十大移動(dòng)oa辦公系統(tǒng)安全策略 打造堅(jiān)固的內(nèi)網(wǎng)

本文主講應(yīng)對(duì)企業(yè)內(nèi)網(wǎng)安全挑戰(zhàn)的10種移動(dòng)辦公oa安全策略。這10種移動(dòng)辦公oa安全策略即是內(nèi)網(wǎng)的防御策略，同時(shí)也是一個(gè)提高大型企業(yè)移動(dòng)辦公oa安全的策略。

大多企業(yè)重視提高企業(yè)網(wǎng)的邊界安全，暫且不提它們?cè)谶@方面的投資多少，但是大多數(shù)企業(yè)移動(dòng)辦公oa的核心內(nèi)網(wǎng)還是非常脆弱的。企業(yè)也對(duì)內(nèi)部移動(dòng)辦公oa實(shí)施了相應(yīng)保護(hù)措施，如:安裝動(dòng)輒數(shù)萬(wàn)甚至數(shù)十萬(wàn)的移動(dòng)辦公oa防火墻、入侵檢測(cè)軟件等，并希望以此實(shí)現(xiàn)內(nèi)網(wǎng)與Internet的安全隔離，然而，情況并非如此!企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無(wú)線(xiàn)網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)移動(dòng)辦公oa帶來(lái)了巨大的潛在威脅，從某種意義來(lái)講，企業(yè)耗費(fèi)巨資配備的防火墻已失去意義。這種接入方式的存在，極有可能使得黑客繞過(guò)防火墻而在企業(yè)毫不知情的情況下侵入內(nèi)部移動(dòng)辦公oa，從而造成敏感數(shù)據(jù)泄密、傳播病毒等嚴(yán)重后果。實(shí)踐證明，很多成功防范企業(yè)網(wǎng)邊界安全的技術(shù)對(duì)保護(hù)企業(yè)內(nèi)網(wǎng)卻沒(méi)有效用。于是移動(dòng)辦公oa維護(hù)者開(kāi)始大規(guī)模致力于增強(qiáng)內(nèi)網(wǎng)的防衛(wèi)能力。

移動(dòng)辦公oa安全策略1、注意內(nèi)網(wǎng)安全與移動(dòng)辦公oa邊界安全的不同

內(nèi)網(wǎng)安全的威脅不同于移動(dòng)辦公oa邊界的威脅。移動(dòng)辦公oa邊界安全技術(shù)防范來(lái)自Internet上的攻擊，主要是防范來(lái)自公共的移動(dòng)辦公oa服務(wù)器如HTTP或SMTP的攻擊。移動(dòng)辦公oa邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫(xiě)程序就可訪(fǎng)問(wèn)企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域移動(dòng)辦公oa內(nèi)部的一臺(tái)Server，然后以此為基地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開(kāi)黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防范策略。

移動(dòng)辦公oa安全策略2、限制VPN的訪(fǎng)問(wèn)

虛擬專(zhuān)用網(wǎng)(VPN)用戶(hù)的訪(fǎng)問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶(hù)是可以訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶(hù)的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪(fǎng)問(wèn)權(quán)限級(jí)別即可，如訪(fǎng)問(wèn)郵件服務(wù)器或其他可選擇的移動(dòng)辦公oa資源的權(quán)限。

移動(dòng)辦公oa安全策略3、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)

合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問(wèn)題的一大原因。例如安全管理員雖然知道怎樣利用實(shí)際技術(shù)來(lái)完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲(chóng)仍能侵入內(nèi)網(wǎng)，這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪(fǎng)問(wèn)權(quán)限。由此，既然不能控制合作者的移動(dòng)辦公oa安全策略和活動(dòng)，那么就應(yīng)該為每一個(gè)合作企業(yè)創(chuàng)建一個(gè)DMZ，并將他們所需要訪(fǎng)問(wèn)的資源放置在相應(yīng)的DMZ中，不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪(fǎng)問(wèn)。

移動(dòng)辦公oa安全策略4、自動(dòng)跟蹤的安全策略

智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)移動(dòng)辦公oa安全實(shí)踐的關(guān)鍵。它帶來(lái)了商業(yè)活動(dòng)中一大改革，極大的超過(guò)了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測(cè)方法來(lái)探測(cè)商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤移動(dòng)辦公oa利用情況并記錄與該計(jì)算機(jī)對(duì)話(huà)的文件服務(wù)器?？傊?，要做到確保每天的所有的活動(dòng)都遵循安全策略。

移動(dòng)辦公oa安全策略5、關(guān)掉無(wú)用的移動(dòng)辦公oa服務(wù)器

大型企業(yè)網(wǎng)可能同時(shí)支持四到五個(gè)服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會(huì)出現(xiàn)幾十個(gè)其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。因此要逐個(gè)中斷移動(dòng)辦公oa服務(wù)器來(lái)進(jìn)行審查。若一個(gè)程序(或程序中的邏輯單元)作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。

