時間:2023-09-22 17:05:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全防范,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
(一)缺乏安全防范意識。
就目前我國各個油田企業的網絡發展情況來看,很多油田企業事先并沒有做好安全防范工作,往往都是網絡安全事故發展之后,才采取措施去解決的。這樣一來,造成了信息泄露,對油田發展十分不利。我國油田企業普遍缺少安全防范意識,這對于油田網絡安全管理十分不利,同時也將嚴重制約了我國油田企業朝著更好方向發展。
(二)網絡安全問題應急措施存在缺陷。
隨著社會經濟的發展,網絡安全問題呈現著新的發展趨勢,傳統觀念和經驗已經無法滿足當下油田網絡安全問題。我國很多油田企業處理網絡安全問題時,依舊利用傳統經驗辦事,這樣一來,很難有效解決問題,造成了故障的滯留,從而帶來較大的損失。
(三)缺乏科學技術投入。
有些油田企業的網絡設備未能跟上時展潮流,依舊停留在初始階段,一些系統設備較為陳舊,不利于當下油田信息化建設發展,影響了油田企業生產效率和經濟效益。究其原因,主要是缺乏科學技術投入,對落后設備不能進行及時有效更新,導致網絡運行不穩定,并且出現網絡安全問題。
二、油田企業網絡安全管理和防護建設措施研究
(一)建立網絡安全預警機制。
網絡安全預警機制的建立,將在很大程度上對入侵的木馬、病毒進行阻擋和預警,可以有效保護油田企業網絡安全。建立網絡安全預警機制,應該注意以下幾點問題:(1)對網絡安全設備進行及時更新,確保相關設備跟上時展潮流,具有一定的先進性。油田網絡安全設備主要涉及到CPU、流量測試設備、接口設備、網絡設備等,確保這些設備的先進性能,將有利于預警功能實現;(2)設置多樣化的警告方式,確保預警機制能夠起到重要作用。網絡預警機制,需要設置相應軟件進行預警監控,多樣化的警告方式,可以保證預警作用實現,避免單一預警信號失去效用;(3)建立相應數據監控系統,通過對數據監測,可以更好發現故障出處,有利于故障解決。在進行實際工作中,一些故障問題具有普遍性,建立數據監控系統,對故障數據進行存儲,可以方便日后故障處理,保證網絡運行穩定性。
(二)提高安全防范意識。
網絡安全防范意識的提升,從主觀上意識到網絡安全重要性,對于網絡安全管理以及防護建設具有重要意義。油田企業日常工作過程中,要注意網絡安全的維護,并且對企業員工灌輸網絡安全防護意識,大家在使用網絡時,不去瀏覽非法網頁,硬盤使用時記著查殺病毒,這樣一來,將在很大程度上切斷病毒傳輸途徑,確保網絡安全。同時,加大網絡安全維護意識以及防范意識,定期對垃圾文件進行清理,安裝病毒防火墻,檢查計算機系統是否存在漏洞,并且進行及時修復。
(三)注重網絡安全維護隊伍建設。
建立一支高素質的網絡人才隊伍,對于解決網絡安全管理問題具有重要作用。我國油田企業為了更好實現網絡安全,應該注意高素質人才隊伍建立,讓這支高素質的網絡人才隊伍,服務于網絡安全管理和防護建設當中,將更加有利于實現網絡安全目的。油田企業建立網絡人才隊伍,應該切實發揮人才在網絡安全管理中的重要作用,為油田企業網絡安全管理維護貢獻自身的力量。同時,油田企業還應該加強網絡安全技術交流,讓網絡安全人才與其他企業的人才進行交流,學習和借鑒先進經驗,更好服務于企業網絡安全管理與防護建設的工作當中。除此之外,企業在網絡安全人才建設過程中,應注意采取靈活的人才管理機制,激發員工工作熱情,為網絡安全人才提供廣闊的發展空間。
三、結束語
【關鍵詞】信息安全;安全技術;防范措施
1、前言
隨著社會和經濟的高度信息化、網絡化,現代企業的生產、管理、銷售已經和網絡密不可分,許多企業只重視利用網絡抓生產、促銷售,在全面發掘網絡帶來經濟效益的同時忽略對自身企業網絡信息安全防范的建設,一旦發生網絡信息安全問題,往往追悔莫及,保障企業網絡信息的安全可控,采取有效的防范措施是每個現代企業面臨的嚴峻問題。
2、網絡信息安全概述
對網絡信息安全定義有多種說法,本人傾向于網絡信息安全是指網絡系統的軟件、硬件及系統數據受到保護,不受意外的或惡意的原因而遭到破壞、更改、泄露,保持系統連續可靠正常地運行,網絡服務不中斷。做好企業的網絡信息系統安全首先要有良好的網絡信息安全防范意識,提高網絡信息系統軟、硬件技術保障水平、建立完善的網絡信息系統管理制度開展工作。
2.1影響網絡信息安全的因素
影響網絡信息安全的主要因素主要分為以下四大類。
2.1.1網絡信息系統的脆弱性。網絡信息系統的脆弱性包括了操作系統的脆弱性,信息系統本身的漏洞、后門,硬件系統的故障和天災人禍等,這些脆弱性使得網絡信息安全受到攻擊成為可能。
2.1.2缺乏先進的網絡安全技術、手段、工具和產品。企業在利用網絡信息開展生產、管理的同時往往缺乏安全防范意識,認為只要系統不出問題就說明沒事,對保障網絡安全系統安全的必要網絡安全技術產品不愿投入資金建設,從而造成網絡信息系統的中重大安全隱患。
2.1.3缺乏正確安全策略和管理監督制度。主要體現在部分企業認為只要購買了昂貴的網絡安全產品就萬事大吉了,缺乏正確的安全策略和管理監督制度,再好的產品也是需要員工按規定來操作和執行,沒有管理監督制度和正確的安全策略,網絡信息安全就無從談起。
2.1.4缺乏完善的網絡信息系統恢復、備份技術手段。主要體現在缺乏對網絡信息安全重要性的評估,對網絡信息受到受到攻擊、意外事件造成崩潰后缺乏網絡信息系統的恢復、備份技術和工具,造成網絡信息系統恢復的不可逆性。
3、網絡信息安全防范策略
3.1采取有效的網絡安全技術手段和措施
3.1.1采取有效身份認證技術。采取有效的身份認證技術可對具備合法信息的用戶進行確認,同時根據用戶信息對授權進行判定,給予不同的網絡信息操作權限,常用的身份認證技術主要有信息認證、密鑰認證、用戶認證等。
