1.個(gè)人信息安全保護(hù)措施
由于個(gè)人臺(tái)式或便攜式電腦的丟失難以避免,因此企業(yè)必須積極做好個(gè)人電腦的信息安全工作,因?yàn)榇笾行推髽I(yè)數(shù)據(jù)量大且較分散,數(shù)據(jù)的丟失會(huì)直接關(guān)系到企業(yè)的運(yùn)行安全和效益,特別是一些機(jī)密文件或數(shù)據(jù)的丟失會(huì)給企業(yè)造成難以挽回的損失。這就要求企業(yè)網(wǎng)絡(luò)管理員和員工除了要有一定的數(shù)據(jù)安全意識(shí),還要積極采用必要的防范措施,目前保護(hù)個(gè)人電腦的安全措施主要包括:
(1)采用強(qiáng)身份認(rèn)證系統(tǒng),例如指紋或USB Key等
采用指紋驗(yàn)證是最安全的,能夠確保特定人登錄特定電腦,比如惠普公司出品的高端筆記本電腦很多都帶有指紋識(shí)別功能。USB Key是一種近年來發(fā)展和利用最廣泛的身份認(rèn)證系統(tǒng),很多認(rèn)證設(shè)備都采用通用USB接口接入電腦。其中內(nèi)置的智能卡芯片,用來存儲(chǔ)用戶的私鑰或數(shù)字證書,且用戶在開啟電腦時(shí)會(huì)通過輸入自己設(shè)置的密碼調(diào)用保存在USB Key中的私鑰,再利用企業(yè)身份認(rèn)證系統(tǒng)內(nèi)置的公鑰算法實(shí)現(xiàn)對用戶身份的安全驗(yàn)證,只有驗(yàn)證通過的用戶才能使用電腦。由于特定公鑰和私鑰是世界上唯一的一對。采用這種辦法,即使用戶丟失電腦或丟失USBKey,非法獲得電腦的人都由于無法獲取私鑰而無法登錄電腦,因此保證了用戶個(gè)人電腦的安全性。
(2)采用文件加密軟件保護(hù)用戶文件
例如現(xiàn)在比較流行的加密軟件“文件夾加密超級(jí)大師”就能夠保護(hù)企業(yè)大部分?jǐn)?shù)據(jù)不被非法竊取。
企業(yè)員工可以使用類似比較成熟的加密軟件可以實(shí)現(xiàn)文件夾閃電加密和隱藏加密,且加密后防止復(fù)制、拷貝和刪除,并且不受系統(tǒng)影響,即使重裝、Ghost還原、DOS或安全模式下,加密的文件夾依然保持加密狀態(tài)。文件夾加密使用國際上成熟的加密算法將文件夾內(nèi)的數(shù)據(jù)加密成不可識(shí)別的密文,所以加密強(qiáng)度相當(dāng)高,沒有密碼絕對無法解密。
除此之外還具有文件加密后的臨時(shí)解密功能,解密文件時(shí)需要輸入正確密碼再打開。使用完畢后,自動(dòng)恢復(fù)到加密狀態(tài),無需再次加密。
2.移動(dòng)設(shè)備安全保護(hù)措施
企業(yè)病毒有很大一部分來自于利用移動(dòng)存儲(chǔ)介質(zhì)的傳播。很多病毒可以通過微軟操作系統(tǒng)的自動(dòng)播放功能和“映像挾持”等技術(shù)執(zhí)行移動(dòng)存儲(chǔ)介質(zhì)中的病毒等程序,感染用戶的個(gè)人電腦,并且具有較強(qiáng)的隱蔽性和自身復(fù)制傳播能力。同時(shí)部分病毒還具有關(guān)閉殺毒軟件進(jìn)程,遠(yuǎn)程下載木馬等一系列功能,嚴(yán)重威脅信息系統(tǒng)安全。同時(shí)移動(dòng)存儲(chǔ)介質(zhì)和便攜式電腦一樣,也存在容易丟失的問題。針對以上問題我們可以采取以下措施保護(hù)移動(dòng)設(shè)備信息安全:
(1)制定有效的移動(dòng)存儲(chǔ)介質(zhì)防病毒策略
通過組策略禁用自動(dòng)播放功能、安裝自動(dòng)掃描移動(dòng)介
質(zhì)的防病毒產(chǎn)品等技術(shù)手段,排除病毒隱患。
(2)對移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行分級(jí)保護(hù)
根據(jù)不同的保密需求制定各個(gè)實(shí)體之間的訪問規(guī)則,增加密級(jí)標(biāo)識(shí)和基于主客體密級(jí)標(biāo)識(shí)的訪問控制等管理功能。只允許授權(quán)用戶對加密后的文件和目錄進(jìn)行讀、寫和修改等操作,防止未授權(quán)用戶使用涉密存儲(chǔ)介質(zhì)獲取敏感信息。
(3)不斷完善技術(shù)保密的措施
采用芯片加密、USB KEY等加密存儲(chǔ)技術(shù),對涉密存儲(chǔ)介質(zhì)內(nèi)信息進(jìn)行加密認(rèn)證,從技術(shù)上確保移動(dòng)存儲(chǔ)介質(zhì)的信息安全。即使設(shè)備被竊取,也無法輕易獲取加密信息。
3.合理規(guī)劃集中管理企業(yè)共享信息
