開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全技術����,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步����。
第1篇
關鍵詞:電力企業����;網絡安全����;安全策略
引言
隨著我國Internet和電力信息化產業的飛速發展,計算機網絡在電力企業的各個方面得到了廣泛的應用����,電力企業信息網絡已經成為電力系統的重要基礎設施����,它的安全運行與否關系到電力系統的安全����、穩定����、有效運行����。網絡技術的廣泛應用����,電力信息網絡的不斷延伸和擴大,特別是電力企業網和Internet的互聯都對電力信息網絡的安全提出了更高的要求����。因此����,深入研究電力企業信息網絡安全的特點和存在的問題����,對電力企業信息網絡的安全運行有一定的指導意義。
電力企業信息網絡結構如圖1所示����。
圖1電力企業信息網絡結構
1網絡安全
所謂網絡安全是指在分布網絡環境中����,對信息載體(處理載體����、存儲載體、傳輸載體)和信息的處理����、傳輸、存儲����、訪問提供安全保護����,以防止數據����、信息內容或能力拒絕服務或非授權使用和篡改。網絡安全具有機密性����、可用性和完整性這三個基本屬性����。網絡安全涉及的內容既有技術方面的問題����,也有管理方面的問題,兩方面相互補充����,缺一不可����。技術方面主要側重于防范外部非法用戶的攻擊����,管理方面則側重于內部人為因素的管理����。
威脅網絡安全的因素主要有黑客入侵、信息泄漏、拒絕服務攻擊和病毒等幾類����。
(1)黑客入侵
由于網絡邊界上的系統安全漏洞或管理方面的缺陷(如弱口令)����,容易導致黑客的成功入侵����。黑客可以通過入侵計算機或網絡,使用被入侵的計算機或網絡的信息資源����,來竊取����、破壞或修改數據,從而威脅電力企業信息網絡安全����。
(2)信息泄漏
相對于黑客入侵這種來自網絡外部的威脅而言,信息泄漏的主要原因則在于企業內部管理不善,如信息分級不合理����、信息審查不嚴和不當授權等,都容易導致信息外泄����。
(3)拒絕服務攻擊
信息網絡上提供的FTP、WEB和DNS等服務都有可能遭受拒絕服務攻擊����。拒絕服務的主要攻擊方法是通過消耗用戶的資源,來增加CPU的負荷,當系統資源消耗超出CPU的負荷能力時����,此時網絡的正常服務失效����。
(4)病毒
通過計算機網絡����,病毒的傳播速度和傳播范圍程度驚人,它可以在數小時之間使得全球成千上萬的網絡計算機系統癱瘓����,嚴重威脅網絡安全����。病毒的危害性涉及面廣,它不僅可以修改刪除文件����,還可以竊取企業內部文件和泄露用戶個人隱私信息等。
2安全策略
2.1網絡隔離
由于不同的網絡結構應該采用不同的安全對策,因此我們為了提高整個網絡的安全性考慮,可以根據保密程度、保護功能和安全水平等差異����,把整個網絡進行分段隔離����。這樣可以實現更為細化的安全控制體系����,將攻擊和入侵造成的威脅分別限制在較小的范圍內。所謂網絡隔離(Network Isolation)是指把兩個或兩個以上可路由的網絡(如TCP/IP)完全斷開或通過不可路由的形式(如不可路由的專用協議����、專用數據交換硬件等)進行連接,從而達到隔離網絡攻擊和防范網絡風險的目的。
電力企業內外網之間是通過物理隔離的����,所謂物理隔離是通過網絡與計算機設備的空間(主要包括網線����、路由器����、交換機、主機和終端等)分離來實現的網絡隔離����。物理隔離強調的是設備在物理形態上的分離����,從而來實現數據的分離。完整意義上的物理隔離應該是指兩個網絡完全斷開����,網絡之間不存在數據交換����。然而實際上����,由于網絡的開放性和資源共享性等特點需要內外網之間進行數據交換。因此����,我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的����、相對的物理隔離技術����。物理隔離的原理是使單個用戶在同一時間����、同一空間不能同時使用內部網和外部網兩個系統。如果兩個系統在空間上物理隔離����,在不同的時間運行����,那么就可以得到兩個完全物理隔離的系統����。
2.2防火墻
防火墻實際上是由應用層網關、包過濾路由器和電路層網關等組成的一套系統����,它邏輯上處于內部網和外部網之間����,可以提供網絡通信����,從而保證內部網的正常安全運行。防火墻是放置在電力企業內網服務器前端的����,防火墻的基本結構如圖2所示����。
圖2 防火墻結構
工作原理:當防火墻被安置完成以后����,所有內部通向外部和外部通向內部的數據流都要通過防火墻����。它通過包過濾技術,利用應用層或應用層數據共享的方式來實現不同網絡之間的通信,通過堡壘主機(屏蔽主機防火墻)連接系統外部與內部。此外����,它還利用基于支持網絡層和應用層安全功能等技術來有效的隔離了內部和外部的網絡,從而建筑起了一道屏障來抵御非法的侵入,更好的保護了電力企業網絡系統的安全運行。
我們要特別注意的是,即使網絡安裝了防火墻也還要考慮防火墻產品自身是否安全、防火墻用戶權限體系管理和防火墻的安全認證等特性。防火墻一般經常采用密碼認證的方式����,由于該方法安全性較差����,所以一旦密碼泄漏,別人就很容易控制防火墻,從而對網絡的安全運行造成隱患����。因此我們需要要求防火墻管理員對網絡安全攻擊的手段及其與系統配置的關系有相當深刻的了解����,從而更好的保護網絡的安全運行����。
2.3防病毒
電力企業網絡面臨的病毒威脅主要有電子郵件傳播����、文件交叉感染和瀏覽網頁及文件下載感染這三種傳播途徑。在電力企業網絡環境下,網絡病毒除了具有破壞性����、可傳播性����、可執行性和可觸發性等計算機病毒的共性外����,還具有感染速度快、傳播形式復雜����、破壞性大����、難于徹底清除和擴散面廣等新的特點����。
易于管理和全面防毒功能是防病毒軟件的關鍵。現在的防病毒軟件已不單單是檢測病毒和清除病毒����,而且還應加強對病毒的防護工作����。我們可以通過安裝遠程防病毒軟件來保證電力企業的網絡安全運行����。因此����,集中管理、遠程安裝����、統一防病毒策略成為了企業級防病毒產品的重要功能����。我們在選擇殺毒軟件時����,要選擇在市場上有較高知名度企業研發的殺毒軟件產品,這樣不僅可以保證產品質量����,而且產品的售后服務也能得到保證����。由于計算機病毒的傳播途徑多樣化����,電力企業需要建立多層次、立體式病毒防護體系、完善的管理系統和病毒防護策略來保證網絡的安全運行。
這里所謂的多層次����、立體式病毒防護體 系是指在電力企業的每臺臺式機上安裝基于臺式機的反病毒軟件����,在Internet網關上安裝基于Internet網關的反病毒軟件����,在服務器上安裝基于服務器的反病毒軟件,于此同時對電腦的操作系統進行安全加固����,這樣就可以從工作站到服務器再到網關進行全面保護����,從而保證整個電力企業網絡的安全運行����,使其不受計算機病毒的侵害。
3入侵檢測系統
入侵檢測系統(IDS)是一種主動防御攻擊的新型網絡安全系統����,由于它在功能上彌補了防火墻的缺陷����,完善了整個安全防御體系����,因此在電力企業的網絡安全中有著重要的作用。
入侵檢測系統是放置在電力企業內網服務器前端的,其分布式布置3所示����。由圖可知����,我們在進行安裝入侵檢測系統(IDS)的關鍵步驟是部署監測器與控制臺����。具體安裝如下:首先����,可以在外部路由器與外部網絡的連接處部署監測器,以監測異常的入侵企圖,在防火墻與MIS之間部署監測器,以監視和分析管理信息系統與外部網絡的通信流����。然后����,分別在監控信息系統(SIS)和管理信息系統(MIS)中部署一臺監測器����,監視各子網的內部情況,其中控制臺設置在管理信息系統中����。最后����,根據實際情況為個別需重點保護的服務器����、工作站安裝基于主機的入侵檢測軟件,保護重要設備。
圖3入侵檢測系統分布式布置
結束語
綜上所述����,隨著我國經濟和社會的飛速發展����,電力企業在我國國民經濟中的比重日益提高����,電力企業網絡系統的安全、穩定����、有效運行對整個國民經濟的穩定運行起著十分重要的作用����。針對電力企業網絡所面臨的各種不同的威脅����,我們只有采用與之相應的安全措施,才能保證電力企業局域網的安全����、正常和穩定運行����。
參考文獻:
[1]趙小林.網絡安全技術教程[M].北京:國防工業出版社,2006
[2]彭新光,吳興興.計算機網絡安全技術與應用[M].北京:科學出版社, 2005
[3]胡炎,韓英鐸.電力工業信息安全的思考[J].電力系統自動化, 2002(4):27
第2篇
【關鍵詞】計算機系統����;網絡安全;技術措施
0.前言
計算機系統的安全問題是一個關系到人類生產與生活的大事情����, 必須充分重視并設法解決它����。筆者的工作單位是電力企業����, 通過這幾年信息化的發展����, 深深體會到企業, 特別是電力企業在網絡安全����、數據安全方面的重要性����, 這里就其安全需求和防護問題進行論述����。
1.威脅網絡安全的因素主要類型
(1)黑客入侵。由于網絡邊界上的系統安全漏洞或管理方面的缺陷(如弱口令)����,容易導致黑客的成功入侵����。黑客可以通過入侵計算機或網絡����,使用被入侵的計算機或網絡的信息資源,來竊取����、破壞或修改數據����,從而威脅電力企業信息網絡安全����。
(2)信息泄漏����。相對于黑客入侵這種來自網絡外部的威脅而言,信息泄漏的主要原因則在于企業內部管理不善,如信息分級不合理����、信息審查不嚴和不當授權等����,都容易導致信息外泄。
(3)拒絕服務攻擊。信息網絡上提供的FTP����、WEB和DNS等服務都有可能遭受拒絕服務攻擊����。拒絕服務的主要攻擊方法是通過消耗用戶的資源����,來增加CPU的負荷,當系統資源消耗超出CPU的負荷能力時����,此時網絡的正常服務失效����。
(4)病毒����。通過計算機網絡,病毒的傳播速度和傳播范圍程度驚人,它可以在數小時之間使得全球成千上萬的網絡計算機系統癱瘓����,嚴重威脅網絡安全。病毒的危害性涉及面廣����,它不僅可以修改刪除文件����,還可以竊取企業內部文件和泄露用戶個人隱私信息等����。
2.企業網絡安全威脅來源
電力企業網絡不僅連接企業各部門, 還連接企業內的終端機。由于內部用戶對網絡的結構和應用模式都比較了解����, 因此還存在著來自內部的安全����。歸結起來����,針對網絡安全的威脅有以下幾個方面:
(1)人為的失誤操作。如網絡管理員對服務器系統����、應用軟件服務器端和網絡設備設置不當造成的安全漏洞����; 網絡用戶或低權限用戶的無意識錯誤操作通常有口令設置不慎����,將自己賬號隨意借用他人、任意共享本地資源等行為對網絡安全帶來威脅����。
(2)人為的惡意攻擊。此類攻擊分為兩種:一種是主動攻擊����,它以各種方式有選擇地破壞信息的有效性和完整性����; 另一類是被動攻擊����,它是在不影響網絡正常工作的情況下,進行截獲����、竊取����、破譯以獲得重要機密信息。這是計算機網絡所面臨的最大威脅����,可對計算機網絡造成極大的危害����,并導致機密數據的泄露����。
