• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      企業(yè)級信息安全防護(hù)體系構(gòu)建的探索與實踐

      2017-07-11 06:30:59高先睿
      電腦知識與技術(shù) 2017年15期
      關(guān)鍵詞:體系架構(gòu)安全控制信息安全

      高先睿

      摘要:構(gòu)建先進(jìn)科學(xué)的企業(yè)級信息安全防護(hù)體系需要深入分析影響信息系統(tǒng)的潛在風(fēng)險,需要設(shè)計全面可靠的整體解決方案,建立科學(xué)規(guī)范的體系架構(gòu)。通過在某企業(yè)建設(shè)桌面安全、身份管理與認(rèn)證、網(wǎng)絡(luò)安全域等系統(tǒng),實現(xiàn)應(yīng)用系統(tǒng)授權(quán)訪問、桌面計算機安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、病毒與木馬清除等功能。該體系在實際環(huán)境中運行良好,并取得了較好的應(yīng)用效果。

      關(guān)鍵詞:信息安全;體系架構(gòu);授權(quán)訪問;安全控制;異常監(jiān)控

      1概述

      隨著信息化建設(shè)的快速發(fā)展,信息技術(shù)創(chuàng)新影響著人們的工作方式和生活習(xí)慣,網(wǎng)絡(luò)已成為信息傳播和知識共享的載體,提高了工作效率,促進(jìn)了社會的發(fā)展和進(jìn)步,但由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性,決定了信息安全威脅的客觀存在。近年來,國內(nèi)國外信息安全的事件層出不窮,計算機病毒和木馬仍然是最大的安全威脅,假冒用戶和主機身份進(jìn)行不法活動或?qū)嵤┕舻默F(xiàn)象逐漸增多,SQL注入、數(shù)據(jù)監(jiān)聽、緩沖區(qū)溢出攻擊依然盛行,網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)欺詐日益嚴(yán)重,敏感數(shù)據(jù)外泄和盜取事件頻頻發(fā)生,信息安全形勢日趨嚴(yán)峻。因此,如何建立多層次的信息安全防護(hù)體系,如何保證企業(yè)信息安全,已成為各企業(yè)必須面對的重要問題。

      2體系架構(gòu)總體設(shè)計

      針對企業(yè)中桌面計算機數(shù)量龐大、應(yīng)用系統(tǒng)平臺多樣化、互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用急劇增長,不合規(guī)計算機接入內(nèi)網(wǎng)、互聯(lián)網(wǎng)違規(guī)訪問、系統(tǒng)賬戶盜用等行為無法管控,網(wǎng)絡(luò)黑客人侵、病毒木馬感染、信息數(shù)據(jù)竊取等問題,通過大量的分析調(diào)研,確定企業(yè)級的信息安全防護(hù)體系應(yīng)采用C/S和B/S相結(jié)合的多層架構(gòu)設(shè)計,同時選擇成熟主流的安全產(chǎn)品,統(tǒng)一規(guī)劃設(shè)計桌面安全管理、身份管理與認(rèn)證、網(wǎng)絡(luò)安全域戈0分等功能系統(tǒng),規(guī)范信息系統(tǒng)安全防護(hù)和審計標(biāo)準(zhǔn),最大程度保證信息資源的可用性和安全性。

      2.1桌面安全管理系統(tǒng)設(shè)計

      桌面計算機是產(chǎn)生和存放重要信息的源頭,但桌面計算機往往是信息安全事件中最薄弱的環(huán)節(jié),因此,為切實保證企業(yè)信息業(yè)務(wù)正常開展,保障個人信息數(shù)據(jù)安全,建立先進(jìn)實用的桌面安全管理系統(tǒng)十分必要。該系統(tǒng)主要包括安全防范和后臺安全管理兩個模塊。

      2.1.1安全防范功能模塊

      安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略,查殺策略應(yīng)定義為“隔離”;對于惡意商業(yè)應(yīng)用程序,由于這類軟件只是一些廣告類的惡意重新,終止進(jìn)程就可以解決問題的,安全風(fēng)險程度不是很高,所以將查殺策略定義為“終止”。該模塊提供入侵防護(hù)功能、啟用拒絕服務(wù)檢測功能、啟用端口掃描檢測功能,以及自動禁止攻擊者的IP時間限定為600秒,避免出現(xiàn)由于大量攻擊行為而消耗計算機性能和網(wǎng)絡(luò)帶寬的情況發(fā)生,提高桌面計算機抵御惡意攻擊的能力。

      2.1.2后臺管理模塊

      區(qū)域管理器是后臺管理功能模塊重要組件,通過配置計算機IP范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù),可對安裝代理探頭程序的桌面計算機進(jìn)行管理。實現(xiàn)桌面計算機配置管理、安全審計及報警管理、電子文檔保護(hù)等功能。

