時間:2023-09-20 18:23:56
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業的網絡安全,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1 中小型企業網絡的安全目標
一般的中小型企業的局域網擁有十幾臺或者上百臺計算機。其中的Web、FTP、電子郵件、DNS等服務器應能被內外網絡的計算機所訪問,數據庫服務器一般只面向內部網絡,而所有的工作站都不能被外部網絡所訪問。局域網中的工作站有些可以訪問外部網絡,有些則不可以。局域網中的所有計算機都應能抵擋來自于外網的黑客或病毒的侵入。
2 中小型企業的網絡安全隱患
任何一個IP地址都會被攻擊。攻擊的形式多種多樣,主要有以下幾種:
2.1 網絡嗅探器
攻擊者通過嗅探器中途截走網絡上的數據流,對報文進行分析,破解出他們想要的信息,例如服務器的密碼或者電子郵件等。
2.2 IP欺騙
攻擊者制造一個假的IP地址,使接收者誤以為是局域網內的合法地址。
2.3 端口掃描
攻擊者通過在端口掃描,可以檢測出服務器上安全的脆弱方面。
2.4 密碼攻擊
通過多次的自動試探,獲取服務器的密碼。
2.5 拒絕服務攻擊
大量使用對方的網絡資源,使合法的用戶無法訪問網絡。
2.6 應用層的攻擊
應用層的攻擊有許多方式。系統中的許多服務軟件本身就含有安全方面的問題,然后這些被黑客利用發動攻擊。
3 制定安全策略的原則
網絡安全是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施。網絡安全的維護策略就是針對網絡的實際情況,在網絡管理中,對各種網絡安全采取的保護措施。網絡的環境不同,實施的策略也要依據具體情況來定。因此要根據網絡的具體應用環境制定出合理的安全策略。
3.1 系統性原則
網絡的安全管理擁有系統化的工作流程,必?考慮網絡的各個方面,比如網絡上用戶、設備等,并且采取相應的措施。不要錯過任何一個細節,一點點的錯失都會降低整個網絡的安全性。
3.2 簡單性原則
網絡用戶越多,網絡管理人員越多,網絡安全的管理工作就越復雜,采用的網絡軟件種類就越多,網絡提供的服務越多,出現安全隱患的可能性就越大,出現問題后解決問題的難度也越大。要有簡單的網絡,才會有安全的網絡。
3.3 適應性原則
隨著網絡技術的發展和迅速的變化,網絡用戶不斷增加,網絡規模不斷擴大,而安全措施是防范性的、持續的,所以制定的網絡安全維護策略必須適應網絡發展的變化,與網絡的實際應用環境相結合。
4 中小型企業網絡安全維護策略
4.1 網絡規劃時的安全策略
做網絡規劃時一定要考慮網絡的安全性,并且要實施一些安全策略。對于中小型企業網絡來說,網絡管理員是網絡安全責任人,所以明確網絡安全的責任人和安全策略的實施者。對中小型企業的局域網要集中管理網絡上的公用服務器和主交換設備。安全策略不可能保證網絡絕對安全和硬件不出故障。
4.2 網絡管理員的安全策略
對于中小型企業網絡,網絡管理員要承擔安全管理員的責任。網絡管理員采取的安全策略,最重要的是保證服務器的安全和分配好各類用戶的權限。網絡管理員必須了解整個網絡中的重要公共數據和機密數據有哪些,保存的地方,歸屬于誰,丟失或泄密會有什么后果,將這些重要數據集中在中心機房的服務器上,定期對各類用戶進行安全培訓。
設置服務器的BIOS,不允許從可移動的存儲設備啟動。通過BIOS設置軟驅無效,并設置BIOS口令。防止非法用戶利用控制臺獲取敏感數據,以及由軟驅感染病毒到服務器。取消服務器上不用的服務和協議種類。網務和協議越多安全性越差。系統文件和用戶數據文件分別存儲在不同的卷上,方便日常的安全管理和數據備份。管理員賬號僅用于網絡管理,不在任何客戶機上使用管理員賬號。對屬于Administrator組和份組的成員用戶要特別慎重。
鼓勵用戶將數據保存到服務器上。不建議用戶在本地硬盤上共享文件。限制可登錄到有敏感數據的服務器的用戶數。在出現問題時可以縮小懷疑范圍。一般不直接給用戶賦權,而通過用戶組分配用戶權限。新增用戶時分配一個口令,并控制用戶“首次登錄必須更改口令”,且最好新設置成的口令不低于6個字符,以杜絕安全漏洞。
4.3 網絡用戶的安全策略
網絡的安全不僅是網絡管理員的事,網絡上的每個用戶都有責任。網絡用戶應了解下列安全策略:
(1)將口令設置為8位數以上,不要將自己的口令告訴其他人。知道自己私有數據存儲的位置,了解如何備份和恢復。
(2)定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養成注意安全的工作習慣。
(3)為了不影響自己的機器安全,盡量不要在本地硬盤上共享文件。應將共享文件存放在服務器上,這樣比較安全也可以實現共享。
(4)設置客戶機的BIOS,不允許從軟驅啟動。
(5)設置有顯示的屏幕保護,并且加上口令保護。
(6)如果離開機器時間較長時,一定要退出網絡。
(7)安裝啟動時的病毒掃描軟件。
企業計算機網絡所面臨的威脅
當前,大多數企業都實現了辦公自動化、網絡化,這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴,容易因為一些主客觀因素對計算機網絡造成妨礙,并給企業造成無法估計的損失。
1網絡管理制度不完善
網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的。“沒有規矩,不成方圓。”制度就是規矩。當前,一些企業的網絡管理制度不完善,尚未形成規范的管理體系,存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業相關人員不能采取有效措施防范網絡威脅,也給一些攻擊者接觸并獲取企業信息提供很大的便利。
2網絡建設規劃不合理
網絡建設規劃不合理是企業網絡安全中存在的普遍問題。企業在成立初期對網絡建設并不是十分重視,但隨著企業的發展與擴大,對網絡應用的日益頻繁與依賴,企業未能對網絡建設進行合理規劃的弊端也就會日益凸顯,如,企業所接入的網絡寬帶的承載能力不足,企業內部網絡計算機的聯接方式不夠科學,等等。
3網絡設施設備的落后
網絡設施設備與時展相比始終是落后。這是因為計算機和網絡技術是發展更新最為迅速的科學技術,即便企業在網絡設施設備方面投入了大筆資金,在一定時間之后,企業的網絡設施設備仍是落后或相對落后的,尤其是一些企業對于設施設備的更新和維護不夠重視,這一問題會更加突出。
4網絡操作系統自身存在漏洞
操作系統是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網絡環境中的操作系統不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網絡黑客所了解,就會給其進行網絡攻擊提供便利。
網絡安全防護體系的構建策略
如前所述,企業網絡安全問題所面臨的形勢十分嚴峻,構建企業網絡安全防護體系已經刻不容緩。要結合企業計算機網絡的具體情況,構建具有監測、預警、防御和維護功能的安全防護體系,切實保障企業的信息安全。
1完善企業計算機網絡制度
制度的建立和完善是企業網絡安全體系的重要前提。要結合企業網絡使用要求制定合理的管理流程和使用制度,強化企業人員的網絡安全意識,明確網絡安全管護責任,及時更新并維護網絡設施設備,提高網絡設施的應用水平。如果有必要,企業應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業員工提供網絡安全的講座和培訓,引導企業人員在使用網絡時主動維護網絡安全,避免網絡安全問題的出現。
