计算机系统运维是计算机管理的核心和重点部分,也是内容最多、最繁杂的部分,该阶段主要用于IT部门内部日常运营管理和专业维护。 第五期、员工IT素质培训规划方案
对非IT工作员工做应知应会的计算机使用常识培训,对IT工作员工和高级管理人员可进行计算机运维管理能力的专门培训,包括主机系统、网络系统、安全系统、应用系统、桌面系统全方面。
第二章、 内网安全解决方案
1.内网安全管理概述
1.1什么是内网安全管理
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将内网安全管理理解为:通过采用各种技术和管理措施,使内部网络系统正常运行,从而确保网络数据的可用性、完整性和保密性,建立一个可信、可控的内部安全网络。
可信可控的内部网络架构应该具有如下特征:
? 网络中的行为和行为中的结果总是可以预知与可控的;
? 网内的系统符合指定的安全策略,相对于安全策略是可信的、安全的;
可信可控网络架构的推出,可以有效地解决用户所面临的如下问题,如设备接入过程是否可信;设备的安全策略的执行过程是否可信;安全制度的执行过程是否可信;系统使用过程中操作人员的行为是否可信等。
符合“可信可控”理念的内网安全管理体系可以实现用户网络安全资源的有效整合、管理与监管,实现用户网络的可信扩展以及完善的信息安全保护;解决用户的现实需求,达到有效提升用户网络安全防御能力的目的。
1.2内网安全管理的意义与重要性
长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对网络安全的认识被广泛误导。认为全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统,这种看法对用户实施有效的信息安全保护带来了不良影响。信息安全的建设是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要兼顾用户环境不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。
从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,因此,内部网络的运行存在着很大的一个安全管理盲区。以下是几个真实案例:
? 西安某研究所核心技术资料失窃案,损失3000万;
? 国务院领导到某国营单位视察,员工在内部论坛发布不合适信息造成不良影响; ? 云南某公司服务器IP地址被非法盗用,导致公司业务中断四小时,损失巨大;
? 苏州某化工公司技术泄密案,损失1亿元; ? Google内部文件不慎泄露 股价再度受挫下滑。
由此可见内网安全隐患是真正使组织面临实际的威胁。若是忽略了其内网安全防范措施,将损失许多宝贵的核心数据、专利技术信息,多年累计的技术资产和研发投入成为他人的嫁衣,甚至可能因此失去竞争力。 组织还可能丧失的是其声誉,以及员工、合作伙伴与客户的信赖。在网际网络更加普及化之际,组织将面临以下的重要课题:
1、 核心技术专利数据:如何保护这些核心机密不受到内部或外部的恶意威胁,例如人员跳槽或是违规泄露、拷贝等等;
2、业务流程:如何保护组织正常业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害;
4、效能损失:如何确保员工的网络行为是最大服务于组织的发展;
5、声誉损害:如何保障不致因内网防护不当、传输效率过低等因素而造成组织的信用及声誉的损害。
大多数组织重视提高网络的边界安全,但是其网络的核心内网还是非常脆弱的。实践证明,很多成功防范网络边界安全的技术对保护组织内网却没有效用。
1.3宝信内网安全管理方案特点简述
本方案系对阿尔西的整体内网安全管理体系提出建议,采用基于业界最领先的内网安全管理产品――宝信软件的网络巡警eCop和解决方案。
1.3.1宝信内网安全管理方案的技术优势
1、功能全面性、领先性:宝信网络巡警eCop从内网安全的各个环节入手,提供了全面、完善的功能模块,特别是在接入安全管理、补丁管理等方面的技术优势,为用户提供完整的内网安全解决方案,保障信息安全体系的建设。
2、软硬件一体化设计:eCop采用先进的软硬件一体化的功能控制器设计理念,并针对产品功能进行优化设计,实现了硬件平台与软件系统的无缝整合,保证整个系统安全性与稳定性。 3、功能模块化:eCop采用功能模块化的设计理念,使得其产品功能可以灵活组合,有效的节省用户投资,升级也可以做到新功能的“即插即用”。 4、兼容性: eCop是一款旁路设备,使用时将其接入网络即可管理,不会影响用户现有网络及应用环境,与其它信息安全产品也可以很好的协同工作。
5、适应性: eCop可以适应不同规模和复杂度的网络。对于中小型的局域网,仅使用一台或几台eCop即可进行管理;而对于5000个节点以上的大型的网络,可以使用分级管理,
集中汇总的协同工作模式实现对全网的管理。
1.3.2宝信内网安全管理方案的核心优势
1、软件成熟度5级认证(简称CMM5):宝信软件是国内为数不多通过CMM5级认证的软件企业,拥有成熟的软件开发过程管理和工程能力。
2、管理体系:宝信软件拥有一套完整的信息安全体系建设流程,方案注重安全策略的引入,通过管理策略与技术的有机结合搭建有效内网安全架构。
3、产品成熟度:宝信公司于2002年5月份就推出了内网安全管理产品eCop。从软件的生命周期来看,一款软件产品通常需要两年以上的成长才能逐渐稳定、成熟。eCop经过4年以上的研发、实施,已经形成了完整、成熟的内网安全解决方案。
4、应用案例:eCop在国内各行业均有高质量的成功案例,并且通过对这些案例的跟踪和调查,已经总结出成熟的行业解决方案与宝贵的实施经验。
5、售后服务与支持:宝信公司通过四年多的努力,已经建立了三级eCop技术支持架构和完善的售后服务流程。并在全国各分机构、渠道代理商中培养了一大批eCop支持工程师,可以对客户的各种服务需求及时做出高质量的响应。
2.阿尔西需求分析
2.1阿尔西项目背景
2.1.1阿尔西网络结构
整个网络的拓扑如下图示:
总部大楼网络属于阿尔西内网的核心所在。大楼内有线网络共划分约6个网段和无线网络。各楼层接入交换机通过电缆直接接入核心交换机。目前共有150台左右的办公电脑。
2.1.2阿尔西内网安全管理项目需求
2.1.2.1项目范围
项目范围包括VLAN4、VLAN5、VLAN6,共三个网段。
2.1.2.2项目设计目标
阿尔西内部网的安全建设总体目标是:在不影响阿尔西当前业务的前提下,根据计算机信息系统安全保护等级划分准则进行安全建设,从实际需求出发,实现网络信息严格保密的需要,同时系统应是一个具有灵活性,开放性,便于扩充升级的综合系统。
阿尔西内网安全管理项目最终需要达到以下效果:
1)终端资产管理:包括硬件信息和软件信息的快速全面收集,并在此基础上记录变更信息。 2)外设与端口管理:管理人员可在控制器端设定启用或禁用各计算机的外围设备,包括软驱、光驱、U盘等设备。
3)文件记录功能:包括在打印机、服务器、U盘上文件存储的记录功能。