第PAGE\*Arabic\*MERGEFORMAT7页共NUMPAGES\*MERGEFORMAT7页企业信息安全防护体系探索与实践1概述随着信息化建设的快速发展，信息技术创新影响着人们的工作方式和生活习惯，网络已成为信息传播和知识共享的载体，提高了工作效率，促进了社会的发展和进步，但由于网络环境的复杂性、多变性以及信息系统的脆弱性，决定了信息安全威胁的客观存在。近年来，国内国外信息安全的事件层出不穷，计算机病毒和木马仍然是最大的安全威胁，假冒用户和主机身份进行不法活动或实施攻击的现象逐渐增多，sql注入、数据监听、缓冲区溢出攻击依然盛行，网络钓鱼和网络欺诈日益严重，敏感数据外泄和盗取事件频频发生，信息安全形势日趋严峻。因此，如何建立多层次的信息安全防护体系，如何保证企业信息安全，已成为各企业必须面对的重要问题。2体系架构总体设计针对企业中桌面计算机数量庞大、应用系统平台多样化、互联网业务应用急剧增长，不合规计算机接入内网、互联网违规访问、系统账户盗用等行为无法管控，网络黑客入侵、病毒木马感染、信息数据窃取等问题，通过大量的分析调研，确定企业级的信息安全防护体系应采用c/s和b/s相结合的多层架构设计，同时选择成熟主流的安全产品，统一规划设计桌面安全管理、身份管理与认证、网络安全域划分等功能系统，规范信息系统安全防护和审计标准，最大程度保证信息资源的可用性和安全性。2.1桌面安全管理系统设计桌面计算机是产生和存放重要信息的源头，但桌面计算机往往是信息安全事件中最薄弱的环节，因此，为切实保证企业信息业务正常开展，保障个人信息数据安全，建立先进实用的桌面安全管理系统十分必要。该系统主要包括安全防范和后台安全管理两个模块。2.1.1安全防范功能模块安全防范功能模块可对特洛伊木马、蠕虫等制定主动检查和清除的策略，查杀策略应定义为“隔离”；对于恶意商业应用程序，由于这类软件只是一些广告类的恶意重新，终止进程就可以解决问题的，安全风险程度不是很高，所以将查杀策略定义为“终止”。该模块提供入侵防护功能、启用拒绝服务检测功能、启用端口扫描检测功能，以及自动禁止攻击者的ip时间限定为600秒，避免出现由于大量攻击行为而消耗计算机性能和网络带宽的情况发生，提高桌面计算机抵御恶意攻击的能力。2.1.2后台管理模块区域管理器是后台管理功能模块重要组件，通过配置计算机ip范围、区域管理器参数、设备扫描器参数，可对安装代理探头程序的桌面计算机进行管理。实现桌面计算机配置管理、安全审计及报警管理、电子文档保护等功能。2.2身份管理与认证系统设计当前应用系统已成为企业开展各项日常业务的重要平台，但由于这些应用系统登录方式不统一、安全认证模式多样、部分系统密码强度不足等情况，严重影响企业信息数据的安全性和保密性，因此建立身份管理与认证系统，可以从根本上实现用户身份认证，保证系统访问的安全性。身份管理与认证系统由集中身份管理、统一认证和公共密钥基础设施三个模块组成。2.2.1集中身份管理模块集中身份管理模块通过对用户身份信息的获取、映射、同步、核对等方式，对应用系统中的用户身份信息进行汇总与清理，建立统一的用户身份视图，实现用户实体与用户身份信息的唯一对应。集中身份管理模块固化对用户身份的集中管理流程，包括与用户身份管理相关的审批与操作流程。在对集中身份管理模块的功能细化并进行归类，从而设计出集中身份管理的功能模型，如图1所示。2.2.2统一认证模块统一认证模块支持用户身份的强认证，可对获取权威的身份鉴别信息进行身份认证，包括用户口令、用户数字证书、数字证书撤销列表等。通过对信息系统一般的身份认证流程进行分析，可以得到统一认证采用的身份信息和鉴别信息都来自于信息系统本身（或分散的目录服务）。2.2.3公共密钥基础设施模块公共密钥基础设施系统（pki）由认证中心（ca）、密钥管理中心（kmc）和证书注册中心（ra）等三部分组成。认证中心采用商密srq－14数字证书认证产品和商密sjy－63密钥管理产品，并可提供可信的第三方担保功能，认证中心支持颁发证书、更新证书、撤销证书等操作。密钥管理中心存储着所有用户的证书密钥信息，利用pmi技术保证密钥信息数据的安全。证书注册中心可为用户提供数字证书申请的注册受理，用户身份信息的审核，用户数字证书的申请与下载，用户数字证书的撤销与更新等服务。2.3网络安全域系统设计当前大部分企业的内部网络中均包含有非业务性质网络，且网络行为不受限，对内部应用系统的安全构成严重威胁。为构建安全可靠网络架构，通过划分网络安全域，提高整体网络的安全性。网络安全域设计应包括互联网与企业网之间、企业办公网与生产网之间、关键应用系统与普通应用系统之间等三个层次的安全防护。本着“先边界安全加固，后深入内部防护”的指导思想，本文