時間:2023-09-24 10:58:08
導語:在企業的網絡安全的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)17-4026-02
隨著信息技術的飛速發展,電子政務、電子商務、企業信息化建設取得了顯著成效,園區網絡也已經被廣泛的應用到企業日常工作、管理中去。與此同時網絡安全問題日益突出,安全保密建設任務更加緊迫,如何切實有效的對終端用戶的網絡訪問范圍、權限加以控制,對病毒、木馬的泛濫加以限制成為企業園區網絡安全建設的面臨的重要課題。
近年來由于三層交換設備在企業園區網絡中的廣泛應用,通過ACL(Access Control List,訪問控制列表)進行數據流控制實現網絡安全,變得具有普遍意義。
1 ACL技術介紹
1.1 ACL的工作原理
TCP/IP協議中數據包具有數據包由IP報頭、TCP/UDP報頭、數據組成,IP報頭中包含上層的協議端口號、源地址、目的地址,TCP/UDP報頭包含源端號、目的端口,設備信息。(如圖1)
ACL利用這些信息來定義規則,通過一組由多條deny(拒絕)和permit(允許)語句組成的條件列表,對數據包進行比較、分類,然后根據條件實施過濾。――如果滿足條件,則執行給定的操作;如果不滿足條件,則不做任何操作繼續測試下一條語句。(如:圖2)
1.2 ACL的分類
ACL的分類根據網絡廠商及設備IOS版本的不同存在一定的差別,但按照規則的功能一般ACL可以劃分以下三種:
1)標準ACL:僅使用數據包的源IP地址作為條件來定義規則。
2)擴展ACL:既可使用數據包的源IP地址,也可使用目的IP地址、IP優先級、ToS、DSCP、IP協議類型、ICMP類型等其他第3層和第4層報頭中的其他字段來定義規則。
3)基于以太幀的ACL:可根據數據包的源MAC地址、目的MAC地址、以太幀協議類型等其他以太網幀頭信息來定義規則。
1.3 ACL的特性
1)每條ACL應當至少包含一條允許語句,否則將拒絕所有流量。
2)ACL被創建后并不是馬上生效,只有在被應用到接口時才會過濾流量。
3)ACL只過濾通過設備的流量,而不過濾本設備所產生的流量。
4)將標準ACL盡可能放置在靠近目的地址的位置,將擴展ACL盡可能放置在靠近在源地址的位置,以避免不必要的流量占用網絡帶寬。
5)避免在核心層設備上大量使用ACL,這將大量占用設備的處理能力。
2 企業園區網絡安全實例
2.1 典型企業園區網絡
在典型企業園區網絡環境中,網絡依照三層架構建設及接入層、匯聚層、核心層,各部門通過Vlan劃分為多個子網絡。終端用戶主要應用為OA系統、電子郵件以及部門打印機。(如圖3)
2.2 企業園區網絡所面臨的安全問題
傳統意義上的網絡安全考慮的是防范外部網絡對內網的攻擊行為,即來自于英特網的攻擊行為。外網安全威脅模型假設內部網絡都是安全可信的,威脅都來自于外部,其途徑主要通過內外網絡邊界出口,只要將網絡邊界處的安全控制措施做好,即可確保整個網絡的安全。傳統防火墻、入侵檢測、防病毒網關和VPN設備都是基于這種思路來設計的。
事實上,內部網絡并非完全安全可信。內部網絡包含大量的終端、服務器和網絡設備,任何一個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,威脅既可能來自外網,也可能來自內網的任何一個節點上,實現一個可管理、可控制和可信任的內網已成為維護企業網絡系統正常運行,充分發揮信息網絡效益的必然要求。
目前,對企業內部園區網絡的常見安全問題有以下幾點:
1)在企業管理中需要避免各個部門之間網絡的相互影響,限定終端用戶的訪問區域之在本部門Vlan和特定的服務器Vlan之內。
2)防止內網已有病毒在網絡上的擴散傳播,控制并減少病毒侵害的范圍。
3)防止未經授權的非法終端設備接入網絡,對網絡中的設備進行。
2.3 ACL策略實現
對于企業園區網中的上述問題,以Cisco三層交換機為例設配置ACL策略,實現安全防范。
1)企業園區網絡各部門Vlan收斂于核心交換機,因此在核心交換機上使用擴展ACL實現Vlan指定訪問。
Switch(config)# access-list 101 permit any 192.168.254.0 0.0.0.255//允許目的地址為服務器區域地址段
Switch(config-if)# interface vlan 10 //進入vlan10的網關
Switch(config-if)# ip access-group 101 out //比對vlan10網關的出輸數據包
2)大部分病毒利用軟件、操作系統的漏洞通過開放的端口實施侵入,常用端口有136、137、138、445等,所以在匯聚層交換機上使用擴展ACL實現網絡防護,將病毒影響控制在有限的范圍內。
Switch(config)# access-list 102 deny udp any any eq 135//拒絕任意主機間通過135端口的UDP數據包
Switch(config)# access-list 102 deny udp any any eq 136
Switch(config)# access-list 102 deny udp any any eq 137
Switch(config)# access-list 102 deny udp any any eq 138
Switch(config)# access-list 102 deny udp any any eq 445
Switch(config)# access-list 102 deny tcp any any eq 135
Switch(config)# access-list 102 deny tcp any any eq 136
Switch(config)# access-list 102 deny tcp any any eq 137
Switch(config)# access-list 102 deny tcp any any eq 138
Switch(config)# access-list 102 deny tcp any any eq 445
Switch(config)# access-list 102 permit ip any any//允許任意主機之間的訪問
Switch(config)#intface GigabitEthernet 0/1//進入匯聚交換機下聯端口
Switch(config-if)# ip access-group 102 in//比對端口輸入數據包
3)由于非法接入動作發生于交換機接入層,所以在接入層交換機端口上使用基于以太幀的ACL對接入端口的MAC地址進行綁定,實現網絡接入安全。
Switch(config)# mac access-list extended f0/1//建立命名為f0/1的ACL
Switch(config-ext-mac)# permit any host H.H.H//允許任意地址訪問MAC地址為H.H.H的主機
Switch(config-ext-mac)# permit host H.H.H any//允許MAC地址為H.H.H的主機訪問任意地址
Switch(config)# intface fastEthernet 0/1//進入終端接入端口
Switch(config-if)# mac access-group f0/1 in //比對端口輸入數據幀
3 結束語
ACL在本質上是一系列對包進行分類的條件,通過ACL網絡管理員可以對企業園區網絡中的傳輸流量做到精確控制,防止病毒在網絡中的擴散,保護敏感設備遠離未授權的訪問。
參考文獻:
[1] Andrew S,Tanenbaum.計算機網絡[M].4版.北京:清華大學出版社,2004.
