发布时间:2023-09-20 17:51:34
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业网络安全,期待它们能激发您的灵感。
关键词:网络安全;主要问题;原因分析;措施;意义
中图分类号:TP393 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
(一)内部网络存在的主要问题
企业内部人员对信息网络形成的威胁,肆意破坏信息系统,有意或者无意泄密,非授权人员有意窃取机密信息,病毒的破坏作用,而其也是不容忽视的,它会影响计算机系统的正常运行,是影响企业内部网络安全的最主要的因素;另一方面因为企业内部网络是一个极其特殊的网络环境,随着企业内部网络的规模的不断扩大与发展,很多企业基本上实现了科室办公上网,这同时也伴随着一定的问题,内部网络的监管与控制更加困难;除此之外,企业的内部规章制度还不够完善,不能够有效的约束和规范领导和员工上网的行为,从而存在一定的安全隐患。
(二)与外部互联网的连接存在的安全隐患
与外部互联网联接时会遭到外部网络的攻击,来自外部互联网络的安全威胁主要是在进行某些业务时,要与外部互联网络进行某些连接,连接集中在存有安全威胁的外部互联网络的数据上,因为没有一定的防护设施,内部的网络会很容易被访问,内部的整个网络系统就会被攻击,另一方面,企业工作人员经常需要出差,在出差在外时与企业的连接,这种连接就使得企业的内部网络非常容易受到来自因特网的攻击。
(三)因网络黑客攻击而造成资料的泄密
黑客肆意妄为,破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要,因为它关系到整个企业的生死存完,一旦泄露定会给企业造成一定甚至是巨大的损失,在不同的环境中使用加密技术来实现对网络信息的保护,存在一定的局限性,虽然访问控制技术在某种程度上能够控制其传播的范围和信息的使用,然而当业务的效率和控制发生冲突时,企业存放的信息的安全隐患定会迅速暴露,就会因网络黑客攻击而造成资料的泄密。
(四)网络瘫痪
一般情况就是网络崩溃了,导致整体无法访问,例如广播风暴,网络环路,除此之外就是因为设备出的问题,例如某台电脑的交换坏了,也会影响到整个企业的网络系统,还有ARP病毒攻击造成网络的瘫痪,黑客会针对弊端攻击操作系统,让计算机网络系统尤其是服务器的系统立即瘫痪;也会通过控制企业网络系统,内部网络系统就会被攻击,让电脑的主机没有办法进行相关工作,系统和整个网络就有瘫痪的可能。
二、存在问题的原因分析
企业的网络要能够正常的进行,就必须保证企业的网络是安全的,企业网络安全不仅要求其单点是安全的,其整个信息网络也必须是安全的,这就要从各个方面对网络加强防护措施,确保其能正常运行,才能达到维护企业网络安全的效果。为了确保整个网络系统的安全,最重要的是要明白那些安全隐患是如何产生的,从哪里来。网络安全涉及到管理方面和技术方面,包括其网络层,管理层,系统层上等各种风险,只要任何一个方面出现问题,安全隐患问题就会很快暴露出来,而这些安全隐患问题都会造成企业的整个网络无法正常工作,下面我根据企业网络的基本情况,从网络系统的各方面进行系统地分析。
(一)操作系统存在的相关安全风险分析
电脑的系统安全的含义是指电脑的整个操作系统是安全的。操作系统是以能使电脑正常工作为出发点,很少考虑到了安全性的问题。因此在安装操作系统的时候存在很多缺省的选项,这必然会存在一定的风险。而又安装了一些没有什么作用的模块,这样不该开放的端口也会处于开放的状态,安全问题自然就会马上暴露出来,然而目前电脑的整个操作系统现在并不完善,现有的操作系统不管是UNIX还是Windows的操作系统或是其他的一些应用系统,一定会将后门运用到系统上。任何事物都不会是完美的,操作系统也一样,它也存在一定的安全隐患,运用后门就会存在很大的风险问题。而操作系统的安全度和相关的配置及系统的相关应用都有着密切的联系,一旦缺少了好的适合操作系统的安全设备,就会导致一系列的安全问题,就很容易被不法分子攻击。
(二)网络结构的安全风险分析
1.企业内部网络的安全威胁
根据有关的调查显示,网络中存在安全隐患主要是因为内部网络遭到攻击目,而会让企业内部网络有安全隐患,主要是因为企业员工的泄密,故意乱用企业的重要信息资料,通过各种途径将企业信息传播给他人。
2.外部互联网的威胁
企业的网络与外部网络有互连。由于企业的整个网络覆盖的面积很广,范围也大,其内部网络就会面临着更大更多的风险,一些不法分子会想方设法进到企业网络的相关节点。员工主机上及网络系统中的办公系统都会有一些被泄漏的信息资料。无论企业内部网络哪个电脑受到了损害,存在安全问题,企业的其他的很多系统就会受到一定程度的影响,经过不断的传播,连接到本网络的任何其他单位的整个网络系统也都会被影响,如果外部连接和内部的连接之间没有实行一些安全保护措施,内部网络就会很容易受到来自外网某些居心叵测的入侵者攻击。
3.企业网络的设备存在的安全隐患
企业网络的所有设备由防火墙,路由器和交换机等组成,这些设备很重要,因为其都有着复杂的设置程序,即使在被误解和忽略的情况下也能使用,但却没有安全保障,它的安全性很低。
关键词:网络安全,用户意识,解决方案
1、网络安全的重要性
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用书序、数论、信息论等多种学科。网络安全是指网络系统等硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。具体而言,网络安全要:保护个人隐私;控制对网络资源的访问;保证用户秘密信息在网络上传输的保密性、完整性、真实性及不可抵赖;控制不健康的内容或危害社会稳定的言论;避免国家及企业机密泄漏等。
随着企业信息化建设的飞速发展,网络数据量的迅速增长,网络安全问题已经越来越受到人们广泛的关注,各种病毒花样繁多、层出不穷;系统、程序、软件的安全漏洞越来越多;黑客们通过不正当的手段侵入他人电脑,非法获得信息资料,给正常使用网络的用户带来不可估计的损失。很多企业及用户就曾深受其害。
2、 破坏网络安全的因素
破坏网络安全的因素主要包括物理上的、技术上的、管理上的及用户意识几个方面。
从物理上讲,我网络安全是脆弱的。就如通信领域所面临的问题一样,网络涉及的设备分布极为广泛,任何个人或组织都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施,包括有线通讯线,电话线,局域网,远程网等都有可能遭到破坏,从而引起业务中断,如果是包含数据的软盘,光盘,主机等被盗,更会引起数据的丢失和泄漏。
从技术上讲,首先,系统必须提供一定的途径以许可外系统的访问;其次,系统必须有足够的能力对这些访问进行控制。如果控制技术本身有缺陷,就有可能被攻击者利用。如在网络上广泛应用的Windows2000、WindowsXP等系统都存在自身的缺陷。最后,即使控制技术本身并无缺陷,在选用控制系统时还有一个平衡的问题;控制太严,合法用户的正常使用将受到影响;控制太松,就会有漏洞。要做到恰到好处的控制并不是一件容易的事。
从管理上说,没有一只高效的网络安全管理队伍,没有一套网络安全技术培训和用户安全意识教育机制,也是造成网络不安全的一个重要因素。上百个用户的网络就靠一两个网络管理员来维护,势必造成头痛医头、脚痛医脚的局面。
下面就重点分析一下用户意识因素:
大多数系统是以用户为中心的。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。然而,更多的安全措施必须由用户自己来完成,比如:
2.1码控制
一个合理的要求是,由用户来管理自己的登录密码。系统管理员可以更改用户的密码,但不能读取用户的密码。用户必须对自己密码的安全性、保密性负责。一个不好的(或不安全的)密码事实上不能起到密码的作用。在下面的分析中,将进行具体的分析。同样,如果不能保证密码的保密性,自然密码也是虚设。
2.2文件管理
用户对自己的文件必须负责。对于一般的系统和应用,文件的创建者拥有对文件的全部权限,包括将权限分配给他人的权限。如果缺省设置是文件创建后,仅有文件创建者拥有对文件的权限,其他人必须显示得到权限分配,问题会小些。然而,多数系统(Microsoft、Windows)对文件权限的设置是:只要没有显示的限制,都是可以访问的。这样,对文件访问的安全问题实际上是交给了用户自己管理。
2.3运行安全的程序
