时间:2023-09-24 10:58:08
导语:在企业的网络安全的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4026-02
随着信息技术的飞速发展,电子政务、电子商务、企业信息化建设取得了显著成效,园区网络也已经被广泛的应用到企业日常工作、管理中去。与此同时网络安全问题日益突出,安全保密建设任务更加紧迫,如何切实有效的对终端用户的网络访问范围、权限加以控制,对病毒、木马的泛滥加以限制成为企业园区网络安全建设的面临的重要课题。
近年来由于三层交换设备在企业园区网络中的广泛应用,通过ACL(Access Control List,访问控制列表)进行数据流控制实现网络安全,变得具有普遍意义。
1 ACL技术介绍
1.1 ACL的工作原理
TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成,IP报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP报头包含源端号、目的端口,设备信息。(如图1)
ACL利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。――如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。(如:图2)
1.2 ACL的分类
ACL的分类根据网络厂商及设备IOS版本的不同存在一定的差别,但按照规则的功能一般ACL可以划分以下三种:
1)标准ACL:仅使用数据包的源IP地址作为条件来定义规则。
2)扩展ACL:既可使用数据包的源IP地址,也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。
3)基于以太帧的ACL:可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太网帧头信息来定义规则。
1.3 ACL的特性
1)每条ACL应当至少包含一条允许语句,否则将拒绝所有流量。
2)ACL被创建后并不是马上生效,只有在被应用到接口时才会过滤流量。
3)ACL只过滤通过设备的流量,而不过滤本设备所产生的流量。
4)将标准ACL尽可能放置在靠近目的地址的位置,将扩展ACL尽可能放置在靠近在源地址的位置,以避免不必要的流量占用网络带宽。
5)避免在核心层设备上大量使用ACL,这将大量占用设备的处理能力。
2 企业园区网络安全实例
2.1 典型企业园区网络
在典型企业园区网络环境中,网络依照三层架构建设及接入层、汇聚层、核心层,各部门通过Vlan划分为多个子网络。终端用户主要应用为OA系统、电子邮件以及部门打印机。(如图3)
2.2 企业园区网络所面临的安全问题
传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为,即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的,威胁都来自于外部,其途径主要通过内外网络边界出口,只要将网络边界处的安全控制措施做好,即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。
事实上,内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,威胁既可能来自外网,也可能来自内网的任何一个节点上,实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行,充分发挥信息网络效益的必然要求。
目前,对企业内部园区网络的常见安全问题有以下几点:
1)在企业管理中需要避免各个部门之间网络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。
2)防止内网已有病毒在网络上的扩散传播,控制并减少病毒侵害的范围。
3)防止未经授权的非法终端设备接入网络,对网络中的设备进行。
2.3 ACL策略实现
对于企业园区网中的上述问题,以Cisco三层交换机为例设配置ACL策略,实现安全防范。
1)企业园区网络各部门Vlan收敛于核心交换机,因此在核心交换机上使用扩展ACL实现Vlan指定访问。
Switch(config)# access-list 101 permit any 192.168.254.0 0.0.0.255//允许目的地址为服务器区域地址段
Switch(config-if)# interface vlan 10 //进入vlan10的网关
Switch(config-if)# ip access-group 101 out //比对vlan10网关的出输数据包
2)大部分病毒利用软件、操作系统的漏洞通过开放的端口实施侵入,常用端口有136、137、138、445等,所以在汇聚层交换机上使用扩展ACL实现网络防护,将病毒影响控制在有限的范围内。
Switch(config)# access-list 102 deny udp any any eq 135//拒绝任意主机间通过135端口的UDP数据包
Switch(config)# access-list 102 deny udp any any eq 136
Switch(config)# access-list 102 deny udp any any eq 137
Switch(config)# access-list 102 deny udp any any eq 138
Switch(config)# access-list 102 deny udp any any eq 445
Switch(config)# access-list 102 deny tcp any any eq 135
Switch(config)# access-list 102 deny tcp any any eq 136
Switch(config)# access-list 102 deny tcp any any eq 137
Switch(config)# access-list 102 deny tcp any any eq 138
Switch(config)# access-list 102 deny tcp any any eq 445
Switch(config)# access-list 102 permit ip any any//允许任意主机之间的访问
Switch(config)#intface GigabitEthernet 0/1//进入汇聚交换机下联端口
Switch(config-if)# ip access-group 102 in//比对端口输入数据包
3)由于非法接入动作发生于交换机接入层,所以在接入层交换机端口上使用基于以太帧的ACL对接入端口的MAC地址进行绑定,实现网络接入安全。
Switch(config)# mac access-list extended f0/1//建立命名为f0/1的ACL
Switch(config-ext-mac)# permit any host H.H.H//允许任意地址访问MAC地址为H.H.H的主机
Switch(config-ext-mac)# permit host H.H.H any//允许MAC地址为H.H.H的主机访问任意地址
Switch(config)# intface fastEthernet 0/1//进入终端接入端口
Switch(config-if)# mac access-group f0/1 in //比对端口输入数据帧
3 结束语
ACL在本质上是一系列对包进行分类的条件,通过ACL网络管理员可以对企业园区网络中的传输流量做到精确控制,防止病毒在网络中的扩散,保护敏感设备远离未授权的访问。
参考文献:
[1] Andrew S,Tanenbaum.计算机网络[M].4版.北京:清华大学出版社,2004.
