案例分析:主動(dòng)打造“可控并可信”的企業(yè)內(nèi)網(wǎng)
筆者供職于一家網(wǎng)絡(luò)公司,我們的業(yè)務(wù)主要是為一些中小型企事業(yè)單位承建網(wǎng)絡(luò)并提供技術(shù)支持。在實(shí)施網(wǎng)絡(luò)工程的過程中,筆者發(fā)現(xiàn)這些企事業(yè)單位往往非常重視網(wǎng)絡(luò)的性能而對于安全卻很漠然。本文將和大家一起探討打造“可控并可信”的企業(yè)內(nèi)部網(wǎng)絡(luò)的重要性,以及分享一個(gè)網(wǎng)絡(luò)安全管理系統(tǒng)規(guī)劃與設(shè)計(jì)的案例。希望本文能夠幫助到你。
1、網(wǎng)管人員面臨嚴(yán)峻的信息安全挑戰(zhàn)
隨著信息化在企事業(yè)單位的不斷普及和深化, 信息安全問題特別是內(nèi)部網(wǎng)絡(luò)安全問題日益突出。對于迅速發(fā)展的企事業(yè)單位而言, 日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)和分散的、數(shù)目眾多的各類主機(jī)、網(wǎng)絡(luò)設(shè)備等都對網(wǎng)絡(luò)運(yùn)行維護(hù)提出了嚴(yán)峻挑戰(zhàn)。病毒傳播、設(shè)備非法接入和桌面違規(guī)操作等內(nèi)部網(wǎng)絡(luò)安全問題也對網(wǎng)絡(luò)管理人員和信息安全管理手段提出了更高要求。
2、傳統(tǒng)的網(wǎng)絡(luò)運(yùn)行存在管理盲區(qū)
傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品, 如防火墻、隔離裝置、入侵檢測、防垃圾郵件及VPN 等, 主要解決網(wǎng)絡(luò)邊界的安全問題, 即只解決了來自外網(wǎng)的威脅和內(nèi)外網(wǎng)之間的通信安全問題。而在內(nèi)部網(wǎng)絡(luò)安全問題上, 給企事業(yè)單位造成重大損失的主要原因是來自內(nèi)部網(wǎng)絡(luò)的非法接入、用戶有意識(shí)或無意識(shí)造成的終端違規(guī)操作行為。因此, 內(nèi)部網(wǎng)絡(luò)的運(yùn)行存在一個(gè)很大的安全管理盲區(qū)。
3、主動(dòng)出擊,制定一套“可控”的信息安全解決方案刻不容緩
“外網(wǎng)是危險(xiǎn)的, 內(nèi)部網(wǎng)絡(luò)是可信任的。”這種目前被廣泛認(rèn)同的看法, 無論是在意識(shí)上還是在產(chǎn)品設(shè)計(jì)上都會(huì)被否定。內(nèi)部網(wǎng)絡(luò)安全已到了不可不防的地步, 而安全維護(hù)不應(yīng)僅僅停留于“堵”“殺” “防”, 局部的、簡單的、被動(dòng)的防護(hù)手段不足以應(yīng)對內(nèi)部網(wǎng)絡(luò)安全管理中的諸多問題。安全形勢要求網(wǎng)絡(luò)管理人員必須積極主動(dòng)地應(yīng)對來自內(nèi)部網(wǎng)絡(luò)安全等方面的挑戰(zhàn), 同時(shí)制訂出一套完整的“可控并可信”的內(nèi)部網(wǎng)絡(luò)安全解決方案。
4、網(wǎng)絡(luò)安全管理系統(tǒng)規(guī)劃與設(shè)計(jì)案例
設(shè)計(jì)目標(biāo)
(1)、遵循BS 799網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn), 將信息安全策略和企業(yè)發(fā)展方向統(tǒng)一起來, 通過保證信息的機(jī)密性、完整性和可用性來管理和保護(hù)企業(yè)的所有信息資產(chǎn)。按照這套標(biāo)準(zhǔn)管理信息安全, 可持續(xù)提高管理的有效性, 不斷提高自身的信息安全管理水平, 最終達(dá)到保障企業(yè)特定安全的目標(biāo)。
