企业信息化安全管理的探讨.docVIP

企业信息化安全管理的探讨 　　【摘要】 随着企业信息化程度的不断提高，多种应用系统部署在网络环境中，大大提高了企业的管理水平和办公效率。通过对各应用系统数据进行综合性分析得出的结论，使企业的决策更加科学、合理。但同时企业信息面临的黑客攻击、木马病毒感染、信息窃取、篡改等风险亦呈指数增长，本文针对企业信息化安全管理和技术方面进行一些探讨，以提高企业信息安全程度。 　　【关键词】 企业信息化 安全管理 安全技术 　　一、引言 　　目前大部分企业已经将协同办公平台、财务系统、人力资源系统、科技管理系统等部署在网络环境中。如何构建安全的网络环境，确保企业经营、技术等信息的安全，成为信息化人员的头等大事。 　　二、企业信息化面临的问题 　　企业信息化建设通常以业务为主导，不重视信息安全问题，认为网络内部署了防火墙、划分了vlan、安装了杀毒软件、设置了登录密码、服务器做了磁盘阵列，就可以防止木马病毒、恶意入侵、窃取篡改数据、ddos等恶意攻击、数据不会丢失，且认为员工自律不会登录不良网站。正是企业这种淡漠的安全意识使黑客有了可乘之机，为信息安全埋下巨大隐患。近些年黑客技术不断提高，以情报、金钱等为目的APT攻击更加不择手段，信息安全面临越来越大的挑战，网络安全架构亟待提升。 　　三、解决办法 　　3.1信息安全管理 　　企业应建立信息安全管理组织，由最高领导人担任组长。在组长的带领下建立信息安全管理体系（ISMS），为信息安全管理提供依据。ISMS的规划与建立应遵循PDCA模型，即规划建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS。 　　信息安全管理体系一旦建立，应该计划、实施、维护和持续改进该体系，保持其有效性[1]。制定信息安全管理制度，要求员工严格遵守。持续对信息化人员进行培训，增强安全意识提高安全技术水平。定期对网络环境进行安全审计和风险评估，发现安全薄弱环节，及时采取改进措施。 　　3.2 技术措施 　　信息安全要求网络处于有效监控的状态下，确保网络与在网络中存储、传输的信息的安全。合理配置网络环境，提高安全事件发生的门槛来减少威胁。信息安全产品包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网闸、虚拟专用网设备（VPN）、综合日志审计平台、杀毒软件、数据备份系统等，这些安全产品分别在OSI网络模型的各个层面上针对性的实施。 　　防火墙通常架设在互联网和局域网界面上作为门禁，主要作用在数据链路层到传输层，合法用户可以进入内网在授权范围内进行操作，非法用户被拒之门外。防火墙的地址转换功能（NAT），解决了ipv4地址资源枯竭的问题，同时用户访问外网资源时起到隐藏地址的作用。 　　防火墙具有IPSec VPN功能，在吞吐量要求不高的情况下，启用IPSec协议来实现远程接入，实现在公网上架设专网的端对端的加密和验证服务，提高数据异地传输的安全性。但防火墙不能识别来自内网的攻击，一旦被突破也不再过问其在内网的任何操作，墙后需要增加能对内网起监视作用的设备。 　　IDS通畅作用在传输层到会话层，根据用户操作结合神经网络模型、专家知识库等进行综合分析，实时监控网络状态，发现攻击立即向防火墙、IPS等设备发出警报。 IDS按入侵检测技术可以分为基于标识的技术和基于异常的技术[1]。基于标识的技术的关键是维护入侵知识库，这种方式可以确定攻击类型，以进行针对性处理，但很难发现新型入侵事件；基于异常的技术，关键是如何精确定义“正常”值，优点是判别范围广，能发现新型攻击，但无法准确判断攻击手法，不易应对。 　　两种技术相结合可以达到更好的效果。IDS应挂接在内网中心位置，如果系统包含多个逻辑隔离子网，需要分布部署并统一管理。 　　IPS根据自身特征库发现网络异常情况，过滤有害数据流，丢弃有害数据包，辅助识别入侵和攻击。IPS布置在防火墙和内部网之间或其他网络边界，数据必须流经IPS才能进出内部网。 　　IPS接到报警或检测到攻击后，针对本次威胁级别采取告警、丢弃报文、切断会话、切断TCP连接等操作来应对攻击，保护内网安全。IDS和IPS相互协作提高了网络的抗入侵能力。 　　安全隔离网闸一般用于内外网数据交换频繁的网络，网闸采用专用通道技术，通过硬件通信卡、私有通信协议、签名机制、病毒查杀模块等安全配置实现数据的安全交换。专用高速通信卡保证了通信速度，私有通信协议使TCP、UDP等公网协议失效，与加密签名机制有机结合保证了内外处理单元间数据交换的机密性、完整性和可信性。网闸发现异常会立即切断连接、报警并记录，保护隔离子网的数据安全。 　　VPN工作在传输层到应用层，通过硬件或软件方式实现，用于解决员工异地安全访问总部应用系统的问题。VPN利用加密技术在公网上封装出一个私有