信息與網絡安全體系整體安全模型:網絡與信息安全是一個以全面安全策略為核心不斷循環的動態閉環。參考國內外各種模型,結合我校實際情況,提出如下模型(圖1)。
1、信息與網絡安全策略
安全策略是一套既定的規則,信息安全所有行為必須遵循此套規則,其制定必須緊密結合用戶信息系統的功能和運作以及信息管理策略,具體來說必須遵循以下五個原則:需求、風險和代價三者平衡原則;綜合性、整體性和一致性原則:易操作性原則:適應性和靈活性原則:多重保護原則。
制定好的安全策略必須先進行詳細的資產調查、威脅評估、風險評估,再根據評估結論,制定符合適合本單位安全策略。因為安全策略的核心地位,所以必須在整個安全體系運轉時動態調整,以期更準確、更安全。
信息與網絡安全策略制定后。網絡與信息安全專責(策略的制定者)、計算機信息運行專責(執行者)和業務使用者(最終用戶)在系統運行過程中要各司其職,分工協作,確保整個安全策略有效實施。
2、安全保護
2.1身份認證系統當前常用的“用戶名+口令”的身份認證方式,安全性非常弱,用戶名和口令易被竊取。建議采用動態密碼系統,其由用戶端的密碼令牌和應用系統端的認證服務器組成。用戶登錄應用系統時,依據安全算法,認證系統會在密碼令牌的專用芯片和認證服務器上同時生成動態密碼,若雙方密碼相同,則為合法用戶,否則為非法用戶。用戶登錄前,只要根據令牌上顯示的當前動態密碼,再加上一個個人識別碼登錄即可。每個認證令牌擁有特定的鍵值,正是基于這一種子和某一功能強大的隨機運算法則,在每分鐘都會生成一個唯一與該身份認證令牌對應的新密碼:在用戶與認證值組合中,只有服務器能夠分辨該時刻哪一個密碼合法。
2.2加密(數據加密與通信加密)虛擬專用網(Virtual Private Network,VPN)運用于:本校與縣級電大之間的Intranet VPN;校信息網與遠程(移動)人員之間的遠程訪問(Remote Access)VPN;VPN是集合了數字加密驗證和授權來保護經過INTERNET的信息的技術。它可以在遠程用戶和本信息系統網絡之間建立一個安全管道。
2.3備份與容災對于一些關鍵部門,比如教務系統的數據中心,只有本地數據備份是遠遠不夠的。這些關鍵業務對數據的可用性要求極高,數據的丟失或損壞都會造成無法彌補的損失;當數據中心被突發因素破壞時,比如火災、地震、爆炸,要求在遠程有數據的備份并能在短時間內恢復業務的運行。這就是容災解決方案要解決的問題。
災難備份是為在數據生產中心現場整體發生癱瘓故障時,備份中心以適當方式接管工作,從而保證業務連續性的一種解決方案。目前使用基于網絡的容災方案。
通過在存儲交換網絡中接入虛擬化存儲管理平臺進行存儲設備之間的數據復制它的優點是:①支持異構存儲系統;②不消耗主機資源:③支持任意數量的主機;④減少管理成本;⑤可以基于IP或者FC鏈路。
2.4邊界防護必須建立以防火墻為核心的邊界防護體系。防火墻是保護網絡安全最主要的手段之一,它是設置在被保護網絡與外部網絡之間的一道屏障,以防止不可預測的、潛在破壞的非法入侵。它通過監測、限制、修改跨越防火墻的數據流,盡可能地對外屏蔽網絡內部地結構、信息和運行情況,以此來實現內部網絡地安全保護。
但在邊界處只部屬防火墻,無法阻止來自正常開放端口的病毒、木馬、蠕蟲、間諜軟件、黑客攻擊等惡意的網站威脅和基于內容的威脅。應在邊界處(特別在Internet邊界)部屬類似于Secure Web Gateway(SWG)的郵件、WEB網關設備及IPS等設備。
我校信息網絡現在與省校之間采用防火墻進行安全隔離,按照最小化原則開放最少的端口:切斷原先與舊校區的物理連接;在Internet邊界處安裝郵件網關,對郵件病毒進行有效清除。并規定所有外網與校信息網的的業務接入,必須報批信息中心,并在連接邊界安裝符合相關規定的防火墻,才能投入使用。
