浅谈保护企业网络信息安全常用措施
1.个人信息安全保护措施
由于个人台式或便携式电脑的丢失难以避免,因此企业必须积极做好个人电脑的信息安全工作,因为大中型企业数据量大且较分散,数据的丢失会直接关系到企业的运行安全和效益,特别是一些机密文件或数据的丢失会给企业造成难以挽回的损失。这就要求企业网络管理员和员工除了要有一定的数据安全意识,还要积极采用必要的防范措施,目前保护个人电脑的安全措施主要包括:
(1)采用强身份认证系统,例如指纹或USB Key等
采用指纹验证是最安全的,能够确保特定人登录特定电脑,比如惠普公司出品的高端笔记本电脑很多都带有指纹识别功能。USB Key是一种近年来发展和利用最广泛的身份认证系统,很多认证设备都采用通用USB接口接入电脑。其中内置的智能卡芯片,用来存储用户的私钥或数字证书,且用户在开启电脑时会通过输入自己设置的密码调用保存在USB Key中的私钥,再利用企业身份认证系统内置的公钥算法实现对用户身份的安全验证,只有验证通过的用户才能使用电脑。由于特定公钥和私钥是世界上唯一的一对。采用这种办法,即使用户丢失电脑或丢失USBKey,非法获得电脑的人都由于无法获取私钥而无法登录电脑,因此保证了用户个人电脑的安全性。
(2)采用文件加密软件保护用户文件
例如现在比较流行的加密软件“文件夹加密超级大师”就能够保护企业大部分数据不被非法窃取。
企业员工可以使用类似比较成熟的加密软件可以实现文件夹闪电加密和隐藏加密,且加密后防止复制、拷贝和删除,并且不受系统影响,即使重装、Ghost还原、DOS或安全模式下,加密的文件夹依然保持加密状态。文件夹加密使用国际上成熟的加密算法将文件夹内的数据加密成不可识别的密文,所以加密强度相当高,没有密码绝对无法解密。
除此之外还具有文件加密后的临时解密功能,解密文件时需要输入正确密码再打开。使用完毕后,自动恢复到加密状态,无需再次加密。
2.移动设备安全保护措施
企业病毒有很大一部分来自于利用移动存储介质的传播。很多病毒可以通过微软操作系统的自动播放功能和“映像挟持”等技术执行移动存储介质中的病毒等程序,感染用户的个人电脑,并且具有较强的隐蔽性和自身复制传播能力。同时部分病毒还具有关闭杀毒软件进程,远程下载木马等一系列功能,严重威胁信息系统安全。同时移动存储介质和便携式电脑一样,也存在容易丢失的问题。针对以上问题我们可以采取以下措施保护移动设备信息安全:
(1)制定有效的移动存储介质防病毒策略
通过组策略禁用自动播放功能、安装自动扫描移动介
质的防病毒产品等技术手段,排除病毒隐患。
(2)对移动存储介质进行分级保护
根据不同的保密需求制定各个实体之间的访问规则,增加密级标识和基于主客体密级标识的访问控制等管理功能。只允许授权用户对加密后的文件和目录进行读、写和修改等操作,防止未授权用户使用涉密存储介质获取敏感信息。
(3)不断完善技术保密的措施
采用芯片加密、USB KEY等加密存储技术,对涉密存储介质内信息进行加密认证,从技术上确保移动存储介质的信息安全。即使设备被窃取,也无法轻易获取加密信息。
3.合理规划集中管理企业共享信息
企业共享信息的安全是企业网络运营的永恒话题,在大中型企业中通常采用集中式账号管理办法,在Windows环境中采用活动目录技术,在Linux环境中采用NIS服务器进行账号登录、信息访问等的集中管理,弥补了Windows系统工作组模式下的文件访问零散且难以管理的问题。
在Windows系统中我们可以利用活动目录技术将企业信息集中化。在活动目录环境中采用域管理模式、将整个企业信息作为一个整体资源集中管理,企业账户和数据都作为对象存放到活动目录域控制器中。对于企业账号管理方面,可以为每位员工指定一个唯一的域帐号,通过此账号可以使用户在世界任何地方登录到企业域环境并访问域资源。同时还可以将用户账号加入活动目录技术中特有的若干个不同功能的用户组,包括域中全局组、本地组、通用组,方便用户充分利用组特性实现访问安全性和有效性。
