信息安全整體解決方案 信息安全整體解決方案總監(jiān)

信息安全管理體系是建立在什么的基礎(chǔ)之上

信息安全管理體系是建立在網(wǎng)絡基礎(chǔ)之上。

目前累計服務客戶千余家，積累了豐富的產(chǎn)品開發(fā)及服務經(jīng)驗。以網(wǎng)站設(shè)計水平和技術(shù)實力，樹立企業(yè)形象，為客戶提供網(wǎng)站制作、網(wǎng)站建設(shè)、網(wǎng)站策劃、網(wǎng)頁設(shè)計、網(wǎng)絡營銷、VI設(shè)計、網(wǎng)站改版、漏洞修補等服務。創(chuàng)新互聯(lián)建站始終以務實、誠信為根本，不斷創(chuàng)新和提高建站品質(zhì)，通過對領(lǐng)先技術(shù)的掌握、對創(chuàng)意設(shè)計的研究、對客戶形象的視覺傳遞、對應用系統(tǒng)的結(jié)合，為客戶提供更好的一站式互聯(lián)網(wǎng)解決方案，攜手廣大客戶，共同發(fā)展進步。

信息安全管理體系（Information Security Management System，簡稱ISMS）是組織整體管理體系的一個部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。

基于對業(yè)務風險的認識，ISMS 包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

ISO/IEC27001:2005 就是建立和維護信息安全管理體系的標準，是國際最具權(quán)威的適用于各類組織的信息安全整體解決方案，它要求通過PDCA過程來建立ISMS 框架：確定體系范圍，制定信息安全策略，明確管理職責，通過風險評估確定控制目標和控制方式。體系一旦建立，組織應該實施、維護和持續(xù)改進ISMS，保持體系運作的有效性。

同時，ISO/IEC27001:2005也非常強調(diào)信息安全管理過程中文件化的工作，ISMS 的文件體系應該包括安全策略、適用性聲明（選擇與未選擇的控制目標和控制措施）、實施安全控制所需的程序文件、ISMS 控制和操作程序，以及組織圍繞ISMS 開展的所有活動的證明材料。

除此之外，它還提供了國際上知名企業(yè)在信息安全方面的133個良好實踐慣例，通過對組織中涉及信息安全的11大領(lǐng)域?qū)嵤┻@133個控制措施來達到涵蓋整個組織信息安全的39個控制目標，從而實現(xiàn)整個組織的業(yè)務持續(xù)發(fā)展戰(zhàn)略。

信息系統(tǒng)安全的保障體制有哪些

系統(tǒng)的不安全因素按威脅的對象可以分為三種:一是對網(wǎng)絡硬件的威脅，這主要指那些惡意破壞網(wǎng)絡設(shè)施的行為，如偷竊、無意或惡意毀損等等;二是對網(wǎng)絡軟件的威脅，如病毒、木馬入侵，流量攻擊等等;三是對網(wǎng)絡上傳輸或存儲的數(shù)據(jù)進行的攻擊，比如修改數(shù)據(jù)，解密數(shù)據(jù)，刪除破壞數(shù)據(jù)等等。這些威脅有很多很多，可能是無意的，也可能是有意的，可能是系統(tǒng)本來就存在的，也可能是我們安裝、配置不當造成的，有些威脅甚至會同時破壞我們的軟硬件和存儲的寶貴數(shù)據(jù)。如CIH病毒在破壞數(shù)據(jù)和軟件的同時還會破壞系統(tǒng)BIOS，使整個系統(tǒng)癱瘓。針對威脅的來源主要有以下幾方面:

1.1無意過失

如管理員安全配置不當造成的安全漏洞，有些不需要開放的端口沒有即時用戶帳戶密碼設(shè)置過于簡單，用戶將自己的帳號密碼輕意泄漏或轉(zhuǎn)告他人，或幾人共享帳號密碼等，都會對網(wǎng)絡安全帶來威脅。

1.2惡意攻擊

這是我們賴以生存的網(wǎng)絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊，它有選擇地破壞信息的有效性和完整性，破壞網(wǎng)絡的軟硬件系統(tǒng)，或制造信息流量使我們的網(wǎng)絡系統(tǒng)癱瘓;另一類是隱藏攻擊，它是在不影響用戶和系統(tǒng)日常工作的前提下，采取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網(wǎng)絡系統(tǒng)造成極大的危害，并導致機密數(shù)據(jù)的外泄或系統(tǒng)癱瘓。

