信息化網(wǎng)絡(luò)安全管理設(shè)計(jì)方案

1、最新資料歡迎閱讀信息化網(wǎng)絡(luò)安全管理設(shè)計(jì)方案在過去的幾年中，人們把安全系統(tǒng)的建設(shè)目光集中到防火墻系統(tǒng)、防病毒系統(tǒng)、 入侵檢測(cè)系統(tǒng)和漏洞掃描系統(tǒng)等幾個(gè)系統(tǒng)上面，隨著這些系統(tǒng)的建設(shè)成功，政府、 金融、電信和其他企業(yè)的網(wǎng)絡(luò)系統(tǒng)的安全性得到了一定的提升和增強(qiáng)。但是，應(yīng) 該注意的是，國(guó)內(nèi)不少單位雖然花了大量的金錢買了很多安全產(chǎn)品，配置了復(fù)雜 的安全設(shè)備，在一定程度上提升了網(wǎng)絡(luò)安全的性能，但是同時(shí)又出現(xiàn)了不少新的 問題。許多單位將出現(xiàn)的問題都?xì)w咎于信息部門人員，不但不公平，同時(shí)也無法 真正解決問題。信息部門多樣而繁雜的工作，以及有限的人力，使得信息安全管 理的工作，成為其沉重而無法獨(dú)力承擔(dān)的責(zé)任。信息安全不

2、是純粹的技術(shù)問題， 是技術(shù)、策略和管理的綜合。而重點(diǎn)在于管理，唯有完善的管理，才能降低安全 風(fēng)險(xiǎn)，避免不必要的損失。為了做好安全管理，首先要提升單位的整體安全意 識(shí)，要高度重視信息安全管理，切實(shí)加強(qiáng)領(lǐng)導(dǎo)，以高度的責(zé)任感進(jìn)一步推進(jìn)信息 化建設(shè)和信息安全管理。近年來信息泄漏事件往往不被人們所關(guān)注，沒有引起我 們的主管領(lǐng)導(dǎo)、技術(shù)人員足夠的重視和關(guān)注。安全事件造成的經(jīng)濟(jì)損失最大的， 最主要的是內(nèi)部人員有意或無意的信息泄漏所造成的經(jīng)濟(jì)損失，帶來的影響是不 可挽回的，甚至是災(zāi)難性的；因黑客攻擊造成的損失往往并不嚴(yán)重，是有限的， 是可恢復(fù)和彌補(bǔ)的；從防范措施來看，針對(duì)外部黑客攻擊的防范措施、解決方案、 技術(shù)

3、和產(chǎn)品已經(jīng)有很多，甚至很成熟，而針對(duì)內(nèi)部員工的失泄密行為，目前沒有 成熟的、全面的解決方案。特別是黨政、金融機(jī)構(gòu)等部門的領(lǐng)導(dǎo)都在埋怨沒有成 熟的技術(shù)方法手段解決日益增長(zhǎng)的內(nèi)部員工的有意識(shí)或無意識(shí)的失泄密事件的 發(fā)生。目前大多數(shù)機(jī)構(gòu)針對(duì)內(nèi)部職工的失泄密行為所采取的措施大致有：禁止網(wǎng)絡(luò) 聯(lián)接，禁止自己的員工上網(wǎng)，或嚴(yán)禁涉密或涉及核心技術(shù)、專利的計(jì)算機(jī)上網(wǎng)； 禁止可移動(dòng)存儲(chǔ)器使用，禁止員工使用移動(dòng)存儲(chǔ)設(shè)備，如：軟盤、光盤、閃存存 儲(chǔ)設(shè)備（USB盤，USB硬盤）等；貼封條，定期檢查，在一些外設(shè)接口上貼上封 條，并定期檢查。如此等等的這些方法和措施，都是人為的控制、監(jiān)督管理的方法，目的就是 為了堵住可能

4、是泄密的途徑和漏洞。這些方法都無法從本質(zhì)上解決內(nèi)部員工失泄 密的問題。同時(shí)，這些方法和措施存在很多問題和風(fēng)險(xiǎn)：首先，這些被動(dòng)的解決 方案的作用的發(fā)揮程度，依靠?jī)?nèi)部人員的責(zé)任心、良心和自覺性，無法使員工充 分發(fā)揮主觀能動(dòng)性，自覺地杜絕失、泄密行為；其次，這些解決方案是強(qiáng)制的 安全管理方法，不易已被員工所接受，可能會(huì)帶來員工的逆反心理，有意識(shí)的制 造失泄密事件；再次，這些解決方案本身還不完善，還存在諸多隱患，無法全 面阻止員工的失泄密行為，無法防止失泄密事件的發(fā)生；最后，這些解決方案 給實(shí)際工作帶來的很多不便，致使員工的工作效率下降，得不償失。為了能切實(shí)有效的進(jìn)行管理，并杜絕網(wǎng)絡(luò)泄密事件的發(fā)生，提

5、出如下一些網(wǎng) 絡(luò)安全的解決方案。一、在技術(shù)上1、通過安裝防火墻，實(shí)現(xiàn)下列的安全目標(biāo)：1）利用防火墻將Internet外 部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接 通信；2）利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全； 3）利用防火墻對(duì)來自外網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒 絕；4）利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同 時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；5）利用 防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；6）利用防火墻及服 務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)

