一、引言
伴隨著企業(yè)生產經營活動中對業(yè)務靈活性、成本控制、可伸縮性工作流程等需求的日益增多,以、經營管理聯(lián)網、移動辦公等業(yè)務模式出現(xiàn),數(shù)據(jù)交換從內部網絡延伸至企業(yè)間網絡、政府網絡和互聯(lián)網等,促使著企業(yè)必須加快信息網絡的建設步伐,同時,為了規(guī)范企業(yè)管理,從政府監(jiān)管部門到企業(yè)內部都從內部控制管理上對信息系統(tǒng)流程、應用、數(shù)據(jù)和基礎設施的完整性、安全性、準確性方面有嚴格的制度規(guī)范和管理要求。另一方面,信息網絡面臨的安全威脅也與日俱增,安全攻擊漸漸向有組織、有目的、規(guī)模化集團化利益化方向發(fā)展,網絡病毒、系統(tǒng)漏洞依然泛濫,建設一個適宜有效、安全穩(wěn)定、符合企業(yè)自身實際情況的信息網絡,建立健全一套符合安全管理規(guī)范月_具有可操作性的網絡安全防護體系,成為企業(yè)信息化建設中的重要內容。
二、企業(yè)網絡面臨的主要問題及威脅
(一)從系統(tǒng)技術層面來看,企業(yè)網絡面臨的主要威脅來自以下幾個方面:
1.網絡系統(tǒng)自身的脆弱性
大多數(shù)企業(yè)網絡都是基于TCP/IP協(xié)議建立的基礎網絡,眾所周知,TCP/IP作為開放的網絡協(xié)議,存在著大量的安全漏洞,基于它所提供的FTP, EMA11、RPC, NFS等服務均包含了諸多不安個因素,而往往這些服務又是企業(yè)經常用到的基礎服務。
2.操作系統(tǒng)的不安全性
大部分的信息系統(tǒng)產生安全問題的基本原因是操作系統(tǒng)的機構和機制不安全,由于PC機硬件結構的簡化,系統(tǒng)不分層執(zhí)行、內存無越界保護等導致了系統(tǒng)資源配置可以被篡改、惡意代碼被植入執(zhí)行、利用緩沖區(qū)溢出攻擊、特權用戶被非法接管等安全事故。
3.數(shù)據(jù)庫與應用程序的脆弱性
沒有數(shù)據(jù)庫技術支撐的企業(yè)信息系統(tǒng)是不可想象的,這也使得數(shù)據(jù)庫成為被攻擊的重點之一。原則上數(shù)據(jù)庫管理系統(tǒng)的安全性要與操作系統(tǒng)的安全性相配套,但在實際建設過程中卻經常被忽略從而導致數(shù)據(jù)庫系統(tǒng)的脆弱性。應用程序的BUG為攻擊者留下了大量的后門,使攻擊者可以輕而易舉地通過程序漏洞訪問、竊取、篡改數(shù)據(jù),破壞應用系統(tǒng)的正常運行。
(二)從建設及管理角度看,企業(yè)網絡面臨的主要威脅有:
1.主觀安全意識薄弱
就企業(yè)網絡建設現(xiàn)狀而言,不同程度地存在著“重技術,輕安全,重建設,輕管理”的問題,有限的資金大多投在基礎網絡和應用系統(tǒng)建設,忽視網絡安全建設及管理制度落實。
2.安全建設缺乏整體規(guī)劃和一致性
目前企業(yè)網絡中的安全建設普遍缺乏整體安全設計,最后逐漸成為安全產品的堆砌,各個產品之間缺乏有效的聯(lián)動,而且由于大量產品的堆砌不僅降低了網絡的運行效率,還增加了網絡復雜度,增加系統(tǒng)維護難度。
3.缺乏安全管理機制
安全和管理是分不開的,即便有好的安全設備和系統(tǒng),沒有一套好的安全管理方法并貫徹實施,值得注意的是,這里強調的不僅要有安全管理方法,而且還要貫徹實施,否則安全就是一句空話。
4.策略配置失當
在網絡中應用的操作系統(tǒng)提供了很好的安全機制保證安全的安裝配置、用戶和目錄權限設置及建立適當?shù)陌踩呗缘认到y(tǒng)安全處理加固。實際土企業(yè)網絡在安裝調試過程中對系統(tǒng)的安全策略上往往執(zhí)行最寬松的配置,但對于安全保密來說卻恰恰相反,要實現(xiàn)系統(tǒng)的安全必須遵循最小化原則。
三、企業(yè)網絡安全體系建設
(一)網絡安全技術體系架構
網絡安全體系架構是信息安全體系架構的一個子集,同時,網絡安全體系架構有其自身的特點。網絡安全體系架構可以分為網絡安全技術體系和網絡安全管理體系。如下圖所示:
