1.1.4 信息安全

信息是網絡中最重要的安全對象。事實上，實施各種安全措施的最終目的，就是保護位于網絡中各個位置的敏感信息。可以采取以下策略，實現(xiàn)對于信息安全威脅的防范。

● 在局域網絡內，對不同的信息進行區(qū)域規(guī)劃，執(zhí)行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN，并在Trunk端口限制授權訪問的VLAN，將一些敏感信息與其他子網絡相隔離。

● 將所有敏感信息都集中保存在網絡內的文件服務器中，既可以有效保證敏感信息的存儲安全，又可以保證在共享文件的同時，嚴格控制其訪問權限。需要注意的是，應杜絕將敏感信息保存在個人計算機上。

● 制定嚴格的文件訪問權限。敏感文件必須存儲在NTFS系統(tǒng)分區(qū)，并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。

● 將不同類型的用戶劃分于不同的用戶組或組織單位，并為用戶組和組織單位指定相應的訪問權限，既可以減化文件權限管理的難度，又不會因疏忽大意導致訪問權限劃分錯誤。

● 安裝RMS服務，嚴格限制對敏感文件的操作。權限管理服務（Windows Rights Management）作為組織內的權限策略管理系統(tǒng)提供一個平臺，是在組織中搭建權限管理系統(tǒng)的重要組成部分。

● 其他基于交換機和路由器的安全措施。例如，采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術，限制用戶登錄到網絡，或者限制其對敏感區(qū)域的訪問。