企業(yè)網絡信息安全解決方案

企業(yè)網絡信息平安解決方案一、信息平安化定義企業(yè)信息平安管理即針對當前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等困難的應用環(huán)境制定相應的防衛(wèi)措施，愛護企業(yè)信息和企業(yè)信息系統(tǒng)不被未經授權的訪問、運用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)供應保密性、完整性、真實性、可用性、不行否認性服務。簡而言之，使非法者看不了、改不了信息，系統(tǒng)癱不了、信息假不了、行為賴不了。二、企業(yè)信息平安管理現(xiàn)狀當前企業(yè)在信息平安管理中普遍面臨的問題：缺乏來自法律規(guī)范的推動力和約束；(2)平安管理缺乏系統(tǒng)管理的思想。被動應付多于主動防衛(wèi)，沒有做前期的預防，而是出現(xiàn)問題才去想補救的方法，不是建立在風險評估基礎上的動態(tài)的持續(xù)改進的管理方法；(3)重視平安技術，忽視平安管理。企業(yè)情愿在防火墻等平安技術上投資，而相應的管理水平、手段沒有體現(xiàn)，包括管理的技術和流程，以及員工的管理；(4)在平安管理中不夠重視人的因素；(5)缺乏懂得管理的信息平安技術人員；(6)企業(yè)平安意識不強，員工接受的教化和培訓不夠。三、企業(yè)信息平安管理產品建立完善的企業(yè)信息平安管理系統(tǒng)，必需內外兼修，一方面要防止外部入侵，另一方面也要防范內部人員泄密可能。所以在選擇企業(yè)信息平安管理產品時，必需是一個完整的體系結構。目前，在市場上比較流行，而又能夠代表將來發(fā)展方向的平安產品大致有以下幾類：用戶身份認證，如靜態(tài)密碼、動態(tài)密碼（短信密碼、動態(tài)口令牌、手機令牌）、USBKEY、IC卡、數(shù)字證書、指紋虹膜等。防火墻即訪問限制系統(tǒng)，它在內部網絡與擔心全的外部網絡之間設置障礙，阻擋外界對內部資源的非法訪問，防止內部對外部的擔心全訪問。但它其本身可能存在平安問題，也可能會是一個潛在的瓶頸。平安路由器由于WAN連接須要專用的路由器設備，因而可通過路由器來限制網絡傳輸。通常采納訪問限制列表技術來限制網絡信息流。平安服務器平安服務器主要針對一個局域網內部信息存儲、傳輸?shù)钠桨脖Ｃ軉栴}，其實現(xiàn)功能包括對局域網資源的管理和限制，對局域網內用戶的管理，以及局域網中全部平安相關事務的審計和跟蹤。平安管理中心由于網上的平安產品較多，且分布在不同的位置，這就須要建立一套集中管理的機制和設備，即平安管理中心。它用來給各網絡平安設備分發(fā)密鑰，監(jiān)控網絡平安設備的運行狀態(tài)，負責收集網絡平安設備的審計信息等。入侵檢測系統(tǒng)（IDS）入侵檢測，作為傳統(tǒng)愛護機制（比如訪問限制，身份識別等）的有效補充，形成了信息系統(tǒng)中不行或缺的反饋鏈。入侵防衛(wèi)系統(tǒng)（IPS）入侵防衛(wèi)，入侵防衛(wèi)系統(tǒng)作為IDS很好的補充，是信息平安發(fā)展過程中占據重要位置的計算機網絡硬件。平安數(shù)據庫由于大量的信息存儲在計算機數(shù)據庫內，有些信息是有價值的，也是敏感的，須要愛護。平安數(shù)據庫可以確保數(shù)據庫的完整性、牢靠性、有效性、機密性、可審計性及存取限制與用戶身份識別等。數(shù)據容災設備數(shù)據容災作為一個重要的企業(yè)信息平安管理體系中的一個重要補救措施，在整個企業(yè)信息平安管理體系中有著舉足輕重的作用。數(shù)據容災設備包括數(shù)據復原設備、數(shù)據復制設備、數(shù)據銷毀設備等。目前應用較多的數(shù)據容災設備包括效率源HDDoctor、DataCompass數(shù)據指南針、DataCopyKing硬盤復制機、開盤機等。編輯本段企業(yè)信息平安管理對策1.網絡管理一般企業(yè)網與互聯(lián)網物理隔離,因而與互聯(lián)網相比,其平安性較高,但在日常運行管理中我們仍舊面臨網絡鏈路維護、違規(guī)運用網絡事務等問題,詳細而言：(1)在IP資源管理方面,采納IPMAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這分兩種狀況實現(xiàn),第一種狀況是假如客戶機連在支持網管的交換機上的,可以通過網管中心的管理軟件,對該交換機遠程實施PortSecurity策略,將客戶端網卡MAC地址固定綁在相應端口上。其次種狀況是假如客戶機連接的交換機或集線器不支持網管,則可以通過Web網頁調用一個程序,通過該程序把MAC地址和IP地址捆綁在一起。這樣,就不會出現(xiàn)IP地址被盜用而不能正常運用網絡的狀況。(2)在網絡流量監(jiān)測方面,可運用網絡監(jiān)測軟件對網絡傳輸數(shù)據協(xié)議類型進行分類統(tǒng)計,查看數(shù)據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發(fā)覺病毒的轉移及傳播方向。2.服務器管理常見應用服務器安裝的操作系統(tǒng)多為Windows系列,服務器的管理包括服務器平安審核、組策略實施、服務器的備份策略。服務器平安審核是網管日常工作項目之一,審核的范圍包括平安漏洞檢查、日志分析、補丁安裝狀況檢查等,審核的對象可以是DC、ExchangeServer、SQLServer、IIS等。在組策略實施時,假如想運用軟件限制策略,即哪些客戶不能運用哪個軟件,則須要把操作系統(tǒng)升級到Windows2003Server。服務器的備份策略包括系統(tǒng)軟件備份和數(shù)據庫備份兩部分,系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序,制定一個合理的備份策略,如每周日晚上做一次完全備份,然后周一到周五晚上做增量備份或差額備份;定期對服務器備份工作狀況等。3.客戶端管理對大多數(shù)單位的網管來說,客戶端的管理都是最頭痛的問題,只有得力的措施才能解決這個問題,這里介紹以下幾種方法:將客戶端都加入到域中,這一點很重要,因為只有這樣,客戶端才能納入管理員集中管理的范圍。只給用戶以一般域用戶的身份登錄到域,因為一般域用戶不屬于本地Administrators和PowerUsers組,這樣就可以限制他們在本地計算機上安裝大多數(shù)軟件(某些軟件一般用戶也可以安裝)。當然為了便于用戶工作,應通過本地平安策略,授予他們“關機”和“修改系統(tǒng)時間”等權利。實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。實現(xiàn)客戶端防病毒軟件的自動更新。利用SMS對客戶端進行不定期監(jiān)控,發(fā)覺不正常狀況剛好處理。4.數(shù)據備份與數(shù)據加密由于應用系統(tǒng)的加入,各種數(shù)據庫日趨增長,如何確保數(shù)據在發(fā)生故障或災難性事務狀況下不丟失,是當前面臨的一個難題。這里介紹四種解決方法:第一種解決方法是用磁帶機或硬盤進行數(shù)據備份。該方法價格最低,保存性最強,不足之處是備份的只是某個時間點。其次種方案是采納本地磁盤陣列來分別實現(xiàn)各服務器的本地硬盤數(shù)據冗余。