教你保護公司數據安全的絕妙高招

　　我們通常都關注攻擊者通過互聯網對公司的侵犯，不過對公司數據的攻擊並非都來自網絡。公司必須要牢記：維持一個強健的網絡並不能保證對物理設備的損害或數據竊取擁有免疫力，也不能完全保證包含機密信息的網絡資源的安全。

　　攻擊者可能來自公司外部，也有可能來自內部—那些貪婪的雇員或承包人。在攻擊者能夠從物理上訪問一個系統時，他們會造成大量的破壞。

　　這些攻擊者通常能夠導致系統癱瘓，通過運用一個可移動的啟動盤來訪問系統，攻擊者能夠損害有口令保護的計算機。攻擊者通過增加或重新部署連接，能夠直接訪問網絡。

　　現在的PC部件越來越輕巧，物理安全變得越來越重要。下面讓我們看看如何保護公司及其數據的另類措施。

　　我們不但應該在公司內部實施物理訪問控制程序，還應該強制執行有關措施。在最少的程度上，這些措施應能夠處理個人訪問以及信息和設備訪問。

　　1.請遵循下面這些限制個人訪問的指南：

　　·實施徽章標記制度，使其可以包含雇員的照片，並對其訪問的特定區域用不同色彩標記或分類。

　　·制定一項規則，對沒有可視化ID徽章的任何人都要進行詢問。

　　·對來賓的整個訪問過程都實施護衛、監督。

　　·不要允許任何人（包括廠商、銷售人員等）將其個人的筆記本電腦連接到公司的網絡上。

　　·如果沒有恰當的授權，不要允許任何人向計算機中增加硬件或軟件。

　　·當心那些“跟進者。這些人等著擁有訪問權的某人進入一個受控區域（如進入一個加鎖的門），然後跟著授權人員進門。“跟進者在無需使用自己的鑰匙、密碼卡等就可以進入。

　　2.遵循以下這些措施可以保護數據和設備安全：

　　·將監視器和打印機放置在未授權人員不能輕易看到的區域。

　　·在敏感信息不再需要時將有關的資料和媒體毀掉。

　　·在無人看管的情況下，不要將文檔放置在傳真機或打印機上。

　　·在工作日結束時，要求所有的用戶注銷或關閉其工作站

　　·在夜間，對移動設備上鎖（舉例來說，筆記本電腦、PDA設備、介質、存儲卡）並放置在一個安全的地方。

　　·在沒有確信某人擁有合適的權限與合法的理由時，不允許將計算機從網絡移開或將存儲媒體從設備上移開。

　　·提供鎖、繩等，給計算機機箱上鎖。

　　結束語

　　未授權人員對公司數據的物理訪問有可能是對公司安全性的破壞。一旦某人獲得了對數據的物理訪問權，不管是竊取筆記本電腦還是偷竊數據或介質，你的公司在面臨下一步的攻擊時就顯得無能為力了，更別說對公眾形象的損害了。你可以根據企業的實際情況，通過這些措施來防止數據或設備丟失。

　　目前，市場上的入侵檢測產品大大小小有上百家，如何選擇適合自己的產品，是一件擺在廣大安全管理員和企業技術決策者面前很頭痛的事。下面我們就根據產品的綜合性能，談談采購過程中的基本原則。

　　1.產品的攻擊檢測數量為多少?是否支持升級?

　　IDS的主要指標是它能發現的入侵方式的數量，幾乎每個星期都有新的漏洞和攻擊方法出現，產品的升級方式是否靈活直接影響到它功能的發揮。一個好的實時檢測產品應該能經常性升級，並可通過互聯網或下載升級包在本地升級。

　　2.對於網絡入侵檢測系統，最大可處理流量(PPS)是多少?

　　首先，要分析網絡入侵檢測系統所布署的網絡環境，如果在512K或2M專線上布署網絡入侵檢測系統，則不需要高速的入侵檢測引擎，而在負荷較高的環境中，性能是一個非常重要的指標。

　　3.產品容易被攻擊者躲避嗎?

　　有些常用的躲開入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協同攻擊等。產品在設計時是否考慮到這一點。

　　4.能否自定義異常事件?

　　IDS對特殊的監控需求只能通過用戶自己定制監控策略實現。一個優秀的IDS產品，必須提供靈活的用戶自定義策略能力，包括對服務、訪問者、被訪問者、端口、關鍵字以及事件的響應方式等策略。

　　5.產品系統結構是否合理?

　　一個成熟的產品，必須是集成了基於百兆網絡、基於千兆網絡、基於主機的三種技術和系統。

　　傳統的IDS大多是兩層結構，即"控制台→探測器"結構，一些先進的IDS產品開始采用三層架構進行部署，即"控制台→事件收集器+安全數據庫→探測器"結構，對於大型網絡來說，三層結構更加易於實現分布部署和集中管理，從而提高安全決策的集中性。如果沒有遠程管理能力，對於大型網絡基本不具備可用性。

　　6.產品的誤報和漏報率如何?

　　有些IDS系統經常發出許多假警，假警報常常掩蓋了真攻擊。這些產品在假警報重負下一再崩潰，而當真正攻擊出現時，有些IDS產品不能捕獲攻擊，而另一些IDS產品的報告混雜在假警報中，很容易被錯過。過分復雜的界面使關掉假警報非常困難，幾乎所有IDS產品在默認設置狀態下都會產生非常多的假警報，給用戶帶來許多麻煩。

　　7.系統本身是否安全?

　　IDS系統記錄了企業最敏感的數據，必須有自我保護機制，防止成為黑客的攻擊目標。

　　8.產品實時監控性能如何?

　　由IDS通信造成的對網絡的負載不能影響正常的網絡業務，必須對數據進行實時分析，否則無法在有攻擊時保護網絡，所以必須考慮網絡入侵檢測產品正常工作的最大帶寬數。

　　9.系統是否易用?

　　統的易用性包括五個方面：

　　界面易用--全中文界面，方便易學，操作簡便靈活。

　　幫助易用--在監控到異常事件時能夠立刻查看報警事件的幫助信息，同時在聯機幫助中能夠按照多種方式查看產品幫助。

　　策略編輯易用--能否提供單獨的策略編輯器?可否同時編輯多個策略?是否提供策略打印功能。

　　日志報告易用--是否提供靈活的報告定制能力。

　　報警事件優化技術--是否針對報警事件進行優化處理，將用戶從海量日志中解放出來，先進的IDS能夠將一定時間內的類似事件經過優化處理後合並進行報警，這樣，用戶面對的日志信息不僅更為清晰而且避免錯過重要報警信息。

　　10.特征庫升級與維護的費用怎樣?

　　像反病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現的攻擊方法。

　　11.產品是否通過了國家權威機構的評測?

　　主要的權威評測機構有：國家信息安全評測認證中心、公安部計算機信息系統安全產品質量監督檢驗中心等。另外，購買IDS產品需要考慮多種因素，上面只是基本的要點。由於用戶的實際情況不同，用戶可根據自己的安全需要綜合考慮。