你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 企业的网络安全

企业的网络安全范文

发布时间:2023-09-21 17:33:11

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业的网络安全范例,将为您的写作提供有力的支持和灵感!

企业的网络安全

篇1

    随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。

一、企业网络安全风险状况概述

   企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。

    由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

    因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。

二、企业网络安全体系结构的设计与构建

    网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。

(一)企业网络安全系统设计目标

    企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。

(二) 企业网防火墙的部署

    1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。

   2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。

    3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。

    4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:

①满足设备物理安全

②VLAN与IP地址的规划与实施

③制定相关安全策略

④内外网隔离与访问控制

⑤内网自身病毒防护

⑥系统自身安全

⑦相关制度的完善

  第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:

①入侵检测与保护

②身份认证与安全审计

③流量控制

④内外网病毒防护与控制

⑤动态调整安全策略

  第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。

     在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。 

 

篇2

1 引言

在当今网络化的世界中,计算机信息和资源很容易遭到各方面的攻击。一方面,来源于Internet,Internet给企业网带来成熟的应用技术的同时,也把固有的安全问题带给了企业网;另一方面,来源于企业内部,因为是企业内部的网络,主要针对企业内部的人员和企业内部的信息资源。不论是外部网还是内部网的网络都会遇到安全的问题。随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了各种网络安全技术的蓬勃发展。

2 企业网络安全的主要技术

网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,现阶段对企业网络安全的主要技术进行如下探讨:

2.1 VLAN(虚拟局域网)技术

选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依赖用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量,防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。

2.2 网络分段

企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。

2.3 虚拟专用网(VPN)技术

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。VPN隧道机制具有不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等,确保了数据传输的安全性、保密性和完整性。

2.4 网络访问控制

企业应该为每位员工分配一个账号,并根据其应用范围,分配相应的权限,严格控制哪些用户可以获取哪些网络资源,保证网络资源不被非法使用和访问。

2.5 防火墙技术

任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络,防止Internet上的不安全因素蔓延到局域网内部。

2.6 网络病毒的防范

在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。应该使用针对网络、网关、邮件、终端等全方位的防病毒产品,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。

2.7 采用入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动的目的,以保护系统的安全。

2.8 漏洞扫描系统

解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。应该寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

2.9 网络安全管理规范

网络安全技术的解决方案必须依赖安全管理规范的支持, 在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

3 结束语

安全是企业网络赖以生存的保障,只有安全得到保障,企业网络才能实现自身的价值。网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。

参考文献

篇3

1 前言

在网络技术高速发展的今天,企业对网络的依赖也正在加强。但现在的网络的安全性却无法得到保障,经常有网络资源与技术成果被盗用的情况,损害了企业的利益。本文将针对企业网络安全防御体系的建立进行分析和研究,包括网络系统分析、安全需求分析、网络结构的搭建。首先是网络环境分析,通过对企业内部环境防范体系进行分析,找出自身漏洞,外部环境从网络病毒入手分析等。其次针对网络的漏洞,设计出一套适合企业的防范体系,从而可以更好的保护企业信息资源不被泄漏。并采取防火墙技术及配置、杀毒软件进行查毒、防毒、文件备份系统的实施,对企业网络进行全面管理。

2 网络环境分析

内部网络通常可以按照功能性划分为:内网区域、服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分成多个网段,包括:设计子网、服务器子网、财务子网、办公子网等。

随着企业对外业务的扩展,网络安全风险变得更加严重和复杂。计算机病毒入侵引起的损害可能传播到整个系统,引起大范围的瘫痪和资料丢失;另外对网络管控意识的不足和对Internet安全性认识的不够,导致网络风险日趋严重。

系统漏洞对企业网络造成威胁。系统漏洞并不是病毒,它是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。

通过对企业内外部网络环境分析,指出入侵检测、病毒防护、数据安全保护、数据备份与恢复、修补系统漏洞等主要问题。应该建立一套完整可行的网络安全与网络管理策略,将内部网络、服务器网络和外网进行有效隔离,避免与外部网络的直接通信;对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;全面监视对服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;加强对各种访问的审计工作,详细记录对网络的访问行为,形成完整的系统日志;强化系统备份,实现系统快速恢复,加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。

3 防范体系分析

网络攻击通常利用系统刚暴露出来的漏洞进行攻击,其目的是使目标系统瘫痪甚至整个网络。因此,只有从网络的全局考虑,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置。

3.1 安全方案设计原则

安全方案的设计应遵循整体性原则、均衡性原则、等级性原则、易操作性原则、技术与管理相结合原则、统筹规划,分步实施原则、可评价性原则、多重保护原则。

3.2 网络安全体系结构

通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标。不同层次反映了不同的安全问题,根据网络的应用现状情况和网络的结构,将安全防范体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。

4 防御体系解决方案

安全部署中我们要从网络防病毒技术、防火墙技术、入侵检测技术进行考虑。首先在企业网络所有服务器和客户端部署防病毒系统。通过防病毒系统的统一部署,可以防止病毒的感染和传播。防止计算机瘫痪、网络阻塞等安全问题。其次通过防火墙设备进行网络隔离,限制来自多种协议的病毒攻击,减少网络和主机受攻击的风险。最后在中心机房的核心交换机上安装一台硬件入侵检测设备,在核心交换区域进行实时监控网络上和主机上的事件。通过比对病毒库中的病毒特征可有效的防止大多数的入侵和异常访问。审计功能是入侵检测和访问控制机制为系统提供的最好的保护,能够记录下操作的痕迹,可有效的对企图破坏系统的内部员工追究责任。

4.1 防病毒平台

在企业内部搭建防病毒平台是为保障内部网络中的计算机终端、服务器等不被病毒侵袭。为了保证防病毒系统能够正常稳定的运行,需要搭建一台专用的防病毒服务器。在安装防病毒服务器之前要做好网络规划,否则更换服务器地址时会导致无法连接到父服务器。如需更换服务器,应确保服务器机器名、IP地址、防病毒服务器组名一致。在服务器端安装防病毒软件,在客户端直接安装或通过域下发的方式安装客户端软件。网络管理员可以远程管理网络中的任何一台计算机中的杀毒软件。

