企业版网络安全防范措施精解

  作者:畅享网
2010/1/11 15:22:11
  企业网络安全是系统结构本身的安全,所以必须利用结构化的观点和方法来看待企业网安全系统。企业网安全保障体系分为4个层次,从高到低分别是企业安全策略层、企业用户层、企业网络与信息资源层、安全服务层。按这些层次建立一套多层次的安全技术防范系统,常见的企业网安全技术有如下一些。

本文关键字: 网络安全 存储 防火墙 VLAN

  企业网络安全是系统结构本身的安全,所以必须利用结构化的观点和方法来看待企业网安全系统。企业网安全保障体系分为4个层次,从高到低分别是企业安全策略层、企业用户层、企业网络与信息资源层、安全服务层。按这些层次建立一套多层次的安全技术防范系统,常见的企业网安全技术有如下一些。 

  便携电脑的丢失难以避免且容易发生,因此企业必须做好便携电脑的技术防范工作,以减少因无法避免的丢失而带来的风险。便携电脑的技术防范措施主要包括:安 装强身份认证系统,例如指纹或USBKey等,以确保盗窃者无法打开计算机;采用加密软件加密涉密文件,使盗窃者无法打开涉密文件;规定便携电脑上不能够 存储涉密文件,涉密文件存储在移动存储介质上,存储介质和便携电脑分开存放。

  目前国内主要采取第三条技术防范措施,要求便携电脑上不得存储涉密文件,这种措施实施起来有一定的难度,需要定期检查便携电脑中是否存有涉密文件或曾经存 储过涉密文件,一旦发现就需要用永久性删除软件彻底删除涉密文件以及记录,特别是用户已经删除了涉密文件但留有记录,需要对整个逻辑分区进行未用空间的彻 底清除,费时又费力。

  这里建议还要联合采用第一条和第二条技术措施。目前国内的单机版主机监控审计软件大都能实现这两种功能,一方面可以通过USBKey实现便携电脑的强身份 认证,另一方面如果确实需要将涉密文件存放在便携电脑中,那就要求将涉密文件存放在加密文件夹中,由主机监控审计软件实现涉密文件的自动加密,涉密文件使 用完后应及时删除。但国内这些加密软件都不能实现对整个硬盘的加密,如果用户将涉密文件存放在加密文件夹之外,涉密文件就不能实现自动加密。

  目前市场上已经出现了全加密硬盘,例如希捷的全加密硬盘,可以从硬盘内部加密全部的存储数据,甚至是临时文件。这种硬盘即使丢失,盗贼即使可以登录系统, 也无法访问硬盘。此外还有全硬盘加密软件,例如PGP公司和Pointset移动技术公司都提供这种类型的软件,微软Vista用可信赖平台模块 (TPM)的内置式安全芯片作为自己的BitLocker驱动器加密的一部分,也可以实现全硬盘的加密。以上的加密措施可以较好地保证涉密文件的安全,但 国内保密管理部门目前还没有对任何商用的加密产品提供过安全保密认证,也就是说,企业丢失加密的涉密文件还是要负责任的。

  移动存储介质的技术防范

  移动存储介质和便携电脑一样,丢失难以避免,因此企业也必须实施好移动存储介质的技术防范措施。移动存储介质的技术防范措施主要是加密,使盗窃者无法打开移动存储介质中的涉密文件。

  目前国内部分主机监控审计产品都能实现移动存储介质的加密存储。强制要求在使用前必须进行存储介质的认证,没有通过认证的移动存储介质在涉密信息系统中只 能读,不能写,只有通过认证的移动存储介质才能进行正常读写,而且自动实现移动存储介质中文件的加密。携带认证的存储介质出差时,必须输入正确的密码才能 够打开加密的文件,因此能较好地保证移动存储介质中涉密文件的安全。

  虽然国内在USB接口的移动存储介质强制加密上具有较好的解决方案,但对于光盘(CD/DVD)的强制加密却没有较好的解决方案。这里建议企业可以从行政上强制规定,禁止使用光盘来存储涉密信息,以防止涉密信息的丢失。

  信息共享的技术防范

  Windows系统工作组模式下的文件共享难以满足企业的文件共享要求,容易出现每台计算机都设有文件共享服务,混乱而且难以控制,甚至有些共享文件夹没 有设密码保护或密码长度不符合安全保密的要求,这样会导致涉密文件的知密范围得不到很好的控制。需要采用Windows系统的域管理模式、配置域控服务 器,为每个用户设置一个唯一的域帐号;配置专门的文件共享服务器,创建企业级、部门级和工作组级共享文件夹,并设置好用户访问共享文件夹的权限;通过脚本 将企业级、部门级和工作组级共享文件夹映射成用户计算机上的网络驱动器,以方便用户访问共享文件夹。同时,从技术上或行政上禁止用户用本地计算机随意进行 文件共享,只能通过专门的文件服务器进行网络共享,这样就建立好了企业的文件共享平台。通过企业的文件共享平台,可以较好地规范企业的文件共享行为,将知 密范围控制在专业组、部门或项目组内。

  文件共享只能对文件设置访问权限,不能对更细级别的访问权限进行控制,而基于数据库的管理信息系统能够进行记录级甚至数据项级的访问权限控制,能够更好地 控制知密范围,例如办公自动化软件和企业资源规划软件;基于产品数据管理软件的文档管理系统可以根据文档的技术状态动态地进行文档权限的控制,例如定义文 档设计状态、校对状态、审核状态、发放状态以及工程变更状态的不同访问权限,因此也能够较好地控制文档的知密范围。同时,这些系统可以和Windows系 统的活动目录实现集成,实现统一的系统登录和认证,确保一次登录,四处通行。因此,做好企业的信息化建设工作,不仅可以提高企业的工作效率和管理水平,还 可以提高涉密信息系统安全保密的水平。
 

共2页: 上一页1 [2]
责编:赵恒
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918