企业信息安全防护方案篇1
【关键词】企业;移动信息;安全;保密;设计
aboutenterprisemobileinformationSecuritySchemeDesignDiscussed
HuZhao-xu1LiuFang2ZhuShang-jie1wangJin1
(1.petrochinapipelineCompanyHebeiLangfang065000;2.ChinaUnicomLangfangBranchHebeiLangfang065000)
【abstract】thispapermainlythroughtheenterprisemobileinformationinformationsecurityschemedesignandspecificsecurityscheme,undertookananalysistoits,hopetofindinfavorofenterprisemobileinformationsecurityandconfidentialityoftheoptimalscheme.
【Keywords】business;mobileinformation;security;confindential;design
1企业移动信息安全方案设计
1.1系统安全设计
1.1.1移动安全设计原则
第一,合规性原则:系统安全设计要符合国家法律法规及中国石油的信息安全政策,实现厂商、技术、产品整体合规。
第二,区域防护原则:根据移动应用数据的处理和传输过程,对其进行物理和逻辑多层次区域防护,以满足国家信息系统安全等级三级保护基本要求。
第三,统一规划、分布实施原则:规划统一的移动应用平台安全方案,配合企业移动应用试点、建设、推广三个阶段分布实施。
第四,保护现有投资原则:在集团现有的信息安全管理体系框架和安全技术架构基础上,根据移动应用安全的特点和管控要求进行安全功能细化和完善,保护集团现有投资。
第五,可扩展原则:在信息安全系统功能、容量、覆盖能力等各方面,系统安全架构要易于扩展,以适应业务快速变化对企业移动应用安全的安全管控要求。
1.1.2移动安全技术方案架构
第一,移动安全域划分:企业移动应用平台所涉及的信息资产具有不同的安全属性和价值,因而需要不同级别的安全保护。
第二,技术功能组件设计:结合信息安全等级保护要求以及信息安全技术架构参考模型iSo13335/15408,安全技术功能分为移动应用物理安全防护、移动应用安全网络安全防护、移动终端安全防护、移动应用安全防护、移动数据安全防护等安全防护子系统。
1.1.3方案特点分析
企业移动应用平台系统安全方案通过管理及技术控制措施的部署,对移动应用过程中的信息安全风险进行了有效的控制,实现了风险可识别、可控制、可化解的风险管理要求。通过移动管控系统,采用主动与被动相结合方式,对整个移动应用进行任何时间、任何地点、任何人、任何事件的监督、控制和审计。确保系统安全整体架构可充分满足了国家安全等保及集团信息保密的管理和技术控制要求,紧扣国家等保及集团保密相关政策,满足合规性要求。其一,紧扣相关政策,满足合规性要求;其二,针对移动安全特点,进行重点防护。
1.2灾备方案设计
根据备份灾备需求分析,企业移动平台的灾备等级定义为六级,即数据零丢失和远程群集支持。企业移动平台的灾备方案、数据归档、同城备份、异地灾备组成多级的高可用和灾备方案,同时涉及到备份流程、恢复流程、介质管理等相关流程。
2企业移动信息保密方案
企业保密方案主要分为几个部分,其中重点分析了信息的生成、使用与交换。
(1)信息生成:对企业移动应用平台信息资产按照集团信息保密要求进行分类、分级和标识,对不同安全级别的信息资产采取保护措施。
a管理方案
根据相关规章制度对企业移动应用平台涉及的集团公司三星级及以下商业秘密信息进行分类、分级和标识,并将秘密知悉范围限定在最小范围。
三星级商业秘密是对集团公司整体利益、运营安全和竞争优势产生严重影响的核心秘密,包括涉及国家能源安全的石油战略储备、油气管道建设、敏感区域油气勘探开发、重大海外发展战略、集团公司核心技术、重大经营管理决策、重大合资合作项目等事项的相关信息。
二星级商业秘密是对集团公司整体利益、运营安全和竞争优势产生一定影响的秘密,包括集团公司重要技术、重要经营管理、重要交易等事项的相关信息。
一星级商业秘密是对集团公司局部利益、运营安全和竞争优势产生影响的秘密,包括一般的技术和经营等事项的相关信息。
b技术方案
企业信息安全防护方案篇2
“近年来发生的文档泄密事件给我们提出警示:文档的安全问题不容忽视,文档安全保护工作刻不容缓。”慧点科技通用产品部产品总监任晓霞这样强调文档安全管理的重要性。
确实,随着it应用的推进,各级机关、企事业单位几乎已经用电子文档替代传统的纸质文档。电子文档具有编辑功能强大、制作方便、易于修改,以及便于编目存储和查阅等优势毋庸置疑,但是由此也给文档的安全带来了隐患。因为使用电子文档,一些机密文档很容易通过便携设备、互联网、U盘等被泄露。
为密文提供全生命周期保护
内部员工主动或无意泄露单位机密或敏感信息,离职雇员在离职时批量带走公司的重要文档,合作伙伴在合作期间保留大量单位外发的机密文档,竞争对手高价购买产品资料、财务数据、设计图纸,黑客入侵后窃取企业大量重要信息……缺乏有效的安全防护,企事业单位总会面临各种文档安全问题。