目前在系统一级上,尚无对病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用户自己判断。一个用户只要有写文件、运行文件的权利,就有可能无意中给系统装上木马程序。
2.4保持警惕
这两年,电子邮件病毒日益猖獗。同前一个问题一样,电子邮件的安全也只能由用户自己控制。在浏览网页时,也可能遇上陷阱,这些都要求用户保持警惕。
3、网络安全的解决方案
网络的安全不是单纯的技术问题,他和系统的管理维护制度方面密切相关。要实现完整的企业网络安全性,首先要制定一个完整的企业安全策略。一个完整的企业网络安全策略涵盖的内容很多,整个网络系统的安全性也不仅依赖于安全可靠的网络操作、应用系统、网络设备的安全性。
3.1需求、风险、代价平衡分析的原则
对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性和定量的分析,然后制定规范和措施,确定本系统的安全策略、保护成本、被保护信息的价值必须平衡。
3.2授权、认证原则
对那些确实需要保护的企业网络资源(包括设备、软件、数据等),保证在对这些资源访问前,用户必须经过授权和认证,符合身份验证和授权的用户才能够获得相应的访问权限。
3.3一致性原则
主要指只有应该具备访问权的人才能够获得相应的访问资源的账号。这里要特别注意因为员工更换部门或者离开公司,其相应的权限和账号也要相应取消。
3.4综合性、完整性原则
运用系统工具的观点、方法分析网络安全的问题,并制定具体措施。一个较好的安全措施往往是多种方法综合应用的结果。
3.5建立安全监控、报警手段或者机制
可对网络的安全策略是否得到正确的实施,以及对违反安全策略的行为予以报警,有助于确保整个网络系统的安全性。
3.6易操作性原则
如果措施过于复杂,对人的要求过高,本身就降低来安全性。
3.7适应性、灵活性原则
安全措施必须能随网络性能及安全需求的变化而变化,要容易、适应修改。
关键词 企业;网络安全;防范
中图分类号:C29文献标识码: A
1 加强企业安全技术可靠性建设
对于网络安全我们面前的挑战是,如何使新技术能够可靠地工作。随着顾客对技术的要求日益提高,这一点将会实现。但是,由于厂商同时加速进行产品开发,总体而言,情况没有多少变化:可靠性依然不佳。有时,进行组装的工程师缺乏经验,那些独立工作时运转良好的系统被组装到一起却常会引发一些意想不到的后果。总而言之,现在的安全系统未经标准化。诀窍是在竞争激烈的市场中找到一席之地,既要拥有激动人心的新科技,又要保持传统的乏味的可靠性。
2 其他网络的攻击
据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:
当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。
近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。
计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。
3 加强网络本身的安全措施
信息网络中网络操作系统和相应的服务器软件包都提供了很强的安全性保障,对于一个具有很高安全级别的网络来说,加强其本身的安全设置,是必不可少的一环。
下面以目前最常见的企业建立内部网、通过专线上网并提供信息服务为例,说明企业实现网络安全的防护措施。
假设企业是采用WindowsNT作为服务器和Web服务器平台,内部设置SQLServer7.0作为数据库服务器,并开发相应的应用系统;整个系统通过64K DDN专线与因特网连接,系统对外提供Web信息服务、电子邮件服务、FTP服务等。
内部网络的安全问题可以进一步分为网络操作系统的安全和应用系统的安全。通常采用WindowsNT网络操作系统的安全问题就变得非常重要。应用系统的安全则是用户的Web服务器、FTP眼务器和电子邮件服务器等的安全,以及用户开发的各种应用系统的安全性。下面主要对在WindowsNT系统中提高安全性,给出一些建议。
WindowsNT和IIS(Web服务)的安全模式是完全集成的。在系统中没有指定的Web客户,只有那些被WindowsNT确认在服务器上有账号的客户才能管理。如果使WindowsNT,必须考虑对将创建客户权利的每一个集合都创建一个组。另外,WindowsNT是针对域(do一main)模型的概念而操作的,这意味着对网络维持需求的权利共享和增进的控制。域是控制客户端系统如何进入服务器的基本体系结构,不论客户端系统是在用户的局域网还是因特网中。域提供了一种对系统和客户进行逻辑分组的方法来实现对系统的管理、进入服务器以及在各个系统和客户之间进行交互。
用户可以对信息进行保护,并且强制客户在服务器上进行验证,但是这需要为具有安全保护的资源建立客户账号。这是对客户进行管理的正确实现方法。应该为默认的客户提供广泛的、对大多数没有安全保护的资源的进入;但是对于那些受到保护的信息,应该不允许这种类型的进入。
4 加强“防火墙”技术控制
防火墙的技术已经经历了三个阶段,即包过滤技术、技术和状态监视技术。
1)包过滤技术。包过滤防火墙的安全性是基于对包的IP地址的校验。在因特网上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为却无能为力。
2)技术。服务器接收客户请求后会检查验证其合法性,只有那些被认为“可信赖的”服务才允许通过防火墙。它将内部系统与外界隔离开来,从外面只能看到服务器而看不到任何内部资源。服务器只允许有的服务通过,而其他所有服务都完全被封锁住,这一点对系统安全是很重要的,另外服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP Put(放置)命令,以保证用户不能将文件写到匿名服务器。
服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。网络地址转换服务(NAT―Network Address Translation)可以屏蔽内部网络的IP地址,外部看不到网络结构。
3)状态监视技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和服务则都无法做到。
5 管理及操作人员缺乏安全知识
我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。
现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。
参考文献
[1]高渐翔.浅谈企业网络的安全审计体系[J].科技创新导报,2008,33.
关键词:企业网络;安全;病毒;物理
在现代企业的生存与发展过程中,企业网络安全威胁与企业网络安全防护是并行存在的。虽然企业网络安全技术与以往相比取得了突破性的进展,但过去企业网络处于一个封闭或者是半封闭的状态,只需简单的防护设备和防护方案即可保证其安全性。而当今大多数企业网络几乎处于全球互联的状态,这种时空的无限制性和准入的开放性间接增加了企业网络安全的影响因素,自然给企业网络安全带来了更多的威胁。因此,企业网络安全防护一个永无止境的过程,对其进行研究无论是对于网络安全技术的应用,还是对于企业的持续发展,都具有重要的意义。
1企业网络安全问题分析
基于企业网络的构成要素以及运行维护条件,目前企业网络典型的安全问题主要表现于以下几个方面。
1.1网络设备安全问题
企业网络系统服务器、网络交换机、个人电脑、备用电源等硬件设备,时常会发生安全问题,而这些设备一旦产生安全事故很有可能会泄露企业的机密信息,进而给企业带来不可估量经济损失。以某企业为例,该企业网络的服务器及相关网络设备的运行电力由UPS接12V的SOAK蓄电池组提供,该蓄电池组使用年限行、容量低,在长时间停电的情况下,很容易由于蓄电池的电量耗尽而导致整个企业网络的停运。当然,除了电源问题外,服务器、交换机也存在诸多安全隐患。
1.2服务器操作系统安全问题
随着企业规模的壮大以及企业业务的拓展,对企业网络服务器的安全需求也有所提高。目前诸多企业网络服务器采用的是WindowsXP或Windows7操作系统,由于这些操作系统存在安全漏洞,自然会降低服务器的安全防御指数。加上异常端口、未使用端口以及不规范的高权限账号管理等问题的存在,在不同程度上增加了服务器的安全威胁。
1.3访问控制问题
企业网络访问控制安全问题也是较为常见的,以某企业为例,该企业采用Websense管理软件来监控企业内部人员的上网行为,但未限制存在安全隐患的上网活动。同时对于内部上网终端及外来电脑未设置入网认证及无线网络访问节点安全检查,任何电脑都可在信号区内接入到无线网络。
