序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡安全威脅樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā)����,請盡情閱讀�。
第1篇
1 企業(yè)網(wǎng)絡信息安全的內(nèi)部威脅的分析
1.1 隨意更改IP地址
企業(yè)網(wǎng)絡使用者對于計算機IP地址的更改是常見的信息安全問題�,一方面更改IP地址后���,可能與其他計算機產(chǎn)生地址沖突,造成他人無法正常使用的問題�,另一方面更改IP的行為將使監(jiān)控系統(tǒng)無法對計算機的網(wǎng)絡使用進行追溯,不能準確掌握設備運行狀況�,出現(xiàn)異常運行等問題難以進行核查。
1.2 私自連接互聯(lián)網(wǎng)
企業(yè)內(nèi)部人員通過撥號或?qū)拵нB接的形式�,將計算機接入互聯(lián)網(wǎng)私自瀏覽網(wǎng)絡信息���,使企業(yè)內(nèi)部網(wǎng)絡與外界網(wǎng)絡環(huán)境的隔離狀態(tài)被打破�,原有設置的防火墻等病毒防護體系不能有效發(fā)揮作用,部分木馬、病毒將以接入外網(wǎng)的計算機為跳板����,進而侵入企業(yè)網(wǎng)絡內(nèi)部的其他計算機����。
1.3 隨意接入移動存儲設備
移動硬盤、U盤等移動存儲設備的接入是當前企業(yè)內(nèi)部網(wǎng)絡信息安全的最大隱患,部分企業(yè)內(nèi)部人員接入的移動存儲設備已經(jīng)感染了病毒���,而插入計算機的時候又未能進行有效的病毒查殺,這使得病毒直接侵入企業(yè)計算機���,形成企業(yè)信息數(shù)據(jù)的內(nèi)外網(wǎng)間接地交換,造成機密數(shù)據(jù)的泄漏���。
1.4 不良軟件的安裝
部分企業(yè)盡管投入了大量資金在內(nèi)部網(wǎng)絡建設與信息安全保護體系構(gòu)建之中����,但受版權(quán)意識不足�、軟件購置資金較少等原因的限制,一些企業(yè)在計算機上安裝的是盜版�、山寨軟件���,這些軟件一方面不能保證計算機的正常使用需求�,對企業(yè)內(nèi)部網(wǎng)絡的運行造成一定影響�,同時這些軟件還可能預裝了部分插件,用于獲取企業(yè)內(nèi)部資料信息,這都對內(nèi)網(wǎng)計算機形成了一定的威脅����。
1.5 人為泄密或竊取內(nèi)網(wǎng)數(shù)據(jù)資料
受管理制度不完善、監(jiān)控力度不完善等因素的影響����,一些內(nèi)部人員在企業(yè)內(nèi)部網(wǎng)絡中獲取了這些數(shù)據(jù)信息,通過攜帶的移動存儲設備進行下載保存����,或者連接到外網(wǎng)進行散播���,這是極為嚴重的企業(yè)網(wǎng)絡信息安全的內(nèi)部威脅問題�。
2 企業(yè)網(wǎng)絡信息安全的內(nèi)部威脅成因分析
2.1 企業(yè)網(wǎng)絡信息安全技術方面
我國計算機與網(wǎng)絡科學技術的研究相對滯后,在計算機安全防護系統(tǒng)和軟件方面的開發(fā)仍然無法滿足企業(yè)的實際需求�,缺少適合網(wǎng)絡內(nèi)部和桌面電腦的信息安全產(chǎn)品,這使得當前企業(yè)網(wǎng)絡內(nèi)部監(jiān)控與防護工作存在這漏洞�,使企業(yè)管理人員不能有效應對外部入侵����,同時不能對企業(yè)內(nèi)部人員的操作行為進行監(jiān)控管理����。
2.2 企業(yè)網(wǎng)絡信息安全管理方面
在企業(yè)中�,內(nèi)部員工對于信息安全缺乏準確的認知����,計算機和內(nèi)部網(wǎng)絡的使用較為隨意�,這給企業(yè)網(wǎng)絡安全帶來了極大的隱患。同時���,企業(yè)信息管理部門不能從自身實際情況出發(fā)����,完善內(nèi)部數(shù)據(jù)資料管理體系���,在內(nèi)部網(wǎng)絡使用上沒有相應的用戶認證以及權(quán)限管理,信息資料也沒有進行密級劃定,任何人都能隨意瀏覽敏感信息�。另外�,當前企業(yè)網(wǎng)絡信息安全的內(nèi)部威脅大多產(chǎn)生于內(nèi)部員工,企業(yè)忽視了對員工的信息安全管理����,部分離職員工仍能夠登錄內(nèi)部網(wǎng)絡���,這使得內(nèi)部網(wǎng)絡存在著極大的泄密風險。
3 企業(yè)網(wǎng)絡信息安全的內(nèi)部威脅解決對策
3.1 管控企業(yè)內(nèi)部用戶網(wǎng)絡操作行為
對企業(yè)內(nèi)部用戶網(wǎng)絡操作行為的管控是避免出現(xiàn)內(nèi)部威脅的重要方法����,該方法能夠有效避免企業(yè)網(wǎng)絡資源非法使用的風險����。企業(yè)網(wǎng)絡管理部門可在內(nèi)部計算機上安裝桌面監(jiān)控軟件���,為企業(yè)網(wǎng)絡信息安全管理構(gòu)筑首層訪問控制����,從而實現(xiàn)既定用戶在既定時間內(nèi)通過既定計算機訪問既定數(shù)據(jù)資源的控制����。企業(yè)應對內(nèi)部用戶或用戶組進行權(quán)限管理,將內(nèi)部信息數(shù)據(jù)進行密級劃分����,將不同用戶或用戶組能夠訪問的文件和可以執(zhí)行的操作進行限定����。同時,在用戶登錄過程中應使用密碼策略,提高密碼復雜性�,設置口令鎖定服務器控制臺���,杜絕密碼被非法修改的風險。
3.2 提高企業(yè)網(wǎng)絡安全技術水平
首先管理部門應為企業(yè)網(wǎng)絡構(gòu)建防火墻,對計算機網(wǎng)絡進程實施跟蹤����,從而判斷訪問網(wǎng)絡進程的合法性,對非法訪問進行攔截����。同時�,將企業(yè)網(wǎng)絡IP地址與計算機MAC地址綁定���,避免IP地址更改帶來的網(wǎng)絡沖����,同時對各計算機的網(wǎng)絡行為進行有效追蹤���,提高病毒傳播與泄密問題的追溯效率。另外,可通過計算機屬性安全控制的方式���,降低用戶對目錄和文件的誤刪除和修改風險。最后,應對企業(yè)網(wǎng)絡連接的計算機進行徹底的病毒查殺�,杜絕病毒的內(nèi)部蔓延。
3.3 建立信息安全內(nèi)部威脅管理制度
企業(yè)網(wǎng)絡信息安全管理工作的重點之一,就是制定科學而完善的信息安全管理制度,并將執(zhí)行措施落到實處���。其中�,針對部分企業(yè)人員將內(nèi)部機密資料帶離企業(yè)的行為���,在情況合理的條件下���,應進行規(guī)范化的登記記錄。針對企業(yè)網(wǎng)絡文件保存���,應制定規(guī)律的備份周期�,將數(shù)據(jù)信息進行匯總復制加以儲存�。針對離職員工,應禁止其帶走任何企業(yè)文件資料�,同時對其內(nèi)部網(wǎng)絡登錄賬號進行注銷���,防止離職員工再次登入內(nèi)部網(wǎng)絡����。
3.4 強化企業(yè)人員網(wǎng)絡安全培訓
加強安全知識培訓���,使每位計算機使用者掌握一定的安全知識����,至少能夠掌握如何備份本地的數(shù)據(jù)����,保證本地數(shù)據(jù)信息的安全可靠�。加大對計算機信息系統(tǒng)的安全管理���,防范計算機信息系統(tǒng)泄密事件的發(fā)生���。加強網(wǎng)絡知識培訓,通過培訓�,掌握IP地址的配置����、數(shù)據(jù)的共享等網(wǎng)絡基本知識,樹立良好的計算機使用習慣����。
4 結(jié)語
綜上所述�,信息安全是當前企業(yè)網(wǎng)絡應用和管理工作的要點之一���,企業(yè)應嚴格管控企業(yè)內(nèi)部用戶網(wǎng)絡操作行為,提高企業(yè)網(wǎng)絡安全技術水平�,建立信息安全內(nèi)部威脅管理制度�,強化企業(yè)人員網(wǎng)絡安全培訓,進而對企業(yè)網(wǎng)絡信息安全內(nèi)部威脅進行全面控制���,從而提高敏感信息與機密資料的安全性。
作者簡介
第2篇
保護企業(yè)網(wǎng)絡系統(tǒng)的軟件����、硬件及數(shù)據(jù)不遭受破壞、更改、泄露����,信息系統(tǒng)連續(xù)可靠地運行是企業(yè)網(wǎng)絡安全的基本要求。企業(yè)網(wǎng)絡安全分為物理安全和邏輯安全,邏輯安全是對信息的保密性���、完整性和可用性的保護���。物理安全是對計算機系統(tǒng)�、通信系統(tǒng)���、存儲系統(tǒng)和人員采取安全措施以確保信息不會丟失���、泄漏等���。目前企業(yè)網(wǎng)絡中缺乏專門的安全管理人員���,網(wǎng)絡信息化管理制度也不健全,導致了部分人為因素引發(fā)的企業(yè)網(wǎng)絡安全事故����。因此企業(yè)網(wǎng)絡安全必須從技術和管理兩個方面進行。
2企業(yè)網(wǎng)絡安全所面臨的威脅
企業(yè)網(wǎng)絡安全所面臨的威脅除了技術方面的因素外����,還有一部分是管理不善引起的。企業(yè)網(wǎng)絡安全面臨的威脅主要來自以下兩個方面�。
2.1缺乏專門的管理人員和相關的管理制度
俗話說“三分技術,七分管理”�,管理是企業(yè)信息化中重要的組成部分����。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業(yè)網(wǎng)絡安全的風險���,給企業(yè)網(wǎng)絡造成安全事故�。由于大部分企業(yè)沒有專門的網(wǎng)絡安全管理人員�,相關的網(wǎng)絡管理制度也不完善,實際運行過程中沒有嚴格要求按照企業(yè)的網(wǎng)絡安全管理制度執(zhí)行���。以至于部分企業(yè)選用了最先進的網(wǎng)絡安全設備,但是其管理員賬號一直使用默認的賬號����,密碼使用簡單的容易被猜中的密碼����,甚至就是默認的密碼。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關條款進行操作�,給系統(tǒng)留下巨大的安全隱患�,導致安全事故發(fā)生���。
2.2技術因素導致的主要安全威脅
企業(yè)網(wǎng)絡應用是架構(gòu)在現(xiàn)有的網(wǎng)絡信息技術基礎之上���,對技術的依賴程度非常高,因此不可避免的會有網(wǎng)絡信息技術的缺陷引發(fā)相關的安全問題,主要表現(xiàn)在以下幾個方面。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質(zhì)中����,當條件滿足時就會被激活����。企業(yè)網(wǎng)絡中的計算機一旦感染病毒���,會迅速通過網(wǎng)絡在企業(yè)內(nèi)部傳播���,可能導致整個企業(yè)網(wǎng)絡癱瘓或者數(shù)據(jù)嚴重丟失�。
2.2.2軟件系統(tǒng)漏洞
軟件的安全漏洞會被一些別有用心的用戶利用���,使軟件執(zhí)行一些被精心設計的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取����,從而引發(fā)安全事故���。
3企業(yè)網(wǎng)絡安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護制度���,結(jié)合企業(yè)自身的信息系統(tǒng)建設和應用的進程����,統(tǒng)籌規(guī)劃�,分步實施。做好安全風險的評估�、建立信息安全防護體系、根據(jù)信息安全策略制定管理制度���、提高安全管理水平����。企業(yè)內(nèi)部的用戶行為約束必須通過嚴格的管理制度進行規(guī)范。同時建立安全事件應急響應機制。配備專門的網(wǎng)絡安全管理員�,負責企業(yè)網(wǎng)絡的系統(tǒng)安全事務����。及時根據(jù)企業(yè)網(wǎng)絡的動向���,建立以預防為主�,事后補救為輔的安全策略����。細化安全管理員工作細則,如日常操作系統(tǒng)維護����、漏洞檢測及修補�、應用系統(tǒng)的安全補丁�、病毒防治等工作,并建立工作日志���。并對系統(tǒng)記錄文件進行存檔管理�。良好的日志和存檔管理,可以為預測攻擊����,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持�。
3.2防病毒技術
就目前企業(yè)網(wǎng)絡安全的情況來看���,網(wǎng)絡安全管理員主要是做好網(wǎng)絡防病毒的工作���,主流的技術有分布式殺毒技術�、數(shù)字免疫系統(tǒng)技術����、主動內(nèi)核技術等幾種。企業(yè)需要根據(jù)自身的實際情況�,靈活選用,確保殺毒機制的有效運行����。
3.3系統(tǒng)漏洞修補
現(xiàn)代軟件規(guī)模越來越大����,功能越來越多����,其中隱藏的系統(tǒng)漏洞也可能越來越多�。不僅僅是應用軟件本身的漏洞�,還有可能來自操作系統(tǒng)�,數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題���。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補丁。既可以購買專業(yè)的第三方補丁修補系統(tǒng)���,也可以使用軟件廠商自己提供的系統(tǒng)補丁升級工具����。確保操作系統(tǒng)�,數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的,管理員還要及時關注應用系統(tǒng)廠商提供的升級補丁的信息�,確保發(fā)現(xiàn)漏洞的第一時間更新補丁�,將系統(tǒng)漏洞的危害降到最低�。
4結(jié)束語
第3篇
1 網(wǎng)絡安全的定義
網(wǎng)絡安全問題不但是近些年來網(wǎng)絡信息安全領域經(jīng)常討論和研究的重要問題,也是現(xiàn)代網(wǎng)絡信息安全中亟待解決的關鍵問題。網(wǎng)絡安全的含義是保證整個網(wǎng)絡系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護���,不會因為網(wǎng)絡意外故障的發(fā)生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網(wǎng)絡系統(tǒng)的癱瘓。
網(wǎng)絡安全的本質(zhì)就是網(wǎng)絡中信息傳輸����、共享���、使用的安全����,網(wǎng)絡安全研究領域包括網(wǎng)絡上信息的完整性����、可用性、保密性和真實性等一系列技術理論���。而網(wǎng)絡安全是集合了互聯(lián)網(wǎng)技術�、計算機科學技術、通信技術�、信息安全管理技術、密碼學���、數(shù)理學等多種技術于一體的綜合性學科����。
2 網(wǎng)絡安全技術介紹
2.1 安全威脅和防護措施
網(wǎng)絡安全威脅指的是具體的人���、事���、物對具有合法性、保密性�、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略����、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種����,而故意安全威脅又可以分為被動安全威脅和主動安全威脅����。被動安全威脅包括對網(wǎng)絡中的數(shù)據(jù)信息進行監(jiān)聽����、竊聽等�,而不對這些數(shù)據(jù)進行篡改,主動安全威脅則是對網(wǎng)絡中的數(shù)據(jù)信息進行故意篡改等行為���。
2.2 網(wǎng)絡安全管理技術
目前�,網(wǎng)絡安全管理技術越來越受到人們的重視,而網(wǎng)絡安全管理系統(tǒng)也逐漸地應用到企事業(yè)單位����、政府機關和高等院校的各種計算機網(wǎng)絡中����。隨著網(wǎng)絡安全管理系統(tǒng)建設的規(guī)模不斷發(fā)展和擴大,網(wǎng)絡安全防范技術也得到了迅猛發(fā)展����,同時出現(xiàn)了若干問題,例如網(wǎng)絡安全管理和設備配置的協(xié)調(diào)問題����、網(wǎng)絡安全風險監(jiān)控問題、網(wǎng)絡安全預警響應問題�,以及網(wǎng)絡中大量數(shù)據(jù)的安全存儲和使用問題等等。
網(wǎng)絡安全管理在企業(yè)管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看���,網(wǎng)絡安全管理涉及到整個企業(yè)的策略規(guī)劃和流程����、保護數(shù)據(jù)需要的密碼加密����、防火墻設置、授權(quán)訪問�、系統(tǒng)認證、數(shù)據(jù)傳輸安全和外界攻擊保護等等���。
在實際應用中���,網(wǎng)絡安全管理并不僅僅是一個軟件系統(tǒng),它涵蓋了多種內(nèi)容����,包括網(wǎng)絡安全策略管理、網(wǎng)絡設備安全管理、網(wǎng)絡安全風險監(jiān)控等多個方面���。
2.3 防火墻技術
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術來防止未授權(quán)的訪問進行出入,是一個控制經(jīng)過防火墻進行網(wǎng)絡活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng),目的是為了保證整個網(wǎng)絡系統(tǒng)不受到任何侵犯�。
防火墻是根據(jù)企業(yè)的網(wǎng)絡安全管理策略來控制進入和流出網(wǎng)絡的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力�,所以可以作為企業(yè)不同網(wǎng)絡之間,或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口����。防火墻是保證網(wǎng)絡信息安全���、提供安全服務的基礎設施���,它不僅是一個限制器����,更是一個分離器和分析器���,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的數(shù)據(jù)信息交換,從而保證整個網(wǎng)絡系統(tǒng)的安全���。
將防火墻技術引入到網(wǎng)絡安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全���,很容易將信息暴露給網(wǎng)絡文件系統(tǒng)和網(wǎng)絡信息服務等這類不安全的網(wǎng)絡服務�,更容易受到網(wǎng)絡的攻擊和竊聽�。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議�,而TCP/IP的制定并沒有考慮到安全因素���,防火墻的設置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統(tǒng)安全的有效方法���。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動���。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估,并根據(jù)評價結(jié)果來判斷行為的正常性����,從而幫助系統(tǒng)管理人員采取相應的對策措施����。入侵檢測可分為:異常檢測�、行為檢測����、分布式免疫檢測等。
3 企業(yè)網(wǎng)絡安全管理系統(tǒng)架構(gòu)設計
3.1 系統(tǒng)設計目標
該文的企業(yè)網(wǎng)絡安全管理系統(tǒng)的設計目的是需要克服原有網(wǎng)絡安全技術的不足���,提出一種通用的、可擴展的����、模塊化的網(wǎng)絡安全管理系統(tǒng),以多層網(wǎng)絡架構(gòu)的安全防護方式����,將身份認證、入侵檢測、訪問控制等一系列網(wǎng)絡安全防護技術應用到網(wǎng)絡系統(tǒng)之中����,使得這些網(wǎng)絡安全防護技術能夠相互彌補����、彼此配合�,在統(tǒng)一的控制策略下對網(wǎng)絡系統(tǒng)進行檢測和監(jiān)控���,從而形成一個分布式網(wǎng)絡安全防護體系,從而有效提高網(wǎng)絡安全管理系統(tǒng)的功能性���、實用性和開放性。
3.2 系統(tǒng)原理框圖
該文設計了一種通用的企業(yè)網(wǎng)絡安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示���。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡安全管理中心作為整個企業(yè)網(wǎng)絡安全管理系統(tǒng)的核心部分����,能夠在同一時間與多個網(wǎng)絡安全終端連接,并通過其對多個網(wǎng)絡設備進行管理�,還能夠提供處理網(wǎng)絡安全事件�、提供網(wǎng)絡配置探測器���、查詢網(wǎng)絡安全事件���,以及在網(wǎng)絡中發(fā)生響應命令等功能�。
網(wǎng)絡安全是以分布式的方式���,布置在受保護和監(jiān)控的企業(yè)網(wǎng)絡中���,網(wǎng)絡安全是提供網(wǎng)絡安全事件采集����,以及網(wǎng)絡安全設備管理等服務的�,并且與網(wǎng)絡安全管理中心相互連接。
網(wǎng)絡設備管理包括了對企業(yè)整個網(wǎng)絡系統(tǒng)中的各種網(wǎng)絡基礎設備、設施的管理。
網(wǎng)絡安全管理專業(yè)人員能夠通過終端管理設備���,對企業(yè)網(wǎng)絡安全管理系統(tǒng)進行有效的安全管理�。
3.2.2 系統(tǒng)網(wǎng)絡安全管理中心組件功能
系統(tǒng)網(wǎng)絡安全管理中心核心功能組件:包括了網(wǎng)絡安全事件采集組件、網(wǎng)絡安全事件查詢組件、網(wǎng)絡探測器管理組件和網(wǎng)絡管理策略生成組件。網(wǎng)絡探測器管理組件是根據(jù)網(wǎng)絡的安全狀況實現(xiàn)對模塊進行添加�、刪除的功能���,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進行選擇�,找出與功能相互匹配的模塊���,將它們添加到網(wǎng)絡安全探測器上���。網(wǎng)絡安全事件采集組件是將對網(wǎng)絡安全事件進行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中���。網(wǎng)絡安全事件查詢組件是為企業(yè)網(wǎng)絡安全專業(yè)管理人員提供對網(wǎng)絡安全數(shù)據(jù)庫進行一系列操作的主要結(jié)構(gòu)���。而網(wǎng)絡管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡安全事件分析結(jié)果進行自動查詢,并將管理策略發(fā)送給網(wǎng)絡安全���。
系統(tǒng)網(wǎng) 絡安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡安全事件數(shù)據(jù)庫���、網(wǎng)絡探測器模塊數(shù)據(jù)庫����,以及網(wǎng)絡響應策略數(shù)據(jù)庫�。網(wǎng)絡探測器模塊數(shù)據(jù)庫是由核心功能組件進行添加和刪除的����,它主要是對安裝在網(wǎng)絡探測器上的功能模塊進行存儲���。網(wǎng)絡安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡安全事件進行分析和統(tǒng)計,主要用于對各種網(wǎng)絡安全事件的存儲。網(wǎng)絡相應策略數(shù)據(jù)庫是對輸入網(wǎng)絡安全事件的分析結(jié)果反饋相應的處理策略����,并且對各種策略進行存儲����。
3.3 系統(tǒng)架構(gòu)特點
3.3.1 統(tǒng)一管理���,分布部署
該文設計的企業(yè)網(wǎng)絡安全管理系統(tǒng)是采用網(wǎng)絡安全管理中心對系統(tǒng)進行部署和管理����,并且根據(jù)網(wǎng)絡管理人員提出的需求�,將網(wǎng)絡安全分布地布置在整個網(wǎng)絡系統(tǒng)之中����,然后將選取出的網(wǎng)絡功能模塊和網(wǎng)絡響應命令添加到網(wǎng)絡安全上,網(wǎng)絡安全管理中心可以自動管理網(wǎng)絡安全對各種網(wǎng)絡安全事件進行處理���。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡安全管理中心和網(wǎng)絡安全采用的都是模塊化的設計方式,如果需要在企業(yè)網(wǎng)絡管理系統(tǒng)中增加新的網(wǎng)絡設備或管理策略時���,只需要對相應的新模塊和響應策略進行開發(fā)實現(xiàn)�,最后將其加載到網(wǎng)絡安全中����,而不必對網(wǎng)絡安全管理中心、網(wǎng)絡安全進行系統(tǒng)升級和更新����。
3.3.3 分布式多級應用
對于機構(gòu)比較復雜的網(wǎng)絡系統(tǒng)�,可使用多管理器連接�,保證全局網(wǎng)絡的安全。在這種應用中���,上一級管理要對下一級的安全狀況進行實時監(jiān)控,并對下一級的安全事件在所轄范圍內(nèi)進行及時全局預警處理�,同時向上一級管理中心進行匯報�。網(wǎng)絡安全主管部門可以在最短時間內(nèi)對全局范圍內(nèi)的網(wǎng)絡安全進行嚴密的監(jiān)視和防范����。
4 結(jié)論
隨著網(wǎng)絡技術的飛速發(fā)展,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù)���,這些數(shù)據(jù)在網(wǎng)絡中進行傳輸和使用���,隨著網(wǎng)絡安全技術的不斷更新和發(fā)展���,新型的網(wǎng)絡安全設備也大量出現(xiàn),由此,企業(yè)對于網(wǎng)絡安全的要求也逐步提升�,因此����,該文設計的企業(yè)網(wǎng)絡安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值�。
參考文獻:
第4篇
[關鍵詞]煙草企業(yè);網(wǎng)絡安全防護;體系建設
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發(fā)展����,國內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡提高生產(chǎn)管理銷售水平�,打造信息化時代下的現(xiàn)代煙草企業(yè)����。但享受網(wǎng)絡帶來便捷的同時�,也正遭受到諸如病毒����、木馬等網(wǎng)絡威脅給企業(yè)信息安全方面帶來的影響�。因此���,越來越多的煙草企業(yè)對如何強化網(wǎng)絡安全防護體系建設給予了高度關注。
1 威脅煙草企業(yè)網(wǎng)絡信息體系安全的因素
受各種因素影響,煙草企業(yè)網(wǎng)絡信息體系正遭受到各種各樣的威脅。
1.1 人為因素
人為的無意失誤����,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強����,用戶口令選擇不慎���,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅����。人為的惡意攻擊���,這是計算機網(wǎng)絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類�。此類攻擊又可以分為以下兩種:一種是主動攻擊�,它以各種方式有選擇地破壞信息的有效性和完整性����;另一種是被動攻擊�,他是在不影響網(wǎng)絡正常工作的情況下���,進行截獲����、竊取與破譯等行為獲得重要機密信息。
1.2 軟硬件因素
網(wǎng)絡安全設備投資方面,行業(yè)在防火墻���、網(wǎng)管設備���、入侵檢測防御等網(wǎng)絡安全設備配置方面處于領先地位,但各類應用系統(tǒng)、數(shù)據(jù)庫�、軟件存在漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞����、匿名FTP等���,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標�。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡內(nèi)部的事件����,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的���,一般不為外人所知,一旦被破解����,其造成的后果將不堪設想。另外���,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等���,都使企業(yè)安全防護網(wǎng)絡遭受嚴重威脅。
1.3 結(jié)構(gòu)性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡安全防護體系結(jié)構(gòu)���,多數(shù)采用的是混合型結(jié)構(gòu),星形和總線型結(jié)構(gòu)重疊并存����,相互之間極易產(chǎn)生干擾����。利用系統(tǒng)存在的漏洞和“后門”����,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡使用者因系統(tǒng)過于復雜而導致錯誤操作,都可能造成網(wǎng)絡安全問題。
2 煙草企業(yè)網(wǎng)絡安全防護體系建設現(xiàn)狀
煙草企業(yè)網(wǎng)絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1 業(yè)務應用集成整合不足
不少煙草企業(yè)防護系統(tǒng)在建設上過于單一化、條線化�,影響了其縱向管控上的集成性和橫向供應鏈上的協(xié)同性����,安全防護信息沒有實現(xiàn)跨部門、跨單位�、跨層級上的交流����,相互之間不健全的信息共享機制�,滯后的信息資源服務決策,影響了信息化建設的整體效率�。缺乏對網(wǎng)絡安全防護體系建設的頂層設計����,致使信息化建設未能形成整體合力�。
2.2 信息化建設特征不夠明顯
網(wǎng)絡安全防護體系建設是現(xiàn)代煙草企業(yè)的重要標志�,但如基礎平臺的集成性、基礎設施的集約化���、標準規(guī)范體系化等方面的建設工作都較為滯后。主營煙草業(yè)務沒有同信息化建設高度契合����,對影響企業(yè)發(fā)展的管理制度����、業(yè)務需求����、核心數(shù)據(jù)和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協(xié)調(diào),致使在信息化建設中,業(yè)務���、管理、技術“三位一體”的要求并未落到實處,影響了網(wǎng)絡安全防護的效果����。
2.3 安全運維保障能力不足
缺乏對運維保障工作的正確認識�,其尚未完全融入企業(yè)信息化建設的各個環(huán)節(jié)�,加上企業(yè)信息化治理模式構(gòu)建不成熟等原因,制約了企業(yè)安全綜合防范能力與運維保障體系建設的整體效能�,導致在網(wǎng)絡威脅的防護上較為被動�,未能做到主動化�、智能化分析,導致遭受病毒���、木馬、釣魚網(wǎng)站等反復侵襲����。
3 加強煙草企業(yè)網(wǎng)絡安全防護體系建設的策略
煙草企業(yè)應以實現(xiàn)一體化數(shù)字煙草作為建設目標�,秉承科學頂層設計�、合理統(tǒng)籌規(guī)劃���、力爭整體推進的原則����,始終堅持兩級主體、協(xié)同建設和項目帶動的模式�,按照統(tǒng)一架構(gòu)���、安全同步���、統(tǒng)一平臺的技術規(guī)范�,才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設和諧共生�。
3.1 遵循網(wǎng)絡防護基本原則
煙草企業(yè)在建設安全防護網(wǎng)絡時,應明白建設安全防護網(wǎng)絡的目標與原則����,清楚網(wǎng)絡使用的性質(zhì)����、主要使用人員等基本情況���。并在邏輯上對安全防護網(wǎng)絡進行合理劃分���,不同區(qū)域的防御體系應具有針對性���,相互之間邏輯清楚、調(diào)用清晰,從而使網(wǎng)絡邊界更為明確�,相互之間更為信任���。要對已出現(xiàn)的安全問題進行認真分析���,并歸類統(tǒng)計,大的問題盡量拆解細分����,類似的問題歸類統(tǒng)一���,從而將復雜問題具體化���,降低網(wǎng)絡防護工作的難度�。對企業(yè)內(nèi)部網(wǎng)絡來說�,應以功能為界限來劃分,以劃分區(qū)域為安全防護區(qū)域���。同時,要不斷地完善安全防護體系建設標準�,打破不同企業(yè)之間網(wǎng)絡安全防護體系的壁壘����,實現(xiàn)信息資源更大程度上的互聯(lián)互通����,從而有效地提升自身對網(wǎng)絡威脅的抵御力。
3.2 合理確定網(wǎng)絡安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡過程中����,不同的區(qū)域所擔負的角色是不同的����。為此�,內(nèi)部網(wǎng)絡,在設計之初����,應以安全防護體系����、業(yè)務操作標準���、網(wǎng)絡使用行為等為標準對區(qū)域進行劃分����。同時���,對生產(chǎn)���、監(jiān)管����、流通、銷售等各個環(huán)節(jié)����,要根據(jù)其業(yè)務特點強化對應的網(wǎng)絡使用管理制度�,既能實現(xiàn)網(wǎng)絡安全更好防護�,也能幫助企業(yè)實現(xiàn)更為科學的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡安全區(qū)域進行劃分時�,不能以偏概全����、一蹴而就����,應本著實事求是的態(tài)度,根據(jù)企業(yè)實際情況���,以現(xiàn)有的網(wǎng)絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果�。
3.3 大力推行動態(tài)防護措施
根據(jù)網(wǎng)絡入侵事件可知����,較為突出的問題有病毒更新?lián)Q代快���、入侵手段與形式日趨多樣�、病毒防護效果滯后等。為此,煙草企業(yè)在構(gòu)建網(wǎng)絡安全防護體系時�,應根據(jù)不同的威脅形式確定相應的防護技術���,且系統(tǒng)要能夠隨時升級換代���,從而提升總體防護力���。同時���,要定期對煙草企業(yè)所遭受的網(wǎng)絡威脅進行分析���,確定系統(tǒng)存在哪些漏洞�、留有什么隱患����,實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡應急機制,在系統(tǒng)遭受重大網(wǎng)絡威脅而癱瘓時,確保在最短的時間內(nèi)恢復系統(tǒng)的基本功能�,為后期確定問題原因與及時恢復系統(tǒng)留下時間�,并且確保企業(yè)業(yè)務的開展不被中斷�,不會為企業(yè)帶來很大的經(jīng)濟損失。另外,還應大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作���,構(gòu)建病毒防護戰(zhàn)略聯(lián)盟,為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡防護效果提供堅實的技術支撐。
3.4 構(gòu)建專業(yè)防護人才隊伍
人才是網(wǎng)絡安全防護體系的首要資源���,缺少專業(yè)性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業(yè)網(wǎng)絡安全防護的工作專業(yè)性很強���,既要熟知信息安全防護技術���,也要對煙草企業(yè)生產(chǎn)全過程了然于胸�,并熟知國家政策法規(guī)等制度。因此����,煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡信息安全防護人才隊伍�,要采取定期選送���、校企聯(lián)訓���、崗位培訓等方式�,充分挖掘內(nèi)部人力資源,提升企業(yè)現(xiàn)有信息安全防護人員的能力素質(zhì)���,也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作�,引進高素質(zhì)專業(yè)技術人才�,從而為企業(yè)更好地實現(xiàn)信息安全防護效果打下堅實的人才基礎����。
3.5 提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳�,系統(tǒng)也不能取得好的效果�。煙草企業(yè)要設立專門的信息管理培訓中心����,統(tǒng)一對企業(yè)網(wǎng)絡安全防護系統(tǒng)進行管理培訓,各部門����、各環(huán)節(jié)也要設立相應崗位�,負責本崗位的網(wǎng)絡使用情況���。賬號使用�、信息���、權(quán)限確定等,都要置于信息管理培訓中心的制約監(jiān)督下���,都要在網(wǎng)絡使用制度的規(guī)則框架中,杜絕違規(guī)使用網(wǎng)絡�、肆意泄露信息等現(xiàn)象的發(fā)生���。對全體員工開展網(wǎng)絡安全教育���,提升其網(wǎng)絡安全防護意識,使其認識到安全防護體系的重要性����,從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡�。
4 結(jié) 語
煙草企業(yè)管理者必須清醒認識到�,利用信息網(wǎng)絡加快企業(yè)升級換代、建設一流現(xiàn)代化煙草企業(yè)是行業(yè)所向�、大勢所趨����,絕不能因為網(wǎng)絡存在安全威脅而固步自封���、拒絕進步���。但也要關注信息化時代下網(wǎng)絡安全帶來的挑戰(zhàn)�,以實事求是的態(tài)度,大力依托信息網(wǎng)絡安全技術����,構(gòu)建更為安全的防護體系,為企業(yè)做大做強奠定堅實的基礎。
主要參考文獻
[1]楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡安全防護體系研究[J].計算機與信息技術,2012(5).
第5篇
網(wǎng)絡安全威脅的主要來源。網(wǎng)絡安全的威脅是現(xiàn)代企業(yè)管理中經(jīng)常會遇到的安全性問題,網(wǎng)絡安全的來源具有不同的渠道和類型���。在傳統(tǒng)的理解中,網(wǎng)絡安全威脅主要是病毒感染�,但是�,網(wǎng)絡技術不斷升級的情況下���,網(wǎng)絡安全更多的是對網(wǎng)絡的非法入侵�,對網(wǎng)絡的攻擊和訪問。在大型企業(yè)中���,網(wǎng)絡安全的來源既有內(nèi)網(wǎng)的威脅,也有外網(wǎng)的威脅����,而內(nèi)網(wǎng)的威脅遠比外網(wǎng)的威脅要大得多����,如果內(nèi)網(wǎng)遭到攻擊����,那么,對大型企業(yè)的危害則是深入的。網(wǎng)絡的安全隱患主要包括病毒�、木馬或者惡意軟件的侵襲���,網(wǎng)絡黑客的攻擊����,文件或者郵件被非法竊聽與訪問���,重要部門的信息被訪問同時造成泄漏�,外網(wǎng)的非法入侵,備份數(shù)據(jù)和存儲媒體的損壞和丟失。針對于企業(yè)網(wǎng)絡安全的認知誤區(qū)���。對網(wǎng)絡安全的認知過程�,是網(wǎng)絡安全進行威脅處理的重要思想基礎。在很多人都意識中,網(wǎng)絡安全不是特別重要的事情���,甚至認為只要是安裝了防火墻,或者安裝了防病毒的工具,使用了加密技術或者對數(shù)據(jù)進行了必要的保存,就不會遭到網(wǎng)絡攻擊,而實際上網(wǎng)絡安全威脅遠比意識中的要嚴重和復雜的多�。例如防火墻的主要作用是用來控制兩個網(wǎng)絡之間的訪問���,它主要是限制互聯(lián)網(wǎng)之間的來往����,防火墻是隔離技術���,在不同的網(wǎng)絡之間控制安全域信息的出入。防火墻的主要工作就是控制存取和過濾封包,對針對于工作性的措施進行防范。但是���,在網(wǎng)絡安全威脅中,如果攻擊行為越過防火墻,防火墻就沒有多大的用處了���。防火墻用于防止外部入侵,而無法防止內(nèi)部入侵。還有人認為殺毒軟件很有作用,殺毒軟件是防止病毒的入侵���,對系統(tǒng)中的病毒進行查殺,但是,在實際應用中可以發(fā)展�,很多殺毒軟件的功能都落后于病毒的更新���,而且每一臺機器的殺毒軟件�,都是把重心集中在網(wǎng)絡防毒的系統(tǒng)管理上�。如果沒有網(wǎng)絡作為依托,殺毒軟件就會失去單擊操作的能力。
1大型企業(yè)網(wǎng)絡安全的設計
(1)大型企業(yè)網(wǎng)絡安全的主要需求���。企業(yè)網(wǎng)絡安全的主要需求是根據(jù)具體業(yè)務的發(fā)展而確定的。以國家電網(wǎng)的電力企業(yè)為例,在網(wǎng)絡安全上����,需要建立具有Web和Mail等服務器和辦公區(qū)客戶機���,企業(yè)的各個部門之間能夠進行相互的聯(lián)系,同樣�,也要進行必要的隔離����。大型企業(yè)網(wǎng)絡安全的設計中�,主要的需求就是對網(wǎng)絡設備進行組網(wǎng)規(guī)劃,對網(wǎng)絡系統(tǒng)的可用性進行保護�,對網(wǎng)絡系統(tǒng)的服務設施連續(xù)性設計�,防止網(wǎng)絡資源的非法訪問�,防止入侵者的惡意破壞,保護企業(yè)信息的機密性和完整性����,防范病毒的侵害�,對網(wǎng)絡進行安全管理���。以電力企業(yè)為例�,對網(wǎng)絡安全的需要主要是對業(yè)務的辦理和系統(tǒng)的改造,要求企業(yè)的網(wǎng)絡具有穩(wěn)定性���,能夠保證各種信息的安全,防止圖紙或者文檔的丟失�。
(2)大型企業(yè)網(wǎng)絡設計的功能�。在企業(yè)的發(fā)展建設中����,應用計算機網(wǎng)絡進行運營控制,提高了企業(yè)的經(jīng)營和管理效力���,但是,因為技術性的原因���,也給網(wǎng)絡安全帶來的隱患。企業(yè)對于網(wǎng)絡設計的功能主要可以體現(xiàn)在企業(yè)要求最資源進行共享�。也就是說在網(wǎng)絡內(nèi)部企業(yè)的各個部門都能夠共享數(shù)據(jù)庫����,共享打印機����,形成辦公自動化的良好秩序����。對于大型企業(yè)而言,業(yè)務繁多�,辦公自動化非常重要���,通過辦公自動化能夠形象高效率的工作方式�。在通信服務方面����,通過廣域網(wǎng)能夠隨時接發(fā)郵件,實現(xiàn)Web應用����,同時���,接入互聯(lián)網(wǎng)實現(xiàn)網(wǎng)絡的訪問����,這樣可以使企業(yè)能夠隨時在網(wǎng)絡上進行查詢,能夠保證最新鮮資訊有明確的了解���。
(3)大型企業(yè)網(wǎng)絡設計的原則。大型企業(yè)的網(wǎng)絡設計原則主要是以企業(yè)的運行為基礎����,以提高企業(yè)的運行效率為根本�。在設計原則上需要掌握:第一���,應用的便捷性����。網(wǎng)絡系統(tǒng)要以應用為前提�,在實用性和經(jīng)濟方面具有絕對性優(yōu)勢,通過建立企業(yè)的網(wǎng)絡系統(tǒng)�,能夠把企業(yè)統(tǒng)一到一個資源共享的平臺���。在資源利用上�,保持好良好的狀態(tài)���。第二�,技術的成熟性。網(wǎng)絡系統(tǒng)設計需要進行不斷的更新,以先進的技術和方法����,引領網(wǎng)絡發(fā)展���。企業(yè)的運行中����,涉及的部門多�,業(yè)務種類多,這就要求網(wǎng)絡系統(tǒng)對設備和工具十分熟悉����,在網(wǎng)絡的支撐下����,能夠完成各個部門的具體化工作�。第三,系統(tǒng)的穩(wěn)定性����。大型企業(yè)依靠網(wǎng)絡進行的工作很多���,這就網(wǎng)絡系統(tǒng)一定要具有超高的穩(wěn)定性,在技術措施上�,系統(tǒng)管理中���,廠商技術中�,維修能力方面都要能夠隨時確保系統(tǒng)的運行可靠性���。如果網(wǎng)絡系統(tǒng)運行不穩(wěn)定����,就會給整體企業(yè)的運營帶來時時的危險性。例如大型電力企業(yè)中����,如果網(wǎng)絡不穩(wěn)定�,就會造成數(shù)據(jù)采集不穩(wěn)定�,就會給整體信息收集帶來不良后果。
(4)具體應用技術的實施。在技術應用上,需要從網(wǎng)絡安全的內(nèi)部和外部進行綜合控制���。在位置選擇上,需要選擇具有防震、防風和防雨功能的建筑物�,機房承重要求要滿足設計要求����,避免強磁場,強噪聲的環(huán)境,避免重度污染的環(huán)境�,避免容易發(fā)生火災的環(huán)境�。電力供應方面要選擇穩(wěn)定的電壓�,設置電壓防護設備,能夠提供短期備用電的地方。在電磁防護方面,采用接地方式防止外界干擾�,電線和通信線路要進行必要的隔離�,防止二者之間相互干擾����。在訪問權(quán)限上實施控制策略,企業(yè)的決策層,財務層����,市場運營管理和生產(chǎn)層,都要進行分級別的VPN設計���,各個VPN層級要有明確的區(qū)分。
2大型企業(yè)網(wǎng)絡安全解決方案的實現(xiàn)
(1)確保網(wǎng)絡企業(yè)的物理安全����。網(wǎng)絡安全的前提和基礎性條件就是物理條件�,在物理安全上���,要重視環(huán)境設置����。在機房環(huán)境安全上,要將信息系統(tǒng)的計算機硬件���,網(wǎng)絡設施等進行統(tǒng)一的管理。防止自然災害����,物理性損壞和設備故障����,電磁輻射���,痕跡泄漏���,操作失誤���,意外疏漏等����。在傳輸介質(zhì)的選擇上���,要配有支持屏功能的連接器件�,介質(zhì)要具有良好的接地功能,能夠?qū)Ω蓴_嚴重的區(qū)域使用屏蔽線,增強抗干擾能力���。在傳輸介質(zhì)上,光纖具有明顯的優(yōu)勢。
(2)形成網(wǎng)絡防火墻的優(yōu)化配置����。網(wǎng)絡防護墻對于網(wǎng)絡安全是一項重要的技術類型���,網(wǎng)絡防火墻在配置過程中要掌握好����,防火墻選擇的數(shù)碼類型���,或者防火墻和VPN功能的結(jié)合�,在防火墻的設計上,確定好源域���,源地址對象,目的域���,目的地址對象。防火墻要設置全局訪問策略���,在域內(nèi)或者域間進行訪問,內(nèi)部網(wǎng)絡為信任區(qū)域,外部網(wǎng)絡為不信任區(qū)域����。防火墻允許外部網(wǎng)絡訪問����,但是不能進行內(nèi)部訪問�,中間位置的訪問需要進行權(quán)限設置。網(wǎng)絡防火墻的優(yōu)化配置,是形成網(wǎng)絡防護的重要方式�,網(wǎng)絡防火墻的設計對于網(wǎng)絡安全是重要的技術措施���。
(3)實現(xiàn)網(wǎng)絡VPN的準確對接�。在網(wǎng)絡技術不斷進步的過程中�,對網(wǎng)絡安全解決的方案也逐漸進行完善。網(wǎng)絡安全需要建立多重防御體系�,同時在商業(yè)及技術機密上�,要做好多種防范措施�。大型企業(yè)是國家經(jīng)濟建設的重要組成部分,是創(chuàng)造經(jīng)濟效益和社會效益的集合體���。網(wǎng)絡的VPN功能主要是通過防火墻實現(xiàn),在設計中主要是通過PPTP協(xié)議來是網(wǎng)絡VPN����,因此�,首要的任務就是增加PPTP地址池�,在PPTP設置中,選擇Chap加密認證�。
(4)構(gòu)建網(wǎng)絡防病毒多重體系�。網(wǎng)絡安全解決方案中防病毒體系的構(gòu)建至關重要���。通過防病毒體系的構(gòu)建����,可以針對企業(yè)網(wǎng)絡安全的現(xiàn)狀進行設計,通過建立多種防病毒方案,確保在簡單或者復雜的網(wǎng)絡環(huán)境下,都能夠設計出適應大型企業(yè)運行情況的計算機病毒防護系統(tǒng)����,這種系統(tǒng)可以適應多臺機器���,可以適用于多個服務器����,在不同的超大型網(wǎng)絡中���,能夠具有先進的系統(tǒng)結(jié)構(gòu)����,超強的殺毒能力�,有效的遠程控制力,可以方便進行分級和分組管理。
3結(jié)語
現(xiàn)代化的企業(yè)采用的方式也是現(xiàn)代化的����,現(xiàn)代化的技術具有明顯的優(yōu)勢���,同時���,也存在一定的弊端���。網(wǎng)絡信息資源的共享���,為企業(yè)發(fā)展提供了智力支持���,但也給企業(yè)帶來了很多不安全的因素����。對于大型企業(yè)的網(wǎng)絡安全而言�,要從技術上和管理上進行控制,通過有效的管理手段和升級化的技術���,突出技術與管理的融合,實現(xiàn)網(wǎng)絡安全的有效控制���。
參考文獻
[1]彭長艷.空間網(wǎng)絡安全關鍵技術研究[J].國防科學技術大學����,2010.
[2]阿萊.計算機網(wǎng)絡安全問題及解決策略初探[J].信息與電腦(理論版)����,2012.
[3]卜祥飛.大型企業(yè)網(wǎng)絡信息安全問題與解決方案[J].全國冶金自動化信息網(wǎng)2012年年會論文集���,2012.
[4]周未����,張宏,李千目�,郭萍.計算機與信息技術[J]���,2011.
第6篇
關鍵詞:企業(yè)�;網(wǎng)絡�;系統(tǒng);安全�;虛擬化���;信息化
一���、 企業(yè)網(wǎng)的組成和所面臨的安全威脅
(一) 企業(yè)網(wǎng)的組成
企業(yè)網(wǎng)一般由兩個大的功能區(qū)域組成:企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)���。我們可以邏輯上把這兩大區(qū)域進一步劃分成若干個模塊���,企業(yè)內(nèi)網(wǎng)包括管理模塊���、核心模塊����、分布層模塊���、服務器模塊和邊界接入模塊五部分���。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠程接入模塊兩個部分���。不同模塊實現(xiàn)不同的功能�,各自的安全需要也有所不同, 需要實施相應的安全策略���。模塊與模塊之間的安全策略相互影響���、相互作用并互為補充�。典型的大型企業(yè)網(wǎng)絡架構(gòu)如下圖:
(二) 企業(yè)網(wǎng)面臨的安全威脅
1. 來自內(nèi)部用戶的安全威脅
大多數(shù)威脅來自于內(nèi)部網(wǎng)絡, 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源����。
2. 來自外部網(wǎng)絡的安全威脅
隨著信息技術的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切����。它們之間不可避免的需要通過網(wǎng)絡交換信息及共享資源����。同時, 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對外提供的公共服務器上的信息,由于信息資源的共享同時也給企業(yè)網(wǎng)的內(nèi)、外網(wǎng)安全帶來了一系列的挑戰(zhàn)���。
二、 企業(yè)內(nèi)網(wǎng)的安全設計
企業(yè)內(nèi)網(wǎng)包括管理模塊�、核心模塊�、分布層模塊�、服務器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應的安全措施, 以及與其它模塊之間的關系�。
(一) 管理模塊
管理模塊的主要功能是實現(xiàn)企業(yè)網(wǎng)絡的所有設備和服務器的安全管理�。所面臨最主要的安全威脅有未授權(quán)接入���、口令攻擊�、中間人攻擊等�,為了消除以上管理模塊面臨的安全威脅,應采取以下的安全措施:
1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離,包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec、SSH等加密傳輸�。
2. 采用強力的認證授權(quán)技術對管理信息進行認證和授權(quán)����,可以通過采用AAA認證和雙因素認證技術, 保證只有合法的用戶才能管理相應設備, 并能夠防止密碼泄漏和對密碼竊聽。
3. 采用完善的安全審計技術對整個網(wǎng)絡(或重要網(wǎng)絡部分)的運行進行記錄和分析,可以通過對記錄的日志數(shù)據(jù)進行分析、比較,找出發(fā)生的網(wǎng)絡安全問題的原因,并為今后網(wǎng)絡整改提供依據(jù)���。
4. 部署網(wǎng)絡入侵檢測系統(tǒng),從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進行實時的分析并及時發(fā)現(xiàn)可能的入侵行為。
由于管理模塊全網(wǎng)可達, 且能夠?qū)θW(wǎng)的所有設備和服務器進行管理���,所以它的安全防護策略應該是全網(wǎng)最嚴格的。
(二) 核心模塊
核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽、功能區(qū)域劃分模糊和如何實現(xiàn)快速故障隔離����。當多種應用流量運行在核心模塊時���,如何防止不同應用流量被竊聽篡改�、如何對不同應用區(qū)域進行分類保護���、如何在核心模塊故障發(fā)生時進行有效快速的故障隔離成了當務之急�。
核心模塊的主要設備是三層交換機, 三層交換架構(gòu)是消除分組竊聽威脅的有效手段,而核心三層交換機的虛擬化技術則可以解決核心功能區(qū)域的精細劃分、實現(xiàn)有效快速的隔離故障,提高系統(tǒng)的可用性,防止級聯(lián)式的服務中斷。通過核心交換機的虛擬化技術還可實現(xiàn)交換機控制和管理平面的虛擬化���,在三層交換機上配置相應的安全策略,為多個應用或部門的流量提供安全的網(wǎng)絡分區(qū)����,讓每個應用或部門可以獨立管理和維護其各自的配置����。
(三) 分布層模塊
分布層模塊主要提供包括路由����、QoS和訪問控制�。所面臨的主要安全威脅有未授權(quán)訪問、欺騙����、病毒和特洛伊木馬的應用���。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應采取以下的安全措施:
1. 針對二層網(wǎng)絡的安全威脅���,利用網(wǎng)絡設備本身的二層網(wǎng)絡安全性能����,進行二層網(wǎng)絡安全策略的部署�,如二層VLAN劃分、DHCP窺探保護����、動態(tài)ARP檢查����、IP源地址保護等安全策略���。
2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務器上保密信息的機會���,利用設備包過濾技術����,根據(jù)預先定義好的規(guī)則對包進行過濾,從而達到訪問控制的目的�。
3. 通過RFC2827過濾可有效防止源地址欺騙���。
4. 部署防病毒系統(tǒng),防止各個工作站感染病毒和特洛伊木馬的應用�。
5. 部署網(wǎng)絡準入控制系統(tǒng)���,通過在網(wǎng)絡中部署網(wǎng)絡準入控制系統(tǒng)�,可以實現(xiàn)最大限度減少內(nèi)部網(wǎng)絡安全威脅����,降低病毒和蠕蟲造成的停機時間。
根據(jù)網(wǎng)絡規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達到減少硬件設備���,達到減少投資與節(jié)能等目的。
(四) 服務器模塊
服務器模塊的主要目標是向最終用戶和設備提供應用服務。所面臨的主要安全威脅有未授權(quán)訪問、應用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應采取以下的安全措施:
1. 使用基于主機和網(wǎng)絡的IDS/IPS系統(tǒng)。
2. 在交換機上配置私有VLAN,實現(xiàn)對服務器的訪問限制, 限制對關健服務器的隨意訪問����。
3. 對服務器及時打上最新的補丁程序���。
4. 對服務器區(qū)域(DMZ區(qū)域)進行不同安全級別劃分����,通過對不同應用的服務器進行安全級別的劃分,并通過防火墻模塊進行DMZ邏輯區(qū)域的隔離����,可以實現(xiàn)服務器故障的快速隔離和服務器間訪問的有效控制����。
5. 針對企業(yè)較為重要的郵件應用服務器���,可以單獨部署電子郵件安全產(chǎn)品�,從而減少與垃圾郵件、病毒和其它各種威脅有關的宕機����,以求減輕技術人員的負擔。
像分布層模塊一樣, 根據(jù)公司規(guī)模����、應用性能及需求的不同, 服務器模塊可以與核心模塊相結(jié)合�。
(五) 邊界接入模塊
邊界接入模塊的目標是在網(wǎng)絡邊緣集中來自各個接入網(wǎng)模塊的連接���,信息流從邊界接入模塊過濾后路 由至至核心����。邊界接入模塊在整體功能方面和分布層模塊有些類似,都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能。像服務器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。
在邊界接入模塊比較常見的安全措施為應用流量觀察分析和安全網(wǎng)關�。應用流量觀察分析是通過部署流量控制設備�,使用其二至七層強大的應用分析能力���,能夠第一時間獲得核心模塊和接入網(wǎng)模塊之間應用流量能見度�,并以此為基礎在企業(yè)網(wǎng)絡中部署相應的安全策略(比如限制病毒端口號、限制特定內(nèi)網(wǎng)IP地址����、限制特定MAC地址)����。安全網(wǎng)關是通過采用專用的安全網(wǎng)關技術�,實現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾,Web病毒掃描�,間諜軟件防御����,HTTPS安全控制���,防機密數(shù)據(jù)外泄等等安全功能���。
三����、 企業(yè)接入網(wǎng)的安全設計
企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠程接入模塊兩個部分組成�。以下分別闡述各個模塊的功能、面臨的安全威脅和相應的安全措施����。
(一) 外網(wǎng)接入模塊
大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接�。外網(wǎng)包括企業(yè)分支網(wǎng)絡����、第三方接入網(wǎng)絡和互聯(lián)網(wǎng)。所面臨的主要安全威脅有未授權(quán)接入���、應用層攻擊、病毒和特洛伊木馬、拒絕服務攻擊等�。主要防御措施有:
1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻�。防火墻應分為兩組防護, 一組用于企業(yè)網(wǎng)與分支機構(gòu)網(wǎng)絡的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接���。防火墻為內(nèi)網(wǎng)的網(wǎng)絡資源提供保護,從而確保只有合法信息流穿過防火墻����。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時可以使用目前先進的“云火墻”技術���,該技術可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細信息�,實現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡安全���。
2. 使用防火墻的虛擬化技術�,將單一防火墻設備邏輯劃分為多個虛擬防火墻,每個防火墻有自己的策略且分別進行管理,可以實現(xiàn)不同區(qū)域模塊之間的安全控制和設備資源的高效利用����。
3. 部署IDS/IPS入侵檢測/防御系統(tǒng)�,有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)����、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實時檢測來自外網(wǎng)的入侵行為�。
4. 建立統(tǒng)一的應用服務器用于與其它分支網(wǎng)絡構(gòu)建統(tǒng)一接入平臺,應用服務器作為所有應用服務的, 通過進行更嚴格的應用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標準化和可擴展性的提升���。
5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡邊緣部署路由器,并通過在路由器入口進行數(shù)據(jù)流的過濾���,路由器對大多數(shù)攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應丟棄‘碎片’的數(shù)據(jù)包。對于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風險是值得的���。
(二) 遠程接入模塊
遠程接入模塊的主要目標有三個:從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶����。遠程接入模塊面臨的主要安全威脅有口令攻擊���、未授權(quán)接入和中間人攻擊等���。此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接����,對于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡外的不可信源, 因此要為這三種服務的每一種提供一個防火墻上的獨立接口�。
1. 遠程接入VPN,遠程接入VPN推薦使用IPSec協(xié)議����。此服務的安全管理是通過將所有IPSec的安全參數(shù)從中央站點推向遠程用戶實現(xiàn)的���。
2. 撥號接入用戶����,AAA和一次性口令服務器可用來驗證和提供口令����。
3. 站點間VPN����,與站點間連接相關的IP信息流在傳輸模式下由配置成GRE隧道來實現(xiàn)。
以上來自三種服務的信息流應集中接入到防火墻的一個專用接口上�。條件允許時在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為�。
四����、 模塊之間的相互關系
采用模塊化設計時, 不是簡單地將網(wǎng)絡安全設計分解成各個孤立的模塊, 各模塊之間緊密聯(lián)系,其安全防護措施也直接影響到其它模塊的安全�。
管理模塊是整個網(wǎng)絡安全體系的核心����、位于其它所有模塊的最頂層����。網(wǎng)絡安全體系的建立, 應該首先建立管理模塊的安全結(jié)構(gòu)。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎和前提�。
核心模塊���、服務器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡的內(nèi)部網(wǎng)絡�。這三個模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅:分布層模塊提供了針對內(nèi)部發(fā)起攻擊的第一道防線����;核心模塊的主要目標是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設備本身的安全設置以及分布層模塊的安全防護�;服務器模塊往往會成為內(nèi)部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的�。
邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶。邊界接入模塊在外部接入網(wǎng)安全措施的基礎上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能���。
外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺。
模塊化的設計將復雜的大型網(wǎng)絡劃分為幾個相對簡單的模塊, 以模塊為基本單位構(gòu)筑整個網(wǎng)絡的安全體系結(jié)構(gòu)����。使用模塊化的網(wǎng)絡安全設計能夠很容易實現(xiàn)單個模塊的安全功能,并實現(xiàn)模塊與模塊間的安全關系,從而在整個企業(yè)網(wǎng)絡中形成分層次的縱深防御體系。還能夠使設計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結(jié)構(gòu)。
參考文獻:
[1] 崔國慶. 計算機網(wǎng)絡安全技術與防護的研究?. 電腦知識與技術,2009年9月.
第7篇
防火墻是網(wǎng)絡安全的基本防護設備,其安全性受到了越來越多人的重視����,尤其是在當前科技迅猛發(fā)展的環(huán)境下�,各企業(yè)也迅速的崛起�,使得企業(yè)在網(wǎng)絡環(huán)境的推動下,也面領著嚴峻的信息安全挑戰(zhàn)����。在這種環(huán)境下�,人們對于防火墻的安全性要求也隨之提高����。當前,企業(yè)的防火墻要實現(xiàn)安全設計,還需要對企業(yè)的網(wǎng)絡安全進行全方面的需求分析,通過針對性的設計���,提高防火墻的實用性、功能性、安全性����。
【關鍵詞】
防火墻�;企業(yè)網(wǎng)絡安全設計���;實現(xiàn)
1前言
計算機網(wǎng)絡技術的廣泛應用����,為企業(yè)提供了更多的發(fā)展平臺與業(yè)務渠道,在一定程度上推動了企業(yè)的快速發(fā)展。但在網(wǎng)絡技術不斷普及的今天����,各種惡意攻擊�、網(wǎng)絡病毒���、系統(tǒng)破壞也對企業(yè)的網(wǎng)絡安全造成了較大的傷害���,不僅嚴重威脅到企業(yè)的信息安全����,而且給企業(yè)帶來較大的經(jīng)濟損失����,造成了企業(yè)形象的破壞。因此����,才需要使用防火墻技術�,通過防火墻網(wǎng)絡技術的安全設計����,對各種病毒與網(wǎng)絡攻擊進行抵御,維護企業(yè)的信息安全���,促進企業(yè)的健康穩(wěn)定發(fā)展。
2防火墻的企業(yè)網(wǎng)絡安全設計原則
在企業(yè)防火墻的網(wǎng)絡安全設計中應該遵循一定的原則�,即:全面����、綜合性原則����,也就是企業(yè)的網(wǎng)絡安全體系設計,應該從企業(yè)的整體出發(fā)�,對各項信息威脅進行利弊權(quán)衡���,進而制定出可行性的安全防護措施����;簡易性原則����,主要是對于網(wǎng)絡安全設計,既要保證其安全性����,又要保證其操作簡便性���,以免系統(tǒng)過于復雜而造成維護上的阻礙����;多重保護原則能夠在建立多重的網(wǎng)絡安全機制����,確保整個網(wǎng)絡環(huán)境安全;可擴充原則�,主要是指在網(wǎng)絡運用過程中����,要隨著新變化的出現(xiàn)����,對于之前的網(wǎng)絡安全系統(tǒng)進行升級與擴充;靈活性原則����,也就是防火墻的網(wǎng)絡安全設計方案����,應該結(jié)合企業(yè)自身網(wǎng)絡現(xiàn)狀及安全需求����,采用靈活�、使用的方式進行設計;高效性原則����,也就是防火墻的網(wǎng)絡安全設計應該確保投資與產(chǎn)出相符����,通過安全性的設計解決方案�,避免重復性的投資,讓企業(yè)投入最少的項目資金,獲得最大的收益�,有效維護企業(yè)的安全[1]���。
3防火墻的企業(yè)網(wǎng)絡安全設計
防火墻為服務器的中轉(zhuǎn)站����,能夠避免計算機用戶與互聯(lián)網(wǎng)進行直接連接���,并對客戶端的請求加以及時地接收����,創(chuàng)建服務其的連接,并對服務器發(fā)出的信號相應加以接受,再通過系統(tǒng)將服務器響應信號發(fā)送出去,并反饋與客戶端�。
3.1防火墻加密設計
防火墻的加密技術�,是基于開放型的網(wǎng)絡信息采取的一種主動防范手段�,通過對敏感數(shù)據(jù)的加密處理、加密傳輸�,確保企業(yè)信息的安全���。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種�,這種數(shù)據(jù)加密技術���,主要是對明文的文件���、數(shù)據(jù)等通過特定的某種算法加以處理����,成為一段不可讀的代碼,維護數(shù)據(jù)信息的安全,以免企業(yè)的機密信息收到外界的攻擊[2]�。當前的防火墻加密手段也可分為硬件加密與軟件加密����,其中硬件加密的效率較高���,且安全系數(shù)較高����,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便���。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統(tǒng)資源的非授權(quán)使用,入侵行為能夠在一定程度上導致系統(tǒng)數(shù)據(jù)的損毀與丟失,對于企業(yè)的信息安全與網(wǎng)絡安全會造成較大的威脅,甚至導致系統(tǒng)拒絕合法用戶的使用與服務。在防火墻的企業(yè)網(wǎng)絡安全設計中,應該加強對入侵者檢測系統(tǒng)的重視�,對于入侵腳本���、程序自動命令等進行有效識別�,通過敏感數(shù)據(jù)的訪問監(jiān)測�,對系統(tǒng)入侵者進行行為分析,加強預警機制���,檢測入侵者的惡意活動,及時發(fā)現(xiàn)各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權(quán)者的身份識別���,通過將實體身份與證據(jù)的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護���。通常,證據(jù)與實體身份間為一種對應的關系,主要由實體方向提供相應的證據(jù)�,來證明自己的身份�,而防火墻的身份認證則通相關的機制來對證據(jù)進行驗證����,以確保實體身份與證據(jù)的一致性����。通過身份認證,防火墻便能夠?qū)Ψ欠ㄓ脩襞c合法用戶加以識別����,進而對非法用戶進行訪問設置����,維護主機系統(tǒng)的安全���。
3.4狀態(tài)檢測設計
訪問狀態(tài)檢測���,是控制技術的一種����,其關鍵性的任務就是確保企業(yè)的網(wǎng)絡資源不受非法使用與非法訪問,是維護企業(yè)網(wǎng)絡安全的重要手段之一����。防火墻的訪問控制���,一般可分為兩種類型:①系統(tǒng)訪問控制����;②網(wǎng)絡訪問控制�。其中,網(wǎng)絡訪問控制主要是限制外部計算機對于主機網(wǎng)絡服務系統(tǒng)的訪問���,以及控制網(wǎng)絡內(nèi)部用戶與外部計算機的訪問����。而系統(tǒng)訪問控制,主要是結(jié)合企業(yè)的實際管理需求����,對不同的用戶賦予相應的主機資源操作����、訪問權(quán)限。
3.5包過濾數(shù)據(jù)設計
數(shù)據(jù)包過濾型的防火墻主要是通過讀取相應的數(shù)據(jù)包���,對一些信息數(shù)據(jù)進行分析,進而對該數(shù)據(jù)的安全性���、可信度等加以判斷,并以判斷結(jié)果作為依據(jù)�,來進行數(shù)據(jù)的處理�。這在個過程中�,若相關數(shù)據(jù)包不能得到防火墻的信任,便無法進入該網(wǎng)絡����。所以���,這種技術的實用性很強����,能夠在網(wǎng)絡環(huán)境下���,維護計算機網(wǎng)絡的安全���,且操作便捷���,成本較低�。但需要注意的是����,該技術只能依據(jù)一些基本的信息數(shù)據(jù),來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用���。包過濾防火墻通常需要在路由器上實現(xiàn),對用戶的定義內(nèi)容進行過濾,在網(wǎng)絡層���、數(shù)據(jù)鏈路層中截獲數(shù)據(jù),并運用一定的規(guī)則來確定是否丟棄或轉(zhuǎn)發(fā)各數(shù)據(jù)包。要確保企業(yè)的網(wǎng)絡安全����,需要對該種技術進行充分的利用����,并適當融入網(wǎng)絡地址翻譯����,對外部攻擊者造成干擾,維護網(wǎng)絡內(nèi)部環(huán)境與外部環(huán)境的安全。
4企業(yè)網(wǎng)絡安全中的實現(xiàn)
4.1強化網(wǎng)絡安全管理
用將防火墻技術應用于企業(yè)的網(wǎng)絡安全中,還需要企業(yè)的信息管理人員對于本企業(yè)的實際業(yè)務����、工作流程�、信息傳輸?shù)冗M行深入的分析���,對本企業(yè)存在的信息安全加以風險評估���,熟悉掌握本企業(yè)網(wǎng)絡安全的薄弱環(huán)節(jié)����,全民提高企業(yè)的信息安全�。另外,企業(yè)信息管理人員還需要對企業(yè)的網(wǎng)絡平臺架構(gòu)進行明確掌握�,對企業(yè)的未來業(yè)務發(fā)展加以合理的預測分析����,進而制定出科學合理的網(wǎng)絡信息安全策略����。同時,企業(yè)信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施����。
4.2網(wǎng)絡安全需求分析
企業(yè)的網(wǎng)絡安全為動態(tài)過程���,其設方案需要結(jié)合自身的實際狀況加以靈活設計����,進而提高設計方案的適用性、安全性,維護企業(yè)整個網(wǎng)絡的安全���。在對企業(yè)網(wǎng)絡需求進行分析時,還需要注重企業(yè)的應用系統(tǒng)、網(wǎng)絡訪問系統(tǒng)、網(wǎng)絡資源�、網(wǎng)絡管理實際[3]���。在應用系統(tǒng)安全性設計中���,對于系統(tǒng)使用頻繁�,提供服務資源的數(shù)據(jù)庫與服務器���,要在網(wǎng)絡環(huán)境下���,確保其運行安全���,以免疏導惡意攻擊與訪問���;而對于網(wǎng)絡訪問設計應具有一定的可控性�,具備相應的認證與授權(quán)功能����,對用戶的身份加以識別,對敏感信息加以維護�,以免企業(yè)的核心系統(tǒng)遭到攻擊[4]���;網(wǎng)絡資源要確保其適用性����,能夠承載企業(yè)的辦公自動化系統(tǒng)及各項業(yè)務的運行使用����,并保證網(wǎng)絡能夠不間斷地高效運行;同時�,針對網(wǎng)絡管理�,應該具有可操作性�,在安全日志與審計上進行相關的信息記錄,以免企業(yè)信息系統(tǒng)管理人員的日后維護�。
4.3網(wǎng)絡安全策略的制定
要實現(xiàn)企業(yè)的網(wǎng)絡安全����,還需要對企業(yè)的實際網(wǎng)絡安全需求進行了解之后�,針對不同的信息資源,制定出相關的安全策略�,通過各種系統(tǒng)保密措施����、信息訪問加密措施�、身份認證措施等����,對企業(yè)信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后����,還需要企業(yè)的信心管理人員對整個安全系統(tǒng)進行監(jiān)控與審計���,通過監(jiān)控系統(tǒng)的安全漏洞檢查���,對威脅信息系統(tǒng)安全的類型與來源進行初步判斷���,通過深入分析�,制定出完善是網(wǎng)絡安全防護策略[5]����。
5結(jié)束語
在互聯(lián)網(wǎng)環(huán)境下,信息資源的存儲量巨大����,運行較為高效�,不僅為企業(yè)帶來了較大發(fā)展空間,也使企業(yè)的信心安全面臨巨大的威脅�。因此�,企業(yè)需要加強防火墻系統(tǒng)的建設�,提高對網(wǎng)絡安全系統(tǒng)的認識,通過有效措施����,加強防火墻的安全設計�,構(gòu)建一個相對穩(wěn)定的網(wǎng)絡環(huán)境����,維護企業(yè)的信息安全����,讓企業(yè)在可靠的信息網(wǎng)絡環(huán)境開發(fā)更多的客戶資源,以尋得健康�、穩(wěn)定���、持續(xù)的發(fā)展�。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯(lián)動技術在網(wǎng)絡安全管理中的有效應用[J].現(xiàn)代電子技術�,2016(02):42~44.
[2]范沁春.企業(yè)網(wǎng)絡安全管理平臺的設計與實現(xiàn)[J].網(wǎng)絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構(gòu)建安全網(wǎng)絡[J].電腦編程技巧與維護���,2016(06):78~80.
第8篇
關鍵詞:企業(yè)網(wǎng)絡 安全管理 維護
中圖分類號:TN915.08 文獻標識碼:A 文章編號:1672-3791(2012)12(a)-0024-01
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。逐漸地使經(jīng)營管理對計算機應用系統(tǒng)依賴性增強���,計算機應用系統(tǒng)對網(wǎng)絡依賴性增強。然而,網(wǎng)絡的安全是伴隨著網(wǎng)絡的產(chǎn)生而產(chǎn)生���,可以說,有網(wǎng)絡的地方就存在網(wǎng)絡安全隱患。如病毒入侵和黑客攻擊之類的網(wǎng)絡安全事件����,速度之快�,范圍之廣����,已眾所周知。企業(yè)為阻止惡意軟件入侵攻擊、防止非法用戶通過網(wǎng)絡訪問和操作���、防止用戶郵件被非法截取或篡改等采取的安全措施,既保證企業(yè)數(shù)據(jù)安全、網(wǎng)絡系統(tǒng)運行穩(wěn)定����,又防止非法入侵等問題才是企業(yè)網(wǎng)絡安全管理的重要內(nèi)容���。
1 威脅信息安全的主要因素
1.1 軟件的內(nèi)在缺陷
這些缺陷不僅直接造成系統(tǒng)宕機���,還會提供一些人為的惡意攻擊機會。對于某些操作系統(tǒng)�,相當比例的惡意攻擊就是利用操作系統(tǒng)缺陷設計和展開的�,一些病毒���、木馬也是盯住其破綻興風作浪����,由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統(tǒng)的故障���,降低系統(tǒng)安全性能。
1.2 惡意攻擊
攻擊的種類有多種����,有的是對硬件設施的干擾或破壞����,有的是對應用程序的攻擊�,有的是對數(shù)據(jù)的攻擊。對硬件設施的攻擊���,可能會造成一次性或永久性故障或損壞。對應用程序的攻擊會導致系統(tǒng)運行效率的下降�,嚴重的會導致應用異常甚至中斷����。對數(shù)據(jù)的攻擊可破壞數(shù)據(jù)的有效性和完整性���,也可能導致敏感數(shù)據(jù)的泄漏、濫用[1]。
1.3 管理不善
許多企業(yè)網(wǎng)絡都存在重建設����、重技術����、輕管理的傾向����。實踐證明����,安全管理制度不完善、人員安全風險意識薄弱�,是網(wǎng)絡風險的重要原因之一�。比如�,網(wǎng)絡管理員配備不當、企業(yè)員工安全意識不強�、用戶口令設置不合理等[2]�,都會給信息安全帶來嚴重威脅���。
1.4 網(wǎng)絡病毒的肆虐
只要上網(wǎng)便避免不了的受到病毒的侵襲�。一旦沾染病毒,就會通過各種途徑大面積傳播病毒�,就會造成企業(yè)的網(wǎng)絡性能急劇下降����,還會造成很多重要數(shù)據(jù)的丟失���,給企業(yè)帶來巨大的損失���。
1.5 自然災害
對計算機信息系統(tǒng)安全構(gòu)成嚴重威脅的災害主要有雷電���、鼠害���、火災���、水災���、地震等各種自然災害����。此外����,停電、盜竊、違章施工也對計算機信息系統(tǒng)安全構(gòu)成現(xiàn)實威脅���。
2 完善網(wǎng)絡信息安全的管理機制
2.1 規(guī)范制度化企業(yè)網(wǎng)絡安全管理
網(wǎng)絡和信息安全管理真正納入安全生產(chǎn)管理體系,并能夠得到有效運作,就必須使這項工作制度化���、規(guī)范化。要在企業(yè)網(wǎng)絡與信息安全管理工作中融入安全管理的思想,制定出相應的管理制度。
2.2 規(guī)范企業(yè)網(wǎng)絡管理員的行為
企業(yè)內(nèi)部網(wǎng)絡安全崗位的工作人員要周期性進行輪換工作,在公司條件允許的情況下�,可以每項工作指派2~3人共同參與�,形成制約機制����。網(wǎng)絡管理員每天都要認真查看日志,通過日志來發(fā)現(xiàn)有無外來人員攻擊公司內(nèi)部網(wǎng)絡,以便及時應對,采取相應措施�。
2.3 規(guī)范企業(yè)員工的上網(wǎng)行為
目前����,琳瑯滿目的網(wǎng)站及廣告鋪天蓋地����,鼠標一點,就非常有可能進入非法網(wǎng)頁�,普通電腦用戶無法分辯����,這就需要我們網(wǎng)管人員對網(wǎng)站進行過濾����,配置相應的策略,為企業(yè)提供健康的安全上網(wǎng)環(huán)境。為此�,企業(yè)要制定規(guī)范����,規(guī)定員工的上網(wǎng)行為�,如免費軟件、共享軟件等沒有充分安全保證的情況下盡量不要安裝,同時�,還要培養(yǎng)企業(yè)員工的網(wǎng)絡安全意識����,注意移動硬件病毒的防范和查殺的問題�,增強計算機保護方面的知識。
2.4 加強企業(yè)員工的網(wǎng)絡安全培訓
企業(yè)網(wǎng)絡安全的培訓大致可以包括理論培訓、產(chǎn)品培訓���、業(yè)務培訓等。通過培訓可以有效解決企業(yè)的網(wǎng)絡安全問題,同時,還能減少企業(yè)進行網(wǎng)絡安全修護的費用。
3 提高企業(yè)網(wǎng)絡安全的維護的措施
3. 1病毒的防范
在網(wǎng)絡環(huán)境下����,病毒的傳播性����、破壞性及其變種能力都遠遠強于過去�,鑒于“熊貓燒香”、“灰鴿子”、“機器狗”等病毒給太多的企業(yè)造成嚴重的損失����,慘痛的教訓告誡我們����,選用一款適合于企業(yè)網(wǎng)的網(wǎng)絡版防病毒產(chǎn)品�,是最有效的方法。網(wǎng)絡版的產(chǎn)品具備統(tǒng)一管理、統(tǒng)一升級����、遠程維護、統(tǒng)一查殺���、協(xié)助查殺等多種單機版不具備的功能。有效緩解系統(tǒng)管理員在網(wǎng)絡防病毒方面的壓力����。
3.2 合理配置防火墻
利用防火墻�,在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度���,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡�,同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡���,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息����。防火墻的配置需要網(wǎng)絡管理員對本單位網(wǎng)絡有較深程度的了解���,在保證性能及可用性的基礎上�,制定出與本單位實際應用較一致的防火墻策略���。
3.3 配置專業(yè)的網(wǎng)絡安全管理工具
這種類型的工具包括入侵檢測系統(tǒng)�、Web,Email����,BBS的安全監(jiān)測系統(tǒng)�、漏洞掃描系統(tǒng)等���。這些系統(tǒng)的配備���,可以讓系統(tǒng)管理員能夠集中處理網(wǎng)絡中發(fā)生的各類安全事件���,更高效����、快捷的解決網(wǎng)絡中的安全問題���。
3.4 提高使用人員的網(wǎng)絡安全意識和配備相關技術人員
企業(yè)網(wǎng)絡漏洞最多的機器往往不是服務器等專業(yè)設備,而是用戶的終端機����。因此���,加強計算機系統(tǒng)使用人員的安全意識及相關技術是最有效�,但也是最難執(zhí)行的方面���。這需要在企業(yè)信息管理專業(yè)人員����,在終端使用人員網(wǎng)絡安全技術培訓、網(wǎng)絡安全意識宣傳等方面多下功夫���。
3.5 保管數(shù)據(jù)安全
企業(yè)數(shù)據(jù)的安全是安全管理的重要環(huán)節(jié)。特別是近年來����,隨著企業(yè)網(wǎng)絡系統(tǒng)的不斷完善�,各專業(yè)應用如財務����、人事、營銷���、生產(chǎn)、OA�、物資等方方面面均已進入信息系統(tǒng)的管理范圍。系統(tǒng)數(shù)據(jù)一旦發(fā)生損壞與丟失,給企業(yè)帶來的影響是不可估計的。任何硬件及軟件的防范都僅能提高系統(tǒng)可靠性���,而不能杜絕系統(tǒng)災難。在這種情況下,合理地制定系統(tǒng)數(shù)據(jù)保護策略����,購置相應設備���,做好數(shù)據(jù)備份與系統(tǒng)災難的恢復預案���,做好恢復預案的演練����,是最有效的手段�。
3.6 合理規(guī)劃網(wǎng)絡結(jié)構(gòu)
合理規(guī)劃網(wǎng)絡結(jié)構(gòu),可使用物理隔離裝置將重要的系統(tǒng)與常規(guī)網(wǎng)絡隔離開來����,是保障重要系統(tǒng)安全穩(wěn)定的最有效手段����。
4 結(jié)語
總而言之�,企業(yè)網(wǎng)絡系統(tǒng)的安全防護是一項長期以來極具挑戰(zhàn)性的課題。它的發(fā)展往往伴隨著網(wǎng)絡技術的發(fā)展其自身也在不斷的更新和調(diào)整。信息安全是一個企業(yè)賴以生存的基礎保障,只有信息安全得到保障,企業(yè)的網(wǎng)絡系統(tǒng)才有其存在的價值�。網(wǎng)絡安全是一項系統(tǒng)的工程����,需要我們綜合考慮很多實際的需求問題���,靈活運用各種網(wǎng)絡安全技術才能組建一個高效���、穩(wěn)定�、安全的企業(yè)網(wǎng)絡系統(tǒng)���。
參考文獻