1.3漏洞后門

網(wǎng)絡操作系統(tǒng)和其他工具、應用軟件不可能是百分之百的無缺陷和無漏洞的，尤其是我們既愛又恨的“Windows”系統(tǒng)，這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道，無數(shù)次出現(xiàn)過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統(tǒng)的漏洞)造成的重大損失和慘痛教訓，就是由我們的漏洞所造成的。黑客浸入網(wǎng)絡的事件，大部分也是利用漏洞進行的。“后門”是軟件開發(fā)人員為了自己的方便，在軟件開發(fā)時故意為自己設(shè)置的，這在一般情況下沒有什么問題，但是一旦該開發(fā)人員有一天想不通要利用利用該“后門”，那么后果就嚴重了，就算他自己安分守己，但一旦“后門”洞開和泄露，其造成的后果將更不堪設(shè)想。

如何提高網(wǎng)絡信息系統(tǒng)安全性

2.1 物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、服務器、網(wǎng)絡設(shè)備、打印機等硬件實體和通信鏈路的物理安全，如采取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由于很多計算機系統(tǒng)都有較強的電磁泄漏和輻射，確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境就是我們需要考慮的;另外建立完備的安全管理制度，服務器應該放在安裝了監(jiān)視器的隔離房間內(nèi)，并且要保留1天以上的監(jiān)視記錄，另外機箱、鍵盤、電腦桌抽屜要上鎖，鑰匙要放在另外的安全位置，防止未經(jīng)授權(quán)而進入計算機控制室，防止各種偷竊、竊取和破壞活動的發(fā)生。

2.2 訪問控制策略

網(wǎng)絡中所能采用的各種安全策略必須相互配合、相互協(xié)調(diào)才能起到有效的保護作用，但訪問控制策略可以說是保證網(wǎng)絡安全最重要的核心策略之一。它的主要目的是保證網(wǎng)絡信息不被非法訪問和保證網(wǎng)絡資源不被非法使用。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。下面我們分述各種訪問控制策略。

2.2.1 登陸訪問控制

登陸訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。通過設(shè)置帳號，可以控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡信息和使用資源;通過設(shè)置帳號屬性，可以設(shè)置密碼需求條件，控制用戶在哪些時段能夠登陸到指定域，控制用戶從哪臺工作站登陸到指定域，設(shè)置用戶帳號的失效日期。

注:當用戶的登錄時段失效時，到域中網(wǎng)絡資源的鏈接不會被終止。然而，該用戶不能再創(chuàng)建到域中其他計算機的新鏈接。

用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然后是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。

由于用戶名和密碼是對網(wǎng)絡用戶的進行驗證的第一道防線。所以作為網(wǎng)絡安全工作人員在些就可以采取一系列的措施防止非法訪問。

a. 基本的設(shè)置

應該限制普通用戶的帳號使用時間、方式和權(quán)限。只有系統(tǒng)管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。應對所有用戶的訪問進行審計，如果多次輸入口令不正確，則應該認為是非法入侵，應給出報警信息，并立即停用該帳戶。

b. 認真考慮和處理系統(tǒng)內(nèi)置帳號

建議采取以下措施:i.停用Guest帳號，搞不懂Microsoft為何不允許刪除Guest帳號，但不刪除我們也有辦法:在計算機管理的用戶和組里面，把Guest帳號禁用，任何時候都不允許Guest帳號登陸系統(tǒng)。如果還不放心，可以給Guest帳號設(shè)置一個長而復雜的密碼。這里為對Windows 2有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2系統(tǒng)的帳號信息，是存放在注冊表HKEY_LOCAL_MACHINE\SAM里的，但即使我們的系統(tǒng)管理員也無法打開看到這個主鍵，這主要也是基于安全的原因，但是“System”帳號卻有這個權(quán)限，聰明的讀者應該知道怎么辦了吧，對了，以“SYSTEM”權(quán)限啟動注冊表就可以了，具體方法為:以“AT”命令來添加一個計劃任務來啟動Regedit.exe程序，然后檢查注冊表項，把帳號Guest清除掉。首先，看一下時間 :3,在“運行”對話框中或“cmd”中運行命令:at :31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是“SYSTEM”了，/interactive的目的是讓運行的程序以交互式界面的方式運行。一分鐘后regedit.exe程序運行了，依次來到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users，將以下兩個相關(guān)鍵全部刪掉:一個是1F5，一個是Names下面的Guest。完成后我們可是用以下命令證實Guest帳號確實被刪掉了“net user guest”。ii.系統(tǒng)管理員要擁有兩個帳號，一個帳號是具有管理員權(quán)限，用于系統(tǒng)管理，另一個帳號只有一般權(quán)限，用于日常操作。這樣只有在維護系統(tǒng)或安裝軟件時才用管理員身份登陸，有利于保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用，這樣Microsoft就給Hacker們提供了特別大的幫助，但我們也可將之改名，如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等于白改的名字。