2配置有效的防火墻
防火墻是用于保障網絡信息安全的設備或軟件,防火墻技術是網絡安全防御體系的重要構成。防火墻技術主要通過既定的網絡安全規則,監視計算機網絡的運行狀態,對網絡間傳輸的數據包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網站或個人登錄或訪問企業計算機,從而防止計算機網絡信息泄露,保護計算機網絡安全。
3采用有效的病毒檢測技術
計算機病毒是指編制或在計算機原有程序中插入的能夠破壞系統運行或破壞數據,并具有自我復制能力的計算機指令或程序代碼。病毒是對網絡造成最大威脅的因素,要采用一些有效的病毒檢測及反應技術,及時檢測到病毒并對其進行刪除。
關鍵詞:網絡安全;威脅因素;對策
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 16-0000-02
1 網絡安全的特點及重要性
網絡安全從字義上講就是保障網絡系統的穩定正常運行,抵御各種不利的侵害,免受因不法侵害帶來的損失,網絡安全需要依靠相關的設備和技術才能實現。對于企事業單位的網絡安全較之于一般的個體的網絡使用具有更為重大的意義。網絡的使用大大提高了企事業單位的辦公效率和質量,網絡的不安全因素帶來的直接后果是造成辦公秩序不能正常進行,重要的信息材料丟失或者篡改,給企事業單位的利益以及相關聯的人的利益帶來重大損失,因而保障網絡安全具有十分重大的意義,也因此對企事業的網絡安全工作和建設提出了要求:
首先,良好的保密性能,非授權用戶難以靠非正常途徑獲得或者使用不允許對外公開的信息材料;其次,相關的數據改變只有在經授權的前提下才能進行改變,未被授權就不能修改、破壞存儲或傳輸過程中的數據,保證數據存儲和傳輸的完整性;第三,網絡數據的穩定可靠性,被授權主體能夠正常訪問并根據需求正常存取使用;最后,良好便捷操控性能,網絡系統能夠滿足大部分的工作需要,一方面對于數據的傳播及內容具有良好便捷的控制能力,另一方面在出現安全問題時能夠及時做出判斷預警,并提供相關的處理依據和手段。
2 當前網絡安全在應用中的現狀
網絡化辦公已基本實現,然而在網絡安全的建設和管理上,一部分企業的網絡結構設計難以滿足未來的網絡發展,應對網絡安全的能力嚴重不足,甚至還停留在個體的網絡使用模式上,企事業單位的網絡安全建設應當是一個整體性的結構,在整個網絡系統中,每一臺計算機的安全性能對整體的網絡系統的安全性能都有著直接的影響,網絡安全與每個用戶密切相關。
企事業單位的網絡安全應該得到充分的重視,但部分企事業單位的安全意識還比較淡薄,一方面缺乏專業性的網絡安全管理人員,網絡安全建設缺乏明確的標準和規范;另一方面企事業單位的員工要對于單位的網絡結構、數據存放方式和地點、業務系統的密碼都有一定的了解,員工對于網絡安全的不在意,網絡隱患防范意識差,隨意的改動系統注冊表,網絡系統的密碼設置簡單等都可能使得整個網絡安全系統面臨風險。根據調查,在已發生的網絡安全攻擊事件中,多數是來自內部網絡的侵犯,如關鍵、敏感數據的誤用、濫用;IP地址的隨意設置;網絡的網絡結構被內部人員泄露等。
當前部分企業的網絡安全管理制度還是不健全的,網絡安全建設缺乏可操作性,缺乏網絡安全防護和維護技術,管理制度不健全、責任和權力的不明確都有可能導致網絡的不安全。相當一部分企業在出現網絡攻擊行為時,還不能做到提前預警、提供攻擊行為的線索及破案依據;對于內部人員的違規操作,也不能進行實時的監控、報告和預警。
3 當前網絡存在的主要安全威脅因素
(1)內部網絡的威脅因素。很大一部分網絡安全造成威脅的事件是由于企業內部的原因造成的,根據統計,企業內部的威脅因素占到了所有網絡安全威脅事件的絕大部分,而極少數的網絡安全威脅事件才是由企業外部造成的。在由企業內部原因造成的網絡安全事件中,主要是由于不健全的企業內部管理制度、淡薄的安全意識等自身問題;企業內部員工沒有經過授權而進行訪問所導致的安全威脅以及設備老化、人員操作失誤等原因導致的。以上可以知道,一方面企業內部的威脅因素對于企業的網絡安全威脅最大,企業的內部攻擊也是比較難以防范和預測的,因而非常有必要對企業內部采取必要的安全措施;再者激烈的商業競爭有可能造成越來越多的惡意攻擊事件,然而個別的員工缺乏安全意識,為了謀取個人利益出售企業的商業秘密給競爭對手或者無意的將企業的商業機密泄露,最終帶給企業重大的經濟損失。另一方面,企業由于受自身發展水平的限制,對于網絡安全的結構設計,日常管理維護的資金和人才投入存在很大的差別的,現代的計算機網絡技術日新月異,企業需要緊跟時代的步伐,網絡安全的保障同樣如此,需要大的資金和人員投入,特別是一些大型企業以及政府事業單位。
(2)外部網絡的威脅因素。單位外部的威脅因素主要包括以下幾個方面的因素:
1)病毒威脅,在現代的社會,病毒有可能出現在所有存在計算機的地方,目前計算機病毒是影響網絡安全的最主要的敵人,它隨著計算機網絡技術的發展而發展,現在的計算機病毒更具隱蔽性、傳染寄生能力強、破壞性更大,病毒的傳播方式是在計算機的程序中插入一組能夠自我復制的計算機指令或程序代碼用以破壞計算機功能,篡改或毀滅數據,妨礙計算機軟件、硬件的正常穩定運行。病毒的破壞性程度不同,嚴重的有可能破壞個人的計算機甚至影響整個單位網絡的安全。
2)黑客威脅。黑客也是計算機網絡技術發展的產物,黑客的存在使得單位不得不提高網絡安全意識,因為他們的破壞力是相當驚人的,我們常常可以看到報道:黑客利用單位網絡的安全漏洞,非法闖入單位網絡,未經授權訪問單位內部網絡、數據資源,刪除、復制甚至毀壞數據,甚至攻擊政府網站,篡改網頁等非法活動。
3)攔截、竊聽單位網絡數據。這主要是通過利用單位的數據傳輸漏洞直接或間接的截獲網絡上的特定數據包并進行分析獲取所需要的信息。
其他的威脅單位網絡安全的方式還有破壞網絡設備、黑客通過利用在網絡上所控制的計算機向單位發送大量的垃圾郵件、通過偽裝IP地址欺騙單位獲得信任、惡意破解密碼、篡改數據等。
4 應對網絡安全威脅因素的對策
(1)建設全面的穩固的企業網絡病毒防火墻以及網絡安全防護體系。企事業單位網絡的出入口的接入處,要有防火墻的保護,來自外部網絡的所有訪問請求都應該經過防火墻的檢查,這樣做的效果是防止計算機病毒的傳播,尤其是應對來自于網絡的病毒,最大可能的減少因病毒所導致的單位網絡阻塞、中斷等故障的發生。能夠有效的隔離內部與外部網絡的信息,消除外網的安全威脅。
(2)健全企業的網絡安全管理制度,首先網絡安全的管理工作應當具體到人和部門,網絡安全管理是單位安全有效運行的重要組成部分。網絡安全管理工作應當有相應的規范和配套的制度保證執行,推行主管責任制,監督、引導負責人員能夠正確的執行規范,提高網絡安全的管理水平。其次,加強對員工的網絡安全意識和技能方面的培訓,提高單位內部人員的網絡安全意識和素質,特別是加強對專業網絡安全管理人員的培訓,制定合理的人才發展規劃,讓網絡安全管理人員以及單位內部人員的網絡安全意識能有穩步提高,能夠主動的發現問題并解決問題,進一步提高員工對單位網絡系統的操作能力
(3)健全企業的網絡安全預警機制,主要包括入侵單位網絡預警機制和病毒感染預警機制兩部分。單位網絡安全入侵預警機制能夠通過安全掃描互聯網和系統對經過網絡傳送的數據的安全性進行分析檢測,對于確定的危險性的入侵信息進行警告并能夠檢測出入侵風險源的IP地址,時間,入侵的目標的IP地址、端口。病毒感染預警機制,通過掃描和檢測所有訪問數據,分析檢測發現的風險,生成病毒警報,并迅速定位入侵的IP地址、端口和病毒發生源,對病毒活動的日志進行記錄。
參考文獻:
[1]辛鋼.當前企業網絡安全問題和策略研究[J].中國傳媒科技,2011,12.
