時間:2023-12-20 10:47:33
導語:在加強企業網絡安全的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
電網企業營銷管理系統應用廣泛,我國各地區電網企業都建立了網絡信息管理系統,電網企業業務受理都呈現出信息化特征。隨著信息技術的不斷提高,我國電網企業網絡管理信息系統逐漸建立起來,并在一定程度上得到推廣,國家電網企業大力開展網絡管理信息系統建設,在電力生產、電力設備使用、安全監督和電力營銷等方面都應用到網絡管理信息系統,電網企業的網絡化和信息化增強,電網企業將網絡信息建設和管理放到首位,旨在通過信息技術推動電網企業的可持續發展。
二、電網企業網絡信息安全管理中存在的問題
1.信息化機構建設尚不完善。電網企業網絡信息部門沒有受到足夠的重視,電網企業信息管理部門沒有在企業內部設置專門的信息化機構,電網企業沒有科學合理的信息管理崗位,電網企業信息管理部門建設落后,信息化機構建設尚不完善,電網企業缺乏專業技能良好、綜合素質較高的復合型人才。
2.電網企業網絡信息化管理水平低下。和我國信息技術的發展和應用相比,國家電網企業網絡信息化管理水平相對較低,電網企業沒有對網絡信息化管理進行不斷優化和革新,雖然我國很多電網企業都將先進的信息系統和網絡管理系統運用到企業運營中,但是并沒有及時對電網企業的網絡信息管理模式進行革新和完善,這就導致網絡信息系統不能達到預期的使用效果。
1.重視電網企業網絡信息安全規劃。對我國電網企業網絡信息進行規劃的主要目的是提升網絡信息系統的安全性,對電網企業網絡信息系統的安全問題進行全面考慮,對電網企業網絡信息安全進行科學合理的規劃,建立全面統一的網絡信息安全管理體系,能在一定程度上提高電網企業網絡信息的安全性。
2.合理劃分網絡安全區域。要對電網企業網絡安全區域進行合理劃分,根據電網企業各部分網絡信息的安全密級和安全規劃對網絡安全區域進行科學合理的劃分,通常情況下可以將電網企業網絡安全區域劃分為三部分,即重點防范區域、一般防范區域和完全開放區域,這樣才能實現電網企業網絡信息的安全管理,使得個網絡區域的工作能夠順利開展。
3.加強網絡信息安全管理和制度建設。為確保電網企業網絡信息的安全性良好,電網企業應該將網絡信息安全管理和相關制度建設當做重點內容,對電網企業網絡信息日志進行嚴格管理和安全審計,充分利用防火墻和入侵檢測系統的審計功能,對電網企業網絡信息日志進行準確記錄。重視并加強電網企業網絡信息管理制度建設,明確電網企業從業人員的職責和義務,制定網絡信息安全事故應急處理程序,加強電網企業網絡信息管理基礎設施建設,確保網絡信息系統運行環境良好,電網企業應該做好防火防水設計,確保電網企業網絡信息系統安全性能良好,運行可靠。
4.加強電網企業網絡信息管理人員的綜合培訓。電網企業網絡信息管理人員的專業水平和綜合素質對網絡信息安全具有極大的影響,電網企業必須重視并加強網絡信息管理人員的綜合培訓,提高網絡信息高級管理人員的綜合能力,使其了解網絡信息安全管理的策略及目標,制定科學合理的電網企業網絡安全管理制度。加強網絡信息系統安全運行管理和維護人員綜合能力的培訓,使其能夠充分理解電網企業網絡信息安全管理策略,掌握網絡信息系統安全操作和維護技術。讓網絡信息管理人員充分了解網絡信息安全操作流程,獲得全面的電網企業網絡信息安全知識,提高網絡信息管理人員的安全意識和技能,確保網絡信息管理人員專業水平較高,綜合素質良好,使其在電網企業網絡信息系統運行、管理和維護上充分發揮自己的職能。
四、總結
【關鍵詞】計算機;防火墻;網絡
計算機網絡快速發展給人們生產生活帶來方便的同時,也給人們的信息安全帶來了一定的隱患。在企業計算機上使用軟件防火墻,是在其中一臺計算機受到感染后,幫助防止病毒在您的網絡中傳播的重要辦法。因此,防火墻在維護企業網絡和計算機安全中的作用也日益明顯。
一、防火墻技術的發展為企業網絡防范提供了堅實的保障
(一)防火墻技術是解決網絡安全的有效手段。防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡,迫使單位強化自己的網絡安全政策。隨著Internet技術的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多。同時,作為公開的服務器,本身隨時都面臨著黑客的攻擊,安全風險比其他的原本就要高上許多。另外,應用系統安全也是風險因素中的一個,在不斷發展和增加過程中,由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。
