前言:我们精心挑选了数篇优质企业网络安全隐患文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
前言
由于计算机与通信技术的快速发展,人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大,对社会的影响也日益增大,网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现,网络安全也变得日益重要。为了保证企业网络自身的安全性,必须采取有效的手段面对网络中的各种威胁[1]。
1 企业网络的威胁及其风险管理
企业网络的信息是自由传输的,尽管有各种各样的方式威胁着企业网络的安全,但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁,并根据这些威胁所导致的企业风险进行有效管理。首先,企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护,针对设备可以提供什么样的访问和怎么协调这样的工作。其次,评估需要进行网络安全保护的资源和财产。最后,分析所有对企业网络安全的可能威胁,并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失,它可以是偶然的,也可以是刻意的。威胁有很多方式,一般可以简单归纳为以下三种基本的类型:
1 未经授权的访问。指未经过授权的人员却可以访问网络资产,而且也存在对网络资产进行篡改的可能。
2 假冒。指由于伪造的凭证假冒其他人进行活动。
3 拒绝服务。指服务中断。
2 企业信息化的网络安全策略体系[2]
网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针,而且在内部网络的安全策略以及身份证明,从而为网络安全提供支持和认证。
2.1 安全策略的文档结构
a) 最高方针。是安全策略的主文档,属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。
b) 技术的规范与标准。其内容包含:各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。
c) 管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作,还能有效的推广及实行,是由最高方针引申而来,对用户协议具有规范作用。而用户协议对其不能违背。
d) 组织机构以及人员的职责。负责安全管理的组织机构以及人员职责,包含负责安全管理的机构的组织形式以及运作方式,还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性,需得到有效推广及实行。
e) 用户的协议。与用户所签署的文档及协议,包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定,并在违反安全规定时的处罚依据[3]。
2.2 建立策略体系
目前,大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系,制定出安全策略的系列文档。
建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系,其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前,由于企业中机构间的网络现状与业务情况的差别较大,所以在基本的策略体系和框架下,可以让各个机构以自身情况为基础,对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。
2.3 策略的与执行
企业网络安全的策略系列文档在制定完成后,必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外,而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前,还需要对每个员工进行相关的培训,以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作,需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工,工作的方式与流程可能还需要改变,所以其推行难度相当大;同时,安全策略的本身还可能存在这样那样的缺陷,例如太过复杂及繁琐、不切实际以及规定有所缺欠等,都会影响到整体策略的落实[4]。
3 企业信息化网络安全技术的总体方案
3.1 引入防火墙系统[5]
通过引入防火墙系统,可以利用防火墙功能中的“访问控制+边界隔离”,从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的,可以重点进行监控,以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动,当入侵检测的系统对数据包进行检测,发现异常并告知防火墙时,防火墙可以生成相应的安全策略,并将访问源拒绝于防火墙之外。
3.2 引入网络防病毒的子系统
防病毒的子系统是用来对网络病毒进行实时查杀的,从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力,提高企业网络层面安全性。
3.3 引入漏洞扫描的子系统
漏洞扫描的子系统可以定期分析安全隐患,并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统,还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统,如何确保众多信息的安全以及各类系统的稳定应用,便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描,并在定期扫描后提交漏洞和弱点分析报告,可使企业网的整体系统的安全性得以提高。
3.4 引入数据加密的子系统
对企业网重要的数据进行加密,以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据,可以使企业网络的整体安全性得以提高。
4 结语
通过以上对企业网络的安全和隐患进行的着重分析,提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛,所以对于企业网络安全的建设,需要遵循一个稳定的体系框架,同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数,进一步保证企业信息化在网络时代能够更安全、更健康的发展。
参考文献
[1] 顾晟. 企业信息化网络的安全隐患及解决策略[J].计算机时代,2010,3:19~22.
[2]丁国华,丁国强. 企业网络安全体系研究[J].福建电脑,2007,2:66~67.
[3]陆耀宾. 企业网络安全体系结构[J].电子工程师,2004,4:55~56.
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起
来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起 来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
关键词:企业网络;安全管理;维护
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 06-0000-01
Enterprise Network Security Management and Maintenance
Xiang Yijun
(Quzhou City Company of Zhejiang Tobacco Company,Quzhou324000,China)
Abstract:With the rapid development of science and technology,the popularity of computer networks have become more sophisticated,many companies are using the network of office and trade.However,with the popularity,there have been some corporate network security risks.This article from the corporate network security risks exist starting from the perspective of management and maintenance measures for the two talk about the how to strengthen the security of enterprise networks.
