企业网络安全建设方案范文
时间:2023-09-20 16:59:25
导语:如何才能写好一篇企业网络安全建设方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
篇2
关键词:企业网络;信息安全;安全方案构建
1 企业计算机网络安全方案的构建意义
目前,我国大中型企业信息化建设中的关键部分就是信息安全建设,解决信息安全问题有利于企业信息化建设工作的全面推进。企业信息安全建设的最终目的是要真正做到“防患于未然”,信息安全的有效性建设能够控制企业信息化建设的总体成本,为企业节约大量资金,实现资源优化配置。企业计算机网络安全建设工作要始终坚持等级保护理念,才能促进企业信息安全建设工作的稳步实施,保证企业信息管理系统的建设符合行业标准和政策规定,全面提升企业在激烈的市场竞争中的竞争力。
2 企业计算机网络安全的弱点和威胁
2.1 信息安全弱点
信息安全弱点与企业信息资源密切相关,信息安全弱点的暴露很有可能导致企业资产的严重损失。但是,信息安全弱点本身并不会为企业带来损失,只是在特定的环境下被非法者利用后才会造成企业资产损失,例如,企业信息系统开发过程中的脆弱性问题,管理员的管理措施问题等,这些信息安全弱点都为非法攻击者提供了非法入侵的可能。
2.2 信息安全威胁
信息安全威胁指的是对企业资产构成潜在性的破坏因素,信息安全威胁的产生包括人为因素和自然环境因素。信息安全威胁可能是偶然发生的事件,也有可能是人为蓄意制造的时间,包括信息泄露、信息篡改等,这些事件都会导致企业信息的可用性、完整性和保密性遭到破坏,属于对企业信息的恶意攻击。
2.3 网络安全事件
由于网络特有的开放性特点,造成了非法攻击、黑客入侵、病毒传播等海量安全事件发生,信息安全领域对于网络安全的研究也日益重视。根据大量网络安全事件分析来看,企业信息管理系统的应用设计存在着诸多缺陷和弊端,给情报机构的非法入侵提供了极大的可能性。由此,内容分级制度、脆弱性检测技术、智能分析技术已经广泛应用于企业信息系统开发过程中。
3 企业计算机网络安全存在的主要问题
⑴企业分部采用宽带拨号上网的方式与企业总部实现通信传输,这种落后的网络通信方式难以保证数据传输的安全性。企业信息安全级别较高的部门通过互联网实现数据传输的过程中,没有采取任何数据加密措施,非常容易造成数据信息的泄露和篡改,同时,企业信息管理系统的操作应用没有设置明确的管理人员,导致其他非法用户也可以入侵到企业内部网络中,对服务器数据进行窃取和篡改。以上两种网络安全问题都容易造成企业重要数据的泄露,甚至给企业带来不看估计的损失。
⑵随着企业网络规模的日益扩大,在网络边界如果仍然采用路由器连接企业内部网络和外部网络,已经无法适应飞速发展的网络互连技术。企业虽然可以在网络边界的路由器中设置访问控制策略,但是仍然存在来自互联网的各种非法攻击、IP地址攻击、ARP协议欺骗等问题,这表明了企业需要一善可靠的防火墙设备,来对企业网络的数据传输提供有效控制和保护。
⑶由于互联网技术的飞速发展,为企业提供了丰富的信息资源,除了企业日常运营需要使用网络资源,其他工作人员也有可能通过网络获取信息资源,例如使用迅雷、BT等软件下载视音频信息等,网络下载会占用企业大部分带宽资源,严重的会导致系统管理员无法对网络终端的访问情况进行有效管理,或者某一个计算机终端因下载感染病毒而引发ARP欺骗。
⑷随着互联网应用的日益普及,木马病毒的广泛传播,企业员工计算机使用水平参差不齐,不能保证对网络中的有害信息进行有效识别,由此导致了木马病毒在企业内部网络的感染和传播。因此,需要定期对企业数据传输的原始数据流进行病毒查杀和威胁分析,以此起到有害信息过滤的作用,使流入企业内部网络的数据信息能够安全可靠,真正降低企业信息安全风险。同时,企业可以采用网关防病毒产品,在企业内部网络与外部网络处进行隔离保护,当木马病毒出现时可以被拦截在企业内部网络之外,为企业提供可靠的安全边界保护。
4 企业计算机网络安全方案的构建实施
企业总部需要与企业分部,以及其他合作企业之间实现数据传输与交换,企业派往外地出差的员工也需要通过远程网络访问企业总部内网的信息管理系统,因此,不同用户企业总部内部网络的访问有着不同需求,企业必须具有安全可靠、性能较高、成本较低的网络接入方式。由于企业分部大部分与企业总部不在一个城市,在企业总部与企业分部之间铺设光缆线路是极为不现实的;如果租用专用光纤网络通信线路,高额的租赁费用会严重增加企业运营发展的经济负担;如果将企业总部内部网络的应用服务器映射在网关位置,虽然能够方面用户远程访问企业内部信息管理系统,但会给企业网络带来巨大的安全隐患。本文基于以上分析,本文选择利用VPN技术(虚拟局域网)在企业内部网络出口处,虚拟设置一条网络专线,以此将企业总部与企业分部网络进行有效连接,形成一个规模较大的局域网,真正实现了用户远程访问和接入。VPN技术不仅能够满足异地用户对企业总部网络信息管理系统的访问需求,而且充分保证了用户访问的安全性,避免了单点登录技术对企业整个网络构成的安全威胁。
企业在部署上网行为管理设备(SINFOR M5X00-AC)时,应该开启VPN功能,在企业总部内部网络的边界防火墙设备中进行端口映射,同时在企业分部网络中安装上网行为管理设备,并且与企业总部的上网行为管理设备共同利用VPN技术建立虚拟专用网络,在对数据信息进行加密后在互联网上传输。企业在构建虚拟专用网络时,只要在任何一端的连接管理设置中输入对方网络地址,VPN设备就可以自动进行虚拟局域网组建,网络中的任何计算机终端都可以通过虚拟专用网实现数据传输与共享。如果还有其他分部需要加入到虚拟局域网中,则可以通过输入加密的访问WAN扣地址实现。需要注意的是,已将连通的虚拟局域网的内网网段不能完全相同。
企业在部署上网行为管理设备时,由于访问控制策略是信息安全策略的核心部分,也是对网络中数据传输的关键保护措施,由此,需要对接入企业总部网络的用户进行身份认证,根据不同用户的身份授予不同权限,再利用配置逻辑隔离服务器实现不同用户身份对不同应用服务器的接入,从而对企业内部网络中的业务信息管理系统进行访问和使用。同时,安全级别为五级的QoS安全机制能够为企业不同信息系统提供相应的安全服务保障,并且可以按照业务类别划分优先级别,重要的数据信息将会获得优先传输的权限。对用户访问权限的细致划分可以限制非法用户对网络资源的访问和使用,防止非法用户入侵企业内部网络进行破坏性操作,直接对接入企业内部网络的各项访问应用进行管控,真正提高了企业网络系统的安全性。
在企业内部网络部署应用安全产品过程中,需要综合考虑如何完成安全产品的部署策略,才能使安全产品的性能充分发挥,同时,企业内部网络还可以将不同的安全产品集成应用,使其发挥最大功能,充分提高企业信息管理系统的安全性和可靠性。
本文基于信息安全等级指导思想下,对企业内部网络存在的问题进行了分析,并提出了良好的解决方案,包括防火墙的部署、入侵检测设备的部署、上网行为管理设备的部署、防毒墙的部署、企业版杀毒软件的部署等。
5 结论
综上所述,本文在网络信息安全等级保护理念下,将企业内部网络的安全防护的有效性作为最终目标,对企业网络信息安全存在的风险进行深入分析,结合企业实际情况,提出了企业计算机网络安全设计方案,保障了企业总部内部网络与分部网络之间数据传输通信的安全性和可靠性。
[参考文献]
[1]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013,09:25-27.