3.1.2防火墻技術。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間,它是一種計算機硬件防火墻件和軟件的結合,在企業內部網和外部網絡之間建立起一個安全網關,通過鑒別限制或者更改越過防火墻的各種數據流,防止外部網絡用戶未經授權的訪問,從而保護內部網免受非法用戶的侵入。
3.1.3防病毒技術。選擇先進的反病毒產品,并定期進行更新,在防病毒技術上針對企業的用戶數以服務器為基礎,提供實時掃描病毒能力,確保反病毒產品能夠部署到企業的每個工作站。確保企業所有的網絡終端都能夠部署到。
3.1.4入侵的檢測技術。入侵檢測系統能自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,有效彌補防火墻技術對內部網絡存在的非法活動監控的能力的不足,從而最大程度地為企業網絡提供安全。
3.1.5漏洞的掃描技術。通過采取漏洞掃描,及時,準確的發現自身網絡信息安全存在的漏洞和問題,有利于系統管理員采取應對措施,封堵網絡信息系統存在的漏洞和安全隱患,從而有效保障網絡信息安全,確保業務系統安全的運行。目前漏洞掃描主要分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描五種主要技術。
3.1.6加密技術。通過對企業的網絡信息安全進行加密,確保網絡信息在使用和傳輸過程中的安全性,加密算法主要分為堆成加密算法和非對稱加密算法兩類,并由此衍生出加密狗、加密軟件等各類產品。
3.1.7對有特殊安全要求的網絡建立與互聯網隔離。一些特殊產品的生產管理網絡根據其安全的密級要求實行和互聯網絡隔離,確需聯絡的需采取單向光閘等措施保證其安全性。
3.2建立完善的網絡信息安全的管理制度和安全應對策略。據統計,70%以上的信息安全威脅來自于企業內部的員工,沒有一套完善的網絡信息安全管理制度來實現對信息系統使用人員的管理,再出色的安全技術手段和產品也無法發揮作用,通過制度對人的行為進行規范,從而確保網絡信息安全落到實處。
3.3采取有效的備份、恢復措施。對企業自身的網絡信息系統做好安全等級保護評測、安全風險評估工作,針對評估情況采取對應的災難備份及恢復措施,對重要的網絡信息系統應采取包括對軟件部分、硬件以及傳輸線路的備份,在有條件的情況下應采取異地雙線路雙系統備份的方法,從而最大程度降低自然災害對網絡信息安全造成的破壞。
4、結束語
隨著信息產業化的不斷深入,網絡信息安全問題日益凸顯,企業應提高自身的網絡信息安全防范意識,在享受網絡信息化帶來的便利同時加強企業自身的網絡與信息安全管理,采取有效的技術措施,建立完善、高效的網絡信息安全管理制度,從而將企業網絡信息安全風險降到最低。
參考文獻
[1]陳震.我國信息與通信網建設安全問題初探[J].科學之友,2010年24期
關鍵詞:內部網絡;技術;措施
現在,人們雖然都對網絡安全問題有一定的了解,但是卻只有部分人群真正認識網絡安全威脅從何而來。許多人認為,企業的內部網絡威脅主要是外界的網絡攻擊,但是實際上企業的內部網絡安全威脅往往更大。
由于許多企業都對局域網和互聯網實行各種信息共享,使得企業的內部網絡往往在“眾目睽睽之下”,雖然大多數企業都有采取各類防火墻來作為護盾,但是黑客的手段也隨之提高,不時的出現各類網絡入侵進和攻擊。許多發達國家的企業在內部網絡安全方面,投資相當之多,可見內部網絡安全威脅,對于公司防范措施的選擇上有著必要的關系。
一、內部網絡存在的安全威脅
(一)交換機的安全隱患。交換機是每個企業網絡中必然存在的設備,也正因為此設備的廣泛使用,使得其在網絡中,被攻擊的次數最多。
(二) windows更新不及時。由于各個企業公司的網絡電腦眾多,所以很難保證將每臺電腦都能及時對windows軟件進行更新安裝,這也就無形中增多了安全的漏洞,使得整個內部網絡安全處于威脅當中。
(三)防病毒軟件的更新。黑客的攻擊手段,每天都在因為防病毒軟件的日益完善,而不斷提高,所以就需要企業的內部網絡及時對防病毒軟件進行更新,以便應對最新的網絡病毒。
(四)USB的使用問題。USB設備的使用頻繁度是驚人的,據相關統計,每個企業每天使用USB的頻率是所有設備最多的,但是USB設備的特殊性,使得對它的安全防范過低。Win
dows系統的USB保護措施很少,大部分系統只能使用簡單的啟用和禁用USB來作為防范措施,這顯然是不夠的,所以很多黑客都把USB存儲設備當成攻擊和入侵的主要著手點。
(五)企業內部網絡賬號密碼設置過于簡單。許多企業的內部操作者,對于賬號和密碼設置的都非常簡單,這樣給入侵者帶來極大的方便,可以說,使用這樣的屏障如履薄冰。
(六)無線網絡的使用。現在多數電腦都有無線訪問功能,但是無線連接的同時,會對有線網絡安全構成極大的威脅。
二、內部網絡安全常見的防范技術
(一)安裝防病毒軟件和防火墻。安裝防病毒軟件和防火墻,能有效保護網絡安全,但是并不能完全使得網絡處于絕對安全之中。
(二)認證技術。認證可以對各種消息系統的安全起到重要作用,它是防止各類網絡黑客入侵和攻擊的有效技術。
(三)訪問控制。訪問控制的主要功能是,使得網絡資源不會被非法訪問,更不會被非法使用,對于訪問控制的設置,可以根據網絡環境自由選擇。
(四)計算機取證技術。許多電腦本身有對黑客的入侵和攻擊行為,會有計算機取證技術對其進行重建,以便于使用法律武器打擊犯罪分子。但是現在相關法律還在不斷完善當中。
三、內部網絡安全防范的重要措施
(一)加強網絡交換機的安全防范。首先要將VLAN ID在每個端口上都有設置,對不常使用的端口禁止使用。其次要通過合理設置,關閉每個終端端口的DTP。另外對限制用戶的網訪問設置為非授權用戶。
(二)完善USB設備的安全管理。由于USB設備是最大的網絡隱患之一,因此,要作出相應應對措施。
可以將每臺電腦的USB接口封死。也可以利用相關軟件,對每個終端電腦進行管理。另外內部網絡安全系統軟件,大多擁有控制接口的功能,可以加以利用,以便控制USB設備安全威脅。
