時間:2023-06-04 10:46:48
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
網絡化辦公和企業信息化的變革帶給了每個企業快速而富有效率的發展,現在幾乎所有企業都需要網絡,特別是在一些科技互聯網類企業,網絡占據了企業全天候的時間,而其產生的信息價值基本代表了整個企業的所有資產和信譽,可見今天的網絡在企業的價值和地位已經變得十分重要,有效率而安全地使用網絡,一來能夠節省網絡成本,二來還能夠保證企業信息價值的安全使用,避免給企業帶來不良的信用風險,加之目前網絡安全事件頻出,不少企業因此負出了很大的代價。我們有理由相信:網絡在如今這幾年是一個野蠻生長的時代,但我們也有理由告訴你:未來的網絡是絕不允許你能像現在這樣繼續裸奔,網絡有“防”才能無“患”!
北京科能騰達信息技術股份有限公司(以下簡稱科能騰達)是一家成立于2000年的網絡安全公司,一直致立于網絡安全行業的技術研究與市場擴展,成立15年來穩步發展,產品應用范圍已經涉及能源、電力、銀行、證券、民航、互聯網、連銷經營諸多行業和知名大型企業,目前已經和多家行業機構,科研機構保持密切聯系與深入合作,從起初的銷售型企業逐步發展為創新型技術研發+市場經營銷售和綜合性安全服務商,2012年企業獲得資本市場許可,成功登陸新三板(簡稱:科能騰達 代碼:430148),2014年企業又完成了新一輪融資,總股本增至2000萬,市值近3億元,發展勢頭迅猛。
在2015年第十六屆中國信息安全大會上,北京科能騰達信息技術股份有限公司榮譽產品CNGate-USG 綜合安全網關獲得了與會人員的高度認可。這款設備的市場定位主要在于解決中小企業網絡安全,其特點為,應用范圍廣泛,功能全面,操作簡易,CNGate-USG集成了防火墻、IPSec 和 SSL VPN、入侵防御、防病毒、防惡意軟件、防垃圾郵件、 P2P 安全及 Web 安全過濾,可識別多種安全威脅,同時,它的高密度接口也使得它可以做為企業內網安全交換機使用,方便對內網資源集中安全管控,堪稱在中小型企業和分支辦公室環境下極為完美的網絡安全解決方案。
本次中國信息安全大會上,北京科能騰達信息技術股份有限公司旗下產品CNGate-USG 綜合安全網關一舉獲得了“2015年度中國信息安全優秀產品”殊榮,科能騰達獲得了“2015年度中國信息安全極具影響力企業”。安全實用的產品,良好的企業信譽讓這家歷經十五年的企業再次贏得了市場和同行業人員的一致好評。
CNGate-USG 綜合安全網關的明顯優勢在于,這款產品的市場設計定位和高度聚合化的功能;綜觀現在紛繁復雜的安全市場,大多數安全產品的設計還處于一種很專業化、定向化的氛圍中,即一個產品解決一個專業定向的問題,企業出了這種問題,就找這種設備去防護、檢測等,企業是在一種相對被動的防護環境做出的選擇,而且隨著問題的越來越多越來越復雜,企業要去做的防護也會相應的多起來,隨之而來的就是企業網絡拓撲越來越復雜,可維護性降低與維護成本不斷提高,對于所有應用網絡的企業來說,這或許企業發展壯大中的一個不可避免的問題。
但對于中小企業來說,面對如頻繁復雜的網絡局面,又要做到保證足夠的信息安全防護級別,那將是一件很麻煩的事,復雜的網絡部署,加之不斷增長的安全設備成本與維護成本,愈發讓這些中小企業感到無奈,因為時下的企業管理者大都認為,用戶已不同以前像個單點,而是遍布網絡各處,企業信息安全問題早已經深入到了企業日常管理中,越來越普遍的安全威脅已經涉及他們迫切需要一個即能通盤解決時下主流信息安全威脅的設備,又能在維護上做到盡可能的簡單易用,不致辭于投入過多的安全維護成本。科能騰達正是看到了眾多企業問題,應合市場需求,設計了這款 CNGate-USG 綜合安全網關,為這些中小企業打造了功能集中方便管理維護的網絡安全設備,可以滿足中小企業對安全的基本應用,在有限的企業網絡中,為企業日后網絡發展預留了相當大的網絡擴展空間,稱得上是一款市場所需、企業所想、投入產出比較高的安全產品。
科能騰達目前已經構建網絡安全產品體系日趨健全多樣化,能極大地滿足各式網絡環境需求,安全防護類產品:除了CNGate-USG 綜合安全網關,還有專注高級逃避技術防護的CNGate-NGFW 下一代防火墻、CNGate-NGIPS 下一代IPS、 CNGate-EPS、高級逃避技術防護系統,和專門為互聯網網站提供安全服務的CNGate-WAF Web應用防火墻、CNGate-HST 主機安全加固軟件以及物理上實現訪問隔離CNGate-SGG 安全網閘;運維審計類有:CNGate-BAS 安全運維審計系統(堡壘機)、CNGate-ITM IT運維可視化系統、 CNGate-DBA 數據庫審計系統、CNGate-AG 上網行為管理系統、CNGate-SIEM 安全事件管理平臺;同時還有應用交付類CNGate-ADC 應用交付系統,以及測試儀表類的 CNGate-TES 高級逃避技術測試工具等;如此全面而細化的網絡安全產品體系,不僅能做到網絡單一方面的重點防護,更能通過企業定制化的解決方案配合相關技術服務支持,做到涵蓋網絡各個基礎單位的立體的安全防護體系,真正做到網絡立體防護、可控、可視、可管,一些與之合作的企業更是將CNGate 視為自己企業的安全顧問,因為在CNGate 他們提供的是多樣化的產品,并配之以詳盡周道的服務,就像他們的企業口號所倡導的那樣“您專注業務,我們專注安全!”,CNGate 讓合作企業少費心,多放心。
CNGate現已經歷經十多年的發展,一直專注于網絡信息安全領域的研發與安全產品的銷售和服務,已經積聚了不小的品牌影響力。相信不久的將來,科能騰達將近一步面向市場推出更加優秀的產品,服務廣大用戶,服務大眾網絡安全!
一.研究內容
本報告研究內容主要包括以下幾個方面:1.中小企業網絡安全的需求特點。根據對中小企業的分類(見報告正文),分別對初級、中級、高級中小企業網絡安全的需求特點做了分析。
2.針對初級、中級、高級中小企業的網絡安全需求分別研究了解決方案。
3.對中小企業網絡安全市場做了增長趨勢預測。
4.分析了網絡安全廠商的捆綁策略,并對網絡安全廠商合作中需要注意的問題和選擇合作伙伴的標準做了建議。
二.中小企業網絡安全的需求
1.中級中小企業防入侵、防垃圾郵件的需求沒有得到中小企業的足夠重視,這兩個方面的需求沒有得到有效的滿足。市場上雖然有解決此類問題的產品,但由于中級中小企業防護意識的缺乏,以及存在信息不對稱和相關知識缺乏的問題,需求并沒有被滿足。這需要廠商加強宣傳和引導。
2.高級中小企業的網絡安全方面,防止內部人員竊取和攻擊、防止無線數據的攔截這兩方面沒有得到中小企業的足夠重視。網絡安全廠商所關注的重點,仍主要集中于防病毒、防垃圾郵件、防止非法入侵、身份識別與訪問控制、反端口掃描、數據的備份和恢復等方面,對防止內部人員竊取和攻擊、防止無線數據的攔截這兩方面重視程度不夠。例如防止無線數據的攔截方面,網絡安全市場就缺乏針對中小企業此方面需求的相關產品。
三.中小企業網絡安全市場的增長趨勢
1.初級中小企業網絡安全的市場價值20__年為0.7億元人民幣。在20__年,市場價值將增加到1.6億元人民幣,但年增長率由20__年的42.9降低到20__年的23.1。
2.中級中小企業網絡安全的市場價值在20__年為2.2億元人民幣。20__年市場價值將增加到5.3億元人民幣,但年增長率由20__年的45.5降低到20__年的23.3。
【 關鍵詞 】 企業網絡;安全管理;防護策略
1 引言
如今,經濟迅速發展帶動網絡技術的發展,企業網絡化管理被廣泛應用,給企業內部、企業與外界的聯系以及企業的管理帶來了便利,業務的靈活性被企業經營者廣泛關注,同時也發展了企業信息網絡。一系列諸如生產上網、辦公自動化、遠程辦公以及業務上網的新的業務模式得到了開發與發展。但是與此同時,網絡環境下的企業安全問題引發了管理者的擔心,能否創建安全穩固的企業網絡是企業管理者最為看重的問題,也逐漸變成一個企業能否正常運轉的前提。因此,運用切實可靠的網絡安全管理方法、提高網絡的安全防護能力已經企業一個重要研究的內容。
2 影響企業網絡安全的因素
網絡安全關系到許多方面,不但涉及到網絡信息系統自身的安全問題,而且囊括邏輯的和物理的技術策略等。WWW、TCP/IP、電子郵件數據庫、數據庫是當前企業網絡通用標準和技術,其廣域連接采用多種通信方式,大部分單位的系統被覆蓋。行業內部信息存在于企業網絡的傳輸、處理和存儲各個環節。這些信息資源的保護和管理以及確保企業網絡內部的各種信息在各個環節保持信息的完整、真實和防止非法截獲非常重要。
影響企業網絡安全的因素既有軟硬件的因素,也有人為的因素,既有來自網絡外部的,也來自網絡內部的,歸結起來主要有幾方面。
2.1 網絡硬件的安全隱患
網絡中的的拓撲結構還有硬件設備兩者均有對企業網絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業網絡中有各種各樣如應用軟件、操作系統的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業也由此蒙受巨大的損失,這樣的例子在現實生活中層出不窮。比如,一些不為人知的軟件研發者為了個人原因(升級或自便)而設置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計算機,篡改數據,后果不堪設想,損失更是不可估量;又如以方便快捷應用為目的的TCP/IP協議為網絡系統普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺,若是一些IT高手對此很了解,便可以輕松利用其缺陷攻擊網絡。
2.3 計算機病毒與惡意程序
網絡被普遍應用和告訴發展的時代,病毒傳播的主要途徑是網絡。一些企業的內部網絡很容易被蠕蟲、病毒侵入,其特點是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網絡安全領域,病毒問題一直難以從根本上解決,原因總結為兩點:其一,技術原因,殺毒軟件總是在病毒出現后給用戶或是企業造成巨大損失后更新,滯后性和被動性不言而喻;其二,用戶的安全防范意識不高,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件,給傳播病毒提供了機會,巨大的威脅了網絡安全。
2.4 網絡入侵
網絡人侵的意思是網絡攻擊者在非授權的情況下獲得非法的權限,并通過這些非法的權限對用戶進行非法的操作,獲得網絡資源或是文件訪問,入侵進入公司或是企業內部網絡,極大地危害計算機網絡,給社會帶來巨大財產或是信息損失。
2.5 人為因素
用戶安全意識淡薄,企業內局域網應用不規范。企業內網在實際運行中沒有限制,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業內網中,系統的安全應用收到影響;接入網絡沒有很好地限制,如沒有限制接入的人員、時間方面,隨意、隨時上網不但容易使系統容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統安全防范措施;管理措施不到位;復雜的用戶人群,很多不是本系統專業的工作者,約束和監管困難;衛星信號很容易就被泄密,在空中傳輸無限信號的過程中,無線信號很容易被黑客截獲并利用;在很多企業中,沒有制定規范的管理網絡和生產網絡的隔離措施,一旦管理網絡沾染病毒,生產網絡也很容易被傳染。
2.6 其它的安全因素
威脅網絡安全的因素還有很多,比如,傳輸過程中的數據很容易被電磁輻射物破壞;非授權的惡意刪除或攻擊數據、破壞系統;非法竊取復制或是盜用系統文件、資料、數據、信息,導致企業或是公司泄密等,其后果非常嚴重。
3 企業網絡的安全管理
企業網絡安全管理是保證網絡安全運行的基石,一些人為因素導致的網絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業應把建立健全企業網絡安全管理制度作為安全管理的重點,制定系統的安全管理方案,采取有效切實的管理政策。
企業的網絡管理主要從幾點努力。
3.1 健立健全企業規章制度
要保證網絡的相對安全,就務必制定詳細系統的安全制度,了解并認識網絡安全的重要性,一旦出現網絡安全事故,其相應處罰力度就必須嚴格按照處罰條例執行到位,絕不能姑息手軟。為了做到切實保證企業的機密不泄露,建立對應的詳細的安全保密制度勢在必行,管理者還要經常不斷檢查制度的實施情況。記錄出現違規的人員及情況、相應處罰情況、檢查的結果報告,做到今后有據可循,為以后出現類似情況提供管理依據。
3.2 樹立員工網絡安全意識
網絡安全工作要想做好,樹立企業工作人員的信息安全意識是首要任務,只有員工切身真正認識到信息安全對企業發展和前進的重要性,才能切實在實際工作中重視起來。企業要實常加強員工相應的信息安全的知識培訓,采用各種形式來增強員工的網絡安全意識,促使員工養成健康的使用計算機的習慣。
4 企業網絡安全防護措施
為了使企業網絡保持安全狀態,企業網絡的安全防護措施必須與其具體需求要相結合,整合各種安全方案,創立一個多層次、完整的企業網絡防護體系,在為企業網絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具,但安全風險是不可避免的也是必須承擔的;其二是要注意企業網絡的可訪問性以及安全性平衡的保持;其三是考慮安全問題是在系統管理的多個層次、多個方面都存在的。在企業網絡中,主要有幾種安全防護的措施。
4.1 防火墻技術
防火墻技術是當下一種被廣泛應用的也是最為流行的網絡安全技術,其核心主題是在外界網絡環境不安全的大前提下創建一個相對安全有保證的子網。防火墻能實時監測進出于企業網絡的通訊交流數據,允許安全合法的訪問的數據和計算機進入到企業網絡的內部,把非授權的非法的數據和計算機擋在網絡,企業內網及特殊站點應限制企業一般人員或是無關人員訪問,最大可能地阻止外部社會網絡中的黑客訪問鏈接企業內部的網絡,阻止或是制止他們復制、篡改、破壞重要的或是機密信息。所以,防火墻是一道屏障,是在被保護的企業內部網絡和社會外界網絡之間設置的,在網絡內部網絡合外部非授權的網絡之間,企業內部網不同的網絡安全環境之間,達到隔離和控制的目標,外部網絡的攻擊合截獲被有效控制。
4.2 數據加密技術
如果一些重要的機密的數據需要通過外部網絡傳送的,該數據的加密工作則需運用加密技術。防火墻技術以及數據加密技術兩者結合使用,增強網絡信息系統及內部數據的保密性和安全性,謹防外部破壞重要的機密數據。
4.3 入侵檢測技術
安裝入侵監測系統在企業內部網絡中,信息從企業內部計算機網絡中若干關鍵點中收集,并分析數據,從中檢查企業內部網絡中是否存在與安全策略相違背的行為或是入侵現象,如果檢測到可疑的未授權的IP地址,則來自此入侵地址的信息就會被自動切斷、同時給網絡管理員發送警告,企業內部動態的網絡安全保護就可以實現。
4.4 網絡蠕蟲、病毒防護技術
盡管無法避免來自蠕蟲、病毒對企業內部網絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒有危害。在企業內部網絡內,由于網絡節點不但存在于局域網中,又有接入到互聯網中的可能,一般的防護技術是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設計多層次阻止病毒體系。在企業安裝一般的常見的殺毒軟件時,通常要定時自動掃描系統,另外,用戶在收發郵件時一定要打開殺毒軟件的實時監控郵件病毒功能,實時地同步地對檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網絡版殺毒軟件,那么全部網絡環境中每一個節點的病毒檢測情況可以被企業網絡的安全管理員如實準確的掌握,當然越先進的防病毒產品或是技術效果也就越好。
4.5 系統平臺與漏洞的處理
網絡安全管理員可以運用安全漏洞掃描技術了解掌握網絡的安全設備和正在進行的應用進程,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞,盡快改正網絡安全系統存在漏洞和網絡系統存在的有誤差配置,防范措施應該在黑客攻擊之前提早進行。
5 結束語
企業網絡安全不是最終的目的,更恰當和準確地說只是一種保障。隨著企業自身的發展和規模的壯大,企業網絡的普及也是勢在必行,網絡安全管理變得也就越來越復雜,網絡的安全管理和防護是企業發展的一項重要和艱巨的任務。在執行維護網絡安全任務的同時,我們一定要注意把網絡安全防護技術、影響網絡安全的因素結合起來,制定有效的管理措施和技術方案,采取可行性高的防護措施,建立健全防護體系,增強企業內部員工的網絡安全意識,從源頭上解決網絡安全問題。
參考文獻
[1] 宋軍.淺談企業網絡安全防護策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國華,文開豐.企業信息安全防護策略的研究[J].電腦知識與技術,2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全,2012,(02):14-18.
[5] 黃俊強,方舟,王希忠.基于Snort-wireless的分布式入侵檢測系統研究與設計[J].信息網絡安全,2012,(02):23-26.
關鍵詞:網絡;安全技術;數據;防火墻
1 引言
在當今網絡化的世界中,計算機信息和資源很容易遭到各方面的攻擊。一方面,來源于Internet,Internet給企業網帶來成熟的應用技術的同時,也把固有的安全問題帶給了企業網;另一方面,來源于企業內部,因為是企業內部的網絡,主要針對企業內部的人員和企業內部的信息資源。不論是外部網還是內部網的網絡都會遇到安全的問題。隨著信息技術的高速發展,網絡安全技術也越來越受到重視,由此推動了各種網絡安全技術的蓬勃發展。
2 企業網絡安全的主要技術
網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,現階段對企業網絡安全的主要技術進行如下探討:
2.1 VLAN(虛擬局域網)技術
選擇VLAN技術可較好地從鏈路層實施網絡安全保障。VLAN指通過交換設備在網絡的物理拓撲結構基礎上建立一個邏輯網絡,它依賴用戶的邏輯設定將原來物理上互連的一個局域網劃分為多個虛擬子網,劃分的依據可以是設備所連端口、用戶節點的MAC地址等。該技術能有效地控制網絡流量,防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息。
2.2 網絡分段
企業網大多采用以廣播為基礎的以太網,任何兩個節點之間的通信數據包,可以被處在同一以太網上的任何一個節點的網卡所截取。因此,黑客只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息。網絡分段就是將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。
2.3 虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。VPN隧道機制具有不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等,確保了數據傳輸的安全性、保密性和完整性。
2.4 網絡訪問控制
企業應該為每位員工分配一個賬號,并根據其應用范圍,分配相應的權限,嚴格控制哪些用戶可以獲取哪些網絡資源,保證網絡資源不被非法使用和訪問。
2.5 防火墻技術
任何企業安全策略的一個主要部分都是實現和維護防火墻,因此防火墻在網絡安全的實現當中扮演著重要的角色。設置防火墻的目的都是為了在內部網與外部網之間設立唯一的通道,簡化網絡的安全管理。防火墻通常位于企業網絡的邊緣,這使得內部網絡與Internet之間或者與其他外部網絡互相隔離,并限制網絡互訪從而保護企業內部網絡,防止Internet上的不安全因素蔓延到局域網內部。
2.6 網絡病毒的防范
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。應該使用針對網絡、網關、郵件、終端等全方位的防病毒產品,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。
2.7 采用入侵檢測系統
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動的目的,以保護系統的安全。
2.8 漏洞掃描系統
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。應該尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
2.9 網絡安全管理規范
網絡安全技術的解決方案必須依賴安全管理規范的支持, 在網絡安全中,除采用技術措施之外,加強網絡的安全管理,制定有關的規章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
3 結束語
安全是企業網絡賴以生存的保障,只有安全得到保障,企業網絡才能實現自身的價值。網絡安全是一個系統的工程,需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。
參考文獻
[1]張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003.
關鍵詞:企業網絡;網絡安全;安全體系
前言
由于計算機與通信技術的快速發展,人們的工作方式以及生活方式都因為網絡而逐步的發生改變。網絡的共享性、開放性以及互聯性程度逐漸擴大,對社會的影響也日益增大,網絡也成為企業發展的主題。隨著企業的信息化、辦公的全球化以及網絡貿易等業務的出現,網絡安全也變得日益重要。為了保證企業網絡自身的安全性,必須采取有效的手段面對網絡中的各種威脅[1]。
1 企業網絡的威脅及其風險管理
企業網絡的信息是自由傳輸的,盡管有各種各樣的方式威脅著企業網絡的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應從下列幾點解決對企業網絡構成的威脅,并根據這些威脅所導致的企業風險進行有效管理。首先,企業一定要確定哪些關鍵的內容或資產需要被保護。明確什么設備需要被保護,針對設備可以提供什么樣的訪問和怎么協調這樣的工作。其次,評估需要進行網絡安全保護的資源和財產。最后,分析所有對企業網絡安全的可能威脅,并評估每個威脅的可能攻擊性。威脅是指可能對網絡和其中信息資源造成損失,它可以是偶然的,也可以是刻意的。威脅有很多方式,一般可以簡單歸納為以下三種基本的類型:
1 未經授權的訪問。指未經過授權的人員卻可以訪問網絡資產,而且也存在對網絡資產進行篡改的可能。
2 假冒。指由于偽造的憑證假冒其他人進行活動。
3 拒絕服務。指服務中斷。
2 企業信息化的網絡安全策略體系[2]
網絡的安全策略是對網絡的安全進行管理指導與支持。企業應該為網絡安全制定一套安全方針,而且在內部網絡的安全策略以及身份證明,從而為網絡安全提供支持和認證。
2.1 安全策略的文檔結構
a) 最高方針。是安全策略的主文檔,屬于綱領性的。陳述安全策略的適用范圍、支持目標、對網絡安全管理的意圖、目的以及其它指導原則,網絡安全各個方面所應遵守的原則方法和指導性策略。
b) 技術的規范與標準。其內容包含:各個主機的操作系統、網絡設備以及主要應用程序等應該遵守的管理技術的標準、安全配置以及規范。
c) 管理的制度與規定.其中包含各種管理辦法、管理規定或是暫行規定。從最高方針中引出一些具體的管理規定、實施辦法以及管理辦法。得到的規定或辦法不但可操作,還能有效的推廣及實行,是由最高方針引申而來,對用戶協議具有規范作用。而用戶協議對其不能違背。
d) 組織機構以及人員的職責。負責安全管理的組織機構以及人員職責,包含負責安全管理的機構的組織形式以及運作方式,還有機構與人員的具體責任或是連帶責任。是機構及員工工作時的依照標準。具有可操作性,需得到有效推廣及實行。
e) 用戶的協議。與用戶所簽署的文檔及協議,包含安全管理的網絡、人員以及系統管理員的保密協議、安全使用承諾、安全責任書等等。作為用戶及員工在日常工作中承諾遵守規定,并在違反安全規定時的處罰依據[3]。
2.2 建立策略體系
目前,大部分企業都缺少完整的策略體系。也沒有使其成為可操作的、成文的、正式的策略以及規定來體現出機關或是企業高層對于網絡安全性的重視。企業應該建立好網絡安全的策略體系,制定出安全策略的系列文檔。
建議企業按照上文描述的安全策略的文檔結構進行文檔體系的建立。企業的安全策略的編制原則是一個一體式的企業安全的策略體系,其內容可以覆蓋到企業中的全部人員、部門、網絡、地點以及分支機構。目前,由于企業中機構間的網絡現狀與業務情況的差別較大,所以在基本的策略體系和框架下,可以讓各個機構以自身情況為基礎,對策略和體系中的組織、用戶協議、操作流程、管理制度以及人員的職責逐步地細化。但細化后的策略所要求的安全程度不允許下降。
2.3 策略的與執行
企業網絡安全的策略系列文檔在制定完成后,必須得到以及有效執行。與執行的過程除了需要得到高層領導的支持與推動外,而且還要有可行的、合適的以及正確的推動手段。同時在策略與執行前,還需要對每個員工進行相關的培訓,以確保每個員工都掌握與內容中其相關的部分。而且還要明白這是一個艱苦的、長期的工作,需要經過艱苦努力。況且由于牽涉到企業內眾多部門與大部分員工,工作的方式與流程可能還需要改變,所以其推行難度相當大;同時,安全策略的本身還可能存在這樣那樣的缺陷,例如太過復雜及繁瑣、不切實際以及規定有所缺欠等,都會影響到整體策略的落實[4]。
3 企業信息化網絡安全技術的總體方案
3.1 引入防火墻系統[5]
通過引入防火墻系統,可以利用防火墻功能中的“訪問控制+邊界隔離”,從而實現控制企業網進出的訪問。尤其是對一些內部服務器進行資源訪問的,可以重點進行監控,以提高企業網絡層面的安全。防火墻的子系統還能夠與入侵檢測的子系統聯動,當入侵檢測的系統對數據包進行檢測,發現異常并告知防火墻時,防火墻可以生成相應的安全策略,并將訪問源拒絕于防火墻之外。
3.2 引入網絡防病毒的子系統
防病毒的子系統是用來對網絡病毒進行實時查殺的,從而保證企業免遭病毒的危害。企業需要在內部部署郵件級、服務器級、個人主機級和網關級的病毒防護。在整體范圍內提高系統的防御能力,提高企業網絡層面安全性。
3.3 引入漏洞掃描的子系統
漏洞掃描的子系統可以定期分析安全隱患,并在其萌牙狀態時就把安全隱患消滅。由于企業網絡中包含眾多類型的數據庫系統和操作系統,還運行著人力資源系統、產品管理系統、客戶的信息系統、財務系統等諸多重要系統,如何確保眾多信息的安全以及各類系統的穩定應用,便成為需要高度關注的重點。對漏洞掃描的子系統進行定期掃描,并在定期掃描后提交漏洞和弱點分析報告,可使企業網的整體系統的安全性得以提高。
3.4 引入數據加密的子系統
對企業網重要的數據進行加密,以確保數據以密文的形式在網絡中被傳遞。能夠有效防范竊取企業重要的數據,可以使企業網絡的整體安全性得以提高。
4 結語
通過以上對企業網絡的安全和隱患進行的著重分析,提出了保護企業信息安全的解決方法。由于網絡技術的快速發展和應用的廣泛,所以對于企業網絡安全的建設,需要遵循一個穩定的體系框架,同時還要不斷更新技術。這樣才能有效地降低企業網絡安全隱患的系數,進一步保證企業信息化在網絡時代能夠更安全、更健康的發展。
參考文獻
[1] 顧晟. 企業信息化網絡的安全隱患及解決策略[J].計算機時代,2010,3:19~22.
[2]丁國華,丁國強. 企業網絡安全體系研究[J].福建電腦,2007,2:66~67.
[3]陸耀賓. 企業網絡安全體系結構[J].電子工程師,2004,4:55~56.
這是因為,隨著企業級移動應用的普及,BYOD用戶量增加,企業網絡中傳統的邊界防護被突破。比如,移動智能終端通過Wi-Fi連接企業網絡,同時還通過3G/4G連接Internet,等于在企業網絡中打開了新的出口;再比如,移動智能終端具備大容量的數據存儲能力,可以將大量企業數據以物理的方式帶出。總之,移動智能終端讓企業機密數據“獲得”新的泄密途徑,BYOD安全成為企業當務之急。
可喜的是,企業并沒有因噎廢食,而是清楚地認識到BYOD帶來的好處:員工可以使用自己喜歡的移動設備(手機、平板電腦、筆記本電腦等等)接入網絡,還可以在可接入網絡的任何地方(家、酒店、機場、火車上等等)完成辦公室里的一切工作。
現實中,BYOD節省了企業采購辦公設備的成本,但也增加了管理和安全方面的成本。只有企業做到完善的安全性策略部署及能夠更好地在不同平臺協同工作之后,才能放心地推廣BYOD辦公。
BYOD安全管理的內容一般包括移動設備管理(MDM)和移動安全平臺管理,具體實現的內容包括移動終端設備接入認證、合規管理、數據加密、數據擦除、鎖定、安全策略等等。此外,企業還需要解決流量賬單的問題,因為員工使用的數據流量中同時包含辦公和個人消費。
BYOD安全解決方案中的“MXM”
移動智能終端隨著BYOD的流行納入企業IT管理體系中后,出現了一系列的“MXM”管理方案,包括移動設備管理(MDM)、移動安全管理(MSM)、移動應用管理(MAM)、移動郵件管理(MEM)、移動內容管理(MCM)等等。
移動設備管理(MDM)指的是移動設備生命周期管理,在設備注冊、激活、使用、退出的各個環節,進行用戶及設備管理、配置管理、安全管理,資產管理等。事實上,目前MDM還能提供全方位安全體系防護,同時在移動設備、移動APP、移動文檔三方面進行管理和防護。
移動安全管理(MSM)從終端安全、網絡安全、應用安全、數據安全等方面解決企業的移動安全管理問題。移動智能終端面臨的最大威脅并非來自網絡,而是來自“現實”――在日常生活中丟失設備的情況時有發生,所以MDM首先解決對設備丟失或被盜情況下的處理。目前MDM能夠實現的功能包括:搜尋設備的位置、遠程鎖定設備、遠程擦除設備上的數據、使手機發出警報音,確保在能夠定位和檢索的同時最大程度地保護數據。當然,并非只有BYOD辦公才面臨這樣的問題,個人使用也一樣,所以這一功能在移動操作系統和基本的移動安全防護軟件中都有集成。
BYOD將個人設備納入企業管理,因此安全策略和報告均連接IT管理者而非擁有它的員工。在用戶使用設備的過程中:增加危險配置保護,移動管理平臺能強制設備設置密碼,同時能在設備越獄后第一時間通知管理員;增加違規拷貝的保護,對存儲具備數據加密功能;集成惡意軟件防御,對企業應用商店進行安全掃面檢測;阻止應用濫用,設置應用的黑白名單,禁止部分應用安裝和使用,保證終端的安全。
關鍵詞:中小企業;網絡安全;企業網絡;架構
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 20-0000-02
1 中小型企業網絡安全
1.1 中小型企業網絡安全概念。國際組織(ISO)對網絡安全規定為在網絡間進行數據處理系統建立是所采取的相應的安全技術,這些技術可以對網絡進行時時監控和安全,并保證不讓任何人使用的程序通過網絡來進行計算機,并始終通過網絡有效的保證計算機算硬件的安全,不通過網絡泄露個人或者企業等單位的秘密。以此我們可以這樣理解中小型企業網絡安全為是通過采用各種高科技技術和一定的管理措施,使的中小企業網絡系統能夠進行正常運作,進而來保證中小企業網絡數據的可用性、完整性和保密性。
1.2 中小型企業網絡職能。一個安全的中小企業網絡職能應該是具有一定的可靠性、可用性、完整性、保密性和真實性等的。中小企業網絡的安全不僅要保護企業內部的計算機網絡設備的安全和計算機網絡系統安全,更重要的是要對企業數據安全的保護。所以對于一個中小型企業來說網絡安全最終的職能就是保護企業重要的信息數據。
2 中小型企業信息網絡安全的困惑
2.1 中小企業信息網絡操作系統安全的困惑。中小型企業經常出現的困惑就是針對信息網絡操作時出現的安全困惑,所謂中小型企業信息網絡操作系統安全就是指通常是指進行信息網絡操作系統的安全。操作系統的某一合法用戶可任意運行一段程序來修改該用戶擁有的文件訪問控制信息,而操作系統無法區別這種修改是用戶自己的合法操作還是計算機病毒的非法操作;另外,也沒有什么一般的方法能夠防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。為此,中小型企業認識到必須采取更強有力的訪問控制手段,這就是強制訪問控制。在強制訪問控制中,系統對主體與客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。中小型企業為某個目的而運行的程序,不能改變它自己及任何其它客體的安全屬性,包括該用戶自己擁有的客體。強制訪問控制還可以阻止某個進程生成共享文件并通過這個共享文件向其它進程傳遞信息。目前來說中小型企業的信息網絡操作系統多為Windows和UNIX操作系統,這些操作系統本身就有自身的網絡安全漏洞,因為操作系統本身都是有后門的,而這些后門和安全漏洞都將存在重大的信息網絡安全隱患,造成中小企業信息網絡的安全困惑。所以這就要求在進行中小型企業信息網絡系統安裝時,不只要考慮到企業的自身需求,更多的時候要考慮到中小型企業的信息網絡安全,不能因為系統的安裝造成過大的中小型企業信息安全的困惑。
2.2 中小企業信息網絡應用安全的困惑。現階段我國的中小型企業網絡安全應用僅網絡系統就存在很大的安全隱患,系統、應用和數據的安全存在較大的風險。目前,實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
2.3 中小企業信息網絡管理安全的困惑。中小型企業信息網絡管理方面存在的安全困惑主要包括了,中小型企業的內部管理人員們或者是員工們圖方便省事,對自身的計算機不進行密碼的設置,沒用自己的用戶口令,或者是有些管理者和員工設置的密碼和口令過短或者是過于簡單,這樣就導致密碼和口令很容易被破解,這樣來當出現了信息網絡的安全問題時,容易責任不清,并且很難一下就找到問題出現的計算機,因為整個公司都使用相同的用戶名和口令,使得整體信息網絡的管理出現嚴重的混亂,并且容易出現企業重要信息的泄密。進行中小型企業信息網絡管理是信息網絡安全的重要組成部分,是能保證中小型企業信息網絡安全的重要組成部分,是可以對外來病毒進行防止的重要環節,是中小型企業內部信息網絡不被入侵必須的部分。也是中小型企業信息網絡暗中的管理困惑,是普遍中小型企業都會存在的困惑之一。
3 如何進行中小型企業信息網絡安全的架構
3.1 中小型企業信息網絡安全架構Internet的接入。中小型企業信息網絡安全構架中Internet的接入,多是采用了PIX515作為外部邊緣得防火墻設備,中小型企業內部的用戶登錄則是通過互聯網時會經過NetEye防火墻,然后再由PIX映射到互聯網。PIX與NetEye之間形成了DMZ映射區,這是一種需要進行提供互聯網服務的郵件服務和Web服務器等防止在該DMZ區內。中小型企業進行此防火墻的安全策略步驟是:首先要從Internet上設置只能訪問到DMZ內Web服務器的80端口和郵件服務器的25端口,其次,則是要從Internet和DMZ區設定出不能進行訪問內部網任何資源,最后則是要從Internet進行訪問內部網資源的時候只能通過VPN系統進行。
3.2 中小型企業信息網絡安全架構用戶的認證。中小型企業信息網絡安全架構的用戶認證系統主要就是用于解決通過電話進行撥號時出現的安全問題和通過VPN進行接入時出現的安全問題,信息網絡安全架構的用戶認證系統是目前為止運用最為完善的系統用戶認證系統、訪問控制系統和使用審計系統方面的功能來增強信息網絡系統的安全性,并采用了目前為止最為高端的ACS用戶認證系統。中小型企業的ERP系統一般采用C/S(客戶機/服務器)體系結構,架構于企業內網Intranet上。通常,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸;VPN還可用于不斷增長的移動用戶的全球互聯網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路。在信息網絡的主域服務器上安裝Radius服務器,在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。這樣當任何人進行電話撥號和VPN用戶身份認證時,就會在Radius的服務器上直接進行,這樣一來用戶賬號就會集中的在主域服務器上進行開設。這樣做就可以在系統中設置較為嚴格的用戶訪問策略和口令策略,能有效的強制使用用戶進行定期的口令修改。
綜上所述,中小型企業信息網絡安全保障是開展其它一切業務往來與技術交流的關鍵,要想企業長足發展,必須重視信息網絡安全的構建。
參考文獻:
本文介紹了網絡安全管理要素,并結合筆者多年工作實踐經驗,以某卷煙廠企網絡安全管理技術的應用為例,針對企業網絡安全方案展開研究,希望能夠為網絡安全管理技術在OSS中的應用提供一點理論支持。
【關鍵詞】
網絡安全;管理技術;應用
1網絡安全管理要素
目前,隨著互聯網的普及與發展,人們對網絡的應用越來越廣泛,對網絡安全的意識也不斷增強,尤其是對于企業而言,網絡安全管理一直以來都存在諸多問題。網絡安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,這些要素對于網絡安全管理而言有著重大影響,針對這些網絡安全管理要素的分析與研究具有十分重要的意義。
1.1安全策略
網絡安全的核心在于安全策略。在網絡系統安全建立的過程中,安全策略具有重要的指導性作用。通過安全策略,可以網絡系統的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規則,安全策略對于網絡系統安全而言有著重要的控制作用。換言之,就是指以安全需求、安全威脅來源以及組織機構狀況為出發點,對安全對象、狀態以及應對方法進行明確定義。在網絡系統安全檢查過程中,安全策略具有重要且唯一的參考意義。網絡系統的安全性、安全狀況以及安全方法,都只有參考安全策略。作為重要的標準規范,相關工作人員必須對安全策略有一個深入的認識與理解。工作人員必須采用正確的方法,利用有關途徑,對安全策略及其制定進行了解,并在安全策略系統下接受培訓。同時,安全策略的一致性管理與生命周期管理的重要性不言而喻,必須確保不同的安全策略的和諧、一致,使矛盾得以有效避免,否則將會導致其失去實際意義,難以充分發揮作用。安全策略具有多樣性,并非一成不變,在科學技術不斷發展的背景下,為了保證安全策略的時效性,需要對此進行不斷調整與更新。只有在先進技術手段與管理方法的支持下,安全策略才能夠充分發揮作用。
1.2安全配置
從微觀上來講,實現安全策略的重要前提就是合理的安全配置。安全配置指的是安全設備相關配置的構建,例如安全設備、系統安全規則等等。安全配置涉及到的內容比較廣泛,例如防火墻系統。VPN系統、入侵檢測系統等等,這些系統的安全配置及其優化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統的作用是否能夠發揮。合理、科學的安全配置能夠使安全系統及設備的作用得到充分體現,能夠很好的符合安全策略的需求。如果安全配置不當,那么就會導致安全系統設備缺乏實際意義,難以發揮作用,情況嚴重時還會產生消極影響。例如降低網絡的流暢性以及網絡運行效率等等。安全配置的管理與控制至關重要,任何人對其隨意更改都會產生嚴重的影響。并且備案工作對于安全配置也非常重要,應做好定期更新工作,并進行及時檢查,確保其能夠將安全策略的需求能夠反映出來,為相關工作人員工作的開展提供可靠的依據。
1.3安全事件
所謂的安全事件,指的是對計算機系統或網絡安全造成不良影響的行為。在計算機與域網絡中,這些行為都能夠被觀察與發現。其中破壞系統、網絡中IP包的泛濫以及在未經授權的情況下對另一個用戶的賬戶或系統特殊權限的篡改導致數據被破壞等都屬于惡意行為。一方面,計算機系統與網絡安全指的是計算機系統與網絡數據、信息的保密性與完整性以及應用、服務于網絡等的可用性。另一方面,在網絡發展過程中,網絡安全事件越來越頻繁,違反既定安全策略的不在預料之內的對系統與網絡使用、訪問等行為都在安全事件的范疇之內。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內容比較廣泛,包括安全系統與設備、網絡設備、操作系統、數據庫系統以及應用系統的日志與之間等等。安全事件將網絡、操作以及應用系統的安全情況與發展直接的反映了出來,對于網絡系統而言,其安全狀況可以通過安全事件得到充分體現。在安全管理中,安全事件的重要性不言而喻,安全事件的特點在于數量多、分布散、技術復雜等。因此,在安全事件管理中往往存在諸多難題。在工作實踐中,不同的管理人員負責不同的系統管理。由于日志與安全事件數量龐大,系統安全管理人員往往難以全面觀察與分析,安全系統與設備的安全缺乏實際意義,其作用也沒有得到充分發揮。安全事件造成的影響有可能比較小,然而網絡安全狀況與發展趨勢在很大程度上受到這一要素的影響。必須采用相應的方法對安全事件進行收集,通過數據挖掘、信息融合等方法,對其進行冗余處理與綜合分析,以此來確定對網絡、操作系統、應用系統產生影響的安全事件,即安全事故。
1.4安全事故
安全事故如果產生了一定的影響并造成了損失,就被稱為安全事故。如果有安全事故發生那么網絡安全管理人員就必須針對此采取一定的應對措施,使事故造成的影響以及損失得到有效控制。安全事故的處理應具有準確性、及時性,相關工作人員應針對事故發生各方面要素進行分析,發現事故產生的原因,以此來實現對安全事故的有效處理。在安全事故的處理中,應對信息資源庫加以利用,對事故現場系統或設備情況進行了解,如此才能夠針對實際情況采取有效的技術手段,使安全事故產生的影響得到有效控制。
