大中型企業(yè)信息網(wǎng)絡(luò)安全體系設(shè)計(jì)與實(shí)現(xiàn)摘要：隨著大中型企業(yè)信息化建設(shè)速度的不斷加快，企業(yè)信息網(wǎng)絡(luò)安全體系建設(shè)的需求不斷增加，本文通過分析大中型企業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀及威脅，提出了構(gòu)建企業(yè)總體安全信息體系的方案及原則，列舉了實(shí)現(xiàn)企業(yè)信息安全體系建設(shè)的主要技術(shù)和手段。企業(yè)通過信息網(wǎng)絡(luò)安全管理體系的部署，可有效地實(shí)現(xiàn)企業(yè)信息安全建設(shè)的最終目標(biāo)。關(guān)鍵詞：企業(yè)；信息網(wǎng)絡(luò)；安全體系；安全技術(shù)大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè)，在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用，現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開信息和網(wǎng)絡(luò)，大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng)，企業(yè)員工多、信息化互聯(lián)設(shè)備多、種類多樣，企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上，網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用。目前，許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo)，在企業(yè)信息化建設(shè)中，信息安全問題是必須要首先考慮的問題，可見，建立企業(yè)信息安全體系勢(shì)在必行。 1企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn) 近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開發(fā)，但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒有得到足夠重視。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示，國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊，而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在：病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡(luò)資源濫用、員工信息安全意識(shí)淡薄等。 目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn)，垃圾郵件、企業(yè)機(jī)密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。 2 企業(yè)網(wǎng)絡(luò)安全體系 大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)，迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性，隨著網(wǎng)絡(luò)攻擊的多樣化，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊，同時(shí)還要隨時(shí)注重操作系統(tǒng)、數(shù)據(jù)庫、軟硬件設(shè)備的安全性；企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊，而且要能防范可能來自內(nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全，最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系。 企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。 物理安全：物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全，提供一個(gè)安全可靠的物理運(yùn)行環(huán)境。 鏈路安全：數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽和篡改。 網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全主要包括：通過防火墻隔離內(nèi)外網(wǎng)絡(luò)，不同區(qū)域的訪問控制，部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠。 系統(tǒng)安全：系統(tǒng)安全主要指數(shù)據(jù)庫、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性。 信息安全：主要通過數(shù)據(jù)加密、CA認(rèn)證、授權(quán)等手段保證信息處理、傳遞、存儲(chǔ)的保密性、完整性和可用性。 典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示： 3信息安全體系設(shè)計(jì)原則 企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則： 31保密性：信息不能夠泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。 32完整性：信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。 3 3可用性：保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性。 34可控性：對(duì)信息的處理、傳遞、存儲(chǔ)等具有控制能力。 信息安全就是要保障維護(hù)信息的機(jī)密性、完整性、可用性以及保障維護(hù)信息的真實(shí)性、可問責(zé)性、不可抵賴性、可靠性、守法性。 4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段 目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有： 4.1防火墻系統(tǒng) 防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分，用于防范來自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間，通過合理配置訪問控制策略，管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)?。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下，建議配置專用的DDOS防火墻。 4.2入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)，可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足，通過對(duì)來自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)未授權(quán)或異常現(xiàn)象以及各種可能的攻擊企圖，記錄有關(guān)事件，以便網(wǎng)管員及時(shí)采取防范措施，為事后分析提供依據(jù)的依據(jù)。 4.3漏洞掃描系統(tǒng) 企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)，不間斷地對(duì)企業(yè)工作站、服務(wù)器、防火墻、交換機(jī)等進(jìn)行安全檢查，提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策，協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險(xiǎn)，防患于未然。 4.4網(wǎng)頁防篡改系統(tǒng) 網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改，保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)，將篡改檢測(cè)模塊（數(shù)字水印技術(shù)）和應(yīng)用防護(hù)模塊（防注入攻擊）內(nèi)嵌于Web服務(wù)器內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)，不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)，更可以保護(hù)數(shù)據(jù)庫中的動(dòng)態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。 4.5上網(wǎng)行為管理系統(tǒng) 上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間，針對(duì)企業(yè)內(nèi)部員工訪問Internet行為進(jìn)行集中管理與控制。其主要功能有：網(wǎng)頁過濾、應(yīng)用控制（IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發(fā)帖等）、帶寬管理、內(nèi)容審計(jì)（郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋⒂脩艄芾?、日志管理等功能?4.6內(nèi)網(wǎng)安全管理平臺(tái) 據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告：來自企業(yè)外部威脅占20%，內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求，必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)，規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境，提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括：用戶認(rèn)證與授權(quán)、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控、安全域管理、存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報(bào)表管理等。 4.7企業(yè)集中防病毒系統(tǒng) 在病毒肆虐的時(shí)代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)，企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜，由于員工計(jì)算機(jī)水平大多不高，構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái)，可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略，并且使企業(yè)員工電腦的病毒庫及時(shí)得到更新，增強(qiáng)病毒防護(hù)有效性，降低病毒對(duì)安全帶來的威脅。 集中防病毒系統(tǒng)應(yīng)具有：集中管控、遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、分布查殺等多種功能。 4.8建立健全企業(yè)安全管理組織體系及制度，加強(qiáng)企業(yè)信息安全意識(shí) 企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí)，更需要考慮管理的安全性，不斷完善企業(yè)信息安全制度。通過培訓(xùn)，增強(qiáng)每個(gè)員工的安全意識(shí)，為大中型企業(yè)信息安全管理奠定基礎(chǔ)。 隨著信息技術(shù)的發(fā)展，企業(yè)無線接入、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇。 五、 結(jié)束語 目前，大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)，針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁，信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸突出，網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，同時(shí)，網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程，涉及人員、硬軟件設(shè)備、資金、制度等因素，沒有絕對(duì)可靠的安全技術(shù)，科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷。 參考文獻(xiàn)： 1向宏，傅鸝，詹榜華 著信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社2009-01 2謝宗曉，郭立生著信息安全管理體系應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社2008-10 3唐正軍，李建華 著入侵檢測(cè)技術(shù)清華大學(xué)出版社2004-04 4馮登國(guó)，孫銳，張陽 著信息安全體系結(jié)構(gòu)清華大學(xué)出版社2008-09