企业网络安全保障方案范文

时间:2023-11-15 17:56:45

导语:如何才能写好一篇企业网络安全保障方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业网络安全保障方案

篇1

在现代互联网的时代,很多人为了便利和网络文献的丰富性就导致了惰性,不管是好是坏就胡编乱造的拿来充数,这样的参考文献是没有任何价值意义的,下面是学术参考网的小编整理的关于网络安全论文参考文献,欢迎大家阅读借鉴。

网络安全论文参考文献:

[1]张金辉,王卫,侯磊.信息安全保障体系建设研究.计算机安全,2012,(8).

[2]肖志宏,杨倩雯.美国联邦政府采购的信息安全保障机制及其启示.北京电子科技学院学报,2009,(3).

[3]沈昌祥.构建积极防御综合防范的信息安全保障体系.金融电子化,2010,(12).

[4]严国戈.中美军事信息安全法律保障比较.信息安全与通信保密,2007,(7).

[5]杨绍兰.信息安全的保障体系.图书馆论坛,2005,(2).

[6]侯安才,徐莹.建设网络信息安全保障体系的新思路.现代电子技术,2004,(3).

网络安全论文参考文献:

[1]王爽.探讨如何加强计算机网络安全及防范[J].计算机光盘软件与应用,2012(11).

[2]田文英.浅谈计算机操作系统安全问题[J].科技创新与应用,2012(23).

[3]张晓光.试论计算机网络的安全隐患与解决对策[J].计算机光盘软件与应用,2012(18).

[4]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.

[5]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.

[6]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.

[7]周连兵,张万.浅议企业网络安全方案的设计[J].中国公共安全:学术版,2013,10(02):163-175.

网络安全论文参考文献:

[1]古田月.一场在网络战场上的较量与争夺[N].中国国防报,2013-05-20(6).

[2]兰亭.美国秘密监视全球媒体[N].中国国防报,2010-10-24(1).

[3]李志伟.法国网络安全战略正兴起[N].人民日报,2013-01-01(3).

[4]石纯民,杨洋.网络战:信息时代的战略战[N].中国国防报,2013-09-23(6).

篇2

Abstract: Information and network technology plays an important role in manufacturing and operations of power enterprise, especially as the internet develops rapidly, informatization and digital technology have been extensively applied in power industry .Power companies have established a large and complex scheduling data networks and integrated information network, computer network, information systems have become an increasingly important and necessary technical support system, which result the risk that faced with information, network security may also penetrate into all aspects of power production and operation. Current information and network security has become a big issue that impacting on electricity safety.

关键词:电力;网络;安全;方案

Key words: power;network;security;plan

中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0165-01

1电力行业的特点

电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到电网调度自动化,继电保护及安全装置、厂、站自动化,配电网自动化,电力负荷控制分析、电力市场交易、电力营销、信息网络系统等,发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。

2网络安全分析

一般说来,在电力网络系统中的安全防护主要包括三个方面:一是网络拓扑的结构防护,即在后期当网络的结构调整时,要注意增删节点的合理性;二是硬件方面的防护,即组成网络系统中的各类设备;三是软件方面的防护,即网络系统中存储和传输的信息数据。

3网络安全的防范技术

①配备安全评估系统,定期对电力网络系统进行扫描,主动发现安全漏洞,及时修补。②采用全网统一的网络防病毒系统,保护网络中的各类服务器、工作站等不受病毒的干扰和对其上文件的破坏,以保证系统的可用性。③作为防火墙的补充,须在内部关键业务网段配备入侵检测系统和防御系统,以防备来自内部的攻击及外部通过防火墙的攻击。④对关键业务信息跨地区的传输,采用VPN产品进行加密,保证传输过程中的信息安全。⑤对于网络设备、服务器等管理员的身份认证,采用诸如令牌口令的增强身份认证系统。⑥配备灾难恢复系统及冗余,防备意外的发生。⑦建立完善的网络安全管理制度,防止出现人为的安全隐患。

4安全解决方案

4.1 总体设计思路和原则。在基本的访问控制,身份鉴别和安全审计方面采用合理的技术手段。使用防火墙产品划分网络区域,对需要保护的区域进行网络层的访问控制。正确使用系统中已有的安全机制,各系统通常包含了基本的安全机制,如身份认证、访问控制和审计功能。正确的使用这些安全功能可以减少系统可被利用的漏洞。采用专用产品强化系统中对安全构成威胁的薄弱环节(包括防病毒)。用必要和有效的监控和审查机制保证安全机制的有效性,安全策略的正确性;定期审查。持续监控,部署必要的技术和产品在安全机制失效和灾难的情况下采取正确、及时、有效的措施。及时报警,以争取管理和技术人员的及时介入。在入侵正在进行时自动或通过人员干预终止威胁系统安全的行动。系统遭到破坏是在尽可能短的时间内回复系统的运行。

4.2 网络安全产品的部署

①防火墙的配置:作为保护电力系统内部网免遭外部攻击,最有效的措施就是分别在电力系统各级内部网与外部广域网之间放置防火墙,通过设置有效的安全策略,做到对电力系统内部网的访问控制。不改变原来网络拓扑结构,且保证通讯速度不受较大影响,可以配置使用基于状态检测包过滤技术上的流过滤技术的防火墙――硬件防火墙系统。

②入侵监测系统的配置:为了防范来自电力系统内部网络的攻击,及来自外部透过防火墙的攻击,作为防火墙的补充,须在电力系统内部网各重要网段配备入侵检测系统,通过对网络行为的监视,来识别网络的入侵的行为。实时监视网络上正在进行通信的数据流,分析网络通讯会话轨迹,反映出内外网的联接状态;通过内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯的情况,查询网络事件,进行相应的响应;能根据所发生的网络安全事件,启用配置好的报警方式,比如Email、声音报警等;提供网络数据流量统计功能,能够记录网络通信的所有数据包,对统计结果提供数表与图形两种显示结果,为事后分析提供依据;默认预设了很多的网络安全事件,保障客户基本的安全需要;提供全面的内容恢复,支持多种常用协议;支持分布式结构,安装于大型网络的各个物理子网中,一台管理器可管理多台服务器,达到分布安装,全网监控,集中管理。

