時間:2023-09-20 16:56:40
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)網(wǎng)絡(luò)安全整體解決方案,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
8月6日,卡巴斯基實驗室正式在中國了企業(yè)級新品卡巴斯基開放空間安全解決方案。卡巴斯基產(chǎn)品經(jīng)理高 瑋認(rèn)為,該方案不僅提供給用戶網(wǎng)絡(luò)安全產(chǎn)品,更主要的是還會給用戶傳達(dá)網(wǎng)絡(luò)安全重要的理念―網(wǎng)絡(luò)安全需要從整體考慮。
卡巴斯基開放空間安全解決方案是為不同規(guī)模的企業(yè)網(wǎng)絡(luò)設(shè)計的,可跨越辦公空間的限制,為遠(yuǎn)程及移動用戶提供一個完整的解決方案。在溝通日益自由和開放的今天,卡巴斯基開放空間安全解決方案能夠為用戶提供周全的保護(hù),包括防御病毒、黑客、間諜軟件和垃圾郵件等的攻擊。
如果企業(yè)已經(jīng)采取了某些安全防護(hù)措施,如用于網(wǎng)關(guān)保護(hù)、郵件保護(hù)的硬件產(chǎn)品,這種情況下,是否還需要該解決方案?如果需要,會不會因為功能重復(fù)而造成浪費?該解決方案會不會對網(wǎng)關(guān)性能造成影響?
對此,高 瑋表示,卡巴斯基開放空間安全解決方案是一個整體的網(wǎng)絡(luò)安全解決方案,它具有很強(qiáng)的靈活性和適應(yīng)性。用戶如果已經(jīng)使用了網(wǎng)關(guān)保護(hù)或郵件保護(hù)等產(chǎn)品,開放空間安全解決方案仍適合他們,用戶只需要根據(jù)自己的需要來選擇相應(yīng)的子方案就可以了,不會降低網(wǎng)關(guān)性能,甚至在一定程度上,還可提升網(wǎng)關(guān)性能。
卡巴斯基開放空間安全解決方案保護(hù)范圍可涵蓋各種網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)不同的網(wǎng)絡(luò)狀況,可提供四種安全保護(hù)子方案(如圖所示)。其中卡巴斯基整體空間安全解決方案的功能最為完備,它包括卡巴斯基手機(jī)版、反病毒W(wǎng)indows工作站、反病毒Linux工作站、反病毒W(wǎng)indows服務(wù)器、反病毒Linux文件服務(wù)器、反病毒Novell Netware、反病毒Samba服務(wù)器、反病毒Microsoft Exchange、反病毒Linux郵件服務(wù)器、反病毒Lotus/Domino、郵件網(wǎng)關(guān)、反垃圾郵件、反病毒Check Point FireWall-1、反病毒Microsoft ISA Server、反病毒服務(wù)器、管理工具等組件。它能夠為各種規(guī)模、復(fù)雜程度不同的企業(yè)網(wǎng)絡(luò)提供全面的安全保護(hù),對所有進(jìn)出網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)進(jìn)行全面控制,以抵御各種類型的網(wǎng)絡(luò)攻擊。
對于卡巴斯基開放空間安全解決方案的分級標(biāo)準(zhǔn)和升級問題,高 瑋是這樣解釋的:卡巴斯基是按照需求分級的。比如,大部分的中小企業(yè)只對工作站和文件服務(wù)器有保護(hù)的需求,卡巴斯基就可為這些用戶提供保護(hù)工作站和文件服務(wù)器的中小企業(yè)空間安全解決方案。如果某些中小企業(yè)還需要更進(jìn)一步的保護(hù),它可以選擇更高級別的解決方案。
通過卡巴斯基開放空間安全解決方案的全面保護(hù),可以為所有網(wǎng)絡(luò)節(jié)點和平臺提供安全防護(hù),防御所有類型的網(wǎng)絡(luò)威脅,并快速做出響應(yīng),滿足對企業(yè)網(wǎng)進(jìn)行綜合保護(hù)的要求。同時,該方案還可以為移動通信設(shè)備提供全面的安全保護(hù)。無論是在辦公室、家中或旅行途中,均可隨時隨地保護(hù)筆記本電腦的安全,讓其免受惡意威脅的困擾。它的移動安全保護(hù)技術(shù)還可以為外部返回的計算機(jī)和訪客計算機(jī)提供保護(hù)。
同時,卡巴斯基開放空間安全解決方案可兼容第三方的解決方案、高效利用網(wǎng)絡(luò)資源,并具有強(qiáng)大的集中管理工具,能最大程度減輕管理員的工作量,并提高其工作效率,而且,直觀、快速地反映企業(yè)當(dāng)前的安全狀況及突發(fā)事件,為管理者的決策提出寶貴意見。
信息技術(shù)的發(fā)展為人類的進(jìn)步提供了強(qiáng)大的動力。人們在享受信息技術(shù)帶來的巨大成就時,也會受到相應(yīng)的安全威脅。“斯諾登事件”的曝光,讓人們突然發(fā)現(xiàn),無論是企業(yè)、組織抑或是個體,幾乎都是裸地暴露在互聯(lián)網(wǎng)上。“震網(wǎng)”的曝光,讓那些已經(jīng)實現(xiàn)物理隔離的工業(yè)控制系統(tǒng)管理者也感到陣陣寒意。信息安全越來越受到重視,在我國已經(jīng)上升到國家安全的層面。
隨著越來越多傳統(tǒng)的安全產(chǎn)品和安全技術(shù)被廣泛應(yīng)用,網(wǎng)絡(luò)安全級別也得到了相應(yīng)提升。但是,新型安全事件日益增多,因此造成的經(jīng)濟(jì)損失也呈上升之勢。其中,很重要的一個原因是傳統(tǒng)的安全產(chǎn)品側(cè)重于邊界接口的防御和終端安全的防護(hù),而缺乏對網(wǎng)絡(luò)內(nèi)部的整體安全管理。另外,私接設(shè)備、私改IP、私搭亂建對網(wǎng)絡(luò)安全管理也是一種困擾。
北京艾科網(wǎng)信科技有限公司(以下簡稱艾科網(wǎng)信)提供創(chuàng)新的ID網(wǎng)絡(luò)安全管理系統(tǒng)可徹底解決上述安全難題。
在此嚴(yán)峻的網(wǎng)絡(luò)安全形勢下,艾科網(wǎng)信董事長寧輝表示:“8年前,我本著對網(wǎng)絡(luò)安全事業(yè)的熱忱與一行人員創(chuàng)立艾科網(wǎng)信。多年來,艾科網(wǎng)信為各領(lǐng)域提供了大量的網(wǎng)絡(luò)安全解決方案。作為國內(nèi)一家專業(yè)的網(wǎng)絡(luò)安全服務(wù)提供商,艾科網(wǎng)信將竭盡所能,為中國的網(wǎng)絡(luò)安全事業(yè)盡一份力,致力為用戶提供更加優(yōu)質(zhì)的網(wǎng)絡(luò)安全系統(tǒng)。”
艾科網(wǎng)信成立于2007年,秉承“誠信、合作、共贏”的企業(yè)宗旨,著力于“創(chuàng)新更安全”的研究方向,結(jié)合中國實際的網(wǎng)絡(luò)情況和安全態(tài)勢,創(chuàng)新地提出了實名制網(wǎng)絡(luò)管理解決方案,實現(xiàn)了用戶、IP、終端的有機(jī)關(guān)聯(lián),為管理和審計提供了新的模式。艾科網(wǎng)信還提出了“內(nèi)網(wǎng)規(guī)范管理”的理念,以實名管理為基礎(chǔ),實現(xiàn)按人、按角色規(guī)劃安全策略,結(jié)合信息技術(shù)等級保護(hù)的相關(guān)技術(shù)標(biāo)準(zhǔn),開創(chuàng)性地研發(fā)出實名制準(zhǔn)入控制系統(tǒng)。在“震網(wǎng)”事件之后,針對網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)的可視化技術(shù)成了艾科網(wǎng)信發(fā)展的重點。艾科網(wǎng)信把接入網(wǎng)絡(luò)中的所有設(shè)備均納入管理員的管理視野,并能準(zhǔn)確地告知管理員這些設(shè)備的位置,哪些設(shè)備有異常等,在第一時間為管理員有效地洞悉網(wǎng)絡(luò)整體安全情況提供相關(guān)的數(shù)據(jù)和視圖。
為了更好地為客戶提供優(yōu)秀的網(wǎng)絡(luò)安全管理解決方案和優(yōu)質(zhì)的技術(shù)服務(wù),艾科網(wǎng)信在廣州、上海、寧波、成都設(shè)立了辦事處,并建設(shè)了覆蓋全國的渠道和機(jī)構(gòu),其強(qiáng)大的研發(fā)團(tuán)隊、精良的銷售體系和完善的售后保障解除了用戶的后顧之憂。
艾科網(wǎng)信還可為多個行業(yè)提供專用解決方案,如政府部門網(wǎng)絡(luò)準(zhǔn)入解決方案、電力行業(yè)信息網(wǎng)解決方案、電信運營商統(tǒng)一IP管理解決方案、金融行業(yè)統(tǒng)一認(rèn)證解決方案、大型企業(yè)網(wǎng)絡(luò)可視化和準(zhǔn)入控制解決方案、醫(yī)療行業(yè)防非法統(tǒng)方和網(wǎng)絡(luò)準(zhǔn)入解決方案,并得到了政府行業(yè)、電力行業(yè),像國家電網(wǎng)和南方電網(wǎng),以及電信運營商等用戶的認(rèn)可。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;防火墻;VPN;VLAN
一、引言
隨著電力施工企業(yè)信息化發(fā)展的不斷深入,企業(yè)對信息系統(tǒng)的依賴程度越來越高,信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營及管理活動,甚至直接影響企業(yè)未來發(fā)展。企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大、信息接入點增多、分布范圍廣,使信息接入點管控難度大。企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅,筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系為例,從信息安全管理、技術(shù)實施方面進(jìn)行闡述與分析,建立一套比較完整信息化安全保障體系,保障業(yè)務(wù)應(yīng)用的正常運行。
二、企業(yè)網(wǎng)絡(luò)安全威脅問題分析
1.企業(yè)網(wǎng)絡(luò)通信設(shè)備存的安全漏洞威脅,網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息,利用拒絕服務(wù)攻擊、篡改數(shù)據(jù)信息等方式對合法用戶進(jìn)行攻擊。
2.非法入侵用戶對網(wǎng)絡(luò)系統(tǒng)的知識結(jié)構(gòu)非常清楚,包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡(luò)技術(shù)的工作人員,利用內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問對企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作,以達(dá)到竊取商業(yè)機(jī)密的目的;獨占網(wǎng)絡(luò)資源的方式,非業(yè)務(wù)數(shù)據(jù)流(如P2P文件傳輸與即時通訊等)消耗了大量帶寬,輕則影響企業(yè)業(yè)務(wù)無法正常運作,重則致使企業(yè)IT系統(tǒng)癱瘓,對內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞。
3.惡意病毒程序和代碼包括計算機(jī)病毒、蠕蟲、間諜軟件、邏輯復(fù)制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。病毒感染可能造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速;蠕蟲是通過計算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序,泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓;間諜軟件在用戶不知情的情況下進(jìn)行非法安裝,并把截獲的機(jī)密信息發(fā)送給第三者。
4.隨著企業(yè)信息化平臺、一體化系統(tǒng)投入運行,大量重要數(shù)據(jù)和機(jī)密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸,信息被非法截取、篡改而造成數(shù)據(jù)混亂和信息錯誤的幾率加大;當(dāng)非法入侵者以不正當(dāng)?shù)氖侄潍@得系統(tǒng)授權(quán)后。可以對企業(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作,包括篡改數(shù)據(jù)信息、復(fù)制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等,甚至竊取用戶的個人隱私信息,阻止合法用戶的正常使用,造成破壞和損失。保護(hù)信息資源,保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。
三、企業(yè)信息與網(wǎng)絡(luò)安全策略
結(jié)合電力施工企業(yè)業(yè)務(wù)廣范圍大特點,提出一套側(cè)重網(wǎng)絡(luò)準(zhǔn)入控制的信息安全解決方案,保障企業(yè)網(wǎng)絡(luò)信息安全。
1.遠(yuǎn)程接入VPN安全解決方案
施工企業(yè)擁有多個項目部,地域范圍廣,項目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求,確保網(wǎng)絡(luò)連接間保密性是必要的。采用SSL VPN安全網(wǎng)關(guān)旁路部署在網(wǎng)絡(luò)內(nèi)部,通過設(shè)置用戶級別、權(quán)限來屏蔽非授權(quán)用戶的訪問。訪問內(nèi)部網(wǎng)絡(luò)資源的移動、項目用戶先到SSL VPN上進(jìn)行認(rèn)證,根據(jù)認(rèn)證結(jié)果分配相應(yīng)權(quán)限,實現(xiàn)對內(nèi)部資源的訪問控制。
2.邊界安全解決方案
在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻(集成防病毒和網(wǎng)絡(luò)安全監(jiān)控模塊)和IPS設(shè)備,同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開,并通過制定相應(yīng)的安全規(guī)則,以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護(hù)。邊界防護(hù)建立以防火墻為核心,郵件、WEB網(wǎng)關(guān)設(shè)備、IDS及IPS等設(shè)備為輔的邊界防護(hù)體系。
(1)通過防火墻在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流以及對外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況,控制非法訪問、增強(qiáng)網(wǎng)絡(luò)信息保密性、記錄和統(tǒng)計網(wǎng)絡(luò)數(shù)據(jù)并對非法入侵報警提示等,達(dá)到保障計算機(jī)網(wǎng)絡(luò)安全的目的。
