關(guān)于管理好企業(yè)網(wǎng)絡(luò)的安全方法有哪些
關(guān)于管理好企業(yè)網(wǎng)絡(luò)的安全方法有哪些
今天學(xué)習(xí)啦小編就給大家分享下如何管理好企業(yè)網(wǎng)絡(luò)的安全,下面是小編為大家整合的相關(guān)知識(shí)點(diǎn),希望大家參考參考。
管理好企業(yè)網(wǎng)絡(luò)的安全方法一:
“企業(yè)網(wǎng)絡(luò)安全管理解決方案”涉及多個(gè)方面:
1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、測(cè)試,深入掌握具體漏洞與風(fēng)險(xiǎn)隱患情況,確定評(píng)估等級(jí)。
2.確定網(wǎng)絡(luò)安全管理策略、機(jī)制和針對(duì)性措施。
3.采用網(wǎng)絡(luò)安全技術(shù)。物理隔離技術(shù)、訪問(wèn)控制技術(shù)、身份認(rèn)證、加密技術(shù)、防火墻技術(shù)、病毒防范技術(shù)、入侵防御系統(tǒng)等,根據(jù)評(píng)估等級(jí)確定并實(shí)施。
4.網(wǎng)絡(luò)安全管理規(guī)章制度,防外也要防內(nèi)(包括誤操作)
6.應(yīng)急備份與恢復(fù)
7.網(wǎng)絡(luò)安全管理審計(jì)與追蹤,其他可交流!
管理好企業(yè)網(wǎng)絡(luò)的安全方法二:
網(wǎng)絡(luò)安全極為重要,不是太簡(jiǎn)單就可避免公司的開(kāi)發(fā)部和財(cái)務(wù)部等機(jī)密泄露或被破壞
最起碼需要物理隔離技術(shù)、訪問(wèn)控制技術(shù)、身份認(rèn)證、防火墻技術(shù)、病毒防范技術(shù)、應(yīng)急備份
物理隔離技術(shù)。將不同需求的業(yè)務(wù)劃分為不同的網(wǎng)段,特別是開(kāi)發(fā)部和財(cái)務(wù)部等機(jī)密信息;
訪問(wèn)控制技術(shù)。至少分配不同訪問(wèn)權(quán)限
身份認(rèn)證。用戶名、密碼加強(qiáng)混用字母數(shù)字并位數(shù)增加
防火墻技術(shù)、病毒防范技術(shù)。安裝、及時(shí)升級(jí)更新病毒庫(kù)
系統(tǒng)加固。及時(shí)修補(bǔ)漏洞、安全設(shè)置
應(yīng)急備份。以免出現(xiàn)意外,無(wú)法恢復(fù)。
管理好企業(yè)網(wǎng)絡(luò)的安全方法三:
網(wǎng)絡(luò)安全管理第一個(gè)黃金法則:一致性原則。 企業(yè)安全性防護(hù)跟其他信息化項(xiàng)目一樣,是一個(gè)系統(tǒng)工程。若我們采取搭積木的方法,搞企業(yè)的網(wǎng)絡(luò)安全性工作的話,那么肯定會(huì)漏洞百出。
一方面各個(gè)信息化安全管理方案之間可能會(huì)相互沖突,反而會(huì)造成網(wǎng)絡(luò)方面的通信故障。如我們?cè)趩螜C(jī)上安裝金山毒霸的單機(jī)版殺毒軟件,而防火墻采用的是瑞星的產(chǎn)品。那么就可能導(dǎo)致用戶某些網(wǎng)絡(luò)軟件運(yùn)行錯(cuò)誤,導(dǎo)致操作系統(tǒng)速度明顯變慢等等不良反應(yīng)。
另一方面,各個(gè)信息化管理方案之間由于缺乏一個(gè)統(tǒng)一的平臺(tái),這就好象是拼圖一樣。就算再嚴(yán)的話,也會(huì)有縫隙。只要一點(diǎn)小小的縫隙,就會(huì)讓非法攻擊者有機(jī)可乘。他們很可能利用這一點(diǎn)縫隙,進(jìn)入到企業(yè)的內(nèi)部,對(duì)企業(yè)網(wǎng)絡(luò)執(zhí)行攻擊。
故企業(yè)在網(wǎng)絡(luò)安全體系的設(shè)計(jì)與管理中,一定要注意一致性原則。一致性原則在實(shí)際管理中,主要體現(xiàn)如下幾個(gè)方面。
一是若采用的是Windows的網(wǎng)絡(luò)管理環(huán)境,則最好采用域來(lái)管理企業(yè)網(wǎng)絡(luò)。因?yàn)槠髽I(yè)若搭建一個(gè)域環(huán)境的話,則可以對(duì)企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)一個(gè)統(tǒng)一的管理。如統(tǒng)一管理企業(yè)網(wǎng)絡(luò)賬戶、統(tǒng)一管理安全策略、統(tǒng)一制定響應(yīng)措施等等。通過(guò)域可以幫助企業(yè)網(wǎng)絡(luò)管理員,在一個(gè)平臺(tái)上實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)進(jìn)行一致性管理。
二是盡量采用企業(yè)級(jí)別的安全管理軟件。如最常見(jiàn)的就是反病毒軟件與防火墻軟件。網(wǎng)絡(luò)版的殺毒軟件與單機(jī)版的殺毒軟件效果是不同的。即使跟每個(gè)用戶都安裝了殺毒軟件,但是,其效果仍然沒(méi)有網(wǎng)絡(luò)版的殺毒軟件來(lái)得好。這主要是因?yàn)?,網(wǎng)絡(luò)版的殺毒軟件,不僅僅可以對(duì)各個(gè)主機(jī)的病毒進(jìn)行查殺,重要的在于,其還可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控;并且,其還可以對(duì)各個(gè)客戶端殺毒軟件進(jìn)行統(tǒng)一的管理,如對(duì)其進(jìn)行強(qiáng)制的升級(jí)、殺毒等等。所以筆者的觀點(diǎn)是,雖然網(wǎng)絡(luò)版本的殺毒軟件價(jià)格比較高,但是若企業(yè)對(duì)于網(wǎng)絡(luò)安全比較敏感的話,則購(gòu)買網(wǎng)絡(luò)版本的殺毒軟件還是比較值得的。
三是一些網(wǎng)絡(luò)應(yīng)用的常規(guī)設(shè)計(jì)等等。如為了提高文件的安全性,防止被非法訪問(wèn)、修改,則在公司內(nèi)部建立一個(gè)文件服務(wù)器是一個(gè)不錯(cuò)的選擇。通過(guò)文件服務(wù)器,統(tǒng)一各個(gè)用戶的訪問(wèn)權(quán)限;對(duì)服務(wù)器中的文件進(jìn)行定時(shí)的備份;對(duì)用戶的訪問(wèn)進(jìn)行統(tǒng)一的監(jiān)督控制等等。利用文件服務(wù)器這一個(gè)統(tǒng)一的管理平臺(tái),可以有效的提高文件的安全性。比起在用戶終端保存文件來(lái)說(shuō),安全系數(shù)會(huì)提高很多。
總之,在企業(yè)網(wǎng)絡(luò)安全管理thldl.org.cn中,我們需要尋找一些統(tǒng)一的管理平臺(tái)。而對(duì)于那些孤軍作戰(zhàn)的產(chǎn)品,我們要避而遠(yuǎn)之。
網(wǎng)絡(luò)安全管理第二個(gè)黃金法則:透明性選擇。 我們采取的任何安全策略,對(duì)于終端用戶來(lái)說(shuō),應(yīng)該追求一個(gè)透明性。也就是說(shuō),我們即使采用了安全策略的話,用戶也是不知情的。如此的話,就不會(huì)因?yàn)橐恍┌踩栽O(shè)置,而影響到用戶的工作效率。
如有些企業(yè),為了提高用戶文件的安全性,會(huì)定時(shí)對(duì)他們電腦內(nèi)的重要文件夾,如桌面或者我的文檔中的內(nèi)容進(jìn)行備份。若現(xiàn)在需要用戶手工對(duì)這些文件夾中的內(nèi)容進(jìn)行備份的話,那顯然是不合適的。讓用戶額外的增加一道工作,他們并不見(jiàn)得樂(lè)意,就可能會(huì)偷工減料的做。我們希望這個(gè)安全策略是對(duì)用戶透明的,也就是說(shuō),不需要用戶干預(yù)就可以完成的。為此,我們可以設(shè)置當(dāng)用戶開(kāi)機(jī)或者關(guān)機(jī)的時(shí)候,作為觸發(fā)點(diǎn),對(duì)這些重要文件進(jìn)行備份。如此的話,用戶不用參與到這個(gè)過(guò)程中,對(duì)于用戶來(lái)說(shuō),就是透明的。不會(huì)影響他們的工作效率。 如對(duì)于網(wǎng)絡(luò)傳輸中的密文傳輸,也不需要用戶去判斷是否需要對(duì)傳輸?shù)膬?nèi)容進(jìn)行加密,而是網(wǎng)絡(luò)會(huì)根據(jù)自身的安全設(shè)計(jì)原則進(jìn)行判斷。如現(xiàn)在比較流行的IP安全策略,就就有這方面的智能。IP安全策略有三種級(jí)別,分別為安全服務(wù)器(必須安全)、客戶端(僅響應(yīng))、服務(wù)器(請(qǐng)求安全)三種級(jí)別。如果一方設(shè)置為安全服務(wù)器,則就要求跟其進(jìn)行通信的所有IP通信總是使用新人請(qǐng)求安全。也就是說(shuō),當(dāng)其在發(fā)送信息之前,會(huì)請(qǐng)求對(duì)方啟用IP安全加密策略。若對(duì)方不支持的話,則就會(huì)拒絕跟自己的通信。很明顯,這是一個(gè)很高的安全級(jí)別。若我們采用的是服務(wù)器級(jí)別的話,則在發(fā)送之前會(huì)先請(qǐng)求對(duì)方對(duì)數(shù)據(jù)進(jìn)行加密。若對(duì)方支持加密則更好,發(fā)送方就會(huì)對(duì)數(shù)據(jù)進(jìn)行加密。但是,若對(duì)方不支持這個(gè)加密功能的話,則就采用明文傳輸。而若是客戶端的話,則其只有在別人請(qǐng)求其使用加密技術(shù)的時(shí)候,才會(huì)對(duì)其傳送的數(shù)據(jù)進(jìn)行加密。這個(gè)過(guò)程比較復(fù)雜,若讓用戶手工進(jìn)行管理的話,那顯然不是很現(xiàn)實(shí),光這個(gè)相互確認(rèn)的過(guò)程就需要占用他們很多的時(shí)間。所以,現(xiàn)在這個(gè)過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,他們不需要進(jìn)行干預(yù)。當(dāng)他們需要向某個(gè)人發(fā)送信息的時(shí)候,電腦主機(jī)會(huì)自動(dòng)進(jìn)行協(xié)商,看看是否需要進(jìn)行加密。這就是對(duì)用戶來(lái)說(shuō)的透明技術(shù)。
另外,說(shuō)道透明性還不得不提微軟的一種文件加密策略。微軟在NTFS的文件系統(tǒng)中,提供了一種EFS的文件加密機(jī)制。當(dāng)把某個(gè)文件夾設(shè)置為EFS加密的時(shí)候,當(dāng)把文件保存到這個(gè)文件夾中,則操作系統(tǒng)會(huì)自動(dòng)根據(jù)用戶賬戶的序列號(hào)對(duì)這個(gè)文件進(jìn)行加密。如此的話,當(dāng)文件被其他用戶訪問(wèn)或者非法復(fù)制的時(shí)候,這些文件他們是打不開(kāi)的或則是以亂碼顯示,對(duì)他們沒(méi)有實(shí)際的意義。當(dāng)文件所有者下次再登陸操作系統(tǒng)打開(kāi)這個(gè)文件的時(shí)候,則操作系統(tǒng)會(huì)自動(dòng)對(duì)這個(gè)加密文件進(jìn)行解密。這種措施比設(shè)置文件密碼要安全的多。因?yàn)槿魧?duì)WORD等文件設(shè)置密碼的話,則利用破解工具破解比較容易。但是,若要對(duì)EFS加密過(guò)的文件進(jìn)行破解的話,則基本上是不可能的,因?yàn)槠涿罔€很長(zhǎng)。當(dāng)然,這個(gè)加密解密的過(guò)程對(duì)用戶來(lái)說(shuō),也是透明的。
所以,筆者認(rèn)為,在設(shè)計(jì)安全性解決方案的時(shí)候,要注意對(duì)用戶的透明。如此的話,在企業(yè)網(wǎng)絡(luò)與信息安全的同時(shí),也不會(huì)影響到他們的正常工作。
