摘要:本文針對企業資訊系統安全性作了分析,提出資訊系統安全實施方案,建立防病毒、防火牆、系統保護以及入侵檢測的多級多方位的安全防禦系統,以達到保護資訊系統安全執行的目的,保證網路上執行的資料安全、資訊完整,防範各種安全風險。
0 引言
隨著資訊科技的飛速發展,為了更好地適應資訊化建設的要求,提高企業競爭能力和工作效益,企業利用先進的資訊科技建立網路資訊系統,提高辦公自動化水平,提高巨集觀決策水平,提高資訊共享水平和管理水平,以滿足企業的需要。但是多個部門、多個企業和個人使用資訊系統工作,必然存在許多不安全因素,企業的資訊系統給企業帶來巨大效益的同時存在著多方面的安全風險,例如:資訊洩露、計算機病毒、非法訪問系統等,給企業造成一定的損失。因此,人們逐漸改變不重視資訊系統安全性的看法,在建立企業資訊系統的同時,建立企業資訊系統的安全系統,以達到保護資訊系統安全執行,確保資訊的完整性和可靠性,保護合法使用者的利益和隱私,保證重要檔案和個人資訊以數位化形式安全儲存、處理、傳輸。
1 系統安全分析
我單位的資訊系統是基於web的分布式共享資訊系統,總公司與分公司分別建立網路資訊系統,各單位通過遠端寬頻傳輸連線,企業、個人資訊以數位化形式被儲存、處理,數位化資訊以多種形式在網路上迅速便捷地傳輸,充分利用高技術來實現辦公自動化。鑑於此,網路與資訊系統的安全直接關係到企業的正常運轉。通過對企業資訊系統的安全風險分析,認為存在作業系統的安全風險、系統操作管理和資訊系統的安全風險、重要部門資訊的安全風險、資訊傳輸的安全風險等幾項安全風險。為保證企業網路系統正常執行,保證企業的重要資料的安全,企業必須建立可管理的、可靠的、穩定安全的系統,當癱瘓時,能迅速、及時地恢復。
2 系統安全對策及具體措施
2.1 系統安全的總體設計
在保護企業系統安全時,協調好風險、投資和功能三者之間的關係是很重要的,對網路中的每一部分都建立安全性高的系統是不現實的,因此在建立企業網路安全系統時需要考慮以下幾個因素:
(1)減少風險,減少企業系統被攻擊或侵害的風險,但不能消除風險。
(2)系統安全的建立可能會使資訊系統的靈活性和功能性方面降低,使用者和管理人員
需要逐漸適應新的安全的系統和管理規程。
(3)企業資訊系統和企業安全系統應當隔離不同的機器,以降低風險提高易維護性,更
好地監視系統的安全。
(4)對企業安全系統做好文件記錄、系統測試和監視工作。
(5)做好系統的備份和恢復工作,當系統遭到破壞時能及時恢復系統到正常狀態,為企業挽回不必要的損失。
針對企業系統安全風險的分析和企業實際情況,改變過去只防病毒的做法,制定了防病毒軟體、防火牆以及入侵檢測相結合的多方位多級統一的防禦體系,重要資料計算機不連線網路,客戶機採用物理隔離卡分別連線不同網路,對需要保護的客戶機定時更換密碼,採用唯一無關聯的密碼策略。防病毒軟體採用瑞星網路版防毒軟體,防火牆採用microsoft 的isa server 2000軟體,同時還採用microsoft 的vpn虛擬專網模擬專用連線對資料做可靠加密,對windows 2000作業系統採用主機加固系統保護系統安全,利用windows2000附帶的程式建立系統的備份和恢復系統,定期、及時對系統資料作備份。由於企業採用分布式資訊系統,攻擊者可控制多台master主機對系統進行攻擊,因此對每一子系統分別採用安全模組,總公司系統和分公司系統分別建立安全體系模組,全網監控統一管理,當一台master主機遭到攻擊,立即切斷與其他系統的聯絡,防止攻擊蔓延以至系統癱瘓。
2.2 isa server企業防火牆系統
2.3 vpn虛擬專網
