企业信息安全指南

企业信息安全指南您必需了解的十大安全问题和如何维护一个安全的、可信任的在线应用环境对任何大小的企业来讲都是一个必需面对的挑战。本文总结了企业必需关注的最重要的10个安全问题及其问题解决指南，以帮助企业创立一个连接内网和外网的在线安全可信的企业网络及其应用系统。固然，本指南并非没有包罗全部安全问题，主要关注—企业不仅要在效劳器端部署SSL数字证书(SSL证书)，而且还要在客户端部署数字证书，从而构成一个完整的、可信的、安全的、连接企业内外网的电子商务数据交换应用链路。第1：没有SSL数据加密就不行能保证数据的完整性SSL加密是目前最领先的最广泛应用的加密技术来确保 Web效劳器、内联网(Intranet)、外联网(Extranet)和其他基于效劳器的全部应用。假设没有SSL，则无论是通过公网还是私网传输，其传输的数而有了SSL就能保证您的数据在从客户端到效劳器的整个传输过程中的是加密传输的，是不行能被篡改和被泄露的。最近几年来，人们越来越生疏到SSL加密技术的重要用途，越来越多的用户在输入机密信息时会检查扫瞄器下面是否有“安全锁”标志，而全球上百万个网站已经部署了SSL数字证书(SSL证书)来保证效劳SSLSSL就只需简洁的在效劳器安装SSL数字证书(SSL证书)了。一旦部署了SSL数字证书(SSL证书)，则扫瞄器和效劳器之间就建立了一个安全通道，全部从客户端扫瞄器到效劳器之间的数据传输是加密传输的，从而有效地防止了任何危害数据安全和数据完整性的非法窃听行为。SSL数字证书(SSL证书)来保护任何从扫瞄器到效劳器之间传输的任何机密信息和个人重要信息。第2：免费黑客软件可以在30分钟内破解您的口令简洁受到攻击。所以，加强各种密码口令使用治理也就变得越来越重要。现在计算机的计算力气越来越强，使得破解口令密码变得越来越简洁，同时，由于各种重要的应用都已经网络化，这使得破解口令密码的收获和诱惑力也越来越大。现在，已经格外简洁地在互联网上找到和下载一个口令密码破解软件，使得6位数的密码只需30分钟就可以破解，而8位数的密码也只需要6个小时。所以，您应当马上制订口令密码治理规章，如使用大小写混合、加上数字和标点符号、不要使用您的8位以上的长度以及常常修改密码等。最重要的是，您的应用程序应当有如下密码安全机3-5次都无效的应当终止用户使用，这样就可以有效地防止恶意使用穷举法破解。建议系统治理员使用密码破解软件来觉察脆弱的密码。建议：最安全的解决方案是使用客户端数字证书来替代简洁的口令密码验证机制，客户端数字证书能确保您的关键应用的安全性。第3：电子邮件正在泄露您的商业机密()息的接收者才能看到此信息，而电子邮件在企业通信中越来越重要，使得电子邮件的保密治理也越来越重要，由于电子邮件从用户的电脑发出到接收者的电子邮件效劳器是经过公网以明文文本方式传输的，但凡在邮件传输过程中经过的任何环节(效劳器、路由器及其他网络设备)都有可能、也都可以得到您的邮件明文信息，而且几乎全部邮件系统都允许接收者把收到的电子邮件转发给任何第三方而没有任何审计。但是，只要您的员工拥有单位数字证书，员工之间相互交换数字证书信息，员工之间的电子邮件就可以签名和加密，这样就可以确保员工之间交换的机密信息不会被篡改和被非法窃取，对于通过电子邮件发送机密信息的企业应当实行此措施。此外，即时通信(IM)已经在企业获得了广泛应用，但同样应当使用安全加密的方式使用即时通信效劳，否则通过即时通信传输的机密信息会格外简洁被窃取的。企业通信的机密性、确定性和信任性。第4：传统的安全访问把握解决方案不仅无效而且投资大SSL支持两端(效劳器端和客户端)的身份认证，当效劳器装有SSL数字证书(SSL证书)时，说明效劳器是通过验证的(此效劳器的域名全部者申请了SSL数字证书(SSL证书)并获得有效颁发);而客户(扫瞄器)则验证此证书的域名与效劳器域名是匹配的、是有效的、是由信任的机构颁发的。当客户端也使用SSL数字证书(SSL证书)(使用此电脑的人是已经)()来代替简洁的密码验证(固然，可以同时也有密码验证)来获得效劳器的授权访问。使用客户端数字证书要比简洁的口令密码验证安全很多，由于一个人的数字证书是不行能被另一个人伪造的，即使安装有数字证书的电脑被盗，照旧需要密码来激活数字证书。而由于数字证书是一个经济有用(如CRM和企业内联网)都开头承受SSL数字证书(SSL证书)。很多公司开头或将要开头安装VPN系统(虚拟内部网)，便利远程用户通过互联网访问企业内部验证，应当在部署VPN时使用SSL数字证书(SSL证书)来实现身份验证和数据传输加密。时间同步动态口令系统(tokens)SSL数字证书(SSL证书)来替换脆弱的静态口令密码验证手段和昂贵的时间同步动态口令系统，此解决方案比前者更加安全，比后者廉价很多，同时格外简洁部署。5：建立一个有效的内部公钥治理系统(PKI)是一个费时费钱的事情(PKI)续期等治理数字证书的手段，则企业不行能部署一个安全的内联网和外联网，特别是对于一个有很多分支机构和移动办公员工的大型机构来讲。同时，假设不能实现安全的访问，企业员工也无法随时随地访问企业的核心数据系统，用户也不行能放心地从事网上交易。现在，很多企业已经充分生疏到电子邮件和即时通信的担忧全性，加强电子邮件的治理和制止使用即时通信，也正在寻求安全通信解决方案。PKI系统理论上是格外成熟的技术，但是实际实施时需要简洁的硬件和软件系统，还需要专业的懂得PKIIT人才，需要专业的专用的系统来保护其安全，这无疑会是一大笔投资。但是，现在您可以无需以上投资，而是把PKI系统外包给可信任的专业的第三方CA(认证中心)来依据企业的需要来治理PKIPKI(CA)可以让企业便利地使用扫瞄器来依据自己的业务需要在线颁发自己所需要的效劳器SSL数字证书(SSL证书)和客户端数字证书，已经有很多应用而且越来越多的应用都支持数字证书，如基于扫瞄器的应用、电子邮件系统和VPN系统等。对于外包的PKI效劳，有几个因素要考虑：是否供给灵敏认证机制(/她是谁，又怎样确认他/她就是他/她说的谁)?是否供给便利的治理界面(由谁来治理和把握整个过程是否供给便利操作的用户界面(最终用户如何申请自己的数字证书)?很多机构期望能把以下需求外包给一个可信任的第三方：安全访问、安全通信和安全在线交易。安全访问就是让企业的员工能便利的在任何地方通过互联网安全地访问企业的内部网和内部机密数据(如CRMERPOA)，这对于全球性和全国性的大机构格外急需。安全通信，主要是指电子邮件和即时通信，需要供给一种安全机制来识别信息发送者的真实身份和确保信息的内容不会被窃取。而安全在线交易则要求把现在的基于纸质文件的手写签名方式变为无纸的数字签名，同样涉及到加密传输和身份认证问题。建议：最明智的选择是购置PKI治理外包效劳，让可信任的第三方利用其现成的PKI系统来在线PKIPKI系统。第6：只需要点击一下鼠标，您的网站就可以被克隆假冒SSL对于敏感数据的加密是格外重要的，但请留意：SSL不能证明一个网站的真实身份，这是“互联网安全上的一个不行告人的小隐秘”的数据传输是加密的和安全的，但并不等于您正在访问的效劳器就是您期望访问的企业的效劳器。为了保护企业和用户的利益，企业应当为其企业网站申请网站身份认证，在网站的醒目位置显示一个不行假冒的可信真实网站标志。对于企业()来讲，这就有效地预防了网站被假冒的可能，而对于用户来讲，/她期望访问的机构的网站，而用户也不能仅仅凭网站上讲它是哪个单位的网站就信任它就是哪个单位的网站。()是Flash图片，是格外简洁连同网站一起被复制下来的。而目前只有GeoTrust全球独家专利供给动态生成的与网站域名绑定的网站身份认证签章，此认证签章是不行复制的，是由嵌在网站上的一段代码自动生成的，通不过认证就不会显示认证签章。信任网站全部者。第7：没有牢靠的物理安全和网络安全，企业的机密数据是简洁患病入侵的比方离开电脑锁上屏幕、重要效劳器的门禁制度以及进入敏感地区的指纹身份识别等。过网络的各种行为，设置哪些IP地址和哪些端口的访问权限。同时，建议不同的网络区域和应用层部署不同的防火墙(如DMZ区、Web效劳器、应用效劳器和数据库效劳器等)。分析和揭露黑客的手段，指出需要尽快解决的安全漏洞和跟踪攻击者的行踪等。件效劳器上安装防病毒软件来防止通过电子邮件传播的病毒。IISWeb效劳器的IIS的补丁可以免费下载，但还是有30%IIS没有升级。再重复一句：马上升级和安装安全补丁!安全威逼、保护机密数据和保持业务的正常运转的有利措施。第8：利用Modem远程访问的风险为了远程维护便利，很多系统都允许通过Modem远程访问安全网络的核心局部，但这实际上为黑客Modem连接的内部网(包括企业和政府系统)，这些黑客还常常能得逞。建议卸下Modem接入系统，建立一DMZ(能访问互联网但只能有限地访问内部网)VPN方式远程访问DMZ区，再从DMZ区访问核心局部，只要合理配置防火墙，是能有效地保证安全远程访问的。建议：为远程访问或产品测试效劳特地设立一个DMZ区来降低网络安全风险，这对于重要的正在正式供给效劳的业务格外重要。第9：最薄弱的环节还是人的治理件系统和上网治理等，并要求全部员工严格执行。部网埋下了“木马”，看似格外安全的内部网就埋下了一个安全威逼。可怕的问题，抓紧把写下来、与相关人员沟通并严格执行。第10：“在网上没有人知道你是一只狗”“在网上没有人知道你是一只狗”是来源于一个知名的纽约人的漫画，现在已经被广泛用于各个网站、演讲、甚至印在T恤衫上，这也反映出在互