信息安全论文分析.docx
《信息安全论文分析.docx》由会员分享,可在线阅读,更多相关《信息安全论文分析.docx(19页珍藏版)》请在冰豆网上搜索。
信息安全论文分析
一引言(绪论)
根据相关统计数据,我国中小企业有3700多万家,在整个企业的总数当中占了95%,对GDP贡献占55%,提供的就业机会占75%以上。
可见中小企业在我国经济结构中占据十分重要的地位。
国家非常鼓励和支持中小企业的发展。
可是中小企业的发展面临两个很大的压力:
一个是市场竞争的压力;另一个是企业自身提高完善的压力。
信息安全建设作为一种先进手段是中小企业实现可持续发展和提高市场竞争力的重要保障。
中小企业的信息安全将增强企业的竞争力,理顺和规范了企业的管理,也就提高了企业效率。
同时也能改善企业的服务质量,提高客户的满意度和忠诚度。
这就是信息安全能给中小企业发展带来的巨大作用。
所以说我国中小企业的的信息安全建设是“刻不容缓”的。
可是我国中小企业要实现信息安全还相当困难。
从投资比例来看,发达国家企业信息安全投资一般占投资总额的8%,而我国仅仅占0.3%!
采用信息安全的中小企业所占比例,国外一般达到60%以上,但在我国也就是13%左右。
信息安全程度相当低。
信息安全问题是所有企业在信息安全过程所面临的重大问题,中小型企业由于对信息安全认识程度的不够深入,往往给企业造成无可挽回的重大损失。
企业信息安全威胁主要来自以下几个方面:
一是网络攻击的威胁,会造成企业交换机、路由器、服务器或者工作站瘫痪,从而造成企业信息系统瘫痪,给企业正常运营造成严重影响;如2007年联众游戏世界在北京、上海、石家庄的多台服务器曾经遭到黑客袭击,时间近1个月,严重影响了联众公司的正常运营,并造成直接损失达数百万元。
二是来信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。
三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。
如曾“CIH”、“熊猫烧香”、“灰鸽子”等病毒就才曾经造成了企业的服务器和工作站无法正常工作,而ARP病毒往往会造成企业网络系统效率低下,甚至无法工作,给企业带来了极为严重的的后果。
那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢?
二XXX公司需求分析
某企业是电子行业的知名企业,随着企业规模的不断扩大,信息安全问题成为企业发展中的瓶颈。
该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。
在数据通信方面,企业拥有10M专线互联网接入带宽,员工在外地可使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。
在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。
企业目前面临以下问题:
因此信息安全问题迫在眉睫。
1.外部网络的安全威胁
企业网络与外网有互连。
基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。
网络系统中办公系统及员工主机上都有涉密信息。
假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。
2.内部局域网的安全威胁
公司研发部门的图纸、文档和软件的泄密给公司造成了巨大的损失,企业新开发的产品不断被竞争对手仿制并提前上市,给公司的销售业绩也带来很大压力;公司的机密资料通过互联网、移动介质等多种途径被泄露出去。
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
来自机构内部局域网的威胁包括:
误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
3.病毒的威胁
目前U盘病毒和ARP病毒在互联网广为传播,员工通过U盘、移动硬盘等可移动存储介质和外界进行数据交换,在方便的同时也从外界带来了大量的病毒,此类病毒寄生在移动介质中,能够自动复制,在不知不觉中公司的工作站就大量地被病毒感染,从而严重影响了公司的正常运作。
公司拥有10M换联网接入带宽,所有员工都可以通过工作站快速进入换联网检索资料,给工作带来了很大的方便,但同时也从换联网带来了大量的病毒,有时甚至带来新病毒变种,杀毒软件无法查杀,给公司的信息安全埋下了很大的隐患。
病毒问题已经严重影响了公司的正常运营。
4.设备管理的安全隐患
网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于管理疏忽、不正确理而使这些设备可用但安全性不佳。
