|
企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全�����,所以必須利用結(jié)構(gòu)化的觀點(diǎn)和方法來看待企業(yè)網(wǎng)安全系統(tǒng)����。企業(yè)網(wǎng)安全保障體系分為4個(gè)層次,從高到低分別是企業(yè)安全策略層����、企業(yè)用戶層���、企業(yè)網(wǎng)絡(luò)與信息資源層、安全服務(wù)層���。按這些層次建立一套多層次的安全技術(shù)防范系統(tǒng),常見的企業(yè)網(wǎng)安全技術(shù)有如下一些��。
便攜電腦的丟失難以避免且容易發(fā)生���,因此企業(yè)必須做好便攜電腦的技術(shù)防范工作����,以減少因無法避免的丟失而帶來的風(fēng)險(xiǎn)��。便攜電腦的技術(shù)防范措施主要包括:安 裝強(qiáng)身份認(rèn)證系統(tǒng)����,例如指紋或USBKey等,以確保盜竊者無法打開計(jì)算機(jī);采用加密軟件加密涉密文件���,使盜竊者無法打開涉密文件;規(guī)定便攜電腦上不能夠 存儲(chǔ)涉密文件�����,涉密文件存儲(chǔ)在移動(dòng)存儲(chǔ)介質(zhì)上��,存儲(chǔ)介質(zhì)和便攜電腦分開存放�。
目前國內(nèi)主要采取第三條技術(shù)防范措施,要求便攜電腦上不得存儲(chǔ)涉密文件���,這種措施實(shí)施起來有一定的難度�,需要定期檢查便攜電腦中是否存有涉密文件或曾經(jīng)存 儲(chǔ)過涉密文件��,一旦發(fā)現(xiàn)就需要用永久性刪除軟件徹底刪除涉密文件以及記錄�,特別是用戶已經(jīng)刪除了涉密文件但留有記錄,需要對整個(gè)邏輯分區(qū)進(jìn)行未用空間的徹 底清除���,費(fèi)時(shí)又費(fèi)力���。
這里建議還要聯(lián)合采用第一條和第二條技術(shù)措施。目前國內(nèi)的單機(jī)版主機(jī)監(jiān)控審計(jì)軟件大都能實(shí)現(xiàn)這兩種功能���,一方面可以通過USBKey實(shí)現(xiàn)便攜電腦的強(qiáng)身份 認(rèn)證����,另一方面如果確實(shí)需要將涉密文件存放在便攜電腦中,那就要求將涉密文件存放在加密文件夾中����,由主機(jī)監(jiān)控審計(jì)軟件實(shí)現(xiàn)涉密文件的自動(dòng)加密,涉密文件使 用完后應(yīng)及時(shí)刪除�。但國內(nèi)這些加密軟件都不能實(shí)現(xiàn)對整個(gè)硬盤的加密,如果用戶將涉密文件存放在加密文件夾之外����,涉密文件就不能實(shí)現(xiàn)自動(dòng)加密。
目前市場上已經(jīng)出現(xiàn)了全加密硬盤����,例如希捷的全加密硬盤���,可以從硬盤內(nèi)部加密全部的存儲(chǔ)數(shù)據(jù)�,甚至是臨時(shí)文件�����。這種硬盤即使丟失�����,盜賊即使可以登錄系統(tǒng), 也無法訪問硬盤��。此外還有全硬盤加密軟件�,例如PGP公司和Pointset移動(dòng)技術(shù)公司都提供這種類型的軟件,微軟Vista用可信賴平臺(tái)模塊 (TPM)的內(nèi)置式安全芯片作為自己的BitLocker驅(qū)動(dòng)器加密的一部分���,也可以實(shí)現(xiàn)全硬盤的加密�����。以上的加密措施可以較好地保證涉密文件的安全�,但 國內(nèi)保密管理部門目前還沒有對任何商用的加密產(chǎn)品提供過安全保密認(rèn)證���,也就是說�����,企業(yè)丟失加密的涉密文件還是要負(fù)責(zé)任的�����。
移動(dòng)存儲(chǔ)介質(zhì)的技術(shù)防范
移動(dòng)存儲(chǔ)介質(zhì)和便攜電腦一樣���,丟失難以避免��,因此企業(yè)也必須實(shí)施好移動(dòng)存儲(chǔ)介質(zhì)的技術(shù)防范措施���。移動(dòng)存儲(chǔ)介質(zhì)的技術(shù)防范措施主要是加密,使盜竊者無法打開移動(dòng)存儲(chǔ)介質(zhì)中的涉密文件�����。
目前國內(nèi)部分主機(jī)監(jiān)控審計(jì)產(chǎn)品都能實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)的加密存儲(chǔ)�����。強(qiáng)制要求在使用前必須進(jìn)行存儲(chǔ)介質(zhì)的認(rèn)證���,沒有通過認(rèn)證的移動(dòng)存儲(chǔ)介質(zhì)在涉密信息系統(tǒng)中只 能讀,不能寫���,只有通過認(rèn)證的移動(dòng)存儲(chǔ)介質(zhì)才能進(jìn)行正常讀寫�,而且自動(dòng)實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)中文件的加密��。攜帶認(rèn)證的存儲(chǔ)介質(zhì)出差時(shí)�����,必須輸入正確的密碼才能 夠打開加密的文件,因此能較好地保證移動(dòng)存儲(chǔ)介質(zhì)中涉密文件的安全�。
雖然國內(nèi)在USB接口的移動(dòng)存儲(chǔ)介質(zhì)強(qiáng)制加密上具有較好的解決方案,但對于光盤(CD/DVD)的強(qiáng)制加密卻沒有較好的解決方案�。這里建議企業(yè)可以從行政上強(qiáng)制規(guī)定,禁止使用光盤來存儲(chǔ)涉密信息�����,以防止涉密信息的丟失����。
信息共享的技術(shù)防范
Windows系統(tǒng)工作組模式下的文件共享難以滿足企業(yè)的文件共享要求,容易出現(xiàn)每臺(tái)計(jì)算機(jī)都設(shè)有文件共享服務(wù)��,混亂而且難以控制����,甚至有些共享文件夾沒 有設(shè)密碼保護(hù)或密碼長度不符合安全保密的要求,這樣會(huì)導(dǎo)致涉密文件的知密范圍得不到很好的控制�。需要采用Windows系統(tǒng)的域管理模式、配置域控服務(wù) 器�����,為每個(gè)用戶設(shè)置一個(gè)唯一的域帳號(hào);配置專門的文件共享服務(wù)器,創(chuàng)建企業(yè)級(jí)�����、部門級(jí)和工作組級(jí)共享文件夾�,并設(shè)置好用戶訪問共享文件夾的權(quán)限;通過腳本 將企業(yè)級(jí)、部門級(jí)和工作組級(jí)共享文件夾映射成用戶計(jì)算機(jī)上的網(wǎng)絡(luò)驅(qū)動(dòng)器�,以方便用戶訪問共享文件夾。同時(shí)��,從技術(shù)上或行政上禁止用戶用本地計(jì)算機(jī)隨意進(jìn)行 文件共享�����,只能通過專門的文件服務(wù)器進(jìn)行網(wǎng)絡(luò)共享�,這樣就建立好了企業(yè)的文件共享平臺(tái)。通過企業(yè)的文件共享平臺(tái)����,可以較好地規(guī)范企業(yè)的文件共享行為,將知 密范圍控制在專業(yè)組����、部門或項(xiàng)目組內(nèi)�����。
文件共享只能對文件設(shè)置訪問權(quán)限,不能對更細(xì)級(jí)別的訪問權(quán)限進(jìn)行控制��,而基于數(shù)據(jù)庫的管理信息系統(tǒng)能夠進(jìn)行記錄級(jí)甚至數(shù)據(jù)項(xiàng)級(jí)的訪問權(quán)限控制�,能夠更好地 控制知密范圍,例如辦公自動(dòng)化軟件和企業(yè)資源規(guī)劃軟件;基于產(chǎn)品數(shù)據(jù)管理軟件的文檔管理系統(tǒng)可以根據(jù)文檔的技術(shù)狀態(tài)動(dòng)態(tài)地進(jìn)行文檔權(quán)限的控制��,例如定義文 檔設(shè)計(jì)狀態(tài)��、校對狀態(tài)��、審核狀態(tài)�����、發(fā)放狀態(tài)以及工程變更狀態(tài)的不同訪問權(quán)限���,因此也能夠較好地控制文檔的知密范圍�。同時(shí)��,這些系統(tǒng)可以和Windows系 統(tǒng)的活動(dòng)目錄實(shí)現(xiàn)集成���,實(shí)現(xiàn)統(tǒng)一的系統(tǒng)登錄和認(rèn)證�����,確保一次登錄�,四處通行。因此��,做好企業(yè)的信息化建設(shè)工作���,不僅可以提高企業(yè)的工作效率和管理水平�,還 可以提高涉密信息系統(tǒng)安全保密的水平�����。
網(wǎng)絡(luò)安全的技術(shù)防范
國內(nèi)涉密信息系統(tǒng)要求和互聯(lián)網(wǎng)實(shí)現(xiàn)完全的物理隔離���,因此國內(nèi)涉密信息系統(tǒng)受到外來攻擊的可能性比較小�����,網(wǎng)絡(luò)安全主要是控制用戶網(wǎng)絡(luò)訪問的范圍���,并預(yù)防員工 從內(nèi)部發(fā)起網(wǎng)絡(luò)攻擊。
目前國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品在技術(shù)上比較成熟�����,而且品種也比較多�。這里建議企業(yè)按部門或工作組來進(jìn)行子網(wǎng)的劃分,并禁止各子網(wǎng)相互訪問來控 制網(wǎng)絡(luò)的訪問范圍;配置公共服務(wù)器子網(wǎng)�,將企業(yè)公共的服務(wù)器放人公共服務(wù)器子網(wǎng),例如郵件服務(wù)器����、即時(shí)通訊服務(wù)器、主頁服務(wù)器��、辦公自動(dòng)化服務(wù)器���、數(shù)據(jù)庫 服務(wù)器��、企業(yè)資源規(guī)劃服務(wù)器和產(chǎn)品數(shù)據(jù)管理服務(wù)器等�����,并允許其他子網(wǎng)的計(jì)算機(jī)訪問公共服務(wù)器子網(wǎng)的服務(wù)器�����,從而實(shí)現(xiàn)企業(yè)內(nèi)部跨部門或工作組的信息共享和交 換通過網(wǎng)絡(luò)交換機(jī)的配置來控制其他子網(wǎng)計(jì)算機(jī)只能訪Iral各公共服務(wù)器指定的網(wǎng)絡(luò)服務(wù)端口�,從而較好地保護(hù)公共服務(wù)器的安全在企業(yè)核心網(wǎng)絡(luò)交換機(jī)上配置 人侵偵測系統(tǒng),來偵測跨部門或工作組的網(wǎng)絡(luò)攻擊行為;通過MAC地址和網(wǎng)絡(luò)端口綁定Windows活動(dòng)目錄和網(wǎng)絡(luò)交換機(jī)Radius認(rèn)證的集成來防止非法 的網(wǎng)絡(luò)接人��。桌面安全的技術(shù)防范
桌面計(jì)算機(jī)輸入輸出控制是企業(yè)涉密信息系統(tǒng)安全保密工作技術(shù)防范的關(guān)鍵��,桌面計(jì)算機(jī)輸人輸出控制不嚴(yán)會(huì)大大增加安全保密的風(fēng)險(xiǎn)���,導(dǎo)致企業(yè)涉密信息系統(tǒng)安全 保密技術(shù)防范措施千瘡百孔����,因此企業(yè)必須切實(shí)控制好桌面計(jì)算機(jī)的輸人輸出�。目前國內(nèi)控制桌面計(jì)算機(jī)輸人輸出行為的成功案例是統(tǒng)一集中的輸人輸出方案,可按 建筑物或部門設(shè)置統(tǒng)一集中的輸人輸出機(jī)房����,并配置專人負(fù)責(zé)管理;規(guī)定所有的打印輸出必須到指定的輸人輸出機(jī)房進(jìn)標(biāo)每臺(tái)計(jì)算機(jī)上都安裝網(wǎng)絡(luò)版的主機(jī)監(jiān)控審計(jì) 軟件客戶端[2][3),并在主機(jī)監(jiān)控審計(jì)軟件服務(wù)器配置主機(jī)監(jiān)控和審計(jì)策略����,禁用用戶的各類輸入輸出端口,例如禁止使用USB端口的移動(dòng)存儲(chǔ)介質(zhì)�����、調(diào)制 解調(diào)器����、各類光驅(qū)�����、紅外端口、SCSI端口和打印端口等�����,只允許輸人輸出機(jī)房的計(jì)算機(jī)能夠使用輸人輸出端口�����。但由于國內(nèi)的主機(jī)監(jiān)控審計(jì)軟件容易被突破����,因 此桌面安全做得較好的企業(yè)會(huì)聯(lián)合采用物理措施封堵計(jì)算機(jī)的輸人輸出端口,例如更換專門的安全保密機(jī)箱并將機(jī)箱上鎖�������;蛴谜衬z���、封條等方式封堵計(jì)算機(jī)的輸人 輸出端口����。同時(shí)為了防止病毒的人侵,避免用戶隨意安裝軟件和操作系統(tǒng)���,確保整個(gè)涉密信息系統(tǒng)的安全�,桌面安全做得較好的企業(yè)也會(huì)拆除計(jì)算機(jī)的只讀光驅(qū)����。
如果手工進(jìn)行所有桌面計(jì)算機(jī)的安全配置和漏洞封堵,將大大增加系統(tǒng)管理員的工作量�����,而且也難以做到位�。因此,這里建議采用軟件自動(dòng)配置的方式來完成桌面計(jì) 算機(jī)的安全配置和漏洞封堵�,可采用Windows活動(dòng)目錄組策略的配置來控制所有域內(nèi)計(jì)算機(jī)的安全配置,例如域帳戶密碼的長度和復(fù)雜性要求�、鎖屏策略等; 采用Windows的軟件分發(fā)服務(wù)來自動(dòng)實(shí)現(xiàn)系統(tǒng)補(bǔ)丁的分發(fā),可定期從國際互聯(lián)網(wǎng)上下載系統(tǒng)補(bǔ)丁包����,由軟件分發(fā)服務(wù)器來實(shí)現(xiàn)系統(tǒng)補(bǔ)丁的分發(fā)�����。目前國內(nèi)個(gè)別 先進(jìn)的主機(jī)監(jiān)控審計(jì)軟件也能夠?qū)崿F(xiàn)桌面計(jì)算機(jī)安全配置和漏洞封堵的自動(dòng)化�。
其它類型防范方法
一���、VLAN(虛擬局域網(wǎng))技術(shù)
選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò)�,它依*用戶的邏輯設(shè)定將原來物理上互連的一個(gè)局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng),劃分的依據(jù)可以是設(shè)備所連端口���、用戶節(jié)點(diǎn)的MAC地址等��。該技術(shù)能有效地控制網(wǎng)絡(luò)流量�、防止廣播風(fēng)暴�,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實(shí)施MAC幀過濾�。而且,即使黑客攻破某一虛擬子網(wǎng)���,也無法得到整個(gè)網(wǎng)絡(luò)的信息����。
二、網(wǎng)絡(luò)分段
企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)�,任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,可以被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取����。因此,黑客只要接人以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽��,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包��,對其進(jìn)行解包分析��,從而竊取關(guān)鍵信息�����。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離��,從而達(dá)到限制用戶非法訪問的目的�。
三、硬件防火墻技術(shù)
任何企業(yè)安全策略的一個(gè)主要部分都是實(shí)現(xiàn)和維護(hù)防火墻�����,因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣���,這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離�,并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)�。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡化網(wǎng)絡(luò)的安全管理��。
四���、入侵檢測技術(shù)
入侵檢測方法較多�����,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等���。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實(shí)現(xiàn)�����。
我們需要重點(diǎn)解決企業(yè)實(shí)際存在的這些問題���,確保做到有的放矢。下面從便攜電腦、移動(dòng)存儲(chǔ)介質(zhì)��、信息共享���、網(wǎng)絡(luò)安全�����、桌面安全�、安全審計(jì)等方面的技術(shù)防范角度���,來分析企業(yè)涉密信息系統(tǒng)安全保密技術(shù)防范措施��。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級(jí)提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
