時(shí)間:2023-09-19 16:27:37
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)網(wǎng)絡(luò)安全防范措施,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
【關(guān)鍵詞】信息安全;安全技術(shù);防范措施
1、前言
隨著社會(huì)和經(jīng)濟(jì)的高度信息化、網(wǎng)絡(luò)化,現(xiàn)代企業(yè)的生產(chǎn)、管理、銷售已經(jīng)和網(wǎng)絡(luò)密不可分,許多企業(yè)只重視利用網(wǎng)絡(luò)抓生產(chǎn)、促銷售,在全面發(fā)掘網(wǎng)絡(luò)帶來經(jīng)濟(jì)效益的同時(shí)忽略對自身企業(yè)網(wǎng)絡(luò)信息安全防范的建設(shè),一旦發(fā)生網(wǎng)絡(luò)信息安全問題,往往追悔莫及,保障企業(yè)網(wǎng)絡(luò)信息的安全可控,采取有效的防范措施是每個(gè)現(xiàn)代企業(yè)面臨的嚴(yán)峻問題。
2、網(wǎng)絡(luò)信息安全概述
對網(wǎng)絡(luò)信息安全定義有多種說法,本人傾向于網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及系統(tǒng)數(shù)據(jù)受到保護(hù),不受意外的或惡意的原因而遭到破壞、更改、泄露,保持系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。做好企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)安全首先要有良好的網(wǎng)絡(luò)信息安全防范意識,提高網(wǎng)絡(luò)信息系統(tǒng)軟、硬件技術(shù)保障水平、建立完善的網(wǎng)絡(luò)信息系統(tǒng)管理制度開展工作。
2.1影響網(wǎng)絡(luò)信息安全的因素
影響網(wǎng)絡(luò)信息安全的主要因素主要分為以下四大類。
2.1.1網(wǎng)絡(luò)信息系統(tǒng)的脆弱性。網(wǎng)絡(luò)信息系統(tǒng)的脆弱性包括了操作系統(tǒng)的脆弱性,信息系統(tǒng)本身的漏洞、后門,硬件系統(tǒng)的故障和天災(zāi)人禍等,這些脆弱性使得網(wǎng)絡(luò)信息安全受到攻擊成為可能。
2.1.2缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、手段、工具和產(chǎn)品。企業(yè)在利用網(wǎng)絡(luò)信息開展生產(chǎn)、管理的同時(shí)往往缺乏安全防范意識,認(rèn)為只要系統(tǒng)不出問題就說明沒事,對保障網(wǎng)絡(luò)安全系統(tǒng)安全的必要網(wǎng)絡(luò)安全技術(shù)產(chǎn)品不愿投入資金建設(shè),從而造成網(wǎng)絡(luò)信息系統(tǒng)的中重大安全隱患。
2.1.3缺乏正確安全策略和管理監(jiān)督制度。主要體現(xiàn)在部分企業(yè)認(rèn)為只要購買了昂貴的網(wǎng)絡(luò)安全產(chǎn)品就萬事大吉了,缺乏正確的安全策略和管理監(jiān)督制度,再好的產(chǎn)品也是需要員工按規(guī)定來操作和執(zhí)行,沒有管理監(jiān)督制度和正確的安全策略,網(wǎng)絡(luò)信息安全就無從談起。
2.1.4缺乏完善的網(wǎng)絡(luò)信息系統(tǒng)恢復(fù)、備份技術(shù)手段。主要體現(xiàn)在缺乏對網(wǎng)絡(luò)信息安全重要性的評估,對網(wǎng)絡(luò)信息受到受到攻擊、意外事件造成崩潰后缺乏網(wǎng)絡(luò)信息系統(tǒng)的恢復(fù)、備份技術(shù)和工具,造成網(wǎng)絡(luò)信息系統(tǒng)恢復(fù)的不可逆性。
3、網(wǎng)絡(luò)信息安全防范策略
3.1采取有效的網(wǎng)絡(luò)安全技術(shù)手段和措施
3.1.1采取有效身份認(rèn)證技術(shù)。采取有效的身份認(rèn)證技術(shù)可對具備合法信息的用戶進(jìn)行確認(rèn),同時(shí)根據(jù)用戶信息對授權(quán)進(jìn)行判定,給予不同的網(wǎng)絡(luò)信息操作權(quán)限,常用的身份認(rèn)證技術(shù)主要有信息認(rèn)證、密鑰認(rèn)證、用戶認(rèn)證等。
3.1.2防火墻技術(shù)。防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成,防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間,它是一種計(jì)算機(jī)硬件防火墻件和軟件的結(jié)合,在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān),通過鑒別限制或者更改越過防火墻的各種數(shù)據(jù)流,防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。
3.1.3防病毒技術(shù)。選擇先進(jìn)的反病毒產(chǎn)品,并定期進(jìn)行更新,在防病毒技術(shù)上針對企業(yè)的用戶數(shù)以服務(wù)器為基礎(chǔ),提供實(shí)時(shí)掃描病毒能力,確保反病毒產(chǎn)品能夠部署到企業(yè)的每個(gè)工作站。確保企業(yè)所有的網(wǎng)絡(luò)終端都能夠部署到。
3.1.4入侵的檢測技術(shù)。入侵檢測系統(tǒng)能自動(dòng)實(shí)時(shí)的入侵檢測和響應(yīng)系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動(dòng)檢測和響應(yīng)可疑的行為,在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部誤用,有效彌補(bǔ)防火墻技術(shù)對內(nèi)部網(wǎng)絡(luò)存在的非法活動(dòng)監(jiān)控的能力的不足,從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。
