劉治開
信息化給現(xiàn)代企業(yè)帶來了全新的活力,給企業(yè)的經(jīng)營管理帶來極大的好處。企業(yè)通過網(wǎng)絡(luò)進行開發(fā)設(shè)計、物資采購、產(chǎn)品生產(chǎn)、銷售及工程服務(wù)等一系列的企業(yè)運營活動,一方面企業(yè)與供應(yīng)商、客戶產(chǎn)生大量的信息交換;另一方面企業(yè)員工內(nèi)部利用網(wǎng)絡(luò)完成大部分的協(xié)作以及信息處理。企業(yè)發(fā)展了增設(shè)了分支機構(gòu),也要考慮分支機構(gòu)與總公司的信息交換問題,企業(yè)信息化的安全問題也就越來越重要了,同時企業(yè)信息化又要考慮網(wǎng)絡(luò)的開放性、易用性,這些同安全性都相互影響但又同時都是很重要的必須考慮的因素。
因此企業(yè)信息化的安全框架不可避免的在實現(xiàn)有限的開放性,提供必要的易用性方面要綜合平衡,一個可行的企業(yè)信息化安全方案應(yīng)該綜合考慮以上因素。
1 基本原則
安全是有成本的,如何平衡適合本企業(yè)的安全需要,建議參考以下原則。
(1) 易用性原則
要易于管理維護,當企業(yè)的網(wǎng)絡(luò)節(jié)點規(guī)模在500點以上,并且存在分支機構(gòu)的情況下,易管理易維護,能快速定位問題、解決問題應(yīng)該是首要考慮的。
(2) 適度開放原則
最安全的方案莫過于禁止一切網(wǎng)絡(luò)活動,全部開放又需要有極大的安全投入保障,企業(yè)應(yīng)該只選擇最急需的應(yīng)用進行有條件的開放(這里所說的開放是指實現(xiàn)遠程辦公或移動辦公所需的從Intranet至Internet的開放)。
(3) 實用與適用原則
現(xiàn)在市場上安全方案繁多,相應(yīng)的安全產(chǎn)品也很多,當然需要企業(yè)的投入也是相差很多,如何選擇適合本企業(yè)的安全方案、安全產(chǎn)品,應(yīng)該從企業(yè)的實用與適用來考慮,這個也是企業(yè)進行安全產(chǎn)品選型的首要考慮因素。另外一方面現(xiàn)在許多安全產(chǎn)品宣稱如何如何,但是實際的效果跟投入并不成正比,所以在安全產(chǎn)品上不能盲目。
(4) 重管理
安全是管出來的,再好的產(chǎn)品沒有有效的管理,一切安全都免談,而企業(yè)在管理上的投入是隱性的,因此從技術(shù)角度實現(xiàn)企業(yè)的安全策略管理是一個比較好的方式,它是可評估的,從另一方面來說。將管理理念與技術(shù)手段完美的結(jié)合會起到事半功倍的效果。
2 安全框架
圖1 網(wǎng)絡(luò)平臺安全架構(gòu)圖
(1) 網(wǎng)絡(luò)平臺基礎(chǔ)架構(gòu)
? 基于Windows2000域(或Windows2003)的管理模式。企業(yè)網(wǎng)絡(luò)建立之初就實現(xiàn)域的管理,這為以后推行基于域策略的管理模式奠定基礎(chǔ)。另外在企業(yè)內(nèi)部,要想實現(xiàn)所有的客戶端可控也必須基于域的管理模式。
? 賬號域集中管理(包括分支機構(gòu)),便于實現(xiàn)集團企業(yè)信息單一登陸即可存取,也便于實現(xiàn)集團郵箱的布署與管理;資源域可以根據(jù)地理位置遠近根據(jù)需要設(shè)置。這樣可以實現(xiàn)不同地區(qū)域管理策略本地化(如圖1所示,域之間的虛線鏈路是基于VPN鏈路的)。
? IP的管理。當企業(yè)網(wǎng)絡(luò)規(guī)模較大的情況下,還是推薦DHCP(Dynamic Host Config Protocol,動態(tài)主機配置協(xié)議)方式管理,自動獲取IP,通過VLAN劃分不同的網(wǎng)段,配合DNS服務(wù)器全面實現(xiàn)客戶端的定位與管理。
