步驟/方法
11.網絡安全管理制度的建設
通常所說的網絡安全建設“三分技術,七分管理”,也就是突出了“管理”在網絡安全建設中所處的重要地位。長期以來,由於管理制度上的不完善、人員責任心差而導致的網絡攻擊事件層出不窮。
盡管在所有的網絡安全建設中。網絡安全管理制度的建設都被提到極其重要的位置,但能按相關標准制定出具有全面性、可行性、合理性的安全制度,並嚴格按其實施的項目數量並不是很多。
這一點,不得不引起用戶的重視,內網安全建設中,安全制度的良好實施和執行能從很大程度上保證網絡的安全,同時為網絡的管理和長期監控提供有理可依的指導性理論。例如,建立完善的機房管理制度、完善的網絡使用制度、責任到人的設備管理制度、網絡安全應急預案和定期網絡評估制度等。
22.網絡使用人員安全意識的培養
長期的安全攻擊事件分析證明,很多攻擊事件是由於人員的安全意識薄弱,無意中觸發了黑客設下的機關、打開了帶有惡意攻擊企圖的郵件或網頁造成的。針對這種情況,首要解決的問題是提高網絡使用人員的安全意識,定期進行相關的網絡安全知識的培訓,全面提高網絡使用人員的安全意識,是提高網絡安全性的有效手段。
在網絡安全防護系統建設層面,主要包括:
2.1.合理的網絡安全區域劃分
對於一個大型的局域網絡內部。往往會根據實際需要劃分出多個安全等級不同的區域,合理的進行安全域的劃分,利用網絡設備所提供的劃分VLAN技術等對網絡進行初步的安全防護。
2.2.網絡安全防護系統建設
當前常見的網絡安全防護系統包括防火牆、入侵檢測系統、漏洞掃描系統、安全審計系統、病毒防護系統、非法外聯系統、VPN、漏洞掃描系統和綜合網絡安全管理平台等。
防火牆通常被用來進行網絡安全邊界的防護,事實證明,在內網中不同安全級別的安全域之間采用防火牆進行安全防護,不但能保證各安全域之間相對安全,同時對於網絡日常運行中,各安全域中訪問權限的調整提供了便利條件。
入侵檢測的出現,很大程度地彌補了防火牆防外不防內的特性。同時,對網絡內部的信息做到了實時的監控和預警,入侵檢測系統與防火牆的聯動,給內網中重要的安全域打造了一個動態的實時防護屏障。
利用安全審計系統的記錄功能,對網絡中所出現的操作和數據等做詳細的記錄,為事後攻擊事件的分析提供了有力的原始依據。
利用網關防病毒系統將病毒盡最大可能地攔截在網絡外部,同時在網絡內部采用全方位的網絡防病毒客戶端進行全網的病毒防護,針對服務器采用專有的服務器防病毒客戶端,同時保證全網病毒防護系統做到統一管理和病毒防護策略的統一。
非法外聯系統能有效的保證內網中接入節點的合法性,同時對於通過非正常鏈路連入非安全域的節點做實時預警和阻斷。
針對內網中重要的服務器部分,為保證訪問人員身份的合法性,采用身份認證系統對訪問人員身份的合法性加以確認,對訪問服務器的人員做詳細的訪問控制。
綜合網絡安全管理平台
網絡中各安全設備協同工作,各自提供相應的安全數據,綜合網絡安全管理平台對各數據的統一並進行綜合分析,得出整個網絡的安全分析報告,為後續的網絡安全設備的策略制定和網絡安全制度的管理提供指導性的建議。
33.安全可控的網絡
當企業建設一個相對封閉的內部網絡時,一定要保證對該網絡做到完全控制,所謂完全控制,在這裡包含以下幾層含義:
1.連入網絡的節點的監控。內部網絡是相對封閉的環境,對於網絡中的節點信息和與連入內部網絡的節點,要做詳細的監控和及時的防范。
2.非法對外訪問的監控。內部網絡中的節點通過非正當渠道對外訪問,如通過Modem撥號的方式連入外部網絡的方式,及時發現並做到安全防范。
3.網絡數據實時監控和審計。針對內部網絡中的傳輸數據,通過網絡設備做到實時監控,實時發現可疑信息並報警,同時做相應的安全審計,從而為事後的電子取證提供有力的依據。
4.實時病毒監控。對內部網絡進行實時的病毒防范,對網絡中病毒的防護狀況做實時監控,包括重要的服務器、工作站和工作PC等網絡安全系統。
5.全網的統一監控。對全網的安全數據做到統一管理,統一下發安全策略,統一分析安全數據,得出全網安全狀況和風險級別。