3.1.5漏洞的掃描技術(shù)。通過采取漏洞掃描,及時(shí),準(zhǔn)確的發(fā)現(xiàn)自身網(wǎng)絡(luò)信息安全存在的漏洞和問題,有利于系統(tǒng)管理員采取應(yīng)對措施,封堵網(wǎng)絡(luò)信息系統(tǒng)存在的漏洞和安全隱患,從而有效保障網(wǎng)絡(luò)信息安全,確保業(yè)務(wù)系統(tǒng)安全的運(yùn)行。目前漏洞掃描主要分為ping掃描、端口掃描、OS探測、脆弱點(diǎn)探測、防火墻掃描五種主要技術(shù)。
3.1.6加密技術(shù)。通過對企業(yè)的網(wǎng)絡(luò)信息安全進(jìn)行加密,確保網(wǎng)絡(luò)信息在使用和傳輸過程中的安全性,加密算法主要分為堆成加密算法和非對稱加密算法兩類,并由此衍生出加密狗、加密軟件等各類產(chǎn)品。
3.1.7對有特殊安全要求的網(wǎng)絡(luò)建立與互聯(lián)網(wǎng)隔離。一些特殊產(chǎn)品的生產(chǎn)管理網(wǎng)絡(luò)根據(jù)其安全的密級要求實(shí)行和互聯(lián)網(wǎng)絡(luò)隔離,確需聯(lián)絡(luò)的需采取單向光閘等措施保證其安全性。
3.2建立完善的網(wǎng)絡(luò)信息安全的管理制度和安全應(yīng)對策略。據(jù)統(tǒng)計(jì),70%以上的信息安全威脅來自于企業(yè)內(nèi)部的員工,沒有一套完善的網(wǎng)絡(luò)信息安全管理制度來實(shí)現(xiàn)對信息系統(tǒng)使用人員的管理,再出色的安全技術(shù)手段和產(chǎn)品也無法發(fā)揮作用,通過制度對人的行為進(jìn)行規(guī)范,從而確保網(wǎng)絡(luò)信息安全落到實(shí)處。
3.3采取有效的備份、恢復(fù)措施。對企業(yè)自身的網(wǎng)絡(luò)信息系統(tǒng)做好安全等級保護(hù)評測、安全風(fēng)險(xiǎn)評估工作,針對評估情況采取對應(yīng)的災(zāi)難備份及恢復(fù)措施,對重要的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)采取包括對軟件部分、硬件以及傳輸線路的備份,在有條件的情況下應(yīng)采取異地雙線路雙系統(tǒng)備份的方法,從而最大程度降低自然災(zāi)害對網(wǎng)絡(luò)信息安全造成的破壞。
4、結(jié)束語
隨著信息產(chǎn)業(yè)化的不斷深入,網(wǎng)絡(luò)信息安全問題日益凸顯,企業(yè)應(yīng)提高自身的網(wǎng)絡(luò)信息安全防范意識,在享受網(wǎng)絡(luò)信息化帶來的便利同時(shí)加強(qiáng)企業(yè)自身的網(wǎng)絡(luò)與信息安全管理,采取有效的技術(shù)措施,建立完善、高效的網(wǎng)絡(luò)信息安全管理制度,從而將企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)降到最低。
參考文獻(xiàn)
[1]陳震.我國信息與通信網(wǎng)建設(shè)安全問題初探[J].科學(xué)之友,2010年24期
關(guān)鍵詞:企業(yè);網(wǎng)絡(luò)安全;防護(hù)
中圖分類號:TP393.08
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)已經(jīng)成為人們生活和工作當(dāng)中必不可少的一部分。大中型企業(yè)信息化建設(shè)隨著網(wǎng)絡(luò)系統(tǒng)的快速發(fā)展也在日新月異,網(wǎng)絡(luò)和信息化已經(jīng)融入到企業(yè)的生產(chǎn)和管理當(dāng)中,對企業(yè)的正常運(yùn)轉(zhuǎn)越來越重要。隨著大中型企業(yè)網(wǎng)絡(luò)和信息化業(yè)務(wù)系統(tǒng)的日益增多,遭受網(wǎng)絡(luò)安全威脅與攻擊的可能性也大大增加,一旦遭受攻擊導(dǎo)致網(wǎng)絡(luò)和信息化系統(tǒng)服務(wù)異常,影響到生產(chǎn)的話,將會(huì)給企業(yè)造成極大的經(jīng)濟(jì)損失和社會(huì)負(fù)面影響。
1 企業(yè)網(wǎng)絡(luò)安全防護(hù)的重要性和建設(shè)目標(biāo)
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全的主要特性為:保密性、完整性、可用性、可控性和可審查行。
企業(yè)的網(wǎng)絡(luò)與信息化系統(tǒng)應(yīng)用的越多,企業(yè)對網(wǎng)絡(luò)的依賴度就更高,目前大中型企業(yè)提高信息化發(fā)展水平已經(jīng)是一種趨勢,信息化的發(fā)展必然面臨各種網(wǎng)絡(luò)安全威脅,若不采取相應(yīng)措施保護(hù)企業(yè)網(wǎng)絡(luò)和信息化系統(tǒng)安全,則企業(yè)的網(wǎng)絡(luò)和信息化系統(tǒng)將隨時(shí)遭受攻擊而癱瘓或崩潰,影響企業(yè)的生產(chǎn)秩序。
大中型企業(yè)網(wǎng)絡(luò)所面臨的嚴(yán)峻安全形勢,使得各企業(yè)必須意識到構(gòu)建完備安全體系的重要性。隨著網(wǎng)絡(luò)攻擊的多樣化,企業(yè)不能只針對單一方面進(jìn)行網(wǎng)絡(luò)安全防護(hù),應(yīng)該從整理著眼,建立完整的網(wǎng)絡(luò)安全防護(hù)體系。完整的安全體系建設(shè)不僅要能有效抵御外網(wǎng)攻擊,而且要能防范可能來自內(nèi)部的攻擊、入侵和泄密等威脅。
2 企業(yè)網(wǎng)絡(luò)安全的隱患與危害
2.1 計(jì)算機(jī)病毒
