企业内网信息安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业内网信息安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业内网信息安全范文第1篇
近年来,许多企业内网数据信息泄露事件频繁出现,这预示企业内容数据信息泄露防御工作存在严重的缺陷。并且随着各种新型技术、热门应用的应用,增加了对企业内网的攻击频率和针对性,造成大量的数据信息泄露,这对于企业的健康、稳定以及长足发展是非常不利的。十之后,信息安全作为重大战略,上升到国家高度,加强并构筑企业信息防御能力显得更为重要和迫切。因此,文章针对信息泄露防御模型在企业内网安全中应用的研究具有一定的现实意义。
2企业内网安全现状分析
目前,黑客间谍、木马等在不停的给企业内网制造安全麻烦,并且利用各种新型技术、热门应用等,增加了对企业内网的攻击频率,并且攻击目标越来越具有针对性,盗取了企业内网中的众多重要数据信息,给企业内网安全埋下严重的隐患。同时,对企业内网数据信息泄露事件进行分析,影响企业内网信息安全的因素,不仅仅是黑客间谍、木马的攻击,还有一部分是由于企业并没有创建科学、有效的信息防御模型,再加上企业内网安全维护人员自身疏忽、操作不当或者其他原因可能引发内网数据信息的泄露。正是由于上述众多原因,并且企业在运行的过程中的业务流程以及数据信息量的不断的增多,加上泄露防御系统、员工失误等导致的信息泄露事件逐渐的增多,因此亟待采取有效的措施进行安全控制和处理。目前,企业针对内网信息泄露的防御措施包括以下几个方面:禁止使用打印机、光驱、软驱等;禁止使用可移动储存器;禁止使用网络连接等,上述“人治”的方式虽然组织了敏感信息进入到企业内网,但是却降低了系统的可用性,实用性不强。
3信息泄露防御模型在企业内网安全中的应用分析
3.1信息泄漏防御模型原理
本文提出了基于密码隔离的信息泄露防御模型,利用密码以及访问控制的方式,在企业内网中创建一个虚拟网,以此解决企业内网敏感信息泄露的问题。文章给出一个科学的秘钥管理协议,结合对称加密算法,赋予了该信息泄露防御模型一人加密指定多人解密的功能,即企业中的任何用户对敏感信息进行加密后,能够指定一个或者多个解密者,以此控制敏感信息的传播途径与范围。该信息泄露防御模型在企业内网安全中应用的最大特点在于拥有者与使用者不分离,例如,企业内部人员在不改变终端的前提下,同时不影响其任何权限,具有访问终端上的所有客体的权限,这样很容易导致企业内网的敏感信息外泄,但是这样必须控制用户的行为,因此,文章提出的基于密码隔离的信息泄露防御模型,将系统的主体、客体进行分级,即低安全级与高安全级,其中高安全级储存以及传递的信息需要受到保护,不能泄露到企业外部。因此,该模型的核心思想表现为:当模型判断信息为敏感信息时,将信息的安全等级提升为高安全级,如果高安全级的信息被传递至外部网络或者设备时,会对信息进行加密,然后将敏感信息相对应的数据文件标记成高安全级,在应用环境中形成一个密码隔离的虚拟网络,在该虚拟网络中敏感信息以密文的形式存在,即使黑客或者恶意用户将信息通过移动储存器、网络等传递到企业外部,但是得不到相应的解密密钥,也不会导致企业信息被泄露。
3.2CIBSM模型的应用
近年来,企业内网信息系统规模不断的扩大,覆盖范围越来越广,因此信息系统的组成也逐渐的向复杂化方向发展,威胁信息系统安全的因素不断的增多,如果仅仅提出保证企业内网信息安全的理论,并不能够保证企业内网信息安全,还需要给出科学、合理、可行的实施方法,基于此创建了OM/AM框架,即O-objective(目标)、M-model(模型)、A-architecture(架构)、M-mechanism(机制),该架构实现了“做什么”到“怎样做”的转变,即将CIBSM模型从理论到实践,从工程上给出可行的实施方法,有效的解决了企业内网信息外泄的隐患。CIBSM模型的工程实现采用安全内核方式,通过控制文件读写以及进程的方式防止信息泄露,在实际应用的过程中应该注意以下两个方面:3.2.1密钥管理协议方面密钥管理机制在一定程度上决定了CIBSM模型的实用性以及安全性,因此密钥管理机制应该保证企业内网的所有合法终端都能够对敏感信息进行加密,并且在企业的应用环境中对加密的敏感信息进行解密,并且保证非法终端部能够解密加密的敏感信息。同时,还应该保证解密秘钥的透明性,防止用户将密钥带到企业外部环境。基于此,CIBSM模型采用基于身份的密钥管理机制,便于实现企业内网信息的安全传递与储存。3.2.2可信终端引入方面通过引入可信终端,能够实现对敏感信息的降级处理,实现对企业内部敏感信息的正确管理,并且所有的敏感信息都需要经过可信终端的降级处理,即用户需要将敏感信息通过外部储存装置或者打印带至企业应用环境以外时,可信终端会对所有的敏感信息进行降级处理,以此保证企业内网敏感信息的安全性。可信终端的引入,在不降低系统可用性的基础上,提高了企业内网敏感信息的安全性。
4结束语
企业内网信息安全范文第2篇
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
企业内网信息安全范文第3篇
企业信息系统网络安全面临的主要威胁:①操作系统的安全性;②防火墙的安全性;③来自内部网用户的安全威胁;④采用的TCP/IP协议族软件,本身缺乏安全性;⑤应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少;⑥网络设施本身和运行环境因素的影响,网络规划、运行管理上的不完善带来的威胁。
2网络信息安全方案实施
通过对化工企业网络信息安全现状的分析与研究,我们制定如下企业信息安全策略。庆阳石化的计算机网络主干采用千兆以太网络光纤技术,实现数据中心核心交换机与管控中心、中央控制室、生活区汇聚层交换机间的高带宽连接;厂区各区域接入层交换机与汇聚层交换机间采用千兆以太网光纤实现高速连接;接入层采用千兆以太网双绞线技术,实现千兆到桌面。各业务服务器全部采用千兆以太网络光纤或双绞线技术,实现与核心交换机的1000M连接。同时为保护办公网络及本地内网间数据安全,需设置区域网络隔离控制及公网访问安全控制。
2.1防火墙的实施方案
从网络整体安全性出发,运用2台CISCOpix535的防火墙,其中一台主要对业务网和企业内网进行隔离,另一台则对Internet和企业内网之间进行隔离,其中DNS、邮件等则是针对外服务器连接在防火墙的DMZ区以及内网与外网之间进行隔离。
2.2网络安全漏洞管理方案
当前企业网络中的服务器主要有WWW,邮件,域以及存储等,除此之外,其中还有十分重要的数据库服务器。对管理工作人员而言,他们无法确切了解服务器系统及整个网络安全缺陷或漏洞,更没有办法对其进行解决。因此,必须依靠漏洞扫描的方法对其进行定期的扫描、分析以及评估等,对于过程中存在的部分问题及漏洞及时向安全系统发送报告,使其及时对安全漏洞进行风险评估,从而在第一时间内进行解决,增强企业网络的安全性。
2.3防病毒方案
当前企业主要运用的是Symantec防病毒软件,主要是对网络内的服务器及内部的计算机设备进行全面性病毒防护。同时,在网络中心设置病毒防护管理中心,使局域网内的全部计算机处在一个防病毒的区域之中。此外,还可以运用防病毒管理域的服务器针对整个领域进行病毒防范,制定统一的反病毒策略,设置场扫描任务调度系统,使其进行自动检查与病毒防范。
2.4访问控制管理
必须实行有效的用户口令及访问限制制度,一次来确保网络的安全性,致使唯独合法用户进行合法资源的访问设置。与此同时,还需要在内网的系统管理过程中严格管理全部设备口令(口令之中最好有大写字母,字符以及数字等),切记不可在不同的系统上采用统一性的口令,否则将会出现严重的故障问题。实施有效的用户口令和访问控制,确保只有合法用户才能访问系统资源。
3企业网络信息安全管理
3.1完善网络信息安全管理机制
在当前企业网络运营过程中,必须确保其信息安全管理的规范化。只有将企业网络与信息管理的安全性纳入生产管理体系,才能使企业网络得以正常运行。此外,还必须加强建设网络和信息安全保证体系中的安全决策指挥、安全管理技术、安全管理制度以及安全教育培训等多个系统,并实施行企业行政正职负责制,进一步明确各个部门的责任等。
3.2建立人员安全的管理制度
必须了解企业内部人员录取、岗位分配、考核以及培训等管理内容,提高工作人员的信息安全意识,才能确保企业内部信息安全体系的有效进行,为企业未来的发展奠定基础。
3.3建立系统运维管理制度
明确环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、事件处置、应急预案等管理内容。
3.4建立系统建设管理制度
企业内网信息安全范文第4篇
Gartner的调查数据显示,目前有超过85%的企业信息安全威胁来自企业内网。虽然很多企业的信息安全防护体系都将外部威胁作为防护的重中之重,但数据泄露事件却愈演愈烈,企业的内网安全面临挑战。
大量投入却效果不佳
为了防范数据泄露事件的发生,目前虽然许多企业开始调整信息安全资金的投入方向,并在改善内网安全环境的同时推出更为严格的惩戒制度,但实际上,理想的防范水准与现实情况还存在着很大的差距。
“企业内网的信息系统面临的安全风险日渐加剧。”北京市国路安信息技术有限公司(下文简称国路安,GLA)研发总监林顺东认为,有两个关键因素导致企业内网安全防护的效果不佳:首先是在传统的防护结构中,每台终端及应用操作人员都是系统与外部环境连接的边界,这些边界数量多、分布范围广、类型复杂,给企业的安全管理控制带来极大的难度;其次是传统的杀毒软件、入侵检测等安全工具基于“黑名单”的安全机制,已经无法满足当前企业的防护需求,特别是企业的业务系统具有相对明确的操作人员和运行流程,应该采用更为适合也更严格的“白名单”机制。
从架构上防止数据泄露
为了改变企业在内网安全领域遇到的窘境,国路安提出了称为“云纵深防御”的新思路。据林顺东介绍,云纵深防御架构是通过安全虚拟化技术和应用安全网关系统,将应用系统(包括应用终端和应用服务器)整体部署到云端(数据中心或机房),从而有效减少应用系统与外部环境之间的边界数量和边界种类。另外,云纵深防御还采用“白名单”安全机制对应用操作人员及其操作行为进行安全控制和规范,从根本上提高了应用系统的安全性。
企业内网信息安全范文第5篇
关键词:信息安全;管理体系;PKI/CA;MPLS VPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。
1.5信息安全意识较差,技术水平参差不齐
企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
