針對(duì)企業(yè)版網(wǎng)絡(luò)安全防范措施的講解

企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全，所以必須利用結(jié)構(gòu)化的觀點(diǎn)和方法來(lái)看待企業(yè)網(wǎng)安全系統(tǒng)。企業(yè)網(wǎng)安全保障體系分為4個(gè)層次，從高到低分別是企業(yè)安全策略層、企業(yè)用戶(hù)層、企業(yè)網(wǎng)絡(luò)與信息資源層、安全服務(wù)層。按這些層次建立一套多層次的安全技術(shù)防范系統(tǒng)，常見(jiàn)的企業(yè)網(wǎng)安全技術(shù)有如下一些。
　　便攜電腦的丟失難以避免且容易發(fā)生，因此企業(yè)必須做好便攜電腦的技術(shù)防范工作，以減少因無(wú)法避免的丟失而帶來(lái)的風(fēng)險(xiǎn)。便攜電腦的技術(shù)防范措施主要包括：安 裝強(qiáng)身份認(rèn)證系統(tǒng)，例如指紋或USBKey等，以確保盜竊者無(wú)法打開(kāi)計(jì)算機(jī);采用加密軟件加密涉密文件，使盜竊者無(wú)法打開(kāi)涉密文件;規(guī)定便攜電腦上不能夠 存儲(chǔ)涉密文件，涉密文件存儲(chǔ)在移動(dòng)存儲(chǔ)介質(zhì)上，存儲(chǔ)介質(zhì)和便攜電腦分開(kāi)存放。
　　目前國(guó)內(nèi)主要采取第三條技術(shù)防范措施，要求便攜電腦上不得存儲(chǔ)涉密文件，這種措施實(shí)施起來(lái)有一定的難度，需要定期檢查便攜電腦中是否存有涉密文件或曾經(jīng)存 儲(chǔ)過(guò)涉密文件，一旦發(fā)現(xiàn)就需要用永久性刪除軟件徹底刪除涉密文件以及記錄，特別是用戶(hù)已經(jīng)刪除了涉密文件但留有記錄，需要對(duì)整個(gè)邏輯分區(qū)進(jìn)行未用空間的徹 底清除，費(fèi)時(shí)又費(fèi)力。
　　這里建議還要聯(lián)合采用第一條和第二條技術(shù)措施。目前國(guó)內(nèi)的單機(jī)版主機(jī)監(jiān)控審計(jì)軟件大都能實(shí)現(xiàn)這兩種功能，一方面可以通過(guò)USBKey實(shí)現(xiàn)便攜電腦的強(qiáng)身份 認(rèn)證，另一方面如果確實(shí)需要將涉密文件存放在便攜電腦中，那就要求將涉密文件存放在加密文件夾中，由主機(jī)監(jiān)控審計(jì)軟件實(shí)現(xiàn)涉密文件的自動(dòng)加密，涉密文件使 用完后應(yīng)及時(shí)刪除。但國(guó)內(nèi)這些加密軟件都不能實(shí)現(xiàn)對(duì)整個(gè)硬盤(pán)的加密，如果用戶(hù)將涉密文件存放在加密文件夾之外，涉密文件就不能實(shí)現(xiàn)自動(dòng)加密。
　　目前市場(chǎng)上已經(jīng)出現(xiàn)了全加密硬盤(pán)，例如希捷的全加密硬盤(pán)，可以從硬盤(pán)內(nèi)部加密全部的存儲(chǔ)數(shù)據(jù)，甚至是臨時(shí)文件。這種硬盤(pán)即使丟失，盜賊即使可以登錄系統(tǒng)， 也無(wú)法訪問(wèn)硬盤(pán)。此外還有全硬盤(pán)加密軟件，例如PGP公司和Pointset移動(dòng)技術(shù)公司都提供這種類(lèi)型的軟件，微軟Vista用可信賴(lài)平臺(tái)模塊 (TPM)的內(nèi)置式安全芯片作為自己的BitLocker驅(qū)動(dòng)器加密的一部分，也可以實(shí)現(xiàn)全硬盤(pán)的加密。以上的加密措施可以較好地保證涉密文件的安全，但 國(guó)內(nèi)保密管理部門(mén)目前還沒(méi)有對(duì)任何商用的加密產(chǎn)品提供過(guò)安全保密認(rèn)證，也就是說(shuō)，企業(yè)丟失加密的涉密文件還是要負(fù)責(zé)任的。
　　移動(dòng)存儲(chǔ)介質(zhì)的技術(shù)防范
　　移動(dòng)存儲(chǔ)介質(zhì)和便攜電腦一樣，丟失難以避免，因此企業(yè)也必須實(shí)施好移動(dòng)存儲(chǔ)介質(zhì)的技術(shù)防范措施。移動(dòng)存儲(chǔ)介質(zhì)的技術(shù)防范措施主要是加密，使盜竊者無(wú)法打開(kāi)移動(dòng)存儲(chǔ)介質(zhì)中的涉密文件。