[2] 谭浩强.Cisco路由实用技术[M].北京:中国铁道出版社,2006.
[3] 张仁斌,李钢,侯.计算机病毒与反病毒技术[M].北京:清华大学出版社,2006.
关键词 网络安全;互联网;风险
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)21-0241-01
计算机技术和网络技术在带给人们方便的同时,也使网络信息安全风险也大大增加。网络信息安全已成为当今社会互联网技术研究的重要难题。针对网络攻击行为,采用多种网络信息安全技术进行防护,可以有效的减少攻击行为所带来的损失。
1 网络安全隐患
网络安全,不仅指网络的信息系统安全,还包括网络系统中的硬件、软件及数据资源不遭受破坏、泄漏和更改,保证网络系统的安全可靠运行,防止各种有害信息和非法信息的传播。
企业网络的安全隐患主要表现在以下几个方面。
1)物理安全风险。物理安全包括网络系统中的各种网络硬件设备,如路由器、交换机、工作站和服务器等的通信链路的运行安全。物理安全风险主要有:火灾、雷击、水灾等自然灾害,外界电磁干扰,人为误操作或者破坏,设备自身的缺陷或者弱点等。
2)网络安全风险。网络是一个开放性的平台,企业的信息网络安全受到各种威胁和攻击。网络入侵者能够通过系统漏洞及各种扫描工具,以攻击程序对网络进行恶意的攻击,导致企业网络瘫痪,甚至是网络信息被篡改、窃取。
3)系统安全风险。企业网络设备主要为服务器系统、路由器交换机系统。在企业服务器系统中,设有数据库系统、操作系统、其他应用系统等。这些系统必然或多或少地存在着一些漏洞,一旦攻击者通过这些漏洞,可能会对系统造成很大的损失。
4)用户安全风险。这种风险主要是针对企业的内部人员,防止内部人员对系统和网络的误用、攻击等情况。如内部人员计算机感染了恶意软件或木马程序时,可能会造成内网的ARP攻击。
2 提高企业信息网络安全措施
2.1 网络安全解决办法
提高网络安全,是为了保证网络系统不受外来攻击和内在的故障,安全稳定的运行。而防火墙是网络系统安全的第一道门槛,通过硬件和软件来实现网络的安全。防火墙的主要性能包括:
1)对内外部网络数据流进行控制。网络防火墙是链接内部网络和外部网络的通道,防火墙的特殊网络位置特征,决定了可以有效的保护内部网络不被破坏和攻击。
2)防火墙可以有效的过滤网络数据流量。通过防火墙的数据流量必须是经过防火墙认定,符合一定安全策略的才能通过,只有在该前提下,在适当的协议层才能进行访问规则和通过安全审查,对于那些不符合通过条件的报文予以阻断。
3)应用层防火墙具备更细致的防护能力。传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。而新一代的防火墙解决了这个问题,它具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,更好的针对应用层攻击进行防护。
2.2 系统安全解决办法
1)操作系统安全措施。操作系统的安全措施主要包括以下内容:①在局域网内建立WSUS补丁服务器,为整个局域网提供微软全系列软件的补丁。②操作系统及其各种应用软件及时更新补丁,有效防止黑客的攻击和病毒的感染。
2)系统漏洞扫描。目前的网络和系统配置往往存在部分漏洞,这些漏洞容易被黑客利用,使系统的安全存在隐患。因此,提前发现漏洞并进行处理,可以减少系统安全威胁,避免不必要的损失。漏洞扫描和检测工具可以对网络设备和操作系统进行扫描,对系统中存在的漏洞生成检查报告,并提示用户及时安装相应的漏洞补丁,以提高系统安全性。
3)网络入侵检测及预警。为了提高信息安全基础结构完整性,使用入侵检测及预警系统是防火墙的有益补充,进一步提高了系统面对网络攻击的安全性,使系统管理员更方便的对系统安全进行管理。
4)病毒防护。计算机病毒对系统和网络安全的威胁越来越引起人们的重视,而针对计算机病毒的防护和扫描是系统安全必不可少的。计算机病毒的防治在于完善操作系统和应用软件的安全机制和防范措施。使用高性能网络杀毒软件不仅能针对流行病毒进行查杀,阻断病毒的蔓延,而且还能实现实时监控和预防,避免计算机染上病毒。
5)网络审计与监控。网络审计和监控不仅依靠网管软件和系统管理软件来实现,还应采用目前较成熟的网络监测设备和实时入侵监测,对系统中的网络行为进行监控、预警和阻断,及时预防网络入侵行为和采取相应的措施。
6)数据备份与恢复。对于数据的备份和恢复应采用高速、大容量、自动的数据备份恢复。对于部分系统的备份,可以采取增量备份,只针对系统发生过更改的部分文件进行备份。
2.3 应用级安全解决办法
1)用户授权管理。实现了多级分权的权限划分机制,不同的部门只能在允许的范围内对数据进行操作,而对于管理部门,则可以跨部门或者全部操作。其次是功能权限,可以自定义的方式确定用户的增加、删除、修改、查询权限。
2)数据安全备份。数据安全是整个系统安全的核心,是系统可靠性的体现和关键环节。为此,系统中可自定义备份策略,实现定期自动备份,也可手动备份手动恢复。
3)数据加密。应对关键数据采用了完善的数据加密措施,如登录帐号和密码。作为最重要的身份识别依据和权限开关,其安全性的重要程度在应属于最高级。软件的关键配置文档,里面有关键的参数设置,也应进行了相应的加密处理,保证的系统的稳定性。
4)操作日志。对于系统的登陆和操作情况应进行自动记录,并形成报告和日志,进行痕迹保留,对操作方式,操作内容,操作时间等都可以进行记录。
3 结论
在计算机网络技术的发展过程中,企业的信息网络安全技术水平也不断提高。随着企业的发展和业务的拓展,网络安全受到极大的挑战,黑客攻击、病毒入侵、非法访问等不断发生。因此,从企业网络信息安全需求及等级情况出发,选择适合企业自身需求的企业网络信息安全措施,可以有效的保障企业信息网络的健康运行。
参考文献
[1]王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息,2010(7).
