企业信息安全方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业信息安全方案范文第1篇
关键词:信息安全;信息安全防护;安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5346-02
随着网络信息系统在各行各业得到广泛应用,企业单位办公自动化程度越来越高,许多企业开始利用信息化手段来提升自身管理水平,增加竞争力。企业内部用户之间实现了“互联互通 ,资源共享”,极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作,使得系统处于危险之中,而一旦网络被人攻破,企业机密的数据、资料可能会被盗取、网络可能会被破坏,给企业带来难以预测的损失。因此,企业网络安全的建设必须提上日程,并加以有效防范。
1 企业信息安全防护策略
企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。
企业信息安全从本质上讲就是企业网络信息安全,必须充分了解系统的安全隐患所在,构建科学信息安全防护系统架构,同时提高管理人员的技术水平,落实严格的管理制度 ,使得网络信息能够安全运行,企业信息安全防护策略如图1所示。
2 硬件安全
企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施:1)尽可能购买国产网络设备,从根源上防止由于后门造成的威胁;2)使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质,把设备的信息辐射抑制到最低限度,这是防止计算机辐射泄密的根本措施;3)加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施,对废弃的光盘、硬盘和存储介质要有专人销毁等,废弃纸质就地销毁等;4)定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆(或电缆)、收发器、终端及其它外设进行保密检查,防止非法侵入。
3 信息安全技术
企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有:
3.1 安全隔离技术
安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
3.2 防火墙技术
防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
3.3 入侵检测技术
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络,提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
3.4 终端准入防御技术
终端准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
3.5 灾难恢复策略
灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。只有制定快速有效地进行数据恢复的策略,才能应对每一种可能出现的数据损坏事故。
3.6 其他信息安全技术
当然,信息安全技术还有很多,如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等,这些都可以在一定程序上增加网络的安全性。
4 安全管理
网络安全管理是企业管理中一个难点,很多信息化企业并不十分看重网络安全,直到重要数据丢失产生重大损失才追悔莫及,因此首先在思想上充分重视信息安全,不能抱有一丝侥幸心理。对于安全管理采取的措施主要有:确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。
这些要通过对公司全体员工进行教育培训,强化规范操作,重要数据作好及时备份 ,从系统的角度促进全体团队认真执行 ,以达到网络的保障。
5 人员安全意识
企业信息安全队伍建设要以领导干部和人员为重点,积极开展面向企业各层面的保密教育,不断提高全体员工的信息安全素质。采取的措施主要有:开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。
6 小结
针对目前企业信息安全面临的诸多问题,提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程,必须全方位、科学地合理安排和落实,才能有效地保护企业的信息安全。
参考文献:
[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.
[2] 王梅,刘永涛.企业信息安全(保密)培训的几点思考[J].中国市场,2010,35(9):117-118.
[3] 赵晓.企业信息安全防护体系建设[J].科技创新导报,2010,34:255.
