随着我国企业信息化的普及,信息化给我国企业带来积极影响的同时,也带来了信息安全方面的消极影响。一方面信息化在企业发展的过程中,对节约企业成本和达到有效管理起到了积极的推动作用;另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。
由于我国中小企业规模小、经济实力不足以及企业领导者缺乏信息安全领域的知识、意识,导致一些企业的信息安全面临着风险,我国企业信息化进程已经步入普及阶段,解决我国企业的信息安全问题已经刻不容缓。数通畅联对于安全体系的建立是很重视的,后续的产品、方案演示环境都要进行测试,为此需要先确立安全体系的标准化。
整体概述传统的信息安全建设方法大都从单个系统出发,很少考虑整个组织的全局信息安全。但实际工作应该从组织整体出发,整体考虑所有系统,引入安全体系设计方法,合理搭建企业信息安全框架。
1.安全体系
企业信息安全是以建立企业信息化空间可信环境与秩序作为发展目标的,不仅要保障数据系统安全,还要基于参与者主题“行为与内容”进行资源管理、认证及监控。因此,企业信息安全的重要任务是通过把企业内外部相互孤立的信息安全资源集中、整合起来,在一个安全框架内构成专门的管理、监管、认证、控制功能或职能,行成一个信息安全体系。
2.安全规划
信息安全规划业务的主要工作包括:
1.信息安全策略的制定;
2.安全技术体系建立;
3.安全管理体系建立;
4.安全工程体系建立;
5.持续改进阶段。
3.安全多样
企业信息安全框架要考虑企业的多样性。企业类型的多样性决定了他们信息安全建设的重点和关注点也有所不同。企业根据生产方式不同至少可以分为三大类型:制造型企业、流通型企业、服务型企业。以制造型企业为例,企业信息化以生产制造业务为核心。信息安全的主要关注点是生产流程的可靠性与设计生产的一致性。因此,用一套框架或系统服务于所有行业、不同规模的企业是不科学也不现实的。但是我们可以提出基本核心要素及结构供不同的企业参考。
体系框架信息安全管理体系框架的基本要素分为:安全管理、安全运维、安全技术建设。
1.安全管理
安全管理体系采用“设计、实施、检查、改进”的过程模式建立企业信息安全管理体系。这四个步骤成为一个闭环,通过闭环的不断运转使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。对应这四个步骤,企业信息安全管理视图可以包括以下流程:合规管理、信息安全管理、信息安全策略管理、风险评估管理。
2.安全运维
安全运维体系在企业信息安全框架中是信息安全的系统功能视图,是企业信息安全目标的系统化分解、系统化运行的核心视图。在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。企业安全运维主要包括安全监控、事件响应、事件审计、外包服务等流程。
3.安全技术
安全技术主要包括物理安全、基础架构安全、身份安全、数据安全、应用安全的技术机制和技术管理等流程。采用哪些安全技术,市场上有哪些工具可以使用,是企业信息安全管理者关心的问题。一般来说,可以按照从上到下信息流经的设备来部署工具,即从数据安全、终端安全、应用安全、主机安全、网络安全、物理安全六个方面来选择不同的安全工具。由于信息安全工具繁多,要按照“适度防御”的原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。
说了这么多宏观的内容,下面开始从环境安全和产品安全两部分进行分别介绍,从具体层面说明需要注意哪些安全配置。
环境安全IT技术可以说是一把双刃剑,为我们带来便捷的同时,也带来了威胁,网络安全问题就是其中之一。如今随着黑客技术的发展,服务器被攻击的事件屡见不鲜,如何保障服务器安全是运维界广泛关注的问题。下面为大家提供了六个维护服务器安全的技巧。
1.设置防火墙
对服务器安全而言,开启防火墙是非常必要的手段。防火墙对于非法访问具有很好的预防作用,但开启防火墙并不等于服务器安全了。在开启防火墙后,你需要根据自身的网络环境,对防火墙进行适当地配置以达到最好的防护效果。
注意:cetos7和cetos6防火墙操作方法不同,以下命令说明均是以cetos7为例。
> > > > 配置样例
firewall-cmd的所有命令,本质都是读写/etc/firewalld/zones下的对应文件,如public.xml、trusted.xml。zone指的是不同的安全区域(或者说安全级别),比如:home(家庭)、public(公共)、trusted(受信任的),我们只需要关心两个zone区域,public、trusted。
> > > > public.xml
public.xml是公共网络配置,只需要开启端口或者服务即可,比如:ssh服务、dhcpv6-client服务,80、443端口。
> > > > trusted.xml
trusted.xml是受信任网络配置,把ip白名单或者网段添加进来即可,比如:10.244.0.0/16网段(B级别网段,K8S容器集群ip网段),172.30.128.0/24(K8S物理服务器节点ip网段,通常是C级别网段,根据实际情况来调整);10.23.237.71是单个特定要访问的ip地址(根据实际情况来调整)。
配置样例如下:
