企業網絡安全體系建設精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業網絡安全體系建設主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業網絡安全體系建設范文
1.企業信息化建設的重要性
信息化發展對于企業人員日常的管理,相比較原來舊的方法而言更方便快捷、更高效;對于企業的整體發展的影響,相比較原來用人來發現風險,信息化大數據管控更能提前預知風險并幫助企業更好地解決問題;對于企業組織結構和流程的影響,集成化的網絡信息系統是提高質效的一把利器。但現實使用中,企業的信息化進程存在安全度低、信息泄露嚴重和安全意識低等現象,導致企業和用戶損失大量人力物力,甚至受到巨大損失。由此可見,信息化建設對企業發展有著不可小覷的作用,能比原來的模式更有效處理問題、促進企業發展,是所有企業在發展過程中不可或缺的一個環節。
2.企業信息化建設中的網絡安全問題
2.1網絡安全意識不強
科學技術的不斷發展進步,對于企業發展的影響作用不言而喻,但是,相當一部分企業卻只看到益處卻忽略了“信息安全”的重要性。
近年來,在技術、社會和政府等多方面的努力下,企業的信息化建設發展速度加快,取得很大的進展,其重要作用毋庸置疑,各個企業都越來越重視信息化的進步。但在新聞報道中,經常見到有信息非法獲取、信息交易導致用戶信息泄露,這也是每個企業需要反思的問題。數據泄露、信息是否安全等問題并沒有引起所有企業的重視,嚴重的不僅會導致用戶信息泄露,如果發生企業數據庫被篡改、網絡系統崩潰等事件,給企業帶來的名譽和財產損失不可估量。
2.2技術水平不高
世界范圍內都存在一個不好處理的網絡難題———黑客。企業在信息化發展的過程中,免不了遇到技術問題,由于有關人員或團隊自身的水平不夠和相關方面的經驗的缺失,不可避免會存在某些漏洞和問題,這些漏洞和問題恰恰給了黑客絕佳的機會,讓他們有機會盜取信息。即使是市面上使用的各個“管家”與殺毒軟件也完全檢測不到,對企業的安全構成非常大的威脅。
2.3可使用的高水平軟件少
一方面是供研發企業使用的高水平軟件較少;另一方面是軟件安全度低,很多公司雖然看到信息化發展的好處,但卻貪圖低成本的小利益,花費小成本購買使用安全保護性低的工作軟件,結局只會帶來難以挽回的后果。
3.企業信息化建設提高網絡信息安全性的措施
3.1切實提高企業安全意識
科學技術的進步,促進企業重視信息安全,思考信息安全問題和公司發展之間不可分割的關系,因為信息泄露帶來損失還是小事,如果因此減少了企業競爭力,甚至阻礙了企業發展才是最可怕的結果。因此,企業應當提高安全意識,提前準備對策、制定應對突況的策略,防止信息泄露等潛在威脅,將威脅扼殺在搖籃之中。通過建立高技術水平的團隊,運用專業知識和工作經驗切實增強防火墻安全度,定期維護信息系統,從源頭的技術傳輸階段維護信息安全,建立完善的信息保護制度,以此來保護信息安全、促進企業發展。
3.2提高信息系統的管理水平
雖然現在大家都在普遍使用《金山毒霸》《騰訊管家》等安全防護軟件,但是這些軟件也不能保證絕對的安全。改革舊的風險評估模式,健全信息篩選管理安全體系,在一定程度上可以提高安全系統等級、減小信息被盜的風險,在信息系統建立過程中,及早發現風險并妥善處理對企業發展尤其重要。
3.3使用安全性高的軟件
歸根結底,所有的安全問題都是安全性低所導致的。雖然說沒有絕對安全的東西,但是相比于安全性低的軟件,安全性越高的軟件,保護能力也越強,能更好地保護信息安全。因此,企業千萬不能貪圖小利益使用低防護級軟件,保護信息安全,維護自身發展利益才是最重要的。
第2篇:企業網絡安全體系建設范文
【關鍵詞】網絡;數據;安全
2012年開始,某企業啟動了企業網絡安全優化工程。目的是為了實現在企業系統內,進行一體化管理,實現各分支網絡之間互聯互通。項目重點是建設好綜合數據網絡,實現所屬單位局域網及廠、站信息傳輸通道全面接入;形成該企業綜合業務處理廣域網絡。同時還將進一步建設專門的調度數據網絡,實現“專網專用”,從而確保生產安全有序的開展。該企業生產、辦公等各個領域當中,無論是企業內部管理還是各級機構間的遠程信息交互,都將建立在網絡基礎之上,而通過網絡進行交互的信息范圍也涵蓋了包括生產調度數據、財務人事數據、辦公管理數據等在內的諸多方面,在這樣的前提下,進一步完善企業網絡架構,全局性和系統性地構建網絡安全體系,使其為企業發展和信息化提供有力支持,已成為當前需要開展的首要工作之一。
1.網絡安全技術架構策略
網絡安全建設是一項系統工程,該企業網絡安全體系建設按照“統一規劃、統籌安排、統一標準、相互配套”的原則組織實施,采用先進的“平臺化”建設思想、模塊化安全隔離技術,避免重復投入、重復建設,充分考慮整體和局部的關系,堅持近期目標與遠期目標相結合。在該企業廣域網絡架構建設中,為了實現可管理的、可靠的、高性能網絡,采用層次化的方法,將網絡分為核心層、分布層和接入層3個層次,這種層次結構劃分方法也是目前國內外網絡建設中普遍采用的網絡拓撲結構。在這種結構下,3個層次的網絡設備各司其職又相互協同工作,從而有效保證了整個網絡的高可靠性、高性能、高安全性和靈活的擴展性。
2.局域網絡標準化
(1)中心交換區域
局域網的中心交換區域負責網絡核心層的高性能交換和傳輸功能,提供各項數據業務的交換,同時負責連接服務器區域、網絡管理區域、樓層區域、廣域網路由器和防火墻設備等,此外還要提供分布層的統一控制策略功能。具體到安全防護層面,可通過部署防火墻模塊、高性能網絡分析模塊、入侵探測系統模塊實現安全加固。
(2)核心數據服務器區域
因為數據大集中和存儲中心已經勢在必行,可建設專門的核心數據區域,并采用2立的具有安全控制能力的局域網交換機,通過千兆雙鏈路和服務器群連接。在安全防護方面,可在通過防火墻模塊實現不同等級安全區域劃分的同時,部署DDOS攻擊檢測模塊和保護模塊,以保障關鍵業務系統和服務器的安全不受攻擊。
(3)樓層區域
樓層交換區域的交換機既做接入層又做分布層,將直接連接用戶終端設備,如PC機等,因此設備需要具有能夠實現VLAN的合理劃分和基本的VLAN隔離。
(4)合作伙伴和外包區域
提供合作伙伴的開發測試環境、與內部數據中心的安全連接及與Internet區域的連接通路。