4.2 防火墙

防火墙是一道阻止网络威胁的屏障,更像是一扇双向开的“门”,它控制着安全网络和不安全网络之间的通信。防火墙通过监控、限制、更改数据流,达到保护网络系统不受来自内部、外部的攻击。防火墙是网络安全的基础,负责网络间的安全认证与传输,随着网络技术的发展防火墙技术也开始在其他安全层次中应用,除了过滤任务,还能为各种网络应用提供相应的安全服务。通过以防火墙为中心的安全方案配置,能将口令、加密、身份认证、审计等安全软件配置在防火墙上。与将这些安全软件安装在不同的服务器上相比,防火墙体现了集中管理的特性,同时也降低了网络建设的成本。防火墙的主要功能是强制执行网络的安全策略,对经过防火墙的访问做出日志记录、统计数据。当发现网络异常,防火墙进行报警并提供监测到的攻击行为的详细信息。

4.3 入侵检测

入侵检测系统能够捕捉、记录网络上的所有数据,能够分析网络数据并提炼出可疑的、异常的网络数据,对入侵行为自动阻断连接、关闭通路。入侵检测系统通常是与防火墙配合使用,它不像路由器、防火墙等处于系统中的关键路径,发生故障不会影响正常业务的运行。入侵检测系统也会出现监测范围的局限问题,只能检查与它直接连接网段的通信,不能检测在不同网段的网络包。防火墙对通讯数据的源、目的地址和端口进行限制,而黑客会通过其提供服务打开的端口进行攻击。此时需要入侵检测系统实时检测恶意访问或攻击,从而将入侵活动对系统的破坏减到最低。

4.4 文件备份系统

篇4

1引言

IPSecVNP作为一种主流网络安全技术已经发展了多年,无论是目前流行的正在使用的IPv4网络还是发展中的IPv6网络,无论是移动办公还是局域网间通讯,都在大量使用IPSecVNP作为网络安全通讯基础设备。本论文通过研究IPSec协议族,实现了一个较为完整的IPSecVNP系统。包括客户端、服务器端软硬件设计和实现、网络配置及内嵌以管理等。还解决了IPSec协议通过CBAC防火墙问题。

2 IPSecVPN系统设计

本文实现了IPSecVNP系统的功能,满足了政府、金融行业和企事业单位低成本安全通讯的需求,可以按照客户实际需要的VPN系统进行安装部署、调试维护。IPSecVPN的主要作用是采用加密、认证等方式保护网络通信的安全性、私密性、可认证性和完整性。

IPSecVNP网关作为IPSecVNP系统中主要的设备,担负大部分计算任务,两台以上IPSecVNP网关就可以搭建IPSecVPN系统的基本框架。IPSec移动客户端(easyVPN)是专为单台主机或便携式电脑设计的,目的是使其拥有与IPSecVPN网关保护的局域网络通信的能力。如图1所示。

IPSecVPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能,使用互联网作为信道。通过IPSecVPN网关的加密能力确保信息在不安全的互联网上以密文形式传输。数据校验功能确保了即便信息被截取,也无法窥视、篡改通讯内容。

IPSecVPN实现的总体结构分为IPSec输入输出处理、SPD和SAD策略管理、IKE密钥交换、加密算法和认证算法、NAT兼容等模块。其中IPSec安全协议的处理是数据处理的核心,策略管理模块提供IPSec处理策略,IKE密钥交换模块用于通讯双方SA协商,加密算法和认证算法模块是安全通讯基础,NAT兼容提供复杂网络环境下IPSecVPN应用的解决方法。

在用户层提供手工注入SA和IKE动态协商SA程序。用一个IKE守护进程监听动态协商请求,并进行相应的协商处理。策略系统实现存储、管理及验证策略。并提供用户层操作到内核的接口Pfkey Sockets(手工注入SA和利用IKE动态协商SA的接口及SAD与SPD的接口)。在内核中除实现与用户的接口外,还将实现SAD,SPD的管理、IPSec协议进入/外出处理及认证加密算法。IPSec协议处理部分建议采用IP+IPSec方案。这样会进一步加快IPSec的处理速度。

3 IPSecVPN穿越防火墙设计

前提:A、B、C三台cisco3750边缘路由器分别处于两局域网网关位置,两两一组,形成冗余。网关后各有一台主机,这两台主机之间进行IPsec安全通讯。每台边缘路由器都已经配置好相应的IPsec隧道及相关策略,而且配置了基于cisco ios CBAC状态型防火墙,两局域网由两路由器模拟的Internet网云连接。

3.1首先,对于防火墙主要进行如下一些配置:开启inspect检测,这样可以让每个接口自动检查ACL允许的流量,deny的不检查,有通信时建立状态表,没有通信时就不建立,也就是有会话时就有ACL,没有就删除。以下是针对IPSec协议的检测,在outside方向,开启对isakmp协商的检测。

ip inspect name outside udp timeout 5

ip inspect name outside isakmp

ip inspect name outside icmp

3.2对outside区域运用防火墙策略。由于AH和ESP的协议号分别为50和51,所以在outside方向上,让有限状态机对协议号为50的AH和51的ESP报文进行检测放行。

permit ahp any any

permit esp any any

由于isakmp的协商属于UDP协议,且端口号为500和4500,在outside方向,让有限状态机对isakmp的4500和500端口进行检测放行,以便isakmp协商成功。

permit udp any any eq isakmp

permit udp any any eq non500-isakmp

验证:在A路由器上使用 show access-list命令可以看到,如图2所示。

图2显示ESP格式报文的加密报文和isakmp的通道协商已经与防火墙的规则进行了匹配并且放行。Ping测试显示成功,如图3所示。

4加密流量与非加密流量对比

前提:为了达到加密与非加密流量对比,需要在配置两台服务器,一台处于内网中,受到IPSecVPN的加密保护,一台在公网上,供外网客户访问,不采用IPSec加密。服务器上包括WWW、FTP、DNS、MAIL常用服务。

(1)在外网和内网服务器上开启wireshark进行抓包并分析;(2)访问服务器www网页;(3)访问FTP服务器;(4)使用OE发送邮件;(5)使用OE进行收邮件;(6)使用telent登录服务器;(7)打开wireshark显示抓包分析结果,外网服务器的抓包结果显示,所有包的协议都可以显示出来,包括WWW的网址与内容,FTP和TELNET的用户名与密码,这些都是极其不安全的,而经过IPSec加密的内网服务器则所有包都是用ESP包头进行封装加密,显示不出任何包信息,这样可以很好的保护企业的数据。如图5和图6所1示。

5小结

本文通过研究IPSec协议族,实现了一个较为完整的IPSecVPN系统。包括客户端、服务器端软硬件设计和实现、网络配置及内嵌管理等,还解决了IPSec协议通过CBAC防火墙问题。

