企業(yè)信息安全防護體系探索與實(shí)踐論文

　　1概述

　　隨著(zhù)信息化建設的快速發(fā)展，信息技術(shù)創(chuàng )新影響著(zhù)人們的工作方式和生活習慣，網(wǎng)絡(luò )已成為信息傳播和知識共享的載體，提高了工作效率，促進(jìn)了社會(huì )的發(fā)展和進(jìn)步，但由于網(wǎng)絡(luò )環(huán)境的復雜性、多變性以及信息系統的脆弱性，決定了信息安全威脅的客觀(guān)存在。近年來(lái)，國內國外信息安全的事件層出不窮，計算機病毒和木馬仍然是最大的安全威脅，假冒用戶(hù)和主機身份進(jìn)行不法活動(dòng)或實(shí)施攻擊的現象逐漸增多，SQL注入、數據監聽(tīng)、緩沖區溢出攻擊依然盛行，網(wǎng)絡(luò )釣魚(yú)和網(wǎng)絡(luò )欺詐日益嚴重，敏感數據外泄和盜取事件頻頻發(fā)生，信息安全形勢日趨嚴峻。因此，如何建立多層次的信息安全防護體系，如何保證企業(yè)信息安全，已成為各企業(yè)必須面對的重要問(wèn)題。

　　2體系架構總體設計

　　針對企業(yè)中桌面計算機數量龐大、應用系統平臺多樣化、互聯(lián)網(wǎng)業(yè)務(wù)應用急劇增長(cháng)，不合規計算機接入內網(wǎng)、互聯(lián)網(wǎng)違規訪(fǎng)問(wèn)、系統賬戶(hù)盜用等行為無(wú)法管控，網(wǎng)絡(luò )電腦高手入侵、病毒木馬感染、信息數據竊取等問(wèn)題，通過(guò)大量的分析調研，確定企業(yè)級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計，同時(shí)選擇成熟主流的安全產(chǎn)品，統一規劃設計桌面安全管理、身份管理與認證、網(wǎng)絡(luò )安全域劃分等功能系統，規范信息系統安全防護和審計標準，最大程度保證信息資源的可用性和安全性。

　　2.1桌面安全管理系統設計

　　桌面計算機是產(chǎn)生和存放重要信息的源頭，但桌面計算機往往是信息安全事件中最薄弱的環(huán)節，因此，為切實(shí)保證企業(yè)信息業(yè)務(wù)正常開(kāi)展，保障個(gè)人信息數據安全，建立先進(jìn)實(shí)用的桌面安全管理系統十分必要。該系統主要包括安全防范和后臺安全管理兩個(gè)模塊。

　　2.1.1安全防范功能模塊

　　安全防范功能模塊可對特洛伊木馬、蠕蟲(chóng)等制定主動(dòng)檢查和清除的策略，查殺策略應定義為“隔離”；對于惡意商業(yè)應用程序，由于這類(lèi)軟件只是一些廣告類(lèi)的惡意重新，終止進(jìn)程就可以解決問(wèn)題的，安全風(fēng)險程度不是很高，所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務(wù)檢測功能、啟用端口掃描檢測功能，以及自動(dòng)禁止攻擊者的IP時(shí)間限定為600秒，避免出現由于大量攻擊行為而消耗計算機性能和網(wǎng)絡(luò )帶寬的情況發(fā)生，提高桌面計算機抵御惡意攻擊的能力。

　　2.1.2后臺管理模塊

　　區域管理器是后臺管理功能模塊重要組件，通過(guò)配置計算機IP范圍、區域管理器參數、設備掃描器參數，可對安裝代理探頭程序的桌面計算機進(jìn)行管理。實(shí)現桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。

　　2.2身份管理與認證系統設計

　　當前應用系統已成為企業(yè)開(kāi)展各項日常業(yè)務(wù)的重要平臺，但由于這些應用系統登錄方式不統一、安全認證模式多樣、部分系統密碼強度不足等情況，嚴重影響企業(yè)信息數據的安全性和保密性，因此建立身份管理與認證系統，可以從根本上實(shí)現用戶(hù)身份認證，保證系統訪(fǎng)問(wèn)的安全性。身份管理與認證系統由集中身份管理、統一認證和公共密鑰基礎設施三個(gè)模塊組成。