(5)外聯網區域
企業營銷系統需要與銀行等外聯網連接,建議部署銀行外聯匯接交換機,通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯系統安全區域。
(6)網絡和安全管理區域
為了對整個網絡進行更加安全可靠的管理,可使用獨立的安全區域來集中管理,通過防火墻或交換機模塊來保護該區域,并賦予較高的安全級別,在邊界進行嚴格安全控制。
3.統一互聯網出口
對于該企業的廣域網絡,統一互聯網絡出口,減少企業廣域網絡與互聯網絡接口,能夠有效減少來自外網的安全威脅,對統一出口接點的安全防護加固,能夠集中實施安全策略。面對企業各個分支機構局域網絡都與互聯網絡連接的局面,將會給企業廣域網絡安全帶來更大的威脅。由于綜合業務數據網絡作為相對獨立的一個大型企業網絡,設置如此眾多的互聯網出口,一方面不利于互聯網出口的安全管理,增加了安全威脅的幾率;另一方面也勢必增加互聯網出口的租用費用,提高了運營成本。
由于該企業綜合數據網的骨干帶寬是622M,在綜合數據網絡上利用MPLS VPN開出一個“互聯網VPN”,使各分支的互聯網訪問都通過這個VPN通道建立鏈接。通過統一互聯網絡出口,強化互聯網接入區域安全控制,可防御來自Internet的安全威脅,DMZ區的安全防護得到進一步加強;通過提供安全可靠的VPN遠程接入,互聯網出口的負載均衡策略得到加強,對不同業務和不同用戶組的訪問服務策略控制,有效控制P2P等非工作流量對有限帶寬的無限占用,能夠對互聯網訪問的NAT記錄進行保存和查詢。
4.三層四區規劃
提出“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略,并提出了“三層四區”安全防護體系的總體框架。基于這一設計規范,并結合該企業網絡的實際情況,未來公司的網絡區域可以劃分為企業生產系統和企業管理信息系統,其中企業生產系統包括I區和II區的業務;企業管理信息系統包括III區和IV區的業務。I區到IV區的安全級別逐級降低,I區最高,IV區最低。
在上述區域劃分的基礎上,可在橫向和縱向上采用下列技術方式實現不同安全區域間的隔離。
(1)縱向隔離
在未來調度數據網建成后,將安全區I和安全區II運行在獨立的調度數據網上,安全區III和安全區IV運行在目前的綜合數據網上,達到2網完全分開,實現物理隔離。在調度數據網中,采用MPLS VPN將安全區I和安全區II的連接分別分隔為實時子網和非實時子網,在綜合數據網中,則采用MPLS VPN將互聯網連接和安全區III及安全區IV的連接分開,分為管理信息子網和互聯網子網。
(2)橫向隔離
考慮到I區和II區對安全性的要求極高,對于I區和II區進行重點防護,采用物理隔離裝置與其他區域隔離;而在I區和II區之間可采用防火墻隔離,配合分布式威脅防御機制,防范網絡威脅;考慮到III區和IV區之間頻繁的數據交換需求,III區和IV區之間視情況采用交換機防火墻模塊進行隔離,并在區域內部署IDS等安全監控設備,在骨干網上不再分成2個不同的VPN;由于外部的威脅主要來自于Intern過出口,因此可在全省Internet出口集中的基礎上,統一設置安全防護策略,通過防火墻與III區、IV區之間進行隔離。
5.綜合數據網安全防護
綜合業務數據網,主要承載了0A、95598、營銷、財務等應用系統,同時也在進行SCADA/EMS等調度業務的接入試點。
采用網絡安全監控響應中心為核心的分布式威脅防御技術,對全網的病毒攻擊和病毒傳播進行主動防護,通過關聯網絡和安全設備配置信息、NetFlow、應用日志和安全事件,從中心的控制臺實時發現、跟蹤、分析、防御、報告和存儲整個企業網絡中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數據骨干網進行安全防護,而且通過建立2級安全監控響應中心,對包括綜合數據網、企業本部局域網、分支機構局域網在內的全網設備進行監控。
第3篇:企業網絡安全體系建設范文
關鍵詞:網絡安全技術 企業網絡 解決方案
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網絡技術的飛速發展,自由的、開放的、國際化的Internet給政府機構、企事業單位帶來了前所未有的變革,使得企事業單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網絡安全問題也隨著網絡技術的發展而真多,凡是有網絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經濟論壇上,與會者首次觸及了互聯網安全問題,表明網絡安全已經成為影響互聯網發展的重要問題。由于因特網所具有的開放性、國際性和自由性在增加應用自由度的同時,網絡安全隱患也越來越大,如何針對企業的具體網絡結構設計出先進的安全方案并選配合理的網絡安全產品,以及搭建有效的企業網絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業網絡安全隱患分析 企事業單位可以通過Internet獲取重要數據,同時又要面對Internet開放性帶來的數據安全問題。公安部網絡安全狀況調查結果顯示:2009年,被調查的企業有49%發生過網絡信息安全事件。在發生過安全事件的企業中,83%的企業感染了計算機病毒、蠕蟲和木馬程序,36%的企業受到垃圾電子郵件干擾和影響。59%的企業發生網絡端口掃描,拒絕服務攻擊和網頁篡改等安全危機。如何保護企業的機密信息不受黑客和工業間諜的攻擊,已成為政府機構、企事業單位信息化健康發展所要解決的一項重要工作。隨著信息技術的發展,網絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現在: 1.網絡安全所面臨的是一個國際化的挑戰,網絡的攻擊不僅僅來自本地網絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網絡技術是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網絡導致網絡所面臨的破壞和攻擊往往是多方面的,例如:對網絡通信協議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網絡服務器,因為網絡最初對用戶的使用并沒有提供任何的技術約束。