(2)、構(gòu)建覆蓋內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng), 保障其內(nèi)部網(wǎng)絡(luò)的接入安全、終端安全、服務(wù)器安全和應(yīng)用系統(tǒng)安全。
(3)、系統(tǒng)采用最新的高科技成果, 使其在信息安全管理領(lǐng)域具有較高的水平。
(4)、系統(tǒng)擴(kuò)充方便, 操作維護(hù)簡單, 能適應(yīng)業(yè)務(wù)的快速變化。
設(shè)計(jì)原則
(1)、堅(jiān)持安全性原則。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性。
(2)、堅(jiān)持可靠性原則。對項(xiàng)目實(shí)施過程實(shí)現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的完整配置, 保證產(chǎn)品的質(zhì)量和可靠性。
(3)、堅(jiān)持先進(jìn)性原則。具體技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)具有技術(shù)領(lǐng)先性和持續(xù)發(fā)展性。
(4)、堅(jiān)持可推廣性原則。方案及其采用的技術(shù)應(yīng)該支持系統(tǒng)規(guī)模的擴(kuò)大和網(wǎng)點(diǎn)數(shù)量的增加, 易于廣泛推廣。
(5)、堅(jiān)持可擴(kuò)展性。IT 技術(shù)的發(fā)展和變化非常迅速, 方案采用的技術(shù)具有良好的可擴(kuò)展性, 充分保護(hù)當(dāng)前的投資和利益。
(6)、堅(jiān)持兼容性原則。系統(tǒng)的標(biāo)準(zhǔn)化程度很高,可以做到各應(yīng)用系統(tǒng)間的完全兼容, 同時(shí)也可根據(jù)特殊的要求給出不兼容的設(shè)計(jì)。
(7)、堅(jiān)持可管理性原則。所有安全系統(tǒng)都應(yīng)具備在線式的安全監(jiān)控和管理模式。#p#
內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的安全策略與功能
安全系統(tǒng)設(shè)計(jì)是一個(gè)綜合的系統(tǒng)工程, 網(wǎng)絡(luò)的安全設(shè)計(jì)需要考慮到所有軟硬件產(chǎn)品環(huán)節(jié)。網(wǎng)絡(luò)的總體安全往往取決于所有環(huán)節(jié)中的最薄弱環(huán)節(jié), 如果有一個(gè)環(huán)節(jié)出了問題, 網(wǎng)絡(luò)的總體安全就得不到保障, 這是系統(tǒng)的“木桶效應(yīng)”所致。
(1)、系統(tǒng)的安全策略
根據(jù)系統(tǒng)網(wǎng)絡(luò)的實(shí)際情況, 我們把信息系統(tǒng)安全層次由低到高劃分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層及管理層5 個(gè)層次, 每一層都要制訂相應(yīng)的安全策略。
(2)、安全管理系統(tǒng)功能
接入安全管理子系統(tǒng)的功能是對網(wǎng)內(nèi)計(jì)算機(jī)等設(shè)備的IP 地址信息實(shí)時(shí)掃描和比對, 如發(fā)現(xiàn)非法接入的計(jì)算機(jī), 應(yīng)及時(shí)采取手段將不法信息隔離在網(wǎng)絡(luò)之外。
