企業信息網絡安全管理架構部署探析

摘 要：企業網絡信息安全管理架構的部署，既是用戶需求帶動的結果，也是網絡安全領域向全方位、縱深化、專業化方向發展的結果，通過安全需求分析，對企業信息網絡安全架構進行了設計，并對企業信息網絡安全工程的部署作了細致的探討。通過對企業信息網絡安全管理架構的部署，可有效地實現企業安全建設的最終目標。

關鍵詞：企業；網絡安全；管理；部署

中圖分類號：F224.33文獻標識碼：A文章編號：1672-3198（2008）03-0128-02

1 引言

隨著信息化進程的提速，越來越多地企業信息被披露于企業內外部網絡環境中，如何保護企業機密，保障企業信息安全，成為企業信息化發展過程中必然需要面臨和解決的問題。

對于企業信息網絡安全管理需要部署的內容，首先要明確企業的哪些資產需要保護，確定關鍵數據和相關業務支持技術資產的價值，然后在此基礎上，制定并實施安全策略，完成安全策略的責任分配，設立安全標準。

2 企業網絡信息安全需求分析

對企業網絡信息安全的網絡調查顯示：有超過85%的安全威脅來自企業內部；有16%來自內部未授權的訪問；有11%資料或網絡的破壞?？梢钥闯觯簛碜杂谄髽I內部的安全威脅比來自于外部的威脅要大得多，必要的安全措施對企業是非常重要的。安全風險分析通常包括對系統資源的價值屬性的分析、資源面臨的威脅分析、系統的安全缺陷分析等等。分析的目標就是確定安全系統的建設環境，建立信息系統安全的基本策略。

2.1 企業信息網絡安全需求

企業對信息網絡安全方面的需求主要包含：

（1）業務系統與其它信息系統充分隔離。

（2）企業局域網與互聯的其它網絡充分隔離。

（3）全面的病毒防御體系，恢復已被病毒感染的設備及數據。

（4）關鍵業務數據必須進行備份，具有完善的災難恢復功能。

（5）管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估，并根據評估結果采用相應措施。

（6）關鍵業務數據和敏感數據在公網上的傳輸必須加密，防止非法獲取和篡改。

（7）加強內部人員操作的技術監控，采用強有力的認證系統，代替一些不安全的用戶名/口令系統授權模式。

（8）建立完善的入侵審計和監控措施，監視和記錄外部或者內部人員可能發起的攻擊。

（9）對整個信息系統進行安全審計，可預見管理和總擁有成本控制。

2.2 企業信息網絡安全內容

從企業整體考慮，它的信息網絡安全包括以下六個方面：

（1）企業信息網絡安全策略建設，它是安全系統執行的安全策略建設的依據。

（2）企業信息網絡管理體系建設，它是安全系統的安全控制策略和安全系統體系結構建設的依據。

（3）企業信息網絡資源管理體系建設，它是安全系統體系結構規劃的依據。

（4）企業信息網絡人員管理建設，它是保障安全系統可靠建設、維護和應用的前提。

（5）企業信息網絡工程管理體系建設，信息安全系統工程必須與它統一規劃和管理。

（6）企業信息網絡事務持續性保障規劃，它是信息安全事件處理和安全恢復系統建設的依據。

3 企業信息網絡安全架構

3.1 企業信息網絡安全系統設計

安全系統設計是在信息系統安全策略的基礎上，從安全策略的分析中抽象出安全系統及其服務。安全系統的設計如圖1所示。安全系統設計的目標是設計出系統安全防御體系，設計和部署體系中各種安全機制從而形成自動的安全防御、監察和反應體系，忠實地貫徹系統安全策略。 

3.2 企業信息網絡安全系統組建

安全系統設計關心的是抽象定義的系統。具體系統組建是建立在設計基礎上的實現。通常系統功能組件的實現方式是軟件、硬件和固體等。安全系統組建的另一項重要內容是配制安全系統，并將安全系統與整個信息系統形成一體。

4 企業信息網絡安全工程的部署

信息系統安全是信息系統服務質量的要求，網絡安全系統應當融于信息網絡服務系統之中，其建設與維護應當與信息網絡系統的建設和維護保持一致，遵循系統工程的方法。網絡安全工程就是應用系統工程建設和維護網絡安全系統。

4.1 工程環節

系統工程總是與被建設的系統特性緊密結合，工程環節與系統生命周期保持同步。安全系統的生命周期也是基本如此，因而安全系統工程典型的基本環節包括信息系統安全需求分析、安全系統設計、安全系統組建、安全系統認證、系統安全運行維護和安全系統改造等，如圖2所示。

（1）安全的互聯網接入。

企業內部網絡的每位員工要隨時登錄互聯網，因此Internet接入平臺的安全是該企業信息系統安全的關鍵部分，可采用外部邊緣防火墻，其內部用戶登錄互聯網時經過內部防火墻，再由外部邊緣防火墻映射到互聯網。外部邊緣防火墻與內部防火墻之間形成了DMZ區。

（2）防火墻訪問控制。

外部邊緣防火墻提供PAT服務，配置IPSec加密協議實現VPN撥號連接以及端到端VPN連接，并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務控制。 

內部防火墻處于內部網絡與DMZ區之間，它允許內網所有主機能夠訪問DMZ區，但DMZ區進入內網的流量則進行嚴格的過濾。 

（3）用戶認證系統。

用戶認證系統主要用于解決撥號和VPN接入的安全問題，它是從完善系統用戶認證、訪問控制和使用審計方面的功能來增強系統的安全性。 

撥號用戶和VPN用戶身份認證在主域服務器上進行，用戶賬號集中在主域服務器上開設。系統中設置嚴格的用戶訪問策略和口令策略，強制用戶定期更改口令。同時配置VPN日志服務器，記錄所有VPN用戶的訪問，作為系統審計的依據。

（4）入侵檢測系統。

企業可在互聯網流量匯聚的交換機處部署入侵檢測系統，它可實時監控內網中發生的安全事件，使得管理員及時做出反應，并可記錄內部用戶對Internet的訪問，管理者可審計Internet接入平臺是否被濫用。

（5）網絡防病毒系統。

企業應全面地布置防病毒系統，包括客戶機、文件服務器、郵件服務器和OA服務器。 

（6）VPN加密系統。

企業可建立虛擬專網VPN，主要為企業移動辦公的員工提供通過互聯網訪問企業內網OA系統，同時為企業內網用戶訪問公司的SAP系統提供VPN加密連接。

需要注意的是，由于VPN機制需要執行加密和解密過程，其傳輸效率將降低30％～40％，因此對于關鍵業務，如果有條件應該盡可能采用數據專線方式。 

（7）網絡設備及服務器加固。

企業網絡管理員應定期對各種網絡設備和主機進行安全性掃描和滲透測試，及時發現漏洞并采取補救措施。安全性掃描主要是利用一些掃描工具，模擬黑客的方法和手段，以匿名身份接入網絡，對網絡設備和主機進行掃描并進行分析，目的是發現系統存在的各種漏洞。

根據安全掃描和滲透測試的結果，網絡管理員即可有針對性地進行系統加固，具體加固措施包括：關閉不必要的網絡端口；視網絡應用情況禁用ICMP、SNMP等協議；安裝最新系統安全補??；采用SSH而不是Telnet進行遠程登錄；調整本地安全策略，禁用不需要的系統缺省服務；啟用系統安全審計日志。 

（8）辦公電腦安全管理系統。

企業應加強對桌面電腦的安全管理。主要有：

①補丁管理：主要用于修復桌面電腦系統漏洞，避免蠕蟲病毒、黑客攻擊和木馬程序等。

②間諜軟件檢測：能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。

③安全威脅分析：能夠自動檢測桌面電腦的配置風險，包括共享、口令、瀏覽器等安全問題，并自動進行修補或提出修改建議。

④應用程序阻止：用戶隨意安裝的游戲等應用程序可能導致系統紊亂、沖突，影響正常辦公。管理員可以通過遠程執行指令，阻止有關應用程序的運行。

⑤設備訪問控制：對用戶電腦的硬件采用適當的訪問控制策略，防止關鍵數據丟失和未授權訪問。

（9）數據備份系統。

企業應制定備份策略，定期對一些重要數據進行備份。 

4.2 持續性計劃

（1）架構評估。

企業網絡信息安全管理架構的評估應由IT部門、相關責任部門以及終端用戶代表來共同參與，確保所有的部門都能納入安全框架中。

（2）系統安全運行管理。

要保障信息系統安全，就必須維護安全系統充分發揮作用的環境。這種環境包括安全系統的配置、系統人員的安全職責分工與培訓。

（3）安全系統改造。

信息系統安全的對抗性必然導致信息安全系統不斷改造。導致安全系統改造的因素可以歸結為4個方面：技術發展因素；系統環境因素；系統需求因素；安全事件因素。

（4）網絡安全制度建設及人員安全意識教育。

企業應當采取積極防御措施，主動防止非授權訪問操作，從客戶端操作平臺實施高等級防范，使不安全因素在源頭被控制。這對工作流程相對固定的重要信息系統顯得更為重要而可行。

需開展計算機安全意識教育和培訓，加強計算機安全檢查，以此提高最終用戶對計算機安全的重視程度。為各級機構的系統管理員提供信息系統安全方面的專業培訓，提高處理計算機系統安全問題的能力。 

參考文獻

［1］趙迪，趙望達，劉靜.基于B/S架構的安全生產監督管理信息系統［J］，中國公共安全(學術版)，2006，(04).［2］周敏文，譚海文.淺析我國安全生產信息化建設的現狀與對策［J］，露天采礦技術，2005，(06).

［3］［美］Harold F.Tipton，Micki Krause著，張文，鄧芳玲，程向莉，吳娟等譯.信息安全管理手冊（卷III）（第四版）［M］，北京:電子工業出版社，2004年6月，237-264.

［4］邢戈， 張玉清， 馮登國. 網絡安全管理平臺研究［J］，計算機工程， 2004，(10).

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。