信息安全是信息化與生俱來的屬性和要求�����,如果說現(xiàn)代信息技術(shù)發(fā)展的主要標(biāo)志是數(shù)字化���、計(jì)算能力和網(wǎng)絡(luò),那么在給我們帶來想象力����、創(chuàng)造力、機(jī)會(huì)���、效率和成功的同時(shí)���,也暗藏著破壞力、顛覆力�����、風(fēng)險(xiǎn)、折騰和失敗��。所有新信息技術(shù)都存在著兩面性���,如果沒有一個(gè)正確認(rèn)識(shí)����,無異于在沙灘上建造摩天大樓���。
信息安全程序的核心,是一種管理業(yè)務(wù)風(fēng)險(xiǎn)的機(jī)制---而不僅僅是技術(shù)風(fēng)險(xiǎn)---它是一種能夠使業(yè)務(wù)運(yùn)轉(zhuǎn)和增長的方法�����。與業(yè)務(wù)需求相對(duì)應(yīng)是實(shí)施信息安全程序的關(guān)鍵��,并使其對(duì)企業(yè)具有實(shí)際意義��。因此�����,針對(duì)以上對(duì)于企業(yè)信息安全問題的定義與現(xiàn)狀分析�����,目前,解決信息安全問題有如下幾個(gè)對(duì)策:
1.網(wǎng)絡(luò)管理 一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離���,因而與互聯(lián)網(wǎng)相比����,其安全性較高����,但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題�����,具體而言: (1)在IP資源管理方面�����,采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口���。這分兩種情況實(shí)現(xiàn)��,第一種情況是如果客戶機(jī)連在支持網(wǎng)管的交換機(jī)上的��,可以通過網(wǎng)管中心的管理軟件���,對(duì)該交換機(jī)遠(yuǎn)程實(shí)施PortSecurity策略����,將客戶端網(wǎng)卡MAC地址固定綁在相應(yīng)端口上��。第二種情況是如果客戶機(jī)連接的交換機(jī)或集線器不支持網(wǎng)管����,則可以通過Web網(wǎng)頁調(diào)用一個(gè)程序���,通過該程序把MAC地址和IP地址捆綁在一起��。這樣����,就不會(huì)出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況���。 (2)在網(wǎng)絡(luò)流量監(jiān)測(cè)方面��,可使用網(wǎng)絡(luò)監(jiān)測(cè)軟件對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計(jì)��,查看數(shù)據(jù)���、視頻����、語音等各種應(yīng)用的利用帶寬��,防止頻繁進(jìn)行大文件的傳輸�,甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。
(3)在違規(guī)操作監(jiān)控方面�����,首先是要根據(jù)企業(yè)要求��,嚴(yán)禁“一機(jī)兩用”事件的發(fā)生�������!耙粰C(jī)兩用”是指一臺(tái)計(jì)算機(jī)同時(shí)聯(lián)接企業(yè)網(wǎng)和互聯(lián)網(wǎng)�����,還包括輪流上企業(yè)網(wǎng)和國際互聯(lián)網(wǎng)的情形,目前筆者所在公司選擇了上海百姓軟件有限公司的“一機(jī)兩用”監(jiān)控系統(tǒng)��,實(shí)現(xiàn)電腦在線監(jiān)測(cè)���、電腦在線登記��、一機(jī)兩用監(jiān)測(cè)報(bào)警���、電腦阻斷、物理定位等功能�����。 2.服務(wù)器管理 常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為Windows系列,服務(wù)器的管理包括服務(wù)器安全審核��、組策略實(shí)施�����、服務(wù)器的備份策略�����。服務(wù)器安全審核是網(wǎng)管日常工作項(xiàng)目之一���,審核的范圍包括安全漏洞檢查����、日志分析����、補(bǔ)丁安裝情況檢查等,審核的對(duì)象可以是DC����、ExchangeServer、SQLServer��、IIS等���。
在組策略實(shí)施時(shí)�,如果想使用軟件限制策略��,即哪些客戶不能使用哪個(gè)軟件�,則需要把操作系統(tǒng)升級(jí)到Windows2003Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分���,系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序���,制定一個(gè)合理的備份策略���,如每周日晚上做一次完全備份,然后周一到周五晚上做增量備份或差額備份���;定期對(duì)服務(wù)器備份工作情況等����。
3.數(shù)據(jù)備份與數(shù)據(jù)加密 由于應(yīng)用系統(tǒng)的加入�����,各種數(shù)據(jù)庫日趨增長�,如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失,是當(dāng)前面臨的一個(gè)難題�。這里有四種解決方法:第一種解決辦法是用磁帶機(jī)或硬盤進(jìn)行數(shù)據(jù)備份。該辦法價(jià)格最低�,保存性最強(qiáng)�,不足之處是備份的只是某個(gè)時(shí)間點(diǎn)。
第二種方案是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余���。第三種方案是采用雙機(jī)容錯(cuò)方式�����,兩臺(tái)機(jī)器系統(tǒng)相互備份��,應(yīng)用層數(shù)據(jù)全部放在共享的磁盤陣列柜中����,這種方式能解決單機(jī)故障或宕機(jī)的問題,同時(shí)又能防止單個(gè)硬盤故障導(dǎo)致的數(shù)據(jù)丟失�,但前期投資較大。第四種方案是采用NAS或SAN來實(shí)現(xiàn)各服務(wù)器的集中區(qū)域存儲(chǔ)�����,實(shí)現(xiàn)較高級(jí)別的磁盤等硬件故障的數(shù)據(jù)備份�����,但是成本較高�,一般不能防止系統(tǒng)層的故障,如感染病毒或系統(tǒng)崩潰��。
考慮到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況��,如物理地“取走”數(shù)據(jù)庫,在通信線路上竊聽截獲�。對(duì)這樣的威脅最有效的解決方法就是數(shù)據(jù)加密,即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)����。發(fā)送方用加密密鑰,通過加密設(shè)備或算法���,將信息加密后發(fā)送出去���。接收方在收到密文后,用解密密鑰將密文解密���,恢復(fù)為明文����。如果傳輸中有人竊取�����,他只能得到無法理解的密文�,從而對(duì)信息起到保密作用。
..
|
