企業(yè)信息網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)與安全策略

摘要:企業(yè)信息化發(fā)展過(guò)程中，數(shù)據(jù)經(jīng)過(guò)長(zhǎng)期建設(shè)和積累形成海量的數(shù)據(jù)是企業(yè)重要資源，是提高企業(yè)生產(chǎn)、管理水平和經(jīng)濟(jì)效益，起著至關(guān)重要的作用。由于網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響，網(wǎng)絡(luò)安全管理逐漸引起關(guān)注。通過(guò)信息網(wǎng)絡(luò)的安全管理系統(tǒng)的建立、安全策略、安全管理策略技術(shù)手段，提高網(wǎng)絡(luò)信息的整體安全性，確保企業(yè)信息數(shù)據(jù)安全。

關(guān)鍵詞:信息;網(wǎng)絡(luò)安全;管理策略

中圖分類號(hào):F270文獻(xiàn)標(biāo)志碼:A文章編號(hào):1673-291X(2010)30-0015-02

隨著企業(yè)信息網(wǎng)絡(luò)建設(shè)與不斷的發(fā)展，信息化已成為企業(yè)發(fā)展的大趨勢(shì)，信息網(wǎng)絡(luò)安全就顯得尤為重要。由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

一、信息網(wǎng)絡(luò)的安全管理系統(tǒng)的建立

信息網(wǎng)絡(luò)安全管理系統(tǒng)的建立，是實(shí)現(xiàn)對(duì)信息網(wǎng)絡(luò)安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作，在將與整體安全有關(guān)的各項(xiàng)安全技術(shù)和產(chǎn)品組合為一個(gè)規(guī)范的、整體的、集中的安全平臺(tái)上的同時(shí)，使技術(shù)因素、策略因素以及人員因素能夠更加緊密地結(jié)合在一起，從而提高用戶在安全領(lǐng)域的整體安全效益。下面對(duì)信息網(wǎng)絡(luò)安全管理系統(tǒng)技術(shù)需求和功能要求進(jìn)行分析。

(一)技術(shù)分析

1.在信息網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)上，應(yīng)該用到以下技術(shù):安全綜合管理系統(tǒng)體系結(jié)構(gòu)構(gòu)造理論和技術(shù);安全部件之間的聯(lián)動(dòng)技術(shù);安全部件互動(dòng)協(xié)議與接口技術(shù);網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)自動(dòng)發(fā)掘技術(shù);網(wǎng)絡(luò)數(shù)據(jù)的相關(guān)性分析和統(tǒng)計(jì)分析算法;網(wǎng)絡(luò)事件的多維描述技術(shù)。

2.信息網(wǎng)絡(luò)安全管理系統(tǒng)應(yīng)具有安全保密第一:安全保密與系統(tǒng)性能是相互矛盾的，彼此相互影響、相互制約，在這種情況下，系統(tǒng)遵循安全與保密第一的原則，信息網(wǎng)絡(luò)安全管理系統(tǒng)在設(shè)計(jì)、實(shí)施、運(yùn)行、管理、維護(hù)過(guò)程中，應(yīng)始終把系統(tǒng)的安全與保密放在首要的位置。在信息網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)，尤其在身份認(rèn)證、信任管理和授權(quán)管理方面，應(yīng)采用先進(jìn)的加密技術(shù)，實(shí)現(xiàn)全方位的信任和授權(quán)管理。因此，對(duì)信息安全管理系統(tǒng)而言，針對(duì)單個(gè)系統(tǒng)的全部管理并非是本系統(tǒng)的重點(diǎn)，而應(yīng)該投入更多的力量在于:集中式、全方位、可視化的體現(xiàn);獨(dú)立安全設(shè)備管理中不完善或未實(shí)現(xiàn)的部分;獨(dú)立安全設(shè)備的數(shù)據(jù)、響應(yīng)、策略的集中處理。

(二)功能分析

1.分級(jí)管理與全網(wǎng)統(tǒng)一的管理機(jī)制:網(wǎng)絡(luò)安全是分區(qū)域和時(shí)段的，實(shí)施分級(jí)與統(tǒng)一的管理機(jī)制可以對(duì)全網(wǎng)進(jìn)行有效的管理，不僅體現(xiàn)區(qū)域管理的靈活性，還表現(xiàn)在抵御潛在網(wǎng)絡(luò)威脅的有效性，管理中心可以根據(jù)自己網(wǎng)絡(luò)的實(shí)際情況配置自己的策略，將每日的安全事件報(bào)告給上一級(jí)，由上一級(jí)進(jìn)行統(tǒng)一分析。上一級(jí)可以對(duì)全網(wǎng)實(shí)施有效的控制，比如采用基于web的電子政務(wù)的形式，要求下一級(jí)管理中心更改策略、打補(bǔ)丁、安全產(chǎn)品升級(jí)等。

