企业网络安全范文
发布时间:2023-09-26 08:32:47
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业网络安全范例,将为您的写作提供有力的支持和灵感!
篇1
1、网络安全的重要性
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用书序、数论、信息论等多种学科。网络安全是指网络系统等硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。具体而言,网络安全要:保护个人隐私;控制对网络资源的访问;保证用户秘密信息在网络上传输的保密性、完整性、真实性及不可抵赖;控制不健康的内容或危害社会稳定的言论;避免国家及企业机密泄漏等。
随着企业信息化建设的飞速发展,网络数据量的迅速增长,网络安全问题已经越来越受到人们广泛的关注,各种病毒花样繁多、层出不穷;系统、程序、软件的安全漏洞越来越多;黑客们通过不正当的手段侵入他人电脑,非法获得信息资料,给正常使用网络的用户带来不可估计的损失。很多企业及用户就曾深受其害。
2、 破坏网络安全的因素
破坏网络安全的因素主要包括物理上的、技术上的、管理上的及用户意识几个方面。
从物理上讲,我网络安全是脆弱的。就如通信领域所面临的问题一样,网络涉及的设备分布极为广泛,任何个人或组织都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施,包括有线通讯线,电话线,局域网,远程网等都有可能遭到破坏,从而引起业务中断,如果是包含数据的软盘,光盘,主机等被盗,更会引起数据的丢失和泄漏。
从技术上讲,首先,系统必须提供一定的途径以许可外系统的访问;其次,系统必须有足够的能力对这些访问进行控制。如果控制技术本身有缺陷,就有可能被攻击者利用。如在网络上广泛应用的Windows2000、WindowsXP等系统都存在自身的缺陷。最后,即使控制技术本身并无缺陷,在选用控制系统时还有一个平衡的问题;控制太严,合法用户的正常使用将受到影响;控制太松,就会有漏洞。要做到恰到好处的控制并不是一件容易的事。
从管理上说,没有一只高效的网络安全管理队伍,没有一套网络安全技术培训和用户安全意识教育机制,也是造成网络不安全的一个重要因素。上百个用户的网络就靠一两个网络管理员来维护,势必造成头痛医头、脚痛医脚的局面。
下面就重点分析一下用户意识因素:
大多数系统是以用户为中心的。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。然而,更多的安全措施必须由用户自己来完成,比如:
2.1码控制
一个合理的要求是,由用户来管理自己的登录密码。系统管理员可以更改用户的密码,但不能读取用户的密码。用户必须对自己密码的安全性、保密性负责。一个不好的(或不安全的)密码事实上不能起到密码的作用。在下面的分析中,将进行具体的分析。同样,如果不能保证密码的保密性,自然密码也是虚设。
2.2文件管理
用户对自己的文件必须负责。对于一般的系统和应用,文件的创建者拥有对文件的全部权限,包括将权限分配给他人的权限。如果缺省设置是文件创建后,仅有文件创建者拥有对文件的权限,其他人必须显示得到权限分配,问题会小些。然而,多数系统(Microsoft、Windows)对文件权限的设置是:只要没有显示的限制,都是可以访问的。这样,对文件访问的安全问题实际上是交给了用户自己管理。
2.3运行安全的程序
目前在系统一级上,尚无对病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用户自己判断。一个用户只要有写文件、运行文件的权利,就有可能无意中给系统装上木马程序。
2.4保持警惕
这两年,电子邮件病毒日益猖獗。同前一个问题一样,电子邮件的安全也只能由用户自己控制。在浏览网页时,也可能遇上陷阱,这些都要求用户保持警惕。
3、网络安全的解决方案
网络的安全不是单纯的技术问题,他和系统的管理维护制度方面密切相关。要实现完整的企业网络安全性,首先要制定一个完整的企业安全策略。一个完整的企业网络安全策略涵盖的内容很多,整个网络系统的安全性也不仅依赖于安全可靠的网络操作、应用系统、网络设备的安全性。
3.1需求、风险、代价平衡分析的原则
对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性和定量的分析,然后制定规范和措施,确定本系统的安全策略、保护成本、被保护信息的价值必须平衡。
3.2授权、认证原则
对那些确实需要保护的企业网络资源(包括设备、软件、数据等),保证在对这些资源访问前,用户必须经过授权和认证,符合身份验证和授权的用户才能够获得相应的访问权限。
3.3一致性原则
主要指只有应该具备访问权的人才能够获得相应的访问资源的账号。这里要特别注意因为员工更换部门或者离开公司,其相应的权限和账号也要相应取消。
3.4综合性、完整性原则
运用系统工具的观点、方法分析网络安全的问题,并制定具体措施。一个较好的安全措施往往是多种方法综合应用的结果。
3.5建立安全监控、报警手段或者机制
可对网络的安全策略是否得到正确的实施,以及对违反安全策略的行为予以报警,有助于确保整个网络系统的安全性。
3.6易操作性原则
如果措施过于复杂,对人的要求过高,本身就降低来安全性。
3.7适应性、灵活性原则
篇2
中图分类号 F27 文献标识码 A 文章编号 1673-9671-(2012)101-0237-01
1 加强企业安全技术可靠性建设
对于网络安全我们面前的挑战是,如何使新技术能够可靠地工作。随着顾客对技术的要求日益提高,这一点将会实现。但是,由于厂商同时加速进行产品开发,总体而言,情况没有多少变化:可靠性依然不佳。有时,进行组装的工程师缺乏经验,那些独立工作时运转良好的系统被组装到一起却常会引发一些意想不到的后果。总而言之,现在的安全系统未经标准化。诀窍是在竞争激烈的市场中找到一席之地,既要拥有激动人心的新科技,又要保持传统的乏味的可靠性。
2 加强防范意识
大多数安全风险最终牵扯到人,粗枝大叶的人或坏人,经常两者全占。到处都有人想打人系统盗取有价值的数据、搜寻机密,甚至只是制造混乱。口令、防火墙和其他障碍构成第一道防线,但由于使用者的疏忽,这些措施常常不能发挥很好的作用。同时,许多防火墙非常死板,毫无应变能力,雇员常常可以绕过它们。公司需要对人员控制进行更特殊的规定,这对管理人员来说通常较为复杂。
3 加强网络本身的安全措施
信息网络中网络操作系统和相应的服务器软件包都提供了很强的安全性保障,对于一个具有很高安全级别的网络来说,加强其本身的安全设置,是必不可少的一环。
下面以目前最常见的企业建立内部网、通过专线上网并提供信息服务为例,说明企业实现网络安全的防护措施。
假设企业是采用WindowsNT作为服务器和Web服务器平台,内部设置SQLServer7.0作为数据库服务器,并开发相应的应用系统;整个系统通过64K DDN专线与因特网连接,系统对外提供Web信息服务、电子邮件服务、FTP服务等。
内部网络的安全问题可以进一步分为网络操作系统的安全和应用系统的安全。通常采用WindowsNT网络操作系统的安全问题就变得非常重要。应用系统的安全则是用户的Web服务器、FTP眼务器和电子邮件服务器等的安全,以及用户开发的各种应用系统的安全性。下面主要对在WindowsNT系统中提高安全性,给出一些建议。
WindowsNT和IIS(Web服务)的安全模式是完全集成的。在系统中没有指定的Web客户,只有那些被WindowsNT确认在服务器上有账号的客户才能管理。如果使WindowsNT,必须考虑对将创建客户权利的每一个集合都创建一个组。另外,WindowsNT是针对域(do一main)模型的概念而操作的,这意味着对网络维持需求的权利共享和增进的控制。域是控制客户端系统如何进入服务器的基本体系结构,不论客户端系统是在用户的局域网还是因特网中。域提供了一种对系统和客户进行逻辑分组的方法来实现对系统的管理、进入服务器以及在各个系统和客户之间进行交互。
用户可以对信息进行保护,并且强制客户在服务器上进行验证,但是这需要为具有安全保护的资源建立客户账号。这是对客户进行管理的正确实现方法。应该为默认的客户提供广泛的、对大多数没有安全保护的资源的进入;但是对于那些受到保护的信息,应该不允许这种类型的进入。
4 加强“防火墙”技术控制
防火墙的技术已经经历了三个阶段,即包过滤技术、技术和状态监视技术。
1)包过滤技术。包过滤防火墙的安全性是基于对包的IP地址的校验。在因特网上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为却无能为力。
2)技术。服务器接收客户请求后会检查验证其合法性,只有那些被认为“可信赖的”服务才允许通过防火墙。它将内部系统与外界隔离开来,从外面只能看到服务器而看不到任何内部资源。服务器只允许有的服务通过,而其他所有服务都完全被封锁住,这一点对系统安全是很重要的,另外服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP Put(放置)命令,以保证用户不能将文件写到匿名服务器。
