?。?］謝宗曉，郭立生　著信息安全管理體系應用手冊中國標準出版社2008-10 　?。?］唐正軍，李建華 著入侵檢測技術清華大學出版社2004-04 　?。?］馮登國，孫銳，張陽 著信息安全體系結構清華大學出版社2008-09