客戶端安全管理子系統(tǒng)的功能是對網(wǎng)內(nèi)各專用微機(jī)的信息進(jìn)行收集、管理、監(jiān)視和控制。
該子系統(tǒng)劃分為資產(chǎn)信息管理、客戶端監(jiān)控、補(bǔ)丁管理、文件審計(jì)以及打印控制5 個(gè)功能模塊。這5 個(gè)功能模塊的具體功能為:
第一、資產(chǎn)信息管理模塊具有對用戶信息登記注冊管理、計(jì)算機(jī)硬件信息管理、計(jì)算機(jī)系統(tǒng)信息管理、計(jì)算機(jī)軟件信息管理、查詢及報(bào)表統(tǒng)計(jì)等功能;
第二、客戶端監(jiān)控模塊具有外圍設(shè)備控制、進(jìn)程監(jiān)控、遠(yuǎn)程計(jì)算機(jī)屏幕截取、非法外聯(lián)監(jiān)控等功能;
第三、補(bǔ)丁管理模塊是通過內(nèi)部網(wǎng)絡(luò)服務(wù)器提供一個(gè)集中的補(bǔ)丁分發(fā)點(diǎn), 在網(wǎng)內(nèi)計(jì)算機(jī)上實(shí)現(xiàn)系統(tǒng)補(bǔ)丁的更新管理;
第四、文件審計(jì)模塊主要記錄從本機(jī)拷貝文件到移動(dòng)存儲(chǔ)設(shè)備或網(wǎng)絡(luò)共享目錄的操作;
第五、打印控制模塊記錄完整的打印日志, 實(shí)現(xiàn)對打印資源的有效管理控制, 降低打印成本, 保障企業(yè)信息安全。
(3)、服務(wù)器管理子系統(tǒng)的功能是對內(nèi)部網(wǎng)絡(luò)重要服務(wù)器運(yùn)行狀況的監(jiān)視和對指定網(wǎng)段或計(jì)算機(jī)端口開放狀況進(jìn)行掃描, 發(fā)現(xiàn)異常及時(shí)報(bào)警。
(4)、身份認(rèn)證與權(quán)限管理子系統(tǒng)的功能是提供企業(yè)門戶整合功能, 實(shí)現(xiàn)單點(diǎn)登錄, 提供對應(yīng)用系統(tǒng)用戶的統(tǒng)一身份認(rèn)證功能, 提供對應(yīng)用系統(tǒng)的統(tǒng)一權(quán)限功能, 實(shí)現(xiàn)對Web 應(yīng)用的資源訪問控制。
(5)、系統(tǒng)管理子系統(tǒng)的功能是對安全管理及監(jiān)控系統(tǒng)進(jìn)行自身的管理和配置。該子系統(tǒng)劃分為用戶管理模塊、報(bào)警與日志管理模塊和系統(tǒng)配置模塊。
用戶管理模塊負(fù)責(zé)用戶的創(chuàng)建和刪除、用戶個(gè)人信息管理、組織機(jī)構(gòu)管理、用戶群組管理和組織機(jī)構(gòu)授權(quán)管理; 報(bào)警與日志管理模塊負(fù)責(zé)報(bào)警方案和策略配置、多種報(bào)警方式、報(bào)警日志的記錄與查詢; 系統(tǒng)配置模塊負(fù)責(zé)系統(tǒng)網(wǎng)絡(luò)參數(shù)的配置, 系統(tǒng)升級、重啟、安全關(guān)閉, 負(fù)責(zé)對系統(tǒng)相關(guān)工具軟件的下載和系統(tǒng)定期備份所有的配置信息和用戶數(shù)據(jù), 提供界面供用戶下載各時(shí)間段的系統(tǒng)備份文件, 并用于對系統(tǒng)發(fā)生災(zāi)難事件時(shí)進(jìn)行恢復(fù)。
總結(jié):信息安全不是一個(gè)孤立靜止的概念,而是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的過程。信息安全體系應(yīng)當(dāng)隨著企業(yè)環(huán)境的變化、業(yè)務(wù)的發(fā)展和信息技術(shù)的提高不斷改進(jìn),不能一成不變, 這就需要一個(gè)完整的“可控并可信”的安全管理體系來保證其持續(xù)發(fā)展。
【編輯推薦】
