企業信息安全方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業信息安全方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業信息安全方案范文第1篇
關鍵詞:信息安全;信息安全防護;安全管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)22-5346-02
隨著網絡信息系統在各行各業得到廣泛應用,企業單位辦公自動化程度越來越高,許多企業開始利用信息化手段來提升自身管理水平,增加競爭力。企業內部用戶之間實現了“互聯互通 ,資源共享”,極大地提高了企業單位的辦事效率和工作效率。但部分企業卻忽視了整個系統的安全和保密工作,使得系統處于危險之中,而一旦網絡被人攻破,企業機密的數據、資料可能會被盜取、網絡可能會被破壞,給企業帶來難以預測的損失。因此,企業網絡安全的建設必須提上日程,并加以有效防范。
1 企業信息安全防護策略
企業網絡所面臨的安全威脅既可能來自企業網內部,又可能來自企業網外部。所有的入侵攻擊都是從用戶終端上發起的,往往利用被攻擊系統的漏洞肆意進行破壞。企業網絡面臨的威脅主要有系統漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。
企業信息安全從本質上講就是企業網絡信息安全,必須充分了解系統的安全隱患所在,構建科學信息安全防護系統架構,同時提高管理人員的技術水平,落實嚴格的管理制度 ,使得網絡信息能夠安全運行,企業信息安全防護策略如圖1所示。
2 硬件安全
企業網硬件實體是指實施信息收集、傳輸、存儲和分發的計算機及其外部設備和網絡部件。對硬件安全我們應采取以下相應措施:1)盡可能購買國產網絡設備,從根源上防止由于后門造成的威脅;2)使用低輻射計算機設備、屏蔽雙絞線或光纖等傳輸介質,把設備的信息輻射抑制到最低限度,這是防止計算機輻射泄密的根本措施;3)加強對網絡記錄媒體的保護和管理。如對關鍵的記錄媒體要有防拷貝和信息加密措施,對廢棄的光盤、硬盤和存儲介質要有專人銷毀等,廢棄紙質就地銷毀等;4)定期對實體進行安全檢測和監控監測。特別是對文件服務器、光纜(或電纜)、收發器、終端及其它外設進行保密檢查,防止非法侵入。
3 信息安全技術
企業信息的安全必須有安全技術做保障。目前可以采用的安全技術主要有:
3.1 安全隔離技術
安全隔離與信息交換系統(網閘)由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡。從而在保證內外網隔離的情況下,實現可靠、高效的安全數據交換,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略既可實現內外網絡進行安全數據通信,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性。
3.2 防火墻技術
防火墻通過過濾不安全的服務,可以極大地提高網絡安全和減少子網中主機的風險;它可以提供對系統的訪問控制,如允許從外部訪問某些主機,同時禁止訪問另外的主機;阻止攻擊者獲取攻擊網絡系統的有用信息,如Finger和DNS;防火墻可以記錄和統計通過它的網絡通訊,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;防火墻提供制定和執行網絡安全策略的手段,它可對企業內部網實現集中的安全管理,它定義的安全規則可運用于整個內部網絡系統,而無須在內部網每臺機器上分別設立安全策略。
3.3 入侵檢測技術
入侵檢測技術作為一種主動防護技術,可以在攻擊發生時記錄攻擊者的行為,發出報警,必要時還可以追蹤攻擊者。它既可以獨立運行,也可以與防火墻等安全技術協同工作,更好地保護網絡,提高信息安全基礎結構的完整性,被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,最大幅度地保障系統安全。它在網絡安全技術中起到了不可替代的作用,是安全防御體系的一個重要組成部分。
3.4 終端準入防御技術
終端準入防御(EAD,Endpoint Admission Defense)解決方案從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施企業安全策略,嚴格控制終端用戶的網絡使用行為,有效地加強了用戶終端的主動防御能力,為企業網絡管理人員提供了有效、易用的管理工具和手段。
3.5 災難恢復策略
災難恢復作為一個重要的企業信息安全管理體系中的一個重要補救措施,在整個企業信息安全管理體系中有著舉足輕重的作用。業界廣泛的經驗和教訓說明,災難恢復的成功在于企業中經過良好訓練和預演的人在自己的角色上實施預先計劃的策略,即災難恢復計劃。只有制定快速有效地進行數據恢復的策略,才能應對每一種可能出現的數據損壞事故。
3.6 其他信息安全技術
當然,信息安全技術還有很多,如防御病毒技術、數字簽名技術、加密和解密技術、VLAN技術、訪問控制技術等,這些都可以在一定程序上增加網絡的安全性。
4 安全管理
網絡安全管理是企業管理中一個難點,很多信息化企業并不十分看重網絡安全,直到重要數據丟失產生重大損失才追悔莫及,因此首先在思想上充分重視信息安全,不能抱有一絲僥幸心理。對于安全管理采取的措施主要有:確定每個管理者對用戶授予的權限、制訂機房管理制度、建立系統維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。
這些要通過對公司全體員工進行教育培訓,強化規范操作,重要數據作好及時備份 ,從系統的角度促進全體團隊認真執行 ,以達到網絡的保障。
5 人員安全意識
企業信息安全隊伍建設要以領導干部和人員為重點,積極開展面向企業各層面的保密教育,不斷提高全體員工的信息安全素質。采取的措施主要有:開展領導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。
6 小結
針對目前企業信息安全面臨的諸多問題,提出基于硬件安全、信息安全技術、安全管理和人員培訓的企業信息安全整體防護策略。企業信息安全防護是一個系統工程,必須全方位、科學地合理安排和落實,才能有效地保護企業的信息安全。
參考文獻:
[1] 曹國飛.企業網信息化建設保密技術研究[J].科技傳播,2010(9):229.
[2] 王梅,劉永濤.企業信息安全(保密)培訓的幾點思考[J].中國市場,2010,35(9):117-118.
[3] 趙曉.企業信息安全防護體系建設[J].科技創新導報,2010,34:255.
企業信息安全方案范文第2篇
關鍵詞:信息安全;體系架構;授權訪問;安全控制;異常監控
1概述
隨著信息化建設的快速發展,信息技術創新影響著人們的工作方式和生活習慣,網絡已成為信息傳播和知識共享的載體,提高了工作效率,促進了社會的發展和進步,但由于網絡環境的復雜性、多變性以及信息系統的脆弱性,決定了信息安全威脅的客觀存在。近年來,國內國外信息安全的事件層出不窮,計算機病毒和木馬仍然是最大的安全威脅,假冒用戶和主機身份進行不法活動或實施攻擊的現象逐漸增多,SQL注入、數據監聽、緩沖區溢出攻擊依然盛行,網絡釣魚和網絡欺詐日益嚴重,敏感數據外泄和盜取事件頻頻發生,信息安全形勢日趨嚴峻。因此,如何建立多層次的信息安全防護體系,如何保證企業信息安全,已成為各企業必須面對的重要問題。
2體系架構總體設計
針對企業中桌面計算機數量龐大、應用系統平臺多樣化、互聯網業務應用急劇增長,不合規計算機接入內網、互聯網違規訪問、系統賬戶盜用等行為無法管控,網絡黑客人侵、病毒木馬感染、信息數據竊取等問題,通過大量的分析調研,確定企業級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計,同時選擇成熟主流的安全產品,統一規劃設計桌面安全管理、身份管理與認證、網絡安全域戈0分等功能系統,規范信息系統安全防護和審計標準,最大程度保證信息資源的可用性和安全性。
2.1桌面安全管理系統設計
桌面計算機是產生和存放重要信息的源頭,但桌面計算機往往是信息安全事件中最薄弱的環節,因此,為切實保證企業信息業務正常開展,保障個人信息數據安全,建立先進實用的桌面安全管理系統十分必要。該系統主要包括安全防范和后臺安全管理兩個模塊。