2.安全設(shè)備的網(wǎng)絡(luò)自動(dòng)拓?fù)?系統(tǒng)能夠自動(dòng)找出正確的網(wǎng)絡(luò)結(jié)構(gòu)，并以圖形方式顯示出來(lái)，給用戶管理網(wǎng)絡(luò)提供極大的幫助。這方面的內(nèi)容包括:自動(dòng)搜索用戶關(guān)心的安全設(shè)備;網(wǎng)絡(luò)中安全設(shè)備之間的拓?fù)潢P(guān)系;根據(jù)網(wǎng)絡(luò)拓?fù)潢P(guān)系自動(dòng)生成拓?fù)鋱D;能夠反映當(dāng)前安全設(shè)備以及網(wǎng)絡(luò)狀態(tài)的界面。

3.安全設(shè)備實(shí)時(shí)狀態(tài)監(jiān)測(cè):安全設(shè)備如果發(fā)生故障而又沒(méi)有及時(shí)發(fā)現(xiàn)，可能會(huì)造成很大的損失。所以必須不間斷地監(jiān)測(cè)安全設(shè)備的工作狀況。如某一設(shè)備不能正常工作，則在安全設(shè)備拓?fù)鋱D上應(yīng)能直觀的反映出來(lái)。實(shí)時(shí)狀態(tài)監(jiān)測(cè)的特點(diǎn)是:(1)高度兼容性:由于各種安全設(shè)備的差別很大，實(shí)時(shí)狀態(tài)監(jiān)測(cè)具有高度兼容性，支持各種常用協(xié)議，能夠最大程度地支持現(xiàn)有的各種安全設(shè)備。(2)智能化:狀態(tài)監(jiān)測(cè)有一定的智能化，對(duì)安全設(shè)備的運(yùn)行狀態(tài)提前作出預(yù)測(cè)，做到防患于未然。(3)易用性:實(shí)時(shí)狀態(tài)監(jiān)測(cè)不是把各種設(shè)備的差別處理轉(zhuǎn)移給用戶，而是能夠提供易用的方式幫助用戶管理設(shè)備。

4.高效而全面的反應(yīng)報(bào)警機(jī)制:報(bào)警形式多樣:如響鈴、郵件、短消息、電話通知等。基于用戶和等級(jí)的報(bào)警:可以根據(jù)安全的等級(jí)，負(fù)責(zé)處理問(wèn)題的用戶，做出不同方式、針對(duì)不同對(duì)象的報(bào)警響應(yīng)。

5.安全設(shè)備日志統(tǒng)計(jì)分析:可以根據(jù)用戶需求生成一段時(shí)間內(nèi)網(wǎng)絡(luò)設(shè)備與安全設(shè)備各種數(shù)據(jù)的統(tǒng)計(jì)報(bào)表。

二、信息網(wǎng)絡(luò)的安全策略

企業(yè)信息網(wǎng)絡(luò)面臨安全的威脅來(lái)自:(1)人為的無(wú)意失誤:如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。(2)人為的惡意攻擊:這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。(3)網(wǎng)絡(luò)軟件的漏洞:網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，這些是因?yàn)榘踩胧┎煌晟扑兄隆?/p>

(一)物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受破壞和攻擊;驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室。

(二)訪問(wèn)控制策略

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

1.入網(wǎng)訪問(wèn)控制:入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源。用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟:用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。

2.權(quán)限控制:網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源。可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。可以根據(jù)訪問(wèn)權(quán)限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限。

(三)目錄級(jí)控制策略

網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種:系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。

三、網(wǎng)絡(luò)安全管理策略

在網(wǎng)絡(luò)安全中，除了采用技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級(jí)和安全管理范圍;制定有關(guān)網(wǎng)絡(luò)操作;使用規(guī)程和人員出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

四、結(jié)束語(yǔ)

隨著信息化與網(wǎng)絡(luò)化趨勢(shì)的增強(qiáng)，企業(yè)信息網(wǎng)絡(luò)化的速度加快，隨之而來(lái)的系統(tǒng)網(wǎng)絡(luò)與信息安全日益成為企業(yè)網(wǎng)絡(luò)發(fā)展的重要組成部分，網(wǎng)絡(luò)安全已經(jīng)直接威脅到系統(tǒng)的正常運(yùn)轉(zhuǎn)，信息網(wǎng)絡(luò)安全管理系統(tǒng)使用戶能夠?qū)π畔⑾到y(tǒng)的安全進(jìn)行主動(dòng)有效的管理，也是加快企業(yè)信息化發(fā)展的速度，因此信息網(wǎng)絡(luò)安全策略與安全管理系統(tǒng)的建立具有十分重要的社會(huì)意義。[責(zé)任編輯 劉嬌嬌]