网络环境下企业信息安全分析与对策本科.doc

上传人:豆**** 文档编号:17267127 上传时间:2022-05-23 格式:DOC 页数:32 大小:194.50KB
返回 下载 相关 举报
网络环境下企业信息安全分析与对策本科.doc_第1页
第1页 / 共32页
网络环境下企业信息安全分析与对策本科.doc_第2页
第2页 / 共32页
点击查看更多>>
资源描述

《网络环境下企业信息安全分析与对策本科.doc》由会员分享,可在线阅读,更多相关《网络环境下企业信息安全分析与对策本科.doc(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流网络环境下企业信息安全分析与对策本科.精品文档.网络环境下企业信息安全分析与对策摘要:随着计算机技术与通信技术的飞速发展,信息已成为企业发展的关键,但是企业在享受着信息系统给公司带来巨大经济效益的同时,也面临着非常大的安全风险。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题,并从中找到针对企业行之有效的安全防范技术。本文从物理安全,系统安全,应用管理安全,黑客攻击,病毒危害等方面对企业网络所面临的安全问题进行了分析与研究,并提出一系列解决的对策,包括:通过划分VLAN的方法,使用加密技术、身份认证技术来保证系统安全;依靠预防黑客攻

2、击技术和网络防病毒技术解决与外部网络连接时产生的网络安全问题;通过建立安全管理体系来应对管理上的漏洞。文章最后用一实例来说明如何构建企业信息安全体系。关键词:信息安全 管理体系 网络技术(关键词不能超过5个)The Enterprise Information Security Analysis and Countermeasures Under The Network EnvironmentAbstract: Along with the Rapid development of computer technology and Communications technology, infor

3、mation has become the key to the enterprise development, but enterprise enjoys the information system bringing huge economic efficiency to the companies well as faces the very large security risk. Therefore, This makes the enterprise must re-examine the security problems of current information syste

4、m faces. and find out effective safe guard technology for enterprise from it. The article has make the Analysis and Research of the Enterprise facing network security problems from the aspects of Physical security, system security, application security, management security, hacker attacks, virus dam

5、age and so on, And puts forward a series of countermeasures to solve, including. Through the method of dividing VLAN, use encryption technology、authentication technology to guarantee system security; rely on the preventing hacker attacks technology and the network anti-virus technology, solve the ne

6、twork security problem when connect the external network; Deals with the loopholes in management the establishment of a safety management system. At last, with an example to illustrate how to build enterprise information security systemKeywords: Information security Management system Network technol

7、ogy毕业设计(论文)原创性声明和使用授权说明原创性声明本人郑重承诺:所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。作 者 签 名: 日 期: 指导教师签名: 日期: 使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计(论文)的规定,即:按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本

8、和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。作者签名: 日 期: 学位论文原创性声明本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名: 日期: 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机

9、构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名:日期: 年 月 日导师签名: 日期: 年 月 日目 录引言11 信息安全的相关定义11.1 信息安全11.2 信息安全的基本属性22 网络环境下企业信息安全分析32.1 物理安全32.2 系统安全32.3 黑客攻击42.4 网络病毒风险42.5 应用管理安全53 网络环境下企业信息安全对策53.1 物理安全对策53.1.1 机房环境安全53.1.2 通信线路安全53.1.3 电源等设备安

10、全63.2 系统安全对策63.2.1 VLAN(虚拟局域网)技术63.2.2 认证技术73.2.3 信息加密技术83.3 黑客攻击对策83.3.1 防火墙技术83.3.2 入侵检测技术103.4 网络病毒对策113.4.1 病毒防治体系特性113.4.2 病毒防治软件安装113.4.3 病毒防护体系的自动控制123.5 应用管理安全对策123.5.1 人事管理133.5.2 场地设施管理133.5.3 设备管理133.5.4 软件管理133.5.5 口令管理143.5.6 网络管理143.5.7 安全审计管理143.5.8 应急管理144 企业信息安全体系建立实例154.1 公司简介154.2

11、 信息安全体系的构建16结 论21参考文献22致 谢23引言信息社会的到来给全球发展带来了契机,信息技术的运用引起了人们生产方式,生活方式和思想观念的转变,极大地促进了人类社会发展和人类文明的进步,把人们带进了崭新的时代;信息系统的建设逐步成为各个企业不可或缺的基础设施;信息成为企业发展的重要战略资源,决策资源和控制市场的灵魂。信息化水平成为衡量一个企业实力的重要标志,抢占信息资源成为企业之间竞争的重要内容。然而企业在享受网络信息所带来利益的同时,也面临着信息安全的严峻考验,企业信息安全成为世界性的现实问题。据统计,全球平均每20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃

12、取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。2007年5月至2008年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%1。而病毒的泛滥,更让国内外众多企业蒙受了巨额经济损失。加强信息安全建设,已成为了目前国内外企业迫在眉睫的大事。1 信息安全的相关定义当前电子信息安全的概念正在与时俱进,他从早期的通信保密发展到关注信息的保密,完整,可用,可控和不可否认的信息安全,并进一步发展到如今的信息保障和信息保障体系。对于信息基础设施的管理活动来说

13、,信息保障和政策;技术和机制在整个信息基础设施的所有层面上均能得到实施。既面向数据安全概念:信息的保密性,完整性,可用性,又面向使用者的安全概念:鉴别,授权,访问,控制,抗否认性和可服务性以及基于内容的个人隐私,知识产权等的保护。这两者的结合就是信息安全保障体现的安全服务,而这些安全问题又要依托于密码,数字签名,身份验证技术,防火墙,灾难恢复,防毒墙和防黑客入侵等安全机制加以解决,其中安全技术和管理是信息安全的核心,而安全标准和系统评估则是信息安全的基础。1.1 信息安全根据国际标准化组织(ISO)的定义,信息安全为“为数据处理系统建立所采取的技术和管理的安全保护措施,以保护计算机硬件、软件和

14、数据不因偶然和恶意的原因而遭到破坏、更改和显露” 2。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性、完整性和可用性,人们建立起信息安全管理体系,它是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的系统,表示成方针、原则、目标、方法、核查表等要素的集合。1.2 信息安全的基本属性信息安全的基

15、本属性有:信息的完整性、可用性、机密性、可控性、可靠性和不可否认性3。(1)完整性:完整性是指信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性。一般通过访问控制阻止篡改行为,通过信息摘要算法来检验信息是否被篡改。(2)可用性:信息可用性指的是信息可被合法用户访问并能按要求顺序使用的特性,即在需要就可取用所需的信息。目前要保证系统和网络能提供正常的服务,除了备份和冗余配置之外,没有特别有效的方法。(3)机密性:是指信息不泄漏给非授权的个人和实体,或供其使用的特性。信息机密性针对信息被允许访问对象的多少而不同。所有人员都可以访问的信息为公用信息,需要限制访问的信息一般为敏感信息

16、或秘密,机密性通常通过访问控制阻止非授权用户获得机密信息,通过加密技术阻止非授权用户获知信息内容。(4)可控性:信息可控性是指可以控制授权范围内的信息流向以及行为方式,对信息的传播及内容具有控制能力。为保证可控性,通常通过握手协议和认证对用户进行身份鉴别,通过日志记录对用户的所有活动进行监控、查询和审计。(5)可靠性:可靠性是指信息以用户认可的质量连续服务于用户的特性(包括信息的迅速、准确和连续的转移等),但也有人认为可靠性就是人们对信息系统而不是对信息本身的要求。(6)不可否认性:不可否认性是指能保证用户无法在事后否认曾对信息进行的生成、签发、接受等行为,是针对通讯各方面信息真实同一性的安全

17、要求,一般用数字签名和公证机制来保证不可否认性。2 网络环境下企业信息安全分析计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上发布信息和获取信息,网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业机密信息,非法使用网络资源等,给企业造成巨大的损失。2.1 物理安全网络物理安全是企业整个内部网络系统安全的前提。物理安全的风险主要有:地震、水灾、火灾等环境事故造成整个系统毁坏、电源故障造

18、成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅,报警系统的设计不足可能造成原本可以防止但实际发生了的事故。很多企业容易忽视这些问题,虽然这些问题不会时常发生,但一旦发生了,对企业的打击是致命的。2.2 系统安全所谓系统安全通常是指网络操作系统、应用系统的安全。多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。再加上因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全

19、的,很容易被窃听和欺骗。大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持,这予黑客以可趁之机。再者目前很多企业由于资金,技术等问题,没有建立起一个立体式的网络安全系统,而是简单的运用单一的技术手段来保证企业信息的安全,这样虽然能解决一些问题,但很有限。比如有些企业用了加密技术,防止了信息的泄露,但却没有使用认证技术,导致信息的不完整性的出现,从而违背信息安全的不可否认性,给企业造成损失。2.3 黑客攻击随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后

