发布时间:2023-09-20 17:51:36
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业的网络安全,期待它们能激发您的灵感。
随着信息技术和互联网技术的不断发展,计算机网络安全方面的问题,直接影响到了军事、文化、经济、政治等不同的领域。在计算机网络走进千家万户的同时,随之而来的是网络安全问题,在人们享受这网络的方便快捷的同时,也会被或大或小的网络安全问题所困扰。本文以计算机网络安全及企业网络安全应用为基本点,进行详细的分析。
【关键词】计算机网络安全 企业网络安全 应用
在计算机网络应用越来越广泛的今天,人们在享受着网络带来的方便快捷生活的同时,也会被随之而来的网络安全问题而困扰,大多网络用户均属于非专业人士,对网络的认知较浅,只能简单的应用,对于网络上常见的安全问题都会有些束手无策,对于一些需要用到网络的企业而言,网络安全问题更是需要受到重视。
1 计算机网络安全的概述
所谓计算机网络安全是指技术人员对网络的性能和安全实行专业化的管理和控制,针对可能出现的状况制定出合理的解决措施,从而保证数据的保密性以及完整性,且网络环境相对稳定,数据的各方面都能得到有效地保护。对于网络的安全管理主要由两部分构成,一部分为物理安全,另一部分为逻辑安全,物理安全是指整个网络系统的相关硬件以及附带设施实行物理性的保护,防止硬件的丢失或毁损;而逻辑安全则是指对数据传输的完整性、保密性做到全方位的防护。
2 企业网络安全的现状
现阶段,网络的发展和早期所设计的网络意图有所更改,已经将安全问题放在了首位,若不能够将安全问题解决,会在一定程度上直接影响到企业网络的应用。企业网络的信息当中存在着较多的对网络安全会产生不利影响的特性,例如:网络开放性、共享性以及互联性等,在当前经常发生恶性攻击事件,极大地显示出了现阶段严峻的网络安全形势,所以对于网络安全方面的防范措施,需要具备可以解除不同网络威胁的特点。在最近几年,我国的网络协议和系统会产生较多的问题,不能够安全、完善、健全的体现出所具备的影响价值。网络技术和计算机技术由于具备的多样性和复杂性,促使网络安全变为了一种需要不断提升和更新的范畴。因此,计算机网络在企业的应用上,需要拥有相应的网络安全问题的分析,以及网络安全的解决对策,才可以确保企业网络的顺畅运行。
3 企业网络安全应用中的问题
3.1 网络软件的漏洞
网络软件不论多么的优秀,都会产生或多或少的漏洞和缺陷,然而对于较高水平的黑客而言,定会将这些缺陷和漏洞作为首要攻击的目标。在早期发生的黑客攻击事件当中,基本上都是由于产生不完善的软件安全措施所造成的后果。
3.2 人为无意失误
人为的失误方面包含不够恰当的操作员安全配置,会在一定程度上导致安全漏洞的产生,用户缺失较强的安全意识,经常不填写用户口令,会将自身的账号随意的和别人分享或者供他人使用等,会无意间威胁到企业网络。
3.3 人为恶意失误
人为的恶意失误是网络的最大程度威胁因素,例如:计算机犯罪等。类似的攻击,基本上能分成两个层面:其一为被动攻击,是在不影响到网络工作的基础上,开展的破译、窃取、截获后,以此来获取核心性的机密信息。其二为主动攻击,是用不同的方法有选择性的对信息的完整性和有效性进行破坏。这两个层面的攻击,都能够让计算机网络产生较大的威胁,同时会造成机密数据的严重泄漏。
4 企业网络安全应用中的解决对策
4.1 网络设备的安全
在防护网络安全方面,保证网络设备安全是较为基础性的防护模式。其一,需要有效地对设备进行配置,要保证只对设备中必要的服务有所开放,在运行方面,只参考指定人员的访问;其二,重视设备厂商所提出的漏洞,要在第一时间进行网络设备补丁的安装;其三,在计算机网络中的全部设备,有必要定期地进行密码的更换,并且密码方面需要符合相应的复杂度,才能够不被轻易地破解。最后,组织有效的维护设备,保证网络设备的运营稳定性。
4.2 无线网络的安全
因为无线网络信号会利用空气运行,极易产生恶意用户的窃取,因此无线网络安全在一定程度上成为了预防安全隐患的重点。只是加密无线信号,不可以达成安全性的要求。现阶段,在企业的内部提倡应用认证和加密的结合形式,其中所涉及到的认证需要与AD相融合,以此来有效地提升账户的可管理性。
4.3 客户端的安全管理
在大中型的企业当中拥有着较多的客户端,往往都属于Windows操作系统,对其进行分别的管理较为麻烦,需要在企业的内部利用Windows组策略进行客户端的管理。组策略就是利用一次的设定,制约一部分的对象。能够在组策略中创设较为严谨的策略,以此来把控客户端的安全运行。主要的策略包含:加强账户策略、合理删除Guest等类似次要的用户;加强系统日志审核功能;局限非管理员的相应操作权限等。这一系列的策略是企业内部较为通用的策略。针对企业内部生产使用中的客户端,因为作业人员只应用几个建议的操作,因此有必要开展较为严格的限制。例如:最小化系统操作、最小化系统开放端口、最小化运行的用户进程等。其中的最小化运行用户进程所指的是,除了特定的系统进程,不能够使用其他的进程。最小化系统操作包含:禁用注册表、禁用命令提示符、禁用控制面板、禁用鼠标右键等。
5 总结
根据以上的论述,网络安全是较为复杂性、综合性的问题,会与较多的因素相联系,具体包含多种管理、产品以及技术等。不可以单纯的依赖防护系统,也不能够只是将防护系统作为摆设,而不去贯彻落实。想要将企业高效的进行网络运行,就需要为企业解决网络安全的实质性问题,才能做好企业网络信息的可用性、完整性以及保密性。
参考文献
[1]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.
[2]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.
[3]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.
[4]周连兵,张万.浅议企业网络安全方案的设计[J].中国公共安全:学术版,2013,10(02):163-175.
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案
关键词:企业网络 安全管理 维护
中图分类号:TN915.08 文献标识码:A 文章编号:1672-3791(2012)12(a)-0024-01
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。逐渐地使经营管理对计算机应用系统依赖性增强,计算机应用系统对网络依赖性增强。然而,网络的安全是伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。如病毒入侵和黑客攻击之类的网络安全事件,速度之快,范围之广,已众所周知。企业为阻止恶意软件入侵攻击、防止非法用户通过网络访问和操作、防止用户邮件被非法截取或篡改等采取的安全措施,既保证企业数据安全、网络系统运行稳定,又防止非法入侵等问题才是企业网络安全管理的重要内容。
1 威胁信息安全的主要因素
1.1 软件的内在缺陷
这些缺陷不仅直接造成系统宕机,还会提供一些人为的恶意攻击机会。对于某些操作系统,相当比例的恶意攻击就是利用操作系统缺陷设计和展开的,一些病毒、木马也是盯住其破绽兴风作浪,由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障,降低系统安全性能。
1.2 恶意攻击
攻击的种类有多种,有的是对硬件设施的干扰或破坏,有的是对应用程序的攻击,有的是对数据的攻击。对硬件设施的攻击,可能会造成一次性或永久性故障或损坏。对应用程序的攻击会导致系统运行效率的下降,严重的会导致应用异常甚至中断。对数据的攻击可破坏数据的有效性和完整性,也可能导致敏感数据的泄漏、滥用[1]。
1.3 管理不善
许多企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员安全风险意识薄弱,是网络风险的重要原因之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等[2],都会给信息安全带来严重威胁。
1.4 网络病毒的肆虐
只要上网便避免不了的受到病毒的侵袭。一旦沾染病毒,就会通过各种途径大面积传播病毒,就会造成企业的网络性能急剧下降,还会造成很多重要数据的丢失,给企业带来巨大的损失。
1.5 自然灾害
对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外,停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。
2 完善网络信息安全的管理机制
2.1 规范制度化企业网络安全管理
网络和信息安全管理真正纳入安全生产管理体系,并能够得到有效运作,就必须使这项工作制度化、规范化。要在企业网络与信息安全管理工作中融入安全管理的思想,制定出相应的管理制度。
2.2 规范企业网络管理员的行为
企业内部网络安全岗位的工作人员要周期性进行轮换工作,在公司条件允许的情况下,可以每项工作指派2~3人共同参与,形成制约机制。网络管理员每天都要认真查看日志,通过日志来发现有无外来人员攻击公司内部网络,以便及时应对,采取相应措施。
2.3 规范企业员工的上网行为
目前,琳琅满目的网站及广告铺天盖地,鼠标一点,就非常有可能进入非法网页,普通电脑用户无法分辩,这就需要我们网管人员对网站进行过滤,配置相应的策略,为企业提供健康的安全上网环境。为此,企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的情况下尽量不要安装,同时,还要培养企业员工的网络安全意识,注意移动硬件病毒的防范和查杀的问题,增强计算机保护方面的知识。
