企業(yè)網(wǎng)絡(luò)信息安全解決方案doc資料

1、精品文檔企業(yè)網(wǎng)絡(luò)信息安全解決方案一、信息安全化定義企業(yè)信息安全管理即針對當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施， 保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實(shí)性、可用性、不可否認(rèn)性服務(wù)。簡而言之，使非法者看不了、改不了信息，系統(tǒng)癱不了、信息假不了、行為賴不了。二、企業(yè)信息安全管理現(xiàn)狀當(dāng)前企業(yè)在信息安全管理中普遍面臨的問題：(1)缺乏來自法律規(guī)范的推動(dòng)力和約束；(2)安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御，沒有做前期的預(yù)防，而是出現(xiàn)問題才去想補(bǔ)救的辦法， 不是

2、建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法；(3)重視安全技術(shù)，忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資，而相應(yīng)的管理水平、手段沒有體現(xiàn)，包括管理的技術(shù)和流程，以及員工的管理；(4)在安全管理中不夠重視人的因素；(5)缺乏懂得管理的信息安全技術(shù)人員；(6)企業(yè)安全意識(shí)不強(qiáng)，員工接受的教育和培訓(xùn)不夠。三、企業(yè)信息安全管理產(chǎn)品建立完善的企業(yè)信息安全管理系統(tǒng)， 必須內(nèi)外兼修，一方面要防止外部入侵，另一方面也要防范內(nèi)部人員泄密可能。 所以在選擇企業(yè)信息安全管理產(chǎn)品時(shí)， 必須是一個(gè)完整的體系結(jié)構(gòu)。 目前，在市場上比較流行， 而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：用戶身份認(rèn)證，如靜態(tài)

3、密碼、動(dòng)態(tài)密碼（短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌） 、USB KEY 、IC 卡、數(shù)字證書、指紋虹膜等。防火墻即訪問控制系統(tǒng)， 它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問， 防止內(nèi)部對外部的不安全訪問。但它其本身可能存在安全問題，也可能會(huì)是一個(gè)潛在的瓶頸。安全路由器由于 WAN 連接需要專用的路由器設(shè)備， 因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。安全服務(wù)器安全服務(wù)器主要針對一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、 傳輸?shù)陌踩Ｃ軉栴}， 其實(shí)現(xiàn)功能包括對局域網(wǎng)資源的管理和控制， 對局域網(wǎng)內(nèi)用戶的管理， 以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。安全管

4、理中心由于網(wǎng)上的安全產(chǎn)品較多， 且分布在不同的位置， 這就需要建立一套集中管理的機(jī)制和設(shè)備， 即安全管理中心。 它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰， 監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。入侵檢測系統(tǒng)（ IDS ）精品文檔精品文檔入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制（比如訪問控制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈。入侵防御系統(tǒng)（ IPS）入侵防御，入侵防御系統(tǒng)作為IDS 很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。安全數(shù)據(jù)庫由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)， 有些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性

5、、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識(shí)別等。數(shù)據(jù)容災(zāi)設(shè)備數(shù)據(jù)容災(zāi)作為一個(gè)重要的企業(yè)信息安全管理體系中的一個(gè)重要補(bǔ)救措施， 在整個(gè)企業(yè)信息安全管理體系中有著舉足輕重的作用。 數(shù)據(jù)容災(zāi)設(shè)備包括數(shù)據(jù)恢復(fù)設(shè)備、數(shù)據(jù)復(fù)制設(shè)備、 數(shù)據(jù)銷毀設(shè)備等。 目前應(yīng)用較多的數(shù)據(jù)容災(zāi)設(shè)備包括效率源 HD Doctor 、Data Compass數(shù)據(jù)指南針、 Data Copy King 硬盤復(fù)制機(jī)、開盤機(jī)等。編輯本段企業(yè)信息安全管理對策1.網(wǎng)絡(luò)管理一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離, 因而與互聯(lián)網(wǎng)相比 , 其安全性較高 , 但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題 , 具體而言：( 1) 在

