|
企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全�����,所以必須利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)網(wǎng)安全系統(tǒng)��。企業(yè)網(wǎng)安全保障體系分為4個層次�,從高到低分別是企業(yè)安全策略層��、企業(yè)用戶層�、企業(yè)網(wǎng)絡(luò)與信息資源層、安全服務(wù)層�。按這些層次建立一套多層次的安全技術(shù)防范系統(tǒng),常見的企業(yè)網(wǎng)安全技術(shù)有如下一些����。
便攜電腦的丟失難以避免且容易發(fā)生,因此企業(yè)必須做好便攜電腦的技術(shù)防范工作��,以減少因無法避免的丟失而帶來的風(fēng)險����。便攜電腦的技術(shù)防范措施主要包括:安 裝強身份認(rèn)證系統(tǒng)�����,例如指紋或USBKey等,以確保盜竊者無法打開計算機;采用加密軟件加密涉密文件��,使盜竊者無法打開涉密文件;規(guī)定便攜電腦上不能夠 存儲涉密文件���,涉密文件存儲在移動存儲介質(zhì)上�,存儲介質(zhì)和便攜電腦分開存放���。
目前國內(nèi)主要采取第三條技術(shù)防范措施���,要求便攜電腦上不得存儲涉密文件,這種措施實施起來有一定的難度��,需要定期檢查便攜電腦中是否存有涉密文件或曾經(jīng)存 儲過涉密文件���,一旦發(fā)現(xiàn)就需要用永久性刪除軟件徹底刪除涉密文件以及記錄��,特別是用戶已經(jīng)刪除了涉密文件但留有記錄��,需要對整個邏輯分區(qū)進(jìn)行未用空間的徹 底清除�,費時又費力�。
這里建議還要聯(lián)合采用第一條和第二條技術(shù)措施。目前國內(nèi)的單機版主機監(jiān)控審計軟件大都能實現(xiàn)這兩種功能�����,一方面可以通過USBKey實現(xiàn)便攜電腦的強身份 認(rèn)證,另一方面如果確實需要將涉密文件存放在便攜電腦中���,那就要求將涉密文件存放在加密文件夾中�,由主機監(jiān)控審計軟件實現(xiàn)涉密文件的自動加密�����,涉密文件使 用完后應(yīng)及時刪除����。但國內(nèi)這些加密軟件都不能實現(xiàn)對整個硬盤的加密,如果用戶將涉密文件存放在加密文件夾之外��,涉密文件就不能實現(xiàn)自動加密�����。
目前市場上已經(jīng)出現(xiàn)了全加密硬盤����,例如希捷的全加密硬盤,可以從硬盤內(nèi)部加密全部的存儲數(shù)據(jù)��,甚至是臨時文件�。這種硬盤即使丟失,盜賊即使可以登錄系統(tǒng)��, 也無法訪問硬盤��。此外還有全硬盤加密軟件���,例如PGP公司和Pointset移動技術(shù)公司都提供這種類型的軟件�,微軟Vista用可信賴平臺模塊 (TPM)的內(nèi)置式安全芯片作為自己的BitLocker驅(qū)動器加密的一部分�����,也可以實現(xiàn)全硬盤的加密��。以上的加密措施可以較好地保證涉密文件的安全����,但 國內(nèi)保密管理部門目前還沒有對任何商用的加密產(chǎn)品提供過安全保密認(rèn)證,也就是說�����,企業(yè)丟失加密的涉密文件還是要負(fù)責(zé)任的����。
移動存儲介質(zhì)的技術(shù)防范
移動存儲介質(zhì)和便攜電腦一樣�,丟失難以避免����,因此企業(yè)也必須實施好移動存儲介質(zhì)的技術(shù)防范措施。移動存儲介質(zhì)的技術(shù)防范措施主要是加密�����,使盜竊者無法打開移動存儲介質(zhì)中的涉密文件���。
目前國內(nèi)部分主機監(jiān)控審計產(chǎn)品都能實現(xiàn)移動存儲介質(zhì)的加密存儲�����。強制要求在使用前必須進(jìn)行存儲介質(zhì)的認(rèn)證�����,沒有通過認(rèn)證的移動存儲介質(zhì)在涉密信息系統(tǒng)中只 能讀���,不能寫,只有通過認(rèn)證的移動存儲介質(zhì)才能進(jìn)行正常讀寫�����,而且自動實現(xiàn)移動存儲介質(zhì)中文件的加密。攜帶認(rèn)證的存儲介質(zhì)出差時�,必須輸入正確的密碼才能 夠打開加密的文件�����,因此能較好地保證移動存儲介質(zhì)中涉密文件的安全�����。
雖然國內(nèi)在USB接口的移動存儲介質(zhì)強制加密上具有較好的解決方案���,但對于光盤(CD/DVD)的強制加密卻沒有較好的解決方案�����。這里建議企業(yè)可以從行政上強制規(guī)定���,禁止使用光盤來存儲涉密信息,以防止涉密信息的丟失���。
信息共享的技術(shù)防范
