浅议保护企业网络信息安全常用措施.docVIP

浅议保护企业网络信息安全常用措施 　　摘 要：随着信息化时代的迅猛发展，企业信息化网络建设规模和稳定性成为当前各类企业面临的共同问题，例如防病毒、防攻击、带宽管理、行为控制等各方面。由于很多网络协议在设计时存在的漏洞或协议本身不完善的地方已无法更改，所以企业网络管理员除掌握防火墙、路由交换设备的使用和安全配置外还必须掌握各种个人及企业信息常见保护措施，本文就结合目前大中型企业常见信息安全防范措施加以整理进行简要阐述。 关键词：信息安全；加密；活动目录；入侵检测 中图分类号：TP393.08 1 个人信息安全保护措施 由于个人台式或便携式电脑的丢失难以避免，因此企业必须积极做好个人电脑的信息安全工作，因为大中型企业数据量大且较分散，数据的丢失会直接关系到企业的运行安全和效益，特别是一些机密文件或数据的丢失会给企业造成难以挽回的损失。这就要求企业网络管理员和员工除了要有一定的数据安全意识，还要积极采用必要的防范措施，目前保护个人电脑的安全措施主要包括： （1）采用强身份认证系统，例如指纹或USB Key等。采用指纹验证是最安全的，能够确保特定人登录特定电脑，比如惠普公司出品的高端笔记本电脑很多都带有指纹识别功能。USB Key是一种近年来发展和利用最广泛的身份认证系统，很多认证设备都采用通用USB接口接入电脑。其中内置的智能卡芯片，用来存储用户的私钥或数字证书，且用户在开启电脑时会通过输入自己设置的密码调用保存在USB Key中的私钥，再利用企业身份认证系统内置的公钥算法实现对用户身份的安全验证，只有验证通过的用户才能使用电脑。由于特定公钥和私钥是世界上唯一的一对。采用这种办法，即使用户丢失电脑或丢失USB Key，非法获得电脑的人都由于无法获取私钥而无法登录电脑，因此保证了用户个人电脑的安全性。 （2）采用文件加密软件保护用户文件。例如现在比较流行的加密软件“文件夹加密超级大师”就能够保护企业大部分数据不被非法窃取。 企业员工可以使用类似比较成熟的加密软件可以实现文件夹闪电加密和隐藏加密，且加密后防止复制、拷贝和删除，并且不受系统影响，即使重装、Ghost还原、DOS或安全模式下，加密的文件夹依然保持加密状态。文件夹加密使用国际上成熟的加密算法将文件夹内的数据加密成不可识别的密文，所以加密强度相当高，没有密码绝对无法解密。 除此之外还具有文件加密后的临时解密功能，解密文件时需要输入正确密码再打开。使用完毕后，自动恢复到加密状态，无需再次加密。 2 移动设备安全保护措施 企业病毒有很大一部分来自于利用移动存储介质的传播。很多病毒可以通过微软操作系统的自动播放功能和“映像挟持”等技术执行移动存储介质中的病毒等程序，感染用户的个人电脑，并且具有较强的隐蔽性和自身复制传播能力。同时部分病毒还具有关闭杀毒软件进程，远程下载木马等一系列功能，严重威胁信息系统安全。同时移动存储介质和便携式电脑一样，也存在容易丢失的问题。 针对以上问题我们可以采取以下措施保护移动设备信息安全： （1）制定有效的移动存储介质防病毒策略。通过组策略禁用自动播放功能、安装自动扫描移动介质的防病毒产品等技术手段，排除病毒隐患。 （2）对移动存储介质进行分级保护。根据不同的保密需求制定各个实体之间的访问规则，增加密级标识和基于主客体密级标识的访问控制等管理功能。只允许授权用户对加密后的文件和目录进行读、写和修改等操作，防止未授权用户使用涉密存储介质获取敏感信息。 （3）不断完善技术保密的措施。采用芯片加密、USB KEY等加密存储技术，对涉密存储介质内信息进行加密认证，从技术上确保移动存储介质的信息安全。即使设备被窃取，也无法轻易获取加密信息。 3 合理规划集中管理企业共享信息 企业共享信息的安全是企业网络运营的永恒话题，在大中型企业中通常采用集中式账号管理办法，在Windows环境中采用活动目录技术，在Linux环境中采用NIS服务器进行账号登录、信息访问等的集中管理，弥补了Windows系统工作组模式下的文件访问零散且难以管理的问题。 在Windows系统中我们可以利用活动目录技术将企业信息集中化。在活动目录环境中采用域管理模式、将整个企业信息作为一个整体资源集中管理，企业账户和数据都作为对象存放到活动目录域控制器中。对于企业账号管理方面，可以为每位员工指定一个唯一的域帐号，通过此账号可以使用户在世界任何地方登录到企业域环境并访问域资源。同时还可以将用户账号加入活动目录技术中特有的若干个不同功能的用户组，包括域中全局组、本地组、通用组，方便用户充分利用组特性实现访问安全性和有效性。 我们以Windows Server 2003活动目录使用为例，在域控制器的上设