其中,網絡安全管理體系可以納入信息安全管理體系之中,其重點在于組織架構的建設和流程的制定。網絡安全技術體系可以分二個層面來考慮,即架構安全、安全技術和配置安全。
1.架構安全(安全域劃分)
安全域是一個邏輯范圍或區(qū)域。同一安全域中的信息資產具有相同或相近的安全屬性,如安全級別、安全威脅、安全弱點、風險等。同一安全域內的系統(tǒng)相互信任。通過安全域的劃分,能夠將業(yè)務系統(tǒng)與安全技術有機結合,形成完整的防護體系。這樣既可以對同一安全域內的系統(tǒng)進行統(tǒng)一規(guī)范的保護,又可以限制系統(tǒng)風險在網內的任意擴散,從而有效控制安全事件和安全風險的傳播。
企業(yè)可采用兩級安全域的劃分辦法。下圖為安全域劃分的一般步驟。
2.網絡安全技術
根據(jù)安全功能需求對網絡安全技術進行歸類,形成1AARC框架,即身份識別及鑒權(I),訪問控制(A),審計和響應(A),冗余和恢復(R),內容安全(C)。遵循該框架的定義和原則,對網絡安全進行系統(tǒng)部署建設。
身份識別與鑒權:用戶的帳戶管理、用戶的認證、授權和審計,為網絡管理員提供安全的遠程和本地接入系統(tǒng)終端。
訪問控制:對互聯(lián)網絡、邊界網絡、企業(yè)間網絡通過路由器、防火墻、安全網關等設備隔離控制。
審計和響應:通過合理部署入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、日志分析系統(tǒng)等,記錄操作行為,分析漏洞分布情況,掌握日志記錄,定位系統(tǒng)故障和攻擊。
冗余和恢復:避免網絡出現(xiàn)意外而影響業(yè)務的正常運行,需要對企業(yè)網絡的關鍵部位進行冗余保護,包括網絡結構的冗余、關鍵網絡設備的冗余;網絡設備的關鍵部件的冗余等:安全設備的冗余等。
內容安全:建立企業(yè)防病毒系統(tǒng),貫徹實施企業(yè)防病毒管理機制,定期檢查服務器、終端病毒防范的遵循情況,如是否即時更新防病毒代碼和系統(tǒng)/應用的安全補丁等。
3.網絡設備安全配置規(guī)范
針對不同類型的網絡設備,遵循安全配置策略最小化原則進行安全配置,一般應包括一下內容:
口令配置與管理:口令長度,復雜度要求,加密要求等。
服務管理:關閉非必要服務及端口。
訪問控制和設備管理:設備登錄超時設置、SSH加密登錄、登錄訪問控制,AAA審計等。
攻擊防范:關閉IP directed brOAdcast、ICMP unreachables、ICMP redirects、proxy ARP等。
路由安全管理:使用路由協(xié)議認證,null0接口關閉IP unreachables等。
(二)網絡安全管理體系
網絡安全建設與管理工作“三分靠技術,七分靠管理氣建立有效的網絡安全組織機構是網絡安全管理的基礎。不健全的網絡安全管理機制是網絡安全最大的薄弱點和安全隱患。
1.完善安全組織機構
網絡安全是一個整體的系統(tǒng),總體的安全性取決于系統(tǒng)中最薄弱的一環(huán)。因此,需要對網絡安全進行統(tǒng)一的管理和控制。同時從執(zhí)行效果方面考慮,一些管理操作需要分布地、并行地進行。
2.完善角色和職責分配
企業(yè)網絡安全組織建議設置如下四種角色:網絡安全負責人、網絡安全控制員、網絡安全分析師和網絡安全管理員。
3.完善網絡安全管理和操作流程
為確保網絡處理設施的正確和安全使用,企業(yè)應建立所有網絡安全設施的管理與操作的流程和職責,包括指定操作細則和事件響應流程。企業(yè)應落實責任的分工,減少疏忽的風險和蓄意的系統(tǒng)濫用。
四、總結
本文從網絡安全體系建設及其原則進行了簡單論述。對企業(yè)網絡安全建設的解決方案進行了探討和總結。網絡安全管理任重道遠,網絡安全己成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質安全。加強網絡安全建設,確保網絡安全運行勢在必行。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/