我们以Windows Server 2003活动目录使用为例,在域控制器的上设置磁盘配额限制,将企业用户按三种不同使用级别分配访问空间,普通员工设置配额100M,部门经理500M,总经理不限。同时还可以将域控制器及企业数据库等关键业务做成磁盘阵列,已保证企业服务运行的稳定性和安全性。为了实现用户登录域和访问域资源的透明性,我们还可以利用分布式文件系统DFS,将分散在不同的物理位置的资源进行整合。在域控制器或成员服务器上将多个DFS路径对应一个或多个共享目录。同时由于大部分企业通常有多个域控制器互为备份,所以默认情况下,DFS映射将自动发布到活动目录中,因此其他域控制器都可以充当企业分布式文件系统备份服务器,这就保证了在一个或多个分布式文件服务器不可用时,这个企业资源仍可使用,达到信息冗余,保证企业网络可用性的目的。
在Linux系统中我们也可以采用NIS服务器作为企业账号的认证服务器,同时我们也可以利用LDAP协议和Windows活动目录技术整合,以达到用户访问企业不同类型服务器信息的安全性、透明性要求。
4.企业网络安全防范措施
4.1 规划企业边界防病毒系统
众所周知,虽然我们在个人电脑上可以安装杀毒软件,但是由于病毒控制分散,且不容易及时升级,所以对于一个企业来说一定要配备正规的企业防病毒体系,通常的做法是在企业与Internet接入即企业网关处设置全面的病毒防护,为企业接入外网做好关键一步。这种做法可以为企业提供良好的安全服务,主要体现在:
(1)通过设置企业边界防病毒系统,可以对企业内网用户提供安全透明服务,保证内网用户在不用做任何网络设置的情况下,就可以安全使用内网电脑。合理配置企业边界防病毒系统就可以全面阻截已知或未知病毒,从而达到企业网络环境的全面防护。
(2)某些高端防病毒网关可以提供负载均衡功能,能够根据网络流量实现自动负载均衡,良好地保障了产品的可拓展性及对企业边界的全面防护。
(3)在协议分析方面,某些高端防病毒网关可以保护所有可能的网络威胁,完全扫描所有常用网络协议,包括:HTTP、FTP、SMTP、POP3、IMAP、NNTP等协议。并且提供内容过滤防止未知病毒、蠕虫或可能的恶意代码进入企业网络,大幅减少整体网络资源占用并节省带宽。
(4)在管理方面大部分边界防病毒系统均采用WEB管理控制台技术实现远程管理,让企业网络管理员通过企业内网或互联网上任何节点实现对该防毒设备的管理。
4.2 规划入侵检测系统
入侵检测系统是近年来企业非常流行的安全产品,它可以预知入侵者行为从而在入侵之前就判断出入侵来源并予以防护。高端入侵检测系统能够实时监控网络传输,自动检测并分析可疑行为,发现来自网络内部或外部的攻击行为,并可以实时响应,通过多种方式发出警报,阻断攻击方的连接。主要应用在规模较大,分支机构或下属部门多,网络结构复杂且安全性要求较高,有核心业务需要保护,特殊网络行为需要监控的大中型企业。
利用先进的入侵检测系统,可以由管理员根据指定的网络地址、端口号、攻击源、攻击目标和攻击方式等内容设定实时跟踪和反馈,将网络流量分类、分析统计、实时流量排名等管理员最关心的信息图表化,随时把握网络流量和安全动态。同时还可以定义网络流量异常的阀值,对流量的异常变化进行实时报警。
4.3 规划服务器防毒系统
为了保护企业服务器,我们建议采用正版防毒软件服务器版。例如趋势科技出品的Server Protect , ServerProtect可以对Windows系列、 NetWare、或Linux 的网络服务器,提供全面性的病毒防护。Server Protect 通过使用三层体系结构来保护服务器网络,包括管理控制台、信息服务器(中间件)和标准服务器。这些组件在一起创建了强大的集中管理的、节约成本的防毒安全系统。ServerProtect通过可携式的主控台来操作,提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
我们在实际使用时通常的做法是在企业中,先设置一台服务器安装Server Protect信息服务器及管理控制台,作为Server Protect的管理中心。在管理中心上实现网内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台服务器上安装Server Protect的普通服务器防毒墙。采用企业版防毒软件可通过单一的主控台来管理,利用集中式报表,管理人员可以监看整个网络的状态,轻松完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告、以及设定实时扫描的参数、增量式自动下载和分发病毒码、扫毒引擎和程序文件等。
