企业网络的安全问题,自始至终都是一个比较棘手的事情,它既有硬件的问题,也有软件的问题,但最终还是人的问题。在对企业网络的安全策略的规划、设计、实施与维护过程中,你必须对保护数据信息所需的安全级别有一个较透彻的理解。所以你应该对信息的敏感性加以研究与评估,从而制定出一个能够提供所需保护级别的安全策略。
同时,当一个企业中的每一个商业单元都需要来自某单一点的有效管理时,要求你在统一的安全策略中找到各单元之间的相关性。这样在制定安全策略时,可以在用户之间自动地进行复制,大大减少所需时间,还可以保证系统的统一安全。当系统实施策略发生改变时,全面的策略特性可以除去手工改变每个策略的麻烦。
从整体情况来看,一个标准企业的安全策略应该能够随着客户基础的增长,管理系统可以进行相应地进行有效升级。这其中包括有各种各样的策略描述。
一、什么是安全策略?
安全策略是一种处理安全问题的管理策略的描述。策略要能对某个安全主题进行描绘,探讨其必要性和重要性,解释清楚什么该做什么不该做。
安全策略应该简明,在生产效率和安全之间应该有一个好的平衡点,易于实现、易于理解。安全策略必须遵循三个基本概念:确定性、完整性和有效性。
另外,安全策略还可能包含一些表面上和上述三个安全概念风牛马不相及的地方。因为组织的整体安全是十分重要的,不能忽略小的方面而影响整体的安全。这包括对设备、数据、e-mail、Internet等的可接受的使用策略。
二、安全策略的设计与开发
安全策略的设计与开发是提高企业网络安全状态的第一步。一旦一个全面的安全策略定义好之后,你就可以通过一套机制去认真加以执行。
通过下面四个不同的步骤你可以完成一个企业范围内的安全策略,它们分别是:基本系统结构信息的收集、现有策略/流程的检查、对保护要求进行评估、文档设计。
1、基本系统结构信息的收集
基本系统结构的收集是指系统物理与逻辑结构检查的过程。
在检查过程中,你应该主要搜集系统硬件平台、操作系统、数据库管理系统、应用程序、网络类型/结构、连通性等数据信息。通过这些参数你可以对系统结构有一个较完全的了解,可以得到一份完全的功能级的系统图表和对所有主要硬件、软件资源功能的详尽描述。这些信息对开发安全策略是十分重要的。
2、现有策略/流程的检查
检查的主要目标对象为任何现存的与安全有关的策略、过程和对理解当前需求有帮助的指导纲要。可以这样说,现存的文档可以作为你的企业范围内安全策略的起点。
3、保护需求评估
为了实现保护需求的评估,你可以使用自动的风险评估工具来收集有关物理的、行政管理的和技术安全方面的信息。这些信息可以用来划分数据类型、存储位置,并且可以满足需求。在大多数情况下,用户并不知道什么数据需要被保护,也不想知道它们为什么需要被保护。这个过程需要进行广泛的调查和分析,从而决定数据如何存储,哪些数据允许哪些人访问。
4、文档设计
文档的设计必须要考虑你所已经搜集和分析的数据,在设计文档时也要听取用户的意见。设计过程就象一个迭代过程,你通常要生成一个草稿让用户来检查。第一次的草稿难免有些局限性,在和用户的交流中你可以对草稿做进一步的完善。虽然只是一个文档,但是它里面可能蕴涵了重要的安全机制,可以对你整个企业的安全起到防范作用。
一个好的安全策略文档在设计时应该把设计目的、相关文档的引用、企业背景、问题覆盖的范围及其应用的对象、职责划分、实施时间表、策略陈述等方面包含进去。
三、策略描述的分类
策略描述可以组合为不同的安全类型。
1、企业策略
企业策略要能够通过相关规则的实施对企业数据和实施过程进行保护。规则要符合所涉及的安全威胁、风险和信息价值。一个企业通常有不同的部门或商业单元组成,每个部门或单元应该负责规划好自己的安全策略。
当对企业的安全策略进行设计时,你必须要对存储在网络上的数据的安全性和潜在的威胁进行评估。在对威胁和冒险进行清晰地定义之后,你可以利用Windows2000或Novell的边界管理等特性对数据进行保护。
2、信息安全策略
这个概念是指所有主要信息财产应该有一个所有人。所有人把信息分为敏感级别或其它级别。级别的划分依靠合法的职责、费用、合作策略和企业需要。所有人有责任保护这些信息并且有权决定什么人有权对这些数据进行访问。
3、企业(数据)敏感级别
网络上不同类型的数据对不同的风险的脆弱性也是不同的。检查你的网络上的数据有助于你判断和数据相关的风险和寻求保护数据的措施。
