互聯網企業網絡安全范文

時間:2023-09-15 17:31:29

導語:如何才能寫好一篇互聯網企業網絡安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

互聯網企業網絡安全

篇1

關鍵詞:企業網 網絡安全 安全體系 入侵檢測 病毒防護

隨著互聯網技術的發展,在企業中運用計算機網絡進行各項工作更加的深入和普及,通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點,使安全問題在企業網絡的運行與管理中格外突出,研究構建、完善基于企業網的信息安全體系,對企業網安全問題的解決具有重要意義。

一、企業網絡安全風險狀況概述

企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。

因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。

二、企業網絡安全體系結構的設計與構建

網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。

(一)企業網絡安全系統設計目標

企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。

(二) 企業網防火墻的部署

1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。

2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。

3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。

4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:

①滿足設備物理安全

②VLAN與IP地址的規劃與實施

③制定相關安全策略

④內外網隔離與訪問控制

⑤內網自身病毒防護

⑥系統自身安全

⑦相關制度的完善

第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:

①入侵檢測與保護

②身份認證與安全審計

③流量控制

④內外網病毒防護與控制

⑤動態調整安全策略

第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。

在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業網的特點,依據設計、構建的企業網絡安全體系,成功構建了如圖4-1的企業網絡安全解決方案,對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。

圖4-1 企業網絡安全體系應用解決方案

結 語

本文通過對企業網絡特點及所面臨的安全風險分析,從網絡安全系統策略與設計目標的確立出發,依據企業網絡安全策略設計,構建相對比較全面的企業網絡安全體系,并參照設計、構建的企業網絡安全體系,給出了一個較全面的企業網絡安全解決方案。對促進當前我國企業網絡普遍應用情況下,企業網絡安全問題的解決,具有重要意義。

參考文獻:

[1]方杰,許峰,黃皓.一種優化入侵檢測系統的方案[J.]計算機應用,2005,(01).

[2]李瑩.小型分布式入侵檢測系統的構建[J].安陽工學院學報,2005,(06).

篇2

計算機網絡起源于二十世紀六十年代,最早是由美國國防部高級研究計劃署(ARPA)進行的。ARPA投資推進計算機網絡的研究研發,1969年建成了著名的Internet的前身ARPANET,后來隨著計算機技術的不斷發展,形成了以ARPANET為主干的Internet雛形,直至今日互聯網的誕生。在當今的網絡環境下,物理安全、網絡結構安全、系統安全、管理安全等都會對網絡安全造成影響。因此,為了維護網絡環境的安全,網絡安全技術是必不可少的。隨著國家網絡信息化的不斷建設與發展,各個企業都根據自己公司的需要,建成了符合公司要求的企業網,使企業員工可以很方便的訪問企業的通信資源、處理器資源、存貯器資源、信息資源等。但是建立企業網就不得不面對復雜惡劣的網絡環境,因為網絡安全技術的不成熟,使不少企業的網絡信息資源丟失或被篡改,給企業帶來了不小的損失。因此,影響網絡安全的因素成了企業建立企業網不得不解決的重大難題,網絡安全技術也被越來越多的企業重視[1]。

2影響網絡安全的因素

2.1網絡協議自身的安全缺陷。Intrenet是一個自身網絡協議開放的信息共享系統,網絡協議是信息共享的關鍵環節,當前常用的網絡協議是TCP/IP協議、IPX/SPX協議、NerBEUI協議等。正是因為這些網絡協議,網絡信息共享才會實現,但是網絡協議是存在著安全缺陷的,TCP/IP協議是目前使用最為廣泛的網絡協議,它的安全性,關系著整個Internet的安全。由于TCP/IP協議在設計時未考慮到自身的安全性問題,所以很容易受到“駭客”的攻擊,其安全性是沒有保障的[2]。

2.2軟硬件的安全缺陷。網絡硬件設施是構成互聯網不可或缺的一大組成部分,但是其自身的安全性十分脆弱,主要表現為:a.網絡與計算機存在電磁信息泄漏;b.通訊部分的脆弱性,通訊線路一般是電話線、專線、微波、光纜。在進行信息數據進行傳輸時,前三種線路上的信息容易被截取。c.計算機操作系統的缺陷。此外,軟件的缺陷也是影響網絡安全的重要因素,軟件的缺陷是軟件具有的先天特征,無論是小程序還是大型的軟件系統,都有這樣那樣的缺陷,目前大多數網絡病毒就是以軟件的形式在互聯網中傳播,其影響不容小覷。

3國內企業網絡安全的現狀

隨著通訊工程和電子信息技術的快速發展,互聯網已經成為當今社會不可或缺的一個組成部分,已經滲透到了經濟、生活等各個領域之中。為了更好的分享、利用網絡信息資源,各大企業都積極的組建和發展自己的企業網。伴隨著網絡的發展,各種各樣的網絡安全問題相繼而生,網絡安全隱患日益突出,引起了社會各界的廣泛關注。然而,企業之間的網絡硬件設施卻是參差不齊的,經濟實力的強弱直接決定著企業網絡建設和硬件水平的高低。目前,企業網絡中的具有安全防護特性的硬件設備主要有:防火墻、入侵檢測系統、安全路由器和交換機。一些企業的網絡建設經費可能會有些不足,對網絡安全的要求只能滿足其最基本的使用要求,對于企業網絡硬件基礎平臺的安全性來說,這種投入明顯是不夠的。此外,企業之間的技術管理水平也存明顯的高低差距,企業的經濟水平直接決定了該企業在網絡技術能力上的強弱,具有一定經驗的網絡從業者都集中在大型的企業或組織機構。中小型企業或組織機構中嚴重缺乏專業的技術人員。由于缺乏相應的網絡安全管理制度,企業員工的網絡應用水平普遍偏低,缺乏網絡安全意識。對此,企業應加強員工的網絡安全意識,完善網絡安全管理制度,如此才能確保網絡環境的安全[3]。

4網絡安全技術在企業網的應用措施

4.1物理環境的安全應用措施。物理環境安全包括設備的軟硬件安全,通訊線路安全,運行環境安全等等方面。通訊線路的安全的可以防止信息數據在傳輸的線路上被攔截或篡改,為了使信息數據傳輸更加的安全,可以選擇安全性更高的光纖作為傳輸介質,防止數據被攔截或篡改。此外,對于網絡的依賴性比較大的企業,一旦停電或者斷電,就會對企業會造成不必要的損失,為了預防這種情況發生,企業應該安裝不間斷電源(UPS),避免這種情況發生。同時,網絡中斷也會對企業造成比較大的損失,為了確保通訊線路的暢通,企業做好冗余備份是必要的選擇,冗余備份就是多準備一份或者幾份,以備不時之需。如此一來,當一條通訊線路出了問題或者故障,導致網絡中斷時,會自動選擇冗余備份的線路,以確保網絡連接不被中斷,避免不必要的損失。

4.2操作系統的安全應用措施。操作系統的安全性直接影響到網絡的安全,由于種種原因,計算機的操作系統存在著比較多的系統漏洞(BUG)。目前大多數網絡攻擊就是利用BUG進行惡意攻擊。為了預防這種情況發生,用戶需要定期對計算機進行系統檢查與修復,可以到微軟官網上下載適合系統的補丁進行修復[4]。

4.3網絡配置的安全應用措施。網絡配置的安全應用對于企業網的安全是至關重要的,為了有效地預防網絡攻擊及病毒入侵,需要合理安裝和設置防火墻、補丁系統、網絡殺毒軟件等等。此外,還要對賬號密碼進行有效的保護;關閉不需要的服務和端口;定期對服務器進行備份;檢測系統日志。

4.4網絡的安全應用措施。為了更容易的獲取信息資源,大多數的企業網都與外網進行了連接,這樣做在方便了自己的同時,也很可能產生一些安全隱患。比如通過聊天工具傳播一些惡意軟件或網絡詐騙信息等。這樣的安全隱患也可能是企業員工在瀏覽網頁的過程中不經意的觸發了一些不安全鏈接,進而帶入了一些惡意軟件,使企業網的數據資源失竊或被篡改。為了有效防止這種情況的發生,企業網絡用戶在上網時,要時刻保持警惕,不要輕易的相信來自網絡中的任何信息,對任何一個要進入網絡的人,都要進行必要的身份認證。面對有些需要在網絡上進行共享的信息時,企業網絡用戶要采取一定的措施來保證信息的安全,避免信息的泄漏。此外,企業網絡用戶還要堅決抵制惡意網站,拒絕惡意請求,確保網絡的安全應用。