20、黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗窃。另外,一个更严重的问题网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos攻击等非法方式对企业网络进行破坏或盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。2.4 网络病毒风险现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,随着Internet开拓性的发展。Internet带来了两种不同的安全威胁。一种威胁

21、是来自文档下载。这些被浏览的或是通过FTP下载的文档中可能存在病毒。而共享软件和各种可执行的文档,如格式化的介绍性文档已成为病毒传播的重要途径。并且,Internet上还出现了Java和Active X形式的恶意小程式。另一种主要威胁来自于电子邮件。大多数的Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能。只要简单地敲敲键盘,邮件就能够发给一个或一组收信人。因此,受病毒感染的文档或文档就可能通过网关和邮件服务器涌入企业网络,从而给企业造成巨大的损失。灰鸽子就是大家所熟知的例子。灰鸽子病毒英文名为win32.hack.huigezi,这个木马黑客工具大致于2001年出现在互联网

22、,当时被判定为高危木马,经过作者的不懈努力,该病毒从2004年起连续三年荣登国内10大病毒排行榜,至今已经衍生出超过6万个变种。中灰鸽子病毒后的电脑会被远程攻击者完全控制,具备和管理者一样的管理权限,远程黑客可以轻易的复制、删除、上传、下载保存在电脑上的文件,机密文件。病毒还可以记录每一个点击键盘的操作,这些操作信息可以被远程攻击者轻松获得。并且,远程攻击者在窃取资料后,还可以远程将病毒卸载,达到销毁证据的目的4。2.5 应用管理安全管理安全是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。如内

23、部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏,传出至关重要的信息,错误地进入数据库、删除数据等。3 网络环境下企业信息安全对策对于上述存在的信息安全问题,可以从以下几个方面进行解决。3.1 物理安全对策保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备,设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。正常的防范措施主要在三个方面。3.1.1 机房环境安全防雷措施:对机房内所有计算机和各种地线系统采用统一的防雷处理,即建筑物内共地系统,保证设备安全,并能防

24、止电磁信息泄漏。在楼顶安装了避雷设施,即在主机房外部安装接闪器、引下线和接地装置,吸引雷电流,并为泄放提供了一条低阻值通道。机房内部采取屏蔽、合理布线、过电压保护等技术措施,以此达到防雷的目的。另外,还采取相应的防盗、防静电、防火、防水等措施。3.1.2 通信线路安全主要是对电源线和信号线采取加装性能良好的滤波器功能,减小阻抗和导线间的交叉耦合,阻止传导发射。对机房水管、暖气管、金属门采用各种电磁屏蔽措施,阻止辐射发生。对主机房及重要信息存储、收发部门进行屏蔽处理,以防止磁鼓,磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号

25、线、电话线、空调、消防控制线,以及通风波导,门的关起等。3.1.3 电源等设备安全主要是加强对网络系统硬件设备的使用管理,强调坚持做好硬件设备(如交换机、路由器、主机、显示器等)的日常维护和保养工作,定期检查供电系统的各种保护装置及地线是否正常。电源系统电压的波动、浪涌电流和突然断电等意外情况的发生可能引起计算机系统存储信息的丢失、存储设备的损坏等情况的发生,必须依照国家的相关标准配备。3.2 系统安全对策系统网络安全是整个安全解决方案的关键。首先根据不同用户安全级别或者根据不同部门的安全需求来划分虚拟子网(VLAN)。其次为了保护通信数据的机密性与完整性,数据需经过配备加密设备,使得在网上传

26、送的数据是密文形式,而不是明文。其采用的主要技术有:VLAN(虚拟局域网)技术,认证技术,信息加密技术等。3.2.1 VLAN(虚拟局域网)技术虚拟局域网技术,是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,

27、互不侵扰。从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法5:(1)基于端口的VLAN划分:这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。(2)基于MAC地址的VLAN划分:MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。(3)基于路由的VLAN划分:路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一

