中小企業(yè)信息安全整體方案

向 文/住房和城鄉(xiāng)建設(shè)部人力資源開發(fā)中心

?

中小企業(yè)信息安全整體方案

向 文/住房和城鄉(xiāng)建設(shè)部人力資源開發(fā)中心

【摘 要】在飛速發(fā)展的互聯(lián)網(wǎng)時代，企業(yè)的信息安全尤為重要，短時間的網(wǎng)絡(luò)中斷或者部分的信息泄露，就會給企業(yè)造成巨大的損失。為避免信息安全問題的發(fā)生，我們應(yīng)該從企業(yè)需求分析，考慮多方面的防護(hù)，根據(jù)需求采取各種措施，設(shè)計多種解決方案，從軟件到硬件對企業(yè)的信息化網(wǎng)絡(luò)進(jìn)行防護(hù)，杜絕或減少信息化安全給企業(yè)帶來的損失。

【關(guān)鍵詞】信息安全； 網(wǎng)絡(luò)安全；安全防護(hù)；

前言

在日常的企業(yè)辦公中，總部和各分公司以及出差的員工都需要實時地進(jìn)行資源共享和信息傳輸，企業(yè)和企業(yè)之間的業(yè)務(wù)來往也是非常依賴于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的通信協(xié)議原始設(shè)計的局限性和互聯(lián)網(wǎng)的開放性，信息采用明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題越來越嚴(yán)重，網(wǎng)絡(luò)攻擊、非法訪問、竊取信息等不斷發(fā)生，給企業(yè)的正常運行帶來嚴(yán)重的安全隱患，有時會造成巨大的損失。網(wǎng)絡(luò)攻擊，會造成企業(yè)的服務(wù)器癱瘓； 信息竊取 ，會造成企業(yè)的商業(yè)機密泄漏，內(nèi)部服務(wù)器被非法訪問，會破壞傳輸信息的完整性或者被假冒；網(wǎng)絡(luò)病毒，會造成整個公司的服務(wù)器被病毒感染，使得公司網(wǎng)絡(luò)陷入癱瘓，造成公司系統(tǒng)的崩潰。目前的現(xiàn)狀是信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅速，信息的安全技術(shù)相對滯后，用戶在引入安全設(shè)備和系統(tǒng)時，有些是缺乏培訓(xùn)和學(xué)習(xí)，有些是對信息安全的重要性與技術(shù)認(rèn)識不足，最終致使安全設(shè)備系統(tǒng)沒有能夠使其發(fā)揮最大的作用。比如對某些通信和操作需要限制，管理員沒有意識到或是為了方便，設(shè)置成全開放狀態(tài)等等，造成了網(wǎng)絡(luò)漏洞。

1.企業(yè)安全需求分析

根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，對信息的保護(hù)方式進(jìn)行安全需求分析主要從以下幾個方面進(jìn)行考慮

1.1網(wǎng)絡(luò)傳輸保護(hù)：主要是數(shù)據(jù)加密，防竊聽保護(hù)。

1.2密碼賬戶信息保護(hù)：對網(wǎng)絡(luò)銀行和客戶信息進(jìn)行保護(hù)，防止泄露。

1.3網(wǎng)絡(luò)的病毒防護(hù)：采用網(wǎng)絡(luò)防病毒系統(tǒng)，對網(wǎng)內(nèi)一些可能攜帶病毒的設(shè)備定期進(jìn)行防護(hù)與查殺。

1.4侵檢測系統(tǒng)：廣域網(wǎng)接入部分設(shè)置入侵檢測系統(tǒng)。

1.5系統(tǒng)漏洞的分析：安裝漏洞分析軟件和設(shè)備。

2.具體措施

2.1重要數(shù)據(jù)備份：重要數(shù)據(jù)信息一定做到定期備份

2.2網(wǎng)絡(luò)安全結(jié)構(gòu)可伸縮性：安全設(shè)備的可伸縮性，能根據(jù)需要隨時進(jìn)行功能、規(guī)模的擴展。

2.3安全審計：主要包括內(nèi)容審計和網(wǎng)絡(luò)通信審計

2.4網(wǎng)絡(luò)設(shè)備防雷：埋設(shè)地線，做好防雷設(shè)施布控。

2.5重要信息點的防電磁泄露：安裝好屏蔽設(shè)施設(shè)備，

3.安全解決方案

3.1物理安全和運行安全

企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故，以及人為操作失誤或錯誤，及各種計算機犯罪行為導(dǎo)致的破壞過程。企業(yè)的運行安全即計算機與網(wǎng)絡(luò)設(shè)備運行過程中的系統(tǒng)安全，是指對網(wǎng)絡(luò)與信息系統(tǒng)的運行過程和運行狀態(tài)的保護(hù)。主要的保護(hù)方式有風(fēng)險分析與漏洞掃描、防火墻與物理隔離、病毒防治、訪問控制、安全審計、源路由過濾、數(shù)據(jù)備份、入侵檢測等。

3.2選擇和購買安全硬件和軟件產(chǎn)品

3.2.1硬件產(chǎn)品主要是防火墻的選購。

對于防火墻的選購要具備明確防火墻保護(hù)對象和需求的安全等級、根據(jù)安全級別確定防火墻的安全標(biāo)準(zhǔn)、選用功能適中且能擴展和安全有保障的防火墻 、能滿足不同平臺需求，并可集成于網(wǎng)絡(luò)設(shè)備中、應(yīng)能提供良好地售后服務(wù)的產(chǎn)品等要求。

3.2.2軟件產(chǎn)品主要是殺毒軟件的選擇。

本方案中在選擇殺毒軟件時應(yīng)當(dāng)注意幾個方面的要求：具有優(yōu)秀的病毒防治技術(shù)、程序內(nèi)核安全可靠、有對付國產(chǎn)和國外病毒的能力、系統(tǒng)資源占用低，性能優(yōu)越、易管理和使用、集成度高、可調(diào)控系統(tǒng)資源的占用率、有便捷的網(wǎng)絡(luò)化自動升級等優(yōu)點。

3.2.3網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分組網(wǎng)規(guī)則。

規(guī)劃網(wǎng)絡(luò)要規(guī)劃到未來的三到六年。并且在未來，企業(yè)的電腦會不斷增加。比較環(huán)形、星形、總線形三種基本拓?fù)浣Y(jié)構(gòu)，星形連接在用戶接入網(wǎng)絡(luò)時具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點將變得更加突出，所以選擇星形網(wǎng)絡(luò)最好。

3.2.4網(wǎng)絡(luò)隔離與訪問控制。

網(wǎng)絡(luò)安全是一個綜合的系統(tǒng)工程，是由許多因素決定的，僅僅采用高檔的安全產(chǎn)品并不能解決全部問題，對安全設(shè)備的管理要求也是非常高的。如果安全產(chǎn)品在管理上是各自管理，很容易因為某個設(shè)備的設(shè)置不當(dāng)，造成整個網(wǎng)絡(luò)出現(xiàn)重大安全隱患。技術(shù)員不夠?qū)I(yè)，上述現(xiàn)象就會更加容易出現(xiàn)；具體企業(yè)的維護(hù)人員的水平也有差異，配置的差異容易造成錯誤進(jìn)而使網(wǎng)絡(luò)中斷。所以，選擇安全設(shè)備就應(yīng)當(dāng)盡量選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣集成化管理的設(shè)備由少量的專業(yè)人員對其進(jìn)行管理、配置，會成倍的提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。

3.2.5操作系統(tǒng)安全增強。

企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺的安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患，因此要加強對系統(tǒng)后門程序的管理，對一些可能被利用的后門程序要及時進(jìn)行系統(tǒng)的補丁升級。

3.2.6應(yīng)用系統(tǒng)安全。

企業(yè)應(yīng)用的系統(tǒng)安全，首先包括用戶進(jìn)入系統(tǒng)的身份鑒別與控制，使用網(wǎng)絡(luò)各種資源的權(quán)限管理和訪問控制，涉及到安全相關(guān)的操作一定要進(jìn)行審計等。用戶按等級分類，分為各級管理員用戶和各類業(yè)務(wù)用戶。 數(shù)據(jù)庫系統(tǒng)、E-MAIL服務(wù)、WWW服務(wù)、VPN、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全非常重要，這些系統(tǒng)提供安全的服務(wù)也非常重要。本方案中，應(yīng)用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對存在的網(wǎng)絡(luò)漏洞、系統(tǒng)漏洞、操作系統(tǒng)漏洞、應(yīng)用程序漏洞、等進(jìn)行探測、掃描，發(fā)現(xiàn)漏洞及時告警，自動提供解決措施或給出參考意見，及時提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。

3.2.7重點主機防護(hù)。

為重點主機，堡壘機建立主機防御系統(tǒng)，對于一些重要的資源，我們可以采用主機入侵防御系統(tǒng)這種功能限定不同應(yīng)用程序的訪問權(quán)限，只允許已知的合法的應(yīng)用程序訪問這些資源。

3.2.8連接與傳輸安全。

由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)對內(nèi)網(wǎng)，內(nèi)網(wǎng)主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)，生產(chǎn)系統(tǒng)等；另一套是外網(wǎng)與INTERNET相連，通常是通過寬帶接入，與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)相連?？缭絀NTERNET通過公共線路建立的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，通過網(wǎng)絡(luò)進(jìn)行信息共享、數(shù)據(jù)交換。INTERNET本身就缺乏有效的安全保護(hù)，信息傳輸過程中如果不采取相應(yīng)的安全措施，非常容易受到網(wǎng)絡(luò)上其他主機的監(jiān)聽而造成重要信息的泄密或被非法篡改的嚴(yán)重后果。所以在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認(rèn)證服務(wù)器（VPN-CA），在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備，由上級的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。這樣就能有效地避免數(shù)據(jù)傳輸過程中面臨的安全威脅。

4.結(jié)束語

企業(yè)信息的安全非常重要，要從管理層到具體實施層抓起，提高防范意識，讓應(yīng)用人員重視信息安全問題。從而避免信息安全帶來的問題。為公司避免不必要的損失。