网络信息安全的建设没有统一的定式,受企业的地理环境、人文环境、对应用系统的使用程度和依赖程度、网络和软硬件等基础设施状况以及企业领导的重视程度和经费预算等因素的影响。作者总结多年来建设网络信息安全的经验,提出下列一些指导性原则:
(1)没有绝对的安全,过分强调安全则反而使网络信息系统的可用性和便捷性降低。
(2)网络信息系统安全的建设是一个复杂的系统工程,受各种条件的限制,不可能一步到位,建设过程中要分清轻重缓急。不要轻信供货商所谓的“完整解决方案”。
(3)“三分技术,七分管理”的思想基本上是符合实际的,必须制定和实施可行、有力的网络信息安全管理制度。除了内部的管理制度和采用合适的技术外,也不要忘了可以使用法律武器来保卫网络信息安全。
(4)不要迷信网络信息安全的“木桶原理”,它有一个假设前提就是影响网络信息安全的所有因素等概率发生。但这是不可能的,所以应该评估影响企业网络信息安全的各个因素发生的概率及其破坏的程度,以此来决定应该先做什么,后做什么。
(5)网络的体系结构安全是很容易实现的,但也是经常犯的一个错误。
(6)物理安全的内容很多,要依据企业的环境和经费预算,特别是要对物理安全的各个因素进行评估后,再拟定计划进行建设。
(7)UPS电源的使用能够保证企业关键应用不受到供电影响,核心机房空调恒温以及防盗、防鼠、防水是必需的,配线间通风、防尘、防高温也是必需的。
(8)在建设网络之前应该慎重选用网络产品,不要被各厂家网络产品大量的宣传迷惑,各网络产品除了具有很多共性外,也存在不少的特性。选用网络产品时主要应注意如下一些内容:
- 接入级交换转发速率、VLAN支持、远程管理等功能是必需的。此外,需要接入级交换机支持IP地址和MAC地址的绑定,支持基于端口号和基于IP地址的ACL设置,支持日志实时记录到计算机硬盘上。
- 核心交换机必须支持VLAN间通信限制策略的灵活定义,支持DHCP的长期租赁期(比如一年),支持VLAN流量的监测,支持IP地址和MAC地址的绑定,支持基于端口号和基于IP地址的ACL设置,支持日志实时记录到计算机硬盘上;核心交换机的热备份问题,有的是采用双主控板互为备份、双交换板互为备份,有的直接使用两台独立的交换机互为备份,不管哪种方式,从主机切换到备机的时间是一个值得关注的参数。
- 防火墙和路由器必须支持NAT,支持L2TP协议和IPSEC协议的VPN,支持数据的分流,支持日志实时记录到计算机硬盘上,支持扩展的ACL。
(9)操作系统的自动升级必须有很好的解决办法,可以在操作系统上配置成自动升级方式,也可以采用第三方软件来分发升级程序,如微软的SMS或者SUS。
(10)必须随时关注数据库管理系统和应用系统的升级信息,必要时进行系统升级。
(11)企业版网络杀毒软件是必须的,杀毒软件应该具备杀毒、防火墙、入侵检测等功能,应该能够检测和杀死木马程序。
(12)防火墙、入侵检测硬件网络产品是必须的,入侵检测产品应该是旁路接入的,可以与防火墙联动,或者直接采用入侵防护系统。
(13)最好使用信息安全审计系统,它可以实现信息活动跟踪与记录。
(14)网管软件是必须的,它应该支持所有可以远程管理的网络设备历史流量的记录,网络设备日志的记录,此外还应该方便网络设备的各种配置和管理。
(15)数据库的备份是必需的,有条件的话可考虑异地备份。
(16)网络和信息安全管理是一个持续改进的过程,要不断地发现问题、解决问题,不断提高安全性。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
三大变革 新版《IDC资讯大全》重装上阵
三网融合试点首批12座城市公布以来,据深圳市试点方案预计,三年内三网融合相关产业规模将达到3000亿元,IDC产业将迎来新的发展机遇和获得更多的关注。
-
企业理念:浅谈计算机网络安全六大指标
通俗地说,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在以下几个方面。
-
面对企业网络安全压力 CIO有诀窍
对于大多数企业而言,网络安全并不是他们的核心竞争力;但作为一个信息化的企业,在日常的在线商务过程中,网络信息安全却是不容忽视的。
-
网络信息安全建设实例
本文以一个有两个分公司的集团性质的公司(分公司通过VPN方式与集团公司本部连接)建设信息安全网络为例,介绍了企业在网络信息安全方面应采取的措施。