公司网络安全管理体系_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
3页¥2.0065页免费20页免费4页¥3.002页¥3.002页¥3.005页¥3.0021页免费1页免费42页4下载券
公司网络安全管理体系|
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢当前位置： →
工信部官员：未来管理层将重点从六大方面布局网络安全
工信部通讯保障局网络安全处副处长付景广在周三上午&2014年互联网大会网络安全论坛&上表示，从互联网行业主管部门的视角来看，未来工信部将从网络系统安全、网络安全突发事件应对、专业技术安全等六个方面进行重点布局，此外下一步工信部还将研究制定移动互联网应用安全管理办法，探索建立移动应用程序第三方安全检测机制等等。
付景广提到的工信部未来重点布局的六个方面分别是：大力加强网络基础设施和互联网业务系统安全防护；着力提升重大突发网络安全事件应急相应能力；积极维护公共互联网网络安全环境；加强新技术、新业务网络安全管理等。
付景广表示下一步工信部将进一步加大监督检查力度，督促企业落实网络安全责任，同时进一步要求企业，特别是基础电信企业，要应用安全可控的软硬件产品，加强关键设备采购前的安全检测，开展网络和系统上线前的风险评估、开展业务应用程序，原代码安全检测；强化网络安全技术能力和手段建设；充分发挥行业组织和专业机构的作用。
对于网络安全行动的进展，其表示目前专项行动已经取得初步成功，发现和下架了一批恶意程序，关停了一批恶意程度传播和客户端，同时深挖相关利益链条，及时将违反犯罪线索提交公安机关依法打击。
而对于新兴的互联网事物的管理态度，其表示要加强对云计算、大数据、物联网、移动互联网以及下一代互联网新技术、新业务网络安全业务的跟踪研究，加快推进相关网络安全标准研制，下一步对涉及提供公共电信和互联网服务的基础设施和业务系统，都将纳入工信部网络安全防护管理体系进行监管。
在网络安全大数据方面，其表示工信部将研究利用云计算、大数据等新技术提高网络安全监测预警能力，促进企业技术手段与行业主管部门技术手段对接，制定接口标准规范，实现监测数据共享。
关注官方微信
扫一扫分享本文到朋友圈
联系我们：
&(发送邮件时，请把#换成@)
投稿信箱：
&(发送邮件时，请把#换成@)
企业网版权所有大型企业信息安全管理办法
　|　　|　　|　　|　　|　　|　　|　　|　　|　　|　　|　
您现在的位置：
大型企业信息安全管理办法
天诺时空 版权所有！未经授权禁止转载、摘编、复制或建立镜像，如有违反，追究法律责任。
Copyright &
All Rights Reserved|||||| 更多
比特客户端
我们也在这里：
企业网络安全体系建设中的问题及对策
关键字：Web
　　一、引言
　　伴随着生营活动中对业务灵活性、成本控制、可伸缩性工作流程等需求的日益增多，以经营管理联网、移动办公等业务模式出现，数据交换从内部网络延伸至企业间网络、政府网络和等，促使着企业必须加快信息网络的建设步伐，同时，为了规范企业管理，从政府监管部门到企业内部都从内部控制管理上对信息系统流程、应用、数据和基础设施的完整性、安全性、准确性方面有严格的制度规范和管理要求。另一方面，信息网络面临的安全威胁也与日俱增，安全攻击渐渐向有组织、有目的、规模化集团化利益化方向发展，网络、系统漏洞依然泛滥，建设一个适宜有效、安全稳定、符合企业自身实际情况的信息网络，建立健全一套符合安全管理规范月_具有可操作性的网络安全防护体系，成为企业建设中的重要内容。
　　二、企业网络面临的主要问题及威胁
　　(一)从系统技术层面来看，企业网络面临的主要威胁来自以下几个方面：
　　1.网络系统自身的脆弱性
　　大多数企业网络都是基于协议建立的基础网络，众所周知，TCP/IP作为开放的网络协议，存在着大量的安全漏洞，基于它所提供的, EMA11、RPC,等服务均包含了诸多不安个因素，而往往这些服务又是企业经常用到的基础服务。
　　2.的不安全性
　　大部分的信息系统产生安全问题的基本原因是操作系统的机构和机制不安全，由于PC机硬件结构的简化，系统不分层执行、内存无越界保护等导致了系统资源配置可以被篡改、被植入执行、利用缓冲区溢出攻击、特权用户被非法接管等安全事故。
　　3.与应用程序的脆弱性
　　没有数据库技术支撑的企业信息系统是不可想象的，这也使得数据库成为被攻击的重点之一。原则上系统的安全性要与操作系统的安全性相配套，但在实际建设过程中却经常被忽略从而导致数据库系统的脆弱性。应用程序的BUG为攻击者留下了大量的后门，使攻击者可以轻而易举地通过程序漏洞访问、窃取、篡改数据，破坏应用系统的正常运行。
　　(二)从建设及管理角度看，企业网络面临的主要威胁有：
　　1.主观安全意识薄弱
　　就企业网络建设现状而言，不同程度地存在着“重技术，轻安全，重建设，轻管理”的问题，有限的资金大多投在基础网络和应用系统建设，忽视网络安全建设及管理制度落实。