究其原因,任晓霞认为,主要有以下几方面的因素:其一,企事业单位缺乏文件分级保密制度,无法针对不同文件类型、文件级别制定安全保密策略;其二,终端或应用系统中的重要文档缺乏强制性的保护措施,员工可随意携带或下载文件;其三,缺乏基于角色的文件权限管理措施,无法使部门、员工仅能处理权限范围内的文件;其四,缺乏对文件使用权限的控制措施,不能精确控制文档修改、打印、复制等操作;其五,缺乏对离线文档的有效控制,离线文件可以被随意编辑、复制、刻录、打印;其六,文档的传递以明文的方式进行,传输安全难以得到保证,存在被侦听、拦截的风险。
正因为如此,企事业单位对文档安全防护系统提出了需求,希望文档安全防护系统能够为重要文档提供全生命周期的安全防护,为业务系统中的重要文档提供防护,实现文档的分级防护和多级授权使用,而且系统要安全可靠、简单易用,无需过多改变员工本来的工作习惯,不会影响员工的工作效率。
慧点科技文档防泄密解决方案正是为了满足企事业单位以上这些诉求而形成的。任晓霞介绍,慧点科技文档防泄密解决方案是一款以加密、认证、授权技术为核心,为企业核心信息资产提供全生命周期安全保护的解决方案。慧点科技文档防泄密解决方案通过专业的软件系统、成熟的业务咨询、方案设计,高效的系统部署,全面的系统运维,有效帮助企业降低信息泄密风险。严防死守各个要塞
据悉,根据文档的泄露主要发生在终端管理、下载、分级管理、传输和外发等环节,慧点科技文档防泄密解决方案可以在这几个环节严防死守:
第一,通过文档承载终端防护,杜绝重要文档的泄密隐患。任晓霞指出,各种有意或无意的文档泄密往往发生在用户的终端,所以在终端对重要文档进行加密、防护显得尤为重要。慧点科技文档防泄密系统通过透明加解密方式将文档加密成密文,使得密文只有在用户正常登录的前提下,在安装了系统客户端才能使用。这样,文档被私自带离,或者发送到单位以外后就无法打开。
第二,通过与第三方业务系统的集成,实现业务系统文档的防护。慧点科技文档防泄密系统可与eRp、oa、pDm和档案等业务系统无缝整合,对业务系统中的重要文档进行加密防护与授权,将业务系统中文档的安全区域扩展到用户桌面,保证系统文档的安全。
第三,实现文档的分级管理,确保用户只能处理在权限范围内的密文。慧点科技文档防泄密系统根据文档的重要程度构建文档的安全防护体系。按照文档的密级对不同用户、用户组授权,灵活控制不同用户对文档的阅读、编辑、复制、打印、截屏等权限。结合用户的文档使用管理制度,系统能够实现文档的分级防护。
第四,保证文档安全传输,确保文档在各个机构间传递与交互的安全。文档在传递途中容易遭到拦截、侦听,装有文档的载体丢失、被窃也会造成泄密。慧点科技文档防泄密系统给出的解决方案是,在重要文档进行传送时在发送端进行加密与授权,再通过载体或者网络进行传送,只有被授权的接收者才能再使用密文,确保文档在传输过程中的安全。
第五,实现文档外发防护,保证员工携带密文出差、加班,以及密文外发给客户、合作伙伴后的安全。慧点科技文档防泄密系统通过离线模式保证密文在单位外使用的安全性,在经过审批后密文可以带离或外发出单位使用,使用时间、使用权限、使用次数、文件传播都会受到严格的限制。
据悉,慧点科技文档防泄密系统作为一个通用产品,各个行业均可适用。不过任晓霞指出,不同行业的应用需求各不相同,在实施应用时关注的重点也不同。比如说,政府行业主要需要防护的是公文、记录等,文档格式以办公类格式为主,文档密级管理严格,应用环境比较单纯,在实施应用时关注系统的稳定性、易用性,以及与oa系统的整合。而制造业的文档格式多样,it建设水平参差不齐,要关注与文档资源库、eRp、pLm等系统的整合。而对文档安全要求更高的企业,更加注重文档全生命周期的安全管理。
优化安全效率和成本
任晓霞总结说,慧点科技文档防泄密系统的价值主要体现在以下几方面:
首先,提升企业信息安全管理的有效性。系统帮助企业将信息安全策略与具体安全控制工具有效对应,加强了安全制度体系建设与系统化管理控制能力,从而帮助企业进行安全制度的制定并有效落地。
其次,优化安全管理成本与资源。系统能够有效降低企业信息安全的全生命周期管理成本与复杂度,根据不同的业务场景采用不同的安全控制策略,在有效保护企业原有信息资产的基础上,优化企业信息安全管理结构。
再次,大幅提升企业信息安全管理效率。系统能够支撑企业采用合理的分级安全策略,针对用户终端文档、业务系统文档、离线外发文档等,根据用户级别、文件密级采用不同的安全防护手段,提升整体信息安全管理效率。
最后,降低企业信息安全策略落地难度。慧点科技文档防泄密系统采用了透明加解密方式,可以在不改变终端用户原有操作习惯的情况下实现对密文的安全防护,极大降低了企业在信息安全建设过程的培训及推广难度,使得企业安全策略更容易落地。
企业信息安全防护方案篇3
第一件事:
web威胁的目标是数据和攫取利益
面对来势汹汹的web威胁,绝大多数企业并没有真正意识到其中的危机。一方面,恶意网站以600%的年增长速度在迅速增加;另一方面,77%带有恶意代码的web网站是被植入恶意攻击代码的合法网站。如果把前者比作明枪还可以避免的话,那么作为暗箭的后者可以轻而易举地攻击无辜web用户,进而危及企业网络中的数据。
web攻击是目前数据窃取的主要途径。websense安全实验室的监测结果显示当前57%的数据窃取攻击是经由web而实现。由于基于web2.0的威胁具有定向性、隐蔽性和区域性爆发等特点,越来越多的合法网站被挂马、被注入,对此不知情的员工对互联网的依赖性使得企业网络比以往更加容易受到攻击,使得一次普通的浏览网页也变成了一件具有很大安全风险的事情。web威胁可以在用户完全没有察觉的情况下进入企业网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。即便是一些看上去并不重要的信息片段,一旦被偷窃者汇集并归纳,其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。