二、企業網絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協議、沒有TCP/IP連接,沒有應用連接、沒有包轉發,只有文件“擺渡”,對固態介質只有讀和寫兩個命令。其結果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網絡信息安全隔離網閘。
(二)網絡系統安全解決方案。網絡應用服務器的操作系統選擇是一個很重要的部分,網絡操作系統的穩定性和安全性能決定了服務器的性能。網絡操作系統的系統軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現有的企業網絡安全防護體系中,大部分企業都部署了防火墻對企業進行保護。但是傳統防火墻設備有其自身的缺點。如果操作系統由于自身的漏洞也有可能帶來較大的安全風險。根據企業網絡的實際應用情況,對網絡環境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監控和防護。在這一區域部署入侵檢測系統,這樣可以充分發揮IDS的優勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優勢,則可以大大提升動態防護的效果。
(四)安全管理解決方案。信息系統安全管理機構是負責信息安全日常事務工作的,應按照國家信息系統安全的有關法律、法規、制度、規范建立和健全有關的安全策略和安全目標,結合自身信息系統的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(即內網)系統安全管理機構主要實現以下職能:
1.建立和健全本系統的系統安全操作規程。
2.確定信息安全各崗位人員的職責和權限,實行相互授權、相互牽連,建立崗位責任制。
3.審議并通過安全規劃,年度安全報告,有關安全的宣傳、教育、培訓計劃。
第4篇:企業網絡安全體系建設范文
關鍵詞:網絡系統 互聯網 系統架構
面對全球市場化的挑戰,企業要實現跨地區、跨行業、跨國經營的戰略目標,要把工作重點轉向技術創新、管理創新和制度創新上來,信息化是必然的選擇。油田的數字化建設為油田的生產經營業務提供安全、穩定、高效、可靠的網絡服務目標,把工作重心轉移到確保“數字化管理”的網絡需要上來,緊緊圍繞中國石油規劃的計算機局域網改進項目實施,主要從計算機主干網絡、網絡安全體系、網絡數字化管理等方面,提供了強有力的通信信息服務保障。油田的數字化建設對計算機網絡的安全性提出了更高的要求。本文分析油田網絡安全體系和網絡管理。
一、網絡系統架構
遵循中國石油局域網建設和運維規范,結合各地油田實際,科學規劃,從網絡架構、設備配置、系統承載能力、網絡帶寬等全面構架網絡。
網絡架構設計。按照核心層、匯聚層、接入層三層架構的設計原則,在主要油氣區設置網絡匯聚節點,提高網絡覆蓋面,滿足油氣生產需要。
網絡拓撲結構采用雙星型結構。自有電路與社會電路資源結合使用,在鏈路層面提高了油氣區網絡的可靠性和安全性。對于主要油氣區域的匯聚節點,采用網狀組網方式,增加到其他匯聚節點的千兆級電路,提高網絡冗余度。
設備配置。主干節點設備采用冗余配置。西安網絡核心、各網絡匯聚節點及重要三級節點的路由器、交換機,采用雙設備冗余配置。用設備與備份設備雙機模式工作,在系統或者硬件故障時候應用自動切換,在硬件層面提高主干網絡的安全性、可靠性。
網絡帶寬。油田的數字化管理全面展開,計算機網絡的帶寬需要按照業務需求進行規劃。將網絡業務分為生產、辦公、住宅三類,逐一預測帶寬。將主干網絡承載的主要業務生產數據按照其業務層級.從井站、作業區、廠部到公司,逐級分解,明確了主干網絡的帶寬需求,初步確定了網絡核心與各匯聚節點之間采用雙2.5Gbps鏈路互聯,三級節點至網絡匯聚節點采用1―2個1000Mbps-ff聯,核心網絡采用雙萬兆互聯的鏈路方案。為確保鏈路的可靠性,主要節點之間采用雙鏈路互聯。
二、網絡安全體系的規劃和構建
如何規劃和設計好網絡安全體系,是油田數字化管理基礎網絡建設的重中之重,也是支持各種信息化應用系統運行的關鍵所在。按照中國石油的統一規劃,各油田計算機網絡,對上,與中國石油總部內部網絡互聯,對外,可以就地通過電信運營商接入Internet。這樣就可以從結構上將網絡安全分為內部安全、外部安全進行考慮。油田在打造暢通、可靠的油田計算機主干網絡的同時,同步做好網絡安全工作,從網絡的邊界層、核心層、接入層及安全體系等方面進行統籌規劃,已初步形成了邊界嚴防護、核心重監控、桌面勤補漏、全網建體系的網絡安全管理理念。網絡安全性得到加強,非正常應用流量減少90%。在邊界層,采用防火墻及IPS技術,實現對來自外網的安全第一級防護;在網絡核心層,首次在企業網應用了流量清洗技術,不僅實現了外網第二級安全防護,還實現企業內部各個重要業務及用戶之間的流量監測及攻擊性數據清洗;在接入層,采用漏洞掃描系統,不定期對敏感業務系統進行掃描和加固,及時發現安全隱患并予以消除;在主干網方面,以建立網絡安全體系為核心,加強網絡安全管理,初步建立起了主干網的安全評估體系。
1、互聯網網絡安全。在與互聯網的接入部分,按照安全區、信息交換區、互聯網接入區三個安全區進行建設,規劃兩臺防火墻,考慮到出口網絡萬兆升級以及防火墻處理能力,同時為了降低出口網絡復雜度,選擇自帶IPS功能的防火墻,通過防火墻設備完成出口網絡
的安全防護和入侵防護功能。防火墻選型上既考慮國內產品自主知識產權的優勢、又兼顧國外產品高性能及穩定性好的特點。