      2.2身份管理與認(rèn)證系統(tǒng)設(shè)計

      當(dāng)前應(yīng)用系統(tǒng)已成為企業(yè)開展各項日常業(yè)務(wù)的重要平臺,但由于這些應(yīng)用系統(tǒng)登錄方式不統(tǒng)一、安全認(rèn)證模式多樣、部分系統(tǒng)密碼強度不足等情況,嚴(yán)重影響企業(yè)信息數(shù)據(jù)的安全性和保密性,因此建立身份管理與認(rèn)證系統(tǒng),可以從根本上實現(xiàn)用戶身份認(rèn)證,保證系統(tǒng)訪問的安全性。身份管理與認(rèn)證系統(tǒng)由集中身份管理、統(tǒng)一認(rèn)證和公共密鑰基礎(chǔ)設(shè)施三個模塊組成。

      2.2.1集中身份管理模塊

      集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式,對應(yīng)用系統(tǒng)中的用戶身份信息進(jìn)行匯總與清理,建立統(tǒng)一的用戶身份視圖,實現(xiàn)用戶實體與用戶身份信息的唯一對應(yīng)。集中身份管理模塊固化對用戶身份的集中管理流程,包括與用戶身份管理相關(guān)的審批與操作流程。在對集中身份管理模塊的功能細(xì)化并進(jìn)行歸類,從而設(shè)計出集中身份管理的功能模型,如圖1所示。

      2.2.2統(tǒng)一認(rèn)證模塊

      統(tǒng)一認(rèn)證模塊支持用戶身份的強認(rèn)證,可對獲取權(quán)威的身份鑒別信息進(jìn)行身份認(rèn)證,包括用戶口令、用戶數(shù)字證書、數(shù)字證書撤銷列表等。通過對信息系統(tǒng)一般的身份認(rèn)證流程進(jìn)行分析,可以得到統(tǒng)一認(rèn)證采用的身份信息和鑒別信息都來自于信息系統(tǒng)本身(或分散的目錄服務(wù))。

      2.2.3公共密鑰基礎(chǔ)設(shè)施模塊

      公共密鑰基礎(chǔ)設(shè)施系統(tǒng)(PKI)由認(rèn)證中心(CA)、密鑰管理中心(KMC)和證書注冊中心(RA)等三部分組成。認(rèn)證中心采用商密SRQ-14數(shù)字證書認(rèn)證產(chǎn)品和商密SJY-63密鑰管理產(chǎn)品,并可提供可信的第三方擔(dān)保功能,認(rèn)證中心支持頒發(fā)證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息,利用PMI技術(shù)保證密鑰信息數(shù)據(jù)的安全。證書注冊中心可為用戶提供數(shù)字證書申請的注冊受理,用戶身份信息的審核,用戶數(shù)字證書的申請與下載,用戶數(shù)字證書的撤銷與更新等服務(wù)。

      2.3網(wǎng)絡(luò)安全域系統(tǒng)設(shè)計

      當(dāng)前大部分企業(yè)的內(nèi)部網(wǎng)絡(luò)中均包含有非業(yè)務(wù)性質(zhì)網(wǎng)絡(luò),且網(wǎng)絡(luò)行為不受限,對內(nèi)部應(yīng)用系統(tǒng)的安全構(gòu)成嚴(yán)重威脅。為構(gòu)建安全可靠網(wǎng)絡(luò)架構(gòu),通過劃分網(wǎng)絡(luò)安全域,提高整體網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全域設(shè)計應(yīng)包括互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間、企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)之間、關(guān)鍵應(yīng)用系統(tǒng)與普通應(yīng)用系統(tǒng)之間等三個層次的安全防護(hù)。本著“先邊界安全加固,后深入內(nèi)部防護(hù)”的指導(dǎo)思想,本文僅對互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的安全域進(jìn)行研究和探索,如圖2所示。

      2.3.1安全防護(hù)模塊

      安全防護(hù)設(shè)備包括邊界防火墻、核心防火墻和入侵檢測設(shè)備,主要是通過檢測過濾網(wǎng)絡(luò)上的數(shù)據(jù)包,保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以位于兩個或者多個網(wǎng)絡(luò)之間,是實施網(wǎng)絡(luò)之間訪問控制的一組組件的集合,通過制定安全策略后防火墻能夠限制被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的信息訪問與交換。入侵檢測設(shè)備是防火墻的合理補充,一般該設(shè)備部署在內(nèi)部網(wǎng)絡(luò)邊界。

      2.3.2行為審計模塊

      行為審計模塊可以提供網(wǎng)頁過濾技術(shù)、應(yīng)用控制技術(shù)、外發(fā)信息審計技術(shù)等,可有效防止機密信息的外泄,避免不良信息的擴散,提高員工的工作效率,保障網(wǎng)絡(luò)資源合理使用,提高網(wǎng)絡(luò)可管理性。