Keywords:Enterprise network;Safety management;Maintenance
一、企业网络的安全隐患
(一)网络系统中存在安全隐患。目前,现代企业网络大多采用以广播技术为基础的快速以太网的类型,传输协议通常为TCP/IP协议,站点以CSMA/CD机制进行传输信息,网络中任何两个节点之间的通信数据包,不仅能够被这两个节点的网瞳所接受,同时又无法避免地被处在同一以太网上的任何一个节点的网卡截取。因此,只要能够接入以太网上的任一节点进行侦听,就可以捕获发生在该以太网上的所有信息,对侦听到信息加以分析,就能窃取到关键信息。这是企业网络安全存在的普遍安全隐患。通常,大多数企业由于网络建设经费的不足,没有相应的网络安全设备,对企业的网络安全也没有有效的安全预警措施和防范手段。
(二)缺少专业的网络技术管理人员。企业大多都没自己专业的网络技术管理人员。企业对网络的出口、网络监控等都缺乏有效的技术管理,而且企业内部上网用户的身份无法一一识别,这也存在着极大的安全隐患。
(三)电子邮件的收发系统不完善,缺乏安全管理和监督的手段。企业收发电子邮件是网络办公的一项基础活动,但是这个活动也是最容易感染病毒和垃圾的途径。而企业大多在公司内部网络中没有设置邮件过滤系统,对邮件的监督和管理都不完善,同时,这也不符合国家对安全邮件系统提出的要求,即使出现了侵害企业利益的事件也无法及时有效地解决。
(四)网络病毒的肆虐。只要上网便不可避免的会受到病毒的侵袭。一旦沾染病毒,就会造成企业的网络性能急剧下降,还会造成很多重要数据的丢失,给企业带来巨大的损失。
二、加强对企业网络安全的管理
(一)建立健全企业关于网络安全的规章制度。只有建立了完善的规章制度,企业的各项工作才能得以顺利开展。企业要针对网络的安全责任和惩戒措施做出详细的书面规定,并进行相关制度的学习工作,让企业内部的员工都对网络安全的规章制度有所了解。对违反制度的人员要进行严厉处罚,同时,企业还要建立并完善企业内部的安全保密制度。
(二)规范企业网络管理员的行为。企业内部安全岗位的工作人员要经常进行轮换工作,在公司条件允许的情况下,可以每项工作指派两到三人共同参与,形成制约机制。网络管理员每天都要认真的查看日志,通过日志来清楚的发现有无外来人员进入公司网络,以便做出应对策略。
(三)规范企业员工的上网行为。根据每个员工的上网习惯不同,很多员工会把在家里使用电脑的不良习惯带到公司里来。这就要求企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的软件尽量不要安装,同时,还要培养企业员工的网络安全意识,注意病毒的防范和查杀的问题,增强计算机保护方面的知识。
(四)加强企业员工的网络安全培训。企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
三、企业网络安全的维护措施
(一)使用防火墙技术。防火墙技术采用的核心思想是在相对不安全的网络环境中建构一个相对安全的子网,也是目前国际上最流行、使用范围最广的一种网络安全的技术。防火墙可以监控进出网络的通信数据,让允许访问的计算机和数据进入内部网络,将不允许进入计算机的数据拒之门外,限制一般人员访问内网及特殊站点,最大限度地阻止网络中的黑客访问企业内部网络,防止他们更改、拷贝、毁坏重要信息。因此,防火墙可以有效阻挡外网的攻击。目前,为了提高企业网络的安全性,企业网络中的防火墙设置一般遵循以下原则:依照企业的网络安全策略及安全目标,设置有效的安全过滤规则,严格控制外网不必要的的访问;配置只允许在局域网内部使用的计算机的IP地址,供防火墙识别,以保证内网中的计算机之间能正确地进行文件或打印机等资源的共享。
(二)数据加密技术。企业如果要通过外网传送一些比较重要的机密文件和数据,则必须使用加密技术对文件和数据进行保护。加密技术和防火墙技术的配合使用,可以大幅度提高信息系统和数据的安全性,有效地做到防止文件和数据外漏的危险。
(三)入侵检测技术。在不良的企业竞争中,会有许多入侵其他企业的网络、盗取商业机密的现象出现。为确保企业的信息安全,可以在企业网络中安装入侵检测系统,这样就可以从计算机网络的若干关键点收集信息,并分析这些信息,从中发现公司的网络中是否存在违反安全策略的行为和入侵迹象,系统一旦检测到可疑的地址,便会自动切断入侵者的通信,并及时发送警告给企业的网络管理员,对企业的信息进行有效地安全保护。
四、结语
在企业的信息化建设过程中,企业的网络安全和稳定是信息化建设发展的基础。随着信息技术的发展,企业的网络安全将受到更大的威胁,这就要求企业的领导、技术人员以及普通员工都要不断提高自身的网络安全意识,切实保证企业网络的安全、稳定运行。
参考文献:
[1]万长有.企业网络安全技术防范措施[J].民营科技,2009,12
关键词企业网络安全管理维护企业网络的安全隐患
一、企业网络安全的隐患
(一)网络系统中存在安全隐患
目前,现代企业网络大多采用以广播技术为基础的快速以太网的类型,传输协议通常为TCP/IP协议,站点以CSMA/CD机制进行传输信息,网络中各个节点之间的通信数据包,不仅能够被这两个节点所接受,同时又无法避免地被处在同一以太网上的任何一个节点的网卡截取。因此,只要能够接入以太网上的任一节点进行侦听,就可以捕获在该以太网上的所有信息,对侦听到信息加以分析,就能窃取到关键信息。这是企业网络安全存在的普遍安全隐患。通常,大多数企业由于网络建设经费的不足,没有相应的网络安全设备,对企业的网络安全也没有有效的安全措施和防范手段。
(二)缺少专业的网络技术管理人员
企业大多都没自己专业的网络技术管理人员。企业对网络的出口、网络监控等都缺乏有效的技术管理,而且企业内部上网用户的这也存在着极大的安全隐患。
(三)电子邮件的收发系统不完善,缺乏安全管理和监督的手段
企业收发电子邮件是网络办公的基础活动,但是这些活动也是最容易感染病毒和垃圾的。而企业大多在公司内部网络中没有设置邮件过滤系统。对邮件的监督和管理都不完善,同时,这也不符合国家对安全邮件系统提出的要求。即使出现了侵害企业利益的事件也无法及时有效地解决。
(四)网络病毒的肆虐。只要连通网络便不可避免的会受到病毒的侵袭。一旦沾染病毒,就会造成企业的网络性能急剧下降,还会造成很多审要数据的丢失,给企业带来巨大的损失。
二、加强对企业网络安全的管理
(一)建立健全企业关于络安全的规章制度
只有建立了完善的规章制度,企业的各项工作才能得以顺利开展。企业要针对网络的安全责任和惩戒措施做出详细的书面规定,并进行相关制度的学习工作,让企业内部的员工都对网络安全的规章制度有所了解。对违反制度的人员要进行严历处罚,同时,企业还要建立并完善企业内部的安全保密制度。
(二)规范企业网络管理员的行为
企业内部安全岗位的工作人员要经常进行轮换工作,在公司条件允许的情况下,可以每项上作指派两到三入共同参与,形成制约机制。网络管理员每天都要认真的查看日志,通过问志来清楚的发现有无外来人员进入公司网络,以便做出应对策略。
(三)规范企业员工的上网行为
根据每个员工的上网习惯不同,很多员工会把在家里使用电脑的不良习惯带到公司里来。这就要求企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的软件尽量不要安装,同时,还要培养企业员工的网络安全意识,注意病毒的防范和查杀的问题,增强计算机保护方丽的知识。
(四)加强企业员工的网络安全培训
企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以任何两有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
三、企业网络安全的维护措施
(一)使用防火墙技术。防火墙技术采用的核心思想是在相对不安全的网络环境中建构一个相对安全的子网,也是目前国际上最流行、使用范围最广的一种网络安全的技术。防火墙可以监控进出网络的通信数据,让允许访问的计算机和数据进入内部网络,将不允许进入计计算机的数据拒之门外,限制一般人员访问内网及特殊站点,最大限度地阻止网络中的黑客访问企业内部网络,防止他们更改、拷贝、毁坏重要信息。因此,防火墙可以有效阻挡外网的攻击。目前,为了提高企业网络的安全性,企业网络中的防火墙设置一般遵循以下原则:依照企业的网络安全策略及安全日标,设置有效的安全过滤规则,严格控制外网不必要的访问;配置只允许在局域网内部使用的计算机的IP地址。供防火墙识别,以保证内网中的计算机之间能正确地迸行文件或打印机等资源的共享。
