企业用户的计算机一般是在局域网中使用,因此它们的资源(也可称其为数据)均以网络形式存在,如何确保这些数据的安全,笔者从以下三点进行介绍....
全面掌握:把关企业数据安全(上)
企业用户的计算机一般是在局域网中使用,因此它们的资源(也可称其为数据)均以网络形式存在,如何确保这些数据的安全,笔者从 以下三点进行介绍。
一、使用RAID
在企业的数据备份方案中,除了使用磁带机和磁盘机外,最普遍的方法是在服务器上配置RAID来解决。
RAID一般分为六个级别即RAID 0、1、3、4、5及RAID 0+1。目前使用最多的是RAID 5,当其中的任意一块硬盘损坏时,可以通过其他的硬盘来恢复数据。但如果有超过一块以上的硬盘损坏时,数据将不能恢复。使用RAID技术应 该注意如下几点(相关链接:本刊2004年11月号《为数据买份好保险,“软RAID 5”的配置与实现》)。
1.对于操作系统来说,应该使用RAID 1,即用两块相同的硬盘组成磁盘阵列。当任意一块硬盘损坏时,系统可以在不中断的情况下恢 复。
2.对于系统数据来说,如邮件服务器和SQL的数据存储区,推荐使用4块以上的硬盘创建成RAID 5。这样浪费的空间比较小同时提供更好的性能,当其中1个硬盘损坏时,可以通过其他的硬盘恢复。
3.使用RAID以前,至少要有一块备用的硬盘,这块硬盘与RAID使用的其他硬盘相同,当RAID中的硬盘损坏时,可以立即恢复。
4.为了得到最高的磁盘性能,可以使用RAID0。
5.为了得到比较高的磁盘性能和安全保证,可以使用RAID0+1。
6.现在,服务器大多支持双通道RAID技术,为了提高性能,可把硬盘分散连接到每一个通道上。
二、合理设置ACL(访问控制列表)
使用特定账户访问共享数据文件,可以利用ACL(访问控制列表)来定义每个用户的数据文件访问权限,以此来控制访问,增强数据的 安全性。下面以让cseuser账户对存放数据文件的“cse”共享文件夹拥有除“完全控制”以外的所有权限为例。
右键点击“cse”共享文件夹选择“属性”,切换到文件属性对话框的“安全”标签页。首先在账户列表框中选中Everyone账户,只给 它赋予“读取”、“读取和运行”和“列出文件夹目录”权限,然后点击“添加”按钮(图1),将cseuser账户添加到“组和用户名称”列表 框中,在下面的“权限设置”栏中赋予它除“完全控制”以外的所有权限。完成设置后,cseuser账户对该文件夹中的数据文件拥有修改权限, 而其他未设置权限的账户只能“查看”。
图1 指定文件夹权限
全面掌握:把关企业数据安全(下)
三、病毒防范与攻击防范
病毒防范
企业用户使用的防毒系统(也可以说是杀毒软件),应具备邮件防毒及网关防毒、自动升级和自动分发、实时保护等功能。同时在使用 过程中也有一些问题需要注意(这里以Norton企业版为例)。
1.使用统一的防病毒系统
实时运行的软件多了,必将影响用户的使用及平时工作,而且多套防毒系统同时运行还会产生不必要的故障。
2.利用自动分发的功能安装客户机端
利用防毒系统的自动分发功能,可以有效节省防病毒体系部署的时间和提高规范性。如Norton企业版的“Install Norton Antivirus to NT clients”组件就具有在服务器中远程分发、安装客户端的功能。
3.服务器和客户机的病毒库自动更新
使客户机与服务器的病毒库实现自动更新后,可以节省维护时间,降低维护的难度。管理员只需要在服务器上升级杀毒软件,客户机就 可自动从服务器上进行升级。如设置Norton企业版的“LiveUpdata Administrator Utility”组件后(图2),局域网内所有的计算机将完成病毒库的自动升级。
图2 服务器端设定自动更新
4.制定防病毒策略
通过防毒策略,可以定期对服务器及客户机进行病毒扫描。在Norton企业版的控制台内选择“VGS-ISA-01 Scheduled Scans”组件,在弹出窗口内分别选择服务器端和客户机标签页(“Server Scans”表示服务器端;“Client Scans”表示客户端),然后进行具体的扫描对象和扫描时间设置即可(图3)。
图3 制定防病毒策略
攻击防范
网络攻击可能是企业数据安全最大的敌人,而它的应对方法也是最复杂的。企业用户应该从以下几方面入手。
1.选用企业级的网络安全防火墙。软件形式的防火墙价格便宜,但效果和性能差于硬件形式的防火墙,且需要用户具有较高的技术水 平和完整的安全策略;硬件形式的防火墙虽然价格昂贵,但防御能力可以满足企业的需要,而且可以得到防火墙厂商的技术支持,有经济条件 的企业建议选择硬件形式的网络防火墙。
2.及时升级操作系统,更新系统补丁。
3.关闭不必要的服务,降低被攻击的可能性。
4.限制对外开放的时 间,尽可能地限制访问来源。使用一些网络管理软件即可做到,如Winroute。
5.对防火墙和服务器做好日志(LOG)的记录工作, 以便查找问题来源。
企业用户的数据安全介绍完毕,虽然未能面面俱到,但对如何加强网络数据安全,想必大家已有了一个了解。
网友评论