③信息传输加密产品的配置:为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。高加密强度的安全隧道,认证通信双方的身份,实现基于应用的访问控制。有详细的日志和审计记录,对所处理的每一次通信或服务都可以进行详细的记录。提供穿越防火墙的VPN应用模式,可以用直连的方式把通过认证的数据直接传送到主机的应用程序;可以与第三方认证产品集成,提供更强的身份认证和访问控制功能。

④防病毒系统部署。总之电力企业网络的安全保障可从以下几方面考虑:a.在电力企业网络各节点处构筑防御(如防火墙),防止外网影响内网。b.建立一个统一、完善的安全防护体系,该体系不仅包括防火墙、网关、防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。c.在互联网日益广泛应用的今天,为保障电力企业网络的安全,必需树立全程安全的观念。

参考文献:

[1]CCNA DISCOVERY企业中的路由、交换技术[C]//思科网络技术学院教程.

篇3

【关键词】网络安全;防火墙;VPN;VLAN

一、引言

随着电力施工企业信息化发展的不断深入,企业对信息系统的依赖程度越来越高,信息与网络安全直接影响到企业生产、经营及管理活动,甚至直接影响企业未来发展。企业网络规模的扩大、信息接入点增多、分布范围广,使信息接入点管控难度大。企业信息与网络安全面临各类威胁,笔者以构建某电力施工企业信息与网络安全体系为例,从信息安全管理、技术实施方面进行阐述与分析,建立一套比较完整信息化安全保障体系,保障业务应用的正常运行。

二、企业网络安全威胁问题分析

1.企业网络通信设备存的安全漏洞威胁,网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息,利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。

2.非法入侵用户对网络系统的知识结构非常清楚,包括企业外部人员、企业内部熟悉网络技术的工作人员,利用内部网络进行恶意操作。非法用户入侵企业内部网络主要采用非法授权访问对企业内部网络进行恶意操作,以达到窃取商业机密的目的;独占网络资源的方式,非业务数据流(如P2P文件传输与即时通讯等)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪,对内部网络系统造成损坏。

3.恶意病毒程序和代码包括计算机病毒、蠕虫、间谍软件、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装,并把截获的机密信息发送给第三者。

4.随着企业信息化平台、一体化系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,信息被非法截取、篡改而造成数据混乱和信息错误的几率加大;当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用,造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。

三、企业信息与网络安全策略

结合电力施工企业业务广范围大特点,提出一套侧重网络准入控制的信息安全解决方案,保障企业网络信息安全。

1.远程接入VPN安全解决方案

施工企业拥有多个项目部,地域范围广,项目部、出差人员安全访问企业信息系统是企业信息化的要求,确保网络连接间保密性是必要的。采用SSL VPN安全网关旁路部署在网络内部,通过设置用户级别、权限来屏蔽非授权用户的访问。访问内部网络资源的移动、项目用户先到SSL VPN上进行认证,根据认证结果分配相应权限,实现对内部资源的访问控制。

2.边界安全解决方案

在系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。边界防护建立以防火墙为核心,邮件、WEB网关设备、IDS及IPS等设备为辅的边界防护体系。

(1)通过防火墙在网络边界建立网络通信监控系统,监测、限制、更改跨越防火墙的数据流以及对外屏蔽网络内部的信息、结构和运行状况,控制非法访问、增强网络信息保密性、记录和统计网络数据并对非法入侵报警提示等,达到保障计算机网络安全的目的。

(2)在防火墙上开启防病毒模块,可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害,改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。

(3)以入侵防御系统IPS应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御安全威胁,通过在线部署,IPS可以检测并直接阻断恶意流量。

(4)将上网行为管理设备置于核心交换机与防火墙之间。通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控,在上网行为管理设备上设置不同的策略,阻挡P2P应用,释放网络带宽,有效地解决了内部网络与互联网之间的安全使用和管理问题。

3.内网安全解决方案

内网安全是网络安全建设的重点,由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,也是安全建设的难点。

(1)主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,将信任网段与不信任网段划分在不同的VLAN段内,实现内部一个网段与另一个网段的物理隔离,防止影响一个网段的安全事故透过整个网络传播,限制局部网络安全问题对全局网络造成的影响。

(2)建立企业门户系统,用户的访问控制部署统一的用户认证服务,实现单点登录功能,统一存储所有应用系统的用户认证信息,而授权等操作则由各应用系统完成,即统一存储、分布授权。

(3)系统软件部署安全、漏洞更新,定期对系统进行安全更新、漏洞扫描,自动更新Windows操作系统和Office、Exchange Server以及SQL Server等安全、漏洞补丁。安装网络版的防病毒软件,定期更新最新病毒定义文件,制定统一的策略,客户端定期从病毒服务器下载安装新的病毒定义文件,有效减少了病毒的影响;配置邮件安全网关系统,为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒和实现邮件内容过滤等功能,有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。

4.数据中心安全解决方案

作为数据交换最频繁、资源最密集的地方,数据中心出现任何安全防护上的疏漏必将导致不可估量的损失,因此数据中心安全解决方案十分重要。

(1)构建网络链接从链路层到应用层的多层防御体系。由交换机提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。

(2)建立数据备份和异地容灾方案,建立了完善的数据备份体系,保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点,通过网络以异步的方式,把主站点的数据备份到备份站点,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。

5.安全信息管理与培训

(1)网络管理是计算机网络安全重要组成部分,在组织架构上,应采用虚拟团队的模式,成立了相关信息安全管理小组。从决策、监督和具体执行三个层面为网络信息安全工作提供保障。建立规范严谨的管理制度,制定相应的规范、配套制度能保证规范执行到位,保障了网络信息安全工作的“有章可循,有据可查”。主要涉及:安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等。