分类系统常把信息分为四个级别。
A级:公共数据/非分类信息
公共数据是指那些能够自由使用的信息。比如一个公司网站上放置的信息。公共数据的完整性是非常重要的。许多公司把站点信息的完整性作为商务处理的基础。
对于A级信息,应该做到:不存储、不传输、不破坏。
B级: 内部数据
内部数据是指那些在组织正常工作中要用到的数据,例如市场调查或内部工作流程数据。内部数据要防止内部用户的意外修改,也不能暴露给外部用户。内部数据的破坏或丢失会给组织的正常工作带来很大的不便。
对于B级信息,应该做到:对信息进行分类,分类标准要记录在档;对于那些需要和外部人员合作的工程,工程策略文档信息需要和合作伙伴共享,原则上这些信息应该在公司内部安全保管。如果它需要在公共媒体上传输(如在internet上传送),应该先进行加密,然后再传送。
C级: 秘密信息
秘密信息是指那些象工资表那样的,对组织内部大多数用户来说应该保持其私有性。这类数据对于外部组织来说其价值不大,但它的暴露就会影响公司内部的运作和信任关系。秘密信息的访问经常限制于有限的有选择的用户,有权利改变秘密信息的用户应更少。如果此类信息被没有经过授权的人访问的话,它将会影响到公司的有效运作。数据的完整性也是很重要的,数据中心应当维护好该类数据的安全水平。
对于B级信息,应该做到:对其进行分类,IT系统当中易受病毒***的部分应当经常进行病毒扫描,系统的完整性应该受到严密的监视,IT系统应当进行有效的配置以防止对数据和程序进行非授权的更改。该类信息应保持在锁定状态下;密码不要通过纯文本文件和记录在纸上进行传输。这类信息应保存于公司内部。如果它必须通过象Internet这样的公共媒介进行传播的话,你采用的加密算法应该具有健壮性;信息不需要时应安全地销毁。你可以利用碎纸机销毁文档和破坏掉旧的磁盘与磁片。
D级: 机密信息/数据
机密数据是指隶属于公司组织机构的商业机密和其它各类知识信息。这些内部数据的泄露或丢失对公司来说损失是很巨大的,公司是无法接受这类事情的发生。因此我们要牢记一点,保持数据的完整性是重要的。要限制有权访问这些机密数据的人们的数目,要尽量把人数限制到最少。同时还要制定严格的规则来限制数据的使用。
对于D级信息,应该做到:对信息进行分类,分类方法记录在档,保存在存储介质(磁带、软盘、光盘等)上。IT系统易受到病毒的***,因此要养成定期查毒的习惯,系统的完整性要定期的监测。IT系统应配置的使数据和程序免受无权用户的恣意篡改。重要信息应以加密格式保存或存储到可移动的磁盘上;此类信息在安全区外传递一定要加密,加密算法要选择最强壮的;信息不在需要时要安全的删除,销毁或处置,不能因为数据为过时数据就随意放置。
总的来说,A级保护是指敏感度不太高的那些的数据,D级保护是指那些最重要的数据/处理过程。每级的执行都要依靠上一级保护的建立,例如:系统被确定为C级,那么系统就必须遵循A、B、C级保护的建设原则来建设,系统安全级别的制定是根据系统中最机密的数据的安全需要来划分的。
四、系统潜在威胁的鉴别
网络的威胁往往是从获得网络资源的访问权开始的。在***进入网络之后,***者可以通过读、复制、块连接、破坏数据等形式冒险地取得一些数据和服务。威胁可能最开始来自于内部用户,或其他外部来源用户。
内部***:内部***是指一个组织内部个体或小组的***行动。内部***所造成的结果是合法的用户试图非法地访问网络资源。内部***涉及到受限制数据的读取,数据偷窃和数据破坏。内部***更富有威胁性,因为***者享有一定的网络访问权限,更甚者还熟悉网络实施的一切安全举措。因此我们说内部***是企业最严重、最普遍的威胁。
个人***:个人***是指个人采用模仿或欺骗的手段获取访问网络的必要信息的行为。
个人***依靠的不是完全的技术手段,而是用邮件、电话、***工具等来欺骗网络用户,使网络用户把自己的秘密数据信息(如密码、个人资料等)泄露,***者就利用这些到手的信息来访问网络。
组织性***:这是指组织之间的行为,***的最终目的是为了获取机密数据来占据竞争优势。这些***者为了达到颠覆对方网络的目的,往往通过破坏数据或使用Dos***的手段。Dos***是用超过网络负载能力的信息流来使网络瘫痪。入口往往是企业的intranet和公网之间的不安全连接。
