首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 企业网络安全论文范文

企业网络安全论文范文

前言:我们精心挑选了数篇优质企业网络安全论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

企业网络安全论文

第1篇

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

第2篇

随着网络中传播的木马、病毒等开发、设计技术的强化和智能化,其传播速度越来越快,传播途径也越来越广泛,并且隐藏周期更长,更难以被人发现,尤其是在互联网时代,化工企业的生产控制、经营办公等信息数据均通过互联网连接在一起,并且非专业的技术人员很少定期进行查毒和杀毒,导致网络中弥漫着ARP病毒、FTP病毒、震荡波病毒、邮件病毒和网页病毒等,导致计算机网络性能逐渐降低,服务效率大幅度下降。

2化工企业网络安全防御措施

2.1应用层安全防御措施

在化工企业网络中,应用层与网络用户直接接触,因此为了保护应用层安全,需要强化第一道安全屏障,可以采取的措施包括设置用户/组角色,实行单一角色登陆及认证,为用户分配固定的安全控制权限标识,限制用户的访问权限,并且建立动态配置机制,以便更好地控制网络资源,避免病毒、木马和黑客攻击核心数据资源,确保用户实现有效控制访问。

2.2接入层安全防御措施

接入层可以根据不同的IP组,分类控制访问网络资源的模式,并且能够强化远程接入的防御能力。由于化工企业员工众多,需要根据其所在的不同部门,设置不同的访问权限,仅仅依赖角色控制难以实现访问资源的合理管理,因为角色管理是人为的,无法更好地从根本上进行控制,因此根据客户机的IP地址、MAC地址、交换机端口地址划分VPN,可以有效地实现远程访问VPN、IntranetVPN或ExtranetVPN,共同构建良好的VPN模式,并且在实现远程接入过程中,可以采用隧道加密协议,将VPN根据不同的访问权限和重要程度划分为PPTPPN、L2TPPN、IPSecPN和MPLSPN等,以便能够对传输的数据进行不同层次的加密,更好保护化工企业网络的数据传输有效性、安全性、准确性。

2.3传输层防御措施

目前,化工企业网络传输层的防御措施也有很多个,比如构建入侵检测、防火墙和审计分析体系,因此可以使用杀毒防毒软件、防火墙、虚拟局域网和ACL等具体的措施进行实现,可以为化工企业网络构建一个完善的网络防火墙体系,确保网络用户的认证信息是完整的,保证网络用户不受到病毒、木马侵袭和黑客的攻击。

2.4主动防御体系

为了更好地面对网络安全面临的威胁,化工企业除了在接入层和传输层采用传统的安全防御措施之外,同时构建主动的安全防御体系,采用主动安全防御措施,以便能够确保网络的正常使用。构建主动安全防御体系时,网络主动预警技术主要包括网络主动预警、响应、检测、保护、恢复和反击六个方面,其中核心内容是网络主动预警技术和主动响应技术,其也是与传统的防御技术具有较大区别的方面。在网络主动预警过程中,首先可以通过遗传算法、支持量机、BP神经网络等技术进行入侵检测,以便能够有效地确定网络中是否存在非法数据流等信息,扫描网络操作系统是否存在漏洞,以便能够根据数据库、知识库中保存的经验数据,判断网络信息流中是否存在非法的内容及相关的特征,及时主动地采取漏洞预警、攻击预警、行为预警、情报采集预警等技术,进行网络主动预警。

2.5网络主动响应技术

网络主动预警技术可以发现即将或者已经发生的网络攻击行为,网络主动响应技术可以对相关的攻击行为进行防御,以便能够最大化地降低网络攻击行为带来的影响。目前,网络主动响应技术可以搜集攻击数据,对其进行实时的分析,判断攻击源所在的位置,以便能够采用网络防火墙等阻断攻击源,或者可以采用网络攻击诱骗技术或者僚机技术,将网络中已经或正在发生的攻击行为引诱到一个无关紧要的主机上,降低网络攻击造成的危害。

3结语

第3篇

1.1主观因素

(1)从使用网络的人来看,网络使用者的安全防范意识不尽相同,有的人非常重视网络安全,有的人甚至不知道什么是网络安全,网络安全意识薄弱。

(2)从黑客的角度来分析,黑客对于网络安全的威胁是目前最大的。黑客通常是利用技术将带有病毒的游戏、网页、多媒体等放入软件终端,电脑使用者不留意就会点开这些资源,黑客就会监控电脑的一切活动,会偷取计算机上的用户名、账户、密码等个人隐私数据,或者占用系统资源,严重的情况下会导致系统崩溃,企业相关的资料都会消失,损害企业的经济、财产,并为网络安全带来威胁。

1.2客观因素

石油企业应用网络办公都已经形成了企业独立的网络系统,但还是受到网络安全的威胁,主要是由于影响石油企业网络安全的自然原因主要是操作系统和软件的漏洞。随着科技的发展,网络操作系统和应用软件总在不断地更新,而且其更新比较慢,这就为黑客的入侵提供了缝隙。

2、石油企业网络安全的防护技术措施

随着石油企业网络安全问题的频繁出现,网络使用者必须重视网络安全问题,必须对网络安全采取有效的防护技术和措施,为企业提供安全的网络管理平台。

2.1石油企业建立健全企业规章制度

为了确保企业网络安全,必须建立完善的安全系统,了解网络安全的重要性。对于网络安全事故的发生,应采取处罚制度,并进行记录,一旦出现重大网络安全事故,可以做到有证据可依。

2.2石油企业应对网络数据采取加密技术

石油企业内一些重要的文件必须对其进行加密后再放到外部网络中,并结合防火墙技术,才能进一步提高石油企业网络信息系统内部数据的保密性和安全性,防止数据被非法人员偷盗,损害企业的利益。

