时间:2023-10-17 09:37:22
导语:在企业网络安全的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1.1计算机自身系统安全问题
计算机系统的正常运行以计算机操作系统程序为主要依据,与之相关的各类程序也必须以此为标准,操作系统理所当然地成为了计算机系统中的基本程序。计算机操作系统具有较强的拓展性,开发商很容易完成计算机系统的开发工作。但是,在优化和升级计算机系统的过程中,相关操作技术仍存在较大问题,这是计算机技术快速发展的难点,也是黑客入侵计算机系统的主要切入点。
1.2计算机病毒安全问题
计算机一旦受到病毒的入侵,将会出现严重的运行问题,如系统瘫痪、传输数据失真以及数据库信息丢失等。计算机病毒具有典型的潜伏性、传染性、隐蔽性和破环性,目前,计算机病毒种类主要有以下四种:第一,木马病毒。该类病毒的主要目的是窃取计算机上的数据信息,具有典型的诱骗性;第二,蠕虫病毒。熊猫烧香是该类病毒的典型代表,以用户计算机上出现的漏洞为切入点,综合使用攻击计算机终端的方式控制计算机系统,该病毒具有较强的传播性和变异性;第三,脚本病毒。该病毒主要发生在互联网网页位置;第四,间谍病毒。要想提升某网页的访问量,强制要求计算机用户主页预期链接。伴随着科技的发展,计算机网络应用范围不断扩大,各种类型病毒的破坏性也随之增加。
1.3黑客
通过网络攻击计算机目前,我国仍存在着大量非法人员对计算机系统进行攻击等行为,这类人员大都掌握着扎实的计算机和计算机安全漏洞技术,对计算机用户终端与网络做出强有力的破坏行为是他们的主要目的。黑客攻击计算机网络的主要形式有三种:第一,利用虚假的信息攻击网络;第二,利用木马或者病毒程序对计算机用户的电脑进行控制;第三,结合计算机用户浏览网页的脚本漏洞对其进行攻击。
2计算机网络安全技术在企业网中的应用
2.1防火墙技术
防护墙技术是计算机网络安全技术在企业网中应用的主要表现形式之一。防火墙技术的应用能够从根本上解决计算机病毒安全问题,在实际应用过程中,计算机网络安全中心的防火墙技术被分为应用级防火墙和包过滤防火墙两种形式。其中应用型防护墙的主要目的是保护服务器的安全,在扫描终端服务器的数据后,如果发现有意或者不合常理等攻击行为,系统应该及时切断服务器与内网服务器之间的交流,采用终端病毒传播的方式保护企业网的安全。包过滤防火墙的主要工作任务是及时过滤路由器传输给计算机的数据信息,这种过滤手段可以阻挡病毒信息入侵计算机系统,并第一时间内通知用户拦截病毒信息,为提高企业网的安全性提供技术保障。下图1是企业网防护墙配置示意图。Intranet周边网络InternetInternet防火墙周边防火墙内部网络服外部网络务器服务器图1防火墙配置
2.2数据加密技术
数据加密技术是计算机网络安全技术在企业网中应用的另一种表现形式。在企业发展建设过程中,要想提高企业发展信息的安全性和可靠性,企业必须在实际运行的计算机网络中综合使用数据加密技术。数据加密技术要求将企业网内的相关数据进行加密处理,在传输和接收数据信息的过程中必须输入正确的密码才能打开相关文件,这为提高企业信息的安全性提供了技术保障。加密算法的常用形式有对称加密算法和非对称加密算法两种,其中对称加密算法中使用的加密和加密信息保持一致,非对称加密算法中加密方法和解密方法存在较大的差异,通常很难被黑客破解,这两种加密形式在企业网中均得到了广泛应用。
2.3病毒查杀技术
病毒查杀技术是计算机网络安全技术在企业网中应用的表现形式之一。病毒对计算机安全有极大的威胁,该技术要求企业技术对计算机操作系统进行检测和更新,减少系统出现漏洞的频率;杜绝用户在不经允许的情况下私自下载不正规的软件;安装正版病毒查杀软件的过程中还应该及时清理病毒数据库;控制用户浏览不文明的网页;在下载不明邮件或者软件后立即对不良文件进行病毒查杀处理,确定文件的安全性后才能投入使用。
2.4入侵检测技术
入侵检测技术在企业网安全运行中发挥着至关重要的作用,其作用主要表现在以下几方面:第一,收集计算机操作系统、网络数据及相关应用程序中存在的信息数据;第二,找寻计算机系统中可能存在的侵害行为;第三,自动发出病毒侵害报警信号;第四,切断入侵途径;第五,拦截入侵。入侵检测技术在企业网中的应用具有较强的安全性特征,该技术的主要任务是负责监视企业网络运行状况,对网络的正常运行不会产生任何影响。入侵检测技术使用的网络系统以基于主机系统和基于网络的入侵系统为主。