信息化网络安全管理设计方案

1、最新资料欢迎阅读信息化网络安全管理设计方案在过去的几年中，人们把安全系统的建设目光集中到防火墙系统、防病毒系统、 入侵检测系统和漏洞扫描系统等几个系统上面，随着这些系统的建设成功，政府、 金融、电信和其他企业的网络系统的安全性得到了一定的提升和增强。但是，应 该注意的是，国内不少单位虽然花了大量的金钱买了很多安全产品，配置了复杂 的安全设备，在一定程度上提升了网络安全的性能，但是同时又出现了不少新的 问题。许多单位将出现的问题都归咎于信息部门人员，不但不公平，同时也无法 真正解决问题。信息部门多样而繁杂的工作，以及有限的人力，使得信息安全管 理的工作，成为其沉重而无法独力承担的责任。信息安全不

2、是纯粹的技术问題， 是技术、策略和管理的综合。而重点在于管理，唯有完善的管理，才能降低安全 风险，避免不必要的损失。为了做好安全管理，首先要提升单位的整体安全意 识，要高度重视信息安全管理，切实加强领导，以高度的责任感进一步推进信息 化建设和信息安全管理。近年来信息泄漏事件往往不被人们所关注，没有引起我 们的主管领导、技术人员足够的重视和关注。安全事件造成的经济损失最大的， 最主要的是内部人员有意或无意的信息泄漏所造成的经济损失，带来的影响是不 可挽回的，甚至是灾难性的；因黑客攻击造成的损失往往并不严重，是有限的， 是可恢复和弥补的；从防范措施来看，针对外部黑客攻击的防范措施、解决方案、 技术

3、和产品已经有很多，甚至很成熟，而针对内部员工的失泄密行为，目前没有 成熟的、全面的解决方案。特别是党政、金融机构等部门的领导都在埋怨没有成 熟的技术方法手段解决日益增长的内部员工的有意识或无意识的失泄密事件的 发生。目前大多数机构针对内部职工的失泄密行为所采取的措施大致有：禁止网络 联接，禁止自己的员工上网，或严禁涉密或涉及核心技术、专利的计算机上网； 禁止可移动存储器使用，禁止员工使用移动存储设备，如：软盘、光盘、闪存存 储设备（USB盘，USB硬盘）等；贴封条，定期检查，在一些外设接口上贴上封 条，并定期检查。如此等等的这些方法和措施，都是人为的控制、监督管理的方法，目的就是 为了堵住可能

4、是泄密的途径和漏洞。这些方法都无法从本质上解决内部员工失泄 密的问题。同时，这些方法和措施存在很多问题和风险：首先，这些被动的解决 方案的作用的发挥程度，依靠内部人员的责任心、良心和自觉性，无法使员工充 分发挥主观能动性，自觉地杜绝失、泄密行为；其次，这些解决方案是强制的 安全管理方法，不易已被员工所接受，可能会带来员工的逆反心理，有意识的制 造失泄密事件；再次，这些解决方案本身还不完善，还存在诸多隐患，无法全 面阻止员工的失泄密行为，无法防止失泄密事件的发生；最后，这些解决方案 给实际工作带来的很多不便，致使员工的工作效率下降，得不偿失。为了能切实有效的进行管理，并杜绝网络泄密事件的发生，提

5、出如下一些网 络安全的解决方案。一、在技术上1、通过安装防火墙，实现下列的安全目标：1）利用防火墙将Internet外 部网络、DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接 通信；2）利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全； 3）利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒 绝；4）利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同 时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；5）利用 防火墙全面监视对服务器的访问，及时发现和阻止非法操作；6）利用防火墙及服 务器上的审计记录，形成一个完善的审计

6、体系，建立第二条防线；7）根据需要设 置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。2、网络内的权限控制通过目录服务等操作系统存在的服务队对主机内的资 源进行权限访问的控制，可将具体的安全控制到文件级。通过对网络作安全的划 分控制、如通过设置vlan等，对整个网络进行权限控制。3、入侵检测系统技术通过使用入侵检测系统，我们可以做到：1）对网络 边界点的数据进行检测，防止黑客的入侵；2）对服务器的数据流量进行检测，防 止入侵者的蓄意破坏和篡改；3）监视内部用户和系统的运行状况，查找非法用户 和合法用户的越权操作；4）对用户的非正常活动进行统计分析，发现入侵行为的 规律；5）实时对

7、检测到的入侵行为进行报警、阻断，能够与防火墙/系统联动； 6）对关键正常事件及异常行为记录日志，进行审计跟踪管理。通过使用入侵检测系统可以容易的完成对以下的攻击识别：网络信息收集、 网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。4、网络防病毒为了使整个机关网络免受病毒侵害，保证网络系统中信息的 可用性，构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心， 通过派发的形式对整个网络部署杀毒，同时要对Lotus Dornino内进行查杀毒。5、网络内的信息流动的监控对网络内流动的信息进行监控，防止非法访问 信息的传播和记录控制非法信息的传播、对涉密信息进

8、行安全防护。6、无线接入安全管理现在无线网络使用越来越普遍，对无线网络的接入， 同样需要进行安全控制，可以根据IP和MAC绑定的方式确保无线接入的安全性, 对未经容许的无线设备、笔记本电脑则无法接入无线网络。有效防止外部的病毒 或黑客程序被带进内网。7、操作系统以及应用系统的安全设置通常，操作系统以及应用系统都提供 有强大的安全设置，为保证系统的安全性，我们要在合理配置好操作系统以及应 用系统的安全设置，在这个层面上要在保证安全和使用方便两者之间的关系取得 一定的平衡。比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、 数据库是否容许远程管理、用户账号权限控制等等。并且制定对黑客入侵的

9、防范 策略。8、安全审计、日志审核机制网络安全，不光是要防范杜绝，还要建立档 案。合理的配置安全审计，一些重要的安全信息、系统、设备的登入登出，都 可以完整记录下来。而日志审核也可以对于故障排查、安全检查有很好的帮助。9、内部网络安全机制根据部门以及功能的需求，在局域网通过vlan的划 分，既可以阻止大规模的广播风暴影响整体网络的通畅，保障网络的稳定。并且 通过交换机的ACL的控制，根据网络应用以及各部门内部信息保密的需求，对不 同的网段之间的访问进行访问的控制。同时一些交换机具备流量控制、源路由限 制等功能，根据企业实际情况设置也可加强企业内部网络的安全，降低因病毒、 网络攻击造成的网络威胁。二、在管理上以上所有的网络安全管理是基于技术方面，为了使网络能够安全 髙效有序的运转这些系统，更需要配合一套完整的网络安全管理制度。1、建立网络安全管理制度，明确网络安全管理的职责2、完善网络安全设置各方面的技术文档，按照技术文档进行设定安全策略 以及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文档记录