2、內網安全。通過對目前業界各類安全技術的跟蹤和研究,重點按照攙D層做清洗、桌面做漏洞掃描及加固、全網進行安全體系建設三方面強化內部網絡安全建設。核心網絡流量監控及清洗。一方面,通過建立流量模型,保障主要業務。在網絡核心。采用相對串接、鏡像等方式先進的分光技術,部署旁路流量分析監管設備,通過分析網絡核心、互聯網出口等流量情況,提煉重要業務的特性,建立全網主要業務流量模型,為網絡規劃建設提供依據。對于P2P等對于網絡帶寬消耗較大的業務,設定閥值及流量管理規則,使P2P等業務對用戶網絡訪問影響降到最低。另―方面,通過對異常流量的清洗,保障核心業務及網絡的安全。針對目前在網絡中頻繁發生的病毒攻擊等行為,選擇旁路部署的網絡異常流量清洗設備,通過采用策略路由和BGP引流方式實現流量監控與異常流量的清洗,使得網絡安全管理變被動為主動、由事后分析到事前防范、由未知到可視。據統計。2010年3月份就成功消除安全事件1600多起,較大提高了網絡的穩定性和可靠性。各類安全策略及規則庫的及時更新升級,也使得系統能應對各類新的攻擊。
3、安全評估建設及桌面漏洞掃描。在網絡核心部署漏洞掃描系統,不定期對相關業務網絡進行掃描,發現漏洞,及時進行系統加固,減少安全事件的發生,提高網絡穩定性。在此基礎上。與國家有安全資質的第三方公司合作,開展安全體系建設,逐步建立較為完善的網絡安全管理體系。
三、網絡管理
經過計算機網絡的大規模建設發展,網絡運維工作量規模成倍增長,而網絡運維人員沒有增加,如何高效運維已經成了追在眉睫的問題,通過不斷的調研和測試,我們認為目前的網絡廠家的專業化網管軟件、第三方網管軟件、國內的網絡軟件之中,第三方的較為實用,縱觀CA、HP等廠家的系統,Solarwinds成為目前比較適合單位實際,能快速高效部署和運維的一套經濟實用的系統。主要實現了以下幾個方面的開發和應用:實現對全網的網絡設備包括路由器、交換機、防火墻、服務器等的實時監測,涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個廠家的產品,監測參數包括CPU、內存、帶寬、會話數等;實現對各類故障的實時告警和管理,以短信等方式及時提醒運維人員;實時展現全網拓撲結構,以圖形化界面友好展示網絡暢通情況;實現對全網設備的配置自動備份,能進行配置比對,方便技術人員分析設備運行情況;量化統計分析網絡及設備的可用性等指標;靈活定制各類報表,方便決策分析和統計。通過自定義方式建立起來的資源管理,極大方便了網絡基礎數據和資料的管理。
四、結論
在近一年多的實際運維中,主干網絡未出現中斷、出口通暢,網絡可用性達到l00%。網絡整體服務能力的各項指標明顯提高:網頁平均打開時間由15ms降低到7ms;主干帶寬利用率保持
參考文獻
[1] 程澤兵. 構建油田網絡安全防護體系的研究[J]. 中國科技信息. 2005(19)
[2] 宋永鑫,李國慶. 油田網絡安全初步探討[J]. 油氣田地面工程. 2005(01)
第5篇:企業網絡安全體系建設范文
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
第6篇:企業網絡安全體系建設范文
1 信息環境下的企業管理路徑
1.1 完善管理信息化建設體制
企業要加快管理信息系統建設,規范信息化標準體系,提高管理的信息化水平。首先,企業要成立信息化管理部門,負責企業信息化建設項目的全面推進,并且結合企業信息環境和管理需求制定信息化工作管理制度、專項經費管理制度、信息化工作考核制度等,保障信息系統建設制度化開展。其次,明確管理信息系統建設重點,如生產指揮調度管理系統、資金管理系統、會計核算系統、移動辦公系統、物資采購管理系統等,提高企業對各項經營活動的管控能力。最后,建立信息化標準體系,包括技術支撐、基礎建設、安全保障、業務應用等方面的標準,從而確保企業管理信息系統建設項目的質量。
1.2 建設企業ERP系統
企業要結合經營管理實際情況,引入ERP系統,從供應鏈管理層面推動物流、資金流與信息流的有機整合,提高企業集成化、信息化管理水平,提升企業供應鏈運作效率。在ERP系統的支持下,企業要實現財務業務一體化管理,完善財務管理系統功能,促使業務產生的信息實時傳遞到財務部門進行處理,同時也將財務信息、財務報告及時提供給企業管理層進行查閱,并將其作為企業經營決策的可靠依據。
1.3 優化人力資源信息化管理
在信息環境下,為進一步提升企業的管理水平,應當在現有的基礎上,對人力資源信息化管理進行優化。首先,企業應當建立起一個相對完善的且包含績效考核、員工培訓、人才能力管理的信息化系統,并通過對相關流程的梳理,促進企業管理規范化和標準化,從而全面提升企業的人力資源管理效率。其次,企業可將一些重要的項目作為契機,實現人力資源與企業管理要求的對接,遵循現代企業管理的思維方式,開展相關的人力資源信息化管理工作,如員工績效考核、領導干部測評等,借助項目成果,提升企業人力資源的整體管理水平,由此能夠推動企業在信息環境下的穩定、持續發展。
1.4 加強信息化建設中的風險管理
企業在建設信息化的過程中不可避免地會面臨各種風險,為此,企業應當采取有效的方法和措施加強風險管理。企業應當建立相對完善的風險防范機制,在該機制建立的過程中,要對管理信息系統開發中的所有風險予以充分考慮,針對風險因素進行有效的管理。實踐證明,大多數風險都可以通過相應的方法進行防控,其前提是需要對風險進行準確的識別,但必須指出的是,風險本身具有不確定性和隨機性的特點,并且有些風險是很難進行預防和控制的,因此,企業在開發管理信息系統時,必須制訂出一套能夠應對突發意外事件的方案,從而在意外發生時,能夠進行解決,避免造成損失。
2 保障企業信息安全的體系構建
在信息環境下,信息安全是企業開展管理信息化建設面臨的重大問題之一,直接關系到企業管理信息化水平的提升。為此,企業要結合管理實際需求,構建起信息安全保障體系,具體實施措施如下。
2.1 加強網絡安全管理
企業在加強網絡安全管理的過程中,可采取如下技術措施。
2.1.1 對遠程接入進行嚴格控制近年來,虛擬專用網絡技術(VPN)獲得了快速發展,由此大幅度降低了遠程接入給企業帶來的風險,與此同時,移動辦公的出現,在一定程度上促進了遠程接入的發展,為確保遠程接入的安全性,企業可以應用USB KEY身份認證或是動態口令等方式,對遠程接入進行安全控制。
2.1.2 IPSec企業內網中存在一些非受控終端,這些終端的存在給黑客提供了訪問企業網絡的路徑,為確保網絡信息的安全性,企業可以應用IPSec,由此能夠對內部終端進行管理和控制。
