对于企业安全管理具体涵盖的内容,网络安全专家赛门铁克认为,首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体如要按级别界定就不那么简单。对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。其次,还需完成威胁识别及风险评估的任务:如果企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。
所以企业为了消除安全隐患,下一步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为,并指出每个区域的漏洞或潜在安全威胁区。最后,企业安全管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训,以便维护和管理整个安全方案的实施和运行情况。
信息安全问题之所以成为企业管理中很难解决的一个问题的主要原因在于:信息资产与物理资产的差异性。一般而言,信息资产与物理资产的基本区别是,信息资产是动态变化的,而物理资产是固定不变的。信息资产在许多方面表现出动态特征---从信息以运行数据(客户帐户、业务交易,等)的形式产生开始,直到在各种业务功能和过程中最终的应用(ERP, CRM, 商业智能)。IT界为信息生命周期的每一个阶段推出了许多单一性的产品。这些产品分别用于解决生命周期中某个方面的问题,包括信息的生成、处理、分布、存档、检索和处置。某一种信息资产在生命周期的每一个阶段各有其价值。而且,一般来说它的价值会随着生命周期的进展而增加。因此,企业的这种动态资产在其进展的每一步中必须受到保护,以防止外部和内部的威胁。遗憾的是,技术厂商们至今并不能出色地提供这些产品功能以保护信息安全。
由于IT是管理企业不可缺少的工具,公司董事会和经理们如何履行他们的基本职责以保护公司最有价值并且是动态的资产---公司信息的整体?当然,对于常见和已知的安全薄弱环节,现在和将来会不断出现新的产品,例如,防病毒,防火墙以及加密等。正如我们已经论述的,技术手段是必要的,但不足以解决信息资产保护的全部问题。完整地看,还有其它方面要考虑---与技术结合在一起。
信息安全程序的核心,是一种管理业务风险的机制---而不仅仅是技术风险---它是一种能够使业务运转和增长的方法。与业务需求相对应是实施信息安全程序的关键,并使其对企业具有实际意义。
因此,针对以上对于企业信息安全问题的定义与现状分析,目前,解决信息安全问题有如下几个对策:
1.网络管理
一般企业网与互联网物理隔离,因而与互联网相比,其安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:
(1)在IP资源管理方面,采用IP MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这分两种情况实现,第一种情况是如果客户机连在支持网管的交换机上的,可以通过网管中心的管理软件,对该交换机远程实施Port Security策略,将客户端网卡MAC地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管,则可以通过Web网页调用一个程序,通过该程序把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况。
(2)在网络流量监测方面,可使用网络监测软件对网络传输数据协议类型进行分类统计,查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。
(3)在违规操作监控方面,首先是要根据企业要求,严禁“一机两用”事件的发生。“一机两用”是指一台计算机同时联接企业网和互联网,还包括轮流上企业网和国际互联网的情形,目前笔者所在公司选择了上海百姓软件有限公司的“一机两用”监控系统,实现电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等功能。
2.服务器管理
常见应用服务器安装的操作系统多为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。
服务器安全审核是网管日常工作项目之一,审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等,审核的对象可以是DC、Exchange Server、SQL Server、IIS等。
在组策略实施时,如果想使用软件限制策略,即哪些客户不能使用哪个软件,则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的专用备份程序,制定一个合理的备份策略,如每周日晚上做一次完全备份,然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。
3.客户端管理
对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
(1)将客户端都加入到域中,这一点很重要。因为只有这样,客户端才能纳入管理员集中管理的范围。出于安全上的考虑,最好逐渐淘汰Windows 98的客户端。
(2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地Administrators和Power Users组,这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作,应通过本地安全策略,授予他们“关机”和“修改系统时间”等权利。