CIO信息化管理 |
|
| 按行业筛选 |
|
|
| 按产品筛选 |
|
|
| |
查看本类全部文章 |
| |
|
|
|
简析企业信息安全管理须面对的几个问题 |
|
作者: |
|
对于企业安全管理具体涵盖的内容,网络安全专家赛门铁克认为,首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体如要按级别界定就不那么简单。对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。其次,还需完成威胁识别及风险评估的任务:如果企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。
所以企业为了消除安全隐患,下一步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为,并指出每个区域的漏洞或潜在安全威胁区。最后,企业安全管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训,以便维护和管理整个安全方案的实施和运行情况。
信息安全问题之所以成为企业管理中很难解决的一个问题的主要原因在于:信息资产与物理资产的差异性。一般而言,信息资产与物理资产的基本区别是,信息资产是动态变化的,而物理资产是固定不变的。信息资产在许多方面表现出动态特征---从信息以运行数据(客户帐户、业务交易,等)的形式产生开始,直到在各种业务功能和过程中最终的应用(ERP, CRM, 商业智能)。IT界为信息生命周期的每一个阶段推出了许多单一性的产品。这些产品分别用于解决生命周期中某个方面的问题,包括信息的生成、处理、分布、存档、检索和处置。某一种信息资产在生命周期的每一个阶段各有其价值。而且,一般来说它的价值会随着生命周期的进展而增加。因此,企业的这种动态资产在其进展的每一步中必须受到保护,以防止外部和内部的威胁。遗憾的是,技术厂商们至今并不能出色地提供这些产品功能以保护信息安全。
由于IT是管理企业不可缺少的工具,公司董事会和经理们如何履行他们的基本职责以保护公司最有价值并且是动态的资产---公司信息的整体?当然,对于常见和已知的安全薄弱环节,现在和将来会不断出现新的产品,例如,防病毒,防火墙以及加密等。正如我们已经论述的,技术手段是必要的,但不足以解决信息资产保护的全部问题。完整地看,还有其它方面要考虑---与技术结合在一起。
信息安全程序的核心,是一种管理业务风险的机制---而不仅仅是技术风险---它是一种能够使业务运转和增长的方法。与业务需求相对应是实施信息安全程序的关键,并使其对企业具有实际意义。
因此,针对以上对于企业信息安全问题的定义与现状分析,目前,解决信息安全问题有如下几个对策:
1.网络管理
一般企业网与互联网物理隔离,因而与互联网相比,其安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:
(1)在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这分两种情况实现,第一种情况是如果客户机连在支持网管的交换机上的,可以通过网管中心的管理软件,对该交换机远程实施Port Security策略,将客户端网卡MAC地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管,则可以通过Web网页调用一个程序,通过该程序把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况。
(2)在网络流量监测方面,可使用网络监测软件对网络传输数据协议类型进行分类统计,查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。
(3)在违规操作监控方面,首先是要根据企业要求,严禁“一机两用”事件的发生。“一机两用”是指一台计算机同时联接企业网和互联网,还包括轮流上企业网和国际互联网的情形,目前笔者所在公司选择了上海百姓软件有限公司的“一机两用”监控系统,实现电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等功能。
2.服务器管理
常见应用服务器安装的操作系统多为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。
服务器安全审核是网管日常工作项目之一,审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等,审核的对象可以是DC、Exchange Server、SQL Server、IIS等。
在组策略实施时,如果想使用软件限制策略,即哪些客户不能使用哪个软件,则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的专用备份程序,制定一个合理的备份策略,如每周日晚上做一次完全备份,然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。
3.客户端管理
对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
(1)将客户端都加入到域中,这一点很重要。因为只有这样,客户端才能纳入管理员集中管理的范围。出于安全上的考虑,最好逐渐淘汰Windows 98的客户端。
(2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地Administrators和Power Users组,这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作,应通过本地安全策略,授予他们“关机”和“修改系统时间”等权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)实现客户端防病毒软件的自动更新。
(5)利用SMS对客户端进行不定期监控,发现不正常情况及时处理。
4.数据备份与数据加密
由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。这里有四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低,保存性最强,不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式,两台机器系统相互备份,应用层数据全部放在共享的磁盘阵列柜中,这种方式能解决单机故障或宕机的问题,同时又能防止单个硬盘故障导致的数据丢失,但前期投资较大。第四种方案是采用NAS或SAN来实现各服务器的集中区域存储,实现较高级别的磁盘等硬件故障的数据备份,但是成本较高,一般不能防止系统层的故障,如感染病毒或系统崩溃。
考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密,即以加密格式存储和传输敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
5.病毒防治
对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。SYMANTEC公司的Norton Antivirus企业版是一个可选的软件。在实施过程中,本单位以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。
以上,针对企业的信息安全问题进行了简单的对策探讨,当然,在实际的信息安全管理过程中,企业所面临的问题可能多种多样,所使用的具体解决方案也会因为问题的不同而具有很强的针对性,但是,魔高一尺,道高一丈,利用先进的防护技术,通过在企业内部建立的完美的防护流程和严格的审核制度,必要时借助一定的法律保障,相信信息安全问题在不远的将来将不再成为令管理者头疼的主要问题。
(end)
|
|
文章内容仅供参考
(投稿)
(如果您是本文作者,请点击此处)
(9/17/2004) |
对 CIO信息化管理 有何见解?请到 CIO信息化管理论坛 畅所欲言吧!
|