服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。网络地址转换服务(NAT—Network Address Translation)可以屏蔽内部网络的IP地址,外部看不到网络结构。
3)状态监视技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和服务则都无法做到。
5 加强开放型网络安全保障系统建设
开放型网络安全保障系统是建立在数据加密、用户确认授权机制上的,通过对网络数据(包括用户数据和保证网络正常运行所需的数据)的可靠加密和用户确认,在不影响网络开放性的前提下实现对网络的安全保障。这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据,从而在不对网络环境作特殊要求的前提下根本上解决网络安全的要求。以数据加密和用户确认为基础的开放型安全保障技术可望成为网络安全问题的最终的一体化解决途径。
参考文献
篇3
1.1网络安全概念及特征
网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施,以确保信息完整、可用、无泄露,保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。
1.2企业网络安全面临的主要问题
企业网络安全面临的问题归纳如下:(1)网络安全目标不明确。虽然《网络安全法》已于2017年6月1日起施行,但企业对网络安全的重要性依然认识不足,缺乏网络安全规划,没有明确的网络安全目标[3]。(2)网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性,企业网络安全存在很大隐患。(3)网络安全设施不健全。无论大型企业,还是中小企业,都存在网络安全基础设施投入不足的问题,以致设施陈旧、不完整,面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。(4)缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4],缺乏系统性、协同性、灵活性,面对万物互联和更高级的威胁,传统防护手段捉襟见肘、防不胜防[5]。
1.3企业网络安全需求
企业因网络安全需要而产生的要求即为企业网络安全需求,这是由企业内部网络因素与外部网络形势共同决定的,内外都不会一成不变,所以企业网络安全需求是一个动态过程,具有时效性。基于此,要准确把握企业网络安全需求,必须对企业网络安全现状进行调查分析,一般而言,企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6],具体体现在以下几个方面:(1)网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单,而且没有形成完整的体系,对企业网络安全的指导性不足。(2)网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构,负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。(3)网络安全运行管理需求。企业应建立科学高效的运行管理体系,采用实用的运行管理方法,对服务器安全、网络访问可控性、网络监控等进行管理。
2企业网络安全解决方案
2.1企业网络安全方案设计原则
网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案,避免失于偏颇和“词不达意”,设计原则可以有很多,笔者认为最重要的原则如下:(1)多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。(2)简单适用原则。过于复杂的方案漏洞多,本身就不安全。(3)系统性原则。企业网络安全面对的威胁是多方面的,只专注于一点无法保障网络安全。(4)需求、风险与代价平衡原则。没有任何方案可以做到绝对安全,追求过高的安全性要付出巨大代价,所以要学会取舍,平衡风险与代价。(5)可维护性原则。没有任何系统可以做到无懈可击,要做到能随时调整、升级、扩充。(6)技术与管理相结合原则。在改善安全技术的同时也要加强管理,减少管理漏洞,对于复杂的安全形势,要多做预案,提前防范突发事件。
2.2企业网络安全解决方案
2.2.1网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发,将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域,如图1所示。互联网域接入互联网服务,服务区域即企业服务器放置区域,外联域接入分公司区域,内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内,便于各个安全子域内部署相应等级的防护策略。2.2.2部署安全网关方案在外网与内网之间设置安全网关(如图1所示),作为企业网络系统的物理屏障,以保护内网安全。安全网关不是单一的防火墙,而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理(unifiedthreatmanagement,UTM)概念,将多种安全特性的防护策略整合到统一的管理平台上,按需开启多种功能,其由硬件、软件、网络技术组成。UTM在硬件上可以采用X86、ASIC、NP架构中的一种,X86架构适于百兆网络,若是千兆网络应采用ASIC架构或NP架构。在升级、维护及开发周期方面,NP架构比ASIC架构更有优势。UTM软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能,通过模式匹配实现特征库统一和效率提升。UTM管理结构基于管理分层、功能分级思想,包含集中管理与单机管理的双重管理机制,实现功能设置管理和数据分析能力。
2.2.3部署IPS与IDS方案IPS是入侵防御系统(intrusionpreventionsystem)的英文缩写,用于监视网络或网络设备上的数据传输,发现异常数据可以即时中断传输或进行隔离,先于攻击达成实现防护,与防火墙功能上互补,并支持串行接入模式,采用基于策略的防护方式,用户可以选择最适合策略达到最佳防护效果。IPS部署在服务区域与内网核心区域之间,或核心交换机与内部服务器之间(如图1所示),可实时监测外部数据向内部服务器的传输过程,发现入侵行为即报警、阻断,同时还能精确阻击SQL注入攻击。IDS是入侵检测系统(intrusiondetectionsystem)的英文缩写,能对网络数据传输实时监视,发现可疑报警或采取其他主动反应措施,属于监听设备,其安全策略包括异常入侵检测、误用入侵检测两种方式,可部署在核心交换机上,对进出内网与内部服务器的数据进行监测,如图1所示。
篇4
关键词:
网络安全;企业网;安全技术;安全威胁
1网络安全技术概述
21世纪信息时代到来,网络充斥于生产与生活,在带来网络便利的同时也引发了网络安全性的思考。网络安全技术的研发成为世界性课题。网络安全技术与网络技术密切相关,其中网络技术起源于20世纪60年代,美国国防部高级研究计划署在1969年提出网络技术概念,形成以ARPANET为主干的网络雏形,并迅速衍生出互联网。进入到21世纪,网络技术飞速发展,网络环境更加复杂与多样,网络安全漏洞、网络黑客入侵层出不穷,网络技术面临物理安全、网络结构、系统安全、管理安全等多个层面的安全考验,网络安全技术应运而生。企业网作为企业的网络组织,是伴随企业发展建立起来的网络组织,可以更好地展示企业产品与形象,是企业文化建设、产品推广、内部管理的重要载体,以期满足企业各方面的发展需求,员工借助企业网获取企业通信资源、处理器资源及信息资源,提升员工对企业价值的认同。但在复杂的网络环境与无处不在的网络黑客攻击下,企业网络岌岌可危,如果缺乏对企业网安全性的高度关注,缺乏有效的网络安全加固措施,企业信息被盗取,企业网络框架被摧毁,给企业带来巨大的经济损失。网络安全技术的重要性也伴随企业网的建构逐渐凸显,因此做好企业网络技术安全管理十分必要。
2我国企业网安全维护现状
信息时代的到来,企业对网络的依赖越来越强,通讯工程与电子信息技术使得互联网的优势更加凸显,企业网建设成为企业发展到一定阶段的必然产物,渗透到企业设计、企业管理、企业宣传的方方面面。由此产生的企业网安全问题也伴随而生,带来的网络安全隐患越来越多,企业网网络安全建设与维护成为世界性话题。纵观企业网安全管理现状,首先企业网络软硬件设施参差不齐,不同的经济实力与产业发展潜力决定企业的网络建设水平及安全性能。企业也不约而同地借助一些网络安全技术满足企业网站安全运行需求,比较常见的网络安全技术有防火墙技术、数据加密技术、入侵检测技术、虚拟局域网技术等。基于网络维护经费的差异,经费不足的企业只能满足基本的网络使用需求,网络安全维护需求难以得到关注与满足。因此总体上来说,我国企业网的安全建设投入不足。此外企业之间技术管理水平也具有明显差异,经济实力强的大型企业聘请专业的网络维护专员参与网站安全管理,而实力较弱的中小企业则缺乏专业网络安全技术人员。网络问题的频发更提出了网络安全管理制度建构的需求,但我国网络立法及管理方面稍显薄弱,企业员工普遍缺乏网络安全意识,网络安全管理制度的落地还有一段距离,整个网络环境亟待健全与完善。
