企业网络安全评估范文

时间:2023-09-20 17:54:03

导语:如何才能写好一篇企业网络安全评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业网络安全评估

篇1

1企业网络安全典型现状分析

随着信息技术的不断发展和信息化建设的不断进步,办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站,更是使用数量较多的服务器主机来运行关键业务。

1.1 企业管理现状

随着网络安全威胁日益增多,单纯来自于外界的威胁变得有限,更多的、更严重的威胁来自于内部,或由内外勾结所产生的破坏。企业生产数据面临被内部人员篡改、删除、窃取,主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。目前企业机构的运维管理总体上有以下三个特点:

1、关键的核心业务都部署于Unix和Windows服务器上。

2、应用的复杂度决定了多种角色交叉管理。

3、通过Telnet, SSH, FTP, RDP等方式进行远程管理。

1.2 企业管理中存在的问题分析

1、账号管理工作问题

由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。同时还造成密码策略无法有效执行;帐号授权不清晰;访问控制策略无法严格执行的问题。

2、审计工作问题

审计问题主要包括:缺乏帐号分配审计;缺乏用户使用相应帐号的授权审计;缺乏用户登录登出系统的审计;缺乏用户对系统访问行为审计这四个方面。而且,由于各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:

(1)Unix系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;

(2)root用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记录文件已经变的不可信;

(3)记录的命令数量有限制;

(4)无法记录操作人员、操作时间、操作结果等。

综上所述,企业现状迫切要求企业内部规范管理,通过内控堡垒主机实现企业内部网络的合理化,安全化,专业化,规范化,充分保障企业资源安全。

2堡垒主机的作用和功能发展

2.1 堡垒主机概述

堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。

2.2 堡垒主机平台系统的发展及解决思路

2.1.1旁路审计

操作审计管理主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪。

所谓的旁路审计可以针对常见的明文协议,如TELNET/FTP/HTTP等,采用镜像监听技术从旁路对协议报文进行审计。

它主要存在的问题是无法对密文协议如:SSH/RDP进行旁路审计以及审计信息不可读(实名、信息量)等。解决思路就是采用审计双向备份及审计查询检索技术等。

2.1.2集中登录

集中登录是指先登录管理作业服务器,然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式,这种登录方式的主要问题是:

1.多用户共享root帐号,权限划分不明,所有人员都具有最高的ROOT权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息,审计信息不可读。

解决集中登录的问题可采用单点登录或者连续跳转登录技术。

2.1.3身份授权分离

以前管理员依赖各IT系统上的系统帐号实线两部分功能:身份认证和系统授权,但是因为共享帐号、弱口令帐号等问题存在,这两方面实现都存在漏洞,达不到预期的效果。

解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决帐号管理混乱问题,为认证、授权、审计提供可靠的保障。

3基于堡垒主机的加固解决方案

3.1 极地银河内控堡垒主机概述

极地银河内控堡垒主机是一种被加固的可以防御进攻的计算机,能够具备很强安全防范功能。极地银河内控堡垒主机是在整个 Unix/Linux主机系统的扮演着看门者的工作,所有的请求都要从这扇大门走过,它拦截所有用户的非法访问,和恶意攻击,过滤掉所有对目标访问Unix/Linux设备的非法行为,对不合法命令进行命令阻断。

极地银河内控堡垒主机支持多信道通信,用户只需要在一点便可以登录到不同的 Unix/Linux设备上进行工作,无需在不同的机器上分别登录,大大的节约了系统管理员的时间,从而提高了工作效率。

3.2 系统总体技术功能

3.2.1统一的WEB方式管理

使用极地银河堡垒主机,无论管理员还是用户,都采用同意的WEB方式管理, 用户登录堡垒主机后可以看到所有授权资源列表,访问资源时不用再输入帐号和密码,做到真正的单点登录。系统内部提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。

3.2.2 支持强认证和数字加密功能

系统可以方便的集成各种强认证方式,如证书认证、智能卡认证、短信认证甚至人体特征认证(指纹、视网膜等)方式。极地银河内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。