2.4 加强企业员工的网络安全培训
企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
3 提高企业网络安全的维护的措施
3. 1病毒的防范
在网络环境下,病毒的传播性、破坏性及其变种能力都远远强于过去,鉴于“熊猫烧香”、“灰鸽子”、“机器狗”等病毒给太多的企业造成严重的损失,惨痛的教训告诫我们,选用一款适合于企业网的网络版防病毒产品,是最有效的方法。网络版的产品具备统一管理、统一升级、远程维护、统一查杀、协助查杀等多种单机版不具备的功能。有效缓解系统管理员在网络防病毒方面的压力。
3.2 合理配置防火墙
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙的配置需要网络管理员对本单位网络有较深程度的了解,在保证性能及可用性的基础上,制定出与本单位实际应用较一致的防火墙策略。
3.3 配置专业的网络安全管理工具
这种类型的工具包括入侵检测系统、Web,Email,BBS的安全监测系统、漏洞扫描系统等。这些系统的配备,可以让系统管理员能够集中处理网络中发生的各类安全事件,更高效、快捷的解决网络中的安全问题。
3.4 提高使用人员的网络安全意识和配备相关技术人员
企业网络漏洞最多的机器往往不是服务器等专业设备,而是用户的终端机。因此,加强计算机系统使用人员的安全意识及相关技术是最有效,但也是最难执行的方面。这需要在企业信息管理专业人员,在终端使用人员网络安全技术培训、网络安全意识宣传等方面多下功夫。
3.5 保管数据安全
企业数据的安全是安全管理的重要环节。特别是近年来,随着企业网络系统的不断完善,各专业应用如财务、人事、营销、生产、OA、物资等方方面面均已进入信息系统的管理范围。系统数据一旦发生损坏与丢失,给企业带来的影响是不可估计的。任何硬件及软件的防范都仅能提高系统可靠性,而不能杜绝系统灾难。在这种情况下,合理地制定系统数据保护策略,购置相应设备,做好数据备份与系统灾难的恢复预案,做好恢复预案的演练,是最有效的手段。
3.6 合理规划网络结构
合理规划网络结构,可使用物理隔离装置将重要的系统与常规网络隔离开来,是保障重要系统安全稳定的最有效手段。
4 结语
总而言之,企业网络系统的安全防护是一项长期以来极具挑战性的课题。它的发展往往伴随着网络技术的发展其自身也在不断的更新和调整。信息安全是一个企业赖以生存的基础保障,只有信息安全得到保障,企业的网络系统才有其存在的价值。网络安全是一项系统的工程,需要我们综合考虑很多实际的需求问题,灵活运用各种网络安全技术才能组建一个高效、稳定、安全的企业网络系统。
参考文献
随着企业网络信息技术的快速发展和广泛应用,社会信息化进程不断加快,生产制造、物流网络、自动化办公系统对信息系统的依赖程度越来越大,因此,保证信息系统的安全稳定运行也越来越重要。如何保证企业网络信息化安全、稳定运行就需要网络规划设计师在设计初始周全的考虑到网络安全所需达到的条件(包括硬件、OSI/RM各层、各种系统操作和应用)。
1网络安全、信息安全标准
网络安全性标准是指为了规范网络行为,净化网络环境而制定的强制性或指导性的规定。目前,网络安全标准主要有针对系统安全等级、系统安全等级评定方法、系统安全使用和操作规范等方面的标准。世界各国纷纷颁布了计算机网络的安全管理条例,我国也颁布了《计算机网络国际互联网安全管理方法》等多个国家标准,用来制止网络污染,规范网络行为,同时各种网络技术在不断的改进和完善。1999年9月13日,中国颁布了《计算机信息系统安全保护等级划分准则》(GB17859:1999),定义了计算机信息系统安全保护能力的5个等级,分别如下:(1)第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。(2)第二级:系统审计保护级。除继承前一个级别的安全功能外,还要求创建和维护访问的审计踪记录,使所有的用户对自己行为的合法性负责。(3)第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。(4)第四级:结构化保护级。除继承前一个级别的安全功能外,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。(5)第五级:访问验证保护级。除继承前一个级别的安全功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
2企业网络主要安全隐患
企业网络主要分为内网和外网,网络安全体系防范的不仅是病毒感染,还有基于网络的非法入侵、攻击和访问,但这些非法入侵、攻击、访问的途径非常多,涉及到整个网络通信过程的每个细节。从以往的网络入侵、攻击等可以总结出,内部网络的安全威胁要多于外部网络,因为内网受到的入侵和攻击更加容易,所以做为网络安全体系设计人员要全面地考虑,注重内部网络中存在的安全隐患。
3企业网络安全防护策略
设计一个更加安全的网络安全系统包括网络通信过程中对OSI/RM的全部层次的安全保护和系统的安全保护。七层网络各个层次的安全防护是为了预防非法入侵、非法访问、病毒感染和黑客攻击,而非计算机通信过程中的安全保护是为了预防网络的物理瘫痪和网络数据损坏的。OSI/RM各层采取的安全保护措施及系统层的安全防护如图1所示。
4OSI/RM各层主要安全方案
4.1物理层安全
通信线路的屏蔽主要体现在两个方面:一方面是采用屏蔽性能好的传输介质,另一方面是把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中。(1)屏蔽双绞线屏蔽与非屏蔽的普通五类、超五类双绞线的主要区别是屏蔽类双绞线中8条(4对)芯线外集中包裹了一屏蔽层。而六类屏蔽双绞和七类双绞线除了五类、超五类屏蔽双绞线的这一层统一屏蔽层外,还有这些屏蔽层就是用来进行电磁屏蔽的,一方面防止外部环境干扰网线中的数据传输,另一方防止传输途中的电磁泄漏而被一些别有用心的人侦听到。(2)屏蔽机房和机柜机房屏蔽的方法是在机房外部以接地良好的金属膜、金属网或者金属板材(主要是钢板)包围,其中包括六面板体和一面屏蔽门。根据机房屏蔽性能的不同,可以将屏蔽机房分为A、B、C三个级别,最高级为C级。机柜的屏蔽是用采用冷扎钢板围闭而成,这些机柜的结构与普通的机柜是一样的,都是标准尺寸的。(3)WLAN的物理层安全保护对于无线网络,因为采用的传输介质是大气,大气是非固定有形线路,安全风险比有线网络更高,所以在无线网络中的物理层安全保护就显得更加重要了。如果将机房等整个屏蔽起来,成本太高,现在主要采用其他方式如多位数共享密钥、WPA/WPA2动态密钥、IEEE802.1X身份验证等。现在最新的无线宽带接入技术——WiMAX对于来自物理层的攻击,如网络阻塞、干扰,显得很脆弱,以后将提高发射信号功率、增加信号带宽和使用包括跳频、直接序列等扩频技术。
4.2数据链路层安全
在数据链路层可以采用的安全保护方案主要包括:数据链路加密、MAC地址绑定(防止MAC地址欺骗)、VLAN网段划分、网络嗅探预防、交换机保护。VLAN隔离技术是现代企业网络建设中用的最多的技术,该技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层的VLAN和基于策略的VLAN。
4.3网络层安全
在网络层首先是身份的认证,最简单的身份认证方式是密码认证,它是基于windows服务器系统的身份认证可针对网络资源的访问启用“单点登录”,采用单点登录后,用户可以使用一个密码或智能卡一次登录到windows域,然后向域中的任何计算机验证身份。网络上各种服务器提供的认证服务,使得口令不再是以明文方式在网络上传输,连接之间的通信是加密的。加密认证分为PKI公钥机制(非对称加密机制),Kerberos基于私钥机制(对称加密机制)。IPSec是针对IP网络所提出的安全性协议,用途就是保护IP网络通信安全。它支持网络数据完整性检查、数据机密保护、数据源身份认证和重发保护,可为绝大部分TCP/IP族协议提供安全服务。IPSec提供了两种使用模式:传输模式(TransportMode)和隧道模式(TUNNELMode)。
4.4传输层安全
传输层的主要作用是保证数据安全、可靠的从一端传到另一端。TLS/SSL协议是工作在传输层的安全协议,它不仅可以为网络通信中的数据提供强健的安全加密保护,还可以结合证书服务,提供强大的身份谁、数据签名和隐私保护。TLS/SSL协议广泛应用于Web浏览器和Web服务器之间基于HTTPS协议的互联网安全传输。
4.5防火墙
因防火墙技术在OSI/RM各层均有体现,在这里简单分析一下防火墙,防火墙分为网络层防火墙和应用层防火墙,网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,应用层防火墙可以拦截进出某应用程序的所有封包。目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。
5结语
以上对于实现企业网络建设安全技术及信息安全的简单论述,是基于网络OSI/RM各层相应的安全防护分析,重点分析了物理层所必须做好的各项工作,其余各层简单分析了应加强的主要技术。因网络技术日新月益,很多新的网络技术在本文中未有体现,实则由于本人时间、水平有限,请各位读者给予见解。文章中部分内容借签于参考文献,在此非常感谢各位作者的好书籍。
作者:单位:西山煤电(集团)有限公司物资供应分公司
引用:
[1]李磊.网络工程师考试辅导.北京:清华大学出版社,2009.