計(jì)算機(jī)病毒出現(xiàn)的初期,其危害主要為刪除文件數(shù)據(jù)、格式化硬盤等,但隨著計(jì)算機(jī)應(yīng)用和互聯(lián)網(wǎng)技術(shù)的發(fā)展,計(jì)算機(jī)病毒通過網(wǎng)絡(luò)進(jìn)行瘋狂傳播,大量消耗網(wǎng)絡(luò)資源,使企業(yè)甚至互聯(lián)網(wǎng)網(wǎng)絡(luò)癱瘓。
計(jì)算機(jī)病毒造成的最大破壞,不是技術(shù)方面的,而是社會(huì)方面的。計(jì)算機(jī)感染病毒后導(dǎo)致計(jì)算機(jī)的使用率減低,甚至導(dǎo)致企業(yè)、銀行等關(guān)鍵信息泄露,造成社會(huì)聲譽(yù)損失和商業(yè)風(fēng)險(xiǎn)。
2.2 黑客威脅和攻擊
計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越劇烈,目前以非法牟利為目的的黑客產(chǎn)業(yè)鏈已經(jīng)成為新的暴力產(chǎn)業(yè),黑客通過網(wǎng)絡(luò)非法入侵計(jì)算機(jī)信息系統(tǒng),肆意竊取信息系統(tǒng)里面存儲(chǔ)的用戶信息和關(guān)鍵數(shù)據(jù)等,給信息系統(tǒng)所有者和用戶帶來無法估計(jì)的損失。
2.3 內(nèi)部威脅和攻擊
企業(yè)在管理內(nèi)部人員上網(wǎng)時(shí),由于對內(nèi)部威脅認(rèn)識不足,所以沒有采取全面的安全防范措施,導(dǎo)致內(nèi)部網(wǎng)絡(luò)安全事故逐年上升。機(jī)器都是人進(jìn)行操作的,由于懶惰、粗心大意或者對設(shè)備的使用和業(yè)務(wù)不太熟練等原因,都有可能造成數(shù)據(jù)的損壞和丟失,或者企業(yè)機(jī)密信息泄露。另外還有一些企業(yè)員工,為了一己私利對企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊和破壞。不管是有意的還是偶然的,內(nèi)部威脅都是一個(gè)最大的安全威脅,而且是一個(gè)很難解決的威脅。
2.4 系統(tǒng)漏洞
許多網(wǎng)絡(luò)系統(tǒng)和應(yīng)用信息系統(tǒng)都存在著這樣那樣的漏洞,這些漏洞可能是網(wǎng)絡(luò)建設(shè)考慮不全和系統(tǒng)本身所有的。另外,在企業(yè)信息化應(yīng)用系統(tǒng)建設(shè)時(shí),由于技術(shù)方面的不足或者為了遠(yuǎn)程維護(hù)的方面導(dǎo)致應(yīng)用系統(tǒng)在開發(fā)過程中存在漏洞或后門,一旦這種漏洞或后門被惡意利用,將會(huì)造成非常大的威脅。
3 企業(yè)網(wǎng)絡(luò)安全的技術(shù)防護(hù)措施
完整的網(wǎng)絡(luò)安全防護(hù)體系,必須具體綜合的防護(hù)技術(shù),對攻擊、病毒、訪問控制等全面防御,目前企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)主要有以下幾種:
3.1 防火墻隔離
防火墻提供如下功能:訪問控制、數(shù)據(jù)包過濾、流量分析和監(jiān)控、攔截阻斷非法數(shù)據(jù)連接、限制IP連接數(shù)等。此外通過防火墻將內(nèi)網(wǎng)、外網(wǎng)和DMZ(非軍事區(qū))區(qū)劃分不同的等級域,限制各域之間的相互訪問,達(dá)到保護(hù)內(nèi)網(wǎng)和公共服務(wù)站點(diǎn)安全的目的;
3.2 VPN安全訪問系統(tǒng)
VPN(虛擬專用網(wǎng)絡(luò))是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN屬于一種安全的遠(yuǎn)程訪問技術(shù),通過在公網(wǎng)上建立一個(gè)私有的隧道,利用加密技術(shù)對數(shù)據(jù)進(jìn)行加密,保證數(shù)據(jù)的私有性和安全性。
3.3 入侵檢測系統(tǒng)與入侵防御系統(tǒng)
入侵檢測系統(tǒng)(Intrusion Detection System)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)網(wǎng)絡(luò)安全設(shè)備。入侵檢測系統(tǒng)通過對來自外部網(wǎng)和內(nèi)部的各種行為的實(shí)時(shí)檢測,及時(shí)發(fā)現(xiàn)未授權(quán)或異常現(xiàn)象以及各種可能的攻擊企圖,并記錄有關(guān)事件,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)。入侵檢測系統(tǒng)采用旁路部署模式,將網(wǎng)絡(luò)的關(guān)鍵路徑上的數(shù)據(jù)流進(jìn)行鏡像和收集分析。
入侵防御系統(tǒng)(Intrusion Prevention System)是一種在線部署到網(wǎng)絡(luò)關(guān)鍵路徑上的產(chǎn)品,通過對流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行2-7層的深度分析,能精確、實(shí)時(shí)的識別、阻斷、限制各類網(wǎng)絡(luò)攻擊和泛洪攻擊,進(jìn)行主動(dòng)的、實(shí)時(shí)的防護(hù),其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量,自動(dòng)對各類攻擊性的流量,尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷。
[關(guān)鍵詞] 計(jì)算機(jī)網(wǎng)絡(luò);安全;外網(wǎng);防范措施
[Abstract] With the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. This paper focuses on the campus network information network construction program, and made a number of external network security measures.