基于主机系统的入侵检测技术主要针对企业网的主机系统、历史审计数据和用户的系统日志等,该检测技术具有极高的准确性,但是,实际检测过程中很容易引发各种问题,如数据失真和检测漏洞等;基于网络入侵检测技术以其自身存在的特点为依据,以网络收集的相关数据信息为手段,在第一时间将入侵分析模块里做出的测定结果发送给网络管理人,该技术具有较强的抗攻击能力、能在短时间内做出有效的检测,但是,由于该技术能对网络数据包的变化状况进行监控,在实际过程中会给加密技术带来一定程度影响。入侵检测技术在企业网的应用过程中通常表现为误用检测和异常检测两种形式。误用检测通常以已经确定的入侵模式为主,在实际检测过程中,该检测方法具有响应速度快和误警率低等特点,但是,该检测技术需要较长的检测时间为支撑,实际耗费的工作量比较大。异常检测的主要对象是计算机资源中用户和系统非正常行为和正常行为情况,该检测法误警率较高,在实际检测过程中必须对整个计算机系统进行全盘扫描,因此,必须有大量的检测时间作支撑。
3结束语
随着社会经济的发展,计算机网络技术在我国各行业得到了广泛的应用,反过来,各行业也对计算机网络技术的要求不断增高,他们需要的是网络技术带来的便捷性、实用性以及可靠性。伴随着业务网络化的深入与发展,随之带来的网络风险也不断增加,人们在使用计算机技术时,往往忽略了对他的安全管理。
一、网络管理简述
在网络计算机技术的发展背景下,对其进行维护与管理也成为了促进其持续发展的重要内容。网络管理是计算机技术当中的一个重要组成部分,网络管理水平的高低,直接影响着网络运行的效率。一般网络管理是指对网络通信过程当中的服务以及信息处理过程当中所需要的各种活动进行一个监督、组织和控制,创造良好的计算机网络技术运营环境。其主要目的就是保护计算机网络系统中的硬件、软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,提供有序、正常的网络服务。
二、计算机网络技术存在的安全因素
(一)计算机软件的固有缺陷
对于计算机网络来说,各种软件是支撑其多元化、多层次运行的重要基础,由于软件的开发方式、研究水平等因素的影响,容易造成计算机软件在开发阶段就存在漏洞,使得计算机网络在正常运行的过程中,因为这些存在漏洞、缺陷而发生严重的故障。
(二)计算机网络技术自身的特性
计算机网络技术有着开放性以及共享性的特点,这就使得计算机网络在使用的过程中,容易遭受网络病毒的攻击,给用户造成损失。例如在今年我国出现的一种极为恶性的计算机病毒“勒索病毒”, 他是通过计算机网络传播病毒文件,一旦计算机被感染后,除非装机,不然就只能通过给黑客发送比特币来花钱解锁,对计算机程序以及计算机系统造成极为严重的破坏。
(三)黑客攻击
互联网技术的深入与普及,造就了一些电脑高手,也造就了一些电脑黑客。黑客对计算机网络安全的威胁极为显著。他们的侵往往入网络服务器,利用木马程序等多种手段损坏与窃取用户的信息与数据,给用户带来极大的损失。
三、企业网络安全管理的措施
(一)设置科学的加密方式
企业的信息资源安全直接受到数据安全性能的影响,因此人们应该重点关注数据安全工作。其中的数据加密技术能够在一定程度上?_保企业数据不被其他人随意查看或者篡改,保护数据的安全。
(二)充分发挥防火墙的作用提升企业网络安全管理水平
要想认真做好网络安全工作,我们应该充分发挥防火墙的自身作用,通过分开企业的内部网和外部网,实现企业网络安全管理水平的提升。防火墙在企业的内部网及外部网进行通信过程中起到了关键性的作用,能够有效保护网络边界设备,还能减少外部网络用户利用非法手段进行内部网络获取信息的发生率。此外,防火墙还能够对企业的内部或外部网络站点进行阻挡或攻击,限制IP的流量,还能提前设施访问控制,把网络安全风险降到最低;还能识别一些被授权的用户,让其顺利进入企业的内部网络,对于没有授权的用户就无法进入企业的内部网络,非法入侵人员要想获取企业资料就要突破防火墙,因此防火墙的存在意义重大。
(三)把企业网络安全管理工作放在重要位置
企业的网络安全工作非常重要,因此需要得到人们的足够关注,企业为了不断提升工作效益,把工作重点都放在了与工作效益紧密相连的任务中,网络安全工作并没有得到人们应有的重视。加之,一些创建时间较短的企业由于网络管理人员数量较少,且现有的网络管理人员不太了解先进的计算机管理技术,对企业网络信息的保护观念较弱,只有出现企业信息泄露或者文件丢失等问题时才会意识到企业网络安全工作的重要意义。