web攻击的最终目标是企业数据和获取商业利益。ponemon研究机构的一项研究也在证明这一点:数据泄露、丢失等破坏行为的平均开销正在逐年增加。并直接给企业带来业务损失,损失占到企业总花费的69%。Forrester同样在名为“计算安全信息泄密代价”的调查中发现:三分之一以上的企业都曾遭遇到数据泄漏事件,其中一半公司在数据泄漏事件付出了惨痛代价。与员工上班玩游戏、炒股、聊天、下载等行为造成工作效率下降、带宽资源紧张相比,web攻击造成的损失就是数据泄漏,直接给企业造成经济损失,因而成为当前企业面临的最紧迫的安全问题。
第二件事:
传统防护手段难以防范web威胁
对付web威胁,传统的防护模式是否能够有效化解呢?答案是否定的。越来越多的web攻击者将合法网站做目标,77%带有恶意代码的web网站是被植入恶意攻击代码的合法网站,google、sina等知名网站也时常有网页被挂马,用户不能因噎废食,利用上网行为管理产品整体封锁对整个网站的访问。此外,尽管大多数web2.0网站自身都会采取防挂马、防注入等保护措施,但是研究结果显示:65%~75%Youtube和BlogSpot所采用的社区驱动型安全工具在保护web用户避开不良内容以及安全风险方面是无效的。
面对来势汹汹的新型web威胁,传统安全措施无法跟上web内容不断变化的步伐。一方面恶意软件也可能出现在声誉良好、受到大家信任的网站上,就像出现在其它恶意网站上一样容易;另一方面网络应用程序越来越多,传统的防护模式已经力不从心,即便是如今已经运用得非常成熟的“病毒特征码查杀”技术,随着病毒爆发的生命周期越来越短,其传统的安全系统防御模型更是滞后于病毒的传播,用户只能处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。即使利用市场上现有最快速的反病毒系统和服务机制,企业仍然不能防范最新的威胁,因为服务方往往无法及早和完整地介入整个新病毒事件。
第三件事:web安全+防信息泄露实现企业自我保护
web2.0改变了企业使用互联网的方式。通过诸如Faceb00k和twitter之类的网站,员工可以自己创建内容并迅速与数千人分享。这些网站中的内容是动态的,传统的安全系统无法控制。为了在工作中使用web2.0,企业需要采用新的方式来保护重要信息。
企业信息安全防护方案篇4
1、新时期油田企业信息化网络安全的相关策略
首先部署高安全性防护系统。对于高安全性防护系统的布置工作重点做好两个方面,一个是保证操作系统的安全使用,另一个是布置好安全防护软件,这两个方面是实现信息化网络安全和信息安全关键步骤。油田企业不同于其它企业主要是因为它对于网络建设资金上可以有保证,所以相对于其他企业而言对于信息化网络设备和信息化系统的性能也相对较高。要做好安全性防护系统的全面部署工作,还需要从以下几个方面入手,比如防病毒系统、防火墙、认证加密以及操作系统安全使用,笔者对此进行了分别的论述。第一是防病毒系统。在所有操作系统中除了微软的操作系统易被病毒感染,其他的操作系统都是较为安全的但是也不要忽视。油田企业用户网络节点多所以通过单机使用防病毒软件显然是不行的,为此需要进行防病毒系统的建立,这样才能保证做好油田企业的网络安全防范工作。现在已经有企业防病毒系统的出现,为了更好地对于计算机病毒,一般需要建立防病毒系统,除此以外还要通过其他手段来进行系统安全的维护工作;第二是防火墙。防火墙可以为企业计算机提供实质上的网络安全,它是现在信息安全产品之一。它一方面可以有效地抵制来自互联网的攻击,另一方面还可以辅助企业安全策略。硬件防火墙和软件防火墙虽然各有优势,但是相对而言,硬件防火墙功能表现单一,升级相对困难,而软件防火墙的使用自身安全性则会受限于操作系统。防火墙承担的作是多方面的,一方面可以禁止外部网络对于企业内部网络的访问,实施对企业的网络安全保护工作;另一方面可以对员工访问互联网有所限制。防火墙表现出来的优势是显而易见的,但是数据包要通过防火墙的过滤,降低了网络性还增加了在网延迟时间,所以要真正实现防火墙作用的重要发挥,还需要配合其他的安全产品;再次认证加密。认证加密是保证应用安全的有效手段,它主要是通过数字证书来实现的。数字证书是一个标志着通讯双方身份信息的数据数字证书。所以对于油田企业而言可以通过数字认证加密的方式来实现对油田企业办公自动化的保障,同时控制对敏感信息的访问,尤其是油田企业涉及到电子商务工作。有了认证加密这个重要的环节可以有效地对各交易方的身份以及后序工作中对交易信息的保密工作实施保护;最后对操作系统安全使用。对于油田企业信息化网络中网络安全的保证最为重要的一个工作环节就是保证油田企业操作系统的安全使用。对于油田企业操作系统的安全使用工作笔者认为不外乎以下几个方面,其一保证操作系统的安全使用实施用户密码管理有备无患;其二保证操作系统的安全使用进行系统漏洞检测增加二道保障;其三保证操作系统的安全使用要进行信息加密;其四保证操作系统的安全使用要进行用户安装工作实施。其次是对高可用性网络系统的构建,高可用性网络系统也是信息化网络安全维护的重要方法之一。高可用性网络系统的主要内容包括以下几个方面,一方面是关于信息化硬件,另一方面是关于信息化软件,除此之外还包括灾难恢复。信息化硬件涵盖的范围较为广泛,比如网络设备、机房设备以及服务器等等。高可用性对信息化硬件也提出了更高的要求,所以在对系统进行设计时要考虑到网络和设备的冗余备份,对于网络系统的关键设备也要给予高度的关注和重视;第二是关于信息化软件,信息化软件的主要内容包括应用程序、操作系统和数据库等等。