(2)在防火墻上開啟防病毒模塊,可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播,保護(hù)網(wǎng)絡(luò)內(nèi)部用戶免受侵害,改變了原有被動等待病毒感染的防御模式,實現(xiàn)網(wǎng)絡(luò)病毒的主動防御,切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道。
(3)以入侵防御系統(tǒng)IPS應(yīng)用層安全設(shè)備,作為防火墻的重要補(bǔ)充,很好的解決了應(yīng)用層防御安全威脅,通過在線部署,IPS可以檢測并直接阻斷惡意流量。
(4)將上網(wǎng)行為管理設(shè)備置于核心交換機(jī)與防火墻之間。通過對在線用戶狀態(tài)、Web訪問內(nèi)容、外發(fā)信息、網(wǎng)絡(luò)應(yīng)用、帶寬占用情況等進(jìn)行實時監(jiān)控,在上網(wǎng)行為管理設(shè)備上設(shè)置不同的策略,阻擋P2P應(yīng)用,釋放網(wǎng)絡(luò)帶寬,有效地解決了內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全使用和管理問題。
3.內(nèi)網(wǎng)安全解決方案
內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全建設(shè)的重點,由于內(nèi)網(wǎng)節(jié)點數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,也是安全建設(shè)的難點。
(1)主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機(jī)上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域,將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi),實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離,防止影響一個網(wǎng)段的安全事故透過整個網(wǎng)絡(luò)傳播,限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
(2)建立企業(yè)門戶系統(tǒng),用戶的訪問控制部署統(tǒng)一的用戶認(rèn)證服務(wù),實現(xiàn)單點登錄功能,統(tǒng)一存儲所有應(yīng)用系統(tǒng)的用戶認(rèn)證信息,而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成,即統(tǒng)一存儲、分布授權(quán)。
(3)系統(tǒng)軟件部署安全、漏洞更新,定期對系統(tǒng)進(jìn)行安全更新、漏洞掃描,自動更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補(bǔ)丁。安裝網(wǎng)絡(luò)版的防病毒軟件,定期更新最新病毒定義文件,制定統(tǒng)一的策略,客戶端定期從病毒服務(wù)器下載安裝新的病毒定義文件,有效減少了病毒的影響;配置郵件安全網(wǎng)關(guān)系統(tǒng),為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現(xiàn)郵件內(nèi)容過濾等功能,有效地從網(wǎng)絡(luò)層到應(yīng)用層保護(hù)郵件服務(wù)器不受各種形式的網(wǎng)絡(luò)攻擊。
4.數(shù)據(jù)中心安全解決方案
作為數(shù)據(jù)交換最頻繁、資源最密集的地方,數(shù)據(jù)中心出現(xiàn)任何安全防護(hù)上的疏漏必將導(dǎo)致不可估量的損失,因此數(shù)據(jù)中心安全解決方案十分重要。
(1)構(gòu)建網(wǎng)絡(luò)鏈接從鏈路層到應(yīng)用層的多層防御體系。由交換機(jī)提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上,通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離,并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應(yīng)用流量做深度分析與檢測能力,即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為,也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理,從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。
(2)建立數(shù)據(jù)備份和異地容災(zāi)方案,建立了完善的數(shù)據(jù)備份體系,保證數(shù)據(jù)崩潰時能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復(fù)。同時在異地建立一個備份站點,通過網(wǎng)絡(luò)以異步的方式,把主站點的數(shù)據(jù)備份到備份站點,利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力。
5.安全信息管理與培訓(xùn)
(1)網(wǎng)絡(luò)管理是計算機(jī)網(wǎng)絡(luò)安全重要組成部分,在組織架構(gòu)上,應(yīng)采用虛擬團(tuán)隊的模式,成立了相關(guān)信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供保障。建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫龋贫ㄏ鄳?yīng)的規(guī)范、配套制度能保證規(guī)范執(zhí)行到位,保障了網(wǎng)絡(luò)信息安全工作的“有章可循,有據(jù)可查”。主要涉及:安全策略管理、業(yè)務(wù)流程管理、應(yīng)用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施、運行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等。
(2)人員素質(zhì)的高低對信息安全方面至關(guān)重要;提高人員素質(zhì)的前提就是加強(qiáng)培訓(xùn),特別加強(qiáng)是對專業(yè)信息人員的培訓(xùn)工作。
四、結(jié)束語
該企業(yè)信息與網(wǎng)絡(luò)安全體系建設(shè)以技術(shù)、管理的安全理念為核心,從組織架構(gòu)的建設(shè)、安全制度的制定、先進(jìn)安全技術(shù)的應(yīng)用三個層面,構(gòu)建一個多層次、全方位網(wǎng)絡(luò)防護(hù)體系。在統(tǒng)一的安全策略基礎(chǔ)上,利用安全產(chǎn)品間的分工協(xié)作,并針對局部關(guān)鍵問題點進(jìn)行安全部署,使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理,達(dá)到提升網(wǎng)絡(luò)對安全威脅的整體防御能力。
參考文獻(xiàn)
【關(guān)鍵詞】:信息安全 ;問題;解決方案
【引言】:在中小企業(yè)的信息管理系統(tǒng)中存在大量的信息和文件材料,其中有對企業(yè)發(fā)展至關(guān)重要的文件材料,一旦這些信息材料在通過網(wǎng)絡(luò)傳送時被不法分子和競爭對手竊聽、泄密、篡改或偽造,將會嚴(yán)重威脅中小企業(yè)的發(fā)展,所以,提出中小企業(yè)信息安全問題的解決方案具有重要意義。
1. 中小企業(yè)信息安全存在的問題
1.1信息安全管理意識不強(qiáng)。
相對大型企業(yè)來說,中小企業(yè)信息資產(chǎn)方面的積累相對較為薄弱,并且很多時候這種積累并非企業(yè)的有意識行為,所以在正常的信息化應(yīng)用情況下,往往會忽視對自己信息資產(chǎn)的保護(hù),而只有在信息資產(chǎn)受到破壞,形成了實際的經(jīng)濟(jì)和附加損失的情況下,才會開始意識和重視這信息安全問題。
1.2信息安全管理水平較低信息安全風(fēng)險較大。
目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識到了信息化的重要性,但卻沒有認(rèn)識到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實現(xiàn)的。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造,結(jié)果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區(qū),信息安全也沒有得到足夠重視。
1.3人才短缺專業(yè)人員匱乏。
中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此,在這種人才短缺的情況下,自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為:企業(yè)一般沒有自己的信息化建設(shè)人才隊伍。信息技術(shù)專業(yè)人員的知識結(jié)構(gòu)也不能達(dá)到要求,掌握技術(shù)的不懂管理,懂管理的又不會技術(shù),而且信息安全往往沒有專業(yè)人員進(jìn)行管理。
1.4資金短缺。
中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對較多。企業(yè)相對有限的資金,一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績增長的方向,而無形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險;特別是在當(dāng)今越來越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系,甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上,以平均不到企業(yè)總收入1%的信息安全投入,怎么能保障這些業(yè)務(wù)的正常運行?盡可能使投入比例接近常規(guī),至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證,從實際情況來講,在良好的安全理念指導(dǎo)下,進(jìn)行細(xì)致的規(guī)劃和評估,通過適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果,因為在中小企業(yè)的應(yīng)用情境下,信息安全防御廣度是相對容易控制的;設(shè)計出體現(xiàn)其規(guī)律和特點的真正適合中小企業(yè)的信息安全產(chǎn)品,才能從根本上滿足中小企業(yè)信息安全需求。
1.5中小企業(yè)的信息倫理意識不強(qiáng)。
由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候,企業(yè)的員工都會因為某些不經(jīng)意的行為對企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識往往相對比較落后,對于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視,而企業(yè)的管理層對于網(wǎng)絡(luò)的使用也沒有很好的管理手段。
2.中小企業(yè)信息安全問題的解決措施
2.1從企業(yè)的自身情況考慮
要解決中小企業(yè)網(wǎng)絡(luò)信息安全問題,不能僅依靠企業(yè)的安全設(shè)施和網(wǎng)絡(luò)安全產(chǎn)品,而應(yīng)該考慮如何提高企業(yè)自身的網(wǎng)絡(luò)安全意識,將信息安全問題提升到重視的高度,要重視“人”的因素。具體表現(xiàn)在以下兩個方面:
2.1.1提高安全認(rèn)識
定期對企業(yè)員工進(jìn)行網(wǎng)絡(luò)安全教育培訓(xùn)深化企業(yè)的全員信息安全意識,企業(yè)管理層要制定完整的信息安全策略并貫徹執(zhí)行,對安全問題要做到預(yù)先考慮和防備。
2.2.2要求中小企業(yè)在上網(wǎng)的過程中要做到“一做三不要”
首先將存有重要數(shù)據(jù)的電腦堅決同網(wǎng)絡(luò)隔離,同時設(shè)置開機(jī)密碼,并將軟驅(qū)、硬盤加密鎖定,進(jìn)行三級保護(hù),其次不要在自己的系統(tǒng)之內(nèi)使用任何具有記憶命令的程序,因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切,同時不在網(wǎng)上的任何場合下隨意透露自己企業(yè)的任何安全信息,最后不要啟動系統(tǒng)資源共享功能,要盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會和次數(shù),減少黑客進(jìn)攻的機(jī)會【1】。
2.2從網(wǎng)絡(luò)安全角度考慮
2.2.1從網(wǎng)絡(luò)安全服務(wù)商的角度來說,服務(wù)商要重視中小企業(yè)對網(wǎng)絡(luò)安全解決方案的需要,充分考慮中小企業(yè)的現(xiàn)實狀況,仔細(xì)調(diào)查和分析中小企業(yè)的安全因素,開發(fā)出適合中小企業(yè)實際情況的網(wǎng)絡(luò)安全綜合解決方案。此外,還應(yīng)該注意投入大量精力在安全策略的施行及安全教育的開展方面,這樣才能為中小企業(yè)信息安全工作的順利開展提供堅實的保證。
2.2.2要用防火墻將企業(yè)的局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)之間進(jìn)行隔離。由于網(wǎng)絡(luò)攻擊不斷升級,對應(yīng)的防火墻軟件也應(yīng)該及時跟著升級,這樣就要求我們企業(yè)的網(wǎng)管人員要經(jīng)常到有P網(wǎng)站上下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù),同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全隱患并及時更改,才能做到有備無患【2】。
2.2.3企業(yè)用戶最好自己學(xué)會如何調(diào)試和管理自己的局域網(wǎng)系統(tǒng),不要經(jīng)常請別人來協(xié)助管理。中小企業(yè)要培養(yǎng)自己解決安全問題的能力,提高自己的信息安全技術(shù)。如果缺乏這方面的人才就應(yīng)該去引進(jìn)或者培養(yǎng)相關(guān)人才。
2.2.4內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改。動態(tài)的密碼有助于防止黑客的攻擊以及來自內(nèi)部人員的泄密。
2.2.5要經(jīng)常使用殺毒軟件來維護(hù)局域網(wǎng)系統(tǒng)不受病毒攻擊。現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能,可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除。
2.2.6同其它企業(yè)進(jìn)行聯(lián)合,共同抵制黑客的入侵,一旦被入侵要及時向有關(guān)部門匯報,并共同查找入侵來源,鎖定黑客IP地址。將網(wǎng)絡(luò)的TCP起時限制在15分鐘以內(nèi),減少黑客入侵的機(jī)會。并擴(kuò)大連接表,增加黑客填寫整個連接表的難度【3】。
小結(jié)
綜上所述,我國中小企業(yè)的信息安全問題日益突出。由于受到管理水平、資金、技術(shù)、 意識等幾方面的制約,中小企業(yè)完全依靠自己解決所有信息化安全問題是不現(xiàn)實的,它們很難使用大企業(yè)中那種復(fù)雜的信息安全系統(tǒng),因此迫切需要適合中小企業(yè)自身情況的綜合解決措施。
【參考文獻(xiàn)】:
【1】 楊江;周小玲; 基于企業(yè)的危機(jī)信息管理[J];科技情報開發(fā)與經(jīng)濟(jì);2009年32期
防火墻是網(wǎng)絡(luò)安全的基本防護(hù)設(shè)備,其安全性受到了越來越多人的重視,尤其是在當(dāng)前科技迅猛發(fā)展的環(huán)境下,各企業(yè)也迅速的崛起,使得企業(yè)在網(wǎng)絡(luò)環(huán)境的推動下,也面領(lǐng)著嚴(yán)峻的信息安全挑戰(zhàn)。在這種環(huán)境下,人們對于防火墻的安全性要求也隨之提高。當(dāng)前,企業(yè)的防火墻要實現(xiàn)安全設(shè)計,還需要對企業(yè)的網(wǎng)絡(luò)安全進(jìn)行全方面的需求分析,通過針對性的設(shè)計,提高防火墻的實用性、功能性、安全性。
【關(guān)鍵詞】
防火墻;企業(yè)網(wǎng)絡(luò)安全設(shè)計;實現(xiàn)
1前言
計算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,為企業(yè)提供了更多的發(fā)展平臺與業(yè)務(wù)渠道,在一定程度上推動了企業(yè)的快速發(fā)展。但在網(wǎng)絡(luò)技術(shù)不斷普及的今天,各種惡意攻擊、網(wǎng)絡(luò)病毒、系統(tǒng)破壞也對企業(yè)的網(wǎng)絡(luò)安全造成了較大的傷害,不僅嚴(yán)重威脅到企業(yè)的信息安全,而且給企業(yè)帶來較大的經(jīng)濟(jì)損失,造成了企業(yè)形象的破壞。因此,才需要使用防火墻技術(shù),通過防火墻網(wǎng)絡(luò)技術(shù)的安全設(shè)計,對各種病毒與網(wǎng)絡(luò)攻擊進(jìn)行抵御,維護(hù)企業(yè)的信息安全,促進(jìn)企業(yè)的健康穩(wěn)定發(fā)展。
2防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計原則
在企業(yè)防火墻的網(wǎng)絡(luò)安全設(shè)計中應(yīng)該遵循一定的原則,即:全面、綜合性原則,也就是企業(yè)的網(wǎng)絡(luò)安全體系設(shè)計,應(yīng)該從企業(yè)的整體出發(fā),對各項信息威脅進(jìn)行利弊權(quán)衡,進(jìn)而制定出可行性的安全防護(hù)措施;簡易性原則,主要是對于網(wǎng)絡(luò)安全設(shè)計,既要保證其安全性,又要保證其操作簡便性,以免系統(tǒng)過于復(fù)雜而造成維護(hù)上的阻礙;多重保護(hù)原則能夠在建立多重的網(wǎng)絡(luò)安全機(jī)制,確保整個網(wǎng)絡(luò)環(huán)境安全;可擴(kuò)充原則,主要是指在網(wǎng)絡(luò)運用過程中,要隨著新變化的出現(xiàn),對于之前的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行升級與擴(kuò)充;靈活性原則,也就是防火墻的網(wǎng)絡(luò)安全設(shè)計方案,應(yīng)該結(jié)合企業(yè)自身網(wǎng)絡(luò)現(xiàn)狀及安全需求,采用靈活、使用的方式進(jìn)行設(shè)計;高效性原則,也就是防火墻的網(wǎng)絡(luò)安全設(shè)計應(yīng)該確保投資與產(chǎn)出相符,通過安全性的設(shè)計解決方案,避免重復(fù)性的投資,讓企業(yè)投入最少的項目資金,獲得最大的收益,有效維護(hù)企業(yè)的安全[1]。
3防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計
防火墻為服務(wù)器的中轉(zhuǎn)站,能夠避免計算機(jī)用戶與互聯(lián)網(wǎng)進(jìn)行直接連接,并對客戶端的請求加以及時地接收,創(chuàng)建服務(wù)其的連接,并對服務(wù)器發(fā)出的信號相應(yīng)加以接受,再通過系統(tǒng)將服務(wù)器響應(yīng)信號發(fā)送出去,并反饋與客戶端。
3.1防火墻加密設(shè)計
防火墻的加密技術(shù),是基于開放型的網(wǎng)絡(luò)信息采取的一種主動防范手段,通過對敏感數(shù)據(jù)的加密處理、加密傳輸,確保企業(yè)信息的安全。當(dāng)前的防火墻加密技術(shù)主要有非對稱秘鑰與對稱秘鑰兩種,這種數(shù)據(jù)加密技術(shù),主要是對明文的文件、數(shù)據(jù)等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護(hù)數(shù)據(jù)信息的安全,以免企業(yè)的機(jī)密信息收到外界的攻擊[2]。當(dāng)前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數(shù)較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強(qiáng),更換較為方便。
3.2入侵檢測設(shè)計
入侵主要指的是外部用戶對于主機(jī)系統(tǒng)資源的非授權(quán)使用,入侵行為能夠在一定程度上導(dǎo)致系統(tǒng)數(shù)據(jù)的損毀與丟失,對于企業(yè)的信息安全與網(wǎng)絡(luò)安全會造成較大的威脅,甚至導(dǎo)致系統(tǒng)拒絕合法用戶的使用與服務(wù)。在防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計中,應(yīng)該加強(qiáng)對入侵者檢測系統(tǒng)的重視,對于入侵腳本、程序自動命令等進(jìn)行有效識別,通過敏感數(shù)據(jù)的訪問監(jiān)測,對系統(tǒng)入侵者進(jìn)行行為分析,加強(qiáng)預(yù)警機(jī)制,檢測入侵者的惡意活動,及時發(fā)現(xiàn)各種安全隱患并加以防護(hù)處理。
3.3身份認(rèn)證設(shè)計
身份認(rèn)證主要是對授權(quán)者的身份識別,通過將實體身份與證據(jù)的綁定,對實體如:用戶、應(yīng)用程序、主機(jī)、進(jìn)行等加以信息安全維護(hù)。通常,證據(jù)與實體身份間為一種對應(yīng)的關(guān)系,主要由實體方向提供相應(yīng)的證據(jù),來證明自己的身份,而防火墻的身份認(rèn)證則通相關(guān)的機(jī)制來對證據(jù)進(jìn)行驗證,以確保實體身份與證據(jù)的一致性。通過身份認(rèn)證,防火墻便能夠?qū)Ψ欠ㄓ脩襞c合法用戶加以識別,進(jìn)而對非法用戶進(jìn)行訪問設(shè)置,維護(hù)主機(jī)系統(tǒng)的安全。
3.4狀態(tài)檢測設(shè)計
訪問狀態(tài)檢測,是控制技術(shù)的一種,其關(guān)鍵性的任務(wù)就是確保企業(yè)的網(wǎng)絡(luò)資源不受非法使用與非法訪問,是維護(hù)企業(yè)網(wǎng)絡(luò)安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統(tǒng)訪問控制;②網(wǎng)絡(luò)訪問控制。其中,網(wǎng)絡(luò)訪問控制主要是限制外部計算機(jī)對于主機(jī)網(wǎng)絡(luò)服務(wù)系統(tǒng)的訪問,以及控制網(wǎng)絡(luò)內(nèi)部用戶與外部計算機(jī)的訪問。而系統(tǒng)訪問控制,主要是結(jié)合企業(yè)的實際管理需求,對不同的用戶賦予相應(yīng)的主機(jī)資源操作、訪問權(quán)限。
3.5包過濾數(shù)據(jù)設(shè)計
數(shù)據(jù)包過濾型的防火墻主要是通過讀取相應(yīng)的數(shù)據(jù)包,對一些信息數(shù)據(jù)進(jìn)行分析,進(jìn)而對該數(shù)據(jù)的安全性、可信度等加以判斷,并以判斷結(jié)果作為依據(jù),來進(jìn)行數(shù)據(jù)的處理。這在個過程中,若相關(guān)數(shù)據(jù)包不能得到防火墻的信任,便無法進(jìn)入該網(wǎng)絡(luò)。所以,這種技術(shù)的實用性很強(qiáng),能夠在網(wǎng)絡(luò)環(huán)境下,維護(hù)計算機(jī)網(wǎng)絡(luò)的安全,且操作便捷,成本較低。但需要注意的是,該技術(shù)只能依據(jù)一些基本的信息數(shù)據(jù),來對信息安全性進(jìn)行判斷,而對于應(yīng)用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現(xiàn),對用戶的定義內(nèi)容進(jìn)行過濾,在網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層中截獲數(shù)據(jù),并運用一定的規(guī)則來確定是否丟棄或轉(zhuǎn)發(fā)各數(shù)據(jù)包。要確保企業(yè)的網(wǎng)絡(luò)安全,需要對該種技術(shù)進(jìn)行充分的利用,并適當(dāng)融入網(wǎng)絡(luò)地址翻譯,對外部攻擊者造成干擾,維護(hù)網(wǎng)絡(luò)內(nèi)部環(huán)境與外部環(huán)境的安全。
4企業(yè)網(wǎng)絡(luò)安全中的實現(xiàn)
4.1強(qiáng)化網(wǎng)絡(luò)安全管理
用將防火墻技術(shù)應(yīng)用于企業(yè)的網(wǎng)絡(luò)安全中,還需要企業(yè)的信息管理人員對于本企業(yè)的實際業(yè)務(wù)、工作流程、信息傳輸?shù)冗M(jìn)行深入的分析,對本企業(yè)存在的信息安全加以風(fēng)險評估,熟悉掌握本企業(yè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié),全民提高企業(yè)的信息安全。另外,企業(yè)信息管理人員還需要對企業(yè)的網(wǎng)絡(luò)平臺架構(gòu)進(jìn)行明確掌握,對企業(yè)的未來業(yè)務(wù)發(fā)展加以合理的預(yù)測分析,進(jìn)而制定出科學(xué)合理的網(wǎng)絡(luò)信息安全策略。同時,企業(yè)信息管理人員還需要對黑客攻擊方式與攻擊手段進(jìn)行了解,做好防止黑客入侵的措施。
4.2網(wǎng)絡(luò)安全需求分析
企業(yè)的網(wǎng)絡(luò)安全為動態(tài)過程,其設(shè)方案需要結(jié)合自身的實際狀況加以靈活設(shè)計,進(jìn)而提高設(shè)計方案的適用性、安全性,維護(hù)企業(yè)整個網(wǎng)絡(luò)的安全。在對企業(yè)網(wǎng)絡(luò)需求進(jìn)行分析時,還需要注重企業(yè)的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)訪問系統(tǒng)、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)管理實際[3]。在應(yīng)用系統(tǒng)安全性設(shè)計中,對于系統(tǒng)使用頻繁,提供服務(wù)資源的數(shù)據(jù)庫與服務(wù)器,要在網(wǎng)絡(luò)環(huán)境下,確保其運行安全,以免疏導(dǎo)惡意攻擊與訪問;而對于網(wǎng)絡(luò)訪問設(shè)計應(yīng)具有一定的可控性,具備相應(yīng)的認(rèn)證與授權(quán)功能,對用戶的身份加以識別,對敏感信息加以維護(hù),以免企業(yè)的核心系統(tǒng)遭到攻擊[4];網(wǎng)絡(luò)資源要確保其適用性,能夠承載企業(yè)的辦公自動化系統(tǒng)及各項業(yè)務(wù)的運行使用,并保證網(wǎng)絡(luò)能夠不間斷地高效運行;同時,針對網(wǎng)絡(luò)管理,應(yīng)該具有可操作性,在安全日志與審計上進(jìn)行相關(guān)的信息記錄,以免企業(yè)信息系統(tǒng)管理人員的日后維護(hù)。
4.3網(wǎng)絡(luò)安全策略的制定
要實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全,還需要對企業(yè)的實際網(wǎng)絡(luò)安全需求進(jìn)行了解之后,針對不同的信息資源,制定出相關(guān)的安全策略,通過各種系統(tǒng)保密措施、信息訪問加密措施、身份認(rèn)證措施等,對企業(yè)信息資源維護(hù)人員相關(guān)的職責(zé)加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業(yè)的信心管理人員對整個安全系統(tǒng)進(jìn)行監(jiān)控與審計,通過監(jiān)控系統(tǒng)的安全漏洞檢查,對威脅信息系統(tǒng)安全的類型與來源進(jìn)行初步判斷,通過深入分析,制定出完善是網(wǎng)絡(luò)安全防護(hù)策略[5]。
5結(jié)束語
在互聯(lián)網(wǎng)環(huán)境下,信息資源的存儲量巨大,運行較為高效,不僅為企業(yè)帶來了較大發(fā)展空間,也使企業(yè)的信心安全面臨巨大的威脅。因此,企業(yè)需要加強(qiáng)防火墻系統(tǒng)的建設(shè),提高對網(wǎng)絡(luò)安全系統(tǒng)的認(rèn)識,通過有效措施,加強(qiáng)防火墻的安全設(shè)計,構(gòu)建一個相對穩(wěn)定的網(wǎng)絡(luò)環(huán)境,維護(hù)企業(yè)的信息安全,讓企業(yè)在可靠的信息網(wǎng)絡(luò)環(huán)境開發(fā)更多的客戶資源,以尋得健康、穩(wěn)定、持續(xù)的發(fā)展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻(xiàn)
[1]馬小雨.防火墻和IDS聯(lián)動技術(shù)在網(wǎng)絡(luò)安全管理中的有效應(yīng)用[J].現(xiàn)代電子技術(shù),2016(02):42~44.
