為你的商業數據，打造一個綠色家園

隨著企業信息化技術的不斷完善，信息系統已經成為中小企業必不可少的基礎設施與技術支持環境。而信息系統的安全可靠運行，對于企業來說更是越發重要。當信息系統投入運行后，一旦發生系統崩潰或數據泄密，對企業所造成的損失將是難以估量的。因此，構建一個完整的、安全的企業內部信息環境，為公司的商業數據，打造一個綠色的家園，也日漸成為SMB用戶的IT愿望。

目前，企業信息系統的開發一般采用Client/Server和Browser/Server兩種體系結構。無論哪種體系結構，要確保信息系統的安全，需要做好三方面的規劃或設計。一是針對實際安全需求做好應用平臺的選擇、硬件和網絡設備的合理配置。二是數據庫管理員要針對所選用數據庫的特點制定相應的安全策略。三是編程設計人員在具體編程過程中根據實際需求控制好用戶的權限。

1 硬件平臺

硬件平臺是中小企業信息系統生存的平臺，一個穩定和安全的硬件平臺是整個信息系統正常發揮作用的物質基礎。一般來說包括以下三個方面：

1、服務器的選購

信息系統服務器是中小企業信息系統的核心，服務器的速度、穩定性、安全性是中小企業信息系統能否正常運行的關鍵。考慮到性價比，目前國內許多中小企業選擇PC服務器。考慮到機器整體性能和售后服務，購買PC服務器時一般可以考慮惠普、戴爾和浪潮、曙光、華碩等服務器品牌。并重點考察“雙機熱備”性能，即一臺服務器出現故障，另一臺服務器迅速接管，以確保信息系統不間斷運轉。

2、局域網的設計

構建一個安全穩定的局域網，是中小企業信息系統賴以生存的物質平臺。典型的中小企業信息系統局域網應該具有較高的靈活性和整體性，既要考慮當前企業信息系統的整體建設，又要注重其規模和信息系統擴大后網絡的擴充能力。在進行規劃設計時，重點規劃以下五項指標。

(1)主干帶寬指標

局域網主干的帶寬盡量選1000Mbps，且至少要有100Mbps交換到桌面上。

(2)支持VLAN

局域網支持虛網劃分技術(VLAN)，這樣便于以后根據需要對網段進行分級授權管理。建議局域網采用以交換機為中心、路由器為邊界的網絡格局，并基于中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，這是一項重要的措施。

目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。基于交換機端口的VLAN雖然稍欠靈活，但卻比較成熟，在實際中應用較多，且效果顯著。

我們可以將中心的所有主機系統集中到一個VLAN里，在這個VLAN里不允許任何用戶節點，從而較好地保護敏感的主機資源。然后按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內，互不侵擾。VLAN內部的連接采用交換方式通訊，而VLAN與VLAN之間的連接則由路由實現。

(3)以交換機代替集線器(Hub)

或許由于一些原因，我們看到有很多老企業仍在使用早期的共享式集線器進行用戶接人。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包還是會被同一臺集線器上的其他用戶所偵聽。如一種危險的情況是：用戶TELNET到一臺主機上，由于TELNET程序本身缺加密功能，用戶所鍵入的每一個字符(包括用戶名、密碼、關鍵配置等重要信息)，都將被明文發送，這就是一個很大的安全隱患。

因此，強烈建議以交換機代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。

(4)強化Server端的安全措施

在c／S結構中，C端的重要性是顯而易見的。雖然C／S系統的安全已比較成熟，然而這種安全體系中還有其潛在問題，尤其是在一個復雜系統中，由于存在著大量的數據庫實體及擁有不同操作權限的用戶，存在多個用戶對數據庫實體的操作可以是增、刪、改、查的任意組合。因此，即使用角色或工作組的方式為其授權，也會顯得相當復雜，甚至存在著嚴重的安全漏洞。

(5)關鍵節點應有冗余的網絡設備

3、硬件平臺的整合

(1)企業網出口統一威脅管理

在企業網出口的位置，利用SGS建立出DMZ區域，放入一些對應的服務器，如WEB服務器、郵件服務器等。為了避免企業網出口的單點故障，可以部署兩臺或多臺SGS設備的集群環境。該架構可以同時承擔負載均衡和高可用性責任。除了在企業網出口部署統一威脅管理方案，還可以在企業內部的網段之間部署。

(2)企業網內部安全攻擊監控和防御

結合企業網的網絡環境，可以針對企業網主要核心交換機部署賽門鐵克網絡安全設備，根據企業網交換機帶寬的實際利用率，在每臺SNS設備上應用的授權帶寬可從50MB到2GB。SNS可以監控整個企業網絡的通信信息，不需要另外安裝任何代理程序，對網絡結構的影響也幾乎沒有。對于SNS的網絡監控模式，可以采用IPS／IDS部署模式。SNS IPS模式可以支持多個in-line pair(內嵌式)，同時支持報警和攔截模式。

SNS直接串接在網絡上，發現惡意攻擊、非法請求，立即攔截。如果使

2 軟件平臺

1、信息系統軟件的安全性下來備查；三是在數據庫中對關鍵數據加密。

2、操作系統的安全性

中小企業信息系統可用的操作系統比較多，服務器端可用Unix、Linux等，客戶端可用Win 98、Win 2k、Win XP。對不同的操作系統有不同的安全性要求，總的來說有以下幾點：操作系統應設置相應的用戶權限、登錄口令、目錄權限和文件屬性；操作系統應經常打補丁來修補漏洞。

3、數據庫的安全性

中小企業信息系統對其所用數據庫的安全性有以下要求：實行“雙機熱備”，實現一臺服務器出故障，另一臺服務器迅速接管；每天進行幾次磁帶機數據庫的備份；對數據庫服務軟件如SQL server數據庫服務器、Oracle數據庫服務器，不斷打補丁，修補安全漏洞。

4、對病毒和非法攻擊的防范

對中小企業信息系統的病毒和非法攻擊的防范，主要在兩個方面：一是針對非法攻擊，可以考慮不斷升級硬件防火墻上運行的軟件，或者是購買了硬件防火墻后再購買軟件防火墻；二是針對病毒，可以購買網絡殺毒軟件，經常監控，并不斷升級病毒庫及殺毒引擎。

此外，還有數據庫的安全策略、信息化制度管理建設等等問題，也都是企業安全環境的重要保障。

總之，要想給企業打造一個真正綠色舒心的商用信息平臺，并非簡單地一個防火墻、一個殺毒軟件就能夠真正解決的。它實際是一個有機的安全體系，從基礎設施的構建，到管理人員的實施手段，再到每個用戶的安防意識等等。企業用戶必須把安全防護意識提高到整個企業信息化戰略的層面，才能真正凈化你的企業計算環境，給你一個安心的綠色IT家園。