[2]王迅.电信企业计算机网络安全构建策略分析[J].科技传播,2013,07:217+209.
[3]陈玮.企业无线网络移动办公的安全接入问题分析[J].信息通信,2013,03:239.
篇3
网络安全建设要具有长远的眼光,不能仅仅为了眼前的几种威胁而特意部署安全方案。
垃圾邮件、病毒、间谍软件和不适内容会中断业务运行,这些快速演变的威胁隐藏在电子邮件和网页中,并通过网络快速传播,消耗着有限的网络和系统资源。要防范这些威胁,就需要在网络安全方面有所投入才行。但现在的经济形势让众多中小企业面临生存挑战,it投入的缩减,专业人员的不足等因素,相比大型企业来说,都让中小企业在对付网络威胁方面更加无助。
即使投入有限,中小企业的网络安全需求一点也不比大企业少。在现实情况中,中小企业往往还对便捷的管理、快速的服务响应等要求更高。那么中小企业如何在有限的投入中构建完善的网络安全体系呢?试试下面这几招。
第一招:网关端防护事半功倍
内部病毒相互感染、外部网络的间谍软件、病毒侵袭等危害,使得仅仅依靠单一安全产品保证整个网络安全稳定运行的日子一去不复返了。而应对目前新型的web威胁,利用架设在网关处的安全产品,在威胁进入企业网络之前就将其拦截在大门之外是更加有效的方法。对于中小企业来说,选择一款功能全面、易于管理和部署的网关安全设备,不但可以在第一时间内对各类web流量内容进行扫描过滤,同时也可以大大减轻各应用服务器主机的负荷。
比如,趋势科技推出的igsa就包含了防病毒、防垃圾邮件和内容过滤、防间谍软件、防网络钓鱼、防僵尸保护以及url过滤服务等众多功能,并且可以统一集中管理,通过日志报告还让网络运行安全情况一目了然,大大减少了信息安全管理的工作量。
第二招:运用“云安全”免去内存升级压力
目前中小企业内网安全也不容忽视,而且要求实现集中管理和保护内部桌面计算机。在网络威胁飙升的今天,更新病毒码成为每天必备的工作,但传统代码比对技术的流程性问题正在导致查杀病毒的有效性急剧下降。趋势科技推出的云安全解决方案超越了病毒样本分析处理机制,通过云端服务器群对互联网上的海量信息源进行分析整理,将高风险信息源保存到云端数据库中,当用户访问时,通过实时查询信息源的安全等级,就可以将高风险信息及时阻挡,从而让用户频繁的更新病毒码工作成为历史。
目前,桌面端防护的用户数是网关防护用户数的5倍,桌面防护在现阶段也是必不可少的手段,但要求减轻更新负担和加强管理便捷性。这方面,趋势科技的officescan通过应用最新的云安全技术,使桌面端防护不再依赖于病毒码更新,降低了带宽资源和内存资源的占用和压力。
第三招:安全服务节省管理成本
网络安全管理成本在整个网络安全解决方案中占有一定比例,如果用三分技术、七分管理的理论来解释,这方面成本显然更高。如何才能在专业管理人员有限的状况下,达到安全管理的目标呢?中小企业可以借助安全厂商的专家技术支持,高效、专业地保障网络安全运行。也就是借用外力来管理自己的网络安全设备,将比自己培养管理人员成本更低,而且效果更佳。
目前,已有包括趋势科技在内的多家厂商提供此类服务。
第四招:培养安全意识一劳永逸
篇4
关键词:计算机网络;企业网站;安全;防护
中图分类号:TP393.18
企业信息安全中的企业网站安全一般较为薄弱,企业信息的门户往往最为容易受到攻击,或者直接把其作为攻击的目标。企业在企业网站遭受攻击以后,肯定会遭受巨大的经济损失[1,2]。世界性的互联网瘫痪时有发生,最近大规模的网络安全事故也经常出现,包括数据破坏、泄密以及所造成的相关业务不能正常进行,这样的巨大经济损失就不可避免。数据在网站入侵后经常被篡改,病毒泛滥和黑客猖獗司空见惯,企业网站的安全防范工作显得尤为重要。所以,只有保护好企业网站的安全,才能发挥其积极作用而真正为企业服务,这就要求紧密结合信息技术与企业的生产流程、管理体系和商务活动等方面。本文在分析企业网站安全存在的各种风险的基础上,结合实际情况,提出相应的防护策略。
1 企业网站安全风险分析
各种安全风险都应该在进行企业网站信息建设中考虑到。为了更好取得攻击效果,黑客往往将各种网络信息程序、技术、工具相互结合起来使用,所以,应该充分了解企业网站的安全风险,以及黑客的常用基本技术手段。分析目前的企业网站安全问题存在以下几种[3]:第一,操作系统的安全性问题,不论何种操作系统,Unix、Windows还是Linux操作系统,都存在许多威胁着网络安全的漏洞;第二,利用系统的漏洞,或是网站设计上缺陷而制作的病毒和木马往往能够进行一定的破坏和传播。目前,网络病毒频频爆发,网络发展速度飞快,黑客软件和病毒相互结合扩大这种对于网络破坏的程度;第三,黑客技术能够在没有代价的前提下,通过系统的控制获得资源的使用。系统或者数据安全性受到重大影响,包括典型的恶意毁坏数据和修改页面内容或链接等。在互联网业户广泛开展的今天,盗取任何有价值的东西都是有可能的;第四,密码过于简单、长时间不进行修改以及管理系统使用默认的账号和密码等等,这些都是常见的管理疏漏,应该尽量避免这个漏洞,保证不给企业造成相关的负面影响。