系统的默认共享是打开的,关键的是它将系统盘也共享了,通过网络映像就可以直接访问,在注册表中可以将其关闭。接到某些部门的电话,在计算机上出现“网络IP地址冲突”的信息,无法使用网络。这些部门有个共同点,就是都有访问Internet的权限。企业网络是通过路由器连接到Internet的,路由器安装调试之处,只是设置了可以访问Internet的计算机IP地址及访问时间段,所以没有访问权限的计算机为了达到某种目的,私自更改本机的IP地址,造成IP地址冲突。为了解决这个问题,更换了新的路由器,这种路由器具有MAC地址过滤,MAC地址绑定,网络流量分配等功能。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的计算机的MAC是否与路由器上的MAC地址表相符,如果相符就放行,否则不允许通过路由器,同时给发出这个IP广播包的计算机返回一个警告信息。同时也限定了工作站的访问流量,防止使用BT,迅雷等下载工具长时间的大量占用网络宽带。2006年末的“熊猫烧香”病毒,造成上百万台电脑和千余家企业网络被感染,特别是对企业网络造成了很大的危害,也使人们对企业网络安全有了进一步的认识。
第一,在企业网络中,利用在对等网中对计算机中的某个目录设置共享,进行资料的传输与共享是人们常采用的一个方法。但是在设置过程中,要充分认识到当一个目录共享后,就不光是企业网络内部的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。有些人认为计算机只有自己使用,不需要设置密码,这就造成非法用户可以通过网络共享随意访问计算机中的数据。为了防止资料的外泄,在设置共享时一定要设置访问密码。只有这样,才能保证共享目录资料的安全。有条件的话,应设立专门的文件服务器,进行统一管理。
第二,企业内部网速变得异常缓慢,许多计算机之间无法相互访问,ERP系统软件经常出现不能正常登录的情况。排除掉硬件因素,将工作站的共享去掉后,网速恢复正常,经调查,发现是病毒在作怪,一旦联网,病毒就开始四处散播,占用了相当大的网络宽带,造成了网速下降。在“熊猫烧香”病毒发作期间,曾经采取断开网络,进行逐台计算机杀毒,但联网后很快又被传染,始终不能彻底清除。因此在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有合适于局域网的全方位防病毒产品。企业网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。所以采用网络版杀毒软件是唯一的方法,这样不必每台工作站都需上网升级,由杀毒服务器统一升级,也能做到统一管理,避免了无故退出,非法卸载等误操作。
另外,操作人员的素质不同,也造成了许多安全的隐患。使用外来磁盘、光盘、U盘等存储介质,应该养成先杀毒的习惯。上网时,不访问非法的网站,下载不明的文件,接收到的邮件中,可能包含木马病毒等非法程序,所以不认识的信件尽量不要打开,而那些业务上、朋友的信件也要认真检查。制定相应的计算机管理制度也是加强企业网络安全的一个重要手段,使企业人员从认识上积极对待,工作中严格实行。
作者:闫志康 李伟洋 高淑平 单位:濮阳同力水泥有限公司 濮阳市生产力促进中心
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词:企业网络;安全管理;维护
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 06-0000-01
Enterprise Network Security Management and Maintenance
Xiang Yijun
(Quzhou City Company of Zhejiang Tobacco Company,Quzhou324000,China)
Abstract:With the rapid development of science and technology,the popularity of computer networks have become more sophisticated,many companies are using the network of office and trade.However,with the popularity,there have been some corporate network security risks.This article from the corporate network security risks exist starting from the perspective of management and maintenance measures for the two talk about the how to strengthen the security of enterprise networks.
