企业信息网络安全治理架构部署探析(2)
2017-08-13 06:40
导读:4 企业信息网络安全工程的部署 信息系统安全是信息系统服务质量的要求,网络安全系统应当融于信息网络服务系统之中,其建设与维护应当与信息网络系
4 企业信息网络安全工程的部署
信息系统安全是信息系统服务质量的要求,网络安全系统应当融于信息网络服务系统之中,其建设与维护应当与信息网络系统的建设和维护保持一致,遵循系统工程的方法。网络安全工程就是应用系统工程建设和维护网络安全系统。
4.1 工程环节
系统工程总是与被建设的系统特性紧密结合,工程环节与系统生命周期保持同步。安全系统的生命周期也是基本如此,因而安全系统工程典型的基本环节包括信息系统安全需求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改造等,如图2所示。
(1)安全的互联网接进。
企业内部网络的每位员工要随时登录互联网,因此Internet接进平台的安全是该企业信息系统安全的关键部分,可采用外部边沿防火墙,其内部用户登录互联网时经过内部防火墙,再由外部边沿防火墙映射到互联网。外部边沿防火墙与内部防火墙之间形成了DMZ区。
(2)防火墙访问控制。
外部边沿防火墙提供PAT服务,配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接,并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。
内部防火墙处于内部网络与DMZ区之间,它答应内网所有主性能够访问DMZ区,但DMZ区进进内网的流量则进行严格的过滤。
(3)用户认证系统。
用户认证系统主要用于解决拨号和VPN接进的安全题目,它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。
拨号用户和VPN用户身份认证在主域服务器上进行,用户账号集中在主域服务器上开设。系统中设置严格的用户访问策略和口令策略,强制用户定期更改口令。同时配置VPN日志服务器,记录所有VPN用户的访问,作为系统审计的依据。
(科教范文网http://fw.NSEAC.com编辑发布) (4)进侵检测系统。
企业可在互联网流量汇聚的交换机处部署进侵检测系统,它可实时监控内网中发生的安全事件,使得治理员及时做出反应,并可记录内部用户对Internet的访问,治理者可审计Internet接进平台是否被滥用。
(5)网络防病毒系统。
企业应全面地布置防病毒系统,包括客户机、文件服务器、邮件服务器和OA服务器。
(6)VPN加密系统。
企业可建立虚拟专网VPN,主要为企业移动办公的员工提供通过互联网访问企业内网OA系统,同时为企业内网用户访问公司的SAP系统提供VPN加密连接。
需要留意的是,由于VPN机制需要执行加密和解密过程,其传输效率将降低30%~40%,因此对于关键业务,假如有条件应该尽可能采用数据专线方式。
(7)网络设备及服务器加固。
企业网络治理员应定期对各种网络设备和主机进行安全性扫描和渗透测试,及时发现漏洞并采取补救措施。安全性扫描主要是利用一些扫描工具,模拟黑客的方法和手段,以匿名身份接进网络,对网络设备和主机进行扫描并进行分析,目的是发现系统存在的各种漏洞。
根据安全扫描和渗透测试的结果,网络治理员即可有针对性地进行系统加固,具体加固措施包括:封闭不必要的网络端口;视网络应用情况禁用ICMP、SNMP等协议;安装最新系统安全补丁;采用SSH而不是Telnet进行远程登录;调整本地安全策略,禁用不需要的系统缺省服务;启用系统安全审计日志。
(8)办公电脑安全治理系统。
企业应加强对桌面电脑的安全治理。主要有:
①补丁治理:主要用于修复桌面电脑系统漏洞,避免蠕虫病毒、黑客攻击和木马程序等。 ②间谍软件检测:能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。
(科教论文网 Lw.nsEAc.com编辑整理)
③安全威胁分析:能够自动检测桌面电脑的配置风险,包括共享、口令、浏览器等安全题目,并自动进行修补或提出修改建议。