(3)軟件的漏洞。網絡軟件不可能是百分之百的無缺陷和無漏澗的����,尤其是操作系統的安全性����。這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標����。此外����,在軟件開發過程中的程序后門也是軟件安全漏洞的重要因素。
(4)計算機病毒����。在網絡環境下����, 病毒具有不可估量的威脅和破壞力����。
(5)網絡管理制度不健全。為了維護企業網絡的安全����, 單純憑技術力量解決是不夠的����,還必須具有完善的網絡管理制度����,目前企業還有很多不完善、不周全的地方。
3.電力企業網絡安全的技術措施
(1)安裝防火墻系統。防火墻系統是允許信任網絡信息通過����,阻止非信任網絡信息通過的技術。這種技術主要是通過在一個固定的信息集合的檢查點����,并在這個固定的檢查點對通過的網絡信息進行統一����、強制性的攔截和檢查����,通過限制一些指令的進入來對自身存儲的信息進行保護的措施。電力系統的生產、計算、銷售以及管理等都不是在同一個地方完成的����,因此其信息的集合與整理����,需要通過兩段不同的信息渠道����,然后通過對指令的過濾和篩選����,控制其信息的出入����,對具有破壞作用的信息進行組織,放行符合網絡要求的信息,設置信息訪問的權限����,來保證信息資源的安全����。
(2)防病毒侵入技術����。防病毒侵入系統能夠有效地阻止病毒的進入����,進而有效地防止病毒對電力系統的信息進行破壞。這種措施通常是在電腦上下載安全的殺毒軟件����,還應該安裝服務器����,對防病毒系統進行定期的維護����,保證其能夠有效正常地運行。此外����,在網關出還應該安裝相應的網關防病毒系統����。也就是說����,通過在電力系統的所有信息系統中安裝全面防護的防病毒軟件,對各個環節進行防毒處理����,并創建合理的管理體制����,以起到對計算機可能出現的病毒侵入進行預防����、監測和治理����,同時還應該及時對防病毒系統進行定時的升級。通過上述的所有手段����,這樣才能有效地對即將侵入信息管理系統的病毒進行處理����。
(3)虛擬局域網網絡安全技術����。虛擬局域網技術簡稱VLAN技術,VLAN 技術是將相關的LAN 合理的分成幾個不同的區域����,促使每一個VLAN 都能夠滿足計算機的工作要求����。由于LAN 的屬性決定其在邏輯上的物理劃分必須在不同的區域哈桑,在每一個工作站上都有特定的LAN網段����,每一個VLAN中的信息都不能和其他的VLAN 上的信息進行交換����,這種技術能夠有效地控制信息的流動����,并且有助于網絡控制的簡單化����,從而提高網絡信息的安全性。
(4)信息備份技術����。電力系統的所有信息在進行傳輸之前����,都應該進行備份����,并且備份也要按等級進行,根據數據的重要程度,對信息進行分級備份����,將這些備份信息進行統一管理����,并且還應該定期的對備份的信息進行檢查����,以確保其可用性和準確性,以此防止當電力系統信息出現故障的時候����,因為數據丟失造成嚴重的損失����。
4.維護電力系統網絡安全的管理
(1)網絡信息安全的意識和相應的手段����。意識決定著人類的行動����,想要提高網絡信息的安全性,首先應該通過學習和培訓����,促使電力企業的信息管理部門養成良好的網絡信息安全意識����,促使他們掌握一些安全防護意識與挖掘結局問題的能力����。再通過對其進行專業的網絡信息安全技能培訓,使其掌握操作統計網絡信息的設備的應用����,在此基礎上����,完成對信息系統安全性的管理����。
(2)強調安全制度的重要性。如果沒有健全的制度對信息安全進行界定,就無法衡量信息的安全性與合法性����,沒有相關的制度就無法形成相應的安全防護系統����。因此����,電力企業應該從企業全面發展的角度出發,在對相關的網絡信息安全制度充分研究的基礎上����,再根據企業的具體情況����,為企業的網絡信息安全制定一套完整的����,具有指導作用的安全制度,并將此制度形象化����、具體化����,制定明確的條文����,并且將企業的網絡信息安全管理和法律向連接,對危害企業網絡信息安全的因素通過法律途徑懲治����,以此來為電力企業的網絡安全保駕護航����。
(3)建立專門的安全管理部門����。通過建立專門的管理網絡信息安全的部門����,對電力企業的信息安全進行管理,通過該部門對相關資料不斷地研究����,再結合自身企業的具體情況����,制定符合企業自身情況的網絡安全管理系統����,并對此系統不斷地進行維護和完善。此外還應該設定特定的崗位����,將任務分級����,根據不同的等級將該系統的任務分配到相關的人員手中����,然后通過垂直管理,一級一級地對電力企業的網絡信息安全進行檢查����,通過部門內所有人員的協調和配合����,保證其安全有序地進行下去����。
5.結語
綜上所述����,隨著我國經濟和社會的飛速發展����,電力企業在我國國民經濟中的比重日益提高����,電力企業網絡系統的安全、穩定����、有效運行對整個國民經濟的穩定運行起著十分重要的作用����。針對電力企業網絡所面臨的各種不同的威脅����,我們只有采用與之相應的安全措施,才能保證電力企業局域網的安全����、正常和穩定運行����。
【參考文獻】
[1]趙小林.網絡安全技術教程[M].北京:國防工業出版社����,2006.
第3篇
關鍵詞: 企業;網絡信息安全;威脅;管理對策
1 網絡信息安全管理內涵闡述
隨著計算機網絡技術的飛速發展����,企業網絡化管理成為當今世界經濟和社會發展的趨勢與主流。在網絡化背景下����,企業不僅能夠方便快捷地進行信息共享����、信息交流與信息服務����,而且極大地提高了工作效率,創造了經濟效益,增加了在激勵市場競爭中的核心競爭力。然而����,凡事有利則有弊����,網絡技術也不例外����,網絡化給企業帶來巨大利益的同時,網絡信息安全問題也成為眾多企業十分頭痛的問題����。如何解決常見網絡問題����,消除網絡安全隱患����,嚴堵安全漏洞,確保企業計算機網絡及信息的安全����,從而來確保油田企業生產、科研等工作正確開展����,已成為油田企業亟待解決的重要課題����。
言及此,筆者覺得十分有必要對網絡信息安全管理的內涵����,進行再分析與闡述����。一直以來����,許多企業,談及網絡信息安全管理����,大多認為就是技術層面的工作����,如防黑客攻擊����、反病毒侵蝕、堵系統安全漏洞等專業技術問題����。其實維護網站安全工作,應不止于此。網絡環境下的信息安全不僅涉及到數據加密����、防黑客����、反病毒����、控制入網訪問、防火墻升級技術等專業技術問題����,更應該涉及法律政策問題和制度管理問題����。不少企業����,往往重視升級硬件、技術防范����,卻忽視安全管理問題����,特別是人員管理����、制度管理。其中,安全技術與安全管理齊頭并進����,兩手共抓才是企業網絡信息安全致勝的法寶,技術問題是基礎與保障,而安全管理則是信息安全更強大的方式手段����。
2 “兩手抓����,兩手都要硬”加強企業網絡信息安全管理對策
2.1 高度重視網絡管理制度層面工作
油田企業是科研性單位����,許多科技數據、技術數據等對企業生存發展來說至關重要,如錄井技術就是油氣勘探開發活動中最基本的技術,是發現、評估油氣藏最及時、最直接的手段,因而石油勘探企業網絡安全管理問題更是不容忽視,網絡上的任何一個小漏洞,都會導致全網的安全問題����,給企業造成不可估量的損失����。
首先,我們必須在企業內部制定嚴格并切實可行的網絡安全管理規章制度,企業主管領導應當高度重視����,建立內部安全管理制度����,如出入機房制度����、機房管理制度、設備管理維護制度、崗位責任制����、操作安全管理制度����、病毒防范制度����、應急處理制度等����。還要定期對制度落實情況進行例行檢查與抽查,重在落實����,避免流于形式����。確保通過制度能夠做到業務計算機專門使用����,業務系統與其他信息系統充分隔離,企業局域網與互聯的其他網絡充分隔離����。充分降低安全風險����。其次����,要提高員工的網絡安全意識。加強對使用人員的安全知識教育與培訓����,組織員工學習熟悉《中國信息系統安全保護條例》����、《算機信息網絡國際聯網安全保護管理辦法》等條例����,增強相關法律知識����,信息安全意識,堅持杜絕員工在工作時間內利用企業工作電腦訪問與業務無關的網站����,尤其是開展聊天����、游戲����、電影、下載、購物等娛樂活動,避免企業內部的文件以及數據甚至機密資料被盜現象����。使用中不要隨意使用自帶光盤����、移動硬盤與U盤等存儲設備,避免傳染病毒等����。再次����,通過學習培訓增強網站管理人員的技術水平與能力����。管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估����,以便隨意采取相關措施,有應對突發風險的能力����,并通過訪問控制����、升級防火墻����、漏洞檢測、病毒查殺、入侵檢測等技術����,做好日常網站的安全維護工作����。
2.2 重視加強網絡安全技術層面工作
目前網絡安全技術工作����,早已從操作系統維護、簡單的病毒防范發展到防止黑客惡意進攻����,防范蠕蟲����、木馬程序等種類多樣的網絡病毒以及變種等諸多工作����,表現在高水平防御體系的建構上����。
俗話說:病從口入。首先����,要做好訪問控制管理����,這就是抓好源頭工作����。特別是核心技術、重要數據的共享網站,一定要做到對入網訪問控制和網絡資源的訪問控制����,可實施有效的用戶口令和訪問賬號密碼����,避免用戶非法訪問����。此外口令����、密碼的設置上應盡量長一些復雜一些����,數字字母相結合����。如目前實用的USBKEY認證方法也是一種較可靠的方法,出現調離或者解雇員工����,應該立即對其的網絡賬號進行清除����,避免非法登陸����,泄露企業信息。其次,通過防火墻、入侵檢測����、網絡安全防漏洞����、數據加密傳輸����、防殺病毒等全方面的技術工作,保證企業網絡信息的安全����。如在防火墻設置原則上����,保證實施合理有效的安全過濾原則����,嚴格控制外網用戶非法訪問����,確保經過精心選擇的應用協議才能通過防火墻,使用網絡防病毒軟件����,建立起企業整體防病毒體系����,盡可能企業內部一些重要的資料或者核心數據進行加密傳輸與加密儲存����,這些一系列的工作可讓網絡環境變得更安全。
當然����,網絡安全管理工作是一項長期而細致艱辛的工作����,不可能一蹴而就����,也不能無所進步,隨著信息技術的快速發展����,對信息安全技術����、網絡安全管理工作的要求也會隨之增高����,今后企業信息安全技術、管理工作應該繼續跟蹤、學習國內外最先進的知識經驗����,努力提高企業信息安全管理技術水平����。
參考文獻:
[1]由媛����,淺談企業網絡信息安全[J].電腦知識與技術,2012(02):1057-1058.
