時間:2023-10-10 16:08:36
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡管理制度,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
保護企業網絡系統的軟件、硬件及數據不遭受破壞、更改、泄露,信息系統連續可靠地運行是企業網絡安全的基本要求。企業網絡安全分為物理安全和邏輯安全,邏輯安全是對信息的保密性、完整性和可用性的保護。物理安全是對計算機系統、通信系統、存儲系統和人員采取安全措施以確保信息不會丟失、泄漏等。目前企業網絡中缺乏專門的安全管理人員,網絡信息化管理制度也不健全,導致了部分人為因素引發的企業網絡安全事故。因此企業網絡安全必須從技術和管理兩個方面進行。
2企業網絡安全所面臨的威脅
企業網絡安全所面臨的威脅除了技術方面的因素外,還有一部分是管理不善引起的。企業網絡安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關的管理制度
俗話說“三分技術,七分管理”,管理是企業信息化中重要的組成部分。企業信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業網絡安全的風險,給企業網絡造成安全事故。由于大部分企業沒有專門的網絡安全管理人員,相關的網絡管理制度也不完善,實際運行過程中沒有嚴格要求按照企業的網絡安全管理制度執行。以至于部分企業選用了最先進的網絡安全設備,但是其管理員賬號一直使用默認的賬號,密碼使用簡單的容易被猜中的密碼,甚至就是默認的密碼。由于沒有按照企業信息化安全管理制度中密碼管理的相關條款進行操作,給系統留下巨大的安全隱患,導致安全事故發生。
2.2技術因素導致的主要安全威脅
企業網絡應用是架構在現有的網絡信息技術基礎之上,對技術的依賴程度非常高,因此不可避免的會有網絡信息技術的缺陷引發相關的安全問題,主要表現在以下幾個方面。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質中,當條件滿足時就會被激活。企業網絡中的計算機一旦感染病毒,會迅速通過網絡在企業內部傳播,可能導致整個企業網絡癱瘓或者數據嚴重丟失。
2.2.2軟件系統漏洞
軟件的安全漏洞會被一些別有用心的用戶利用,使軟件執行一些被精心設計的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機密數據泄露或系統控制權被獲取,從而引發安全事故。
3企業網絡安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業信息化管理部門要建立完整的企業信息安全防護制度,結合企業自身的信息系統建設和應用的進程,統籌規劃,分步實施。做好安全風險的評估、建立信息安全防護體系、根據信息安全策略制定管理制度、提高安全管理水平。企業內部的用戶行為約束必須通過嚴格的管理制度進行規范。同時建立安全事件應急響應機制。配備專門的網絡安全管理員,負責企業網絡的系統安全事務。及時根據企業網絡的動向,建立以預防為主,事后補救為輔的安全策略。細化安全管理員工作細則,如日常操作系統維護、漏洞檢測及修補、應用系統的安全補丁、病毒防治等工作,并建立工作日志。并對系統記錄文件進行存檔管理。良好的日志和存檔管理,可以為預測攻擊,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持。
3.2防病毒技術
就目前企業網絡安全的情況來看,網絡安全管理員主要是做好網絡防病毒的工作,主流的技術有分布式殺毒技術、數字免疫系統技術、主動內核技術等幾種。企業需要根據自身的實際情況,靈活選用,確保殺毒機制的有效運行。
3.3系統漏洞修補
現代軟件規模越來越大,功能越來越多,其中隱藏的系統漏洞也可能越來越多。不僅僅是應用軟件本身的漏洞,還有可能來自操作系統,數據庫系統等底層的系統軟件的漏洞引發的系列問題。因此解決系統漏洞的根本途徑是不斷地更新的系統的補丁。既可以購買專業的第三方補丁修補系統,也可以使用軟件廠商自己提供的系統補丁升級工具。確保操作系統,數據系統等底層的系統軟件是最新的,管理員還要及時關注應用系統廠商提供的升級補丁的信息,確保發現漏洞的第一時間更新補丁,將系統漏洞的危害降到最低。
4結束語
關鍵詞:網絡安全;網絡隔離;訪問控制;網絡管理;安全審計
中圖分類號:TP393.098 文獻標識碼:A文章編號:1007-9599(2012)01-0000-02
The Security Design of Computer Network for Enterprise
Yang Yan
(China Railway No.5 Engineering Group Co.,Ltd,Mechanization Engineering Co., Ltd.,Hengyang421002,China)
Abstract:Network security ensure the normal operation of the enterprise network premise,enterprise network security is receiving more and more attention.This paper,from the network security separate, network security access and access control,host and system platform security, network security monitoring and audit,enterprise network security management system protection aspects,and puts forward how to make full use of the limited funds,mature technology,weigh the safety and efficiency,network all directions and meticulous planning design,make enterprise network safety effectively strengthen and improve.
Keywords:Network security;Isolation;Access control;Network management;
Security audit
21世紀以來,隨著計算機網絡技術的飛速發展,我們邁入了以網絡為核心的信息時代。許多企業都構建了企業網絡運營平臺,企業經營、生產與管理對計算機網絡的依賴性日益增強。網絡規模的不斷增大,網絡結構的日益復雜都對網絡安全提出了更高的要求。網絡安全應從整體上考慮,全面覆蓋網絡系統的各個方面,針對網絡、系統、應用、數據做全面的防范。
目前,大多數企業都建設了以辦公系統(OA)為中心,集成公文流轉、即時消息、門戶網站、業務應用的辦公系統,這些系統均以網絡平臺為支撐,采用B/S模式運行,并且各系統對于安全性要求不同。安全可靠性不同的多種應用,運行在同一個網絡中,給黑客、病毒攻擊提供了方便之門,給企業的網絡安全造成了極大的威脅。
在一定的資金支持下,網絡管理都要在網絡安全程度和建設成本之間作出取舍,充分使用現有的成熟技術,并且盡可能地發揮管理的功效,提高企業網絡安全,為業務系統的安全、穩定運行保駕護航。我們可以采用了以下技術和策略提高網絡的安全性。
一、網絡安全隔離
網絡隔離有兩種方式:物理隔離和邏輯隔離。將網絡進行隔離后,為了能夠滿足網絡內授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間應采取不同的訪問策略。
物理隔離是最安全的網絡隔離方式,但是它的建設成本非常大,要求在網絡設備、計算機終端、網絡線路上都進行重復性投資,花費很大,除的計算機信息系統必須實行物理隔離外,其它系統以邏輯隔離方式為主。
考慮企業的應用情況,針對不同業務的不同需求,劃分不同的虛擬子網(VLAN)進行邏輯隔離。例如:為財務、人力、工程各部門的客戶端劃分單獨的VLAN,通過將不同用戶或資源劃分到不同的VLAN中,利用路由器或者防火墻對VLAN間的訪問進行控制。
二、網絡安全準入與訪問控制
企業在信息資源共享的同時也要阻止非授權用戶對企業敏感信息的訪問,訪問控制的目的是為了保護企業在信息系統中存儲和處理信息的安全,它是計算機網絡信息安全最重要的核心策略之一,是通過準入策略準許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。
(一)網絡邊界安全設計。企業一般有大量業務數據流運行于Internet網絡,在企業內外網絡的邊界處,部署網絡防火墻,實現私有地址和公有地址的相互映射和轉換,屏蔽內部網絡結構,并按照最小需求原則配置訪問策略,以防范來自外部的威脅與攻擊。
(二)內部網絡用戶準入。采用DHCP服務器做地址綁定,用戶IP地址與MAC地址做一對一保留,防止網絡接入的隨意性,并在交換機設置DHCP Snooping、動態ARP檢測防止用戶任意修改IP,保證地址獲取的合法性。對于重要的業務系統服務器,還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定,可以有效的阻止ARP等病毒的攻擊。
