資源描述:
《企業(yè)信息系統(tǒng)安全體系的構(gòu)建_李華鋒new》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�����。
1��、第��卷第�期北京工業(yè)大學(xué)學(xué)報(bào)�������卜����年��月�����!����!?#���������������������������無(wú)����企業(yè)信息系統(tǒng)安全體系的構(gòu)建李華鋒,林恒北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院,北京�����摘要�通過(guò)對(duì)網(wǎng)絡(luò)安全現(xiàn)狀的分析,從網(wǎng)絡(luò)層����、主機(jī)系統(tǒng)層、應(yīng)用系統(tǒng)層等層次上分解了建立企業(yè)信息系統(tǒng)安��、全體系的要素,構(gòu)建了企業(yè)信息系統(tǒng)安全體系在建立企業(yè)信息安全體系中,主要運(yùn)用了劃分網(wǎng)絡(luò)邊界設(shè)置窒息點(diǎn)、縱深防御���、堡壘主機(jī)����、數(shù)據(jù)容災(zāi)等,提出了建立信息安全中心的概關(guān)鍵技術(shù)來(lái)實(shí)現(xiàn)安全體系各層次的要素念,
2���、描述了安全體系的最薄弱環(huán)節(jié)��、最小權(quán)限���、防外也防內(nèi)等基本原則,給出了相應(yīng)的安全措施,最后分析了安全系統(tǒng)的非技術(shù)因素,從系統(tǒng)的角度上構(gòu)建了一套完善的企業(yè)信息系統(tǒng)的安全體系������關(guān)健詞網(wǎng)絡(luò)邊界窒息點(diǎn)堡壘主機(jī)數(shù)據(jù)容災(zāi)信息系統(tǒng)安全體系���一一一中圖分類號(hào)����刀�文獻(xiàn)標(biāo)識(shí)碼�文章編號(hào)������������������!���信息系統(tǒng)的安全性一直被人們關(guān)注,因?yàn)樾畔⑾到y(tǒng)天生就不安全��操作系統(tǒng)在產(chǎn)生和發(fā)展的過(guò)程�、�����、、��、中是不斷完善的操作系統(tǒng)的��,�是不可能完全避免的而打補(bǔ)丁創(chuàng)建進(jìn)程遠(yuǎn)端進(jìn)程創(chuàng)立特權(quán)繼承開(kāi)放端口���、����、超
3�����、級(jí)用戶無(wú)限大的權(quán)利等都是造成操作系統(tǒng)脆弱的一個(gè)方面���操作系統(tǒng)的發(fā)展隱蔽通道需要其有開(kāi)放性�這一點(diǎn)與操作系統(tǒng)�的安全性有矛盾,����操作系統(tǒng)集中體現(xiàn)了這一矛盾���計(jì)算機(jī)網(wǎng)絡(luò)具有脆弱性�������協(xié)議由于開(kāi)放性使其成為事實(shí)上的工業(yè)標(biāo)準(zhǔn),而正是由于其開(kāi)放性,任何人都可以獲取協(xié)議詳細(xì)情況,這又造成了��������協(xié)議的脆弱��數(shù)據(jù)庫(kù)應(yīng)用也十分脆弱傳統(tǒng)數(shù)據(jù)庫(kù)只通�過(guò)用戶����、密碼組合實(shí)現(xiàn)安全保護(hù),數(shù)據(jù)傳輸無(wú)加密,存在安全漏洞發(fā)生在����年�月底的全球性互聯(lián)網(wǎng)服務(wù)器癱瘓就是由于微軟���������的安全漏洞遭到黑客攻擊
4、而引發(fā)的,�目前市場(chǎng)上存在許多安全產(chǎn)品各具特色,信息系統(tǒng)安全技術(shù)只是保障信息系統(tǒng)安全的一個(gè)部分作者關(guān)注的重點(diǎn)是如何應(yīng)用相關(guān)的安全技術(shù)和產(chǎn)品來(lái)構(gòu)建一個(gè)整體的信息系統(tǒng)安全體系��信息系統(tǒng)安全體系解決方案���安全體系網(wǎng)絡(luò)構(gòu)架根據(jù)企業(yè)現(xiàn)有的信息系統(tǒng)安全情況,首先考慮體系結(jié)構(gòu)的安全設(shè)計(jì)�考慮到大多數(shù)企業(yè)擁有專用的機(jī)房和光纖傳輸網(wǎng)絡(luò),物理層和傳輸層的安全容易得到保證,所以,在建立企業(yè)的信息系統(tǒng)安全體系時(shí),著�重考慮網(wǎng)絡(luò)層����、主機(jī)系統(tǒng)層和應(yīng)用系統(tǒng)層的安全措施通常,企業(yè)原有的系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是根據(jù)業(yè)務(wù)的�需求而組成的網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu),
