開篇:寫作不僅是一種記錄�����,更是一種創造��,它讓我們能夠捕捉那些稍縱即逝的靈感��,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全報告�����,希望這些內容能成為您創作過程中的良師益友���,陪伴您不斷探索和進步���。
第1篇
關鍵詞:企業網絡�����;網絡安全��;安全體系
前言
由于計算機與通信技術的快速發展,人們的工作方式以及生活方式都因為網絡而逐步的發生改變��。網絡的共享性�����、開放性以及互聯性程度逐漸擴大���,對社會的影響也日益增大��,網絡也成為企業發展的主題。隨著企業的信息化��、辦公的全球化以及網絡貿易等業務的出現���,網絡安全也變得日益重要��。為了保證企業網絡自身的安全性�����,必須采取有效的手段面對網絡中的各種威脅[1]�����。
1 企業網絡的威脅及其風險管理
企業網絡的信息是自由傳輸的�����,盡管有各種各樣的方式威脅著企業網絡的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應從下列幾點解決對企業網絡構成的威脅�����,并根據這些威脅所導致的企業風險進行有效管理。首先,企業一定要確定哪些關鍵的內容或資產需要被保護�����。明確什么設備需要被保護���,針對設備可以提供什么樣的訪問和怎么協調這樣的工作�����。其次���,評估需要進行網絡安全保護的資源和財產���。最后���,分析所有對企業網絡安全的可能威脅,并評估每個威脅的可能攻擊性。威脅是指可能對網絡和其中信息資源造成損失,它可以是偶然的��,也可以是刻意的���。威脅有很多方式���,一般可以簡單歸納為以下三種基本的類型:
1 未經授權的訪問��。指未經過授權的人員卻可以訪問網絡資產��,而且也存在對網絡資產進行篡改的可能。
2 假冒��。指由于偽造的憑證假冒其他人進行活動��。
3 拒絕服務���。指服務中斷�����。
2 企業信息化的網絡安全策略體系[2]
網絡的安全策略是對網絡的安全進行管理指導與支持。企業應該為網絡安全制定一套安全方針,而且在內部網絡的安全策略以及身份證明���,從而為網絡安全提供支持和認證。
2.1 安全策略的文檔結構
a) 最高方針。是安全策略的主文檔,屬于綱領性的。陳述安全策略的適用范圍、支持目標��、對網絡安全管理的意圖���、目的以及其它指導原則�����,網絡安全各個方面所應遵守的原則方法和指導性策略���。
b) 技術的規范與標準。其內容包含:各個主機的操作系統�����、網絡設備以及主要應用程序等應該遵守的管理技術的標準���、安全配置以及規范��。
c) 管理的制度與規定.其中包含各種管理辦法���、管理規定或是暫行規定���。從最高方針中引出一些具體的管理規定�����、實施辦法以及管理辦法。得到的規定或辦法不但可操作��,還能有效的推廣及實行,是由最高方針引申而來�����,對用戶協議具有規范作用���。而用戶協議對其不能違背�����。
d) 組織機構以及人員的職責��。負責安全管理的組織機構以及人員職責���,包含負責安全管理的機構的組織形式以及運作方式���,還有機構與人員的具體責任或是連帶責任���。是機構及員工工作時的依照標準��。具有可操作性���,需得到有效推廣及實行��。
e) 用戶的協議。與用戶所簽署的文檔及協議���,包含安全管理的網絡、人員以及系統管理員的保密協議��、安全使用承諾���、安全責任書等等��。作為用戶及員工在日常工作中承諾遵守規定�����,并在違反安全規定時的處罰依據[3]。
2.2 建立策略體系
目前��,大部分企業都缺少完整的策略體系��。也沒有使其成為可操作的��、成文的、正式的策略以及規定來體現出機關或是企業高層對于網絡安全性的重視���。企業應該建立好網絡安全的策略體系���,制定出安全策略的系列文檔�����。
建議企業按照上文描述的安全策略的文檔結構進行文檔體系的建立�����。企業的安全策略的編制原則是一個一體式的企業安全的策略體系,其內容可以覆蓋到企業中的全部人員、部門、網絡���、地點以及分支機構。目前,由于企業中機構間的網絡現狀與業務情況的差別較大��,所以在基本的策略體系和框架下�����,可以讓各個機構以自身情況為基礎��,對策略和體系中的組織、用戶協議、操作流程、管理制度以及人員的職責逐步地細化�����。但細化后的策略所要求的安全程度不允許下降���。
2.3 策略的與執行
企業網絡安全的策略系列文檔在制定完成后,必須得到以及有效執行。與執行的過程除了需要得到高層領導的支持與推動外��,而且還要有可行的��、合適的以及正確的推動手段。同時在策略與執行前�����,還需要對每個員工進行相關的培訓���,以確保每個員工都掌握與內容中其相關的部分�����。而且還要明白這是一個艱苦的���、長期的工作��,需要經過艱苦努力。況且由于牽涉到企業內眾多部門與大部分員工,工作的方式與流程可能還需要改變���,所以其推行難度相當大;同時�����,安全策略的本身還可能存在這樣那樣的缺陷�����,例如太過復雜及繁瑣�����、不切實際以及規定有所缺欠等,都會影響到整體策略的落實[4]��。
3 企業信息化網絡安全技術的總體方案
3.1 引入防火墻系統[5]
通過引入防火墻系統���,可以利用防火墻功能中的“訪問控制+邊界隔離”���,從而實現控制企業網進出的訪問��。尤其是對一些內部服務器進行資源訪問的,可以重點進行監控�����,以提高企業網絡層面的安全���。防火墻的子系統還能夠與入侵檢測的子系統聯動��,當入侵檢測的系統對數據包進行檢測���,發現異常并告知防火墻時��,防火墻可以生成相應的安全策略,并將訪問源拒絕于防火墻之外���。
3.2 引入網絡防病毒的子系統
防病毒的子系統是用來對網絡病毒進行實時查殺的,從而保證企業免遭病毒的危害��。企業需要在內部部署郵件級��、服務器級��、個人主機級和網關級的病毒防護。在整體范圍內提高系統的防御能力�����,提高企業網絡層面安全性���。
3.3 引入漏洞掃描的子系統
漏洞掃描的子系統可以定期分析安全隱患���,并在其萌牙狀態時就把安全隱患消滅�����。由于企業網絡中包含眾多類型的數據庫系統和操作系統��,還運行著人力資源系統、產品管理系統���、客戶的信息系統、財務系統等諸多重要系統�����,如何確保眾多信息的安全以及各類系統的穩定應用��,便成為需要高度關注的重點��。對漏洞掃描的子系統進行定期掃描,并在定期掃描后提交漏洞和弱點分析報告���,可使企業網的整體系統的安全性得以提高。
3.4 引入數據加密的子系統
對企業網重要的數據進行加密�����,以確保數據以密文的形式在網絡中被傳遞��。能夠有效防范竊取企業重要的數據��,可以使企業網絡的整體安全性得以提高。
4 結語
通過以上對企業網絡的安全和隱患進行的著重分析��,提出了保護企業信息安全的解決方法�����。由于網絡技術的快速發展和應用的廣泛,所以對于企業網絡安全的建設,需要遵循一個穩定的體系框架�����,同時還要不斷更新技術�����。這樣才能有效地降低企業網絡安全隱患的系數�����,進一步保證企業信息化在網絡時代能夠更安全、更健康的發展��。
參考文獻
[1] 顧晟. 企業信息化網絡的安全隱患及解決策略[J].計算機時代���,2010���,3:19~22.
[2]丁國華�����,丁國強. 企業網絡安全體系研究[J].福建電腦���,2007���,2:66~67.
[3]陸耀賓. 企業網絡安全體系結構[J].電子工程師��,2004,4:55~56.