3企业网安全影响因素
3.1来自于网络协议的安全缺陷
网络本身具有自由开放与共享性,网络协议是信息共享的关键与前提。目前最为常用的网络协议有TCP/IP协议,IPX/SPX协议等,以网络协议的达成为前提使得网络信息同步与共享,而网络协议也不可避免地存在安全隐患,其安全与否与整个企业网络息息相关,多数协议在设计时对自身安全性关注不多,因此其很容易受到外界恶意攻击,安全性缺乏保障,使得企业网络安全受到威胁。
3.2来自于软硬件层面的安全缺陷
企业网的正常运行除了安全的网络协议,更需要软硬件的支持。而网络软硬件作为互联网的主要组成,其自身安全性却十分脆弱。软硬件层面的安全缺陷比比可见:网络与计算机存在电磁信息泄露风险,软硬件通讯部分具有一定的脆弱性;通讯线路多数为电话线、微波或者电缆,在数据信息传输的过程中,信息更容易被截取;计算机操作系统本身存在缺陷,影响网络稳定及网站正常运营。而软件的缺陷影响也显而易见。软件缺陷因为其先天特征为主,因此无论是小程序还是大型的软件系统都有这样或那样的设计缺陷,而这些设计缺陷则为病毒黑客的入侵提供了便利,网络病毒以软件形式在企业网中传播,对企业网安全带来威胁。
4企业网安全主要威胁因素
4.1计算机系统设计缺陷
计算机系统是企业网的核心,而计算机系统功能的正常发挥得益于计算机系统程序设计的合理,计算机系统程序设计相对简单,但难点在于后期的维护与定期的升级优化。网络建设不能一蹴而就,网络建构是从不系统不完善到系统完善逐渐过渡的过程,网络建构初期就应该树立系统维护与管理意识,将网络安全融入网络建构的每个环节。通过定期的网络检测,优化程序设计,弥补系统程序设计漏洞,及时发现潜在的系统安全隐患,制定升级优化计划,有条不紊地完善网站,加固网站,提升企业网的安全性能,确保企业信息的妥善储存与调取。在程序优化的基础上奠定企业网系统运作的良好基础。
4.2计算机病毒入侵的威胁
对于企业网来说,除了计算机系统安全威胁外,计算机病毒入侵是来自外部的侵袭之一,计算机病毒侵入网站内部,干扰原有系统程序的正常运行,导致企业网站系统的瘫痪,导致企业重要数据信息的损毁丢失,使得正常运行的企业网产生安全漏洞,引发病毒传播,企业网站彻底瘫痪。计算机病毒具有潜伏性、隐蔽性、破坏性及传染性四大特点,往往潜伏在网站系统中达几年之久,一旦爆发带来始料未及的网络危害,而这种危害是长期潜伏量变累积的结果。计算机病毒的侵袭往往很隐蔽,网站管理人员及网站自身的抵御系统难以及时察觉,不能进行有效的抵御。其破坏性与传染性使得病毒在计算机内部迅速传播复制,波及整个网站,网站瘫痪。除了极强的破坏性与潜伏性外,计算机病毒种类多样,防不胜防,其中比较常见的有木马病毒、蠕虫病毒、脚本病毒,病毒的存在为黑客攻击及信息盗取提供便利,是企业网的巨大威胁因素。
4.3黑客入侵及恶意性攻击
网络攻击简单地理解就是黑客攻击,黑客一般具备较强的计算机识别技术,通过非法攻击计算机系统,获取计算机用户终端的重要信息。黑客网络攻击有几种常见形式,利用虚假的信息对网络展开攻击,利用计算机病毒控制计算机用户终端,借助网页脚本漏洞加强用户攻击,采用口令账号进攻网站系统,最终导致网站用户信息被窃取,重要文件资料被删除,给企业带来巨大的经济损失,而网站原有的稳定性与安全性也不复存在。
4.4借助网络开展诈骗
随着计算机网络使用环境的开放多元,一些不法分子利用网络诈骗推销,这也是企业网站安全威胁之一。部分企业管理人员缺乏必要的网络诈骗警惕心理,轻信诈骗谎言,给企业带来巨大的财产损失。网络运行的前提是操作系统的稳定,虽然现代技术已经实现网站的定期更新,但在更新过程中也不免有网络安全漏洞,这些漏洞成为黑客、病毒入侵网站的入口,企业网站安全性受到威胁。
5网络安全技术在企业网中的应用
5.1网络防火墙技术
防火墙是最常见的网络安全保护技术,在企业网安全性维护方面发挥重要作用。防火墙可以有效应对网络病毒入侵,在企业网的运用中有两种表现形式,分别为应用级防火墙技术和包过滤型防火墙技术。其中应用型防火墙可以起到服务器保护的作用,在完成终端服务器数据扫描后,及时发现不合理的网络攻击行为,系统自动断开服务器与内网服务器之间的联系,借助终端病毒传播形式确保企业网安全。而包过滤型防火墙主要工作任务是及时过滤路由器传输给计算机的数据信息,实现固定信息的过滤,将病毒黑客阻挡在企业网之外,同时第一时间通知用户拦截病毒信息,做好企业网安全屏障保护。
5.2数据加密处理技术
除了防火墙网络安全保护技术外,数据加密技术在企业网安全维护中也有积极作用。对于企业来说,伴随自身发展壮大,其企业网对安全性与可靠性方面要求更高,而加密技术则很好地满足企业上述安全保护需求。通过将企业内网的相关数据作加密处理,数据传输与信息调取只有在密码输入正确的前提下才能执行,通过文件资料的加密处理提升企业网的安全性能。目前对称加密算法和非对称加密算法是比较常见的加密形式,前者要求加密信息和解密信息需一致,后者的加密方法和解密方法则存在较大差异,这两种加密方法都很难被黑客破解,因此在企业网的安全维护中得到了广泛应用。
5.3病毒查杀处理技术
病毒查杀技术是基于病毒对企业网的威胁而产生的网络安全处理技术,其也是企业网安全维护的常用手段之一。病毒对网络的巨大威胁,该技术的安全维护出发点则是网络系统的检测与更新,最大限度降低漏洞出现频率,用户在未经允许的情况下无法下载正规软件。在安装正版病毒查杀软件后应定期清理病毒数据库。筛查用户不文明网页的浏览行为,如果用户下载不明邮件或者软件,立即进行病毒查杀,检验文件的安全性,确保文件资料安全后允许投入使用,防止病毒对企业网及计算机终端系统的损坏。
5.4系统入侵的检测技术
入侵检测技术在企业网安全维护中可以起到早发现早抵制,将病毒黑客等不良因素排斥在企业网之外。入侵检测技术具有诸多优势。其一,可以通过收集计算机网络数据信息开展自动安全检测。其二,及时发现系统中潜在的安全风险,将侵害行为的危害降到最低。其三,企业网一旦受到侵害,自动发出求救报警信号,系统自动切断入侵通道。其四,做好所有非法入侵的有效拦截。入侵检测技术是企业网的整体监督监控,检测准确,效率高,但其会在一定程度上影响加密技术的功能发挥,该技术在对企业网进行入侵检测时,不可避免存在异常检测及误测情况,异常检测面向整个网站资源用户及系统所有行为,检测范围大,其准确性必然受到影响。此外整个企业网检测要求全面覆盖,耗费大量时间,也降低工作效率。入侵检测技术在企业网安全维护中的引入更需要结合企业网运行实际。
5.5物理环境层面的应对技术
外部网络环境安全与否直接影响到企业网的安全性建设,而外部网络环境主要是网络所对应的物理环境,物理环境包括软硬件环境、通讯线路环境、网站运行环境等几个方面,其中通讯线路环境安全特指信息数据在传输线路上不被恶意拦截或者有意篡改,使得信息数据传输更流畅。建议选择安全性高的光纤作为通讯传输介质。运行环境的影响因素主要是意外断电停电。随着信息化程度的加剧,企业对网络产生巨大依赖,一旦意外断电或者停电,企业数据网络中断,信息正常传输受阻,给企业带来不必要的损失。为了提升运行环境的稳定性,企业安装不间断电源可以有效减少停电带来的损失。定期检查通讯线路,确保线路通畅,提供备选冗余线路,在某条线路发生中断时能选择备份线路连接,确保网络传输正常,降低财产损失。
5.6虚拟局域网安全处理技术
虚拟局域网是起源于国外的网络安全处理技术,其中IEEE组织在1999年颁布了虚拟局域网的标准实现协议在交换式局域网中,可以利用VLAN技术将网络设备划分为多个逻辑子网,开展虚拟工作组数据交换。虚拟局域网操作简单,技术灵活,其在OSI参考模型的数据链路层和网络层上,由单一的子网形成特定的逻辑广播域,子网通过网络层的路由器或者三层交换机转化沟通,实现多个网络设备的多层面覆盖,其灵活性体现在其允许处于不同地理位置的网络用户自由添加到逻辑子网中,这种自由并入技术使得虚拟局域网的网络拓扑结构更清晰。
6结语
企业网是社会时代及企业发展的必然产物,反映了信息社会未来发展轨迹。但与网络建设相伴而生的则是网络安全问题,涉及技术、产品及管理多个层面的内容,带有很强的综合性,仅仅依靠单一的防护体系显然不够。本文在分析网络安全技术发展的基础上,明确了当前企业网主要安全影响因素,针对几种比较重要的网络安全技术在企业网安全维护中的作用作了阐述。在分析网络安全问题时更应该从需求出发,将安全产品的研发与技术结合起来,运用科学的网络管理方法,建构更加系统、高效、安全的企业网络体系。
作者:陈张荣 单位:苏州高等职业技术学校
[参考文献]
[1]王蔚苹.网络安全技术在某企业网中应用研究[D].成都:电子科技大学,2010.