3.2.3审计双向备份技术

审计双向备份指的将用户的行为审计信息记录在本地和发送到指定的服务器,进行双向写入,使得重要的用户行为审计信息能够得到安全的管理,避免丢失数据无法查证,提高审计信息的安全性,管理员自身也可以通过某种技术手段将这些重要的审计信息保存或备份到其他的存储设备上。定期的归档和调阅。

3.3系统部署

极地银河内控堡垒主机能够架设在企业内部网络的 Unix/Linux主机之上,是一道安全屏障,因此企业内部 Unix/Linux主机不需要担心任何安全问题,可以全身心投入到业务处理中。

它在部署过程中不需要任何客户端或服务器端引擎;部署不影响现有企业网络拓扑结构,不影响业务数据流。同时,堡垒主机支持了双机热备、支持集中管理分级部署,完全可以实现快速上线使用。

篇2

关键词:企业网端点准入防御网络安全

中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00

1 前言

随着计算机网络的快速发展,网络已成为企业生产经营不可缺少的工具。网络发展的初期注重设备的互通性、链路的可靠性,从而达到信息共享的通畅。经过多年的应用与发展,伴随着我们对网络软硬件技术认识的深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业网最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业生产经验蒙受严重损失。在企业网中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合安全策略的终端(如防病毒库版本低,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。因此,研究设计一个能够解决这一危害的防御系统尤为必要。

有鉴于此,通过对目前唐钢企业网状况的调研及其需求分析,研究设计了端点准入防御系统。端点准入防御系统在实际应用中切实可行,以下从其架构和组网方法做出分析。

2 端点准入防御系统架构

端点准入防御系统是整合了孤立的单点防御系统,加强对用户的集中管理,统一实施企业网安全策略,提高网络终端的主动抵抗能力。该系统可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其基本功能是通过安全客户端、安全策略服务器、安全联动设备(如交换机、路由器)以及第三方服务器(如防病毒服务器、补丁服务器)的联动实现的。

2.1安全客户端

安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。其主要功能包括:

(1)利用802.1X认证协议通过接入层交换机实现对终端进行身份验证(用户名、密码、IP、MAC、VLAN),从而实现了端点准入控制。

(2)检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。

(3)安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表、禁止、禁止多网卡)、系统修复补丁升级、病毒库升级等功能。不按要求实施安全策略的用户终端将被限制在隔离区。

(4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。

2.2安全策略服务器

安全策略服务器是端点准入系统的管理与控制中心。集中、统一的安全策略管理和安全事件监控。具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

(1)用户管理。对用户身份信息、权限、分组策略等管理。网络中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。

(2)安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。(3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。(4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。

2.3安全联动设备

安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全联动设备采用H3C 3600交换机,利用802.1X协议认证实现端点准入控制。安全联动设备主要实现以下功能:

(1)强制网络接入终端进行身份认证和安全状态评估。(2)隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,可以通过ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。(3)提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如利用H3C 3600交换机的ACL、VLAN功能可以实现按不同用户需求访问不同的信息资源。

2.4第三方服务器

系统中隔离区的资源称为第三方服务器。用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。

3 端点准入防御系统组网方法

该系统组网,不需要对原有主要网络结构进行改动。需要更改的设备只有接入层交换机。接入层交换机只要能支持802.1X协议、ACL、VLAN等功能即可。利用这种组网方法对不符合安全策略的用户隔离严格,可以有效防止来自企业网络内部的安全威胁。

4端点准入防御系统实施的效果

该系统整合防病毒与网络接入控制,大幅提高安全性。确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。通过端点准入防御系统的强制措施,可以保证用户终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。

提高了网络安全性的同时,对网络有效利用率也有很大的提高。减少了用户终端故障频率,提高了工作效率。

5结语

端点准入防御系统提供了一个全新的安全防御体系。将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,有效的控制了非法用户接入唐钢企业网,提高了网络终端的主动抵抗能力。该系统通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升了网络抵御新兴安全威胁的能力。