(三)分支機構及移動辦公用戶的準入。外部用戶訪問企業內網,應在基于VPN的撥號接入之上,建立AAA認證服務器,一方面方便用戶經常更換口令,另一方面可以實施更加嚴格的安全策略,并且對這些策略的實施予以監視。
為了方便用戶對資源的訪問和管理網絡,有必要建立一個統一的安全認證及授權系統,統一的帳號管理有助于確保安全策略的實施及管理。
三、主機與系統平臺安全
網絡是病毒傳播最好最快的途徑之一。在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,它使得網絡癱瘓、機密信息泄漏、重要業務系統不能提供正常服務,嚴重影響網絡安全,造成不良的社會影響。計算機病毒的防范是網絡安全性建設中重要的一環,在企業網中應建立一套網絡版的防病毒系統,它能構造全網統一的防病毒體系,支持對網絡、服務器、工作站的實時病毒監控;能夠在中心控制臺向多個目標分及安裝新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,支持廣泛的病毒處理選項;支持病毒主機隔離;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
其次,為了彌補防病毒軟件被動防范的不足,可采用兩種策略提高網絡主動防范的能力。
(一)在網絡邊界防火墻上配置嚴格的安全策略,強制關閉常見病毒攻擊的服務端口,防止病毒入侵。在核心層和匯聚層交換機上,依據業務數據流流向建立一系列的訪問控制列表,服務器只向必須訪問它的客戶端開放,其它客戶端一概被策略拒絕訪問。
(二)由于企業中大多數計算機安裝Windows系列的操作系統,所以在網絡中建設一套Windows補丁分發系統,利用微軟的WSUS服務器進行強聯動,輔以行之有效的用戶端保護措施,幫助客戶機高效、安全的完成Windows補丁更新,解決為Windows系統自動安裝系統補丁程序的問題,進一步提高了計算機安全性,當然也提高了網絡的安全性。
四、網絡安全監測與審計
(一)網絡管理系統。利用網絡管理系統軟件,實現對網絡管理信息的收集、整理、預警,以視圖方式實時監控各種網絡設備運行狀態。網絡管理一般包括網絡性能管理,配置管理,安全管理,計費管理和故障管理等五大管理功能。建立針對全網絡的管理平臺,對網絡、計算機系統、數據庫、應用程序等進行統一監管理,把網絡系統平臺由原先的被動管理轉向主動監控,被動處理故障變為主動故障預警。
(二)網絡入侵檢測。作為防火墻功能的有效補充,入侵檢測/防御系統(IDS/IPS)可實時監控網絡傳輸,主動檢測可疑行為,分析網絡外部入侵信號和內部非法活動,在系統遭受危害前發出報警,對攻擊作出及時的響應,并提供相應的補救措施,最大限度地保障網絡安全。
(三)網絡安全審計。將網絡安全審計系統布署在企業網絡中,能夠監控、審查、追溯內部人員操作行為,防止企業機密資料泄露,統計網絡系統的實際使用狀況,幫助管理者及時發現潛在的漏洞和威脅,為企業的網絡提供保障,使企業的網絡資源發揮應有的經濟效益。
五、企業網絡安全管理制度保障
管理是企業網絡安全的核心,技術是企業安全管理的保證。網絡安全系統必須包括技術和管理兩方面。只有完整的規章制度、行為準則并和安全技術手段結合,網絡系統的安全才會得到最大限度的保障。只有制定合理有效的網絡管理制度來約束員工,這樣才能最大限度的保證企業網絡平穩正常的運轉,例如禁止員工濫用計算機,禁止利用工作時間隨意下載軟件,隨意執行安裝操作,禁止使用IM工具聊天等。最終制度通過網絡管理平臺得以具體體現,管理平臺使得制度被嚴格的執行起來。
六、結束語
本文從分析企業網絡安全形勢入手,指出當前網絡安全存在的問題,然后提出了一套較詳細的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全審計。本文從技術手段上、可操作性上都易于實現、易于部署,為企業提供了實用的網絡安全性設計。
參考文獻:
【關鍵詞】企業網絡;信息安全;內部威脅;對策
1企業網絡信息安全的內部威脅的分析
1.1隨意更改IP地址
企業網絡使用者對于計算機IP地址的更改是常見的信息安全問題,一方面更改IP地址后,可能與其他計算機產生地址沖突,造成他人無法正常使用的問題,另一方面更改IP的行為將使監控系統無法對計算機的網絡使用進行追溯,不能準確掌握設備運行狀況,出現異常運行等問題難以進行核查。
1.2私自連接互聯網
企業內部人員通過撥號或寬帶連接的形式,將計算機接入互聯網私自瀏覽網絡信息,使企業內部網絡與外界網絡環境的隔離狀態被打破,原有設置的防火墻等病毒防護體系不能有效發揮作用,部分木馬、病毒將以接入外網的計算機為跳板,進而侵入企業網絡內部的其他計算機。
1.3隨意接入移動存儲設備
移動硬盤、U盤等移動存儲設備的接入是當前企業內部網絡信息安全的最大隱患,部分企業內部人員接入的移動存儲設備已經感染了病毒,而插入計算機的時候又未能進行有效的病毒查殺,這使得病毒直接侵入企業計算機,形成企業信息數據的內外網間接地交換,造成機密數據的泄漏。
1.4不良軟件的安裝
部分企業盡管投入了大量資金在內部網絡建設與信息安全保護體系構建之中,但受版權意識不足、軟件購置資金較少等原因的限制,一些企業在計算機上安裝的是盜版、山寨軟件,這些軟件一方面不能保證計算機的正常使用需求,對企業內部網絡的運行造成一定影響,同時這些軟件還可能預裝了部分插件,用于獲取企業內部資料信息,這都對內網計算機形成了一定的威脅。
1.5人為泄密或竊取內網數據資料
受管理制度不完善、監控力度不完善等因素的影響,一些內部人員在企業內部網絡中獲取了這些數據信息,通過攜帶的移動存儲設備進行下載保存,或者連接到外網進行散播,這是極為嚴重的企業網絡信息安全的內部威脅問題。
2企業網絡信息安全的內部威脅成因分析
2.1企業網絡信息安全技術方面
我國計算機與網絡科學技術的研究相對滯后,在計算機安全防護系統和軟件方面的開發仍然無法滿足企業的實際需求,缺少適合網絡內部和桌面電腦的信息安全產品,這使得當前企業網絡內部監控與防護工作存在這漏洞,使企業管理人員不能有效應對外部入侵,同時不能對企業內部人員的操作行為進行監控管理。
2.2企業網絡信息安全管理方面
在企業中,內部員工對于信息安全缺乏準確的認知,計算機和內部網絡的使用較為隨意,這給企業網絡安全帶來了極大的隱患。同時,企業信息管理部門不能從自身實際情況出發,完善內部數據資料管理體系,在內部網絡使用上沒有相應的用戶認證以及權限管理,信息資料也沒有進行密級劃定,任何人都能隨意瀏覽敏感信息。另外,當前企業網絡信息安全的內部威脅大多產生于內部員工,企業忽視了對員工的信息安全管理,部分離職員工仍能夠登錄內部網絡,這使得內部網絡存在著極大的泄密風險。
3企業網絡信息安全的內部威脅解決對策
3.1管控企業內部用戶網絡操作行為
對企業內部用戶網絡操作行為的管控是避免出現內部威脅的重要方法,該方法能夠有效避免企業網絡資源非法使用的風險。企業網絡管理部門可在內部計算機上安裝桌面監控軟件,為企業網絡信息安全管理構筑首層訪問控制,從而實現既定用戶在既定時間內通過既定計算機訪問既定數據資源的控制。企業應對內部用戶或用戶組進行權限管理,將內部信息數據進行密級劃分,將不同用戶或用戶組能夠訪問的文件和可以執行的操作進行限定。同時,在用戶登錄過程中應使用密碼策略,提高密碼復雜性,設置口令鎖定服務器控制臺,杜絕密碼被非法修改的風險。
3.2提高企業網絡安全技術水平
首先管理部門應為企業網絡構建防火墻,對計算機網絡進程實施跟蹤,從而判斷訪問網絡進程的合法性,對非法訪問進行攔截。同時,將企業網絡IP地址與計算機MAC地址綁定,避免IP地址更改帶來的網絡沖,同時對各計算機的網絡行為進行有效追蹤,提高病毒傳播與泄密問題的追溯效率。另外,可通過計算機屬性安全控制的方式,降低用戶對目錄和文件的誤刪除和修改風險。最后,應對企業網絡連接的計算機進行徹底的病毒查殺,杜絕病毒的內部蔓延。
3.3建立信息安全內部威脅管理制度
企業網絡信息安全管理工作的重點之一,就是制定科學而完善的信息安全管理制度,并將執行措施落到實處。其中,針對部分企業人員將內部機密資料帶離企業的行為,在情況合理的條件下,應進行規范化的登記記錄。針對企業網絡文件保存,應制定規律的備份周期,將數據信息進行匯總復制加以儲存。針對離職員工,應禁止其帶走任何企業文件資料,同時對其內部網絡登錄賬號進行注銷,防止離職員工再次登入內部網絡。
3.4強化企業人員網絡安全培訓
加強安全知識培訓,使每位計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。加大對計算機信息系統的安全管理,防范計算機信息系統泄密事件的發生。加強網絡知識培訓,通過培訓,掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
4結語
綜上所述,信息安全是當前企業網絡應用和管理工作的要點之一,企業應嚴格管控企業內部用戶網絡操作行為,提高企業網絡安全技術水平,建立信息安全內部威脅管理制度,強化企業人員網絡安全培訓,進而對企業網絡信息安全內部威脅進行全面控制,從而提高敏感信息與機密資料的安全性。
參考文獻
[1]張連予.企業級信息網絡安全的設計與實現[D].吉林大學,2012.
