今日頭條
官方微信
官方抖音
案例頻道
劉治開
信息化給現代企業帶來了全新的活力,給企業的經營管理帶來極大的好處。企業通過網絡進行開發設計、物資采購、產品生產、銷售及工程服務等一系列的企業運營活動,一方面企業與供應商、客戶產生大量的信息交換;另一方面企業員工內部利用網絡完成大部分的協作以及信息處理。企業發展了增設了分支機構,也要考慮分支機構與總公司的信息交換問題,企業信息化的安全問題也就越來越重要了,同時企業信息化又要考慮網絡的開放性、易用性,這些同安全性都相互影響但又同時都是很重要的必須考慮的因素。
因此企業信息化的安全框架不可避免的在實現有限的開放性,提供必要的易用性方面要綜合平衡,一個可行的企業信息化安全方案應該綜合考慮以上因素。
1 基本原則
安全是有成本的,如何平衡適合本企業的安全需要,建議參考以下原則。
(1) 易用性原則
要易于管理維護,當企業的網絡節點規模在500點以上,并且存在分支機構的情況下,易管理易維護,能快速定位問題、解決問題應該是首要考慮的。
(2) 適度開放原則
最安全的方案莫過于禁止一切網絡活動,全部開放又需要有極大的安全投入保障,企業應該只選擇最急需的應用進行有條件的開放(這里所說的開放是指實現遠程辦公或移動辦公所需的從Intranet至Internet的開放)。
(3) 實用與適用原則
現在市場上安全方案繁多,相應的安全產品也很多,當然需要企業的投入也是相差很多,如何選擇適合本企業的安全方案、安全產品,應該從企業的實用與適用來考慮,這個也是企業進行安全產品選型的首要考慮因素。另外一方面現在許多安全產品宣稱如何如何,但是實際的效果跟投入并不成正比,所以在安全產品上不能盲目。
(4) 重管理
安全是管出來的,再好的產品沒有有效的管理,一切安全都免談,而企業在管理上的投入是隱性的,因此從技術角度實現企業的安全策略管理是一個比較好的方式,它是可評估的,從另一方面來說。將管理理念與技術手段完美的結合會起到事半功倍的效果。
2 安全框架
圖1 網絡平臺安全架構圖
(1) 網絡平臺基礎架構
? 基于Windows2000域(或Windows2003)的管理模式。企業網絡建立之初就實現域的管理,這為以后推行基于域策略的管理模式奠定基礎。另外在企業內部,要想實現所有的客戶端可控也必須基于域的管理模式。
? 賬號域集中管理(包括分支機構),便于實現集團企業信息單一登陸即可存取,也便于實現集團郵箱的布署與管理;資源域可以根據地理位置遠近根據需要設置。這樣可以實現不同地區域管理策略本地化(如圖1所示,域之間的虛線鏈路是基于VPN鏈路的)。
? IP的管理。當企業網絡規模較大的情況下,還是推薦DHCP(Dynamic Host Config Protocol,動態主機配置協議)方式管理,自動獲取IP,通過VLAN劃分不同的網段,配合DNS服務器全面實現客戶端的定位與管理。
? 集團與固定分支機構之間走VPN鏈路,實現方式有很多,推薦一種經濟易行且比較安全的方式。兩個機構通過專線或者其他方式接入Internet,接入點使用Internet Security and Acceleration (ISA) Server 防火墻,同時利用ISA的VPN接入功能建立雙方的VPN鏈路(如圖1所示)。
? 企業局域網內部主干交換機為三層交換機,劃分VLAN,將不同部門、不同機構、關鍵業務分別劃分至不同的VLAN,這個主要解決網絡廣播風暴或者由于局部的網絡節點故障導致影響整個網絡,但是VLAN劃分過多對于三層交換機的性能要求較高,企業應根據實際情況酌情處理。
(2) 網絡安全應用布署
網絡安全應用的布署追求一個原則:盡量減少用戶的干預,讓用戶在不知不覺中享受著安全的可靠的網絡服務,只有這樣的應用才可以大規模的布署。
圖2 網絡安全應用布署圖
? 補丁管理服務 系統漏洞是致命的,外層有再多的防護也抵擋不住系統本身就有漏洞,那就相當于有一個公開的后門,誰都可以隨意進入。眾所周知的幾次網絡病毒風暴都是大部分客戶端由于沒有及時打補丁導致(其實微軟早就發布了相關漏洞的補丁,只是由于打補丁這件事情比較煩瑣,個人經常忘記)。當企業節點在500點以上時,就會發現統一補丁管理非常重要,一定要實現補丁的自動下載、分發,而且要強制安裝,對于Windows系統平臺,可以布署微軟的Microsoft Software Update Services (SUS) 服務,同時通過域策略強制加入域的計算機接受公司SUS服務器的管理,一旦有最新補丁強制安裝。只有這樣才能確保大部分的客戶端沒有安全漏洞,也就能夠避免某些由于安全漏洞引起的網絡蠕蟲入侵導致整個網絡癱瘓的事件發生(如圖2所示)。