对于操作系统类的信息化软件在选择时要选择安全性高以及性能好的操作系统。对于应用程序在进行选择时可以选择用商品化的软件或者选择与其他公司合作,在进行合作时一定要保证选用有丰富经验的知名公司;对于操作系统的选择,个人操作系统和服务器操作系统要有不同的选择,对于个人操作系统要windows2000及以上的版本,而对于服务器操作系统的选择则选用UniX系统;第三是关于灾难恢复,它主要指的是指当信息网络设备系统发生灾难时对数据和服务的恢复。完整的灾难恢复策略不但包括备份硬件、备份软件、备份制度,而且包括灾难恢复计划。对于油田企业而言最重要的并不是信息化系统和信息化设备,而是信息化系统和信息化设备中储存的重要数据和重要信息。油田企业中对于灾难恢复的保护工作主要还是企业内部的文件服务器和关键数据库。文件服务器主要指的是办公自动化所依赖的服务器,它主要存储企业中所需要的关键文档和重要信息;关键数据库一般指的是存储企业生产管理数据的基础数据库。综上所述,对于各个环节的备份工作对于油田企业数据的完整性有着重要的作用,所以一事实上要重视对灾难恢复策略工作的实施。最后建立安全保障体系。实现油田企业信息化网络安全工作建立安全保障体系也是非常重要和关键一步。安全保障体系的建立是一个系统的工作任务,它会涉及到很多方面,比如管理组织、管理制度、应急方案以及网络管理等等方面。笔者依次对这几个方面进行相关论述。第一是安全管理组织的建立。安全管理组织的建立是安全保障体系的重要组成部分。安全管理组织的主要成员构成包括以主管为领导、以安全操作员、网络管理员以及其他安全专家等等企业人员。这部分人员在安全管理组织中承担不同的任务,主管领导主要是来负责安全体系的建设和实施;安全操作员主要用来负责安全措施的具体实施;其他安全专家主要负责对重大安全问题的处理工作;网络管理员主要负责安全策略和组织技术实施;第二是安全管理制度的建立。把安全管理工作进行制度化确立,可以更加方便对于石油企业的管理实施工作。安全管理制度涉及到的几个方面主要包括信息化设备和信息化系统的使用、以及运行、管理和相关维护工作,这样工作以及相关安全策略方面的工作都可以最终以安全管理制度的形式最终确立下来,这样将有助于推动油田企业的安全管理工作实施;第三制定安全应急方案。油田企业中出现的安全问题是大小不一,对于不同程度的安全问题要有必要的应急方案。因为一旦发生较为严重的安全问题都会给油田企业的生产造成很大的影响,而这种影响造成的经济损失也是不可估量的。所以针对诸如系统设备故障可能产生的重大安全问题,油田企业相关人员要对这些特定的安全问题制定出应急预案;第四加强网络管理。网络安全也是信息管理工作的重要环节,对于信息化安全至关重要。油田企业要实施网络管理工作重点内容不外乎以下几个方面,比如网络操作系统安全策略的维护和检查、防火墙路由器的安全检查以及系统和数据的备份等等。网络管理的内容来源于网络实施中的各个细节,要做网络安全运行的工作这些细节都不能松懈。
2、结束语
油田企业的信息化建设固然重要,但是离开了信息化网络安全也就无法达到信息化建设的真正目的。所以对于油田企业具有复杂性和系统性的特点,作为油田企业网络安全维护工作者要做好对于信息化的安全防护,以达到信息化建设的真正目的。
作者:刘文冬单位:中国石油新疆油田公司数据公司乌鲁木齐分公司
企业信息安全防护方案篇5
近年来,我国经济得到飞快的发展,企业单位的规模也逐渐壮大。笔者主要对于计算机技术在档案信息管理工作中的具体应用,并探讨相关的安全防护问题。
1计算机技术在档案信息管理中的具体应用
传统档案信息管理方式中,采用手工抄写、纸质保存的方式对于相关数据进行处理,不仅劳动量大,需要花费大量的人力、物力,并且手工抄写容易出现抄写错误。同时,传统档案信息管理方式信息传送较慢,查阅过程繁琐,不利于档案信息的利用。因此,计算机技术在档案信息管理中的应用具有非常重要的意义[1]。计算机技术在档案信息管理中的具体应用及优势主要体现为以下三点:
1.1规范人事档案
随着企业规模的不断壮大,企业中的人事管理工作越来越繁重,包括工作人员的入职、在岗管理、离职等。采用传统信息管理方式工程量大,出错率高。同时,很多企业中的人事档案管理尚未规范化,导致管理者在对于人员进行管理、考评、选拔的工作中无章可循[2]。将计算机技术应用于人事档案管理工作中,能够帮助企业建立规范的人事档案,管理者可通过浏览电子档案快速了解员工的基本情况,还能将相应的奖惩制度公布在企业相关系统中,加快人事信息上传下达的速度,提高人事管理工作的效率,避免相应的资源浪费,促进企业单位的健康发展。
1.2财务档案信息化
将计算机技术应用于财务档案管理工作中,能够实现企业中财务档案信息化。首先,利用计算机技术建立会计电算化系统,并利用电算化系统对于企业中的财务信息进行批量处理,提高财务信息处理工作的效率。同时,计算机技术在财务的保存与备份方面,相比于传统的财务档案管理方式具有非常明显的优势,不仅操作快捷、方便,并且安全性较高,有效避免重要档案的丢失。另外,将计算机技术应用于企业财务档案信息管理中,还有助于对企业中的财务状况进行动态分析,并根据分析结果对于相应的工作进行调整,使企业的财务状况处于较平稳的状态。
1.3建设档案系统工程
计算机技术在企业档案信息管理中的应用有利于档案系统工程的建设。一个企业在运行的过程中会有一系列的档案信息利用和保存工作,因此会产生信息量较大的文字文档,而如果采用计算机技术对相关档案进行存储、扫描,就能有效提高这些工作的效率。因此,建设企业内部的系统工程非常重要,采用系统管理的方式,不但能够提高档案信息管理的效率以及安全性,还能将这些档案进行很好地分类,使档案数据管理更加规范。这样一来,管理者就能快速搜索和查阅相关档案,实现信息共享,提高档案信息的利用率。
