時間:2023-09-21 17:35:11
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全策略,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】企業網絡 信息安全 策略設計
隨著社會經濟的快速發展,計算機信息技術介入人們生活的方方面面。企業網絡的信息安全策略是涵蓋多方面的,既有管理安全,也有技術安全,既有物理安全策略,也有網絡安全策略。企業網絡應實現科學的安全管理模式,結合網絡設備功能的不同對整體網絡進行有效分區,可分為專網區、服務器區以及內網公共區,并部署入侵檢測系統與防火墻系統,對內部用戶威脅到網絡安全的行為進行阻斷。下面著重闡述企業信息系統的網絡層安全策略:
一、企業網絡設備安全策略分析
隨著網絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發現,而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備,如果這些設備退出服務,企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。
最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉,舉例來講:交換機的鄰居發現服務CDP,其功能是辨認一個網絡端口連接到哪一個另外的網絡端口,鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網絡交換機的型號與版本信息,本地虛擬局域網屬性等。因此,本文建議在不常使用此服務的情況下,應該關閉鄰居發現服務。另外,一些同樣不常使用的服務,包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。
企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知,此協議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼,以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中,應引入安全性能更高的協議,本文推薦SSH(Secure Shell Client)協議。這種協議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題,VTP應配置強口令。
二、企業信息系統網絡端口安全策略
由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡,而網絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為,為網絡帶來了不容忽視的安全威脅。
二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后,首選會清空CAM 表,并立即啟動數據幀源地址學習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構,便很容易導致網絡交換機CAM表溢出,服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發,為非法入侵者提供網絡竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網絡交換機的端口安全維護應隨時打開;在交換機配置中設置其學習MAC地址的最大數目為1;設置網絡交換機能夠存儲其學習到的全部MAC地址;一旦網絡交換機的安全保護被觸發,則丟棄全部MAC 地址的流量,發送告警信息。對網絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網絡交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網絡交換機安全性。
三、企業信息系統網絡BPDU防護策略
一般情況下,企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐,因為考慮到交換機通道的溝通,加之系統冷、熱備份的出發點,在企業網絡中是存在第二層環路的,這就容易引發多個幀副本的出現,甚至引起基于第二層的數據包廣播風暴,為了避免此種情況的發生,企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優先級低的BPDU數據包,攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效,就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為:在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數據包不進行任何處理,加入收到此種類型的數據包,該端口將會自動設置為“服務停止”。在此基礎上,在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包,則發出“失效”的消息,及時阻塞端口。
四、企業信息系統網絡Spoof防護策略
在企業內部網絡中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態主機設置協議服務器,同時向用戶主機發出假冒的動態IP配置數據包,導致用戶無法獲取真實IP,不能聯網。可以采用的防范措施為:引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活,系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態IP配置數據包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協議在安全方面的防范性不足,加入非法入侵者不斷地發出ARP數據包,便容易導致全部用戶終端的ARP表退出服務,除去靜態綁定IP與MAC之外,本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下,端口將無法發出ARP的響應,因此,黨用戶主機染毒時,其發出的假冒ARP數據包將由于與列表不匹配而被丟棄,系統安全得到了保障。
五、結束語
W絡安全是一項綜合的管理工程,意義重大。企業的網絡安全一旦出現問題,極有可能造成巨大損失,到那時即使再投入大量資金進行彌補也為時已晚。因此,企業應未雨綢繆,認清事實、正視事實、立足長遠,重視網絡安全問題,這樣才能保證企業網絡的安全,從而實現企業長足發展。
1 中小型企業網絡的安全目標
一般的中小型企業的局域網擁有十幾臺或者上百臺計算機。其中的Web、FTP、電子郵件、DNS等服務器應能被內外網絡的計算機所訪問,數據庫服務器一般只面向內部網絡,而所有的工作站都不能被外部網絡所訪問。局域網中的工作站有些可以訪問外部網絡,有些則不可以。局域網中的所有計算機都應能抵擋來自于外網的黑客或病毒的侵入。
2 中小型企業的網絡安全隱患
任何一個IP地址都會被攻擊。攻擊的形式多種多樣,主要有以下幾種:
2.1 網絡嗅探器
攻擊者通過嗅探器中途截走網絡上的數據流,對報文進行分析,破解出他們想要的信息,例如服務器的密碼或者電子郵件等。
2.2 IP欺騙
攻擊者制造一個假的IP地址,使接收者誤以為是局域網內的合法地址。
2.3 端口掃描
攻擊者通過在端口掃描,可以檢測出服務器上安全的脆弱方面。
2.4 密碼攻擊
通過多次的自動試探,獲取服務器的密碼。
2.5 拒絕服務攻擊
大量使用對方的網絡資源,使合法的用戶無法訪問網絡。
2.6 應用層的攻擊
應用層的攻擊有許多方式。系統中的許多服務軟件本身就含有安全方面的問題,然后這些被黑客利用發動攻擊。
3 制定安全策略的原則
網絡安全是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施。網絡安全的維護策略就是針對網絡的實際情況,在網絡管理中,對各種網絡安全采取的保護措施。網絡的環境不同,實施的策略也要依據具體情況來定。因此要根據網絡的具體應用環境制定出合理的安全策略。
3.1 系統性原則
網絡的安全管理擁有系統化的工作流程,必?考慮網絡的各個方面,比如網絡上用戶、設備等,并且采取相應的措施。不要錯過任何一個細節,一點點的錯失都會降低整個網絡的安全性。
3.2 簡單性原則
網絡用戶越多,網絡管理人員越多,網絡安全的管理工作就越復雜,采用的網絡軟件種類就越多,網絡提供的服務越多,出現安全隱患的可能性就越大,出現問題后解決問題的難度也越大。要有簡單的網絡,才會有安全的網絡。
3.3 適應性原則
隨著網絡技術的發展和迅速的變化,網絡用戶不斷增加,網絡規模不斷擴大,而安全措施是防范性的、持續的,所以制定的網絡安全維護策略必須適應網絡發展的變化,與網絡的實際應用環境相結合。
4 中小型企業網絡安全維護策略
4.1 網絡規劃時的安全策略
做網絡規劃時一定要考慮網絡的安全性,并且要實施一些安全策略。對于中小型企業網絡來說,網絡管理員是網絡安全責任人,所以明確網絡安全的責任人和安全策略的實施者。對中小型企業的局域網要集中管理網絡上的公用服務器和主交換設備。安全策略不可能保證網絡絕對安全和硬件不出故障。
4.2 網絡管理員的安全策略
對于中小型企業網絡,網絡管理員要承擔安全管理員的責任。網絡管理員采取的安全策略,最重要的是保證服務器的安全和分配好各類用戶的權限。網絡管理員必須了解整個網絡中的重要公共數據和機密數據有哪些,保存的地方,歸屬于誰,丟失或泄密會有什么后果,將這些重要數據集中在中心機房的服務器上,定期對各類用戶進行安全培訓。
設置服務器的BIOS,不允許從可移動的存儲設備啟動。通過BIOS設置軟驅無效,并設置BIOS口令。防止非法用戶利用控制臺獲取敏感數據,以及由軟驅感染病毒到服務器。取消服務器上不用的服務和協議種類。網務和協議越多安全性越差。系統文件和用戶數據文件分別存儲在不同的卷上,方便日常的安全管理和數據備份。管理員賬號僅用于網絡管理,不在任何客戶機上使用管理員賬號。對屬于Administrator組和份組的成員用戶要特別慎重。
鼓勵用戶將數據保存到服務器上。不建議用戶在本地硬盤上共享文件。限制可登錄到有敏感數據的服務器的用戶數。在出現問題時可以縮小懷疑范圍。一般不直接給用戶賦權,而通過用戶組分配用戶權限。新增用戶時分配一個口令,并控制用戶“首次登錄必須更改口令”,且最好新設置成的口令不低于6個字符,以杜絕安全漏洞。
4.3 網絡用戶的安全策略
網絡的安全不僅是網絡管理員的事,網絡上的每個用戶都有責任。網絡用戶應了解下列安全策略:
(1)將口令設置為8位數以上,不要將自己的口令告訴其他人。知道自己私有數據存儲的位置,了解如何備份和恢復。
(2)定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養成注意安全的工作習慣。