某些设备的口令泄露知识他人获取管理员口令,新设备投入使用也可能存在管理漏洞,信息管理人员离职工作交接不够规范也会造成重要口令的泄露,给信息安全也带来了严重的威胁。
5.企业管理与信息安全
信息安全不仅仅是技术问题,一个良好的信息安全体系离不开企业成熟规范的管理制度;没有相应的管理制度,IT技术无法发挥出其真正的优势和效力。
ISO27001标准是企业信息安全建设的国际标准,企业可以根据自身情况按照ISO27001标准进行规范、有效的信息安全建设。
ISO27001是企业进行信息安全建设的标准
中小企业要不断发展,就必须将信息安全建设提升到企业管理的高度,只有将企业管理和信息安全制度进行有机地整合,才能真正发挥出IT技术的优势,使之真正成为企业安全、稳定运营的基础,并真正成为企业在市场经济环境中快速发展的核心竞争力的一部分。
三设计目标
1.构建强大的防火墙体系,有效隔离外部攻击,确保网络边界安全。
2.通过加密手段,对外发文件进行加密,即使文件被通过非法手段传播出去,文件本身以密文的形式存储,不会造成信息泄露。
3.建立全网统一、有效地防病毒体系,防止病毒在整个网络中的大规模传播,防止各种病毒等进入企业内部网络,阻止各类恶意代码攻击内部信息系统。
4.建立有效地应急处理和灾难恢复机制,确保突发时间后能迅速恢复系统的各项应用服务。
5.建立有效的安全管理机制,确保相关信息系统的信息安全管理组织健全、管理措施到位、管理制度完善、管理职责明确。
四方案设计
4.1建立强大的防火墙体系,抵御网络攻击
当一个企业决定用防火墙来实施组织的安全策略之后,下一步要做的就是选择一个安全、实惠、合适的防火墙;企业需要具备什么功能的防火墙,是否需要购买很贵、很高级别的防火墙,是依靠企业自己的IT资源构建独有的防火墙系统还是选择选择供应商提供的防火墙,防火墙的硬件规格应当达到什么样的水平,防火墙固有的局限性能否满足企业的需求?
在选择防火墙时,企业应当根据自身的需求选择最合适的产品。
防火墙已经成为企业信息安全必备的系统
4.1.1防火墙应具备的功能
支持“除非明确允许,否则就禁止”的设计策略,即使这种策略不是最初使用的策略;本身支持安全策略,而不是添加上去的;如果组织机构的安全策略发生改变,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理,以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;
如果用户需要NNTP(网络消息传输协议)、Xwindow、HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。
防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件;防火墙应允许公众对站点的访问;防火墙应把信息服务器和其他内部服务器分开。
防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。
此外,为了使日志具有可读性,防火墙应具有精简日志的能力。
如果防火墙使用UNIX操作系统,则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具,应该安装所有的操作系统的补丁程序。
虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。
防火墙的强度和正确性应该可被验证。
防火墙的设计应该简单,以便管理员理解和维护。
防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。
正像前面提到的那样,因特网每时每刻都在发生着变化,新的易攻击点随时可能会产生。
当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的适应性是很重要的。
4.1.2购买还是自己构筑
一些企业具有自己构建防火墙的能力,他们使用可用的软件组件和设备或自己编写一个防火墙程序。
另外一些企业利用经销商提供的防火墙技术服务,例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。
企业自己构筑防火墙的优势是内部人员了解防火墙设计的细节从而能够方便应用。
但自制防火墙需要长时间的修建、记录文档和维护,费用较高。
相比之下,从销售商那里购买防火墙是较为经济的。
企业决定是否构筑并成功地运行一个防火墙需要考虑如下问题:
防火墙应该怎样被测试?
怎么证明防火墙按需工作?
谁可以做日常的防火墙工作,如备份和修复?
谁会对防火墙进行升级更新,如安装新的代理服务器、补丁程序和其他的升级程序?
安全漏洞可以定期被更正吗?
谁会对用户进行技术支持和培训?