企业在建设网站过程中,由于存在重建设、轻管理,再加上没有完备的管理规章制度等等,容易出现这种由于安全意识淡薄而造成的安全问题,从而成为企业网站的安全隐患。
2 企业网站防护策略
2.1 网站安全防护保障策略。“防范”和“管理”是在企业信息安全建设中的两个重要问题,为做好企业安全工作,应该在应用安全设备的基础上,进行相关的安全技术辅助,从而完成安全管理工作。安全设备主要包括桌面防病毒、防垃圾邮件、防火墙、服务器加密等等方面,为保证网站正常运行,利用安全设备组成具有深度防御能力的信息安全保证体系。
网站安全保政策路主要包括以下几个方面:一是路由控制建立安全的访问路径应该在网站业务终端与网站业务服务器之间设置;二是恶意代码进行检测和清除工作应该在网络边界处与终端主机上完成;三是纵深防御的安全体系应该建立;四是在直接连接外部信息系统位置以及网络边界位置,应该尽量避免部署重要网段,可靠的技术隔离手段在重要网段与其他网段之间采用;五是应该努力进行安全主机打造,不断加固网站业务服务器脆弱的服务;为了更好防止威胁的扩散,应该在区域内进行威胁的隔离操作。
2.2 网站状态可视化策略。监控、管理、响应和防范等方面的内容应该在企业网站的安全建设中有所体现,在信息系统和组织体系中也应该进行一定的规划设计。应该从全局角度思考安全问题,安全事件处理决策能够及时制定并执行,满足实时监控网络健康以及设备使用的要求。另外,为保证网站业务状态可视化特点,网站业务还应该统一响应和处理安全事件。
对于网站状态可视化策略主要分为以下几方面内容:一是能够对于重要服务器的入侵行为进行监测,同时记录相关的参数,包括攻击目的、类型和时间等等,同时,还能提供入侵的警报功能;二是监视重要服务器本身工作情况,包括建设服务器的硬盘、CPU、网络资源、内存等等使用情况;三是为能对网络系统安全漏洞进行及时修补工作,应该定期对网络系统进行扫描;四是设定系统服务水平的最小值,当达到此值以后则进行检测或者报警;五是能够满足管理网络行为的需求,使得网站业务操作流程更加规范,尽量避免意外事故而导致对于网站业务的影响,这就需要建议一套系统的网站业务保证体系;六是为了更好进行全面监控安全管理体系建立,还应设置高效和统一的管理视图。
2.3 网站流程可控化策略。为保障网站正常运行,应该监视与控制网站业务数据的整个处理流程,在信息安全建设过程中,网站业务及数据的访问应该采取一定的措施来保证合法的用户可接入到网络中来访问所需资源,比如通过严格的用户身份认证、授权、审计等等来保证用户对于资源的访问权限。网站流程可控化策略主要包括以下几个方面的内容:第一,隔离不符合安全标准的用户,安全检查用户终端;第二,为更好提升网站安全防御能力,应该合理控制用户的网络行为;第三,用户的访问权限往往根据需要进行配置;第四,及时分析网络记录数据,生成审计报表;第五,及时记录网络系统中的相关的网络设备运行状况、网络流量以及用户行为等等。
3 企业安全防护措施
3.1 网站威胁防御措施。为保证正常运行企业网站业务,应该结合多重安全技术以及相关产品进行防御。比如,防火墙及入侵防护系统应该在网络出口以及重要服务器进行配置,这样能够保证应用的安全性;在网站的DDOS/DOS等攻击方面,应该部署抗拒绝服务系统,这样能够保证网站还能被及时访问;网页防篡改系统能够有效防止恶意修改网页的风险发生。一般选择采用的是入侵防御,或是防火墙和入侵检测系统两种方式的组合。
3.2 网站健康管理措施。预防、监控和防御则是对于网站业务健康管理方面的有效措施。首先,检测网站业务系统中所存在的漏洞,通过漏洞扫描工具进行,为更好预防网络安全威胁,应该及时发现并修复漏洞;其次,应用安全管理系统应该对于重要的网站业务服务器进行部署和监控;第三,为了保证对于网站业务的访问和处理,还应该实时监控网站业务服务器和数据库服务器;第四,统一收集分析设备管理平台的相关设备日志,实现集中管理的要求。
3.3 网站访问管理措施。要想满足用户访问的安全和简便,应该通过部署安全设备得以实现。这样,网站编辑人员的访问行为能够在部署终端安全防护产品进行有效控制,只有合法的用户才能接入网络,能够实现资产管理、终端保护以及应用监控的实现。为了保证网站系统的维护工作都是经过堡垒机进行,应该部署堡垒机系统来保证集中统一的访问权限控制,以及相关的全程审计用户的所有操作。为确保有效利用网站服务器资源,应该部署负载均衡设备。最后,要想更好为责任认定以及故障恢复提供依据,还应该安全审计相关的用户访问请求和资源访问情况等。
4 结语
企业网站安全则是企业信息安全的重要内容,为更好提高网站防御能力,应该要求相关技术人员和管理人员去不断关注信息技术发展,使得安全策略不断得以优化。为更好保证网站安全,还应该做好网站安全的预防工作,确保企业信息化建设的顺利开展。为了更好促进企业网站安全健康发展,我们还应该不断落实安全管理,进一步加强安全制度建设。
参考文献:
[1]樊程,戴洪,瞿新吉.基于JSP网站安全的案例分析与解决方案[J].青岛大学学报(自然科学版),2011,24(3).
[2]林宁思,赖建华.电子政务网站群安全防护体系研究[J].福建电脑,2011,27(8).
篇5
【关键词】企业 信息化 网络 安全
中图分类号:TN915.08文献标识码: A 文章编号:
一、前言
在信息迅速发展的时代,计算机网络技术已无处不在,而企业信息化已经成为提高企业竞争的重要因素,企业在大力推行办公自动化、网络化、电子化、信息共享,以利用网络技术增强各部门的科学决策、监管控制、提高工作效率的同时,网络安全是每一个企业工作得以保障的首要条件,我们必须重视。
二、常见的网络安全隐患
1、非法入侵
任何软件中都可能存在缺陷,而部分系统中会留下未公开的特性。这些特性会导致系统中各种保护机制失效,如盗用身份。事实上很多危险的入侵者是以获得管理员权限为主要目标的,绕过反问控制。通过修改审计系统清除入侵痕迹等。这些缺陷和未公开特性可以制作成工具而广泛传播,而有些恶意的未公开特性会在某些时刻被利用攻击系统。
2、病毒传播
病毒的种类是多种多样的,目前全世界发现的病毒已远远超过数十万种,根据感染对象的不同.这些病毒可分为引导型病毒、文件型病毒、混合型病毒三类。引导型病毒其感染对象是计算机存储介质的引导区,其传染性较强;文件型病毒其感染对象是计算机系统存在的文件,病毒将在文件运行或被调用时驻留内存、传染、破坏混合型病毒其感染对象是引导区或文件。
3、数据丢失
企业的重要业务数据都存储在网络中,一旦丢失,后果不堪设想。因此,建立一套行之有效的灾难恢复方案就显得尤为重要。在企业信息系统中,由于数据量大,且常常需要跨平台操作,数据出错或丢失是难免的,如果没有事先对数据进行备份,要想恢复数据不仅难度大而且很不可靠,有时甚至根本不可能进行恢复。如果定期对重要数据进行备份。那么在系统出现故障时,仍然能保证重要数据准确无误。
三、网络安全分析
1.企业网络概况企业网可分为三部分:企业内部网、企业外部网和企业广域网
内部网是一个信息点密集的千兆网络系统,这些信息点为企业内各部门提供一个快速、方便的信息交流平台。企业外部网可实现对外信息。企业广域网,可实现各部门与互联网用户进行交流、查询资料.以及远程办公。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时。也为网络的安全带来了更大的风险。因此。实施一套完整、可操作的安全解决方案是必须的。
2.网络安全性概述计算机网络主要是向客户提供信息、在企业内部共享相关数据并进行业务联系.因此一个安全的企业网络应该能够解决以下三方面的问题:
(1)企业内部网用户对企业信息的安全访问。
(2)Intemet用户对企业信息的安全访问。
(3)企业内部网与Intemet的正常信息交流。
3.企业内部网受到的安全威胁企业内部网受到的安全威胁有以下几种:黑客人侵、病毒的传播、内部攻击、秘密信息泄露和篡改、修改网络配置、造成网络瘫痪等。具体来说网络安全的威胁主要来自技术层面和管理层面。
(1)技术层面目前使用的网络协议主要考虑了通用性设计,安全层面考虑的少。使目前的网络存在以下安全威胁:物理屡、链路层以及网络层的安全问题,即窃听或干扰、非法用户的使用、信息被拦截监听;操作系统安全。目前流行的操作系统均存在网络安全漏洞,许多攻击直接针对操作系统展开;应用平台安全,如数据库服务器、邮件服务器、Web服务器、Ftp服务器等均存在安全隐患,很容易受到攻击;应用系统是直接面向最终用户的,其安全问题包括规范化操作、合法性使用、信息泄露、信息篡改、信息抵赖及信息假冒等。
(2)管理层面管理层面的问题是整个网络安全的关键,通常存在如下的管理问题:管理组织不完善:很多单位出于节约资金的考虑,没有聘用专业的安全管理人员。或者安全管理任务没有落实到人,责权不明确;管理规范未建立:安全是一个整体工程,不完整的管理几乎等于不管:技术管理不到位:多数单位只考虑防火墙、防病毒等措施,并没有提高到管理的程度:日常管理不到位:从计算机的日常使用、信息保存、用户权限变更等。
四、企业信息化建设过程中解决网络安全问题的措施
实现网路安全的过程是复杂的,任何一种单一的技术或产品无法满足网络对安全的要求,只有将技术和管理有机结合起来,从控制整个网络安全建设、运行和维护的全过程角度人手。还应采用各种先进技术,防火墙技术、VPN技术、加密技术、入侵检测技术等。
1、加强素质培养
首先加强网络管理人员的技术水平,特别是计算机网络安全新技术的培训。其次对非技术人员进行计算机操作培训,并且介绍网络安全的重要性以及基本的防御常识等。
2、网络安全的先进技术
防火墙技术:防火墙技术一般分为两类:网络级防火墙和应用级防火墙。网络级防火墙防止整个网络出现外来非法入侵;应用级防火墙是从应用程序来进行接入控制。通常使用应用网关或服务器来区分各种应用。目前防火墙所采用的技术主要有:屏蔽路由技术、基于技术、包过滤技术、动态防火墙技术、DMZ模型。虚拟专用网:虚拟专用网(Virtual Private Network,VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个私有的连接。因此,从本质上说VPN是一个虚拟通道,它可用来连接两个专用网,通过可靠的加密技术方法保证其他安全性,并且是作为一个公共网络的一部分存在的。
加密技术:加密技术分为对称加密和非对称加密两类,对称加密技术有DES、3DES、IDEA,对称加密技术是指加密系统的加密密钥和解密密钥相同,也就是说一把钥匙开一把锁。非对称密钥技术主要有RSA.非对称密钥技术也称为公钥算法,是指加密系统的加密密钥和解密密钥完全不同,这种加密方式广泛应用于身份验证、数字签名、数据传输。
入侵检测技术:入侵检测技术的核心包括两个方面,一是如何充分并可靠地提取描述行为的特征数据;二是如何根据特征数据,高效并准确地判断行为的性质。它通过从计算机网络或计算机系统的关键点收集信息并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
其他的网络安全技术还有安全隔离技术、VLAN技术、各种防、杀毒技术等等。
五、网络安全管理
为了保护网络的安全性,除了增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是必须的。安全管理策略一方面从安全管理规范来实现。男一方面从技术上建立高效的管理平台。
1.安全管理规范信息系统的安全管理部门应根据管理原则制定相应的管理制度或采用相应的规范。具体工作是:
(1)根据工作的重要程度,确定安全管理等级和安全管理范围。
(2)制订相应的机房出入制度,对于安全等级要求较高的系统。实行分区控制和出入管理。可采用证件识别或自动识别登记系统.采用磁卡、身份卡等手段。对人员进行识别、登记管理。
(3)制订严格的网络操作规程。既有网络管理人员的操作规程,也要有内网用户的操作规程。
(4)制订完备的网络系统维护制度。维护时要首先经主管部门批准,并有网络管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
结论
今后的企业信息化建设中,网络安全就显得尤为重要,如果企业不重视信息化的网络安全工作。信息化不仅无法提高企业的工作效率,还会让企业蒙受巨大的经济损失。所以信息化建设中的网络安全要与信息化同步考虑进行。
【参考文献】
篇6
关键词:计算机 网络系统 安全集成
一、企业的网络安全现状
据统计,我国现有企业的网络安全现状是不容乐观的,其主要表现在以下几个方面: 信息和网络的安全防护能力差; 网络安全人才缺乏; 企业员工对网络的安全保密意识淡薄,企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后,该网络就已经安全了,企业领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导,导致我国目前企业的网络安全建设普遍处于不容乐观的状况。
二、网络安全常见威胁
1、计算机病毒
计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,对企业或者个人造成重大的经济损失。
2、非授权访问
指利用编写和调试计算机程序侵入到他方内部网或专用网,获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3、木马程序和后门
木马程序和后门是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后,该程序可能会窃取用户信息,包括用户输入的各种密码,并将这些信息发送出去,或者使得黑客可以通过网络远程操控这台计算机,窃取计算机中的用户信息和文件,更为严重的是通过该台计算机操控整个企业的网络系统,使整个网络系统都暴露在黑客间谍的眼前。
三、网络的安全策略
1、更改系统管理员的账户名
应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串.这样要叠录的非法用户不但要猜准口令。还必须猜出用户名.这种更名功能在域用户管理器的User Properties对话框中并没有设置.用它的User-*-Rename菜单选项就可以实现这一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封锁联机系统管理员账号.这种封锁仅仅对由网络过来的非法叠录起作用.