[Keywords] Computer network; security; external network; precautions
中圖分類號:TN711 文獻(xiàn)標(biāo)識碼:A 文章編號:
1校園網(wǎng)外網(wǎng)現(xiàn)狀
1.1 網(wǎng)絡(luò)架構(gòu)
目前我校每個(gè)辦公室都鋪設(shè)了信息外網(wǎng)結(jié)點(diǎn),信息結(jié)點(diǎn)由樓層接入交換機(jī)連接到核心交換機(jī)。然后再通過外網(wǎng)邊界處部署的防火墻,通過VPN通道統(tǒng)一出口訪問互聯(lián)網(wǎng)。
1.2 網(wǎng)絡(luò)設(shè)備型號
核心交換機(jī):H3C3600
防火墻:FW4120
校園網(wǎng)接入路由器:H3C5060
樓層交換機(jī):cisco 2950
1.3 現(xiàn)有網(wǎng)絡(luò)安全配置
為了做好我校信息外網(wǎng)安全工作,我校統(tǒng)一安裝部署了卡巴斯基殺毒軟件并定期更新、掃描,同時(shí)在信息外網(wǎng)的邊界處部署了防火墻、由學(xué)校統(tǒng)一加強(qiáng)互聯(lián)網(wǎng)出口、病毒木馬、網(wǎng)絡(luò)行為分析與流量監(jiān)控來抵御來自外部網(wǎng)絡(luò)的安全威脅,在這些設(shè)備、軟件的嚴(yán)密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減小,而對來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅所作的安全管理措施不夠,安全威脅較大。而且來自信息外網(wǎng)的威脅,也可能通過U盤等傳播到信息內(nèi)網(wǎng),使信息內(nèi)網(wǎng)同樣面臨安全威脅。為了抵御內(nèi)部威脅防止未授權(quán)計(jì)算機(jī)的接入,最初我們只是在H3C3600核心交換機(jī)上做了IP、MAC地址綁定,這種配置方式雖然在一定程度上可以減少非法接入和ARP欺騙攻擊但仍存在一定的缺陷,因?yàn)镸AC地址可以偽造,非法用戶可以利用綁定列表中的IP并虛擬與該IP綁定的MAC地址,通過任意一個(gè)辦公室的信息結(jié)點(diǎn)連接外網(wǎng)。因此,最初所做的綁定策略是較低級別的授權(quán)認(rèn)證。
2校園網(wǎng)信息外網(wǎng)安全防范措施
為了解決單純在核心交換機(jī)上進(jìn)行IP、MAC地址綁定存在的缺陷,嚴(yán)格限制非法設(shè)備接入,同時(shí)做好外網(wǎng)信息安全工作,制定以下防范措施:
2.1 核心交換機(jī)上執(zhí)行端口+IP+MAC地址綁定策略
在核心交換機(jī)上,對在用的每一個(gè)端口進(jìn)行端口+IP+MAC地址的綁定,實(shí)現(xiàn)在固定端口只允許固定IP和MAC地址的訪問,對于未使用的端口全部關(guān)閉。由于對每個(gè)在用的端口進(jìn)行綁定并有嚴(yán)格限制,而未使用的端口全部關(guān)閉,所以在一個(gè)端口綁定的PC使用該IP地址和MAC地址也不可以在其他端口上網(wǎng)。
在核心交換機(jī)上對端口、IP、MAC地址進(jìn)行綁定,可以嚴(yán)格控制非法網(wǎng)絡(luò)接入,但是由于只是在核心交換機(jī)上進(jìn)行限制,而終端計(jì)算機(jī)不是直接接入核心交換而是通過接入交換機(jī)進(jìn)行接入,該方法雖然可以限制網(wǎng)絡(luò)訪問,但同一接入交換機(jī)直接相連的終端或不同接入交換機(jī)相連的終端仍然可以通信,且會(huì)產(chǎn)生不必要的網(wǎng)絡(luò)流量,對網(wǎng)絡(luò)仍產(chǎn)生一定的威脅,所以我們可以采用基于核心、接入交換的兩級綁定管理。
2.2 基于核心、接入交換機(jī)的兩級綁定管理
我們保留最初在核心交換機(jī)上做的IP、MAC地址綁定,同時(shí)在接入層交換機(jī)上對每個(gè)端口綁定固定的一個(gè)MAC地址,且每個(gè)端口只允許一個(gè)MAC地址通過。這樣,在接入層交換機(jī)上可以實(shí)現(xiàn)對終端計(jì)算機(jī)的一級MAC地址過濾管理,嚴(yán)格控制網(wǎng)絡(luò)接入設(shè)備,同時(shí)減少非法接入設(shè)備產(chǎn)生的不必要的流量;在核心交換機(jī)上實(shí)現(xiàn)對終端設(shè)備的二級IP管理,每個(gè)MAC地址只能使用特定的IP,防止終端私自更改IP,做好IP地址管理工作。通過此配置,可以實(shí)現(xiàn)基于核心、接入交換機(jī)的兩級綁定管理,即從源頭上,通過接入層一級管理嚴(yán)格控制終端計(jì)算機(jī)非法接入,同時(shí)對核心交換層進(jìn)行二級管理防止私自更改IP,做好IP地址維護(hù)管理工作。
2.3 基于CAMS的身份認(rèn)證機(jī)制
針對目前越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境,CAMS身份認(rèn)證服務(wù)機(jī)制從企業(yè)用戶的網(wǎng)絡(luò)接入控制入手,可以統(tǒng)一管理網(wǎng)絡(luò)中用戶的身份、權(quán)限信息,通過嚴(yán)格的身份認(rèn)證、安全狀態(tài)評估和終端準(zhǔn)入控制功能,解決企業(yè)網(wǎng)用戶接入控制的問題,可以大幅度提升企業(yè)網(wǎng)絡(luò)的安全性和可管理性。CAMS服務(wù)器與H3C系列路由器和交換機(jī)的協(xié)同配合,可以穩(wěn)定、高效地完成對網(wǎng)路接入用戶的安全認(rèn)證、授權(quán)和管理,滿足企業(yè)的高安全和可管理的需求。
2.3.1 基于CAMS身份認(rèn)證的組網(wǎng)結(jié)構(gòu)
此結(jié)構(gòu)需要通過配置路由器實(shí)現(xiàn)Radius 服務(wù)器對登錄路由器的用戶進(jìn)行認(rèn)證。Radius 服務(wù)器可使用H3C的CAMS服務(wù)器,CAMS與核心交換機(jī)相互配合,以保證安全性。CAMS配置需要以系統(tǒng)管理員admin的權(quán)限登錄CAMS配置臺(tái),以界面的形式進(jìn)行接入設(shè)備信息和策略的配置,實(shí)現(xiàn)設(shè)備用戶管理功能,這里只需在CAMS配置管理平臺(tái)進(jìn)行簡單配置即可。
2.3.2 可以實(shí)現(xiàn)的功能
(1)用戶信息統(tǒng)一管理:利用CAMS強(qiáng)大的身份認(rèn)證對設(shè)備管理用戶信息(用戶名,密碼,設(shè)備服務(wù)類型和訪問權(quán)限等)進(jìn)行統(tǒng)一認(rèn)證管理,提高網(wǎng)絡(luò)的可維護(hù)性。
(2)增加了綁定技術(shù):可以將用戶的帳號和IP、MAC、VLAN、設(shè)備的端口等元素綁定在一起。每次認(rèn)證的時(shí)候不僅確認(rèn)用戶名和密碼,還需認(rèn)證其IP或MAC,甚至是VLAN和端口號。當(dāng)用戶數(shù)量很多時(shí)這時(shí)只需啟動(dòng)自動(dòng)綁定功能,CAMS可以自動(dòng)學(xué)習(xí)用戶第一次上網(wǎng)時(shí)的IP和MAC并做相應(yīng)綁定。這樣一來不僅完善了對用戶合法身份識別的方法,更提高了網(wǎng)絡(luò)的安全性。
(3)在線用戶控制:CAMS提供具體的用戶在線信息,如帳號、IP、MAC、端口、時(shí)間、流量等,并可實(shí)施強(qiáng)制下線,減少非法用戶和中毒計(jì)算機(jī)對網(wǎng)絡(luò)的危害。
2.4 加強(qiáng)病毒防范
為了能有效地預(yù)防并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測、病毒預(yù)防、病毒查殺、病毒隔離等措施,建立病毒預(yù)警機(jī)制,以提高對病毒的反應(yīng)速度,并有效加強(qiáng)對病毒的處理能力。我校目前安裝的主要安全軟件有網(wǎng)絡(luò)版卡巴斯基和360安全衛(wèi)士。
2.5 加強(qiáng)工作人員的網(wǎng)絡(luò)安全培訓(xùn),培養(yǎng)用戶的信息安全意識
要確保信息安全工作的順利進(jìn)行,必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上,而進(jìn)行這種具體操作的是人,人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),然而這個(gè)環(huán)節(jié)的加固又是見效最快的。所以必須加強(qiáng)對使用網(wǎng)絡(luò)的人員的管理,加強(qiáng)工作人員的安全培訓(xùn)。增強(qiáng)內(nèi)部人員的安全防范意識,提高內(nèi)部管理人員整體素質(zhì)。
參考文獻(xiàn)
[1] 吳鈺鋒,劉泉,李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用〔J〕真空電子技術(shù),2004.34-36
一、企業(yè)會(huì)計(jì)信息化建設(shè)存在的問題
(一)企業(yè)管理者對實(shí)現(xiàn)會(huì)計(jì)信息化重要性認(rèn)識不足
企業(yè)管理者對會(huì)計(jì)信息化管理的理念落后,存在“重生產(chǎn)經(jīng)營,輕現(xiàn)代化管理”的思想,認(rèn)為實(shí)現(xiàn)會(huì)計(jì)信息化不能給企業(yè)帶來直接的經(jīng)濟(jì)效益,對企業(yè)信息化能提高企業(yè)競爭力的認(rèn)識不足,對會(huì)計(jì)信息化管理的認(rèn)識存在一定的偏差與誤區(qū),認(rèn)為企業(yè)信息化管理可有可無,即使實(shí)現(xiàn)會(huì)計(jì)信息化管理也只是能減少工作量、減少人員、提高效率,對企業(yè)的發(fā)展得不到根本性改善,導(dǎo)致企業(yè)會(huì)計(jì)信息化管理設(shè)備不全、制度不完善、管理不到位等情況,起不到信息化管理應(yīng)有的作用。
(二)會(huì)計(jì)人員的專業(yè)素質(zhì)達(dá)不到信息化要求
企業(yè)會(huì)計(jì)信息化建設(shè)是一項(xiàng)完整的系統(tǒng),不僅需要先進(jìn)的設(shè)備和軟件,還需要有專業(yè)人員進(jìn)行管理操作。由于會(huì)計(jì)信息化建設(shè)投入大,一些企業(yè)因經(jīng)費(fèi)有限沒有對會(huì)計(jì)人員進(jìn)行定時(shí)的培訓(xùn),會(huì)計(jì)人員沒有得到信息化應(yīng)用的專業(yè)指導(dǎo),對新的設(shè)備和軟件缺乏靈活運(yùn)用,出現(xiàn)了利用不當(dāng)?shù)那闆r,甚至一些企業(yè)中的會(huì)計(jì)人員由兼職人員替代,導(dǎo)致會(huì)計(jì)人員流動(dòng)性大、專業(yè)素養(yǎng)低、會(huì)計(jì)信息化應(yīng)用程度低等狀況。缺乏信息化管理專業(yè)人才是企業(yè)會(huì)計(jì)信息化建設(shè)不能順利進(jìn)行的關(guān)鍵因素,這與企業(yè)信息化建設(shè)潮流是沖突的,需要努力改進(jìn)。
(三)安全防范得不到保障
安全防范措施是企業(yè)信息化管理的重要保障,是企業(yè)安全管理的最后一道屏障。許多企業(yè)由于安全防范意識不到位,缺乏防范措施,導(dǎo)致企業(yè)中財(cái)務(wù)的任何信息很容易被攻破。企業(yè)的絕密信息由于沒有進(jìn)行專業(yè)的安全防范措施保護(hù),導(dǎo)致企業(yè)的機(jī)密信息被“黑客”輕易攻擊并獲取重要資料信息,使企業(yè)網(wǎng)站癱瘓并受到重大損失,所以企業(yè)信息化安全防范關(guān)乎企業(yè)的生存發(fā)展。因而,為確保企業(yè)財(cái)務(wù)的重要信息的安全性,必須設(shè)立一些安全防范措施和體系避免信息泄露,使企業(yè)更好、更快的發(fā)展。
二、企業(yè)會(huì)計(jì)信息化應(yīng)用對策
(一)在思想上提高企業(yè)管理層的重視
傳統(tǒng)“重生產(chǎn)經(jīng)營,輕現(xiàn)代化管理”的思想,導(dǎo)致企業(yè)會(huì)計(jì)信息化建設(shè)得不到發(fā)展,改變這種觀念刻不容緩。首先,在企業(yè)內(nèi)部設(shè)立專管會(huì)計(jì)信息化建設(shè)部門,負(fù)責(zé)人員定時(shí)向企業(yè)上級匯報(bào)最新的詳細(xì)狀況,做成報(bào)告書面形式呈遞,以便保管分析,經(jīng)過分析后,對企業(yè)會(huì)計(jì)信息化建設(shè)的方向做出規(guī)劃,監(jiān)督執(zhí)行;其次,企業(yè)之間共同合作出資聘請專業(yè)人員進(jìn)行講座,為企業(yè)管理者講解企業(yè)信息化管理的重要性,改變企業(yè)管理者對信息化建設(shè)的誤區(qū),接受新觀念、新經(jīng)驗(yàn),提高對企業(yè)信息化建設(shè)作用的認(rèn)識,通過對企業(yè)管理人員潛移默化的影響,使其重新認(rèn)識信息化管理,逐漸改變企業(yè)落后管理的現(xiàn)狀;最后,各企業(yè)之間相互學(xué)習(xí)、相互交流,在學(xué)習(xí)中進(jìn)步,使企業(yè)在競爭中合作,改變傳統(tǒng)觀念,在經(jīng)濟(jì)效益提高到同時(shí)使企業(yè)信息化建設(shè)共同發(fā)展,既不能急于求成,也不能放任自流。