2企业网络安全防护方案
基于上述企业网络普遍性的安全问题,可以针对性的提出以下综合性的安全防护方案来提高企业网络的整体安全性能。
2.1网络设备安全方案
企业网络相关设备的安全性能是保证整个企业网络安全的基本前提,为了提高网络设备的整体安全指数,可采取以下具体措施。首先,合适传输介质的选用。尽量选择抗干扰能力强、传输频带宽、传输误码率低的传输介质,例如屏蔽式双绞线、光纤等。其次是保证供电的安全可靠。企业网络相关主干设备对交流电源的生产质量、供电连续性、供电可靠性以及抗干扰性等指标提出了更高的要求,这就要求对企业网络的供电系统进行优化。以上述某企业网络系统电源供电不足问题为例,为了彻底解决传统电源供给不足问题,可以更换为大容量的蓄电池组,并安装固定式发电机组,进而保证在长时间停电状态下企业网络设备的可持续供电,避免因为断电而导致文件损坏及数据丢失等安全问题的发生。
2.2服务器系统安全方案
企业网络服务器系统的安全尤为重要,然而其安全问题的产生又是多方面因素所导致的,需要从多个层面来构建安全防护方案。
2.2.1操作系统漏洞安全
目前企业网络服务器操作系统以Windows为主,该系统漏洞的出现成为了诸多攻击者的重点对象,除了采取常规的更新Windows系统、安装系统补丁外,还应针对企业网络服务器及个人电脑的操作系统使用实际情况,实施专门的漏洞扫描和检测,并根据扫描结果做出科学、客观、全面的安全评估,如图1所示,将证书授权入侵检测系统部署在核心交换机的监控端口,并在不同网段安装由中央工作站控制的网络入侵检测,以此来检测和响应网络入侵威胁。图1漏洞扫描及检测系统
2.2.2Windows端口安全
在Windows系统中,端口是企业实现网络信息服务主要通道,一般一台服务器会绑定多个IP,而这些IP又通过多个端口来提高企业网络服务能力,这种多个端口的对外开放在一定程度反而增加了安全威胁因素。从目前各种服务器网络攻击的运行路径来看,大多数都要通过服务器TCP/UDP端口,可充分这一点来预防各种网络攻击,只需通过命令或端口管理软件来实现系统端口的控制管理即可。
2.2.3Internet信息服务安全
Internet信息服务是以TCP/IP为基础的,可通过诸多措施来提高Internet信息服务安全。(1)基于IP地址实现访问控制。通过对IIS配置,可实现对来访IP地址的检测,进而以访问权限的设置来阻止或允许某些特定计算机的访问站点。(2)在非系统分区上安装IIS服务器。若在系统分区上安装IIS,IIS就会具备非法访问属性,给非法用户侵入系统分区提供便利,因此,在非系统分区上安全IIS服务器较为科学。(3)NTFS文件系统的应用。NTFS文件系统具有文件及目录管理功能,服务器Windows2000的安全机制是基于NTFS文件系统的,因此Windows2000安装时选用NTFS文件系统,安全性能更高。(4)服务端口号的修改。虽然IIS网络服务默认端口的使用为访问提供了诸多便捷,但会降低安全性,更容易受到基于端口程序漏洞的服务器攻击,因此,通过修改部分服务器的网络服务端口可提高企业网络服务器的安全性。
2.3网络结构安全方案
2.3.1强化网络设备安全
强化企业网络设备的自身安全是保障企业网络安全的基础措施,具体包含以下措施。(1)网络设备运行安全。对各设备、各端口运行状态的实时监控能有效发现各种异常,进而预防各种安全威胁。一般可通过可视化管理软件的应用来实现上述目标,例如What’supGold能实现对企业网络设备状态的监控,而SolarWindsNetworkPerformancemonitor可实现对各个端口流量的实时监控。(2)网络设备登录安全。为了保证网络设备登录安全指数,对于企业网络中的核心设备应配置专用的localuser用户名,用户名级别设置的一级,该级别用户只具备读权限,一般用于console、远程telnet登录等需求。除此之外,还可设置一个单独的super密码,只有拥有super密码的管理员才有资格对核心交换机实施相关配置设置。(3)无线AP安全。一般在企业内部有多个无线AP设备,应采用较为成熟的加密技术设置一个较为复杂的高级秘钥,从而确保无线接入网的安全性。
2.3.2细分网络安全区域
目前,广播式局域的企业网络组网模式存在着一个严重缺陷就是当其中各个局域网存在ARP病毒时,未设置ARP本地绑定或未设置ARP防火墙的终端则无法有效访问系统,同时还可能泄露重要信息。为了解决这种问题,可对整个网络进行细分,即按某种规则如企业职能部门将企业网络终端设备划分为多个网段,在每个网段均有不同的vlan,从而保证安全性。
2.3.3加强通问控制
针对企业各个部门对网络资源的需求,在通问控制时需要注意以下几点:对内服务器应根据提供的业务与对口部门互通;对内服务器需要与互联网隔离;体验区只能访问互联网,不能访问办公网。以上功能的实现,可在核心路由器和防火墙上共同配合完成。
作者:李常福 单位:郑州市中心医院
网络技术的迅猛发展在带来信息交流沟通便利的同时,也加剧了网络安全的威胁。因此做好对网络安全的关注与管理成为企业管理的重要内容。文章就常见的网络安全威胁因素进行了总结,并提出了有效的网络安全维护技术。
关键词:
网络安全;企业网;安全技术;安全威胁
1网络安全技术概述
21世纪信息时代到来,网络充斥于生产与生活,在带来网络便利的同时也引发了网络安全性的思考。网络安全技术的研发成为世界性课题。网络安全技术与网络技术密切相关,其中网络技术起源于20世纪60年代,美国国防部高级研究计划署在1969年提出网络技术概念,形成以ARPANET为主干的网络雏形,并迅速衍生出互联网。进入到21世纪,网络技术飞速发展,网络环境更加复杂与多样,网络安全漏洞、网络黑客入侵层出不穷,网络技术面临物理安全、网络结构、系统安全、管理安全等多个层面的安全考验,网络安全技术应运而生。企业网作为企业的网络组织,是伴随企业发展建立起来的网络组织,可以更好地展示企业产品与形象,是企业文化建设、产品推广、内部管理的重要载体,以期满足企业各方面的发展需求,员工借助企业网获取企业通信资源、处理器资源及信息资源,提升员工对企业价值的认同。但在复杂的网络环境与无处不在的网络黑客攻击下,企业网络岌岌可危,如果缺乏对企业网安全性的高度关注,缺乏有效的网络安全加固措施,企业信息被盗取,企业网络框架被摧毁,给企业带来巨大的经济损失。网络安全技术的重要性也伴随企业网的建构逐渐凸显,因此做好企业网络技术安全管理十分必要。
2我国企业网安全维护现状
信息时代的到来,企业对网络的依赖越来越强,通讯工程与电子信息技术使得互联网的优势更加凸显,企业网建设成为企业发展到一定阶段的必然产物,渗透到企业设计、企业管理、企业宣传的方方面面。由此产生的企业网安全问题也伴随而生,带来的网络安全隐患越来越多,企业网网络安全建设与维护成为世界性话题。纵观企业网安全管理现状,首先企业网络软硬件设施参差不齐,不同的经济实力与产业发展潜力决定企业的网络建设水平及安全性能。企业也不约而同地借助一些网络安全技术满足企业网站安全运行需求,比较常见的网络安全技术有防火墙技术、数据加密技术、入侵检测技术、虚拟局域网技术等。基于网络维护经费的差异,经费不足的企业只能满足基本的网络使用需求,网络安全维护需求难以得到关注与满足。因此总体上来说,我国企业网的安全建设投入不足。此外企业之间技术管理水平也具有明显差异,经济实力强的大型企业聘请专业的网络维护专员参与网站安全管理,而实力较弱的中小企业则缺乏专业网络安全技术人员。网络问题的频发更提出了网络安全管理制度建构的需求,但我国网络立法及管理方面稍显薄弱,企业员工普遍缺乏网络安全意识,网络安全管理制度的落地还有一段距离,整个网络环境亟待健全与完善。
3企业网安全影响因素
3.1来自于网络协议的安全缺陷
网络本身具有自由开放与共享性,网络协议是信息共享的关键与前提。目前最为常用的网络协议有TCP/IP协议,IPX/SPX协议等,以网络协议的达成为前提使得网络信息同步与共享,而网络协议也不可避免地存在安全隐患,其安全与否与整个企业网络息息相关,多数协议在设计时对自身安全性关注不多,因此其很容易受到外界恶意攻击,安全性缺乏保障,使得企业网络安全受到威胁。
3.2来自于软硬件层面的安全缺陷
