中小型企业信息安全管理论文Word格式.docx
- 文档编号:16980461
- 上传时间:2022-11-27
- 格式:DOCX
- 页数:20
- 大小:461.95KB
中小型企业信息安全管理论文Word格式.docx
《中小型企业信息安全管理论文Word格式.docx》由会员分享,可在线阅读,更多相关《中小型企业信息安全管理论文Word格式.docx(20页珍藏版)》请在冰豆网上搜索。
Abstract
Abstract:
Thesmallandmedium-sizedenterprise'
sinformationsecurityhasbeenmoreandmoreenterpriserelatedpersonnel'
sattention,intheenterpriseinternalalthoughtakenmeasures,stilloccurmanysecurityproblems.Informationsecurityproblemsdirectlyrelatedtothesmallandmedium-sizedenterprisetheinformationconstruction.Informationsecurity"
threepoint’stechnology,sevenpoint’smanagement"
.Intoday'
sinformationsecuritytechnologyenvironment,theattackcostmoreandmoresmaller,andthecostofdefenseismoreandmorebig,thenetworksecurityenvironmenthasnotimproved,butdeterioratedaybyday.Thedevelopmentoftheenterprisespeedoftendependsonthemostweaklink,isinformationsecurity.Analysisofthecurrentsmallandmedium-sizedenterpriseinformationsecurityrisks,indemandanalysisbasedonitbringforwardseveralkindsofinformationsecurity,includingfirewall,VPN,waterproofwall,UTM,etc.Inthesmallandmedium-sizedenterpriseinformationsafetymanagement,theuseoffirewall,VPN,UTMtoformulateastrategy,ensureenterpriseinformationsecurity,istheenterpriseoftherapiddevelopmentofthepremise.Smallandmedium-sizedenterprisesinthedevelopmentatthesametime,tokeepthesystemstableandsmooth,informationsecurity,escortforthedevelopmentofenterprises.
Keyword:
informationsecurity,firewall,VPN,waterproofwall,UTM
第一章绪论
1.1课题背景
目前我国很多中小企业都开始广泛的利用信息化手段提升自身的竞争力。
借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,但信息安全问题也日益突出。
每年企业因信息系统的安全问题而遭受的经济损失难以估量。
对于中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否健康发展的关键因素之一。
许多中小型企业在高度关注用户应用和体验值,却忽视了信息安全因素,“泄密门”事件发生后,互联网企业对信息安全高度重视,特别是一些已经采取实名制的网站,已经在尝试如何更好地保护用户的敏感信息,保护用户的隐私。
对于中小型企业用户来说,需立即更改自身账户口令,并对关联邮箱、手机等进行检查,防止各系统账户密码相同。
同时,需要针对不同的网站,如网银、邮箱、BBS、社交网等,采用不同等级的密码,注意尽量不使用已注册的信息,如手机、身份号、生日、车牌等作为密码,并养成定期更新的习惯,对于长期不用的账户应采取注销手段。
对于企业来说,应全面检查自身信息安全防护措施是否完备,不仅限于数据库自身的防护,而应全面考虑应用、主机、网络等各个层次上的防护,并高度关注安全管理:
如数据库管理员、系统管理员权限控制、最小授权等。
从本次“泄密门”事件来看,并非所有的暴库都是黑客所为,应尽快建立覆盖应用系统生命周期如软件开发、测试、上线、运维、废弃、安全管理等各方面的安全体系。
总的来说,企业信息安全应该采取积极防护为主,而不是等到信息泄露后才采取行动。
1.2威胁中小企业信息安全的主要因素
病毒泛滥:
有关调查显示全国有78%的中小型企业局域网中都存在病毒威胁,网络版杀毒软件的使用率不到两成。
黑客攻击:
目前中小企业的电脑已成为黑客散布垃圾邮件和“钓鱼”信息、传播间谍软件和广告软件、集体攻击组织团体、盗取机密信息的重要手段。
垃圾邮件:
中小企业一般没有自己的邮件服务器,而是租用网上邮箱,对垃圾邮件更是不胜其扰。