安全體系模型
針對目前計算機網絡中所存在的嚴重安全問題,各種網絡安全應用起到了一定的作用。但對于計算機網絡安全問題需要綜合考慮網絡中所存在的各種安全隱患,建立整體的安全架構,使計算機網絡的安全防護成為一個安全體系,具備自防御的功能。根據目前網絡的特點,安全體系的設計應突出防范重點、保護重點、策略分布重點。網絡安全的建立需要對整體網絡進行統一的規劃。在各個重點中,以策略為中心的安全模型可以更充分地發揮模型的各項功能。以安全策略為中心的輪形安全模型,可以從安全、監測、測試、調優四個部分對安全架構進行不斷的完善,使其成為一個自防御體系,能夠快速、有效、可靠、全面地發現各種系統遭受的攻擊,并實現有效的防范,以確保系統的穩定運行。針對這種模型,具體應用到實際的網絡環境中,安全體系架構包含四個模塊,分別為企業互聯網接入模塊、企業園區網模塊、企業網互聯模塊、企業廣域網模塊。這種結構化的設計,有利于在不同的網絡功能模塊之間更好地劃分安全防范的重點,并具有良好的擴展性,允許在今后的網絡安全規劃中,以一種層次的關系來分發安全策略。
企業應用
根據企業安全的基本模型,對某企業的網絡實施以防火墻、入侵監測設備、漏洞掃描設備為安全模塊設備,安全策略為核心的企業安全體系的架構。整個架構共包含以下三個部分。
1.企業Internet接入模塊
企業Internet接入模塊主要是預防Internet攻擊的第一道門戶,是防范Internet上黑客攻擊的最主要屏障。因此,它的設計思想是以最少的策略實現最嚴格的限制與最少的漏洞,同時保證最快的轉發速度。
2.企業園區網模塊
企業園區網是企業內部網的核心,保護著包括內網用戶、重要服務器的安全。企業園區網由一臺防火墻、兩臺互為冗余的主干交換機、企業內部應用服務器與樓層交換機、IDS模塊組成。在防火墻上根據用戶、服務進行詳細的分類,并針對每一個服務訪問做到具體的策略應用,園區網上防火墻作為安全防護的中心,其安全配置要求對每個訪問做到具體、全面、嚴格的限制,為每個用戶都劃分訪問的具體范圍。
3.企業間互聯模塊
隨著各單位間的合作越來越緊密,信息化建設也是圍繞著生產發展的需要而進行不斷的調整與適應的。因各個單位都有自己的Internet出口,為了保證互聯后的網絡安全,在進行設計時需要在各自的接入端安裝僅對外開放需要使用端口的防火墻設備。
計算機網絡起源于二十世紀六十年代,最早是由美國國防部高級研究計劃署(ARPA)進行的。ARPA投資推進計算機網絡的研究研發,1969年建成了著名的Internet的前身ARPANET,后來隨著計算機技術的不斷發展,形成了以ARPANET為主干的Internet雛形,直至今日互聯網的誕生。在當今的網絡環境下,物理安全、網絡結構安全、系統安全、管理安全等都會對網絡安全造成影響。因此,為了維護網絡環境的安全,網絡安全技術是必不可少的。隨著國家網絡信息化的不斷建設與發展,各個企業都根據自己公司的需要,建成了符合公司要求的企業網,使企業員工可以很方便的訪問企業的通信資源、處理器資源、存貯器資源、信息資源等。但是建立企業網就不得不面對復雜惡劣的網絡環境,因為網絡安全技術的不成熟,使不少企業的網絡信息資源丟失或被篡改,給企業帶來了不小的損失。因此,影響網絡安全的因素成了企業建立企業網不得不解決的重大難題,網絡安全技術也被越來越多的企業重視[1]。
2影響網絡安全的因素
2.1網絡協議自身的安全缺陷。Intrenet是一個自身網絡協議開放的信息共享系統,網絡協議是信息共享的關鍵環節,當前常用的網絡協議是TCP/IP協議、IPX/SPX協議、NerBEUI協議等。正是因為這些網絡協議,網絡信息共享才會實現,但是網絡協議是存在著安全缺陷的,TCP/IP協議是目前使用最為廣泛的網絡協議,它的安全性,關系著整個Internet的安全。由于TCP/IP協議在設計時未考慮到自身的安全性問題,所以很容易受到“駭客”的攻擊,其安全性是沒有保障的[2]。
2.2軟硬件的安全缺陷。網絡硬件設施是構成互聯網不可或缺的一大組成部分,但是其自身的安全性十分脆弱,主要表現為:a.網絡與計算機存在電磁信息泄漏;b.通訊部分的脆弱性,通訊線路一般是電話線、專線、微波、光纜。在進行信息數據進行傳輸時,前三種線路上的信息容易被截取。c.計算機操作系統的缺陷。此外,軟件的缺陷也是影響網絡安全的重要因素,軟件的缺陷是軟件具有的先天特征,無論是小程序還是大型的軟件系統,都有這樣那樣的缺陷,目前大多數網絡病毒就是以軟件的形式在互聯網中傳播,其影響不容小覷。
3國內企業網絡安全的現狀
隨著通訊工程和電子信息技術的快速發展,互聯網已經成為當今社會不可或缺的一個組成部分,已經滲透到了經濟、生活等各個領域之中。為了更好的分享、利用網絡信息資源,各大企業都積極的組建和發展自己的企業網。伴隨著網絡的發展,各種各樣的網絡安全問題相繼而生,網絡安全隱患日益突出,引起了社會各界的廣泛關注。然而,企業之間的網絡硬件設施卻是參差不齊的,經濟實力的強弱直接決定著企業網絡建設和硬件水平的高低。目前,企業網絡中的具有安全防護特性的硬件設備主要有:防火墻、入侵檢測系統、安全路由器和交換機。一些企業的網絡建設經費可能會有些不足,對網絡安全的要求只能滿足其最基本的使用要求,對于企業網絡硬件基礎平臺的安全性來說,這種投入明顯是不夠的。此外,企業之間的技術管理水平也存明顯的高低差距,企業的經濟水平直接決定了該企業在網絡技術能力上的強弱,具有一定經驗的網絡從業者都集中在大型的企業或組織機構。中小型企業或組織機構中嚴重缺乏專業的技術人員。由于缺乏相應的網絡安全管理制度,企業員工的網絡應用水平普遍偏低,缺乏網絡安全意識。對此,企業應加強員工的網絡安全意識,完善網絡安全管理制度,如此才能確保網絡環境的安全[3]。
4網絡安全技術在企業網的應用措施
4.1物理環境的安全應用措施。物理環境安全包括設備的軟硬件安全,通訊線路安全,運行環境安全等等方面。通訊線路的安全的可以防止信息數據在傳輸的線路上被攔截或篡改,為了使信息數據傳輸更加的安全,可以選擇安全性更高的光纖作為傳輸介質,防止數據被攔截或篡改。此外,對于網絡的依賴性比較大的企業,一旦停電或者斷電,就會對企業會造成不必要的損失,為了預防這種情況發生,企業應該安裝不間斷電源(UPS),避免這種情況發生。同時,網絡中斷也會對企業造成比較大的損失,為了確保通訊線路的暢通,企業做好冗余備份是必要的選擇,冗余備份就是多準備一份或者幾份,以備不時之需。如此一來,當一條通訊線路出了問題或者故障,導致網絡中斷時,會自動選擇冗余備份的線路,以確保網絡連接不被中斷,避免不必要的損失。
4.2操作系統的安全應用措施。操作系統的安全性直接影響到網絡的安全,由于種種原因,計算機的操作系統存在著比較多的系統漏洞(BUG)。目前大多數網絡攻擊就是利用BUG進行惡意攻擊。為了預防這種情況發生,用戶需要定期對計算機進行系統檢查與修復,可以到微軟官網上下載適合系統的補丁進行修復[4]。