2.1.3 入侵檢測這是防火墻的一項補充技術,能夠對網絡傳輸進行實時監控,當檢測到可疑的數據信息傳輸后,會自行發出報警。通過入侵檢測,可以使企業對來自外部的惡意攻擊進行有效的防范。
2.1.4 確保無線網絡安全大部分企業的辦公區域內都有無線網絡覆蓋,其在給企業和用戶帶來便利的同時,也給信息安全帶來了一定的隱患。為確保無線網絡安全,企業應當采用比較安全的協議,如WPA或WPA2等,也可借助EAP協議對無線網絡進行訪問控制。
2.2 加強訪問控制
在信息環境下,企業可以通過加強訪問控制,來確保網絡信息安全,具體可采取如下技術措施。
2.2.1 密碼策略相關研究結果表明,密碼的強度等級越高,破解所需的時間越長,正因如此,使得提高企業用戶的密碼強度等級成為訪問控制最為有效的手段之一,為此,企業應當制定合理可行的密碼策略,并借助相關的技術措施確保策略的執行。
2.2.2 權限管理企業應當對身份管理平臺進行完善,以此為依托對員工的權限進行管理,并實行企業內部網絡應用單點登錄的策略。
2.2.3 構建公匙系統該系統是訪問控制的核心,通過它能夠有效提高無線網絡訪問授權、VPN接入的安全水平。
2.3 加強信息安全監控與審計
企業在加強信息安全的監控與審計方面,可以采取如下技術措施。
2.3.1 掃描病毒這是一種較為有效的網絡信息安全監控手段,通過防病毒軟件系統,可以對病毒進行自動掃描,并針對操作系統存在的漏洞,自動進行相關“補丁”的更新,由此大幅度提升了桌面終端的安全性。這種技術措施需要將客戶端安裝在企業用戶的終端設備上,當終端與企業內網進行連接時,病毒掃描軟件便會啟動,并對將要接入的終端設備進行評估,通過之后,才能與企業內網連接。
2.3.2 防控體系針對網絡黑客的惡意攻擊,企業應當構建相應的防控體系,該體系可由以下幾個部分組成:能夠實時更新的防病毒軟件、可以過濾掉不安全信息、郵件及非法網頁的網關、入侵檢測系統等。
2.3.3 記錄與審計企業應當配置日志審計系統,借助該系統對信息安全事件進行收集,進而生成審計記錄,據此對安全事件進行分析,并采取有效的措施加以解決處理。
2.4 加強員工信息安全培訓
在信息環境下,企業網絡信息安全需要憑借全體員工來維護,為此,企業應當加強對員工信息安全方面的培訓,借此來增強他們的信息安全意識。為使培訓效果最大化,必須保證培訓工作的實效性,首先,要做好網絡管理人員的技術技能培訓工作,可將培訓的重點放在網絡設備的安裝與調試以及軟件的配置上。其次,應加大對企業領導層的培訓,通過培訓使領導層認識到提高網絡信息安全的重要性和安全管理體系建設的必要性,以便獲得他們的支持,使信息安全管理工作的開展更加順利。最后,應當加大對網絡客戶端上用戶的培訓,培訓的重點為實際操作,并在培訓完畢后,制定相關的管理制度,要求用戶嚴格執行,從而確保網絡信息的安全。
3 結 論
在信息環境下,企業要積極推動管理信息化建設,將其滲透到物流管理、人力資源管理、財務管理等多個管理領域,從而不斷提高企業管理效率。與此同時,企業也要認清管理信息化建設帶來的信息安全問題,針對信息安全管理的薄弱環節制定有效的管理措施,做好員工信息安全培訓工作,保障企業管理信息系統建設的順利實施,不斷提高企業信息化管理水平。
第7篇:企業網絡安全體系建設范文
關鍵詞:企業局域網;防病毒;安全性
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 14-0000-01
一、引言
隨著信息化發展及其在企業局域網建設中的地位提升,信息化部門如何建立有效運營環境,確保信息安全,顯得尤為重要,其中的病毒防御是關鍵環節。本文總結了病毒的傳播、防病毒系統的建立、維護及管理方法,對建立有效的企業網絡有一定的指導意義。
二、計算機病毒在局域網中的傳播
(一)計算機病毒在局域網中的傳播途徑。局域網主要是指在一定范圍內由服務器和多臺計算機組成的互聯網絡,擁有較高傳輸速率的同時為病毒傳播提供了有效的通道。以下為計算機病毒在局域網內相互傳播的幾種普遍途徑:1.共享:資源共享作為局域網優勢之一,實現 “數據開放性”的同時造就了病毒感染的直接性。2.服務器染毒:如局域網中服務器染病,所有經過服務器的數據也會被順帶感染,從而造成整個網絡感染病毒。3.終端染毒:如局域網中一臺終端染毒,任何接受此終端數據的計算機都會快速、便易的成為另一臺染毒終端,導致網內病毒互相感染,屢殺不盡。
(二)計算機病毒在局域網中的傳播特點:1.感染速度快:因局域網高效的網絡傳輸速度,也為計算機病毒的迅速傳播鋪平了道路,引領著計算機病毒踏上高速傳播之路。2.擴散面廣:病毒可以通過局域網內的一臺計算機逐個傳播,最終蔓延到局域網內所有計算機。3.難徹底清除:局域網中染毒文件通過計算機信息交互相互傳遞、相互感染。只要存在一臺計算機未能殺毒干凈,就可能使整個網絡重新被病毒感染,反反復復無法徹底清除。4.破壞性大:局域網一旦出現病毒入侵,會造成網內計算機重要數據被破壞、系統資源被搶占及影響計算機運行速度等問題,嚴重時甚至可以造成整個網絡癱瘓,無形損失難以估量。
三、防病毒系統在企業局域網中的部署
(一)企業局域網建立防病毒系統的必要性。企業局域網的特征決定了如果要確保整個網絡的防毒性,就必須保證連接在網絡上的每臺計算機都具備防護病毒的能力。然而,這不只是每臺計算機簡單的安裝了殺毒軟件即可實現的,它需要建立一個多層次、協調一致的立體防病毒系統,以分布處理、集中控制為技術,以系統中心、服務器、客戶端、控制臺為核心結構,實現遠程集中控管、遠程病毒報警、遠程配置、智能升級、全網查殺、日志管理、病毒溯源等功能,將網絡中的所有計算機有機地結合在一起,確保整個網絡安全性。
(二)企業局域網防病毒系統的總體規劃。防病毒系統建立的應以加強對病毒的防護工作為目的,通過防病毒系統的管理控制臺統一部署防毒策略,集中管理網內每臺計算機,確保每個終端擁有有效的病毒防護能力。從服務器到終端,由上到下緊密結合,最終形成一個立體的、完整的企業網病毒防護體系。
四、防病毒系統在企業局域網中的管理
(一)制定統一管理策略。防病毒系統在網絡內的作用不僅是簡單的檢測和清除病毒,還應加強對病毒的防護工作,還要制定安全策略、防毒策略、主動防御規則等采用主動防御機制,將病毒隔離在網絡大門之外。因此,集中管理、統一防病毒策略成為企業級防病毒產品的重要需求,防病毒管理人員可以通過管理控制臺統一部署防病毒系統,統一制定防病毒策略,對網內中計算機實現統一管理、統一調控,保障網內所有終端免受病毒的影響。