Keywords:Enterprise network;Safety management;Maintenance
一、企业网络的安全隐患
(一)网络系统中存在安全隐患。目前,现代企业网络大多采用以广播技术为基础的快速以太网的类型,传输协议通常为TCP/IP协议,站点以CSMA/CD机制进行传输信息,网络中任何两个节点之间的通信数据包,不仅能够被这两个节点的网瞳所接受,同时又无法避免地被处在同一以太网上的任何一个节点的网卡截取。因此,只要能够接入以太网上的任一节点进行侦听,就可以捕获发生在该以太网上的所有信息,对侦听到信息加以分析,就能窃取到关键信息。这是企业网络安全存在的普遍安全隐患。通常,大多数企业由于网络建设经费的不足,没有相应的网络安全设备,对企业的网络安全也没有有效的安全预警措施和防范手段。
(二)缺少专业的网络技术管理人员。企业大多都没自己专业的网络技术管理人员。企业对网络的出口、网络监控等都缺乏有效的技术管理,而且企业内部上网用户的身份无法一一识别,这也存在着极大的安全隐患。
(三)电子邮件的收发系统不完善,缺乏安全管理和监督的手段。企业收发电子邮件是网络办公的一项基础活动,但是这个活动也是最容易感染病毒和垃圾的途径。而企业大多在公司内部网络中没有设置邮件过滤系统,对邮件的监督和管理都不完善,同时,这也不符合国家对安全邮件系统提出的要求,即使出现了侵害企业利益的事件也无法及时有效地解决。
(四)网络病毒的肆虐。只要上网便不可避免的会受到病毒的侵袭。一旦沾染病毒,就会造成企业的网络性能急剧下降,还会造成很多重要数据的丢失,给企业带来巨大的损失。
二、加强对企业网络安全的管理
(一)建立健全企业关于网络安全的规章制度。只有建立了完善的规章制度,企业的各项工作才能得以顺利开展。企业要针对网络的安全责任和惩戒措施做出详细的书面规定,并进行相关制度的学习工作,让企业内部的员工都对网络安全的规章制度有所了解。对违反制度的人员要进行严厉处罚,同时,企业还要建立并完善企业内部的安全保密制度。
(二)规范企业网络管理员的行为。企业内部安全岗位的工作人员要经常进行轮换工作,在公司条件允许的情况下,可以每项工作指派两到三人共同参与,形成制约机制。网络管理员每天都要认真的查看日志,通过日志来清楚的发现有无外来人员进入公司网络,以便做出应对策略。
(三)规范企业员工的上网行为。根据每个员工的上网习惯不同,很多员工会把在家里使用电脑的不良习惯带到公司里来。这就要求企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的软件尽量不要安装,同时,还要培养企业员工的网络安全意识,注意病毒的防范和查杀的问题,增强计算机保护方面的知识。
(四)加强企业员工的网络安全培训。企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
三、企业网络安全的维护措施
(一)使用防火墙技术。防火墙技术采用的核心思想是在相对不安全的网络环境中建构一个相对安全的子网,也是目前国际上最流行、使用范围最广的一种网络安全的技术。防火墙可以监控进出网络的通信数据,让允许访问的计算机和数据进入内部网络,将不允许进入计算机的数据拒之门外,限制一般人员访问内网及特殊站点,最大限度地阻止网络中的黑客访问企业内部网络,防止他们更改、拷贝、毁坏重要信息。因此,防火墙可以有效阻挡外网的攻击。目前,为了提高企业网络的安全性,企业网络中的防火墙设置一般遵循以下原则:依照企业的网络安全策略及安全目标,设置有效的安全过滤规则,严格控制外网不必要的的访问;配置只允许在局域网内部使用的计算机的IP地址,供防火墙识别,以保证内网中的计算机之间能正确地进行文件或打印机等资源的共享。
(二)数据加密技术。企业如果要通过外网传送一些比较重要的机密文件和数据,则必须使用加密技术对文件和数据进行保护。加密技术和防火墙技术的配合使用,可以大幅度提高信息系统和数据的安全性,有效地做到防止文件和数据外漏的危险。
(三)入侵检测技术。在不良的企业竞争中,会有许多入侵其他企业的网络、盗取商业机密的现象出现。为确保企业的信息安全,可以在企业网络中安装入侵检测系统,这样就可以从计算机网络的若干关键点收集信息,并分析这些信息,从中发现公司的网络中是否存在违反安全策略的行为和入侵迹象,系统一旦检测到可疑的地址,便会自动切断入侵者的通信,并及时发送警告给企业的网络管理员,对企业的信息进行有效地安全保护。