2.3石油企业应加强员工网络安全知识的培训

员工作为石油企业网络的使用者,梳理员工网络安全意识变得尤为重要,只有让员工认识到网络安全的危害和意义才能从根本上防止主观因素网络安全问题的发生。石油企业应加强对员工网络安全信息的培训工作,提高员工的网络安全意识,保证企业网络安全的使用。

2.4石油企业应加强系统平台与漏洞的处理

网络管理员可以利用系统漏洞的扫描技术来提前获取网络应用过程中的漏洞,并通过漏洞处理技术快速恢复系统漏洞。

3、关于石油企业网络安全中其它防护技术

在石油企业网络安全防护技术方案中,还应该应用以下几个防护技术:访问控制技术、入侵行为检测技术、异常流量分析与处理技术、终端安全防护与管理技术、身份认证与管理技术。

3.1访问控制技术

企业可以根据企业本身的安全需求、安全级别的不同,在网络的交界处和内部划分出不同的区域,在这些区域中安装防火墙设备进行访问控制。通过防火墙设备对数据包进行过滤、对于有问题的数据进行分析,防止外部未被授权的用户入侵企业网络。单向数据输出的安全区域,防火墙设备应对外区域的访问请求进行阻止;对于需要进行双向数据交互的区域,必须按照制源地址、目的地址、服务、协议、端口内容进行精确的匹配,避免网络安全问题的出现。

3.2入侵行为检测技术

入侵检测就是在石油企业网络的关键位置安装检测软件,对入侵行为进行检测与分析。入侵检测技术可以对整个企业网络进行检测,对产生警告的信息进行记录并处理。

3.3异常流量分析与处理技术

为了保障供应服务的稳定性,避免拒绝服务攻击行为导致业务系统可用性的丧失,需要通过深度包检测。当发现网络流量有问题时,就会将恶意数据删除,保留原有的正常数据,这样就保证了有权限的用户进行正常访问。

3.4终端安全防护与管理技术

企业整体信息安全水平取决于安全防护最薄弱的环节。在石油企业中,企业比较重视网络及应用系统的保护,忽视了对终端计算机的全面防护与管理措施的保护。这些就需要企业利用安全防护管理技术在内部终端计算机进行统一安全防护和安全管理,保证信息的安全。

4、结语

第4篇

企业计算机网络所面临的威胁

当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。

1网络管理制度不完善

网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。

2网络建设规划不合理

网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。

3网络设施设备的落后

网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。

4网络操作系统自身存在漏洞

操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。

网络安全防护体系的构建策略

如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。

1完善企业计算机网络制度

制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。

2配置有效的防火墙

防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。

3采用有效的病毒检测技术

计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。

第5篇

摘要:当前,在公众移动通信持续快速增长、移动通信网络向3G全面演进的同时,WLAN、UWB、Zig-Bee、RFID等新的宽带无线接入技术和短距离无线技术相继涌现,并不断走向成熟。无线网络逐渐深入到各规模的企业中,通过无线方式传输数据使得企业内部网业务更加灵活的开展,不再局限于网线与墙面的接插面板,而无线传输标准也在近日有了比较大的改进,但是无线网络或多或少存在着一定的安全隐患问题,对于企业已经建立的无线网络又该如何保证他的安全,让我们的企业网络更加安全。

关键词:无线;网络安全;解决策略

伴随着无线网络设备的价格不断走低,以及操作上的越来越简便,无线局域网网络在最近几年企业中得到了快速普及。为了方便进行资源共享、无线打印、移动办公操作,只要耗费几百元钱购买一台普通的无线路由器和一块无线网卡设备,就可以快速地搭建好一个简易的无线局域网网络了。在这种情形下由于无线网络的特点,使本地无线局域网就非常容易遭遇插入攻击、欺诈性接入、无线通信的劫持和监视等非法攻击。

1无线网络安全产生因素

1.1安全机制不太健全

企业无线局域网大部分都采用了安全防范性能一般的WEP协议,来对无线上网信号进行加密传输,而没有选用安全性能较高的WAP协议来保护无线信号的传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置,非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号,从而非常容易地截取客户上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息,有了这些信息在手,非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入侵操作了。

此外,企业无线局域网几乎都不支持系统日志管理、入侵安全检测等功能,可以这么说企业无线局域网目前的安全机制还不太健全。

1.2无法进行物理隔离

企业无线局域网从组建成功的那一刻,就直接暴露在外界,无线网络访问也无法进行任何有效的物理隔离,各种有意的、无意的非法攻击随时存在,那么无线局域网中的各种隐私信息也会随时被偷偷窃取、访问。

1.3用户安全意识不够

企业无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能,这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过,一些不太熟悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的,往往会毫不犹豫地选用组网成本低廉、管理维护操作简便的企业无线局域网,至于无线局域网的安全性能究竟如何,相信这些初级上网用户几乎不会进行任何考虑。再加上这些不太熟悉无线网络知识的初级用户,对网络安全知识了解得更少了,这些用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。

1.4抗外界干扰能力差

无线局域网在工作的过程中,往往会选用一个特定的工作频段,在相同的工作频段内无线网络过多时,信号覆盖范围会互相重叠,这样会严重影响有效信号的强弱,最终可能会影响无线局域网的信号传输稳定性;此外,无线上网信号在传输过程中,特别容易受到墙体之类的建筑物的阻挡或干扰,这样也会对无线局域网的稳定性造成一定的影响。对于那些企业的无线局域网来说,它的抗外界干扰能力就更差了,显然这样的无线局域网是无法满足高质量网络访问应用要求的。

2企业无线解决策略。

无线网络的安全性与有线网络相差无几。在许多办公室中,入侵者可以轻易地访问并挂在有线网络上,并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。一般的方案可能是一个端到端的加密,并对所有的资源采用独立的身份验证,这种资源不对公众开放。正因为无线网络为攻击者提供了许多进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性。

防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企业。

安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11是更加强健的安全工具。IEEE802.11和RADIUS鉴权通过使用IEEE802.11标准中规定的MAC层方法或使用RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴权服务,是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击,且不符合Wi-Fi标准。