[2]范沁春.企業(yè)網(wǎng)絡(luò)安全管理平臺的設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(07):74+77.
[3]秦艷麗.試談防火墻構(gòu)建安全網(wǎng)絡(luò)[J].電腦編程技巧與維護(hù),2016(06):78~80.
關(guān)鍵詞:網(wǎng)絡(luò)安全 入侵檢測 數(shù)據(jù)備份
一、引言
Internet的發(fā)展,正在引發(fā)一場人類文明的根本變革,網(wǎng)絡(luò)已成為一個國家最為關(guān)鍵的政治,經(jīng)濟(jì),軍資源,成為國家實力的新象征同時,網(wǎng)絡(luò)的發(fā)展也在不斷改變?nèi)藗兊墓ぷ鳎罘绞剑剐畔⒌墨@取,傳遞,處理和利用更加高效,迅速,隨著科學(xué)技術(shù)不斷發(fā)展,網(wǎng)絡(luò)已經(jīng)成為人們生活的一個組成部分雖然計算機(jī)網(wǎng)絡(luò)給人們帶來了巨大的便利,但互聯(lián)網(wǎng)是一個面向大眾的開放系統(tǒng),對信息的保密和系統(tǒng)的安全考慮得并不完備,存在著安全隱患,網(wǎng)絡(luò)的安全形勢日趨嚴(yán)峻。因而,解決網(wǎng)絡(luò)安全問題刻不容緩,我們必須從網(wǎng)絡(luò)安全可能存在的危機(jī)入手,分析并提出整體的網(wǎng)絡(luò)安全解決方案
二、網(wǎng)絡(luò)安全風(fēng)險分析
1.網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析
企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連。基于網(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣,內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅,入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有涉密信息,假如內(nèi)部網(wǎng)絡(luò)的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。
2.操作系統(tǒng)的安全風(fēng)險分析
所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo),一般很少考慮其安全性,因此安裝通常都是以缺省選項進(jìn)行設(shè)置。從安全角度考慮,其表現(xiàn)為裝了很多用不著的服務(wù)模塊,開放了很多不必開放的端口,其中可能隱含了安全風(fēng)險。
3.應(yīng)用的安全風(fēng)險分析
應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用,檢測安全漏洞,采取相應(yīng)的安全措施,降低應(yīng)用的安全風(fēng)險。主要有文件服務(wù)器的安全風(fēng)險、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險、病毒侵害的安全風(fēng)險、數(shù)據(jù)信息的安全風(fēng)險等
4.管理的安全分析
管理方面的安全隱患包括:內(nèi)部管理人員或員工圖方便省事,不設(shè)置用戶口令,或者設(shè)置的口令過短和過于簡單,導(dǎo)致很容易破解。責(zé)任不清,使用相同的用戶名、口令,導(dǎo)致權(quán)限管理混亂,信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險。
三、網(wǎng)絡(luò)安全解決方案
1.網(wǎng)絡(luò)結(jié)構(gòu)的安全
網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否,也影響著網(wǎng)絡(luò)的安全性對銀行系統(tǒng)業(yè)務(wù)網(wǎng),辦公網(wǎng),與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍,安全保密程度進(jìn)行合理分布,以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅,傳播到整個網(wǎng)絡(luò)系統(tǒng),所以必須從兩個方面入手,一是加強(qiáng)|力問控制:在內(nèi)部局網(wǎng)內(nèi)可以通過交換機(jī)劃分VLAN功能來實現(xiàn);或是通過配備防火墻來實現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問控制:也可以配備應(yīng)用層的訪問控制軟件系統(tǒng),針對局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問控制。二是作好安全檢測工作:在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上配備入侵檢測系統(tǒng),實時分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流,對網(wǎng)絡(luò)違規(guī)事件跟蹤,實時報警,阻斷連接并做日志。
2.操作系統(tǒng)的安全
對操作系統(tǒng)必須進(jìn)行安全配置,打上最新的補(bǔ)丁,還要利用相應(yīng)的掃描軟件對其進(jìn)行安全性掃描評估,檢測其存在的安全漏洞,分析系統(tǒng)的安全性,提出補(bǔ)救措施,管理人員應(yīng)用時必須加強(qiáng)身份認(rèn)證機(jī)制及認(rèn)證強(qiáng)度盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置,關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用,對一些關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制,加強(qiáng)口令字的使用,及時給系統(tǒng)打補(bǔ)丁,系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。
3.應(yīng)用的安全
要確保計算機(jī)網(wǎng)絡(luò)應(yīng)用的安全,主要從以下幾個方面作好安全防范工作:一要配備防病毒系統(tǒng),防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng),實現(xiàn)全網(wǎng)的病毒安全防護(hù);二作好數(shù)據(jù)備份工作,最安全的,最保險的方法是對重要數(shù)據(jù)信息進(jìn)行安全備份,如果遇到系統(tǒng)受損時,可以利用災(zāi)難恢復(fù)系統(tǒng)進(jìn)行快速恢復(fù);三是對數(shù)據(jù)進(jìn)行加密傳輸,保護(hù)數(shù)據(jù)在傳輸過程中不被泄露,保證用戶數(shù)據(jù)的機(jī)密性,數(shù)據(jù)加密的方法有從鏈路層加密,網(wǎng)絡(luò)層加密及應(yīng)用層加密;四是進(jìn)行信息鑒別,為了保證數(shù)據(jù)的完整性,就必須采用信息鑒別技術(shù),VPN設(shè)備便能實現(xiàn)這樣的功能,數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段,它可以確認(rèn)信息的來源的可靠性,結(jié)合傳輸加密技術(shù),我們可以選擇VPN設(shè)備,實現(xiàn)保護(hù)數(shù)據(jù)的機(jī)密性,完整性,真實性,可靠性。
4.管理的安全
安全體系的建立和維護(hù)需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓(xùn)來提高,行為的約束只能通過嚴(yán)格的管理體制,并利用法律手段來實現(xiàn),因國這些必須在電信部門系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求,制定安全管理制度并嚴(yán)格按執(zhí)行,并通過安全知識及法律常識的培訓(xùn),加強(qiáng)整體員工的自身安全意識及防范外部入侵的安全技術(shù)。
關(guān)鍵詞:網(wǎng)絡(luò)安全;802.1X協(xié)議;企業(yè)內(nèi)網(wǎng);安全接入控制
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-2374(2013)23-0157-03
目前,國內(nèi)的大中型企業(yè)均已完成了企業(yè)內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè),但各類來訪人員終端接入公司內(nèi)部網(wǎng)絡(luò)時,普遍處于不可控狀態(tài);另外,企業(yè)在金融資本市場上需要遵守某些國際的規(guī)則和法案(如SOX法案404條款)。企業(yè)成立內(nèi)控部門,力求企業(yè)生產(chǎn)運營過程各環(huán)節(jié)的可追溯、可審計。因此,需要通過對于終端接入的認(rèn)證管理,實現(xiàn)終端接入的可控和可審計,滿足安全和內(nèi)控要求。現(xiàn)有企業(yè)網(wǎng)絡(luò)還不能滿足上述需求。本文針對這些需求進(jìn)行研究,提出解決方案。
1 802.1X協(xié)議及解決方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。802.1X協(xié)議起源于802.11協(xié)議,802.1X協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。
在802.1X出現(xiàn)之前,企業(yè)網(wǎng)上有線LAN應(yīng)用都沒有直接控制到端口的方法,也不需要控制到端口,但是隨著無線LAN的應(yīng)用以及LAN接入在電信網(wǎng)上大規(guī)模開展,有必要對端口加以控制,以實現(xiàn)用戶級的接入控制。802.1X就是IEEE為了解決基于端口的接入控制(Port-Based Access Control)而定義的一個標(biāo)準(zhǔn)。
1.2 802.1X認(rèn)證體系結(jié)構(gòu)
802.1X的認(rèn)證體系分為三部分結(jié)構(gòu):Supplicant System客戶端(PC/網(wǎng)絡(luò)設(shè)備)、Authenticator System認(rèn)證系統(tǒng)、Authentication Server System認(rèn)證服務(wù)器。
基于以太網(wǎng)端口認(rèn)證的802.1X協(xié)議有如下特點:IEEE802.1X協(xié)議為二層協(xié)議,不需要到達(dá)三層,對設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本;借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實現(xiàn)對傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容;802.1X的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能,從而可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制,業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進(jìn)行交換,通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;可以映射不同的用戶認(rèn)證等級到不同的VLAN;可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。
1.3 802.1X解決方案
1.3.1 Cisco NAC。思科與防病毒廠商(包括趨勢、McAfee等)合作的安全網(wǎng)絡(luò)接入控制(下稱NAC)方案,可實現(xiàn)基于用戶身份的認(rèn)證,也可對客戶端防病毒安全狀態(tài)進(jìn)行評估,對不滿足條件(預(yù)先制定的策略)的用戶,對其接入網(wǎng)絡(luò)的能力和范圍實現(xiàn)控制,從而提高全網(wǎng)整體的安全防護(hù)能力;采用思科網(wǎng)絡(luò)安全接入控制方案(NAC),可以有效地解決SOX法案要求局域網(wǎng)接入認(rèn)證的內(nèi)控要求。
NAC是由思科公司倡導(dǎo)的跨業(yè)界合作的整套安全解決方案,自2003年11月提出后獲得防病毒廠商的廣泛支持。目前,包括國外軟件廠商:趨勢科技、McAfee、賽門鐵克、CA、IBM,國內(nèi)軟件廠商:瑞星和金山等15家安全領(lǐng)域主要廠商,都已成為思科NAC合作伙伴。
1.3.2 華為 I3SAFE Numen。I3SAFE Numen終端安全系統(tǒng)(以下簡稱終端安全系統(tǒng))是在I3SAFE Numen系統(tǒng)框架基礎(chǔ)上開發(fā)的針對企業(yè)、運營商的內(nèi)部網(wǎng)絡(luò)終端安全防護(hù)產(chǎn)品。終端安全系統(tǒng)通過在每一臺終端上安裝安全,對終端的安全狀況進(jìn)行檢測,并實時監(jiān)控和采集用戶涉及主機(jī)安全的行為記錄。同時通過與接入設(shè)備的聯(lián)動,限制不符合安全要求的終端的上網(wǎng)。
1.3.3 局域網(wǎng)準(zhǔn)入方案比較。
實施方法比較:
(1)協(xié)議方面。兩種方案都采用EAP協(xié)議、RADIUS協(xié)議和802.1X協(xié)議實現(xiàn)接入控制。但思科的方案還可以支持不采用客戶端的方式實現(xiàn)接入認(rèn)證,即無客戶端方式,為用戶提供另外一種選擇。
身份認(rèn)證管理方面。兩種方案在后臺都選擇了使用RADIUS服務(wù)器作為認(rèn)證管理平臺;華為只能以用戶名/密碼方式進(jìn)行身份認(rèn)證,思科除了采用用戶名/密碼方式外,還可以采用證書方式管理用戶身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和應(yīng)用由策略服務(wù)器(通常是RADIUS服務(wù)器)和第三方的軟件產(chǎn)品(病毒庫管理,系統(tǒng)補(bǔ)丁等)協(xié)作進(jìn)行;用戶資料和準(zhǔn)入策略由統(tǒng)一的管理平臺負(fù)責(zé)。
(2)協(xié)作廠商比較。NAC是由思科公司倡導(dǎo)的跨業(yè)界合作的整套安全解決方案,于2003年11月提出。其主旨是向已獲授權(quán)的合作伙伴提供協(xié)議和技術(shù)信息,以便合作伙伴開發(fā)和銷售支持NAC網(wǎng)絡(luò)、策略服務(wù)器及客戶端應(yīng)用。NAC方案支持的廠商包括國外軟件廠商:趨勢科技、McAfee、賽門鐵克、CA、IBM,國內(nèi)軟件廠商:瑞星和金山等15家安全領(lǐng)域主要廠商。
