時間:2023-10-17 09:37:22
導語:在企業網絡安全的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
1.1計算機自身系統安全問題
計算機系統的正常運行以計算機操作系統程序為主要依據,與之相關的各類程序也必須以此為標準,操作系統理所當然地成為了計算機系統中的基本程序。計算機操作系統具有較強的拓展性,開發商很容易完成計算機系統的開發工作。但是,在優化和升級計算機系統的過程中,相關操作技術仍存在較大問題,這是計算機技術快速發展的難點,也是黑客入侵計算機系統的主要切入點。
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵,將會出現嚴重的運行問題,如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性,目前,計算機病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計算機上出現的漏洞為切入點,綜合使用攻擊計算機終端的方式控制計算機系統,該病毒具有較強的傳播性和變異性;第三,腳本病毒。該病毒主要發生在互聯網網頁位置;第四,間諜病毒。要想提升某網頁的訪問量,強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展,計算機網絡應用范圍不斷擴大,各種類型病毒的破壞性也隨之增加。
1.3黑客
通過網絡攻擊計算機目前,我國仍存在著大量非法人員對計算機系統進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術,對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種:第一,利用虛假的信息攻擊網絡;第二,利用木馬或者病毒程序對計算機用戶的電腦進行控制;第三,結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。
2計算機網絡安全技術在企業網中的應用
2.1防火墻技術
防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中,計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全,在掃描終端服務器的數據后,如果發現有意或者不合常理等攻擊行為,系統應該及時切斷服務器與內網服務器之間的交流,采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息,這種過濾手段可以阻擋病毒信息入侵計算機系統,并第一時間內通知用戶攔截病毒信息,為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置
2.2數據加密技術
數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中,要想提高企業發展信息的安全性和可靠性,企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理,在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件,這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業網中均得到了廣泛應用。
2.3病毒查殺技術
病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅,該技術要求企業技術對計算機操作系統進行檢測和更新,減少系統出現漏洞的頻率;杜絕用戶在不經允許的情況下私自下載不正規的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫;控制用戶瀏覽不文明的網頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理,確定文件的安全性后才能投入使用。
2.4入侵檢測技術
入侵檢測技術在企業網安全運行中發揮著至關重要的作用,其作用主要表現在以下幾方面:第一,收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據;第二,找尋計算機系統中可能存在的侵害行為;第三,自動發出病毒侵害報警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征,該技術的主要任務是負責監視企業網絡運行狀況,對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主。基于主機系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等,該檢測技術具有極高的準確性,但是,實際檢測過程中很容易引發各種問題,如數據失真和檢測漏洞等;基于網絡入侵檢測技術以其自身存在的特點為依據,以網絡收集的相關數據信息為手段,在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人,該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測,但是,由于該技術能對網絡數據包的變化狀況進行監控,在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主,在實際檢測過程中,該檢測方法具有響應速度快和誤警率低等特點,但是,該檢測技術需要較長的檢測時間為支撐,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統進行全盤掃描,因此,必須有大量的檢測時間作支撐。
3結束語
隨著社會經濟的發展,計算機網絡技術在我國各行業得到了廣泛的應用,反過來,各行業也對計算機網絡技術的要求不斷增高,他們需要的是網絡技術帶來的便捷性、實用性以及可靠性。伴隨著業務網絡化的深入與發展,隨之帶來的網絡風險也不斷增加,人們在使用計算機技術時,往往忽略了對他的安全管理。
一、網絡管理簡述
在網絡計算機技術的發展背景下,對其進行維護與管理也成為了促進其持續發展的重要內容。網絡管理是計算機技術當中的一個重要組成部分,網絡管理水平的高低,直接影響著網絡運行的效率。一般網絡管理是指對網絡通信過程當中的服務以及信息處理過程當中所需要的各種活動進行一個監督、組織和控制,創造良好的計算機網絡技術運營環境。其主要目的就是保護計算機網絡系統中的硬件、軟件和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統連續可靠性地正常運行,提供有序、正常的網絡服務。
二、計算機網絡技術存在的安全因素
(一)計算機軟件的固有缺陷
對于計算機網絡來說,各種軟件是支撐其多元化、多層次運行的重要基礎,由于軟件的開發方式、研究水平等因素的影響,容易造成計算機軟件在開發階段就存在漏洞,使得計算機網絡在正常運行的過程中,因為這些存在漏洞、缺陷而發生嚴重的故障。