1.5用戶身份管理
在統一網絡安全管理體系中,用戶管理身份系統占據著重要地位。最終用戶是用戶身份管理的主要對象,通過這部分系統,最終用戶可以獲取集中的身份鑒別中心功能。在登錄網絡或者對網絡資源進行使用的過程中,身份管理系統會鑒別用戶身份,以此保障用戶的安全。
2企業網絡安全方案研究
本文以某卷煙廠網絡安全方案為例,針對網絡安全技術在OSS中的應用進行分析。該企業屬于生產型企業。該企業網絡安全管理中,采用針對性的安全部署策略,采用安全信息收集與信息綜合的方法實施網絡安全管理。在網絡設備方面,作為網絡設備安全的基本防護方法:①對設備進行合理配置,為設備所需的必要服務進行開放,僅運行指定人員的訪問;②該企業對設備廠商的漏洞予以高度關注,對網絡設備補丁進行及時安裝;③全部網絡設備的密碼會定期更換,并且密碼具有一定的復雜程度,其破解存在一定難度;④該企業對設備維護有著高度重視,采取合理方法,為網絡設備運營的穩定性提供了強有力的保障。在企業數據方面,對于企業而言,網絡安全的實施主要是為了病毒威脅的預防,以及數據安全的保護。作為企業核心內容之一,尤其是對于高科技企業而言,數據的重要性不言而喻。為此,企業內部對數據安全的保護有著高度重視。站在企業的角度,該企業安排特定的專業技術人員對數據進行觀察,為數據的有效利用提供強有力的保障。同時,針對于業務無關的人員,該企業禁止其對數據進行查看,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸的數據。現階段,很多大中型企業在各地區都設有分支機構,該卷煙廠也不例外,企業核心信息在公司之間傳輸,為了預防非法人員查看,其發送必須采取加密處理。并且,采用Internet進行郵件發送的方式被嚴令禁止;②為了確保公司內部人員對數據進行私自復制并帶出公司的情況得到控制,該企業構建了客戶端軟件系統。該系統不具備U盤、移動硬盤燈功能,無線、藍牙等設備也無法使用,如此一來,內部用戶將數據私自帶出的情況就能夠得到有效避免。此外,該企業針對辦公軟件加密系統進行構建,對辦公文檔加以制定,非制定權限人員不得查看。在內部網絡安全上,為了使外部網絡入侵得到有效控制,企業采取了防火墻安裝的方法,然而在網絡內部入侵上,該方法顯然無法應對。因此,該企業針對其性質進行細致分析,采取了內部網絡安全的應對方法。企業內部網絡可以分為兩種,即辦公網絡與生產網絡。前者可以對Internet進行訪問,存在較大安全隱患,而后者則只需將內部服務器進行連接,無需對Internet進行訪問。二者針對防火墻系統隔離進行搭建,使生產網絡得到最大限度的保護,為公司核心業務的運行提供保障。為了使網絡故障影響得到有效控制,應對網絡區域進行劃分,可以對VLAN加以利用,隔離不同的網絡區域,并在其中進行安全策略的設置,使區域間影響得到分隔,確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面,該企業具有較多客戶端,大部分都屬于windows操作系統,其逐一管理難度打,因此企業內部采用Windows組側策略對客戶端進行管理。在生產使用的客戶端上,作業人員的操作相對簡單,只需要利用嚴格的限制手段,就可以實現對客戶端的安全管理。
作者:楊國欣 霍重寧 單位:廣西中煙工業有限責任公司
參考文獻
[1]崔小龍.論網絡安全中計算機信息管理技術的應用[J].計算機光盤軟件與應用,2014(20):181~182.
[2]何曉冬.淺談計算機信息管理技術在網絡安全中的應用[J].長春教育學院學報,2015(11):61~62.
1.采用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
安全需求:
通過對網絡系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,可用性:授權實體有權訪問數據
機密性:
信息不暴露給未授權實體或進程
完整性:保證數據不被未授權修改
可控性:控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計:是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏險分析網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況,應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。
解決方案:
安全策略:
1.采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.采用各種安全技術,構筑防御系統,主要有:
(1)防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。
(2)NAT技術:隱藏內部網絡信息。
(3)VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
(4)網絡加密技術(Ipsec):采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5)認證:提供基于身份的認證,并在各種認證機制中可選擇使用。
(6)多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
防御系統:我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網絡安全的防御系統。
物理安全:
物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。為保證網絡的正常運行,在物理安全方面應采取如下措施:
1.產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
2.運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3.防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。
4.保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
防火墻技術
防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間地任何活動,保證了內部網絡地安全;在物理實現上,防火墻是位于網絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統,也可以在一個進行網絡互連地路由器上實現防火墻。入侵檢測入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
安全服務:
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。針對以上問題和網管人員的不足,下面介紹一系列比較重要的網絡服務。包括:
1.通信伙伴認證
2.訪問控制
3.數據保密
4.業務流分析保護
接連不斷的蠕蟲病毒使當前安全技術和措施的有效性再次受到質疑。盡管安全是世界上所有機構的頭等大事之一,安全攻擊事件的數量仍然是逐年攀升,造成的危害一次比一次大。在最近的數年中,大量的投資被用于阻擊安全事件的發生,但只有少數公司確保了它們網絡的安全。
特別值得一提的是,為了滿足用戶和業務的需求,時刻保持競爭優勢,企業不得不持續擴張網絡體系。然而,很多人可能不知道,網絡的每一次擴張,即便是一臺新計算機、一臺新服務器以及軟件應用平臺,都將給病毒、蠕蟲、黑客留下可乘之機,為企業網絡帶來額外的安全風險。同時,純病毒時代已經一去不復返,幾年前占據著新聞頭條的計算機病毒事件在今天看來已經不是什么新聞,取而代之的是破壞程度呈幾何增長的新型病毒。這種新型病毒被稱為混合型病毒,這種新病毒結合了傳統電子郵件病毒的破壞性和新型的基于網絡的能力,能夠快速尋找和發現整個企業網絡內存在的安全漏洞,并進行進一步的破壞,如拒絕服務攻擊,拖垮服務器,攻擊計算機或系統的薄弱環節。在這種混合型病毒時代,單一的依靠軟件安全防護已開始不能滿足客戶的需求。
