信息化给现代企业带来了全新的活力，给企业的经营管理带来极大的好处。企业通过网络进行开发设计、物资采购、产品生产、销售及工程服务等一系列的企业运营活动，一方面企业与供应商、客户产生大量的信息交换；另一方面企业员工内部利用网络完成大部分的协作以及信息处理。企业发展了增设了分支机构，也要考虑分支机构与总公司的信息交换问题，企业信息化的安全问题也就越来越重要了，同时企业信息化又要考虑网络的开放性、易用性，这些同安全性都相互影响但又同时都是很重要的必须考虑的因素。

    因此企业信息化的安全框架不可避免的在实现有限的开放性，提供必要的易用性方面要综合平衡，一个可行的企业信息化安全方案应该综合考虑以上因素。

1  基本原则

    安全是有成本的，如何平衡适合本企业的安全需要，建议参考以下原则。

    (1)  易用性原则

    要易于管理维护，当企业的网络节点规模在500点以上，并且存在分支机构的情况下，易管理易维护，能快速定位问题、解决问题应该是首要考虑的。

    (2)  适度开放原则

    最安全的方案莫过于禁止一切网络活动，全部开放又需要有极大的安全投入保障，企业应该只选择最急需的应用进行有条件的开放（这里所说的开放是指实现远程办公或移动办公所需的从Intranet至Internet的开放）。

    (3)  实用与适用原则

    现在市场上安全方案繁多，相应的安全产品也很多，当然需要企业的投入也是相差很多，如何选择适合本企业的安全方案、安全产品，应该从企业的实用与适用来考虑，这个也是企业进行安全产品选型的首要考虑因素。另外一方面现在许多安全产品宣称如何如何，但是实际的效果跟投入并不成正比，所以在安全产品上不能盲目。

    (4)  重管理

    安全是管出来的，再好的产品没有有效的管理，一切安全都免谈，而企业在管理上的投入是隐性的，因此从技术角度实现企业的安全策略管理是一个比较好的方式，它是可评估的，从另一方面来说。将管理理念与技术手段完美的结合会起到事半功倍的效果。

2  安全框架

图1  网络平台安全架构图

    (1)  网络平台基础架构

    ?  基于Windows2000域（或Windows2003）的管理模式。企业网络建立之初就实现域的管理，这为以后推行基于域策略的管理模式奠定基础。另外在企业内部，要想实现所有的客户端可控也必须基于域的管理模式。

    ?  账号域集中管理（包括分支机构），便于实现集团企业信息单一登陆即可存取，也便于实现集团邮箱的布署与管理；资源域可以根据地理位置远近根据需要设置。这样可以实现不同地区域管理策略本地化（如图1所示，域之间的虚线链路是基于VPN链路的）。

    ?  IP的管理。当企业网络规模较大的情况下，还是推荐DHCP（Dynamic Host Config Protocol，动态主机配置协议）方式管理，自动获取IP，通过VLAN划分不同的网段，配合DNS服务器全面实现客户端的定位与管理。

    ?  集团与固定分支机构之间走VPN链路，实现方式有很多，推荐一种经济易行且比较安全的方式。两个机构通过专线或者其他方式接入Internet，接入点使用Internet Security and Acceleration (ISA) Server 防火墙，同时利用ISA的VPN接入功能建立双方的VPN链路（如图1所示）。

    ?  企业局域网内部主干交换机为三层交换机，划分VLAN，将不同部门、不同机构、关键业务分别划分至不同的VLAN，这个主要解决网络广播风暴或者由于局部的网络节点故障导致影响整个网络，但是VLAN划分过多对于三层交换机的性能要求较高，企业应根据实际情况酌情处理。

    (2)  网络安全应用布署

    网络安全应用的布署追求一个原则：尽量减少用户的干预，让用户在不知不觉中享受着安全的可靠的网络服务，只有这样的应用才可以大规模的布署。

图2  网络安全应用布署图

    ?  补丁管理服务  系统漏洞是致命的，外层有再多的防护也抵挡不住系统本身就有漏洞，那就相当于有一个公开的后门，谁都可以随意进入。众所周知的几次网络病毒风暴都是大部分客户端由于没有及时打补丁导致（其实微软早就发布了相关漏洞的补丁，只是由于打补丁这件事情比较烦琐，个人经常忘记）。当企业节点在500点以上时，就会发现统一补丁管理非常重要，一定要实现补丁的自动下载、分发，而且要强制安装，对于Windows系统平台，可以布署微软的Microsoft Software Update Services (SUS) 服务，同时通过域策略强制加入域的计算机接受公司SUS服务器的管理，一旦有最新补丁强制安装。只有这样才能确保大部分的客户端没有安全漏洞，也就能够避免某些由于安全漏洞引起的网络蠕虫入侵导致整个网络瘫痪的事件发生（如图2所示）。