(二)数据加密技术。企业如果要通过外网传送一些比较重要的机密文件和数据,则必须使用加密技术对文件和数据进行保护。加密技术和防火墙技术的配合使用,可以大幅度提高信息系统和数据的安全性,有效地做到防止文件和数据外漏的危险。
(三)入侵检测技术。在不良的企业竞争中,会有许多入侵其他企业的网络、盗取商业机密的现象出现。为确保企业的信息安全,可以在企业网络中安装入侵检测系统,这样就可以从计算机网络的若干关键点收集信息,并分析这些信息,从中发现公司的网络中是否存在违反安全策略的行为和入侵迹象,系统一旦检测到可疑的地址,便会自动切断入侵者的通信,并及时发送警告给企业的网络管理员,对企业的信息进行有效地安全保护。
[关键词]企业网络;信息安全;病毒
doi:10.3969/j.issn.1673 - 0194.2015.16.052
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)16-00-01
随着计算机及通信技术的进一步发展,大部分企业都加强信息化网络建设,油田企业也不例外。安全是影响企业网络正常运行的关键。因此,油田企业要根据企业发展现状,对加强企业网络安全提出针对性建议。
1 油田企业网络安全现状
1.1 企业信息安全管理的隐患
信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面,在信息化时代,油田企业需要加强信息化网络安全管理。现阶段,油田企业信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏细化、具体化的网络安全措施,针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低,如他们不能全面掌握部分软件的功能,不重视企业网络使用规范,且存在随意访问网站,随意下载文件的现象,增加企业网络负担,影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位,负责企业内部网络软硬件的配备与管理,但现阶段,该职位员工缺乏严格的管理理念,不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网,石油企业办公区域也设置了无线路由器。但是,员工自身的手机等设备存在很多不安全因素,会影响企业网络安全性。
1.2 病毒入侵与软件漏洞
网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播,员工如果访问不法链接或下载来源不明的文件,可能会导致病毒入侵,危害信息安全。病毒入侵的原因主要有两方面,一方面,员工的不良行为带来病毒;另一方面,系统自身的漏洞导致病毒入侵。由此看来,油田企业信息化软件自身存在的漏洞也具有安全隐患。其中,主要包括基础软件操作系统,也包括基于操作系统运行的应用软件,如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。
1.3 网络设备的安全隐患
现阶段,油田企业网络设备也存在不安全因素,主要表现在两方面:第一,油田企业无论是办公区还是作业区,环境都较为恶劣,部分重要企业信息网络设备放置环境的温度、湿度不合理,严重影响硬件的使用寿命和性能,存在信息数据丢失的危险;第二,企业内部网络的一些关键环节尚未引入备份机制,如服务器硬盘,若单个硬盘损坏缺乏备份机制,会导致数据永久性丢失。
2 提高油田企业网络安全策略
2.1 加强信息安全管理
基于现阶段油田企业信息网络安全管理现状,首先,油田企业要重新制定管理机制,对各个安全隐患进行具体化、细化规范,包括员工对信息应用的日常操作规范,禁止访问不明网站和打开不明链接。其次,油田企业要强化执行力,摒除企业管理弊端,对违规操作的个人进行严厉处罚,使员工意识到信息安全的重要性,提高其防范意识和能力。再次,油田企业要招聘能力强、素质高的信息系统管理员,使其能及时发现和整改系统安全隐患。最后,对员工使用智能终端上网的现象,则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离,以避免对其产生负面影响。
2.2 加强对软件安全隐患和病毒的防范
(1)利用好防火墙防范技术。现阶段,油田企业的网络建设虽然引入防火墙设备,但没有合理利用。因此,油田企业要全面监管和控制外部数据,防止不法攻击,防止病毒入侵。同时,定期更新防火墙安全策略。
(2)对企业数据进行有效加密与备份。对油田企业来说,大部分数据具有保密性,不可对外泄密。因此,企业不仅要做好内部权限管理,还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密,数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业,可在不同地区进行备份,以防止不可抗拒外力作用下的数据丢失。
(3)合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件,并高效运行,以加强对病毒的防范。
2.3 提升网络设备安全
(1)由于油田企业内部信息网络规模较大,设备较多且部署复杂。因此,要及时解决硬件面临的问题,定期检查维修,提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况,并能及时发现潜在隐患。
(2)对处于恶劣环境中的网络设备,包括防火墙、服务器、交换机、路由器等,尽量为其提供独立封闭的空间,以确保温湿度合理。
3 结 语
信息网络安全管理是油田企业管理的关键。因此,油田企业要完善信息网络操作安全管理制度,保证软件系统、硬件设备安全运行。
主要参考文献
计算机网络起源于二十世纪六十年代,最早是由美国国防部高级研究计划署(ARPA)进行的。ARPA投资推进计算机网络的研究研发,1969年建成了著名的Internet的前身ARPANET,后来随着计算机技术的不断发展,形成了以ARPANET为主干的Internet雏形,直至今日互联网的诞生。在当今的网络环境下,物理安全、网络结构安全、系统安全、管理安全等都会对网络安全造成影响。因此,为了维护网络环境的安全,网络安全技术是必不可少的。随着国家网络信息化的不断建设与发展,各个企业都根据自己公司的需要,建成了符合公司要求的企业网,使企业员工可以很方便的访问企业的通信资源、处理器资源、存贮器资源、信息资源等。但是建立企业网就不得不面对复杂恶劣的网络环境,因为网络安全技术的不成熟,使不少企业的网络信息资源丢失或被篡改,给企业带来了不小的损失。因此,影响网络安全的因素成了企业建立企业网不得不解决的重大难题,网络安全技术也被越来越多的企业重视[1]。
2影响网络安全的因素
2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统,网络协议是信息共享的关键环节,当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议,网络信息共享才会实现,但是网络协议是存在着安全缺陷的,TCP/IP协议是目前使用最为广泛的网络协议,它的安全性,关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题,所以很容易受到“骇客”的攻击,其安全性是没有保障的[2]。
2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分,但是其自身的安全性十分脆弱,主要表现为:a.网络与计算机存在电磁信息泄漏;b.通讯部分的脆弱性,通讯线路一般是电话线、专线、微波、光缆。在进行信息数据进行传输时,前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外,软件的缺陷也是影响网络安全的重要因素,软件的缺陷是软件具有的先天特征,无论是小程序还是大型的软件系统,都有这样那样的缺陷,目前大多数网络病毒就是以软件的形式在互联网中传播,其影响不容小觑。
3国内企业网络安全的现状