(三)進行內部網絡操作培訓。可以定期對內部員工計算機的操作進行相關培訓,減少失誤帶來的安全隱患。
(四)建立可靠的無線訪問。對整個網絡進行審查,將對工作沒有任何用處的無線網絡排除,使其處于防火墻之外。
(五)及時升級windows軟件。Windows不時就會對漏洞進行維護,并對軟件進行更新,所以,要讓內部網絡計算機及時升級更新微軟相關軟件,保障網絡安全。
(六)使用正版殺毒軟件。各類殺毒軟件,都有破解版本出現,但是離正版軟件有很大差距,所以要求企業購買比較知名的殺毒軟件。并對軟件的更新作出及時升級。
結語:網絡安全防范措施,是從不斷的日常工作經驗中,積累總結而得出的,因此要根據企業的內部實際,采用適當的相關技術,來完善補充,才能真正起到保護內部網絡安全的目的。
參考文獻:
關鍵詞:企業;網絡安全;防護
中圖分類號:TP393.08
隨著計算機和網絡技術的高速發展,網絡已經成為人們生活和工作當中必不可少的一部分。大中型企業信息化建設隨著網絡系統的快速發展也在日新月異,網絡和信息化已經融入到企業的生產和管理當中,對企業的正常運轉越來越重要。隨著大中型企業網絡和信息化業務系統的日益增多,遭受網絡安全威脅與攻擊的可能性也大大增加,一旦遭受攻擊導致網絡和信息化系統服務異常,影響到生產的話,將會給企業造成極大的經濟損失和社會負面影響。
1 企業網絡安全防護的重要性和建設目標
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。網絡安全的主要特性為:保密性、完整性、可用性、可控性和可審查行。
企業的網絡與信息化系統應用的越多,企業對網絡的依賴度就更高,目前大中型企業提高信息化發展水平已經是一種趨勢,信息化的發展必然面臨各種網絡安全威脅,若不采取相應措施保護企業網絡和信息化系統安全,則企業的網絡和信息化系統將隨時遭受攻擊而癱瘓或崩潰,影響企業的生產秩序。
大中型企業網絡所面臨的嚴峻安全形勢,使得各企業必須意識到構建完備安全體系的重要性。隨著網絡攻擊的多樣化,企業不能只針對單一方面進行網絡安全防護,應該從整理著眼,建立完整的網絡安全防護體系。完整的安全體系建設不僅要能有效抵御外網攻擊,而且要能防范可能來自內部的攻擊、入侵和泄密等威脅。
2 企業網絡安全的隱患與危害
2.1 計算機病毒
計算機病毒出現的初期,其危害主要為刪除文件數據、格式化硬盤等,但隨著計算機應用和互聯網技術的發展,計算機病毒通過網絡進行瘋狂傳播,大量消耗網絡資源,使企業甚至互聯網網絡癱瘓。
計算機病毒造成的最大破壞,不是技術方面的,而是社會方面的。計算機感染病毒后導致計算機的使用率減低,甚至導致企業、銀行等關鍵信息泄露,造成社會聲譽損失和商業風險。
2.2 黑客威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越劇烈,目前以非法牟利為目的的黑客產業鏈已經成為新的暴力產業,黑客通過網絡非法入侵計算機信息系統,肆意竊取信息系統里面存儲的用戶信息和關鍵數據等,給信息系統所有者和用戶帶來無法估計的損失。
2.3 內部威脅和攻擊
企業在管理內部人員上網時,由于對內部威脅認識不足,所以沒有采取全面的安全防范措施,導致內部網絡安全事故逐年上升。機器都是人進行操作的,由于懶惰、粗心大意或者對設備的使用和業務不太熟練等原因,都有可能造成數據的損壞和丟失,或者企業機密信息泄露。另外還有一些企業員工,為了一己私利對企業的計算機網絡系統進行攻擊和破壞。不管是有意的還是偶然的,內部威脅都是一個最大的安全威脅,而且是一個很難解決的威脅。
2.4 系統漏洞
許多網絡系統和應用信息系統都存在著這樣那樣的漏洞,這些漏洞可能是網絡建設考慮不全和系統本身所有的。另外,在企業信息化應用系統建設時,由于技術方面的不足或者為了遠程維護的方面導致應用系統在開發過程中存在漏洞或后門,一旦這種漏洞或后門被惡意利用,將會造成非常大的威脅。
3 企業網絡安全的技術防護措施
完整的網絡安全防護體系,必須具體綜合的防護技術,對攻擊、病毒、訪問控制等全面防御,目前企業網絡安全防護技術主要有以下幾種:
3.1 防火墻隔離
防火墻提供如下功能:訪問控制、數據包過濾、流量分析和監控、攔截阻斷非法數據連接、限制IP連接數等。此外通過防火墻將內網、外網和DMZ(非軍事區)區劃分不同的等級域,限制各域之間的相互訪問,達到保護內網和公共服務站點安全的目的;
3.2 VPN安全訪問系統
VPN(虛擬專用網絡)是在公用網絡上建立專用網絡的技術。VPN屬于一種安全的遠程訪問技術,通過在公網上建立一個私有的隧道,利用加密技術對數據進行加密,保證數據的私有性和安全性。
3.3 入侵檢測系統與入侵防御系統
入侵檢測系統(Intrusion Detection System)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報網絡安全設備。入侵檢測系統通過對來自外部網和內部的各種行為的實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,并記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據。入侵檢測系統采用旁路部署模式,將網絡的關鍵路徑上的數據流進行鏡像和收集分析。
入侵防御系統(Intrusion Prevention System)是一種在線部署到網絡關鍵路徑上的產品,通過對流經該關鍵路徑上的網絡數據流進行2-7層的深度分析,能精確、實時的識別、阻斷、限制各類網絡攻擊和泛洪攻擊,進行主動的、實時的防護,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷。
關鍵詞:企業網絡化;網絡辦公;信息安全管理
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-2374(2014)02-0153-02
