发布时间:2023-10-09 17:41:58
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业网络安全策略,期待它们能激发您的灵感。
【关键词】企业网络 信息安全 策略设计
一、企业网络信息系统安全需求
(一)企业网络信息安全威胁分析
大部分企业在网络信息安全封面均有一些必要措施,因为网络拓扑结构和网络部署不是一成不变的,因此还会面临一些安全威胁,总结如下:
(1)监控手段不足:企业员工有可能将没有经过企业注册的终端引入企业网络,也有可能使用存在安全漏洞的软件产品,对网络安全造成威胁。
(2)数据明文传输:在企业网络中,不少数据都未加密,以明文的方式传输,外界可以通过网络监听、扫描窃取到企业的保密信息或关键数据。
(3)访问控制不足:企业信息系统由于对访问控制重要性的忽视,加之成本因素,往往不配备认证服务器,各类网络设备的口令也没有进行权限的分组。
(4)网间隔离不足:企业内部网络往往具有较为复杂的拓扑结构,下属机构多,用户数量多。但网络隔离仅仅依靠交换机和路由器来实现,使企业受到安全威胁。
(二)企业网络信息安全需求分析
企业信息系统中,不同的对象具备不同的安全需求:
(1)企业核心数据库:必须能够保证数据的可靠性和完整性,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(2)企业应用服务器:重要数据得到有效保护,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(3)企业web服务器:能够有效避免非法用户篡改数据,能够及时发现并清除木马及恶意代码,禁止没有经过授权的用户非法访问。
(4)企业邮件服务器:能够识别并拒绝垃圾邮件,能够及时发现并清除木马及蠕虫。
(5)企业用户终端:防止恶意病毒的植入,防止非法连接,防止未被授权的访问行为。
二、企业网络安全策略设计与实现
企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。结合上文的安全分析与安全需求,企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。
在此基础上,本文着重阐述企业信息系统的网络层安全策略:
(一)企业信息系统网络设备安全策略
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
(二)企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
(三)企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
(四)企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
三、结束语
企业信息系统亟需一个整体性的解决方案与安全策略。本研究在阐述企业整体信息安全威胁与需求的基础上,总结了企业网络常见的安全问题,结合这些问题进行了信息安全策略设计,并从网络设备防护策略、端口安全策略、BPDU 防护策略、Spoof 攻击防护策略四个方面对企业信息安全实现方法进行了阐述,设计了相关的安全策略。
参考文献:
[1]刘念,张建华,段斌等.网络环境下变电站自动化通信系统脆弱性评估,电力系统自动化,2012,(8).
[2]王治纲,王晓刚,卢正鼎.多数据库系统中基于角色的访问控制策略研究.计算机工程与科学,2011,(2).
[3]杨智君,田地,马骏晓等.入侵检测技术研究综述.计算机工程与设计,2010,(12).
[4]戚宇林,刘文颖,杨以涵等.电力信息的网络化传输是电力系统安全的重要保证.电网技术,2009,(9).
0 引言
目前,随着我国信息化的快速发展,中小企业越来越重视计算机的使用。一直以来,网络安全问题都是最值得关注的问题,尤其是对于企业的发展来说,很多机密资料都放在了网络中,如果不对网络安全加以管理,那么就会透漏很多企业自身的机密信息,严重的会使得企业面临倒闭的风险。但是,从目前我国中小企业网络安全发展的现状来看,依然存在很多的问题,影响网络安全的因素也很多,因此,企业为了能够长久稳定的发展下去,就必须重视网络安全问题,采取行之有效的策略,加强网络安全意识与管理制度,组建合理的企业内网,从而保证企业的经济不受损失。
1 中小企业网络安全现状
现如今,随着我国计算机网络技术的不断发展,中小企业都在广泛使用计算机网络信息技术,但是,在企业享受网络带来的数据共享、异地间数据传输等便捷时,也在面临网络完全问题的威胁。如果企业不加重视网络安全管理问题,那么就会给企业带来很大的安全隐患。从目前我国中小企业发展的现状来看,网络安全还存在很多问题。
首先,技术力量有效。很多中小企业都注重交换机、防火墙等网络设备,因此把大量的资金都放在了投资网络设备上面,但是,对于设备的后期维护工作缺少过多的重视,也没有相关的技术工作人员加以维护,一般都是聘用兼职人员来维护后期网络,因此,使得企业存在很大的安全隐患。其次,缺乏网络安全管理意识。部门中小企业都没有成立专门的网络安全管理部门,相关领导缺乏对网络安全管理的意识,但是黑客程度的攻击具有隐蔽性、无特定性等特点,从而使得中小企业很容易受到侵袭。最后,缺乏专业的网络安全管理水平。在我国大型企业中,一般都有专业的网络安全管理技术人员,但是,对于中小企业来说,由于资金有限,他们都不会聘用具有专业知识的网络安全管理人员,一旦网络出现安全问题,不能在短时间内全面解决安全问题,最终使得数据在网络环境中使用和传输都可能被破坏、篡改或泄露。
2 影响中小企业网络安全的因素
2.1 病毒的侵袭
在中小企业网络安全中,病毒入侵是其中非常重要的一个因素。我们都知道,病毒的危害性特别大,能够严重破坏计算机功能或者计算机数据,同时,病毒也都是把自己附着在合法的可执行文件上,因此,不容易被企业发现。病毒的特点非常多,比如破坏性、自我复制性、传染性等。但是,病毒不是天然存在的,是当某人在使用计算机时,由于计算机自身软件的脆弱性编制而产生的一组指令集或程序代码。由于病毒能够自我复制,因此,一旦某计算机的某个软件遭遇了病毒入侵,那么就会使得某个局域网或者一台机器都有病毒,在病毒入侵的过程中,如果不及时加以制止,那么病毒就会一直繁殖下去,后果将不堪设想,从而就会导致整个系统都瘫痪。
2.2 黑客的非法闯入
众所周知,网络具有开放性,因此,决定了网络的多样性和复杂性。在网络管理中,黑客的非法闯入也是常见的一种网络安全影响因素,如果中小企业遭遇了黑客的非法闯入,那么就会使得整个企业网络都面临很大的安全隐患。随着我国科学技术的不断发展,计算机技术也在迅猛发展,同时各式各样的黑客也在紧跟科技脚步,非法闯入行为屡见不鲜。黑客攻击行为主要分为两种,即破坏性攻击和非破坏性攻击。其中破坏性攻击主要目的就是侵入他人电脑系统、破坏目标系统的数据和盗窃系统保密信息;而非破坏性攻击主要是为了扰乱系统的运行,并不盗窃系统资料。据相关调查显示,黑客攻击行为越来越猖獗,组织越来越庞大,如果不加以制止,那么就会在很大程度上阻碍企业的发展。
3 中小企业网络安全策略
3.1 加强网络安全意识与管理制度
对于中小企业来说,加强网络安全意识与管理制度属于网络安全管理中的一项重要策略。由于受到传统思想的束缚,很多中小企业都把大量资金投入到生产中,忽视网络安全的重要性。在企业的网络安全管理中,很多网络管理人员都缺乏相应的专业知识,缺乏安全防范意识,从而导致了企业信息资源经常发生泄漏现象。因此,中小企业应该加强网络安全意识与管理制度,定期对相关工作人员进行安全知识的培训,防止因为疏忽而发生信息资源泄漏,帮助员工熟练掌握网络安全管理技能,让他们充分认识到网络安全管理的重要性。与此同时,有条件的企业还可以聘用国外发达国家的相关网络安全专家,帮助企业内部工作人员增长丰富的实践经验,做到未雨绸缪,维护网络信息的保密性和完整性,保证企业的经济利益不受损失,从而促进企业的长久稳定发展。
3.2 组建合理的企业内网
在网络管理中,企业内部网络的安全是其中的首要任务,只有保证了企业内部网络的安全,才能有效开展企业内部信息的安全传递,因此,企业要组建合理的企业内网。企业内网的主要目的就是要合理保证网络安全,根据企业自身发展情况和信息安全级别,从而对企业网络进行隔离和分段。同时,企业内网的核心是要对网络拓扑结构进行科学合理的设计,从而保证企业内网的安全稳定性。其中针对网络分段来说,主要包括两种方式,即物理分段和逻辑分段。网络分段的优势也很多,一般情况下各网段相互之间是无法进行直接通信的,因此,对网络进行分段,能够实现各网络分段访问间的单独访问控制,从而避免非法用户的入侵。比如,把网络分成多个IP子网,各个网络间主要通过防火墙或者路由器连接,通过这些设备来达到控制各子网间的访问目的。由此可见,企业组建合理的企业内网是保证网络安全的一项重要策略。
3.3 合理设置加密方式及权限
在中小企业的发展中,数据安全非常重要,它能够直接影响企业的信息、资源和机密数据的安全性和稳定性,因此,企业在网络安全管理中,一定要充分认识到数据安全的重要性。企业可以采用数据加密技术,这主要是因为数据加密可以保护企业内部的数据信息不被侵犯,从而保证企业内部数据信息的完整性。从目前我国企业的发展来看,主要采用的加码技术有两种:对称加密技术和非对称加密技术。通俗来说,数据加密技术就是对内部信息数据进行重新编码,防止机密数据被黑客破译。由此可见,企业应该合理设置加密方式及权限,从而保证企业内部信息数据的安全性和完整性。
3.4 使用防火墙及杀毒软件实时监控
中小企业要想保护内部网络信息的安全,还有一个重要的措施就是使用防火墙及杀毒软件实时监控。防火墙主要是起到一个门卫的作用,是保证网络安全的第一道防线。防火墙可以限制每个IP的流量和连接数,如果得不到防火墙的“许可”,外部数据是不可能进入企业内部系统的。与此同时,防火墙还有监视作用,通过防火墙能够了解入侵数据的有效信息,并且检查所处理的每个消息的源。因此,中小企业为了阻止病毒的入侵,就要使用防火墙,并安装网络版防病毒软件,从而避免病毒的有效入侵和扩散,最终保证企业内部网络的安全性和稳定性。