篇3

关键词:网络安全管理;网络安全管理系统;企业信息安全

中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03

计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。

1 网络安全的定义

网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。

网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。

2 网络安全技术介绍

2.1 安全威胁和防护措施

网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。

安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。

2.2 网络安全管理技术

目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。

网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。

在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。

2.3 防火墙技术

互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。

防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。

将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。

2.4 入侵检测技术

入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。

3 企业网络安全管理系统架构设计

3.1 系统设计目标

该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。

3.2 系统原理框图

该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。

3.2.1 系统总体架构

网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。

网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。

网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。

网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。

3.2.2 系统网络安全管理中心组件功能

系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。

系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。

3.3 系统架构特点

3.3.1 统一管理,分布部署

该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。

3.3.2 模块化开发方式

本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。

3.3.3 分布式多级应用

对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。

4 结论

随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。

参考文献:

篇4

【关键词】 计算机网络 企业 网络安全问题 安全防范技术

自进入21世纪后,社会的发展面貌焕然一新,经济发展明显提速,出现这一现象的重要原因是互联网技术的迅速发展和广泛应用,特别是计算机网络技术,已经成为企业发展必不可少的技术性条件。在享受科技发展带来的便利时,我们需要明确认识到现阶段企业内外部的计算机网络环境并不稳定,其中也存在着一些网络安全问题,影响着企业的健康发展。基于这种认识,如何对企业的计算机网络安全防护技术作出改进,是企业更好地利用计算机网络的关键。

一、企业计算机网络系统存在的安全问题

1.1系统漏洞

系统漏洞指的是由于操作系统设计存在缺陷,使不法人员得到了入侵机会,利用系统漏洞将一些木马和病毒植入到企业计算机中,从而获取企业的重要文件和机密信息,对计算机程序造成破坏。处于经济因素的考量,部分企业会应用盗版系统,但是盗版系统本身就存在很多漏洞问题,如服务拒绝漏洞和热键漏洞等等,还容易生成很多其他的新漏洞,在此情况下,企业的计算机网络系统的安全性降低,重要信息容易被他人盗取和利用,给企业带来不同程度的经济或信誉损失,反而是得不偿失的。

1.2黑客攻击

这种安全问题是指一些不法网络黑客破解、更改某些软件程序或者篡改系统数据。具体来说,黑客对企业计算机网络进行攻击的性质主要包括两种,即损坏性和非损坏性攻击;按照实施途径划分,主要包括网络监听、程序后门、信息爆炸、密码破译以及拒绝服务等。黑客采用非损坏性攻击多是为了对软件系统造成干扰,而不是窃取系统软件的信息,会扰乱企业的正常办公程序;而损坏性攻击则会造成计算机数据信息丢失,甚至导致整个计算机系统发生瘫痪,无法正常工作。

1.3网络病毒

从目前企业中发生的主要网络安全事件情况来看,网络病毒是企业最为常见的安全问题之一。一般情况下,不法人员在网络内自行编制一些毁坏数据且能够自行复制的非法指令,就可造成网络病毒广泛传播。由于网络病毒的隐蔽性、传播力以及破坏性较强,其对企业网络安全的危害性比较大,而且病毒传播的形式多种多样,有些病毒还会在网络重启之后被激活,其潜伏性较强,潜伏期也比较长,成为长期影响企业网络安全的危险因素。

二、企业的网络安全防范技术探讨

1、加强网络漏洞检测。漏洞安全检查是企业在管理网络时应该着重考虑的一种安全防护技术。具体操作方面,网络管理者应该首先检查网络系统的防入侵漏洞,再检测程序安全代码是否正确,然后扫描WEB漏洞应用情况,最后再扫描数据库漏洞。总而言之,在检测过程当中,一旦发现系统潜在的漏洞,应该立即采取修复措施,同时在日常监测工作中要经常采取多种扫描方法进行安全扫描,进行漏洞评估和预测,避免影响公司网络的正常运行。

2、应用防火墙技术。防火墙技术也是目前企业网络安全防护工作中经常采用的一种技术,防火墙由软件系统和硬件设备组成,是建立在企业内部和外部网络环境中间的一道安全防护屏障。根据执行站点的工作方式,防火墙可以对不相符合的外部信息予以控制,从而发挥保护企业网络安全的作用。同时,防火墙还可以自动记录通过防火墙且进入到企业网络系统中的全部数据和信息,因而,可以对网络与软件使用情况进行处理和统计。