5結束語

篇3

1.1安全防御意識缺失

企業內部人員并沒有充分認知到網絡安全防護的重要性,安全防護意識存在很大程度的缺失。隨著數字化技術的普及,網絡辦公方式將逐步實現數字化,辦公模式網絡化將會致使企業內部人員對自動化技術產生高度依賴性。但是企業內部人員并沒有對網絡安全防護工作給予高度重視,很多企業內部的防御系統都存在陳舊老化的現象,沒有對網絡防御系統進行及時更新,網絡建設沒有足夠的資金支持,沒有針對網絡安全構建完善的防護機制;面對網絡惡意破壞,企業內部的網絡系統并不具備良好的抵抗能力,一旦遭受破壞,將會很難進行維修;企業領導者并沒針對網絡安全開設相應的管理部門,也沒有配備專業人員對網絡系統進行信息安全監管。

1.2網絡非法入侵

企業網絡系統存在較多漏洞,網絡黑客將會利用這些漏洞非法入侵企業內部網絡系統,繼而篡改企業信息資源、下載企業重要資料,致使企業內部商業機密出現損壞、丟失或是泄漏等問題,會對企業的生存與發展造成巨大的不良影響。除此之外,網絡黑客還可以利用網絡系統漏洞,冒充他人,在網絡上進行非法訪問、竊取商業機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為,對企業的信息化網絡工程建設造成非常大的威脅,是企業實現信息化建設的主要障礙性因素。

1.3網絡病毒

網絡病毒可以通過多種途徑對企業網絡系統進行感染與侵害,例如,文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網絡進行傳播,因此網絡病毒的感染范圍非常大,感染效率較快,對企業網絡系統具有較大的危害性。隨著計算機技術的普及,網絡技術在各個領域受到了大力推廣,為網絡病毒的傳播提供了主要途徑,并在很大程度上提高了網絡病毒的感染效率。企業內部人員在使用介質軟件或是數據時,都有可能促使企業網絡系統感染網絡病毒,致使企業網絡系統出現崩潰現象,整個網絡工程處于癱瘓狀態,導致企業網絡系統無法發揮自身的服務功能,會給企業造成嚴重的經濟損失。除此之外,網絡病毒還可以采取其他手段對企業網絡系統進行病毒感染,例如竊取用戶名、登錄密碼等。

1.4忽視內部防護

企業在構建網絡化工程時,將對外工程作為系統防護重點,高度重視安全防火墻技術,并沒有對內部防護工程的重要性形成正確的認知。安全防火墻只能提高企業網絡工程的對外防護質量,對內部防護毫無作用,如果使用企業內的計算機攻擊網絡工程的局部區域,網絡工程的局部區域將會受到嚴重破壞?,F階段,內部攻擊行為也被列為企業網絡安全建設的主要障礙性因素之一,因此,企業領導者要高度重視內部防護工程建設,只有這樣,才能確保企業網絡化工程實現安全建設。根據相關調查資料顯示,現階段,我國企業網絡所遭受的安全攻擊中,內部網絡攻擊在中發生事件中占據著非常大的比例,企業內部人員對于網絡安全沒有形成良好的防范意識、網絡結構被無意泄漏、IP地址隨意更改、亂用敏感數據等都會對企業網絡系統內部防護工程造成巨大威脅。

2企業實現網絡安全建設的具體措施

2.1完善網絡安全體系

企業內部人員在構建網絡化工程前,要深入了解網絡信息的安全情況,對網絡信息的需求進行準確把握,具體分析企業內部人員的使用情況以及非法攻擊情況,繼而采取科學合理的措施,開展具有針對性的信息安全管理工作,這樣可以為網絡安全建設提供基礎保障。企業網絡化工程安全性受到影響主要體現在兩方面,分別是外部入侵、內部使用。內部使用是指企業內部工作人員沒有遵照相關規范標準進行網絡操作、信息安全防護意識存在缺失等,致使企業內部信息出現泄漏等現象;外部入侵是指網絡木馬、黑客攻擊以及網絡病毒等。這兩種方式都會對企業網絡安全建設造成巨大的不良影響,會致使企業信息丟失,危害企業的生存與發展,因此,企業內部人員應根據企業網絡化工程的實際使用情況,構建相應的安全體系,企業領導者還要針對工作人員的行為進行標準規范,避免工作人員在實際網絡應用中,出現違規操作行為,提高企業內部人員的安全防護意識,并構建軟硬件防護體系,可以有效抵抗外部入侵,從而保障企業網絡信息的安全。

2.2構建網絡安全系統

現階段,企業在網絡化工程建設過程中,主要采取兩種防護方式構建安全系統,分別是軟件防護、硬件防護。面對現階段科學技術發展對網絡安全建設提出的要求,企業內部人員在構建網絡安全系統時,應該將軟件防護與硬件防護進行有效結合,只有這樣,才能確保企業網絡工程系統實現安全化建設,提高網絡信息的安全性,促使網絡化工程的服務功能得以全面發揮。隨著企業規模的不斷擴大,企業內部人員要想全面提升企業的網絡化工程的防護能力,還要對網絡硬件的使用情況進行深入分析,繼而才能對防火墻服務器標準進行選擇,這樣可以有效提升服務器的可行性。企業內部人員要想構建良好的網絡安全系統,首先要對系統硬件設備進行深入調查,確定系統設備類型,準確把握企業內部人員的實際使用需求,繼而再對防火墻類型進行選擇。

2.3對網絡安全設置進行有效強化

首先,企業內部人員要對企業網絡系統進行充分了解,準確把握其與互聯網之間的接入方式,然后選擇適宜的軟件設備以及防火墻設備,這樣可以促使互聯網與企業網絡化工程之間實現安全接入,有效提升企業網絡工程的防護能力。對于企業原有的防火墻,不應進行拆除,應該在其基礎上構建入侵檢測系統,這樣可以對企業內部網絡工程的運行狀況進行實時檢測,如果有突況,可以進行及時反映,這樣不僅可以為企業內部人員的工作提供很大的便捷性,還能為企業網絡信息安全建設提供技術保障。為了實現移動辦公,企業內部人員可以構建一種加密系統,例如,VPN加密系統,利用該系統,企業內部人員可以通過互聯網對企業內網進行訪問,而不必擔心出現信息泄露等情況,可以有效提升企業網絡安全的防護功效。

3結語

篇4

關鍵詞:企業;網絡;系統;安全;虛擬化;信息化

一、 企業網的組成和所面臨的安全威脅

(一) 企業網的組成

企業網一般由兩個大的功能區域組成:企業內網和企業外部接入網。我們可以邏輯上把這兩大區域進一步劃分成若干個模塊,企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。企業外部接入網包括外網接入模塊和遠程接入模塊兩個部分。不同模塊實現不同的功能,各自的安全需要也有所不同, 需要實施相應的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業網絡架構如下圖:

(二) 企業網面臨的安全威脅

1. 來自內部用戶的安全威脅

大多數威脅來自于內部網絡, 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。

2. 來自外部網絡的安全威脅

隨著信息技術的不斷發展,企業總部與分支以及合作伙伴之間的聯網需求越來越迫切。它們之間不可避免的需要通過網絡交換信息及共享資源。同時, 企業網還為內部合法員工提供了上互聯網的途徑, 互聯網用戶可以訪問企業對外提供的公共服務器上的信息,由于信息資源的共享同時也給企業網的內、外網安全帶來了一系列的挑戰。

二、 企業內網的安全設計

企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應的安全措施, 以及與其它模塊之間的關系。

(一) 管理模塊

管理模塊的主要功能是實現企業網絡的所有設備和服務器的安全管理。所面臨最主要的安全威脅有未授權接入、口令攻擊、中間人攻擊等,為了消除以上管理模塊面臨的安全威脅,應采取以下的安全措施:

1. 管理數據流和生產網數據流需有效的安全隔離,包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內管理也要做到使用IPSec、SSH等加密傳輸。

2. 采用強力的認證授權技術對管理信息進行認證和授權,可以通過采用AAA認證和雙因素認證技術, 保證只有合法的用戶才能管理相應設備, 并能夠防止密碼泄漏和對密碼竊聽。

3. 采用完善的安全審計技術對整個網絡(或重要網絡部分)的運行進行記錄和分析,可以通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并為今后網絡整改提供依據。

4. 部署網絡入侵檢測系統,從而能夠對流入和流出管理模塊的數據流進行實時的分析并及時發現可能的入侵行為。

由于管理模塊全網可達, 且能夠對全網的所有設備和服務器進行管理,所以它的安全防護策略應該是全網最嚴格的。

(二) 核心模塊

核心模塊的主要功能是快速轉發。所面臨主要安全威脅是分組竊聽、功能區域劃分模糊和如何實現快速故障隔離。當多種應用流量運行在核心模塊時,如何防止不同應用流量被竊聽篡改、如何對不同應用區域進行分類保護、如何在核心模塊故障發生時進行有效快速的故障隔離成了當務之急。