关键词:企业网络完全;控制策略;措施
中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2012) 12-0067-01
计算机网络的发展,给人们的生活和工作都带来非常大的帮助,有效提升了工作效率,促进了企业的发展速度,促进了我国社会经济的快速发展。但是,由于计算机网络的公开性和自由性,造成了网络安全问题也日渐严重,大量木马及病毒的泛滥,给企业带来了非常大的经济损失,造成了严重的社会影响。因此,加强安全问题的处理工作,成为人们亟待需要解决的问题。
一、网络安全问题的原因分析
网络安全问题的出现,主要是由于企业网络管理意识淡薄,网络管理工作不到位,从而导致病毒木马程序的侵入,从而给企业带来较为严重的经济损失。随着我国社会经济的快速发展,以及网络技术的不断完善,企业的发展越来越离不开网络技术的推动,因此,网络风险和安全问题也成为了阻碍企业发展的重要问题之一。
(一)企业网络管理意识的淡薄
对于企业来说,网络技术已经成为了企业发展的保障,也是企业发展必不可少的重要手段,但是,就我国多数企业来说,并不重视网络管理工作,只强调网络技术的应用,却缺乏良好的管理手段,最终造成了网络安全问题的发生。目前,网络技术已经涉及到企业的各个运作环节,从技术管理、技术监督、电子商务、档案管理以及财务管理工作,都需要由网络技术进行配合,自动化的办公条件使得企业对网络技术的依赖性也越来越高。但是,企业仅仅重视对网络技术的使用,却步重视对网络技术的管理,网络安全管理资金的缺乏,导致网络安全防御系统不完善,网络抵抗能力不足,使得网络安全问题发生频率大大增加,使企业蒙受重大经济损失。
(二)网络技术人员的能力问题
网络技术人员是维持企业网络正常运行的重要因素,如果网络技术人员个人能力素质存在一定的问题,将严重影响到企业网络管理工作的正常开展,导致网络安全防御工作的严重缺失。就目前我国企业网络管理人员来说,由于企业对网络管理工作的不重视,导致网络管理人员的薪资待遇较低,网络管理人员的工作积极性不足,网络管理人员的个人能力素质也有着非常大的不足,使得网络安全监督力度不够,网络安全防御系统脆弱,在面对病毒及木马程序入侵时很难开展有效的补救措施,从而造成严重的后果。
(三)其他问题
随着我国社会经济的不断发展,行业间的竞争也日渐激烈,部分企业为实现自身经济效益的不断增长,往往会采用较为恶劣的竞争手段,对竞争企业进行攻击,其中,企业网络攻击就是较为常用的打击手段。企业往往雇佣网络黑客对竞争对手进行网络攻击,利用木马和病毒程序进行网络入侵,对企业内部的相关数据进行窃取、复制或删除,导致竞争对手蒙受重大经济损失。由于企业缺乏网络安全管理工作,造成企业网络安全性能的大大降低,使得网络黑客有机可乘,给企业发展造成严重影响。
二、提升企业网络安全的相关措施
未来企业发展需要网络技术的支持,未来企业经济取决于企业网络技术的发展,因此,我们有必要加强企业网络管理建设,提高网络安全性能,提升企业网络安全防御能力,避免网络安全问题的发生,降低企业的网络运行风险。以下,是笔者结合多年管理经验所提出的几点提升企业网络安全管理水平的相关措施:
(一)规范企业网络行为
企业网络环境的入侵,主要是由于相关网络技术操作不当所引起的,因此,合理的规范网络行为,能够有效避免病毒和木马程序对企业网络的入侵,有效降低企业网络安全问题发生的频率。网络行为规范包括了网络设备的维护,网络数据保护以及网络操作的约束,要约束企业员工的网页操作,杜绝员工对陌生网页和危险网页的浏览,避免木马文件和病毒文件的感染,这一问题能够通过添加网络安全软件来进行有效控制,避免相关网页的浏览及开启,提升企业网络的安全性能;网络设备维护就是企业网络管理人员要对企业网络进行定期的检查和维护,针对网络漏洞进行及时的修复,提升网络安全性,从而杜绝病毒文件的侵入;网络数据保护,就是对企业重要网络文件进行加密工作,做好企业网络防火墙监督和设置,确保良好的网络运行环境,增高企业安全性能。
(二)加强网络管理人才的引入
良好的网络环境,需要网络管理人才的支持。首先,企业要正确认识网络安全问题对企业的影响,网络安全管理工作的重要性,从而加强网络安全管理力度,适当提升网络管理人员岗位薪资待遇,提升网络管理人员的工作积极性。同时,企业要加强对网络管理人才的引入工作,提升网络管理团队的整体业务能力,有效保证企业网络的安全性能;企业要加强网络管理人才的培训力度,帮助网络管理人员及时了解网络发展动向,了解相关网络病毒和网络木马,并及时掌握有效的预防措施,提高企业网络安全性能,有效避免企业经济方面的损失。
三、总结
企业网络安全管理工作对于企业的发展具有非常重要的意义,能够有效减少企业网络运行风险,避免企业相关重要文件的流失,促进企业网络环境的有效建立。因此,企业应该加强网络安全管理工作,积极进行网络安全管理队伍建设,提高网络管理人员的整体工作能力,避免网络安全问题的发生,避免网络问题对企业经济效益的影响,促进企业健康稳定的发展。
参考文献:
[1]周朝萱.企业网络安全管理与防护策略探讨[J].电脑与电信,2008,8
[关键词]企业网络;信息安全;病毒
doi:10.3969/j.issn.1673 - 0194.2015.16.052
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)16-00-01
随着计算机及通信技术的进一步发展,大部分企业都加强信息化网络建设,油田企业也不例外。安全是影响企业网络正常运行的关键。因此,油田企业要根据企业发展现状,对加强企业网络安全提出针对性建议。
1 油田企业网络安全现状
1.1 企业信息安全管理的隐患
信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面,在信息化时代,油田企业需要加强信息化网络安全管理。现阶段,油田企业信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏细化、具体化的网络安全措施,针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低,如他们不能全面掌握部分软件的功能,不重视企业网络使用规范,且存在随意访问网站,随意下载文件的现象,增加企业网络负担,影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位,负责企业内部网络软硬件的配备与管理,但现阶段,该职位员工缺乏严格的管理理念,不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网,石油企业办公区域也设置了无线路由器。但是,员工自身的手机等设备存在很多不安全因素,会影响企业网络安全性。
1.2 病毒入侵与软件漏洞
网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播,员工如果访问不法链接或下载来源不明的文件,可能会导致病毒入侵,危害信息安全。病毒入侵的原因主要有两方面,一方面,员工的不良行为带来病毒;另一方面,系统自身的漏洞导致病毒入侵。由此看来,油田企业信息化软件自身存在的漏洞也具有安全隐患。其中,主要包括基础软件操作系统,也包括基于操作系统运行的应用软件,如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。
1.3 网络设备的安全隐患
现阶段,油田企业网络设备也存在不安全因素,主要表现在两方面:第一,油田企业无论是办公区还是作业区,环境都较为恶劣,部分重要企业信息网络设备放置环境的温度、湿度不合理,严重影响硬件的使用寿命和性能,存在信息数据丢失的危险;第二,企业内部网络的一些关键环节尚未引入备份机制,如服务器硬盘,若单个硬盘损坏缺乏备份机制,会导致数据永久性丢失。
2 提高油田企业网络安全策略
2.1 加强信息安全管理
基于现阶段油田企业信息网络安全管理现状,首先,油田企业要重新制定管理机制,对各个安全隐患进行具体化、细化规范,包括员工对信息应用的日常操作规范,禁止访问不明网站和打开不明链接。其次,油田企业要强化执行力,摒除企业管理弊端,对违规操作的个人进行严厉处罚,使员工意识到信息安全的重要性,提高其防范意识和能力。再次,油田企业要招聘能力强、素质高的信息系统管理员,使其能及时发现和整改系统安全隐患。最后,对员工使用智能终端上网的现象,则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离,以避免对其产生负面影响。
2.2 加强对软件安全隐患和病毒的防范
(1)利用好防火墙防范技术。现阶段,油田企业的网络建设虽然引入防火墙设备,但没有合理利用。因此,油田企业要全面监管和控制外部数据,防止不法攻击,防止病毒入侵。同时,定期更新防火墙安全策略。
(2)对企业数据进行有效加密与备份。对油田企业来说,大部分数据具有保密性,不可对外泄密。因此,企业不仅要做好内部权限管理,还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密,数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业,可在不同地区进行备份,以防止不可抗拒外力作用下的数据丢失。
(3)合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件,并高效运行,以加强对病毒的防范。
2.3 提升网络设备安全
