企業(yè)網(wǎng)絡(luò)信息安全解決方案企業(yè)網(wǎng)絡(luò)信息安全解決方案企業(yè)網(wǎng)絡(luò)信息安全解決方案一、信息安全化定義企業(yè)信息安全管理即針對當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施，保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實性、可用性、不可否認(rèn)性服務(wù)。簡而言之，使非法者看不了、改不了信息，系統(tǒng)癱不了、信息假不了、行為賴不了。二、企業(yè)信息安全管理現(xiàn)狀當(dāng)前企業(yè)在信息安全管理中普遍面臨的問題:(1)缺乏來自法律規(guī)范的推動力和約束;(2)安全管理缺乏系統(tǒng)管理的思想。被動應(yīng)付多于主動防御，沒有做前期的預(yù)防，而是出現(xiàn)問題才去想補(bǔ)救的辦法，不是建立在風(fēng)險評估基礎(chǔ)上的動態(tài)的持續(xù)改進(jìn)的管理方法;(3)重視安全技術(shù)，忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資，而相應(yīng)的管理水平、手段沒有體現(xiàn)，包括管理的技術(shù)和流程，以及員工的管理;(4)在安全管理中不夠重視人的因素;(5)缺乏懂得管理的信息安全技術(shù)人員;(6)企業(yè)安全意識不強(qiáng)，員工接受的教育和培訓(xùn)不夠。三、企業(yè)信息安全管理產(chǎn)品企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第1頁。建立完善的企業(yè)信息安全管理系統(tǒng)，必須防火墻企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第1頁。即訪問控制系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。安全路由器由于WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。安全服務(wù)器安全服務(wù)器主要針對一個局域網(wǎng)內(nèi)部信息存儲、傳輸?shù)陌踩Ｃ軉栴}，其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制，對局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計和跟蹤。安全管理中心由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計信息等。入侵檢測系統(tǒng)(IDS)入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制(比如訪問控制，身份識別等)的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈。入侵防御系統(tǒng)(IPS)入侵防御，入侵防御系統(tǒng)作為IDS很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計算機(jī)網(wǎng)絡(luò)硬件。安全數(shù)據(jù)庫企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第2頁。由于大量的信息存儲在計算機(jī)數(shù)據(jù)庫在組策略實施時,如果想使用軟件限制策略,即哪些客戶不能使用哪個軟件,則需要把操作系統(tǒng)升級到Windows2003Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分,系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序,制定一個合理的備份策略,如每周日晚上做一次完全備份,然后周一到周五晚上做增量備份或差額備份;定期對服務(wù)器備份工作情況等。企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第2頁。3.客戶端管理對大多數(shù)單位的網(wǎng)管來說,客戶端的管理都是最頭痛的問題,只有得力的措施才能解決這個問題,這里介紹以下幾種方法:1)將客戶端都加入到域中,這一點很重要,因為只有這樣,客戶端才能納入管理員集中管理的范圍。2)只給用戶以普通域用戶的身份登錄到域,因為普通域用戶不屬于本地Administrators和PowerUsers組,這樣就可以限制他們在本地計算機(jī)上安裝大多數(shù)軟件(某些軟件普通用戶也可以安裝)。當(dāng)然為了便于用戶工作,應(yīng)通過本地安全策略,授予他們”關(guān)機(jī)”和“修改系統(tǒng)時間”等權(quán)利。3)實現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動安裝。4)實現(xiàn)客戶端防病毒軟件的自動更新。5)利用SMS對客戶端進(jìn)行不定期監(jiān)控,發(fā)現(xiàn)不正常情況及時處理。4.數(shù)據(jù)備份與數(shù)據(jù)加密企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第3頁。由于應(yīng)用系統(tǒng)的加入,各種數(shù)據(jù)庫日趨增長,如何確保數(shù)據(jù)在發(fā)生故障或災(zāi)難性事件情況下不丟失,是當(dāng)前面臨的一個難題。這里介紹四種解決方法:第一種解決辦法是用磁帶機(jī)或硬盤進(jìn)行數(shù)據(jù)備份。該辦法價格最低,保存性最強(qiáng),不足之處是備份的只是某個時間點。第二種方案是采用本地磁盤陣列來分別實現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。第三種方案是采用雙機(jī)容錯方式,兩臺機(jī)器系統(tǒng)相互備份,應(yīng)用層數(shù)據(jù)全部放在共享的磁盤陣列柜中,這種方式能解決單機(jī)故障或宕機(jī)的問題,同時又能防止單個硬盤故障導(dǎo)致的數(shù)據(jù)丟失,但前期投資較大。第四種方案是采用NAS或SAN來實現(xiàn)各服務(wù)器的集中區(qū)域存儲,實現(xiàn)較高級別的磁盤等硬件故障的數(shù)據(jù)備份,但是成本較高,一般不能防止系統(tǒng)層的故障,如感染病毒或系統(tǒng)崩潰?？紤]到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況,如物理地“取走”數(shù)據(jù)庫,在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數(shù)據(jù)加密,即以加密格式存儲和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰,通過加密設(shè)備或算法,將信息加密后發(fā)送出去。接收方在收到密文后,用解密密鑰將密文解密,恢復(fù)為明文。如果傳輸中有人竊取,他只能得到無法理解的密文,從而對信息起到保密作用。企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第3頁。5.病毒防治對防病毒軟件的要求是:能支持多種平臺,至少是在Windows系列操作系統(tǒng)上都能運(yùn)行;能提供中心管理工具,對各類服務(wù)器和工作站統(tǒng)一管理和控制;在軟件安裝、病毒代碼升級等方面,可通過服務(wù)器直接進(jìn)行分發(fā),盡可能減少客戶端維護(hù)工作量;病毒代碼的升級要迅速有效。在實施過程中,本單位以一臺服務(wù)器作為中央控制一級服務(wù)器,實現(xiàn)對網(wǎng)絡(luò)中所有計算機(jī)的保護(hù)和監(jiān)控,并使用其中有效的管理功能,如:管理員可以向客產(chǎn)端發(fā)送病毒警報、強(qiáng)制對遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下,一級服務(wù)器病毒代碼庫升級后半分鐘內(nèi),客戶端的病毒代碼庫也進(jìn)行了同步更新。四、企業(yè)網(wǎng)絡(luò)、信息安全解決方案1)大型企業(yè)大型企業(yè)部門林立，相當(dāng)一部分會在外地有分支機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)普遍采用建設(shè)虛擬專網(wǎng)的方式，起到外部分支訪問總部數(shù)據(jù)的通道和安全加密作用。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備基本都已經(jīng)部署，比如防火墻，可以把企業(yè)訪問互聯(lián)網(wǎng)的風(fēng)險降低，但是大型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于惡意的攻擊行為和企業(yè)員工有企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第4頁。意、無意的操作行為，致使業(yè)務(wù)系統(tǒng)不能正常使用，或者機(jī)密數(shù)據(jù)外泄，對企業(yè)的網(wǎng)絡(luò)安全，信息保密造成很大的威脅，擁有功能強(qiáng)大的上網(wǎng)行為管理設(shè)備、入侵檢測系統(tǒng)和防泄密系統(tǒng)能有效杜絕各個環(huán)節(jié)可能出現(xiàn)的不安全隱患，保障業(yè)務(wù)系統(tǒng)的政策正常安全運(yùn)行和企業(yè)機(jī)密數(shù)據(jù)的安全。企業(yè)網(wǎng)絡(luò)信息安全解決方案全文共5頁，當(dāng)前為第4頁。建議大型企業(yè)在網(wǎng)絡(luò)中部署:防火墻、IDS、上網(wǎng)行為管理、防泄密系統(tǒng)、VPN、安全服務(wù)器等。2)中型企業(yè)中型企業(yè)基本已具備完整的網(wǎng)絡(luò)體系，但是企業(yè)的信息化技術(shù)力量相對大型企業(yè)可能薄弱一點，對于員工的上網(wǎng)行為和電腦操作行為可能要求得不會太嚴(yán)格，即使向員工制定了一定的管理制度，也會在制度的執(zhí)行過程中因為人為的因素而變成一紙空文，所以用硬件設(shè)備來保障和規(guī)范網(wǎng)絡(luò)、信息的安全尤為重要，中型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于外網(wǎng)的攻擊、內(nèi)部網(wǎng)絡(luò)使用的不規(guī)范導(dǎo)致的木馬、病毒等安全威脅。建議中型企業(yè)部署:防火墻、IDS、路由器、上網(wǎng)行為管理、防泄密系統(tǒng)等。3)小型企業(yè)小型企業(yè)在人員規(guī)模、基礎(chǔ)建設(shè)、資金實力等方面都相對落后于大中型企業(yè)，但是在發(fā)展階段的小型企業(yè)，對網(wǎng)絡(luò)、信息的安全問題同樣不能忽視，目前各式各樣的聊天工具、視頻網(wǎng)站、網(wǎng)游、P2P下載等，都會直接影響到員工的工作效率，并且占用了大部分的帶寬，使得業(yè)務(wù)系統(tǒng)和正常的工作無法得到保障，且小型企業(yè)一般不會配置專業(yè)的網(wǎng)管人員，這就是有的小型企業(yè)配置了好的電腦，夠用的寬帶，但