? 防病毒服務 現在病毒猖獗,傳播的方式多種多樣,讓人防不勝防,因此確保每一個客戶端都有一道防病毒的屏障也很重要。如何強制企業內的計算機必須布署防病毒客戶端,也需要通過域來控制發布,通過登陸腳本檢查每一臺登陸到域上的計算機,一旦發現沒有安裝企業規定的防病毒客戶端,立即強制安裝。但安裝了防病毒客戶端并不意味著萬事大吉,病毒每天都在推陳出新,因此要布署企業防病毒服務器,自動更新病毒代碼并及時分發到每一個客戶端。只有這樣才能減輕網管的負擔,同時一直追求的網絡管理的最高境界就是讓用戶感覺不到被管理,不知不覺所有的補丁都已經布署、所有的客戶端都有最新的病毒代碼等(如圖2所示)。
? 企業防火墻 對于企業來講統一布署一套防火墻還是很有必要,它是企業連接Internet的唯一通道,以確保企業網絡不受Internet上各種侵害來侵擾,它能使網絡用戶訪問公用網絡的風險降到最低。防火墻分為硬件防火墻與軟件防火墻,從靈活管理角度來說,軟件防火墻還是很不錯的選擇,價格也適中,推薦使用微軟的Internet Security and Acceleration (ISA) Server,它能跟Windows域集成。通過它可以靈活地實現控制某個域用戶的網絡行為,允許或禁止用戶訪問哪些內容、站點、訪問時間等。同時它能夠提供簡單的入侵檢測、入侵防護,有效地抵御外來黑客的攻擊。另外一般不建議在企業內布署個人防火墻,那樣將會加大網絡管理的難度,維護成本增高。如果企業內部對于安全性要求非常高可以在基礎服務層與員工網絡之間再增加一級防火墻形成DMZ區,確保企業的應用服務的安全可靠(如圖2所示,所說的DMZ區就是將基礎服務層至于內外網防火墻之間)。
? 其他服務的布署 至于現在鼓吹的入侵檢測(IDS)直至入侵防護(IPS)等由于實際效果有待檢驗,并且成本很高,建議一般企業不要考慮。還有其它專用的網絡管理軟件,價格都比較高,有的效果也一般,因此也需要謹慎考慮。
(3) 企業數據安全
? 數據備份 應該設立專門的備份服務器,根據不同業務數據的管理要求,分別設置備份策略,實現重要數據的自動備份甚至異地災難備份。
? 數據加密 企業在開發各種應用系統的同時除了要考慮應用的功能性以外,還要考慮數據傳輸存儲的安全問題,避免通過非法手段很方便地竊取到企業的重要數據。
(4) 安全管理策略
? 通過域設置帳號策略、計算機策略來實現企業統一精細安全管理。
例如設置帳號策略,要求提高密碼安全性;設置帳號審核策略,便于在出現問題后可以跟蹤事件發生的來龍去脈;設置用戶權力指派策略,控制用戶計算機的訪問權限,確保計算機集中管理。
? 防火墻統一策略。集團企業對于防火墻可以要求統一策略,實現分支機構的防火墻也受集團防火墻策略的約束,這樣實現了統一防火墻策略便于管理,安全的一致性也大大提高。同時防火墻策略本身設置上必須嚴格,每種業務都必須審核,只有經過審核過的策略才能發布。另外對于企業防火墻建議只開放訪問WEB服務、郵件服務的權限,如果需要發布內部站點,經過審核后通過防火墻發布,所有這些訪問都可以與域帳戶集成,實現信息的安全存取。
? 建立起有效的帳號創建、遷移、刪除的管理流程,確保帳戶的安全管理。
? 建立起企業安全策略的制定、審核、發布、撤銷的管理流程,確保企業安全策略及時有效。
? 建立企業安全審計的制度,由專人定期檢查企業的所有服務器的安全日志,及時解決發現的漏洞及其他安全隱患。
3 結語
企業信息化安全是一個很大的課題,道高一尺魔高一丈,按照以上方案進行規劃并不能保證企業網絡有100%安全,但是如果以上基礎管理也沒有做到的話,那企業信息化平臺肯定是不安全的。企業IT人員必須持續關注企業信息化安全的發展方向,并及時調整優化適合本企業的安全方案與策略。
北京市公安局海淀分局備案號:11010802023656號