笔者供职于一家网络公司,我们的业务主要是为一些中小型企事业单位承建网络并提供技术支持。在实施网络工程的过程中,笔者发现这些企事业单位往往非常重视网络的性能而对于安全却很漠然。本文将和大家一起探讨打造“可控并可信”的企业内部网络的重要性,以及分享一个网络安全管理系统规划与设计的案例。希望本文能够帮助到你。
1、网管人员面临严峻的信息安全挑战
随着信息化在企事业单位的不断普及和深化, 信息安全问题特别是内部网络安全问题日益突出。对于迅速发展的企事业单位而言, 日益复杂的内部网络和分散的、数目众多的各类主机、网络设备等都对网络运行维护提出了严峻挑战。病毒传播、设备非法接入和桌面违规操作等内部网络安全问题也对网络管理人员和信息安全管理手段提出了更高要求。
2、传统的网络运行存在管理盲区
传统的网络安全产品, 如防火墙、隔离装置、入侵检测、防垃圾邮件及VPN 等, 主要解决网络边界的安全问题, 即只解决了来自外网的威胁和内外网之间的通信安全问题。而在内部网络安全问题上, 给企事业单位造成重大损失的主要原因是来自内部网络的非法接入、用户有意识或无意识造成的终端违规操作行为。因此, 内部网络的运行存在一个很大的安全管理盲区。
3、主动出击,制定一套“可控”的信息安全解决方案刻不容缓
“外网是危险的, 内部网络是可信任的。”这种目前被广泛认同的看法, 无论是在意识上还是在产品设计上都会被否定。内部网络安全已到了不可不防的地步, 而安全维护不应仅仅停留于“堵”“杀” “防”, 局部的、简单的、被动的防护手段不足以应对内部网络安全管理中的诸多问题。安全形势要求网络管理人员必须积极主动地应对来自内部网络安全等方面的挑战, 同时制订出一套完整的“可控并可信”的内部网络安全解决方案。
4、网络安全管理系统规划与设计案例
设计目标
(1)、遵循BS 799网络安全管理标准, 将信息安全策略和企业发展方向统一起来, 通过保证信息的机密性、完整性和可用性来管理和保护企业的所有信息资产。按照这套标准管理信息安全, 可持续提高管理的有效性, 不断提高自身的信息安全管理水平, 最终达到保障企业特定安全的目标。
(2)、构建覆盖内部网络安全管理系统, 保障其内部网络的接入安全、终端安全、服务器安全和应用系统安全。
(3)、系统采用最新的高科技成果, 使其在信息安全管理领域具有较高的水平。
(4)、系统扩充方便, 操作维护简单, 能适应业务的快速变化。
设计原则
(1)、坚持安全性原则。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
(2)、坚持可靠性原则。对项目实施过程实现严格的技术管理和设备的完整配置, 保证产品的质量和可靠性。
(3)、坚持先进性原则。具体技术方案应保证整个系统具有技术领先性和持续发展性。
(4)、坚持可推广性原则。方案及其采用的技术应该支持系统规模的扩大和网点数量的增加, 易于广泛推广。
(5)、坚持可扩展性。IT 技术的发展和变化非常迅速, 方案采用的技术具有良好的可扩展性, 充分保护当前的投资和利益。
(6)、坚持兼容性原则。系统的标准化程度很高,可以做到各应用系统间的完全兼容, 同时也可根据特殊的要求给出不兼容的设计。
(7)、坚持可管理性原则。所有安全系统都应具备在线式的安全监控和管理模式。#p#
内部网络安全管理系统的安全策略与功能
安全系统设计是一个综合的系统工程, 网络的安全设计需要考虑到所有软硬件产品环节。网络的总体安全往往取决于所有环节中的最薄弱环节, 如果有一个环节出了问题, 网络的总体安全就得不到保障, 这是系统的“木桶效应”所致。
(1)、系统的安全策略
根据系统网络的实际情况, 我们把信息系统安全层次由低到高划分为物理层、网络层、系统层、应用层及管理层5 个层次, 每一层都要制订相应的安全策略。
(2)、安全管理系统功能
接入安全管理子系统的功能是对网内计算机等设备的IP 地址信息实时扫描和比对, 如发现非法接入的计算机, 应及时采取手段将不法信息隔离在网络之外。
客户端安全管理子系统的功能是对网内各专用微机的信息进行收集、管理、监视和控制。
该子系统划分为资产信息管理、客户端监控、补丁管理、文件审计以及打印控制5 个功能模块。这5 个功能模块的具体功能为:
第一、资产信息管理模块具有对用户信息登记注册管理、计算机硬件信息管理、计算机系统信息管理、计算机软件信息管理、查询及报表统计等功能;
第二、客户端监控模块具有外围设备控制、进程监控、远程计算机屏幕截取、非法外联监控等功能;
第三、补丁管理模块是通过内部网络服务器提供一个集中的补丁分发点, 在网内计算机上实现系统补丁的更新管理;
第四、文件审计模块主要记录从本机拷贝文件到移动存储设备或网络共享目录的操作;
第五、打印控制模块记录完整的打印日志, 实现对打印资源的有效管理控制, 降低打印成本, 保障企业信息安全。
(3)、服务器管理子系统的功能是对内部网络重要服务器运行状况的监视和对指定网段或计算机端口开放状况进行扫描, 发现异常及时报警。
(4)、身份认证与权限管理子系统的功能是提供企业门户整合功能, 实现单点登录, 提供对应用系统用户的统一身份认证功能, 提供对应用系统的统一权限功能, 实现对Web 应用的资源访问控制。
(5)、系统管理子系统的功能是对安全管理及监控系统进行自身的管理和配置。该子系统划分为用户管理模块、报警与日志管理模块和系统配置模块。
用户管理模块负责用户的创建和删除、用户个人信息管理、组织机构管理、用户群组管理和组织机构授权管理; 报警与日志管理模块负责报警方案和策略配置、多种报警方式、报警日志的记录与查询; 系统配置模块负责系统网络参数的配置, 系统升级、重启、安全关闭, 负责对系统相关工具软件的下载和系统定期备份所有的配置信息和用户数据, 提供界面供用户下载各时间段的系统备份文件, 并用于对系统发生灾难事件时进行恢复。
总结:信息安全不是一个孤立静止的概念,而是一个多层面、多因素的、综合的、动态的过程。信息安全体系应当随着企业环境的变化、业务的发展和信息技术的提高不断改进,不能一成不变, 这就需要一个完整的“可控并可信”的安全管理体系来保证其持续发展。
【编辑推荐】