(2)人员素质的高低对信息安全方面至关重要;提高人员素质的前提就是加强培训,特别加强是对专业信息人员的培训工作。

四、结束语

该企业信息与网络安全体系建设以技术、管理的安全理念为核心,从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面,构建一个多层次、全方位网络防护体系。在统一的安全策略基础上,利用安全产品间的分工协作,并针对局部关键问题点进行安全部署,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中管理,达到提升网络对安全威胁的整体防御能力。

参考文献

篇4

关键词:网络;安全;VPN;加密技术;防火墙技术

网络安全是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或恶意的原因而遭破坏、更改或泄露,系统能连续可靠、正常地运行,使网络服务不中断。

随着Internet的飞速发展,网络应用的扩大,网络安全风险也变的非常严重和复杂。原先由单机安全事故引起的故障通过网络传给其他系统和主机,可造成大范围的瘫痪,再加上安全机制的缺乏和防护意识不强,网络风险日益加重。这些风险的出现与网络的系统结构与应用相关联。主要包括物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等六个方面。网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。

1.方案目标

本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止有害信息在网上传播等。

2.安全需求

通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即:

可用性:授权实体有权访问数据;

机密性:信息不暴露给未授权实体或进程;

完整性:保证数据不被未授权修改;

可控性:控制授权范围内的信息流向及操作方式

可审查性:对出现的安全问题提供依据与手段

访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。

数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。

安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。

3.风险分析

网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面。风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。

3.1物理安全风险分析

网络物理安全是整个网络系统安全的前提,其主要风险有:地震、水灾、火灾等环境事故;电源故障;电磁辐射造成信息被窃取。

3.2链路风险分析

网络安全威胁不仅在网上进行攻击。攻击者完全有可能在传输线路上安装窃听设备,再通过一些技术读出。因此对于一些重要信息在链路上必须加密,并且通过数字签名及认证确保数据的真实性、机密性、可靠性、完整性。

3.3网络安全风险分析

与Internet互联的安全威胁,主要为黑客的人侵;内部局域网与外部网互联的安全威胁,主要手段有网络监听与恶意攻击等。内部局域网的安全威胁,主要是内部人员的泄密。

3.4系统安全风险分析

主要指网络操作系统、应用系统的安全。表现在开发商的Back-Door(后门)以及系统本身的漏洞上。

3.5应用安全风险分析

应用系统的安全涉及的方面较多,主要在电子邮件与病毒方面。

3.6管理安全风险分析

内部人员的破坏,管理不善,制度不健全,都可以引起管理安全风险。因此除了技术以外,还得依靠管理实现网络安全。

4.解决方案

4.1设计原则

针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循的思想:

①大幅度地提高系统的安全性和保密性;

②保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;

③易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;

④尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;

⑤安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;

⑥安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;

⑦分步实施原则:分级管理,分步实施。

4.2安全策略

针对上述分析,我们采取以下安全策略:

㈠采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。

㈡采用各种安全技术,构筑防御系统,主要有:

①防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。

②NAT技术:隐藏内部网络信息。

③VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。

④网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。

4.3防御系统

我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec),构成网络安全的防御系统。

4.3.1物理安全

为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护 措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:

①产品保障方面:主要指产品采购、运输、安装等方面的安全措施。

②运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。

③防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。

④保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。

4.3.2防火墙技术

防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备———路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。

4.3.3 VPN技术

VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。

4.3.4网络加密技术(Ipsec)

IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:①访问控制;②无连接完整性;③数据起源认证;④抗重放攻击;⑤机密性;⑥有限的数据流机密性;信息交换加密技术分为两类:即对称加密和非对称加密。

5结束语

在日常工作和学习中,只要我们使用网络,就必然涉及到网络安全的问题。目前解决网络安全问题主要采取的技术手段,对防止系统非法入侵都有一定的效果,但它们只是起着防御功能,不能完全阻止入侵者通过蛮力攻击或利用计算机软硬件系统的缺陷闯入未授权的计算机或滥用计算机及网络资源。因此,我们必须不断学习,不断积累经验,提高自身素质,制定出严密的安全防范措施,尽可能提高网络系统的安全可靠性。

参考文献:

[1]郭军.网络管理[M].北京:北京邮电大学出版社,2001.

篇5

我们本次评测的重点有两个,第一卡巴斯基开放空间安全解决方案加强版在企业网络中的部署能力,以及对安全部署后的管理能力。第二是实际的病毒攻击和挂马测试等,该测试将在服务器和工作站端同时进行,以检测这款产品的远程保护和远程清除能力。

卡巴斯基开放空间安全解决方案是一款集多个产品线组成的安全解决方案,能够为工作站,服务器、网关等网络终端提供安全保障,甚至其安全保障还延伸到了手机安全策略,不过我们本次测试由于环境局限,并没有对手机部分进行测试。

针对本次卡巴斯基开放空间安全解决方案加强版的测试。我们特别搭建了测试环境和测试平台,参与测试的有5台工作站和1台服务器。并且搭建了千兆的网络环境和Intel AGN标准无线网络环境,将测试平台部署成网络,连接外部互联网的是1条10MB ADSL。再添加多个工作站即可成为一个中小型企业的网络部署结构,所以本次测试同样适用于中小型企业。

管理工具在服务器端的安装

部署卡巴斯基开放空间安全解决方案加强版首先需要在服务器端安装卡巴斯基管理工具8.0软件,管理者可通过该软件对网络内的任何工作站进行安全管理。这是卡巴斯基开放空间安全解决方案加强版的核心部件之一。

制作卡巴斯基一键安装包是部署的核心工作,管理者在该处即可完成网络设定,规划好工作站网络结构。通过制作多功能多分类的卡巴斯基一键安装包分发到制定工作站,完成复杂网络的部署。