(二)制定統一管理制度。為了適應信息技術的發展,落實國家信息安全分級保護制度,根據國家保密相關法律、法規、標準制定適用于企業局域網的防惡意代碼系統制度,確保信息數據安全,降低病毒爆發,并按照制度對防病毒系統進行管理及維護工作。
(三)統一快速、方便的升級。企業局域網防病毒系統對更新的及時性需求尤其突出,應定期更新計算機病毒樣本庫。針對公司這種物理隔離的網絡,防病毒系統的升級采用從Internet下載病毒代碼和病毒查殺引擎的更新文件,通過光盤信息輸入到防病毒系統的服務器上,并通過自動更新設置進行全網的計算機終端病毒庫升級工作,保障全網終端正常升級工作的同時盡可能地減少人力的介入。
五、對企業局域網防病毒工作的安全建議
(一)加強員工安全意識。對員工進行以防病毒系統為主題的相關培訓,介紹防病毒系統相關制度、策略等內容、講解殺毒軟件的基本功能及應用,使員工具備防毒、反毒的意思及定期全盤殺毒、分析染毒記錄、正確判斷殺毒軟件是否有效等能力,從而積極地配合管理人員的管理與維護工作。
(二)加強技術手段:1.安裝企業專業的防病毒軟件進行統一的策略下發及全面監控工作。2.定期更新病毒庫、升級操作系統的安全補丁避免現在利用操作系統漏洞所傳播的病毒。3.關閉一些對企業局域網用戶作用不大但卻為攻擊者提供方便的一些服務。4.當發現某臺計算機出現病毒大量報警或染毒情況異常時應立即對其隔離,阻止其聯入網內,避免其作為病毒源感染其他計算機。
(三)加強管理手段。配備相應的防病毒系統管理人員負責整個網絡防病毒系統的日常管理及維護工作,制定相應的防病毒制度及策略。并結合防病毒相關制度及計算機管理制度,定期對網內終端計算機進行檢查工作,發現異常事件及時處理,杜絕人為因素引起的病毒泛濫情況。
六、總結
病毒是企業局域網中最普遍、最常見但對網絡信息安全最大的威脅來源,建立一個安全的、有效的企業病毒防護系統是信息系統安全體系建設的重要任務。它不但可以對網內計算機病毒進行有效地查、殺、防等安全防護,還可以在病毒防護的同時簡潔、方便和高效的管理網內計算機,最大程度地減少終端用戶和管理維護人員的工作量,確保企業局域網信息安全。
參考文獻:
[1]張愛香.對計算機病毒防治措施的探討.2012
第8篇:企業網絡安全體系建設范文
關鍵詞:分布式;信息安全;規劃;方案
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
據來自eWeek 的消息,市場研究機構Gartner 研究報告稱,很對企業目前仍缺乏完整的信息安全規劃和規范。盡管目前很多企業在信息安全方面的投入每年都在緩慢增長,但由于推動力以外部法律法規的約束和商業業務的壓力為主,因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業而言,因為信息安全需求和部署相對更加復雜,投入更多,因此這類企業的信息安全規劃就更加缺乏。
本文根據這類分布式企業的特點提出了一種符合該類企業實際的信息安全規劃方案。
2 總體規劃原則和目標
2.1 總體規劃原則
對于分布式企業的信息安全規劃,要遵守如下原則:適度集中,控制風險;突出重點,分級保護;統籌安排,分步實施;分級管理,責任到崗;資源優化,注重效益。
這個原則的制定主要是根據分布式企業的實際機構構成情況、人員素質情況以及資源配置情況來制定的。
2.2 總體規劃目標
信息系統安全規劃的方法可以不同、側重點可以不同,但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,下面將分別對組織規劃、管理規劃和技術規劃分別進行闡述。信息安全規劃依托企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息系統安全規劃的目標應該與企業信息化的目標是一致的,而且應該比企業信息化的目標更具體明確、更貼近安全。信息系統安全規劃的一切論述都要圍繞著這個目標展開和部署。
3 信息安全組織規劃
3.1 組織規劃目標
組織建設是信息安全建設的基本保證,信息安全組織的目標是:
1)完善和形成一個獨立的、完整的、動態的、開放的信息安全組織架構,達到國際國內標準的要求;
2)打造一支具有專業水準的、過硬本領的信息安全隊伍。對內可以保障企業內部網安全,對外可以向社會提供高品質的安全服務;
3)建設一個 “信息安全運維中心(SOC)”,能夠滿足當前和未來的業務發展及信息安全組織運轉的支撐系統,能夠對外提供安全服務平臺。
3.2 組織規劃實施
對于組織規劃這個方面,是屬于一個企業信息安全規劃的上層建筑,需要用一種由上而下的方法來實現,其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業而言,需要主導部門從上層著手,建章立制,強化安全教育,加大基礎人力、財力和物力的投入。
4 信息安全管理規劃
4.1 管理規劃目標
信息安全管理規劃的目標是,完善和形成“七套信息安全軟措施”,具體包括:一套等級劃分指標,一套信息安全策略,一套信息安全制度,一套信息安全流程規范,一套信息安全教育培訓體系,一套信息安全風險監管機制,一套信息安全績效考核指標。“七套信息安全軟措施”關系如圖1所示。
4.2 信息安全管理設計
基于對管理目標的分析,信息安全管理的原則以風險管理為主,集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。
4.2.1 信息安全等級劃分指標
信息安全等級保護是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化健康發展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。
4.2.3 信息安全制度
信息安全制度是指為信息資產的安全而制定的行為約束規則。
4.2.4 信息安全規范
信息安全規范是關于信息安全工作應達到的要求,在信息安全規范方面,根據調查,建立信息安全管理規范、信息安全技術規范。其中,安全管理規范主要針對人員、團隊、制度和資源管理提供參照性準則;信息安全技術規范主要針對安全設計、施工、維護和操作提供技術性指導建議。
