公共安全 >>网络安全

如何构造企业信息安全体系
来源:中国计算机报 更新时间:2012-04-13

 
 
    福建燕京惠泉啤酒公司计算机中心 谢伟锋

  紧随信息化发展而来的网络安全问题日渐突出,网络安全问题已成为信息时代人类共同面临的挑战,企业信息化安全工作已经成为公司日常工作正常运转的一个重要支柱。

  下面是笔者结合实际的网管工作经验,整理出一部关于企业网络安全体系设计的《葵花宝典》,请各位读者和企业用户鉴正。

  葵花准则——在设计信息安全体系时所应遵循的原则

  (1) 体系的安全性:设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导,保护信息与网络系统的安全,所以安全性成为首要目标。

  (2) 体系的可行性:设计体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,那么也只能是一些废纸。设计安全体系的目的是指导安全工程的实施,它的价值也体现在所设计的工程上,如果工程的难度太大以至于无法实施,那么体系本身也就没有了实际价值。

  (3) 系统的高效性:信息与网络系统对安全提出要求的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了。信息网络系统的安全体系包含一些软件和硬件,它们也会占用信息网络系统的一些资源。

  (4) 体系的可承担性:安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的,单位要为此付出一定的代价和开销。所以,在设计安全体系时,必须考虑单位的实际承受能力。

  葵花要领——信息安全体系所应包含的几个基本部分

  (1) 风险管理:研究信息系统存在的漏洞缺陷、面临的风险与威胁,这可以通过安全风险评估技术来实现;对于可能发现的漏洞、风险,规定相应的补救方法,或者取消一些相应的服务。

  (2) 行为管理:对网络行为、各种操作进行实时的监控;对各种行为进行分类管理,规定行为的范围和期限。

  (3) 安全边界:信息系统与外部环境的连接处是防御外来攻击的关口,根据企业具体的业务范围,必须规定系统边界上的连接情况,防止非法用户的入侵以及系统敏感信息的外泄,如可以利用防火墙对进出的连接情况进行过滤和控制。

  (4) 身份认证与授权:信息系统是为广大用户提供服务的,为了区分各个用户以及不同级别的用户组,需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。

  (5) 链路安全和冗余:链路层是网络协议的下层协议,针对它的攻击一般是破坏链路通信,窃取传输的数据。为了防御这些破坏、攻击,需要规定可以采取的安全措施,并进行相应的链路备份。

  (6) 操作系统安全:操作系统是信息系统运行的基础平台,它的安全也是信息安全的基础,因此必须根据不同的终端用户设置不同的操作级别。

  (7) 病毒防治:为了避免因为病毒而造成的损失,必须制定严格的病毒防护制度,减少、关闭病毒的来源,周期性对系统中的程序进行检查,给操作系统做定时的安全补丁升级,利用病毒防火墙对系统中的进程进行实时监控。

  葵花秘籍——设计信息安全防范体系的几个环节

  信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,常用安全体系提供这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。

  从实际应用中看,以下六个环节是在企业信息安全防范体系中比较重要的,包括:安全管理;预警;攻击防范;攻击检测;应急响应;恢复。此六环节互为补充,构成一个有机整体,形成较完善的信息安全体系。

  葵花套路——在实际应用中构建企业信息安全体系

  首先是网络安全。企业信息安全中网络安全主要包括网络系统本身安全和网络运行安全两方面的内容。网络系统本身安全,包括内外网络系统的访问控制、内网不同网络安全域的隔离及访问控制以及网络反病毒等。公司网络统一出口后,将要计划实施内外网安全访问控制系统。网络系统运行安全包括系统备份与恢复、网络安全检测与防护系统、安全应急等。

  其次是业务主机安全。网络中业务主机和主要网络设备往往成为安全威胁的重点攻击目标,而它们的安全关系着企业是否能正常开展网络业务,网络能否正常运行。因此,我们必须采取必要的安全措施来保证网络中的服务器安全运行。对这些重要服务器的安全应重点防护。通过防火墙对这些服务器进行访问控制,通过安全评估来修补系统漏洞,提高主机防护能力,并使用网络和主机监控来实时保护主机安全。

  再次是网络管理。网络安全管理主要涉及信息安全、资源管理、补丁升级、病毒防治。主要有以下几部分:设计专用的补丁服务器;;安装有效的网络杀毒引擎;购买第三方网络管理软件;利用三层交换技术和多层交换技术,进行VLAN划分、流量过滤、QoS、负载均衡。

  最后是灾难恢复与冗余备份。此方向体现在四个方面:对业务主机和设备的冗余备份;对防火墙、路由器、核心交换机、核心服务器、硬盘做备份;对数据库数据的定期备份,以备灾难恢复;对网络链路主干的冗余备份,以备发生故障时,不影响核心业务的中断。
 



关于我们  |  广告服务  |  联系我们  |  网站声明  |  意见反馈  |  快递查询
Copyright 2007-2014 e-gov.org.cn All Rights Reserved

京ICP备 09086746号-1