由于个人台式或便携式电脑的丢失难以避免,因此企业必须积极做好个人电脑的信息安全工作,因为大中型企业数据量大且较分散,数据的丢失会直接关系到企业的运行安全和效益,特别是一些机密文件或数据的丢失会给企业造成难以挽回的损失。这就要求企业网络管理员和员工除了要有一定的数据安全意识,还要积极采用必要的防范措施,目前保护个人电脑的安全措施主要包括:
(1)采用强身份认证系统,例如指纹或USB Key等
采用指纹验证是最安全的,能够确保特定人登录特定电脑,比如惠普公司出品的高端笔记本电脑很多都带有指纹识别功能。USB Key是一种近年来发展和利用最广泛的身份认证系统,很多认证设备都采用通用USB接口接入电脑。其中内置的智能卡芯片,用来存储用户的私钥或数字证书,且用户在开启电脑时会通过输入自己设置的密码调用保存在USB Key中的私钥,再利用企业身份认证系统内置的公钥算法实现对用户身份的安全验证,只有验证通过的用户才能使用电脑。由于特定公钥和私钥是世界上唯一的一对。采用这种办法,即使用户丢失电脑或丢失USBKey,非法获得电脑的人都由于无法获取私钥而无法登录电脑,因此保证了用户个人电脑的安全性。
(2)采用文件加密软件保护用户文件
例如现在比较流行的加密软件“文件夹加密超级大师”就能够保护企业大部分数据不被非法窃取。
企业员工可以使用类似比较成熟的加密软件可以实现文件夹闪电加密和隐藏加密,且加密后防止复制、拷贝和删除,并且不受系统影响,即使重装、Ghost还原、DOS或安全模式下,加密的文件夹依然保持加密状态。文件夹加密使用国际上成熟的加密算法将文件夹内的数据加密成不可识别的密文,所以加密强度相当高,没有密码绝对无法解密。
除此之外还具有文件加密后的临时解密功能,解密文件时需要输入正确密码再打开。使用完毕后,自动恢复到加密状态,无需再次加密。
2.移动设备安全保护措施
企业病毒有很大一部分来自于利用移动存储介质的传播。很多病毒可以通过微软操作系统的自动播放功能和“映像挟持”等技术执行移动存储介质中的病毒等程序,感染用户的个人电脑,并且具有较强的隐蔽性和自身复制传播能力。同时部分病毒还具有关闭杀毒软件进程,远程下载木马等一系列功能,严重威胁信息系统安全。同时移动存储介质和便携式电脑一样,也存在容易丢失的问题。针对以上问题我们可以采取以下措施保护移动设备信息安全:
(1)制定有效的移动存储介质防病毒策略
通过组策略禁用自动播放功能、安装自动扫描移动介
质的防病毒产品等技术手段,排除病毒隐患。
(2)对移动存储介质进行分级保护
根据不同的保密需求制定各个实体之间的访问规则,增加密级标识和基于主客体密级标识的访问控制等管理功能。只允许授权用户对加密后的文件和目录进行读、写和修改等操作,防止未授权用户使用涉密存储介质获取敏感信息。
(3)不断完善技术保密的措施
采用芯片加密、USB KEY等加密存储技术,对涉密存储介质内信息进行加密认证,从技术上确保移动存储介质的信息安全。即使设备被窃取,也无法轻易获取加密信息。
3.合理规划集中管理企业共享信息
企业共享信息的安全是企业网络运营的永恒话题,在大中型企业中通常采用集中式账号管理办法,在Windows环境中采用活动目录技术,在Linux环境中采用NIS服务器进行账号登录、信息访问等的集中管理,弥补了Windows系统工作组模式下的文件访问零散且难以管理的问题。
在Windows系统中我们可以利用活动目录技术将企业信息集中化。在活动目录环境中采用域管理模式、将整个企业信息作为一个整体资源集中管理,企业账户和数据都作为对象存放到活动目录域控制器中。对于企业账号管理方面,可以为每位员工指定一个唯一的域帐号,通过此账号可以使用户在世界任何地方登录到企业域环境并访问域资源。同时还可以将用户账号加入活动目录技术中特有的若干个不同功能的用户组,包括域中全局组、本地组、通用组,方便用户充分利用组特性实现访问安全性和有效性。
我们以Windows Server 2003活动目录使用为例,在域控制器的上设置磁盘配额限制,将企业用户按三种不同使用级别分配访问空间,普通员工设置配额100M,部门经理500M,总经理不限。同时还可以将域控制器及企业数据库等关键业务做成磁盘阵列,已保证企业服务运行的稳定性和安全性。为了实现用户登录域和访问域资源的透明性,我们还可以利用分布式文件系统DFS,将分散在不同的物理位置的资源进行整合。在域控制器或成员服务器上将多个DFS路径对应一个或多个共享目录。同时由于大部分企业通常有多个域控制器互为备份,所以默认情况下,DFS映射将自动发布到活动目录中,因此其他域控制器都可以充当企业分布式文件系统备份服务器,这就保证了在一个或多个分布式文件服务器不可用时,这个企业资源仍可使用,达到信息冗余,保证企业网络可用性的目的。