在2007年,Microsoft ForeFront家族产品逐一亮相,ISA Server 2006又一次成为人们关注的对象。这一次它不是单打独斗,而是Microsoft ForeFront阵营里的前排哨兵。作为微软企业安全解决方案的一部分,ISA Server 2006的特性能否满足企业网络的安全需求呢?
企业对网络安全的需求
综合性
随着近两年越来越多的恶性网络安全事件的爆发,企业的信息管理者已经感觉到网络安全问题不再仅仅是网络中某个环节上的问题,在很多时侯,企业需要全面、综合地提高自身网络的安全性能。
防火墙、病毒防护、VPN连接、身份验证、访问控制、流量控制、服务器、客户端安全集中管理、补丁管理、事件报告及报表等网络安全涉及到的内容,虽然不能完全综合到一款软件上,但一个好的网络安全产品的综合性是不可或缺的。网络安全管理者都不希望每种网络安全方面的部署都要新架一台服务器来作为支持。
集成性
没有一个网络安全管理者希望,在企业的网络安全的部署中,有一款产品与已经部署好的或者即将部署的产品之间互相对立、格格不入。相反,他们都希望各种产品能相互沟通、相互依存,各自的功能和产生的数据信息能被其它产品所利用,各类产品可以紧密地集成在一起,让企业网络安全更清晰可控,更便于部署和管理。
网络部署中涉及到许多硬件、软件服务商,在各类产品之间可能存在着意想不到的网络安全隐患。因此,在部署中需要尽可能地使用产品线比较丰富和完善的厂商的产品,增强产品间的集成性,可以从网络建立的初期就减少“非受迫性”网络安全事故。
易用性
众所周知,IT部门的工作十分忙碌。如果网络安全产品的复杂度很高,那么IT技术人员就不得不牺牲更多的休息时间去适应企业网络安全方面的新产品。使用易用性高的产品则可以减少IT技术人员在学习新知识中花的时间,从而更好地专注于企业的网络安全服务。
另外,并不是每一个公司都有强大的技术团队来为网络安全提供保障,一旦网络安全事件发生,会给企业造成很大的损失。使用一些易用性强的产品,将对企业网络高效运行提供一定的保障作用。
可用性
如果企业部署的安全产品三天两头地Down掉,如一句俗语所说:“泥菩萨过河,自身难保”,那企业网络还有什么安全可言呢!所以,可用性是网络安全的最基本的要求。只有网络安全产品正常可用,它才能起到保护企业网络安全的作用。
病从口入,祸从口出。网络边界的安全是网络安全中很重要的一个部分。以上的分析表明,企业的网络安全问题需要一款好的网络边界产品。ISA Server 2006就是这样一款集成的边界安全网关产品,在用户对应用系统和数据进行快速而安全的远程访问的同时,能够保护企业IT环境免受来自基于Internet的威胁。
ISA Server 2006的特性
综合性
ISA Server 2006不但可以作为高效的Web、强大的防火墙、安全的VPN,还可以作为内部服务器的平台。同时,它可协助企业保护其环境免受内部和来自Internet的威胁。借助――防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护企业网络。
通过设置合理的防火墙策略,ISA Server 2006可以控制哪些用户可以上网、在什么时间上、使用哪些协议、访问哪些网站等,另外,它可以细化到控制用户访问哪种类型的文件,并可以控制含有某些签名的数据包的传递。这样用户就可以轻松地对一些IM软件和P2P软件进行控制,让网络可以更高效地运转。
关键词 安全管理系统;杀毒;企业邮箱
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0214-02
0引言
信息技术的迅猛发展极大地促进了网络在企业的普及应用,当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,来获得竞争优势。对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全,以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的,而是企业安全管理必须解决的问题。企业邮箱是公司架设的服务于公司内网用户的企业级邮箱。
1 网络安全管理系统的应用
公司通过使用莱恩塞克内网安全管理系统和金山毒霸网络版的配合使用,将公司整个网络设备对病毒的查、杀、防列入到网络管理体系当中。
1.1网络安全系统的需求分析
