探析企業信息安全保障體系建設

摘 要:企業信息安全越來越受到人們的重視，本文從系統安全、網絡運行安全和內部網絡安全方面，對企業信息安全保障體系的建設提出了自己的看法和做法。

關鍵詞:信息安全 系統安全 區域分級 入侵檢測

中圖分類號:TP393 文獻標識碼:A 文章編號:1674-098X(2011)03(c)-0210-01

技術創新和企業信息化是一個相互促進的過程。隨著企業技術創新的發展，人們對信息化的作用越來越有所認識，對信息化的建設更加重視。建立必要的信息化基礎設施，完善信息傳輸和處理系統，以適應信息收集、處理和開發工作的需要。目前，很多企業面臨著越來越多的信息安全風險，這些風險即來自外部，也來自內部。主要安全風險有:計算機病毒、特洛伊木馬、網絡偵聽、Dos攻擊等。

1 進行安全區域分級

在企業信息系統中，對安全域進行合理分級，根據網絡結構、應用系統用途以及信息的安全等級等因素，對信息系統進行安全域的劃分，將不同用途的系統劃分在不同安全域、將信息系統用戶功能區域與信息系統管理功能區域劃分在不同安全域、將應用服務與數據存儲服務劃分在不同安全域，分別進行保護，應采用合理的技術措施對跨越安全域邊界的訪問進行有效控制。

根據企業的網絡拓撲結構，在充分考慮可行性和防病毒要求的基礎上，在企業整個網絡安全管理架構方面，采用分級管理、多重防護的管理措施，根據不同部門的業務重要性，設定不同的信息安全級別等級，進行信息安全保護，有效地提高工作效率。

根據部門需求和網絡安全級別的分級等級，制定和部署不同的安全策略進行網絡安全管理，既避免了保護過度造成的工作不便，也避免了低于需要的安全保護的級別，而存在的潛在風險，一旦某層級的網絡出現問題，便于該層級的網絡在第一時間得到最有效的解決。

2 部署網絡入侵防御系統

部署的入侵檢測設備(IDS)，屬網絡攻擊行為檢測設備，不能對攻擊行為進行阻斷，主要用來對網絡、系統的運行狀況進行監視和分析，依照一定的安全策略，盡可能發現識別已知的各種攻擊企圖、攻擊行為或者攻擊結果，以報表的形式進行統計分析并報警，以保證網絡系統資源的機密性、完整性和可用性。

而目前流行的網絡攻擊方式和種類逐步向網絡上層延伸，攻擊行為經過通用端口進行偽裝，欺騙無法流重組和協議分析的入侵檢測設備。使原有的入侵檢測設備失去了攻擊檢測阻斷的準確性。

為了滿足網絡數據處理要求，保證網絡不會受到入侵的攻擊，規劃新增部署網絡入侵防御系統(IPS)。入侵防御系統可以深度感知并檢測流經的數據，對于TCP流分段重疊進行完整和合法性校驗，基于目標設備的操作系統進行準確的的流重組檢測。檢測引擎首先對到達的TCP數據包按照其目標服務器主機的操作系統類型進行流重組，然后對重組后的完整數據進行攻擊檢測，實現在應用層中將有害流量從正常業務中分離，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。

3 部署內網安全管理系統

內網安全管理系統從終端安全、桌面管理、行為監控、網絡準入控制等多個角度構建一套完整的內網安全防護體系，貫徹“積極防御、綜合防范”的安全理念，通過集中管理、分層保護原則，全方位保證企業內部網絡安全。

采用內網管理系統，分別在企業訪問終端上部署客戶端，并在企業網部署內網安全管理服務器，通過設定策略對桌面機器進行全面安全防護，并實現以下的安全功能:

終端桌面訪問控制:為廠所有聯網主機提供以應用程序為中心的主機防火墻保護功能;提供傳統的主機型防火墻功能鎖定合法應用程序，防止惡意程序通過偽裝或代碼注入等手段繞過防火墻的檢測;當系統探測到遠程攻擊行為時，可以自動阻斷所有來自攻擊方的網絡通訊，確保主機的安全。

終端桌面入侵檢測:提供的完整的主機型入侵檢測系統(HIDS)，有效保證了檢測效率和更低的誤報警率;提供入侵檢測特征的編輯功能，管理員可以根據企業的特點和新出現的網絡威脅自定義入侵檢測規則，也可以通過網絡直接升級HIDS的入侵檢測特征庫，快速而靈活的應對不斷出現的新的網絡攻擊行為。

防病毒軟件檢測:提供了對主機的殺毒軟件的檢測功能，可檢測主機運行的殺毒軟件版本和殺毒軟件病毒庫版本及升級時間等。

補丁管理:通過策略定制，可以自動檢測、下載和安裝適用更新;通過定制需要安裝的補丁，自動從服務器下載并安裝IP管理:對局域網內IP地址、MAC地址進行管理控制，有效檢測IP沖突;建立IP地址庫，提供IP查詢功能，顯示IP地址資源使用情況;對于已分配的IP地址要與MAC/主機名進行綁定，對于未分配的IP地址可以自由使用，也可以禁止使用，用戶可以根據需要進行策略化配置;對IP地址的使用情況進行實時監測，防止IP地址被非法盜用，保證已經預留的IP地址只能被預留者使用。

行為監管:對撥號行為進行監管，包括:實時監視普通電話線、ISDN、ADSL等方式的撥號上網;對拔掉內網網線或禁用本地網卡等進行非法外聯的主機監測;對打印機進行監管，包括:實時監視對網絡、本地打印機的使用;通過策略定制的限制主機可以使用哪些打印機;對文件的監視，包括:對通過網絡或者本地非授權讀寫、拷貝、刪除涉密文件行為的監控;對文件屬性改變包括文件內容修改的行為監視;對計算機外存設備的監管，包括對軟驅、光驅、USB、光驅等讀寫的監控。

系統監管:進程監控。提供黑白名單兩種方式，保證主機運行進程的可控性;提供菜單可遠程終止指定主機上面的進程;所有被控主機的進程可查看監視;端口連接監視。可以監視所有被控主機的連接狀態，可以監視主機的安裝的軟件信息和硬件信息，當軟硬件信息改變時，提供了報警功能。

4 部署安全審計及日志管理系統

安全審計系統是一種基于信息流的數據采集、分析、識別和資源審計封鎖系統。可以根據設定的安全控制策略，實時審計網絡數據流，對受控對象的活動進行審計，對信息系統中的操作行為和操作結果進行收集和準確記錄，實時的監測系統狀態，監測和追蹤侵入者等等。通過對日志的檢查，可以發現錯誤發生的原因，或受到攻擊時攻擊者留下的痕跡，并可以重現用戶的操作行為的過程，為安全管理提供用于安全事件分析的數據與事后的行為取證。

通過部署安全審計及日志管理系統，對網絡進行網絡審計管理，提高對關鍵資源的全局控制和調度能力，為全面管理提供一種審計、檢查當前系統運行狀態的有效手段。

5 結語

企業運用信息安全分級管理，采用適當的管理和技術措施，可以降低信息安全風險，綜合提高了信息安全的保障能力，保障和促進企業信息化業務的順利高速發展。