EAD方案,于2005年底在媒體上逐步推出。EAD方案目前支持的廠商主要有瑞星、江民、金山三家廠商。
(3)對現(xiàn)網(wǎng)設(shè)備利舊的支持。思科NAC方案和華為EAD方案雖然在業(yè)務(wù)控制流程和功能組件上類似,都是基于對802.1X和EAP協(xié)議的開發(fā),但目前并不兼容。
NAC方案:由于目前大型企業(yè)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備中主要采用的是思科的接入設(shè)備和策略控制服務(wù)器,采用思科NAC方案可以充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備和策略控制設(shè)備。
EAD方案:如果采用華為EAD方案,現(xiàn)在思科的接入設(shè)備將全部更換,并且需要配置新的策略控制設(shè)備。
(4)與現(xiàn)網(wǎng)設(shè)備的兼容性。
NAC方案:思科方案與現(xiàn)網(wǎng)設(shè)備不存在兼容性問題。
EAD方案:由于華為EAD方案必須采用華為的二層交換機(jī),與現(xiàn)網(wǎng)思科的交換機(jī)互聯(lián),很容易出現(xiàn)由于生成樹協(xié)議配置不當(dāng)而引起廣播風(fēng)暴。
2 接入控制技術(shù)的實際應(yīng)用
2.1 企業(yè)內(nèi)部網(wǎng)絡(luò)現(xiàn)狀
浙江某運營商DCN網(wǎng)絡(luò)是企業(yè)的運行支撐網(wǎng)絡(luò),為各個專業(yè)網(wǎng)管系統(tǒng)和企業(yè)應(yīng)用系統(tǒng)提供了統(tǒng)一的數(shù)據(jù)通信平臺,目前網(wǎng)絡(luò)已經(jīng)覆蓋到各交換母局和大的營業(yè)網(wǎng)點。
當(dāng)前存在的問題如下:(1)移動辦公和遠(yuǎn)程維護(hù)的需求強(qiáng)烈,但缺乏安全的接入手段,因此只能小范圍試用。(2)內(nèi)網(wǎng)多出口現(xiàn)象嚴(yán)重,繞開統(tǒng)一出口直接訪問公網(wǎng),造成病毒嚴(yán)重,嚴(yán)重威脅內(nèi)網(wǎng)安全。(3)缺乏安全的內(nèi)網(wǎng)無線接入手段。(4)內(nèi)網(wǎng)缺乏統(tǒng)一的安全策略規(guī)范和控制機(jī)制。(5)沒有接入控制機(jī)制,內(nèi)網(wǎng)接入隨意,基本沒有保護(hù),對第三方人員和企業(yè)內(nèi)部員工不健康的終端均無限制手段,嚴(yán)重威脅企業(yè)信息安全。
2.2 工程實施內(nèi)容及建設(shè)方案
2.2.1 工程建設(shè)需求:(1)滿足遠(yuǎn)程接入需求,實現(xiàn)用戶在外網(wǎng)時能夠安全接入DCN網(wǎng)絡(luò);(2)滿足用戶通過統(tǒng)一入口VPN方式接入DCN網(wǎng)絡(luò)后,能夠訪問各類內(nèi)網(wǎng)應(yīng)用系統(tǒng);(3)用戶在外網(wǎng)接入內(nèi)網(wǎng)時,應(yīng)首先通過入口的Radius認(rèn)證和動態(tài)口令認(rèn)證;(4)終端在局域網(wǎng)通過有線或無線方式接入時,對終端安全性進(jìn)行檢測,認(rèn)證后準(zhǔn)許進(jìn)入網(wǎng)絡(luò)。
2.2.2 工程建設(shè)方案。
工程組網(wǎng):Internet統(tǒng)一出入口通過一臺Juniper ISG2000防火墻DCN的出口網(wǎng)關(guān)設(shè)備,完成省公司員工訪問Internet的訪問控制和安全防護(hù);兩臺SA4000設(shè)備部署在防火墻的DMZ區(qū),連接在DMZ交換機(jī)上,采用A/P的高可用方式部署,防火墻映射一個公網(wǎng)地址到SA集群的浮動地址上。防火墻實現(xiàn)基本DOS保護(hù)、策略過濾,SA設(shè)備則實現(xiàn)SSL VPN,進(jìn)行應(yīng)用層保護(hù)過濾和接入。部署一套Juniper SBR radius軟件,作為DCN網(wǎng)絡(luò)AAA認(rèn)證服務(wù)器,用于實現(xiàn)對內(nèi)部各系統(tǒng)的集中身份認(rèn)證和授權(quán)。該系統(tǒng)能夠與原有的目錄服務(wù)器結(jié)合,降低部署的復(fù)雜度。
終端安全檢查策略:Juniper SA 4000設(shè)備在用戶接入前通過預(yù)先設(shè)定的策略檢查用戶終端的安全狀況,包括補(bǔ)丁、殺毒軟件安裝或更新情況。根據(jù)DCN的終端安全要求設(shè)定終端安全檢查策略,一般建議檢查是否安裝有殺毒軟件,不符合條件的拒絕登錄或提示后登錄。
接入方式:由于SA 4000設(shè)備具有Core、SAM和NC三種接入方式,三種方式獲得的權(quán)限各不相同,對于每個用戶組(Role),需要選擇其能夠使用的接入方式。
資源策略設(shè)置:在每種接入方式下,可以設(shè)定Role能夠訪問的資源,類似于防火墻的ACL(訪問控制列表)。根據(jù)不同Role的實際需要,設(shè)定不同的訪問權(quán)限,保證每個用戶能夠訪問到其必須訪問的資源,同時不獲得超出其工作需要的權(quán)限。
局域網(wǎng)內(nèi),通過部署Cisco的NAC方案實現(xiàn)無線和有線接入時基于802.1X的終端認(rèn)證和健康性檢查。企業(yè)可以根據(jù)不同的安全策略對終端安全狀況進(jìn)行檢測,內(nèi)容包括終端補(bǔ)丁安裝情況、終端防病毒軟件安裝以及版本更新情況、病毒代碼庫的更新情況、個人防火墻的配置情況、屏幕保護(hù)的配置情況等,并保護(hù)企業(yè)重要信息資源不被外來終端訪問,阻止外來終端或者未納入終端管理系統(tǒng)的終端接入到企業(yè)網(wǎng)絡(luò)。通過企業(yè)目錄服務(wù)集成,提供統(tǒng)一身份認(rèn)證,統(tǒng)一授權(quán)的基礎(chǔ),確保用戶信息在各系統(tǒng)中的
同步。
2.3 工程實施效果
工程實施效果見表1。
3 結(jié)語
企業(yè)信息化建設(shè)過程中,較多關(guān)注于信息系統(tǒng)建設(shè),對于信息化基礎(chǔ)的網(wǎng)絡(luò)安全,關(guān)注不夠全面,本文重點關(guān)注于之前企業(yè)安全管理薄弱的網(wǎng)絡(luò)接入控制技術(shù),并結(jié)合業(yè)界解決方案,應(yīng)用于實際工程。
參考文獻(xiàn)
[1] 寧宇鵬,薛靜鋒.信息安全-理論、實踐與應(yīng)用[M].
[2] 馬燕,曹周湛,等.信息安全法規(guī)與標(biāo)準(zhǔn)[M].北京:機(jī)械工業(yè)出版社.
[3] 高海英.VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社.
企業(yè)內(nèi)網(wǎng)安全和企業(yè)網(wǎng)站安全防護(hù)刻不容緩。
《瑞星2010中國企業(yè)安全報告》中的數(shù)據(jù)表明,蠕蟲病毒引發(fā)的網(wǎng)絡(luò)癱瘓以及用戶資料和商業(yè)秘密被竊取等,已經(jīng)成為嚴(yán)重威脅政企用戶業(yè)務(wù)安全的至為重要的問題。對于政府機(jī)構(gòu)、金融類企業(yè)等容易遭到攻擊的目標(biāo)來說,瑞星防毒墻、瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)與殺毒軟件軟硬結(jié)合,能夠提供更專業(yè)、更便于管理的立體化防病毒安全保護(hù)體系。
安全情況分析
河南工商行政管理部門的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,省級作為核心網(wǎng),其下屬部門又劃分為多個子網(wǎng)。在河南工商行政管理部門的網(wǎng)絡(luò)中,信息系統(tǒng)的應(yīng)用也比較復(fù)雜,涉及眾多應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、普通計算機(jī)和各種網(wǎng)絡(luò)設(shè)備。根據(jù)初步統(tǒng)計,河南工商行政管理部門內(nèi)部網(wǎng)絡(luò)中大約有數(shù)萬臺終端。
河南工商行政管理部門內(nèi)部核心網(wǎng)絡(luò)的管理涉及眾多服務(wù)器和客戶端的管理以及多部門、多系統(tǒng)之間的協(xié)調(diào),如果不對這些設(shè)備、系統(tǒng)加以控制,那么病毒可能引發(fā)相當(dāng)嚴(yán)重的安全問題。病毒一旦發(fā)作,給河南工商行政管理部門帶來的損失將是不可估量的。如果在信息被破壞后再進(jìn)行殺毒等工作,那么已經(jīng)造成的各種損失也將難以挽回。
因此,為了保障整個網(wǎng)絡(luò)的安全,河南工商行政管理部門的網(wǎng)絡(luò)應(yīng)該采用省級集中管理、各部門及各市級分級管理的方式。在網(wǎng)絡(luò)計算機(jī)病毒的防范上,應(yīng)以“主動防御+傳統(tǒng)殺毒”相結(jié)合的方式,配合網(wǎng)關(guān)防毒墻,形成立體防毒體系。河南工商行政管理部門應(yīng)在病毒可能傳播的各個渠道中都設(shè)置監(jiān)控,再結(jié)合定時病毒掃描和自動更新,這樣才能保證整個網(wǎng)絡(luò)系統(tǒng)的安全。
河南工商行政管理部門的網(wǎng)絡(luò)與下級單位的網(wǎng)絡(luò)相連,其上運行著包括Web、FTP、電子郵件、DNS等各種應(yīng)用。在保障應(yīng)用系統(tǒng)的安全性方面,河南工商行政管理部門主要考慮的是應(yīng)用系統(tǒng)與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。黑客往往會抓住一些應(yīng)用服務(wù)的缺陷或弱點進(jìn)行攻擊。比如,黑客通常會針對錯誤的Web目錄結(jié)構(gòu)、CGI腳本缺陷、Web服務(wù)器應(yīng)用程序缺陷、作為索引的Web頁、有缺陷的瀏覽器進(jìn)行攻擊,有時甚至?xí)肙racle、 SAP、 Peoplesoft 缺省賬戶進(jìn)行攻擊。
解決方案
上述分析表明,工商信息網(wǎng)絡(luò)需要使用專門的安全產(chǎn)品,在網(wǎng)關(guān)處進(jìn)行病毒防護(hù),同時在入侵檢測、內(nèi)容過濾、本地主機(jī)病毒監(jiān)控等各方面進(jìn)行全方位、立體化的保護(hù)。因此,河南工商行政管理部門使用了瑞星防毒墻,并與原有的瑞星網(wǎng)絡(luò)版殺毒軟件進(jìn)行聯(lián)動,在工商行政管理部門的網(wǎng)絡(luò)中構(gòu)筑了綜合立體安全防護(hù)體系。這種安全防護(hù)體系具有很高的性價比。
瑞星防毒墻是一個集防火墻、網(wǎng)關(guān)防病毒、入侵檢測、VPN(虛擬專用網(wǎng))等多項功能于一身的綜合安全網(wǎng)關(guān)。它超越了傳統(tǒng)防毒墻僅能在網(wǎng)絡(luò)層進(jìn)行粗粒度的包過濾的安全層級,能夠從網(wǎng)絡(luò)層到應(yīng)用層為河南工商行政管理的本部網(wǎng)絡(luò)出口提供全方位的安全保護(hù)。
關(guān)鍵詞:計算機(jī)信息化 網(wǎng)絡(luò) 安全 中小企業(yè) 管理 防范
1 概述
網(wǎng)絡(luò)安全伴隨著計算機(jī)網(wǎng)絡(luò)的出現(xiàn)已經(jīng)成為了一個伴隨每個網(wǎng)絡(luò)用戶永恒的問題。黑客們長期以來不斷的分析系統(tǒng)和應(yīng)用系統(tǒng),以更多的發(fā)現(xiàn)系統(tǒng)存在的漏洞,并通過編寫相應(yīng)的腳本對其加以利用。安全廠商面對這些不斷發(fā)展安全威脅,也不斷的推出了新的安全防范技術(shù)和產(chǎn)品,如:防火墻、入侵檢測防御系統(tǒng)、殺毒軟件、反間諜軟件以及過濾內(nèi)容和垃圾郵件等產(chǎn)品。此后,各個網(wǎng)絡(luò)用戶跟隨著安全廠商的步伐不斷的將這些安全產(chǎn)品疊加到自身的網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器和工作站上。但與此同時需要網(wǎng)絡(luò)用戶解決的還有很多問題,如:為了充分發(fā)揮他們的作用,如何建立一個有效的安全防范策略以及如何妥善管理這些設(shè)備并且如何計算安全防范的投資回報率等。
我們必須承認(rèn),中小企業(yè)在網(wǎng)絡(luò)安全方面的認(rèn)識、投入和實施的案值相對以前的防范措施都有了很大的進(jìn)步。但是相比以前,是否目前的中小企業(yè)網(wǎng)絡(luò)就更加安全呢?但是針對這個問題,由于網(wǎng)絡(luò)威脅隨著計算機(jī)的網(wǎng)絡(luò)發(fā)展而不斷的出現(xiàn),并且相對以前的攻擊手段更具有危險性,因此,不可能有一個非常肯定的答案。并且從經(jīng)濟(jì)利益角度出發(fā)是目前黑客攻擊的一個重大目標(biāo),從而使得中小企業(yè)成為黑客們攻擊的目標(biāo)之一。即相對以前而言,目前中小企業(yè)面臨的安全風(fēng)險更高。由于中小企業(yè)的網(wǎng)絡(luò)正朝著WEB應(yīng)用和SOA架構(gòu)的應(yīng)用方向發(fā)展,從而使得網(wǎng)絡(luò)相對以前更加復(fù)雜。因此,目前的計算機(jī)網(wǎng)絡(luò)僅有C/S和B/S結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性也增加了安全防范的復(fù)雜性和難度。因此,目前最需要解決的問題就是如何構(gòu)建信息安全管理方案幫助中小企業(yè)更好的解決安全檢測、識別和安全防范等。
2 影響企業(yè)網(wǎng)絡(luò)安全的主要因素
企業(yè)網(wǎng)絡(luò)由局域網(wǎng)和廣域網(wǎng)組成,人和自然因素是影響網(wǎng)絡(luò)安全的主要因素。雷擊、水災(zāi)以及火災(zāi)和地震等因素屬于自然因素,而人為因素包括誤操作刪除數(shù)據(jù)的無意和故意破壞之分。人為故意破壞分為計算機(jī)病毒、黑客入侵、網(wǎng)絡(luò)竊聽以及制造大量垃圾郵件等。
斯諾登泄密風(fēng)暴揭發(fā)香港網(wǎng)絡(luò)保安不堪一擊,風(fēng)暴過后復(fù)歸平靜,香港中小企業(yè)計算機(jī)保安水平低問題依舊。專家指出,黑客近年喜以“僵尸”手法入侵盜取資料,有公司員工誤開惡性電郵附件,計算機(jī)變成“僵尸”控亦懵然不知,最終令全公司計算機(jī)受感染。
香港警方坦言黑客難捉,科技罪案破案率不足20%。有中小企代表稱,公司計算機(jī)保安水平十年來毫無寸進(jìn),原因在于不覺數(shù)據(jù)被偷是致命傷,有閑錢不會優(yōu)先投放改進(jìn)計算機(jī)系統(tǒng)。學(xué)者指出,問題根本在人身上,“并非門鎖不夠先進(jìn),而是你不懂把門好好關(guān)上!”