企业网的正常运行除了安全的网络协议,更需要软硬件的支持。而网络软硬件作为互联网的主要组成,其自身安全性却十分脆弱。软硬件层面的安全缺陷比比可见:网络与计算机存在电磁信息泄露风险,软硬件通讯部分具有一定的脆弱性;通讯线路多数为电话线、微波或者电缆,在数据信息传输的过程中,信息更容易被截取;计算机操作系统本身存在缺陷,影响网络稳定及网站正常运营。而软件的缺陷影响也显而易见。软件缺陷因为其先天特征为主,因此无论是小程序还是大型的软件系统都有这样或那样的设计缺陷,而这些设计缺陷则为病毒黑客的入侵提供了便利,网络病毒以软件形式在企业网中传播,对企业网安全带来威胁。
4企业网安全主要威胁因素
4.1计算机系统设计缺陷
计算机系统是企业网的核心,而计算机系统功能的正常发挥得益于计算机系统程序设计的合理,计算机系统程序设计相对简单,但难点在于后期的维护与定期的升级优化。网络建设不能一蹴而就,网络建构是从不系统不完善到系统完善逐渐过渡的过程,网络建构初期就应该树立系统维护与管理意识,将网络安全融入网络建构的每个环节。通过定期的网络检测,优化程序设计,弥补系统程序设计漏洞,及时发现潜在的系统安全隐患,制定升级优化计划,有条不紊地完善网站,加固网站,提升企业网的安全性能,确保企业信息的妥善储存与调取。在程序优化的基础上奠定企业网系统运作的良好基础。
4.2计算机病毒入侵的威胁
对于企业网来说,除了计算机系统安全威胁外,计算机病毒入侵是来自外部的侵袭之一,计算机病毒侵入网站内部,干扰原有系统程序的正常运行,导致企业网站系统的瘫痪,导致企业重要数据信息的损毁丢失,使得正常运行的企业网产生安全漏洞,引发病毒传播,企业网站彻底瘫痪。计算机病毒具有潜伏性、隐蔽性、破坏性及传染性四大特点,往往潜伏在网站系统中达几年之久,一旦爆发带来始料未及的网络危害,而这种危害是长期潜伏量变累积的结果。计算机病毒的侵袭往往很隐蔽,网站管理人员及网站自身的抵御系统难以及时察觉,不能进行有效的抵御。其破坏性与传染性使得病毒在计算机内部迅速传播复制,波及整个网站,网站瘫痪。除了极强的破坏性与潜伏性外,计算机病毒种类多样,防不胜防,其中比较常见的有木马病毒、蠕虫病毒、脚本病毒,病毒的存在为黑客攻击及信息盗取提供便利,是企业网的巨大威胁因素。
4.3黑客入侵及恶意性攻击
网络攻击简单地理解就是黑客攻击,黑客一般具备较强的计算机识别技术,通过非法攻击计算机系统,获取计算机用户终端的重要信息。黑客网络攻击有几种常见形式,利用虚假的信息对网络展开攻击,利用计算机病毒控制计算机用户终端,借助网页脚本漏洞加强用户攻击,采用口令账号进攻网站系统,最终导致网站用户信息被窃取,重要文件资料被删除,给企业带来巨大的经济损失,而网站原有的稳定性与安全性也不复存在。
4.4借助网络开展诈骗
随着计算机网络使用环境的开放多元,一些不法分子利用网络诈骗推销,这也是企业网站安全威胁之一。部分企业管理人员缺乏必要的网络诈骗警惕心理,轻信诈骗谎言,给企业带来巨大的财产损失。网络运行的前提是操作系统的稳定,虽然现代技术已经实现网站的定期更新,但在更新过程中也不免有网络安全漏洞,这些漏洞成为黑客、病毒入侵网站的入口,企业网站安全性受到威胁。
5网络安全技术在企业网中的应用
5.1网络防火墙技术
防火墙是最常见的网络安全保护技术,在企业网安全性维护方面发挥重要作用。防火墙可以有效应对网络病毒入侵,在企业网的运用中有两种表现形式,分别为应用级防火墙技术和包过滤型防火墙技术。其中应用型防火墙可以起到服务器保护的作用,在完成终端服务器数据扫描后,及时发现不合理的网络攻击行为,系统自动断开服务器与内网服务器之间的联系,借助终端病毒传播形式确保企业网安全。而包过滤型防火墙主要工作任务是及时过滤路由器传输给计算机的数据信息,实现固定信息的过滤,将病毒黑客阻挡在企业网之外,同时第一时间通知用户拦截病毒信息,做好企业网安全屏障保护。
5.2数据加密处理技术
除了防火墙网络安全保护技术外,数据加密技术在企业网安全维护中也有积极作用。对于企业来说,伴随自身发展壮大,其企业网对安全性与可靠性方面要求更高,而加密技术则很好地满足企业上述安全保护需求。通过将企业内网的相关数据作加密处理,数据传输与信息调取只有在密码输入正确的前提下才能执行,通过文件资料的加密处理提升企业网的安全性能。目前对称加密算法和非对称加密算法是比较常见的加密形式,前者要求加密信息和解密信息需一致,后者的加密方法和解密方法则存在较大差异,这两种加密方法都很难被黑客破解,因此在企业网的安全维护中得到了广泛应用。
5.3病毒查杀处理技术
病毒查杀技术是基于病毒对企业网的威胁而产生的网络安全处理技术,其也是企业网安全维护的常用手段之一。病毒对网络的巨大威胁,该技术的安全维护出发点则是网络系统的检测与更新,最大限度降低漏洞出现频率,用户在未经允许的情况下无法下载正规软件。在安装正版病毒查杀软件后应定期清理病毒数据库。筛查用户不文明网页的浏览行为,如果用户下载不明邮件或者软件,立即进行病毒查杀,检验文件的安全性,确保文件资料安全后允许投入使用,防止病毒对企业网及计算机终端系统的损坏。
5.4系统入侵的检测技术
入侵检测技术在企业网安全维护中可以起到早发现早抵制,将病毒黑客等不良因素排斥在企业网之外。入侵检测技术具有诸多优势。其一,可以通过收集计算机网络数据信息开展自动安全检测。其二,及时发现系统中潜在的安全风险,将侵害行为的危害降到最低。其三,企业网一旦受到侵害,自动发出求救报警信号,系统自动切断入侵通道。其四,做好所有非法入侵的有效拦截。入侵检测技术是企业网的整体监督监控,检测准确,效率高,但其会在一定程度上影响加密技术的功能发挥,该技术在对企业网进行入侵检测时,不可避免存在异常检测及误测情况,异常检测面向整个网站资源用户及系统所有行为,检测范围大,其准确性必然受到影响。此外整个企业网检测要求全面覆盖,耗费大量时间,也降低工作效率。入侵检测技术在企业网安全维护中的引入更需要结合企业网运行实际。
5.5物理环境层面的应对技术
外部网络环境安全与否直接影响到企业网的安全性建设,而外部网络环境主要是网络所对应的物理环境,物理环境包括软硬件环境、通讯线路环境、网站运行环境等几个方面,其中通讯线路环境安全特指信息数据在传输线路上不被恶意拦截或者有意篡改,使得信息数据传输更流畅。建议选择安全性高的光纤作为通讯传输介质。运行环境的影响因素主要是意外断电停电。随着信息化程度的加剧,企业对网络产生巨大依赖,一旦意外断电或者停电,企业数据网络中断,信息正常传输受阻,给企业带来不必要的损失。为了提升运行环境的稳定性,企业安装不间断电源可以有效减少停电带来的损失。定期检查通讯线路,确保线路通畅,提供备选冗余线路,在某条线路发生中断时能选择备份线路连接,确保网络传输正常,降低财产损失。
5.6虚拟局域网安全处理技术
虚拟局域网是起源于国外的网络安全处理技术,其中IEEE组织在1999年颁布了虚拟局域网的标准实现协议在交换式局域网中,可以利用VLAN技术将网络设备划分为多个逻辑子网,开展虚拟工作组数据交换。虚拟局域网操作简单,技术灵活,其在OSI参考模型的数据链路层和网络层上,由单一的子网形成特定的逻辑广播域,子网通过网络层的路由器或者三层交换机转化沟通,实现多个网络设备的多层面覆盖,其灵活性体现在其允许处于不同地理位置的网络用户自由添加到逻辑子网中,这种自由并入技术使得虚拟局域网的网络拓扑结构更清晰。
6结语
企业网是社会时代及企业发展的必然产物,反映了信息社会未来发展轨迹。但与网络建设相伴而生的则是网络安全问题,涉及技术、产品及管理多个层面的内容,带有很强的综合性,仅仅依靠单一的防护体系显然不够。本文在分析网络安全技术发展的基础上,明确了当前企业网主要安全影响因素,针对几种比较重要的网络安全技术在企业网安全维护中的作用作了阐述。在分析网络安全问题时更应该从需求出发,将安全产品的研发与技术结合起来,运用科学的网络管理方法,建构更加系统、高效、安全的企业网络体系。
作者:陈张荣 单位:苏州高等职业技术学校
[参考文献]
[1]王蔚苹.网络安全技术在某企业网中应用研究[D].成都:电子科技大学,2010.
[2]何向东.网络安全管理技术在企业网中的应用[J].微型电脑应用,2013(1):52-53.
[3]徐均,周泓宇,徐婧,等.P2DR网络安全模型在企业园区网中的研究与应用[J].中国新技术新产品,2013(16):24-25.
关键词:企业;网络;安全
中图分类号:TP309.1文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
Enterprise Network Security Management
Chen Xianhai
(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)
Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.
Keywords:Enterprise;Network;Security
企业运行过程中需要大量的信息,同时很多信息将会通过网络进行上传下达,在企业运行期间是不允许中断的,一旦断网将会对企业运行产生重大的负面影响。但目前而言,企业网络安全仍然存在一些不安全因素,因此,为了保证企业顺利运行,保证信息的有效传递,研究企业网络的安全是很现实也是很有必要的。
一、企业网络的特点
(一)企业内部网络与外界绝对隔绝。企业内部网络是单独的一个互联专网,它没有与Internet的接入口,而且,企业网络的所有接入端都是在企业内部,其他人员轻易不可能接触到接入点,所以,通过Internet将无法连接到企业内部网络。
(二)实时性要求高。企业网络大部分时间主要传递企业本文资料,视频和图形图象的传递较少,因此流量不是很大,但是,有时也需要将一些特殊资料如视频、图形、会议等通过网络实时的传递到各部门、各分支机构,所以要保证这些信息能够在快速高效的传递,网络的接入端也应采用高带宽,以免为企业决策造成贻误。
(三)绝大部分接入点在企业内部。企业网络的接入点大都是在企业内部,尽量做到集中管理,尽量降低信息接入点被其他个人或机构影响的可能性。
(四)企业网络出问题带来的后果比Internet出问题大得多。企业网络如果出现服务器被攻击瘫痪、网络设备被堵塞,造成断网或者服务器不能访问,在企业管理中各个部门将无法获取所需信息,严重得的话将会影响到企业的战略决策。
从以上分析比较可知,尽管互联网与企业网络原理一样,结构上却存在较大的差异,也正是企业网络结构的特殊性,大大增加了企业网络的安全,但它仍然存在一些不安全的因素。
二、企业网络不安全的因素
(一)物理链路的不安全。有的企业各分支机构分布在全国来说是比较分散的,要使各分支机构全部纳入统一管理必然将部分物理链路分散管理,这样地方人员将能够接触到这些链路,使这部分物理链路有可能成为攻击、窃取的目标,这是对企业网络安全管理最大的威胁,同时也是企业内信息最可能泄露的地域。另外,如果有人对物理链路进行窃听或者剪断,将会使这些单位造成长时间断网,无法发送和接收信息,或者传递的信息将可能被窃取,造成泄密。
(二)接入端信息接入点的不安全。对企业网络来说,接入端也有不安全因素,这些接入点将最有可能被窃取,只要一个信息接入点被成功窃入,那么信息就有可能借此被窃取,为企业信息管理带来麻烦。
(三)违规使用造成的不安全。由于人员结构的复杂性,导致有些员工私自使用软件、存储介质,甚至个人PC,从而可能导致病毒在网络上的传播;同时,将企业专用的存储介质在企业网络和Internet之间互用,造成企业信息在Internet上的泄露,同时将病毒带入网络,对企业造成危害。
从上述分析可知,尽管企业网络从结构上解决了一定的安全问题,但是由于其特殊性,它仍然存在一些不安全因素,这些不安全因素将会是企业网络的薄弱点,也是企业网络安全管理应特别注重的地方。
三、解决企业网络不安全因素的几点建议
(一)技术方面:一是对核心的数据库服务器和网页服务器要运用高性能防火墙保护;二是对整个系统部署统一的防病毒软件,安装网络入侵检测系统加强对入侵行为的监控;三是对异地连接的系统要运用数据加密技术;四是对应用系统要强化口令和账号设置,提高对使用人员的身份鉴别与认证的可靠性;五是强化对重要业务系统的操作审计;六是重要数据进行异地备份存储等。
(二)管理方面:一是结合系统实际制定统一的安全管理制度和操作规程指导安全操作;二是指点专人负责对系统的日常运行与维护工作;三是要对安全产品配置进行定期审计;四是对系统和漏洞要进行制度化的加固和修补;五是要制订应急措施,制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;六是对安全等级要求较高的系统,实行分区控制,限制工作人员出入与己无关的区域;七是强化物理访问控制,设置警示牌、栏杆、栅栏和岗哨,加固门窗等。
(三)制度方面:对风险进行持续性控制,必须有严格的制度作保证。通过将有效的风险控制活动,用条文的形式固定下来,列入企业计算机网络安全管理规章制度,要求组织内的成员必须遵照执行,使对风险的控制步入到经常化和制度化的轨道上来。
(四)教育培训方面。在信息安全风险管理控制的过程中,人的因素至关重要,如果组织只是实施了技术性的控制措施,但却忽略了与计算机网络相关的操作人员、管理人员和用户的安全意识的提升及安全技能的掌握,安全控制措施就不可能稳定而持续地发挥效力,因此应加强对企业计算机网络相关人员的教育和培训。
总之,对企业网络安全风险的控制是一项系统工程,必须综合考虑多种控制措施,才能提高控制的有效性和针对性,实现控制的目的。
参考文献:
[1]彭俊好.信息安全风险评估方法综述[J].网络安全技术与应用,2006,3
1.1企业信息安全管理的隐患
信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面,在信息化时代,油田企业需要加强信息化网络安全管理。现阶段,油田企业信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏细化、具体化的网络安全措施,针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低,如他们不能全面掌握部分软件的功能,不重视企业网络使用规范,且存在随意访问网站,随意下载文件的现象,增加企业网络负担,影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位,负责企业内部网络软硬件的配备与管理,但现阶段,该职位员工缺乏严格的管理理念,不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网,石油企业办公区域也设置了无线路由器。但是,员工自身的手机等设备存在很多不安全因素,会影响企业网络安全性。
1.2病毒入侵与软件漏洞
网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播,员工如果访问不法链接或下载来源不明的文件,可能会导致病毒入侵,危害信息安全。病毒入侵的原因主要有两方面,一方面,员工的不良行为带来病毒;另一方面,系统自身的漏洞导致病毒入侵。由此看来,油田企业信息化软件自身存在的漏洞也具有安全隐患。其中,主要包括基础软件操作系统,也包括基于操作系统运行的应用软件,如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。
1.3网络设备的安全隐患
现阶段,油田企业网络设备也存在不安全因素,主要表现在两方面:第一,油田企业无论是办公区还是作业区,环境都较为恶劣,部分重要企业信息网络设备放置环境的温度、湿度不合理,严重影响硬件的使用寿命和性能,存在信息数据丢失的危险;第二,企业内部网络的一些关键环节尚未引入备份机制,如服务器硬盘,若单个硬盘损坏缺乏备份机制,会导致数据永久性丢失。
2提高油田企业网络安全策略
2.1加强信息安全管理
基于现阶段油田企业信息网络安全管理现状,首先,油田企业要重新制定管理机制,对各个安全隐患进行具体化、细化规范,包括员工对信息应用的日常操作规范,禁止访问不明网站和打开不明链接。其次,油田企业要强化执行力,摒除企业管理弊端,对违规操作的个人进行严厉处罚,使员工意识到信息安全的重要性,提高其防范意识和能力。再次,油田企业要招聘能力强、素质高的信息系统管理员,使其能及时发现和整改系统安全隐患。最后,对员工使用智能终端上网的现象,则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离,以避免对其产生负面影响。
2.2加强对软件安全隐患和病毒的防范
(1)利用好防火墙防范技术。现阶段,油田企业的网络建设虽然引入防火墙设备,但没有合理利用。因此,油田企业要全面监管和控制外部数据,防止不法攻击,防止病毒入侵。同时,定期更新防火墙安全策略。(2)对企业数据进行有效加密与备份。对油田企业来说,大部分数据具有保密性,不可对外泄密。因此,企业不仅要做好内部权限管理,还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密,数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业,可在不同地区进行备份,以防止不可抗拒外力作用下的数据丢失。(3)合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件,并高效运行,以加强对病毒的防范。
2.3提升网络设备安全
(1)由于油田企业内部信息网络规模较大,设备较多且部署复杂。因此,要及时解决硬件面临的问题,定期检查维修,提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况,并能及时发现潜在隐患。(2)对处于恶劣环境中的网络设备,包括防火墙、服务器、交换机、路由器等,尽量为其提供独立封闭的空间,以确保温湿度合理。
3结语
随着计算机技术和互联网技术的不断发展,网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾,本文就网络安全技术在企业中的应用做出研究,总结网络安全问题的解决方案。
【关键词】网络安全技术 解决方案 企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
[2]韩萍,蔡志立.计算机网络安全与防范[J].硅谷,2011.