意外的安全事件:这是指授权用户无意中获得对受限资源的访问。这种情况下,用户可以无目的地读取或修改受限文件,修改其他用户的帐号,破坏数据和系统文件。因此对用户的权限要小心谨慎的管理,避免用户不合理的访问资源。
自动方式的计算机***:这些***使用专门用于破解密码或破解其它安全防范策略的软件来访问网络。***针对的是具体的计算机或组织,或是不停的在INTERNET上探察,寻找不安全的计算机。DDos(分布式拒绝访问***)就是自动***的一种形式。
五、信息安全依赖的关键因素
信息安全的成功执行依赖于很多因素。如安全对象和活动必须基于商业对象和商业需求,必须被商业管理层领导。当然还要得到最高管理层的支持和约束。对公司财产的安全风险和威胁要有深刻的了解,明确组织需要的安全级别。最终这些全面的安全策略的指导纲要标准要分发给所有的雇员。
1、个人安全策略
个人安全策略要防止用户不要进行"和朋友或亲戚共享帐号或密码,在系统密码文件上运行密码检查程序,运行sniffers程序(网络嗅探器),闯入别人的帐户,分化服务,滥用系统资源,乱用email,检查其他用户文件"等活动。他(她)们也不能复制未经许可的软件或允许其他的用户去复制未经许可的软件。
2、密码策略
用户名和密码一起构成了一个系统用户的身份。采取良好的个人密码策略是非常重要的。良好的密码内容应该是数字、大写字母,标点符号的混合,易于记忆,易于输入。
·不要通过E-MAIL传递或暴露密码,不要使用缺省密码。
·所有被设定好的缺省密码在系统使用前要进行更改。
·如果密码在系统上被泄露,要迅速进行密码更改。
·避免共享adminstrator和系统启动密码。
·密码应该存储于一个加密的表格当中,其中加密算法应该具有强壮性,以防受到***和破坏。
·密码在输入时每个字符要么显示为"*",要么不显示。
·一个用户不能从密码文件中读取到其他用户的加密密码。
·第一次登陆时应尽可能地改变密码
·尽可能使用自动密码产生机制去帮助用户设定密码。
·密码要经常进行检查。
3、E-mail的安全
用户将注意到方便易用的电子邮件系统也可能会给你带来很多麻烦。在许多方面,系统管理员能够读取所有的e-mail信息。B级数据一般在没有***的情况下在公司内部进行传输。C级数据应当加密。D级数据不能通过e-mail进行传输。仅有A级数据和信息可以通过E-MAIL传递给特许的外部公司。
4、Internet安全
Internet的冒险性主要有三个方面:秘密信息的暴露、来自Internet的***进入企业网络、信息可能会被删除或遭到修改。
一个特别的Internet策略是很有必要的,应该得到熟知与加强。系统过载时系统就会拒绝访问。
5、便携机
便携机会给旅途中的用户带来很大的方便。通过便携机用户可以方便地对企业网络信息进行访问。但他们也存在泄露信息、偷窃信息、访问非授权信息等危险。随着移动计算的人数上午一直增加,一个特殊的策略是非常必要的。
你应该让便携机用户明白以下几个问题:使用便携机所存在的冒险性;在办公软件,如WORD中的密码保护并不能防止******;移动硬盘放在口袋里可以使用户方便地保护一些关键信息,但另一方面,它也很容易泄露信息。
基于此,你可以采取下面所提供的一些安全策略:
便携机上的软件安装与维护要通过专业IT人员进行。
当应用UNIX或NT这样的操作系统时,一个正常的用户不能够对系统进行全面访问。
用户要对带到企业办公楼之外的便携机的安全负责。
安装活动病毒扫描器。
在公共运输工具上要把便携机保管好,以防泄密。
在非***的情况下,不要把C级数据传输到便携机上。
便携机不使用时,请关掉它。
在便携电脑上不要存储密码。因为它可能会连接到你的企业网络系统。
不要通过Internet、移动GSM、红外线这些不安全的网络进行C级数据传输。
和企业网的拨号连接要在网络接入策略中有详细的说明。
假如一个企业能够根据自己的具体情况,对本文所提到的安全策略、防护手段、安全措施、注意问题进行认真分析、仔细研究,做到"精心设计、明确分工、分步实施、责任到人、技术先行、管理到位",就一定能保护好企业数据和有价值信息的安全。
七成用单机版防毒 中小企业网络安全现状堪忧
千龙新闻网讯 小王是某公业的网管,近几天来一直是愁眉不展,原来公业内部局域网扩充之后,连网的电脑达到了近百台,网络病毒在内部局域网的疯狂流窜,即便将每台电脑的网线都拔下,也不能彻底查杀干净,病毒的肆虐传播造成网络堵塞,破坏系统文件使电脑不能正常工作。
网络的快速普及,越来越多的中小企业内部建立起了局域网,局域网虽建立起来但网络安全防范意识,却相当的薄弱,每当有恶性病毒大规模爆发时,每个企业的网管所面临的问题都和小王一样。据江民公司最新调查显示,在被调查的近千家企业中,约有百分之七十以上的中小企业是把单机版杀毒软件当作网络版使用,企业的网络安全防范意识非常的薄弱。 网络版和单机版最大的区别在于,网络版是针对局域网内部电脑的管理而设置了控制操作平台,供网管统一管理使用,而单机版是不具备管理功能的。并且,随着企业信息化进程的不断推进,网络环境日益复杂,面对不断对日益复杂的网络环境、日趋增强的病毒能力以及一些***程序和***程序的***,单机版根本就无法保证企业的网络安全。 如果采用单机版杀毒软件作网络版使用,企业用户将不能随时的了解每台机器的状况、病毒库是否有及时更新、防火墙有否打开等等,而若局域网中的一台机器感染到病毒,将会在很短的时间内传播开,严重的导致局域网瘫痪,更甚至可能使整个系统崩溃。而通过网络版杀毒软件,企业用户就可以轻松做到通过一台服务器管理整个区域网的机器,进而维护企业的网络安全。
据悉江民公司针对企业级用户最新推出的杀毒王网络版,在统一管理、查杀病毒、防******程序等方面,很好地解决了企业的网络安全问题,并且价位在市场上也具较强的竞争力。业内人士分析,江民杀毒王网络版的推出,表明了江民公司在企业发展上的重大转型,同时也将打破目前国内网络版市场现有的市场格局。
走出网络杀毒的误区
近几个月,通过网络传播的计算机新病毒层出不穷,并且名字也是越叫越好听,像爱虫、库尔尼科娃、裸妻、宝宝等,看起来可能是朋友发来的玩笑邮件,但一旦你把它打开,这下你的电脑就彻底完蛋了。资料显示,每一种计算机病毒发作的时候,都会造成数以百万计美元的损失,如果病毒传播面积广泛的话,那么全球经济都会受到影响。
网络在给人们带来方便的同时,也带来了苦恼。
前几天,记者参加了一个由一些传统企业组织的新经济研讨会,在会上与一位企业的老总交流时谈到了网络安全问题,学理工出身的他对计算机的了解只是一知半解,而对网关、节点、防火墙等词汇则是讳莫如深。他对记者说,为了节省费用,他们企业只买了几十套单机版杀毒软件,逐一安装到客户机和工作站上,并定期对每台机器进行病毒检测,同时定期在网上对杀毒软件进行升级,这样就构筑起了自己的信息安全防护体系,达到全网防治病毒的目的。他还介绍说他们地区的许多家企业都是采用这种办法防治病毒的。 听了他的这些话,记者不禁为他担心起来。因为在一个企业的局域网中,每一个节点都存在着安全隐患,如果大家都各自为营,各扫门前雪,而没有统一的杀防毒机制,这将给病毒带来更多的可乘之机,任何一点上的疏漏都势必导致整个网络受到病毒侵染。
记者在会后向一位网络安全专家讨教此问题时,他说造成这种情况的原因还在于,目前国内杀毒软件市场上,大部分网络版杀毒软件并未实现自身与单机版应有的差别。许多产品只是"服务器版+单机版"的简单组合,并不具备真正的网络防守实力,即并非真正意义上的"网络版"反病毒软件。他强调说,任何一家企业网络中的各个节点都应该享受绝对平等的防病毒待遇。因此,选择合适的网络版杀毒软件是企业建立自己的局域网后第一个应该考虑的问题,因为一旦企业受到网络病毒的***,那么企业承受的损失将是它节省出的那部分开支的数十倍,甚至数千倍。 专家向记者介绍道,公安部病毒防治中心对全球每种最新的病毒都进行了实时监控,因此按照由他们制定的"病毒防治产品评定标准"评选出来的杀毒产品还是值得推荐的,企业应该从中选择合适的产品以加强对自身的保卫,千万不要再干"丢西瓜捡芝麻"的傻事了。
同时,当一个企业中的每一个商业单元都需要来自某单一点的有效管理时,要求你在统一的安全策略中找到各单元之间的相关性。这样在制定安全策略时,可以在用户之间自动地进行复制,大大减少所需时间,还可以保证系统的统一安全。当系统实施策略发生改变时,全面的策略特性可以除去手工改变每个策略的麻烦。
从整体情况来看,一个标准企业的安全策略应该能够随着客户基础的增长,管理系统可以进行相应地进行有效升级。这其中包括有各种各样的策略描述。
一、什么是安全策略?
安全策略是一种处理安全问题的管理策略的描述。策略要能对某个安全主题进行描绘,探讨其必要性和重要性,解释清楚什么该做什么不该做。
安全策略应该简明,在生产效率和安全之间应该有一个好的平衡点,易于实现、易于理解。安全策略必须遵循三个基本概念:确定性、完整性和有效性。
另外,安全策略还可能包含一些表面上和上述三个安全概念风牛马不相及的地方。因为组织的整体安全是十分重要的,不能忽略小的方面而影响整体的安全。这包括对设备、数据、e-mail、Internet等的可接受的使用策略。
二、安全策略的设计与开发
安全策略的设计与开发是提高企业网络安全状态的第一步。一旦一个全面的安全策略定义好之后,你就可以通过一套机制去认真加以执行。
通过下面四个不同的步骤你可以完成一个企业范围内的安全策略,它们分别是:基本系统结构信息的收集、现有策略/流程的检查、对保护要求进行评估、文档设计。
1、基本系统结构信息的收集
基本系统结构的收集是指系统物理与逻辑结构检查的过程。
在检查过程中,你应该主要搜集系统硬件平台、操作系统、数据库管理系统、应用程序、网络类型/结构、连通性等数据信息。通过这些参数你可以对系统结构有一个较完全的了解,可以得到一份完全的功能级的系统图表和对所有主要硬件、软件资源功能的详尽描述。这些信息对开发安全策略是十分重要的。
2、现有策略/流程的检查
检查的主要目标对象为任何现存的与安全有关的策略、过程和对理解当前需求有帮助的指导纲要。可以这样说,现存的文档可以作为你的企业范围内安全策略的起点。
3、保护需求评估
为了实现保护需求的评估,你可以使用自动的风险评估工具来收集有关物理的、行政管理的和技术安全方面的信息。这些信息可以用来划分数据类型、存储位置,并且可以满足需求。在大多数情况下,用户并不知道什么数据需要被保护,也不想知道它们为什么需要被保护。这个过程需要进行广泛的调查和分析,从而决定数据如何存储,哪些数据允许哪些人访问。
4、文档设计
文档的设计必须要考虑你所已经搜集和分析的数据,在设计文档时也要听取用户的意见。设计过程就象一个迭代过程,你通常要生成一个草稿让用户来检查。第一次的草稿难免有些局限性,在和用户的交流中你可以对草稿做进一步的完善。虽然只是一个文档,但是它里面可能蕴涵了重要的安全机制,可以对你整个企业的安全起到防范作用。
一个好的安全策略文档在设计时应该把设计目的、相关文档的引用、企业背景、问题覆盖的范围及其应用的对象、职责划分、实施时间表、策略陈述等方面包含进去。
三、策略描述的分类
策略描述可以组合为不同的安全类型。
1、企业策略
企业策略要能够通过相关规则的实施对企业数据和实施过程进行保护。规则要符合所涉及的安全威胁、风险和信息价值。一个企业通常有不同的部门或商业单元组成,每个部门或单元应该负责规划好自己的安全策略。
当对企业的安全策略进行设计时,你必须要对存储在网络上的数据的安全性和潜在的威胁进行评估。在对威胁和冒险进行清晰地定义之后,你可以利用Windows2000或Novell的边界管理等特性对数据进行保护。
2、信息安全策略
这个概念是指所有主要信息财产应该有一个所有人。所有人把信息分为敏感级别或其它级别。级别的划分依靠合法的职责、费用、合作策略和企业需要。所有人有责任保护这些信息并且有权决定什么人有权对这些数据进行访问。
3、企业(数据)敏感级别
网络上不同类型的数据对不同的风险的脆弱性也是不同的。检查你的网络上的数据有助于你判断和数据相关的风险和寻求保护数据的措施。
分类系统常把信息分为四个级别。
A级:公共数据/非分类信息
公共数据是指那些能够自由使用的信息。比如一个公司网站上放置的信息。公共数据的完整性是非常重要的。许多公司把站点信息的完整性作为商务处理的基础。
对于A级信息,应该做到:不存储、不传输、不破坏。
B级: 内部数据
内部数据是指那些在组织正常工作中要用到的数据,例如市场调查或内部工作流程数据。内部数据要防止内部用户的意外修改,也不能暴露给外部用户。内部数据的破坏或丢失会给组织的正常工作带来很大的不便。
对于B级信息,应该做到:对信息进行分类,分类标准要记录在档;对于那些需要和外部人员合作的工程,工程策略文档信息需要和合作伙伴共享,原则上这些信息应该在公司内部安全保管。如果它需要在公共媒体上传输(如在internet上传送),应该先进行加密,然后再传送。
C级: 秘密信息
秘密信息是指那些象工资表那样的,对组织内部大多数用户来说应该保持其私有性。这类数据对于外部组织来说其价值不大,但它的暴露就会影响公司内部的运作和信任关系。秘密信息的访问经常限制于有限的有选择的用户,有权利改变秘密信息的用户应更少。如果此类信息被没有经过授权的人访问的话,它将会影响到公司的有效运作。数据的完整性也是很重要的,数据中心应当维护好该类数据的安全水平。
对于B级信息,应该做到:对其进行分类,IT系统当中易受病毒***的部分应当经常进行病毒扫描,系统的完整性应该受到严密的监视,IT系统应当进行有效的配置以防止对数据和程序进行非授权的更改。该类信息应保持在锁定状态下;密码不要通过纯文本文件和记录在纸上进行传输。这类信息应保存于公司内部。如果它必须通过象Internet这样的公共媒介进行传播的话,你采用的加密算法应该具有健壮性;信息不需要时应安全地销毁。你可以利用碎纸机销毁文档和破坏掉旧的磁盘与磁片。
D级: 机密信息/数据
机密数据是指隶属于公司组织机构的商业机密和其它各类知识信息。这些内部数据的泄露或丢失对公司来说损失是很巨大的,公司是无法接受这类事情的发生。因此我们要牢记一点,保持数据的完整性是重要的。要限制有权访问这些机密数据的人们的数目,要尽量把人数限制到最少。同时还要制定严格的规则来限制数据的使用。
对于D级信息,应该做到:对信息进行分类,分类方法记录在档,保存在存储介质(磁带、软盘、光盘等)上。IT系统易受到病毒的***,因此要养成定期查毒的习惯,系统的完整性要定期的监测。IT系统应配置的使数据和程序免受无权用户的恣意篡改。重要信息应以加密格式保存或存储到可移动的磁盘上;此类信息在安全区外传递一定要加密,加密算法要选择最强壮的;信息不在需要时要安全的删除,销毁或处置,不能因为数据为过时数据就随意放置。
总的来说,A级保护是指敏感度不太高的那些的数据,D级保护是指那些最重要的数据/处理过程。每级的执行都要依靠上一级保护的建立,例如:系统被确定为C级,那么系统就必须遵循A、B、C级保护的建设原则来建设,系统安全级别的制定是根据系统中最机密的数据的安全需要来划分的。
四、系统潜在威胁的鉴别
网络的威胁往往是从获得网络资源的访问权开始的。在***进入网络之后,***者可以通过读、复制、块连接、破坏数据等形式冒险地取得一些数据和服务。威胁可能最开始来自于内部用户,或其他外部来源用户。
内部***:内部***是指一个组织内部个体或小组的***行动。内部***所造成的结果是合法的用户试图非法地访问网络资源。内部***涉及到受限制数据的读取,数据偷窃和数据破坏。内部***更富有威胁性,因为***者享有一定的网络访问权限,更甚者还熟悉网络实施的一切安全举措。因此我们说内部***是企业最严重、最普遍的威胁。
个人***:个人***是指个人采用模仿或欺骗的手段获取访问网络的必要信息的行为。
个人***依靠的不是完全的技术手段,而是用邮件、电话、***工具等来欺骗网络用户,使网络用户把自己的秘密数据信息(如密码、个人资料等)泄露,***者就利用这些到手的信息来访问网络。
组织性***:这是指组织之间的行为,***的最终目的是为了获取机密数据来占据竞争优势。这些***者为了达到颠覆对方网络的目的,往往通过破坏数据或使用Dos***的手段。Dos***是用超过网络负载能力的信息流来使网络瘫痪。入口往往是企业的intranet和公网之间的不安全连接。
意外的安全事件:这是指授权用户无意中获得对受限资源的访问。这种情况下,用户可以无目的地读取或修改受限文件,修改其他用户的帐号,破坏数据和系统文件。因此对用户的权限要小心谨慎的管理,避免用户不合理的访问资源。