2计算机技术应用于信息档案管理中的安全防护
计算机技术的应用在很大程度上提高了信息档案管理工作的效率,为企业节省了大量的人力和物力,也有效避免了由于人工抄写导致的错误率。但是计算机网络安全问题是计算机技术应用过程中无法避免的问题,一旦出现网络安全事故,不但会造成企业相关数据的丢失,还会导致内部重要信息被盗取,极不利于企业的发展。因此,档案信息管理者应该加强对于计算机网络的安全维护,主要措施有以下几点。
2.1设置内部网站的访问权限
企业档案信息管理在实现信息化的过程中,应该注重对于网站访问权限的设置。明确规定不同用户不同的访问权限。如用户想要获取网站中某一权限范围内的信息时,需要输入制定的登录口令才能进入相应的页面之内。通过对于访问权限的设置,能够避免闲杂人等“无门槛”进入相应的页面中,有效减少信息泄露问题的出现,提高企业档案信息的安全性。
2.2网络信息加密技术
除了设置网站的访问权限之外,还应该对于重要的数据进行加密处理,避免网络信息盗窃现象的发生。网络信息加密技术的应用,能够有效避免不法分子采用非法手段来对企业内部的信息进行窃取、破坏,增强网络信息的安全性。
2.3提高反毒反黑技术
网络病毒是网络黑客入侵用户计算机,盗取重要数据的常用手段,通过自我复制的方式占据用户的存储空?g,并且还会对数据进行破坏、窃取等,对于企业信息的安全性造成极大的威胁。反毒反黑技术是指采用相关软件对于信息系统进行定期扫描,若发现系统内出现网络病毒,应该立即进行病毒查杀,对于一些可能带有病毒的软件,也应及时卸载和删除,从而避免信息系统中的数据信息遭到病毒的攻击,导致信息泄露的情况出现。
2.4防火墙系统的设置
防火墙技术是将外部互联网与内部网络进行分割的网关,能够对于试图越过防火墙的非法分子进行监控,防治黑客的恶意攻击,从而对于企业的内部信息进行保护。防火墙系统的设置是确保企业信息安全的重要保障,但是在信息管理的过程中,档案信息的管理人员应该定期检查防火墙的运行状态,当发现异常时,应该立即做出相关解决措施。
2.5系统漏洞防护技术
除了一些外部因素之外,系统漏洞问题也是档案信息安全的一大隐患。因此,档案信息安全管理人员应该定期对于网络系统进行扫描,如果出现系统漏洞,应该及时进行修复,从而确保信息系统的完整性,避免重要信息丢失或者遭到而已破坏。
企业信息安全防护方案篇6
――获奖感言
全湾是值得信赖的信息泄漏防护软件提供商之一,核心产品trustviewforUDp拥有世界级的数字化权限管理技术,已获得中国、日本、美国三地9项专利。全湾致力于版权保护技术及细粒度权限实现技术的研究,并在版权审计水印技术、动态权限技术、应用程序识别技术等多个领域带来突破性的进展。利用这些技术优势,全湾迅速将市场拓展到日本及美国。
全湾为全球顶级企业提供信息泄露防护解决方案,满足世界型大公司的挑剔要求。在企业文件权限管理(enterprise-DRm)领域,trustview利用自身的技术优势结合国内企业对电子文件的安全管理需求,推出多项信息防泄漏软件。
全湾先后推出了trustViewforoffice、trustViewforpDF、trustViewforpro/e、trustViewforautoCaD、trustViewforweb及trustView-UDp。其中trustView-UDp已成为最受集团型公司认可的信息防泄漏软件。在信息化管理已成为企业发展必要手段的今天,海量信息在企业内外的传播,给企业核心机密的安全带来了隐患。如何确保企业机密信息在共享时不被有意、无意泄漏?全湾信息泄漏防护系统运用世界先进的管理思想以及众多世界级客户的先进管理实践,采用独特的DRm技术与驱动级加密结合的方式,让企业信息根据权限分享,信息加密对用户透明,实现安全与效率的平衡。
全湾信息泄漏防护系统是国内唯一可以同时满足世界级企业和一般企业需求的信息防泄漏软件,提供以保护电子文件内容为核心的信息安全解决方案。产品拥有世界级的数字化权限管理(DigitalRightsmanagement,DRm)技术及多项独家专利。系统具有深度保护、全面应用、可靠卓越的显著优势,能满足客户保护有深度、适用有广度、使用人性化的需求,真正能做到“安全保障零负担”的至高境界。全球已有三千多个组织使用了trustView软件,其中60%的客户是上市企业。在中国,百家用户是世界级企业,包括索尼、通用磨坊、奥林巴斯等世界五百强企业;百家用户是行业领袖企业,包括东风汽车、HtC、阿特斯等集团公司;还有20家全球顶级电子公司、高端政府机构、全球极著名的pC厂商、全球十大显示器厂商的4家另外有两家国内顶级eRp企业。
如果全世界都“信息裸奔”,世界将是另一番混乱。trustView的使命就是全面防护组织和个人的信息安全,为组织和个人的和谐发展提供安全保障。
企业信息安全防护方案篇7
终端多元化或促信息安全威胁全面渗入数字化生活
在移动互联网快速发展的背景下,消费者的网络应用不再局限于个人电脑这样的传统终端,而是会更多的扩展到手机、平板电脑、智能电视等多元化终端。其中,安卓系统由于覆盖面广、开放性强,已经成为网络攻击的一个优先目标。趋势科技的监测数据显示,截止到2012年底,安卓系统中的恶意应用已经达到35万个。而在2013年,这一数字很有可能增长四倍,跃升至140万个,对信息安全构成严重挑战。