    ?  防病毒服务  现在病毒猖獗，传播的方式多种多样，让人防不胜防，因此确保每一个客户端都有一道防病毒的屏障也很重要。如何强制企业内的计算机必须布署防病毒客户端，也需要通过域来控制发布，通过登陆脚本检查每一台登陆到域上的计算机，一旦发现没有安装企业规定的防病毒客户端，立即强制安装。但安装了防病毒客户端并不意味着万事大吉，病毒每天都在推陈出新，因此要布署企业防病毒服务器，自动更新病毒代码并及时分发到每一个客户端。只有这样才能减轻网管的负担，同时一直追求的网络管理的最高境界就是让用户感觉不到被管理，不知不觉所有的补丁都已经布署、所有的客户端都有最新的病毒代码等（如图2所示）。

    ?  企业防火墙  对于企业来讲统一布署一套防火墙还是很有必要，它是企业连接Internet的唯一通道，以确保企业网络不受Internet上各种侵害来侵扰，它能使网络用户访问公用网络的风险降到最低。防火墙分为硬件防火墙与软件防火墙，从灵活管理角度来说，软件防火墙还是很不错的选择，价格也适中，推荐使用微软的Internet Security and Acceleration (ISA) Server，它能跟Windows域集成。通过它可以灵活地实现控制某个域用户的网络行为，允许或禁止用户访问哪些内容、站点、访问时间等。同时它能够提供简单的入侵检测、入侵防护，有效地抵御外来黑客的攻击。另外一般不建议在企业内布署个人防火墙，那样将会加大网络管理的难度，维护成本增高。如果企业内部对于安全性要求非常高可以在基础服务层与员工网络之间再增加一级防火墙形成DMZ区，确保企业的应用服务的安全可靠（如图2所示，所说的DMZ区就是将基础服务层至于内外网防火墙之间）。

    ?  其他服务的布署  至于现在鼓吹的入侵检测（IDS）直至入侵防护（IPS）等由于实际效果有待检验，并且成本很高，建议一般企业不要考虑。还有其它专用的网络管理软件，价格都比较高，有的效果也一般，因此也需要谨慎考虑。

    (3)  企业数据安全

    ?  数据备份  应该设立专门的备份服务器，根据不同业务数据的管理要求，分别设置备份策略，实现重要数据的自动备份甚至异地灾难备份。

    ?  数据加密  企业在开发各种应用系统的同时除了要考虑应用的功能性以外，还要考虑数据传输存储的安全问题，避免通过非法手段很方便地窃取到企业的重要数据。

    (4)  安全管理策略

    ?  通过域设置帐号策略、计算机策略来实现企业统一精细安全管理。

    例如设置帐号策略，要求提高密码安全性；设置帐号审核策略，便于在出现问题后可以跟踪事件发生的来龙去脉；设置用户权力指派策略，控制用户计算机的访问权限，确保计算机集中管理。

    ?  防火墙统一策略。集团企业对于防火墙可以要求统一策略，实现分支机构的防火墙也受集团防火墙策略的约束，这样实现了统一防火墙策略便于管理，安全的一致性也大大提高。同时防火墙策略本身设置上必须严格，每种业务都必须审核，只有经过审核过的策略才能发布。另外对于企业防火墙建议只开放访问WEB服务、邮件服务的权限，如果需要发布内部站点，经过审核后通过防火墙发布，所有这些访问都可以与域帐户集成，实现信息的安全存取。

    ?  建立起有效的帐号创建、迁移、删除的管理流程，确保帐户的安全管理。

    ?  建立起企业安全策略的制定、审核、发布、撤销的管理流程，确保企业安全策略及时有效。

    ?  建立企业安全审计的制度，由专人定期检查企业的所有服务器的安全日志，及时解决发现的漏洞及其他安全隐患。

3  结语

    企业信息化安全是一个很大的课题，道高一尺魔高一丈，按照以上方案进行规划并不能保证企业网络有100%安全，但是如果以上基础管理也没有做到的话，那企业信息化平台肯定是不安全的。企业IT人员必须持续关注企业信息化安全的发展方向，并及时调整优化适合本企业的安全方案与策略。