　　2.安全建设缺乏整体规划和一致性
　　目前企业网络中的安全建设普遍缺乏整体安全设计，最后逐渐成为安全产品的堆砌，各个产品之间缺乏有效的联动，而且由于大量产品的堆砌不仅降低了网络的运行效率，还增加了网络复杂度，增加系统维护难度。
　　3.缺乏安全管理机制
　　安全和管理是分不开的，即便有好的安全设备和系统，没有一套好的安全管理方法并贯彻实施，值得注意的是，这里强调的不仅要有安全管理方法，而且还要贯彻实施，否则安全就是一句空话。
　　4.策略配置失当
　　在网络中应用的操作系统提供了很好的安全机制保证安全的安装配置、用户和目录权限设置及建立适当的安全策略等系统安全处理加固。实际土企业网络在安装调试过程中对系统的安全策略上往往执行最宽松的配置，但对于安全保密来说却恰恰相反，要实现系统的安全必须遵循最小化原则。
　　三、企业网络安全体系建设
　　(一)网络安全技术体系架构
　　网络安全体系架构是体系架构的一个子集，同时，网络安全体系架构有其自身的特点。网络安全体系架构可以分为网络安全技术体系和网络安全管理体系。如下图所示：
　　其中，网络安全管理体系可以纳入信息安全管理体系之中，其重点在于组织架构的建设和流程的制定。网络安全技术体系可以分二个层面来考虑，即架构安全、安全技术和配置安全。
　　1.架构安全(安全域划分)
　　安全域是一个逻辑范围或区域。同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等。同一安全域内的系统相互信任。通过安全域的划分，能够将业务系统与安全技术有机结合，形成完整的防护体系。这样既可以对同一安全域内的系统进行统一规范的保护，又可以限制系统风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播。
　　企业可采用两级安全域的划分办法。下图为安全域划分的一般步骤。
　　2.网络安全技术
　　根据安全功能需求对网络安全技术进行归类，形成1AARC框架，即身份识别及鉴权(I)，访问控制(A)，审计和响应(A)，冗余和恢复(R)，内容安全(C)。遵循该框架的定义和原则，对网络安全进行系统部署建设。
　　身份识别与鉴权：用户的帐户管理、用户的认证、授权和审计，为网络管理员提供安全的远程和本地接入系统终端。
　　访问控制：对互联网络、边界网络、企业间网络通过、、安全等设备隔离控制。
　　审计和响应：通过合理部署检测系统、漏洞、系统等，记录操作行为，分析漏洞分布情况，掌握日志记录，定位系统故障和攻击。
　　冗余和恢复：避免网络出现意外而影响业务的正常运行，需要对企业网络的关键部位进行冗余保护，包括网络结构的冗余、关键网络设备的冗余;网络设备的关键部件的冗余等：安全设备的冗余等。
　　内容安全：建立企业防病毒系统，贯彻实施企业防病毒管理机制，定期检查、终端病毒防范的遵循情况，如是否即时更新防病毒代码和系统/应用的安全补丁等。
　　3.网络设备安全配置规范
　　针对不同类型的网络设备，遵循安全配置策略最小化原则进行安全配置，一般应包括一下内容：
　　口令配置与管理：口令长度，复杂度要求，加密要求等。
　　服务管理：关闭非必要服务及端口。
　　访问控制和设备管理：设备登录超时设置、加密登录、登录访问控制，AAA审计等。
　　攻击防范：关闭IP directed broad__cast、ICMP unreachables、ICMP redirects、proxy等。
　　路由安全管理：使用路由协议认证，null0接口关闭IP unreachables等。
　　(二)网络安全管理体系
　　网络安全建设与管理工作“三分靠技术，七分靠管理气建立有效的网络安全组织机构是网络安全管理的基础。不健全的网络安全管理机制是网络安全最大的薄弱点和安全隐患。
　　1.完善安全组织机构
　　网络安全是一个整体的系统，总体的安全性取决于系统中最薄弱的一环。因此，需要对网络安全进行统一的管理和控制。同时从执行效果方面考虑，一些管理操作需要分布地、并行地进行。
　　2.完善角色和职责分配
　　企业网络安全组织建议设置如下四种角色：网络安全负责人、网络安全控制员、网络安全分析师和网络安全管理员。
　　3.完善网络安全管理和操作流程
　　为确保网络处理设施的正确和安全使用，企业应建立所有网络安全设施的管理与操作的流程和职责，包括指定操作细则和事件响应流程。企业应落实责任的分工，减少疏忽的风险和蓄意的系统滥用。
　　四、总结
　　本文从网络安全体系建设及其原则进行了简单论述。对企业网络安全建设的解决进行了探讨和总结。网络安全管理任重道远，网络安全己成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设，确保网络安全运行势在必行。
[ 责任编辑：jj ]
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte}