企業(yè)網(wǎng)絡(luò)信息安全解決方案

企業(yè)網(wǎng)絡(luò)信息平安解決方案一、信息平安化定義企業(yè)信息平安管理即針對(duì)當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等困難的應(yīng)用環(huán)境制定相應(yīng)的防衛(wèi)措施，愛(ài)護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、運(yùn)用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)供應(yīng)保密性、完整性、真實(shí)性、可用性、不行否認(rèn)性服務(wù)。簡(jiǎn)而言之，使非法者看不了、改不了信息，系統(tǒng)癱不了、信息假不了、行為賴不了。二、企業(yè)信息平安管理現(xiàn)狀當(dāng)前企業(yè)在信息平安管理中普遍面臨的問(wèn)題：缺乏來(lái)自法律規(guī)范的推動(dòng)力和約束；(2)平安管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防衛(wèi)，沒(méi)有做前期的預(yù)防，而是出現(xiàn)問(wèn)題才去想補(bǔ)救的方法，不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法；(3)重視平安技術(shù)，忽視平安管理。企業(yè)情愿在防火墻等平安技術(shù)上投資，而相應(yīng)的管理水平、手段沒(méi)有體現(xiàn)，包括管理的技術(shù)和流程，以及員工的管理；(4)在平安管理中不夠重視人的因素；(5)缺乏懂得管理的信息平安技術(shù)人員；(6)企業(yè)平安意識(shí)不強(qiáng)，員工接受的教化和培訓(xùn)不夠。三、企業(yè)信息平安管理產(chǎn)品建立完善的企業(yè)信息平安管理系統(tǒng)，必需內(nèi)外兼修，一方面要防止外部入侵，另一方面也要防范內(nèi)部人員泄密可能。所以在選擇企業(yè)信息平安管理產(chǎn)品時(shí)，必需是一個(gè)完整的體系結(jié)構(gòu)。目前，在市場(chǎng)上比較流行，而又能夠代表將來(lái)發(fā)展方向的平安產(chǎn)品大致有以下幾類：用戶身份認(rèn)證，如靜態(tài)密碼、動(dòng)態(tài)密碼（短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌）、USBKEY、IC卡、數(shù)字證書(shū)、指紋虹膜等。防火墻即訪問(wèn)限制系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)與擔(dān)心全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻擋外界對(duì)內(nèi)部資源的非法訪問(wèn)，防止內(nèi)部對(duì)外部的擔(dān)心全訪問(wèn)。但它其本身可能存在平安問(wèn)題，也可能會(huì)是一個(gè)潛在的瓶頸。平安路由器由于WAN連接須要專用的路由器設(shè)備，因而可通過(guò)路由器來(lái)限制網(wǎng)絡(luò)傳輸。通常采納訪問(wèn)限制列表技術(shù)來(lái)限制網(wǎng)絡(luò)信息流。平安服務(wù)器平安服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)钠桨脖Ｃ軉?wèn)題，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和限制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中全部平安相關(guān)事務(wù)的審計(jì)和跟蹤。平安管理中心由于網(wǎng)上的平安產(chǎn)品較多，且分布在不同的位置，這就須要建立一套集中管理的機(jī)制和設(shè)備，即平安管理中心。它用來(lái)給各網(wǎng)絡(luò)平安設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)平安設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)平安設(shè)備的審計(jì)信息等。入侵檢測(cè)系統(tǒng)（IDS）入侵檢測(cè)，作為傳統(tǒng)愛(ài)護(hù)機(jī)制（比如訪問(wèn)限制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不行或缺的反饋鏈。入侵防衛(wèi)系統(tǒng)（IPS）入侵防衛(wèi)，入侵防衛(wèi)系統(tǒng)作為IDS很好的補(bǔ)充，是信息平安發(fā)展過(guò)程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。平安數(shù)據(jù)庫(kù)由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫(kù)內(nèi)，有些信息是有價(jià)值的，也是敏感的，須要愛(ài)護(hù)。平安數(shù)據(jù)庫(kù)可以確保數(shù)據(jù)庫(kù)的完整性、牢靠性、有效性、機(jī)密性、可審計(jì)性及存取限制與用戶身份識(shí)別等。數(shù)據(jù)容災(zāi)設(shè)備數(shù)據(jù)容災(zāi)作為一個(gè)重要的企業(yè)信息平安管理體系中的一個(gè)重要補(bǔ)救措施，在整個(gè)企業(yè)信息平安管理體系中有著舉足輕重的作用。