随着通讯工程和电子信息技术的快速发展,互联网已经成为当今社会不可或缺的一个组成部分,已经渗透到了经济、生活等各个领域之中。为了更好的分享、利用网络信息资源,各大企业都积极的组建和发展自己的企业网。伴随着网络的发展,各种各样的网络安全问题相继而生,网络安全隐患日益突出,引起了社会各界的广泛关注。然而,企业之间的网络硬件设施却是参差不齐的,经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前,企业网络中的具有安全防护特性的硬件设备主要有:防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足,对网络安全的要求只能满足其最基本的使用要求,对于企业网络硬件基础平台的安全性来说,这种投入明显是不够的。此外,企业之间的技术管理水平也存明显的高低差距,企业的经济水平直接决定了该企业在网络技术能力上的强弱,具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度,企业员工的网络应用水平普遍偏低,缺乏网络安全意识。对此,企业应加强员工的网络安全意识,完善网络安全管理制度,如此才能确保网络环境的安全[3]。
4网络安全技术在企业网的应用措施
4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全,通讯线路安全,运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改,为了使信息数据传输更加的安全,可以选择安全性更高的光纤作为传输介质,防止数据被拦截或篡改。此外,对于网络的依赖性比较大的企业,一旦停电或者断电,就会对企业会造成不必要的损失,为了预防这种情况发生,企业应该安装不间断电源(UPS),避免这种情况发生。同时,网络中断也会对企业造成比较大的损失,为了确保通讯线路的畅通,企业做好冗余备份是必要的选择,冗余备份就是多准备一份或者几份,以备不时之需。如此一来,当一条通讯线路出了问题或者故障,导致网络中断时,会自动选择冗余备份的线路,以确保网络连接不被中断,避免不必要的损失。
4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全,由于种种原因,计算机的操作系统存在着比较多的系统漏洞(BUG)。目前大多数网络攻击就是利用BUG进行恶意攻击。为了预防这种情况发生,用户需要定期对计算机进行系统检查与修复,可以到微软官网上下载适合系统的补丁进行修复[4]。
4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的,为了有效地预防网络攻击及病毒入侵,需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外,还要对账号密码进行有效的保护;关闭不需要的服务和端口;定期对服务器进行备份;检测系统日志。
4.4网络的安全应用措施。为了更容易的获取信息资源,大多数的企业网都与外网进行了连接,这样做在方便了自己的同时,也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。这样的安全隐患也可能是企业员工在浏览网页的过程中不经意的触发了一些不安全链接,进而带入了一些恶意软件,使企业网的数据资源失窃或被篡改。为了有效防止这种情况的发生,企业网络用户在上网时,要时刻保持警惕,不要轻易的相信来自网络中的任何信息,对任何一个要进入网络的人,都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时,企业网络用户要采取一定的措施来保证信息的安全,避免信息的泄漏。此外,企业网络用户还要坚决抵制恶意网站,拒绝恶意请求,确保网络的安全应用。
5结束语
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
关键词:企业网络完全;控制策略;措施
中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2012) 12-0067-01
计算机网络的发展,给人们的生活和工作都带来非常大的帮助,有效提升了工作效率,促进了企业的发展速度,促进了我国社会经济的快速发展。但是,由于计算机网络的公开性和自由性,造成了网络安全问题也日渐严重,大量木马及病毒的泛滥,给企业带来了非常大的经济损失,造成了严重的社会影响。因此,加强安全问题的处理工作,成为人们亟待需要解决的问题。
一、网络安全问题的原因分析
网络安全问题的出现,主要是由于企业网络管理意识淡薄,网络管理工作不到位,从而导致病毒木马程序的侵入,从而给企业带来较为严重的经济损失。随着我国社会经济的快速发展,以及网络技术的不断完善,企业的发展越来越离不开网络技术的推动,因此,网络风险和安全问题也成为了阻碍企业发展的重要问题之一。
(一)企业网络管理意识的淡薄
对于企业来说,网络技术已经成为了企业发展的保障,也是企业发展必不可少的重要手段,但是,就我国多数企业来说,并不重视网络管理工作,只强调网络技术的应用,却缺乏良好的管理手段,最终造成了网络安全问题的发生。目前,网络技术已经涉及到企业的各个运作环节,从技术管理、技术监督、电子商务、档案管理以及财务管理工作,都需要由网络技术进行配合,自动化的办公条件使得企业对网络技术的依赖性也越来越高。但是,企业仅仅重视对网络技术的使用,却步重视对网络技术的管理,网络安全管理资金的缺乏,导致网络安全防御系统不完善,网络抵抗能力不足,使得网络安全问题发生频率大大增加,使企业蒙受重大经济损失。
(二)网络技术人员的能力问题
网络技术人员是维持企业网络正常运行的重要因素,如果网络技术人员个人能力素质存在一定的问题,将严重影响到企业网络管理工作的正常开展,导致网络安全防御工作的严重缺失。就目前我国企业网络管理人员来说,由于企业对网络管理工作的不重视,导致网络管理人员的薪资待遇较低,网络管理人员的工作积极性不足,网络管理人员的个人能力素质也有着非常大的不足,使得网络安全监督力度不够,网络安全防御系统脆弱,在面对病毒及木马程序入侵时很难开展有效的补救措施,从而造成严重的后果。
(三)其他问题
随着我国社会经济的不断发展,行业间的竞争也日渐激烈,部分企业为实现自身经济效益的不断增长,往往会采用较为恶劣的竞争手段,对竞争企业进行攻击,其中,企业网络攻击就是较为常用的打击手段。企业往往雇佣网络黑客对竞争对手进行网络攻击,利用木马和病毒程序进行网络入侵,对企业内部的相关数据进行窃取、复制或删除,导致竞争对手蒙受重大经济损失。由于企业缺乏网络安全管理工作,造成企业网络安全性能的大大降低,使得网络黑客有机可乘,给企业发展造成严重影响。
二、提升企业网络安全的相关措施
未来企业发展需要网络技术的支持,未来企业经济取决于企业网络技术的发展,因此,我们有必要加强企业网络管理建设,提高网络安全性能,提升企业网络安全防御能力,避免网络安全问题的发生,降低企业的网络运行风险。以下,是笔者结合多年管理经验所提出的几点提升企业网络安全管理水平的相关措施:
(一)规范企业网络行为
企业网络环境的入侵,主要是由于相关网络技术操作不当所引起的,因此,合理的规范网络行为,能够有效避免病毒和木马程序对企业网络的入侵,有效降低企业网络安全问题发生的频率。网络行为规范包括了网络设备的维护,网络数据保护以及网络操作的约束,要约束企业员工的网页操作,杜绝员工对陌生网页和危险网页的浏览,避免木马文件和病毒文件的感染,这一问题能够通过添加网络安全软件来进行有效控制,避免相关网页的浏览及开启,提升企业网络的安全性能;网络设备维护就是企业网络管理人员要对企业网络进行定期的检查和维护,针对网络漏洞进行及时的修复,提升网络安全性,从而杜绝病毒文件的侵入;网络数据保护,就是对企业重要网络文件进行加密工作,做好企业网络防火墙监督和设置,确保良好的网络运行环境,增高企业安全性能。
(二)加强网络管理人才的引入
良好的网络环境,需要网络管理人才的支持。首先,企业要正确认识网络安全问题对企业的影响,网络安全管理工作的重要性,从而加强网络安全管理力度,适当提升网络管理人员岗位薪资待遇,提升网络管理人员的工作积极性。同时,企业要加强对网络管理人才的引入工作,提升网络管理团队的整体业务能力,有效保证企业网络的安全性能;企业要加强网络管理人才的培训力度,帮助网络管理人员及时了解网络发展动向,了解相关网络病毒和网络木马,并及时掌握有效的预防措施,提高企业网络安全性能,有效避免企业经济方面的损失。
三、总结
企业网络安全管理工作对于企业的发展具有非常重要的意义,能够有效减少企业网络运行风险,避免企业相关重要文件的流失,促进企业网络环境的有效建立。因此,企业应该加强网络安全管理工作,积极进行网络安全管理队伍建设,提高网络管理人员的整体工作能力,避免网络安全问题的发生,避免网络问题对企业经济效益的影响,促进企业健康稳定的发展。
参考文献:
[1]周朝萱.企业网络安全管理与防护策略探讨[J].电脑与电信,2008,8
[关键词]企业 内部网络 安全防护 网络病毒 防火墙
中图分类号:D922.21 文献标识码:A 文章编号:1009-914X(2015)46-0073-01
近年来,信息技术在企业的管理中获得了广泛的应用,企业的许多重要商业数据、核心技术等都以信息数据的形式储存在企业的网络服务系统中。一旦这些数据遭到了窃取和泄露,将会对企业造成严重的经济损失。因此,企业内部网络安全防护系统的建设和完善具有重要的意义。
1.企业内部网络常见的安全问题
1.1 内部的网络安全威胁
一些企业中存在具有一定网络技术的员工,他们有时会出于个人的兴趣或利益对企业的内部网络系统进行恶意的入侵,窃取或篡改相关的信息。这一类的网络安全威胁影响是最大的,因为很难对这种行为进行防范。企业内部的工作人员对企业的网络系统十分了解,能够快速的找出系统中的漏洞和薄弱环节,一旦他们对网络进行攻击,很难进行抵挡和防范。
1.2 网络病毒的攻击
网络病毒也是影响企业内部网络系统安全性的主要因素之一。网络病毒具有很强的感染性和侵入性,并且能够通过对程序的篡改、破坏等删除和伪造文件,对网络系统产生极大的破坏。一旦网络系统中的一台服务器受到了病毒感染,很有可能在极短的时间内就造成整个网络系统的瘫痪,影响工作的正常开展,给企业造成严重的经济损失。
1.3 软件后门
企业的网络系统中有许多类型的软件,一旦这些软件中存在漏洞,就会给黑客入侵产生机会。若网络软件被黑客所控制,将会造成严重的后果。一些企业即使采取了物理隔离的方式对黑客的入侵进行了防范,但无法从根本上阻止黑客的入侵行为,企业数据信息被窃取的现象仍时有发生。当前市面上已经出现了一些软件能够突破企业网络安全系统的物理防护,在不被察觉的情况下窃取企业的信息。
2.企业内部网络安全防护的策略
企业的网络安全防护应当基于一定的体系,根据造成网络安全隐患的因素来制定合理的防护策略。良好的安全防护技术是网络安全的前提和保证,但仅仅依靠良好的技术是远远不够的,企业还应该加强对网络环境的维护和管理,确保网络安全维护技术能够得到有效的发挥,确保安全系统的安全、稳定运行。
2.1 部署网络防病毒系统
企业应当对内部的网络系统设置一定的网络防病毒体系,对局域网内的所有计算机安装一定的防病毒程序,实现对网络系统的实时保护。网络防病毒系统还能实现对服务器的统一管理,管理人员只需要定期的进行杀毒,就能极大的提高网络系统对病毒的抵御能力,提高系统的安全性。
2.2 部署防火墙
防火墙是网络系统的安全屏障,其实质是在用户端与内部网络之间设置了一定的阻碍,只有拥有一定权限和身份认证的用户才能登陆企业的内部网络系统。企业在设置防火墙后可以进行访问权限的限制,并设置相应的防火墙策略,规定允许流通的信息和数据,实现对服务器的访问内容监控。防火墙在提高系统安全性的效果上十分显著,能够有效的过滤信息中存在安全隐患的内容。
2.3 部署入侵检测系统
入侵检测系统可以对网络的信息传输进行实时的监控,一旦发现有身份不明的入侵者或非正常的操作行为,就能及时通知网络管理人员采取相应的措施进行处理。此外,入侵检测系统还会对每天的检测情况产生相应的报告,管理人员只需定期查看相应的报告,就能了解近期内网络的运行情况以及系统中的薄弱环节,从而采取有效的措施进行处理。入侵检测系统还可以与防火墙进行联合使用,加强网络的稳定性。当入侵系统检测到安全隐患时,可以立即启动防火墙对入侵行为进行限制。
2.4 配置漏洞扫描系统
当前,大多数企业网络系统的安全问题不是由加密系统或设备的落后引起的,而是由于网络系统存在的漏洞而引起的。许多黑客就是利用企业网络系统中的漏洞对系统进行攻击和入侵漏洞扫描系统能够对网络系统中的漏洞进行及时的检测,并对可能存在漏洞的环节进行逐一的检测和排查,根据检测结果提出相应的处理方案,并产生系统的检测报告。
2.5 部署网络流量分析系统
网络的利用率是通过网络流量的形式体现出来的,它是反映网络运行状态的重要参数。当网络利用率达到一定的上限时,网络会出现异常的状况,导致很多程序都无法正常的运行,给病毒、黑客的入侵提供了机会。网络流量分析可以对系统的流量变化进行有效的监控,及时发现异常的网络行为,为管理人员的管理提供必要的数据。
2.6 部署内网安全审计系统
内网安全审计系统主要是针对网络用户的一种监督方式。内网安全审计包括行为审计和内容审计,分别对用户操作行为和具体的操作内容进行了监控。通过内网安全审计,网络管理人员能够及时的察觉威胁网络安全的行为,采取有效的措施来规避这些行为对网络安全造成影响。
2.7 部署补丁分发行为
补丁分发是提供网络安全系统完善性的有效手段。系统在运行的过程中会不断出现各种各样的漏洞,这就需要补丁来进行加固和完善。及时的安装补丁能够有效的填补网络漏洞,起到有效的维护网络安全的作用。
2.8 加强对企业员工的网络安全培训
许多企业内部网络的安全问题都是由于员工不正当的网络操作引起的,因此提供员工的网络安全意识对于提高网络安全性具有重要的意义。为此,企业应当定期对员工进行网络安全操作的培训,增强员工的安全防范意识,并教育员工遵守相关的法律法规,避免内部违规操作。
3.结语
在企业信息化管理的进程中,必须做好网络系统安全性的提升,有效防范信息技术应用所带来的安全隐患,通过技术的创新和制度的完善提高网络安全防护的质量和效果,为企业的发展提供一个安全的网络环境。
参考文献
[1] 孙剑.计算机网络安全隐患与防范策略探讨[J].计算机光盘软件与应用,2010(05):96-98.
[2] 周观民.计算机网络信息安全及对策研究[J].信息安全与技术,2O11(06):15-16.
[3] 丁海.浅谈企业内部网络安全防护策略[J].信息通信,2012(06):12-13.
一、企业网络系统存在的安全隐患
企业网络安全系统就是企业借助计算机、通信设施等现代设备,构建相应的满足企业日常经营和管理需求的系统模式。随着信息技术的快速发展,企业网络建设更加成熟和完善。整个网络系统能够跨越多个地区、覆盖千家企业和大量用户,网络比较庞大且复杂,不管网络构架多么的复杂,其应用系统种类更加繁多,各系统间关联性更强[1]。目前,企业网络安全系统主要面临以下威胁:(1)物理层安全威胁会导致设备损坏,系统或网络不可用,数据损坏、丢失等。(2)因企业管理人员水平不高,引发企业内部信息泄露的威胁。同时,在整个网络中,内部员工对企业网络结构、应用比较熟悉,自己攻击或泄露内部信息,也会导致系统遭受致命的安全威胁。(3)计算机病毒是一种可以将自身附加值目标机系统的文件程序,其对系统的破坏性非常严重,会导致服务拒绝、破坏数据或导致整个系统面临瘫痪。当病毒释放至网络环境内,其无法预测其产生的危害。
二、企业网络安全防护系统设计
1身份认证系统的设计与实现
身份认证作为网络安全的重要组成部分,企业网络安全系统中设计基于RSA的认证系统,该系统为三方身份认证协议。
(1)申请认证模块的设计与实现
CA设置在企业主服务器上,本系统主要包含申请认证、身份认证、通信模块。其中,申请认证完成与申请认证相关的操作,该模块实现流程如下:用鼠标点击菜单项中的“申请证书”,弹出相应的认证界面。在申请书界面内,输入用户的姓名及密码,传递至CA认证。
CA接收到认证方所发出的名称和明码后,并将认证结果发送至申请证书方,当通过用户验证将公钥传给CA。
CA接收申请证书一方传来的公钥,把其制作为证书发送给申请方,完成CA各项功能。申请方接收CA传来的证书后,保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。
(2)身份认证模块
实施身份认证的双方,依次点击菜单项中的身份认证项,打开相应的身份认证对话框,提出验证方的请求连接,以此为双方创建连接[2]。
实际认证过程中,采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后,获取自己的证书,产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后,将其划分为两个部分,并验证B的身份同时获取B公钥。A验证B证书属于有效后,取出N传出的随机数N1,并产生随机数字N2,把密钥采用B公钥加密,最终把加密后的密钥采用A传送至B。B接受A发出的信息后,对A签名数据串进行解签,对传输的数据进行验证。如果验证失败,必须重新实施认证。实现代码如下:
UCHARdata[1024]={0}://解密后的私钥文件UINT4datalen=10224//解密后私钥文件长度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY,Dec_keylen,DNCRYPT,kk->length,data,&datalen)){m_List.AddMSg(解密私钥失败”,M_ERROR):deletekk;retllrn;}e1se.