(二)計算機網絡技術自身的特性
計算機網絡技術有著開放性以及共享性的特點,這就使得計算機網絡在使用的過程中,容易遭受網絡病毒的攻擊,給用戶造成損失。例如在今年我國出現的一種極為惡性的計算機病毒“勒索病毒”, 他是通過計算機網絡傳播病毒文件,一旦計算機被感染后,除非裝機,不然就只能通過給黑客發送比特幣來花錢解鎖,對計算機程序以及計算機系統造成極為嚴重的破壞。
(三)黑客攻擊
互聯網技術的深入與普及,造就了一些電腦高手,也造就了一些電腦黑客。黑客對計算機網絡安全的威脅極為顯著。他們的侵往往入網絡服務器,利用木馬程序等多種手段損壞與竊取用戶的信息與數據,給用戶帶來極大的損失。
三、企業網絡安全管理的措施
(一)設置科學的加密方式
企業的信息資源安全直接受到數據安全性能的影響,因此人們應該重點關注數據安全工作。其中的數據加密技術能夠在一定程度上?_保企業數據不被其他人隨意查看或者篡改,保護數據的安全。
(二)充分發揮防火墻的作用提升企業網絡安全管理水平
要想認真做好網絡安全工作,我們應該充分發揮防火墻的自身作用,通過分開企業的內部網和外部網,實現企業網絡安全管理水平的提升。防火墻在企業的內部網及外部網進行通信過程中起到了關鍵性的作用,能夠有效保護網絡邊界設備,還能減少外部網絡用戶利用非法手段進行內部網絡獲取信息的發生率。此外,防火墻還能夠對企業的內部或外部網絡站點進行阻擋或攻擊,限制IP的流量,還能提前設施訪問控制,把網絡安全風險降到最低;還能識別一些被授權的用戶,讓其順利進入企業的內部網絡,對于沒有授權的用戶就無法進入企業的內部網絡,非法入侵人員要想獲取企業資料就要突破防火墻,因此防火墻的存在意義重大。
(三)把企業網絡安全管理工作放在重要位置
企業的網絡安全工作非常重要,因此需要得到人們的足夠關注,企業為了不斷提升工作效益,把工作重點都放在了與工作效益緊密相連的任務中,網絡安全工作并沒有得到人們應有的重視。加之,一些創建時間較短的企業由于網絡管理人員數量較少,且現有的網絡管理人員不太了解先進的計算機管理技術,對企業網絡信息的保護觀念較弱,只有出現企業信息泄露或者文件丟失等問題時才會意識到企業網絡安全工作的重要意義。
系統的默認共享是打開的,關鍵的是它將系統盤也共享了,通過網絡映像就可以直接訪問,在注冊表中可以將其關閉。接到某些部門的電話,在計算機上出現“網絡IP地址沖突”的信息,無法使用網絡。這些部門有個共同點,就是都有訪問Internet的權限。企業網絡是通過路由器連接到Internet的,路由器安裝調試之處,只是設置了可以訪問Internet的計算機IP地址及訪問時間段,所以沒有訪問權限的計算機為了達到某種目的,私自更改本機的IP地址,造成IP地址沖突。為了解決這個問題,更換了新的路由器,這種路由器具有MAC地址過濾,MAC地址綁定,網絡流量分配等功能。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的計算機的MAC是否與路由器上的MAC地址表相符,如果相符就放行,否則不允許通過路由器,同時給發出這個IP廣播包的計算機返回一個警告信息。同時也限定了工作站的訪問流量,防止使用BT,迅雷等下載工具長時間的大量占用網絡寬帶。2006年末的“熊貓燒香”病毒,造成上百萬臺電腦和千余家企業網絡被感染,特別是對企業網絡造成了很大的危害,也使人們對企業網絡安全有了進一步的認識。
第一,在企業網絡中,利用在對等網中對計算機中的某個目錄設置共享,進行資料的傳輸與共享是人們常采用的一個方法。但是在設置過程中,要充分認識到當一個目錄共享后,就不光是企業網絡內部的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。有些人認為計算機只有自己使用,不需要設置密碼,這就造成非法用戶可以通過網絡共享隨意訪問計算機中的數據。為了防止資料的外泄,在設置共享時一定要設置訪問密碼。只有這樣,才能保證共享目錄資料的安全。有條件的話,應設立專門的文件服務器,進行統一管理。
第二,企業內部網速變得異常緩慢,許多計算機之間無法相互訪問,ERP系統軟件經常出現不能正常登錄的情況。排除掉硬件因素,將工作站的共享去掉后,網速恢復正常,經調查,發現是病毒在作怪,一旦聯網,病毒就開始四處散播,占用了相當大的網絡寬帶,造成了網速下降。在“熊貓燒香”病毒發作期間,曾經采取斷開網絡,進行逐臺計算機殺毒,但聯網后很快又被傳染,始終不能徹底清除。因此在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有合適于局域網的全方位防病毒產品。企業網絡是內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全。所以采用網絡版殺毒軟件是唯一的方法,這樣不必每臺工作站都需上網升級,由殺毒服務器統一升級,也能做到統一管理,避免了無故退出,非法卸載等誤操作。
另外,操作人員的素質不同,也造成了許多安全的隱患。使用外來磁盤、光盤、U盤等存儲介質,應該養成先殺毒的習慣。上網時,不訪問非法的網站,下載不明的文件,接收到的郵件中,可能包含木馬病毒等非法程序,所以不認識的信件盡量不要打開,而那些業務上、朋友的信件也要認真檢查。制定相應的計算機管理制度也是加強企業網絡安全的一個重要手段,使企業人員從認識上積極對待,工作中嚴格實行。
作者:閆志康 李偉洋 高淑平 單位:濮陽同力水泥有限公司 濮陽市生產力促進中心
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
關鍵詞:企業網絡;安全管理;維護
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2011) 06-0000-01
Enterprise Network Security Management and Maintenance
Xiang Yijun
(Quzhou City Company of Zhejiang Tobacco Company,Quzhou324000,China)
Abstract:With the rapid development of science and technology,the popularity of computer networks have become more sophisticated,many companies are using the network of office and trade.However,with the popularity,there have been some corporate network security risks.This article from the corporate network security risks exist starting from the perspective of management and maintenance measures for the two talk about the how to strengthen the security of enterprise networks.