企业信息安全方案范文第2篇
关键词:信息安全;体系架构;授权访问;安全控制;异常监控
1概述
随着信息化建设的快速发展,信息技术创新影响着人们的工作方式和生活习惯,网络已成为信息传播和知识共享的载体,提高了工作效率,促进了社会的发展和进步,但由于网络环境的复杂性、多变性以及信息系统的脆弱性,决定了信息安全威胁的客观存在。近年来,国内国外信息安全的事件层出不穷,计算机病毒和木马仍然是最大的安全威胁,假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多,SQL注入、数据监听、缓冲区溢出攻击依然盛行,网络钓鱼和网络欺诈日益严重,敏感数据外泄和盗取事件频频发生,信息安全形势日趋严峻。因此,如何建立多层次的信息安全防护体系,如何保证企业信息安全,已成为各企业必须面对的重要问题。
2体系架构总体设计
针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长,不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控,网络黑客人侵、病毒木马感染、信息数据窃取等问题,通过大量的分析调研,确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计,同时选择成熟主流的安全产品,统一规划设计桌面安全管理、身份管理与认证、网络安全域戈0分等功能系统,规范信息系统安全防护和审计标准,最大程度保证信息资源的可用性和安全性。
2.1桌面安全管理系统设计
桌面计算机是产生和存放重要信息的源头,但桌面计算机往往是信息安全事件中最薄弱的环节,因此,为切实保证企业信息业务正常开展,保障个人信息数据安全,建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。
2.1.1安全防范功能模块
安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略,查杀策略应定义为“隔离”;对于恶意商业应用程序,由于这类软件只是一些广告类的恶意重新,终止进程就可以解决问题的,安全风险程度不是很高,所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能,以及自动禁止攻击者的IP时间限定为600秒,避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生,提高桌面计算机抵御恶意攻击的能力。
2.1.2后台管理模块
区域管理器是后台管理功能模块重要组件,通过配置计算机IP范围、区域管理器参数、设备扫描器参数,可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。
2.2身份管理与认证系统设计
当前应用系统已成为企业开展各项日常业务的重要平台,但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况,严重影响企业信息数据的安全性和保密性,因此建立身份管理与认证系统,可以从根本上实现用户身份认证,保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。
2.2.1集中身份管理模块
集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式,对应用系统中的用户身份信息进行汇总与清理,建立统一的用户身份视图,实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程,包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类,从而设计出集中身份管理的功能模型,如图1所示。
2.2.2统一认证模块
统一认证模块支持用户身份的强认证,可对获取权威的身份鉴别信息进行身份认证,包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析,可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身(或分散的目录服务)。
2.2.3公共密钥基础设施模块
公共密钥基础设施系统(PKI)由认证中心(CA)、密钥管理中心(KMC)和证书注册中心(RA)等三部分组成。认证中心采用商密SRQ-14数字证书认证产品和商密SJY-63密钥管理产品,并可提供可信的第三方担保功能,认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息,利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理,用户身份信息的审核,用户数字证书的申请与下载,用户数字证书的撤销与更新等服务。
