网管晒经验:浅谈企业内网安全规划方向网管

2010-09-10    来源:CBSi中国·ZOL    
引言:计算机面向大众的短短40余年里。世界经济,科技等各项指标迅速发展。而专业人才的培养则相对缓慢。使得稳定,安全等问题相继出现并日益严重。在不断复杂的应用平台,日

  引言:计算机面向大众的短短40余年里。世界经济,科技等各项指标迅速发展。而专业人才的培养则相对缓慢。使得稳定,安全等问题相继出现并日益严重。在不断复杂的应用平台,日益丰富的终端需求和高效稳定的工作环境要求下,技术人员应当把握怎样的原则和方法?

  欲善其事,先利其器

  计算机和网络的安全问题不断加重,安全人员唯有谨慎再三,做好基本的安全流程,吸收和应用各类产品最新的解决方案后。及时了解工作环境和终端需求,定制基于本地和网络的防护软体并制定适合的策略;调配系统和用户的权限问题;备份和加密重要的数据资料;建立健全的硬件,系统,网络的监控措施。同时要掌握文件体系中的ROOTKIT,数据流;注册表体系中的HIVE等流行且难以解决的安全隐患。重视工作中经常出现问题和重复的环节,如GHO文件会被病毒感染,我们就要考虑要考虑更安全的备份软体;终端用户权限频繁而重复的更改,就可以借助权限更加透明的管理平台。在这里向大家推荐一款笔者正在使用的企业级内网安全防护平台并对其功能,效果和特点做简单介绍。

  兵来将挡,水来土掩

  虹安可信网络综合防御平台的功能,可以对任何系统对象和操作进行加密和授权,以内核级的加密方式和USBKEY+WINDOWS口令的双重认证保证了数据的绝对安全。加密后的情况类似WINDOWS的EFS,不会影响已授权用户的正常使用;网络监控模块除了常规的网络行为审计和分析,网页和邮件的监控外,加入了IM的监控,这是一个很实用的功能;需要强调的是终端管理控制和内部信息管理两大模块,前者对终端用户的桌面,行为的监控确定到了对象的操作和网卡行为分析,非常细致;后者将管理的内容划分为内部信息,用户信息,资产信息和网络信息,内容全面,操作也比较简单。软件基于微软组件对象模型,并开放了丰富的COM接口和SDK包,兼容性和扩展性很强。现在支持的版本有WINDOWS和LINUX。其功能,效果和可扩展性可解决安全人员的大多数问题,也可以满足大部分企业现今和长远的需求。

  物尽其用,人尽其能

  无论从企业管理者对资金的投入和回报来看,还是网络安全人员对有效,高效的行为的重视,都应该对网络防护软体和其他相关工具的功能和应用面深度挖掘利用。让我们来看一下虹安网络防护平台使用中可能遇到的一些问题。一家证券融资公司,机器上储存了大量项目和客户资料。由于更新速度快,更新量大,难以做好备份;而员工又需要频繁使用外部设备与计算机交换信息,产生的AUTO类病毒经常破坏数据,造成非预估损失。其中二个根本问题是,备份能否安全自动及外部设备能否有效控制。我们打开虹安网络防护平台,找到数据备份恢复模块,定义上备份时间或周期,选择适合的加密算法,并在日志审计中加入对备份任务的监控。然后对所有感染AUTO病毒的机器查杀一遍,在策略管理中定义可使用外部设备的机器,并对必须使用的外部设备进行注册。至此,问题解决。

  查遗补“漏”,相辅相成

  不得不提到的是在虹安产品族中,虹安DLP数据泄露防护系统对于内网数据安全的强大防护作用。虹安DLP数据泄密防护系统整合端点控制技术,有效防止任何状态(使用、传输、存储)的内部资料和智慧资产泄漏。针对数据存在的三种状态,虹安DLP数据泄露防护系统可进行‘三位一体’全方位防护,其中‘三位’分别为数据使用状态(类似打印、粘贴等)、数据存储状态(类似通过U盘、硬盘等进行数据存储)以及数据传输状态(类似通过QQ、E-mail等传输数据文件)三种数据状态。‘一体’即为虹安DLP产品,采用的是内核级加密技术和端点控制技术,能够在数据和文件使用时便对其进行自动加密,确保以任何非法方式泄漏的数据和文件均是密文;同时能够有效防止数据和文件通过任何非法操作和传输路径(如:截屏和另存、共享和外设、邮件和移动存储设备)等方式泄漏,让企业数据在存储、使用、传输的生命周期全过程都处于严密保护之中。也有专家指出,可信防御平台与DLP系统的统一结合是未来企业内网安全的发展趋势,将有力的解决企业在内网安全存在的各种隐患。

  小结:网络安全人员在把握大体的工作原则的方法的情况下,应该不断接受主流的网络安全信息,配合使用适合公司环境的安全软体,才可能面对复杂的网络形式。更加简单有效的完成和完善工作内容。

1
3