一、管理客户端
对大多数单位的网管来说,客户端的管理都是他们最头痛的问题。只有得力的措施才能解决这个问题,这里推荐以下方法:
1.将客户端都加入到域中,这一点很重要。因为只有这样,客户端才能纳入管理员集中管理的范围。出于安全上的考虑,最好逐渐淘汰Windows 98的客户端。
2.只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地Administrators和Power Users组,这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作,应通过本地安全策略,授予他们“关机”和“修改系统时间”等权利。
3.实现客户端操作系统补丁程序的自动安装。
4.实现客户端防病毒软件的自动更新。
5.利用SMS对客户端进行不定期监控,发现不正常情况及时处理。
二、数据备份与冗余
由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。这里有四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低,保存性最强,不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。
三、考虑到性能价格比因素,如果应用服务器比较分散,可以采用如下数据备份和冗余方案:
1. 在网络中心的异地机房建立单机+磁盘阵列的硬件环境,作为容灾异地在线备份点,安装VERITAS的服务器端软件。
2.在网络中心的SQL Server服务器、Lotus Note Mail服务器、Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端Agent软件。
3. 在服务器上设置在线备份策略,比如每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle数据库、凌晨3点自动备份邮件,主要用于系统层恢复后的数据加载。
4. 采用本地硬件RAID 5对硬件级磁盘故障进行保护。采用此套方案基本上解决了数据在线备份、异地容灾冗余问题,当然也相对节约了经费投入。
四、数据加密
考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密,即以加密格式存储和传输敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
五、补丁更新与软件分发
有人把网络安全防御简单看做是防病毒或者防火墙。其实,防火墙的作用就像戴口罩,在病毒流行的时候,人们带上口罩确实能够防住一些病毒,但只有通过提高网络整体系统安全,才能如同加强身体素质一样,提高“免疫力”,让病毒进攻无门。带口罩只是治标,提高免疫力才是治本。然而提高网络整体系统安全不仅仅是一个技术问题,更重要的是管理问题。比如肆虐全球的冲击波和最近流行的震荡波病毒,在流行之前微软就已经发布了对应这些病毒利用的操作系统漏洞的补丁,但是及时进行补丁更新的用户很少。造成这种问题的主要原因是用户没有养成主动维护系统安全的习惯,很少主动下载安装补丁,同时也缺乏安全方面的管理。
..上海企业办公自动化系统软件专题
|