近些年來,隨著我國經濟不斷的發展,信息技術不斷革新,企業的生存已經和計算機網緊緊綁定在一起。然而,網絡的覆蓋面和普及范圍越來越廣以及各種信息技術的不斷更新,使得網絡化辦公存在諸多安全隱患,尤其是企業信息安全問題,因而在當今網絡信息時代,保護信息等數據的安全是極為重要的。本文就針對網絡信息辦公中存在的安全問題進行了分析,并提出了相應的解決措施。
1 企業網絡化辦公中存在的安全信息問題
1.1 網絡病毒
在當今的網絡信息時代,病毒攻擊防火墻隨時隨地都在上演;病毒感染、攻擊防火墻作為盜竊信息數據的重要手段之一,其是網絡辦公不得不防的問題之一。如在網絡辦公中,經常會使用郵件進行交流、信息分享與交換,而郵件也作為當前網絡病毒入侵的渠道之一,其隱藏在電子郵件及附件之中,若是沒有采取相應的病毒防范措施,在郵件被打開的那一刻,企業的信息數據已然開始被復制或使得整個網絡辦公局域網癱瘓,給企業造成巨大的損失。
1.2 數據備份存在缺陷
企業網絡化辦公的實時性極強,信息變化速度極快,因此數據備份就顯得非常重要,如計算機中存檔的數據、歷史記錄以及檔案對企業領導層或用戶來說是非常重要的,若是沒有及時給予備份,一旦丟失,就會給企業造成不可預估的損失,輕則重要客戶信息流失,重則導致企業的正常運行受到巨大阻礙,給生產、科研造成難以估計的損失。
1.3 網絡防火墻存在漏洞
防火墻軟件作為保護企業網絡化辦公免疫病毒攻擊的主要手段之一,其隨著網絡中病毒軟件的開發而出現相應的變化,因此網絡防火墻會及時更新,這也是充分發揮網絡防火墻的作用,保證信息安全的主要手段之一。然而,由于管理人員不重視,認為實時更新防火墻軟件麻煩,導致軟件中存在漏洞,造成數據安全隱患。
2 信息安全的防范措施
2.1 安裝防病毒軟件
企業在開展網絡化辦公時,應考慮網絡中可能被病毒感染或攻擊的地方可以采取相應的防病毒措施,如以“縱深”的防御形式購買和安裝相應的防病毒軟件。網絡技術在發展,防病毒軟件在更新,病毒同樣如此,尤其是企業網絡化辦公,單機防病毒已經不足以對網絡病毒進行掃描和徹底清除,因此,必須購買和安裝能適應局域網,且全方位、無死角的防病毒軟件。防病毒軟件的安裝,能有效地識別網絡內部交流中隱藏的病毒,如郵件或附件中隱藏的病毒。
2.2 數據備份
為了保證企業重要數據不丟失,避免企業因數據丟失造成損失,對計算機中數據進行備份是極為重要的,也是必須采取的防范措施之一,這對保障企業的生產、產品研發、銷售等正常運行,有著重要的意義。企業應根據自己的經濟能力和信息的存儲及更新能力,選擇合適的數據備份方式,如網絡硬盤備份、硬盤備份等。
2.3 架設防火墻
防火墻作為當前應用最廣泛、最有效的網絡安全機制之一,其是預防和避免Internet上存在的不安全因素,如木馬病毒等,蔓延到企業使用的局域網內部的有效措施之一,也是保證整個局域網安全的重要環節之一。架設防火墻對于一個需要保證信息安全的企業來說非常有必要,它會對外部網絡和內部網絡之間流通的所有數據進行檢驗和篩選,只有符合企業所設定的信息安全策略的交流數據才能避免被防火墻攔截,同時,防火墻本身還具有極強的抗攻擊免疫能力。
2.4 設定訪問權限
訪問權限設置和控制作為防范網絡不安全因素和保證網絡安全的重要手段之一,其主要任務是避免企業內部網絡資源被非法或越權訪問和使用,這是保障企業信息安全的核心策略之一。因此,依據企業對網絡信息的實際要求,制定相應的訪問控制權限,如目錄級控制、屬性控制、網絡權限控制、網絡IP地址控制以及入網訪問控制等手段均可起到作用。
3 網絡辦公信息安全管理策略
企業網絡安全的核心在于管理,而安全管理的保證在于技術,因此“七分管理,三分技術”是保證企業網絡信息安全的重要策略和實施手段。只有制定和完善信息安全的規章制度,規范企業用戶使用信息的行為,同時與安全技術相互結合,企業使用的網絡系統及信息數據安全才有保障。
3.1 強化企業用戶的信息安全防范意識,提升其綜合素質
無論是企業決策人員,還是企業員工,其思想上對網絡安全的重視和認識對企業信息安全是極為重要的,要落實安全保密工作的職責,定期開展數據安全防范教育,并制定相應的保密措施對企業員工或領導層進行要求,提升其數據安全的預防意識和保密意識。同時,網絡信息安全管理需要專業的人才來進行相應的操作和監控,因此,企業要依據自身的實際需求,儲備和招攬相應的計算機專業人才,并定期對其進行培訓,提升企業數據安全的整體防護能力。
3.2 完善管理制度,加強管理力度
企業在實施宏觀的數據安全管理措施的同時,還要與重點、有針對性監控方式相結合,這樣才能最大程度上保障企業信息安全。同時,依據企業各個部分涉及的信息量和核心信息量大小,加強管理力度,制定并實施相關的網絡信息安全管理辦法,將每個安全管理環節進行細化,落實信息安全防范的責任,做到“誰用誰負責”,這對保證企業網絡化信息安全有著重要的意義。
3.3 加強對核心數據的管理
企業核心數據涉及到企業未來發展戰略的各個方面,其包含產品占據市場的方法、活動方案、策劃方案等各種手段,這與企業的未來息息相關,因此,加強對企業核心數據等信息的管理是非常重要的。依據核心數據管理所涉及的對象,如領導層、決策層以及網絡安全部門等人員,制定相應的制度進行規范,無論是信息的使用,還是數據的拷貝,都需要相應的秘鑰進行確認,這能有效避免數據被非法盜取或使用。
4 結語
計算機網絡技術、信息技術的快速發展,使得企業的辦公形式與業務發展發生了根本性的改變,企業的生存和盈利更是與網絡緊緊聯系在一起,而網絡中存在的病毒、黑客等不安全因素也給企業網絡化辦公的信息安全帶來巨大威脅,因此加強企業網絡信息安全的管理和防范,對企業未來的發展將會顯得越來越重要。
參考文獻
[1] 劉韞.企業網絡信息安全面臨風險及常用防護措
施[J].網絡安全技術與應用,2013,(9).
[2] 趙治誼.淺析企業網絡信息安全管理機制[J].中
國電子商務,2012,(8).
[3] 趙婷婷.關于企業網絡信息安全的防范措施研究
[J].科海故事博覽?科技探索,2013,(3).