核心模塊的主要設備是三層交換機, 三層交換架構是消除分組竊聽威脅的有效手段,而核心三層交換機的虛擬化技術則可以解決核心功能區域的精細劃分、實現有效快速的隔離故障,提高系統的可用性,防止級聯式的服務中斷。通過核心交換機的虛擬化技術還可實現交換機控制和管理平面的虛擬化,在三層交換機上配置相應的安全策略,為多個應用或部門的流量提供安全的網絡分區,讓每個應用或部門可以獨立管理和維護其各自的配置。

(三) 分布層模塊

分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權訪問、欺騙、病毒和特洛伊木馬的應用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應采取以下的安全措施:

1. 針對二層網絡的安全威脅,利用網絡設備本身的二層網絡安全性能,進行二層網絡安全策略的部署,如二層VLAN劃分、DHCP窺探保護、動態ARP檢查、IP源地址保護等安全策略。

2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務器上保密信息的機會,利用設備包過濾技術,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。

3. 通過RFC2827過濾可有效防止源地址欺騙。

4. 部署防病毒系統,防止各個工作站感染病毒和特洛伊木馬的應用。

5. 部署網絡準入控制系統,通過在網絡中部署網絡準入控制系統,可以實現最大限度減少內部網絡安全威脅,降低病毒和蠕蟲造成的停機時間。

根據網絡規模和性能要求的不同, 核心層和分布層可以結合起來合二為一, 從而達到減少硬件設備,達到減少投資與節能等目的。

(四) 服務器模塊

服務器模塊的主要目標是向最終用戶和設備提供應用服務。所面臨的主要安全威脅有未授權訪問、應用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應采取以下的安全措施:

1. 使用基于主機和網絡的IDS/IPS系統。

2. 在交換機上配置私有VLAN,實現對服務器的訪問限制, 限制對關健服務器的隨意訪問。

3. 對服務器及時打上最新的補丁程序。

4. 對服務器區域(DMZ區域)進行不同安全級別劃分,通過對不同應用的服務器進行安全級別的劃分,并通過防火墻模塊進行DMZ邏輯區域的隔離,可以實現服務器故障的快速隔離和服務器間訪問的有效控制。

5. 針對企業較為重要的郵件應用服務器,可以單獨部署電子郵件安全產品,從而減少與垃圾郵件、病毒和其它各種威脅有關的宕機,以求減輕技術人員的負擔。

像分布層模塊一樣, 根據公司規模、應用性能及需求的不同, 服務器模塊可以與核心模塊相結合。

(五) 邊界接入模塊

邊界接入模塊的目標是在網絡邊緣集中來自各個接入網模塊的連接,信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似,都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網功能區域來執行附加安全功能。像服務器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結合起來。

在邊界接入模塊比較常見的安全措施為應用流量觀察分析和安全網關。應用流量觀察分析是通過部署流量控制設備,使用其二至七層強大的應用分析能力,能夠第一時間獲得核心模塊和接入網模塊之間應用流量能見度,并以此為基礎在企業網絡中部署相應的安全策略(比如限制病毒端口號、限制特定內網IP地址、限制特定MAC地址)。安全網關是通過采用專用的安全網關技術,實現核心模塊和外網接入網模塊之間的Web內容過濾,Web病毒掃描,間諜軟件防御,HTTPS安全控制,防機密數據外泄等等安全功能。

三、 企業接入網的安全設計

企業接入網由外網接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應的安全措施。

(一) 外網接入模塊

大多企業網雖然都是專網,但是不可避免要和外網連接。外網包括企業分支網絡、第三方接入網絡和互聯網。所面臨的主要安全威脅有未授權接入、應用層攻擊、病毒和特洛伊木馬、拒絕服務攻擊等。主要防御措施有:

1. 在外網接入模塊和外網之間部署防火墻。防火墻應分為兩組防護, 一組用于企業網與分支機構網絡的連接, 另一組用于企業網與互聯網的連接。防火墻為內網的網絡資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業網與互聯網的連接上的防火墻時可以使用目前先進的“云火墻”技術,該技術可以持續收集互聯網上已知威脅的詳細信息,實現企業到互聯網的網絡安全。

2. 使用防火墻的虛擬化技術,將單一防火墻設備邏輯劃分為多個虛擬防火墻,每個防火墻有自己的策略且分別進行管理,可以實現不同區域模塊之間的安全控制和設備資源的高效利用。

3. 部署IDS/IPS入侵檢測/防御系統,有條件的情況下, 在防火墻的內網區、外網區和DMZ區域都要部署入侵檢測/防御系統, 以實時檢測來自外網的入侵行為。

4. 建立統一的應用服務器用于與其它分支網絡構建統一接入平臺,應用服務器作為所有應用服務的, 通過進行更嚴格的應用數據流檢查和過濾,有利于外網接入模塊的標準化和可擴展性的提升。

5. 在與互聯網連接的企業網絡邊緣部署路由器,并通過在路由器入口進行數據流的過濾,路由器對大多數攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應丟棄‘碎片’的數據包。對于過濾造成的合法數據包丟棄相比這些數據包帶來的安全風險是值得的。

(二) 遠程接入模塊

遠程接入模塊的主要目標有三個:從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接,對于此模塊來說信息流的來源是來自于企業網絡外的不可信源, 因此要為這三種服務的每一種提供一個防火墻上的獨立接口。

1. 遠程接入VPN,遠程接入VPN推薦使用IPSec協議。此服務的安全管理是通過將所有IPSec的安全參數從中央站點推向遠程用戶實現的。

2. 撥號接入用戶,AAA和一次性口令服務器可用來驗證和提供口令。

3. 站點間VPN,與站點間連接相關的IP信息流在傳輸模式下由配置成GRE隧道來實現。

以上來自三種服務的信息流應集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內口或外口部署IDS/IPS系統, 以檢測可能的攻擊行為。

四、 模塊之間的相互關系

采用模塊化設計時, 不是簡單地將網絡安全設計分解成各個孤立的模塊, 各模塊之間緊密聯系,其安全防護措施也直接影響到其它模塊的安全。

管理模塊是整個網絡安全體系的核心、位于其它所有模塊的最頂層。網絡安全體系的建立, 應該首先建立管理模塊的安全結構。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結構的基礎和前提。

核心模塊、服務器模塊和分布層模塊構成企業網絡的內部網絡。這三個模塊主要防范來自企業網內部的安全威脅:分布層模塊提供了針對內部發起攻擊的第一道防線;核心模塊的主要目標是線速的轉發數據流, 其安全性主要依賴于核心模塊交換設備本身的安全設置以及分布層模塊的安全防護;服務器模塊往往會成為內部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的。

邊界接入模塊是連接企業內網和外部接入網的橋梁和紐帶。邊界接入模塊在外部接入網安全措施的基礎上, 為企業內網提供附加的安全功能。

外部接入網為企業內網提供了第一道安全防線, 也是外網接入企業網內網統一的接入平臺。

模塊化的設計將復雜的大型網絡劃分為幾個相對簡單的模塊, 以模塊為基本單位構筑整個網絡的安全體系結構。使用模塊化的網絡安全設計能夠很容易實現單個模塊的安全功能,并實現模塊與模塊間的安全關系,從而在整個企業網絡中形成分層次的縱深防御體系。還能夠使設計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結構。

參考文獻:

[1] 崔國慶. 計算機網絡安全技術與防護的研究?. 電腦知識與技術,2009年9月.

篇5

1企業網絡安全需求分析

1.1網絡安全概念及特征

網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。

1.2企業網絡安全面臨的主要問題

企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。

1.3企業網絡安全需求

企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性。基于此,要準確把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。

2企業網絡安全解決方案

2.1企業網絡安全方案設計原則

網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。

2.2企業網絡安全解決方案

2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示?;ヂ摼W域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。

2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。

2.2.4部署漏洞掃描系統方案漏洞掃描是基于漏洞數據庫,通過掃描檢測遠程系統或本地系統漏洞行為,與防火墻、IDS配合以提高網絡安全性,掃描對象包括網絡、主機和數據庫。漏洞掃描運用的技術有主機在線掃描、端口掃描、操作系統識別、漏洞監測數據采集、智能端口識別、多重服務檢測、系統滲透掃描等。漏洞掃描系統部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網絡結構,例如電子商務、中小企業等;后者適于復雜、分布點多、數據相對分散的網絡結構,例如政府、電力行業、金融行業、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統方案。