Keywords:Enterprise network;Safety management;Maintenance
一、企業網絡的安全隱患
(一)網絡系統中存在安全隱患。目前,現代企業網絡大多采用以廣播技術為基礎的快速以太網的類型,傳輸協議通常為TCP/IP協議,站點以CSMA/CD機制進行傳輸信息,網絡中任何兩個節點之間的通信數據包,不僅能夠被這兩個節點的網瞳所接受,同時又無法避免地被處在同一以太網上的任何一個節點的網卡截取。因此,只要能夠接入以太網上的任一節點進行偵聽,就可以捕獲發生在該以太網上的所有信息,對偵聽到信息加以分析,就能竊取到關鍵信息。這是企業網絡安全存在的普遍安全隱患。通常,大多數企業由于網絡建設經費的不足,沒有相應的網絡安全設備,對企業的網絡安全也沒有有效的安全預警措施和防范手段。
(二)缺少專業的網絡技術管理人員。企業大多都沒自己專業的網絡技術管理人員。企業對網絡的出口、網絡監控等都缺乏有效的技術管理,而且企業內部上網用戶的身份無法一一識別,這也存在著極大的安全隱患。
(三)電子郵件的收發系統不完善,缺乏安全管理和監督的手段。企業收發電子郵件是網絡辦公的一項基礎活動,但是這個活動也是最容易感染病毒和垃圾的途徑。而企業大多在公司內部網絡中沒有設置郵件過濾系統,對郵件的監督和管理都不完善,同時,這也不符合國家對安全郵件系統提出的要求,即使出現了侵害企業利益的事件也無法及時有效地解決。
(四)網絡病毒的肆虐。只要上網便不可避免的會受到病毒的侵襲。一旦沾染病毒,就會造成企業的網絡性能急劇下降,還會造成很多重要數據的丟失,給企業帶來巨大的損失。
二、加強對企業網絡安全的管理
(一)建立健全企業關于網絡安全的規章制度。只有建立了完善的規章制度,企業的各項工作才能得以順利開展。企業要針對網絡的安全責任和懲戒措施做出詳細的書面規定,并進行相關制度的學習工作,讓企業內部的員工都對網絡安全的規章制度有所了解。對違反制度的人員要進行嚴厲處罰,同時,企業還要建立并完善企業內部的安全保密制度。
(二)規范企業網絡管理員的行為。企業內部安全崗位的工作人員要經常進行輪換工作,在公司條件允許的情況下,可以每項工作指派兩到三人共同參與,形成制約機制。網絡管理員每天都要認真的查看日志,通過日志來清楚的發現有無外來人員進入公司網絡,以便做出應對策略。
(三)規范企業員工的上網行為。根據每個員工的上網習慣不同,很多員工會把在家里使用電腦的不良習慣帶到公司里來。這就要求企業要制定規范,規定員工的上網行為,如免費軟件、共享軟件等沒有充分安全保證的軟件盡量不要安裝,同時,還要培養企業員工的網絡安全意識,注意病毒的防范和查殺的問題,增強計算機保護方面的知識。
(四)加強企業員工的網絡安全培訓。企業網絡安全的培訓大致可以包括理論培訓、產品培訓、業務培訓等。通過培訓可以有效解決企業的網絡安全問題,同時,還能減少企業進行網絡安全修護的費用。
三、企業網絡安全的維護措施
(一)使用防火墻技術。防火墻技術采用的核心思想是在相對不安全的網絡環境中建構一個相對安全的子網,也是目前國際上最流行、使用范圍最廣的一種網絡安全的技術。防火墻可以監控進出網絡的通信數據,讓允許訪問的計算機和數據進入內部網絡,將不允許進入計算機的數據拒之門外,限制一般人員訪問內網及特殊站點,最大限度地阻止網絡中的黑客訪問企業內部網絡,防止他們更改、拷貝、毀壞重要信息。因此,防火墻可以有效阻擋外網的攻擊。目前,為了提高企業網絡的安全性,企業網絡中的防火墻設置一般遵循以下原則:依照企業的網絡安全策略及安全目標,設置有效的安全過濾規則,嚴格控制外網不必要的的訪問;配置只允許在局域網內部使用的計算機的IP地址,供防火墻識別,以保證內網中的計算機之間能正確地進行文件或打印機等資源的共享。
(二)數據加密技術。企業如果要通過外網傳送一些比較重要的機密文件和數據,則必須使用加密技術對文件和數據進行保護。加密技術和防火墻技術的配合使用,可以大幅度提高信息系統和數據的安全性,有效地做到防止文件和數據外漏的危險。
(三)入侵檢測技術。在不良的企業競爭中,會有許多入侵其他企業的網絡、盜取商業機密的現象出現。為確保企業的信息安全,可以在企業網絡中安裝入侵檢測系統,這樣就可以從計算機網絡的若干關鍵點收集信息,并分析這些信息,從中發現公司的網絡中是否存在違反安全策略的行為和入侵跡象,系統一旦檢測到可疑的地址,便會自動切斷入侵者的通信,并及時發送警告給企業的網絡管理員,對企業的信息進行有效地安全保護。