篇5

中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03

计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。

1 网络安全的定义

网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。

网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。

2 网络安全技术介绍

2.1 安全威胁和防护措施

网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。

安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。

2.2 网络安全管理技术

目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。

网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。

在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。

2.3 防火墙技术

互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。

防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。

将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。

2.4 入侵检测技术

入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。

3 企业网络安全管理系统架构设计

3.1 系统设计目标

该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。

3.2 系统原理框图

该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。

3.2.1 系统总体架构

网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。

网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。

网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。

网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。

3.2.2 系统网络安全管理中心组件功能

系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。

系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。

3.3 系统架构特点

3.3.1 统一管理,分布部署

该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。

3.3.2 模块化开发方式

本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。

3.3.3 分布式多级应用

对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。

4 结论

随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。

篇6

企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。

由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。

二、企业网络安全体系结构的设计与构建

网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。

(一)企业网络安全系统设计目标

企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。

(二)企业网防火墙的部署

1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。

2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。

3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。

4.企业网络安全体系实施阶段。

第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:

①满足设备物理安全

②VLAN与IP地址的规划与实施

③制定相关安全策略

④内外网隔离与访问控制

⑤内网自身病毒防护

⑥系统自身安全

⑦相关制度的完善

第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:

①入侵检测与保护

②身份认证与安全审计

③流量控制

④内外网病毒防护与控制

篇7

随着信息化时代的来临,计算机网络在电力企业应用日益广泛,可以在电力系统自动化、监控、保护、电费收缴等方面实现集成管理,发挥越来越重要的作用。同时,国家电力数据通讯网也将各个不同级别的电力企业连接起来,实现了信息共享。然而,由于受到各种因素的影响,电力企业信息网络安全风险日益增加,网络数据丢失,操作系统被破坏,网络瘫痪等时有发生。电力企业的安全、可靠运行是确保社会生产和生活正常运行的基本保障,如何确保电力企业的计算机网络安全是电力行业亟待解决的重要课题,基于此,笔者对此问题进行探讨。

1计算机网络安全的重要意义

计算机网络安全主要包括2个方面:信息安全和物理安全。信息安全是指网络安全,确保各种网络数据信息的完整性和保密性。计算机网络的威胁来源包括病毒、黑客等,其中黑客攻击造成的危害已经超过病毒影响,部分攻击甚至是致命的。因此,加强计算机网络安全十分必要,只有采取有针对性的保护措施,才能确保网络信息的安全性和完整性。根据美联邦调查可知,美国每年由于计算机网络安全造成的经济损失每年高达270亿元。国内互联网的安全威胁也十分严重,根据国家网络应急中心2013年评估数据可知,全球“僵尸”电脑有58%都发生在国内。由此可知,确保计算机网络安全势在必行。

2电力企业计算机网络存在的风险

2.1技术安全风险

随着信息化时代的来临,电力企业对计算机网络的依赖已经达到了空前规模。由于计算机网络存在巨大的安全隐患,也导致对计算机网络过度依赖的电力系统运行的安全性和稳定性变得十分脆弱,一旦计算机网络由于各种原因受到破坏,就会造成整个电力系统出现瘫痪。基于此,电力企业必须制定全面的计算机网络安全防护措施,以确保电力系统的安全、稳定运行。然而,现行的安全防护技术具有一定的针对性,通常是针对一种或者几种问题单独设计的,难以有效解决运行中出现的所有问题,也难以对计算机网络安全进行全方位的安全保护,安全技术存在一定的不足之处。

2.2信息安全风险

目前,威胁电力系统计算机网络安全的原因主要包括几方面:自然灾害、软件漏洞、病毒及黑客等。计算机系统很容易受到自然灾害的影响,如火灾、雷击、地震等各种因素,一旦出现这种自然灾害,若保护能力不足,极易导致电力系统信息丢失。由于应用网络软件类型多样,不同类型存在不同漏洞,黑客利用软件漏洞攻击软件,并最终破坏整个系统的数据。病毒也会对计算机网络安全造成影响,网络一旦干扰病毒,轻则可能导致整个系统运行缓慢,严重的可能导致系统瘫痪和数据丢失。除此之外,还有部分不法分子通过窃取密码等方法,故意破坏电力系统数据,实施金融犯罪等,这些都使计算机网络安全受到极大的威胁。

2.3管理安全风险

管理安全风险主要存在于2个方面:其一,网络管理人员;其二,网络使用者。管理人员和使用者安全意识不强,随意将自己的账号给别人使用或者与别人共享,使用盗版应用软件及外部不安全的移动存储介质,无意中泄露了网络口令及配置等关键信息,所有这些问题都极易影响网络的安全稳定运行。

3电力企业计算机网络安全防范措施

3.1采用交换机和虚拟局域网技术实现访问控制

为了提高电力企业计算机网络的安全性,可以采用交换机和虚拟局域网技术,将电力企业根据不同业务种类和安全要求分为多个子网,同时采用防火墙实现内、外网的有效隔离。例如,可将电力企业的数据库、电子邮件等划分为一个VLAN1,将电力企业外网划分为另外一个VLAN2,同时,控制两者之间的单向信息流向,前者可以访问后者,而后者不能访问前者。为了确保管理安全,可将电力企业统一部门的节点划分在同一个虚拟网络内,对于不同的管理人员赋予不同的管理权限,通过采用三层交换机支持统一网络的配置访问权限,通过这种模式不仅能够有效隔离广播风暴,也能够完成路由寻径,降低时延。具体来说,可采取几种措施:第一,控制MAC地址端口;第二,在网络层采用IP分组进行过滤;第三,对电力系统全部用户机器的MAC地址进行注册,确保只有授权用户才能进入。

3.2信息加密传输

电力企业信息在传输过程中很容易受到黑客的攻击,计算机网络的路由器、交换机等都极易成为黑客的攻击对象,基于此,为了有效防止数据信息在传输过程中不被窃听、修改及泄露等,可以对传输的数据进行加密,使其能够以密文的方式传输和存储。对于电力系统不同数据信息的安全组网要求,可将数据传输通过不同的网络层次实现。若数据信息在物理层传输,就可以采用链路加密,即在每个通信链路端口都安装相应的加密设备。如在网络及传输层,报文在进入分组交换机时,必须对相关信息进行解密,以便能够正确确定链路的路由,在这个解密过程中数据也很容易受到攻击,基于此可以在网络及传输层实施端到端加密,以确保信息解密过程中的安全。

3.3数字签名和身份认证

电力系统在网络运行环境下,系统与系统、系统与用户、用户之间等持续不断地频繁进行信息的传输过程中,极易存在几种安全隐患:第一,有假冒源点身份将报文插入到网路中;第二,发假确认或者不接受;第三,篡改报文内容和序号等。出现这种情况,最有效的解决方法就是对数据修改人员进行身份认证,可通过使用数字签名、证书技术确保用户的真实性和有效性,实现对分发者身份的认可,接收方面也可以通过数字签名等方式辨别数据是否来源于指定用户和数据信息的完整性。除此之外,数字签名也能够有效防止本文传输的否定问题。

3.4电力企业外部网安全访问控制

电力企业通过互联网实现和外部的有效连接和访问,为了确保在此过程中信息访问和传输的安全性,通常都采用防火墙技术。在电力企业内部和外部网络之间,通过设置防火墙来实现双方的隔离和访问控制;电力企业内部不同网络安全域的访问控制也要使用防火墙,以便能有效隔离不同网络之间的访问控制,避免一个网络的问题通过局域网络影响到另外一个网段。通过这种设置,能够实现对网络活动、事件和状态的实时检测、审计,并对各种恶意访问控制、误操作等进行实时分析和控制;根据防火墙的监控和漏洞探测,得到相关的分析报告,根据报告内容为电力系统用户提供快速检测非法入侵行为并提供反击手段。因此正确设置防火墙,不仅能有效实现内外网之间的安全防护,也能为内部不同网段之间提供安全防护,能够针对用户的需求有效降低电力系统的网络安全风险。

3.5日志管理和备份数据

篇8

近年来,随着中国IT技术的飞速发展,计算机网络的应用范围越来越广泛。在企业的管理中,计算机的应用已经十分普遍,很多企业拥有自己的内部网络。在网络中,企业的工作人员可以进行存储信息、转发文件、消息、联系业务等许多工作。可以看出,计算机网络在企业中起到了举足轻重的作用,所以这就涉及到了计算机网络安全管理方面的问题。计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。

先说一下物理安全,物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。这里就不考虑非人力能抗衡的自然灾害的问题了,重点介绍一下机房安全防护方面的问题。

1.在机房温湿度方面,需要安装空调控制温湿度。因为机房的温度过高,网络设备运转产生的热量散发不了,轻则引起网络设备的工作不良,使得网络间的数据传输缓慢;重则引起网络设备烧毁,使得整个网络瘫痪。机房的相对湿度过高会在网络设备电子元器件上形成凝结的水滴,使设备寿命变短或者出现短路故障;机房的相对湿度过低会产生静电,使设备突然断电甚至烧毁设备。有条件的话可以安装温湿度报警器。

2.机房要有UPS为机房设备不间断的供电。机房的网络设备都是一天24小时不间断工作的,特别是一些大型的网络服务器,没有其他特殊的情况下,它真正工作开机的次数只有一次,就是从它买回来配置好后正式开机工作的那次,直到它无法运行为止。这时我们就要考虑到服务器的供电问题,服务器工作需要电力来支持,如果时不时地断电不光对服务器的使用寿命有影响,还影响工作人员的正常工作,甚至还能损坏服务器的硬盘。众所周知所有数据都存储在硬盘上,如果服务器硬盘坏了的话那对企业来说将是一个灾难。所以,我们要给服务器提供一个UPS,就是不间断电源(能够提供持续、稳定、不间断的电源供应的重要外部设备)。顾名思义,就是它在市电停止供应的时候,能保持一段供电时间,使工作人员有时间存盘,再从容地关闭网络设备。

3.机房还要有防雷设备,以免机房网络设备遭受雷击。首先机房所在的建筑物要做好防雷,建筑物的防雷设施可以请所在地区的防雷办进行检测,看一看是否符合要求。机房电源系统也要求防雷,在电源线路上安装电源防雷器,防雷器要良好接地。机房的网络传输线也要进行防雷处理,其中光纤一般不用防雷措施,但经过室外的双绞线必须防雷处理,可以在室外做屏蔽线槽或穿金属管,在室内双绞线可以接防雷模块。

4.机房还要有防火措施。机房在装修时,所用的装修材料必须是防火材料,门也要安装防火门,通风、空气调节系统的风管上设置防火阀。机房还要有灭火器,安装感烟、感温火灾报警系统、气体灭火系统。火灾是无情的,带来的损失是难以估量的,所以机房的防火是重中之重。

5.机房地面还要安装防静电地板。前面已经讲过静电给机房设备所造成的危害,所以防静电地板也是机房必备的设施之一。防静电地板下的地面要平整、干燥、无杂物、无灰尘。

6.机房最好不要设置外窗。因为机房的许多设备要求避光,并且这样做在很大程度上减少了灰尘的产生,延长了设备的使用寿命。如果已经设置了外窗时,则要采用双层固定窗,并且要有良好的气密性。

其他还有很多方面比如:空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰、防水、防盗等方面都要有具体的要求和严格的标准。

逻辑安全包括信息的完整性、保密性和可用性。主要防范措施如下:

1.安装防火墙。防火墙是由软件和硬件设备组合而成,用来阻挡外部不安全因素影响的内部网络屏障,从而保护内部网络免受非法用户的侵入。

2.入侵检测系统。是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它在交换式网络中的位置一般选择在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。

3.健全的安全管理制度。使内部网络操作人员严格按制度进行操作,最大程度的避免病毒和木马的入侵。

4.数据加密。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息安全的作用。数据加密在许多场合为密钥的应用,密钥管理技术包括密钥的产生,分配保存,更换与销毁等各个环节上的保密措施。

5.网络访问控制。主要是保证网络资源不被非法使用和访问,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

对于大多数企业而言,网络安全虽然不是他们的核心竞争力,但作为一个信息化的现代企业,一套稳定的网络架构、一个安全的信息平台,在很大程度上已经成为他们业务成功的关键因素。可以说,企业的网络安全,是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高企业网络系统安全性的目的。

参考文献:

[1]鲁立.龚涛.计算机网络安全[M].机械工

业出版社,2011.