網絡安全不只是軟件廠商的事
今年上半年,網絡安全軟件及服務廠商——趨勢科技與網絡業界領導廠商——思科系統公司在北京共同宣布簽署了為企業提供綜合性病毒和蠕蟲爆發防御解決方案的合作協議。該協議進一步擴展了雙方此前針對思科網絡準入控制(NAC)計劃建立的合作關系,并將實現思科網絡基礎設施及安全解決方案與趨勢科技防病毒技術、漏洞評估和病毒爆發防御能力的結合。
根據合作協議,思科首先將在思科IOS路由器、思科Catalyst交換機和思科安全設備中采用的思科入侵檢測系統(IDS)軟件中添加趨勢科技的網絡蠕蟲和病毒識別碼技術。此舉將為用戶提供高級的網絡病毒智能識別功能和附加的實時威脅防御層,以抵御各種已知和未知的網絡蠕蟲的攻擊。
“在抵御網絡蠕蟲、防止再感染、漏洞和系統破壞的過程中,用戶不斷遭受業務中斷的損失,這導致了對更成熟的威脅防御方案需求的增長。”趨勢科技創始人兼首席執行官張明正評論說,“傳統的方法已無法滿足雙方客戶的需求。”
“現在的網絡安全已不是單一的軟件防護,而是擴充到整個網絡的防治。”思科全球副總裁杜家濱在接受記者采訪時表示:“路由器和交換機應該是保護整個網絡安全的,如果它不安全,那它就不是路由器。從PC集成上來看,網絡設備應該能自我保護,甚至實現對整個網絡安全的保護。”
業界專家指出,防病毒與網絡基礎設施結合,甚至融入到網絡基礎架構中,這是網絡安全的發展潮流,趨勢科技和思科此次合作引領了這一變革,邁出了安全發展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細細品味這次合作的話,我們不難發現這是雙方的一步好棋,兩家公司都需要此次合作。
作為網絡領域的全球領導者,思科一直致力于推動網絡安全的發展并獨具優勢。自防御網絡(Self-DefendingNetwork,SDN)計劃是思科于今年3月推出的全新的安全計劃,它能大大提高網絡發現、預防和對抗安全威脅的能力。思科網絡準入控制(NAC)計劃則是SDN計劃的重要組成部分,它和思科的其他安全技術一起構成了SDN的全部內涵。
SDN是一個比較全面、系統的計劃,但是它缺乏有效的病毒防護功能。隨著網絡病毒的日見猖獗,該計劃防毒功能的欠缺日益凸顯。趨勢科技領先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢科技作為網絡安全軟件及服務廠商,以卓越的前瞻和技術革新能力引領了從桌面防毒到網絡服務器和網關防毒的潮流。趨勢科技的主動防御的解決方案是防毒領域的一大創新,其核心是企業安全防護戰略(EPS)。EPS一反過去被動地以防毒軟件守護的方式,將主動預防和災后重建的兩大階段納入整個防衛計劃當中,并將企業安全防護策略延伸至網絡的各個層次。
“如果此次與思科合作的不是趨勢科技,我們恐怕連覺都睡不好。”張明正的戲言無不透露出趨勢科技對此次合作的迫切性和重要性。
更讓張明正高興的是,通過此次合作,趨勢科技大大擴充了渠道。“我們的渠道重疊性很小。”張明正表示。而此次“1+1<2”的低成本產品集成將使這次合作發揮更大的空間。
網絡安全路在何方?
如今,雖然業界有形形的安全解決方案,網絡安全的形勢卻不斷惡化。究其原因,主要是由于現在的網絡威脅形式越來越多,攻擊手段越來越復雜,呈現出綜合的多元化的特征。
關鍵詞:關鍵詞:防火墻;新一代;網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
0 序言
近年來,隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具。同樣,隨著企業信息化的迅速發展,基于網絡的應用越來越廣泛,特別是企業內部專網系統信息化的發展日新月異—如:網絡規模在不斷擴大、信息的內容和信息量在不斷增長,網絡應用和規模的快速發展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網絡維護者不得不對潛在的威脅進行防御及網絡安全系統建設,多種威脅技術的變化發展及威脅對企業專網系統的IT安全建設提出了更高的要求。
1.安全風險背景
隨著計算機技術、通信技術和網絡技術的發展,接入專網的應用系統越來越多。特別是隨著信息化的普及需要和總部的數據交換也越來越多。對整個系統和專網的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術已得到廣泛使用,E-mail、Web2.0和終端PC的應用也日益普及,但同時病毒和黑客也日益猖獗, 系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。
2.網絡安全方案
防火墻是最具策略性的網絡安全基礎結構組件,可以檢測所有通信流。因此,防火墻是企業網絡安全控制的中心,通過部署防火墻來強化網絡的安全性,是實施安全策略的最有效位置。不過,傳統的防火墻是依靠端口和通信協議來區分通信流內容,這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術、使用 SSL、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻。
由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應用控制的結果會讓企業暴露在商業風險之下,并使企業面臨網絡中斷、違反規定、運營維護成本增加和可能丟失數據等風險。用于恢復可視化和控制的傳統方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發掃描進程)的不足,均無法解決可視化和控制問題。現在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻也必須具備如下要素:
(1)識別應用程序而非端口:準確識別應用程序身份,檢測所有端口,而且不論應用程序使用何種協議、SSL、加密技術或規避策略。應用程序的身份構成所有安全策略的基礎。(識別七層或七層以上應用)
(2)識別用戶,而不僅僅識別 IP 地址。利用企業目錄中存儲的信息來執行可視化、策略創建、報告和取證調查等操作。
(3)實時檢查內容。幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件,并且實現低延遲和高吞吐速度。
(4)簡化策略管理。通過易用的圖形化工具和策略編輯器(來恢復可視化和控制
(5)提供數千兆位或萬兆位的數據吞吐量。在一個專門構建的平臺上結合高性能硬件和軟件來實現低延遲和數千兆位的數據吞吐量性能
2.1 產品與部署方式
本文就Palo Alto Networks 新一代安全防護網關部署方案進行探討,該產品采用全新設計的軟/硬件架構,可在不影響任何服務的前提下,以旁路模式、透明模式等接入現有網絡架構中,協助網管人員進行環境狀態分析,并將分析過程中各類信息進行整理后生成報表,從而進一步發現潛在安全風險,作為安全策略調整的判斷依據。
2.2 解決方案功能
本方案產品突破了傳統的防火墻和UTM的缺陷,從硬件設計和軟件設計上進一步強化了網絡及應用的安全性和可視性的同時保持應用層線速的特性。主要功能如下:
(1)應用程序、用戶和內容的可視化
管理員可使用一組功能強大的可視化工具來快速查看穿越網絡的應用程序、這些應用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業務相關的安全策略。
(2)應用程序命令中心:這是一項無需執行任何配置工作的標準功能,以圖形方式顯示有關當前網絡活動(包括應用程序、URL 類別、威脅和數據)的大量信息,為管理員提供所需的數據,供其做出更為合理的安全策略決定。
(3)管理:管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來控制防火墻。可基于角色的管理,將不同的管理職能委派給合適的個人。
(4)日志記錄和報告:可完全自定義和安排的預定義報告提供有關網絡上的應用程序、用戶和威脅的詳細視圖。