(3)為了不影響自己的機器安全,盡量不要在本地硬盤上共享文件。應將共享文件存放在服務器上,這樣比較安全也可以實現共享。
(4)設置客戶機的BIOS,不允許從軟驅啟動。
(5)設置有顯示的屏幕保護,并且加上口令保護。
(6)如果離開機器時間較長時,一定要退出網絡。
(7)安裝啟動時的病毒掃描軟件。
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶――企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險,開放的網絡給企業的信息安全帶來巨大的威脅:
一、病毒、蠕蟲入侵。目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、種類多、變化快等特點,病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅來自于內部網絡用戶的各種不規范行為:不安裝殺毒軟件、殺毒軟件升級不及時、外來用戶計算機在沒有采取任何防護措施的情況下連入企業網絡、數據介質及軟件介質等都可能將病毒、蠕蟲帶入到企業網絡中,給企業信息、企業業務帶來無法估量的損失。
二、軟件漏洞隱患。企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等,尤其是終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都不可避免存在潛在或已知的漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
三、系統安全配置薄弱。企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、匿名訪問限制等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。
四、脆弱的網絡接入安全防護。傳統的網絡訪問控制都是在企業網絡邊界或不同的企業內網不同子網邊界進行的,在網絡訪問用戶的身份被確認后,用戶即可以對企業內網進行各種操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞。
內網安全實施策略
一、自動化的補丁管理、安全配置。為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
二、全面的網絡準入控制。為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對于符合的外網訪問則放行。一個全面的網絡準入檢測系統。
三、終端設備安全完整性保證。主機完整性強制是確保企業網絡安全的關鍵組件,主機完整性可確保連接到企業網的客戶端正運行著所需的應用程序和數據文件。信息安全業界已經開發出了多種基于主機的安全產品,以確保企業網絡和信息的安全,阻止利用網絡連接技術、應用程序和操作系統的弱點和漏洞所發起的攻擊。并已充分采用了在個人防火墻、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術進步來有效地保護企業設備。然而,只有在充分保證這些安全技術的應用狀態、更新級別和策略完整性之后,才能享受這些安全技術給企業網絡安全帶來的益處。如果企業端點設備不能實施主機完整性,也就不能將該設備看成企業網絡受信設備。
提起網絡信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網絡安全防護建設中,普遍采用傳統的內網邊界安全防護技術,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術,對網絡入侵進行監控和防護,抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基于網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。一方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅卻是來自于內部網絡用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統后,未采取任何有效防護措施就連接到危險的網絡環境中,特別是Internet;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡;桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等等,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后,用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,以太網接入等等網絡接入方式,在外網和企業內網之間建立一個安全通道。
另一個傳統網絡訪問控制問題來自企業網絡內部,尤其對于大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮,目前對于企業網管很難準確的控制企業網絡的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網絡應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內部網絡,進而造成內部網絡中敏感數據的泄密或損毀。
5.企業網絡入侵
現階段黑客攻擊技術細分下來共有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。
對于采取各種傳統安全防護措施的企業內網來說,都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網絡入侵帶入企業網絡。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外,很有可能被黑客攻陷或感染網絡病毒。同時,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態,終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內部網絡的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術上的原因,殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
3.全面的網絡準入控制
為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對于符合的外網訪問則放行。一個全面的網絡準入檢測系統。
一、企業網絡安全威脅產生的原因
計算機網絡作為現代交際工具,其快捷方便的獨特優勢贏得人們的信賴,企業網絡應運而生。然而,由于計算機本身及系統、協議及數據庫等設計上存在缺陷,網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用的方便性,導致系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞;同時,由于企業網絡自身錯誤的管理和配置都可能導致網絡的安全問題發生。眾多企業網絡信息遭侵襲的事件一再提醒我們,網絡安全問題必須引起充分重視。網絡安全同其他事物一樣是有規可循的,應該從外部網絡安全和內部網絡安全兩個層面進行分析:
第一層面,外部網絡連接及數據訪問所帶來的安全威脅。包括:1、外部用戶對內網的連接。由于出差員工、分公司及其他業務相關企業都需要和本企業進行數據交換,這就要通過互聯網連接進入內部網絡,這時,非法的網絡用戶也可以通過各種手段入侵內部網絡。2、服務器網站對外提供的公共服務。由于企業宣傳需要,企業網站提供對外的公共服務,這些公共服務在為用戶提供便利的同時,也帶來了安全隱患。3、辦公自動化及業務網絡與Internet連接。這些操作平臺往往偏重于系統使用方便性,而忽視了系統安全性。
第二層面,內部網絡主機之間的連接所帶來的安全威脅。企業網絡上的層次節點眾多,網絡應用復雜,網絡管理困難。主要體現在:1、網絡的實際結構無法控制。網絡的物理連接經常會發生變化,如果不能及時發現并做出調整,很可能發生網絡配置不當,造成網絡安全的嚴重隱患。2、網管無法及時了解網絡的運行狀況。企業網絡平臺上運行著網站系統、辦公系統、財務系統等多種應用系統。同時,可能發生用戶運行其他應用程序的情況,這樣做的后果一方面可能降低網絡系統的工作效率;另一方面還可能破壞系統的總體安全策略,對網絡安全造成威脅。3、無法了解網絡的漏洞和可能發生的攻擊。4、對于已經或正在發生的攻擊缺乏有效的防御和追查手段。
由此可見,網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。它的風險將來自對企業網絡的各個關鍵點可能造成的威脅,這些威脅可能造成總體功能的失效。因此,維護辦公局域網、服務器網站系統的安全,是企業網絡的基本安全需求。
二、企業網絡安全系統總體規劃制定
根據計算機網絡技術原理及實踐經驗,在進行計算機網絡安全設計規劃時應遵循以下原則:一是需求、風險、代價平衡分析的原則。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,確定最優的安全策略,切忌只顧及需求而忽視安全;二是綜合性、整體性原則。運用系統工程的方法,分析網絡的安全問題,并制定具體措施,嚴防以偏概全,顧此失彼;三是一致性原則。這主要是指制定的網絡安全體系結構必須與網絡的安全需求相一致,防止文不對題,勞而無功;四是易操作性原則。安全措施要由人來完成,如果措施過于復雜,對人的技能要求過高,本身就降低了網絡的安全性;五是適應性、靈活性原則。安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應和修改,網絡的安全防范是一個過程,不可能一蹴而就;六是多重保護原則。任何安全保護措施都不是絕對安全的,需要建立一個多重保護系統,各層保護相互補充。據此,進行外部用戶接入內部網的安全設計和內部網絡安全管理的實現。
對外部用戶進入內部網絡應實施以下安全保障:(1)增強用戶的認證。用戶認證在網絡和信息的安全中屬于技術措施的第一道大門。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。(2)授權。這主要為特許用戶提供合適的訪問權限,并監控用戶的活動,使其不越權使用。(3)數據的傳輸加密,數據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。(4)審計和監控,確切地說,還應包括數據備份,這是系統安全的最后一道防線。系統一旦出了問題,這部分可以提供問題的再現、責任追查、重要數據復原等保障。
