[第180期]我在51CTO的提問：如何做好企業(yè)信息安全管理

149banzhang

發(fā)表于 2010-10-15 14:08:51

第 5 樓

窗體頂端

李工：您好，很高興能在51CTO與您交流，我想向你咨詢以下問題：

1：（網(wǎng)絡(luò)架構(gòu)安全問題）現(xiàn)在一般小到中型企業(yè)一般都是這樣的網(wǎng)絡(luò)拓撲：路由器---防火墻--交換機（包括三層和二層交換機），在這樣的拓撲環(huán)境下，怎樣保護企業(yè)內(nèi)部網(wǎng)絡(luò)安全，應(yīng)該注意哪些安全問題，在這樣的拓撲環(huán)境下，可能會發(fā)生哪些內(nèi)部信息安全問題？

2：（關(guān)鍵服務(wù)器安全問題）眾所周知，企業(yè)的內(nèi)部文件有很多是很重要的，內(nèi)部文件服務(wù)器除了做好防毒，訪問權(quán)限控制，重要資料及時備份，以及服務(wù)器熱備，文件資料管理，以及端口的一些控制和訪問服務(wù)器控制，根據(jù)你的個人經(jīng)驗，您覺得還需要注意哪些問題，以保證內(nèi)部關(guān)鍵服務(wù)器的安全。

3：（局域網(wǎng)安全管理問題）因特網(wǎng)存在很多不安全因素，是否有必要內(nèi)部用上網(wǎng)行為管理器，以保證內(nèi)部信息安全以及局域網(wǎng)安全，你覺得除了這樣的措施，是否還有其它比較好的措施。

4：（網(wǎng)絡(luò)管理模式）現(xiàn)在的一般企業(yè)都有60-90臺左右，根據(jù)微軟的說法：工作組模式適合10臺以下的機器架構(gòu)，20臺以上，就用AD架構(gòu)了，這樣能最大限度保證局域網(wǎng)控制和安全，但現(xiàn)實情況是，我看到好多公司60-90臺電腦仍然是使用工作組模式，而且使用也挺正常的，您覺得多少電腦適合用AD布置網(wǎng)絡(luò)，以保證網(wǎng)絡(luò)安全，如果是用AD模式布置網(wǎng)絡(luò)，又該主要注意哪些方面？比如一些關(guān)鍵服務(wù)器是否要加入域，客戶端加入域后應(yīng)該給與哪些權(quán)限。

5：（其它內(nèi)部網(wǎng)絡(luò)安全問題）根據(jù)老師你的經(jīng)驗，您覺得一般中型到大型公司網(wǎng)絡(luò)網(wǎng)絡(luò)信息安全還有要注意哪些方面？

以上這些問題，很希望您回答，謝謝，謝謝你在百忙之中抽空解答我們的問題！

?我也想問(2)??埋起來(0)?編輯?

李洋

這位網(wǎng)友的問題問得非常實際，我來一一為你解答：

（1）你說的這樣一個網(wǎng)絡(luò)拓撲，其實比較完整的建議為：路由器-防火墻-IDS/IPS-交換機。當(dāng)然，還可以將防火墻+IDS/IPS替換為UTM或者安全網(wǎng)管。如果你們內(nèi)部網(wǎng)絡(luò)需要提供遠程訪問的話，還需要部署×××設(shè)備。內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險來自于兩個方面：由外到內(nèi)的和內(nèi)部產(chǎn)生的。由外到內(nèi)的從技術(shù)原理上有可以分為來自網(wǎng)絡(luò)層和來自應(yīng)用層的。包括DoS、DDoS、垃圾郵件、phishing、spyware、botnet等等。這些都可以使用防火墻+IDS/IPS、UTM或者安全網(wǎng)關(guān)來解決。至于內(nèi)部網(wǎng)絡(luò)的安全問題就更大了，這也是現(xiàn)在企業(yè)信息安全管理最容易忽略但是又是最重要的一點。存在的安全問題包括：系統(tǒng)密碼泄露、弱密碼設(shè)定、權(quán)限濫用、敏感數(shù)據(jù)/文件泄露、移動設(shè)備濫用導(dǎo)致的數(shù)據(jù)泄露、內(nèi)部無線網(wǎng)絡(luò)安全問題等等。這些都需要通過密碼管理、加密技術(shù)以及使用一些DLP（數(shù)據(jù)泄露防護）技術(shù)及其產(chǎn)品來進行解決。

?

（2）至于關(guān)鍵服務(wù)器的安全問題，以我個人的經(jīng)驗，依據(jù)網(wǎng)絡(luò)安全領(lǐng)域最為流行的4A（認證Authentication、賬號Account、授權(quán)Authorization、審計Audit）、P2DR模型（策略Policy、保護Protection、監(jiān)測Detection、反應(yīng)Response）及ISO等主流標(biāo)準(zhǔn)的要求，應(yīng)該從如下幾大方面進行考慮：

·???????????????????????????????? 帳號管理：服務(wù)器的用戶及其密碼管理需要采用強密碼，并進行嚴(yán)格管理；

·???????????????????????????????? 用戶認證：合理劃分用戶使用服務(wù)器的權(quán)限，防止權(quán)限濫用；

·???????????????????????????????? 加密存儲和傳輸：保證服務(wù)器中數(shù)據(jù)及其傳輸?shù)耐暾院涂煽啃?#xff1b;

·???????????????????????????????? 做好日志管理，方便審計和追蹤：強大的日志記錄，能夠保證適時的審計和追蹤，使得服務(wù)器安全保障更加有力；

·???????????????????????????????? 備份和災(zāi)難恢復(fù)：能夠保證服務(wù)器中系統(tǒng)和數(shù)據(jù)的完整性和不間斷地業(yè)務(wù)運行；

·???????????????????????????????? 自我漏洞挖掘及防護：能夠周期性、自發(fā)地對服務(wù)器及其運行系統(tǒng)的漏洞進行自我挖掘，并根據(jù)挖掘的漏洞通過各種安全機制和補丁等方式進行防護，以有效地避免“零日***”等。

·???????????????????????????????? 做好DLP：保證服務(wù)器的關(guān)鍵數(shù)據(jù)不泄露和被惡意的濫用。

?

（3）確實需要引入一些上網(wǎng)行為管理的措施來約束內(nèi)部用戶的行為。比如：P2P軟件使用管理、IM即時通訊軟件管理、web Surfing管理以及郵件管理等等，當(dāng)然，還別忘了我在第2個問題里面提到的，DLP措施，這樣可以大大地減少在Internet環(huán)境下用戶有意或者無意地泄露公司的機密文檔和信息。另外，還要做好數(shù)據(jù)的本地/異地備份工作，災(zāi)難和***總是難免的，這樣可以提高你們公司業(yè)務(wù)系統(tǒng)的應(yīng)對災(zāi)難的能力。

?

（4）關(guān)于AD的使用和權(quán)限設(shè)置問題，我是這樣看的：首先，其實多少用戶使用AD或者使用工作組模式，都沒有一個具體的參數(shù)來約束企業(yè)用戶，微軟也只是建議而已。AD的設(shè)置也不能代表安全，它只是一個用戶信息的管理模式而已，可以輔助（注意，只是輔助）我們做一些安全措施和業(yè)務(wù)。比如，設(shè)置了AD后，可以方便地實現(xiàn)與Exchange、OCS、SP等的集成，可以引入一些針對郵件和即時通訊的安全機制（如forefront等）。并不是說，沒有AD就不安全。至于數(shù)量方面，我建議50個用戶以上可以考慮實現(xiàn)，這樣可以更加方便地集成一些其他的軟件設(shè)施。其次，至于權(quán)限設(shè)置問題，就要看你們公司是怎么規(guī)定用戶對于服務(wù)器的訪問角色了，這就根具體的應(yīng)用場景相關(guān)了。有的是文件共享用戶、有的是備份管理員、有的是DB管理員等等，但原則是在設(shè)置的時候做到業(yè)務(wù)和數(shù)據(jù)管理權(quán)限的分離，最基本的就是數(shù)據(jù)庫管理員和應(yīng)用系統(tǒng)管理員分離，和操作系統(tǒng)管理員分離，等等。

?

（5）根據(jù)我的經(jīng)驗，中大型企業(yè)網(wǎng)絡(luò)信息安全應(yīng)該統(tǒng)籌管理，做到?jīng)]有信息安全管理的死角存在為最佳，具體可分為：物理安全、數(shù)據(jù)安全、運行安全和管理安全幾個層面，每個層面都有相關(guān)的標(biāo)準(zhǔn)參考，以及需要為其配備一定的安全技術(shù)來為企業(yè)進行具體實施。限于篇幅的關(guān)系，這里不好展開。你有興趣的話可以多多關(guān)注我的博客，我將會在博客以及后續(xù)安全著作里面對這個問題進行詳細介紹。

?

轉(zhuǎn)載于:https://blog.51cto.com/149banzhang/407752

總結(jié)

以上是生活随笔為你收集整理的[第180期]我在51CTO的提问：如何做好企业信息安全管理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。