[2] 譚浩強.Cisco路由實用技術[M].北京:中國鐵道出版社,2006.
[3] 張仁斌,李鋼,侯.計算機病毒與反病毒技術[M].北京:清華大學出版社,2006.
關鍵詞 網絡安全;互聯網;風險
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2014)21-0241-01
計算機技術和網絡技術在帶給人們方便的同時,也使網絡信息安全風險也大大增加。網絡信息安全已成為當今社會互聯網技術研究的重要難題。針對網絡攻擊行為,采用多種網絡信息安全技術進行防護,可以有效的減少攻擊行為所帶來的損失。
1 網絡安全隱患
網絡安全,不僅指網絡的信息系統安全,還包括網絡系統中的硬件、軟件及數據資源不遭受破壞、泄漏和更改,保證網絡系統的安全可靠運行,防止各種有害信息和非法信息的傳播。
企業網絡的安全隱患主要表現在以下幾個方面。
1)物理安全風險。物理安全包括網絡系統中的各種網絡硬件設備,如路由器、交換機、工作站和服務器等的通信鏈路的運行安全。物理安全風險主要有:火災、雷擊、水災等自然災害,外界電磁干擾,人為誤操作或者破壞,設備自身的缺陷或者弱點等。
2)網絡安全風險。網絡是一個開放性的平臺,企業的信息網絡安全受到各種威脅和攻擊。網絡入侵者能夠通過系統漏洞及各種掃描工具,以攻擊程序對網絡進行惡意的攻擊,導致企業網絡癱瘓,甚至是網絡信息被篡改、竊取。
3)系統安全風險。企業網絡設備主要為服務器系統、路由器交換機系統。在企業服務器系統中,設有數據庫系統、操作系統、其他應用系統等。這些系統必然或多或少地存在著一些漏洞,一旦攻擊者通過這些漏洞,可能會對系統造成很大的損失。
4)用戶安全風險。這種風險主要是針對企業的內部人員,防止內部人員對系統和網絡的誤用、攻擊等情況。如內部人員計算機感染了惡意軟件或木馬程序時,可能會造成內網的ARP攻擊。
2 提高企業信息網絡安全措施
2.1 網絡安全解決辦法
提高網絡安全,是為了保證網絡系統不受外來攻擊和內在的故障,安全穩定的運行。而防火墻是網絡系統安全的第一道門檻,通過硬件和軟件來實現網絡的安全。防火墻的主要性能包括:
1)對內外部網絡數據流進行控制。網絡防火墻是鏈接內部網絡和外部網絡的通道,防火墻的特殊網絡位置特征,決定了可以有效的保護內部網絡不被破壞和攻擊。
2)防火墻可以有效的過濾網絡數據流量。通過防火墻的數據流量必須是經過防火墻認定,符合一定安全策略的才能通過,只有在該前提下,在適當的協議層才能進行訪問規則和通過安全審查,對于那些不符合通過條件的報文予以阻斷。
3)應用層防火墻具備更細致的防護能力。傳統防火墻由于不具備區分端口和應用的能力,以至于傳統防火墻僅僅只能防御傳統的攻擊,基于應用層的攻擊則毫無辦法。而新一代的防火墻解決了這個問題,它具備應用層分析的能力,能夠基于不同的應用特征,實現應用層的攻擊過濾,更好的針對應用層攻擊進行防護。
2.2 系統安全解決辦法
1)操作系統安全措施。操作系統的安全措施主要包括以下內容:①在局域網內建立WSUS補丁服務器,為整個局域網提供微軟全系列軟件的補丁。②操作系統及其各種應用軟件及時更新補丁,有效防止黑客的攻擊和病毒的感染。
2)系統漏洞掃描。目前的網絡和系統配置往往存在部分漏洞,這些漏洞容易被黑客利用,使系統的安全存在隱患。因此,提前發現漏洞并進行處理,可以減少系統安全威脅,避免不必要的損失。漏洞掃描和檢測工具可以對網絡設備和操作系統進行掃描,對系統中存在的漏洞生成檢查報告,并提示用戶及時安裝相應的漏洞補丁,以提高系統安全性。
3)網絡入侵檢測及預警。為了提高信息安全基礎結構完整性,使用入侵檢測及預警系統是防火墻的有益補充,進一步提高了系統面對網絡攻擊的安全性,使系統管理員更方便的對系統安全進行管理。
4)病毒防護。計算機病毒對系統和網絡安全的威脅越來越引起人們的重視,而針對計算機病毒的防護和掃描是系統安全必不可少的。計算機病毒的防治在于完善操作系統和應用軟件的安全機制和防范措施。使用高性能網絡殺毒軟件不僅能針對流行病毒進行查殺,阻斷病毒的蔓延,而且還能實現實時監控和預防,避免計算機染上病毒。
5)網絡審計與監控。網絡審計和監控不僅依靠網管軟件和系統管理軟件來實現,還應采用目前較成熟的網絡監測設備和實時入侵監測,對系統中的網絡行為進行監控、預警和阻斷,及時預防網絡入侵行為和采取相應的措施。
6)數據備份與恢復。對于數據的備份和恢復應采用高速、大容量、自動的數據備份恢復。對于部分系統的備份,可以采取增量備份,只針對系統發生過更改的部分文件進行備份。
2.3 應用級安全解決辦法
1)用戶授權管理。實現了多級分權的權限劃分機制,不同的部門只能在允許的范圍內對數據進行操作,而對于管理部門,則可以跨部門或者全部操作。其次是功能權限,可以自定義的方式確定用戶的增加、刪除、修改、查詢權限。
2)數據安全備份。數據安全是整個系統安全的核心,是系統可靠性的體現和關鍵環節。為此,系統中可自定義備份策略,實現定期自動備份,也可手動備份手動恢復。
3)數據加密。應對關鍵數據采用了完善的數據加密措施,如登錄帳號和密碼。作為最重要的身份識別依據和權限開關,其安全性的重要程度在應屬于最高級。軟件的關鍵配置文檔,里面有關鍵的參數設置,也應進行了相應的加密處理,保證的系統的穩定性。
4)操作日志。對于系統的登陸和操作情況應進行自動記錄,并形成報告和日志,進行痕跡保留,對操作方式,操作內容,操作時間等都可以進行記錄。
3 結論
在計算機網絡技術的發展過程中,企業的信息網絡安全技術水平也不斷提高。隨著企業的發展和業務的拓展,網絡安全受到極大的挑戰,黑客攻擊、病毒入侵、非法訪問等不斷發生。因此,從企業網絡信息安全需求及等級情況出發,選擇適合企業自身需求的企業網絡信息安全措施,可以有效的保障企業信息網絡的健康運行。
參考文獻
[1]王能輝.我國計算機網絡及信息安全存在的問題和對策[J].科技信息,2010(7).
