安全服務規劃了企業在安全防護方面的內容,企業的網絡、服務器、客戶端及各種數據應該的得到有效的保護,以預防各種數據丟失給企業帶來的損失。
安全服務涉及各個技術層面,我們將採用多重技術來爲企業提供立體安全防禦體系。
防火牆
企業的邊緣網絡將放置一臺防火牆服務器,用於保護整個企業IT環境,抵禦基於Internet的威脅。我們選用Microsoft Internet Security and Acceleration (ISA) Server 2006 SP1產品,該產品不僅可以很好的保護企業內部網絡不受Internet威脅侵襲,還可以方便發佈公司的內部網站到Internet,例如應用程序服務中的TS Web access,ISA Server 2006可以非常方便的發佈終端服務的網頁。(由於此處超出課本範圍,故不詳細討論)
服務器和客戶端計算機均應啓用windows 防火牆,以保護計算機的內部數據
ISA Server 2006與Windows 防火牆將組成兩道安全防線。
補丁更新
服務器與客戶端及時打最新的微軟漏洞補丁也可以在很大程度上保護自身的安全。爲了減少更新補丁對企業出口帶寬的影響,我們引入微軟補丁更新解決方案中的WSUS來對企業計算機進行及時的補丁更新。
WSUS組件將被安裝到一臺單獨的服務器上,採用單WSUS服務器架構,服務器將可以透過防火牆到微軟的更新網站去下載補丁更新。客戶端則使用WSUS服務器做更新源。企業中還應有幾臺客戶端做補丁更新測試用,此時我們將採用WSUS中的計算機組來實現對部分計算機分發補丁的目的。
通過使用域組策略,可以實現客戶端WSUS更新配置與更新源的自動配置。
殺毒軟件
殺毒軟件作爲計算機的重要防護措施,可以有效抵禦各種病毒的***及傳播。對於不同的服務器與客戶端我們可以採用微軟forefront系列產品,也可採用第三方殺毒軟件產品。(超出書本範圍,不在詳述)
數據加密
對放置於服務器與客戶端上的各種員工數據進行保護是必須的,防止由於******或員工筆記本的丟失而造成的數據泄漏。我們採用如下兩種技術來對數據進行加密:
l EFS加密文件系統:對計算機中的用戶個人數據進行加密,可以有效阻止數據被竊取後的讀取與複製。
l EFS恢復代理:因爲EFS加密基於私鑰,私鑰的丟失將導致數據無法讀取。所以對私鑰的備份尤爲重要。在方案中,企業管理員將被設爲EFS恢復代理,此賬戶在需要時可以打開員工的加密文檔。
l BitLocker:Windows7 中的Bitlocker可以有效保護系統卷與非系統卷,防止由於物理設備被偷竊而造成的數據泄漏。但應做好BitLocker解密密鑰的保存。
l BitLocker to go:保護移動設備中的數據
BitLocker,我們可以通過域組策略來啓用客戶端的此功能。