移動(dòng)辦公oa安全策略6、首先保護(hù)重要資源

若一個(gè)內(nèi)網(wǎng)上連了千萬(wàn)臺(tái)(例如30000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問(wèn)題。這樣，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)移動(dòng)辦公oa服務(wù)器進(jìn)行檢查、分類(lèi)、修補(bǔ)和強(qiáng)化工作。必定找出重要的移動(dòng)辦公oa服務(wù)器(例如實(shí)時(shí)跟蹤客戶(hù)的服務(wù)器)并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。

移動(dòng)辦公oa安全策略7、建立可靠的無(wú)線(xiàn)訪(fǎng)問(wèn)

審查移動(dòng)辦公oa，為實(shí)現(xiàn)無(wú)線(xiàn)訪(fǎng)問(wèn)建立基礎(chǔ)。排除無(wú)意義的無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)，確保無(wú)線(xiàn)移動(dòng)辦公oa訪(fǎng)問(wèn)的強(qiáng)制性和可利用性，并提供安全的無(wú)線(xiàn)訪(fǎng)問(wèn)接口。將訪(fǎng)問(wèn)點(diǎn)置于邊界防火墻之外，并允許用戶(hù)通過(guò)VPN技術(shù)進(jìn)行訪(fǎng)問(wèn)。

移動(dòng)辦公oa安全策略8、建立安全過(guò)客訪(fǎng)問(wèn)

對(duì)于過(guò)客不必給予其公開(kāi)訪(fǎng)問(wèn)內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無(wú)Internet訪(fǎng)問(wèn)”的策略，使得員工給客戶(hù)一些非法的訪(fǎng)問(wèn)權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過(guò)客訪(fǎng)問(wèn)移動(dòng)辦公oa塊。

移動(dòng)辦公oa安全策略9、創(chuàng)建虛擬邊界防護(hù)

主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無(wú)法通過(guò)受攻擊的主機(jī)來(lái)攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)移動(dòng)辦公oa的使用和在企業(yè)經(jīng)營(yíng)范圍建立虛擬邊界防護(hù)這個(gè)問(wèn)題。這樣，如果一個(gè)市場(chǎng)用戶(hù)的客戶(hù)機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的R&D。因此要實(shí)現(xiàn)公司R&D與市場(chǎng)之間的訪(fǎng)問(wèn)權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶(hù)群之間的邊界防護(hù)。

移動(dòng)辦公oa安全策略10、可靠的安全決策

移動(dòng)辦公oa用戶(hù)也存在著安全隱患。有的用戶(hù)或許對(duì)移動(dòng)辦公oa安全知識(shí)非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過(guò)濾防火墻之間的不同等等，但是他們作為公司的合作者，也是移動(dòng)辦公oa的使用者。因此企業(yè)網(wǎng)就要讓這些用戶(hù)也容易使用，這樣才能引導(dǎo)他們自動(dòng)的響應(yīng)移動(dòng)辦公oa安全策略。

另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等等措施也不可缺少。

學(xué)會(huì)了這十大移動(dòng)辦公oa安全策略，企業(yè)內(nèi)網(wǎng)的安全問(wèn)題也要以迎刃而解。

【推薦閱讀】

◆十大移動(dòng)oa辦公系統(tǒng)策略：將移動(dòng)OA辦公系統(tǒng)變成自動(dòng)化

◆移動(dòng)oa辦公系統(tǒng)維護(hù)技巧：如何加強(qiáng)路由器安全

◆移動(dòng)oa辦公系統(tǒng)維護(hù)技巧：ARP病毒的清除

◆移動(dòng)辦公OA系統(tǒng)安全管理技巧經(jīng)驗(yàn)總結(jié)

◆移動(dòng)辦公app管理專(zhuān)區(qū)

◆網(wǎng)管軟件專(zhuān)區(qū)

關(guān)于泛普BTNM

泛普BTNM（Before Trouble Network Manager）是泛普軟件自主研發(fā)的全中文移動(dòng)辦公app管理系統(tǒng)，具備跨地域、跨平臺(tái)、跨廠(chǎng)商的IT移動(dòng)辦公oa運(yùn)維管理功能。其界面簡(jiǎn)潔，具有產(chǎn)品功能全面專(zhuān)業(yè)、使用方便等特點(diǎn)，并且提供了強(qiáng)大、穩(wěn)定易用的IT移動(dòng)辦公oa運(yùn)維管理解決方案。泛普BTNM是一款移動(dòng)辦公app管理領(lǐng)域的通用管理軟件，能有效地提高企業(yè)移動(dòng)辦公oa利用率及運(yùn)行質(zhì)量。作為泛普軟件網(wǎng)管產(chǎn)品家族的核心產(chǎn)品之一，泛普BTNM已經(jīng)廣泛地應(yīng)用在政府、電力、教育、銀行、能源、制造等各行各業(yè)，擁有4000多家用戶(hù)，以其穩(wěn)定、易用、全面等優(yōu)點(diǎn)而廣受青睞。