资源描述:
《企业信息系统安全体系的构建_李华锋new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第卷第期北京工业大学学报卜年月!!∀#无企业信息系统安全体系的构建李华锋,林恒北京工业大学计算机学院,北京摘要通过对网络安全现状的分析,从网络层、主机系统层、应用系统层等层次上分解了建立企业信息系统安、全体系的要素,构建了企业信息系统安全体系在建立企业信息安全体系中,主要运用了划分网络边界设置窒息点、纵深防御、堡垒主机、数据容灾等,提出了建立信息安全中心的概关键技术来实现安全体系各层次的要素念,
2、描述了安全体系的最薄弱环节、最小权限、防外也防内等基本原则,给出了相应的安全措施,最后分析了安全系统的非技术因素,从系统的角度上构建了一套完善的企业信息系统的安全体系关健词网络边界窒息点堡垒主机数据容灾信息系统安全体系一一一中图分类号刀文献标识码文章编号!信息系统的安全性一直被人们关注,因为信息系统天生就不安全操作系统在产生和发展的过程、、、、中是不断完善的操作系统的,是不可能完全避免的而打补丁创建进程远端进程创立特权继承开放端口、、超
3、级用户无限大的权利等都是造成操作系统脆弱的一个方面操作系统的发展隐蔽通道需要其有开放性这一点与操作系统的安全性有矛盾,操作系统集中体现了这一矛盾计算机网络具有脆弱性协议由于开放性使其成为事实上的工业标准,而正是由于其开放性,任何人都可以获取协议详细情况,这又造成了协议的脆弱数据库应用也十分脆弱传统数据库只通过用户、密码组合实现安全保护,数据传输无加密,存在安全漏洞发生在年月底的全球性互联网服务器瘫痪就是由于微软的安全漏洞遭到黑客攻击
4、而引发的,目前市场上存在许多安全产品各具特色,信息系统安全技术只是保障信息系统安全的一个部分作者关注的重点是如何应用相关的安全技术和产品来构建一个整体的信息系统安全体系信息系统安全体系解决方案安全体系网络构架根据企业现有的信息系统安全情况,首先考虑体系结构的安全设计考虑到大多数企业拥有专用的机房和光纤传输网络,物理层和传输层的安全容易得到保证,所以,在建立企业的信息系统安全体系时,着重考虑网络层、主机系统层和应用系统层的安全措施通常,企业原有的系统网络拓扑结构是根据业务的需求而组成的网络系统拓扑结构,
5、带有企业的业务流程和经营特点在保持原有网络拓扑结构的基础上,,首先划分清晰的网,,作者建立了相应的安全体系构架络边界将内网和外网划分出来其次内网和外网,,,相互连接的地方设立了窒息点并且在上设置了专用安全设备通常为防火墙防火墙隔离了内网和外网,有效地保证了内部网络的安全通过防火墙技术建立深度防御的网络系统,能够最有效地防止黑客的入侵,保障网络的安全’网络结构的内外隔离对内对外服务器的分离实现了网络层上的分离,加强了对外防御一一收稿日期
6、,,,,李华锋一男陕西西安人工程师硕士生作者简介北京工业大学学报年在每一个外网和内网的接口设置防火墙,将这些点设,置成为所谓就是指进出你的网络所必须经过的网络通道集中监视和控制这个点,就可以控制所有接近本系统的数据流,如图所示〔方案设计时在每个内网与外网的设置防火墙,达到企业的信息系统网络结构的安全同时,在上口口的安全关必须符合此原则安全关在系统失败时,,不允许攻击者进人
7、断开所有连接图网络边界划分一虽然同样否认了合法用户的进人,但这是必须的一,,例如路由器是的而某些基于主机的包过滤应用在崩溃后主机的其他应用仍在工作这就容易出现安全漏洞,这种安全关口就不是凡一的纵深防御,解决安全问题不要只依靠一道安全机制不管它有多么强大,必须安装多道安全机制,,对内增加防范功能改变以往防外不防内的漏洞设置多重防火墙并能通过内部交换机的设置提高内部网络安全性,而且多重防火墙尽可能选择不同厂家的产品实现网络的边界安全,将内部网络划分
8、层次,在各层次网络的人口设置安全控制具体实现的方法是在网络各层次的路由器、交换机、,如设备配置授权、路由配置、配置根访问服务器做安全配置口、、口、、、据端或地址过滤配置端访问控制拨号认证如等配置路由器加密配置等〕,、、完成纵深防御各层次防火墙的配置具体包括防火