企业网络安全建设方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业网络安全建设方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业网络安全建设方案范文第1篇
中图分类号:TP393
1 项目来源
重钢集团公司按照国家“管住增量、调整存量、上大压小、扶优汰劣”的原则,将重庆市淘汰落后产能、节能减排与重钢环保搬迁改造工程结合起来。随着重庆市经济和城市化快速发展,重庆钢铁(集团)有限责任公司拟退出主城区,进行环保搬迁。重钢环保搬迁新厂区位于长寿区江南镇,主要生产设施包括码头、原料场、焦化、烧结、高炉、炼钢、连铸、宽厚板轧机、热连轧机和各工艺配套设施以及全厂的公辅设施等,生产规模为630万吨。
2 系统目标
重钢股份公司在搬迁的长寿区建立了全新的信息化机房,结合自身实际,决定部署一套符合自身需要的信息化平台。整个平台包含:财务系统、人力资源管理系统、门户.OA系统、各产线的MES系统、以及企业的原料,物流系统等。
3 系统实现
重钢信息系统全由公司自主研发,服务器端采用:中间服务器操作系统win2003server+Oracle Developer6i Runtimes,数据库服务器:Unix Ware+ORACLE 10g。开发端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根据业务需求,公司统一按国家标准部署了装修一个中心机房,选择了核心数据库服务器小型机、其他小型机服务器、FC-SAN存储柜、SAN交换机,磁带库、PC服务器、网络安全管理设备,机柜、应用服务器软件、数据备份管理软件、UPS电源。等硬件基础设施对此系统项目进行集成。在信息化建设实施过程中,本人主要参与了整个系统项目集成方案设计和实施。
4 项目特点
4.1 网络设计
中心机房通过防火墙等网络设备提供网络互联、网络监测、流量控制、带宽保证、防入侵检测等技术,抗击各种非法攻击和干扰,保证网络安全可靠。同时网络建设选择了骨干线路采用16芯单模光纤,接入层线路采用8芯单模光纤,桌面线路采用六类非屏蔽网络线;光纤骨干线部分采用万兆+千兆光纤双链路连接,接入层光纤采用千兆链路接口至桌面。整个网络体系满足千兆以上数据传输及交换要求。
4.2 系统设计
本系统采用业界流行的三层架构,客户端,应用服务器层,后台数据库层。
4.2.1 应用层设计特点
在应用层选择上,重钢选择了citrix软件来实现企业的虚拟化云平台,原先安装在客户端的应用程序客户端程序安装在Citrix服务器上,客户端不再需要安装原有的Client端软件,Client端设备只需通过IE就可以进行访问。这样就把原先的C/S的应用立刻转化为B/S的访问形式,而且无需进行任何的开发和修改源代码的工作。同时使用Citrix的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。Citrix是通过自己的专利技术,把软件的计算逻辑和显示逻辑分开,这样客户端只需上传一些鼠标、键盘的命令,服务器接到命令之后进行计算,将计算完的结果传送给客户端,注意:Citrix所传送的不是数据流,而是将图像的变化部分经过压缩传给客户端,只有在客户端和服务器端才可以看到真实的数据,而中间层传输的只是代码,并且Citrix还对这些代码进行了加密。对于网络的需求,只需要10K~20K的带宽就可以满足需要,尤其是在ERP中收发邮件,经常遇到较大邮件,通常在窄带、无线网络条件下基本无法访问,但通过Citrix就可以很快打开邮件,进行文件的及时处理。
4.2.2 数据库层技术特点
在数据库层的选择上,重钢选择了oracle软件。利用oracle软件本身的技术特点,我们设计系统采用ORACLE RAC+DATAGUARD的部署方式。RAC技术是通过CPU共享和存储设备共享来实现多节点之间的无缝集群,用户提交的每一项任务被自动分配给集群中的多台机器执行,用户不必通过冗余的硬件来满足高可靠性要求。
RAC的优势在于:在Cluster、MPP体系结构中,实现一个共享数据库,支持并行处理,均分负载,保证故障时数据库的不间断运行;支持Shared Disk和Shared Nothing类型的体系结构;多个节点同时工作;节点均分负载。当RAC群组的一个A节点失效时,所有的用户会被重新链接到B节点,这一切对来说用户是完全透明的,从而实现数据库的高可用性。
