1.1.4 信息安全

信息是网络中最重要的安全对象。事实上，实施各种安全措施的最终目的，就是保护位于网络中各个位置的敏感信息。可以采取以下策略，实现对于信息安全威胁的防范。

● 在局域网络内，对不同的信息进行区域规划，执行严格的授权访问机制。将拥有不同安全访问权限的用户划分至不同的VLAN，并在Trunk端口限制授权访问的VLAN，将一些敏感信息与其他子网络相隔离。

● 将所有敏感信息都集中保存在网络内的文件服务器中，既可以有效保证敏感信息的存储安全，又可以保证在共享文件的同时，严格控制其访问权限。需要注意的是，应杜绝将敏感信息保存在个人计算机上。

● 制定严格的文件访问权限。敏感文件必须存储在NTFS系统分区，并且为不同用户或用户组设置严格的NTFS文件权限、NTFS文件夹权限和共享文件权限。

● 将不同类型的用户划分于不同的用户组或组织单位，并为用户组和组织单位指定相应的访问权限，既可以减化文件权限管理的难度，又不会因疏忽大意导致访问权限划分错误。

● 安装RMS服务，严格限制对敏感文件的操作。权限管理服务（Windows Rights Management）作为组织内的权限策略管理系统提供一个平台，是在组织中搭建权限管理系统的重要组成部分。

● 其他基于交换机和路由器的安全措施。例如，采用IEEE 802.1x身份认证、IP地址与MAC地址绑定、安全端口、IP或MAC地址访问列表等技术，限制用户登录到网络，或者限制其对敏感区域的访问。