中小企業(yè)大多不重視網(wǎng)絡(luò)安全,而“僵尸網(wǎng)絡(luò)”是近年漸趨普遍的入侵方式,黑客在電郵附件中暗藏惡性軟件,公司內(nèi)部有人不慎開啟,即令計算機(jī)受感染成為“僵尸計算機(jī)”,“中招”計算機(jī)自動將IP地址傳回黑客的控制中心,令其用作監(jiān)測用戶的網(wǎng)上銀行活動。黑客趁用戶登入時,伺機(jī)改寫網(wǎng)頁樣式,騙取用戶輸入敏感數(shù)據(jù),或改變交易的細(xì)節(jié),例如改變交易金額,或?qū)⒔痤~過數(shù)予第三者。
計算機(jī)之所以讓黑客有機(jī)可乘,往往由于同事疏于防范胡亂下載附件,令“僵尸”程序或病毒有機(jī)可乘,甚至連累全公司被感染而不自知。今年6月,香港計算機(jī)保安事故協(xié)調(diào)中心曾參與全球捉“僵尸”行動,與警方連手搗破兩個在港境內(nèi)控制中心,根據(jù)經(jīng)驗,香港受感染的“僵尸”計算機(jī)介乎200至700部之間。前六個月處理的622宗保安事故中,超過一半來自僵尸網(wǎng)絡(luò)及黑客入侵,數(shù)字較去年同期增加94%。有專家建議,除防毒軟件及聯(lián)網(wǎng)防火墻外,公司應(yīng)該為員工各自安裝個人防火墻,避免同事計算機(jī)在公司Local LAN(局部區(qū)域網(wǎng)絡(luò))內(nèi)互相攻擊。
3 中小企業(yè)應(yīng)當(dāng)建設(shè)一個整體網(wǎng)絡(luò)安全管理方案
只要給企業(yè)一個構(gòu)建安全管理方案的通用處理步驟和流程,每個企業(yè)都能為自己建立一個安全管理方案,因此,企業(yè)設(shè)計一個網(wǎng)絡(luò)安全管理方案并不困難。但是需要注意的是,建立的安全管理方案除了適合目前和以后的發(fā)展外,還應(yīng)當(dāng)適合企業(yè)最關(guān)心的投資回報率問題。
目前很多中小企業(yè)針對安全投資回報率的問題,不知道如何確定防火墻、UTM、IDS/IPS和內(nèi)容過濾以及監(jiān)控系統(tǒng)等開支具體有多大。由于大部分的企業(yè)對于購買的設(shè)備適應(yīng)什么樣的網(wǎng)絡(luò)結(jié)構(gòu)、具體功能是否滿足現(xiàn)在和以后的需求、目前企業(yè)存在哪些問題以及企業(yè)需要什么功能的產(chǎn)品等都不了解,只是簡單將最新產(chǎn)品以及功能最多的產(chǎn)品鏈接到自己的網(wǎng)絡(luò),認(rèn)為這樣就可以起到安全防護(hù)的效果了,網(wǎng)絡(luò)安全問題便可以高枕無憂,因此在安全方面的投資,很多中小企業(yè)雖然常亮紅燈,但是卻得不到相應(yīng)的安全防范效果。實際上,使用恰當(dāng)?shù)募夹g(shù)以持續(xù)不斷的應(yīng)用到某個具體的對象上是安全防范的關(guān)鍵因素,安全防范作為一個具體的過程,而不是某種技術(shù)就能解決的。
安全管理涉及的方面很多,如配置管理、變更控制、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃、網(wǎng)絡(luò)安全、人力資源以及合理使用等。有些中小企業(yè)也許自己不能構(gòu)建一個全面的安全管理方案,但是為了達(dá)到與安全管理方案相同的效果,我們可以使用一種叫做信息安全和事件管理的現(xiàn)成產(chǎn)品。
但是SIEM產(chǎn)品目前只能解決中小企業(yè)安全防范過程中許多問題的一小部分,甚至通過它中小企業(yè)根本取得不了任何安全防范效果。目前大部分的SIEM產(chǎn)品都是建立在關(guān)系型數(shù)據(jù)庫上,由于關(guān)系型數(shù)據(jù)庫不具有每天記錄上百萬條甚至是上十億條安全事件的能力,因此,很大程度上嚴(yán)重影響了他們在當(dāng)今企業(yè)環(huán)境中應(yīng)用時的可擴(kuò)展性。由于購買現(xiàn)成的SIEM產(chǎn)品需要額外花費企業(yè)很多費用,這對于處于危機(jī)時期的中小企業(yè)而言無疑成為一個不小的負(fù)擔(dān)。但是中小企業(yè)在完成網(wǎng)絡(luò)安全防范任務(wù)的時候,無論是使用自己制定的安全管理方案,還是使用現(xiàn)成的STEM產(chǎn)品,都能讓企業(yè)在安全防范過程中不再感到迷惑,并且更加容易實現(xiàn)安全管理的目標(biāo)。
4 企業(yè)信息安全新形勢
網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一,具有長期性、復(fù)雜性和艱巨性的特點。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展,三網(wǎng)融合開始實施操作,云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾,需求的個性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進(jìn)一步提高對網(wǎng)絡(luò)信息安全重要性的認(rèn)識,發(fā)展與管理并重,加強(qiáng)部門協(xié)調(diào)配合,加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)管理工作,加強(qiáng)網(wǎng)絡(luò)信息安全保障能力建設(shè),特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化,通過核心技術(shù)掌握自主知識產(chǎn)權(quán),加快發(fā)展自主可控的信息安全產(chǎn)業(yè),建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。
從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā),應(yīng)對多種復(fù)雜的安全新問題,應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù),并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系,技術(shù)和管理并重,加強(qiáng)立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作,通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境,來共同改善全球的網(wǎng)絡(luò)與信息安全問題。
5 結(jié)束語
計算機(jī)網(wǎng)絡(luò)安全作為企業(yè)的一項十分重要的工作,應(yīng)當(dāng)引起高度的重視。在進(jìn)行網(wǎng)絡(luò)計算機(jī)操作之前,必須隨時做好網(wǎng)絡(luò)安全方面的防范工作。我們應(yīng)當(dāng)看到,動態(tài)的企業(yè)網(wǎng)絡(luò)安全隨著病毒、安全技術(shù)以及黑客站點的每日劇增,網(wǎng)絡(luò)安全動態(tài)的不斷更新,對網(wǎng)絡(luò)管理人員來講是一個巨大的挑戰(zhàn)。相信做一個好的信息安全解決方案是企業(yè)辦公網(wǎng)絡(luò)應(yīng)用的完美選擇。
參考文獻(xiàn):
[1]宋鈺,何小利,何先波,王偉黎.基于SNMP協(xié)議的入侵檢測系統(tǒng)[J].河北理工大學(xué)學(xué)報(自然科學(xué)版),2010(01).
[2]王步飛,顏景潤,任玉燦.現(xiàn)代信息技術(shù)與溫室環(huán)境因子控制[J].考試(教研版),2010(01).
[3]郭錫泉,羅偉其,姚國祥.多級反饋的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[J].信息安全與通信保密,2010(01).
[4]鄢喜愛,楊金民,常衛(wèi)東.基于蜜罐技術(shù)的計算機(jī)動態(tài)取證系統(tǒng)研究[J].微電子學(xué)與計算機(jī),2010(01).
我們在去年看到眾多端點安全產(chǎn)品進(jìn)入市場,它們試圖消除企業(yè)網(wǎng)絡(luò)面臨的非常嚴(yán)重的威脅。那么企業(yè)的IT管理人員該如何評估這種產(chǎn)品呢?本文就提供了一份路線圖,并且介紹了對所有產(chǎn)品進(jìn)行篩選的方法。以下是你在購買端點解決方案之前先要弄清楚的六個問題。
一、哪幾個部分最重要?
