关于企业级安全管理策略的探讨

　　关于企业级安全管理策略的探讨

　　企业计算机网络是在一定的硬件体系架构下各种信息数据流通、汇总、处理的物质载体。它是企业内部办公自动化（OA）、企业信息管理系统（MIS）、企业内部信息广播或交互平台等的基础。企业内部网络的信息处理和交互能力为企业的数据信息共享、日常管理、商务处理提供了极大的便利性，但也为病毒的小范围迅速传播和爆发打开了方便之门。而且对于企业网络，INTERNET的接入在现阶段已经不可或缺。本文探讨了基于企业级的安全管理策略的整体要求，为企业用户制定安全管理策略，同时也探讨企业如何选用安全管理软件提供一定的参考。

　　企业级的安全管理策略

　　1．企业安全管理，“防”字为先。

　　从上世纪60年代出现起，计算机病毒，各种黑客攻击这些信息化的负产品就同与之针锋相对的安全防范技术构成了信息时代最为令人瞩目的矛与盾的关系。而现今随着病毒以万为数量级的增长、变异能力的不断增强，以及更具危害性的网络攻击手段的出现，安全管理提出了一种全新的“防”的理念，即就是利用可行的技术手段，在各种恶意攻击的传播途径中设置防护屏障，尽可能扩大安全防范范围，进行更全面的安全管理，将攻击隔离于所防护的网络系统之外，最大限度地保证网络环境安全。

　　2．良好的兼容适应性。

　　如同前面所说,网络的硬件环境是数据信息流通和处理的物质载体。其对企业网络系统环境的适应性不仅决定了本身的安全管理能力，更关系到网络系统运行的稳定，良好的兼容与适应性是应用于企业级网络安全管理的基本要求。

　　3．整体的安全防范，实现全网各节点和终端的统一管理、统一调控。

　　企业网络的安全管理是具有鲜明整体效应的，以反毒软件来说，一个反病毒所涵盖的范围直接影响了整个网络防毒能力的强弱，对于一个网络系统，即使只有其中某一个数据节点没有做好安全管理工作，它也很可能成为病毒散播的温床，黑客攻击的跳板，从而导致网络其他部分的安全管理部署形同虚设。对于企业级网络，分散凌乱的管理控制方法显然不具备可行性，那样只会是网络管理人员疲于应对各个局部受控点不同的安全需求，网络管理人员需要的是从一个有集中控制能力与权限的中心节点下发各种指令来操控整个网络的安全管理工作。

　　4．实现全网防毒统一升级和更新，从而实现安全管理体系的整体性与智能性。

　　出于成本考虑，企业对其网络系统不可能安排大量网管人员来进行系统管理与升级工作，这就需要企业级安全管理反病毒软件具有自动统一升级的能力，具有这种能力的软件不仅解决了系统本身的更新和优化，更重要的是，它使得网管人员能够从繁杂而机械的劳动（升级）中解脱出来，从而能够更为专注地应对网络管理的其他问题。

　　5．强大的信息收集和反馈机制

　　网络系统的安全状况不是静止的，伴随着网络软硬件资源的变更，安全管理部署也应不断跟进和调整，而用户的管理和策略组织需要建立在全面详细的信息收集基础之上。所谓知己（掌握网络自身防护状况和指令操作状）知彼(了解病毒特征和活动情况)，百战而不殆。

　　6．安全措施的灵活与智能化。

　　企业网络体系中，服务器、客户机拥有不同的地位与作用，这就要求能够根据受保护机的不同要求来制定相应的安全措施，而企业网络的复杂性又决定了部署方式的多样性。因此，企业级安全管理措施要能够具备多种部署方案，而这又在一定程度上取决于式，这一点后文中将有介绍，此处不再赘述。

　　7．选用安全防范产品的技术支持与服务要有可靠性和持续性的保证。

　　安全防范不是一劳永逸的，这是一个持续不间断的过程，这就要求选用安全防范产品的技术支持和服务具有相当的可靠性与持续性。这不但包括了传统上的产品更新和升级，对于企业级用户更要求有专业化高技术含量的技术支持与售后服务。

　　在有了适合企业的安全管理模式后，我们对企业如何选用安全防范产品有如下建议：

　　1． 先进的工作模式

　　目前业界产品的工作模式基本可分为C/S（Client/Server）和B/S（Browser/Server）两种。其中C/S模式的优点是拥有强壮的数据操纵和事务处理能力，以及数据的安全性和完整性约束。但它也有诸如对客户端软硬件要求较高、移植困难、不利于推广使用、维护复杂且升级麻烦、新技术不能轻易应用等缺点。

　　相对于C/S工作模式，B/S工作模式下的产品简化了客户端，它无需像C/S工作模式那样针对客户端的差异性采取不同的措施，而只需安装通用的浏览器软件，这样不但可以节省客户机的硬盘空间与内存，而且安装过程更加简便、网络结构更加灵活，其次B/S工作模式使产品简化了系统维护，只需把所有的功能都实现在Web服务器上，就能为各个组别的用户设置不同的权限。

　　2． 集中式统一管理

　　集中式统一管理和多层次分级管理，这两种管理方式有机结合的成效绝对是1＋1>2的。中心管理节点实现对全网的统一调控和配置，同时得到中心节点授权的下级节点又可以实现对所控制区域有针对性的配置，这种模式可以将企业行政架构、计算机网络系统及防毒体系三者完全融合，使得信息安全的管理模式迈上一个新台阶。