篇6

關鍵詞 電力企業;信息安全;防護措施

中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2012)65-0022-03

信息化是社會生產力與生產方式發展的一個必然趨勢,是我國顯得文明建設的一項重要標志。信息化建設能夠帶動企業管理水平與生產效能的提高,信息資源作為一種重要的資源,其重要性逐漸被人們所認識。電力企業屬于技術密集型產業,對于生產自動化與集約化都有著較高的要求,因此也是較早的進行信息化建設的一批企業,并且也取得了一些顯著的成效,但是也正是因為起步較早,缺乏經驗,因此在信息化網絡的建設中總是存在著很多問題,而這些問題已經逐漸成為了電力企業網絡信息安全的隱患,因此,加強網絡信息安全已經成為了電力企業發展的重要組成部分。

1 電力企業網絡信息安全現狀分析

各級電力企業因為生產經營與管理的需要,都在不同程度上建成了自己的自動化系統,變電站基本也實現了“四遙”和無人值守。并且也建立起了企業自己的管理系統來對生產、營銷、財務、行政辦公等工作進行覆蓋,并已經進行了實用化具有較高安全等級的調度自動化系統已經通過WEB網關與MIS之間進行相互的信息訪問,部分地方已經安裝了正向隔離器,進而實現了物理隔離與數據的安全訪問。

各個電力企業已經制定了安全策略,并實施了一部分,同時實現了互聯網的安全接入。

將營銷支持網絡與呼叫接入系統和MIS網絡進行了整合,并且已經與用戶、銀行等企業實現了信息的安全共享,對自身的服務手段進行了優化。

邊遠地區的班站基本都通過VPN技術來實現了遠程班組聯網的要求,并能夠實現大范圍的信息共享,而且應用范圍也變得更加的廣泛。利用VPN的高級應用能夠構建起基于互聯網的各種遠程服務。

2 電力企業網絡信息安全方面存在的問題

2.1不同的網絡之間沒有嚴格的進行等級劃分

根據《全國電力二次系統安全防護總體方案》,電力企業對于不同安全等級的網絡必須要進行安全等級的劃分。在縱向上,電力企業需要實現實時監控系統之間的互聯。各個自動化系統與低調系統之間都是通過載波進行單向數據轉發,而部分基層電力企業都沒有實現網絡化的數據傳輸,同時在主站與廠站之間也沒有實現光纖載波雙通道。在橫向上,要求能夠實現實時監控系統與非實時監控系統之間的相互連接。根據當前的互聯網現狀與通信現狀,主要還存在著這些問題:1)單向數據的傳輸難以實現真正意義上的數據共享,同時在與非實時系統之間的接口上也沒有進行標準數據接口的建設;2)部分電力企業沒有利用MPLS VPN技術組建數據調度網,沒有滿足相關的安全要求;3)上下級的調度之間沒有部署必須的認證加密裝置。

2.2隨著技術的發展與電力企業的業務發展,現有的網絡安全防護能力難以滿足要求

隨著信息技術的發展與電力企業自身業務的發展要求,網絡安全越來越受到重視,但是現有的網絡安全防護能力明顯不足,缺乏有效的管控手段,同時管理水平也急需要提高。如今的電力企業還缺少一套完善的服務器病毒防護系統,有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件,有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件,相對而言,防護能力還有所不足。當受到攻擊時,容易出現系統癱瘓。同時還沒有能夠建立起一套完善的數據備份恢復機制,如果數據受到破壞,那么所受到的損失將難以估量。沒有一套完善的網管軟件,難以對一些內部用戶的過激行為進行有效的監管,例如IP盜用、沖突,濫用網絡資源(BT下載等),等等。還沒有能夠建立起一套完善的評測和風險評估制度,對于當前電力企業的網絡安全現狀難以進行有效的評估。同時,我國也缺乏專業的評測機構,這就使得電力企業網絡安全風險與隱患都難以被及時發現和進行有效的防范,使得電力企業的防范能力難以得到持續增強。

2.3電力企業服務器存在的安全隱患

在電力系統中有著十分眾多的服務器。隨著網絡攻擊手段與攻擊技術的不斷更新,服務器攻擊愈演愈烈,因此擁有眾多服務器的電力系統成為了攻擊的首選對象。在電力企業中的服務器主要包括了數據庫服務器、應用服務器、Web服務器、算費服務器、銀電聯網服務器等多種服務器,眾多的服務器也使得其存在著嚴重的安全隱患:1)電力企業的網絡中,每一個服務器都擁有自己獨立的認證系統,但是這些服務器卻缺乏統一的權限管理策略,管理員難以進行統一的有效管理;2)Web服務器和流媒體服務器長期遭受到來自于互聯網的DDoS以及各種病毒的侵襲;3)讓郵件服務器中受到大量的垃圾郵件的干擾,并且也難以進行有效的信息監管,經常會發生企業員工通過電子郵件來傳遞企業的機密信息的安全事件;4)權限劃分不明確,容易受到來自外部黑客的攻擊,例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據;5)與總公司服務器通信過程中有些機密信息由于沒有采取加密措施,很容易被竊聽而泄密。

2.4各種惡意網頁所帶來的網絡安全威脅

電力企業擁有自己的主題網站,并通過互聯網與外網相連。每一個電腦使用者都會通過對網頁的點擊來尋找對自己有用的信息,電力企業內網與外網相連,因此,電力企業中的員工也會通過與外網的鏈接,從互聯網中搜索對自己有用的信息,但是并不是所有的網頁都是安全的,有一些網站的開發者或者是黑客會為了能夠達到某種目的對網頁進行修改,進而達到某種目的,當電力企業的內部員工通過電力企業內部的網絡進行訪問時,就會受到來自這些惡意網頁的攻擊。

2.5設備本身與系統軟件存在漏洞

由于電力企業的信息化建設較早,這就導致了很多設備與軟件都出現了各種安全漏洞,這些都導致了不良安全后果的程度增加。信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素;存儲介質損壞造成大量信息的丟失,殘留信息泄密,計算機設備工作時產生的輻射電磁波造成的信息泄密。信息網絡使用單位未及時修補或防范軟件漏洞、采用弱口令設置、缺少訪問控制以及攻擊者利用軟件默認設置進行攻擊,是導致安全事件發生的主要原因。

3 電力企業網絡信息安全防護措施

3.1進行網絡安全風險評估

電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮,技術是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署,但是現在在市面上出現的安全技術、安全產品實在是讓人感覺眼花繚亂,難以進行選擇,這時就需要進行風險分析,可行性分析等,對電力企業當前所面臨的網絡風險進行分析,并分析解決問題或最大程度降低風險的可行性,對收益與付出進行比較,并分析有哪一些產品能夠讓電力企業用自己最小的代價滿足其對網絡安全的需要,同時還需要考慮到安全與效率的權衡等。對于電力企業來說,搞清楚信息系統現有以及潛在的風險,充分評估這些風險可能帶來的威脅和影響,將是電力企業實施安全建設必,須首先解決的問題,也是制定安全策略的基礎與依據。

3.2構建防火墻

防火墻是一種能有效保護計算機網絡安全的技術性措施,有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網絡中的各種非法訪問以及構建起起一道安全的屏障,對于信息的輸入、輸出都能夠進行有效的控制??梢栽诰W絡邊界上通過硬件防火墻的構建,對電力企業內網與外網之間的通信進行監控,并能夠有效的對內網和外網進行隔離,從而能夠阻檔外部網絡的侵人。對于電力企業可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發生,需要對各種數據進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業防火墻體系構建如下:

訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪,能有效的對網絡進行控制,對流入和流出路由器接口的數據包進行過濾,達到部分網絡防火墻的效果。

配置硬件防火墻。在電力企業中硬件防火墻的使用較多,但是能夠真正發揮作用的就不多了。在使用硬件防火墻前,需要將防火墻與企業的整個網絡配置好。首先需要對防火墻的工作模式進行選擇,例如WatchGuard這款防火墻具有兩種工作模式,一種是Drop-In Mode,另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區”或者是沒有內網的網絡環節中,因此,電力企業中就應該選擇Routed Mode這種模式。然后將其中的外接網口、內部接口、“非軍事區”等選項添好,當對網絡設置完成之后,就可以利用相應的GUI 程序與硬件防火墻進行連接,并對應將防火墻進行進一步的配置。在電力企業中有很多部門,每一個部門對網絡安全的具體需求都不相同。因此,在設置時需要考慮到部門的具體情況。

3.3加強對計算機病毒的預防控制

計算機病毒的防治是網絡安全的主要組成部分,而對電力企業的網絡安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態病毒對企業的威脅,就必須從監控、強制、防止及恢復等四個階段對新型態病毒進行管理。

控制計算機病毒爆發次數,降低病毒對業務所產生的影響。我們知道,病毒從感染單臺客戶機?擴散?爆發,均需要一段空窗期。很多時候,管理人員都是在病毒爆發之后才能夠發現問題,但是這時已經太晚。因此需要能夠在病毒擴散期就發現問題根源,才能夠有效的降低病毒爆發的概率。