對內應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應規范,其具體工作是:(1)確定該系統的安全等級,并根據確定的安全等級,確定安全管理的范圍;(2)制定相應的機房出入管理制度,對安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域;(3)制定嚴格的操作規程,操作規程要根據職責分離和多人負責的原則,各負其責;(4)制定完備的系統維護制度,維護時必須有安全管理人員在場,故障原因、維護內容等要詳細記錄;(5)制定在緊急情況下,系統如何盡快恢復的應急措施,使損失減至最小。
三、網絡安全方案設計應把握的幾個關鍵點
1、應用防火墻技術,控制訪問權限,實現網絡安全集中管理。防火墻是近年發展起來的重要安全技術,其主要作用是在網絡入口點檢查網絡通訊,根據用戶設定的安全規則,在保護內部網絡安全的前提下,提供內外網絡通訊。使用防火墻的意義在于:通過過濾不安全的服務,可以極大地提高網絡安全,保護脆弱的服務;可以提供對主機系統的訪問控制;可以對企業內部網實現集中的安全管理,在防火墻上定義的安全規則可以運用于整個內部網絡系統;可以阻止攻擊者獲取攻擊網絡系統的有用信息,增強了信息的保密性;可以記錄和統計網絡利用數據以及非法使用數據;提供了制定和執行網絡安全策略的手段。
由于防火墻是內部網絡和外部網絡的唯一通訊渠道,能夠在內外網之間提供安全的網絡保護,因此防火墻可以對所有針對內部網絡的訪問進行詳細的記錄,形成完整的日志文件。
2、應用入侵檢測技術保護主機資源。利用防火墻技術,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠,因為入侵者可尋找防火墻背后可能敞開的后門,也可能就在防火墻內。由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。
入侵檢測系統的功能是保護關鍵應用的服務器,它能精確地判斷入侵事件,包括判斷應用層的入侵事件,對入侵者可以立即進行反應,能對網絡進行全方位的監控與保護。可有效地解決來自防火墻后由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。
3、應用安全掃描技術主動探測網絡安全漏洞,進行網絡安全評估。網絡安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火墻、入侵監測系統互相配合,能夠提供較高安全性的網絡。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級,更正系統中的錯誤配置。如果說防火墻和入侵監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊的發生,做到防患于未然。
安全掃描器提供綜合的審計工具,發現網絡環境中的安全漏洞,保證網絡安全的完整性。它可以評估企業內部網絡、服務器、防火墻、路由器,掃描和測試確定存在的可被黑客利用的網絡薄弱環節。我們應在局域網內設置該工具,定期對網絡進行掃描。
4、應用VPN技術,保證外部用戶訪問內部網的安全性。企業網絡接入到公網中,存在著兩個主要危險:一是來自公網的未經授權的對企業內部網的存取;二是當網絡系統通過公網進行通訊時,信息可能受到竊聽和非法修改。如何保證外部用戶遠程訪問內部網的安全性:首先,應嚴格限制外部用戶所能訪問的系統信息和資源,這一功能可通過在防火墻和應用服務來實現。其次,應加強對外部用戶進入內部網的身份驗證功能。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。這就應采用軟件或防火墻所提供的VPN(虛擬專網)技術、完整的集成化的企業VPN安全解決方案、提供在公網上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
關鍵詞:密碼;安全策略;后門;備份;補丁
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 02-0077-01
在網絡管理過程中,盡管安全管理員盡了最大努力,仍然會有許多常見的網絡安全錯誤發生。有一個列表列出了排名前十位的在網絡中經常出現的安全錯誤。有一些是配置錯誤,而其他都是程序方法方面的錯誤。這個列表決不是惟一的,卻是一個對網絡安全級別進行快速評估的好方法。下面談談排名前十位在網絡中經常出現的安全錯誤。
一、脆弱的密碼
網絡環境中發現排名第一的錯誤是脆弱的密碼。脆弱密碼產生的原因是密碼策略過于嚴格或者沒有密碼策略。密碼策略已經預先制定好,但沒有實施,也沒發揮作用。此外,也包括沒有更改的默認密碼。網絡設備的所有默認賬號,在可能的情況下,應該改名,默認密碼應該更改。如果賬號不再需要了,應該刪除或者禁用服務。
比默認密碼更為嚴重的錯誤是系統沒有密碼保護。如果設備不需要密碼或者其他形式的安全密鑰來登錄的話,它不應該成為企業網絡的一部分。
二、未創建安全策略
公司的最大錯誤之一是未創建一個牢固、有效和實際可行的安全策略。用戶和管理員除非在得到通知的情況下,否則都不愿意去了解如何處理安全問題。
安全策略應該很好地用文檔說明,要考慮到不僅是安全需要,而且也是業務需要,以及也是網絡用戶的需要。如果策略過于嚴格,它妨礙了用戶有效地完成工作;用戶就會開始找尋其他方法繞過這一策略,此時安全策略也就不起作用了。
效率低下的安全策略也無法檢查整個網絡并且可能留下被攻擊者輕易利用的更大漏洞。設計安全策略時要涉及到系統管理員和所有部門的管理人員,使他們在策略更新時得到通知。使用清晰和易于理解的語言通知用戶關于安全策略的內容,并給他們解釋安全限制的必要性。安全策略的溝通方式越有效,網絡用戶就越可能支持它。
三、非安全方式訪問設備
網絡上使用的許多設備允許管理員通過Telnet、FTP和其他不加密的方式進行訪問。這是產品供應商的錯誤,不應該在企業網絡中長期存在。
四、過分依賴防火墻
防火墻很優秀。它能夠為網絡提供許多保護,極大增強網絡安全。然而,研究員應該是保障網絡安全的惟一途徑。通常情況下,系統管理員依賴防火墻來完全保護網絡,但是防火墻要做到這些也不容易。使用防火墻并結合其他領域的嚴格安全實踐可以為網絡提供多個層面的安全性和更好的保護。
在防火墻規則集得不到正確管理的情況下,過分依賴防火墻會導致特別嚴重的災難性后果。通常在開始時要對防火墻進行非常嚴格的配置,然后隨著需要的增加,擴充規則集。
五、后門訪問
管理員通常會創建第二個賬戶,增加第二個網絡接口或者尋找其他途徑為自己訪問服務器或者網絡提供一種備份方式。只要這種方式已經正確地用文檔說明,同時采用了正確的安全預防措施,這本身并沒有什么錯誤。
多數情況下,這些訪問方式既沒有相關文檔說明,也沒有進行正確的安全漏洞測試。創建這些訪問方式只是為了方便,但是這可能會在網絡內部形成很大的安全漏洞。
六、備份
備份本身并沒有錯,但是許多管理員沒有采取正確的安全預警措施,也沒有備份正確的信息資料。特別是對網絡設備更是如此。路由器和交換機在初次部署時的配置信息或者更改配置時都沒有備份。防火墻配置也常常沒有備份。規則集更改時也不實行備份。
每天都要對服務器和其他對網絡基礎設施等非常重要的機器進行備份。路由器、防火墻和交換機的配置在每次更改后都要進行備份。在動態網絡中,網絡設備經常變動,應該與服務器一樣每天都進行備份。
七、不更新防病毒軟件
防病毒定義必須經常更新。病毒定義至少應該每周更新,如果是病毒的高發期,則需要提高更新頻率。這可能看起來很極端,但是要記住,Melissa病毒從開始到傳播到三大洲用了不到24小時。
考慮在網絡中運行來自兩個不同產品供應商的防病毒軟件,以此作為附加的安全保護層。一個產品供應商的產品應該側重于郵件和組件服務器,在這些設備上進行病毒掃描是非常重要的,要防止病毒文件進入系統或通過網絡傳播。第二個開發商的產品應該用于工作站,捕捉訪問層上引入的任何病毒,也可能捕獲服務器上的軟件漏殺的病毒。
八、未持續實施安全策略
安全策略實現以后,必須堅持一貫地執行。已經制定的安全策略,系統管理員、管理人員和其他網絡用戶應該遵守和維護。如果用戶違反了安全策略。應該采取恰當的行動,人力資源部門應該主動堅持執行處罰措施,如果網絡用戶沒有認真對待安全策略,這些安全策略將不可能得到實施,會在很大程度上使網絡安全措施失去作用。
在公司之間存在一個趨勢,對網絡安全問題熱情很高,安全事故發生以后,都能下決心實施嚴格的安全策略。
九、未及時更新系統
系統管理員會很繁忙,他們總是看起來有堆積如山的工作要做。總是感覺時間不夠用,一些事情不得不拖延。軟件補丁是此類事情的一個主要例子。由于在使用補丁之前必須完成一些測試工作,所以經常被拖延。
這種思維方式在安全敏感的組織當中是不允許存在的。補丁程序,特別是潛在影響安全的補丁,應該盡可能快地測試和安裝。安全漏洞公開以后,會有很多攻擊者尋找某些系統以利用這個漏洞。如果組織沒有給系統應用補丁程序,那么可能成為目標。
每天應該預留出一些時間用于查找網絡中網絡設備新的可用安全補丁。將所有潛在的安全漏洞匯編成列表同時按重要性劃分等級。創建了這樣的列表以后,應該有人員每星期抽出一天來測試這些補丁程序,這樣他們就可以應用到需要更新的系統中。
當然,如果補丁程序被認為對良好的網絡安全非常重要,那它應該比其他的日常工作有更高的優先級,并馬上進行測試和安裝。
十、不能允許不安全的遠程訪問和管理軟件
黑客侵入網站最常用的手段之一就是使用遠程訪問和管理軟件包,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,這些應用軟件都缺乏最基本的保障措施
關鍵詞:企業管理;網絡;網絡安全
中圖分類號:TP393.1 文獻標識碼:A文章編號:1007-9599(2011)24-0000-01
Analysis of Internal Network Security for Enterprise
Huang Jin
(Chuanda Zhongxin Technology Development Co.,Ltd.,Chengdu610017,China)
Abstract:With the extensive use of computer networks,the application of computer network systems have become the development direction of the enterprise management.The rapid growth of the rapid expansion of the scale of the internal network,network users,intranet security issues has become the most important issue for the construction of the enterprise network can not be ignored.