四、結語
在企業的信息化建設過程中,企業的網絡安全和穩定是信息化建設發展的基礎。隨著信息技術的發展,企業的網絡安全將受到更大的威脅,這就要求企業的領導、技術人員以及普通員工都要不斷提高自身的網絡安全意識,切實保證企業網絡的安全、穩定運行。
參考文獻:
[1]萬長有.企業網絡安全技術防范措施[J].民營科技,2009,12
防火墻是網絡安全的基本防護設備,其安全性受到了越來越多人的重視,尤其是在當前科技迅猛發展的環境下,各企業也迅速的崛起,使得企業在網絡環境的推動下,也面領著嚴峻的信息安全挑戰。在這種環境下,人們對于防火墻的安全性要求也隨之提高。當前,企業的防火墻要實現安全設計,還需要對企業的網絡安全進行全方面的需求分析,通過針對性的設計,提高防火墻的實用性、功能性、安全性。
【關鍵詞】
防火墻;企業網絡安全設計;實現
1前言
計算機網絡技術的廣泛應用,為企業提供了更多的發展平臺與業務渠道,在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天,各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害,不僅嚴重威脅到企業的信息安全,而且給企業帶來較大的經濟損失,造成了企業形象的破壞。因此,才需要使用防火墻技術,通過防火墻網絡技術的安全設計,對各種病毒與網絡攻擊進行抵御,維護企業的信息安全,促進企業的健康穩定發展。
2防火墻的企業網絡安全設計原則
在企業防火墻的網絡安全設計中應該遵循一定的原則,即:全面、綜合性原則,也就是企業的網絡安全體系設計,應該從企業的整體出發,對各項信息威脅進行利弊權衡,進而制定出可行性的安全防護措施;簡易性原則,主要是對于網絡安全設計,既要保證其安全性,又要保證其操作簡便性,以免系統過于復雜而造成維護上的阻礙;多重保護原則能夠在建立多重的網絡安全機制,確保整個網絡環境安全;可擴充原則,主要是指在網絡運用過程中,要隨著新變化的出現,對于之前的網絡安全系統進行升級與擴充;靈活性原則,也就是防火墻的網絡安全設計方案,應該結合企業自身網絡現狀及安全需求,采用靈活、使用的方式進行設計;高效性原則,也就是防火墻的網絡安全設計應該確保投資與產出相符,通過安全性的設計解決方案,避免重復性的投資,讓企業投入最少的項目資金,獲得最大的收益,有效維護企業的安全[1]。
3防火墻的企業網絡安全設計
防火墻為服務器的中轉站,能夠避免計算機用戶與互聯網進行直接連接,并對客戶端的請求加以及時地接收,創建服務其的連接,并對服務器發出的信號相應加以接受,再通過系統將服務器響應信號發送出去,并反饋與客戶端。
3.1防火墻加密設計
防火墻的加密技術,是基于開放型的網絡信息采取的一種主動防范手段,通過對敏感數據的加密處理、加密傳輸,確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種,這種數據加密技術,主要是對明文的文件、數據等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護數據信息的安全,以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統資源的非授權使用,入侵行為能夠在一定程度上導致系統數據的損毀與丟失,對于企業的信息安全與網絡安全會造成較大的威脅,甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中,應該加強對入侵者檢測系統的重視,對于入侵腳本、程序自動命令等進行有效識別,通過敏感數據的訪問監測,對系統入侵者進行行為分析,加強預警機制,檢測入侵者的惡意活動,及時發現各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權者的身份識別,通過將實體身份與證據的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護。通常,證據與實體身份間為一種對應的關系,主要由實體方向提供相應的證據,來證明自己的身份,而防火墻的身份認證則通相關的機制來對證據進行驗證,以確保實體身份與證據的一致性。通過身份認證,防火墻便能夠對非法用戶與合法用戶加以識別,進而對非法用戶進行訪問設置,維護主機系統的安全。
3.4狀態檢測設計
