浅谈保护企业网络信息安全常用措施(2)

发布时间:2014-01-10 10:40 作者:佚名来源:CIO时代网点击:加载中...次

3.合理规划集中管理企业共享信息

企业共享信息的安全是企业网络运营的永恒话题，在大中型企业中通常采用集中式账号管理办法，在Windows环境中采用活动目录技术，在Linux环境中采用NIS服务器进行账号登录、信息访问等的集中管理，弥补了Windows系统工作组模式下的文件访问零散且难以管理的问题。

在Windows系统中我们可以利用活动目录技术将企业信息集中化。在活动目录环境中采用域管理模式、将整个企业信息作为一个整体资源集中管理，企业账户和数据都作为对象存放到活动目录域控制器中。对于企业账号管理方面，可以为每位员工指定一个唯一的域帐号，通过此账号可以使用户在世界任何地方登录到企业域环境并访问域资源。同时还可以将用户账号加入活动目录技术中特有的若干个不同功能的用户组，包括域中全局组、本地组、通用组，方便用户充分利用组特性实现访问安全性和有效性。

我们以Windows Server 2003活动目录使用为例，在域控制器的上设置磁盘配额限制，将企业用户按三种不同使用级别分配访问空间，普通员工设置配额100M，部门经理500M，总经理不限。同时还可以将域控制器及企业数据库等关键业务做成磁盘阵列，已保证企业服务运行的稳定性和安全性。为了实现用户登录域和访问域资源的透明性，我们还可以利用分布式文件系统DFS，将分散在不同的物理位置的资源进行整合。在域控制器或成员服务器上将多个DFS路径对应一个或多个共享目录。同时由于大部分企业通常有多个域控制器互为备份，所以默认情况下，DFS映射将自动发布到活动目录中，因此其他域控制器都可以充当企业分布式文件系统备份服务器，这就保证了在一个或多个分布式文件服务器不可用时，这个企业资源仍可使用，达到信息冗余，保证企业网络可用性的目的。

在Linux系统中我们也可以采用NIS服务器作为企业账号的认证服务器，同时我们也可以利用LDAP协议和Windows活动目录技术整合，以达到用户访问企业不同类型服务器信息的安全性、透明性要求。

4.企业网络安全防范措施

4.1 规划企业边界防病毒系统

众所周知，虽然我们在个人电脑上可以安装杀毒软件，但是由于病毒控制分散，且不容易及时升级，所以对于一个企业来说一定要配备正规的企业防病毒体系，通常的做法是在企业与Internet接入即企业网关处设置全面的病毒防护，为企业接入外网做好关键一步。这种做法可以为企业提供良好的安全服务，主要体现在：

(1)通过设置企业边界防病毒系统，可以对企业内网用户提供安全透明服务，保证内网用户在不用做任何网络设置的情况下，就可以安全使用内网电脑。合理配置企业边界防病毒系统就可以全面阻截已知或未知病毒，从而达到企业网络环境的全面防护。

(2)某些高端防病毒网关可以提供负载均衡功能，能够根据网络流量实现自动负载均衡，良好地保障了产品的可拓展性及对企业边界的全面防护。

(3)在协议分析方面，某些高端防病毒网关可以保护所有可能的网络威胁，完全扫描所有常用网络协议，包括：HTTP、FTP、SMTP、POP3、IMAP、NNTP等协议。并且提供内容过滤防止未知病毒、蠕虫或可能的恶意代码进入企业网络，大幅减少整体网络资源占用并节省带宽。

(4)在管理方面大部分边界防病毒系统均采用WEB管理控制台技术实现远程管理，让企业网络管理员通过企业内网或互联网上任何节点实现对该防毒设备的管理。

4.2 规划入侵检测系统

入侵检测系统是近年来企业非常流行的安全产品，它可以预知入侵者行为从而在入侵之前就判断出入侵来源并予以防护。高端入侵检测系统能够实时监控网络传输，自动检测并分析可疑行为，发现来自网络内部或外部的攻击行为，并可以实时响应，通过多种方式发出警报，阻断攻击方的连接。主要应用在规模较大，分支机构或下属部门多，网络结构复杂且安全性要求较高，有核心业务需要保护，特殊网络行为需要监控的大中型企业。

利用先进的入侵检测系统，可以由管理员根据指定的网络地址、端口号、攻击源、攻击目标和攻击方式等内容设定实时跟踪和反馈，将网络流量分类、分析统计、实时流量排名等管理员最关心的信息图表化，随时把握网络流量和安全动态。同时还可以定义网络流量异常的阀值，对流量的异常变化进行实时报警。

4.3 规划服务器防毒系统

为了保护企业服务器，我们建议采用正版防毒软件服务器版。例如趋势科技出品的Server Protect ， ServerProtect可以对Windows系列、 NetWare、或Linux 的网络服务器，提供全面性的病毒防护。Server Protect 通过使用三层体系结构来保护服务器网络，包括管理控制台、信息服务器(中间件)和标准服务器。这些组件在一起创建了强大的集中管理的、节约成本的防毒安全系统。ServerProtect通过可携式的主控台来操作，提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。

我们在实际使用时通常的做法是在企业中，先设置一台服务器安装Server Protect信息服务器及管理控制台，作为Server Protect的管理中心。在管理中心上实现网内所有服务器的防病毒策略部署和病毒代码、引擎的升级，然后在每一台服务器上安装Server Protect的普通服务器防毒墙。采用企业版防毒软件可通过单一的主控台来管理，利用集中式报表，管理人员可以监看整个网络的状态，轻松完成各种病毒维护工作，例如设定扫毒模式、更新病毒码和程序、编辑病毒报告、以及设定实时扫描的参数、增量式自动下载和分发病毒码、扫毒引擎和程序文件等。

(责任编辑：安博涛)