5、帶有企業(yè)的業(yè)務(wù)流程和經(jīng)營(yíng)特點(diǎn)在保持原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上,,��首先劃分清晰的網(wǎng),,作者建立了相應(yīng)的安全體系構(gòu)架絡(luò)邊界將內(nèi)網(wǎng)和外網(wǎng)劃分出來(lái)其次內(nèi)網(wǎng)和外網(wǎng),,,相互連接的地方設(shè)立了�����������窒息點(diǎn)�并且在����������上設(shè)置了專用安全設(shè)備通常為防火墻�防火墻隔離了內(nèi)網(wǎng)和外網(wǎng),有效地保證了內(nèi)部網(wǎng)絡(luò)的安全�通過(guò)防火墻技術(shù)建立深度防御的網(wǎng)絡(luò)系統(tǒng),能夠最有效地防止黑客的入侵,保障網(wǎng)絡(luò)的安全�’�������網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)外隔離對(duì)內(nèi)對(duì)外服務(wù)器的分離實(shí)現(xiàn)了網(wǎng)絡(luò)層上的分離,加強(qiáng)了對(duì)外防御��一一收稿日期�������
6���、���,,,,�李華鋒�����一�男陜西西安人工程師碩士生作者簡(jiǎn)介北京工業(yè)大學(xué)學(xué)報(bào)����年在每一個(gè)外網(wǎng)和內(nèi)網(wǎng)的接口設(shè)置防火墻,將這些點(diǎn)設(shè),置成為��������所謂����������就是指進(jìn)出你的網(wǎng)��絡(luò)所必須經(jīng)過(guò)的網(wǎng)絡(luò)通道�集中監(jiān)視和控制這個(gè)點(diǎn),就可以控制所有接近本系統(tǒng)的數(shù)據(jù)流,如圖�所示�〔����������方案設(shè)計(jì)時(shí)在每個(gè)內(nèi)網(wǎng)與外網(wǎng)的����������設(shè)置防火墻,達(dá)到企業(yè)的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的安全�同時(shí),在�������上口�口���的安全關(guān)必須符合此原則安全關(guān)在系統(tǒng)失敗時(shí)���,,不允許攻擊者進(jìn)人���
7��、斷開(kāi)所有連接圖�網(wǎng)絡(luò)邊界劃分���一���雖然同樣否認(rèn)了合法用戶的進(jìn)人,但這是必須的��一�,,例如路由器是������的而某些基于主機(jī)的包過(guò)濾應(yīng)用在崩潰后主機(jī)的其他應(yīng)用仍在工作這就容易出現(xiàn)安全漏洞,這種安全關(guān)口就不是凡一������的�����縱深防御,解決安全問(wèn)題不要只依靠一道安全機(jī)制�不管它有多么強(qiáng)大�,必須安裝多道安全機(jī)制,,��對(duì)內(nèi)增加防范功能改變以往防外不防內(nèi)的漏洞設(shè)置多重防火墻并能通過(guò)內(nèi)部交換機(jī)的����設(shè)置提高內(nèi)部網(wǎng)絡(luò)安全性,而且多重防火墻盡可能選擇不同廠家的產(chǎn)品���實(shí)現(xiàn)網(wǎng)絡(luò)的邊界安全,將內(nèi)部網(wǎng)絡(luò)劃分
8��、層次,在各層次網(wǎng)絡(luò)的人口設(shè)置安全控制�具體實(shí)現(xiàn)的方法是在網(wǎng)絡(luò)各層次的路由器����、交換機(jī)��、,如設(shè)備配置授權(quán)�、路由配置、����配置�根訪問(wèn)服務(wù)器做安全配置口�����、���、���口、��������、��������、據(jù)端或�地址���過(guò)濾配置端訪問(wèn)控制撥號(hào)認(rèn)證�如�等�配置路由器加密配置等��〕�,���、��、��完成縱深防御各層次防火墻的配置具體包括防火
