中小企業(yè)信息安全整體方案

向文

【摘 要】在飛速發(fā)展的互聯(lián)網(wǎng)時(shí)代，企業(yè)的信息安全尤為重要，短時(shí)間的網(wǎng)絡(luò)中斷或者部分的信息泄露，就會(huì)給企業(yè)造成巨大的損失。為避免信息安全問題的發(fā)生，我們應(yīng)該從企業(yè)需求分析，考慮多方面的防護(hù)，根據(jù)需求采取各種措施，設(shè)計(jì)多種解決方案，從軟件到硬件對(duì)企業(yè)的信息化網(wǎng)絡(luò)進(jìn)行防護(hù)，杜絕或減少信息化安全給企業(yè)帶來的損失。

【關(guān)鍵詞】信息安全； 網(wǎng)絡(luò)安全；安全防護(hù)；

前言

在日常的企業(yè)辦公中，總部和各分公司以及出差的員工都需要實(shí)時(shí)地進(jìn)行資源共享和信息傳輸，企業(yè)和企業(yè)之間的業(yè)務(wù)來往也是非常依賴于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的通信協(xié)議原始設(shè)計(jì)的局限性和互聯(lián)網(wǎng)的開放性，信息采用明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題越來越嚴(yán)重，網(wǎng)絡(luò)攻擊、非法訪問、竊取信息等不斷發(fā)生，給企業(yè)的正常運(yùn)行帶來嚴(yán)重的安全隱患，有時(shí)會(huì)造成巨大的損失。網(wǎng)絡(luò)攻擊，會(huì)造成企業(yè)的服務(wù)器癱瘓； 信息竊取 ，會(huì)造成企業(yè)的商業(yè)機(jī)密泄漏，內(nèi)部服務(wù)器被非法訪問，會(huì)破壞傳輸信息的完整性或者被假冒；網(wǎng)絡(luò)病毒，會(huì)造成整個(gè)公司的服務(wù)器被病毒感染，使得公司網(wǎng)絡(luò)陷入癱瘓，造成公司系統(tǒng)的崩潰。目前的現(xiàn)狀是信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅速，信息的安全技術(shù)相對(duì)滯后，用戶在引入安全設(shè)備和系統(tǒng)時(shí)，有些是缺乏培訓(xùn)和學(xué)習(xí)，有些是對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，最終致使安全設(shè)備系統(tǒng)沒有能夠使其發(fā)揮最大的作用。比如對(duì)某些通信和操作需要限制，管理員沒有意識(shí)到或是為了方便，設(shè)置成全開放狀態(tài)等等，造成了網(wǎng)絡(luò)漏洞。

1.企業(yè)安全需求分析

根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，對(duì)信息的保護(hù)方式進(jìn)行安全需求分析主要從以下幾個(gè)方面進(jìn)行考慮

1.1網(wǎng)絡(luò)傳輸保護(hù)：主要是數(shù)據(jù)加密，防竊聽保護(hù)。

1.2密碼賬戶信息保護(hù)：對(duì)網(wǎng)絡(luò)銀行和客戶信息進(jìn)行保護(hù)，防止泄露。

1.3網(wǎng)絡(luò)的病毒防護(hù)：采用網(wǎng)絡(luò)防病毒系統(tǒng)，對(duì)網(wǎng)內(nèi)一些可能攜帶病毒的設(shè)備定期進(jìn)行防護(hù)與查殺。

1.4侵檢測(cè)系統(tǒng)：廣域網(wǎng)接入部分設(shè)置入侵檢測(cè)系統(tǒng)。

1.5系統(tǒng)漏洞的分析：安裝漏洞分析軟件和設(shè)備。

2.具體措施

2.1重要數(shù)據(jù)備份：重要數(shù)據(jù)信息一定做到定期備份

2.2網(wǎng)絡(luò)安全結(jié)構(gòu)可伸縮性：安全設(shè)備的可伸縮性，能根據(jù)需要隨時(shí)進(jìn)行功能、規(guī)模的擴(kuò)展。

2.3安全審計(jì)：主要包括內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)

2.4網(wǎng)絡(luò)設(shè)備防雷：埋設(shè)地線，做好防雷設(shè)施布控。

2.5重要信息點(diǎn)的防電磁泄露：安裝好屏蔽設(shè)施設(shè)備，

3.安全解決方案

3.1物理安全和運(yùn)行安全

企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故，以及人為操作失誤或錯(cuò)誤，及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。企業(yè)的運(yùn)行安全即計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過程中的系統(tǒng)安全，是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù)。主要的保護(hù)方式有風(fēng)險(xiǎn)分析與漏洞掃描、防火墻與物理隔離、病毒防治、訪問控制、安全審計(jì)、源路由過濾、數(shù)據(jù)備份、入侵檢測(cè)等。