工作站的部署与安装

卡巴斯基开放空间安全解决方案应对于中小型企业的部署有三种方式:

一、通过网站方式或文件共享方式进行部署安装:

二、通过管理端的网络推送方式进行部署安装;

三、通过拷贝文件的方式进行分发的本地安装来完成部署;

总的来看,以第一种方式来进行部署安装是最为方便的。第二种方式部署管理性强,比较适用于异地安装;第三种方式最为常见,但不适用于大批量工作站的部署;三种方式各有优劣。

卡巴斯基开放空间安全解决方案加强版提供的三种解决方案可以完成从中小型企业到大型企业的部署工作,甚至会议安全部署与赛事部署都可以轻松解决。还有一种面向域的不是方式,这种方式更适合有独立域的企业完成部署,其复杂程度要高过以上介绍的三种方式,故我们在本文中就不在进行介绍。

卡巴斯基管理工具应用

既然要管理多台工作站,那么对于管理者而言就要制定安全管理策略,卡巴斯基管理工具8.0内置了标准的管理策略,并且管理者还能够具备自定义安全管理策略。部属和组任务,完成对加入管理组的工作站的管理。

保护Windows工作站中可以查看到部署的计算机饼状分布图,能够显示准备执行计算机,正在执行计算机、执行成功的计算机和执行失败的计算机并能够查看执行详细。管理者可编辑策略包含主动防御,反黑客,文件反病毒等策略。编辑完成后激活执行即可,管理者只需要执行策略的反馈。

组任务操作包含扫描工作站和服务器病毒,更新工作站和服务器病毒四项系统内置的任务。扫描属性上可设定扫描计划时间、扫描对象,通知、扫描到病毒后的执行状况。更新部分可为部署好的工作站更新病毒库,应用程序等。

客户端计算机中可查看到当前连接到管理服务器的状态,包含连接时间和安装状态等。

要统计庞大的工作站终端,就需要设计合理的统计报表。卡巴斯基管理工具的报告和通知标签中能够实时的显示网络运营的各项状态。包含保护状体、保护范围报告、反病毒库版本报告、外部程序报告、病毒报告、授权报告等等。管理者每次计划扫描的结果都会汇总在此,对我们用处较大的是病毒报告,大部分受感染计算机报告和回执的错误报告。

报告和通知的功能我们在此不在列举,这款软件的设计能够使繁琐的网络管理变得简单易操控。

卡巴斯基管理工具还具备数据备份、发送报告,管理工具下载更新任务工具,这些工具能够良好的维护自身的更新与运转。卡巴斯基管理工具能够对指定的单独计算机进行任务操作。

从上文的介绍来看,卡巴斯基开放安全解决方案加强版拥有方便快速有效的部署到简单易用的集中管理的特色,这对于企业应用而言非常有实用的特点。以开放部署应对网络的开放性,以集中管理闭合网络的开放性,是这款产品的最“深刻”的地方。

常规病毒样本扫描测试

常规病毒样本扫描是杀毒软件的基础,能否很好的进行快速判定和有效清除,是考核杀毒软件核心杀毒能力和技术引擎判定标准之一。我们实际测试了卡巴斯基反病毒window工作站6.0加强版在工作站软件的查杀能力,选用了一款含有141个常规病毒的数据样本包。卡巴斯基反病毒Window工作站6.0加强版能够非常好的识别出病毒,并询问对病毒文件的处理。

经过测试卡巴斯基反病毒Window工作站6.0加强版达到了99%的查杀率,常规病毒样本扫描测试效果非常好。

特征码扫描测试是检测杀毒软件扫描引擎的关键测试,它区别于常规病毒样本扫描那样有针对性,而是通过识别病毒特征进行扫描查杀,这项测试的测试结果直接影响一款产品的好坏。我们使用了100个特征码病毒的样本包进行测试,测试过程,卡巴斯基反病毒Window工作站6.0加强版能够快速的识别并进行相关询问操作。

防挂马能力测试,是检测一款杀毒软件对网页木马能否识别并拦截的测试。这对于能够访问互联网的工作站是非常有必要部属的,能够抵御来自互联网病毒的侵害。本项测试我们通过访问携带木马的网页来进行测试,访问的多个“挂马”网页卡巴斯基反病毒Window工作站6.0加强版都能都很好的进项拦截。

卡巴斯基反病毒Window工作站6.0加强版在本次测试中表现很好,识别率为100%,本次测试值得称道。

卡巴斯基反病毒Window工作站6.0加强版设计有主动防御功能,顾名思义即对计算机正在运行的应用程序进行主动的分析,以达到实时发现和查杀病毒的作用。同时还能够保护注册表不被恶意的篡改等等。