混合型威胁:
与一般的蠕虫病毒相比,混合型威胁的传播更加容易和更加快速,因为这种病毒的传播并不需要计算机用户任何主动的操作。
来自内部的威胁:
据统计超过85%的安全威胁来自公司内部,不法员工可以通过网络泄漏企业机密,攻击企业网络,形成内部网络的安全隐患。
1.3中小型企业信息安全的发展趋势
在信息网络普及的同时,信息安全威胁随之也在不断增加,信息网络的安全性越来越引起人们的重视。
在当前复杂的应用环境下,信息网络面临的安全形势非常严峻。
伴随着计算机网络的发展,网络安全似乎是一个亘古不变的问题伴随在每个网络用户左右。
长期以来,黑客们不断地分析操作系统和应用程序,以发现更多的安全漏洞,并编写相应的脚本加以利用。
各大安全厂商却是不断地开发更新的安全防范技术和产品来应对这些不断推陈出新的安全威胁。
可以肯定的是,现在中小企业在网络安全方面的认识和投入,以及实施的案值防范措施要比以前有了很大的进步。
但是,防火墙软件、入侵检测和防御系统、反间谍软件和反病毒软件,以及身份认证、访问控制系统、内容过滤、行为监控和垃圾邮件过滤等产品。
然后各网络系统用户跟随着这些安全厂商的步伐,不断地将这些安全产品添加到自身的网络结构、服务器和工作站之上。
所以说,中小型企业的信息安全是现在主要的问题,而解决这个问题更是当务之急。
第二章理论基础
2.1防火墙
2.1.1防火墙的概述
防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
防火墙是一个或一组实施访问控制策略的系统。
它在内部网络(专用网络)与外部网络(功用网络)之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。
它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送(数据包)。
防火墙的主要功能包括:
防火墙本身支持一定的安全策略。
提供一定的访问或接入控制机制。
容易扩充、更改新的服务和安全策略。
具有代理服务功能,包含先进的鉴别技术。
采用过滤技术,根据需求来允许或拒绝某些服务。
防火墙的编程语言应较灵活,具有友好的编程界面。
并用具有较多的过滤属性,包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。
2.1.2防火墙的类型
网层防火墙:
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上
应用层防火墙:
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层
2.1.3防火墙在中小型企业中的作用
网络安全的屏障:
一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网络重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
2.1.4防火墙在企业信息安全管理中的功能
防火墙是企业信息安全管理中的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。
从总体上看,防火墙具有以下基本功能:
报警功能,将任何有网络连接请求的程序通知用户,用户自行判断是否放行也或阻断其程序连接网络。
黑白名单功能,可以对现在或曾经请求连接网络的程序进行规则设置。
包括以后不准许连接网等功能。
局域网查询功能,可以查询本局域网内其用户,并显示各用户主机名。
流量查看功能,对计算机进出数据流量进行查看,直观的完整的查看实时数据量和上传下载数据率。
端口扫描功能,户自可以扫描本机端口,端口范围为0-65535端口,扫描完后将显示已开放的端口。
系统日志功能,日志分为流量日志和安全日志,流量日志是记录不同时间数据包进去计算机的情况,分别记录目标地址,对方地址,端口号等。
安全日志负责记录请求连接网络的程序,其中包括记录下程序的请求连网时间,程序目录路径等。
系统服务功能,可以方便的查看所以存在于计算机内的服务程序。
可以关闭,启动,暂停计算机内的服务程序。
连网/断网功能,在不使用物理方法下使用户计算机连接网络或断开网络。
完成以上功能使系统能对程序连接网络进行管理,大大提高了用户上网的效率,降低的上网风险。
从而用户上网娱乐的质量达到提高,同时也达到网络安全保护的目的。
2.1.5防火墙在企业中的优点
防火墙能强化企业信息安全策略。
防火墙能有效地记录Internet上的活动。
防火墙限制暴露用户点。
防火墙能够用来隔开网络中一个网段与另一个网段。
这样,能够防止影响一个网段的问题通过整个企业网络进行传播。
防火墙是一个安全策略的检查站。
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
这样保证了中小型企业的信息安全。
2.1.6透明网桥模式
一般中小型企业用户的网络环境比较简单,典型的网络拓扑图如下。
由于是透明接入方式这种方案无需改变内部网络结构,使用方案。
201.10.20.1
201.10.20.20
201.10.20.19
图2-1透明网桥模式
2.1.7路由+NET模式
一些安全要求比较高的中小型企业用户为了保护内部网络结构,或者弥补所申请的公有IP地址的不足,需要采用路由模式,同时提供进行地址转换。
针对这种需求可以使用路由模式。
图2-2路由+NET模式
2.2SSLVPN
2.2.1SSLVPN的介绍
SSLVPN指的是使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。
采取SSLVPN联机,因为并没有在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器。
SSLVPN可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。
SSLVPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,由于SSL协议本身就是一种安全技术,因此SSLVPN就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点。
2.2.2SSLVPN的优势
在最重要的安全性方面:
由于SSL协议本身就是一种安全技术,因此SSLVPN就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点,能够进一步保障访问安全,从而扩充了安全功能设施。
首先SSLVPN可以实现128位数据加密,保证数据在传输过程中不被窃取,确保ERP数据传输的安全性。
其次,多种认证和授权方式的使用能够只让“正确”的用户访问内部网络,从而保护了企业信息网络的安全性。
在应用性方面:
SSLVPN不需要安装客户端软件。
远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。
这样尽管购买软件和硬件的费用不一定低,但是SSLVPN的部署成本却很低。
只要安装了SSLVPN,基本上就不需要IT部门的支持了,所以维护成本可以忽略不计。
对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说,SSLVPN显然是一个价廉物美的选择。
当今Web成为标准平台已势不可挡,越来越多的企业开始将系统移植到Web上。
而SSLVPN通过特殊的加密通讯协议,被认为是实现远程安全访问Web应用的最佳手段,能够让用户随时随地甚至在移动中连入企业内网,将给企业带来很高的利益和方便。
无疑,伴随企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSLVPN技术由于拥有全方位的优势,取代传统的组网技术成为主流已为时不远。
2.2.3SSLVPN在中小型企业中的应用
SSLVPN可以为企业提供多种远程访问的服务。
就下面常用服务进行介绍:
E-mail:
对于企业来说,电子邮件通信是一个很基本的功能。
IPSecVPN可以保护邮件系统的安全性,但是IPSecVPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。
如果员工使用他人的电脑设备或者在其他的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。
外出的工作人员在酒店里由于这些问题无法连接到企业内部网络是非常另人头疼的问题。
SSLVPN提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSLVPN建立的安全通道收发邮件。
SSLVPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。
内部网访问:
即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。
SSLVPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。
面向合作伙伴的网络资源:
为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。
考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。
SSLVPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。
2.2.4SSLVPN总结
中小企业的远程访问环境变化较大,SSLVPN不需要安装客户端软件,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。
企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低。
此外,SSLVPN还提高了平台的灵活性,方便扩展应用和增强性能,对中小企业而言可以降低使用成本、最有效地保护用户投资。
由于SSLVPN安全可靠、部署简单、管理容易、使用方便,特别是随着价格适合的SSLVPN新产品的推出,对中小企业来说,在制定信息安全管理策略时SSLVPN已经成为一个切实可行的选择!
2.3防水墙
2.3.1防水墙的介绍
防水墙是用来加强信息系统内部安全的重要工具,它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段,对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程,实施安全保护;
最大限度地防止敏感信息泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志,以便日后审计或追究相关的泄密责任。
防水墙系统由三部分组成:
防水墙服务器:
包括服务器端软件和支持数据库,是防水墙系统的核心部分。
通过安全认证机制,建立与多个客户端(受控制的个人计算机)系统的连接,实现对多个客户端系统的配置、策略制定、资产管理、操作审计等功能。
防水墙控制台:
它是系统管理员、操作员、审计员等和防水墙系统交互的图形界面,实现系统管理、参数配置、策略管理和系统审计等功能。
控制台采用分权分级的授权模式,严格限制对敏感信息的访问权限,以提高系统的安全性,保证信息安全。
防水墙客户端:
它是安装于受监控主机上的监测软件,是站在客户机旁边的“安全哨兵”。
它强制执行来自服务器的安全策略,根据安全策略监测客户端用户的行为。
客户端软件采用了严密措施,防止本地用户自行卸载、关闭监控程序。
图2-3防水墙体系结构示意图
2.3.2防水墙系统如何保障企业内网的安全
防水墙系统从以下五个方面保障内网安全:
失泄密防护:
失泄密防护是防水墙系统重要功能之一。
个人计算机系统的泄密途径,主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。
防水墙系统针对这三种泄密途径做了全面的防护,可以根据实际情况选择启用或禁用,同时还可记录日志或文件以备事后追踪。
移动存储介质作为文件存储、交换的主要介质,我们将移动存储介质细分为普通移动存储介质和可信移动存储介质。
支持小到一个一个用户,大到安全域的适用范围的限定;
支持主机与介质安全密级的设定,以限定其跨密级使用;
支持对介质使用次数和使用日期的限制,以强化对移动存储介质的管理;
提供了强大的介质使用跟踪与审计,并且提供了完善的自我保护机制,以防止非法用户窃取磁盘数据内容。
除了针对以上几种泄密途径做出了全面防护之外,WaterBox™还针对多达十种的可能造成泄密的主机上外设接口,提供了启用和禁用接口的功能,作为实施失泄密防护在硬件层次上的辅助手段。
文件安全服务:
文件安全服务提供了对敏感文件的安全防护,采用了非对称算法,用户、小组和安全域具有各自独立的密钥对,用户可以根据实际需要对不同范围用户群采用不同的加密方式。
对于“个人加密”方式加密的文件,其他用户无权解密查看此文件;
对于“小组加密”方式加密的文件,该用户所在小组下的所有用户都有权解密查看此文件,其他小组的用户无权查看;
对于“公共加密”方式加密的文件,整个安全域内的用户都有权解密查看此文件。
运行状况监控:
记录了受控主机的运行状况历史日志,以便审计和监控。
WaterBox™硬件资产管理功能,能够记录资产变化信息,从而丰富了受控主机的运行状况监控功能。
系统资源管理:
提供了在线受控主机的资源信息和运行状况的快照。
系统操作员和安全审计员能登录控制台查看所管理部门节点下所有在线主机的系统资源信息,并且能随时刷新以获取当前的系统信息快照。
WaterBox™硬件资产管理功能,能够详尽地获取受控主机的软、硬件资产信息,丰富了系统资源管理功能。
扩展身份认证:
可接管Windows身份认证。
如果接管Windows身份认证,只需输入合法的防水墙用户名和口令即可登录Windows系统。
2.3.3防水墙的管理
防水墙主要有两大管理对象,一是重要的信息,一是不可靠的人。
重要信息可利用加密技术和访问控制实现安全防护,防止外泄。
对人员依靠监控工作状态和审计系统管理。
应用防水墙构建的内网安全体系,通过统一IP绑定管理,基本杜绝了内网信息泄露问题,对前面所分析的内网信息安全方面存在的问题,均可应用防水墙系统进行解决:
针对计算机网络化造成的信息泄露,可运用防水墙所提供的“扩展身份认证”和“文件安全服务”功能,用户首先通过身份验证机制登录到防水墙客户端,防水墙身份认证系统会接管Windows身份认证系统,通过设置安全域、授权、对文件加密实现内网用户之间文件共享互传。
有效地防止了文件在传输途中可能造成的泄密,也防止了电脑丢失可能造成的泄密事件的发生。
防水墙的“运行状况监控”功能,可以随时抓取网上的计算机界面,对内网计算机的联网、脱网和工作状况可以及时监控,并可详细记录网内的所有活动,如浏览网站、收发邮件、上传和下载文件等。
可以预先对某些网络活动进行阻止,防止通过网络传送敏感数据或浏览无关工作的网站。
也杜绝了内部人员使用电子邮件、MSN、FTP等将本单位内部敏感信息传送到外部造成的泄密。
对于计算机外设接口造成的信息泄露,防水墙提供的“主机资源信息管理”功能集中管理客户机内的硬件、软件和其它资源。
对计算机USB接口、1394接口、串口、并口、红外线等外设接口进行相应的控制,将客户端上的外设接口和软硬件信息传输到远程服务器端,服务器根据管理员事先定制的安全管理策略对各种接口以及其它硬件进行统一管理,包括禁用,卸载等。
能有效防止计算机外设接口造成的信息泄露。
计算机存储介质,如移动硬盘、U盘、光盘等存储介质使用监管不严格造成的信息泄露。
通过使用防水墙系统的“可信移动存储介质管理”功能,首先对移动存储介质进行分级,并进行统一认证,使用加密存储、密级访问控制等手段,有效防止移动存储介质在计算机上跨密级使用。
对于未经认证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 信息 安全管理 论文