Keywords:Business management;Network;Network security
一、目前企業內部網絡的安全面臨的主要問題
(一)計算機病毒
計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響企業內部網絡安全的主要因素。
(二)操作系統的安全問題
目前,被廣泛使用的網絡操作系統主要是UNIX、WINDOWS 和Linux等,這些操作系統都存在各種各樣的安全問題,各種計算機病毒都是利用操作系統的漏洞進行傳染。如不對操作系統進行及時更新,彌補各種漏洞,計算機即使安裝了防毒軟件也會反復感染。
(三)黑客
黑客的定義是:“對計算機系統進行非授權訪問的人員”。大多數黑客不會自己分析操作系統或應用軟件的源代碼、找出漏洞,他們只是能夠靈活運用手中掌握的十分豐富的現成工具。黑客入侵的常用手法有:端口監聽、端口掃描、口令入侵、種植木馬等。
(四)口令入侵
一般來說,企業為每個員工分配一個賬號,并根據其應用范圍,分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容,用不正常的手段竊取別人的口令,造成了企業管理的混亂及企業重要文件的外流。
(五)非正常途徑訪問或內部破壞
在企業中,有人改變程序設置,引起系統混亂;有人越權處理公務,為了個人私利竊取機密數據。這些安全隱患都嚴重地破壞了企業的管理秩序。部分員工對網絡知識很感興趣,攻擊企業內部網就成了他們表現才華,實踐網絡知識的途徑。
(六)設備受損
設備破壞主要是指對網絡硬件設備的破壞。企業內部網絡涉及的設備分布在整個企業內,管理起來非常困難,任何安置在不能上鎖的地方的設施,都有可能被人有意或無意地損壞,或由于雷擊、暴雨等自然災害受損,這樣會造成企業內部網絡全部或部分癱瘓的嚴重后果。
二、企業內部網絡安全策略
安全策略是指一個特定環境中,為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括嚴格的管理、先進的技術和相關的法律。安全策略決定采用何種方式和手段來保證網絡系統的安全。
(一)物理層面的安全策略
1.計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
2.機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。
(二)技術層面安全策略
1.備份策略和鏡像技術 用備份和鏡像技術提高完整性。備份技術指對需要保護的數據在另一個地方制作一個備份,一旦失去原件還能使用數據備份。完善的備份策略是企業對抗安全風險最主要的手段。鏡像技術是指兩個設備執行完全相同的工作,若其中一個出現故障,另一個仍可以繼續工作。
2.防火墻控制策略 防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。它是位于兩個網絡之間執行控制策略的系統,用來限制外部未經許可用戶訪問內部網絡資源,通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入,防止惡意攻擊。
3.訪問控制策略 訪問控制的主要任務是保證網絡資源不被非法使用和訪問,它是保證網絡安全最重要的核心策略之一。主要有以下六種方式:①入網訪問控制。②網絡的權限控制。③目錄級安全控制。④屬性安全控制。⑤網絡服務器安全控制。⑥網絡監測和鎖定控制。
4.信息加密策略 信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。信息加密過程是由各種加密算法來具體實施。
5.網絡安全管理規范 網絡安全技術的解決方案必須依賴安全管理規范的支持,在網絡安全中,加強網絡的安全管理,制定有關的規章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。
6.網絡入侵檢測技術入侵檢測應用了以攻為守的策略,它所提供的數據不僅有可能用來發現合法用戶濫用特權,還有可能在一定程度上提供追究入侵者法律責任的有效證據。
企業內部網絡的安全問題,不僅是設備,技術的問題,更是管理的問題。對于企業網絡的管理人員來講,一定要提高網絡安全意識,加強網絡安全技術的掌握,注重對員工的網絡安全知識培訓,而且更需要制定一套完整的規章制度來規范上網人員的行為。
參考文獻:
隨著數據庫、軟件工程和多媒體通信技術的快速發展,礦山企業實施了安全生產集控系統、環境監測系統、調度管控系統、移動辦公系統及智能決策支持等系統,實現了礦山企業安全生產、辦公和管理信息化、智能化。網絡能夠實現各類信息化系統的數據共享、協同辦公等,也是信息化系統正常運行的關鍵,因此網絡安全防御具有重要的作用。本文詳細地分析了礦山企業網絡安全面臨的問題和現狀,提出采用先進的防御措施,構建安全管理系統,以便提高網絡安全性能,進一步改善礦山企業信息化運營環境的安全性。
1礦山企業網絡安全現狀分析
隨著互聯網技術的快速發展,互聯網將分布于礦山企業生產、管理等部門的設備連接在一起,形成了一個強大的礦山企業服務系統,為礦山企業提供了強大的信息共享、數據傳輸能力。但是,由于許多礦山企業工作人員在操作管理系統、使用計算機時不規范,如果一臺終端或服務器感染了計算機病毒、木馬,將會在很短的時間內擴散到其他終端和服務器中,感染礦山企業信息化系統,導致礦山企業服務系統無法正常使用。經過分析與研究,目前網絡安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現狀。
1.1網絡攻擊渠道多樣化
目前網絡黑客技術正快速普及,網絡攻擊和威脅不僅僅來源于黑客、病毒和木馬,傳播渠道不僅僅局限于計算機,隨著移動互聯網、光纖網絡的興起和應用,網絡安全威脅通過智能終端進行傳播,傳播渠道更加多樣化。
1.2網絡安全威脅智能化
隨著移動計算、云計算和分布式計算技術的快速發展,網絡黑客制作的木馬和病毒隱藏周期更長,破壞的范圍更加廣泛,安全威脅日趨智能化,給礦山企業信息化系統帶來的安全威脅更加嚴重,非常容易導致網絡安全數據資料丟失。
1.3網絡安全威脅嚴重化