網絡層防毒將能夠有效的對病毒進行預防。在電力企業中,需要將網絡病毒的防范作為最重要的防范對象,通過在網絡接口和重要安全區域部署網絡病毒墻,在網絡層全面消除外來病毒的威脅,使得網絡病毒不能再肆意傳播,同時結合病毒所利用的傳播途徑,對整個安全策略進行貫徹。

預防病毒并不能夠完全的依靠病毒的特征碼,還必須要實現對病毒發作的整個生命周期進行管理。必須要建立起一套完善的預警機制、清除機制、修復機制,通過這些機制來保障病毒能夠被高效處理,防毒系統需要在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復階段又可以對這些病毒高效清除,快速恢復系統至正常狀態。

3.4開展電力企業內部的全員信息安全教育和培訓活動

安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。

開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。

4 結論

網絡安全是一個綜合系統,不僅僅涉及到技術層面的問題同時還會涉及到管理上面的問題。網絡上,無論是硬件還是軟件出現問題都會對整個網絡安全形成威脅,產生出網絡安全問題。我們需要通過系統工程的觀點、方法對當前電力企業中的網絡安全現狀進行分析,并提出提高網絡安全性的措施。在電力企業的網絡中,包括了個人、硬件設備、軟件、數據等多個環節,這些環節在網絡中所具有的地位與影響都需要從整個電力企業的網絡系統去進行整體的看待和分析。電力企業的網絡安全必須要進行風險評估才能夠制定出合理的計劃。

參考文獻

[1]余志榮.淺析電力企業網絡安全[J].福建電腦,2011(7).

[2]周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界,2012(1).

[3]張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版),2011(1).

篇7

隨著數據庫、軟件工程和多媒體通信技術的快速發展,礦山企業實施了安全生產集控系統、環境監測系統、調度管控系統、移動辦公系統及智能決策支持等系統,實現了礦山企業安全生產、辦公和管理信息化、智能化。網絡能夠實現各類信息化系統的數據共享、協同辦公等,也是信息化系統正常運行的關鍵,因此網絡安全防御具有重要的作用。本文詳細地分析了礦山企業網絡安全面臨的問題和現狀,提出采用先進的防御措施,構建安全管理系統,以便提高網絡安全性能,進一步改善礦山企業信息化運營環境的安全性。

1礦山企業網絡安全現狀分析

隨著互聯網技術的快速發展,互聯網將分布于礦山企業生產、管理等部門的設備連接在一起,形成了一個強大的礦山企業服務系統,為礦山企業提供了強大的信息共享、數據傳輸能力。但是,由于許多礦山企業工作人員在操作管理系統、使用計算機時不規范,如果一臺終端或服務器感染了計算機病毒、木馬,將會在很短的時間內擴散到其他終端和服務器中,感染礦山企業信息化系統,導致礦山企業服務系統無法正常使用。經過分析與研究,目前網絡安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現狀。

1.1網絡攻擊渠道多樣化

目前網絡黑客技術正快速普及,網絡攻擊和威脅不僅僅來源于黑客、病毒和木馬,傳播渠道不僅僅局限于計算機,隨著移動互聯網、光纖網絡的興起和應用,網絡安全威脅通過智能終端進行傳播,傳播渠道更加多樣化。

1.2網絡安全威脅智能化

隨著移動計算、云計算和分布式計算技術的快速發展,網絡黑客制作的木馬和病毒隱藏周期更長,破壞的范圍更加廣泛,安全威脅日趨智能化,給礦山企業信息化系統帶來的安全威脅更加嚴重,非常容易導致網絡安全數據資料丟失。

1.3網絡安全威脅嚴重化

網絡安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度,網絡安全受到的威脅日益嚴重,礦山企業網絡設備、數據資源一旦受到安全攻擊,將會在短時間內迅速感染等網絡中接入的軟硬件資源,破壞網絡安全威脅。

2礦山企業網絡安全防御措施研究

礦山企業網絡運行過程中,安全管理系統可以采用主動、縱深防御模式,安全管理系統主要包括預警、響應、保護、防御、監測、恢復和反擊等六種關鍵技術,從根本上轉變礦山企業信息系統使用人員的安全意識,改善系統操作規范性,進一步增強網絡安全防御性能。

2.1網絡安全預警

網絡安全預警措施主要包括漏洞預警、行為預警和攻擊趨勢預警,能夠及時發現網絡數據流中存在的威脅。漏洞預警可以積極發現網絡操作系統中存在的漏洞,以便積極升級系統,修復系統漏洞。行為預警、攻擊預警可以分析網絡數據流,發現數據中隱藏的攻擊行為或趨勢,以便能夠有效預警。網絡安全預警是網絡預警的第一步,其作用非常明顯,可以為網絡安全保護提供依據。

2.2網絡安全保護

網絡安全保護可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網等技術防御攻擊威脅,以便保證網絡數據的機密性、完整性、可控性、不可否認性和可用性。網絡安全保護與傳統的網絡安全防御技術相近,因此在構建主動防御模型時,融入了傳統的防御技術。

2.3網絡安全監測

網絡安全監測可以采用掃描技術、實時監控技術、入侵檢測技術等發現網絡中是否存在嚴重的漏洞或攻擊數據流,能夠進一步完善主動防御模型內容,以便從根本上保證網絡安全防御的完整性。

2.4網絡安全響應

網絡安全響應能夠對網絡中存在的病毒、木馬等安全威脅做出及時的反應,以便進一步阻止網絡攻擊,將網絡安全威脅阻斷或者引誘到其他的備用主機上。

2.5網絡恢復

礦山企業信息系統遭受到攻擊之后,為了盡可能降低網絡安全攻擊損失,提高用戶的承受能力,可以采用網絡安全恢復技術,將系統恢復到遭受攻擊前的階段。主動恢復技術主要采用離線備份、在線備份、階段備份或增量備份等技術。

2.6網絡安全反擊

網絡反擊技術是主動防御最為關鍵的技術,也是與傳統的網絡防御技術最大的區別。網絡反擊技術可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術,網絡反擊技術可以針對攻擊威脅的源主機進行攻擊,不但能夠阻斷網絡攻擊,還可以反擊攻擊源,以便破壞攻擊源主機的運行性能。

3礦山企業網絡安全管理系統設計

為了能夠更好地導出系統的邏輯業務功能,對網絡安全管理的管理員、用戶和防御人員進行調研和分析,使用原型化方法和結構化需求分析技術導出了系統的邏輯業務功能,分別是系統配置管理功能、用戶管理功能、安全策略管理功能、網絡狀態監控管理功能、網絡運行日志管理功能、網絡運行報表管理功能等六個部分。

3.1網絡安全管理系統配置管理功能分析

通過對網絡安全管理系統操作人員進行調研和分析,導出了系統配置管理功能的業務功能,系統配置管理功能主要包括七個關鍵功能,分別是系統用戶信息配置管理功能、網絡模式配置、網絡管理參數配置、網絡管理對象配置、輔助工具配置、備份與恢復配置和系統注冊與升級等。

3.2用戶管理功能分析

礦山企業網絡運行中,其主要設備包括多種,操作的用戶也有很多種類別,比如網絡設備管理人員、應用系統管理人員、網絡維護部門、服務器等,因此用戶管理功能主要包括人員、組織、機器等分析,主要功能包括三個方面,分別是組織管理、自動分組和認證配置。組織管理功能可以對網絡中的設備進行組織和管理,按照賬號管理、機器管理等進行操作;自動分組可以根據用戶搜索的設備的具體情況改善機器的搜索范圍,添加到機器列表中,并且可以對及其進行重新的分組管理;認證配置可以根據終端機器的登錄模式進行認證管理。

3.3安全策略管理功能分析

網絡安全防御過程中,網絡安全需要配置相關的策略,以便能夠更好的維護網絡運行安全,同時可以為用戶提供強大的保護和防御性能,網絡安全策略配置是非常重要的一個工作內容。網絡安全防御規則包括多種,比如入侵監測規則、網絡響應規則、網絡阻斷規則等,配置過程復雜,工作量大,通過歸納,需要根據網絡安全防御的關鍵內容設置網絡訪問的黑白名單、應用封堵、流量封堵、行為審計、內容審計、策略分配等功能。

3.4網絡狀態監控管理功能分析

網絡運行過程中,由于涉及的服務器、終端設備較多,網絡運行容易產生錯誤,需要對網絡狀態進行實時監管,以便能夠及時的發現網絡中存在的攻擊威脅、故障燈。網絡運行管理過程中,需要時刻的監控網絡的運行管理狀態,具體的網絡運行管理的狀態主要包括三個方面,分別是系統運行狀態、網絡活動狀態、流量監控狀態。