c. 設(shè)置欺騙帳號

這是一個自我感覺非常有用的方法:創(chuàng)建一個名為Administrator的權(quán)限最低的欺騙帳號，密碼設(shè)置相當復雜，既長又含特殊字符，讓Hacker們使勁破解，也許他破解還沒有成功我們就已經(jīng)發(fā)現(xiàn)了他的入侵企圖，退一步，即使他破解成功了最后還是會大失所望的發(fā)現(xiàn)白忙半天。

d. 限制用戶數(shù)量

因為用戶數(shù)量越多，用戶權(quán)限、密碼等設(shè)置的缺陷就會越多，Hacker們的機會和突破口也就越多，刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統(tǒng)缺陷。

e. 禁止系統(tǒng)顯示上次登陸的用戶名

Win9X以上的操作系統(tǒng)對以前用戶登陸的信息具有記憶功能，下次重啟時，會在用戶名欄中提示上次用戶的登陸名，這個信息可能被別有用心的人利用，給系統(tǒng)和用戶造成隱患，我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表，展開到以下分支:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

在此分支下新建字符串命名為:DontDisplayLastUserName，并把該字符串值設(shè)為:“1”，完成后重新啟動計算機就不會顯示上次登錄用戶的名字了。

f. 禁止建立空連接

默認情況下，任何用戶通過空連接連上服務器后，可能進行枚舉帳號，猜測密碼，我們可以通過修改注冊表來禁止空連接。方法如下:打開注冊表，展開到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，然后將該分支下的restrictanonymous的值改為“1”即可。

g. 通過智能卡登錄

采用便攜式驗證器來驗證用戶的身份。如廣泛采用的智能卡驗證方式。通過智能卡登錄到網(wǎng)絡提供了很強的身份驗證方式，因為，在驗證進入域的用戶時，這種方式使用了基于加密的身份驗證和所有權(quán)證據(jù)。

例如，如果一些別有用心的人得到了用戶的密碼，就可以用該密碼在網(wǎng)絡上冒稱用戶的身份做一些他自己想做的事情。而現(xiàn)實中有很多人都選擇相當容易記憶的密碼(如姓名、生日、電話號碼、銀行帳號、身份證號碼等)，這會使密碼先天脆弱，很容易受到攻擊。

在使用智能卡的情況下，那些別有用心的人只有在獲得用戶的智能卡和個人識別碼 (PIN) 前提下才能假扮用戶。由于需要其它的信息才能假扮用戶，因而這種組合可以減少攻擊的可能性。另一個好處是連續(xù)幾次輸入錯誤的 PIN 后，智能卡將被鎖定，因而使得采用詞典攻擊智能卡非常困難。

2.2.2 資源的權(quán)限管理

資源包括系統(tǒng)的軟硬件以及磁盤上存儲的信息等。我們可以利用Microsoft 在Windows 2中給我們提供的豐富的權(quán)限管理來控制用戶對系統(tǒng)資源的訪問，從而起到安全管理的目的。

a. 利用組管理對資源的訪問

組是用戶帳號的集合，利用組而不用單個的用戶管理對資源的訪問可以簡化對網(wǎng)絡資源的管理。利用組可以一次對多個用戶授予權(quán)限，而且在我們對一個組設(shè)置一定權(quán)限后，以后要將相同的權(quán)限授予別的組或用戶時只要將該用戶或組添加進該組即可。

如銷售部的成員可以訪問產(chǎn)品的成本信息，不能訪問公司員工的工資信息，而人事部的員工可以訪問員工的工資信息卻不能訪問產(chǎn)品成本信息，當一個銷售部的員工調(diào)到人事部后，如果我們的權(quán)限控制是以每個用戶為單位進行控制，則權(quán)限設(shè)置相當麻煩而且容易出錯，如果我們用組進行管理則相當簡單，我們只需將該用戶從銷售組中刪除再將之添加進人事組即可。

b. 利用NTFS管理數(shù)據(jù)