(二)防火墻技術是當前比較流行而且是比較可行的一種網絡安全防護技術,是網絡安全的一個重要保障。計算機技術的應用與發展,帶動并促進了信息技術的變革,特別是近年來計算機網絡技術的更新與發展,不但加快了計算機的普及,而且形成了計算機技術和信息資源的強強聯合與共享的整合。目前,它在網絡安全保護中起到不可替代的作用。其既是計算機高新技術的產物,又具有低廉實惠的特點,故簡要探究防火墻技術的特點和缺陷以及其在計算機網絡安全中的重要作用。據相關部門統計,在各類安全事件中,受到垃圾郵寄干擾的占40%以上,受到網絡病毒侵染的占90%以上,受到網絡端口掃描、網頁篡改的占70%以上。如此高的網絡威脅,對企業信息特別是機密信息資源帶來極大的安全挑戰。因此,計算機與信息技術以其廣泛的滲透力和罕見的親和力,正從整體上影響著世界經濟和社會發展的進程。
(三)防火墻是網絡安全政策的有機組成部分。防火墻作為企業安全的重要保障已經被各企業廣泛認同,幾乎每時每刻都會有企業將部署防火墻提上網絡安全議程。防火墻技術它通過控制和監測網絡之間的信息交換和訪問行為來實施對網絡安全的有效管理。防火墻在網絡信息傳輸過程中其起著網絡安全把關作用,同時其可以將安全防范集中在內部網絡和外部外網絡連結的阻塞點上。防火墻的特性就是具有阻塞通信信息的功能,網絡上所有進出的信息都必須經過防火墻這一阻塞點進行檢查和傳遞。防火墻作為企業安全的重要保障已經被各企業廣泛認同,幾乎每時每刻都會有企業將部署防火墻提上網絡安全議程。
二、加強對網絡防火墻的技術要點應用
(一)加強對網絡安全重要性的緊迫性的認識。信息技術的發展,使網絡逐漸滲透到社會的各個領域,在未來的經濟競爭中,因網絡的崩潰而促成全部或局部的失敗,決非不可能。隨著互聯網技術的日益發展,互聯網已經成為我們學習知識、獲取信息、交流思想、開發潛能和休閑娛樂的重要平臺。因此,我們在思想上要把信息資源共享與信息安全防護有機統一起來,樹立維護信息安全就是保生存、促發展的觀念。加強對計算機網絡信息數據系統的保密性、完整性和可利用性的安全設置”。針對個人使用者,計算機網絡安全是保護個體信息不受外界陌生人、組織等的惡意破壞、盜取使用。我們應自覺樹立網絡安全與道德意識、了解相關的法律法規、提高利用網絡學習文化知識和加強自我保護的能力,創建文明健康的網絡風氣。管理方法:配置再完善的防火墻、功能再強大的入侵檢測系統,網絡安全,重在管理。
(二)全面采用網絡版防病毒系統。防火墻對于企業網絡的保護作用是每位企業網管所共知的,可是,企業網絡部署了防火墻,并不意味著企業網絡就不再有安全威脅。借助一流頂尖的防惡意軟件保護,遠離特洛伊木馬程序、病毒、間諜軟件、Rootkit和其他威脅。為此,企業網管不要認為網絡中部署了防火墻,企業網絡就絕對安全,不再有任何安全隱患,部署了防火墻并不等于絕對安全。因此,我們必須全面采用網絡版防病毒系統。由于安全衛士軟件是電腦系統安全保護的必要手段,及時的對病毒掃描,隔離、刪除被感染的文件,防止病毒侵入電腦系統,造成不必要的麻煩,甚至嚴重的造成系統崩潰,重要資料的丟失。所以安裝殺毒軟件是電腦網絡安全的必備措施。
(三)積極做好入侵保護系統的日常管理。電子計算機已經在各行各業得到廣泛應用,企業對計算機的依賴日益增強,計算機信息系統的安全顯得尤為重要。因此,企業應加強計算機系統信息的安全及保護。企業應建立完善的應急管理機制,包括各項制度及措施。應急管理的內容不僅包括出現硬件損壞、線路故障的硬件應急措施,還應該包括異常數據流、頻繁掉線等軟件問題。同時,要定期掃描計算機的系統。通常,防病毒程都能夠設置成在計算機每次啟動時掃描系統或者在定期計劃的基礎上運行。一些程序還可以在你連接到互聯網上時在后臺掃描系統。定期掃描系統是否感染有病毒,最好成為我們的習慣。另外,要維護物理安全性。要控制對系統的訪問,必須維護計算環境的物理安全性。例如,處于登錄狀態并且無人值守的系統容易受到未經授權的訪問。入侵者可以獲得操作系統和網絡的訪問權限。必須為計算機環境和計算機硬件提供物理保護,防止其受到未經授權的訪問。
三、結束語
總之,隨著企業中網絡用戶的逐漸增多,網絡安全問題也越來越突出。企業網絡安全不僅關系著企業的整體發展,還關系著企業中廣大職工的網絡使用安全。因此,強化和規范用戶防病毒意識等手段,積極采取防火墻技術應用到網絡安全防范之中,是保證企業的正常工作、企業職工的正常生活的重要手段。
參考文獻
[1]占科.計算機網絡防火墻技術淺析[J].企業導報,2011.(11).