在2007年,Microsoft ForeFront家族產品逐一亮相,ISA Server 2006又一次成為人們關注的對象。這一次它不是單打獨斗,而是Microsoft ForeFront陣營里的前排哨兵。作為微軟企業安全解決方案的一部分,ISA Server 2006的特性能否滿足企業網絡的安全需求呢?
企業對網絡安全的需求
綜合性
隨著近兩年越來越多的惡性網絡安全事件的爆發,企業的信息管理者已經感覺到網絡安全問題不再僅僅是網絡中某個環節上的問題,在很多時侯,企業需要全面、綜合地提高自身網絡的安全性能。
防火墻、病毒防護、VPN連接、身份驗證、訪問控制、流量控制、服務器、客戶端安全集中管理、補丁管理、事件報告及報表等網絡安全涉及到的內容,雖然不能完全綜合到一款軟件上,但一個好的網絡安全產品的綜合性是不可或缺的。網絡安全管理者都不希望每種網絡安全方面的部署都要新架一臺服務器來作為支持。
集成性
沒有一個網絡安全管理者希望,在企業的網絡安全的部署中,有一款產品與已經部署好的或者即將部署的產品之間互相對立、格格不入。相反,他們都希望各種產品能相互溝通、相互依存,各自的功能和產生的數據信息能被其它產品所利用,各類產品可以緊密地集成在一起,讓企業網絡安全更清晰可控,更便于部署和管理。
網絡部署中涉及到許多硬件、軟件服務商,在各類產品之間可能存在著意想不到的網絡安全隱患。因此,在部署中需要盡可能地使用產品線比較豐富和完善的廠商的產品,增強產品間的集成性,可以從網絡建立的初期就減少“非受迫性”網絡安全事故。
易用性
眾所周知,IT部門的工作十分忙碌。如果網絡安全產品的復雜度很高,那么IT技術人員就不得不犧牲更多的休息時間去適應企業網絡安全方面的新產品。使用易用性高的產品則可以減少IT技術人員在學習新知識中花的時間,從而更好地專注于企業的網絡安全服務。
另外,并不是每一個公司都有強大的技術團隊來為網絡安全提供保障,一旦網絡安全事件發生,會給企業造成很大的損失。使用一些易用性強的產品,將對企業網絡高效運行提供一定的保障作用。
可用性
如果企業部署的安全產品三天兩頭地Down掉,如一句俗語所說:“泥菩薩過河,自身難保”,那企業網絡還有什么安全可言呢!所以,可用性是網絡安全的最基本的要求。只有網絡安全產品正常可用,它才能起到保護企業網絡安全的作用。
病從口入,禍從口出。網絡邊界的安全是網絡安全中很重要的一個部分。以上的分析表明,企業的網絡安全問題需要一款好的網絡邊界產品。ISA Server 2006就是這樣一款集成的邊界安全網關產品,在用戶對應用系統和數據進行快速而安全的遠程訪問的同時,能夠保護企業IT環境免受來自基于Internet的威脅。
ISA Server 2006的特性
綜合性
ISA Server 2006不但可以作為高效的Web、強大的防火墻、安全的VPN,還可以作為內部服務器的平臺。同時,它可協助企業保護其環境免受內部和來自Internet的威脅。借助――防火墻的混合架構、深入的內容檢查、細化的策略以及全面的報警和監控功能,它能夠更加輕松地管理和保護企業網絡。
通過設置合理的防火墻策略,ISA Server 2006可以控制哪些用戶可以上網、在什么時間上、使用哪些協議、訪問哪些網站等,另外,它可以細化到控制用戶訪問哪種類型的文件,并可以控制含有某些簽名的數據包的傳遞。這樣用戶就可以輕松地對一些IM軟件和P2P軟件進行控制,讓網絡可以更高效地運轉。
關鍵詞 安全管理系統;殺毒;企業郵箱
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0214-02
0引言
信息技術的迅猛發展極大地促進了網絡在企業的普及應用,當今的企業必須采用能夠充分利用結合優秀的傳統方法及連網計算的新業務模式,來獲得競爭優勢。對許多企業來講,問題不在于數據安全是否必要,而在于怎樣在預算范圍內以安全的方式管理復雜計算機環境、多種計算機平臺和眾多集成式計算機網絡上的數據。各企業必須獨立確定需要多高級別的安全,以及哪種安全能最有效地滿足其特殊業務需求。這些問題僅靠安全解決方案是無法完成的,而是企業安全管理必須解決的問題。企業郵箱是公司架設的服務于公司內網用戶的企業級郵箱。
1 網絡安全管理系統的應用
公司通過使用萊恩塞克內網安全管理系統和金山毒霸網絡版的配合使用,將公司整個網絡設備對病毒的查、殺、防列入到網絡管理體系當中。
1.1網絡安全系統的需求分析
企業網絡安全管理涉及的需求有諸多方面,僅就計算機網絡系統集中管理、網絡數據存儲與備份管理,兩方面進行說明。
1.1.1計算機網絡系統集中管理
實施網絡系統改造,提高企業網絡系統運行的穩定性,保證企業各種設計信息的安全性,避免圖紙、文檔的丟失和外泄。
通過軟件或安全手段對客戶端的計算機加以保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用情況進行追蹤,防范外來計算機的侵入而造成破壞。
通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。
1.1.2 網絡數據存儲備份管理
互聯網與信息技術的蓬勃發展,在提高了各個行業企業日常業務運營效率的同時,也極大增加了企業內部的數據負擔。隨著Internet、Intranet及Extranet等網絡數據量的指數級增長、以及數據類型的不斷豐富,企業IT管理人員面臨著系統應用數據完整性、安全性、可用性等方面的嚴峻挑戰。他們必須能夠確保企業數據得到有效的保護,并在故障出現時迅速準確的予以恢復,以最大限度減小企業可能的損失,實現業務的持續、正常運轉。
1.2 網絡安全系統的功能
系統投入使用以來,有效地解決了公司信息部門多年以來實際工作中遇到的網絡管理難題,系統實現了對局域網內的所有設備的數量、型號以及配置的統計,還對突發故障及時報警和診斷,對最新病毒、黑客攻擊進行報警判斷并作出有效的控制,對軟件的遠程自動分發和恢復安裝功能,通過分發使網內的各個終端計算機實時的進行系統升級以及防毒軟件的日常升級需求。
1.3 網絡安全系統的應用成果