按照網絡系統安全分析結果、安全策略的要求、安全目標的制定、成本控制,整個網絡安全方案應系統化建立,具體的網絡安全控制系統由以下幾個方面組成:
1.1物理設備的安全
中小企業網絡基于成本考慮大多沒有完全滿足國家及行業標準要求的中心機房或者在在防塵、防潮、防雷、抗靜電、阻燃、絕緣、隔熱、降噪音等眾多方面不能完全滿足。中小型企業可在現有條件下,選擇防水性能好的可密閉的房間改造為中心機房,并且鋪設防靜電地板,做好防雷擊處理,同時布線要盡可能按照機房綜合布線要求進行,空調和UPS也必須安裝;運用有限的資源對網絡重點部位加強防范,保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。
1.2合理的網絡拓撲結構
網絡拓撲結構直接影響到網絡系統的安全性。當企業內部的主機與外部通信時,網絡內部的主機安全就會受到威脅,同時與主機連接的內部網絡設備和系統也一同受到影響。因此,有必要將公開服務器(WEB、DNS、EMAIL、FTP等)和外網與企業內部其它業務網絡進行隔離,避免網絡結構信息外泄,對需要兼顧使用內外網的主機,通過安裝隔離卡進行內外網分離;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。即使中小型企業的網絡拓撲結構和應用都非常簡單,使用防火墻仍然是必需的和必要的;如果企業的網絡環境和應用比較復雜,那么防火墻將能夠帶來更多的好處,防火墻是網絡建設中不可或缺的部分;如果從成本方面考慮,在允許的情況下,直接通過防火墻接入Internet也是可行的,在今后需要的時候再增加路由器,畢竟這樣不會帶來投資上的任何損失;當然采用防火墻接入廣域網需要對入方式(鏈路和接口)、支持的協議和用戶數量進行綜合考慮。企業員工通過Internet訪問內網,最簡單和安全的辦法是架設VPN服務器,防火墻、路由器和網絡操作系統都可以實現這一功能。
1.3操作系統的安全
操作系統是網絡攻擊的直接對象,應盡量采用安全性較高的操作系統并進行必要的安全配置,及時給系統打補丁,關閉不常用卻存在安全隱患的應用、服務以及端口,對保存有用戶信息及口令的關鍵文件(如UNIX下的/bin、/etc/shadow、/etc/groups,WindowsNT下的LMHOST、SAM等)的使用權限進行嚴格限制。對服務器的訪問可以通過如下幾個方面來控制,比如制定嚴格的管理制度,配置ACL,通過交換機劃分VLAN,使用應用網關。防病毒措施可在服務器中安裝服務器端防病毒系統,以提供對病毒的檢測、清除、免疫和對抗能力,在客戶端的主機也應安裝單機防病毒軟件,將病毒在本地清除而不至于擴散到其他主機或服務器。
1.4數據存儲的安全
中小型企業的數據安全雖然不能像大型企業一樣部署成本高昂的雙機熱備、存儲區域網絡(SAN,StorageAreaNetwork)、異地容災和入侵檢測控制設備,但也不能只依靠簡單的RAID設置;隨著千兆網的普及網絡存儲器(NAS,NetworkAttachedStorage)也是中小型企業一個不錯數據存儲解決方案;在RPO/ROT(RecoveryPointObjective/RecoveryTimeObjective)要求不高的情況下,手動備份數據仍然是中小型企業數據安全的重要選擇;云存儲也是防止數據丟失的一種低成本方案,需要注意的是,云存儲法律空白并不能保證數據不外泄,選擇良好的云存儲提供商非常重要。針對數據外泄,基于主機的入侵檢測設備和網絡系統端點防護也許是目前最好產品,但中小型企業還可以選擇采購成本和使用成本更低的透明加密軟件,透明加密軟件所謂透明是指對使用者來說是未知的,當使用者在打開或編輯指定文件時,系統將自動對未加密的文件進行加密,對已加密的文件自動解密。文件在硬盤上是密文,在內存中是明文,一旦離開使用環境,由于應用程序無法得到自動解密的服務而無法打開,從而起來保護文件內容防止文件外泄。
1.5管理制度是否完善
計算機網絡管理首先是企業管理的一部分,必須服從企業管理的總體要求,與企業管理緊密結合,但計算機網絡管理又有其獨特性,有著一套完整的規章制度,從操作技術和安全意識兩方面規范員工的網絡行為,提高員工的網絡安全水平。計算機操作規范是對全體員工的普遍要求,如不使用來歷不明的軟件或盜版軟件,U盤使用前要首先進行殺毒、不能打開來源不明郵件等;對員工的定期或不定期的計算機網絡操作和安全培訓是必須的,只有提高了員工的安全意識,并自覺遵守有關規定,才能從根本上防止病毒對網絡信息系統的危害,而這種培訓往往可以包含在一個企業晨會中。中小型企業通常只有幾個甚至只設一個網絡管理員,網絡管理員不但要負責網絡系統正常運行、維護其中的設備,還要負責網絡管理和系統管理,有的企業還需要網絡管理員進行一些簡單的網站建設和網頁制作等工作,因此在機房、線路、設備、軟件、災備等方面都要制定出完整的管理制度,避免因為匆忙而變得毫無頭緒。
2結束語
(河南龍宇能源股份有限公司,河南 商丘 476600)
摘 要:本文主要針對信息化財務管理存在的問題提出若干對策,以期能給企業財務管理有所幫助。
關鍵詞 :信息化;財務管理;對策探究
中圖分類號:F235文獻標志碼:A文章編號:1000-8772(2015)19-0142-01
收稿日期:2015-06-12
作者簡介:劉瑞(1987-),女,漢族,河南周口人,本科,初級會計師,科員,研究方向:財務管理信息化。
現如今,經濟全球化的發展,市場競爭更加激烈,企業應該加快信息化應用速度,掌握好信息技術,完善企業各項管理系統共同作用的綜合系統。縱觀當前的經濟管理模式,信息化財務管理已然成為一種趨勢,學會運用和懂得運用才能更好地響應時代的發展[2]。對于信息化財務管理中出現的一些不足,本文提出幾個相應對策,以供參考。
1.信息化財務管理存在的問題
1.1網絡技術安全性問題
網絡本身就帶有一定的威脅性,其中外界因素和企業內在因素都是造成計算機網絡的不安全,現代化網絡共享性難以保障財務管理的安全性[3]。其中外界因素包括木馬病毒、黑客襲擊等。本身就潛伏著大量的病毒,隨時都會破壞計算機,甚至造成系統崩潰。病毒進入計算機主要是通過各種網頁瀏覽傳播,隨意安裝計算機彈跳出來的軟件,在沒有任何安全考慮環境下點擊游戲頁面。計算機內在因素則指企業對網絡安全系統管理缺乏有效的措施,沒有嚴格規范條例,允許任何人進入公司網頁,這樣就會泄露公司以及個人隱私,使之不法分子有機可趁。另外,企業網絡系統管理人員在技術上有一定的缺陷,缺乏網絡安全意識,不懂得如何建立防護措施,任意瀏覽其它網頁,所以在一定程度上形成網絡安全問題。
1.2計算機設備及管理制度欠缺,財務管理系統紊亂
過硬的計算機設備可以有效的提高工作效率,員工也能順利完成工作。在信息化管理工作當中具備過硬的設備措施,可以保障企業網絡系統的安全性,減少網絡問題的存在。而制定一個完整的管理制度,有助于推進管理進程。目前,很多中小企業缺乏過硬的管理設備,硬件設施不夠安全,導致計算機系統容易出現崩潰狀態。同時,管理制度也不是十分健全,使之難以掌握信息化財務管理系統,及其影響企業發展。松散的財務管理系統,導致難以理解財務軟件的運用,在此過程中信息和資源便形成共享,于是增加了信息泄露的風險。
1.3在網絡管理系統中缺乏專業人才,與管理人員知識形成矛盾
在企業信息化管理系統中,專業人才是不可或缺的。足夠的人力和專業的人才有利于管理企業財務,彌補計算機設施的不足。而目前有很多企業管理人員在網絡系統管理方面并不是專業人員,于是在一定程度上和技術人員合作意識不夠強烈,易缺乏更高層面上信息財務管理合作。在這方面,企業領導者應該重視管理人員和財務人員兩方的互相合作。
2.信息化財務管理的建議
2.1鞏固內部網絡系統管理
針對網絡安全性問題企業需加強網絡系統管理,保障財務安全。也就是通過加強各種網絡技術來保護管理系統,實施硬件保護,避免財務管理信息受到攻擊。比如通過加密的方式鎖定計算機系統,加強賬戶安全,防止黑客襲擊或人為破壞;企業在錄入數據之前保證其真實性,采用專業人員檢驗財務信息;禁止安裝各種殺毒軟件、聊天工具等,確定其安全性再進行選擇性的安裝;由專業人員對備份的財務信息進行嚴格保管,以備不時之需。
2.2加強計算機設備,采用新技術
采用新設備對企業信息化的財務管理有效的進行安全保護,淘汰過時的計算機軟件技術,應用新型技術加強系統管理措施。選擇技術保護措施之前,需嚴格把關其可靠性和產生的不利影響,同時檢查計算機設備,定時維修保護,從根本上建立安全有效管理措施。相對企業而言,根據自身條件選擇財務軟件,采用新技術可以保護財務軟件不受侵略,鞏固其安全性和隱私性。
2.3提高專業人員管理技術,加強管理人員和技術人員的合作
過硬的設備措施和新技術可以從根本上完善系統管理方式,但是保證信息化財務管理的完美運行,還需具備專業技術人員和管理人員的共同合作。首先技術人員要提高自身管理技術,熟悉設備和新技術,清楚計算機內硬件設施,建立自己安全管理系統,維護設備軟件設施,嚴格遵守企業規章條例。另外,管理人員與技術人員合作時,應互相理解各自職責,形成一個整體,重視對方的管理能力,并且雙方都需進行嚴格的保密工作[4]。
結語
現如今,社會的發展和進步與網絡形成緊密聯系,其中對企業的發展產生了較大影響。信息化財務管理在一定程度上使用起來更加安全,能有效加強企業的財務收益,但在管理制度上卻存在一些問題。很多企業都會面臨一些風險和挑戰,而針對這些困難作出相應的管理措施,并善于利用其隱藏的潛力,加強信息化技術管理,便能解決財務管理問題,健全管理制度。因此,相對于傳統財務管理方式而言,信息化財務管理更能推動企業進一步發展。
參考文獻:
[1] 王朝崗,韓珂.計算機局域網網絡的安全現狀及對策探討.[J].時代教育,2015(04):53-54.
[2] 劉敏,曾偉.信息時代下網絡安全管理法律體系的構建[J].信息通信,2015(03):125-126.
[3] 尚娟娟.淺析計算機網絡管理及安全技術研究與應用[J].網絡安全技術與應用,2015(04):124-125.