[2]何向东.网络安全管理技术在企业网中的应用[J].微型电脑应用,2013(1):52-53.
篇5
一、企业网络安全的隐患
(一)网络系统中存在安全隐患
目前,现代企业网络大多采用以广播技术为基础的快速以太网的类型,传输协议通常为TCP/IP协议,站点以CSMA/CD机制进行传输信息,网络中各个节点之间的通信数据包,不仅能够被这两个节点所接受,同时又无法避免地被处在同一以太网上的任何一个节点的网卡截取。因此,只要能够接入以太网上的任一节点进行侦听,就可以捕获在该以太网上的所有信息,对侦听到信息加以分析,就能窃取到关键信息。这是企业网络安全存在的普遍安全隐患。通常,大多数企业由于网络建设经费的不足,没有相应的网络安全设备,对企业的网络安全也没有有效的安全措施和防范手段。
(二)缺少专业的网络技术管理人员
企业大多都没自己专业的网络技术管理人员。企业对网络的出口、网络监控等都缺乏有效的技术管理,而且企业内部上网用户的这也存在着极大的安全隐患。
(三)电子邮件的收发系统不完善,缺乏安全管理和监督的手段
企业收发电子邮件是网络办公的基础活动,但是这些活动也是最容易感染病毒和垃圾的。而企业大多在公司内部网络中没有设置邮件过滤系统。对邮件的监督和管理都不完善,同时,这也不符合国家对安全邮件系统提出的要求。即使出现了侵害企业利益的事件也无法及时有效地解决。
(四)网络病毒的肆虐。只要连通网络便不可避免的会受到病毒的侵袭。一旦沾染病毒,就会造成企业的网络性能急剧下降,还会造成很多审要数据的丢失,给企业带来巨大的损失。
二、加强对企业网络安全的管理
(一)建立健全企业关于络安全的规章制度
只有建立了完善的规章制度,企业的各项工作才能得以顺利开展。企业要针对网络的安全责任和惩戒措施做出详细的书面规定,并进行相关制度的学习工作,让企业内部的员工都对网络安全的规章制度有所了解。对违反制度的人员要进行严历处罚,同时,企业还要建立并完善企业内部的安全保密制度。
(二)规范企业网络管理员的行为
企业内部安全岗位的工作人员要经常进行轮换工作,在公司条件允许的情况下,可以每项上作指派两到三入共同参与,形成制约机制。网络管理员每天都要认真的查看日志,通过问志来清楚的发现有无外来人员进入公司网络,以便做出应对策略。
(三)规范企业员工的上网行为
根据每个员工的上网习惯不同,很多员工会把在家里使用电脑的不良习惯带到公司里来。这就要求企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的软件尽量不要安装,同时,还要培养企业员工的网络安全意识,注意病毒的防范和查杀的问题,增强计算机保护方丽的知识。
(四)加强企业员工的网络安全培训
企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以任何两有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
三、企业网络安全的维护措施
(一)使用防火墙技术。防火墙技术采用的核心思想是在相对不安全的网络环境中建构一个相对安全的子网,也是目前国际上最流行、使用范围最广的一种网络安全的技术。防火墙可以监控进出网络的通信数据,让允许访问的计算机和数据进入内部网络,将不允许进入计计算机的数据拒之门外,限制一般人员访问内网及特殊站点,最大限度地阻止网络中的黑客访问企业内部网络,防止他们更改、拷贝、毁坏重要信息。因此,防火墙可以有效阻挡外网的攻击。目前,为了提高企业网络的安全性,企业网络中的防火墙设置一般遵循以下原则:依照企业的网络安全策略及安全日标,设置有效的安全过滤规则,严格控制外网不必要的访问;配置只允许在局域网内部使用的计算机的IP地址。供防火墙识别,以保证内网中的计算机之间能正确地迸行文件或打印机等资源的共享。
(二)数据加密技术。企业如果要通过外网传送一些比较重要的机密文件和数据,则必须使用加密技术对文件和数据进行保护。加密技术和防火墙技术的配合使用,可以大幅度提高信息系统和数据的安全性,有效地做到防止文件和数据外漏的危险。
篇6
1当前网络存在的主要安全威胁因素
1.1安全漏洞。只要有漏洞,应该就存在漏洞,几乎每天都有新的漏洞被发现,程序设计员在修补已知漏洞时,又可能产生新的漏洞。现在各类的操作系统和应用软件都会有不同程度的漏洞存在,虽然操作系统的无口令入口为系统开发人员带来了便捷,但是它也成为黑客进入的通道。并且操作系统可能还存在一些隐蔽通道,给黑客以可乘之机。同时,这些操作系统中都包括了各种通用的服务供应户使用,而它具有一定的专属性,假如安装时没有关闭一些不相关的服务,就可能成为黑客进入的渠道。对于一些不怀好意的人,他们都有可能利用这些漏洞向企业网络发起攻击,从而使某个甚至整个网络丧失功能,威胁到企业的网络安全。1.2病毒感染。计算机病毒就像人体感冒发烧,也会出现相应的身体排斥的现象。在当代社会中,人们通过下载带有病毒的软件,让自己的电脑在无形中感染病毒,或者在没有查杀病毒的前提下通过U盘实行资源共享,同样也会造成病毒感染。可以说,有计算机的地方,就有出现计算机病毒的可能性。它随着计算机网络技术的发展而发展,现在的计算机病毒更具有隐蔽性,其破坏性更大,传播速度更快。当然,病毒的“毒性”不同,所产生的负面影响也就不同。轻者只会出现警告信息,重者则会破坏或危及个人计算机乃至整个企业网络的安全。按其种类可分为一下几种:木马病毒,蠕虫病毒,脚本病毒,间谍病毒。病毒往往在计算机的后台强制运行,让人防不胜防。1.3黑客攻击。网络作为一个开放式的资源共享平台,一些重要的企业机密和很高商业价值的文件成为黑客的攻击对象,它往往决定着一些企业的生存命脉,竞争对手往往会盯住了这部分商机,通过黑客的力量进行网络攻击得到资源。非法入侵企业网络系统,不管动机是什么,对企业的网络安全危害都是非常大的。黑客故意篡改网络信息,利用企业机密文件进行不法交易和冒充,干扰破坏数据加密过程中的信息互通,这些行为严重影响网络安全的行为,成为企业信息化、网络化发展的最大阻碍。1.4内部窃取和破坏。内部人员对网络系统可能会造成以下威胁:内部人员有意或无意泄密,更改信息记录;内部非授权人员有意或无意偷盗机密文件,更改网络配置和记录信息;内部人员破坏网络系统。1.5其他威胁。对网络系统的的威胁还包括电磁泄漏、设备失效、线路阻断、停电、操作失误。
2计算机网络安全的措施
2.1安装防火墙。防火墙作为计算机网络安全技术,已经广泛应用到企业当中。防火墙技术可以从根本上防范和控制计算机病毒。现阶段,防火墙可分为两种形式:应用级防火墙和包过滤防火墙。应用性防火墙可以保护服务器的安全,通过扫描服务器终端的数据,发现异常数据对计算机的攻击后,及时断开企业网与服务器的联系,来保护企业网不受病毒的侵害。包过滤防火墙通过及时过滤路由器传输给计算机的数据,阻挡病毒进入计算机,并通知计算机用户对病毒进行拦截,保护企业网的安全。2.2数据加密。数据加密技术是保证企业网络安全的另一计算机安全技术。该项技术可以对企业网内的数据信息进行加密,在数据传输和接收时必须要输入正确的密码,从技术上提高了企业数据信息的安全。所以,企业如果想要保证和提高其数据信息的安全,必须在企业网中加强对数据加密技术的使用,数据加密通常会用到以下两种算法,一是对称加密算法,即保持加密方法和解密方法的一致;二是非对称加密算法,即加密方法和解密方法的不一致性,以上两种加密方法已经广泛应用到企业当中2.3病毒查杀。及时进行病毒查杀也是提高企业网的网络安全的另一方法。