企業(yè)信息安全防護體系探索與實踐論文

　　1概述

　　隨著信息化建設的快速發(fā)展，信息技術創(chuàng)新影響著人們的工作方式和生活習慣，網(wǎng)絡已成為信息傳播和知識共享的載體，提高了工作效率，促進了社會的發(fā)展和進步，但由于網(wǎng)絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性，決定了信息安全威脅的客觀存在。近年來，國內國外信息安全的事件層出不窮，計算機病毒和木馬仍然是最大的安全威脅，假冒用戶和主機身份進行不法活動或實施攻擊的現(xiàn)象逐漸增多，SQL注入、數(shù)據(jù)監(jiān)聽、緩沖區(qū)溢出攻擊依然盛行，網(wǎng)絡釣魚和網(wǎng)絡欺詐日益嚴重，敏感數(shù)據(jù)外泄和盜取事件頻頻發(fā)生，信息安全形勢日趨嚴峻。因此，如何建立多層次的信息安全防護體系，如何保證企業(yè)信息安全，已成為各企業(yè)必須面對的重要問題。

　　2體系架構總體設計

　　針對企業(yè)中桌面計算機數(shù)量龐大、應用系統(tǒng)平臺多樣化、互聯(lián)網(wǎng)業(yè)務應用急劇增長，不合規(guī)計算機接入內網(wǎng)、互聯(lián)網(wǎng)違規(guī)訪問、系統(tǒng)賬戶盜用等行為無法管控，網(wǎng)絡電腦高手入侵、病毒木馬感染、信息數(shù)據(jù)竊取等問題，通過大量的分析調研，確定企業(yè)級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計，同時選擇成熟主流的安全產(chǎn)品，統(tǒng)一規(guī)劃設計桌面安全管理、身份管理與認證、網(wǎng)絡安全域劃分等功能系統(tǒng)，規(guī)范信息系統(tǒng)安全防護和審計標準，最大程度保證信息資源的可用性和安全性。

　　2.1桌面安全管理系統(tǒng)設計

　　桌面計算機是產(chǎn)生和存放重要信息的源頭，但桌面計算機往往是信息安全事件中最薄弱的環(huán)節(jié)，因此，為切實保證企業(yè)信息業(yè)務正常開展，保障個人信息數(shù)據(jù)安全，建立先進實用的桌面安全管理系統(tǒng)十分必要。該系統(tǒng)主要包括安全防范和后臺安全管理兩個模塊。

　　2.1.1安全防范功能模塊

　　安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略，查殺策略應定義為“隔離”；對于惡意商業(yè)應用程序，由于這類軟件只是一些廣告類的惡意重新，終止進程就可以解決問題的，安全風險程度不是很高，所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務檢測功能、啟用端口掃描檢測功能，以及自動禁止攻擊者的IP時間限定為600秒，避免出現(xiàn)由于大量攻擊行為而消耗計算機性能和網(wǎng)絡帶寬的情況發(fā)生，提高桌面計算機抵御惡意攻擊的能力。

　　2.1.2后臺管理模塊

　　區(qū)域管理器是后臺管理功能模塊重要組件，通過配置計算機IP范圍、區(qū)域管理器參數(shù)、設備掃描器參數(shù)，可對安裝代理探頭程序的桌面計算機進行管理。實現(xiàn)桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。

　　2.2身份管理與認證系統(tǒng)設計

　　當前應用系統(tǒng)已成為企業(yè)開展各項日常業(yè)務的重要平臺，但由于這些應用系統(tǒng)登錄方式不統(tǒng)一、安全認證模式多樣、部分系統(tǒng)密碼強度不足等情況，嚴重影響企業(yè)信息數(shù)據(jù)的安全性和保密性，因此建立身份管理與認證系統(tǒng)，可以從根本上實現(xiàn)用戶身份認證，保證系統(tǒng)訪問的安全性。身份管理與認證系統(tǒng)由集中身份管理、統(tǒng)一認證和公共密鑰基礎設施三個模塊組成。

　　2.2.1集中身份管理模塊

　　集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式，對應用系統(tǒng)中的用戶身份信息進行匯總與清理，建立統(tǒng)一的用戶身份視圖，實現(xiàn)用戶實體與用戶身份信息的唯一對應。集中身份管理模塊固化對用戶身份的集中管理流程，包括與用戶身份管理相關的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類，從而設計出集中身份管理的功能模型，如圖1所示。

　　2.2.2統(tǒng)一認證模塊

　　統(tǒng)一認證模塊支持用戶身份的強認證，可對獲取權威的身份鑒別信息進行身份認證，包括用戶口令、用戶數(shù)字證書、數(shù)字證書撤銷列表等。通過對信息系統(tǒng)一般的身份認證流程進行分析，可以得到統(tǒng)一認證采用的身份信息和鑒別信息都來自于信息系統(tǒng)本身（或分散的目錄服務）。

　　2.2.3公共密鑰基礎設施模塊

　　公共密鑰基礎設施系統(tǒng)（PKI）由認證中心(CA)、密鑰管理中心(KMC)和證書注冊中心(RA)等三部分組成。認證中心采用商密SRQ－14數(shù)字證書認證產(chǎn)品和商密SJY－63密鑰管理產(chǎn)品，并可提供可信的第三方擔保功能，認證中心支持頒發(fā)證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息，利用PMI技術保證密鑰信息數(shù)據(jù)的安全。證書注冊中心可為用戶提供數(shù)字證書申請的注冊受理，用戶身份信息的審核，用戶數(shù)字證書的申請與下載，用戶數(shù)字證書的撤銷與更新等服務。

