企业网络安全管理实现需要好的策略应用
[时间:2009-10-20]  [文章来源:上海百络]  [责任编辑:master]
    信息系统安全,计算机和网络安全,还有Internet安全,它们组成一个错综复杂的世界。并且这些复杂性会随着系统设备、数据通信、 攻击活动的增加而越来越难以控制。因此人们不得不花费很多精力来研究安全对策。

      安全策略不是一成不变的,随着现实生活中Internet传输速率的加快,公司之间合作模式的出现,维护网络安全的方法也在不断的更新。

      当然,网络安全维护不仅仅是购买一些安全设备这么简单,你还需要知道如何进行保护、保护的对象是什么及设备放置的最佳位置等诸多问题。

      在一般情况下,我们可以把安全管理划分为三个阶段:计划阶段、策略设计阶段和设计实施过程。

      一、 管理员工上网行为是首要问题

        企业的网络管理越来越困难,我们的员工在上班的时候经常进行一些与工作无关的网络行为,利用公司的电脑和网络进行即时语音聊天的人越来越多,QQ、MSN已经成了老少必备的大众化软件,现在公司的员工上班打开电脑的第一件事就是挂上自己的聊天软件,还有的员工干脆在上班的时候利用BT软件或者其它的一些下载工具下载电影,这不仅影响了公司网络的速度,更加影响了公司网络的安全。一些受黑客入侵的网站在被访问的时候也将木马或者病毒植入了浏览者的电脑。这样,公司的网络时时刻刻都处在崩溃的边缘。公司的商业机密更成了黑客们拿来挣钱的好东西。

        上海百络信息技术有限公司针对现在公司员工上班时候的上网行为开发出了《百络网警》局域网管理软件。能对公司员工的上网行为进行管理,能对几乎所有的实时聊天软件进行管理。能禁止BT、p2p下载,能封锁几乎所有的黄色网站。能对邮件系统进行监控以及进行备份。使公司的网络安全大大的增加。

      二、网络安全的基本原则

      为了迎接计算机和网络安全的挑战,一些基本规则的采用是很有必要的。

      1、安全性和复杂性成反比

      在安全策略的实施过程中,你采取的实施方法应该尽可能的简单。因为实施过程越复杂,被误解和误操作的几率就越大;

      2、安全性和可用性成反比

      在目前可用的系统中永远不存在“绝对的安全”,因此在实施安全策略时应掌握尺度,不要以牺牲系统资源为代价,一味地追求所谓的绝对安全。

      3、安全问题的解决是个动态过程

      安全问题的解决没有最佳方案,即使存在这种“最佳方案”,它也不能保证你的系统固若金汤,能够瓦解各类各样的安全攻击。因为你的系统在不断升级变化,新技术层出不穷,同时黑客的攻击方法也在不断变更。

      4、对安全要有一个正确的认识

      搞清楚你的企业在还存在哪些安全上的不足,哪些地方仍然留有漏洞、哪些文档和处理程序不合适,哪些处理机制需要更新是很关键的。不对组织的整体安全情况进行改善或分析的做法是错误的。这样就有可能导致错误的出现,灾难事故的增加,给你的企业业务开展带来无尽的麻烦。

      5.进行详尽的检查和评估

      例如,如果你利用VPNs(虚拟专用网)把家和远程办公室与公司总部理想连接,那么就很有必要对你的移动办公环境中驻留在你的笔记本电脑上的数据进行保护,所有的数据通信都要通过防火墙进行隔离和过滤。

      6. 网络威胁要详加分析

      假想的威胁、真实的威胁和可能的威胁,还有已知与未知的威胁。我们不但要对已知威胁详加分析,还要对某些潜在的、未知的威胁加以检测、判断与认识。

      7.安全是投资,不是消费

      安全投资需要得到企业或组织领导的大力支持。对计算机和网络进行安全投资,迎接不断增长的商务需求与风险的挑战,是在不对企业发生损害的情况下满足商务需求的重要措施。安全性能较高的服务器可以使公司实现该领域的其他销售人员和商业伙伴实现信息的共享,而不正确的系统配置却会导致数据的丢失和系统损害情况的发生。

      安全有时就象汽车的安全气囊那样,尽管在大部分时间里它并不发挥什么作用,但它的存在依然很有必要。安全管理比安全更重要。

      三、建立安全小组

      安全策略的创建往往需要一个团队的协同工作,以保证所制定的策略是全面的、切合实际的、能够有效实施的、性能优良的。

      把来自公司不同部门的人组成一个小组或团队的另一个理由是当团队中的某些成员意见分歧时,能够进行充分的讨论,以得到一个较好的解决问题的办法。这样的效果远远好于从营销、销售或开发方面得到的信息更完善。