篇6

1、新时期油田企业信息化网络安全的相关策略

首先部署高安全性防护系统。对于高安全性防护系统的布置工作重点做好两个方面,一个是保证操作系统的安全使用,另一个是布置好安全防护软件,这两个方面是实现信息化网络安全和信息安全关键步骤。油田企业不同于其它企业主要是因为它对于网络建设资金上可以有保证,所以相对于其他企业而言对于信息化网络设备和信息化系统的性能也相对较高。要做好安全性防护系统的全面部署工作,还需要从以下几个方面入手,比如防病毒系统、防火墙、认证加密以及操作系统安全使用,笔者对此进行了分别的论述。第一是防病毒系统。在所有操作系统中除了微软的操作系统易被病毒感染,其他的操作系统都是较为安全的但是也不要忽视。油田企业用户网络节点多所以通过单机使用防病毒软件显然是不行的,为此需要进行防病毒系统的建立,这样才能保证做好油田企业的网络安全防范工作。现在已经有企业防病毒系统的出现,为了更好地对于计算机病毒,一般需要建立防病毒系统,除此以外还要通过其他手段来进行系统安全的维护工作;第二是防火墙。防火墙可以为企业计算机提供实质上的网络安全,它是现在信息安全产品之一。它一方面可以有效地抵制来自互联网的攻击,另一方面还可以辅助企业安全策略。硬件防火墙和软件防火墙虽然各有优势,但是相对而言,硬件防火墙功能表现单一,升级相对困难,而软件防火墙的使用自身安全性则会受限于操作系统。防火墙承担的作是多方面的,一方面可以禁止外部网络对于企业内部网络的访问,实施对企业的网络安全保护工作;另一方面可以对员工访问互联网有所限制。防火墙表现出来的优势是显而易见的,但是数据包要通过防火墙的过滤,降低了网络性还增加了在网延迟时间,所以要真正实现防火墙作用的重要发挥,还需要配合其他的安全产品;再次认证加密。认证加密是保证应用安全的有效手段,它主要是通过数字证书来实现的。数字证书是一个标志着通讯双方身份信息的数据数字证书。所以对于油田企业而言可以通过数字认证加密的方式来实现对油田企业办公自动化的保障,同时控制对敏感信息的访问,尤其是油田企业涉及到电子商务工作。有了认证加密这个重要的环节可以有效地对各交易方的身份以及后序工作中对交易信息的保密工作实施保护;最后对操作系统安全使用。对于油田企业信息化网络中网络安全的保证最为重要的一个工作环节就是保证油田企业操作系统的安全使用。对于油田企业操作系统的安全使用工作笔者认为不外乎以下几个方面,其一保证操作系统的安全使用实施用户密码管理有备无患;其二保证操作系统的安全使用进行系统漏洞检测增加二道保障;其三保证操作系统的安全使用要进行信息加密;其四保证操作系统的安全使用要进行用户安装工作实施。其次是对高可用性网络系统的构建,高可用性网络系统也是信息化网络安全维护的重要方法之一。高可用性网络系统的主要内容包括以下几个方面,一方面是关于信息化硬件,另一方面是关于信息化软件,除此之外还包括灾难恢复。信息化硬件涵盖的范围较为广泛,比如网络设备、机房设备以及服务器等等。高可用性对信息化硬件也提出了更高的要求,所以在对系统进行设计时要考虑到网络和设备的冗余备份,对于网络系统的关键设备也要给予高度的关注和重视;第二是关于信息化软件,信息化软件的主要内容包括应用程序、操作系统和数据库等等。对于操作系统类的信息化软件在选择时要选择安全性高以及性能好的操作系统。对于应用程序在进行选择时可以选择用商品化的软件或者选择与其他公司合作,在进行合作时一定要保证选用有丰富经验的知名公司;对于操作系统的选择,个人操作系统和服务器操作系统要有不同的选择,对于个人操作系统要Windows2000及以上的版本,而对于服务器操作系统的选择则选用UNIX系统;第三是关于灾难恢复,它主要指的是指当信息网络设备系统发生灾难时对数据和服务的恢复。完整的灾难恢复策略不但包括备份硬件、备份软件、备份制度,而且包括灾难恢复计划。对于油田企业而言最重要的并不是信息化系统和信息化设备,而是信息化系统和信息化设备中储存的重要数据和重要信息。油田企业中对于灾难恢复的保护工作主要还是企业内部的文件服务器和关键数据库。文件服务器主要指的是办公自动化所依赖的服务器,它主要存储企业中所需要的关键文档和重要信息;关键数据库一般指的是存储企业生产管理数据的基础数据库。综上所述,对于各个环节的备份工作对于油田企业数据的完整性有着重要的作用,所以一事实上要重视对灾难恢复策略工作的实施。最后建立安全保障体系。实现油田企业信息化网络安全工作建立安全保障体系也是非常重要和关键一步。安全保障体系的建立是一个系统的工作任务,它会涉及到很多方面,比如管理组织、管理制度、应急方案以及网络管理等等方面。笔者依次对这几个方面进行相关论述。第一是安全管理组织的建立。安全管理组织的建立是安全保障体系的重要组成部分。安全管理组织的主要成员构成包括以主管为领导、以安全操作员、网络管理员以及其他安全专家等等企业人员。这部分人员在安全管理组织中承担不同的任务,主管领导主要是来负责安全体系的建设和实施;安全操作员主要用来负责安全措施的具体实施;其他安全专家主要负责对重大安全问题的处理工作;网络管理员主要负责安全策略和组织技术实施;第二是安全管理制度的建立。把安全管理工作进行制度化确立,可以更加方便对于石油企业的管理实施工作。安全管理制度涉及到的几个方面主要包括信息化设备和信息化系统的使用、以及运行、管理和相关维护工作,这样工作以及相关安全策略方面的工作都可以最终以安全管理制度的形式最终确立下来,这样将有助于推动油田企业的安全管理工作实施;第三制定安全应急方案。油田企业中出现的安全问题是大小不一,对于不同程度的安全问题要有必要的应急方案。因为一旦发生较为严重的安全问题都会给油田企业的生产造成很大的影响,而这种影响造成的经济损失也是不可估量的。所以针对诸如系统设备故障可能产生的重大安全问题,油田企业相关人员要对这些特定的安全问题制定出应急预案;第四加强网络管理。网络安全也是信息管理工作的重要环节,对于信息化安全至关重要。油田企业要实施网络管理工作重点内容不外乎以下几个方面,比如网络操作系统安全策略的维护和检查、防火墙路由器的安全检查以及系统和数据的备份等等。网络管理的内容来源于网络实施中的各个细节,要做网络安全运行的工作这些细节都不能松懈。

2、结束语

油田企业的信息化建设固然重要,但是离开了信息化网络安全也就无法达到信息化建设的真正目的。所以对于油田企业具有复杂性和系统性的特点,作为油田企业网络安全维护工作者要做好对于信息化的安全防护,以达到信息化建设的真正目的。

作者:刘文冬单位:中国石油新疆油田公司数据公司乌鲁木齐分公司

篇7

关键词:等级保护分级管理;中小型网络;安全建设

中图分类号:TP309文献标识码:A文章编号:1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部关于等级保护分级管理的要求