[4] 茍有來,周琦.大中型企業網絡信息安全面臨風險
開放式計算機系統或多或少都會存在著一定的漏洞和缺陷。操作系統或軟件程序員在編寫時犯些錯誤是很正常的,各種應用軟件要穩定、良好、安全地運行在操作系統平臺上,就必須對系統進行打補丁的操作,使企業網絡免受其害。同樣,對企業網絡所使用的各類安全產品也要及時做好升級工作,查補各種漏洞和隱患,確保安全性能。
2企業網安全管理的發展趨勢
2.1現代網絡主動防御模型
現代網絡主動防御模型包括3層,分別是管理、策略和技術。
(1)管理。網絡運行過程中,網絡管理具有重要的作用,其位于安全模型的核心層次。網絡管理的對象包括網絡技術、網絡用戶和網絡制度等。網絡技術的管理可以采用相關的策略,以便能夠促進網絡安全技術成為一個集成化的、縱深化的有機整體,以便能夠有效地提高網絡安全的防護性能。網絡用戶是網絡的使用者,使網絡發揮作用的發起者,并且網絡用戶的計算機使用專業水平不同,層次良莠不齊,因此需要加強網絡用戶管理。網絡用戶管理可以通過制定相關的網絡安全防范制度、網絡使用政策等,通過學習、培訓,提高網絡用戶的安全意識,增強網絡用戶的警覺性。
(2)策略。網絡安全防御策略能夠將相關的網絡技術有機整合,優化組合在一起,根據網絡用戶的規模、網絡的覆蓋范圍、網絡的用途等,制定不同等級的安全策略,實現網絡安全運行的行為準則。
(3)技術。網絡防御技術是實現網絡安全的具體實現措施,也是網絡管理和網絡安全防御策略實現的基礎,通常情況下,網絡主動防御技術包括六種,分別是網絡預警、保護、檢測、響應、恢復、反擊等,從六個不同層面進行深度防御,能夠及時有效地發現網絡中存在的安全威脅,采取保護措施,也可以使用入侵檢測等主動發現網絡中潛在的攻擊行為,做出響應,恢復網絡運行,并且可以根據網絡攻擊行為進行反擊。
2.2現代主動防御技術
現代計算機網絡主動防御技術可以有效地檢測已經發生的、潛在發生的安全威脅,采取保護、響應和反擊措施,保證網絡安全運行。
(1)預警。網絡預警技術可以預測網絡可能發生的攻擊行為,及時發出警告。網絡應包括漏洞預警、行為預警、攻擊趨勢預警、情報收集分析預警等多種技術。漏洞預警可以根據已經發現的系統漏洞,預測未來發生的網絡威脅;行為預警可以分析黑客行為,將其分類存儲在專家系統中,基于黑客行為預測網絡威脅;攻擊趨勢預警可以采集已經發生或當前正在發生的網絡攻擊數據,分析攻擊趨勢;情報收集分析預警可以通過各類數據挖掘算法,采集、分類、建立情報信息攻擊模型,發現網絡攻擊趨勢。
(2)保護。網絡安全保護是指采用靜態保護措施,保證網絡信息的完整性、機密性,通常采用防火墻、虛擬專用網等具體技術實現。
(3)檢測。檢測是網絡主動防御系統的重要環節之一,其可以采用入侵檢測技術、網絡安全掃描技術、網絡實時監控技術等及時地檢測網絡中是否存在非法的數據流,本地網絡是否存在安全漏洞,目的是發現網絡中潛在的攻擊行為,有效地阻止網絡攻擊。
(4)響應。如果網絡預警攻擊即將發生或者網絡攻擊已經發生,網絡主動響應技術可以及時做出攻擊防范,將攻擊給網絡帶來的危害降低到最小程度。網絡主動響應技術能夠及時判斷攻擊源位置,搜集網絡攻擊數據,阻斷網絡攻擊。響應需要將多種技術進行整合,比如使用網絡監控系統、防火墻等阻斷網絡攻擊,可以采用網絡僚機技術或網絡攻擊誘騙技術,將網絡攻擊引導到一個無用的主機上去,避免網絡攻擊造成網絡癱瘓,無法使用。網絡響應的另外一項功能就是及時獲取攻擊特征信息,分析網絡攻擊源、攻擊類型、攻擊目標、危害程度、現場狀態等信息,實現電子取證。
(5)恢復。網絡攻擊發生后,可以及時采用恢復技術,使網絡服務器等系統提供正常的服務,降低網絡攻擊造成的損害。因此,為了能夠確保網絡受到攻擊后及時恢復系統,需要在網絡日常運行過程中做好系統備份工作,系統備份可以采用的技術包括現場內備份、現場外備份、冷熱備份等。
摘 要 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。 關鍵詞 信息安全;pki;ca;vpn 1 引言 隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用pki技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。 在下面的描述中,以某公司為例進行說明。 2 信息系統現狀 2.1 信息化整體狀況 1)計算機網絡 某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1 2)應用系統 經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。 2.2 信息安全現狀 為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。 3 風險與需求分析 3.1 風險分析 通過對我們信息系統現狀的分析,可得出如下結論: (1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。 (2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。 通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在: (1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。 當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。 針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。 美國聯邦調查局(fbi)和計算機安全機構(csi)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。 信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。 (2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。 已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。 網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。 3.2 需求分析 如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點: (1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。 (2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。 (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。 (4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。 4 設計原則 安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。 4.1 標準化原則 本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。 4.2 系統化原則 信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。 4.3 規避風險原則 安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。 4.4 保護投資原則 由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。 4.5 多重保護原則 任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。 4.6 分步實施原則 由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5 設計思路及安全產品的選擇和部署 信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。 圖2 網絡與信息安全防范體系模型 信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。 5.1 網絡安全基礎設施 證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用pki/ca數字認證服務。pki(public key infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的pki/ca數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標: 身份認證(authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。 數據的機密性(confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。 數據的完整性(integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。 不可抵賴性(non-repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。 5.2 邊界防護和網絡的隔離 vpn(virtual private network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。 通過安裝部署vpn系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程lan的安全連接。 