如何保障企業(yè)信息安全?
隨著社會(huì)的發(fā)展,企業(yè)對(duì)于信息管理的需求越來(lái)越高,對(duì)于信息安全意識(shí)也開始由原來(lái)被動(dòng)接受安全防護(hù),轉(zhuǎn)向主動(dòng)的安全策略布局。信息安全開始成為企業(yè)信息管理的重點(diǎn)。在以往的企業(yè)信息建設(shè)過(guò)程中,安全小組是在企業(yè)信息系統(tǒng)建設(shè)完成以后才開始入住的,但是隨著技術(shù)的革新,這種做法的弊端越來(lái)越明顯。大部分企業(yè)已經(jīng)接受了,從一開始就讓安全小組介入的做法。尤其隨著企業(yè)信息系統(tǒng)虛擬化的不斷加深,這種出于安全的考慮愈發(fā)的明顯了。
企業(yè)安全小組的提前介入,讓企業(yè)的信息系統(tǒng)的設(shè)立更加的可靠。在他們看來(lái),一切都是具有威脅信息安全的存在,因此對(duì)于各個(gè)方面的規(guī)劃都有非常嚴(yán)格的要求。現(xiàn)在很多企業(yè)使用的虛擬化技術(shù)都是源自國(guó)內(nèi)的一些數(shù)據(jù)安全企業(yè),因此安全小組在服務(wù)器和平臺(tái)管理上的作用并不是十分明顯,因?yàn)檫@些都是由專業(yè)的安全服務(wù)供應(yīng)商來(lái)提供的,在某種程度上,這種服務(wù)是十分可靠的。企業(yè)內(nèi)部的安全管理就完全要依靠安全小組的規(guī)劃。前不久接觸到的幾家金融服務(wù)企業(yè)就是這樣進(jìn)行安排的。他們使用了來(lái)自泰然神州的新一代數(shù)據(jù)安全堡機(jī)以及相應(yīng)的服務(wù)。這一套服務(wù)包含了企業(yè)內(nèi)部和外部的所有安全策略規(guī)劃,但是出于對(duì)企業(yè)內(nèi)部安全的防護(hù),大部分金融企業(yè)都連同泰然神州制定了個(gè)性化的本地安全策略。當(dāng)然,具體的信息無(wú)從考證,但是我們通過(guò)現(xiàn)在企業(yè)的需求和實(shí)際技術(shù)水平,不難推測(cè)出其中的一些要點(diǎn)。
從防御的角度來(lái)說(shuō),企業(yè)端的安全防護(hù)主要是為了防護(hù)來(lái)自外部的安全威脅和內(nèi)部產(chǎn)生的安全威脅。外部產(chǎn)生的威脅不外乎病毒、木馬、黑客入侵,對(duì)于這些危害來(lái)說(shuō),都有一套常規(guī)的防護(hù)措施,比如防火墻,病毒查殺等方式,能夠有效的減少外部威脅的隱患。同時(shí)由于虛擬化技術(shù)的運(yùn)用,數(shù)據(jù)并不存在于本地,因此來(lái)自外部的威脅就變得不再那么難纏了。相對(duì)來(lái)說(shuō),內(nèi)部的威脅更加的嚴(yán)重。近年來(lái),政府、企業(yè)的信息泄露事件時(shí)有發(fā)生,大到公民信息泄露,小到企業(yè)銷售材料曝光。這樣的信息泄露事件很多都與外部無(wú)關(guān),是完全產(chǎn)生于內(nèi)部的問(wèn)題。針對(duì)這種現(xiàn)狀,必須著重解決內(nèi)部安全隱患。內(nèi)部的安全威脅都來(lái)自哪里呢?一方面是管理人員惡意的進(jìn)行違規(guī)操作,造成的威脅。另一方面就是管理人員的某些操作不當(dāng),引發(fā)了數(shù)據(jù)安全威脅。怎樣才能夠解決這兩方面的威脅呢?
