内网信息安全管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇内网信息安全管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
内网信息安全管理范文第1篇
内网的安全风险
目前,整个信息安全状况存在日趋复杂和混乱的趋向:误报率增大,安全投入不断增加,维护与管理更加复杂和难以实施、信息系统使用效率大大降低,对新的攻击入侵毫无防御能力,尤其是对内部没有重视防范。
据美国FBI统计,83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。从这一数字可见,内网安全的重要性不容忽视。据公安部最新统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。
中国科学院研究生院信息安全国家重点实验室赵战生教授表示,目前我国信息与网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
“当前的信息与网络安全研究,处于忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”
2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购即将开始,2008年则被普遍视为等级保护采购元年。
等级保护政策是信息安全保障的主要环节。在等级保护解决方案中,内网安全产品主要作用是对终端进行防护。
内网是核心
“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。
内网安全理论的提出主要基于两个根本要素,一是企事业单位业务工作的高度信息化,二是内网中主机数量的大量增加。由此可见,内网安全从其诞生之日起,对主机系统安全的关注就从来没有忽略过,采用了包括身份认证、授权管理和系统保护等手段对主机进行了多方面的防护。这与等级保护的思想也是相一致的。
鼎普科技股份有限公司总经理于晴认为,大多数用户网络拓扑结构相似,用户对网络的安全管理比较一致,但由于用户使用习惯的不同,对终端的管理则千差万别。
于晴认为,内网安全领域的关键技术主要有内部网络接入、桌面安全管理和内网安全审计等。这些本质上的问题,应该从系统层面来解决,以信息安全等级保护为基础。内部网络接入基于等级保护技术,分别从终端自身的安全性评估,到网络地址的合法性,让信息系统“对号入座”。桌面安全管理侧重于桌面使用者的行为安全,对终端用户的电脑行为进行监控、管理与控制,来保障终端的安全。内网安全审计从主机和网络两个方面对网络数据和系统操作进行记录和恢复,强调出现问题后的案情追溯。
内网信息安全管理范文第2篇
关键词:信息安全管理;网络安全;风险评估
中图分类号:TP393.08
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
[3]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
内网信息安全管理范文第3篇
大量的证据表明,相对于那些由外部发起的恶意攻击,一些产生自内部网络的事件给用户带来了更严重的损失。
2003年美国CSI/FBI公布的计算机犯罪与安全调查报告带给业内很大的触动,该报告显示八成以上的计算机犯罪行为都与内部人员有相当的关联。排除那些内外勾结的计算机犯罪行为,由内部人员的疏忽和误用所造成的损失也占了相当大的比例。
既然如此,那么为什么媒体上曝光的有关计算机犯罪的报道都集中于骇客群体制造的网络攻击呢?
这里主要的一个原因就是计算机犯罪的受害者通常都不愿意承认这些事件与内部的问题有关,这些信息会极大的降低组织声誉。
另外,内部的安全隐患和管理不善往往是具有全局性和普遍性的问题,颇有无从说起之感。所以与网络攻击、病毒浪潮这些为大众所关注的事件相比,内部网络安全仍旧处于一个相对不受关注的位置。就好似冰山被埋在水下的部分,潜藏并时刻威胁着企业组织的金钱和资源。
正是由于面临着如此的困境和威胁,近年来安全产业中有关注重内网安全的呼声越来越高。很多安全专家纷纷呼吁:在重视以网关式产品为主要形式的边界防御的同时,也要有效的对内部网络进行更好的安全管理,以达到网络的整体安全性。
图1 内网安全架构的概念模型
内网安全和边界式防御并不是冲突的概念,如果一个网络中具有明显的安全问题,可能再好的网关式防火墙也无法保障将攻击者拦截在外。因此,清晰的认识内网安全的范畴和组成有助于更好的评估和应用内网安全解决方案。
粗略的划分,内网安全问题主要集中于四个方面:系统安全、网络安全、数据安全和安全管理。
系统安全
系统安全主要用于界定单个计算机或设备节点的安全问题,保障所有系统的安全是建立安全系统的基础。