對于近期危害嚴重的網絡arp病毒一旦局域網內的計算機感染此病毒,由于此病毒通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量導致網絡癱瘓以往我們發現此類故障后只能現場查看網內每臺機器來排查此病毒費時費力工作效率大大降低,現在通過金山毒霸網絡版的病毒日志可以有效地得知病毒來源予以查殺,對于無法殺除病毒的機器通過萊恩塞克內網安全管理端對ip地址和MAC地址綁定功能控制交換機端口,禁止感染病毒的計算機進入網絡,使網絡中病毒的傳播范圍達到最小,把損失降到最低,還可以對內網機器準確的定位,有效杜絕了內部人員未經允許修改自己機器的ip地址,導致其它人員的ip地址被盜用,危險時會使網絡內重要的服務器因ip地址被占用而停止服務的危險隱患。在信息中心利用管理軟件得遠程指導、遠程維護功能可以對網內計算機操作人員的違規操作進行有效的監視,如上網、運行非法軟件、記入到網絡日志,并快速的提出警告。如果哪臺機器感染病毒,迅速報警并采取措施。對于遠程計算機的監視和控制就像操作自己的計算機一樣,避免了跑路,提高效率。在信息中心可以統一向各計算機用戶批量快速發送軟件的升級補丁,發送信息,節省了人力,物力。
2 企業郵箱的應用
郵件系統,在辦公自動化的今天,尤其顯得重要。對于許多企業來說,離開了E-mail,工作已經不能順暢的開展了。目前許多企業通過租用的外部郵箱系統的方式來解決郵件通訊問題。但租用的外部郵箱系統,除了需要花費昂貴的租金外,還不易于管理,同時在郵件安全、提高辦公效率等都遇到了瓶頸。而擁有可靠的郵件系統是現代企業順利發展的必要基礎配置,也利于企業進一步提高自身形象。概括起來講,企業郵箱達到的主要指標如下:
1)實現內外網絡分離;
2)郵箱訪問速度極快,內網用戶文件上傳下載文件速度可達10兆每秒;
3)郵箱擁有的公共地址簿,使用戶使用郵箱時,方便得查找目的用戶,提高了郵箱的使用效;
4)郵箱全部注冊用戶以真實身份進行注冊,用戶名稱也使用真實姓名的英文拼寫,防止了匿名內外網用戶對網絡安全的破壞,方便了管理員對網絡安全的監控;
5)遠程管理方便,管理員可以隨時在互聯網上對郵箱進行管理,提高了管理的效率;
6)郵箱正式運行后較穩定,郵件收發正確率,文件傳輸正確率100%,穩定運行時間95%以上。
4 結論
總的來說,一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之后需要確保這個安全策略可以被徹底貫徹執行。最后,由于移動辦公用戶的存在,企業和網絡經常處在變化中,需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步,應該時刻具有主動性的眼光并在第一時刻更新的安全策略,同時要確保系統已經安裝了足夠的防護產品,來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的,但這樣做足可以使企業網絡處于優勢地位。
參考文獻
[1]廣域網與局域網.
[2]TCP/IP實用技術指南.
[3]網絡分析與設計.
[4]計算機網絡安全與加密技術.
[5]萊恩塞克內網安全管理使用手冊.
[6]Winmail server技術使用手冊.
關鍵詞 內部網絡;安全防范;企業
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0207-02
1 企業內部網絡的安全現狀
傳統的企業網絡安全防范主要都是對網絡病毒、系統漏洞、入侵檢測等方面加以設置,安全措施和相關配置通常都在網絡與外部進行連接的端口處加以實施,采取這樣的網絡安全防范雖然能夠降低外部網絡帶來的安全威脅,但卻忽視了企業內部網絡潛在的安全問題。
目前,企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅,企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是,由于企業管理人員的網絡安全防范意識不強,對于企業內部網絡的安全問題不夠重視,甚至沒有對企業內部網絡采取任何安全防范措施,因此導致了企業內部網絡安全事故不斷增加,給企業帶來了重大經濟損失和社會負面影響,怎樣能夠保證企業內部網絡不受到任何威脅和侵害,已經成為了企業在信息化發展建設過程中亟待解決的問題。
2 企業內部網絡的安全威脅
隨著計算機技術和網絡技術的飛速發展,企業內部網絡是其信息化建設過程中必不可少的一部分。而且,網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。
2.1內部網絡脆弱
企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的,而且,由于部分網絡管理人員對于企業內部網絡安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統漏洞問題,隨著內部網絡中應用程序數量的日益增加,也給計算機終端帶來了更多的系統漏洞問題。
2.2用戶權限不同
企業內部網絡的每個用戶都擁有不同的使用權限,因此,對用戶權限的統一控制和管理非常難以實現,不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位,更容易給網絡黑客留下可乘之機。
2.3信息分散
由于部分企業內部網絡的數據存儲分布在不同的計算機終端中,沒有將這些信息統一存儲到服務器中,又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公,對于數據往往不加密就在內部網絡中隨意傳輸,這就給竊取信息的人員制造了大量的攻擊機會。
3 企業內部網絡安全防范設計方案
3.1網絡安全防范總體設計
即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段,也很難保證企業內部網絡之間數據通信的絕對安全。因此,在本文設計的企業內部網絡安全防范方案中,部署了硬件加密機的應用,能夠保證對企業內部網絡中的所有數據通信進行加密處理,從而加強企業內部網絡的安全保護。
3.2網絡安全體系模型構建
企業內部網絡安全體系屬于水平與垂直分層實現的,水平層面上包括了安全管理、安全技術、安全策略和安全產品,它們之間是通過支配和被支配的模式實現使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性,必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構建成一個安全可靠、實時可控的企業內部網絡。
1)用戶身份認證
用戶身份認證是保證企業內部網絡安全穩定運行的基礎,企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等,而且,由于網絡客戶端用戶數量龐大,存在著更多的不安全、不確定性,因此,對于網絡客戶端用戶的身份認證至關重要。
2)用戶授權管理
用戶授權管理是以用戶身份認證作為基礎的,主要是對用戶使用企業內部網絡的數據資源時進行授權,每個用戶都對應著不用的權限,權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用,包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。
3)數據信息保密
數據信息保密作為企業內部網絡中信息安全的核心部分,需要對企業內部網絡中進行數據通信的所有數據進行安全管理,保證數據通信能夠在企業內部網絡中處于一個安全環境下進行,從而保證對企業內部網絡信息和知識產權信息的有效保護。
4)實時監控審計
實時監控審計作為企業內部網絡中必不可少的部分,主要實現的是對企業內部網絡的安全的實時監控,定期生成企業內部網絡安全評估報告,一旦企業內部網絡出現安全問題時,能夠及時匯總數據,為安全事故的分析判斷提供有效依據。
4結論
目前,關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題,越來越多的企業將辦公系統應用于企業內部網絡中,但是由于企業工作人員的安全防范意識不強,或者網絡操作不規范,都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案,能夠有效解決多種內部網絡的安全問題,具有一定的實踐應用價值。
參考文獻
關鍵詞:企業;計算機;網絡安全;防護;體系;構建
眾所周知,計算機網絡技術具有雙面性特點,優點與缺陷共存,其在社會整體發展中會帶來一定操作便捷性,但其弊端與不足也尤為明顯,因為網絡本體具備開放共享特點和多樣化鏈接特點以及終端分布不均勻特點等,所以此時計算機網絡安全極易受到外界攻擊與損害,網絡安全隨之受到嚴重威脅。計算機網絡信息時代的到來,企業計算機技術依賴程度日漸加深,企業日常辦公活動和工作細節中都或多或少的應用計算機技術,網絡安全妨礙種類頗多,我們應正視此類狀況,從實際角度出發,適時進行網絡安全防護結構體系構建,以保障企業信息安全。
一、現存問題要點分析
(一)企業網絡管理制度尚未整改與完善。企業網絡管理制度不完善因素存在對企業網絡安全造成嚴重影響,其網絡破壞力度相對較大,俗話說得好,沒有規矩不成方圓,企業制度即是規矩,應該了解到,當前我國多數企業網絡管理中仍存在管理制度不完善現象,缺少規范化網絡安全管理結構體系對此類不良事項進行制約,主要存在網絡安全管理流程混論狀況和網絡安全意識淡薄狀況以及管理流程混亂狀況等,而管理責任不明確現象也時有發生,詬病與缺陷眾多,企業專職管理人員沒有及時履行本體內在職能,給網絡安全威脅者提供了攻擊機會。
(二)企業網絡建設缺乏科學合理規劃。企業網絡建設過程中常會出現規劃不合理狀況,其問題普遍性較為明顯。需知,企業建立伊始便不會高度重視網絡建設工作,企業發展和慢慢壯大后,計算機網絡應用次數會增加,利用計算機軟件進行企業辦公,此后便會出現一定的網絡安全問題,其主要由網絡建設不合理規劃造成,最為常見的例子即為,企業網絡寬帶接入時其基礎新承載力不足,這樣會嚴重影響辦公效率和網絡安全。
(三)企業網絡設施落后與企業網絡設備落后。部分企業網絡設備發展與當前社會發展需求難以相互適應,此項事件成因即為計算機和網絡技術以新型科學技術產生,雖然企業網絡設備投入資金到位,但經過長期運作后,一些企業網絡設置和網絡設備還是處于相對落后態勢,特別是多數企業無法對企業本體網絡設施、網絡設備更新工作以及維護工作等重視起來,二者重視度降低便會使企業網絡設施落后與企業網絡設備落后問題日益凸顯。
二、企業計算機網絡安全與防護結構體系構建策略要點分析
(一)計算機網絡制度規范與完善。網絡制度建立環節勢在必行,因為其是進行企業計算機網絡安全與防護結構體系構建的首要前提,需要認真結合當前企業網絡使用現狀與特點,融入網絡管理流程制定和網絡使用制度制定,之后在此基礎上進行企業工作人員群體的計算機網絡安全操作意識強化,深度明確相關管理職責,針對老舊式網絡設備和網絡設施等予以及時取締,不斷提高網絡安全管護責任,對網絡設施設備進行全面更新與綜合整改,以至有效提升企業網絡設施具體應用水準。
(二)企業計算機網絡防火墻配置。此條首要一點即是進行網絡防火墻設置,因為防火墻技術是整體企業網絡安全維護過程中重要組成部分和重點操作環節,網絡防火墻技術應用時需要嚴格遵循網絡安全維護原則,及時進行企業計算機網絡運行現狀和運行狀況監管,針對網絡傳輸數據包內容,不斷實施安全檢查與強制控制,有效屏蔽外來不良信息,禁止危險信息的不合理侵入,以至有效防止企業計算機網絡基本信息遭受泄漏。
(三)計算機網絡病毒檢測技術應用。計算機病毒的產生可對計算機原有程序進行破壞,使得計算機網絡結構系統不能正常運行,計算機網絡數據信息會遭到嚴重破壞,隨之產生計算機指令信息和相關程度代碼內容,上述二者均具備自我復制特性,其網絡危害程度極深。較為正確的做法是,企業應及時利用病毒檢測軟件進行全面網絡病毒檢測,運用先進計算機網絡安全檢測軟件進行病毒查殺和攔阻,在及時檢測到計算機網絡病毒的同時予以及時刪除和處理,保障企業計算機網絡結構系統運行安全。除此之外,還可進行密碼更改與機密技術執行,定期進行企業網絡賬戶密碼修改,防止網絡賬戶密碼泄露狀況產生,通過重要信息存儲形式加密改變進行竊取行為防御,避免企業信息泄露,再有就是IP隱藏技術,其可對IP地址進行隱藏,網絡黑客則不能趁虛而出,所以企業自身需要運用多樣網絡維護技術去保障企業計算機網絡安全,將各項網絡安全防護工作均落實到位,有效提升最終工作質量和工作效率。
結束語:綜上所述,企業計算機網絡安全問題是企業發展過程中需要側重考慮的操作環節之一,當前存在網絡管理制度尚未整改、完善問題和網絡建設缺乏科學合理規劃問題以及網絡設施落后與企業網絡設備落后問題等,需要從實際角度出發,及時進行計算機網絡制度規范與完善、計算機網絡防火墻配置和應用計算機網絡病毒檢測技術,全方位多角度保障企業計算機網絡正常平穩運行。
參考文獻:
[關鍵詞]企業信息 網絡安全體系
一、企業信息網絡安全現狀概述
進入21世紀后,隨著國內信息化程度的快速提高,信息網絡信息安全越來越多受到關注,信息網絡安全產品和廠商短短幾年內大量涌現。但是,令人擔憂的是,雖然眾多的產品和廠商都以信息網絡安全的概念在提供服務,但其中包含的實際技術和內容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導,不利于解決用戶的實際信息網絡安全問題,造成投資浪費;另一方面也不利于創造良性的競爭環境,阻遏了信息網絡安全市場的發展。
鑒于此,有必要對信息網絡安全進行成體系的理論探討,形成統一的共識和標準,這樣才能讓信息網絡安全產品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發展。
二、信息網絡安全問題的本質探討
1.信息網絡安全問題的形成原因
信息網絡安全問題的提出跟國家信息化的進程息息相關,信息化程度的提高,使得內部信息網絡具備了以下三個特點:
(1)隨著ERP、OA和CAD等生產和辦公系統的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,信息網絡已經成了各個單位的生命線,對信息網絡穩定性、可靠性和可控性提出高度的要求。
(2)內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對信息網絡各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。
(3)由于生產和辦公系統的電子化,使得內部網絡成為單位信息和知識產權的主要載體,傳統的對信息的控制管理手段不再使用,新的信息管理控制手段成為關注的焦點。
上述三個問題,都是依賴于信息網絡,與信息網絡的安全緊密相連的,信息網絡安全受到廣泛的高度重視也就不以為奇。
2.信息網絡安全問題的威脅模型
相對于信息網絡安全概念,傳統意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統網絡安全考慮的是防范互聯網對信息網絡的攻擊,即可以說是互聯網安全,包括傳統的防火墻、入侵檢察系統和VPN都是基于這種思路設計和考慮的。互聯網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內互聯網邊界出口。所以,在互聯網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。
而信息網絡安全的威脅模型與互聯網安全模型相比,更加全面和細致,它即假設信息網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自互聯網,也可能來自信息網絡的任何一個節點上。所以,在信息網絡安全的威脅模型下,需要對內部網絡中所有組成節點和參與者的細致管理,實現一個可管理、可控制和可信任的信息網絡。由此可見,相比于互聯網安全,企業的信息網絡安全具有以下特點:
(1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;
(2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理;
(3)要求對信息進行生命周期的完善管理。
三、現有信息網絡安全產品和技術分析
自從信息網絡安全概念提出到現在,有眾多的廠商紛紛自己的信息網絡安全解決方案,由于缺乏標準,這些產品和技術各不相同,但是總結起來,應該包括監控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產品和技術類型的特性做了簡單的分析和說明。
1.監控審計類
監控審計類產品是最早出現的信息網絡安全產品, 50%以上的信息網絡安全廠商推出的信息網絡安全產品都是監控審計類的。監控審計類產品主要對計算機終端訪問網絡、應用使用、系統配置、文件操作,以及外設使用等提供集中監控和審計功能,并可以生成各種類型的報表。
監控審計產品一般基于協議分析、注冊表監控和文件監控等技術,具有實現簡單和開發周期短的特點,能夠在信息網絡發生安全事件后,提供有效的證據,實現事后審計的目標。監控審計類產品的缺點是不能做到事情防范,不能從根本上實現提高信息網絡的可控性和可管理性。
2.桌面管理類
桌面管理類產品主要針對計算機終端實現一定的集中管理控制策略,包括外設管理、應用程序管理、網絡管理、資產管理以及補丁管理等功能,這類型產品通常跟監控審計產品有類似的地方,也提供了相當豐富的審計功能,
桌面監控審計類產品除了使用監控審計類產品的技術外,還可能需要對針對Windows系統使用鉤子技術,對資源進行控制,總體來說,技術難度也不是很大。桌面監控審計類產品實現了對計算機終端資源的有效管理和授權,其缺點不能實現對信息網絡信息數據提供有效的控制。
3.文檔加密類
文檔加密類產品也是信息網絡安全產品中研發廠商相對較多的信息網絡安全產品類型,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。
文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是,因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術,也具有軟件兼容性差、應用系統適應性差、安全性不高以及維護升級工作量大的缺點。
4.文件加密類
文件加密類產品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護措施。
文件加密類產品主要基于文件驅動技術,不針對特定類型文檔,避免了文檔加密類產品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現對數據信息的強制保護和控制。
5.磁盤加密類
磁盤加密類產品在磁盤驅動層對部分或者全部扇區進行加密,對所有文件進行強制的保護,結合用戶或者客戶端認證技術,實現對磁盤數據的全面保護。
磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術,具有技術難度高、研發周期長的特點。此外,由于磁盤加密技術對于上層系統、數據和應用都是透明的,要實現比較好的效果,必須結合其他信息網絡安全管理控制措施。
四、構建完整的信息網絡安全體系
從前面的介紹可以看出,上述的信息網絡安全產品,都僅僅解決了信息網絡安全部分的問題,并且由于其技術的限制,存在各自的缺點。事實上,要真正構建一個可管理、可信任和可控制的信息網絡安全體系,應該統一規劃,綜合上述各種技術的優勢,構建整體一致的信息網絡安全管理平臺。
根據上述分析和信息網絡安全的特點,一個整體一致的信息網絡安全體系,應該包括身份認證、授權管理、數據保密和監控審計四個方面,并且,這四個方面應該是緊密結合、相互聯動的統一平臺,才能達到構建可信、可控和可管理的安全信息網絡的效果。
