2013-08-26 09:06:36 来源:万方数据
一、引言
伴随着企业生产经营活动中对业务灵活性、成本控制、可伸缩性工作流程等需求的日益增多,以、经营管理联网、移动办公等业务模式出现,数据交换从内部网络延伸至企业间网络、政府网络和互联网等,促使着企业必须加快信息网络的建设步伐,同时,为了规范企业管理,从政府监管部门到企业内部都从内部控制管理上对信息系统流程、应用、数据和基础设施的完整性、安全性、准确性方面有严格的制度规范和管理要求。另一方面,信息网络面临的安全威胁也与日俱增,安全攻击渐渐向有组织、有目的、规模化集团化利益化方向发展,网络病毒、系统漏洞依然泛滥,建设一个适宜有效、安全稳定、符合企业自身实际情况的信息网络,建立健全一套符合安全管理规范月_具有可操作性的网络安全防护体系,成为企业信息化建设中的重要内容。
二、企业网络面临的主要问题及威胁
(一)从系统技术层面来看,企业网络面临的主要威胁来自以下几个方面:
1.网络系统自身的脆弱性
大多数企业网络都是基于TCP/IP协议建立的基础网络,众所周知,TCP/IP作为开放的网络协议,存在着大量的安全漏洞,基于它所提供的FTP, EMA11、RPC, NFS等服务均包含了诸多不安个因素,而往往这些服务又是企业经常用到的基础服务。
2.操作系统的不安全性
大部分的信息系统产生安全问题的基本原因是操作系统的机构和机制不安全,由于PC机硬件结构的简化,系统不分层执行、内存无越界保护等导致了系统资源配置可以被篡改、恶意代码被植入执行、利用缓冲区溢出攻击、特权用户被非法接管等安全事故。
3.数据库与应用程序的脆弱性
没有数据库技术支撑的企业信息系统是不可想象的,这也使得数据库成为被攻击的重点之一。原则上数据库管理系统的安全性要与操作系统的安全性相配套,但在实际建设过程中却经常被忽略从而导致数据库系统的脆弱性。应用程序的BUG为攻击者留下了大量的后门,使攻击者可以轻而易举地通过程序漏洞访问、窃取、篡改数据,破坏应用系统的正常运行。
(二)从建设及管理角度看,企业网络面临的主要威胁有:
1.主观安全意识薄弱
就企业网络建设现状而言,不同程度地存在着“重技术,轻安全,重建设,轻管理”的问题,有限的资金大多投在基础网络和应用系统建设,忽视网络安全建设及管理制度落实。
2.安全建设缺乏整体规划和一致性
目前企业网络中的安全建设普遍缺乏整体安全设计,最后逐渐成为安全产品的堆砌,各个产品之间缺乏有效的联动,而且由于大量产品的堆砌不仅降低了网络的运行效率,还增加了网络复杂度,增加系统维护难度。
3.缺乏安全管理机制
安全和管理是分不开的,即便有好的安全设备和系统,没有一套好的安全管理方法并贯彻实施,值得注意的是,这里强调的不仅要有安全管理方法,而且还要贯彻实施,否则安全就是一句空话。
4.策略配置失当
在网络中应用的操作系统提供了很好的安全机制保证安全的安装配置、用户和目录权限设置及建立适当的安全策略等系统安全处理加固。实际土企业网络在安装调试过程中对系统的安全策略上往往执行最宽松的配置,但对于安全保密来说却恰恰相反,要实现系统的安全必须遵循最小化原则。
三、企业网络安全体系建设
(一)网络安全技术体系架构
网络安全体系架构是信息安全体系架构的一个子集,同时,网络安全体系架构有其自身的特点。网络安全体系架构可以分为网络安全技术体系和网络安全管理体系。如下图所示:
其中,网络安全管理体系可以纳入信息安全管理体系之中,其重点在于组织架构的建设和流程的制定。网络安全技术体系可以分二个层面来考虑,即架构安全、安全技术和配置安全。
1.架构安全(安全域划分)
安全域是一个逻辑范围或区域。同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等。同一安全域内的系统相互信任。通过安全域的划分,能够将业务系统与安全技术有机结合,形成完整的防护体系。这样既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
企业可采用两级安全域的划分办法。下图为安全域划分的一般步骤。
2.网络安全技术
根据安全功能需求对网络安全技术进行归类,形成1AARC框架,即身份识别及鉴权(I),访问控制(A),审计和响应(A),冗余和恢复(R),内容安全(C)。遵循该框架的定义和原则,对网络安全进行系统部署建设。
身份识别与鉴权:用户的帐户管理、用户的认证、授权和审计,为网络管理员提供安全的远程和本地接入系统终端。
访问控制:对互联网络、边界网络、企业间网络通过路由器、防火墙、安全网关等设备隔离控制。
审计和响应:通过合理部署入侵检测系统、漏洞扫描系统、日志分析系统等,记录操作行为,分析漏洞分布情况,掌握日志记录,定位系统故障和攻击。
冗余和恢复:避免网络出现意外而影响业务的正常运行,需要对企业网络的关键部位进行冗余保护,包括网络结构的冗余、关键网络设备的冗余;网络设备的关键部件的冗余等:安全设备的冗余等。
内容安全:建立企业防病毒系统,贯彻实施企业防病毒管理机制,定期检查服务器、终端病毒防范的遵循情况,如是否即时更新防病毒代码和系统/应用的安全补丁等。
3.网络设备安全配置规范
针对不同类型的网络设备,遵循安全配置策略最小化原则进行安全配置,一般应包括一下内容:
口令配置与管理:口令长度,复杂度要求,加密要求等。
服务管理:关闭非必要服务及端口。
访问控制和设备管理:设备登录超时设置、SSH加密登录、登录访问控制,AAA审计等。
攻击防范:关闭IP directed broadcast、ICMP unreachables、ICMP redirects、proxy ARP等。
路由安全管理:使用路由协议认证,null0接口关闭IP unreachables等。
(二)网络安全管理体系
网络安全建设与管理工作“三分靠技术,七分靠管理气建立有效的网络安全组织机构是网络安全管理的基础。不健全的网络安全管理机制是网络安全最大的薄弱点和安全隐患。
1.完善安全组织机构
网络安全是一个整体的系统,总体的安全性取决于系统中最薄弱的一环。因此,需要对网络安全进行统一的管理和控制。同时从执行效果方面考虑,一些管理操作需要分布地、并行地进行。
2.完善角色和职责分配
企业网络安全组织建议设置如下四种角色:网络安全负责人、网络安全控制员、网络安全分析师和网络安全管理员。
3.完善网络安全管理和操作流程
为确保网络处理设施的正确和安全使用,企业应建立所有网络安全设施的管理与操作的流程和职责,包括指定操作细则和事件响应流程。企业应落实责任的分工,减少疏忽的风险和蓄意的系统滥用。
四、总结
本文从网络安全体系建设及其原则进行了简单论述。对企业网络安全建设的解决方案进行了探讨和总结。网络安全管理任重道远,网络安全己成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设,确保网络安全运行势在必行。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。