第4篇
關鍵詞:網絡安全管理����;網絡安全管理系統����;企業信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能����,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸����、信息處理和信息共享等功能能夠安全進行����。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題����,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生����,或者人為惡意攻擊,病毒入侵而受到破壞����,導致重要信息的泄露和丟失����,甚至造成整個網絡系統的癱瘓����。
網絡安全的本質就是網絡中信息傳輸、共享����、使用的安全����,網絡安全研究領域包括網絡上信息的完整性����、可用性、保密性和真實性等一系列技術理論����。而網絡安全是集合了互聯網技術����、計算機科學技術����、通信技術����、信息安全管理技術、密碼學����、數理學等多種技術于一體的綜合性學科����。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事����、物對具有合法性����、保密性����、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略����、機制和過程����。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種����,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽����、竊聽等,而不對這些數據進行篡改����,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為����。
2.2 網絡安全管理技術
目前����,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位����、政府機關和高等院校的各種計算機網絡中����。隨著網絡安全管理系統建設的規模不斷發展和擴大����,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題����、網絡安全預警響應問題����,以及網絡中大量數據的安全存儲和使用問題等等����。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看����,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問����、系統認證����、數據傳輸安全和外界攻擊保護等等����。
在實際應用中����,網絡安全管理并不僅僅是一個軟件系統����,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理����、網絡安全風險監控等多個方面����。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入����,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統����,目的是為了保證整個網絡系統不受到任何侵犯����。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息����,而且其具有一定程度的抗外界攻擊能力����,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口����。防火墻是保證網絡信息安全����、提供安全服務的基礎設施����,它不僅是一個限制器,更是一個分離器和分析器����,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換����,從而保證整個網絡系統的安全����。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務����,更容易受到網絡的攻擊和竊聽����。目前����,互聯網中較為常用的協議就是TCP/IP協議����,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題����。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法����。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動����。通過對系統中用戶行為或系統行為的可疑程度進行評估����,并根據評價結果來判斷行為的正常性����,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測����、行為檢測����、分布式免疫檢測等����。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足����,提出一種通用的、可擴展的、模塊化的網絡安全管理系統����,以多層網絡架構的安全防護方式����,將身份認證����、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中����,使得這些網絡安全防護技術能夠相互彌補����、彼此配合����,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系����,從而有效提高網絡安全管理系統的功能性����、實用性和開放性����。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統����,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分����,能夠在同一時間與多個網絡安全終端連接����,并通過其對多個網絡設備進行管理����,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件����,以及在網絡中發生響應命令等功能����。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接����。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備����、設施的管理����。
網絡安全管理專業人員能夠通過終端管理設備����,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件����、網絡安全事件查詢組件����、網絡探測器管理組件和網絡管理策略生成組件����。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能����,它是到系統探測器模塊數據庫中進行選擇����,找出與功能相互匹配的模塊����,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中����。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構����。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢����,并將管理策略發送給網絡安全����。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的����,它主要是對安裝在網絡探測器上的功能模塊進行存儲����。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計����,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略����,并且對各種策略進行存儲����。
3.3 系統架構特點
3.3.1 統一管理����,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求����,將網絡安全分布地布置在整個網絡系統之中����,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理����。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現����,最后將其加載到網絡安全中����,而不必對網絡安全管理中心����、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統����,可使用多管理器連接����,保證全局網絡的安全����。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報����。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范����。
4 結論
隨著網絡技術的飛速發展����,互聯網中存儲了大量的保密信息數據����,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此����,企業對于網絡安全的要求也逐步提升����,因此����,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
參考文獻:
第5篇
提起網絡信息安全����,人們自然就會想到病毒破壞和黑客攻擊����。其實不然����,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪����,而非病毒和外來黑客引起����。
目前����,政府����、企業等社會組織在網絡安全防護建設中����,普遍采用傳統的內網邊界安全防護技術����,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證����、入侵檢測系統IDS等等網絡邊界安全防護技術����,對網絡入侵進行監控和防護����,抵御來自組織外部攻擊、防止組織網絡資源����、信息資源遭受損失����,保證組織業務流程的有效進行����。
這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源����、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障����,企業基于網絡邊界的安全防護技術就更是鞭長莫及了����,由此危及到內部網絡的安全����。一方面,企業中經常會有人私自以Modem撥號方式����、手機或無線網卡等方式上網����,而這些機器通常又置于企業內網中����,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網����、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡����,發起攻擊使內部網絡癱瘓����、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二����、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口����,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑����,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件����、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識����、安全知識����、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅����。
1.病毒����、蠕蟲入侵
目前����,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣����、破壞性大����、種類多����、變化快等特點����,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護����,特別是對新類型新變種的病毒����、蠕蟲����,防護技術總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡����,除了利用企業網絡安全防護措施的漏洞外����,最大的威脅卻是來自于內部網絡用戶的各種危險應用:不安裝殺毒軟件����;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統后����,未采取任何有效防護措施就連接到危險的網絡環境中����,特別是Internet����;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡����;桌面用戶在終端使用各種數據介質����、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中����,給企業信息基礎設施����,企業業務帶來無法估量的損失����。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成����,有系統軟件����、數據庫系統����、應用軟件等等����,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞����。無論哪一部分的漏洞被利用����,都會給企業帶來危害����,輕者危及個別設備,重者成為攻擊整個企業網絡媒介����,危及整個企業網絡安全����。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置����,例如,賬號策略����、審核策略����、屏保策略����、匿名訪問限制����、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用����,但在實際的企業網絡環境中����,這些安全配置卻被忽視����,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部����。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患����,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后����,用戶即可以對企業內網進行各種訪問操作����。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞����,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號����、無線AP,以太網接入等等網絡接入方式����,在外網和企業內網之間建立一個安全通道����。