WPA、WPA2及IEEE802.11i持内置的高级加密和身份验证技术。WPA2和802.11都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。采用无线网络的企业应当充分利用这两种技术中的某一种。

漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。

基于网络的漏洞扫描。基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中TCP/IP不同端口的服务,然后将这些相关信息与系统的漏洞库进行模式匹配,如果特征匹配成功,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。

基于主机的漏洞。主机漏洞扫描则通过在主机本地的程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。

降低功率:使无线接入点保持封闭安全的第一步是正确放置天线,从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心,并使泄露到墙外的信号尽可能的少。同时,仔细地调整天线的位置也可有助于防止信号落于非法用户手中。不过,完全控制无线信号是几乎不可能的,所以还需要同时采取其它一些措施来保证网络安全。其中降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。

用户管理:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。“科技以人为本”要加强所有雇员的安全防范意识,才能使企业无线网络安全防护真正实施。

当然,不能说这些保护方法是全面而深入的,因为无线网络的弱点是动态的,还有很多,如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。

结束语:管理制度要与时俱进,而无线网络安全技术也是如此,为了企业能够更好的使用无线网络,享受新无线标准带来的高信号覆盖,高速度传输等方面的乐趣,企业网络管理员也应该实实在在的学会针对无线网络的安全管理,让企业网络特别是无线传输更加安全,将病毒与黑客入侵阻挡在无线信号大门之外。

参考文献

[1]《无线网络技术导论》作者:汪涛主编出版社:清华大学出版社

[2]《计算机网络与Internet教程[M]》.张尧学,王晓春,赵艳标,等.北京:清华大学出版社,2001.

第6篇

1.1物理层边界限制模糊

近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。

1.2入侵审计和防御体系不完善

随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。

2.构建企业网络安全防护体系

2.1企业网络安全防护体系构建目标

结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。

2.2合理划分安全域

现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。

2.3基于入侵检测的动态防护

随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。

2.4分层纵深安全防护策略

企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。

3.结语

第7篇

2:吉林省森工集团信息化发展前景与规划.

3: 吉林省林业设计院网络中心网络改造与发展规划.

4: 吉林省林业系统生态信息高速公路构建课题.

二、论文撰写与设计研究的目的:

吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.

由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.

没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".

1,论文(设计)研究的对象:

拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.

2,论文(设计)研究预期达到目标:

通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.

3,论文(设计)研究的内容:

一),主要问题:

设计解决网络地域规范与现有网络资源的利用和开发.

设计解决集中单位的网络统一部署.

设计解决多类型网络的接口部署.

设计解决分散网络用户的接入问题.

设计解决远程瘦用户网络分散点的性能价格合理化问题.

设计解决具有针对性的输入设备的自动化信息采集问题.

合理部署网络服务中心的网络平衡.

优化网络服务系统,营造合理的网络平台.

网络安全问题.

10,基本应用软件整合问题.

[nextpage]

二),论文(设计)包含的部分:

1,地理模型与网络模型的整合.

2,企业内部集中部门网络设计.

3,企业内部分散单元网络设计——总体分散.

4,企业内部分散单元网络设计——远程结点.

5,企业内部分散单元网络设计——移动结点.

6,企业网络窗口(企业外信息交流)设计.

7,企业网络中心,服务平台的设计.

8,企业网络基本应用软件结构设计.

9,企业网络特定终端接点设计.

10,企业网络整合设计.

5,论文(设计)的实验方法及理由:

由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.

6,论文(设计)实施安排表:

1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.

2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.

3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.

4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).

5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.

6.论文(设计)阶段第六周次:完成结题报告,形成论文.

三,论文(设计)实施工具及参考资料:

小型网络环境,模拟干扰环境,软件平台.

吴企渊《计算机网络》.

郑纪蛟《计算机网络》.

陈济彪 丹青 等 《计算机局域网与企业网》.

christian huitema 《因特网路由技术》.

[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.

其他相关设备,软件的说明书.

1、论文(设计)的创新点:

努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.

题目可行性说明及预期成果:

第8篇

1:长春广播电视大学毕业设计题目.

2:吉林省森工集团信息化发展前景与规划.

3: 吉林省林业设计院网络中心网络改造与发展规划.

4: 吉林省林业系统生态信息高速公路构建课题.

二、论文撰写与设计研究的目的:

吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.

由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.

没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".

1,论文(设计)研究的对象:

拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.

2,论文(设计)研究预期达到目标:

通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.

3,论文(设计)研究的内容:

一),主要问题:

设计解决网络地域规范与现有网络资源的利用和开发.

设计解决集中单位的网络统一部署.

设计解决多类型网络的接口部署.

设计解决分散网络用户的接入问题.

设计解决远程瘦用户网络分散点的性能价格合理化问题.

设计解决具有针对性的输入设备的自动化信息采集问题.

合理部署网络服务中心的网络平衡.

优化网络服务系统,营造合理的网络平台.

网络安全问题.

10,基本应用软件整合问题.

[nextpage]

二),论文(设计)包含的部分:

1,地理模型与网络模型的整合.

2,企业内部集中部门网络设计.

3,企业内部分散单元网络设计——总体分散.

4,企业内部分散单元网络设计——远程结点.

5,企业内部分散单元网络设计——移动结点.

6,企业网络窗口(企业外信息交流)设计.

7,企业网络中心,服务平台的设计.

8,企业网络基本应用软件结构设计.

9,企业网络特定终端接点设计.

10,企业网络整合设计.

5,论文(设计)的实验方法及理由:

由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.

6,论文(设计)实施安排表:

1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.

2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.

3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.

4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).

5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.

6.论文(设计)阶段第六周次:完成结题报告,形成论文.

三,论文(设计)实施工具及参考资料:

小型网络环境,模拟干扰环境,软件平台.

吴企渊《计算机网络》.

郑纪蛟《计算机网络》.

陈济彪 丹青 等 《计算机局域网与企业网》.

christian huitema 《因特网路由技术》.

[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.

其他相关设备,软件的说明书.

1、论文(设计)的创新点:

努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.

题目可行性说明及预期成果:

2、可行性说明:

第9篇

网络类毕业设计论文写作方法及答辩要求

(试 行)

一、 网络类题目的特点

学生络类题目的特点主要以校园网、小型企业网、大型企业网(多地互联)为应用场合,进行网络工程设计类或网络安全类论文的写作。

二、 网络工程设计类论文的写作

1.论文写作要求

类似于投标书,但有不同于投标书,不要有商务性质的内容(项目培训、售后服务、产品说明书、产品报价……),也一般不考虑具体综合布线(职院学校的要求),主要倾向于其技术实现。

2.论文写作基本环节

采用工程业务流程,类似于软件工程:

1)需求分析

2)功能要求

3)逻辑网络设计(设计原则、拓扑结构图、背景技术简介、IP地址规划表),也称为总体设计

4)物理网络设计(实现原则、技术方案对比,一般考虑结构化布线),也称为详细设计

5)网络实现(设备选型和综合布线属于这个阶段,但我们主要强调各种设备的配置与动态联调以实现具体目标)

6)网络测试(比较测试预期结果与实际结果)

具体实现通过采用Dynamips 模拟平台和Cisco Packet Tracer(PT)模拟平台。

3.注意事项

1)抓住题目主旨和侧重点(类似题目的需求不同,取材角度不同、参考资料的取舍也不同。不同的应用场合会采用不同的拓扑结构、路由技术(BGP、RIP、单区域和多区域的OSPF)、交换技术(Vlan、生成树、链路聚合、堆叠)、访问(接入)技术、安全技术等,只有这样题目才能各有千秋,否则就都变成了XX公司(校园)网络设计。)

2)不要有商务性质的内容(项目培训、售后服务……)

3)不要产品使用说明书和安装调试说明书

4)不建议包含综合布线的整个过程。

4.存在的问题与案例分析

1)结构不太清楚,有些环节没有

2)不应有产品说明书,具体实现要更清楚

三、 网络安全类论文的写作

1.论文写作基本环节与要求

从技术上讲主要有:

1)Internet安全接入防火墙访问控制;

2)用户认证系统;

3)入侵检测系统;

4)网络防病毒系统;

5)VPN加密系统;

6)网络设备及服务器加固;

7)数据备份系统;

从模型层次上讲主要有:

1)物理层安全风险

2)网络层安全风险

3)系统层安全风险

不同的应用需求采用不同的技术。

2. 存在的问题与案例分析

1)选题有些过于复杂而有些过于简单

2)只是简单叙述各种安全技术,没有具体实现

四、 论文答辩要求

1)论文格式:从总体上,论文的格式是否满足《韶关学院本科毕业设计规范》的要求?

2)论文提纲:设计条理是否清晰,思路是否明确;

第10篇

关键词:广电网络 有线通 安全策略 信息加密

中途分类号:TP309.2 文献识别码:A 文章编号:1007-9416(2016)05-0000-00

作为一个信息与技术均密集型的行业来说,广电网络企业所采用的现代化计算机网络,不仅要提高内部自动化办公的效率,更要保证使用有线通宽带的用户通讯时有舒适畅通的体验,其通常有线通、数据专线网络、办公网络三个部分。为了使系统正常运作,并且可以保证其稳定性,所以多种高性能设备和先进技术是必不可少的。这是因为广电的应用系统较为复杂,需要满足比较严格的条件,比如数据、图像、视频等传输要求

1 广电网络安全需及隐患

“有线通”业务是广电网络公司为用户提供的基于双向有线网络的宽带接入服务,利用遍布本市有线电视双向网络,通过EOC、EPON和 CMTS为用户提供宽带接入服务,目前“有线通”用户超过5000户,另外还包括本市银行、医保等数据专线业务,因此要加大对信息资源的保护力度,控制管理服务资源予。

1.1 广电网络安全需求

消除信息网络内部各类信息的完整性,真实性,以及可用性和不被非法泄露盗用的安全隐患,使其在存储、获取、传递以及处理过程中处于安全状态。为了使区域网保持其完整性、真实性、以及不被非法泄露盗用,使网络外部的攻击无效,加强对内部用户访问资源的控制,各类信息的获取、存储、处理和传递必须能够应对各种层次的管理要求

1.2 广电企业网络安全隐患

现如今广电企业网络面临的主要安全隐患:(1)其它网络的攻击INTERNET上黑客、恶意用户等会利用广电企业在INTERNET上接入网络系统的这一特点来攻击网络,如企图进入网络系统、实现对敏感信息的窃取、系统数据的破坏、恶意代码的设置、来严重降低或瘫痪系统服务。这个问题相当严重,不能忽视,所以相应的安全措施要适时采取,防止这类事情的发生。(2)管理及操作人员缺乏安全知识现如今信息的应用和安全技术与网络的技术发展不成正比,前者相对滞后,用户在引入和采用安全设备和系统时,没有进行全面和深入的培训和学习,没有对信息安全的重要性与技术的认识,这就会导致安全设备/系统发挥不了正确的作用,最终成为摆设。(3)雷击当地为雷电灾难多发的沿海沿江地区。一旦遭受到雷电袭击,连锁反应就会产生,整个网络就会瘫痪,设备也会收到损害,后果十分严重,这是因为很多的网络设备、终端、线路等都会牵扯到网络系统中,它们的传输方式都是通过通信电缆传输完成的,所以受到雷击的概率特别大。为了减少雷击造成的损失,就必须对整个网络系统采取相应的防雷措施。

2 广电网络企业网络安全策略

2.1 访问控制策略

为了防止非法访问,使用户身份鉴别和对重要网络、服务器的安全控制起作用,此时,最关键的是实施访问控制。为了能够使网络安全得到保证,玩不可缺的是防火墙。防火墙会进行限制网络流,合法网络流得到许可,并将非法网络流截止,在根据网络流的来源和访问目标的安全性作出判断后。可以提供在网络边界处的安全策略,对有效的简化复杂的网络安全问题,使管理成本缩小,并将潜藏的风险降低,是防火墙最大的存在意义。