集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。 集中的安全策略管理可以對整個vpn網絡的安全策略進行集中管理和配置。 5.3 安全電子郵件 電子郵件是internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。 目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關系基本是樹狀的。其次, s/mime 將信件內容加密簽名后作為特殊的附件傳送。 保證了信件內容的安全性。 5.4 桌面安全防護 對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。 桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。 1)電子簽章系統 利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入office系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。 2) 安全登錄系統 安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。 3)文件加密系統 文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。 5.5 身份認證 身份認證是指計算機及網絡系統確認操作者身份的過程。基于pki的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用usb key內置的密碼算法實現對用戶身份的認證。 基于pki的usb key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。 6 方案的組織與實施方式 網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。 圖3 因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作: (1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。 (2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。 (3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。 (4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。 7 結論 本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。 也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。 參考文獻 [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術研究中心.《電子政務總體設計與技術實現》
關鍵詞:網絡安全管理;網絡安全管理系統;企業信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。
網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統架構特點
3.3.1 統一管理,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
4 結論
隨著網絡技術的飛速發展,互聯網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此,企業對于網絡安全的要求也逐步提升,因此,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
參考文獻:
關鍵詞:電力信息;網絡安全;防范措施
信息技術的發展,為電力企業的工作效率和管理水平的提升發揮著重要的推動作用。電力信息的網絡化在促進電力企業管理的高效化的同時,也給電力企業的網絡安全帶來了極大的隱患,因而加強電力信息網絡安全性的研究滿足電力企業發展的實際需求,對于電力企業的穩定發展具有重要意義。
1影響電力信息網絡安全因素的特點
就當前電力信息網絡的總體情況來看,信息網絡安全的影響因素具有綜合化和復雜化的特點,隨著影響信息網絡安全的因素的發展,維護電力信息網絡安全逐漸成為電力企業當前所面臨的一項重要問題。信息網絡的開放性逐漸提高,一定程度上促進了電力信息網絡的不穩定性和不安全性,極易受到多種因素的影響導致信息網絡出現問題,從而對電力系統的正常運行產生嚴重影響。當前我國部分電力企業依然缺乏有效的安全防范體系設置,并且電力相關數據并未進行備份,這種情況下,一旦電力信息網路出現故障,會對電力企業的運行產生嚴重的影響。綜合來看,電力信息網絡中存在諸多不安全因素,嚴重威脅著電力系統的穩定運行。
2電力信息網絡安全的現狀
當前我國部分電力企業信息網絡的安全意識相對淡薄,相關人員也并未充分認識到電力信息網絡安全的重要性,缺乏合理有效的信息網絡安全體系來對電力信息網絡進行規范化管理,當前電力信息網絡的運行缺乏有效的制度支撐,實際管理規范效率較低。當前維護電力信息網絡安全的基礎設施并不完善,導致電力系統的穩定運行缺乏可靠的前提和基礎。尤其是電力信息網絡中的身份驗證存在一定弊端,對于不同身份角色的識別過程中存在極大的信息網絡安全隱患,亟待電力企業進行有效改善。在電力信息網絡出現安全性問題時,相關人員并不能夠及時進行有效解決,并且在解決措施的選取上也存在一定局限性。當前電力信息網絡中存在著惡意侵入、軟件漏洞以及病毒傳播等多種安全問題,個電力信息網絡的安全埋下嚴重的隱患。電力信息網絡具有高機密性,一旦遭到黑客侵入或病毒的侵害,會導致電力信息被盜,更有甚者會對電力信息進行不良的利用,導致電力資料收到嚴重損壞,從而在一定程度上對電力系統的穩定運行產生嚴重影響,不利于電力企業的經營效率和管理水平的提高。從整體上看,電力信息網絡的安全性較差。在網絡環境中,病毒的傳播會對用戶的正常操作產生嚴重的影響,開機速度慢、反應速度慢以及電腦死機等都是常出現的情況,類似的情況給用戶方帶來了嚴重的困擾。并且這種病毒會大量復制和擴散,殺毒軟件也無濟于事,從而對電腦系統產生嚴重的破壞。應用軟件的漏洞具有隱蔽性,需要不斷進行更新并對漏洞進行修復,若漏洞得不到及時的修復,會對電力信息網絡的安全埋下一定的安全隱患。
3電力信息網絡的安全防范措施
電力信息網絡的安全防范,需要相關人員制定嚴格且合理的防范措施,促進電力信息網絡安全得到可靠的保證。應當對多種因素進行衡量和分析,進而采取有針對性的措施促進電力信息網絡安全防范的科學性和有效性。
3.1加強安全管理
加強電力信息網絡安全培訓與教育,是電力企業信息網絡安全防范的重要方面,通過組織電力企業相關管理人員進行信息網絡安全教育和知識培訓,在一定程度上提高電力企業相關人員的對信息網絡安全的認識,在實際工作中能夠積極遵守相關制度和網絡安全的規定。與此同時培養員工良好的用網習慣,自覺抵制風險較高的網站,與工作無關的設備和軟件也不允許在企業電腦使用。不斷強化電力信息網絡安全,對電力信息網絡安全采取可靠的安全防護措施。電力企業的信息網絡應當進行定期殺毒,相關電力文件及時做好備份。開機口令應當不定期的進行修改,以有效的減少電力信息的泄漏。在電力信息網絡的安全防護措施上,可以采取防火墻技術、物理隔離裝置技術及信息檢測系統技術對電力信息網絡安全進行保護,不斷進行技術創新,促進電力信息網絡中的不安全因素得到有效的解決。建立多層防御體系,嚴格控制電力企業網絡的訪問權限,做好相關用戶的認證工作,以減少不必要的安全隱患。對于尤為重要的電力信息,相關管理人員應當對信息進行及時有效的保密,有效的保證網絡安全事故得到控制。
3.2防止惡意侵入
將電力信息網絡中不必要端口與服務進行關閉,要及時發現系統的漏洞,一旦出現漏洞要及時升級各種補丁,防止系統受到惡意的入侵。將電腦與系統閑置的端口和可能存在威脅的端口和服務要進行關閉,這可以有效預防黑客從這些閑置的、存有威脅的端口或服務進入、甚至破壞,如果一旦發現流行病毒后門的端口或者遠程的服務訪問,也要進行關閉。防火墻可以有效防止惡意的入侵和攻擊,是計算機系統自我保護的重要屏障。防火墻可以對各種軟件進行識別,也可以對抵抗非授權的訪問進行技術控制,內部的資源哪些可以被外界訪問,外部的服務哪些可以被內部人員訪問,都可以進行識別。防火墻的抗惡意攻擊和免疫能力較強,可以對企業內部的網絡進行劃分,對各個網段進行隔離,限制重點或者敏感部分的網絡安全。而入侵檢測系統作為防火墻的補充,為網絡提供了主動的保護功能,可以探測網絡的流量中有可能存在的入侵,攻擊或者濫用模式的發生。通過上述這些措施,有效解決電力信息網絡的安全問題。信息檢測系統技術的發展和應用,對于網絡病毒和黑客攻擊起到了較好的抵制作用,一定程度上提高了電力信息網絡的安全性。與此同時,相關人員應當進行信息網絡隱患掃面技術創新,對所有不安全因素及進行及時的發現,以便提早進行預防和控制。應當不斷開拓技術實際應用性,提高防病毒侵入技術的實際效果,將該技術應用到整體電力信息網絡系統中,實現電力信息系統的數據安全。
4結束語
從整體情況來看,電力信息網絡的安全對于電力系統的整體運行和未來發展具有重要意義,一旦電力信息網絡安全受到影響和破壞,嚴重威脅著社會經濟的穩定運行,與此同時為社會群體帶來嚴重的生活困擾。因而加強電力信息網絡安全的防范具有重要性和必要性,是當前電力企業所面臨的重要任務,應當運用多種力量對電力信息網絡進行監管和控制,促進電力信息網絡的穩定高效發展。
參考文獻
[1]蔡文檢.電力企業信息安全風險分析與防范措施[J].計算機光盤軟件與應用(信息技術應用研究),2011,(19).