计算机病毒对计算及终端设备和计算机网络的危害极大,可能会造成网页脚本病毒、计算机数据信息被盗或丢失、计算机系统瘫痪等,使用病毒查杀软件可以及时检测和更新计算机的操作系统,修补系统漏洞、对网页病毒进行拦截,更新病毒数据库信息,对下载的文件等进行病毒查杀后在进行查看和使用,以防止计算机病毒对计算及终端设备的损害2.4入侵检测。入侵检测对企业网的安全有非常重要的意义,它会在不影响企业网络正常运行的情况下,对网络运行的情况进行检测,入侵检测不仅可以收集计算机相关的数据信息,而且还可以对计算机内可能存在的侵害进行自动寻找,在计算机受到侵害时,它会对计算机用户发出警报,并切断入侵的途径,对其进行拦截,所以,入侵检测技术可以加强计算机的抗攻击性。入侵检测技术包括误用检测和异常检测。误用检测误报率低,响应快,而异常检测的误报率高,检测时需要全盘扫描计算机,两种入侵检测均需要较长的检测时间。2.5企业内部加强网络信息安全的规章制度的建立。企业根据其实际情况,遵照相关的规定,制定出符合本公司的全面规范,切实可行的安全管理制度。例如:计算机日常使用规范、岗位责任制度、责任追究制度、岗位责任制度等,管理制度中应明确描述出所有信息技术人员以及信息系统使用人员的网络信息安全职责和信息系统的使用规范,规范网络信息系统规范流程,减少人为操作失误。通过规章制度的建设,以制度管人,靠制度管事,为企业网络安全建立强有力的依据和有效的保障。2.6加强网络安全考核力度。企业不仅建立网络信息安全的规章制度,还应实行网络信息安全考核制度,采取适合企业自身的考核方式,使规章制度的制定落到实处,而不是形同虚设。把网络信息安全作为企业员工年终考核的重要指标之一。在检查到有违反其相关制度或网络安全事件发生后,负责网络信息安全的监督部门应对相关事件的发生原因,严重程度,损失,性质等进行调查确认,形成分析评价资料,对其责任人进行相应的处罚2.7环境、设备及介质安全。检测机房及相关设备是否安全;观察环境与人员是否安全,预防自然灾害。考虑计算机的防盗、防毁、防电磁泄漏发射、抗电磁干扰及电源保护等。防止媒体自身的防盗、防毁、防霉,以及数据的盗取、破坏或非法使用。
3结语
企业信息化建设已经成为这个时代不可或缺的产物,为各个企业带来了极大的便利,它是企业发展的必要条件,也是企业发展的必要前提。所以在市场经济发展的今天,企业想要在激烈的市场竞争中取得优势,就必须大力发展其网络文化,当然在发展企业网络的同时,还应加强对网络安全的管理,提高企业网络系统的安全性,以提高企业的效益。
参考文献
[1]韩加军.企事业及政府机关单位网络安全解决方案[J].科技风,2013
[2]李长英.企业内部网络的规划设计与实现[D].吉林大学,2013
篇7
【关键词】网络安全技术 解决方案 企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
篇8
中国拥有四千万中小企业,据权威部门调研发现,90%以上的中小企业至少都已经建立了内部网络。但是,随之而来的,就是企业内部网络的安全性问题。多核、万兆安全、云安全这些新技术对于他们而言或许过于高端,中小企业应该如何进行网络安全管理?又该从哪入手呢?
1 企业内部网络建设的三原则
在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。
原则一:最小权限原则
最小权限原则要求我们在企业网络安全管理中,为员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。
如企业现在有一个文件服务器系统,为了安全的考虑,我们财务部门的文件会做一些特殊的权限控制。财务部门会设置两个文件夹,其中一个文件夹用来放置一些可以公开的文件,如空白的报销凭证等等,方便其他员工填写费用报销凭证。还有一个文件放置一些机密文件,只有企业高层管理人员才能查看,如企业的现金流量表等等。此时我们在设置权限的时候,就要根据最小权限的原则,对于普通员工与高层管理人员进行发开设置,若是普通员工的话,则其职能对其可以访问的文件夹进行查询,对于其没有访问权限的文件夹,则服务器要拒绝其访问。
原则二:完整性原则
完整性原则指我们在企业网络安全管理中,要确保未经授权的个人不能改变或者删除信息,尤其要避免未经授权的人改变公司的关键文档,如企业的财务信息、客户联系方式等等。
完整性原则在企业网络安全应用中,主要体现在两个方面。一是未经授权的人,不能更改信息记录。二是指若有人修改时,必须要保存修改的历史记录,以便后续查询。
原则三:速度与控制之间平衡的原则
我们在对信息作了种种限制的时候,必然会对信息的访问速度产生影响。为了达到这个平衡的目的,我们可以如此做。一是把文件信息进行根据安全性进行分级。对一些不怎么重要的信息,我们可以把安全控制的级别降低,从而来提高用户的工作效率。二是尽量在组的级别上进行管理,而不是在用户的级别上进行权限控制。三是要慎用临时权限。
2 企业内部网络暴露的主要问题
2.1 密码单一
2.1.1 邮件用统一密码或者有一定规律的密码
对于邮件系统、文件服务器、管理系统等等账户的密码,设置要稍微复杂一点,至少规律不要这么明显,否则的话,会有很大的安全隐患。
2.1.2 重要文档密码复杂性差,容易破解
纵观企业用户,其实,他们对于密码的认识性很差。有不少用户,知道对一些重要文档要设置密码,但是,他们往往出于方便等需要,而把密码设置的过于简单。故我们对用户进行网络安全培训时,要在这方面给他们重点提示才行。
2.2 网络拥堵、冲突
2.2.1 下电影、游戏,大量占用带宽资源
现在不少企业用的都是光纤接入,带宽比较大。但是,这也给一些酷爱电影的人,提供了契机。他们在家里下电影,下载速度可能只有10K,但是,在公司里下电影的话,速度可以达到1M,甚至更多。这对于喜欢看电影的员工来说,有很大的吸引力。
2.2.2 IP地址随意更改,导致地址冲突
有些企业会根据IP设置一些规则,如限制某一段的IP地址不能上QQ等等一些简单的设置。这些设置的初衷是好的,但是也可能会给我们网络维护带来一些麻烦。
2.3 门户把关不严
2.3.1 便携性移动设备控制不严
虽然我们公司现在对于移动存储设备,如U盘、移动硬盘、MP3播放器等的使用有严格的要求,如要先审批后使用,等等。但是,很多用户还是私自在使用移动存储设备。
私自采用便携性移动存储设备,会给企业的内部网络带来两大隐患。
一是企业文件的安全。因为企业的有些重要文件,属于企业的资源,如客户信息、产品物料清单等等,企业规定是不能够外传的。二是,若利用移动存储设备,则病毒就会漏过我们的设在的病毒防火墙,而直接从企业的内部侵入。
2.3.2 邮件附件具有安全隐患
邮件附件的危害也在慢慢增大。现在随着电子文档的普及,越来越多的人喜欢利用邮件附件来传递电子文档。而很多电子文档都是OFFICE文档、图片格式文件或者RAR压缩文件,但是,这些格式的文件恰巧是病毒很好的载体。
据相关网站调查,现在邮件附件携带病毒的案例在逐年攀升。若企业在日常管理中,不加以控制的话,这迟早会影响企业的网络安全。
3 企业内部网络的日常行为管理
由于组织内部员工的上网行为复杂多变,没有哪一付灵药包治百病,针对不同的上网行为业界都已有成熟的解决方案。现以上网行为管理领域领导厂商深信服科技的技术为基础,来简单介绍一下基本的应对策略。
3.1 外发Email的过滤和延迟审计。
防范Email泄密需要从事前和事后两方面考虑。首先外发前基于多种条件对Email进行拦截和过滤,但被拦截的邮件未必含有对组织有害的内容,如何避免机器识别的局限性?深信服提供的邮件延迟审计技术可以拦截匹配上指定条件的外发Email,人工审核后在外发,确保万无一失。
