建立云桌面
云桌面对员工使用的是主机统一管理。根据级别划定操作权限,规定资料可否拷贝带走。病毒查杀和防范,改散养式为集中管理,统一防范、统一杀毒、统一升级。集中管理主机,避免个人误操作致电脑崩溃。
云桌面是由云平台主机和云终端组成。云平台主机的存在,使用者就不需自配备电脑主机,而是大家共用主机。云终端由软硬两部分组成,硬件类似固话机大小,鼠标和键盘链接上面。软件是统一登陆系统,输入账号和密码即可登陆云平台。
也是sohomo,smartoffice,homeoffice,mobileoffice智能办公、家庭办公,移动办公的一部分。
组建安全网关办公网络
安全网关是利用硬设备和相应软件,消除和防范网络病毒。对恶意网站的自动过滤,防止Dos攻击和IPS入侵,对蠕虫病毒、邮件的检测和防范,对虚拟网络的保护,强大防火墙作用。
电脑访问互联网经过安全网关强制隔离。原理是利用安全网关接入外网,路由器接入到安全网关上面,电脑通过路由器上网。企业内部计算机资源与互联网的互通被安全网关区隔。
一、前言
随着计算机技术、网络技术、通信技术的快速发展,基于网络的应用已无孔不入地渗透到了社会的每一个角落,信息网络技术是一把双刃剑,它在促进国民经济建设、丰富人民物质文化生活的同时,也对传统的国家安全体系、政府安全体系、企业安全体系提出了严峻的挑战,使得国家的机密、政府敏感信息、企业商业机密、企业生产运行等面临巨大的安全威胁。
政府各部门信息化基础设施相对完善,信息化建设总体上处于较高水平。由于政务网系统网络安全性与稳定性的特殊要求,建立电子政务网安全整体防护体系,制定恰当的安全策略,加强安全管理,提高电子政务网的安全保障能力,是当前迫在眉睫的大事。
本文以一个厅局级单位的网络为例,分析其面临的威胁,指出了部署安全防护的总体策略,探讨了安全防护的技术措施。
二、网络安全威胁分析
政府各部门的信息网络一般分为:涉密网、非涉密内网、外网,按照国家保密局要求,涉密网与外网物理断开。大部分单位建设有非涉密内网和外网。以某局级单位的内网为例,分析其潜在安全威胁如下:
局级政务网上与市政务网相联,下与区属局级单位相联;在本局大楼内,联接各处室、网络中心、业务窗口、行政服务中心等部门;对外还直接或间接地联到Internet。由于网络结构比较复杂,连接的部门多,使用人员多,并且存在各种异构设备、多种应用系统,因此政务网络上存在的潜在安全威胁非常之大。
如果从威胁来源渠道的角度来看,有来自Internet的安全威胁、来自内部的安全威胁,有有意的人为安全威胁、有无意的人为安全威胁。
如果从安全威胁种类的角度来看,有黑客攻击、病毒侵害、木马、恶意代码、拒绝服务、后门、信息外泄、信息丢失、信息篡改、资源占用等。
安全威胁种类示意图如下:
如果依据网络的理论模型进行分析,有物理安全风险、链路传输安全风险、网络互联安全风险、系统安全风险、应用安全风险、以及管理安全风险。
如下图所示:
三、总体策略
信息系统安全体系覆盖通信平台、网络平台、系统平台、应用平台,覆盖网络的各个层面,覆盖各项安全功能,是一个多维度全方位的安全结构模型。安全体系的建立,应从设施、技术到管理整个经营运作体系进行通盘考虑,因此必须以系统工程的方法进行设计。
从目前安全技术的总体发展水平与诸种因素情况来看,绝对安全是不可能的,需要在系统的可用性和性能、投资以及安全保障程度之间形成一定的平衡,通过相应安全措施的实施把风险降低到可接受的程度。
厅局级单位的网络安全体系设计本着:适度集中,分散风险,突出重点,分级保护的总体策略。
根据中办发[2003]27号文件精神,政府部门安全防护的总体策略是:
1、实行信息安全等级保护:根据系统中业务的重要性进行分区,所有系统都必须置于相应的安全区内;对重点区域进行重点防护;采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将网络中心与广域网系统等实行有效安全隔离,隔离强度应接近或达到物理隔离;
2、建设和完善信息安全监控体系;
3、建立信息安全应急响应机制;
4、加快信息安全人才培养,增强公务人员信息安全意识;
5、加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
四、主要技术措施
针对不同的安全风险种类,相应的技术措施如下表:
安全威胁种类 | 相应的技术措施 | |
管理安全:管理员权限、口令、错误操作、资源乱用、内部攻击、内部泄密。 | 管理体系、管理制度、管理措施、访问控制、认证审计等技术。 | |
应用安全:来自应用软件、数据库的漏洞,包括资源共享、Email、病毒等。 | 防火墙、物理隔离、入侵检测、病毒防护、AAA认证技术、数据加密、内容过滤、数据备份、灾难恢复。 | |
系统安全:操作系统的脆弱性、协议的脆弱性、漏洞、错误配置。 | 漏洞扫描、防火墙、物理隔离、入侵检测、病毒防护、主机加固。 | |
传输安全:在传输线路上窃取数据。 | VPN加密技术。 | |
网络互联安全:来自Internet、系统内网络、系统外网络、内部局域网、拨号网络等的安全威胁。 | 防火墙、物理隔离、入侵检测、AAA认证技术。 | |
物理安全:地震、火灾、水灾、设备硬件损坏、电源故障、被盗等。 | 设备冗余、线路冗余、数据备份、异地备灾中心等。 | |
五、部署方案简述
本方案针对局级政务内网和外网进行整体安全设计。政务外网主要提供对社会公众的信息发布平台,可以通过逻辑隔离设备联入互联网,政务内网主要运行政务网内部公文等OA系统,纵向与上级单位和下级单位网络相连,横向通过物理隔离设备与政务外网相连。
在内部网络中,大量的工作站是病毒进行攻击的主要目标之一。由于各工作站在日常工作中进行频繁的邮件收发、数据传输拷贝、应用软件执行等操作,再加之内部人员上网浏览、下载程序及利用软盘、光盘进行文件复制等,使得病毒感染的可能性极大。当前的病毒传染现状是,一旦一台工作站染毒,则会很快蔓延至整个网络范围,造成业务系统及办公网络的极大损害。因此,应在所有的工作站上部署客户端防病毒产品。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有最灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS、登录域脚本、共享安装以外,还支持纯Web的部署方式,可以在安装时设定的防病毒策略下,自动地进行日常所有的防毒、杀毒、更新、升级工作,极大地方便了管理员的操作,并提供最为及时有效的病毒防范机制。