【企业安全】软硬兼施打造中小制造企业信息安全策略.pdfVIP

“硬”“软”兼施打造中小制造企业信息安全 褚四斌 摘要：随着信息化越来越广泛地在中小制造企业中的应用，信息安全对于中小制造企业来说也 显得越来越重要。中小制造企业在信息安全方面的总体投入，无法同大型企业相提并论，这就 更加要求中小制造企业结合企业自身的实际情况，从有限的技术投入和技术手段来限制- “硬”， 以及企业的制度、培训以及检查落实等来保证- “软”等两个方面，双管齐下打造企业信息安全 管理方案。 关键词：中小制造企业；网络；安全策略 随着全球经济一体化的快速推进，互联网的快速发展为人与人之间的交流与协作搭建了平 台，信息的运用也将直接关系到企业的成败。 ERP 、CRM 等管理信息系统的广泛推广应用，将网络在企业中的应用变成为一种必然的趋 势，企业里面的计算机从此也开始逐步走向世界。这不仅开创了沟通与交易的新模式，同时也 为居心不良者提供了窃取他们的信息资料、传播网络病毒以及破坏他人的电脑系统提供了可趁 之机。 信息安全虽然不仅仅是技术的问题，但信息安全的管理是建立在技术的基础之上的。要想 保持安全的领先性，需要技术上的优势，自然也需要大量的资金投入。中小制造企业本身对于 整个信息建设投入不足的前提下，无法与世界500 强的大型企业的投入相比，也因此往往要落 后于世界500 强的外资企业。 中小制造企业要在有限的技术投入的前提下，要做到企业信息安全的建设与管理。需要做 到“软”“硬”兼施，齐抓共管打造企业信息安全策略，从而在最大程度上确保企业的信息安全。 “硬”“软”兼施，并非从软件与硬件的着手，所谓“硬”是强制性的技术措施，而“软” 是指柔性的管理措施，如表1。 措施 具体内容 硬 技术措施：用户访问策略、防火墙、防病毒以及备份与恢复等 软 管理措施：安全制度、保密协议、加强教育提高意识等 表 1 信息安全策略“硬”“软”措施 1 “硬”- 技术安全措施 技术安全是根据企业的实际情况和部门的要求定出的安全策略的基础之上，通过技术的手 段安装与设置。安装设置后，计算机系统会自动强制执行，“硬”主要表现在技术安全措施的强 制性。本文以Windows 操作系统为例，根据中小制造企业信息应用水平，其技术安全措施主要 表现在以下几个方面。 1.1 用户访问策略 用户访问权限的管理是最基本也是最有效的内部信息安全措施，通过Windows Server 2003 建立企业局域网的Active Directory （活动目录）。将企业不同部门或不同内容的数据进行分组， 然后按后针对计算机用户工作的实际情况划分到不同的组别中。利用访问控制列表服务对用户 的文档访问权限进行管理，把用户授权与账号安全中的用户认证技术集成在一起。 第 1 页 共 3 页 对于管理应用系统的访问控制，需要做到数据库的按层次设置的安全保密措施和用户模块 的正确授权，确保应用系统中的用户只能访问与自己业务相关的模块。 确保信息让工作需要并取得授权的人能正常访问，用来实现“什么人，在什么条件下对什 么对象，有什么工作职能权限”，特别是对于公司的商业文档、客户资料、销售数据、专利技术、 图纸等商业机密在有限的合法的范围内使用，从而从内部的源头上尽可能保证信息的安全。 另一方面，通用利用Windows Server 2003 的Group Policy （组策略）工具来设置特定的功 能。如禁止普通用户自行安装并运行非法软件、使用QQ、MSN 等即时通讯工具、USB 设备等。 1.2 防火墙与防病毒 防火墙是企业内部用户与外部互联网连联的临界点，它不仅控制着内部网络访问外部的策 略，同时也会直到对于外部访问内部网络的防护作用。面对网络层次不穷的最新病毒，防病毒 系统是网络应用最基本的防御体系，它涉及到每一个桌面终端电脑的基本安全问题。下面以某 中小制造企业通过部署ISA 2006 防火墙和赛门铁克防病毒系统为例。 图1 某中小制造企业网络拓扑图 在内部网的唯一出口处部署ISA Server 2006 防火墙系统，并通过防火墙作为使用互联网的 代理。然后通过ISA 的策略，来设置不同的出站通讯协