浅析企业网络信息安全技术和安全管理机制.doc

浅析企业网络信息安全管理机制 摘要: 分析当前企业网络安全存在的问题, 从技术手段和管理机制方面对信息安全进行了探讨。结合企业网络安全和信息现状，探究国内大中型企业信息安全防范的制度空间。关键词: 防火墙 VPN DMZ 网络信息安全技术 安全管理机制 本人在企业从事信息化工作多年，深刻体会到企业信息化给企业带来的巨大变革，同时也深刻体会到企业信息安全工作的重要性。随着信息技术和网络的不断发展,企业信息安全问题也日益突出，如果防范不当可能给企业带来灾难性的后果。通常的企业信息安全主要指网络安全、系统安全、数据安全等方面，本人主要从这几个方面入手，结合本公司企业信息化状况，和大家一起做个探讨和学习 一、企业网络安全企业的网络安全是企业信息安全中最重要的一块，要做好网络安全需将安全策略、硬件、软件及管理等方法结合起来，构成统一的防御系统。其中包括防火墙的安全策略、非法用户的阻止进入、网络VLAN的细分、漏洞服务器的设立、防病毒软件及网络行为管理软件的使用等等手段。现以水口山的网络为例介绍网络安全的防护。1、企业网络拓扑企业网络已经建立了10多年，并且在发展中进行了不断优化，现将旧的网络拓扑、现在的网络拓扑及信息规划中的网络拓扑分别列出，在后面的部分将进行安全性的比较。 现在的网络拓扑图：规划中的网络拓扑（规划中）：2、企业外网防护水口山企业网对外网的防护措施采用防火墙和防毒网关结合的方式。l 防火墙防火墙是一个由软件和硬件设备组合而成、在内部和外部网之间的构造的保护屏障，企业网通常建议采用包过滤型防火墙。目前水口山采用华为EUDEMON 500型包过滤防火墙。包过滤防火墙对每一个接收到的包做出允许或拒绝的判定，防火墙还承担网络地址转换（NAT）、审记与实时告警等功能。在企业后台服务器的安全上充分利用防火墙隔离区（DMZ）,将服务器接入DMZ区既保证了服务器安全又实现了内网访问的高效。但防火墙对电脑上发送过来的病毒数据流是无能为力的，这就需要防毒网关。l 防毒网关防毒网关一般部署在企业内部网和互联网中间区域，以阻止病毒从互联网侵入内网，防毒网关会扫描通过的数据包，然后对这些数据进行病毒扫描并清除病毒。l VPN技术的使用VPN:虚拟专用网。VPN通过一个公用网络（通常是因特网）建立一个临时、安全的连接，形成一条安全、稳定的虚拟隧道。以实现企业驻外机构对企业内网系统的访问，水口山的VPN就是通过防火墙（带VPN模块）来实现的，通过对防火墙的配置建立VPN用户和密码来满足VPN的安全认证的需求。3、内网的防护水口山对内网的防护采取了很多手段，如内网VLAN的细分、网管软件、杀毒软件、漏洞服务器的使用等等。使内网尽可能阻止非法用户进入网络、切断病毒的来源、将网络安全风险影响控制到最小、保持内网实时高速畅通。以下是水口山内网安全防护的技术手段介绍：A、内网VLAN的细分把水口山整个物理局域网内的不同用户逻辑地划分成不同的广播域，每个广播域为一个VLAN,使得不同VLAN之间实现有效隔离。水口山内网按地域和职能部门划分了许多VLAN，如财务系统VLAN、铜矿VLAN等等。这样划分后对一个拥有700节点的网络作用十分非常明显B、网管软件系统的使用网络的安全跟上网用户的上网行为关系很大，通常普通的行政管理手段复杂且管理难度大，最终对管理用户的上网行为效果都不会很明显。这就需要从技术上对企业不同的用户上网行为进行规范、管理。行为网络管理软件的使用就能解决企业网络管理的这个难题。目前网管软件系统有硬件和软件两类，安装方式一般为网关模式或网桥模式，因此对网络管理要求比较高的企业必须购买带硬件设备同时并发数较大的网络管理软件系统，否则网管软件将会成为整个网络的瓶颈，这样反而得不偿失了。C、杀毒软件的使用在企业内网出口安装了防毒网关设备后，有效的阻止了大部分的病毒源对内网的入侵，但还是非常有必要在内网的客户端上安装网络版的杀毒软件特别是各个数据服务器上，因为病毒源不仅仅是来自外部网络，还可以通过U盘、笔记本电脑等传播介质。目前水口山就购买了网络版的杀毒软件在服务器和重要的客户端上安装，有效地抑制了病毒传播。3、网络拓扑的优化过程（对旧、现在、规划中的网络拓扑比较）水口山网络发展经历了几个阶段，最初形成整体网络的拓扑为本文的老网络拓扑图，他把整个集团公司的所属单位网络基本连接在一起，为公司信息化提供了可靠的平台。但其网络拓扑存在问题。（1）两台核心交换设备没有形成负载均衡，数据处理全集中在计控所核心交换机上，（2）网络主干没有形成环路，一旦主干点出故障问题整个网络将全部瘫痪，（3）防火墙没有DMZ区不能保证企业服务器的安全等等。2007年水口山网络改造解决了老拓扑的部分问题：在六厂核心交换机接一根光纤到防火墙使六厂和计控所两台核心交换机平行，在核心交换机上进行负载均衡和冗余配置，保证了这个网络的稳定，同时在计控所核心交换机到防火墙的光纤和六厂核心交换机到防火墙光纤任意一条出问题网络都不会瘫痪。一套完整的网络安全体系，必须具备容灾和系统恢复能力。随着公司信息化的日益加强和ERP系统的上线，公司对网络要求进一步提高。为保证系统的安全稳定，公司网络将更加完善网络拓扑结构，规划中的网络拓扑对每一台楼道交换机的都进行了光纤冗余配置，确保了公司网络交换设备或光纤出现故障公司内网都能保持畅通。二、企业的系统安全随着公司信息化系统逐步上线，这些系统牵涉到企业的生产、经营等许多数据，很多都是公司的机密，系统的安全性就显地尤为重要了。身份认证（Authentication）、授权控制（Authorization）和审计确认（Accounting）一般简称为AAA技术，它们正是现代信息系统安全的3个主要组成部分，动态口令系统的产生对企业系统安全提供了保证平台。动态口令身份认证系统主要由管理控制台、认证服务器、应用接口、口令令牌共四大部分组成。其中：管理控制台：主要是初始化令牌；配置整个系统的设置；管理所有的口令令牌、用户信息、认证信息、操作信息和查询功能。认证服务器：主要功能就是对被请求用户提供的信息进行合法性的认证，以及认证日志的记录、管理。应用接口：应用接口的主要功能就是作为应用系统与认证系统的一个通讯的桥梁，将应用系统的被请求用户提供的信息，传送到认证服务器进行认证。口令令牌：口令令牌的主要功能就是在用户端产生动态的口令，并可将口令拖到指定的输入窗口。同时可进行PIN码的可选项的配置和自动输入用户名的配置。口令令牌的数据介质有基于PC本身的、基于智能卡（CPU卡）、USB_KEY、基于手机等各种形式。 水口山多个信息系统在近期内上线，系统安全问题显得尤为重要，公司已对系统安全做出规划，公司决定在网络中接入一个SSL VPN 设备解决系统认证、应用接口同时可以对系统用户进行管理。对重要用户配备USB_KEY作为登陆系统用。这样将大大提高信息系统的安全性。三、企业的数据安全企业信息化程度越高，企业的数据安全越重要，做好企业的数据安全必须把管理和技术相结合，二者缺一不可。在管理方面上必须出台完整的数据安全管理制度，在管理员职责、保密的管理、数据恢复操作流程、数据异地存储地点等等重要环节作出明确规定。技术方面的手段：l 数据备份是数据保护的最后屏障，不允许有任何闪失。集群技术是一种系统级的系统容错技术，通过对系统的整体冗余和容错来解决系统任何部件实效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现。l 数据的异地备份：通过IP容灾备份技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。 l 企业数据保密级别较高的必须并建立数据自毁机理（数据一旦非授权访问，数据立即产生自毁）。水口山目前在数据安全方面采取了双机热备份的技术，并通过管理手段定期实现数据异地存储，随着信息系统数据量增大和重要性提高，这种备份方式提供整个系统的安全性。同时我们正在规划IP容灾异地备份系统以确保数据的安全。三、构建电力企业网络安全防范的制度空间做好网络信息安全工作，除了采用上述的技术手段外，还必须建立安全管理机制。因为诸多不安全因素恰恰反映在组织管理等方面。良好的管理有助于增强网络信息的安全性。只有切实提高网络意识，建立完善的管理制度，才能保证网络信息的整体安全性。“三分技术,七分管理”是网络安全领域的一句至理名言，其原意是：网络安全中的30%依靠计算机系统信息安全设备和技术保障，而70%则依靠用户安全管理意识的提高以及管理模式的更新。安全管理是网络安全中非常重要又常被忽视的一项内容。需要管理到位、技术到位、观念到位，更需要管理、技术和观念不断更新，而且三者要有机地结合起来。1、完善网络信息安全的管理机制（1）网络与信息安全需要制度化、规范化。网络和信息安全管理真正纳入安全生产管理体系，并能够得到有效运作，就必须使这项工作制度化、规范化。要在电力企业网络与信息安全管理工作中融入输变电设备安全管理的思想，就像管“电网”一样管理“信息网络”，制定出相应的管理制度。如建立用户权限管理制度、口令保密制度、密码和密钥管理制度、网络与信息安全管理制度、病毒防范制度、网络设备管理流程、设备运行规程、网络安全防护策略、访问控制、授权管理等一系列的安全管理制度和规定。管理制度具有严肃性、权威性、强制性，管理制度一旦形成，就要严格执行。企业应组织有关人员对管理制度进行学习，保证制度的落实。(2)明确网络与信息安全保证体系中的四个关键系统，即安全决策指挥系统、安全管理技术系统、安全管理制度系统和安全教育培训系统，实行企业行政正职负责制，明确主管领导职权、部门职责和用户责任。按照统一领导和分级管理的原则，明确安全管理部门是企业安全生产监督部门，行使网络与信息安全监督职能以及安全监督人员职责。（3）应用“统一的策略管理”思想实现网络信息安全的管理目标。“统一”，就是要提高各项安全技术和措施的协同作战能力；策略，就是为发布、管理和保护信息资源而制定的一组规程、制度和措施的综合，企业内所有员工都必须遵守的规则。电力企业应从以下三个方面，规定各部门和用户要遵守的规范及应负的责任，使得网络与信息安全管理有一套可切实执行的依据。A、用户的统一管理：实现员工档案、访问资源的权限的统一管理。B、资源的统一配置管理：文件系统、网络设备（防火墙、认证系统、入侵检测、漏洞扫描），Intranet、Internet网络资源的统一配置管理。C、管理策略的一致性：防火墙规则的制定、Internet访问控制的管理，内部信息资源的管理应体现一致性。只有管理政策一致，才能避免出现遗漏。2、强化企业内部人员安全培训 信息安全培训是实施信息安全的基础，根据中国国家信息安全测评认证中心提供的调查结果显示，现实的威胁主要为信息泄露和内部人员犯罪，而非病毒和外来黑客引起。据公安部最新统计，70的泄密犯罪来自于内部；计算机应用单位80未设立相应的安全管理；58无严格的管理制度。 要实现“企业安全”就必须对企业内部人员进行安全培训，从而强化从高层到基础员工的安全意识，最终提升企业网络信息安全的“机率”。 安全培训计划可阶段性地进行，根据企业性质与人员的职责、业务不同，可以将安全培训分成三个不同的层次，即初级、中级和高级。初级培训的对象包括所有员工，培训的内容主要角色与责任、政策与程序；旨在强化所有员工的安全意识与责任；第二层次为中级培训，对象包括高层领导、（非）技术管理人员、系统所有者、合同管理者、人力资源管理者与法律人员。教育及培训的内容包括安全核心知识、风险管理、资源需求与合同需求等，旨在强化人员的安全能力与安全意识。第三层次为高级安全培训，对象包括信息安全人员、系统管理人员，内容主要包括操作/应用系统、协议、安全工具、技术控制、风险评估、安全计划和认证与评估，旨在提高企业的整体安全管理。综合上述几方面的论述，企业必须充分重视和了解网络信息系统的安全威胁所在，制定保障网络安全的应对措施，落实严格的安全管理制度，才能使网络信息得以安全运行。由于网络信息安全的多样性和互连性，单一的信息技术往往解决不了信息安全问题，必须综合运用各种高科技手段和信息安全技术、采用多级安全措施才能保证整个信息体系的安全。要做到全面的网络安全，需要综合考虑各个方面，包括系统自身的硬件和软件安全，也包括完善的网络管理制度以及先进的网络安全技术等。参考