2.5防病毒病毒防范子系統主要包括計算機病毒預警技術、已知與未知病毒識別技術、病毒動態濾殺技術等。能同時從網絡體系的安全性、網絡協議的安全性、操作系統的安全性等多個方面利用病毒免疫機理。加強對計算機病毒的識別、預警以及防治能力,形成基于網絡的病毒防治體系。
網絡病毒發現及惡意代碼過濾技術能對疫情情況進行統計分析,能主動對lNTERNET中的網站進行病毒和病毒源代碼檢測;可利用靜態的特征代碼技術和動態行為特征綜合判定未知病毒。
2.6用戶桌面安全保證終端節點安全是整個安全體系中最基礎、最易被忽視的一環。為此必須做到以下幾點:資產管理、桌面防病毒與反間諜軟件、桌面補丁管理、違規外聯自動阻斷、桌面主機防火墻、主機入侵防護,接入強制認證等功能。
3、監測與應急響應與事故恢復
安全監控和審計在信息安全防范體系中是重要環節,在這一環節中要注意以下兩個方面。
3.1入侵檢測系統:它是防火墻的合理補充,應部署在所有網絡邊界處和重要網段入口處。它幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從網絡系統中的若干關鍵點收集信息,并分析是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測子系統被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
3.2應急響應與事故恢復:在發現入侵行為后,要及時切斷入侵、抵抗攻擊者的進一步破壞行動,作出及時準確的響應。使用實時響應阻斷系統、攻擊源跟蹤系統、取證系統和必要的反擊系統來確保響應的準確、有效和及時,預防同類事件的再發生并為捕獲攻擊者提供可能,為抵抗黑客入侵提供有效的保障。恢復是防范體系的又一個環節,無論防范多嚴密,都很難確保萬無一失,使用完善備份與容災機制,將損失降至最低。
4、系統漏洞檢測與安全評估軟件
系統漏洞檢測可以探測網絡上每臺主機乃至路由器的各種漏洞:安全評估軟件從系統內部掃描安全漏洞和隱患。安全評估軟件還主要涉及到網絡安全檢測,其主要是系統提供的網絡應用和服務及相關的協議分析和檢測。
系統漏洞檢測與安全評估軟件完成的任務:
- 對網絡的拓撲結構和環境的變化必須進行定期的分析,并且及時調整安全策略;
- 定期分析有關網絡設備的安全性,檢查配置文件和日志文件;
- 定期分析操作系統和應用軟件,一旦發現安全漏洞,應該及時修補;
- 檢測的方法主要采用安全掃描工具,測試網絡系統是否具有安全漏洞和是否可以抗擊有關攻擊,從而判定系統的安全風險。
5、安全信息管理與安全加固
5.1信息安全工作重在管理安全管理工作涉及:安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等等,其中,安全策略管理是首要工作。
5.2安全加固除了根據安全評估結果增加必要的投入外,必須對現有的安全設施與系統進行加固。用戶桌面系統,操作系統,數據庫系統,應用系統。網絡設備,安全設備與系統必然存在各式的漏洞,應及時不斷跟蹤各類產品產家的漏洞發布,及時發現潛在的威脅。并進行漏洞修補,它將幫助保護您的計算機免受惡意攻擊。如微軟操作系統的Microsoft Update會在計算機運行并連接至Internet時自動下載并安裝最新的Windows安全更新。
總之,網絡與信息安全體系是一個有機、動態的整體,要建立相對完善的網絡與信息安全體系,必須做到:體系整體動態地循環,根據不斷變化的軟、硬件環境,各個組成部分有機地交互,不斷地調整,不斷提高本身的自適應性,以適應新的應用環境。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:信息與網絡安全體系模型探討
相關文章