事后审计也不容忽视。将所有外发Email全部记录,包括正文及附件。另外由于Webmail使用的普遍,对Webmail外发Email也应该能做到过滤、记录与审计。
3.2 URL库+关键字过滤+SSL加密网页识别。
通过静态预分类URL库实现明文网页的部分管控是基础,但同时必须能够对搜索引擎输入的关键字进行过滤,从而实现对静态URL库更新慢、容量小的补充。而对于SSL加密网页的识别与过滤,业界存在通过SSL加密流量、解密SSL加密流量的方式实现,但对于组织财务部、普通员工操作网上银行账户的数据也被解密显然是存在极大安全隐患的。深信服上网行为管理设备通过对SSL加密网站的数字证书的进行识别、检测与过滤,既能满足用户过滤 SSL加密网址的要求,同时也不会引入新的安全隐患。
3.3 网络上传信息过滤。
论坛灌水、网络发贴、文件上传下载都需要基于多种关键字进行过滤,并应该能对所有成功上传的内容进行详细记录以便事后查验。但这是不够的,如藏污纳垢的主要场所之一的互联网WEB聊天室绝大多数都是采用随机动态端口访问,识别、封堵此类动态端口网址成为当下上网行为管理难题之一,只有部分厂商能妥善解决该问题,这是用户在选择上网行为管理网关时需要着重考虑的问题。
3.4 P2P的精准识别与灵活管理。
互联网上的P2P软件层出不穷,如果只能封堵“昨天的BT”显然是不足的。在P2P的识别方面深信服科技的P2P智能识别专利技术――基于行为统计学的分析的确有其独到之处。基于行为特征而非基于P2P软件本身精准识别了各种P2P,包括加密的、不常见的、版本泛滥的等。有了精准识别,这样的设备对P2P的流控效果格外出众。
篇9
引言
由于Internet的迅速发展和普及,接入Internet的组织、企业和机构等的不断增加,这也增加了来自互联网的不安全因素。网络是一个虚拟的社会,在很多方面与真实的世界有惊人的相似。在虚拟社会中,也存在有各种各样的冲突和矛盾,同样网络也面临着如病毒、垃圾邮件和不良Web内容等。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。据国际计算机安全协会(简称ICSA)调查,在全球有99%以上的病毒是通过POP3、SMTP和HTTP协议传播的。面对如今Internet网上众多的不安全因素,传统的功能单一网络安全产品已经不能满足企业的安全需求了,企业需要一个整体式的网络方案。
1 网络不安全因素分析
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。在网络攻击类型中看到,攻击者的攻击对象有两类,一类传输中的网络数据;另一类是系统。针对系统的攻击又可以进一步分为两种:一种以获取或者更改系统的数据为目的,另一种是DoS(Denial of Service)攻击,也就是让网络中的重要系统停止服务。针对不同的攻击应该采用相应的网络技术来予以防范。
攻击传输中的数据有多个目的,其一为获得数据内容;其二为更改数据,破坏数据的完整性;其三为分析数据流。保护传输中数据的机密性和完整性的方法有多种,可以在应用层(或者会话层传输层)上实现,也可以在网络层上实现或者物理(数据)链路层上实现。下面是一个示意图:
图1 网络传输中的攻击路线
2 企业网络的基本应用
企业不断发展的同时其网络规模也在不断的扩大,由于其自身业务的需要,在不同的地区建有分公司或分支机构,本地庞大的Intranet和分布在全国各地的Internet之间互相连接形成一个更加庞大的网络。这种网络应用系统,主要包含WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。从整个网络系统的管理上来看,既有内部用户,也有外部用户。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
3 VNP的设置与应用
3.1 VNP的应用
由于大部分企业中心内部网络都是这种情况:存在两套网络系统,其中一套为企业内部网络,为本行业、本系统的内部办公自动化和业务处理系统服务;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。那么如何在这种模式下进行VPN的设置是网络安全保障首先要解决的问题。这种模式下INTERNET缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。
3.2 ISA Sever及其与VNP的集成
图 2 VPN与ISA Server集成
ISA Server的企业策略是在一个组织的总部级别进行配置的,而且可以应用到所有阵列或任一阵列中。阵列策略是在分支级别进行配置,而且可以继承企业策略。对任何给定的阵列来说,ISA Server允许应用企业策略、阵列策略或者同时应用两者。在这里可以通过集成ISA Server和VPN来实现对企业网络的安全保障。本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个VPN信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用VPN连接。
4 建立病毒防护体系
对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。
基本的技术包括网络安全技术,比如身份验证、访问控制、安全协议括:行为监视、变化检测和扫描等等。需要对计算机进行好防毒的工作,应用瑞星、卡巴等杀毒软件来实时地监控。此外,一台接入网络的计算机之所以能够被蠕虫病毒侵入,是因为操作系统或者应用软件存在漏洞。这些漏洞就像是墙上的一个个大洞,尽管大门紧锁,但是小偷还是可以轻而易举地从这些大洞爬进房间。所以我们需要将这些漏洞补上“补丁”。
防火墙是目前一种最重要的网络防护设备。选择一款功能强大的防火墙对我们的企业网络安全保障有着重要意义。比如瑞星可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
参考文献:
篇10
1 计算机网络自身存在的安全缺陷
计算机网络发展十分迅速,技术也在不断地完善之中,但是由于其是一个极为庞大,且分布范围极广的网络体系结构,因此其自身必然会存在着各种缺陷,因此对于计算机网络安全会造成各种不确定的风险因素。计算机网络安全技术主要是以保护计算机上的数据以及计算机硬件与软件而形成的一种计算机技术,因此探讨网络安全技术必须从网络自身存在的安全隐患出发,网络存在的安全隐患主要可以分为以下两方面:
1.1 网络硬件存在的问题
硬件设备是计算机网络所不可或缺的组成部分,但是其自身存在的安全隐患,直接对计算机网络造成了十分严重的影响。硬件隐患主要可以分为以下几种:第一种是电子辐射隐患,所谓电子辐射隐患是指计算机上的数据一般是以电磁信息的方式存在的,这种信息在传播的过程中存在着泄密的可能性,由于其泄密的途径较为隐蔽,往往难以预防。第二种是通信方面的安全隐患。计算机在进行数据交换和数据交换的过程中,其所采用的主要载体是光缆,电话线,专线以及微波等,这些载体中只有光缆是较为安全的,其他几种传播方式都存在着被窃取和泄漏的可能性。此外,计算机的错误操作以及移动存储介质,例如U盘、移动硬盘等,都可能导致企业内部信息外泄,或是病毒对企业网络造成攻击破坏。
1.2 操作系统存在的安全隐患