趋势科技大中华区执行副总裁张伟钦先生表示:“随着信息技术的发展,网络应用终端的多元化已经成为一种不可逆转的趋势。每一种平台都有自己独特的界面、操作系统及安全机制,这意味着信息安全威胁将更多样化,并会更多的渗透到我们的数字生活之中。因此,如何在多元平台下,确保消费者的信息安全,将是趋势科技2013年消费端信息安全防护的重要目标。
云计算与apt攻击将成企业双重隐忧
由于在降低成本、提升服务易用度与稳定度等方面具备显著优势,虚拟化、云端化成为很多企业推进it系统改革的一个方向,而这很有可能为企业的信息安全防护带来新的问题。趋势科技预测:无论是否使用云储存,信息储存基础架构都将成为信息窃盗攻击的目标。随着企业开始导入公有云服务或内建企业私有云来存放机密信息,企业都需要重新审视之前的信息安全解决方案是否适用于云计算环境。
至于2012年给企业信息安全造成的严重威胁的apt攻击,预计在2013年会持续扩大与强化,更多的黑客及不法组织将投入到apt攻击中,对信息安全的威胁随之大增。因此,如何更好的防范apt攻击成为趋势科技企业端解决方案所重点关注的内容。
2013信息安全关键十大预测
《2013信息安全关键十大预测》报告,内容包含消费者、企业在2013年可能会面临的信息安全威胁特征及分析,以下是预测内容摘要:
1、恶意与高风险的安卓应用数量在2013年将突破百万
受安卓系统普及率大幅提升的影响,恶意与高风险的安卓应用数量在2012年底达到35万个,而这个数字在2013年当中或将攀升四倍,达到140万个。而且,这些恶意应用将越来越复杂。
2、apt攻击广度以及深度将持续扩大
由于攻击的高精准度与高防范难度,apt攻击在2013年将继续流行。而且,更多的黑客及不法组织会在apt攻击中进行持续投入,以改进攻击技术、提升攻击广度与深度。
3、网络犯罪者将大量滥用正当的云服务
在2012年,很多企业和个人受惠于云运算的强大性能,这引起了不法分子的觊觎。因此,2013年必定将出现更多正当云服务被非法滥用的情况。
4、信息安全威胁将出现在更多的攻击管道
数字生活使得消费者的生活与网路的连结越来越紧密,而新技术则提供了新的攻击管道。除了个人电脑、平板电脑、智能手机之外,其它具备网络应用能力的设备(如智能电视)也可能成为信息安全威胁的管道。
5、消费者将使用多种网络应用平台,保护这些平台将更为困难
与过去只有少数几种网络应用平台不同的是,2013年将会出现更多网络应用平台,每一种平台都需要不同的安全防护,这给统一防护带来了巨大的困难。同样,随著app应用逐渐取代浏览器的趋势,信息安全与隐私权问题就更难在通用的架构中得到解决。
6、以政治为动机的网络攻击将变得更具破坏性
在2013年,我们将看到更多以政治为动机的网络攻击,这些攻击往往会修改或破坏信息,甚至对某些基础设施建设造成破坏。
7、不论是否使用云端储存,信息外泄依然是2013年的威胁之一
随著企业开始将机密信息转移到云端,企业将会发现,那些用来保护企业服务器信息安全的解决方案,到了云环境中将无法发挥应有效果,信息泄密的可能性将大幅提升。it系统管理员必须确保云安全解决方案设定正确,并且在这方面拥有充分的防护能力。
8、网络犯罪防治法律可能需要三年后才会发挥实效
尽管很多国家已经拟定了网络犯罪防治法律,但大部分的工业化国家至少需等到2015年之后才能有效地强制执行相关法律。企业必须在自身的it基础架构上采取更主动的预防措施,以降低法律缺位造成的负面影响。
9、传统的恶意程序威胁将缓慢演进,攻击的部署方式将日趋精密
在2013年,恶意程序将着重于改进攻击方式以应对安全防护软件的查杀。同时,不同网络犯罪地下团体之间的彼此合作也将更加普遍,他们将会发挥各自的攻击专长,对于目标发动更具威胁性的攻击。
10、非洲将成为网络犯罪者新的避风港
由于经济基础较差,执法不严格,在非洲的网络犯罪者往往会因为促进当地经济发展而受到当地欢迎。因此,在2013年,非洲会逐渐成为精密网络犯罪的温床。
通过《2013信息安全关键十大预测》报告,趋势科技力图让消费端和企业端用户掌握未来信息安全发展趋势,提早做好防范准备。张伟钦先生介绍到:“为了有效应对2013的信息安全挑战,个人消费者与企业用户都需要将信息安全放到重要的位置,并根据安全威胁的不同特点来调整防护策略。“
其中,个人消费者可以参考以下几点建议:
1.定时自动更新电脑,并启动操作系统及安全防护软件的自动更新、漏洞修补功能;
2.在进行网络交易、下载、收发邮件等网络应用时更加谨慎;
3.安装有效的移动安全软件,保护移动终端的安全;
4.更加重视密码管理,尽量避免密码的简单化、雷同化、固定化。
而企业端用户则需要秉持三大原则:
1.使用有效的信息安全防护解决方案,例如部署云安全防护系统,建立外部与本地威胁情报机制等;
企业信息安全防护方案篇8
防火墙是网络安全的基本防护设备,其安全性受到了越来越多人的重视,尤其是在当前科技迅猛发展的环境下,各企业也迅速的崛起,使得企业在网络环境的推动下,也面领着严峻的信息安全挑战。在这种环境下,人们对于防火墙的安全性要求也随之提高。当前,企业的防火墙要实现安全设计,还需要对企业的网络安全进行全方面的需求分析,通过针对性的设计,提高防火墙的实用性、功能性、安全性。
【关键词】
防火墙;企业网络安全设计;实现
1前言
计算机网络技术的广泛应用,为企业提供了更多的发展平台与业务渠道,在一定程度上推动了企业的快速发展。但在网络技术不断普及的今天,各种恶意攻击、网络病毒、系统破坏也对企业的网络安全造成了较大的伤害,不仅严重威胁到企业的信息安全,而且给企业带来较大的经济损失,造成了企业形象的破坏。因此,才需要使用防火墙技术,通过防火墙网络技术的安全设计,对各种病毒与网络攻击进行抵御,维护企业的信息安全,促进企业的健康稳定发展。