　　2.2.1集中身份管理模塊

　　集中身份管理模塊通過(guò)對用戶(hù)身份信息的獲取、映射、同步、核對等方式，對應用系統中的用戶(hù)身份信息進(jìn)行匯總與清理，建立統一的用戶(hù)身份視圖，實(shí)現用戶(hù)實(shí)體與用戶(hù)身份信息的唯一對應。集中身份管理模塊固化對用戶(hù)身份的集中管理流程，包括與用戶(hù)身份管理相關(guān)的審批與操作流程。在對集中身份管理模塊的功能細化并進(jìn)行歸類(lèi)，從而設計出集中身份管理的功能模型，如圖1所示。

　　2.2.2統一認證模塊

　　統一認證模塊支持用戶(hù)身份的強認證，可對獲取權威的身份鑒別信息進(jìn)行身份認證，包括用戶(hù)口令、用戶(hù)數字證書(shū)、數字證書(shū)撤銷(xiāo)列表等。通過(guò)對信息系統一般的身份認證流程進(jìn)行分析，可以得到統一認證采用的身份信息和鑒別信息都來(lái)自于信息系統本身（或分散的目錄服務(wù)）。

　　2.2.3公共密鑰基礎設施模塊

　　公共密鑰基礎設施系統（PKI）由認證中心(CA)、密鑰管理中心(KMC)和證書(shū)注冊中心(RA)等三部分組成。認證中心采用商密SRQ－14數字證書(shū)認證產(chǎn)品和商密SJY－63密鑰管理產(chǎn)品，并可提供可信的第三方擔保功能，認證中心支持頒發(fā)證書(shū)、更新證書(shū)、撤銷(xiāo)證書(shū)等操作。密鑰管理中心存儲著(zhù)所有用戶(hù)的證書(shū)密鑰信息，利用PMI技術(shù)保證密鑰信息數據的安全。證書(shū)注冊中心可為用戶(hù)提供數字證書(shū)申請的注冊受理，用戶(hù)身份信息的審核，用戶(hù)數字證書(shū)的申請與下載，用戶(hù)數字證書(shū)的撤銷(xiāo)與更新等服務(wù)。

　　2.3網(wǎng)絡(luò )安全域系統設計

　　當前大部分企業(yè)的內部網(wǎng)絡(luò )中均包含有非業(yè)務(wù)性質(zhì)網(wǎng)絡(luò )，且網(wǎng)絡(luò )行為不受限，對內部應用系統的安全構成嚴重威脅。為構建安全可靠網(wǎng)絡(luò )架構，通過(guò)劃分網(wǎng)絡(luò )安全域，提高整體網(wǎng)絡(luò )的安全性。網(wǎng)絡(luò )安全域設計應包括互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間、企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)之間、關(guān)鍵應用系統與普通應用系統之間等三個(gè)層次的安全防護。本著(zhù)“先邊界安全加固，后深入內部防護”的指導思想，本文僅對互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的安全域進(jìn)行研究和探索，如圖2所示。

　　2.3.1安全防護模塊

　　安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備，主要是通過(guò)檢測過(guò)濾網(wǎng)絡(luò )上的數據包，保證內部網(wǎng)絡(luò )的安全。防火墻可以位于兩個(gè)或者多個(gè)網(wǎng)絡(luò )之間，是實(shí)施網(wǎng)絡(luò )之間訪(fǎng)問(wèn)控制的一組組件的集合，通過(guò)制定安全策略后防火墻能夠限制被保護的內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )之間的信息訪(fǎng)問(wèn)與交換。入侵檢測設備是防火墻的合理補充，一般該設備部署在內部網(wǎng)絡(luò )邊界。

　　2.3.2行為審計模塊

　　行為審計模塊可以提供網(wǎng)頁(yè)過(guò)濾技術(shù)、應用控制技術(shù)、外發(fā)信息審計技術(shù)等,可有效防止機密信息的外泄，避免不良信息的擴散，提高員工的工作效率，保障網(wǎng)絡(luò )資源合理使用，提高網(wǎng)絡(luò )可管理性。

　　2.3.3日志分析模塊

　　日志分析模塊基于Syslog標準協(xié)議，可以對不同設備、主機、應用系統進(jìn)行日志綜合分析和集中展現；實(shí)現對報警信息的靈活配置和管理，同時(shí)提供靈活的報警規則配置、實(shí)時(shí)報警和歷史報警信息的綜合管理；基于設備、報警類(lèi)別、日期等因素進(jìn)行組合統計和報表，為管理人員提供直觀(guān)的統計信息和報表信息。