4.2.5 信息安全管理流程
信息安全流程是指工作中應遵循的信息安全程序,其目的是減少安全隱患,降低風險。
4.2.6 信息安全績效考核指標
信息安全績效考核指標是指針對信息安全工作的質量和態度而給出的評價依據,其目的是增強信息安全責任意識,提高信息安全工作質量。
4.2.7 信息安全監管機制
信息安全監管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制,做到“安全第一,預防為主”。
4.2.8 信息安全教育培訓體系
其主要目的加強的信息安全人才隊伍的建設,提高企業人員的信息安全意識和技能,增強企業信息安全能力。
5 信息安全技術規劃
5.1 技術規劃目標
信息安全技術規劃目標簡言之是:給業務運營提供信息安全環境,為企業轉型提供契機,構建信息安全服務支撐系統。具體目標如下:
1)打造信息安全基礎環境,調整和優化IT基礎設施,建立安全專網,設置兩個中心(信息安全運維中心、災備中心);
2)建立一體化信息安全平臺,綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能,實現的集中安全管理控制,快速安全事件響應,高可信的安全防護,拓展企業業務,開辟信息安全服務新領域。
5.2 信息安全運維中心(SOC)
SOC 是信息安全體系建設的基礎性工作,SOC 承載用于監控第一生產網的安全專網核心基礎設施,提供信息安全中心技術人員的辦公場所,提供“7×24”小時連續不斷的安全應用服務,提供實時監控、遠程入侵發現、事件響應、安全更新與升級等業務,SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外,SOC 的技術性工作還要做以下幾個方面:
1)硬件基礎建設,主要內容是SOC 的選址、布局、布線、系統集成,實現SOC 自身的防火、防潮、防電、防塵、安全監控功能;
2)軟件基礎建設,包括SSS 系統、機房監控子系統、功能小組及中心組劃分。
圖1 信息安全軟措施關系
圖2 信息安全總體框架
圖3 資產、組織、管理和安全措施的關系
5.3 信息安全綜合測試環境
隨著分布式企業信息化程度的日也加深,需要部署到大量IT 產品和應用系統,為了保障安全,必須對這些IT 系統和產品做入網前安全檢查,消除安全隱患。基于此,綜合測試環境建設的內容包括:安全測試網絡;測試系統設備;安全測試工具;安全測試分析系統;安全測試知識庫。
其中,安全測試網絡要求能夠模擬企業網絡真實的帶寬;測試系統設備能夠提供典型的網絡服務流量模擬、典型的應用系統流量模擬;安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等,并提供使用說明、漏洞掃描、應用安全分析;安全測試分析系統能夠提供統計分析、圖表展現功能;安全知識庫包含以下內容:漏洞知識庫,補丁信息庫,安全標準知識庫,威脅場景視頻庫,攻擊特征知識庫,信息安全解決案例庫,安全產品知識庫,安全概念和術語知識庫。
5.4 安全平臺建設規劃
參照國際上PDRR 模型和國家信息安全方面規范,建議信息安全總體框架設計如圖2所示。
主要目的,以資產為核心,通過安全組織實現資產保護,以安全管理來約束組織的行為,以技術手段輔助安全管理。其中,資產、組織、管理、安全措施的關系如圖3所示,核心為資產,圍繞資產是組織,組織是管理,最外層是安全措施。
在平臺中集成十個安全機制,它們分別是:信息安全集中管理;信息安全巡檢;信息安全認證授權;信息安全防護;信息安全監控;信息安全測試;信息安全審核;信息安全應急響應;信息安全教育培訓;信息安全服務。
6 信息安全服務業務規劃
6.1 服務業務規劃目標
信息安全服務業務規劃目標簡言之是:以信息安全服務為切入點,充分發揮企業優勢資源,引領信息安全市場,為企業轉型創造時機。具體目標如下:
1)推出面向客戶安全(檢查、教育、配置)產品;2)推出面向大型企業的信息安全咨詢產品;3)推出面向家庭安全上網產品;4)推出面向企業安全運維產品;5)推出面向企業災害恢復產品。
6.2 服務業務規劃設計
服務業務規劃主要針對具體業務而言,在此列舉信息類分布式企業業務作為示例:
1)信息安全咨詢類產品,其服務功能主要有:信息安全風險評估;信息安全規劃設計;信息安全產品顧問。
2)信息安全教育培訓類產品,其服務功能主要有:提供信息安全操作環境;提供信息安全知識教育;提供信息安全運維教育。
3)家庭類安全服務產品,其服務功能主要有:推出“家庭綠色上網”安全服務;家庭上網防病毒服務;家庭上網機器安全檢查服務;家庭上網機數據備份服務。
4)企業類安全服務產品,其服務功能主要有:企業安全上網控制服務;企業安全專網服務;安全信息通告;企業運維服務。
5)容災類安全服務產品,其服務功能主要有:面向政府數據災備服務;面向政府信息系統災備服務;面向企業數據災備服務;面向企業信息系統災備服務。
7 結束語
通過結合分布式企業的具體實際,按照信息安全體系結構相關標準,提出了分布式企業的信息安全規劃原則和目標。并依據次原則與目標,按照組織、管理和技術三個方面提出了具體的實現與設計規范原則。最后,依據服務規劃目標,提出了信息類分布式企業的信息安全服務規劃設計實例。
參考文獻:
[1] 周曉梅. 論企業信息安全體系的建立[J]. 網絡安全技術與應用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報,2006,23,(1):25~28.
[4] 張慶華. 信息網絡動態安全體系模型綜述[J].計算機應用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技術安全評估的系列標準[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列標準[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李瑋. 運營商IT系統網絡架構的安全域劃分[J]. 通信世界,2005,30:41~41,45~45.
