企業信息安全管理

當前企業在信息安全管理中普遍面臨的問題：

（1）缺乏來自法律規範的推動力和約束。

（2）安全管理缺乏系統管理的思想。被動應付多於主動防禦，沒有做前期的預防，而是出現問題才去想補救的辦法，不是建立在風險評估基礎上的動態的持續改進的管理方法。

（3）重視安全技術，忽視安全管理。企業願意在防火牆等安全技術上投資，而相應的管理水平、手段沒有體現，包括管理的技術和流程，以及員工的管理。

（4）在安全管理中不夠重視人的因素。

（5）缺乏懂得管理的信息安全技術人員。

（6）企業安全意識不強，員工接受的教育和培訓不夠。

建立完善的企業信息安全管理系統，必須內外兼修，一方面要防止外部入侵，另一方面也要防範內部人員泄密可能。所以在選擇企業信息安全管理產品時，必須是一個完整的體系結構。

在市場上比較流行，而又能夠代表未來發展方向的安全產品大致有以下幾類：

用户身份認證，如靜態密碼、動態密碼（短信密碼、動態口令牌、手機令牌）、USB KEY、IC卡、數字證書、指紋虹膜等。

即訪問控制系統，它在內部網絡與不安全的外部網絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

由於WAN連接需要專用的路由器設備，因而可通過路由器來控制網絡傳輸。通常採用訪問控制列表技術來控制網絡信息流。

安全服務器主要針對一個局域網內部信息存儲、傳輸的安全保密問題，其實現功能包括對局域網資源的管理和控制，對局域網內用户的管理，以及局域網中所有安全相關事件的審計和跟蹤。

由於網上的安全產品較多，且分佈在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網絡安全設備分發密鑰，監控網絡安全設備的運行狀態，負責收集網絡安全設備的審計信息等。

（IDS）

入侵檢測，作為傳統保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統中不可或缺的反饋鏈。

（IPS）

入侵防禦，入侵防禦系統作為IDS很好的補充，是信息安全發展過程中佔據重要位置的計算機網絡硬件。

由於大量的信息存儲在計算機數據庫內，有些信息是有價值的，也是敏感的，需要保護。安全數據庫可以確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用户身份識別等。

數據容災作為一個重要的企業信息安全管理體系中的一個重要補救措施，在整個企業信息安全管理體系中有着舉足輕重的作用。數據容災設備包括數據恢復設備、數據複製設備、數據銷燬設備等。應用較多的數據容災設備包括Data Copy King硬盤複製機、開盤機等。

一般企業網與互聯網物理隔離，因而與互聯網相比，其安全性較高，但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題，具體而言：

（1）在IP資源管理方面，採用IP MAC捆綁的技術手段防止用户隨意更改IP地址和隨意更換交換機上的端口。這分兩種情況實現，第一種情況是如果客户機連在支持網管的交換機上的，可以通過網管中心的管理軟件，對該交換機遠程實施Port Security策略，將客户端網卡MAC地址固定綁在相應端口上。第二種情況是如果客户機連接的交換機或集線器不支持網管，則可以通過Web網頁調用一個程序，通過該程序把MAC地址和IP地址捆綁在一起。這樣，就不會出現IP地址被盜用而不能正常使用網絡的情況。

（2）在網絡流量監測方面，可使用網絡監測軟件對網絡傳輸數據協議類型進行分類統計，查看數據、視頻、語音等各種應用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發現病毒的轉移及傳播方向。

常見應用服務器安裝的操作系統多為Windows系列，服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。

服務器安全審核是網管日常工作項目之一，審核的範圍包括安全漏洞檢查、日誌分析、補丁安裝情況檢查等，審核的對象可以是DC、Exchange Server、SQL Server、IIS 等。

在組策略實施時，如果想使用軟件限制策略，即哪些客户不能使用哪個軟件，則需要把操作系統升級到Windows 2003 Server。服務器的備份策略包括系統軟件備份和數據庫備份兩部分，系統軟件備份擬利用現有的專用備份程序，制定一個合理的備份策略，如每週日晚上做一次完全備份，然後週一到週五晚上做增量備份或差額備份；定期對服務器備份工作情況等。

對大多數單位的網管來説，客户端的管理都是最頭痛的問題，只有得力的措施才能解決這個問題，這裏介紹以下幾種方法：

（1）將客户端都加入到域中，這一點很重要，因為只有這樣，客户端才能納入管理員集中管理的範圍。

（2）只給用户以普通域用户的身份登錄到域，因為普通域用户不屬於本地Administrators和Power Users組，這樣就可以限制他們在本地計算機上安裝大多數軟件（某些軟件普通用户也可以安裝）。當然為了便於用户工作，應通過本地安全策略，授予他們“關機”和“修改系統時間”等權利。

（3）實現客户端操作系統補丁程序的自動安裝。

（4）實現客户端防病毒軟件的自動更新。

（5）利用SMS對客户端進行不定期監控，發現不正常情況及時處理。

由於應用系統的加入，各種數據庫日趨增長，如何確保數據在發生故障或災難性事件情況下不丟失，是當前面臨的一個難題。這裏介紹四種解決方法：第一種解決辦法是用磁帶機或硬盤進行數據備份。該辦法價格最低，保存性最強，不足之處是備份的只是某個時間點。第二種方案是採用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗餘。第三種方案是採用雙機容錯方式，兩台機器系統相互備份，應用層數據全部放在共享的磁盤陣列櫃中，這種方式能解決單機故障或宕機的問題，同時又能防止單個硬盤故障導致的數據丟失，但前期投資較大。第四種方案是採用NAS或SAN來實現各服務器的集中區域存儲，實現較高級別的磁盤等硬件故障的數據備份，但是成本較高，一般不能防止系統層的故障，如感染病毒或系統崩潰。

考慮到網絡上非認證用户可能試圖旁路系統的情況，如物理地“取走”數據庫，在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數據加密，即以加密格式存儲和傳輸敏感數據。發送方用加密密鑰，通過加密設備或算法，將信息加密後發送出去。接收方在收到密文後，用解密密鑰將密文解密，恢復為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對信息起到保密作用。

對防病毒軟件的要求是：能支持多種平台，至少是在Windows系列操作系統上都能運行；能提供中心管理工具，對各類服務器和工作站統一管理和控制；在軟件安裝、病毒代碼升級等方面，可通過服務器直接進行分發，儘可能減少客户端維護工作量；病毒代碼的升級要迅速有效。在實施過程中，本單位以一台服務器作為中央控制一級服務器，實現對網絡中所有計算機的保護和監控，並使用其中有效的管理功能，如：管理員可以向客產端發送病毒警報、強制對遠程客户端進行病毒掃描、鎖定遠程客產端等。正常情況下，一級服務器病毒代碼庫升級後半分鐘內，客户端的病毒代碼庫也進行了同步更新。

用於企業數據中心與辦公網絡有效隔離的嵌入式專用設備。採用鏈路加密的方式，實現客户端的准入，從文件在企業的使用流程入手，將數據泄露防護與企業現有OA系統、文件服務系統、ERP系統、CRM系統等企業應用系統完美結合，對通過網關的文檔數據進行透明加解密工作，有效解決文檔在脱離企業應用系統環境後的安全問題。為企業部署的所有應用系統提供有效的安全保障。

DocMentor華途安全文檔控制系統採用虛擬化技術，結合權限管理。針對企業內部員工及部門差異化及企業自主管理需求，可對文件進行精確授權，可限制使用者對受控文檔的可讀權限、可編輯權限、可打印權限等。用户可根據需求對指定文檔或文件夾進行加密，對文檔的控制更加自主靈活。

DocViewer文檔安全瀏覽系統是一個在線的內部機密信息分權限安全共享平台。該系統主要包含數據庫、Web服務器控制端、客户端瀏覽插件。客户端 基於IE的瀏覽器插件，實現通過IE訪問DocViewer文檔安全瀏覽系統服務器上的相應文件。管理員通過Web服務器控制端可對企業文檔進行細分化的權限設置，同一文檔可以針對不同用户設置不同權限，通過實時權限控制，確保機密信息在特定授權範圍內進行合法使用，為企業提供安全授權下的機密信息共享機制。

鋭眼數據審計系統（簡稱“鋭眼”），以瞭解員工習慣為產品目標，通過員工每日的行為操作，產生相應的趨勢圖表，使得企業管理者可以及時得知企業有哪些敏感文件，都有哪些員工擁有敏感文件，有誰對敏感文件做了截屏、壓縮、拷貝、外發等違規操作，又都有誰已經造成了企業敏感數據的泄漏。不管是有意無意，敏感數據的泄露都能從鋭眼中分析得出；面對企業潛在的泄密風險，無論是事前預警，還是事後追查，鋭眼為此都提供了便利，間接的加強了企業的管理。

鐵卷電子文檔安全系統（簡稱“鐵卷”），採用內核級透明加解密技術，是專為企業的電子文檔和圖紙等數據提供整體安全的解決方案。其高度自定義的特性使得企業可以根據自身情況，制定不同的規則，從而產生獨特的信息數據維護機制。又因採用C/S通訊方式，密鑰儲存在服務器，使得員工不在企業網絡環境下無法對企業指定保護的文檔和圖紙操作，加強了企業對敏感數據的管理。