探析企業(yè)信息安全保障體系建設(shè)

摘 要:企業(yè)信息安全越來越受到人們的重視，本文從系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全方面，對企業(yè)信息安全保障體系的建設(shè)提出了自己的看法和做法。

關(guān)鍵詞:信息安全 系統(tǒng)安全 區(qū)域分級(jí) 入侵檢測

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2011)03(c)-0210-01

技術(shù)創(chuàng)新和企業(yè)信息化是一個(gè)相互促進(jìn)的過程。隨著企業(yè)技術(shù)創(chuàng)新的發(fā)展，人們對信息化的作用越來越有所認(rèn)識(shí)，對信息化的建設(shè)更加重視。建立必要的信息化基礎(chǔ)設(shè)施，完善信息傳輸和處理系統(tǒng)，以適應(yīng)信息收集、處理和開發(fā)工作的需要。目前，很多企業(yè)面臨著越來越多的信息安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)即來自外部，也來自內(nèi)部。主要安全風(fēng)險(xiǎn)有:計(jì)算機(jī)病毒、特洛伊木馬、網(wǎng)絡(luò)偵聽、Dos攻擊等。

1 進(jìn)行安全區(qū)域分級(jí)

在企業(yè)信息系統(tǒng)中，對安全域進(jìn)行合理分級(jí)，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)用途以及信息的安全等級(jí)等因素，對信息系統(tǒng)進(jìn)行安全域的劃分，將不同用途的系統(tǒng)劃分在不同安全域、將信息系統(tǒng)用戶功能區(qū)域與信息系統(tǒng)管理功能區(qū)域劃分在不同安全域、將應(yīng)用服務(wù)與數(shù)據(jù)存儲(chǔ)服務(wù)劃分在不同安全域，分別進(jìn)行保護(hù)，應(yīng)采用合理的技術(shù)措施對跨越安全域邊界的訪問進(jìn)行有效控制。

根據(jù)企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在充分考慮可行性和防病毒要求的基礎(chǔ)上，在企業(yè)整個(gè)網(wǎng)絡(luò)安全管理架構(gòu)方面，采用分級(jí)管理、多重防護(hù)的管理措施，根據(jù)不同部門的業(yè)務(wù)重要性，設(shè)定不同的信息安全級(jí)別等級(jí)，進(jìn)行信息安全保護(hù)，有效地提高工作效率。

根據(jù)部門需求和網(wǎng)絡(luò)安全級(jí)別的分級(jí)等級(jí)，制定和部署不同的安全策略進(jìn)行網(wǎng)絡(luò)安全管理，既避免了保護(hù)過度造成的工作不便，也避免了低于需要的安全保護(hù)的級(jí)別，而存在的潛在風(fēng)險(xiǎn)，一旦某層級(jí)的網(wǎng)絡(luò)出現(xiàn)問題，便于該層級(jí)的網(wǎng)絡(luò)在第一時(shí)間得到最有效的解決。

2 部署網(wǎng)絡(luò)入侵防御系統(tǒng)

部署的入侵檢測設(shè)備(IDS)，屬網(wǎng)絡(luò)攻擊行為檢測設(shè)備，不能對攻擊行為進(jìn)行阻斷，主要用來對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視和分析，依照一定的安全策略，盡可能發(fā)現(xiàn)識(shí)別已知的各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以報(bào)表的形式進(jìn)行統(tǒng)計(jì)分析并報(bào)警，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

而目前流行的網(wǎng)絡(luò)攻擊方式和種類逐步向網(wǎng)絡(luò)上層延伸，攻擊行為經(jīng)過通用端口進(jìn)行偽裝，欺騙無法流重組和協(xié)議分析的入侵檢測設(shè)備。使原有的入侵檢測設(shè)備失去了攻擊檢測阻斷的準(zhǔn)確性。

為了滿足網(wǎng)絡(luò)數(shù)據(jù)處理要求，保證網(wǎng)絡(luò)不會(huì)受到入侵的攻擊，規(guī)劃新增部署網(wǎng)絡(luò)入侵防御系統(tǒng)(IPS)。入侵防御系統(tǒng)可以深度感知并檢測流經(jīng)的數(shù)據(jù)，對于TCP流分段重疊進(jìn)行完整和合法性校驗(yàn)，基于目標(biāo)設(shè)備的操作系統(tǒng)進(jìn)行準(zhǔn)確的的流重組檢測。檢測引擎首先對到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機(jī)的操作系統(tǒng)類型進(jìn)行流重組，然后對重組后的完整數(shù)據(jù)進(jìn)行攻擊檢測，實(shí)現(xiàn)在應(yīng)用層中將有害流量從正常業(yè)務(wù)中分離，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。

3 部署內(nèi)網(wǎng)安全管理系統(tǒng)

內(nèi)網(wǎng)安全管理系統(tǒng)從終端安全、桌面管理、行為監(jiān)控、網(wǎng)絡(luò)準(zhǔn)入控制等多個(gè)角度構(gòu)建一套完整的內(nèi)網(wǎng)安全防護(hù)體系，貫徹“積極防御、綜合防范”的安全理念，通過集中管理、分層保護(hù)原則，全方位保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全。

采用內(nèi)網(wǎng)管理系統(tǒng)，分別在企業(yè)訪問終端上部署客戶端，并在企業(yè)網(wǎng)部署內(nèi)網(wǎng)安全管理服務(wù)器，通過設(shè)定策略對桌面機(jī)器進(jìn)行全面安全防護(hù)，并實(shí)現(xiàn)以下的安全功能:

終端桌面訪問控制:為廠所有聯(lián)網(wǎng)主機(jī)提供以應(yīng)用程序?yàn)橹行牡闹鳈C(jī)防火墻保護(hù)功能;提供傳統(tǒng)的主機(jī)型防火墻功能鎖定合法應(yīng)用程序，防止惡意程序通過偽裝或代碼注入等手段繞過防火墻的檢測;當(dāng)系統(tǒng)探測到遠(yuǎn)程攻擊行為時(shí)，可以自動(dòng)阻斷所有來自攻擊方的網(wǎng)絡(luò)通訊，確保主機(jī)的安全。

終端桌面入侵檢測:提供的完整的主機(jī)型入侵檢測系統(tǒng)(HIDS)，有效保證了檢測效率和更低的誤報(bào)警率;提供入侵檢測特征的編輯功能，管理員可以根據(jù)企業(yè)的特點(diǎn)和新出現(xiàn)的網(wǎng)絡(luò)威脅自定義入侵檢測規(guī)則，也可以通過網(wǎng)絡(luò)直接升級(jí)HIDS的入侵檢測特征庫，快速而靈活的應(yīng)對不斷出現(xiàn)的新的網(wǎng)絡(luò)攻擊行為。

防病毒軟件檢測:提供了對主機(jī)的殺毒軟件的檢測功能，可檢測主機(jī)運(yùn)行的殺毒軟件版本和殺毒軟件病毒庫版本及升級(jí)時(shí)間等。

補(bǔ)丁管理:通過策略定制，可以自動(dòng)檢測、下載和安裝適用更新;通過定制需要安裝的補(bǔ)丁，自動(dòng)從服務(wù)器下載并安裝IP管理:對局域網(wǎng)內(nèi)IP地址、MAC地址進(jìn)行管理控制，有效檢測IP沖突;建立IP地址庫，提供IP查詢功能，顯示IP地址資源使用情況;對于已分配的IP地址要與MAC/主機(jī)名進(jìn)行綁定，對于未分配的IP地址可以自由使用，也可以禁止使用，用戶可以根據(jù)需要進(jìn)行策略化配置;對IP地址的使用情況進(jìn)行實(shí)時(shí)監(jiān)測，防止IP地址被非法盜用，保證已經(jīng)預(yù)留的IP地址只能被預(yù)留者使用。

行為監(jiān)管:對撥號(hào)行為進(jìn)行監(jiān)管，包括:實(shí)時(shí)監(jiān)視普通電話線、ISDN、ADSL等方式的撥號(hào)上網(wǎng);對拔掉內(nèi)網(wǎng)網(wǎng)線或禁用本地網(wǎng)卡等進(jìn)行非法外聯(lián)的主機(jī)監(jiān)測;對打印機(jī)進(jìn)行監(jiān)管，包括:實(shí)時(shí)監(jiān)視對網(wǎng)絡(luò)、本地打印機(jī)的使用;通過策略定制的限制主機(jī)可以使用哪些打印機(jī);對文件的監(jiān)視，包括:對通過網(wǎng)絡(luò)或者本地非授權(quán)讀寫、拷貝、刪除涉密文件行為的監(jiān)控;對文件屬性改變包括文件內(nèi)容修改的行為監(jiān)視;對計(jì)算機(jī)外存設(shè)備的監(jiān)管，包括對軟驅(qū)、光驅(qū)、USB、光驅(qū)等讀寫的監(jiān)控。

系統(tǒng)監(jiān)管:進(jìn)程監(jiān)控。提供黑白名單兩種方式，保證主機(jī)運(yùn)行進(jìn)程的可控性;提供菜單可遠(yuǎn)程終止指定主機(jī)上面的進(jìn)程;所有被控主機(jī)的進(jìn)程可查看監(jiān)視;端口連接監(jiān)視?？梢员O(jiān)視所有被控主機(jī)的連接狀態(tài)，可以監(jiān)視主機(jī)的安裝的軟件信息和硬件信息，當(dāng)軟硬件信息改變時(shí)，提供了報(bào)警功能。

4 部署安全審計(jì)及日志管理系統(tǒng)

安全審計(jì)系統(tǒng)是一種基于信息流的數(shù)據(jù)采集、分析、識(shí)別和資源審計(jì)封鎖系統(tǒng)。可以根據(jù)設(shè)定的安全控制策略，實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，對受控對象的活動(dòng)進(jìn)行審計(jì)，對信息系統(tǒng)中的操作行為和操作結(jié)果進(jìn)行收集和準(zhǔn)確記錄，實(shí)時(shí)的監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等等。通過對日志的檢查，可以發(fā)現(xiàn)錯(cuò)誤發(fā)生的原因，或受到攻擊時(shí)攻擊者留下的痕跡，并可以重現(xiàn)用戶的操作行為的過程，為安全管理提供用于安全事件分析的數(shù)據(jù)與事后的行為取證。

通過部署安全審計(jì)及日志管理系統(tǒng)，對網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)審計(jì)管理，提高對關(guān)鍵資源的全局控制和調(diào)度能力，為全面管理提供一種審計(jì)、檢查當(dāng)前系統(tǒng)運(yùn)行狀態(tài)的有效手段。

5 結(jié)語

企業(yè)運(yùn)用信息安全分級(jí)管理，采用適當(dāng)?shù)墓芾砗图夹g(shù)措施，可以降低信息安全風(fēng)險(xiǎn)，綜合提高了信息安全的保障能力，保障和促進(jìn)企業(yè)信息化業(yè)務(wù)的順利高速發(fā)展。