端點安全對不同的人來說意味著不同意思。為了便于討論,我們概述了端點解決方案應(yīng)當(dāng)包括的五個要素。你的需求可能有所不同,也許現(xiàn)在想實施其中一兩個部分,打算將來時機(jī)成熟時再升級到其余幾個部分。
策略定義: 你應(yīng)當(dāng)能夠為不同的用戶群、位置和機(jī)器群設(shè)定及維護(hù)各種安全策略,而且能夠輕松修改。
用戶檢測: 不管你的用戶是在本地總部還是從遠(yuǎn)地連接到企業(yè)網(wǎng)絡(luò),你的系統(tǒng)都應(yīng)當(dāng)能夠檢測到他們。這包括每個客戶端上使用或者無的操作。
健康評估:你的最終系統(tǒng)應(yīng)當(dāng)能夠掃描端點、確定符合策略的狀況。理想情況下,應(yīng)當(dāng)在訪問網(wǎng)絡(luò)之前進(jìn)行掃描,不過你的系統(tǒng)也應(yīng)當(dāng)允許登錄之后進(jìn)行其他檢查。
策略執(zhí)行:你的策略確定了應(yīng)當(dāng)保護(hù)哪些網(wǎng)絡(luò)資源,包括交換機(jī)、虛擬專用網(wǎng)(VPN)和服務(wù)器等等。視策略而定,你應(yīng)當(dāng)能夠隔離資源或者完全拒絕訪問網(wǎng)絡(luò)。
采取補(bǔ)救:如果客戶端不符合策略,接下來會怎樣?理想的系統(tǒng)會啟動反病毒特征更新、給操作系統(tǒng)打上補(bǔ)丁,或者采取其他措施。記住:目的在于讓每個人最終都能安全地連接到網(wǎng)絡(luò)上。這恐怕是大多數(shù)IT管理人員希望最先看到實施的方面,卻也是大多數(shù)解決方案最薄弱的方面。問題在于,補(bǔ)救起來很棘手,而且需要依賴許多單個的軟件和硬件正常工作。
目前正在開發(fā)中的有三種總體架構(gòu)方法:微軟的網(wǎng)絡(luò)訪問保護(hù)(NAP)、思科的網(wǎng)絡(luò)準(zhǔn)入控制(NAC)以及可信計算組織的可信網(wǎng)絡(luò)連接(TNC)。
思科的NAC是三者當(dāng)中離實際實施最接近的。它的工作方式是通過把模塊實施到面向Windows客戶端和Linux客戶端的交換機(jī)及路由器中,從而控制對網(wǎng)絡(luò)層的訪問。你需要混合搭配幾家廠商的產(chǎn)品才能涵蓋上述五個部分,因為思科并不提供一切。思科架構(gòu)的強(qiáng)項在于執(zhí)行和檢測,補(bǔ)救是它的弱項。
TNC一開始是這種概念:使用Radius和802.1x等開放標(biāo)準(zhǔn)對特定的網(wǎng)絡(luò)客戶端進(jìn)行驗證,那樣它們不會被任何一家廠商的產(chǎn)品線或者客戶端操作系統(tǒng)所束縛。TNC專注于提供能夠協(xié)同工作的解決方案,所以難怪其強(qiáng)項在于策略定義,弱項在于健康評估。
NAP還沒有真正實施到微軟的任何產(chǎn)品中,第一個應(yīng)用實例將是預(yù)計今年晚些時候問世的Longhorn服務(wù)器。該架構(gòu)的強(qiáng)項在于補(bǔ)救,弱項在于執(zhí)行,對另外兩種架構(gòu)起到了很好的補(bǔ)充作用。最初,NAP會單單支持Windows XP和Vista客戶端,把其他市場讓給另外兩種架構(gòu)。
建議:
不是每個端點解決方案都能夠有效地提供五個方面,大多數(shù)的強(qiáng)項在于健康評估或者策略執(zhí)行等一、兩個方面,在其他方面比較弱。認(rèn)真閱讀說明書,確定你最初關(guān)注的重心。
二、現(xiàn)有的安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施是什么?
下一步就是了解你現(xiàn)有的安全產(chǎn)品組合是什么,端點解決方案在什么地方會適合你現(xiàn)有的系統(tǒng)。你可能不想換掉任何舊設(shè)備,或者不想購買功能與現(xiàn)有設(shè)備重復(fù)的端點產(chǎn)品,這取決于你何時購買了防火墻、入侵預(yù)防設(shè)備和驗證服務(wù)器。
有些產(chǎn)品(如Vernier)自身隨帶入侵檢測和預(yù)防系統(tǒng)或者虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān),這些是端點安全解決方案的必要部分;而另一些產(chǎn)品(如Lockdown Networks)可與現(xiàn)有的IPS、IDS和VPN產(chǎn)品協(xié)同工作。如果你準(zhǔn)備選購這些產(chǎn)品,這可能是好消息,但要認(rèn)識到:你的端點安全只能保護(hù)遠(yuǎn)程用戶在使用的機(jī)器,卻不能掃描任何本地網(wǎng)絡(luò)用戶的機(jī)器。為了同時保護(hù)本地用戶和遠(yuǎn)程用戶,你需要實施802.1x驗證之類的機(jī)制。
思科的NAC假定你使用的所有思科產(chǎn)品都是最新版本:如果不是,那么就要考慮其他架構(gòu),除非你希望花錢進(jìn)行全面升級。如果你花了大筆錢購買了思科以外的其他廠商的網(wǎng)絡(luò)交換機(jī)和路由器,那么支持另外兩種架構(gòu)的產(chǎn)品更有意義。
建議:
如果你沒有VPN,或者正在考慮實施VPN,那么Juniper和F5(其次是思科和Aventail)提供的SSL VPN具有相當(dāng)可靠的端點健康掃描功能。至于已經(jīng)有企業(yè)IPsec VPN的用戶,比較適合實施端點安全解決方案,假定你在所有的本地機(jī)器上也能夠運行這些安全I(xiàn)Psec協(xié)議。大多數(shù)端點產(chǎn)品支持這種方法。
如果你已經(jīng)有了切實可行的VPN而現(xiàn)在又不想改動,不妨考慮自身隨帶802.1x驗證服務(wù)的產(chǎn)品解決方案,譬如賽門鐵克或者Infoexpress的方案。你需要加強(qiáng)驗證機(jī)制,以便處理下面提到的端點健康評估工具。
如果你需要升級交換機(jī),Nevis和Consentry都提供各自集成了端點安全功能的48端換機(jī)。
三、要保護(hù)網(wǎng)絡(luò)上的哪些部分?
接下來要確定你想把端點安全設(shè)備放在網(wǎng)絡(luò)上的哪個部位,想保護(hù)企業(yè)計算資源的哪些部分。顯然,網(wǎng)絡(luò)上所要保護(hù)的部分越多,項目成本就會變得越高。有些設(shè)備應(yīng)直接放在企業(yè)防火墻后面,保護(hù)整個網(wǎng)絡(luò)。另一些設(shè)備放在分布交換機(jī)后面或者關(guān)鍵服務(wù)器前面比較好,或者部署用來保護(hù)某些子網(wǎng)或者部門級網(wǎng)絡(luò)。
TNC架構(gòu)似乎是三者當(dāng)中最靈活的,適用于最廣泛的部署及保護(hù)場景。NAP旨在保護(hù)微軟服務(wù)器,而NAC是為思科網(wǎng)絡(luò)交換機(jī)和路由器設(shè)計的。
有些設(shè)備(如Vernier、Consentry和Nevis Networks)采用嵌入式工作方式,這意味著位于這種設(shè)備后面的任何網(wǎng)絡(luò)資源都會得到保護(hù);只有健康的網(wǎng)絡(luò)客戶機(jī)才能通過進(jìn)而訪問這些資源。另一些設(shè)備(如Mirage、Forescout和AEP Networks)采用帶外工作方式,通常經(jīng)由網(wǎng)絡(luò)跨接端口連接起來,監(jiān)控某個子網(wǎng)上的所有網(wǎng)絡(luò)流量;一旦用戶通過活動目錄或者VPN登錄成功通過驗證,它們就會把自己嵌入到網(wǎng)絡(luò)數(shù)據(jù)流中。想知道把這些設(shè)備放在何處,就要知道每個設(shè)備能夠處理通過它的相對吞吐量。有些解決方案比較有限,無法處理較大網(wǎng)絡(luò)的較高吞吐量。
建議:
對于吞吐量需求較高的大型網(wǎng)絡(luò),不妨考慮Juniper的端點解決方案,它適用于75 Mbps到30 GBps的多種吞吐量。
如果無法確定使用嵌入式還是帶外式,那么StillSecure和賽門鐵克提供的產(chǎn)品能夠與這兩種方式兼容。
四、管理所有桌面系統(tǒng)嗎?
下一個問題是你將如何管理及部署桌面系統(tǒng)上的保護(hù)軟件。如果訪問企業(yè)網(wǎng)絡(luò)的員工比例較高(譬如說10%以上),合作伙伴或者承包商使用自己的計算機(jī),或者遠(yuǎn)程員工不來總部辦公室上班,那么你無法輕松接觸外面的這些PC。如果你分發(fā)軟件更新版,牢牢控制桌面PC,就能夠更輕松地安裝軟件,進(jìn)行健康評估,采取糾正措施。
每種設(shè)備都有可能使用三種基本類型的中的一種:
“胖”,也就是每個端點PC上永久安裝的可執(zhí)行文件。
按需,只有PC連接到網(wǎng)絡(luò)時才存在,通常通過瀏覽器會話或者網(wǎng)絡(luò)登錄過程的一部分來提供。
無解決方案,不在端點上安裝任何軟件,但能夠與PC上已有的軟件協(xié)同運行。
問題在于,使用哪一種軟件來處理實際工作,要看具體是哪一種瀏覽器版本和操作系統(tǒng)。有些需要初始的管理員權(quán)限才能安裝到端點上。雖然大多數(shù)產(chǎn)品支持Firefox和IE瀏覽器版本,但也有一些例外,如果你使用的不是Windows操作系統(tǒng)更是如此。
微軟的NAP在這方面的功能最弱,如果你仍在運行Windows XP之前的版本,功能將更弱。微軟已承諾為Windows XP SP2和Vista推出支持其網(wǎng)絡(luò)訪問保護(hù)系統(tǒng)的。如果你使用的Windows版本比較舊,就要尋求第三方供應(yīng)商。NAC和TNC都旨在更廣泛地支持Windows、Mac和Linux等端點操作系統(tǒng)客戶端。
有些廠商提供多個,不過有不同的功能及對操作系統(tǒng)的支持。譬如說,Nevis Networks為Windows提供的Active X控件可以執(zhí)行健康評估。對于非Windows客戶機(jī),Nevis只能使用無連接,進(jìn)行最基本的身份控制。
建議:
如果你需要Mac OS支持“胖”,不妨考慮AEP、Infoexpress和Lockdown Networks的解決方案。賽門鐵克的按需可運行在Mac OS和Linux上,但“胖”只能運行在Windows 2000和XP上。賽門鐵克和Consentry承諾今年晚些時支持Mac OS和Linux。
Lockdown和Mirage Networks更進(jìn)了一步:兩家公司都把端點放在了各自的專用虛擬局域網(wǎng)(VLAN)上,因而能夠確保有風(fēng)險的設(shè)備與其他設(shè)備隔離開來。
想獲得完全無的方法,不妨考慮Forescout和Vernier。
五、非PC端點需要管理嗎?
想弄清楚使用哪種,一方面要知道你的網(wǎng)絡(luò)上還有什么,需要管理什么。“胖”無法管理企業(yè)網(wǎng)絡(luò)上運行自身操作系統(tǒng)的非PC設(shè)備,譬如打印服務(wù)器、網(wǎng)絡(luò)攝像機(jī)和PDA等。這些設(shè)備大多有IP地址,運行各自的操作系統(tǒng),不容易由端點設(shè)備來管理。
處理非PC端點的最合適的架構(gòu)就是TNC方案,它能夠兼容類別最廣泛的設(shè)備。NAC會在網(wǎng)絡(luò)層實施支持非PC端點的功能;至于微軟的NAP,你需要指定策略才能處理這些設(shè)備。
大多數(shù)廠商提供這種功能:把MAC或者IP地址加入白名單或者對它們進(jìn)行預(yù)驗證,那樣它們?nèi)钥梢赃B接到網(wǎng)絡(luò)上完成任務(wù)。不過,把這些設(shè)備加入白名單只是臨時解決方案,因為其中一些設(shè)備一旦被感染,安全就會受到危及,進(jìn)而對網(wǎng)絡(luò)造成危害。Forescout和Mirage Networks都能檢測到來自這些專門設(shè)備的流量模式出現(xiàn)的變化,并且能夠隔離設(shè)備。
建議:
你網(wǎng)絡(luò)上的非PC端點數(shù)量可能比你想像的多得多,可能無法輕易把它們隔離到單一VLAN或者網(wǎng)段。要進(jìn)行認(rèn)真的現(xiàn)場勘查,確定這些端點與任何計劃中的解決方案有著怎樣的關(guān)系。
六、在何處制訂及執(zhí)行安全策略?