第9篇:企業網絡安全體系建設范文
關鍵詞:電子商務信用保障 原因分析 解決途徑
一、我國中小企業電子商務信用保障體系發展瓶頸的原因分析
1.誠信基礎薄弱。我國誠信基礎薄弱,導致電子商務交易社會信任度低。由于我國長期的“重商主義”影響,導致一些傳統的社會誠信道德與倫理的缺失。現實社會中,假冒偽劣商品肆虐、虛假廣告泛濫、合同履約率低、經理人缺少誠信、信用卡詐騙、對欠債追討不力等誠信問題每天見于報端,幾乎成了普遍現象;而電子商務作為不見面的交易模式,使得眾多中小企業電子商務難以得到消費者的認同。同時,正因為這種不見面的交易模式,使得某些中小企業只注重短期效益,抱著“撈一把就走”的心態經營網站,結果在商品質量、物流配送和售后服務等方面很難讓消費者滿意,甚至欺騙消費者,這嚴重損害了電子商務的健康發展。
2.信用法律機制不健全。近年來,我國的信用法律體系建設已經初見成效,但這些信用信息基本處于相對封閉狀態,人們很難利用,甚至有時不得不對信用信息本身持懷疑態度,這就為少數人、少數用戶、少數企業說謊、失信、欺騙、詐騙提供了可趁之機。在市場經濟條件下,誠信與法制是相互補充、相互支持的。健全的法制體系是誠信規范的前提和基礎,能夠為誠信體系的建立和有效運行提供有力的保障,總體看,我國雖然在法制保障誠信規范方面做了一些工作,但相對于迅猛發展的電子商務仍顯滯后。雖然國家已經頒布了《中華人民共和國電子簽名法》以及商務部《關于促進電子商務規范發展的意見》等,然而,電子商務的發展需要更多更完善的法律規范以及強有力的執法力度,目前實施的法律規范顯然不足以完全解決阻礙電子商務發展的信用問題。
3.部分中小企業自身素質不高,電子商務信用意識淡薄。對于任何企業乃至一個國家,信用都是一種稀缺資源,是支撐電子商務發展的重要保障。我國的市場經濟是由計劃經濟脫胎而來,社會信用經濟發育較晚,市場信用交易不發達,社會普遍缺乏在新經濟條件下的信用意識和信用道德規范。很多企業與個人對于信用的重要性缺乏應有的認識,“無商不奸”的觀念在他們的思想中根深蒂固,認為企業不講信用照樣可以生存和發展,社會上信用缺失現象非常普遍,這種觀念意識無疑制約了我國電子商務信用狀況的改善,必將對電子商務秩序造成巨大的破壞,新經濟難以健康運轉。
4.中小企業電子商務信用缺乏統一管理。對參與電子商務的中小企業沒有建立詳細的信用檔案,應以集中、統一、規范的形式或標識反映中小企業網站的資信與交易記錄等信息,如企業的基本資料、經濟信用資料、客戶評價等。同時,由于現有第三方信用評價機構對參與電子商務交易的中小企業,因利益關系而導致資格評審不把關,身份認證不到位,信用檔案不完善,以至于造成虛假網站、虛假商品信息等的不斷出現,讓消費者面對掛著所謂的”可信”標志的網站而云里霧里。
二、我國中小企業電子商務信用保障體系發展瓶頸的解決途徑
完善網絡購物環境,推動電子商務發展,當務之急是解決電子商務信用保障體系發展的瓶頸問題,促進我國中小企業電子商務的健康發展。首先,政府的引導與規范以及分類監管是必不可少的。第二是媒體和廣大的消費者以及各類的服務支撐機構、金融機構的監督。第三則是第三方信用服務機構,能夠有效的遏制詐騙現象的發生,從消費者角度來說,也更相信與交易方沒有任何利益往來的第三方的審查評價。第四是中小企業的自律和推崇誠信,誠信不僅僅是一種聲譽更是一種財富,尤其是對于中小企業,電子商務的誠信建設更加重中之重。具體有以下幾個途徑:
1.進一步完善電子商務信用保障體系
要盡快在電子商務信用方面進行立法,明確電子商務交易雙方、電子商務服務提供商的權利和義務,以及工商部門、工信部門、商務部門、公安部門、銀行等相關機構的職責,加強對中小企業的信用管理。扶持獨立的第三方信用服務機構,鼓勵社會化服務機構開展個人征信、企業征信、企業評級、企業信用風險管理、企業及個人征信咨詢服務、征信系統設計及開發等業務。建立一個具有高度社會公信力的企業信用查詢和監督平臺,為電子商務交易活動提供有價值的參考和指引。建立電子商務失信懲戒機制,對有不良信用記錄的中小企業予以懲處,視情節輕重處以罰金、停業整頓等;對于影響惡劣的企業法人,規定在若干年內不得注冊企業經商。加強行業自律,促進誠信經營。
2.加強電子商務的信息安全建設
信息安全是電子商務順利發展的基礎和動力。要從法律法規、組織管理、信息技術3個層面建立電子商務信息安全保障體系。完善電子商務信息安全方面的法律法規,嚴厲打擊針對電子商務活動的網絡犯罪。目前,國內網絡犯罪采用的主要手段是信息截取、信息篡改、信息假冒和交易抵賴。為此,電子商務的信息安全體系要滿足使用者和數據識別要求,對存儲加密數據進行保密,對聯網交易支付可靠性提供保證,提供方便的安全管理以及數據完整性校驗等。中小企業和電子商務服務提供商要積極應用防火墻、加密、認證以及反病毒技術,消除電子交易過程中的網絡安全隱患。對電子商務服務平臺要進行信息安全風險評估和等級保護,加強數據和信息系統的災難備份,以確保用戶各類信息的安全。
3.完善中小企業電子商務信用評價體系
按照統一規劃、統一發展的原則,盡快建設全國聯網的中小企業信用評價體系,實現銀行、工商、稅務、公安等部門的信息的共享。信用評價體系的運作,在建立和初始階段,應由政府部門牽頭組織以確保其權威性,使得消費者對信息的真實性無需置疑。就我國當前的電子商務環境,我認為易趣的個人積分是一種較為有效的方法,易趣門戶網站對每個賣家都有其信用積分,以此來確定該賣家是否能夠誠信守約。在設計中小企業信用評價體系時,我們可借鑒易趣的評價指標,綜合考慮中小企業資產負債率、資金周轉率和凈資產收益率等財務分析指標和企業的社會經濟狀況、行業發展狀況、資金人力資源等外部環境指標對企業的信用評分,供消費者自行查詢并選擇。
4.建立嚴格的網絡銷售商和網絡運營商的資格認證和準入制度
由網絡營運商向銷售商收取一定的賠付準備金,建立專門基金,由相關部門進行監督和管理,當銷售商出現詐騙問題或所售產品質量存在問題時,一旦法院的裁判文書生效,就可以用賠償基金先行對消費者進行賠付。制定誠信體系建設的標準和規范,需要打破目前各行業征信系統分割的現狀,將各行業征信系統進行統一整合,并向社會公眾開放,這樣才能有效遏制網絡欺詐行為。