6、體系，建立第二條防線；7）根據(jù)需要設(shè) 置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。2、網(wǎng)絡(luò)內(nèi)的權(quán)限控制通過目錄服務(wù)等操作系統(tǒng)存在的服務(wù)隊(duì)對(duì)主機(jī)內(nèi)的資 源進(jìn)行權(quán)限訪問的控制，可將具體的安全控制到文件級(jí)。通過對(duì)網(wǎng)絡(luò)作安全的劃 分控制、如通過設(shè)置vlan等，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行權(quán)限控制。3、入侵檢測(cè)系統(tǒng)技術(shù)通過使用入侵檢測(cè)系統(tǒng)，我們可以做到：1）對(duì)網(wǎng)絡(luò) 邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)，防止黑客的入侵；2）對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè)，防 止入侵者的蓄意破壞和篡改；3）監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶 和合法用戶的越權(quán)操作；4）對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的 規(guī)律；5）實(shí)時(shí)對(duì)

7、檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動(dòng)； 6）對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。通過使用入侵檢測(cè)系統(tǒng)可以容易的完成對(duì)以下的攻擊識(shí)別：網(wǎng)絡(luò)信息收集、 網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。4、網(wǎng)絡(luò)防病毒為了使整個(gè)機(jī)關(guān)網(wǎng)絡(luò)免受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的 可用性，構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心， 通過派發(fā)的形式對(duì)整個(gè)網(wǎng)絡(luò)部署殺毒，同時(shí)要對(duì)Lotus Dornino內(nèi)進(jìn)行查殺毒。5、網(wǎng)絡(luò)內(nèi)的信息流動(dòng)的監(jiān)控對(duì)網(wǎng)絡(luò)內(nèi)流動(dòng)的信息進(jìn)行監(jiān)控，防止非法訪問 信息的傳播和記錄控制非法信息的傳播、對(duì)涉密信息進(jìn)

8、行安全防護(hù)。6、無線接入安全管理現(xiàn)在無線網(wǎng)絡(luò)使用越來越普遍，對(duì)無線網(wǎng)絡(luò)的接入， 同樣需要進(jìn)行安全控制，可以根據(jù)IP和MAC綁定的方式確保無線接入的安全性, 對(duì)未經(jīng)容許的無線設(shè)備、筆記本電腦則無法接入無線網(wǎng)絡(luò)。有效防止外部的病毒 或黑客程序被帶進(jìn)內(nèi)網(wǎng)。7、操作系統(tǒng)以及應(yīng)用系統(tǒng)的安全設(shè)置通常，操作系統(tǒng)以及應(yīng)用系統(tǒng)都提供 有強(qiáng)大的安全設(shè)置，為保證系統(tǒng)的安全性，我們要在合理配置好操作系統(tǒng)以及應(yīng) 用系統(tǒng)的安全設(shè)置，在這個(gè)層面上要在保證安全和使用方便兩者之間的關(guān)系取得 一定的平衡。比如操作系統(tǒng)密碼口令復(fù)雜度、有效時(shí)間、應(yīng)用開放的端口控制、 數(shù)據(jù)庫(kù)是否容許遠(yuǎn)程管理、用戶賬號(hào)權(quán)限控制等等。并且制定對(duì)黑客入侵的

9、防范 策略。8、安全審計(jì)、日志審核機(jī)制網(wǎng)絡(luò)安全，不光是要防范杜絕，還要建立檔 案。合理的配置安全審計(jì)，一些重要的安全信息、系統(tǒng)、設(shè)備的登入登出，都 可以完整記錄下來。而日志審核也可以對(duì)于故障排查、安全檢查有很好的幫助。9、內(nèi)部網(wǎng)絡(luò)安全機(jī)制根據(jù)部門以及功能的需求，在局域網(wǎng)通過vlan的劃 分，既可以阻止大規(guī)模的廣播風(fēng)暴影響整體網(wǎng)絡(luò)的通暢，保障網(wǎng)絡(luò)的穩(wěn)定。并且 通過交換機(jī)的ACL的控制，根據(jù)網(wǎng)絡(luò)應(yīng)用以及各部門內(nèi)部信息保密的需求，對(duì)不 同的網(wǎng)段之間的訪問進(jìn)行訪問的控制。同時(shí)一些交換機(jī)具備流量控制、源路由限 制等功能，根據(jù)企業(yè)實(shí)際情況設(shè)置也可加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，降低因病毒、 網(wǎng)絡(luò)攻擊造成的網(wǎng)絡(luò)威脅。二、在管理上以上所有的網(wǎng)絡(luò)安全管理是基于技術(shù)方面，為了使網(wǎng)絡(luò)能夠安全 髙效有序的運(yùn)轉(zhuǎn)這些系統(tǒng)，更需要配合一套完整的網(wǎng)絡(luò)安全管理制度。1、建立網(wǎng)絡(luò)安全管理制度，明確網(wǎng)絡(luò)安全管理的職責(zé)2、完善網(wǎng)絡(luò)安全設(shè)置各方面的技術(shù)文檔，按照技術(shù)文檔進(jìn)行設(shè)定安全策略 以及安全方案。在涉及網(wǎng)絡(luò)安全的變更管理、事件管理、配置管理中都必須有文檔記錄