身份認證是信息網絡安全管理的基礎,不確認實體的身份,進一步制定各種安全管理策略也就無從談起。信息網絡的身份認證,必須全面考慮所有參與實體的身份確認,包括服務器、客戶端、用戶和主要設備等。其中,客戶端和用戶的身份認證尤其要重點關注,因為他們具有數量大、環境不安全和變化頻繁的特點。
授權管理是以身份認證為基礎的,其主要對內部信息網絡各種信息資源的使用進行授權,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面,應該包括終端使用權、外設資源、網絡資源、文件資源、服務器資源和存儲設備資源等。
數據保密是信息網絡信息安全的核心,其實質是要對信息網絡信息流和數據流進行全生命周期的有效管理,構建信息和數據安全可控的使用、存儲和交換環境,從而實現對信息網絡核心數據的保密和數字知識產權的保護。由于信息和數據的應用系統和表現方式多種多樣,所以要求數據保密技術必須具有通用性和應用無關性。
監控審計是信息網絡安全不可缺少的輔助部分,可以實現對信息網絡安全狀態的實時監控,提供信息網絡安全狀態的評估報告,并在發生信息網絡安全事件后實現有效的取證。
需要再次強調的是,上述四個方面,必須是整體一致的,如果只簡單實現其中一部分,或者只是不同產品的簡單堆砌,都難以建立和實現有效信息網絡安全管理體系。
【關鍵詞】信息化技術;企業;網絡安全;信息管理;影響
1 前言
在信息技術極速發展的形式下,人們的生活、工作、學習得到了迅速的發展。由于計算機網絡的便捷性,計算機信息管理和網絡應用被廣泛地運用在各領域企業的信息管理中。但是,計算機在給我們帶了諸多的便利和效益的同時,也給企業網絡和企業內部信息安全帶來新的挑戰。在網絡通訊過程中,由于受到來自黑客、病毒的惡意侵害,導致企業商業機密和用戶個人隱私安全收到威脅,信息在上傳和傳輸時機密性、完整性、和真實性得不到有效的保護。因此,計算機網絡安全不論是對于企業還是用戶,都是至關重要的。解決計算機網絡安全是一項嚴峻的、長期的工程。本文基于作者多年工作經驗,從企業網絡安全管理存在的問題以及如何實施有效的網絡安全管理措施進行深入的探討。
2 目前企業網絡安全存在的問題
2.1 管理人員網絡安全意識淡薄
由于企業信息化管理是一個新型的管理方式,因此,在發展的過程中,管理人員的認識問題成為了企業網絡安全管理首要面對的問題。由于部分網絡安全管理人員對網絡安全的認識不許,網絡安全意識淡薄,不能及時完善相關網絡安全管理制度,有效的規范和約束員工的上網行為,導致企業內網絡用戶安全防范意識淡薄,計算機對病毒的防范能力落后。
2.2 黑客惡意攻擊
黑客攻擊是企業計算機網絡安全面臨的最大威脅。惡意黑客通過計算機竊取企業商業機密,攻擊企業網絡系統,導致企業網絡故障癱瘓,商業機密和客戶信息的安全受到嚴重的威脅,給企業帶來巨大的經濟損失。黑客攻擊主要有兩種類型,主動攻擊和被動攻擊。主動攻擊指的是黑客通過各種方式有選擇性地通過企業網絡破壞企業信息的完整性和有效性;被動攻擊指的是黑客在不影響企業正常工作的前提下,截獲、竊取、破譯企業的重要商業機密。這兩種攻擊方式都會給企業網絡安全和信息安全帶來極大的危害,導致網絡系統癱瘓,機密數據泄露,造成巨大的經濟損失。
2.3 網絡插件漏洞
沒有一個網絡軟件可以達到百分百的完美,或多或少都會存在這樣那樣的漏洞和缺陷。正時這些缺陷,給了黑客有機可乘的機會,導致這些缺陷和漏洞往往成了黑客攻擊企業網絡安全的首選目標。大部分出現的黑客破壞企業網絡,攻入企業網絡內部的時間都是因為企業網絡安全管理措施采取不當導致的。另外,還有一種重要的入侵途徑,就是軟件的“后門”,“后門”一般是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”被破譯,將會造成嚴重的后果。
2 企業網絡安全管理有效措施
在計算機網絡中,想要做好計算機網絡安全管理工作,主要可以從對網絡信息載體和信息處理、傳輸、存儲、訪問提供安全保護以及如何防止非法授權的使用或篡改方面著手進行。完善企業計算機網絡安全管理,具體可以從技術層面出發,采取控制訪問、使用防火墻技術、對網絡信息進行物理隔離的措施,提高企業計算機網絡安全管理水平。
2.1 訪問控制
訪問控制指的是按照企業內部計算機網絡使用者的身份、所述部門、用戶權限的某項定義限制客戶對某些無關本質工作的機密信息的訪問。訪問控制通常被用于計算機網絡系統管理員控制用戶對服務器、文件、目錄等企業網絡資源的訪問。通過控制訪問,可以在企業用戶使用范圍內允許合法用戶訪問受保護的網絡資源,同時還能有效防止外部非法主體對企業內部受保護信息的訪問,提高內部信息的安全性和完整性。
2.2 防火墻
防火墻指的是由計算機硬件和軟件組合而成、在廣域網和局域網之間、專用網和公用網之間的界面上構成的一個網絡安全保護屏障。通過軟件和硬件結合,建立一個安全網關,保護內部網絡不收非法用戶的訪問和入侵。防火墻是最重要的計算機網絡安全屏障,能夠對經過它的網絡通信進行安全掃描,過濾惡意攻擊,阻擋非法訪問。防火墻還能封鎖特洛伊木馬,禁止特定端口的流出通信,保護用戶賬號信息安全。因此,防火墻技術也是集安全策略和安全管理的有機結合,在計算機網絡安全性能方面起到較強的保護作用。
2.3 網絡隔離
網絡隔離也叫協議隔離,主要是通過指把兩個或兩個以上可路由的網絡通過不可路由的協議進行數據交換,從而對網絡病毒進行有效的網絡隔離,達到隔離目的。通過網絡隔離技術,可以有效解決企業中對機密信息對安全性的突出需求,是企業網絡安全體系中不可或缺的環節,有效地防止企業網絡系統被非法入侵、阻擋網絡攻擊,竊取機密信息。網絡隔離在企業計算機網絡安全和機密信息保護上起著至關重要的作用。但是由于網絡隔離技術需要轉換不同的協議,技術較為復雜,因此網絡隔離技術還沒有得到普及。
3 結束語
總而言之,計算機網絡管理給企業帶來了巨大的便利的同時,也帶來了相應的安全隱患。隨著計算機網絡的普及,企業計算機網絡安全形勢日益嚴峻。加大企業計算機網絡安全管理建設,是關系到企業利益和形象的重大問題。目前在各個單位中都存儲這大量的保密信息、資料,其管理的有效性和完整性都需要靠計算機網絡系統完成。一旦企業網絡安全出現問題,造成信息丟失、損壞、篡改和切用,都將給企業帶來不可彌補的損失。因此,要提高網絡安全管理意識,利用現因網絡管理技術,加強對企業計算機網絡安全管理,提高計算機網絡安全性能。
參考文獻:
[1] 張雅靜.計算機網絡安全的影響因素及對策探討[J].信息與電腦(理論版).2013(15).