Data Guard是Oracle公司提出的数据库容灾技术,它提供了一种管理、监测和自动运行的体系结构,用于创建和维护一个或多个备份数据库。与远程磁盘镜像技术的根本区别在于,Data Guard是在逻辑级,通过传输和运行数据库日志文件,来保持生产和备份数据库的数据一致性。一旦数据库因某种情况而不可用时,备份数据库将正常切换或故障切换为新的生产数据库,以达到无数据损失或最小化数据损失的目的,为业务系统提供持续的数据服务能力。
4.2.3 数据备份保护特点
备份软件采用HP Data Protector软件。HP Data Protector软件能够实现自动化的高性能备份与恢复,支持通过磁盘和磁带进行备份和恢复,并且没有距离限制,从而可实现24x7全天候业务连续性,并提高IT资源利用率。Data Protector软件的采购和部署成本比竞争对手低30-70%,能够帮助客户降低IT成本,提升运营效率。许可模式简单易懂,有助于降低复杂性。广泛的可扩展性和各种特性可以实现连续的备份和恢复,使您凭借一款产品即可支持业务增长。此外,该软件还能够与领先的HP StorageWorks磁盘和磁带产品系列以及其它异构存储基础设施完美集成。作为增长迅猛的惠普软件产品组合(包括存储资源管理、归档、复制和设备管理软件)的重要组成部分,Data Protector软件还能与HP BTO管理解决方案全面集成,使客户能够将数据保护作为整个IT服务的重要环节进行管理。该解决方案将软硬件和屡获殊荣的支持服务集于一身,借助快速安装、日常任务自动化以及易于使用等特性,Data Protector软件能够大大简化复杂的备份和恢复流程。借助集中的多站点管理,可以轻松实施多站点变更,实时适应不断变化的业务需求。
5 结束语
企业信息化平台系统集成不是简单的机器设备堆叠,需要根据企业自身使用软件特点,企业使用方式,选择合适的操作系统,应用软件作为企业生产软件部署的基础,另外要合理利用各软件提供的技术方式,对系统的稳定性,安全性,冗余性进行部署,从而达到高可用和可扩展的整体系统平台。
参考文献:
[1]肖建国.《信息化规划方法论》.
[2]雷万云.信息化与信息管理实践之道[M].北京:清华大学出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
[4]周金银.《企业架构》.
企业网络安全建设方案范文第2篇
数据显示,截至2020年3月,我国43.6%的网民过去半年上网过程中遇到过网络安全问题,其中遭遇个人信息泄露问题占比最高。另有数据显示,以银行为代表的金融机构面临的风险成本最为高昂。
完备的法律无疑是数据安全的最强大屏障。目前,我国网络安全相关法律正在加紧制定。除了《民法总则》规定了对个人信息和数据进行保护外,近年来,我国还出台了《网络安全法》,该法于2017年6月1日起正式施行,是我国第一部全面规范网络空间安全管理方面的基础性法律,以此为基础的《个人信息保护法》(尚在制订中)、《数据安全法》(9月1日施行)等专项法规将陆续实施。
防范和降低网络风险,除了立法制约,还有什么方式和手段?随着数字经济的发展,欧美等国家已充分认识到防范网络安全风险的重要性,随着认识的逐渐成熟,相应的网络安全保险发展迅速。作为风险损失分摊的有效工具,网络安全保险可帮助企业转移潜在的不确定风险。欧美的成熟市场已将网络安全保险产品作为重要的风险管理手段,通过保险产品来分散和转移残余风险,补偿被保险人因网络安全事件所引发的重大经济损失,为涉事方提供恢复和补偿机制,协助其恢复正常运营,提高抵御网络安全事件的“韧性”。
相比国外较为成熟的网络安全保险市场,我国网络安全保险市场仍处于起步阶段。目前国内有人保、国寿、平安、太保在内的大型保险公司和一些再保险公司能够提供网络安全保险的相关产品和承保能力。52021年是“十四五”规划的开局之年,无论是国家还是地方,都在助推数字化转型中的网络安全建设,由此来看,网络安全保险的市场空间巨大。根据慕尼黑再保险的预计,到2025年,全球网络安全保险市场规模将达到约200亿美元。