2防火墙的企业网络安全设计原则
在企业防火墙的网络安全设计中应该遵循一定的原则,即:全面、综合性原则,也就是企业的网络安全体系设计,应该从企业的整体出发,对各项信息威胁进行利弊权衡,进而制定出可行性的安全防护措施;简易性原则,主要是对于网络安全设计,既要保证其安全性,又要保证其操作简便性,以免系统过于复杂而造成维护上的阻碍;多重保护原则能够在建立多重的网络安全机制,确保整个网络环境安全;可扩充原则,主要是指在网络运用过程中,要随着新变化的出现,对于之前的网络安全系统进行升级与扩充;灵活性原则,也就是防火墙的网络安全设计方案,应该结合企业自身网络现状及安全需求,采用灵活、使用的方式进行设计;高效性原则,也就是防火墙的网络安全设计应该确保投资与产出相符,通过安全性的设计解决方案,避免重复性的投资,让企业投入最少的项目资金,获得最大的收益,有效维护企业的安全[1]。
3防火墙的企业网络安全设计
防火墙为服务器的中转站,能够避免计算机用户与互联网进行直接连接,并对客户端的请求加以及时地接收,创建服务其的连接,并对服务器发出的信号相应加以接受,再通过系统将服务器响应信号发送出去,并反馈与客户端。
3.1防火墙加密设计
防火墙的加密技术,是基于开放型的网络信息采取的一种主动防范手段,通过对敏感数据的加密处理、加密传输,确保企业信息的安全。当前的防火墙加密技术主要有非对称秘钥与对称秘钥两种,这种数据加密技术,主要是对明文的文件、数据等通过特定的某种算法加以处理,成为一段不可读的代码,维护数据信息的安全,以免企业的机密信息收到外界的攻击[2]。当前的防火墙加密手段也可分为硬件加密与软件加密,其中硬件加密的效率较高,且安全系数较高,而软件加密的成本相对来说较低,使用性与灵活性也较强,更换较为方便。
3.2入侵检测设计
入侵主要指的是外部用户对于主机系统资源的非授权使用,入侵行为能够在一定程度上导致系统数据的损毁与丢失,对于企业的信息安全与网络安全会造成较大的威胁,甚至导致系统拒绝合法用户的使用与服务。在防火墙的企业网络安全设计中,应该加强对入侵者检测系统的重视,对于入侵脚本、程序自动命令等进行有效识别,通过敏感数据的访问监测,对系统入侵者进行行为分析,加强预警机制,检测入侵者的恶意活动,及时发现各种安全隐患并加以防护处理。
3.3身份认证设计
身份认证主要是对授权者的身份识别,通过将实体身份与证据的绑定,对实体如:用户、应用程序、主机、进行等加以信息安全维护。通常,证据与实体身份间为一种对应的关系,主要由实体方向提供相应的证据,来证明自己的身份,而防火墙的身份认证则通相关的机制来对证据进行验证,以确保实体身份与证据的一致性。通过身份认证,防火墙便能够对非法用户与合法用户加以识别,进而对非法用户进行访问设置,维护主机系统的安全。
3.4状态检测设计
访问状态检测,是控制技术的一种,其关键性的任务就是确保企业的网络资源不受非法使用与非法访问,是维护企业网络安全的重要手段之一。防火墙的访问控制,一般可分为两种类型:①系统访问控制;②网络访问控制。其中,网络访问控制主要是限制外部计算机对于主机网络服务系统的访问,以及控制网络内部用户与外部计算机的访问。而系统访问控制,主要是结合企业的实际管理需求,对不同的用户赋予相应的主机资源操作、访问权限。
3.5包过滤数据设计
数据包过滤型的防火墙主要是通过读取相应的数据包,对一些信息数据进行分析,进而对该数据的安全性、可信度等加以判断,并以判断结果作为依据,来进行数据的处理。这在个过程中,若相关数据包不能得到防火墙的信任,便无法进入该网络。所以,这种技术的实用性很强,能够在网络环境下,维护计算机网络的安全,且操作便捷,成本较低。但需要注意的是,该技术只能依据一些基本的信息数据,来对信息安全性进行判断,而对于应用程序、邮件病毒等不能起到抵制的作用。包过滤防火墙通常需要在路由器上实现,对用户的定义内容进行过滤,在网络层、数据链路层中截获数据,并运用一定的规则来确定是否丢弃或转发各数据包。要确保企业的网络安全,需要对该种技术进行充分的利用,并适当融入网络地址翻译,对外部攻击者造成干扰,维护网络内部环境与外部环境的安全。
4企业网络安全中的实现
4.1强化网络安全管理
用将防火墙技术应用于企业的网络安全中,还需要企业的信息管理人员对于本企业的实际业务、工作流程、信息传输等进行深入的分析,对本企业存在的信息安全加以风险评估,熟悉掌握本企业网络安全的薄弱环节,全民提高企业的信息安全。另外,企业信息管理人员还需要对企业的网络平台架构进行明确掌握,对企业的未来业务发展加以合理的预测分析,进而制定出科学合理的网络信息安全策略。同时,企业信息管理人员还需要对黑客攻击方式与攻击手段进行了解,做好防止黑客入侵的措施。
4.2网络安全需求分析
企业的网络安全为动态过程,其设方案需要结合自身的实际状况加以灵活设计,进而提高设计方案的适用性、安全性,维护企业整个网络的安全。在对企业网络需求进行分析时,还需要注重企业的应用系统、网络访问系统、网络资源、网络管理实际[3]。在应用系统安全性设计中,对于系统使用频繁,提供服务资源的数据库与服务器,要在网络环境下,确保其运行安全,以免疏导恶意攻击与访问;而对于网络访问设计应具有一定的可控性,具备相应的认证与授权功能,对用户的身份加以识别,对敏感信息加以维护,以免企业的核心系统遭到攻击[4];网络资源要确保其适用性,能够承载企业的办公自动化系统及各项业务的运行使用,并保证网络能够不间断地高效运行;同时,针对网络管理,应该具有可操作性,在安全日志与审计上进行相关的信息记录,以免企业信息系统管理人员的日后维护。
