试论企业信息化建设中的安全分析(2)

信息化设备包括网络设备、服务器、布线、机房设备等, 要保证信息化网络的高可用性, 在设备选择上必须坚持高性能和高可靠性, 在系统设计上也要充分考虑网络和设备的冗余备份, 尽量避免网络单点故障, 服务器等关键设备的可靠性也要给予充分的重视。

1.2 信息化软件

信息化软件主要包括操作系统、数据库、应用系统等。应尽量选用性能好安全性能高的操作系统, 服务器应优先选用Linux/Unix 系统;数据库主要包括实时数据库和关系数据库, 在选型上应尽量选择知名公司的产品；应用系统可以采用现成的软件系统, 也可以跟其他公司合作, 开发符合公司发展需要的系统。

1.3 灾难恢复

灾难恢复是指当信息设备发生灾难时对数据和服务的恢复, 完整的灾难恢复策略应包括备份硬件、备份软件、备份制度和灾难恢复计划等。

对企业而言, 最珍贵的不是信息化设备或系统, 而是各种文档和数据库信息。所以企业要考虑各方面的软硬件系统备份制度及灾难恢复制度。

对中小企业来说, 首要考虑的是常规数据备份的问题。常规数据备份一般要求数据至少有两种拷贝, 一份放在生产环境中以保证数据的正常恢复和数据查询恢复, 另一份则要异地保存, 以保证在生产本地出现灾难后最低限度的数据恢复。另外, 还应建立相应的数据异地存放制度, 从而确保对数据备份的可靠恢复与有效稽核的实现。其次,要建立相应的灾难恢复制度。灾难恢复制度一般分两类。一类是全盘恢复, 另一类是部分文件恢复。全盘恢复一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等, 也称为系统恢复。由于操作人员的水平不高, 部分文件恢复可能要比全盘恢复常见得多, 维护人员只需浏览备份数据库或目录, 找到该文件, 触动恢复功能, 软件将自动驱动存储设备, 加载相应的存储媒体, 然后恢复指定文件。

1.4 病毒防护系统

企业的用户终端多, 如果采用单机防病毒软件, 成本高, 维护起来也不方便, 所以针对企业而言, 防病毒的重要手段就是要部署网络防病毒系统。这样才能保证整个企业范围内的防病毒工作的一致性和完整性。

网络防病毒系统不仅仅可以对服务器或用户终端进行病毒防护,更重要的是能够通过网络对防病毒软件进行集中管理和统一配置。它可以通过系统控制台进行监控、分发部署防病毒客户端等其他辅助功能来防御病毒的威胁, 这些功能也意味着可以统一并实施企业网络的防病毒策略、隔离已遭受病毒攻击的终端、遭受病毒时可以及时做出报警或通知等等。

1.5 防火墙

防火墙技术是保护网络不受侵犯的技术之一。当企业内部网络连接到Internet 上时, 防止非法入侵, 确保企业内部网络的安全就是至关重要的事情了。最有效的防范措施之一就是在企业内部网络和外部网络之间设置一个防火墙, 实施网络之间的安全访问控制, 确保企业内部网络的安全。

防火墙由一些软硬件组合而成。它可通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。防火墙通过一定的安全策略过滤掉一些数据包, 能有效隔离内部网与公共网络, 实施二者之间的访问控制, 对抗与公共网互联的内部网所受到的安全威胁, 防止TCP/IP 环境下对网络资源的非法使用。

企业通过配置防火墙策略, 可以禁止员工在上班时间访问企业信息化建设中的安全分析Internet 或只能使用与工作有关的Internet 资源；限制使用BT 软件来排除占用网络带宽的隐患等等, 灵活的安全策略极大的帮助企业对网络的有效管理。

1.6 入侵检测系统

如果企业对某些信息化系统的安全性要求较高, 如为了保护电子商务网站、监控企业的互联网接口等, 有必要引进入侵检测系统( 简称: IDS) 。

IDS 是安全审计的技术之一, 它是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术, 它从计算机系统或网络中收集信息、分析信息, 检测任何可能企图破坏计算机资源的完整性、机密性和可用性的行为, 即查看是否有违反安全策略的行为和遭到攻击的迹象, 并做出相应的反应。

1.7 身份认证技术

如果把信息安全体系看作是一座房子, 那么VPN、防火墙、入侵检测、防病毒系统等等就是房子的楼板, 身份认证就相当于房子的地基。身份认证是指计算机和网络系统对操作者确认身份的过程。身份认证用于解决操作者的物理身份和数字身份的一致性问题。就企业而且, 目前较为常用身份认证技术有以下四种:

●用户名/密码方式