第2篇
1.1校企共建實訓教材
職業院校的培養目標是技能型應用人才。通過和企業合作可以加強學生的就業能力���,首先對企業進行調查研究�����,針對企業網絡對人才的應用需求�����,依照企業崗位所要求的職業技能��,與企業共建實訓教材。要參照國家相關的職業資格標準�����,改革課程項目實訓的教學內容���,實現企業和學院共同編寫實訓教材的方案[3]107-108���。我們編寫的校本實訓教材適合學生的水平和需求��,不但提高了學生學習興趣�����,而且讓他們從實踐中提高了網絡技術實際應用能力。
1.2搭建實訓虛擬平臺
網絡技術專業課程原理較多并且設置復雜,如果單純地使用裸機和真實設備來配置,不僅不能滿足需求,而且設備昂貴�����,易于損壞��。項目實訓實驗結合企業網絡工程項目��,按照企業網絡實施流程來完成案例[4]25-27��。實訓中采用Windows Server��、Linux和GNS3軟件和ASA防火墻等模擬路由器和防火墻,讓虛擬機和真實機橋接��。該仿真平臺使教師教學方式靈活���,學生不但易于理解和實現���,而且調動了學生的學習積極性���。使用虛擬機軟件VMware練習操作系統的安裝���、設置和維護���,避免因學生的誤操作對系統造成損壞使實訓終止���。它能幫助學生順利地在計算機上安裝操作系統���,完成修改和設置而不影響真機的正常運作�����。使用模擬軟件進行路由器和交換機的配置��,實現真實的網絡環境,讓學生能夠在模擬軟件中體會到路由器���、交換機在企業網絡環境中的具體應用和配置,為以后的網絡安全管理工作奠定基礎��。
1.3企業案例實訓
案例實訓是在實踐中學習��,將所學知識應用在實驗中。通過對案例的學習,學生可以掌握Windows Server��、Linux操作系統的安裝���、設置�����、維護和管理���,學會橋架�����、管線��、機柜和六大子系統的綜合布線,熟悉交換機��、路由器���、防火墻和無線AP等的配置管理�����。企業案例的選取來源于企業�����,學生根據實訓的目標,采取小組討論選取組長��、資料查閱記錄��、流程實施和報告撰寫等形式完成實訓任務。教師在施工現場有選擇地指導��,由小組長答辯��,教師根據實訓中出現的問題進行解答���,最后評定實訓成績��。企業案例實訓培養了學生的職業技能。在項目實訓中�����,從網絡環境構建���、操作系統設置���、網絡設備安裝��、網絡設備安全配置到安全測試驗證��,一整套的項目實訓下來,學生獲取工作中有用的知識,教學中做到知識訓練與實際工程項目職業能力銜接��,為職業院校提供新的實踐教學模式��。網絡設備的安全技術內容也是一個重要的實踐內容�����,讓實踐教學充分體現職業教育的特點。
1.4企業頂崗實訓
1學生頂崗實訓
首先完成章節項目的實訓��,章節項目的實訓是小案例實訓�����,結合每一章節的具體內容來實施。其首先使用模擬軟件來模擬��,然后用虛擬機安裝相應的軟件來實施網絡操作系統設置�����、交換機�����、路由器和防火墻安全案例。對于Windows Server的高級設置和維護���、Linux的安全管理、ACL配置�����、NAT和防火墻等技術,講解時要精講��,項目案例實訓時要精練��。其次完成綜合項目的實訓�����。綜合實訓是在本課程全部完成后進行,根據企業網絡實際需求搭建安全和便于管理的網絡���。模擬企業網絡環境,組建企業網絡�����,進行網絡操作系統搭建��、網絡環境的構建和網絡安全技術的技能訓練。通過項目綜合實訓學習���,學生能夠根據企業辦公環境、需要的信息點數量以及網絡拓撲圖進行綜合布線�����,安裝和設置操作系統��,配置交換機���、路由器和防火墻安全設備���,使用管理軟件監控企業網絡的運行狀態�����,并采取安全技術保證企業網絡的安全,使其正常運作���。最后是頂崗實訓,安排學生到企業進行實訓��,切實感受真實網絡環境���,發現網絡安全隱患�����,掌握網絡操作技術��、網絡設備配置技術和網絡安全管理技術�����,提高處理網絡故障的實際能力��。項目實訓的成績考核方式要靈活,將企業和學校雙方結合,給學生以中肯的評價�����,以能力為主���,為學生就業打下堅實的基礎�����。
2教師頂崗實訓
深入企業第一線���,了解企業網絡所需要的工作崗位和技術能力�����,全面跟蹤學習綜合布線、網絡應用操作���、網絡安全管理和網絡云計算服務等方面的技術崗位�����;然后反饋到網絡技術專業教學實踐改革中,更新校企共建實訓教材,將企業中的新知識���、新技術和新的管理理念引入��,做好與企業網絡技術人員的良好溝通��,豐富實訓教材內容,提高教學質量。
2總結
第3篇
關鍵詞: 企業;網絡安全;隱患;安全維護措施
0 前言
互聯網絡運用于生活和工作的各個領域,顛覆了傳統的生產形式,對生產力的發展與提高起著重要作用;許多電力企業都意識到互聯網對于企業生產經營的重要性,近幾年信息化建設速度明顯加快,并且對企業網絡不斷進行優化���、調整;除此之外,在電力企業各下屬網點還先后投入使用各種智能系統,如視頻監視系統、智能操作控制系統等。上述智能系統的使用和推廣,幫助電力企業提高了經營管理水平,對企業生產經營發揮了重要作用��。隨著我國電力企業信息化程度的不斷提高,因此保證企業網絡安全是企業經營活動正常開展的基礎���。電力企業網絡安全管理方案的形成,是企業業務的客觀需求,同時也是網絡安全領域發展的必然結果,將經濟效益和社會影響相結合進行綜合考慮,可以看出重視網絡安全管理及系統的維護建設是電力企業的當務之急[1]��。
1 企業網絡安全需求
電力企業對網絡安全的需求主要包括以下幾點:1)要確保擁有一個安全的網絡環境首先需要保證機房可以為各種設備提供良好的運行環境,機房需要有門禁系統���、防火���、防雷電及防潮等相關設備���。同時為機房配備空調,保持機房內溫度處于恒溫狀態,值班人員每天要按時巡檢,對于發現的問題要及時解決或報告��。以某電力企業的機房改造工程為例,改造之后的機房條件雖然有較大改善,但仍存在一些問題。例如電池組超過使用期限,防潮防雷電等措施不到位,無發電設備及冗余供電線路等等;甚至有的電力企業根本沒有專門的機房,網絡設備胡亂堆放,并未采取任何防護措施,閑雜人員可以隨意進出,網絡線路也十分凌亂��。希望有關部門能夠意識到問題的存在,早日消除網絡安全隱患�����。2)電力企業的各種業務的硬件操作系統安全平穩運行也是保障網絡安全非常重要的一環,因此里面有大量的工作亟待完善,例如:對系統補丁進行及時升級堵住安全漏洞,關閉一些非必須端口,合理限制用戶對操作系統的使用權限等等;若想達到期望的網絡安全管理效果,還需進一步規范操作人員的操作行為,減少操作失誤,將所有操作步驟程序化規范化,為企業網絡安全提供可靠保障��。3)對于電力企業的重要業務數據應根據相關要求予以及時備份,并定期對備份的內容進行檢查,確認是否可讀;企業的移動辦公用戶若需接入內網辦公,傳輸數據時也應進行加密處理;確保業務系統安全穩定運行,即便業務出現意外中斷情況也可及時恢復。如果電力企業在確保數據安全性方面尚無一個統一的解決措施,那么電力企業的網絡安全將面臨著極大的風險,數據資料對企業具有非常重要的價值,因此很有必要制定數據防丟失措施[2]�����。
2 網絡安全現狀分析及主要威脅
2.1 企業自身發展帶來的威脅
部分電力企業由于各種各樣的原因導致出現網絡安全問題以后得不到及時解決,或者是企業的智能系統出現故障,這些都將影響企業在客戶中心的形象和企業生產經營��。其次,由于某些電力企業電腦配置較低,如有較多的業務軟件同時運行將會出現電腦運行不暢的情況、甚至死機,這樣不但影響電力企業的正常業務更無法防毒保證網絡安全�����。加之部分企業的電腦超過使用年限,無法滿足業務的發展需求,建議及時升級更換���。盡管大多電力企業由于工作需要安裝了視頻監視系統,但并無相關的制度來正確使用該系統,因而對企業經營和網絡安全維護作用不大���。
2.2 網絡黑客的破壞與病毒威脅
由于互聯網的高速發展,一些攻擊技術與黑客工具的傳播非?����??相關的工具使用也變得更加容易,因此造成攻擊事件不斷發生�����。發生這些行為深層次原因有:1)商業競爭,電力企業間為自身利益,無視道德與法律,違法雇傭黑客對競爭對手進行攻擊,達到獲取競爭對手信息并制定策略進行打壓的目的;2)更多的年輕人在好奇心的驅使下加入黑客隊伍,以設計程序,攻破預定的目標為主要樂趣,達到炫耀過人技術水平的目的。目前,病毒與惡意代碼傳播��、感染能力越來越強大,所以造成損失也是越來越大��。隨著計算機網絡的深入發展及應用,網絡上存儲龐大的信息資源,甚至還包括了核心信息��。一經遭到破壞,輕者就會影響業務,增加了維護的成本;嚴重的就會導致電力企業信息泄露和業務中斷,使企業不能正常經營。由于遭受到沖擊波和震蕩波,甚至是ARP病毒進行攻擊,造成電力企業的系統莫名重啟和不能聯網的情況;目前操作系統仍存在很大的漏洞,因此,電力企業必須防范未然,充分合理的利用企業已有桌面安全的管理系統與Norton防病毒的系統,把問題有效消滅在萌芽的狀態中[3]�����。
3 完善企業網絡安全管理措施
3.1 進行科學的網絡功能管理
目前,電力企業網絡系統非常龐大,在網絡安全的應用中有大量相對成熟的技術能夠借鑒與使用,如防火墻和防病毒等軟件;但是這些系統都是獨立的工作,處在相對獨立的狀態,因此要想保證網絡安全和網絡資源得到充分利用,必須為其提供經濟安全�����、高效可靠�����、功能齊全、易于擴展和升級維護的一個網絡管理平臺進行管理��。例如,某電力公司在2009年對網絡管理系統進行嘗試性的使用,其網絡管理的功能十分強大,且還具有獨到的跨平臺性,它不但功能強大且使用簡單,還非常適合用于其他分公司中復雜的網絡環境的管理�����。
3.2 建立健全數據備份和恢復體系
網絡安全能夠得到保障的關鍵是確保安全的業務系統數據,因此,應該根據電力公司業務特點與網絡現狀,建立Linux
數據的備份系統,不僅能夠確保電力企業業務系統的數據,如FTP數據和財務數據等,還能使關鍵用戶的數據及時的自動的同步到服務器上,同時還可以在系統恢復后自動同步數據�����。該系統客戶端能夠支持Windows等,兼容性很好,應用的前景非常廣。該系統應該由專人進行管理且定期刻錄和轉存備份數據,定期對轉存數據進行可讀性的測試,做好記錄,有效確保數據與網絡安全,在使用過程中取得良好效果,因此應該推廣應用,有效避免發生數據丟失[4]��。
4 結語
總而言之,電力企業的網絡安全領域和安全管理是復雜���、綜合和交叉的綜合性非常強的重要課題���。我們應該在享用其便利的同時,應該把網絡安全納入安全管理工作范圍內�����。電力企業在進行信息化建設的過程中就算面臨很大的網絡安全威脅,只要通過科學的技術及管理手段,在安全范疇里進行探索與嘗試,并在實踐中不斷學習���、掌握網絡安全和管理的新知識,就能夠構建安全可靠��、高效的網絡環境,從而有效促進電力企業可持續發展。
參考文獻:
[1]高化田,淺談計算機網絡中信息系統的安全防范[J].信息與電腦(理論版),2011(05):32-33.
[2]杜君,網絡信息管理及其安全[J].太原科技,2009(10):117-119.
第4篇
全球危機 遭遇網絡“泄秘門”
目前��,從全球范圍來看�����,美國白宮網絡遭遇黑客入侵、黑客The Lords of Dharmaraja入侵印度軍事情報部門的服務器發現賽門鐵克源代碼、韓國總統府���、國防部、外交通商部等政府部門和主要銀行、媒體網站同一時間被黑��,2萬余臺電腦淪為肉雞……這些案例令人毛骨悚然�����,談“黑”色變��!
從國內來看,去年年底的CSDN的數據庫600余萬用戶信息被泄露事件至今令人心有余悸��,互聯網的“泄密門”成了我國近年來業界最嚴重的安全事件��,給了互聯網沉重一擊�����。“在這些已經發生的安全事件背后���,實際隱藏著一個問題,”瑞星安全專家直言,政府、大型企業的網絡安全建設不成熟���,安全意識差。病毒是網絡安全問題中最為嚴重的問題之一,發生的頻率高���、損失大、潛伏性強、覆蓋面廣,給內部網絡造成極大的安全隱患。
企業安全 面臨孤島戰
那么���,對于企業的網絡安全來說,主要面臨的病毒威脅來源于何處呢?安全專家介紹��,主要包括內部和外部兩個來源���。內部威脅主要是系統內部人員惡意或無意傳播病毒��,從而造成病毒的傳播和泛濫���;外部威脅主要是惡意攻擊者有針對性地或者是隨意無針對性地制造病毒�����、傳播病毒,從而達到一定的目的��。而無論是內部還是外部威脅��,都有可能促使企業在整個互聯網鏈條中��,瞬間崩裂,完全成為信息孤島�����,而這對于一家需要隨時掌握市場信息的企業來說��,無疑是致命的���。
凡事預則立不預則廢�����!對于各類不同的病毒風險,用戶該如何有效準確地進行預測呢�����?它需要根據病毒風險的不同分類���,構建一個有效的數學模型���,才能真實地反映出整個網絡的病毒風險即將爆發的情況���,為后續的風險管理提供可靠的依據���。
“從近年來發生的各種安全事故可以看出���,大量企業在網絡安全方面存在嚴重知識匱乏或誤區�����,”瑞星安全專家指出,這些問題在大型企業網絡中一旦出現,就可能導致嚴重的安全事故��。
在這種情況下��,盡管在企業網絡中部署了殺毒產品��、防火墻產品、入侵檢測等單一安防產品��,也不一定能很好地達到企業管理者希望看到的結果�����。購買產品很簡單��,日常運維很復雜,這對企業本來就有限的IT人員���、安全管理人員來講是非常痛苦和困難的事情。
預警體系 企業救生筏
中國互聯網還處于發展階段�����,安全從技術�����、立法、到用戶的使用習慣,各個環節都有緊密的鏈接,一旦有任何環節出現漏洞,都將引來安全問題,讓處于互聯網整個系統的一個環節變成孤立�����。
第5篇
利用熱點新聞、用戶好奇心的社交手法傳播病毒,已經成為病毒流行的主要方式��,如何避免中毒呢��?專家建議���,網關與終端的聯動很重要��。
應對病毒:網關與終端需聯動
趨勢科技執行副總裁兼大中華區總經理 張偉欽
最近,借助甲型H1N1流感��、邁克爾?杰克遜之死等熱點新聞為掩護的網絡病毒�����,正大肆通過電子郵件��、IM通信軟件、網站掛馬���、視頻病毒嵌入的方式在個人電腦中傳播。輕者讓個人電腦的網速變慢���,重者讓個人計算機死機,必須重裝系統,甚至破壞電腦的硬件。而企業網絡系統也不能幸免于難���,很多系統就這樣被通過終端電腦進入的病毒感染。
趨勢科技云端客戶端企業安全防護影響評估報告顯示,在網關處部署網絡安全產品��,可以抵擋70%~80%的威脅攻擊��,但因為移動辦公用戶和移動存儲介質應用激增,仍有20%~30%的威脅無法在網關端阻擋��,一些熱點事件引發的終端安全隱患�����,已經對整個企業網絡安全構成極大威脅�����。
例如,一家擁有5000個終端的企業,在一個月內��,會有5.4%的端點受到病毒侵入��,一年則有2/3的端點被感染���。很多病毒都嵌入了自我保護功能���,會不斷更新自己��,避免被傳統的防病毒軟件發現,讓企業防不勝防���,不能開展針對性的安全防護。
因此���,在教育用戶加強防范意識的同時,企業應提高終端的安全防護措施��。
首先���,要將終端安全作為重點防范���。攻擊者普遍都在使用“最易滲透原則”���,即在系統中最薄弱的地方進行攻擊���,終端常常儲存著大量有價值的數據和文件�����,因此終端成為首要攻擊目標。企業在關注網關安全的同時�����,要將重點精力放在終端防護上。
其次��,通過聯動機制減少被攻擊面��。任何一個客戶端都可能在瀏覽網頁過程中被植入木馬��,這就有可能造成整個安全防御體系的崩潰。部署網關和終端聯動防護才有可能減少網絡的被攻擊面��。
部署強大的內網監控機制��。很多網管中心無法控制客戶端被惡意代碼侵入���,無法對未安裝或者悄悄卸載了防病毒軟件的終端進行統計和遠程部署���,從而無法精準定位網絡威脅的感染源頭���,因此就無法快速�����、安全地切斷入侵事件��,同時為企業網絡內同一病毒反復發作提供了溫床���。因此���,強大的內網監控機制是抓住漏網之魚的有效措施���。
避免終端之間相互感染��。網絡安全中的“蝴蝶效應”源于“混沌理論”,主要關心 “對初始條件的敏感性”���。由于企業內部網絡速度非常快�����,終端之間又存在著信任關系���,可以相互隨意訪問��,病毒傳播只需要2~3秒�����,查殺的困難相當大。因此應該設置相應的終端安全認證機制,避免相互感染的情況發生。
第6篇
問題困擾企業內部信息安全
報告指出���,缺乏統一管理易形成“木桶效應”、安全軟件誤報、電腦設備獨立升級占用企業帶寬�����、漏洞補丁升級滯后�����、終端安全缺失、BYOD環境下WIFI上網缺乏管理、安全制度落后等問題困擾企業內網。
安全制度落后和缺乏統一管理是問題的關鍵。對此��, Gartner副總裁彼得·福斯特布魯克表示�����,企業安全屬于一種集體安全問題���。一般來說���,聯入內網系統的電腦中��,只要有一臺電腦被黑客攻破,那么就有可能造成內網安全體系的崩潰和商業機密的泄漏���。也就是說���,安全性最差的一臺電腦實際上就決定了整個企業內網系統的安全級別���,這就是企業安全問題中的“木桶效應”��。而近年來隨著APT高級持續性威脅形式日益嚴峻,這種“木桶效應”暴漏的更加明顯。“完善的安全體系建設需要有產品做基礎���,有技術做保障、有服務做配合���、有制度做管理��。只有產品���、技術���、服務���、制度協調配合��,多管齊下,才能保障企業內網的安全�����?����!蓖瑫r他強調��,安全問題不只是技術問題,究其根本是人與人�����,人與組織���,組織與組織之間圍繞利益的對抗行為��。
脆弱的企業外網
隨著電子商務的崛起���,建立官網進行對外宣傳和展示�����,以及進行相關產品的���,已經成為企業的通用手段��。因此�����,企業網站已經成為企業對外的一面鏡子,反射出企業的自身形象�����。但是這面鏡子在來自互聯網的攻擊面前卻十分脆弱�����,很多企業由于各種問題被黑客攻擊���,造成用戶流失���,導致巨額損失�����,并嚴重影響了企業自身的形象�����。
《報告》顯示��,出現上述問題的原因�����,主要是由于企業網站存在漏洞,導致網站被拖庫���、篡改和流量攻擊。同時��,企業外網安全受到威脅的同時��,也出現了一些新的趨勢:一是��,病毒木馬的數量出現了明顯的下滑,但是釣魚網站呈現快速增長勢頭。來自中國互聯網中心的數據顯示���,2012年新增釣魚網站87.3萬個,相比2011年增長73.9%。二是��,網絡存儲和云共享成為木馬新興渠道���。
解決方案分析
《報告》認為通過“邊界防御+云端防護+終端防護”的解決方案��,能夠有效解決傳統的安全防護檢測手段單一��、性能瓶頸、維護成本高��、響應速度慢等問題���。同時���,鑒于云計算技術的普及�����,奇虎360總裁齊向東建議,在云端安全中使用分布式存儲、分布式計算�����。把云端安全體系移植進企業內網�����,能最大程度保障企業業務系統和數據的安全��,有效降低資源占用率和運營成本;在邊界防護方案中可通過信息采集�����,進行協議還原對通信進行準入管理��,阻斷攻擊���。而在終端安全中需實現網絡準入控制��、程序準入控制和硬件準入控制。
此外,《報告》還指出到2020年,絕大多數企業都將無法獨立的實現信息安全的保護��。他們需要中央實體(如安全公司或政府)的統一管理和保護���。而為了實現快速檢測和快速響應���,企業需要通過中央實體來實現情報共享��。海量的黑白名單服務和漏洞預警服務是實現企業情報信息共享的必要手段��。
鏈接———企業信息安全關鍵詞
泛安全 未來五年或十年里網絡安全會變得更加嚴峻,現在的互聯網安全公司不能只把殺毒軟件當成安全產品��,應該更廣泛地關注用戶的網絡安全需求��。奇虎3 6 0總裁齊向東認為���,除了電腦病毒外���,用戶的互聯網安全還面臨很多其他威脅�����,例如數據泄露���、信息騷擾等���?����;ヂ摼W安全公司不能只關注殺毒軟件等傳統安全產品��,而應該更重視用戶體驗,把用戶遇到與安全有關的問題都解決好�����,這才是新的產品思路��。
第7篇
關鍵詞:網站營銷�����;中小企業;SWOT分析
中圖分類號:F27文獻標識碼:A
原標題:我國中小企業網站營銷的SWOT分析
收錄日期:2012年3月26日
近幾年來��,隨著互聯網技術的高速發展�����,很多企業都建立了自己的網站。網站營銷因其低成本��、高效率���,吸引了眾多企業的參與�����,并以其獨有的優勢逐步成為現代營銷的主流���。網站營銷在中小企業中也得到廣泛認同��,并迅速發展起來。但是��,總的來看��,許多中小企業的網站營銷并沒有收到預期的效果�����。
一、網絡營銷與網站營銷
網絡營銷是以互聯網為載體��,以符合網絡傳播的方式��、方法和理念實施營銷活動��,是企業整體營銷戰略的一個組成部分,是為實現企業總體經營目標而進行的���。網絡營銷包含的內容很廣���,主要有:網上市場調查�����、網上消費者行為分析��、網絡營銷策略制定�����、網上產品和服務策略、網上價格營銷策略���、網上渠道選擇與直銷、網上促銷與網絡廣告��、網絡營銷管理與控制�����,等等���。
