网络安全管理
[摘要] 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT 技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。

经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。

计算机网络规模不断扩大,网络结构日益复杂。

计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。

信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。

关键词信息安全;网络;安全性
1 引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。

这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。

面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2 信息系统现状
2.1 信息化整体状况
1计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。

在内部网络中,各计算机在同一网段,通过交换机连接。

2应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。

随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2 信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3 设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

3.1 标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

3.2 系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

3.3 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。

但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

3.4 分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。

一劳永逸地解决安全问题是不现实的。

针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。

即可满足某公司安全的基本需求,亦可节省费用开支。

5 设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。

信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。

通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

4.1 网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。

目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。

PKI(Public Key Infrastructure,公钥基础设施是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。

通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication:确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality:对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity:确保通信信息不被破坏(截断或篡改,通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation:防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

4.2 安全电子邮件
电子邮件是Internet上出现最早的应用之一。

随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。

然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK 支持的S/MIME( Secure Multipurpose Internet Mail Extensions ,它是从 PEM(Privacy Enhanced Mail 和
MIME(Internet 邮件的附件标准发展而来的。

首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织( 根证书之间相互认证,整个信任关系基本是树状的。

其次, S/MIME 将信件内容加密签名后作为特殊的附件传送。

保证了信件内容的安全性。

4.3 桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。

很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。

同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。

对于桌面微机的管理和监控是减少和消除内部威胁的有效
手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。

采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2 安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。

使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。

用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3文件加密系统
文件加密应用系统保证了数据的安全存储。

由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

4.4 身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。

基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。

它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。

USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。

基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的
层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

5 结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。

本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

参考文献
[1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
[2]顾巧论,贾春福《计算机网络安全》
耿立杰109010314。