网络安全保险是对网络空间的不确定性进行承保,保险公司承保前十分注重核保风险评估,这一过程需要大量的准备工作,以此来决定是否承保,并制定合理的价格。在此背景下,如果投保企业想要获得承保资格,以及更优惠的价格,就必须实施有效的网络安全措施。例如被保险人的组织架构、制度体系、技术措施等,这也进一步促使企业重视“内生安全”,全方面提高企业网络风险防范水平,助力企业网络安全建设。
网络安全保险不仅仅是保险公司提供的一个简单的保险产品,还需要提供相应的服务与之匹配。在国外,保险公司会根据投保企业的网络安全风险管理需求,为其提供一揽子、全周期管理方案,包括承保后的风险管理服务,险情出现后的应急响应服务,以及日常网络安全维护等服务。
我国网络安全保险市场尚未成熟,保险公司若仅凭自身资源,无力闭环防范网络风险,更缺乏基于大数据的风险模型设定与资源匹配的行业指导及规范。因此,往往需要再保险公司和科技公司介入,在数据积累、资源整合、技术研发等多方面发挥优势。
企业网络安全建设方案范文第3篇
关键词:企业信息安全;网络安全;计算机网络;防火墙;防病毒
网络的普及和蔓延已经深入到日常生活的方方面面,一个不能忽略的问题也伴随着网络的普及渗入到人们的生活中,那就是网络安全问题。2017年5月一种名为“WannaCry”的勒索病毒全球范围内爆发,传播速度之快已经对全球网络安全构成了严重威胁。据权威机构研究显示,中国每年遭受600亿美元的网络损失,位居亚洲第一。目前在国内,网络安全威胁的行业范畴众多,如教育、医疗、企业、电力、能源、交通、政府等组织及机构均是网络安全的保障范围。
现阶段的网络安全已经不是单个组织、单一个人的防范行为,而是随着整个社会对信息安全的意识的觉醒形成的一个完整的网络安全产业。随着企业网络安全意识的提高,网络安全市场的规模也在逐年增长,伴随的安全产品和安全解决方案也是层出不穷,作为一般企业如何结合企业自身需求建立完善的网络安全策略,形成一个符合自身情况的网络安全方案是本文要讨论的重点。
1网络安全概述
随着网络技术的普及和蔓延,越来越多的企业都开始通过网络技术构建企业内部的信息平台,将企业的业务数据信息化以提升企业的综合实力,借助网络技术加速企业的发展在行业内取得技术上对的领先优势。其业务运营越来越依赖于对计算机应用系统,而计算机应用系统是建立在完善的技术网络环境中的。随着计算机网络规模不断扩大,网络结构日益复杂,对计算机网络的运维水平有着较大的挑战。而近年来的网络攻击事件频出,企业的信息安全防范意识也提高到了日常运维的日程中来了。从网络安全的管控模型来分析,网络安全一般采用动态的防御过程,一般要在安全事件发生的前、中和后均采用合理的技术方案,而网络安全管理流程则会在整个网络运营流程中起作用。企业的网络管理人员已经将网络安全纳入企业的IT规划发展的整体范畴,全面覆盖企业信息平台的各个层面,对整个网络及应用的安全防范通盘考虑。
从网络安全的发展历程来说,是由于网络自身的发展引发的安全问题才使得网络安全技术诞生了,目前而言有网络的地方就存在网络安全隐患。像黑客攻击、病毒入侵之类的网络安全事件,都是利用计算机网络作为主要的传播途径,其时间的发生频率可以说和信息的传播速度一样快,这也是网络安全的特点之一。除此之外,像非法用户的访问和操作,用户信息的非法截取和更改,恶意软件入侵和攻击等都是现今普遍存在于计算机网络的安全事件。显然,其所带来的危害也是让每一位计算机用户有着深刻的体会,例如:因为某种病毒让操作系统运行不稳定,导致文件系统中的数据损坏无法访问和读写,甚至导致磁盘、计算机、网络等硬件的损坏,造成极大的经济损失。
由于企业的网络环境建设过程一般历经了数年甚至数十年,网络中接人的设备数量和种类众多,网络中的应用和内部系统也繁多。再加上,一般要求企业的网络运行是7*24小时不间断作业运行,其产生的数据往往巨大,其中不乏大量的敏感信息。这样的网络环境,必然给恶意代码、病毒程序、网络攻击等恶意的攻击事件留下了隐患,可以毫不客气地说企业的网络环境往往是危机四伏。
2网络安全实践
2.1网络安全误区案例分析
目前针对网络安全事件频繁发作,不少企业采购了相关的安全产品并配合了相关的安全措施,但是缺乏对网络安全框架的理解存在不少误区,主要有以下几个方面。
1)部署网络防火墙就万事大吉了