(二)提高會(huì)計(jì)人員的專業(yè)素養(yǎng),培養(yǎng)專業(yè)人才
專業(yè)人才的運(yùn)用是企業(yè)會(huì)計(jì)信息化建設(shè)的根本。首先,企業(yè)要慎重選擇會(huì)計(jì)人員崗位人選,提高門檻,嚴(yán)格把關(guān),經(jīng)過多方面測試后選擇專業(yè)素養(yǎng)強(qiáng)、有責(zé)任心的會(huì)計(jì)工作人員,杜絕在招聘、面試時(shí)弄虛作假,導(dǎo)致專業(yè)人才的流失;其次,定期對企業(yè)會(huì)計(jì)人員進(jìn)行信息化操作的專業(yè)培訓(xùn),廣泛開展信息技術(shù)的再教育,使會(huì)計(jì)人員及時(shí)掌握設(shè)備、軟件更新的操作方法以及新用處,使專業(yè)設(shè)備得到真正利用;最后,中小企業(yè)可以與大企業(yè)、龍頭企業(yè)進(jìn)行強(qiáng)強(qiáng)合作,派企業(yè)的會(huì)計(jì)人員、技術(shù)骨干到大企業(yè)學(xué)習(xí)先進(jìn)的操作技術(shù),在習(xí)中認(rèn)識到自己的不足,刺激其不斷進(jìn)步的動(dòng)力,使會(huì)計(jì)人員通過不斷努力學(xué)習(xí),靈活運(yùn)用并操作,使企業(yè)實(shí)現(xiàn)雙贏。只有端正會(huì)計(jì)人員的工作態(tài)度,意識到會(huì)計(jì)信息化對提高工作效率、完成工作目標(biāo)起到的重要作用,才能加快企業(yè)會(huì)計(jì)信息化建設(shè)的步伐,使企業(yè)快速發(fā)展。
(三)建立網(wǎng)絡(luò)安全防范體系
隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)安全事故越來越頻繁,所以網(wǎng)絡(luò)安全防范體系是企業(yè)會(huì)計(jì)信息化建設(shè)的安全保障,沒有安全防范體系的建立企業(yè)信息化建設(shè)只是泡影,它是確保企業(yè)信息化建設(shè)順利進(jìn)行的最后屏障。首先,企業(yè)財(cái)務(wù)管理部門要制定嚴(yán)格的規(guī)章制度,規(guī)定會(huì)計(jì)人員嚴(yán)格按照程序進(jìn)行辦理事物,并對軟件系統(tǒng)的操作和管理設(shè)置專人負(fù)責(zé)多人監(jiān)督,杜絕相關(guān)人員進(jìn)行違規(guī)操作或者監(jiān)守自盜的現(xiàn)象;其次,企業(yè)與軟件公司合作,為企業(yè)會(huì)計(jì)信息化管理量身設(shè)置防護(hù)軟件并及時(shí)更新,通過防火墻、加密、設(shè)置口令等識別技術(shù)保證企業(yè)財(cái)務(wù)信息、網(wǎng)站不被黑客攻擊,防止企業(yè)重要信息泄露、被盜的現(xiàn)象;最后,提高操作人員的保密意識和安全意識,做到‘不該說的不說、不該做的不做’,嚴(yán)格履行自己的職責(zé)和義務(wù),避免個(gè)人失誤為企業(yè)帶來不必要的損失。
三、結(jié)語
(1)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全。
現(xiàn)階段,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不夠健全,未能達(dá)成建立在供電企業(yè)內(nèi)部網(wǎng)絡(luò)信息化的理想狀態(tài)。中部市、縣級供電公司因?yàn)闂l件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個(gè)健全的內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運(yùn),財(cái)務(wù)、營銷、生產(chǎn)各專業(yè)都有相關(guān)的信息系統(tǒng)投入應(yīng)用,相對薄弱的網(wǎng)絡(luò)系統(tǒng)必將成為整個(gè)信息管理模式的最短板。
(2)存在于網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多。
目前在我國供電企業(yè)中,網(wǎng)絡(luò)信息化管理并未建立一個(gè)完整系統(tǒng)的體系,供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲(chǔ)等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡(luò)平臺(tái)的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項(xiàng)系統(tǒng)的工程,未能有專門的部門來負(fù)責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看,計(jì)算機(jī)病毒,黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計(jì)算機(jī)準(zhǔn)入技術(shù),可移動(dòng)存儲(chǔ)介質(zhì)加密技術(shù)的應(yīng)用,給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實(shí)是:操作系統(tǒng)正版化程度嚴(yán)重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計(jì)算機(jī)網(wǎng)絡(luò)病毒的出現(xiàn),就會(huì)對企業(yè)內(nèi)部計(jì)算機(jī)進(jìn)行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡(luò)一個(gè)有機(jī)可乘的機(jī)會(huì),對計(jì)算機(jī)系統(tǒng)進(jìn)行惡意破壞,導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。不法分力趁機(jī)竊取國家供電企業(yè)的相關(guān)文件,篡改供電系統(tǒng)相關(guān)數(shù)據(jù),對國家供電系統(tǒng)進(jìn)行毀滅性的攻擊,甚至致使整個(gè)供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網(wǎng)絡(luò)信息的安全,就必須要提高供電企業(yè)員工的綜合素質(zhì),目前國內(nèi)供電企業(yè)職員的安全防范意識不強(qiáng),水平參差不齊,多數(shù)為年輕職員,實(shí)際操作的能力較低,缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡(luò)技術(shù)相脫軌。