3.5網絡運行日志管理功能分析

礦山企業網絡運行過程中,根據計算機的特性需要保留網絡操作日志,如果發生網絡安全事故,可以對網絡操作日志進行分析,便于發現某些操作是不符合規則的。因此,網絡運行管理過程中,網絡運行日志管理可以分析網絡運行操作的主要信息,日志管理主要包括以下幾個方面,分別是內容日志管理、報警日志管理、封堵日志管理、系統操作日志管理。

3.6網絡運行報表管理功能分析

網絡運行過程中,為了能夠實現網絡安全管理的統計分析,可以采用網絡安全報表管理模式,以便能夠統計分析接入到網絡中的各種軟硬件設備和系統的運行情況,網絡運行報表管理主要包括兩個方面的功能,分別是統計報表和報表訂閱。

4結束語

隨著物聯網、大數據、云計算和移動互聯網技術的快速應用和普及,礦山企業逐漸進入智慧化時代,網絡安全威脅更加智能化、快速化和多樣化,感染速度更快,影響范圍更廣,給礦山企業信息系統帶來的損失更加嚴重,本文提出構建一種多層次的主動網絡安全防御系統,能夠提高礦山企業信息系統網絡運行的安全性,具有重要的作用和意義。

作者:張軍 單位:陜西南梁礦業有限公司

引用:

[1]汪軍陽,司巍.計算機網絡應用安全問題分析與防護措施探討[J].電子技術與軟件工程,2013.

[2]黃哲,文曉浩.淺論計算機網絡安全及防御措施[J].計算機光盤軟件與應用,2013.

[3]潘澤歡.數字化校園網絡的安全現狀及防御對策[J].網絡安全技術與應用,2015.

[4]趙銳.探討計算機網絡信息安全問題與防護措施[J].計算機光盤軟件與應用,2014.

[5]白雪.計算機網絡安全應用及防御措施的探討[J].計算機光盤軟件與應用,2012.

[6]王喜昌.計算機網絡管理系統及其安全技術分析[J].計算機光盤軟件與應用,2014.

篇8

關鍵詞:企業;網絡安全;管理;部署

中圖分類號:F224.33文獻標識碼:A文章編號:1672-3198(2008)03-0128-02

1 引言

隨著信息化進程的提速,越來越多地企業信息被披露于企業內外部網絡環境中,如何保護企業機密,保障企業信息安全,成為企業信息化發展過程中必然需要面臨和解決的問題。

對于企業信息網絡安全管理需要部署的內容,首先要明確企業的哪些資產需要保護,確定關鍵數據和相關業務支持技術資產的價值,然后在此基礎上,制定并實施安全策略,完成安全策略的責任分配,設立安全標準。

2 企業網絡信息安全需求分析

對企業網絡信息安全的網絡調查顯示:有超過85%的安全威脅來自企業內部;有16%來自內部未授權的訪問;有11%資料或網絡的破壞。可以看出:來自于企業內部的安全威脅比來自于外部的威脅要大得多,必要的安全措施對企業是非常重要的。安全風險分析通常包括對系統資源的價值屬性的分析、資源面臨的威脅分析、系統的安全缺陷分析等等。分析的目標就是確定安全系統的建設環境,建立信息系統安全的基本策略。

2.1 企業信息網絡安全需求

企業對信息網絡安全方面的需求主要包含:

(1)業務系統與其它信息系統充分隔離。

(2)企業局域網與互聯的其它網絡充分隔離。

(3)全面的病毒防御體系,恢復已被病毒感染的設備及數據。

(4)關鍵業務數據必須進行備份,具有完善的災難恢復功能。

(5)管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估,并根據評估結果采用相應措施。

(6)關鍵業務數據和敏感數據在公網上的傳輸必須加密,防止非法獲取和篡改。

(7)加強內部人員操作的技術監控,采用強有力的認證系統,代替一些不安全的用戶名/口令系統授權模式。

(8)建立完善的入侵審計和監控措施,監視和記錄外部或者內部人員可能發起的攻擊。

(9)對整個信息系統進行安全審計,可預見管理和總擁有成本控制。

2.2 企業信息網絡安全內容

從企業整體考慮,它的信息網絡安全包括以下六個方面:

(1)企業信息網絡安全策略建設,它是安全系統執行的安全策略建設的依據。

(2)企業信息網絡管理體系建設,它是安全系統的安全控制策略和安全系統體系結構建設的依據。

(3)企業信息網絡資源管理體系建設,它是安全系統體系結構規劃的依據。

(4)企業信息網絡人員管理建設,它是保障安全系統可靠建設、維護和應用的前提。

(5)企業信息網絡工程管理體系建設,信息安全系統工程必須與它統一規劃和管理。

(6)企業信息網絡事務持續性保障規劃,它是信息安全事件處理和安全恢復系統建設的依據。

3 企業信息網絡安全架構

3.1 企業信息網絡安全系統設計

安全系統設計是在信息系統安全策略的基礎上,從安全策略的分析中抽象出安全系統及其服務。安全系統的設計如圖1所示。安全系統設計的目標是設計出系統安全防御體系,設計和部署體系中各種安全機制從而形成自動的安全防御、監察和反應體系,忠實地貫徹系統安全策略。

3.2 企業信息網絡安全系統組建

安全系統設計關心的是抽象定義的系統。具體系統組建是建立在設計基礎上的實現。通常系統功能組件的實現方式是軟件、硬件和固體等。安全系統組建的另一項重要內容是配制安全系統,并將安全系統與整個信息系統形成一體。

4 企業信息網絡安全工程的部署

信息系統安全是信息系統服務質量的要求,網絡安全系統應當融于信息網絡服務系統之中,其建設與維護應當與信息網絡系統的建設和維護保持一致,遵循系統工程的方法。網絡安全工程就是應用系統工程建設和維護網絡安全系統。

4.1 工程環節

系統工程總是與被建設的系統特性緊密結合,工程環節與系統生命周期保持同步。安全系統的生命周期也是基本如此,因而安全系統工程典型的基本環節包括信息系統安全需求分析、安全系統設計、安全系統組建、安全系統認證、系統安全運行維護和安全系統改造等,如圖2所示。

(1)安全的互聯網接入。

企業內部網絡的每位員工要隨時登錄互聯網,因此Internet接入平臺的安全是該企業信息系統安全的關鍵部分,可采用外部邊緣防火墻,其內部用戶登錄互聯網時經過內部防火墻,再由外部邊緣防火墻映射到互聯網。外部邊緣防火墻與內部防火墻之間形成了DMZ區。

(2)防火墻訪問控制。

外部邊緣防火墻提供PAT服務,配置IPSec加密協議實現VPN撥號連接以及端到端VPN連接,并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務控制。

內部防火墻處于內部網絡與DMZ區之間,它允許內網所有主機能夠訪問DMZ區,但DMZ區進入內網的流量則進行嚴格的過濾。

(3)用戶認證系統。

用戶認證系統主要用于解決撥號和VPN接入的安全問題,它是從完善系統用戶認證、訪問控制和使用審計方面的功能來增強系統的安全性。

撥號用戶和VPN用戶身份認證在主域服務器上進行,用戶賬號集中在主域服務器上開設。系統中設置嚴格的用戶訪問策略和口令策略,強制用戶定期更改口令。同時配置VPN日志服務器,記錄所有VPN用戶的訪問,作為系統審計的依據。

(4)入侵檢測系統。

企業可在互聯網流量匯聚的交換機處部署入侵檢測系統,它可實時監控內網中發生的安全事件,使得管理員及時做出反應,并可記錄內部用戶對Internet的訪問,管理者可審計Internet接入平臺是否被濫用。

(5)網絡防病毒系統。

企業應全面地布置防病毒系統,包括客戶機、文件服務器、郵件服務器和OA服務器。

(6)VPN加密系統。

企業可建立虛擬專網VPN,主要為企業移動辦公的員工提供通過互聯網訪問企業內網OA系統,同時為企業內網用戶訪問公司的SAP系統提供VPN加密連接。

需要注意的是,由于VPN機制需要執行加密和解密過程,其傳輸效率將降低30%~40%,因此對于關鍵業務,如果有條件應該盡可能采用數據專線方式。

(7)網絡設備及服務器加固。

企業網絡管理員應定期對各種網絡設備和主機進行安全性掃描和滲透測試,及時發現漏洞并采取補救措施。安全性掃描主要是利用一些掃描工具,模擬黑客的方法和手段,以匿名身份接入網絡,對網絡設備和主機進行掃描并進行分析,目的是發現系統存在的各種漏洞。

根據安全掃描和滲透測試的結果,網絡管理員即可有針對性地進行系統加固,具體加固措施包括:關閉不必要的網絡端口;視網絡應用情況禁用ICMP、SNMP等協議;安裝最新系統安全補??;采用SSH而不是Telnet進行遠程登錄;調整本地安全策略,禁用不需要的系統缺省服務;啟用系統安全審計日志。