訪問狀態檢測,是控制技術的一種,其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問,是維護企業網絡安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統訪問控制;②網絡訪問控制。其中,網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問,以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制,主要是結合企業的實際管理需求,對不同的用戶賦予相應的主機資源操作、訪問權限。
3.5包過濾數據設計
數據包過濾型的防火墻主要是通過讀取相應的數據包,對一些信息數據進行分析,進而對該數據的安全性、可信度等加以判斷,并以判斷結果作為依據,來進行數據的處理。這在個過程中,若相關數據包不能得到防火墻的信任,便無法進入該網絡。所以,這種技術的實用性很強,能夠在網絡環境下,維護計算機網絡的安全,且操作便捷,成本較低。但需要注意的是,該技術只能依據一些基本的信息數據,來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現,對用戶的定義內容進行過濾,在網絡層、數據鏈路層中截獲數據,并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全,需要對該種技術進行充分的利用,并適當融入網絡地址翻譯,對外部攻擊者造成干擾,維護網絡內部環境與外部環境的安全。
4企業網絡安全中的實現
4.1強化網絡安全管理
用將防火墻技術應用于企業的網絡安全中,還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析,對本企業存在的信息安全加以風險評估,熟悉掌握本企業網絡安全的薄弱環節,全民提高企業的信息安全。另外,企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握,對企業的未來業務發展加以合理的預測分析,進而制定出科學合理的網絡信息安全策略。同時,企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施。
4.2網絡安全需求分析
企業的網絡安全為動態過程,其設方案需要結合自身的實際狀況加以靈活設計,進而提高設計方案的適用性、安全性,維護企業整個網絡的安全。在對企業網絡需求進行分析時,還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中,對于系統使用頻繁,提供服務資源的數據庫與服務器,要在網絡環境下,確保其運行安全,以免疏導惡意攻擊與訪問;而對于網絡訪問設計應具有一定的可控性,具備相應的認證與授權功能,對用戶的身份加以識別,對敏感信息加以維護,以免企業的核心系統遭到攻擊[4];網絡資源要確保其適用性,能夠承載企業的辦公自動化系統及各項業務的運行使用,并保證網絡能夠不間斷地高效運行;同時,針對網絡管理,應該具有可操作性,在安全日志與審計上進行相關的信息記錄,以免企業信息系統管理人員的日后維護。
4.3網絡安全策略的制定
要實現企業的網絡安全,還需要對企業的實際網絡安全需求進行了解之后,針對不同的信息資源,制定出相關的安全策略,通過各種系統保密措施、信息訪問加密措施、身份認證措施等,對企業信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業的信心管理人員對整個安全系統進行監控與審計,通過監控系統的安全漏洞檢查,對威脅信息系統安全的類型與來源進行初步判斷,通過深入分析,制定出完善是網絡安全防護策略[5]。
5結束語
在互聯網環境下,信息資源的存儲量巨大,運行較為高效,不僅為企業帶來了較大發展空間,也使企業的信心安全面臨巨大的威脅。因此,企業需要加強防火墻系統的建設,提高對網絡安全系統的認識,通過有效措施,加強防火墻的安全設計,構建一個相對穩定的網絡環境,維護企業的信息安全,讓企業在可靠的信息網絡環境開發更多的客戶資源,以尋得健康、穩定、持續的發展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術,2016(02):42~44.
[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護,2016(06):78~80.