? 集團與固定分支機構(gòu)之間走VPN鏈路,實現(xiàn)方式有很多,推薦一種經(jīng)濟易行且比較安全的方式。兩個機構(gòu)通過專線或者其他方式接入Internet,接入點使用Internet Security and Acceleration (ISA) Server 防火墻,同時利用ISA的VPN接入功能建立雙方的VPN鏈路(如圖1所示)。
? 企業(yè)局域網(wǎng)內(nèi)部主干交換機為三層交換機,劃分VLAN,將不同部門、不同機構(gòu)、關(guān)鍵業(yè)務(wù)分別劃分至不同的VLAN,這個主要解決網(wǎng)絡(luò)廣播風(fēng)暴或者由于局部的網(wǎng)絡(luò)節(jié)點故障導(dǎo)致影響整個網(wǎng)絡(luò),但是VLAN劃分過多對于三層交換機的性能要求較高,企業(yè)應(yīng)根據(jù)實際情況酌情處理。
(2) 網(wǎng)絡(luò)安全應(yīng)用布署
網(wǎng)絡(luò)安全應(yīng)用的布署追求一個原則:盡量減少用戶的干預(yù),讓用戶在不知不覺中享受著安全的可靠的網(wǎng)絡(luò)服務(wù),只有這樣的應(yīng)用才可以大規(guī)模的布署。
圖2 網(wǎng)絡(luò)安全應(yīng)用布署圖
? 補丁管理服務(wù) 系統(tǒng)漏洞是致命的,外層有再多的防護也抵擋不住系統(tǒng)本身就有漏洞,那就相當于有一個公開的后門,誰都可以隨意進入。眾所周知的幾次網(wǎng)絡(luò)病毒風(fēng)暴都是大部分客戶端由于沒有及時打補丁導(dǎo)致(其實微軟早就發(fā)布了相關(guān)漏洞的補丁,只是由于打補丁這件事情比較煩瑣,個人經(jīng)常忘記)。當企業(yè)節(jié)點在500點以上時,就會發(fā)現(xiàn)統(tǒng)一補丁管理非常重要,一定要實現(xiàn)補丁的自動下載、分發(fā),而且要強制安裝,對于Windows系統(tǒng)平臺,可以布署微軟的Microsoft Software Update Services (SUS) 服務(wù),同時通過域策略強制加入域的計算機接受公司SUS服務(wù)器的管理,一旦有最新補丁強制安裝。只有這樣才能確保大部分的客戶端沒有安全漏洞,也就能夠避免某些由于安全漏洞引起的網(wǎng)絡(luò)蠕蟲入侵導(dǎo)致整個網(wǎng)絡(luò)癱瘓的事件發(fā)生(如圖2所示)。
? 防病毒服務(wù) 現(xiàn)在病毒猖獗,傳播的方式多種多樣,讓人防不勝防,因此確保每一個客戶端都有一道防病毒的屏障也很重要。如何強制企業(yè)內(nèi)的計算機必須布署防病毒客戶端,也需要通過域來控制發(fā)布,通過登陸腳本檢查每一臺登陸到域上的計算機,一旦發(fā)現(xiàn)沒有安裝企業(yè)規(guī)定的防病毒客戶端,立即強制安裝。但安裝了防病毒客戶端并不意味著萬事大吉,病毒每天都在推陳出新,因此要布署企業(yè)防病毒服務(wù)器,自動更新病毒代碼并及時分發(fā)到每一個客戶端。只有這樣才能減輕網(wǎng)管的負擔,同時一直追求的網(wǎng)絡(luò)管理的最高境界就是讓用戶感覺不到被管理,不知不覺所有的補丁都已經(jīng)布署、所有的客戶端都有最新的病毒代碼等(如圖2所示)。