企業(yè)共享信息的安全是企業(yè)網(wǎng)絡(luò)運(yùn)營的永恒話題,在大中型企業(yè)中通常采用集中式賬號(hào)管理辦法,在Windows環(huán)境中采用活動(dòng)目錄技術(shù),在Linux環(huán)境中采用NIS服務(wù)器進(jìn)行賬號(hào)登錄、信息訪問等的集中管理,彌補(bǔ)了Windows系統(tǒng)工作組模式下的文件訪問零散且難以管理的問題。
在Windows系統(tǒng)中我們可以利用活動(dòng)目錄技術(shù)將企業(yè)信息集中化。在活動(dòng)目錄環(huán)境中采用域管理模式、將整個(gè)企業(yè)信息作為一個(gè)整體資源集中管理,企業(yè)賬戶和數(shù)據(jù)都作為對象存放到活動(dòng)目錄域控制器中。對于企業(yè)賬號(hào)管理方面,可以為每位員工指定一個(gè)唯一的域帳號(hào),通過此賬號(hào)可以使用戶在世界任何地方登錄到企業(yè)域環(huán)境并訪問域資源。同時(shí)還可以將用戶賬號(hào)加入活動(dòng)目錄技術(shù)中特有的若干個(gè)不同功能的用戶組,包括域中全局組、本地組、通用組,方便用戶充分利用組特性實(shí)現(xiàn)訪問安全性和有效性。
我們以Windows Server 2003活動(dòng)目錄使用為例,在域控制器的上設(shè)置磁盤配額限制,將企業(yè)用戶按三種不同使用級(jí)別分配訪問空間,普通員工設(shè)置配額100M,部門經(jīng)理500M,總經(jīng)理不限。同時(shí)還可以將域控制器及企業(yè)數(shù)據(jù)庫等關(guān)鍵業(yè)務(wù)做成磁盤陣列,已保證企業(yè)服務(wù)運(yùn)行的穩(wěn)定性和安全性。為了實(shí)現(xiàn)用戶登錄域和訪問域資源的透明性,我們還可以利用分布式文件系統(tǒng)DFS,將分散在不同的物理位置的資源進(jìn)行整合。在域控制器或成員服務(wù)器上將多個(gè)DFS路徑對應(yīng)一個(gè)或多個(gè)共享目錄。同時(shí)由于大部分企業(yè)通常有多個(gè)域控制器互為備份,所以默認(rèn)情況下,DFS映射將自動(dòng)發(fā)布到活動(dòng)目錄中,因此其他域控制器都可以充當(dāng)企業(yè)分布式文件系統(tǒng)備份服務(wù)器,這就保證了在一個(gè)或多個(gè)分布式文件服務(wù)器不可用時(shí),這個(gè)企業(yè)資源仍可使用,達(dá)到信息冗余,保證企業(yè)網(wǎng)絡(luò)可用性的目的。
在Linux系統(tǒng)中我們也可以采用NIS服務(wù)器作為企業(yè)賬號(hào)的認(rèn)證服務(wù)器,同時(shí)我們也可以利用LDAP協(xié)議和Windows活動(dòng)目錄技術(shù)整合,以達(dá)到用戶訪問企業(yè)不同類型服務(wù)器信息的安全性、透明性要求。
4.企業(yè)網(wǎng)絡(luò)安全防范措施
4.1 規(guī)劃企業(yè)邊界防病毒系統(tǒng)
眾所周知,雖然我們在個(gè)人電腦上可以安裝殺毒軟件,但是由于病毒控制分散,且不容易及時(shí)升級(jí),所以對于一個(gè)企業(yè)來說一定要配備正規(guī)的企業(yè)防病毒體系,通常的做法是在企業(yè)與Internet接入即企業(yè)網(wǎng)關(guān)處設(shè)置全面的病毒防護(hù),為企業(yè)接入外網(wǎng)做好關(guān)鍵一步。這種做法可以為企業(yè)提供良好的安全服務(wù),主要體現(xiàn)在:
(1)通過設(shè)置企業(yè)邊界防病毒系統(tǒng),可以對企業(yè)內(nèi)網(wǎng)用戶提供安全透明服務(wù),保證內(nèi)網(wǎng)用戶在不用做任何網(wǎng)絡(luò)設(shè)置的情況下,就可以安全使用內(nèi)網(wǎng)電腦。合理配置企業(yè)邊界防病毒系統(tǒng)就可以全面阻截已知或未知病毒,從而達(dá)到企業(yè)網(wǎng)絡(luò)環(huán)境的全面防護(hù)。
(2)某些高端防病毒網(wǎng)關(guān)可以提供負(fù)載均衡功能,能夠根據(jù)網(wǎng)絡(luò)流量實(shí)現(xiàn)自動(dòng)負(fù)載均衡,良好地保障了產(chǎn)品的可拓展性及對企業(yè)邊界的全面防護(hù)。