【關鍵詞】企業網絡 信息安全 策略設計
一、企業網絡信息系統安全需求
(一)企業網絡信息安全威脅分析
大部分企業在網絡信息安全封面均有一些必要措施,因為網絡拓撲結構和網絡部署不是一成不變的,因此還會面臨一些安全威脅,總結如下:
(1)監控手段不足:企業員工有可能將沒有經過企業注冊的終端引入企業網絡,也有可能使用存在安全漏洞的軟件產品,對網絡安全造成威脅。
(2)數據明文傳輸:在企業網絡中,不少數據都未加密,以明文的方式傳輸,外界可以通過網絡監聽、掃描竊取到企業的保密信息或關鍵數據。
(3)訪問控制不足:企業信息系統由于對訪問控制重要性的忽視,加之成本因素,往往不配備認證服務器,各類網絡設備的口令也沒有進行權限的分組。
(4)網間隔離不足:企業內部網絡往往具有較為復雜的拓撲結構,下屬機構多,用戶數量多。但網絡隔離僅僅依靠交換機和路由器來實現,使企業受到安全威脅。
(二)企業網絡信息安全需求分析
企業信息系統中,不同的對象具備不同的安全需求:
(1)企業核心數據庫:必須能夠保證數據的可靠性和完整性,禁止沒有經過授權的用戶非法訪問,能夠避免各種攻擊帶來的數據安全風險。
(2)企業應用服務器:重要數據得到有效保護,禁止沒有經過授權的用戶非法訪問,能夠避免各種攻擊帶來的數據安全風險。
(3)企業web服務器:能夠有效避免非法用戶篡改數據,能夠及時發現并清除木馬及惡意代碼,禁止沒有經過授權的用戶非法訪問。
(4)企業郵件服務器:能夠識別并拒絕垃圾郵件,能夠及時發現并清除木馬及蠕蟲。
(5)企業用戶終端:防止惡意病毒的植入,防止非法連接,防止未被授權的訪問行為。
二、企業網絡安全策略設計與實現
企業網絡的信息安全策略是涵蓋多方面的,既有管理安全,也有技術安全,既有物理安全策略,也有網絡安全策略。結合上文的安全分析與安全需求,企業網絡應實現科學的安全管理模式,結合網絡設備功能的不同對整體網絡進行有效分區,可分為專網區、服務器區以及內網公共區,并部署入侵檢測系統與防火墻系統,對內部用戶威脅到網絡安全的行為進行阻斷。
在此基礎上,本文著重闡述企業信息系統的網絡層安全策略:
(一)企業信息系統網絡設備安全策略
隨著網絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發現,而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備,如果這些設備退出服務,企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。
最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉,舉例來講:交換機的鄰居發現服務CDP,其功能是辨認一個網絡端口連接到哪一個另外的網絡端口,鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網絡交換機的型號與版本信息,本地虛擬局域網屬性等。因此,本文建議在不常使用此服務的情況下,應該關閉鄰居發現服務。另外,一些同樣不常使用的服務,包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。
企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知,此協議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼,以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中,應引入安全性能更高的協議,本文推薦SSH(Secure Shell Client)協議。這種協議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題,VTP應配置強口令。
(二)企業信息系統網絡端口安全策略
由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡,而網絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為,為網絡帶來了不容忽視的安全威脅。
二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后,首選會清空CAM 表,并立即啟動數據幀源地址學習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構,便很容易導致網絡交換機CAM表溢出,服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發,為非法入侵者提供網絡竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網絡交換機的端口安全維護應隨時打開;在交換機配置中設置其學習MAC地址的最大數目為1;設置網絡交換機能夠存儲其學習到的全部MAC地址;一旦網絡交換機的安全保護被觸發,則丟棄全部MAC 地址的流量,發送告警信息。對網絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網絡交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網絡交換機安全性。
(三)企業信息系統網絡BPDU防護策略
一般情況下,企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐,因為考慮到交換機通道的溝通,加之系統冷、熱備份的出發點,在企業網絡中是存在第二層環路的,這就容易引發多個幀副本的出現,甚至引起基于第二層的數據包廣播風暴,為了避免此種情況的發生,企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優先級低的BPDU數據包,攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效,就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為:在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數據包不進行任何處理,加入收到此種類型的數據包,該端口將會自動設置為“服務停止”。在此基礎上,在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包,則發出“失效”的消息,及時阻塞端口。
(四)企業信息系統網絡Spoof防護策略
在企業內部網絡中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態主機設置協議服務器,同時向用戶主機發出假冒的動態IP配置數據包,導致用戶無法獲取真實IP,不能聯網。可以采用的防范措施為:引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活,系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態IP配置數據包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協議在安全方面的防范性不足,加入非法入侵者不斷地發出ARP數據包,便容易導致全部用戶終端的ARP表退出服務,除去靜態綁定IP與MAC之外,本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下,端口將無法發出ARP的響應,因此,黨用戶主機染毒時,其發出的假冒ARP數據包將由于與列表不匹配而被丟棄,系統安全得到了保障。
三、結束語
企業信息系統亟需一個整體性的解決方案與安全策略。本研究在闡述企業整體信息安全威脅與需求的基礎上,總結了企業網絡常見的安全問題,結合這些問題進行了信息安全策略設計,并從網絡設備防護策略、端口安全策略、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業信息安全實現方法進行了闡述,設計了相關的安全策略。
參考文獻:
[1]劉念,張建華,段斌等.網絡環境下變電站自動化通信系統脆弱性評估,電力系統自動化,2012,(8).
[2]王治綱,王曉剛,盧正鼎.多數據庫系統中基于角色的訪問控制策略研究.計算機工程與科學,2011,(2).
[3]楊智君,田地,馬駿曉等.入侵檢測技術研究綜述.計算機工程與設計,2010,(12).
