淺談企業(yè)實現(xiàn)數(shù)據(jù)安全處理
數(shù)據(jù)安全一直是企業(yè)始終關(guān)注的問題,企業(yè)數(shù)據(jù)的丟失對于企業(yè)來說不僅僅是資金的損失,還有可能因為客戶的數(shù)據(jù)泄露導(dǎo)致企業(yè)的信譽跌入谷底。那么如何進行數(shù)據(jù)安全處理呢?本篇文章就通過外網(wǎng)安全、內(nèi)網(wǎng)安全以及數(shù)據(jù)備份三方面進行介紹。
數(shù)據(jù)保護以人為本
企業(yè)的數(shù)據(jù)安全跟網(wǎng)絡(luò)管理人員的理念是分不開的,光有鮮明的硬件措施,但沒有優(yōu)秀的管理人員,一切仿佛都是空談。雖然網(wǎng)絡(luò)中很多案例都直白的告訴企業(yè),導(dǎo)致網(wǎng)絡(luò)癱瘓和數(shù)據(jù)泄密的最大原因是黑客造成的,其中不泛病毒、木馬、后門程序的困繞。但是企業(yè)數(shù)據(jù)丟失還要注重的一點是:內(nèi)網(wǎng)泄密。也就是說:處在內(nèi)網(wǎng)的入侵要相對在公網(wǎng)的入侵要簡單的多。
曾經(jīng)有人找我說:“他在某企業(yè)上班,對公司網(wǎng)絡(luò)中的部份數(shù)據(jù)非常感興趣,但是在域之間他只知道用戶名,密碼部份只得到了SMA散列,而非明文密碼,位數(shù)在 12位以上”。面對這樣SMA散列的獲得,通常離內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)破解只在一步之遙。如此情況的發(fā)生,單憑硬件防火墻或UTM,似乎都顯得那么無力。那么作為企業(yè)管理人員,遇到這種情況如何處理?才能防止內(nèi)網(wǎng)的泄密呢?
企業(yè)數(shù)據(jù)安全處理
作為企業(yè)網(wǎng)絡(luò)管理人員,對待機密數(shù)據(jù)并不能向在家中或普通數(shù)據(jù)一樣處理,而應(yīng)分類、分條、分策略的進行計劃安全。其關(guān)鍵部份如下:
首先要對數(shù)據(jù)的根椐地,即存放的位置進行NTFS處理,根據(jù)數(shù)據(jù)安全準則,在NTFS下的數(shù)據(jù)要比放在FAT32下的數(shù)據(jù)存放要安全的多。因此網(wǎng)絡(luò)管理人員首先要將硬盤中的一個區(qū)開發(fā)成NTFS格式,然后實施NTFS共享許可,并將其應(yīng)用到內(nèi)網(wǎng)中的用戶機器中。這樣可以形成對該分區(qū)中的訪問數(shù)據(jù)審核,可明確觀察出哪臺機器在何時訪問了該數(shù)據(jù)。
隨后網(wǎng)絡(luò)管理人員,可以在NTFS分區(qū)中對部份特重要的機密數(shù)據(jù)進行文件加密(Encrypting File System (EFS),該加密的好處在于,即使訪問機器有了NTFS許可,但也照常可以防止他們打開文件。注:各操作系統(tǒng)平臺的不同可以在加密對話框中給其分配特定的許可,實施加密文件夾的共享。
更多的加密方法如:對稱加密算法、不對稱加密算法、口令認證方法、不可逆加密算法等,這里不在一一列舉。
內(nèi)網(wǎng)策略的形成
防外先守內(nèi),為了能更好的將安全工作做到實處,公然對抗黑客行為,那么首先要將內(nèi)網(wǎng)安全加固,才能有余力面對外網(wǎng)中的突發(fā)事件。
策略一直以來是內(nèi)網(wǎng)的守護王道,其不言而喻是通過設(shè)置策略來達到管理內(nèi)網(wǎng)的目的,而作為網(wǎng)絡(luò)管理人員首先要明確自已目的,為什么要限制內(nèi)網(wǎng)?這里提供多點論述,各管理人員可根據(jù)自身的企業(yè)網(wǎng)絡(luò)需求來實現(xiàn)。
一、明文規(guī)定:公司必制定公約來明文約束,只要對公司數(shù)據(jù)形成危脅的形為都將其扼殺在夢想之中,其典型分析為:公司員工未經(jīng)同意的情況下不得將公司以數(shù)據(jù)形式保存的文件擅自帶離公司,或通過網(wǎng)絡(luò)外發(fā)的形式傳遞。