[2]谢希仁.计算机网络[M]. 电子工业出版

篇9

2影响网络安全的因素

2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统,网络协议是信息共享的关键环节,当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议,网络信息共享才会实现,但是网络协议是存在着安全缺陷的,TCP/IP协议是目前使用最为广泛的网络协议,它的安全性,关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题,所以很容易受到“骇客”的攻击,其安全性是没有保障的[2]。

2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分,但是其自身的安全性十分脆弱,主要表现为:a.网络与计算机存在电磁信息泄漏;b.通讯部分的脆弱性,通讯线路一般是电话线、专线、微波、光缆。在进行信息数据进行传输时,前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外,软件的缺陷也是影响网络安全的重要因素,软件的缺陷是软件具有的先天特征,无论是小程序还是大型的软件系统,都有这样那样的缺陷,目前大多数网络病毒就是以软件的形式在互联网中传播,其影响不容小觑。

3国内企业网络安全的现状

随着通讯工程和电子信息技术的快速发展,互联网已经成为当今社会不可或缺的一个组成部分,已经渗透到了经济、生活等各个领域之中。为了更好的分享、利用网络信息资源,各大企业都积极的组建和发展自己的企业网。伴随着网络的发展,各种各样的网络安全问题相继而生,网络安全隐患日益突出,引起了社会各界的广泛关注。然而,企业之间的网络硬件设施却是参差不齐的,经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前,企业网络中的具有安全防护特性的硬件设备主要有:防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足,对网络安全的要求只能满足其最基本的使用要求,对于企业网络硬件基础平台的安全性来说,这种投入明显是不够的。此外,企业之间的技术管理水平也存明显的高低差距,企业的经济水平直接决定了该企业在网络技术能力上的强弱,具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度,企业员工的网络应用水平普遍偏低,缺乏网络安全意识。对此,企业应加强员工的网络安全意识,完善网络安全管理制度,如此才能确保网络环境的安全[3]。

4网络安全技术在企业网的应用措施

4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全,通讯线路安全,运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改,为了使信息数据传输更加的安全,可以选择安全性更高的光纤作为传输介质,防止数据被拦截或篡改。此外,对于网络的依赖性比较大的企业,一旦停电或者断电,就会对企业会造成不必要的损失,为了预防这种情况发生,企业应该安装不间断电源(UPS),避免这种情况发生。同时,网络中断也会对企业造成比较大的损失,为了确保通讯线路的畅通,企业做好冗余备份是必要的选择,冗余备份就是多准备一份或者几份,以备不时之需。如此一来,当一条通讯线路出了问题或者故障,导致网络中断时,会自动选择冗余备份的线路,以确保网络连接不被中断,避免不必要的损失。

4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全,由于种种原因,计算机的操作系统存在着比较多的系统漏洞(BUG)。目前大多数网络攻击就是利用BUG进行恶意攻击。为了预防这种情况发生,用户需要定期对计算机进行系统检查与修复,可以到微软官网上下载适合系统的补丁进行修复[4]。

4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的,为了有效地预防网络攻击及病毒入侵,需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外,还要对账号密码进行有效的保护;关闭不需要的服务和端口;定期对服务器进行备份;检测系统日志。

4.4网络的安全应用措施。为了更容易的获取信息资源,大多数的企业网都与外网进行了连接,这样做在方便了自己的同时,也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。这样的安全隐患也可能是企业员工在浏览网页的过程中不经意的触发了一些不安全链接,进而带入了一些恶意软件,使企业网的数据资源失窃或被篡改。为了有效防止这种情况的发生,企业网络用户在上网时,要时刻保持警惕,不要轻易的相信来自网络中的任何信息,对任何一个要进入网络的人,都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时,企业网络用户要采取一定的措施来保证信息的安全,避免信息的泄漏。此外,企业网络用户还要坚决抵制恶意网站,拒绝恶意请求,确保网络的安全应用。

篇10

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02

1 网络安全的特点及重要性

网络安全从字义上讲就是保障网络系统的稳定正常运行,抵御各种不利的侵害,免受因不法侵害带来的损失,网络安全需要依靠相关的设备和技术才能实现。对于企事业单位的网络安全较之于一般的个体的网络使用具有更为重大的意义。网络的使用大大提高了企事业单位的办公效率和质量,网络的不安全因素带来的直接后果是造成办公秩序不能正常进行,重要的信息材料丢失或者篡改,给企事业单位的利益以及相关联的人的利益带来重大损失,因而保障网络安全具有十分重大的意义,也因此对企事业的网络安全工作和建设提出了要求:

首先,良好的保密性能,非授权用户难以靠非正常途径获得或者使用不允许对外公开的信息材料;其次,相关的数据改变只有在经授权的前提下才能进行改变,未被授权就不能修改、破坏存储或传输过程中的数据,保证数据存储和传输的完整性;第三,网络数据的稳定可靠性,被授权主体能够正常访问并根据需求正常存取使用;最后,良好便捷操控性能,网络系统能够满足大部分的工作需要,一方面对于数据的传播及内容具有良好便捷的控制能力,另一方面在出现安全问题时能够及时做出判断预警,并提供相关的处理依据和手段。

2 当前网络安全在应用中的现状

网络化办公已基本实现,然而在网络安全的建设和管理上,一部分企业的网络结构设计难以满足未来的网络发展,应对网络安全的能力严重不足,甚至还停留在个体的网络使用模式上,企事业单位的网络安全建设应当是一个整体性的结构,在整个网络系统中,每一台计算机的安全性能对整体的网络系统的安全性能都有着直接的影响,网络安全与每个用户密切相关。

企事业单位的网络安全应该得到充分的重视,但部分企事业单位的安全意识还比较淡薄,一方面缺乏专业性的网络安全管理人员,网络安全建设缺乏明确的标准和规范;另一方面企事业单位的员工要对于单位的网络结构、数据存放方式和地点、业务系统的密码都有一定的了解,员工对于网络安全的不在意,网络隐患防范意识差,随意的改动系统注册表,网络系统的密码设置简单等都可能使得整个网络安全系统面临风险。根据调查,在已发生的网络安全攻击事件中,多数是来自内部网络的侵犯,如关键、敏感数据的误用、滥用;IP地址的随意设置;网络的网络结构被内部人员泄露等。

当前部分企业的网络安全管理制度还是不健全的,网络安全建设缺乏可操作性,缺乏网络安全防护和维护技术,管理制度不健全、责任和权力的不明确都有可能导致网络的不安全。相当一部分企业在出现网络攻击行为时,还不能做到提前预警、提供攻击行为的线索及破案依据;对于内部人员的违规操作,也不能进行实时的监控、报告和预警。

3 当前网络存在的主要安全威胁因素

(1)内部网络的威胁因素。很大一部分网络安全造成威胁的事件是由于企业内部的原因造成的,根据统计,企业内部的威胁因素占到了所有网络安全威胁事件的绝大部分,而极少数的网络安全威胁事件才是由企业外部造成的。在由企业内部原因造成的网络安全事件中,主要是由于不健全的企业内部管理制度、淡薄的安全意识等自身问题;企业内部员工没有经过授权而进行访问所导致的安全威胁以及设备老化、人员操作失误等原因导致的。以上可以知道,一方面企业内部的威胁因素对于企业的网络安全威胁最大,企业的内部攻击也是比较难以防范和预测的,因而非常有必要对企业内部采取必要的安全措施;再者激烈的商业竞争有可能造成越来越多的恶意攻击事件,然而个别的员工缺乏安全意识,为了谋取个人利益出售企业的商业秘密给竞争对手或者无意的将企业的商业机密泄露,最终带给企业重大的经济损失。另一方面,企业由于受自身发展水平的限制,对于网络安全的结构设计,日常管理维护的资金和人才投入存在很大的差别的,现代的计算机网络技术日新月异,企业需要紧跟时代的步伐,网络安全的保障同样如此,需要大的资金和人员投入,特别是一些大型企业以及政府事业单位。