首先,要建立嚴(yán)格的身份審查機(jī)制。針對(duì)系統(tǒng)用戶采用統(tǒng)一的認(rèn)證接口。統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理,而且能夠采用更加安全的認(rèn)證模式,提高認(rèn)證的安全性和可靠性。集中身份認(rèn)證提供靜態(tài)密碼、windows NT 域、IKEY 等多種認(rèn)證方式,而且系統(tǒng)具有靈活的定制接口,可以方便與其它第三方認(rèn)證服務(wù)。嚴(yán)格的身份認(rèn)證是保證用戶安全的第一步,也是最關(guān)鍵的一步。在運(yùn)維過(guò)程中,所有內(nèi)部安全問(wèn)題都是要通過(guò)用戶來(lái)進(jìn)行核查的,因此嚴(yán)格的用戶認(rèn)證系統(tǒng),更加符合現(xiàn)代運(yùn)維安全的要求。身份認(rèn)證還為以后展開的安全行動(dòng)打下了良好的基礎(chǔ)。在身份認(rèn)證完成以后,要進(jìn)行用戶的管理工作。用戶管理并不是單純?cè)黾踊蚴菧p少用戶的數(shù)量,而是要為用戶設(shè)定適合的個(gè)性化屬性,為不同的用戶選擇不同的管理方式。用戶管理能夠有效減少內(nèi)部管理人員對(duì)于安全的威脅,防止內(nèi)部人員泄露信息,與此同時(shí)一旦發(fā)生安全事故,就能夠第一時(shí)間找到指定的用戶,根據(jù)身份認(rèn)證,瞬間確定管理人員,讓信息泄露的幾率大大減少。這種通過(guò)身份認(rèn)證和用戶管理的方式是運(yùn)維過(guò)程中最常用的方式,大家都非常熟悉,但是其中一點(diǎn)應(yīng)當(dāng)引起大家的注意,就是要建立合理的用戶系統(tǒng),合理的根據(jù)企業(yè)自身的特性,進(jìn)行建設(shè)和完善。
其次,在針對(duì)內(nèi)部問(wèn)題時(shí),一定要注意對(duì)于資源的控制。企業(yè)資源是需要絕對(duì)安全防護(hù)的,但是又不能夠放在那里不動(dòng),因此,在運(yùn)維過(guò)程中大都采用分權(quán)限的方式對(duì)資源進(jìn)行管理和控制,這種方法廣泛的運(yùn)用在不同的領(lǐng)域。在具體的實(shí)施細(xì)節(jié)上,需要針對(duì)不同的用戶進(jìn)行劃分。這其中涉及到了對(duì)于用戶的管理的問(wèn)題,因此沒有固定的方案,只要能夠在保證數(shù)據(jù)安全的基礎(chǔ)上進(jìn)行,就完全沒有問(wèn)題。不過(guò)單純的通過(guò)資源的控制并不能夠解決用戶使用過(guò)程中的所有問(wèn)題,必須結(jié)合詳細(xì)的審計(jì)功能。主要審計(jì)人員的賬戶使用情況、資源使用情況,用戶登錄信息等。對(duì)于生成的日志支持豐富的查詢、刪除、清空等功能。支持日志數(shù)據(jù)生成、日志管理、日志生成格式,如 Excel 等。審計(jì)的手段也應(yīng)該是多種多樣的,通過(guò)對(duì)于鍵盤錄入,鼠標(biāo)移動(dòng),攝像頭信息等輸入信息行為,進(jìn)行全面的審計(jì)。在保證用戶正常使用的前提下,全面的監(jiān)控用戶行為。這種做法不僅僅能夠保證安全問(wèn)題的可追溯性,更能夠通過(guò)審計(jì)數(shù)據(jù)找到容易造成安全威脅的,不正確或是不規(guī)范操作,有效防止侵害安全行為的發(fā)生。
最后,在運(yùn)維過(guò)程中要及時(shí)備份信息。信息的備份不僅僅是要備份企業(yè)數(shù)據(jù)信息,更是要對(duì)于用戶的屬性、行為、權(quán)限等進(jìn)行備份,這些關(guān)系到內(nèi)部安全的重要信息,一旦產(chǎn)生不可修復(fù)的問(wèn)題,后果將十分嚴(yán)重。
通過(guò)對(duì)于用戶身份的認(rèn)證、用戶管理、資源控制、行為審計(jì)和備份數(shù)據(jù)的方式,能夠有效的減少由于內(nèi)部原因造成的安全危害。不過(guò),相對(duì)于整體的企業(yè)端安全來(lái)說(shuō),這些還不夠,還需要通過(guò)合理的布局客戶端來(lái)進(jìn)一步的完善。