      安全计划小组应该包含那些来自企业不同部门不同专业的人们,IT 小组成员,系统和计算机管理员,都应出现在团队当中。从不同部门来的有责任心有代表性的人之间应该保持联系方面和协商渠道的通畅。

      商业需求决定一切。安全小组和其成员的观点,决定了计算机和网络服务的商业需求。安全小组建立起来之后,第一步就是要对商业需求进行分析。哪些服务是企业需要的,这些需求在多大程度上能满足安全上的需要?多少员工依赖于Internet访问,e-mail的使用和intranet的有效性如何?他们是否依赖于远程和内部网的访问?有和WEB进行连接的需求吗?客户是否要通过Internet 来进行商业支持数据的访问?

      四、威胁、易损性与风险分析

      安全策略计划阶段包括易损性分析、风险分析和威胁评估。尽管这些词汇和其定义有些不同,但最终的结果是一样的。本阶段包括资产的鉴定与评估,威胁的假定与分析,易损性评估,现有措施的评价,分析的费用及收益,信息的如何使用与管理,安全措施间的相关性如何等等。资产(包括信息)和威胁一样可以都可以按照商业需求进行分类。

      下面的一堆问题你需要认真考虑一下:

      需要对哪些方面进行保护?企业形象?未来产品计划?招聘的员工人信息?客户信息?计算机资源?所有可能的方面都是需要保护的。

      哪些攻击是可能的?哪些是潜在的?

      哪些地方存在脆弱性?哪些地方易遭攻击?接听电话的员工,可进行企业数据信息访问的商业伙伴,访问支持数据库的客户都存在潜在的威胁。

      什么是我们一直关注的?我们最担心什么内容的损失?安全方面的投资花费有多少(包括有形的与无形的)?

      对一个攻击者(也可能是竞争对手)的追踪有多大价值?公司数据丢失、 名誉损失或竞争对手获取我们的哪些数据? 攻击者一次攻击花费是多少?

      什么样的安全措施是合适的?安全措施正在发挥作用吗?安全措施之间有多大相关性? 通过上面所述问题的回答,你就可以对安全威胁和风险进行分类,对易损性进行评估。

      五、启动安全策略

      随着安全计划工作的完成,你应该去启动“安全策略”。在这里风险评估和商业需求走向联合,差异性得以处理。安全策略描述了一个组织如何进行信息处理,谁可以访问及如何进行。它也指明了允许和禁止的行为。

      安全策略“自顶向下”的设计步骤使得指导方针的贯彻、过程的处理、工作的有效性成为可能。

      启动安全策略主要包括下面几个方面:启动安全策略、安全架构指导、事件反映过程、可接受的应用策略、系统管理过程、其他管理过程

      启动安全策略 解释了策略文档的设计目的,组织性和过程状态描述;

      安全架构指导 指在风险评估过程中对发现的威胁所采取的对策。例如,防火墙的放置位置,什么时间使用加密, WEB服务器的放置位置和怎样与商业伙伴、客户进行通讯联系。安全架构指导确保了安全计划设计的合理性、审核与有效控制。该部分需要专门的技术,需要接受外部的咨询机构的服务或内部培训,包括基于WEB资源、书本、技术文件与会议讨论等形式。

      事件响应过程 在出现紧急情况时,人们通常考虑的呼叫对象包括公司管理人员、销售部经理、系统和网络管理小组、警察等。按照什么样的顺序进行呼叫是事件反应过程处理的一部分。尽管这些处理过程不需要任何特别的专业技术,但需要你的深思熟虑。在收到易损性的评估之后,高级管理人员需要小心地查看这些文档。

      可接受的应用策略 计算机和网络安全策略的启动将指向各种各样的应用策略。策略的数量与类型依赖于你的商务需求分析、风险的评估与企业文化。他们指出了什么样的行为是允许的,哪些行为是禁止的。

      系统管理过程 管理过程说明了信息如何标记与处理,人们怎样去访问这些信息,如何建立了一个“以需定知”的原则来匹配需要的访问。对商业需求和风险、某些地方的安全架构指导有适当了解,你的组织就可以制定出专有的平台策略和相关的处理过程。

      随着Internet的发展,有关计算机和网络入侵和病毒传染的报道随之而来,计算机和网络安全策略、过程与机制被人们认识与接受,是一个渐进的过程。同时,策略提供了需求与风险变化的重新评价、的方式、可用性和安全性。



    [关闭本页]
  关键词:  网络管理软件,网络控制软件,网络监控软件
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证