许多销售商不但提供安装服务,而且提供防火墙的维护,所以如果一个企业没有能力做上述之事,就应考虑使用销售商提供的服务。
无论采用何种方法,公司都应把防火墙的维护看作一种极为重要的工作,尽可能在上面多花时间。
在一些小公司中,做这项工作可能不需要一个专职的人员,但这项工作应比其他的工作更有优先权。
只有有效地维护一个防火墙,才能使它有效地工作。
一个维护不当的防火墙可能会给人一种安全的假象,而实际上却存在着很多安全漏洞。
安全策略应清楚地反应有效地进行防火墙维护的重要性。
在公司的管理上应给予防火墙维护足够的支持,如优先提供人员、资金和其他必要的资源。
有了防火墙,也不能放松对站点的管理。
事实上,如果一个防火墙被突破,一个管理不善的站点会倍受侵扰并遭受更严重的损失。
一个防火墙的存在并不意味着可以减少对高素质管理的需求。
一个防火墙可以让一个站点在系统维护上处于主动的位置,因为防火墙提供了一种屏障,所以人们就可以在系统维护上花更多的时间,而不是把大部分时间花在事故的处理上。
一个站点在防火墙的维护中应做以下工作:
标准化操作系统的版本和软件,以便安装补丁程序和安全修补程序;
应在全站点内开展有效的新程序和补丁程序的安装活动;
使用各种服务来帮助管理系统,如果一些服务可以带来更好的管理和更好的安全,那么使用这些服务;
对主机系统进行周期性的扫描检查,以发现配置上的错误和弱点,及时改正;
确保系统管理员和安全管理员可以及时地通信,对站点的安全问题做出警告。
4.1.3进一步的建议
没有一个防火墙的设计能够适用于所有的环境,所以建议选择防火墙时,应根据站点的特点来选择合适的防火墙。
如果站点是一个机密性机构,但对某些人提供入站的FTP服务,则需要有强大认证功能的防火墙。
另外,不要把防火墙的等级看得过重。
在各种报纸杂志中的等级评选中,防火墙的速度占有很大的比重。
如果站点通过T1线路或更慢的线路连接到因特网上,大多数防火墙的速度完全能满足站点的需要。
下面是选购一个防火墙时,应该考虑的其他因素:
1.网络受威胁的程度;
2.若入侵者闯入网络,将要受到的潜在的损失;
3.其他已经用来保护网络及其资源的安全措施;
4.由于硬或软件失效,或防火墙遭到“拒绝服务侵袭”,而导致用户不能访问因特网,造成的整个机构的损失;
5.机构所希望提供给因特网的服务,以及希望能从因特网得到的服务;可以同时通过防火墙的用户数目;
6.站点是否有经验丰富的管理员;
7.今后可能的要求,如要求增加通过防火墙的网络活动或要求新的因特网服务。
合理使用防火墙能大大提升企业信息安全水平
4.1.4防火墙固有的局限性
我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限,有时防火墙会给人一种虚假的安全感,导致在防火墙内部放松安全警惕。
而许多攻击正是内部犯罪,这是任何基于隔离的防范措施都无能为力的。
同样,防火墙也不能解决进入防火墙的数据带来的所有安全问题。
如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对用户的系统进行破坏。
随着Java、JavaScript和ActiveX控件及其相应浏览器的推广,这一问题变得更加突出和尖锐。
防火墙的另一个缺点是易用性不够,大多数产品还需要网络管理员手工建立。
当然,这一问题马上会得到改观。
防火墙在当今Internet上的存在是有生命力的,但它不能替代防火墙内的安全措施,因此,它不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。
4.1.5推荐的硬件规格
最近几年,中国的网络带宽正在飞跃式的发展,光线专线接入的成本已经大大降低,企业接入带宽通常可以达到10M、100M、甚至更高,VPN技术也在企业得到广泛的应用,提供远程接入的产品也快速地进入了一般企业的应用范畴,在换联网接入更加快捷的同时,也对企业的防火墙规格提出了更高的要求,对于接入能力一般的企业,我们认为以下规格的防火墙在满足企业网络吞吐量的同时,也足以满足企业的各种应用业务需求。
主要参数
规格
备注
防火墙
企业级防火墙
人数限制
无用户数限制
并发连接数
64000以上
吞吐量
750Mbps以上
UTM
IPS、反病毒、反垃圾邮件、网页过滤
过滤带宽
80Mbps以上
主要功能
安全、路由、交换产品,支持UTM、POE供电、无线Wlan、3G接入功能,为地区和分支机构的部署提供完美的高性能、安全性和局域网/广域网连接管理
