|
企业版网络安全防范措施精解 企业网络安全是系统结构本身的安全,所以必须利用结构化的观点和方法来看待企业网安全系统。企业网安全保障体系分为4个层次,从高到低分别是企业安全策略层、企业用户层、企业网络与信息资源层、安全服务层。按这些层次建立一套多层次的安全技术防范系统,常见的企业网安全技术有如下一些。 网络安全的技术防范 国内涉密信息系统要求和互联网实现完全的物理隔离,因此国内涉密信息系统受到外来攻击的可能性比较小,网络安全主要是控制用户网络访问的范围,并预防员工 从内部发起网络攻击。 目前国内网络安全产品在技术上比较成熟,而且品种也比较多。这里建议企业按部门或工作组来进行子网的划分,并禁止各子网相互访问来控 制网络的访问范围;配置公共服务器子网,将企业公共的服务器放人公共服务器子网,例如邮件服务器、即时通讯服务器、主页服务器、办公自动化服务器、数据库 服务器、企业资源规划服务器和产品数据管理服务器等,并允许其他子网的计算机访问公共服务器子网的服务器,从而实现企业内部跨部门或工作组的信息共享和交 换通过网络交换机的配置来控制其他子网计算机只能访Iral各公共服务器指定的网络服务端口,从而较好地保护公共服务器的安全在企业核心网络交换机上配置 人侵侦测系统,来侦测跨部门或工作组的网络攻击行为;通过MAC地址和网络端口绑定Windows活动目录和网络交换机Radius认证的集成来防止非法 的网络接人。 桌面安全的技术防范 桌面计算机输入输出控制是企业涉密信息系统安全保密工作技术防范的关键,桌面计算机输人输出控制不严会大大增加安全保密的风险,导致企业涉密信息系统安全 保密技术防范措施千疮百孔,因此企业必须切实控制好桌面计算机的输人输出。目前国内控制桌面计算机输人输出行为的成功案例是统一集中的输人输出方案,可按 建筑物或部门设置统一集中的输人输出机房,并配置专人负责管理;规定所有的打印输出必须到指定的输人输出机房进标每台计算机上都安装网络版的主机监控审计 软件客户端[2][3),并在主机监控审计软件服务器配置主机监控和审计策略,禁用用户的各类输入输出端口,例如禁止使用USB端口的移动存储介质、调制 解调器、各类光驱、红外端口、SCSI端口和打印端口等,只允许输人输出机房的计算机能够使用输人输出端口。但由于国内的主机监控审计软件容易被突破,因 此桌面安全做得较好的企业会联合采用物理措施封堵计算机的输人输出端口,例如更换专门的安全保密机箱并将机箱上锁。或用粘胶、封条等方式封堵计算机的输人 输出端口。同时为了防止病毒的人侵,避免用户随意安装软件和操作系统,确保整个涉密信息系统的安全,桌面安全做得较好的企业也会拆除计算机的只读光驱。 如果手工进行所有桌面计算机的安全配置和漏洞封堵,将大大增加系统管理员的工作量,而且也难以做到位。因此,这里建议采用软件自动配置的方式来完成桌面计 算机的安全配置和漏洞封堵,可采用Windows活动目录组策略的配置来控制所有域内计算机的安全配置,例如域帐户密码的长度和复杂性要求、锁屏策略等; 采用Windows的软件分发服务来自动实现系统补丁的分发,可定期从国际互联网上下载系统补丁包,由软件分发服务器来实现系统补丁的分发。目前国内个别 先进的主机监控审计软件也能够实现桌面计算机安全配置和漏洞封堵的自动化。 其它类型防范方法 一、VLAN(虚拟局域网)技术 选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依*用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。 二、网络分段 企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接人以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。 三、硬件防火墙技术 任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 四、入侵检测技术 入侵检测方法较多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。 我们需要重点解决企业实际存在的这些问题,确保做到有的放矢。下面从便携电脑、移动存储介质、信息共享、网络安全、桌面安全、安全审计等方面的技术防范角度,来分析企业涉密信息系统安全保密技术防范措施。 结语 随着信息安全技术的发展,信息安全产品正在向智能、整合和管理方向发展,未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到, 如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理,需要 制定切实可行的规章制度,定期进行涉密信息系统的安全保密检查,发现问题及时整改,并严肃处理违规的责任人,从而不断强化员工的安全保密意识,使员工能够 自觉遵守企业安全保密的规章制度。 责编:赵恒 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|