　　3關(guān)鍵技術(shù)

　　3.1準入控制技術(shù)建立具有結構化、層次化的準入控制體系，針對計算機違規行為下發(fā)阻斷策略，確保接入內網(wǎng)的計算機符合企業(yè)信息安全方面的規定。主要方法共有兩種，一種是在互聯(lián)網(wǎng)出口處部署端點(diǎn)準入設備，強制所有接入互聯(lián)網(wǎng)桌面計算機安裝桌面安全軟件，另一種是使用虛擬隔離技術(shù)，制定訪(fǎng)問(wèn)控制策略，針對不合規的桌面計算機下發(fā)阻斷策略，保證內部網(wǎng)絡(luò )安全。3.2主動(dòng)安全防范技術(shù)主動(dòng)安全防范技術(shù)包括病毒木馬探測和數字證書(shū)認證等，病毒木馬探測技術(shù)能夠強化桌面計算機實(shí)時(shí)防護功能，主動(dòng)攔截病毒木馬，防范日常攻擊和未知安全威脅；數字證書(shū)認證技術(shù)能夠實(shí)現USBkey證書(shū)和Pin口令的雙因素認證方式，可以解決賬號權限安全管理問(wèn)題。

　　4應用效果

　　在某企業(yè)部署的信息安全防御體系應用效果良好。累計查殺新型網(wǎng)絡(luò )病毒木馬560多萬(wàn)個(gè)；強認證登錄100多萬(wàn)次；抵御外部攻擊600多萬(wàn)次，阻止訪(fǎng)問(wèn)木馬釣魚(yú)網(wǎng)站5萬(wàn)余次。

　　5結束語(yǔ)

　　信息化的快速發(fā)展已為企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)帶來(lái)了極大的便捷，但同時(shí)各類(lèi)安全性問(wèn)題同樣值得引起我們的擔憂(yōu)和注意，企業(yè)的信息化要想在以后得到長(cháng)足的發(fā)展空間，就要及時(shí)地去解決當今出現的這些問(wèn)題，并對其做出防治手段。本文從多角度對企業(yè)級信息安全防御體系構建進(jìn)行了研究探索，并在企業(yè)級內部網(wǎng)絡(luò )環(huán)境下進(jìn)行了實(shí)踐，但由于條件所限，未在移動(dòng)無(wú)線(xiàn)網(wǎng)絡(luò )環(huán)境下進(jìn)行深入研究，下一步將加大力量，加強這方面的探索實(shí)踐，希望可以對相關(guān)企業(yè)信息安全防御體系建設工作提供幫助。

　　參考文獻：

　　[1]陳梅志.計算機網(wǎng)絡(luò )信息安全及其應對措施淺析[J].硅谷,2014,7(2):143-143.

　　[2]陳建平.基于工作過(guò)程的《計算機網(wǎng)絡(luò )安全》一體化課程開(kāi)發(fā)及實(shí)施研究[D].華中師范大學(xué),2014.

　　[3]京力煒,付愛(ài)英,盛鴻宇.防火墻技術(shù)標準教材[M].北京:北京理工大學(xué)出版社,2007.

　　[4]隋正有,佟璐.對新時(shí)期計算機網(wǎng)絡(luò )安全存在的問(wèn)題及對策探討[J].計算機光盤(pán)軟件與應用,2012(2)125-126.

　　[5]德軍.論網(wǎng)絡(luò )環(huán)境下的計算機網(wǎng)絡(luò )安全[J].科技經(jīng)濟市場(chǎng),2009(11)：14-15.

【企業(yè)信息安全防護體系探索與實(shí)踐論文】相關(guān)文章：

防護林造林體系工程的原則11-05

工商管理實(shí)踐教學(xué)模式探索的論文08-05

計算機網(wǎng)絡(luò )信息安全防護論文11-27

計算機網(wǎng)絡(luò )信息安全防護論文06-14

高職學(xué)前教育專(zhuān)業(yè)實(shí)踐課程體系探析論文10-16

計算機網(wǎng)絡(luò )信息安全防護論文(熱門(mén))06-14

政治安全在國家安全體系中的地位和作用論文10-22

安全防護承諾書(shū)11-01

網(wǎng)絡(luò )安全防護方案07-08

安全防護工作總結12-16