一、企业信息化概述
全球信息化推动了信息社会的发展,改变了人类的生产和生活方式,促进了知识经济的成长,加快了世界经济一体化进程。对信息的掌握、利用与传播,成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。信息化最终要落实在企业信息化,因为企业才是财富的真正源泉。
企业信息化是指“企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用和传播信息资源的过程”。实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质优劣和竞争优势强弱。
企业信息化的范围是以生产控制为核心的自动化系统、以财务成本管理为核心的管理系统、以电子商务为核心的投融资决策与营销系统。由于业务愈来愈多的依靠计算机网络,一个问题越来越受到重视 网络安全。
二、网络安全
传统网络安全包括三个基本要素:机密性、完整性、可用性 机密性:确保信息不暴露给未授权的实体或进程。 完整性:确保内容不会被破坏或篡改。只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
随着网上电子商务等业务的开展,又增加了一个新的要素:抗否认机制。即个体在网络中签署的文件或进行的交易不容抵赖,保证网上业务的正常开展。 如何达到以上要求,华堂网络公司从自身能力出发,为用户考虑提出以下实现模型以指导自身的工作:
安全技术是实现网络安全的基础:其内容包括密码理论与技术、认证识别理论与技术、授权与访问控制理论与技术、审计追踪技术、网间隔离与访问代理技术、反病毒技术等。有了他们才能开发出可靠的产品。
安全产品是实现网络安全的工具:它包括了防火墙产品、漏洞扫描产品、入侵监测系统、vpn系统、安全服务包等。
安全策略是实现网络安全的关键:用户的最终目的是达到前面提到的四个安全要素。安全不是产品的堆砌如何利用安全产品达到此目的,必须有一个完整、完善的安全策略。它应包括:物理安全策略、网络安全策略、数据加密策略 、数据备份策略、病毒防护策略、系统安全策略 、身份认证及授权策略、灾难恢复策略、事故处理、紧急响应策略、安全教育策略、口令管理策略、补丁管理策略、系统变更控制策略、商业伙伴、客户关系策略、复查审计策略等
客户关系是实现网络安全的保证:它包括了对用户的设备使用情况跟踪、安全事件审计、升级服务等。安全是动态的安全,也没有十全十美的安全策略,只有通过审计发现问题并弥补之,通过产品升级来面对新的威胁,才能保证达到一个和资产价值平衡的安全水平。
三、安全策略实现
一般大中型企业由于下属企业在地理上的分散,通过internet实现下属机构、企业与集团总部的网络互联。无论集团总部还是下属企业,其内部网络的结构大同小异:按行政结构,下属部门各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。这些局域网都是直接连接到网络中心,共享公共应用服务,同时也提供自己的信息给其他单位共享。一般来说,这些局域网之间没有直接通信通道。中心子网中,放置着各种公共应用服务器,如办公服务器、对内和公开的WWW服务器等。其他应用各有自己的子网,例如,财务服务器放置在财务子网中,销售服务器放置在销售子网,电子商务的Web服务器放置在电子商务子网。
典型大中型企业网络拓扑图如下:
1. 信息分级 信息分级是基于数据相对重要性以及数据对于公司的敏感度规定的。大多数企业而言,对于基于业务敏感度的数据分组来说,4级方案己经是足够强健了: 公共:如果信息可以向公众清楚透露,信息就是公共的。公共信息通过授权的渠道向公众发布,这些渠道包括印刷品的发布、杂志文章以及企业的主页。 内部:那些没有向公众公开透露的信息是内部的。为实现保护和处理的目的, 公司的内部信息是根据其包含的最敏感数据或材料来分级的。另外,无论数据以何种格式存储,都应该分到相同的级别并且受到相近级别的保护。 机密:信息受到威胁会对公司及其顾客、供应商或员工产生不利影响,这样的信息就是机密信息。这种信息包括在正常的业务活动中对员工公开的信息,但是这些信息必须由公司控制,并且不得在末经授权的情况下泄露给公众。 公司机密数据的保护和处理上的要求要比对待内部数据方面严格。 限制:信息受到威胁会对公司及其顾客、供应商或员工找造成严重的损失,这样的信息就是限制级的。这类信息极为敏感,要求个人在访问之前必须进行必要性确认。限制数据的保护和处理上的要求要比对待机密数据方面严格。
根据以上定义我们对大中型企业的网络资源进行分级:
公共:任意 内部:企业内部网、Mail服务器 机密:数据库、ERP等业务服务器、财务系统、人力资源系统 限制:销售数据库、薪资信息
2. 风险评定
上图是美国计算机安全协会和FBI年度调查报告的数据示意图,我们根据此图可以得到风险最大的威胁种类。它们分别威胁了四个安全要素的一个或多个。 机密性:活动线路分接、电信窃听、系统渗透、内部人员滥用网络、手提电脑失窃、电信诈骗、窃取私人信息、未授权内部人员访问 完整性:系统渗透、恶意破坏、病毒、未授权内部人员访问 可用性:系统渗透、恶意破坏、拒绝服务、内部人员滥用网络、手提电脑失窃、病毒、 抗否认机制:金融诈骗、电信诈骗
3. 安全策略大纲
根据风险分析我们提出策略大纲,为方便分类我们将四要素中共有的用户认证和访问控制单列出来:
4. 策略实施纲要
在公司总部和分支机构网络出口处分别配置HT-2800,HT1800: 控制外网对web服务器的访问; 限制外网对内的访问,限制蠕虫的侵入; 控制移动用户对内网的访问 控制内网对mail服务器的访问; 对通过公网传输的数据进行加密; 对数据流进行日志、审核、监控。 在业务服务器前配置HT-2500: 控制内网对业务服务器的访问; 防火墙进行基于用户的加密强制认证; 对用户访问、失败登陆、系统警报进行日志、审核、监控。 在人力、财务、销售部门局域网前配置HT-2800: 限制对以上部门资源的访问; 进行加密增强用户认证; 对外部访问连接进行加密; 进行全面日志、审核、监控 全网部署集中控管式防病毒软件 相应服务器依策略进行读写等权限设置
|