6、 IP 資源管理方面 , 采用 IP MAC 捆綁的技術(shù)手段防止用戶隨意更改 IP 地址和隨意更換交換機(jī)上的端口。 這分兩種情況實(shí)現(xiàn) , 第一種情況是如果客戶機(jī)連在支持網(wǎng)管的交換機(jī)上的 , 可以通過網(wǎng)管中心的管理軟件 , 對該交換機(jī)遠(yuǎn)程實(shí)施 Port Security 策略 , 將客戶端網(wǎng)卡 MAC 地址固定綁在相應(yīng)端口上。 第二種情況是如果客戶機(jī)連接的交換機(jī)或集線器不支持網(wǎng)管 , 則可以通過 Web 網(wǎng)頁調(diào)用一個(gè)程序 , 通過該程序把 MAC 地址和 IP 地址捆綁在一起。這樣 , 就不會(huì)出現(xiàn) IP 地址被盜用而不能正常使用網(wǎng)絡(luò)的情況。( 2) 在網(wǎng)絡(luò)流量監(jiān)測方面 , 可使用網(wǎng)絡(luò)監(jiān)測軟件對網(wǎng)

7、絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計(jì) , 查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬 , 防止頻繁進(jìn)行大文件的傳輸 , 甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。2.服務(wù)器管理常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為 Windows 系列 ,服務(wù)器的管理包括服務(wù)器安全審核、 組策略實(shí)施、 服務(wù)器的備份策略。 服務(wù)器安全審核是網(wǎng)管日常工作項(xiàng)目之一 , 審核的范圍包括安全漏洞檢查、 日志分析、補(bǔ)丁安裝情況檢查等 , 審核的對象可以是 DC、Exchange Server、SQL Server、 IIS 等。 在組策略實(shí)施時(shí) , 如果想使用軟件限制策略 , 即哪些客戶不能使用哪個(gè)軟件 , 則需要把操作系統(tǒng)升級(jí)到 Windows

8、 2003 Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分 , 系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序 , 制定一個(gè)合理的備份策略 , 如每周日晚上做一次完全備份 , 然后周一到周五晚上做增量備份或差額備份 ; 定期對服務(wù)器備份工作情況等。3.客戶端管理對大多數(shù)單位的網(wǎng)管來說 , 客戶端的管理都是最頭痛的問題 , 只有得力的措施才能解決這個(gè)問題 , 這里介紹以下幾種方法 :1) 將客戶端都加入到域中 , 這一點(diǎn)很重要 , 因?yàn)橹挥羞@樣 , 客戶端才能納入精品文檔精品文檔管理員集中管理的范圍。2) 只給用戶以普通域用戶的身份登錄到域, 因?yàn)槠胀ㄓ蛴脩舨粚儆诒镜谹dministra

9、tors 和 Power Users 組 , 這樣就可以限制他們在本地計(jì)算機(jī)上安裝大多數(shù)軟件 ( 某些軟件普通用戶也可以安裝 ) 。當(dāng)然為了便于用戶工作 , 應(yīng)通過本地安全策略 , 授予他們 “關(guān)機(jī) ”和“修改系統(tǒng)時(shí)間 ”等權(quán)利。3) 實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。4) 實(shí)現(xiàn)客戶端防病毒軟件的自動(dòng)更新。5) 利用 SMS 對客戶端進(jìn)行不定期監(jiān)控 , 發(fā)現(xiàn)不正常情況及時(shí)處理。4.數(shù)據(jù)備份與數(shù)據(jù)加密由于應(yīng)用系統(tǒng)的加入 , 各種數(shù)據(jù)庫日趨增長 , 如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失 , 是當(dāng)前面臨的一個(gè)難題。這里介紹四種解決方法 : 第一種解決辦法是用磁帶機(jī)或硬盤進(jìn)行數(shù)據(jù)備份。該

10、辦法價(jià)格最低 , 保存性最強(qiáng) , 不足之處是備份的只是某個(gè)時(shí)間點(diǎn)。 第二種方案是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。 第三種方案是采用雙機(jī)容錯(cuò)方式 , 兩臺(tái)機(jī)器系統(tǒng)相互備份 , 應(yīng)用層數(shù)據(jù)全部放在共享的磁盤陣列柜中 , 這種方式能解決單機(jī)故障或宕機(jī)的問題 , 同時(shí)又能防止單個(gè)硬盤故障導(dǎo)致的數(shù)據(jù)丟失 , 但前期投資較大。第四種方案是采用 NAS 或 SAN 來實(shí)現(xiàn)各服務(wù)器的集中區(qū)域存儲(chǔ) , 實(shí)現(xiàn)較高級(jí)別的磁盤等硬件故障的數(shù)據(jù)備份 , 但是成本較高 , 一般不能防止系統(tǒng)層的故障 , 如感染病毒或系統(tǒng)崩潰。 考慮到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況 , 如物理地 “取走 ”數(shù)據(jù)