2、关闭不必要的向内TCP/IP端口
非法用户进入系统并得到管理员权限之后.首先要做的,必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订.管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器.这种情况下,只须保留两条路由器到服务器的向内路径:端日80的H1vrP和端日2l的FTP.
3、防火墙配置
防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统,它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙,其主要功能就是屏蔽和允许指定的数据通讯,而这个功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性,该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。
制定的防火墙安全策略主要有: 所有从内到外和从外到内的数据包都必须经过防火墙; 只有被安全策略允许的数据包才能通过防火墙; 服务器本身不能直接访问互联网; 防火墙本身要有预防入侵的功能; 默认禁止所有服务,除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。
4、VLAN 的划分
VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴,在3 层路由交换机的集中式网络环境下,将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里,在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING,不允许用户主机对服务器的数据进行编辑,只允许数据访问,从而较好地保护敏感的主机资源和服务器系统的数据。采用3 层交换机,通过VLAN 划分,来实现同一部门在同一个VLAN 中,这样既方便同部门的数据交换,又限制了不同部门之间用户的直接访问。
5、身份认证
身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有: 静态密码、USB Key 和动态口令、智能卡牌等。其中,最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾,利用USB Key 内置的密码算法实现对用户身份的认证。USB Key 身份认证系统主要有2 种应用模式: 一是基于冲击、响应的认证模式; 二是基于PKI 体系的认证模式。
6、制订网络系统的应急计划
为了将由意外事故引起的网络系统损害降低到最小程度,企业应制订应急计划.以防意外事故使网络系统遭受破坏.该应急计划应包括紧急行动方案及软、硬件系统恢复方案等.绝对的安全是没有的,安全标准的追求是以资金和方便为代价的.我们应随时根据网络系统的运行环境而采用相应的安全保护策略.通过对计算机网络系统安全问题的充分认识.以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题.
结语
如何确保计算机网络信息的安全是每一个网络系统的设计者和管理者都极为关心的热点,当然,也是企业关心的重点。一个全方位的安全方案是非常难以实现的,只有在企业领导的支持下,在技术人员和管理人员的努力下,结合企业的实际情况,制定出相应的解决措施,才是符合本企业的安全方案。本文主要讨论了计算机网络的安全的几种不同的威胁,给出了相应安全策略以及相应的安全产品,提出了计算机网络系统实施建设的基本方案。
参考文献
篇7
关键词:网络信息安全;网络攻击;网络安全技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
Computer Network Information Security Issues and Solutions
Liu Yubing
(Jiangsu Province Dongtai People's Hospital,Dongtai 224200,China)
Abstract:In this paper,the vulnerability of network information security,network security,the main technical,common network attack methods and countermeasures,network security,construction,analysis of the current network information security of the main problems,and common network attacks from the technical aspects of proposed solution that would gradually eliminate the construction of the network security network information security risks.
Keywords:Network information security;Network attacks;Network security technology
一、引言
计算机技术发展迅速,使得当今社会的发展己经离不开信息网络。由于计算机网络传递的信息中涉及到金融、科学教育、军事等各个领域[1],其中包含巨大的经济或国家利益,所以少不了来自各方各面的网络攻击,网络攻击的表现形式也是多种多样,譬如病毒感染、窃取数据、信息的篡改删添等等。计算机犯罪的频发,也与其犯罪的便利性,不必犯罪者亲临现场以及犯罪证据难以留下有大大相关。当今各国对于计算机网络安全的防护己成为遏制计算机犯罪的严重社会问题[2]。网络信息安全关系着国家的安全,民族的发展,随着全球信息化越来越广,它扮演的角色越来越重要。我们提倡网络安全建设,大力保障网络信息安全就是要保护网络系统的硬件、软件,主要是保护系统中的数据,使之不被破坏、更改、泄露,最终使得整个网络系统能够正常的运行并提供服务[3]。
二、常见网络攻击方法
由于系统开发者的疏忽或自留后门导致漏洞无处不在。补丁的速度远远跟不上漏洞的出现速度,黑客们正是攻击安全漏洞和系统缺陷来达到目的。
(一)拒绝服务攻击。DoS是Denial of Service的简称,即拒绝服务[4],造成Dos的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
(二)利用型攻击。利用型攻击是一类试图直接对你的机器进行控制的攻击,下面介绍常见的三种攻击的防御手段:(l)口令猜测:设置难以猜测的口令,比如多种符号组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。(2)特洛伊木马:不下载、不执行可疑程序,安装木马防火墙。(3)缓冲区溢出:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统[5]。
(三)信息收集型攻击。尽管分类讨论问题的解法无定规可循,但就中学数学而言,从基本概念的内涵、定理、公式和法则的限制条件出发,分析常见的诱因,就能获得解决这类问题的基本策略和思维的基本模式。信息收集型攻击是一个为进一步入侵收集信息的攻击。主要包括:扫描技术、体系结构刺探、利用信息服务。使用具有己知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所做出的响应进行检查。通过将不同系统回应的响应与数据库中的已知响应进行对比,就可以确定出目标主机所运行的操作系统。防御方法是去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
