个人对信息安全管理策略的总结和感悟
1.更新软件漏洞漏洞是当初设计的时候有意或无意留下的缺陷,被发现的漏洞可以根据它的严重程度对使用者构成威胁。小到匿名获取信息,大到获取系统控制权限为所欲为。
修复系统就是对已知的系统漏洞进行打补丁。补丁是针对已知的漏洞进行修补的一些程序,比如微软定期发布的补丁就是针对使用过程中被不断发现的漏洞而对系统进行修补的工具包。及时打补丁可以有效的提高系统的安全性,保护电脑免受攻击。
1.1 更新服务器操作系统漏洞
一般来说,服务器的操作为Windows、Unix、Linux三种,每种操作系统也是一种软件,在该系统中止使用前,会被人们不断的发现一些漏洞。为了降低漏洞对用户的威胁,厂家都会定期发布一些系统漏洞补丁。对于采用这些系统的应用系统来说,如果其运行的系统平台不安全,就谈不上应用系统的安全。
1.2 更新应用软件的漏洞
应用系统软件如ORACE数据库系统、SQL数据库系统、HIS系统、PACS系统等随着时间的推移,原有的软件漏洞会不断的被发现,同时厂家也会不断更新相应的软件以适应应用系统需求的发展。例如sql2000数据库系统从使用到现在,己经经历过四次重大的更新,厂家发布了SP1、SP2、SP3、ITSS、SP4补丁,09年2月份也发布了sql2000的补丁。
1.3 网络设备的IOS更新
网络设备如交换机、路由器、防火墙其本身也是一套运行在特定的硬件平台上的软件。这些软件本身也存在漏洞也会随着时间的推移进行更新。如cisco2950交换机的IOS也从04年12.1(13)版本更新到现在的12.1(22),四年内有十次更新。新版本的IOS不仅会解决老版本IOS中存在的己知漏洞,也会优化软件、增加新功能、可以抵抗更多的攻击。网络设备的不安全会直接导致网络数据无法正常转发。07年5月份,由于cisco路由器的故障,导致日本上百万网民无法上网。
1.4 更新终端PC的系统和应用软件补丁
PC机上运行的XP操作系统、VISTA操作系统、LINUX操作系统、OFFICE、FLASH、ACROBAT、REALONE、QQ、ITSM等软件,也会不断发现出新漏洞。微软每月份都会发布一到两次漏洞补丁。2008年6月份,FLASH软件就爆出了一个漏洞,致使某些单位网络瘫痪、PC机无法连到外网、杀毒软件无法运行、大量木马进入PC机,最后只有一台一台的去处理木马病毒,如果事先打好了FLASH补丁,也就不会耗费这么大的力气去处理故障。同时,漏洞是针对软件的攻击,杀毒软件是无法查杀这类攻击,除了打好补丁外,就只有删除这种软件。
2.网络版杀毒软件
电脑感染病毒是非常常见的事情,接上一个U盘、打开不安全的网页、在局域网内打开任何一个网页、查看邮件、资料共享、资料下载等都会让电脑感染病毒。在终端电脑上安装杀毒软件并及时更新杀毒软件的病毒库,是对付病毒的众多措施中必不可少的一项。在网络环境中,网络病毒只要存在一台电脑上,它会对其它电脑产生影响,因此局域网环境中必须安装网络版杀毒软件。网络版杀毒软件可以全网统一部署策略、统一查杀病毒、集中全网杀毒日志、分析网络中哪台电脑最容易感染病毒、哪类病毒感染最多,从而为网络防病毒策略提供依据。
3.终端PC
电脑准入控制:针对不同的电脑作不同的网络访问控制。如外来电脑无法接入网络或是只允许访问指定的网络资源;不安全的电脑(末打补丁或是没有安装杀毒软件)只允许访问文件共享服务器,去到共享服务器上下载杀毒软件和安装补丁,待不安全因素处理后才可以正常接入网络
安全设置:所有电脑不允许配置弱口令,默认共享须关闭,Remote Registry、Telnet、Task Scheduler、ITIL等不安全服务须关闭。
监控状态变更:如终端电脑有新增自动运行、系统服务有增减或现有服务状态变更、IE设置有变更。一旦监控到这些异常的状态,网络管理员须对该电脑进行检查以确认是用户的操作还是有中病毒。
保证杀毒软件的状态正常:掌控全网杀毒软件的状态,如监控有没有安装杀毒软件、杀毒软件是否有运行、杀毒软件的保护功能是否有开启、杀毒软件的病毒库是否更新。一旦遇到异常,需及时处理,以确保每一台终端pc上的杀毒软件处于正常工作状态.
及时更新补丁:确保每台终端上的补丁有更新,对于补丁没有更新的电脑,及时处理以消除隐患.
USB存储设备管理:随着U盘的大量使用,它也成为病毒传播的重人途径之一。一个有效的USB存储设备管理措施,有助于减少内网中的病毒。 DevOps
外网连接管理:禁止访问不安全的网页,如暴力、色情、赌博等网站。禁止终端用户直接下载exe、zip等不安全格式文件的形为,如工作需要的话,可以通过网络管理员下载、安全检测后再发给用户使用。
4.网络层
合理的网络架构:确保网络架构的合理性,避免数据在网络设备间无用的流通。100点以上的网络须进行vlan划分,以隔离广播包、提高安全性以及更加方便的去管理网络,并对vlan间的访问进行合理的控制。交换机命名的合理性,可以通过交换机名称判断出该交换机的物理位置。合理的IP规划。
掌控网络的实时情况:全面了解网络的物理连接情况,当前流量、帧流量、丢包、错包情况。了解网络设备的使用情况,如CPU利用率、内存利用率、包转发是否正常、管理模块是否正常。对于异常情况,可及时发现问题出现在哪里,并处理。
网络异常发现:网络一旦出现异常的时候,网络管理员可以知道异常在哪里,是什么异常。
管理网络设备:了解当前网络设备的硬件版本、软件版本。根据运行状态及需求进行更新。在网络设备出现故障无法正常运行的情况下,有备用设备或是方案恢复网络的连接性。也可以通过与其它医疗单位共享备用设备来降低成本。如果可以的话,网络设备采取统一集中供电。
分析明显的网络攻击行为:通过监控网络帧流量、连接数、异常广播包等信息来判断网络中现存的攻击源。
PC机的定位:可定位某个MAC、IP地址连接的交换机及其端口,并可根据查找的信息远程断开该PC机的网络连接,以及时中断故障点网络连接。
外出监控:当主要人员外出的时候,网络中存在异常情况下也可被告知,并联系相关技术人员进行处理。
5.服务器
安全设置:强口令,关闭无用的网络服务,删除所有与应用无关的软件,禁止利用服务器打开网页和进行无关的网络访问
应用系统的备份恢复:制定备份恢复方案并确认方案的可行性,在服务器出现任何故障的情况下,可以在接受时间内恢复应用系统的正常运行。确保硬件故障的情况下,有备用硬件系统可以运行应用系统。确保应用软件故障或受到破坏的情况下,可以修复软件问题或是有安全的应用系统安装程序来恢复应用系统。
数据的备份恢复:服务器应用数据存储的安全性,避免一块硬盘的故障导致数据丢失的情况。定期离线备份数据。
服务器的系统安装,应该使用windows系统安全盘进行全程安装或是恢复之前备份的操作系统镜像,禁止使用网络中下载的系统镜像文件来恢复系统。
服务器访问控制:禁止外来人员的物理接触服务器设备或是在管理员监控的情况下对服务器进行操作。对复制到服务器上的数据资料,须经过安全检测并由管理员来进行复制操作。
隔离服务器与PC和外网的连接:在服务器出口处做访问控制,除了应用系统对服务器的访问外,禁止其它的数据流到达服务器。
监控服务器可用性:时时监控服务器服务的可用性。在用户报故障的时候就排除是否是服务器故障。
超赞的资料,学习中
页:
[1]