“木桶上最短的一块木板决定了桶能装的水量”,这就是信息安全领域人人皆知的“木桶理论”。如果某个系统具有较低的安全性,那么与该系统处于同一网络中的其它系统同样会因此面临安全威胁。恶意攻击者一旦获取了内部网络中一台系统的访问权,就相当于获得了代表合法用户的通行证,余下的破坏行为将简单得多。
在保障系统安全方面,常见而必要的工作包括系统加固、补丁管理、配置管理等等。在处理这些工作的时候,应用系统的安全问题也要获得充分的考虑。只是在硬件层面以及操作系统层面进行系统安全管理并不是系统安全的全部工作,一些应用程序的漏洞也能够造成与操作系统漏洞同样严重的结果,每个系统节点上运行的应用也需要以同样的规格获得处理。由于计算环境并不是恒久不变的,所以能够在动态的环境中良好的完成这些工作才能有效的保障系统安全。
网络安全
相对于系统安全,网络安全主要涵盖了节点之间的安全问题。在很多安全体系当中都会将通信安全做为很重要的部分独立出来,而网络安全的范畴还要比通信安全更加广泛一些。
通讯安全领域主要关注的是网络的拓扑结构、所使用的网络协议、所使用的网络设备以及执行的网络服务等等(如图2)。这些因素都会在很大程度上影响内网安全性,例如逻辑星型网络和逻辑环形网络在处理的时候就会有较大的不同,而IP协议的问题也和IPX协议非常不同。
除了这些问题之外,网络安全部分还应该包括访问控制方面的问题。目前的访问控制管理主要着眼于通过认证和授权等操作,保障信息在使用过程中的保密性、完整性和可用性。访问控制可以赋予网络中所有系统相应的角色和权限,从而使网络节点之间的信息访问受到妥善的管理,在通信安全的基础上进一步保障多个节点之间的信息安全。
数据安全
数据是信息化的核心要素,也是信息资产的直接体现。任何计算机中的数据都有价值,只是价值的高低不同,所以数据备份是数据安全范畴的最基本问题。
无论是什么样的计算环境,都应该制订相应的备份计划和策略以保障数据不被盗取、破坏和非法使用,这样才能使用户的权益得到保护。随着信息化设施对用户的重要性不断增强,当今的数据备份已经不再局限于制作数据的副本这样简单的层次,而是发展成为涵盖了数据可用性的更加全面的数据管理方案。
在一些高端的应用环境中,数据安全更多的被包含在业务连续性计划这样的整体性规划当中。另外一种比较主要的数据保护手段就是加密,高强度的加密结合有计划的密钥管理可以提供具有极高可靠性的数据安全环境。事实上,加密已经成为渗透到各个功能层次中的极为重要的信息保护手段。
安全管理
与以上所列的三个方面相比,安全管理更多的集中于抽象层次的内容,即着眼于整个内网环境的管理规划和执行。可以说,安全管理既是独立于内网安全其它范畴的存在,又与每个范畴具有生生相息、不可分割的关系。
安全管理所围绕的中心是安全策略,实际上安全策略也是所有信息安全实践当中的纲领。内网安全策略中包含了针对具体需求所产生出来的计划、方法以及示例,从较高的层面统合整个内网安全管理。除此之外,内网安全策略中还应包含很多规范性内容,例如所适用的范畴以及例外等等。
这种划分方式并不一定能够完美的容纳内网安全的所有要素,例如物理安全、安全教育等许多非常重要的部分都没有显示的在这种划分下获得体现,但是这种划分方法确实能够较为清晰和系统的包容内网安全的绝大部分要素,并有效用于内网安全的规划和认知。
由于系统安全和网络安全部分可以很好的涵盖内部网络中的计算设施,所以将物理安全这样的问题分别在这两个分类中体现也是相当直观的,而安全教育方面的内容也可以在安全管理部分进行规定。
内网安全走出边界
当前的内网安全管理正在从认识的普及走向产品的普及,已经有越来越多的用户认识到内网安全在整个信息安全体系当中的重要地位。
内网信息安全管理范文第4篇
公司秉承服务与创新精神,依托专业人才团队,建立了完善的科研、生产、销售、实施、服务管理体系,为用户提供从项目咨询、需求分析、方案制定到产品实施、优化、培训、支持等一整套的专业服务;公司重信誉、重品质、重服务,先后获得了众多资质与认证,已经拥有微软等众多高级合作伙伴。
作为专注于信息安全领域的专业研发企业,信安宝在入网管理、网络安全、文档安全、文档透明加密、云加密技术、客户端防护、打印安全与管理、整体数据防泄漏防护(DLP)等应用方向拥有国际领先的科技,产品完全拥有自主知识产权,并有众多创新和专有技术,信安之星系列产品是聚几十位专家工程师十余年研发之力而成就的完整信息安全解决方案,有数以千计的用户应用积累以及实施经验,为广大用户提供全方位的、可靠的信息安全屏障。
信安之星(iSecStar)内网管理系统(企业版、高级版、入网管理版、文档加密版、定制版)是多功能多应用的内网管理系统,主要满足十大内网管理需要:入网管理、上网管理、文档防护、U盘管理、打印管理、补丁更新、行为管理、桌面管理、设备管理、系统运维,另外还有资产管理、网络防护、高级拓展功能等,全面解决办公网络关联的安全、防护、管理、监控、运维等问题。
信安之星(iSecStar)打印管理系统(企业版、高级版)满足当前重安全,控成本、信息化、移动、集约办公管理需要的新一代打印监控管理系统。
信安之星(iSecStar)U盘安全管理系统(企业版、高级版)是专业用来规范企业或组织内的U盘使用,保护U盘及数据安全的软件系统。
信安之星(iSecStar)云加密系统(企业版、高级版)在“文档安全管理系统”基础上,集成了虚拟加密技术,独创VirTunnel、VirMTNet、VirMTLocal等技术,是国内外领先的云加密解决方案,它主要应用于文档云加密安全系统、数据云加密安全系统。
内网信息安全管理范文第5篇
关键词:信息;安全;问题;对策
随着应用系统数据集中、资源整合工作进一步深入,基层国税机关日常要输入、传输大量的重要数据,在网络安全事件频发的今天,税务网络的安全也同样面临着严峻的挑战。
一、信息安全面临的问题
(一)信息安全教育和安全管理松懈,信息安全观念淡薄,保密意识不强。不少操作人员普遍认为只要有了杀毒软件,有了网络防火墙,内网电脑不上因特网,不使用移动存储介质,就不用担心自己的电脑会出现什么安全问题,觉得黑客、病毒离自己很遥远。由于操作者普遍没有危机感,造成各类安全管理制度执行不到位,对信息保密技术的运用持“无所谓态度”,这实际已经构成信息安全的最大隐患。
(二)安全保密制度落实不到位。笔者曾对所在单位公文处理系统空密码进行扫描,在109位用户中发现34位用户密码为空,占31%,如果加上弱口令,这个比率应该会更高。由于大部分应用系统的数据集中在省、市局,县局无法通过技术手段批量筛选出弱口令、空口令账户。笔者以为,全省弱口令、空口令用户应该不在少数。此外,诸如涉密文档不加密存储、不按规定销毁涉密文档等现象也普遍存在。
(三)移动存储介质管理存在较大安全隐患。不少税收管理员为方便工作,也会要求企业报送的部分报表均通过U盘或电子信箱传递。如此一来,U盘内外网混用就不可避免。现在提倡使用摆渡机,就是一台既不联外网也不联内网的电脑,从外网下载了资料后先拷到摆渡机上并查毒,然后将摆渡机上的资料保存到U盘或移动硬盘再拷到内网,但这种方法一方面十分繁琐,遇到时间紧张的情况就难以做到。另一方面也不能保证万无一失,因为不能保证摆渡机的彻底干净。
(四)违规登陆因特网无法及时发现。虽然实行内、外网物理隔离,但是违规通过无线网卡、宽带拔号私自上因特网的现象依然存在。部分操作人员错误的以为拔下内网网线,然后上因特网就实现了物理隔离。殊不知,在上外网的过程中,如果浏览了带木马的网页或运行了带病毒的软件,木马、病毒就会植入个人电脑,当插上内网网线,木马程序或病毒就会在整个网络中传播。
(五)瑞星病毒库、上游补丁服务器更新补丁滞后,杀毒软件实时监控功能效果有限。由于病毒库更新、补丁下发的滞后性,税务内网的病毒、木马有时不能得到及时发现并清除。笔者所在单位就曾发现Worm.Win32.MS08-067.d病毒,通过瑞星杀毒软件反复查杀均不能彻底清除,最后只能手工清除。据省局信息中心2008年统计,全省共查杀病毒2740536个,入侵事件236900件,形势不容乐观。
(六)缺少计算机安全策略设置。大部分计算机没有设置过本地安全策略,为图方便,大部分用户使用空口令登陆Windows。使用口令的用户,在密码复杂性、长度、更换周期方面也远远达不到安全的需要。基层单位电脑使用的操作系统一般采用默认安装,开放了所有端口,为病毒、木马入侵留下了窗口。
二、加强信息安全的对策
(一)加强信息安全宣传,树立信息安全理念。采取举办信息安全专题培训班、开辟信息安全宣传园地等多种形式进行信息安全宣传,使广大税务干部职工树立正确的安全意识、法律意识并初步掌握必备的安全技能。帮助干部牢固树立“防胜于治”的安全理念,克服麻痹思想和侥幸心理。要高度重视系统口令的重要性,省市局可以通过后台定期对空口令弱口令扫描,并将结果下发给各县局,由县局督促相关人员做好口令安全工作。
(二)加强制度落实的执行力,降低信息安全风险。大多数安全事件的发生和安全隐患的存在与其说是技术上的原因,不如说是管理上的原因。国内已经发生的许多计算机安全事件,包括计算机犯罪,技术手段并不怎么高明,主要是由于钻了管理上的漏洞。管理的关键在于人员管理,因为各种安全措施要靠人来实施,另一方面,有相当多的安全隐患出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员的教育和管理。
(三)严格按规定使用移动存储介质。通过北信源桌面防护系统控制U盘使用节点,确实因工作需要使用USB接口的电脑,必须先进行病毒查杀,在确保安全的情况下方可使用。
(四)强化信息安全管理可控能力。鉴于信息系统的复杂性和使用行为的多样性,光靠技术手段是不能完全奏效的,必须要动用管理可控手段,双管齐下,所以信息安全的对策是技术与管理手段并用。加强日常网络检查,严格执行内外网物理隔离相关制度。建立必要的惩处机制,对违规外联其他网络的个人除经济处罚外,应追究其行政责任,以切实提高信息安全制度的刚性。
