信息與網(wǎng)絡(luò)安全體系模型探討

　　信息與網(wǎng)絡(luò)安全體系整體安全模型：網(wǎng)絡(luò)與信息安全是一個以全面安全策略為核心不斷循環(huán)的動態(tài)閉環(huán)。參考國內(nèi)外各種模型，結(jié)合我校實際情況，提出如下模型(圖1)。
 

　　1、信息與網(wǎng)絡(luò)安全策略

　　安全策略是一套既定的規(guī)則，信息安全所有行為必須遵循此套規(guī)則，其制定必須緊密結(jié)合用戶信息系統(tǒng)的功能和運作以及信息管理策略，具體來說必須遵循以下五個原則：需求、風(fēng)險和代價三者平衡原則；綜合性、整體性和一致性原則：易操作性原則：適應(yīng)性和靈活性原則：多重保護原則。

　　制定好的安全策略必須先進行詳細的資產(chǎn)調(diào)查、威脅評估、風(fēng)險評估，再根據(jù)評估結(jié)論，制定符合適合本單位安全策略。因為安全策略的核心地位，所以必須在整個安全體系運轉(zhuǎn)時動態(tài)調(diào)整，以期更準確、更安全。

　　信息與網(wǎng)絡(luò)安全策略制定后。網(wǎng)絡(luò)與信息安全專責(zé)(策略的制定者)、計算機信息運行專責(zé)(執(zhí)行者)和業(yè)務(wù)使用者(最終用戶)在系統(tǒng)運行過程中要各司其職，分工協(xié)作，確保整個安全策略有效實施。

　　2、安全保護

　　2.1身份認證系統(tǒng)當(dāng)前常用的“用戶名+口令”的身份認證方式，安全性非常弱，用戶名和口令易被竊取。建議采用動態(tài)密碼系統(tǒng)，其由用戶端的密碼令牌和應(yīng)用系統(tǒng)端的認證服務(wù)器組成。用戶登錄應(yīng)用系統(tǒng)時，依據(jù)安全算法，認證系統(tǒng)會在密碼令牌的專用芯片和認證服務(wù)器上同時生成動態(tài)密碼，若雙方密碼相同，則為合法用戶，否則為非法用戶。用戶登錄前，只要根據(jù)令牌上顯示的當(dāng)前動態(tài)密碼，再加上一個個人識別碼登錄即可。每個認證令牌擁有特定的鍵值，正是基于這一種子和某一功能強大的隨機運算法則，在每分鐘都會生成一個唯一與該身份認證令牌對應(yīng)的新密碼：在用戶與認證值組合中，只有服務(wù)器能夠分辨該時刻哪一個密碼合法。

　　2.2加密(數(shù)據(jù)加密與通信加密)虛擬專用網(wǎng)(Virtual Private Network，VPN)運用于：本校與縣級電大之間的Intranet VPN；校信息網(wǎng)與遠程(移動)人員之間的遠程訪問(Remote Access)VPN；VPN是集合了數(shù)字加密驗證和授權(quán)來保護經(jīng)過INTERNET的信息的技術(shù)。它可以在遠程用戶和本信息系統(tǒng)網(wǎng)絡(luò)之間建立一個安全管道。

　　2.3備份與容災(zāi)對于一些關(guān)鍵部門，比如教務(wù)系統(tǒng)的數(shù)據(jù)中心，只有本地數(shù)據(jù)備份是遠遠不夠的。這些關(guān)鍵業(yè)務(wù)對數(shù)據(jù)的可用性要求極高，數(shù)據(jù)的丟失或損壞都會造成無法彌補的損失；當(dāng)數(shù)據(jù)中心被突發(fā)因素破壞時，比如火災(zāi)、地震、爆炸，要求在遠程有數(shù)據(jù)的備份并能在短時間內(nèi)恢復(fù)業(yè)務(wù)的運行。這就是容災(zāi)解決方案要解決的問題。

　　災(zāi)難備份是為在數(shù)據(jù)生產(chǎn)中心現(xiàn)場整體發(fā)生癱瘓故障時，備份中心以適當(dāng)方式接管工作，從而保證業(yè)務(wù)連續(xù)性的一種解決方案。目前使用基于網(wǎng)絡(luò)的容災(zāi)方案。
 

　　通過在存儲交換網(wǎng)絡(luò)中接入虛擬化存儲管理平臺進行存儲設(shè)備之間的數(shù)據(jù)復(fù)制它的優(yōu)點是：①支持異構(gòu)存儲系統(tǒng);②不消耗主機資源：③支持任意數(shù)量的主機；④減少管理成本;⑤可以基于IP或者FC鏈路。

　　2.4邊界防護必須建立以防火墻為核心的邊界防護體系。防火墻是保護網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞的非法入侵。它通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部地結(jié)構(gòu)、信息和運行情況，以此來實現(xiàn)內(nèi)部網(wǎng)絡(luò)地安全保護。

　　但在邊界處只部屬防火墻，無法阻止來自正常開放端口的病毒、木馬、蠕蟲、間諜軟件、黑客攻擊等惡意的網(wǎng)站威脅和基于內(nèi)容的威脅。應(yīng)在邊界處(特別在Internet邊界)部屬類似于Secure Web Gateway(SWG)的郵件、WEB網(wǎng)關(guān)設(shè)備及IPS等設(shè)備。