NTFS文件系統(tǒng)為我們提供了豐富的權(quán)限管理功能，利用了NTFS文件系統(tǒng)就可以在每個文件或文件夾上對每個用戶或組定義諸如讀、寫、列出文件夾內(nèi)容、讀和執(zhí)行、修改、全面控制等權(quán)限，甚至還可以定義一些特殊權(quán)限。NTFS只適用于NTFS磁盤分區(qū)，不能用于FAT或FAT32分區(qū)。不管用戶是訪問文件還是文件夾，也不管這些文件或文件夾是在計算機上還是在網(wǎng)絡上，NTFS的安全功能都有效。NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號、組、計算機，還包括他們被授予的訪問權(quán)限。注意:要正確和熟練地使用NTFS控制權(quán)限的分配必須深入了解NTFS權(quán)限的特點、繼承性、“拒絕”權(quán)限的特性以及文件和文件夾在復制和移動后的結(jié)果。一個網(wǎng)絡系統(tǒng)管理員應當系統(tǒng)地考慮用戶的工作情況并將各種權(quán)限進行有效的組合，然后授予用戶。各種權(quán)限的有效組合可以讓用戶方便地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。

2.2.3 網(wǎng)絡服務器安全控制

網(wǎng)絡服務器是我們網(wǎng)絡的心臟，保護網(wǎng)絡服務器的安全是我們安全工作的首要任務，沒有服務器的安全就沒有網(wǎng)絡的安全。為了有效地保護服務器的安全，我們必須從以下幾個方面開展工作。

a. 嚴格服務器權(quán)限管理

由于服務器的重要地位，我們必須認真分析和評估需要在服務器上工作的用戶的工作內(nèi)容和工作性質(zhì)，根據(jù)其工作特點授予適當?shù)臋?quán)限，這些權(quán)限要保證該用戶能夠順利地完成工作，但也決不要多給他一點權(quán)限(即使充分相信他不會破壞也要考慮他的誤操作)，同時刪除一些不用的和沒有必要存在的用戶和組(如員工調(diào)動部門或辭退等)。根據(jù)情況限制或禁止遠程管理，限制遠程訪問權(quán)限等也是網(wǎng)絡安全工作者必需考慮的工作。

b. 嚴格執(zhí)行備份操作

作為一個網(wǎng)絡管理員，由于磁盤驅(qū)動器失靈、電源故障、病毒感染、黑客攻擊、誤操作、自然災害等原因造成數(shù)據(jù)丟失是最為常見的事情。為了保證系統(tǒng)能夠從災難中以最快的速度恢復工作，最大化地降低停機時間，最大程度地挽救數(shù)據(jù)，備份是一個最為簡單和可靠的方法。Windows 2 集成了一個功能強大的圖形化備份實用程序。它專門為防止由于硬件或存儲媒體發(fā)生故障而造成數(shù)據(jù)丟失而設(shè)計的。它提供了五個備份類型:普通、副本、差異、增量和每日，我們根據(jù)備份所耗時間和空間可以靈活安排這五種備份類型來達到我們的目的。

警告:對于從Windows 2 NTFS卷中備份的數(shù)據(jù)，必須將之還原到一個Windows 2 NTFS卷中，這樣可以避免數(shù)據(jù)丟失，同時能夠保留訪問權(quán)限、加密文件系統(tǒng)(Encrypting File System)設(shè)置信息、磁盤限額信息等。如果將之還原到了FAT文件系統(tǒng)中，將丟失所有加密數(shù)據(jù)，同時文件不可讀。

c. 嚴格起用備用服務器

對于一些非常重要的服務器，如域控制器、橋頭服務器、DHCP服務器、DNS服務器、WINS服務器等擔負網(wǎng)絡重要功能的服務器，也包括那些一旦癱瘓就要嚴重影響公司業(yè)務的應用程序服務器，我們應該不惜成本建立備份機制，這樣即使某個服務器發(fā)生故障，對我們的工作也不會造成太大的影響。我們也可以利用Windows 2 Advance Server的集群功能使用兩個或兩個以上的服務器，這樣不但可以起到備用的作用，同時也能很好地提高服務性能。

d. 使用RAID實現(xiàn)容錯功能

使用RAID有軟件和硬件的方法，究竟采用哪種要考慮以下一些因素:

硬件容錯功能比軟件容錯功能速度快。

硬件容錯功能比軟件容錯功能成本高。

硬件容錯功能可能被廠商限制只能使用單一廠商的設(shè)備。

硬件容錯功能可以實現(xiàn)硬盤熱交換技術(shù)，因此可以在不關(guān)機的情況下更換失敗的硬盤。

硬件容錯功能可以采用高速緩存技術(shù)改善性能。

Microsoft Windows 2 Server支持三種類型的軟件RAID，在此作一些簡單描述:

u RAID (條帶卷)