1、不恰当的密码使用
密码是最简单的安全形式,如果密码是空或者是过于简单( 比如就是‘password’或者是‘admin’),未经授权的使用者可以很容易去浏览敏感数据。如果密码中既包含字母也包含数字,并且既有大写也有小写,那么密码就会更全。还有就是密码要经常更换。
2、缺少安全意识
在使用软件前应对用户进行培训,特别是涉及到电子邮件、附件以及下载资料的时候。他们应该清楚的知道有什么威胁。未受网络安全培训的电脑使用者经常成为病毒、间谍软件和网络钓鱼的受害者,所有这些网络威胁都是设计来破坏系统或者是在未经用户允许的情况下将用户信息泄露给第三方。
3、资料不备份
懒惰是网络的安全的最大威胁,相比花时间来备份适当的资料来说,完全重建一个被破坏的系统是相当困难的。所以必须要经常备份。除此之外,要保证一份备份的绝对安全,不要把他们放在网上以免紧急情况的发生。
4、联网问题
电脑没有设计成直接在机箱之外与因特网相连接。在使用网线或是无线网卡联网之前,要先装上杀毒软件。理论上来说,这种软件应该包含病毒防护,间谍软件扫描,以及能在后台防止恶意软件的安装的程序。当然有些时候可以安装一些转用而已软件查杀工具,可以更好的保证联网的安全。
5、升级意识薄弱
如果杀毒软件或者专杀工具不升级的话,他们会有什么用呢?每周升级病毒库是很关键的。这样能确保杀毒软件监测到最新的病毒和恶意软件,保证用户的电脑可以更加安全的运行。
6、忽视安全补丁
在你的操作系统中,大多数会存在着安全漏洞。没有任何一种软件是完美的,一旦一个缺陷或是漏洞被发现,经常就会在很短的一段时间内被黑客和恶意程序利用,对用户产生句大的危害。因此,尽快安装安全补丁是必要的,也是必须的。
7、不使用加密技术
在银行业和信用卡中,加密技术尤为重要。储存和传递未加密的数据等于是把这些数据公之与众。如果你不喜欢使用加密技术,你可以请一位IT专家帮助你。请相信,你的个人信息随时都可能被黑客或者恶意程序所监控。
8、威胁意识
现在因特网上的广告越来越具有欺骗性。他们看起来就像是“紧急系统信息”或者是一些警告而使用户去点击。如果一个弹出的桌面窗口,宣称阻止桌面窗口的弹出,十之八九是一个阴谋。
9、尽量自己做
搭建一个网络,使用恰当的安全措施,下载和安装软件的时候应该机警一点。大公司一般都有自己的IT部门。小一点的公司应该询问一些安全建议,有可能的话,应该找一位专门专家做技术顾问,这是物有所值的。网络发展到今天,网络上企业或用户的重要信息的安全越来越不可忽视。
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;vpn 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。 2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。 3 风险与需求分析 3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。 目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。 信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。 3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。 4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。 4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。 4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。 4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。 图2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。 5.1 网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(public key infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。 5.2 边界防护和网络的隔离 vpn(virtual private network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个vpn网络的安全策略进行集中管理和配置。 5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, s/mime 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。 5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2) 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usb key是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证。 基于pki的usb key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。 图3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。 7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。 参考文献 [1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
关键词: 企业;网络安全;对策措施
1 计算机网络自身存在的安全缺陷
计算机网络发展十分迅速,技术也在不断地完善之中,但是由于其是一个极为庞大,且分布范围极广的网络体系结构,因此其自身必然会存在着各种缺陷,因此对于计算机网络安全会造成各种不确定的风险因素。计算机网络安全技术主要是以保护计算机上的数据以及计算机硬件与软件而形成的一种计算机技术,因此探讨网络安全技术必须从网络自身存在的安全隐患出发,网络存在的安全隐患主要可以分为以下两方面:
1.1 网络硬件存在的问题
硬件设备是计算机网络所不可或缺的组成部分,但是其自身存在的安全隐患,直接对计算机网络造成了十分严重的影响。硬件隐患主要可以分为以下几种:第一种是电子辐射隐患,所谓电子辐射隐患是指计算机上的数据一般是以电磁信息的方式存在的,这种信息在传播的过程中存在着泄密的可能性,由于其泄密的途径较为隐蔽,往往难以预防。第二种是通信方面的安全隐患。计算机在进行数据交换和数据交换的过程中,其所采用的主要载体是光缆,电话线,专线以及微波等,这些载体中只有光缆是较为安全的,其他几种传播方式都存在着被窃取和泄漏的可能性。此外,计算机的错误操作以及移动存储介质,例如U盘、移动硬盘等,都可能导致企业内部信息外泄,或是病毒对企业网络造成攻击破坏。
1.2 操作系统存在的安全隐患
操作系统作为计算机系统的主要组件,其是数据处理与数据传输的主要平台。操作系统的发展在某种程度上等同于计算机技术发展,尽管操作系统一直在不断地完善与改进,但是其自身的缺陷往往给计算机网络造成十分严重的影响。例如Windows在远程调用中存在的RPC漏洞,Linux存在的缓冲区溢出等问题。由此可见,操作系统中的某些软件如果存在安全缺陷的话,对整个系统的安全性也会造成不可估量的影响,因此必须引起高度的重视。
1.3 软件方面存在的隐患
软件一般被认为应用程序,其是数据处理的主要工具,软件在开发的过程中,或多或少会存在一些缺陷,也就是所谓的安全漏洞,这些漏洞可能会被黑客利用,成为攻击系统与网络的一个切入点。例如微软公司开发的Office系列,以及Oracle公司开发的数据库软件,近年来都出现过安全事件。因此企业应该高度重视,这些公司所的安全预警。软件缺陷为应用软件致命的缺陷,这些缺陷既对小程序有影响,也对大软件有着影响,因而严重的威胁了生命和财产。
2 计算机网络受攻击的主要形式
开放性、互连性是计算机网络所具有的典型特征,因此其极易受到病毒、黑客、以及其他网络程序的危害。因此,为了确保网络信息的安全性、完整性以及可用性,应该采用必要的安全技术加强网络安全防范,但是不同的问题,应该采用不同的措施,这是一个重要的基本原则,所以有必要认识主要的网络安全隐患有哪些。
2.1 针对系统漏洞的攻击
正所谓百密一疏,即便是最为精巧的计算机系统也存在着细微的缺陷,这就给一些不法之徒留下了可乘之机。黑客一般会通过恶意代码的方式,通过系统漏洞,或是所谓的后面侵入到计算机系统中,然后对主机发动攻击或是控制主机,窃取主机上的信息。作为企业应该及时更新系统补丁,采用安全扫描工具,或是购买硬件、软件防火墙等设备加强系统安全。
2.2 欺骗技术攻击
路由条目,IP地址、DNS解析地址等通常都会成为黑客攻击系统的重要目标,黑客一般会采用欺骗技术,例如虚构IP地址,冲入网关,然后对服务器发动攻击,造成服务器瘫痪,导致缓冲区的资源阻塞或,严重情况下,造成系统死机。有些攻击是将网络中的某台计算机的IP地址转换成网关地址,从而造成数据包的发送障碍,或是在局域网中发起ARP攻击等等。
2.3 “黑客”的侵犯
“黑客”是指利用系统漏洞等方式,非法植入对方计算机系统,它具有非常强的破坏性、隐蔽性和非授权性,黑客一定植入计算机,就可以完全掌控用户的主机。黑客攻击主要的目有窃取用户的账号、密码,或是阻碍用户正常使用系统,黑客往往会采取篡改主页,破坏程序等方式,对网络造成破话。由于黑客攻击是动态性的,且攻击模式无法确定,因此其给网络造成的危害,比计算机病毒更为可怕。
2.4 计算机病毒攻击
