信息與網(wǎng)絡(luò)安全體系整體安全模型：網(wǎng)絡(luò)與信息安全是一個(gè)以全面安全策略為核心不斷循環(huán)的動(dòng)態(tài)閉環(huán)。參考國(guó)內(nèi)外各種模型，結(jié)合我校實(shí)際情況，提出如下模型(圖1)。
 

　　1、信息與網(wǎng)絡(luò)安全策略

　　安全策略是一套既定的規(guī)則，信息安全所有行為必須遵循此套規(guī)則，其制定必須緊密結(jié)合用戶信息系統(tǒng)的功能和運(yùn)作以及信息管理策略，具體來(lái)說(shuō)必須遵循以下五個(gè)原則：需求、風(fēng)險(xiǎn)和代價(jià)三者平衡原則；綜合性、整體性和一致性原則：易操作性原則：適應(yīng)性和靈活性原則：多重保護(hù)原則。

　　制定好的安全策略必須先進(jìn)行詳細(xì)的資產(chǎn)調(diào)查、威脅評(píng)估、風(fēng)險(xiǎn)評(píng)估，再根據(jù)評(píng)估結(jié)論，制定符合適合本單位安全策略。因?yàn)榘踩�策略的核心地位，所以必須在整個(gè)安全體系運(yùn)轉(zhuǎn)時(shí)動(dòng)態(tài)調(diào)整，以期更準(zhǔn)確、更安全。

　　信息與網(wǎng)絡(luò)安全策略制定后。網(wǎng)絡(luò)與信息安全專責(zé)(策略的制定者)、計(jì)算機(jī)信息運(yùn)行專責(zé)(執(zhí)行者)和業(yè)務(wù)使用者(最終用戶)在系統(tǒng)運(yùn)行過(guò)程中要各司其職，分工協(xié)作，確保整個(gè)安全策略有效實(shí)施。

　　2、安全保護(hù)

　　2.1身份認(rèn)證系統(tǒng)當(dāng)前常用的“用戶名+口令”的身份認(rèn)證方式，安全性非常弱，用戶名和口令易被竊取。建議采用動(dòng)態(tài)密碼系統(tǒng)，其由用戶端的密碼令牌和應(yīng)用系統(tǒng)端的認(rèn)證服務(wù)器組成。用戶登錄應(yīng)用系統(tǒng)時(shí)，依據(jù)安全算法，認(rèn)證系統(tǒng)會(huì)在密碼令牌的專用芯片和認(rèn)證服務(wù)器上同時(shí)生成動(dòng)態(tài)密碼，若雙方密碼相同，則為合法用戶，否則為非法用戶。用戶登錄前，只要根據(jù)令牌上顯示的當(dāng)前動(dòng)態(tài)密碼，再加上一個(gè)個(gè)人識(shí)別碼登錄即可。每個(gè)認(rèn)證令牌擁有特定的鍵值，正是基于這一種子和某一功能強(qiáng)大的隨機(jī)運(yùn)算法則，在每分鐘都會(huì)生成一個(gè)唯一與該身份認(rèn)證令牌對(duì)應(yīng)的新密碼：在用戶與認(rèn)證值組合中，只有服務(wù)器能夠分辨該時(shí)刻哪一個(gè)密碼合法。

　　2.2加密(數(shù)據(jù)加密與通信加密)虛擬專用網(wǎng)(Virtual Private Network，VPN)運(yùn)用于：本校與縣級(jí)電大之間的Intranet VPN；校信息網(wǎng)與遠(yuǎn)程(移動(dòng))人員之間的遠(yuǎn)程訪問(wèn)(Remote Access)VPN；VPN是集合了數(shù)字加密驗(yàn)證和授權(quán)來(lái)保護(hù)經(jīng)過(guò)INTERNET的信息的技術(shù)。它可以在遠(yuǎn)程用戶和本信息系統(tǒng)網(wǎng)絡(luò)之間建立一個(gè)安全管道。

　　2.3備份與容災(zāi)對(duì)于一些關(guān)鍵部門，比如教務(wù)系統(tǒng)的數(shù)據(jù)中心，只有本地?cái)?shù)據(jù)備份是遠(yuǎn)遠(yuǎn)不夠的。這些關(guān)鍵業(yè)務(wù)對(duì)數(shù)據(jù)的可用性要求極高，數(shù)據(jù)的丟失或損壞都會(huì)造成無(wú)法彌補(bǔ)的損失；當(dāng)數(shù)據(jù)中心被突發(fā)因素破壞時(shí)，比如火災(zāi)、地震、爆炸，要求在遠(yuǎn)程有數(shù)據(jù)的備份并能在短時(shí)間內(nèi)恢復(fù)業(yè)務(wù)的運(yùn)行。這就是容災(zāi)解決方案要解決的問(wèn)題。