近幾年來,我國電網企業網絡信息發展迅猛,電網企業信息化基礎設施較為完善,電網企業和其他企業相比信息化程度相對較高,電網企業各部門人員都使用計算機進行辦公。電網企業營銷管理系統應用廣泛,我國各地區電網企業都建立了網絡信息管理系統,電網企業業務受理都呈現出信息化特征。隨著信息技術的不斷提高,我國電網企業網絡管理信息系統逐漸建立起來,并在一定程度上得到推廣,國家電網企業大力開展網絡管理信息系統建設,在電力生產、電力設備使用、安全監督和電力營銷等方面都應用到網絡管理信息系統,電網企業的網絡化和信息化增強,電網企業將網絡信息建設和管理放到首位,旨在通過信息技術推動電網企業的可持續發展。
二、電網企業網絡信息安全管理中存在的問題
1.信息化機構建設尚不完善。電網企業網絡信息部門沒有受到足夠的重視,電網企業信息管理部門沒有在企業內部設置專門的信息化機構,電網企業沒有科學合理的信息管理崗位,電網企業信息管理部門建設落后,信息化機構建設尚不完善,電網企業缺乏專業技能良好、綜合素質較高的復合型人才。
2.電網企業網絡信息化管理水平低下。和我國信息技術的發展和應用相比,國家電網企業網絡信息化管理水平相對較低,電網企業沒有對網絡信息化管理進行不斷優化和革新,雖然我國很多電網企業都將先進的信息系統和網絡管理系統運用到企業運營中,但是并沒有及時對電網企業的網絡信息管理模式進行革新和完善,這就導致網絡信息系統不能達到預期的使用效果。
三、加強電網企業網絡安全管理的有效措施
1.重視電網企業網絡信息安全規劃。對我國電網企業網絡信息進行規劃的主要目的是提升網絡信息系統的安全性,對電網企業網絡信息系統的安全問題進行全面考慮,對電網企業網絡信息安全進行科學合理的規劃,建立全面統一的網絡信息安全管理體系,能在一定程度上提高電網企業網絡信息的安全性。
2.合理劃分網絡安全區域。要對電網企業網絡安全區域進行合理劃分,根據電網企業各部分網絡信息的安全密級和安全規劃對網絡安全區域進行科學合理的劃分,通常情況下可以將電網企業網絡安全區域劃分為三部分,即重點防范區域、一般防范區域和完全開放區域,這樣才能實現電網企業網絡信息的安全管理,使得個網絡區域的工作能夠順利開展。
3.加強網絡信息安全管理和制度建設。為確保電網企業網絡信息的安全性良好,電網企業應該將網絡信息安全管理和相關制度建設當做重點內容,對電網企業網絡信息日志進行嚴格管理和安全審計,充分利用防火墻和入侵檢測系統的審計功能,對電網企業網絡信息日志進行準確記錄。重視并加強電網企業網絡信息管理制度建設,明確電網企業從業人員的職責和義務,制定網絡信息安全事故應急處理程序,加強電網企業網絡信息管理基礎設施建設,確保網絡信息系統運行環境良好,電網企業應該做好防火防水設計,確保電網企業網絡信息系統安全性能良好,運行可靠。
4.加強電網企業網絡信息管理人員的綜合培訓。電網企業網絡信息管理人員的專業水平和綜合素質對網絡信息安全具有極大的影響,電網企業必須重視并加強網絡信息管理人員的綜合培訓,提高網絡信息高級管理人員的綜合能力,使其了解網絡信息安全管理的策略及目標,制定科學合理的電網企業網絡安全管理制度。加強網絡信息系統安全運行管理和維護人員綜合能力的培訓,使其能夠充分理解電網企業網絡信息安全管理策略,掌握網絡信息系統安全操作和維護技術。讓網絡信息管理人員充分了解網絡信息安全操作流程,獲得全面的電網企業網絡信息安全知識,提高網絡信息管理人員的安全意識和技能,確保網絡信息管理人員專業水平較高,綜合素質良好,使其在電網企業網絡信息系統運行、管理和維護上充分發揮自己的職能。
四、總結
關鍵詞:企業網絡安全;內網安全;安全防護管理
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
參考文獻:
防火墻是網絡安全的基本防護設備,其安全性受到了越來越多人的重視,尤其是在當前科技迅猛發展的環境下,各企業也迅速的崛起,使得企業在網絡環境的推動下,也面領著嚴峻的信息安全挑戰。在這種環境下,人們對于防火墻的安全性要求也隨之提高。當前,企業的防火墻要實現安全設計,還需要對企業的網絡安全進行全方面的需求分析,通過針對性的設計,提高防火墻的實用性、功能性、安全性。
【關鍵詞】
防火墻;企業網絡安全設計;實現
1前言
計算機網絡技術的廣泛應用,為企業提供了更多的發展平臺與業務渠道,在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天,各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害,不僅嚴重威脅到企業的信息安全,而且給企業帶來較大的經濟損失,造成了企業形象的破壞。因此,才需要使用防火墻技術,通過防火墻網絡技術的安全設計,對各種病毒與網絡攻擊進行抵御,維護企業的信息安全,促進企業的健康穩定發展。
2防火墻的企業網絡安全設計原則
在企業防火墻的網絡安全設計中應該遵循一定的原則,即:全面、綜合性原則,也就是企業的網絡安全體系設計,應該從企業的整體出發,對各項信息威脅進行利弊權衡,進而制定出可行性的安全防護措施;簡易性原則,主要是對于網絡安全設計,既要保證其安全性,又要保證其操作簡便性,以免系統過于復雜而造成維護上的阻礙;多重保護原則能夠在建立多重的網絡安全機制,確保整個網絡環境安全;可擴充原則,主要是指在網絡運用過程中,要隨著新變化的出現,對于之前的網絡安全系統進行升級與擴充;靈活性原則,也就是防火墻的網絡安全設計方案,應該結合企業自身網絡現狀及安全需求,采用靈活、使用的方式進行設計;高效性原則,也就是防火墻的網絡安全設計應該確保投資與產出相符,通過安全性的設計解決方案,避免重復性的投資,讓企業投入最少的項目資金,獲得最大的收益,有效維護企業的安全[1]。
3防火墻的企業網絡安全設計
防火墻為服務器的中轉站,能夠避免計算機用戶與互聯網進行直接連接,并對客戶端的請求加以及時地接收,創建服務其的連接,并對服務器發出的信號相應加以接受,再通過系統將服務器響應信號發送出去,并反饋與客戶端。
3.1防火墻加密設計
防火墻的加密技術,是基于開放型的網絡信息采取的一種主動防范手段,通過對敏感數據的加密處理、加密傳輸,確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種,這種數據加密技術,主要是對明文的文件、數據等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護數據信息的安全,以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統資源的非授權使用,入侵行為能夠在一定程度上導致系統數據的損毀與丟失,對于企業的信息安全與網絡安全會造成較大的威脅,甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中,應該加強對入侵者檢測系統的重視,對于入侵腳本、程序自動命令等進行有效識別,通過敏感數據的訪問監測,對系統入侵者進行行為分析,加強預警機制,檢測入侵者的惡意活動,及時發現各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權者的身份識別,通過將實體身份與證據的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護。通常,證據與實體身份間為一種對應的關系,主要由實體方向提供相應的證據,來證明自己的身份,而防火墻的身份認證則通相關的機制來對證據進行驗證,以確保實體身份與證據的一致性。通過身份認證,防火墻便能夠對非法用戶與合法用戶加以識別,進而對非法用戶進行訪問設置,維護主機系統的安全。
3.4狀態檢測設計
訪問狀態檢測,是控制技術的一種,其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問,是維護企業網絡安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統訪問控制;②網絡訪問控制。其中,網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問,以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制,主要是結合企業的實際管理需求,對不同的用戶賦予相應的主機資源操作、訪問權限。
3.5包過濾數據設計
數據包過濾型的防火墻主要是通過讀取相應的數據包,對一些信息數據進行分析,進而對該數據的安全性、可信度等加以判斷,并以判斷結果作為依據,來進行數據的處理。這在個過程中,若相關數據包不能得到防火墻的信任,便無法進入該網絡。所以,這種技術的實用性很強,能夠在網絡環境下,維護計算機網絡的安全,且操作便捷,成本較低。但需要注意的是,該技術只能依據一些基本的信息數據,來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現,對用戶的定義內容進行過濾,在網絡層、數據鏈路層中截獲數據,并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全,需要對該種技術進行充分的利用,并適當融入網絡地址翻譯,對外部攻擊者造成干擾,維護網絡內部環境與外部環境的安全。
4企業網絡安全中的實現
4.1強化網絡安全管理
用將防火墻技術應用于企業的網絡安全中,還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析,對本企業存在的信息安全加以風險評估,熟悉掌握本企業網絡安全的薄弱環節,全民提高企業的信息安全。另外,企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握,對企業的未來業務發展加以合理的預測分析,進而制定出科學合理的網絡信息安全策略。同時,企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施。
4.2網絡安全需求分析
企業的網絡安全為動態過程,其設方案需要結合自身的實際狀況加以靈活設計,進而提高設計方案的適用性、安全性,維護企業整個網絡的安全。在對企業網絡需求進行分析時,還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中,對于系統使用頻繁,提供服務資源的數據庫與服務器,要在網絡環境下,確保其運行安全,以免疏導惡意攻擊與訪問;而對于網絡訪問設計應具有一定的可控性,具備相應的認證與授權功能,對用戶的身份加以識別,對敏感信息加以維護,以免企業的核心系統遭到攻擊[4];網絡資源要確保其適用性,能夠承載企業的辦公自動化系統及各項業務的運行使用,并保證網絡能夠不間斷地高效運行;同時,針對網絡管理,應該具有可操作性,在安全日志與審計上進行相關的信息記錄,以免企業信息系統管理人員的日后維護。
4.3網絡安全策略的制定
要實現企業的網絡安全,還需要對企業的實際網絡安全需求進行了解之后,針對不同的信息資源,制定出相關的安全策略,通過各種系統保密措施、信息訪問加密措施、身份認證措施等,對企業信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業的信心管理人員對整個安全系統進行監控與審計,通過監控系統的安全漏洞檢查,對威脅信息系統安全的類型與來源進行初步判斷,通過深入分析,制定出完善是網絡安全防護策略[5]。
5結束語
在互聯網環境下,信息資源的存儲量巨大,運行較為高效,不僅為企業帶來了較大發展空間,也使企業的信心安全面臨巨大的威脅。因此,企業需要加強防火墻系統的建設,提高對網絡安全系統的認識,通過有效措施,加強防火墻的安全設計,構建一個相對穩定的網絡環境,維護企業的信息安全,讓企業在可靠的信息網絡環境開發更多的客戶資源,以尋得健康、穩定、持續的發展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術,2016(02):42~44.
[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護,2016(06):78~80.
