1、信息安全问题分类
在企业信息化工作的开展中,信息安全问题是必须要考虑的首要问题。数字化企业信息安全问题总体上分为信息泄露问题和信息丢失问题。
1.1信息泄露问题
数字化企业信息系统覆盖面广,不仅涉及到企业内部设计和管理层信息化系统,而且向下延伸到企业生产设备网络化运行系统。可见信息安全涉及人员和环节多,稍有不慎就会出现信息泄露事件,一旦信息泄露将会对企业造成极大危害。
1.2信息丢失问题
数字化企业信息化程度高,一旦出现信息丢失,将可能影响整个企业的运行,使企业处于瘫痪状态。同时由于对信息的依赖程度高,使得安全问题的“水捅效应”更加明显,单点的安全问题可能会对企业带来很大的危害。
2、安全体系
针对数字化企业的总体信息安全需求,遵循安全性、可行性、效率性、可承担性的设计原则,数字化企业的信息安全体系可从物理安全、网络安全、信息化数据及资料安全、制度约束几方面进行设计。
2.1物理安全
物理安全的目的是保证数据库服务器、应用服务器、计算机系统、网络交换机、通讯链路以及其他重点生产设备的企业级信息安全,物理安全措施主要包括以下方面。
(1)建立不同安全区域标志实施不同区域隔离。
特别是服务器存放的中心机房、涉及企业级保密数据的单位。具体设计中考虑门禁系统,建立出入审查和登记管理制度,对出入活动进行不间断实时监视记录。
(2)抑制和防止电磁泄漏(即TEMPEST技术)。
目前主要防护措施有2类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉祸合。另一类是对辐射的防护,这类防护措施又可分为以下2种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对中心机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
2.2网络安全
2.2.1网络结构安全
通过层次设计和分区设计实现网络之间的访问控制,网络结构设计时需要对网络地址资源分配、VLAN划分、路由协议选择、QoS配置等方面进行合理规划。通过VPN加密信道保障企业分支机构、合作伙伴与总部之间信息传输的安全性;通过布置防火墙系统加强了网络层的安全性;通过在入口防火墙上布置入侵检测系统动态保护网络;通过布置访问控制系统、基于主机的人侵检测系统,进一步保障关键服务器的安全。
2.2.2访问控制策略
访问控制是网络安全防范和保护的主要策略,是保证网络安全最重要的核心策略之一,它的主要任务是保证网络资源不被非法使用和非常访问。访问控制也是维护网络系统安全、保护网络资源的重要手段。
访问控制采用防火墙(Firewall)对服务器的网络访问进行控制,同时对重要服务器安装专门的访问控制软件,对登陆操作系统进行身份识别和审计。
各种策略必须相互配合才能真正起到保护作用。
(1)人网访问控制。
人网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录并获取网络资源,用户的人网访问控制可分为3个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的默认限制检查。3道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输人用户名和口令,服务器将验证所输人的用户名是否合法。如果验证合法,才继续验证用户输人的口令,否则用户将被拒之网络之外。网络管理员可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号只有系统管理员才能建立。
(2)网络的权限控制。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。根据访问权限将用户分为以下几类:
a.特殊用户(即系统管理员);
b.一般用户,系统管理员根据他们的实际需要为他们分配操作权限;
c.审计用户,负责网络的安全控制与资源使用情况的审计。
用户对网络资源的访问权限可以用一个访问控制表来描述。
(3)目录级安全控制。
网络应控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种:系统管理员权限(Supervisor )、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。网络系统管理员为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效完成工作,同时又能有效控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
(4)属性安全控制。
当用文件、目录和网络设备时,网络系统管理员给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
(5)防火墙控制。
防火墙作为近期发展起来的一种保护计算机网络安全的技术性措施,是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进l出2个方向通信的门槛。在网络边界上通过多级防火墙建立起来的相应网络通信监控系统来隔离内部和外部网络、内网不同区域的访问,对网络中重要网段加以保护,以阻档外部网络的侵入。目前的防火墙主要有以下2种类型。
a.包过滤防火墙:
包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型( TCP、UDP、ICMP等)、协议源端口号、协议目的