網絡安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度,網絡安全受到的威脅日益嚴重,礦山企業網絡設備、數據資源一旦受到安全攻擊,將會在短時間內迅速感染等網絡中接入的軟硬件資源,破壞網絡安全威脅。
2礦山企業網絡安全防御措施研究
礦山企業網絡運行過程中,安全管理系統可以采用主動、縱深防御模式,安全管理系統主要包括預警、響應、保護、防御、監測、恢復和反擊等六種關鍵技術,從根本上轉變礦山企業信息系統使用人員的安全意識,改善系統操作規范性,進一步增強網絡安全防御性能。
2.1網絡安全預警
網絡安全預警措施主要包括漏洞預警、行為預警和攻擊趨勢預警,能夠及時發現網絡數據流中存在的威脅。漏洞預警可以積極發現網絡操作系統中存在的漏洞,以便積極升級系統,修復系統漏洞。行為預警、攻擊預警可以分析網絡數據流,發現數據中隱藏的攻擊行為或趨勢,以便能夠有效預警。網絡安全預警是網絡預警的第一步,其作用非常明顯,可以為網絡安全保護提供依據。
2.2網絡安全保護
網絡安全保護可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網等技術防御攻擊威脅,以便保證網絡數據的機密性、完整性、可控性、不可否認性和可用性。網絡安全保護與傳統的網絡安全防御技術相近,因此在構建主動防御模型時,融入了傳統的防御技術。
2.3網絡安全監測
網絡安全監測可以采用掃描技術、實時監控技術、入侵檢測技術等發現網絡中是否存在嚴重的漏洞或攻擊數據流,能夠進一步完善主動防御模型內容,以便從根本上保證網絡安全防御的完整性。
2.4網絡安全響應
網絡安全響應能夠對網絡中存在的病毒、木馬等安全威脅做出及時的反應,以便進一步阻止網絡攻擊,將網絡安全威脅阻斷或者引誘到其他的備用主機上。
2.5網絡恢復
礦山企業信息系統遭受到攻擊之后,為了盡可能降低網絡安全攻擊損失,提高用戶的承受能力,可以采用網絡安全恢復技術,將系統恢復到遭受攻擊前的階段。主動恢復技術主要采用離線備份、在線備份、階段備份或增量備份等技術。
2.6網絡安全反擊
網絡反擊技術是主動防御最為關鍵的技術,也是與傳統的網絡防御技術最大的區別。網絡反擊技術可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術,網絡反擊技術可以針對攻擊威脅的源主機進行攻擊,不但能夠阻斷網絡攻擊,還可以反擊攻擊源,以便破壞攻擊源主機的運行性能。
3礦山企業網絡安全管理系統設計
為了能夠更好地導出系統的邏輯業務功能,對網絡安全管理的管理員、用戶和防御人員進行調研和分析,使用原型化方法和結構化需求分析技術導出了系統的邏輯業務功能,分別是系統配置管理功能、用戶管理功能、安全策略管理功能、網絡狀態監控管理功能、網絡運行日志管理功能、網絡運行報表管理功能等六個部分。
3.1網絡安全管理系統配置管理功能分析
通過對網絡安全管理系統操作人員進行調研和分析,導出了系統配置管理功能的業務功能,系統配置管理功能主要包括七個關鍵功能,分別是系統用戶信息配置管理功能、網絡模式配置、網絡管理參數配置、網絡管理對象配置、輔助工具配置、備份與恢復配置和系統注冊與升級等。
3.2用戶管理功能分析
礦山企業網絡運行中,其主要設備包括多種,操作的用戶也有很多種類別,比如網絡設備管理人員、應用系統管理人員、網絡維護部門、服務器等,因此用戶管理功能主要包括人員、組織、機器等分析,主要功能包括三個方面,分別是組織管理、自動分組和認證配置。組織管理功能可以對網絡中的設備進行組織和管理,按照賬號管理、機器管理等進行操作;自動分組可以根據用戶搜索的設備的具體情況改善機器的搜索范圍,添加到機器列表中,并且可以對及其進行重新的分組管理;認證配置可以根據終端機器的登錄模式進行認證管理。
3.3安全策略管理功能分析
網絡安全防御過程中,網絡安全需要配置相關的策略,以便能夠更好的維護網絡運行安全,同時可以為用戶提供強大的保護和防御性能,網絡安全策略配置是非常重要的一個工作內容。網絡安全防御規則包括多種,比如入侵監測規則、網絡響應規則、網絡阻斷規則等,配置過程復雜,工作量大,通過歸納,需要根據網絡安全防御的關鍵內容設置網絡訪問的黑白名單、應用封堵、流量封堵、行為審計、內容審計、策略分配等功能。
3.4網絡狀態監控管理功能分析
網絡運行過程中,由于涉及的服務器、終端設備較多,網絡運行容易產生錯誤,需要對網絡狀態進行實時監管,以便能夠及時的發現網絡中存在的攻擊威脅、故障燈。網絡運行管理過程中,需要時刻的監控網絡的運行管理狀態,具體的網絡運行管理的狀態主要包括三個方面,分別是系統運行狀態、網絡活動狀態、流量監控狀態。
3.5網絡運行日志管理功能分析
礦山企業網絡運行過程中,根據計算機的特性需要保留網絡操作日志,如果發生網絡安全事故,可以對網絡操作日志進行分析,便于發現某些操作是不符合規則的。因此,網絡運行管理過程中,網絡運行日志管理可以分析網絡運行操作的主要信息,日志管理主要包括以下幾個方面,分別是內容日志管理、報警日志管理、封堵日志管理、系統操作日志管理。
3.6網絡運行報表管理功能分析
網絡運行過程中,為了能夠實現網絡安全管理的統計分析,可以采用網絡安全報表管理模式,以便能夠統計分析接入到網絡中的各種軟硬件設備和系統的運行情況,網絡運行報表管理主要包括兩個方面的功能,分別是統計報表和報表訂閱。
4結束語
隨著物聯網、大數據、云計算和移動互聯網技術的快速應用和普及,礦山企業逐漸進入智慧化時代,網絡安全威脅更加智能化、快速化和多樣化,感染速度更快,影響范圍更廣,給礦山企業信息系統帶來的損失更加嚴重,本文提出構建一種多層次的主動網絡安全防御系統,能夠提高礦山企業信息系統網絡運行的安全性,具有重要的作用和意義。
作者:張軍 單位:陜西南梁礦業有限公司
引用:
[1]汪軍陽,司巍.計算機網絡應用安全問題分析與防護措施探討[J].電子技術與軟件工程,2013.
[2]黃哲,文曉浩.淺論計算機網絡安全及防御措施[J].計算機光盤軟件與應用,2013.
[3]潘澤歡.數字化校園網絡的安全現狀及防御對策[J].網絡安全技術與應用,2015.
[4]趙銳.探討計算機網絡信息安全問題與防護措施[J].計算機光盤軟件與應用,2014.
[5]白雪.計算機網絡安全應用及防御措施的探討[J].計算機光盤軟件與應用,2012.
[6]王喜昌.計算機網絡管理系統及其安全技術分析[J].計算機光盤軟件與應用,2014.