網絡營銷的核心思想就是“營造網上經營環境”��。所謂網上經營環境,是指企業內部和外部與開展網上經營活動相關的環境��,包括網站本身��、顧客��、網絡服務商、合作伙伴、供應商、銷售商�����、相關行業的網絡環境等�����,網絡營銷的開展就是與這些環境建立關系的過程,這些關系處理好了���,網絡營銷也就卓有成效了。網上經營環境的營造主要通過建立一個營銷型網站,并以此為基礎,通過一些具體策略對網站進行推廣�����,從而建立并擴大與其他網站之間以及與用戶之間的關系�����,其主要目的是為企業提升品牌形象�����、增進顧客關系、改善顧客服務�����、開拓網上銷售渠道并最終擴大銷售�����。
可見���,網站營銷只是網絡營銷中的一部分�����,是對企業自身網站的推銷�����,是企業開展網絡營銷活動的基礎��,目的在于通過各種策略和手段,提高網站在目標客戶和合作伙伴中的知名度�����,增加訪問量,擴大影響力�����,為企業挖掘新的客戶資源�����。
二��、我國中小企業網站營銷現狀
中國互聯網絡信息中心(CNNIC)在2011年10月份了《中國中小企業互聯網應用狀況調查報告(2011年上半年)》,《報告》顯示:中小企業中擁有獨立網站或網店的比例達到了48.1%���。其中,100人及以上的企業中擁有網站或網店的比例接近70%��,但在規模較小的中小企業中建站比例還偏低���,7人以下的受訪企業中擁有網站或網店的比例僅為20%左右��,還有很大的發展空間���。
我國中小企業中,有專門維護網站的部門或人員的企業比例僅有52%���,近一半的企業缺乏專業的互聯網人才。中小企業網站功能主要表現在信息�����,沒有達到企業展示產品或服務�����、樹立品牌形象���、建立客戶服務渠道的目的���。盡管60%左右的中小企業認為網站營銷是企業未來營銷的一個重要趨勢��,30%左右的中小企業認為網站營銷的開展將為企業自身贏得競爭優勢,提升企業經濟效益���。從中小企業網站營銷開展情況來看,網站調研��、網站廣告�����、網站分銷�����、網站服務等網站營銷活動,已經不同程度地滲透于中小企業的經營生產之中���,部分企業開始通過網站接受客戶訂單���。不過�����,總的來看�����,大部分企業的網站營銷多處于信息階段,尚未真正進入網站營銷階段。
三��、我國中小企業網站營銷SWOT分析
(一)優勢分析
1���、產品適合進行網站營銷。中小企業處于規模較小的市場或專業化的市場,如服飾配件���、小家電或某種專用設備、零部件等,客戶群體廣泛��,適宜進行網絡營銷�����。
2��、具備了開展網站營銷的意識。中型企業規模小,管理層級簡單��,溝通和決策快捷���,一般是管理者的經營理念決定了企業的發展�����。《中國中小企業互聯網應用狀況調查報告》顯示,60%左右的中小企業已經看到了網站營銷的發展前景,管理層的重視將成為中小企業開展網站營銷的重要推動力�����。
(二)劣勢分析
1��、缺少網站營銷人才���。近一半的中小企業缺乏互聯網專業人才���,對于具有網站營銷經驗的人才更是缺乏���。人才的缺乏造成中小企業難以形成有效的網站營銷方案���,并且網站建設水平低下��,經常存在欄目設置交叉重疊、欄目名稱意義不明確���、網站商業信息量低等問題;或者過于注重對網站美術效果的追求��,實用性不足��,過分注重視覺效果�����,而營銷功能不夠明顯,不能為網絡用戶提供富有價值的產品和服務信息��,結果造成網站吸引力不足���,不能留住網絡客戶�����。
2、缺乏網站推廣的資金投入�����。許多中小企業網站建成后缺乏對搜索引擎��、網站優化��、關鍵詞優化、媒體推廣方面的進一步投入���,網站推廣品牌、展示商品/服務���、商品促銷、企業宣傳��、服務顧客等功能缺失���,使網站難以發揮營銷的作用。
(三)機會分析
1���、當今社會已經進入了信息時代,信息資源成為人們工作���、生活不可或缺的一部分,客戶對信息的需求越來越強烈���。通過互聯網,人們可以越來越方便地獲取信息��。網站營銷成為中小企業擴大市場的重要機會�����。
2、互聯網用戶規模日益擴大���,使用互聯網已經從時尚轉變成生活必須,越來越多的人開始使用互聯網�����。根據中國互聯網絡信息中心(CNNIC)的《第29次中國互聯網絡發展狀況統計報告》�����,截至2011年12月底�����,中國網民數量突破5億,達到5.13億,互聯網普及率較上年底提升4個百分點�����,達到38.3%���。
(四)威脅分析
1��、中小企業中擁有獨立網站或網店的比例達到了48.1%��。其中,100人及以上的企業中擁有網站或網店的比例接近70%�����,中小企業龐大的數量會造成企業間的激烈競爭���。
2���、中小企業網站營銷不成熟��,有可能受到大企業的打壓和攻擊。
3��、中小企業還要面對網絡安全方面的威脅�����。目前��,垃圾郵件、病毒��、間諜軟件和不適內容會中斷企業業務運行���。要防范這些威脅���,就需要在網絡安全方面有增加投入��。但現在的經濟形勢讓眾多中小企業面臨生存挑戰���,IT投入的縮減��、專業人員的不足等因素,都讓中小企業在對付網絡威脅方面更加無助���。(表1)
從以上分析不難發現�����,我國中小企業網站營銷模式的優勢和機會在于線下擁有豐富的客戶群體可以發展、管理層重視并擁有越來越多的消費需求,而目前存在的問題是缺少網站營銷的人才��、資金投入不足�����,并且面臨企業間的激烈競爭、大企業的打壓和網絡安全的威脅�����。
四���、我國中小企業網站營銷方案設計
(一)做好網站規劃���,確立網站營銷的指導思想���。首先��,中小企業在開展網站營銷前�����,應進行充分的市場調研活動,全面了解公司自身情況�����,深入分析市場主要競爭情況和相關行業情況���,以便對企業網站建設的目的功能進行科學定位�����。要明確建設網站的目的是為了宣傳產品,進行電子商務��,還是建立行業性網站��;其次���,要重視網站的設計���。網站頁面的美術設計要與企業整體形象一致���,欄目規劃要合理���,要為網絡用戶提供富有價值的產品和服務信息�����,注重網站的實用性,充分體現網站的在線銷售���、商品促銷、企業宣傳等功能�����;最后�����,要保持網站營銷的指導思想��,以把網站建設成營銷型網站為根本目的。
(二)從網站用戶需求出發對企業網站進行完善。在今天的消費市場中,用戶需求具有多樣化���、個性化的特征,中小企業要對這些變化做出及時快速的反應,建設網站前要了解用戶�����,要以用戶體驗為核心和出發點對企業網站進行完善�����。一方面要滿足網站營銷目標用戶個性化需求�����,設計網站功能;另一方面應結合網站用戶意見不斷對網站功能進行完善��。中小企業在網站營銷的開展過程中�����,應極為重視網站用戶意見���,一切從網站用戶需求出發��,促進網站營銷的深化和實際經濟效果的提高。另外,用戶訪問網站的主要目的是為了對公司的產品和服務進行深入的了解���,企業網站的價值也就在于靈活地向用戶展示產品說明及圖片甚至多媒體信息。過時的產品信息或者產品信息不完善不僅無法促進銷售,同時也影響用戶的信心�����。
(三)從打造網站營銷團隊入手�����,提升網站營銷水平。目前���,中小企業的網站營銷急需專業性人才。總的來講,企業網站營銷團隊人員專業化不強嚴重制約了網站營銷水平的有效提升��。針對這一情況�����,中小企業在網站營銷開展上���,應從打造專業化網站營銷團隊入手���,從組織機構完善��、專職人員培訓等方面強化營銷團隊建設。在組織機構完善上���,中小企業應成立專門的網站營銷組織機構、部門���、小組或者專員,明確職責��,負責與網站建設推廣有關的各類事務���,將網站營銷工作作為企業營銷工作中的一項常態化���、日?�;ぷ鱽碜?�,通過持之以恒的推廣管理,以求產生顯著的經濟效益��。在專職人員培訓上�����,中小企業應強化對企業網站營銷人員網絡技術、營銷技巧的全面培訓��。
(四)做好網站推廣工作。網站推廣的方式多種多樣���。第一,可以利用傳統媒介廣告進行網站推廣��。第二���,在互聯網上進行推廣���。首先���,利用搜索引擎推廣�����。搜索引擎推廣是指利用搜索引擎�����、分類目錄等具有在線檢索信息功能的網絡工具進行網站推廣的方法。它是網站推廣最快捷的方式�����,包括注冊搜索引擎���、搜索引擎結果登錄和搜索引擎競價排名���;其次�����,網絡廣告宣傳推廣。網絡廣告是一種以消費者為導向���、個性化的廣告形式。消費者可根據自己的個性特點和喜好��,選擇是否接收��、接收哪些廣告信息�����。將網絡廣告用于網站推廣,具有可選擇網絡媒體范圍廣�����、形式多樣���、適用性強���、投放及時等優點���,適合于網站初期及運營期的任何階段��。第三��,電子郵件推廣。隨著互聯網的迅速普及���,E-mail已經成為人與人溝通的主要手段��。隨著通信技術的快速發展�����,用手機發送電子郵件也已變成現實,每天收發E-mail已經成為許多人生活中不可缺少的一部分。E-mail是增加訪問量的重要方法,前提是不能大量發送未經許可的垃圾郵件���。
主要參考文獻:
[1]王秀英,韓韻.企業網站營銷是大勢所趨[J].中國花卉園藝���,2011.15.
[2]王璨.中國中小企業網絡營銷現狀���、問題與對策[D].湖南:湘潭大學��,2001.
[3]張金娜,黃保國.談企業網站營銷策略[J].科技咨詢,2008.25.
[4]韓紅旗.當前我國企業網站營銷的問題與對策[D].河南:鄭州大學,2004.
[5]倪海云.網站營銷新謀略[J].空運商務�����,Air Transport & Business���,2008.9.
[6]劉錄敬��,陳曉明.中小企業網站建設策略探討[J].現代商貿工業���,2010.19.
[7]劉瑛.基于體驗營銷的在線購物網站營銷策略優化研究[A].中國管理現代化研究會.第五屆(2010)中國管理學年會——市場營銷分會場論文集[C]�����,2010.
[8]劉金蓮,趙易�����,劉朝陽.談外貿企業網站營銷策略[J].中國商貿�����,2009.17.
[9]馬清梅.現代企業B2B網站營銷策略分析及應用[J].管理科學文摘,2007.10.
第8篇
關鍵詞:關鍵詞:防火墻;新一代;網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
0 序言
近年來,隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具���。同樣,隨著企業信息化的迅速發展,基于網絡的應用越來越廣泛,特別是企業內部專網系統信息化的發展日新月異—如:網絡規模在不斷擴大、信息的內容和信息量在不斷增長,網絡應用和規模的快速發展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網絡維護者不得不對潛在的威脅進行防御及網絡安全系統建設,多種威脅技術的變化發展及威脅對企業專網系統的IT安全建設提出了更高的要求���。
1.安全風險背景
隨著計算機技術、通信技術和網絡技術的發展,接入專網的應用系統越來越多�����。特別是隨著信息化的普及需要和總部的數據交換也越來越多��。對整個系統和專網的安全性�����、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術已得到廣泛使用,E-mail��、Web2.0和終端PC的應用也日益普及,但同時病毒和黑客也日益猖獗, 系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題�����。
2.網絡安全方案
防火墻是最具策略性的網絡安全基礎結構組件,可以檢測所有通信流���。因此,防火墻是企業網絡安全控制的中心,通過部署防火墻來強化網絡的安全性,是實施安全策略的最有效位置���。不過,傳統的防火墻是依靠端口和通信協議來區分通信流內容,這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術、使用 SSL�����、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻�����。
由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應用控制的結果會讓企業暴露在商業風險之下,并使企業面臨網絡中斷�����、違反規定、運營維護成本增加和可能丟失數據等風險�����。用于恢復可視化和控制的傳統方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨部署其他的“輔助防火墻”�����。上述兩種方法由于存在通信流可視化受限���、管理繁瑣和多重延遲(將引發掃描進程)的不足,均無法解決可視化和控制問題?��,F在需要一種完全顛覆式的方法來恢復可視化和控制���。而新一代防火墻也必須具備如下要素:
(1)識別應用程序而非端口:準確識別應用程序身份,檢測所有端口,而且不論應用程序使用何種協議�����、SSL、加密技術或規避策略��。應用程序的身份構成所有安全策略的基礎��。(識別七層或七層以上應用)
(2)識別用戶,而不僅僅識別 IP 地址�����。利用企業目錄中存儲的信息來執行可視化、策略創建、報告和取證調查等操作�����。
(3)實時檢查內容���。幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件,并且實現低延遲和高吞吐速度���。
(4)簡化策略管理�����。通過易用的圖形化工具和策略編輯器(來恢復可視化和控制
(5)提供數千兆位或萬兆位的數據吞吐量�����。在一個專門構建的平臺上結合高性能硬件和軟件來實現低延遲和數千兆位的數據吞吐量性能
2.1 產品與部署方式
本文就Palo Alto Networks 新一代安全防護網關部署方案進行探討,該產品采用全新設計的軟/硬件架構,可在不影響任何服務的前提下,以旁路模式、透明模式等接入現有網絡架構中,協助網管人員進行環境狀態分析,并將分析過程中各類信息進行整理后生成報表,從而進一步發現潛在安全風險,作為安全策略調整的判斷依據�����。
2.2 解決方案功能
本方案產品突破了傳統的防火墻和UTM的缺陷,從硬件設計和軟件設計上進一步強化了網絡及應用的安全性和可視性的同時保持應用層線速的特性�����。主要功能如下:
(1)應用程序、用戶和內容的可視化
管理員可使用一組功能強大的可視化工具來快速查看穿越網絡的應用程序��、這些應用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業務相關的安全策略���。
(2)應用程序命令中心:這是一項無需執行任何配置工作的標準功能,以圖形方式顯示有關當前網絡活動(包括應用程序�����、URL 類別��、威脅和數據)的大量信息,為管理員提供所需的數據,供其做出更為合理的安全策略決定。
(3)管理:管理員可以使用基于 Web 的界面��、完全的命令行界面或集中式管理等多種方式來控制防火墻��?�?苫诮巧墓芾?將不同的管理職能委派給合適的個人。
(4)日志記錄和報告:可完全自定義和安排的預定義報告提供有關網絡上的應用程序、用戶和威脅的詳細視圖�����。
2.3 解決方案特色
(1)以 APP-ID�����、 User-ID 及 Content-ID 三種獨特的識別技術,以統一策略方式對使用者(群組)���、應用程序及內容提供訪問控制�����、安全管理及帶寬控制解決方案,此創新的技術建構于 “單通道平行處理 (SP3)”先進的硬件+軟件系統架構下,實現低延遲及高效率的特性,解決傳統FW+IPS+UTM對應用處理效能不佳的現況��。
(2)實現了對應用程序和內容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達 10Gbps,精確地識別應用程序使用的端口��、協議�����、規避策略或 SSL 加密算法,掃描內容來阻止威脅和防止數據泄露。
(3)對網絡中傳輸的應用程序和用戶進行深度識別并進行內容的分析,提供完整的可視度和控制能力��。
(4)提供多樣化NAT轉址功能:傳統NAT服務,僅能利用單一或少數外部IP地址,提供內部使用者做為IP地址轉換之用,其瓶頸在于能做為NAT轉換的外部IP地址數量過少,當內部有不當使用行為發生,致使該IP地址被全球ISP服務業者列為黑名單后,將造成內部網絡用戶無法存取因特網資源;本方案提供具有多對多特性的地址轉換服務功能,讓IT人員可以利用較多的外部IP地址做為地址轉換,避免因少數外部IP被封鎖而造成無法上網,再次提升網絡服務質量��。
(5)用戶行為控制:不僅具備廣泛應用程序識別能力,還將無線網絡用戶納入集中的控制管理,可對無線網絡使用情況,提供最為詳細豐富的用戶使用數據�����。
(6)流量地圖功能:流量地圖清楚呈現資料流向并能連結集中化的事件分析界面。
3.總結
新一代防火墻解決了網絡應用的可視性問題,有效杜絕利用跳端口技術��、使用SSL���、80端口或非標準端口繞過傳統防火墻攻擊企業網絡行為,從根本上解決傳統防火墻集成多個安全系統,卻無法真正有效協同工作的缺陷,大大提高數據實時轉發效率,有效解決企業信息安全存在的問題��。
參考文獻:
[1] 孫嘉葦;對計算機網絡安全防護技術的探討 [J];《計算機光盤軟件與應用》 2012年02期���。
第9篇
關鍵詞:企業局域網��;安全;管理制度
近年來���,隨著企業管理水平的提高,企業管理信息化越來越受到企業的重視���。企業ERP系統、企業電子郵局系統和協同辦公自動化系統等先進的管理系統都進入企業并成為企業重要的綜合管理系統��。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時�����,也面臨著外部環境的種種危險。如病毒���、黑客、垃圾郵件、流氓軟件等給企業內部網的安全和性能造成極大地沖擊如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題���。
一、網絡安全及影響網絡安全的因素
影響企業局域網的穩定性和安全性的因素是多方面的���,主要表現在以下兩個方面:
1、外網安全�����。黑客攻擊���、病毒傳播��、蠕蟲攻擊��、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅�����。
2�����、內網安全�����。企業員工利用網絡處理私人事務和其他對網絡的不正當使用��,降低了生產率��、消耗企業局域網絡資源���、并引入病毒和間諜軟件��,或者使得不法員工可以通過網絡泄漏企業機密。
二���、企業局域網安全方案
為了更好的解決上述問題,確保網絡信息的安全��,企業應建立完善的安全保障體系該體系���,包括網絡安全技術防護和網絡安全管理兩方面網絡安全技術防護主要側重于防范外部非法用戶的攻擊和企業重要數據信息安全��。網絡安全管理則側重于內部人員操作使用的管理��。采用網絡安全技術構筑防御體系的同時,加強網絡安全管理這兩方面相互補充��,缺一不可���。
1���、企業的網絡安全技術防護體系
主要包括入侵檢測系統���、漏洞掃描系統��、病毒防護���、防火墻���、認證系統和網絡行為監控等幾大安全系統。
1)入侵檢測系統���。在企業局域網中構建一套完整立體的主動防御體系,同時采用基于網絡和基于主機的入侵檢測系統,在重要的服務器上(如WEB服務器���,郵件服務器,協同辦公服務器等)安裝基于主機的入侵檢測系統,對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷�����,如果其中主體活動十分可疑���,入侵檢測系統就會采取相應措施��。
2)漏洞掃描系統��。解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患���、脆弱點。面對大型網絡的復雜性和不斷變化的情況��,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞��、做出風險評估�����,顯然是不現實的。解決的方案是��,尋找一種能查找網絡安全漏洞��、評估并提出修改建議的網絡安全掃描工具�����,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
3)病毒防護系統。企業局域網防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒�����、定位已侵入系統的計算機病毒��、防止病毒在系統中的傳染��、清除系統中已發現的病毒和調查病毒來源。校園網需建立統一集中的病毒防范體系��。特別是針對重要的網段和服務器���。要進行徹底堵截��。
4)防火墻系統�����。防火墻在企業局域網與Internet之間執行訪問控制策略,決定哪些內部站點允許外界訪問和允許訪問外界�����,從而保護內部網免受非法用戶的入侵在外部路由器上設置一個包過濾防火墻��,它只允許與屏蔽子網中的應用服務器有關的數據包通過���,其他所有類型的數據包都被丟棄���,從而把外界網絡對屏蔽子網的訪問限制在特定的服務器的范圍內�����,保證內部網絡的安全。
5)認證系統�����。比如網絡內應使用固定IP���、綁定MAC地址��;結合企業門戶、辦公系統等管理業務系統的實施實行機終端接入準入制度���,未經過安全認證的計算機不能接人企業局域網絡。
6)網絡行為監控系統���。網絡行為監控是指系統管理員根據網絡安全要求和企業的有關行政管理規定對內網用戶進行管理的一種技術手段,主要用于監控企業內部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網聊天��、玩游戲��、瀏覽違禁網站等�����。
2、企業局域網安全管理措施
雖然先進完善的網絡安全技術保護體系,如果日常的安全管理跟不上�����,同樣也不能保證企業網絡的絕對安全�����,一套完整的安全管理措施是必不可缺少的��。
1)為了避免在緊急情況下預先制定的安全體系無法發揮作用時,應考慮采用何種應急方案的問題應急方案應該事先制訂并貫徹到企業各部門��,事先做好多級的安全響應方案���,才能在企業網絡遇到毀滅性破壞時將損失降低到最低��,并能盡快恢復網絡到正常狀態;
2)對各類惡意攻擊要有積極的響應措施,并制定詳盡的入侵應急措施以及匯報制度。發現入侵跡象,盡力定位入侵者的位置�����,如有必要�����,斷開網絡連接在服務主機不能繼續服務的情況下��,應該有能力從備份磁盤中恢復服務到備份主機上���。
3)扎實做好網絡安全的基礎防護工作�����,建立完善的日志監控措施,加強日志記錄,以報告網絡的異常以及跟蹤入侵者的蹤跡���。
第10篇
當今的社會是一個數字化、信息化���、地球化的社會,網絡時代已經到來��,人們的生活���、工作�����、購物、學習��、辦公等都已經離不開網絡��。對于現代的企業�����,已經開始實行無紙辦公,公司之間的聯系���、企業伙伴間的合作、公司外出人員與本部之間的聯系等等這些都離不開網絡��。版權所有
在信息化浪潮方興未艾的今天�����,企業內部的網絡已經成為提升核心競爭力的關鍵因素��。所有的企業,無論其規模大小,都會面臨新的機遇和挑戰。在市場經濟的條件下���,企業應用網絡技術,其目的就是為了在提高企業運作效率的基礎上���,最終增加經濟效益和增強競爭能力。在瞬息萬變的市場上�����,網絡應用可以幫助企業決策者運籌帷幄��,充分利用各種信息資源���,優化企業資源配置���,網絡擴大了各個產業的市場空間,減少了傳統商務流程的環節���,極大地提高了勞動生產率。置身于網絡經濟時代���,任何企業,無論其規模大小�����,都必須適應新的潮流��。
網絡不僅是一種高深的科技���,而且成為人們必不可少的工具���。企業上網大大提高了企業運作效益��,降低了企業成本�����。應該看到,企業在經營發展過程中�����,除了內部的運轉管理外��,還有大量的外部業務活動�����,包括與合作伙伴�����,上�����、下游企業,客戶甚至競爭對手的各式各樣的業務往來。過去這些業務活動多半是通過電話���、傳真、信件等傳統通信方式輔助進行,而在因特網出現后的今天��,這些業務活動幾乎無一例外地正在轉移到因特網上���,并且這種轉變的速度和程度都是非常驚人的�����。也就是說��,過去傳統意義上的企業內外部經營活動包括業務信息溝通,訂貨訂單處理�����,庫存物流管理���,客戶服務���,批發或零售等等已經全部可以在因特網上實現了��。所有這些應用都可以稱之為企業上網��,又被業界稱為電子商務應用�����,它被認為是21世紀企業的必由之路�����。
二、行業分析
(一)企業上網的緊迫性
對于中國的企業來說,企業網的來臨可謂恰逢其時。隨著中國向混合市場經濟的加速發展�����,中國各行各業的公司企業都在積極準備迎接國內外市場中日益激烈的競爭形勢�����。這些公司深知:如果想在這個白熱化的市場競爭中獲得成功��,就必須最大限度地提高企業生產力和降低生產成本。因此�����,各大企業都迫切需要建立自己的信息技術基礎設施,以便將分散在各地的業務部門聯系在一起并加快整個企業內部的信息交流和服務速度,從而加強自己在市場中的競爭優勢��。
(二)��、企業上網的需求
企業網絡信息系統建設應該以用戶的需求為著眼點��。目前,隨著網絡技術的飛速發展和應用水平的逐步提高,企業用戶的需求,主要體現為:
(1)先進性��,要求網絡采用先進的技術��,以保證整個企業網絡系統在技術上的先進性��;
(2)穩定性與可靠性�����,要求網絡高度穩定���、可靠��,這是網絡建設成功的關鍵,而高度穩定��、可靠的網絡系統有利于維護和管理�����,可減少網絡系統的擁有成本�����;
(3)高性能,要求網絡系統具有高性能���,以滿足計算機網絡系統運行大量關鍵業務(如項目設計、項目管理���、cad、oa���、mis、erp及多媒體應用等)的需要���;
(4)vlan劃分的靈活性,因為網絡系統站點數和運行的應用都在增多�����,所以要求網絡平臺具有靈活的虛網(vlan)劃分能力�����;
(5)由于網絡系統可能要傳輸多媒體信息,因此要求網絡平臺具有良好的服務質量和較小的延遲��;
(6)要求網絡平臺具有良好的易管理性��,減少運行��、維護及管理成本;
(7)要求選擇具有良好發展前景的網絡廠商的產品�����,這樣才能保證平臺具有良好的售后服務���、投資保護��,更為關鍵的是能夠保證網絡系統持久的先進性���。
三���、企業網絡主干技術選擇:
企業局域網絡技術的選擇主要是主干技術的選擇�����,現今適合作局域網絡主干技術的主要有千兆以太網及atm兩種���。
千兆以太網是網絡界公認的技術發展方向之一��,它是對成功的10mbps和100mbpsieee802.3以太網標準的擴展,仍然沿用以太網ieee802.3幀格式��,全雙工操作和流控制方法�����。在半雙工模式下,千兆以太網使用同樣的csma/cd訪問方法來解決媒體的通信競爭問題�����,并使用由ieee802.3小組定義的同樣的管理對象��。概括起來��,千兆以太網的優點在于:網絡技術可靠,易于管理�����,具有可伸縮性�����,且它相對于atm的價格水平要低得多�����;缺點為部分標準不統一。
atm規定各種類型的服務(聲音、圖像�����、數據)信息都由大小固定的53字節的信元進行傳輸�����。atm優點為:支持線路交換和分組交換;對廣域網和局域網采用相同的技術;在普通線路上同時傳輸視頻、語音和數據��;對多種業務可保證服務質量���,按需分配帶寬��。缺點為:管理和維護復雜�����;基于atm的應用較少;atm產品相對于以太網產品價格昂貴��;部分標準不統一��。
千兆以太網能與桌面的以太網和快速以太網無縫銜接�����,因為他們采用的協議是相同的。atm網絡與以太網共存時�����,需在幀和信元之間進行轉換��。在企業園區網�����,90%的應用都是基于以太網或快速以太網的,千兆以太網以其從以太網及快速以太網升級方便、易管理和低廉的價格使atm舉步維艱,atm的傳統優勢如傳輸多媒體和傳輸的距離長也日漸遜色。千兆以太網支持資源預留協議(rsvp)���、ieee802.3、ieee802.1q���、ipprecedence、獨立組播路由協議(pim)��、國際互聯網成組管理協議(igmp)等��,這就使得千兆以太網傳輸多媒體成為可能��,已有廠家的千兆以太網產品傳輸距離超過100公里。因此建議��,企業園區網在主要傳輸數據的情況下�����,應選擇千兆以太網作主干技術�����。
四、企業網絡構架的基本方案
企業網中大部分是中小企業��,中小型企業最大的特點是小規模與高效率的結合�����。他們往往不擁有完備的信息技術部門�����,但是網絡應用對他們同樣關鍵。因此��,中小企業需要量身定做的解決方案���。面對這一情況�����,上海廣電應確信公司針對不同規模企業,推出了一系列解決方案��,以幫助中小企業提升其競爭力���。
4.1基本網絡方案簡述
根據企業網站可提供的內容和它的實際應用情況��,企業上網可分為兩部分�����,一部分是實現各企業部門內部辦公功能的內部網,即intranet��。另一部分是各企業部門網站在internet上信息與交流的外部網�����。
一旦企業建立了intranet���,就可用它來信息���、增強企業的通信能力���、建立合作的環境��。有些應用很簡單,只是用html語言建立內部的環球網服務器信息���;有些應用較復雜,需要連接數據庫�����。下面列出一些intranet的應用:銷售報告�����、財務報告、客戶信息�����、季度統計、廠商信息、產品信息、市場信息小冊子�����、產品開發信息�����、物資和元部件目錄���、倉庫信息��、網絡管理、資產管理��、新聞組���、電子郵件���、培訓�����。
4.2具體方案實施:
按照網絡的規?�?删唧w劃分為以下幾個方案:
(1)小型企業信息系統方案:通常指在20-30個工作站以內的小型辦公室(辦公環境較集中)網絡環境的方案��。
(2)中型企業信息系統方案:即指在30個工作站以上的中型辦公園區(辦公環境較分散���,距離教遠)網絡環境的方案�����。
(3)大型企業信息系統方案:即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境的方案。
4.2.1小型企業信息系統方案
小企業辦公室網絡�����,相對于大�����、中型企業網絡�����,可以說是麻雀雖小,五臟俱全���,同樣有著文件共享、打印共享��、電子郵件、財務管理�����、庫房管理��、web等大型網絡所具有的需求。
由于小型企業網絡站點數較少��,而且聯網的站點較集中(例如��,在一幢樓內)。因此�����,結構化布線時就可以只采用雙絞線就足夠了���,每個站點(計算機)與集線器或交換機之間的距離不能超過100米���。
方案說明
網絡配置:中心選用infiniteswitch5024機架型快速以太網交換機(24口10/100m自適應以太網交換機),采用10/100m自適應端口連接服務器及工作站��。針對小型企業用戶我們推出桌面型硬件安全設備isp1102�����,嵌入式的硬件安全架構�����,使其性價比很高。簡單配置的防火墻安全規則��,方便客戶應用�����。同時可以作為dhcp服務器�����,具有本地路由器功能,支持以太網方式/cablemodem/adsl等方式接入internet���,方便的實現共享上網���。
方案特點:
(1)性價比高��;在方案中���,沒有使用很多高端的設備��,但已經完全可以滿足小型企業網絡的需求。
(2)功能齊全�����;提供了文件共享���、打印共享���、電子郵件�����、電子公告��、庫房管理、遠程辦公、工資管理�����、財務分析��、采購管理���、資金管理、庫存管理�����、銷售管理等較齊全的功能�����,很適合于小型企業網絡環境���。
(3)安全性高�����;采用infiniteswitch5024智能以太網交換機交換機,可以將單一的局域網劃分為多個相對獨立���、互不干擾的vlan(虛擬子網)�����,可以方便地控制不同部門對某些資源的訪問權限,并能夠縮小廣播域,減少不必要的帶寬占用��,有效提高網絡的安全性和性能���。isp1102通過ip過濾提供防火墻功能��?����?梢詫p地址、端口號、協議種類等進行設置并加以控制���。
5.2.2中型企業信息系統方案
由于中型企業辦公環境較分散��,距離教遠���,對網絡的性能要求較高(數據交換的安全性��,設備運行的可靠性,網絡管理的全面性)��,對網絡的速度亦有提高�����。同時���,每個網段最長只能100米的有效距離的雙絞線傳輸介質已經不能滿足中型企業網絡的使用需求��,有時必須使用多模光纖或單模光纖做為布線時所采用的傳輸線纜,使得有效傳輸距離能夠延伸至2公里(多模光纖)或更遠(單模光纖)�����。
方案說明
中心選用infiniteswitch5000系列交換機�����,根據用戶數量及功能要求選用is5048/5024/5024s+.為了保護企業內部網絡的安全�����,在接入internet時采用上海廣電應確信的防火墻isp91*,可以防止來自外部的非法的��、惡意的攻擊���。
由于中型企業辦公環境較分散���,距離教遠�����,則在中心交換機上配置100base-f或1000base-l/s光纖模塊.企業內部采用svaisp91*通過ddn、framerlay���、.25等廣域網專線接入internet,提供安全�����、快捷�����、簡便的企業外部網站方案���。isp91*適用于中小型企業用戶���,利用checkpoint軟件及其opsec合作伙伴構成頂級配置�����,為用戶提供一個完整的網絡安全解決方案�����。
應用二:
方案說明
對于一個中型企業��,如果公司內部有較多的部門��,位置比較分散,而且相互之間要獨立的工作���,對于用戶的訪問權限可以限制(如要求劃分vlan),所有的部門通過公司的網絡中心的一臺三層交換機來接入internet,采用svahammerhead9300/9500/9800來對進行對網絡的安全進行保護�����。對于一些移動用戶可以采用無線接入設備(2020/1011/1001)來連入企業內部網及上internet.