2安全防护系统的设计及实现
设计安全防护系统旨在保护企业内部信息的安全,实现对各个协议和端口过滤操作,并实时监测网络的安全性。
(1)Windos网络接口标准
安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内,NDIS发挥着重要的作用,其是网络协议与NIC之间的桥梁,Windows网络接口见图1。其中,NDIS设置在MinpORT驱动程序上,Miniport相当于数据链路层的介质访问控制子层。
(2)数据包过滤系统
数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等。包过滤技术遵循“允许或不允许”部分数据包通过防火墙,数据包过滤流程见图2。包过滤装置对数据包进行有选择的通过,采用检查数据量中各数据包后,依据数据包源地址、TCP链路状态等明确数据包是否通过[3]。
综上所述,现阶段,我国多数企业设置的安全防护系统主要预防外部人员的非法入侵和供给,对企业内部人员发出的网络攻击、信息窃取无法起到防护的效果。文中对网络系统安全存在的安全风险展开分析,提出企业网络身份认证系统和安全防护系统设计与实现步骤,以此提升企业网络信息的安全性,为企业更好地发展提供安全支持。
参考文献:
[1]徐哲明.企业网络系统安全修补程序构架的设计[J].计算机安全,2013,17(8):47-50.
[2]劳伟强.企业数据网安全防护体系的研究与实现[J].电子世界,2013,35(22):154-154.
[3]付宁.企业网络安全防护体系及企业邮箱的建立[J].科技传播,2013,12(2):214-215.
关键词:网络系统;安全防范;安全管理
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 14-0064-01
随着信息爆炸时代的到来,企业日常管理开始普遍采用网络系统的方式,存储着大量企业信息,而这些信息往往直接关乎企业未来的发展。然而在各种网络病毒、黑客盛行的今天,企业网络系统的安全已成为人们不得不面对的问题。为了防止企业信息外泄,我们必须充分重视起企业网络系统的安全防范及其管理工作。
一、企业网络系统
(一)基本概念及其重要性
所谓“企业网络系统”,简单来说,就是指企业通过计算机、通信设施等现代科技设备,所构建起的一系列用以满足企业日常管理、经营与数据统计的系统模式。在当今社会,企业网络系统的应用有着非常重要的意义,它是提高企业员工办公效率,提升企业各项数据准确性的重要手段,也是企业各项业务数据的重要载体,可以说,如若企业网络系统无法正常工作,那么这个企业整体日常工作也无法获得正常有序运营发展。
(二)企业网络系统存在的风险
当前企业网络系统主要面临着以下几方面风险威胁:(1)由于Internet底层协议的不完善、各项硬件的问题而导致的系统漏洞风险;(2)由于企业自身人为管理不善或技术水平局限,引发的企业信息泄露威胁;(3)由于病毒感染、黑客入侵造成的企业网络系统漏洞风险。
(三)企业网络系统安全防范
也正是受以上几大网络系统风险的影响,要想确保企业得以正常的经营发展,我们必须重视起企业网络系统安全防范及其管理工作。所谓“企业网络系统安全”,其涉及计算机技术、网络安全技术、密码技术、信息安全技术等多项新兴技术领域。在企业日常管理中,企业网络系统安全主要用以企业网络系统软硬件及其数据保护、防范不必要的数据破坏、更改与泄露,维持企业日常工作的运行需要。
二、企业网络系统安全防范存在的问题与缺陷
目前,企业网络系统安全防范已经获得了企业各部门的足够重视,然而由于我国网络系统研究起步较慢,人们对于安全管理等概念的理解尚不到位,当下我国企业网络系统安全防范的工作仍存在很多的问题与缺陷,具体而言,其主要表现于以下几个方面:
(一)安全意识淡薄与相关知识缺失
网络属于新生事物,不少企业员工对之充满了好奇,由于刚刚接触,他们不了解网络危害的广泛存在性,安全意识相当薄弱。由于缺乏相关的专业知识,这往往会导致他们不知不觉中走入网络安全管理误区。例如,部门管理人员认为局域网下无需安装防火墙、安装杀毒软件和防火墙后就不用担心病毒的侵扰、中毒之后查杀就好了不会造成多大的损失。这些认知易于对企业网络系统的安全造成危害。
(二)过分追求先进技术
中国传统观念认为“最贵的就是最好的”,受到这种观念的影响,很多企业认为,只要引进先进的计算机与网络技术,就可以一劳永逸的解决网络系统安全问题。这种观念,导致企业花费了大量资金,改善了自己的配置,但是却没能取得重要的成果,浪费了大量的财力,打击了技术人员的信心,给企业造成了巨大的损失。
(三)安全管理机制不完善
很多企业没有制定企业网络系统的管理机制,导致在企业网络安全的管理过程中,缺乏行之有效的保护制度与管理制度。这些方面的缺失,又导致企业的网络管理者及相关内部人员出现了违规现象,将严重影响了企业网络系统的安全性,制约了企业网络系统的建设。
三、未来企业网络系统安全防范与管理的进一步完善
要想彻底解决企业网络系统安全防范与管理上的问题,我们必须从制度、组织结构、思维方式等多角度出发,加以相应的改革与完善。
(一)建立企业网络安全管理部门
企业安全管理部门的建立,可以提高员工的网络安全意识,让他们在一个更为安全的环境下取得信息,传播信息。相关部门建立之后,要对企业的重要部门和各项重要信息经常性的进行安全保障与维护工作,及时消除安全隐患。当然,建立的安全管理部门不能够流于形式,必须将它的职责明确的加以界定,然后组织管理人员对该部门实行监察与管理。定期要对企业网络安全管理部门的相关技术人员进行培训,让他们了解行业走向,站在行业前列。
(二)合理投资,良好运行木桶效应
企业网络系统安全防范不应该盲目追随新兴技术。木板所盛水的容量取决于最短那块木板的长度。不法分子往往从企业网络最薄弱的环节下手,然后加以利用。所以,企业应该合理投资,重点对网络系统安全防范的薄弱环节加以重点治理,以此真正实现企业“投资少,回报高”的理性投资模式。
(三)制定网络安全管理策略
安全管理总是被人们忽视,但是很多专家却提出企业网络系统的安全“三分靠技术,七分靠管理”,从中我们不难体会到管理工作在网络系统安全运行中的重要作用。要想实现企业网络系统安全防范这一终极目标,我们必须及时制定出相应良好的安全管理策略。例如,企业可以实行授权管理、病毒防范及用户权限设置等一系列的安全管理制度与措施。与此同时,完善安全管理制度,我们还必须保证各项制度的一致性,其中包括防火墙制度、企业内部信息管理制度、用户访问权限制度之间的相互一致。
四、结语
对于企业发展而言,网络系统所起到的作用越来越大,为此我们必须对其予以足够的重视与保护,不断强化对企业网络系统安全防范与管理,将其作为我国企业发展的长久计划加以改革完善,唯有这样,才能真正意义上实现企业网络系统的安全防护,也才能实现企业更快、更平稳的长久发展。
参考文献:
[1]宇.计算机网络安全防范技术浅析[J].民营科技,2010,7:25-27.