[關鍵詞]企業網絡;信息安全;病毒
doi:10.3969/j.issn.1673 - 0194.2015.16.052
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)16-00-01
隨著計算機及通信技術的進一步發展,大部分企業都加強信息化網絡建設,油田企業也不例外。安全是影響企業網絡正常運行的關鍵。因此,油田企業要根據企業發展現狀,對加強企業網絡安全提出針對性建議。
1 油田企業網絡安全現狀
1.1 企業信息安全管理的隱患
信息安全管理涉及油田生產、數據保存、辦公區域保護等多個層面,在信息化時代,油田企業需要加強信息化網絡安全管理。現階段,油田企業信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏細化、具體化的網絡安全措施,針對員工不合理使用信息設備、網絡的懲罰機制不健全。②部分管理人員和員工信息素養較低,如他們不能全面掌握部分軟件的功能,不重視企業網絡使用規范,且存在隨意訪問網站,隨意下載文件的現象,增加企業網絡負擔,影響網絡安全。③信息系統管理員缺乏嚴格的管理理念。石油企業信息網絡系統都設有管理員崗位,負責企業內部網絡軟硬件的配備與管理,但現階段,該職位員工缺乏嚴格的管理理念,不能及時發現和解決信息安全隱患。④為方便員工使用移動終端設備辦公上網,石油企業辦公區域也設置了無線路由器。但是,員工自身的手機等設備存在很多不安全因素,會影響企業網絡安全性。
1.2 病毒入侵與軟件漏洞
網絡病毒入侵通常是通過訪問網站、下載文件和使用等途徑傳播,員工如果訪問不法鏈接或下載來源不明的文件,可能會導致病毒入侵,危害信息安全。病毒入侵的原因主要有兩方面,一方面,員工的不良行為帶來病毒;另一方面,系統自身的漏洞導致病毒入侵。由此看來,油田企業信息化軟件自身存在的漏洞也具有安全隱患。其中,主要包括基礎軟件操作系統,也包括基于操作系統運行的應用軟件,如Office辦公軟件、CAD制圖軟件、社交軟件、油田監控信息系統、油田企業內部郵箱、財務管理軟件、人事管理軟件等。
1.3 網絡設備的安全隱患
現階段,油田企業網絡設備也存在不安全因素,主要表現在兩方面:第一,油田企業無論是辦公區還是作業區,環境都較為惡劣,部分重要企業信息網絡設備放置環境的溫度、濕度不合理,嚴重影響硬件的使用壽命和性能,存在信息數據丟失的危險;第二,企業內部網絡的一些關鍵環節尚未引入備份機制,如服務器硬盤,若單個硬盤損壞缺乏備份機制,會導致數據永久性丟失。
2 提高油田企業網絡安全策略
2.1 加強信息安全管理
基于現階段油田企業信息網絡安全管理現狀,首先,油田企業要重新制定管理機制,對各個安全隱患進行具體化、細化規范,包括員工對信息應用的日常操作規范,禁止訪問不明網站和打開不明鏈接。其次,油田企業要強化執行力,摒除企業管理弊端,對違規操作的個人進行嚴厲處罰,使員工意識到信息安全的重要性,提高其防范意識和能力。再次,油田企業要招聘能力強、素質高的信息系統管理員,使其能及時發現和整改系統安全隱患。最后,對員工使用智能終端上網的現象,則建議辦公區配備無線路由器的寬帶與企業信息網絡要完全隔離,以避免對其產生負面影響。
2.2 加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現階段,油田企業的網絡建設雖然引入防火墻設備,但沒有合理利用。因此,油田企業要全面監管和控制外部數據,防止不法攻擊,防止病毒入侵。同時,定期更新防火墻安全策略。
(2)對企業數據進行有效加密與備份。對油田企業來說,大部分數據具有保密性,不可對外泄密。因此,企業不僅要做好內部權限管理,還應要求掌握關鍵數據的員工對數據做好加密和備份工作。在傳輸和保存中利用加密工具進行加密,數據的保存則需要通過物理硬盤等工具進行備份。有條件的企業,可在不同地區進行備份,以防止不可抗拒外力作用下的數據丟失。
(3)合理使用殺毒軟件。企業要對內部計算機和移動終端安裝殺毒軟件,并高效運行,以加強對病毒的防范。
2.3 提升網絡設備安全
(1)由于油田企業內部信息網絡規模較大,設備較多且部署復雜。因此,要及時解決硬件面臨的問題,定期檢查維修,提高硬件設備安全性。定期檢修能準確掌握網絡設備的運行狀況,并能及時發現潛在隱患。
(2)對處于惡劣環境中的網絡設備,包括防火墻、服務器、交換機、路由器等,盡量為其提供獨立封閉的空間,以確保溫濕度合理。
3 結 語
信息網絡安全管理是油田企業管理的關鍵。因此,油田企業要完善信息網絡操作安全管理制度,保證軟件系統、硬件設備安全運行。
主要參考文獻
關鍵詞:關鍵詞:防火墻;新一代;網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
0 序言
近年來,隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具。同樣,隨著企業信息化的迅速發展,基于網絡的應用越來越廣泛,特別是企業內部專網系統信息化的發展日新月異—如:網絡規模在不斷擴大、信息的內容和信息量在不斷增長,網絡應用和規模的快速發展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網絡維護者不得不對潛在的威脅進行防御及網絡安全系統建設,多種威脅技術的變化發展及威脅對企業專網系統的IT安全建設提出了更高的要求。
1.安全風險背景
隨著計算機技術、通信技術和網絡技術的發展,接入專網的應用系統越來越多。特別是隨著信息化的普及需要和總部的數據交換也越來越多。對整個系統和專網的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術已得到廣泛使用,E-mail、Web2.0和終端PC的應用也日益普及,但同時病毒和黑客也日益猖獗, 系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。
2.網絡安全方案
防火墻是最具策略性的網絡安全基礎結構組件,可以檢測所有通信流。因此,防火墻是企業網絡安全控制的中心,通過部署防火墻來強化網絡的安全性,是實施安全策略的最有效位置。不過,傳統的防火墻是依靠端口和通信協議來區分通信流內容,這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術、使用 SSL、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻。
由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應用控制的結果會讓企業暴露在商業風險之下,并使企業面臨網絡中斷、違反規定、運營維護成本增加和可能丟失數據等風險。用于恢復可視化和控制的傳統方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發掃描進程)的不足,均無法解決可視化和控制問題。現在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻也必須具備如下要素:
(1)識別應用程序而非端口:準確識別應用程序身份,檢測所有端口,而且不論應用程序使用何種協議、SSL、加密技術或規避策略。應用程序的身份構成所有安全策略的基礎。(識別七層或七層以上應用)
(2)識別用戶,而不僅僅識別 IP 地址。利用企業目錄中存儲的信息來執行可視化、策略創建、報告和取證調查等操作。
(3)實時檢查內容。幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件,并且實現低延遲和高吞吐速度。
(4)簡化策略管理。通過易用的圖形化工具和策略編輯器(來恢復可視化和控制
(5)提供數千兆位或萬兆位的數據吞吐量。在一個專門構建的平臺上結合高性能硬件和軟件來實現低延遲和數千兆位的數據吞吐量性能
2.1 產品與部署方式
本文就Palo Alto Networks 新一代安全防護網關部署方案進行探討,該產品采用全新設計的軟/硬件架構,可在不影響任何服務的前提下,以旁路模式、透明模式等接入現有網絡架構中,協助網管人員進行環境狀態分析,并將分析過程中各類信息進行整理后生成報表,從而進一步發現潛在安全風險,作為安全策略調整的判斷依據。
2.2 解決方案功能
本方案產品突破了傳統的防火墻和UTM的缺陷,從硬件設計和軟件設計上進一步強化了網絡及應用的安全性和可視性的同時保持應用層線速的特性。主要功能如下:
(1)應用程序、用戶和內容的可視化
管理員可使用一組功能強大的可視化工具來快速查看穿越網絡的應用程序、這些應用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業務相關的安全策略。