计算机病毒对网络安全的影响具有一定的特殊性,首先其具有高度的隐蔽性,用户往往无法主动察觉系统已经感染了计算机病毒,其次是其潜伏性,例如木马病毒一般长期潜伏在系统中,并不会对系统的正常运作造成影响,但是会窃取系统信息,造成破坏。因此企业应该对网络病毒引起高度重视,预防可以从硬件与软件两方面入手,在最大程度上避免和减轻病毒给个人和计算机造成危害。
3 加强计算机网络安全的对策措施
3.1 网络安全的审计和跟踪技术
网络安全审计技术与跟踪技术对于主业务流程不产生直接的影响,它主要是通过记录、检查、监控主业务,并且针对其完整性以及安全性进行审计评估。目前主要的审计与跟踪技术有入侵检测技术,漏洞扫描技术,以及安全审计技术等。入侵检测是最为基本,也是最为有效的审计与跟踪技术,一般可以分为针对主机的入侵检测以及针对网络的入侵检测。入侵检测通过采集,分析系统以及网络中的数据,从而发现其中是否存在违反安全策略或是是否收到过攻击,并且自动采取相应的安全措施,从而保护系统以及网络的安全。此外,它还可以保护内部攻击、外部攻击和误操作。
3.2 运用防火墙技术
防火墙技术是当前应用最为广泛的网络安全技术,其通过在计算机内部,或是在网络中的某个位置上设置一个相对安全的子网环境,从而阻挡针对系统或是网络的攻击,从而维护网络的安全。防火墙的主要优点在于,一是可以控制两个网络之间的访问策略,二是保护网络与互联网络之间的限制。防火墙的体系结构有下列三种:1)双重宿主主机体系结构。此结构为最基本的防火墙结构,其主机具有双重宿主功能。主机充当路由器,可连接内外网络,可将IP数据包从一个网络发送到另一个网络。此防火墙离不开主机,所以其主机需承载在较大的负担,其重要性也是不可忽略的。若只需进行IP层过滤,就只要将IP包的ACL控制插在两块网卡之间转发的模块。但是如果要控制应用层,就需要在这台双宿主主机上设置,所有的应用不需先连接后主机才能进行。2)屏蔽主机体系结构,也被称为主机过滤结构,其内部网络主机之间的服务,主要有由一个单独的路由器来提供。此体系结构中,数据包过滤系统为其提供主要的安全机制。相比双重宿主主机体系结构,此结构允许数据包从Internet上进入内部网络,所以要求其路由器的配置也比较高。
3.3 数据加密技术
数据加密技术是一种古老的数据安全技术,其主要是通过对信息重新编码与解码,从而将真是的信息内容隐蔽起来,从而不让非法用户获得真实的信息。数据加密技术对于防止非法用户获取数据具有十分明显的作用,并且其使用的范围十分广泛,例如可以应用于数据存储,数据传输中。此外,数据加密技术还可分为密文存储和存取。而数据传输加密技术的主要目的是为了加密传输中的数据流。
3.4 网络病毒的防范
网络中的病毒传播扩散速度非常快,单机防病毒产品,不能对网络病毒进行彻底清除,因此对于学校、政府机关,以及企事业单位等采用局域网的单位组织,应该采用专门的网络病毒防范工具。企业用户的防毒一般应该从硬件与软件两方面入手,在硬件方面安装硬件杀毒工具,软件方面要采用正版的杀毒程序。此外,由于系统是与互联网相连接的,有些病毒一旦与网络连接就会与远程服务器连接,从而传输大量病毒文件,因此在网关上必须要设置防病毒软件。此外,电子邮件也是极容易传播病毒的,因此必须在电子邮件系统中增加病毒过滤软件。这样可辨别电子邮件中和附近中隐藏的病毒。因此,只有使用全方位、多层次的防病毒系统的配置,且此系统可以进行定期或不定期自动升级,及时修复计算中的漏洞和补丁,彻底保障计算机免受病毒的危害。
4 结语
企业的发展离不开企业的信息的保密及安全的办公,只有建立保密、安全的企业办公软件,才能促进企业的飞速发展。所以,企业领导阶层和使用者必须重视计算机存在的各种安全隐患,并针对这些安全隐患采取相应的解决措施。由于信息数据的安全隐患既表现在局域网又表现在因特网上,而面对人为和技术的干扰,怎样实现信息数据安全的最大化,已经成为计算机网络安全技术发展的一重要问题。
参考文献:
[1]吴钰锋、刘泉、李方敏,网络安全中的密码技术研究及其应用[J].真空电子技术,2004:34-36.
关键词:网络安全;黑客;信息;漏洞;对策
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4044-03
Enterprise Network Security Management Were Discussed
XIE Qing-yu
(Shandong Electric Power School Information Center,Tai'an 271000, China)
Abstract: In the enterprise the computer network management, how to effectively manage the entire network system, safely better for the enterprise service has become the problem bothering network managers content of network security, this paper is the fundamental changes will occur the safety of network and its realization methods were discussed thoroughly, and specific solutions.
Key words: network security; hackers; information; holes; countermeasures
自上世纪九十年代“网络安全”这一概念提出至今,网络技术飞速发展。近几年,各种互联网资源日益丰富和网民数量激增的同时,各类网络攻击事件数量成倍增长,充分说明各种安全威胁仍然存在,网络安全形势依然严峻。如何有效地管理企业网络系统,提高网络的安全性,已是迫切需要解决的重要难题之一。
1 影响网络安全的因素
计算机网络的安全性,是一个系统的概念,它是由数据运行安全、通信安全和管理人员的安全意识三部分组成。任何一方面出现问题都将影响整个网络系统的正常运行。
1.1 计算机病毒及黑客入侵的影响
1) 计算机病毒有着破坏性强、变形变种繁多、传播速度快、影响范围广等特点。计算机病毒凭借自身特点,利用网络作为自己繁殖和传播的载体及工具,造成信息、资源泄密,网络阻塞甚至瘫痪。
2) 黑客的入侵是网络攻击中最为普遍的现象,计算机软硬件方面的隐患为黑客入侵创造了有利条件。其入侵方法总体上可分为以下几种:
第一种:口令入侵
黑客通过破解密码、中途截击等方法得到某个合法用户的帐号和口令登录到目的主机,然后进行攻击。密码的破解一般都是利用了系统管理员的失误,如使用习惯性帐号、采用易泄漏的密钥和易被第三方截获的DES加密;另外,操作系统的设计缺陷、安全漏洞以及Bug也都是黑客进攻的渠道。
中途截击是由于Telnet、FTP、HTTPSMTP等协议以明文格式传输地用户帐户和密码,黑客利用数据包截取工具便可以很容易地收集到,或者利用 “三次握手”通信中假冒用户与服务器进行欺骗。
由此可见,在日常的工作中,我们只有通过修改系统账号、设置复杂密码、设置口令文件的访问权限,并且不断注意安全防范,及时查看服务器系统的异常情况,才能避免此类问题的发生。
第二种:利用安全漏洞和软件错误
1) 放置“Trojan Horse”程序:是一种最常见的攻击方法。它典型的做法就是把一含特殊任务的程序注入在某一合法用户的正常程序中,并改变其程序代码,一旦此程序被激活,它就能完成黑客指定的任务。由于此种程序必须被安装在目标系统,这就要求电脑用户必须有意或被欺骗的安装它。只要保持警惕性,不运行来历不明的软件,电子邮件和盗版软件,就可以做到主动防范。
2) 端口扫描:目标探测是网络攻击的第一步,以了解被攻击目标的一些信息,包括目标主机已开启的端口、端口上的网络服务及其版本,由此可以进一步发现和分析出系统的安全漏洞,为实施攻击作好充分的信息储备。这需要我们手工关闭闲置和有潜在危险的端口;有端口扫描的症状时,用防火墙屏蔽该端口。
3) 网络监听:在网络上,任何一台主机所发送的数据包,都会通过网络线路传输到指定的目标主机上,所有在这个网络线路上的主机都能侦听到这个传输的数据包。攻击者利用这一原理,截获流经他的各种数据包进行分析,并对一些敏感性的数据包做进一步的解析。这种攻击需要进入到目标主机所在的局域网内部,选择一条主机实施网络监听。我们可以通过检查系统运行的程序列表,及时查看日志文件,对数据及账号进行加密,划分VLAN等方法防止我们的网络被监听。
4) 另外,黑客还常利用IP、DNS、WEB、ARP、电子邮件等进行网络攻击。
1.2 计算机网络系统内部存在的安全威胁
计算机系统、通信线路、路由器、交换机等网络设备被自然和人为破坏。物理电磁辐射引起的信息泄露。计算机网络端口、传输线路、和各类处理机都可能因为屏蔽不严或未屏蔽造成电磁信息辐射,造成有用信息甚至机密信息泄漏。
TCP/IP、FTP等协议虽然拓宽了共享资源,但他提供的服务却包含许多不安全因素,存在许多安全漏洞。在发送信息时常包含源地址、目标地址和端口号等信息。导致了网络用户读写文件通过网络进行传送时产生了安全漏洞。
1.3 管理人员缺少严格的网络安全管理制度
网络内部的安全需要用完备的安全制度来保障,管理的失败是网络系统安全体系失败的最重要的原因。网络管理人员配置不当、网络应用升级不及时、网管员使用简单的系统账户及口令、网管员不慎将操作口令泄露、临时文件未及时删除而被窃取,或者随意使用普通网络站点下载的软件等都是人为因素造成的。另外用户安全意识不强、将自己的账号随意转借他人或与别人共享等,都会使网络处于危险之中。因此必须制定完备的管理体制来约束网络管理人员和企业用户。
2 网络安全管理的实现办法及安全对策
计算机网络安全性包括:保密性、完整性、可用性、真实性、可控性五大指标。网络安全的本质就是网络上的信息安全,安全防护的目的是保障各种网络资源稳定、可靠的运行和受控、合法使用。这是一项系统工程,下面从以下几方面给出网络安全解决方案。
2.1 物理安全管理
