信息化环境安全部署建议
当前,信息系统安全已经成为企事业单位日常系统运营的重要问题,如何做好整套的信息安全体系是一个十分重要的问题,我们根据中小企业常见的信息化环境构架,提出了如下几点建议:
1.防火墙部署,控制网络出口;服务器前端部署防火墙,开启安全防御策略
建议网络核心采用山石防火墙作为整体网络出口管理的核心设备,通过防火墙的上网行为管理功能,对网络内部进行访问限制;通过其日志记录功能可以监测日常访问记录;通过其防病毒功能,可以对内外网的病毒侵害进行有效的防御和预警;通过其防黑***检测功能,可以有效的预防***/***侵害.
同时,如果对核心业务的网络安全级别要求较高,可以在服务器前端部署一台高性能IPS***防御检测设备或一台更高性能的防火墙(配备更高的安全模块),以便于对网内的各类非法***、***病毒等进行更加严密的防护,
山石网科新推出的SG6000-C系列产品,具有更好的防御和管理性能,同时全面开始支持手机监测,可以为管理人员提供公司内部实时的网络安全监测情况(有免费版和收费版),以便于及时做好相关运维工作。
新产品同时在SSL-×××授权方面拥有更好的性能和价格优势,适合分支机构较多,且较分散的单位部署,相比于诸多远程系统,其性价比和安全性更好。(需要总部联通、电信双线路部署,以便于保证分支访问速度)
2.华为三层核心交换机部署 划分虚拟子网
目前的交换机是非网管型交换机,不能有效的控制内网相关的访问,同时其网络数据吞吐量也不能满足内网数据传输需求.更换为华为三层千兆网管型交换机以后,核心网络数据吞吐量将极大的提高,进而提高内网数据传输性能.
同时三层网管型交换机还可以划分多个虚拟子网网段,通过这一策略,可以将财务、设计、业务等多个部门,以及无线、监控等通过不同网段隔离开,同时设置访问策略,允许必要的业务程序进行访问,可以有效的控制和监测网络应用。
通过部署三层交换机,可以将故障限制在某个或几个端口,将问题控制在下一层交换机区域,而不至于导致全局网络遭遇网络风暴等严重故障。
3.配置数据备份服务器
随着近两年以勒索病毒造成的数据损毁灾害事件,以及数据安全的迫切需求,数据备份已经是企业信息化环境中必须考虑的问题。传统的备份手段,一般是讲数据备份到服务器环境的另外一个分区,或者采用移动硬盘拷贝,其可靠性低,操作冗繁,且不能保证每天能够稳定备份,一旦数据损毁,将给公司带来极大的损失。
当前最经济的备份设备,莫过于采用NAS存储服务器了,群晖企业级NAS设备可以支持大容量硬盘,自带很多数据管理套件,可以实现FTP服务器功能、定时完整或增量备份,支持原路径还原。如果后期需要更强大的备份功能,可以购买专业的紫光数据库备份软件,为数据安全提供更加强大的保障功能。
群晖结合紫光数据库备份软件的备份一体机,特别适合中小型企业使用,其操作界面简单易上手,全中文操作环境,可以支持MS-SQL、Oracle、Mysql等主流数据库,同时支持MongoDB等NO-SQL类数据库,也支持重要文档类数据的备份功能,系统尤其是对时下日益泛滥的勒索病毒具备很强大的免疫防御功能,对企业的数据备份安全能够提供可靠的系统保证。
同时配合两个以上的群晖设备,还可以实现多地异地备份功能,也可以实现文件多站点分发功能等。
4.信息安全管理制度及规范健全和完善
建议公司通过部署防火墙、三层交换机组成的网络管理体系,建立一套合理的基于信息安全的管理流程,从而对公司整体的信息和网络安全进行有效的管控。
同时,对于分支机构的各类信息账户建立统一的管理体系,对账户赋权管理、人员变动交接等方面工作,全面同信息系统进行业务流程的关联,以免相关漏洞导致数据泄密或遭遇内部非法侵入导致的数据或系统的损失。