3、正确使用数据加密技术。数据加密技术属于自主安全防护技术,其防护网络安全的能力较高。主要原理是通过函数加密或者其他方法把明文数据转化为加密文件,文件的接收方需要利用函数才能解密文件。而且,只有特定的用户以及网络才能获取文件信息,一般情况下,文件加密需要通过公开密钥、专用秘钥以及对称秘钥等几种形式才能实现。这种安全防护技术能够保证信息传递双方身份真实可靠,同时还可以保证传递文件的完整性和隐私性,因此,已经成为企业最可靠的网络防护技术之一。

三、结束语

网络安全问题不仅关系到企业内部计算机网络能否正常运行,而且直接影响着企业的经济效益。从现有的条件来看,做好企业的网络安全防护工作并不容易,一方面,企业自身应该对网络安全管理工作给予高度的重视,不断地完善网络安全管理体系,在日常管理工作中加强防护力度;另一方面,企业还应该充分利用内外部资源,综合运用多种网络安全防护技术,使得安全防护技术能够真正为企业网络稳定、安全运行保驾护航。

参 考 文 献

篇5

关键词:安全审计系统;网络安全管理;措施

互联网时代信息技术虽然使人们的生活更加便捷,却带来了网络安全问题。尽管网络外部检测技术和防御系统已经持续建设,在某种程度抵御外部网络的入侵,保护网络数据信息的安全,但是内部网络的违规操作、非法访问等造成的网络安全问题在外部网络的防御措施得不到有效解决。因此可以利用安全审计系统进行网络安全管理,检测访问网络内部系统的用户,监控其网络行为,记录其异常网络行为,针对记录结果解决网络安全问题,对网络安全隐患的评判具有重要作用。本文主要介绍安全审计系统以及作用,阐述其在网络安全管理的必要性以及实际应用。

1网络安全管理的安全审计系统

1.1安全审计系统的组成

①事件产生器;②事件数据库;③事件分析器;④响应单元。事件产生器的作用:将单位网络获得的事件提供给网络安全审计系统;事件分析器的作用:详细地分析所得到的数据;事件响应单元的作用:根据时间分析器得到的分析结果做出相应的反映;事件数据库的作用:保存时间分析器得到的分析结果。

1.2安全审计系统的要求

1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为,再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意图,设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企图,对于成功入侵用户,可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。

2网络安全审计的必要性

2.1提高企业数据安全管理绩效

高新科技技术已经渗透到社会方方面面,有利也有弊,其中企业来说,网络信息安全的问题频频出现,这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题,某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作,网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展,必须要建立企业内部的安全审计系统,对内部用户访问网络系统进行严格监控和审计,有必要时可以采取相应措施惩戒造成网络安全问题的人员,让网络信息安全事件不再发生。

2.2提高网络信息安全性

(1)安全审计系统采取访问控制手段对网络信息进行安全审计和监控,从而提高网络信息安全;(2)对网络信息加密实现网络信息安全审计的目的,实现网络数据私有,做到网络安全管理,为了提高网络信息安全水平要经常维护与检查安全日志;(3)安全审计网络中传输的信息,监控网络操作行为,提高网络信息安全性,提供社会组织的网络化行为安全性保障。

3安全审计系统在网络安全管理的应用

安全审计系统和基础网络病毒防护产品相互结合,共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全,重点建设针对外部网络向企业内网攻击的防护措施,没有考虑到内网自身存在的安全隐患,企业的网络信息安全无法得到有效保障。因此,借助安全审计系统对企业网络安全进行审计和评估,实现企业网络的全面安全监督。随着互联网科技快速发展,银行金融行业处于信息化时代,信息化推动银行智能化发展,银行网络信息安全对银行安全稳定发展非常重要,如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易,而且银行作为信息化时代以客户为主导的服务行业,必须严格地对客户信息进行保密,保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义,所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利,目前很多高校和发达地区中小学都建立自己的校园网,但是网络问题作为信息化水平发展的附属品,给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设,但是网络内部检测和审计更需要引起重视,为了减少网络有害信息和侵权行为,规范师生上网行为,维护校园网安全稳定运行,非常有必要建立校园网络安全审计系统。

4结语

本文详细介绍了网络安全管理的安全审计系统以及功能,并且阐述了网络安全审计的必要性,安全审计系统的使用,使网络监控力度大大加强,让网络监控效率得到显著提高,为信息化建设提供了良好的保障。

参考文献

[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.

[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):3738.

篇6

 

计算机网络技术已经深入到人们生活中的方方面面,各个行业、各个企业为了顺应时代的发展趋势,都在积极搭建自己的网络管理平台,提升企业的网络管理水平。通过计算机网络技术,企业能够了解市场的最新动态,根据市场进行决策,同时加强与商业伙伴的交流与信息反馈。企业必须熟悉如何搭建和维护网络管理平台,同时认清网络管理的目的,积极弥补工作当中存在的缺陷和不足。

 

一、企业网络管理的维护对象

 

1、维护网络安全。企业计算机网络在运行过程中,如果网络安全得不到保证,就容易导致企业的商业秘密发生泄露,从而企业在市场竞争中失去先机,还有可能引起网络系统瘫痪,使企业无法正常运转。要想维护企业的网络安全,要从多方面入手。首先,企业要根据自身情况选择合适的防火墙系统,在部署防火墙时,合理配置访问策略和安装防御程序,有效抵御来自网络上的攻击,及时发现系统中的漏洞并加以弥补。其次,在网络系统中合理划分虚拟局域网,将网络划分为多个安全域,实现域间的逻辑隔离,不仅可以提高网络安全性能,还能隔离网络故障,增强网络健壮性。再次,在路由器和重要交换机上设置访问控制列表,合理设置访问权限,对恶意访问请求进行拦截,可有效降低信息安全风险。

 

2、防范病毒入侵。除了来自网络上的各种攻击,计算机病毒入侵也是危害计算机网络安全的重要因素之一。为了避免企业的网络被计算机病毒入侵,必须要在企业所有的计算机中安装杀毒软件,定时进行病毒的查杀和清除工作。由于计算机病毒处于不断更新换代之中,所以计算机的杀毒软件也要及时进行升级,这样才能降低计算机感染病毒的概率。另外还可以在计算机终端上安装移动存储介质管理系统,没有经过系统认证的移动存储介质,一律不准接入网络终端,同时限制可信移动存储介质在企业外部随意使用,从而降低通过移动存储介质传播病毒的风险。

 

3、确保系统稳定运行。计算机网络系统即使没有遭受网络攻击、病毒入侵,也会由于长期的工作发生一些问题和故障[1]。对企业来说,计算机网络的日常维护是必不可少的,定期维护能够让网路管理者了解网络系统的工作状态,发现并及时消除网络系统中存在的故障隐患,将问题消灭在萌芽状态。比如定期对网络设备和服务器进行重启,定期对重要数据进行备份,及时关闭系统中非必要的服务,对发现的漏洞进行修复等,上述措施都能有效提高网络系统的可用性与稳定性,以提高企业网络管理水平。

 

二、企业网络管理的维护策略

 

2.1增强系统性能

 

为了增强企业的网络维护能力,首先要对网络系统进行及时升级,安装系统漏洞安全补丁,选择经过国家认可的正版杀毒软件[2]。另外,我国企业的网络管理人员总体上来说安全防范意识淡薄,不能够有效识别各种网络攻击和计算机病毒,容易给企业带来经济损失。对此,企业要加强宣传,强化网络管理人员的安全意识,养成管理人员的良好习惯,重视各类账号和密码的保护工作,定期对企业的网络系统进行检查,一旦发现异常及时进行处理。

 

2.2提高维护技术

 

随着计算机网络技术的发展,网络攻击的手段和计算机病毒的种类也在逐渐增加。为了防范这些网络攻击和计算机病毒,企业也要提升网络维护的技术水平,防止系统遭受攻击而发生数据泄露或瘫痪。对于提高企业的网络维护技术,一方面要提高企业信息系统的登录识别能力,确保合法登录,一旦发生异常登录,就要提高警惕,加大注意力。另一方面企业信息系统要提升监控能力和预警能力,在发现信息系统遭受攻击时立刻发出预警信号,从而快速排除险情。

 

2.3健全制度建设

 

要做好企业网络的维护工作,还要大力加强制度建设,从制度上为企业网络管理保驾护航。企业可根据自身需求建立网络系统维护工作机制、网络突发事件应急预案、网络系统风险评估办法、网络系统用户操作准则等相关制度。网络系统管理人员应该重点从管理角度去规避风险,提高网络管理水平,尽可能减少因系统用户的不安全操作,而给网络系统带来的不安全隐患和严重后果。

 

三、结论

 

目前我国的企业网络管理水平比较低下,维护技术和维护理念相对落后,给网络管理带来一定的困难。为了提高企业的网络管理水平,必须重视企业网络管理平台的搭建和维护,通过选择合适的防火墙和杀毒软件,对系统策略进行合理配置,对网络攻击和计算机病毒进行防范,及时升级系统漏洞补丁,提高管理人员的专业素质和安全意识,健全网络管理制度建设,从而建立起完善的网络安全管理体系。

篇7

【关键词】发电企业;网络安全;管理;技术

近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。

其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。

从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。

发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。

综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。

不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。

参考文献

[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.

[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.

[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.

[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.

[5]刘威,刘鑫,杜振华.2010年我国恶意代码新特点的研究[A].第26次全国计算机安全学术交流会论文集[C].2011.

篇8

关键词:网络安全;网络系统

引言:企业网络安全已成为当今值得关注的问题,它的重要性是不言而喻的,黑客窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值。因此,如何保障企业网络的安全变得重要起来。

1.企业网络现状分析

公司的发展壮大使其企业布局发生了巨大的变化。随着公司发展,需要重新规划:其网络结构。存在着远端数据收集困难,病毒威胁、黑客入侵、垃圾和病毒邮件威胁,带宽利用率低等

问题。

(1)病毒威胁,病毒是网络安全最大威胁,每年给各种企业带来的损失巨大,使所有企业都对病毒“谈毒色变”。

(2)ARP攻击威胁,ARP本是网络体系结构中的一个协议,这个协议关系到计算机网络通信必不可少的两个地址IP与MAC地址的转换功能。

(3)通过网络方式泄露企业机密,造成企业损失。网络在成为羲要交流工具的同时也成了重要的泄密渠道。

2.企业局域网安全防范方案

(1) 防火墙技术安全配置。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。包过滤防火墙工作在网络层上,有选择的让数据包在内部网络与外部网络之间进行交换。一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。服务防火墙也有一定功效,是一种增加了安全功能的应用层网关,位于internet和intranet之间,自动截取内部用户访问internet的请求,验证其有效性,代表用户建立访问外部网络的连接。服务器在很大程度上对用户是透明的,如果外部网络个站点之间的连接被切断了,必须通过服务器方可相互连通。

(2)攻击检测技术及方法。网络系统的安全性取决于网络系统中最薄弱的环节,所以要及时发现并修正网络中存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。这样,防火墙将得到合理配置,内外WEB站点的安全漏洞减为最低,网络体系达到强壮的耐攻击性,对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人员误操作的侵害。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),一般包括控制台和探测器,也不会对网络系统性能造成多大影响。

(3)审计与监控技术实施。由于企业需要的是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏提供有力的证据。

(4) 企业局域网防病毒设置。随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。主要面向MAIL、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。

为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。

3.结束语

在信息化时代,网络的安全应用是非常必要的,它将有效防止潜在敌人和不法分子的破坏,有效保护企业机密,降低企业的办公成本。网络安全的发展过程中,我们必须更进一步的开展企业信息安全应用研究。

参考文献:

[1]郭军.网络管理.北京:北京邮电大学出版社,2001

篇9

关键词:网络安全;网络攻击;建设原则

中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0114-01

计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,防火墙应用等,重点针对企业网络中出现的网络安全问题,作了个介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分.

一、网络威胁、风险分析

随着通讯技术和计算机技术的飞速发展,网络正逐步成为当今社会发展的一个主题,其改变着人们的工作方式和生活方式。网络的互连性,开放性,共享性程度的扩大,然而网络的重要性和对社会的影响也越来越大主要是Internet的出现。随着数字货币,电子现金,电子商务和政府上网以及网络银行等网络行为的出现,网络安全的问题变得越来越重要。

(一)其他网络的攻击

据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:

当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。

近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。

计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。

(二)管理及操作人员缺乏安全知识

我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。

现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。

二、网络安全总体设计

据统计,在英国50%的用户口令都是宠物名称,而在全世界销售的150,000套防火墙中有85%的防火墙没有正确的配置,60%的防火墙按缺省设置安装。然而对于系统安全的维护和管理需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,根据实际情况对安全管理产品进行详细地配置,对于企业的策略进行设计和安全管理规范,就算功能再强大的安全产品也会达不到非常好的安全防护作用。

三、安全系统的建设原则

“使入侵者花费不可接受的金钱与时间,并且承受非常高的风险才可以闯入的系统叫做安全系统。我们认为,绝对安全与可靠的信息系统并不存在。然而安全性的增加通常会导致企业费用的增长,这些费用包括系统复杂性增加、系统性能下降、操作与维护成本增加和系统可用性降低等等。安全不是目的而是一个过程。威胁与弱点会随时间变化。然而安全的努力依赖于许多因素,例如新业务应用的实施、职员的调整、安全漏洞和新攻击技术与工具的导入。

参考文献:

[1]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003

[2]高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003

篇10

根据最新的国家计算机网络应急技术处理协调中心的报告,目前网络攻击的动机逐渐从技术炫耀型转向利益驱动型,网络攻击的组织性、趋利性、专业性和定向性继续加强,从而导致为获得经济利益的恶意代码和在线身份窃取成为网络攻击的主流,瞄准特定用户群体的定向化信息窃取和勒索成为网络攻击的新趋势。此外我国被篡改的网站数量居高不下,尤其是政府网站被篡改的比例呈现上升趋势。图1显示了我国仅在2006上半年统计的网络安全事件数; 图2则显示了当前我们所面对的网络安全威胁种类的复杂性和多样性。由此可见,我国的信息安全面临严峻考验。

从图1和图2我们不难看出,当前的网络攻击和威胁的最大特点是趋利化,那么对于企业来说,如果没有一套较好的安全防范架构,那就不可避免地会在纷繁复杂的网络中遭受大量的乃至致命的打击。因此,建立企业安全防范架构势在必行。

安全架构模型

从当前的理论研究以及实践经验来看,面向企业安全的防范架构并未有一个成型的模型,各企业均按照自身的经验和组织管理体系来进行企业网络安全的防范工作。然而,在实践中急需有一套具有指导性意义的方法和手段来对其工作进行指导,才能做到有备无患。我们看到,关于网络安全的相关标准及模型的研究已经日趋成熟和理论化,并在实践中广泛应用。因此,我们不妨借用这些模型和标准来构建一套较为有效和具有普遍意义的企业安全防范体系。

ITU-T X.800 Security architecture标准将我们常说的“网络安全(Network Security)”进行逻辑上的分别定义,即安全攻击(Security Attack)是指损害机构所拥有信息的安全的任何行为;安全机制(Security Mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制; 安全服务(Security Service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。

为了能够有效了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图3给出了DISSP安全框架三维模型。第一维是安全服务,给出了八种安全属性。第二维是系统单元,给出了信息网络系统的组成。第三维是结构层次,给出并扩展了国际标准化组织ISO的七层开放系统互联(OSI)模型。

框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。

安全架构的层次结构

作为全方位的、整体的网络安全防范架构是分层次的,不同层次反映了不同的安全问题。我们可以将企业安全防范架构的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理(如图3)。由于层次的不同,我们也需要采用不同的安全技术来针对每层的安全问题进行应对和防护,因而也就产生了如图4中所列的种类繁多的安全技术。

