随着社会的发展,企业对于信息管理的需求越来越高,对于信息安全意识也开始由原来被动接受安全防护,转向主动的安全策略布局。信息安全开始成为企业信息管理的重点。在以往的企业信息建设过程中,安全小组是在企业信息系统建设完成以后才开始入住的,但是随着技术的革新,这种做法的弊端越来越明显。大部分企业已经接受了,从一开始就让安全小组介入的做法。尤其随着企业信息系统虚拟化的不断加深,这种出于安全的考虑愈发的明显了。
企业安全小组的提前介入,让企业的信息系统的设立更加的可靠。在他们看来,一切都是具有威胁信息安全的存在,因此对于各个方面的规划都有非常严格的要求。现在很多企业使用的虚拟化技术都是源自国内的一些数据安全企业,因此安全小组在服务器和平台管理上的作用并不是十分明显,因为这些都是由专业的安全服务供应商来提供的,在某种程度上,这种服务是十分可靠的。企业内部的安全管理就完全要依靠安全小组的规划。前不久接触到的几家金融服务企业就是这样进行安排的。他们使用了来自泰然神州的新一代数据安全堡机以及相应的服务。这一套服务包含了企业内部和外部的所有安全策略规划,但是出于对企业内部安全的防护,大部分金融企业都连同泰然神州制定了个性化的本地安全策略。当然,具体的信息无从考证,但是我们通过现在企业的需求和实际技术水平,不难推测出其中的一些要点。
从防御的角度来说,企业端的安全防护主要是为了防护来自外部的安全威胁和内部产生的安全威胁。外部产生的威胁不外乎病毒、木马、黑客入侵,对于这些危害来说,都有一套常规的防护措施,比如防火墙,病毒查杀等方式,能够有效的减少外部威胁的隐患。同时由于虚拟化技术的运用,数据并不存在于本地,因此来自外部的威胁就变得不再那么难缠了。相对来说,内部的威胁更加的严重。近年来,政府、企业的信息泄露事件时有发生,大到公民信息泄露,小到企业销售材料曝光。这样的信息泄露事件很多都与外部无关,是完全产生于内部的问题。针对这种现状,必须着重解决内部安全隐患。内部的安全威胁都来自哪里呢?一方面是管理人员恶意的进行违规操作,造成的威胁。另一方面就是管理人员的某些操作不当,引发了数据安全威胁。怎样才能够解决这两方面的威胁呢?
首先,要建立严格的身份审查机制。针对系统用户采用统一的认证接口。统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。集中身份认证提供静态密码、windows NT 域、IKEY 等多种认证方式,而且系统具有灵活的定制接口,可以方便与其它第三方认证服务。严格的身份认证是保证用户安全的第一步,也是最关键的一步。在运维过程中,所有内部安全问题都是要通过用户来进行核查的,因此严格的用户认证系统,更加符合现代运维安全的要求。身份认证还为以后展开的安全行动打下了良好的基础。在身份认证完成以后,要进行用户的管理工作。用户管理并不是单纯增加或是减少用户的数量,而是要为用户设定适合的个性化属性,为不同的用户选择不同的管理方式。用户管理能够有效减少内部管理人员对于安全的威胁,防止内部人员泄露信息,与此同时一旦发生安全事故,就能够第一时间找到指定的用户,根据身份认证,瞬间确定管理人员,让信息泄露的几率大大减少。这种通过身份认证和用户管理的方式是运维过程中最常用的方式,大家都非常熟悉,但是其中一点应当引起大家的注意,就是要建立合理的用户系统,合理的根据企业自身的特性,进行建设和完善。