操作系统作为计算机系统的主要组件,其是数据处理与数据传输的主要平台。操作系统的发展在某种程度上等同于计算机技术发展,尽管操作系统一直在不断地完善与改进,但是其自身的缺陷往往给计算机网络造成十分严重的影响。例如Windows在远程调用中存在的RPC漏洞,Linux存在的缓冲区溢出等问题。由此可见,操作系统中的某些软件如果存在安全缺陷的话,对整个系统的安全性也会造成不可估量的影响,因此必须引起高度的重视。
1.3 软件方面存在的隐患
软件一般被认为应用程序,其是数据处理的主要工具,软件在开发的过程中,或多或少会存在一些缺陷,也就是所谓的安全漏洞,这些漏洞可能会被黑客利用,成为攻击系统与网络的一个切入点。例如微软公司开发的Office系列,以及Oracle公司开发的数据库软件,近年来都出现过安全事件。因此企业应该高度重视,这些公司所的安全预警。软件缺陷为应用软件致命的缺陷,这些缺陷既对小程序有影响,也对大软件有着影响,因而严重的威胁了生命和财产。
2 计算机网络受攻击的主要形式
开放性、互连性是计算机网络所具有的典型特征,因此其极易受到病毒、黑客、以及其他网络程序的危害。因此,为了确保网络信息的安全性、完整性以及可用性,应该采用必要的安全技术加强网络安全防范,但是不同的问题,应该采用不同的措施,这是一个重要的基本原则,所以有必要认识主要的网络安全隐患有哪些。
2.1 针对系统漏洞的攻击
正所谓百密一疏,即便是最为精巧的计算机系统也存在着细微的缺陷,这就给一些不法之徒留下了可乘之机。黑客一般会通过恶意代码的方式,通过系统漏洞,或是所谓的后面侵入到计算机系统中,然后对主机发动攻击或是控制主机,窃取主机上的信息。作为企业应该及时更新系统补丁,采用安全扫描工具,或是购买硬件、软件防火墙等设备加强系统安全。
2.2 欺骗技术攻击
路由条目,IP地址、DNS解析地址等通常都会成为黑客攻击系统的重要目标,黑客一般会采用欺骗技术,例如虚构IP地址,冲入网关,然后对服务器发动攻击,造成服务器瘫痪,导致缓冲区的资源阻塞或,严重情况下,造成系统死机。有些攻击是将网络中的某台计算机的IP地址转换成网关地址,从而造成数据包的发送障碍,或是在局域网中发起ARP攻击等等。
2.3 “黑客”的侵犯
“黑客”是指利用系统漏洞等方式,非法植入对方计算机系统,它具有非常强的破坏性、隐蔽性和非授权性,黑客一定植入计算机,就可以完全掌控用户的主机。黑客攻击主要的目有窃取用户的账号、密码,或是阻碍用户正常使用系统,黑客往往会采取篡改主页,破坏程序等方式,对网络造成破话。由于黑客攻击是动态性的,且攻击模式无法确定,因此其给网络造成的危害,比计算机病毒更为可怕。
2.4 计算机病毒攻击
计算机病毒对网络安全的影响具有一定的特殊性,首先其具有高度的隐蔽性,用户往往无法主动察觉系统已经感染了计算机病毒,其次是其潜伏性,例如木马病毒一般长期潜伏在系统中,并不会对系统的正常运作造成影响,但是会窃取系统信息,造成破坏。因此企业应该对网络病毒引起高度重视,预防可以从硬件与软件两方面入手,在最大程度上避免和减轻病毒给个人和计算机造成危害。
3 加强计算机网络安全的对策措施
3.1 网络安全的审计和跟踪技术
网络安全审计技术与跟踪技术对于主业务流程不产生直接的影响,它主要是通过记录、检查、监控主业务,并且针对其完整性以及安全性进行审计评估。目前主要的审计与跟踪技术有入侵检测技术,漏洞扫描技术,以及安全审计技术等。入侵检测是最为基本,也是最为有效的审计与跟踪技术,一般可以分为针对主机的入侵检测以及针对网络的入侵检测。入侵检测通过采集,分析系统以及网络中的数据,从而发现其中是否存在违反安全策略或是是否收到过攻击,并且自动采取相应的安全措施,从而保护系统以及网络的安全。此外,它还可以保护内部攻击、外部攻击和误操作。
3.2 运用防火墙技术
防火墙技术是当前应用最为广泛的网络安全技术,其通过在计算机内部,或是在网络中的某个位置上设置一个相对安全的子网环境,从而阻挡针对系统或是网络的攻击,从而维护网络的安全。防火墙的主要优点在于,一是可以控制两个网络之间的访问策略,二是保护网络与互联网络之间的限制。防火墙的体系结构有下列三种:1)双重宿主主机体系结构。此结构为最基本的防火墙结构,其主机具有双重宿主功能。主机充当路由器,可连接内外网络,可将IP数据包从一个网络发送到另一个网络。此防火墙离不开主机,所以其主机需承载在较大的负担,其重要性也是不可忽略的。若只需进行IP层过滤,就只要将IP包的ACL控制插在两块网卡之间转发的模块。但是如果要控制应用层,就需要在这台双宿主主机上设置,所有的应用不需先连接后主机才能进行。2)屏蔽主机体系结构,也被称为主机过滤结构,其内部网络主机之间的服务,主要有由一个单独的路由器来提供。此体系结构中,数据包过滤系统为其提供主要的安全机制。相比双重宿主主机体系结构,此结构允许数据包从Internet上进入内部网络,所以要求其路由器的配置也比较高。
3.3 数据加密技术
数据加密技术是一种古老的数据安全技术,其主要是通过对信息重新编码与解码,从而将真是的信息内容隐蔽起来,从而不让非法用户获得真实的信息。数据加密技术对于防止非法用户获取数据具有十分明显的作用,并且其使用的范围十分广泛,例如可以应用于数据存储,数据传输中。此外,数据加密技术还可分为密文存储和存取。而数据传输加密技术的主要目的是为了加密传输中的数据流。
3.4 网络病毒的防范
网络中的病毒传播扩散速度非常快,单机防病毒产品,不能对网络病毒进行彻底清除,因此对于学校、政府机关,以及企事业单位等采用局域网的单位组织,应该采用专门的网络病毒防范工具。企业用户的防毒一般应该从硬件与软件两方面入手,在硬件方面安装硬件杀毒工具,软件方面要采用正版的杀毒程序。此外,由于系统是与互联网相连接的,有些病毒一旦与网络连接就会与远程服务器连接,从而传输大量病毒文件,因此在网关上必须要设置防病毒软件。此外,电子邮件也是极容易传播病毒的,因此必须在电子邮件系统中增加病毒过滤软件。这样可辨别电子邮件中和附近中隐藏的病毒。因此,只有使用全方位、多层次的防病毒系统的配置,且此系统可以进行定期或不定期自动升级,及时修复计算中的漏洞和补丁,彻底保障计算机免受病毒的危害。
4 结语
企业的发展离不开企业的信息的保密及安全的办公,只有建立保密、安全的企业办公软件,才能促进企业的飞速发展。所以,企业领导阶层和使用者必须重视计算机存在的各种安全隐患,并针对这些安全隐患采取相应的解决措施。由于信息数据的安全隐患既表现在局域网又表现在因特网上,而面对人为和技术的干扰,怎样实现信息数据安全的最大化,已经成为计算机网络安全技术发展的一重要问题。
参考文献:
篇11
随着计算机和互联网技术的不断普及,数据加密技术成为网络安全中最重要的技术。数据加密技术也广泛应用于以计算机为主导的化工企业的数据传输交换中。
1数据加密技术的种类及其表现方式
化工企业中经过数据加密技术处理过的信息,需要经过密钥和解密函数的转化才能够使用,而没有这个密钥或者解密函数就会得到乱码或者无法打开。
1.1数据加密技术的种类
1.1.1对称式加密技术
对称式加密也称为单密钥加密,是一种最简洁,最快速的加密技术,信息的加密和解密使用同一个密钥,由于它的效率高,因此被广泛应用于很多加密协议的核心当中。但是因为发送和接受双方拥有同一个密钥,所以只有双方在没有泄露密钥的前提下,才能够保证传输数据的安全性、完整性。对称加密的难就是密钥的管理问题,通常是把对称加密的密钥通过非对称式加密传输给接收方,保证在传输中不会被黑客截获,即便被截获也不会被破译。化工企业中的邮件加密、图纸和条件加密基本都是使用对称式加密传输的方式[1]。
1.1.2非对称式加密技术