2.2 加密信息策略

信息加密在实现对网内的数据、文件、口令和加强对信息的控制的保护,网上的数据传输的保证,是必不可缺的。网络节点之间的链路信息安全可以通过链路加密得到保证;源节点到目的节点之间的传输链路可以通过节点加密得到保护;端与端加密能够保护源端用户到目的端用户的数据。因此,链路加密、节点加密和端点加密三种方法是网络加密常用的方法。用户可根据实际情况进行选择。

密码技术是网络安全颇为有效的技术中的一个。通过网络加密,可以禁止非授权用户搭线偷听和入网,并且让恶意软件也没有可乘之机。

2.3 内外网互联安全策略

在网络的边界必须用安全设备进行分离,通过防火墙的路由及NAT功能,广电的信息网络对医保、银行专网的访问就得以实现。这是因为广电的银行、医保专网和内部网络的安全级别以及安全防护的要求不同,其作为核心网络是属于两个截然不同单位的。并且这样可以通过在防火墙配置严格的访问控制措施,,其他未经授权的用户不得相互访问,访问医保专网和广电信息网络的权利只有授权用户及IP地址。

3 数据备份策略

3.1 数据容灾备份设计

“本地备份”和“异地灾备”是寻常的备份方式。如果备份设备与要操作的数据、系统支撑设备的数据交换方式通常是光纤高速通路的,且两者的距离非常小,那么使用本地备份的方式。异地灾备与本地备份恰好相背,备份中心建立在离源数据、系统存放地的距离相当远的地方,这样做的好处是,当一些不能避免的事件发生时,数据或系统受到影响,而不会将破损灾备中心。

3.2 容灾恢复建议方案设计

在广电系统业务平常运作中,为了能够在出现问题故障时及时将至关重要的数据恢复,操作并备份关键数据和数据库是关键组成成份。当出现非常大的数据量或发生突发性灾难时,备份磁带却不能发挥实际作用,不能及时的将数据恢复出来,这是因为数据通常采用磁带离线备份。所以若想要编定一套完整的灾难备份方案,那么软件,特别对相关的备份,存储设备,服务器以及灾难恢复的解决是一个都不能缺少的。 应该含有主数据中心和备份中心,主数据中心是相对比较可靠的解决方案,主数据中心与备份数据中心的连接方式是通过光纤或电信网实现的。主中心系统配置主机的存储磁盘阵列中存储着数据,由于是由两台或多台服务器以及其他相关服务器组成的,所以它有很高的可靠性。有相同结构的磁盘阵列存储在异地备份中心,同样也有一台或多台备份服务器。可以在主数据中心通过配置磁带备份服务器这一途径,完成备份软件和磁带库的安装。在存储阵列和磁带库上直接将备份服务器连接上,从而实现对系统的日常数据的磁带备份的控制。

参考文献

第11篇

标签: 2010下半

网络规划设计师

下午试卷2

标准答案

分析

it 分类: 网络规划设计师

1. 本试卷满分75 分。

2. 在答题纸的指定位置填写你所在的省、自治区、直辖市、计划单列市的名称。

3. 在答题纸的指定位置填写准考证号、出生年月日和姓名。

4. 在试题号栏内用“Ο”圈住选答的试题号。

5. 答题纸上除填写上述内容外只能写解答。

6. 解答应分摘要和正文两部分。在书写时,请注意以下两点:

① 摘要字数在400字以内,可以分条叙述,但不允许有图、表和流程图。

② 正文字数为2000 字至3000 字,文中可以分条叙述,但不要全部用分条叙述的方式。

7. 解答时字迹务必清楚,字迹不清,将不评分。

从下列的2道试题(试题一和试题二)中任选1道解答。请在答卷上用“Ο”圈住选答的试题编号。若用“Ο”圈住的试题编号超过1道,则按题号最小的1道评分。

论题一 论校园网/企业网的网络规划与设计

校园网(或企业网)是计算机网络的一大分支,有着非常广泛的应用及代表性。对于校园网/企业网,完备的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。由于学校/企业的类型和规模的不同,校园网/企业网的规划设计有着多种解决方案。校园网的规划、设计、硬件建设、软件建设以及网络的使用、扩充等都要从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性和经济性等。

请围绕“论校园网/企业网的网络规划与设计”论题,依次对以下三个方面进行论述。

1、概要叙述你参与设计实施的网络项目以及你所担任的主要工作。

2、具体讨论在校园网/企业网网络规划与设计中的主要工作内容和你所采用的原则、方法和策略,以及遇到的问题和解决措施。

3、分析你所规划和设计的校园网/企业网网络的实际运行效果。你现在认为应该做哪些方面的改进以及如何加以改进。

试题写作要点:

一、论文论述的是校园网/企业网网络,要体现出校园网/企业网的应用背景,例如校园网中的教学、科研、资源共享等,企业网中的生产、销售、库存等应用。

二、叙述自己参与设计和实施的校园网/企业网网络项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。

三、能够全面和准确地描述该校园网/企业网网络的应用环境和需求,深入地阐述采用了哪些技术和方法,这些技术和方法要针对校园网/企业网网络的特点,具有一定的广度和深度。

四、对需要进一步改进的地方,应有具体的着眼点,不能泛泛而谈。

论题二 论网络规划与设计中新技术的使用

随着计算机技术和通信技术的迅猛发展,计算机网络技术的发展也可用日新月异来形容。在计算机网络的交换技术、网络安全技术、光通信技术、无线通信技术、网络存储技术等等诸多方面不断地涌现出各种新技术。在网络规划和设计中,如何根据项目的现状和实际需求,积极地引进和使用新技术,是网络规划设计师的职责。

请围绕“网络规划中新技术的使用”论题,依次对以下三个方面进行论述。

1、概要叙述你参与设计和实施的网络应用项目以及你所担任的主要工作。

2、具体阐述你在网络规划与设计中采用了哪些新技术和新方法,使用这些新技术和新方法的应用背景、需求和目的是什么?