RAID 也被稱為磁盤條帶技術(shù)，它主要用于提高性能，不屬于安全范疇，在此略過，有興趣的朋友可以參閱相關(guān)資料。

u RAID 1(鏡像卷)

RAID 1 也被稱為磁盤鏡像技術(shù)，它是利用Windows 2 Server的容錯驅(qū)動程序(Ftdisk.sys)來實現(xiàn)，采用這種方法，數(shù)據(jù)被同時寫入兩個磁盤中，如果一個磁盤失敗了，系統(tǒng)將自動用來自另一個磁盤中的數(shù)據(jù)繼續(xù)運行。采用這種方案，磁盤利用率僅有5%。

可以利用鏡像卷保護系統(tǒng)磁盤分區(qū)或引導磁盤分區(qū)，它具有良好的讀寫性能，比RAID 5 卷使用的內(nèi)存少。

可以采用磁盤雙工技術(shù)更進一步增強鏡像卷的安全性，它不需要附加軟件支持和配置。(磁盤雙工技術(shù):如果用一個磁盤控制器控制兩個物理磁盤，那么當磁盤控制器發(fā)生故障，則兩個磁盤均不能訪問，而磁盤雙工技術(shù)是用兩個磁盤控制器控制兩個物理磁盤，當這兩個磁盤組成鏡像卷時更增強了安全性:即使一個磁盤控制器損壞，系統(tǒng)也能工作。)

鏡像卷可以包含任何分區(qū)，包括引導磁盤分區(qū)或系統(tǒng)磁盤分區(qū)，然而，鏡像卷中的兩個磁盤必須都是Windows 2 的動態(tài)磁盤。

u RAID 5(帶有奇偶校驗的條帶卷)

在Windows 2 Server中，對于容錯卷，RAID 5是目前運用最廣的一種方法，它至少需要三個驅(qū)動器，最多可以多達32個驅(qū)動器。Windows 2 通過在RAID-5卷中的各個磁盤分區(qū)中添加奇偶校檢翻譯片來實現(xiàn)容錯功能。如果單個磁盤失敗了，系統(tǒng)可以利用奇偶信息和剩余磁盤中的數(shù)據(jù)來重建丟失的數(shù)據(jù)。

注:RAID-5卷不能保護系統(tǒng)磁盤和引導磁盤分區(qū)。

e. 嚴格監(jiān)控系統(tǒng)啟動的服務

很多木馬或病毒程序都要在系統(tǒng)中創(chuàng)建一個后臺服務或進程，我們應該經(jīng)常檢查系統(tǒng)，一旦發(fā)現(xiàn)一些陌生的進程或服務，就要特別注意是否有木馬、病毒或間諜等危險軟件運行。作為網(wǎng)絡管理員，經(jīng)常檢查系統(tǒng)進程和啟動選項是應該養(yǎng)成的一個經(jīng)常習慣。這里有一個對初級網(wǎng)絡管理員的建議:在操作系統(tǒng)和應用程序安裝完成后利用工具軟件(如Windows優(yōu)化大師等軟件)導出一個系統(tǒng)服務和進程列表，以后經(jīng)常用現(xiàn)有的服務和進程列表與以前導出的列表進行比較，一旦發(fā)現(xiàn)陌生進程或服務就要特別小心了。

2.2.4 網(wǎng)絡監(jiān)測和鎖定控制

網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形、文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡，網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。

服務器允許在服務器控制臺上執(zhí)行一些如裝載和卸載管理模塊的操作，也可以進行安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括設(shè)置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要服務組件或破壞數(shù)據(jù);可以設(shè)定服務器登錄時間和時長、非法訪問者檢測和關(guān)閉的時間間隔。

2.2.5 防火墻控制

防火墻的概念來源于古時候的城堡防衛(wèi)系統(tǒng)，古代戰(zhàn)爭中為了保護一座城市的安全，通常是在城市周圍挖出一條護城河，每一個進出城堡的人都要通過一個吊橋，吊橋上有守衛(wèi)把守檢查。在設(shè)計現(xiàn)代網(wǎng)絡的時候，設(shè)計者借鑒了這一思想，設(shè)計出了現(xiàn)在我要介紹的網(wǎng)絡防火墻技術(shù)。