數(shù)據(jù)容災(zāi)設(shè)備包括數(shù)據(jù)復(fù)原設(shè)備、數(shù)據(jù)復(fù)制設(shè)備、數(shù)據(jù)銷毀設(shè)備等。目前應(yīng)用較多的數(shù)據(jù)容災(zāi)設(shè)備包括效率源HDDoctor、DataCompass數(shù)據(jù)指南針、DataCopyKing硬盤(pán)復(fù)制機(jī)、開(kāi)盤(pán)機(jī)等。編輯本段企業(yè)信息平安管理對(duì)策1.網(wǎng)絡(luò)管理一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離,因而與互聯(lián)網(wǎng)相比,其平安性較高,但在日常運(yùn)行管理中我們?nèi)耘f面臨網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)運(yùn)用網(wǎng)絡(luò)事務(wù)等問(wèn)題,詳細(xì)而言：(1)在IP資源管理方面,采納IPMAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。這分兩種狀況實(shí)現(xiàn),第一種狀況是假如客戶機(jī)連在支持網(wǎng)管的交換機(jī)上的,可以通過(guò)網(wǎng)管中心的管理軟件,對(duì)該交換機(jī)遠(yuǎn)程實(shí)施PortSecurity策略,將客戶端網(wǎng)卡MAC地址固定綁在相應(yīng)端口上。其次種狀況是假如客戶機(jī)連接的交換機(jī)或集線器不支持網(wǎng)管,則可以通過(guò)Web網(wǎng)頁(yè)調(diào)用一個(gè)程序,通過(guò)該程序把MAC地址和IP地址捆綁在一起。這樣,就不會(huì)出現(xiàn)IP地址被盜用而不能正常運(yùn)用網(wǎng)絡(luò)的狀況。(2)在網(wǎng)絡(luò)流量監(jiān)測(cè)方面,可運(yùn)用網(wǎng)絡(luò)監(jiān)測(cè)軟件對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計(jì),查看數(shù)據(jù)、視頻、語(yǔ)音等各種應(yīng)用的利用帶寬,防止頻繁進(jìn)行大文件的傳輸,甚至發(fā)覺(jué)病毒的轉(zhuǎn)移及傳播方向。2.服務(wù)器管理常見(jiàn)應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為Windows系列,服務(wù)器的管理包括服務(wù)器平安審核、組策略實(shí)施、服務(wù)器的備份策略。服務(wù)器平安審核是網(wǎng)管日常工作項(xiàng)目之一,審核的范圍包括平安漏洞檢查、日志分析、補(bǔ)丁安裝狀況檢查等,審核的對(duì)象可以是DC、ExchangeServer、SQLServer、IIS等。在組策略實(shí)施時(shí),假如想運(yùn)用軟件限制策略,即哪些客戶不能運(yùn)用哪個(gè)軟件,則須要把操作系統(tǒng)升級(jí)到Windows2003Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫(kù)備份兩部分,系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序,制定一個(gè)合理的備份策略,如每周日晚上做一次完全備份,然后周一到周五晚上做增量備份或差額備份;定期對(duì)服務(wù)器備份工作狀況等。3.客戶端管理對(duì)大多數(shù)單位的網(wǎng)管來(lái)說(shuō),客戶端的管理都是最頭痛的問(wèn)題,只有得力的措施才能解決這個(gè)問(wèn)題,這里介紹以下幾種方法:將客戶端都加入到域中,這一點(diǎn)很重要,因?yàn)橹挥羞@樣,客戶端才能納入管理員集中管理的范圍。只給用戶以一般域用戶的身份登錄到域,因?yàn)橐话阌蛴脩舨粚儆诒镜谹dministrators和PowerUsers組,這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝大多數(shù)軟件(某些軟件一般用戶也可以安裝)。當(dāng)然為了便于用戶工作,應(yīng)通過(guò)本地平安策略,授予他們“關(guān)機(jī)”和“修改系統(tǒng)時(shí)間”等權(quán)利。實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。實(shí)現(xiàn)客戶端防病毒軟件的自動(dòng)更新。利用SMS對(duì)客戶端進(jìn)行不定期監(jiān)控,發(fā)覺(jué)不正常狀況剛好處理。4.數(shù)據(jù)備份與數(shù)據(jù)加密由于應(yīng)用系統(tǒng)的加入,各種數(shù)據(jù)庫(kù)日趨增長(zhǎng),如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事務(wù)狀況下不丟失,是當(dāng)前面臨的一個(gè)難題。這里介紹四種解決方法:第一種解決方法是用磁帶機(jī)或硬盤(pán)進(jìn)行數(shù)據(jù)備份。該方法價(jià)格最低,保存性最強(qiáng),不足之處是備份的只是某個(gè)時(shí)間點(diǎn)。