企業網絡安全建設方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業網絡安全建設方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業網絡安全建設方案范文第1篇
中圖分類號:TP393
1 項目來源
重鋼集團公司按照國家“管住增量、調整存量、上大壓小、扶優汰劣”的原則,將重慶市淘汰落后產能、節能減排與重鋼環保搬遷改造工程結合起來。隨著重慶市經濟和城市化快速發展,重慶鋼鐵(集團)有限責任公司擬退出主城區,進行環保搬遷。重鋼環保搬遷新廠區位于長壽區江南鎮,主要生產設施包括碼頭、原料場、焦化、燒結、高爐、煉鋼、連鑄、寬厚板軋機、熱連軋機和各工藝配套設施以及全廠的公輔設施等,生產規模為630萬噸。
2 系統目標
重鋼股份公司在搬遷的長壽區建立了全新的信息化機房,結合自身實際,決定部署一套符合自身需要的信息化平臺。整個平臺包含:財務系統、人力資源管理系統、門戶.OA系統、各產線的MES系統、以及企業的原料,物流系統等。
3 系統實現
重鋼信息系統全由公司自主研發,服務器端采用:中間服務器操作系統win2003server+Oracle Developer6i Runtimes,數據庫服務器:Unix Ware+ORACLE 10g。開發端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根據業務需求,公司統一按國家標準部署了裝修一個中心機房,選擇了核心數據庫服務器小型機、其他小型機服務器、FC-SAN存儲柜、SAN交換機,磁帶庫、PC服務器、網絡安全管理設備,機柜、應用服務器軟件、數據備份管理軟件、UPS電源。等硬件基礎設施對此系統項目進行集成。在信息化建設實施過程中,本人主要參與了整個系統項目集成方案設計和實施。
4 項目特點
4.1 網絡設計
中心機房通過防火墻等網絡設備提供網絡互聯、網絡監測、流量控制、帶寬保證、防入侵檢測等技術,抗擊各種非法攻擊和干擾,保證網絡安全可靠。同時網絡建設選擇了骨干線路采用16芯單模光纖,接入層線路采用8芯單模光纖,桌面線路采用六類非屏蔽網絡線;光纖骨干線部分采用萬兆+千兆光纖雙鏈路連接,接入層光纖采用千兆鏈路接口至桌面。整個網絡體系滿足千兆以上數據傳輸及交換要求。
4.2 系統設計
本系統采用業界流行的三層架構,客戶端,應用服務器層,后臺數據庫層。
4.2.1 應用層設計特點
在應用層選擇上,重鋼選擇了citrix軟件來實現企業的虛擬化云平臺,原先安裝在客戶端的應用程序客戶端程序安裝在Citrix服務器上,客戶端不再需要安裝原有的Client端軟件,Client端設備只需通過IE就可以進行訪問。這樣就把原先的C/S的應用立刻轉化為B/S的訪問形式,而且無需進行任何的開發和修改源代碼的工作。同時使用Citrix的“Data Collector”負載均衡調度服務器負責收集每一臺服務器里面的一些動態信息,并與之進行交流;當有應用請求時,自動將請求轉到負載最輕的服務器上運行。Citrix是通過自己的專利技術,把軟件的計算邏輯和顯示邏輯分開,這樣客戶端只需上傳一些鼠標、鍵盤的命令,服務器接到命令之后進行計算,將計算完的結果傳送給客戶端,注意:Citrix所傳送的不是數據流,而是將圖像的變化部分經過壓縮傳給客戶端,只有在客戶端和服務器端才可以看到真實的數據,而中間層傳輸的只是代碼,并且Citrix還對這些代碼進行了加密。對于網絡的需求,只需要10K~20K的帶寬就可以滿足需要,尤其是在ERP中收發郵件,經常遇到較大郵件,通常在窄帶、無線網絡條件下基本無法訪問,但通過Citrix就可以很快打開郵件,進行文件的及時處理。