28、个端口位于多个VLAN中。就目前来说,大多数企业采取上述第1、3种方式,第2种方式为辅助性的方案。3.2.2 认证技术认证是防止主动攻击的重要技术,它对开放环境中的各种消息系统的安全有重要作用,认证的主要目的有两个:验证信息的发送者是真正的:验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。目前有关认证的主要技术有:消息认证,身份认证和数字签名。而数字签名是目前应用最广泛的一种认证技术。数字签名能够防止他人冒名进行信息发送和接收,以及防止本人事后否认已进行过的发送和接收活动,数字签名使用的是公钥密码技术RSA非对称加密法,安全性很高。其具体认证过程如图3-1所示6:图3-1 数字签

29、名(1)发送方首先用公开的单向函数对报文进行一次变换,得到数字签名(摘要),然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。(2)接收方用发送方的公开密钥对数字签名进行解密变换,得到一个数字签名的明文。发送方的公钥是由一个可信赖的技术管理机构即验证机构(CA: Certification Authority)发布的。(3)接收方将得到的明文通过单向函数进行计算,同样得到一个数字签名,再将两个数字签名进行对比,如果相同,则证明签名有效,否则无效。这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其

30、无法伪造报文签名及对报文进行修改,原因是数字签名是对整个报文进行的,是一组代表报文特征的定长代码,同一个人对不同的报文将产生不同的数字签名。这就解决了银行通过网络传送一张支票,而接收方可能对支票数额进行改动的问题,也避免了发送方逃避责任的可能性。3.2.3 信息加密技术加密是实现信息存储和传输保密性的一种重要手段。信息加密的方法有对称密钥加密和非对称密钥加密,两种方法各有所长,可以结合使用,互补长短。对称密钥加密,加密解密速度快、算法易实现、安全性好,缺点是密钥长度短、“穷举”方式进攻的代价小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法较复杂,加密解密花费时间长。加密技术中的另

31、一重要的问题是密钥管理,主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。3.3 黑客攻击对策应对黑客的攻击,采用的技术主要有防火墙技术和入侵检测技术。3.3.1 防火墙技术根据CNCERT/CC调查显示,在各类网络安全技术使用中,防火墙的使用率最高达到76.5%,是防止黑客攻击的桥头堡7。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。常见的防火墙体系结构:双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构8

32、。(1)双重宿主主机体系结构:又称为双宿多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,其体系结构如图3-2:图3-2 双重宿主主机体系结构(2)屏蔽主机体系结构:屏蔽主机防火墙由包过滤路由器和堡垒主机组成,其配置如图3-3所示。在这种方式的防火墙中,堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为外部网络惟一可直接到达的主机,这保证了内部网络不被未经授权的外部用户的攻击图3-3 屏蔽主机体系结构(3) 屏蔽子网体系结构:屏蔽子网防火墙的配置如图3-4所

33、示,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为“非军事区”网络,有时也称作周边网。网络管理员将堡垒主机、WEB服务器、Email服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。图3-4 屏蔽子网体系结构网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该

34、在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论内部网络还是与外部公网的连接处,都应该安装防火墙。3.3.2 入侵检测技术防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码。对于以上提到的问题,一个更为有效的解决途径就是入侵检测技术。入侵检测是

35、通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在企业网络中采用入侵检测技术,最好采用混合入侵检测,即在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。3.4 网络病毒对策

36、3.4.1 病毒防治体系特性根据现代企业的具体境况,我们建议企业应该建立起复杂的多层次病毒防治体系,以应对当前的网络病毒。首先应该考虑在何处安装病毒防治软件。在企业中,重要的数据往往保存在位于整个网络中央结点的文档服务器上,这也是病毒攻击的首要目标。为保护这些数据,网络管理员必须在网络的多个层次上配置全面保护措。其必须具备三个特性9:(1)集成性:任何的保护措施必须在逻辑上是统一的和相互配合的。(2)单点管理:作为一个集成的解决方案,最基本的一条是必须有一个安全管理的聚焦点。(3)自动化:系统需要有能自动更新病毒数据库和其他相关信息的功能。3.4.2 病毒防治软件安装(1)工作站:工作站是病毒

37、进入网络的主要途径,所以应该在工作站上安装防病毒软件。虽然现在许多病毒是通过Internet文档下载和电子邮件文档附着传播的,但最主要的传播途径还是由外界带来的软盘,因此在工作站上实施实时软盘扫描是十分必要的。他能够使病毒感染的机会降至最少。当然,在工作站上安装的防病毒软件应很好地融合于系统,便于统一更新和自动运行,以避免给用户造成不便。(2)邮件服务器:邮件服务器是防病毒软件的第二个着眼点。邮件是重要的病毒来源。邮件在发往其目的地前,首先进入邮件服务器并被存放在邮箱内,所以在这里安装防病毒软件是十分有效的。(3)备份服务器:备份服务器是用来保存重要数据的。备份服务器是保护数据的最后据点,是恢