[2]王达,阚京茂.网络工程方案规划与设计.北京:中国水利水电出版社,2010.
【关键词】IPSecVPN网络安全防火墙;
1引言
IPSecVNP作为一种主流网络安全技术已经发展了多年,无论是目前流行的正在使用的IPv4网络还是发展中的IPv6网络,无论是移动办公还是局域网间通讯,都在大量使用IPSecVNP作为网络安全通讯基础设备。本论文通过研究IPSec协议族,实现了一个较为完整的IPSecVNP系统。包括客户端、服务器端软硬件设计和实现、网络配置及内嵌以管理等。还解决了IPSec协议通过CBAC防火墙问题。
2 IPSecVPN系统设计
本文实现了IPSecVNP系统的功能,满足了政府、金融行业和企事业单位低成本安全通讯的需求,可以按照客户实际需要的VPN系统进行安装部署、调试维护。IPSecVPN的主要作用是采用加密、认证等方式保护网络通信的安全性、私密性、可认证性和完整性。
IPSecVNP网关作为IPSecVNP系统中主要的设备,担负大部分计算任务,两台以上IPSecVNP网关就可以搭建IPSecVPN系统的基本框架。IPSec移动客户端(easyVPN)是专为单台主机或便携式电脑设计的,目的是使其拥有与IPSecVPN网关保护的局域网络通信的能力。如图1所示。
IPSecVPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能,使用互联网作为信道。通过IPSecVPN网关的加密能力确保信息在不安全的互联网上以密文形式传输。数据校验功能确保了即便信息被截取,也无法窥视、篡改通讯内容。
IPSecVPN实现的总体结构分为IPSec输入输出处理、SPD和SAD策略管理、IKE密钥交换、加密算法和认证算法、NAT兼容等模块。其中IPSec安全协议的处理是数据处理的核心,策略管理模块提供IPSec处理策略,IKE密钥交换模块用于通讯双方SA协商,加密算法和认证算法模块是安全通讯基础,NAT兼容提供复杂网络环境下IPSecVPN应用的解决方法。
在用户层提供手工注入SA和IKE动态协商SA程序。用一个IKE守护进程监听动态协商请求,并进行相应的协商处理。策略系统实现存储、管理及验证策略。并提供用户层操作到内核的接口Pfkey Sockets(手工注入SA和利用IKE动态协商SA的接口及SAD与SPD的接口)。在内核中除实现与用户的接口外,还将实现SAD,SPD的管理、IPSec协议进入/外出处理及认证加密算法。IPSec协议处理部分建议采用IP+IPSec方案。这样会进一步加快IPSec的处理速度。
3 IPSecVPN穿越防火墙设计
前提:A、B、C三台cisco3750边缘路由器分别处于两局域网网关位置,两两一组,形成冗余。网关后各有一台主机,这两台主机之间进行IPsec安全通讯。每台边缘路由器都已经配置好相应的IPsec隧道及相关策略,而且配置了基于cisco ios CBAC状态型防火墙,两局域网由两路由器模拟的Internet网云连接。
3.1首先,对于防火墙主要进行如下一些配置:开启inspect检测,这样可以让每个接口自动检查ACL允许的流量,deny的不检查,有通信时建立状态表,没有通信时就不建立,也就是有会话时就有ACL,没有就删除。以下是针对IPSec协议的检测,在outside方向,开启对isakmp协商的检测。
ip inspect name outside udp timeout 5
ip inspect name outside isakmp
ip inspect name outside icmp
3.2对outside区域运用防火墙策略。由于AH和ESP的协议号分别为50和51,所以在outside方向上,让有限状态机对协议号为50的AH和51的ESP报文进行检测放行。
permit ahp any any
permit esp any any
由于isakmp的协商属于UDP协议,且端口号为500和4500,在outside方向,让有限状态机对isakmp的4500和500端口进行检测放行,以便isakmp协商成功。
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
验证:在A路由器上使用 show access-list命令可以看到,如图2所示。
图2显示ESP格式报文的加密报文和isakmp的通道协商已经与防火墙的规则进行了匹配并且放行。Ping测试显示成功,如图3所示。
4加密流量与非加密流量对比
前提:为了达到加密与非加密流量对比,需要在配置两台服务器,一台处于内网中,受到IPSecVPN的加密保护,一台在公网上,供外网客户访问,不采用IPSec加密。服务器上包括WWW、FTP、DNS、MAIL常用服务。
(1)在外网和内网服务器上开启wireshark进行抓包并分析;(2)访问服务器www网页;(3)访问FTP服务器;(4)使用OE发送邮件;(5)使用OE进行收邮件;(6)使用telent登录服务器;(7)打开wireshark显示抓包分析结果,外网服务器的抓包结果显示,所有包的协议都可以显示出来,包括WWW的网址与内容,FTP和TELNET的用户名与密码,这些都是极其不安全的,而经过IPSec加密的内网服务器则所有包都是用ESP包头进行封装加密,显示不出任何包信息,这样可以很好的保护企业的数据。如图5和图6所1示。
5小结
本文通过研究IPSec协议族,实现了一个较为完整的IPSecVPN系统。包括客户端、服务器端软硬件设计和实现、网络配置及内嵌管理等,还解决了IPSec协议通过CBAC防火墙问题。
参考文献:
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案
结 语
本文通过对企业网络特点及所面临的安全风险分析,从网络安全系统策略与设计目标的确立出发,依据企业网络安全策略设计,构建相对比较全面的企业网络安全体系,并参照设计、构建的企业网络安全体系,给出了一个较全面的企业网络安全解决方案。对促进当前我国企业网络普遍应用情况下,企业网络安全问题的解决,具有重要意义。
参考文献:
[1]方杰,许峰,黄皓.一种优化入侵检测系统的方案[J.]计算机应用,2005,(01).
[2]李莹.小型分布式入侵检测系统的构建[J].安阳工学院学报,2005,(06).
现在企业很多商业业务、商业活动和财务管理系统协同工作等,都需要借助计算机网络进行。如果没有网络安全性的保障,就会发生系统延迟、拒绝服务、程序错误、数据篡改等现象,甚至很多情况下会发生木马病毒的侵蚀。过去企业数据是以文本文件的形式存在,虽然处理和操作不具有便捷性,但是能够起到保密性和可靠性的作用。计算机网络时代财务数据流能够实现财务数据的快速传递,但是在数据传输的过程中安全性难以得到有效的保障。所以在企业数据信息管理的过程中需要有保密性和可靠性的保障,维护企业的商业机密。其次,网络交易渠道容易发生数据信息丢失或损坏,交易双方的信息结果发生差异的现象时有发生,严重影响了企业数据的精准性。所以企业急需完整性的交易信息凭证,避免交易信息的篡改或者删除,保证交易双方数据的一致性[1]。
2企业网络面临的安全风险
2.1物理安全风险
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
2.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.3管理安全的风险
企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企业经常由于管理的疏忽,造成严重的网络信息安全风险。具体管理安全的风险主要表现在以下几个方面:企业没有健全和完善的网络安全管理制度,难以落实安全追责;技术人员的操作技术能力缺陷,导致操作混乱;缺乏网络信息安全管理的意识,没有健全的网络信息安全培训体系等。
3构建企业网络安全防护体系
3.1加强规划、预防和动态管理
首先,企业需要建立完善的网络信息安全防护体系,保证各项安全措施都能够满足国家信息安全的标准和要求。对自身潜在的信息安全风险进行统筹规划,针对性的展开安全防护系统的设计。其次,企业应该加强对安全防护系统建设的资金投入,建立适合自己网络信息应用需求的防护体系,并且定期进行安全系统的维护和升级。最后,加强预防与动态化的管理,要制定安全风险处理的应急预案,有效降低网络信息安全事故的发生。并且根据网络信息动态的变化,采取动态化的管理措施,将网络与信息安全风险控制在可接受的范围。
3.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。
首先,根据业务需求,可以将企业网络分为两部分:外网和內网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
3.3信息安全技术的应用
(1)防火墙技术
防火墙主要的作用是对不安全的服务进行过滤和拦截,对企业网络的信息加强访问限制,提高网络安全防护。例如,企业的信息数据库只能在企业内部局域网网络的覆盖下才能浏览操作,域外访问操作会被禁止。并且防火墙可以有效记录使用过的统计数据,对可能存在的攻击、侵入行为精心预测预警,最大限度地保障了企业内部网络系统的安全。随着业务模式的不断发展,简单的业务(端口)封堵已经不能适应动态的业务需要,需要采用基于内容的深度检测技术对区域间的业务流进行过滤。并借助于大数据分析能力对异常业务流进行智能分析判断。
(2)终端准入防御技术
终端准入防御技术主要是以用户终端作为切入点,对网络的接入进行控制,利用安全服务器、安全网络设备等联动,对接入网络的用户终端强制实施企业安全策略,实时掌控用户端的网络信息操作行为,提高用户端的风险主动防御能力。
4结束语
综上所述,计算机网络有效提高了企业业务工作的效率,实现企业计算机网络数据库中的数据分类、整理、资源的共享。但是,系统数据的保密、安全方面还存在技术上的一些欠缺,经常会发生数据被非法侵入和截取的现象,造成了严重的数据安全风险。企业应该科学分析网络与信息安全风险类型,加强规划、预防利用防火墙技术、终端准入防御技术等,提高企业网络与信息安全防护效率。
参考文献
[1]戴华秀.移动互联网时代信息安全应对策略分析[J].科技与创新,2016,(1):36.
关键词:电力企业;计算机网络;安全
随着信息化时代的来临,计算机网络在电力企业应用日益广泛,可以在电力系统自动化、监控、保护、电费收缴等方面实现集成管理,发挥越来越重要的作用。同时,国家电力数据通讯网也将各个不同级别的电力企业连接起来,实现了信息共享。然而,由于受到各种因素的影响,电力企业信息网络安全风险日益增加,网络数据丢失,操作系统被破坏,网络瘫痪等时有发生。电力企业的安全、可靠运行是确保社会生产和生活正常运行的基本保障,如何确保电力企业的计算机网络安全是电力行业亟待解决的重要课题,基于此,笔者对此问题进行探讨。
1计算机网络安全的重要意义
计算机网络安全主要包括2个方面:信息安全和物理安全。信息安全是指网络安全,确保各种网络数据信息的完整性和保密性。计算机网络的威胁来源包括病毒、黑客等,其中黑客攻击造成的危害已经超过病毒影响,部分攻击甚至是致命的。因此,加强计算机网络安全十分必要,只有采取有针对性的保护措施,才能确保网络信息的安全性和完整性。根据美联邦调查可知,美国每年由于计算机网络安全造成的经济损失每年高达270亿元。国内互联网的安全威胁也十分严重,根据国家网络应急中心2013年评估数据可知,全球“僵尸”电脑有58%都发生在国内。由此可知,确保计算机网络安全势在必行。
2电力企业计算机网络存在的风险
2.1技术安全风险
随着信息化时代的来临,电力企业对计算机网络的依赖已经达到了空前规模。由于计算机网络存在巨大的安全隐患,也导致对计算机网络过度依赖的电力系统运行的安全性和稳定性变得十分脆弱,一旦计算机网络由于各种原因受到破坏,就会造成整个电力系统出现瘫痪。基于此,电力企业必须制定全面的计算机网络安全防护措施,以确保电力系统的安全、稳定运行。然而,现行的安全防护技术具有一定的针对性,通常是针对一种或者几种问题单独设计的,难以有效解决运行中出现的所有问题,也难以对计算机网络安全进行全方位的安全保护,安全技术存在一定的不足之处。
2.2信息安全风险
目前,威胁电力系统计算机网络安全的原因主要包括几方面:自然灾害、软件漏洞、病毒及黑客等。计算机系统很容易受到自然灾害的影响,如火灾、雷击、地震等各种因素,一旦出现这种自然灾害,若保护能力不足,极易导致电力系统信息丢失。由于应用网络软件类型多样,不同类型存在不同漏洞,黑客利用软件漏洞攻击软件,并最终破坏整个系统的数据。病毒也会对计算机网络安全造成影响,网络一旦干扰病毒,轻则可能导致整个系统运行缓慢,严重的可能导致系统瘫痪和数据丢失。除此之外,还有部分不法分子通过窃取密码等方法,故意破坏电力系统数据,实施金融犯罪等,这些都使计算机网络安全受到极大的威胁。
2.3管理安全风险
管理安全风险主要存在于2个方面:其一,网络管理人员;其二,网络使用者。管理人员和使用者安全意识不强,随意将自己的账号给别人使用或者与别人共享,使用盗版应用软件及外部不安全的移动存储介质,无意中泄露了网络口令及配置等关键信息,所有这些问题都极易影响网络的安全稳定运行。
3电力企业计算机网络安全防范措施
3.1采用交换机和虚拟局域网技术实现访问控制
为了提高电力企业计算机网络的安全性,可以采用交换机和虚拟局域网技术,将电力企业根据不同业务种类和安全要求分为多个子网,同时采用防火墙实现内、外网的有效隔离。例如,可将电力企业的数据库、电子邮件等划分为一个VLAN1,将电力企业外网划分为另外一个VLAN2,同时,控制两者之间的单向信息流向,前者可以访问后者,而后者不能访问前者。为了确保管理安全,可将电力企业统一部门的节点划分在同一个虚拟网络内,对于不同的管理人员赋予不同的管理权限,通过采用三层交换机支持统一网络的配置访问权限,通过这种模式不仅能够有效隔离广播风暴,也能够完成路由寻径,降低时延。具体来说,可采取几种措施:第一,控制MAC地址端口;第二,在网络层采用IP分组进行过滤;第三,对电力系统全部用户机器的MAC地址进行注册,确保只有授权用户才能进入。
3.2信息加密传输
电力企业信息在传输过程中很容易受到黑客的攻击,计算机网络的路由器、交换机等都极易成为黑客的攻击对象,基于此,为了有效防止数据信息在传输过程中不被窃听、修改及泄露等,可以对传输的数据进行加密,使其能够以密文的方式传输和存储。对于电力系统不同数据信息的安全组网要求,可将数据传输通过不同的网络层次实现。若数据信息在物理层传输,就可以采用链路加密,即在每个通信链路端口都安装相应的加密设备。如在网络及传输层,报文在进入分组交换机时,必须对相关信息进行解密,以便能够正确确定链路的路由,在这个解密过程中数据也很容易受到攻击,基于此可以在网络及传输层实施端到端加密,以确保信息解密过程中的安全。