非对称加密技术是需要两个密钥来进行加密和解密,即公开密钥(公钥)和私有密钥(私钥)。如果用公钥对数据进行加密就必须用对应的私钥进行解密;如果用私钥对数据进行加密就必须用对应的公钥进行解密。这种加密技术虽然安全性高,但是加密解密的速度比较慢,因此在实际的工作中大多数采用的方法是将对称式加密中的密钥使用非对称是加密的公钥进行加密,发送给接收方再使用私钥进行解密,得到对称式加密中的密钥。双方可以用对称式加密进行沟通,这样即安全又快捷。非对称加密技术可应用于数据加密,在身份认证、数字证书、数字签名等领域也有广泛的应用。
1.2数据加密的表现方式
随着化工企业设计过程数字化、信息化的不断发展,各类数据在设计人员内部之间流转,设计成果的可复制性虽然提高了效率,但是也出现了数据安全问题。海量的图纸、邮件、条件、信息在传输中面临被盗取、丢失的风险,令企业和业主蒙受巨大损失。假如被竞争对手掌握后果不堪设想。
1.2.1链路加密
链路加密又称为在线加密。它是同一网络内两点传输数据时在数字链路层加密信息的一种数字保密方法。在主服务器端的数据是明文的,当它离开主机的时候就会加密,等到了下个链接(可能是一个主机也可能是一个中集节点)再解密,然后在传输到下一个链接前再加密。每个链接可能用到不同的密钥或不同的加密算法。这个过程将持续到数据的接收端。链路加密掩盖了被传送消息的源点与终点,非法入侵一般很难截获明文信息,所以保证了数据的安全性[2]。
1.2.2节点加密
节点加密在数据网络传输形式不会以明文出现,而是以再加密的方式将数据再次传输到通道中,避免了黑客入侵者对信息的盗取和修改。但是节点加密要求源点和终点要以明文形式出现,因此也存在一定的缺陷。
1.2.3端端加密
端端加密又称为脱线加密。端端加密从源点到终点一直以密文的形式传输数据,数据在到达终点之前也不会进行解密,因此即使在节点处有非法入侵也不会泄露数据[3]。例如某化工企业中,员工500多名,业务遍布全国各省自治区,数据的传输不仅限于局域网,更遍及全国各地,每天员工和客户的往来邮件和图纸等数据无数,而这些数据都是以明文的形式存储在个人或者单位计算机系统中,在传输过程中必须要对这些文档、图纸加密、设置权限等,防止设计成果的泄漏。采用端端加密的方式能更安全更高效的保证数据和系统的安全。
2影响化工企业网络数据安全的因素
核心数据是化工企业的命脉。通过建立完善的信息安全系统,保护化工企业核心数据尤其是企业商业机密,防止从内部泄密,已经成为众多企业的共识。企业从信息系统的安全性、稳定性和可靠性等方面为基点,以数据安全为目标,纷纷构建企业数据防泄密体系[4]。
2.1软件漏洞
现在的软件为了方便企业和个人的交流都会有很好开放性和共享性,但是正因为此,软件的安全问题也凸现出来。通常使用的TCP/IP协议,在网络协议验证上并没有过多安全要求,这也避免不了网络安全问题的出现。再有浏览器的使用过程中也会对用户信息造成泄漏。这就要求我们在平时要采用正版软件并注意及时更新软件,减少软件漏洞的出现。
2.2操作系统漏洞
操作系统是整个计算机的核心,如果病毒侵入后就能随意操作计算机系统,盗取用户信息。病毒还能利用木马程序监控用户信息传送,更严重的能使服务器崩溃。在化工企业的网络中心应该及时升级操作系统并安装补丁,缩小风险。
2.3计算机病毒
病毒能够破坏计算机软件、资料甚至计算机硬件,使得计算机不能正常使用。随着计算机网络共享的不断发展,病毒的蔓延更加快速,轻者使得电脑运行缓慢,严重的导致死机、崩溃、数据丢失等。化工企业网络中心应该在服务器上及个人电脑上安装正版网络版杀毒软件,并及时更新病毒库,防止计算机被病毒感染。
2.4黑客入侵
黑客主要是利用计算机系统的安全漏洞,采用非法监测等手段侵入电脑,盗取计算机中的私密数据。黑客入侵主要是人为的对计算机进行攻击,所以其危害性比病毒更严重。平时要避免不明来历的下载,减少共享设置等[5]。数据加密技术突飞猛进,要求对数据进行高强度加密和对使用者透明的解密,防止各种泄密情况的出现,并且还要求操作简便、应用方便、无痕处理。数据加密采用内核驱动级文件加密技术,256位高强度加密算法。在单位内部文件可以正常流转,一旦离开单位网络,文件显示乱码或者打开失败。这样就实现了设计图纸加密、研发数据加密、客户资料加密等。真正意义上保障了企业数据的安全性。
作者:王欣 单位:天津渤海化工集团规划设计院
参考文献:
[1]朱岩.浅谈数据加密技术在计算机网络安全中的应用[J].工程与技术.2012:10-12.
[2]邵雪.数据加密技术在计算机网络安全领域的应用探讨[J].电子商务.2014:34-35.
篇12
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
篇13
引言:企业网络安全已成为当今值得关注的问题,它的重要性是不言而喻的,黑客窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值。因此,如何保障企业网络的安全变得重要起来。
1.企业网络现状分析
公司的发展壮大使其企业布局发生了巨大的变化。随着公司发展,需要重新规划:其网络结构。存在着远端数据收集困难,病毒威胁、黑客入侵、垃圾和病毒邮件威胁,带宽利用率低等
问题。
(1)病毒威胁,病毒是网络安全最大威胁,每年给各种企业带来的损失巨大,使所有企业都对病毒“谈毒色变”。
(2)ARP攻击威胁,ARP本是网络体系结构中的一个协议,这个协议关系到计算机网络通信必不可少的两个地址IP与MAC地址的转换功能。
(3)通过网络方式泄露企业机密,造成企业损失。网络在成为羲要交流工具的同时也成了重要的泄密渠道。
2.企业局域网安全防范方案
(1) 防火墙技术安全配置。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。包过滤防火墙工作在网络层上,有选择的让数据包在内部网络与外部网络之间进行交换。一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。服务防火墙也有一定功效,是一种增加了安全功能的应用层网关,位于internet和intranet之间,自动截取内部用户访问internet的请求,验证其有效性,代表用户建立访问外部网络的连接。服务器在很大程度上对用户是透明的,如果外部网络个站点之间的连接被切断了,必须通过服务器方可相互连通。
(2)攻击检测技术及方法。网络系统的安全性取决于网络系统中最薄弱的环节,所以要及时发现并修正网络中存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。这样,防火墙将得到合理配置,内外WEB站点的安全漏洞减为最低,网络体系达到强壮的耐攻击性,对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),一般包括控制台和探测器,也不会对网络系统性能造成多大影响。
(3)审计与监控技术实施。由于企业需要的是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏提供有力的证据。
(4) 企业局域网防病毒设置。随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。主要面向MAIL、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。
3.结束语
在信息化时代,网络的安全应用是非常必要的,它将有效防止潜在敌人和不法分子的破坏,有效保护企业机密,降低企业的办公成本。网络安全的发展过程中,我们必须更进一步的开展企业信息安全应用研究。
参考文献:
