论文部分内容阅读
[摘 要]在当前的信息安全形势下,企业要以安全策略为核心,坚持技术和管理相结合,建立覆盖网络管理、设备管理、系统管理、人员及权限管理、安全基线管理等多个方面的制度体系,采取防火墙、入侵防护、安全审计、防病毒网关等网络安全技术防护措施,并坚持定期对信息系统运行情况进行评估分析。此外,通过安全模拟演练、应急事件实战演练、网络区域划分、安全审计及CA统一身份认证、安全运维监控等技术手段的实施与改进,进一步了增强网络及网络安全防护能力。
[关键词]网络安全 管理流程 安全体系框架 安全防护策略
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
(2)身份认证和安全保密策略:在企業员工进行网络应用、业务应用过程中,尤其是终端上网、财务核算付款等应用过程,必须要建立严格的身份认证和安全保密策略,包括:建立统一的数字证书认证体系、保密U盘、密码器等配套设备,并针对终端上网采用DHCP服务器或者部署相关的终端管理软件,MAC及IP绑定软件等,以控制员工的网络访问,并利用上网行为管理进行审计。在业务应用许可上,如果条件允许,可以考虑在数字证书的兼容下,建设统一的单点登录系统,完成对员工各个系统用户名、密码的统一管理和数字证书认证,实现统一管理、统一审核、统一审计。此外,在数据及信息安全保密上,要对重要的员工数据、财务数据等进行加密存储、单独存储,对相关的数据库和数据表进行加密,并严格审计访问和使用相关数据的行为,同时,也要在数据传输过程中采取MD5等加密手段,防止利用wireshark等截获明文数据。
(3)安全运行和运维策略:在日常运行过程中,企业要建立定期检查、评估、分析的安全机制,对网络安全的整体状态要有针对性的掌控,并适时结合云安全、大数据等新技术和工具,建立云预警平台,并结合日志服务器、监控预警服务器等定期对网络行为进行审计,实现预警、审计、响应、修复的全过程联动。同时,针对重要数据和服务要建立相应的容灾备份机制,对数据进行异地存储,对应用进行双机互备,从而进一步强化系统应用和数据的安全防护水平。此外,在当前云服务租赁等越来越盛行的情况下,企业应该与服务供应商签署严格的安全保密协议,明确双方的责任和义务,并对相关的服务外包过程、日常运维过程等进行监管,提高系统应用的安全水平。
[关键词]网络安全 管理流程 安全体系框架 安全防护策略
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
(2)身份认证和安全保密策略:在企業员工进行网络应用、业务应用过程中,尤其是终端上网、财务核算付款等应用过程,必须要建立严格的身份认证和安全保密策略,包括:建立统一的数字证书认证体系、保密U盘、密码器等配套设备,并针对终端上网采用DHCP服务器或者部署相关的终端管理软件,MAC及IP绑定软件等,以控制员工的网络访问,并利用上网行为管理进行审计。在业务应用许可上,如果条件允许,可以考虑在数字证书的兼容下,建设统一的单点登录系统,完成对员工各个系统用户名、密码的统一管理和数字证书认证,实现统一管理、统一审核、统一审计。此外,在数据及信息安全保密上,要对重要的员工数据、财务数据等进行加密存储、单独存储,对相关的数据库和数据表进行加密,并严格审计访问和使用相关数据的行为,同时,也要在数据传输过程中采取MD5等加密手段,防止利用wireshark等截获明文数据。
(3)安全运行和运维策略:在日常运行过程中,企业要建立定期检查、评估、分析的安全机制,对网络安全的整体状态要有针对性的掌控,并适时结合云安全、大数据等新技术和工具,建立云预警平台,并结合日志服务器、监控预警服务器等定期对网络行为进行审计,实现预警、审计、响应、修复的全过程联动。同时,针对重要数据和服务要建立相应的容灾备份机制,对数据进行异地存储,对应用进行双机互备,从而进一步强化系统应用和数据的安全防护水平。此外,在当前云服务租赁等越来越盛行的情况下,企业应该与服务供应商签署严格的安全保密协议,明确双方的责任和义务,并对相关的服务外包过程、日常运维过程等进行监管,提高系统应用的安全水平。