2.3 解決方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三種獨特的識別技術,以統一策略方式對使用者(群組)、應用程序及內容提供訪問控制、安全管理及帶寬控制解決方案,此創新的技術建構于 “單通道平行處理 (SP3)”先進的硬件+軟件系統架構下,實現低延遲及高效率的特性,解決傳統FW+IPS+UTM對應用處理效能不佳的現況。
(2)實現了對應用程序和內容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達 10Gbps,精確地識別應用程序使用的端口、協議、規避策略或 SSL 加密算法,掃描內容來阻止威脅和防止數據泄露。
(3)對網絡中傳輸的應用程序和用戶進行深度識別并進行內容的分析,提供完整的可視度和控制能力。
(4)提供多樣化NAT轉址功能:傳統NAT服務,僅能利用單一或少數外部IP地址,提供內部使用者做為IP地址轉換之用,其瓶頸在于能做為NAT轉換的外部IP地址數量過少,當內部有不當使用行為發生,致使該IP地址被全球ISP服務業者列為黑名單后,將造成內部網絡用戶無法存取因特網資源;本方案提供具有多對多特性的地址轉換服務功能,讓IT人員可以利用較多的外部IP地址做為地址轉換,避免因少數外部IP被封鎖而造成無法上網,再次提升網絡服務質量。
(5)用戶行為控制:不僅具備廣泛應用程序識別能力,還將無線網絡用戶納入集中的控制管理,可對無線網絡使用情況,提供最為詳細豐富的用戶使用數據。
(6)流量地圖功能:流量地圖清楚呈現資料流向并能連結集中化的事件分析界面。
3.總結
新一代防火墻解決了網絡應用的可視性問題,有效杜絕利用跳端口技術、使用SSL、80端口或非標準端口繞過傳統防火墻攻擊企業網絡行為,從根本上解決傳統防火墻集成多個安全系統,卻無法真正有效協同工作的缺陷,大大提高數據實時轉發效率,有效解決企業信息安全存在的問題。
參考文獻:
[1] 孫嘉葦;對計算機網絡安全防護技術的探討 [J];《計算機光盤軟件與應用》 2012年02期。
關鍵詞:企業網絡化;網絡辦公;信息安全管理
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-2374(2014)02-0153-02
近些年來,隨著我國經濟不斷的發展,信息技術不斷革新,企業的生存已經和計算機網緊緊綁定在一起。然而,網絡的覆蓋面和普及范圍越來越廣以及各種信息技術的不斷更新,使得網絡化辦公存在諸多安全隱患,尤其是企業信息安全問題,因而在當今網絡信息時代,保護信息等數據的安全是極為重要的。本文就針對網絡信息辦公中存在的安全問題進行了分析,并提出了相應的解決措施。
1 企業網絡化辦公中存在的安全信息問題
1.1 網絡病毒
在當今的網絡信息時代,病毒攻擊防火墻隨時隨地都在上演;病毒感染、攻擊防火墻作為盜竊信息數據的重要手段之一,其是網絡辦公不得不防的問題之一。如在網絡辦公中,經常會使用郵件進行交流、信息分享與交換,而郵件也作為當前網絡病毒入侵的渠道之一,其隱藏在電子郵件及附件之中,若是沒有采取相應的病毒防范措施,在郵件被打開的那一刻,企業的信息數據已然開始被復制或使得整個網絡辦公局域網癱瘓,給企業造成巨大的損失。
1.2 數據備份存在缺陷
企業網絡化辦公的實時性極強,信息變化速度極快,因此數據備份就顯得非常重要,如計算機中存檔的數據、歷史記錄以及檔案對企業領導層或用戶來說是非常重要的,若是沒有及時給予備份,一旦丟失,就會給企業造成不可預估的損失,輕則重要客戶信息流失,重則導致企業的正常運行受到巨大阻礙,給生產、科研造成難以估計的損失。
1.3 網絡防火墻存在漏洞
防火墻軟件作為保護企業網絡化辦公免疫病毒攻擊的主要手段之一,其隨著網絡中病毒軟件的開發而出現相應的變化,因此網絡防火墻會及時更新,這也是充分發揮網絡防火墻的作用,保證信息安全的主要手段之一。然而,由于管理人員不重視,認為實時更新防火墻軟件麻煩,導致軟件中存在漏洞,造成數據安全隱患。
2 信息安全的防范措施
2.1 安裝防病毒軟件
企業在開展網絡化辦公時,應考慮網絡中可能被病毒感染或攻擊的地方可以采取相應的防病毒措施,如以“縱深”的防御形式購買和安裝相應的防病毒軟件。網絡技術在發展,防病毒軟件在更新,病毒同樣如此,尤其是企業網絡化辦公,單機防病毒已經不足以對網絡病毒進行掃描和徹底清除,因此,必須購買和安裝能適應局域網,且全方位、無死角的防病毒軟件。防病毒軟件的安裝,能有效地識別網絡內部交流中隱藏的病毒,如郵件或附件中隱藏的病毒。
2.2 數據備份
為了保證企業重要數據不丟失,避免企業因數據丟失造成損失,對計算機中數據進行備份是極為重要的,也是必須采取的防范措施之一,這對保障企業的生產、產品研發、銷售等正常運行,有著重要的意義。企業應根據自己的經濟能力和信息的存儲及更新能力,選擇合適的數據備份方式,如網絡硬盤備份、硬盤備份等。
2.3 架設防火墻
防火墻作為當前應用最廣泛、最有效的網絡安全機制之一,其是預防和避免Internet上存在的不安全因素,如木馬病毒等,蔓延到企業使用的局域網內部的有效措施之一,也是保證整個局域網安全的重要環節之一。架設防火墻對于一個需要保證信息安全的企業來說非常有必要,它會對外部網絡和內部網絡之間流通的所有數據進行檢驗和篩選,只有符合企業所設定的信息安全策略的交流數據才能避免被防火墻攔截,同時,防火墻本身還具有極強的抗攻擊免疫能力。
2.4 設定訪問權限
訪問權限設置和控制作為防范網絡不安全因素和保證網絡安全的重要手段之一,其主要任務是避免企業內部網絡資源被非法或越權訪問和使用,這是保障企業信息安全的核心策略之一。因此,依據企業對網絡信息的實際要求,制定相應的訪問控制權限,如目錄級控制、屬性控制、網絡權限控制、網絡IP地址控制以及入網訪問控制等手段均可起到作用。
3 網絡辦公信息安全管理策略
企業網絡安全的核心在于管理,而安全管理的保證在于技術,因此“七分管理,三分技術”是保證企業網絡信息安全的重要策略和實施手段。只有制定和完善信息安全的規章制度,規范企業用戶使用信息的行為,同時與安全技術相互結合,企業使用的網絡系統及信息數據安全才有保障。
3.1 強化企業用戶的信息安全防范意識,提升其綜合素質
無論是企業決策人員,還是企業員工,其思想上對網絡安全的重視和認識對企業信息安全是極為重要的,要落實安全保密工作的職責,定期開展數據安全防范教育,并制定相應的保密措施對企業員工或領導層進行要求,提升其數據安全的預防意識和保密意識。同時,網絡信息安全管理需要專業的人才來進行相應的操作和監控,因此,企業要依據自身的實際需求,儲備和招攬相應的計算機專業人才,并定期對其進行培訓,提升企業數據安全的整體防護能力。
3.2 完善管理制度,加強管理力度
企業在實施宏觀的數據安全管理措施的同時,還要與重點、有針對性監控方式相結合,這樣才能最大程度上保障企業信息安全。同時,依據企業各個部分涉及的信息量和核心信息量大小,加強管理力度,制定并實施相關的網絡信息安全管理辦法,將每個安全管理環節進行細化,落實信息安全防范的責任,做到“誰用誰負責”,這對保證企業網絡化信息安全有著重要的意義。
3.3 加強對核心數據的管理
企業核心數據涉及到企業未來發展戰略的各個方面,其包含產品占據市場的方法、活動方案、策劃方案等各種手段,這與企業的未來息息相關,因此,加強對企業核心數據等信息的管理是非常重要的。依據核心數據管理所涉及的對象,如領導層、決策層以及網絡安全部門等人員,制定相應的制度進行規范,無論是信息的使用,還是數據的拷貝,都需要相應的秘鑰進行確認,這能有效避免數據被非法盜取或使用。
4 結語
計算機網絡技術、信息技術的快速發展,使得企業的辦公形式與業務發展發生了根本性的改變,企業的生存和盈利更是與網絡緊緊聯系在一起,而網絡中存在的病毒、黑客等不安全因素也給企業網絡化辦公的信息安全帶來巨大威脅,因此加強企業網絡信息安全的管理和防范,對企業未來的發展將會顯得越來越重要。
參考文獻
[1] 劉韞.企業網絡信息安全面臨風險及常用防護措
施[J].網絡安全技術與應用,2013,(9).
[2] 趙治誼.淺析企業網絡信息安全管理機制[J].中
國電子商務,2012,(8).
[3] 趙婷婷.關于企業網絡信息安全的防范措施研究
[J].科海故事博覽?科技探索,2013,(3).
[4] 茍有來,周琦.大中型企業網絡信息安全面臨風險