(2)外部网络的威胁因素。单位外部的威胁因素主要包括以下几个方面的因素:

1)病毒威胁,在现代的社会,病毒有可能出现在所有存在计算机的地方,目前计算机病毒是影响网络安全的最主要的敌人,它随着计算机网络技术的发展而发展,现在的计算机病毒更具隐蔽性、传染寄生能力强、破坏性更大,病毒的传播方式是在计算机的程序中插入一组能够自我复制的计算机指令或程序代码用以破坏计算机功能,篡改或毁灭数据,妨碍计算机软件、硬件的正常稳定运行。病毒的破坏性程度不同,严重的有可能破坏个人的计算机甚至影响整个单位网络的安全。

2)黑客威胁。黑客也是计算机网络技术发展的产物,黑客的存在使得单位不得不提高网络安全意识,因为他们的破坏力是相当惊人的,我们常常可以看到报道:黑客利用单位网络的安全漏洞,非法闯入单位网络,未经授权访问单位内部网络、数据资源,删除、复制甚至毁坏数据,甚至攻击政府网站,篡改网页等非法活动。

3)拦截、窃听单位网络数据。这主要是通过利用单位的数据传输漏洞直接或间接的截获网络上的特定数据包并进行分析获取所需要的信息。

其他的威胁单位网络安全的方式还有破坏网络设备、黑客通过利用在网络上所控制的计算机向单位发送大量的垃圾邮件、通过伪装IP地址欺骗单位获得信任、恶意破解密码、篡改数据等。

4 应对网络安全威胁因素的对策

(1)建设全面的稳固的企业网络病毒防火墙以及网络安全防护体系。企事业单位网络的出入口的接入处,要有防火墙的保护,来自外部网络的所有访问请求都应该经过防火墙的检查,这样做的效果是防止计算机病毒的传播,尤其是应对来自于网络的病毒,最大可能的减少因病毒所导致的单位网络阻塞、中断等故障的发生。能够有效的隔离内部与外部网络的信息,消除外网的安全威胁。

(2)健全企业的网络安全管理制度,首先网络安全的管理工作应当具体到人和部门,网络安全管理是单位安全有效运行的重要组成部分。网络安全管理工作应当有相应的规范和配套的制度保证执行,推行主管责任制,监督、引导负责人员能够正确的执行规范,提高网络安全的管理水平。其次,加强对员工的网络安全意识和技能方面的培训,提高单位内部人员的网络安全意识和素质,特别是加强对专业网络安全管理人员的培训,制定合理的人才发展规划,让网络安全管理人员以及单位内部人员的网络安全意识能有稳步提高,能够主动的发现问题并解决问题,进一步提高员工对单位网络系统的操作能力

(3)健全企业的网络安全预警机制,主要包括入侵单位网络预警机制和病毒感染预警机制两部分。单位网络安全入侵预警机制能够通过安全扫描互联网和系统对经过网络传送的数据的安全性进行分析检测,对于确定的危险性的入侵信息进行警告并能够检测出入侵风险源的IP地址,时间,入侵的目标的IP地址、端口。病毒感染预警机制,通过扫描和检测所有访问数据,分析检测发现的风险,生成病毒警报,并迅速定位入侵的IP地址、端口和病毒发生源,对病毒活动的日志进行记录。

参考文献:

篇11

前言

在计算机技术、信息技术和网络技术的发展下,企业在生产活动中都建立了属于自己的局域网和企业办公平台,从而使企业在生产和经营过程中的数据传输速度加快,而且业务系统及管理系统以网络分支的情况下分布开来,这对于企业管理效率的提升起到了积极的作用。网络技术在企业中的应用,有效的改变了企业的生产方式,推动了企业的快速发展,但其也带来了一定的隐患,如果不能及时对网络的安全进行有效的防范,则会给企业带来严重的经济损失。

1 企业网络威胁分析

目前企业在对计算机的使用过程中面临着来自众多因素的安全威胁,有些是有意为之,有些是无意之过,但不管何种威胁,对网络的安全都会带来较大的影响,甚至带来严重的后果。

1.1 人为的无意失误。企业工作人员由于在计算机使用过程中缺乏必要的安全意识,所设置的密码过于简单,或是随意将自己的账号和密码告之他人,从而使企业的信息安全受到威胁,使网络的安全性受到较大的影响。

1.2 人为的恶意攻击。这是恶意的利用网络的安全漏洞来获取计算机上的信息的行为,目前已成为网络最大的安全隐患。其在攻击时表现为两种不同的形式,其中一种是进行主动攻击,从而使信息的有效性和完整性受到破坏,另一种是被动攻击,这种攻击方法在不影响网络正常工作的情况下进行,对重要信息进行窃取和破译,且不易被察觉,这两种攻击方式虽然手法上有所不同,但其给计算机所带来的破坏性是相同的,都会导致机密数据被窃取,给企业带来无法估量的损失。

1.3 网络软件的漏洞和系统后门。计算机上所使用的软件和系统都由人来进行设计,所以其不可避免的会存在着漏洞,这就为黑客进行网络攻击提供了良好的通道,特别是系统后门是设计人员在设计之初为方便自己而设置的,而一旦后门被黑客攻击,则会带来无法相象的后果。

1.4 病毒是网络安全的一大隐患。计算机病毒每天都呈不断的增长趋势,而且各种新病毒频繁的出现,这就给网络防御系统带来了较大的难题,一旦计算机受到病毒的感染,则其会不断的被复制和发生变异,瞬间则会使系统崩溃,使网络上的信息资源受到破坏。

2 企业网络脆弱性分析

2.1 难以抵制针对系统自身缺陷的攻击。此类攻击手段包括特洛伊木马、口令猜测、缓冲区溢出等。利用系统固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其它系统。

2.2 安全监控手段不多。企业局域网对于流量的管理还缺乏必要的监控手段,从而使利用P2P和BT下载的现象较为猖獗,这样就导致本来就限流量的网络发生阻塞,使企业各项正常的业务不能进行,甚至导致系统瘫痪的可能。