四、结语
在企业的信息化建设过程中,企业的网络安全和稳定是信息化建设发展的基础。随着信息技术的发展,企业的网络安全将受到更大的威胁,这就要求企业的领导、技术人员以及普通员工都要不断提高自身的网络安全意识,切实保证企业网络的安全、稳定运行。
参考文献:
[1]万长有.企业网络安全技术防范措施[J].民营科技,2009,12
防火墙是网络安全的基本防护设备,其安全性受到了越来越多人的重视,尤其是在当前科技迅猛发展的环境下,各企业也迅速的崛起,使得企业在网络环境的推动下,也面领着严峻的信息安全挑战。在这种环境下,人们对于防火墙的安全性要求也随之提高。当前,企业的防火墙要实现安全设计,还需要对企业的网络安全进行全方面的需求分析,通过针对性的设计,提高防火墙的实用性、功能性、安全性。
【关键词】
防火墙;企业网络安全设计;实现
1前言
计算机网络技术的广泛应用,为企业提供了更多的发展平台与业务渠道,在一定程度上推动了企业的快速发展。但在网络技术不断普及的今天,各种恶意攻击、网络病毒、系统破坏也对企业的网络安全造成了较大的伤害,不仅严重威胁到企业的信息安全,而且给企业带来较大的经济损失,造成了企业形象的破坏。因此,才需要使用防火墙技术,通过防火墙网络技术的安全设计,对各种病毒与网络攻击进行抵御,维护企业的信息安全,促进企业的健康稳定发展。
2防火墙的企业网络安全设计原则
在企业防火墙的网络安全设计中应该遵循一定的原则,即:全面、综合性原则,也就是企业的网络安全体系设计,应该从企业的整体出发,对各项信息威胁进行利弊权衡,进而制定出可行性的安全防护措施;简易性原则,主要是对于网络安全设计,既要保证其安全性,又要保证其操作简便性,以免系统过于复杂而造成维护上的阻碍;多重保护原则能够在建立多重的网络安全机制,确保整个网络环境安全;可扩充原则,主要是指在网络运用过程中,要随着新变化的出现,对于之前的网络安全系统进行升级与扩充;灵活性原则,也就是防火墙的网络安全设计方案,应该结合企业自身网络现状及安全需求,采用灵活、使用的方式进行设计;高效性原则,也就是防火墙的网络安全设计应该确保投资与产出相符,通过安全性的设计解决方案,避免重复性的投资,让企业投入最少的项目资金,获得最大的收益,有效维护企业的安全[1]。
3防火墙的企业网络安全设计
防火墙为服务器的中转站,能够避免计算机用户与互联网进行直接连接,并对客户端的请求加以及时地接收,创建服务其的连接,并对服务器发出的信号相应加以接受,再通过系统将服务器响应信号发送出去,并反馈与客户端。
3.1防火墙加密设计
防火墙的加密技术,是基于开放型的网络信息采取的一种主动防范手段,通过对敏感数据的加密处理、加密传输,确保企业信息的安全。当前的防火墙加密技术主要有非对称秘钥与对称秘钥两种,这种数据加密技术,主要是对明文的文件、数据等通过特定的某种算法加以处理,成为一段不可读的代码,维护数据信息的安全,以免企业的机密信息收到外界的攻击[2]。当前的防火墙加密手段也可分为硬件加密与软件加密,其中硬件加密的效率较高,且安全系数较高,而软件加密的成本相对来说较低,使用性与灵活性也较强,更换较为方便。
3.2入侵检测设计
入侵主要指的是外部用户对于主机系统资源的非授权使用,入侵行为能够在一定程度上导致系统数据的损毁与丢失,对于企业的信息安全与网络安全会造成较大的威胁,甚至导致系统拒绝合法用户的使用与服务。在防火墙的企业网络安全设计中,应该加强对入侵者检测系统的重视,对于入侵脚本、程序自动命令等进行有效识别,通过敏感数据的访问监测,对系统入侵者进行行为分析,加强预警机制,检测入侵者的恶意活动,及时发现各种安全隐患并加以防护处理。
3.3身份认证设计
身份认证主要是对授权者的身份识别,通过将实体身份与证据的绑定,对实体如:用户、应用程序、主机、进行等加以信息安全维护。通常,证据与实体身份间为一种对应的关系,主要由实体方向提供相应的证据,来证明自己的身份,而防火墙的身份认证则通相关的机制来对证据进行验证,以确保实体身份与证据的一致性。通过身份认证,防火墙便能够对非法用户与合法用户加以识别,进而对非法用户进行访问设置,维护主机系统的安全。