2.3网络安全域系统设计
前大部分企业的内部网络中均包含有非业务性质网络,且网络行为不受限,对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构,通过划分网络安全域,提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固,后深入内部防护”的指导思想,本文仅对互联网与企业网之间的安全域进行研究和探索,如图2所示。
2.3.1安全防护模块
安全防护设备包括边界防火墙、核心防火墙和入侵检测设备,主要是通过检测过滤网络上的数据包,保证内部网络的安全。防火墙可以位于两个或者多个网络之间,是实施网络之间访问控制的一组组件的集合,通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充,一般该设备部署在内部网络边界。
2.3.2行为审计模块
行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等,可有效防止机密信息的外泄,避免不良信息的扩散,提高员工的工作效率,保障网络资源合理使用,提高网络可管理性。
2.3.3日志分析模块
日志分析模块基于Syslog标准协议,可以对不同设备、主机、应用系统进行日志综合分析和集中展现;实现对报警信息的灵活配置和管理,同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理;基于设备、报警类别、日期等因素进行组合统计和报表,为管理人员提供直观的统计信息和报表信息。
3关键技术
3.1准入控制技术
建立具有结构化、层次化的准入控制体系,针对计算机违规行为下发阻断策略,确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种,一种是在互联网出口处部署端点准人设备,强制所有接人互联网桌面计算机安装桌面安全软件,另一种是使用虚拟隔离技术,制定访问控制策略,针对不合规的桌面计算机下发阻断策略,保证内部网络安全。
3.2主动安全防范技术
主动安全防范技术包括病毒木马探测和数字证书认证等,病毒木马探测技术能够强化桌面计算机实时防护功能,主动拦截病毒木马,防范日常攻击和未知安全威胁;数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式,可以解决账号权限安全管理问题。
4应用效果
在某企业部署的信息安全防御体系应用效果良好。累计查杀新型网络病毒木马560多万个;强认证登录100多万次;抵御外部攻击600多万次,阻止访问木马钓鱼网站5万余次。
企业信息安全方案范文第3篇
关键词:企业信息化;网络管理;安全问题
前言
自中国加入世贸组织后,全球实行经济一体化,信息资源对于企业的发展经营显得十分重要,企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。对于企业进行信息化改革需要进行一些规划性安排。其中包含有信息资源规划,这主要是指企业生产经营过程中所需要掌握到的所有信息,从开始采集、处理一直到传输、使用全过程的一个整体规划。企业在生产经营活动过程中,无时不刻都充斥着信息,信息资源与企业人、财、物资源同等重要,都是企业在经营环节中不可缺少的重要资源。而经过长期的发展,很多企业已经开始意识到企业信息资源规划的重要性,认识到它是企业信息化建设的基础工程。而对企业信息化安全的解决应该建立在人员管理的基础之上,致力于整个企业网络管理。
1企业信息化安全与网络管理
1.1网络集成应用系统安全
网络集成应用系统根据不同企业的需求呈现不同的情况,一些企业中的网络集成应用系统比较复杂。不能够很精准的估计防御对象的规模以及价值,也不能简单的对其加以标定界限,针对这种情况,就只能够将网络管理安全保障的工作分解开来。落实到具体的个人,采取一系列有效的措施如主动防御方式去进行。而网络安全信息的防御是一个保障整体网络信息安全的手段,其可预见性以及灵敏性等都为工作带来便利,在面临网络空间可能带来的威胁的同时,站在网络管理者的角度上去思考,为企业网络安全提供一定的保障。因此对于现代社会企业发展中提出的有关信息化安全问题其范围也十分广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人为主角的主动型安全防御。
1.2企业人员信息技术安全
