首页 > 信息安全 > 正文

企业涉密网络信息安全防护模型构建与实现

2013-10-17 10:25:15  来源:e-works

摘要:目前,网络信息安全防护已经不是简单的防火墙系统、防病毒软件所能控制的,也不再是身份认证系统、入侵检测系统、数据加密系统的堆砌。
关键词: 信息安全 网络 安全

    一、企业涉密网络安全防护模型的构建意义


    随着我国企业的全球化发展。企业内部网络应用越来越广泛。产生了大量办公信息、业务信息和涉密信息等。使企业内部网络承担的数据量越来越大,而且,业务应用系统的开放性使用的特点。对企业网络管理系统的研究日益深入。企业面临着复杂多变的商业信息窃取与反窃取挑战。网络信息安全问题愈加突出。如何能够进一步实施企业网络安全防护策略,防止数据信息遭到恶意窃取。保证企业网络安全稳定运行。是现代企业网络信息安全防护亟待解决的问题。


    二、企业涉密网络安全威胁问题分析


    (一)网络信息安全的脆弱性


    企业网络通信中采用的TCP/IP传输协议并不十分安全。TCP/IP传输协议不是专门为了网络安全通信设计的协议栈。由此导致了使用该协议的网络设备存在很多安全漏洞威胁。网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息。再利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。


    (二)非法访问网络系统资源


    非法用户入侵企业内部网络主要采用非法授权访问、独占网络资源的方式。以此对企业内部网络进行非法恶意操作。非法用户的入侵不仅是企业外部人员。还有可能包括企业内部网络的工作人员。他们为了满足好奇心。甚至蓄意利用内部网络进行恶意操作。严重的能够对企业内部网络系统造成损坏。非法入侵者对于网络系统的知识结构非常清楚,包括安防体系架构、网络系统弱点、应用程序漏洞等这些都非常有利于非法入侵者对企业内部网络进行恶意攻击,以达到窃取商业机密的目的。


    (三)病毒程序的恶意侵害


    恶意病毒程序和代码包括特洛伊木马、蠕虫病毒、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。企业网络系统最大的安全隐患就是变异速度快、传播方式广的计算机病毒。计算机病毒可以利用多种途径交叉传播。极大地增加了计算机终端感染病毒的几路。目前。在全球化发展背景下,网络中传播的计算机病毒大概包括几十万种,大部分非法入侵者都会利用计算机病毒、恶意代码、黑客程序等对企业网络系统进行破坏。


    (四)破坏系统数据的完整性


    当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用。以此获得更多的商业机密信息。


    三、企业涉密网络安全防护体系模型设计


    (一)企业内外网的物理隔离


    企业内外网络采用独立布线的方式。从物理环境来说已经充分实现了隔离。对于企业内部网络涉密计算机来说,采用内网专机和物理隔离结合的方式来防止网络安全威胁发生。企业内部人员每人配备一台专用计算机连接内部网络。只有部分性能配置较低的计算机与外部网络连接,同时,企业部门经理和少数高层领导使用物理隔离卡与外部网络进行连接。企业内、外网物理隔离示意图如图1所示:

\

    图1 企业内、外网物理隔离示意图


    企业内、外网实现物理隔离具有以下优势:


    (1)内部网络与外部网络完全隔离;


    (2)实现企业内部网络的完全控制;


    (3)具有硬切换和软切换两种方式;


    (4)适应性强,可用于宽带网络、局域网络等;


    (5)网络协议、传输协议完全透明;


    (6)实现简单,操作方便,不需要专门进行维护和管理。


    (二)利用加密机实现传输加密


    企业内部网络配置两台加密机,密级均设定为机密级别。计算机用户将数据信息进行加密之后利用网络进行传输。根据不同业务的实际情况采用不同的加密强度。使安全性与网络性能之间可以相互平衡,企业内部网络均使用相同型号的加密机实现数据加密和数据解密。


    (三)采用企业网络防病毒方案


    企业内部网络部署的是瑞星防病毒软件。由中心服务器进行控制。允许200台计算机终端使用该软件。但是,企业在日常办公过程中不可避免地会使用移动存储设备,容易感染木马病毒和恶意代码,影响企业用户的正常使用。为了能够对移动存储设备进行自动杀毒,企业内部网络的计算机终端都配有木马漏洞扫描程序。


    (四)实施网络系统脆弱性检查


    对于企业内部网络系统存在的漏洞。信息安全管理人员应该定期对其进行漏洞扫描,及时评价网络系统的安全性能,采用模拟网络攻击、评估安全风险、测试系统漏洞等方式。为企业提供网络安全防护改进措施,帮助企业控制网络安全事故的发生。


    (五)建立灾难数据恢复系统


    构建完善的灾难数据恢复系统。在其他地区建立企业数据信息备份系统,重新组织企业业务运行。以此保证数据信息的完整性和可用性,一旦企业内部发生网络安全事故。能够在短时间内恢复工作,减少重要数据信息的损失。


    综上所述,随着现代网络技术的飞速发展。企业网络面临的安全问题越来越多,对于涉密网络商业机密信息的安全防护问题日益重视,本文结合某企业网络建设的实例。对涉密网络安全防护建设进行深入探讨。提出了适用于企业涉密网络信息安全防护模型架构方案,具有一定的现实指导意义。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。