企业网络安全管理涉及的需求有诸多方面,仅就计算机网络系统集中管理、网络数据存储与备份管理,两方面进行说明。
1.1.1计算机网络系统集中管理
实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
1.1.2 网络数据存储备份管理
互联网与信息技术的蓬勃发展,在提高了各个行业企业日常业务运营效率的同时,也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富,企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护,并在故障出现时迅速准确的予以恢复,以最大限度减小企业可能的损失,实现业务的持续、正常运转。
1.2 网络安全系统的功能
系统投入使用以来,有效地解决了公司信息部门多年以来实际工作中遇到的网络管理难题,系统实现了对局域网内的所有设备的数量、型号以及配置的统计,还对突发故障及时报警和诊断,对最新病毒、黑客攻击进行报警判断并作出有效的控制,对软件的远程自动分发和恢复安装功能,通过分发使网内的各个终端计算机实时的进行系统升级以及防毒软件的日常升级需求。
1.3 网络安全系统的应用成果
对于近期危害严重的网络arp病毒一旦局域网内的计算机感染此病毒,由于此病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量导致网络瘫痪以往我们发现此类故障后只能现场查看网内每台机器来排查此病毒费时费力工作效率大大降低,现在通过金山毒霸网络版的病毒日志可以有效地得知病毒来源予以查杀,对于无法杀除病毒的机器通过莱恩塞克内网安全管理端对ip地址和MAC地址绑定功能控制交换机端口,禁止感染病毒的计算机进入网络,使网络中病毒的传播范围达到最小,把损失降到最低,还可以对内网机器准确的定位,有效杜绝了内部人员未经允许修改自己机器的ip地址,导致其它人员的ip地址被盗用,危险时会使网络内重要的服务器因ip地址被占用而停止服务的危险隐患。在信息中心利用管理软件得远程指导、远程维护功能可以对网内计算机操作人员的违规操作进行有效的监视,如上网、运行非法软件、记入到网络日志,并快速的提出警告。如果哪台机器感染病毒,迅速报警并采取措施。对于远程计算机的监视和控制就像操作自己的计算机一样,避免了跑路,提高效率。在信息中心可以统一向各计算机用户批量快速发送软件的升级补丁,发送信息,节省了人力,物力。
2 企业邮箱的应用
邮件系统,在办公自动化的今天,尤其显得重要。对于许多企业来说,离开了E-mail,工作已经不能顺畅的开展了。目前许多企业通过租用的外部邮箱系统的方式来解决邮件通讯问题。但租用的外部邮箱系统,除了需要花费昂贵的租金外,还不易于管理,同时在邮件安全、提高办公效率等都遇到了瓶颈。而拥有可靠的邮件系统是现代企业顺利发展的必要基础配置,也利于企业进一步提高自身形象。概括起来讲,企业邮箱达到的主要指标如下:
1)实现内外网络分离;
2)邮箱访问速度极快,内网用户文件上传下载文件速度可达10兆每秒;
3)邮箱拥有的公共地址簿,使用户使用邮箱时,方便得查找目的用户,提高了邮箱的使用效;
4)邮箱全部注册用户以真实身份进行注册,用户名称也使用真实姓名的英文拼写,防止了匿名内外网用户对网络安全的破坏,方便了管理员对网络安全的监控;
5)远程管理方便,管理员可以随时在互联网上对邮箱进行管理,提高了管理的效率;
6)邮箱正式运行后较稳定,邮件收发正确率,文件传输正确率100%,稳定运行时间95%以上。
4 结论
总的来说,一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后需要确保这个安全策略可以被彻底贯彻执行。最后,由于移动办公用户的存在,企业和网络经常处在变化中,需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,应该时刻具有主动性的眼光并在第一时刻更新的安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的,但这样做足可以使企业网络处于优势地位。
参考文献
[1]广域网与局域网.
[2]TCP/IP实用技术指南.
[3]网络分析与设计.
[4]计算机网络安全与加密技术.
[5]莱恩塞克内网安全管理使用手册.
[6]Winmail server技术使用手册.