二、應(yīng)用安全策略:面對龐大的內(nèi)部網(wǎng)絡(luò)各部門訪問應(yīng)設(shè)立相對應(yīng)的訪問權(quán)限,如:只讀權(quán)限、數(shù)據(jù)復(fù)拷貝權(quán)限、文件創(chuàng)建權(quán)限。形成專人專訪,無用戶權(quán)或IP的內(nèi)網(wǎng)機器無法越權(quán)訪問其它數(shù)據(jù)。各部門和部門之間如沒有內(nèi)部溝通或連接的必要,因全面限制網(wǎng)絡(luò)互通與訪問。另外,網(wǎng)絡(luò)管理人員可以通過防火墻策略的制定來阻制通過網(wǎng)絡(luò)途徑的數(shù)據(jù)離境。
三、授權(quán)用戶的防范:對于有訪問權(quán)限的用戶竊取公司機密數(shù)據(jù)仿佛很簡單,其實不然,管理人員可以通過Windows Rights Management Services(權(quán)限管理服務(wù),簡稱 RMS)并配合各種不同文本工具的信息權(quán)限管理來限制機密數(shù)據(jù)的復(fù)制、轉(zhuǎn)發(fā)等。并通過注冊表或者利用其它軟件來禁止在某臺計算機或整個網(wǎng)絡(luò)上使用可移動存儲設(shè)備。對于筆記本的外接,網(wǎng)絡(luò)管理人員可以根據(jù)以分配綁定的IP地址與策略來分析,并進行控制哪個內(nèi)部員工或辦公室可以將網(wǎng)絡(luò)電纜插入到集線器或交換機中。
外網(wǎng)應(yīng)對方案
一些安全專家認為,企業(yè)數(shù)據(jù)隨著安全意識的增強,會使得企業(yè)投入更多的財力、物力來加強數(shù)據(jù)防護。數(shù)據(jù)泄露的后果,將促使企業(yè)自身發(fā)生顯著的變化。 對于加強了內(nèi)網(wǎng)數(shù)據(jù)的保護后的企業(yè)而言,真正的考驗卻是來自外網(wǎng)這個大舞臺。
數(shù)據(jù)安全問題,已經(jīng)引發(fā)了企業(yè)網(wǎng)絡(luò)生存的危機。大部分采用了防病毒軟件、防火墻、IDS/IPS等外網(wǎng)安全解決方案,但卻忽視了對數(shù)據(jù)本身的保護,而數(shù)據(jù)恰恰才是企業(yè)真正有價值的資源。對于外網(wǎng)的防護,這里只能依靠網(wǎng)絡(luò)管理人員的經(jīng)驗跟相關(guān)的硬件設(shè)置來進行,例如:硬件防火墻或UTM來進行相關(guān)的明細策略設(shè)置!
企業(yè)數(shù)據(jù)備份問題
企業(yè)為了更好的保證數(shù)據(jù)安全性,都會對相關(guān)數(shù)據(jù)做出備份。為了避免數(shù)據(jù)丟失的嚴重后果,所有的網(wǎng)絡(luò)管理人員都是煞費苦心,然而盡管管理人員做出了一定的技術(shù)協(xié)力,但還是有意外情況所發(fā)生。從根本意義來看遠程備份將會是個很不錯的選擇。
目前現(xiàn)在越來越多的企業(yè)用戶都會選擇固定的數(shù)據(jù)恢復(fù)服務(wù)商作為自身的數(shù)據(jù)安全最后的一道圍城。備份與恢復(fù)本來就是一個保障,備份是為了數(shù)據(jù)的安全,而恢復(fù)則是為了找回丟失的數(shù)據(jù),技術(shù)本身相輔相成。對于企業(yè)用戶而言,選擇固定的數(shù)據(jù)恢復(fù)服務(wù)商可以降低整體成本,而且這樣也能確保恢復(fù)過程中涉密數(shù)據(jù)不被外泄,同時整體恢復(fù)成功率也能有一定的保證。
只有這樣在數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)的同力協(xié)助下,力避眾多不安全因素,企業(yè)才能保證數(shù)據(jù)的最終安全。
后記
數(shù)據(jù)安全本來就是一門大學(xué)科,也許有的企業(yè)會認為,網(wǎng)絡(luò)并沒有傳說中的那么危險!其實表面看來網(wǎng)絡(luò)是風平浪靜,其實暗地卻是波濤洶涌。很多小黑隨時都會拿出掃描工具進行漏洞分析,一但發(fā)現(xiàn)遠程漏洞,那么目標將要面對的就是無情的戰(zhàn)場。
因此現(xiàn)今的網(wǎng)絡(luò)管理員不但要掌握必知的安全知識如:防火墻設(shè)置技巧、入分檢測和加解密技術(shù)等,還要了解黑客技術(shù)以及網(wǎng)絡(luò)掃描技術(shù),這樣才能處世不驚。遇到數(shù)據(jù)安全問題才能化險為夷,如屣平地!
【編輯推薦】