3.4状态检测设计
访问状态检测,是控制技术的一种,其关键性的任务就是确保企业的网络资源不受非法使用与非法访问,是维护企业网络安全的重要手段之一。防火墙的访问控制,一般可分为两种类型:①系统访问控制;②网络访问控制。其中,网络访问控制主要是限制外部计算机对于主机网络服务系统的访问,以及控制网络内部用户与外部计算机的访问。而系统访问控制,主要是结合企业的实际管理需求,对不同的用户赋予相应的主机资源操作、访问权限。
3.5包过滤数据设计
数据包过滤型的防火墙主要是通过读取相应的数据包,对一些信息数据进行分析,进而对该数据的安全性、可信度等加以判断,并以判断结果作为依据,来进行数据的处理。这在个过程中,若相关数据包不能得到防火墙的信任,便无法进入该网络。所以,这种技术的实用性很强,能够在网络环境下,维护计算机网络的安全,且操作便捷,成本较低。但需要注意的是,该技术只能依据一些基本的信息数据,来对信息安全性进行判断,而对于应用程序、邮件病毒等不能起到抵制的作用。包过滤防火墙通常需要在路由器上实现,对用户的定义内容进行过滤,在网络层、数据链路层中截获数据,并运用一定的规则来确定是否丢弃或转发各数据包。要确保企业的网络安全,需要对该种技术进行充分的利用,并适当融入网络地址翻译,对外部攻击者造成干扰,维护网络内部环境与外部环境的安全。
4企业网络安全中的实现
4.1强化网络安全管理
用将防火墙技术应用于企业的网络安全中,还需要企业的信息管理人员对于本企业的实际业务、工作流程、信息传输等进行深入的分析,对本企业存在的信息安全加以风险评估,熟悉掌握本企业网络安全的薄弱环节,全民提高企业的信息安全。另外,企业信息管理人员还需要对企业的网络平台架构进行明确掌握,对企业的未来业务发展加以合理的预测分析,进而制定出科学合理的网络信息安全策略。同时,企业信息管理人员还需要对黑客攻击方式与攻击手段进行了解,做好防止黑客入侵的措施。
4.2网络安全需求分析
企业的网络安全为动态过程,其设方案需要结合自身的实际状况加以灵活设计,进而提高设计方案的适用性、安全性,维护企业整个网络的安全。在对企业网络需求进行分析时,还需要注重企业的应用系统、网络访问系统、网络资源、网络管理实际[3]。在应用系统安全性设计中,对于系统使用频繁,提供服务资源的数据库与服务器,要在网络环境下,确保其运行安全,以免疏导恶意攻击与访问;而对于网络访问设计应具有一定的可控性,具备相应的认证与授权功能,对用户的身份加以识别,对敏感信息加以维护,以免企业的核心系统遭到攻击[4];网络资源要确保其适用性,能够承载企业的办公自动化系统及各项业务的运行使用,并保证网络能够不间断地高效运行;同时,针对网络管理,应该具有可操作性,在安全日志与审计上进行相关的信息记录,以免企业信息系统管理人员的日后维护。
4.3网络安全策略的制定
要实现企业的网络安全,还需要对企业的实际网络安全需求进行了解之后,针对不同的信息资源,制定出相关的安全策略,通过各种系统保密措施、信息访问加密措施、身份认证措施等,对企业信息资源维护人员相关的职责加以申请与划分,并对访问审批流程加以明确。最后,还需要企业的信心管理人员对整个安全系统进行监控与审计,通过监控系统的安全漏洞检查,对威胁信息系统安全的类型与来源进行初步判断,通过深入分析,制定出完善是网络安全防护策略[5]。
5结束语
在互联网环境下,信息资源的存储量巨大,运行较为高效,不仅为企业带来了较大发展空间,也使企业的信心安全面临巨大的威胁。因此,企业需要加强防火墙系统的建设,提高对网络安全系统的认识,通过有效措施,加强防火墙的安全设计,构建一个相对稳定的网络环境,维护企业的信息安全,让企业在可靠的信息网络环境开发更多的客户资源,以寻得健康、稳定、持续的发展。
作者:黄河锋 单位:桂林自来水公司
参考文献
[1]马小雨.防火墙和IDS联动技术在网络安全管理中的有效应用[J].现代电子技术,2016(02):42~44.
[2]范沁春.企业网络安全管理平台的设计与实现[J].网络安全技术与应用,2015(07):74+77.
[3]秦艳丽.试谈防火墙构建安全网络[J].电脑编程技巧与维护,2016(06):78~80.