4.3網絡配置的安全應用措施。網絡配置的安全應用對于企業網的安全是至關重要的,為了有效地預防網絡攻擊及病毒入侵,需要合理安裝和設置防火墻、補丁系統、網絡殺毒軟件等等。此外,還要對賬號密碼進行有效的保護;關閉不需要的服務和端口;定期對服務器進行備份;檢測系統日志。
4.4網絡的安全應用措施。為了更容易的獲取信息資源,大多數的企業網都與外網進行了連接,這樣做在方便了自己的同時,也很可能產生一些安全隱患。比如通過聊天工具傳播一些惡意軟件或網絡詐騙信息等。這樣的安全隱患也可能是企業員工在瀏覽網頁的過程中不經意的觸發了一些不安全鏈接,進而帶入了一些惡意軟件,使企業網的數據資源失竊或被篡改。為了有效防止這種情況的發生,企業網絡用戶在上網時,要時刻保持警惕,不要輕易的相信來自網絡中的任何信息,對任何一個要進入網絡的人,都要進行必要的身份認證。面對有些需要在網絡上進行共享的信息時,企業網絡用戶要采取一定的措施來保證信息的安全,避免信息的泄漏。此外,企業網絡用戶還要堅決抵制惡意網站,拒絕惡意請求,確保網絡的安全應用。
5結束語
關鍵詞 內部網絡;安全防范;企業
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0207-02
1 企業內部網絡的安全現狀
傳統的企業網絡安全防范主要都是對網絡病毒、系統漏洞、入侵檢測等方面加以設置,安全措施和相關配置通常都在網絡與外部進行連接的端口處加以實施,采取這樣的網絡安全防范雖然能夠降低外部網絡帶來的安全威脅,但卻忽視了企業內部網絡潛在的安全問題。
目前,企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅,企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是,由于企業管理人員的網絡安全防范意識不強,對于企業內部網絡的安全問題不夠重視,甚至沒有對企業內部網絡采取任何安全防范措施,因此導致了企業內部網絡安全事故不斷增加,給企業帶來了重大經濟損失和社會負面影響,怎樣能夠保證企業內部網絡不受到任何威脅和侵害,已經成為了企業在信息化發展建設過程中亟待解決的問題。
2 企業內部網絡的安全威脅
隨著計算機技術和網絡技術的飛速發展,企業內部網絡是其信息化建設過程中必不可少的一部分。而且,網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。
2.1內部網絡脆弱
企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的,而且,由于部分網絡管理人員對于企業內部網絡安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統漏洞問題,隨著內部網絡中應用程序數量的日益增加,也給計算機終端帶來了更多的系統漏洞問題。
2.2用戶權限不同
企業內部網絡的每個用戶都擁有不同的使用權限,因此,對用戶權限的統一控制和管理非常難以實現,不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位,更容易給網絡黑客留下可乘之機。
2.3信息分散
由于部分企業內部網絡的數據存儲分布在不同的計算機終端中,沒有將這些信息統一存儲到服務器中,又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公,對于數據往往不加密就在內部網絡中隨意傳輸,這就給竊取信息的人員制造了大量的攻擊機會。
3 企業內部網絡安全防范設計方案
3.1網絡安全防范總體設計
即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段,也很難保證企業內部網絡之間數據通信的絕對安全。因此,在本文設計的企業內部網絡安全防范方案中,部署了硬件加密機的應用,能夠保證對企業內部網絡中的所有數據通信進行加密處理,從而加強企業內部網絡的安全保護。
3.2網絡安全體系模型構建
企業內部網絡安全體系屬于水平與垂直分層實現的,水平層面上包括了安全管理、安全技術、安全策略和安全產品,它們之間是通過支配和被支配的模式實現使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性,必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構建成一個安全可靠、實時可控的企業內部網絡。
1)用戶身份認證
用戶身份認證是保證企業內部網絡安全穩定運行的基礎,企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等,而且,由于網絡客戶端用戶數量龐大,存在著更多的不安全、不確定性,因此,對于網絡客戶端用戶的身份認證至關重要。
2)用戶授權管理
用戶授權管理是以用戶身份認證作為基礎的,主要是對用戶使用企業內部網絡的數據資源時進行授權,每個用戶都對應著不用的權限,權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用,包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。
3)數據信息保密
數據信息保密作為企業內部網絡中信息安全的核心部分,需要對企業內部網絡中進行數據通信的所有數據進行安全管理,保證數據通信能夠在企業內部網絡中處于一個安全環境下進行,從而保證對企業內部網絡信息和知識產權信息的有效保護。
4)實時監控審計
實時監控審計作為企業內部網絡中必不可少的部分,主要實現的是對企業內部網絡的安全的實時監控,定期生成企業內部網絡安全評估報告,一旦企業內部網絡出現安全問題時,能夠及時匯總數據,為安全事故的分析判斷提供有效依據。
4結論
目前,關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題,越來越多的企業將辦公系統應用于企業內部網絡中,但是由于企業工作人員的安全防范意識不強,或者網絡操作不規范,都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案,能夠有效解決多種內部網絡的安全問題,具有一定的實踐應用價值。
參考文獻
【關鍵詞】電力企業;網絡安全;防火墻;信息化管理
1.引言
電力企業網絡安全中的防火墻設置為企業內部網絡環境構建了天然的保護屏障,合理控制企業內的信息流,保障了電力企業信息化管理的安全與穩定,是當前局勢下促進電力企業網絡優化運行的必然舉措。作為電力企業管理信息化體系的重要組成部分,網絡管理制度的建設是對電力企業內部信息管理系統的有效整合,而防火墻的設置將網絡信息化管理體系從自由開放的無邊界網絡環境中隔離開來,這對有效控制電力企業內部網絡信息安全有著重要的現實意義。