关键词 内部网络;安全防范;企业
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0207-02
1 企业内部网络的安全现状
传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3信息分散
由于部分企业内部网络的数据存储分布在不同的计算机终端中,没有将这些信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于数据往往不加密就在内部网络中随意传输,这就给窃取信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
参考文献
关键词:企业;计算机;网络安全;防护;体系;构建
众所周知,计算机网络技术具有双面性特点,优点与缺陷共存,其在社会整体发展中会带来一定操作便捷性,但其弊端与不足也尤为明显,因为网络本体具备开放共享特点和多样化链接特点以及终端分布不均匀特点等,所以此时计算机网络安全极易受到外界攻击与损害,网络安全随之受到严重威胁。计算机网络信息时代的到来,企业计算机技术依赖程度日渐加深,企业日常办公活动和工作细节中都或多或少的应用计算机技术,网络安全妨碍种类颇多,我们应正视此类状况,从实际角度出发,适时进行网络安全防护结构体系构建,以保障企业信息安全。
一、现存问题要点分析
(一)企业网络管理制度尚未整改与完善。企业网络管理制度不完善因素存在对企业网络安全造成严重影响,其网络破坏力度相对较大,俗话说得好,没有规矩不成方圆,企业制度即是规矩,应该了解到,当前我国多数企业网络管理中仍存在管理制度不完善现象,缺少规范化网络安全管理结构体系对此类不良事项进行制约,主要存在网络安全管理流程混论状况和网络安全意识淡薄状况以及管理流程混乱状况等,而管理责任不明确现象也时有发生,诟病与缺陷众多,企业专职管理人员没有及时履行本体内在职能,给网络安全威胁者提供了攻击机会。
(二)企业网络建设缺乏科学合理规划。企业网络建设过程中常会出现规划不合理状况,其问题普遍性较为明显。需知,企业建立伊始便不会高度重视网络建设工作,企业发展和慢慢壮大后,计算机网络应用次数会增加,利用计算机软件进行企业办公,此后便会出现一定的网络安全问题,其主要由网络建设不合理规划造成,最为常见的例子即为,企业网络宽带接入时其基础新承载力不足,这样会严重影响办公效率和网络安全。
(三)企业网络设施落后与企业网络设备落后。部分企业网络设备发展与当前社会发展需求难以相互适应,此项事件成因即为计算机和网络技术以新型科学技术产生,虽然企业网络设备投入资金到位,但经过长期运作后,一些企业网络设置和网络设备还是处于相对落后态势,特别是多数企业无法对企业本体网络设施、网络设备更新工作以及维护工作等重视起来,二者重视度降低便会使企业网络设施落后与企业网络设备落后问题日益凸显。
二、企业计算机网络安全与防护结构体系构建策略要点分析
(一)计算机网络制度规范与完善。网络制度建立环节势在必行,因为其是进行企业计算机网络安全与防护结构体系构建的首要前提,需要认真结合当前企业网络使用现状与特点,融入网络管理流程制定和网络使用制度制定,之后在此基础上进行企业工作人员群体的计算机网络安全操作意识强化,深度明确相关管理职责,针对老旧式网络设备和网络设施等予以及时取缔,不断提高网络安全管护责任,对网络设施设备进行全面更新与综合整改,以至有效提升企业网络设施具体应用水准。
(二)企业计算机网络防火墙配置。此条首要一点即是进行网络防火墙设置,因为防火墙技术是整体企业网络安全维护过程中重要组成部分和重点操作环节,网络防火墙技术应用时需要严格遵循网络安全维护原则,及时进行企业计算机网络运行现状和运行状况监管,针对网络传输数据包内容,不断实施安全检查与强制控制,有效屏蔽外来不良信息,禁止危险信息的不合理侵入,以至有效防止企业计算机网络基本信息遭受泄漏。
(三)计算机网络病毒检测技术应用。计算机病毒的产生可对计算机原有程序进行破坏,使得计算机网络结构系统不能正常运行,计算机网络数据信息会遭到严重破坏,随之产生计算机指令信息和相关程度代码内容,上述二者均具备自我复制特性,其网络危害程度极深。较为正确的做法是,企业应及时利用病毒检测软件进行全面网络病毒检测,运用先进计算机网络安全检测软件进行病毒查杀和拦阻,在及时检测到计算机网络病毒的同时予以及时删除和处理,保障企业计算机网络结构系统运行安全。除此之外,还可进行密码更改与机密技术执行,定期进行企业网络账户密码修改,防止网络账户密码泄露状况产生,通过重要信息存储形式加密改变进行窃取行为防御,避免企业信息泄露,再有就是IP隐藏技术,其可对IP地址进行隐藏,网络黑客则不能趁虚而出,所以企业自身需要运用多样网络维护技术去保障企业计算机网络安全,将各项网络安全防护工作均落实到位,有效提升最终工作质量和工作效率。
结束语:综上所述,企业计算机网络安全问题是企业发展过程中需要侧重考虑的操作环节之一,当前存在网络管理制度尚未整改、完善问题和网络建设缺乏科学合理规划问题以及网络设施落后与企业网络设备落后问题等,需要从实际角度出发,及时进行计算机网络制度规范与完善、计算机网络防火墙配置和应用计算机网络病毒检测技术,全方位多角度保障企业计算机网络正常平稳运行。
参考文献:
[关键词]企业信息 网络安全体系
一、企业信息网络安全现状概述
进入21世纪后,随着国内信息化程度的快速提高,信息网络信息安全越来越多受到关注,信息网络安全产品和厂商短短几年内大量涌现。但是,令人担忧的是,虽然众多的产品和厂商都以信息网络安全的概念在提供服务,但其中包含的实际技术和内容却千差万别。这样的情况,一方面对市场和用户形成了误导,不利于解决用户的实际信息网络安全问题,造成投资浪费;另一方面也不利于创造良性的竞争环境,阻遏了信息网络安全市场的发展。
鉴于此,有必要对信息网络安全进行成体系的理论探讨,形成统一的共识和标准,这样才能让信息网络安全产品和厂商真正满足用户的需求,解决用户的实际问题,推动国家信息化的发展。
二、信息网络安全问题的本质探讨