企業網絡不安全因素主要分為來自企業內部和企業外部。人為造成的數據丟失和破壞;管理不規范導致的故障;技術不成熟造成的不安全因素,來自黑客的攻擊和病毒的破壞;以及不可抗力造成的數據丟失等。
1.1現代企業管理上的不足
分工不明確,權責不清晰。一方面,很容易導致對網絡運行安全的不重視,出現互相推卸責任的局面。另一方面,也容易造成操作人員的管理不嚴格,缺乏整體系統的培訓,缺乏保密意識,從而帶來安全威脅。
1.2現代企業人為上的破壞
(1)來自企業內部的攻擊。企業內部人員非法訪問企業內部資源,對企業網絡進行攻擊、破壞、惡意刪除和損壞企業數據。
(2)來自企業外部的攻擊。如黑客的攻擊,病毒的破壞等。
1.3網絡信患技術及應用上的漏洞
黑客主要是利用TCP/IP協議本身的漏洞,操作系統的漏洞,服務器的漏洞對企業網絡進行攻擊和破壞。
計算機病毒主要是通過電子郵件系統,萬維網瀏覽,FTP下載,使用移動介質等途徑對網絡進行攻擊和計算機病毒的傳播,嚴重威脅企業的網絡安全。
2.現代企迆網絡安全的防護手段
現代企業網絡安全管理的對象主要有網絡上的信息資源,保護企業網絡系統中的硬件、軟件及其他業務應用系統的數據,確保不會因惡意的、不安全的因素而遭到破壞、更改、泄漏,保障各類系統可靠運行,網絡服務不會中斷。現代企業網絡安全管理的內容主要是從管理和技術這兩個方面人手。
2.1從組織管理層面進行規范
2.1.1設立專門的信息技術管理機構、落實信息管理人員的責任
(1)成立專門負責計算機、服務器及網絡等設備的管理機構,明確各信息管理人員崗位分工和崗位職責,制定相應規章制度。
(2)加強對機房的監管,嚴格按照機房巡檢要求,認真做好機房巡查工作,及時處理出現的故障,保障機房安全穩定運行。嚴格執行計算機房人員進出登記制度,進人機房人員登記具體時間、姓名及具體事由。
(3)各類信息管理人員根據崗位分工和崗位職責,每日對企業信息系統、網絡、業務系統、數據庫、安全設備、服務器等運行情況進行監控和管理,做好相應的監管和故障排查工作,確保能及時發現和解決問題。
2.1.2加強網絡安全教育
定期在企業開展計算機網絡知識、計算機應用及網絡安全的宣傳教育活動。普及相關知識,提高企業人員的計算機應用水平,及網絡安全保密意識.
2.2從技術應用層面進行管理
2.2.1防火墻技術和網絡隔離技術
防火墻是設置在兩個或多個網絡之間的安全阻隔,用于保證本地網絡資源的安全,通常是包含軟件部分和硬件部分的一個系統或多個系統的組合。處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡的訪問,及管理內部用戶訪問外界網絡的系統。
網絡隔離是指根據數據的保密要求,將內部網絡劃分為若千個子網。確保把有害的攻擊隔離,在可信的網絡之外和保?可信網絡內部信息不泄漏的前提下,完成網間數據的安全交換。網絡隔離的形式可分為:物理隔離、協議隔離和VPN隔離等。
2.2.2加密與認證技術-
為了防止線路竊取,保證網絡會話完整性,將所有需要通過網絡傳輸的數據、文件、口令和控制信息進行加密。對于接收數據方在客戶端和服務器上要進行身份認證,只有提供有效的安全密碼、信息卡,通過驗證信息后才能獲取數據信息。通常加密方法有節點加密,端點加密,鏈路加密3種,加密是通過加密算法來實現。加密算法可分為私鑰加密算法和公鑰加密算法。
2.2.3網絡安全漏洞掃描
網絡攻擊、網絡人侵等安全事故的頻發,多數是由于系統存在安全漏洞導致的。網絡安全掃描實際上是根據模擬網絡攻擊的方式,提前獲取可能會被攻擊的薄弱環節,為系統安全提供可信的分析報告,發現未知漏洞并且及時修補已發現的漏洞。
2.2.4網絡入侵檢測
為了有效的彌補防火墻在某些方面的弱點和不足,入侵檢測系統作為一種積極主動的安全防護工具,為網絡安全提供內部攻擊、外部攻擊和誤操作的實時和動態檢測,在計算機網絡和系統收到危害之前進行報餐、攔截和響應。人侵檢測可以分為基于主機、基于網絡和混合型入侵檢測系統三類。混合型是基于主機和基于網絡的入侵檢測系統的結合,為前兩者提供了互補,還提供了人侵檢測的集中管理,采用這種技術能實現對人侵行為的全方位監測。