Windows系統(tǒng)工作組模式下的文件共享難以滿足企業(yè)的文件共享要求�,容易出現(xiàn)每臺計算機都設(shè)有文件共享服務(wù),混亂而且難以控制���,甚至有些共享文件夾沒 有設(shè)密碼保護(hù)或密碼長度不符合安全保密的要求�����,這樣會導(dǎo)致涉密文件的知密范圍得不到很好的控制��。需要采用Windows系統(tǒng)的域管理模式�、配置域控服務(wù) 器���,為每個用戶設(shè)置一個唯一的域帳號;配置專門的文件共享服務(wù)器�,創(chuàng)建企業(yè)級����、部門級和工作組級共享文件夾,并設(shè)置好用戶訪問共享文件夾的權(quán)限;通過腳本 將企業(yè)級�����、部門級和工作組級共享文件夾映射成用戶計算機上的網(wǎng)絡(luò)驅(qū)動器�����,以方便用戶訪問共享文件夾。同時����,從技術(shù)上或行政上禁止用戶用本地計算機隨意進(jìn)行 文件共享,只能通過專門的文件服務(wù)器進(jìn)行網(wǎng)絡(luò)共享�,這樣就建立好了企業(yè)的文件共享平臺。通過企業(yè)的文件共享平臺�����,可以較好地規(guī)范企業(yè)的文件共享行為����,將知 密范圍控制在專業(yè)組���、部門或項目組內(nèi)�。
文件共享只能對文件設(shè)置訪問權(quán)限����,不能對更細(xì)級別的訪問權(quán)限進(jìn)行控制,而基于數(shù)據(jù)庫的管理信息系統(tǒng)能夠進(jìn)行記錄級甚至數(shù)據(jù)項級的訪問權(quán)限控制����,能夠更好地 控制知密范圍����,例如辦公自動化軟件和企業(yè)資源規(guī)劃軟件;基于產(chǎn)品數(shù)據(jù)管理軟件的文檔管理系統(tǒng)可以根據(jù)文檔的技術(shù)狀態(tài)動態(tài)地進(jìn)行文檔權(quán)限的控制���,例如定義文 檔設(shè)計狀態(tài)�����、校對狀態(tài)����、審核狀態(tài)����、發(fā)放狀態(tài)以及工程變更狀態(tài)的不同訪問權(quán)限,因此也能夠較好地控制文檔的知密范圍���。同時�,這些系統(tǒng)可以和Windows系 統(tǒng)的活動目錄實現(xiàn)集成���,實現(xiàn)統(tǒng)一的系統(tǒng)登錄和認(rèn)證���,確保一次登錄�����,四處通行��。因此�����,做好企業(yè)的信息化建設(shè)工作����,不僅可以提高企業(yè)的工作效率和管理水平�,還 可以提高涉密信息系統(tǒng)安全保密的水平�。
網(wǎng)絡(luò)安全的技術(shù)防范
國內(nèi)涉密信息系統(tǒng)要求和互聯(lián)網(wǎng)實現(xiàn)完全的物理隔離,因此國內(nèi)涉密信息系統(tǒng)受到外來攻擊的可能性比較小�����,網(wǎng)絡(luò)安全主要是控制用戶網(wǎng)絡(luò)訪問的范圍�,并預(yù)防員工 從內(nèi)部發(fā)起網(wǎng)絡(luò)攻擊。
目前國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品在技術(shù)上比較成熟��,而且品種也比較多。這里建議企業(yè)按部門或工作組來進(jìn)行子網(wǎng)的劃分��,并禁止各子網(wǎng)相互訪問來控 制網(wǎng)絡(luò)的訪問范圍;配置公共服務(wù)器子網(wǎng)�,將企業(yè)公共的服務(wù)器放人公共服務(wù)器子網(wǎng),例如郵件服務(wù)器��、即時通訊服務(wù)器�����、主頁服務(wù)器�、辦公自動化服務(wù)器、數(shù)據(jù)庫 服務(wù)器���、企業(yè)資源規(guī)劃服務(wù)器和產(chǎn)品數(shù)據(jù)管理服務(wù)器等�����,并允許其他子網(wǎng)的計算機訪問公共服務(wù)器子網(wǎng)的服務(wù)器���,從而實現(xiàn)企業(yè)內(nèi)部跨部門或工作組的信息共享和交 換通過網(wǎng)絡(luò)交換機的配置來控制其他子網(wǎng)計算機只能訪Iral各公共服務(wù)器指定的網(wǎng)絡(luò)服務(wù)端口,從而較好地保護(hù)公共服務(wù)器的安全在企業(yè)核心網(wǎng)絡(luò)交換機上配置 人侵偵測系統(tǒng)���,來偵測跨部門或工作組的網(wǎng)絡(luò)攻擊行為;通過MAC地址和網(wǎng)絡(luò)端口綁定Windows活動目錄和網(wǎng)絡(luò)交換機Radius認(rèn)證的集成來防止非法 的網(wǎng)絡(luò)接人�。桌面安全的技術(shù)防范
桌面計算機輸入輸出控制是企業(yè)涉密信息系統(tǒng)安全保密工作技術(shù)防范的關(guān)鍵,桌面計算機輸人輸出控制不嚴(yán)會大大增加安全保密的風(fēng)險�����,導(dǎo)致企業(yè)涉密信息系統(tǒng)安全 保密技術(shù)防范措施千瘡百孔��,因此企業(yè)必須切實控制好桌面計算機的輸人輸出����。目前國內(nèi)控制桌面計算機輸人輸出行為的成功案例是統(tǒng)一集中的輸人輸出方案,可按 建筑物或部門設(shè)置統(tǒng)一集中的輸人輸出機房���,并配置專人負(fù)責(zé)管理;規(guī)定所有的打印輸出必須到指定的輸人輸出機房進(jìn)標(biāo)每臺計算機上都安裝網(wǎng)絡(luò)版的主機監(jiān)控審計 軟件客戶端[2][3)�,并在主機監(jiān)控審計軟件服務(wù)器配置主機監(jiān)控和審計策略���,禁用用戶的各類輸入輸出端口,例如禁止使用USB端口的移動存儲介質(zhì)����、調(diào)制 解調(diào)器、各類光驅(qū)�、紅外端口、SCSI端口和打印端口等�,只允許輸人輸出機房的計算機能夠使用輸人輸出端口�����。但由于國內(nèi)的主機監(jiān)控審計軟件容易被突破����,因 此桌面安全做得較好的企業(yè)會聯(lián)合采用物理措施封堵計算機的輸人輸出端口�,例如更換專門的安全保密機箱并將機箱上鎖��;蛴谜衬z���、封條等方式封堵計算機的輸人 輸出端口����。同時為了防止病毒的人侵�,避免用戶隨意安裝軟件和操作系統(tǒng),確保整個涉密信息系統(tǒng)的安全�,桌面安全做得較好的企業(yè)也會拆除計算機的只讀光驅(qū)。
如果手工進(jìn)行所有桌面計算機的安全配置和漏洞封堵��,將大大增加系統(tǒng)管理員的工作量����,而且也難以做到位����。因此����,這里建議采用軟件自動配置的方式來完成桌面計 算機的安全配置和漏洞封堵,可采用Windows活動目錄組策略的配置來控制所有域內(nèi)計算機的安全配置�,例如域帳戶密碼的長度和復(fù)雜性要求、鎖屏策略等; 采用Windows的軟件分發(fā)服務(wù)來自動實現(xiàn)系統(tǒng)補丁的分發(fā)��,可定期從國際互聯(lián)網(wǎng)上下載系統(tǒng)補丁包�,由軟件分發(fā)服務(wù)器來實現(xiàn)系統(tǒng)補丁的分發(fā)。目前國內(nèi)個別 先進(jìn)的主機監(jiān)控審計軟件也能夠?qū)崿F(xiàn)桌面計算機安全配置和漏洞封堵的自動化����。
其它類型防范方法
一、VLAN(虛擬局域網(wǎng))技術(shù)
選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡(luò)安全保障��。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)���,它依*用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng),劃分的依據(jù)可以是設(shè)備所連端口��、用戶節(jié)點的MAC地址等���。該技術(shù)能有效地控制網(wǎng)絡(luò)流量����、防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過濾技術(shù)���,對安全性要求高的VLAN端口實施MAC幀過濾����。而且�,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個網(wǎng)絡(luò)的信息����。
二、網(wǎng)絡(luò)分段
企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)��,任何兩個節(jié)點之間的通信數(shù)據(jù)包�,可以被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此����,黑客只要接人以太網(wǎng)上的任一節(jié)點進(jìn)行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包�,對其進(jìn)行解包分析�,從而竊取關(guān)鍵信息����。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問的目的��。
三����、硬件防火墻技術(shù)
任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護(hù)防火墻,因此防火墻在網(wǎng)絡(luò)安全的實現(xiàn)當(dāng)中扮演著重要的角色���。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣����,這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離���,并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)�。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道�����,簡化網(wǎng)絡(luò)的安全管理。
四����、入侵檢測技術(shù)
入侵檢測方法較多�,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等���。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)�。
我們需要重點解決企業(yè)實際存在的這些問題�����,確保做到有的放矢��。下面從便攜電腦���、移動存儲介質(zhì)��、信息共享����、網(wǎng)絡(luò)安全���、桌面安全�����、安全審計等方面的技術(shù)防范角度����,來分析企業(yè)涉密信息系統(tǒng)安全保密技術(shù)防范措施。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