1.信息网络安全问题的形成原因
信息网络安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:
(1)随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,信息网络已经成了各个单位的生命线,对信息网络稳定性、可靠性和可控性提出高度的要求。
(2)内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对信息网络各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。
(3)由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。
上述三个问题,都是依赖于信息网络,与信息网络的安全紧密相连的,信息网络安全受到广泛的高度重视也就不以为奇。
2.信息网络安全问题的威胁模型
相对于信息网络安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范互联网对信息网络的攻击,即可以说是互联网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。互联网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内互联网边界出口。所以,在互联网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
而信息网络安全的威胁模型与互联网安全模型相比,更加全面和细致,它即假设信息网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自互联网,也可能来自信息网络的任何一个节点上。所以,在信息网络安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的信息网络。由此可见,相比于互联网安全,企业的信息网络安全具有以下特点:
(1)要求建立一种更加全面、客观和严格的信任体系和安全体系;
(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;
(3)要求对信息进行生命周期的完善管理。
三、现有信息网络安全产品和技术分析
自从信息网络安全概念提出到现在,有众多的厂商纷纷自己的信息网络安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。
1.监控审计类
监控审计类产品是最早出现的信息网络安全产品, 50%以上的信息网络安全厂商推出的信息网络安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作,以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。
监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在信息网络发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高信息网络的可控性和可管理性。
2.桌面管理类
桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能,
桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对信息网络信息数据提供有效的控制。
3.文档加密类
文档加密类产品也是信息网络安全产品中研发厂商相对较多的信息网络安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。
文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。
4.文件加密类
文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。
文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。
5.磁盘加密类
磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。
磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其他信息网络安全管理控制措施。
四、构建完整的信息网络安全体系
从前面的介绍可以看出,上述的信息网络安全产品,都仅仅解决了信息网络安全部分的问题,并且由于其技术的限制,存在各自的缺点。事实上,要真正构建一个可管理、可信任和可控制的信息网络安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的信息网络安全管理平台。
根据上述分析和信息网络安全的特点,一个整体一致的信息网络安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全信息网络的效果。
身份认证是信息网络安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。信息网络的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。
授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。
数据保密是信息网络信息安全的核心,其实质是要对信息网络信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对信息网络核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。
监控审计是信息网络安全不可缺少的辅助部分,可以实现对信息网络安全状态的实时监控,提供信息网络安全状态的评估报告,并在发生信息网络安全事件后实现有效的取证。
