摘要:在这个信息技术飞速发展的时代,许多有远见的企业已经意识到,有必要依托先进的IT技术构建自己的业务和运营平台,以极大地提升自己的核心竞争力,使自己在残酷的竞争环境中脱颖而出。管理更依赖于计算机应用系统,计算机应用系统更依赖于网络。计算机规模不断扩大,网络结构越来越复杂。计算机和计算机应用系统的正常运行对网络安全提出了更高的要求。本文阐述了安全体系建设的原则,举例说明了企业整体网络安全方案,以及方案的组织与实施,为企业提供了一个可靠、完整的方案。
关键词:信息安全,企业网络安全,智能技术,安全防护
一.导言
随着计算机和网络技术在中国的迅速发展和广泛普及,企业商务活动中的各种业务系统都是基于Internet/Intranet环境。然而,随之而来的安全问题也困扰着用户。互联网的开放性、国际性和自由性在增加应用自由度的同时,也对安全性提出了更高的要求。一旦网络系统安全受到严重威胁甚至瘫痪,将给企业、社会乃至整个国家带来巨大的经济损失。如何防止企业信息网络系统被黑客和病毒入侵,已经成为信息产业健康发展需要考虑的重要问题之一。
一般的企业网络应用系统主要包括WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络架构会越来越复杂,应用系统也会越来越多。但从整个网络系统的管理来看,通常包括内部用户、外部用户以及内外网之间。因此,一般来说,整个企业的网络系统有三个安全问题:
互联网安全:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒的传播、蠕虫攻击、垃圾邮件的泛滥和敏感信息的泄露已经成为最普遍的安全威胁。对于企业用户来说,每次遇到这些威胁,往往会造成数据破坏、系统异常、网络瘫痪、信息被盗、工作效率下降,以及直接或间接的经济损失。
企业内网安全:最新调查显示,被调查企业中超过60%的员工使用互联网处理个人事务。网络的不当使用降低了生产力,阻碍了计算机网络,消耗了企业网络资源,并引入了病毒和间谍,或者使非法员工能够通过网络泄露企业机密,给企业造成了数千万美元的损失。因此,企业内部网络安全也需要重视。现有的安全风险主要包括未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术、缺乏有效的手段评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份和灾难恢复措施等。
内网与内外网的连接安全:随着企业的发展和移动办公的普及,逐渐形成了企业总部、各地分公司、移动办公人员等新的互动运营模式。如何处理好总部、分公司、移动办公人员之间信息共享的安全性,既保证信息的及时共享,又防止泄密,成为企业成长过程中不得不考虑的问题。组织与总部之间网络连接的安全性直接影响到企业的高效运作。
二、以某公司为例,综合企业网络图如下,分析现状和需求:
图1示出了企业网络的示意图。
公司的信息安全体系可能存在一些缺陷,无论是在整体结构上,还是在信息安全产品的功能和性能上,如下所示:
系统不强,安全防护仅限于网络安全,系统、应用、数据的安全风险很大。
原有的网络安全产品在功能和性能上已经不能适应新的形势,存在一定的网络安全隐患,产品急需升级。
管理更依赖于计算机应用系统,计算机应用系统更依赖于网络。计算机规模不断扩大,网络结构越来越复杂。计算机和计算机应用系统的正常运行对网络安全提出了更高的要求。
计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部的数据中心。因此,必须加强各计算机应用系统的用户管理和身份认证,加强数据的备份,利用技术手段提高数据的保密性、完整性和可用性。
从以上分析可以看出,公司信息系统存在较大风险,信息安全需求主要体现在以下几点:
一个公司的信息系统不仅需要安全可靠的计算机网络,还需要做好系统、应用、数据安全保护等各个方面的工作。因此,必须加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
随着网络规模和复杂性的扩大,以及新的攻击方式的出现,公司的计算机网络安全面临着更大的挑战,原有产品被升级或重新部署。
信息安全的日益重要性和复杂性对安全管理提出了更高的要求。因此,必须加快规章制度和技术规范建设,使各项安全工作有序、规范地进行。
信息安全是一个动态循环的过程。如何利用专业公司的安全服务,做好事前、事中、事后的防范,应对各种新兴的安全威胁,也是一个公司面临的重要问题。
三。设计原则
安全体系建设要按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投资建设,充分考虑整体和局部利益。如下所示:
1.标准化原则
2.系统化原则
3.风险规避原则
4.投资保护原则
5.多重保护原则
6.分步实施的原则
四。企业网络安全解决方案的构想
1.安全系统架构
安全方案必须基于科学的网络安全体系结构,因为安全体系结构是安全方案设计和分析的基础。
随着应用层受到的攻击越来越多,威胁越来越大,仅仅针对网络层的安全解决方案已经不足以应对来自应用层的攻击。举个简单的例子,那些带有后门程序的蠕虫病毒,简单的防火墙VPN安全系统是对付不了的。因此,我们建议企业采用立体化、多层次的安全体系架构。这种多层次的安全体系,不仅要求在网络边界设置防火墙VPN,还要针对网络病毒、垃圾邮件等应用层攻击设置防护措施,将应用层的防护置于网络边缘。这种主动防护可以完全阻挡来自内网的攻击内容。
2.安全保护系统
信息安全应作为一个整体来考虑,涵盖信息系统的各个层面,从网络、系统、应用、数据等方面进行综合防范。信息安全系统模型表明,安全是一个动态的过程,事前、事中、事后的技术手段要完备,安全管理要贯穿于安全活动的始终。如图2所示:
图2展示了网络和信息安全系统模型。
3.企业网络安全结构图
通过以上分析,可以得出结论,整体安全架构应该实现的功能大致如图3所示:
解释图3的整体安全结构图。
五、总体网络安全方案
1.网络安全认证平台
认证体系,无论是企业内部的信息网络,还是外部的网络平台,都必须建立在安全可信的网络之上。目前,解决这些安全问题的最佳方案是应用PKI/CA数字认证服务。PKI是一种基于公钥理论和技术提供在线身份认证的安全系统。从技术上解决了在线身份认证、信息完整性和不可否认性的安全问题,为网络应用提供可靠的安全保障,为用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立完善的网络安全认证平台,可以通过该安全平台实现以下目标:
1)身份认证:确认双方身份,要求双方身份不能伪造或伪装。在该系统中,其他方的身份通过数字证书来确认。
2)数据的保密性:对敏感信息进行加密,保证其不会被泄露,这在本系统中是通过数字证书加密来实现的。
3)数据的完整性:保证通信信息不被破坏,这是通过哈希函数和数字签名来完成的。
4)不可否认性:防止联系方否认自己的行为,保证联系方承认自己的行为并对自己的行为负责。这是通过数字签名完成的,可以作为法律证据。
2.虚拟专用网系统
虚拟专用网络(VPN)是一种逻辑虚拟专用网络,它通过一个公共骨干网将物理上分布在不同地方的网络连接起来。与传统的物理方法相比,具有成本和维护成本低、易于扩展、数据传输安全性高等优点。
通过安装和部署VPN系统,可以为企业搭建虚拟专用网提供一整套安全的解决方案。它以开放的网络作为信息传输的媒介,通过加密、认证、封装和密钥交换技术在公网上开通隧道,使合法用户可以安全地访问企业的私有数据,而不是专线,实现移动用户与远程局域网的安全连接。
集中式安全策略管理可以集中管理和配置整个VPN网络的安全策略。
3.网络防火墙
防火墙系统用于隔离和保护内部网和广域网。通过单独的防火墙设备保护内部网络中的服务器子网。其网络结构一般如下:
图4防火墙
此外,在实践中,可以添加入侵检测系统来补充防火墙的功能,对监控网段上的攻击提供实时报警和积极响应。
4.病毒防护系统
应加强病毒防护系统的应用策略和管理策略,增强勤网络的病毒防护功能。在这里,我们可以选择瑞星在线杀毒软件企业版。瑞星网络杀毒软件是专门针对网络病毒传播特点开发的网络杀毒软件。通过瑞星网络防病毒系统,在网络中的客户端和服务器端设置防病毒系统,实现防病毒系统的统一集中管理,从而实时掌握和了解网络中当前的计算机病毒事件,实现网络中所有计算机的远程防病毒策略设置和安全运行。
5.服务器的保护
在企业中,服务器的保护也是非常重要的。这里我们选择电子邮件作为例子来说明服务器保护的重要性。
电子邮件是互联网最早的应用之一。随着网络的快速发展,电子邮件的使用越来越广泛,成为人们交流的重要工具,大量敏感信息在网络上传播。但是,由于网络的开放性和电子邮件协议本身的缺陷,电子邮件存在很大的安全隐患。
目前广泛使用的电子邮件客户端软件如OUTLOOK都支持S/MIME,这是由PEM和MIME发展而来的。首先,它的认证机制依赖于分级认证机构。所有下级组织和个人的证书由上级组织认证,上级组织之间相互认证。整个信任关系基本上是树形的。其次,S/MIME对信件内容进行加密和签名,并作为特殊附件发送。确保信件内容的安全性。下图是电子邮件系统保护的示意图:
解释图5的邮件系统保护。
6.关键网段保护
在企业的某些网段上传输的数据和信息非常重要,应该保密。所以我们也要对这些网段给予特殊保护。图表如下面的图6所示。
解释图6中关键网段的保护。
7.日志分析和统计报告能力
还应该对网络中的所有安全事件进行详细的日志记录,包括事件名称、描述、相应主机的IP地址以及其他相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,包括日报、月报、年报等。通过各种分析方法,如来源分析、目标分析、类别分析等。,可以从整体上直观清晰地分析网络上的各类事件,有助于管理者提高网络安全管理水平。
8.内部网络行为的管理和监控
除了外部保护,网络中的上网行为也应受到规范,对上网行为进行监控,过滤网页访问,过滤电子邮件,限制网上聊天行为,防止下载不当文件。企业内部用户在线信息的识别度要达到每一个URL请求和每一个URL请求的响应。通过对网络内部网络行为的监控,可以规范网络内部的上网行为,提高工作效率,避免企业内部的网络安全隐患。因此,对台式计算机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统集电子签名、文件加密应用、安全登录和相应的智能卡管理工具于一体,是客户端安全的整体解决方案。有以下系统:
1)电子签名系统
非对称密钥系统用于确保文档的完整性和不可否认性。利用组件技术,可以无缝嵌入办公系统。用户可以在编辑文档后签名,或者在打开文档时验证文档的完整性并检查其作者。
2)安全登录系统。
安全登录系统为系统和网络登录提供认证。使用后,只有具有指定智能密码密钥的人才能登录到计算机和网络。如果用户需要离开电脑,只需拔出智能密码钥匙即可锁定电脑。
3)文件加密系统
文件加密应用系统确保了数据的安全存储。由于密钥存储在智能密钥中,加密算法采用国际标准安全算法或国家密码管理局规定的安全算法,保证了存储数据的安全性。
内网综合防护示意图如下图7所示:
解释图7。全面保护内部网。
9.移动用户管理系统
对于在企业外工作的笔记本电脑,在访问内网时也要进行安全控制,确保笔记本设备的安全。有效防止病毒或黑客程序被带入内网。
10.身份认证解决方案
身份认证是指计算机和网络系统确认操作者身份的过程。基于PKI的认证是近年来发展起来的一种方便、安全的认证技术。它采用软硬件结合的强双因素认证模式,一次一密,解决了安全性和易用性的矛盾。USB Key是一种带有USB接口的硬件设备。它内置MCU或智能卡芯片,可以存储用户的密钥或数字证书。USB Key内置的密码算法可以用来认证用户的身份。
基于PKI的USB Key解决方案不仅可以提供身份认证的功能,还可以通过一定的层次关系和逻辑联系,构建由用户集中管理和认证系统、应用安全组件、客户端安全组件和证书管理系统组成的综合安全技术体系,从而达到上述的身份证、授权和访问控制、安全审计、数据机密性、完整性和不可否认性的一般要求。
不及物动词方案的组织和实施方式
从上面的分析和设计可以看出,网络与信息安全防范体系的流程主要由三部分组成:攻击前的防范、攻击中的防范和攻击后的响应。具体的安全管理贯穿整个流程图,如图8所示。整个安全管理流程图不仅描述了安全预防措施的动态过程,也为该方案的实施提供了参考。
图8示出了安全管理的整个流程图。
因此,在组织实施本方案时,除了实施项目外,还应注意以下工作:
方案实施者应在初步风险分析的基础上,进一步进行风险评估,明确需求,瞄准目标,确保技术方案的针对性和投资回报。
将应急响应和事故恢复作为技术方案的一部分,必要时使用专业公司的安全服务,提高应对重大安全事件的能力。
该方案投资大,覆盖面广。根据实际情况,可以分地区、分阶段实施。
在实施方案的同时,加强规章制度和技术规范建设,进一步实现信息安全日常工作的制度化和规范化。
七。摘要
本设计以某公司为例,分析网络安全现状,指出存在的风险,进而提出一套完整的解决方案,涵盖方方面面,从技术手段的提升到规章制度的完善;从单机系统的安全加固到全网的安全管理。也希望通过该方案的实施,能够建立完善的信息安全体系,有效防范来自各方面的信息系统攻击和威胁,将风险降到最低。
江西智德星智能科技有限公司
