企业的网络安全范文

时间:2023-09-19 16:51:03

导语:如何才能写好一篇企业的网络安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业的网络安全

篇1

关键词:企业网络安全;对策

【Abstract】The 21st century is the era of information technology, information technology has brought great opportunities to multinational enterprises, but at the same time challenges and opportunities facing a lot of problems at this stage of China's enterprises in the enterprise network security, this paper for Chinese enterprisesnetwork security, and foreign enterprise network security situation, a detailed analysis of China's enterprises in the network security threats and challenges, and the relevant principles of network security solutions, and related countermeasures.【Keywords】business; network security; countermeasures

中图分类号:TN915.41

21世纪是一个信息技术日新月异的时代,人类生活的各个网面也都已经进入了信息化时代, 互联网已经在人们的生活、工作、学习、娱乐等事务中得到广泛的应用,特别是在我国的企业中,网络在企业的发展中有着举足轻重的影响。现阶段,我国很多企业都充分意识到网络安全在企业发展中的重要地位和作用,各个企业都建立了自己的企业网站等,诚然,事实表明,网络给企业的发展带来了大量有益的信息资源,但是,与此同时,网络本身也蕴含非常多的潜在危险和挑战。因此,企业要对网络安全的问题给予充分的重视,这关系到企业的长远发展。

企业网络安全的涵义

企业的网络安全从字面上说,就是企业在网络上的安全,主要是企业信息的安全。网络安全涵盖非常多的领域,现阶段,网络安全主要是网络上安全漏洞、各种病毒的侵害和威胁。所以,企业网络的信息安全就是保护企业在网上的信息的安全、完整、真实,保证企业的网络信息不被盗用和修改,所以,“通常定义为网络系统中的软硬件、系统中的数据等受到保护,不会因为网络系统的硬件、软件及其系统中的数据受到保护, 不会因为任何的破坏而被修改、泄露,以至企业的正常的运行。“[1]由于企业计算机网络系统的多样,并且由于网络的开放性等特点,计算机很容易受到恶意软件、黑客以及各种非法的攻击和危险,这样就可能会导致企业网络信息的泄露,企业的各类信息受到严重的威胁,不仅包括使企业自身的各类信息,还包括企业的客户信息的安全。

国内外企业的网络安全现状

在国际范围内,一些发达国家,例如美国以及欧洲一些国家,他们在企业网络基础设施上的建设和维护相比较一些发展中国家来说,更加地完善。由于受到第三次科技革命的影响,这些国家的企业在企业网络安全问题的认识比较深入和重视,他们在网络安全上的建设起步时间比较早。因此,在这些发达国家内,企业的网络现状比较好,危害网络安全的黑客攻击、盗窃等犯罪活动的发生率比较低。足以看出,国外一些国家队企业网络安全的问题非常重视,并且把企业网络的安全问题作为企业发展的一项十分重要的问题。,他们在对网络的资金和人力的投资商都比较大,并且呈逐年递增的趋势。

在国内,我国企业对网络安全的资金和人力投入在整个网络系统的见着中所占的比例比较低,并且同欧美国家以及日本韩国等相比,都有很大差距。这其中的原因,主要是因为我国很多企业特别是那些中小企业的资金预算十分有限,他们很多仅仅重视利益的投资和回报率,。很多企业对企业网路信息的安全不太重视,再加上企业专门的网络技术人员的专业素质上的欠缺以及人数上的不足,这一系列的问题使得我国企业的网络安全的建设状况不容乐观。

在我国网络技术的应用中,一般都使用防火墙以及各种防病毒的软件。由于防火墙的性价比比较高,安装简便,并且可以在线升级,但是单单有这些技术应用是不够的,还应该在企业网络安全上多多注意,系统的登录名、登录密码等等,都要多加强技术的投入。

企业网络安全的原因分析

导致企业出现网络安全的原因是多方面的,主要包括以下几个方面:

企业对网络安全的防范措施不到位

首先, 企业对网络安全的认识不够,很多企业对网络管理不是十分重视,在企业内部设置的网络管理部门也对这个问题的重视不够。其次,企业的生产经营的许多环节都涉及到网络,在网络中企业要进行各项业务,在网络的运行过程中难免会有某些方面的疏忽和漏洞,这可能会导致一些黑客蓄意的攻击和侵害。企业缺乏一个相对比较健全的网络安全管理体制,企业网络的安全管理同其他方面的管理是不同的,不能照搬照抄,管理网络的方式比较落后,网络安全的职责落实不到个人,这些都导致网络管理的混乱以及网络全责的不明晰。

第二,黑客的攻击

在网络上黑客使用一系列工具对企业的网络进行攻击和入侵,企业的重要信息可能遭到破坏或者盗窃,致使企业网络不能正常地使用,如果情况严重的话,网络可能会瘫痪。调查表明,自从计算机在全球范围内得到广泛应用以来,计算机病毒也开始出现,有这些病毒造成的损失也十分的大。

网络操作系统自身的缺陷

企业在网络的操作系统中有很多漏洞,这样对那些注册过的用户来说就十分地危险,因为有些非法的用户在未经授权的情况下,可以获得访问的权限,这样非法用户就可能会侵害他人的信息,继而造成信息被泄露、破坏、盗取。

网络安全的管理策略

建立完善的企业网络安全保护体制

网络安全工作的开展需要严格完善的规章之地,企业的相关管理人员要对企业的网络安全进行责任的分配,对未尽责任的工作人员要给予相关的惩罚。“建立一个安全保密体制,对保密体制的执行状况进行定期或者不定期的检查,并对检查结果进行保存。”[2]这样就可以使得每一个相关的工作人员把企业网络安全的责任落实到实处,严格保守企业的机密信息,保护企业的网络信息安全。这也是企业网络安全首要的和最重要的任务。

网络技术上的安全防控措施

首先,需要做好对病毒的预防在企业内部,要做好对病毒的预防,要在病毒对网络进行攻击侵害之前就要对其进行很好的预防,如果仅仅在病毒入侵之后才看是对其进行消除的工作的话,这仅仅是一种补救的措施,是被动的,要做到防患于未然,必须对企业的计算机系统做严格的保护措施。在企业内部,要尽量做到专机专用,是每个人都有自己独立的电脑设备,尽量禁止无关人员使用企业内部的计算机设备;外带的移动设备等等,也要在连接电脑室进行木马的查杀,避免病毒和木马的侵害。在计算机使用互联网进行工作室,要对那些来路不明的邮件、文件等格外地注意。假如这些预防措施都不管用,导致病毒入侵的情况发生的话,就要对企业信息系统中的重要文件或者信息作备份,对那些被病毒感染的文件,要对其进行查毒,并对磁盘整体进行木马的查杀。如果在这一系列的行为之后,计算机仍然有残留的病毒的话,那么,应该停止使用计算机。

其次,对企业网络设备的硬件的安全管理大多数企业的网络设备一般都是放在专门的机房中,所以,良好的机房防盗措施是十分必要的。机房每天都要有专门的工作人员进行管理,并对进出机房的人员进行登记和检查,在机房内部安装监控摄像系统,以及报警系统,保证重要的计算机设备的安全。此外,机房的管理人员要对负责机房的卫生工作,保证机房的整洁干净,没有过多的尘土,无垃圾。同时,机房良好的防水、防火、放电灯措施也是必不可少的。

对企业网络访问权限的控制

“应用防火墙技术,控制访问权限,实现网络安全集中管理。”[3]防火墙技术是十分重要的网络安全技术,它是在近些年才发展起来的,防火墙的主要功能是是在接入网络入口时,保障网络通讯的安全。在网络出口处安装防火墙,进入网络内部就要通过防火墙的检查,IP地址,把系统可能受到的侵害发生几率降低,拒绝那些非法的进入,是黑客很难进入。这样就可以按照客户的安全规定,提高内部网络安全。

结语: 企业的网络安全企业发展的一个十分重要的问题,要做好企业的网络安全工作,需要全体工作人员的努力,在工作过程中要树立科学的网络安全意识,采取相关的措施,不断提高企业网络的安全。

【参考文献】

[1] 张敏;中小企业网络安全整体解决方案[J];改革与开放;2011年第6期

篇2

企业计算机网络所面临的威胁

当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。

1网络管理制度不完善

网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。

2网络建设规划不合理

网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。

3网络设施设备的落后

网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。

4网络操作系统自身存在漏洞

操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。

网络安全防护体系的构建策略

如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。

1完善企业计算机网络制度

制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。

2配置有效的防火墙

防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。

3采用有效的病毒检测技术

计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。

篇3

关键词:关键词:计算机网络技术;电力企业;网络安全管理

中图分类号:TP39    文献标识码:A     文章编号:

1. 目前电力企业网络安全管理存在的问题

网络安全管理存在以下三个问题:

(1)麻痹大意,网络安全意识淡薄:如管理意识的欠缺,管理机构的不健全,管理制度的不完善和管理技术的不先进等因素。目前各个员工都配有办公电脑,但是使用者安全防范意识和防范病毒能力比较差。企业的规章制度还不够完善,还不能够有效的规范和约束员工的上网行为。

     (2)人为的恶意攻击:这是计算机网络所面临的最大威胁,黑客攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。

(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。

2. 电力企业网络安全管理的主要技术

在计算机网络中,如何对网络信息载体及信息的处理、传输、存储、访问提供安全保护以及如何防止非法授权的使用或篡改都是当前网络安全领域研究的关键问题。本文作者通过实践经验,从访问控制、防火墙、网络隔离、入侵检测等电力企业现行的几种重要技术,从技术层面出发,对电力企业网络安全管理进行探讨。

2.1 访问控制

访问控制指的是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制主要实现以下功能:

1. 防止非法的主体进入受保护的网络资源。2. 允许合法用户访问受保护的网络资源。 3. 防止合法的用户对受保护的网络资源进行非授权的访问。

2.2 防火墙

  防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet 与Internet 之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。

防火墙作为计算机网络安全的屏障,主要实现以下功能:防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

因此,防火墙的集中安全管理及与安全策略的有机结合能对网络安全性能起到较强作用。

2.3 网络隔离

主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理是采用了不同的协议,因此也被称为协议隔离。网络隔离技术是近些年来出现的计算机网络安全管理技术,它能解决重要单位及要害部门对信息安全性的突出需求。作为网络安全体系中不可缺少的重要环节和防止非法入侵、阻挡网络攻击的一种简单而行之有效的手段,它在电力企业信息安全的连网工作以及信息安全方面起到重要的作用。但由于网络隔离技术比较复杂,目前仍处于发展阶段。

2.4 入侵检测

入侵检测是一种对网络系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性的技术。入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。

入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

3. 结束语

总之,计算机网络给人们带来了巨大的便利的同时,也存在着安全隐患,网络的安全形势日趋严峻。加强网络安全建设,是关系到单位整体形象和利益的大问题。目前在各单位的网络中都存储着大量的保密信息、资料,各个方面的工作都是利用网络来完成的,一旦网络安全方面出现问题,造成信息的丢失、篡改、破坏或窃用,都将带来难以弥补的巨大损失。

因此,利用网络安全管理技术,可以对电力企业现有的一些业务和网络进行优化,提高性能,降低成本。

参考文献:

[1]信息安全学,机械工业出版社周学广著

[2]计算机网络安全基础科学出版社冯元著

[3]网络安全手册清华大学出版社哈顿穆格著

篇4

关键词:网络安全;网络设计原则

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)18-4332-02

随着信息技术的快速发展、现代网络的普及、企业网络化运作,企业门户网站、企业电子商务等在企业经营运作过程中扮演着重要的角色,许多有远见的企业都认识到依托先进的信息技术构建企业自身业务和运营平台将极大地提升企业的竞争力,使企业在残酷的竞争中脱颖而出。然而,企业在具有信息优势的同时,也对企业的网络安全提出了严峻的考验。据报道,现在全世界平均每20秒就会发生一次计算机网络入侵事件。据智能网络安全和数据保护解决方案的领先供应商SonicWALL公司日前了其2011年年中网络威胁情报报告:“报告显示,企业正面临越来越多网络犯罪分子的攻击,这些人企图攻击的主要对象是那些通过移动设备连接访问企业网络以及越来越频繁使用社交媒体的企业员工。基于恶意软件以及社交媒体诈骗的增多,正引发新的以及更严重的来自数据入侵、盗窃和丢失等方面造成的企业业务漏洞。”可见,企业网络安全面临的压力越来越大,认清企业网络安全面临的主要威胁、设计实施合适的网络安全策略,已成为摆在企业面前迫在眉睫的问题。

1企业网络安全面临的主要威胁

由于企业网络由内部网络、外部网络和企业广域网所组成,网络结构复杂,面临的主要威胁有以下几个方面:

1.1网络缺陷

Internet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要的是考虑资源共享基本没有考虑安全问题,缺乏相应的安全监督机制。

1.2病毒侵袭

计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘等诸多手段进行传播,通过网络传播计算机病毒,其传播速度相当快、影响面大,破坏性大大高于单机系统,用户也很难防范,因此它的危害最能引起人们的关注,病毒时时刻刻威胁着整个互联网。

1.3黑客入侵

黑客入侵是指黑客利用企业网络的安全漏洞、木马等,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至破坏数据的活动。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。

1.4数据窃听与拦截

这种方式是直接或间接截取网络上的特定数据包并进行分析来获取所需信息。这使得企业在与第三方网络进行传输时,需要采取有效的措施来防止重要数据被中途截获、窃听。

1.5拒绝服务攻击

拒绝服务攻击即攻击者不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统相应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务,是黑客常用的攻击手段之,其目的是阻碍合法网络用户使用该服务或破坏正常的商务活动。

1.6内部网络威胁

据网络安全界统计数据显示,近80%的网络安全事件是来自企业内部。这样的安全犯罪通常目的比较明确,如对企业机密信息的窃取、数据更改、财务欺骗等,因此内部网络威胁对企业的威胁更为严重。

2企业网络安全设计的主要原则

针对企业网络安全中主要面临的威胁,考虑信息安全的机密性、完整性、可用性、可控性、可审查性等要素,建议在设计企业网络时应遵循以下几个原则:

2.1整体性原则

在设计网络时,要分析网络中的安全隐患并制定整体网络的安全策略,然后根据制定的安全策略设计出合理的网络安全体系结构。要清楚计算机网络中的设备、数据等在整个网络中的作用及其访问使用权限,从系统整体的角度去分析,制定有效可行的方案。网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、灾难恢复等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。

2.2平衡性原则

任何一个网络,不可能达到绝对的安全。这就要求我们对企业的网络需求(包括网络的作用、性能、结构、可靠性、可维护性等)进行分析研究,制定出符合需求、风险、代价相平衡的网络安全体系结构。

2.3扩展性原则

随着信息技术的发展、网络规模的扩大及应用的增加,面临的网络威胁的也会随之增多,网络的脆弱性也会增多,一劳永逸地解决网络中的安全问题也是不可能的,这就要求我们在做网络安全设计时要考虑到系统的可扩展性,包括接入能力的扩展、带宽的扩展、处理能力的扩展等。

2.4多层保护原则

任何的网络安全措施都不会是绝对的安全,都有可能被攻击被破坏。这就要求我们要建立一个多层保护系统,各层保护相互补充、相互协调,组成一个统一的安全防护整体,当一层保护被攻击时,其它层保护仍可保护信息的安全。

图1基于网络安全设计原则的拓扑示意图

防火墙:网络安全的大门,用来鉴别什么样的数据包可以进出企业内部网络,阻断来自外部的威胁,防火墙是不同网络或网络安全域之间信息的唯一出入口,防止外部的非法入侵,能根据网络的安全策略控制访问资源。

VPN:是Internet公共网络在局域网络之间或单点之间安全传递数据的技术,是进行加密的最好办法。一条VPN链路是一条采用加密隧道构成的远程安全链路,远程用户可以通过VNP链路来访问企业内部数据,提高了系统安全性。

访问控制:为不同的用户设置不同的访问权限,为特定的文件或应用设定密码保护,将访问限制在授权用户的范围内,提高数据访问的安全性。

数据备份:是为确保企业数据在发生故障或灾难性事件的情况下不丢失,可以将数据恢复到发生故障、灾难数据备份的那个状态,尽可能的减少损失。

3小结

通过分析企业网络安全面临的主要威胁及主要设计原则,提出了一个简单的企业网络安全设计拓扑示意图,该图从技术手段、可操作性上都易于实现,易于部署,为企业提供了一个解决网络安全问题的方案。

参考文献:

篇5

[关键词] 电子商务 网络安全 国家战略 自主信息技术

我国发展电子商务的环境例如:网络基础建设等运行环境、法律环境、市场环境、网上支付、信息安全、认证中心建设等条件等正在逐步完善,国家有关电子商务的政策、法规即将出台,已为各类企业开展电子商务活动建立了基本的环境条件。

随着计算机网络的普及和我国实施信息化进程不断深入,社会各关键领域的运行日益紧密地依赖于信息网络,比如金融部门、航空部门、通信部门以及越来越多的企业参与的电子商务等,然而信息网络又存在着与生俱来的技术漏洞和设计缺陷。于是,网络黑客和各类组织出于各种违法的目的,利用信息网络的漏洞和缺陷发起攻击,从而使信息网络面临严峻的安全威胁。信息网络的安全问题不但难以彻底解决,而且还有可能随着信息网络技术的不断更新,出现日益严重化的趋势。因为每一项新的操作系统和重要网络软件的推出,都将会引起新的网络安全问题。今后,操作系统和软件开发越来越朝着使计算机与互联网及通信联结一体、不断增强其功能的方向发展,这就有可能使信息网络的漏洞和缺陷产生更多、更严重的安全问题,那么企业电子商务发展中的信息安全正在受到企业和客户越来越关注的焦点。

一、网络安全威胁

信息网络面临的安全威胁可以分为以下三种基本类型:黑客入侵、病毒破坏和预置陷阱。

1.黑客入侵

黑客即Hacker音译,专指对别人的计算机系统非法入侵者。20世纪70年代,这个词是褒义词,专指那些独立思考、遵纪守法的计算机迷,他们智商高,对计算机的最大潜力进行智力上的探索,为计算机技术的发展做出了很大贡献。而当今世界,随着信息技术的广泛普及,越来越多的人掌握了黑客技术,使黑客现象发生了质的改变。不少黑客专门搜集他人隐私,恶意篡改他人重要数据,进行网上诈骗、对他人网上资金帐户盗窃,给社会及人们的生活带来极大的破坏性。因此人们普遍认为黑客就是信息安全的最大威胁。

目前,黑客对网络的入侵和偷袭方法已达几种,而且大多都是致命的手段。黑客入侵动机有以下几种:

(1)偷盗窃取。黑客实施网络攻击的另一个目的就是利用黑客技术为个人私利而大肆进行各种各样的偷窃活动。网上盗窃的主要方式有:第一种是偷窃信息和数据。网上的秘密信息和数据都是海量存储,从企业商业秘密、政府机构的资料到军事秘密,种类全面。于是不少铤而走险者,借助快捷的网络去窃取这些信息和数据,通过出售以获取经济利益。据美国中央情报局公布的数据显示,美国公司仅在1992年一年因经济信息与商业秘密被窃取盗用的损失高达1000亿美元以上。第二种是偷窃网上银行的资金或使用网上电支付用户的资金。随着企业电子商务活动的发展,应用网上银行支付或通过第三方支付平台支付的人群越来越多,也为黑客及其他计算机犯罪利用计算机网络盗窃个人或银行资金提供了可乘之机。当用户进行网上购物时,用户只要输入用户密码、银行信用卡密码,完成了网上购物和支付程序。黑客一旦觊觎用户的密码和信用卡密码,则用户在银行账户上的资金便容易被窃取。

(2)蓄意破坏。在2000年3月,黑客使美国数家电子商务网站如:Amazon、eBay、CNN陷入瘫痪,黑客使用了分布式拒绝服务的攻击手段,用大量垃圾信息阻塞网站服务器,使其不能正常服务。国内网站新浪、当当网上书店、EC123等也先后受到黑客攻击,服务器上的各类数据库也受到不同程度的破坏。

2. 病毒破坏

电子商务离不开计算机网络,而病毒制造者通过传播计算机病毒来蓄意破坏联网计算机的程序、数据和信息,以达到某种非法目的。据不完全统计,目前全世界已发现的计算机病毒近6万多种,且每月都会发现数百种新病毒和病毒变体。然而全球与互联网联网的主机节点正在越来越多,这样一个强大的网络群体造成了病毒极易滋生和传播的环境,而病毒破坏成为企业开展电子商务的面临的信息安全重大威胁。目前,破坏计算机的流行病毒可以归纳为以下几类:

(1)蠕虫病毒。1987年出现,这是一种能迅速大规模繁殖的病毒,其繁殖的速度可达300台/月,在危害网络的数据千计的计算机病毒中“蠕虫病毒”造成的危害最大。

(2)病毒邮件。电子邮件是互联网的一项基本而普遍的功能。企业实施电子商务频繁使用的信息传递工具。然而,某些病毒制造者也看中了深受人们喜欢的电子邮件,并将其作为传播病毒的重要手段。

(3)公开发放的病毒。在计算机网络中有一种“共享软件”,它是由计算机用户免费使用、复制以及分享的软件。如果计算机病毒以这种方式公开,就可进入各种领域,并进入各个计算机网络,对计算机网络造成极大的危害。

3.预置陷阱

预置陷阱是指在信息系统中人为地预设一些陷阱,以干扰和破坏计算机系统的正常运行。在对信息安全的各种威胁中,预置陷阱是危害最大、最难预防的一种威胁。一般分为硬件陷阱和软件陷阱两种。

(1)硬件陷阱。指“芯片级”陷阱。例如,使芯片经过一段有限的时间后自动失效,使芯片在接收到某种特定电磁信号后自毁,使芯片在运行过程中发出可识别其准确位置的电磁信号等。这种“芯片捣鬼”活动的危害不能忽视,一旦发现,损失非同寻常,计算机系统中一个关键芯片的小小故障,就足以导致整个网站服务器系统乃至整个连接信息网络系统停止运行。这是进行信息网络攻击既省力、省钱又十分有效的手段。

(2)软件陷阱。指“代码级”陷阱,软件陷阱的种类比较多,黑客主要通过软件陷阱攻击网络。

“陷阱门”又称“后门“,是计算机系统设计者预先在系统中构造的一种结构。网络软件所存在的缺陷和设计漏洞是黑客进行攻击服务器系统的首选目标。在计算机应用程序或系统操作程序的开发过程中,通常要加入一些调试结构。在计算机软件开发完成之后,如果为达到攻击系统的目的,而特意留下少数结构,就形成了所谓越过对方防护系统的防护进入系统进行攻击破坏。

二、维护网络信息安全的对策

信息网络已经被深入应用到世界上许多国家的商务贸易活动、经济、政治、文化、军事等各个方面,构成其社会的关键性基础设施,信息安全已上升为这些国家的安全核心。面对日益严峻的信息安全威胁,各国政府无不高度重视信息安全,积极寻找有效的安全对策。当前,我国与世界其他国家一样,为维护信息安全确保企业开展电子商务的安全环境,所采取的基本对策如下。

1.制定政策,建立安全管理机构,将网络信息安全纳入国家战略

各国都认识到信息安全不单纯是一个技术问题、产业问题、经济问题,而是涉及各行业、各层面的综合性社会问题,国家必须从战略高度来制定相关国家政策给予指导,并成立专门的机构来负责信息安全问题。

2.研发自主信息安全技术,为信息安全提供坚固屏障

信息安全保障从根本上来说是一个信息技术发展水平与开发能力的问题,要有效地打击网络犯罪,最终还要依靠不断发展和完善的信息安全技术。目前最广泛的五种计算机网络安全技术是:反病毒软件;防火墙技术;物理设施安全保护;密码控制;反入侵管理。在电子商务中采用的安全技术主要有防火墙技术、虚拟专业网络技术、防杀病毒技术、数据加密技术、身份认证技术等。

当前国际上信息安全技术研究的重点有公开密钥基础设施和计算机犯罪取证技术。公开密钥基础设施,是一个由计算机硬件、软件、数据库、网络、安全过程和合法规范共同组成的基础设施。计算机犯罪取证研究主要集中在:入侵者入侵路径跟踪;入侵行为再现;证据的保存、恢复;操作系统指纹等方面。

3.制定法律法规,为信息安全提供良好的法律环境

计算机网络犯罪具有隐蔽性,原有的传统的法律难以有对这类犯罪有效打击,为此需要制定与信息安全相关的法律和法规,加大执法力度,从而为网络信息安全提供必要的法律保证。

4.加强信息安全的国际合作,共同打击网络犯罪

经济发展全球化,跨国集团公司正在日益增加,那么犯罪分子攻击计算机网络进行违法犯罪也具有超越地域和全球化趋势。他们利用网络的迅速和浏览网络内容的无国界,形成了网络犯罪不分国界的特性,因此世界上许多国家的网络警察之间建立了十分密切的联系,并在一定的国际法规框架下相互协作。

参考文献:

篇6

关键词:中小型企业网络,虚拟专用网,远程数据传输,安全性

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)27-6099-03

1 概述

在计算机网络飞速发展的今天,网络营销,电子商务等快速进入企业业务活动中,企业总部、企业地方分支机构、移动出差人员,充分利用Internet的公共资源及便利条件,通过VPN(Virtual Private Network,虚拟专用网)技术它们连接在一起,形成一个跨地域更大的网络,方便企业用户、分支机构及合作伙伴随时随地的接入并访问企业网络,与企业总部网络进行数据信息安全传输与交流,不但给企业带来数字化时代,方便信息交流与企业的管理,而且也给企业带来不菲的经济效益,与此同时,也给企业网带来了安全隐患,数据信息如何跨越公共网络的复杂环境进行安全的远程传输成为关键。对于中小型企业资金相对比较贫乏,技术力量薄弱这种情况,研究经济实用的远程数据信息安全性传输就显得非常重要。

2 中小型企业网络现状及需求

国有大中型企业是我国的经济支柱,中小企业是我国经济组成的重要组成部分,我国中小型企业众多,对计算机网络技术应用比较简单,没有很好的利用Internet的优势,实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公,数据处理,属于“单机版”类型,或者企业分支机构与总部就是简单通过电子邮件,或者qq进行企业数据信息传输,这样安全保密性太差。主要原因是:

1) 中小型企业资金比较贫乏,没有更多的资金来购买成熟网络安全产品,而且成熟的网络安全产品价格一般比较昂贵,主要面向大型企业。中小型企业分布广,业务灵活,经济实惠的远程数据安全传输解决方案甚少,而且技术复杂,维护较难,不能满足中小企业的需要。

2) 中小型企业技术力量薄弱,没有专业的网络技术人员,一般是企业年轻的懂点计算机的员工兼职网络管理,与专业网络管理员还有一定的差距。

3) 中小型企业网络基本属于一个“信息孤岛”,与外界进行数据通信不能做到安全可靠传输,不能确保数据信息不泄露、不丢失、不被篡改等,影响企业的快速发展。

3) 中小型企业领导重视网络建设还不够,网络建设相对比较简单,根据中小型企业目前对网络的需要及依赖,进行简单网络建设,没有长远的网络建设规划,致使企业在壮大的过程中,网络建设不能快步跟上,往往被忽视。中小企业网络由于资金贫乏,技术力量不足等原因,在建设的初期就还可能留下许多漏洞与不足,这样更容易被黑客攻击。

4) 中小型企业用户不能进行远程数据信息的安全可靠传输,企业员工,或者领导外地出差,或者分支机构的网络,就不能访问企业网络,不能远程进行办公,远程快速的进行事务处理。

5) 中小型企业与合作伙伴之间没有利用互联网的优势,在它们之间没有建立一个企业扩展网络,导致数据信息的安全交流和企业的密切合作收到影响。

在复杂的网络环境下,解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了,还需考虑方案的经济实用,维护简单容易。对于中小企业网络中传输的重要数据信息,如财务报表等,必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改,没有被破坏,没有被丢失等;可用性是数据信息可被授权实体访问,并按需求使用的特性,即指定用户访问指定数据资源;机密性是保证数据信息网络传输保密性和数据存储的保密性,数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源,其他人限制对数据信息的读写等操作。

3 经济实用安全方案

从中小型企业网络现状及需求,利用VPN技术跨越Internet组建中小企业扩展网络,保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验,研究出经济实用,安全可靠,配置和维护比较容易的中小型企业网络安全性解决方案,如图1所示。VPN服务器也称为VPN网关,可以使用高性能的计算机来担当,并且安装两块网络适配器,一块网络适配器用于连接中小型企业内部网络,分配内网IP地址,另一块网络适配器连接外部网络,分配外网IP地址。VPN服务器是内网和外网连接的必经之路,服务于内外两个网络,也是内网的安全屏障,相当于中小型企业的防火墙,它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统,充分利用公共网络Internet的资源,通过VPN技术,实现中小企业远程数据信息传输的安全性、完整性,可用性和保密性。

3.1 IPSec VPN保证数据信息远程安全传输

1) VPN技术

VPN又称虚拟专用网,是在公共网络中建立专用网络,数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输,即充分利用公共网络如Internet的资源,达到公网“私用”的效果。中小企业只需接入Internet,就可以实现全国各地分支机构,甚至全世界各地的分支机构,都可以随时随地的访问企业网络,实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处,是企业网络发展的趋势。

2) IPSec协议

IPSec是一个开放的应用范围广泛的网络层VPN协议标准,是一套安全系统,包括安全协议选择、安全算法、确定服务所使用的密钥等服务,在网络层为IP协议提供安全的保障,即IPSec可有效保护IP数据报的安全,如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证,保证经过网络传输过程中数据信息完整性检查,加密IP地址及数据信息保证其私有性和安全性。

3) 基于IPSec的VPN技术

基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁,实现在不信任公共网络中,通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层,基于TCP/IP的所有应用都要通过IP层,将数据封装成一个IP数据包后再进行传输,所有要实现对上层网络应用软件的全透明控制,即同时对上层多种应用提供安全网络服务,只需要在网络层上采用VPN技术,基于IPSec的VPN技术提供了5种安全机制,即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术,通过基于IPSec的VPN技术,来保证传输数据的安全性、可用性、完整性和保密性[1]。

(1)隧道技术,隧道也可称为通道,是在公用网中建立一条虚拟加密通道,让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议,第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输,第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子协议保护IP数据包和IP数据首部不被第三方侵入,在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户,通过IPSec安全策略的配置实现对网络安全通信的保护意图,其安全策略包括什么时候什么地方对AH和ESP保护,保护什么样的通信数据,什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。

(2)加密解密技术,是为了保障虚拟“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取数据信息的能力,同时保证必须使偷听者不能破解或解密拦截到的的数据信息,但是授权用户可以通过解密技术,完整的访问数据资源。

(3)身份认证技术是通过对企业分支用户或远程用户进行身份进行验证,提供安全防护措施与访问控制,包括对VPN“安全隧道”访问控制的功能,有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证,严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息,包括用户名及密码,并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。

(4)密钥交换技术,为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器,现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发,实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接,还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书;如果不安装证书,则需要配置预共享的IPSec密钥。

(5)防重演保护。具备防止数据重演的功能,而且保证通道不能被重演。确保每个IP包的合法性和惟一性,保证信息万一被截取复制后,或者攻击者截取破译信息后,再用相同的信息包获取非法访问权,确保数据信息不会被重新利用、重新传回目标网络,

3.2其他辅助安全措施

对VPN服务器,还可以启动软件防火墙功能,如安全访问策略、日志监控等功能,还可以安装杀毒软件,为内网提供安全屏障,再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则,分析IP数据报、TCP报文段、UDP报文段等,决定数据包是被阻止,还是继续转发,从网络层和传输层上再次给予安全控制,提供了多层次安全保障体系。还可以增加应用层的过滤规则配置,再次提升VPN服务器安全性。

4 实践应用分析

通过实践应用,跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障,该方案充分利用VPN的“公网专用”的特点,允许中小型企业拥有一个世界范围的专用网络,在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性;通过辅助的防火墙功能,进一步增加其安全。该方案使用高性能的PC充当VPN服务器,并配以Windows Server 2003操作系统,无需额外的复杂硬件设备与高昂的系统软件,成本低、经济实用、容易实现、维护简单,是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外,还是一个中小企业的防火墙,安全配置、安全策略容易实现,一旦出现较大安全威胁,便于快速隔离网络。

当然此方案也存在一些缺陷,主要是有依赖操作系统的安全性,操作系统本身的漏洞可能会造成安全隐患;VPN服务器是集多种服务于一体,需要较高高性能的计算机;VPN服务器故障会导致网络连接失效;由软件实现数据加密与解密、包过滤等,一定程度会占用系统资源,也会使通信效率略有降低;同时重注企业内部员工的安全培训,有效地抑制社会学的攻击,对来自企业内部员工的攻击显得无能为力。

5 结束语

跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单,为中小企业打造一个世界范围的网络提供了较有力的技术支持,使得中小企业网络也融入到互联网这个“大家庭”中,不仅提高了中小型企业的工作效率,而且增强了其竞争力,将推动中小型企业电子商务,电子贸易,网络营销走向繁荣,加快了中小企业网络信息化和经济快速发展的步伐。

参考文献:

[1] 郝春雷, 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代,2007,(21):45.

[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地,2007,(7):46-47.

[3] 李春泉,周德俭,吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报,2004,3:365-368.

[4] 韩儒博,邬钧霆,徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息,2005,14:1-3.

篇7

关键词:企业网络安全;内网安全;安全防护管理

中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01

一、企业网络安全防护信息管理系统的构建意义

据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。

二、企业网络安全防护信息管理系统总体设计

(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。

由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。

(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。

(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。

三、企业网络安全防护信息管理系统详细设计

(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。

安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。

(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。

安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。

(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。

综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。

参考文献:

篇8

关键词:域;组策略;网络安全

随着信息化的发展,企业网络的用户计算机不断增多,企业网络安全管理的难度会变的越来越大,如果用户的计算机的安全设置需要网络管理员一台台进行,那么将给网络管理员带来很大的负担,同时也给企业带来了较大的网络安全管理费用,虽然通过配置本地安全策略加强了工作组中计算机的安全性。但在企业网络域环境中,如果要对多台客户机进行同样的安全设置,可以通过“组策略”对多台企业计算机客户机进行统一的配置。通过在公司网络系统中应用域的组策略,网络管理员可以很方便地管理活动目录中的用户和计算机的工作环境,如用户桌面环境、用户计算机启动、关机与用户登录、注销时所执行的脚本文件、软件安装、计算机安全设置等,大大提高了企业网络系统的管理效率和安全性。总体来说,在企业网络中利用域组策略可以影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境,有利于降低布置用户和计算机环境的总费用;只须设置一次,相应的用户或计算机即可全部使用规定的设置,有利于减少用户不正确配置环境的可能性;有利于推行公司使用计算机的规范。

一、域组策略结构分析

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以很方便地设置各种软件、计算机和用户策略。例如,可使用"组策略"从桌面删除图标、自定义开始菜单并简化控制面板。此外还可添加在计算机上运行的脚本,甚至可配置IE。组策略是以一个管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和安全配置。组策略在类别以及功能结构上进行了细化,并且按照客户端,服务器和序列号,把整个组策略划分为三大部分,客户端的管理在安全性方面除了已经出现的是否允许在客户端保存密码和对客户端的登陆验证策略之外,更加强调了它的安全性管理,通过远程桌面服务远程访问的程序,它们看起来像是运行在最终用户的本地计算机上一样。远程桌面服务向管理员提供分组和个性化以及虚拟桌面的能力,使最终用户在运行计算机的开始菜单上可以使用它们。

域组策略GPO,在域控制器上针对站点,域或OU来配置组策略,其中域策略内的配置应用到所有域内计算机和用户上,OU对应到该OU内,如果本机冲突则以域或OU组策略的配置优先,本机无效。组策略的组件组策略的具体设置数据保存在GPO组策略对象中,被视为活动目录中的一种特殊形象,可以将GPO和活劢目录的容器站点、域和OU连接起来,以影响容器中的计算机和用户。组策略是通过使用组策略对象来进行管理的。服务器的管理,在更早版本的系统中,因为分类不清晰,当需要实施一条新的组策略时,要在根目录下逐条寻找策略,这就无形之中就增加了实施的时间成本。相对而言,Win2008的组策略设置具有了类别化,系统管理员更加容易从这些类别目录中找到自己所需要的策略。

二、域组策略应用规则

继承与阻止继承,在默认情况下,下层容器会继承来自上层容器的GPO,子容器可以阻止继承上级的组策略;累加,容器的多个组策略设置如果不冲突,则最终有效策略是所有组策略设置的总和,容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略,组策略按以下顺序被应用:首先应用本地组策略对象,如果有站点组策略对象,则应用之,然后应用域组策略对象,如果计算机或用户属于某个OU,则应用OU上的组策略对象,如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象,如果同一个容器下链接了多个组策略对象,则按照策略优先级从大到小逐个应用。组策略的“强制生效”会覆盖“阻止继承”设置,也就是如果上级容器中的策略设置强制生效,那么下级容器与其相冲突的一律无效。但NTFS权限的继承与阻止继承是哪个后设置,后设置的生效。

三、域组策略的实现方法

用组策略实现软件分发,准备MSI软件数据包,它是实现软件分发功能所必要的文件格式,通常包含了安装内置程序所要的环境信息和安装或卸载时需要的指令数据。首先创建软件分发点,包含有用来分发软件的包文件所在的共享文件夹,创建分发点要或分配的计算机程序,必须在服务器上创建一个点。然后以管理员登录并创建共享,放入msi文件和可执行文件,分配文件夹权限;创建组策略对象,设置组策略不链接组策略对象,计算机配置到软件设置到软件安装选择新建数据包再打开已分配时选择启动时自动安装。

使用组策略配置脚本,一般情况下,如果管理员需要实现某项管理功能,而现有的组策略设置选项又不能实现,则需要创建一个脚本来完成,然后使用组策略自劢运行该脚本。在win 2008中,可以使用组策略中的脚本功能来运行的脚本主要有批处理文件、可执行程序,以及支持脚本的windows脚本主机等。组策略脚本设置可以集中存储脚本文件,在计算机启劢、关闭、用户登录,以及退出时自劢运行,而且必须将组策略脚本添加到组策略模版的指定位置后才能自动运行。组策略脚本复制可以实现使用组策略重定向文件夹到主目录,使用组策略重定向文件夹到根目录,使用组策略重定向文件夹到本地配置文件位置,使用组策略为丌同的用户组指定位置,使用组策略重定向特殊文件夹到指定位置,使用组策略自动运行脚本,先要将脚本复制到适当的组策略模版文件夹中。另外使用组策略还可以制定软件限制策略,使用路径规则实现软件限制,使用哈希规则实现软件限制。

利用组策略实现其它方面的企业网络安全如下:通常操作系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?其实很简单,可以按照下面的操作来修改系统的组策略参数:首先以普通权限的帐号登录系统,打开对应系统中的IE浏览器窗口,单击其中的工具菜单项,从下拉菜单中点选选项命令,弹出选项设置窗口,其次点选选项设置窗口中的连接选项卡,进入连接选项设置页面,单击该设置页面中的局域网设置按钮,选中其后设置页面中的为LAN使用服务器选项,再任意输入一个服务器的主机地址以及端口号码,再单击确定按钮执行参数设置保存操作之后注销系统,换用具有特殊权限的用户帐号重新登录进入系统,依次点选开始、运行命令,在其后出现的系统运行框中输入相关命令,单击确定按钮后,进入对应系统的组策略控制台窗口,选中该控制台窗口左侧位置处的计算机配置节点选项,再从目标节点下面依次展开管理模板、Windows组件、控制面板子项,再用鼠标双击目标子项下面的禁用连接页组策略项目,此时系统屏幕上会弹出目标组策略属性设置对话框,选中已启用选项,再单击确定按钮执行设置保存操作,这么一来,普通权限的用户在系统中尝试访问网络时,IE浏览器会自动连接一个失效的服务器,那么IE浏览器自然也就不能正常显示网络页面内容了,而具有特殊权限的用户在系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容。

篇9

【关键词】计算机系统;网络安全;技术措施

0.前言

计算机系统的安全问题是一个关系到人类生产与生活的大事情, 必须充分重视并设法解决它。笔者的工作单位是电力企业, 通过这几年信息化的发展, 深深体会到企业, 特别是电力企业在网络安全、数据安全方面的重要性, 这里就其安全需求和防护问题进行论述。

1.威胁网络安全的因素主要类型

(1)黑客入侵。由于网络边界上的系统安全漏洞或管理方面的缺陷(如弱口令),容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络,使用被入侵的计算机或网络的信息资源,来窃取、破坏或修改数据,从而威胁电力企业信息网络安全。

(2)信息泄漏。相对于黑客入侵这种来自网络外部的威胁而言,信息泄漏的主要原因则在于企业内部管理不善,如信息分级不合理、信息审查不严和不当授权等,都容易导致信息外泄。

(3)拒绝服务攻击。信息网络上提供的FTP、WEB和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加CPU的负荷,当系统资源消耗超出CPU的负荷能力时,此时网络的正常服务失效。

(4)病毒。通过计算机网络,病毒的传播速度和传播范围程度惊人,它可以在数小时之间使得全球成千上万的网络计算机系统瘫痪,严重威胁网络安全。病毒的危害性涉及面广,它不仅可以修改删除文件,还可以窃取企业内部文件和泄露用户个人隐私信息等。

2.企业网络安全威胁来源

电力企业网络不仅连接企业各部门, 还连接企业内的终端机。由于内部用户对网络的结构和应用模式都比较了解, 因此还存在着来自内部的安全。归结起来,针对网络安全的威胁有以下几个方面:

(1)人为的失误操作。如网络管理员对服务器系统、应用软件服务器端和网络设备设置不当造成的安全漏洞; 网络用户或低权限用户的无意识错误操作通常有口令设置不慎,将自己账号随意借用他人、任意共享本地资源等行为对网络安全带来威胁。

(2)人为的恶意攻击。此类攻击分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性; 另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这是计算机网络所面临的最大威胁,可对计算机网络造成极大的危害,并导致机密数据的泄露。

(3)软件的漏洞。网络软件不可能是百分之百的无缺陷和无漏涧的,尤其是操作系统的安全性。这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。此外,在软件开发过程中的程序后门也是软件安全漏洞的重要因素。

(4)计算机病毒。在网络环境下, 病毒具有不可估量的威胁和破坏力。

(5)网络管理制度不健全。为了维护企业网络的安全, 单纯凭技术力量解决是不够的,还必须具有完善的网络管理制度,目前企业还有很多不完善、不周全的地方。

3.电力企业网络安全的技术措施

(1)安装防火墙系统。防火墙系统是允许信任网络信息通过,阻止非信任网络信息通过的技术。这种技术主要是通过在一个固定的信息集合的检查点,并在这个固定的检查点对通过的网络信息进行统一、强制性的拦截和检查,通过限制一些指令的进入来对自身存储的信息进行保护的措施。电力系统的生产、计算、销售以及管理等都不是在同一个地方完成的,因此其信息的集合与整理,需要通过两段不同的信息渠道,然后通过对指令的过滤和筛选,控制其信息的出入,对具有破坏作用的信息进行组织,放行符合网络要求的信息,设置信息访问的权限,来保证信息资源的安全。

(2)防病毒侵入技术。防病毒侵入系统能够有效地阻止病毒的进入,进而有效地防止病毒对电力系统的信息进行破坏。这种措施通常是在电脑上下载安全的杀毒软件,还应该安装服务器,对防病毒系统进行定期的维护,保证其能够有效正常地运行。此外,在网关出还应该安装相应的网关防病毒系统。也就是说,通过在电力系统的所有信息系统中安装全面防护的防病毒软件,对各个环节进行防毒处理,并创建合理的管理体制,以起到对计算机可能出现的病毒侵入进行预防、监测和治理,同时还应该及时对防病毒系统进行定时的升级。通过上述的所有手段,这样才能有效地对即将侵入信息管理系统的病毒进行处理。

(3)虚拟局域网网络安全技术。虚拟局域网技术简称VLAN技术,VLAN 技术是将相关的LAN 合理的分成几个不同的区域,促使每一个VLAN 都能够满足计算机的工作要求。由于LAN 的属性决定其在逻辑上的物理划分必须在不同的区域哈桑,在每一个工作站上都有特定的LAN网段,每一个VLAN中的信息都不能和其他的VLAN 上的信息进行交换,这种技术能够有效地控制信息的流动,并且有助于网络控制的简单化,从而提高网络信息的安全性。

(4)信息备份技术。电力系统的所有信息在进行传输之前,都应该进行备份,并且备份也要按等级进行,根据数据的重要程度,对信息进行分级备份,将这些备份信息进行统一管理,并且还应该定期的对备份的信息进行检查,以确保其可用性和准确性,以此防止当电力系统信息出现故障的时候,因为数据丢失造成严重的损失。

4.维护电力系统网络安全的管理

(1)网络信息安全的意识和相应的手段。意识决定着人类的行动,想要提高网络信息的安全性,首先应该通过学习和培训,促使电力企业的信息管理部门养成良好的网络信息安全意识,促使他们掌握一些安全防护意识与挖掘结局问题的能力。再通过对其进行专业的网络信息安全技能培训,使其掌握操作统计网络信息的设备的应用,在此基础上,完成对信息系统安全性的管理。

(2)强调安全制度的重要性。如果没有健全的制度对信息安全进行界定,就无法衡量信息的安全性与合法性,没有相关的制度就无法形成相应的安全防护系统。因此,电力企业应该从企业全面发展的角度出发,在对相关的网络信息安全制度充分研究的基础上,再根据企业的具体情况,为企业的网络信息安全制定一套完整的,具有指导作用的安全制度,并将此制度形象化、具体化,制定明确的条文,并且将企业的网络信息安全管理和法律向连接,对危害企业网络信息安全的因素通过法律途径惩治,以此来为电力企业的网络安全保驾护航。

(3)建立专门的安全管理部门。通过建立专门的管理网络信息安全的部门,对电力企业的信息安全进行管理,通过该部门对相关资料不断地研究,再结合自身企业的具体情况,制定符合企业自身情况的网络安全管理系统,并对此系统不断地进行维护和完善。此外还应该设定特定的岗位,将任务分级,根据不同的等级将该系统的任务分配到相关的人员手中,然后通过垂直管理,一级一级地对电力企业的网络信息安全进行检查,通过部门内所有人员的协调和配合,保证其安全有序地进行下去。

5.结语

综上所述,随着我国经济和社会的飞速发展,电力企业在我国国民经济中的比重日益提高,电力企业网络系统的安全、稳定、有效运行对整个国民经济的稳定运行起着十分重要的作用。针对电力企业网络所面临的各种不同的威胁,我们只有采用与之相应的安全措施,才能保证电力企业局域网的安全、正常和稳定运行。

【参考文献】

[1]赵小林.网络安全技术教程[M].北京:国防工业出版社,2006.

篇10

在油气田企业中,现在更加重视网络安全管理,但是依然存在很大的问题和漏洞,为了对产业的发展不造成影响,在计算机网络技术的辅助作用下促进企业的发展,就需要加强网络安全。目前最常用的就是防火墙,在这方面的引用该还需要不断的提高,提升安全保护。本文分析了油气田网络安全中存在的问题和提出防火墙安全防护措施。

关键词:

油气田企业;网络安全问题;防火墙;安全防护策略;探讨分析

油气田企业在发展过程中,需要应用到现代新的网络技术,而且这是对其发展是必不可少的,很多技术的应用都是以网络信息技术作为支撑的。但是网络有其本身的缺点和弊端,在使用过程中的一些问题也会对企业造成损害,所以有必要加强网络管理安全,采用防火墙技术,是较为常用的防护措施之一。

1油气田企业中的存在的网络安全问题

1.1网络漏洞容易受到外来的攻击

网络信息技术的使用中,本身是有缺陷漏洞的,势必会导致一些入侵的现象,也就是“钻空子”,非法侵入网络系统。这样的行为会对我们自身的安全造成很大的威胁,对一些机密的资料和技术会造成破坏和窃取。或者入侵网站,恶意的攻击,对油气田企业的正常发展和运营造成巨大的影响,比如说造成信息的流失和系统完整性的破坏。所以我们对网络技术安全建设需要加大力度,实时监督力度也要加强,防止破坏性的入侵[1]。

1.2网络管理水平低下

没有油气田企业设置有专门的网络管理部门,这样能够对网络进行实时维护和安全管理监控,随着现代科技的不断发展,网络技术的更新也很快,所以对安全管理提出了更高的要求。油气田企业中网络技术应用广泛,所以网络技术和安全需要重视,但是由于企业内部人员在网络技术方面欠缺能力,专业技能和知识不是很扎实,造成油气田企业的网络安全威胁,不能对网络做到维护,和构建安全完整的企业系统。所以,为了避免这样的情况发生,需要引入专业的计算机人才负责企业的整个网络运行,保证按安全生产。

1.3网络技术服务系统没有及时更新

网络信息具有时效性的特征,网络技术在油气田企业中的应用范围是很广泛的,既有网络技术,又有网络管理。大多数企业将重点放在了基础设备的更新使用上,对硬件比较重视,往往忽略了软件的使用更新和系统的升级,现代技术发展很快,所以对许多软件的淘汰率很高,如果不能做到及时的更新和升级,势必引起安全问题[2]。

2防火墙安全防护措施分析

防火墙是一种很基础也很普遍的网络安全防护技术,是保护计算机安全的基础。防火墙的本质是介于计算机和网络之间的一种安全软件。防火墙的主要作用是对互联网的一些业务信息进行过滤和监测,对计算机本身的使用具有监控,通过系统记录实现网络安全防护。现代油气田企业中大量使用网络技术,所以防火墙这种基本的安全防护手段用的较多,防火墙对现代油气田企业的网络安全发展形成一种辅助作用,能够避免网络上的一些较大疏漏。防火墙再具体使用和设置的时候,为了保证安全,需要依据以下原则。第一,设置任务目标明确。根据企业具体的发展和网络设施的实际情况,以及油气田企业特殊的要求等等进行安全防护。第二,保证使用产品的安全性。防火墙也是有好有坏,性能也是不一样的,所以企业在选择的时候,应该不吝成本,购买安全性能高的防火墙,保证使用时安全防护功能的行使。第三,设施的维护要方便。放火墙的维护使用做到简便,这样对工作人员来说会更加得心应手,使防火墙得到有效的实际应用,管理操作人员需要有灵活的操作策略[3]。防火墙一方面能够将网络中的一些垃圾和恶意的信息进行拦截,另外使网络系统免受外界的攻击,这是其主要发挥的功能[4]。对于油气田企业来说,这是极其重要的。防火墙保证了油气田企业的一个良好安全的运行环境,使得网络服务和技术使用更加通畅。同时,抵御网络的攻击,保证企业的利益。

3结语

综上所述,在油气田企业中,现在更加重视网络安全管理,现代网络信息技术在油气田企业的使用中更加广泛和普遍,重要的是更新维护很快,对企业的发展具有促进作用。但是在实际管理中,又出现很多问题,影响到网络的安全正常的运行,所以我们需要针对这些出现的漏洞进行安全防护措施的实施,保证油气田企业网络的服务系统的安全。防火墙技术的使用具有很大的效果,在现代技术快速发展的前提下,我们需要做到全面的防护,才能保证真正的网络安全。

参考文献:

[1]郭培龙,宋颖杰,张振宇.在油田企业中提高网络安全的可行性分析[J].信息系统工程,2012,05:63-64.

[2]田吉凤.油田企业网络安全问题及防火墙防护策略[J].油气田地面工程,2013(11):16-17.

[3]薛擎天,杨健.在油田企业中网络安全及防火墙技术的应用[J].中国新通信,2012(22):3-3.