　　2.3網(wǎng)絡安全域系統(tǒng)設計

　　當前大部分企業(yè)的內部網(wǎng)絡中均包含有非業(yè)務性質網(wǎng)絡，且網(wǎng)絡行為不受限，對內部應用系統(tǒng)的安全構成嚴重威脅。為構建安全可靠網(wǎng)絡架構，通過劃分網(wǎng)絡安全域，提高整體網(wǎng)絡的安全性。網(wǎng)絡安全域設計應包括互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間、企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)之間、關鍵應用系統(tǒng)與普通應用系統(tǒng)之間等三個層次的安全防護。本著“先邊界安全加固，后深入內部防護”的指導思想，本文僅對互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的安全域進行研究和探索，如圖2所示。

　　2.3.1安全防護模塊

　　安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備，主要是通過檢測過濾網(wǎng)絡上的數(shù)據(jù)包，保證內部網(wǎng)絡的安全。防火墻可以位于兩個或者多個網(wǎng)絡之間，是實施網(wǎng)絡之間訪問控制的一組組件的集合，通過制定安全策略后防火墻能夠限制被保護的內部網(wǎng)絡與外部網(wǎng)絡之間的信息訪問與交換。入侵檢測設備是防火墻的合理補充，一般該設備部署在內部網(wǎng)絡邊界。

　　2.3.2行為審計模塊

　　行為審計模塊可以提供網(wǎng)頁過濾技術、應用控制技術、外發(fā)信息審計技術等,可有效防止機密信息的外泄，避免不良信息的擴散，提高員工的工作效率，保障網(wǎng)絡資源合理使用，提高網(wǎng)絡可管理性。

　　2.3.3日志分析模塊

　　日志分析模塊基于Syslog標準協(xié)議，可以對不同設備、主機、應用系統(tǒng)進行日志綜合分析和集中展現(xiàn)；實現(xiàn)對報警信息的靈活配置和管理，同時提供靈活的報警規(guī)則配置、實時報警和歷史報警信息的綜合管理；基于設備、報警類別、日期等因素進行組合統(tǒng)計和報表，為管理人員提供直觀的統(tǒng)計信息和報表信息。

　　3關鍵技術

　　3.1準入控制技術建立具有結構化、層次化的準入控制體系，針對計算機違規(guī)行為下發(fā)阻斷策略，確保接入內網(wǎng)的計算機符合企業(yè)信息安全方面的規(guī)定。主要方法共有兩種，一種是在互聯(lián)網(wǎng)出口處部署端點準入設備，強制所有接入互聯(lián)網(wǎng)桌面計算機安裝桌面安全軟件，另一種是使用虛擬隔離技術，制定訪問控制策略，針對不合規(guī)的桌面計算機下發(fā)阻斷策略，保證內部網(wǎng)絡安全。3.2主動安全防范技術主動安全防范技術包括病毒木馬探測和數(shù)字證書認證等，病毒木馬探測技術能夠強化桌面計算機實時防護功能，主動攔截病毒木馬，防范日常攻擊和未知安全威脅；數(shù)字證書認證技術能夠實現(xiàn)USBkey證書和Pin口令的雙因素認證方式，可以解決賬號權限安全管理問題。

　　4應用效果

　　在某企業(yè)部署的信息安全防御體系應用效果良好。累計查殺新型網(wǎng)絡病毒木馬560多萬個；強認證登錄100多萬次；抵御外部攻擊600多萬次，阻止訪問木馬釣魚網(wǎng)站5萬余次。

　　5結束語

　　信息化的快速發(fā)展已為企業(yè)的生產(chǎn)經(jīng)營活動帶來了極大的便捷，但同時各類安全性問題同樣值得引起我們的擔憂和注意，企業(yè)的信息化要想在以后得到長足的發(fā)展空間，就要及時地去解決當今出現(xiàn)的這些問題，并對其做出防治手段。本文從多角度對企業(yè)級信息安全防御體系構建進行了研究探索，并在企業(yè)級內部網(wǎng)絡環(huán)境下進行了實踐，但由于條件所限，未在移動無線網(wǎng)絡環(huán)境下進行深入研究，下一步將加大力量，加強這方面的探索實踐，希望可以對相關企業(yè)信息安全防御體系建設工作提供幫助。

　　參考文獻：

　　[1]陳梅志.計算機網(wǎng)絡信息安全及其應對措施淺析[J].硅谷,2014,7(2):143-143.

　　[2]陳建平.基于工作過程的《計算機網(wǎng)絡安全》一體化課程開發(fā)及實施研究[D].華中師范大學,2014.

　　[3]京力煒,付愛英,盛鴻宇.防火墻技術標準教材[M].北京:北京理工大學出版社,2007.

　　[4]隋正有,佟璐.對新時期計算機網(wǎng)絡安全存在的問題及對策探討[J].計算機光盤軟件與應用,2012(2)125-126.

　　[5]德軍.論網(wǎng)絡環(huán)境下的計算機網(wǎng)絡安全[J].科技經(jīng)濟市場,2009(11)：14-15.

【企業(yè)信息安全防護體系探索與實踐論文】相關文章：

工商管理實踐教學模式探索的論文11-06

計算機網(wǎng)絡信息安全防護論文02-13

地方建筑石刻藝術探索論文10-13

政治安全在國家安全體系中的地位和作用論文10-16

土木工程專業(yè)教學體系系統(tǒng)化與實踐論文10-26

計算機網(wǎng)絡信息安全防護論文15篇02-13

金融體系與無尺度網(wǎng)絡論文10-13

工地防護棚安全標語09-21

應用型本科市場營銷專業(yè)實踐教學課程體系的研究論文10-12

舞臺藝術的市場營銷探索論文08-19