　　災(zāi)難備份是為在數(shù)據(jù)生產(chǎn)中心現(xiàn)場(chǎng)整體發(fā)生癱瘓故障時(shí)，備份中心以適當(dāng)方式接管工作，從而保證業(yè)務(wù)連續(xù)性的一種解決方案。目前使用基于網(wǎng)絡(luò)的容災(zāi)方案。
 

　　通過(guò)在存儲(chǔ)交換網(wǎng)絡(luò)中接入虛擬化存儲(chǔ)管理平臺(tái)進(jìn)行存儲(chǔ)設(shè)備之間的數(shù)據(jù)復(fù)制它的優(yōu)點(diǎn)是：①支持異構(gòu)存儲(chǔ)系統(tǒng);②不消耗主機(jī)資源：③支持任意數(shù)量的主機(jī)；④減少管理成本;⑤可以基于IP或者FC鏈路。

　　2.4邊界防護(hù)必須建立以防火墻為核心的邊界防護(hù)體系。防火墻是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測(cè)的、潛在破壞的非法入侵。它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部地結(jié)構(gòu)、信息和運(yùn)行情況，以此來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地安全保護(hù)。

　　但在邊界處只部屬防火墻，無(wú)法阻止來(lái)自正常開(kāi)放端口的病毒、木馬、蠕蟲、間諜軟件、黑客攻擊等惡意的網(wǎng)站威脅和基于內(nèi)容的威脅。應(yīng)在邊界處(特別在Internet邊界)部屬類似于Secure Web Gateway(SWG)的郵件、WEB網(wǎng)關(guān)設(shè)備及IPS等設(shè)備。

　　我校信息網(wǎng)絡(luò)現(xiàn)在與省校之間采用防火墻進(jìn)行安全隔離，按照最小化原則開(kāi)放最少的端口：切斷原先與舊校區(qū)的物理連接；在Internet邊界處安裝郵件網(wǎng)關(guān)，對(duì)郵件病毒進(jìn)行有效清除。并規(guī)定所有外網(wǎng)與校信息網(wǎng)的的業(yè)務(wù)接入，必須報(bào)批信息中心，并在連接邊界安裝符合相關(guān)規(guī)定的防火墻，才能投入使用。

　　2.5防病毒病毒防范子系統(tǒng)主要包括計(jì)算機(jī)病毒預(yù)警技術(shù)、已知與未知病毒識(shí)別技術(shù)、病毒動(dòng)態(tài)濾殺技術(shù)等。能同時(shí)從網(wǎng)絡(luò)體系的安全性、網(wǎng)絡(luò)協(xié)議的安全性、操作系統(tǒng)的安全性等多個(gè)方面利用病毒免疫機(jī)理。加強(qiáng)對(duì)計(jì)算機(jī)病毒的識(shí)別、預(yù)警以及防治能力，形成基于網(wǎng)絡(luò)的病毒防治體系。

　　網(wǎng)絡(luò)病毒發(fā)現(xiàn)及惡意代碼過(guò)濾技術(shù)能對(duì)疫情情況進(jìn)行統(tǒng)計(jì)分析，能主動(dòng)對(duì)lNTERNET中的網(wǎng)站進(jìn)行病毒和病毒源代碼檢測(cè)；可利用靜態(tài)的特征代碼技術(shù)和動(dòng)態(tài)行為特征綜合判定未知病毒。

　　2.6用戶桌面安全保證終端節(jié)點(diǎn)安全是整個(gè)安全體系中最基礎(chǔ)、最易被忽視的一環(huán)。為此必須做到以下幾點(diǎn)：資產(chǎn)管理、桌面防病毒與反間諜軟件、桌面補(bǔ)丁管理、違規(guī)外聯(lián)自動(dòng)阻斷、桌面主機(jī)防火墻、主機(jī)入侵防護(hù)，接入強(qiáng)制認(rèn)證等功能。

　　3、監(jiān)測(cè)與應(yīng)急響應(yīng)與事故恢復(fù)

　　安全監(jiān)控和審計(jì)在信息安全防范體系中是重要環(huán)節(jié)，在這一環(huán)節(jié)中要注意以下兩個(gè)方面。

　　3.1入侵檢測(cè)系統(tǒng)：它是防火墻的合理補(bǔ)充，應(yīng)部署在所有網(wǎng)絡(luò)邊界處和重要網(wǎng)段入口處。它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)子系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

　　3.2應(yīng)急響應(yīng)與事故恢復(fù)：在發(fā)現(xiàn)入侵行為后，要及時(shí)切斷入侵、抵抗攻擊者的進(jìn)一步破壞行動(dòng)，作出及時(shí)準(zhǔn)確的響應(yīng)。使用實(shí)時(shí)響應(yīng)阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來(lái)確保響應(yīng)的準(zhǔn)確、有效和及時(shí)，預(yù)防同類事件的再發(fā)生并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障�；謴�(fù)是防范體系的又一個(gè)環(huán)節(jié)，無(wú)論防范多嚴(yán)密，都很難確保萬(wàn)無(wú)一失，使用完善備份與容災(zāi)機(jī)制，將損失降至最低。

　　4、系統(tǒng)漏洞檢測(cè)與安全評(píng)估軟件

　　系統(tǒng)漏洞檢測(cè)可以探測(cè)網(wǎng)絡(luò)上每臺(tái)主機(jī)乃至路由器的各種漏洞：安全評(píng)估軟件從系統(tǒng)內(nèi)部掃描安全漏洞和隱患。安全評(píng)估軟件還主要涉及到網(wǎng)絡(luò)安全檢測(cè)，其主要是系統(tǒng)提供的網(wǎng)絡(luò)應(yīng)用和服務(wù)及相關(guān)的協(xié)議分析和檢測(cè)。

　　系統(tǒng)漏洞檢測(cè)與安全評(píng)估軟件完成的任務(wù)：

• 對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和環(huán)境的變化必須進(jìn)行定期的分析，并且及時(shí)調(diào)整安全策略；
• 定期分析有關(guān)網(wǎng)絡(luò)設(shè)備的安全性，檢查配置文件和日志文件；
• 定期分析操作系統(tǒng)和應(yīng)用軟件，一旦發(fā)現(xiàn)安全漏洞，應(yīng)該及時(shí)修補(bǔ)；
• 檢測(cè)的方法主要采用安全掃描工具，測(cè)試網(wǎng)絡(luò)系統(tǒng)是否具有安全漏洞和是否可以抗擊有關(guān)攻擊，從而判定系統(tǒng)的安全風(fēng)險(xiǎn)。

　　5、安全信息管理與安全加固

　　5.1信息安全工作重在管理安全管理工作涉及：安全策略管理、業(yè)務(wù)流程管理、應(yīng)用軟件開(kāi)發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施、運(yùn)行流程管理、場(chǎng)所管理、安全法律法規(guī)的執(zhí)行等等，其中，安全策略管理是首要工作。

　　5.2安全加固除了根據(jù)安全評(píng)估結(jié)果增加必要的投入外，必須對(duì)現(xiàn)有的安全設(shè)施與系統(tǒng)進(jìn)行加固。用戶桌面系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，應(yīng)用系統(tǒng)。網(wǎng)絡(luò)設(shè)備，安全設(shè)備與系統(tǒng)必然存在各式的漏洞，應(yīng)及時(shí)不斷跟蹤各類產(chǎn)品產(chǎn)家的漏洞發(fā)布，及時(shí)發(fā)現(xiàn)潛在的威脅。并進(jìn)行漏洞修補(bǔ)，它將幫助保護(hù)您的計(jì)算機(jī)免受惡意攻擊。如微軟操作系統(tǒng)的Microsoft Update會(huì)在計(jì)算機(jī)運(yùn)行并連接至Internet時(shí)自動(dòng)下載并安裝最新的Windows安全更新。

　　總之，網(wǎng)絡(luò)與信息安全體系是一個(gè)有機(jī)、動(dòng)態(tài)的整體，要建立相對(duì)完善的網(wǎng)絡(luò)與信息安全體系，必須做到：體系整體動(dòng)態(tài)地循環(huán)，根據(jù)不斷變化的軟、硬件環(huán)境，各個(gè)組成部分有機(jī)地交互，不斷地調(diào)整，不斷提高本身的自適應(yīng)性，以適應(yīng)新的應(yīng)用環(huán)境。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：信息與網(wǎng)絡(luò)安全體系模型探討

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121510712.html