(1)由于油田企业内部信息网络规模较大,设备较多且部署复杂。因此,要及时解决硬件面临的问题,定期检查维修,提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况,并能及时发现潜在隐患。
(2)对处于恶劣环境中的网络设备,包括防火墙、服务器、交换机、路由器等,尽量为其提供独立封闭的空间,以确保温湿度合理。
3 结 语
信息网络安全管理是油田企业管理的关键。因此,油田企业要完善信息网络操作安全管理制度,保证软件系统、硬件设备安全运行。
主要参考文献
关键词:信息;网络安全;管理策略
中图分类号:F270文献标志码:A文章编号:1673-291X(2010)30-0015-02
随着企业信息网络建设与不断的发展,信息化已成为企业发展的大趋势,信息网络安全就显得尤为重要。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
一、信息网络的安全管理系统的建立
信息网络安全管理系统的建立,是实现对信息网络安全的整体管理。它将使安全管理与安全策略变得可视化、具体化、可操作,在将与整体安全有关的各项安全技术和产品组合为一个规范的、整体的、集中的安全平台上的同时,使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,从而提高用户在安全领域的整体安全效益。下面对信息网络安全管理系统技术需求和功能要求进行分析。
(一)技术分析
1.在信息网络安全管理系统的设计上,应该用到以下技术:安全综合管理系统体系结构构造理论和技术;安全部件之间的联动技术;安全部件互动协议与接口技术;网络拓扑结构自动发掘技术;网络数据的相关性分析和统计分析算法;网络事件的多维描述技术。
2.信息网络安全管理系统应具有安全保密第一:安全保密与系统性能是相互矛盾的,彼此相互影响、相互制约,在这种情况下,系统遵循安全与保密第一的原则,信息网络安全管理系统在设计、实施、运行、管理、维护过程中,应始终把系统的安全与保密放在首要的位置。在信息网络安全管理系统设计,尤其在身份认证、信任管理和授权管理方面,应采用先进的加密技术,实现全方位的信任和授权管理。因此,对信息安全管理系统而言,针对单个系统的全部管理并非是本系统的重点,而应该投入更多的力量在于:集中式、全方位、可视化的体现;独立安全设备管理中不完善或未实现的部分;独立安全设备的数据、响应、策略的集中处理。
(二)功能分析
1.分级管理与全网统一的管理机制:网络安全是分区域和时段的,实施分级与统一的管理机制可以对全网进行有效的管理,不仅体现区域管理的灵活性,还表现在抵御潜在网络威胁的有效性,管理中心可以根据自己网络的实际情况配置自己的策略,将每日的安全事件报告给上一级,由上一级进行统一分析。上一级可以对全网实施有效的控制,比如采用基于web的电子政务的形式,要求下一级管理中心更改策略、打补丁、安全产品升级等。
2.安全设备的网络自动拓扑:系统能够自动找出正确的网络结构,并以图形方式显示出来,给用户管理网络提供极大的帮助。这方面的内容包括:自动搜索用户关心的安全设备;网络中安全设备之间的拓扑关系;根据网络拓扑关系自动生成拓扑图;能够反映当前安全设备以及网络状态的界面。
3.安全设备实时状态监测:安全设备如果发生故障而又没有及时发现,可能会造成很大的损失。所以必须不间断地监测安全设备的工作状况。如某一设备不能正常工作,则在安全设备拓扑图上应能直观的反映出来。实时状态监测的特点是:(1)高度兼容性:由于各种安全设备的差别很大,实时状态监测具有高度兼容性,支持各种常用协议,能够最大程度地支持现有的各种安全设备。(2)智能化:状态监测有一定的智能化,对安全设备的运行状态提前作出预测,做到防患于未然。(3)易用性:实时状态监测不是把各种设备的差别处理转移给用户,而是能够提供易用的方式帮助用户管理设备。
4.高效而全面的反应报警机制:报警形式多样:如响铃、邮件、短消息、电话通知等。基于用户和等级的报警:可以根据安全的等级,负责处理问题的用户,做出不同方式、针对不同对象的报警响应。
5.安全设备日志统计分析:可以根据用户需求生成一段时间内网络设备与安全设备各种数据的统计报表。
二、信息网络的安全策略
企业信息网络面临安全的威胁来自:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞:网络软件不可能是百分之百的无缺陷和无漏洞的,这些是因为安全措施不完善所招致。
(一)物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受破坏和攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室。
(二)访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。访问控制可以说是保证网络安全最重要的核心策略之一。
1.入网访问控制:入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。
2.权限控制:网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限。
(三)目录级控制策略
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。
三、网络安全管理策略
在网络安全中,除了采用技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制定有关网络操作;使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
关键词:中小企业;信息安全;防火墙;VPN
1背景目前
我国很多中小企业都开始广泛使用信息化手段提升自身的竞争力,借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,帮助企业更快的了解市场行情,促进企业发展。但与此同时信息安全问题也日益突出,每年企业因信息系统的安全问题而遭受经济损失难以估量。本文针对太仓中小企业网络信息安全现状进行深入调研,走访企业了解企业网络信息安全的配置情况,可能存在的问题,然后根据现有的网络安全技术和手段帮助企业解决问题,以满足企业需求、投入资金少、专业技术管理人员投入少为需求给出解决策略,避免因信息安全问题造成的经济损失。
2中小企业网络信息安全现状研究
经调研分析,目前中小企业大致可以分为两类,一类是国内企业,一类是外企也就是总部在国外,国内有分公司或者工厂。总的来说,所有的中小企业都有自己的计算机网络、典型应用系统如办公自动化系统、信息查询系统、web应用、邮件服务、财务和人事系统等。根据中小企业计算机网络应用特点,一般需要保证数据具有实时性、机密性、安全性、完整性、可用性和不可抵赖性。太仓中小企业众多,光德资企业就有200多家。企业的产品信息、业务数据、销售订单都需要利用信息化系统进行处理,有的甚至需要大数据平台分析处理,那么信息系统的安全性也是尤为突出的一个问题。对太仓中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否适合时代新技术,健康良好快速发展的关键因素之一。太仓众多外企总部都在国外,因此总公司和分公司之间需要经常传输大量的数据,其中包括很多重要甚至机密的数据,对于数据传输的保密性、完整性要求更高。针对这些特点目前中小型企业网络存在的主要安全问题有:
1)弱口令造成信息泄露威胁目前中小企业使用的各类系统较多,包括邮件、ERP、内部OA系统、电子商务系统等。面对众多的系统,员工要设置各类密码,非常麻烦,所以基本都会设置简单的便于记忆的弱口令,而且很多系统都设置相同的密码,长期不对密码进行更改,这样就很容易造成密码泄露,一旦成功入侵企业内部网络,就很容易窃取到密码非法进入系统获取资料。
2)网络病毒威胁中小型企业员工一般都是单独使用计算机,并且所有计算机都可以访问互联网,员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,如果不能正确安装使用防病毒软件,一台计算机感染病毒很快就传播到企业内部的多台计算机,甚至导致企业内部网络瘫痪。
3)企业主干网络没有划分VLAN中小型企业网络系统中,由于网络规模小,没有专业网络设计维护人员,为了省事和方便,很多企业的系统没有划分VLAN或者没有按要求细化,造成同一广播域中计算机数量过多,容易造成广播风暴和网络带宽严重浪费。
4)无线网络密码泄露无线网络的方便快捷使得它在企业中的应用快速发展起来,一般企业公司都在工作区域安装无线路由器等无线设备,方便公司员工及外来人员进入公司内部网络或者互联网。但由于无线密码设置简单,很容易被破译。互联网上的攻击者可以通过破译无线密码,轻松进入到公司内部网络,从而造成公司信息泄露。
5)移动终端安全隐患随着3G时代的到来,公司企业员工使用移动设备连接公司网络,因此由移动终端设备带来的安全隐患也不可避免。对于企业IT部门而言,移动设备已成为网络安全的一个致命弱点,因为通过电子邮件、彩信、蓝牙等方式传播的病毒很容易对企业内网安全造成危害。
3中小企业网络信息安全解决策略研究
中小企业对信息安全的需求主要是保障公司网站稳定运行、避免商业机密被窃取、企业信息被恶意篡改,因此网络安全解决方案的可用性是中小企业首要考虑的问题,只有网络安全设备正常可用,才能保护企业网络安全。其次,中小企业规模小,资金不足,网络安全管理人才缺乏,安全解决方案的易用性也是企业必须考虑的因素,使用简单有效的方法提高企业网络安全,减少企业在资金、专业管理人才的投入同时又能保障公司网络信息安全。移动互联、大数据、云计算环境下,针对企业各类服务和后台系统建议找专业网络公司托管,这类公司有专业的网关、防火墙、入侵检测系统,能够为企业各类服务提供安全保障,这样中小企业也无需在花大量的资金自己购买这类安全设备、专业人员培训等,大大减轻了公司服务器管理和维护压力。针对目前存在的安全问题,给出以下安全策略:
1)加强企业员工网络安全管理中小企业所有的系统口令包括员工设置登陆口令必须按照操作系统密码复杂性要求设置,至少8位字符,其中要包括字母大写、小写、数字、特殊符号中三种情况以上,由企业系统管理员或者网络管理员设置密码失效时间,规定在一定时间内必须更新密码,用简单切实可行的方法建立第一道安全大门。
2)加强企业网络入侵防范中小企业可以利用防火墙加强企业网络入侵防范,实现企业内外网隔离,主要设置网络边界出口链路带宽要求、数量等情况,IP地址规划对防火墙地址转换的需求。通过防火墙的认证机制,过滤访问网络数据。通过防火墙权限设置,严格审核外网用户的非法登录,定期查看防火墙日志文件,对有攻击性的网络访问行为进行警告。
3)VPN策略一般公司都需要连接互联网,特别是针对太仓德资外企来说与德国总部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用浏览器内建的安全通道封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。中小企业的远程访问环境变化较大,SSLVPN不需要安装客户端软件远程用户,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低,其次SSLVPN还提高了平台的灵活性方便扩展应用和增强性能,对中小企业而言可以降低使用成本,最有效地保护投资。
4)无线网络安全策略对于中小企业,建议选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能。在网络上,针对全部用户使用一致的授权规则,在不会被轻易损坏的位置部署硬件。正确全面使用WEP机制来实现保密目标与共享密钥认证功能,通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流。其次必须在每个客户端和每个AP上实现WEP才能起作用,不使用预先定义的WEP密钥,避免使用缺省选项。密钥由用户来设定,并且能够经常更改,最后要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
5)移动终端安全策略为了避免移动终端携带病毒连接到企业内网中,确保移动终端如智能手机、ipad、移动笔记本安装杀毒软件、防火墙并定期对移动设备进行系统漏洞补丁和更新,定期扫描杀毒,特别不要随意打开、下载不确定的邮件、链接和彩信,以免中木马病毒。如果一旦中毒,应该立刻断网,进行杀毒或者更新系统,以免木马病毒通过无线网络传播企业内部网络。
4结束语
通过深入太仓中小企业调研,了解企业的网络信息安全现状及存在问题,结合网络信息安全建设方案,从物理安全、计算机硬件软件安全、网络体系结构安全、病毒防范、入侵检查、防火墙配置、信息系统运行维护等方面给出切实可行的网络信息安全建设方案,有针对性对太仓中小企业网络信息安全建设策略研究。参考文献:[1]冯运仿.基于防水墙系统的中小企业信息安全策略[J].安防科技,2006(9):57-58.
[2]周伟.电子商务信息安全技术浅议[J].农业网络信息,2007(4):95-96.
[3]项菲,林山.中小企业信息安全策略研究[J].电脑知识与技术,2009(5):325-326.
[4]赵向梅,杜晓春,侯亚玲.中小企业网络安全问题和策略研究[J].电子测试,2014(6):134-135.
[5]邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010(10):207-208.
[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2010(19):207-208.
[7]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006(5):62-63.
关键词:企业网络化;网络办公;信息安全管理
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)02-0153-02
近些年来,随着我国经济不断的发展,信息技术不断革新,企业的生存已经和计算机网紧紧绑定在一起。然而,网络的覆盖面和普及范围越来越广以及各种信息技术的不断更新,使得网络化办公存在诸多安全隐患,尤其是企业信息安全问题,因而在当今网络信息时代,保护信息等数据的安全是极为重要的。本文就针对网络信息办公中存在的安全问题进行了分析,并提出了相应的解决措施。
1 企业网络化办公中存在的安全信息问题
1.1 网络病毒
在当今的网络信息时代,病毒攻击防火墙随时随地都在上演;病毒感染、攻击防火墙作为盗窃信息数据的重要手段之一,其是网络办公不得不防的问题之一。如在网络办公中,经常会使用邮件进行交流、信息分享与交换,而邮件也作为当前网络病毒入侵的渠道之一,其隐藏在电子邮件及附件之中,若是没有采取相应的病毒防范措施,在邮件被打开的那一刻,企业的信息数据已然开始被复制或使得整个网络办公局域网瘫痪,给企业造成巨大的损失。
1.2 数据备份存在缺陷
企业网络化办公的实时性极强,信息变化速度极快,因此数据备份就显得非常重要,如计算机中存档的数据、历史记录以及档案对企业领导层或用户来说是非常重要的,若是没有及时给予备份,一旦丢失,就会给企业造成不可预估的损失,轻则重要客户信息流失,重则导致企业的正常运行受到巨大阻碍,给生产、科研造成难以估计的损失。
1.3 网络防火墙存在漏洞
防火墙软件作为保护企业网络化办公免疫病毒攻击的主要手段之一,其随着网络中病毒软件的开发而出现相应的变化,因此网络防火墙会及时更新,这也是充分发挥网络防火墙的作用,保证信息安全的主要手段之一。然而,由于管理人员不重视,认为实时更新防火墙软件麻烦,导致软件中存在漏洞,造成数据安全隐患。
2 信息安全的防范措施
2.1 安装防病毒软件
企业在开展网络化办公时,应考虑网络中可能被病毒感染或攻击的地方可以采取相应的防病毒措施,如以“纵深”的防御形式购买和安装相应的防病毒软件。网络技术在发展,防病毒软件在更新,病毒同样如此,尤其是企业网络化办公,单机防病毒已经不足以对网络病毒进行扫描和彻底清除,因此,必须购买和安装能适应局域网,且全方位、无死角的防病毒软件。防病毒软件的安装,能有效地识别网络内部交流中隐藏的病毒,如邮件或附件中隐藏的病毒。
2.2 数据备份
为了保证企业重要数据不丢失,避免企业因数据丢失造成损失,对计算机中数据进行备份是极为重要的,也是必须采取的防范措施之一,这对保障企业的生产、产品研发、销售等正常运行,有着重要的意义。企业应根据自己的经济能力和信息的存储及更新能力,选择合适的数据备份方式,如网络硬盘备份、硬盘备份等。
2.3 架设防火墙
防火墙作为当前应用最广泛、最有效的网络安全机制之一,其是预防和避免Internet上存在的不安全因素,如木马病毒等,蔓延到企业使用的局域网内部的有效措施之一,也是保证整个局域网安全的重要环节之一。架设防火墙对于一个需要保证信息安全的企业来说非常有必要,它会对外部网络和内部网络之间流通的所有数据进行检验和筛选,只有符合企业所设定的信息安全策略的交流数据才能避免被防火墙拦截,同时,防火墙本身还具有极强的抗攻击免疫能力。
2.4 设定访问权限
访问权限设置和控制作为防范网络不安全因素和保证网络安全的重要手段之一,其主要任务是避免企业内部网络资源被非法或越权访问和使用,这是保障企业信息安全的核心策略之一。因此,依据企业对网络信息的实际要求,制定相应的访问控制权限,如目录级控制、属性控制、网络权限控制、网络IP地址控制以及入网访问控制等手段均可起到作用。
3 网络办公信息安全管理策略
企业网络安全的核心在于管理,而安全管理的保证在于技术,因此“七分管理,三分技术”是保证企业网络信息安全的重要策略和实施手段。只有制定和完善信息安全的规章制度,规范企业用户使用信息的行为,同时与安全技术相互结合,企业使用的网络系统及信息数据安全才有保障。
3.1 强化企业用户的信息安全防范意识,提升其综合素质
无论是企业决策人员,还是企业员工,其思想上对网络安全的重视和认识对企业信息安全是极为重要的,要落实安全保密工作的职责,定期开展数据安全防范教育,并制定相应的保密措施对企业员工或领导层进行要求,提升其数据安全的预防意识和保密意识。同时,网络信息安全管理需要专业的人才来进行相应的操作和监控,因此,企业要依据自身的实际需求,储备和招揽相应的计算机专业人才,并定期对其进行培训,提升企业数据安全的整体防护能力。
3.2 完善管理制度,加强管理力度
企业在实施宏观的数据安全管理措施的同时,还要与重点、有针对性监控方式相结合,这样才能最大程度上保障企业信息安全。同时,依据企业各个部分涉及的信息量和核心信息量大小,加强管理力度,制定并实施相关的网络信息安全管理办法,将每个安全管理环节进行细化,落实信息安全防范的责任,做到“谁用谁负责”,这对保证企业网络化信息安全有着重要的意义。
3.3 加强对核心数据的管理
企业核心数据涉及到企业未来发展战略的各个方面,其包含产品占据市场的方法、活动方案、策划方案等各种手段,这与企业的未来息息相关,因此,加强对企业核心数据等信息的管理是非常重要的。依据核心数据管理所涉及的对象,如领导层、决策层以及网络安全部门等人员,制定相应的制度进行规范,无论是信息的使用,还是数据的拷贝,都需要相应的秘钥进行确认,这能有效避免数据被非法盗取或使用。
4 结语
计算机网络技术、信息技术的快速发展,使得企业的办公形式与业务发展发生了根本性的改变,企业的生存和盈利更是与网络紧紧联系在一起,而网络中存在的病毒、黑客等不安全因素也给企业网络化办公的信息安全带来巨大威胁,因此加强企业网络信息安全的管理和防范,对企业未来的发展将会显得越来越重要。
参考文献
[1] 刘韫.企业网络信息安全面临风险及常用防护措
施[J].网络安全技术与应用,2013,(9).
[2] 赵治谊.浅析企业网络信息安全管理机制[J].中
国电子商务,2012,(8).
[3] 赵婷婷.关于企业网络信息安全的防范措施研究
[J].科海故事博览・科技探索,2013,(3).
[4] 苟有来,周琦.大中型企业网络信息安全面临风险
关键词:域;组策略;网络安全
随着信息化的发展,企业网络的用户计算机不断增多,企业网络安全管理的难度会变的越来越大,如果用户的计算机的安全设置需要网络管理员一台台进行,那么将给网络管理员带来很大的负担,同时也给企业带来了较大的网络安全管理费用,虽然通过配置本地安全策略加强了工作组中计算机的安全性。但在企业网络域环境中,如果要对多台客户机进行同样的安全设置,可以通过“组策略”对多台企业计算机客户机进行统一的配置。通过在公司网络系统中应用域的组策略,网络管理员可以很方便地管理活动目录中的用户和计算机的工作环境,如用户桌面环境、用户计算机启动、关机与用户登录、注销时所执行的脚本文件、软件安装、计算机安全设置等,大大提高了企业网络系统的管理效率和安全性。总体来说,在企业网络中利用域组策略可以影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境,有利于降低布置用户和计算机环境的总费用;只须设置一次,相应的用户或计算机即可全部使用规定的设置,有利于减少用户不正确配置环境的可能性;有利于推行公司使用计算机的规范。
一、域组策略结构分析
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以很方便地设置各种软件、计算机和用户策略。例如,可使用"组策略"从桌面删除图标、自定义开始菜单并简化控制面板。此外还可添加在计算机上运行的脚本,甚至可配置IE。组策略是以一个管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和安全配置。组策略在类别以及功能结构上进行了细化,并且按照客户端,服务器和序列号,把整个组策略划分为三大部分,客户端的管理在安全性方面除了已经出现的是否允许在客户端保存密码和对客户端的登陆验证策略之外,更加强调了它的安全性管理,通过远程桌面服务远程访问的程序,它们看起来像是运行在最终用户的本地计算机上一样。远程桌面服务向管理员提供分组和个性化以及虚拟桌面的能力,使最终用户在运行计算机的开始菜单上可以使用它们。
域组策略GPO,在域控制器上针对站点,域或OU来配置组策略,其中域策略内的配置应用到所有域内计算机和用户上,OU对应到该OU内,如果本机冲突则以域或OU组策略的配置优先,本机无效。组策略的组件组策略的具体设置数据保存在GPO组策略对象中,被视为活动目录中的一种特殊形象,可以将GPO和活劢目录的容器站点、域和OU连接起来,以影响容器中的计算机和用户。组策略是通过使用组策略对象来进行管理的。服务器的管理,在更早版本的系统中,因为分类不清晰,当需要实施一条新的组策略时,要在根目录下逐条寻找策略,这就无形之中就增加了实施的时间成本。相对而言,Win2008的组策略设置具有了类别化,系统管理员更加容易从这些类别目录中找到自己所需要的策略。
二、域组策略应用规则
继承与阻止继承,在默认情况下,下层容器会继承来自上层容器的GPO,子容器可以阻止继承上级的组策略;累加,容器的多个组策略设置如果不冲突,则最终有效策略是所有组策略设置的总和,容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略,组策略按以下顺序被应用:首先应用本地组策略对象,如果有站点组策略对象,则应用之,然后应用域组策略对象,如果计算机或用户属于某个OU,则应用OU上的组策略对象,如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象,如果同一个容器下链接了多个组策略对象,则按照策略优先级从大到小逐个应用。组策略的“强制生效”会覆盖“阻止继承”设置,也就是如果上级容器中的策略设置强制生效,那么下级容器与其相冲突的一律无效。但NTFS权限的继承与阻止继承是哪个后设置,后设置的生效。
三、域组策略的实现方法
用组策略实现软件分发,准备MSI软件数据包,它是实现软件分发功能所必要的文件格式,通常包含了安装内置程序所要的环境信息和安装或卸载时需要的指令数据。首先创建软件分发点,包含有用来分发软件的包文件所在的共享文件夹,创建分发点要或分配的计算机程序,必须在服务器上创建一个点。然后以管理员登录并创建共享,放入msi文件和可执行文件,分配文件夹权限;创建组策略对象,设置组策略不链接组策略对象,计算机配置到软件设置到软件安装选择新建数据包再打开已分配时选择启动时自动安装。
使用组策略配置脚本,一般情况下,如果管理员需要实现某项管理功能,而现有的组策略设置选项又不能实现,则需要创建一个脚本来完成,然后使用组策略自劢运行该脚本。在win 2008中,可以使用组策略中的脚本功能来运行的脚本主要有批处理文件、可执行程序,以及支持脚本的windows脚本主机等。组策略脚本设置可以集中存储脚本文件,在计算机启劢、关闭、用户登录,以及退出时自劢运行,而且必须将组策略脚本添加到组策略模版的指定位置后才能自动运行。组策略脚本复制可以实现使用组策略重定向文件夹到主目录,使用组策略重定向文件夹到根目录,使用组策略重定向文件夹到本地配置文件位置,使用组策略为丌同的用户组指定位置,使用组策略重定向特殊文件夹到指定位置,使用组策略自动运行脚本,先要将脚本复制到适当的组策略模版文件夹中。另外使用组策略还可以制定软件限制策略,使用路径规则实现软件限制,使用哈希规则实现软件限制。
利用组策略实现其它方面的企业网络安全如下:通常操作系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?其实很简单,可以按照下面的操作来修改系统的组策略参数:首先以普通权限的帐号登录系统,打开对应系统中的IE浏览器窗口,单击其中的工具菜单项,从下拉菜单中点选选项命令,弹出选项设置窗口,其次点选选项设置窗口中的连接选项卡,进入连接选项设置页面,单击该设置页面中的局域网设置按钮,选中其后设置页面中的为LAN使用服务器选项,再任意输入一个服务器的主机地址以及端口号码,再单击确定按钮执行参数设置保存操作之后注销系统,换用具有特殊权限的用户帐号重新登录进入系统,依次点选开始、运行命令,在其后出现的系统运行框中输入相关命令,单击确定按钮后,进入对应系统的组策略控制台窗口,选中该控制台窗口左侧位置处的计算机配置节点选项,再从目标节点下面依次展开管理模板、Windows组件、控制面板子项,再用鼠标双击目标子项下面的禁用连接页组策略项目,此时系统屏幕上会弹出目标组策略属性设置对话框,选中已启用选项,再单击确定按钮执行设置保存操作,这么一来,普通权限的用户在系统中尝试访问网络时,IE浏览器会自动连接一个失效的服务器,那么IE浏览器自然也就不能正常显示网络页面内容了,而具有特殊权限的用户在系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容。
网络安全是一个较为系统的概念,网络安全解决方案的可靠性是建立在集成网络安全技术的基础之上,由于受到各种各样因素的影响而对众多供电企业的网络安全构成威胁。随着现代科学技术水平的不断提高,电网安全生产系统、电力调度监控系统以及用电营销系统等已广泛应用于供电企业中。应用信息网络安全技术可确保各应用系统稳定可靠运行,有效提高各系统数据传输的效率,实现数据集中和数据资源共享[1]。但是,网络信息中仍然存在较多安全问题,需要对其给予重视,提高计算机网络信息的安全性并加强防护对供电企业的正常运行以及发展均具有非常重要的意义。
1地级市供电企业信息网络存在的安全问题
1.1内网网络结构不健全
现今,地级市供电企业的内网结构未能达到企业内网网络信息化的良好状态,其结构还不够健全。地级市供电企业由于条件有限,对信息安全工作的投入并不多,使其存在较大的安全隐患,加上各项安全保障措施不到位,使得内网网络缺乏健全性。但是,随着营销、生产、财务等各个专业的信息系统的上线投运,使得整个信息管理模式中较为薄弱的网络安全系统成为最短板。
1.2职工安全防范意识不够
要使网络信息安全得到保障,就要提高地级市供电企业的工作人员的综合素质。目前,地级市供电企业的工作人员具有技术水平参差不齐、缺乏安全防范意识的特点。年轻职员的操作能力不够高,对突发事件的应对措施等相关知识没有足够的积累;而老龄职工又难以完全掌握网络信息安全,跟不上信息化的更新脚步,对新型网络技术的了解不全面等[2]。这也是地级市供电企业信息网络安全中存在的问题,应当给予重视。
1.3网络信息化机构漏洞较多
当前地级市供电企业的网络信息化管理还不是一个完整的体系,其中各类系统的数据存储、关键流程流转等都是非常重要的环节,不能出现任何问题,但由于安全管理的漏洞较多,所承载的网络平台的安全性也较低,使信息管理的发展不具平衡性。针对现状来看,计算机病毒、黑客攻击等所导致的关键保密数据外泄是对地级市供电企业最具威胁性的安全隐患。虽然应用各种计算机准入技术和可移动存储介质的加密技术可保障企业信息网络安全,但是还存在操作系统正版化程度严重不足的情况[3]。由于被广泛使用的XP操作系统在企业内已停止更新,导致操作系统的针对性攻击越来越频繁。一旦出现计算机网络病毒,就会在企业内部的计算机中进行大规模传播,从而为相对公开化的网络提供了机会,导致计算机系统遭到恶意破坏,甚至系统崩溃。不法分子就会趁机盗取企业的机密文件,对供电系统的相关数据进行篡改,毁灭性地攻击供电系统,严重时还会导致整个供电系统的大面积瘫痪。
2对地级市供电企业信息网络安全的防范措施
2.1加强对网络设备的管理
采用内外网物理隔离,在内网边界设置入侵监测系统;在内外网边界同时设置千兆硬件防火墙。对VLAN装置进行优化,对局域网合理分割安全区域;对于VLAN之间的信息交换进行严格规划,访问控制列表须详细规划,对VLAN的合法访问给予授权,对非法访问则进行隔离,同时还要运用VACL优化访问控制列表,使其安全性得到保障。入侵监测系统的配置可对利用常用端口的漏洞所实施的攻击以及病毒进行防范。
2.2加强对服务器的管理
专用业务服务器的访问权限较严格,其访问精度须达到“终端级别”;采用VACL隔离无需相互访问的服务器。仔细认真地整理和统计服务器中应用系统的使用对象及需开放的服务端口,并根据实际情况进行调整。逐一匹配IDS到开通的服务端口中,并对同一源地址、目的地址的连接次数进行限制,控制数据包的大小,监控对主机提供服务的端口,如果发现有攻击行为就会自动连接到防火墙模块。
2.3加强对终端设备的管理
设置北信源内网安全管理系统可对终端设备管理进行强化,从而保护内部资源与网络的安全。这个系统是由移动存储管理、文件保密管理、补丁管理和终端管理构成,终端管理系统可使桌面行为监管、准入控制、外设与接口管理、终端资产管理等功能得以实现。补丁管理系统是分析系统漏洞以及对流量进行控制,而文件保密管理和移动存储管理是对文件、目录、U盘、磁盘盒等进行保密管理。
2.4防火墙的拦截
防火墙被称为控制逾出两个方向通信的门槛,是对计算机网络安全进行保护的一种技术措施,也是对网络中的黑客入侵进行阻止的有力屏障。在电力系统杀毒软件的基础上再对防火墙软件系统进行配置是安全性较高的措施,并且可以预防黑客或不法分子的入侵,对计算机网络信息和系统的备份都具有重要意义,另外还可定期检查备份,使其有效性得到保证[4]。防火墙系统由过滤防火墙、防火墙和双穴防火墙组成。过滤防火墙是设置于网络层的,它能够实现路由器上的过滤。防火墙又称应用层网管级防火墙,由服务器和过滤路由器组成,是目前最流行的防火墙。双穴防火墙主要是对一个网路的数据进行搜集,并选择性地将数据发送至另一个网络中。在电力系统中合理、科学地配置防火墙可保障计算机信息网络的安全性,同时对网络之间连接的可靠性和安全性也具有重要意义。
2.5使用正版化的操作系统和应用软件,并及时升级
使用正版化的操作系统和应用软件具有专业有效的售后服务支持,可随时请专业人员对电脑所出现的问题进行解决。另外,随着人们对软件功能要求和硬件升级的不断提高,使用正版化的操作系统和应用软件可随时获得安全升级,避免盗版软件所带来的安全隐患,有效防范企业隐私信息外泄。因此,地级市供电企业应使用正版化的操作系统和应用软件,并及时进行升级,以使信息网络的安全性得到提高。
2.6提高员工的综合素质
地级市供电企业应提高全体工作人员的计算机网络信息安全知识水平和技术水平,提高其计算机网络信息窃密泄密的防护水平以及综合能力。严禁将泄密的计算机和互联网或其他公共信息网进行连接,在非泄密计算机或者互联网中对机密文件进行处理,落实计算机网络信息安全保密责任制,提高员工对网络安全的认识[5]。还可设立安全保密管理系统,签署保密协议,对供电企业的计算机网络安全的管理与监督进行加强,定期对其安全性进行检查。做好文件的登记、存档和销毁工作,对系统中的网络信息安全隐患能够及时发现并处理,从而保证地级市供电企业网络信息的安全。另外,企业也应严格遵循相关的信息保密工作文件要求,防止外部侵害和网络化所造成的机密泄露。
3结束语
【关键词】电力企业信息安全管理策略
电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。
1做好安全规划
做好电力企业的网络安全信息规划需要做到以下两点:
(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;
(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。
2加强制度建设
安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:
(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。
(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。
(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。
3设置漏洞防护
随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:
(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;
(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。
4提高管理手段
科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:
(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;
(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。
5总结
综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。
参考文献
[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(06):121+123.
关键词:网络安全;信息安全;防护策略;漏洞威胁
随着网络科技的不断提升和发展,世界不断趋于经济一体化,信息全球化。以因特网为中心正在向全球辐射的各种各样的不同大小的信息影响着我们的出行、工作、学习和生活。而在政府机构、企事业单位显得犹为重要和突出,如财务管理系统、交易管理系统等。然而,正是因为信息的不断膨胀,计算机网络在接受这些不同的信息时,很容易遭到恶意软件、黑客以及其他人员的侵袭和攻击,因此,网络安全的防护显得犹为重要。
1 网络安全的漏洞和隐患
网络安全存在的漏洞和隐患的原因包括内在原因和外在原因,其中内在原因包括企事业单位内部管理制度不完善,导致的管理过程中存在失误,还有单位内部人员或外部人员对其网络系统进行的蓄意破坏和攻击,另外,还有网络自身却少密钥保护,导致防护系统较差,容易外部恶意软件和黑客攻击。
1.1管理制度不完善
在一些企事业单位,存在少数管理者的权利过大而所做的工作过少的现象,从而使网络使用权限和行政管理权限隔离开来,无法达到二者同步与融合,从而极大地出现,有权利的人,却无法行驶其权利,无法增强自身的安全防护,大大增加了安全隐患。另外,因为相关的信息体系太过庞大,同时技术操作人员素质不高,缺少作为管理员应具备的账号、保密意识和保密措施,使得单位的安全系数极易受到威胁。究其原因,就是单位对技术人员的管理力度不够,缺少相应的培训和学习,缺乏相关的制度措施和奖惩制度。
1.2相关人员的蓄意攻击
相关人员包括内部人员和外部人员。
有些网络系统的攻击是来自于企业内部一些对网络有一定使用权限的人员。因为有些企事业单位内部人员结构过于复杂和庞大,对网络系统拥有使用权限的使用者过多,同时网络系统自身的保密制度和防护技术不够发达,从而导致内部人员对网络安全的破坏和攻击。
1.3网络技术存在漏洞
为了方便使用者进出操作系统,开发人员提供了相关的无口冷入口,同时,这也便成为了黑客和恶意软件选择攻击和侵入的最佳通道。同时,黑客还会选择一些操作系统中的隐蔽通道进行攻击,而这些操作系统中储存的信息如Telnet(远程登录协议)、FTP(文件传输协议)等都是一些最基础、最常用的用户服务协议和用户信息。因为企事业单位在使用的这些服务都具有专属性,只有在安装时关闭了这些不相关的服务时,才能不被黑客和恶意软件攻击和侵害。
2 网络安全策略设计原则
网络安全防护措施在制定时,需要科学可行的方式,以便提高相关服务安全的管理效率,使管理效果显著。参照ISOI 7799(信息安全管理标准)等国际标准进行综合考虑、实地考察和效果监测,在设计网络安全防护措施时应注意以下方面。
2.1统筹规划,步步为营
因为企事业单位的网络信息结构过于复杂和庞大,同时政策和技术在不断改变,再加上病毒、黑客、恶意软件等在攻击网络屏障时所用手段和方法在不断更新,因此,网络安全的防护不是一蹴而就的,网络安全防护措施一时也不能做到面面俱到,涉及到各个细微的角落和方面,这是我们在制定相关措施时首先要意识和认知到的一点。因此,我们要以科学可行为原则,统筹规划,步步为营,逐步更新制度,全面深化改革,从大方面到小细节,一点点地改变,切不可一味追求一步到位,而是实现动态调整,使体制逐步适应于庞大的信息库和信息结构。
2.2等级原则
在进行信息管理和信息防护时,要根据安全层次和安全级别,分别制定适用于不同种类和不同重要程度的的信息的措施和对策。这些不同等级的安全层次和安全级别对于一个良好的信息安全系统是必不可少的。同时,在这些大的等级范围中,还要制定各个小的级别,包括对信息保密程度、用户适用权限、网络安全程度等进行细节的分类。
2.3简易性原则
不管技术是怎样的高深难懂,最终这些操作都是需要人去实施和完成,因此,技术难度固然是高的,但要保证相应的实施难度要低,也就是所谓的“科技黑箱”。因为如果操作难度过高,直接会导致能够胜任相关工作的人员稀缺,而最终的结果,便是降低了企事业单位网络系统本身的防护和保密系统,同时也会影响正常工作和服务的运作和运行。
2.4整体性原则
我们在制定措施时,要考虑到安全防护过程中出现的各方面的问题。既要考虑到对黑客、病毒对网络攻击时,所应对的防护系统的建立,还要考虑到在网络遭受到攻击后,所建立的信息恢复的过程和制度,在各个方面尽力减少黑客、病毒、恶意软件对网络系统进行攻击的损失,切不可顾此失彼。加强安全防护、安全风险的检测和安全恢复等机制的建立。
3 网络安全防护的应对策略
在一个企事业单位中,网络信息的传递结构及其庞大和复杂,其中包括了行政管理、科学技术等各个不同的分支,因此,我们需要一个科学有效的防护策略。
3.1设置有效的防火墙
安装高级有效的防火墙是防止黑客、病毒、恶意软件的有效且必要的手段。目前,在市面上比较常见的防火墙包括过滤防火墙、服务防火墙、自适应技术等几类。防火墙的应用,能够实现把网络信息重要等级和应对措施进行自主分类和处理,并把防火墙置于进出域的阻塞点上,进行全方位和高效率的防护。
3.2定期查杀病毒
现行的病毒多种多样,包括存储器病毒、引导区病毒等。而滋生病毒是时时刻刻都在发生的,因此,要做到有效防御和驱逐病毒,就要定期做到计算机系统的检测和处理
4 总结
随着因特网在全世界的不断推广和更新,在当代社会,我们日常的生活时时刻刻离不开网络信息的帮助甚至主导。网络信息系统能够极大减少企事业单位在各个业务上所耗费的时间,取缔了传统的手工计算,极大地提高了其在交易、整理、归纳等方面的效率,从而为企事业单位带来了极大的经济利润,提高了我国的经济实力。因此,信息安全维护是及其重要的,需要我们重视。
参考文献
[1]彭B,高B.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1):121-124,178.DOI:10.3969/j.issn.1672-9722.2011.01.035.
一、网络操作系统安全风险分析与对策
目前常用网络操作系统有windows、UNIX、linux操作系统,这些操作系统开发在过程中要考虑到方便用户使用,但在方便使用的前提下也暴露出一些问题:(1)操作系统默认配置存在安全隐患:如Windows操作系统默认设置可以从光盘或U盘启动,这种设置可以避开登录密码直接进入操作系统,另外操作系统默认安装了一些不常用的服务和端口,为非法用户的入侵提供了便利。(2)操作系统支持在网络上共享数据、加载或安装程序,这些功能方便了非法用户注入和运行木马程序,为获取用户的信息提供了方便之门。(3)操作系统自身结构问题,如:windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息;ftp服务传输过程为明码传输,使用抓包工具即可获取FTP服务器的登录账号和密码,telnet远程登录需要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题,所以为了加固网路操作安全可以采用以下措施:1、加强物理安全管理禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令,禁止使用U盘或光驱引导系统。2、加强用户名和口令的管理windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限,所以是入侵者想要获取的信息。用户名保护:Windows非管理员账户在输入密码错误后可设置成锁定该用户,但是Administrator不能删除和禁用,所以攻击者可以反复尝试登陆,试图获取密码。为了增加攻击者获取管理员权限的难度,可以为Administrator重命名,这样攻击者不但要猜出密码,还要先猜出管理员修改后的用户名。Root用户不能更名,为了保护该用户,在没有必要的情况下,不要用root用户登录本机及远程登录服务器。密码保护:密码设置应按照密码复杂度要求设置并定期更换密码,同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。3、加强用户访问权限的管理有些管理员为了方便用户访问文件系统,为用户开放了所有权限,如windows操作系统中为everyone工作组授予了“完全控制”权限,UNIX/Linux操作系统为所有用户设置读写执行权限,这样的设置方便非法用户上传木马,所以为了文件系统的安全,必须重新设置文件系统的权限,在保证正常运行的前提下,为用户设置最小的访问权限。4、加强服务和端口的管理当用户开启操作系统后,操作系统自带的某些服务会自动运行,而非法用户会针对这些服务进行远程攻击,而一些不常使用的端口也容易被非法用户利用,作为再次入侵的后门,所以应该将不常使用的服务和端口关闭。
二、数据安全风险分析及对策
企业网络的数据安全不可避免的受到外界的威胁,而数据的任何失误,都可能对企业带来巨大的损失。目前数据泄漏的主要途径是:办公计算机或硬盘的外带;利用移动存储设备将数据带出;通过网络传输文件;通过外设拷贝数据;服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施:1、磁盘加密针对硬盘丢失或被盗造成的泄密风险,可以通过对磁盘驱动层的加密加固处理,保证硬盘在被非法外带或丢失后呈“锁死”状态,硬盘内容无法被他人所读取。2、移动存储设备使用管理对于移动存储设备设置加密写入,即拷贝到该类设备的文档都会以密文形式存在,密文只有拷贝回本地计算机才能解除加密。3、文档传输控制对于文档传输可以采取文件外发对象控制(指定可以外发文件的对象列表)、文件外发加密(外发的文档处于加密状态)、文件外发审批(外发的文件需要经领导审批方可发送)等形式进行控制。4、外设与外设端口管理针对具备数据传输的数据端口和外设,如红外、蓝牙、无线网卡、刻录光驱等,只要与办公无实质性的联系应设置为禁用。5、文件服务器安全管理公司内部之间最为普及的是利用文件服务器进行文件传递。文件服务器上的数据经过长期累积存储,往往会成为“窃密”的重灾区。为了防止服务器的外泄,可以在防火墙中过滤和排查来访者身份的真实性与有效性,只有合法的客户端且得到管理员授权的用户会被放行,非法用户将被禁止。
作者:王琪 单位:天津工程职业技术学院
【关键词】 石油企业 网络安全 防范体系
随着信息技术的飞速发展,石油公司开始广泛应用计算机网络进行往来的贸易和办公,这就给网络安全带来了严峻的挑战。建立和完善规范的石油企业网络安全体系已成为当务之急。所以我们首先需要分析石油企业网络安全的影响因素。
一、石油企业网络安全的影响因素
1.1 主观因素方面
首先,从网民的角度看,网民的安全意识和水平参差不齐,大多数人都知道网络安全知识,对于安全的意识淡薄。其次,从黑客攻击的角度来看,它是计算机网络安全所面临的敌人。如果你不小心打开或下载了这些资源,那么你的网络连接用户名、密码等账户信息和个人机密信息都有可能因为它而被泄露,或系统资源占用。
1.2 客观因素
系统安全漏洞和缺陷是不可避免的,这就给黑客提供了一个着陆点。黑客取得某一网站的信息机密事件时常发生,原因就是网络操作系统和应用软件出现漏洞,导致因安全措施不足而造成的。此外,在操作系统和应用软件的“漏洞”和“后门”上都是由公司内部的程序员为了方便自己而设置的,在正常情况下,不被外人所知,但一旦打开,其后果可能是灾难性的。
二、石油企业网络的安全防范措施
2.1 健立健全企业规章制度
要确保网络是否是相对安全的,就必须制定详细的安全系统,了解并认识到网络安全的重要性,在网络安全事故的发生中,应该进行相应的处罚,必须严格遵照执行的地方,绝不能姑息怜悯。对于记录中出现不遵守情况的人员,要给予相应的处罚,并编写检查结果的报告,可以为以后出现类似的情况,做到有证据可依的地步。
2.2 树立员工网络安全意识
为了在工作中树立企业员工的网络信息安全意识,并且让员工认识到网络安全是一个首要任务,只有员工对企业信息安全的发展与进步有了足够的重视,才能有效地防范日后工作的网络安全问题。企业应实施适当的网络安全信息培训,从而提高工作人员的网络安全知识,利用各种形式,增强员工的网络安全意识,激励员工养成健康使用计算机的习惯。
2.3 防火墙技术
防火墙技术是现阶段许多石油企业广泛应用的最流行的网络安全技术,在不安全的外部网络环境的前提下,创造一个相对安全的企业内部网络环境。石油公司的内部网站应该禁止公司中一般员工或无关人员的访问,在最大程度上防止了外部社会网络环境中的黑客访问到企业内部网站进行链接的复制、篡改,或破坏重要机密信息。因此,防火墙是一种屏障技术,是隔断内部网络和外部社会网络环境之间的有效屏障。
2.4 数据加密技术
企业内部一些重要的机密文件需要通过使用数据加密技术进行加密发送到外部网络之中,这需要防火墙技术和数据加密技术结合使用,才能够提高石油企业网络信息系统和内部数据的保密性和安全性,防范外部人员恶意损伤企业的重要机密数据。
2.5 系统平台与漏洞的处理
网络安全管理员可以使用系统漏洞的扫描技术来提前获取网络应用进程中的漏洞,通过漏洞处理技术可以尽快修复网络安全存在漏洞,而且,还应该尽快的修正网络安全设备和持续应用过程中的一些错误配置,在黑客攻击之前进行预防措施。
三、加强石油企业网络安全的建议
面对如今种种的网络安全问题和现象,我们应该加强企业网络安全。首先,对于公司内部的网络系统问题,应该统一公司内部人员对于电脑网络的操作,对于操作过的电脑要进行及时的定期扫描和修补安全漏洞;其次,对于公司内部的网络操作系统应该加入应该具有的防火墙功能,阻挡一切其他恶意的攻击;第三,对于企业的网络安全而言,还应该加强应有的杀毒软件,并且及时更新病毒种类,要坚持每天定期进行病毒的扫描工作,这样可以帮助企业实现网络安全。
参 考 文 献
[1] 邵琳,刘源. 浅谈企业网络安全问题及其对策[J]. 科技传播,2010,(10):186
关键词:电信企业;计算机网络;安全;策略
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)35-7939-02
当前计算机网络安全形势非常严峻,计算机病毒种类复杂(如表1所示已知不同计算机病毒及所占的百分比),而且每秒钟会出现4种新型病毒。因此电信企业的计算机网络系统要想稳定的运作和健康的发展,必须增加计算机网络安全技术与资金的投入,加强网络安全构建策略的研究和探讨。
1 电信计算机网络安全现状
1.1 存在于网络层面的问题
计算机网络的交互性与开放性特点,增大了网络终端设备正常运行的风险系数,例如计算机病毒横行轻则影响计算机的正常工作,重则可能会导致整个计算机网络的瘫痪造成不可估量的经济损失。另外,电信网络规模庞大涉及较多的模块和内容,运行过程中将不可避免的与外界进行通信,进而可能感染网络病毒。这些网络病毒首先会浪费网络资源,消耗网络带宽,导致电信企业的某些服务器拒绝访问,无法为用户和管理人员提供正常的服务;其次,电信企业中安装的防火墙系统,将重点放在了外网病毒的排除上,无法避免企业内部不安全访问行为的出现;最后,电信企业的路由器中虽然配置了ACL,但是实现比较复杂的控制策略比较困难,配置过程中可能会产生未知的漏洞。另外,随着电信企业计算机数量的增加,IP的分配不合理,也会为计算机网络系统的正常运行埋下隐患。
1.2 人为因素存在的安全问题
电信工作人员网络安全意识较弱,忽略主机口令的更新给黑客的破解创造了条件,当黑客通过非常手段获得主机的账户、密码等信息时,就获得了对主机的管理权限,因此可以肆意的进行破坏活动,由此造成的损失可想而知。
1.3 对电信计算机网络安全认识存在误区
大多数工作人员认为计算机只要不感染病毒就是安全的,因此只要定期使用杀毒软件进行杀毒就行了,其实这种想法是非常危险的,因为引起网络不安全的因素有很多,感染病毒、木马只是其中一方面。除此之外,计算机网络会受到黑客等人为的攻击,以及内部员工管理不慎引发各类网络安全问题等。还有部分工作人员存在CA认证系统。能够完全保证网络的安全的错误认识,忽略了网络安全方面的考虑。
2 电信计算机网络安全构件策略
2.1 提高网络安全技术水平
1)运用防火墙机制以及Anti-DDOS系统:防火墙通常由一个或一组网络设备组成,例如路由器等,其作用是根据制定的防火墙访问规则,禁止在规则范围内或范围外的通问,由此避免自身设备受到来自网络的攻击。因此,为了保证电信企业网络的安全应在每台终端设备,或交换机等设备中安装防火墙,并制定和不断更新防火墙访问规则。同时安装基于负反馈原理的Anti-DDoS系统,能够有效避免来自网络的攻击。
2)采用访问控制策略:运用访问控制策略是保护计算机网络安全重要的途径。通常运用访问控制能够禁止来自某个IP段的访问,以此避免电信资源被大量非法的占用。现在能够实现访问控制的方法有很多,例如网络权限的访问控制、入网权限的访问控制等,当无权限的用户访问时就会对其屏蔽,出现错误信息提示,或直接拒绝为其提供服务等。另外,如果对电信系统中的某台服务器进行保护,则可以利用访问控制软件,对访问请求进行辨别,不是合法用户则拒绝进入。
3)采用入侵检测和漏洞检测机制:电信企业网络运行期间应定期进行入侵和漏洞检测,从而及时的发现异常访问,并采取有效措施加以制止,例如当通过扫描发现漏洞时应及时打补丁,以防止不法分子通过漏洞进入电信系统内部进行破坏。目前可以利用分布式漏洞扫描器,对网络进行漏洞扫描,其工作原理是通过模拟攻击寻找出网络系统中存在的漏洞。这就要求电信工作人员应定期进行漏洞扫描,进而发现系统中可能存在的漏洞,并通过优化系统等补救措施保持系统的安全性。另外,还需要定期使用分布式网络入侵检测系统,检测系统是否有被入侵的迹象,进而能够及时的跟踪和截获不法行为。同时通过分析入侵检测相关数据还能对网络安全有个详细的了解,进而加强薄弱环节的控制与管理,切实保证电信企业网络安全。
2.2 加强电信网络的安全管理
保证电信企业计算机网络安全,除了采取有效措施预防或禁止来自外界网络的入侵,还应加强电信网络安全内部的管理,其中由于电信工作人员计算机网络知识水平的限制或不规范操作等因素造成的安全问题,应引起电信企业的高度重视,为此应通过以下方面进行管理。
1)建立有效的电信网络安全制度:加强电信工作人员的管理,应首先制定有效的网络安全管理制度,明确不同小组成员的具体任务,规范工作人员工作行为,保证整个电信网络处在适时的监控之中,尤其对网络安全主要负责人的职责应划分清晰,从而使遇到的新网络安全问题能够及时的反馈;其次,定期召开网络安全问题分析会议,总结常见以及新出现的网络安全问题,积极分享网络安全问题的排除技巧和方法,探讨解决新问题的最佳措施;最后,定期进行网络入侵与漏洞扫描,及时发现入侵迹象,并采取有效措施加以制止。定期更改系统的口令,并通过宣传教育让员工充分的认识到口令的重要性,进而自觉的做好保密工作。另外,为了应对网络安全突发的重大问题,工作人员还应对电信网络系统中重要的数据及时进行备份。
2)提高工作人员网络安全意识:提高工作人员的网络安全意识可以从直接和间接两个方面入手。搜集由于工作人员工作疏忽等原因,给企业造成较大经济损失的案例,在会议上进行讲述和分析,使工作人员耳濡目染,充分认识到网络安全在保证电信企业发挥经济效益的重要性;加强工作人员有关网络安全知识技能的培训,使其养成良好的工作习惯,例如定期运用杀毒软件杀毒等,进而减少员工违规操作带来的网络安全问题。同时,还应做好突发问题的演练,从而提高工作人员处理突发网络安全问题的能力,提高网络安全故障排除的效率,减少有网络安全问题带来的损失。
3 总结
电信企业计算机网络的正常运行是保证人们正常通信的基础,因此加强网络安全问题的研究和探讨,通过利用入侵检测和漏洞扫描等方法,及时发现网络安全问题,进而采用有效措施加以制止,确保电信企业计算机网络的安全、稳定运行。
参考文献: