公务员期刊网 精选范文 企业网络安全体系建设范文

企业网络安全体系建设精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络安全体系建设主题范文,仅供参考,欢迎阅读并收藏。

企业网络安全体系建设

第1篇:企业网络安全体系建设范文

1.企业信息化建设的重要性

信息化发展对于企业人员日常的管理,相比较原来旧的方法而言更方便快捷、更高效;对于企业的整体发展的影响,相比较原来用人来发现风险,信息化大数据管控更能提前预知风险并帮助企业更好地解决问题;对于企业组织结构和流程的影响,集成化的网络信息系统是提高质效的一把利器。但现实使用中,企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象,导致企业和用户损失大量人力物力,甚至受到巨大损失。由此可见,信息化建设对企业发展有着不可小觑的作用,能比原来的模式更有效处理问题、促进企业发展,是所有企业在发展过程中不可或缺的一个环节。

2.企业信息化建设中的网络安全问题

2.1网络安全意识不强

科学技术的不断发展进步,对于企业发展的影响作用不言而喻,但是,相当一部分企业却只看到益处却忽略了“信息安全”的重要性。

近年来,在技术、社会和政府等多方面的努力下,企业的信息化建设发展速度加快,取得很大的进展,其重要作用毋庸置疑,各个企业都越来越重视信息化的进步。但在新闻报道中,经常见到有信息非法獲取、信息交易导致用户信息泄露,这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视,严重的不仅会导致用户信息泄露,如果发生企业数据库被篡改、网络系统崩溃等事件,给企业带来的名誉和财产损失不可估量。

2.2技术水平不高

世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中,免不了遇到技术问题,由于有关人员或团队自身的水平不够和相关方面的经验的缺失,不可避免会存在某些漏洞和问题,这些漏洞和问题恰恰给了黑客绝佳的机会,让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到,对企业的安全构成非常大的威胁。

2.3可使用的高水平软件少

一方面是供研发企业使用的高水平软件较少;另一方面是软件安全度低,很多公司虽然看到信息化发展的好处,但却贪图低成本的小利益,花费小成本购买使用安全保护性低的工作软件,结局只会带来难以挽回的后果。

3.企业信息化建设提高网络信息安全性的措施

3.1切实提高企业安全意识

科学技术的进步,促进企业重视信息安全,思考信息安全问题和公司发展之间不可分割的关系,因为信息泄露带来损失还是小事,如果因此减少了企业竞争力,甚至阻碍了企业发展才是最可怕的结果。因此,企业应当提高安全意识,提前准备对策、制定应对突况的策略,防止信息泄露等潜在威胁,将威胁扼杀在摇篮之中。通过建立高技术水平的团队,运用专业知识和工作经验切实增强防火墙安全度,定期维护信息系统,从源头的技术传输阶段维护信息安全,建立完善的信息保护制度,以此来保护信息安全、促进企业发展。

3.2提高信息系统的管理水平

虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件,但是这些软件也不能保证绝对的安全。改革旧的风险评估模式,健全信息筛选管理安全体系,在一定程度上可以提高安全系统等级、减小信息被盗的风险,在信息系统建立过程中,及早发现风险并妥善处理对企业发展尤其重要。

3.3使用安全性高的软件

归根结底,所有的安全问题都是安全性低所导致的。虽然说没有绝对安全的东西,但是相比于安全性低的软件,安全性越高的软件,保护能力也越强,能更好地保护信息安全。因此,企业千万不能贪图小利益使用低防护级软件,保护信息安全,维护自身发展利益才是最重要的。

第2篇:企业网络安全体系建设范文

【关键词】网络;数据;安全

2012年开始,某企业启动了企业网络安全优化工程。目的是为了实现在企业系统内,进行一体化管理,实现各分支网络之间互联互通。项目重点是建设好综合数据网络,实现所属单位局域网及厂、站信息传输通道全面接入;形成该企业综合业务处理广域网络。同时还将进一步建设专门的调度数据网络,实现“专网专用”,从而确保生产安全有序的开展。该企业生产、办公等各个领域当中,无论是企业内部管理还是各级机构间的远程信息交互,都将建立在网络基础之上,而通过网络进行交互的信息范围也涵盖了包括生产调度数据、财务人事数据、办公管理数据等在内的诸多方面,在这样的前提下,进一步完善企业网络架构,全局性和系统性地构建网络安全体系,使其为企业发展和信息化提供有力支持,已成为当前需要开展的首要工作之一。

1.网络安全技术架构策略

网络安全建设是一项系统工程,该企业网络安全体系建设按照“统一规划、统筹安排、统一标准、相互配套”的原则组织实施,采用先进的“平台化”建设思想、模块化安全隔离技术,避免重复投入、重复建设,充分考虑整体和局部的关系,坚持近期目标与远期目标相结合。在该企业广域网络架构建设中,为了实现可管理的、可靠的、高性能网络,采用层次化的方法,将网络分为核心层、分布层和接入层3个层次,这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,3个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。

2.局域网络标准化

(1)中心交换区域

局域网的中心交换区域负责网络核心层的高性能交换和传输功能,提供各项数据业务的交换,同时负责连接服务器区域、网络管理区域、楼层区域、广域网路由器和防火墙设备等,此外还要提供分布层的统一控制策略功能。具体到安全防护层面,可通过部署防火墙模块、高性能网络分析模块、入侵探测系统模块实现安全加固。

(2)核心数据服务器区域

因为数据大集中和存储中心已经势在必行,可建设专门的核心数据区域,并采用2立的具有安全控制能力的局域网交换机,通过千兆双链路和服务器群连接。在安全防护方面,可在通过防火墙模块实现不同等级安全区域划分的同时,部署DDOS攻击检测模块和保护模块,以保障关键业务系统和服务器的安全不受攻击。

(3)楼层区域

楼层交换区域的交换机既做接入层又做分布层,将直接连接用户终端设备,如PC机等,因此设备需要具有能够实现VLAN的合理划分和基本的VLAN隔离。

(4)合作伙伴和外包区域

提供合作伙伴的开发测试环境、与内部数据中心的安全连接及与Internet区域的连接通路。

(5)外联网区域

企业营销系统需要与银行等外联网连接,建议部署银行外联汇接交换机,通过2条千兆链路分别连接到核心交换机。并通过防火墙模块划分外联系统安全区域。

(6)网络和安全管理区域

为了对整个网络进行更加安全可靠的管理,可使用独立的安全区域来集中管理,通过防火墙或交换机模块来保护该区域,并赋予较高的安全级别,在边界进行严格安全控制。

3.统一互联网出口

对于该企业的广域网络,统一互联网络出口,减少企业广域网络与互联网络接口,能够有效减少来自外网的安全威胁,对统一出口接点的安全防护加固,能够集中实施安全策略。面对企业各个分支机构局域网络都与互联网络连接的局面,将会给企业广域网络安全带来更大的威胁。由于综合业务数据网络作为相对独立的一个大型企业网络,设置如此众多的互联网出口,一方面不利于互联网出口的安全管理,增加了安全威胁的几率;另一方面也势必增加互联网出口的租用费用,提高了运营成本。

由于该企业综合数据网的骨干带宽是622M,在综合数据网络上利用MPLS VPN开出一个“互联网VPN”,使各分支的互联网访问都通过这个VPN通道建立链接。通过统一互联网络出口,强化互联网接入区域安全控制,可防御来自Internet的安全威胁,DMZ区的安全防护得到进一步加强;通过提供安全可靠的VPN远程接入,互联网出口的负载均衡策略得到加强,对不同业务和不同用户组的访问服务策略控制,有效控制P2P等非工作流量对有限带宽的无限占用,能够对互联网访问的NAT记录进行保存和查询。

4.三层四区规划

提出“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,并提出了“三层四区”安全防护体系的总体框架。基于这一设计规范,并结合该企业网络的实际情况,未来公司的网络区域可以划分为企业生产系统和企业管理信息系统,其中企业生产系统包括I区和II区的业务;企业管理信息系统包括III区和IV区的业务。I区到IV区的安全级别逐级降低,I区最高,IV区最低。

在上述区域划分的基础上,可在横向和纵向上采用下列技术方式实现不同安全区域间的隔离。

(1)纵向隔离

在未来调度数据网建成后,将安全区I和安全区II运行在独立的调度数据网上,安全区III和安全区IV运行在目前的综合数据网上,达到2网完全分开,实现物理隔离。在调度数据网中,采用MPLS VPN将安全区I和安全区II的连接分别分隔为实时子网和非实时子网,在综合数据网中,则采用MPLS VPN将互联网连接和安全区III及安全区IV的连接分开,分为管理信息子网和互联网子网。

(2)横向隔离

考虑到I区和II区对安全性的要求极高,对于I区和II区进行重点防护,采用物理隔离装置与其他区域隔离;而在I区和II区之间可采用防火墙隔离,配合分布式威胁防御机制,防范网络威胁;考虑到III区和IV区之间频繁的数据交换需求,III区和IV区之间视情况采用交换机防火墙模块进行隔离,并在区域内部署IDS等安全监控设备,在骨干网上不再分成2个不同的VPN;由于外部的威胁主要来自于Intern过出口,因此可在全省Internet出口集中的基础上,统一设置安全防护策略,通过防火墙与III区、IV区之间进行隔离。

5.综合数据网安全防护

综合业务数据网,主要承载了0A、95598、营销、财务等应用系统,同时也在进行SCADA/EMS等调度业务的接入试点。

采用网络安全监控响应中心为核心的分布式威胁防御技术,对全网的病毒攻击和病毒传播进行主动防护,通过关联网络和安全设备配置信息、NetFlow、应用日志和安全事件,从中心的控制台实时发现、跟踪、分析、防御、报告和存储整个企业网络中的安全事件和攻击。同时分布式威胁防御手段不但用于对综合数据骨干网进行安全防护,而且通过建立2级安全监控响应中心,对包括综合数据网、企业本部局域网、分支机构局域网在内的全网设备进行监控。

第3篇:企业网络安全体系建设范文

关键词:网络安全技术 企业网络 解决方案

中图分类号:TN711文献标识码: A 文章编号:

随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。

一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。

二、企业网络安全解决方案

(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。

(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全

1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。

(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:

1.建立和健全本系统的系统安全操作规程。

2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。

3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。

第4篇:企业网络安全体系建设范文

关键词:网络系统 互联网 系统架构

面对全球市场化的挑战,企业要实现跨地区、跨行业、跨国经营的战略目标,要把工作重点转向技术创新、管理创新和制度创新上来,信息化是必然的选择。油田的数字化建设为油田的生产经营业务提供安全、稳定、高效、可靠的网络服务目标,把工作重心转移到确保“数字化管理”的网络需要上来,紧紧围绕中国石油规划的计算机局域网改进项目实施,主要从计算机主干网络、网络安全体系、网络数字化管理等方面,提供了强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全性提出了更高的要求。本文分析油田网络安全体系和网络管理。

一、网络系统架构

遵循中国石油局域网建设和运维规范,结合各地油田实际,科学规划,从网络架构、设备配置、系统承载能力、网络带宽等全面构架网络。

网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则,在主要油气区设置网络汇聚节点,提高网络覆盖面,满足油气生产需要。

网络拓扑结构采用双星型结构。自有电路与社会电路资源结合使用,在链路层面提高了油气区网络的可靠性和安全性。对于主要油气区域的汇聚节点,采用网状组网方式,增加到其他汇聚节点的千兆级电路,提高网络冗余度。

设备配置。主干节点设备采用冗余配置。西安网络核心、各网络汇聚节点及重要三级节点的路由器、交换机,采用双设备冗余配置。用设备与备份设备双机模式工作,在系统或者硬件故障时候应用自动切换,在硬件层面提高主干网络的安全性、可靠性。

网络带宽。油田的数字化管理全面展开,计算机网络的带宽需要按照业务需求进行规划。将网络业务分为生产、办公、住宅三类,逐一预测带宽。将主干网络承载的主要业务生产数据按照其业务层级.从井站、作业区、厂部到公司,逐级分解,明确了主干网络的带宽需求,初步确定了网络核心与各汇聚节点之间采用双2.5Gbps链路互联,三级节点至网络汇聚节点采用1―2个1000Mbps-ff联,核心网络采用双万兆互联的链路方案。为确保链路的可靠性,主要节点之间采用双链路互联。

二、网络安全体系的规划和构建

如何规划和设计好网络安全体系,是油田数字化管理基础网络建设的重中之重,也是支持各种信息化应用系统运行的关键所在。按照中国石油的统一规划,各油田计算机网络,对上,与中国石油总部内部网络互联,对外,可以就地通过电信运营商接入Internet。这样就可以从结构上将网络安全分为内部安全、外部安全进行考虑。油田在打造畅通、可靠的油田计算机主干网络的同时,同步做好网络安全工作,从网络的边界层、核心层、接入层及安全体系等方面进行统筹规划,已初步形成了边界严防护、核心重监控、桌面勤补漏、全网建体系的网络安全管理理念。网络安全性得到加强,非正常应用流量减少90%。在边界层,采用防火墙及IPS技术,实现对来自外网的安全第一级防护;在网络核心层,首次在企业网应用了流量清洗技术,不仅实现了外网第二级安全防护,还实现企业内部各个重要业务及用户之间的流量监测及攻击性数据清洗;在接入层,采用漏洞扫描系统,不定期对敏感业务系统进行扫描和加固,及时发现安全隐患并予以消除;在主干网方面,以建立网络安全体系为核心,加强网络安全管理,初步建立起了主干网的安全评估体系。

1、互联网网络安全。在与互联网的接入部分,按照安全区、信息交换区、互联网接入区三个安全区进行建设,规划两台防火墙,考虑到出口网络万兆升级以及防火墙处理能力,同时为了降低出口网络复杂度,选择自带IPS功能的防火墙,通过防火墙设备完成出口网络

的安全防护和入侵防护功能。防火墙选型上既考虑国内产品自主知识产权的优势、又兼顾国外产品高性能及稳定性好的特点。

2、内网安全。通过对目前业界各类安全技术的跟踪和研究,重点按照搀D层做清洗、桌面做漏洞扫描及加固、全网进行安全体系建设三方面强化内部网络安全建设。核心网络流量监控及清洗。一方面,通过建立流量模型,保障主要业务。在网络核心。采用相对串接、镜像等方式先进的分光技术,部署旁路流量分析监管设备,通过分析网络核心、互联网出口等流量情况,提炼重要业务的特性,建立全网主要业务流量模型,为网络规划建设提供依据。对于P2P等对于网络带宽消耗较大的业务,设定阀值及流量管理规则,使P2P等业务对用户网络访问影响降到最低。另―方面,通过对异常流量的清洗,保障核心业务及网络的安全。针对目前在网络中频繁发生的病毒攻击等行为,选择旁路部署的网络异常流量清洗设备,通过采用策略路由和BGP引流方式实现流量监控与异常流量的清洗,使得网络安全管理变被动为主动、由事后分析到事前防范、由未知到可视。据统计。2010年3月份就成功消除安全事件1600多起,较大提高了网络的稳定性和可靠性。各类安全策略及规则库的及时更新升级,也使得系统能应对各类新的攻击。

3、安全评估建设及桌面漏洞扫描。在网络核心部署漏洞扫描系统,不定期对相关业务网络进行扫描,发现漏洞,及时进行系统加固,减少安全事件的发生,提高网络稳定性。在此基础上。与国家有安全资质的第三方公司合作,开展安全体系建设,逐步建立较为完善的网络安全管理体系。

三、网络管理

经过计算机网络的大规模建设发展,网络运维工作量规模成倍增长,而网络运维人员没有增加,如何高效运维已经成了追在眉睫的问题,通过不断的调研和测试,我们认为目前的网络厂家的专业化网管软件、第三方网管软件、国内的网络软件之中,第三方的较为实用,纵观CA、HP等厂家的系统,Solarwinds成为目前比较适合单位实际,能快速高效部署和运维的一套经济实用的系统。主要实现了以下几个方面的开发和应用:实现对全网的网络设备包括路由器、交换机、防火墙、服务器等的实时监测,涉及CISCO、中兴、H3C、华赛、Junipier、飞塔等多个厂家的产品,监测参数包括CPU、内存、带宽、会话数等;实现对各类故障的实时告警和管理,以短信等方式及时提醒运维人员;实时展现全网拓扑结构,以图形化界面友好展示网络畅通情况;实现对全网设备的配置自动备份,能进行配置比对,方便技术人员分析设备运行情况;量化统计分析网络及设备的可用性等指标;灵活定制各类报表,方便决策分析和统计。通过自定义方式建立起来的资源管理,极大方便了网络基础数据和资料的管理。

四、结论

在近一年多的实际运维中,主干网络未出现中断、出口通畅,网络可用性达到l00%。网络整体服务能力的各项指标明显提高:网页平均打开时间由15ms降低到7ms;主干带宽利用率保持

参考文献

[1] 程泽兵. 构建油田网络安全防护体系的研究[J]. 中国科技信息. 2005(19)

[2] 宋永鑫,李国庆. 油田网络安全初步探讨[J]. 油气田地面工程. 2005(01)

第5篇:企业网络安全体系建设范文

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

第6篇:企业网络安全体系建设范文

 

1 信息环境下的企业管理路径

 

1.1 完善管理信息化建设体制

 

企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。

 

1.2 建设企业ERP系统

 

企业要结合经营管理实际情况,引入ERP系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在ERP系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。

 

1.3 优化人力资源信息化管理

 

在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。

 

1.4 加强信息化建设中的风险管理

 

企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。

 

2 保障企业信息安全的体系构建

 

在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。

 

2.1 加强网络安全管理

 

企业在加强网络安全管理的过程中,可采取如下技术措施。

 

2.1.1 对远程接入进行严格控制近年来,虚拟专用网络技术(VPN)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USB KEY身份认证或是动态口令等方式,对远程接入进行安全控制。

 

2.1.2 IPSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用IPSec,由此能够对内部终端进行管理和控制。

 

2.1.3 入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。

 

2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如WPA或WPA2等,也可借助EAP协议对无线网络进行访问控制。

 

2.2 加强访问控制

 

在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。

 

2.2.1 密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。

 

2.2.2 权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。

 

2.2.3 构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、VPN接入的安全水平。

 

2.3 加强信息安全监控与审计

 

企业在加强信息安全的监控与审计方面,可以采取如下技术措施。

 

2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。

 

2.3.2 防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。

 

2.3.3 记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。

 

2.4 加强员工信息安全培训

 

在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。

 

3 结 论

 

在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。

第7篇:企业网络安全体系建设范文

关键词:企业局域网;防病毒;安全性

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 14-0000-01

一、引言

随着信息化发展及其在企业局域网建设中的地位提升,信息化部门如何建立有效运营环境,确保信息安全,显得尤为重要,其中的病毒防御是关键环节。本文总结了病毒的传播、防病毒系统的建立、维护及管理方法,对建立有效的企业网络有一定的指导意义。

二、计算机病毒在局域网中的传播

(一)计算机病毒在局域网中的传播途径。局域网主要是指在一定范围内由服务器和多台计算机组成的互联网络,拥有较高传输速率的同时为病毒传播提供了有效的通道。以下为计算机病毒在局域网内相互传播的几种普遍途径:1.共享:资源共享作为局域网优势之一,实现 “数据开放性”的同时造就了病毒感染的直接性。2.服务器染毒:如局域网中服务器染病,所有经过服务器的数据也会被顺带感染,从而造成整个网络感染病毒。3.终端染毒:如局域网中一台终端染毒,任何接受此终端数据的计算机都会快速、便易的成为另一台染毒终端,导致网内病毒互相感染,屡杀不尽。

(二)计算机病毒在局域网中的传播特点:1.感染速度快:因局域网高效的网络传输速度,也为计算机病毒的迅速传播铺平了道路,引领着计算机病毒踏上高速传播之路。2.扩散面广:病毒可以通过局域网内的一台计算机逐个传播,最终蔓延到局域网内所有计算机。3.难彻底清除:局域网中染毒文件通过计算机信息交互相互传递、相互感染。只要存在一台计算机未能杀毒干净,就可能使整个网络重新被病毒感染,反反复复无法彻底清除。4.破坏性大:局域网一旦出现病毒入侵,会造成网内计算机重要数据被破坏、系统资源被抢占及影响计算机运行速度等问题,严重时甚至可以造成整个网络瘫痪,无形损失难以估量。

三、防病毒系统在企业局域网中的部署

(一)企业局域网建立防病毒系统的必要性。企业局域网的特征决定了如果要确保整个网络的防毒性,就必须保证连接在网络上的每台计算机都具备防护病毒的能力。然而,这不只是每台计算机简单的安装了杀毒软件即可实现的,它需要建立一个多层次、协调一致的立体防病毒系统,以分布处理、集中控制为技术,以系统中心、服务器、客户端、控制台为核心结构,实现远程集中控管、远程病毒报警、远程配置、智能升级、全网查杀、日志管理、病毒溯源等功能,将网络中的所有计算机有机地结合在一起,确保整个网络安全性。

(二)企业局域网防病毒系统的总体规划。防病毒系统建立的应以加强对病毒的防护工作为目的,通过防病毒系统的管理控制台统一部署防毒策略,集中管理网内每台计算机,确保每个终端拥有有效的病毒防护能力。从服务器到终端,由上到下紧密结合,最终形成一个立体的、完整的企业网病毒防护体系。

四、防病毒系统在企业局域网中的管理

(一)制定统一管理策略。防病毒系统在网络内的作用不仅是简单的检测和清除病毒,还应加强对病毒的防护工作,还要制定安全策略、防毒策略、主动防御规则等采用主动防御机制,将病毒隔离在网络大门之外。因此,集中管理、统一防病毒策略成为企业级防病毒产品的重要需求,防病毒管理人员可以通过管理控制台统一部署防病毒系统,统一制定防病毒策略,对网内中计算机实现统一管理、统一调控,保障网内所有终端免受病毒的影响。

(二)制定统一管理制度。为了适应信息技术的发展,落实国家信息安全分级保护制度,根据国家保密相关法律、法规、标准制定适用于企业局域网的防恶意代码系统制度,确保信息数据安全,降低病毒爆发,并按照制度对防病毒系统进行管理及维护工作。

(三)统一快速、方便的升级。企业局域网防病毒系统对更新的及时性需求尤其突出,应定期更新计算机病毒样本库。针对公司这种物理隔离的网络,防病毒系统的升级采用从Internet下载病毒代码和病毒查杀引擎的更新文件,通过光盘信息输入到防病毒系统的服务器上,并通过自动更新设置进行全网的计算机终端病毒库升级工作,保障全网终端正常升级工作的同时尽可能地减少人力的介入。

五、对企业局域网防病毒工作的安全建议

(一)加强员工安全意识。对员工进行以防病毒系统为主题的相关培训,介绍防病毒系统相关制度、策略等内容、讲解杀毒软件的基本功能及应用,使员工具备防毒、反毒的意思及定期全盘杀毒、分析染毒记录、正确判断杀毒软件是否有效等能力,从而积极地配合管理人员的管理与维护工作。

(二)加强技术手段:1.安装企业专业的防病毒软件进行统一的策略下发及全面监控工作。2.定期更新病毒库、升级操作系统的安全补丁避免现在利用操作系统漏洞所传播的病毒。3.关闭一些对企业局域网用户作用不大但却为攻击者提供方便的一些服务。4.当发现某台计算机出现病毒大量报警或染毒情况异常时应立即对其隔离,阻止其联入网内,避免其作为病毒源感染其他计算机。

(三)加强管理手段。配备相应的防病毒系统管理人员负责整个网络防病毒系统的日常管理及维护工作,制定相应的防病毒制度及策略。并结合防病毒相关制度及计算机管理制度,定期对网内终端计算机进行检查工作,发现异常事件及时处理,杜绝人为因素引起的病毒泛滥情况。

六、总结

病毒是企业局域网中最普遍、最常见但对网络信息安全最大的威胁来源,建立一个安全的、有效的企业病毒防护系统是信息系统安全体系建设的重要任务。它不但可以对网内计算机病毒进行有效地查、杀、防等安全防护,还可以在病毒防护的同时简洁、方便和高效的管理网内计算机,最大程度地减少终端用户和管理维护人员的工作量,确保企业局域网信息安全。

参考文献:

[1]张爱香.对计算机病毒防治措施的探讨.2012

第8篇:企业网络安全体系建设范文

关键词:分布式;信息安全;规划;方案

中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证,信息安全组织的目标是:

1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;

2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;

3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:

1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);

2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:

1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;

2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。

其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。

主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。

在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:

1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:

1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。

2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。

3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。

4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。

5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献:

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.

[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.

[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].

[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].

[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.

第9篇:企业网络安全体系建设范文

关键词:电子商务信用保障 原因分析 解决途径

一、我国中小企业电子商务信用保障体系发展瓶颈的原因分析

1.诚信基础薄弱。我国诚信基础薄弱,导致电子商务交易社会信任度低。由于我国长期的“重商主义”影响,导致一些传统的社会诚信道德与伦理的缺失。现实社会中,假冒伪劣商品肆虐、虚假广告泛滥、合同履约率低、经理人缺少诚信、信用卡诈骗、对欠债追讨不力等诚信问题每天见于报端,几乎成了普遍现象;而电子商务作为不见面的交易模式,使得众多中小企业电子商务难以得到消费者的认同。同时,正因为这种不见面的交易模式,使得某些中小企业只注重短期效益,抱着“捞一把就走”的心态经营网站,结果在商品质量、物流配送和售后服务等方面很难让消费者满意,甚至欺骗消费者,这严重损害了电子商务的健康发展。

2.信用法律机制不健全。近年来,我国的信用法律体系建设已经初见成效,但这些信用信息基本处于相对封闭状态,人们很难利用,甚至有时不得不对信用信息本身持怀疑态度,这就为少数人、少数用户、少数企业说谎、失信、欺骗、诈骗提供了可趁之机。在市场经济条件下,诚信与法制是相互补充、相互支持的。健全的法制体系是诚信规范的前提和基础,能够为诚信体系的建立和有效运行提供有力的保障,总体看,我国虽然在法制保障诚信规范方面做了一些工作,但相对于迅猛发展的电子商务仍显滞后。虽然国家已经颁布了《中华人民共和国电子签名法》以及商务部《关于促进电子商务规范发展的意见》等,然而,电子商务的发展需要更多更完善的法律规范以及强有力的执法力度,目前实施的法律规范显然不足以完全解决阻碍电子商务发展的信用问题。

3.部分中小企业自身素质不高,电子商务信用意识淡薄。对于任何企业乃至一个国家,信用都是一种稀缺资源,是支撑电子商务发展的重要保障。我国的市场经济是由计划经济脱胎而来,社会信用经济发育较晚,市场信用交易不发达,社会普遍缺乏在新经济条件下的信用意识和信用道德规范。很多企业与个人对于信用的重要性缺乏应有的认识,“无商不奸”的观念在他们的思想中根深蒂固,认为企业不讲信用照样可以生存和发展,社会上信用缺失现象非常普遍,这种观念意识无疑制约了我国电子商务信用状况的改善,必将对电子商务秩序造成巨大的破坏,新经济难以健康运转。

4.中小企业电子商务信用缺乏统一管理。对参与电子商务的中小企业没有建立详细的信用档案,应以集中、统一、规范的形式或标识反映中小企业网站的资信与交易记录等信息,如企业的基本资料、经济信用资料、客户评价等。同时,由于现有第三方信用评价机构对参与电子商务交易的中小企业,因利益关系而导致资格评审不把关,身份认证不到位,信用档案不完善,以至于造成虚假网站、虚假商品信息等的不断出现,让消费者面对挂着所谓的”可信”标志的网站而云里雾里。

二、我国中小企业电子商务信用保障体系发展瓶颈的解决途径

完善网络购物环境,推动电子商务发展,当务之急是解决电子商务信用保障体系发展的瓶颈问题,促进我国中小企业电子商务的健康发展。首先,政府的引导与规范以及分类监管是必不可少的。第二是媒体和广大的消费者以及各类的服务支撑机构、金融机构的监督。第三则是第三方信用服务机构,能够有效的遏制诈骗现象的发生,从消费者角度来说,也更相信与交易方没有任何利益往来的第三方的审查评价。第四是中小企业的自律和推崇诚信,诚信不仅仅是一种声誉更是一种财富,尤其是对于中小企业,电子商务的诚信建设更加重中之重。具体有以下几个途径:

1.进一步完善电子商务信用保障体系

要尽快在电子商务信用方面进行立法,明确电子商务交易双方、电子商务服务提供商的权利和义务,以及工商部门、工信部门、商务部门、公安部门、银行等相关机构的职责,加强对中小企业的信用管理。扶持独立的第三方信用服务机构,鼓励社会化服务机构开展个人征信、企业征信、企业评级、企业信用风险管理、企业及个人征信咨询服务、征信系统设计及开发等业务。建立一个具有高度社会公信力的企业信用查询和监督平台,为电子商务交易活动提供有价值的参考和指引。建立电子商务失信惩戒机制,对有不良信用记录的中小企业予以惩处,视情节轻重处以罚金、停业整顿等;对于影响恶劣的企业法人,规定在若干年内不得注册企业经商。加强行业自律,促进诚信经营。

2.加强电子商务的信息安全建设

信息安全是电子商务顺利发展的基础和动力。要从法律法规、组织管理、信息技术3个层面建立电子商务信息安全保障体系。完善电子商务信息安全方面的法律法规,严厉打击针对电子商务活动的网络犯罪。目前,国内网络犯罪采用的主要手段是信息截取、信息篡改、信息假冒和交易抵赖。为此,电子商务的信息安全体系要满足使用者和数据识别要求,对存储加密数据进行保密,对联网交易支付可靠性提供保证,提供方便的安全管理以及数据完整性校验等。中小企业和电子商务服务提供商要积极应用防火墙、加密、认证以及反病毒技术,消除电子交易过程中的网络安全隐患。对电子商务服务平台要进行信息安全风险评估和等级保护,加强数据和信息系统的灾难备份,以确保用户各类信息的安全。

3.完善中小企业电子商务信用评价体系

按照统一规划、统一发展的原则,尽快建设全国联网的中小企业信用评价体系,实现银行、工商、税务、公安等部门的信息的共享。信用评价体系的运作,在建立和初始阶段,应由政府部门牵头组织以确保其权威性,使得消费者对信息的真实性无需置疑。就我国当前的电子商务环境,我认为易趣的个人积分是一种较为有效的方法,易趣门户网站对每个卖家都有其信用积分,以此来确定该卖家是否能够诚信守约。在设计中小企业信用评价体系时,我们可借鉴易趣的评价指标,综合考虑中小企业资产负债率、资金周转率和净资产收益率等财务分析指标和企业的社会经济状况、行业发展状况、资金人力资源等外部环境指标对企业的信用评分,供消费者自行查询并选择。

4.建立严格的网络销售商和网络运营商的资格认证和准入制度

由网络营运商向销售商收取一定的赔付准备金,建立专门基金,由相关部门进行监督和管理,当销售商出现诈骗问题或所售产品质量存在问题时,一旦法院的裁判文书生效,就可以用赔偿基金先行对消费者进行赔付。制定诚信体系建设的标准和规范,需要打破目前各行业征信系统分割的现状,将各行业征信系统进行统一整合,并向社会公众开放,这样才能有效遏制网络欺诈行为。