摘 要:随着大中型企业信息化建设速度的不断加快,企业信息网络安全体系建设的需求不断增加,本文通过分析大中型企业信息网络安全现状及威胁,提出了构建企业总体安全信息体系的方案及原则,列举了实现企业信息安全体系建设的主要技术和手段。企业通过信息网络安全管理体系的部署,可有效地实现企业信息安全建设的最终目标。
关键词:企业;信息网络;安全体系;安全技术
大中型企业作为我国国民经济的骨干企业,在国家经济发挥举足轻重的作用,现代经济活动离不开信息和网络,大中型企业对网络和信息技术的依赖性很强,企业员工多、信息化互联设备多、种类多样,企业的关键业务大多架构在IT系统之上,网络环境的稳定性、安全性、高效性直接影响公司信息化应用。目前,许多大中型企业提出了建立“数字化企业”的目标,在企业信息化建设中,信息安全问题是必须要首先考虑的问题,可见,建立企业信息安全体系势在必行。
1 企业信息网络安全威胁及风险
近年来,许多大中型企业十分重视信息网络建设的应用和开发,但是对于信息网络安全的防护并没有得到足够重视。根据调研机构的调查报告显示,国内企业中63%经常遭受病毒或蠕虫攻击,而41%的企业受到恶意间谍软件或恶意软件的威胁。主要体现在:病毒和蠕虫攻击、黑客入侵、恶意攻击、完整性破坏、网络资源滥用、员工信息安全意识淡薄等。
目前企业面临着网络攻击的“外部威胁”及内部人员信息泄露的“内部威胁”的双重考验,垃圾邮件、企业机密泄露、网络资源滥用、病毒泛滥以及网络攻击等问题成为企业最为头疼的网络安全问题,企业网络环境日趋严峻。
2 企业网络安全体系
大中型企业网络面临严峻的安全形势,迫使各企业意识到构建完备安全体系的重要性,随着网络攻击的多样化,只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击,同时还要随时注重操作系统、数据库、软硬件设备的安全性;企业安全体系建设不仅要有效抵御外网攻击,而且要能防范可能来自内部的安全泄密等威胁。企业必须采用多层次的安全系统架构才能保障企业网络安全,最终建立一套以内外兼防为特征的企业安全保障体系。
企业信息网络安全体系由物理安全、链路安全、网络安全、系统安全、信息安全五部分构成。
物理安全:物理安全主要是保护企业数据库服务器、应用服务器、网络设备、数据介质及其他物理实体设备的安全,提供一个安全可靠的物理运行环境。
链路安全:数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。目的是保证网络链路传送的数据不被窃听和篡改。
网络安全:网络安全主要包括:通过防火墙隔离内外网络,不同区域的访问控制,部署基于网络的身份认证及入侵检测系统、VPN、网络集中防病毒等手段实现网络设备自身的安全可靠。
系统安全:系统安全主要指数据库、操作系统的安全保护。保证应用系统的可靠性、完整性和高效性。
信息安全:主要通过数据加密、CA认证、授权等手段保证信息处理、传递、存储的保密性、完整性和可用性。
典型企业信息网络安全管理体系拓扑结构如图一所示:
3 信息安全体系设计原则
企业安全设计应遵循如下原则:
3.1保密性:信息不能够泄露给非授权用户、实体或过程,或供其利用的特性。
3.2完整性:信息完整性是指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。
3. 3可用性:保障授权用户在需要时可以获取信息并按要求使用的特性。
3.4可控性:对信息的处理、传递、存储等具有控制能力。
信息安全就是要保障维护信息的机密性、完整性、可用性以及保障维护信息的真实性、可问责性、不可抵赖性、可靠性、守法性。
4 企业网络安全防范技术手段
目前企业信息网络布署的安全技术手段主要方式有:
4.1防火墙系统
防火墙系统作为企业网络安全系统必不可少的组成部分,用于防范来自外部interne非法用户对企业内部网络的主动威胁。防火墙系统搭建在内部网络与外部公共Internet网络之间,通过合理配置访问控制策略,管理Internet和内部网络之间的访问。其主要功能包括访问控制、信息过滤、流量分析和监控、阻断非法数据传输等。企业在外部攻击的频度和攻击流量非常严重的情况下,建议配置专用的DDOS防火墙。
4.2入侵检测系统
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术,可以弥补防火墙相对静态防御的不足,通过对来自外部网和内部的各种行为进行实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据的依据。
4.3漏洞扫描系统
企业内部部署漏洞扫描系统,不间断地对企业工作站、服务器、防火墙、交换机等进行安全检查,提供记录有关漏洞的详细信息和最佳解决对策,协助网管员及时发现和堵绝漏洞、降低风险,防患于未然。
4.4网页防篡改系统
网页防篡改系统主要是防止企业对外Web遭受黑客的篡改,保证企业外部网站的正常运行。防篡改系统利用先进的Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
4.5上网行为管理系统
上网行为管理系统主要部署在企业外部防火墙和内部核心交换机之间,针对企业内部员工访问Internet行为进行集中管理与控制。其主要功能有:网页过滤、应用控制(IM聊天、P2P下载、在线娱乐、炒股软件、论坛发帖等)、带宽管理、内容审计(邮件收发、论坛发帖、FTP、HTTP文件传输等)、用户管理、日志管理等功能。
4.6内网安全管理平台
据FBI/CSI中国CNISTEC调查报告:来自企业外部威胁占20%,内部威胁高达80%。针对大型企业日益复杂的内部网络环境以及基于企业保密管理的需求,必须构造一套内网安全管理平台,规范和管理内部网络环境,提高内部网络资源的可控性。其功能应包括:用户认证与授权、IP与MAC绑定、网络监控、桌面监控、安全域管理、
存储介质管理、补丁分发、文档安全管理、资产管理、日志报表管理等。
4.7企业集中防病毒系统
在病毒肆虐的时代,反病毒已经成为企业信息安全非常重要的一环,企业网络情况比较复杂,由于员工计算机水平大多不高,构造一套完整的企业集中防病毒网络系统平台,可以强化病毒防护系统的应用策略和统一管理策略,并且使企业员工电脑的病毒库及时得到更新,增强病毒防护有效性,降低病毒对安全带来的威胁。
集中防病毒系统应具有:集中管控、远程安装、智能升级、远程报警、分布查杀等多种功能。
4.8建立健全企业安全管理组织体系及制度,加强企业信息安全意识
企业在建设信息网络安全建设技术手段的同时,更需要考虑管理的安全性,不断完善企业信息安全制度。通过培训,增强每个员工的安全意识,为大中型企业信息安全管理奠定基础。
随着信息技术的发展,企业无线接入、电子商务交易、数字签名、数字证书等安全管理也应逐步纳入企业信息安全体系范畴。
五、 结束语
目前,大中型企业信息进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,针对各种网络应用的攻击和破坏方式也变得异常频繁,信息化发展而来的网络安全问题日渐突出,网络安全问题已成为信息时代人类共同面临的挑战,同时,网络信息安全是一个系统工程,涉及人员、硬软件设备、资金、制度等因素,没有绝对可靠的安全技术,科学有效的管理可以弥补技术安全漏洞的缺陷。
参考文献:
[1]向宏,傅鹂,詹榜华 著 信息安全测评与风险评估 电子工业出版社 2009-01
[2]谢宗晓,郭立生 著 信息安全管理体系应用手册中国标准出版社 2008-10
[3]唐正军,李建华 著 入侵检测技术清华大学出版社 2004-04
[4]冯登国,孙锐,张阳 著 信息安全体系结构清华大学出版社 2008-09