信息化网络安全规划 摘要:本文对信息化络安全建设从设计原则、安全防护范围、网络脆弱性等多个纬度进行剖析,结合市场相应安全产品进行合理安全规划。 1概述 随着信息化建设步伐的加大,企业业务系统繁多,软硬件基础设施的数量庞大,网络结构越趋复杂。与此同时,在企业网络中各类安全事件也频频发生,给企业的正常信息化工作造成了很大的障碍,这其中包括: ●木马,病毒造成的破坏 ●管理的欠缺及资源滥用造成的网络效率及性能低下 ●系统及软件的漏洞和后门造成的潜在的安全漏洞 ●网络内部用户的误操作和恶意行为造成的信息流失与泄漏 ●缺乏有效的监控与审计手段造成的安全事件的难以追责,安全隐患不能及时发现与 处理等 作为一个网络安全人员要解决上述种种现象,更为合理,有序的规划网络安全建设,首先需要确立信息化网络安全建设的目标,这个目标应该是确保信息在存储。传输,使用的过程中不被损坏、盗窃·保证信息的保密性、完整性、可用性、可控性和操作不可否认性。通过不断的完善和优化最终实现信息在可控的范围内,被可信的人按照可预知的操作进行使用,同时操作可追述不可抵赖。 2设计原则 在规划之前,首先要根据防范安全攻击的安全需求,需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(“系统安全工程能力成熟模型”)和ISOl 7799(t 占息安全管理标准)等国际标准,综合考虑可实施性,可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则。 2.1网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面,完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的“安全最低点”的安全性能。 2.2网络信息安全的整体性原则 要求在网络发生被攻击,破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的 进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量,及时地恢复信息,减少供给的破坏程度。 2.3安全性评价与平衡原则 对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系。做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。 2.4标准化与一致性原则 系统是一个庞人的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。 2.5技术与管理相结合原则 安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 2.6统筹规划,分步实施原则 由于政策规定、服务需求的不明朗,环境,条件、时间的变化,攻击手段的进步,安全防护不可能一步到位。可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。 2.7等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对 本文来源:https://www.wddqw.com/doc/3a59c678d6d8d15abe23482fb4daa58da1111c02.html