2.1.1安全防范功能模塊
安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略,查殺策略應定義為“隔離”;對于惡意商業應用程序,由于這類軟件只是一些廣告類的惡意重新,終止進程就可以解決問題的,安全風險程度不是很高,所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務檢測功能、啟用端口掃描檢測功能,以及自動禁止攻擊者的IP時間限定為600秒,避免出現由于大量攻擊行為而消耗計算機性能和網絡帶寬的情況發生,提高桌面計算機抵御惡意攻擊的能力。
2.1.2后臺管理模塊
區域管理器是后臺管理功能模塊重要組件,通過配置計算機IP范圍、區域管理器參數、設備掃描器參數,可對安裝探頭程序的桌面計算機進行管理。實現桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。
2.2身份管理與認證系統設計
當前應用系統已成為企業開展各項日常業務的重要平臺,但由于這些應用系統登錄方式不統一、安全認證模式多樣、部分系統密碼強度不足等情況,嚴重影響企業信息數據的安全性和保密性,因此建立身份管理與認證系統,可以從根本上實現用戶身份認證,保證系統訪問的安全性。身份管理與認證系統由集中身份管理、統一認證和公共密鑰基礎設施三個模塊組成。
2.2.1集中身份管理模塊
集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式,對應用系統中的用戶身份信息進行匯總與清理,建立統一的用戶身份視圖,實現用戶實體與用戶身份信息的唯一對應。集中身份管理模塊固化對用戶身份的集中管理流程,包括與用戶身份管理相關的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類,從而設計出集中身份管理的功能模型,如圖1所示。
2.2.2統一認證模塊
統一認證模塊支持用戶身份的強認證,可對獲取權威的身份鑒別信息進行身份認證,包括用戶口令、用戶數字證書、數字證書撤銷列表等。通過對信息系統一般的身份認證流程進行分析,可以得到統一認證采用的身份信息和鑒別信息都來自于信息系統本身(或分散的目錄服務)。
2.2.3公共密鑰基礎設施模塊
公共密鑰基礎設施系統(PKI)由認證中心(CA)、密鑰管理中心(KMC)和證書注冊中心(RA)等三部分組成。認證中心采用商密SRQ-14數字證書認證產品和商密SJY-63密鑰管理產品,并可提供可信的第三方擔保功能,認證中心支持頒發證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息,利用PMI技術保證密鑰信息數據的安全。證書注冊中心可為用戶提供數字證書申請的注冊受理,用戶身份信息的審核,用戶數字證書的申請與下載,用戶數字證書的撤銷與更新等服務。
2.3網絡安全域系統設計
前大部分企業的內部網絡中均包含有非業務性質網絡,且網絡行為不受限,對內部應用系統的安全構成嚴重威脅。為構建安全可靠網絡架構,通過劃分網絡安全域,提高整體網絡的安全性。網絡安全域設計應包括互聯網與企業網之間、企業辦公網與生產網之間、關鍵應用系統與普通應用系統之間等三個層次的安全防護。本著“先邊界安全加固,后深入內部防護”的指導思想,本文僅對互聯網與企業網之間的安全域進行研究和探索,如圖2所示。
2.3.1安全防護模塊
安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備,主要是通過檢測過濾網絡上的數據包,保證內部網絡的安全。防火墻可以位于兩個或者多個網絡之間,是實施網絡之間訪問控制的一組組件的集合,通過制定安全策略后防火墻能夠限制被保護的內部網絡與外部網絡之間的信息訪問與交換。入侵檢測設備是防火墻的合理補充,一般該設備部署在內部網絡邊界。
2.3.2行為審計模塊
行為審計模塊可以提供網頁過濾技術、應用控制技術、外發信息審計技術等,可有效防止機密信息的外泄,避免不良信息的擴散,提高員工的工作效率,保障網絡資源合理使用,提高網絡可管理性。