需要再次强调的是,上述四个方面,必须是整体一致的,如果只简单实现其中一部分,或者只是不同产品的简单堆砌,都难以建立和实现有效信息网络安全管理体系。
【关键词】信息化技术;企业;网络安全;信息管理;影响
1 前言
在信息技术极速发展的形式下,人们的生活、工作、学习得到了迅速的发展。由于计算机网络的便捷性,计算机信息管理和网络应用被广泛地运用在各领域企业的信息管理中。但是,计算机在给我们带了诸多的便利和效益的同时,也给企业网络和企业内部信息安全带来新的挑战。在网络通讯过程中,由于受到来自黑客、病毒的恶意侵害,导致企业商业机密和用户个人隐私安全收到威胁,信息在上传和传输时机密性、完整性、和真实性得不到有效的保护。因此,计算机网络安全不论是对于企业还是用户,都是至关重要的。解决计算机网络安全是一项严峻的、长期的工程。本文基于作者多年工作经验,从企业网络安全管理存在的问题以及如何实施有效的网络安全管理措施进行深入的探讨。
2 目前企业网络安全存在的问题
2.1 管理人员网络安全意识淡薄
由于企业信息化管理是一个新型的管理方式,因此,在发展的过程中,管理人员的认识问题成为了企业网络安全管理首要面对的问题。由于部分网络安全管理人员对网络安全的认识不许,网络安全意识淡薄,不能及时完善相关网络安全管理制度,有效的规范和约束员工的上网行为,导致企业内网络用户安全防范意识淡薄,计算机对病毒的防范能力落后。
2.2 黑客恶意攻击
黑客攻击是企业计算机网络安全面临的最大威胁。恶意黑客通过计算机窃取企业商业机密,攻击企业网络系统,导致企业网络故障瘫痪,商业机密和客户信息的安全受到严重的威胁,给企业带来巨大的经济损失。黑客攻击主要有两种类型,主动攻击和被动攻击。主动攻击指的是黑客通过各种方式有选择性地通过企业网络破坏企业信息的完整性和有效性;被动攻击指的是黑客在不影响企业正常工作的前提下,截获、窃取、破译企业的重要商业机密。这两种攻击方式都会给企业网络安全和信息安全带来极大的危害,导致网络系统瘫痪,机密数据泄露,造成巨大的经济损失。
2.3 网络插件漏洞
没有一个网络软件可以达到百分百的完美,或多或少都会存在这样那样的漏洞和缺陷。正时这些缺陷,给了黑客有机可乘的机会,导致这些缺陷和漏洞往往成了黑客攻击企业网络安全的首选目标。大部分出现的黑客破坏企业网络,攻入企业网络内部的时间都是因为企业网络安全管理措施采取不当导致的。另外,还有一种重要的入侵途径,就是软件的“后门”,“后门”一般是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”被破译,将会造成严重的后果。
2 企业网络安全管理有效措施
在计算机网络中,想要做好计算机网络安全管理工作,主要可以从对网络信息载体和信息处理、传输、存储、访问提供安全保护以及如何防止非法授权的使用或篡改方面着手进行。完善企业计算机网络安全管理,具体可以从技术层面出发,采取控制访问、使用防火墙技术、对网络信息进行物理隔离的措施,提高企业计算机网络安全管理水平。
2.1 访问控制
访问控制指的是按照企业内部计算机网络使用者的身份、所述部门、用户权限的某项定义限制客户对某些无关本质工作的机密信息的访问。访问控制通常被用于计算机网络系统管理员控制用户对服务器、文件、目录等企业网络资源的访问。通过控制访问,可以在企业用户使用范围内允许合法用户访问受保护的网络资源,同时还能有效防止外部非法主体对企业内部受保护信息的访问,提高内部信息的安全性和完整性。
2.2 防火墙
防火墙指的是由计算机硬件和软件组合而成、在广域网和局域网之间、专用网和公用网之间的界面上构成的一个网络安全保护屏障。通过软件和硬件结合,建立一个安全网关,保护内部网络不收非法用户的访问和入侵。防火墙是最重要的计算机网络安全屏障,能够对经过它的网络通信进行安全扫描,过滤恶意攻击,阻挡非法访问。防火墙还能封锁特洛伊木马,禁止特定端口的流出通信,保护用户账号信息安全。因此,防火墙技术也是集安全策略和安全管理的有机结合,在计算机网络安全性能方面起到较强的保护作用。
2.3 网络隔离
网络隔离也叫协议隔离,主要是通过指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换,从而对网络病毒进行有效的网络隔离,达到隔离目的。通过网络隔离技术,可以有效解决企业中对机密信息对安全性的突出需求,是企业网络安全体系中不可或缺的环节,有效地防止企业网络系统被非法入侵、阻挡网络攻击,窃取机密信息。网络隔离在企业计算机网络安全和机密信息保护上起着至关重要的作用。但是由于网络隔离技术需要转换不同的协议,技术较为复杂,因此网络隔离技术还没有得到普及。
3 结束语
总而言之,计算机网络管理给企业带来了巨大的便利的同时,也带来了相应的安全隐患。随着计算机网络的普及,企业计算机网络安全形势日益严峻。加大企业计算机网络安全管理建设,是关系到企业利益和形象的重大问题。目前在各个单位中都存储这大量的保密信息、资料,其管理的有效性和完整性都需要靠计算机网络系统完成。一旦企业网络安全出现问题,造成信息丢失、损坏、篡改和切用,都将给企业带来不可弥补的损失。因此,要提高网络安全管理意识,利用现因网络管理技术,加强对企业计算机网络安全管理,提高计算机网络安全性能。
参考文献:
[1] 张雅静.计算机网络安全的影响因素及对策探讨[J].信息与电脑(理论版).2013(15).
[关键词]企业网络;网络威胁;安全管理
[中图分类号]C29 [文献标识码]A [文章编号]1672-5158(2013)06-0479-01
计算机网络技术的发展,使大型企业网络的安全保护面临了从未有过的挑战。计算机泄密已经随着其在企业领域的广泛应用悄然来临,且具有极大的隐蔽性和破坏性。安全管理总监如果对这个新的泄密渠道不加以认真研究,不采取有效的安全堵漏措施,就可能在不知不觉中遭受惨重的损失。
一、企业网络安全性急需重视