[關鍵詞]企業網絡;網絡威脅;安全管理
[中圖分類號]C29 [文獻標識碼]A [文章編號]1672-5158(2013)06-0479-01
計算機網絡技術的發展,使大型企業網絡的安全保護面臨了從未有過的挑戰。計算機泄密已經隨著其在企業領域的廣泛應用悄然來臨,且具有極大的隱蔽性和破壞性。安全管理總監如果對這個新的泄密渠道不加以認真研究,不采取有效的安全堵漏措施,就可能在不知不覺中遭受慘重的損失。
一、企業網絡安全性急需重視
企業已經越來越依賴網絡以及企業內部網絡來支持重要的工作流程,內部網絡斷線所帶來的成本也急劇升高。當這一刻顯得迫在眉睫時,如何確保核心網絡系統的穩定性就變得非常重要,即使一個企業的虛擬網絡或防火墻只是短暫的中斷,也都可能會中斷非常高額的交易,導致收入流失、客戶不滿意以及生產力的降低。盡管所有的企業都應該對安全性加以關注,但其中一些更要注意。那些存儲有私密信息或專有信息、并依靠這些信息運作的企業尤其需要一套強大而可靠的安全性解決方案。通過一部中央控制臺來進行配置和管理的安全性解決方案能夠為此類企業提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對網絡的安全性進行升級,從而適應不斷變化的商務需求,并幫助企業對用戶訪問保持有效的控制。例如,IT管理員能夠根據最近發現的網絡攻擊行為迅速調整網絡的安全性級別。此外,用戶很難在終端系統上屏蔽掉由一臺遠程服務器控制的網絡安全特性。IT管理人員們將非常自信:一旦他們在整個網絡中配置了適當的安全性規則,不論是用戶還是系統的安全性都將得到保證,并且始終安全。而對于那些安全性要求較高的企業來說,基于軟件的解決方案(例如個人防火墻以及防病毒掃描程序等)都不夠強大,無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序,都能輕松將這些防護措施屏蔽掉,甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件。一旦這些軟件系統失效,終端系統將非常容易受到攻擊。更為可怕的是,網絡中的其他部分也將處在攻擊威脅之下。
二、大型企業網絡安全的威脅
企業網絡威脅簡單地說就是指對網絡中軟、硬件的正常使用、數據的完整無損,以及網絡通信正常工作等造成的威脅。當然這種威脅可大可小,大的可以使整個網絡中的PC機和服務器處于癱瘓狀態,網絡數據被無情銷毀,可能會使一個公司因此而被迫停產、關閉;小的可能只是網絡中某個用戶計算機上發現了病毒,造成系統性能下降。那么,具體有哪些網絡威脅呢?其實很簡單,如病毒、木馬、網絡監聽、黑客攻擊以及包括諸如流氓軟件在內的惡意軟件等都屬于網絡威脅的范疇。這些網絡威脅總體來說可分為兩大類:一類是主動攻擊型威脅,另一類就是被動型威脅,如計算機病毒、木馬、惡意軟件等。
目前,企業網絡的最大安全隱患是來自Internet的惡意程序和黑客攻擊。計算機病毒是最常見,也是最主要的安全威脅。隨著計算機網絡技術的發展,計算機病毒技術也在快速地發展變化之中,而且在一定程度上走在了計算機網絡安全技術的前面。就計算機病毒來說,防護永遠只能是一種被動防護,因為計算機病毒也是計算機程序的一種,并沒有非常明顯的特征,更不可以通過某種方法一次性全面預防各種病毒。就像現在的關鍵字過濾技術一樣,同樣一個意思,卻可以有無窮種表達方式,根本是防不勝防。目前計算機病毒已經發展到了新階段,我們所面臨的不再是一個簡簡單單的病毒,而是包含了病毒、黑客攻擊、木馬、間諜軟件等多種危害于一身的基于Internet的網絡威脅。
病毒透過文件、操作系統或網絡來進行復制,特別是通過插入代碼,再得到一個表面合法的程序復制,然后在遭到感染的程序啟動時執行它們的功能。接著,它們就進駐到內存,使它們能夠更進一步感染系統,并將這種感染能力傳送到其他系統。從黑客程序進入被侵害電腦的途徑看,黑客程序與病毒也有很多相似之處。病毒通過網絡傳輸、磁盤交換等途徑,未經用戶允許強行侵入電腦。而絕大多數黑客程序采用了與電子郵件捆綁,偽裝成趣味程序誘騙用戶,制作蠕蟲+黑客類病毒等傳播手段。如“網絡神偷’’可以和其他程序捆綁在一起,當用戶安裝運行帶有服務端的程序后,服務端可以從捆綁程序釋放后駐留電腦。可見兩者的侵入電腦的途徑大同小異,只是采用的手段有一點點不同罷了。無論如何,不會有用戶主動給電腦安裝木馬,這就像沒有人主動將小偷領進家門一樣。從這個意義上講,黑客程序與私闖民宅的行徑性質相同,所以將黑客程序列入病毒范疇是不容置疑的。
三、大型企業網絡安全管理
目前,企業在信息化建設中均已配置了防火墻、IDS/IDP、VPN、身份驗證、企業版反病毒軟件等安全產品來增強企業網絡的安全性。
企業必須要強化網絡病毒的防范意識,做好計算機病毒的防范工作,就是不使計算機感染上病毒,防患于未然,預防工作從宏觀上講是一個系統工程,要求全社會的共同努力和法律法規的進一步規范,即規范制造網絡病毒的懲治辦法。就企業來講,應當制定出一套具體的措施,防止病毒的相互傳播,對于計算機操作和維護人員來說,不僅要遵守病毒防治的有關措施,還應當不斷增長知識,積累防治病毒的經驗,了解病毒,消除病毒。預防病毒,最關鍵的是在思想上給予足夠的重視,根據病毒隱蔽性和主動攻擊性強的特點,制定出切實可行的安全措施和規范,盡可能的減少病毒的傳染機率。要堵塞計算機病毒的傳染途徑。堵塞傳播途徑是預防計算機病毒傳染的有效方法,根據病毒傳染的規律,確定嚴防死守的入口點,在計算機上安裝具有動態預防病毒入侵的軟件,做好病毒的檢驗工作,使病毒的入侵機率和危害程度降至最低。要掌握計算機病毒的預防檢測和消除免疫技術。計算機病毒給企業和個人帶來的損失是無法彌補的,要想有效的阻止病毒入侵,掌握計算機病毒的預防檢測和消除免疫技術是最直接和最有效的保證。病毒防范技術總是在與病毒的較量中得到發展的,總體來說計算機病毒的防范需要在預防檢測和消除免疫等方面進行不斷改進和提高。
網絡安全管理是一種管理模式,主要體現在管理上,技術是實現管理的基礎。目前的網絡安全管理還處在初級探索階段,預防病毒要求其代碼至少每周升級2到3次。網絡安全管理是一個動態的系統工程,關系到安全項目規劃、應用需求分析、網絡技術應用、安全策略制定、安全等級評定、網絡用戶管理、人員安全培訓、規章制度制定等方方面面的問題,僅僅依靠技術是不行的,還需要決策者的正確引導和大力支持。網絡安全要求安全管理人員不但要懂網絡、懂安全,還要了解應用需求、網絡協議和網絡攻擊手段等,要充分認識到不同網絡的計算機、內部網和互聯網接入的計算機以及商業計算機與非的計算機在管理方面的不同。網絡安全最大的威脅不是來自外部,而是內部人員由于對網絡安全知識缺乏、人為錯誤操作造成和引起的。人是信息安全目標實現的主體,網絡安全需要全體人員積極認識、共同努力,避免出現“木桶效應”。最后,要建立嚴格制度的文檔。網絡安全制度的規范是確保這項工作順利實施的動力,是保證這項工作制度化、規范化開展的保證。需對制度進行完善和規范,確保網絡安全工作的實際效果。
參考文獻