【關鍵詞】計算機系統;網絡安全;技術措施
0.前言
計算機系統的安全問題是一個關系到人類生產與生活的大事情, 必須充分重視并設法解決它。筆者的工作單位是電力企業, 通過這幾年信息化的發展, 深深體會到企業, 特別是電力企業在網絡安全、數據安全方面的重要性, 這里就其安全需求和防護問題進行論述。
1.威脅網絡安全的因素主要類型
(1)黑客入侵。由于網絡邊界上的系統安全漏洞或管理方面的缺陷(如弱口令),容易導致黑客的成功入侵。黑客可以通過入侵計算機或網絡,使用被入侵的計算機或網絡的信息資源,來竊取、破壞或修改數據,從而威脅電力企業信息網絡安全。
(2)信息泄漏。相對于黑客入侵這種來自網絡外部的威脅而言,信息泄漏的主要原因則在于企業內部管理不善,如信息分級不合理、信息審查不嚴和不當授權等,都容易導致信息外泄。
(3)拒絕服務攻擊。信息網絡上提供的FTP、WEB和DNS等服務都有可能遭受拒絕服務攻擊。拒絕服務的主要攻擊方法是通過消耗用戶的資源,來增加CPU的負荷,當系統資源消耗超出CPU的負荷能力時,此時網絡的正常服務失效。
(4)病毒。通過計算機網絡,病毒的傳播速度和傳播范圍程度驚人,它可以在數小時之間使得全球成千上萬的網絡計算機系統癱瘓,嚴重威脅網絡安全。病毒的危害性涉及面廣,它不僅可以修改刪除文件,還可以竊取企業內部文件和泄露用戶個人隱私信息等。
2.企業網絡安全威脅來源
電力企業網絡不僅連接企業各部門, 還連接企業內的終端機。由于內部用戶對網絡的結構和應用模式都比較了解, 因此還存在著來自內部的安全。歸結起來,針對網絡安全的威脅有以下幾個方面:
(1)人為的失誤操作。如網絡管理員對服務器系統、應用軟件服務器端和網絡設備設置不當造成的安全漏洞; 網絡用戶或低權限用戶的無意識錯誤操作通常有口令設置不慎,將自己賬號隨意借用他人、任意共享本地資源等行為對網絡安全帶來威脅。
(2)人為的惡意攻擊。此類攻擊分為兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性; 另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這是計算機網絡所面臨的最大威脅,可對計算機網絡造成極大的危害,并導致機密數據的泄露。
(3)軟件的漏洞。網絡軟件不可能是百分之百的無缺陷和無漏澗的,尤其是操作系統的安全性。這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。此外,在軟件開發過程中的程序后門也是軟件安全漏洞的重要因素。
(4)計算機病毒。在網絡環境下, 病毒具有不可估量的威脅和破壞力。
(5)網絡管理制度不健全。為了維護企業網絡的安全, 單純憑技術力量解決是不夠的,還必須具有完善的網絡管理制度,目前企業還有很多不完善、不周全的地方。
3.電力企業網絡安全的技術措施
(1)安裝防火墻系統。防火墻系統是允許信任網絡信息通過,阻止非信任網絡信息通過的技術。這種技術主要是通過在一個固定的信息集合的檢查點,并在這個固定的檢查點對通過的網絡信息進行統一、強制性的攔截和檢查,通過限制一些指令的進入來對自身存儲的信息進行保護的措施。電力系統的生產、計算、銷售以及管理等都不是在同一個地方完成的,因此其信息的集合與整理,需要通過兩段不同的信息渠道,然后通過對指令的過濾和篩選,控制其信息的出入,對具有破壞作用的信息進行組織,放行符合網絡要求的信息,設置信息訪問的權限,來保證信息資源的安全。
(2)防病毒侵入技術。防病毒侵入系統能夠有效地阻止病毒的進入,進而有效地防止病毒對電力系統的信息進行破壞。這種措施通常是在電腦上下載安全的殺毒軟件,還應該安裝服務器,對防病毒系統進行定期的維護,保證其能夠有效正常地運行。此外,在網關出還應該安裝相應的網關防病毒系統。也就是說,通過在電力系統的所有信息系統中安裝全面防護的防病毒軟件,對各個環節進行防毒處理,并創建合理的管理體制,以起到對計算機可能出現的病毒侵入進行預防、監測和治理,同時還應該及時對防病毒系統進行定時的升級。通過上述的所有手段,這樣才能有效地對即將侵入信息管理系統的病毒進行處理。
(3)虛擬局域網網絡安全技術。虛擬局域網技術簡稱VLAN技術,VLAN 技術是將相關的LAN 合理的分成幾個不同的區域,促使每一個VLAN 都能夠滿足計算機的工作要求。由于LAN 的屬性決定其在邏輯上的物理劃分必須在不同的區域哈桑,在每一個工作站上都有特定的LAN網段,每一個VLAN中的信息都不能和其他的VLAN 上的信息進行交換,這種技術能夠有效地控制信息的流動,并且有助于網絡控制的簡單化,從而提高網絡信息的安全性。
(4)信息備份技術。電力系統的所有信息在進行傳輸之前,都應該進行備份,并且備份也要按等級進行,根據數據的重要程度,對信息進行分級備份,將這些備份信息進行統一管理,并且還應該定期的對備份的信息進行檢查,以確保其可用性和準確性,以此防止當電力系統信息出現故障的時候,因為數據丟失造成嚴重的損失。
4.維護電力系統網絡安全的管理
(1)網絡信息安全的意識和相應的手段。意識決定著人類的行動,想要提高網絡信息的安全性,首先應該通過學習和培訓,促使電力企業的信息管理部門養成良好的網絡信息安全意識,促使他們掌握一些安全防護意識與挖掘結局問題的能力。再通過對其進行專業的網絡信息安全技能培訓,使其掌握操作統計網絡信息的設備的應用,在此基礎上,完成對信息系統安全性的管理。
(2)強調安全制度的重要性。如果沒有健全的制度對信息安全進行界定,就無法衡量信息的安全性與合法性,沒有相關的制度就無法形成相應的安全防護系統。因此,電力企業應該從企業全面發展的角度出發,在對相關的網絡信息安全制度充分研究的基礎上,再根據企業的具體情況,為企業的網絡信息安全制定一套完整的,具有指導作用的安全制度,并將此制度形象化、具體化,制定明確的條文,并且將企業的網絡信息安全管理和法律向連接,對危害企業網絡信息安全的因素通過法律途徑懲治,以此來為電力企業的網絡安全保駕護航。
(3)建立專門的安全管理部門。通過建立專門的管理網絡信息安全的部門,對電力企業的信息安全進行管理,通過該部門對相關資料不斷地研究,再結合自身企業的具體情況,制定符合企業自身情況的網絡安全管理系統,并對此系統不斷地進行維護和完善。此外還應該設定特定的崗位,將任務分級,根據不同的等級將該系統的任務分配到相關的人員手中,然后通過垂直管理,一級一級地對電力企業的網絡信息安全進行檢查,通過部門內所有人員的協調和配合,保證其安全有序地進行下去。
5.結語
綜上所述,隨著我國經濟和社會的飛速發展,電力企業在我國國民經濟中的比重日益提高,電力企業網絡系統的安全、穩定、有效運行對整個國民經濟的穩定運行起著十分重要的作用。針對電力企業網絡所面臨的各種不同的威脅,我們只有采用與之相應的安全措施,才能保證電力企業局域網的安全、正常和穩定運行。
【參考文獻】
[1]趙小林.網絡安全技術教程[M].北京:國防工業出版社,2006.
【關鍵詞】供電企業、信息安全、防護水平
【中圖分類號】TP309 【文獻標識碼】A 【文章編號】1672-5158(2012)11-0302-01
引言
電力企業的信息安全越來越被大家重視,在重視的同時,需要加大對信息方面的軟、硬件建設和投入,更需要人人加強安全意識上,從以下幾方面提高信息安全建設水平,來確保企業的信息網絡和數據安全,避免由于安全事故給企業造成不必要的后果本論文以如何提高供電企業信息安全水平為研究對象,結合近幾年來自已所從事的工作,對供電企業在信息化建設中如何提高信息安全水平進行總結和探討。
1、軟件方面建設
1、統一部署防病毒軟件
網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、移動存儲介質、人為投放等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素,因此防病毒軟件對于系統來說是十分重要的。安裝統一的防病毒軟件,病毒庫可以及時升級,并對系統進行自動定時掃描,實現對電腦的實時監控,對病毒、惡意軟件及時隔離,對間諜軟件、灰色軟件及時清除,可以有效地保證終端設備信息的安全,保證信息系統不被破壞。
2、部署桌面安全管理系統
桌面安全管理系統終端安全保護系統以安全管理中心策略控制為核心,以終端安全為基礎,通過對現有Windows系列操作系統進行安全增強,使得安全管理員能夠對終端進行集中管理和控制,保證信息系統始終在可控狀態下運行,從而從根源上有效抑制對信息系統安全的威脅。安裝桌面終端的主要功能有:
(1)安裝的桌面終端管理能夠實現系統補丁管理,能夠自動下載安全補丁并修復桌面電腦系統漏洞,避免蠕蟲病毒、黑客攻擊和木馬程序等。
(2)安全威脅分析提供自動的威脅分析功能,它能夠自動檢測桌面電腦的配置風險,包括共享、弱口令、瀏覽器等安全問題,并自動進行修補或提出修改建議。
(3)資產管理對企業所有上網電腦進行在線管理。該系統能夠自動掃描在線電腦的配置信息,包括硬件配置、軟件配置的詳細信息,如生產廠家、型號、產品序列號、組件參數、IP地址、操作系統類型、應用程序安裝情況等等,并可進行分類、根據需要形成不同報表。
3、部署移動儲存介質管理系統
我們在使用u盤、移動硬盤、MP3/MP4等移動存儲設備由于使用靈活、攜帶方便,迅速得到普及,而且其儲存容量也越來越大,體積越來越小越來越隱蔽難于管理。帶來使用便利性的同時,它們也帶來了機密資料外泄、木馬病毒傳播等嚴重隱患,并造成了許多后果極其嚴重的危害。針對移動存儲設備管理的困境,移動存儲設備管理系統可有效防止移動存儲設備交叉使用、主動防止移動存儲設備木馬和病毒傳播、杜絕u盤泄密。
2、硬件方面建設
1、安裝入侵檢測設備
在系統中關鍵的部位安裝基于網絡的入侵檢測系統設備,可以使得系統管理員能夠實時監控網絡中發生的安全事件,并能及時做出響應,并可記錄內部用戶對外部網絡的訪問,網絡管理員可審計自己的網絡接入平臺是否被濫用。當沖擊波病毒爆發時,該系統能夠顯示出哪些主機感染了病毒而不停地向其他網絡主機發出廣播包。
2、配置冗余核心交換機和架設雙線路、重要設備采用雙電源
配置冗余核心交換機可以防止因單個核心機交換機出現故障而造成整個企業網絡癱瘓的事故發生,從而可以使管理人員爭取時間來處理故障,避免給電力系統的正常運行造成嚴重的影響和損失。
重要的設備配置UPS,并采用雙電源供電,如服務器、核心交換機等重要設備,保證出現電源故障時設備不斷電。
主干線路采用雙鏈路當一條線路出線故障時,可以快速度切換至另一條備用線路。以上措施可以大大提高了電力信息系統的的安全可靠性。
