今日頭條
官方微信
官方抖音
案例頻道
劉治開(kāi)
信息化給現(xiàn)代企業(yè)帶來(lái)了全新的活力,給企業(yè)的經(jīng)營(yíng)管理帶來(lái)極大的好處。企業(yè)通過(guò)網(wǎng)絡(luò)進(jìn)行開(kāi)發(fā)設(shè)計(jì)、物資采購(gòu)、產(chǎn)品生產(chǎn)、銷(xiāo)售及工程服務(wù)等一系列的企業(yè)運(yùn)營(yíng)活動(dòng),一方面企業(yè)與供應(yīng)商、客戶產(chǎn)生大量的信息交換;另一方面企業(yè)員工內(nèi)部利用網(wǎng)絡(luò)完成大部分的協(xié)作以及信息處理。企業(yè)發(fā)展了增設(shè)了分支機(jī)構(gòu),也要考慮分支機(jī)構(gòu)與總公司的信息交換問(wèn)題,企業(yè)信息化的安全問(wèn)題也就越來(lái)越重要了,同時(shí)企業(yè)信息化又要考慮網(wǎng)絡(luò)的開(kāi)放性、易用性,這些同安全性都相互影響但又同時(shí)都是很重要的必須考慮的因素。
因此企業(yè)信息化的安全框架不可避免的在實(shí)現(xiàn)有限的開(kāi)放性,提供必要的易用性方面要綜合平衡,一個(gè)可行的企業(yè)信息化安全方案應(yīng)該綜合考慮以上因素。
1 基本原則
安全是有成本的,如何平衡適合本企業(yè)的安全需要,建議參考以下原則。
(1) 易用性原則
要易于管理維護(hù),當(dāng)企業(yè)的網(wǎng)絡(luò)節(jié)點(diǎn)規(guī)模在500點(diǎn)以上,并且存在分支機(jī)構(gòu)的情況下,易管理易維護(hù),能快速定位問(wèn)題、解決問(wèn)題應(yīng)該是首要考慮的。
(2) 適度開(kāi)放原則
最安全的方案莫過(guò)于禁止一切網(wǎng)絡(luò)活動(dòng),全部開(kāi)放又需要有極大的安全投入保障,企業(yè)應(yīng)該只選擇最急需的應(yīng)用進(jìn)行有條件的開(kāi)放(這里所說(shuō)的開(kāi)放是指實(shí)現(xiàn)遠(yuǎn)程辦公或移動(dòng)辦公所需的從Intranet至Internet的開(kāi)放)。
(3) 實(shí)用與適用原則
現(xiàn)在市場(chǎng)上安全方案繁多,相應(yīng)的安全產(chǎn)品也很多,當(dāng)然需要企業(yè)的投入也是相差很多,如何選擇適合本企業(yè)的安全方案、安全產(chǎn)品,應(yīng)該從企業(yè)的實(shí)用與適用來(lái)考慮,這個(gè)也是企業(yè)進(jìn)行安全產(chǎn)品選型的首要考慮因素。另外一方面現(xiàn)在許多安全產(chǎn)品宣稱如何如何,但是實(shí)際的效果跟投入并不成正比,所以在安全產(chǎn)品上不能盲目。
(4) 重管理
安全是管出來(lái)的,再好的產(chǎn)品沒(méi)有有效的管理,一切安全都免談,而企業(yè)在管理上的投入是隱性的,因此從技術(shù)角度實(shí)現(xiàn)企業(yè)的安全策略管理是一個(gè)比較好的方式,它是可評(píng)估的,從另一方面來(lái)說(shuō)。將管理理念與技術(shù)手段完美的結(jié)合會(huì)起到事半功倍的效果。
2 安全框架
圖1 網(wǎng)絡(luò)平臺(tái)安全架構(gòu)圖
(1) 網(wǎng)絡(luò)平臺(tái)基礎(chǔ)架構(gòu)
? 基于Windows2000域(或Windows2003)的管理模式。企業(yè)網(wǎng)絡(luò)建立之初就實(shí)現(xiàn)域的管理,這為以后推行基于域策略的管理模式奠定基礎(chǔ)。另外在企業(yè)內(nèi)部,要想實(shí)現(xiàn)所有的客戶端可控也必須基于域的管理模式。
? 賬號(hào)域集中管理(包括分支機(jī)構(gòu)),便于實(shí)現(xiàn)集團(tuán)企業(yè)信息單一登陸即可存取,也便于實(shí)現(xiàn)集團(tuán)郵箱的布署與管理;資源域可以根據(jù)地理位置遠(yuǎn)近根據(jù)需要設(shè)置。這樣可以實(shí)現(xiàn)不同地區(qū)域管理策略本地化(如圖1所示,域之間的虛線鏈路是基于VPN鏈路的)。
? IP的管理。當(dāng)企業(yè)網(wǎng)絡(luò)規(guī)模較大的情況下,還是推薦DHCP(Dynamic Host Config Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)方式管理,自動(dòng)獲取IP,通過(guò)VLAN劃分不同的網(wǎng)段,配合DNS服務(wù)器全面實(shí)現(xiàn)客戶端的定位與管理。
? 集團(tuán)與固定分支機(jī)構(gòu)之間走VPN鏈路,實(shí)現(xiàn)方式有很多,推薦一種經(jīng)濟(jì)易行且比較安全的方式。兩個(gè)機(jī)構(gòu)通過(guò)專線或者其他方式接入Internet,接入點(diǎn)使用Internet Security and Acceleration (ISA) Server 防火墻,同時(shí)利用ISA的VPN接入功能建立雙方的VPN鏈路(如圖1所示)。
? 企業(yè)局域網(wǎng)內(nèi)部主干交換機(jī)為三層交換機(jī),劃分VLAN,將不同部門(mén)、不同機(jī)構(gòu)、關(guān)鍵業(yè)務(wù)分別劃分至不同的VLAN,這個(gè)主要解決網(wǎng)絡(luò)廣播風(fēng)暴或者由于局部的網(wǎng)絡(luò)節(jié)點(diǎn)故障導(dǎo)致影響整個(gè)網(wǎng)絡(luò),但是VLAN劃分過(guò)多對(duì)于三層交換機(jī)的性能要求較高,企業(yè)應(yīng)根據(jù)實(shí)際情況酌情處理。
(2) 網(wǎng)絡(luò)安全應(yīng)用布署
網(wǎng)絡(luò)安全應(yīng)用的布署追求一個(gè)原則:盡量減少用戶的干預(yù),讓用戶在不知不覺(jué)中享受著安全的可靠的網(wǎng)絡(luò)服務(wù),只有這樣的應(yīng)用才可以大規(guī)模的布署。
圖2 網(wǎng)絡(luò)安全應(yīng)用布署圖
? 補(bǔ)丁管理服務(wù) 系統(tǒng)漏洞是致命的,外層有再多的防護(hù)也抵擋不住系統(tǒng)本身就有漏洞,那就相當(dāng)于有一個(gè)公開(kāi)的后門(mén),誰(shuí)都可以隨意進(jìn)入。眾所周知的幾次網(wǎng)絡(luò)病毒風(fēng)暴都是大部分客戶端由于沒(méi)有及時(shí)打補(bǔ)丁導(dǎo)致(其實(shí)微軟早就發(fā)布了相關(guān)漏洞的補(bǔ)丁,只是由于打補(bǔ)丁這件事情比較煩瑣,個(gè)人經(jīng)常忘記)。當(dāng)企業(yè)節(jié)點(diǎn)在500點(diǎn)以上時(shí),就會(huì)發(fā)現(xiàn)統(tǒng)一補(bǔ)丁管理非常重要,一定要實(shí)現(xiàn)補(bǔ)丁的自動(dòng)下載、分發(fā),而且要強(qiáng)制安裝,對(duì)于Windows系統(tǒng)平臺(tái),可以布署微軟的Microsoft Software Update Services (SUS) 服務(wù),同時(shí)通過(guò)域策略強(qiáng)制加入域的計(jì)算機(jī)接受公司SUS服務(wù)器的管理,一旦有最新補(bǔ)丁強(qiáng)制安裝。只有這樣才能確保大部分的客戶端沒(méi)有安全漏洞,也就能夠避免某些由于安全漏洞引起的網(wǎng)絡(luò)蠕蟲(chóng)入侵導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓的事件發(fā)生(如圖2所示)。
? 防病毒服務(wù) 現(xiàn)在病毒猖獗,傳播的方式多種多樣,讓人防不勝防,因此確保每一個(gè)客戶端都有一道防病毒的屏障也很重要。如何強(qiáng)制企業(yè)內(nèi)的計(jì)算機(jī)必須布署防病毒客戶端,也需要通過(guò)域來(lái)控制發(fā)布,通過(guò)登陸腳本檢查每一臺(tái)登陸到域上的計(jì)算機(jī),一旦發(fā)現(xiàn)沒(méi)有安裝企業(yè)規(guī)定的防病毒客戶端,立即強(qiáng)制安裝。但安裝了防病毒客戶端并不意味著萬(wàn)事大吉,病毒每天都在推陳出新,因此要布署企業(yè)防病毒服務(wù)器,自動(dòng)更新病毒代碼并及時(shí)分發(fā)到每一個(gè)客戶端。只有這樣才能減輕網(wǎng)管的負(fù)擔(dān),同時(shí)一直追求的網(wǎng)絡(luò)管理的最高境界就是讓用戶感覺(jué)不到被管理,不知不覺(jué)所有的補(bǔ)丁都已經(jīng)布署、所有的客戶端都有最新的病毒代碼等(如圖2所示)。
? 企業(yè)防火墻 對(duì)于企業(yè)來(lái)講統(tǒng)一布署一套防火墻還是很有必要,它是企業(yè)連接Internet的唯一通道,以確保企業(yè)網(wǎng)絡(luò)不受Internet上各種侵害來(lái)侵?jǐn)_,它能使網(wǎng)絡(luò)用戶訪問(wèn)公用網(wǎng)絡(luò)的風(fēng)險(xiǎn)降到最低。防火墻分為硬件防火墻與軟件防火墻,從靈活管理角度來(lái)說(shuō),軟件防火墻還是很不錯(cuò)的選擇,價(jià)格也適中,推薦使用微軟的Internet Security and Acceleration (ISA) Server,它能跟Windows域集成。通過(guò)它可以靈活地實(shí)現(xiàn)控制某個(gè)域用戶的網(wǎng)絡(luò)行為,允許或禁止用戶訪問(wèn)哪些內(nèi)容、站點(diǎn)、訪問(wèn)時(shí)間等。同時(shí)它能夠提供簡(jiǎn)單的入侵檢測(cè)、入侵防護(hù),有效地抵御外來(lái)黑客的攻擊。另外一般不建議在企業(yè)內(nèi)布署個(gè)人防火墻,那樣將會(huì)加大網(wǎng)絡(luò)管理的難度,維護(hù)成本增高。如果企業(yè)內(nèi)部對(duì)于安全性要求非常高可以在基礎(chǔ)服務(wù)層與員工網(wǎng)絡(luò)之間再增加一級(jí)防火墻形成DMZ區(qū),確保企業(yè)的應(yīng)用服務(wù)的安全可靠(如圖2所示,所說(shuō)的DMZ區(qū)就是將基礎(chǔ)服務(wù)層至于內(nèi)外網(wǎng)防火墻之間)。
? 其他服務(wù)的布署 至于現(xiàn)在鼓吹的入侵檢測(cè)(IDS)直至入侵防護(hù)(IPS)等由于實(shí)際效果有待檢驗(yàn),并且成本很高,建議一般企業(yè)不要考慮。還有其它專用的網(wǎng)絡(luò)管理軟件,價(jià)格都比較高,有的效果也一般,因此也需要謹(jǐn)慎考慮。
(3) 企業(yè)數(shù)據(jù)安全
? 數(shù)據(jù)備份 應(yīng)該設(shè)立專門(mén)的備份服務(wù)器,根據(jù)不同業(yè)務(wù)數(shù)據(jù)的管理要求,分別設(shè)置備份策略,實(shí)現(xiàn)重要數(shù)據(jù)的自動(dòng)備份甚至異地災(zāi)難備份。
? 數(shù)據(jù)加密 企業(yè)在開(kāi)發(fā)各種應(yīng)用系統(tǒng)的同時(shí)除了要考慮應(yīng)用的功能性以外,還要考慮數(shù)據(jù)傳輸存儲(chǔ)的安全問(wèn)題,避免通過(guò)非法手段很方便地竊取到企業(yè)的重要數(shù)據(jù)。
(4) 安全管理策略
? 通過(guò)域設(shè)置帳號(hào)策略、計(jì)算機(jī)策略來(lái)實(shí)現(xiàn)企業(yè)統(tǒng)一精細(xì)安全管理。
例如設(shè)置帳號(hào)策略,要求提高密碼安全性;設(shè)置帳號(hào)審核策略,便于在出現(xiàn)問(wèn)題后可以跟蹤事件發(fā)生的來(lái)龍去脈;設(shè)置用戶權(quán)力指派策略,控制用戶計(jì)算機(jī)的訪問(wèn)權(quán)限,確保計(jì)算機(jī)集中管理。
? 防火墻統(tǒng)一策略。集團(tuán)企業(yè)對(duì)于防火墻可以要求統(tǒng)一策略,實(shí)現(xiàn)分支機(jī)構(gòu)的防火墻也受集團(tuán)防火墻策略的約束,這樣實(shí)現(xiàn)了統(tǒng)一防火墻策略便于管理,安全的一致性也大大提高。同時(shí)防火墻策略本身設(shè)置上必須嚴(yán)格,每種業(yè)務(wù)都必須審核,只有經(jīng)過(guò)審核過(guò)的策略才能發(fā)布。另外對(duì)于企業(yè)防火墻建議只開(kāi)放訪問(wèn)WEB服務(wù)、郵件服務(wù)的權(quán)限,如果需要發(fā)布內(nèi)部站點(diǎn),經(jīng)過(guò)審核后通過(guò)防火墻發(fā)布,所有這些訪問(wèn)都可以與域帳戶集成,實(shí)現(xiàn)信息的安全存取。
? 建立起有效的帳號(hào)創(chuàng)建、遷移、刪除的管理流程,確保帳戶的安全管理。
? 建立起企業(yè)安全策略的制定、審核、發(fā)布、撤銷(xiāo)的管理流程,確保企業(yè)安全策略及時(shí)有效。
? 建立企業(yè)安全審計(jì)的制度,由專人定期檢查企業(yè)的所有服務(wù)器的安全日志,及時(shí)解決發(fā)現(xiàn)的漏洞及其他安全隱患。
3 結(jié)語(yǔ)
企業(yè)信息化安全是一個(gè)很大的課題,道高一尺魔高一丈,按照以上方案進(jìn)行規(guī)劃并不能保證企業(yè)網(wǎng)絡(luò)有100%安全,但是如果以上基礎(chǔ)管理也沒(méi)有做到的話,那企業(yè)信息化平臺(tái)肯定是不安全的。企業(yè)IT人員必須持續(xù)關(guān)注企業(yè)信息化安全的發(fā)展方向,并及時(shí)調(diào)整優(yōu)化適合本企業(yè)的安全方案與策略。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)