2.3.3日志分析模塊
日志分析模塊基于Syslog標準協議,可以對不同設備、主機、應用系統進行日志綜合分析和集中展現;實現對報警信息的靈活配置和管理,同時提供靈活的報警規則配置、實時報警和歷史報警信息的綜合管理;基于設備、報警類別、日期等因素進行組合統計和報表,為管理人員提供直觀的統計信息和報表信息。
3關鍵技術
3.1準入控制技術
建立具有結構化、層次化的準入控制體系,針對計算機違規行為下發阻斷策略,確保接入內網的計算機符合企業信息安全方面的規定。主要方法共有兩種,一種是在互聯網出口處部署端點準人設備,強制所有接人互聯網桌面計算機安裝桌面安全軟件,另一種是使用虛擬隔離技術,制定訪問控制策略,針對不合規的桌面計算機下發阻斷策略,保證內部網絡安全。
3.2主動安全防范技術
主動安全防范技術包括病毒木馬探測和數字證書認證等,病毒木馬探測技術能夠強化桌面計算機實時防護功能,主動攔截病毒木馬,防范日常攻擊和未知安全威脅;數字證書認證技術能夠實現USBkey證書和Pin口令的雙因素認證方式,可以解決賬號權限安全管理問題。
4應用效果
在某企業部署的信息安全防御體系應用效果良好。累計查殺新型網絡病毒木馬560多萬個;強認證登錄100多萬次;抵御外部攻擊600多萬次,阻止訪問木馬釣魚網站5萬余次。
企業信息安全方案范文第3篇
關鍵詞:企業信息化;網絡管理;安全問題
前言
自中國加入世貿組織后,全球實行經濟一體化,信息資源對于企業的發展經營顯得十分重要,企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。對于企業進行信息化改革需要進行一些規劃性安排。其中包含有信息資源規劃,這主要是指企業生產經營過程中所需要掌握到的所有信息,從開始采集、處理一直到傳輸、使用全過程的一個整體規劃。企業在生產經營活動過程中,無時不刻都充斥著信息,信息資源與企業人、財、物資源同等重要,都是企業在經營環節中不可缺少的重要資源。而經過長期的發展,很多企業已經開始意識到企業信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。而對企業信息化安全的解決應該建立在人員管理的基礎之上,致力于整個企業網絡管理。
1企業信息化安全與網絡管理
1.1網絡集成應用系統安全
網絡集成應用系統根據不同企業的需求呈現不同的情況,一些企業中的網絡集成應用系統比較復雜。不能夠很精準的估計防御對象的規模以及價值,也不能簡單的對其加以標定界限,針對這種情況,就只能夠將網絡管理安全保障的工作分解開來。落實到具體的個人,采取一系列有效的措施如主動防御方式去進行。而網絡安全信息的防御是一個保障整體網絡信息安全的手段,其可預見性以及靈敏性等都為工作帶來便利,在面臨網絡空間可能帶來的威脅的同時,站在網絡管理者的角度上去思考,為企業網絡安全提供一定的保障。因此對于現代社會企業發展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人為主角的主動型安全防御。
1.2企業人員信息技術安全
企業信息化歸根到底也是人的參與,因此對于企業在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業在發展中的關鍵競爭力,企業對于人才的重視程度也在日益增加,而同時也要注重企業的管理。隨著時代的發展,信息化已經成為企業不可忽視的發展趨勢,當企業投入大量的資金和精力去培養人才進行信息化管理以及掌握信息化技術之后,更需要加強信息安全管理。目前是信息化時代,“信息”對于企業而言是十分重要的財富,企業信息系統中掌握著企業運行經營的大量資源和信息,而信息系統的一些安全隱患大部分來源于外界的侵擾,信息工作和管理人員個人的疏忽也容易導致信息的外泄,這將是對企業造成嚴重的損失。目前對于企業在信息化方面的標準有多種爭議,面對爭議我們首先要弄清楚企業目前處于什么樣的狀況,這些標準都是隨著技術水平的改進以及管理要求的變化而變化的,因此針對這些變化,企業需要針對自身的實際情況以及實際需求進行安全管理。
1.3網絡管理人員信息技術安全
企業信息化系統管理中最重要的一項安全指標就是信息技術方面的安全,面對高要求的安全管理,對于網絡安全管理人員的職業素養以及業務能力也相應提出了更高的要求。而企業信息化系統的網絡管理在實際的運行過程中必定會涉及到眾多的功能模塊,面臨企業信息化系統中的網絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網絡安全管理的基本功能,除此基本功能之外,網絡管理還包括有網絡規劃、網絡操作規范等,以下就來簡單分析介紹這些功能:(1)配置管理:網絡的配置管理要做到的是自動發現網絡拓補結構,構造和維護網絡系統的配置。時時的注意網絡中被管理監測的對象狀態,對網絡設置中的一些設備配置的語法進行檢測,對于配置進行嚴格的檢驗。(2)故障管理:在網絡運行過程中時刻的進行網絡有關事件的過濾和歸并,通過不間斷的檢測及時的發現在網絡管理以及操作過程中出現的一系列網絡故障問題,并根據實際問題情況尋找出有效的應對措施和建議,提供一定的排錯手段以及工具,逐漸形成一套完善的網絡故障預警和解決機制,從而減少故障給企業信息化系統帶來的危害和損失。(3)性能管理:性能管理是對網絡對象的性能方面數據進行收集、分析以及處理功能,通過分析和收集了解網絡在運行過程中的質量安全問題,同時掌握整個網絡運行體制中的運行狀態信息,為整個網絡的使用情況以及未來發展趨勢、狀況進行一個評估,為進一步的網絡規劃提供一定的參考價值。(4)安全管理:網絡信息的安全主要在于存儲在系統中的一些用戶信息資料以及企業內部的資料的泄露,加強安全管理無疑是要加強用戶的認證、訪問控制、數據傳輸以及存儲保密性和完整性,保障網絡系統本身的安全。維護系統日志,使系統的使用情況以及網絡對象的修改都有記錄和有數據可循。加強對網絡資源的訪問量的控制。例如有些企業在加強網絡安全管理方面為了盡量的減少不必要的漏洞,在配置管理中采用了VLAN的方式,這種方式就是將企業內部的不同部門都劃分為各個不同的虛擬網段,而針對不同部門的職員設置相應的權限,只有具有權限的職員才能進入某一個虛擬網段,沒有權限的用戶無法訪問其他網段。VLAN其實就相當于是一個計算機網絡,里面所有內容都由同一個網線連接著,但是其中的網絡又可以分為不同的部分和區域。由于該方式多是通過軟件來操作實施的,因此使其具備了更多的靈活性,而該手段的最大優勢在于提供了更多的管理控制,這相應的減少了很大一部分的管理費用,同時也提供了更多的配置靈活性。另外,在網絡管理中可以通過邊界的路由器來控制外來的用戶對網絡信息的訪問,從而可以有效的防止外來用戶對本企業網絡的侵入和攻擊。加之前文中有提到可以加強網絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理,及時發現可能存在的攻擊行為,及時發現網絡管理中存在的安全漏洞和安全隱患,從而更好的防患于未然。當然,在進行這些網絡安全管理手段操作中可以充分借助有關的管理網絡的軟件,為網絡管理人員提供有效的技術信息和保障,而且單一的軟件絕對滿足不了網絡安全管理的需求,需要根據實際情況綜合運用多種軟件形式,從而滿足不同方面和層次的需求,無論是加強網絡管理安全還是利用各種管理軟件首先必須要提高網絡管理人員的綜合素質,提升其職業素養和計算機應用水平,人員素質的提升以及相關管理硬件、軟件的配套,才能從根本上解決企業信息化管理以及網絡安全管理中的問題,提高其管理機制和管理水平。
2結束語
從本文中所闡述的眾多問題中可以總結出,無論是網絡集成應用系統的框架還是人員信息化和網絡管理者角度而言,企業信息化的安全問題主要集中在網絡管理方面。而對網絡進行管理的主體部分就是人員。因此加強網絡管理的安全問題要從人員自身方面的水平以及素質和網絡安全管理相關技術兩個方面著手,讓所有的網絡管理者在思想上意識到網絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新,這也是我們進行網絡管理的最終目的和有效保障。
參考文獻:
[1]林鵬,葉盛元.互聯網與信息化安全(三)[J].華南金融電腦,2006.
