企业网络信息安全解决方案

一、信息安全化定义

企业信息安全管理即针对当前企业面临的病毒泛滥，黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防范措施，保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了信息，改不了信息、系统瘫痪不了、信息假不了、行为赖不了。

二、企业信息安全管理现状

当前企业信息安全管理中普遍面临的问题

（1）缺乏来自法律规范的推动力和约束；

（2）安全管理缺乏系统管理的思想，被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的方法，不是建立在风险评估基础上的动态的持续改进的管理方法；

（3）重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平，手段没有体现，包括管理的技术和流程，以及员工的管理；

（4）在安全管理中不够重视人的因素；

（5）缺乏懂管理的信息安全技术人员；

（6）企业安全意识不强，员工接受的教育和培训不够。

三、企业信息安全管理产品

建立完善的企业信息安全管理系统，必须内外兼修，一方面要防止外部入侵，另一方面也要防范内部人员泄密的可能。所以在选择企业信息安全管理产品时，必须是一个完整的体系结构。目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：用户身份认证，如静态密码、动态密码（短信密码、动态口令牌、手机令牌）、USBKEY、IC卡、数字证书、指纹虹膜等。

防火墙

     即访问控制系统，它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。但它本身可能存在安全问题，也可能会是一个潜在的瓶颈。

安全路由器

     由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

安全服务器

      安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

入侵检测系统（IDS）

     入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

入侵防御系统（IPS）

     入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

安全数据库

      由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

数据容灭设备

       数据容灭作为一个重要的企业信息安全管理系中的一个重要补救措施，在整个企业信息安全管理体系中有着举足轻重的作用。数据容灭设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灭设备包括效率源HD Doctor、Data Compass 数据指南针、Data Copy King硬盘复制机、开盘机等。

四、企业信息安全管理对策

1、 网络管理

一般企业网与互联网物理隔离，因而与互联网相比，其安全性较高，但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题，具体而言：

（1）在ip资源管理方面，采取IP MAC 捆绑的技术手段防止用户随意更改ip地址和随意更换交换机上的端口。这分两种情况实现，第一种情况是如果客户机连接在支持网管的交换机上的，可以通过网管中心的管理软件，对该交换机远程实施Port Security策略，将客户端网卡MAC地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或者集线器不支持网管，则可以通过web网页调一个程序，通过该程序把MA地址和IP地址捆绑在一起，这样就不会出现IP地址被盗用而不能正常使用网络的情况。

（2）在网络流量监测方面，可使用网络监测软件对网络传输数据协议类型进行统计，查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向。

2、服务器管理

常见的应用服务器安装的操作系统多为windows系列，服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一，审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等。审核对象可以是DC、ExchangeServer、SOL Server、IIS等。在组策略实施时，如果想使软件限制策略，即哪些客户不能使用哪个软件，则需要把操作系统升级。服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件备份利用现有的专用备份程序，制定一个合理的备份策略，如每周日晚上做一次完全备份；然后周一到周五晚上做增量备份或差额备份；定期对服务器备份工作等情况。

3、病毒防治

对病毒软件的要求是：能支持多种平台，至少是在Windos系列操作系统上都能运行；能提供中心管理工具，对各类服务器和工作站统一管理和控制；在软件安装、病毒代码升级等方面，可通过服务器直接进行分发，尽可能减少客户端维护工作量；病毒代码的升级要迅速有效。在实施过程中，本单位以一台服务器作为中央控制一级服务器；实现对网络中所有计算机的保护和监控，并使用其中有效的管理功能，如：管理员可以向客户端发送病毒警报。强制对远程客户端进行病毒扫描、锁定远程客户端等。正常情况下，一级服务器病毒代码库升级后半分钟内，客户端的病毒代码库也进行了同步更新。