关键词:中小企业;网络安全;企业网络;架构
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02
1 中小型企业网络安全
1.1 中小型企业网络安全概念。国际组织(ISO)对网络安全规定为在网络间进行数据处理系统建立是所采取的相应的安全技术,这些技术可以对网络进行时时监控和安全,并保证不让任何人使用的程序通过网络来进行计算机,并始终通过网络有效的保证计算机算硬件的安全,不通过网络泄露个人或者企业等单位的秘密。以此我们可以这样理解中小型企业网络安全为是通过采用各种高科技技术和一定的管理措施,使的中小企业网络系统能够进行正常运作,进而来保证中小企业网络数据的可用性、完整性和保密性。
1.2 中小型企业网络职能。一个安全的中小企业网络职能应该是具有一定的可靠性、可用性、完整性、保密性和真实性等的。中小企业网络的安全不仅要保护企业内部的计算机网络设备的安全和计算机网络系统安全,更重要的是要对企业数据安全的保护。所以对于一个中小型企业来说网络安全最终的职能就是保护企业重要的信息数据。
2 中小型企业信息网络安全的困惑
2.1 中小企业信息网络操作系统安全的困惑。中小型企业经常出现的困惑就是针对信息网络操作时出现的安全困惑,所谓中小型企业信息网络操作系统安全就是指通常是指进行信息网络操作系统的安全。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息,而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作;另外,也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此,中小型企业认识到必须采取更强有力的访问控制手段,这就是强制访问控制。在强制访问控制中,系统对主体与客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。中小型企业为某个目的而运行的程序,不能改变它自己及任何其它客体的安全属性,包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。目前来说中小型企业的信息网络操作系统多为Windows和UNIX操作系统,这些操作系统本身就有自身的网络安全漏洞,因为操作系统本身都是有后门的,而这些后门和安全漏洞都将存在重大的信息网络安全隐患,造成中小企业信息网络的安全困惑。所以这就要求在进行中小型企业信息网络系统安装时,不只要考虑到企业的自身需求,更多的时候要考虑到中小型企业的信息网络安全,不能因为系统的安装造成过大的中小型企业信息安全的困惑。
2.2 中小企业信息网络应用安全的困惑。现阶段我国的中小型企业网络安全应用仅网络系统就存在很大的安全隐患,系统、应用和数据的安全存在较大的风险。目前,实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
2.3 中小企业信息网络管理安全的困惑。中小型企业信息网络管理方面存在的安全困惑主要包括了,中小型企业的内部管理人员们或者是员工们图方便省事,对自身的计算机不进行密码的设置,没用自己的用户口令,或者是有些管理者和员工设置的密码和口令过短或者是过于简单,这样就导致密码和口令很容易被破解,这样来当出现了信息网络的安全问题时,容易责任不清,并且很难一下就找到问题出现的计算机,因为整个公司都使用相同的用户名和口令,使得整体信息网络的管理出现严重的混乱,并且容易出现企业重要信息的泄密。进行中小型企业信息网络管理是信息网络安全的重要组成部分,是能保证中小型企业信息网络安全的重要组成部分,是可以对外来病毒进行防止的重要环节,是中小型企业内部信息网络不被入侵必须的部分。也是中小型企业信息网络暗中的管理困惑,是普遍中小型企业都会存在的困惑之一。
3 如何进行中小型企业信息网络安全的架构
3.1 中小型企业信息网络安全架构Internet的接入。中小型企业信息网络安全构架中Internet的接入,多是采用了PIX515作为外部边缘得防火墙设备,中小型企业内部的用户登录则是通过互联网时会经过NetEye防火墙,然后再由PIX映射到互联网。PIX与NetEye之间形成了DMZ映射区,这是一种需要进行提供互联网服务的邮件服务和Web服务器等防止在该DMZ区内。中小型企业进行此防火墙的安全策略步骤是:首先要从Internet上设置只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口,其次,则是要从Internet和DMZ区设定出不能进行访问内部网任何资源,最后则是要从Internet进行访问内部网资源的时候只能通过VPN系统进行。
3.2 中小型企业信息网络安全架构用户的认证。中小型企业信息网络安全架构的用户认证系统主要就是用于解决通过电话进行拨号时出现的安全问题和通过VPN进行接入时出现的安全问题,信息网络安全架构的用户认证系统是目前为止运用最为完善的系统用户认证系统、访问控制系统和使用审计系统方面的功能来增强信息网络系统的安全性,并采用了目前为止最为高端的ACS用户认证系统。中小型企业的ERP系统一般采用C/S(客户机/服务器)体系结构,架构于企业内网Intranet上。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输;VPN还可用于不断增长的移动用户的全球互联网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路。在信息网络的主域服务器上安装Radius服务器,在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。这样当任何人进行电话拨号和VPN用户身份认证时,就会在Radius的服务器上直接进行,这样一来用户账号就会集中的在主域服务器上进行开设。这样做就可以在系统中设置较为严格的用户访问策略和口令策略,能有效的强制使用用户进行定期的口令修改。
综上所述,中小型企业信息网络安全保障是开展其它一切业务往来与技术交流的关键,要想企业长足发展,必须重视信息网络安全的构建。
参考文献:
关键词:广电网络 有线通 安全策略 信息加密
中途分类号:TP309.2 文献识别码:A 文章编号:1007-9416(2016)05-0000-00
作为一个信息与技术均密集型的行业来说,广电网络企业所采用的现代化计算机网络,不仅要提高内部自动化办公的效率,更要保证使用有线通宽带的用户通讯时有舒适畅通的体验,其通常有线通、数据专线网络、办公网络三个部分。为了使系统正常运作,并且可以保证其稳定性,所以多种高性能设备和先进技术是必不可少的。这是因为广电的应用系统较为复杂,需要满足比较严格的条件,比如数据、图像、视频等传输要求
1 广电网络安全需及隐患
“有线通”业务是广电网络公司为用户提供的基于双向有线网络的宽带接入服务,利用遍布本市有线电视双向网络,通过EOC、EPON和 CMTS为用户提供宽带接入服务,目前“有线通”用户超过5000户,另外还包括本市银行、医保等数据专线业务,因此要加大对信息资源的保护力度,控制管理服务资源予。
1.1 广电网络安全需求
消除信息网络内部各类信息的完整性,真实性,以及可用性和不被非法泄露盗用的安全隐患,使其在存储、获取、传递以及处理过程中处于安全状态。为了使区域网保持其完整性、真实性、以及不被非法泄露盗用,使网络外部的攻击无效,加强对内部用户访问资源的控制,各类信息的获取、存储、处理和传递必须能够应对各种层次的管理要求