[2]曲璐.信息化安全在計算機管理中的運用探討[J].信息與電腦(理論版),2013.
企業信息安全方案范文第4篇
隨著信息化建設的快速發展,信息技術創新影響著人們的工作方式和生活習慣,網絡已成為信息傳播和知識共享的載體,提高了工作效率,促進了社會的發展和進步,但由于網絡環境的復雜性、多變性以及信息系統的脆弱性,決定了信息安全威脅的客觀存在。近年來,國內國外信息安全的事件層出不窮,計算機病毒和木馬仍然是最大的安全威脅,假冒用戶和主機身份進行不法活動或實施攻擊的現象逐漸增多,SQL注入、數據監聽、緩沖區溢出攻擊依然盛行,網絡釣魚和網絡欺詐日益嚴重,敏感數據外泄和盜取事件頻頻發生,信息安全形勢日趨嚴峻。因此,如何建立多層次的信息安全防護體系,如何保證企業信息安全,已成為各企業必須面對的重要問題。
2體系架構總體設計
針對企業中桌面計算機數量龐大、應用系統平臺多樣化、互聯網業務應用急劇增長,不合規計算機接入內網、互聯網違規訪問、系統賬戶盜用等行為無法管控,網絡黑客入侵、病毒木馬感染、信息數據竊取等問題,通過大量的分析調研,確定企業級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計,同時選擇成熟主流的安全產品,統一規劃設計桌面安全管理、身份管理與認證、網絡安全域劃分等功能系統,規范信息系統安全防護和審計標準,最大程度保證信息資源的可用性和安全性。
2.1桌面安全管理系統設計
桌面計算機是產生和存放重要信息的源頭,但桌面計算機往往是信息安全事件中最薄弱的環節,因此,為切實保證企業信息業務正常開展,保障個人信息數據安全,建立先進實用的桌面安全管理系統十分必要。該系統主要包括安全防范和后臺安全管理兩個模塊。
2.1.1安全防范功能模塊
安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略,查殺策略應定義為“隔離”;對于惡意商業應用程序,由于這類軟件只是一些廣告類的惡意重新,終止進程就可以解決問題的,安全風險程度不是很高,所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務檢測功能、啟用端口掃描檢測功能,以及自動禁止攻擊者的IP時間限定為600秒,避免出現由于大量攻擊行為而消耗計算機性能和網絡帶寬的情況發生,提高桌面計算機抵御惡意攻擊的能力。
2.1.2后臺管理模塊
區域管理器是后臺管理功能模塊重要組件,通過配置計算機IP范圍、區域管理器參數、設備掃描器參數,可對安裝探頭程序的桌面計算機進行管理。實現桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。
2.2身份管理與認證系統設計
當前應用系統已成為企業開展各項日常業務的重要平臺,但由于這些應用系統登錄方式不統一、安全認證模式多樣、部分系統密碼強度不足等情況,嚴重影響企業信息數據的安全性和保密性,因此建立身份管理與認證系統,可以從根本上實現用戶身份認證,保證系統訪問的安全性。身份管理與認證系統由集中身份管理、統一認證和公共密鑰基礎設施三個模塊組成。
2.2.1集中身份管理模塊
集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式,對應用系統中的用戶身份信息進行匯總與清理,建立統一的用戶身份視圖,實現用戶實體與用戶身份信息的唯一對應。集中身份管理模塊固化對用戶身份的集中管理流程,包括與用戶身份管理相關的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類,從而設計出集中身份管理的功能模型,如圖1所示。
2.2.2統一認證模塊
統一認證模塊支持用戶身份的強認證,可對獲取權威的身份鑒別信息進行身份認證,包括用戶口令、用戶數字證書、數字證書撤銷列表等。通過對信息系統一般的身份認證流程進行分析,可以得到統一認證采用的身份信息和鑒別信息都來自于信息系統本身(或分散的目錄服務)。
