信息化給現(xiàn)代企業(yè)帶來了全新的活力，給企業(yè)的經(jīng)營管理帶來極大的好處。企業(yè)通過網(wǎng)絡(luò)進行開發(fā)設(shè)計、物資采購、產(chǎn)品生產(chǎn)、銷售及工程服務(wù)等一系列的企業(yè)運營活動，一方面企業(yè)與供應(yīng)商、客戶產(chǎn)生大量的信息交換；另一方面企業(yè)員工內(nèi)部利用網(wǎng)絡(luò)完成大部分的協(xié)作以及信息處理。企業(yè)發(fā)展了增設(shè)了分支機構(gòu)，也要考慮分支機構(gòu)與總公司的信息交換問題，企業(yè)信息化的安全問題也就越來越重要了，同時企業(yè)信息化又要考慮網(wǎng)絡(luò)的開放性、易用性，這些同安全性都相互影響但又同時都是很重要的必須考慮的因素。

    因此企業(yè)信息化的安全框架不可避免的在實現(xiàn)有限的開放性，提供必要的易用性方面要綜合平衡，一個可行的企業(yè)信息化安全方案應(yīng)該綜合考慮以上因素。

1  基本原則

    安全是有成本的，如何平衡適合本企業(yè)的安全需要，建議參考以下原則。

    (1)  易用性原則

    要易于管理維護，當企業(yè)的網(wǎng)絡(luò)節(jié)點規(guī)模在500點以上，并且存在分支機構(gòu)的情況下，易管理易維護，能快速定位問題、解決問題應(yīng)該是首要考慮的。

    (2)  適度開放原則

    最安全的方案莫過于禁止一切網(wǎng)絡(luò)活動，全部開放又需要有極大的安全投入保障，企業(yè)應(yīng)該只選擇最急需的應(yīng)用進行有條件的開放（這里所說的開放是指實現(xiàn)遠程辦公或移動辦公所需的從Intranet至Internet的開放）。

    (3)  實用與適用原則

    現(xiàn)在市場上安全方案繁多，相應(yīng)的安全產(chǎn)品也很多，當然需要企業(yè)的投入也是相差很多，如何選擇適合本企業(yè)的安全方案、安全產(chǎn)品，應(yīng)該從企業(yè)的實用與適用來考慮，這個也是企業(yè)進行安全產(chǎn)品選型的首要考慮因素。另外一方面現(xiàn)在許多安全產(chǎn)品宣稱如何如何，但是實際的效果跟投入并不成正比，所以在安全產(chǎn)品上不能盲目。

    (4)  重管理

    安全是管出來的，再好的產(chǎn)品沒有有效的管理，一切安全都免談，而企業(yè)在管理上的投入是隱性的，因此從技術(shù)角度實現(xiàn)企業(yè)的安全策略管理是一個比較好的方式，它是可評估的，從另一方面來說。將管理理念與技術(shù)手段完美的結(jié)合會起到事半功倍的效果。

2  安全框架

圖1  網(wǎng)絡(luò)平臺安全架構(gòu)圖

    (1)  網(wǎng)絡(luò)平臺基礎(chǔ)架構(gòu)

    ?  基于Windows2000域（或Windows2003）的管理模式。企業(yè)網(wǎng)絡(luò)建立之初就實現(xiàn)域的管理，這為以后推行基于域策略的管理模式奠定基礎(chǔ)。另外在企業(yè)內(nèi)部，要想實現(xiàn)所有的客戶端可控也必須基于域的管理模式。

    ?  賬號域集中管理（包括分支機構(gòu)），便于實現(xiàn)集團企業(yè)信息單一登陸即可存取，也便于實現(xiàn)集團郵箱的布署與管理；資源域可以根據(jù)地理位置遠近根據(jù)需要設(shè)置。這樣可以實現(xiàn)不同地區(qū)域管理策略本地化（如圖1所示，域之間的虛線鏈路是基于VPN鏈路的）。

    ?  IP的管理。當企業(yè)網(wǎng)絡(luò)規(guī)模較大的情況下，還是推薦DHCP（Dynamic Host Config Protocol，動態(tài)主機配置協(xié)議）方式管理，自動獲取IP，通過VLAN劃分不同的網(wǎng)段，配合DNS服務(wù)器全面實現(xiàn)客戶端的定位與管理。

    ?  集團與固定分支機構(gòu)之間走VPN鏈路，實現(xiàn)方式有很多，推薦一種經(jīng)濟易行且比較安全的方式。兩個機構(gòu)通過專線或者其他方式接入Internet，接入點使用Internet Security and Acceleration (ISA) Server 防火墻，同時利用ISA的VPN接入功能建立雙方的VPN鏈路（如圖1所示）。

    ?  企業(yè)局域網(wǎng)內(nèi)部主干交換機為三層交換機，劃分VLAN，將不同部門、不同機構(gòu)、關(guān)鍵業(yè)務(wù)分別劃分至不同的VLAN，這個主要解決網(wǎng)絡(luò)廣播風(fēng)暴或者由于局部的網(wǎng)絡(luò)節(jié)點故障導(dǎo)致影響整個網(wǎng)絡(luò)，但是VLAN劃分過多對于三層交換機的性能要求較高，企業(yè)應(yīng)根據(jù)實際情況酌情處理。

    (2)  網(wǎng)絡(luò)安全應(yīng)用布署

    網(wǎng)絡(luò)安全應(yīng)用的布署追求一個原則：盡量減少用戶的干預(yù)，讓用戶在不知不覺中享受著安全的可靠的網(wǎng)絡(luò)服務(wù)，只有這樣的應(yīng)用才可以大規(guī)模的布署。

圖2  網(wǎng)絡(luò)安全應(yīng)用布署圖

    ?  補丁管理服務(wù)  系統(tǒng)漏洞是致命的，外層有再多的防護也抵擋不住系統(tǒng)本身就有漏洞，那就相當于有一個公開的后門，誰都可以隨意進入。眾所周知的幾次網(wǎng)絡(luò)病毒風(fēng)暴都是大部分客戶端由于沒有及時打補丁導(dǎo)致（其實微軟早就發(fā)布了相關(guān)漏洞的補丁，只是由于打補丁這件事情比較煩瑣，個人經(jīng)常忘記）。當企業(yè)節(jié)點在500點以上時，就會發(fā)現(xiàn)統(tǒng)一補丁管理非常重要，一定要實現(xiàn)補丁的自動下載、分發(fā)，而且要強制安裝，對于Windows系統(tǒng)平臺，可以布署微軟的Microsoft Software Update Services (SUS) 服務(wù)，同時通過域策略強制加入域的計算機接受公司SUS服務(wù)器的管理，一旦有最新補丁強制安裝。只有這樣才能確保大部分的客戶端沒有安全漏洞，也就能夠避免某些由于安全漏洞引起的網(wǎng)絡(luò)蠕蟲入侵導(dǎo)致整個網(wǎng)絡(luò)癱瘓的事件發(fā)生（如圖2所示）。

    ?  防病毒服務(wù)  現(xiàn)在病毒猖獗，傳播的方式多種多樣，讓人防不勝防，因此確保每一個客戶端都有一道防病毒的屏障也很重要。如何強制企業(yè)內(nèi)的計算機必須布署防病毒客戶端，也需要通過域來控制發(fā)布，通過登陸腳本檢查每一臺登陸到域上的計算機，一旦發(fā)現(xiàn)沒有安裝企業(yè)規(guī)定的防病毒客戶端，立即強制安裝。但安裝了防病毒客戶端并不意味著萬事大吉，病毒每天都在推陳出新，因此要布署企業(yè)防病毒服務(wù)器，自動更新病毒代碼并及時分發(fā)到每一個客戶端。只有這樣才能減輕網(wǎng)管的負擔，同時一直追求的網(wǎng)絡(luò)管理的最高境界就是讓用戶感覺不到被管理，不知不覺所有的補丁都已經(jīng)布署、所有的客戶端都有最新的病毒代碼等（如圖2所示）。

    ?  企業(yè)防火墻  對于企業(yè)來講統(tǒng)一布署一套防火墻還是很有必要，它是企業(yè)連接Internet的唯一通道，以確保企業(yè)網(wǎng)絡(luò)不受Internet上各種侵害來侵擾，它能使網(wǎng)絡(luò)用戶訪問公用網(wǎng)絡(luò)的風(fēng)險降到最低。防火墻分為硬件防火墻與軟件防火墻，從靈活管理角度來說，軟件防火墻還是很不錯的選擇，價格也適中，推薦使用微軟的Internet Security and Acceleration (ISA) Server，它能跟Windows域集成。通過它可以靈活地實現(xiàn)控制某個域用戶的網(wǎng)絡(luò)行為，允許或禁止用戶訪問哪些內(nèi)容、站點、訪問時間等。同時它能夠提供簡單的入侵檢測、入侵防護，有效地抵御外來黑客的攻擊。另外一般不建議在企業(yè)內(nèi)布署個人防火墻，那樣將會加大網(wǎng)絡(luò)管理的難度，維護成本增高。如果企業(yè)內(nèi)部對于安全性要求非常高可以在基礎(chǔ)服務(wù)層與員工網(wǎng)絡(luò)之間再增加一級防火墻形成DMZ區(qū)，確保企業(yè)的應(yīng)用服務(wù)的安全可靠（如圖2所示，所說的DMZ區(qū)就是將基礎(chǔ)服務(wù)層至于內(nèi)外網(wǎng)防火墻之間）。

    ?  其他服務(wù)的布署  至于現(xiàn)在鼓吹的入侵檢測（IDS）直至入侵防護（IPS）等由于實際效果有待檢驗，并且成本很高，建議一般企業(yè)不要考慮。還有其它專用的網(wǎng)絡(luò)管理軟件，價格都比較高，有的效果也一般，因此也需要謹慎考慮。

    (3)  企業(yè)數(shù)據(jù)安全

    ?  數(shù)據(jù)備份  應(yīng)該設(shè)立專門的備份服務(wù)器，根據(jù)不同業(yè)務(wù)數(shù)據(jù)的管理要求，分別設(shè)置備份策略，實現(xiàn)重要數(shù)據(jù)的自動備份甚至異地災(zāi)難備份。

    ?  數(shù)據(jù)加密  企業(yè)在開發(fā)各種應(yīng)用系統(tǒng)的同時除了要考慮應(yīng)用的功能性以外，還要考慮數(shù)據(jù)傳輸存儲的安全問題，避免通過非法手段很方便地竊取到企業(yè)的重要數(shù)據(jù)。

    (4)  安全管理策略

    ?  通過域設(shè)置帳號策略、計算機策略來實現(xiàn)企業(yè)統(tǒng)一精細安全管理。

    例如設(shè)置帳號策略，要求提高密碼安全性；設(shè)置帳號審核策略，便于在出現(xiàn)問題后可以跟蹤事件發(fā)生的來龍去脈；設(shè)置用戶權(quán)力指派策略，控制用戶計算機的訪問權(quán)限，確保計算機集中管理。

    ?  防火墻統(tǒng)一策略。集團企業(yè)對于防火墻可以要求統(tǒng)一策略，實現(xiàn)分支機構(gòu)的防火墻也受集團防火墻策略的約束，這樣實現(xiàn)了統(tǒng)一防火墻策略便于管理，安全的一致性也大大提高。同時防火墻策略本身設(shè)置上必須嚴格，每種業(yè)務(wù)都必須審核，只有經(jīng)過審核過的策略才能發(fā)布。另外對于企業(yè)防火墻建議只開放訪問WEB服務(wù)、郵件服務(wù)的權(quán)限，如果需要發(fā)布內(nèi)部站點，經(jīng)過審核后通過防火墻發(fā)布，所有這些訪問都可以與域帳戶集成，實現(xiàn)信息的安全存取。

    ?  建立起有效的帳號創(chuàng)建、遷移、刪除的管理流程，確保帳戶的安全管理。

    ?  建立起企業(yè)安全策略的制定、審核、發(fā)布、撤銷的管理流程，確保企業(yè)安全策略及時有效。

    ?  建立企業(yè)安全審計的制度，由專人定期檢查企業(yè)的所有服務(wù)器的安全日志，及時解決發(fā)現(xiàn)的漏洞及其他安全隱患。

3  結(jié)語

    企業(yè)信息化安全是一個很大的課題，道高一尺魔高一丈，按照以上方案進行規(guī)劃并不能保證企業(yè)網(wǎng)絡(luò)有100%安全，但是如果以上基礎(chǔ)管理也沒有做到的話，那企業(yè)信息化平臺肯定是不安全的。企業(yè)IT人員必須持續(xù)關(guān)注企業(yè)信息化安全的發(fā)展方向，并及時調(diào)整優(yōu)化適合本企業(yè)的安全方案與策略。