其次種方案是采納本地磁盤(pán)陣列來(lái)分別實(shí)現(xiàn)各服務(wù)器的本地硬盤(pán)數(shù)據(jù)冗余。第三種方案是采納雙機(jī)容錯(cuò)方式,兩臺(tái)機(jī)器系統(tǒng)相互備份,應(yīng)用層數(shù)據(jù)全部放在共享的磁盤(pán)陣列柜中,這種方式能解決單機(jī)故障或宕機(jī)的問(wèn)題,同時(shí)又能防止單個(gè)硬盤(pán)故障導(dǎo)致的數(shù)據(jù)丟失,但前期投資較大。第四種方案是采納NAS或SAN來(lái)實(shí)現(xiàn)各服務(wù)器的集中區(qū)域存儲(chǔ),實(shí)現(xiàn)較高級(jí)別的磁盤(pán)等硬件故障的數(shù)據(jù)備份,但是成本較高,一般不能防止系統(tǒng)層的故障,如感染病毒或系統(tǒng)崩潰?？紤]到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的狀況,如物理地“取走”數(shù)據(jù)庫(kù),在通信線路上竊聽(tīng)截獲。對(duì)這樣的威逼最有效的解決方法就是數(shù)據(jù)加密,即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰,通過(guò)加密設(shè)備或算法,將信息加密后發(fā)送出去。接收方在收到密文后,用解密密鑰將密文解密,復(fù)原為明文。假如傳輸中有人竊取,他只能得到無(wú)法理解的密文,從而對(duì)信息起到保密作用。5.病毒防治對(duì)防病毒軟件的要求是:能支持多種平臺(tái),至少是在Windows系列操作系統(tǒng)上都能運(yùn)行;能供應(yīng)中心管理工具,對(duì)各類服務(wù)器和工作站統(tǒng)一管理和限制;在軟件安裝、病毒代碼升級(jí)等方面,可通過(guò)服務(wù)器干脆進(jìn)行分發(fā),盡可能削減客戶端維護(hù)工作量;病毒代碼的升級(jí)要快速有效。在實(shí)施過(guò)程中,本單位以一臺(tái)服務(wù)器作為中心限制一級(jí)服務(wù)器,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中全部計(jì)算機(jī)的愛(ài)護(hù)和監(jiān)控,并運(yùn)用其中有效的管理功能,如:管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、強(qiáng)制對(duì)遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常狀況下,一級(jí)服務(wù)器病毒代碼庫(kù)升級(jí)后半分鐘內(nèi),客戶端的病毒代碼庫(kù)也進(jìn)行了同步更新。企業(yè)網(wǎng)絡(luò)、信息平安解決方案大型企業(yè)大型企業(yè)部門(mén)林立，相當(dāng)一部分會(huì)在外地有分支機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)普遍采納建設(shè)虛擬專網(wǎng)的方式，起到外部分支訪問(wèn)總部數(shù)據(jù)的通道和平安加密作用。傳統(tǒng)的網(wǎng)絡(luò)平安設(shè)備基本都已經(jīng)部署，比如防火墻，可以把企業(yè)訪問(wèn)互聯(lián)網(wǎng)的風(fēng)險(xiǎn)降低，但是大型企業(yè)的網(wǎng)絡(luò)、信息平安威逼主要來(lái)源于惡意的攻擊行為和企業(yè)員工有意、無(wú)意的操作行為，致使業(yè)務(wù)系統(tǒng)不能正常運(yùn)用，或者機(jī)密數(shù)據(jù)外泄，對(duì)企業(yè)的網(wǎng)絡(luò)平安，信息保密造成很大的威逼，擁有功能強(qiáng)大的上網(wǎng)行為管理設(shè)備、入侵檢測(cè)系統(tǒng)和防泄密系統(tǒng)能有效杜絕各個(gè)環(huán)節(jié)可能出現(xiàn)的擔(dān)心全隱患，保障業(yè)務(wù)系統(tǒng)的政策正常平安運(yùn)行和企業(yè)機(jī)密數(shù)據(jù)的平安。建議大型企業(yè)在網(wǎng)絡(luò)中部署：防火墻、IDS、上網(wǎng)行為管理、防泄密系統(tǒng)、VPN、平安服務(wù)器等。中型企業(yè)中型企業(yè)基本已具備完整的網(wǎng)絡(luò)體系，但是企業(yè)的信息化技術(shù)力氣相對(duì)大型企業(yè)可能薄弱一點(diǎn)，對(duì)于員工的上網(wǎng)行為和電腦操作行為可能要求得不會(huì)太嚴(yán)格，即使向員工制定了肯定的管理制度，也會(huì)在制度的執(zhí)行過(guò)程中因?yàn)槿藶榈囊蛩囟兂梢患埧瘴?，所以用硬件設(shè)備來(lái)保障和規(guī)范網(wǎng)絡(luò)、信息的平安尤為重要，中型企業(yè)的網(wǎng)絡(luò)、信息平安威逼主要來(lái)源于外網(wǎng)的攻擊、內(nèi)部網(wǎng)絡(luò)運(yùn)用的不規(guī)范導(dǎo)致的木馬、病毒等平安威逼。建議中型企業(yè)部署：防火墻、IDS、路由器、上網(wǎng)行為管理、防泄密系統(tǒng)等。小型企業(yè)小型企業(yè)在人員規(guī)模、基礎(chǔ)建設(shè)、資金實(shí)力等方面都相對(duì)落后于大中型企業(yè)，但是在發(fā)展階段的小型企業(yè)，對(duì)網(wǎng)絡(luò)、信息的平安問(wèn)題同樣不能忽視，目前各種各樣的閑聊工具、視頻網(wǎng)站、網(wǎng)游、P2P下載等，