3.3数字签名和身份认证
电力系统在网络运行环境下,系统与系统、系统与用户、用户之间等持续不断地频繁进行信息的传输过程中,极易存在几种安全隐患:第一,有假冒源点身份将报文插入到网路中;第二,发假确认或者不接受;第三,篡改报文内容和序号等。出现这种情况,最有效的解决方法就是对数据修改人员进行身份认证,可通过使用数字签名、证书技术确保用户的真实性和有效性,实现对分发者身份的认可,接收方面也可以通过数字签名等方式辨别数据是否来源于指定用户和数据信息的完整性。除此之外,数字签名也能够有效防止本文传输的否定问题。
3.4电力企业外部网安全访问控制
电力企业通过互联网实现和外部的有效连接和访问,为了确保在此过程中信息访问和传输的安全性,通常都采用防火墙技术。在电力企业内部和外部网络之间,通过设置防火墙来实现双方的隔离和访问控制;电力企业内部不同网络安全域的访问控制也要使用防火墙,以便能有效隔离不同网络之间的访问控制,避免一个网络的问题通过局域网络影响到另外一个网段。通过这种设置,能够实现对网络活动、事件和状态的实时检测、审计,并对各种恶意访问控制、误操作等进行实时分析和控制;根据防火墙的监控和漏洞探测,得到相关的分析报告,根据报告内容为电力系统用户提供快速检测非法入侵行为并提供反击手段。因此正确设置防火墙,不仅能有效实现内外网之间的安全防护,也能为内部不同网段之间提供安全防护,能够针对用户的需求有效降低电力系统的网络安全风险。
3.5日志管理和备份数据
对电力系统而言,除了上述几方面的安全防护外,日志管理和备份数据子系统是确保信息数据安全的关键,若缺少这2个系统,就难以投入实际运行,因此电力系统计算机网络一旦出现故障,必须首先分析产生的原因,并能够在最短时间内恢复系统的正常运行,也就是网络系统设计的关键环节,日志管理主要是对进入到电力系统进行的操作进行记录,如数据库操作、FTP文件服务器等。操作事件主要包括:点击菜单项,点击窗口的控件、按钮、下拉框等;日志表记录主要包括:用户名、登录时间、地点、退出时间、操作内容等,以便日后审计、核对时使用。电力企业数据是企业的生命,一旦数据丢失,给企业造成的损失不可估量,为防止数据丢失或损坏,必须及时对数据库进行归档和备份。归档是指永久性或者限制保存实践,保存数据库不需要的数据。数据备份是电力系统最基本的日常工作,在建立计算机网络系统时,就必须首先设置好备份的时间、备份的数据选择等,确保数据信息的安全。
关键词 内部;计算机网络;安全研究
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)13-0122-01
内部计算机网络安全主要是涉及到计算机的软、硬件系统的安全,同时还包括计算机内部一些保密数据和信息的安全。计算机网络在运行过程中,会接触到各种各样的人员、数据和信息,同时还要对计算机发出的复杂功能指令进行有效地执行。在这一系列的工作中,很容易出现一些问题,再加上外界对该计算机系统的攻击和破坏,这些方面都严重地削弱了内部计算机网络的安全性能。如何保证计算机网络的安全,确保网络信息的安全性、保密性和实用性,这是一个值得深入思考的问题。有关人员要集中精力来解决这一难题,可以通过对内部计算机网络的运行规律和特点,再结合一些安全漏洞制定一些行之有效的解决方案。
1 内部计算机网络安全存在的一些问题
内部计算机网络主要是有数据库、网络技术、操作系统这三个模块构成,每个方面发挥着各自作用,使内部计算机网络功能得到充分发挥。但这些方面若是出现一些操作性失误、或是运行不良,都会给整个的内部计算机网络安全造成威胁。因此,要对这些方面存在的问题进行严格控制。
1.1 在数据库方面存在的安全问题
数据库是一个存储各类数据的系统,不具备对数据库内的信息性质和内容识别功能。因此,容易造成一些不健康甚至是违法的信息和内容进入到数据库中。这些信息很有可能会携带着一些网络病毒甚至是木马程序等,这给数据库的安全造成巨大安全隐患。数据库的设计人员在对数据库进行编程的过程中,安全意识淡薄,未能将所有的资料和信息考虑进编程中去,没有对编程过程中出现的问题进行及时纠正。
1.2 在网络技术方面存在的安全问题
在网络技术方面同样的存在一些问题,这些问题严重影响着内部计算机网络的安全。网络技术支撑着计算机网络的运行,若是这项技术在设计环节、运行环节中出现一点纰漏,都会导致计算机网络的正常运行受阻。当对内部计算机网络进行升级时,网络技术未能找到升级环节的切入点,又或者是相关人员将网络技术应用到相反的方向中去。以上这些操作性失误,增加了外界入侵计算机内部网络系统的风险。
1.3 在操作系统方面存在的安全问题
计算机内部网络的正常运行离不开操作系统这一软件的大力支持。因为操作系统是所有计算机网络运行的基础,只有当操作系统工作时,才能过将一些指令进行转化。但若是操作系统自身功能存在一些漏洞,这就很容易地给整个计算机网络带来严重后果。例如操作系统在设计环节出现一些小纰漏,或是在程序输入过程中,对一些程序数据输入不当,又或者是操作系统在安装过程中没有严格地遵照有关指示和要求来操作等一些方面的小问题,这些操作系统中潜藏着的问题都有可能成为黑客攻击的目标,进而导致整个计算机网络陷入瘫痪状态之中。
2 内部计算机网络安全完善和维护措施
为确保内部计算机网络安全,对内部计算机网络进行相应的完善和维护是非常有必要的一项工作。这些维护和完善工作也不是盲目和无目的地执行,必须做到有的放矢。因此,在制定对内部计算机网络安全的完善和维护措施时,必须对存在其中的安全问题进行熟练掌握,然后再根据每个问题的形成原因和存在特点制定相应的解决措施。只有坚持这种做法,才能够将影响内部计算机网络安全的因素彻底清除。
2.1 在运行计算机网络时,要增强网络安全意识
改善和维护内部计算机网络的安全问题,所有使用计算机的人员必须形成一种强烈的网络安全意识,这样不管是网络的设计人员,还是计算机的使用者都会更加仔细、认真地对待这一事物。宣传教育是加强有关人员网络安全意识的一个有效途径,通过不断灌输网络安全知识,这些人员会在潜移默化中形成网络安全意识。此外,还可以在进行计算机专业知识培训的过程中,提高管理人员和技术人员的专业技术水平。将一些加密技术应用到计算机的设计中去,避免因操作失误而导致信息泄等重大事故的发生。
2.2 完善相关规章制度,严格控制网络的使用
从事计算机内部网络安全工作的人员只有按照科学的规章制度工作,才能保证工作的质量,进而确保内部计算机网络的安全。此外,为确保网络的安全,对网络的使用情况进行有效的控制,同样是非常有必要。在制定规章制度时,要本着严谨、科学的态度来对待。通过对计算机网络的工作流程进行调查和分析,再根据员工的素质和专业水平,制定相应的规章制度,在规章制度定制成功后,要求员工严格遵守所制定的规章制度,对违反制度的人员要进行严格惩处。在对网络的适用情况进行管理时,要特别严格和仔细。对用户的来源、用户的资料进行仔细审查。
2.3 加强对计算机网系统的安全性设置
计算机网络的安全性设置主要体现在对计算机网络的设计环节中。具体来讲,主要是对用户安全的设置和密码安全的设置两个方面。用户安全设置主要内容为定期要求用户对用户名进行更换,对一些不必要的用户进行删除,对Guest这类账号要严格限制其使用,要及时地将系统Administrator账号进行更换,以防计算机系统数据被窃取或篡改。另外对于密码安全的设置主要体现在:①提高密码的安全系数,最好不要采用公司名称、生日、个人名字等一些简单容易猜到的内容来设置密码;②要对电脑屏幕设置密码,以防工作电脑被他人偷窥,导致数据丢失。
3 结束语
如今国家间的联系日益密切,科技竞争也越来越激烈。如何确保内部计算机网络安全,将会对个人、企业、国家产生重大影响。为确保社会各界的生产生活能够顺利进行,必须对影响计算机内部安全的因素进行深入分析,再制定相应的解决措施来有效解决这一难题。
参考文献
[1]杨飞.小议企业内部计算机网络安全存在问题与完善措施[J].中国电子商务,2012(2):5-7.
[2]马向华.企业内部网络安全技术的探讨与实践[J].中国科技信息,2009(12):14-116.
【关键词】 石油企业 网络安全 防范体系
随着信息技术的飞速发展,石油公司开始广泛应用计算机网络进行往来的贸易和办公,这就给网络安全带来了严峻的挑战。建立和完善规范的石油企业网络安全体系已成为当务之急。所以我们首先需要分析石油企业网络安全的影响因素。
一、石油企业网络安全的影响因素
1.1 主观因素方面
首先,从网民的角度看,网民的安全意识和水平参差不齐,大多数人都知道网络安全知识,对于安全的意识淡薄。其次,从黑客攻击的角度来看,它是计算机网络安全所面临的敌人。如果你不小心打开或下载了这些资源,那么你的网络连接用户名、密码等账户信息和个人机密信息都有可能因为它而被泄露,或系统资源占用。
1.2 客观因素
系统安全漏洞和缺陷是不可避免的,这就给黑客提供了一个着陆点。黑客取得某一网站的信息机密事件时常发生,原因就是网络操作系统和应用软件出现漏洞,导致因安全措施不足而造成的。此外,在操作系统和应用软件的“漏洞”和“后门”上都是由公司内部的程序员为了方便自己而设置的,在正常情况下,不被外人所知,但一旦打开,其后果可能是灾难性的。
二、石油企业网络的安全防范措施
2.1 健立健全企业规章制度
要确保网络是否是相对安全的,就必须制定详细的安全系统,了解并认识到网络安全的重要性,在网络安全事故的发生中,应该进行相应的处罚,必须严格遵照执行的地方,绝不能姑息怜悯。对于记录中出现不遵守情况的人员,要给予相应的处罚,并编写检查结果的报告,可以为以后出现类似的情况,做到有证据可依的地步。
2.2 树立员工网络安全意识
为了在工作中树立企业员工的网络信息安全意识,并且让员工认识到网络安全是一个首要任务,只有员工对企业信息安全的发展与进步有了足够的重视,才能有效地防范日后工作的网络安全问题。企业应实施适当的网络安全信息培训,从而提高工作人员的网络安全知识,利用各种形式,增强员工的网络安全意识,激励员工养成健康使用计算机的习惯。
2.3 防火墙技术
防火墙技术是现阶段许多石油企业广泛应用的最流行的网络安全技术,在不安全的外部网络环境的前提下,创造一个相对安全的企业内部网络环境。石油公司的内部网站应该禁止公司中一般员工或无关人员的访问,在最大程度上防止了外部社会网络环境中的黑客访问到企业内部网站进行链接的复制、篡改,或破坏重要机密信息。因此,防火墙是一种屏障技术,是隔断内部网络和外部社会网络环境之间的有效屏障。
2.4 数据加密技术
企业内部一些重要的机密文件需要通过使用数据加密技术进行加密发送到外部网络之中,这需要防火墙技术和数据加密技术结合使用,才能够提高石油企业网络信息系统和内部数据的保密性和安全性,防范外部人员恶意损伤企业的重要机密数据。
2.5 系统平台与漏洞的处理
网络安全管理员可以使用系统漏洞的扫描技术来提前获取网络应用进程中的漏洞,通过漏洞处理技术可以尽快修复网络安全存在漏洞,而且,还应该尽快的修正网络安全设备和持续应用过程中的一些错误配置,在黑客攻击之前进行预防措施。
三、加强石油企业网络安全的建议
面对如今种种的网络安全问题和现象,我们应该加强企业网络安全。首先,对于公司内部的网络系统问题,应该统一公司内部人员对于电脑网络的操作,对于操作过的电脑要进行及时的定期扫描和修补安全漏洞;其次,对于公司内部的网络操作系统应该加入应该具有的防火墙功能,阻挡一切其他恶意的攻击;第三,对于企业的网络安全而言,还应该加强应有的杀毒软件,并且及时更新病毒种类,要坚持每天定期进行病毒的扫描工作,这样可以帮助企业实现网络安全。
参 考 文 献
[1] 邵琳,刘源. 浅谈企业网络安全问题及其对策[J]. 科技传播,2010,(10):186
关键词:网络安全;威胁因素;对策
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02
1 网络安全的特点及重要性
网络安全从字义上讲就是保障网络系统的稳定正常运行,抵御各种不利的侵害,免受因不法侵害带来的损失,网络安全需要依靠相关的设备和技术才能实现。对于企事业单位的网络安全较之于一般的个体的网络使用具有更为重大的意义。网络的使用大大提高了企事业单位的办公效率和质量,网络的不安全因素带来的直接后果是造成办公秩序不能正常进行,重要的信息材料丢失或者篡改,给企事业单位的利益以及相关联的人的利益带来重大损失,因而保障网络安全具有十分重大的意义,也因此对企事业的网络安全工作和建设提出了要求:
首先,良好的保密性能,非授权用户难以靠非正常途径获得或者使用不允许对外公开的信息材料;其次,相关的数据改变只有在经授权的前提下才能进行改变,未被授权就不能修改、破坏存储或传输过程中的数据,保证数据存储和传输的完整性;第三,网络数据的稳定可靠性,被授权主体能够正常访问并根据需求正常存取使用;最后,良好便捷操控性能,网络系统能够满足大部分的工作需要,一方面对于数据的传播及内容具有良好便捷的控制能力,另一方面在出现安全问题时能够及时做出判断预警,并提供相关的处理依据和手段。
2 当前网络安全在应用中的现状
网络化办公已基本实现,然而在网络安全的建设和管理上,一部分企业的网络结构设计难以满足未来的网络发展,应对网络安全的能力严重不足,甚至还停留在个体的网络使用模式上,企事业单位的网络安全建设应当是一个整体性的结构,在整个网络系统中,每一台计算机的安全性能对整体的网络系统的安全性能都有着直接的影响,网络安全与每个用户密切相关。
企事业单位的网络安全应该得到充分的重视,但部分企事业单位的安全意识还比较淡薄,一方面缺乏专业性的网络安全管理人员,网络安全建设缺乏明确的标准和规范;另一方面企事业单位的员工要对于单位的网络结构、数据存放方式和地点、业务系统的密码都有一定的了解,员工对于网络安全的不在意,网络隐患防范意识差,随意的改动系统注册表,网络系统的密码设置简单等都可能使得整个网络安全系统面临风险。根据调查,在已发生的网络安全攻击事件中,多数是来自内部网络的侵犯,如关键、敏感数据的误用、滥用;IP地址的随意设置;网络的网络结构被内部人员泄露等。
当前部分企业的网络安全管理制度还是不健全的,网络安全建设缺乏可操作性,缺乏网络安全防护和维护技术,管理制度不健全、责任和权力的不明确都有可能导致网络的不安全。相当一部分企业在出现网络攻击行为时,还不能做到提前预警、提供攻击行为的线索及破案依据;对于内部人员的违规操作,也不能进行实时的监控、报告和预警。
3 当前网络存在的主要安全威胁因素
(1)内部网络的威胁因素。很大一部分网络安全造成威胁的事件是由于企业内部的原因造成的,根据统计,企业内部的威胁因素占到了所有网络安全威胁事件的绝大部分,而极少数的网络安全威胁事件才是由企业外部造成的。在由企业内部原因造成的网络安全事件中,主要是由于不健全的企业内部管理制度、淡薄的安全意识等自身问题;企业内部员工没有经过授权而进行访问所导致的安全威胁以及设备老化、人员操作失误等原因导致的。以上可以知道,一方面企业内部的威胁因素对于企业的网络安全威胁最大,企业的内部攻击也是比较难以防范和预测的,因而非常有必要对企业内部采取必要的安全措施;再者激烈的商业竞争有可能造成越来越多的恶意攻击事件,然而个别的员工缺乏安全意识,为了谋取个人利益出售企业的商业秘密给竞争对手或者无意的将企业的商业机密泄露,最终带给企业重大的经济损失。另一方面,企业由于受自身发展水平的限制,对于网络安全的结构设计,日常管理维护的资金和人才投入存在很大的差别的,现代的计算机网络技术日新月异,企业需要紧跟时代的步伐,网络安全的保障同样如此,需要大的资金和人员投入,特别是一些大型企业以及政府事业单位。
(2)外部网络的威胁因素。单位外部的威胁因素主要包括以下几个方面的因素:
1)病毒威胁,在现代的社会,病毒有可能出现在所有存在计算机的地方,目前计算机病毒是影响网络安全的最主要的敌人,它随着计算机网络技术的发展而发展,现在的计算机病毒更具隐蔽性、传染寄生能力强、破坏性更大,病毒的传播方式是在计算机的程序中插入一组能够自我复制的计算机指令或程序代码用以破坏计算机功能,篡改或毁灭数据,妨碍计算机软件、硬件的正常稳定运行。病毒的破坏性程度不同,严重的有可能破坏个人的计算机甚至影响整个单位网络的安全。
2)黑客威胁。黑客也是计算机网络技术发展的产物,黑客的存在使得单位不得不提高网络安全意识,因为他们的破坏力是相当惊人的,我们常常可以看到报道:黑客利用单位网络的安全漏洞,非法闯入单位网络,未经授权访问单位内部网络、数据资源,删除、复制甚至毁坏数据,甚至攻击政府网站,篡改网页等非法活动。
3)拦截、窃听单位网络数据。这主要是通过利用单位的数据传输漏洞直接或间接的截获网络上的特定数据包并进行分析获取所需要的信息。
其他的威胁单位网络安全的方式还有破坏网络设备、黑客通过利用在网络上所控制的计算机向单位发送大量的垃圾邮件、通过伪装IP地址欺骗单位获得信任、恶意破解密码、篡改数据等。
4 应对网络安全威胁因素的对策
(1)建设全面的稳固的企业网络病毒防火墙以及网络安全防护体系。企事业单位网络的出入口的接入处,要有防火墙的保护,来自外部网络的所有访问请求都应该经过防火墙的检查,这样做的效果是防止计算机病毒的传播,尤其是应对来自于网络的病毒,最大可能的减少因病毒所导致的单位网络阻塞、中断等故障的发生。能够有效的隔离内部与外部网络的信息,消除外网的安全威胁。
(2)健全企业的网络安全管理制度,首先网络安全的管理工作应当具体到人和部门,网络安全管理是单位安全有效运行的重要组成部分。网络安全管理工作应当有相应的规范和配套的制度保证执行,推行主管责任制,监督、引导负责人员能够正确的执行规范,提高网络安全的管理水平。其次,加强对员工的网络安全意识和技能方面的培训,提高单位内部人员的网络安全意识和素质,特别是加强对专业网络安全管理人员的培训,制定合理的人才发展规划,让网络安全管理人员以及单位内部人员的网络安全意识能有稳步提高,能够主动的发现问题并解决问题,进一步提高员工对单位网络系统的操作能力
(3)健全企业的网络安全预警机制,主要包括入侵单位网络预警机制和病毒感染预警机制两部分。单位网络安全入侵预警机制能够通过安全扫描互联网和系统对经过网络传送的数据的安全性进行分析检测,对于确定的危险性的入侵信息进行警告并能够检测出入侵风险源的IP地址,时间,入侵的目标的IP地址、端口。病毒感染预警机制,通过扫描和检测所有访问数据,分析检测发现的风险,生成病毒警报,并迅速定位入侵的IP地址、端口和病毒发生源,对病毒活动的日志进行记录。
参考文献:
[1]辛钢.当前企业网络安全问题和策略研究[J].中国传媒科技,2011,12.
关键词:企业办公网络;网络安全;影响因素;防范措施
中图分类号:TP393.08
1 办公自动化的概念及其网络特点
办公自动化(Office Automation,简称OA)是利用现代通信技术、办公自动化设备和电子计算机系统或工作站来实现事务处理、信息管理和决策支持的综合自动化。实现办公自动化的系统(OA系统)是建立在计算机网络基础上的一种分布式信息处理系统,所以又称办公信息系统。
随着信息时代的发展,为了达到提高办公效率以及实现无纸化办公等节能增效目标,当前企业基本都建立起了自己企业内部的办公自动化网络。企业的办公自动化网络通常都具有复杂的网络拓扑结构和广泛的地域覆盖范围,使用办公网络的人员分布于企业的各个层面,有机关部室人员也有基层作业人员,且年龄跨度大,既人员众多,又素质参差不齐。办公网络一般都是生产网络尤其是IT系统的物理载体,其承载的数据与企业生产的安全平稳紧密相关,这就造成企业对网络的依赖程度和对网络安全的要求很高。办公网络往往还与互联网有不同程度的连接,其安全会受到来自互联网上更多的威胁。
2 影响网络安全的因素
2.1 病毒感染与传播。计算机病毒是影响网络安全最主要的因素之一。计算机病毒是一种人为设计的特殊的寄生性计算机程序。这种程序一旦运行就可以自我复制,使自身从一个程序扩散到另一个程序,从一个计算机系统进入到另一个计算机系统并在一定条件下对计算机进行破坏,使计算机系统不能正常工作。通常具有如下危害:破坏系统,使系统崩溃,不能正常运转;破坏数据造成数据丢失;使你的电脑变的很慢;盗取你的数据信息如照片、密码、个人信息等;造成网络赌赛。计算机病毒具有很强的隐蔽性、感染性和极高的传播效率,新病毒及其变种产生的速度让很多杀毒软件防不胜防,是当前最主要的影响网络安全的因素之一。
2.2 黑客入侵。大型企业办公网络根据企业工作性质与互联网都有着或多或少的连接,只要有连接就不能完全排除黑客入侵的可能性。由于操作系统、通信协议、各类应用软件均不同程度的存在安全漏洞或安全缺陷,这都使黑客有了可乘之机,一旦遭遇入侵,整个内部网络将遭遇巨大的风险,很有可能造成数据、信息的篡改、毁坏,甚至全部丢失,导致系统崩溃、业务瘫痪,后果不堪设想。
2.3 设备软硬件故障。企业的办公网络系统均是由服务器、路由器、交换机以及光缆、双绞线、同轴电缆等硬件设备以及操作系统、应用软件等组成,任何一个环节出现故障都有可能造成网络通信的阻断以及系统的不能正常运转,都会给企业的正常办公造成影响。
2.4 人员操作不当或灾难造成数据损坏或丢失。由于员工的素质参差不齐,在企业办公自动化系统使用中经常会出现由于员工操作不当造成的数据损坏或丢失,甚至造成硬件设备的损坏。同时由于洪涝、地震等不可抗拒的自然灾害也会造成系统软硬件的破坏,无论是数据的丢失还是硬件设备的损坏都会对企业的运营造成严重的干扰和巨大的经济损失。
3 安全防范措施
3.1 与互联网设置隔离。通过路由器和防火墙在企业内部办公网络和外部互联网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。
3.2 优化网络结构。主要是根据企业组织架构或地理位置等情况将企业办公网络划分成许多相互独立的子网,并在子网间的路由器、防火墙等网络设备上设置特定的访问规则,按照管理要求约束各子网之间的访问权限,这样就可以降低不同部门或区域网络间的互相影响,减少木马、病毒等的扩散范围和传播速度,同时能避免非法用户对敏感数据的访问。通过对网络结构进行优化和调整可以有效的降低企业办公网络的安全风险,提高网络的稳定性。
3.3 VLAN(虚拟局域网)技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络物理拓扑结构基础上建立一个逻辑网络,它依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
3.4 机密数据安全。机密数据不能以明文方式在网络中传播,要用高强度加密算法进行加密,然后经由指定的安全渠道传输,并且让尽可能少的人接触。密钥的安全管理、及时更换和密钥分发方式都是影响加密数据安全的重要因素。
3.5 安全监控。安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹来有效的发现来自外部或内部的非法入侵;同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施。安全监控技术以探测和控制为主,起主动防御的作用。
3.6 安全漏洞检测。安全漏洞检测技术是指利用已知的攻击手段对系统进行弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相应服务等手段避免遭受攻击。
3.7 服务器安全。服务器通常既是企业办公网络的服务应用中心又是整个企业办公网络的数据中心,可以说服务器是整个企业办公网络系统的核心,服务器的稳定性是至关重要的。为了加强服务器的安全管理,在对服务器的配置过程中,要把握最小服务原则,尽可能的关闭不必要的网络服务,降低安全风险。并采取主机备份+负载均衡的模式部署,这样既可提高服务器的响应能力,又增强了数据安全提高服务可用性。同时日常还要做好定期数据备份以及设备硬件检测维护工作,以应对可能出现的各种数据损坏和提高服务器的稳定性和安全性。
3.8 终端安全。终端主要是指各应用客户端,往往是各种病毒木马的柄息地和实施攻击破坏的基地,这就需要对终端操作系统进行必要的安全配置。主要有以下几种具体手段:(1)关闭不必要的网络服务,设置符合安全规范的密码并定期更换以及禁用Guest用户等,这样可以减少病毒攻击的途径。(2)配置防火墙仅允许外部访问本机必要的网络服务,屏蔽已知流行病毒所使用的端口、IP地址等,减少被木马攻击和病毒感染的机会。(3)应该尽可能的关闭网络共享服务,采取其他方式传送文件。如果确实需要共享,那就尽可能减少共享内容,并进行严格的权限控制。(4)及时更新系统补丁以及安装并及时升级杀毒软件。
3.9 数据恢复。任何技术和手段都不能保证办公网络数据100%的安全,为了在数据遭到破坏后能尽快的让系统恢复正常运转以及最大程度的保证数据安全,这就涉及到了数据恢复技术,通常我们采用最多手段的就是建立数据备份方案。数据备份技术可以在数据遭到破坏时能快速的全盘恢复运行系统所需的数据和系统信息。数据备份方案不仅能在网络系统硬件故障或人为失误时起到保护作用,也在非法入侵或网络攻击等破坏数据完整性时起到保护作用,同时亦是系统瘫痪、崩溃等灾难恢复的前提之一。
4 结束语
随着网络技术的不断发展,企业办公网络安全问题随时变化,企业办公网络安全的维护不仅要从技术、设备上采取防范措施,还应当更加重视企业网络的安全管理和提高企业员工的网络安全意识,这样才能全面提高企业办公网络的安全性。
参考文献:
[1]蔡立军.计算机网络安全技术.北京:中国水利水电出版社,2002.