3提高運維人員信息技術水平
作為企業信息的運維人員,擔負著整個企業網絡信息系統正常運行的職責,在認真履行自己職責的同時,也必須不斷地學習和掌握新的知識,不斷的提高自身業務水平。應該經常性的參加信息技術方面的培訓,與同行們多流。企業也應當多組織信息人員進行學習和培訓,并建立相應的激勵機制,來提高信息系統運行維護人員學技術水平,從而為更好地保障信息系統的安全穩定運行培養人才。
4、建立相完善的信息安全管理制度
信息安全技術是“三分技術、七分管理”,在信息安全這個方面,技術不等同于管理,因為人如果不重視不積極參與,再好的技術也是沒有用的;沒有一套從上到下的信息安全管理制度,很難真正調動起每個部門每個人對信息安全足夠的重視和行動。信息安全管理,就是要建立一套完善的規章制度和管控措施。管理是網絡中安全得到保證的重要組成部分,是防止來自內部網絡入侵必須的部分。即除了從技術下功夫外,還得依靠安全管理來實現。應該建立信息安全制度及加強人員安全意識教育:
(1)定期開展計算機安全意識教育和培訓,嚴禁u盤等相關移動存儲介質在內、外網電腦上交叉使用、打開u盤之前先殺毒;禁止手機聯人內網計算機、簽訂信息安全承諾書,每月上報計算機考核表,并加強計算機安全檢查,以此提高終端用戶對計算機安全的重視程度。
(2)為各部門設立信息員,并定期對其進行培訓,對各部門的信息管理員提供信息系統安全方面的培訓,提高處理計算機系統安全問題的能力。
(3)制定《信息安全管理規定》、《信息安全日常工作規范》等制度,并納入公司考核體系,如有違反嚴格按照制度進行考核,使制度確實落實到位。
一、加強企業信息網絡安全優化的重要性
1.1提升現代企業的管理質量
在現代企業的發展過程中,信息安全具有不可或缺的重要作用。因此,加強現代企業信息網絡安全優化管理,可保障企業信息的安全性和真實性,同時也可保障現代企業信息系統的可用性和機密性。企業信息網絡的安全性得以保障,可為信息系統工作質量提供重要的參考數據。此外,信息網絡管理人員要對信息網絡優化和管理中體現出的實際問題進行總結,并針對信息系統管理中反饋出的實際問題,在企業內部制定針對性的應對方案和措施。最終,接提升現代企業的管理質量,提升整體管理水平。
1.2為現代企業獲得更大的經濟利益
任何一個企業發展的最終目的均為獲得經濟利益,利潤是企業發展的主要動力。作為現代企業而言,保障企業的信息安全,并保障信息系統的正常運行,方可在有效安全技術的支持,為企業后期發展創造更大的利潤空間。通過對企業近年來的發展情況進行分析和總結,利用數據和統計分析的方法,為企業的發展制定全面的發展方案[1]。同時,在進行數據分析和總結的過程中,可及時發現企業發展中存在的問題,并針對具體存在的問題,提出針對性的解決對策,保障現代企業獲得更大的經濟利益,獲得更大的利潤空間。
二、現代企業信息網絡中存在的安全問題
2.1企業信息網絡安全管理制度不健全
縱觀目前我國現代企業的信息網絡安全管理現狀,仍存在較多的安全問題,其中,最為顯著的安全問題就是企業內部尚未建立健全的網絡安全管理制度。管理制度的不健全勢必造成企業信息網絡安全出現問題,例如,企業的網絡管理工作中頻繁出現違規操作的現象,造成信息網絡的正常運行受到影響。
2.2企業信息網絡安全管理人員的綜合素質相對較低
從現代企業的網絡安全人員配置上看,大部分現代企業在發展過程中仍存在技術人員缺乏的現象。企業在缺乏專業的技術人員和管理人員,導致企業在發展的過程中難以及時發現信息網絡中存在的問題和漏洞。在網絡信息技術不斷發展的當今社會,企業信息網絡安全面臨著新的發展機遇[2]。當一些先進的技術、管理方式和操作方式引入到企業中,而企業內缺乏相關的專業人才,將造成企業信息系統的安全性和操作規范化受到影響。因此,現代企業的發展過程中,需要解決信息網絡安全管理人員專業技能差、綜合素質相對較低的問題,保障網絡管理人員可及時解決信息系統在安全維護方面的問題,方可促進現代企業的全面發展。但就目前我國大部分企業的信息網絡安全管理人員配置情況上看,解決此問題仍需要經歷較長的一段時間,也需要企業付出更多的精力和財力。
2.3尚未制定完善的網絡安全事故應急處理預案
在現代企業的發展過程中,加強對企業信息和信息系統安全運行的管理至關重要。企業出現網絡信息安全是不可避免的,但企業可通過分析總結出現信息網絡安全問題的原因,制定針對性的解決對策,預防信息網絡安全事故的發生。但縱觀現階段我國大多數企業的發展現狀,大多數企業僅僅意識到了加強網絡信息安全管理的重要性,但并未在實際行動上體現出來。通過對現代企業的調查,發現大部分企業尚未制定完善的網絡安全事故應急處理預案,當信息網絡安全事故發生后,企業在面對安全問題上顯得手足失措,難以有效應對。而這樣的問題,對于信息網絡的安全維護和安全管理而言,將造成較大的負面影響,不利于現代企業的長足發展。
三、實現現代企業信息網絡安全優化的策略
3.1加強現代企業信息網絡系統的規范化管理
在現代企業信息網絡安全管理中,要實現企業信息網絡的規范化和系統化,首先需要在企業內部制定嚴格的責任管理制度,加強安全管理。在網絡管理中,通過建構多層防御和等級保護體系,加強對信息網絡安全的控制和規范化管理。與此同時,企業要在現代化的發展過程中,要保障自身信息網絡系統的安全性,要加強對網絡性能的檢測力度,并將外網和內網進行有效隔離[3],為信息網絡系統提供安全管理,并在企業的各部門實現信息系統安全管理。
3.2提升現代企業信息網絡管理人員的綜合素質
在現代企業的發展過程中,信息網絡安全優化和管理是一項相對較為復雜且系統的工作。因此,在信息網絡安全優化中,網絡管理人員的專業能力和綜合素質對安全優化管理的工作質量均可產生決定性作用。這則要求企業要對信息網絡管理人員進行定期培訓,通過在企業內部開展培訓項目可使管理人員的管理能力提升,同時也可培養網絡安全管理人員嚴謹的工作態度,讓其意識到信息網絡安全優化工作的重要性和必要性。與此同時,現代企業還可組織相關技術人員和專家,對企業信息網絡安全優化的相關措施進行專題分析。通過系列的專題分析,可了解企業信息網絡運行的實際情況,從而激發現代企業網絡管理人員的工作熱情和工作積極性。最終,可提升網絡管理人員的綜合能力,提升現代企業信息網絡安全管理質量,提升整體管理水平。
3.3制定企業信息網絡安全事故的應急方案
現代企業在發展的過程中,難免會遇到各種各樣的信息網絡安全問題。鑒于此種情況,不僅要提升網絡管理人員的綜合素質,加強對信息網絡的規范化管理。還需要針對企業自身的信息網絡安全管理現狀,制定完善的現代企業信息網絡安全事故應急預案。在制定應急預案的過程中,企業要將目標性、針對性、合理性以及全面化、規范化等特征融入其中。同時,在信息網絡的運行過程中,要針對具體的運行情況,適當增加安全事故模擬演習和模擬訓練等,提升信息網絡管理人員的警惕性,保持認真的工作態度。只有在日常工作中,加強管理和訓練,方可在事故發生時從容應對,最大限度降低信息網絡安全事故對現代企業信息安全和自身發展造成的負面影響。
論文關鍵詞:網絡:安全技術;管理措施
1前言
隨著企業科學管理水平的提高.企業管理信息化越來越受到企業的重視.企業ERP(企業資源計劃)系統、企業電子郵局系統和OA辦公自動化系統等先進的管理系統都進入企業并成為企業重要的綜合管理系統。企業局域網與國際互聯網(Internet)聯接,形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時.也面臨著外部環境——國際互聯網的種種危險。如病毒,黑客、垃圾郵件、流氓軟件等給企業內部網的安全和性能造成極大地沖擊如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題
2網絡安全及影響網絡安全的因素
網絡安全一直都是困擾企業用戶的一道難題.影響企業局域網的穩定性和安全性的因素是多方面的,主要表現在以下幾個方面:
2.1外網安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅
2.2內網安全最新調查顯示.在受調查的企業中60%以上的員工利用網絡處理私人事務對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業局域網絡資源、并引入病毒和間諜.或者使得不法員工可以通過網絡泄漏企業機密
2.3內部網絡之間、內外網絡之間的連接安全。隨著企業的發展壯大,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享.又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題各地機構與總部之間的網絡連接安全直接影響企業的高效運作
3企業局域網安全方案
為了更好的解決上述問題.確保網絡信息的安全,企業應建立完善的安全保障體系該體系應包括網絡安全技術防護和網絡安全管理兩方面網絡安全技術防護主要側重于防范外部非法用戶的攻擊和企業重要數據信息安全.網絡安全管理則側重于內部人員操作使用的管理.采用網絡安全技術構筑防御體系的同時,加強網絡安全管理這兩方面相互補充,缺一不可。
3.1企業的網絡安全技術防護體系
包括入侵檢測系統、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網絡行為監控。
1)入侵檢測系統。在企業局域網中構建一套完整立體的主動防御體系.需要同時采用基于網絡和基于主機的入侵檢測系統首先.在校園網比較重要的網段中放置基于網絡的入侵檢測產品.不停地監視網段中的各種數據包.如果數據包與入侵檢測系統中的某些規則吻合.就會發出警報或者直接切斷網絡的連接其次.在重要的主機上(如W WW服務器,E—mail服務器,FTP服務器)安裝基于主機的入侵檢測系統.對該主機的網絡實時連接以及系統審
計日志進行智能分析和判斷.如果其中主體活動十分可疑.入侵檢測系統就會采取相應措施
2)安全訪問控制系統針對企業局域網絡系統的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術方面需要制定相應的策略.以保護系統內的各種資源不遭到自然與人為的破壞.維護局域網的安全
3)漏洞掃描系統。解決網絡層安全問題的方法是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具.利用優化系統配置和打補丁等各種方式.最大可能地彌補最新的安全漏洞并消除安全隱患.