網(wǎng)絡(luò)安全管理第三個(gè)黃金法則:木桶原則。 在我們網(wǎng)絡(luò)安全管理者中,有句俗話,叫做“外敵可擋,家賊難防”。根據(jù)相關(guān)的數(shù)據(jù)統(tǒng)計(jì),企業(yè)網(wǎng)絡(luò)的安全事故中,由外面攻擊得逞的比率大概在20%左右;其他的80%都是通過(guò)內(nèi)部攻擊所造成的。這不僅包括內(nèi)部員工的惡意報(bào)復(fù);還有就是外部攻擊者先攻破了內(nèi)部網(wǎng)絡(luò)的一臺(tái)主機(jī),然后把這臺(tái)主機(jī)當(dāng)作他們的“肉雞”,進(jìn)行攻擊。所以說(shuō),企業(yè)網(wǎng)絡(luò)安全管理中,每一個(gè)環(huán)節(jié)都是重要的環(huán)節(jié)。若一個(gè)環(huán)節(jié)疏忽了,則對(duì)方就可以猛打這個(gè)弱點(diǎn)。把這個(gè)弱點(diǎn)攻破了,他們就可以以此作為跳板,攻打其他堡壘了。
所以,根據(jù)木桶原則,我們?cè)诰W(wǎng)絡(luò)安全管理中,需要對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行均衡、全面的保護(hù)。任何一方面的缺失或者疏漏都會(huì)造成整個(gè)安全體系的崩潰,導(dǎo)致我們的工作功虧一簣。這就好像木桶中,決定木桶的存儲(chǔ)量的永遠(yuǎn)是那一塊最低的木板。
網(wǎng)絡(luò)攻擊者在攻擊網(wǎng)絡(luò)的時(shí)候,往往是根據(jù)“最易滲透性”的原則來(lái)攻擊的。也就是說(shuō),他們會(huì)先找到企業(yè)網(wǎng)絡(luò)中的一個(gè)薄弱環(huán)節(jié)進(jìn)行攻擊?,F(xiàn)在企業(yè)網(wǎng)絡(luò)中找到一個(gè)可用的跳板,然后抓住這個(gè)機(jī)會(huì),利用網(wǎng)絡(luò)安全管理員重外部輕內(nèi)部的心理,從企業(yè)網(wǎng)絡(luò)內(nèi)部對(duì)企業(yè)網(wǎng)絡(luò)發(fā)動(dòng)攻擊。
為此,我們網(wǎng)絡(luò)管理員就需要全面評(píng)估企業(yè)的網(wǎng)絡(luò)安全體系,找到那一塊最短的“木板”,并且把他修復(fù)。如此的話,才能夠提高整個(gè)網(wǎng)絡(luò)的安全性。筆者在對(duì)一些對(duì)安全有特殊需求的企業(yè),如銀行、證券部門(mén)進(jìn)行網(wǎng)絡(luò)安全評(píng)估的時(shí)候,就經(jīng)常給他們提起“木桶原則”。我會(huì)幫助他們找到現(xiàn)有網(wǎng)絡(luò)安全管理體系中的哪些偏短的木板,這些往往是攻擊者在攻擊過(guò)程中的突破點(diǎn)。然后再提一些針對(duì)性的解決方案。所以,為了提高網(wǎng)絡(luò)的安全體系,技術(shù)不是最難的。難度在于如何發(fā)現(xiàn)這些“短”的木板。這基本上不能依靠技術(shù),而要靠個(gè)人的經(jīng)驗(yàn)了。
所以,在網(wǎng)絡(luò)安全體系設(shè)計(jì)與管理中,我們要時(shí)時(shí)牢記“木桶原則”,盡快的發(fā)現(xiàn)企業(yè)中那塊偏短的木板,要么對(duì)此進(jìn)行重點(diǎn)監(jiān)視;要么通過(guò)一定的方法加長(zhǎng)期長(zhǎng)度。
目前,網(wǎng)絡(luò)安全管理已經(jīng)越來(lái)越被重視,網(wǎng)絡(luò)只有安全了,人們才能有良好的生活環(huán)境。所以說(shuō),網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)建立的首要任務(wù)。