2.3 防病毒系统难以应对复杂多变的病毒环境。由于病毒的更新速度越来越快,这就导致防病毒系统无法应对当前病毒快速的特点,特别是目前一些病毒,其在传统病毒的基础上与黑客攻击技术有效的结合为一体,可以自动发现系统漏洞进行传播和攻击,而且传播速度和感染速度特别快,具有极大的破坏力,这类病毒不仅在传播过程中会破坏到计算机系统,而且还会导致网络发生阻塞,从而使正常工作无法进行。

2.4 网络设计不合理。网络设计是指拓扑结构的设计和各种网络设备的选择和配置等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。企业的网络架构简单,交换机配置不合理,都会对网络造成威胁。

2.5 缺少严格合理的安全管理制度。政策的不完善、落实不彻底、安全管理制度的不健全、措施不得力和缺乏有效的动态管理网络系统安全策略的能力等都可能形成对系统安全的威胁。

3 加强企业网络不安全因素的防范措施

3.1 防火墙部署。防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问,以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层,可保护内部系统不被外部系统攻击。

通过配置安全访问控制策略,可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤,通过防火墙的设置,对内网、公网、DMZ区进行划分,并实施安全策略,防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能,对经常出差的领导、员工支持远程私有网络,用户通过公网可以象访问本地内部局域网一样任意进行访问。此外,防火墙还可以收集和记录关于系统和网络使用的多种信息,为流量监控和入侵检测提供可靠的数据支持。

3.2 防病毒系统。计算机网络安全建设中其中最为关键的一个部分即是加强对防病毒系统的建设,这就需要在实际工作中,通过科学合理对防病毒系统进行装置,从而实现对病毒的集中管理,利用中心控制室来对局域网的计算机和服务器进行有效的监视,从而加强病毒的防范。而对于进入到计算机系统内的病毒则需要做出及时的影响,预以及时清除。

3.3 流量监控系统。什么是流量监控?众所周知,网络通信是通过数据包来完成的,所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”,是借助发送与接收数据包来完成的。所谓流量监控,实际上就是针对这些网络通信数据包进行管理与控制,同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输,禁止或限制非法数据包传输,一保一限是流量监控的本质。在P2P技术广泛应用的今天,企业部署流量监控是非常有必要的。

3.4 合理的配置策略。通过将企业网络划分为虚拟网络VLAN网段,这样不仅可以有效的增加网络连接的灵活性,而且可以对网络上的广播进行有效的控制,减少没必要的广播,从而有效的释放带宽,不信有效的提高网络利用率,而且使网络的安全性和保密性能得到有效的提升,确保了网络安全管理的实现。

3.5 安全管理制度。目前我国还没有制订统一的网络安全管理规范,所以在当前网络安全不断受到威胁的情况下,需要我们首先在设计上对安全功能进行完善,其次还要加强网络安全管理制度的建立,并确保各种安全措施得以落实。对于企业中安全等级要求较高的系统,则需要由专人进行管理,实行严格的出入管理,利用不同手段对出入人员进行识别和登记管理,从而确保企业网络信息的安全性。

4 结束语

网络安全是需要我们长期坚持的一项工作,同时还需要利用综合、完善的策略来进行部署,加强网络管理人员安全意识的提升,明确网络安全的框架体系,从而不断的提升网络安全的防范层次和结构,从而灵活对安全策略进行部署,确保一个安全、放心的网络环境。

参考文献

篇12

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)07-0174-01

1、某金融企业计算机网络使用现状

某金融企业的计算机网络被划分成两个个部分:一个是内部网络,即在某企业系统中进行内部网络互联的广域网;一个是外部网络,即与国际互联网相连接的www网络。

内部网络采用星型的拓扑结构,以企业本部为中心,上连总公司,下辖数十个营业网点,共有信息点近千个。主干网采用光纤传输,网络地址使用的是A类地址,C类掩码。公司本部和总公司以及所辖营业网点之间采用双线路备份,主线路使用cisco路由器和电信公司光纤线路,使用ATM相连接,备份线路也是使用cisco服务器和电信公司光纤线路,使用MPLS方式连接。公司本部和其他合作往来的相关企业比如银行、邮政等通过cisco路由器和电信公司光纤线路相连。

外部网络与内部网络采用了物理隔离的方式,审批通过获准上网的客户终端通过切换信息点的方式将网络从内网断开,接入互联网获取web服务和Email服务。

2、目前该金融企业网主要存在的安全威胁

该金融企业内外网物理隔离的策略基本避免了来自互联网的网络攻击,是一种相对安全的防范措施,此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。

虽然物理隔离有效杜绝了外来入侵,但网络内部依然存在很多安全隐患。

2.1 物理安全问题

物理安全产生的原因有:空气的温度和湿度等造成的系统故障、设备故障、电磁干扰、线路截获等。物理安全比较少见,但问题出现后,解决的速度比较慢,造成的损失大而持久。

2.2 病毒入侵

从广义上来讲,凡是能引起计算机故障的程序统称为病毒,传播快、种类多、范围广、破坏性大、变化快是是病毒的主要特点,即使最先进的防病毒软件也总是落后于新病毒。而且不管功能多么强大的防护技术也无法独立有效地完成安全防护任务。企业内部网络用户的一些行为也致使计算机容易感染病毒:不安装杀毒软件、安装了杀毒软件不及时升级、桌面用户在终端使用各种不可靠的移动介质等。

一旦感染病毒,轻则电脑系统变慢,重则导致用户电脑瘫痪,某些蠕虫病毒还会导致整个部门网络瘫痪,业务中断。

2.3 内部恶意攻击

在内部网络中,任意一台计算机都可以访问其他连接在网络中的计算机,互联网上的黑客手段在局域网内部同样有效,这些条件让内部人员非法获取重要信息、信息变得轻松方便,内部网络的安全性受到极大威胁。

2.4 非授权网络接入

企业内部人员的一些违规行为使物理隔离失去意义,比如内网主机擅自更换隔离卡的内外网口、网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、无线AP、以太网接入等,给整个企业内网带来严重的安全威胁。

3、网络安全策略

3.1 虚拟局域网技术

在公司网络核心交换机-cisco 6509交换机上划分多个VLAN ,VLAN的划分可以隔离广播域,提高网络性能,同时,还可以对机要部门进行隔离,比如公司业务部门用户不能访问数据中心服务器资源。提高了安全性。VLAN使网络的拓扑结构变得非常灵活机动,它可在诸如IP地址、端口、mac地址等不同形式上产生。VLAN对每个子网间的非授权访问有限制作用,并能设置MAC/IP地址绑定。VLAN工作在OSI参考模型的数据链路层和网络层上,VLAN子网间的通信通过网络层的路由器或者三层交换机来转发,运行不同地理位置的用户加入一个逻辑子网中。