另一個傳統網絡訪問控制問題來自企業網絡內部����,尤其對于大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮����,目前對于企業網管很難準確的控制企業網絡的應用����,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件����,這就可能使企業的保密數據外泄或感染郵件病毒����;企業內部員工在終端上私自使用未經允許的網絡應用程序����,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件����,從而感染內部網絡����,進而造成內部網絡中敏感數據的泄密或損毀。 5.企業網絡入侵
現階段黑客攻擊技術細分下來共有8類����,分別為入侵系統類攻擊����、緩沖區溢出攻擊����、欺騙類攻擊、拒絕服務攻擊����、對防火墻的攻擊����、病毒攻擊、偽裝程序/木馬程序攻擊����、后門攻擊����。
對于采取各種傳統安全防護措施的企業內網來說����,都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化����,當移動用戶連接到企業內網����,就會將各種網絡入侵帶入企業網絡����。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外����,很有可能被黑客攻陷或感染網絡病毒����。同時����,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態,終端員工沒有及時更新病毒特征庫����,或私自卸載安全軟件等����,將成為黑客攻擊內部網絡的跳板����。
三����、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法,其中的原因是多方面的����,有人為的原因����,如不安裝防殺病毒軟件����,病毒庫未及時升級等等,也有技術上的原因����,殺毒軟件����、入侵防范系統等安全技術對新類型����、新變異的病毒、蠕蟲的防護往往要落后一步����。危害好像是無法避免的����,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒����、蠕蟲對企業的危害減少到最低限度,甚至沒有危害����。這樣����,僅靠單一����、簡單的防護技術是難以防護病毒、蠕蟲的威脅的����。
2.終端用戶透明����、自動化的補丁管理����,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞����,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害����,完全必要在企業的安全管理策略中加強對補丁升級����、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級����、系統配置策略,定義終端補丁下載����。將補丁升級策略����、增強終端系統安全配置策略下發給運行于各終端設備上的安全����,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效����,整個管理過程都是自動完成的����,對終端用戶來說完全透明����,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級����、安全配置管理效率和效用����,使企業網絡的補丁及安全配置管理策略得到有效的落實����。
3.全面的網絡準入控制
為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題����,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題����,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施����,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時����,檢查客戶端的安全策略狀態是否符合企業整體安全策略����,對于符合的外網訪問則放行����。一個全面的網絡準入檢測系統。
第6篇
關鍵詞:穩定性 體驗 平衡點 路由
一����、引言
近幾年����,隨著互聯網技術的不斷發展����,網絡應用的不斷豐富,用戶可存在于網絡空間的活動越來越多,上至六七十的老人����,下到小學生都加入了這個行列。而企業因網絡接入用戶數急劇增加����,隨之接入的網絡設備數量也在增多����,設備配置也隨著應用的需求不斷的變化����。在實際工作中,簡單的擴充網絡帶寬來提高網絡訪問速度的做法效果并不理想����。經過反復研究分析����,采用綜合性技術手段提高網絡穩定性����,對于訪問速度的提高,用戶體驗十分顯著����。網絡速度實際是恒定的����,用戶上網訪問快慢的感受實際上是受帶寬影響����,但又存在有效帶寬問題。
隨著網絡規模的增大并變得更為復雜����,需要更多的功能、更好地控制網絡組建����。
二����、如何提高網絡穩定性問題研究
網絡穩定����,帶寬中的有效帶寬就比較高����,用戶上網訪問速度就比較平穩����,用戶的訪問體驗就不會出現高低起伏,但網絡訪問穩定了并不代表速度就快了����。要提高網絡穩定性����,首先應找出造成網絡不穩定的原因����,并結合實際情況盡可能把這些問題解決掉。
1.影響網絡穩定性的因素����。影響網絡不穩定的因素很多����,總結起來主要表現在五個方面:網絡架構����、路由體系����、網絡安全、桌面安全和系統安全。目前����,對企業網絡在這幾方面情況分析如下:
(1)企業網絡架構主要采用的是“三級”架構(核心����、匯聚����、接入)?���?傮w思路很明確����,但隨著網絡的不斷延伸����,接入用戶的不斷增加和新技術的應用,網絡邊界不斷賦予新的內涵,邊界功能化����、明晰化成為現在存在的問題����。
(2)隨著技術的發展和網絡應用的深入原來的路由體系是否適合現在不斷擴展的企業網絡����,如何找出路由體系中關鍵技術的平衡點這都是技術難點����。
(3)網絡安全的隱患是影響網絡穩定性的直接因素。經過近幾年的努力,企業網絡安全問題已得到很大提升����,尤其是網絡安全域劃分的實施����。
(4)桌面安全和系統安全對網絡的局部穩定起到至關重要的作用。近兩年部署的桌面安全準入系統的實施,使桌面安全和系統安全從根本上得到改善,為快速預測和提前相應提供了支持����。
2.提高網絡穩定性的措施����。從影響網絡穩定性的因素出發����,我們結合業界的相關技術,提出了提高網絡穩定性的措施。
(1)網絡架構。企業網絡是按照標準的三層結構部署����,但是缺乏真正意義上的三層核心����,不同功能網絡之間邊界不夠清晰����,沒有使用安全設備進行隔離和訪問控制����。企業基于根據業務功能規劃物理網絡的設計原則,靈活性欠佳����,且網絡單元連接關系規劃的不盡合理����,造成部分應用數據流路徑的不合理性����。
針對企業網絡現狀,按照功能分區����、邏輯分層的原則����,并考慮安全區域劃分的方式進行構造網絡,增加統一的三網絡核心����,整合網絡安全邊界����,優化網絡單元連接和應用數據流路徑����。增加開發測試區����,增強開發測試類應用的獨立性和安全性;增加運行管理區����,為企業網絡運行管理����、網絡安全管理提供網絡基礎接入平臺����;增加數據擺渡區,隔離保護生產和科研網絡����,以保障企業核心業務����;針對各網絡功能區,定義網絡安全邊界����,實施網絡安全控制����;增加各功能區網絡設備和網絡連接的冗余性����,提高網絡的可用性,包括:各功能區的冗余分布層和連接����。
現在提倡扁平化管理,企業網絡是按照標準的三層結構部署����,按照功能分區����、邏輯分層的原則����,網絡架構為核心——匯聚——接入。但隨著網絡規模的增大企業網絡變得更為復雜,在網絡接入層中有的地方包含了三層����、四層����,甚至五層接連����,增加了數據轉發層數,也就增加了故障點:上聯設備故障,直接影響其下聯設備����。對用戶來說直接影響了其上網體驗����。
(2)路由體系����。路由協議是網絡基礎規則的重要內容,需要考察路由協議的開放性����、可擴展性、靈活性和可管理性等方面����,進行比較和選擇����。
下表中列出了幾種路由協議各自的優點和需注意的問題����。
根據前文提出的企業網絡架構,考慮各種路由協議的特點����,企業在內部網絡采用OSPF路由和Static路由相結合的方式����。
(3)網絡安全����。網絡安全體系架構需要考慮三個層面的內容:網絡安全架構、網絡安全技術和網絡設備配置安全����,并通過不斷的評估和規劃����,提高企業整體的安全水平。對企業網絡安全技術部署現狀的了解和分析,考慮認證鑒權、訪問控制、審計跟蹤、響應恢復����、內容安全這五個方面����。安全應該貫徹到整個IT架構中的各個層次����,網絡設備配置安全也非常重要,利用設備操作系統軟件的許多安全技術����,可以大大增強網絡設備的安全性����,從而為整個網絡的安全又提供了一層保障����。從口令管理����、服務管理、訪問控制和管理����、攻擊防范和路由安全這幾個方面����,提出網絡設備配置安全:
①口令管理:要求使用加密口令,避免口令被惡意截?���。?/p>
②服務管理:強調網絡設備關閉不必要的服務����,減少被攻擊者利用的可能����;
③訪問控制和管理:要求對客戶端的操作進行嚴格的認證、授權和審計;
④攻擊防范:增加網絡設備防范攻擊功能的配置,減少網絡設備被惡意攻擊的風險����;
⑤路由安全:關注路由協議認證����,消除路由安全問題����。
(4)桌面安全和系統安全。信息安全風險管理就是可以接受的代價����,識別����、控制����、減少或消除可能影響信息系統的安全分析的過程。桌面和系統的安全風險管理并不僅僅只是著眼于防病毒,防攻擊以及系統加固也很重要����。但必要的加固措施存在以下幾個問題:
①不能確保所有計算機都安裝了防火墻和殺毒軟件����;
②不能及時對殺毒軟件����、防火墻進行更新;
③不知道怎樣對系統防護進行策略配置,不知道怎樣對漏洞進行補丁安裝����。
近兩年企業部署的桌面安全準入系統的實施����,使桌面安全和系統安全從根本上得到改善����。企業應從提高桌面準入客戶端的安裝率,挖掘該系統的深入應用����,提高系統補丁的安裝出發來解決這些問題����。
三����、企業提高網絡穩定性實踐方案
本實踐方案是在影響網絡穩定的五大因素的基礎上,通過結合企業現狀、利用現有的條件得出的一套提高企業網絡穩定性的實踐方案。以下將從網絡結構介紹出發����,詳細闡述該實踐方案����。
1.網絡架構����。網絡架構在功能分區����、邏輯分層的總體思路指導下,采用“三級”架構����,核心-匯聚-接入����。所有只具備單鏈路接入的單位聯接在邊界路由器����,邊界路由器與核心A和核心B采用雙鏈,數據中心與核心采用雙鏈����,重要并具備條件的各匯聚采用雙鏈����,從而實現核心A和核心B熱備����,無論核心A或B其中任何一個故障,各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數據中心資源����,進行日常辦公����。從而加固了網絡核心����,明晰了網絡邊界,提高了企業網絡穩定性����。
圖 網絡架構總體設計
2.路由體系����。根據OSPF(開放式最短路徑優先)路由和Static(靜態)路由的優缺點����,結合企業現狀,提出企業路由體系需遵循的三個原則:(1)動靜路由的選擇����。
(2)減少路由器同步和收斂時間����。
(3)明晰并統一語法����。
企業網絡是采用OSPF路由和Static路由結合的方式,這兩種方式各有優缺點����。Static路由可以精確的控制互聯網絡的路由行為����,然而����,如果經常發生網絡拓撲變化����,那么手動配置方式將導致靜態路由的管理工作根本無法進行下去。OSPF路由能夠使互聯網絡迅速并自動地響應網絡拓撲的變化。但對于任何程序而言����,自動化程度越高����,可控程度就越差����。通過Static路由這種精確控制互聯網絡的路由的方式,即減少各片區路由收斂對整網造成過大的影響����,又在一定程度上規范了IP地址等網絡資源的使用����。
企業網絡核心到邊界����,核心到匯聚采用OSPF路由,使互聯網絡迅速并自動地響應網絡拓撲的變化,減少路由維護工作量。邊界其他一些網絡用戶數較大的接入單位采用Static路由����,通過這種精確控制互聯網絡的路由的方式����,減少各片區路由收斂對整網造成過大的影響����,在一定程度上規范了IP地址等網絡資源的使用����。接入邊界的網絡用戶數較大的單位內部網絡采用動態路由。并且統一路由規則,主要包括以下幾點:
(1)RID(router id)是用來唯一表示OSPF網絡中的一個節點����,為避免由于組網不當造成相同自治系統中的RID沖突����,路由器均需設置RID,RID的地址最好選擇網絡中最大的IP地址;
(2)合理使用OSPF的0區域����,統一OSPF的語法和規則����。
在本方案中����,由于指出了網絡路由協議使用原則,規范了路由的語法和規則,從而避免了路由配置錯誤����;并且把可能產生的路由震蕩局限在了比較小的范圍����,從而提高了網絡穩定性����。
3.網絡安全����。啟用接入層交換機端口安全,采用適合企業現狀的相關參數����,減少ARP攻擊����。
4.桌面安全和系統安全����。根據企業的實際情況,提出從兩方面出發:(1)把IPS桌面化和桌面防火墻的使用實現防攻擊����。
(2)提高終端計算機補丁安裝率����。
基于策略的終端安全檢查和控制功能����,通過在sep(終端準入系統)策略服務器上制定詳細的wsus()策略來控制計算機的補丁更新,安裝了sep客戶端計算機只要接入網絡����,sep客戶端就會執行相應的wsus策略檢查并將結果提交給sep策略服務器����,策略服務器在收到客戶端傳來檢查結果后和制定的wsus策略進行比對����,如客戶端計算機滿足wsus策略才被允許使用網絡����,否則只能訪問隔離網段內的網絡資源。針對不同區域實施不同策略����,實現多組wsus服務器之間負載均衡����,使客戶端能在最短時間內獲取補丁資源 ����。
5.實踐總結。企業網絡是在不斷的擴展,各種新技術也是層出不窮,如何解決網絡穩定性的問題已成為當今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發����,思考����、分析、解決問題����,“頭痛醫頭����,腳痛醫腳”的方式無法適應當下網絡的運維工作����;并且要從體系角度進行網絡建設和維護,改變簡單的把“網絡維護”看成“網絡設備維護”的傳統思想����。
參考文獻:
[1](美)多伊爾 著.葛建立,吳劍章譯.TCP/IP路由技術����,第一卷����,2003.10.