【关键词】企业网络 信息安全 策略设计
一、企业网络信息系统安全需求
(一)企业网络信息安全威胁分析
大部分企业在网络信息安全封面均有一些必要措施,因为网络拓扑结构和网络部署不是一成不变的,因此还会面临一些安全威胁,总结如下:
(1)监控手段不足:企业员工有可能将没有经过企业注册的终端引入企业网络,也有可能使用存在安全漏洞的软件产品,对网络安全造成威胁。
(2)数据明文传输:在企业网络中,不少数据都未加密,以明文的方式传输,外界可以通过网络监听、扫描窃取到企业的保密信息或关键数据。
(3)访问控制不足:企业信息系统由于对访问控制重要性的忽视,加之成本因素,往往不配备认证服务器,各类网络设备的口令也没有进行权限的分组。
(4)网间隔离不足:企业内部网络往往具有较为复杂的拓扑结构,下属机构多,用户数量多。但网络隔离仅仅依靠交换机和路由器来实现,使企业受到安全威胁。
(二)企业网络信息安全需求分析
企业信息系统中,不同的对象具备不同的安全需求:
(1)企业核心数据库:必须能够保证数据的可靠性和完整性,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(2)企业应用服务器:重要数据得到有效保护,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(3)企业web服务器:能够有效避免非法用户篡改数据,能够及时发现并清除木马及恶意代码,禁止没有经过授权的用户非法访问。
(4)企业邮件服务器:能够识别并拒绝垃圾邮件,能够及时发现并清除木马及蠕虫。
(5)企业用户终端:防止恶意病毒的植入,防止非法连接,防止未被授权的访问行为。
二、企业网络安全策略设计与实现
企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。结合上文的安全分析与安全需求,企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。
在此基础上,本文着重阐述企业信息系统的网络层安全策略:
(一)企业信息系统网络设备安全策略
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
(二)企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
(三)企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
(四)企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
三、结束语
企业信息系统亟需一个整体性的解决方案与安全策略。本研究在阐述企业整体信息安全威胁与需求的基础上,总结了企业网络常见的安全问题,结合这些问题进行了信息安全策略设计,并从网络设备防护策略、端口安全策略、BPDU 防护策略、Spoof 攻击防护策略四个方面对企业信息安全实现方法进行了阐述,设计了相关的安全策略。
参考文献:
[1]刘念,张建华,段斌等.网络环境下变电站自动化通信系统脆弱性评估,电力系统自动化,2012,(8).
[2]王治纲,王晓刚,卢正鼎.多数据库系统中基于角色的访问控制策略研究.计算机工程与科学,2011,(2).
[3]杨智君,田地,马骏晓等.入侵检测技术研究综述.计算机工程与设计,2010,(12).
[4]戚宇林,刘文颖,杨以涵等.电力信息的网络化传输是电力系统安全的重要保证.电网技术,2009,(9).
[关键词]信息 网络安全 制度
一、概述
近年来大港油区各单位的信息化建设工作都在循序渐进的进行着,接入油田网络的电脑终端数量越来越多,除了桌面电脑、服务器、存储、路由器、交换机……设备的大量增加以满足办公需要,各种操作系统、数据库、应用系统……也在不断地扩充。随着这些硬件、软件、系统的广泛应用,信息安全的重要性日益显现。
二、企业信息系统状况
1.信息化整体状况
(1)计算机网络
该企业现有计算机240余台,通过内部网相互连接,根据油田公司统一规划,通过交换机与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
(2)应用系统
随着近年来整个大港油田信息化建设的不断深入,各专业路的各项工作与这个网络早已经密不可分了。2010年油田公司各专业部门新上线或升级的信息系统超过20余套,范围涉及管理处生产、安全、经营、财务、人事、劳资、党群等所有部门,因此维护网络的信息安全,保障网络高效、稳定运行,直接关系着管理处全年生产、经营任务能否顺利完成。
2.信息安全状况
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因遭到破坏、泄露,能确保网络连续可靠的运行。
网络安全其实就是网络上的信息存储和传输安全。
信息安全是网络安全中最重要的一部分,其它的东西在遭破坏后还可以重新恢复或补救,而信息一旦丢失或者遭盗窃,那带来的损失就是无法估量的。
三、网络安全管理
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部有意或无意的不安全网络操作。归结起来,针对网络安全的威胁主要有:
1.人为的无意失误:如网络用户安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账户随意转借他人或者与别人共享等,这些行为都会对网络安全带来威胁。
2.人为的恶意攻击:这是计算机网络所面临的最大威胁,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。
3.网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。
(1)RSW-防毒墙
防毒墙技术是通过IP过滤和服务器等软件方法在企业内部网和外部互联网之间搭建一个网络安全屏障,即所谓的“墙”,以保护企业内部网中的信息数据,只有授权用户才能获准进入企业内部网的系统。
(2)Symantec服务器
