信息化网络安全规划
摘要: 本文对信息化络安全建设从设计原则、 安全防护范围、 网络脆弱性等多个纬度进
行剖析,结合市场相应安全产品进行合理安全规划。
1 概述
随着信息化建设步伐的加大, 企业业务系统繁多, 软硬件基础设施的数量庞大, 网络结
构越趋复杂。 与此同时, 在企业网络中各类安全事件也频频发生, 给企业的正常信息化工作
造成了很大的障碍,这其中包括:
木马,病毒造成的破坏
管理的欠缺及资源滥用造成的网络效率及性能低下
系统及软件的漏洞和后门造成的潜在的安全漏洞
网络内部用户的误操作和恶意行为造成的信息流失与泄漏
缺乏有效的监控与审计手段造成的安全事件的难以追责,安全隐患不能及时发现与
处理等
作为一个网络安全人员要解决上述种种现象, 更为合理, 有序的规划网络安全建设, 首
先需要确立信息化网络安全建设的目标, 这个目标应该是确保信息在存储。 传输, 使用的过
程中不被损坏、盗窃·保证信息的保密性、完整性、可用性、可控性和操作不可否认性。通
过不断的完善和优化最终实现信息在可控的范围内, 被可信的人按照可预知的操作进行使用,
同时操作可追述不可抵赖。
2 设计原则
在规划之前, 首先要根据防范安全攻击的安全需求, 需要达到的安全目标、 对应安全机
制所需的安全服务等因素,参照 SSE-CMM(“系统安全工程能力成熟模型” )和 ISOl 7799(t
占息安全管理标准)等国际标准,综合考虑可实施性,可管理性、可扩展性、综合完备性、
系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下 9 项原则。
2.1 网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。 “木桶的最大容积取决于
最短的一块木板” 。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管
理上的种种漏洞构成了系统的安全脆弱性, 尤其是多用户网络系统自身的复杂性、 资源共享
性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则” ,必然在系统中最薄弱的地
方进行攻击。因此,充分、全面,完整地对系统的安全漏洞和安全威胁进行分析,评估和检
测(包括模拟攻击) 是设计信息安全系统的必要前提条件。 安全机制和安全服务设计的首要
目的是防止最常用的攻击手段,根本目的是提高整个系统的“安全最低点”的安全性能。
2.2 网络信息安全的整体性原则
要求在网络发生被攻击, 破坏事件的情况下, 必须尽可能地快速恢复网络信息中心的服
务,减少损失。 因此,信息安全系统应该包括安全防护机制、 安全检测机制和安全恢复机制。
安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施, 避免非法攻击的
资源评论