第7篇
隨著數據庫����、軟件工程和多媒體通信技術的快速發展,礦山企業實施了安全生產集控系統、環境監測系統、調度管控系統����、移動辦公系統及智能決策支持等系統����,實現了礦山企業安全生產����、辦公和管理信息化、智能化。網絡能夠實現各類信息化系統的數據共享����、協同辦公等����,也是信息化系統正常運行的關鍵����,因此網絡安全防御具有重要的作用。本文詳細地分析了礦山企業網絡安全面臨的問題和現狀,提出采用先進的防御措施����,構建安全管理系統,以便提高網絡安全性能����,進一步改善礦山企業信息化運營環境的安全性����。
1礦山企業網絡安全現狀分析
隨著互聯網技術的快速發展����,互聯網將分布于礦山企業生產、管理等部門的設備連接在一起����,形成了一個強大的礦山企業服務系統����,為礦山企業提供了強大的信息共享����、數據傳輸能力����。但是����,由于許多礦山企業工作人員在操作管理系統、使用計算機時不規范,如果一臺終端或服務器感染了計算機病毒、木馬����,將會在很短的時間內擴散到其他終端和服務器中,感染礦山企業信息化系統����,導致礦山企業服務系統無法正常使用����。經過分析與研究����,目前網絡安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現狀����。
1.1網絡攻擊渠道多樣化
目前網絡黑客技術正快速普及����,網絡攻擊和威脅不僅僅來源于黑客����、病毒和木馬,傳播渠道不僅僅局限于計算機����,隨著移動互聯網����、光纖網絡的興起和應用����,網絡安全威脅通過智能終端進行傳播,傳播渠道更加多樣化����。
1.2網絡安全威脅智能化
隨著移動計算、云計算和分布式計算技術的快速發展����,網絡黑客制作的木馬和病毒隱藏周期更長����,破壞的范圍更加廣泛����,安全威脅日趨智能化,給礦山企業信息化系統帶來的安全威脅更加嚴重,非常容易導致網絡安全數據資料丟失����。
1.3網絡安全威脅嚴重化
網絡安全攻擊渠道多樣����、智能逐漸增加了安全威脅的程度����,網絡安全受到的威脅日益嚴重,礦山企業網絡設備����、數據資源一旦受到安全攻擊����,將會在短時間內迅速感染等網絡中接入的軟硬件資源����,破壞網絡安全威脅����。
2礦山企業網絡安全防御措施研究
礦山企業網絡運行過程中����,安全管理系統可以采用主動����、縱深防御模式,安全管理系統主要包括預警、響應����、保護����、防御����、監測、恢復和反擊等六種關鍵技術,從根本上轉變礦山企業信息系統使用人員的安全意識,改善系統操作規范性����,進一步增強網絡安全防御性能����。
2.1網絡安全預警
網絡安全預警措施主要包括漏洞預警����、行為預警和攻擊趨勢預警,能夠及時發現網絡數據流中存在的威脅。漏洞預警可以積極發現網絡操作系統中存在的漏洞,以便積極升級系統����,修復系統漏洞����。行為預警����、攻擊預警可以分析網絡數據流����,發現數據中隱藏的攻擊行為或趨勢,以便能夠有效預警。網絡安全預警是網絡預警的第一步,其作用非常明顯,可以為網絡安全保護提供依據����。
2.2網絡安全保護
網絡安全保護可以采用簡單的殺毒軟件����、防火墻����、訪問控制列表、虛擬專用網等技術防御攻擊威脅����,以便保證網絡數據的機密性����、完整性����、可控性、不可否認性和可用性����。網絡安全保護與傳統的網絡安全防御技術相近����,因此在構建主動防御模型時����,融入了傳統的防御技術。
2.3網絡安全監測
網絡安全監測可以采用掃描技術����、實時監控技術����、入侵檢測技術等發現網絡中是否存在嚴重的漏洞或攻擊數據流����,能夠進一步完善主動防御模型內容,以便從根本上保證網絡安全防御的完整性����。
2.4網絡安全響應
網絡安全響應能夠對網絡中存在的病毒����、木馬等安全威脅做出及時的反應����,以便進一步阻止網絡攻擊,將網絡安全威脅阻斷或者引誘到其他的備用主機上����。
2.5網絡恢復
礦山企業信息系統遭受到攻擊之后����,為了盡可能降低網絡安全攻擊損失����,提高用戶的承受能力����,可以采用網絡安全恢復技術,將系統恢復到遭受攻擊前的階段����。主動恢復技術主要采用離線備份����、在線備份����、階段備份或增量備份等技術。
2.6網絡安全反擊
網絡反擊技術是主動防御最為關鍵的技術,也是與傳統的網絡防御技術最大的區別����。網絡反擊技術可以采用欺騙類攻擊����、病毒類攻擊����、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術,網絡反擊技術可以針對攻擊威脅的源主機進行攻擊,不但能夠阻斷網絡攻擊����,還可以反擊攻擊源����,以便破壞攻擊源主機的運行性能����。
3礦山企業網絡安全管理系統設計
為了能夠更好地導出系統的邏輯業務功能����,對網絡安全管理的管理員����、用戶和防御人員進行調研和分析����,使用原型化方法和結構化需求分析技術導出了系統的邏輯業務功能,分別是系統配置管理功能、用戶管理功能����、安全策略管理功能����、網絡狀態監控管理功能����、網絡運行日志管理功能、網絡運行報表管理功能等六個部分。
3.1網絡安全管理系統配置管理功能分析
通過對網絡安全管理系統操作人員進行調研和分析����,導出了系統配置管理功能的業務功能����,系統配置管理功能主要包括七個關鍵功能,分別是系統用戶信息配置管理功能、網絡模式配置、網絡管理參數配置、網絡管理對象配置����、輔助工具配置、備份與恢復配置和系統注冊與升級等����。
3.2用戶管理功能分析
礦山企業網絡運行中����,其主要設備包括多種����,操作的用戶也有很多種類別,比如網絡設備管理人員����、應用系統管理人員、網絡維護部門、服務器等����,因此用戶管理功能主要包括人員、組織����、機器等分析����,主要功能包括三個方面����,分別是組織管理、自動分組和認證配置。組織管理功能可以對網絡中的設備進行組織和管理����,按照賬號管理、機器管理等進行操作����;自動分組可以根據用戶搜索的設備的具體情況改善機器的搜索范圍,添加到機器列表中����,并且可以對及其進行重新的分組管理����;認證配置可以根據終端機器的登錄模式進行認證管理����。
3.3安全策略管理功能分析
網絡安全防御過程中����,網絡安全需要配置相關的策略����,以便能夠更好的維護網絡運行安全����,同時可以為用戶提供強大的保護和防御性能����,網絡安全策略配置是非常重要的一個工作內容����。網絡安全防御規則包括多種����,比如入侵監測規則、網絡響應規則����、網絡阻斷規則等����,配置過程復雜����,工作量大����,通過歸納,需要根據網絡安全防御的關鍵內容設置網絡訪問的黑白名單、應用封堵����、流量封堵����、行為審計����、內容審計����、策略分配等功能。
3.4網絡狀態監控管理功能分析
網絡運行過程中����,由于涉及的服務器����、終端設備較多,網絡運行容易產生錯誤����,需要對網絡狀態進行實時監管,以便能夠及時的發現網絡中存在的攻擊威脅����、故障燈����。網絡運行管理過程中,需要時刻的監控網絡的運行管理狀態����,具體的網絡運行管理的狀態主要包括三個方面,分別是系統運行狀態����、網絡活動狀態、流量監控狀態。
3.5網絡運行日志管理功能分析
礦山企業網絡運行過程中����,根據計算機的特性需要保留網絡操作日志����,如果發生網絡安全事故,可以對網絡操作日志進行分析����,便于發現某些操作是不符合規則的����。因此����,網絡運行管理過程中����,網絡運行日志管理可以分析網絡運行操作的主要信息,日志管理主要包括以下幾個方面����,分別是內容日志管理����、報警日志管理、封堵日志管理����、系統操作日志管理。
3.6網絡運行報表管理功能分析
網絡運行過程中����,為了能夠實現網絡安全管理的統計分析����,可以采用網絡安全報表管理模式����,以便能夠統計分析接入到網絡中的各種軟硬件設備和系統的運行情況����,網絡運行報表管理主要包括兩個方面的功能����,分別是統計報表和報表訂閱。
4結束語
隨著物聯網����、大數據����、云計算和移動互聯網技術的快速應用和普及����,礦山企業逐漸進入智慧化時代,網絡安全威脅更加智能化����、快速化和多樣化����,感染速度更快����,影響范圍更廣����,給礦山企業信息系統帶來的損失更加嚴重,本文提出構建一種多層次的主動網絡安全防御系統,能夠提高礦山企業信息系統網絡運行的安全性����,具有重要的作用和意義����。
作者:張軍 單位:陜西南梁礦業有限公司
引用:
[1]汪軍陽����,司巍.計算機網絡應用安全問題分析與防護措施探討[J].電子技術與軟件工程,2013.