　　目前國(guó)內(nèi)部分主機(jī)監(jiān)控審計(jì)產(chǎn)品都能實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)的加密存儲(chǔ)。強(qiáng)制要求在使用前必須進(jìn)行存儲(chǔ)介質(zhì)的認(rèn)證，沒(méi)有通過(guò)認(rèn)證的移動(dòng)存儲(chǔ)介質(zhì)在涉密信息系統(tǒng)中只 能讀，不能寫(xiě)，只有通過(guò)認(rèn)證的移動(dòng)存儲(chǔ)介質(zhì)才能進(jìn)行正常讀寫(xiě)，而且自動(dòng)實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)中文件的加密。攜帶認(rèn)證的存儲(chǔ)介質(zhì)出差時(shí)，必須輸入正確的密碼才能 夠打開(kāi)加密的文件，因此能較好地保證移動(dòng)存儲(chǔ)介質(zhì)中涉密文件的安全。
　　雖然國(guó)內(nèi)在USB接口的移動(dòng)存儲(chǔ)介質(zhì)強(qiáng)制加密上具有較好的解決方案，但對(duì)于光盤(pán)(CD/DVD)的強(qiáng)制加密卻沒(méi)有較好的解決方案。這里建議企業(yè)可以從行政上強(qiáng)制規(guī)定，禁止使用光盤(pán)來(lái)存儲(chǔ)涉密信息，以防止涉密信息的丟失。
　　信息共享的技術(shù)防范
　　Windows系統(tǒng)工作組模式下的文件共享難以滿(mǎn)足企業(yè)的文件共享要求，容易出現(xiàn)每臺(tái)計(jì)算機(jī)都設(shè)有文件共享服務(wù)，混亂而且難以控制，甚至有些共享文件夾沒(méi) 有設(shè)密碼保護(hù)或密碼長(zhǎng)度不符合安全保密的要求，這樣會(huì)導(dǎo)致涉密文件的知密范圍得不到很好的控制。需要采用Windows系統(tǒng)的域管理模式、配置域控服務(wù) 器，為每個(gè)用戶(hù)設(shè)置一個(gè)唯一的域帳號(hào);配置專(zhuān)門(mén)的文件共享服務(wù)器，創(chuàng)建企業(yè)級(jí)、部門(mén)級(jí)和工作組級(jí)共享文件夾，并設(shè)置好用戶(hù)訪問(wèn)共享文件夾的權(quán)限;通過(guò)腳本 將企業(yè)級(jí)、部門(mén)級(jí)和工作組級(jí)共享文件夾映射成用戶(hù)計(jì)算機(jī)上的網(wǎng)絡(luò)驅(qū)動(dòng)器，以方便用戶(hù)訪問(wèn)共享文件夾。同時(shí)，從技術(shù)上或行政上禁止用戶(hù)用本地計(jì)算機(jī)隨意進(jìn)行 文件共享，只能通過(guò)專(zhuān)門(mén)的文件服務(wù)器進(jìn)行網(wǎng)絡(luò)共享，這樣就建立好了企業(yè)的文件共享平臺(tái)。通過(guò)企業(yè)的文件共享平臺(tái)，可以較好地規(guī)范企業(yè)的文件共享行為，將知 密范圍控制在專(zhuān)業(yè)組、部門(mén)或項(xiàng)目組內(nèi)。
　　文件共享只能對(duì)文件設(shè)置訪問(wèn)權(quán)限，不能對(duì)更細(xì)級(jí)別的訪問(wèn)權(quán)限進(jìn)行控制，而基于數(shù)據(jù)庫(kù)的管理信息系統(tǒng)能夠進(jìn)行記錄級(jí)甚至數(shù)據(jù)項(xiàng)級(jí)的訪問(wèn)權(quán)限控制，能夠更好地 控制知密范圍，例如辦公自動(dòng)化軟件和企業(yè)資源規(guī)劃軟件;基于產(chǎn)品數(shù)據(jù)管理軟件的文檔管理系統(tǒng)可以根據(jù)文檔的技術(shù)狀態(tài)動(dòng)態(tài)地進(jìn)行文檔權(quán)限的控制，例如定義文 檔設(shè)計(jì)狀態(tài)、校對(duì)狀態(tài)、審核狀態(tài)、發(fā)放狀態(tài)以及工程變更狀態(tài)的不同訪問(wèn)權(quán)限，因此也能夠較好地控制文檔的知密范圍。同時(shí)，這些系統(tǒng)可以和Windows系 統(tǒng)的活動(dòng)目錄實(shí)現(xiàn)集成，實(shí)現(xiàn)統(tǒng)一的系統(tǒng)登錄和認(rèn)證，確保一次登錄，四處通行。因此，做好企業(yè)的信息化建設(shè)工作，不僅可以提高企業(yè)的工作效率和管理水平，還 可以提高涉密信息系統(tǒng)安全保密的水平。
　　網(wǎng)絡(luò)安全的技術(shù)防范
　　國(guó)內(nèi)涉密信息系統(tǒng)要求和互聯(lián)網(wǎng)實(shí)現(xiàn)完全的物理隔離，因此國(guó)內(nèi)涉密信息系統(tǒng)受到外來(lái)攻擊的可能性比較小，網(wǎng)絡(luò)安全主要是控制用戶(hù)網(wǎng)絡(luò)訪問(wèn)的范圍，并預(yù)防員工 從內(nèi)部發(fā)起網(wǎng)絡(luò)攻擊。
　　目前國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)品在技術(shù)上比較成熟，而且品種也比較多。這里建議企業(yè)按部門(mén)或工作組來(lái)進(jìn)行子網(wǎng)的劃分，并禁止各子網(wǎng)相互訪問(wèn)來(lái)控 制網(wǎng)絡(luò)的訪問(wèn)范圍;配置公共服務(wù)器子網(wǎng)，將企業(yè)公共的服務(wù)器放人公共服務(wù)器子網(wǎng)，例如郵件服務(wù)器、即時(shí)通訊服務(wù)器、主頁(yè)服務(wù)器、辦公自動(dòng)化服務(wù)器、數(shù)據(jù)庫(kù) 服務(wù)器、企業(yè)資源規(guī)劃服務(wù)器和產(chǎn)品數(shù)據(jù)管理服務(wù)器等，并允許其他子網(wǎng)的計(jì)算機(jī)訪問(wèn)公共服務(wù)器子網(wǎng)的服務(wù)器，從而實(shí)現(xiàn)企業(yè)內(nèi)部跨部門(mén)或工作組的信息共享和交 換通過(guò)網(wǎng)絡(luò)交換機(jī)的配置來(lái)控制其他子網(wǎng)計(jì)算機(jī)只能訪Iral各公共服務(wù)器指定的網(wǎng)絡(luò)服務(wù)端口，從而較好地保護(hù)公共服務(wù)器的安全在企業(yè)核心網(wǎng)絡(luò)交換機(jī)上配置 人侵偵測(cè)系統(tǒng)，來(lái)偵測(cè)跨部門(mén)或工作組的網(wǎng)絡(luò)攻擊行為;通過(guò)MAC地址和網(wǎng)絡(luò)端口綁定Windows活動(dòng)目錄和網(wǎng)絡(luò)交換機(jī)Radius認(rèn)證的集成來(lái)防止非法 的網(wǎng)絡(luò)接人。桌面安全的技術(shù)防范
　　桌面計(jì)算機(jī)輸入輸出控制是企業(yè)涉密信息系統(tǒng)安全保密工作技術(shù)防范的關(guān)鍵，桌面計(jì)算機(jī)輸人輸出控制不嚴(yán)會(huì)大大增加安全保密的風(fēng)險(xiǎn)，導(dǎo)致企業(yè)涉密信息系統(tǒng)安全 保密技術(shù)防范措施千瘡百孔，因此企業(yè)必須切實(shí)控制好桌面計(jì)算機(jī)的輸人輸出。目前國(guó)內(nèi)控制桌面計(jì)算機(jī)輸人輸出行為的成功案例是統(tǒng)一集中的輸人輸出方案，可按 建筑物或部門(mén)設(shè)置統(tǒng)一集中的輸人輸出機(jī)房，并配置專(zhuān)人負(fù)責(zé)管理;規(guī)定所有的打印輸出必須到指定的輸人輸出機(jī)房進(jìn)標(biāo)每臺(tái)計(jì)算機(jī)上都安裝網(wǎng)絡(luò)版的主機(jī)監(jiān)控審計(jì) 軟件客戶(hù)端[2][3)，并在主機(jī)監(jiān)控審計(jì)軟件服務(wù)器配置主機(jī)監(jiān)控和審計(jì)策略，禁用用戶(hù)的各類(lèi)輸入輸出端口，例如禁止使用USB端口的移動(dòng)存儲(chǔ)介質(zhì)、調(diào)制 解調(diào)器、各類(lèi)光驅(qū)、紅外端口、SCSI端口和打印端口等，只允許輸人輸出機(jī)房的計(jì)算機(jī)能夠使用輸人輸出端口。但由于國(guó)內(nèi)的主機(jī)監(jiān)控審計(jì)軟件容易被突破，因 此桌面安全做得較好的企業(yè)會(huì)聯(lián)合采用物理措施封堵計(jì)算機(jī)的輸人輸出端口，例如更換專(zhuān)門(mén)的安全保密機(jī)箱并將機(jī)箱上鎖�；蛴谜衬z、封條等方式封堵計(jì)算機(jī)的輸人 輸出端口。同時(shí)為了防止病毒的人侵，避免用戶(hù)隨意安裝軟件和操作系統(tǒng)，確保整個(gè)涉密信息系統(tǒng)的安全，桌面安全做得較好的企業(yè)也會(huì)拆除計(jì)算機(jī)的只讀光驅(qū)。
　　如果手工進(jìn)行所有桌面計(jì)算機(jī)的安全配置和漏洞封堵，將大大增加系統(tǒng)管理員的工作量，而且也難以做到位。因此，這里建議采用軟件自動(dòng)配置的方式來(lái)完成桌面計(jì) 算機(jī)的安全配置和漏洞封堵，可采用Windows活動(dòng)目錄組策略的配置來(lái)控制所有域內(nèi)計(jì)算機(jī)的安全配置，例如域帳戶(hù)密碼的長(zhǎng)度和復(fù)雜性要求、鎖屏策略等; 采用Windows的軟件分發(fā)服務(wù)來(lái)自動(dòng)實(shí)現(xiàn)系統(tǒng)補(bǔ)丁的分發(fā)，可定期從國(guó)際互聯(lián)網(wǎng)上下載系統(tǒng)補(bǔ)丁包，由軟件分發(fā)服務(wù)器來(lái)實(shí)現(xiàn)系統(tǒng)補(bǔ)丁的分發(fā)。目前國(guó)內(nèi)個(gè)別 先進(jìn)的主機(jī)監(jiān)控審計(jì)軟件也能夠?qū)崿F(xiàn)桌面計(jì)算機(jī)安全配置和漏洞封堵的自動(dòng)化。
　　其它類(lèi)型防范方法
　　一、VLAN(虛擬局域網(wǎng))技術(shù)
　　選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過(guò)交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò)，它依*用戶(hù)的邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶(hù)節(jié)點(diǎn)的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù)，對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息。
　　二、網(wǎng)絡(luò)分段
　　企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，可以被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接人以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶(hù)與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶(hù)非法訪問(wèn)的目的。
　　三、硬件防火墻技術(shù)
　　任何企業(yè)安全策略的一個(gè)主要部分都是實(shí)現(xiàn)和維護(hù)防火墻，因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。
　　四、入侵檢測(cè)技術(shù)
　　入侵檢測(cè)方法較多，如基于專(zhuān)家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)。
　　我們需要重點(diǎn)解決企業(yè)實(shí)際存在的這些問(wèn)題，確保做到有的放矢。下面從便攜電腦、移動(dòng)存儲(chǔ)介質(zhì)、信息共享、網(wǎng)絡(luò)安全、桌面安全、安全審計(jì)等方面的技術(shù)防范角度，來(lái)分析企業(yè)涉密信息系統(tǒng)安全保密技術(shù)防范措施。
　億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]