如何利用等级保护中分级管理制度,确定不同的系统不同的安全策略,消除内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患,对中小网络而言至关重要。为此,自2010年3月1日起,工业和信息化部了《通信网络安全防护管理办法》(以下简称《办法》)开始施行。《办法》要求通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度,将本单位已正式投入运行的通信网络单元由低到高分别划分为一级、二级、三级、四级、五级。《办法》要求,通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。

二、中小型网络基本情况与应用特点

中小型计算机网络主要应用于办公自动化系统、信息查询系统、邮件服务、财务、人事、计划系统等实际工作和WWW应用中。根据中小型计算机网络的应用特点,需要保证网络中的数据具有可用性、可靠性、保密性、完整性、安全性等。又由于计算机网络跨越公共网络及与Internet网互联,这就给计算机网络带来严峻的安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决,那将会给计算机网络带来严重的安全隐患。所谓可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。可靠性是指网络系统硬件和软件无故障运行的性能,是网络系统安全最基本的要求;保密性是指网络信息不被泄露的特性,保密性是保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容;完整性即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,是指网络信息未经授权不能进行改变的特性,也称作不可否认性。从技术角度看,网络安全的内容大体包括四个方面,即:网络实体安全、软件安全网络数据安全和网络安全管理。由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全。因此实施网络安全保护方案,目的是以保证算机网络自身的安全。

三、中小型网络安全解决方案

随着网络威胁越来越普遍、破坏性越来越严重,网络入侵者攻击来源广泛,形式多样。通常采用信息收集、探测分析系统的安全弱点和实施攻击有步骤地进行入侵。如在目标系统安装木马程序用来窥探目标,网络所熟悉的病毒,如红色代码、冲击波,口令蠕虫等对网络造成了巨大损失。本文按照安全风险、需求分析结果、安全目标及安全设计原则,为中小型计算机网络解决网络安全问题,力求构建一个适合于中小型计算机网络的安全体系。

(一)外网安全设计

1.防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

2.入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。

3.病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。

4.垃圾邮件过滤系统:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。

(二)内网安全设计

采用访问控制策略,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用:网络管理软件系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。

具体可采用Juniper的整合式安全设备+三层交换机的配置方案。Juniper的整合式安全设备专为互联网网络安全而设,将硬件状态防火墙、虚拟专用网(IP sec VPN)、入侵防护(IPS)和流量管理等多种安全功能集于一体,可以通过内置的Web UI、命令行界面或中央管理方案进行统一管理。

三层交换机具用于日志审计及监控。根据不同用户安全级别或者根据不同部门的安全访问需求,网络利用三层交换机来划分虚拟子网(VLAN)。因为三层交换机具有路由功能,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问,同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分,既方便局域网络的互联,又能够实现访问控制。

四、结束语

总之,我们必须不断强化信息安全观念,加强网络与信息系统安全保障工作的检查和监督,充分利用《通信网络安全防护管理办法》关于安全等级划分的要求制定具体的信息安全防护策略,全面落实各项制度、预案,加强技术积累,定期进行网络漏洞扫描等安全有效措施,切实加强网络与信息系统安全保障工作,确保中小型网络信息系统的安全稳定运行。

参考文献:

篇8

关键词: 企业信息系统;信息安全;安全策略

中图分类号:F270.7 文献标识码:A 文章编号:1671-7597(2012)0220165-01

随着市场经济的不断发展,企业竞争越来越激烈,国际化合作不断增多,随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说,信息安全是一项艰巨的工作,关系到企业的发展。近年来,围绕企业信息安全问题的话题不断,企业信息安全事件也频频发生,如何保证企业信息的安全,保证信息系统的正常运转,已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏,或防止信息被非法辨识、控制,即确保信息的保密性、可用性、完整性和可控性。企业的正常运转,离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先,信息安全是时展的需要。计算机网络时代的发展,改变了传统的商务运作模式,改变了企业的生产方式和思想观念,极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

其次,信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据,都是以电子文档的形式存在,对企业来说,信息安全是使企业信息不受威胁和侵害的保证,是企业发展的基本保障,所以,在积极防御,综合防范的方针指导下,有效地防范和规避风险,建立起一套切实可行的长效防范机制,逐步建立起信息安全保障体系,有利于企业的发展。

最后,信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点,要充分认识信息安全工作的紧迫感和长期性,从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题,扎扎实实地做好基础性工作和基础设施建设,在建立信息安全保障体系的过程中,必须搞好链接信息安全保障体系建设安全、建设健康的网络环境,关注信息战略,保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常的运行,网络服务不中断。计算机和网络技术具有复杂性和多样性,使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看,主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域,目前还缺少比较完善的法规,现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程,涉及到计算机技术和网络技术以及管理等方方面面,同时,随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理,不断制定和调整安全策略,只有这样,才能在享受企业信息系统便利高效的同时,把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的,不考虑全员参与的信息安全方案,恰恰忽视信息安全中最关键的因素――人,因为他们才是企业信息系统的提供者和使用者,他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中,发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部,而不是来自企业外部的黑客等攻击者,安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为,目前还没有成熟的、全面的解决,对于来自企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来,从根本上改变了企业经营形式,企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段,基础薄弱,导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等,这些问题给企业造成直接的经济损失,成为企业信息安全的最大威胁,使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾,几乎无孔不入,据统计,计算机病毒的种类已经超过4万多种,而且还在以每年40%的速度在递增,随着Internet技术的发展,病毒在企业信息系统中传播的速度越来越快,其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音,黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源,黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现,利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的企业面临着前所未有的风险。由此可知,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。因此,面对企业信息安全的现状和企业信息安全发展中出现的问题,必须实施对企业的信息安全管理,建设信息安全管理体系,只有建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面:

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系,完成制定并信息安全管理规范和建立信息安全管理组织等工作,保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范,详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括:采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略,采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的,企业网络信息自身的情况不断变化,新的安全问题不断涌现,必须根据暴露出的一些问题,进行更新,保证网络安全防范体系的良性发展,

