作者:甘肃/老五 来源:IT专家网 酷勤网收集 2008-01-11
现在的企业在信息安全方面面临着诸多挑战。企业中的绝大多数员工从事的是与IT无关的工作,其安全知识、安全技能有限。而他们又掌握着企业非常宝贵甚至机密的信息,因此他们的桌面信息安全成了企业老板、企业网管关注的问题。威胁企业信息的因素主要来自以下几个方面:
1、病毒侵害:大多数企业不能做到防患于未然,防毒工作没有做好,往往在中毒后再去杀毒,此时系统已经受到了影响,文件已经被感染,再去杀毒影响工作不说,如果是灾难性的破坏的话,那损失就太惨重了。
2、垃圾邮件:垃圾邮件也是非常困扰企业IT人员让企业员工非常头疼的问题。试想一下如果你一天收到几百条邮件,其中有三分之二是垃圾邮件,那将是一件非常痛苦的事情,影响情绪,使你的工作效率大打折扣。
3、文档解密:企业中的文档主要是Office文档,传统的保护方式是加密,但是网上有在线的密码破解,设置的密码形同虚设。
4、流程安全:企业的信息在流通的过程中发生信息泄密这是企业非常忌讳也经常会遇到的事情。比如某员工把一个在企业中非常重要的文件通过邮件发给了一个同事,但是这位同事不知道这个邮件的重要性,而转发到企业的外面去了,造成了泄密。
基于这么多的威胁,那么如何加固企业内部的信息安全呢?IT人员首先要根据企业实际情况设计信息安全策略。
二、设计企业信息安全策略
1、垃圾邮件
(1).希望将垃圾邮件阻挡在企业的外面,不要影响内部工作。
(2).如何让员工快速屏蔽垃圾邮件。
(3).垃圾邮件的处理能够自动完成。
2、病毒侵害
(1).如何让员工不接收有病毒危害的邮件。
(2).病毒往往通过邮件附加传播,管理起来不容易。
(3).如何不让病毒侵害办公文档。
3、文档保护
(1).重要的文档如何不让别人随意打开浏览。
(2).黑客泛滥的年代,如何不给他们留出机会。
(3).文档协作时,可以做到各司其职,互不干扰。
4、流程安全
(1).重要的邮件不要随意转发、复制。
(2).机密的文档只希望特定人员浏览,而且需要访问权限。
(3).信息传递时如何确认信息的可靠性、原始性、真实性。
三、工具
Microsoft Office 2003组件
优势:
1、在企业环境中通用不用重新部署,解放企业IT人员。
2、技术门槛低,不用集中培训。
3、不需要额外投入,为企业减负。
四、实施方案
1、垃圾邮件的自动化处理
(1).Exchange Server 2003提供了Anti-SPAM,将垃圾邮件拒之门外。
如果你的企业中部署了Exchange Server 2003,企业IT人员只需要在服务端进行相应的设置,可以把垃圾邮件拒之门外,替客户端把好关,省去了员工清理垃圾邮件的成本,提高了员工的工作效率。
(2).Microsoft Outlook 2003快速处理垃圾邮件,免受骚扰。
如果你的企业中没有Exchange邮件服务器,建议用Microsoft Outlook 2003来接收和发送邮件,它可以智能地识别垃圾邮件,识别率高达95%以上。它可以识别邮件的头、邮件来自什么地方、邮件的内容等,然后进行分析做出相应的处理,免受垃圾邮件的骚扰。比如你们公司和某个公司没有任何的业务往来,但他们一直给你们发邮件,IT人员只需把该邮件地址添加到“阻止发件人”列表中即可。又比如,假如Outlook把客户发给公司的邮件误认为垃圾邮件,IT人员只需要把该客户的邮箱地址添加到“安全发件人”的列表中就可以了。为减轻员工的负担,IT人员只需创建一个“垃圾邮件列表”的文件,那么企业员工只需把这个文件通过Outlook的导入功能导入进来就可以了,大大减轻了企业员工的负担。
(3).Office 2003 SP2提供了更强大的垃圾邮件屏蔽功能。
office最近发了office 2003的sp2的补丁,建议尽快打补丁。可以通过Outlook的“国际”选项卡,可以对相应的域或者编码的垃圾邮件进行批量的拒绝。比如你们公司要阻止来自.com域的所有“日文”编码的邮件就可以通过它来设置。
(4).最为关键的,一切都可以自动化完成。
以上的方案几乎不需要企业员工的参与,只需IT人员进行简单的操作就可以批量地把垃圾邮件拒之门外,一切都是自动化完成,提高了企业的效率。
2、降低病毒侵害带来的风险
(1).在Outlook中自动屏蔽具有潜在危险的图片、插件等,避免在不知不觉中中招。
(2).可疑的附加禁止发送和接收
(3).设置Office宏安全性控制,防止病毒在办公文档中安家。
3、对重要文件的格外呵护
(1).通过设定文档密码,可以限制文档的打开、修改权限。
以office中的word为例,创建了一个word文档然后在“安全”中可以设置文档的“打开”、“修改”密码,这些密码是采用128位的加密算法,大大提高了安全性。
(2).设置文档口令的加密类型,降低重要文档遭受黑客攻击的几率。
(3).最新的Word文档分段保护功能,保证不同的用户对文档的不同内容有不同的访问权限。
企业IT人员可以把一些公司的文件放到共享服务器上设置“只读”权限,然后给个别部门的人修改权限。同时可以具体到这个部门的人员对于文档的不同部分的修改权限,他只可以修改自己有权限的部分,而对其它的区域无权修改。这特别适合在一个部门内部的协调工作。
4、严格的信息传播流程控制
(1).通过IRM技术,严格限制机密信息的扩散。
a.禁止转发或打印机密邮件的信息
b.特定部门的人员才可以看到文档的信息
c.限定文档的阅读时限,规划电子信息的生存周期
d.限定文档和信息生存的物理范围
e.对Office 2003之前版本的用户提供支持
IRM即信息管理服务,是Office的一个免费的组件,在企业的域环境下IT人员通过IRM就可以非常容易地对信息的传播流程进行控制。在企业中高级管理人员往往具有更高的权限,但他们往往不是IT人员。我们假设当他打开某个机密文档,然后出去了,那么如果某人进来了,想打印或者复制文件怎么办?企业的IT人员就可以通过IRM进行权限设置,设置文档的包括打印、复制等权限。同时还可以设置文档的过期时间,这样当文件过期后,就不能打开。更加神奇的是可以设置文档生存的物理范围,即在什么环境下可以打开,超出这个环境就无法打开,这是因为文档的打开要通过特定域的验证。这样企业IT人员就可以非常有效地控制信息传播的流程,杜绝信息的泄密。
(2).通过在文档或邮件中加入数字签名,保证文档和信息的可靠性,实现成功的信息交换。
IT人员可以在文档或者电子邮件中加入数字签名,然后把这个签名分发给授权的用户,这样只有拥有该数字签名的员工才能打开该文档或邮件,很好地保护了信息的安全。
总结:Office可不仅仅是个文件处理软件,它的给我们提供了很多非常实用的“免费午餐”,利用它就可以非常有效地加固企业的信息安全,并且不需要额外的投入。IT人员,我们何乐而不为呢?