3.2 防火墙技术

防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据安全策略对出入网络的信息流进行有效的控制,防火墙的组成可以理解为网络过滤器和安全策略的组合,在安全策略中,主要包括网络访问、服务访问、用户认证、数据加密、病毒防御等,仅利用防护墙设备,不设置合理的安全策略,防火墙将形同虚设。公司的核心交换设备cisco 6509中有FWSM防火墙模块,安全管理人员可以设置安全策略实现对中心服务器群的保护和VLAN间访问控制。另外,公司所辖营业网点接入本部网络之前要经过天融信硬件防火墙。

3.3 入侵检测系统

入侵检测系统,英文名称Intrusion Detection System,即IDS,作为防火墙功能不足的补充,检测并报告系统中没有授权或异常状况的一种计算机系统安全技术,通过预先设置安全策略,从网络中的若干关键点收集信息、分析信息,检测网络中是否有违反安全策略的行为,分析是否有遭受攻击的迹象。IDS被认为是防火墙之后的第二道安全闸门,能帮助系统对付网络攻击。

3.4 其他措施

公司构建了整体病毒防范体系,网络中的每台工作站、服务器及网关处全部部署相应的网络防病毒产品,对每一层进行分别控制和管理,在病毒可能利用的各个传播渠道对病毒进行拦截和查杀,从而达到病毒整体防护的功效。病毒码的更新及操作系统、软件补丁的更新服务器端统一设置,客户端自动更新。

公司还采取了一些措施保证网络安全,比如主机系统双击冗余备份、严格的主机用户和密码的权限管理、自动化集中数据备份及异地备份、数据镜像、容错、数据审计,利用Ciscoworks网管软件进行网络安全监视等。

参考文献

[1]于承斌.基于防火墙的双出口路由策略的设计与实现[J].计算机系统应用,2010,(06):131-134.

篇13

计算机技术在不断发展,广泛应用于各行各业,加速了企业的发展。计算机网络的应用,给企业带来了办公自动化、实时传递数据、及时发送电子邮件等便捷,其地位在企业的发展过程中占据了越来越重要的地位。但是,计算机网络的发展还不完善,存在一定的问题,如数据的丢失和被盗等问题,会严重影响企业的发展,因此,应对企业网的计算机网络安全提高重视。

一、计算机网络安全现有的问题

1.计算机系统安全

计算机系统及各类程序的正常运行是依据其操作系统程序的运行而得以实现的,因此,计算机操作系统程序是其基本程序。计算机的操作系统程序开发相对容易,但对其进行优化和升级的技术还不完善,存在漏洞,黑客可以通过系统漏洞从而入侵企业的计算机系统。

2.计算机病毒

计算机病毒的入侵可以对计算机的运行造成极大的损害,如导致计算机操作系统瘫痪、计算机数据丢失等问题。计算机病毒一般具有以下特征:破坏性、隐蔽性、潜伏性以及传染性。按其种类分可分为以下几种:木马病毒,蠕虫病毒,脚本病毒,间谍病毒。黑客可以通过计算机病毒攻击并控制计算机,窃取企业数据信息,对企业网的破坏极大。

3.网络攻击

黑客具有较强的计算机知识技术,他们可以通过非法攻击计算机系统,对计算机用户终端设备及计算机网络造成严重的破坏。黑客对计算机网络的攻击有以下方式:通过利用虚假的信息对网络进行攻击;通过利用计算机病毒控制计算机用户终端设备;通过网页的脚本漏洞对浏览网页的计算机用户进行攻击。

二、计算机网络安全的技术措施

1.安装防火墙

防火墙作为计算机网络安全技术,已经广泛应用于企业网中。防火墙技术可以从根本上对计算机病毒进行防范和控制。防火墙可以分为两种形式:应用级防火墙和包过滤防火墙。应用级防火墙可以保护服务器的安全,它通过对服务器终端的数据进行扫描,发现异常数据对计算机的攻击后,会及时断开企业网内网与服务器的联系,以保护企业网不受病毒的侵害。包过滤防火墙通过及时对路由器传输给计算机的数据进行过滤,阻挡计算机病毒进入计算机,并通知计算机用户对病毒信息进行拦截,保护企业网的安全。企业网防火墙安装如下图所示。

图 企业网防火墙安装

2.数据加密

数据加密技术是保证企业网网络安全的另一计算机安全技术。数据加密技术可以将企业网内的数据信息进行加密,在对数据进行传输和接收时需要输入正确的密码,从技术上提高了企业数据信息的安全。因此,企业想要保证和提高其数据信息的安全,必须在企业网中加强对数据加密技术的使用。数据加密通常使用两种算法,一是对称加密算法,即保持加密方法和解密方法的一致;二是非对称加密算法,即加密方法和解密方法不一致,以上两种加密方法已经广泛应用于企业网网络安全。

3.病毒查杀

及时对计算机进行病毒查杀可以提高企业网的网络安全。计算机病毒对计算机终端设备和计算机网络的危害极大,可造成网页脚本病毒、计算机数据信息被盗或丢失、计算机系统瘫痪等,使用病毒查杀软件可以及时检测和更新计算机的操作系统,修补系统漏洞,更新病毒数据库信息,对网页病毒进行拦截,对下载的文件、软件、邮件等进行病毒查杀后再进行查看或使用,以防止计算机病毒对企业网及计算机终端设备的损害。

4.入侵检测

入侵检测技术对企业网的安全具有重要意义,它会在不影响企业网网络运行的情况下,对企业网的网络运行的情况进行监测。入侵检测可以收集计算机相关的数据信息,并对计算机内可能存在的侵害自动进行寻找,在计算机受到侵害时,入侵检测会对用户发出警报,并切断入侵的途径,对其进行拦截,因此,入侵检测技术能加强计算机的抗攻击性,计算机的入侵检测包括误用监测和异常监测。误用监测响应快,误报率低,异常监测的误报率高,监测时需要全盘扫描计算机,两种入侵监测都需要的监测时间都较长。

三、结语

随着时代的发展,网络也在迅速发展,在市场经济不断发展的今天,企业想要在激烈的市场竞争中取得优势,必须大力发展其企业网网络。在发展企业网网络的同时,还应加强对网络安全的管理,提高企业网的安全性,以提高企业的效益。

参考文献:

[1]程宪宝,谢金荣.计算机网络安全技术在企业网的应用与研究[J].计算机光盘软件与应用,2012(05):53.

[2]杨玮红.计算机网络安全技术在网络安全维护中的应用初探[J].神州,2013(31):17.

友情链接