信息技术的迅猛发展极大地促进了网络在企业的普及应用,当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,来获得竞争优势。对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全,以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的,而是企业安全管理必须解决的问题。企业邮箱是公司架设的服务于公司内网用户的企业级邮箱。
1 网络安全管理系统的应用
公司通过使用莱恩塞克内网安全管理系统和金山毒霸网络版的配合使用,将公司整个网络设备对病毒的查、杀、防列入到网络管理体系当中。
1.1网络安全系统的需求分析
企业网络安全管理涉及的需求有诸多方面,仅就计算机网络系统集中管理、网络数据存储与备份管理,两方面进行说明。
1.1.1计算机网络系统集中管理
实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
1.1.2 网络数据存储备份管理
互联网与信息技术的蓬勃发展,在提高了各个行业企业日常业务运营效率的同时,也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富,企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护,并在故障出现时迅速准确的予以恢复,以最大限度减小企业可能的损失,实现业务的持续、正常运转。
1.2 网络安全系统的功能
系统投入使用以来,有效地解决了公司信息部门多年以来实际工作中遇到的网络管理难题,系统实现了对局域网内的所有设备的数量、型号以及配置的统计,还对突发故障及时报警和诊断,对最新病毒、黑客攻击进行报警判断并作出有效的控制,对软件的远程自动分发和恢复安装功能,通过分发使网内的各个终端计算机实时的进行系统升级以及防毒软件的日常升级需求。
1.3 网络安全系统的应用成果
对于近期危害严重的网络arp病毒一旦局域网内的计算机感染此病毒,由于此病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量导致网络瘫痪以往我们发现此类故障后只能现场查看网内每台机器来排查此病毒费时费力工作效率大大降低,现在通过金山毒霸网络版的病毒日志可以有效地得知病毒来源予以查杀,对于无法杀除病毒的机器通过莱恩塞克内网安全管理端对ip地址和MAC地址绑定功能控制交换机端口,禁止感染病毒的计算机进入网络,使网络中病毒的传播范围达到最小,把损失降到最低,还可以对内网机器准确的定位,有效杜绝了内部人员未经允许修改自己机器的ip地址,导致其它人员的ip地址被盗用,危险时会使网络内重要的服务器因ip地址被占用而停止服务的危险隐患。在信息中心利用管理软件得远程指导、远程维护功能可以对网内计算机操作人员的违规操作进行有效的监视,如上网、运行非法软件、记入到网络日志,并快速的提出警告。如果哪台机器感染病毒,迅速报警并采取措施。对于远程计算机的监视和控制就像操作自己的计算机一样,避免了跑路,提高效率。在信息中心可以统一向各计算机用户批量快速发送软件的升级补丁,发送信息,节省了人力,物力。
2 企业邮箱的应用
邮件系统,在办公自动化的今天,尤其显得重要。对于许多企业来说,离开了E-mail,工作已经不能顺畅的开展了。目前许多企业通过租用的外部邮箱系统的方式来解决邮件通讯问题。但租用的外部邮箱系统,除了需要花费昂贵的租金外,还不易于管理,同时在邮件安全、提高办公效率等都遇到了瓶颈。而拥有可靠的邮件系统是现代企业顺利发展的必要基础配置,也利于企业进一步提高自身形象。概括起来讲,企业邮箱达到的主要指标如下:
1)实现内外网络分离;
2)邮箱访问速度极快,内网用户文件上传下载文件速度可达10兆每秒;
3)邮箱拥有的公共地址簿,使用户使用邮箱时,方便得查找目的用户,提高了邮箱的使用效;
4)邮箱全部注册用户以真实身份进行注册,用户名称也使用真实姓名的英文拼写,防止了匿名内外网用户对网络安全的破坏,方便了管理员对网络安全的监控;
5)远程管理方便,管理员可以随时在互联网上对邮箱进行管理,提高了管理的效率;
6)邮箱正式运行后较稳定,邮件收发正确率,文件传输正确率100%,稳定运行时间95%以上。
4 结论
总的来说,一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后需要确保这个安全策略可以被彻底贯彻执行。最后,由于移动办公用户的存在,企业和网络经常处在变化中,需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,应该时刻具有主动性的眼光并在第一时刻更新的安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的,但这样做足可以使企业网络处于优势地位。
参考文献
[1]广域网与局域网.
[2]TCP/IP实用技术指南.
[3]网络分析与设计.
[4]计算机网络安全与加密技术.
[5]莱恩塞克内网安全管理使用手册.
[6]Winmail server技术使用手册.
关键词:企业网;计算机技术;网络安全
计算机技术在不断发展,广泛应用于各行各业,加速了企业的发展。计算机网络的应用,给企业带来了办公自动化、实时传递数据、及时发送电子邮件等便捷,其地位在企业的发展过程中占据了越来越重要的地位。但是,计算机网络的发展还不完善,存在一定的问题,如数据的丢失和被盗等问题,会严重影响企业的发展,因此,应对企业网的计算机网络安全提高重视。
一、计算机网络安全现有的问题
1.计算机系统安全
计算机系统及各类程序的正常运行是依据其操作系统程序的运行而得以实现的,因此,计算机操作系统程序是其基本程序。计算机的操作系统程序开发相对容易,但对其进行优化和升级的技术还不完善,存在漏洞,黑客可以通过系统漏洞从而入侵企业的计算机系统。
2.计算机病毒
计算机病毒的入侵可以对计算机的运行造成极大的损害,如导致计算机操作系统瘫痪、计算机数据丢失等问题。计算机病毒一般具有以下特征:破坏性、隐蔽性、潜伏性以及传染性。按其种类分可分为以下几种:木马病毒,蠕虫病毒,脚本病毒,间谍病毒。黑客可以通过计算机病毒攻击并控制计算机,窃取企业数据信息,对企业网的破坏极大。
3.网络攻击
黑客具有较强的计算机知识技术,他们可以通过非法攻击计算机系统,对计算机用户终端设备及计算机网络造成严重的破坏。黑客对计算机网络的攻击有以下方式:通过利用虚假的信息对网络进行攻击;通过利用计算机病毒控制计算机用户终端设备;通过网页的脚本漏洞对浏览网页的计算机用户进行攻击。
二、计算机网络安全的技术措施
1.安装防火墙
防火墙作为计算机网络安全技术,已经广泛应用于企业网中。防火墙技术可以从根本上对计算机病毒进行防范和控制。防火墙可以分为两种形式:应用级防火墙和包过滤防火墙。应用级防火墙可以保护服务器的安全,它通过对服务器终端的数据进行扫描,发现异常数据对计算机的攻击后,会及时断开企业网内网与服务器的联系,以保护企业网不受病毒的侵害。包过滤防火墙通过及时对路由器传输给计算机的数据进行过滤,阻挡计算机病毒进入计算机,并通知计算机用户对病毒信息进行拦截,保护企业网的安全。企业网防火墙安装如下图所示。
图 企业网防火墙安装
2.数据加密
数据加密技术是保证企业网网络安全的另一计算机安全技术。数据加密技术可以将企业网内的数据信息进行加密,在对数据进行传输和接收时需要输入正确的密码,从技术上提高了企业数据信息的安全。因此,企业想要保证和提高其数据信息的安全,必须在企业网中加强对数据加密技术的使用。数据加密通常使用两种算法,一是对称加密算法,即保持加密方法和解密方法的一致;二是非对称加密算法,即加密方法和解密方法不一致,以上两种加密方法已经广泛应用于企业网网络安全。
3.病毒查杀
及时对计算机进行病毒查杀可以提高企业网的网络安全。计算机病毒对计算机终端设备和计算机网络的危害极大,可造成网页脚本病毒、计算机数据信息被盗或丢失、计算机系统瘫痪等,使用病毒查杀软件可以及时检测和更新计算机的操作系统,修补系统漏洞,更新病毒数据库信息,对网页病毒进行拦截,对下载的文件、软件、邮件等进行病毒查杀后再进行查看或使用,以防止计算机病毒对企业网及计算机终端设备的损害。
4.入侵检测
入侵检测技术对企业网的安全具有重要意义,它会在不影响企业网网络运行的情况下,对企业网的网络运行的情况进行监测。入侵检测可以收集计算机相关的数据信息,并对计算机内可能存在的侵害自动进行寻找,在计算机受到侵害时,入侵检测会对用户发出警报,并切断入侵的途径,对其进行拦截,因此,入侵检测技术能加强计算机的抗攻击性,计算机的入侵检测包括误用监测和异常监测。误用监测响应快,误报率低,异常监测的误报率高,监测时需要全盘扫描计算机,两种入侵监测都需要的监测时间都较长。
三、结语
随着时代的发展,网络也在迅速发展,在市场经济不断发展的今天,企业想要在激烈的市场竞争中取得优势,必须大力发展其企业网网络。在发展企业网网络的同时,还应加强对网络安全的管理,提高企业网的安全性,以提高企业的效益。
参考文献:
[1]程宪宝,谢金荣.计算机网络安全技术在企业网的应用与研究[J].计算机光盘软件与应用,2012(05):53.
[2]杨玮红.计算机网络安全技术在网络安全维护中的应用初探[J].神州,2013(31):17.
[3]胡俊.计算机网络安全技术在网络安全维护中的应用研究[J].科技风,2014(15):67.