在虛擬化技術(shù)的基礎(chǔ)上進(jìn)行的客戶端布局,兼容性必須要強(qiáng)。不管是常規(guī)的處理設(shè)備,還是移動(dòng)辦公設(shè)備,都能夠很好的兼容。企業(yè)在進(jìn)行虛擬化信息建設(shè)的時(shí)候,對(duì)于新型移動(dòng)辦公設(shè)備的考慮,占到了很大的一部分。怎樣讓各種性能不同的辦公設(shè)備共同享有同樣的操作空間,是客戶端布局的一個(gè)重要方面。下面就針對(duì)常規(guī)的客戶端布局理念和加強(qiáng)移動(dòng)辦公功能的客戶端布局理念進(jìn)行綜合性的布局。
一般說(shuō)來(lái),如果想讓不同性能的設(shè)備具有同樣的操作空間,必須做到的就是簡(jiǎn)化客戶端的軟件要求。在以往的運(yùn)維當(dāng)中,客戶端存在大量的軟件,比如經(jīng)常用到的OA軟件,ERP軟件,電子申報(bào)軟件等,這些軟件在完成日常工作的同時(shí),占據(jù)了大量的設(shè)備資源,且很難運(yùn)用到移動(dòng)辦公中來(lái),因此必須進(jìn)行改革。但是這些軟件的功能是無(wú)法取代的,所以在改革的同時(shí)必須保證軟件功能的完善。想要解決這個(gè)問(wèn)題就要有以下的布局:
客戶端必須簡(jiǎn)單易操作,可以采用虛擬桌面形式進(jìn)行系統(tǒng)登錄,進(jìn)行相應(yīng)的操作,不進(jìn)行軟件的安裝過(guò)程,同時(shí)減少組件的運(yùn)行,保證數(shù)據(jù)的傳輸速度。這樣就需要程序完全在服務(wù)器中進(jìn)行處理,以虛擬化的方式實(shí)現(xiàn)與客戶端交互。
如果能夠?qū)崿F(xiàn)這樣的布局,那么不同的設(shè)備就能夠通過(guò)虛擬桌面形式登錄,然后通過(guò)數(shù)據(jù)傳輸指令,在服務(wù)器上直接進(jìn)行操作,這種方式非常適合現(xiàn)在企業(yè)的辦公環(huán)境。由于虛擬化技術(shù)的運(yùn)用不必?fù)?dān)心出現(xiàn)不同客戶端同時(shí)運(yùn)行程序造成的故障,大大節(jié)約了企業(yè)設(shè)備的損耗,有效的提升了企業(yè)的信息管理便捷度。這種通過(guò)虛擬化實(shí)現(xiàn)的客戶端布局還有這巨大的安全優(yōu)勢(shì)。試想,所有的客戶端都是通過(guò)虛擬桌面對(duì)服務(wù)器上的程序進(jìn)行操作的,那么本地就不存在操作數(shù)據(jù),也就沒有了數(shù)據(jù)安全的問(wèn)題。數(shù)據(jù)在這個(gè)交互過(guò)程中始終存在于安全的環(huán)境中,數(shù)據(jù)不落地,當(dāng)然就沒有了危險(xiǎn)。這種客戶端布局的方式將會(huì)是未來(lái)發(fā)展的一個(gè)主要方向,其中的技術(shù)難點(diǎn)基本解決,只是在運(yùn)用方法上,還存在一些經(jīng)驗(yàn)的欠缺。如果通過(guò)虛擬桌面進(jìn)行程序管理的基礎(chǔ)下進(jìn)行操作,怎樣才能讓操作更簡(jiǎn)單呢?可以通過(guò)單點(diǎn)登錄的方式,優(yōu)化登錄操作,同時(shí)在登錄設(shè)置上加入個(gè)性化的考慮,提供虛擬桌面的操作便捷性,如果能夠加入在線交流工具,那就再方便不過(guò)了。
在對(duì)企業(yè)進(jìn)行虛擬化信息建設(shè)的時(shí)候,用戶和客戶端的問(wèn)題非常關(guān)鍵。這兩方面的因素是虛擬化系統(tǒng)的重要組成部分,也是對(duì)企業(yè)內(nèi)部安全等級(jí)的考驗(yàn)。一定要認(rèn)識(shí)到用戶的危險(xiǎn)性,避免出現(xiàn)越來(lái)越多的斯諾登,與此同時(shí),對(duì)于客戶端的布局規(guī)劃也要謹(jǐn)慎小心,不能夠放棄現(xiàn)有的便利,也不能夠?qū)τ谛碌慕换シ绞街弥焕恚傊脩粲酗L(fēng)險(xiǎn),規(guī)劃需謹(jǐn)慎!