(3)在協(xié)議分析方面,某些高端防病毒網(wǎng)關(guān)可以保護(hù)所有可能的網(wǎng)絡(luò)威脅,完全掃描所有常用網(wǎng)絡(luò)協(xié)議,包括:HTTP、FTP、SMTP、POP3、IMAP、NNTP等協(xié)議。并且提供內(nèi)容過濾防止未知病毒、蠕蟲或可能的惡意代碼進(jìn)入企業(yè)網(wǎng)絡(luò),大幅減少整體網(wǎng)絡(luò)資源占用并節(jié)省帶寬。
(4)在管理方面大部分邊界防病毒系統(tǒng)均采用WEB管理控制臺(tái)技術(shù)實(shí)現(xiàn)遠(yuǎn)程管理,讓企業(yè)網(wǎng)絡(luò)管理員通過企業(yè)內(nèi)網(wǎng)或互聯(lián)網(wǎng)上任何節(jié)點(diǎn)實(shí)現(xiàn)對該防毒設(shè)備的管理。
4.2 規(guī)劃入侵檢測系統(tǒng)
入侵檢測系統(tǒng)是近年來企業(yè)非常流行的安全產(chǎn)品,它可以預(yù)知入侵者行為從而在入侵之前就判斷出入侵來源并予以防護(hù)。高端入侵檢測系統(tǒng)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸,自動(dòng)檢測并分析可疑行為,發(fā)現(xiàn)來自網(wǎng)絡(luò)內(nèi)部或外部的攻擊行為,并可以實(shí)時(shí)響應(yīng),通過多種方式發(fā)出警報(bào),阻斷攻擊方的連接。主要應(yīng)用在規(guī)模較大,分支機(jī)構(gòu)或下屬部門多,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜且安全性要求較高,有核心業(yè)務(wù)需要保護(hù),特殊網(wǎng)絡(luò)行為需要監(jiān)控的大中型企業(yè)。
利用先進(jìn)的入侵檢測系統(tǒng),可以由管理員根據(jù)指定的網(wǎng)絡(luò)地址、端口號(hào)、攻擊源、攻擊目標(biāo)和攻擊方式等內(nèi)容設(shè)定實(shí)時(shí)跟蹤和反饋,將網(wǎng)絡(luò)流量分類、分析統(tǒng)計(jì)、實(shí)時(shí)流量排名等管理員最關(guān)心的信息圖表化,隨時(shí)把握網(wǎng)絡(luò)流量和安全動(dòng)態(tài)。同時(shí)還可以定義網(wǎng)絡(luò)流量異常的閥值,對流量的異常變化進(jìn)行實(shí)時(shí)報(bào)警。
4.3 規(guī)劃服務(wù)器防毒系統(tǒng)
為了保護(hù)企業(yè)服務(wù)器,我們建議采用正版防毒軟件服務(wù)器版。例如趨勢科技出品的Server Protect , ServERProtect可以對Windows系列、 NetWare、或Linux 的網(wǎng)絡(luò)服務(wù)器,提供全面性的病毒防護(hù)。Server Protect 通過使用三層體系結(jié)構(gòu)來保護(hù)服務(wù)器網(wǎng)絡(luò),包括管理控制臺(tái)、信息服務(wù)器(中間件)和標(biāo)準(zhǔn)服務(wù)器。這些組件在一起創(chuàng)建了強(qiáng)大的集中管理的、節(jié)約成本的防毒安全系統(tǒng)。ServERProtect通過可攜式的主控臺(tái)來操作,提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報(bào)告和防毒配置等功能。
我們在實(shí)際使用時(shí)通常的做法是在企業(yè)中,先設(shè)置一臺(tái)服務(wù)器安裝Server Protect信息服務(wù)器及管理控制臺(tái),作為Server Protect的管理中心。在管理中心上實(shí)現(xiàn)網(wǎng)內(nèi)所有服務(wù)器的防病毒策略部署和病毒代碼、引擎的升級(jí),然后在每一臺(tái)服務(wù)器上安裝Server Protect的普通服務(wù)器防毒墻。采用企業(yè)版防毒軟件可通過單一的主控臺(tái)來管理,利用集中式報(bào)表,管理人員可以監(jiān)看整個(gè)網(wǎng)絡(luò)的狀態(tài),輕松完成各種病毒維護(hù)工作,例如設(shè)定掃毒模式、更新病毒碼和程序、編輯病毒報(bào)告、以及設(shè)定實(shí)時(shí)掃描的參數(shù)、增量式自動(dòng)下載和分發(fā)病毒碼、掃毒引擎和程序文件等。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺談保護(hù)企業(yè)網(wǎng)絡(luò)信息安全常用措施
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839512084.html