大中型企業作為我國國民經濟的骨干企業,在國家經濟發揮舉足輕重的作用,現代經濟活動離不開信息和網絡,大中型企業對網絡和信息技術的依賴性很強,企業員工多、信息化互聯設備多、種類多樣,企業的關鍵業務大多架構在IT系統之上,網絡環境的穩定性、安全性、高效性直接影響公司信息化應用。目前,許多大中型企業提出了建立“數字化企業”的目標,在企業信息化建設中,信息安全問題是必須要首先考慮的問題,可見,建立企業信息安全體系勢在必行。
1.企業信息網絡安全威脅及風險
近年來,許多大中型企業十分重視信息網絡建設的應用和開發,但是對于信息網絡安全的防護并沒有得到足夠重視。根據調研機構的調查報告顯示,國內企業中63%經常遭受病毒或蠕蟲攻擊,而41%的企業受到惡意間諜軟件或惡意軟件的威脅。主要體現在:病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網絡資源濫用、員工信息安全意識淡薄等。
目前企業面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗,垃圾郵件、企業機密泄露、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業最為頭疼的網絡安全問題,企業網絡環境日趨嚴峻。
2.企業網絡安全體系
大中型企業網絡面臨嚴峻的安全形勢,迫使各企業意識到構建完備安全體系的重要性,隨著網絡攻擊的多樣化,只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊,同時還要隨時注重操作系統、數據庫、軟硬件設備的安全性;企業安全體系建設不僅要有效抵御外網攻擊,而且要能防范可能來自內部的安全泄密等威脅。企業必須采用多層次的安全系統架構才能保障企業網絡安全,最終建立一套以內外兼防為特征的企業安全保障體系。
企業信息網絡安全體系由物理安全、鏈路安全、網絡安全、系統安全、信息安全五部分構成。
物理安全:物理安全主要是保護企業數據庫服務器、應用服務器、網絡設備、數據介質及其他物理實體設備的安全,提供一個安全可靠的物理運行環境。
鏈路安全:數據鏈路層(第二協議層)的通信連接就安全而言,是較為薄弱的環節。目的是保證網絡鏈路傳送的數據不被竊聽和篡改。
網絡安全:網絡安全主要包括:通過防火墻隔離內外網絡,不同區域的訪問控制,部署基于網絡的身份認證及入侵檢測系統、VPN、網絡集中防病毒等手段實現網絡設備自身的安全可靠。
系統安全:系統安全主要指數據庫、操作系統的安全保護。保證應用系統的可靠性、完整性和高效性。
信息安全:主要通過數據加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。
3.信息安全體系設計原則
企業安全設計應遵循如下原則:
3.1 保密性:信息不能夠泄露給非授權用戶、實體或過程,或供其利用的特性。
3.2 完整性:信息完整性是指信息在輸入和傳輸的過程中,不被非法授權修改和破壞,保證數據的一致性。
3.3 可用性:保障授權用戶在需要時可以獲取信息并按要求使用的特性。
3.4 可控性:對信息的處理、傳遞、存儲等具有控制能力。
信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。
4.企業網絡安全防范技術手段
目前企業信息網絡布署的安全技術手段主要方式有:
4.1 防火墻系統
防火墻系統作為企業網絡安全系統必不可少的組成部分,用于防范來自外部interne非法用戶對企業內部網絡的主動威脅。防火墻系統搭建在內部網絡與外部公共Internet網絡之間,通過合理配置訪問控制策略,管理Internet和內部網絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監控、阻斷非法數據傳輸等。企業在外部攻擊的頻度和攻擊流量非常嚴重的情況下,建議配置專用的DDOS防火墻。
4.2 入侵檢測系統
入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。IDS是一種積極主動的安全防護技術,可以彌補防火墻相對靜態防御的不足,通過對來自外部網和內部的各種行為進行實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據的依據。
4.3 漏洞掃描系統
企業內部部署漏洞掃描系統,不間斷地對企業工作站、服務器、防火墻、交換機等進行安全檢查,提供記錄有關漏洞的詳細信息和最佳解決對策,協助網管員及時發現和堵絕漏洞、降低風險,防患于未然。
4.4 網頁防篡改系統
網頁防篡改系統主要是防止企業對外Web遭受黑客的篡改,保證企業外部網站的正常運行。防篡改系統利用先進的Web服務器核心內嵌技術,將篡改檢測模塊(數字水印技術)和應用防護模塊(防注入攻擊)內嵌于Web服務器內部,并輔助以增強型事件觸發檢測技術,不僅實現了對靜態網頁和腳本的實時檢測和恢復,更可以保護數據庫中的動態內容免受來自于Web的攻擊和篡改,徹底解決網頁防篡改問題。
4.5 上網行為管理系統
上網行為管理系統主要部署在企業外部防火墻和內部核心交換機之間,針對企業內部員工訪問Internet行為進行集中管理與控制。其主要功能有:網頁過濾、應用控制(IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發帖等)、帶寬管理、內容審計(郵件收發、論壇發帖、FTP、HTTP文件傳輸等)、用戶管理、日志管理等功能。
4.6內網安全管理平臺
據FBI/CSI中國CNISTEC調查報告:來自企業外部威脅占20%,內部威脅高達80%。針對大型企業日益復雜的內部網絡環境以及基于企業保密管理的需求,必須構造一套內網安全管理平臺,規范和管理內部網絡環境,提高內部網絡資源的可控性。其功能應包括:用戶認證與授權、IP與MAC綁定、網絡監控、桌面監控、安全域管理、儲介質管理、補丁分發、文檔安全管理、資產管理、日志報表管理等。
4.7 企業集中防病毒系統
在病毒肆虐的時代,反病毒已經成為企業信息安全非常重要的一環,企業網絡情況比較復雜,由于員工計算機水平大多不高,構造一套完整的企業集中防病毒網絡系統平臺,可以強化病毒防護系統的應用策略和統一管理策略,并且使企業員工電腦的病毒庫及時得到更新,增強病毒防護有效性,降低病毒對安全帶來的威脅。
集中防病毒系統應具有:集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。
4.8 建立健全企業安全管理組織體系及制度,加強企業信息安全意識
企業在建設信息網絡安全建設技術手段的同時,更需要考慮管理的安全性,不斷完善企業信息安全制度。通過培訓,增強每個員工的安全意識,為大中型企業信息安全管理奠定基礎。
隨著信息技術的發展,企業無線接入、電子商務交易、數字簽名、數字證書等安全管理也應逐步納入企業信息安全體系范疇。
五、結束語
目前,大中型企業信息進程的深入和互聯網的快速發展,網絡化已經成為企業信息化的發展大趨勢,針對各種網絡應用的攻擊和破壞方式也變得異常頻繁,信息化發展而來的網絡安全問題日漸突出,網絡安全問題已成為信息時代人類共同面臨的挑戰,同時,網絡信息安全是一個系統工程,涉及人員、硬軟件設備、資金、制度等因素,沒有絕對可靠的安全技術,科學有效的管理可以彌補技術安全漏洞的缺陷。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:大中型企業信息網絡安全體系設計與實現
相關文章
