浅谈信息安全建设.docVIP

浅谈信息安全建设 　　摘 要：本文结合现有网络分析了需要加强建设的薄弱区域，进行安全需求分析，提出加强信息安全建设方案。 　　关键词：信息 安全 　　1.现状分析 　　当前海口航标处信息化网络主要分为海事内网（简称内网）与互联网（简称外网），内网与外网之间通过网闸设备实现物理隔离，外网安全设备主要有防火墙、上网行为管理设备；内网安全设备主要是防火墙设备。内网、外网均有网络版杀毒软件中心。在整个网络体系中，已经在互联网出口边界部署防火墙、网闸等安全设备，但是网络安全防护是一个体系，在网络终端防护、全网安全监控等方面还比较薄弱，主要体现在以下几个方面： 　　（1）网络没有安全区域划分。由于缺乏网络安全区域划分，在内网中，办公用户与业务服务器之间访问没有任何控制措施。业务服务器是重要数据存储区域，需要加强该区域数据保护。 　　（2）缺乏网络准入防护。内网中没有部署网络准入系统，对于外来用户，只要获取到IP地址，就可以访问内网业务服务器，为了保证内网用户，业务服务器的安全，需要对外来用户进行准入控制，分配访问权限，入网安全检查。只有合格的用户终端才能访问内网。 　　（3）缺乏网络检测系统。对于整个内网中用户相互之间的访问行为、用户与服务器之间的访问行为，不能有效实时监控，当内网中用户终端之间存在相互感染，没有任何网络预警措施。 　　（4）服务器或者用户终端漏洞无法检测。内网中没有部署补丁服务器，内部用户也没有及时自动打补丁，导致各个用户终端存在着系统漏洞，业务服务器也没有及时更新操作系统补丁，也存在很大的网络风险。 　　2.安全需求分析 　　当前网络安全需求主要有以下几个方面： 　　（1）建立有效的安全区域防护。根据航标处本身网络系统实际安全需求，进行合理的安全域划分和分区域安全防护设计、实施，通过一定的技术手段，对区域内和区域间的流量行为进行逻辑隔离和防护，对恶意代码和黑客入侵进行阻隔，保护区域间的安全。 　　（2）部署终端安全管理系统。终端安全管理系统对内部网络的终端电脑进行统一管理和策略下发，以达到通过技术手段对终端电脑的操作行为和运行状态的可控、可管，防止终端用户随意接入网络和任意操作而造成的数据泄密事故的发生。 　　（3）针对全网实现可行的行为分析。通过此次安全系统的建设，对全网流行为进行全方位、多视角、细粒度的实时监测、统计分析、查询、追溯、可视化分析展示等。有效管理和发现流量的异常波动行为，并能及时发出预警机制。 　　（4）部署安全审计系统。内网中可能存在内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全，或者员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生。因此为了能够有效发现违反安全策略的事件并实时告警、记录、定位，最终实现追踪溯源，需要部署网络安全审计系统。 　　（5）战略发展要求。信息系统安全已上升到国家战略层面，为此，应加强信息安全建设，有效提高信息安全保障能力和水平，以保障和促进信息化健康有序发展。 　　3.建设方案 　　（1）建设目标。按照处信息化整体规划方向，结合信息安全现状，参照当前主流网络安全、信息安全技术，建设一个安全可靠、可扩展、可管理运维的一体化信息安全防护支撑系统，同时建立一套有效、可持续性的信息安全管理流程与制度。 　　（2）建设内容。航标处安全防护体系建设项目包含以下内容。检测防御类系统：防火墙系统、网络入侵防护系统、网络入侵检测系统；安全评估类系统：漏洞扫描系统；安全监管类系统：安全审计系统、堡垒机系统、企业安全管理系统；终端管理系统： 终端安全管理软件。 　　（3）方案详细设计。 　　①网络拓扑图如图1。 　　②具体设计内容 　　?防火墙系统 　　在内网服务器群区出口处部署一台防火墙设备，桥接模式部署，实现内网服务器群区与其他区域之间逻辑隔离，保护内网服务器免受其他区域不安全终端电脑的感染。 　　?入侵防护系统 　　在内网服务器群区域出口处串接部署一台网络入侵防护系统，针对日趋复杂的应用安全威胁和混合型网络攻击，适应攻防的最新发展，准确监测网络异常流量，自动应对各层面安全隐患，第一时间将安全威胁阻隔在服务器群区域外部。 　　?入侵检测系统 　　网络入侵监测系统旁路部署在核心交换区域核心交换机上，通过核心网络镜像，把所通过核心的所有网络访问进行监测，检测与智能分析系统对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果，并通过简单易懂的去技术化语言帮助用户分析威胁，对威胁进行有效处理。 　　?安全审计系统 　　安全审计系统旁路部署在核心交换区，通过