数据安全的思考

信息安全背景

在IDC对企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

如何确保企业数据安全问题？
解决内网安全威胁问题？
事实上，内网的绝大部分安全漏洞来源于企业终端用户的一些无意识、不规范的操作和网络管理上的疏忽，一旦放松对终端安全的管理，就给信息泄露有了可乘之机。

企业面临的主要安全隐患

安全业务涉及的管理及技术手段

企业数据信息安方案可以分解为下列5个方面

网络安方案

1、WEB应用防火墙
2、IPS/IDS 设备（联动防火墙）
3、数据库审计控制设备
4、邮件审计控制设备
5、安全事件管理设备
6、VPN设备

WEB应用防火墙
---Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻
防止网页篡，影响企业形象

IPS/IDS 设备（联动防火墙）
---如现在的IDS设备就能很好地与防火墙一起联合。一般情况下，为了确保系统的通信性能不受安全设备的影响太大，IDS设备不能像防火墙一样置于网络入口处，只能置于旁路位置。而在实际使用中，IDS的任务往往不仅在于检测，很多时候在IDS发现入侵行为以后，也需要IDS本身对入侵及时遏止。显然，要让处于旁路侦听的IDS完成这个任务又太难为，同时主链路又不能串接太多类似设备。在这种情况下，如果防火墙能和IDS、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，那么系统网络的安全性就能得以明显提升。
　　目前主要有两种解决办法：一种是直接把IDS、病毒检测部分直接“做”到防火墙中，使防火墙具有IDS和病毒检测设备的功能；另一种是各个产品分立，通过某种通讯方式形成一个整体，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。目前更看重后一种方案，因为它实现方式较前一种容易许多。

（SIG、IDS等）联动提高整网安全性
联动防火墙：华为eudemon防火墙
Netscreen 防火墙
Checkpoint NG防火墙
Cisco路由器联动
IAP(Intrusion Alert Protocol)协议支持

数据库审计控制设备
---旁路部署无需修改现有应用配置
于监控数据库操作有无违规行为，拦截对数据库的攻击

........................................................

.......................

...................

>>>需要了解更多请联系涵湛软件<<<