浅谈企业信息安全控制及建设

日期: 2010-11-08 作者:岳仍营 来源:TechTarget中国 英文

  在谈到企业信息安全建设时,人们首要想到问题的可能就是购买杀毒软件。在单机时代还可以这样考虑,随着计算机技术的迅速发展,在计算机上处理的业务也由基干单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断地提高。但在连接能力信息、流通能力提高的同时,基于信息安全的问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

  计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。现今,信息安全控制已经成为了一个系统工程,不是说装个杀毒软件就控制得了系统安全,在单机时代信息安全所面临的压力远小于如今,企业电脑应用有如下特点,数据交换量大,文件种类复杂,电脑性能差别大,操作系统平台单一。现今病毒特点是,种类众多,更新速度快,破坏力强。事实上,除了杀毒软件,还有许许多多的安全软件值得企业用户投资。IDC曾在一份报告中指出,在未来几年内,安全软件这一领域的增长将为安全管理、访问授权、识别技术、安全内容管理、加密技术、防火墙/VPN技术、入侵检测,以及风险管理等几个产品领域分享。安全管理、访问授权、识别技术三种软件简称3A软件,用于保护计算机系统安全及企业网络应用的过程中的安全防范;安全内容管理软件用于扫描电子邮件、在线下载文件,管理Web内容安全;加密软件保护企业的重要信息不被盗窃、泄密;防火墙NPN技术是通过识别威胁与附截通道以保护数据及应用;入侵检测产品主要用于及时监控并发现网络进出流量的异常与攻击行为点,实施主动防御;风险管理软件用于进行漏洞扫描和风险评估。

  国内企业不仅对安全软件繁多的种类知之甚少,就连在杀毒软件的使用上也存在着问题。赛迪网做过一项调查,发现在被调查的近千家企业中,约有80%以上的中小企业把单机版杀毒软件当作网络版使用,这些企业网络安全防范意识非常混乱,大部分联网计算机被病毒入侵过,网络服务器更是因频频遭病毒袭击而带来重大经济损失。单机版杀毒软件在功能和适用范围上与网络版杀毒软件存在着较大差异,企业用户不能为了节约成本而用单机版杀毒软件代替网络版。有报道指出,我国企业在信息安全方面的投入(主要是安全软件产品)相当有限,在国外,安全投入通常占到企业基础投入的5-20%,而在国内却很少有企业超过2%。

  追根溯源,我国企业的信息安全意识普遍较差,主要是因为企业领导不重视。在激烈的市场竟争中,企业领导通常把主要精力集中在产品的生产、宣传、销售上,对信息安全建设这类看不到效益的后台项目往往不理不问,更不愿意多花钱,他们也许知道有必要购买杀毒软件,但要再添加其它安全产品,恐怕就难以赞同了。他们忘了,倘若企业机密信息泄露,造成的损失将不可估量,而如果竞争对手在自家电脑里装了木马程序,那么自己的一举一动都会为他人掌握,在市场竞争中败北在所难免。

  企业信息安全的建设在现今状态下,应注意从如下几个方向进行设计分析。

  一、引入标准化安全评估

  安全评估是对企事业单位的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、业务系统的配置、防火墙的策略配置等进行全面的安全分析,并提出安全风险分析报告和改进建议书。通过对信息系统的安全评估,企事业单位可以了解门前信息系统的安全状况以及系统中存在的各种安全风险,并以此为依据有针对性地制定安全解决方案,对整个业务系统的安全进行统一的规划和建设,并根据安全评估的结果指导下一步的建设。

  安全评估中可以参考的主要信息安全标准为ISO13335。该标准提出了以风险为核心的安全模型:企事业单位的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企事业单位资产的暴露;资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响;风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定;对企事业单位信息系统安全风险的分析就得出了系统的防护需求;根据防护需求的不同制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。该安全模型阐述了安全评估的思路,对企事业单位的安全评估工作具有指导意义。

  二、引入信息安全策略标准

  信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

  先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

  严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

  制订严格的法律、法规。计算机网络是一种新生事物,它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

  安全操作系统。给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

  三、对适合企业的安全产品进行选择

  目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

  防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访间,防止内部对外部的不安全技术。主要技术有:包过滤技术,应用网关技术,代理服务技术防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。

  安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

  虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

  安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密间题,其实现功能包括对局域网资源的管理和控制对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

  电子签证机构——CA和PKI产品:电子签证机构(CA)作为通信的第共方,为各种服务提供可信任的认证服务CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

  用户认证产品:由于IC技术的日益成熟和完善,IC卡被更为广泛地用于用户认证产品中,用来存储用户的个人私钥,并与其它技术如动态日令相结合,对用户身份进行有效的识别。同时,还可利用IC卡上的个人私钥与数字签名技术结合,实现数字签名机制。随着模式识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,并与数字签名等现有技术结合,必将使得对于用户身份的认证和识别更趋完善。

  安全管理中心:由于网上的安全产品较多且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥。监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

  入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制、身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

  入侵防御系统(IPS):入侵防御、入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

  安全数据库:由于大量的信息存储在计算机数据库内有此信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

  安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

  DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全而前人人平等,从根源解决信息泄密。

  四、选择造合企业的信息安全综合解决方案,构建适合本企业的安全信息平台

  安全软件产品经过多年来的发展,已经从孤立的防护产品上升到了综合解决方案。企业应当意识到,信息安全建设必须考虑到整个网络中每个可能出现的漏洞综合杀毒软件、防火墙、入侵检测软件、安全漏洞扫描工具等产品。对服务器、网关、客户端以及其它设备实行全方位保护,以构建全面可靠的信息安全屏障。企业应当选择产品质量过硬、服务完善的安全厂商进行长期合作,这样在自己的系统出现安全漏洞时能够得到对方的帮助以迅速弥补,而每一次重大病毒出现前,也可能因为对方的及时预警而减少不必要的损失。国内的企业应当意识到信息安全的重要性,根据自身的实际情况,增加在安全软件产品方面的投入,而不能指望购买一套杀毒软件后就能一了百了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 如何进行企业信息安全目标管理设定

    负责信息安全的管理层对信息安全目标的要求,决定了企业的信息安全工作的走向;而信息部门对信息系统的设置和维护情况决定了企业能否达到信息安全管理的目标……

  • 裁员后的企业如何保障自身信息安全

    当前经济危机日益严峻,许多公司通过裁员降低企业成本。作为商业模式的一个方面,如果对员工离职过程处理不谨慎的话,可能在安全方面带来不可预料的严重后果。

  • CIO如何面对企业信息安全架构与IT治理问题

    如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。