1.2 广电企业网络安全隐患
现如今广电企业网络面临的主要安全隐患:(1)其它网络的攻击INTERNET上黑客、恶意用户等会利用广电企业在INTERNET上接入网络系统的这一特点来攻击网络,如企图进入网络系统、实现对敏感信息的窃取、系统数据的破坏、恶意代码的设置、来严重降低或瘫痪系统服务。这个问题相当严重,不能忽视,所以相应的安全措施要适时采取,防止这类事情的发生。(2)管理及操作人员缺乏安全知识现如今信息的应用和安全技术与网络的技术发展不成正比,前者相对滞后,用户在引入和采用安全设备和系统时,没有进行全面和深入的培训和学习,没有对信息安全的重要性与技术的认识,这就会导致安全设备/系统发挥不了正确的作用,最终成为摆设。(3)雷击当地为雷电灾难多发的沿海沿江地区。一旦遭受到雷电袭击,连锁反应就会产生,整个网络就会瘫痪,设备也会收到损害,后果十分严重,这是因为很多的网络设备、终端、线路等都会牵扯到网络系统中,它们的传输方式都是通过通信电缆传输完成的,所以受到雷击的概率特别大。为了减少雷击造成的损失,就必须对整个网络系统采取相应的防雷措施。
2 广电网络企业网络安全策略
2.1 访问控制策略
为了防止非法访问,使用户身份鉴别和对重要网络、服务器的安全控制起作用,此时,最关键的是实施访问控制。为了能够使网络安全得到保证,玩不可缺的是防火墙。防火墙会进行限制网络流,合法网络流得到许可,并将非法网络流截止,在根据网络流的来源和访问目标的安全性作出判断后。可以提供在网络边界处的安全策略,对有效的简化复杂的网络安全问题,使管理成本缩小,并将潜藏的风险降低,是防火墙最大的存在意义。
2.2 加密信息策略
信息加密在实现对网内的数据、文件、口令和加强对信息的控制的保护,网上的数据传输的保证,是必不可缺的。网络节点之间的链路信息安全可以通过链路加密得到保证;源节点到目的节点之间的传输链路可以通过节点加密得到保护;端与端加密能够保护源端用户到目的端用户的数据。因此,链路加密、节点加密和端点加密三种方法是网络加密常用的方法。用户可根据实际情况进行选择。
密码技术是网络安全颇为有效的技术中的一个。通过网络加密,可以禁止非授权用户搭线偷听和入网,并且让恶意软件也没有可乘之机。
2.3 内外网互联安全策略
在网络的边界必须用安全设备进行分离,通过防火墙的路由及NAT功能,广电的信息网络对医保、银行专网的访问就得以实现。这是因为广电的银行、医保专网和内部网络的安全级别以及安全防护的要求不同,其作为核心网络是属于两个截然不同单位的。并且这样可以通过在防火墙配置严格的访问控制措施,,其他未经授权的用户不得相互访问,访问医保专网和广电信息网络的权利只有授权用户及IP地址。
3 数据备份策略
3.1 数据容灾备份设计
“本地备份”和“异地灾备”是寻常的备份方式。如果备份设备与要操作的数据、系统支撑设备的数据交换方式通常是光纤高速通路的,且两者的距离非常小,那么使用本地备份的方式。异地灾备与本地备份恰好相背,备份中心建立在离源数据、系统存放地的距离相当远的地方,这样做的好处是,当一些不能避免的事件发生时,数据或系统受到影响,而不会将破损灾备中心。
3.2 容灾恢复建议方案设计
在广电系统业务平常运作中,为了能够在出现问题故障时及时将至关重要的数据恢复,操作并备份关键数据和数据库是关键组成成份。当出现非常大的数据量或发生突发性灾难时,备份磁带却不能发挥实际作用,不能及时的将数据恢复出来,这是因为数据通常采用磁带离线备份。所以若想要编定一套完整的灾难备份方案,那么软件,特别对相关的备份,存储设备,服务器以及灾难恢复的解决是一个都不能缺少的。 应该含有主数据中心和备份中心,主数据中心是相对比较可靠的解决方案,主数据中心与备份数据中心的连接方式是通过光纤或电信网实现的。主中心系统配置主机的存储磁盘阵列中存储着数据,由于是由两台或多台服务器以及其他相关服务器组成的,所以它有很高的可靠性。有相同结构的磁盘阵列存储在异地备份中心,同样也有一台或多台备份服务器。可以在主数据中心通过配置磁带备份服务器这一途径,完成备份软件和磁带库的安装。在存储阵列和磁带库上直接将备份服务器连接上,从而实现对系统的日常数据的磁带备份的控制。
参考文献
在2007年,Microsoft ForeFront家族产品逐一亮相,ISA Server 2006又一次成为人们关注的对象。这一次它不是单打独斗,而是Microsoft ForeFront阵营里的前排哨兵。作为微软企业安全解决方案的一部分,ISA Server 2006的特性能否满足企业网络的安全需求呢?
企业对网络安全的需求
综合性
随着近两年越来越多的恶性网络安全事件的爆发,企业的信息管理者已经感觉到网络安全问题不再仅仅是网络中某个环节上的问题,在很多时侯,企业需要全面、综合地提高自身网络的安全性能。
防火墙、病毒防护、VPN连接、身份验证、访问控制、流量控制、服务器、客户端安全集中管理、补丁管理、事件报告及报表等网络安全涉及到的内容,虽然不能完全综合到一款软件上,但一个好的网络安全产品的综合性是不可或缺的。网络安全管理者都不希望每种网络安全方面的部署都要新架一台服务器来作为支持。
集成性
没有一个网络安全管理者希望,在企业的网络安全的部署中,有一款产品与已经部署好的或者即将部署的产品之间互相对立、格格不入。相反,他们都希望各种产品能相互沟通、相互依存,各自的功能和产生的数据信息能被其它产品所利用,各类产品可以紧密地集成在一起,让企业网络安全更清晰可控,更便于部署和管理。
网络部署中涉及到许多硬件、软件服务商,在各类产品之间可能存在着意想不到的网络安全隐患。因此,在部署中需要尽可能地使用产品线比较丰富和完善的厂商的产品,增强产品间的集成性,可以从网络建立的初期就减少“非受迫性”网络安全事故。
易用性
众所周知,IT部门的工作十分忙碌。如果网络安全产品的复杂度很高,那么IT技术人员就不得不牺牲更多的休息时间去适应企业网络安全方面的新产品。使用易用性高的产品则可以减少IT技术人员在学习新知识中花的时间,从而更好地专注于企业的网络安全服务。
另外,并不是每一个公司都有强大的技术团队来为网络安全提供保障,一旦网络安全事件发生,会给企业造成很大的损失。使用一些易用性强的产品,将对企业网络高效运行提供一定的保障作用。
可用性
如果企业部署的安全产品三天两头地Down掉,如一句俗语所说:“泥菩萨过河,自身难保”,那企业网络还有什么安全可言呢!所以,可用性是网络安全的最基本的要求。只有网络安全产品正常可用,它才能起到保护企业网络安全的作用。
病从口入,祸从口出。网络边界的安全是网络安全中很重要的一个部分。以上的分析表明,企业的网络安全问题需要一款好的网络边界产品。ISA Server 2006就是这样一款集成的边界安全网关产品,在用户对应用系统和数据进行快速而安全的远程访问的同时,能够保护企业IT环境免受来自基于Internet的威胁。
ISA Server 2006的特性
综合性
ISA Server 2006不但可以作为高效的Web、强大的防火墙、安全的VPN,还可以作为内部服务器的平台。同时,它可协助企业保护其环境免受内部和来自Internet的威胁。借助――防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护企业网络。
通过设置合理的防火墙策略,ISA Server 2006可以控制哪些用户可以上网、在什么时间上、使用哪些协议、访问哪些网站等,另外,它可以细化到控制用户访问哪种类型的文件,并可以控制含有某些签名的数据包的传递。这样用户就可以轻松地对一些IM软件和P2P软件进行控制,让网络可以更高效地运转。