38、复其他服务器数据的基本依据。因此在备份服务器上装杀毒软件是非常必要的(4)Internet服务器和文档服务器:网络中任何存放文档和数据库的地方都可能出问题,因此需要保护好这些地方。文档服务器中存放企业重要的数据。在Internet服务器上安装防病毒软件是头等重要的,上载和下载的文档不带有病毒对您和您客户的网络都是很重要的。3.4.3 病毒防护体系的自动控制一个企业范围的防病毒系统必须统一管理整个域中成百上千个结点(服务器和工作站)才能真正发挥作用,这就需要在一台或几台电脑上安装的防病毒系统控制程序,能够对整个网络或其中任何一个节点的变化作出反应和控制,能够获取病毒信息,进行配置和操作。当某个节

39、点的防范程序认为存在可能的病毒感染时,中央控制系统必须能够切断此节点和网络的连接,以避免病毒向整个网络的扩散。当任何受感染的电脑都被隔离后,防病毒管理系统通知系统管理员,以便采取紧急措施。防病毒系统的警报和通知方法是多样的,比如能够配置不同病毒活动的警报级别,根据问题的不同通知不同的管理人员,根据事件记录产生不同级别的文字消息。3.5 应用管理安全对策信息安全无外乎是技术和管理的结合体,在技术上做到了万无一失,并不表示企业的信息就安全了,我们还要从管理上着手,打造安全管理体系。安全管理体系分为以下八个方面:人事管理、场地设施管理、设备管理、软件管理、密钥和口令管理、网络管理、安全审计管理和应急

40、管理。如图3-5所示:安全管理体系人事管理场地设施管理设备管理网络管理安全审计管理软件管理口令管理应急管理图3-5 安全管理体系3.5.1 人事管理人事管理就是对安全人员的管理。安全人员包括:系统管理员、安全管理员、系统分析员、系统操作员、软硬件维护人员、技术文档管理人员。(1)人事管理原则:一般情况下,每项与安全有关的活动不允许一人单独完成,并且所有安全功能的实施不集中于一人;应用程序开发人员与操作人员分离,开发人员不参与日常操作,操作人员不参与开发。所有人员的工作、活动范围和访问权应被限制在完成其任务的最小范围内。(2)岗位人选:信息系统的关键岗位人选:安全负责人、安全管理员、网络管理员、

41、系统管理员、系统分析员等必须经过严格的政审并要考核其业务能力。相关联的关键岗位人员不能兼职。(3)签订保密合同:关键岗位人员和涉密人员要与企业签订保密合同,承诺其对系统应尽的安全保密义务。3.5.2 场地设施管理(1)建立机房出入登记管理制度,无关人员限制进入机房。(2)建立机房主要设备维护记录文档;及时检查机房主要设备,确保设备处于正常状态。(3)及时做好系统备份和系统日志备份,必要时打印系统日志(4)制定应急措施,出现与安全有关的故障时,按规定时间处理的同时报安全管理部门。3.5.3 设备管理首先是设备购置登记:对所有设备均应建立项目齐全、管理严格的购置、移交、使用、维护、维修和报废等登记

42、制度,并认真做好登记及检查工作,保证设备管理工作正规化。再次是设备维修管理:对系统进行维修时应采取数据保护措施;涉密系统的维修应在设备责任人监督下进行;安全设备维修时应有安全管理员在场。双方在维修记录上签字。3.5.4 软件管理软件管理范围包括操作系统、应用软件、数据库、安全软件和工具软件等的采购、安装、使用、更新和维护。(1)重要的操作系统和应用软件应在安全管理员的监督下进行安装。(2)软件安装后,原件应进行登记造册,由专人保管。软件更新后,软件的新旧版本均应登记造册,由专人保管。旧版本的销毁应受严格控制。(3)定期对操作系统、数据库管理系统及其它相关软件进行稽核审计,分析与安全有关的事件,