(四)假消息攻击。用于攻击目标配置不正确的消息,有以下两种手段:(1)DNS高速缓存污染:DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得攻击者可以将不正确的信息掺进来并把用户引向他自己的主机。防御方法是在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。(2)伪造电子邮件:由于SMTP并不对邮件的发送者的身份进行鉴定,因此攻击者可以对你的内部客户伪造电子邮件,声称是某个客户认识并相信的人,当然附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。我们可以使用PGP等安全工具并安装电子邮件证书进行防御。
三、网络攻击应对策略
(一)防范网络病毒。加强工作站的管理。工作站是网络的入口,在工作站上安装固化了杀毒软件的硬件或芯片,这样就可以对必经路径加强检查和过滤,达到提前拦截病毒的效果。服务器是整个网络的核心,一旦服务器被感染而崩溃,整个网络会立即瘫痪,那么所谓的网络服务也不将存在。我们应该以服务器的防毒为重心,为它提供实时扫描病毒的软件,并加大服务器权限的管理力度,杜绝病毒在网络上的蔓延[6]。
(二)备份与恢复。组合使用正常备份和增量备份来备份数据,需要最少的存储空间,并且是最快的备份方法。与备份完全相逆的就是恢复了,在文件缺失或是系统遭受攻击而瘫痪的情况下,我们就可以利用前面的备份数据进行数据恢复,来达到保持信息安全的目的。
(三)提高个人信息安全意识。系统是以用户为中心的,合法用户可以在系统上进行一系列合法的操作圈。如何限制用户的不合法操作,这就需要系统管理员对用户权限加以控制,以避免故意或无意的破坏。但是更多的安全措施必须由用户自己来完成,譬如:(1)密码控制(2)文件管理(3)运行安全的程序。(4)安装杀毒软件和防火墙并随时更新病毒库。
参考文献:
[1]李海强.网络安全及网络安全评估的脆弱性分析[J].硅谷
[2]王宇,卢星.信息网络安全脆弱性分析[J].计算机研究与发展,2006,2
[3]网络安全-业务保障[J].中国计算机用户,2001,7
[4]许宝如.对计算机网络安全问题的思考[J].江西科技师范学院学报,2004,2
篇8
关键词:企业;内网;安全问题
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-02
长期以来,我们对于网络的安全问题往往停留在外网安全上,也就是说,大家所指的网络安全就是外网安全,认为外网中存在未知的危险,是不可信任的。所以,大家采取的一系列防护措施都是针对于外网而言的,比如说采用防火墙是最常见的对外网安全进行防护的措施。都是,我们根据调查显示,几乎有超过一半的非法访问或攻击都是来自于内部,这也就意味着我们通常采用的外网安全防护措施对内网安全问题是几乎不起作用的。所以,随着内网应用的范围不断扩大,内网给系统带来的漏洞也越来越大,也就是说出现在内网中的安全问题会越来越多,而通常内网中的数据和资料对企业而言是相当重要的,所以对于企业的网络管理绝不能轻视内网的安全问题。
1 企业内网的安全现状
虽然近年来计算机在我国发展较为迅速,并且在各个领域应用也比较广泛,但是不可否认的是我国的计算机信息安全技术,相对于其他发达国家还是有一定的差距,主要表现在几个方面:(1)我国的基础信息产业相对落后。首先,在计算机的硬件技术方面,我国很多核心部位的技术尚未掌握,对发达国家依赖性太强,然后对于计算机的软件方面就更不用说了,由于我国在计算机软件开发设计方面起步晚,所以长期以来软件这一块一直处于国外的垄断之中。(2)高级网络安全人才的匮乏。这是与我国计算机行业的发展实际情况有关,尽管计算机技术近年来在我国发展速度十分可观,但是在网络安全这一块还是处于落后阶段,所以相对而言,我国的高级网络安全人才是比较紧缺的。(3)网络管理者缺乏必要的安全意识。很多企业管理者或者个人对网络的安全问题认识不够,缺乏有效的网络安全管理措施,没有认识到出了网络安全事故对于企业而言的严重后果,所以作为企业的网络管理者,网络安全意识必须要加强。
2 企业内网常见的安全隐患
由于计算机网络系统具有信道公用以及资源共享等特点,这也就导致了计算机网络在使用过程中的复杂性和脆弱性,又加上企业内网在运行过程中,时常会受到外部的病毒或者黑客的攻击等,这些威胁企业内网安全的因素,这就给内网系统安全运行提出了更高的要求。就其本质而言,网络安全通常就是指网络企业网络信息的安全,它主要包括企业内网中的硬件、软件安全,还有企业内网资料数据不被破坏,并能维持企业内网长期安全可靠的运行。下面列举出威胁企业内网安全的常见隐患。
2.1 非授权用户的恶意访问。这种情形主要包括两种,一是企业外部人员非法访问企业内网,二是对于设置权限的网络访问,低权限的非法访问高权限网络。主要是由于现在很多企业普遍都采用的是开放式网络,这种情况下就使得很多人都可以借助互联网的链接,实现上网的功能。这也就意味着企业内部员工很可能在不经意间就把危险带进了企业内网,比如说在互联网上浏览了带有病毒的网页,或者下载了携带病毒的资源等。
2.2 病毒的危害。对于计算机而言,一直以来病毒都是威胁网络安全一个最大的因素,同样道理,它对企业内网安全的威胁也是一样严重。首先,我们从病毒的传播方式来看,病毒的传播方式有很多种,包括前面提到的浏览带病毒的网页,或者在网上下载带有病毒的资源,还可以通过电子邮件或者U盘等,都可以作为病毒传播的媒介。一旦企业内网中有一台电脑被感染了病毒,整个内网系统就都有被感染的危险。如果系统被病毒所感染,那么后果将不堪设想,轻者文件损坏、数据丢失,重者可能会造成整个内网系统瘫痪。
2.3 企业内网系统存在的漏洞。这是由于目前很多企业的内网的应用功能增多,导致内网的漏洞也随之增多。这些都可能被很多种变种病毒所利用,为其传播提供可能。所以,为了保障企业内网的安全,应该采取相应的解决措施,比如安装完善的补丁系统,就可以有效的减少系统漏洞。
2.4 遭受黑客攻击。这种情况是指黑客利用非法手段入侵企业内网,对内网中的数据进行复制、捣毁或者删除等破坏。这种行为对于企业而言,所蒙受的损失是不可估量的,所以作为企业的网络管理者一定要加强防范措施,尽量杜绝这种事件发生的可能。
3 影响企业内网安全的原因分析
3.1 企业内网管理制度不完善。企业内网有着它的特殊一面,在随着它在企业内的应用越来越大后,控制起来也就越来越难,况且很多企业在进行内网建设的过程中,本身就存在很多不完善之处,也就不能形成完整的管理制度。
3.2 防范措施过于简单。很多企业的在网络管理环境中采用的防范措施非常简单,通常只采用防火墙和IDS入侵检查系统来进防范,而对安全管理的内部制度没有重视,更没有相应的措施。
3.3 内网系统应用的安全性低。这与企业内网系统的应用程序有关,但是内网应用程序的安全性又是不断变化的,也可以这么说,应用安全关系到信息的安全。所以,内网系统应用的安全最重要是保证信息的完整性以及保密性。
3.4 企业网络安全管理员职业素养有待提高。其主要表现在两个方面,第一是企业网络管理员在思想上认识不够。第二是企业网络管理员的技术不足。
4 企业内网安全建设的解决措施
4.1 建立起完善的企业内网安全管理制度。长期以来,由于企业网络安全管理制度的不完善而引发的网络事故屡见不鲜,因此,在企业的内网建设中,必须建立健全的网络管理体系,制定相关的网络安全管理制度以及措施,并加大实施力度。
4.2 对企业重要资料建立起备份和恢复机制。企业内网中的数据,对于企业而言是不可泄露的商业机密,其重要性不言而喻。而据调查显示,目前引起电脑数据损坏或者流失的现象时有发生,其原因有时可能是员工的误操作或者是偶然的断电,但是由于这些原因而对企业所造成的损失,其实并不比企业内网受到黑客或者病毒攻击所造成的损失要小。
所以,为了保障企业内网的安全,应该建立起完善的数据库备份机制,这样就能尽可能的摆脱人为的干预因素,从而做到最大程度的降低企业的损失。
4.3 对企业内网建立多层次病毒防护体系。目前的计算机病毒早已不是以前那种以单一传播途径传播的单种行为病毒。而如今的病毒特征是:与因特网联系比较紧密,并可以利用多种传播方式进行病毒传播;同时具有多种病毒特征的混合新型病毒;危害性、破坏性教之前大为增强。所以目前的内网防护措施也不能像以前一样单一化,只把单台计算机作为保护单元。
因此,企业内网的防护工作要注意以下几点:第一防毒方式既要包括传统的手动查杀、文件监控,又要全面结合互联网;第二企业的病毒查杀产品,要实时保持最新杀毒能力。即要使得内网病毒库实时保持更新状态。
参考文献:
[1]卢凌伊.企业内网安全问题分析与解决[J].辽宁经济,2011,10.
[2]肖琪.企业计算机网络系统安全浅析[J].电脑知识与技术,2010,6(35).
[3]钟嘉鸣.内网安全及防护探讨[J].网络安全技术与应用,2007,6.
篇9
【关键词】隐患 黑客入侵 防范措施 管理制度
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01―0413―01
随着经济的迅速发展,计算机网络技术的发展和互联网应用的日益广泛,它在社会发展中扮演着非常重要的角色。网络在提高宣钢办公自动化效率的同时,给我们的生活带来许多便利,也对企业信息系统的安全造成了威胁。网络环境下,宣钢信息系统面临着来自物理因素、网络共享和人文环境等三个方面的安全隐患,形势严峻。宣钢信息安全隐患的防范是一个全方位的工作,需要运用技术、管理和法律三大手段,建立一个综合性的防御安全体系,最大限度地降低企业信息有可能遭受的安全隐患。作为宣钢网络运维管理人员从体系管理的高度完善网络管理办法,规范化网络信息安全措施也自然成为了当务之急。
一、宣钢内网安全常见隐患
1、病毒侵害较多。
计算机病毒是威胁宣钢内部网络频率最高、影响最广、导致信息损失最严重的问题,列在所有安全威胁中的首位。病毒通过网页、电子邮件、可移动媒体、系统漏洞等方式传播。在企业网络中,如果一台计算机感染了病毒,在很短的时间内就可感染内网所有的计算机网络连接系统。病毒感染可导致网络的堵塞、系统数据和文件系统的损坏。如果数据的累积是多年的,那么损失是灾难性的。
2、宣钢内部操作系统存在漏洞。
目前,许多企业的网络操作系统存在各种类型的安全漏洞。有许多新的病毒,或是已知的病毒,仍然可以被利用来传播病毒的变种。因此,如果企业内部缺乏一个完善的补丁管理系统,将反复导致很多内网的计算机,即使安装最新的反病毒软件,仍然可以感染病毒和木马。
3、企业黑客入侵。
企业黑客入侵常分为四类:入侵、拒绝服务、信息盗窃、欺骗黑客入侵。黑客利用非法行为访问内部网络,删除、复制或销毁数据。对于使用传统安全措施的企业网络,其网络安全环境是脆弱的,严重的情形可能会被窃取企业机密。
二、宣钢内网安全原因分析
1、相对简单的防范措施。
不同的网络环境需要不同的安全防范措施。然而,由于传统防治技术的制约,许多企业没有采取防范措施来维护内网环境,在部署大量防火墙、IDS入侵检测系统和防护装备的同时,却忽视了安全管理的内部制度。在实践中,很多企业网络环境应用默认的安全策略常常被忽视。
2、网络安全管理制度不完善。
宣钢内网是一个特殊的网络,网络的不断扩大使其更加难以控制。虽然各二级厂已建立了相应的内部网络安全管理制度,但经常是不完整或不全面的,不能有效地规范和约束有些员工的上网行为。
3、宣钢网络安全管理员技能不足。
在思想方面,许多管理员认为只要网络不瘫痪,其他都不会有问题;在技术方面,由于管理员的惰性,遇到问题的处理方式就只是重新安装系统;在管理方面,管理员只依赖于单一的工具,就是网络维护。
安全技术知识和概念的缺乏使得宣钢内部网络的管理和监测计划缺乏系统监管机制,也没有主动行为,很难形成积极的反馈机制,这将导致宣钢网络的安全风险不容易被发现。
三、宣钢内网安全建设的解决方案
1.建立多层次病毒防护体系。
传播计算机病毒和形式日趋多样化,因此内网的防病毒工作已不再是单纯一台计算机病毒的检测和清除,必须在内网建立一个多层次、立体的病毒防护体系,但也应设立最好的管理制度,建立和维护病毒防护策略。内部网络病毒防护系统包括客户端的防病毒安全系统,和服务器的防病毒安全系统。服务器又分为文件服务器、数据库服务器,以及其他应用级服务器的全面防护,是确保整个内部网络不被计算机病毒感染的有效方式。目前计检中心已经搭建了最新版的趋势服务器,对工业网以及办公网进行了全局部署很好的控制了病毒的爆发。
2.建立备份和恢复机制。
引人数据库备份概念,如磁带库和备份系统、远程数据、连续备份、智能恢复、实时监控和统计、数据定期自动存储备份,完全摆脱了人为干预,以避免由于硬件故障、人为错误、病毒和其他各种因素造成的数据丢失。建立数据备份和恢复机制,虽然平时不能够看到效果,但一旦数据遭受损害或遗失,将使宣钢的损失最小化。
3、建立网络安全管理制度。
(1)在计算机网络安全管理中,发展绝对安全和健全的安全管理体系是计算机网络安全的重要保证,不但要注重技术手段的保障,更要注重管理人员的职业操守,尽一切可能控制和减少违法违规行为,最大限度地减少不安全因素。以网络安全管理负责人任期与职责分离的原则为指导,严格执行操作规程,并制定相关方案。
(2)完善相应的法律规章制度。在技术上做到防止其信息安全可能发生的同时,也应该在管理上做出相应的对策,对其建立完整,行之有效的一个制度,以保证能够在技术和管理上相得益彰的保证网络信息的安全。
(3)加强职业道德教育不管是建立安全管理机构还是安装安全软件或者资料备份,这些并不是解决网络安全的根本方法。而只有加强计算机从业者进行道德教育,培训,增强他们的安全意识,并且对于青年人进行必要的网络安全知识的素质教育,才能做到比较切实的防患。
(4)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。
四、管理制度取得成效
1、优化网络架构
完善的核心网络架构使得工业网和办公网顺利合并,充分发挥了主干网络设备性能,VLAN及路由策略在保证网络稳定运行的前提下做到了最优安全防护。
2、部署杀毒软件
宣钢网络环境引用趋势杀毒企业版,很好的控制住病毒的泛滥,保障生产网络和办公网络健康运行。
3、加强行为监控
防火墙策略加任天行行为监控软件双管齐下,优化了局域网使用,约束职工上网行为同时提高了办公效率、减少外网出口带宽使用率、抑制病毒滋生可谓一举多得。
4、完善网络管理制度
各种网络规章制度的完善为计检中心管理宣钢网络提供可靠依据,作为宣钢网络的建设者和管理者计检中心与时俱进不断探索创新,积极组织人员学习国际先进网络管理运维技术。时刻以知识改变命运落后就要挨打的理念鞭策员工激发员工的创新激情,先后开发出多套网络监控平台为保障宣钢网络稳定运行立下汗马功劳。
5、治人先治心
作为领军带头单位计检中心多次组织二级厂矿网管员进行交流座谈会,大家集思广益发现问题解决问题共同进步。使每位网络管理人员认识到自己身上的责任重担,做到人人肩上有责任有目标;意识到我们不是普通的技术岗,我们维护的是宣钢的生产命脉,从而在思想上达成高度统一;增强管理人员使命感,加强寻点检质量把网络隐患遏制在萌芽状态。
篇10
关键词:网络;安全;VPN;加密技术;防火墙技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)12-2814-02
Network System Risk Analysis and Rolution
ZHANG Fang
(Tianjin Binhai Professional Institution, Tianjin 3000451, China)
Abstract: The network information security is refers to network system's hardware, the software and system's data receives the protection, not is destructed accidental or the malicious reason, the change, the revelation, the system moves normally reliably continuously, the network service does not interrupt. This article from network information security's aspects and so on vulnerability, network security's major technique, common network method of attack and countermeasure, network security construction analyzed the current network information security existence subject matter, and proposed the solution to the common network attack from the technical stratification plane.