物理层

保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。因此,该层的安全防护技术具体体现在设备和系统的管理层面和电气工程相关技术的层面上。

网络层

该层的安全及安全技术问题是当前企业面临的最大问题,其安全防护技术主要是针对各种类型的DoS和DDoS攻击进行防护和抑制。

管理层

管理层安全是最重要而且最容易被忽视的一个问题。它直接关系到上述安全问题和安全技术是否能够收到较好的成效,也是贯穿整个企业安全防范架构的一条重要主线。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。

网络防护两大趋势

随着攻击技术的不断发展和演化,我们需要对企业网络防护技术的未来发展趋势进行把握,可以做出如下两个层面的归纳和预测。

首先是在网络应用层中,风险分析的重点将放在安全测评评估技术上。它的战略目标是掌握网络、信息系统安全测试及风险评估技术,建立完整的、面向等级保护的测评流程及风险评估体系。这一点和过去不一样,过去做测评是没有强调等级保护的。

此外,网络应用层的网络安全事件监控技术的战略目标应重点放在整个企业的层面进行考虑,要掌握保障基础信息网络与重要信息系统安全运行的能力,提高网络安全危机处理的能力。响应的重点应该放在恶意代码防范与应急响应技术上,其战略目标是掌握有效的恶意代码防范与反击策略。一旦发现恶意代码,要迅速提出针对这个恶意代码的遏制手段,要提供国家层面的网络安全事件应急响应支撑技术。其主要创新点在于,提出对蠕虫、病毒、木马、僵尸网络、垃圾邮件等恶意代码的控制机理。

此外国际产业界还提出了UTM。它的目标主要针对安全防护技术一体化、集成化的趋势,提出了UTM与网络安全管理的有效模型、关键算法,提出了相应的行业标准及其实现方式。UTM可以提高效果、降低投资,通过综合管理提高防护能力。

有明显发展新趋势的第二个层面是系统与物理层,在这一层安全存储系统产品很多,从安全角度来看,它的发展趋势有两点: 一个是机密性,企业要掌握海量数据的加密存储和检索技术,保障存储数据的机密性和安全访问能力; 另一个是安全存储系统自身要可靠,企业要掌握高可靠海量存储技术,保障海量存储系统中数据的可靠性。创新点在于,应提出海量分布式数据存储设备的高性能加密与存储访问方法,提出数据自毁机理数据备份与可生存性技术是围绕灾难恢复来做的。这主要是用于第三方实施数据灾难备份的模型与方法,为建设通用灾难备份中心提供理论依据与技术手段,建立网络与信息系统生存性和抗毁性,提高网络与信息系统的可靠性。对网络安全模型提出一个技术性模型,应该要有一个可信计算平台做整体的支撑。业界的战略目标是掌握基于自主专利与标准的可信平台模块、硬件、软件支撑、应用安全软件、测评等一批核心技术,主导我国可信计算平台的跨越式发展,为可信的企业计算提供操作平台和可靠保障。

链接

企业安全防范架构设计准则

根据安全防范架构的多个层面的问题,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,企业网络安全防范架构在整体设计过程中需要遵循以下几项准则,以切实全面地做好企业安全防范工作:

1.做好整体规划

企业信息安全系统应该包括安全防护机制、安全检测机制和安全响应机制和安全策略。这主要来源于经典的信息安全领域的P2DR模型(见右下图)。P2DR模型包含四个主要部分: Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。

06

具体到企业安全防范架构上,我们也要很好地考虑这些要点,而不能光为了防范而防范,要整体规划和部署。也就是说,安全防护机制是根据具体系统存在的各种安全威胁采取的相应防护措施,避免非法攻击。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全响应机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。

2.做好层次性防范

层次性防范是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。

3.突出重点,合理平衡

网络信息安全的木桶原理是指对信息均衡、全面地进行保护。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。

4.技术与管理,两手都要硬

安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。切忌只重视其中一种而忽视另一种的情况出现,要明白好的技术是管理的基础,而高效地管理则是技术强有力的保证。