企业信息化归根到底也是人的参与,因此对于企业在信息化过程中会遇到的信息安全问题也需要人员引起足够的重视。人才是企业在发展中的关键竞争力,企业对于人才的重视程度也在日益增加,而同时也要注重企业的管理。随着时代的发展,信息化已经成为企业不可忽视的发展趋势,当企业投入大量的资金和精力去培养人才进行信息化管理以及掌握信息化技术之后,更需要加强信息安全管理。目前是信息化时代,“信息”对于企业而言是十分重要的财富,企业信息系统中掌握着企业运行经营的大量资源和信息,而信息系统的一些安全隐患大部分来源于外界的侵扰,信息工作和管理人员个人的疏忽也容易导致信息的外泄,这将是对企业造成严重的损失。目前对于企业在信息化方面的标准有多种争议,面对争议我们首先要弄清楚企业目前处于什么样的状况,这些标准都是随着技术水平的改进以及管理要求的变化而变化的,因此针对这些变化,企业需要针对自身的实际情况以及实际需求进行安全管理。
1.3网络管理人员信息技术安全
企业信息化系统管理中最重要的一项安全指标就是信息技术方面的安全,面对高要求的安全管理,对于网络安全管理人员的职业素养以及业务能力也相应提出了更高的要求。而企业信息化系统的网络管理在实际的运行过程中必定会涉及到众多的功能模块,面临企业信息化系统中的网络安全管理一般包含有四大功能模块:配置管理、性能管理、故障管理以及安全管理。而这四大功能构成了网络安全管理的基本功能,除此基本功能之外,网络管理还包括有网络规划、网络操作规范等,以下就来简单分析介绍这些功能:(1)配置管理:网络的配置管理要做到的是自动发现网络拓补结构,构造和维护网络系统的配置。时时的注意网络中被管理监测的对象状态,对网络设置中的一些设备配置的语法进行检测,对于配置进行严格的检验。(2)故障管理:在网络运行过程中时刻的进行网络有关事件的过滤和归并,通过不间断的检测及时的发现在网络管理以及操作过程中出现的一系列网络故障问题,并根据实际问题情况寻找出有效的应对措施和建议,提供一定的排错手段以及工具,逐渐形成一套完善的网络故障预警和解决机制,从而减少故障给企业信息化系统带来的危害和损失。(3)性能管理:性能管理是对网络对象的性能方面数据进行收集、分析以及处理功能,通过分析和收集了解网络在运行过程中的质量安全问题,同时掌握整个网络运行体制中的运行状态信息,为整个网络的使用情况以及未来发展趋势、状况进行一个评估,为进一步的网络规划提供一定的参考价值。(4)安全管理:网络信息的安全主要在于存储在系统中的一些用户信息资料以及企业内部的资料的泄露,加强安全管理无疑是要加强用户的认证、访问控制、数据传输以及存储保密性和完整性,保障网络系统本身的安全。维护系统日志,使系统的使用情况以及网络对象的修改都有记录和有数据可循。加强对网络资源的访问量的控制。例如有些企业在加强网络安全管理方面为了尽量的减少不必要的漏洞,在配置管理中采用了VLAN的方式,这种方式就是将企业内部的不同部门都划分为各个不同的虚拟网段,而针对不同部门的职员设置相应的权限,只有具有权限的职员才能进入某一个虚拟网段,没有权限的用户无法访问其他网段。VLAN其实就相当于是一个计算机网络,里面所有内容都由同一个网线连接着,但是其中的网络又可以分为不同的部分和区域。由于该方式多是通过软件来操作实施的,因此使其具备了更多的灵活性,而该手段的最大优势在于提供了更多的管理控制,这相应的减少了很大一部分的管理费用,同时也提供了更多的配置灵活性。另外,在网络管理中可以通过边界的路由器来控制外来的用户对网络信息的访问,从而可以有效的防止外来用户对本企业网络的侵入和攻击。加之前文中有提到可以加强网络安全的预警机制。通过对告警中的危险事件和信息进行有效的分析和处理,及时发现可能存在的攻击行为,及时发现网络管理中存在的安全漏洞和安全隐患,从而更好的防患于未然。当然,在进行这些网络安全管理手段操作中可以充分借助有关的管理网络的软件,为网络管理人员提供有效的技术信息和保障,而且单一的软件绝对满足不了网络安全管理的需求,需要根据实际情况综合运用多种软件形式,从而满足不同方面和层次的需求,无论是加强网络管理安全还是利用各种管理软件首先必须要提高网络管理人员的综合素质,提升其职业素养和计算机应用水平,人员素质的提升以及相关管理硬件、软件的配套,才能从根本上解决企业信息化管理以及网络安全管理中的问题,提高其管理机制和管理水平。
2结束语
从本文中所阐述的众多问题中可以总结出,无论是网络集成应用系统的框架还是人员信息化和网络管理者角度而言,企业信息化的安全问题主要集中在网络管理方面。而对网络进行管理的主体部分就是人员。因此加强网络管理的安全问题要从人员自身方面的水平以及素质和网络安全管理相关技术两个方面着手,让所有的网络管理者在思想上意识到网络安全管理的重要性。管理人员的重视才会促进有关技术的改进和革新,这也是我们进行网络管理的最终目的和有效保障。
参考文献:
[1]林鹏,叶盛元.互联网与信息化安全(三)[J].华南金融电脑,2006.
[2]曲璐.信息化安全在计算机管理中的运用探讨[J].信息与电脑(理论版),2013.
