案例分析之可控并可信”的企業(yè)內(nèi)網(wǎng)

筆者供職于一家網(wǎng)絡公司，我們的業(yè)務主要是為一些中小型企事
業(yè)單位承建網(wǎng)絡并提供技術(shù)支持。在實施網(wǎng)絡工程的過程中，筆
者發(fā)現(xiàn)這些企事業(yè)單位往往非常重視網(wǎng)絡的性能而對于安全卻很
漠然。本文將和大家一起探討打造“可控并可信”的企業(yè)內(nèi)部網(wǎng)
絡的重要性，以及分享一個網(wǎng)絡安全管理系統(tǒng)規(guī)劃與設計的案
例。希望本文能夠幫助到你。
1、網(wǎng)管人員面臨嚴峻的信息安全挑戰(zhàn)
隨著信息化在企事業(yè)單位的不斷普及和深化, 信息安全問題特別
是內(nèi)部網(wǎng)絡安全問題日益突出。對于迅速發(fā)展的企事業(yè)單位而言,
日益復雜的內(nèi)部網(wǎng)絡和分散的、數(shù)目眾多的各類主機、網(wǎng)絡設備
等都對網(wǎng)絡運行維護提出了嚴峻挑戰(zhàn)。病毒傳播、設備非法接入
和桌面違規(guī)操作等內(nèi)部網(wǎng)絡安全問題也對網(wǎng)絡管理人員和信息安全管理手段提出了更高要求。
2、傳統(tǒng)的網(wǎng)絡運行存在管理盲區(qū)
傳統(tǒng)的網(wǎng)絡安全產(chǎn)品, 如防火墻、隔離裝置、入侵檢測、防垃圾郵件及VPN 等, 主要解決網(wǎng)絡邊界的安全
問題, 即只解決了來自外網(wǎng)的威脅和內(nèi)外網(wǎng)之間的通信安全問題。而在內(nèi)部網(wǎng)絡安全問題上, 給企事業(yè)單
位造成重大損失的主要原因是來自內(nèi)部網(wǎng)絡的非法接入、用戶有意識或無意識造成的終端違規(guī)操作行為。
因此, 內(nèi)部網(wǎng)絡的運行存在一個很大的安全管理盲區(qū)。
3、主動出擊，制定一套“可控”的信息安全解決方案刻不容緩
“外網(wǎng)是危險的, 內(nèi)部網(wǎng)絡是可信任的。”這種目前被廣泛認同的看法, 無論是在意識上還是在產(chǎn)品設計
上都會被否定。內(nèi)部網(wǎng)絡安全已到了不可不防的地步, 而安全維護不應僅僅停留于“堵”“殺” “防”,
局部的、簡單的、被動的防護手段不足以應對內(nèi)部網(wǎng)絡安全管理中的諸多問題。安全形勢要求網(wǎng)絡管理人
員必須積極主動地應對來自內(nèi)部網(wǎng)絡安全等方面的挑戰(zhàn), 同時制訂出一套完整的“可控并可信”的內(nèi)部網(wǎng)
絡安全解決方案。
4、網(wǎng)絡安全管理系統(tǒng)規(guī)劃與設計案例
設計目標
(1)、遵循BS 799網(wǎng)絡安全管理標準, 將信息安全策略和企業(yè)發(fā)展方向統(tǒng)一起來, 通過保證信息的機密性、
完整性和可用性來管理和保護企業(yè)的所有信息資產(chǎn)。按照這套標準管理信息安全, 可持續(xù)提高管理的有效
性, 不斷提高自身的信息安全管理水平, 最終達到保障企業(yè)特定安全的目標。
(2)、構(gòu)建覆蓋內(nèi)部網(wǎng)絡安全管理系統(tǒng), 保障其內(nèi)部網(wǎng)絡的接入安全、終端安全、服務器安全和應用系統(tǒng)安
全。
(3)、系統(tǒng)采用最新的高科技成果, 使其在信息安全管理領(lǐng)域具有較高的水平。
(4)、系統(tǒng)擴充方便, 操作維護簡單, 能適應業(yè)務的快速變化。
設計原則
(1)、堅持安全性原則。使用的信息安全產(chǎn)品和技術(shù)方案在設計和實現(xiàn)的全過程中有具體的措施來充分保證
其安全性。
(2)、堅持可靠性原則。對項目實施過程實現(xiàn)嚴格的技術(shù)管理和設備的完整配置, 保證產(chǎn)品的質(zhì)量和可靠
性。
(3)、堅持先進性原則。具體技術(shù)方案應保證整個系統(tǒng)具有技術(shù)領(lǐng)先性和持續(xù)發(fā)展性。
(4)、堅持可推廣性原則。方案及其采用的技術(shù)應該支持系統(tǒng)規(guī)模的擴大和網(wǎng)點數(shù)量的增加, 易于廣泛推
廣。
(5)、堅持可擴展性。IT 技術(shù)的發(fā)展和變化非常迅速, 方案采用的技術(shù)具有良好的可擴展性, 充分保護當
前的投資和利益。
