近年来许多大中型企业十分重视信息网络建设的应用和开发,但对于信息网络安全的防护并没有得到足够重视。据有关调研机构的调查报告显示,有63%国内企业经常遭受病毒或蠕虫攻击,41%的企业曾受到恶意间谍软件或恶意软件的威胁。除了病毒和蠕虫攻击、黑客入侵、恶意攻击等“外部威胁”,企业信息网络还面临着员工信息安全意识淡薄,内部人员信息泄露等“内部威胁”。在外部、内部的双重考验下,垃圾邮件、企业机密泄露、网络资源滥用、病毒泛滥以及网络攻击等成为企业最为头疼的网络安全问题。
企业网络安全体系
大中型企业网络面临的严峻安全形势,迫使各企业意识到构建完备安全体系的重要性。随着网络攻击的多样化,只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击,这时还需注重操作系统、数据库、软硬件设备的安全性。完整的安全体系建设不仅要能有效抵御外网攻击,而且要能防范可能来自内部的安全泄密等威胁。企业必须采用多层次的安全系统架构才能保障企业网络安全,最终建立一套以内外兼防为特征的企业安全保障体系。典型企业信息网络安全管理体系拓扑结构如图所示。
企业信息网络安全体系是由物理安全、链路安全、网络安全、系统安全、信息安全五部分构成。
物理安全:主要是保护企业数据库服务器、应用服务器、网络设备、数据介质及其他物理实体设备的安全,并提供一个安全可靠的物理运行环境。
链路安全:数据链路层(第二协议层)的通信连接是安全问题中较为薄弱的环节。链路安全就是要保证网络链路传送的数据不被窃听和篡改。
网络安全:通过利用防火墙隔离内外网络,在不同区域进行访问控制,部署基于网络的身份认证及入侵检测系统、VPN、网络集中防病毒等手段实现网络设备自身的安全可靠。
系统安全:主要指数据库、操作系统的安全保护。保证应用系统的可靠性、完整性和高效性。
信息安全:主要通过数据加密、CA认证、授权等手段保证信息处理、传递、存储的保密性、完整性和可用性。
信息安全体系设计原则
企业安全设计应遵循四个原则:一是保密性原则,信息不能够泄露给非授权用户、实体及过程,或供其利用;二是完整性原则,信息在输入和传输的过程中,不能被非法授权修改和破坏,保证数据的一致性;三是可用性原则,保障授权用户在需要时可以获取信息并按要求使用;四是可控性原则,对信息的处理、传递、存储等具有控制能力。
信息安全就是要保障信息的机密性、完整性、可用性,就是要维护信息的真实性、可问责性、不可抵赖性、可靠性和合法性。
企业网络安全防范技术手段
目前企业信息网络布署的安全技术手段主要方式有八种。
第一,防火墙系统。防火墙系统作为企业网络安全系统必不可少的组成部分,用于防范来自外部internet非法用户对企业内部网络的主动威胁。主要功能包括访问控制、信息过滤、流量分析和监控、阻断非法数据传输等。若企业遭受外部攻击的频度和攻击流量非常严重,建议配置专用的防火墙。
第二,入侵检测系统。入侵检测系统(简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术,可以弥补防火墙相对静态防御的不足,通过对来自外部网和内部的各种行为的实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,并记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据。
