針對企業(yè)版網(wǎng)絡安全防范措施的講解

企業(yè)網(wǎng)絡安全是系統(tǒng)結(jié)構(gòu)本身的安全，所以必須利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)網(wǎng)安全系統(tǒng)。企業(yè)網(wǎng)安全保障體系分為4個層次，從高到低分別是企業(yè)安全策略層、企業(yè)用戶層、企業(yè)網(wǎng)絡與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術(shù)防范系統(tǒng)，常見的企業(yè)網(wǎng)安全技術(shù)有如下一些。
　　便攜電腦的丟失難以避免且容易發(fā)生，因此企業(yè)必須做好便攜電腦的技術(shù)防范工作，以減少因無法避免的丟失而帶來的風險。便攜電腦的技術(shù)防范措施主要包括：安 裝強身份認證系統(tǒng)，例如指紋或USBKey等，以確保盜竊者無法打開計算機;采用加密軟件加密涉密文件，使盜竊者無法打開涉密文件;規(guī)定便攜電腦上不能夠 存儲涉密文件，涉密文件存儲在移動存儲介質(zhì)上，存儲介質(zhì)和便攜電腦分開存放。
　　目前國內(nèi)主要采取第三條技術(shù)防范措施，要求便攜電腦上不得存儲涉密文件，這種措施實施起來有一定的難度，需要定期檢查便攜電腦中是否存有涉密文件或曾經(jīng)存 儲過涉密文件，一旦發(fā)現(xiàn)就需要用永久性刪除軟件徹底刪除涉密文件以及記錄，特別是用戶已經(jīng)刪除了涉密文件但留有記錄，需要對整個邏輯分區(qū)進行未用空間的徹 底清除，費時又費力。
　　這里建議還要聯(lián)合采用第一條和第二條技術(shù)措施。目前國內(nèi)的單機版主機監(jiān)控審計軟件大都能實現(xiàn)這兩種功能，一方面可以通過USBKey實現(xiàn)便攜電腦的強身份 認證，另一方面如果確實需要將涉密文件存放在便攜電腦中，那就要求將涉密文件存放在加密文件夾中，由主機監(jiān)控審計軟件實現(xiàn)涉密文件的自動加密，涉密文件使 用完后應及時刪除。但國內(nèi)這些加密軟件都不能實現(xiàn)對整個硬盤的加密，如果用戶將涉密文件存放在加密文件夾之外，涉密文件就不能實現(xiàn)自動加密。
　　目前市場上已經(jīng)出現(xiàn)了全加密硬盤，例如希捷的全加密硬盤，可以從硬盤內(nèi)部加密全部的存儲數(shù)據(jù)，甚至是臨時文件。這種硬盤即使丟失，盜賊即使可以登錄系統(tǒng)， 也無法訪問硬盤。此外還有全硬盤加密軟件，例如PGP公司和Pointset移動技術(shù)公司都提供這種類型的軟件，微軟Vista用可信賴平臺模塊 (TPM)的內(nèi)置式安全芯片作為自己的BitLocker驅(qū)動器加密的一部分，也可以實現(xiàn)全硬盤的加密。以上的加密措施可以較好地保證涉密文件的安全，但 國內(nèi)保密管理部門目前還沒有對任何商用的加密產(chǎn)品提供過安全保密認證，也就是說，企業(yè)丟失加密的涉密文件還是要負責任的。
　　移動存儲介質(zhì)的技術(shù)防范
　　移動存儲介質(zhì)和便攜電腦一樣，丟失難以避免，因此企業(yè)也必須實施好移動存儲介質(zhì)的技術(shù)防范措施。移動存儲介質(zhì)的技術(shù)防范措施主要是加密，使盜竊者無法打開移動存儲介質(zhì)中的涉密文件。
　　目前國內(nèi)部分主機監(jiān)控審計產(chǎn)品都能實現(xiàn)移動存儲介質(zhì)的加密存儲。強制要求在使用前必須進行存儲介質(zhì)的認證，沒有通過認證的移動存儲介質(zhì)在涉密信息系統(tǒng)中只 能讀，不能寫，只有通過認證的移動存儲介質(zhì)才能進行正常讀寫，而且自動實現(xiàn)移動存儲介質(zhì)中文件的加密。攜帶認證的存儲介質(zhì)出差時，必須輸入正確的密碼才能 夠打開加密的文件，因此能較好地保證移動存儲介質(zhì)中涉密文件的安全。
　　雖然國內(nèi)在USB接口的移動存儲介質(zhì)強制加密上具有較好的解決方案，但對于光盤(CD/DVD)的強制加密卻沒有較好的解決方案。這里建議企業(yè)可以從行政上強制規(guī)定，禁止使用光盤來存儲涉密信息，以防止涉密信息的丟失。
　　信息共享的技術(shù)防范
　　Windows系統(tǒng)工作組模式下的文件共享難以滿足企業(yè)的文件共享要求，容易出現(xiàn)每臺計算機都設(shè)有文件共享服務，混亂而且難以控制，甚至有些共享文件夾沒 有設(shè)密碼保護或密碼長度不符合安全保密的要求，這樣會導致涉密文件的知密范圍得不到很好的控制。需要采用Windows系統(tǒng)的域管理模式、配置域控服務 器，為每個用戶設(shè)置一個唯一的域帳號;配置專門的文件共享服務器，創(chuàng)建企業(yè)級、部門級和工作組級共享文件夾，并設(shè)置好用戶訪問共享文件夾的權(quán)限;通過腳本 將企業(yè)級、部門級和工作組級共享文件夾映射成用戶計算機上的網(wǎng)絡驅(qū)動器，以方便用戶訪問共享文件夾。同時，從技術(shù)上或行政上禁止用戶用本地計算機隨意進行 文件共享，只能通過專門的文件服務器進行網(wǎng)絡共享，這樣就建立好了企業(yè)的文件共享平臺。通過企業(yè)的文件共享平臺，可以較好地規(guī)范企業(yè)的文件共享行為，將知 密范圍控制在專業(yè)組、部門或項目組內(nèi)。
　　文件共享只能對文件設(shè)置訪問權(quán)限，不能對更細級別的訪問權(quán)限進行控制，而基于數(shù)據(jù)庫的管理信息系統(tǒng)能夠進行記錄級甚至數(shù)據(jù)項級的訪問權(quán)限控制，能夠更好地 控制知密范圍，例如辦公自動化軟件和企業(yè)資源規(guī)劃軟件;基于產(chǎn)品數(shù)據(jù)管理軟件的文檔管理系統(tǒng)可以根據(jù)文檔的技術(shù)狀態(tài)動態(tài)地進行文檔權(quán)限的控制，例如定義文 檔設(shè)計狀態(tài)、校對狀態(tài)、審核狀態(tài)、發(fā)放狀態(tài)以及工程變更狀態(tài)的不同訪問權(quán)限，因此也能夠較好地控制文檔的知密范圍。同時，這些系統(tǒng)可以和Windows系 統(tǒng)的活動目錄實現(xiàn)集成，實現(xiàn)統(tǒng)一的系統(tǒng)登錄和認證，確保一次登錄，四處通行。因此，做好企業(yè)的信息化建設(shè)工作，不僅可以提高企業(yè)的工作效率和管理水平，還 可以提高涉密信息系統(tǒng)安全保密的水平。
　　網(wǎng)絡安全的技術(shù)防范
　　國內(nèi)涉密信息系統(tǒng)要求和互聯(lián)網(wǎng)實現(xiàn)完全的物理隔離，因此國內(nèi)涉密信息系統(tǒng)受到外來攻擊的可能性比較小，網(wǎng)絡安全主要是控制用戶網(wǎng)絡訪問的范圍，并預防員工 從內(nèi)部發(fā)起網(wǎng)絡攻擊。
　　目前國內(nèi)網(wǎng)絡安全產(chǎn)品在技術(shù)上比較成熟，而且品種也比較多。這里建議企業(yè)按部門或工作組來進行子網(wǎng)的劃分，并禁止各子網(wǎng)相互訪問來控 制網(wǎng)絡的訪問范圍;配置公共服務器子網(wǎng)，將企業(yè)公共的服務器放人公共服務器子網(wǎng)，例如郵件服務器、即時通訊服務器、主頁服務器、辦公自動化服務器、數(shù)據(jù)庫 服務器、企業(yè)資源規(guī)劃服務器和產(chǎn)品數(shù)據(jù)管理服務器等，并允許其他子網(wǎng)的計算機訪問公共服務器子網(wǎng)的服務器，從而實現(xiàn)企業(yè)內(nèi)部跨部門或工作組的信息共享和交 換通過網(wǎng)絡交換機的配置來控制其他子網(wǎng)計算機只能訪Iral各公共服務器指定的網(wǎng)絡服務端口，從而較好地保護公共服務器的安全在企業(yè)核心網(wǎng)絡交換機上配置 人侵偵測系統(tǒng)，來偵測跨部門或工作組的網(wǎng)絡攻擊行為;通過MAC地址和網(wǎng)絡端口綁定Windows活動目錄和網(wǎng)絡交換機Radius認證的集成來防止非法 的網(wǎng)絡接人。桌面安全的技術(shù)防范
　　桌面計算機輸入輸出控制是企業(yè)涉密信息系統(tǒng)安全保密工作技術(shù)防范的關(guān)鍵，桌面計算機輸人輸出控制不嚴會大大增加安全保密的風險，導致企業(yè)涉密信息系統(tǒng)安全 保密技術(shù)防范措施千瘡百孔，因此企業(yè)必須切實控制好桌面計算機的輸人輸出。目前國內(nèi)控制桌面計算機輸人輸出行為的成功案例是統(tǒng)一集中的輸人輸出方案，可按 建筑物或部門設(shè)置統(tǒng)一集中的輸人輸出機房，并配置專人負責管理;規(guī)定所有的打印輸出必須到指定的輸人輸出機房進標每臺計算機上都安裝網(wǎng)絡版的主機監(jiān)控審計 軟件客戶端[2][3)，并在主機監(jiān)控審計軟件服務器配置主機監(jiān)控和審計策略，禁用用戶的各類輸入輸出端口，例如禁止使用USB端口的移動存儲介質(zhì)、調(diào)制 解調(diào)器、各類光驅(qū)、紅外端口、SCSI端口和打印端口等，只允許輸人輸出機房的計算機能夠使用輸人輸出端口。但由于國內(nèi)的主機監(jiān)控審計軟件容易被突破，因 此桌面安全做得較好的企業(yè)會聯(lián)合采用物理措施封堵計算機的輸人輸出端口，例如更換專門的安全保密機箱并將機箱上鎖�；蛴谜衬z、封條等方式封堵計算機的輸人 輸出端口。同時為了防止病毒的人侵，避免用戶隨意安裝軟件和操作系統(tǒng)，確保整個涉密信息系統(tǒng)的安全，桌面安全做得較好的企業(yè)也會拆除計算機的只讀光驅(qū)。
　　如果手工進行所有桌面計算機的安全配置和漏洞封堵，將大大增加系統(tǒng)管理員的工作量，而且也難以做到位。因此，這里建議采用軟件自動配置的方式來完成桌面計 算機的安全配置和漏洞封堵，可采用Windows活動目錄組策略的配置來控制所有域內(nèi)計算機的安全配置，例如域帳戶密碼的長度和復雜性要求、鎖屏策略等; 采用Windows的軟件分發(fā)服務來自動實現(xiàn)系統(tǒng)補丁的分發(fā)，可定期從國際互聯(lián)網(wǎng)上下載系統(tǒng)補丁包，由軟件分發(fā)服務器來實現(xiàn)系統(tǒng)補丁的分發(fā)。目前國內(nèi)個別 先進的主機監(jiān)控審計軟件也能夠?qū)崿F(xiàn)桌面計算機安全配置和漏洞封堵的自動化。
　　其它類型防范方法
　　一、VLAN(虛擬局域網(wǎng))技術(shù)
　　選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡的物理拓撲結(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡，它依*用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡流量、防止廣播風暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡的信息。
　　二、網(wǎng)絡分段
　　企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，可以被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接人以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。
　　三、硬件防火墻技術(shù)
　　任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護防火墻，因此防火墻在網(wǎng)絡安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡的邊緣，這使得內(nèi)部網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離，并限制網(wǎng)絡互訪從而保護企業(yè)內(nèi)部網(wǎng)絡。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡的安全管理。
　　四、入侵檢測技術(shù)
　　入侵檢測方法較多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應用層入侵檢測中已有實現(xiàn)。
　　我們需要重點解決企業(yè)實際存在的這些問題，確保做到有的放矢。下面從便攜電腦、移動存儲介質(zhì)、信息共享、網(wǎng)絡安全、桌面安全、安全審計等方面的技術(shù)防范角度，來分析企業(yè)涉密信息系統(tǒng)安全保密技術(shù)防范措施。
　億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]