企業(yè)研究論文-企業(yè)信息網(wǎng)絡(luò)安全管理架構(gòu)部署探析.doc

企業(yè)研究論文-企業(yè)信息網(wǎng)絡(luò)安全管理架構(gòu)部署探析摘要：企業(yè)網(wǎng)絡(luò)信息安全管理架構(gòu)的部署，既是用戶(hù)需求帶動(dòng)的結(jié)果，也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專(zhuān)業(yè)化方向發(fā)展的結(jié)果，通過(guò)安全需求分析，對(duì)企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了設(shè)計(jì)，并對(duì)企業(yè)信息網(wǎng)絡(luò)安全工程的部署作了細(xì)致的探討。通過(guò)對(duì)企業(yè)信息網(wǎng)絡(luò)安全管理架構(gòu)的部署，可有效地實(shí)現(xiàn)企業(yè)安全建1隨著信息化進(jìn)程的提速，越來(lái)越多地企業(yè)信息被披露于企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境中，如何保護(hù)企業(yè)機(jī)密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展過(guò)程中必然需要面臨和解決的問(wèn)題。對(duì)于企業(yè)信息網(wǎng)絡(luò)安全管理需要部署的內(nèi)容，首先要明確企業(yè)的哪些資產(chǎn)需要保護(hù)，確定關(guān)鍵數(shù)據(jù)和相關(guān)業(yè)務(wù)支持技術(shù)資產(chǎn)的價(jià)值，然后在此基礎(chǔ)上，制定2對(duì)企業(yè)網(wǎng)絡(luò)信息安全的網(wǎng)絡(luò)調(diào)查顯示：有超過(guò)85%的安全威脅來(lái)自企業(yè)內(nèi)部；有16%來(lái)自?xún)?nèi)部未授權(quán)的訪問(wèn)；有11%資料或網(wǎng)絡(luò)的破壞?？梢钥闯觯簛?lái)自于企業(yè)內(nèi)部的安全威脅比來(lái)自于外部的威脅要大得多，必要的安全措施對(duì)企業(yè)是非常重要的。安全風(fēng)險(xiǎn)分析通常包括對(duì)系統(tǒng)資源的價(jià)值屬性的分析、資源面臨的威脅分析、系統(tǒng)的安全缺陷分析等等。分析的目標(biāo)就是確定安全系統(tǒng)的建設(shè)環(huán)境，建2.1企業(yè)對(duì)信息網(wǎng)絡(luò)安全方面的需求主要包含：（1）業(yè)務(wù)系統(tǒng)與其它信息系統(tǒng)充分隔離。（2）企業(yè)局域網(wǎng)與互聯(lián)的其它網(wǎng)絡(luò)充分隔離。（3）全面的病毒防御體系，恢復(fù)已被病毒感染的設(shè)備及數(shù)據(jù)。（4）關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須進(jìn)行備份，具有完善的災(zāi)難恢復(fù)功能。（5）管理員必須對(duì)企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的安全狀況和安全漏洞進(jìn)行周期性評(píng)估，并根據(jù)評(píng)估結(jié)果采用相應(yīng)措施。（6）關(guān)鍵業(yè)務(wù)數(shù)據(jù)和敏感數(shù)據(jù)在公網(wǎng)上的傳輸必須加密，防止非法獲取和篡改。（7）加強(qiáng)內(nèi)部人員操作的技術(shù)監(jiān)控，采用強(qiáng)有力的認(rèn)證系統(tǒng)，代替一些不安全的用戶(hù)名/口令系統(tǒng)授權(quán)模式。（8）建立完善的入侵審計(jì)和監(jiān)控措施，監(jiān)視和記錄外部或者內(nèi)部人員可能發(fā)起的攻擊。（9）對(duì)整個(gè)信息系統(tǒng)進(jìn)行安全審計(jì)，可預(yù)2.2（1）企業(yè)信息網(wǎng)絡(luò)安全策略建設(shè)，它是安全系統(tǒng)執(zhí)行的安全策略建設(shè)的依據(jù)。（2）企業(yè)信息網(wǎng)絡(luò)管理體系建設(shè)，它是安全系統(tǒng)的安全控制策略和安全系統(tǒng)體系結(jié)構(gòu)建設(shè)的依據(jù)。（3）企業(yè)信息網(wǎng)絡(luò)資源管理體系建設(shè)，它是安全系統(tǒng)體系結(jié)構(gòu)規(guī)劃的依據(jù)。（4）企業(yè)信息網(wǎng)絡(luò)人員管理建設(shè)，它是保障安全系統(tǒng)可靠建設(shè)、維護(hù)和應(yīng)用的前提。（5）企業(yè)信息網(wǎng)絡(luò)工程管理體系建設(shè)，信息安全系統(tǒng)工程必須與它統(tǒng)一規(guī)劃和管理。