目前管理处网络全面部署了Symantec网络防病毒软件,更好的保证防病毒系统的正常运行,防止病毒的入侵。Symantec(赛门铁克)杀毒软件,包括Symantec AntiVirus即SAV系列,Symantec Client Security即SMS系列,以及Symantec Endpoint Protection即SEP系列,都是专门为企业级用户定制的。三个桌面安全系统均包括服务器端安装程序和客户端安装程序,由油田公司统一配置安装,通过配置服务器端,每台客户端都能通过服务器端及时更新,服务器端通过网络与Symantec升级服务器连接来进行更新。
四、加强网络信息安全管理的办法
1.规范网络的使用管理
搞好计算机网络信息安全管理,思想是先导,技术是保障,管理是关键。因此,应建立正规的管理秩序。要严格落实各项网络安全制度,各类信息上网前要经过严格审查,要严格选配和管理网络操作人员,保证从事网络信息工作的人员有较高的政治觉悟和强烈的责任心。
2.采取多种防范措施
技术问题最终要靠技术来解决。从根源做起,最重要的是注重计算机病毒、恶意软件的防范工作。对计算机设置开机登录密码;安装桌面安全系统,并定期升级扫描计算机;定期检测计算机是否存在黑客工具、恶意软件及浏览器恶意插件;不安装与工作无关的软件等,一点一滴,从细节做起,使每位网络用户意识到对自己的负责,就是对企业的负责,就是对整个企业网的安全负责。
3.加强专业队伍建设
计算机网络是高科技发展的产物,保障一个企业安全平稳运行,做好网络安全防护工作,关键在人的素质。而网络管理是一个技术性很强的岗位,对于从事网络安全的人员来说,技术往往是不进则退。因此网络管理员必须要不断加强自身的业务知识学习,面对难题才能游刃有余。
五、总结
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的网络安全制度、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务――这才是营造良好的网络安全环境的唯一手段。
参考文献:
关键词:网络安全;防火墙;网络管理;VPN
一、 前言
我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来,随着我国互联网的普及以及政府和企业信息化建设步伐的加快,对网络安全的需求也以前所未有的速度迅猛增长,这也是由于网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。
二、 企业网络安全系统现状
如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。
1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。
2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。
3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。
4. 具有普及性的安全教育和培训不足,人员信息安全意识水平不统一。
5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距,在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。
6. 防病毒系统没有实现整体统一,存在防病毒的局部能力不足。
7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
8. 对终端管理没有统一策略,操作系统版本、操作系统补丁等没有统一的标准和管理。
9. 没有应急响应流程和业务持续性计划,发生安全事件后的处理和恢复流程不足,对可能造成的业务中断没有紧急预案。
三、企业网络安全对策
现阶段,为了保证网络的正常运行,可采用以下几种技术方法:
1.防范网络病毒。网络病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。所以,最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2.设置防火墙。利用防火墙在网络通信时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
3.VPN: 企业规模的扩大,不同分支机构之间的网络连接既要考虑到安全可靠,又同时要考虑到成本问题,所有的网络通讯均使用专线连接固然是安全,但成本因素却是无法回避的问题。因而,安全、廉价的VPN技术应运而生并得到了广泛的应用,通过在网络边界处架设VNP网关,实现企业的分支机构间通过Internet实现安全可靠的低成本连接。
4.采用入侵检测系统。入侵检测系统能够识别出任何不希望有的活动,并限制这些活动,以保护系统的安全。内部局域网采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整的主动防御体系。
5.建立网络安全监测系统。在网络的www服务器、E-mail服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获网上传输的内容,并将其还原成完整的www、E-mail、FTP、Telnet应用的内容,同时建立保存相应记录的数据库,发现在网络上传输的非法内容,及时向上级安全网管中心报告,予以解决。
6.利用网络监听并维护子网系统安全。对于网络内部的侵袭,可以采用对各个子网建立一个具有一定功能的过滤文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的过滤文件提供备份。
7.安全技术培训
提供层次化的安全专题讲座,包括安全技术基础、各操作系统安全、信息安全管理以及一系列培训。
四、结论
综合以上的分析,我们可以得出一个结论:那就是企业当前所面临的安全形势在变得更加严峻,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定客户化的安全策略采用合适的安全技术和进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
参考文献:
[1]卢开澄:《计算机密码学—计算机网络中的数据预安全》(清华大学出版社 1998)
[2]余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社 1998)
[3]蔡立军:《计算机网络安全技术》(中国水利水电出版社 2002)
购物车(0)