安全是一个宽泛的概念,在IT中安全的概念一直在灌输,随着IT应用的不断日新月异,IT办公覆盖面的不断扩大,在网络和信息系统的建设和管理中,安全越发突出其重要性。在此我们没有办法一句两句对这一概念做到完善全面的阐述,也没有办法一一列举安全产品或手段,只能就简单的概念做一个分享。
安全类别:
安全的概念实在宽泛,在此我们对常见的IT信息系统相关安全做一些说明,从大的类别上来看可分为,系统自身技术安全、架构设计安全、机房或设备环境安全、人员管理安全等方面。系统自身技术安全:
这是指客户自行开发的业务系统在开发技术上是否有安全漏洞、承载这些系统的网络或者安全、存储设备是否存在安全威胁,例如后门,各类隐藏的安全漏洞,或者稳定性漏洞等。架构设计安全:
主要指IT系统设计架构方面是否考虑了稳定性、冗余、灾难应急等问题。例如是否采用多线路、是否采用多机部署、是否有备份中心、灾难发生后是否有应急方案等。机房或设备环境安全:
主要是指机房是否满足当前IT系统的业务承载量例如用电、通风、消防、监控等方面。人员管理安全:
主要是对出入IT机房是否有相应的授权制度、监控手段、访问不同的业务内容是否有授权机制,数据的保存或IT设备的配置是否有严格的管理和监督手段等。针对不同的安全概念应用不同的技术手段:
针对系统自身技术安全:
首先需要客户在开发系统时选用成熟的技术手段,开发尽量少BUG的系统,系统需要考虑执行效率、稳定性、安全漏洞等因素;其次选择稳定的服务器系统,做好相应的补丁工作;第三结合杀毒软件、IPS、IDS、漏扫、安全评测系统、各类针对性防火墙系统、审计系统、加密系统等进行设计。针对架构设计安全:
根据IT系统的实际情况,可分批次建设,可先对关键节点做冗余设计,后期做全面的冗余架构;在设计的同时需要考虑访问业务的性能、易用性、预见灾难的发生点及应急手段。这就要求我们对设备的技术特点、功能性能、技术发展前景等进行了解。往往需要用到、双机协议、多活方案、负载方案、虚拟化方案等。针对机房或设备环境安全:
需要专业的消防、烟感、水感系统、温湿度系统、防静电、防雷等进行设计、同时需要统一的机房环境监测系统和管理制度相结合。针对人员管理的安全:
首先需要明确不同人员的级别授权、访问权限,技术监控手段和制度的配合。例如安全运维审计系统、堡垒机、日志审计、虚拟桌面、文档加密系统、上网行为审计等等。