3.2選擇和購買安全硬件和軟件產(chǎn)品

3.2.1硬件產(chǎn)品主要是防火墻的選購。

對(duì)于防火墻的選購要具備明確防火墻保護(hù)對(duì)象和需求的安全等級(jí)、根據(jù)安全級(jí)別確定防火墻的安全標(biāo)準(zhǔn)、選用功能適中且能擴(kuò)展和安全有保障的防火墻 、能滿足不同平臺(tái)需求，并可集成于網(wǎng)絡(luò)設(shè)備中、應(yīng)能提供良好地售后服務(wù)的產(chǎn)品等要求。

3.2.2軟件產(chǎn)品主要是殺毒軟件的選擇。

本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求：具有優(yōu)秀的病毒防治技術(shù)、程序內(nèi)核安全可靠、有對(duì)付國(guó)產(chǎn)和國(guó)外病毒的能力、系統(tǒng)資源占用低，性能優(yōu)越、易管理和使用、集成度高、可調(diào)控系統(tǒng)資源的占用率、有便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu)點(diǎn)。

3.2.3網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分組網(wǎng)規(guī)則。

規(guī)劃網(wǎng)絡(luò)要規(guī)劃到未來的三到六年。并且在未來，企業(yè)的電腦會(huì)不斷增加。比較環(huán)形、星形、總線形三種基本拓?fù)浣Y(jié)構(gòu)，星形連接在用戶接入網(wǎng)絡(luò)時(shí)具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出，所以選擇星形網(wǎng)絡(luò)最好。

3.2.4網(wǎng)絡(luò)隔離與訪問控制。

網(wǎng)絡(luò)安全是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，僅僅采用高檔的安全產(chǎn)品并不能解決全部問題，對(duì)安全設(shè)備的管理要求也是非常高的。如果安全產(chǎn)品在管理上是各自管理，很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，造成整個(gè)網(wǎng)絡(luò)出現(xiàn)重大安全隱患。技術(shù)員不夠?qū)I(yè)，上述現(xiàn)象就會(huì)更加容易出現(xiàn)；具體企業(yè)的維護(hù)人員的水平也有差異，配置的差異容易造成錯(cuò)誤進(jìn)而使網(wǎng)絡(luò)中斷。所以，選擇安全設(shè)備就應(yīng)當(dāng)盡量選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣集成化管理的設(shè)備由少量的專業(yè)人員對(duì)其進(jìn)行管理、配置，會(huì)成倍的提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。

3.2.5操作系統(tǒng)安全增強(qiáng)。

企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)的安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國(guó)外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患，因此要加強(qiáng)對(duì)系統(tǒng)后門程序的管理，對(duì)一些可能被利用的后門程序要及時(shí)進(jìn)行系統(tǒng)的補(bǔ)丁升級(jí)。

3.2.6應(yīng)用系統(tǒng)安全。

企業(yè)應(yīng)用的系統(tǒng)安全，首先包括用戶進(jìn)入系統(tǒng)的身份鑒別與控制， 使用網(wǎng)絡(luò)各種資源的權(quán)限管理和訪問控制，涉及到安全相關(guān)的操作一定要進(jìn)行審計(jì)等。用戶按等級(jí)分類，分為各級(jí)管理員用戶和各類業(yè)務(wù)用戶。 數(shù)據(jù)庫系統(tǒng)、E-MAIL服務(wù)、WWW服務(wù)、VPN、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全非常重要，這些系統(tǒng)提供安全的服務(wù)也非常重要。本方案中， 應(yīng)用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞、操作系統(tǒng)漏洞、應(yīng)用程序漏洞、等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)漏洞及時(shí)告警，自動(dòng)提供解決措施或給出參考意見，及時(shí)提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。

3.2.7重點(diǎn)主機(jī)防護(hù)。

為重點(diǎn)主機(jī)，堡壘機(jī)建立主機(jī)防御系統(tǒng)，對(duì)于一些重要的資源，我們可以采用主機(jī)入侵防御系統(tǒng)這種功能限定不同應(yīng)用程序的訪問權(quán)限，只允許已知的合法的應(yīng)用程序訪問這些資源。

3.2.8連接與傳輸安全。

由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)對(duì)內(nèi)網(wǎng)，內(nèi)網(wǎng)主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)，生產(chǎn)系統(tǒng)等；另一套是外網(wǎng)與INTERNET相連，通常是通過寬帶接入，與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連?？缭絀NTERNET通過公共線路建立的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，通過網(wǎng)絡(luò)進(jìn)行信息共享、數(shù)據(jù)交換。INTERNET本身就缺乏有效的安全保護(hù)，信息傳輸過程中如果不采取相應(yīng)的安全措施，非常容易受到網(wǎng)絡(luò)上其他主機(jī)的監(jiān)聽而造成重要信息的泄密或被非法篡改的嚴(yán)重后果。所以在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器（VPN-CA），在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。這樣就能有效地避免數(shù)據(jù)傳輸過程中面臨的安全威脅。

4.結(jié)束語

企業(yè)信息的安全非常重要，要從管理層到具體實(shí)施層抓起，提高防范意識(shí)，讓應(yīng)用人員重視信息安全問題。從而避免信息安全帶來的問題。為公司避免不必要的損失。