[2]崔文彥.網絡信息安全技術防范措施[J].計算機光盤軟件與應用(工程技術),2011,(7).
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
論文摘要:無線網絡作為一種新型的便捷性網絡資源,正在日益普及,尤其是在現代校園中的應用更是大勢所需,但是無線網絡的安全性成為其在普及應用中的一大難題。本文經過深入分析無線網絡的安全隱患,提出了相應的防范措施,并結合校園學習生活的特點,提出了在校園中的具體應用策略,望有助于相關人士的參考與借鑒。
1、常見的無線網絡安全措施
無線網絡受到安全威脅,主要是因為“接入關”這個環節沒有處理好,因此以下從兩方面著手來直接保障企業網線網絡的安全性。
1.1 mac地址過濾
mac地址過濾作為一種常見的有線網絡安全防范措施,憑借其操作手法和有線網絡操作交換機一致的特性,經過無線控制器將指定的無線網卡mac地址下發至每個ap中,或者在ap交換機端實行設置,或者直接存儲于無線控制器中。
1.2 隱藏ssid
所謂ssid,即指用來區分不同網絡的標識符,其類似于網絡中的vlan,計算機僅可和一個ssid網絡連接并通信,因此ssid就被定為區別不同網絡服務的標識。ssid最多由32個字符構成,當無線終端接入無線網絡時須要有效的siid,經匹配ssid后方可接入。通常無線ap會廣播ssid,從而接入終端通過掃描即可獲知附近存在的無線網絡資源。比如windows xp系統自帶掃描功能,檢索附近的無線網絡資源、羅列出ssid信息。然而,為了網絡安全最好設置ap不廣播ssid,同時將其名字設置成難以猜解的長字符串。通過這種手段便于隱藏ssid,避免接入端利用掃描功能獲取到該無線網絡名稱,即使知道其存在也是難以通過輸入其全稱來接入此網絡的。
2、無線網絡安全措施的選擇
網絡的安全性和便捷性永遠是相互矛盾的關系,安全性高的網絡一定在使用前或使用中較為繁瑣,然而,科技的進步就是為了便捷我們的生活,因此,在對無線網絡進行設置時,需要兼顧安全性和便捷性這兩個主要方面,使其均衡地發展使用。
接入無線ap時選取wap加密模式的方法,此外,ssid即使被隱藏,也會被攻擊者利用相關軟件探測到,所以無需進行隱藏ssid,增強接入便捷性,在接入時實行一次性輸入密碼完成設置任務。
與此同時,采用強制portal+802.1x的認證方式,兩種方法的融合可以有效確保無線網絡的安全。來訪用戶更關注的是使用時的便捷性,對其安全性沒有過高要求。強制portal認證方式免除安裝額外的客戶端軟件,用戶通過瀏覽器認證后即可獲取網絡資源。這種便捷的方法,其不足之處就是安全性較低。倘若花費一定資金用來購置無線網絡入侵檢測設備展開主動性防御,是可以在一定程度上保障無線網絡安全性的。
其實,網絡安全技術是人類發明的,并依靠人的使用而發揮作用,所以網絡使用者是安全防線的最后一關,加強網絡使用者的安全意識,是保障無線網絡安全的根本。
3、校園無線網絡的應用
(1)在校園網絡建設中,無線網絡作為一種流程趨勢正在普及開來,同時其用戶也在日益增多。當前在校園網絡不同環境下,主要用戶分為以下幾類人群,第一類為固定用戶群,包括機關辦公、機房電腦、教學樓、試驗室等眾多使用者;第二類是活動用戶群,主要包括教師的個人電腦和學生的自用電腦;第三類為臨時用戶群,特指在學術交流會時所使用電腦上網的群體。經過劃分出三類用戶群,便于無線網絡在接入internet網絡時采取相應的安全策略,以保障整個校園無線網絡的安全性。
(2)校園無線網絡的安全措施除了進行wep數據加密協議外,更要結合不同用戶群特點,制定相應的安全防范措施。對于固定用戶群可以實行綁定mac地址,限制非法用戶的訪問,網絡信息中心通過統一分配ip地址來配置mac地址,進行這種過濾策略保障無線網絡的安全運行;針對活動用戶群實行端口訪問控制,即連接工作站sta和訪問點ap,再利用802.1x認證ap服務,一旦認證許可,ap便為sta開通了邏輯端口,不然接入被禁止執行。802.1x需要工作站安裝802.1x的客戶端軟件,并在訪問點內置802.1x的認證,再作為radius的客戶端把用戶的認證信息轉發至radius服務器。802.1x不僅控制端口的訪問,還為用戶提供了認證系統及其計費功能。
ap隔離措施近似于有線網絡的vlan,對無線客戶端進行全面隔離,僅可訪問ap所連接的固定網絡,進而增強接入internet網絡的安全性;最后一類臨時用戶群,可以通過設置密碼限制訪問,無密碼者無法接入無線網絡,利用此手段保障授權用戶安全穩定的使用無線網絡,避免他人肆意進入無線網絡發生干擾,尤其適合于會議等臨時性場所的使用。
4、結語
建設校園無線網絡,可以為校園學習生活帶來極大的便捷性,但與此同時,其中也潛在著安全隱患,無線網絡技術需要不斷研究、完善,方可保證校園無線網絡的安全性、可靠性,實現校園的現代化網絡建設。
無線網絡中的威脅無處不在,不法分子利用網絡技術手段可以竊取校園中傳輸的重要數據,截取或篡改教學數據,嚴重威脅著學校中重要資料的安全性。只有結合上述相應手段,才能有效控制非法用戶侵入校園無線網絡,維持校園無線網絡的純凈度,實現健康資源的共享。其實,無線網絡的安全防范措施還有很多,須要在科學技術的發展進步中,不斷分析,進行完善,以共同打造美好的校園網絡學習生活為目標。
參考文獻
[1]孔雪蓮.淺談無線局域網中的安全及黑客防范[j].電腦知識與技術(學術交流),2007(13).