? 企業(yè)防火墻 對于企業(yè)來講統(tǒng)一布署一套防火墻還是很有必要,它是企業(yè)連接Internet的唯一通道,以確保企業(yè)網(wǎng)絡(luò)不受Internet上各種侵害來侵擾,它能使網(wǎng)絡(luò)用戶訪問公用網(wǎng)絡(luò)的風(fēng)險降到最低。防火墻分為硬件防火墻與軟件防火墻,從靈活管理角度來說,軟件防火墻還是很不錯的選擇,價格也適中,推薦使用微軟的Internet Security and Acceleration (ISA) Server,它能跟Windows域集成。通過它可以靈活地實現(xiàn)控制某個域用戶的網(wǎng)絡(luò)行為,允許或禁止用戶訪問哪些內(nèi)容、站點、訪問時間等。同時它能夠提供簡單的入侵檢測、入侵防護,有效地抵御外來黑客的攻擊。另外一般不建議在企業(yè)內(nèi)布署個人防火墻,那樣將會加大網(wǎng)絡(luò)管理的難度,維護成本增高。如果企業(yè)內(nèi)部對于安全性要求非常高可以在基礎(chǔ)服務(wù)層與員工網(wǎng)絡(luò)之間再增加一級防火墻形成DMZ區(qū),確保企業(yè)的應(yīng)用服務(wù)的安全可靠(如圖2所示,所說的DMZ區(qū)就是將基礎(chǔ)服務(wù)層至于內(nèi)外網(wǎng)防火墻之間)。
? 其他服務(wù)的布署 至于現(xiàn)在鼓吹的入侵檢測(IDS)直至入侵防護(IPS)等由于實際效果有待檢驗,并且成本很高,建議一般企業(yè)不要考慮。還有其它專用的網(wǎng)絡(luò)管理軟件,價格都比較高,有的效果也一般,因此也需要謹慎考慮。
(3) 企業(yè)數(shù)據(jù)安全
? 數(shù)據(jù)備份 應(yīng)該設(shè)立專門的備份服務(wù)器,根據(jù)不同業(yè)務(wù)數(shù)據(jù)的管理要求,分別設(shè)置備份策略,實現(xiàn)重要數(shù)據(jù)的自動備份甚至異地災(zāi)難備份。
? 數(shù)據(jù)加密 企業(yè)在開發(fā)各種應(yīng)用系統(tǒng)的同時除了要考慮應(yīng)用的功能性以外,還要考慮數(shù)據(jù)傳輸存儲的安全問題,避免通過非法手段很方便地竊取到企業(yè)的重要數(shù)據(jù)。
(4) 安全管理策略
? 通過域設(shè)置帳號策略、計算機策略來實現(xiàn)企業(yè)統(tǒng)一精細安全管理。
例如設(shè)置帳號策略,要求提高密碼安全性;設(shè)置帳號審核策略,便于在出現(xiàn)問題后可以跟蹤事件發(fā)生的來龍去脈;設(shè)置用戶權(quán)力指派策略,控制用戶計算機的訪問權(quán)限,確保計算機集中管理。
? 防火墻統(tǒng)一策略。集團企業(yè)對于防火墻可以要求統(tǒng)一策略,實現(xiàn)分支機構(gòu)的防火墻也受集團防火墻策略的約束,這樣實現(xiàn)了統(tǒng)一防火墻策略便于管理,安全的一致性也大大提高。同時防火墻策略本身設(shè)置上必須嚴格,每種業(yè)務(wù)都必須審核,只有經(jīng)過審核過的策略才能發(fā)布。另外對于企業(yè)防火墻建議只開放訪問WEB服務(wù)、郵件服務(wù)的權(quán)限,如果需要發(fā)布內(nèi)部站點,經(jīng)過審核后通過防火墻發(fā)布,所有這些訪問都可以與域帳戶集成,實現(xiàn)信息的安全存取。
? 建立起有效的帳號創(chuàng)建、遷移、刪除的管理流程,確保帳戶的安全管理。
? 建立起企業(yè)安全策略的制定、審核、發(fā)布、撤銷的管理流程,確保企業(yè)安全策略及時有效。
? 建立企業(yè)安全審計的制度,由專人定期檢查企業(yè)的所有服務(wù)器的安全日志,及時解決發(fā)現(xiàn)的漏洞及其他安全隱患。
3 結(jié)語
企業(yè)信息化安全是一個很大的課題,道高一尺魔高一丈,按照以上方案進行規(guī)劃并不能保證企業(yè)網(wǎng)絡(luò)有100%安全,但是如果以上基礎(chǔ)管理也沒有做到的話,那企業(yè)信息化平臺肯定是不安全的。企業(yè)IT人員必須持續(xù)關(guān)注企業(yè)信息化安全的發(fā)展方向,并及時調(diào)整優(yōu)化適合本企業(yè)的安全方案與策略。