安全标准
UL、CUL、CSA、CB
VPN支持
支持
策略数
512以上
硬件参数
1GB内存,2个10/100/1000M以太口,6×10/100以太口,1Gflash存储,1Mini-PIM插槽,1个ExpressCard插槽
4.2内网安全是信息安全的重要组成部分
在目前情况下,企业信息化水平已经具有相当水平,文件存贮形势由之前的以纸质文档为主正在迅速地向电子文档的形势过渡,在方便存储、使用和检索的同时,也容易被大量窃取,并且由于电子文档的存储特性,使得这种泄密行为不易被发现,其危险性远远超过了纸质文档时代;文件泄密问题已经成为内网信息安全最为重要的问题,而加密文件系统是企业应对文件泄密的重要手段之一。
文件泄密已经成为内网安全的重要问题
根据计世资讯(CCWResearch)的研究报告《2006年中国行业用户网络安全市场调研报告》研究发现,大多数用户认为内网的威胁安全问题已经成为重要的问题。
制度及措施是保证内网安全的最主要的措施。
随着网络的庞大化和复杂化,网络威胁变得越发严重化,内网安全已经逐渐引起业界的广泛关注。
目前在安全领域有一种看法,认为“内网的威胁占据安全问题的主要部分”,对于这种说法,计世资讯(CCWResearch)在行业用户的调研中发现,有43.6%的用户表示非常同意这种观点,32%的用户认为有些道理,不同意的比例只有24%。
可见,大部分用户对内网威胁的严重性是认可的,内网的安全已经引起了用户端的重视。
员工可以绕过防火墙将重要文件传递到外部
尽管也有一些用户认为网络威胁主要是来自外部的攻击,内部如果依靠相应的管理,安全应该没有太大问题。
但是,更多的用户还是对内网威胁给予了足够的重视,原因主要包括以下几个方面:
首先,厂商和用户的主要关注点目前较为集中在外网威胁方面,而对内网安全管理环节的重视相对薄弱,一旦内网出现问题后果将不堪设想;其次,由内网用户引起的危险更难防范;再则,内网直接关系到公司运作,内网资料是企业的核心,内网出现问题容易导致整个系统瘫痪;此外,内部使用人员的安全意识不够;从网络安全产品供应端来看,目前控制内网的安全产品还没有形成规模,很大程度上纵容了内网安全存在的问题。
4.2.1部署防泄密软件
为了帮组企业选择最为合适的防泄密软件,我们对市场上比较知名的几家文件加密软件企业进行了调研,并将其产品进行对比和试用,使企业对防泄密如那件具有全方位的了解,从而能够比较容易的选择出适合企业自身的软件系统。
为了避免商业纠纷,本次咨询的三家软件厂商名称以A公司、B公司、C公司代替。
1.咨询目的和简介
本次咨询的目的是为了提企业的内网信息安全水平,通过购买第三方公司的安全软件,在本公司进行部署,从而实现对公司内部的重要文档资料进行有效保护,确保此类文档在公司内部可以流转使用;一旦未经允许,私自进行拷贝并携带出公司,文档资料处于加密状态,不能进行正常读取;进而提高本公司内网信息安全级别,保护本公司较为重要的研究资料和成果。
移动介质难以管理,是文件泄密的重要途径
本次所咨询公司的资料获取途径主要为通过互联网查找,然后和各软件厂商约谈,对其软件产品进行了解,并安装测试版软件试用。
本次所选取三家软件厂商在内网安全领域有长时间的发展,具有有一定的较大型企业的实施经验,因此在本行业有一定的代表性;三家公司均是北京本土企业,总部和研发部门均设置在北京,有利于厂家提供更好的技术支持,其他地方企业如上海*****公司、深圳*****公司等,由于非本土企业,并同此次约见企业都属于同一类型,因此没有进行约见。
2.产品功能
三种产品属于内网信息安全软件,技术上和功能方面各有特色,最终都能保证,当电子文档被私自带出公司时,文档是以加密形式存储的,如果没有经过授权解密,打开之后均是乱码,无法查看。
非法流传到外部的文件是以密文形式存在的
A公司产品包含模块比较多,包括一些和安全相关并不紧密的某块,如资产管理等,其软件设计思路是封堵各种可能的传播途径,如U盘、MSN、QQ等,对磁盘分区进行加密,而文档本身并不加密,当执行拷贝指令时才进行加密,因此,通过这些途径传播出去的文件都是加密的,实施此软件,需要预先将要加密的文件整理到一个分区中,然后对分区进行加密。
B公司产品属于透明文档加密产品,可以对磁盘上选定的文件格式进行加密,与A公司产品不同的是,文档本身是加密的,无论通过何种方式传播出去,文档都是加密的,透明加密的另一个优势是基本不改变客户机的使用习惯,产品各模块基本都与文档加密紧密相关。