[2]蘆艷芳,吳娜.淺談威脅無線網絡安全的途徑與防范措施[j].計算機光盤軟件與應用,2010(1).
關鍵詞:網絡結構;數據備份;網絡管理
1、宣鋼計算機局域網簡介
宣鋼計算機局域網始建于2002年,網絡實現了東、西區通訊中心、公司大樓三個主節點與各子單位二級節點之間千兆互連和百兆到桌面,實現了宣鋼公司網絡與Internet互連,為收集、了解國內外市場、高新生產技術、先進經營管理方法等信息提供快速、及時的手段。網絡上主要運行有:辦公自動化(OA)、檔案、醫保、計量、運銷、財物、視頻監控、ERP等應用系統。近幾年隨著宣鋼信息化建設的不斷發展,網絡用戶、應用系統不斷增加,計算機局域網安全在企業中顯得越來越重要了。
2、 宣鋼計算機局域網安全現狀
2.1物理安全
保證企業局域網內各種設備的物理安全是整個網絡安全的前提,物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
2.2網絡結構安全
網絡結構的安全是整個網絡安全的基礎。在整個網絡結構的安全方面,主要考慮網絡結構、系統和路由的優化。網絡結構的建立要考慮環境、設備配置與應用情況、網絡維護管理、網絡應用與業務定位等因素。
2.3病毒的入侵
目前開放的網絡病毒具有感染速度快、擴散面廣、難于徹底清除、破壞性大特點,它通過共享文件夾、系統漏洞、管理員弱口令、移動設備、垃圾郵件,MSN等方式進行傳播。它們的快速傳播導致局域網計算機相互感染,直接影響網絡的工作,不但降低網絡速度,影響工作效率,而且破壞文件系統和網絡資源,甚至造成計算機和網絡系統的癱瘓。
2.4數據備份系統安全
隨著辦公自動化(OA)、醫保、檔案、ERP等系統的深入應用,系統內的服務器擔負著宣鋼企業的關鍵應用,存儲著重要的信息和數據。因此,建立可靠的網絡數據備份系統,保護關鍵應用的數據安全是網絡建設的重要任務,在發生人為、設備或自然災難的情況下,保證數據不丟失。
2.5網絡管理安全
網絡管理是網絡安全中最重要的部分,責權不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險,因些加強網絡管理、建立健全安全管理是不可缺少的一項。
3、宣鋼計算機局域網安全防范策略
3.1物理安全策略
宣鋼東、西區通訊中心、公司大樓三個網絡核心機房環境、電源及防雷接均滿足《建筑與建筑群綜合布線系統工程設計規范》的要求。在地板均采用防靜電活動地板,保證所有網絡設備的導線電纜的連接、管道的連接及檢修更換都很方便。空調系統采用愛默生機房專業空調,保證了機房設備能夠連續、穩定、可靠的運行。機房供電設備采用艾默生網絡UPS不間斷電源供電,維護人員可以利用WEB瀏覽器,通過SNMP卡內置WEB服務器,可實時監測到UPS狀態、運行參數和歷史告警,保證了機房的供電系統的穩定。
3.2網絡結構安全策略
在網絡結構上,主干網絡采用冗余的環形拓撲結構,使主干鏈路實現更高的安全性和可用性。Cisco6509作為核心交換機,同時加裝了冗余引擎板,當發生故障時,可迅速切換,保證了整個網絡的連續運行。接入層交換機與核心交換機采用光纖冗余捆綁連接的方式,線路得到冗余。
在出口防火墻pix525和計費網關之間增加流量管理設備ALLOT AC-802,在東區cisco6509上部署網絡分析儀FLUKE,監控東區到總公司,東區到西區的主干鏈路流量。同時在網絡中部署了流量管理系統、防火墻系統、以及IP地址反查追蹤技術等系統和技術手段,對外網的攻擊和內網的不良行為,進行過濾和實時統計,從技術上嚴格把關,保證網絡安全。
3.3病毒防范策略
在局域網內架設企業網絡版的Rising殺毒軟件、內網補丁服務器,使得局域網內所有計算機通過安裝殺毒軟件、定期更新病毒庫和及時打補丁等方法對電腦病毒進行全面防治,減少病毒、木馬的襲擊。同時布署Solarwinds進行相關端口流量等基礎數據的分析,及時定位使得病毒發生時,可以快速的定位故障機器,停止故障機器病毒的影響,從而減少病毒對網絡的沖擊。
3.4數據備份系統安全策略
在局域網中,數據備份應用系統的關鍵服務器從硬件上采用雙機熱備份技術,由兩臺服務器系統和與外接共享磁盤陣列柜及相應的雙機熱備份軟件組成。數據存放在外接共享磁盤陣列中,在一臺服務器出現故障時,備機主動替代主機工作,保證網絡中服務的不間斷。普通服務器數據備份在硬件上采用網絡存儲、磁盤陣列或磁帶庫等設備,通過SQL Server、Symatec back Exec等專業備份軟件,根據不同需求設定備份控制策略,自動地將服務器中數據通過網絡備份到網絡存儲、磁盤陣列或磁帶庫中,從而保證了網絡中數據的可靠性、完整性和安全性。
3.5網絡管理安全策略
3.5.1加強領導和職工的安全能力和意識的培訓
在網絡安全中,人是網絡安全中最薄弱的環節,為提高領導和職工網絡安全能力和意識,宣鋼網絡管理部門注重對領導和職工的網絡安全知識的培訓工作,定期組織對領導和職工進行網絡安全知識的培訓,通過培訓,提高領導和職工的網絡安全意識和安全防范能力,減少人為因素對網絡安全的影響。
3.5.2制定相關的規程和管理制度
制訂了《宣鋼網絡管理辦法》、《宣鋼網絡用戶管理辦法》、《宣鋼計算機網絡與信息系統安全和保密管理辦法》等制度對網絡系統進行規范管理,并且有針對性的采取措施,按照誰主管、誰負責和預防為主、綜合治理、人員防范與技術防范相結合的原則,保證網絡系統的安全、可靠、有效運行。
