淺談保護企業(yè)網(wǎng)絡(luò)信息安全常用措施

1.個人信息安全保護措施

由于個人臺式或便攜式電腦的丟失難以避免，因此企業(yè)必須積極做好個人電腦的信息安全工作，因為大中型企業(yè)數(shù)據(jù)量大且較分散，數(shù)據(jù)的丟失會直接關(guān)系到企業(yè)的運行安全和效益，特別是一些機密文件或數(shù)據(jù)的丟失會給企業(yè)造成難以挽回的損失。這就要求企業(yè)網(wǎng)絡(luò)管理員和員工除了要有一定的數(shù)據(jù)安全意識，還要積極采用必要的防范措施，目前保護個人電腦的安全措施主要包括：

(1)采用強身份認證系統(tǒng)，例如指紋或USB Key等

采用指紋驗證是最安全的，能夠確保特定人登錄特定電腦，比如惠普公司出品的高端筆記本電腦很多都帶有指紋識別功能。USB Key是一種近年來發(fā)展和利用最廣泛的身份認證系統(tǒng)，很多認證設(shè)備都采用通用USB接口接入電腦。其中內(nèi)置的智能卡芯片，用來存儲用戶的私鑰或數(shù)字證書，且用戶在開啟電腦時會通過輸入自己設(shè)置的密碼調(diào)用保存在USB Key中的私鑰，再利用企業(yè)身份認證系統(tǒng)內(nèi)置的公鑰算法實現(xiàn)對用戶身份的安全驗證，只有驗證通過的用戶才能使用電腦。由于特定公鑰和私鑰是世界上唯一的一對。采用這種辦法，即使用戶丟失電腦或丟失USBKey，非法獲得電腦的人都由于無法獲取私鑰而無法登錄電腦，因此保證了用戶個人電腦的安全性。

(2)采用文件加密軟件保護用戶文件

例如現(xiàn)在比較流行的加密軟件“文件夾加密超級大師”就能夠保護企業(yè)大部分數(shù)據(jù)不被非法竊取。

企業(yè)員工可以使用類似比較成熟的加密軟件可以實現(xiàn)文件夾閃電加密和隱藏加密，且加密后防止復制、拷貝和刪除，并且不受系統(tǒng)影響，即使重裝、Ghost還原、DOS或安全模式下，加密的文件夾依然保持加密狀態(tài)。文件夾加密使用國際上成熟的加密算法將文件夾內(nèi)的數(shù)據(jù)加密成不可識別的密文，所以加密強度相當高，沒有密碼絕對無法解密。

除此之外還具有文件加密后的臨時解密功能，解密文件時需要輸入正確密碼再打開。使用完畢后，自動恢復到加密狀態(tài)，無需再次加密。

2.移動設(shè)備安全保護措施

企業(yè)病毒有很大一部分來自于利用移動存儲介質(zhì)的傳播。很多病毒可以通過微軟操作系統(tǒng)的自動播放功能和“映像挾持”等技術(shù)執(zhí)行移動存儲介質(zhì)中的病毒等程序，感染用戶的個人電腦，并且具有較強的隱蔽性和自身復制傳播能力。同時部分病毒還具有關(guān)閉殺毒軟件進程，遠程下載木馬等一系列功能，嚴重威脅信息系統(tǒng)安全。同時移動存儲介質(zhì)和便攜式電腦一樣，也存在容易丟失的問題。針對以上問題我們可以采取以下措施保護移動設(shè)備信息安全：

(1)制定有效的移動存儲介質(zhì)防病毒策略

通過組策略禁用自動播放功能、安裝自動掃描移動介

質(zhì)的防病毒產(chǎn)品等技術(shù)手段，排除病毒隱患。

(2)對移動存儲介質(zhì)進行分級保護

根據(jù)不同的保密需求制定各個實體之間的訪問規(guī)則，增加密級標識和基于主客體密級標識的訪問控制等管理功能。只允許授權(quán)用戶對加密后的文件和目錄進行讀、寫和修改等操作，防止未授權(quán)用戶使用涉密存儲介質(zhì)獲取敏感信息。

(3)不斷完善技術(shù)保密的措施

采用芯片加密、USB KEY等加密存儲技術(shù)，對涉密存儲介質(zhì)內(nèi)信息進行加密認證，從技術(shù)上確保移動存儲介質(zhì)的信息安全。即使設(shè)備被竊取，也無法輕易獲取加密信息。

3.合理規(guī)劃集中管理企業(yè)共享信息

企業(yè)共享信息的安全是企業(yè)網(wǎng)絡(luò)運營的永恒話題，在大中型企業(yè)中通常采用集中式賬號管理辦法，在Windows環(huán)境中采用活動目錄技術(shù)，在Linux環(huán)境中采用NIS服務(wù)器進行賬號登錄、信息訪問等的集中管理，彌補了Windows系統(tǒng)工作組模式下的文件訪問零散且難以管理的問題。

在Windows系統(tǒng)中我們可以利用活動目錄技術(shù)將企業(yè)信息集中化。在活動目錄環(huán)境中采用域管理模式、將整個企業(yè)信息作為一個整體資源集中管理，企業(yè)賬戶和數(shù)據(jù)都作為對象存放到活動目錄域控制器中。對于企業(yè)賬號管理方面，可以為每位員工指定一個唯一的域帳號，通過此賬號可以使用戶在世界任何地方登錄到企業(yè)域環(huán)境并訪問域資源。同時還可以將用戶賬號加入活動目錄技術(shù)中特有的若干個不同功能的用戶組，包括域中全局組、本地組、通用組，方便用戶充分利用組特性實現(xiàn)訪問安全性和有效性。

我們以Windows Server 2003活動目錄使用為例，在域控制器的上設(shè)置磁盤配額限制，將企業(yè)用戶按三種不同使用級別分配訪問空間，普通員工設(shè)置配額100M，部門經(jīng)理500M，總經(jīng)理不限。同時還可以將域控制器及企業(yè)數(shù)據(jù)庫等關(guān)鍵業(yè)務(wù)做成磁盤陣列，已保證企業(yè)服務(wù)運行的穩(wěn)定性和安全性。為了實現(xiàn)用戶登錄域和訪問域資源的透明性，我們還可以利用分布式文件系統(tǒng)DFS，將分散在不同的物理位置的資源進行整合。在域控制器或成員服務(wù)器上將多個DFS路徑對應(yīng)一個或多個共享目錄。同時由于大部分企業(yè)通常有多個域控制器互為備份，所以默認情況下，DFS映射將自動發(fā)布到活動目錄中，因此其他域控制器都可以充當企業(yè)分布式文件系統(tǒng)備份服務(wù)器，這就保證了在一個或多個分布式文件服務(wù)器不可用時，這個企業(yè)資源仍可使用，達到信息冗余，保證企業(yè)網(wǎng)絡(luò)可用性的目的。

在Linux系統(tǒng)中我們也可以