C公司产品与B公司产品较为相似,都是属于文档透明加密产品,只是在具体管理界面和操作上有所不同,另外C公司产品含有删除备份模块,如果设置的备份服务器,在文件被误删除时,可以从备份服务器恢复,但是备份服务器在具体使用时,在文件较大的情况下,由于网络带宽等各方面的限制,将会对用户操作产生较大的影响。
3.产品比较
产品
比较
A公司
B公司
C公司
优点
1.功能较多,有一定的网络管理功能。
2.对相关外设,如移动硬盘等有较强的管理能力。
3.对整个磁盘分区加密,对单个分区可以选择加密或不加密,有利于客户机对文件集中管理。
1.透明加密使用方便,基本不影响客户端使用习惯。
2.产品以文档加密为核心,功能专一。
3.WEB管理界面,使用比较方便。
4.B/S和C/S混合管理架构。
5.有大型企业实施经验。
6.厂家直接提供技术支持。
1.透明加密使用方便,基本不影响客户端使用习惯。
2.产品以文档加密为核心,功能专一。
3.WEB管理界面,使用比较方便。
4.日志和策略管理分离。
5.B/S和C/S混合管理架构。
6.厂家直接提供技术支持。
缺点
1.管理界面比较复杂,策略设置也比较繁琐。
2.文档本身不加密,只能通过策略设置进行封堵。
3.非核心功能模块较多。
4.C/S管理,不够灵活
5.通过渠道销售,厂家不直接提供技术支持。
1.需要对文档类型进行归类,特殊文件需要手动添加文件格式。
2.客户机上的非敏感数据,只要扩展名符合加密设置,也会进行加密,因此当客户机进行非加密文档交换时,有较大影响。
1.日志和文档管理分离,管理不够集中。
2.文档备份功能在目前技术情况下对客户机和服务器端有较大影响。
3.客户机上的非敏感数据,只要扩展名符合加密设置,也会进行加密,因此当客户机进行非加密文档交换时,有较大影响。
备注
4.软件系统选择
根据目前的前期咨询和比较,B公司和C公司产品属于透明文档加密,而A公司更侧重于对传播途径进行控制;相比而言,前两者对文档本身进行加密,不需要设置复杂的控制策略,因而有更高的安全性,更适合进行文档控制、资料防泄露工作。
4.2.2内网安全的其他方面
文件加密问题只是内网安全一个重要部分,要提高企业的信息安全水平,仅仅做到这些还是远远不够的,任何软件的实施都离不开一个安全、稳定、规范的网络环境,因此对网络环境的优化和规范也是提升内网安全水平的重要基础。
IP-MAC绑定策略能够规范企业IP地址进行合理分配,并且在出现重要安全事故时,IP地址是进行信息追索、定位并迅速结局故障的重要依据之一,而IP-MAC绑定策略能根本地解决企业网络管理无序的状况。
IP-MAC绑定策略是信息安全管理的重要手段
限制部分员工访问外网能大大降低文件泄密的几率,当然这项策略经常遭到员工的抵制,然而从企业管理角度来讲,并非所有的员工都需要访问外网的权限,某些网络节点所完成的工作和外网完全没有关系,这些节点不仅消耗了企业的带宽,而且给信息管理工作带来了更多的问题,加重了IT部门的工作难度。
无线节点的管理也非常重要,IT技术发展迅速,现在无线设备已经在办公司发挥着越来越重要的作用,然而无线网络从一开始出现就被加密问题所困扰,无论是企业用户还是家庭用户,所部署的无线节点如果设置的加密级别太低,都很容易被破解而成为公共的“WIFI热点”。
,“WPA预共享密钥(WPA-PSK)”是目前最难破解的加密方式,因此WPA将最大程度地保护你的密码不被破解。
802.11的WEP是最先被攻破的加密技术
4.3病毒的威胁
计算机病毒也是信息安全的主要威胁之一,随着互联网技术的发展,病毒的破坏形式也在不断发生变化;1999年大规模爆发的CIH病毒以破坏计算机存储的文件和设备的固件为主,而2007年爆发的熊猫烧香病毒不但破坏计算机程序,还会盗取用户的QQ账号、游戏账号等敏感信息,带有非常明显的经济目的;除此之外,还有大量既不属于病毒的所谓“垃圾软件”,他们往往生存在软件产业的灰色地带,往往会成为木马类病毒的传播“后门”,给企业的信息安全带来了严重的威胁。
大名鼎鼎的CIH病毒
伴随着用户对网络安全问题的日益关注,黑客、病毒木马制作者的“生存方式”也在发生变化。
病毒的“发展”已经呈现多元化的趋势,类似熊猫烧香、灰鸽子等大张旗鼓进行攻击、售卖的病毒已经越来越少,而以猫癣下载器、宝马下载器、文件夹伪装者为代表的“隐蔽性”顽固病毒频繁出现,同时小范围、针对性的木马、病毒也已经成为新增病毒的主流。
感染熊猫烧香的计算机程序
4.3.1病毒的增长情况
2009年,计算机病毒和木马处于一个“低调增长期”,虽然一些类似熊猫烧香的重大恶性病毒越来越少见,但一些小范围、针