防火墻的基本功能是根據(jù)一定的安全規(guī)定，檢查、過濾網(wǎng)絡之間傳送的報文分組，以確定它們的合法性。它通過在網(wǎng)絡邊界上建立起相應的通信監(jiān)控系統(tǒng)來隔離內(nèi)外網(wǎng)絡，以阻止外部網(wǎng)絡的侵入。我們一般是通過一個叫做分組過濾路由器的設(shè)備來實現(xiàn)這個功能的，這個路由器也叫做篩選路由器。作為防火墻的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網(wǎng)絡層，可以根據(jù)網(wǎng)絡層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網(wǎng)關(guān)的檢查。因此，從協(xié)議層次模型的角度看，防火墻應覆蓋網(wǎng)絡層、傳輸層與應用層。

其他的你去: 上面都有太多了`我復制不下來``

另外,團IDC網(wǎng)上有許多產(chǎn)品團購,便宜有口碑

企業(yè)網(wǎng)絡安全解決方案論文

企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加，基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益，但隨之而來的安全問題也在困擾著用戶，研究解決網(wǎng)絡安全問題的方案顯得及其重要。下面是我?guī)淼年P(guān)于企業(yè)網(wǎng)絡安全解決方案論文的內(nèi)容，歡迎閱讀參考!

企業(yè)網(wǎng)絡安全解決方案論文篇1

淺談中小企業(yè)網(wǎng)絡安全整體解決方案

摘要：隨著企業(yè)內(nèi)部網(wǎng)絡的日益龐大及與外部網(wǎng)絡聯(lián)系的逐漸增多，一個安全可信的企業(yè)網(wǎng)絡安全系統(tǒng)顯得十分重要。局域網(wǎng)企業(yè)信息安全系統(tǒng)是為了防范企業(yè)中計算機數(shù)據(jù)信息泄密而建立的一種管理系統(tǒng)，旨在對局域網(wǎng)中的信息安全提供一種實用、可靠的管理方案。

關(guān)鍵詞：網(wǎng)絡安全 防病毒 防火墻 入侵檢測

一、網(wǎng)絡安全的含義

網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。它涉及的領(lǐng)域相當廣泛。這是因為在目前的公用通信網(wǎng)絡中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡安全所要研究的領(lǐng)域。網(wǎng)絡安全，通常定義為網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。

二、中小企業(yè)網(wǎng)絡安全方案的基本設(shè)計原則

(一)綜合性、整體性原則。應用系統(tǒng)工程的觀點、 方法 ，分析網(wǎng)絡的安全及具體 措施 。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。

(二)需求、風險、代價平衡的原則。對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結(jié)構(gòu)、可靠性可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

(三)分步實施原則。由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需要，亦可節(jié)省費用開支。

三、中小企業(yè)網(wǎng)絡安全方案的具體設(shè)計

網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡安全由安全的 操作系統(tǒng) 、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網(wǎng)絡的安全性。

該方案主要包括以下幾個方面：

(一)防病毒方面：應用防病毒技術(shù)，建立全面的網(wǎng)絡防病毒體系。隨著Internet的不斷發(fā)展，信息技術(shù)已成為促進經(jīng)濟發(fā)展、社會進步的巨大推動力：當今社會高度的計算機化信息資源對任何人無論在任何時候、任何地方都變得極有價值。不管是存儲在工作站中、服務器里還是流通于Internet上的信息都已轉(zhuǎn)變成為一個關(guān)系事業(yè)成敗關(guān)鍵的策略點，這就使保證信息的安全變得格外重要。

(二)應用防火墻技術(shù)，控制訪問權(quán)限，實現(xiàn)網(wǎng)絡安全集中管理。防火墻技術(shù)是今年發(fā)展起來的重要網(wǎng)絡安全技術(shù)，其主要作用是在網(wǎng)絡入口處檢查網(wǎng)絡通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡安全的前提下，保障內(nèi)外網(wǎng)絡通訊。在網(wǎng)絡出口處安裝防火墻后，內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行了有效的隔離，所有來自外部網(wǎng)絡的訪問請求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡的安全有了很大的提高。

防火墻可以完成以下具體任務：通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網(wǎng)絡上與業(yè)務無關(guān)的主機的越權(quán)訪問;防火墻可以只保留有用的服務，將其他不需要的服務關(guān)閉，這樣可以將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘。