其次,在针对内部问题时,一定要注意对于资源的控制。企业资源是需要绝对安全防护的,但是又不能够放在那里不动,因此,在运维过程中大都采用分权限的方式对资源进行管理和控制,这种方法广泛的运用在不同的领域。在具体的实施细节上,需要针对不同的用户进行划分。这其中涉及到了对于用户的管理的问题,因此没有固定的方案,只要能够在保证数据安全的基础上进行,就完全没有问题。不过单纯的通过资源的控制并不能够解决用户使用过程中的所有问题,必须结合详细的审计功能。主要审计人员的账户使用情况、资源使用情况,用户登录信息等。对于生成的日志支持丰富的查询、删除、清空等功能。支持日志数据生成、日志管理、日志生成格式,如 Excel 等。审计的手段也应该是多种多样的,通过对于键盘录入,鼠标移动,摄像头信息等输入信息行为,进行全面的审计。在保证用户正常使用的前提下,全面的监控用户行为。这种做法不仅仅能够保证安全问题的可追溯性,更能够通过审计数据找到容易造成安全威胁的,不正确或是不规范操作,有效防止侵害安全行为的发生。
最后,在运维过程中要及时备份信息。信息的备份不仅仅是要备份企业数据信息,更是要对于用户的属性、行为、权限等进行备份,这些关系到内部安全的重要信息,一旦产生不可修复的问题,后果将十分严重。
通过对于用户身份的认证、用户管理、资源控制、行为审计和备份数据的方式,能够有效的减少由于内部原因造成的安全危害。不过,相对于整体的企业端安全来说,这些还不够,还需要通过合理的布局客户端来进一步的完善。
在虚拟化技术的基础上进行的客户端布局,兼容性必须要强。不管是常规的处理设备,还是移动办公设备,都能够很好的兼容。企业在进行虚拟化信息建设的时候,对于新型移动办公设备的考虑,占到了很大的一部分。怎样让各种性能不同的办公设备共同享有同样的操作空间,是客户端布局的一个重要方面。下面就针对常规的客户端布局理念和加强移动办公功能的客户端布局理念进行综合性的布局。
一般说来,如果想让不同性能的设备具有同样的操作空间,必须做到的就是简化客户端的软件要求。在以往的运维当中,客户端存在大量的软件,比如经常用到的OA软件,ERP软件,电子申报软件等,这些软件在完成日常工作的同时,占据了大量的设备资源,且很难运用到移动办公中来,因此必须进行改革。但是这些软件的功能是无法取代的,所以在改革的同时必须保证软件功能的完善。想要解决这个问题就要有以下的布局:
客户端必须简单易操作,可以采用虚拟桌面形式进行系统登录,进行相应的操作,不进行软件的安装过程,同时减少组件的运行,保证数据的传输速度。这样就需要程序完全在服务器中进行处理,以虚拟化的方式实现与客户端交互。
如果能够实现这样的布局,那么不同的设备就能够通过虚拟桌面形式登录,然后通过数据传输指令,在服务器上直接进行操作,这种方式非常适合现在企业的办公环境。由于虚拟化技术的运用不必担心出现不同客户端同时运行程序造成的故障,大大节约了企业设备的损耗,有效的提升了企业的信息管理便捷度。这种通过虚拟化实现的客户端布局还有这巨大的安全优势。试想,所有的客户端都是通过虚拟桌面对服务器上的程序进行操作的,那么本地就不存在操作数据,也就没有了数据安全的问题。数据在这个交互过程中始终存在于安全的环境中,数据不落地,当然就没有了危险。这种客户端布局的方式将会是未来发展的一个主要方向,其中的技术难点基本解决,只是在运用方法上,还存在一些经验的欠缺。如果通过虚拟桌面进行程序管理的基础下进行操作,怎样才能让操作更简单呢?可以通过单点登录的方式,优化登录操作,同时在登录设置上加入个性化的考虑,提供虚拟桌面的操作便捷性,如果能够加入在线交流工具,那就再方便不过了。
在对企业进行虚拟化信息建设的时候,用户和客户端的问题非常关键。这两方面的因素是虚拟化系统的重要组成部分,也是对企业内部安全等级的考验。一定要认识到用户的危险性,避免出现越来越多的斯诺登,与此同时,对于客户端的布局规划也要谨慎小心,不能够放弃现有的便利,也不能够对于新的交互方式置之不理,总之用户有风险,规划需谨慎!