4.3网络安全策略的制定
要实现企业的网络安全,还需要对企业的实际网络安全需求进行了解之后,针对不同的信息资源,制定出相关的安全策略,通过各种系统保密措施、信息访问加密措施、身份认证措施等,对企业信息资源维护人员相关的职责加以申请与划分,并对访问审批流程加以明确。最后,还需要企业的信心管理人员对整个安全系统进行监控与审计,通过监控系统的安全漏洞检查,对威胁信息系统安全的类型与来源进行初步判断,通过深入分析,制定出完善是网络安全防护策略[5]。
5结束语
在互联网环境下,信息资源的存储量巨大,运行较为高效,不仅为企业带来了较大发展空间,也使企业的信心安全面临巨大的威胁。因此,企业需要加强防火墙系统的建设,提高对网络安全系统的认识,通过有效措施,加强防火墙的安全设计,构建一个相对稳定的网络环境,维护企业的信息安全,让企业在可靠的信息网络环境开发更多的客户资源,以寻得健康、稳定、持续的发展。
作者:黄河锋单位:桂林自来水公司
参考文献
[1]马小雨.防火墙和iDS联动技术在网络安全管理中的有效应用[J].现代电子技术,2016(02):42~44.
[2]范沁春.企业网络安全管理平台的设计与实现[J].网络安全技术与应用,2015(07):74+77.
[3]秦艳丽.试谈防火墙构建安全网络[J].电脑编程技巧与维护,2016(06):78~80.
企业信息安全防护方案篇9
一、积累档案,做好收集
公司档案工作实行统一领导、分级管理;按照“谁主管、谁负责”、“谁形成、谁整理”的原则开展档案管理工作。任何个人不得将公司档案据为己有或拒绝归档。档案收集工作在整个档案管理中处于一种特殊地位,通过档案的收集公司各部门各项工作和活动中产生和形成的各种门类和载体的档案分别向档案部门集中由档案部门负责统一管理。负责本部门应归档文件材料的收集、整理,确保真实准确、齐全完整、系统规范;并按规定向本单位档案部门归档移交。为单位科学地管理和有效地利用档案信息资源提供了物质基础。
二、科学立卷、做好整理
公司应对各类档案统一管理,实行部门整理(立卷),并建立全宗卷。文件材料应按时归档,重大建设项目、重大投融资项目、重要科研项目等档案管理工作应与项目同步开展。党群工作、行政管理、经营管理、生产技术管理、财务(非会计专业)、审计、人事劳资管理中形成的管理类文件材料应在办理完毕后次年第1季度归档,第2季度归档完毕。以“案卷”为单位整理,按照文件材料在形成和处理过程中的相互联系,科学组卷,通过对公司和部门档案全宗进行划分对档案实体进行分类、编号和排架。通过档案整理实现档案材料管理的有序化。
三、定期检查、做好保管
定期检查档案情况,发现档案破损或字迹变化,及时修补复制,确保档案的安全完整,定期开展档案数据管理和馆库设施巡查,确保馆藏档案的安全保管和设施设备的良好运转;档案库房应保持干净、整洁,并具备防火、防盗、防潮、防光、防鼠、防虫、防尘、防污染(“八防”)等防护功能。
档案库房应配备“八防”、空气净化、火灾自动?缶?、自动灭火、温湿度控制、视频监控等设施设备,并对运转情况进行定期检查、记录,及时排除隐患。通过严格的档案管理和采取相关的保护技术保护档案的完整与安全防止或减少档案的损坏延长档案的寿命维护单位的自身秘密,确保单位信息安全。
四、提高档案人员的管理意识和专业素质
企业信息安全防护方案篇10
关键词信息安全;pKi;Ca;Vpn
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pKi技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBi)和计算机安全机构(CSi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pKi/Ca数字认证服务。pKi(publicKeyinfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pKi/Ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
Vpn(Virtualprivatenetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署Vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程Lan的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个Vpn网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如oUtLooK支持的S/mime(Securemultipurposeinternetmailextensions),它是从pem(privacyenhancedmail)和mime(internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/mime将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入oFFiCe系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于pKi的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于pKi的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。