企業信息網絡安全管理系統建設與安全策略

摘要:企業信息化發展過程中，數據經過長期建設和積累形成海量的數據是企業重要資源，是提高企業生產、管理水平和經濟效益，起著至關重要的作用。由于網絡安全對網絡信息系統的性能、管理的關聯及影響，網絡安全管理逐漸引起關注。通過信息網絡的安全管理系統的建立、安全策略、安全管理策略技術手段，提高網絡信息的整體安全性，確保企業信息數據安全。

關鍵詞:信息;網絡安全;管理策略

中圖分類號:F270文獻標志碼:A文章編號:1673-291X(2010)30-0015-02

隨著企業信息網絡建設與不斷的發展，信息化已成為企業發展的大趨勢，信息網絡安全就顯得尤為重要。由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。

一、信息網絡的安全管理系統的建立

信息網絡安全管理系統的建立，是實現對信息網絡安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作，在將與整體安全有關的各項安全技術和產品組合為一個規范的、整體的、集中的安全平臺上的同時，使技術因素、策略因素以及人員因素能夠更加緊密地結合在一起，從而提高用戶在安全領域的整體安全效益。下面對信息網絡安全管理系統技術需求和功能要求進行分析。

(一)技術分析

1.在信息網絡安全管理系統的設計上，應該用到以下技術:安全綜合管理系統體系結構構造理論和技術;安全部件之間的聯動技術;安全部件互動協議與接口技術;網絡拓撲結構自動發掘技術;網絡數據的相關性分析和統計分析算法;網絡事件的多維描述技術。

2.信息網絡安全管理系統應具有安全保密第一:安全保密與系統性能是相互矛盾的，彼此相互影響、相互制約，在這種情況下，系統遵循安全與保密第一的原則，信息網絡安全管理系統在設計、實施、運行、管理、維護過程中，應始終把系統的安全與保密放在首要的位置。在信息網絡安全管理系統設計，尤其在身份認證、信任管理和授權管理方面，應采用先進的加密技術，實現全方位的信任和授權管理。因此，對信息安全管理系統而言，針對單個系統的全部管理并非是本系統的重點，而應該投入更多的力量在于:集中式、全方位、可視化的體現;獨立安全設備管理中不完善或未實現的部分;獨立安全設備的數據、響應、策略的集中處理。

(二)功能分析

1.分級管理與全網統一的管理機制:網絡安全是分區域和時段的，實施分級與統一的管理機制可以對全網進行有效的管理，不僅體現區域管理的靈活性，還表現在抵御潛在網絡威脅的有效性，管理中心可以根據自己網絡的實際情況配置自己的策略，將每日的安全事件報告給上一級，由上一級進行統一分析。上一級可以對全網實施有效的控制，比如采用基于web的電子政務的形式，要求下一級管理中心更改策略、打補丁、安全產品升級等。

2.安全設備的網絡自動拓撲:系統能夠自動找出正確的網絡結構，并以圖形方式顯示出來，給用戶管理網絡提供極大的幫助。這方面的內容包括:自動搜索用戶關心的安全設備;網絡中安全設備之間的拓撲關系;根據網絡拓撲關系自動生成拓撲圖;能夠反映當前安全設備以及網絡狀態的界面。

3.安全設備實時狀態監測:安全設備如果發生故障而又沒有及時發現，可能會造成很大的損失。所以必須不間斷地監測安全設備的工作狀況。如某一設備不能正常工作，則在安全設備拓撲圖上應能直觀的反映出來。實時狀態監測的特點是:(1)高度兼容性:由于各種安全設備的差別很大，實時狀態監測具有高度兼容性，支持各種常用協議，能夠最大程度地支持現有的各種安全設備。(2)智能化:狀態監測有一定的智能化，對安全設備的運行狀態提前作出預測，做到防患于未然。(3)易用性:實時狀態監測不是把各種設備的差別處理轉移給用戶，而是能夠提供易用的方式幫助用戶管理設備。

4.高效而全面的反應報警機制:報警形式多樣:如響鈴、郵件、短消息、電話通知等。基于用戶和等級的報警:可以根據安全的等級，負責處理問題的用戶，做出不同方式、針對不同對象的報警響應。

5.安全設備日志統計分析:可以根據用戶需求生成一段時間內網絡設備與安全設備各種數據的統計報表。

二、信息網絡的安全策略

企業信息網絡面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎等都會對網絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅，造成極大的危害，并導致機密數據的泄漏。(3)網絡軟件的漏洞:網絡軟件不可能是百分之百的無缺陷和無漏洞的，這些是因為安全措施不完善所招致。

(一)物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受破壞和攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度，防止非法進入計算機控制室。

(二)訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制可以說是保證網絡安全最重要的核心策略之一。

1.入網訪問控制:入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。

2.權限控制:網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執行哪些操作?？梢愿鶕L問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶，系統管理員根據他們的實際需要為他們分配操作權限。

(三)目錄級控制策略

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。

三、網絡安全管理策略

在網絡安全中，除了采用技術措施之外，加強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關網絡操作;使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。

四、結束語

隨著信息化與網絡化趨勢的增強，企業信息網絡化的速度加快，隨之而來的系統網絡與信息安全日益成為企業網絡發展的重要組成部分，網絡安全已經直接威脅到系統的正常運轉，信息網絡安全管理系統使用戶能夠對信息系統的安全進行主動有效的管理，也是加快企業信息化發展的速度，因此信息網絡安全策略與安全管理系統的建立具有十分重要的社會意義。[責任編輯 劉嬌嬌]