2.電力企業內部網絡安全的基本內容
2.1 信息安全
作為國家信息安全保障的組成部分之一,電力系統網絡信息安全至關重要。采用防火墻隔離技術來對外網用戶進行限制,通過身份識別的方式來保障電力企業信息安全問題,這些都是現階段對電力企業網絡信息化管理的有效改善措施。從信息安全角度出發,電力企業推動網絡信息安全的途徑主要表現為四個方面,即LAN隔離訪問控制、WAN與LAN間的隔離控制、監控局域網安全訪問行為以及針對MIS系統的安全管理與控制。
2.2 運行安全
電力企業網絡信息安全依賴于控制管理系統的有效落實,通過對內外網絡的即時監控來保障企業管理中的系統運行安全。運用防火墻隔離技術來實現對管理信息與自動化信息調度之間的分離,這時網絡運行僅僅可以通過必要的數據單向傳輸來完成,而任何計算機是不能通過自動化操作來對系統信息進行獲取或是修改,這對發揮網絡控制裝置的監督管理職能極為有利。
2.3 對外部黑客和病毒入侵的防范
除了系統本身的信息安全和運行安全之外,電力企業網絡安全的內容還包括了對網絡黑客及網絡病毒的有效防范,這是由于病毒破壞或是黑客攻擊極有可能對電力企業系統實時監控產生嚴重破壞,甚至還會引發更大規模的網絡安全事故。利用網絡安全漏洞黑客能夠對企業網絡信息肆意竊取,甚至動用非法手段來破壞企業內部的網絡系統,通過網絡竊聽的方式來獲取管理員密碼,對網絡設備進行攻擊,這極易造成電力企業整個網絡系統的癱瘓。
3.電力企業網絡安全與內部網絡防火墻技術的結合
3.1 防火墻的基本類型
3.1.1 包過濾路由器
包過濾路由器是企業內部網絡中最為常見的一種防火墻類型,這一類型防火墻除了具備數據包轉發的路由功能之外,還能夠對數據包的內容進行過濾。包過濾路由器使用過程中,內網用戶可以直接獲取企業網絡信息,而外網主機在對內網主機進行訪問時卻是存在訪問局限的,其總體外部姿態表現為拒絕一切沒有特別授權的數據包。
3.1.2 屏蔽主機防火墻
屏蔽主機防火墻由堡壘主機與包過濾路由器組合而成,這一防火墻的系統安全顯然要優于包過濾防火墻系統,這是由于除了基本的信息安全保障功能之外,屏蔽主機防火墻自身的安全等級以及對于應用層安全管理的優越性也更加突出。外部入侵在進行網絡破壞的過程中除了需要攻破網絡層以外,還需要對應用層進行破壞,這樣兩種安全系統的同時存在顯然極大地增強了網絡信息的安全性。一般屏蔽主機防火墻的堡壘主機都位于內網之上,至于包過濾路由器裝置則位于內外網之間,在對包過濾路由器進行設置之后外網訪問只能局限于堡壘主機之上,而隔離了其余主機的信息,這就實現了對企業內部網絡系統安全的實時監控。
3.1.3 DMZ或屏蔽子網防火墻
DMZ或屏蔽子網防火墻的主要構件部件為一個堡壘主機與兩個包過濾路由器,從部件組成方面也不難看出這一防火墻類型的安全性能是最高的。這是由于這一防火墻類型在對DMZ網絡進行定義的同時也體現出必要的應用層與網絡層安全管理內容,在DMZ網絡中放置了信息服務器、堡壘主機、Modem組及其余的公用服務器裝置,這就使得內外網的信息控制更加完整。DMZ網絡一班置于內部網絡與Internet之間,對DMZ網絡進行配置便可實現對外網操作的禁止與隔離。
3.2 電力企業網絡安全背景下內網防火墻的選擇
3.2.1 電力企業內網防火墻應當具備的性能
第一,電力企業內網防火墻選擇除了基本的安全識別功能之外,還應當在信息加密處理、包過濾技術以及信息可信性甄別方面有所涉及。此外,針對電力企業防火墻的選擇還應當擁有對用戶身份的識別功能,對企業網絡信息進行完整校驗,并對網絡控制進行必要的授權管理。
第二,在語言過濾方面防火墻的性能應當是靈活有效的,其過濾屬性除了基本的協議類型與IP地址之外,還應就TCP/UDP端口表現出一定的過濾功能。
第三,從安全管理策略角度出發,內網防火墻的選擇還應考慮到對服務機構的容納性能,并及時更改自身的安全管理對策。此外,SMTP訪問能力也是防火墻應當具備的功能,這對優化本地系統的安全管理性能極為有利。
第四,一旦防火墻使用涉及到Unix操作系統的內容,那么這時防火墻自身的安全問題就構成了防火墻安全防護功能的重要組成部分,這時的防火墻既要保證系統信息及運行安全,同時還應及時對自身的系統安全進行更新操作,避免系統故障等問題的產生。
3.2.2 安全政策的落實
在進行電力企業防火墻選購之前,還應建立必要的安全管理計劃,從安全管理政策落實方面突出防火墻使用中的針對性。此外,防火墻的網絡系統位置選擇也是需要考慮的重要方面,這對于提高內網防火墻的風險水平抵御能力極為有利。
3.2.3 防火墻的特性比較
電力企業面對不同類型的防火墻,還需要對其基本性能進行比較才能更好地選擇適合自身的防火墻類型。除了必要的安全管理性能與實用性之外,還應當就內部網絡防火墻的經濟性進行綜合考慮,進而突出防火墻不同性能之間的相互補充。
3.3 關于電力企業內網防火墻的設置
電力企業網絡安全與內部網絡防火墻技術的結合是保障企業信息化管理安全的重要途徑,因此企業在對防火墻進行設置時可將子系統隔離在防火墻的控制范圍之內,類似企業內部的營銷管理系統、運行控制系統或是信息管理系統等重要內容都應當形成各自部門內的單位內防火墻,這樣的分段處理方式極大提升了防火墻對于網絡安全的保障功能。這一防火墻功能體現依賴于企業內部管理規則的優化設定,因此在系統維護方面也應做到實時監控,切實解決電力企業網絡安全防護問題。對于電力企業而言,網絡安全環境的構建除了防火墻設置以外,還應對其系統架構進行合理規劃,落實防火墻安全政策,從根本上促進電力企業內部網絡信息環境的改善。
4.結束語
從當前電力企業網絡信息化管理過程中存在的問題分析,電力企業的網絡安全與網絡本身的開放性特征有著必然關聯,造成電力企業網絡安全的因素來源于各個方面,這對電力企業內部網絡信息安全及運行安全顯然極為不利。電力企業網絡安全與內網防火墻技術的結合可能會受到技術背景及安全管理策略等諸多方面的影響,因此電力企業在構建網絡安全及防火墻設置問題上從來沒有統一的路徑,只有切實從網絡機構安全的實際問題出發,才能更好地提升企業網絡信息安全與運行安全,促進電力企業網絡信息化管理的有序開展。需要注意的是,由于電力企業網絡系統的動態化特征,因此防火墻的設置并不能從根本上解決其網絡安全問題,類似系統錯誤配置、系統動態管理等環節也是當前電力企業內部網絡安全體系構建中不容忽視的重要部分。
參考文獻
[關鍵詞] 計算機網絡; 網絡安全; 煤礦生產; 數據保護
一 計算機網絡安全的相關概念
在計算技術的廣泛使用過程中,安全的問題就是一個衍生的重要問題。了解計算機安全就要從計算機網絡安全的構造中說起。網絡安全的概念主要是指在使用計算機中,程序系統對于硬件設備和軟件數據方面的資料的保護,在資料的使用中可以通過程序的編寫來形成整體的保護方案,當計算機網絡在受到外來網絡的侵襲時,計算機安全系統可以就外來的攻擊和資料泄露等不安全問題進行回應,以此來保證計算機系統正常運行。或者在計算機系統受到安全危害以后,安全系統會根據自身的計算特點來對網絡程序進行快速的修復,不斷的完善計算機安全系統的程序化。這項技術在煤礦的生產過程中也得到了很多的使用,提升網絡模式下的煤礦安全生產體系就是計算機網絡技術最為主要的貢獻。
在煤礦生產中,計算機安全系統的使用方式主要有以下幾種:
1.網絡安全性具有一定的保密性,可以將煤礦生產過程中形成和需要保存的一些重要資料在計算機網絡中得以保存,并在保存的系統中進行加密,起到核心機密的安全保護的特征。可以想象,在煤礦企業的核心技術得不到合理的保護,就會使得機密材料外泄,自身的核心競爭力下降,在長遠來看,企業的發展就會受到很大的影響;
2.計算機網絡安全可以保證煤礦生產數據的完整性,在生產的過程中,大量的數據資料需要進行處理和修改,在這個過程中,單一的靠人去操作,經常會出現一些錯誤,在一些關鍵部位出現錯誤將會給生產帶來極大的不便,而網絡安全技術就可以很好的解決這個問題,通過在計算機網絡的流程中,來形成具體的安全管理模式,直接通過傳感器收集的數據來進行工作的指導任務;
3.安全系統還能夠防止外界的侵擾。在上面談到的傳感器數據資料的使用,如果沒有合理完善的網絡安全體系,數據資料就可以被隨意的篡改,竊取,這樣對于煤礦的生產會帶來更大的損失。
二 煤礦企業在網絡安全中使用情況
煤礦企業在使用安全網絡管理中是將計算機系統直接與外部的網絡相互連接在一起,這就會對于安全的問題格外的關注。網絡是高度開放的平臺,避免受到外界的沖擊就需要提高自身的安全性能。現有的大量的黑客和網絡病毒,在這樣的環境中就需要對核心和重要數據進行保護,以防止重要數據的泄露,這就要有一整套健全的網絡安全管理機制。
1.對于計算機硬件設備的管理。通過提高硬件設備的管理方式,從管理的層面來對計算機進行保護。如在一些重要的網絡數據的傳輸過程中,制定交換設備,對于在服務器和路由器的選擇上有固定安全的設備,并且在制定設備的基礎上還要在網絡的形態下增加防火墻管理。此外,對于蓄電設備的使用要尤為的注意,根據近年來網絡安全的數據泄露事件來看,在傳輸的過程中停電會對網絡的安全造成極大的隱患,必須在網絡傳輸中有備用電源裝置以備在停電的情況下數據資料還能夠受到防火墻系統的保護。
2.在企業內部,對于重要資料的瀏覽要設置訪問的權限。網絡系統會受到外部的攻擊,同時也會在內部造成很大的安全隱患。在對于賬號的傳輸管理中建立權限設置可以有效的保護數據資料在使用中的安全,比如在使用數據中需要有專門的數據指令或是加密密碼,系統也會在程序編輯中自動的更新文件的設置選項,形成動態保密的網絡機制。提高訪問的權限,在內網中可以使用安全數據庫當中的資料,在外網環境下就無法進入到核心數據庫調取資料。
3.增設更多的網絡加密程序。在現有的煤礦企業中,使用了無線網絡進行網絡管理,這樣就會更容易受到外界的攻擊,傳輸的數據會在無線網絡的狀態下擾和截獲。因此在數據傳輸中要設置有加密模式,這樣在無線傳遞的過程中想要破解數據資料就會有很大的難度,有效的保證了無線網絡環境中,煤礦企業數據傳輸的安全性。
4.無論是在外部網絡中還是內部網絡中,防火墻對于整個網絡體系的安全防護作用都是至關重要的,是互聯網與垃圾信息、病毒文件之間的有效屏障,其主要是保護特定的網絡或者特定的網絡中計算機終端免遭非法越權入侵以及內部網中的用戶與外部進行非法通信。防火墻技術已經經過了多代的發展,技術在不斷完善,但是其工作原理可以歸納為:將防護節點安置于內外部網絡的鏈接端口,在這些斷口處設定相關安全規則,一旦發生數據傳輸或者訪問,這些數據就必須經過端口安全規則的檢測認證,檢測區是否對網絡存在安全威脅,如果經檢測有害,那么會立即阻斷數據傳輸,起到了保護計算機網絡的目的。
[關鍵詞] 信息安全風險評估 網絡互連設備 脆弱性分析
一、引言
隨著網絡的普及,網絡應用不斷向深度和廣度發展,大量企業網絡建成。由于人類對網絡的依賴日益增強,所以網絡是否安全性已成為企業計算機網絡所面臨的重大問題。網絡安全包括硬件安全和其上的軟件的安全。網絡硬件主要包括互連設備,比如:交換機、路由器、網關等。現在針對硬件設備主要是進行一些安全方面的配置,例如交換機的VLAN,路由器的ACL配置等等,卻忽視了設備本身在工作中存在的脆弱性。本文依據信息安全風險評估步驟的脆弱性和威脅性,通過分析幾種比較常用網絡互連設備的工作原理發掘其脆弱性。
二、交換機脆弱性分析
交換機在OSL數據鏈路層MAC子層工作,它可以連接到單獨的結點或整個網段的單個網段的單個端口,在它們之間交換數據。并且為每個端口到端口之間提供全部的局域網介質帶寬。
1.從設備自身來看
交換機在系統安裝,啟動和災難恢復時,是處于不安全狀態,有一定的脆弱性。其次它同樣也存在物理威脅,一些外在因素的影響可能破壞交換機。
2.從其工作原理來看
交換機接收到一個幀以后,檢查MAC幀的目的地址,并和自身內部的交換表進行比較,首先要保證交換表的正確性,否則會導致數據傳輸錯誤。如果找到和目的網段相連的端口,然后將該幀發往端口。如果找不到所對應的端口,交換機會向所有的端口發送該幀,并且通過回應幀,建立和端口號相關的MAC地址表,在下次傳送數據時就可以查表,不再需要對所有端口進行廣播了。這種對不知道目的地址的數據幀采用向所有端口發送數據包的做法,容易出現“溢流”現象。
交換機允許廣播幀溢流到整個網絡,同樣會引起其他不法主機的“竊聽”,可以采用VLAN。采用不同的交換方式的交換機可能會存在一定的脆弱性,例如直通式交換機,就無法區分數據流量是善意的還是惡意的,它只是實現快速轉發。存儲轉發式交換機可以解決數據安全性問題,但又可能存在數據包丟失的問題。另外,交換機在轉發數據幀時,存在輸入端口和輸出端口在速度上能否匹配的問題,如果緩沖數量少而沖突數據量大的話,數據幀就會丟失。
3.從外在因素來看
入侵者利用交換機軟件或協議的脆弱性進行攻擊,比如IP欺騙,TCP連接能被欺騙、截取、操縱,UDP易受IP源路由和拒絕服務的攻擊等等,同時也可能存在訪問權濫用或者后門等問題。
三、路由器脆弱性分析
由器工作在OSL模型的網絡層,它可以用來連接具有相同網絡通信結構的網絡,也可以連接不同結構的網絡。它為數據包提供最佳路徑,并且實現子網隔離和抑制廣播風暴。
1.從設備自身來看
路由器相當于網絡層的中繼器。路由器不能真正實現即插即用,需要很多配置。配置文件中一般包括路由器接口地址,登錄密碼,還有路由表的接口狀態,ARP表,日志信息。這些信息如果被攻擊者獲得,后果不堪設想。比如可以將路由器作為對其他站點掃描或偵察攻擊平臺,或者修改路由配置等。
2.從其工作原理來看