防火墙主要原理是过滤封包与控制存取,因此对非法存取与篡改封包及DoS攻击等网络攻击模式是极其有效的,对于网络隔离和周边的安全防护效果明显。显然如果攻击行为绕开防火墙,或是将应用层的攻击程序隐藏在正常的封包内,防火墙就失效了,这是由于大多数防火墙是工作在W络层,并且其原理是“防外不防内”,对内部网络的访问不进行任何处理,显然这种原理就成为了安全隐患和漏洞。
2)定期更新杀毒软件就能够保护系统不受病毒侵扰
显然安装杀毒软件是避免系统被病毒破坏的主要手段之一,但是这仅仅只能对已知病毒进行查杀,对于未知病毒显然缺乏事先预防的能力。
3)病毒只会在万维网中传播
虽然目前万维网是病毒传播的主要途径,但是对于企业内部网络可能会通过u盘、刻录光盘、邮件、企业协同系统等从外部带人病毒,因此只要计算机运行了,就要需要做好防范病毒措施。
4)为了避免病毒感染只要设置文件属性为只读即可
通常操作系统的shell调用可以提供将文件的读写属性设置为只读,但是对于黑客来说完全可以用程序做反向操作,即将文件属性改为读写,并可以接管文件的控制权。
5)将敏感信息隔离于企业门户之外
不少企业都采用了网络隔离装置,控制外部对企业内部网络的访问,甚至完全隔离任何数据的读写均禁止。但是对于内部的安全管理疏于防范,导致某些账户或权限被外部窃取,最后网络敏感数据从内部流出,甚至导致内部网络瘫痪,系统无法正常运行。
显然上述误区都是因为网络管理员的思想局限在某些单一的网络场景导致的,缺乏全局的网络安全意识和合理的网络安全规划策略的指导。
2.2案例分析
针对上述误区,本文将以一个虚拟的公司网络环境展开案例分析,设计一个全局的网络防范框架。一般企业网络按服务器类型划分包括:AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器等服务器。按职能部门划分包括:经理办公室、市场部、财政部、系统集成部、软件部以及前台接待部,一般各部门的网络会做隔离,另外对于财务部的网络只有经理办公室有权限访问其他部门不能访问,而前台接待部的网络作为企业门户不能访问公司内部网络,只能通过外网访问。
根据上述基本网络需求,在网络安全架构设计上还应考虑Intemet的安全性,以及网络隐私及专有性等一些因素,如NAT、VPN等。综合分析,一个完整的企业网络安全建设需求应该包括如下建设需求:1)网络基础设施建设;21网络基础的连通即访问规划;3)信息的访问控制;4)全网网络安全管理需求;5)各层次的网络攻防控制;6)各层次应用及系统的病毒防范;7)企业内部的跨部门的信息安全;8)敏感信息及网络安全控制。
根据上述基本网络需求,可以建立一个如图1所示的网络拓扑结构。
上图中的拓扑结构满足一般性的企业网络环境,包括服务器网络及网络隔离,各个职能部门的网络、计算机及办公设备,以及防范外部的防火墙设备,还包括各个层次的网络交换机等网络设备。
一般性的场景是根据图1中的网络拓扑设计,根据企业的实际网络规划考虑企业网络建设的安全需求,在网络建设的基础上进行安全改造,目的是保证企业各种设计信息的安全性,提高企业网络系统运行的稳定性,避免设计文档、图纸的外泄和丢失。对于客户端的计算机的保护一般是通过软件或安全流程进行保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。一般采用以下安全手段:1)在现有网络中加入网络安全设备设施;2)lP地址规划及管理;3)安装防火墙体系;4)划分VLAN控制内网安全;5)建立VPN(虚拟专用网络)确保数据安全;6)提供网络杀毒服务器;7)加强企业对网络资源的管理;8)做好访问控制权限配置;9)做好对网络设备访问的权限。
一般情况下在企业的网络环境中,会由ISP供应商提供公网的人口,而本文的重点为安全问题,因此采用虚拟的公网入口。目前IPv6技术还不是很成熟,IPv4地址依旧广泛应用于企业内部网络,因此公司内部使用IPv4的私有地址网段,假设公司内部共拥有800部终端,所以由172.28.0.0/22网络段划分,ip地址和VLAN规划如下表1。
根据上表1的规划依旧满足了连通性和VLAN的控制划分,在图1中的规划建立经理办公室和财务部的VPN就保证了隔离性。再在服务器集群中安装专门的防病毒服务器,监管所有计算机的防病毒程序,防止病毒人侵。根据一般安全权限控制还需建立专用的AAA服务器,保证认证(Authentication):、授权(Authorization)和审计(Accounting)。最后,图l中IDS(IntrusionDetection Systems)即“入侵检测系统”,用户可以根据企业安全需求设置一组安全策略,IDS可以对网络中的计算C、软件、磁盘、网络等新设备监控运行状态,根据运行状态预测各种网络攻击事件,从而起到网络安全的防范作用,IDS也是根据安监事件的事前、事中和事后的动态过程设计的模型。
企业网络安全建设方案范文第4篇
此外,瑞星在2012年7月的信息安全报告显示,感染型病毒仍普遍存在于国内企业网络中,严重影响企业办公效率。同时,由员工网络操作不当造成的黑客入侵、商业机密泄露也威胁着企业的生存和发展。
B/S+C/S混合架构
随着企业不断壮大、业务量增加,企业网络环境也日渐复杂:终端多,增速快,分布在全国甚至在全球各地;企业内部存在大量异构网络,IT运维面临桌面终端无法可视化和可管理化的难题。
以往的安全解决方案多采用B/S或C/S单一架构。C/S架构的优点是容易开发,操作简单,但应用程序升级和客户端维护麻烦,运维工作量大。近年来,一线安全厂商出于便捷管理的需要,大都采用B/S架构,通过外部网络也可以对系统进行维护,并且能够降低了成本。但B/S架构难以做到实时性,IT人员下发的安全策略难以尽快部署完毕。瑞星安全专家唐威表示,这是因为B/S架构不能实现在网络上直接检测和接收指令。
单一的B/S或C/S架构都难以应对复杂的网络环境,满足用户的多样化需求。为此,瑞星近日了瑞星企业终端安全管理系统,创新性地采用B/S+C/S混合架构,以帮助企业应对复杂的网络环境。“混合架构的好处在于既容易操作,又具有灵活性、伸缩性和实时性。”唐威称,“瑞星企业终端安全管理系统的定位是平台化的系统,其设计理念是整合B/S和C/S架构的优势,在不打破用户习惯的前提下,根据用户的个性化需求,将公司的Web体系和OA系统整合,集成到行业管理平台中。”按照唐威的解释,该系统通过混合架构对企业网络进行一体化管理,并且可以实时部署安全策略。
混合架构之所以能实现复杂网络环境的安全管理,得益于瑞星的一项自主研发的核心技术——网络通信中间件。“如果使用第三方或开源的通信中间件,在可靠性方面会存在问题。瑞星自主开发使得效率提升和安全性都能得到保证。”瑞星研发部产品经理盛颖表示,IT人员部署安全策略之后很快就能得到反馈结果,这在很大程度上提升了用户体验。
内外网管理一体化
对于怎样完善内网安全策略,企业并没有一个明确的思路。企业甚至不知道该从哪里着手。企业已经意识到制定完善的安全策略的重要性,但是仍有疏漏。企业的网络安全建设落后,不同品牌和功能的信息安全设备被杂乱无章地堆叠在企业网络中,不但兼容性差,还容易造成企业网络拥堵,降低办公效率。对此,瑞星研发部产品经理盛颖在接受本报记者采访时表示:“内网安全解决方案已经不只是简单地做好内网安全,而是应该包括外网安全并向整个网络安全解决方案发展。安全厂商必须提供一揽子方案,而不是让用户自己拼凑出一个安全系统。”
瑞星企业终端安全管理系统分为管理和维护两大部分。在内网管理上,该系统囊括了内网安全管理、客户端行为审计、即时通信管理和审计、客户端漏洞扫描和补丁管理等功能。用户可以通过可视化界面对企业内网客户端的使用情况和网络访问情况进行全面的管理和审计。在内网和外网统一管理方面,该系统加入了IT资产管理功能,使管理员能够在全网范围内对软硬件的异常情况一览无遗。同时,为了应对不同规模和行业的用户对安全的差异化需求,瑞星企业终端安全管理系统采用模块化设计,企业可以根据自身情况定制相应功能模块,并且可以在瑞星在线商城购买和升级。
企业网络安全建设方案范文第5篇
关键词:信息安全;安全风险;风险防控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-03
随着大型企业信息化建设的逐步深入,对信息系统的依赖程度不断提高,信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成,信息化水平不断提高,信息系统对业务的支撑作用更加明显,迫切需要提高信息安全保障能力,保证网络基础设施与信息系统的安全、可靠运行。
为了加强大型企业信息系统的安全防护,按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议,本文对信息系统进行风险评估,确定系统缺陷和安全需求,提出整改建议,为大型企业整体信息安全解决方案提供基础资料和有力依据;结合国家关于信息系统安全等级保护的相关要求,评价已有信息安全建设的适当性、合规性,分析所面临的威胁、影响和脆弱性及其发生的可能性,最终得出所面临的风险,并提出整改建议,为大型企业信息安全战略发展提供参考。
一、大型企业信息安全面临的风险
(一)风险概述
安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全风险是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。
(二)威胁类别
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全风险来源如下。
对安全风险进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
二、信息安全风险防控
(一)信息安全风险防控思路
根据大型企业目前信息安全工作的现状,为了充分的利用现有资源、节约成本,并能够有效的对信息资产进行充分保障,我们提出“集中管控、纵深防御”二点方针:
1.集中管控:减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加,网络拓扑日益复杂,如能对安全设施进行集中管理,控制安全边界将能够有效地降低安全成本;
2.纵深防御:现有的任何防护措施都不能完全保证信息系统不发生安全事件,通过多级的安全防御部署,能够在出现未知漏洞外层防御措施失效后,控制安全事件造成的影响,减少损失。
基于以上两个观点,结合大型企业信息安全的现状,制定如下思路:
由于大型企业的网络复杂庞大,在未来的网络安全建设上建议采取大面上封堵,重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式;重点防御是指采用用户集中通过统一平台访问的方式实现业务应用,然后重点做好统一平台的安全防御工作;
在上述大思路的指导下,未来的网络安全建设还需要重点做好数据中心的网络安全防护工作,即不仅要防止由于服务端口开放带来安全风险,还应该重点防御深度注入web应用类型病毒所带来的安全风险,因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。
(二)信息安全风险防控蓝图
本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议,如图所示:
大型企业信息安全建设规划蓝图
(三)信息安全风险防控措施
信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想,但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面:
1.单点故障:核心链路的各种网络设备往往为单台设备运行,诸如核心交换机、路由器以及防火墙等,一旦出现故障,将对网络的可用性造成严重影响,直接影响内外网间的访问,建议增加核心链路的设备数量,考虑进行双机热备。
2.边界控制:从网络整体来看,如果互联网出口数量较多,一旦发生来自网络外部的安全事件,判断和溯源难度大,管理分析成本较高,需要对企业网络的互联网边界适当管控,关闭或对互联网出口增加监管;
3.VLAN隔离:在服务器机房中存放的服务器主机的资产重要程度是不同的,部分主机所有互联网用户可以访问(如:门户网站),部分主机只有内部人员或内部部分人员可以访问(如:OA、ERP等)如果这些主机都划分在同一VLAN中,一旦任意主机出现安全事件,很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同,系统应用耦合度小的主机间进行网段或其他方式的隔离,降低影响。同时通过隔离,一旦出现病毒、蠕虫等恶意代码,也能够方便管理人员排错和修复,提高网络管理效率。
三、结论和建议
(一)建立事前预警机制
