企業(yè)網(wǎng)絡(luò )安全管理的對象主要有網(wǎng)絡(luò )上的信息資源,保護企業(yè)網(wǎng)絡(luò )系統中的硬件、軟件及其他業(yè)務(wù)應用系統的數據,確保不會(huì )因惡意的、不安全的因素而遭到破壞、更改和泄漏,保障各類(lèi)系統可靠運行,網(wǎng)絡(luò )服務(wù)不會(huì )中斷。目前,企業(yè)網(wǎng)絡(luò )安全管理的內容主要是從管理和技術(shù)這兩個(gè)方面人手。
一、從管理層面進(jìn)行規范
1. 設立專(zhuān)門(mén)的信息技術(shù)管理機構、落實(shí)信息管理人員的責任
(1)成立專(zhuān)門(mén)負責計算機、服務(wù)器及網(wǎng)絡(luò )等設備的管理機構,明確各信息管理人員崗位分工和崗位職責,制定相應規章制度。
(2)加強對機房的監管,嚴格按照機房巡檢要求,認真做好機房巡查工作,及時(shí)處理出現的故障,保障機房安全穩定運行。
(3)嚴格執行計算機房人員進(jìn)出登記制度,進(jìn)人機房人員登記具體時(shí)間、姓名及具體事由。
(4)各類(lèi)信息管理人員根據崗位分工和崗位職責,每日對企業(yè)信息系統、網(wǎng)絡(luò )、業(yè)務(wù)系統、數據庫、安全設備、服務(wù)器等運行情況進(jìn)行監控和管理,做好相應的監管和故障排查工作,確保能及時(shí)發(fā)現和解決問(wèn)題。
2. 加強網(wǎng)絡(luò )安全教育
定期在企業(yè)開(kāi)展計算機網(wǎng)絡(luò )知識、計算機應用及網(wǎng)絡(luò )安全的宣傳教育活動(dòng)。普及相關(guān)知識,提高企業(yè)人員的計算機應用水平,及網(wǎng)絡(luò )安全保密意識。
二、從技術(shù)應用層面進(jìn)行管理
1. 防火墻技術(shù)和網(wǎng)絡(luò )隔離技術(shù)
防火墻是設置在兩個(gè)或多個(gè)網(wǎng)絡(luò )之間的安全阻隔,用于保證本地網(wǎng)絡(luò )資源的安全,通常是包含軟件部分和硬件部分的一個(gè)系統或多個(gè)系統的組合。處于企業(yè)或網(wǎng)絡(luò )群體計算機與外界通道之間,限制外界用戶(hù)對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn),及管理內部用戶(hù)訪(fǎng)問(wèn)外界網(wǎng)絡(luò )的系統。
網(wǎng)絡(luò )隔離是指根據數據的保密要求,將內部網(wǎng)絡(luò )劃分為若千個(gè)子網(wǎng)。確保把有害的攻擊隔離,在可信的網(wǎng)絡(luò )之外和保?可信網(wǎng)絡(luò )內部信息不泄漏的前提下,完成網(wǎng)間數據的安全交換。網(wǎng)絡(luò )隔離的形式可分為:物理隔離、協(xié)議隔離和VPN隔離等。
2. 加密與認證技術(shù)
為了防止線(xiàn)路竊取,保證網(wǎng)絡(luò )會(huì )話(huà)完整性,將所有需要通過(guò)網(wǎng)絡(luò )傳輸的數據、文件、口令和控制信息進(jìn)行加密。對于接收數據方在客戶(hù)端和服務(wù)器上要進(jìn)行身份認證,只有提供有效的安全密碼、信息卡,通過(guò)驗證信息后才能獲取數據信息。通常加密方法有節點(diǎn)加密,端點(diǎn)加密,鏈路加密3種,加密是通過(guò)加密算法來(lái)實(shí)現。加密算法可分為私鑰加密算法和公鑰加密算法。
3. 網(wǎng)絡(luò )安全漏洞掃描
網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )人侵等安全事故的頻發(fā),多數是由于系統存在安全漏洞導致的。網(wǎng)絡(luò )安全掃描實(shí)際上是根據模擬網(wǎng)絡(luò )攻擊的方式,提前獲取可能會(huì )被攻擊的薄弱環(huán)節,為系統安全提供可信的分析報告,發(fā)現未知漏洞并且及時(shí)修補已發(fā)現的漏洞。
4. 網(wǎng)絡(luò )入侵檢測
為了有效的彌補防火墻在某些方面的弱點(diǎn)和不足,入侵檢測系統作為一種積極主動(dòng)的安全防護工具,為網(wǎng)絡(luò )安全提供內部攻擊、外部攻擊和誤操作的實(shí)時(shí)和動(dòng)態(tài)檢測,在計算機網(wǎng)絡(luò )和系統收到危害之前進(jìn)行報餐、攔截和響應。
人侵檢測可以分為基于主機、基于網(wǎng)絡(luò )和混合型入侵檢測系統三類(lèi)。混合型是基于主機和基于網(wǎng)絡(luò )的入侵檢測系統的結合,為前兩者提供了互補,還提供了人侵檢測的集中管理,采用這種技術(shù)能實(shí)現對人侵行為的全方位監測。
5. 客戶(hù)端的防護
(1)為了減少病毒和防止病毒在企業(yè)網(wǎng)絡(luò )內部中傳播,主要釆取病毒預防、病毒檢測及殺毒技術(shù),客戶(hù)端必須安裝殺毒及木馬查殺軟件,及時(shí)查殺病毒和木馬。
(2)要及時(shí)下載和安裝補丁程序,修復系統和軟件漏洞,有效的減少安全漏洞的隱患。
(3)做好移動(dòng)介質(zhì)使用防護,在使甩前必須進(jìn)行殺毒。
6. 最小授權原則
最小特權原則是系統安全中最基本的原則之一。所謂最小特權(LeastPrivilege),指的是“在完成某種操作時(shí)所賦予網(wǎng)絡(luò )中每個(gè)主體(用戶(hù)或進(jìn)程)必不可少的特權”。最小特權原則,則是指“應限定網(wǎng)絡(luò )中每個(gè)主體所必須的最小特權,確保可能的事故錯誤、網(wǎng)絡(luò )部件的篡改等原因造成的損失最小。”
7. 遠程訪(fǎng)問(wèn)控制
建立虛擬專(zhuān)用網(wǎng)(VPN)是目前實(shí)現遠程訪(fǎng)問(wèn)的最佳選擇。VPN即虛擬專(zhuān)用網(wǎng),是通過(guò)一個(gè)公用網(wǎng)絡(luò )(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò )的安全、穩定的隧道。
對于遠程客戶(hù)端接入來(lái)說(shuō),只有允許經(jīng)過(guò)授權鑒別的用戶(hù)才能進(jìn)行接入,并設置權限級別來(lái)控制每個(gè)用戶(hù)可以訪(fǎng)問(wèn)的網(wǎng)絡(luò )資源范圍。
8. 數據備份與恢復
數據備份是容災的基礎,當系統出現災難性事件時(shí),成為了企業(yè)重要的數據恢復手段。數據備份與恢復是為了防止系統出現操作失誤、系統故障而導致數據丟失,將全部或部分數據集合從應用主機的硬盤(pán)或陣列,復制到其它的存儲介質(zhì)的過(guò)程。建立并嚴格實(shí)施完整的數據備份方案,就能確保系統或數據受損時(shí),能夠迅速和安全地將系統和數據恢復。
總結:
總之,現代企業(yè)網(wǎng)絡(luò )安全管理是一門(mén)綜合性和長(cháng)期性的工作,企業(yè)必須針對網(wǎng)絡(luò )安全問(wèn)題的各種誘發(fā)因素和存在的漏洞,做好切實(shí)可行的網(wǎng)絡(luò )安全防護措施,做好周密的企業(yè)網(wǎng)絡(luò )安全設計,才能最大限度的減少企業(yè)網(wǎng)絡(luò )安全隱患。