路由器是在網層上實現多個互連的設備。一個路由器有幾個端口,分別可以連接一個網絡或一個路由器。其主要任務是接收來自一個網絡接口數據包,根據其中所含的目的地址,決定轉發到下一個目的地址的端口。由于路由器是一個多端口的設備,因此閑置的并且工作正常的服務器端口很可能被黑客利用,對于不用的端口,應該妥善管理。路由器接收到的數據包以后,首先在轉發路由表中查找數據包對應的目的地址,同交換機一樣,我們也要求路由表的正確性。虛假的路由信息會使數據發送到錯誤的地方。若找到了目的地址,就在數據包的幀格式前添加下一個MAC地址,同時IP數據包頭的TTL(Time To Live)域也開始減數,并重新計算校驗和。當數據包被送到傳輸端口時,需要按順序等,以便被傳送一輸出鏈路上。如果數據包不是發往直接與路由器相連的網絡,該路由器則把這個包轉發給另一個離最終目標更近的路由器。
現在,路由器還不具備安全和加密的功能,僅僅只有路由的功能,所以對待各種各樣的攻擊是脆弱的。
3.從外在因素來看
由于路由器是在網絡層實現多個網絡互連的設備。因此如果得到路由器的訪問控制權的話,任何人都可以通過路由器來對其他的服務器發起拒絕服務攻擊,而路由器不會自動生成警報通知用戶正受到攻擊。并且路由器的訪問密碼極不安全,可以通過SNIFFER探測到,或在專屬公司網頁上可以查到。
四、網關脆弱性分析
網關又叫做協議轉換器,它用來連接專用網絡和公共網絡的路由器。網關是將不同協議集的協議進行翻譯、轉換,網關是最復雜的網絡互連設備,它用于連接網絡層之上執行不同高層協議的網絡,構成異構的互連網,通常工作在OSL模型的第4層和更高層。
1.從設備自身來看
網關是軟件和硬件結合的網絡互連設備,是最復雜的網絡互連設備,不同的網關用于不同的場合,其軟件和硬件自身也存在脆弱性。
2.從其工作原理來看
網關除了具有路由器的全部功能之外,還能為互連網絡的雙方提供高層協議轉換服務,即能夠連接兩個高層協議完全不同的網絡環境。當數據包從一個網絡環境通過網關進入另一個不同的網絡環境時,網關讀取信息后,剝去數據中原來的協議棧,然后用目標網絡的完整協議對數據重新包裝并輸出,以適應目標環境的要求[3]。但是用戶的特定數據通過網關或位于網關時是脆弱的,并且網關對惡意人員發起的操縱或修改也是脆弱的。
網關是局域網和廣域網連接的首選設備,其最常見的用途是在高層協議不相同的網絡之間充當“翻譯”,即提供協議轉換。協議轉換是實現網關的關鍵技術,也是國際互連網的技術難點。
3.從外在因素來看
網關都是針對特定的網絡互連環境設計的,不存在通用的網關。有時制造商會留下了可以獲得敏感信息的后門。
五、結束語
【關鍵詞】 通信企業 信息網絡 安全工作
在當今社會中,如何做好信息網絡安全工作是值得進行深入研究與探討的課題。如今的網絡發展速度不斷加快,信息相互融合的程度也在不斷加深,網絡給通信企業的工作帶來便利的同時,也存在著一些難以避免的問題。安全上的漏洞給通信企業的發展帶來了不利因素,需要及時解決,這樣才有保持通信企業良好發展的可能。
一、通信企業中信息網絡安全的現狀
在通信企業目前發展中,對信息網絡的安全性要求越來越高,由于通信企業對網絡的依賴程度日漸加深,保障信息網絡的安全性就顯得尤為重要。通信企業在內部通常建立了與自身發展相適應的信息網絡安全機制,并加大了對信息網絡安全的維護力度。在通信企業中,大多應用了相關維護安全性能的系統,如防火墻、日志分析系統、防病毒軟件等。根據自身發展要求投入了大量的資源,并進一步完善對信息網絡安全工作,這是符合發展要求的舉措。但在一定程度上,還無法完全避免通信企業受到信息網絡安全的影響,這就需要通信企業進一步作出相應維護措施。
二、做好通信企業信息網絡安全工作的方案
1、提高企業領導的重視程度。在通信企業中,加強信息網絡安全工作與企業領導的重視息息相關,企業領導對信息網絡安全工作重要性有了足夠的認識,就會相應地加大對這項工作的投入力度。這樣為做好信息網絡安全工作提供了有利的發展條件,使這一工作有了充足的資金保障,同時,企業領導的重視也會促進各部門工作相互協調,提高工作效率。加強信息網絡安全時,在無形中加大相關工作人員的工作強度,容易使工作人員產生抵觸排斥的心理,根據這一情況,企業領導更需加以重視,為企業整個工作的順利開展提供有利的保障。由此看來,只有在企業領導足夠重視的情況下,才能夠更好地為企業提供良好的發展平臺。為通信企業做好信息網絡安全工作打下堅實的基礎。2、加強學習交流。由于互聯網的普及,信息網絡安全層面的技術在日益完善,技術水平不斷提高,相應的技術知識日新月異。因此,加強學習交流,保障技術的先進性是做好網絡信息安全工作的前提。通過與其它企業進行技術上的交流互換,完善發展體制,不斷更新維護信息安全的技術,提出相應的解決措施,才能將通信企業的信息網絡安全工作做好。3、專業化網絡安全人員的配備。在網絡安全工作中,通信企業還存在著兼職人員擔任網絡安全員職位的現象。這對于維護通信企業的信息網絡安全是不利的,由于兼職人員在網絡維護的專業性上跟不上時展的需求,在許多專業問題上還不能很好地進行處理,因此造成了通信企業網絡安全工作存在問題的局面。針對這一實際問題,需要在維護網絡安全工作中,應用專業化的技術人才,以最大程度保障通信企業網絡安全。4、大力完善技術保護手段。一方面,技術保護手段的完善是推動通信企業網絡安全工作的關鍵因素。要做好通信企業信息系統之間的安全隔離措施,在應用系統所在的服務器中,只對外開放相應指定的服務端口。另一方面,需加強對網絡邊界的管理,具體舉措如在網絡邊界上設置防火墻等。防火墻可以有效地保障網絡邊界的安全,為防止病毒等不良因素的入侵做好預防工作。防火墻的配備同樣需合理化,要避免產生不良情況,如開通不必要的服務。同時,國產設備應廣泛應用于與網絡相連接的安全設備中。
三、通信企業信息網絡安全工作發展趨勢
1、網絡安全工作復雜化。網絡信息技術將會持續發展,這就促使網絡安全工作復雜化。威脅網絡安全的因素不斷更新,新病毒的出現、網絡黑客的攻擊技術提高等使維護網絡安全工作的難度不斷增加。同時隨著網絡應用的范圍越來越廣,所涉及到的相關工作日漸增多,也是網絡安全工作難度增加的一個重要因素。
2、網絡安全工作規范化。隨著網絡安全工作的逐步深入,網絡安全工作勢必將規范化。同時,在通信企業中,做好信息網絡安全工作是重要的工作之一,因此,網絡安全工作的規范化程度將日益加深。
結語:隨著通信企業對信息網絡安全工作的要求進一步提高,維護信息網絡安全的重要性日漸突出。網絡技術逐漸普及到社會的各行各業,對于自身網絡安全性的保障是日常工作中不可缺少的任務與目標。在通信企業中,做好信息網絡安全工作是必要的工作之一,這對于維護企業的利益、樹立良好的企業形象、維護社會的安全與穩定都有著重要的意義。
參 考 文 獻
[1]楊威,張敬和.淺談通信企業如何做好信息網絡安全工作[J].廈門科技,2001(03).