隨著網(wǎng)絡的廣泛應用和普及，網(wǎng)絡入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們?nèi)遮呹P(guān)注的焦點。防火墻作為網(wǎng)絡邊界的第一道防線，由最初的路由器設(shè)備配置訪問策略進行安全防護，到形成專業(yè)獨立的產(chǎn)品，已經(jīng)充斥了整個網(wǎng)絡世界。在網(wǎng)絡安全領(lǐng)域，隨著黑客應用技術(shù)的不斷“傻瓜化”，入侵檢測系統(tǒng)IDS的地位正在逐漸增加。一個網(wǎng)絡中，只有有效實施了IDS，才能敏銳地察覺攻擊者的侵犯行為，才能防患于未然。

參考文獻：

[1]陳家琪.計算機網(wǎng)絡安全.上海理工大學，電子教材，2005

[2]胡建斌.網(wǎng)絡與信息安全概論.北京大學網(wǎng)絡與信息安全研究室，電子教材，2005

企業(yè)網(wǎng)絡安全解決方案論文篇2

淺談網(wǎng)絡安全技術(shù)與企業(yè)網(wǎng)絡安全解決方案

網(wǎng)絡由于其系統(tǒng)方面漏洞導致的安全問題是企業(yè)的一大困擾，如何消除辦企業(yè)網(wǎng)絡的安全隱患成為 企業(yè)管理 中的的一大難題。各種網(wǎng)絡安全技術(shù)的出現(xiàn)為企業(yè)的網(wǎng)絡信息安全帶來重要保障，為企業(yè)的發(fā)展奠定堅實的基礎(chǔ)。

1 網(wǎng)絡安全技術(shù)

1.1 防火墻技術(shù)

防火墻技術(shù)主要作用是實現(xiàn)了網(wǎng)絡之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進入企業(yè)內(nèi)部網(wǎng)絡，從而實現(xiàn)對企業(yè)信息的保護。

如果將公司比作人，公司防盜系統(tǒng)就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統(tǒng)都是建立在防火墻的基礎(chǔ)上?，F(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻，防火墻又可以細分為代理服務防火墻和包過濾技術(shù)防火墻。代理服務防火墻的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監(jiān)督職責。包過濾技術(shù)防火墻就像是一個篩子，會選擇性的讓數(shù)據(jù)信息通過或隔離。

1.2 加密技術(shù)

加密技術(shù)是企業(yè)常用保護數(shù)據(jù)信息的一種便捷技術(shù)，主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進行保護，避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進行變換，改變其原有特征，讓外部人員無法直接觀察其本質(zhì)含義，這種加密技術(shù)具有簡便性和有效性，但是存在一定的風險，一旦加密規(guī)律被別人知道后就很容易將其解除。基于公鑰的加密算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術(shù)

身份鑒定技術(shù)就是根據(jù)具體的特征對個人進行識別，根據(jù)識別的結(jié)果來判斷識別對象是否符合具體條件，再由系統(tǒng)判斷是否對來人開放權(quán)限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權(quán)限進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術(shù)一般應用在企業(yè)高度機密信息的保密過程中，具有較強的實用性。

2 企業(yè)網(wǎng)絡安全體系解決方案

2.1 控制網(wǎng)絡訪問

對網(wǎng)絡訪問的控制是保障企業(yè)網(wǎng)絡安全的重要手段，通過設(shè)置各種權(quán)限避免企業(yè)信息外流，保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡設(shè)置按照面向?qū)ο蟮姆绞竭M行設(shè)置，針對個體對象按照網(wǎng)絡協(xié)議進行訪問權(quán)限設(shè)置，將網(wǎng)絡進行細分，根據(jù)不同的功能對企業(yè)內(nèi)部的工作人員進行權(quán)限管理。企業(yè)辦公人員需要使用到的功能給予開通，其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限。另外對于一些重要信息設(shè)置寫保護或讀保護，從根本上保障企業(yè)機密信息的安全。另外對網(wǎng)絡的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內(nèi)打開。

企業(yè)網(wǎng)絡設(shè)計過程中應該考慮到網(wǎng)絡安全問題，因此在實際設(shè)計過程中應該對各種網(wǎng)絡設(shè)備、網(wǎng)絡系統(tǒng)等進行安全管理，例如對各種設(shè)備的接口以及設(shè)備間的信息傳送方式進行科學管理，在保證其基本功能的基礎(chǔ)上消除其他功能，利用當前安全性較高的網(wǎng)絡系統(tǒng)，消除網(wǎng)絡安全的脆弱性。