在Linux系统中我们也可以采用NIS服务器作为企业账号的认证服务器,同时我们也可以利用LDAP协议和Windows活动目录技术整合,以达到用户访问企业不同类型服务器信息的安全性、透明性要求。
4.企业网络安全防范措施
4.1 规划企业边界防病毒系统
众所周知,虽然我们在个人电脑上可以安装杀毒软件,但是由于病毒控制分散,且不容易及时升级,所以对于一个企业来说一定要配备正规的企业防病毒体系,通常的做法是在企业与Internet接入即企业网关处设置全面的病毒防护,为企业接入外网做好关键一步。这种做法可以为企业提供良好的安全服务,主要体现在:
(1)通过设置企业边界防病毒系统,可以对企业内网用户提供安全透明服务,保证内网用户在不用做任何网络设置的情况下,就可以安全使用内网电脑。合理配置企业边界防病毒系统就可以全面阻截已知或未知病毒,从而达到企业网络环境的全面防护。
(2)某些高端防病毒网关可以提供负载均衡功能,能够根据网络流量实现自动负载均衡,良好地保障了产品的可拓展性及对企业边界的全面防护。
(3)在协议分析方面,某些高端防病毒网关可以保护所有可能的网络威胁,完全扫描所有常用网络协议,包括:HTTP、FTP、SMTP、POP3、IMAP、NNTP等协议。并且提供内容过滤防止未知病毒、蠕虫或可能的恶意代码进入企业网络,大幅减少整体网络资源占用并节省带宽。
(4)在管理方面大部分边界防病毒系统均采用WEB管理控制台技术实现远程管理,让企业网络管理员通过企业内网或互联网上任何节点实现对该防毒设备的管理。
4.2 规划入侵检测系统
入侵检测系统是近年来企业非常流行的安全产品,它可以预知入侵者行为从而在入侵之前就判断出入侵来源并予以防护。高端入侵检测系统能够实时监控网络传输,自动检测并分析可疑行为,发现来自网络内部或外部的攻击行为,并可以实时响应,通过多种方式发出警报,阻断攻击方的连接。主要应用在规模较大,分支机构或下属部门多,网络结构复杂且安全性要求较高,有核心业务需要保护,特殊网络行为需要监控的大中型企业。
利用先进的入侵检测系统,可以由管理员根据指定的网络地址、端口号、攻击源、攻击目标和攻击方式等内容设定实时跟踪和反馈,将网络流量分类、分析统计、实时流量排名等管理员最关心的信息图表化,随时把握网络流量和安全动态。同时还可以定义网络流量异常的阀值,对流量的异常变化进行实时报警。
4.3 规划服务器防毒系统
为了保护企业服务器,我们建议采用正版防毒软件服务器版。例如趋势科技出品的Server Protect , ServerProtect可以对Windows系列、 NetWare、或Linux 的网络服务器,提供全面性的病毒防护。Server Protect 通过使用三层体系结构来保护服务器网络,包括管理控制台、信息服务器(中间件)和标准服务器。这些组件在一起创建了强大的集中管理的、节约成本的防毒安全系统。ServerProtect通过可携式的主控台来操作,提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
我们在实际使用时通常的做法是在企业中,先设置一台服务器安装Server Protect信息服务器及管理控制台,作为Server Protect的管理中心。在管理中心上实现网内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台服务器上安装Server Protect的普通服务器防毒墙。采用企业版防毒软件可通过单一的主控台来管理,利用集中式报表,管理人员可以监看整个网络的状态,轻松完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告、以及设定实时扫描的参数、增量式自动下载和分发病毒码、扫毒引擎和程序文件等。
【上一个】 国家电网 2013年未完成的特高压开工计划 | 【下一个】 智能电网“提速换挡”引发投资热 |
^ 浅谈保护企业网络信息安全常用措施 |