【 關鍵詞 】 企業網絡;安全管理;防護策略
1 引言
如今,經濟迅速發展帶動網絡技術的發展,企業網絡化管理被廣泛應用,給企業內部、企業與外界的聯系以及企業的管理帶來了便利,業務的靈活性被企業經營者廣泛關注,同時也發展了企業信息網絡。一系列諸如生產上網、辦公自動化、遠程辦公以及業務上網的新的業務模式得到了開發與發展。但是與此同時,網絡環境下的企業安全問題引發了管理者的擔心,能否創建安全穩固的企業網絡是企業管理者最為看重的問題,也逐漸變成一個企業能否正常運轉的前提。因此,運用切實可靠的網絡安全管理方法、提高網絡的安全防護能力已經企業一個重要研究的內容。
2 影響企業網絡安全的因素
網絡安全關系到許多方面,不但涉及到網絡信息系統自身的安全問題,而且囊括邏輯的和物理的技術策略等。WWW、TCP/IP、電子郵件數據庫、數據庫是當前企業網絡通用標準和技術,其廣域連接采用多種通信方式,大部分單位的系統被覆蓋。行業內部信息存在于企業網絡的傳輸、處理和存儲各個環節。這些信息資源的保護和管理以及確保企業網絡內部的各種信息在各個環節保持信息的完整、真實和防止非法截獲非常重要。
影響企業網絡安全的因素既有軟硬件的因素,也有人為的因素,既有來自網絡外部的,也來自網絡內部的,歸結起來主要有幾方面。
2.1 網絡硬件的安全隱患
網絡中的的拓撲結構還有硬件設備兩者均有對企業網絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業網絡中有各種各樣如應用軟件、操作系統的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業也由此蒙受巨大的損失,這樣的例子在現實生活中層出不窮。比如,一些不為人知的軟件研發者為了個人原因(升級或自便)而設置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計算機,篡改數據,后果不堪設想,損失更是不可估量;又如以方便快捷應用為目的的TCP/IP協議為網絡系統普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺,若是一些IT高手對此很了解,便可以輕松利用其缺陷攻擊網絡。
2.3 計算機病毒與惡意程序
網絡被普遍應用和告訴發展的時代,病毒傳播的主要途徑是網絡。一些企業的內部網絡很容易被蠕蟲、病毒侵入,其特點是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網絡安全領域,病毒問題一直難以從根本上解決,原因總結為兩點:其一,技術原因,殺毒軟件總是在病毒出現后給用戶或是企業造成巨大損失后更新,滯后性和被動性不言而喻;其二,用戶的安全防范意識不高,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件,給傳播病毒提供了機會,巨大的威脅了網絡安全。
2.4 網絡入侵
網絡人侵的意思是網絡攻擊者在非授權的情況下獲得非法的權限,并通過這些非法的權限對用戶進行非法的操作,獲得網絡資源或是文件訪問,入侵進入公司或是企業內部網絡,極大地危害計算機網絡,給社會帶來巨大財產或是信息損失。
2.5 人為因素
用戶安全意識淡薄,企業內局域網應用不規范。企業內網在實際運行中沒有限制,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業內網中,系統的安全應用收到影響;接入網絡沒有很好地限制,如沒有限制接入的人員、時間方面,隨意、隨時上網不但容易使系統容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統安全防范措施;管理措施不到位;復雜的用戶人群,很多不是本系統專業的工作者,約束和監管困難;衛星信號很容易就被泄密,在空中傳輸無限信號的過程中,無線信號很容易被黑客截獲并利用;在很多企業中,沒有制定規范的管理網絡和生產網絡的隔離措施,一旦管理網絡沾染病毒,生產網絡也很容易被傳染。
2.6 其它的安全因素
威脅網絡安全的因素還有很多,比如,傳輸過程中的數據很容易被電磁輻射物破壞;非授權的惡意刪除或攻擊數據、破壞系統;非法竊取復制或是盜用系統文件、資料、數據、信息,導致企業或是公司泄密等,其后果非常嚴重。
3 企業網絡的安全管理
企業網絡安全管理是保證網絡安全運行的基石,一些人為因素導致的網絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業應把建立健全企業網絡安全管理制度作為安全管理的重點,制定系統的安全管理方案,采取有效切實的管理政策。
企業的網絡管理主要從幾點努力。
3.1 健立健全企業規章制度
要保證網絡的相對安全,就務必制定詳細系統的安全制度,了解并認識網絡安全的重要性,一旦出現網絡安全事故,其相應處罰力度就必須嚴格按照處罰條例執行到位,絕不能姑息手軟。為了做到切實保證企業的機密不泄露,建立對應的詳細的安全保密制度勢在必行,管理者還要經常不斷檢查制度的實施情況。記錄出現違規的人員及情況、相應處罰情況、檢查的結果報告,做到今后有據可循,為以后出現類似情況提供管理依據。
3.2 樹立員工網絡安全意識
網絡安全工作要想做好,樹立企業工作人員的信息安全意識是首要任務,只有員工切身真正認識到信息安全對企業發展和前進的重要性,才能切實在實際工作中重視起來。企業要實常加強員工相應的信息安全的知識培訓,采用各種形式來增強員工的網絡安全意識,促使員工養成健康的使用計算機的習慣。
4 企業網絡安全防護措施
為了使企業網絡保持安全狀態,企業網絡的安全防護措施必須與其具體需求要相結合,整合各種安全方案,創立一個多層次、完整的企業網絡防護體系,在為企業網絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具,但安全風險是不可避免的也是必須承擔的;其二是要注意企業網絡的可訪問性以及安全性平衡的保持;其三是考慮安全問題是在系統管理的多個層次、多個方面都存在的。在企業網絡中,主要有幾種安全防護的措施。
4.1 防火墻技術
防火墻技術是當下一種被廣泛應用的也是最為流行的網絡安全技術,其核心主題是在外界網絡環境不安全的大前提下創建一個相對安全有保證的子網。防火墻能實時監測進出于企業網絡的通訊交流數據,允許安全合法的訪問的數據和計算機進入到企業網絡的內部,把非授權的非法的數據和計算機擋在網絡,企業內網及特殊站點應限制企業一般人員或是無關人員訪問,最大可能地阻止外部社會網絡中的黑客訪問鏈接企業內部的網絡,阻止或是制止他們復制、篡改、破壞重要的或是機密信息。所以,防火墻是一道屏障,是在被保護的企業內部網絡和社會外界網絡之間設置的,在網絡內部網絡合外部非授權的網絡之間,企業內部網不同的網絡安全環境之間,達到隔離和控制的目標,外部網絡的攻擊合截獲被有效控制。
4.2 數據加密技術
如果一些重要的機密的數據需要通過外部網絡傳送的,該數據的加密工作則需運用加密技術。防火墻技術以及數據加密技術兩者結合使用,增強網絡信息系統及內部數據的保密性和安全性,謹防外部破壞重要的機密數據。
4.3 入侵檢測技術
安裝入侵監測系統在企業內部網絡中,信息從企業內部計算機網絡中若干關鍵點中收集,并分析數據,從中檢查企業內部網絡中是否存在與安全策略相違背的行為或是入侵現象,如果檢測到可疑的未授權的IP地址,則來自此入侵地址的信息就會被自動切斷、同時給網絡管理員發送警告,企業內部動態的網絡安全保護就可以實現。
4.4 網絡蠕蟲、病毒防護技術
盡管無法避免來自蠕蟲、病毒對企業內部網絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒有危害。在企業內部網絡內,由于網絡節點不但存在于局域網中,又有接入到互聯網中的可能,一般的防護技術是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設計多層次阻止病毒體系。在企業安裝一般的常見的殺毒軟件時,通常要定時自動掃描系統,另外,用戶在收發郵件時一定要打開殺毒軟件的實時監控郵件病毒功能,實時地同步地對檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網絡版殺毒軟件,那么全部網絡環境中每一個節點的病毒檢測情況可以被企業網絡的安全管理員如實準確的掌握,當然越先進的防病毒產品或是技術效果也就越好。
4.5 系統平臺與漏洞的處理
網絡安全管理員可以運用安全漏洞掃描技術了解掌握網絡的安全設備和正在進行的應用進程,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞,盡快改正網絡安全系統存在漏洞和網絡系統存在的有誤差配置,防范措施應該在黑客攻擊之前提早進行。
5 結束語
企業網絡安全不是最終的目的,更恰當和準確地說只是一種保障。隨著企業自身的發展和規模的壯大,企業網絡的普及也是勢在必行,網絡安全管理變得也就越來越復雜,網絡的安全管理和防護是企業發展的一項重要和艱巨的任務。在執行維護網絡安全任務的同時,我們一定要注意把網絡安全防護技術、影響網絡安全的因素結合起來,制定有效的管理措施和技術方案,采取可行性高的防護措施,建立健全防護體系,增強企業內部員工的網絡安全意識,從源頭上解決網絡安全問題。
參考文獻
[1] 宋軍.淺談企業網絡安全防護策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國華,文開豐.企業信息安全防護策略的研究[J].電腦知識與技術,2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全,2012,(02):14-18.
[5] 黃俊強,方舟,王希忠.基于Snort-wireless的分布式入侵檢測系統研究與設計[J].信息網絡安全,2012,(02):23-26.
1.1物理層邊界限制模糊
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護。基于入侵檢測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
3.結語