      2.3.3日志分析模塊

      日志分析模塊基于Syslog標(biāo)準(zhǔn)協(xié)議,可以對不同設(shè)備、主機、應(yīng)用系統(tǒng)進(jìn)行日志綜合分析和集中展現(xiàn);實現(xiàn)對報警信息的靈活配置和管理,同時提供靈活的報警規(guī)則配置、實時報警和歷史報警信息的綜合管理;基于設(shè)備、報警類別、日期等因素進(jìn)行組合統(tǒng)計和報表,為管理人員提供直觀的統(tǒng)計信息和報表信息。

      3關(guān)鍵技術(shù)

      3.1準(zhǔn)入控制技術(shù)

      建立具有結(jié)構(gòu)化、層次化的準(zhǔn)入控制體系,針對計算機違規(guī)行為下發(fā)阻斷策略,確保接入內(nèi)網(wǎng)的計算機符合企業(yè)信息安全方面的規(guī)定。主要方法共有兩種,一種是在互聯(lián)網(wǎng)出口處部署端點準(zhǔn)人設(shè)備,強制所有接人互聯(lián)網(wǎng)桌面計算機安裝桌面安全軟件,另一種是使用虛擬隔離技術(shù),制定訪問控制策略,針對不合規(guī)的桌面計算機下發(fā)阻斷策略,保證內(nèi)部網(wǎng)絡(luò)安全。

      3.2主動安全防范技術(shù)

      主動安全防范技術(shù)包括病毒木馬探測和數(shù)字證書認(rèn)證等,病毒木馬探測技術(shù)能夠強化桌面計算機實時防護(hù)功能,主動攔截病毒木馬,防范日常攻擊和未知安全威脅;數(shù)字證書認(rèn)證技術(shù)能夠?qū)崿F(xiàn)USBkey證書和Pin口令的雙因素認(rèn)證方式,可以解決賬號權(quán)限安全管理問題。

      4應(yīng)用效果

      在某企業(yè)部署的信息安全防御體系應(yīng)用效果良好。累計查殺新型網(wǎng)絡(luò)病毒木馬560多萬個;強認(rèn)證登錄100多萬次;抵御外部攻擊600多萬次,阻止訪問木馬釣魚網(wǎng)站5萬余次。

      5結(jié)束語

      信息化的快速發(fā)展已為企業(yè)的生產(chǎn)經(jīng)營活動帶來了極大的便捷,但同時各類安全性問題同樣值得引起我們的擔(dān)憂和注意,企業(yè)的信息化要想在以后得到長足的發(fā)展空間,就要及時地去解決當(dāng)今出現(xiàn)的這些問題,并對其做出防治手段。本文從多角度對企業(yè)級信息安全防御體系構(gòu)建進(jìn)行了研究探索,并在企業(yè)級內(nèi)部網(wǎng)絡(luò)環(huán)境下進(jìn)行了實踐,但由于條件所限,未在移動無線網(wǎng)絡(luò)環(huán)境下進(jìn)行深入研究,下一步將加大力量,加強這方面的探索實踐,希望可以對相關(guān)企業(yè)信息安全防御體系建設(shè)工作提供幫助。

      猜你喜歡
      體系架構(gòu)安全控制信息安全
      機械設(shè)計自動化設(shè)備安全控制研究
      建筑施工現(xiàn)場的安全控制
      保護(hù)信息安全要滴水不漏
      高校信息安全防護(hù)
      基于國產(chǎn)軟硬件的行業(yè)大數(shù)據(jù)體系架構(gòu)研究
      保護(hù)個人信息安全刻不容緩
      關(guān)于應(yīng)急移動通信體系架構(gòu)及組網(wǎng)技術(shù)分析
      智慧健康物聯(lián)網(wǎng)體系架構(gòu)研究
      云計算體系架構(gòu)與關(guān)鍵技術(shù)
      信息安全
      江蘇年鑒(2014年0期)2014-03-11 17:10:07
      富顺县| 古丈县| 新建县| 宁波市| 肇庆市| 额济纳旗| 乌拉特中旗| 拉孜县| 密云县| 常州市| 石台县| 石狮市| 汶上县| 安顺市| 子长县| 吉木萨尔县| 菏泽市| 武定县| 河北区| 通州市| 盘锦市| 南靖县| 北宁市| 通辽市| 富蕴县| 邛崃市| 吉安县| 中西区| 桦川县| 正安县| 岳普湖县| 张家界市| 偃师市| 芜湖市| 拉孜县| 龙胜| 连城县| 赫章县| 开化县| 芒康县| 东港市|