安全运维管理如何保障企业IT系统正常运转(2)

安全运维管理如何保障企业IT系统正常运转(2)

企业内网的安全运维管理 这里的内网主要是指企业的内部局域网。随着企业ERP、OA、CRM等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

相对于内网安全概念，传统意义上的网络安全更加为人所熟知和理解，事实上，从本质来说，传统网络安全考虑的是防范外网对内网的攻击，即可以说是外网安全，包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。外网安全的威胁模型假设内部网络都是安全可信的，威胁都来自于外部网络，其途径主要通过内外网边界出口。所以，在外网安全的威胁模型假设下，只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

而内网安全的威胁模型与外网安全模型相比，更加全面和细致，它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内网的任何一个节点上。所以，在内网安全的威胁模型下，需要对内部网络中所有组成节点和参与者的细致管理，实现一个可管理、可控制和可信任的内网。由此可见，相比于外网安全，内网安全具有：要求建立一种更加全面、客观和严格的信任体系和安全体系；要求建立更加细粒度的安全控制措施，对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理等特点。

外网安全主要防范外部入侵或者外部非法流量访问，技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多，同时技术上内网安全通常采用的是加固技术，比如设置访问控制、身份管理等。当然造成内网不安全的因素很多，但归结起来不外乎两个方面：管理和技术。

由于内网的信息传输采用广播技术，数据包在广播域中很容易受到监听和截获，因此需要使用可管理的安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源，以加强内网的安全性。从终端用户的程序到服务器应用服务、以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外，还需要建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度。为了维护企业内网的安全，必须对重要资料进行备份，对数据的保护来说，选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，配合各种灾难恢复软件，可以较为全面地保护数据的安全。

在内网考虑防病毒时，防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵；防病毒软件应有完善的在线升级服务，使用户随时拥有最新的防病毒能力；对病毒经常攻击的应用程序提供重点保护。由于内部局域网一般都是通过防火墙实现与互联网的逻辑隔离，因此通过对防火墙的NAT地址转换，终端PC机的IP/MAC地址绑定以及安全策略的实现内网安全。局域网内的PC机操作系统、应用软件以及防病毒、软件的补丁与升级、正版软件的使用等也是影响内网安全的重要方面。

采用上网行为管理系统软件，实现网站访问限制、网页内容过滤、即时通工具过滤、IP地址绑定、IP访问控制等功能，为内网的用户实现了高度智能化的上网行为管理，全面保障企业关键应用的正常运行。应该以动态的方式积极主动应用来自内网安全的挑战，建立健全的内网安全管理制度及措施是保障内网安全必不可少的措施。

因此，企业内网的安全运维管理需要一个整体一致的内网安全体系，包括身份认证、授权管理、数据保密和监控审计等方面，并且，这些方面应该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。企业用户内网安全管理制度、整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。

企业网管系统中是否需要安全运维管理 随着企业网络应用和规模的不断增加，网络管理工作越来越繁重，网络故障也频频出现：不了解网络运行状况，系统出现瓶颈；当系统出现故障后，不能及时发现、诊断；网络设备众多，配置管理非常复杂；网络安全受到威胁，现在企业可能会考虑购买网管软件来加强网络管理，以优化现有网络性能，网管软件系统已经变成企业不可缺少的一项功能。

目前网管系统开发商针对不同的管理内容开发相应的管理软件，形成了多个网络管理方面。目前主要的几个发展方面有：网管系统（NMS）、应用性能管理（APM）、应用性能管理、桌面管理（DMI）、员工行为管理(EAM)、安全管理。当然传统网络管理模型中的资产管理，故障管理仍然是热门的管理课题。越来越多的业务将进入网络管理的监控范围，对于业务的监控的细分化，都将成为今后的网络管理系统完善的重点。