43、堵塞漏洞。3.5.5 口令管理(1)信息系统口令一般集中产生。(2)口令的长度根据访问等级确定;涉及国家绝密级的信息的口令不少于十二个字符(或六个汉字):涉及国家机密级信息的口令不少于十个字符(或五个汉字) 10。(3)不能把口令以明码方式保留在任何媒介上:输入的口令不应显示在显示终端上。(4)口令传送必须加密,并与用户身份识别码一一对应。(5)强度特别高的访问控制应使用一次性口令机制。3.5.6 网络管理(1)缺少必要安全措施的网络不能正式投入使用。(2)网络方案设计必须充分考虑其安全性,网络建设过程中应有安全管理人员参加。(3)由专人实施对网络的统一管理、监督与控制,网络调整及运行状况详细

44、记录归档。3.5.7 安全审计管理(1)制定保存和调阅审计日志的管理制度,定期检查信息系统中网络、操作系统、应用等环节的审计功能模块,确保其访问审计记录和运行日志没有被修改和毁坏。(2)及时对审计内容进行分析,找出潜在的安全威胁和异常行为,追查发生异常行为的原因和人员。(3)根据对信息系统安全漏洞扫描报告和通知,及时调整安全策略。(4)定期将审计结果报企业领导,并归档。3.5.8 应急管理信息系统运转过程的每个环节都必须对可能发生的安全事件和故障,制定应急管理制度。(1)根据不同的安全事件和故障类型,按照最坏程度制定相应的应急措施,进行测试和演练。(2)一旦事件发生,启用应急措施,记录现场情况

45、和系统断点,了解事件的范围,判断事件的危害性和损失,按规定报主管领导和有关部门。(3)事后要分析原因,总结教训,弥补系统的脆弱性,完善安全策略、服务和过程。4 企业信息安全体系建立实例对企业来说,建立一个合理、经济的信息安全管理体系是十分重要和必要的。但如何建立信息安全管理体系,却有多种方法和手段,但根本方法是要建立健全的信息安全管理制度和采用相应的技术手段。通过制度和手段的有机结合,可以达到最佳的信息安全管理效果。下面通过百川科技有限公司的信息安全管理体系的建立过程,来说明怎样建立企业信息安全体系。4.1 公司简介本人曾在这家公司实习过,对之有所了解。成都百川科技有限公司(简称百川公司)是一

46、家专业机械制造厂家,公司从1999年开始采用计算机技术应用于产品开发、生产管理之中,形成了具有百川特色的信息化应用体系。百川公司信息安全管理体系的建立和运行过程分为四个步骤,如图4-1:并以循环的方式给予完善和巩固。信息安全体系管理与控制中心信息安全风险分析与评估信息安全防护策略与制度信息安全防护技术实施信息安全管理效果分析评估图4-1 百川公司信息安全防护体系建立过程示意图(1)信息安全风险分析与评估是建立信息安全管理体系的第一步,利用“失误模型及后果分析法”技术,发现系统中每一个环节所产生的(或潜在的)失误条件,对信息安全的影响程度。(2)信息安全防护策略与制度是建立信息安全管理体系的基础

47、,通过确定关键信息、岗位配置、工作人员的权限,明确企业信息的使用范围和处理方式。(3)信息安全防护技术实施是对信息安全防护策略与制度执行情况的监控手段,是维护信息安全管理体系的保障。(4)信息安全防护效果分析评估是为完善动态信息安全管理体系提供必要的依据。通过信息安全管理效果分析和评估,可以不断发现新的安全漏洞和隐患,进一步完善信息安全防护策略和制度。4.2 信息安全体系的构建(1)信息安全风险分析与评估与信息安全防护效果分析评估,是百川公司建立信息安全体系的重要组成部分,前者是发现问题,并提出可行性方案,后者是对已经成型的管理模式进行分析,发现问题,并提出整改意见。两者是有机的统一体。(2)信息安全防护策略与制度百川公司按照信息流的层次、使用单位和使用对象,在信息安全管理体系中给予充分体现。总经理办公室和公司信息中心是信息安全管理体系的管理部门,总经理办公室主要负责建立涉及企业信息安全管理体系的各种行政管理制度和日常的监督检查,信息中心负责计算机硬件、软件、局域网、操作日志、各部门子系统管理员的购买、维护、监督和授权等。而企业各部门只负责本部门的授权事宜。百川公司对各级员工分为两类五级,即普通

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 小学资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