眾所周知,任何端點解決方案都會影響到眾多計算設(shè)備:客戶機(jī)、服務(wù)器、網(wǎng)絡(luò)交換機(jī)和連接基礎(chǔ)設(shè)施以及網(wǎng)絡(luò)上的應(yīng)用軟件。為了把這一切結(jié)合起來,你需要作出決定:存放端點策略的集中存儲庫放在何處;在整個網(wǎng)絡(luò)上如何管理、改變及執(zhí)行存儲庫。這可能是集中存放用戶和驗證數(shù)據(jù)的同一個物理場地,也有可能是全新的安全設(shè)備。
TNC傾向于使用802.1x驗證協(xié)議作為存儲庫,不過這是其架構(gòu)的可選部分,而不是必需要求。NAC比NAP更注重執(zhí)行功能,至少目前是這樣。
建議:
最自然的起步就是使用微軟的活動目錄作為這樣一個策略存儲庫;而且,微軟的NAP確實是為這種目的而設(shè)計的,最終會在今年晚些時候添加Longhorn服務(wù)器及另外幾個產(chǎn)品。不過改造你自己的活動目錄可能會很困難或者不可能,這看你是如何進(jìn)行設(shè)置的。
另一個解決辦法就是使用第三方廠商來完成這項任務(wù),譬如Lockdown、Trusted Network Technologies或者Consentry,不過這可能需要時間來學(xué)會如何部署這些解決方案和進(jìn)行合理配置。
關(guān)鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進(jìn)行說明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計算機(jī)500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機(jī)網(wǎng)絡(luò)的安全,某公司實施了計算機(jī)網(wǎng)絡(luò)安全項目,基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險與需求分析3.1風(fēng)險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。
(2)計算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。
目前實施的安全方案是基于當(dāng)時的認(rèn)識進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運用風(fēng)險評估、風(fēng)險管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護(hù)原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時,其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風(fēng)險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設(shè)計思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的,需要在風(fēng)險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機(jī)專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護(hù)
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機(jī)密和專利信息的竊取、財務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計算機(jī),只需拔出智能密碼鑰匙,即可鎖定計算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認(rèn)證
身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應(yīng)重視以下各項工作:
(1)在初步進(jìn)行風(fēng)險分析基礎(chǔ)上,方案實施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險降到最低水平。
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)隔離;訪問控制;網(wǎng)絡(luò)管理;安全審計
中圖分類號:TP393.098 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599(2012)01-0000-02
The Security Design of Computer Network for Enterprise
Yang Yan
(China Railway No.5 Engineering Group Co.,Ltd,Mechanization Engineering Co., Ltd.,Hengyang421002,China)
Abstract:Network security ensure the normal operation of the enterprise network premise,enterprise network security is receiving more and more attention.This paper,from the network security separate, network security access and access control,host and system platform security, network security monitoring and audit,enterprise network security management system protection aspects,and puts forward how to make full use of the limited funds,mature technology,weigh the safety and efficiency,network all directions and meticulous planning design,make enterprise network safety effectively strengthen and improve.
Keywords:Network security;Isolation;Access control;Network management;
Security audit
21世紀(jì)以來,隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,我們邁入了以網(wǎng)絡(luò)為核心的信息時代。許多企業(yè)都構(gòu)建了企業(yè)網(wǎng)絡(luò)運營平臺,企業(yè)經(jīng)營、生產(chǎn)與管理對計算機(jī)網(wǎng)絡(luò)的依賴性日益增強(qiáng)。網(wǎng)絡(luò)規(guī)模的不斷增大,網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜都對網(wǎng)絡(luò)安全提出了更高的要求。網(wǎng)絡(luò)安全應(yīng)從整體上考慮,全面覆蓋網(wǎng)絡(luò)系統(tǒng)的各個方面,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。
目前,大多數(shù)企業(yè)都建設(shè)了以辦公系統(tǒng)(OA)為中心,集成公文流轉(zhuǎn)、即時消息、門戶網(wǎng)站、業(yè)務(wù)應(yīng)用的辦公系統(tǒng),這些系統(tǒng)均以網(wǎng)絡(luò)平臺為支撐,采用B/S模式運行,并且各系統(tǒng)對于安全性要求不同。安全可靠性不同的多種應(yīng)用,運行在同一個網(wǎng)絡(luò)中,給黑客、病毒攻擊提供了方便之門,給企業(yè)的網(wǎng)絡(luò)安全造成了極大的威脅。
在一定的資金支持下,網(wǎng)絡(luò)管理都要在網(wǎng)絡(luò)安全程度和建設(shè)成本之間作出取舍,充分使用現(xiàn)有的成熟技術(shù),并且盡可能地發(fā)揮管理的功效,提高企業(yè)網(wǎng)絡(luò)安全,為業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運行保駕護(hù)航。我們可以采用了以下技術(shù)和策略提高網(wǎng)絡(luò)的安全性。
一、網(wǎng)絡(luò)安全隔離
網(wǎng)絡(luò)隔離有兩種方式:物理隔離和邏輯隔離。將網(wǎng)絡(luò)進(jìn)行隔離后,為了能夠滿足網(wǎng)絡(luò)內(nèi)授權(quán)用戶對相關(guān)子網(wǎng)資源的訪問,保證各業(yè)務(wù)不受影響,在各子網(wǎng)之間應(yīng)采取不同的訪問策略。
物理隔離是最安全的網(wǎng)絡(luò)隔離方式,但是它的建設(shè)成本非常大,要求在網(wǎng)絡(luò)設(shè)備、計算機(jī)終端、網(wǎng)絡(luò)線路上都進(jìn)行重復(fù)性投資,花費很大,除的計算機(jī)信息系統(tǒng)必須實行物理隔離外,其它系統(tǒng)以邏輯隔離方式為主。
考慮企業(yè)的應(yīng)用情況,針對不同業(yè)務(wù)的不同需求,劃分不同的虛擬子網(wǎng)(VLAN)進(jìn)行邏輯隔離。例如:為財務(wù)、人力、工程各部門的客戶端劃分單獨的VLAN,通過將不同用戶或資源劃分到不同的VLAN中,利用路由器或者防火墻對VLAN間的訪問進(jìn)行控制。
二、網(wǎng)絡(luò)安全準(zhǔn)入與訪問控制
企業(yè)在信息資源共享的同時也要阻止非授權(quán)用戶對企業(yè)敏感信息的訪問,訪問控制的目的是為了保護(hù)企業(yè)在信息系統(tǒng)中存儲和處理信息的安全,它是計算機(jī)網(wǎng)絡(luò)信息安全最重要的核心策略之一,是通過準(zhǔn)入策略準(zhǔn)許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。
(一)網(wǎng)絡(luò)邊界安全設(shè)計。企業(yè)一般有大量業(yè)務(wù)數(shù)據(jù)流運行于Internet網(wǎng)絡(luò),在企業(yè)內(nèi)外網(wǎng)絡(luò)的邊界處,部署網(wǎng)絡(luò)防火墻,實現(xiàn)私有地址和公有地址的相互映射和轉(zhuǎn)換,屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),并按照最小需求原則配置訪問策略,以防范來自外部的威脅與攻擊。
(二)內(nèi)部網(wǎng)絡(luò)用戶準(zhǔn)入。采用DHCP服務(wù)器做地址綁定,用戶IP地址與MAC地址做一對一保留,防止網(wǎng)絡(luò)接入的隨意性,并在交換機(jī)設(shè)置DHCP Snooping、動態(tài)ARP檢測防止用戶任意修改IP,保證地址獲取的合法性。對于重要的業(yè)務(wù)系統(tǒng)服務(wù)器,還可以在交換機(jī)上采取MAC地址+IP地址+交換機(jī)端口進(jìn)行綁定,可以有效的阻止ARP等病毒的攻擊。
(三)分支機(jī)構(gòu)及移動辦公用戶的準(zhǔn)入。外部用戶訪問企業(yè)內(nèi)網(wǎng),應(yīng)在基于VPN的撥號接入之上,建立AAA認(rèn)證服務(wù)器,一方面方便用戶經(jīng)常更換口令,另一方面可以實施更加嚴(yán)格的安全策略,并且對這些策略的實施予以監(jiān)視。
為了方便用戶對資源的訪問和管理網(wǎng)絡(luò),有必要建立一個統(tǒng)一的安全認(rèn)證及授權(quán)系統(tǒng),統(tǒng)一的帳號管理有助于確保安全策略的實施及管理。
三、主機(jī)與系統(tǒng)平臺安全
網(wǎng)絡(luò)是病毒傳播最好最快的途徑之一。在網(wǎng)絡(luò)環(huán)境下,計算機(jī)病毒有不可估量的威脅性和破壞力,它使得網(wǎng)絡(luò)癱瘓、機(jī)密信息泄漏、重要業(yè)務(wù)系統(tǒng)不能提供正常服務(wù),嚴(yán)重影響網(wǎng)絡(luò)安全,造成不良的社會影響。計算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán),在企業(yè)網(wǎng)中應(yīng)建立一套網(wǎng)絡(luò)版的防病毒系統(tǒng),它能構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系,支持對網(wǎng)絡(luò)、服務(wù)器、工作站的實時病毒監(jiān)控;能夠在中心控制臺向多個目標(biāo)分及安裝新版殺毒軟件,并監(jiān)視多個目標(biāo)的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,支持廣泛的病毒處理選項;支持病毒主機(jī)隔離;提供對病毒特征信息和檢測引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
其次,為了彌補(bǔ)防病毒軟件被動防范的不足,可采用兩種策略提高網(wǎng)絡(luò)主動防范的能力。
(一)在網(wǎng)絡(luò)邊界防火墻上配置嚴(yán)格的安全策略,強(qiáng)制關(guān)閉常見病毒攻擊的服務(wù)端口,防止病毒入侵。在核心層和匯聚層交換機(jī)上,依據(jù)業(yè)務(wù)數(shù)據(jù)流流向建立一系列的訪問控制列表,服務(wù)器只向必須訪問它的客戶端開放,其它客戶端一概被策略拒絕訪問。
(二)由于企業(yè)中大多數(shù)計算機(jī)安裝Windows系列的操作系統(tǒng),所以在網(wǎng)絡(luò)中建設(shè)一套Windows補(bǔ)丁分發(fā)系統(tǒng),利用微軟的WSUS服務(wù)器進(jìn)行強(qiáng)聯(lián)動,輔以行之有效的用戶端保護(hù)措施,幫助客戶機(jī)高效、安全的完成Windows補(bǔ)丁更新,解決為Windows系統(tǒng)自動安裝系統(tǒng)補(bǔ)丁程序的問題,進(jìn)一步提高了計算機(jī)安全性,當(dāng)然也提高了網(wǎng)絡(luò)的安全性。
四、網(wǎng)絡(luò)安全監(jiān)測與審計
(一)網(wǎng)絡(luò)管理系統(tǒng)。利用網(wǎng)絡(luò)管理系統(tǒng)軟件,實現(xiàn)對網(wǎng)絡(luò)管理信息的收集、整理、預(yù)警,以視圖方式實時監(jiān)控各種網(wǎng)絡(luò)設(shè)備運行狀態(tài)。網(wǎng)絡(luò)管理一般包括網(wǎng)絡(luò)性能管理,配置管理,安全管理,計費管理和故障管理等五大管理功能。建立針對全網(wǎng)絡(luò)的管理平臺,對網(wǎng)絡(luò)、計算機(jī)系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等進(jìn)行統(tǒng)一監(jiān)管理,把網(wǎng)絡(luò)系統(tǒng)平臺由原先的被動管理轉(zhuǎn)向主動監(jiān)控,被動處理故障變?yōu)橹鲃庸收项A(yù)警。
(二)網(wǎng)絡(luò)入侵檢測。作為防火墻功能的有效補(bǔ)充,入侵檢測/防御系統(tǒng)(IDS/IPS)可實時監(jiān)控網(wǎng)絡(luò)傳輸,主動檢測可疑行為,分析網(wǎng)絡(luò)外部入侵信號和內(nèi)部非法活動,在系統(tǒng)遭受危害前發(fā)出報警,對攻擊作出及時的響應(yīng),并提供相應(yīng)的補(bǔ)救措施,最大限度地保障網(wǎng)絡(luò)安全。
(三)網(wǎng)絡(luò)安全審計。將網(wǎng)絡(luò)安全審計系統(tǒng)布署在企業(yè)網(wǎng)絡(luò)中,能夠監(jiān)控、審查、追溯內(nèi)部人員操作行為,防止企業(yè)機(jī)密資料泄露,統(tǒng)計網(wǎng)絡(luò)系統(tǒng)的實際使用狀況,幫助管理者及時發(fā)現(xiàn)潛在的漏洞和威脅,為企業(yè)的網(wǎng)絡(luò)提供保障,使企業(yè)的網(wǎng)絡(luò)資源發(fā)揮應(yīng)有的經(jīng)濟(jì)效益。
五、企業(yè)網(wǎng)絡(luò)安全管理制度保障
管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是企業(yè)安全管理的保證。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面。只有完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會得到最大限度的保障。只有制定合理有效的網(wǎng)絡(luò)管理制度來約束員工,這樣才能最大限度的保證企業(yè)網(wǎng)絡(luò)平穩(wěn)正常的運轉(zhuǎn),例如禁止員工濫用計算機(jī),禁止利用工作時間隨意下載軟件,隨意執(zhí)行安裝操作,禁止使用IM工具聊天等。最終制度通過網(wǎng)絡(luò)管理平臺得以具體體現(xiàn),管理平臺使得制度被嚴(yán)格的執(zhí)行起來。
六、結(jié)束語
本文從分析企業(yè)網(wǎng)絡(luò)安全形勢入手,指出當(dāng)前網(wǎng)絡(luò)安全存在的問題,然后提出了一套較詳細(xì)的解決方案,涵蓋了各個方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全審計。本文從技術(shù)手段上、可操作性上都易于實現(xiàn)、易于部署,為企業(yè)提供了實用的網(wǎng)絡(luò)安全性設(shè)計。
參考文獻(xiàn):
