企業內網的安全運維管理
這里的內網主要是指企業的內部局域網。隨著企業ERP、OA、CRM等生產和辦公系統的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,內網信息網絡已經成了各個單位的生命線,對內網穩定性、可靠性和可控性提出高度的要求。內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。
相對于內網安全概念,傳統意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全,包括傳統的防火墻、入侵檢察系統和VPN都是基于這種思路設計和考慮的。外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。
而內網安全的威脅模型與外網安全模型相比,更加全面和細致,它即假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何一個節點上。所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者的細致管理,實現一個可管理、可控制和可信任的內網。由此可見,相比于外網安全,內網安全具有:要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理等特點。
外網安全主要防范外部入侵或者外部非法流量訪問,技術上也以防火墻、入侵檢測等防御角度出發的技術為主。內網在安全管理上比外網要細得多,同時技術上內網安全通常采用的是加固技術,比如設置訪問控制、身份管理等。當然造成內網不安全的因素很多,但歸結起來不外乎兩個方面:管理和技術。
由于內網的信息傳輸采用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用可管理的安全交換機,利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,并建立和實施有效的用戶口令和訪問控制等制度。為了維護企業內網的安全,必須對重要資料進行備份,對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
在內網考慮防病毒時,防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒入侵;防病毒軟件應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護。由于內部局域網一般都是通過防火墻實現與互聯網的邏輯隔離,因此通過對防火墻的NAT地址轉換,終端PC機的IP/MAC地址綁定以及安全策略的實現內網安全。局域網內的PC機操作系統、應用軟件以及防病毒、軟件的補丁與升級、正版軟件的使用等也是影響內網安全的重要方面。
采用上網行為管理系統軟件,實現網站訪問限制、網頁內容過濾、即時通工具過濾、IP地址綁定、IP訪問控制等功能,為內網的用戶實現了高度智能化的上網行為管理,全面保障企業關鍵應用的正常運行。應該以動態的方式積極主動應用來自內網安全的挑戰,建立健全的內網安全管理制度及措施是保障內網安全必不可少的措施。
因此,企業內網的安全運維管理需要一個整體一致的內網安全體系,包括身份認證、授權管理、數據保密和監控審計等方面,并且,這些方面應該是緊密結合、相互聯動的統一平臺,才能達到構建可信、可控和可管理的安全內網的效果。企業用戶內網安全管理制度、整體一致的內網安全解決方案和體系建設將成為內網安全的主要發展趨勢。
企業網管系統中是否需要安全運維管理
隨著企業網絡應用和規模的不斷增加,網絡管理工作越來越繁重,網絡故障也頻頻出現:不了解網絡運行狀況,系統出現瓶頸;當系統出現故障后,不能及時發現、診斷;網絡設備眾多,配置管理非常復雜;網絡安全受到威脅,現在企業可能會考慮購買網管軟件來加強網絡管理,以優化現有網絡性能,網管軟件系統已經變成企業不可缺少的一項功能。
目前網管系統開發商針對不同的管理內容開發相應的管理軟件,形成了多個網絡管理方面。目前主要的幾個發展方面有:網管系統(NMS)、應用性能管理(APM)、應用性能管理、桌面管理(DMI)、員工行為管理(EAM)、安全管理。當然傳統網絡管理模型中的資產管理,故障管理仍然是熱門的管理課題。越來越多的業務將進入網絡管理的監控范圍,對于業務的監控的細分化,都將成為今后的網絡管理系統完善的重點。