4.2.2 數據庫層技術特點
在數據庫層的選擇上,重鋼選擇了oracle軟件。利用oracle軟件本身的技術特點,我們設計系統采用ORACLE RAC+DATAGUARD的部署方式。RAC技術是通過CPU共享和存儲設備共享來實現多節點之間的無縫集群,用戶提交的每一項任務被自動分配給集群中的多臺機器執行,用戶不必通過冗余的硬件來滿足高可靠性要求。
RAC的優勢在于:在Cluster、MPP體系結構中,實現一個共享數據庫,支持并行處理,均分負載,保證故障時數據庫的不間斷運行;支持Shared Disk和Shared Nothing類型的體系結構;多個節點同時工作;節點均分負載。當RAC群組的一個A節點失效時,所有的用戶會被重新鏈接到B節點,這一切對來說用戶是完全透明的,從而實現數據庫的高可用性。
Data Guard是Oracle公司提出的數據庫容災技術,它提供了一種管理、監測和自動運行的體系結構,用于創建和維護一個或多個備份數據庫。與遠程磁盤鏡像技術的根本區別在于,Data Guard是在邏輯級,通過傳輸和運行數據庫日志文件,來保持生產和備份數據庫的數據一致性。一旦數據庫因某種情況而不可用時,備份數據庫將正常切換或故障切換為新的生產數據庫,以達到無數據損失或最小化數據損失的目的,為業務系統提供持續的數據服務能力。
4.2.3 數據備份保護特點
備份軟件采用HP Data Protector軟件。HP Data Protector軟件能夠實現自動化的高性能備份與恢復,支持通過磁盤和磁帶進行備份和恢復,并且沒有距離限制,從而可實現24x7全天候業務連續性,并提高IT資源利用率。Data Protector軟件的采購和部署成本比競爭對手低30-70%,能夠幫助客戶降低IT成本,提升運營效率。許可模式簡單易懂,有助于降低復雜性。廣泛的可擴展性和各種特性可以實現連續的備份和恢復,使您憑借一款產品即可支持業務增長。此外,該軟件還能夠與領先的HP StorageWorks磁盤和磁帶產品系列以及其它異構存儲基礎設施完美集成。作為增長迅猛的惠普軟件產品組合(包括存儲資源管理、歸檔、復制和設備管理軟件)的重要組成部分,Data Protector軟件還能與HP BTO管理解決方案全面集成,使客戶能夠將數據保護作為整個IT服務的重要環節進行管理。該解決方案將軟硬件和屢獲殊榮的支持服務集于一身,借助快速安裝、日常任務自動化以及易于使用等特性,Data Protector軟件能夠大大簡化復雜的備份和恢復流程。借助集中的多站點管理,可以輕松實施多站點變更,實時適應不斷變化的業務需求。
5 結束語
企業信息化平臺系統集成不是簡單的機器設備堆疊,需要根據企業自身使用軟件特點,企業使用方式,選擇合適的操作系統,應用軟件作為企業生產軟件部署的基礎,另外要合理利用各軟件提供的技術方式,對系統的穩定性,安全性,冗余性進行部署,從而達到高可用和可擴展的整體系統平臺。
參考文獻:
[1]肖建國.《信息化規劃方法論》.
[2]雷萬云.信息化與信息管理實踐之道[M].北京:清華大學出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
[4]周金銀.《企業架構》.