自动方式的计算机***:这些***使用专门用于破解密码或破解其它安全防范策略的软件来访问网络。***针对的是具体的计算机或组织,或是不停的在INTERNET上探察,寻找不安全的计算机。DDos(分布式拒绝访问***)就是自动***的一种形式。
五、信息安全依赖的关键因素
信息安全的成功执行依赖于很多因素。如安全对象和活动必须基于商业对象和商业需求,必须被商业管理层领导。当然还要得到最高管理层的支持和约束。对公司财产的安全风险和威胁要有深刻的了解,明确组织需要的安全级别。最终这些全面的安全策略的指导纲要标准要分发给所有的雇员。
1、个人安全策略
个人安全策略要防止用户不要进行"和朋友或亲戚共享帐号或密码,在系统密码文件上运行密码检查程序,运行sniffers程序(网络嗅探器),闯入别人的帐户,分化服务,滥用系统资源,乱用email,检查其他用户文件"等活动。他(她)们也不能复制未经许可的软件或允许其他的用户去复制未经许可的软件。
2、密码策略
用户名和密码一起构成了一个系统用户的身份。采取良好的个人密码策略是非常重要的。良好的密码内容应该是数字、大写字母,标点符号的混合,易于记忆,易于输入。
·不要通过E-MAIL传递或暴露密码,不要使用缺省密码。
·所有被设定好的缺省密码在系统使用前要进行更改。
·如果密码在系统上被泄露,要迅速进行密码更改。
·避免共享adminstrator和系统启动密码。
·密码应该存储于一个加密的表格当中,其中加密算法应该具有强壮性,以防受到***和破坏。
·密码在输入时每个字符要么显示为"*",要么不显示。
·一个用户不能从密码文件中读取到其他用户的加密密码。
·第一次登陆时应尽可能地改变密码
·尽可能使用自动密码产生机制去帮助用户设定密码。
·密码要经常进行检查。
3、E-mail的安全
用户将注意到方便易用的电子邮件系统也可能会给你带来很多麻烦。在许多方面,系统管理员能够读取所有的e-mail信息。B级数据一般在没有***的情况下在公司内部进行传输。C级数据应当加密。D级数据不能通过e-mail进行传输。仅有A级数据和信息可以通过E-MAIL传递给特许的外部公司。
4、Internet安全
Internet的冒险性主要有三个方面:秘密信息的暴露、来自Internet的***进入企业网络、信息可能会被删除或遭到修改。
一个特别的Internet策略是很有必要的,应该得到熟知与加强。系统过载时系统就会拒绝访问。
5、便携机
便携机会给旅途中的用户带来很大的方便。通过便携机用户可以方便地对企业网络信息进行访问。但他们也存在泄露信息、偷窃信息、访问非授权信息等危险。随着移动计算的人数上午一直增加,一个特殊的策略是非常必要的。
你应该让便携机用户明白以下几个问题:使用便携机所存在的冒险性;在办公软件,如WORD中的密码保护并不能防止******;移动硬盘放在口袋里可以使用户方便地保护一些关键信息,但另一方面,它也很容易泄露信息。
基于此,你可以采取下面所提供的一些安全策略:
便携机上的软件安装与维护要通过专业IT人员进行。
当应用UNIX或NT这样的操作系统时,一个正常的用户不能够对系统进行全面访问。
用户要对带到企业办公楼之外的便携机的安全负责。
安装活动病毒扫描器。
在公共运输工具上要把便携机保管好,以防泄密。
在非***的情况下,不要把C级数据传输到便携机上。
便携机不使用时,请关掉它。
在便携电脑上不要存储密码。因为它可能会连接到你的企业网络系统。
不要通过Internet、移动GSM、红外线这些不安全的网络进行C级数据传输。
和企业网的拨号连接要在网络接入策略中有详细的说明。
假如一个企业能够根据自己的具体情况,对本文所提到的安全策略、防护手段、安全措施、注意问题进行认真分析、仔细研究,做到"精心设计、明确分工、分步实施、责任到人、技术先行、管理到位",就一定能保护好企业数据和有价值信息的安全。
七成用单机版防毒 中小企业网络安全现状堪忧
