[第180期]我在51CTO的提問：如何做好企業信息安全管理

149banzhang

發表于 2010-10-15 14:08:51

第 5 樓

窗體頂端

李工：您好，很高興能在51CTO與您交流，我想向你咨詢以下問題：

1：（網絡架構安全問題）現在一般小到中型企業一般都是這樣的網絡拓撲：路由器---防火墻--交換機（包括三層和二層交換機），在這樣的拓撲環境下，怎樣保護企業內部網絡安全，應該注意哪些安全問題，在這樣的拓撲環境下，可能會發生哪些內部信息安全問題？

2：（關鍵服務器安全問題）眾所周知，企業的內部文件有很多是很重要的，內部文件服務器除了做好防毒，訪問權限控制，重要資料及時備份，以及服務器熱備，文件資料管理，以及端口的一些控制和訪問服務器控制，根據你的個人經驗，您覺得還需要注意哪些問題，以保證內部關鍵服務器的安全。

3：（局域網安全管理問題）因特網存在很多不安全因素，是否有必要內部用上網行為管理器，以保證內部信息安全以及局域網安全，你覺得除了這樣的措施，是否還有其它比較好的措施。

4：（網絡管理模式）現在的一般企業都有60-90臺左右，根據微軟的說法：工作組模式適合10臺以下的機器架構，20臺以上，就用AD架構了，這樣能最大限度保證局域網控制和安全，但現實情況是，我看到好多公司60-90臺電腦仍然是使用工作組模式，而且使用也挺正常的，您覺得多少電腦適合用AD布置網絡，以保證網絡安全，如果是用AD模式布置網絡，又該主要注意哪些方面？比如一些關鍵服務器是否要加入域，客戶端加入域后應該給與哪些權限。

5：（其它內部網絡安全問題）根據老師你的經驗，您覺得一般中型到大型公司網絡網絡信息安全還有要注意哪些方面？

以上這些問題，很希望您回答，謝謝，謝謝你在百忙之中抽空解答我們的問題！

?我也想問(2)??埋起來(0)?編輯?

李洋

這位網友的問題問得非常實際，我來一一為你解答：

（1）你說的這樣一個網絡拓撲，其實比較完整的建議為：路由器-防火墻-IDS/IPS-交換機。當然，還可以將防火墻+IDS/IPS替換為UTM或者安全網管。如果你們內部網絡需要提供遠程訪問的話，還需要部署×××設備。內部網絡的安全風險來自于兩個方面：由外到內的和內部產生的。由外到內的從技術原理上有可以分為來自網絡層和來自應用層的。包括DoS、DDoS、垃圾郵件、phishing、spyware、botnet等等。這些都可以使用防火墻+IDS/IPS、UTM或者安全網關來解決。至于內部網絡的安全問題就更大了，這也是現在企業信息安全管理最容易忽略但是又是最重要的一點。存在的安全問題包括：系統密碼泄露、弱密碼設定、權限濫用、敏感數據/文件泄露、移動設備濫用導致的數據泄露、內部無線網絡安全問題等等。這些都需要通過密碼管理、加密技術以及使用一些DLP（數據泄露防護）技術及其產品來進行解決。

?

（2）至于關鍵服務器的安全問題，以我個人的經驗，依據網絡安全領域最為流行的4A（認證Authentication、賬號Account、授權Authorization、審計Audit）、P2DR模型（策略Policy、保護Protection、監測Detection、反應Response）及ISO等主流標準的要求，應該從如下幾大方面進行考慮：

·???????????????????????????????? 帳號管理：服務器的用戶及其密碼管理需要采用強密碼，并進行嚴格管理；

·???????????????????????????????? 用戶認證：合理劃分用戶使用服務器的權限，防止權限濫用；

·???????????????????????????????? 加密存儲和傳輸：保證服務器中數據及其傳輸的完整性和可靠性；

·???????????????????????????????? 做好日志管理，方便審計和追蹤：強大的日志記錄，能夠保證適時的審計和追蹤，使得服務器安全保障更加有力；

·???????????????????????????????? 備份和災難恢復：能夠保證服務器中系統和數據的完整性和不間斷地業務運行；

·???????????????????????????????? 自我漏洞挖掘及防護：能夠周期性、自發地對服務器及其運行系統的漏洞進行自我挖掘，并根據挖掘的漏洞通過各種安全機制和補丁等方式進行防護，以有效地避免“零日***”等。

·???????????????????????????????? 做好DLP：保證服務器的關鍵數據不泄露和被惡意的濫用。

?

（3）確實需要引入一些上網行為管理的措施來約束內部用戶的行為。比如：P2P軟件使用管理、IM即時通訊軟件管理、web Surfing管理以及郵件管理等等，當然，還別忘了我在第2個問題里面提到的，DLP措施，這樣可以大大地減少在Internet環境下用戶有意或者無意地泄露公司的機密文檔和信息。另外，還要做好數據的本地/異地備份工作，災難和***總是難免的，這樣可以提高你們公司業務系統的應對災難的能力。

?

（4）關于AD的使用和權限設置問題，我是這樣看的：首先，其實多少用戶使用AD或者使用工作組模式，都沒有一個具體的參數來約束企業用戶，微軟也只是建議而已。AD的設置也不能代表安全，它只是一個用戶信息的管理模式而已，可以輔助（注意，只是輔助）我們做一些安全措施和業務。比如，設置了AD后，可以方便地實現與Exchange、OCS、SP等的集成，可以引入一些針對郵件和即時通訊的安全機制（如forefront等）。并不是說，沒有AD就不安全。至于數量方面，我建議50個用戶以上可以考慮實現，這樣可以更加方便地集成一些其他的軟件設施。其次，至于權限設置問題，就要看你們公司是怎么規定用戶對于服務器的訪問角色了，這就根具體的應用場景相關了。有的是文件共享用戶、有的是備份管理員、有的是DB管理員等等，但原則是在設置的時候做到業務和數據管理權限的分離，最基本的就是數據庫管理員和應用系統管理員分離，和操作系統管理員分離，等等。

?

（5）根據我的經驗，中大型企業網絡信息安全應該統籌管理，做到沒有信息安全管理的死角存在為最佳，具體可分為：物理安全、數據安全、運行安全和管理安全幾個層面，每個層面都有相關的標準參考，以及需要為其配備一定的安全技術來為企業進行具體實施。限于篇幅的關系，這里不好展開。你有興趣的話可以多多關注我的博客，我將會在博客以及后續安全著作里面對這個問題進行詳細介紹。

?

轉載于:https://blog.51cto.com/149banzhang/407752

總結

以上是生活随笔為你收集整理的[第180期]我在51CTO的提问：如何做好企业信息安全管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。