进一步提升企业信息安全水平探讨.docVIP

进一步提升企业信息安全水平探讨 　　摘 要 近年来，随着国内企业对信息安全的愈发重视和对信息安全方面的投入与建设，企业的信息安全水平基本都已到达到了一定的高度。本文从企业的网络安全和终端安全角度入手，分析企业实施内外网物理隔离和部署桌面终端管理系统对提升信息安全水平的作用，探讨企业在进一步提升信息安全水平方面的可以借鉴或采取的措施。 　　关键词 提升；企业；信息安全；物理隔离；桌面终端管理系统 　　中图分类号TP39 文献标识码A 文章编号 1674-6708（2014）118-00235-02 　　近年来，随着国内企业对信息安全的愈发重视和对信息安全方面的投入与建设，企业的信息安全水平基本都已达到了一定的高度，特别是所谓的信息安全“老三样”――防火墙、入侵检测系统、防病毒软件的普及，在一定阶段内对企业网络基础构架的信息安全防护方面起到了至关重要的作用。然而，随着时代的发展，以及信息安全形势的日趋严峻，在信息安全方面原地踏步、“以不变应万变”的策略显然会让企业在信息安全防护方面显得力不从心、捉襟见肘。对大量企业来说，亟需在原先的基础上，采取必要的措施和策略，进一步提升企业的信息安全水平。下面笔者就从企业的网络安全和终端安全角度入手，分析企业实施内外网物理隔离和部署桌面终端管理系统对提升信息安全水平的作用，探讨企业在进一步提升信息安全水平方面的可以借鉴或采取的措施。 　　1 实施内外网物理隔离 　　所谓“内外网物理隔离”，是指企业自己的内部办公网络（以下简称“内网”），与互联网（以下简称“外网”）在物理链路上不进行任何形式的连接，内外网以两个各自独立的网络运行。 　　对于绝大多数企业来说，目前网络安全的最大威胁均来自互联网。互联网上泛滥且种类层出不穷的病毒、木马、攻击、渗透等各种威胁，无不让各个企业疲于应付。而且，目前信息安全软硬件产品的主要防御检测手段，很大程度上依赖于必须不断升级的病毒库、攻击特征码、补丁等，这种模式从先天上就决定了各种防御检测手段上永远落后于各种威胁的产生。因此，信息安全设备在防御来自互联网的最新威胁方面，总是处于被动的局面，自然也就很难达到非常理想的效果。 　　而进行内外网物理隔离，则是从根源上斩断了来自互联网的各种威胁。由于内外网相互独立，不存在任何连接，自然也不可能存在有任何互联网方面的威胁，这就从非常大的程度上保障了企业内部系统、数据和网络的稳定性和安全性。 　　2 部署桌面终端管理系统 　　桌面终端计算机的日常管理，是企业另一大难题。由于企业内部员工的信息安全意识和计算机水平参差不齐，仅仅靠一些规章制度的约束和员工的自觉性不但难达到很好的效果，而且很难进行监管，难以及时发现安全隐患或问题，无法在第一时间进行处理。而在桌面终端统一部署桌面终端管理系统（以下简称“桌管系统”），可以非常好地解决桌面终端管理与监控的难题。目前市面上优秀的桌管系统产品比较多，已经比较成熟，而实现的功能大同小异，对于进一步提升企业信息安全水平而言，主要在以下几个方面： 　　1）监控内网计算机违规连接外网 　　上文提到的网络实施了内外网物理隔离，内网计算机就无法访问互联网，而如果有不自觉的员工私自将内网计算机连接互联网，将可能导致敏感数据外泄和引入病毒木马等，带来较大的安全隐患，要如何杜绝和监控此类现象呢？目前的桌管系统产品提供了非常好的监控和管理手段，可以实时监测安装了桌管系统的计算机是否连接了外网，一旦监测到连接了外网，会自动将计算机网卡禁用，实现断网的效果，且无法自行启用网卡。而用户一旦又将连接过外网的计算机接回内网，就会将相关报警消息上传至服务器，提醒管理员进行处理。由于此类产品监测内网计算机违规连接外网的效率非常高，通常在一分钟不到甚至几秒钟之内就完成监测并断网，因此能收到非常好的效果。再结合企业制定的相关规章制度对员工进行考核，在运行一段时间后，一般较少出现员工抱着侥幸心理铤而走险进行此类尝试的情况，从很大程度大提升了网络的安全性。监控计算机用户弱口令 　　在一个未加以管理的计算机网络里，计算机用户弱口令甚至空口令的比例是非常之大的，毕竟便利性和安全性永远是互相矛盾的，单纯从方便的角度来说，用户都不想给自己用的计算机设置一个很长很难记忆的密码，这就又带来了一个较大的安全隐患。而一旦部署了桌管系统，可以启用计算机用户弱口令检测策略，只要是该计算机中没有被禁用的用户，都必须达到要求的密码强度，否则就会产生告警。比如可以统一制定并推送要求用户密码强度都要达到8位以上、有数字字母和特殊符号的组合，且计算机空闲若干分钟后屏保启用密码的策略。这样一来，就很大程度上解决企业内部计算机被他人盗用之类的安全问题。 　　2）监控内网计算机文件外拷 　　一般而言，企业重要、敏感的数据和文件都集中在企