千龙新闻网讯 小王是某公业的网管,近几天来一直是愁眉不展,原来公业内部局域网扩充之后,连网的电脑达到了近百台,网络病毒在内部局域网的疯狂流窜,即便将每台电脑的网线都拔下,也不能彻底查杀干净,病毒的肆虐传播造成网络堵塞,破坏系统文件使电脑不能正常工作。
网络的快速普及,越来越多的中小企业内部建立起了局域网,局域网虽建立起来但网络安全防范意识,却相当的薄弱,每当有恶性病毒大规模爆发时,每个企业的网管所面临的问题都和小王一样。据江民公司最新调查显示,在被调查的近千家企业中,约有百分之七十以上的中小企业是把单机版杀毒软件当作网络版使用,企业的网络安全防范意识非常的薄弱。 网络版和单机版最大的区别在于,网络版是针对局域网内部电脑的管理而设置了控制操作平台,供网管统一管理使用,而单机版是不具备管理功能的。并且,随着企业信息化进程的不断推进,网络环境日益复杂,面对不断对日益复杂的网络环境、日趋增强的病毒能力以及一些***程序和***程序的***,单机版根本就无法保证企业的网络安全。 如果采用单机版杀毒软件作网络版使用,企业用户将不能随时的了解每台机器的状况、病毒库是否有及时更新、防火墙有否打开等等,而若局域网中的一台机器感染到病毒,将会在很短的时间内传播开,严重的导致局域网瘫痪,更甚至可能使整个系统崩溃。而通过网络版杀毒软件,企业用户就可以轻松做到通过一台服务器管理整个区域网的机器,进而维护企业的网络安全。
据悉江民公司针对企业级用户最新推出的杀毒王网络版,在统一管理、查杀病毒、防******程序等方面,很好地解决了企业的网络安全问题,并且价位在市场上也具较强的竞争力。业内人士分析,江民杀毒王网络版的推出,表明了江民公司在企业发展上的重大转型,同时也将打破目前国内网络版市场现有的市场格局。
走出网络杀毒的误区
近几个月,通过网络传播的计算机新病毒层出不穷,并且名字也是越叫越好听,像爱虫、库尔尼科娃、裸妻、宝宝等,看起来可能是朋友发来的玩笑邮件,但一旦你把它打开,这下你的电脑就彻底完蛋了。资料显示,每一种计算机病毒发作的时候,都会造成数以百万计美元的损失,如果病毒传播面积广泛的话,那么全球经济都会受到影响。
网络在给人们带来方便的同时,也带来了苦恼。
前几天,记者参加了一个由一些传统企业组织的新经济研讨会,在会上与一位企业的老总交流时谈到了网络安全问题,学理工出身的他对计算机的了解只是一知半解,而对网关、节点、防火墙等词汇则是讳莫如深。他对记者说,为了节省费用,他们企业只买了几十套单机版杀毒软件,逐一安装到客户机和工作站上,并定期对每台机器进行病毒检测,同时定期在网上对杀毒软件进行升级,这样就构筑起了自己的信息安全防护体系,达到全网防治病毒的目的。他还介绍说他们地区的许多家企业都是采用这种办法防治病毒的。 听了他的这些话,记者不禁为他担心起来。因为在一个企业的局域网中,每一个节点都存在着安全隐患,如果大家都各自为营,各扫门前雪,而没有统一的杀防毒机制,这将给病毒带来更多的可乘之机,任何一点上的疏漏都势必导致整个网络受到病毒侵染。
记者在会后向一位网络安全专家讨教此问题时,他说造成这种情况的原因还在于,目前国内杀毒软件市场上,大部分网络版杀毒软件并未实现自身与单机版应有的差别。许多产品只是"服务器版+单机版"的简单组合,并不具备真正的网络防守实力,即并非真正意义上的"网络版"反病毒软件。他强调说,任何一家企业网络中的各个节点都应该享受绝对平等的防病毒待遇。因此,选择合适的网络版杀毒软件是企业建立自己的局域网后第一个应该考虑的问题,因为一旦企业受到网络病毒的***,那么企业承受的损失将是它节省出的那部分开支的数十倍,甚至数千倍。 专家向记者介绍道,公安部病毒防治中心对全球每种最新的病毒都进行了实时监控,因此按照由他们制定的"病毒防治产品评定标准"评选出来的杀毒产品还是值得推荐的,企业应该从中选择合适的产品以加强对自身的保卫,千万不要再干"丢西瓜捡芝麻"的傻事了。
转载于:https://blog.51cto.com/fbi13/11509
扫一扫
3847
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