企业信息安全方案范文第4篇
随着信息化建设的快速发展,信息技术创新影响着人们的工作方式和生活习惯,网络已成为信息传播和知识共享的载体,提高了工作效率,促进了社会的发展和进步,但由于网络环境的复杂性、多变性以及信息系统的脆弱性,决定了信息安全威胁的客观存在。近年来,国内国外信息安全的事件层出不穷,计算机病毒和木马仍然是最大的安全威胁,假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多,SQL注入、数据监听、缓冲区溢出攻击依然盛行,网络钓鱼和网络欺诈日益严重,敏感数据外泄和盗取事件频频发生,信息安全形势日趋严峻。因此,如何建立多层次的信息安全防护体系,如何保证企业信息安全,已成为各企业必须面对的重要问题。
2体系架构总体设计
针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长,不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控,网络黑客入侵、病毒木马感染、信息数据窃取等问题,通过大量的分析调研,确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计,同时选择成熟主流的安全产品,统一规划设计桌面安全管理、身份管理与认证、网络安全域划分等功能系统,规范信息系统安全防护和审计标准,最大程度保证信息资源的可用性和安全性。
2.1桌面安全管理系统设计
桌面计算机是产生和存放重要信息的源头,但桌面计算机往往是信息安全事件中最薄弱的环节,因此,为切实保证企业信息业务正常开展,保障个人信息数据安全,建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。
2.1.1安全防范功能模块
安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略,查杀策略应定义为“隔离”;对于恶意商业应用程序,由于这类软件只是一些广告类的恶意重新,终止进程就可以解决问题的,安全风险程度不是很高,所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能,以及自动禁止攻击者的IP时间限定为600秒,避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生,提高桌面计算机抵御恶意攻击的能力。
2.1.2后台管理模块
区域管理器是后台管理功能模块重要组件,通过配置计算机IP范围、区域管理器参数、设备扫描器参数,可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。
2.2身份管理与认证系统设计
当前应用系统已成为企业开展各项日常业务的重要平台,但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况,严重影响企业信息数据的安全性和保密性,因此建立身份管理与认证系统,可以从根本上实现用户身份认证,保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。
2.2.1集中身份管理模块
集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式,对应用系统中的用户身份信息进行汇总与清理,建立统一的用户身份视图,实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程,包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类,从而设计出集中身份管理的功能模型,如图1所示。
2.2.2统一认证模块
统一认证模块支持用户身份的强认证,可对获取权威的身份鉴别信息进行身份认证,包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析,可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身(或分散的目录服务)。
2.2.3公共密钥基础设施模块
公共密钥基础设施系统(PKI)由认证中心(CA)、密钥管理中心(KMC)和证书注册中心(RA)等三部分组成。认证中心采用商密SRQ-14数字证书认证产品和商密SJY-63密钥管理产品,并可提供可信的第三方担保功能,认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息,利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理,用户身份信息的审核,用户数字证书的申请与下载,用户数字证书的撤销与更新等服务。
2.3网络安全域系统设计
当前大部分企业的内部网络中均包含有非业务性质网络,且网络行为不受限,对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构,通过划分网络安全域,提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固,后深入内部防护”的指导思想,本文仅对互联网与企业网之间的安全域进行研究和探索,如图2所示。
2.3.1安全防护模块
安全防护设备包括边界防火墙、核心防火墙和入侵检测设备,主要是通过检测过滤网络上的数据包,保证内部网络的安全。防火墙可以位于两个或者多个网络之间,是实施网络之间访问控制的一组组件的集合,通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充,一般该设备部署在内部网络边界。
2.3.2行为审计模块
行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等,可有效防止机密信息的外泄,避免不良信息的扩散,提高员工的工作效率,保障网络资源合理使用,提高网络可管理性。
2.3.3日志分析模块
日志分析模块基于Syslog标准协议,可以对不同设备、主机、应用系统进行日志综合分析和集中展现;实现对报警信息的灵活配置和管理,同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理;基于设备、报警类别、日期等因素进行组合统计和报表,为管理人员提供直观的统计信息和报表信息。
3关键技术
3.1准入控制技术建立具有结构化、层次化的准入控制体系,针对计算机违规行为下发阻断策略,确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种,一种是在互联网出口处部署端点准入设备,强制所有接入互联网桌面计算机安装桌面安全软件,另一种是使用虚拟隔离技术,制定访问控制策略,针对不合规的桌面计算机下发阻断策略,保证内部网络安全。3.2主动安全防范技术主动安全防范技术包括病毒木马探测和数字证书认证等,病毒木马探测技术能够强化桌面计算机实时防护功能,主动拦截病毒木马,防范日常攻击和未知安全威胁;数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式,可以解决账号权限安全管理问题。
4应用效果
在某企业部署的信息安全防御体系应用效果良好。累计查杀新型网络病毒木马560多万个;强认证登录100多万次;抵御外部攻击600多万次,阻止访问木马钓鱼网站5万余次。
5结束语
信息化的快速发展已为企业的生产经营活动带来了极大的便捷,但同时各类安全性问题同样值得引起我们的担忧和注意,企业的信息化要想在以后得到长足的发展空间,就要及时地去解决当今出现的这些问题,并对其做出防治手段。本文从多角度对企业级信息安全防御体系构建进行了研究探索,并在企业级内部网络环境下进行了实践,但由于条件所限,未在移动无线网络环境下进行深入研究,下一步将加大力量,加强这方面的探索实践,希望可以对相关企业信息安全防御体系建设工作提供帮助。
作者:高先睿 单位:辽河油田公司
参考文献:
[1]陈梅志.计算机网络信息安全及其应对措施浅析[J].硅谷,2014,7(2):143-143.
