信息化网络安全管理设计方案.--设计方案.docVIP

信息化网络安全管理设计方案 随着信息技术的发展和人们的工作生活对信息网络系统的依赖性的增强， 安全威胁的增加、 安全事件的频繁出现， 社会各界对安全问题日渐重视起来。 信息与网络系统的建设重点已经转移到安全系统的建设上来。 在过去的几年中， 人们把安全系统的建设目光集中到防火墙系统、 防病毒系统、入侵检测系统和漏洞扫描系统等几个系统上面，随着这些系统的建设成功，政府、金融、电信和其他企业的网络系统的安全性得到了一定的提升和增强。 但是，应该注意的是， 国内不少单位虽然花了大量的金钱买了很多安全产品， 配置了复杂的安全设备， 在一定程度上提升了网络安全的性能， 但是同时又出现了不少新的问题。 许多单位将出现的问题都归咎于信息部门人员， 不但不公平，同时也无法真正解决问题。 信息部门多样而繁杂的工作， 以及有限的人力， 使得信息安全管理的工作，成为其沉重而无法独力承担的责任。 信息安全不是纯粹的技术问题， 是技术、策略和管理的综合。而重点在于管理，唯有完善的管理，才能降低安全风险，避免不必要的损失。 为了做好安全管理， 首先要 提升单位的整体安全意识 , 要高度重视信息安全管理， 切实加强领导， 以高度的责任感进一步推进信息化建设和信息安全管理。 近年来信息泄漏事件往往不被人们所关注， 没有引起我们的主管领导、 技术人员足够的重视和关注。 安全事件造成的经济损失最大的， 最主要的是内部人员有意或无意的信息泄漏所造成的经济损失 , 带来的影响是不可挽回的，甚至是灾难性的；因黑客攻击造成的损失往往并不严重，是有限的，是可恢复和弥补的；从防范措施来看， 针对外部黑客攻击的防范措施、 解决方案、技术和产品已经有很多，甚至很成熟，而针对内部员工的失泄密行为，目前没有成熟的、全面的解决方案。特别是党政、 金融机构等部门的领导都在埋怨没有成熟的技术方法手段解决日益增长的内部员工的有意识或无意识的失泄密事件的发生。 目前大多数机构针对内部职工的失泄密行为所采取的措施大致有： 禁止网络联接， 禁止自己的员工上网， 或严禁涉密或涉及核心技术、 专利的计算机上网； 禁止可移动存储器使用，禁止员工使用移动存储设备，如：软盘、光盘、闪存存储设备（ USB盘， USB硬盘）等； 贴封条，定期检查，在一些外设接口上贴上封条，并定期检查。 如此等等的这些方法和措施， 都是人为的控制、 监督管理的方法， 目的就是为了堵住可能是泄密的途径和漏洞。 这些方法都无法从本质上解决内部员工失泄密的问题。 同时，这些方法和措施存在很多问题和风险： 首先，这些被动的解决方案的作用的发挥程度， 依靠内部人员的责任心、 良心和自觉性，无法使员工充分发挥主观能动性，自觉地杜绝失、泄密行为； 其次，这些解决方案是强制的安全管理方法， 不易已被员工所接受， 可能会带来员工的逆反心理，有意识的制造失泄密事件； 再次，这些解决方案本身还不完善， 还存在诸多隐患， 无法全面阻止员工的失泄密行为，无法防止失泄密事件的发生； 最后，这些解决方案给实际工作带来的很多不便， 致使员工的工作效率下降，得不偿失。 为了能切实有效的进行管理， 并杜绝网络泄密事件的发生， 提出如下一些网络安全的解决方案。 一、在技术上1、通过安装防火墙，实现下列的安全目标： 1) 利用防火墙将 Internet 外部网络、 DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信； 利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全； 利用防火墙对来自外网的服务请求进行控制， 使非法访问在到达主机前被 拒绝； 利用防火墙使用 IP 与 MAC地址绑定功能，加强终端用户的访问认证，同 时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内； 利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作； 利用防火墙及服务器上的审计记录， 形成一个完善的审计体系， 建立第二条防线； 根据需要设置流量控制规则， 实现网络流量控制， 并设置基于时间段的访问控制。 2、网络内的权限控制 通过目录服务等操作系统存在的服务队对主机内的资源进行权限访问的控 制，可将具体的安全控制到文件级。 通过对网络作安全的划分控制、 如通过设置 vlan 等，对整个网络进行权限控制。 3. 入侵检测系统技术通过使用入侵检测系统，我们可以做到： 对网络边界点的数据进行检测，防止黑客的入侵； 对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改； 监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作； 对用户的非正常活动进行统计分析，发现入侵行为的规律； 5) 实时对检测到的入侵行为进行报警、阻断，能够与防火墙 / 系统联动； 6) 对关键正常事件及异常行为记录日志，进行审计跟踪管理。 通过使用入侵检测系统可以容易