(8)辦公電腦安全管理系統。

企業應加強對桌面電腦的安全管理。主要有:

①補丁管理:主要用于修復桌面電腦系統漏洞,避免蠕蟲病毒、黑客攻擊和木馬程序等。

②間諜軟件檢測:能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。

③安全威脅分析:能夠自動檢測桌面電腦的配置風險,包括共享、口令、瀏覽器等安全問題,并自動進行修補或提出修改建議。

④應用程序阻止:用戶隨意安裝的游戲等應用程序可能導致系統紊亂、沖突,影響正常辦公。管理員可以通過遠程執行指令,阻止有關應用程序的運行。

⑤設備訪問控制:對用戶電腦的硬件采用適當的訪問控制策略,防止關鍵數據丟失和未授權訪問。

(9)數據備份系統。

企業應制定備份策略,定期對一些重要數據進行備份。

4.2 持續性計劃

(1)架構評估。

企業網絡信息安全管理架構的評估應由IT部門、相關責任部門以及終端用戶代表來共同參與,確保所有的部門都能納入安全框架中。

(2)系統安全運行管理。

要保障信息系統安全,就必須維護安全系統充分發揮作用的環境。這種環境包括安全系統的配置、系統人員的安全職責分工與培訓。

(3)安全系統改造。

信息系統安全的對抗性必然導致信息安全系統不斷改造。導致安全系統改造的因素可以歸結為4個方面:技術發展因素;系統環境因素;系統需求因素;安全事件因素。

(4)網絡安全制度建設及人員安全意識教育。

企業應當采取積極防御措施,主動防止非授權訪問操作,從客戶端操作平臺實施高等級防范,使不安全因素在源頭被控制。這對工作流程相對固定的重要信息系統顯得更為重要而可行。

需開展計算機安全意識教育和培訓,加強計算機安全檢查,以此提高最終用戶對計算機安全的重視程度。為各級機構的系統管理員提供信息系統安全方面的專業培訓,提高處理計算機系統安全問題的能力。

參考文獻

[1]趙迪,趙望達,劉靜.基于B/S架構的安全生產監督管理信息系統[J],中國公共安全(學術版),2006,(04).[2]周敏文,譚海文.淺析我國安全生產信息化建設的現狀與對策[J],露天采礦技術,2005,(06).

[3][美]Harold F.Tipton,Micki Krause著,張文,鄧芳玲,程向莉,吳娟等譯.信息安全管理手冊(卷III)(第四版)[M],北京:電子工業出版社,2004年6月,237-264.

篇9

關鍵詞:企業網絡;安全策略;信息加密

中圖分類號: TM727文獻標識碼:A文章編號:1009-3044(2009)36-10218-02

The Discussion on Security Problems of Enterprise Network

WANG Feng

(Foundation Department, China Pharmaceutical University, Nanjing 211169, China)

Abstract: With the expansion of network applications, enterprise applications for the process of network security risks have become more serious and complex. Network security issues can lead to internal online intruder to attack, theft or other damage. These factors are unsafe to use, so the network-to-business pose a serious security threat. The following will introduced the major enterprise network security factories and countermeasures.

Key words: enterprise network; security policy; information encryption

隨著互聯網技術和計算機網絡技術的不斷發展,基于網絡的計算機網絡技術在企業中的應用越來越廣泛,基于網絡的應用在給企業的經營管理帶來很大經濟利潤的同時,也不可避免的伴隨而來的出現了網絡安全問題,于2002年之后,蠕蟲、木馬的傳播已經使得企業面臨的數據安全問題進一步嚴重。這些問題對企業信息安全的提高提出了更高的要求。隨著信息技術的迅猛前進,許多大型的企業都意識到了利用先進的信息技術對于提高企業的運營能力與自身的業務將起著極其重要的作用,能夠使企業在激烈的競爭中提高角逐能力[1]。面對著變化萬千的市場,企業正面臨著如何才能夠提高本身于市場中角逐能力的問題,而其內部的效率問題、管理問題、信息傳遞問題、考核問題等,又不時的在制約著自身,特別是信息的安全問題嚴重的制約了自身競爭能力的提高,因此解決網絡的安全問題已成為目前大多數企業增強競爭力的重要策略。

1 影響企業網絡安全的因素

1.1 病毒

也就是指那些自我復制能力比較強的計算機程序,它可以影響到計算機硬件、軟件正常的運行,從而破壞數據的完整與正確。隨著互聯網和計算機的不斷進步與普及,計算機病毒越來越多,總數已經大約達到了3萬種,并且仍然以大約每月五百種左右的速度增加,它的破環性也越來越強大,而網絡病毒的破壞性就顯得更加強大了。一旦出現文件服務器的硬盤遭到病毒傳染,就極有可能引起數據的丟失與系統的損壞,進而使得網絡服務器不能起動,數據和應用程序不能正常的使用,甚至可能引起整個網絡的癱瘓,從而造成非常嚴重的損失。一般來說,網絡病毒的再生復制能力都非常強,可以利用網絡進行傳染與擴散。只要出現某個公用程序遭到了病毒的感染,那么這些病毒就會在整個網絡上進行迅速的傳播,從而感染別的程序。被網絡病毒感染而引起網絡癱瘓的損失是不可估量的。一旦發現了網絡服務器被病毒感染,其殺毒所需耗費的時間將大約達到單機的幾十倍之上。

1.2 惡意攻擊

就是指那些試圖危及企業信息資源的可用性、機密性、完整性的行為。目前企業的網絡大都采用了以廣播技術為基礎的以太網[2]。在相同的以太網中,不同位置的兩個節點之間的通信數據包,不但能夠被這兩個節點的網卡接收,也可以同時被處在相同網絡中的任何節點的網卡截取。此外,為了使的工作更為便捷,企業辦公自動化中的網絡都設置有跟國際互聯網和外網相互連接的出入口,所以,國際互聯網和外網中的黑客一旦侵入了企業的ERP系統或者是辦公自動化網絡中的任何一個節點進行偵聽,那么就能夠捕獲出現在這個網絡上的任何數據包,然后對其進行解包并進行分析,進而竊取一些關鍵的信息;而本以太網中的黑客則可以非常便捷的截取任何一個數據包,因而導致了信息的失竊。

1.3 非法訪問或者冒充合法用戶

1)指對信息資源或者網絡設備進行越權使用或非正常使用等;

2)指利用各種各樣的欺騙或者假冒手段非法竊取正常的使用權限,從而達到合法占用資源的目的。

1.4 破壞數據的完整性

就是指通過不合法的手段,重發、修改或者刪除一些重要的數據信息,從而影響了用戶的正常使用[3]。在企業網絡系統中,導致信息數據破壞的因素有許多種,首先是黑客的入侵,基于各種各樣的原因,黑客侵入到了網絡中,其中惡意入侵對網絡造成的危害一般都是多方面的。其中一種非常常見的危害就是數據的破壞,可以破壞服務器硬盤引導區的信息數據、破壞應用程序的數據、覆蓋或者刪除原始數據庫等。其次就是病毒的破壞,病毒常常會攻擊系統的數據區,通常包含了硬盤主引導扇區、FAT表、文件目錄、Boot扇區等;病毒還極有可能破壞文件數據區,使得文件數據被改名、刪除、丟失數據文件、丟失一些程序代碼;病毒還可能攻擊CMOS并且導致系統CMOS中的數據遭到破壞。最后就是災難破壞,由于突然停電、自然災害、誤操作、強烈震動等引起了數據的破壞。一些重要的數據如果遭到了丟失和破壞,可能會導致企業經營困難與財力、物力、人力的巨大浪費。

1.5 干擾系統的正常運行

就是指通過改變系統正常運行的方法,從而引起了系統響應時間減慢等手段。

1.6 線路竊聽

指通過通信介質的搭線竊聽或電磁泄漏等手段竊取非法信息。

2 企業網絡安全策略

一般來說,企業為了得到最佳的安全性能以便獲得最高的安全投資回報,可以從以下六方面采取相應的措施,如圖1所示。

2.1 訪問控制策略

進行訪問控制的主要目的就是為了防止不合法的訪問[4],從而實現用戶身份的辨別與對服務器、重要網絡的安全控制。其中,防火墻就是一種應用廣泛且比較有效的網絡訪問控制設備,其主要利用對端口號、IP地址等進行控制并應用設置安全等措施,從而實現外部網絡與內部被保護網的隔離。于安全規則方面,企業可以針對一段網絡、一組主機、單獨的主機,根據網絡協議進行相應的設置,進行面向對象的安全規則有關的編輯;依靠網絡通訊端口進行相應的安全規則設置;根據每一天或者星期幾等具體的時間進行設置,以便實現訪問控制策略