Key words: network; network security; VPN; ipsec; firework
现代通信技术的巨大进步已使空间距离不再遥远,数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送,工作站的距离可以短至并排摆放的计算机,也可以长达上万公里,正所谓“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中,当你从网络另一端得到一个被感染的程序,并在你的计算机上未加任何防护措施的情况下运行它,病毒就传染开来了。
网络正常运行的前提保证是网络安全。网络安全需要保证的是整个信息网的安全,从各个层面和角度把握,统筹了解安全风险的出处,以便统筹安排,保证网络的安全性。网络安全系统主要包括技术和管理,涵盖物理层存在巨大的安全隐患,从而造成网络的中断。
1 风险分析
根据国内网络系统的网络结构和应用情况,必须从从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
当前,Internet网上病毒的最新趋势:1) 不法分子或好事之徒制作的匿名个人网页直接提供了下载大批病毒活样本的便利途径。2) 由于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。3) 由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网上学术交流活动,如病毒制造协会年会等等,都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。4) 散见于网站上大批病毒制作工具、向导、程序等等,使得无编程经验和基础的人员制造新病毒成为可能。5) 新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。
1.1 计算机病毒
无论是个人计算机,还是计算机网络,计算机病毒的威胁是最常见的,也是最主要的。现在几乎每天都有大量的计算机病毒产生,而且其危害性和破坏力一个比一个厉害。计算机病毒的危害主要体现在破坏计算机文件和数据,导致文件无法使用,系统无法启动;消耗计算机CPU、内存和磁盘资源,导致正常服务无法进行,经常死机、占用大量的磁盘空间;有的还会损坏计算机硬件,导致计算机彻底瘫痪。
1.2 木马
木马又称“后门程序”。虽然以前我们一直说木马不是病毒,不过现在仍有许多媒体把木马归属于病毒,但是木马与病毒确实存在本质上的区别。木马的主要危害体现在窃取用户信息(如用户计算机或者网络账号密码、银行账户和密码、QQ账户和密码等);携带计算机病毒,造成计算机或者网络运行不正常,甚至瘫痪;或者被黑客所利用,攻击用户计算机或网络。
1.3 恶意软件
恶意软件是危害性介于计算机病毒与黑客软件之间的软件统称。恶意软件的危害性主要体现在非授权暗转,自动拨号、自动弹出各种广告界面、恶意共享和浏览器劫持等。这些恶意软件一般都很难,甚至无法删除。
1.4 黑客的入侵与攻击
黑客的入侵与攻击是指一类行为,不是指一类软件,更不指一个软件。黑客入侵与攻击的目标主要是破坏网络用户系统和系统服务器,窃取用户账户信息和组织机密,并非法查看、操作,甚至删除用户文件等。
黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前黑客网络攻击的类型主要有以下几种。
1) 利用监听嗅探技术获取对方网络上传输的有用信息。
2) 利用拒绝服务攻击使目的网络暂时或永久性瘫痪。
3) 利用网络协议上存在的漏洞进行网络攻击。
4) 利用系统漏洞,如缓冲区溢出或格式化字符串等,以获得目的主机的控制权。
5) 利用网络数据库存在的安全漏洞,或许或破坏对方重要数据。
6) 利用计算机病毒传播快、破坏范围广的特性,开发适合的病毒破坏对方网络
2 解决方案
2.1 设计原则
针对网络系统的现状,网络的安全保密问题是重中之重。设计时应遵循如下原则:提高系统的安全性和保密性;保持网络的的透明性; 注重自动化管理;安全保密系统可以做一次性投资,以便长期使用;安全与密码产品合法;分步实施原则。
2.2 安全策略
可以采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术等构成网络安全的防御系统。
2.2.1 防火墙的技术实现
防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp、www等)等。
2.2.2 网络地址转化―NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址,以保证网络安全的防御系统的顺利构建。
2.2.3 VPN技术
虚拟专用网(VPN)是企业网公共网络上的一个更大的延伸和发展。它主要通过一个私有的通道在公共网络上创建一个较为安全的私有连接,创设一个相对安全的网络环境。其主要原理是:通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司相关的的企业网连接起来,构成一个扩展的公司企业网。
2.2.4 网络加密技术(Ipsec)
为了解决网络在公网的数据传输安全性问题和远程用户访问内网的安全问题,可以采用网络加密技术,对公网中传输的IP包进行加密和封装,这样可以保证数据传输的保密性和完整性。
此外,我们还可采用身份认证技术和多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。采用入侵检测系统,对网络实时全面的监测,同时发挥系统的对主机和网络的监测和预警功能,进一步提高网络的安全性。
3 结束语
互联网的不断发展,引发了一场重大的技术革新,网络也在时刻影响着改变人们学习和工作方式,使人们的生活更加便捷。随着科学技术不断发展,网络已成为人们生活的一个重要的组成部分。虽然网络使我们现在的生活更加的丰富多彩,但互联网是一个面向大众的开放系统,存在着巨大的安全隐患,诸如计算机病毒、信息泄露之类的安全隐患充斥着整个网络市场,网络安全形势日益严峻,也成为一个亟待解决的问题。因而,解决网络安全问题迫在眉睫,我们必须从网络安全可能存在的危机入手,分析并寻找整体的网络安全解决方案,还网络一片干净的天地。
参考文献:
[1] 石磊.网络安全与管理[M].北京:清华大学出版社,2009.
[2] 严体华,张凡.网络管理员教程[M].北京:清华大学出版社,2009.
[3] 肖德琴.电子商务安全保密技术与应用[M].广州:华南理工大学出版社,2008.
[4] 孙建华.网络系统管理应用与开发[M].北京:人民邮电出版社,2005.
[5] 骆耀祖.网络系统集成与管理[M].北京:人民邮电出版社,2008.
[6] 蓝红兵,费奇, 李敉安. 基于关系网络的风险分析专家系统[J].控制与决策,1990(6).
- 上一篇:高速公路项目管理经验
- 下一篇:海外工程项目管理
相关期刊
精品范文
10企业盈利能力分析