[4]戚宇林,劉文穎,楊以涵等.電力信息的網絡化傳輸是電力系統安全的重要保證.電網技術,2009,(9).
[關鍵詞]信息 網絡安全 制度
一、概述
近年來大港油區各單位的信息化建設工作都在循序漸進的進行著,接入油田網絡的電腦終端數量越來越多,除了桌面電腦、服務器、存儲、路由器、交換機……設備的大量增加以滿足辦公需要,各種操作系統、數據庫、應用系統……也在不斷地擴充。隨著這些硬件、軟件、系統的廣泛應用,信息安全的重要性日益顯現。
二、企業信息系統狀況
1.信息化整體狀況
(1)計算機網絡
該企業現有計算機240余臺,通過內部網相互連接,根據油田公司統一規劃,通過交換機與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
(2)應用系統
隨著近年來整個大港油田信息化建設的不斷深入,各專業路的各項工作與這個網絡早已經密不可分了。2010年油田公司各專業部門新上線或升級的信息系統超過20余套,范圍涉及管理處生產、安全、經營、財務、人事、勞資、黨群等所有部門,因此維護網絡的信息安全,保障網絡高效、穩定運行,直接關系著管理處全年生產、經營任務能否順利完成。
2.信息安全狀況
計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護,不因偶然或惡意的原因遭到破壞、泄露,能確保網絡連續可靠的運行。
網絡安全其實就是網絡上的信息存儲和傳輸安全。
信息安全是網絡安全中最重要的一部分,其它的東西在遭破壞后還可以重新恢復或補救,而信息一旦丟失或者遭盜竊,那帶來的損失就是無法估量的。
三、網絡安全管理
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部有意或無意的不安全網絡操作。歸結起來,針對網絡安全的威脅主要有:
1.人為的無意失誤:如網絡用戶安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬戶隨意轉借他人或者與別人共享等,這些行為都會對網絡安全帶來威脅。
2.人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄露。
3.網絡軟件的漏洞和“后門”:網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。
隨著網絡的迅速發展,網絡的安全性顯得非常重要,這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息,通過網絡非法進入遠程主機,獲取儲存在主機上的機密信息,或占用網絡資源,阻止其他用戶使用等。
(1)RSW-防毒墻
防毒墻技術是通過IP過濾和服務器等軟件方法在企業內部網和外部互聯網之間搭建一個網絡安全屏障,即所謂的“墻”,以保護企業內部網中的信息數據,只有授權用戶才能獲準進入企業內部網的系統。
(2)Symantec服務器
目前管理處網絡全面部署了Symantec網絡防病毒軟件,更好的保證防病毒系統的正常運行,防止病毒的入侵。Symantec(賽門鐵克)殺毒軟件,包括Symantec AntiVirus即SAV系列,Symantec Client Security即SMS系列,以及Symantec Endpoint Protection即SEP系列,都是專門為企業級用戶定制的。三個桌面安全系統均包括服務器端安裝程序和客戶端安裝程序,由油田公司統一配置安裝,通過配置服務器端,每臺客戶端都能通過服務器端及時更新,服務器端通過網絡與Symantec升級服務器連接來進行更新。
四、加強網絡信息安全管理的辦法
1.規范網絡的使用管理
搞好計算機網絡信息安全管理,思想是先導,技術是保障,管理是關鍵。因此,應建立正規的管理秩序。要嚴格落實各項網絡安全制度,各類信息上網前要經過嚴格審查,要嚴格選配和管理網絡操作人員,保證從事網絡信息工作的人員有較高的政治覺悟和強烈的責任心。
2.采取多種防范措施
技術問題最終要靠技術來解決。從根源做起,最重要的是注重計算機病毒、惡意軟件的防范工作。對計算機設置開機登錄密碼;安裝桌面安全系統,并定期升級掃描計算機;定期檢測計算機是否存在黑客工具、惡意軟件及瀏覽器惡意插件;不安裝與工作無關的軟件等,一點一滴,從細節做起,使每位網絡用戶意識到對自己的負責,就是對企業的負責,就是對整個企業網的安全負責。
3.加強專業隊伍建設
計算機網絡是高科技發展的產物,保障一個企業安全平穩運行,做好網絡安全防護工作,關鍵在人的素質。而網絡管理是一個技術性很強的崗位,對于從事網絡安全的人員來說,技術往往是不進則退。因此網絡管理員必須要不斷加強自身的業務知識學習,面對難題才能游刃有余。
五、總結
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的網絡安全制度、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用,才能完好、實時地保證信息的完整性和正確性,為網絡提供強大的安全服務――這才是營造良好的網絡安全環境的唯一手段。
參考文獻:
關鍵詞:網絡安全;防火墻;網絡管理;VPN
一、 前言
我國的網絡安全產業經過十多年的探索和發展已得到長足了發展。特別是近幾年來,隨著我國互聯網的普及以及政府和企業信息化建設步伐的加快,對網絡安全的需求也以前所未有的速度迅猛增長,這也是由于網絡安全問題的日益突出,促使網絡安全企業不斷采用最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,也進一步促進了網絡安全技術的發展。
二、 企業網絡安全系統現狀
如果想從根本上克服網絡安全問題,我們需要首先分析距真正意義上的網絡安全到底存在哪些差距。
就目前而言,企業的網絡安全還存在這樣或那樣的問題,離真正的安全的網絡還有不可逾越的差距。
1. 網絡安全管理體系不完善,需要通過實施策略對流程進行細化,其它體系也需要按照網絡安全管理體系和流程要求不斷完善其內容。
2. 涉及網絡安全的各個層次,特別是基層人員對網絡安全工作的重要性認識不足,必須強化把網絡安全作為一項重點工作開展,并對如何開展安全工作和需要做哪些安全工作、達到什么目標有明確要求。
3. 網絡安全管理組織不完整,現階段網絡/應用系統的安全工作基本上由各維護單位和人員承擔,安全責任相對比較分散,存在一定程度的安全責任無法落實到具體人的現象。
4. 具有普及性的安全教育和培訓不足,人員信息安全意識水平不統一。
5. 在物理與環境安全、系統和網絡安全管理、系統接入控制方面仍然存在一定差距,在安全策略、安全組織、人員管理、資產分類控制、安全審計方面存在明顯不足。
6. 防病毒系統沒有實現整體統一,存在防病毒的局部能力不足。
7. 網絡/應用系統防護上采取了防火墻等安全產品和硬件冗余等安全措施,但安全產品之間無法實現聯動,安全信息無法挖掘,安全防護效果低,投資重復,存在一定程度的安全孤島現象。另外,安全產品部署不均衡,各個系統部署了多個安全產品,但在系統邊界存在安全空白,沒有形成縱深的安全防護。
8. 對終端管理沒有統一策略,操作系統版本、操作系統補丁等沒有統一的標準和管理。
9. 沒有應急響應流程和業務持續性計劃,發生安全事件后的處理和恢復流程不足,對可能造成的業務中斷沒有緊急預案。
三、企業網絡安全對策
現階段,為了保證網絡的正常運行,可采用以下幾種技術方法:
1.防范網絡病毒。網絡病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。所以,最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。
2.設置防火墻。利用防火墻在網絡通信時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
3.VPN: 企業規模的擴大,不同分支機構之間的網絡連接既要考慮到安全可靠,又同時要考慮到成本問題,所有的網絡通訊均使用專線連接固然是安全,但成本因素卻是無法回避的問題。因而,安全、廉價的VPN技術應運而生并得到了廣泛的應用,通過在網絡邊界處架設VNP網關,實現企業的分支機構間通過Internet實現安全可靠的低成本連接。
4.采用入侵檢測系統。入侵檢測系統能夠識別出任何不希望有的活動,并限制這些活動,以保護系統的安全。內部局域網采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,構架成一套完整的主動防御體系。
5.建立網絡安全監測系統。在網絡的www服務器、E-mail服務器等中使用網絡安全監測系統,實時跟蹤、監視網絡,截獲網上傳輸的內容,并將其還原成完整的www、E-mail、FTP、Telnet應用的內容,同時建立保存相應記錄的數據庫,發現在網絡上傳輸的非法內容,及時向上級安全網管中心報告,予以解決。
6.利用網絡監聽并維護子網系統安全。對于網絡內部的侵襲,可以采用對各個子網建立一個具有一定功能的過濾文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序,該軟件的主要功能是長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的過濾文件提供備份。
7.安全技術培訓
提供層次化的安全專題講座,包括安全技術基礎、各操作系統安全、信息安全管理以及一系列培訓。
四、結論
綜合以上的分析,我們可以得出一個結論:那就是企業當前所面臨的安全形勢在變得更加嚴峻,不同種類的安全威脅混合在一起給企業網絡的安全帶來了極大的挑戰,從而要求我們的網絡安全解決方案集成不同的產品與技術,來針對性地抵御各種威脅。我們的總體目標就是通過信息與網絡安全工程的實施,建立完整的企業信息與網絡系統的安全防護體系,在安全法律、法規、政策的支持與指導下,通過制定客戶化的安全策略采用合適的安全技術和進行制度化的安全管理,保障企業信息與網絡系統穩定可靠地運行,確保企業與網絡資源受控合法地使用。
參考文獻:
[1]盧開澄:《計算機密碼學—計算機網絡中的數據預安全》(清華大學出版社 1998)
[2]余建斌:《黑客的攻擊手段及用戶對策》(北京人民郵電出版社 1998)
[3]蔡立軍:《計算機網絡安全技術》(中國水利水電出版社 2002)