企业信息安全防护体系探索与实践

1概述

随着信息化建设的快速发展，信息技术创新影响着人们的工作方式和生活习惯，网络已成为信息传播和知识共享的载体，提高了工作效率，促进了社会的发展和进步，但由于网络环境的复杂性、多变性以及信息系统的脆弱性，决定了信息安全威胁的客观存在。近年来，国内国外信息安全的事件层出不穷，计算机病毒和木马仍然是最大的安全威胁，假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多，SQL注入、数据监听、缓冲区溢出攻击依然盛行，网络钓鱼和网络欺诈日益严重，敏感数据外泄和盗取事件频频发生，信息安全形势日趋严峻。因此，如何建立多层次的信息安全防护体系，如何保证企业信息安全，已成为各企业必须面对的重要问题。

2体系架构总体设计

针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长，不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控，网络黑客入侵、病毒木马感染、信息数据窃取等问题，通过大量的分析调研，确定企业级的信息安全防护体系应采用C/S和B/S相结合的多层架构设计，同时选择成熟主流的安全产品，统一规划设计桌面安全管理、身份管理与认证、网络安全域划分等功能系统，规范信息系统安全防护和审计标准，最大程度保证信息资源的可用性和安全性。

2.1桌面安全管理系统设计

桌面计算机是产生和存放重要信息的源头，但桌面计算机往往是信息安全事件中最薄弱的环节，因此，为切实保证企业信息业务正常开展，保障个人信息数据安全，建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。

2.1.1安全防范功能模块

安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略，查杀策略应定义为“隔离”；对于恶意商业应用程序，由于这类软件只是一些广告类的恶意重新，终止进程就可以解决问题的，安全风险程度不是很高，所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能，以及自动禁止攻击者的IP时间限定为600秒，避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生，提高桌面计算机抵御恶意攻击的能力。

2.1.2后台管理模块

区域管理器是后台管理功能模块重要组件，通过配置计算机IP范围、区域管理器参数、设备扫描器参数，可对安装探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。

2.2身份管理与认证系统设计

当前应用系统已成为企业开展各项日常业务的重要平台，但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况，严重影响企业信息数据的安全性和保密性，因此建立身份管理与认证系统，可以从根本上实现用户身份认证，保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。

2.2.1集中身份管理模块

集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式，对应用系统中的用户身份信息进行汇总与清理，建立统一的用户身份视图，实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程，包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类，从而设计出集中身份管理的功能模型，如图1所示。

2.2.2统一认证模块

统一认证模块支持用户身份的强认证，可对获取权威的身份鉴别信息进行身份认证，包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析，可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身（或分散的目录服务）。

2.2.3公共密钥基础设施模块

公共密钥基础设施系统（PKI）由认证中心(CA)、密钥管理中心(KMC)和证书注册中心(RA)等三部分组成。认证中心采用商密SRQ－14数字证书认证产品和商密SJY－63密钥管理产品，并可提供可信的第三方担保功能，认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息，利用PMI技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理，用户身份信息的审核，用户数字证书的申请与下载，用户数字证书的撤销与更新等服务。

2.3网络安全域系统设计

当前大部分企业的内部网络中均包含有非业务性质网络，且网络行为不受限，对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构，通过划分网络安全域，提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固，后深入内部防护”的指导思想，本文仅对互联网与企业网之间的安全域进行研究和探索，如图2所示。

2.3.1安全防护模块

安全防护设备包括边界防火墙、核心防火墙和入侵检测设备，主要是通过检测过滤网络上的数据包，保证内部网络的安全。防火墙可以位于两个或者多个网络之间，是实施网络之间访问控制的一组组件的集合，通过制定安全策略后防火墙能够限制被保护的内部网络与外部网络之间的信息访问与交换。入侵检测设备是防火墙的合理补充，一般该设备部署在内部网络边界。

2.3.2行为审计模块

行为审计模块可以提供网页过滤技术、应用控制技术、外发信息审计技术等,可有效防止机密信息的外泄，避免不良信息的扩散，提高员工的工作效率，保障网络资源合理使用，提高网络可管理性。

2.3.3日志分析模块

日志分析模块基于Syslog标准协议，可以对不同设备、主机、应用系统进行日志综合分析和集中展现；实现对报警信息的灵活配置和管理，同时提供灵活的报警规则配置、实时报警和历史报警信息的综合管理；基于设备、报警类别、日期等因素进行组合统计和报表，为管理人员提供直观的统计信息和报表信息。

3关键技术

3.1准入控制技术建立具有结构化、层次化的准入控制体系，针对计算机违规行为下发阻断策略，确保接入内网的计算机符合企业信息安全方面的规定。主要方法共有两种，一种是在互联网出口处部署端点准入设备，强制所有接入互联网桌面计算机安装桌面安全软件，另一种是使用虚拟隔离技术，制定访问控制策略，针对不合规的桌面计算机下发阻断策略，保证内部网络安全。3.2主动安全防范技术主动安全防范技术包括病毒木马探测和数字证书认证等，病毒木马探测技术能够强化桌面计算机实时防护功能，主动拦截病毒木马，防范日常攻击和未知安全威胁；数字证书认证技术能够实现USBkey证书和Pin口令的双因素认证方式，可以解决账号权限安全管理问题。

4应用效果

在某企业部署的信息安全防御体系应用效果良好。累计查杀新型网络病毒木马560多万个；强认证登录100多万次；抵御外部攻击600多万次，阻止访问木马钓鱼网站5万余次。

5结束语

信息化的快速发展已为企业的生产经营活动带来了极大的便捷，但同时各类安全性问题同样值得引起我们的担忧和注意，企业的信息化要想在以后得到长足的发展空间，就要及时地去解决当今出现的这些问题，并对其做出防治手段。本文从多角度对企业级信息安全防御体系构建进行了研究探索，并在企业级内部网络环境下进行了实践，但由于条件所限，未在移动无线网络环境下进行深入研究，下一步将加大力量，加强这方面的探索实践，希望可以对相关企业信息安全防御体系建设工作提供帮助。

作者:高先睿 单位:辽河油田公司

参考文献：

[1]陈梅志.计算机网络信息安全及其应对措施浅析[J].硅谷,2014,7(2):143-143.

[2]陈建平.基于工作过程的《计算机网络安全》一体化课程开发及实施研究[D].华中师范大学,2014.

[3]京力炜,付爱英,盛鸿宇.防火墙技术标准教材[M].北京:北京理工大学出版社,2007.

[4]隋正有,佟璐.对新时期计算机网络安全存在的问题及对策探讨[J].计算机光盘软件与应用,2012(2)125-126.

[5]德军.论网络环境下的计算机网络安全[J].科技经济市场,2009(11)：14-15.