[2]陈建平.基于工作过程的《计算机网络安全》一体化课程开发及实施研究[D].华中师范大学,2014.
[3]京力炜,付爱英,盛鸿宇.防火墙技术标准教材[M].北京:北京理工大学出版社,2007.
企业信息安全方案范文第5篇
(一)技术手段实现
即利用一系列较为先进的管理硬件和软件,提升信息安全防护水平目前一般电力企业采用的技术手段有:
1)防病毒技术。信息管理人员通过在防病毒服务器安装杀毒软件服务器端程序,在用户终端安装客户端杀毒软件,实现以防病毒服务器为核心,对客户端杀毒软件的统一管理,部署安全策略等。实现病毒库的定时更新和定时对全网内计算机设备进行扫描和查杀,达到全系统、全网络防毒的目的。
2)防火墙技术。防火墙是企业局域网到外网互联的唯一出口,通过网络防火墙,可以全面监视外网对内部网络的访问活动,并进行详细的记录,确保内网核心数据的安全性。通过对访问策略控制,关闭与工作无关的端口,拒绝一切未经许可的服务。所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。
3)入侵检测技术。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
4)桌面管理系统。桌面管理系统方便信息安全管理员管理企业内部计算机的信息安全软件。利用桌面管理系统,可以收集计算机台账信息与IP占用情况、分发漏洞补丁、实现对移动存储管理,自动阻断非法外联、对弱口令账户进行扫描、对客户端进行控制,强制性阻断其联网功能或进行远程维护等功能。
5)虚拟局域网(VLAN)技术。基于ATM和以太网交换技术发展起来的VLAN技术,把传统的基于广播的局域网技术发展为面向连接的技术,从而赋予了网管系统限制虚拟网外的网络节点与网内的通信,防止了基于网络的监听入侵。
(二)管理手段实现
做好网络信息安全工作,除了采用上述的技术手段外,还必须建立安全管理机制。良好的管理有助于增强网络信息的安全性,只有切实提高网络意识,建立完善的管理制度,才能保证网络信息的整体安全性。
1)通过全员培训,提升员工信息安全水平。信息管理人员除了要制止员工的不安全操作,也应该告知员工要如何做。让员工明白使用弱口令、不安全账户、随意共享等对企业信息安全的危害,教育员工正确使用终端设备、重要备份数据、利用压缩软件加密等操作,从源头入手,堵塞信息安全漏洞。
2)通过应急演练,提升面对信息安全事故的反应能力。突发事件应急演练是为了提高应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。
3)通过管理制度,提升信息安全管理水平。信息安全需要制度化、规范化。把信息安全管理真正纳入公司安全生产管理体系,并能够得到有效运作,就必须使这项工作制度化、规范化。要制定出相应的管理制度。如建立用户权限管理制度、口令保密制度、网络与信息安全管理制度、上网行为规范制度等一系列的安全管理制度和规定,并强化考核力度,确保严格执行。
