1.個人信息安全保護措施
由于個人臺式或便攜式電腦的丟失難以避免,因此企業必須積極做好個人電腦的信息安全工作,因為大中型企業數據量大且較分散,數據的丟失會直接關系到企業的運行安全和效益,特別是一些機密文件或數據的丟失會給企業造成難以挽回的損失。這就要求企業網絡管理員和員工除了要有一定的數據安全意識,還要積極采用必要的防范措施,目前保護個人電腦的安全措施主要包括:
(1)采用強身份認證系統,例如指紋或USB Key等
采用指紋驗證是最安全的,能夠確保特定人登錄特定電腦,比如惠普公司出品的高端筆記本電腦很多都帶有指紋識別功能。USB Key是一種近年來發展和利用最廣泛的身份認證系統,很多認證設備都采用通用USB接口接入電腦。其中內置的智能卡芯片,用來存儲用戶的私鑰或數字證書,且用戶在開啟電腦時會通過輸入自己設置的密碼調用保存在USB Key中的私鑰,再利用企業身份認證系統內置的公鑰算法實現對用戶身份的安全驗證,只有驗證通過的用戶才能使用電腦。由于特定公鑰和私鑰是世界上唯一的一對。采用這種辦法,即使用戶丟失電腦或丟失USBKey,非法獲得電腦的人都由于無法獲取私鑰而無法登錄電腦,因此保證了用戶個人電腦的安全性。
(2)采用文件加密軟件保護用戶文件
例如現在比較流行的加密軟件“文件夾加密超級大師”就能夠保護企業大部分數據不被非法竊取。
企業員工可以使用類似比較成熟的加密軟件可以實現文件夾閃電加密和隱藏加密,且加密后防止復制、拷貝和刪除,并且不受系統影響,即使重裝、Ghost還原、DOS或安全模式下,加密的文件夾依然保持加密狀態。文件夾加密使用國際上成熟的加密算法將文件夾內的數據加密成不可識別的密文,所以加密強度相當高,沒有密碼絕對無法解密。
除此之外還具有文件加密后的臨時解密功能,解密文件時需要輸入正確密碼再打開。使用完畢后,自動恢復到加密狀態,無需再次加密。
2.移動設備安全保護措施
企業病毒有很大一部分來自于利用移動存儲介質的傳播。很多病毒可以通過微軟操作系統的自動播放功能和“映像挾持”等技術執行移動存儲介質中的病毒等程序,感染用戶的個人電腦,并且具有較強的隱蔽性和自身復制傳播能力。同時部分病毒還具有關閉殺毒軟件進程,遠程下載木馬等一系列功能,嚴重威脅信息系統安全。同時移動存儲介質和便攜式電腦一樣,也存在容易丟失的問題。針對以上問題我們可以采取以下措施保護移動設備信息安全:
(1)制定有效的移動存儲介質防病毒策略
通過組策略禁用自動播放功能、安裝自動掃描移動介
質的防病毒產品等技術手段,排除病毒隱患。
(2)對移動存儲介質進行分級保護
根據不同的保密需求制定各個實體之間的訪問規則,增加密級標識和基于主客體密級標識的訪問控制等管理功能。只允許授權用戶對加密后的文件和目錄進行讀、寫和修改等操作,防止未授權用戶使用涉密存儲介質獲取敏感信息。
(3)不斷完善技術保密的措施
采用芯片加密、USB KEY等加密存儲技術,對涉密存儲介質內信息進行加密認證,從技術上確保移動存儲介質的信息安全。即使設備被竊取,也無法輕易獲取加密信息。
3.合理規劃集中管理企業共享信息
企業共享信息的安全是企業網絡運營的永恒話題,在大中型企業中通常采用集中式賬號管理辦法,在Windows環境中采用活動目錄技術,在Linux環境中采用NIS服務器進行賬號登錄、信息訪問等的集中管理,彌補了Windows系統工作組模式下的文件訪問零散且難以管理的問題。
在Windows系統中我們可以利用活動目錄技術將企業信息集中化。在活動目錄環境中采用域管理模式、將整個企業信息作為一個整體資源集中管理,企業賬戶和數據都作為對象存放到活動目錄域控制器中。對于企業賬號管理方面,可以為每位員工指定一個唯一的域帳號,通過此賬號可以使用戶在世界任何地方登錄到企業域環境并訪問域資源。同時還可以將用戶賬號加入活動目錄技術中特有的若干個不同功能的用戶組,包括域中全局組、本地組、通用組,方便用戶充分利用組特性實現訪問安全性和有效性。
我們以Windows Server 2003活動目錄使用為例,在域控制器的上設置磁盤配額限制,將企業用戶按三種不同使用級別分配訪問空間,普通員工設置配額100M,部門經理500M,總經理不限。同時還可以將域控制器及企業數據庫等關鍵業務做成磁盤陣列,已保證企業服務運行的穩定性和安全性。為了實現用戶登錄域和訪問域資源的透明性,我們還可以利用分布式文件系統DFS,將分散在不同的物理位置的資源進行整合。在域控制器或成員服務器上將多個DFS路徑對應一個或多個共享目錄。同時由于大部分企業通常有多個域控制器互為備份,所以默認情況下,DFS映射將自動發布到活動目錄中,因此其他域控制器都可以充當企業分布式文件系統備份服務器,這就保證了在一個或多個分布式文件服務器不可用時,這個企業資源仍可使用,達到信息冗余,保證企業網絡可用性的目的。
在Linux系統中我們也可以