（6）企業(yè)信息網(wǎng)絡(luò)事務(wù)持續(xù)性保障規(guī)劃，它是信息安全事件處理和安全恢33.1安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖1所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。3.2安全系統(tǒng)設(shè)計(jì)關(guān)心的是抽象定義的系統(tǒng)。具體系統(tǒng)組建是建立在設(shè)計(jì)基礎(chǔ)上的實(shí)現(xiàn)。通常系統(tǒng)功能組件的實(shí)現(xiàn)方式是軟件、硬件和固體等。安全系統(tǒng)組建的4信息系統(tǒng)安全是信息系統(tǒng)服務(wù)質(zhì)量的要求，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)當(dāng)融于信息網(wǎng)絡(luò)服務(wù)系統(tǒng)之中，其建設(shè)與維護(hù)應(yīng)當(dāng)與信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和維護(hù)保持一致，遵循4.1系統(tǒng)工程總是與被建設(shè)的系統(tǒng)特性緊密結(jié)合，工程環(huán)節(jié)與系統(tǒng)生命周期保持同步。安全系統(tǒng)的生命周期也是基本如此，因而安全系統(tǒng)工程典型的基本環(huán)節(jié)包括信息系統(tǒng)安全需求分析、安全系統(tǒng)設(shè)計(jì)、安全系統(tǒng)組建、安全系統(tǒng)認(rèn)證、系統(tǒng)安全運(yùn)行維護(hù)和安全系統(tǒng)改造等，如圖2（1）安全的互聯(lián)網(wǎng)接入。企業(yè)內(nèi)部網(wǎng)絡(luò)的每位員工要隨時(shí)登錄互聯(lián)網(wǎng)，因此Internet接入平臺(tái)的安全是該企業(yè)信息系統(tǒng)安全的關(guān)鍵部分，可采用外部邊緣防火墻，其內(nèi)部用戶(hù)登錄互聯(lián)網(wǎng)時(shí)經(jīng)過(guò)內(nèi)部防火墻，再由外部邊緣防火墻映射到互聯(lián)網(wǎng)。外部邊緣防火墻與內(nèi)部防火墻之間形成了DMZ（2）防火墻訪問(wèn)控制。外部邊緣防火墻提供PAT服務(wù)，配置IPSec加密協(xié)議實(shí)現(xiàn)VPN撥號(hào)連接以及端到端VPN連接，并通過(guò)擴(kuò)展ACL對(duì)進(jìn)出防火墻的流量進(jìn)行嚴(yán)格的端口服務(wù)控制。內(nèi)部防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZ區(qū)之間，它允許內(nèi)網(wǎng)所有主機(jī)能夠訪問(wèn)DMZ區(qū)，但DMZ區(qū)進(jìn)入內(nèi)網(wǎng)的流量則進(jìn)行嚴(yán)格的過(guò)濾。（3）用戶(hù)認(rèn)證系統(tǒng)。用戶(hù)認(rèn)證系統(tǒng)主要用于解決撥號(hào)和VPN接入的安全問(wèn)題，它是從完善系統(tǒng)用戶(hù)認(rèn)證、訪問(wèn)控制和使用審計(jì)方面的功能來(lái)增強(qiáng)系統(tǒng)的安全性。撥號(hào)用戶(hù)和VPN用戶(hù)身份認(rèn)證在主域服務(wù)器上進(jìn)行，用戶(hù)賬號(hào)集中在主域服務(wù)器上開(kāi)設(shè)。系統(tǒng)中設(shè)置嚴(yán)格的用戶(hù)訪問(wèn)策略和口令策略，強(qiáng)制用戶(hù)定期更改口令。同時(shí)配置VPN日志服務(wù)器，記錄所有VPN用戶(hù)的訪問(wèn)，作為系統(tǒng)審計(jì)的依據(jù)。（4）入侵檢測(cè)系統(tǒng)。企業(yè)可在互聯(lián)網(wǎng)流量匯聚的交換機(jī)處部署入侵檢測(cè)系統(tǒng)，它可實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)中發(fā)生的安全事件，使得管理員及時(shí)做出反應(yīng)，并可記錄內(nèi)部用戶(hù)對(duì)Internet的訪問(wèn)，管理者可審計(jì)Internet（5）網(wǎng)絡(luò)防病毒系統(tǒng)。企業(yè)應(yīng)全面地布置防病毒系統(tǒng)，包括客戶(hù)機(jī)、文件服務(wù)器、郵件服務(wù)器和OA服務(wù)器。（6）VPN加密系統(tǒng)。企業(yè)可建立虛擬專(zhuān)網(wǎng)VPN，主要為企業(yè)移動(dòng)辦公的員工提供通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時(shí)