企业网络信息安全解决方案

企业网络信息安全解决方案企业网络信息安全解决方案企业网络信息安全解决方案一、信息安全化定义企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施，保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了、改不了信息，系统瘫不了、信息假不了、行为赖不了。二、企业信息安全管理现状当前企业在信息安全管理中普遍面临的问题:(1)缺乏来自法律规范的推动力和约束;(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法;(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理;(4)在安全管理中不够重视人的因素;(5)缺乏懂得管理的信息安全技术人员;(6)企业安全意识不强，员工接受的教育和培训不够。三、企业信息安全管理产品企业网络信息安全解决方案全文共5页，当前为第1页。建立完善的企业信息安全管理系统，必须防火墙企业网络信息安全解决方案全文共5页，当前为第1页。即访问控制系统，它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。安全路由器由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。安全服务器安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。安全管理中心由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。入侵检测系统(IDS)入侵检测，作为传统保护机制(比如访问控制，身份识别等)的有效补充，形成了信息系统中不可或缺的反馈链。入侵防御系统(IPS)入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。安全数据库企业网络信息安全解决方案全文共5页，当前为第2页。由于大量的信息存储在计算机数据库在组策略实施时,如果想使用软件限制策略,即哪些客户不能使用哪个软件,则需要把操作系统升级到Windows2003Server。服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的专用备份程序,制定一个合理的备份策略,如每周日晚上做一次完全备份,然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。企业网络信息安全解决方案全文共5页，当前为第2页。3.客户端管理对大多数单位的网管来说,客户端的管理都是最头痛的问题,只有得力的措施才能解决这个问题,这里介绍以下几种方法:1)将客户端都加入到域中,这一点很重要,因为只有这样,客户端才能纳入管理员集中管理的范围。2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地Administrators和PowerUsers组,这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作,应通过本地安全策略,授予他们”关机”和“修改系统时间”等权利。3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。5)利用SMS对客户端进行不定期监控,发现不正常情况及时处理。4.数据备份与数据加密企业网络信息安全解决方案全文共5页，当前为第3页。由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。这里介绍四种解决方法:第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低,保存性最强,不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式,两台机器系统相互备份,应用层数据全部放在共享的磁盘阵列柜中,这种方式能解决单机故障或宕机的问题,同时又能防止单个硬盘故障导致的数据丢失,但前期投资较大。第四种方案是采用NAS或SAN来实现各服务器的集中区域存储,实现较高级别的磁盘等硬件故障的数据备份,但是成本较高,一般不能防止系统层的故障,如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密,即以加密格式存储和传输敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。企业网络信息安全解决方案全文共5页，当前为第3页。5.病毒防治对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中,本单位以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。四、企业网络、信息安全解决方案1)大型企业大型企业部门林立，相当一部分会在外地有分支机构，业务系统普遍采用建设虚拟专网的方式，起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署，比如防火墙，可以把企业访问互联网的风险降低，但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有企业网络信息安全解决方案全文共5页，当前为第4页。意、无意的操作行为，致使业务系统不能正常使用，或者机密数据外泄，对企业的网络安全，信息保密造成很大的威胁，拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患，保障业务系统的政策正常安全运行和企业机密数据的安全。企业网络信息安全解决方案全文共5页，当前为第4页。建议大型企业在网络中部署:防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。2)中型企业中型企业基本已具备完整的网络体系，但是企业的信息化技术力量相对大型企业可能薄弱一点，对于员工的上网行为和电脑操作行为可能要求得不会太严格，即使向员工制定了一定的管理制度，也会在制度的执行过程中因为人为的因素而变成一纸空文，所以用硬件设备来保障和规范网络、信息的安全尤为重要，中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。建议中型企业部署:防火墙、IDS、路由器、上网行为管理、防泄密系统等。3)小型企业小型企业在人员规模、基础建设、资金实力等方面都相对落后于大中型企业，但是在发展阶段的小型企业，对网络、信息的安全问题同样不能忽视，目前各式各样的聊天工具、视频网站、网游、P2P下载等，都会直接影响到员工的工作效率，并且占用了大部分的带宽，使得业务系统和正常的工作无法得到保障，且小型企业一般不会配置专业的网管人员，这就是有的小型企业配置了好的电脑，够用的宽带，但