[2]黃哲����,文曉浩.淺論計算機網絡安全及防御措施[J].計算機光盤軟件與應用����,2013.
[3]潘澤歡.數字化校園網絡的安全現狀及防御對策[J].網絡安全技術與應用����,2015.
[4]趙銳.探討計算機網絡信息安全問題與防護措施[J].計算機光盤軟件與應用,2014.
[5]白雪.計算機網絡安全應用及防御措施的探討[J].計算機光盤軟件與應用,2012.
[6]王喜昌.計算機網絡管理系統及其安全技術分析[J].計算機光盤軟件與應用����,2014.
第8篇
(一)缺乏安全防范意識����。
就目前我國各個油田企業的網絡發展情況來看����,很多油田企業事先并沒有做好安全防范工作����,往往都是網絡安全事故發展之后,才采取措施去解決的����。這樣一來����,造成了信息泄露,對油田發展十分不利。我國油田企業普遍缺少安全防范意識����,這對于油田網絡安全管理十分不利����,同時也將嚴重制約了我國油田企業朝著更好方向發展����。
(二)網絡安全問題應急措施存在缺陷。
隨著社會經濟的發展,網絡安全問題呈現著新的發展趨勢,傳統觀念和經驗已經無法滿足當下油田網絡安全問題。我國很多油田企業處理網絡安全問題時,依舊利用傳統經驗辦事,這樣一來����,很難有效解決問題����,造成了故障的滯留����,從而帶來較大的損失����。
(三)缺乏科學技術投入。
有些油田企業的網絡設備未能跟上時展潮流����,依舊停留在初始階段����,一些系統設備較為陳舊����,不利于當下油田信息化建設發展,影響了油田企業生產效率和經濟效益����。究其原因����,主要是缺乏科學技術投入����,對落后設備不能進行及時有效更新,導致網絡運行不穩定����,并且出現網絡安全問題����。
二����、油田企業網絡安全管理和防護建設措施研究
(一)建立網絡安全預警機制����。
網絡安全預警機制的建立,將在很大程度上對入侵的木馬、病毒進行阻擋和預警,可以有效保護油田企業網絡安全����。建立網絡安全預警機制����,應該注意以下幾點問題:(1)對網絡安全設備進行及時更新����,確保相關設備跟上時展潮流,具有一定的先進性����。油田網絡安全設備主要涉及到CPU����、流量測試設備、接口設備����、網絡設備等����,確保這些設備的先進性能����,將有利于預警功能實現����;(2)設置多樣化的警告方式,確保預警機制能夠起到重要作用。網絡預警機制����,需要設置相應軟件進行預警監控����,多樣化的警告方式����,可以保證預警作用實現,避免單一預警信號失去效用;(3)建立相應數據監控系統����,通過對數據監測����,可以更好發現故障出處����,有利于故障解決。在進行實際工作中,一些故障問題具有普遍性����,建立數據監控系統����,對故障數據進行存儲����,可以方便日后故障處理����,保證網絡運行穩定性。
(二)提高安全防范意識����。
網絡安全防范意識的提升����,從主觀上意識到網絡安全重要性����,對于網絡安全管理以及防護建設具有重要意義。油田企業日常工作過程中����,要注意網絡安全的維護����,并且對企業員工灌輸網絡安全防護意識����,大家在使用網絡時����,不去瀏覽非法網頁,硬盤使用時記著查殺病毒����,這樣一來����,將在很大程度上切斷病毒傳輸途徑,確保網絡安全����。同時����,加大網絡安全維護意識以及防范意識����,定期對垃圾文件進行清理����,安裝病毒防火墻����,檢查計算機系統是否存在漏洞����,并且進行及時修復����。
(三)注重網絡安全維護隊伍建設����。
建立一支高素質的網絡人才隊伍����,對于解決網絡安全管理問題具有重要作用����。我國油田企業為了更好實現網絡安全����,應該注意高素質人才隊伍建立����,讓這支高素質的網絡人才隊伍����,服務于網絡安全管理和防護建設當中����,將更加有利于實現網絡安全目的。油田企業建立網絡人才隊伍����,應該切實發揮人才在網絡安全管理中的重要作用,為油田企業網絡安全管理維護貢獻自身的力量。同時,油田企業還應該加強網絡安全技術交流����,讓網絡安全人才與其他企業的人才進行交流,學習和借鑒先進經驗����,更好服務于企業網絡安全管理與防護建設的工作當中����。除此之外����,企業在網絡安全人才建設過程中����,應注意采取靈活的人才管理機制����,激發員工工作熱情����,為網絡安全人才提供廣闊的發展空間。
三����、結束語
第9篇
[關鍵詞] 網絡營銷 風險 對策
網絡營銷是企業利用互聯網進行營銷活動的一種新的方式����,相比傳統營銷����,它是技術����、智慧和服務的結合����,有著傳統營銷無可比擬的優勢和特點。然而,盡管網絡營銷具有許多競爭優勢����,但并不是說企業只要“觸網”就都能成功����,企業網絡營銷的開展同樣存在著巨大的運作障礙和經營風險。因此,如何應對網絡營銷風險已經成為一個亟待解決的新課題。
一����、企業網絡營銷的風險識別
1.支付風險
目前,企業對網絡營銷最擔心的問題之一是支付的安全問題����,有很多企業對網上交易的安全性表示擔心����。這主要是因為目前缺乏滿足網絡營銷所要求的交易費用支付和結算手段����,銀行的電子化水平不高����,安全性差����,銀行之間相對封閉����。雖然銀行方面也作出了很大的努力,但遠不能滿足全面網絡營銷的要求����,消費者面臨網上欺詐的危險����,害怕自己信用卡號碼被盜用,擔心個人隱私被泄露����。
2.技術風險
技術風險是企業在網絡技術不成熟和與之相關的技術手段不穩定����,而給交易雙方帶來的風險����,如數據加密技術還不盡如人意����,數據的傳送、讀取、反饋會因為軟硬件設施的出錯而發生錯誤����,上網速度慢����、網絡易堵塞、密碼被盜竊等等����,這些大大加深了網絡交易的風險����。在我國����,網絡發展水平不高、網絡基礎設施差����、線路少����、安全性不高,這些都導致一切技術上的不穩定����,從而造成上述混亂情況,技術原因形成的風險對網絡營銷產生較大的負面影響����。
3.信用風險
信用風險是網絡營銷發展中的主要障礙,這是因為網絡營銷是建立在交易雙方相互信任����,信守諾言的基礎上的����。買方假設賣方的商品合格沒有缺陷����,賣方假設買方有足夠的支付能力����,雙方都會履行交易時達成的承諾����。但在目前“假冒偽劣盛行����,欠債不還有理”這樣一種缺乏信任的經營環境中,如果沒有任何信用保證,網絡營銷是難以開展的。信用風險將在很大程度上制約網絡營銷的發展����。
4.法律風險
盡管我國對電子合同的法律效率����、知識產權的保護����、網上支付、電子證據等進行不斷的研究,但這些法律法規的內容遠遠不能適應電子商務的發展����,很多的商務活動還找不到現成的法律條文來保護網絡交易中的交易方式����,導致交易雙方都存在風險����。另外����,由于網絡營銷可以在不同國家和地區的企業個人之間交叉進行,但各國的法律不同����,社會文化����、風俗習慣又有很大的差異����。因此,很有可能一方看來正當的交易����,但在另一方卻是不可接受的����,從而導致交易的失敗或受到限制����。
5.物權轉移風險
物權轉移中的風險是買賣雙方都應十分注意防范的一種風險。尤其是在網絡營銷中����,物權轉移過程中的風險更大����,更加應該提防和警惕����。如款到無貨或貨到無款、無保障的定金交易等����,都將加大買賣雙方的風險����。這主要是由于物流網絡的不配套而引起����,網絡營銷雖然縮小了企業之間信息虛擬市場上的競爭,但對企業的物流水平與能力提出更高的要求����。而目前擁有全國物流能力的企業寥寥無幾����,特別是廣大中小企業����,物流能力不強,不能及時與網絡用戶實物交割����,產生物權轉移的風險����,這已經成為阻礙網絡營銷發展的主要原因����。
二����、我國企業防范網絡營銷風險的對策
企業網絡營銷風險的防范,建立在企業準確認識網絡營銷風險基礎之上,而科學的營銷戰略和戰術可以減少網絡營銷企業的經營風險和機會成本。通過對企業網絡營銷風險的識別����,可以考慮以下幾種對策:
1.加強網上支付的管理
(1)各大商業銀行之間盡快實現統一����,可跨行業的互聯����、互通;(2)固樹立安全第一的意識,處理好安全與發展速度的關系;(3)加大支付技術上的攻關力度進一步提高網上支付安全保障,將風險環節前移����,在產品開發初期充分考慮到安全性����,對存在安全隱患的產品����,絕對不投入使用,不投入市場。
2.加強信息安全技術研究
網絡營銷要適應市場全球化的新形勢����,信息安全至關重要����。加強信息安全研究是我國發展網絡營銷亟待解決的關鍵問題����。信息安全體系的突出特點之一����,是必須有先進的技術系統來支持。在安全技術方面����,涉及技術標準����、關鍵技術、關鍵設備和安全技術管理等環節,而其核心問題有兩個:(1)有關的安全技術及產品必須也只能是我國自主開發的和國產化的;(2)信息安全技術的開發與采用和國產信息安全產品的采購與裝備����,也應納入法制的范圍����。
3.建立健全信用評估體系
建立我國完善的信用評估體系是網絡營銷得以迅速發展的重要組成部分����。建立完善的信用評估體系要從以下幾方面著手:(1)建立健全科學的信用評級體系。建立科學的信用評級體系要做到國際慣例與中國國情相結合以及傳統研究方法與現代先進評級技術和互聯網技術相結合;(2)建立獨立、公正的評級機構。信用評級機構不能受到政府����、企事業單位和被評級對象的干預;(3)政府積極持信用評級機構開展工作����。
4.完善網絡交易的法律法規
無論網絡安全����、網上結算還是貨物配送����,都涉及法律法規問題。只有健全法制����,嚴懲違法者����,才能保證網絡營銷的正常運行����。因此,國家必須在立法和執法上加大力度����。從網絡安全來說����,要組織力量����,選擇符合我國國情的網絡交易安全技術,積極開發我國自己的網絡安全產品����。要強化網絡交易安全管理����,制定有關的網絡交易標準和管理標準����,規范買賣雙方和中介方的交易行為����。要盡快完善網絡交易的法律法規,明確交易各方當事人的法律關系和法律責任����,嚴厲打擊利用網絡營銷進行欺詐的行為����。
5.強化企業制度建設
企業的制度建設是有效防范各類風險����、減少風險損失的主要手段����。為有效防范和控制網絡營銷風險����,企業應著重加強以下幾項制度建設:(1)人員管理制度:明確權責范圍,規范員工行為����,通過培訓教育提高員工的風險防范意識和能力����;(2)風險控制制度:為企業在風險決策����、交易管理、危機應急等狀況下提供規范的處理方法和操作機制����;(3)監督制度:通過嚴格的監督監管,保證各項制度措施能夠順利實施并充分發揮效用����。
參考文獻:
第10篇
網絡安全管理技術
目前����,網絡安全管理技術越來越受到人們的重視����,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大����,網絡安全防范技術也得到了迅猛發展����,同時出現了若干問題����,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等����。網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分����,從信息安全管理的方向來看����,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問����、系統認證、數據傳輸安全和外界攻擊保護等等����。在實際應用中����,網絡安全管理并不僅僅是一個軟件系統����,它涵蓋了多種內容,包括網絡安全策略管理����、網絡設備安全管理����、網絡安全風險監控等多個方面����。