2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用
造成供電企業(yè)的信息安全的威脅主要來自兩個(gè)方面,一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅,另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計(jì)算機(jī)對網(wǎng)絡(luò)安全進(jìn)行監(jiān)督和管理,難以保證所有計(jì)算機(jī)完全處在安全狀態(tài)。一般情況下某臺(tái)計(jì)算機(jī)泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強(qiáng)我國供電企業(yè)進(jìn)行安全的管理,建立病毒防護(hù)體系,及時(shí)更新網(wǎng)絡(luò)防病毒軟件,針對性地引進(jìn)遠(yuǎn)程協(xié)助設(shè)備,提高警報(bào)設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個(gè)較為龐大且繁雜的系統(tǒng),在這個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險(xiǎn),對經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行剖析,制定針對性的風(fēng)險(xiǎn)評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險(xiǎn)評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險(xiǎn)評估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡單的廣告詞語,還是國家和各個(gè)企業(yè)都應(yīng)該一直貫徹落實(shí)的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控,國家相關(guān)部門就必須實(shí)行自主研發(fā)信息安全管理體系,有效地運(yùn)用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機(jī)制的相結(jié)合,大力開發(fā)信息網(wǎng)絡(luò),促進(jìn)科技管理水平的快速提高,以保證我國供電信息管理的安全。
3結(jié)語
關(guān)鍵詞:企業(yè);網(wǎng)絡(luò)安全;措施分析
引言
雖然煤礦企業(yè)未發(fā)生過重大的網(wǎng)絡(luò)安全事件,但從大范圍來看,每年因病毒、黑客及其他人為因素對網(wǎng)絡(luò)經(jīng)濟(jì)造成的損失也頗為嚴(yán)重,本文從網(wǎng)絡(luò)安全存在的問題及措施方法上進(jìn)行分析。
1.企業(yè)網(wǎng)絡(luò)信息安全存在的幾點(diǎn)問題
1.1人為的惡意攻擊
人為惡意攻擊主要有兩種:一是以各種方式有選擇的破壞信息的機(jī)密性、可用性,是主動(dòng)攻擊;二是在不影響網(wǎng)絡(luò)正常工作的情況下,對重要信息進(jìn)行截獲、竊取,是被動(dòng)攻擊。以上兩種情況均會(huì)對計(jì)算機(jī)網(wǎng)絡(luò)造成極大危害,導(dǎo)致企業(yè)辦公數(shù)據(jù)的流失。
1.2人為的無意失誤
主要表現(xiàn)在,安全配置不當(dāng)造成的安全漏洞,或是用戶安全意識不強(qiáng)、用戶將自己帳號隨意轉(zhuǎn)借他人,內(nèi)部人員的操作失誤也會(huì)對網(wǎng)絡(luò)安全帶來危害。
1.3網(wǎng)絡(luò)病毒的威脅
網(wǎng)絡(luò)病毒指蠕蟲、惡意代碼、垃圾郵件等通過各種途徑侵入企業(yè)內(nèi)部網(wǎng)絡(luò),用戶如果未及時(shí)安裝殺毒軟件、或是在安裝完自己的辦公桌面系統(tǒng)后未進(jìn)行有效措施而直接連接到危險(xiǎn)的開放網(wǎng)絡(luò)環(huán)境中,或是終端用戶在使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)時(shí)將病毒、蠕蟲帶入到企業(yè)網(wǎng)絡(luò)中,給企業(yè)信息基礎(chǔ)設(shè)施和重要資料造成損失。
2.為加強(qiáng)單位內(nèi)部企業(yè)辦公網(wǎng)絡(luò)的安全管理工作,需做好以下幾點(diǎn)安全防范措施
2.1進(jìn)行網(wǎng)絡(luò)規(guī)范化管理
嚴(yán)格規(guī)范的管理制度是保證正常發(fā)展運(yùn)行的關(guān)鍵,網(wǎng)絡(luò)安全與井下生產(chǎn)安全一樣,都需要有規(guī)范的作業(yè)流程,網(wǎng)絡(luò)應(yīng)用的制度需要注意兩方面:一是制度網(wǎng)絡(luò)管理者職責(zé),將系統(tǒng)維護(hù)、數(shù)據(jù)備份、操作步驟進(jìn)行具體化;二是制定機(jī)房管理制度,防止進(jìn)行非法計(jì)算機(jī)操作。
2.2進(jìn)行系統(tǒng)設(shè)置
網(wǎng)絡(luò)系統(tǒng)的設(shè)置關(guān)系著整個(gè)網(wǎng)絡(luò)安全的運(yùn)轉(zhuǎn)過程,網(wǎng)絡(luò)在建設(shè)初期首要考慮的便是安全問題,比如是否增設(shè)防火墻、是否采用雙機(jī)備份等,網(wǎng)絡(luò)系統(tǒng)本身也制定了備份和數(shù)據(jù)恢復(fù)策略,對原始數(shù)據(jù)和每年數(shù)據(jù)進(jìn)行異地封存,網(wǎng)絡(luò)安全不僅包括軟(硬)件系統(tǒng)安全,更主要的是數(shù)據(jù)信息的安全。隨著網(wǎng)絡(luò)系統(tǒng)的不斷優(yōu)化,數(shù)據(jù)的安全也得到了保證。
2.3進(jìn)行安全技術(shù)培訓(xùn)