3、分析你使用上述新技术、新方法的效果如何,以及相关的改进措施。

试题写作要点:

一、论文论述着眼点是网络技术,且是新技术,所论述的技术过于陈旧就不符合要求。网络新技术可以涉及到:光通信技术、无线通信技术、网络存储技术、安全技术等方面。理论上比较成熟而在工程上没有大规模普及应用的技术也可算新技术,例如IPV6技术等。

二、叙述自己参与设计和实施的网络应用项目应有一定的规模,自己在该项目中担任的主要工作应有一定的分量。

第12篇

论文摘要:分析电力企业信息网络的脆弱的因素。详细阐述威胁电力企业网络安全的主要行为。概括有恶意人侵、恶作剧式的网络捣乱行为、网络病毒的传播、恶意网页和软件漏洞等方面。最后提出了电力企业网络基本安全防护措施。

网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,比如系统认证和各类服务授权,数据库的加密及备份,访问及操作的控制等。但是,通过对现有电力网络的粗略调查,发现网络本身的脆弱性才是现有电力网络安全的最大威胁。

1威脸电力企业网络安全的行为

    网络本身存在的脆弱性,导致了众多威胁电力企业网络安全的行为。

1.1恶意入侵

    我相信我们可以在我们的电力企业网络上,找到很多我们需要的资料,包括机密度很高的资料。所以,想得到这些资料的人,会通过网络攻击人侵来达到目的。网络攻击人侵是一项系统性很强的工作,主要内容包括:目标分析;文档获取;密码破解;登陆系统、获取资料与日志清除等技术。正像前文提到的一样,我们的网络安全形势真的是不容乐观,所以,这种恶意人侵的行为,在电力企业网络中变得相对简单了许多。密码的获得,简直容易之至,因为有些就是空。当人侵者得到了密码之后,就可以很方便的与该机器建立连接,得到机器上的资料轻而易举,且不留痕迹。

1.2恶作剧式的网络捣乱行为

    随着 计算 机技术的推广,计算机安全技术也得到了广泛的应用,各种计算机安全软件随处可见。其中不乏功能强大且完全免费的网络安全软件,就是某些软件的共享版的功能也丝毫不可小看。在电力企业内部使用计算机的人员中,有很多计算机安全技术的爱好者。他们没有接受过系统的安全知识的学习,但是,很多网络安全软件的使用相当简单,只需点几下鼠标,就可以执行其强大的功能。而其使用者可能根本不知道这种行为所存在的危险性,也不知道目标机器的功能何在。

1.3网络病毒的传播

    计算机病毒对大家来说并不陌生,任何一个接触计算机的人可能都遭遇过病毒的危害。准确来讲,计算机病毒又可以分为两大种:一种是病毒,另一种称之为蠕虫。

    病毒是一个程序,‘段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从.个用户传送到另一个用户时厂白们就随同文件一起蔓延开来。除复制能力夕卜,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。

    蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中)对网络造成拒绝服务,以及和黑客技术相结合等等!

1.4恶意网页

    当我们的电力企业拥有了自己的网站,连接上了internet,每一个电脑使用者都在不断地点击各种网页,以寻找对自己有用的信息。这是我们不可避免的问题,但是,并不是所有的网页都是安全的。有的网站的开发者或是拥有者,为了达到某种目的,就会修改自己的网页,使之具有某种特殊的功能。例如:当我们不经意间,点击了某个网站的链接,发现我们的浏览器ie已经被改头换面,标题永远被换成了那个恶意网站的名称。通过正常的途径已经无法修改。还有的网页本身具有木马的功能,只要你浏览之后,你的机器就有可能被种下了木马,随之而来的就是你个人信息的泄露。

1.5各种软件本身的漏洞涌现

    软件本身的特点决定了它一定是个不完善的产品,会不断的涌现出不同严重程度的bug。随着软件的使用,使得软件所接触的条件日趋复杂,从而暴露出没有发现的自身缺陷。以我们熟悉的微软公司的windows系列操作系统为例,每隔一段时间,都会在微软的官方网站上贴出最近发现的漏洞补丁。

2电力 企业 网络 安全基本防范措施

    针对电力网络脆弱性,需要加强的网络安全配置和策略应该有以下几个方面。

2.1防火墙拦截

    防火墙是最近几年 发展 起来的一种保护 计算 机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制逾出两个方向通信的门槛。在网络边界上通过建立起相应的网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵人;针对电力企业的实际,我个人认为“防火墙十杀毒软件”的配置手段是比较合适的,但定期的升级工作是必须的,否则也只能是一种摆设。

    即便企业有了各种各样防火墙和杀毒软件的保护,企业系统管理员也不能够高枕无忧。为了预防意外的破坏造成信息丢失和网络瘫痪,有必要事先做好网络信息和系统的备份。当然,定期检验备份的有效性也非常重要。定期的恢复演习是对备份数据有效性的有力鉴定,同时也是对网管人员数据恢复技术操作的演练,做到遇到问题不慌乱,从容应付,提供有保障的网络访间服务。

    防火墙类型主要包括包过滤防火墙、防火墙和双穴防火墙。其中包过滤防火墙设置在网络层,可以在路由器上实现包过滤。这种防火墙可以用于禁止外部非法用户的访问,也可以用来禁止访问某些服务类型。防火墙又称应用层网管级防火墙,由服务器和过滤路由器组成,是目前教为流行的一种防火墙。双穴防火墙从一个网络搜集数据,并巨有选择的把它发送到另一个网络。

    合理的配置防火墙,是确保我们电力企业网络安全的首要选项。保证我们的网络之间的连接安全,不会在连接端口出现安全漏洞。

2.2用户管理机制

    计算机在网络中的应用,存在两种身份:一种是作为本地计算机,用户可以对本地的计算机资源进行管理和使用;另一种是作为网络中的一份子。高级的操作系统,都支持多用户模式,可以给使用同一台计算机的不同人员分配不同的帐户,并在本地分配不同的权限。在网络的服务器中安装的网络操作系统,更是存在严格的用户管理模式。微软的windows系列操作系统,从winnf开始,到win2000 server的用户管理日趋完善,从单纯的域管理,发展到活动目录的集成管理。在月朗民务器上我门可以详细规定用户的权限,有效地防止非法用户的登陆和恶意人侵。

2.3密码机制

    生活在信息时代,密码对每个人来说,都不陌生。在能源部门的主力军—电力企业的网络环境里,密码更是显得尤为重要。可以这样说,谁掌握了密码,谁就掌握了信息资源。当你失去了密码,就像你虽然锁上了门,可是别人却有了和你同样的门钥匙一样。

    特别将这个题目单独列出,是因为作为一个网络管理人员,深刻感觉到我们电力企业内部网络中,存在大量不安全的密码。比如弱口令:123, 000, admin等等。这些密码表面1二看是存在密码,但实际上用专用的网络工具查看的时候,很容易的就会被破解。某些网站和服务器的密码便是如此。

2.4升级

第13篇

论文摘要:计算机网络高速发展的同时,给信息安全带来了新的挑战。通过对国内企业信息安全面临的风险分析,有针衬性地提出常用技术防护措施。

随着信息技术迅猛发展,计算机及其网络、移动通信和办公自动化设备日益普及,国内大中型企业为了提高企业竞争力,都广泛使用信息技术,特别是网络技术。企业信息设施在提高企业效益的同时,给企业增加了风险隐患,网络安全问题也一直层出不穷,给企业所造成的损失不可估量。

1企业面临的网络安全威胁

1.1来自企业内部的攻击

大量事实表明,在所有的网络攻击事件当中,来自企业内部的攻击占有相当大的比例,这包括了怀有恶意的,或者对网络安全有着强烈兴趣的员工的攻击尝试,以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部,常常最难于检测和防范。

1.2来自企业外部的恶意攻击

随着黑客技术在互连网上的扩散,对一个既定目标的攻击变得越来越容易。一方面,对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列,另一方面商业竞争也在导致更多的恶意攻击事件的产生。

1.3网络病毒和恶意代码的袭击

与前几年病毒和恶意代码传播情况相比,如今的病毒和恶意代码的传播能力与感染能力得到了极大提升,其破坏能力也在快速增强,所造成的损失也在以几何极数上升。WwW.lw881.com如何防范各种类型的病毒和恶意程序,特别是网络病毒与邮件病毒,是任何一个企业都不得不面对的一个挑战。

2企业网络安全常用的防护措施

目前,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定适度的安全策略,采用合适的安全技术,进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。

2.1部署统一的网络防病毒系统

在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒,保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端,实现对系统、磁盘、光盘、邮件及internet的病毒防护。

2.2部署安全可靠的防火墙

企业为了在互联网上信息,共享资源,就不得不将自己的内部网络在一定程度上对外开放,这就在无形中增加了安全隐患,使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统‘就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部,外部、dmz、数据中心)网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部和外部网,保护内部网络不受攻击。

2.3部署入侵检测系统

作为防火墙的补充,入侵检测系统(工ds)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。攻击者可能来自外部网络连接,如互联网、拨号连接,或来自内部网络。攻击目标通常是服务器,也可能是路由器和防火墙。

入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。

2.4配置漏洞扫描工具

漏洞扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的漏洞描述和修补方案,形成系统安全性分析报告,从而为网络管理员来完善网络系统提供依据。通常,我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。

2.5部署综合审计系统

通俗地说,网络安全审计就是在企业的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄,而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件,以便集中报警、分析、处理的一种技术手段。

网络审计分为行为审计和内容审计,行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计,内容审计是在行为审计的基础上,不仅要知道用户的操作行为,而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。

2.6部署终端安全管理系统

由于企业内部终端数量多,人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计,通过严格的内部行为审计和检查,来减少内部安全威胁,同时也是对内部员工的一种威慑,有效强化内部信息安全的管理,将企业的信息安全管理规定通过技术的手段得到落实。

2.7建立企业身份认证系统

传统的口令认证方式虽然简单,但是由于其易受到窃听、重放等攻击的安全缺陷,使其已无法满足当前复杂网络环境下的安全认证需求,因此涌现了诸如:数字证书、动态口令、智能卡、生物识别等多种认证方式。目前,基于pki(publickeyinfrastructure)技术体系的身份

认证系统能够为企业的敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真实性和不可否认。确保企业信息资源的访问得到正式的授权,验证资源访问者的合法身份,将风险进一步细化,尽可能地减轻风险可能造成的损失。

2.8安全服务与培训

任何安全策略的制定与实施、安全设备的安装配置与管理,其中最关键的因素还是人。因此根据相关的法律、法规、政策,制定出符合企业自身特点的安全战略并加以实施,对企业的网络安全人员进行相关的专业知识及安全意识的培训,是整个网络安全解决方案中重要的一个环节。

2.9完善安全管理制度

俗话说“信息安全,三分技术,七分管理”,企业除了做好应用安全,网络安全,系统安全等保障措施外,还必须建立相应的管理机构,健全相应的管理措施,并利用必要的技术和工具、依据有效的管理流程对各种孤立、松散的安全资源的日常操作、运行维护、审计监督、文档管理进行统一管理,以期使它们发挥更大的功效,避免由于我们管理中存在的漏洞引起整个信息与网络系统的不安全。

第14篇

 

网络环境下保障企业信息的安全性对企业地发展具有重大的、直接的现实意义。深入研究与开发计算机信息安全技术,减少或避免网络信息系统的破坏与故障,对企业发展具有积极的作用。但就现实发展来看,目前企业网络信息安全建设仍处于探索阶段,优化企业网络安全,吸取前沿的安全技术,实现企业网络信息又快又好地发展成为众企业关注的焦点问题。

 

一、企业网络信息安全的基本目标

 

企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。

 

二、企业网络信息安全面临的主要威胁

 

根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。

 

三、企业网络信息安全保护措施现状

 

当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单 一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。

 

四、促进企业网络信息安全技术开发的对策与建议

 

(一)定期实施重要信息的备份与恢复

 

加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。

 

(二)构建和实施虚拟专用网络(VPN)技术

 

以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。

 

(三)完善高效的防火墙技术

 

在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。

 

(四)对关键信息和数据进行加密

 

增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者Key File等保护措施,来增强企业重要信息的保密效果。

 

五、结束语

 

企业网络信息安全体系的构建是一项系统的、长期的、动态的工程。网络环境下,信息安全技术发展的同时,新的破坏、攻击、入侵网络信息安全的手段也会不断出现。企业只有与时俱进,加大对网络信息安全技术的投入力度,才能加强对企业核心信息与数据的保护。在未来的发展过程中,企业在坚持技术策略与管理策略相结合的原则下,不断升级完善企业网络信息安全系统的开发与建设,不断提高企业的信息化水平。

 

许梅:国网四川省电力公司广安供电公司三新电力服务有限公司,党支部书记、副总经理,高级工程师。研究方向:信息工程。

第15篇

关键词:RRAS;Windows;虚拟专用网技术;安全

虚拟专用网是公共数据网的一种类型,但可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如Internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,如隧道技术、认证技术、加密技术、解密技术以及密钥管理技术等,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。

1构建RRAS服务

RRAS也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了VPN技术,但是基本上是基于网络硬件设备的,比如锐捷硬件VPN、路由器等,而利用WindowsServer2003内置的RRAS组建VPN网络价格低廉、管理方便、性能良好,而且容易维护。

利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业Web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用Windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器UNC名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用职称论文。

RRAS是WindowsServer2003的默认Windows组件,其初始状态为停用,因此在构建RRAS之前必须将其激活,只有在RRAS管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此RRAS服务已经被激活,激活状态如下图所示:

2配置远程访问服务器

2.1远程访问服务器属性的配置

2.1.1常规属性设置在WindowsServer2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以作为企业网和因特网之间的一座桥梁,因此可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台VPN服务器。

2.1.2安全设置VPN始终是通过公用网络如Internet在VPN客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS中的安全信息包括身份验证方法和记账提供程序。身份验证方法包括默认的Windows身份验证和RADIUS身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。

2.1.3远程用户IP设置远程VPN客户必须通过IP地址连接到服务器从而访问企业网络,通过IP设置可以给远程客户机指派IP地址。一般通过两种方法来指派:第一种是利用企业网络内部的DHCP服务器动态的分配IP地址,另一种方法是指定某个范围的静态地址池,其中“启用IP路由”可以使远程企业用户访问到此远程访问服务器所连接的整个企业内部网络。

2.2远程访问服务器端口的配置在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如:对WAN微型端口(PPTP)和(L2TP)的数量的更改。在WAN微型端口(PPTP)中,“远程访问连接(仅入站)”是为企业用户启用远程访问,“请求拨号路由选择连接(入站和出站)”是为企业用户启用请求拨号路由。

2.3用户拨入的配置企业远程访问服务器同时也具备域控制器的功能,它是通过“ActiveDirectory用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能,当用户拨号到企业RRAS服务器后,只要账户正确就允许与企业网络建立连接,则选择“不回拨”;当远程企业用户拨入到RRAS服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,为远程用户节省电话费用,则选择“由呼叫方设置(仅路由和远程访问服务)”。

由于企业的规模各不相同,因此企业内部节点数量和网络带宽等也不同,远程访问服务器可以根据企业自身的状况选择以下三种不同的方式来部署:

2.3.1单接口VPN服务器。此时用企业的核心路由器或硬件防火墙负责转发IP数据包到因特网并对外网提供各种服务,企业客户端在呼叫服务器时的地址就是核心路由器或硬件防火墙的公网地址。

2.3.2双接口VPN服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载,因为双接口VPN服务器网络中,客户端直接通过VPN服务器访问企业内部网络。

2.3.3服务器做VPN服务器。如果企业原先通过服务器构建企业网络,可以在服务器上启用VPN服务器,或者是直接采用ISAServer作为服务器,在ISAServer上启用VPN服务器并且代替原来的防火墙与路由器。

3构建远程客户机的网络连接

虚拟专用网络VPN客户端能使用“点对点隧道协议”(PPTP)、“第二层隧道协议”(L2TP)和“IP安全协议(IPSec)”来创建一个通往VPN服务器的安全隧道。通过这种方法,客户端就变成了专用网络上的一个远程节点。PPTP是一种常用的VPN协议,它使用支持56位密钥的MPPE增强加密方式,因此非常安全,而且易于进行配置和维护。在纯microsoft环境和混合环境中,基于PPTP的VPN客户端部署方便,而且可以通过使用远程访问策略的规则进行PPTP连接的允许或拒绝,使远程客户机能够在规定的时间访问公司局域网,并且可以实现各种安全的身份验证方式和加密方式。在客户端建立一个基于VPN的WAN微型端口(PPTP)连接后,就可以通过此连接自动获取一个VPN服务器上分配的IP地址,从而实现客户端与企业内部网络构成同一个局域网。当远程客户端通过VPN连接自动获取到一个和企业内网同一网段的IP地址后,就可以像在公司内部一样安全、方便、快速、高效地与Intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。

参考文献:

[1]IvanPepelnjakJimGuichard.MPLS和VPN体系结构[M].北京:人民邮电出版社,2004.

[2](美)罗等,刘伟琴,米强译.第二层VPN体系结构[M].北京:人民邮电出版社,2006.

扩展阅读
推荐期刊
精品推荐