導(dǎo)語(yǔ):在企業(yè)網(wǎng)絡(luò)安全的撰寫(xiě)旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優(yōu)秀范文�����,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�����。
第1篇
1.1計(jì)算機(jī)自身系統(tǒng)安全問(wèn)題
計(jì)算機(jī)系統(tǒng)的正常運(yùn)行以計(jì)算機(jī)操作系統(tǒng)程序?yàn)橹饕罁?jù)�����,與之相關(guān)的各類(lèi)程序也必須以此為標(biāo)準(zhǔn)��,操作系統(tǒng)理所當(dāng)然地成為了計(jì)算機(jī)系統(tǒng)中的基本程序��。計(jì)算機(jī)操作系統(tǒng)具有較強(qiáng)的拓展性�����,開(kāi)發(fā)商很容易完成計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)工作�����。但是,在優(yōu)化和升級(jí)計(jì)算機(jī)系統(tǒng)的過(guò)程中���,相關(guān)操作技術(shù)仍存在較大問(wèn)題,這是計(jì)算機(jī)技術(shù)快速發(fā)展的難點(diǎn)�����,也是黑客入侵計(jì)算機(jī)系統(tǒng)的主要切入點(diǎn)���。
1.2計(jì)算機(jī)病毒安全問(wèn)題
計(jì)算機(jī)一旦受到病毒的入侵���,將會(huì)出現(xiàn)嚴(yán)重的運(yùn)行問(wèn)題,如系統(tǒng)癱瘓��、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫(kù)信息丟失等�����。計(jì)算機(jī)病毒具有典型的潛伏性�����、傳染性、隱蔽性和破環(huán)性��,目前�����,計(jì)算機(jī)病毒種類(lèi)主要有以下四種:第一�����,木馬病毒���。該類(lèi)病毒的主要目的是竊取計(jì)算機(jī)上的數(shù)據(jù)信息��,具有典型的誘騙性;第二���,蠕蟲(chóng)病毒。熊貓燒香是該類(lèi)病毒的典型代表���,以用戶計(jì)算機(jī)上出現(xiàn)的漏洞為切入點(diǎn)���,綜合使用攻擊計(jì)算機(jī)終端的方式控制計(jì)算機(jī)系統(tǒng),該病毒具有較強(qiáng)的傳播性和變異性�����;第三,腳本病毒��。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁(yè)位置�����;第四���,間諜病毒。要想提升某網(wǎng)頁(yè)的訪問(wèn)量��,強(qiáng)制要求計(jì)算機(jī)用戶主頁(yè)預(yù)期鏈接�����。伴隨著科技的發(fā)展��,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大�����,各種類(lèi)型病毒的破壞性也隨之增加���。
1.3黑客
通過(guò)網(wǎng)絡(luò)攻擊計(jì)算機(jī)目前���,我國(guó)仍存在著大量非法人員對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊等行為�����,這類(lèi)人員大都掌握著扎實(shí)的計(jì)算機(jī)和計(jì)算機(jī)安全漏洞技術(shù)���,對(duì)計(jì)算機(jī)用戶終端與網(wǎng)絡(luò)做出強(qiáng)有力的破壞行為是他們的主要目的。黑客攻擊計(jì)算機(jī)網(wǎng)絡(luò)的主要形式有三種:第一���,利用虛假的信息攻擊網(wǎng)絡(luò)��;第二�����,利用木馬或者病毒程序?qū)τ?jì)算機(jī)用戶的電腦進(jìn)行控制���;第三,結(jié)合計(jì)算機(jī)用戶瀏覽網(wǎng)頁(yè)的腳本漏洞對(duì)其進(jìn)行攻擊�����。
2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用
2.1防火墻技術(shù)
防護(hù)墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計(jì)算機(jī)病毒安全問(wèn)題��,在實(shí)際應(yīng)用過(guò)程中��,計(jì)算機(jī)網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級(jí)防火墻和包過(guò)濾防火墻兩種形式��。其中應(yīng)用型防護(hù)墻的主要目的是保護(hù)服務(wù)器的安全��,在掃描終端服務(wù)器的數(shù)據(jù)后��,如果發(fā)現(xiàn)有意或者不合常理等攻擊行為���,系統(tǒng)應(yīng)該及時(shí)切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流,采用終端病毒傳播的方式保護(hù)企業(yè)網(wǎng)的安全���。包過(guò)濾防火墻的主要工作任務(wù)是及時(shí)過(guò)濾路由器傳輸給計(jì)算機(jī)的數(shù)據(jù)信息��,這種過(guò)濾手段可以阻擋病毒信息入侵計(jì)算機(jī)系統(tǒng)��,并第一時(shí)間內(nèi)通知用戶攔截病毒信息�����,為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障���。下圖1是企業(yè)網(wǎng)防護(hù)墻配置示意圖��。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置
2.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式�����。在企業(yè)發(fā)展建設(shè)過(guò)程中��,要想提高企業(yè)發(fā)展信息的安全性和可靠性���,企業(yè)必須在實(shí)際運(yùn)行的計(jì)算機(jī)網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進(jìn)行加密處理�����,在傳輸和接收數(shù)據(jù)信息的過(guò)程中必須輸入正確的密碼才能打開(kāi)相關(guān)文件���,這為提高企業(yè)信息的安全性提供了技術(shù)保障��。加密算法的常用形式有對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法兩種���,其中對(duì)稱(chēng)加密算法中使用的加密和加密信息保持一致,非對(duì)稱(chēng)加密算法中加密方法和解密方法存在較大的差異�����,通常很難被黑客破解,這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用���。
2.3病毒查殺技術(shù)
病毒查殺技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一��。病毒對(duì)計(jì)算機(jī)安全有極大的威脅�����,該技術(shù)要求企業(yè)技術(shù)對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行檢測(cè)和更新���,減少系統(tǒng)出現(xiàn)漏洞的頻率;杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件���;安裝正版病毒查殺軟件的過(guò)程中還應(yīng)該及時(shí)清理病毒數(shù)據(jù)庫(kù);控制用戶瀏覽不文明的網(wǎng)頁(yè)��;在下載不明郵件或者軟件后立即對(duì)不良文件進(jìn)行病毒查殺處理��,確定文件的安全性后才能投入使用���。
2.4入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)安全運(yùn)行中發(fā)揮著至關(guān)重要的作用�����,其作用主要表現(xiàn)在以下幾方面:第一��,收集計(jì)算機(jī)操作系統(tǒng)�����、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù)���;第二�����,找尋計(jì)算機(jī)系統(tǒng)中可能存在的侵害行為��;第三���,自動(dòng)發(fā)出病毒侵害報(bào)警信號(hào);第四�����,切斷入侵途徑;第五�����,攔截入侵��。入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強(qiáng)的安全性特征�����,該技術(shù)的主要任務(wù)是負(fù)責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運(yùn)行狀況�����,對(duì)網(wǎng)絡(luò)的正常運(yùn)行不會(huì)產(chǎn)生任何影響��。入侵檢測(cè)技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機(jī)系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主�����?�;谥鳈C(jī)系統(tǒng)的入侵檢測(cè)技術(shù)主要針對(duì)企業(yè)網(wǎng)的主機(jī)系統(tǒng)�����、歷史審計(jì)數(shù)據(jù)和用戶的系統(tǒng)日志等��,該檢測(cè)技術(shù)具有極高的準(zhǔn)確性��,但是��,實(shí)際檢測(cè)過(guò)程中很容易引發(fā)各種問(wèn)題���,如數(shù)據(jù)失真和檢測(cè)漏洞等���;基于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)以其自身存在的特點(diǎn)為依據(jù),以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段�����,在第一時(shí)間將入侵分析模塊里做出的測(cè)定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人��,該技術(shù)具有較強(qiáng)的抗攻擊能力��、能在短時(shí)間內(nèi)做出有效的檢測(cè)�����,但是��,由于該技術(shù)能對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進(jìn)行監(jiān)控,在實(shí)際過(guò)程中會(huì)給加密技術(shù)帶來(lái)一定程度影響��。入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)的應(yīng)用過(guò)程中通常表現(xiàn)為誤用檢測(cè)和異常檢測(cè)兩種形式�����。誤用檢測(cè)通常以已經(jīng)確定的入侵模式為主���,在實(shí)際檢測(cè)過(guò)程中�����,該檢測(cè)方法具有響應(yīng)速度快和誤警率低等特點(diǎn)���,但是,該檢測(cè)技術(shù)需要較長(zhǎng)的檢測(cè)時(shí)間為支撐��,實(shí)際耗費(fèi)的工作量比較大��。異常檢測(cè)的主要對(duì)象是計(jì)算機(jī)資源中用戶和系統(tǒng)非正常行為和正常行為情況��,該檢測(cè)法誤警率較高�����,在實(shí)際檢測(cè)過(guò)程中必須對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行全盤(pán)掃描���,因此���,必須有大量的檢測(cè)時(shí)間作支撐。
3結(jié)束語(yǔ)
第2篇
隨著社會(huì)經(jīng)濟(jì)的發(fā)展��,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在我國(guó)各行業(yè)得到了廣泛的應(yīng)用�����,反過(guò)來(lái)���,各行業(yè)也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的要求不斷增高�����,他們需要的是網(wǎng)絡(luò)技術(shù)帶來(lái)的便捷性���、實(shí)用性以及可靠性。伴隨著業(yè)務(wù)網(wǎng)絡(luò)化的深入與發(fā)展�����,隨之帶來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)也不斷增加,人們?cè)谑褂糜?jì)算機(jī)技術(shù)時(shí)���,往往忽略了對(duì)他的安全管理��。
一�����、網(wǎng)絡(luò)管理簡(jiǎn)述
在網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)的發(fā)展背景下���,對(duì)其進(jìn)行維護(hù)與管理也成為了促進(jìn)其持續(xù)發(fā)展的重要內(nèi)容。網(wǎng)絡(luò)管理是計(jì)算機(jī)技術(shù)當(dāng)中的一個(gè)重要組成部分��,網(wǎng)絡(luò)管理水平的高低�����,直接影響著網(wǎng)絡(luò)運(yùn)行的效率��。一般網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)通信過(guò)程當(dāng)中的服務(wù)以及信息處理過(guò)程當(dāng)中所需要的各種活動(dòng)進(jìn)行一個(gè)監(jiān)督���、組織和控制�����,創(chuàng)造良好的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)運(yùn)營(yíng)環(huán)境�����。其主要目的就是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件�����、軟件和數(shù)據(jù)資源�����,不因偶然或惡意的原因遭到破壞��、更改���、泄露,使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行��,提供有序�����、正常的網(wǎng)絡(luò)服務(wù)�����。
二、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)存在的安全因素
(一)計(jì)算機(jī)軟件的固有缺陷
對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)��,各種軟件是支撐其多元化��、多層次運(yùn)行的重要基礎(chǔ)�����,由于軟件的開(kāi)發(fā)方式��、研究水平等因素的影響���,容易造成計(jì)算機(jī)軟件在開(kāi)發(fā)階段就存在漏洞�����,使得計(jì)算機(jī)網(wǎng)絡(luò)在正常運(yùn)行的過(guò)程中�����,因?yàn)檫@些存在漏洞���、缺陷而發(fā)生嚴(yán)重的故障�����。
(二)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)自身的特性
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)有著開(kāi)放性以及共享性的特點(diǎn)���,這就使得計(jì)算機(jī)網(wǎng)絡(luò)在使用的過(guò)程中,容易遭受網(wǎng)絡(luò)病毒的攻擊��,給用戶造成損失��。例如在今年我國(guó)出現(xiàn)的一種極為惡性的計(jì)算機(jī)病毒“勒索病毒”�����, 他是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播病毒文件�����,一旦計(jì)算機(jī)被感染后��,除非裝機(jī)��,不然就只能通過(guò)給黑客發(fā)送比特幣來(lái)花錢(qián)解鎖��,對(duì)計(jì)算機(jī)程序以及計(jì)算機(jī)系統(tǒng)造成極為嚴(yán)重的破壞���。
(三)黑客攻擊
互聯(lián)網(wǎng)技術(shù)的深入與普及���,造就了一些電腦高手,也造就了一些電腦黑客�����。黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅極為顯著��。他們的侵往往入網(wǎng)絡(luò)服務(wù)器��,利用木馬程序等多種手段損壞與竊取用戶的信息與數(shù)據(jù)��,給用戶帶來(lái)極大的損失�����。
三�����、企業(yè)網(wǎng)絡(luò)安全管理的措施
(一)設(shè)置科學(xué)的加密方式
企業(yè)的信息資源安全直接受到數(shù)據(jù)安全性能的影響���,因此人們應(yīng)該重點(diǎn)關(guān)注數(shù)據(jù)安全工作�����。其中的數(shù)據(jù)加密技術(shù)能夠在一定程度上?_保企業(yè)數(shù)據(jù)不被其他人隨意查看或者篡改�����,保護(hù)數(shù)據(jù)的安全��。
(二)充分發(fā)揮防火墻的作用提升企業(yè)網(wǎng)絡(luò)安全管理水平
要想認(rèn)真做好網(wǎng)絡(luò)安全工作��,我們應(yīng)該充分發(fā)揮防火墻的自身作用���,通過(guò)分開(kāi)企業(yè)的內(nèi)部網(wǎng)和外部網(wǎng),實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全管理水平的提升�����。防火墻在企業(yè)的內(nèi)部網(wǎng)及外部網(wǎng)進(jìn)行通信過(guò)程中起到了關(guān)鍵性的作用���,能夠有效保護(hù)網(wǎng)絡(luò)邊界設(shè)備�����,還能減少外部網(wǎng)絡(luò)用戶利用非法手段進(jìn)行內(nèi)部網(wǎng)絡(luò)獲取信息的發(fā)生率�����。此外��,防火墻還能夠?qū)ζ髽I(yè)的內(nèi)部或外部網(wǎng)絡(luò)站點(diǎn)進(jìn)行阻擋或攻擊��,限制IP的流量�����,還能提前設(shè)施訪問(wèn)控制�����,把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低��;還能識(shí)別一些被授權(quán)的用戶���,讓其順利進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò)���,對(duì)于沒(méi)有授權(quán)的用戶就無(wú)法進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò),非法入侵人員要想獲取企業(yè)資料就要突破防火墻��,因此防火墻的存在意義重大。