企業網絡安全建設方案范文第2篇
數據顯示,截至2020年3月,我國43.6%的網民過去半年上網過程中遇到過網絡安全問題,其中遭遇個人信息泄露問題占比最高。另有數據顯示,以銀行為代表的金融機構面臨的風險成本最為高昂。
完備的法律無疑是數據安全的最強大屏障。目前,我國網絡安全相關法律正在加緊制定。除了《民法總則》規定了對個人信息和數據進行保護外,近年來,我國還出臺了《網絡安全法》,該法于2017年6月1日起正式施行,是我國第一部全面規范網絡空間安全管理方面的基礎性法律,以此為基礎的《個人信息保護法》(尚在制訂中)、《數據安全法》(9月1日施行)等專項法規將陸續實施。
防范和降低網絡風險,除了立法制約,還有什么方式和手段?隨著數字經濟的發展,歐美等國家已充分認識到防范網絡安全風險的重要性,隨著認識的逐漸成熟,相應的網絡安全保險發展迅速。作為風險損失分攤的有效工具,網絡安全保險可幫助企業轉移潛在的不確定風險。歐美的成熟市場已將網絡安全保險產品作為重要的風險管理手段,通過保險產品來分散和轉移殘余風險,補償被保險人因網絡安全事件所引發的重大經濟損失,為涉事方提供恢復和補償機制,協助其恢復正常運營,提高抵御網絡安全事件的“韌性”。
相比國外較為成熟的網絡安全保險市場,我國網絡安全保險市場仍處于起步階段。目前國內有人保、國壽、平安、太保在內的大型保險公司和一些再保險公司能夠提供網絡安全保險的相關產品和承保能力。52021年是“十四五”規劃的開局之年,無論是國家還是地方,都在助推數字化轉型中的網絡安全建設,由此來看,網絡安全保險的市場空間巨大。根據慕尼黑再保險的預計,到2025年,全球網絡安全保險市場規模將達到約200億美元。
網絡安全保險是對網絡空間的不確定性進行承保,保險公司承保前十分注重核保風險評估,這一過程需要大量的準備工作,以此來決定是否承保,并制定合理的價格。在此背景下,如果投保企業想要獲得承保資格,以及更優惠的價格,就必須實施有效的網絡安全措施。例如被保險人的組織架構、制度體系、技術措施等,這也進一步促使企業重視“內生安全”,全方面提高企業網絡風險防范水平,助力企業網絡安全建設。
網絡安全保險不僅僅是保險公司提供的一個簡單的保險產品,還需要提供相應的服務與之匹配。在國外,保險公司會根據投保企業的網絡安全風險管理需求,為其提供一攬子、全周期管理方案,包括承保后的風險管理服務,險情出現后的應急響應服務,以及日常網絡安全維護等服務。
我國網絡安全保險市場尚未成熟,保險公司若僅憑自身資源,無力閉環防范網絡風險,更缺乏基于大數據的風險模型設定與資源匹配的行業指導及規范。因此,往往需要再保險公司和科技公司介入,在數據積累、資源整合、技術研發等多方面發揮優勢。
企業網絡安全建設方案范文第3篇
關鍵詞:企業信息安全;網絡安全;計算機網絡;防火墻;防病毒
網絡的普及和蔓延已經深入到日常生活的方方面面,一個不能忽略的問題也伴隨著網絡的普及滲入到人們的生活中,那就是網絡安全問題。2017年5月一種名為“WannaCry”的勒索病毒全球范圍內爆發,傳播速度之快已經對全球網絡安全構成了嚴重威脅。據權威機構研究顯示,中國每年遭受600億美元的網絡損失,位居亞洲第一。目前在國內,網絡安全威脅的行業范疇眾多,如教育、醫療、企業、電力、能源、交通、政府等組織及機構均是網絡安全的保障范圍。
現階段的網絡安全已經不是單個組織、單一個人的防范行為,而是隨著整個社會對信息安全的意識的覺醒形成的一個完整的網絡安全產業。隨著企業網絡安全意識的提高,網絡安全市場的規模也在逐年增長,伴隨的安全產品和安全解決方案也是層出不窮,作為一般企業如何結合企業自身需求建立完善的網絡安全策略,形成一個符合自身情況的網絡安全方案是本文要討論的重點。
1網絡安全概述
隨著網絡技術的普及和蔓延,越來越多的企業都開始通過網絡技術構建企業內部的信息平臺,將企業的業務數據信息化以提升企業的綜合實力,借助網絡技術加速企業的發展在行業內取得技術上對的領先優勢。其業務運營越來越依賴于對計算機應用系統,而計算機應用系統是建立在完善的技術網絡環境中的。隨著計算機網絡規模不斷擴大,網絡結構日益復雜,對計算機網絡的運維水平有著較大的挑戰。而近年來的網絡攻擊事件頻出,企業的信息安全防范意識也提高到了日常運維的日程中來了。從網絡安全的管控模型來分析,網絡安全一般采用動態的防御過程,一般要在安全事件發生的前、中和后均采用合理的技術方案,而網絡安全管理流程則會在整個網絡運營流程中起作用。企業的網絡管理人員已經將網絡安全納入企業的IT規劃發展的整體范疇,全面覆蓋企業信息平臺的各個層面,對整個網絡及應用的安全防范通盤考慮。
從網絡安全的發展歷程來說,是由于網絡自身的發展引發的安全問題才使得網絡安全技術誕生了,目前而言有網絡的地方就存在網絡安全隱患。像黑客攻擊、病毒入侵之類的網絡安全事件,都是利用計算機網絡作為主要的傳播途徑,其時間的發生頻率可以說和信息的傳播速度一樣快,這也是網絡安全的特點之一。除此之外,像非法用戶的訪問和操作,用戶信息的非法截取和更改,惡意軟件入侵和攻擊等都是現今普遍存在于計算機網絡的安全事件。顯然,其所帶來的危害也是讓每一位計算機用戶有著深刻的體會,例如:因為某種病毒讓操作系統運行不穩定,導致文件系統中的數據損壞無法訪問和讀寫,甚至導致磁盤、計算機、網絡等硬件的損壞,造成極大的經濟損失。
由于企業的網絡環境建設過程一般歷經了數年甚至數十年,網絡中接人的設備數量和種類眾多,網絡中的應用和內部系統也繁多。再加上,一般要求企業的網絡運行是7*24小時不間斷作業運行,其產生的數據往往巨大,其中不乏大量的敏感信息。這樣的網絡環境,必然給惡意代碼、病毒程序、網絡攻擊等惡意的攻擊事件留下了隱患,可以毫不客氣地說企業的網絡環境往往是危機四伏。
2網絡安全實踐
2.1網絡安全誤區案例分析
目前針對網絡安全事件頻繁發作,不少企業采購了相關的安全產品并配合了相關的安全措施,但是缺乏對網絡安全框架的理解存在不少誤區,主要有以下幾個方面。
1)部署網絡防火墻就萬事大吉了
防火墻主要原理是過濾封包與控制存取,因此對非法存取與篡改封包及DoS攻擊等網絡攻擊模式是極其有效的,對于網絡隔離和周邊的安全防護效果明顯。顯然如果攻擊行為繞開防火墻,或是將應用層的攻擊程序隱藏在正常的封包內,防火墻就失效了,這是由于大多數防火墻是工作在W絡層,并且其原理是“防外不防內”,對內部網絡的訪問不進行任何處理,顯然這種原理就成為了安全隱患和漏洞。
2)定期更新殺毒軟件就能夠保護系統不受病毒侵擾
顯然安裝殺毒軟件是避免系統被病毒破壞的主要手段之一,但是這僅僅只能對已知病毒進行查殺,對于未知病毒顯然缺乏事先預防的能力。
3)病毒只會在萬維網中傳播
雖然目前萬維網是病毒傳播的主要途徑,但是對于企業內部網絡可能會通過u盤、刻錄光盤、郵件、企業協同系統等從外部帶人病毒,因此只要計算機運行了,就要需要做好防范病毒措施。
4)為了避免病毒感染只要設置文件屬性為只讀即可
通常操作系統的shell調用可以提供將文件的讀寫屬性設置為只讀,但是對于黑客來說完全可以用程序做反向操作,即將文件屬性改為讀寫,并可以接管文件的控制權。
5)將敏感信息隔離于企業門戶之外
不少企業都采用了網絡隔離裝置,控制外部對企業內部網絡的訪問,甚至完全隔離任何數據的讀寫均禁止。但是對于內部的安全管理疏于防范,導致某些賬戶或權限被外部竊取,最后網絡敏感數據從內部流出,甚至導致內部網絡癱瘓,系統無法正常運行。
顯然上述誤區都是因為網絡管理員的思想局限在某些單一的網絡場景導致的,缺乏全局的網絡安全意識和合理的網絡安全規劃策略的指導。
2.2案例分析
針對上述誤區,本文將以一個虛擬的公司網絡環境展開案例分析,設計一個全局的網絡防范框架。一般企業網絡按服務器類型劃分包括:AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器等服務器。按職能部門劃分包括:經理辦公室、市場部、財政部、系統集成部、軟件部以及前臺接待部,一般各部門的網絡會做隔離,另外對于財務部的網絡只有經理辦公室有權限訪問其他部門不能訪問,而前臺接待部的網絡作為企業門戶不能訪問公司內部網絡,只能通過外網訪問。
根據上述基本網絡需求,在網絡安全架構設計上還應考慮Intemet的安全性,以及網絡隱私及專有性等一些因素,如NAT、VPN等。綜合分析,一個完整的企業網絡安全建設需求應該包括如下建設需求:1)網絡基礎設施建設;21網絡基礎的連通即訪問規劃;3)信息的訪問控制;4)全網網絡安全管理需求;5)各層次的網絡攻防控制;6)各層次應用及系統的病毒防范;7)企業內部的跨部門的信息安全;8)敏感信息及網絡安全控制。
根據上述基本網絡需求,可以建立一個如圖1所示的網絡拓撲結構。
上圖中的拓撲結構滿足一般性的企業網絡環境,包括服務器網絡及網絡隔離,各個職能部門的網絡、計算機及辦公設備,以及防范外部的防火墻設備,還包括各個層次的網絡交換機等網絡設備。
一般性的場景是根據圖1中的網絡拓撲設計,根據企業的實際網絡規劃考慮企業網絡建設的安全需求,在網絡建設的基礎上進行安全改造,目的是保證企業各種設計信息的安全性,提高企業網絡系統運行的穩定性,避免設計文檔、圖紙的外泄和丟失。對于客戶端的計算機的保護一般是通過軟件或安全流程進行保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用情況進行追蹤,防范外來計算機的侵入而造成破壞。通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。一般采用以下安全手段:1)在現有網絡中加入網絡安全設備設施;2)lP地址規劃及管理;3)安裝防火墻體系;4)劃分VLAN控制內網安全;5)建立VPN(虛擬專用網絡)確保數據安全;6)提供網絡殺毒服務器;7)加強企業對網絡資源的管理;8)做好訪問控制權限配置;9)做好對網絡設備訪問的權限。
一般情況下在企業的網絡環境中,會由ISP供應商提供公網的人口,而本文的重點為安全問題,因此采用虛擬的公網入口。目前IPv6技術還不是很成熟,IPv4地址依舊廣泛應用于企業內部網絡,因此公司內部使用IPv4的私有地址網段,假設公司內部共擁有800部終端,所以由172.28.0.0/22網絡段劃分,ip地址和VLAN規劃如下表1。
根據上表1的規劃依舊滿足了連通性和VLAN的控制劃分,在圖1中的規劃建立經理辦公室和財務部的VPN就保證了隔離性。再在服務器集群中安裝專門的防病毒服務器,監管所有計算機的防病毒程序,防止病毒人侵。根據一般安全權限控制還需建立專用的AAA服務器,保證認證(Authentication):、授權(Authorization)和審計(Accounting)。最后,圖l中IDS(IntrusionDetection Systems)即“入侵檢測系統”,用戶可以根據企業安全需求設置一組安全策略,IDS可以對網絡中的計算C、軟件、磁盤、網絡等新設備監控運行狀態,根據運行狀態預測各種網絡攻擊事件,從而起到網絡安全的防范作用,IDS也是根據安監事件的事前、事中和事后的動態過程設計的模型。
企業網絡安全建設方案范文第4篇
此外,瑞星在2012年7月的信息安全報告顯示,感染型病毒仍普遍存在于國內企業網絡中,嚴重影響企業辦公效率。同時,由員工網絡操作不當造成的黑客入侵、商業機密泄露也威脅著企業的生存和發展。
B/S+C/S混合架構
隨著企業不斷壯大、業務量增加,企業網絡環境也日漸復雜:終端多,增速快,分布在全國甚至在全球各地;企業內部存在大量異構網絡,IT運維面臨桌面終端無法可視化和可管理化的難題。
以往的安全解決方案多采用B/S或C/S單一架構。C/S架構的優點是容易開發,操作簡單,但應用程序升級和客戶端維護麻煩,運維工作量大。近年來,一線安全廠商出于便捷管理的需要,大都采用B/S架構,通過外部網絡也可以對系統進行維護,并且能夠降低了成本。但B/S架構難以做到實時性,IT人員下發的安全策略難以盡快部署完畢。瑞星安全專家唐威表示,這是因為B/S架構不能實現在網絡上直接檢測和接收指令。
單一的B/S或C/S架構都難以應對復雜的網絡環境,滿足用戶的多樣化需求。為此,瑞星近日了瑞星企業終端安全管理系統,創新性地采用B/S+C/S混合架構,以幫助企業應對復雜的網絡環境。“混合架構的好處在于既容易操作,又具有靈活性、伸縮性和實時性。”唐威稱,“瑞星企業終端安全管理系統的定位是平臺化的系統,其設計理念是整合B/S和C/S架構的優勢,在不打破用戶習慣的前提下,根據用戶的個性化需求,將公司的Web體系和OA系統整合,集成到行業管理平臺中。”按照唐威的解釋,該系統通過混合架構對企業網絡進行一體化管理,并且可以實時部署安全策略。
混合架構之所以能實現復雜網絡環境的安全管理,得益于瑞星的一項自主研發的核心技術——網絡通信中間件。“如果使用第三方或開源的通信中間件,在可靠性方面會存在問題。瑞星自主開發使得效率提升和安全性都能得到保證。”瑞星研發部產品經理盛穎表示,IT人員部署安全策略之后很快就能得到反饋結果,這在很大程度上提升了用戶體驗。
內外網管理一體化
對于怎樣完善內網安全策略,企業并沒有一個明確的思路。企業甚至不知道該從哪里著手。企業已經意識到制定完善的安全策略的重要性,但是仍有疏漏。企業的網絡安全建設落后,不同品牌和功能的信息安全設備被雜亂無章地堆疊在企業網絡中,不但兼容性差,還容易造成企業網絡擁堵,降低辦公效率。對此,瑞星研發部產品經理盛穎在接受本報記者采訪時表示:“內網安全解決方案已經不只是簡單地做好內網安全,而是應該包括外網安全并向整個網絡安全解決方案發展。安全廠商必須提供一攬子方案,而不是讓用戶自己拼湊出一個安全系統。”
瑞星企業終端安全管理系統分為管理和維護兩大部分。在內網管理上,該系統囊括了內網安全管理、客戶端行為審計、即時通信管理和審計、客戶端漏洞掃描和補丁管理等功能。用戶可以通過可視化界面對企業內網客戶端的使用情況和網絡訪問情況進行全面的管理和審計。在內網和外網統一管理方面,該系統加入了IT資產管理功能,使管理員能夠在全網范圍內對軟硬件的異常情況一覽無遺。同時,為了應對不同規模和行業的用戶對安全的差異化需求,瑞星企業終端安全管理系統采用模塊化設計,企業可以根據自身情況定制相應功能模塊,并且可以在瑞星在線商城購買和升級。
企業網絡安全建設方案范文第5篇
關鍵詞:信息安全;安全風險;風險防控
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-03
隨著大型企業信息化建設的逐步深入,對信息系統的依賴程度不斷提高,信息系統的穩定運行直接關系到社會秩序與國計民生。企業伴隨著各信息系統的建成,信息化水平不斷提高,信息系統對業務的支撐作用更加明顯,迫切需要提高信息安全保障能力,保證網絡基礎設施與信息系統的安全、可靠運行。
為了加強大型企業信息系統的安全防護,按照《國家信息化領導小組關于加強信息安全保障工作的意見》文中明確提出的“要重視信息安全風險評估工作,對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估"的指導建議,本文對信息系統進行風險評估,確定系統缺陷和安全需求,提出整改建議,為大型企業整體信息安全解決方案提供基礎資料和有力依據;結合國家關于信息系統安全等級保護的相關要求,評價已有信息安全建設的適當性、合規性,分析所面臨的威脅、影響和脆弱性及其發生的可能性,最終得出所面臨的風險,并提出整改建議,為大型企業信息安全戰略發展提供參考。
一、大型企業信息安全面臨的風險
(一)風險概述
安全風險是一種對機構及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統,安全風險是一個客觀存在的事物,它是風險評估的重要因素之一。
產生安全風險的主要因素可以分為人為因素和環境因素。人為因素又可區分為有意和無意兩種。一般來說,威脅總是要利用網絡、系統、應用或數據的弱點才可能成功地對資產造成傷害。安全事件及其后果是分析威脅的重要依據。但是有相當一部分威脅發生時,由于未能造成后果,或者沒有意識到,而被安全管理人員忽略。這將導致對安全風險的認識出現偏差。
(二)威脅類別
分析存在哪些威脅種類,首先要考慮威脅的來源,信息系統的安全風險來源如下。
對安全風險進行分類的方式有多種多樣,針對上表威脅來源,可以將威脅分為以下種類。
二、信息安全風險防控
(一)信息安全風險防控思路
根據大型企業目前信息安全工作的現狀,為了充分的利用現有資源、節約成本,并能夠有效的對信息資產進行充分保障,我們提出“集中管控、縱深防御”二點方針:
1.集中管控:減少攻防界面是成本較低、成效顯著的防御方法。隨著網絡設備、服務器主機、安全設備的不斷增加,網絡拓撲日益復雜,如能對安全設施進行集中管理,控制安全邊界將能夠有效地降低安全成本;
2.縱深防御:現有的任何防護措施都不能完全保證信息系統不發生安全事件,通過多級的安全防御部署,能夠在出現未知漏洞外層防御措施失效后,控制安全事件造成的影響,減少損失。
基于以上兩個觀點,結合大型企業信息安全的現狀,制定如下思路:
由于大型企業的網絡復雜龐大,在未來的網絡安全建設上建議采取大面上封堵,重點防御的策略。大面上封堵即阻斷傳統終端--網絡—服務器—存儲的訪問方式;重點防御是指采用用戶集中通過統一平臺訪問的方式實現業務應用,然后重點做好統一平臺的安全防御工作;
在上述大思路的指導下,未來的網絡安全建設還需要重點做好數據中心的網絡安全防護工作,即不僅要防止由于服務端口開放帶來安全風險,還應該重點防御深度注入web應用類型病毒所帶來的安全風險,因為目前集團絕大多數的應用系統為B/S架構下通過web訪問方式實現訪問。
(二)信息安全風險防控藍圖
本文針對信息安全風險防控的藍圖擬從網絡、主機、應用和數據4個方面來對大型企業的信息安全建設提出建議,如圖所示:
大型企業信息安全建設規劃藍圖
(三)信息安全風險防控措施
信息安全風險防控措施的基礎工作是訪問控制的細化。建議傾向于安全域的劃分的思想,但不強調必須要進行安全域劃分的表現形式。與網絡相關的控制措施主要有以下3個方面:
1.單點故障:核心鏈路的各種網絡設備往往為單臺設備運行,諸如核心交換機、路由器以及防火墻等,一旦出現故障,將對網絡的可用性造成嚴重影響,直接影響內外網間的訪問,建議增加核心鏈路的設備數量,考慮進行雙機熱備。
2.邊界控制:從網絡整體來看,如果互聯網出口數量較多,一旦發生來自網絡外部的安全事件,判斷和溯源難度大,管理分析成本較高,需要對企業網絡的互聯網邊界適當管控,關閉或對互聯網出口增加監管;
3.VLAN隔離:在服務器機房中存放的服務器主機的資產重要程度是不同的,部分主機所有互聯網用戶可以訪問(如:門戶網站),部分主機只有內部人員或內部部分人員可以訪問(如:OA、ERP等)如果這些主機都劃分在同一VLAN中,一旦任意主機出現安全事件,很容易影響到統一VLAN中的其他主機。需要對業務重要程度不同,系統應用耦合度小的主機間進行網段或其他方式的隔離,降低影響。同時通過隔離,一旦出現病毒、蠕蟲等惡意代碼,也能夠方便管理人員排錯和修復,提高網絡管理效率。
三、結論和建議
(一)建立事前預警機制