2.2.3公共密鑰基礎設施模塊
公共密鑰基礎設施系統(PKI)由認證中心(CA)、密鑰管理中心(KMC)和證書注冊中心(RA)等三部分組成。認證中心采用商密SRQ-14數字證書認證產品和商密SJY-63密鑰管理產品,并可提供可信的第三方擔保功能,認證中心支持頒發證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息,利用PMI技術保證密鑰信息數據的安全。證書注冊中心可為用戶提供數字證書申請的注冊受理,用戶身份信息的審核,用戶數字證書的申請與下載,用戶數字證書的撤銷與更新等服務。
2.3網絡安全域系統設計
當前大部分企業的內部網絡中均包含有非業務性質網絡,且網絡行為不受限,對內部應用系統的安全構成嚴重威脅。為構建安全可靠網絡架構,通過劃分網絡安全域,提高整體網絡的安全性。網絡安全域設計應包括互聯網與企業網之間、企業辦公網與生產網之間、關鍵應用系統與普通應用系統之間等三個層次的安全防護。本著“先邊界安全加固,后深入內部防護”的指導思想,本文僅對互聯網與企業網之間的安全域進行研究和探索,如圖2所示。
2.3.1安全防護模塊
安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備,主要是通過檢測過濾網絡上的數據包,保證內部網絡的安全。防火墻可以位于兩個或者多個網絡之間,是實施網絡之間訪問控制的一組組件的集合,通過制定安全策略后防火墻能夠限制被保護的內部網絡與外部網絡之間的信息訪問與交換。入侵檢測設備是防火墻的合理補充,一般該設備部署在內部網絡邊界。
2.3.2行為審計模塊
行為審計模塊可以提供網頁過濾技術、應用控制技術、外發信息審計技術等,可有效防止機密信息的外泄,避免不良信息的擴散,提高員工的工作效率,保障網絡資源合理使用,提高網絡可管理性。
2.3.3日志分析模塊
日志分析模塊基于Syslog標準協議,可以對不同設備、主機、應用系統進行日志綜合分析和集中展現;實現對報警信息的靈活配置和管理,同時提供靈活的報警規則配置、實時報警和歷史報警信息的綜合管理;基于設備、報警類別、日期等因素進行組合統計和報表,為管理人員提供直觀的統計信息和報表信息。
3關鍵技術
3.1準入控制技術建立具有結構化、層次化的準入控制體系,針對計算機違規行為下發阻斷策略,確保接入內網的計算機符合企業信息安全方面的規定。主要方法共有兩種,一種是在互聯網出口處部署端點準入設備,強制所有接入互聯網桌面計算機安裝桌面安全軟件,另一種是使用虛擬隔離技術,制定訪問控制策略,針對不合規的桌面計算機下發阻斷策略,保證內部網絡安全。3.2主動安全防范技術主動安全防范技術包括病毒木馬探測和數字證書認證等,病毒木馬探測技術能夠強化桌面計算機實時防護功能,主動攔截病毒木馬,防范日常攻擊和未知安全威脅;數字證書認證技術能夠實現USBkey證書和Pin口令的雙因素認證方式,可以解決賬號權限安全管理問題。
4應用效果
在某企業部署的信息安全防御體系應用效果良好。累計查殺新型網絡病毒木馬560多萬個;強認證登錄100多萬次;抵御外部攻擊600多萬次,阻止訪問木馬釣魚網站5萬余次。
5結束語
信息化的快速發展已為企業的生產經營活動帶來了極大的便捷,但同時各類安全性問題同樣值得引起我們的擔憂和注意,企業的信息化要想在以后得到長足的發展空間,就要及時地去解決當今出現的這些問題,并對其做出防治手段。本文從多角度對企業級信息安全防御體系構建進行了研究探索,并在企業級內部網絡環境下進行了實踐,但由于條件所限,未在移動無線網絡環境下進行深入研究,下一步將加大力量,加強這方面的探索實踐,希望可以對相關企業信息安全防御體系建設工作提供幫助。
作者:高先睿 單位:遼河油田公司
參考文獻:
[1]陳梅志.計算機網絡信息安全及其應對措施淺析[J].硅谷,2014,7(2):143-143.