在公司的各個部門中采用的交換機均支持vlan的劃分�����,根據每個部門的規劃及距離網絡中心的遠近采用100mutp或者100/1000m光纖接入��。隨著員工數的增多,可以利用5024s/5024s+堆疊來擴展網絡,5024s/5024s+最多分別可堆疊至4臺/16臺,因此網絡有很好的擴展性及可管理性�����。
接入internet可以采用多種方式,通過pstn/isdn/ddn線路等多種方式��,用戶可能根據需要來實現企業網接入公用網�����。
中型企業方案特點:
(1)較充分發揮了internet/intranet應用的特性
除了傳統的文件共享、打印共享等功能外,電子郵件、web、電子公告���、庫房管理、遠程辦公等功能都是基于internet/intranet應用實現的�����。使得整個網絡系統充分發揮了internet/intranet應用的跨平臺���、與硬件無關�����、標準統一等特點,使得中小型企業可以與外界透明地通訊���。
(2)維護小、投入少
中型企業網絡系統使用了較少的高端產品��,投入少而功能齊�����。由于使用了internet/intranet結構構造中小辦公室網絡系統�����,使得網絡結構更加client/server化,作為網絡的管理維護���,只需對server端進行維護工作,對client的維護工作大大減少��,所以總體上也就大大減少了維護工作量���,并節省了投資���。
(4)提高工作效率、節省開支。
在此方案中,提供了電子郵件、電子公告�����、web等實用��、快捷的功能,大大提高了企業的辦公效率��。同時提供了網絡內用戶對internet的透明訪問��,使企業內部可以充分利用internet這個巨大的信息資源��,更加提高了企業的辦公效率和資源利用。
5.2.3大型企業信息系統方案
大型企業辦公環境即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境�����。對網絡的性能要求很高�����,同時對網絡的速度亦有很高的要求��。大型企業網支持各種網絡功能,能夠通過廣域網接口實現internet接入��,建立企業主頁�����,為園區用戶提供e-mail電子郵件��、www、ftp服務�����,同時支持網絡管理和電子信息的存儲��、訪問管理���。推薦采用局域網專線接入方式��,此方式需要配備接入路由器,防火墻等網絡設備�����,租用電信部門的專線并向cernet管理部門申請ip地址及注冊域名�����。接入路由器可以通過ddn專線、framerelay等與internet相連。還可以按照需要組合配置多種wan廣域網端口模塊,提供寬帶�����、qos保證的遠程多媒體服務���。為了保證企業網的安全���,方案中提供svahammerhead9000安全平臺���,svahammerhead9000系列是業界唯一模塊化網絡安全平臺和應用系統�����,在單一的設備上集成了路由��、防火墻、入侵檢測���、vpn、lan連接和其他安全應用���,為用戶提供可擴容及可靠的網絡安全整體解決方案。
在布線上,除了采用多模或單模光纖之外��,甚至還需要從電信部門租用ddn�����、幀中繼��、.25、isdn等專線,或者利用無線微波方式進行遠距離連接��。版權所有
方案說明
在網絡中心選擇上海廣電應確信的infiniteswitch7508三層交換機和5024交換機�����。在各分部門或者分公司根據信息點數選擇infiniteswitch4000/5000系列交換機���。
在網絡中心的核心層配置的infiniteswitch7508g第三層交換機�����,可完成高帶寬、大容量網絡層路由交換功能交換��,是一種功能強大的企業網主干交換機�����,使網絡管理者能方便的監督和管理網絡�����,同時,又能將主干網帶寬提升到千兆速度,infiniteswitch7000/7500系列是可網管的�����,高端口密度���,配置靈活的高性能路由交換機�����。提供7個擴展插槽,22g交換背板上���。網絡管理員能夠隨時通過任意一個端口配置以上功能,以消除傳統路由器的瓶頸�����,設置優先級給不同類型的網絡傳輸及保證某些應用的流量帶寬�����,如視頻傳輸�����。
infiniteswitch7508g提供了廣泛的管理選擇,包括hpopenview和其他的snmp管理系統��,或者infiniteswitch7508g自己提供的網絡管理系統�����。infiniteswitch7508g提供到與infiniteswitch4000/5000系列以太網交換機��、防火墻和服務器群(其中包括主域服務器、備份域服務器���、文件服務器、數據庫服務器��、應用服務器���、www服務器等)��、網管終端的高速連接,重要的服務器及主干鏈路均可采用千兆模塊進行生成樹(spanningtree)冗余鏈路連接。
接入層交換機���,在本方案設計中�����,為了保證網絡的高性能,可采用infiniteswitch4000/5000系列智能以太網交換機��,根據具體實際需求�����,接入層交換機可選用infiniteswitch4024/4032/5024/5024s/5048交換機�����。
在方案中的防火墻,選用svahammerhead9300.hammerhead9300是3插槽機箱式的安全平臺�����,用戶可以根據需求選擇服務器�����、交換機�����、路由器等模塊�����。svahammerhead9000的多種應用模塊能支持linu,hp/u,bsduni,windowsnt和sunsolaris等系統��,它能為用戶提供防火墻保護、入侵偵測���、身份認證、安全報告��、內容安全��、高可靠性�����。svahammerhead9000的有多種網絡模塊,它可支持多種的lan/wan互連�����,包括:frame���、isdn��、atm���、以太網��。實現完整的一體化的網絡安全解決方案。
方案特點:
1、高性能;網絡中采用了第三層交換機,第三層交換不僅擁有高速的交換功能�����,同時也具有全部的第三層控制功能��,可以對流量基于ip地址、ip的協議類型、以及tcp/udp的端口進行交換控制��,從而在提高網絡處理效率的同時���,保障了vlan之間通訊的安全性��。
2���、可擴展性�����;網絡設計具有層次結構��,用戶能靈活地接入到相應的層次當中。可擴展的網絡接口。
3���、靈活性;適當的建立vlan,方便地理位置不同的用戶的網絡連接.
4���、安全性;vlan的建立,可以控制廣播和應用的信息流動���,從而防止用戶非法在網絡上截獲其它用戶或它們的資源。hammerhead9000網絡安全產品保護企業內部資源,防止外部入侵���,控制和監督外部用戶對企業內部網的訪問;控制、監督和管理企業內部對外部internet的訪問���。
5、層次化、模塊化;本網絡設計的特點為層次化�����、模塊化設計��。
6、優良的性價比
六��、總結
第11篇
關鍵詞:企業網��;網絡安全���;網絡安全體系
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)21-4823-02
網絡安全方案的設計是在不影響網絡業務的前提下��,實現對網絡的全面的安全管理,當然要客觀地考慮便捷性與安全性的矛盾對立關系的約束��。但是��,網絡安全涉及的面既廣泛又深刻�����,該文基于一般局域網構架,從網絡物理安全性�����、網絡結構安全性�����、系統安全性���、應用安全性及管理安全性等五個方面入手�����,將安全策略��、硬件與軟件結合起來���,討論構造一個安全的防御系統的方法��。
1 網絡物理安全性
影響網絡物理安全性的主要因素有地震、雷擊�����、電磁輻射�����、水災�����、火災�����;設備被盜、線路截獲���;電源故障、操作失誤或錯誤以及計算機�����、通信設施犯罪對網絡的物理破壞�����。對此,主要通過以下措施來避免網絡的物理風險:加強安全意識���,制定健全的安全管理制度;權衡需求���、風險、代價的平衡關系���,建造防震機房,安裝接地裝置;綜合考慮可能構成電磁輻射��、水災���、火災的各種因素���,對相應的基礎設施進行詳細設計��、精心選材等�����;健全系統備份、恢復機制;加強對網絡機房及基礎設施的監控與管理。
2 網絡結構安全性
企業網按訪問區域可以分為三個區域��,即內部網絡���、外部網絡及公開服務區(向外企業信息��、提供Email服務等)�����。這三個區域用防火墻進行隔離,保護的重點是內部網絡,公開服務區時企業信息的平臺��,一旦不能運行或者受到攻擊�����,對企業的聲譽影響巨大,同時公開服務器本身要為外界提供服務�����,必須開放相應的端口���,但是必須警惕公開服務器成為黑客入侵內部網絡的跳板�����,所以盡量關閉不必要的端口���。外部網絡直接連接Internet���,是來自Internet的黑客攻擊���、病毒�����、非法訪問入侵內網的必經之地���。為了避免來自Internet的黑客攻擊���,在防火墻與內網交換機之間串聯一個入侵防御系統(IPS)��,同時與防火墻并聯一個入侵檢測系統(IDS)��;為了避免非法訪問���,可以利用防火墻的訪問控制技術�����,來限制來自Internet的非法訪問,必要時可以安裝AAA服務器���,對用戶進行身份驗證、授權���、審計等。同時啟動防火墻的NAT功能來隱藏內部網絡結構��,病毒的預防在下文討論��。
內部網絡可以根據各區域的職能���、安全等級利用交換機的VLAN技術進行子網劃分���,如財務子網�����、領導子網及數據中心子網等屬于重要網段,是被保護的對象���,所以在中心交換機上將這些網段各自劃分為一個獨立的廣播域。為了避免來自內網的攻擊��,也可以用防火墻來隔離重要的網段�����,必要時可以在重要網段部署入侵防御系統(IPS)、入侵檢測系統(IDS)進行實時監控�����、跟蹤��、預警���、分析���、捕獲攻擊行為���。
3 系統安全性
系統安全性主要指操作系統��、應用系統及硬件系統的安全性,對中國來說�����,恐怕沒有絕對安全的操作系統可以選擇�����,無論是Microsoft的Windows還算其他任何商用的Unix操作系統���,其開發廠商必然有其Back-door��,即使我們自己開發操作系統�����,其漏洞也是在所難免的�����。所以沒有完全安全的操作系統��。但是我們可以對現有操作系統進行周密的配置,嚴格限制操作和訪問權限,以提高系統安全性�����。關鍵業務盡量采用安全性高的操作系統�����。針對操作系統的漏洞�����,可以在網絡中部署一臺操作系統自動更新服務器,以及早彌補系統中的漏洞,同時安裝網絡版病毒防御軟件��,使全網的所有主機都處于最新版的病毒防御系統的保護下��。在網絡的關鍵部位部署入侵監測系統和入侵防御系統以提供實時監測��、監控、報告、預警及捕獲各種攻擊的功能。
