[第180期]我在51CTO的提问：如何做好企业信息安全管理

[第180期]我在51CTO的提问：如何做好企业信息安全管理

149banzhang

发表于 2010-10-15 14:08:51

第 5 楼

窗体顶端

李工：您好，很高兴能在51CTO与您交流，我想向你咨询以下问题：

1：（网络架构安全问题）现在一般小到中型企业一般都是这样的网络拓扑：路由器---防火墙--交换机（包括三层和二层交换机），在这样的拓扑环境下，怎样保护企业内部网络安全，应该注意哪些安全问题，在这样的拓扑环境下，可能会发生哪些内部信息安全问题？

2：（关键服务器安全问题）众所周知，企业的内部文件有很多是很重要的，内部文件服务器除了做好防毒，访问权限控制，重要资料及时备份，以及服务器热备，文件资料管理，以及端口的一些控制和访问服务器控制，根据你的个人经验，您觉得还需要注意哪些问题，以保证内部关键服务器的安全。

3：（局域网安全管理问题）因特网存在很多不安全因素，是否有必要内部用上网行为管理器，以保证内部信息安全以及局域网安全，你觉得除了这样的措施，是否还有其它比较好的措施。

4：（网络管理模式）现在的一般企业都有60-90台左右，根据微软的说法：工作组模式适合10台以下的机器架构，20台以上，就用AD架构了，这样能最大限度保证局域网控制和安全，但现实情况是，我看到好多公司60-90台电脑仍然是使用工作组模式，而且使用也挺正常的，您觉得多少电脑适合用AD布置网络，以保证网络安全，如果是用AD模式布置网络，又该主要注意哪些方面？比如一些关键服务器是否要加入域，客户端加入域后应该给与哪些权限。

5：（其它内部网络安全问题）根据老师你的经验，您觉得一般中型到大型公司网络网络信息安全还有要注意哪些方面？

以上这些问题，很希望您回答，谢谢，谢谢你在百忙之中抽空解答我们的问题！

 我也想问(2)  埋起来(0) 编辑 

 

李洋

这位网友的问题问得非常实际，我来一一为你解答：

（1）你说的这样一个网络拓扑，其实比较完整的建议为：路由器-防火墙-IDS/IPS-交换机。当然，还可以将防火墙+IDS/IPS替换为UTM或者安全网管。如果你们内部网络需要提供远程访问的话，还需要部署×××设备。内部网络的安全风险来自于两个方面：由外到内的和内部产生的。由外到内的从技术原理上有可以分为来自网络层和来自应用层的。包括DoS、DDoS、垃圾邮件、phishing、spyware、botnet等等。这些都可以使用防火墙+IDS/IPS、UTM或者安全网关来解决。至于内部网络的安全问题就更大了，这也是现在企业信息安全管理最容易忽略但是又是最重要的一点。存在的安全问题包括：系统密码泄露、弱密码设定、权限滥用、敏感数据/文件泄露、移动设备滥用导致的数据泄露、内部无线网络安全问题等等。这些都需要通过密码管理、加密技术以及使用一些DLP（数据泄露防护）技术及其产品来进行解决。

 

（2）至于关键服务器的安全问题，以我个人的经验，依据网络安全领域最为流行的4A（认证Authentication、账号Account、授权Authorization、审计Audit）、P2DR模型（策略Policy、保护Protection、监测Detection、反应Response）及ISO等主流标准的要求，应该从如下几大方面进行考虑：

·                                 帐号管理：服务器的用户及其密码管理需要采用强密码，并进行严格管理；

·                                 用户认证：合理划分用户使用服务器的权限，防止权限滥用；

·                                 加密存储和传输：保证服务器中数据及其传输的完整性和可靠性；

·                                 做好日志管理，方便审计和追踪：强大的日志记录，能够保证适时的审计和追踪，使得服务器安全保障更加有力；

·                                 备份和灾难恢复：能够保证服务器中系统和数据的完整性和不间断地业务运行；

·                                 自我漏洞挖掘及防护：能够周期性、自发地对服务器及其运行系统的漏洞进行自我挖掘，并根据挖掘的漏洞通过各种安全机制和补丁等方式进行防护，以有效地避免“零日攻击”等。

·                                 做好DLP：保证服务器的关键数据不泄露和被恶意的滥用。

 

（3）确实需要引入一些上网行为管理的措施来约束内部用户的行为。比如：P2P软件使用管理、IM即时通讯软件管理、web Surfing管理以及邮件管理等等，当然，还别忘了我在第2个问题里面提到的，DLP措施，这样可以大大地减少在Internet环境下用户有意或者无意地泄露公司的机密文档和信息。另外，还要做好数据的本地/异地备份工作，灾难和攻击总是难免的，这样可以提高你们公司业务系统的应对灾难的能力。

 

（4）关于AD的使用和权限设置问题，我是这样看的：首先，其实多少用户使用AD或者使用工作组模式，都没有一个具体的参数来约束企业用户，微软也只是建议而已。AD的设置也不能代表安全，它只是一个用户信息的管理模式而已，可以辅助（注意，只是辅助）我们做一些安全措施和业务。比如，设置了AD后，可以方便地实现与Exchange、OCS、SP等的集成，可以引入一些针对邮件和即时通讯的安全机制（如forefront等）。并不是说，没有AD就不安全。至于数量方面，我建议50个用户以上可以考虑实现，这样可以更加方便地集成一些其他的软件设施。其次，至于权限设置问题，就要看你们公司是怎么规定用户对于服务器的访问角色了，这就根具体的应用场景相关了。有的是文件共享用户、有的是备份管理员、有的是DB管理员等等，但原则是在设置的时候做到业务和数据管理权限的分离，最基本的就是数据库管理员和应用系统管理员分离，和操作系统管理员分离，等等。

 

（5）根据我的经验，中大型企业网络信息安全应该统筹管理，做到没有信息安全管理的死角存在为最佳，具体可分为：物理安全、数据安全、运行安全和管理安全几个层面，每个层面都有相关的标准参考，以及需要为其配备一定的安全技术来为企业进行具体实施。限于篇幅的关系，这里不好展开。你有兴趣的话可以多多关注我的博客，我将会在博客以及后续安全著作里面对这个问题进行详细介绍。