第一篇:网络管理员十大内网安全策略
网络管理员十大内网安全策略
1、限制VPN的访问
虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
2、注意内网安全与网络边界安全的不同
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。
3、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。
4、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的,关掉该文件的共享协议。
6、首先保护重要资源
若一个内网上连了千万台(例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。
7、建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
8、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。
9、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。
10、可靠的安全决策
网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺,例如不知道RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引导他们自动的响应网络安全策略。
第二篇:网络安全策略十大原则
网络安全策略的十大原则
1.木桶原则:是指要对企业网络安全进行均衡全面的保护。因为任何一方面的缺失或不完全都有可能影响到其他方面的保护效果。
2.整体性原则:这一原则要求我们在进行安全策略设计时充分考虑各种安全配套措施的整体一致性,不要顾此失彼。既要重视对攻击的防御,又要考虑在网络遭受攻击、破坏后,快速回复网络信息中心的服务,减少损失。
3.均衡性原则:对于任何网络而言,绝对安全难以达到,也不一定是必要的,所以需要建立合理的使用安全性与用户需求评价和平衡体系。
4.可行性原则:任何一个企业在网络安全需求方面都有它独特性,对于网络安全系统的部署成本也有不同的承受能力。我们不能一味的花高代价来部署安全性的防护系统,而应结合企业的实际安全需求进行综合评价。
5.等级性原则:等级是指安全层次和安全级别。良好的安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
6.一致性原则:安全防护系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,只有这样才能确保各个分系统的一致性,使整个系统安全的互联互通、信息共享。
7.易操作性原则:首先,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
8.技术与管理相结合原则:安全防护体系是一个复杂的系统工程,涉及人力、技术、操作和管理等方面的因素,单靠技术或单靠管理都不可能实现,因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设结合起来全盘考虑。9.统筹规划,分布实施原则:在部署安全防护策略是可考虑现在一个比较全面的安全规划下,根据网络的实际需要建立基本的安全体系,保证基本的、必需的安全性,然后随着网络规模的扩大及应用的增加,网络应用的复杂程度变化,调整或曾倩安全防护力度,保证整个网络最根本的安全需求。
10.动态发展原则:在制定策略时要明确要根据网络的发展变化和企业自身实力的不断增强,对安全系统进行不断的调整,以适应新的网络环境,满足新的网络安全需求。
第三篇:网络管理员减负法宝 内网管理方案
网络管理员减负法宝 内网管理方案
内网的安全一直是令人头疼的问题,尤其对一些有密级的单位,即使使用了物理隔离设备,也不能杜绝病毒木马的侵害,甚至黑客的攻击,给网管员的工作带来了很多的麻烦。
清文是一政府机构的网络管理员,和笔者炫耀说,在实现了内网管理后,维护的机器少了,工作量也减小了。以前上班忙的晕头转向,这边的机器正常了,那边又出了问题,刚回到座位,电话又响了。现在可好了,网络速度明显加快,是原来速 度的二到三倍,遭受病毒木马攻击少了九成以上,机器偶尔会有些小问题。他个人的工作也有条不紊,还有充电学习的时间了。
内网管理的定义:
由此可见,内网管理是非常必要的。那什么是内网管理呢?内网管理就是企业内部网络的管理,就是监督、组织和控制局域网网络通信服务,目的是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。一般包括配置管理、性能管理、安全管理、故障管理等。安全管理是内网管理中的一个重要内容,正受到业界及用户的广泛关注。除了建立一套安全防护系统外,网络安全制度的建立和人员安全意识的培养也是不可少的。内网管理的现状:
在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。由于很多企业缺乏有效的管理机制,像BT、电驴等下载软件占用大量的带宽,造成网络阻塞,影响了正常业务的开办。有些部门的数据存在很强的机密性,比如财务和人事档案,却没有任何保护措施,造成机密文件被盗时有发生。病毒的肆虐,木马的横行,致使员工抱怨,老板愤怒,下载缓慢,业务受损,甚至企业陷入瘫痪。另一方面网络中的设备、操作系统、应用系统数量众多、构成复杂,差异性非常大,而且各自都具有自己的控制管理平台,网管员需要学习、了解不同平台的使用及管理方法,并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等),也为管理带来了相当大的难度。内网管理的内容:
借助于好的网管软件,对网络的结构和设备的图形化管理就变得容易多了。它能够直观显示、监控和前瞻性的管理网络。还可以通过VLAN的设置将局域网设备从逻辑上划分成一个个网段,将不同的工作区域划分开,实现对数据的安全保护。通过软件对网络内部流量监控和数据分析,可以帮助我们查看非法的进程和服务,并禁止屏蔽掉,释放带宽,保障正常业务的顺利进行。建立一套有效的网络管理制度,包括对员工的管理,提高他们的工作效率,做好安全防护,使用防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等措施和管理系统。为更好的开展企业业务,提高企业运行效率做好服务。内网管理带来的好处:
有了高效的内网管理机制后,不但减轻了网管员的工作负担,而且有利于员工专心工作,玩游戏,聊天做和工作无关的人少了,遭受病毒木马攻击的机会也少了,整体的工作效率提高了。而且大大提高了企业生产力。高效而有序的企业网络,对业务发展起到了很强的支撑作用。
第四篇:信息安全策略
信息安全策略
是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档
得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。
管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。
制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。
分配策略落实负责人——按部门或实际情况分配负责人,落实责任。
第五篇:管理信息系统安全策略
管理信息系统安全策略
对于企业竞争来说,资料的保密和安全是非常重要的。资料的保密和安全涉及以下几个方面:
1、资料自身的完整性和规范性;
2、资料存储的安全性;
3、资料的维护(更新)和引用(查阅)的管理手续(即流程)的规范性及权力限定的严谨性。
用一句通俗的话来归纳,在企业中,只有通过授权的人(岗位)才可使用(包括维护和引用)相关的资料,严禁未经过授权的人(岗位)非法使用资料。而对于(计算机)管理信息系统应用来说,资料包括基础(技术)数据和业务数据。首选要求数据(即资料)要具有良好的共享性,其次要求流程(即业务)处理具有连贯性。
基于上述两者之间的需求,要求(计算机)管理信息系统本身应具有下列基本功能:
1、保证企业资料的完整性和一致性(关系数据库本身功能可解决);
2、资料存储的安全可靠性(可通过配置高性能的数据库服务器、备份及加强服务器的保安管理可解决);
3、通过强有力的权限管理功能,将企业所有的数据根据实际情况定义出所有者(机构)。同时授权(控制)每个人(岗位)的功能模块(业务操作)使用权限,所能查阅及维护的数据的范围(即能查阅哪些机构的数据,在软件系统中表现为数据表中的记录行),以及查阅及维护数据的哪些明细属性(在软件系统中表现为数据表的列);
4、结合企业运作的实际情况和未来需要,可定义出各业务之间的工作(操作)流程。