4)病毒防護系統。企業局域網防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。校園網需建立統一集中的病毒防范體系.特別是針對重要的網段和服務器.要進行徹底堵截.
5)防火墻系統。防火墻在企業局域網與Internet之間執行訪問控制策略.決定哪些內部站點允許外界訪問和允許訪問外界.從而保護內部網免受非法用戶的入侵在外部路由器上設置一個包過濾防火墻,它只讓與屏蔽子網中的服務器、E—mail服務器、信息服務器有關的數據包通過。其他所有類型的數據包都被丟棄.從而把外界Internet對屏蔽子網的訪問限制在特定的服務器的范圍內.
6)接入認證系統對計算機終端實行實名制度.固定IP、綁定MAC地址.結合企業門戶、辦公系統等管理業務系統的實施實行機終端接入準入制度.未經過安全認證的計算機不能接人企業局域網絡
7)電子文檔保護系統。企業重要信息整個生命周期(信息過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程)得到全程透明加密保護,保證只用合法的用戶才能通過認證、授權訪問涉密文件。非法用戶無法在信息的產生到銷毀過程的任何環節竊取、拷貝、打印、另存、涉密文件,阻斷一切可能的泄密路徑.有效防護各種主動、被動泄密事件的發生。
8)網絡行為監控系統網絡行為監控是指系統管理員根據網絡安全要求和企業的有關行政管理規定.對內網用戶進行管理的一種技術手段.主要用于監控企業內部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網聊天、玩游戲、瀏覽違禁網站等。
3.2企業局域網安全管理措施
有了先進完善的網絡安全技術保護體系.如果日常的安全管理跟不上.同樣也不能保證企業網絡的“高枕無憂”:可以說規劃制定一套完整的安全管理措施是網絡安全技術保護體系的補充.它會幫助校正企業網絡管理上的一些常見但是有威脅性的漏洞。它主要包括以下內容: 1)隨著企業局域網的不斷應用.應當同步規劃網絡安全體系的技術更新同時.為了避免在緊急情況下.預先制定的安全體系無法發揮作用時.應考慮采用何種應急方案的問題應急方案應該事先制訂并貫徹到企業各部門.事先做好多級的安全響應方案.才能在企業網絡遇到毀滅性破壞時將損失降低到最低.并能盡快恢復網絡到正常狀態;2)扎實做好網絡安全的基礎防護工作:①服務器應當安裝干凈的操作系統.不需要的服務一律不裝.同時要重視網絡終端的安全配置.防止它們成為黑客和病毒的跳板:②遵循“用戶權限最小化”的網絡配置原則.設置重要文件的訪問權限.關閉不必要的端口,專用主機只開專用功能等;③下載安裝最新的操作系統、應用軟件和升級補丁對系統進行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改:④制定完整的系統數據備份計劃.并嚴格實施,確保系統數據庫的可靠性和完整性:3)對各類惡意攻擊要有積極的響應措施制定詳盡的入侵應急措施以及匯報制度。發現入侵跡象.盡力定位入侵者的位置,如有必要。斷開網絡連接在服務主機不能繼續服務的情況下.應該有能力從備份磁盤中恢復服務到備份主機上; 4)建立完善的日志監控措施,加強日志記錄.以報告網絡的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網絡維護管理制度等.約束普通用戶等網絡訪問者.督促管理員很好地完成自身的工作,增強大家的網絡安全意識.防止因粗心大意或不貫徹制度而導致安全事故.尤其要注意制度的監督貫徹執行.否則就形同虛設。
【關鍵詞】企業IT網絡 網絡信息 安全性
一、引言
在現代化的企業中,計算機已經成為了不可缺少的部分。在計算機硬件和軟件的支持下,多數企業已經逐步形成了自動化一體辦公,并且很多企業都構建了自己的專屬網絡以及專屬辦公平臺,這為企業的工作帶來了巨大的便利,并有效地提高了企業的辦公效率。在網絡的存在下,企業工作人員可以有效地進行資源共享,還可以對所需要的資料進行快捷的查詢,實現了高度地信息整合化[1]。伴隨著數字信息全球化,無論是在學習中、工作中還是生活中,人們已經不能離開計算機網絡。但正是因為這些數字信息化的高效性、便利性也讓人們產生了極大的依賴性。在企業使用網絡進行辦公的過程中,如何加強IT網絡信息的安全性是擺在企業面前的重大難題。
二、企業IT管理中所存在的問題
(一)網絡安全不能得到保障。
雖然在企業網絡建設的過程中,會設置一定的網絡安全保護措施,比如企業網絡防火墻、企業專用病毒查殺軟件等等。即便如此,企業的工作網絡依然存在著一定的安全漏洞。企業用戶一般都是通過Super Administrator root(超級用戶權限)登錄計算機并進行計算機系統操作。但是某些用戶由于在計算機系統操作過程中使用不當,這會導致所使用的計算機受到外界病毒和木馬的攻擊。一旦企業中的某臺計算機受到不良攻擊,如果沒有及時制止的話,將會產生一系列的惡性循環,甚至讓企業的整個計算機網絡處于癱瘓狀態。因此,對企業計算機用戶的使用權限進行合理地限制將有助于企業IT信息管理工作的實施[2]。
(二)工作人員計算機操作技術需要提高
部分工作人員的計算機操作水平較為低下,缺少專門的計算機知識,但是同時又具有超級用戶權限,這會對企業的網絡管理帶來一定的不便。由于計算機系統是一個比較復雜的操作系統,如果用戶在使用的時候不具備一定的操作技能,將很容易產生一些誤操作,而這些誤操作可能會引發一些問題,導致局部性的故障產生。舉例來說:某些工作人員由于缺乏一定的計算機網絡基礎知識,在設置上網的過程中便會出現一些問題,很容易出現IP沖突的情況;在保存文件的時候,由于誤操作導致文件不但沒有有效地進行保存反而被刪除了,如果該文件是較為重要的文件,所帶來的損失是無法估量的;在瀏覽網站進行工作資料查詢時,由于缺乏一定的安全意識,被一些非法網站或鏈接攻擊,導致計算機系統癱瘓,從而對工作帶來了一定程度的影響[3]。
(三)缺乏合理的管理
企業在IT網絡信息上缺乏合理的管理。由于IT網絡信息都是通過分散管理的模式進行管理,這使得這些信息資源可以被隨便調用,這便帶來了一定的安全隱患。企業也缺少相應的管理制度,即便存在管理制度由于執行力不夠而不能保證制度的合理實施。在這種情況下,所謂的“信息管理部門”便顯得可有可無,其工作不能得到落實,這給整個企業的網絡信息帶來了相當大的安全隱患。
(四)信息管理部門工作負擔太大
在大多數企業中,都會存在著相應的信息管理部門對企業內部的IT網絡信息進行綜合性的管理。無疑,信息管理部門的工作人員還是具備一定的計算機網絡知識和計算機操作能力,但是其他部門的工作人員在這方面卻存在著很大的缺陷。這部分工作人員在計算機使用上對于系統的維護從不注意,一旦出現問題總是讓信息管理部門的工作人員來進行解決,這無疑加大了信息管理部門的工作量,為信息管理部門帶來了極大的負擔,這給企業的正常運轉帶來了一定的阻礙。
三、如何保證企業IT網絡的安全性
加強企業IT網絡安全性建設可以從網絡硬件和軟件以及使用人員三個方面進行。
(一)加強計算機網絡硬件建設
良好的硬件支持是企業IT網絡信息安全性的重要保障。對于企業內部的一些陳舊硬件要進行相應地更換、更新。對于損壞或者出現故障的硬件進行相應地修復,對正常工作的硬件設備要給予定期的檢查和維護。另外,也需要對企業內部工作人員進行一定的硬件知識培訓,向他們傳送一些基本的維護、維修技巧,讓他們能夠具備一定的解決硬件問題的能力,至少要保證他們對日常所用到的網絡硬件能夠進行正確的識別。總之,企業的計算機網絡硬件設備是企業IT網絡信息的承載基礎,通過加強硬件設備的建設,讓企業內部能夠擁有一個良好的工作網絡環境。
(二)加強計算機網絡軟件管理
在企業內部IT網絡的建設中,計算機網絡至始至終扮演著一個重要的角色,企業在日常辦公中所使用的系統幾乎都是微軟公司的Windows系統,因為該系統具體廣闊的使用范圍和相對良好的兼容性和擴展性,所以受到了企業用戶的歡迎。通過對SMS(微軟公司系統配置服務)和BDD(客戶端桌面組件)進行部署來保證計算機網絡管理的實施。通過構建相應的物理網絡、目錄服務、文件服務、文件共享和儲存與備份模塊讓企業內部IT網絡信息的安全性得到應有的保障。
(三)對企業內部工作人員進行專業的技能培養
加強企業內部員工的專業技能培訓,提高各部門員工的計算機基礎知識和計算機操作能力,這樣對于企業的IT網絡建設工作具有極大的促進作用,同時也是信息安全的潛在保障。
四、結語
企業IT網絡信息的安全性對于企業的發展具有重大的意義。伴隨著計算機網絡技術的高速發展,企業的工作模式也在發生著潛移默化,這給企業的IT網絡建設也帶來了一定的要求。通過加強計算機網絡硬件建設和加強計算機網絡軟件管理并提高相關工作人員的計算機操作技能來促進企業的整體網絡建設。
參考文獻:
[1]徐超,胡洲,朱彤.加強企業IT網絡信息安全性的技術方案[J].2102(12):121-123.