(2)應用程序命令中心:這是一項無需執行任何配置工作的標準功能,以圖形方式顯示有關當前網絡活動(包括應用程序、URL 類別、威脅和數據)的大量信息,為管理員提供所需的數據,供其做出更為合理的安全策略決定。
(3)管理:管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來控制防火墻。可基于角色的管理,將不同的管理職能委派給合適的個人。
(4)日志記錄和報告:可完全自定義和安排的預定義報告提供有關網絡上的應用程序、用戶和威脅的詳細視圖。
2.3 解決方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三種獨特的識別技術,以統一策略方式對使用者(群組)、應用程序及內容提供訪問控制、安全管理及帶寬控制解決方案,此創新的技術建構于 “單通道平行處理 (SP3)”先進的硬件+軟件系統架構下,實現低延遲及高效率的特性,解決傳統FW+IPS+UTM對應用處理效能不佳的現況。
(2)實現了對應用程序和內容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達 10Gbps,精確地識別應用程序使用的端口、協議、規避策略或 SSL 加密算法,掃描內容來阻止威脅和防止數據泄露。
(3)對網絡中傳輸的應用程序和用戶進行深度識別并進行內容的分析,提供完整的可視度和控制能力。
(4)提供多樣化NAT轉址功能:傳統NAT服務,僅能利用單一或少數外部IP地址,提供內部使用者做為IP地址轉換之用,其瓶頸在于能做為NAT轉換的外部IP地址數量過少,當內部有不當使用行為發生,致使該IP地址被全球ISP服務業者列為黑名單后,將造成內部網絡用戶無法存取因特網資源;本方案提供具有多對多特性的地址轉換服務功能,讓IT人員可以利用較多的外部IP地址做為地址轉換,避免因少數外部IP被封鎖而造成無法上網,再次提升網絡服務質量。
(5)用戶行為控制:不僅具備廣泛應用程序識別能力,還將無線網絡用戶納入集中的控制管理,可對無線網絡使用情況,提供最為詳細豐富的用戶使用數據。
(6)流量地圖功能:流量地圖清楚呈現資料流向并能連結集中化的事件分析界面。
3.總結
新一代防火墻解決了網絡應用的可視性問題,有效杜絕利用跳端口技術、使用SSL、80端口或非標準端口繞過傳統防火墻攻擊企業網絡行為,從根本上解決傳統防火墻集成多個安全系統,卻無法真正有效協同工作的缺陷,大大提高數據實時轉發效率,有效解決企業信息安全存在的問題。
參考文獻:
[1] 孫嘉葦;對計算機網絡安全防護技術的探討 [J];《計算機光盤軟件與應用》 2012年02期。
關鍵詞:計算機網絡;安全漏洞;解決方案;技術
中圖分類號:TP393.08
隨著時代的進步,科學技術在進步中不斷的發展,計算機網絡以及計算機信息技術也在不斷的改變著我們的日常生活與工作。隨著我國企業互聯網的建立以及其網絡規模逐漸擴大,在這個過程中,網絡結構以及相應的使用設備逐漸變得非常復雜。在當今社會上,如何有效的對其網絡結構進行管理,并以此來提高計算機網絡系統的安全性,已經成為當下企業面臨的最主要難題之一。因此,我們應認真分析網絡安全問題,從而有效的建立起適合于企業的網絡安全策略以及相關安全框架,以此來保證企業計算機網絡能夠正常、有效的運行下去。
1計算機網絡安全存在的漏洞
1.1人為操作存在的安全漏洞。影響計算機網絡安全的因素中,人為因素所占的比例相對比較高。比如在很多企業中,由于企業沒有相關完善的組織以及很多企業還沒有相關專業的網絡安全管理人員,或者是在網絡安全方面只是簡單采用防病毒以及防火墻等措施,沒有在其管理程度上進行有效的提高。再者就是企業網絡的管理人員的專業技術沒有達到相應的要求,這就造成企業網絡安全在設計上出現很多漏洞。最后導致企業網絡的管理人員對網絡的使用、信息保存以及相關用戶權限的管理不是很到位,容易造成一些重要信息的丟失或泄露。
1.2網絡硬件存在的安全漏洞。能夠對網絡造成安全威脅主要有網絡的硬件設備以及其拓撲結構。例如在使用網絡的時候采用路由器,網絡由于受到了來自路由器的自身性能上的限制,并且路由器自身的安全性能比較差,從而導致在網絡硬件上出現一些安全隱患。同時,計算機和網絡所包含的電磁信息還可能發生泄露,造成竊密、失密、泄密的情況發生。
1.3網絡軟件存在的安全漏洞。計算機網絡軟件的構成是由相關應用軟件以及操作系統等組成的,無論是多么完善的軟件都有可能出現漏洞和缺陷,這些漏洞和缺陷就給一些黑客創造了入侵機會,一旦黑客利用了這一漏洞和缺陷就會入侵計算機網絡,竊取或者毀壞用戶重要的數據信息,給用戶帶來非常嚴重的損失。例如,企業的一些軟件開發者為了方便軟件自主升級而設置了“后門”,很多人都不知道這個所謂的“后門”,但是這個“后門”一旦被打開,那些入侵者就會對企業網絡軟件進行肆意的操作,其帶來的后果將非常嚴重。
1.4操作系統存在的安全漏洞。操作系統是計算機和計算機網絡運行的基礎,同時,它對網絡系統與本地計算機的安全起也有著非常重要的作用。操作系統本身就是一種軟件,不可避免的會存在一些漏洞,尤其是在復雜的網絡環境下工作,很容易出現安全方面的問題。尤其是“后門”,在病毒及木馬面前是一個很脆弱的部分,很容易受到攻擊。而操作系統的這些安全漏洞很容易引發系統的數據信息損壞或者丟失。
2計算機網絡安全漏洞的解決方案
2.1健全企業計算機網絡安全制度以及規范網絡管理人員的規范操作。企業網絡的安全管理需要管理人員根據相關原則制定出一套完整的管理制度,并在此基礎之上對網絡安全管理人員的工作進行有效的規范,主要手段有強化管理人員的安全以及法制教育,以此來提高企業內部管理人員的綜合素質,增強企業內部管理人員的安全意識。企業還要根據自身網絡安全管理等級以及范圍,制定一些相關的制度。
2.2硬件維護。硬件的維護主要是針對于與網絡相關的一些結構元件、設備維護,最典型的就是對路由器、網線以及計算機的網卡進行維護,包括日常檢查、故障檢測、維修等等。其次是要對計算機內部結構中的硬盤、CPU、顯示器等等設備進行維護,檢查其是否能正常運轉,是否有損壞,如果有,則應該對計算機損壞的硬件及時的維修或更換。
2.3在網絡設計方面,運用虛擬局域網技術分散管理數據信息。在企業網絡安全管理中,可以選擇虛擬局域網技術分散管理網絡。通過對設備進行交換在網絡的拓撲結構上建立起一種具有邏輯性的網絡,將原有的局域網逐步劃分為多個具有邏輯性的虛擬子網。這樣能夠有效控制企業網絡流量,以此來防止那些廣播風暴,還能夠運用MAC層對其數據包進行有效的過濾。這個技術的運用,就算黑客在入侵的時候攻破了局域網中的某一個虛擬子網,黑客也不能夠從中獲取企業整體的網絡信息。這樣做能夠達到保護企業網絡信息的效果。
2.4軟件維護。軟件維護有很多種方式,首先可以購買殺毒軟件預防和消滅病毒。病毒在網絡的環境下傳播的速度非常的快,如果僅僅只是使用單機是很難將病毒進行徹底消除的,企業可以使用一些適合企業局域網的防范病毒產品。我們都知道企業網絡的形式是內部局域網,這就需要各種相關的防治病毒軟件。例如在與互聯網進行連接的時候,這就需要網關的防止病毒軟件,以此來加強企業網絡的安全。因此,就要有針對性的對網絡可能遭受到病毒攻擊的地方設置相關的防治病毒軟件,并且還要將防治病毒軟件進行定期的升級,使企業網絡免受病毒的侵害。
其次是利用防火墻技術。這也是很多企業實施的網絡安全策略中有一個非常重要的手段,防火墻在實現網絡安全中所起的作用是非常重要的。企業通過設置防火墻是可以在企業內部網與企業外部網之間建立起一種唯一的通道,在一定程度上將網絡安全管理進行簡化。防火墻主要位于網絡的邊緣,這就使得企業內部網與互聯網之間或者與其他企業外部網絡出現相互隔離,并通過對網絡互訪進行有效的限制來對企業的內部網絡進行有效的保護,以此來防止出現在互聯網上的安全隱患蔓延到企業內部網絡上去。
最后是利用網絡監聽來保護企業子網的安全。對于那些入侵企業外部網絡能夠利用安裝防火墻來將其解決,但是防火墻對于企業內部網絡受到入侵的時候卻無能為力。在這個時候,就可以在各個子網里制定一個具有相關功能的網絡審計文件,這種審計文件能夠為網絡管理人員提供相關的企業網絡運作狀態。在此基礎之上我們能夠設計一種專屬于子網的監聽程序,這個監聽程序的主要作用就是對整個企業中的各個網絡之間的聯系情況進行監聽,以此來對企業網絡系統中所有服務器的網絡審計文件進行備份。
3結束語
計算機網絡安全問題不是一項單一的技術問題,而是一項集管理、技術、法律法規為一體的非常復雜的網絡系統工程。企業在進行實施的過程當中應該盡最大可能的將利用的網絡安全技術融合在一起和實施一些相關的網絡安全管理措施,以此來彌補企業網絡安全存在的漏洞和安全隱患。
參考文獻:
[1]高壯志.讓網絡安全漏洞無處藏身―神州數碼銳行服務網絡安全解決方案助您一臂之力[J].金融電子化,2009,9:61.