(三)把企業(yè)網(wǎng)絡(luò)安全管理工作放在重要位置
企業(yè)的網(wǎng)絡(luò)安全工作非常重要�����,因此需要得到人們的足夠關(guān)注���,企業(yè)為了不斷提升工作效益��,把工作重點(diǎn)都放在了與工作效益緊密相連的任務(wù)中��,網(wǎng)絡(luò)安全工作并沒(méi)有得到人們應(yīng)有的重視��。加之��,一些創(chuàng)建時(shí)間較短的企業(yè)由于網(wǎng)絡(luò)管理人員數(shù)量較少���,且現(xiàn)有的網(wǎng)絡(luò)管理人員不太了解先進(jìn)的計(jì)算機(jī)管理技術(shù)�����,對(duì)企業(yè)網(wǎng)絡(luò)信息的保護(hù)觀念較弱���,只有出現(xiàn)企業(yè)信息泄露或者文件丟失等問(wèn)題時(shí)才會(huì)意識(shí)到企業(yè)網(wǎng)絡(luò)安全工作的重要意義���。
第3篇
系統(tǒng)的默認(rèn)共享是打開(kāi)的���,關(guān)鍵的是它將系統(tǒng)盤(pán)也共享了,通過(guò)網(wǎng)絡(luò)映像就可以直接訪問(wèn)��,在注冊(cè)表中可以將其關(guān)閉��。接到某些部門(mén)的電話�����,在計(jì)算機(jī)上出現(xiàn)“網(wǎng)絡(luò)IP地址沖突”的信息���,無(wú)法使用網(wǎng)絡(luò)�����。這些部門(mén)有個(gè)共同點(diǎn)���,就是都有訪問(wèn)Internet的權(quán)限。企業(yè)網(wǎng)絡(luò)是通過(guò)路由器連接到Internet的���,路由器安裝調(diào)試之處���,只是設(shè)置了可以訪問(wèn)Internet的計(jì)算機(jī)IP地址及訪問(wèn)時(shí)間段���,所以沒(méi)有訪問(wèn)權(quán)限的計(jì)算機(jī)為了達(dá)到某種目的,私自更改本機(jī)的IP地址���,造成IP地址沖突�����。為了解決這個(gè)問(wèn)題�����,更換了新的路由器���,這種路由器具有MAC地址過(guò)濾,MAC地址綁定���,網(wǎng)絡(luò)流量分配等功能��。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí)���,路由器要檢查發(fā)出這個(gè)IP廣播包的計(jì)算機(jī)的MAC是否與路由器上的MAC地址表相符�����,如果相符就放行���,否則不允許通過(guò)路由器�����,同時(shí)給發(fā)出這個(gè)IP廣播包的計(jì)算機(jī)返回一個(gè)警告信息���。同時(shí)也限定了工作站的訪問(wèn)流量,防止使用BT���,迅雷等下載工具長(zhǎng)時(shí)間的大量占用網(wǎng)絡(luò)寬帶���。2006年末的“熊貓燒香”病毒,造成上百萬(wàn)臺(tái)電腦和千余家企業(yè)網(wǎng)絡(luò)被感染���,特別是對(duì)企業(yè)網(wǎng)絡(luò)造成了很大的危害��,也使人們對(duì)企業(yè)網(wǎng)絡(luò)安全有了進(jìn)一步的認(rèn)識(shí)�����。
第一���,在企業(yè)網(wǎng)絡(luò)中���,利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享,進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法���。但是在設(shè)置過(guò)程中���,要充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后,就不光是企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶可以訪問(wèn)到�����,而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問(wèn)��。這也成了數(shù)據(jù)資料安全的一個(gè)隱患��。有些人認(rèn)為計(jì)算機(jī)只有自己使用���,不需要設(shè)置密碼��,這就造成非法用戶可以通過(guò)網(wǎng)絡(luò)共享隨意訪問(wèn)計(jì)算機(jī)中的數(shù)據(jù)�����。為了防止資料的外泄�����,在設(shè)置共享時(shí)一定要設(shè)置訪問(wèn)密碼��。只有這樣�����,才能保證共享目錄資料的安全���。有條件的話,應(yīng)設(shè)立專(zhuān)門(mén)的文件服務(wù)器��,進(jìn)行統(tǒng)一管理��。
第二���,企業(yè)內(nèi)部網(wǎng)速變得異常緩慢�����,許多計(jì)算機(jī)之間無(wú)法相互訪問(wèn)��,ERP系統(tǒng)軟件經(jīng)常出現(xiàn)不能正常登錄的情況��。排除掉硬件因素�����,將工作站的共享去掉后�����,網(wǎng)速恢復(fù)正常��,經(jīng)調(diào)查��,發(fā)現(xiàn)是病毒在作怪���,一旦聯(lián)網(wǎng)�����,病毒就開(kāi)始四處散播���,占用了相當(dāng)大的網(wǎng)絡(luò)寬帶���,造成了網(wǎng)速下降���。在“熊貓燒香”病毒發(fā)作期間�����,曾經(jīng)采取斷開(kāi)網(wǎng)絡(luò)��,進(jìn)行逐臺(tái)計(jì)算機(jī)殺毒���,但聯(lián)網(wǎng)后很快又被傳染,始終不能徹底清除�����。因此在網(wǎng)絡(luò)環(huán)境下���,病毒傳播擴(kuò)散快���,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒��,必須有合適于局域網(wǎng)的全方位防病毒產(chǎn)品��。企業(yè)網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)��,就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件��。如果與互聯(lián)網(wǎng)相連�����,就需要網(wǎng)關(guān)的防病毒軟件��,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全���。所以采用網(wǎng)絡(luò)版殺毒軟件是唯一的方法,這樣不必每臺(tái)工作站都需上網(wǎng)升級(jí)���,由殺毒服務(wù)器統(tǒng)一升級(jí)���,也能做到統(tǒng)一管理,避免了無(wú)故退出���,非法卸載等誤操作���。
另外��,操作人員的素質(zhì)不同��,也造成了許多安全的隱患�����。使用外來(lái)磁盤(pán)、光盤(pán)�����、U盤(pán)等存儲(chǔ)介質(zhì)�����,應(yīng)該養(yǎng)成先殺毒的習(xí)慣���。上網(wǎng)時(shí)�����,不訪問(wèn)非法的網(wǎng)站���,下載不明的文件���,接收到的郵件中,可能包含木馬病毒等非法程序�����,所以不認(rèn)識(shí)的信件盡量不要打開(kāi)��,而那些業(yè)務(wù)上��、朋友的信件也要認(rèn)真檢查���。制定相應(yīng)的計(jì)算機(jī)管理制度也是加強(qiáng)企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要手段�����,使企業(yè)人員從認(rèn)識(shí)上積極對(duì)待��,工作中嚴(yán)格實(shí)行���。
作者:閆志康 李偉洋 高淑平 單位:濮陽(yáng)同力水泥有限公司 濮陽(yáng)市生產(chǎn)力促進(jìn)中心
第4篇
關(guān)鍵詞信息安全�����;PKI��;CA���;VPN
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加��,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益�����,但隨之而來(lái)的安全問(wèn)題也在困擾著用戶�����,在2003年后�����,木馬��、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化���。這都對(duì)企業(yè)信息安全提出了更高的要求���。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力�����,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出���。面對(duì)這瞬息萬(wàn)變的市場(chǎng)��,企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題�����,而其內(nèi)部的管理問(wèn)題�����、效率問(wèn)題��、考核問(wèn)題�����、信息傳遞問(wèn)題���、信息安全問(wèn)題等��,又時(shí)刻在制約著自己���,企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。
在下面的描述中���,以某公司為例進(jìn)行說(shuō)明��。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)���,通過(guò)內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃���,通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中�����,各計(jì)算機(jī)在同一網(wǎng)段�����,通過(guò)交換機(jī)連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過(guò)多年的積累��,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)�����,包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)���。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善�����,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式�����。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全�����,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目��,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況���,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全���,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品���,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性�����,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件��、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用��。
3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析
通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析�����,可得出如下結(jié)論:
(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴(lài)性增強(qiáng)���,計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴(lài)性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大��,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜���。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求��。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)��,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心���,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份���,并運(yùn)用技術(shù)手段��,提高數(shù)據(jù)的機(jī)密性���、完整性和可用性。
通過(guò)對(duì)現(xiàn)有的信息安全體系的分析��,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展�����、安全威脅種類(lèi)的增加�����,某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷�����,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng)��,安全防護(hù)僅限于網(wǎng)絡(luò)安全�����,系統(tǒng)��、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)��。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的���,主要工作集中于網(wǎng)絡(luò)安全��,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段�����。如缺乏有效的身份認(rèn)證���,對(duì)服務(wù)器�����、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充��;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范���,容易造成重要數(shù)據(jù)的丟失和泄露��。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念��,是基于這樣一種信任模型的���,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下�����,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部�����,并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對(duì)外部網(wǎng)絡(luò)安全��,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的��。在這種信任模型中���,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅�����,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息��,或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器��,下載重要的信息并盜取出去��。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況��。
美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部��,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞�����。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程,某公司缺乏相關(guān)的規(guī)章制度���、技術(shù)規(guī)范���,也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能���。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患�����,產(chǎn)品亟待升級(jí)���。
已購(gòu)買(mǎi)的網(wǎng)絡(luò)安全產(chǎn)品中��,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求���。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制��,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸�����。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求���,現(xiàn)有的防火墻不具備這些功能�����。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上���,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門(mén)和運(yùn)營(yíng)�����、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作��。只有在建設(shè)的初期���,在規(guī)劃的過(guò)程中��,就運(yùn)用風(fēng)險(xiǎn)評(píng)估���、風(fēng)險(xiǎn)管理的手段��,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)�����。
3.2需求分析
