網(wǎng)絡(luò)安全之安全設(shè)備的管理要求

（文章來源：百家號）

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)已經(jīng)滲透到各行各業(yè),它極大方便了我們的生活和工作，同時也給我們帶來了一些新的問題。網(wǎng)絡(luò)是把雙刃劍：在常人手中，便于信息的獲取和傳播;而到了別有用心的人手中，就成了侵犯他人利益的工具。國家也是高度重視網(wǎng)絡(luò)安全，更是在2016年就發(fā)布了《網(wǎng)絡(luò)安全法》。

各單位也是積極響應(yīng)國家號召，高度重視企業(yè)網(wǎng)絡(luò)安全建設(shè)。下面本文從企業(yè)網(wǎng)絡(luò)設(shè)備與終端設(shè)備管理方面介紹，希望能夠給大家一些啟發(fā)。

網(wǎng)絡(luò)設(shè)備配置要求:1、 網(wǎng)絡(luò)設(shè)備的選擇應(yīng)依據(jù)成熟性、實用性、可靠性、先進性、開放性和可管理性等原則；在同樣滿足業(yè)務(wù)需求的前提下，優(yōu)先選擇國產(chǎn)品牌。2、 生命周期內(nèi)的各類網(wǎng)絡(luò)設(shè)備必須購買備件及原廠或指定授權(quán)集成商維保服務(wù)，這一點主要是確保網(wǎng)絡(luò)設(shè)備可靠穩(wěn)定。3、 網(wǎng)絡(luò)設(shè)備流量、Session數(shù)等主要參數(shù)超過設(shè)計容量60%時，應(yīng)進行設(shè)備擴容或更換更高性能的網(wǎng)絡(luò)設(shè)備。

網(wǎng)絡(luò)設(shè)備管理要求:1、 訪問安全：對網(wǎng)絡(luò)設(shè)備的訪問與配置需要通過堡壘機實現(xiàn)，要采用加密口令保護或者集中身份認證方式保護Console不被非法使用。2、 協(xié)議和服務(wù)安全：網(wǎng)絡(luò)設(shè)備應(yīng)采取最簡化配置原則，應(yīng)關(guān)閉網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)接口上不必要的協(xié)議和服務(wù)（如HTTP　Server、DHCP服務(wù)、DNS查找），保證協(xié)議和服務(wù)的安全性。

3、 網(wǎng)管SNMP安全：要充分利用SNMP的安全設(shè)置來保證SNMP的安全性，僅允許網(wǎng)管服務(wù)器訪問網(wǎng)絡(luò)設(shè)備的SNMP讀寫操作。4、 日志安全：保持網(wǎng)絡(luò)設(shè)備Log功能、時間標記和密碼加密等功能處于開啟狀態(tài)，日志可追朔時間不得短于一年。5、 配置安全：網(wǎng)絡(luò)設(shè)備和服務(wù)器變更前后必須做好備份，備份文件最好保留一年以上。6、 網(wǎng)絡(luò)設(shè)備應(yīng)根據(jù)業(yè)務(wù)需求和安全狀態(tài)及時升級軟件版本。

相對于網(wǎng)絡(luò)設(shè)備的風(fēng)險，網(wǎng)絡(luò)終端的管理在某種程度上對網(wǎng)絡(luò)安全的影響更大，因為所有的終端設(shè)備都是由各個使用人自己保管，他的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)技術(shù)水平直接影響網(wǎng)絡(luò)安全，尤其如今這個年代，自帶的智能終端（手機、筆記本電腦）隨意的接入企業(yè)網(wǎng)絡(luò)，是非常有可能帶入病毒和木馬等威脅程序的。

因此我們可以在企業(yè)終端上面安裝一些管理軟件來實現(xiàn)對終端設(shè)備的管理和控制，減少網(wǎng)絡(luò)安全風(fēng)險。針對企業(yè)統(tǒng)一配置安裝的臺式機，我們可以要求在其上安裝如下管理軟件和管理策略。企業(yè)網(wǎng)絡(luò)采用域管理，所有統(tǒng)一配置的臺式機必須加入公司域，方便管理員推送安全策略。

為了防止內(nèi)部員工對保密資料的外發(fā)，可以在公司電腦上安裝由公司統(tǒng)一管理的加密軟件，裝有加密的電腦，任何文件均被加密，沒有安裝加密的電腦均打不開加密文件，如果因為業(yè)務(wù)需求確實需要外發(fā)給客戶，必須經(jīng)過解密審批之后才能解密，解密之后的文件可以外發(fā)打開。這個可以根據(jù)各企業(yè)保密要求的顆粒度，制定相關(guān)加密策略。

公司電腦必須安裝統(tǒng)一更新的殺毒軟件，網(wǎng)絡(luò)安全人員務(wù)必確保殺毒軟件病毒庫最新。公司電腦安裝準入軟件，在網(wǎng)絡(luò)設(shè)備上面設(shè)置好策略，各終端設(shè)備必須安裝公司統(tǒng)一的準入軟件，并且通過身份認證之后才能接入公司內(nèi)網(wǎng)。準入軟件最好能夠帶有移動存儲介質(zhì)的審計，未經(jīng)許可的U盤，不準接入。架設(shè)補丁分發(fā)服務(wù)，確保各終端設(shè)備補丁最新。實行上網(wǎng)行為監(jiān)控，屏蔽一些與工作無關(guān)的或者不良的網(wǎng)站。對于一些客戶、供應(yīng)商或者員工自帶的智能終端，我們不能強制對它們進行管理。