信息化网络安全管理设计方案

信息化网络安全管理设计方案随着信息技术的发展和人们的工作生活对信息网络系统的依赖性的增强，安 全威胁的增加、安全事件的频繁出现，社会各界对安全问题日渐重视起来。信息 与网络系统的建设重点已经转移到安全系统的建设上来。在过去的几年中，人们把安全系统的建设目光集中到防火墙系统、防病毒系 统、入侵检测系统和漏洞扫描系统等几个系统上面，随着这些系统的建设成功， 政府、金融、电信和其他企业的网络系统的安全性得到了一定的提升和增强。但 是，应该注意的是，国内不少单位虽然花了大量的金钱买了很多安全产品，配置 了复杂的安全设备，在一定程度上提升了网络安全的性能，但是同时又出现了不 少新的问题。许多单位将出现的问题都归咎于信息部门人员，不但不公平，同时也无法真 正解决问题。信息部门多样而繁杂的工作，以及有限的人力，使得信息安全管理 的工作，成为其沉重而无法独力承担的责任。信息安全不是纯粹的技术问题，是 技术、策略和管理的综合。而重点在于管理，唯有完善的管理，才能降低安全风 险，避免不必要的损失。为了做好安全管理，首先要提升单位的整体安全意识， 要高度重视信息安全管理，切实加强领导，以高度的责任感进一步推进信息化建 设和信息安全管理。近年来信息泄漏事件往往不被人们所关注，没有引起我们的主管领导、技术 人员足够的重视和关注。安全事件造成的经济损失最大的，最主要的是内部人员 有意或无意的信息泄漏所造成的经济损失，带来的影响是不可挽回的，甚至是灾 难性的；因黑客攻击造成的损失往往并不严重，是有限的，是可恢复和弥补的； 从防范措施来看，针对外部黑客攻击的防范措施、解决方案、技术和产品已经有 很多，甚至很成熟，而针对内部员工的失泄密行为，目前没有成熟的、全面的解 决方案。特别是党政、金融机构等部门的领导都在埋怨没有成熟的技术方法手段 解决日益增长的内部员工的有意识或无意识的失泄密事件的发生。目前大多数机构针对内部职工的失泄密行为所采取的措施大致有：禁止网络联接，禁止自己的员工上网，或严禁涉密或涉及核心技术、专利的 计算机上网；禁止可移动存储器使用，禁止员工使用移动存储设备，如：软盘、光盘、闪 存存储设备（USB盘，USB硬盘）等；贴封条，定期检查，在一些外设接口上贴上封条，并定期检查。如此等等的这些方法和措施，都是人为的控制、监督管理的方法，目的就是 为了堵住可能是泄密的途径和漏洞。这些方法都无法从本质上解决内部员工失泄 密的问题。同时，这些方法和措施存在很多问题和风险：首先，这些被动的解决方案的作用的发挥程度，依靠内部人员的责任心、良 心和自觉性，无法使员工充分发挥主观能动性，自觉地杜绝失、泄密行为；其次，这些解决方案是强制的安全管理方法，不易已被员工所接受，可能会 带来员工的逆反心理，有意识的制造失泄密事件；再次，这些解决方案本身还不完善，还存在诸多隐患，无法全面阻止员工的 失泄密行为，无法防止失泄密事件的发生；最后，这些解决方案给实际工作带来的很多不便，致使员工的工作效率下降，得不偿失。为了能切实有效的进行管理，并杜绝网络泄密事件的发生，提出如下一些网 络安全的解决方案。一、在技术上1、通过安装防火墙，实现下列的安全目标：1）利用防火墙将Internet外部网络、DMZ服务区、安全监控与备份中心进 行有效隔离，避免与外部网络直接通信；2）利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；3）利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被 拒绝；4）利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同 时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；5）利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；6）利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二 条防线；7）根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访 问控制。2、网络内的权限控制通过目录服务等操作系统存在的服务队对主机内的资源进行权限访问的控 制，可将具体的安全控制到文件级。通过对网络作安全的划分控制、如通过设置 vlan等，对整个网络进行权限控制。3、入侵检测系统技术通过使用入侵检测系统，我们可以做到：1）对网络边界点的数据进行检测，防止黑客的入侵；2）对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改；3）监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作；4）对用户的非正常活动进行统计分析，发现入侵行为的规律；5）实时对检测到的入侵行为进行报警、阻断，能够与防火墙/系统联动；6）对关键正常事件及异常行为记录日志，进行审计跟踪管理。通过使用入侵检测系统可以容易的完成对以下的攻击识别：网络信息收集、 网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。4、网络防病毒为了使整个机关网络免受病毒侵害，保证网络系统中信息的可用性，构建从 主机到服务器的完善的防病毒体系。以服务器作为网络的核心，通过派发的形式 对整个网络部署杀毒，同时要对Lotus Domin。内进行查杀毒。5、网络内的信息流动的监控对网络内流动的信息进行监控，防止非法访问信息的传播和记录控制非法信 息的传播、对涉密信息进行安全防护。6、无线接入安全管理现在无线网络使用越来越普遍，对无线网络的接入，同样需要进行安全控制， 可以根据IP和MAC绑定的方式确保无线接入的安全性，对未经容许的无线设备、 笔记本电脑则无法接入无线网络。有效防止外部的病毒或黑客程序被带进内网。7、操作系统以及应用系统的安全设置通常，操作系统以及应用系统都提供有强大的安全设置，为保证系统的安全 性，我们要在合理配置好操作系统以及应用系统的安全设置，在这个层面上要在 保证安全和使用方便两者之间的关系取得一定的平衡。比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、数据库是 否容许远程管理、用户账号权限控制等等。并且制定对黑客入侵的防范策略。8、安全审计、日志审核机制网络安全，不光是要防范杜绝，还要建立档案。合理的配置安全审计， 一些重要的安全信息、系统、设备的登入登出，都可以完整记录下来。而日志审 核也可以对于故障排查、安全检查有很好的帮助。9、内部网络安全机制根据部门以及功能的需求，在局域网通过vlan的划分，既可以阻止大规模 的广播风暴影响整体网络的通畅，保障网络的稳定。并且通过交换机的ACL的控 制，根据网络应用以及各部门内部信息保密的需求，对不同的网段之间的访问进 行访问的控制。同时一些交换机具备流量控制、源路由限制等功能，根据企业实 际情况设置也可加强企业内部网络的安全，降低因病毒、网络攻击造成的网络威 胁。二、在管理上以上所有的网络安全管理是基于技术方面，为了使网络能够安全高效有序的 运转这些系统，更需要配合一套完整的网络安全管理制度。1、建立网络安全管理制度，明确网络安全管理的职责2、完善网络安全设置各方面的技术文档，按照技术文档进行设定安全策略 以及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文 档记录3、确定网络安全管理的具体责任人。4、加强培训，提高人们的网络安全意识和防范意识。5、6、网络带来巨大便利的同时，也带来了许多挑战，其中安全问题尤为突出。加 上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险 会日益加重。通过以上方案的设计和实施，可以使安全隐患得到良好的改善。