如前所述���,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)���,也需要做好系統(tǒng)、應(yīng)用��、數(shù)據(jù)各方面的安全防護(hù)��。為此���,要加強(qiáng)安全防護(hù)的整體布局��,擴(kuò)大安全防護(hù)的覆蓋面��,增加新的安全防護(hù)手段��。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加�����,以及新的攻擊手段的不斷出現(xiàn)���,使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)��,原有的產(chǎn)品進(jìn)行升級(jí)或重新部署�����。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求���,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序��、規(guī)范地進(jìn)行��。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程���,如何利用專(zhuān)業(yè)公司的安全服務(wù)��,做好事前��、事中和事后的各項(xiàng)防范工作���,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅���,也是某公司面臨的重要課題。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃�����、統(tǒng)籌安排�����、統(tǒng)一標(biāo)準(zhǔn)���、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入���、重復(fù)建設(shè)�����,充分考慮整體和局部的利益��。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定��,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化��、規(guī)范化的要求���,為拓展���、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程��,從信息系統(tǒng)的各層次��、安全防范的各階段全面地進(jìn)行考慮�����,既注重技術(shù)的實(shí)現(xiàn)�����,又要加大管理的力度��,以形成系統(tǒng)化的解決方案�����。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)�����、應(yīng)用等方方面面��,任何改造��、添加甚至移動(dòng)���,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)��、穩(wěn)定運(yùn)行�����,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)���。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題���,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)�����,優(yōu)先保證透明化���,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)���,設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力��,某公司分期��、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)�����,配置了相應(yīng)的設(shè)施���。因此���,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃��、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)��,對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法�����,以使其納入總體安全技術(shù)體系���,發(fā)揮更好的效能�����,而不是排斥或拋棄�����。
4.5多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的�����,都可能被攻破���。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充�����,當(dāng)一層保護(hù)被攻破時(shí)�����,其它層保護(hù)仍可保護(hù)信息的安全��。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊��,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加��,系統(tǒng)脆弱性也會(huì)不斷增加���。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的���。針對(duì)安全體系的特性,尋求安全���、風(fēng)險(xiǎn)���、開(kāi)銷(xiāo)的平衡,采取“統(tǒng)一規(guī)劃��、分步實(shí)施”的原則���。即可滿足某公司安全的基本需求�����,亦可節(jié)省費(fèi)用開(kāi)支�����。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮�����,全面覆蓋信息系統(tǒng)的各層次��,針對(duì)網(wǎng)絡(luò)��、系統(tǒng)���、應(yīng)用�����、數(shù)據(jù)做全面的防范�����。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程��,事前���、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終�����,如圖2所示��。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對(duì)的���,需要在風(fēng)險(xiǎn)���、安全和投入之間做出平衡,通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析��,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查��,通過(guò)與計(jì)算機(jī)專(zhuān)業(yè)公司接觸���,初步確定了本次安全項(xiàng)目的內(nèi)容�����。通過(guò)本次安全項(xiàng)目的實(shí)施���,基本建成較完整的信息安全防范體系���。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上�����。目前���,解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)���。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系���,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證�����、信息完整性和抗抵賴(lài)等安全問(wèn)題�����,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障���,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)�����。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)���,能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份�����,要求通信雙方的身份不能被假冒或偽裝���,在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密�����,確保信息不被泄露,在此體系中利用數(shù)字證書(shū)加密來(lái)完成���。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?��,通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成�����。
不可抵賴(lài)性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為���,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過(guò)數(shù)字簽名來(lái)完成�����,數(shù)字簽名可作為法律證據(jù)��。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專(zhuān)用網(wǎng)���,是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專(zhuān)用網(wǎng)���。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用��、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過(guò)安裝部署VPN系統(tǒng)���,可以為企業(yè)構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)提供了一整套安全的解決方案��。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w�����,通過(guò)加密��、認(rèn)證��、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道��,使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù),用以代替專(zhuān)線方式���,實(shí)現(xiàn)移動(dòng)用戶��、遠(yuǎn)程LAN的安全連接���。
集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控��,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)�����。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置���。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一���。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛���,成為人們交流的重要工具�����,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播���。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患���。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)��,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的���。首先���,它的認(rèn)證機(jī)制依賴(lài)于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證�����,而最上一級(jí)的組織(根證書(shū))之間相互認(rèn)證��,整個(gè)信任關(guān)系基本是樹(shù)狀的���。其次���,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性��。
5.4桌面安全防護(hù)
對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部��,大量的安全威脅來(lái)自企業(yè)內(nèi)部��。很早之前安全界就有數(shù)據(jù)顯示�����,近80%的網(wǎng)絡(luò)安全事件�����,是來(lái)自于企業(yè)內(nèi)部�����。同時(shí)���,由于是內(nèi)部人員所為�����,這樣的安全犯罪往往目的明確�����,如針對(duì)企業(yè)機(jī)密和專(zhuān)利信息的竊取���、財(cái)務(wù)欺騙等,因此�����,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段�����。
桌面安全系統(tǒng)把電子簽章�����、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起��,形成一個(gè)整體�����,是針對(duì)客戶端安全的整體解決方案�����。
1)電子簽章系統(tǒng)
利用非對(duì)稱(chēng)密鑰體系保證了文檔的完整性和不可抵賴(lài)性�����。采用組件技術(shù)�����,可以無(wú)縫嵌入OFFICE系統(tǒng)�����,用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章��,或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者��。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證��。使用后�����,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)�����。用戶如果需要離開(kāi)計(jì)算機(jī)�����,只需拔出智能密碼鑰匙��,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)���。由于密鑰保存在智能密碼鑰匙中���,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性���。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程���。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便�����、安全的身份認(rèn)證技術(shù)���。它采用軟硬件相結(jié)合���、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾�����。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片�����,可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)��,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證�����。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能��,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)���、應(yīng)用安全組件、客戶端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系�����,從而實(shí)現(xiàn)上述身份認(rèn)證���、授權(quán)與訪問(wèn)控制���、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性��、抗抵賴(lài)性的總體要求�����。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范���、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)���。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程��,也為本方案的實(shí)施提供了借鑒���。
圖3
因此在本方案的組織和實(shí)施中��,除了工程的實(shí)施外���,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估�����,明確需求所在,務(wù)求有的放矢���,確保技術(shù)方案的針對(duì)性和投資的回報(bào)��。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分��,必要時(shí)可借助專(zhuān)業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力��。
(3)該方案投資大�����,覆蓋范圍廣���,根據(jù)實(shí)際情況��,可采取分地區(qū)��、分階段實(shí)施的方式��。
(4)在方案實(shí)施的同時(shí)���,加強(qiáng)規(guī)章制度�����、技術(shù)規(guī)范的建設(shè)���,使信息安全的日常工作進(jìn)一步制度化、規(guī)范化��。
7結(jié)論
本文以某公司為例�����,分析了網(wǎng)絡(luò)安全現(xiàn)狀�����,指出目前存在的風(fēng)險(xiǎn)���,隨后提出了一整套完整的解決方案��,涵蓋了各個(gè)方面���,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善��;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理�����。本方案從技術(shù)手段上�����、從可操作性上都易于實(shí)現(xiàn)��、易于部署���,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過(guò)本方案的實(shí)施�����,可以建立較完善的信息安全體系���,有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅���,把風(fēng)險(xiǎn)降到最低水平。
第5篇
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)�����;安全管理;維護(hù)
中圖分類(lèi)號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 06-0000-01
Enterprise Network Security Management and Maintenance
Xiang Yijun
(Quzhou City Company of Zhejiang Tobacco Company,Quzhou324000,China)
Abstract:With the rapid development of science and technology,the popularity of computer networks have become more sophisticated,many companies are using the network of office and trade.However,with the popularity,there have been some corporate network security risks.This article from the corporate network security risks exist starting from the perspective of management and maintenance measures for the two talk about the how to strengthen the security of enterprise networks.
Keywords:Enterprise network;Safety management;Maintenance
一�����、企業(yè)網(wǎng)絡(luò)的安全隱患
(一)網(wǎng)絡(luò)系統(tǒng)中存在安全隱患���。目前��,現(xiàn)代企業(yè)網(wǎng)絡(luò)大多采用以廣播技術(shù)為基礎(chǔ)的快速以太網(wǎng)的類(lèi)型��,傳輸協(xié)議通常為T(mén)CP/IP協(xié)議��,站點(diǎn)以CSMA/CD機(jī)制進(jìn)行傳輸信息�����,網(wǎng)絡(luò)中任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包���,不僅能夠被這兩個(gè)節(jié)點(diǎn)的網(wǎng)瞳所接受,同時(shí)又無(wú)法避免地被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡截取��。因此���,只要能夠接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)��,就可以捕獲發(fā)生在該以太網(wǎng)上的所有信息�����,對(duì)偵聽(tīng)到信息加以分析��,就能竊取到關(guān)鍵信息��。這是企業(yè)網(wǎng)絡(luò)安全存在的普遍安全隱患���。通常��,大多數(shù)企業(yè)由于網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)的不足,沒(méi)有相應(yīng)的網(wǎng)絡(luò)安全設(shè)備���,對(duì)企業(yè)的網(wǎng)絡(luò)安全也沒(méi)有有效的安全預(yù)警措施和防范手段���。
(二)缺少專(zhuān)業(yè)的網(wǎng)絡(luò)技術(shù)管理人員。企業(yè)大多都沒(méi)自己專(zhuān)業(yè)的網(wǎng)絡(luò)技術(shù)管理人員���。企業(yè)對(duì)網(wǎng)絡(luò)的出口�����、網(wǎng)絡(luò)監(jiān)控等都缺乏有效的技術(shù)管理���,而且企業(yè)內(nèi)部上網(wǎng)用戶的身份無(wú)法一一識(shí)別���,這也存在著極大的安全隱患。
(三)電子郵件的收發(fā)系統(tǒng)不完善���,缺乏安全管理和監(jiān)督的手段��。企業(yè)收發(fā)電子郵件是網(wǎng)絡(luò)辦公的一項(xiàng)基礎(chǔ)活動(dòng)��,但是這個(gè)活動(dòng)也是最容易感染病毒和垃圾的途徑���。而企業(yè)大多在公司內(nèi)部網(wǎng)絡(luò)中沒(méi)有設(shè)置郵件過(guò)濾系統(tǒng),對(duì)郵件的監(jiān)督和管理都不完善�����,同時(shí)��,這也不符合國(guó)家對(duì)安全郵件系統(tǒng)提出的要求,即使出現(xiàn)了侵害企業(yè)利益的事件也無(wú)法及時(shí)有效地解決���。
(四)網(wǎng)絡(luò)病毒的肆虐�����。只要上網(wǎng)便不可避免的會(huì)受到病毒的侵襲�����。一旦沾染病毒���,就會(huì)造成企業(yè)的網(wǎng)絡(luò)性能急劇下降,還會(huì)造成很多重要數(shù)據(jù)的丟失��,給企業(yè)帶來(lái)巨大的損失�����。
二�����、加強(qiáng)對(duì)企業(yè)網(wǎng)絡(luò)安全的管理
(一)建立健全企業(yè)關(guān)于網(wǎng)絡(luò)安全的規(guī)章制度�����。只有建立了完善的規(guī)章制度���,企業(yè)的各項(xiàng)工作才能得以順利開(kāi)展�����。企業(yè)要針對(duì)網(wǎng)絡(luò)的安全責(zé)任和懲戒措施做出詳細(xì)的書(shū)面規(guī)定�����,并進(jìn)行相關(guān)制度的學(xué)習(xí)工作��,讓企業(yè)內(nèi)部的員工都對(duì)網(wǎng)絡(luò)安全的規(guī)章制度有所了解���。對(duì)違反制度的人員要進(jìn)行嚴(yán)厲處罰,同時(shí)�����,企業(yè)還要建立并完善企業(yè)內(nèi)部的安全保密制度�����。
(二)規(guī)范企業(yè)網(wǎng)絡(luò)管理員的行為。企業(yè)內(nèi)部安全崗位的工作人員要經(jīng)常進(jìn)行輪換工作�����,在公司條件允許的情況下���,可以每項(xiàng)工作指派兩到三人共同參與���,形成制約機(jī)制。網(wǎng)絡(luò)管理員每天都要認(rèn)真的查看日志���,通過(guò)日志來(lái)清楚的發(fā)現(xiàn)有無(wú)外來(lái)人員進(jìn)入公司網(wǎng)絡(luò)�����,以便做出應(yīng)對(duì)策略��。
(三)規(guī)范企業(yè)員工的上網(wǎng)行為��。根據(jù)每個(gè)員工的上網(wǎng)習(xí)慣不同�����,很多員工會(huì)把在家里使用電腦的不良習(xí)慣帶到公司里來(lái)�����。這就要求企業(yè)要制定規(guī)范��,規(guī)定員工的上網(wǎng)行為�����,如免費(fèi)軟件���、共享軟件等沒(méi)有充分安全保證的軟件盡量不要安裝,同時(shí)�����,還要培養(yǎng)企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)���,注意病毒的防范和查殺的問(wèn)題�����,增強(qiáng)計(jì)算機(jī)保護(hù)方面的知識(shí)�����。
(四)加強(qiáng)企業(yè)員工的網(wǎng)絡(luò)安全培訓(xùn)��。企業(yè)網(wǎng)絡(luò)安全的培訓(xùn)大致可以包括理論培訓(xùn)�����、產(chǎn)品培訓(xùn)�����、業(yè)務(wù)培訓(xùn)等���。通過(guò)培訓(xùn)可以有效解決企業(yè)的網(wǎng)絡(luò)安全問(wèn)題�����,同時(shí)��,還能減少企業(yè)進(jìn)行網(wǎng)絡(luò)安全修護(hù)的費(fèi)用���。
三、企業(yè)網(wǎng)絡(luò)安全的維護(hù)措施
(一)使用防火墻技術(shù)�����。防火墻技術(shù)采用的核心思想是在相對(duì)不安全的網(wǎng)絡(luò)環(huán)境中建構(gòu)一個(gè)相對(duì)安全的子網(wǎng),也是目前國(guó)際上最流行��、使用范圍最廣的一種網(wǎng)絡(luò)安全的技術(shù)���。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù),讓允許訪問(wèn)的計(jì)算機(jī)和數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)���,將不允許進(jìn)入計(jì)算機(jī)的數(shù)據(jù)拒之門(mén)外���,限制一般人員訪問(wèn)內(nèi)網(wǎng)及特殊站點(diǎn),最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)�����,防止他們更改���、拷貝�����、毀壞重要信息��。因此��,防火墻可以有效阻擋外網(wǎng)的攻擊�����。目前��,為了提高企業(yè)網(wǎng)絡(luò)的安全性��,企業(yè)網(wǎng)絡(luò)中的防火墻設(shè)置一般遵循以下原則:依照企業(yè)的網(wǎng)絡(luò)安全策略及安全目標(biāo)��,設(shè)置有效的安全過(guò)濾規(guī)則���,嚴(yán)格控制外網(wǎng)不必要的的訪問(wèn)�����;配置只允許在局域網(wǎng)內(nèi)部使用的計(jì)算機(jī)的IP地址��,供防火墻識(shí)別���,以保證內(nèi)網(wǎng)中的計(jì)算機(jī)之間能正確地進(jìn)行文件或打印機(jī)等資源的共享。
(二)數(shù)據(jù)加密技術(shù)��。企業(yè)如果要通過(guò)外網(wǎng)傳送一些比較重要的機(jī)密文件和數(shù)據(jù),則必須使用加密技術(shù)對(duì)文件和數(shù)據(jù)進(jìn)行保護(hù)��。加密技術(shù)和防火墻技術(shù)的配合使用�����,可以大幅度提高信息系統(tǒng)和數(shù)據(jù)的安全性���,有效地做到防止文件和數(shù)據(jù)外漏的危險(xiǎn)。
(三)入侵檢測(cè)技術(shù)���。在不良的企業(yè)競(jìng)爭(zhēng)中�����,會(huì)有許多入侵其他企業(yè)的網(wǎng)絡(luò)��、盜取商業(yè)機(jī)密的現(xiàn)象出現(xiàn)�����。為確保企業(yè)的信息安全��,可以在企業(yè)網(wǎng)絡(luò)中安裝入侵檢測(cè)系統(tǒng)�����,這樣就可以從計(jì)算機(jī)網(wǎng)絡(luò)的若干關(guān)鍵點(diǎn)收集信息��,并分析這些信息���,從中發(fā)現(xiàn)公司的網(wǎng)絡(luò)中是否存在違反安全策略的行為和入侵跡象��,系統(tǒng)一旦檢測(cè)到可疑的地址�����,便會(huì)自動(dòng)切斷入侵者的通信�����,并及時(shí)發(fā)送警告給企業(yè)的網(wǎng)絡(luò)管理員��,對(duì)企業(yè)的信息進(jìn)行有效地安全保護(hù)���。
四、結(jié)語(yǔ)
在企業(yè)的信息化建設(shè)過(guò)程中��,企業(yè)的網(wǎng)絡(luò)安全和穩(wěn)定是信息化建設(shè)發(fā)展的基礎(chǔ)�����。隨著信息技術(shù)的發(fā)展,企業(yè)的網(wǎng)絡(luò)安全將受到更大的威脅��,這就要求企業(yè)的領(lǐng)導(dǎo)���、技術(shù)人員以及普通員工都要不斷提高自身的網(wǎng)絡(luò)安全意識(shí)�����,切實(shí)保證企業(yè)網(wǎng)絡(luò)的安全�����、穩(wěn)定運(yùn)行。
參考文獻(xiàn):
[1]萬(wàn)長(zhǎng)有.企業(yè)網(wǎng)絡(luò)安全技術(shù)防范措施[J].民營(yíng)科技,2009,12
第6篇
防火墻是網(wǎng)絡(luò)安全的基本防護(hù)設(shè)備���,其安全性受到了越來(lái)越多人的重視�����,尤其是在當(dāng)前科技迅猛發(fā)展的環(huán)境下���,各企業(yè)也迅速的崛起,使得企業(yè)在網(wǎng)絡(luò)環(huán)境的推動(dòng)下,也面領(lǐng)著嚴(yán)峻的信息安全挑戰(zhàn)��。在這種環(huán)境下���,人們對(duì)于防火墻的安全性要求也隨之提高��。當(dāng)前�����,企業(yè)的防火墻要實(shí)現(xiàn)安全設(shè)計(jì)���,還需要對(duì)企業(yè)的網(wǎng)絡(luò)安全進(jìn)行全方面的需求分析,通過(guò)針對(duì)性的設(shè)計(jì)��,提高防火墻的實(shí)用性��、功能性���、安全性���。
【關(guān)鍵詞】
防火墻;企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)�����;實(shí)現(xiàn)
1前言
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,為企業(yè)提供了更多的發(fā)展平臺(tái)與業(yè)務(wù)渠道���,在一定程度上推動(dòng)了企業(yè)的快速發(fā)展�����。但在網(wǎng)絡(luò)技術(shù)不斷普及的今天�����,各種惡意攻擊�����、網(wǎng)絡(luò)病毒、系統(tǒng)破壞也對(duì)企業(yè)的網(wǎng)絡(luò)安全造成了較大的傷害���,不僅嚴(yán)重威脅到企業(yè)的信息安全��,而且給企業(yè)帶來(lái)較大的經(jīng)濟(jì)損失��,造成了企業(yè)形象的破壞�����。因此��,才需要使用防火墻技術(shù)��,通過(guò)防火墻網(wǎng)絡(luò)技術(shù)的安全設(shè)計(jì)�����,對(duì)各種病毒與網(wǎng)絡(luò)攻擊進(jìn)行抵御��,維護(hù)企業(yè)的信息安全���,促進(jìn)企業(yè)的健康穩(wěn)定發(fā)展�����。
2防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)原則
在企業(yè)防火墻的網(wǎng)絡(luò)安全設(shè)計(jì)中應(yīng)該遵循一定的原則��,即:全面��、綜合性原則���,也就是企業(yè)的網(wǎng)絡(luò)安全體系設(shè)計(jì)��,應(yīng)該從企業(yè)的整體出發(fā)���,對(duì)各項(xiàng)信息威脅進(jìn)行利弊權(quán)衡,進(jìn)而制定出可行性的安全防護(hù)措施�����;簡(jiǎn)易性原則��,主要是對(duì)于網(wǎng)絡(luò)安全設(shè)計(jì)���,既要保證其安全性���,又要保證其操作簡(jiǎn)便性,以免系統(tǒng)過(guò)于復(fù)雜而造成維護(hù)上的阻礙�����;多重保護(hù)原則能夠在建立多重的網(wǎng)絡(luò)安全機(jī)制�����,確保整個(gè)網(wǎng)絡(luò)環(huán)境安全���;可擴(kuò)充原則�����,主要是指在網(wǎng)絡(luò)運(yùn)用過(guò)程中��,要隨著新變化的出現(xiàn)��,對(duì)于之前的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行升級(jí)與擴(kuò)充�����;靈活性原則�����,也就是防火墻的網(wǎng)絡(luò)安全設(shè)計(jì)方案���,應(yīng)該結(jié)合企業(yè)自身網(wǎng)絡(luò)現(xiàn)狀及安全需求,采用靈活��、使用的方式進(jìn)行設(shè)計(jì)��;高效性原則��,也就是防火墻的網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)該確保投資與產(chǎn)出相符,通過(guò)安全性的設(shè)計(jì)解決方案��,避免重復(fù)性的投資���,讓企業(yè)投入最少的項(xiàng)目資金�����,獲得最大的收益��,有效維護(hù)企業(yè)的安全[1]���。
3防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)
防火墻為服務(wù)器的中轉(zhuǎn)站,能夠避免計(jì)算機(jī)用戶與互聯(lián)網(wǎng)進(jìn)行直接連接�����,并對(duì)客戶端的請(qǐng)求加以及時(shí)地接收�����,創(chuàng)建服務(wù)其的連接���,并對(duì)服務(wù)器發(fā)出的信號(hào)相應(yīng)加以接受��,再通過(guò)系統(tǒng)將服務(wù)器響應(yīng)信號(hào)發(fā)送出去�����,并反饋與客戶端���。
3.1防火墻加密設(shè)計(jì)
防火墻的加密技術(shù),是基于開(kāi)放型的網(wǎng)絡(luò)信息采取的一種主動(dòng)防范手段���,通過(guò)對(duì)敏感數(shù)據(jù)的加密處理�����、加密傳輸�����,確保企業(yè)信息的安全��。當(dāng)前的防火墻加密技術(shù)主要有非對(duì)稱(chēng)秘鑰與對(duì)稱(chēng)秘鑰兩種��,這種數(shù)據(jù)加密技術(shù)��,主要是對(duì)明文的文件���、數(shù)據(jù)等通過(guò)特定的某種算法加以處理��,成為一段不可讀的代碼�����,維護(hù)數(shù)據(jù)信息的安全�����,以免企業(yè)的機(jī)密信息收到外界的攻擊[2]�����。當(dāng)前的防火墻加密手段也可分為硬件加密與軟件加密��,其中硬件加密的效率較高���,且安全系數(shù)較高,而軟件加密的成本相對(duì)來(lái)說(shuō)較低���,使用性與靈活性也較強(qiáng)��,更換較為方便��。
3.2入侵檢測(cè)設(shè)計(jì)
入侵主要指的是外部用戶對(duì)于主機(jī)系統(tǒng)資源的非授權(quán)使用���,入侵行為能夠在一定程度上導(dǎo)致系統(tǒng)數(shù)據(jù)的損毀與丟失���,對(duì)于企業(yè)的信息安全與網(wǎng)絡(luò)安全會(huì)造成較大的威脅���,甚至導(dǎo)致系統(tǒng)拒絕合法用戶的使用與服務(wù)����。在防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)中���,應(yīng)該加強(qiáng)對(duì)入侵者檢測(cè)系統(tǒng)的重視�,對(duì)于入侵腳本����、程序自動(dòng)命令等進(jìn)行有效識(shí)別,通過(guò)敏感數(shù)據(jù)的訪問(wèn)監(jiān)測(cè)����,對(duì)系統(tǒng)入侵者進(jìn)行行為分析,加強(qiáng)預(yù)警機(jī)制,檢測(cè)入侵者的惡意活動(dòng)���,及時(shí)發(fā)現(xiàn)各種安全隱患并加以防護(hù)處理�。
3.3身份認(rèn)證設(shè)計(jì)
身份認(rèn)證主要是對(duì)授權(quán)者的身份識(shí)別���,通過(guò)將實(shí)體身份與證據(jù)的綁定����,對(duì)實(shí)體如:用戶����、應(yīng)用程序、主機(jī)���、進(jìn)行等加以信息安全維護(hù)����。通常�,證據(jù)與實(shí)體身份間為一種對(duì)應(yīng)的關(guān)系,主要由實(shí)體方向提供相應(yīng)的證據(jù)���,來(lái)證明自己的身份���,而防火墻的身份認(rèn)證則通相關(guān)的機(jī)制來(lái)對(duì)證據(jù)進(jìn)行驗(yàn)證���,以確保實(shí)體身份與證據(jù)的一致性。通過(guò)身份認(rèn)證�,防火墻便能夠?qū)Ψ欠ㄓ脩襞c合法用戶加以識(shí)別,進(jìn)而對(duì)非法用戶進(jìn)行訪問(wèn)設(shè)置����,維護(hù)主機(jī)系統(tǒng)的安全���。
3.4狀態(tài)檢測(cè)設(shè)計(jì)
訪問(wèn)狀態(tài)檢測(cè)�,是控制技術(shù)的一種���,其關(guān)鍵性的任務(wù)就是確保企業(yè)的網(wǎng)絡(luò)資源不受非法使用與非法訪問(wèn)���,是維護(hù)企業(yè)網(wǎng)絡(luò)安全的重要手段之一。防火墻的訪問(wèn)控制�,一般可分為兩種類(lèi)型:①系統(tǒng)訪問(wèn)控制;②網(wǎng)絡(luò)訪問(wèn)控制���。其中����,網(wǎng)絡(luò)訪問(wèn)控制主要是限制外部計(jì)算機(jī)對(duì)于主機(jī)網(wǎng)絡(luò)服務(wù)系統(tǒng)的訪問(wèn),以及控制網(wǎng)絡(luò)內(nèi)部用戶與外部計(jì)算機(jī)的訪問(wèn)����。而系統(tǒng)訪問(wèn)控制,主要是結(jié)合企業(yè)的實(shí)際管理需求���,對(duì)不同的用戶賦予相應(yīng)的主機(jī)資源操作�、訪問(wèn)權(quán)限�。
3.5包過(guò)濾數(shù)據(jù)設(shè)計(jì)
數(shù)據(jù)包過(guò)濾型的防火墻主要是通過(guò)讀取相應(yīng)的數(shù)據(jù)包,對(duì)一些信息數(shù)據(jù)進(jìn)行分析����,進(jìn)而對(duì)該數(shù)據(jù)的安全性、可信度等加以判斷���,并以判斷結(jié)果作為依據(jù)���,來(lái)進(jìn)行數(shù)據(jù)的處理。這在個(gè)過(guò)程中�,若相關(guān)數(shù)據(jù)包不能得到防火墻的信任,便無(wú)法進(jìn)入該網(wǎng)絡(luò)�。所以���,這種技術(shù)的實(shí)用性很強(qiáng),能夠在網(wǎng)絡(luò)環(huán)境下����,維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全,且操作便捷���,成本較低����。但需要注意的是����,該技術(shù)只能依據(jù)一些基本的信息數(shù)據(jù)�,來(lái)對(duì)信息安全性進(jìn)行判斷,而對(duì)于應(yīng)用程序����、郵件病毒等不能起到抵制的作用。包過(guò)濾防火墻通常需要在路由器上實(shí)現(xiàn)�,對(duì)用戶的定義內(nèi)容進(jìn)行過(guò)濾,在網(wǎng)絡(luò)層�、數(shù)據(jù)鏈路層中截獲數(shù)據(jù)����,并運(yùn)用一定的規(guī)則來(lái)確定是否丟棄或轉(zhuǎn)發(fā)各數(shù)據(jù)包���。要確保企業(yè)的網(wǎng)絡(luò)安全�,需要對(duì)該種技術(shù)進(jìn)行充分的利用���,并適當(dāng)融入網(wǎng)絡(luò)地址翻譯����,對(duì)外部攻擊者造成干擾�,維護(hù)網(wǎng)絡(luò)內(nèi)部環(huán)境與外部環(huán)境的安全。
4企業(yè)網(wǎng)絡(luò)安全中的實(shí)現(xiàn)
4.1強(qiáng)化網(wǎng)絡(luò)安全管理
用將防火墻技術(shù)應(yīng)用于企業(yè)的網(wǎng)絡(luò)安全中����,還需要企業(yè)的信息管理人員對(duì)于本企業(yè)的實(shí)際業(yè)務(wù)、工作流程����、信息傳輸?shù)冗M(jìn)行深入的分析,對(duì)本企業(yè)存在的信息安全加以風(fēng)險(xiǎn)評(píng)估����,熟悉掌握本企業(yè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)����,全民提高企業(yè)的信息安全���。另外����,企業(yè)信息管理人員還需要對(duì)企業(yè)的網(wǎng)絡(luò)平臺(tái)架構(gòu)進(jìn)行明確掌握���,對(duì)企業(yè)的未來(lái)業(yè)務(wù)發(fā)展加以合理的預(yù)測(cè)分析�,進(jìn)而制定出科學(xué)合理的網(wǎng)絡(luò)信息安全策略����。同時(shí),企業(yè)信息管理人員還需要對(duì)黑客攻擊方式與攻擊手段進(jìn)行了解���,做好防止黑客入侵的措施。
4.2網(wǎng)絡(luò)安全需求分析
企業(yè)的網(wǎng)絡(luò)安全為動(dòng)態(tài)過(guò)程�,其設(shè)方案需要結(jié)合自身的實(shí)際狀況加以靈活設(shè)計(jì),進(jìn)而提高設(shè)計(jì)方案的適用性����、安全性�,維護(hù)企業(yè)整個(gè)網(wǎng)絡(luò)的安全����。在對(duì)企業(yè)網(wǎng)絡(luò)需求進(jìn)行分析時(shí),還需要注重企業(yè)的應(yīng)用系統(tǒng)���、網(wǎng)絡(luò)訪問(wèn)系統(tǒng)����、網(wǎng)絡(luò)資源���、網(wǎng)絡(luò)管理實(shí)際[3]�。在應(yīng)用系統(tǒng)安全性設(shè)計(jì)中����,對(duì)于系統(tǒng)使用頻繁,提供服務(wù)資源的數(shù)據(jù)庫(kù)與服務(wù)器���,要在網(wǎng)絡(luò)環(huán)境下�,確保其運(yùn)行安全�,以免疏導(dǎo)惡意攻擊與訪問(wèn);而對(duì)于網(wǎng)絡(luò)訪問(wèn)設(shè)計(jì)應(yīng)具有一定的可控性,具備相應(yīng)的認(rèn)證與授權(quán)功能����,對(duì)用戶的身份加以識(shí)別,對(duì)敏感信息加以維護(hù)�,以免企業(yè)的核心系統(tǒng)遭到攻擊[4];網(wǎng)絡(luò)資源要確保其適用性�,能夠承載企業(yè)的辦公自動(dòng)化系統(tǒng)及各項(xiàng)業(yè)務(wù)的運(yùn)行使用,并保證網(wǎng)絡(luò)能夠不間斷地高效運(yùn)行���;同時(shí)����,針對(duì)網(wǎng)絡(luò)管理�,應(yīng)該具有可操作性,在安全日志與審計(jì)上進(jìn)行相關(guān)的信息記錄����,以免企業(yè)信息系統(tǒng)管理人員的日后維護(hù)。
4.3網(wǎng)絡(luò)安全策略的制定
要實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全����,還需要對(duì)企業(yè)的實(shí)際網(wǎng)絡(luò)安全需求進(jìn)行了解之后���,針對(duì)不同的信息資源���,制定出相關(guān)的安全策略�,通過(guò)各種系統(tǒng)保密措施����、信息訪問(wèn)加密措施、身份認(rèn)證措施等���,對(duì)企業(yè)信息資源維護(hù)人員相關(guān)的職責(zé)加以申請(qǐng)與劃分���,并對(duì)訪問(wèn)審批流程加以明確。最后���,還需要企業(yè)的信心管理人員對(duì)整個(gè)安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)����,通過(guò)監(jiān)控系統(tǒng)的安全漏洞檢查���,對(duì)威脅信息系統(tǒng)安全的類(lèi)型與來(lái)源進(jìn)行初步判斷����,通過(guò)深入分析,制定出完善是網(wǎng)絡(luò)安全防護(hù)策略[5]����。
5結(jié)束語(yǔ)
在互聯(lián)網(wǎng)環(huán)境下,信息資源的存儲(chǔ)量巨大����,運(yùn)行較為高效,不僅為企業(yè)帶來(lái)了較大發(fā)展空間���,也使企業(yè)的信心安全面臨巨大的威脅����。因此���,企業(yè)需要加強(qiáng)防火墻系統(tǒng)的建設(shè)����,提高對(duì)網(wǎng)絡(luò)安全系統(tǒng)的認(rèn)識(shí)���,通過(guò)有效措施����,加強(qiáng)防火墻的安全設(shè)計(jì),構(gòu)建一個(gè)相對(duì)穩(wěn)定的網(wǎng)絡(luò)環(huán)境�,維護(hù)企業(yè)的信息安全���,讓企業(yè)在可靠的信息網(wǎng)絡(luò)環(huán)境開(kāi)發(fā)更多的客戶資源�,以尋得健康���、穩(wěn)定����、持續(xù)的發(fā)展����。
作者:黃河鋒 單位:桂林自來(lái)水公司
參考文獻(xiàn)
[1]馬小雨.防火墻和IDS聯(lián)動(dòng)技術(shù)在網(wǎng)絡(luò)安全管理中的有效應(yīng)用[J].現(xiàn)代電子技術(shù),2016(02):42~44.
[2]范沁春.企業(yè)網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�,2015(07):74+77.
[3]秦艷麗.試談防火墻構(gòu)建安全網(wǎng)絡(luò)[J].電腦編程技巧與維護(hù),2016(06):78~80.
第7篇
【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計(jì)
一�、企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全需求
(一)企業(yè)網(wǎng)絡(luò)信息安全威脅分析
大部分企業(yè)在網(wǎng)絡(luò)信息安全封面均有一些必要措施,因?yàn)榫W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)部署不是一成不變的���,因此還會(huì)面臨一些安全威脅���,總結(jié)如下:
(1)監(jiān)控手段不足:企業(yè)員工有可能將沒(méi)有經(jīng)過(guò)企業(yè)注冊(cè)的終端引入企業(yè)網(wǎng)絡(luò)�,也有可能使用存在安全漏洞的軟件產(chǎn)品����,對(duì)網(wǎng)絡(luò)安全造成威脅。
(2)數(shù)據(jù)明文傳輸:在企業(yè)網(wǎng)絡(luò)中����,不少數(shù)據(jù)都未加密,以明文的方式傳輸���,外界可以通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)�、掃描竊取到企業(yè)的保密信息或關(guān)鍵數(shù)據(jù)���。
(3)訪問(wèn)控制不足:企業(yè)信息系統(tǒng)由于對(duì)訪問(wèn)控制重要性的忽視���,加之成本因素,往往不配備認(rèn)證服務(wù)器���,各類(lèi)網(wǎng)絡(luò)設(shè)備的口令也沒(méi)有進(jìn)行權(quán)限的分組�。
(4)網(wǎng)間隔離不足:企業(yè)內(nèi)部網(wǎng)絡(luò)往往具有較為復(fù)雜的拓?fù)浣Y(jié)構(gòu)���,下屬機(jī)構(gòu)多�,用戶數(shù)量多。但網(wǎng)絡(luò)隔離僅僅依靠交換機(jī)和路由器來(lái)實(shí)現(xiàn)���,使企業(yè)受到安全威脅����。
(二)企業(yè)網(wǎng)絡(luò)信息安全需求分析
企業(yè)信息系統(tǒng)中�,不同的對(duì)象具備不同的安全需求:
(1)企業(yè)核心數(shù)據(jù)庫(kù):必須能夠保證數(shù)據(jù)的可靠性和完整性�,禁止沒(méi)有經(jīng)過(guò)授權(quán)的用戶非法訪問(wèn),能夠避免各種攻擊帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)���。
(2)企業(yè)應(yīng)用服務(wù)器:重要數(shù)據(jù)得到有效保護(hù)���,禁止沒(méi)有經(jīng)過(guò)授權(quán)的用戶非法訪問(wèn),能夠避免各種攻擊帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)����。
(3)企業(yè)web服務(wù)器:能夠有效避免非法用戶篡改數(shù)據(jù),能夠及時(shí)發(fā)現(xiàn)并清除木馬及惡意代碼���,禁止沒(méi)有經(jīng)過(guò)授權(quán)的用戶非法訪問(wèn)����。
(4)企業(yè)郵件服務(wù)器:能夠識(shí)別并拒絕垃圾郵件,能夠及時(shí)發(fā)現(xiàn)并清除木馬及蠕蟲(chóng)�。
(5)企業(yè)用戶終端:防止惡意病毒的植入,防止非法連接����,防止未被授權(quán)的訪問(wèn)行為。
二����、企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)現(xiàn)
企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的,既有管理安全���,也有技術(shù)安全�,既有物理安全策略���,也有網(wǎng)絡(luò)安全策略���。結(jié)合上文的安全分析與安全需求,企業(yè)網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)科學(xué)的安全管理模式�,結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對(duì)整體網(wǎng)絡(luò)進(jìn)行有效分區(qū),可分為專(zhuān)網(wǎng)區(qū)�、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū),并部署入侵檢測(cè)系統(tǒng)與防火墻系統(tǒng),對(duì)內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進(jìn)行阻斷�。
在此基礎(chǔ)上,本文著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略:
(一)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備安全策略
隨著網(wǎng)絡(luò)安全形勢(shì)的日趨嚴(yán)峻����,不斷有新的攻擊手段被發(fā)現(xiàn),而這些手段的攻擊目標(biāo)也已經(jīng)從用戶終端����、服務(wù)器厭延展至交換機(jī)、路由器等硬件設(shè)施�。而交換機(jī)與路由器屬于網(wǎng)絡(luò)核心層的重點(diǎn)設(shè)備�,如果這些設(shè)備退出服務(wù),企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會(huì)面臨很大的威脅����。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。
最大化地關(guān)閉網(wǎng)絡(luò)交換機(jī)上的服務(wù)種類(lèi)����。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉,舉例來(lái)講:交換機(jī)的鄰居發(fā)現(xiàn)服務(wù)CDP���,其功能是辨認(rèn)一個(gè)網(wǎng)絡(luò)端口連接到哪一個(gè)另外的網(wǎng)絡(luò)端口���,鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息���,包括交換機(jī)端口與用戶終端的IP信息,網(wǎng)絡(luò)交換機(jī)的型號(hào)與版本信息����,本地虛擬局域網(wǎng)屬性等。因此���,本文建議在不常使用此服務(wù)的情況下���,應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外����,一些同樣不常使用的服務(wù),包括交換機(jī)自舉服務(wù)���、文件傳輸服務(wù)����、簡(jiǎn)單文件傳輸服務(wù)�、網(wǎng)絡(luò)時(shí)間同步服務(wù)、查詢(xún)用戶情況服務(wù)、簡(jiǎn)單網(wǎng)絡(luò)管理服務(wù)���、源路徑路由服務(wù)���、ARP服務(wù)等等。
企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實(shí)現(xiàn)對(duì)全網(wǎng)所有交換機(jī)����、路由器的配置與管理。眾所周知���,此協(xié)議使用的是明文傳輸模式����,因此在信息安全方面不輸于非?���?煽康膮f(xié)議�。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼,以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出�、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中����,應(yīng)引入安全性能更高的協(xié)議�,本文推薦SSH(Secure Shell Client)協(xié)議�。這種協(xié)議借助RSA生成安全性能極高的簽名證書(shū),通過(guò)該證書(shū)����,全部以SSH協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個(gè)應(yīng)該得到重視的問(wèn)題�,VTP應(yīng)配置強(qiáng)口令。
(二)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略
由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機(jī)在接入層連入網(wǎng)絡(luò)�,而網(wǎng)絡(luò)交換機(jī)屬于工作在ISO第二層的設(shè)備,當(dāng)前有不少以第二層為目標(biāo)的非法攻擊行為�,為網(wǎng)絡(luò)帶來(lái)了不容忽視的安全威脅。
二層網(wǎng)絡(luò)交換機(jī)使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的�。在網(wǎng)絡(luò)交換機(jī)加點(diǎn)之后,首選會(huì)清空CAM 表���,并立即啟動(dòng)數(shù)據(jù)幀源地址學(xué)習(xí)����,并將這些信息存入交換機(jī)CAM表中���。這時(shí)候����,加入非法入侵者通過(guò)偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu),便很容易導(dǎo)致網(wǎng)絡(luò)交換機(jī)CAM表溢出���,服務(wù)失效����。而此時(shí)便會(huì)導(dǎo)致該MAC的流量向交換機(jī)其他端口轉(zhuǎn)發(fā)�,為非法入侵者提供網(wǎng)絡(luò)竊聽(tīng)的機(jī)會(huì),很容易造成攻擊風(fēng)險(xiǎn)�。本文所推薦的策略是:網(wǎng)絡(luò)交換機(jī)的端口安全維護(hù)應(yīng)隨時(shí)打開(kāi);在交換機(jī)配置中設(shè)置其學(xué)習(xí)MAC地址的最大數(shù)目為1���;設(shè)置網(wǎng)絡(luò)交換機(jī)能夠存儲(chǔ)其學(xué)習(xí)到的全部MAC地址���;一旦網(wǎng)絡(luò)交換機(jī)的安全保護(hù)被觸發(fā),則丟棄全部MAC 地址的流量�,發(fā)送告警信息。對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行以上的配置���,一方面能夠防止基于交換機(jī)MAC地址的泛洪攻擊,另一方面也能對(duì)網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄����。
在成功阻止未知MAC地址接入的基礎(chǔ)上����,還應(yīng)阻止來(lái)自已知地址的攻擊���。本文推薦基于MAC限流的策略�,這是由于網(wǎng)絡(luò)交換機(jī)不必向所有端口廣播未知幀���,因此可以對(duì)未知幀進(jìn)行阻止���,增強(qiáng)網(wǎng)絡(luò)交換機(jī)安全性。
(三)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護(hù)策略
一般情況下�,企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)拓?fù)涞闹危驗(yàn)榭紤]到交換機(jī)通道的溝通�,加之系統(tǒng)冷、熱備份的出發(fā)點(diǎn)����,在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的,這就容易引發(fā)多個(gè)幀副本的出現(xiàn)�,甚至引起基于第二層的數(shù)據(jù)包廣播風(fēng)暴,為了避免此種情況的發(fā)生����,企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議�。而這種協(xié)議的效果則取決于交換機(jī)共享的BPDU信息�。這就為一些攻擊者提供了機(jī)會(huì),通過(guò)假冒優(yōu)先級(jí)低的BPDU數(shù)據(jù)包���,攻擊者向二層網(wǎng)絡(luò)交換機(jī)發(fā)送���。由于這種情況下入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)防火墻均無(wú)法生效,就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息���?��?梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡(luò)交換機(jī)啟用BPDU過(guò)濾器模塊。該模塊能夠控制此端口����,使其對(duì)BPDU數(shù)據(jù)包不進(jìn)行任何處理,加入收到此種類(lèi)型的數(shù)據(jù)包����,該端口將會(huì)自動(dòng)設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上�,在根交換機(jī)上引入鏈路監(jiān)控體系。一旦該交換機(jī)設(shè)備檢測(cè)到優(yōu)先級(jí)更高的 BPDU數(shù)據(jù)包�,則發(fā)出“失效”的消息,及時(shí)阻塞端口�。
(四)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護(hù)策略
在企業(yè)內(nèi)部網(wǎng)絡(luò)中,往往有著大量的終端機(jī)���,出于安全性與可靠性的考慮����,這些終端機(jī)均以動(dòng)態(tài)主機(jī)設(shè)置協(xié)議獲得自身的IP地址�。這就為Spoof 攻擊留下了機(jī)會(huì)。在這種攻擊中����,非法入侵者會(huì)將自身假冒動(dòng)態(tài)主機(jī)設(shè)置協(xié)議服務(wù)器,同時(shí)向用戶主機(jī)發(fā)出假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包����,導(dǎo)致用戶無(wú)法獲取真實(shí)IP,不能聯(lián)網(wǎng)���?���?梢圆捎玫姆婪洞胧椋阂雱?dòng)態(tài)主機(jī)設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機(jī)上安裝Snooping模塊并激活����,系統(tǒng)便會(huì)把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息���,并丟棄假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包�,從而防止Spoof 攻擊帶來(lái)的風(fēng)險(xiǎn)����。
考慮到地址解析協(xié)議在安全方面的防范性不足,加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包���,便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù)���,除去靜態(tài)綁定IP與MAC之外,本文推薦動(dòng)態(tài)ARP監(jiān)測(cè)策略�。此種策略會(huì)將交換機(jī)全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下����,端口將無(wú)法發(fā)出ARP的響應(yīng),因此,黨用戶主機(jī)染毒時(shí)���,其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄����,系統(tǒng)安全得到了保障����。
三���、結(jié)束語(yǔ)
企業(yè)信息系統(tǒng)亟需一個(gè)整體性的解決方案與安全策略���。本研究在闡述企業(yè)整體信息安全威脅與需求的基礎(chǔ)上,總結(jié)了企業(yè)網(wǎng)絡(luò)常見(jiàn)的安全問(wèn)題�,結(jié)合這些問(wèn)題進(jìn)行了信息安全策略設(shè)計(jì),并從網(wǎng)絡(luò)設(shè)備防護(hù)策略�、端口安全策略、BPDU 防護(hù)策略���、Spoof 攻擊防護(hù)策略四個(gè)方面對(duì)企業(yè)信息安全實(shí)現(xiàn)方法進(jìn)行了闡述���,設(shè)計(jì)了相關(guān)的安全策略。
參考文獻(xiàn):
[1]劉念,張建華�,段斌等.網(wǎng)絡(luò)環(huán)境下變電站自動(dòng)化通信系統(tǒng)脆弱性評(píng)估,電力系統(tǒng)自動(dòng)化�,2012,(8).
[2]王治綱����,王曉剛,盧正鼎.多數(shù)據(jù)庫(kù)系統(tǒng)中基于角色的訪問(wèn)控制策略研究.計(jì)算機(jī)工程與科學(xué)����,2011,(2).
[3]楊智君�,田地,馬駿曉等.入侵檢測(cè)技術(shù)研究綜述.計(jì)算機(jī)工程與設(shè)計(jì)���,2010���,(12).
[4]戚宇林,劉文穎�,楊以涵等.電力信息的網(wǎng)絡(luò)化傳輸是電力系統(tǒng)安全的重要保證.電網(wǎng)技術(shù),2009�,(9).
第8篇
[關(guān)鍵詞]信息 網(wǎng)絡(luò)安全 制度
一、概述
近年來(lái)大港油區(qū)各單位的信息化建設(shè)工作都在循序漸進(jìn)的進(jìn)行著����,接入油田網(wǎng)絡(luò)的電腦終端數(shù)量越來(lái)越多�,除了桌面電腦�、服務(wù)器、存儲(chǔ)���、路由器����、交換機(jī)……設(shè)備的大量增加以滿足辦公需要�,各種操作系統(tǒng)���、數(shù)據(jù)庫(kù)���、應(yīng)用系統(tǒng)……也在不斷地?cái)U(kuò)充。隨著這些硬件�、軟件、系統(tǒng)的廣泛應(yīng)用����,信息安全的重要性日益顯現(xiàn)。
二�、企業(yè)信息系統(tǒng)狀況
1.信息化整體狀況
(1)計(jì)算機(jī)網(wǎng)絡(luò)
該企業(yè)現(xiàn)有計(jì)算機(jī)240余臺(tái),通過(guò)內(nèi)部網(wǎng)相互連接,根據(jù)油田公司統(tǒng)一規(guī)劃���,通過(guò)交換機(jī)與外網(wǎng)互聯(lián)�。在內(nèi)部網(wǎng)絡(luò)中�,各計(jì)算機(jī)在同一網(wǎng)段,通過(guò)交換機(jī)連接�。
(2)應(yīng)用系統(tǒng)
隨著近年來(lái)整個(gè)大港油田信息化建設(shè)的不斷深入,各專(zhuān)業(yè)路的各項(xiàng)工作與這個(gè)網(wǎng)絡(luò)早已經(jīng)密不可分了�。2010年油田公司各專(zhuān)業(yè)部門(mén)新上線或升級(jí)的信息系統(tǒng)超過(guò)20余套,范圍涉及管理處生產(chǎn)���、安全���、經(jīng)營(yíng)、財(cái)務(wù)����、人事、勞資���、黨群等所有部門(mén)���,因此維護(hù)網(wǎng)絡(luò)的信息安全�,保障網(wǎng)絡(luò)高效���、穩(wěn)定運(yùn)行�,直接關(guān)系著管理處全年生產(chǎn)����、經(jīng)營(yíng)任務(wù)能否順利完成。
2.信息安全狀況
計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)�、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)����,不因偶然或惡意的原因遭到破壞���、泄露�,能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行���。
網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲(chǔ)和傳輸安全���。
信息安全是網(wǎng)絡(luò)安全中最重要的一部分,其它的東西在遭破壞后還可以重新恢復(fù)或補(bǔ)救����,而信息一旦丟失或者遭盜竊�,那帶來(lái)的損失就是無(wú)法估量的�。
三、網(wǎng)絡(luò)安全管理
對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部���,大量的安全威脅來(lái)自企業(yè)內(nèi)部有意或無(wú)意的不安全網(wǎng)絡(luò)操作����。歸結(jié)起來(lái)�,針對(duì)網(wǎng)絡(luò)安全的威脅主要有:
1.人為的無(wú)意失誤:如網(wǎng)絡(luò)用戶安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng)�,用戶口令選擇不慎,用戶將自己的賬戶隨意轉(zhuǎn)借他人或者與別人共享等���,這些行為都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅����。
2.人為的惡意攻擊:這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅�,此類(lèi)攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性����;另一類(lèi)是被動(dòng)攻擊�,它是在不影響網(wǎng)絡(luò)正常工作的情況下����,進(jìn)行截獲、竊取���、破譯以獲得重要機(jī)密信息���。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄露�。
3.網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”:網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)����。
隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)的安全性顯得非常重要�,這是因?yàn)閼延袗阂獾墓粽吒`取����、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^(guò)網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī)����,獲取儲(chǔ)存在主機(jī)上的機(jī)密信息����,或占用網(wǎng)絡(luò)資源�,阻止其他用戶使用等。
(1)RSW-防毒墻
防毒墻技術(shù)是通過(guò)IP過(guò)濾和服務(wù)器等軟件方法在企業(yè)內(nèi)部網(wǎng)和外部互聯(lián)網(wǎng)之間搭建一個(gè)網(wǎng)絡(luò)安全屏障���,即所謂的“墻”����,以保護(hù)企業(yè)內(nèi)部網(wǎng)中的信息數(shù)據(jù)�,只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。
(2)Symantec服務(wù)器
目前管理處網(wǎng)絡(luò)全面部署了Symantec網(wǎng)絡(luò)防病毒軟件,更好的保證防病毒系統(tǒng)的正常運(yùn)行,防止病毒的入侵���。Symantec(賽門(mén)鐵克)殺毒軟件����,包括Symantec AntiVirus即SAV系列����,Symantec Client Security即SMS系列,以及Symantec Endpoint Protection即SEP系列����,都是專(zhuān)門(mén)為企業(yè)級(jí)用戶定制的����。三個(gè)桌面安全系統(tǒng)均包括服務(wù)器端安裝程序和客戶端安裝程序�,由油田公司統(tǒng)一配置安裝,通過(guò)配置服務(wù)器端���,每臺(tái)客戶端都能通過(guò)服務(wù)器端及時(shí)更新���,服務(wù)器端通過(guò)網(wǎng)絡(luò)與Symantec升級(jí)服務(wù)器連接來(lái)進(jìn)行更新。
四����、加強(qiáng)網(wǎng)絡(luò)信息安全管理的辦法
1.規(guī)范網(wǎng)絡(luò)的使用管理
搞好計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理,思想是先導(dǎo)�,技術(shù)是保障,管理是關(guān)鍵����。因此,應(yīng)建立正規(guī)的管理秩序���。要嚴(yán)格落實(shí)各項(xiàng)網(wǎng)絡(luò)安全制度,各類(lèi)信息上網(wǎng)前要經(jīng)過(guò)嚴(yán)格審查���,要嚴(yán)格選配和管理網(wǎng)絡(luò)操作人員�,保證從事網(wǎng)絡(luò)信息工作的人員有較高的政治覺(jué)悟和強(qiáng)烈的責(zé)任心。
2.采取多種防范措施
技術(shù)問(wèn)題最終要靠技術(shù)來(lái)解決�。從根源做起,最重要的是注重計(jì)算機(jī)病毒���、惡意軟件的防范工作����。對(duì)計(jì)算機(jī)設(shè)置開(kāi)機(jī)登錄密碼���;安裝桌面安全系統(tǒng)�,并定期升級(jí)掃描計(jì)算機(jī)�;定期檢測(cè)計(jì)算機(jī)是否存在黑客工具、惡意軟件及瀏覽器惡意插件�;不安裝與工作無(wú)關(guān)的軟件等,一點(diǎn)一滴����,從細(xì)節(jié)做起,使每位網(wǎng)絡(luò)用戶意識(shí)到對(duì)自己的負(fù)責(zé)�,就是對(duì)企業(yè)的負(fù)責(zé),就是對(duì)整個(gè)企業(yè)網(wǎng)的安全負(fù)責(zé)。
3.加強(qiáng)專(zhuān)業(yè)隊(duì)伍建設(shè)
計(jì)算機(jī)網(wǎng)絡(luò)是高科技發(fā)展的產(chǎn)物����,保障一個(gè)企業(yè)安全平穩(wěn)運(yùn)行,做好網(wǎng)絡(luò)安全防護(hù)工作�,關(guān)鍵在人的素質(zhì)。而網(wǎng)絡(luò)管理是一個(gè)技術(shù)性很強(qiáng)的崗位�,對(duì)于從事網(wǎng)絡(luò)安全的人員來(lái)說(shuō),技術(shù)往往是不進(jìn)則退���。因此網(wǎng)絡(luò)管理員必須要不斷加強(qiáng)自身的業(yè)務(wù)知識(shí)學(xué)習(xí)�,面對(duì)難題才能游刃有余�。
五、總結(jié)
總之�,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)����、管理、使用等許多方面����,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施���,一種技術(shù)只能解決一方面的問(wèn)題�,而不是萬(wàn)能的���。因此只有完備的系統(tǒng)開(kāi)發(fā)過(guò)程�、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析����、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測(cè)試、綜合的防御技術(shù)實(shí)施���、嚴(yán)格的網(wǎng)絡(luò)安全制度����、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用�,才能完好、實(shí)時(shí)地保證信息的完整性和正確性�,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)――這才是營(yíng)造良好的網(wǎng)絡(luò)安全環(huán)境的唯一手段。
參考文獻(xiàn):
第9篇
關(guān)鍵詞:網(wǎng)絡(luò)安全�;防火墻;網(wǎng)絡(luò)管理�;VPN
一、 前言
我國(guó)的網(wǎng)絡(luò)安全產(chǎn)業(yè)經(jīng)過(guò)十多年的探索和發(fā)展已得到長(zhǎng)足了發(fā)展�。特別是近幾年來(lái),隨著我國(guó)互聯(lián)網(wǎng)的普及以及政府和企業(yè)信息化建設(shè)步伐的加快,對(duì)網(wǎng)絡(luò)安全的需求也以前所未有的速度迅猛增長(zhǎng)����,這也是由于網(wǎng)絡(luò)安全問(wèn)題的日益突出,促使網(wǎng)絡(luò)安全企業(yè)不斷采用最新安全技術(shù)�,不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品���,也進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展���。
二、 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)現(xiàn)狀
如果想從根本上克服網(wǎng)絡(luò)安全問(wèn)題�,我們需要首先分析距真正意義上的網(wǎng)絡(luò)安全到底存在哪些差距。
就目前而言�,企業(yè)的網(wǎng)絡(luò)安全還存在這樣或那樣的問(wèn)題,離真正的安全的網(wǎng)絡(luò)還有不可逾越的差距���。
1. 網(wǎng)絡(luò)安全管理體系不完善����,需要通過(guò)實(shí)施策略對(duì)流程進(jìn)行細(xì)化����,其它體系也需要按照網(wǎng)絡(luò)安全管理體系和流程要求不斷完善其內(nèi)容�。
2. 涉及網(wǎng)絡(luò)安全的各個(gè)層次�,特別是基層人員對(duì)網(wǎng)絡(luò)安全工作的重要性認(rèn)識(shí)不足,必須強(qiáng)化把網(wǎng)絡(luò)安全作為一項(xiàng)重點(diǎn)工作開(kāi)展���,并對(duì)如何開(kāi)展安全工作和需要做哪些安全工作、達(dá)到什么目標(biāo)有明確要求�。
3. 網(wǎng)絡(luò)安全管理組織不完整,現(xiàn)階段網(wǎng)絡(luò)/應(yīng)用系統(tǒng)的安全工作基本上由各維護(hù)單位和人員承擔(dān)�,安全責(zé)任相對(duì)比較分散,存在一定程度的安全責(zé)任無(wú)法落實(shí)到具體人的現(xiàn)象���。
4. 具有普及性的安全教育和培訓(xùn)不足����,人員信息安全意識(shí)水平不統(tǒng)一����。
5. 在物理與環(huán)境安全、系統(tǒng)和網(wǎng)絡(luò)安全管理���、系統(tǒng)接入控制方面仍然存在一定差距���,在安全策略���、安全組織、人員管理����、資產(chǎn)分類(lèi)控制、安全審計(jì)方面存在明顯不足����。
6. 防病毒系統(tǒng)沒(méi)有實(shí)現(xiàn)整體統(tǒng)一,存在防病毒的局部能力不足�。
7. 網(wǎng)絡(luò)/應(yīng)用系統(tǒng)防護(hù)上采取了防火墻等安全產(chǎn)品和硬件冗余等安全措施,但安全產(chǎn)品之間無(wú)法實(shí)現(xiàn)聯(lián)動(dòng)����,安全信息無(wú)法挖掘,安全防護(hù)效果低����,投資重復(fù),存在一定程度的安全孤島現(xiàn)象���。另外����,安全產(chǎn)品部署不均衡,各個(gè)系統(tǒng)部署了多個(gè)安全產(chǎn)品�,但在系統(tǒng)邊界存在安全空白,沒(méi)有形成縱深的安全防護(hù)���。
8. 對(duì)終端管理沒(méi)有統(tǒng)一策略���,操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁等沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和管理����。
9. 沒(méi)有應(yīng)急響應(yīng)流程和業(yè)務(wù)持續(xù)性計(jì)劃���,發(fā)生安全事件后的處理和恢復(fù)流程不足����,對(duì)可能造成的業(yè)務(wù)中斷沒(méi)有緊急預(yù)案���。
三���、企業(yè)網(wǎng)絡(luò)安全對(duì)策
現(xiàn)階段,為了保證網(wǎng)絡(luò)的正常運(yùn)行���,可采用以下幾種技術(shù)方法:
1.防范網(wǎng)絡(luò)病毒����。網(wǎng)絡(luò)病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒���,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品����。所以�,最好使用全方位的防病毒產(chǎn)品,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件����,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置����,通過(guò)定期或不定期的自動(dòng)升級(jí),使網(wǎng)絡(luò)免受病毒的侵襲����。
2.設(shè)置防火墻。利用防火墻在網(wǎng)絡(luò)通信時(shí)執(zhí)行一種訪問(wèn)控制尺度���,允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)���,同時(shí)將不允許的用戶與數(shù)據(jù)拒之門(mén)外�,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò)���,防止他們隨意更改���、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。
3.VPN: 企業(yè)規(guī)模的擴(kuò)大����,不同分支機(jī)構(gòu)之間的網(wǎng)絡(luò)連接既要考慮到安全可靠����,又同時(shí)要考慮到成本問(wèn)題,所有的網(wǎng)絡(luò)通訊均使用專(zhuān)線連接固然是安全�,但成本因素卻是無(wú)法回避的問(wèn)題。因而���,安全�、廉價(jià)的VPN技術(shù)應(yīng)運(yùn)而生并得到了廣泛的應(yīng)用����,通過(guò)在網(wǎng)絡(luò)邊界處架設(shè)VNP網(wǎng)關(guān)���,實(shí)現(xiàn)企業(yè)的分支機(jī)構(gòu)間通過(guò)Internet實(shí)現(xiàn)安全可靠的低成本連接。
4.采用入侵檢測(cè)系統(tǒng)�。入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),并限制這些活動(dòng)����,以保護(hù)系統(tǒng)的安全。內(nèi)部局域網(wǎng)采用入侵檢測(cè)技術(shù)���,最好采用混合入侵檢測(cè)�,在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)����,構(gòu)架成一套完整的主動(dòng)防御體系。
5.建立網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)�。在網(wǎng)絡(luò)的www服務(wù)器、E-mail服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)�,實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)���,截獲網(wǎng)上傳輸?shù)膬?nèi)容�,并將其還原成完整的www、E-mail�、FTP、Telnet應(yīng)用的內(nèi)容���,同時(shí)建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)����,發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容����,及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告,予以解決�。
6.利用網(wǎng)絡(luò)監(jiān)聽(tīng)并維護(hù)子網(wǎng)系統(tǒng)安全。對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲����,可以采用對(duì)各個(gè)子網(wǎng)建立一個(gè)具有一定功能的過(guò)濾文件���,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)���。設(shè)計(jì)一個(gè)子網(wǎng)專(zhuān)用的監(jiān)聽(tīng)程序,該軟件的主要功能是長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的過(guò)濾文件提供備份����。
7.安全技術(shù)培訓(xùn)
提供層次化的安全專(zhuān)題講座,包括安全技術(shù)基礎(chǔ)�、各操作系統(tǒng)安全、信息安全管理以及一系列培訓(xùn)�。
四、結(jié)論
綜合以上的分析����,我們可以得出一個(gè)結(jié)論:那就是企業(yè)當(dāng)前所面臨的安全形勢(shì)在變得更加嚴(yán)峻,不同種類(lèi)的安全威脅混合在一起給企業(yè)網(wǎng)絡(luò)的安全帶來(lái)了極大的挑戰(zhàn)�,從而要求我們的網(wǎng)絡(luò)安全解決方案集成不同的產(chǎn)品與技術(shù),來(lái)針對(duì)性地抵御各種威脅�。我們的總體目標(biāo)就是通過(guò)信息與網(wǎng)絡(luò)安全工程的實(shí)施,建立完整的企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)體系�,在安全法律、法規(guī)���、政策的支持與指導(dǎo)下���,通過(guò)制定客戶化的安全策略采用合適的安全技術(shù)和進(jìn)行制度化的安全管理,保障企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行���,確保企業(yè)與網(wǎng)絡(luò)資源受控合法地使用�。
參考文獻(xiàn):
[1]盧開(kāi)澄:《計(jì)算機(jī)密碼學(xué)—計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全》(清華大學(xué)出版社 1998)
[2]余建斌:《黑客的攻擊手段及用戶對(duì)策》(北京人民郵電出版社 1998)
[3]蔡立軍:《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》(中國(guó)水利水電出版社 2002)