第三種方案是采納雙機容錯方式,兩臺機器系統(tǒng)相互備份,應用層數(shù)據全部放在共享的磁盤陣列柜中,這種方式能解決單機故障或宕機的問題,同時又能防止單個硬盤故障導致的數(shù)據丟失,但前期投資較大。第四種方案是采納NAS或SAN來實現(xiàn)各服務器的集中區(qū)域存儲,實現(xiàn)較高級別的磁盤等硬件故障的數(shù)據備份,但是成本較高,一般不能防止系統(tǒng)層的故障,如感染病毒或系統(tǒng)崩潰?？紤]到網絡上非認證用戶可能試圖旁路系統(tǒng)的狀況,如物理地“取走”數(shù)據庫,在通信線路上竊聽截獲。對這樣的威逼最有效的解決方法就是數(shù)據加密,即以加密格式存儲和傳輸敏感數(shù)據。發(fā)送方用加密密鑰,通過加密設備或算法,將信息加密后發(fā)送出去。接收方在收到密文后,用解密密鑰將密文解密,復原為明文。假如傳輸中有人竊取,他只能得到無法理解的密文,從而對信息起到保密作用。5.病毒防治對防病毒軟件的要求是:能支持多種平臺,至少是在Windows系列操作系統(tǒng)上都能運行;能供應中心管理工具,對各類服務器和工作站統(tǒng)一管理和限制;在軟件安裝、病毒代碼升級等方面,可通過服務器干脆進行分發(fā),盡可能削減客戶端維護工作量;病毒代碼的升級要快速有效。在實施過程中,本單位以一臺服務器作為中心限制一級服務器,實現(xiàn)對網絡中全部計算機的愛護和監(jiān)控,并運用其中有效的管理功能,如:管理員可以向客產端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端等。正常狀況下,一級服務器病毒代碼庫升級后半分鐘內,客戶端的病毒代碼庫也進行了同步更新。企業(yè)網絡、信息平安解決方案大型企業(yè)大型企業(yè)部門林立，相當一部分會在外地有分支機構，業(yè)務系統(tǒng)普遍采納建設虛擬專網的方式，起到外部分支訪問總部數(shù)據的通道和平安加密作用。傳統(tǒng)的網絡平安設備基本都已經部署，比如防火墻，可以把企業(yè)訪問互聯(lián)網的風險降低，但是大型企業(yè)的網絡、信息平安威逼主要來源于惡意的攻擊行為和企業(yè)員工有意、無意的操作行為，致使業(yè)務系統(tǒng)不能正常運用，或者機密數(shù)據外泄，對企業(yè)的網絡平安，信息保密造成很大的威逼，擁有功能強大的上網行為管理設備、入侵檢測系統(tǒng)和防泄密系統(tǒng)能有效杜絕各個環(huán)節(jié)可能出現(xiàn)的擔心全隱患，保障業(yè)務系統(tǒng)的政策正常平安運行和企業(yè)機密數(shù)據的平安。建議大型企業(yè)在網絡中部署：防火墻、IDS、上網行為管理、防泄密系統(tǒng)、VPN、平安服務器等。中型企業(yè)中型企業(yè)基本已具備完整的網絡體系，但是企業(yè)的信息化技術力氣相對大型企業(yè)可能薄弱一點，對于員工的上網行為和電腦操作行為可能要求得不會太嚴格，即使向員工制定了肯定的管理制度，也會在制度的執(zhí)行過程中因為人為的因素而變成一紙空文，所以用硬件設備來保障和規(guī)范網絡、信息的平安尤為重要，中型企業(yè)的網絡、信息平安威逼主要來源于外網的攻擊、內部網絡運用的不規(guī)范導致的木馬、病毒等平安威逼。建議中型企業(yè)部署：防火墻、IDS、路由器、上網行為管理、防泄密系統(tǒng)等。小型企業(yè)小型企業(yè)在人員規(guī)模、基礎建設、資金實力等方面都相對落后于大中型企業(yè)，但是在發(fā)展階段的小型企業(yè)，對網絡、信息的平安問題同樣不能忽視，目前各種各樣的閑聊工具、視頻網站、網游、P2P下載等，