　　我校信息網(wǎng)絡(luò)現(xiàn)在與省校之間采用防火墻進行安全隔離，按照最小化原則開放最少的端口：切斷原先與舊校區(qū)的物理連接；在Internet邊界處安裝郵件網(wǎng)關(guān)，對郵件病毒進行有效清除。并規(guī)定所有外網(wǎng)與校信息網(wǎng)的的業(yè)務(wù)接入，必須報批信息中心，并在連接邊界安裝符合相關(guān)規(guī)定的防火墻，才能投入使用。

　　2.5防病毒病毒防范子系統(tǒng)主要包括計算機病毒預(yù)警技術(shù)、已知與未知病毒識別技術(shù)、病毒動態(tài)濾殺技術(shù)等。能同時從網(wǎng)絡(luò)體系的安全性、網(wǎng)絡(luò)協(xié)議的安全性、操作系統(tǒng)的安全性等多個方面利用病毒免疫機理。加強對計算機病毒的識別、預(yù)警以及防治能力，形成基于網(wǎng)絡(luò)的病毒防治體系。

　　網(wǎng)絡(luò)病毒發(fā)現(xiàn)及惡意代碼過濾技術(shù)能對疫情情況進行統(tǒng)計分析，能主動對lNTERNET中的網(wǎng)站進行病毒和病毒源代碼檢測；可利用靜態(tài)的特征代碼技術(shù)和動態(tài)行為特征綜合判定未知病毒。

　　2.6用戶桌面安全保證終端節(jié)點安全是整個安全體系中最基礎(chǔ)、最易被忽視的一環(huán)。為此必須做到以下幾點：資產(chǎn)管理、桌面防病毒與反間諜軟件、桌面補丁管理、違規(guī)外聯(lián)自動阻斷、桌面主機防火墻、主機入侵防護，接入強制認證等功能。

　　3、監(jiān)測與應(yīng)急響應(yīng)與事故恢復(fù)

　　安全監(jiān)控和審計在信息安全防范體系中是重要環(huán)節(jié)，在這一環(huán)節(jié)中要注意以下兩個方面。

　　3.1入侵檢測系統(tǒng)：它是防火墻的合理補充，應(yīng)部署在所有網(wǎng)絡(luò)邊界處和重要網(wǎng)段入口處。它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測子系統(tǒng)被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

　　3.2應(yīng)急響應(yīng)與事故恢復(fù)：在發(fā)現(xiàn)入侵行為后，要及時切斷入侵、抵抗攻擊者的進一步破壞行動，作出及時準確的響應(yīng)。使用實時響應(yīng)阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應(yīng)的準確、有效和及時，預(yù)防同類事件的再發(fā)生并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障�；謴�(fù)是防范體系的又一個環(huán)節(jié)，無論防范多嚴密，都很難確保萬無一失，使用完善備份與容災(zāi)機制，將損失降至最低。

　　4、系統(tǒng)漏洞檢測與安全評估軟件

　　系統(tǒng)漏洞檢測可以探測網(wǎng)絡(luò)上每臺主機乃至路由器的各種漏洞：安全評估軟件從系統(tǒng)內(nèi)部掃描安全漏洞和隱患。安全評估軟件還主要涉及到網(wǎng)絡(luò)安全檢測，其主要是系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)及相關(guān)的協(xié)議分析和檢測。

　　系統(tǒng)漏洞檢測與安全評估軟件完成的任務(wù)：

• 對網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和環(huán)境的變化必須進行定期的分析，并且及時調(diào)整安全策略；
• 定期分析有關(guān)網(wǎng)絡(luò)設(shè)備的安全性，檢查配置文件和日志文件；
• 定期分析操作系統(tǒng)和應(yīng)用軟件，一旦發(fā)現(xiàn)安全漏洞，應(yīng)該及時修補；
• 檢測的方法主要采用安全掃描工具，測試網(wǎng)絡(luò)系統(tǒng)是否具有安全漏洞和是否可以抗擊有關(guān)攻擊，從而判定系統(tǒng)的安全風(fēng)險。

　　5、安全信息管理與安全加固

　　5.1信息安全工作重在管理安全管理工作涉及：安全策略管理、業(yè)務(wù)流程管理、應(yīng)用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施、運行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等等，其中，安全策略管理是首要工作。

　　5.2安全加固除了根據(jù)安全評估結(jié)果增加必要的投入外，必須對現(xiàn)有的安全設(shè)施與系統(tǒng)進行加固。用戶桌面系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，應(yīng)用系統(tǒng)。網(wǎng)絡(luò)設(shè)備，安全設(shè)備與系統(tǒng)必然存在各式的漏洞，應(yīng)及時不斷跟蹤各類產(chǎn)品產(chǎn)家的漏洞發(fā)布，及時發(fā)現(xiàn)潛在的威脅。并進行漏洞修補，它將幫助保護您的計算機免受惡意攻擊。如微軟操作系統(tǒng)的Microsoft Update會在計算機運行并連接至Internet時自動下載并安裝最新的Windows安全更新。

　　總之，網(wǎng)絡(luò)與信息安全體系是一個有機、動態(tài)的整體，要建立相對完善的網(wǎng)絡(luò)與信息安全體系，必須做到：體系整體動態(tài)地循環(huán)，根據(jù)不斷變化的軟、硬件環(huán)境，各個組成部分有機地交互，不斷地調(diào)整，不斷提高本身的自適應(yīng)性，以適應(yīng)新的應(yīng)用環(huán)境。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標題：信息與網(wǎng)絡(luò)安全體系模型探討

本文網(wǎng)址：http://www.lukmueng.com/html/support/11121510712.html