制定严格的网络安全管理规章制度,管理计算机网络系统物理安全。目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线窃听攻击,确保网络设备有一个良好的电磁兼容工作环境。另外还要配备UPS电源以确保网络能够不间断运行。
2.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它能有效的解决信息安全领域的访问控制问题,有效地保护数据的保密性和完整性,保证网络资源不被非法使用和非法访问。
我们可以通过以下几种策略实现全方位的网络控制:入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制。
2.3 系统安全设置
1) 操作系统安全。及时更新系统补丁,大多数病毒和黑客都是通过系统漏洞进来的。关闭TELNET、guest等不需要的服务和账号。并修改超级管理员账号名称。
2) IE浏览器安全级别。很多黑客通过访问网页,当你打开一个网页的时候,会不断的跳出多个窗口,关都关不掉。所以我们要将IE的安全性调高,经常删除一些cookies和脱机文件,还有就是禁用那些ActiveX的控件。
3) 口令安全。使用大小写字母和数字以及特殊符号混合的复杂密码,不要使用空口令或者简单易猜的口令。也可以在屏保、重要的文件上添加密码,以确保双重安全。
4) 安装杀毒软件。对全网内的机器从服务器到客户机都要安装杀毒软件,并保持最新的病毒定义码。减少由病毒带来的危害。另外每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。
2.4 部署防火墙
防火墙是位于不同网络或网络安全域之间的一系列部件的组合,实现网络和信息安全的访问控制。它使内部网络与Interner之间与其他外部网络互相隔离。通过对防火墙的策略设置,可以用来限制网络互访,防止外部攻击;保护内部网络资源免遭非法使用者的侵入;执行安全管制措施;记录所有可疑事件。另外,防火墙还提供了NAT网络地址转换、加密、身份验证等功能。目前使用的防火墙产品可分为两种类型:包过滤和应用防火墙。但是防火墙也存在一些缺点和不足:防火墙不能防止内部攻击;不能防止未经过防火墙的攻击;不能完全防止有病毒的软件的传送; 不易防止木马攻击。所以必须配合其他手段进行网络防御。
2.5 入侵检测系统的部署:
入侵检测系统(IDS)是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息并将事件与入侵检测规则比较,在发现入侵行为与迹象后,及时作出响应,包括切断网络连接、记录事件和报警等功能。他是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2.6系统审计
审计(Audit)是指产生、记录并检查按时间顺序排列的系统事件记录的过程,它是一个被信任的机制 。它也是计算机系统安全机制的一个不可或缺的部分,对于C2及其以上安全级别的计算机系统来讲,审计功能是其必备的安全机制。审计是其它安全机制的有力补充,它贯穿计算机安全机制实现的整个过程,从身份认证到访问控制这些都离不开审计。同时,审计还是人们研究的入侵检测系统的前提。
2.7 部署漏洞扫描系统
漏洞扫描就是对重要计算机信息系统进行检测,发现其中可被黑客利用的漏洞。多数攻击者所利用的都是常见的信息系统漏洞,这些漏洞,均有实时的书面资料记载。每一个系统都有漏洞,用户在使用过程中发现后必须及时安装系统补丁;然而系统配置的不断更改,黑客攻击技术的不断提高,网络安全系数也会不断地变化,必须定期地进行漏洞检测。漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描系统自动检测,系统管理员可以快速发现所维护的服务器的各种TCP端口分配、提供的服务、服务软件版本以及操作系统、数据库、防火墙甚至整个局域网呈现在Internet上的安全漏洞。
2.8 部署网络防病毒系统
病毒在网络中的迅速传播是利用了构成网络结点(工作站、服务器等)的可驻留性、可复制性和通信传播性实现的。因此企业内部需要部署网络防病毒系统,并且定时升级病毒库。部署防病毒能够在源头上保障企业内部的网络安全。在选择防病毒软件时应选用口碑比较好的名牌产品。并需具备以下功能:
1) 防护策略:实现全方位、多层次防毒。如:网关防毒、 群件服务器、应用服务器防毒和客户端防毒等。能够截断病毒可能传播、寄生的每一个结点。
2) 采用网关防毒作为首要防线。
3) 管理人员可随时随地通过浏览器对防毒系统进行有效管理。
4) 能够提供防毒产品及时、全面的服务与更新。
2.9 通过网络分段和VPN管理网络
网络分段式安全的主要措施,网络分为物理分段和逻辑分段,网络可从物理上分为若干段,通过交换器连接各段。更为强有力的安全控制是逻辑分段,对于TCP/IP,即把网络分成若干子网,各子网通过中心交换机连接。
虚拟专用网VPN(Virtual Private Network)是一种“基于公共数据网,给用户一种直接连接到私人局域网的服务”。虚拟专用网VPN不是真的专用网络,但是它却能够实现专用网络的功能,是公司对外的延伸。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”低优先级的应用。
2.10 使用数据加密、数字签名和用户认证的传输技术。
他是企业在传送涉及到自己的商业秘密的数据时保障信息安全的最基本最核心的技术措施和理论基础。
2.11 加强网络安全管理,逐步完善网络系统安全管理规章制度。
对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,建立和实施严密的网络机房计算机安全管理制度与策略是真正实现网络安全的基础。建立完备的网络机房安全管理制度,妥善保管备份磁盘和文档资料,防止非法人员进入机房进行偷窃和破坏活动。将重要信息存放在光盘或其他介质上,同时镜像磁盘和双机系统,在受到攻击而造成破坏时及时恢复信息,减少受到攻击所造成的损失,只有把安全管理制度与安全管理技术手段结合起来,整个网络的安全性才有保障。
3 总结
在当前网络安全问题已经成为影响企业稳定发展的重要因素的严峻形势下,保障网络安全已经不容忽视。任何单位都应该根据自己的需要,制定自己的安全政策,采用合适的安全技术,选择合适的标准,让企业通过网络这个平台快速发展壮大。
参考文献:
[1] 谢希仁.计算机网络[M].4版.北京:电子工业出版社,2007.
[2] 郝兴伟.计算机技术及应用[M].北京:高等教育出版社,1999.
[3] 邓吉,罗诗尧,曹轶.黑客攻防实战入门[M].北京:电子工业出版社,2007.
[4] 王达.网管员必读――网络安全[M].2版.北京:电子工业出版社,2007.
[5] 戚文静.网络安全与管理[M].北京:中国水利水电出版社,2004.
[6] 葛秀慧.计算机网络安全管理[M].2版.北京:清华大学出版社,2010.
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词:网络安全;网络系统
引言:企业网络安全已成为当今值得关注的问题,它的重要性是不言而喻的,黑客窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值。因此,如何保障企业网络的安全变得重要起来。
1.企业网络现状分析
公司的发展壮大使其企业布局发生了巨大的变化。随着公司发展,需要重新规划:其网络结构。存在着远端数据收集困难,病毒威胁、黑客入侵、垃圾和病毒邮件威胁,带宽利用率低等
问题。
(1)病毒威胁,病毒是网络安全最大威胁,每年给各种企业带来的损失巨大,使所有企业都对病毒“谈毒色变”。
(2)ARP攻击威胁,ARP本是网络体系结构中的一个协议,这个协议关系到计算机网络通信必不可少的两个地址IP与MAC地址的转换功能。
(3)通过网络方式泄露企业机密,造成企业损失。网络在成为羲要交流工具的同时也成了重要的泄密渠道。
2.企业局域网安全防范方案
(1) 防火墙技术安全配置。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。包过滤防火墙工作在网络层上,有选择的让数据包在内部网络与外部网络之间进行交换。一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。服务防火墙也有一定功效,是一种增加了安全功能的应用层网关,位于internet和intranet之间,自动截取内部用户访问internet的请求,验证其有效性,代表用户建立访问外部网络的连接。服务器在很大程度上对用户是透明的,如果外部网络个站点之间的连接被切断了,必须通过服务器方可相互连通。
(2)攻击检测技术及方法。网络系统的安全性取决于网络系统中最薄弱的环节,所以要及时发现并修正网络中存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。这样,防火墙将得到合理配置,内外WEB站点的安全漏洞减为最低,网络体系达到强壮的耐攻击性,对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),一般包括控制台和探测器,也不会对网络系统性能造成多大影响。
(3)审计与监控技术实施。由于企业需要的是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏提供有力的证据。
(4) 企业局域网防病毒设置。随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。主要面向MAIL、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。
3.结束语
在信息化时代,网络的安全应用是非常必要的,它将有效防止潜在敌人和不法分子的破坏,有效保护企业机密,降低企业的办公成本。网络安全的发展过程中,我们必须更进一步的开展企业信息安全应用研究。
参考文献:
[1]郭军.网络管理.北京:北京邮电大学出版社,2001