七项措施保企业信息安全<br />转自 <a href='http://www.hr.com.cn/information/index0.php?article_id=9455' target='_blank'>http://www.hr.com.cn/information/index0.php?article_id=9455</a><br />    对于一般企业来说，既缺乏专业的人才，又没有相应的软件，要做好企业信息安全会有更多的困难。本文是一位在一线工作多年的网管人员实践经验的总结，讲述的是有关企业信息安全的具体措施，相信会对您的工作有所帮助。  <br /><br />　　随着当前信息化建设的深入，企业内部网络节点不断增加，各项业务数据库不断增长，如何确保网络及数据的安全，已经成为我们信息化工作的一个重要任务。IT系统安全是一个整体的问题，如果分解看来，可以从多个方面分别考虑和实施。本文将根据笔者学习和工作实际体会，简单阐述信息安全技术在企业信息化中的应用。  <br /><br />　　网络管理、监测违规 <br /><br />　　一般企业网与互联网物理隔离，因而与互联网相比，其安全性较高，但在日常运行管理中我们仍然面临强弱电安全、网络链路维护、违规使用网络事件等问题，经过一段时间的调研和测试，我们总结出了技术手段和管理手段相结合的网络管理机制。  <br /><br />　　1．在强、弱电安全方面，采用双路交流电供电形成电源冗余并配置UPS的设计方案保证强电安全，另外，采用避雷防电和放置屏蔽管道的方法来保证弱电线路(交换机、网线)的安全。  <br /><br />　　2．在IP资源管理方面，采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这分两种情况实现，第一种情况是如果客户机连在支持网管的交换机上的，可以通过网管中心的管理软件，对该交换机远程实施Port Security策略，将客户端网卡MAC地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管，则可以通过Web网页调用一个程序，该程序的功能相当于在电脑上输入“MS-DOS方式”或“命令提示符”。在命令提示符下输入命令：“ARP - s 10.14.80.2 00-AB-SC-AD-45-11”，也可把MAC地址和IP地址捆绑在一起。这样，就不会出现IP地址被盗用而不能正常使用网络的情况。  <br />　 <br />　　3．在网络流量监测方面，可使用网络监测软件对网络传输数据协议类型进行分类统计，查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向。  <br /><br />　　4．在违规操作监控方面，首先是要根据企业要求，严禁“一机两用”事件的发生。“一机两用”是指一台计算机同时联接企业网和互联网，还包括轮流上企业网和国际互联网的情形，目前笔者所在公司选择了上海百姓软件有限公司的“一机两用”监控系统，实现电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等功能。  <br /><br />　　管理服务器 <br /><br />　　常见应用服务器安装的操作系统多为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。  <br /><br />　　服务器安全审核是网管日常工作项目之一，审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等，审核的对象可以是DC、Exchange Server、SQL Server、IIS等。  <br /><br />　　在组策略实施时，如果想使用软件限制策略，即哪些客户不能使用哪个软件，则需要把操作系统升级到Windows 2003 Server。  <br /><br />　　服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件备份拟利用现有的ARC Server 专用备份程序，制定一个合理的备份策略，如每周日晚上做一次完全备份，然后周一到周五晚上做增量备份或差额备份；定期对服务器备份工作情况（数据库备份后面有论述）。  <br /><br />　　管理客户端 <br /><br />　　对大多数单位的网管来说，客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题，这里推荐以下方法：  <br /><br />　　1．将客户端都加入到域中，这一点很重要。因为只有这样，客户端才能纳入管理员集中管理的范围。出于安全上的考虑，最好逐渐淘汰Windows 98的客户端。  <br /><br />　　2．只给用户以普通域用户的身份登录到域，因为普通域用户不属于本地Administrators和Power Users组，这样就可以限制他们在本地计算机上安装大多数软件（某些软件普通用户也可以安装）。当然为了便于用户工作，应通过本地安全策略，授予他们“关机”和“修改系统时间”等权利。  <br /><br />　　3．实现客户端操作系统补丁程序的自动安装。  <br />　 <br />　　4．实现客户端防病毒软件的自动更新。  <br /><br />　　5．利用SMS对客户端进行不定期监控，发现不正常情况及时处理。  <br /><br />　　数据备份与冗余 <br /><br />　　由于应用系统的加入，各种数据库日趋增长，如何确保数据在发生故障或灾难性事件情况下不丢失，是当前面临的一个难题。这里有四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低，保存性最强，不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式，两台机器系统相互备份，应用层数据全部放在共享的磁盘阵列柜中，这种方式能解决单机故障或宕机的问题，同时又能防止单个硬盘故障导致的数据丢失，但前期投资较大。第四种方案是采用NAS或SAN来实现各服务器的集中区域存储，实现较高级别的磁盘等硬件故障的数据备份，但是成本较高，一般不能防止系统层的故障，如感染病毒或系统崩溃。  <br /><br />　　考虑到性能价格比因素，如果应用服务器比较分散，可以采用如下数据备份和冗余方案： <br /><br />　　1． 在网络中心的异地机房建立单机+磁盘阵列的硬件环境，作为容灾异地在线备份点，安装VERITAS的服务器端软件。  <br /><br />　　2．在网络中心的SQL Server服务器、Lotus Note Mail服务器、Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端Agent软件。  <br /><br />　　3． 在服务器上设置在线备份策略，比如每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle数据库、凌晨3点自动备份邮件，主要用于系统层恢复后的数据加载。  <br /><br />　　4. 采用本地硬件RAID 5对硬件级磁盘故障进行保护。采用此套方案基本上解决了数据在线备份、异地容灾冗余问题，当然也相对节约了经费投入。  <br /><br />　　数据加密 <br /><br />　　考虑到网络上非认证用户可能试图旁路系统的情况，如物理地“取走”数据库，在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密，即以加密格式存储和传输敏感数据。发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他只能得到无法理解的密文，从而对信息起到保密作用。  <br /><br />　　病毒防治 <br /><br />　　对防病毒软件的要求是：能支持多种平台，至少是在Windows系列操作系统上都能运行；能提供中心管理工具，对各类服务器和工作站统一管理和控制；在软件安装、病毒代码升级等方面，可通过服务器直接进行分发，尽可能减少客户端维护工作量；病毒代码的升级要迅速有效。SYMANTEC公司的Norton Antivirus企业版7.6是一个可选的软件。在实施过程中，本单位以一台服务器作为中央控制一级服务器，实现对网络中所有计算机的保护和监控，并使用其中有效的管理功能，如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下，一级服务器病毒代码库升级后半分钟内，客户端的病毒代码库也进行了同步更新。  <br /><br />　　补丁更新与软件分发 <br /><br />　　有人把网络安全防御简单看做是防病毒或者防火墙。其实，防火墙的作用就像戴口罩，在病毒流行的时候，人们带上口罩确实能够防住一些病毒，但只有通过提高网络整体系统安全，才能如同加强身体素质一样，提高“免疫力”，让病毒进攻无门。带口罩只是治标，提高免疫力才是治本。然而提高网络整体系统安全不仅仅是一个技术问题，更重要的是管理问题。比如肆虐全球的冲击波和最近流行的震荡波病毒，在流行之前微软就已经发布了对应这些病毒利用的操作系统漏洞的补丁，但是及时进行补丁更新的用户很少。造成这种问题的主要原因是用户没有养成主动维护系统安全的习惯，很少主动下载安装补丁，同时也缺乏安全方面的管理。  <br /><br />　　自动分发软件、升级补丁等工作是令企业网管员头痛的事情，而这些又是确保企业系统安全的关键步骤。我们推荐使用微软的Systems Management Server（SMS）和Software Update Service（SUS）软件来帮助网管员自动实现这一功能。  <br /><br />　　1．微软的Software Update Service（SUS）软件是目前解决运行Windows操作系统的计算机免受病毒和黑客攻击的最有效的办法，它可以满足企业用户在局域网内进行Windows Update（软件更新）的需求，帮助企业用户将需要升级的软件从Internet下载到企业Intranet的服务器上，并为企业内的所有客户端PC提供自动升级，打上所有需要的“补丁”。  <br /><br />　　2．微软Systems Management Server（SMS）可以帮助网管员进行软件分发、资产管理（如查看每台机器上安装了什么硬件和软件）、远程问题解决等功能。具体来说，可以自动发现局域网内的机器并自动安装客户端；可以收集客户机硬件软件的所有信息; 可以分发软件，并做到无人参与安装，让客户不知不觉就装好了，还可以把不支持无人参与安装的程序打包成支持无人参与安装; 可以远程控制，监视客户机的所有动作（有点像黑客软件）。  <br /><br /><br />作者/转载： 韩林 俞霆