案例分析:主動打造“可控并可信”的企業內網
筆者供職于一家網絡公司,我們的業務主要是為一些中小型企事業單位承建網絡并提供技術支持。在實施網絡工程的過程中,筆者發現這些企事業單位往往非常重視網絡的性能而對于安全卻很漠然。本文將和大家一起探討打造“可控并可信”的企業內部網絡的重要性,以及分享一個網絡安全管理系統規劃與設計的案例。希望本文能夠幫助到你。
1、網管人員面臨嚴峻的信息安全挑戰
隨著信息化在企事業單位的不斷普及和深化, 信息安全問題特別是內部網絡安全問題日益突出。對于迅速發展的企事業單位而言, 日益復雜的內部網絡和分散的、數目眾多的各類主機、網絡設備等都對網絡運行維護提出了嚴峻挑戰。病毒傳播、設備非法接入和桌面違規操作等內部網絡安全問題也對網絡管理人員和信息安全管理手段提出了更高要求。
2、傳統的網絡運行存在管理盲區
傳統的網絡安全產品, 如防火墻、隔離裝置、入侵檢測、防垃圾郵件及VPN 等, 主要解決網絡邊界的安全問題, 即只解決了來自外網的威脅和內外網之間的通信安全問題。而在內部網絡安全問題上, 給企事業單位造成重大損失的主要原因是來自內部網絡的非法接入、用戶有意識或無意識造成的終端違規操作行為。因此, 內部網絡的運行存在一個很大的安全管理盲區。
3、主動出擊,制定一套“可控”的信息安全解決方案刻不容緩
“外網是危險的, 內部網絡是可信任的。”這種目前被廣泛認同的看法, 無論是在意識上還是在產品設計上都會被否定。內部網絡安全已到了不可不防的地步, 而安全維護不應僅僅停留于“堵”“殺” “防”, 局部的、簡單的、被動的防護手段不足以應對內部網絡安全管理中的諸多問題。安全形勢要求網絡管理人員必須積極主動地應對來自內部網絡安全等方面的挑戰, 同時制訂出一套完整的“可控并可信”的內部網絡安全解決方案。
4、網絡安全管理系統規劃與設計案例
設計目標
(1)、遵循BS 799網絡安全管理標準, 將信息安全策略和企業發展方向統一起來, 通過保證信息的機密性、完整性和可用性來管理和保護企業的所有信息資產。按照這套標準管理信息安全, 可持續提高管理的有效性, 不斷提高自身的信息安全管理水平, 最終達到保障企業特定安全的目標。
(2)、構建覆蓋內部網絡安全管理系統, 保障其內部網絡的接入安全、終端安全、服務器安全和應用系統安全。
(3)、系統采用最新的高科技成果, 使其在信息安全管理領域具有較高的水平。
(4)、系統擴充方便, 操作維護簡單, 能適應業務的快速變化。
設計原則
(1)、堅持安全性原則。使用的信息安全產品和技術方案在設計和實現的全過程中有具體的措施來充分保證其安全性。
(2)、堅持可靠性原則。對項目實施過程實現嚴格的技術管理和設備的完整配置, 保證產品的質量和可靠性。
(3)、堅持先進性原則。具體技術方案應保證整個系統具有技術領先性和持續發展性。
(4)、堅持可推廣性原則。方案及其采用的技術應該支持系統規模的擴大和網點數量的增加, 易于廣泛推廣。
(5)、堅持可擴展性。IT 技術的發展和變化非常迅速, 方案采用的技術具有良好的可擴展性, 充分保護當前的投資和利益。
(6)、堅持兼容性原則。系統的標準化程度很高,可以做到各應用系統間的完全兼容, 同時也可根據特殊的要求給出不兼容的設計。
(7)、堅持可管理性原則。所有安全系統都應具備在線式的安全監控和管理模式。#p#
內部網絡安全管理系統的安全策略與功能
安全系統設計是一個綜合的系統工程, 網絡的安全設計需要考慮到所有軟硬件產品環節。網絡的總體安全往往取決于所有環節中的最薄弱環節, 如果有一個環節出了問題, 網絡的總體安全就得不到保障, 這是系統的“木桶效應”所致。
(1)、系統的安全策略
根據系統網絡的實際情況, 我們把信息系統安全層次由低到高劃分為物理層、網絡層、系統層、應用層及管理層5 個層次, 每一層都要制訂相應的安全策略。
(2)、安全管理系統功能
接入安全管理子系統的功能是對網內計算機等設備的IP 地址信息實時掃描和比對, 如發現非法接入的計算機, 應及時采取手段將不法信息隔離在網絡之外。
客戶端安全管理子系統的功能是對網內各專用微機的信息進行收集、管理、監視和控制。
該子系統劃分為資產信息管理、客戶端監控、補丁管理、文件審計以及打印控制5 個功能模塊。這5 個功能模塊的具體功能為:
第一、資產信息管理模塊具有對用戶信息登記注冊管理、計算機硬件信息管理、計算機系統信息管理、計算機軟件信息管理、查詢及報表統計等功能;
第二、客戶端監控模塊具有外圍設備控制、進程監控、遠程計算機屏幕截取、非法外聯監控等功能;
第三、補丁管理模塊是通過內部網絡服務器提供一個集中的補丁分發點, 在網內計算機上實現系統補丁的更新管理;
第四、文件審計模塊主要記錄從本機拷貝文件到移動存儲設備或網絡共享目錄的操作;
第五、打印控制模塊記錄完整的打印日志, 實現對打印資源的有效管理控制, 降低打印成本, 保障企業信息安全。
(3)、服務器管理子系統的功能是對內部網絡重要服務器運行狀況的監視和對指定網段或計算機端口開放狀況進行掃描, 發現異常及時報警。
(4)、身份認證與權限管理子系統的功能是提供企業門戶整合功能, 實現單點登錄, 提供對應用系統用戶的統一身份認證功能, 提供對應用系統的統一權限功能, 實現對Web 應用的資源訪問控制。
(5)、系統管理子系統的功能是對安全管理及監控系統進行自身的管理和配置。該子系統劃分為用戶管理模塊、報警與日志管理模塊和系統配置模塊。
用戶管理模塊負責用戶的創建和刪除、用戶個人信息管理、組織機構管理、用戶群組管理和組織機構授權管理; 報警與日志管理模塊負責報警方案和策略配置、多種報警方式、報警日志的記錄與查詢; 系統配置模塊負責系統網絡參數的配置, 系統升級、重啟、安全關閉, 負責對系統相關工具軟件的下載和系統定期備份所有的配置信息和用戶數據, 提供界面供用戶下載各時間段的系統備份文件, 并用于對系統發生災難事件時進行恢復。
總結:信息安全不是一個孤立靜止的概念,而是一個多層面、多因素的、綜合的、動態的過程。信息安全體系應當隨著企業環境的變化、業務的發展和信息技術的提高不斷改進,不能一成不變, 這就需要一個完整的“可控并可信”的安全管理體系來保證其持續發展。
【編輯推薦】
