建立完善的企業信息安全管理系統,必須內外兼修,壹方面要防止外部入侵,另壹方面也要防範內部人員泄密可能。所以在選擇企業信息安全管理產品時,必須是壹個完整的體系結構。
目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
用戶身份認證,如靜態密碼、動態密碼(短信密碼、動態口令牌、手機令牌)、USB KEY、IC卡、數字證書、指紋虹膜等。 壹般企業網與互聯網物理隔離, 因而與互聯網相比, 其安全性較高, 但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題, 具體而言:
( 1) 在IP 資源管理方面, 采用IP MAC 捆綁的技術手段防止用戶隨意更改IP 地址和隨意更換交換機上的端口。這分兩種情況實現, 第壹種情況是如果客戶機連在支持網管的交換機上的, 可以通過網管中心的管理軟件, 對該交換機遠程實施Port Security 策略, 將客戶端網卡MAC 地址固定綁在相應端口上。第二種情況是如果客戶機連接的交換機或集線器不支持網管, 則可以通過Web 網頁調用壹個程序, 通過該程序把MAC 地址和IP 地址捆綁在壹起。這樣, 就不會出現IP 地址被盜用而不能正常使用網絡的情況。
( 2) 在網絡流量監測方面, 可使用網絡監測軟件對網絡傳輸數據協議類型進行分類統計, 查看數據、視頻、語音等各種應用的利用帶寬, 防止頻繁進行大文件的傳輸, 甚至發現病毒的轉移及傳播方向。 常見應用服務器安裝的操作系統多為Windows 系列,服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。
服務器安全審核是網管日常工作項目之壹, 審核的範圍包括安全漏洞檢查、日誌分析、補丁安裝情況檢查等, 審核的對象可以是DC、Exchange Server、SQL Server、IIS 等。
在組策略實施時, 如果想使用軟件限制策略, 即哪些客戶不能使用哪個軟件, 則需要把操作系統升級到Windows 2003 Server。服務器的備份策略包括系統軟件備份和數據庫備份兩部分, 系統軟件備份擬利用現有的專用備份程序, 制定壹個合理的備份策略, 如每周日晚上做壹次完全備份, 然後周壹到周五晚上做增量備份或差額備份; 定期對服務器備份工作情況等。 對大多數單位的網管來說, 客戶端的管理都是最頭痛的問題, 只
有得力的措施才能解決這個問題, 這裏介紹以下幾種方法:
( 1) 將客戶端都加入到域中, 這壹點很重要, 因為只有這樣, 客戶端才能納入管理員集中管理的範圍。
( 2) 只給用戶以普通域用戶的身份登錄到域, 因為普通域用戶不屬於本地Administrators 和Power Users 組, 這樣就可以限制他們在本地計算機上安裝大多數軟件( 某些軟件普通用戶也可以安裝) 。當然為了便於用戶工作, 應通過本地安全策略, 授予他們“關機”和“修改系統時間”等權利。
( 3) 實現客戶端操作系統補丁程序的自動安裝。
( 4) 實現客戶端防病毒軟件的自動更新。
( 5) 利用SMS 對客戶端進行不定期監控, 發現不正常情況及時處理。 由於應用系統的加入, 各種數據庫日趨增長, 如何確保數據在發生故障或災難性事件情況下不丟失, 是當前面臨的壹個難題。這裏介紹四種解決方法: 第壹種解決辦法是用磁帶機或硬盤進行數據備份。該辦法價格最低, 保存性最強, 不足之處是備份的只是某個時間點。第二種方案是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。第三種方案是采用雙機容錯方式, 兩臺機器系統相互備份, 應用層數據全部放在***享的磁盤陣列櫃中, 這種方式能解決單機故障或宕機的問題, 同時又能防止單個硬盤故障導致的數據丟失, 但前期投資較大。第四種方案是采用NAS 或SAN 來實現各服務器的集中區域存儲, 實現較高級別的磁盤等硬件故障的數據備份, 但是成本較高, 壹般不能防止系統層的故障, 如感染病毒或系統崩潰。
考慮到網絡上非認證用戶可能試圖旁路系統的情況, 如物理地“取走”數據庫, 在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數據加密, 即以加密格式存儲和傳輸敏感數據。發送方用加密密鑰, 通過加密設備或算法, 將信息加密後發送出去。接收方在收到密文後, 用解密密鑰將密文解密, 恢復為明文。如果傳輸中有人竊取,他只能得到無法理解的密文, 從而對信息起到保密作用。 鐵卷電子文檔安全系統(簡稱“鐵卷”),采用內核級透明加解密技術,是專為企業的電子文檔和圖紙等數據提供整體安全的解決方案。其高度自定義的特性使得企業可以根據自身情況,制定不同的規則,從而產生獨特的信息數據維護機制。又因采用C/S通訊方式,密鑰儲存在服務器,使得員工不在企業網絡環境下無法對企業指定保護的文檔和圖紙操作,加強了企業對敏感數據的管理。