時間:2023-09-19 16:27:17
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全的重要性,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【 關鍵詞 】 企業網絡;安全管理;防護策略
1 引言
如今,經濟迅速發展帶動網絡技術的發展,企業網絡化管理被廣泛應用,給企業內部、企業與外界的聯系以及企業的管理帶來了便利,業務的靈活性被企業經營者廣泛關注,同時也發展了企業信息網絡。一系列諸如生產上網、辦公自動化、遠程辦公以及業務上網的新的業務模式得到了開發與發展。但是與此同時,網絡環境下的企業安全問題引發了管理者的擔心,能否創建安全穩固的企業網絡是企業管理者最為看重的問題,也逐漸變成一個企業能否正常運轉的前提。因此,運用切實可靠的網絡安全管理方法、提高網絡的安全防護能力已經企業一個重要研究的內容。
2 影響企業網絡安全的因素
網絡安全關系到許多方面,不但涉及到網絡信息系統自身的安全問題,而且囊括邏輯的和物理的技術策略等。WWW、TCP/IP、電子郵件數據庫、數據庫是當前企業網絡通用標準和技術,其廣域連接采用多種通信方式,大部分單位的系統被覆蓋。行業內部信息存在于企業網絡的傳輸、處理和存儲各個環節。這些信息資源的保護和管理以及確保企業網絡內部的各種信息在各個環節保持信息的完整、真實和防止非法截獲非常重要。
影響企業網絡安全的因素既有軟硬件的因素,也有人為的因素,既有來自網絡外部的,也來自網絡內部的,歸結起來主要有幾方面。
2.1 網絡硬件的安全隱患
網絡中的的拓撲結構還有硬件設備兩者均有對企業網絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業網絡中有各種各樣如應用軟件、操作系統的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業也由此蒙受巨大的損失,這樣的例子在現實生活中層出不窮。比如,一些不為人知的軟件研發者為了個人原因(升級或自便)而設置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計算機,篡改數據,后果不堪設想,損失更是不可估量;又如以方便快捷應用為目的的TCP/IP協議為網絡系統普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺,若是一些IT高手對此很了解,便可以輕松利用其缺陷攻擊網絡。
2.3 計算機病毒與惡意程序
網絡被普遍應用和告訴發展的時代,病毒傳播的主要途徑是網絡。一些企業的內部網絡很容易被蠕蟲、病毒侵入,其特點是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網絡安全領域,病毒問題一直難以從根本上解決,原因總結為兩點:其一,技術原因,殺毒軟件總是在病毒出現后給用戶或是企業造成巨大損失后更新,滯后性和被動性不言而喻;其二,用戶的安全防范意識不高,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件,給傳播病毒提供了機會,巨大的威脅了網絡安全。
2.4 網絡入侵
網絡人侵的意思是網絡攻擊者在非授權的情況下獲得非法的權限,并通過這些非法的權限對用戶進行非法的操作,獲得網絡資源或是文件訪問,入侵進入公司或是企業內部網絡,極大地危害計算機網絡,給社會帶來巨大財產或是信息損失。
2.5 人為因素
用戶安全意識淡薄,企業內局域網應用不規范。企業內網在實際運行中沒有限制,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業內網中,系統的安全應用收到影響;接入網絡沒有很好地限制,如沒有限制接入的人員、時間方面,隨意、隨時上網不但容易使系統容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統安全防范措施;管理措施不到位;復雜的用戶人群,很多不是本系統專業的工作者,約束和監管困難;衛星信號很容易就被泄密,在空中傳輸無限信號的過程中,無線信號很容易被黑客截獲并利用;在很多企業中,沒有制定規范的管理網絡和生產網絡的隔離措施,一旦管理網絡沾染病毒,生產網絡也很容易被傳染。
2.6 其它的安全因素
威脅網絡安全的因素還有很多,比如,傳輸過程中的數據很容易被電磁輻射物破壞;非授權的惡意刪除或攻擊數據、破壞系統;非法竊取復制或是盜用系統文件、資料、數據、信息,導致企業或是公司泄密等,其后果非常嚴重。
3 企業網絡的安全管理
企業網絡安全管理是保證網絡安全運行的基石,一些人為因素導致的網絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業應把建立健全企業網絡安全管理制度作為安全管理的重點,制定系統的安全管理方案,采取有效切實的管理政策。
企業的網絡管理主要從幾點努力。
3.1 健立健全企業規章制度
要保證網絡的相對安全,就務必制定詳細系統的安全制度,了解并認識網絡安全的重要性,一旦出現網絡安全事故,其相應處罰力度就必須嚴格按照處罰條例執行到位,絕不能姑息手軟。為了做到切實保證企業的機密不泄露,建立對應的詳細的安全保密制度勢在必行,管理者還要經常不斷檢查制度的實施情況。記錄出現違規的人員及情況、相應處罰情況、檢查的結果報告,做到今后有據可循,為以后出現類似情況提供管理依據。
3.2 樹立員工網絡安全意識
網絡安全工作要想做好,樹立企業工作人員的信息安全意識是首要任務,只有員工切身真正認識到信息安全對企業發展和前進的重要性,才能切實在實際工作中重視起來。企業要實常加強員工相應的信息安全的知識培訓,采用各種形式來增強員工的網絡安全意識,促使員工養成健康的使用計算機的習慣。
4 企業網絡安全防護措施
為了使企業網絡保持安全狀態,企業網絡的安全防護措施必須與其具體需求要相結合,整合各種安全方案,創立一個多層次、完整的企業網絡防護體系,在為企業網絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具,但安全風險是不可避免的也是必須承擔的;其二是要注意企業網絡的可訪問性以及安全性平衡的保持;其三是考慮安全問題是在系統管理的多個層次、多個方面都存在的。在企業網絡中,主要有幾種安全防護的措施。
4.1 防火墻技術
防火墻技術是當下一種被廣泛應用的也是最為流行的網絡安全技術,其核心主題是在外界網絡環境不安全的大前提下創建一個相對安全有保證的子網。防火墻能實時監測進出于企業網絡的通訊交流數據,允許安全合法的訪問的數據和計算機進入到企業網絡的內部,把非授權的非法的數據和計算機擋在網絡,企業內網及特殊站點應限制企業一般人員或是無關人員訪問,最大可能地阻止外部社會網絡中的黑客訪問鏈接企業內部的網絡,阻止或是制止他們復制、篡改、破壞重要的或是機密信息。所以,防火墻是一道屏障,是在被保護的企業內部網絡和社會外界網絡之間設置的,在網絡內部網絡合外部非授權的網絡之間,企業內部網不同的網絡安全環境之間,達到隔離和控制的目標,外部網絡的攻擊合截獲被有效控制。
4.2 數據加密技術
如果一些重要的機密的數據需要通過外部網絡傳送的,該數據的加密工作則需運用加密技術。防火墻技術以及數據加密技術兩者結合使用,增強網絡信息系統及內部數據的保密性和安全性,謹防外部破壞重要的機密數據。
4.3 入侵檢測技術
安裝入侵監測系統在企業內部網絡中,信息從企業內部計算機網絡中若干關鍵點中收集,并分析數據,從中檢查企業內部網絡中是否存在與安全策略相違背的行為或是入侵現象,如果檢測到可疑的未授權的IP地址,則來自此入侵地址的信息就會被自動切斷、同時給網絡管理員發送警告,企業內部動態的網絡安全保護就可以實現。
4.4 網絡蠕蟲、病毒防護技術
盡管無法避免來自蠕蟲、病毒對企業內部網絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒有危害。在企業內部網絡內,由于網絡節點不但存在于局域網中,又有接入到互聯網中的可能,一般的防護技術是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設計多層次阻止病毒體系。在企業安裝一般的常見的殺毒軟件時,通常要定時自動掃描系統,另外,用戶在收發郵件時一定要打開殺毒軟件的實時監控郵件病毒功能,實時地同步地對檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網絡版殺毒軟件,那么全部網絡環境中每一個節點的病毒檢測情況可以被企業網絡的安全管理員如實準確的掌握,當然越先進的防病毒產品或是技術效果也就越好。
4.5 系統平臺與漏洞的處理
網絡安全管理員可以運用安全漏洞掃描技術了解掌握網絡的安全設備和正在進行的應用進程,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞,盡快改正網絡安全系統存在漏洞和網絡系統存在的有誤差配置,防范措施應該在黑客攻擊之前提早進行。
5 結束語
企業網絡安全不是最終的目的,更恰當和準確地說只是一種保障。隨著企業自身的發展和規模的壯大,企業網絡的普及也是勢在必行,網絡安全管理變得也就越來越復雜,網絡的安全管理和防護是企業發展的一項重要和艱巨的任務。在執行維護網絡安全任務的同時,我們一定要注意把網絡安全防護技術、影響網絡安全的因素結合起來,制定有效的管理措施和技術方案,采取可行性高的防護措施,建立健全防護體系,增強企業內部員工的網絡安全意識,從源頭上解決網絡安全問題。
參考文獻
[1] 宋軍.淺談企業網絡安全防護策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國華,文開豐.企業信息安全防護策略的研究[J].電腦知識與技術,2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全,2012,(02):14-18.
[5] 黃俊強,方舟,王希忠.基于Snort-wireless的分布式入侵檢測系統研究與設計[J].信息網絡安全,2012,(02):23-26.
1企業網絡安全需求分析
1.1網絡安全概念及特征
網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。
1.2企業網絡安全面臨的主要問題
企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。
1.3企業網絡安全需求
企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性。基于此,要準確把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。
2企業網絡安全解決方案
2.1企業網絡安全方案設計原則
網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。
2.2企業網絡安全解決方案
2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示。互聯網域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。
2.2.4部署漏洞掃描系統方案漏洞掃描是基于漏洞數據庫,通過掃描檢測遠程系統或本地系統漏洞行為,與防火墻、IDS配合以提高網絡安全性,掃描對象包括網絡、主機和數據庫。漏洞掃描運用的技術有主機在線掃描、端口掃描、操作系統識別、漏洞監測數據采集、智能端口識別、多重服務檢測、系統滲透掃描等。漏洞掃描系統部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網絡結構,例如電子商務、中小企業等;后者適于復雜、分布點多、數據相對分散的網絡結構,例如政府、電力行業、金融行業、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統方案。
1 中小型企業網絡的安全目標
一般的中小型企業的局域網擁有十幾臺或者上百臺計算機。其中的Web、FTP、電子郵件、DNS等服務器應能被內外網絡的計算機所訪問,數據庫服務器一般只面向內部網絡,而所有的工作站都不能被外部網絡所訪問。局域網中的工作站有些可以訪問外部網絡,有些則不可以。局域網中的所有計算機都應能抵擋來自于外網的黑客或病毒的侵入。
2 中小型企業的網絡安全隱患
任何一個IP地址都會被攻擊。攻擊的形式多種多樣,主要有以下幾種:
2.1 網絡嗅探器
攻擊者通過嗅探器中途截走網絡上的數據流,對報文進行分析,破解出他們想要的信息,例如服務器的密碼或者電子郵件等。
2.2 IP欺騙
攻擊者制造一個假的IP地址,使接收者誤以為是局域網內的合法地址。
2.3 端口掃描
攻擊者通過在端口掃描,可以檢測出服務器上安全的脆弱方面。
2.4 密碼攻擊
通過多次的自動試探,獲取服務器的密碼。
2.5 拒絕服務攻擊
大量使用對方的網絡資源,使合法的用戶無法訪問網絡。
2.6 應用層的攻擊
應用層的攻擊有許多方式。系統中的許多服務軟件本身就含有安全方面的問題,然后這些被黑客利用發動攻擊。
3 制定安全策略的原則
網絡安全是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施。網絡安全的維護策略就是針對網絡的實際情況,在網絡管理中,對各種網絡安全采取的保護措施。網絡的環境不同,實施的策略也要依據具體情況來定。因此要根據網絡的具體應用環境制定出合理的安全策略。
3.1 系統性原則
網絡的安全管理擁有系統化的工作流程,必?考慮網絡的各個方面,比如網絡上用戶、設備等,并且采取相應的措施。不要錯過任何一個細節,一點點的錯失都會降低整個網絡的安全性。
3.2 簡單性原則
網絡用戶越多,網絡管理人員越多,網絡安全的管理工作就越復雜,采用的網絡軟件種類就越多,網絡提供的服務越多,出現安全隱患的可能性就越大,出現問題后解決問題的難度也越大。要有簡單的網絡,才會有安全的網絡。
3.3 適應性原則
隨著網絡技術的發展和迅速的變化,網絡用戶不斷增加,網絡規模不斷擴大,而安全措施是防范性的、持續的,所以制定的網絡安全維護策略必須適應網絡發展的變化,與網絡的實際應用環境相結合。
4 中小型企業網絡安全維護策略
4.1 網絡規劃時的安全策略
做網絡規劃時一定要考慮網絡的安全性,并且要實施一些安全策略。對于中小型企業網絡來說,網絡管理員是網絡安全責任人,所以明確網絡安全的責任人和安全策略的實施者。對中小型企業的局域網要集中管理網絡上的公用服務器和主交換設備。安全策略不可能保證網絡絕對安全和硬件不出故障。
4.2 網絡管理員的安全策略
對于中小型企業網絡,網絡管理員要承擔安全管理員的責任。網絡管理員采取的安全策略,最重要的是保證服務器的安全和分配好各類用戶的權限。網絡管理員必須了解整個網絡中的重要公共數據和機密數據有哪些,保存的地方,歸屬于誰,丟失或泄密會有什么后果,將這些重要數據集中在中心機房的服務器上,定期對各類用戶進行安全培訓。
設置服務器的BIOS,不允許從可移動的存儲設備啟動。通過BIOS設置軟驅無效,并設置BIOS口令。防止非法用戶利用控制臺獲取敏感數據,以及由軟驅感染病毒到服務器。取消服務器上不用的服務和協議種類。網務和協議越多安全性越差。系統文件和用戶數據文件分別存儲在不同的卷上,方便日常的安全管理和數據備份。管理員賬號僅用于網絡管理,不在任何客戶機上使用管理員賬號。對屬于Administrator組和份組的成員用戶要特別慎重。
鼓勵用戶將數據保存到服務器上。不建議用戶在本地硬盤上共享文件。限制可登錄到有敏感數據的服務器的用戶數。在出現問題時可以縮小懷疑范圍。一般不直接給用戶賦權,而通過用戶組分配用戶權限。新增用戶時分配一個口令,并控制用戶“首次登錄必須更改口令”,且最好新設置成的口令不低于6個字符,以杜絕安全漏洞。
4.3 網絡用戶的安全策略
網絡的安全不僅是網絡管理員的事,網絡上的每個用戶都有責任。網絡用戶應了解下列安全策略:
(1)將口令設置為8位數以上,不要將自己的口令告訴其他人。知道自己私有數據存儲的位置,了解如何備份和恢復。
(2)定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養成注意安全的工作習慣。
(3)為了不影響自己的機器安全,盡量不要在本地硬盤上共享文件。應將共享文件存放在服務器上,這樣比較安全也可以實現共享。
(4)設置客戶機的BIOS,不允許從軟驅啟動。
(5)設置有顯示的屏幕保護,并且加上口令保護。
(6)如果離開機器時間較長時,一定要退出網絡。
(7)安裝啟動時的病毒掃描軟件。
5月22日,國家互聯網信息辦公室消息,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度。該制度規定,關系國家安全和公共利益的重要技術產品和服務,應通過網絡安全審查。同月,出于對信息安全考慮,中央政府采購網《中央國家機關政府采購中心重要通知》,要求所有計算機類產品不允許安裝Windows 8操作系統。
這是2013年6月“美國斯諾登事件”曝光以來,信息網絡安全工作被我國政府提到一個新的國家戰略高度上的又一體現。此前的2月27日,中央網絡安全和信息化領導小組宣告成立。親自擔任組長,并在領導小組第一次會議上指出“沒有網絡安全,就沒有國家安全”。這彰顯出中國最高領導層在保障網絡安全、維護國家利益、推動信息化發展方面的決心。
信息網絡安全工作既是一項技術工作,又是一項管理工作,要做到技術手段和日常管理相結合。
五方面完善
鑒于信息網絡安全的重要性,我認為,安全管理要從如下五個方面進行完善,并不斷提高人們對于網絡安全重要性的認識。
第一,信息網絡安全要進行頂層架構設計。設計信息網絡安全的頂層架構,要從總體上把握好信息網絡安全工作。通過信息網絡安全的頂層設計,形成信息網絡安全策略的制定、運營的執行、監管控制和反饋的閉環體系,建立統一的信息網絡安全指標,規劃信息網絡安全職能和服務,特別要涵蓋身份識別與訪問、安全路徑和設施、數據安全等。
第二,突出信息網絡安全工作重點。信息網絡安全工作的突出重點和目的是保護數據資源安全。在數據收集、處理和應用的整個生命周期,防止數據資源的丟失以及非法竊取,設計數據級安全解決方案,與信息系統建設同步進行數據訪問和權限管理,對數據使用進行全過程管理和控制,包括數據的非法或非正常查閱、復制、篡改、刪除等。
第三,重視信息網絡安全組織和團隊建設。建立強有力的信息網絡安全組織和團隊,從組織上保證信息網絡安全工作體系落實到位。建立信息網絡安全專職隊伍,構建專門的信息網絡安全事件響應團隊,負責建立信息網絡安全技術基準、例外情況的正式批準、制定安全策略和指南、信息網絡安全事件的采集分析處理和響應等工作。
第四,建立全面的信息網絡安全報告溝通制度和懲戒機制。建立專門的信息網絡安全門戶、信息網絡安全教育網頁,正式的信息網絡安全年度報告,每月、每季度對內信息網絡安全報告,對信息網絡安全事件及時反饋溝通。對違反信息網絡安全規定、造成信息網絡安全事故的事件進行警示。加強信息網絡安全宣傳教育,全面提高員工的信息網絡安全意識。
第五,要定期開展內部模擬攻擊測試和應急響應演練。在企業內部定期開展網絡模擬攻擊測試,測驗員工安全意識和防范能力,檢測各種隱患漏洞,通過快速反饋和響應,提高信息網絡安全的應急響應水平。
三措施應對
在信息網絡安全的建設中,除了要有完善的管理制度外,還要有強大的安全技術的支持。鑒于目前的網絡安全狀況,企業應重點做好三個方面的工作。
一是對網絡行為要實施信息網絡安全實時動態監管,實時阻止非法訪問行為。
在信息網絡安全工作中,監管處于核心位置,除了要管好自家的“門”外,更要對進入“門”內的各種訪問行為進行實時監管。成立專門的計算機安全應急響應小組。該小組一方面跟蹤研究業界最新的安全動態,并實施最新的信息網絡安全防御技術等;另一方面綜合應用DNS(域名服務器)收集、防火墻、IPS(入侵防御系統)、用戶行為建模等工具,7×24小時不間斷地對公司網絡中的各種“例外行為”進行監管。
國內企業的大部分信息網絡安全事件是由于計算機病毒或木馬導致信息和數據失泄密,因此很強調“門衛”的作用。但僅僅重視“門衛”的預防而忽視對內網行為的實時監管,結果會讓非法訪問者一旦突破“門衛”進入企業內網,非法訪問者可以做任何事情而沒有人過問。對企業網中的一切訪問行為進行實時動態的監控,能實現更全面的信息網絡安全監管,只要有不合規的行為就可能在最短的時間內被發現并被阻止。
二是注重信息網絡安全系統的自學習能力,加強系統防御、發現和修復的能力建設。
隨著IT技術的飛速發展,企業網絡面臨越來越多的攻擊風險。新技術的不斷應用,導致攻擊的手段和方式也越來越隱蔽、越來越不易被發現。2012年Verizo數據泄露報告中,對企業網絡遭受惡意攻擊導致數據丟失甚至系統癱瘓,以及對發現攻擊并修復漏洞、恢復系統運行等所需要的時間做了統計,從統計數據中可以看出,受攻擊能夠在幾分鐘、幾個小時內就導致企業數據的外泄甚至系統癱瘓,而企業要發現這些攻擊并有效阻止這些攻擊則需要數周甚至數月的時間。這就讓企業的網絡、系統、信息長時間處于危險狀態,而且舊的漏洞被修復后攻擊者又會發現并利用新的漏洞,導致信息網絡安全人員疲于應付。
因此,企業需要有效利用信息網絡安全工具和手段,加強“防御-發現-修復”過程的自學習和自修復能力。即通過綜合開展有針對性監控,有效利用數據丟失預防(DLP)、DDOS(分布式拒絕服務攻擊)緩解、惡意軟件/代碼高級檢測、DNS域名系統記錄和分析、數據包捕獲/檢測(DPI)、遠程調查分析等工具,對各種行為數據進行分析處理,對網絡中的各種行為習慣進行自學習,在出現異常情況時采用全自動和人工干預的方式,“即時”控制異常行為。這相對于發現漏洞、等待修復的傳統方式,在時間上有了數量級的提高。同時,企業要不定期地通過實施實際的攻擊來檢驗網絡的自學習和自修復能力,不斷優化完善防御、發現和修復系統的自學習能力,并將相關優化建議直接應用到防御、發現和修復系統,提高防御、發現和修復系統的能力,形成良性循環。
三是有效應用“身份”安全的邊界支持信息系統應用。
IT新技術的快速發展和應用,對傳統的安全域隔離提出了挑戰。一方面,云計算讓“安全域”的邊界越來越模糊。另一方面,BYOD(攜帶自己的設備辦公)的移動應用讓終端的管理越來越難。
云計算和傳統方式相比具有很多優勢。但它的方便性和易用性也導致了企業網絡中不同的安全域逐步模糊了邊界,尤其是企業采用了“公有云”服務后,“安全域”已經無法界定清楚。而WIFI、3G、4G技術的發展,使員工越來越愿意使用PAD、智能手機等智能終端隨時隨地處理辦公業務,眾多終端通過不同的方式接入企業網絡,終端的管控越來越難,而且智能終端的便攜性也同樣面臨容易丟失等問題。
因此,在當前的云計算和移動互聯網環境下,“身份”是安全域的一個新邊界,也是企業信息網絡安全進行精細度控制的基準點。國內外基于“身份”的安全體系已經比較成熟,目前國內外基于“身份”的安全體系已經從CA(證書認證)發展到了4A(賬號、認證、授權、審計),國內各大銀行網銀系統的U盾就是典型的基于“身份”的4A應用,核心思想就是通過數字證書確保使用者身份的唯一性。但是,不論CA還是4A,一般都要求使用存儲了數字證書的“U盾”作為身份的唯一標識。
科技的進步,帶動了信息技術的日新月異的發展,信息安全對于企業來講關系著企業的核心資產,因此,加強信息安全的管理對于企業的發展有著至關重要的作用。就目前的現狀來看,諸多企業已經開始全面重視起自身的信息安全建設工作,雖然通過一系列信息安全產品的建設與維護能夠在某些方面起到作用,但仍有很多企業網絡的信息安全性并未有本質上的提升。對于企業來講,安全管理是一個系統的標準,有著較高的復雜性,因此,企業應當根據自身的特點,深入研究信息化進程當中的安全管理問題,而這也成為了當前時代背景下助推企業進一步發展的必由之路。由此可見,企業管理好計算機網絡安全是至關重要的,做好相應的應對機制,做到防患于未然是當下應當采取的必要措施。在這樣的基礎上,探討計算機網絡安全技術在企業網的應用對于企業實現可持續發展具有重要的指導意義。
1 基于信息化管理的企業計算機網絡安全概述
計算機網絡,顧名思義,就是指在網絡上進行一系列連接,通過信息數據之間的相互傳播最終達到資源共享的一個網絡化結構。回顧計算機的發展,其迅速十分迅猛,起初的計算機是運用在軍事上的,為了填補戰爭中在通信上的缺陷,計算機網絡由此誕生。基于計算機的網絡類型包括局域網和廣域網,其中應用最為廣泛的就是家庭局域網或者企業的局域網。其中城域網也是計算機網絡的重要組成部分之一,這種網絡是以城市,鄉村為主來進行的,供同一地區小范圍內的網絡使用,城域網以ATM技術作為骨干網,通過一個MAN網絡連接多個LAN網絡的方式來實現的[1]。計算機網絡還包含無線網,無線網絡的產品其中包含個人通信系統無線數據終端、便攜式可視電話、個人數字助理等。
信息化的技術是隨著科學技術不斷發展的產物,最早來自于上個世紀的后半葉,目前已經成為一項現代化的科學技術,是現代化生活中最主要的一種理念和方式,不僅深深地影響著人們的生活和改變著人們的生活、生產方式,更為國家社會和企業帶來了更高效的工作效率和管理效率。
我國的各個類型的企業可以說是促進我國經濟發展的重要支柱,也是社會主義市場經濟的重要組成部分,因此,發展各個類型的企業,是確保社會主義市場經濟健康發展的有效手段。在現代化社會的進程當中,企業的發展離不開信息化的管理,而這個過程又在充滿著機遇的同時面對著諸多嚴峻的挑戰,因此,加強企業信息化進程中的安全管理,充分認識到其中的困難,進而提出解決措施,是確保現代化企業不斷發展的有效動力。
2 基于信息化管理的企業計算機網絡安全現狀
一般來講,企業信息安全管理的隱患主要來源于信息網絡方面、人為方面、硬件設施和安全管理的隱患。其中主要包括病毒和黑客的入侵、人為操作不當造成的信息泄露、存儲的數據和備份等硬件設施安全隱患和管理意識淡薄等。
以上諸多因素可以歸納出目前企業信息化進程中的安全管理現狀及問題主要表現為幾個方面。(1)諸多企業由于自身的經營條件受限,缺乏相關的資金和技術投入,雖然對其的重要性有著一定的重視,但是仍然因為投資不足而導致硬件和軟件設備的開發和建設難以滿足企業實際的需求,因此也就難以實現企業信息化安全管理工作的有效落實。(2)缺乏相應的人才建設,人才對于企業的重要性顯而易見,企業不應當僅僅重視促進企業發展的人才建設,更應當重視技術人才的建設。(3)信息化安全管理機制的不完善,任何企業只要任何方面出現問題,都會涉及到制度建設的不完善。(4)就是企業對信息化安全管理的重視程度不足。(5)企業對于信息化安全方面的風險防御能力不夠,簡單的黑客入侵或者病毒的襲擊甚至都會造成信息系統的崩潰,而這也是由于技術人才不足所導致[2]。
3 影響企業計算機網絡安全的來源
3.1 黑客入侵
現在網絡上出現各種各樣的惡性攻擊,其中一部分是由于黑客入侵所造成的,黑客入侵是計算機網絡中風險較為常見的一種。有些黑客非法入侵用戶的電腦中,對用戶的網絡數據資料進行窺探,黑客入侵通常都是采用口令的進攻方式,對用戶的賬號密碼進行破解,對用戶的財產進行轉賬、刪除網絡用戶的重要文件資料等行為,為企業用戶的經濟財產帶來巨大的損失。
3.2 網絡病毒
網絡病毒的危害性眾所周知。網絡病毒的生成,是一個人為的過程,是以人為主導的一種“網絡環境破壞”,對于網絡病毒來說,其本質也是電腦程序中的一種,由相關的數據通過不同的表達順序,進而呈現出不同的破壞力,在互聯網這個大環境中,其經常會攻擊一些用戶的計算機(服務器),對這些網絡用戶的文件造成一定損害或者是直接刪除,并且在一定程度上影響到了計算機的運行過程,阻礙著網絡數據的傳播,更有一些網絡病毒破壞的更為徹底,當強行刪除病毒或者是開啟計算計的自我保護模式時,病毒會導致系統的崩潰[3]。
3.3 網絡詐騙
計算機的使用環境較為開放,這就給一些不法分子提供有機可乘的機會,不法分子可以針對各大企業的計算機網絡進行網絡詐騙,有些企業相關人員對計算機安全掌握不到位就及其容易的鉆進網絡陷阱之中,網絡詐騙形式的出現嚴重的威脅著計算機網絡的安全,會直接造成企業財產的損失,陷企業于困難的境地。
除此之外,最重要的一個危險因素就是企業內部計算機系統的安全性。眾所周知,計算機的運行主要依靠其本身的操作系統,也就是基本的程序,雖然現代化技術已經能夠實現為計算機程序進行及時的更新,但正是在此過程中容易出現一些技術方面的問題,成為威脅網絡安全的重要因素。
4 企業網中強化計算機網絡安全的相關技術分析
4.1 網絡防火墻技術
當前所有計算機應用的領域,不單是企業,很多個人用戶也在不斷提高著對計算機安全的重視程度,而防火墻技術的應用作為維護計算機安全的重要手段,應當更好地應用在企業網絡當中。在企業的網絡結構中,防火墻技術又分為包過濾防火墻和應用級防火墻兩種,前者能夠有效地起到對所傳輸的信息數據的過濾作用,以此方式來對病毒進行隔離,同時發出信號通知用戶對病毒進行人工攔截;后者的用途直接作為保護計算機網絡的安全,通過對終端服務器的掃描來發現并處理網絡攻擊行為。
4.2 數據的加密
數據加密技術也是一種常用的維護網絡安全的形式。在現代化企業的發展過程中,數據的加密是確保企業信息安全的一個有效途徑,這種技術的應用不應當僅僅局限于單一的加密,而應當通過綜合使用來實現加密的最大化安全保障。加密的形式通常有兩種算法,即對稱與非對稱算法,對稱加密就是只要密碼符合就能夠通過,而非對稱加密則要相對復雜,需要進行一些復雜的計算才能通過驗證,安全性較高。
4.3 殺毒技術
網絡病毒,可以說是當前對計算機安全性威脅最大的一個來源,因此各種殺毒軟件獲得了極其廣泛的應用。對此,企業應當要求相關人員及時檢測并更新計算機系統,最大程度避免網絡漏洞的出現。同時,還要加強企業員工的素質建設,避免私自下載無關軟件或瀏覽非正常網頁,安裝并及時更新殺毒軟件,確保計算機系統內所有文件的安全。
4.4 系統入侵的檢測
對于企業網的安全來說,入侵檢測技術水平至關重要。這種技術具有幾個方面的優勢。(1)能夠自動收集一切與計算機網絡相關的信息數據進行自動化檢測;(2)自動找尋系統當中可能存在的侵害行為;(3)受到侵害時能夠自動發出求救信號并同時切斷入侵通道;(4)有效攔截一切入侵[4]。由此可見,企業網的入侵檢測技術的本質就是實現對網絡運行的整體監控,通常基于主機與主網絡來進行智能化檢測,相比之下準確性和效率都較高。然而該技術也會在一定程度上影響到加密技術,也就是說,在入侵檢測的過程中,會或多或少地出現異常檢測和誤檢測情況,其中異常檢測主要針對整個計算機資源用戶和系統的各種行為,這種檢測方式極其容易出現誤報,在整個檢測的過程中又需要對整個系統進行全面的整體掃描,由此就需要耗費大量的時間,從而影響工作效率;而誤檢測一般針對已經確定的入侵模式來進行,相比之下,這種檢測方式檢測效率較高,也就是不僅速度快,同時還具有較高的準確率,唯一不足的方面與異常檢測一樣,均需要耗費大量的時間。因此,入侵檢測技術的應用,需要企業充分結合自身的實際情況來進行合理化選擇。
關鍵詞:網絡安全 防火墻 VPN
隨著計算機技術和網絡技術的高速發展,企業對計算機和網絡的需求也日趨增長,同時,網絡安全面臨著嚴峻的威脅。Ju-niper網絡公司發起的一項最新研究表明,在調研的中國企業中有63%在去年受到了病毒或蠕蟲攻擊,而41%的公司受到了間諜軟件和惡意軟件的攻擊,14%受到了黑客的攻擊。
面對日趨復雜的網絡安全威脅,各種安全技術也應運而生,如防火墻技術、VPN技術、IPSec技術、黑客技術、漏洞掃描和修復技術、入侵檢測技術、惡意代碼與計算機病毒防治、系統平臺安全及應用安全等。
1、中小企業網絡出現的安全問題
中小企業網絡一般會出現以下八種安全問題:第一、中小網絡經常受到各種各樣的攻擊,其中有SYNFLOOD、UDPFLOOD等DDoS攻擊。第二、企業Web服務器曾因為訪問可執行文件而中毒、癱瘓。第三、在外出差的員工無法安全快速的訪問公司的服務器。第四、公司員工瀏覽一些不安全網站,存在安全隱患。第五、公司員工使用P2P軟件,存在安全隱患;第六、公司員工安全意識較低,沒有定時查殺病毒,中毒機率高。第七、用戶使用的殺毒軟件沒有及時更新,導致殺毒軟件無法查殺最新的病毒,造成嚴重后果;第八、用戶沒有及時修復系統漏洞,導致很多基于漏洞的攻擊和病毒的入侵。
2、解決中小企業網絡安全問題采用的策略
雙防火墻策略
硬件防火墻作為企業內部網絡和外部網絡連接的第一道門,它的功能全面,能有效阻止非法的入侵和攻擊,ISAServer2004集成的軟件防火墻對Internet協議(如超文本傳輸協議(HTTP))執行深入檢查,能檢測到許多傳統防火墻檢測不到的威脅。硬件防火墻+ISAServer2004軟件防火墻,兩者各自發揮優點和特色,為構建更為安全的企業網絡打下堅實的基礎。
VPN策略
由于各種安全威脅層出不窮,讓我們防不勝防,那么如何讓企業員工在外面出差的時候安全的訪問企業內部網絡呢?ISAS-erver2004,提供了一種方法,就是通過建立VPN虛擬專用網絡,該方法需四個步驟,就可以啟用ISAServer2004中安全、快速的VPN服務器。這四個步驟是:(1)啟用VPN服務器;(2)配置遠程訪問屬性;(3)給予用戶撥入權限;(4)訪問規則。
病毒防治策略
計算機病毒的危害如下:阻塞網絡、破壞系統、破壞數據、感染其他計算機、泄露信息、消耗資源等等。筆者采用瑞星網絡版殺毒軟件,對客戶端的殺毒軟件進行實時的監控和管理,并為客戶端的殺毒軟件制定了一系列的防護病霉策略,做到實時監控、及時升級,定時查殺。
漏洞掃描修復策略
系統和軟件如果出現漏洞,就容易成為黑客、病毒、木馬等的攻擊對象。可見修復系統漏洞和及時升級軟件是多么的重要。瑞星殺毒軟件修復系統漏洞功能解決這一問題。在漏洞掃描設置頁面,設置啟用定時漏洞掃描并且設置掃描頻率、設置掃描漏洞的嚴重級別和自動安裝補丁程序等。還可以采取靜默安裝的方式,這樣就可在不干擾用戶正常工作的情況下自動進行安裝。
禁止企業內部訪問某些網站策略
要實現該策略的技術,必須在ISASERV-ER2004里面分兩大步驟:其一,對需要禁止上網的客戶建立一個地址范圍或者計算機集,然后為禁止這些用戶訪問的那些站點建立一個地址范圍或域名集;其二,在防火墻策略中新建一個訪問規則,阻止內部的這些計算機集訪問定義的外部站點地址范圍或域名集。
禁止企業內部用戶使用P2P軟件策略
目前,P2P軟件非常的流行,而且提供了多樣化的登錄方式,支持UDP、HTTP和HTTPS這三種登錄方式,ISAServer2004的深層HTTP檢查機制,可以快速簡單封鎖P2P軟件。封鎖P2P軟件的最好辦法是封鎖它的服務器IP,有些P2P軟件還可以使用HTTP登錄,所以,還得在ISAServer2004的H TTP檢查機制中設置禁止P2P的HTTP連接。
服務器上阻止對所有可執行文件的訪問策略
對于Windows2000/XP/2003下的攻擊,很多時候是以得到服務器Shel1為目標的,這就需要執行服務器上的Cmd. exe。如果禁止訪問服務器上的exe可執行文件,這樣類似的攻擊就不防而滅了。
ISAServer2004中的HTTP過濾策略是基于每條防火墻策略進行配置的,只要這防火墻策略中包含了HTTP協議,就可以配置該防火墻策略的HTTP策略。只要在阻止包含Windows可執行內容的響應打上勾就設置完成了。
員工安全培訓策略
當前網絡安全和計算機安全面臨著嚴峻的威脅,而這些威脅帶來的結果都是災難性的,如果員工的安全意識沒有提高,那自身的安全技術就得不到提高,網絡安全方案實施就會受阻,不安全因素就會大大地提高。因此提高員工安全意識的工作必須放在首位。
中小企業可以根據自己的實際情況制定培訓計劃,培訓內容主要包含有:第一、提高員工安全意識重要性;第二、了解目前網絡安全背景;第三、學習和運用各種安全技術。
3、結束語
面對日趨復雜的網絡安全威脅,單一的網絡安全技術和網絡安全產品無法解決網絡安全的全部問題,因此我們應根據實際應用需求,制定安全策略,綜合運動各種網絡安全技術來保障企業計算機和網絡安全。
參考文獻:
【1】袁津生,吳硯農計算機網絡安全基礎[M].北京:人民郵電出版社,2008
互聯網絡深入到生產生活的各方面,改變了傳統的生產模式,對促進生產力的提高發揮著重要的作用;中石化也正是看到了這一點,在近幾年加快了信息化建設的步伐。網絡也在不斷調整和優化,幾乎每個加油站網點都被納入公司局域網之內;而且陸續投入使用了ERP系統、V20系統、視頻監控系統、加油卡系統等。這些系統的推廣和使用對提高中國石化的生產、經營和管理水平發揮了很大的作用。隨著中石化信息化不斷深入,網絡安全已成為維持日常經營活動正常開展的前提。中石化網絡信息安全管理架構的形成,既是企業業務需求形成的結果,也是網絡安全領域向全方位、縱深化、專業化方向發展的結果,無論從經濟效益還是社會影響考慮,我們都應該重視我們企業的網絡安全管理及系統建設情況。
1 網絡安全的含義及特征
1.1 網絡安全定義
網絡安全指的是:為保證網絡正常平穩的運行,而采取使其免受各種侵害的保護措施。
1.2 網絡安全特征
1)完整性:指信息不能在未得到授權的情況下擅自修改,不能被破壞、信息確保完整和及時傳送,確保承載企業信息的網絡系統完整性和有效性;
2)機密性:指網絡能夠阻止未經授權的用戶讀取保密信息,能夠保證為授權使用者正常的使用,并能防止非授權用戶的使用,而且有防范黑客,病毒等;
3)可用性:要保證系統時刻能正常運行,確保各種業務的順利開展。
2 企業網絡安全的需求
企業對信息網絡安全方面的需求主要包含:
1)實現網絡安全首先要保證機房能為各種核心設備提供符合標準的運行環境,要有門禁系統、防火、防雷、防靜電、防潮、防鼠防蟲等設備,有冗余供電線路和后備電源甚至發電系統,有空調設備保證機房恒溫,每天定時巡檢,及時發現問題及時解決。
宿遷分公司機房于2009年底進行改造,改造后較改造前有較大改觀;但還存在一些問題,比如UPS電池組使用超過期限,防潮防鼠防蟲不到位,沒有冗余供電線路和發電設備等等;但這些問題相對于泗陽、泗洪、沭陽、黑魚汪油庫、南關蕩油庫來講就不是問題了,因為這三縣兩庫根本就沒有機房,網絡設備隨意堆放,沒有任何防護措施,人員可以隨意出入,網絡布線雜亂無章。不過省信息處已經意識到此問題,準備在兩個油庫建立標準化機房,希望盡快改造,早日消除風險。
2)要實現網絡安全首先要實現承載公司各種業務系統的操作系統的安全,這有許多工作要做,比如:及時升級系統補丁堵住漏洞,關閉不必要的端口,配置系統安全策略,有選擇性限制用戶對系統的使用權限等;這些一系列復雜的操作,要按期望的結果執行,則必須制定一定的規范,將所有需要執行的步驟程序化,這樣可以規范一線信息人員的操作行為,減少誤操作的可能性,為網絡安全奠定堅實的基礎。
3)公司關鍵業務數據必須按照內控要求及時備份,并定期對備份介質進行可讀性檢查;公司移動辦公用戶接入內網辦公時,數據需要加密傳輸;保證業務系統正常運行,即使在業務中斷情況下也能迅速恢復。
省公司在保證數據安全性方面并沒有統一的解決方案,這對一個企業來講是非常危險的,數據的價值對企業的重要性是不言而喻的,因此我們不僅要制定有效的數據丟失防范策略,而且還要有相應的設備的支持。
4)公司關鍵網絡設備應該有冗余線路和冗余設備,以便在網絡中斷或設備停止工作時能自動切換,保證系統平穩運行;但我們還是冷備,斷網時需要手動切換,存在單點故障,需要改進。
5)加強對系統操作人員的培訓,通過培訓加深相關人員對業務系統的理解和認識,從而可以減少誤操作可能性,最大程度減少內部原因引起的各種不穩定因素。對安全性要求較高的場合,采用數字證書等認證方式,代替傳統的不安全的用戶名口令授權模式。對業務系統和內部網絡進行嚴格監控,防止異常情況的發生,并在發現異常時能及時采取相應措施。
3 企業網絡安全現狀及主要威脅
3.1 來自企業內部的威脅
在所有對網絡安全造成威脅的事件中,來自企業內部的占絕大多數。據統計,來自企業外部的威脅只有不到1/4,而3/4以上的網絡安全威脅事件來自企業內部。且這些來自于企業內部的網絡安全事件中,源自企業內部制度不健全、安全意識較差等自身管理問題占3/5;企業內部未經授權的訪問所造成的威脅占1/5;剩下的1/5則是由于設備老化或者相關人員操作失誤而導致。
由此可知,源于企業內部的安全威脅所占比重最大,所以對企業內部采取必要的安全措施是非常必要的。內部員工了解公司網絡結構、數據存放方式和地點、甚至掌握業務系統的密碼。因此從內部攻擊是最難預測和防范的。另一方面商業競爭可導致更多的惡意攻擊事件的發生。特別是個別員工安全意識不高,有意或無意泄露企業商業機密、甚至為了謀取個人利益將其出售給競爭對手,最終給企業造成重大損失。
防范來自公司內部的威脅可以部署上網行為管理設備,它可以監控、規范并且記錄用戶的上網行為;根據不同的崗位設置不同的安全防護等級;甚至還可以防范DDOS、ARP攻擊等行為。因此我們認為要提高公司網絡安全和管理水平,很有必要部署此設備。
3.2 來自企業自身發展水平的威脅
首先,由于公司用車不便、信息人員較少等多方面的原因,我公司信息安全問題一直有較多隱患。出現問題有時無法及時排除,特別是省公司卡管系統最近問題極多,這不僅影響經營也影響公司在客戶心目中的形象。
其次,公司加油站OA電腦配置水平較低,而且運行較多業務軟件,如:OA系統、液位儀、視頻監控、桌面安全、Norton網絡版客戶端等,電腦運行不暢,經常發生停頓無響應甚至死機情況,這樣不僅無法防病毒,而且會影響業務,只會有反作用,而且絕大部分加油站OA電腦使用時間超過4年,已不適應業務發展的需求,建議升級。
第三,公司加油站及油庫都已經安裝視頻監控系統,但沒有相應的規章制度來合理使用此系統,因此無法起到對經營及網絡安全的提升和促進作用。
3.3 來自網絡黑客破壞和病毒的威脅
在互聯網高速發展的今天,相應的攻擊技術和黑客工具傳播很快,相關工具使用起來也變得非常容易;因此導致攻擊事件層出不窮。這些行為的出現還有較深層次的原因:首先是商業競爭導致的企業間為了各自利益而不顧道德和法律的約束,擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應策略打壓對方;其次,越來越多的年輕人掩飾不住好奇心紛紛加入黑客隊伍,他們以設計黑客程序,攻破預期目標為樂,以此炫耀自己的技術水平。
如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升,因此造成的損失也呈幾何級數增長。隨著我們網絡的發展和應用的深入,網絡上存儲大量的重要信息,甚至包括核心信息。一旦遭到破壞,輕者影響業務增加維護成本;重者造成信息泄露,業務中斷,企業無法正常經營。我們就曾經遭受過沖擊波、震蕩波、ARP病毒的攻擊,導致系統莫名重啟,無法聯網的情況;現在操作系統的漏洞層出不窮,我們應該防范于未然,充分利用現有的桌面安全管理系統和Norton防病毒系統,將問題消滅在萌芽狀態。
4 加強與完善企業網絡安全管理的對策與建議
4.1 建立網絡功能管理平臺
現在的網絡系統日益龐大,網絡安全應用中也有很多成熟的技術可借鑒和使用,如防火墻、入侵檢測、防病毒軟件等;但這些系統往往都是獨立工作,處于“各自為政”的狀態,要保證網絡安全以及網絡資源能夠充分被利用,需要為其提供一個經濟安全、可靠高效、方便易用、性能優良、功能完善、易于擴展、易于升級維護的網絡管理平臺來管理這些網絡安全設備。中石化江蘇分公司在2004年嘗試使用過HPOpen View網絡管理系統,它的強大的網絡管理功能和跨平臺性是非常獨到的,它不僅功能強大、使用簡單,而且很適合宿遷分公司的復雜網絡環境。
4.2 建立企業身份認證系統
傳統的口令認證方式雖然方便,但是由于其易受到竊聽、重放攻擊等的安全缺陷,因此這種方式已無法滿足當前復雜網絡環境下的安全認證需求。所以企業應盡量采用PKI的USB Key技術體系的身份認證。
中石化已經在2008年開始陸續在下屬分支公司的資金集中管理系統及OA簽章系統使用基于PKI的USB Key的認證系統;并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式,采用專人專號,集中申請和管理的方式,極大增強了安全性和保密性;這些安全的認證體系在提供身份認證的功能時,為企業的敏感通信和交易提供了一套信息安全保障,通過一定的層次關系和邏輯聯系,構建了用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統構成的綜合性安全技術體系,確保企業信息資源的訪問得到正式的授權,驗證資源訪問者的合法身份,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求,將企業網絡運行風險進一步細化,盡可能地減輕由于網絡安全管理風險給可能給企業造成的形象與經濟損失。
4.3 應用防病毒技術, 建立全面網絡防病毒體系
計算機網絡應用技術已經覆蓋企業生產經營方方面,各種信息設備在企業中扮演著重要的角色,因此保證它們安全穩定運行的要求變得很迫切。
江蘇石油分公司為了防止受到來自于多方面的威脅,特別是病毒的威脅。最大程度降低因病毒所造成的經濟損失,從2004年開始部署并在2009年升級了Norton網絡版防病毒系統,并采用多層的病毒防衛體系,在每臺PC機上安裝反病毒軟件,在網關上安裝基于網關的反病毒軟件,在服務器上安裝基于服務器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術,在網絡入口處檢查網絡通訊,根據企業設定的安全規則,在保護自身網絡安全的前提下,保障內外網絡通訊的暢通無阻。我們在網絡出口處安裝防火墻后,所有來自外部網絡的訪問請求都必須通過防火墻的檢查,內部與外部網絡的信息得到了有效的隔離,使得宿遷分公司網絡安全有了很大的提高;但由于投入使用的防火墻擴展性有限,隨著業務的擴展,它已經較難適應現在的業務需求,需要更換,否則會是一個較大的隱患。
4.4 建立完善的數據備份與恢復體系
保證網絡安全的前提是保證業務系統數據的安全,我們根據公司的業務特點和網絡現狀,建立了基于Linux的數據備份系統,既能保證公司業務系統數據(如:財務數據、FTP數據和瑞通換票系統數據等)和關鍵用戶數據能及時自動同步到專用服務器上,又能在系統恢復后把數據自動同步回來。此系統客戶端支持Windows、Linux。Mac,因此兼容性好,應用前景廣。此系統有專人管理并定期刻錄轉存備份的數據,定期對轉存的數據做可讀性測試并做好記錄,有力保證了數據和網絡的安全,在使用中起到了良好的效果,公司應該盡快在全省推廣此應用,讓數據丟失的悲劇永遠不要再發生。
4.5 健全安全管理制度和規范管理人員
要保證計算機網絡的安全性,首先管理工作必須到位;因為網絡管理也是計算機網絡安全重要組成部分。通過制定相應的規范并有配套制度能保證規范執行到位,這是維持信息化企業經營活動正常開展的前提。分公司信息站在這方面應該是執行者,引導并監督相關人員正確、規范執行。任何好的制度和措施,如果沒有很好的執行,也只能是空談;網絡安全方面也是如此,我們倡導“技術先行,管理到位” 的原則,這也正和內控制度相吻合。比如:使用門禁系統嚴格控制并記錄人員進出,機房每天定時巡檢、設備出入嚴格記錄并有負責人簽字;設備或網絡故障都有一套嚴格的響應機制和應急機制,確保及時發現,及時響應,及時處理;隨著這套機制在實踐中的逐步完善,我們的管理水平和網絡安全水平會有更大的提高。
對企業員工要強化宣傳,加強網絡安全教育和法制觀念教育,讓安全觀念和法制觀念深入人心,提高公司員工對網絡安全的認識和保護網絡安全的主動性。
4.6 重視對員工的培訓
網絡安全做的再好,如果缺少人的因素,也是沒有意義的;因此人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓,特別加強是對專業信息人員的培訓工作。目前的現狀是,公司缺乏系統的、長期的培訓計劃,無相應培訓經費,偶爾組織的培訓課程也都是走馬觀花,蜻蜓點水。信息人員每天都扮演消防員的角色,到處救火,疲于奔命,一直停留在較低層次水平。公司如果能有制定合理的人才發展規劃,讓信息人員的業務水平能有穩步提高,進而能主動發現問題,解決問題,將問題解決在萌芽狀態。而且信息人員素質的提高對業務的提升能起到推動性的作用,信息人員可以對一線員工進行培訓,提高他們對業務系統的操作能力,進而可以提升公司形象,最終形成良性發展模式。
5 結論
綜上所述,企業網絡安全領域以及網絡安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時,也應將網絡安全放在可以管理的范圍之內。企業信息化建設過程中雖然面臨眾多網絡安全威脅,但是如果通過一定的技術和管理手段,在安全的范疇內不斷探索和嘗試,并在實踐工作中學習和掌握新的網絡安全與管理知識,我們完全可以構建一個安全可靠的網絡環境,從而為企業的快速發展提供高效的服務。
參考文獻
[1]李立旭.淺析計算機網絡安全及防范[J].企業科技信息,2009(12).
[2]李明之.網絡安全與數據完整性指南[M].機械工業出版社,2009,10.
[3]胡道元.計算機局域網[M].北京:清華大學出版社,2008,7.
關鍵詞:等級防護;電力企業;網絡安全建設
中圖分類號: F407 文獻標識碼: A 文章編號:
引言
信息化是一把“雙刃劍”,在提高企業工作效率、管理水平以及整體競爭能力的同時,也給企業帶來了一定的安全風險,并且伴隨著企業信息化水平的提高而逐漸增長。因此,提升企業的信息系統安全防護能力,使其滿足國家等級保護的規范性要求,已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言,應等級保護要求,將信息管理網絡劃分為信息內網與信息外網,并根據業務的重要性劃分出相應的二級保護系統與三級保護系統,對三級系統獨立成域,其余二級系統統一成域,并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。
1現階段電力企業網絡風險分析
1.1服務器區域缺少安全防護措施
大部分電力企業的服務器都是直接接入本單位的核心交換機,然而各網段網關都在核心交換機上,未能對服務器區域采取有效的安全防護措施。
1.2服務器區域和桌面終端區域之間的劃分不明確
因服務器和桌面終端的網關都在核心交換機上,不能實現對于域的有效劃分。
1.3網絡安全建設缺乏規劃
就現階段的電力企業網絡安全建設而言,普遍存在著缺乏整體安全設計與規劃的現狀,使整個網絡系統成為了若干個安全產品的堆砌物,從而使各個產品之間失去了相應的聯動,不僅在很大程度上降低了網絡的運營效率,還增加了網絡的復雜程度與維護難度。
1.4系統策略配置有待加強
在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等,但在實際的網絡安裝調試過程中,往往只使用最寬松的配置,然而對于安全保密來說卻恰恰相反,要想確保系統的安全,必須遵循最小化原則,沒有必要的策略在網絡中一律不配置,即使有必要的,也應對其進行嚴格限制。
1.5缺乏相應的安全管理機制
對于一個好的電力企業網絡信息系統而言,安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施,很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言,其目的就是確保網絡的安全穩定運行,并且其自身應該具有良好的自我修復性,一旦發生黑客事件,能夠在最大程度上挽回損失。因此,在現階段的企業網絡安全建設工作過程中,應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。
2等級保護要求下電力企業網絡安全建設防護的具體措施
2.1突出保護重點
對于電力企業而言,其投入到信息網絡安全上的資源是一定的。從另外一種意義上講,當一些設備存在相應的安全隱患或者發生破壞之后,其所產生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它,顯然不滿足科學性的要求。因此,在保護工作過程中,應對需要保護的信息資產進行詳細梳理,以企業的整體利益為出發點,確定出重要的信息資產或系統,然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時,還可以使工作效率得到很大程度的提高。
2.2貫徹實施3層防護方案
在企業網絡安全建設過程中,應充分結合電力企業自身網絡化特點,積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上,實行分級、分域與分層防護的總體策略,以充分實現國家等級防護的基本要求。
(1)分區分域。統一對直屬單位的安全域進行劃分,以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。
(2)等級防護。遵循“二級系統統一成域,三級系統獨立成域”的劃分原則,并根據信息系統的定級情況,進行等級安全防護策略的具體設計。
(3)多層防護。在此項工作的開展過程中,應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。
2.3加強安全域劃分
安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分,可以實現以下目標:
(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言,其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護,是實現重點防護、分級防護的戰略防御理念。
(2)實現對于不同系統的差異防護。基礎網絡服務、業務應用、日常辦公終端之間都存在著一定的差異,并且能夠根據不同的安全防護需求,實現對于不同特性系統的歸類劃分,從而明確各域邊界,對相應的防護措施進行分別考慮。
(3)有效防止安全問題的擴散。進行安全區域劃分,可以將其安全問題限定在其所在的安全域內,從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中,還應充分遵循區域劃分的原則,將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域,并對其分別進行安全防護管理。在二級系統服務器域與桌面域間,采取橫向域間的安全防護措施,以實現域間的安全防護。
2.4加強對于網絡邊界安全的防護
對于電力企業的網絡邊界安全防護工作而言,其目的是使邊界避免來自外部的攻擊,并有效防止內部人員對外界進行攻擊。在安全事件發生之前,能夠通過對安全日志與入侵事件的分析,來發現攻擊企圖,在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。
(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻,以實現對于網絡邊界安全的防護。
(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中,應根據網絡邊界的數據流制定出相應的訪問控制矩陣,并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。
2.5加強對于網絡環境的安全防護
(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包,并通過相應的特征分析、異常統計分析等方法,及時發現并處理網絡攻擊與異常安全事件。在此過程中,設置相應的入侵檢測系統,能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率,從而為安全問題的取證提供有力依據。
(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下,對初始配置進行相應的優化,從而提高網絡系統的自身抗攻擊性。因此,在經過相應的安全評估之后,應及時發現其中隱藏的安全問題,對重要的網絡設備進行必要的安全加固。
(3)強化日志審計配置。在此項工作的開展過程中,應根據國家二級等級保護要求,對服務器、安全設備、網絡設備等開啟審計功能,并對這些設備進行日志的集中搜索,對事件進行定期分析,以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。
結語
綜上所述,對于現階段電力企業信息網絡而言,網絡安全建設是一個綜合性的課題,涉及到技術、使用、管理等許多方面,并受到諸多因素的影響。在電力企業網絡安全建設過程中,應加強對于安全防護管理體系的完善與創新,以嚴格的管理制度與高素質管理人才,實現對于信息系統的精細化、準確化管理,從而切實促進企業網絡安全建設的健康、穩步發展。
參考文獻:
[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).
關鍵詞:內網;安全;網絡;管理;措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內網安全的定義以及與外網安全的區別
既然要探討內網安全,首先要理解內網安全的含義,網絡安全主要包含兩部分,一個就是傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全;另一個就是內網安全,它是對應于外網而言的。主要是指在小范圍內的計算機互聯網絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司。內網上的每一臺電腦(或其他網絡設備)內部分配得到的局域網IP地址在不同的局域網內是可以重復的,不會相互影響。
外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。也就是說,網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范減小了黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。傳統的防火墻、人侵檢測系統和VPN都是基于這種思路設計和考慮的。
對眾多大型企業而言,隨著業務的發展,用戶希望ERP、OA、Intranet、互聯網在一張網上實現,能夠同時使用有線、無線網絡,在一個網絡上實現Web、即時通信、協作、語音、視頻的融合。外網在某種程度上已經成為了內網的一部分。而隨著移動辦公的興起,安全的邊界越發模糊,筆記本電腦、手機都成為了企業OA網絡中的一部分,而這也增加了內網安全的管理難度。
內網安全的威脅模型與外網安全模型相比,更加全面和細致。它假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何―個節點上。 所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者進行細致的管理,實現―個可管理、可控制和可信任的內網。
由此可見,相比于外網安全,內網安全具有以下特點:
1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系。
2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理。
3)對信息進行生命周期的完善管理。
2 內網安全的威脅
在所有的安全事件中,有超過70%的安全事件是發生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢。因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環境為主、節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。
在實際應用當中,內網安全的威脅主要來自以下幾個方面:
1)移動設備(筆記本電腦等)和新增設備未經過安全過濾和檢查違規接入內部網絡。未經允許擅自接入電腦設備會給網絡帶來病毒傳播、黑客入侵等不安全因素;
2)內部網絡用戶通過調制解調器、雙網卡、無線網卡等網絡設備進行在線違規撥號上網、違規離線上網等行為;
3)違反規定將專網專用的計算機帶出網絡進入到其它網絡;
4)網絡出現病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發生后,網管一般通過交換機、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;
5)大規模病毒(安全)事件發生后,網管無法確定病毒黑客事件源頭、無法找到網絡中的薄弱環節,無法做到事后分析、加強安全預警;
6)靜態IP地址的網絡由于用戶原因造成使用管理混亂、網管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網絡中IP分配情況;
7)針對網絡內部安全隱患,自動檢測網絡中主機的安全防范等級,進行補丁大面積分發,徹底解決網絡中的不安全因素;
8)大型網絡系統中區域結構復雜,不能明確劃分管理責任范圍;
9)網絡中計算機設備硬件設備繁多,不能做到精確統計。
以上問題其實可以歸到兩個基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎IT設施即計算機是可用的;而管理方面,則保證企業或都說組織的計算機是用來工作的,規范計算機在企業網絡里邊的行為。
3 加強內網安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經逐漸達成共識,但如何將安全管理規章和技術手段有效的結合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰。安全關注的趨勢由外而內,由邊界到主機,由分散到集中,由系統到應用,由通用到專用,由分離到整合,由技術到管理。從實際工作出發和借鑒兄弟單位成功經驗,我總結了加強內網安全的措施如下:
1)按照企業的管理框架,根據不同的業務部門或子公司劃成了不同的虛擬網(Vlan)。通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網絡范圍內廣播包的傳輸,提高了網絡的傳輸效率,同時,由于各虛擬網之間不能直接進行通訊,而必須通過路由器轉,為高級的安全控制提供了可能,增強了網絡的安全性,也給管理帶來了極大的方便性。特別是核心業務和重要部門根據安全的需要劃成了不同的虛擬網,采用完全隔離或者相對隔離的措施,保證了核心業務和重要部門的安全性。
2)對企業網絡的物理線路進行規范化管理。按照區域、樓層、配線間、房間、具置規范化管理編號的原則,把所有的網絡線路編號,套上清晰的線標,配置可網管的交換機。同時對交換機、配線架、電腦等設備的物理配置、存放的具置以及電腦的軟件系統和系統配置等基礎數據進行詳細的登記,同時還對IP地址進行統一管理,把電腦的IP地址、MAC地址、使用人和各種基礎數據進行關聯,當網絡或者電腦發生故障時,網管們能夠通過基礎數據管理系統實現快速定位、快速排查故障,極大地提高了網管們解決故障的工作效率。
3)部署桌面安全管理系統。企業部署一套桌面安全策略管理系統,是一個面向IT領域建設的專業安全解決方案。它采用集成化網絡安全防衛體系,通過多種技術手段的融合幫助整個企業有效達成在物理訪問、鏈路傳輸、操作系統、業務應用、數據保護、網間訪問和人員管理等方面的安全策略制定、自動分發和自動實現,減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。終端安全管理是基礎,它解決了終端計算機經常為病毒、木馬困擾的問題,幫助管理員智能安裝系統與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權管理與控制”。
4)部署防病毒系統。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業防病毒系統是最有效的解決辦法。防毒系統內嵌病毒掃描和清除、個人防火墻、安全風險檢測與刪除,可以檢測、隔離、刪除和消除或修復間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風險造成的負面影響。通過防毒系統中心控制臺可以集中管理客戶端,統一部署防護策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。另外,還可以通過病毒隔離區控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離。
5)部署網絡管理系統。隨著企業網絡規模的擴大,交換機、服務器的數量也逐漸增多,如何管理監控重點設備、服務器的運行情況,不是一件容易的事。為此部署一套網絡管理系統,可對網絡、系統以及應用進行全面的監視。它可以提供完整的故障管理和性能管理功能,能自動發現網絡主動監視網絡、系統和服務器并將關鍵參數保存在數據庫中。通過綜合控制臺可實現對路由器、交換機、服務器、URL、UPS無線設備以及打印機等性能的監視,不僅提供了網絡設備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現給操作者。
6)部署安全管理系統(SOC)。為了讓管理人員能夠實時了解網絡中動態和事件,滿足不斷變化的網絡安全管理(網絡設備、服務器、應用程序、應用服務、安全設備、操作系統、數據庫、機房環境等發生的故障、超閥值行為、安全事件統稱為網絡安全問題)的要求,需要有一套專門的安全管理系統來完成。網絡管理系統是從事件驅動的目的出發強調系統運維、系統故障處理和加強網絡的性能三個方面的內容。與網絡管理系統不同,安全管理系統最重要的是對威脅的管理,它的側重點關注在三個層次上:資產層面,關注安全威脅對業務及資產的影響;威脅層面了解哪些威脅會影響業務及資產;防護措施層面怎樣防護威脅,保護業務及資產。一句話概括,就是安全管理是從保護業務及資產的層面進行的風險管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進行備份。在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
9)密鑰管理。在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。
4 結束語
當然為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。七分管理,三分技術。管理是企業網絡安全的核心,技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。
參考文獻:
關鍵詞局域網;信息安全
中圖分類號TP393文獻標識碼A文章編號1673-9671-(2010)042-0026-01
0引言
企業局域網是指局在企業范圍內由通過網絡設備和通信線路連接起來由多臺計算機。企業局域網是自治的計算機網絡,一般只對企業內部提供資源共享、信息傳遞功能,實現電子郵件、內部網站、企業辦公自動化等應用。
近年來我國企業信息化發展迅速,企業局域網作為信息化的基礎更是得到普遍應用,有中小企業的幾臺計算機簡單聯接,也有大型企業在全國乃至全球范圍內通過通信專線或虛擬專用網(VPN)實現的成千上萬臺計算機聯網。雖然企業局域網在規模和實現技術上差異很大,但其面向企業內部提供信息服務的功能是一致的。
1信息安全的主要內容和目標
信息安全是指信息網絡的硬件、軟件及系統中的數據受到保護,不受偶然的或者惡意的原因而找到破壞、更改或泄漏,信息網絡服務不中斷的可靠運行。信息安全的實現包含三個層次:①物理安全層次,包括機房,線路,主機等的實體安全,如防盜防火;②網絡安全層次,主要是網絡的安全暢通和保密;③應用安全層次,各類服務應用的安全可用。
信息安全目標就是保證信息網絡的安全可用,具體來看則包括以下幾點:①信息來源真實性,能對信息來源進行鑒別,能夠判斷偽造信息來源;②信息安全保密性,保證機密信息不被泄漏;③信息數據完整性,保證信息數據的一致性,防止非法篡改;④信息服務可用性,保證信息、資源或服務能為合法用戶連續正常使用;⑤防抵賴性,使用戶不能否認其行為,這點在電子商務中尤其重要;⑥信息可控性,能夠有效控制信息的內容和傳播;⑦可審查性,出現信息安全問題時能提供調查依據和手段。
2企業局域網信息安全風險
隨著企業局域網應用的增加,很大的提高了企業的生產率,同時企業對局域網的依賴也越來越強。很多企業局域網一旦中斷,整個業務都將陷入癱瘓。實際使用中企業局域網信息安全面臨著多種多樣的挑戰,主要的安全風險可以歸結為以下幾類:
1)主動網絡攻擊。來自對企業有惡意的實體對企業局域網發動的主動的網絡攻擊。惡意的實體包括有商業競爭的對手公司,企業內部有仇恨情緒的員工,甚至對企業持不滿態度的顧客等,出于獲得不當利益或報復情緒都可能對企業網絡進行破壞與竊密。另外還有一類可能本身與企業沒有直接利益關系的群體,他們試圖通過對企業局域網的入侵或攻擊來證明其個人價值、使用企業內部信息牟取非法利益更或者通過攻擊企業局域網進行網絡敲詐。
2)病毒木馬的擴散。如今的計算機網絡世界,病毒和木馬泛濫,每一天都會有成千上百種病毒或者木馬產生。而在很多企業局域網中,安全技術力量不足,信息安全管理松散、員工安全意識淡薄等問題廣泛存。隨著企業局域網與網外數據交流聯系日益緊密,病毒木馬更容易在企業局域網內傳播并造成危害,嚴重時甚至有可能造成整個企業網絡的中斷,導致企業業務不可用。病毒木馬擴散類安全風險,危害方式多種多樣、技術特性發展變化迅速、危害多發易發、后果可輕可重。
3)非技術安全風險。非技術安全風險是指諸如員工誤操作、偶然事故等造成的企業局域網信息安全風險。由于目前企業員工普遍存在安全知識缺乏、安全意識薄弱、偶爾操作過程不夠謹慎仔細,很可能造成誤操作或信息泄漏。偶然事故類則包含軟硬件設施的偶然故障,電力供應中斷,網絡服務線路故障等等。
3企業局域網安全解決方案
企業局域網安全技術是應對企業局域網面臨信息安全的風險發展起來多種技術,可以采用以下方案應對網絡安全:
1)邊界安全防護技術。應用于企業局域網邊界進行保護的安全技術,用于阻止來自外部網路的各種主動。包含防火墻、入侵檢測、應用網關、防非法外連接、邏輯隔離、物理隔離、信息過濾等技術。
2)防火墻技術。防火墻是目前局域網信息安全最主要的手段之一,是一種計算機硬件和軟件相結合的技術,該技術通過監測、限制,更改跨越防火墻的數據流,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源。
3)入侵檢測技術。入侵檢測(Intrusion Detection)是對局域網入侵行為的檢測。它通過收集和分析網絡行為、安全日志、審計數據、其它網絡信息,檢查網絡中是否存在違反安全策略的行為和被攻擊的情況。入侵檢測是一種主動安全防護技術,提供對內部攻擊、外部攻擊和誤操作的實時保護,是防火墻之后的第二道安全閘門。
4)安全審計技術。安全審計技術及時發現并記錄各種與安全事件有關的行為,根據安全策略,對發現的安全事件作出處理。為企業局域網運行過程中,提供審計支持。
5)容災容錯技術。通過對重點網絡設備、重要數據或應用的進行資源冗余與備份,確保信息系統不間斷運行和對故障的快速處理和恢復。主要有熱備份,網絡復用等技術。
6)網絡監控技術,是實現對局域網內的計算機和網絡設備運行情況進行監視和控制,針對網絡設備運行情況、計算活動情況進行監視和管理,確保網絡資源的正常合法使用,并針對異常情況及時干預的技術。
7)數據加密技術。加密技術是是最常用的安全保密手段,即按照一定算法將重要的數據變為亂碼(加密)進行保存或傳送,使用數據時再用相同或不同的手段還原(解密)的技術。加密技術的兩個要素是算法和密鑰。加密技術分為對稱加密技術(加密和解密密鑰相同)、非對稱加密技術(加密和解密密鑰不同)兩種。
8)身份鑒別技術。確認實體身份真實性的技術。鑒別技術分為三種:掌握信息鑒別,如口令鑒別等;生物特征鑒別,如指紋識別等;擁有物品鑒別,如口令卡、數字證書等。
9)訪問控制技術。通過對主體的資源訪問進行控制實現信息安全的技術。主要訪問控制技術有:自主訪問控制(DAC)、強制訪問控制(MAC)、基于角色的訪問控制(RBAC)。
10)安全管理技術。只從企業局域網的設計、建設、使用過程中圍繞網絡安全采用的管理手段。尤其是在使用過程中的安全管理計劃設置、管理機構和人員配備、各種必要的規章制度、人員的審查與管理、人員培訓、考核與操作管理、安全系統分等級管理更是企業局域網安全實現的必須條件。
4結束語
隨著網絡技術的發展,企業局域網的應用將更加廣泛,同時所面臨的安全風險也越來越大。只有重視企業局域網網絡安全、采用先進網絡安全技術、加強網絡安全管理才能發揮企業局域網的作用。
參考文獻
[1]卜麗芳,鄧曉衡.網絡信息安全與防范.常德,科技通訊,2009.
[2]陳樹平.網絡安全技術現狀與防火墻技術探討.邯鄲:信息技術,2009.
[3]羅繼海.淺析企業信息系統的安全與防范措施.南寧:企業技術開發,2009,10.
關鍵詞:計算機信息化 網絡 安全 中小企業 管理 防范
1 概述
網絡安全伴隨著計算機網絡的出現已經成為了一個伴隨每個網絡用戶永恒的問題。黑客們長期以來不斷的分析系統和應用系統,以更多的發現系統存在的漏洞,并通過編寫相應的腳本對其加以利用。安全廠商面對這些不斷發展安全威脅,也不斷的推出了新的安全防范技術和產品,如:防火墻、入侵檢測防御系統、殺毒軟件、反間諜軟件以及過濾內容和垃圾郵件等產品。此后,各個網絡用戶跟隨著安全廠商的步伐不斷的將這些安全產品疊加到自身的網絡結構、服務器和工作站上。但與此同時需要網絡用戶解決的還有很多問題,如:為了充分發揮他們的作用,如何建立一個有效的安全防范策略以及如何妥善管理這些設備并且如何計算安全防范的投資回報率等。
我們必須承認,中小企業在網絡安全方面的認識、投入和實施的案值相對以前的防范措施都有了很大的進步。但是相比以前,是否目前的中小企業網絡就更加安全呢?但是針對這個問題,由于網絡威脅隨著計算機的網絡發展而不斷的出現,并且相對以前的攻擊手段更具有危險性,因此,不可能有一個非常肯定的答案。并且從經濟利益角度出發是目前黑客攻擊的一個重大目標,從而使得中小企業成為黑客們攻擊的目標之一。即相對以前而言,目前中小企業面臨的安全風險更高。由于中小企業的網絡正朝著WEB應用和SOA架構的應用方向發展,從而使得網絡相對以前更加復雜。因此,目前的計算機網絡僅有C/S和B/S結構。網絡結構的復雜性也增加了安全防范的復雜性和難度。因此,目前最需要解決的問題就是如何構建信息安全管理方案幫助中小企業更好的解決安全檢測、識別和安全防范等。
2 影響企業網絡安全的主要因素
企業網絡由局域網和廣域網組成,人和自然因素是影響網絡安全的主要因素。雷擊、水災以及火災和地震等因素屬于自然因素,而人為因素包括誤操作刪除數據的無意和故意破壞之分。人為故意破壞分為計算機病毒、黑客入侵、網絡竊聽以及制造大量垃圾郵件等。
斯諾登泄密風暴揭發香港網絡保安不堪一擊,風暴過后復歸平靜,香港中小企業計算機保安水平低問題依舊。專家指出,黑客近年喜以“僵尸”手法入侵盜取資料,有公司員工誤開惡性電郵附件,計算機變成“僵尸”控亦懵然不知,最終令全公司計算機受感染。
香港警方坦言黑客難捉,科技罪案破案率不足20%。有中小企代表稱,公司計算機保安水平十年來毫無寸進,原因在于不覺數據被偷是致命傷,有閑錢不會優先投放改進計算機系統。學者指出,問題根本在人身上,“并非門鎖不夠先進,而是你不懂把門好好關上!”
中小企業大多不重視網絡安全,而“僵尸網絡”是近年漸趨普遍的入侵方式,黑客在電郵附件中暗藏惡性軟件,公司內部有人不慎開啟,即令計算機受感染成為“僵尸計算機”,“中招”計算機自動將IP地址傳回黑客的控制中心,令其用作監測用戶的網上銀行活動。黑客趁用戶登入時,伺機改寫網頁樣式,騙取用戶輸入敏感數據,或改變交易的細節,例如改變交易金額,或將金額過數予第三者。
計算機之所以讓黑客有機可乘,往往由于同事疏于防范胡亂下載附件,令“僵尸”程序或病毒有機可乘,甚至連累全公司被感染而不自知。今年6月,香港計算機保安事故協調中心曾參與全球捉“僵尸”行動,與警方連手搗破兩個在港境內控制中心,根據經驗,香港受感染的“僵尸”計算機介乎200至700部之間。前六個月處理的622宗保安事故中,超過一半來自僵尸網絡及黑客入侵,數字較去年同期增加94%。有專家建議,除防毒軟件及聯網防火墻外,公司應該為員工各自安裝個人防火墻,避免同事計算機在公司Local LAN(局部區域網絡)內互相攻擊。
3 中小企業應當建設一個整體網絡安全管理方案
只要給企業一個構建安全管理方案的通用處理步驟和流程,每個企業都能為自己建立一個安全管理方案,因此,企業設計一個網絡安全管理方案并不困難。但是需要注意的是,建立的安全管理方案除了適合目前和以后的發展外,還應當適合企業最關心的投資回報率問題。
目前很多中小企業針對安全投資回報率的問題,不知道如何確定防火墻、UTM、IDS/IPS和內容過濾以及監控系統等開支具體有多大。由于大部分的企業對于購買的設備適應什么樣的網絡結構、具體功能是否滿足現在和以后的需求、目前企業存在哪些問題以及企業需要什么功能的產品等都不了解,只是簡單將最新產品以及功能最多的產品鏈接到自己的網絡,認為這樣就可以起到安全防護的效果了,網絡安全問題便可以高枕無憂,因此在安全方面的投資,很多中小企業雖然常亮紅燈,但是卻得不到相應的安全防范效果。實際上,使用恰當的技術以持續不斷的應用到某個具體的對象上是安全防范的關鍵因素,安全防范作為一個具體的過程,而不是某種技術就能解決的。
安全管理涉及的方面很多,如配置管理、變更控制、業務連續性和災難恢復計劃、網絡安全、人力資源以及合理使用等。有些中小企業也許自己不能構建一個全面的安全管理方案,但是為了達到與安全管理方案相同的效果,我們可以使用一種叫做信息安全和事件管理的現成產品。
但是SIEM產品目前只能解決中小企業安全防范過程中許多問題的一小部分,甚至通過它中小企業根本取得不了任何安全防范效果。目前大部分的SIEM產品都是建立在關系型數據庫上,由于關系型數據庫不具有每天記錄上百萬條甚至是上十億條安全事件的能力,因此,很大程度上嚴重影響了他們在當今企業環境中應用時的可擴展性。由于購買現成的SIEM產品需要額外花費企業很多費用,這對于處于危機時期的中小企業而言無疑成為一個不小的負擔。但是中小企業在完成網絡安全防范任務的時候,無論是使用自己制定的安全管理方案,還是使用現成的STEM產品,都能讓企業在安全防范過程中不再感到迷惑,并且更加容易實現安全管理的目標。
4 企業信息安全新形勢
網絡信息安全工作始終是通信行業最為關鍵的工作之一,具有長期性、復雜性和艱巨性的特點。2010年3G及寬帶網絡蓬勃發展,三網融合開始實施操作,云計算和物聯網產業方興未艾,需求的個性化、數字的海量化、業務的復雜化給通信行業網絡信息安全帶來了新的更大的挑戰,行業中企業要進一步提高對網絡信息安全重要性的認識,發展與管理并重,加強部門協調配合,加強網絡基礎管理工作,加強網絡信息安全保障能力建設,特別是要加快網絡信息安全關鍵基礎產業的研發應用和產業化,通過核心技術掌握自主知識產權,加快發展自主可控的信息安全產業,建設新時期通信行業網絡安全、信息安全長城。
從國際國內出現的安全現象出發,應對多種復雜的安全新問題,應該借助于RFID等物聯網新技術,并通過極主動地建立網絡與信息安全的保障體系,技術和管理并重,加強立法建設、政策制訂、技術研究、標準制訂、隊伍建設、人才培養、市場服務、宣傳教育等多方面的工作,通過產業鏈各方的緊密合作共同構造一個全方位多層次的網絡與信息安全環境,來共同改善全球的網絡與信息安全問題。
5 結束語
計算機網絡安全作為企業的一項十分重要的工作,應當引起高度的重視。在進行網絡計算機操作之前,必須隨時做好網絡安全方面的防范工作。我們應當看到,動態的企業網絡安全隨著病毒、安全技術以及黑客站點的每日劇增,網絡安全動態的不斷更新,對網絡管理人員來講是一個巨大的挑戰。相信做一個好的信息安全解決方案是企業辦公網絡應用的完美選擇。
參考文獻:
[1]宋鈺,何小利,何先波,王偉黎.基于SNMP協議的入侵檢測系統[J].河北理工大學學報(自然科學版),2010(01).
[2]王步飛,顏景潤,任玉燦.現代信息技術與溫室環境因子控制[J].考試(教研版),2010(01).
[3]郭錫泉,羅偉其,姚國祥.多級反饋的網絡安全態勢感知系統[J].信息安全與通信保密,2010(01).
[4]鄢喜愛,楊金民,常衛東.基于蜜罐技術的計算機動態取證系統研究[J].微電子學與計算機,2010(01).
關鍵詞:企業;信息網絡;安全體系;安全技術
大中型企業作為我國國民經濟的骨干企業,在國家經濟發揮舉足輕重的作用,現代經濟活動離不開信息和網絡,大中型企業對網絡和信息技術的依賴性很強,企業員工多、信息化互聯設備多、種類多樣,企業的關鍵業務大多架構在IT系統之上,網絡環境的穩定性、安全性、高效性直接影響公司信息化應用。目前,許多大中型企業提出了建立“數字化企業”的目標,在企業信息化建設中,信息安全問題是必須要首先考慮的問題,可見,建立企業信息安全體系勢在必行。
1 企業信息網絡安全威脅及風險
近年來,許多大中型企業十分重視信息網絡建設的應用和開發,但是對于信息網絡安全的防護并沒有得到足夠重視。根據調研機構的調查報告顯示,國內企業中63%經常遭受病毒或蠕蟲攻擊,而41%的企業受到惡意間諜軟件或惡意軟件的威脅。主要體現在:病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網絡資源濫用、員工信息安全意識淡薄等。
目前企業面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗,垃圾郵件、企業機密泄露、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業最為頭疼的網絡安全問題,企業網絡環境日趨嚴峻。
2 企業網絡安全體系
大中型企業網絡面臨嚴峻的安全形勢,迫使各企業意識到構建完備安全體系的重要性,隨著網絡攻擊的多樣化,只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊,同時還要隨時注重操作系統、數據庫、軟硬件設備的安全性;企業安全體系建設不僅要有效抵御外網攻擊,而且要能防范可能來自內部的安全泄密等威脅。企業必須采用多層次的安全系統架構才能保障企業網絡安全,最終建立一套以內外兼防為特征的企業安全保障體系。
企業信息網絡安全體系由物理安全、鏈路安全、網絡安全、系統安全、信息安全五部分構成。
物理安全:物理安全主要是保護企業數據庫服務器、應用服務器、網絡設備、數據介質及其他物理實體設備的安全,提供一個安全可靠的物理運行環境。
鏈路安全:數據鏈路層(第二協議層)的通信連接就安全而言,是較為薄弱的環節。目的是保證網絡鏈路傳送的數據不被竊聽和篡改。
網絡安全:網絡安全主要包括:通過防火墻隔離內外網絡,不同區域的訪問控制,部署基于網絡的身份認證及入侵檢測系統、VPN、網絡集中防病毒等手段實現網絡設備自身的安全可靠。
系統安全:系統安全主要指數據庫、操作系統的安全保護。保證應用系統的可靠性、完整性和高效性。
信息安全:主要通過數據加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。
典型企業信息網絡安全管理體系拓撲結構如圖一所示:
3 信息安全體系設計原則
企業安全設計應遵循如下原則:
3.1保密性:信息不能夠泄露給非授權用戶、實體或過程,或供其利用的特性。
3.2完整性:信息完整性是指信息在輸入和傳輸的過程中,不被非法授權修改和破壞,保證數據的一致性。
3. 3可用性:保障授權用戶在需要時可以獲取信息并按要求使用的特性。
3.4可控性:對信息的處理、傳遞、存儲等具有控制能力。
信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。
4 企業網絡安全防范技術手段
目前企業信息網絡布署的安全技術手段主要方式有:
4.1防火墻系統
防火墻系統作為企業網絡安全系統必不可少的組成部分,用于防范來自外部interne非法用戶對企業內部網絡的主動威脅。防火墻系統搭建在內部網絡與外部公共Internet網絡之間,通過合理配置訪問控制策略,管理Internet和內部網絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監控、阻斷非法數據傳輸等。企業在外部攻擊的頻度和攻擊流量非常嚴重的情況下,建議配置專用的DDOS防火墻。
4.2入侵檢測系統
入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。IDS是一種積極主動的安全防護技術,可以彌補防火墻相對靜態防御的不足,通過對來自外部網和內部的各種行為進行實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據的依據。
4.3漏洞掃描系統
企業內部部署漏洞掃描系統,不間斷地對企業工作站、服務器、防火墻、交換機等進行安全檢查,提供記錄有關漏洞的詳細信息和最佳解決對策,協助網管員及時發現和堵絕漏洞、降低風險,防患于未然。
4.4網頁防篡改系統
網頁防篡改系統主要是防止企業對外Web遭受黑客的篡改,保證企業外部網站的正常運行。防篡改系統利用先進的Web服務器核心內嵌技術,將篡改檢測模塊(數字水印技術)和應用防護模塊(防注入攻擊)內嵌于Web服務器內部,并輔助以增強型事件觸發檢測技術,不僅實現了對靜態網頁和腳本的實時檢測和恢復,更可以保護數據庫中的動態內容免受來自于Web的攻擊和篡改,徹底解決網頁防篡改問題。
4.5上網行為管理系統
上網行為管理系統主要部署在企業外部防火墻和內部核心交換機之間,針對企業內部員工訪問Internet行為進行集中管理與控制。其主要功能有:網頁過濾、應用控制(IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發帖等)、帶寬管理、內容審計(郵件收發、論壇發帖、FTP、HTTP文件傳輸等)、用戶管理、日志管理等功能。
4.6內網安全管理平臺
據FBI/CSI中國CNISTEC調查報告:來自企業外部威脅占20%,內部威脅高達80%。針對大型企業日益復雜的內部網絡環境以及基于企業保密管理的需求,必須構造一套內網安全管理平臺,規范和管理內部網絡環境,提高內部網絡資源的可控性。其功能應包括:用戶認證與授權、IP與MAC綁定、網絡監控、桌面監控、安全域管理、 存儲介質管理、補丁分發、文檔安全管理、資產管理、日志報表管理等。
4.7企業集中防病毒系統
在病毒肆虐的時代,反病毒已經成為企業信息安全非常重要的一環,企業網絡情況比較復雜,由于員工計算機水平大多不高,構造一套完整的企業集中防病毒網絡系統平臺,可以強化病毒防護系統的應用策略和統一管理策略,并且使企業員工電腦的病毒庫及時得到更新,增強病毒防護有效性,降低病毒對安全帶來的威脅。
集中防病毒系統應具有:集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。
4.8建立健全企業安全管理組織體系及制度,加強企業信息安全意識
企業在建設信息網絡安全建設技術手段的同時,更需要考慮管理的安全性,不斷完善企業信息安全制度。通過培訓,增強每個員工的安全意識,為大中型企業信息安全管理奠定基礎。
隨著信息技術的發展,企業無線接入、電子商務交易、數字簽名、數字證書等安全管理也應逐步納入企業信息安全體系范疇。
五、 結束語
目前,大中型企業信息進程的深入和互聯網的快速發展,網絡化已經成為企業信息化的發展大趨勢,針對各種網絡應用的攻擊和破壞方式也變得異常頻繁,信息化發展而來的網絡安全問題日漸突出,網絡安全問題已成為信息時代人類共同面臨的挑戰,同時,網絡信息安全是一個系統工程,涉及人員、硬軟件設備、資金、制度等因素,沒有絕對可靠的安全技術,科學有效的管理可以彌補技術安全漏洞的缺陷。
參考文獻:
[1]向宏,傅鸝,詹榜華 著 信息安全測評與風險評估 電子工業出版社 2009-01
[2]謝宗曉,郭立生 著 信息安全管理體系應用手冊中國標準出版社 2008-10