[2]汪江.談網絡安全技術與電力企業網絡安全解決方案研究[J].價值工程,2012,30:175-176.
[3]吳永紅.淺析計算機網絡安全漏洞及防范策略[J].計算機光盤軟件與應用,2012,24:122+125.
[4]楊明勝.探析計算機網絡安全漏洞及解決措施[J].電腦知識與技術,2012,15:3530-3531+3537.
【關鍵詞】供電企業;網絡;安全管理;措施
前言:
近年來,隨著電力信息化進程不斷深入,電力系統已經逐步滲透到各個用電領域,包括發電,輸變電,配電等各個關鍵環節,一個處于國家領先水平的電力信息網絡已經建成已。這個信息網絡在電網調度自動化、廠站自動控制、計量自動化系統、電力營銷系統、配網生產系統、營配信息集成、電力負荷管理,辦公自動化、計劃統計管理、用電管理、財務管理、人力資源管理、生產安全管理等有關生產、經營和管理的許多領域中發揮重要作用,特別是電力營銷系統,涉及到電費資金的安全性,一旦網絡信息安全得不到保障,將影響到企業的經營管控。同時,我們應該注意到,隨著電力網絡的逐漸擴大,結構逐漸復雜,企業應用的不斷加深,各部門越來越依賴網絡,因此,一個不容忽視的問題擺在了我們面前,那就是電力信息網絡安全。
一、電力信息網絡結構分析
電力信息網一般由三層局域網通過廣域網互聯而形成,分別是公司核心局域網、各分公司局域網以及子公司局域網。電力信息網一般有兩個主要的應用系統,分別是生產應用系統(SCADA/EMs系統)和經管應用系統(MIS系統)。生產應用系統和經管應用系統在結構上相對獨立。SCA—DA/EMS系統采用各種方式(專線、同步數字序列、準同步數字序列)與各變電站或電網進行實時數據傳輸;MIS系統使用干兆以太網組網,通過TCP/IP傳輸網絡結構取用同級網絡分層,每層分子網和鏈路連接。
二、電力網絡信息安全存在的問題
威脅到電力信息系統安全的因素有很多,可以是惡意攻擊,也可以是操作失誤;可以是通過外部攻擊,也可以是通過內部破壞。總結起來,筆者認為針對電力信息系統安全主要有以下5大問題,分別是計算機病毒、操作系統和應用軟件的漏洞、企業網絡邊界擴展、自然界環境因素、企業內部問題。具體內容見表1。
三、安全思想和原則
電力企業信息安全的主要目標一般可以綜述為:注重“電力生產”的企業使命,一切為生產經營服務;服從“集約化管理”的企業戰略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業生產控制系統不受干擾,保證系統安全事件(計算機病毒、篡改網頁、網絡攻擊等)不發生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數據不丟失。(1)先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統。(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業、單位應建立相應的網絡管理辦法,加強內部管理,建立適合的網絡安全管理系統和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網絡安全意識。(3)嚴格的法律法規是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規,加強安全教育和宣傳,嚴肅網絡規章制度和紀律,對網絡犯罪嚴懲不貸。
四、安全策略與方法
1.物理安全策略和方法。物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料;要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。
2.訪問控制策略和方法。網絡安全的目的是將企業信息資源分層次和等級進行保護,主要是根據業務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內,提高網絡的整體安全水平,目前路由器、虛擬局域網VLAN、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統內資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結合起來,實現多重防護體系,防止內容非法泄漏,保證應用環境安全、應用區域邊界安全和網絡通信安全。
3.開放的網絡服務策略和方法。Internet安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態度,更要強化內部
網絡用戶的責任感和守約,必要時增加審計手段。
4.電子郵件安全策略和方法。電子郵件策略主要是針對郵件的使用規則、郵件的管理以及保密環境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現象越來越多,迫使防范技術快速發展,電力企業可以在電子郵件安全方案加大投入或委托專業公司進行。
5.網絡反病毒策略和方法。每個電力企業為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發展到了到實時監控,并且針對特殊的應用服務還出現了相應的防毒系統,如網關型病毒防火墻以及郵件反病毒系統等。
6.加密策略和方法。信息加密的目的是保護網內的數據、文件、密碼和控制信息,保護網絡會話的完整性。其方法有虛擬私有網、公共密鑰體系、密鑰管理系統、加密機和身份認證鑰匙手段等。
7.攻擊和入侵應急處理流程和災難恢復策略和方法。主要方法是配備必要的安全產品,例如網絡掃描器、防火墻、入侵檢測系統,進行實時網絡監控和分析,及時找到攻擊對象采取,并利用備份系統和應急預案以備緊急情況下恢復系統。
8.安全服務的策略。再好的安全策略和方法都要通過技術和服務來實現,安全產品和安全服務同樣重要,只有把兩者很好地結合起來,才能真正貫徹安全策略。
五、信息安全的防范措施
由以上分析可知,需要加大防范力度,確保信息安全,保證供電企業的正常運作,筆者認為防范措施可以從三方面展開,分別是計算機方面、管理方面以及建設方面。就計算機方面而言,企業級殺毒軟件和及時為計算機打補丁是兩個主要措施。殺毒軟件可以有效地保證電力企業計算機系統的穩定運行,可以避免病毒以及木馬等其他形式的威脅。系統補丁可以修補操作系統的安全漏洞,使得操作系統及時關閉“后門”。就管理方面而言,一方面,要完善管理制度,提高執行力度,管理制度必須要配合電力企業自身的網絡,有了制度保證,才可以更好地促進電力企業信息網絡的安全可靠運行;另一個方面,要開展對員工的相關培訓,提高安全意識,只有提高員工的安全意識,才能有效地避免“內部人問題”,保證企業的信息安全。就建設方面而言,要加強基礎設施建設,改善網絡環境。物理安全是電力信息網絡安全的第一道門,一定要重視企業環境,門禁、監控、滅火器等設備要保證隨時可以使用,以應對突發事件。
參考文獻:
[1] 蒲曉羽,王林虎,許明,等.電力系統安全防御體系的研究[C].2006中國電力系統保護與控制學術研討會論文集.2006.