(6)、堅持兼容性原則。系統(tǒng)的標準化程度很高,可以做到各應用系統(tǒng)間的完全兼容, 同時也可根據(jù)特殊的
要求給出不兼容的設計。
(7)、堅持可管理性原則。所有安全系統(tǒng)都應具備在線式的安全監(jiān)控和管理模式。
內(nèi)部網(wǎng)絡安全管理系統(tǒng)的安全策略與功能
安全系統(tǒng)設計是一個綜合的系統(tǒng)工程, 網(wǎng)絡的安全設計需要考慮到所有軟硬件產(chǎn)品環(huán)節(jié)。網(wǎng)絡的總體安全
往往取決于所有環(huán)節(jié)中的最薄弱環(huán)節(jié), 如果有一個環(huán)節(jié)出了問題, 網(wǎng)絡的總體安全就得不到保障, 這是系
統(tǒng)的“木桶效應”所致。
(1)、系統(tǒng)的安全策略
根據(jù)系統(tǒng)網(wǎng)絡的實際情況, 我們把信息系統(tǒng)安全層次由低到高劃分為物理層、網(wǎng)絡層、系統(tǒng)層、應用層及
管理層5 個層次, 每一層都要制訂相應的安全策略。
(2)、安全管理系統(tǒng)功能
接入安全管理子系統(tǒng)的功能是對網(wǎng)內(nèi)計算機等設備的IP 地址信息實時掃描和比對, 如發(fā)現(xiàn)非法接入的計算
機, 應及時采取手段將不法信息隔離在網(wǎng)絡之外。
客戶端安全管理子系統(tǒng)的功能是對網(wǎng)內(nèi)各專用微機的信息進行收集、管理、監(jiān)視和控制。
該子系統(tǒng)劃分為資產(chǎn)信息管理、客戶端監(jiān)控、補丁管理、文件審計以及打印控制5 個功能模塊。這5 個功
能模塊的具體功能為:
第一、資產(chǎn)信息管理模塊具有對用戶信息登記注冊管理、計算機硬件信息管理、計算機系統(tǒng)信息管理、計
算機軟件信息管理、查詢及報表統(tǒng)計等功能;
第二、客戶端監(jiān)控模塊具有外圍設備控制、進程監(jiān)控、遠程計算機屏幕截取、非法外聯(lián)監(jiān)控等功能;
第三、補丁管理模塊是通過內(nèi)部網(wǎng)絡服務器提供一個集中的補丁分發(fā)點, 在網(wǎng)內(nèi)計算機上實現(xiàn)系統(tǒng)補丁的
更新管理;
第四、文件審計模塊主要記錄從本機拷貝文件到移動存儲設備或網(wǎng)絡共享目錄的操作;
第五、打印控制模塊記錄完整的打印日志, 實現(xiàn)對打印資源的有效管理控制, 降低打印成本, 保障企業(yè)信
息安全。
(3)、服務器管理子系統(tǒng)的功能是對內(nèi)部網(wǎng)絡重要服務器運行狀況的監(jiān)視和對指定網(wǎng)段或計算機端口開放狀
況進行掃描, 發(fā)現(xiàn)異常及時報警。
(4)、身份認證與權(quán)限管理子系統(tǒng)的功能是提供企業(yè)門戶整合功能, 實現(xiàn)單點登錄, 提供對應用系統(tǒng)用戶的
統(tǒng)一身份認證功能, 提供對應用系統(tǒng)的統(tǒng)一權(quán)限功能, 實現(xiàn)對Web 應用的資源訪問控制。
(5)、系統(tǒng)管理子系統(tǒng)的功能是對安全管理及監(jiān)控系統(tǒng)進行自身的管理和配置。該子系統(tǒng)劃分為用戶管理模
塊、報警與日志管理模塊和系統(tǒng)配置模塊。
用戶管理模塊負責用戶的創(chuàng)建和刪除、用戶個人信息管理、組織機構(gòu)管理、用戶群組管理和組織機構(gòu)授權(quán)
管理; 報警與日志管理模塊負責報警方案和策略配置、多種報警方式、報警日志的記錄與查詢; 系統(tǒng)配置
模塊負責系統(tǒng)網(wǎng)絡參數(shù)的配置, 系統(tǒng)升級、重啟、安全關(guān)閉, 負責對系統(tǒng)相關(guān)工具軟件的下載和系統(tǒng)定期
備份所有的配置信息和用戶數(shù)據(jù), 提供界面供用戶下載各時間段的系統(tǒng)備份文件, 并用于對系統(tǒng)發(fā)生災難
事件時進行恢復。
總結(jié)：信息安全不是一個孤立靜止的概念，而是一個多層面、多因素的、綜合的、動態(tài)的過程。信息安全
體系應當隨著企業(yè)環(huán)境的變化、業(yè)務的發(fā)展和信息技術(shù)的提高不斷改進，不能一成不變, 這就需要一個完
整的“可控并可信”的安全管理體系來保證其持續(xù)發(fā)展。