11、庫 , 在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數(shù)據(jù)加密 , 即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰 , 通過加密設(shè)備或算法 , 將信息加密后發(fā)送出去。接收方在收到密文后 , 用解密密鑰將密文解密 , 恢復(fù)為明文。 如果傳輸中有人竊取 ,他只能得到無法理解的密文 , 從而對信息起到保密作用。5.病毒防治對防病毒軟件的要求是 : 能支持多種平臺(tái) , 至少是在 Windows 系列操作系統(tǒng)上都能運(yùn)行 ; 能提供中心管理工具 , 對各類服務(wù)器和工作站統(tǒng)一管理和控制 ; 在軟件安裝、病毒代碼升級(jí)等方面 , 可通過服務(wù)器直接進(jìn)行分發(fā) , 盡可能減少客戶端維護(hù)工作量 ; 病毒代碼的

12、升級(jí)要迅速有效。在實(shí)施過程中 , 本單位以一臺(tái)服務(wù)器作為中央控制一級(jí)服務(wù)器 , 實(shí)現(xiàn)對網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)和監(jiān)控 , 并使用其中有效的管理功能 , 如: 管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、強(qiáng)制對遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下 , 一級(jí)服務(wù)器病毒代碼庫升級(jí)后半分鐘內(nèi) , 客戶端的病毒代碼庫也進(jìn)行了同步更新。精品文檔精品文檔四、五、企業(yè)網(wǎng)絡(luò)、信息安全解決方案1）大型企業(yè)精品文檔精品文檔大型企業(yè)部門林立， 相當(dāng)一部分會(huì)在外地有分支機(jī)構(gòu)， 業(yè)務(wù)系統(tǒng)普遍采用建設(shè)虛擬專網(wǎng)的方式， 起到外部分支訪問總部數(shù)據(jù)的通道和安全加密作用。 傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備基本都已經(jīng)部署， 比如防火墻，可以把企

13、業(yè)訪問互聯(lián)網(wǎng)的風(fēng)險(xiǎn)降低，但是大型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于惡意的攻擊行為和企業(yè)員工有意、無意的操作行為，致使業(yè)務(wù)系統(tǒng)不能正常使用，或者機(jī)密數(shù)據(jù)外泄，對企業(yè)的網(wǎng)絡(luò)安全， 信息保密造成很大的威脅， 擁有功能強(qiáng)大的上網(wǎng)行為管理設(shè)備、 入侵檢測系統(tǒng)和防泄密系統(tǒng)能有效杜絕各個(gè)環(huán)節(jié)可能出現(xiàn)的不安全隱患， 保障業(yè)務(wù)系統(tǒng)的政策正常安全運(yùn)行和企業(yè)機(jī)密數(shù)據(jù)的安全。建議大型企業(yè)在網(wǎng)絡(luò)中部署：防火墻、 IDS、上網(wǎng)行為管理、防泄密系統(tǒng)、 VPN 、安全服務(wù)器等。2）中型企業(yè)精品文檔精品文檔中型企業(yè)基本已具備完整的網(wǎng)絡(luò)體系， 但是企業(yè)的信息化技術(shù)力量相對大型企業(yè)可能薄弱一點(diǎn)，對于員工的上網(wǎng)行為和電腦操作行為可能要求得不會(huì)太嚴(yán)格，即使向員工制定了一定的管理制度， 也會(huì)在制度的執(zhí)行過程中因?yàn)槿藶榈囊蛩囟兂梢患埧瘴?，所以用硬件設(shè)備來保障和規(guī)范網(wǎng)絡(luò)、信息的安全尤為重要，中型企業(yè)的網(wǎng)絡(luò)、 信息安全威脅主要來源于外網(wǎng)的攻擊、 內(nèi)部網(wǎng)絡(luò)使用的不規(guī)范精品文檔精品文檔導(dǎo)致的木馬、病毒等安全威脅。建議中型企業(yè)部署：防火墻、 IDS、路由器、上網(wǎng)行為管理、防泄密系統(tǒng)等。3）小型企業(yè)小型企業(yè)在人員規(guī)模、基礎(chǔ)建設(shè)、資金實(shí)力等方面都相對落后于大中型企業(yè)，但是在發(fā)展階段的小型企業(yè)， 對網(wǎng)絡(luò)、信息的安全問題同樣不能忽視， 目前各式各樣的聊天工具、視頻網(wǎng)站、網(wǎng)游、 P2P 下載等，都會(huì)直接影