企业已经越来越依赖网络以及企业内部网络来支持重要的工作流程,内部网络断线所带来的成本也急剧升高。当这一刻显得迫在眉睫时,如何确保核心网络系统的稳定性就变得非常重要,即使一个企业的虚拟网络或防火墙只是短暂的中断,也都可能会中断非常高额的交易,导致收入流失、客户不满意以及生产力的降低。尽管所有的企业都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业尤其需要一套强大而可靠的安全性解决方案。通过一部中央控制台来进行配置和管理的安全性解决方案能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员们能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员们将非常自信:一旦他们在整个网络中配置了适当的安全性规则,不论是用户还是系统的安全性都将得到保证,并且始终安全。而对于那些安全性要求较高的企业来说,基于软件的解决方案(例如个人防火墙以及防病毒扫描程序等)都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的“友好”应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。
二、大型企业网络安全的威胁
企业网络威胁简单地说就是指对网络中软、硬件的正常使用、数据的完整无损,以及网络通信正常工作等造成的威胁。当然这种威胁可大可小,大的可以使整个网络中的PC机和服务器处于瘫痪状态,网络数据被无情销毁,可能会使一个公司因此而被迫停产、关闭;小的可能只是网络中某个用户计算机上发现了病毒,造成系统性能下降。那么,具体有哪些网络威胁呢?其实很简单,如病毒、木马、网络监听、黑客攻击以及包括诸如流氓软件在内的恶意软件等都属于网络威胁的范畴。这些网络威胁总体来说可分为两大类:一类是主动攻击型威胁,另一类就是被动型威胁,如计算机病毒、木马、恶意软件等。
目前,企业网络的最大安全隐患是来自Internet的恶意程序和黑客攻击。计算机病毒是最常见,也是最主要的安全威胁。随着计算机网络技术的发展,计算机病毒技术也在快速地发展变化之中,而且在一定程度上走在了计算机网络安全技术的前面。就计算机病毒来说,防护永远只能是一种被动防护,因为计算机病毒也是计算机程序的一种,并没有非常明显的特征,更不可以通过某种方法一次性全面预防各种病毒。就像现在的关键字过滤技术一样,同样一个意思,却可以有无穷种表达方式,根本是防不胜防。目前计算机病毒已经发展到了新阶段,我们所面临的不再是一个简简单单的病毒,而是包含了病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。
病毒透过文件、操作系统或网络来进行复制,特别是通过插入代码,再得到一个表面合法的程序复制,然后在遭到感染的程序启动时执行它们的功能。接着,它们就进驻到内存,使它们能够更进一步感染系统,并将这种感染能力传送到其他系统。从黑客程序进入被侵害电脑的途径看,黑客程序与病毒也有很多相似之处。病毒通过网络传输、磁盘交换等途径,未经用户允许强行侵入电脑。而绝大多数黑客程序采用了与电子邮件捆绑,伪装成趣味程序诱骗用户,制作蠕虫+黑客类病毒等传播手段。如“网络神偷’’可以和其他程序捆绑在一起,当用户安装运行带有服务端的程序后,服务端可以从捆绑程序释放后驻留电脑。可见两者的侵入电脑的途径大同小异,只是采用的手段有一点点不同罢了。无论如何,不会有用户主动给电脑安装木马,这就像没有人主动将小偷领进家门一样。从这个意义上讲,黑客程序与私闯民宅的行径性质相同,所以将黑客程序列入病毒范畴是不容置疑的。
三、大型企业网络安全管理
目前,企业在信息化建设中均已配置了防火墙、IDS/IDP、VPN、身份验证、企业版反病毒软件等安全产品来增强企业网络的安全性。
企业必须要强化网络病毒的防范意识,做好计算机病毒的防范工作,就是不使计算机感染上病毒,防患于未然,预防工作从宏观上讲是一个系统工程,要求全社会的共同努力和法律法规的进一步规范,即规范制造网络病毒的惩治办法。就企业来讲,应当制定出一套具体的措施,防止病毒的相互传播,对于计算机操作和维护人员来说,不仅要遵守病毒防治的有关措施,还应当不断增长知识,积累防治病毒的经验,了解病毒,消除病毒。预防病毒,最关键的是在思想上给予足够的重视,根据病毒隐蔽性和主动攻击性强的特点,制定出切实可行的安全措施和规范,尽可能的减少病毒的传染机率。要堵塞计算机病毒的传染途径。堵塞传播途径是预防计算机病毒传染的有效方法,根据病毒传染的规律,确定严防死守的入口点,在计算机上安装具有动态预防病毒入侵的软件,做好病毒的检验工作,使病毒的入侵机率和危害程度降至最低。要掌握计算机病毒的预防检测和消除免疫技术。计算机病毒给企业和个人带来的损失是无法弥补的,要想有效的阻止病毒入侵,掌握计算机病毒的预防检测和消除免疫技术是最直接和最有效的保证。病毒防范技术总是在与病毒的较量中得到发展的,总体来说计算机病毒的防范需要在预防检测和消除免疫等方面进行不断改进和提高。
网络安全管理是一种管理模式,主要体现在管理上,技术是实现管理的基础。目前的网络安全管理还处在初级探索阶段,预防病毒要求其代码至少每周升级2到3次。网络安全管理是一个动态的系统工程,关系到安全项目规划、应用需求分析、网络技术应用、安全策略制定、安全等级评定、网络用户管理、人员安全培训、规章制度制定等方方面面的问题,仅仅依靠技术是不行的,还需要决策者的正确引导和大力支持。网络安全要求安全管理人员不但要懂网络、懂安全,还要了解应用需求、网络协议和网络攻击手段等,要充分认识到不同网络的计算机、内部网和互联网接入的计算机以及商业计算机与非的计算机在管理方面的不同。网络安全最大的威胁不是来自外部,而是内部人员由于对网络安全知识缺乏、人为错误操作造成和引起的。人是信息安全目标实现的主体,网络安全需要全体人员积极认识、共同努力,避免出现“木桶效应”。最后,要建立严格制度的文档。网络安全制度的规范是确保这项工作顺利实施的动力,是保证这项工作制度化、规范化开展的保证。需对制度进行完善和规范,确保网络安全工作的实际效果。
参考文献