防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入����,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統����,目的是為了保證整個網絡系統不受到任何侵犯。防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力����,所以可以作為企業不同網絡之間����,或者多個局域網之間進行數據信息交換的出入接口����。防火墻是保證網絡信息安全����、提供安全服務的基礎設施,它不僅是一個限制器����,更是一個分離器和分析器����,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換����,從而保證整個網絡系統的安全。將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全����,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務����,更容易受到網絡的攻擊和竊聽����。目前,互聯網中較為常用的協議就是TCP/IP協議����,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
1入侵檢測技術入侵檢測是一種增強系統安全的有效方法����。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動����。通過對系統中用戶行為或系統行為的可疑程度進行評估����,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測����、行為檢測����、分布式免疫檢測等����。
2系統設計目標該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的����、模塊化的網絡安全管理系統����,以多層網絡架構的安全防護方式,將身份認證����、入侵檢測����、訪問控制等一系列網絡安全防護技術應用到網絡系統之中����,使得這些網絡安全防護技術能夠相互彌補����、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系����,從而有效提高網絡安全管理系統的功能性����、實用性和開放性����。
系統原理框圖
該文設計了一種通用的企業網絡安全管理系統。
1系統總體架構網絡安全管理中心作為整個企業網絡安全管理系統的核心部分����,能夠在同一時間與多個網絡安全終端連接����,并通過其對多個網絡設備進行管理����,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件����,以及在網絡中發生響應命令等功能����。網絡安全是以分布式的方式����,布置在受保護和監控的企業網絡中����,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的����,并且與網絡安全管理中心相互連接����。網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備����、設施的管理。網絡安全管理專業人員能夠通過終端管理設備����,對企業網絡安全管理系統進行有效的安全管理����。
2系統網絡安全管理中心組件功能系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件����、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件����。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加����、刪除的功能����,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊����,將它們添加到網絡安全探測器上����。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中����。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢����,并將管理策略發送給網絡安全����。系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫����、網絡探測器模塊數據庫,以及網絡響應策略數據庫����。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的����,它主要是對安裝在網絡探測器上的功能模塊進行存儲����。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計����,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
系統架構特點
1統一管理����,分布部署該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理����,并且根據網絡管理人員提出的需求����,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
2模塊化開發方式本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式����,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時����,只需要對相應的新模塊和響應策略進行開發實現����,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新����。
3分布式多級應用對于機構比較復雜的網絡系統����,可使用多管理器連接����,保證全局網絡的安全����。在這種應用中����,上一級管理要對下一級的安全狀況進行實時監控����,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范����。
第11篇
關鍵詞:企業����;網絡安全����;對策
【Abstract】The 21st century is the era of information technology, information technology has brought great opportunities to multinational enterprises, but at the same time challenges and opportunities facing a lot of problems at this stage of China's enterprises in the enterprise network security, this paper for Chinese enterprisesnetwork security, and foreign enterprise network security situation, a detailed analysis of China's enterprises in the network security threats and challenges, and the relevant principles of network security solutions, and related countermeasures.【Keywords】business; network security; countermeasures
中圖分類號:TN915.41
21世紀是一個信息技術日新月異的時代����,人類生活的各個網面也都已經進入了信息化時代����, 互聯網已經在人們的生活����、工作����、學習、娛樂等事務中得到廣泛的應用����,特別是在我國的企業中����,網絡在企業的發展中有著舉足輕重的影響?���,F階段,我國很多企業都充分意識到網絡安全在企業發展中的重要地位和作用����,各個企業都建立了自己的企業網站等����,誠然����,事實表明,網絡給企業的發展帶來了大量有益的信息資源����,但是����,與此同時����,網絡本身也蘊含非常多的潛在危險和挑戰����。因此,企業要對網絡安全的問題給予充分的重視����,這關系到企業的長遠發展����。
企業網絡安全的涵義
企業的網絡安全從字面上說,就是企業在網絡上的安全����,主要是企業信息的安全����。網絡安全涵蓋非常多的領域����,現階段,網絡安全主要是網絡上安全漏洞����、各種病毒的侵害和威脅����。所以����,企業網絡的信息安全就是保護企業在網上的信息的安全、完整����、真實,保證企業的網絡信息不被盜用和修改,所以����,“通常定義為網絡系統中的軟硬件����、系統中的數據等受到保護����,不會因為網絡系統的硬件、軟件及其系統中的數據受到保護, 不會因為任何的破壞而被修改����、泄露����,以至企業的正常的運行����。“[1]由于企業計算機網絡系統的多樣,并且由于網絡的開放性等特點����,計算機很容易受到惡意軟件����、黑客以及各種非法的攻擊和危險����,這樣就可能會導致企業網絡信息的泄露,企業的各類信息受到嚴重的威脅,不僅包括使企業自身的各類信息,還包括企業的客戶信息的安全����。
國內外企業的網絡安全現狀
在國際范圍內,一些發達國家����,例如美國以及歐洲一些國家����,他們在企業網絡基礎設施上的建設和維護相比較一些發展中國家來說����,更加地完善。由于受到第三次科技革命的影響����,這些國家的企業在企業網絡安全問題的認識比較深入和重視����,他們在網絡安全上的建設起步時間比較早。因此����,在這些發達國家內����,企業的網絡現狀比較好����,危害網絡安全的黑客攻擊、盜竊等犯罪活動的發生率比較低。足以看出����,國外一些國家隊企業網絡安全的問題非常重視,并且把企業網絡的安全問題作為企業發展的一項十分重要的問題����。����,他們在對網絡的資金和人力的投資商都比較大����,并且呈逐年遞增的趨勢。
在國內����,我國企業對網絡安全的資金和人力投入在整個網絡系統的見著中所占的比例比較低����,并且同歐美國家以及日本韓國等相比����,都有很大差距。這其中的原因����,主要是因為我國很多企業特別是那些中小企業的資金預算十分有限����,他們很多僅僅重視利益的投資和回報率����,。很多企業對企業網路信息的安全不太重視����,再加上企業專門的網絡技術人員的專業素質上的欠缺以及人數上的不足,這一系列的問題使得我國企業的網絡安全的建設狀況不容樂觀。
在我國網絡技術的應用中����,一般都使用防火墻以及各種防病毒的軟件����。由于防火墻的性價比比較高����,安裝簡便,并且可以在線升級,但是單單有這些技術應用是不夠的����,還應該在企業網絡安全上多多注意����,系統的登錄名����、登錄密碼等等,都要多加強技術的投入。
企業網絡安全的原因分析
導致企業出現網絡安全的原因是多方面的,主要包括以下幾個方面:
企業對網絡安全的防范措施不到位
首先, 企業對網絡安全的認識不夠����,很多企業對網絡管理不是十分重視����,在企業內部設置的網絡管理部門也對這個問題的重視不夠。其次����,企業的生產經營的許多環節都涉及到網絡����,在網絡中企業要進行各項業務����,在網絡的運行過程中難免會有某些方面的疏忽和漏洞����,這可能會導致一些黑客蓄意的攻擊和侵害。企業缺乏一個相對比較健全的網絡安全管理體制,企業網絡的安全管理同其他方面的管理是不同的,不能照搬照抄����,管理網絡的方式比較落后����,網絡安全的職責落實不到個人����,這些都導致網絡管理的混亂以及網絡全責的不明晰。
第二,黑客的攻擊
