筆者供職于一家網(wǎng)絡(luò)公司，我們的業(yè)務(wù)主要是為一些中小型企事業(yè)單位承建網(wǎng)絡(luò)并提供技術(shù)支持。在實施網(wǎng)絡(luò)工程的過程中，筆者發(fā)現(xiàn)這些企事業(yè)單位往往非常重視網(wǎng)絡(luò)的性能而對于安全卻很漠然。本文將和大家一起探討打造“可控并可信”的企業(yè)內(nèi)部網(wǎng)絡(luò)的重要性，以及分享一個網(wǎng)絡(luò)安全管理系統(tǒng)規(guī)劃與設(shè)計的案例。希望本文能夠幫助到你。

1、網(wǎng)管人員面臨嚴(yán)峻的信息安全挑戰(zhàn)

隨著信息化在企事業(yè)單位的不斷普及和深化, 信息安全問題特別是內(nèi)部網(wǎng)絡(luò)安全問題日益突出。對于迅速發(fā)展的企事業(yè)單位而言, 日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)和分散的、數(shù)目眾多的各類主機、網(wǎng)絡(luò)設(shè)備等都對網(wǎng)絡(luò)運行維護提出了嚴(yán)峻挑戰(zhàn)。病毒傳播、設(shè)備非法接入和桌面違規(guī)操作等內(nèi)部網(wǎng)絡(luò)安全問題也對網(wǎng)絡(luò)管理人員和信息安全管理手段提出了更高要求。

2、傳統(tǒng)的網(wǎng)絡(luò)運行存在管理盲區(qū)

傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品, 如防火墻、隔離裝置、入侵檢測、防垃圾郵件及VPN 等, 主要解決網(wǎng)絡(luò)邊界的安全問題, 即只解決了來自外網(wǎng)的威脅和內(nèi)外網(wǎng)之間的通信安全問題。而在內(nèi)部網(wǎng)絡(luò)安全問題上, 給企事業(yè)單位造成重大損失的主要原因是來自內(nèi)部網(wǎng)絡(luò)的非法接入、用戶有意識或無意識造成的終端違規(guī)操作行為。因此, 內(nèi)部網(wǎng)絡(luò)的運行存在一個很大的安全管理盲區(qū)。

3、主動出擊，制定一套“可控”的信息安全解決方案刻不容緩

“外網(wǎng)是危險的, 內(nèi)部網(wǎng)絡(luò)是可信任的。”這種目前被廣泛認(rèn)同的看法, 無論是在意識上還是在產(chǎn)品設(shè)計上都會被否定。內(nèi)部網(wǎng)絡(luò)安全已到了不可不防的地步, 而安全維護不應(yīng)僅僅停留于“堵”“殺” “防”, 局部的、簡單的、被動的防護手段不足以應(yīng)對內(nèi)部網(wǎng)絡(luò)安全管理中的諸多問題。安全形勢要求網(wǎng)絡(luò)管理人員必須積極主動地應(yīng)對來自內(nèi)部網(wǎng)絡(luò)安全等方面的挑戰(zhàn), 同時制訂出一套完整的“可控并可信”的內(nèi)部網(wǎng)絡(luò)安全解決方案。

4、網(wǎng)絡(luò)安全管理系統(tǒng)規(guī)劃與設(shè)計案例

設(shè)計目標(biāo)

(1)、遵循BS 799網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn), 將信息安全策略和企業(yè)發(fā)展方向統(tǒng)一起來, 通過保證信息的機密性、完整性和可用性來管理和保護企業(yè)的所有信息資產(chǎn)。按照這套標(biāo)準(zhǔn)管理信息安全, 可持續(xù)提高管理的有效性, 不斷提高自身的信息安全管理水平, 最終達到保障企業(yè)特定安全的目標(biāo)。

(2)、構(gòu)建覆蓋內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng), 保障其內(nèi)部網(wǎng)絡(luò)的接入安全、終端安全、服務(wù)器安全和應(yīng)用系統(tǒng)安全。

(3)、系統(tǒng)采用最新的高科技成果, 使其在信息安全管理領(lǐng)域具有較高的水平。

(4)、系統(tǒng)擴充方便, 操作維護簡單, 能適應(yīng)業(yè)務(wù)的快速變化。

設(shè)計原則

(1)、堅持安全性原則。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計和實現(xiàn)的全過程中有具體的措施來充分保證其安全性。

(2)、堅持可靠性原則。對項目實施過程實現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的完整配置, 保證產(chǎn)品的質(zhì)量和可靠性。

(3)、堅持先進性原則。具體技術(shù)方案應(yīng)保證整個系統(tǒng)具有技術(shù)領(lǐng)先性和持續(xù)發(fā)展性。

(4)、堅持可推廣性原則。方案及其采用的技術(shù)應(yīng)該支持系統(tǒng)規(guī)模的擴大和網(wǎng)點數(shù)量的增加, 易于廣泛推廣。

(5)、堅持可擴展性。IT 技術(shù)的發(fā)展和變化非常迅速, 方案采用的技術(shù)具有良好的可擴展性, 充分保護當(dāng)前的投資和利益。

(6)、堅持兼容性原則。系統(tǒng)的標(biāo)準(zhǔn)化程度很高,可以做到各應(yīng)用系統(tǒng)間的完全兼容, 同時也可根據(jù)特殊的要求給出不兼容的設(shè)計。

(7)、堅持可管理性原則。所有安全系統(tǒng)都應(yīng)具備在線式的安全監(jiān)控和管理模式。#p#

內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的安全策略與功能

安全系統(tǒng)設(shè)計是一個綜合的系統(tǒng)工程, 網(wǎng)絡(luò)的安全設(shè)計需要考慮到所有軟硬件產(chǎn)品環(huán)節(jié)。網(wǎng)絡(luò)的總體安全往往取決于所有環(huán)節(jié)中的最薄弱環(huán)節(jié), 如果有一個環(huán)節(jié)出了問題, 網(wǎng)絡(luò)的總體安全就得不到保障, 這是系統(tǒng)的“木桶效應(yīng)”所致。

(1)、系統(tǒng)的安全策略

根據(jù)系統(tǒng)網(wǎng)絡(luò)的實際情況, 我們把信息系統(tǒng)安全層次由低到高劃分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層及管理層5 個層次, 每一層都要制訂相應(yīng)的安全策略。

(2)、安全管理系統(tǒng)功能

接入安全管理子系統(tǒng)的功能是對網(wǎng)內(nèi)計算機等設(shè)備的IP 地址信息實時掃描和比對, 如發(fā)現(xiàn)非法接入的計算機, 應(yīng)及時采取手段將不法信息隔離在網(wǎng)絡(luò)之外。

客戶端安全管理子系統(tǒng)的功能是對網(wǎng)內(nèi)各專用微機的信息進行收集、管理、監(jiān)視和控制。

該子系統(tǒng)劃分為資產(chǎn)信息管理、客戶端監(jiān)控、補丁管理、文件審計以及打印控制5 個功能模塊。這5 個功能模塊的具體功能為:

第一、資產(chǎn)信息管理模塊具有對用戶信息登記注冊管理、計算機硬件信息管理、計算機系統(tǒng)信息管理、計算機軟件信息管理、查詢及報表統(tǒng)計等功能;

第二、客戶端監(jiān)控模塊具有外圍設(shè)備控制、進程監(jiān)控、遠(yuǎn)程計算機屏幕截取、非法外聯(lián)監(jiān)控等功能;

第三、補丁管理模塊是通過內(nèi)部網(wǎng)絡(luò)服務(wù)器提供一個集中的補丁分發(fā)點, 在網(wǎng)內(nèi)計算機上實現(xiàn)系統(tǒng)補丁的更新管理;

第四、文件審計模塊主要記錄從本機拷貝文件到移動存儲設(shè)備或網(wǎng)絡(luò)共享目錄的操作;

第五、打印控制模塊記錄完整的打印日志, 實現(xiàn)對打印資源的有效管理控制, 降低打印成本, 保障企業(yè)信息安全。

(3)、服務(wù)器管理子系統(tǒng)的功能是對內(nèi)部網(wǎng)絡(luò)重要服務(wù)器運行狀況的監(jiān)視和對指定網(wǎng)段或計算機端口開放狀況進行掃描, 發(fā)現(xiàn)異常及時報警。

(4)、身份認(rèn)證與權(quán)限管理子系統(tǒng)的功能是提供企業(yè)門戶整合功能, 實現(xiàn)單點登錄, 提供對應(yīng)用系統(tǒng)用戶的統(tǒng)一身份認(rèn)證功能, 提供對應(yīng)用系統(tǒng)的統(tǒng)一權(quán)限功能, 實現(xiàn)對Web 應(yīng)用的資源訪問控制。

(5)、系統(tǒng)管理子系統(tǒng)的功能是對安全管理及監(jiān)控系統(tǒng)進行自身的管理和配置。該子系統(tǒng)劃分為用戶管理模塊、報警與日志管理模塊和系統(tǒng)配置模塊。

用戶管理模塊負(fù)責(zé)用戶的創(chuàng)建和刪除、用戶個人信息管理、組織機構(gòu)管理、用戶群組管理和組織機構(gòu)授權(quán)管理; 報警與日志管理模塊負(fù)責(zé)報警方案和策略配置、多種報警方式、報警日志的記錄與查詢; 系統(tǒng)配置模塊負(fù)責(zé)系統(tǒng)網(wǎng)絡(luò)參數(shù)的配置, 系統(tǒng)升級、重啟、安全關(guān)閉, 負(fù)責(zé)對系統(tǒng)相關(guān)工具軟件的下載和系統(tǒng)定期備份所有的配置信息和用戶數(shù)據(jù), 提供界面供用戶下載各時間段的系統(tǒng)備份文件, 并用于對系統(tǒng)發(fā)生災(zāi)難事件時進行恢復(fù)。

總結(jié)：信息安全不是一個孤立靜止的概念，而是一個多層面、多因素的、綜合的、動態(tài)的過程。信息安全體系應(yīng)當(dāng)隨著企業(yè)環(huán)境的變化、業(yè)務(wù)的發(fā)展和信息技術(shù)的提高不斷改進，不能一成不變, 這就需要一個完整的“可控并可信”的安全管理體系來保證其持續(xù)發(fā)展。

【編輯推薦】

1. 局域網(wǎng)內(nèi)部封堵P2P應(yīng)用鞏固內(nèi)網(wǎng)安全
2. 通過路由器保護內(nèi)網(wǎng)安全九大步驟