企業資訊系統的網路使用者可能誇地域和不同的網路系統,企業的安全系統應保證使用者即能遠端訪問系統,又要保持連線的安全。windows 2000 虛擬專網(vpn)通過借助不安全的網路來提供對企業網路資源的安全訪問,取得了較好的效果。vpn 是虛擬的,它不是乙個物理網路,同時又是專用的,可以防止未授權使用者的訪問,它比撥號解決方案不僅連線速度快,而且花費低。vpn的體系結構見圖3。虛擬專用網路是通過在 internet 或另外的公用網路上"建立隧道"來實現的,可提供與專用網路相同的安全性和功能。有了 vpn,通過公用網路的連線可以使用 internet 的路由架構傳輸資料,而對使用者來說,資料好像是通過乙個專門的專用鏈路傳送的。[3]windows 2000 vpn主要使用兩種網路協議:第二層隧道協議(l2tp)和點對點隧道協議(pptp)。l2tp具有更好地靈活性,可以封裝ppp幀在網路上傳輸。l2tp通過ipsec來保證安全性,具有認證和加密功能。pptp 通過為每個遠端客戶建立虛擬網路,直接連線到目標伺服器。pptp使用ip資料報在internet的隧道終結點之間路由ppp資料幀,對隧道終結點之間的資料進行加密,在資料離開隧道後,便不再被保護,並且將以其原始格式在網路上傳輸。如果希望從伺服器到客戶機都進行加密,則可以在客戶端和伺服器端同時使用ipsec。ipsec資料流以pptp資料報形式在客戶機和伺服器之間封裝傳輸。vpn 使用了高技術如:封裝,認證,資料加密,內部位址和名稱的綜合。 windows 2000 vpn提供了高效安全地配置管理策略,允許網路管理員更靈活的設定遠端訪問許可權和連線。網路安全系統採用isa server 2000防火牆,則isa 伺服器可以被配置為l2tp隧道的終結點,同時利用isa伺服器和l2tp所具有的安全性優點。
2.4 windows 2000系統的安全性
2.5資料備份和恢復
資料備份和恢復對整個企業資訊系統是非常重要的。企業制定有效的備份恢復策略,在日常備份資料,當遇到災難時恢復資料。在制定備份恢復策略時需要考慮系統的軟體和硬體,盡量備份關鍵資料,把備份資料儲存在不同的目錄中。備份的資料儲存在與主伺服器相同或相似的機器上,並定期把資料儲存在可移動儲存裝置上,使用相同或相似的硬體裝置,可以使資料很容易地恢復到原來的系統上。備份恢復使用的軟體是windows 2000的內建工具backup operator,該工具可對需要備份的檔案和目錄設定使用者許可權,定置備份恢復的目錄和檔案。backup operator具有強大的管理功能,例如為減少資料的冗餘性,備份時可選擇差分或增量備份,定置備份的時間可自動備份資料,自動排除一些不需備份的資料,備份日誌可記錄備份恢復情況。
3 結束語
企業網路安全系統的建立,有效地保護了企業資訊系統的安全,防止資訊被網路外部和內部非法的攻擊,保證了資訊系統上執行資料的完整性、可靠性、穩定性,保證了資料傳輸的安全性、快捷性。企業資訊系統的真正安全需要管理人員、使用者等多方面地共同努力才能達到,只要管理人員和使用者採用先進的技術,制定切實可行地管理制度,預防勝於補救,一定能保證企業資訊系統的安全。
企業網路安全新時代的應對策略
資訊科技的步伐正在挑戰傳統觀念 到底it是什麼?如今這個時代資訊保安是什麼概念?舉例來說,新的資料中心技術,如虛擬化 軟體定義網路 sdn 面向服務的交付模型 以及雲計算等都已從根本上改變了典型的it基礎設施,即從一組被企業控制和定義的資產,變成了能夠在it部門之間不斷往返波動的資源。這些改變的發生...
企業網路安全策略
調查表明 網路安全的威脅80 來自網路內部。其原因是 網路使用者不及時公升級系統補丁 公升級病毒庫的現象普遍存在,私設 伺服器 私自訪問外部網路 使用系統管理員禁止使用的軟體等行為在企業網路內部比比皆是。但就目前來說,解決企業網路安全問題仍是乙個比較棘手的事情,因為它涉及面特廣了,必須系統 全面地綜...
如何建設企業網路安全體系
隨著網路的泛化和無邊界化,網路安全問題會越來越嚴峻。單就惡意 一項,就呈現出 增長的趨勢。目前全球已經有 50億惡意樣本,每天還將以300萬種的速度產生。如果把惡意 問題看作天災的話,那麼現代網路同時還面臨著 人禍 稜鏡門 事件揭露了網路資料被監聽的事實,暴露出 網路安全角勢嚴峻。無論資料被惡意 破...