4.2 提高企业员工的安全意识

科技以人为本,在信息安全方面也是靠人来维护企业的利益,我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范,必须有专门管理人才,才能有效地实现企业安全、可靠、稳定运行,保证企业信息安全。教育培训是培训信息安全人才的重要手段,企业可以对所有相关人员进行经常性的安全培训,强化技术人员对信息安全的重视,提升使用人员的安全观念,有针对性的开展安全意识宣传教育,逐步提高员工的安全意识,强调人的作用,使他们明确企业各级组织和人员的安全权限和责任,使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己,保护其智力资产,它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时,首先了解信息安全的三个领域是十分有帮助的,这三个领域变得:验证与授权、预防和抵制、检测和响应。其中,用户验证是确认用户身份的一种方法,一旦系统确认了用户身份,那么它就可以决定该用户的访问权限,比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业,必须对那些故障做好准备和预测,目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙,在选用防火墙的时候,需要对所安装的防火墙做一些攻击测试。此外,企业信息安全的最后一道屏障是探测和反应技术,最常见的探测和反应技术是杀毒软件。

5 结语

总之,企业信息安全是一项复杂的系统工程,企业要适应现代化发展的需要,要提高自身信息安全意识,加强对信息安全风险防范意识的认识,重视安全策略的施行及安全教育,必须做到管理和技术并重,安全技术必须结合安全措施,并加强信息安全立法和执法的力度,建立备份和恢复机制, 为企业设计适合实际情况的安全解决方案,制定正确和采取适当的安全策略和安全机制,保证企业安全体系处于应有的健康状态。

参考文献:

[1]张帆,企业信息安全威胁分析与安全策略[J].网络安全技术与应用,2007(5).

[2]谌晓欢,企业信息安全问题及解决方案[J].企业技术开发,2008(8).

[3]付沙,企业信息安全策略的研究与探讨[J].商场现代化,2007(26).

[4]姜桦、郭永利,企业信息安全策略研究[J].焦作大学学报,2009(1).

篇9

信息网络;安全防护;安全策略;安全管理

网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今,Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了本文探讨的重点。

1.风险分析

风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。

网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。

2.安全技术策略

采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。采用各种安全技术,构筑防御系统,主要有---防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。NAT技术:隐藏内部网络信息。VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。认证:提供基于身份的认证,并在各种认证机制中可选择使用。多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。

实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。建立分层管理和各级安全管理中心。

3.防御系统

我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。

物理安全。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行,在物理安全方面应采取如下措施:产品保障、运行安全、防电磁辐射、保安防护。

防火墙技术。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。

VPN技术。VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。

VPN有三种解决方案:如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程访问虚拟网(Access VPN)。如果要进行企业内部各分支机构的互连,使用企业内部虚拟网(Intranet VPN)是很好的方式。如果提供B2B之间的安全访问服务,则可以考虑Extranet VPN。

网络加密技术。IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。I主要包括对称加密技术、非对称加密/公开密钥加密、RSA算法、身份认证、密钥备份和恢复、证书管理与撤消系统,以及多层次多级别的防病毒系统和入侵检测、虚拟专用网技术虚拟专用网(Virtual Private Network,VPN)。

4.网络安全服务

网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。针对以上问题和网管人员的不足,下面介绍一系列比较重要的网络服务。

通信伙伴认证。通信伙伴认证服务的作用是通信伙伴之间相互确庥身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证,通信伙伴认证服务可以通过加密机制,数字签名机制以及认证机制实现。

访问控制。访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序,是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。

数据保密。数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据,也包括传输中的数据。保密查以对特定文件,通信链路,甚至文件中指定的字段进行。数据保密服务可以通过加密机制和路由控制机制实现。

业务流分析保护。业务流分析保护服务的作用是防止通过分析业务流,来获取业务量特征,信息长度以及信息源和目的地等信息。

业务流分析保护服务可以通过加密机制,伪装业务流机制,路由控制机制实现。数据完整性保护。数据完整性保护服务的作用是保护存储和传输中的数据不被删除,更改,插入和重复,必要时该服务也可以包含一定的恢复功能。

数据完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现。

签字。签字服务通过数字签名机制及公证机制实现,作用在于避免通信双方对信息的来源发生争议。

篇10

关键词:企业;计算机网络;病毒;安全;策略

中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2013) 01-0107-02

伴随着计算机网络的迅速发展以及经济的全球化的进程,众多的企业都纷纷利用互联网建立本企业的信息网络系统,便于信息和资源的共享,但由于计算机网络具有终端分布的不均匀性,联接形式的多样性以及网络的开放性,导致网络容易受到病毒、恶意软件、黑客等其它不轨行为的攻击,致使计算机网络系统安全问题越发的突出,也受到企业越来越多的重视!网络系统的安全不仅与企业的正常运行及企业网络安全管理有重要的作用,甚至会影响到一个企业的竞争力。

1 企业计算机网络系统安全的概述

所谓的计算机网络系统安全是指企业利用网络管理系统对整个公司的网络运行环境进行控制,保证其正常运行并且数据的秘密性能够得到合理的保护。一般的计算机网络系统安全包括网络逻辑安全和网络物理安全等两个方面。其中所谓的逻辑安全是指确保整个企业的信息和数据都能够完整而且安全,其中所谓的物理安全指的是企业的所有设施和设备都能够得到很好地保存和维护。

2 影响企业计算机网络系统安全的因素

影响影响企业计算机网络系统安全有很多因素,此处主要归纳为内部安全威胁和外部安全威胁两个方面。

2.1 内部安全威胁

所谓的内部安全是指在企业内部范围之内的一些安全威胁,包括硬件故障、员工的操作失误、内部网络攻击。

(1)硬件故障。一个企业的网络设备和设施主要为计算机以及交换机、路由器、传输设备等,其中计算机的硬盘主要有硬盘、显卡、显示器、内存、主板、网卡、电源等,其中任何一个硬件发生了微小的故障都会导致整个系统出现问题,严重的将会导致企业的重要信息和数据丢失或者外漏,甚至整个网络系统都不能正常运行,整个企业的正常工作受到影响。