在應用系統的二次開發過程中,要充分利用身份驗證、授權、審計等機制對機密數據庫服務器、應用服務器等重要服務器進行保護��。
網絡中的服務器和網絡設備盡可能不采用同一家廠的設備���,這樣既可以避免通過Back-Door的攻擊��,又增加了黑客攻擊的難度�����。
4 應用安全性
應用安全性涉及到網絡數據��、信息的安全存儲��、安全訪問和安全傳輸。對重要數據的訪問�����,實行身份認證���、授權���、審計��,使訪問者通過身份認證后在其權限允許的范圍內進行最小限度的訪問��,同時跟蹤訪問軌跡,審計訪問行為���,對非法行為進行取證,基本能夠阻止非法用戶的訪問���。可是���,當整個系統遭到災難性破壞時,同時殃及備份數據��。另一種方式是冷備份��,將備份數據存儲到另一個系統或存儲介質中��,此時,備份數據可存放在遠離系統的地方���,非常有利于災難性恢復���,但投資較昂貴��。
數據在傳輸過程中可能被非法截獲���,從而破壞信息的機密性��,完整性��。為了保證數據傳輸的安全性,我們可以借助VPN技術���,這樣即使數據被截獲,但由于數據是加密的���,保證了數據的機密性,同時所傳輸的數據附有哈希消息認證碼���,可以保證數據的完整性,這種技術又具有身份認證及數字簽名功能�����,保證了消息不會是假冒的��,同時也是不可抵賴的��。根據具體情況可以采用接入VPN(Access Vpn)、內部網VPN(Intranet VPN)和外部網VPN(Extranet VPN)�����。
5 管理安全性
安全管理策略包括定義完善的��、合理的���、長遠的、可實施的安全管理規范和高效、可靠的安全管理技術平臺�����。這兩個方面必須齊抓共建��、有機整合才能保證管理安全性��。
5.1 安全管理規范
必須花大氣力建立網絡安全管理規范,因為諸多不安全因素恰恰反映在組織管理和人員錄用等方面��,而這又是計算機網絡安全所必須考慮的基本問題�����。
5.1.1安全管理原則
網絡信息系統的安全管理主要基于三個原則:① 多人負責原則���。每一項與安全有關的活動��,都必須有兩人以上參加,他們忠實可靠、能勝任工作,應記錄���、簽署工作情況以證明相應安全得到保障。具體工作有:訪問控制權限的授予與回收;所使用存儲介質發放與回收��;保密信息的處理���;系統的維護�����;重要程序和數據的刪除與銷毀等���。②任期有限原則�����。制定切實可行的任期有限制度��,對工作人員進行操流培訓��,不要任命任何人長期擔任與安全有關的職務,應不定期循環任職��,強制實行休假制度�����。③職責分離原則��。除非領導批準��,信息系統工作的任何人員不要打聽、參與職責以為的任何與安全有關的事情,為了安全���,計算機操作與計算機編程要分開,機密資料的接受與傳送要分開,應用程序與系統程序的編制要分開,訪問證件的管理與其它工作要分開��,計算機操作與存儲媒體的管理要分開等��。
5.1.2 安全管理規范的實施
首先嚴格遵照安全管理規范�����,認真完成下面工作:根據工作的實際需要,把該系統的安全等級確認一下;其次根據我們以前確認好的安全等級���,來更好的確認其安全的可控管理范圍;再次機房出入管理制度要制定好,實行分區管理��,徹底限制好工作人員的工作區域��;第三要根據每個人的職責逐個分離和每個人負責的原則���,不準有任何人超越各自的管理范圍;第五要對系統進行維護管理時��,要經各個主管部門的批準���,并采取一定的有力保護手段�����,同時對發生故障原因��、維護內容及維護前后的狀態進行詳細記錄;第六要制定應急方案��,以不變應萬變���,以防不測�����;第七要健全人員雇傭和解聘制度���,對調動和離職人員及時調整訪問權限��。
5.2 安全管理技術平臺
建立能夠對整個網絡設備(包括服務器、客戶端)���、安全設備、網絡防病毒軟件�����、系統升級軟件��、入侵檢測���、預防系統等各個網絡系統部件進行綜合管理的統一安全管理控制中心,按計劃定期對全網進行安全掃描��,漏洞分析��,并及時采取相應的措施��;對資源訪問進行身份認證、權限設置�����、軌跡跟蹤�����、行為審計�����,如遇到異常行為系統能夠自動報警或生成事件消息并及時報告管理員或其他訪問控制設備��,及時阻止對網絡的威脅,如果攻擊已經發生���,要及時取證,并妥善保存���;對與密鑰相關的服務器,要設置合理的密鑰生命周期���、進行及時的密鑰備份等;對關鍵的服務器應冗余備份���,以增加網絡的安全系數。
安全管理應從網絡管理制定和安全管理技術平臺兩個方面來實現��,二者相輔相成��,缺一不可。
6 結束語
按以上論述設計局域網安全方案基本能夠滿足一般企業局域網的安全要求��,個別企業根據自身特殊需求可能提出一些特殊的安全要求�����,如:安全E-MAIL服務�����,安全WEB服務,安全電子交易(SET)等,但我們討論的是局域網的基本安全構架,并不影響用戶的特殊安全需求��,用戶可以在此基礎上構筑符合自身網絡安全需求的合理的安全體系��。
參考文獻:
[1] 萬振凱��,蘇華,韓青.網絡安全與維護[M].北京:清華大學出版社,2004.
[2] 中軟.中軟統一終端安全管理系統技術白皮書[M].中國軟件與技術服務股份有限公司,2006.
[3] 趙洪彪.信息安全策略[M].北京:清華大學出版社,2004.
[4] 蔣東興���,郭大勇,符群衛.清華大學新一代數字校園建設規劃與實踐[J].廈門大學學報:自然科學版,2007.
第12篇
新的形勢對銀行的軟硬件設施建設提出了新的挑戰���。其中網絡的運行情況,尤其是網絡安全問題尤其突出��。目前�����,銀行逐步建立了基于ip技術的業務骨干網���,但銀行電子網絡建設存在的問題也不容忽視��。
一、銀行網絡改造工作中存在的問題
1.來自互聯網的風險
網上銀行、電子商務�����、網上交易系統都是通過internet公網并且都與銀行發生關系��,銀行系統網絡如果與internet公網直接或間接互聯,那么由于互聯網自身的廣泛性���、自由性等特點,銀行網絡系統自然會被惡意的入侵者列入其攻擊目標的前列��。
2.來自互聯單位的風險
銀行與電信局���、水電部門��、保險公司�����、證券交易所等單位網絡互聯。由于銀行與這些單位之間不可能是完全信任的關系,因此它們之間的互聯�����,也使得銀行網絡系統存在著來自外單位的安全威脅。
3.來自內部的風險
據調查統計,已發生的網絡安全事件中��,70%的攻擊是來自內部���,因此內部網的安全風險更嚴重��。內部員工對自身企業網絡結構���、應用比較熟悉���,自我攻擊或泄露重要信息,內外勾結�����,都將可能成為導致系統受攻擊的最致命安全威脅�����。
4.管理安全風險
銀行內部員工的安全意識薄弱��,企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一,健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素���。
5.網絡系統維護費用高
原有的網絡系統還存在維護費用高,技術復雜的缺點�����。因此網絡改造要求有先進友好的網絡管理軟件以降低網絡維護費用�����。
二�����、形成原因分析
銀行計算機網絡需要可靠的安全保障支持。銀行網絡安全的威脅主要來自內部和外部兩個方面��。在過去的幾年中很多報告都指出���,企業內部員工的破壞行為是對信息安全的最大威脅��,主要包括:缺乏有效的網絡防護手段��,網絡協議分析工具帶來的威脅��,執行不安全代碼以及個人能力的不正當炫耀���。另一方面非法的外來侵入攻擊數量近幾年有了驚人的增長��。商業銀行計算機網絡系統很快地將要面對有組織有計劃的黑客的更大威脅,主要包括:廣為流傳的黑客攻擊技術,有組織的信息網絡入侵活動�����,新的網絡應用和技術的大規模涌現�����,硬件的高速發展使得破譯加密信息成為可能��。據統計,銀行業基于網絡的信息失竊在過去5年中以200%以上的速度遞增���。網絡安全已經成為銀行業務安全的重要組成部分,同時也是國家網絡經濟發展的關鍵���。
三、對銀行網絡安全改造解決方案的探討
通過審慎的調查研究和親身產品使用�����,筆者建議對銀行網絡系統實行全面改造��,以達到網絡安全要求���。
首先�����,全行的主要主干電路可采取面向網絡安全端到端的safe(security architecture for e-business)解決方案,結合現有運行網絡的實際情況,完成網絡安全性設計。方案的模塊化方法可為銀行網絡提供最大的靈活性。使銀行能夠針對特定的業務來選擇特定的模塊�����。同時方案也可提供根據業務需要逐步實現安全的cisco avvid基礎設施的可能�����。這保護了銀行在現有安全設施上的投資��,降低整個網絡系統的費用,同時也可知道每一個模塊的工作原理及在整個網絡安全框架中的作用���。
其次,在整個網絡的安全性設計上���,進行全面的規劃,制定整體的安全策略。同時對局域網��、廣域網以及外聯網與internet等公共信息網互連的安全保障規定���。使用思科的安全策略管理器cspm指定整體的安全策略��,并實施定期的監控和改進���。原有的應用服務器與其他系統服務器以及辦公及管理信息系統相連��,存在一定的安全隱患。在系統改造中這一問題將得到解決,通過采用內部防火墻���,兩者可實現安全隔離,應用主機安全性可得到更好的保障。
為了保障基于因特網和基于web交易的保密性和完整性���,可以實現虛擬專用網(vpn)。就像裝甲車一樣,vpn在金融資源從銀行傳到其他位置的途中能為它們提供保駕護航作用�����。在遠程用戶和銀行之間���,vpn提供安全可靠的加密式端對端"隧道"���。即使是最狡猾的網絡黑客�����,vpn的強勁安全性也能防止他們截取隧道傳輸的內容,使他們的陰謀不能得逞���。vpn的創建宗旨就是要在每個遠程訪問會話期間保障其安全性,它對用戶是透明的��。一般而言���,具有vpn功能的防火墻和客戶計算機配置的許多操作系統都支持vpn�����。
改造后的網絡可在廣域網中心增設了專用的路由器�����。原來既作為dlsw+節點又作為廣域網路由的中心路由器實現功能上的拆分,新增專門路由器作為dlsw+路由器���,負責sna和tcp/ip的協議轉換。所有路由器位于高性能防火墻的兩側��,防止外部對應用主機的非法操作��,同時網絡對sna協議的處理能力也得到提高��。
顯然,有效的安全性設計來源于網絡本身��。網絡基礎架構必須具有嵌入式防火墻�����、驗證和vpn等安全功能��。不僅設計安全的網絡很重要,而且設計網絡時所采用的方法同樣也重要��,不能使銀行的日常運營脫離正常軌道�����。當超負荷網絡發生故障或崩潰時�����,將會給銀行業務造成令人可怕的后果。