2.2.5客戶端的防護
⑴為了減少病毒和防止病毒在企業網絡內部中傳播,主要釆取病毒預防、病毒檢測及殺毒技術。客戶端必須安裝殺毒及木馬查殺軟件,及時查殺病毒和木馬。
(2)要及時下載和安裝補丁程序,修復系統和軟件漏洞,有效的減少安全漏洞的隱患。
(3)做好移動介質使用防護,在使甩前必須進行殺毒。
2.2.6最小授權原則
最小特權原則是系統安全中最基本的原則之一。所謂最小特權(LeastPrivilege),指的是"在完成某種操作時所賦予網絡中每個主體(用戶或進程)必不可少的特權”。最小特權原則,則是指”應限定網絡中每個主體所必須的最小特權,確保可能的事故.錯誤、網絡部件的篡改等原因造成的損失最小。
2.2.7遠程訪問控制
建立虛擬專用網(VPN)是目前實現遠程訪問的最佳選擇。VPN即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
對于遠程客戶端接入來說,只有允許經過授權鑒別的用戶才能進行接入,并設置權限級別來控制每個用戶可以訪問的網絡資源范圍。
2.2.8數據備份與恢復
數據備份是容災的基礎,當系統出現災難性事件時,成為了企業重要的數據恢復手段。數據備份與恢復是為了防止系統出現操作失誤、系統故障而導致數據丟失,將全部或部分數據集合從應用主機的硬盤或陣列,復制到其它的存儲介質的過程。建立并嚴格實施完整的數據備份方案,就能確保系統或數據受損時,能夠迅速和安全地將系統和數據恢復。
結論
1.1技術層面
在技術層面,針對廣泛的計算機網絡系統的安全威脅,可以采取相應的應對措施.首先,設置防火墻是一般企業進行網絡防御的基本措施,也是維護網絡安全的重要措施.防火墻的試著一般是進行訪問尺度的控制,將不可訪問的IP進行阻擋,放行允許訪問的IP,這樣的方式可以有效的避免不安全的IP和軟件的侵入和攻擊.其次,在企業網絡中設置關鍵部位的入侵檢測系統也是十分有效的方式,對于網絡中存在的異常行為進線檢測并發出報警信息,不僅能夠檢測到網絡入侵和攻擊,還能檢測企業內網之間的攻擊,在很大程度上彌補了防火墻的不足和功能缺陷,更好的為企業進行網絡攻擊的防御.除了以上所說的系統防護之外,還有相關的物理隔離與信息交換系統,此系統可以將影響到局域網安全的VLAN進行隔離,阻擋了其與企業內網和外網之間的信息傳遞,這樣的系統技術效果優于防火墻和入侵檢測系統.在操作系統安全當中,對于很多不需要使用的端口,可以關掉.對于病毒的防護一般常常采用殺毒軟件和系統檢測軟件相結合的方式,對系統整體的病毒進行查殺和漏洞掃描,時時保證網絡運行的安全性,保證系統能夠安全的運行,系統漏洞能夠及時的更新并得到彌補.對于企業內部沒有得到安全認證的移動設備進行監控,違反企業網絡使用相關制度的操作也進行嚴加控制,將違法的監控設備進行相關的隔離,進行更多的網絡隔離度保障,全面確保網絡安全.技術方面的加強除了以上系統上的防患方法,通過網絡反病毒能力的提高實現病毒和惡意攻擊的防護之外,還應當研發并完善高安全的網絡操作系統,研發網絡系統的操作更加人性化和高安全性能的網絡操作系統,做到系統軟硬件之間更加完善的配合.
1.2管理層面
計算機網絡系統的安全管理,除了技術層面上的完善之外,還要加強管理層面的建設.對于計算機安全保護法律、法規的力度也是十分重要的,只有做到技術防范與相關法律法規的雙項管理,才能保證計算機網絡安全效果更好的實現.計算機網絡的安全管理,首先要建立安全管理機構,加強計算機網絡的立法和執法管理,進行相應的計算機用戶的安全教育,提高計算機用戶的道德意識和安全意識,防止計算機犯罪行為的發生,還可以更好的預防計算機黑客的攻擊,計算機網路安全管理能力的加強也是十分重要的.計算機安全法、犯罪法、數據保護法等的教育和普及也是很重要的.維護計算機網絡和系統的安全,進行更多的計算機安全教育讓使用人員更好的進行使用之外,還應當建立相關的維護和管理制度,對于計算機的使用進行嚴格的管理、控制,對資料、機房等都應當設有專門的安全保護方案,進行嚴格的分工管理和等級管理制度,將企業內部的計算機使用嚴格的控制起來,保證計算機網絡的全面安全.
2計算機網絡安全防范體系的建立
企業要加強計算機網絡安全管理能力,最好的辦法就是建立計算機網絡安全防范體系,完善的安全管理體系是保證計算機網絡安全的有效手段和措施,從全局的觀念入手,進行企業計算機網絡系統的全面監督和控制,這樣的方式可以起到最佳的效果,要實現計算機網絡系統全面的安全維護,建立完善的網絡安全體系是非常有必要的.計算機網絡安全防范體系的建立是企業信息化發展的未來趨勢,是計算機網絡安全環境創造的重要措施,企業要實現信息化和現代化的管理,就必須建立完善的計算機網絡安全防范體系,以確保計算機網絡環境受到全面的監控和管理,全面杜絕安全隱患的產生.計算機網絡安全防范系統的建立,有很多值得注意的方面,要結合企業的實際情況進行相應的計算機系統是設計,構建適合企業自身需求的信息安全和網絡防御系統,以下就安全防御系統建立需要注意的幾點進行具體的討論與介紹:首先,企業網絡應當進行相應的分區,例如企業的生產專用網絡要與企業其他專用網絡進行相應的隔離,這樣是為了防止其中一個專用網絡受到病毒感染或者攻擊時,其他專用網絡不會受到影響和牽連,將外部攻擊和威脅可能造成的傷害降至最低.其次,在網絡防范系統的建立中還應當注意企業信息安全等級的劃分,對于企業的機密信息和重要信息應當進行特別設置,進行信息不同重要程度的劃分是為了設置不同的信息使用權限,進行重要信息更多的安全防護,使用不用的安全區域對不同安全等級的信息進行相應的安全管理和設置.同時,在計算機網絡安全系統建設中,相應的防火墻以、物理隔離以及入侵檢測等系統技術防護措施要堅持使用,用于保證企業系統的正常運行.還有,企業內部的網絡流量也應當有相應的規章和要求,進行流量的使用限制,保證企業內部網絡的暢通和穩定.最后,對于企業內部的系統使用應當進行相應的授權和控制,只有正規的授權管理,才能保證企業內部信息使用的更多安全,企業內部系統能夠更加正常穩定的運行.總而言之,要實現企業計算機網絡安全系統的建立,加強企業網絡安全的管理能力,除了實現計算機網絡防護軟件和硬件設施的完善管理,實現技術管理與行政管理的資額調和做之外,還應當建立層次分明的網絡保護系統防范體系,對于企業的網絡安全系統應當結構應當形成結構完整、由核心到各層次的完美配合,內外之間的嚴格限定和系統保護措施的完善執行,加強企業的層次網絡保護機制建設,將企業網絡進行內網和外網的隔離,進行專用網絡的隔離,進行安全等級的設置等,并結合先進的網絡防護技術和完善的計算機網絡管理措施,進行企業計算機網絡有層次、有規范的管理,實現計算機網絡安全系統安全系數的全面提升.
3結語
【關鍵詞】電力企業;網絡;信息安全管理;研究;建議
當下時代,網絡信息技術應用十分廣泛而且方便,而作為各種行業之中最為重要的電力企業同樣也需要網絡信息技術,運用網絡信息技術,可以給電力企業帶來快速,高額的經濟效益,但是一旦發生網絡信息泄露,或者是信息數據被別人盜取或者修改,經濟效益將會受到很大的損失。所以說當務之急是所有的電力企業,都應該仔細地面對和研究現在網絡信息安全的問題,然后提出合理的措施來預防事故的發生,保護保護我國電力企業網絡信息安全刻不容緩。
1當下中國電力企業網絡信息安全的問題與現狀
1.1網絡信息技術對于電力企業的重要性
如今是21世紀,網絡信息技術迅速發展,作為國家重中之重的電力企業對于網絡技術的應用更是十分完善,而具體到各個部門各個機關,也會有他們自己相應的局域網進行日常的工作和管理,網絡信息技術,可以說是,電力企業的燃料,一種不可缺失的依靠。據資料顯示,電力企業的各大崗位對于,網絡的使用率將近達到了百分之百,例如,發電生產自動化監控系統,就是利用網絡信息技術與電力企業的結合,很大的提高了生產過程和電力調度的自動化水平,而我國各大電力企業,都在,盡快地規劃企業信息化發展,全力建設我們的企業信息化工程,從而實現電力工業現代化,信息化。
1.2目前我國電力企業網絡信息安全的現狀
以時間為線,我們可以發現全球那計算機犯罪,屢發不止,雖然為了維護網絡信息安全,都在努力升級和維護防衛系統,但是黑客們的電腦病毒,也是隨著時代的發展而不斷更新,我們電力企業對于網絡信息安全的維護,是一個長久的計劃,1分1秒都不能松懈,然而近年來經常發生的信息安全受損事件可以充分證明,我們對于硬件和軟件的更新,還未能做到完善,對于網絡信息的安全管理措施落實的還不到位,我們電力企業的網絡安全防護能力還沒有跟得上時代與技術的發展,維護工作并沒有做好。
1.3目前我國電力企業網絡信息安全的問題
首先最明顯的一點問題,就是我國電力企業對于網絡安全的意識不高,極度缺少負責網絡安全的人才,網絡信息安全問題未能在員工們之間得到重視,員工只注重網絡系統是否方便快捷,認為信息安全隱患不會發生在自己的身邊,于是讓計算機犯罪有了可乘之機。還有我們電力企業內的硬件設施,和軟件,看似性能配置都極佳,但是還有可能有一部分設備本身,就有著缺陷和安全漏洞的存在,部分技術先進的黑客輕而易舉的就能入侵到我們的電力企業內部之中,黑客技術嫻熟的網絡黑客常常最先攻擊涉及國計民生的電力企業系統。最后一點問題就是我們的網絡安全防護能力雖然日益增強,但是還不能完全防止網絡安全信息事故的發生,一旦受到黑客的攻擊,電力企業內部的數據損失,或者被盜竊,很難找回這些數據,因為我們沒有一個完善的系統來備份或者恢復數據。
1.4電力企業網絡信息安全問題出現的原因
對于企業內部信息系統的訪問應該局限于內部員工,身份認證這一關沒有把好關就會帶來漏洞。眾所周知微軟已經停止了對WindowsXP的技術服務,所以系統本身的漏洞無法修補,然而我們國內很多電力企業的計算機應用著這個系統,風險自然會增加。另一方面我國電力企業管理層人員的網絡安全意識極度貧乏,雖然部分歲數較小的管理員工具有一定的網絡安全意識,但是由于缺乏電力企業網絡信息安全方面的知識,也無法保證企業信息的安全,管理層尚且如此,員工們得不到企業的管理和培訓,更無法有效地保護好企業信息。最重要的是電力企業很少專門的為信息安全部門設置機構,缺乏信息安全管理機制,部分電力企業甚至只讓一名相關人員負責。這樣是遠遠無法滿足一個企業信息安全的需要。
2管理電力企業信息安全的措施
2.1加強網絡信息安全意識的宣傳和培訓
電力企業信息安全管理應以人為本,把網絡信息安全的重要性落實到每個人,切實加強各個層次員工的信息安全意識,同時培訓提高工作在信息安全管理一線的員工的技能水平,只有提高了工作人員的意識,下一步計算機程序的完善才有了意義。網絡信息安全意識應該被寫入電力企業文化之中。尤其是專業做電力企業網絡數據安全的更為稀少,所以還應加強對于此類人才的招聘與培養,為長久的安全防護工作埋下種子。
2.2建立完善的信息安全管理制度
為了維護電力企業信息網絡安全,必須建立完善的網絡信息安全管理制度,企業中每個部門的領導都應重視起來,向自己屬下的各個部門施壓,促使各個部門重視并落實網絡信息安全的有關工作。管理層應嚴格要求員工做好自己相應的工作。企業內部還應設立一個專門的網絡小組,能夠全天候地進行網絡信息安全的檢查和管理,及時的做出反應維護網絡信息安全。還應設置專門的人員對設備進行定期的統計和檢查,電力企業內部的數據還應該有專人進行備份。各個部門各司其職才能安全的維護好企業內部的數據安全。
2.3做好規劃和分區管理
解決網絡安全問題不能治標不治本,要從根本上解決問題就需要從長遠的角度出發,做好詳細的全面的規劃,系統地去調研和思考怎樣能夠有效維護企業網絡信息安全,因此建立一套完善的網絡企業信息安全管理系統是尤為重要的。信息安全管理體系建立好以后就需要著手于分區的工作了,規劃是以時間為線,而分區是以部門為線。據資料顯示,當下電力企業內部的網絡安全系統,對于安全區域的劃分是分為三個重點劃分對象,分別為防范區域重點區域和開放區域,這三個重點劃分對象,應該要進行嚴格的措施來進行防護,應該設置嚴格的規則來限制訪問,提高安全級別,另外對于一些非常重要的數據服務器還有數據庫,更要加強管理并放置在安全區域。
2.4做好定期更新和檢查工作
制定的管理制度要求員工必須要嚴格遵守,管理人員本身也應該嚴格的按照工作制定計劃進行,電力企業方面也應該組織專門的小組,來進行定期的檢查,用高頻的更新工作來更好地進行防范。對于網絡信息安全管理系統也應該定時的進行更新完善,不斷地加強信息安全的技術和應用,對于工作工資工作中出現的問題進行定點定時的解決,例如數據的恢復與備份,病毒防御的應用,訪問權限的限制等方面,都需要不斷的探索進行技術更新才能增加企業內部網絡信息安全系統的防御力,為企業的運行打下堅實的基礎。只有這樣才能使電力企業的網絡信息安全管理系統持續煥發活力,持續地為企業的運行保駕護航。
3結束語
根據上文,要想有效地維護好電力企業網絡的信息安全,系統完善地做好安全管理工作,使我國的電力企業可持續發展,首先應該了解到網絡信息技術對于電力企業的重要性,以及目前我國電力企業網絡信息安全的現狀,和我國電力企業網絡信息安全面對的問題,對于上文提到的電力企業網絡信息安全問題出現的原因,對癥下藥,通過加強網絡信息安全意識的宣傳和培訓,建立完善的信息安全管理制度,做好規劃與分區管理,以及定期的更新和檢查工作,治標且治本的,使網絡信息安全管理系統持續地為維護電力企業網絡信息安全工作。電力企業管理層與各部門協同合作,不斷地發展和更新技術,從而有效地落實網絡和信息安全管理工作。
參考文獻
[1]楊天坤.發電企業網絡信息安全管理分析[J].電子制作,2013(10):102.
[2]朱琳娜,盛海港.網絡信息安全管理在電力企業中的應用[J].中國電力教育,2010,S2:132~136.
提起網絡信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網絡安全防護建設中,普遍采用傳統的內網邊界安全防護技術,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術,對網絡入侵進行監控和防護,抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基于網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。一方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅卻是來自于內部網絡用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統后,未采取任何有效防護措施就連接到危險的網絡環境中,特別是Internet;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡;桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等等,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后,用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,以太網接入等等網絡接入方式,在外網和企業內網之間建立一個安全通道。
另一個傳統網絡訪問控制問題來自企業網絡內部,尤其對于大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮,目前對于企業網管很難準確的控制企業網絡的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網絡應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內部網絡,進而造成內部網絡中敏感數據的泄密或損毀。
5.企業網絡入侵
現階段黑客攻擊技術細分下來共有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。
對于采取各種傳統安全防護措施的企業內網來說,都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網絡入侵帶入企業網絡。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外,很有可能被黑客攻陷或感染網絡病毒。同時,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態,終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內部網絡的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術上的原因,殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
3.全面的網絡準入控制
為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對于符合的外網訪問則放行。一個全面的網絡準入檢測系統。