2.2 安裝網絡版防病毒軟件

安裝殺毒能力強的網絡版反病毒軟件,建立針對性很強的防病毒策略或者針對局域網的反病毒控制系統。如果有些客戶端想要關掉實時監測功能或者把軟件卸載掉,都需要得到管理員的密碼授權許可才可以執行。網絡版反病毒軟件就好像在網關處建立了一道屏障,任何潛在的病毒首先都必須經過這一關。對于一些具有事先告警機制的反病毒軟件產品,企業客戶能夠在服務器端得到一個警告信號,因此,防止了病毒入侵內部網絡的危險。

2.3 信息加密策略

信息加密主要的目的是為了保護網內的文件、數據、口令以及控制信息,以便保護傳輸于網絡上的數據。網絡加密通常采用的方法有端點加密、節點加密、鏈路加密三種加密方式。端點加密的主要目的是為對目的端用戶與源端用戶之間傳輸的數據進行保護;節點加密的主要目的是為了對目的節點與源節點之間的傳輸鏈路進行保護;鏈路加密的主要目的是為了保護不同網絡節點之間鏈路信息的安全,關于具體選用何種加密方式,用戶可以根據網絡的具體情況選擇相應的加密方式。

2.4 加強安全管理

“三分技術,七分管理”作為網絡安全行業非常流行的話語[5],指出了如果管理混亂、責權不明、安全管理制度不完善以及可操作性缺乏等都有可能導致安全管理的風險。因此,要想真正確保企業網絡的安全,除了需要從技術上提高外,更重要的還得依靠提高安全管理質量來實現,通常安全管理需要貫穿于安全的所有層次中。結合實際工作業務流程、工作環境以及安防技術等特點,需要制訂合適的安全管理規則。

2.5 實時監測

利用信息偵聽的方法搜尋未授權的違規行為和網絡訪問嘗試,通常包含了網絡系統的預警、掃描、跟蹤、記錄、阻斷等,并進而發現系統所受到的攻擊與傷害。作為一種對付電腦黑客非常有效的技術手段,網絡實時監測系統具有自適應、實時、主動響應識和別等特性。

2.6 數據備份策略

對企業數據信息以及服務器應當采用防火墻來實現災難冗余和雙機熱備份。對于可靠性需要非常高的用戶,選擇具有雙機熱備份功能的防火墻是非常必要的,在相同的網絡節點配備兩個相同配置的防火墻,一般于正常情況下是一個處于正常工作狀態[6],而另外一個則處于備份狀態,但是,一旦工作狀態的系統發生了故障之后,處于備份狀態的防火墻便會立即自動的切換到工作狀態,從而保證網絡能夠正常運行。備用防火墻系統可以非常迅速的完成整個切換過程,而不需要其他系統參與或者人為操作,并且在這個切換的過程中,對網絡上的任何信息傳輸與通訊連接均無影響。

3 結束語

總之,雖然影響網絡安全的因素非常復雜,給企業帶來了一些不必要的麻煩,但是,只要樹立正確的企業網絡安全觀念并建立高效的企業網絡安全防護系統,就能保證企業的正常運營,使企業可以真正享受到信息化帶來的豐碩成果。

參考文獻:

[1] 魏清斌.企業網絡的安全與防范措施[J].中國高新技術企業,2008(16):127.

[2] 楊恒廣.淺談企業網絡安全[J].科技信息,2008(7):66-67.

[3] 賴順天.企業網絡安全的風險與防范[J].電腦開發與應用,2008(11):72-73.

[4] 占明艷.企業網絡安全對策研究[J].軟件導刊,2008(9):196-197.

篇10

【關鍵詞】 云安全 核心技術 網絡安全 應用探析

前言:近幾年來,越來越多的人們關注網絡的安全技術以及應用,網絡安全關系到國家安全以及社會和諧安定,我們應當提高對其的重視度。網絡安全的本質就是確保網絡上的信息安全,其具體指的是網絡系統的硬件、軟件以及其系統中的數據不被人為的破壞、篡改和泄露,云安全技術的應用,就是保證網絡安全的一項技術。云安全技術已經在企業的局域網中得到了具體運用,并且對其出現的問題進行研究改進,進一步為企業的網絡信息安全提供了保障。

一、“云安全”的核心技術

1.Web信譽服務。云安全技術可以通過全信譽數據庫對惡意軟件行為進行分析,并且根據其數據位置的變化和可疑跡象等因素來指定網頁信譽分數,從而判斷網頁是否可信。根據檢測的信譽分值,我們可以隨時了解到某個網站的潛在風險級別,預防用戶進入有病毒的網頁帶來的危害。

2.電子郵件信譽服務。電子郵件信譽服務可以根據已知垃圾信息的源地址進行檢測,可以對發送者郵件進行潛在危險評估。當云技術檢測到該郵件中存在病毒時,就會自動對該郵件進行處理,并且當之后再有類似郵件時還會對起進行攔截或者刪除,以防危害用戶端。

3.自動反饋機制。云安全的另一個重要組件就是自動反饋機制,通過檢測單個用戶的路由信譽來確定新型的威脅。例如:趨勢科技的全球自動反饋機制的功能就像目前大多社區采用的鄰里監督模式,能夠有效的實現及時監督保護功能,有助于確立全面的最新威脅指數。當單個的用戶常規信譽檢查發現威脅時,系統就會自動更新趨勢科技位于全球各地所有威脅的數據庫,防止以后的客戶遇到威脅時不能及時反饋。

二、云安全技術在企業網絡安全中的應用

1.云安全技術中復合式攔截病毒機制在企業網絡安全中的作用。隨著云計算的發展,云安全技術在企業局域網中已經得到廣泛應用,同時云安全成了企業技術研究當中的主要問題。作為企業局域網絡管理者,要認識到對于企業網絡內部的威脅主要來自于企業內部,只將精力放在防止網絡遭受來自于單位外部的攻擊上是遠遠不夠的,云安全技術可以利用互聯網云計算技術強大的終端服務器,實現對企業局域網絡內部相關軟件的云攔截以及云殺毒。也就是說,這種方式采用的是云安全技術中復合式攔截病毒機制,當企業局域網絡存在的安全隱患威脅到客戶端時,復合式攔截病毒機制就可以對其進行攔截以及采取相應的處理措施。近幾年來,網絡病毒攻擊形式比較多,而且病毒的形式不僅是單一的病毒體,而是由多種單一病毒體重組的復合式病毒,對網絡用戶端危害極大,云安全技術中復合式攔截病毒機制則可以有效解決這一問題。

2.云安全技術中輕客戶端策略在企業網絡安全中的應用。云安全技術中輕客戶端策略是指將計算機和業務之間的邏輯問題交由服務器處理,客戶端只對簡單的網絡數據顯示工作進行處理。例如:當我們收到到一封電子郵件時,云系統就會自動檢測該郵件的源地址以及電子鏈接,并且對其存在的安全性能自動分析。如果檢測的結果是該封郵件不可信,服務就會通過云安全技術對其進行殺毒處理,并且可以自動刪除該封郵件。與此同時,系統就會將不可信郵件的源地址和電子鏈接存入到網絡安全隱患庫中,當接收到類似的郵件時,系統就會對其進行自動攔截或者刪除處理,該策略在應用過程中存在一定的弊端,那就是只能夠對外部接收的信息進行檢測,對計算機自身系統無法檢測,主要應用于來自于外部病毒入侵的攔截和處理。

3.云安全技術在企業網絡中應用的必要條件。云安全技術是針對云計算產業的出現,結合云計算的應用特點和發展趨勢衍生出的確保云計算在局域網中應用安全的一種新型網絡安全技術。任何一種軟件技術的發展離開了安全的保障,就一定會失去其存在的意義。云安全技術就是通過客戶端對局域網中的相關數據以及信息進行收集和統計,分析之后得出源代碼,然后再采取相應的處理措施保證其安全性。在實際操作中,通過客戶端軟件對整個網絡進行掃描,找尋到有病毒的文件,再通過殺毒單位采用軟件對用戶端進行殺毒處理可以有效提升網絡安全性。這不僅需要有大量的裝有病毒監控軟體的客戶端,而且具有快速解析源代碼的服務器終端。

三、結語

科學技術的不斷發展然網絡的運用越來越廣泛,因其所承載的信息量較大,需要我們對網絡信息進行有效保護。云技術的應用充分的實現了人們對于安全的需求,使人們在網絡中建立了更完備的安全防御體系,為人們的生活以及工作帶來了更多的便利,讓人們對于網絡的使用更加放心。

參 考 文 獻

[1]張海波. 云安全技術在電力企業的應用[J]. 信息技術與信息化,2011,04:60-61+67.