　　3． 全网统一漏洞扫描和修复

　　能够通过中心管理节点实现对全网统一漏洞扫描，并能够集中下载补丁安装，降低对网络资源占用的同时还能够降低网管人员工作量。其具体特点如下：

　　（1） 漏洞扫描结合修复安装

　　全网漏洞扫描的目的是为了针对系统漏洞进行修补，漏洞扫描与修复紧密结合的方式将极大降低网管人员的工作量，使得全网漏洞扫描真正富有意义。

　　（2）实现主动修复和针对性修复

　　所谓“主动修复”是指管理员通过控制节点发出扫描修复指令后，系统能够自动下载修复补丁程序自动安装，从而体现自动性和实时性，有利于应对紧急事件。而“针对性修复”则强调了网络系统的复杂性与差异性，网络中每个防护点的机器状况、系统环境都不尽相同，这就要求能够根据实际的情况安装合适的漏洞补丁。

　　4．自动化、智能化级连升级

　　拥有独立于各个管理节点的升级服务器，能够支持升级数据流灵活部署，实现各个升级服务器的负载均衡，优化网络整体性能。同时在保证过程可控前提下实现自动化升级，使用户能够通过简单的操作完成整个升级过程；

　　5．多途径病毒报警机制和强大的日志报表功能

　　管理节点能够通过SNMP Trap、NT事件、Email和信使等多种方式接收客户机的病毒事件报警，及时了解网络内部病毒的侵入事件。能够使用数据库技术和LDAP技术进行策略和日志的存储、用户管理等功能，以增强用户管理能力、策略组织能力，提高策略调用速度，而且便于以后向日志分析等方面扩展。

　　6．可靠的技术支持和服务

　　拥有便捷的信息反馈渠道：生产安全防范产品的厂家建立专职的客户服务部门，可以将客户反映的问题及时交由专业技术人员分析解答；渠道多样，可以通过传统的纸张邮件，又可以通过INTERNET快速递交。安全服务产品背后应该有一支专业的技术支持队伍：由富有经验的专业技术人员组成，并通过培训、模拟试验等方式使他们掌握快速解决问题的办法。同时他们能够始终提供及时的咨询服务，应急快速反应。

　　人们越来越意识到企业信息安全的重要性，同时企业市场对性能可信、能够抗击现在和以后混合威胁的反病毒，反恶意攻击产品和服务的需求也在不断增长。企业级安全管理市场正在走向成熟，传统意义上的产品已经不能适应快速发展的需求，业内厂商需要把相关安全解决方案以及服务支持结合起来，这样才能形成可抗击混合威胁的安全卫士。

　　对于企业反病毒来说，如何通过少量的管理员来维护庞大的内部网络是首要问题，各个防病毒厂商的网络版杀毒软件就是针对企业用户的这个特殊性而推出的，如何通过整体的管理策略和解决方案，来让企业网络管理员能便捷、轻松、放心地掌控企业信息安全，是网络版杀毒软件要实现的首要目标。可以说，企业防毒，“三分技术，七分管理”。本文将着重介绍目前主要的企业反病毒管理策略。

　　1.集中管理

　　任何企业都有对反病毒客户端集中管理的需求，这样才能实现少量的管理员维护庞大的内部网络这一目标。在管理方式上，可分为B/S架构和C/S架构两大主流，B/S架构相对C/S架构来说实现更为复杂，但给管理员提供了一个可移动的管理控制台，更便捷、灵活。而C/S架构则具有实时性的优点，能够实时反映状态信息。

　　2.分级（分地）管理

　　在集中管理的基础上，衍生出分级（分地）管理的策略，针对那些有分支机构的企业，提供中央＋地方的管理模式。中央的管理员能够管理企业网络内所有机器，而分支机构的日常维护工作则由地方管理员来执行；对于这样的企业来说，这样的管理策略显然比单纯的集中管理更可靠、灵活。

　　对于拥有三级以上分支机构的企业来说，单纯的二级管理并不能满足他们的需求，因此，分级（分地）管理还可以演化为多级（分地）管理的模式，由于企业的分支机构绝对部分是树状的，多级（分地）管理在逻辑上也应当采用树状结构。

　　3.分组管理

　　分组管理是对一个企业机器群的细分管理方式。一个企业内部可能分为研发、市场、财务等部门，而相应的安全性、稳定性的要求是不一样的，分组管理在客户端设置、警报级别等方面进行细分管理，帮助企业管理员制定更完善和有针对性的安全管理策略。

　　4.权限管理

　　权限管理是一种强制性策略，管理员通过设置客户端权限，来保护整个网络的利益。由于当前的蠕虫病毒感染性很强，一旦局域网内某台机器中招，将迅速波及未防范的机器，而由于企业员工的安全意识参差不齐，必须通过集权手段来保障整体网络安全，通过权限管理，管理员可限制反病毒客户端的直接控制权，比如开/关防火墙、卸载客户端、关闭客户端、更改客户端设置。

　　5.升级管理

　　保证全网所有客户端病毒库的及时更新是升级管理的目的，为了减少网络带宽和管理员维护的难度，在企业内网搭建专用的升级服务器是极佳解决方案。升级服务器包括自动更新、手动更新、升级包更新等升级方式，相应的管理接口有日志管理、病毒库管理。

　　对于大型企业来说，一个升级服务器不能满足所有分支机构升级，由此可以衍生出多级升级服务器的方式。下级升级服务器到上级升级服务器下载更新数据，而一旦上级升级服务器宕机，下级升级服务器也可以单独升级。总而言之，升级的管理是非常重要的，必须提供多途径，多方式，而且具备稳定性、可靠性，以保证新的恶性病毒爆发时能及时更新病毒库，否则后果是灾难性的。

　　6.警报与日志

　　警报在疫情发生或者将要发生时提醒管理员，使管理员可以预先防范，或者采取应急措施，保障企业数据安全。而日志是管理员对行为的一种回溯途径，可以帮助管理员查找历史记录、可疑操作以及越权操作，以发现安全管理隐患。日志与警报是任何一款网络管理软件都必需的。