(2)员工的操作不当。由于机器都是人进行操作的,是人都会犯错,都回存在懒惰以及粗心大意的情况,尤其是在操作员对于设备的使用和业务都不太熟练的情况下,他们的操作更容易造成数据的丢失和网络设备的损坏,如果误将硬盘进行格式化将会导致所有数据丢失。甚至有的时候企业员工为了报复领导的不公或者冷漠,会对企业的一些机密文件资料进行故意的窃取或者破坏。

(3)内部网络攻击。内部网络攻击,还是指企业的内部员工为了一己私利对于企业的计算机网络系统进行破坏。

2.2 外部安全威胁

(1)自然灾害或其他非法攻击。外部安全威胁是指企业的计算机信息网络系统,因为自然灾害或者非法攻击造成系统安全风险。常见外部风险:火灾、水灾、其他自然灾害以及盗窃等人为的破坏,这是引起信息系统损失的一个原因,对硬件系统构成潜在的安全风险。

(2)黑客攻击。黑客通过网络非法入侵计算机信息系统,这是目前计算机网络所面临的一个很大威胁。黑客攻击的主要目的要么是为了截取竞争企业的保密信息,要么为了摧毁竞争企业的实力,对其信息进行破坏,让其宝贵数据丢失。

(3)病毒感染。任何事物都会存在漏洞或者瑕疵,互联网作为一个虚拟的网络系统也存在一些漏洞,这个时候木马就会对互联网进行攻击,导致互联网上的数据丢失或者系统瘫痪。一般状况下,企业的计算机只要接入网络,在计算机的运行过程中就有病毒对产生威胁的可能。病毒感染网络的途径有很多,计算机网络或者电脑的U盘都可以进行传播病毒,计算机病毒不仅对计算机系统安全影响大,而且传播速度很快。一旦电脑的文件被病毒感染之后就很难清除,并不是文件删除了病毒就没了。

3 企业计算机网络系统安全问题的部分解决措施

主要的企业计算机网络系统安全问题的部分解决措施主要是依据上述的对企业计算机网络安全造成不利影响的因素提出来的,主要的解决措施包括内部安全防范措施和外部安全防范措施。

3.1 内部安全的防御措施

在上面的分析中,可以知道来自企业的内部计算机网络安全威胁并不小于外部的网络安全,甚至过之而无不及,所以企业的计算机网络安全系统要想得到很好地保护,首先要将责任分配到个人,每一个设备和设施都能找到对应的负责人,设备要避免身份不明的人进入,这样企业内部人员在操作时警惕性就高,操作失误就少,更不敢因为不满将设备破坏。

然后企业要建立完善的设备网络维护制度,要求使用者对于设备要进行不定期的检查和维护,实时掌握设备的运行环境和运行情况。即使计算机系统运行正常,也要对计算机系统和设备进行定期的维护,从而保证计算机系统在一个良好的兼容环境下运行。加强计算机用户的网络安全保护意识,日常工作和生活中要不断提升企业管理者和员工的网络安全重要性意识,处处宣传计算机网络安全的重要性。企业对于常见的网络故障和重点数据要建立网络安全日志,企业的内部操作人员在查看这些日志的时候就能掌握企业网络系统中经常出现的问题,以及哪些薄弱环节要重点预防。

3.2 外部安全的防御措施

(1)防火墙与IDS(入侵检测系统)。防火墙主要限制非法访问攻击,同时能够及时地对网络的相关规定进行防御,一般防火墙的等级越高,对于一些安全系数要求高的部门的网络,防火墙的等级可以高一些,在出口处设置防火墙,避免Internet或者非本企业用户攻击企业网,同时不要将这些部门的网络系统和整个大的企业网络系统连接在一起,防止企业内部员工的攻击。然后IDS能够和防火墙进行很好地配合,对于抵抗一些网络攻击的效果非常好,所以企业网络系统内IDS是必不可缺的。

(2)对黑客的防御。1)应用技术。该技术主要是指在能够和最终的数据联系上的应用层上,对数据进行数据监测,该监测是整个OSI模型的最高级别的检测。这个时候整个防火墙的线路都是透明的,在外界数据进入到企业的网络客户端的时候,网络协议就会对这些数据进行检查,查看这些外来的数据是否安全。2)包过滤技术。该技术是使用比较早的一种技术,它主要是为各种基于TCP/IP协议数据报文出进的通道,现在使用的大多是动态过滤技术,该技术与静态过滤不同的是,它增添了传输层。动态过滤技术是先对信息进行处理分析,然后用预置防火墙过滤规则进行校核,加入发现某个包有问题就会被阻止。

(3)对病毒的防御。学会巧用主动型防御技术防范病毒的入侵。计算机系统应安装正规的杀毒软件,并及时进行更新。同时对每台电脑使用常用口令来控制对系统资源的访问,每一台电脑都有自己的口令,外人甚至是同事都不知道口令,这样就可以很好地防御病毒,终端操作和网络管理人员可以根据自己的职责权限,使用不同的口令。避免用户越机访问数据以及使用网络资源,并且操作员应定期变更一次口令,争取将病毒在在网络前端就得到杀除。

总的来说,在企业计算机网络系统运行中,计算机网络系统安全问题不但要注意从网络安全保障中进行防护,同时注意提高对应的计算机网络系统的安全,远离网络病毒,防止计算机网络系统运行安全问题的发生。

参考文献:

[1]何敏.企业计算机网络的安全问题及解决方案[J].江西冶金,2006(6).

[2]朱丽娜,李灿平,朱东昭.一种新的网络安全系统模型[J].计算机工程,2004,30(8):144-167.