内网安全解决方案
最高管理层对内网安全重视不够的现状下提出的解决方案
内网安全解决方案是最高管理层对内网安全重视不够的现状下提出的一种解决方案。
内网安全现状
1、最高管理层对内网安全重视不够
很多企事业单位的最高管理层对网络安全、信息安全的认识不足,更多地关注单位的最直接的经济效益,而没有花太多的精力来搞网络建设。只要网络表面上还能支撑当前的日常工作、还在运转、甚至还能拖延,都很容易被忽视。造成此结果的原因,一方面取决于企事业单位本身只把经营发展作为头等大事,网络靠边站;但另一方面,也是最主要的方面,是受传统思想的束缚,管理者的意识还没有与信息时代同步,对网络的认识和重视不够。因此,在一些很依赖网络的单位,往往发生一个很奇怪的现象:如果网络故障率越高,管理者就越重视网络的建设和安全;反之,因为故障率较低,使管理者心存侥幸、放松监管和警惕,最后酿 成大祸。
2、普通工作人员的安全意识亟待加强
为了自身工作的方便,或者碍于同事朋友的面子,普通工作人员往往不注意安全操作。随意的信息拷贝和传阅、未加安全防护的软件安装、无意间将内网连入互联网,都会给木马、病毒提供机会,给网络带来安全隐患。这种忽视安全制度、有章不循、有禁 不止的根源主要在于安全意识差、法律意识淡薄。
3、内网安全缺乏体系性的监管
在最高管理层对网络及信息安全认识不足的情况下,网管人员成为救火队,哪里出了安全问题才去事后亡羊补牢:平时无专人员维护,出现问题后再去抓壮丁。在网络安全管理上,缺乏整体考虑、缺乏系统的管理规划和监 督机制,头痛医头、脚痛医脚,没有形成主动防范、积极应对的机制, 自然就无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
4、网络安全的组织管理、培训工作滞后
信息安全管理是一项系统工程,也是一项管理工程。“三分技术、七分管理、十二分的数据”,这是对技术、管理、数据三者权重的最好诠释。网络的实施需要技 术手段提供支持,但任何技术手段最终需要通过严格的管理制度来保障落实,否则再好的技术都无法发挥效能。在网络建设的体制机制上,缺乏有力的组织 保障以及系统、规范的教育培训;安全管理制度缺乏强有力的监督落实;网络管理人员兼职较多、待遇偏低、培训不够、工作成绩多被人误解(工作做好了看不到成 绩,故障处理得多才算成绩)的现象很突出,这些都是关系网络安全建设全局的大事。
5、信息安全防范技术措施单一
对服务器的安全保护 是必须的,对数以百计乃至千计的终端的安全管理也不可忽视;对员工的安全教育是重要的,但严格有效的安全管理制度更加重要;内网与外网的物理隔离(隔断)是必要的,但在内网中加强网络防毒、防拷贝同样重要。网络管理是一项复杂的系统工程,搞好网络安全管理,需要软件、硬件、制度、人手等多管齐下,单一的安 全防范措施对于整体安全来说孤掌难鸣或顾此失彼。
6、应用软件本身安全机制欠缺
软件开发商为了获得效益最大化,在开发设计初期或软件使用前期,往往不太注意软件本身安全策略的建立和完善,而过分依赖第三方软件甚至硬件。因第三方软件的加入,既提高了网络的复杂性,也增加了网络风险。
防护方案
在用户网络内部,终端一般是通过交换机接入内部网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合安全标准的用户接入网络,ASM可以通过交换机的配合,强制终端用户在接入网络前通过入网强制技术进行身份认证安全状态评估,帮助管理员实施安全策略,确保终端病毒库和系统补丁得到及时更新,降低病毒和蠕虫蔓延的风险,阻止来自用户内部的安全威胁。
此外,一些内网安全软件类产品,可通过设置“端口、IP地址、通信方向等”参数,限制外来计算机非法访问内网/内网计算机非法访问互联网等,自动检测并实时阻断新计算机非法接入,实时发出报警。
数据保护方案
ASM的安全防护层次不仅仅限于用户接入控制,某些用户可能更关心对于核心数据区域(比如数据中心、应用业务服务器区等)的安全保护。通过在关键数据区的入口添加安全联动控制器,ASM可以强制所有访问关键数据区的用户进行入网强制和安全状态检查,确保用户访问关键数据时不会无意中因病毒和蠕虫对其产生破坏。这种保护方式也可以阻止外部用户对敏感数据的非法访问和攻击。
入口安全方案
大型用户往往拥有分支或下属机构,分支机构可以通过专线或WAN连接总部。某些用户甚至允许家庭办公用户或出差人员直接访问用户内部网络。这种组网方式在开放型的企业中比较普遍,受到的安全威胁也更严重。为了确保接入内部网的用户具有合法身份且符合安全标准,可以在总部入口路由器实施ASM准入认证,强制接入的终端用户进行身份认证安全状态检查。
管理方案
信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。建立信息安全管理体系(ISMS)可以强化员工的信息安全意识,规范组织信息安全行为;对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
HK-ISMS结构图
ISMS基本组成部分
ISMS(网络信息安全管理体系)的基本组成部分可以分为四个部分,第一是总体方针,第二是安全管理组织体系,第三是涵盖物理、网络、系统、应用、数据等方面的统一安全策略,第四是可操作的安全管理制度、操作规范和流程。
◆安全管理最高指导方针
在充分遵循和参考国际国内信息安全管理标准、国家法律法规和行业规范的基础上,阐述了安全管理体系建设的目的、适用范围、安全定义、体系结构、安全原则、关键性成功因素和声明等内容,对组织技术和管理各方面的安全工作具有通用指导性。
◆安全管理组织体系
建立健全组织信息系统的安全管理责任制。它明确定义了组织内部的安全管理组织体系,以便在整个组织体系范围内执行信息安全的管理工作。
◆安全策略体系
分别从物理安全、网络安全、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、口令管理、安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求。
◆安全管理制度、操作规范及流程
主要是从应用角度对各业务系统、各种信息技术角色相关的安全管理制度、操作规范、流程等提出具体的要求,对安全管理工作具有实际的指导作用。
参考资料
最新修订时间:2024-06-17 08:05
目录
概述
内网安全现状
参考资料