在網絡上黑客使用一系列工具對企業的網絡進行攻擊和入侵,企業的重要信息可能遭到破壞或者盜竊����,致使企業網絡不能正常地使用����,如果情況嚴重的話����,網絡可能會癱瘓。調查表明,自從計算機在全球范圍內得到廣泛應用以來����,計算機病毒也開始出現����,有這些病毒造成的損失也十分的大����。
網絡操作系統自身的缺陷
企業在網絡的操作系統中有很多漏洞����,這樣對那些注冊過的用戶來說就十分地危險,因為有些非法的用戶在未經授權的情況下����,可以獲得訪問的權限����,這樣非法用戶就可能會侵害他人的信息����,繼而造成信息被泄露、破壞����、盜取����。
網絡安全的管理策略
建立完善的企業網絡安全保護體制
網絡安全工作的開展需要嚴格完善的規章之地����,企業的相關管理人員要對企業的網絡安全進行責任的分配����,對未盡責任的工作人員要給予相關的懲罰����?���!敖⒁粋€安全保密體制,對保密體制的執行狀況進行定期或者不定期的檢查����,并對檢查結果進行保存����?���!盵2]這樣就可以使得每一個相關的工作人員把企業網絡安全的責任落實到實處,嚴格保守企業的機密信息����,保護企業的網絡信息安全����。這也是企業網絡安全首要的和最重要的任務����。
網絡技術上的安全防控措施
首先,需要做好對病毒的預防在企業內部����,要做好對病毒的預防����,要在病毒對網絡進行攻擊侵害之前就要對其進行很好的預防����,如果僅僅在病毒入侵之后才看是對其進行消除的工作的話����,這僅僅是一種補救的措施,是被動的����,要做到防患于未然����,必須對企業的計算機系統做嚴格的保護措施����。在企業內部,要盡量做到專機專用,是每個人都有自己獨立的電腦設備����,盡量禁止無關人員使用企業內部的計算機設備����;外帶的移動設備等等����,也要在連接電腦室進行木馬的查殺,避免病毒和木馬的侵害。在計算機使用互聯網進行工作室����,要對那些來路不明的郵件����、文件等格外地注意����。假如這些預防措施都不管用,導致病毒入侵的情況發生的話,就要對企業信息系統中的重要文件或者信息作備份����,對那些被病毒感染的文件����,要對其進行查毒����,并對磁盤整體進行木馬的查殺。如果在這一系列的行為之后,計算機仍然有殘留的病毒的話,那么,應該停止使用計算機����。
其次����,對企業網絡設備的硬件的安全管理大多數企業的網絡設備一般都是放在專門的機房中����,所以,良好的機房防盜措施是十分必要的����。機房每天都要有專門的工作人員進行管理����,并對進出機房的人員進行登記和檢查����,在機房內部安裝監控攝像系統����,以及報警系統,保證重要的計算機設備的安全����。此外����,機房的管理人員要對負責機房的衛生工作����,保證機房的整潔干凈,沒有過多的塵土����,無垃圾����。同時����,機房良好的防水、防火����、放電燈措施也是必不可少的����。
對企業網絡訪問權限的控制
“應用防火墻技術����,控制訪問權限����,實現網絡安全集中管理。”[3]防火墻技術是十分重要的網絡安全技術,它是在近些年才發展起來的,防火墻的主要功能是是在接入網絡入口時,保障網絡通訊的安全����。在網絡出口處安裝防火墻����,進入網絡內部就要通過防火墻的檢查,IP地址����,把系統可能受到的侵害發生幾率降低����,拒絕那些非法的進入����,是黑客很難進入。這樣就可以按照客戶的安全規定����,提高內部網絡安全����。
結語: 企業的網絡安全企業發展的一個十分重要的問題����,要做好企業的網絡安全工作,需要全體工作人員的努力����,在工作過程中要樹立科學的網絡安全意識,采取相關的措施,不斷提高企業網絡的安全����。
【參考文獻】
[1] 張敏����;中小企業網絡安全整體解決方案[J]����;改革與開放;2011年第6期
第12篇
企業在發展的過程中,已經離不開網絡����,企業在使用網絡的過程中����,網絡安全問題較為突出����。所以,分析企業網絡安全問題����,提高企業網絡安全性能非常重要����,這關乎企業未來的發展����。
二����、企業網絡安全性急需重視
企業已經越來越依賴網絡以及企業內部網絡來支持重要的工作流程,內部網絡斷線所帶來的成本也急劇升高����。當這一刻顯得迫在眉睫時����,如何確保核心網絡系統的穩定性就變得非常重要����,即使一個企業的虛擬網絡或防火墻只是短暫的中斷����,也都可能會中斷非常高額的交易����,導致收入流失、客戶不滿意以及生產力的降低����。盡管所有的企業都應該對安全性加以關注����,但其中一些更要注意����。那些存儲有私密信息或專有信息、并依靠這些信息運作的企業尤其需要一套強大而可靠的安全性解決方案。通過一部中央控制臺來進行配置和管理的安全性解決方案能夠為此類企業提供巨大幫助����。這類安全性解決方案使IT管理員們能夠輕松地對網絡的安全性進行升級,從而適應不斷變化的商務需求����,并幫助企業對用戶訪問保持有效的控制����。例如����,IT管理員能夠根據最近發現的網絡攻擊行為迅速調整網絡的安全性級別。此外����,用戶很難在終端系統上屏蔽掉由一臺遠程服務器控制的網絡安全特性����。IT管理人員們將非常自信:一旦他們在整個網絡中配置了適當的安全性規則����,不論是用戶還是系統的安全性都將得到保證,并且始終安全����。而對于那些安全性要求較高的企業來說����,基于軟件的解決方案(例如個人防火墻以及防病毒掃描程序等)都不夠強大����,無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序����,都能輕松將這些防護措施屏蔽掉,甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件。一旦這些軟件系統失效����,終端系統將非常容易受到攻擊����。更為可怕的是����,網絡中的其他部分也將處在攻擊威脅之下。
三、網絡結構的安全風險分析
根據使用網絡的不同方面����,以及對系統信息的安全使用將網絡安全風險分為如下幾類����。
1.來自與公網互聯的安全威脅
由于中心網絡與Internet相連,而Inter-net公網是基于開放性����、國際性與自由性的����,所以中心內部網絡連到INTERNET公網����,則內部網受到攻擊的可能性將增大。因為����,每天黑客都在試圖闖入Internet節點����,并尋找一些目標試圖進行攻擊����。假如對網絡不保持警惕����,可能連黑客的闖入無知,甚至會成為黑客入侵其他網絡的跳板����。假如內部網絡的一臺機器安全受損����,就會同時影響在同一網絡上的許多其他系統����。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡;影響所及����,還可能涉及法律����、金融等安全敏感領域����。因此,對有特殊要求的網絡系統必須做相應的安全防范措施。
2.內部網絡互聯安全威脅
網絡安全風險不僅來自外部網����,內部網及不信任域同樣存在著對內部系統網絡的安全威脅����,內部網絡容易造到來自內部或不信任域用戶中一些不懷好意的入侵者攻擊����。攻擊方法比如:
入侵者通過Sniffer等嗅探程序來探測掃描網絡及操作系統存在的安全漏洞����,如IP地址、應用操作系統的類型����、開放哪些TCP端口號����、系統保存用戶名和口令等安全信息的關鍵文件等����,并通過相應攻擊程序對內網進行攻擊。
入侵者通過網絡監聽等先進手段獲得內部網用戶的ID����、口令等信息����,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息����。
入侵者通過發送大量PING包對內部網重要服務器進行攻擊����,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓����。
內部不懷好意員工����,通過上傳一些破壞程序,也可能危機經濟信息中心內部網絡的安全����。
入侵者通過發電子郵件或內部人員自己投放病毒軟件����,感染某主機����,進而通過網絡傳播,影響整個網絡的正常運行����,并可能破壞網絡系統����。
3.系統的安全風險分析
所謂系統安全通常是指網絡操作系統����、應用系統的安全。目前的操作系統或應用系統無論是Linux還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統����,其開發廠商必然有其后門����。而且系統本身必定存在安全漏洞����。這些”后門”或安全漏洞都將存在重大安全隱患����。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關系,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手����。
4.應用的安全風險分析
應用系統的安全涉及很多方面����。應用系統是動態的����、不斷變化的。應用的安全性也動態。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施����,降低應用的安全風險����。
5.資源共享
網絡系統內部辦公網絡可能存在著:員工有意����、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上����,可能被外部人員輕易獲取或被內部其他員工竊取并傳播出去造成泄密����,因為缺少必要的訪問控制策略����。
6.電子郵件系統
企業網絡系統連入互聯網,電子郵件應用將是應用比較廣泛,內外用戶間的信息傳遞����,就存在被黑客跟蹤或收到一些特洛伊木馬����、病毒程序等����,由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性����,給入侵者提供機會����,讓黑客掌握了系統的主動權����。給系統帶來不安全因至素。
四����、常用的網絡安全技術
1.PKI技術
PKI(PublicKeyInfrastucture)技術是利用公鑰理論和技術建立的提供安全服務的基礎設施����,是信息安全技術的核心����,是電子商務的關鍵和基礎技術����,是一種適合電子商務、電子政務����、電子事務的密碼技術����,它能夠有效地解決電子商務應用中的機密性����、真實性、完整性����、不可否認性和存取控制等安全問題����。一個實用的PKI體系應該是安全的����、易用的、靈活的和經濟的����,它必須充分考慮互操作性和可擴展性����。它是認證機構(CA)����、注冊機構(RA)、策略管理����、密鑰(Key)與證書(Certificate)管理����、密鑰備份與恢復����、撤消系統等功能模塊的有機結合。
2.防火墻
基于防火墻的網絡安全結構主要有三種:雙宿主機結構����、主機過濾結構和子網過濾結構����。雙宿主機結構可以提供很高程度的網絡控制����,它從物理上將內部和外部網絡隔開,但該結構在防護資料包從外部網絡進入內部網絡時很容易失敗����,無法有效地預防����,而該結構中的主機很容易成為網絡瓶頸����。主機過濾結構較前者安全����、易操作,但是一旦堡壘主機癱瘓,整個系統上的信息部一覽無余����。子網過濾結構是主機過濾結構的變形����,只是緊貼內部網絡加一層過濾路由器����,仍然存在安全問題。
五、企業網絡安全管理制度保障
管理是企業網絡安全的核心����,技術是企業安全管理的保證����。網絡安全系統必須包括技術和管理兩方面����。只有完整的規章制度、行為準則并和安全技術手段結合,網絡系統的安全才會得到最大限度的保障。只有制定合理有效的網絡管理制度來約束員工����,這樣才能最大限度的保證企業網絡平穩正常的運轉����,例如禁止員工濫用計算機����,禁止利用工作時間隨意下載軟件����,隨意執行安裝操作,禁止使用IM工具聊天等����。最終制度通過網絡管理平臺得以具體體現����,管理平臺使得制度被嚴格的執行起來。