[2]陳建平.基于工作過程的《計算機網絡安全》一體化課程開發及實施研究[D].華中師范大學,2014.
[3]京力煒,付愛英,盛鴻宇.防火墻技術標準教材[M].北京:北京理工大學出版社,2007.
企業信息安全方案范文第5篇
(一)技術手段實現
即利用一系列較為先進的管理硬件和軟件,提升信息安全防護水平目前一般電力企業采用的技術手段有:
1)防病毒技術。信息管理人員通過在防病毒服務器安裝殺毒軟件服務器端程序,在用戶終端安裝客戶端殺毒軟件,實現以防病毒服務器為核心,對客戶端殺毒軟件的統一管理,部署安全策略等。實現病毒庫的定時更新和定時對全網內計算機設備進行掃描和查殺,達到全系統、全網絡防毒的目的。
2)防火墻技術。防火墻是企業局域網到外網互聯的唯一出口,通過網絡防火墻,可以全面監視外網對內部網絡的訪問活動,并進行詳細的記錄,確保內網核心數據的安全性。通過對訪問策略控制,關閉與工作無關的端口,拒絕一切未經許可的服務。所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。
3)入侵檢測技術。入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
4)桌面管理系統。桌面管理系統方便信息安全管理員管理企業內部計算機的信息安全軟件。利用桌面管理系統,可以收集計算機臺賬信息與IP占用情況、分發漏洞補丁、實現對移動存儲管理,自動阻斷非法外聯、對弱口令賬戶進行掃描、對客戶端進行控制,強制性阻斷其聯網功能或進行遠程維護等功能。
5)虛擬局域網(VLAN)技術。基于ATM和以太網交換技術發展起來的VLAN技術,把傳統的基于廣播的局域網技術發展為面向連接的技術,從而賦予了網管系統限制虛擬網外的網絡節點與網內的通信,防止了基于網絡的監聽入侵。
(二)管理手段實現
做好網絡信息安全工作,除了采用上述的技術手段外,還必須建立安全管理機制。良好的管理有助于增強網絡信息的安全性,只有切實提高網絡意識,建立完善的管理制度,才能保證網絡信息的整體安全性。
1)通過全員培訓,提升員工信息安全水平。信息管理人員除了要制止員工的不安全操作,也應該告知員工要如何做。讓員工明白使用弱口令、不安全賬戶、隨意共享等對企業信息安全的危害,教育員工正確使用終端設備、重要備份數據、利用壓縮軟件加密等操作,從源頭入手,堵塞信息安全漏洞。
2)通過應急演練,提升面對信息安全事故的反應能力。突發事件應急演練是為了提高應對突發事件的綜合水平和應急處置能力,以防范信息系統風險為目的,建立統一指揮、協調有序的應急管理機制和相關協調機制,以落實和完善應急預案為基礎,全面加強信息系統應急管理工作,并制定有效的問責制度。堅持以預防為主,建立和完善信息系統突發事件風險防范體系,對可能導致突發事件的風險進行有效地識別、分析和控制,減少重大突發事件發生的可能性,加強應急處置隊伍建設,提供充分的資源保障,確保突發事件發生時反應快速、報告及時、措施得力操作準確,降低事件可能造成的損失。
3)通過管理制度,提升信息安全管理水平。信息安全需要制度化、規范化。把信息安全管理真正納入公司安全生產管理體系,并能夠得到有效運作,就必須使這項工作制度化、規范化。要制定出相應的管理制度。如建立用戶權限管理制度、口令保密制度、網絡與信息安全管理制度、上網行為規范制度等一系列的安全管理制度和規定,并強化考核力度,確保嚴格執行。
