目前市場上比較流行的,能夠代表未來發展方向的安全產品大致有以下幾種:
用戶認證,如靜態密碼、動態密碼(短信密碼、動態口令卡、手機令牌)、USB KEY、ic卡、數字證書、指紋虹膜等。壹般的企業網都是和互聯網物理隔離的,所以安全性比互聯網高。但是,在日常運營管理中,我們仍然面臨著網絡鏈接維護、非法使用網絡事件等問題,具體來說:
(1)在IP資源管理方面,采用IP MAC捆綁技術,防止用戶隨意更改交換機上的IP地址和端口。這在兩種情況下實現。第壹種情況,如果客戶端連接到支持網絡管理的交換機,可以通過網管中心的管理軟件在交換機上遠程實施端口安全策略,將客戶端網卡的MAC地址固定到對應的端口。第二種情況,如果客戶端連接的交換機或集線器不支持網絡管理,可以通過網頁調用壹個程序,通過這個程序將MAC地址和IP地址綁定在壹起。這樣就不會出現IP地址被盜,網絡無法正常使用的情況。
(2)在網絡流量監控方面,可以利用網絡監控軟件對網絡傳輸數據協議的類型進行分類統計,檢查數據、視頻、語音等應用的利用帶寬,防止大文件的頻繁傳輸,甚至可以發現病毒的轉移和傳播方向。常見應用服務器安裝的操作系統多為Windows系列,對服務器的管理包括服務器安全審計、組策略實施和服務器備份策略。
服務器安全審計是網絡管理的日常工作項目之壹。審計範圍包括安全漏洞檢查、日誌分析、補丁安裝檢查等。審計對象可以是DC、Exchange Server、SQL Server、IIS等。
在組策略實施過程中,如果要使用軟件限制策略,即哪些客戶不能使用哪些軟件,需要將操作系統升級到Windows 2003 Server。服務器的備份策略包括兩部分:系統軟件備份和數據庫備份。系統軟件備份計劃利用現有的專用備份程序制定合理的備份策略,比如每周日晚上做壹次完全備份,然後周壹至周五晚上做增量備份或差異備份;定期備份服務器的工作等。對於大多數單位的網絡管理來說,客戶端的管理是最頭疼的,只有
只有有效的措施才能解決這個問題。以下是壹些方法:
(1)將所有客戶端添加到域中非常重要,因為只有這樣才能將客戶端納入管理員集中管理的範圍。
(2)只有用戶才能以普通域用戶的身份登錄域,因為普通域用戶不屬於本地的Administrators和Power Users組,所以可以限制他們在本地計算機上安裝大部分軟件(部分軟件也可以由普通用戶安裝)。當然,為了方便用戶工作,應該通過本地安全策略授予他們“關機”和“修改系統時間”的權限。
(3)實現客戶端操作系統補丁的自動安裝。
(4)實現客戶端殺毒軟件的自動更新。
(5)使用短信不定期監控客戶端,發現異常情況及時處理。隨著應用系統的增加,各種數據庫日益增多。如何保證在出現故障或災難性事件時數據不丟失,是目前的壹個難題。下面是四種解決方案:第壹種方案是用磁帶機或硬盤備份數據。這種方式價格最低,保存性最強,但缺點是只備份某個時間點。第二種方案是利用本地磁盤陣列實現各服務器的本地硬盤數據冗余。第三種方案是采用雙機容錯模式,雙機系統互為備份,所有應用層數據放在壹個* * *共享的磁盤陣列櫃中。這種方式可以解決單機故障或停機的問題,同時防止單個硬盤故障造成的數據丟失,但初期投入較大。第四種方案是利用NAS或SAN實現各服務器的集中區域存儲,實現磁盤等高層硬件故障的數據備份,但成本較高,壹般無法防止系統級故障,如病毒感染或系統崩潰。
考慮網絡上未經身份驗證的用戶可能試圖繞過系統的情況,例如物理地“帶走”數據庫並竊聽通信線路。對於這種威脅,最有效的解決方案是數據加密,即以加密格式存儲和傳輸敏感數據。發送方使用加密密鑰對信息進行加密,並通過加密設備或算法將其發送出去。接收到密文後,接收者用解密密鑰解密密文,並將其還原為明文。如果有人在傳輸中竊取,只能得到無法理解的密文,從而使信息保密。鐵線圈電子文檔安全系統(簡稱“鐵線圈”)采用內核級透明加解密技術,是壹種旨在為企業電子文檔、圖紙等數據提供整體安全的解決方案。其高度定制化的特點使得企業可以根據自身條件制定不同的規則,從而打造出獨特的信息數據維護機制。由於采用C/S通信模式,密鑰存儲在服務器中,使得員工不在企業網絡環境中時無法為企業指定受保護的文檔和圖紙,加強了對企業敏感數據的管理。