企業(yè)經(jīng)營過程中由于業(yè)務需求常需要通過遠端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡，遠程連接過程中脆弱的網(wǎng)絡系統(tǒng)極容易成為別人攻擊的對象，因此在企業(yè)網(wǎng)絡系統(tǒng)中應該加入安全性能較高的遠程訪問設(shè)備，提高遠程網(wǎng)絡訪問的安全性。同時對網(wǎng)絡系統(tǒng)重新設(shè)置，對登入身份信息進行加密處理，保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取，在數(shù)據(jù)傳輸過程中通過相應的 網(wǎng)絡技術(shù) 對傳輸?shù)臄?shù)據(jù)審核，避免信息通過其他 渠道 外泄，提高信息傳輸?shù)陌踩浴?/p>

2.2 網(wǎng)絡的安全傳輸

電子商務時代的供應鏈建立在網(wǎng)絡技術(shù)的基礎(chǔ)上，供應鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡以及與供應商之間的網(wǎng)絡上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業(yè)造成重大經(jīng)濟損失。為了避免信息被竊取，企業(yè)可以建設(shè)完善的網(wǎng)絡系統(tǒng)，通過防火墻技術(shù)將身份無法識別的隔離在企業(yè)網(wǎng)絡之外，保證企業(yè)信息在安全的網(wǎng)絡環(huán)境下進行傳輸。另外可以通過相應的加密技術(shù)對傳輸?shù)男畔⑦M行加密處理，技術(shù)一些黑客解除企業(yè)的防火墻，竊取到的信息也是難以理解的加密數(shù)據(jù)，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被解除的可能性，但現(xiàn)行的數(shù)據(jù)加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼解除技術(shù)也要花費相當長的時間，等到數(shù)據(jù)被解除后該信息已經(jīng)失去其時效性，成為一條無用的信息，對企業(yè)而言沒有任何影響。

2.3 網(wǎng)絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡，并從中找到漏洞進入企業(yè)內(nèi)部網(wǎng)絡，對企業(yè)信息進行竊取或更改。為避免惡意網(wǎng)絡攻擊，企業(yè)可以引進入侵檢測系統(tǒng)，并將其與控制網(wǎng)絡訪問結(jié)合起來，對企業(yè)信息實行雙重保護。根據(jù)企業(yè)的網(wǎng)絡結(jié)構(gòu)，將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡內(nèi)部的各個環(huán)節(jié)，尤其是重要部門的機密信息需要重點監(jiān)控。利用防火墻技術(shù)實現(xiàn)企業(yè)網(wǎng)絡的第一道保護屏障，再配以檢測技術(shù)以及相關(guān)加密技術(shù)，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測技術(shù)將徹底阻擋黑客的攻擊，并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡安全技術(shù)的配合，全方位消除來自網(wǎng)絡黑客的攻擊，保障企業(yè)網(wǎng)絡安全。

3 結(jié)束語

隨著電子商務時代的到來，網(wǎng)絡技術(shù)將會在未來一段時間內(nèi)在企業(yè)的運轉(zhuǎn)中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡安全也將長期伴隨企業(yè)經(jīng)營管理，因此必須對企業(yè)網(wǎng)絡實行動態(tài)管理，保證網(wǎng)絡安全的先進性，為企業(yè)的發(fā)展建立安全的網(wǎng)絡環(huán)境。

下一頁更多精彩的“企

信息安全防泄密軟件整體解決方案？

ip-guard三重保護解決方案了解一下

ip-guard能夠幫助企業(yè)構(gòu)建起完善的信息安全防護體系，通過詳盡細致的操作審計、全面嚴格的操作授權(quán)和安全可靠的透明加密三重保護全面保護企業(yè)的信息資產(chǎn)，使得企業(yè)實現(xiàn)"事前防御—事中控制—事后審計"的完整的信息防泄露流程

企業(yè)重要資料只能在部署了ip-guard的環(huán)境中使用，脫離了安全環(huán)境則需要進行申請外發(fā)、員工離線加密等加密權(quán)限，確保重要資料始終處于保護中

重要資料的操作行為全程進行詳細審計，文件的操作權(quán)限可根據(jù)部門和職位進行分配，任何潛在的泄密渠道都會進行詳細的監(jiān)控

2001年推出以來ip-guard已經(jīng)在全球70多個國家和地區(qū)累計服務超過20,000家知名企業(yè)客戶

文章題目：信息安全整體解決方案 信息安全整體解決方案總監(jiān)
文章轉(zhuǎn)載：http://muchs.cn/article48/doegehp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機、服務器托管、網(wǎng)站改版、手機網(wǎng)站建設(shè)、面包屑導航、App設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)