關鍵詞:軍工企業;網絡信息;安全問題
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 08-0000-02
Military Enterprise Network Security Issues
Wang Huqiang,Wu Suqin,Gu Wenhui
(Luoyang Bearing Science&Technology Co.,Ltd.,Luoyang471039,China)
Abstract:The military enterprises in the national economy and play an important role,along with in-depth information technology,network information security issues are also increasingly prominent.This information from the affected area enterprise network security defense several major factors,discusses military enterprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
一、概述
軍工企業是國防科技工業的重要組成部分,是國家綜合實力的重要基礎。當前,不少軍工企業除了承擔著軍工科研任務和生產任務外,同時也是行業先進技術和生產力的代表,擔負著國民經濟建設的重大歷史使命。
在信息技術高度發展的今天,軍工企業的信息化建設也在積極科學的開展。網絡已經成為企業研發、生產、經營不可或缺的工具,是企業信息化建設的重要資產。網絡充分發揮了現代化工具的作用,為企業發展提供更加快捷和強大的支撐以提高整體的核心競爭力。
但是,隨著信息技術的迅猛發展,企業信息化水平的逐步提高,網絡信息的安全問題也日益突出。特別是通過網絡發生的一些失密、泄密事件,暴露出軍工企業科研生產過程中網絡信息安全方面存在的問題和隱患。加強軍工企業的網絡信息安全管理,關系到企業的利益,關系到國家的安全,還關系到包括企業員工在內的廣大人民群眾的根本利益。
二、影響軍工企業網絡信息安全的幾個主要因素
(一)管理因素
1.體制方面
軍工企業因保密工作的需要,大多成立了計算機安全保密領導小組,但往往只是為工作需要所設,未能發揮其真正的作用。目前大多數軍工企業信息部門的技術人員除了維護全企業的計算機和網絡之外,還負責企業信息化的推廣和實施工作,現在很多企業的信息部門還承擔著保密管理工作的重要任務,多數技術人員還兼顧著其他的業務,網絡信息安全管理實際很難到位。
2.制度方面
軍工企業一般都制定有嚴格的安全保密制度,但這些制度主要是針對網絡來制定的,對非網絡,往往是疏于管理。一方面非網絡的安全管理制度不完善,另一方面,即使制定了合理完善的安全管理制度,卻難以付諸實施。原因有二:其一為對安全制度的學習不夠全面,甚至很少安排學習;其二是執行不力。例如,雖然要求所有的非計算機都要設置相應的口令和安裝殺毒軟件,但還是有計算機沒有設置任何密碼,沒有安裝殺毒軟件,一臺計算機上甚至能夠查殺到200多個木馬病毒。
(二)人員因素
網絡信息的安全工作未得到應有的重視,大家普遍認為只要硬件設備工作正常,數據完好無損,網絡正常工作就高枕無憂。甚至認為網絡安全僅是網絡管理員的職責,殊不知網絡安全需要全體人員的參與和積極配合,從根本上認識到網絡安全關乎每個人的切身利益。
另外,網絡安全管理技術人員的主要工作是軟硬件的維護,常常因為經費的問題或工作太忙走不開等原因而得不到系統、專業的培訓,尤其是在網絡知識日新月異的今天,網絡安全知識的積累往往跟不上業務發展的需要,嚴重制約了安全管理在網絡應用上的實施。
(三)技術因素
1.軟硬件漏洞
當前,軟硬件的漏洞無處不在。眾所周知,計算機網絡的主要軟硬件大多依賴進口。這些軟硬件都存在大量的安全漏洞,極易給病毒、隱蔽信道和可恢復密碼等開辟捷徑,極易為他人利用。每當發現新的漏洞,就會在短短的幾分鐘內傳遍整個網絡,攻擊者就可以利用這些漏洞對網絡進行攻擊,網絡信息處于被竊聽、監視等多種安全威脅中,信息安全極度脆弱。
2.計算機病毒
互連互通的網絡給人們傳輸信息和共享信息帶來了極大的方便,但同時也給病毒的傳播大開方便之門。而且現在病毒的隱蔽性、傳染性、破壞性歷經演變之后都有了很大的提高,使網絡用戶防不慎防,給企業帶來巨大的損失。
3.黑客攻擊
境內外各種敵對勢力一直把我國軍工單位作為滲透、情報竊取的重點目標,無時不在對我進行情報竊密活動,黑客攻擊是常用手段之一。黑客利用企業網絡存在的一些安全漏洞,經過一些非法手段訪問企業內部網絡和數據資源,可以刪除、復制、修改甚至毀壞一些重要數據,從而給企業和個人用戶帶來意想不到的損失。
4.內外網隔離不力
大多數軍工企業既有網絡,也有非網絡,非網絡一般又有與互聯網隔離的運行辦公、管理信息系統的內部網絡(簡稱“內網”)和與互聯網聯通的外部網絡(簡稱“外網”)。網絡一般能夠做到與其他非網絡物理隔離,但非的內外網還是存在以下問題:
(1)非的內外部網絡隔離執行不力,一機多用現象普遍。大部分軍工企業沒有做到非的內外部網絡的物理隔離,或邏輯隔離強度不夠;另外存在一機多用的情況,在內外網之間隨意轉換使用。致使病毒在多個網絡中流傳,存在一點突破全網盡失的現象。
(2)一些單位內部文件共享情況比較普遍,缺乏有效的授權訪問機制,對內不設防的情況比較多。
(3)移動存儲介質管理不嚴。對于一些物理隔離較好的內外部網絡,因移動存儲介質能夠在兩個網絡之間能交叉使用,致使病毒仍能在網絡之間流轉,甚至能通過接入互聯網的計算機把信息傳輸出去,致使內外網的隔離失去實際意義。
三、解決對策和措施
解決網絡信息安全的對策和措施的遵旨是技術與管理相結合:技術和管理不是相互孤立的。對于任何一個企業來說,網絡信息的安全不僅是技術方面的問題,更是管理的問題。
(一)制定完善的安全管理制度,擬定可行的培訓計劃
真正發揮計算機安全保密領導小組的職能作用,把非網絡的安全管理也作為工作的重點來抓,提高全體員工對網絡安全事故危害性的認識。制定完善的安全管理制度,精確到細節,從企業高管到部門負責人以及普通員工,確定每個用戶在網絡中扮演的角色和承擔的安全責任義務,職責分明。隨著計算機網絡延伸至企業業務的各個層面,僅靠信息中心的少數幾位技術人員已無法保證所有存在安全風險的業務系統的安全管理,所以應在各個部門配置兼職的安全管理人員來落實安全管理,對這些安全管理人員應每年都安排企業內外的安全管理工作的培訓,以便他們研究安全防范技術,分析本企業可能存在的安全風險和薄弱環節,并進行重點管理。企業應將網絡安全管理工作作為一項重要指標納入年度考核,營造“網絡安全,人人有責”的全體動員的氛圍。
同時應制定詳細的安全管理策略,并每年定時或不定時的對非網絡的服務器和計算機進行抽查,根據檢查結果,對不符合要求的要實事求是的下發整改通知,并在公司網絡安全管理會議上進行通報。
(二)安裝防火墻
防火墻是目前比較有效的阻止黑客入侵的技術防范措施之一,能夠有效地防止黑客隨意更改、移動、刪除網絡中的重要數據信息。但要安全管理人員時刻關注日志信息,并根據日志信息對防火墻的安全策略配置進行調整,適時的應對網絡環境的變化。
(三)統一對網絡安全進行掃描和補丁管理
在網絡環境中,病毒的傳播速度非常快,僅依靠單機來防病毒已經很難阻止病毒在網絡中的擴散,所以應該配置一套適合局域網的全方位的防病毒產品。例如,可以以一臺服務器作為平臺,在此基礎之上配置有效的防病毒軟件,然后在規定的時間段對局域網的所有計算機進行安全掃描,發現漏洞統一進行安裝。這既減輕了安全管理人員的工作量,也保證了網絡中的單機不會因使用人員的麻痹大意和疏忽導致病毒反反復復發作而查殺不盡。
(四)劃分VLAN,嚴格做好內外網隔離
按照部門劃分為多個VLAN,部門內部也可以根據需要劃分VLAN,各VLAN之間不能互相訪問,嚴格做好內外網隔離,對實行物理隔離的要定期查看是否有效。各VLAN之間的資源訪問必須通過核心交換機訪問數據中心的數據服務器。數據服務器設置了防火墻,利用防火墻來實現對用戶的訪問控制。
(五)加強對員工上網行為的管控
軍工企業因其特殊性,對接入互聯網管理得非常嚴格。除了因工作需要必須上網且經層層審批之外,在技術上進行了相應的處理,用戶名、IP地址、MAC地址實行綁定,做到實名上網。
對員工上網行為的管控不僅僅局限于對某些軟件的限制和網絡行為的監控,最主要的是監控網絡上是否流轉了信息或一些敏感信息。所以,配置員工上網行為管控系統也非常重要,除了設置一些安全審計策略實現自動報警外,安全管理人員對日志的仔細篩查才能保證管控系統有效性,并根據日志記錄及時調整安全審計策略。同時,這些日志也是安全管理人員對網絡中的單機進行抽查的重要憑證和依據,以此為基礎,找出非網絡中可能存在的隱患,確保信息不在非網絡中傳輸、存儲和處理。
(六)加強對移動存儲設備的管理
網絡安全管理人員應準確掌握企業移動存儲設備的現有情況,建立臺帳,將移動存儲設備的序列號、責任人一一對應,盡可能的統一進行編號以便于管理。另外,可以在網絡中部署移動存儲設備的管理軟件,限制移動存儲設備的使用范圍,并可對移動存儲設備的存儲格式進行加密,使其無法在限定范圍外使用或讀取,從而確保網絡信息的安全。同時,可收集管理軟件中的日志信息,分析移動存儲設備管理存在的安全漏洞,及時調整安全策略配置。
四、結語
軍工企業的網絡信息安全建設是一項系統的、龐雜的、長期的工程。但我們也清醒的認識到,安全不是技術,而是技術與管理的結合,任何先進的安全技術都需要嚴謹的管理作為后盾,否則,只是一堆軟硬件的組合。我們必須從自身做起,堅持不懈,確保軍工企業的網絡信息安全。
參考文獻:
[1]徐明.網絡信息安全[M].西安:西安電子科技大學出版社,2006
[2]蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2002
關鍵詞:計算機系統網絡安全防范策略
1 概述
網絡辦公、視頻會議等已逐漸應用到企業辦公中,多數企業用戶已建立了完善的網絡辦公協同環境。計算機網絡給我們的生活帶來便捷的同時,也帶來了來自網絡安全的威脅,計算機網絡安全問題已關系到我們的工作質量、工作效率和個人信息的安全。網絡安全維護已成為信息化建設的重點研究問題。
2 計算機網絡安全現狀分析
計算機病毒具有破壞性、傳染性、潛伏性和隱蔽性的特點,傳播方式多樣、傳播速度快,可以隱藏在文件或是程序代碼中伺機進行復制和發作。由于計算機網絡組織形式多樣、終端分布廣以及網絡的開放性,其很容易遭到外部攻擊。黑客會通過系統漏洞侵入到網絡中對計算機系統進行攻擊,竊取或破壞數據,甚至使整個網絡系統癱瘓。
2.1 黑客攻擊
計算機安全隱患中另一個主要威脅是黑客攻擊。黑客利用系統或軟件中存在的漏洞進入到用戶計算機系統中,對用戶計算機進行操作,損壞、更改或泄露用戶的數據,或利用用戶的計算機進行非法操作,危害性極大。黑客攻擊分為網絡攻擊和網絡偵查,網絡攻擊通常是以入侵用戶計算機系統、竊取用戶機密數據或是破壞系統數據為目的。
2.2 用戶安全意識不強
在計算機的使用過程中,用戶安全意識薄弱是造成網絡安全問題的一個重要因素。用戶未對機密文件加密,對他人泄露操作口令或不設置操作口令,或是隨意泄露網絡賬號等信息,共享文件,啟用遠程桌面等,這些行為都埋下了網絡安全隱患,為攻擊者提供了便利條件。隨意打開未知文件或是網站、未經殺毒就直接打開移動存儲設備等操作行為都有可能陷入攻擊者的陷阱之中。
2.3 安全策略配置不當
為了提升計算機網絡的安全性,大多數企業都配備了防火墻等安全產品。只有結合各個企業的具體情況進行有效的安全策略設置,才能充分發揮安全設備的防護作用。而在實際工作中,不乏有些計算機安全管理人員未能對此有足夠的重視,忽視了一些安全策略的設置,造成了網絡安全隱患的存在。
3 計算機網絡安全改進措施
3.1 網絡物理安全
在整個網絡物理安全控制過程中,機房建設是重點。機房的建設要符合安全可靠、應用靈活、管理科學等要求,要重視供配電、安全防范、空氣凈化、防靜電、防磁、防水防潮、防雷、防火等多方面的安全設施。在改善設備運行環境的同時也要加強計算機及網絡設備的維護,對網絡設備和計算機進行定期檢修和維護,并做好相關記錄。
3.2 防火墻技術
防火墻技術作為企業內部與外部網絡的第一道安全屏障,最先受到人們的重視。防火墻技術能有效提升內部網絡的安全性,通過隔離、過濾、封鎖等技術阻止非法用戶對內部數據的訪問,保護企業信息資源,降低服務風險。通過配置防火墻的安全方案能將所有安全軟件配置在防火墻上,通過內外部的網絡規劃可實現對內部重點網絡區域的隔離,避免網絡敏感區域對全局網絡安全問題的影響。根據防火墻提供的服務和安全等級要求分為多種結構,常見的有:包過濾型防火墻、雙宿主主機防火墻、屏蔽主機防火墻、屏蔽子網防火墻。
3.3 加密技術
在當下計算機網絡安全現狀中,加密技術是保障信息安全傳遞和交流的基礎技術,對網絡安全起到了決定性的作用。加密技術的應用主要包含以下幾個方面:
3.3.1 存儲加密技術和傳輸加密技術
存儲加密技術分為密文存儲和存取控制,目的是為了防止數據在存儲過程中泄漏。主要通過加密算法轉換、附加密碼加密、加密模塊等方式實現,存取控制主要通過審核用戶資格和限制用戶權限,識別用戶操作是否合法,防止合法用戶越權存取數據,阻止非法用戶存取信息。傳輸加密技術通過線路和兩端加密兩種方式,對傳輸過程中的數據進行加密,保證傳輸過程中數據的完整和安全性。
3.3.2 密鑰管理加密技術和確認加密技術
密鑰管理加密技術的應用是為了方便用戶使用數據,數據加密多表現為密鑰的應用,密鑰的管理就顯得尤為重要,合理的密鑰管理技術方案要求能保證合法用戶的權限。密鑰的媒介主要有磁卡、磁帶、磁盤、半導體存儲器。密鑰的管理技術包含密鑰的生成、密鑰的分配、密鑰的保存、密鑰的更換以及密鑰的銷毀等環節上的保密措施。網絡信息的加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、纂改和假冒。
3.3.3 消息摘要和完整性鑒別技術
消息摘要是由一個單向Hash加密函數對消息作用而產生的。消息發送者使用個人的私有密鑰摘要,消息摘要的接收者可以通過密鑰解密確認消息的發送者,如果消息在發送途中被改變,接收者通過分析新摘要和原摘要的區別來確認消息是否已被改變,消息摘要保證了消息的完整性。完整性鑒別技術包含口令、密鑰、身份等幾項的鑒別,通常為了保密系統通過對比驗證對象的輸入的特征值預先設定的參數,實現信息的加密作用和保證數據的安全性。
3.4 提高網絡管理員及用戶的安全意識
網絡管理員和用戶的安全意識直接影響到對網絡系統安全問題的控制。要求提高網絡管理人員和用戶的安全意識,加強管理人員的職業道德,樹立良好的責任感,促進網路安全體制的建立和執行。
4 計算機網絡安全設計策略
4.1 建立信任體系
4.1.1 證書管理系統采用基于國際標準PKI技術開發的證書和密鑰管理系統,具有符合標準、開放、安全性高、功能全面、工組流程清晰、配置靈活等特點,且提供了與其它PKI/CA體系的接口,易于擴展。
4.1.2 目錄服務器集中存儲用戶的身份信息、服務數據、訪問策略和證書等,是整個方案設計的基石,是應用層訪問控制的基礎,是用戶管理的核心。系統中設置四個目錄服務器,內部兩個作為主目錄服務器,包含所有信息記錄,另外兩個相互復制來保持其含有最新數據,保證任何一個服務器發生故障都不會造成信息的損失。
4.1.3 認證服務器的主要功能是認證服務和授權策略管理,保證商業信息的安全傳輸。用戶認證/授權管理平臺實現了統一的用戶身份管理的功能。采用集中的策略管理、單點訪問控制、數字證書、令牌卡等方式增強應用程序和數據的安全性,提高用戶效率,減少系統維護工作量,提高運行效率。
4.2 網絡邊界保護策略
為了滿足網絡敏感信息系統的安全需求,采用密碼技術將企業核心業務網絡區域與外部網絡進行隔離,確保內部信息系統的安全性。
4.2.1 以密碼技術為基礎的網絡隔離系統是由外部訪問控制服務器、安全隔離與信息交換設備和內部訪問控制服務器組成的具有層次結構的系統,如圖1所示。該系統控制機制包含內外網、可信的數據交換、基于PKI/CA的身份認證與授權訪問等,并采用反向功能作為應用網關。系統配備病毒網關和內容過濾機制,起到凈化數據、控制消息類攻擊的作用。
4.2.2 以機制為基礎的訪問控制。針對企業安全層次的需求,對不同安全級別的資源進行多層次、多點訪問控制。系統中的服務器包括位于外網安全平臺的反向、位于內網安全平臺的正向、位于內網的應用和位于內外網中的安全。優化后安全網絡系統結構圖如圖2所示。
4.3 局域網計算機網絡安全策略
4.3.1 病毒防護。計算機病毒對網絡安全的威脅越來越嚴重,現在有效的防御措施就是在自己的pc上安裝殺毒軟件,并及時對操作系統安裝補丁。但是這種防御措施并不能在企業網絡管理中達到令人滿意的效果。而在企業網絡邊緣配置網關過濾產品,能在確保原有系統的穩定性的同時,效率上也遠遠高于在內部各個機器進行病毒防護和查殺。
4.3.2 網絡系統安全
①內外網的隔離與訪問控制。訪問控制主要通過制定嚴格的管理制度、配備相應的安全設備來實現。通過設置防火墻來實現內外網的隔離與訪問控制是最主要、最有效的措施之一。
②內部子網不同安全域的隔離和訪問控制。主要通過VLAN技術實現內部子網的物理隔離。在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,實現內部網段的物理隔離。
③網絡安全檢測。網絡系統的安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡中的薄弱環節,最大限度的保證網絡系統的安全,最有效的方式是定期對網絡系統進行安全檢測和分析,及時發現并修正系統漏洞。
5小結
計算機網絡安全管理是一個涉及范圍比較廣、影響比較大的復雜的管理系統,需要多方面的配合。管理制度應注意以下幾項內容,確定安全管理等級,明確安全管理范圍,制定網絡操作規程,規定人員進入機房權限,對網絡系統設備的維護和檢修進行記錄,制定嚴格的防病毒管理制度,實行網絡安全責任制,配備網絡安全應急措施等,做到預防、監控、修復相結合,確保相關制度和規定的落實,確保計算機網絡安全運行。
參考文獻:
[1]宋杰,陳真靈.計算機網絡安全管理的研究[J].科技視界.2011(06).