安全技術(shù)是每一個(gè)計(jì)算機(jī)工作者都應(yīng)遵守的,在擁有制度和配置的同時(shí),還應(yīng)不斷提高計(jì)算機(jī)工作人員的技術(shù)水平,有時(shí)一個(gè)小小的失誤,小小的泄密,都會(huì)對網(wǎng)絡(luò)系統(tǒng)帶來危害,影響網(wǎng)絡(luò)安全。為此,在遵守制度的同時(shí),需做好規(guī)范操作,還應(yīng)加強(qiáng)技術(shù)培訓(xùn)。
2.3.1加密技術(shù)
一、秘密密鑰加密(對稱加密技術(shù)),是加密和解密使用同一把秘鑰,具有算法公開、運(yùn)算量小、加密速度快等優(yōu)點(diǎn),但在分布網(wǎng)絡(luò)環(huán)境中應(yīng)用較為困難,密鑰的數(shù)量較大,存在失密情況,管理較為困難。秘密密鑰加密技術(shù)常用算法有DES、IDEA等。
二、公用密鑰加密(非對稱密鑰加密技術(shù)),其包括公用密鑰和私用密鑰兩個(gè)密鑰。通信時(shí),發(fā)送方用公用密鑰對信息進(jìn)行加密,接收方對收到的信息用私用密鑰進(jìn)行解密。公用密鑰加密技術(shù)具有運(yùn)算復(fù)雜,加密解密效率低等特點(diǎn),但公用密鑰加密很適合應(yīng)用于分布式環(huán)境,一來簡化了密鑰管理難度,二是避免了失密情況的發(fā)生。公用密鑰加密技術(shù)常用算法有RSA等。
2.3.2防火墻技術(shù)
防火墻有軟件防火墻和硬件防火墻之分,按照防范模式與側(cè)重點(diǎn)可分為三種:一是包過濾型,其直接轉(zhuǎn)發(fā)數(shù)據(jù)包,邏輯簡單,速度快,對用戶透明等優(yōu)點(diǎn),但該功能是在網(wǎng)絡(luò)層實(shí)現(xiàn)的,無法對更高層的信息進(jìn)行解析,不具備防范高層的安全威脅。二是服務(wù)型,用來連接防火墻的內(nèi)外網(wǎng)絡(luò),外部網(wǎng)絡(luò)用戶不可直接訪問內(nèi)部資源,只能到達(dá)服務(wù)器,起到隔離的作用,保護(hù)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu),增強(qiáng)網(wǎng)絡(luò)安全性。三是應(yīng)用網(wǎng)關(guān)型,是建立在網(wǎng)絡(luò)應(yīng)用層,通過一臺(tái)專用計(jì)算機(jī)來完成。
2.3.3身份確認(rèn)技術(shù)和數(shù)字簽名技術(shù)
為保證網(wǎng)絡(luò)連接的合法性,在用戶同網(wǎng)上另一用戶連接時(shí),首先對用戶的身份進(jìn)行合法驗(yàn)證,防止非法用戶的連接,即身份確認(rèn)技術(shù)。數(shù)字簽名技術(shù)則是防止通信雙方的任何一方對自己行為的否認(rèn),保證數(shù)據(jù)的正常發(fā)送和接收,滿足網(wǎng)上交易要求。
2.4入侵檢測技術(shù)和漏洞掃描
入侵檢測技術(shù)一種主動(dòng)型網(wǎng)絡(luò)安全防護(hù)技術(shù),包括兩種,一是基于知識的入侵檢測,將已知的入侵行為為基礎(chǔ)信息來檢測入侵的出現(xiàn)。二是基于行為的入侵檢測,將被監(jiān)控系統(tǒng)的正常行為信息作為檢測入侵和異常活動(dòng)的依據(jù)。通過主動(dòng)對網(wǎng)絡(luò)系統(tǒng)資源的信息采集,分析將要出現(xiàn)的網(wǎng)絡(luò)攻擊,對其做出處理,并在不影響網(wǎng)絡(luò)性能的條件下,進(jìn)行網(wǎng)絡(luò)監(jiān)測,對網(wǎng)絡(luò)內(nèi)部攻擊、外部攻擊、失誤操作等進(jìn)行及時(shí)防護(hù)。
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全;防范措施;安全技術(shù)
一、前言
隨著互聯(lián)網(wǎng)技術(shù)的日新月異,計(jì)算機(jī)網(wǎng)絡(luò)已為全社會(huì)廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)之間的互聯(lián)互通,實(shí)現(xiàn)了信息資源的網(wǎng)上的共有,具有對網(wǎng)民開放友好的特點(diǎn)。在信息時(shí)代,人們須臾無法離開網(wǎng)絡(luò)。從歷史上看,互聯(lián)網(wǎng)技術(shù)經(jīng)歷了兩次飛躍:第一次飛躍是從保證網(wǎng)絡(luò)簡單互聯(lián)的第一代互聯(lián)網(wǎng)技術(shù)過渡到信息服務(wù)為主要特點(diǎn)的第二代互聯(lián)網(wǎng)技術(shù);第二次飛躍是從第二代技術(shù)發(fā)展到以企業(yè)網(wǎng)絡(luò)信息為主導(dǎo)的第三代互聯(lián)網(wǎng)技術(shù)。但是,網(wǎng)絡(luò)的發(fā)展也讓網(wǎng)絡(luò)安全問題變成了一個(gè)不容忽視的大問題。網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)上具有先天的缺陷,對網(wǎng)絡(luò)安全問題重視不足。加之,網(wǎng)絡(luò)的特性決定了它在使用和管理上的失序和混亂狀態(tài)。這使它在技術(shù)特性上具有天生的網(wǎng)絡(luò)安全隱憂。此外,雖然我國的計(jì)算機(jī)行業(yè)進(jìn)展神速、化蛹成蝶,但是計(jì)算機(jī)核心部件的制造卻為國外企業(yè)所控制,軟件的研發(fā)也無法擺脫國外的限制,這使我國的網(wǎng)絡(luò)安全問題變得異常嚴(yán)峻。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全概述
網(wǎng)絡(luò)系統(tǒng)由計(jì)算機(jī)或者服務(wù)器的軟硬件和系統(tǒng)數(shù)據(jù)組成。網(wǎng)絡(luò)安全技術(shù)采擷和合成于多種學(xué)科的技術(shù)精華,比如計(jì)算機(jī)、網(wǎng)絡(luò)與通信、密碼學(xué)、信息安全、信息論、應(yīng)用數(shù)學(xué)和數(shù)論等。
2.1網(wǎng)絡(luò)最初的設(shè)計(jì)理念
為了信息傳遞的便捷,網(wǎng)絡(luò)最初僅在小范圍內(nèi)應(yīng)用。后來,隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步,人們逐漸把一個(gè)個(gè)的局域網(wǎng)連接起來,從而形成了世界范圍內(nèi)的萬維網(wǎng)。網(wǎng)絡(luò)的相互連接給敏感信息的傳遞構(gòu)成了潛在威脅。同時(shí),網(wǎng)絡(luò)產(chǎn)品賴以存在的基礎(chǔ)網(wǎng)絡(luò)協(xié)議本身也存在安全隱憂。
2.2網(wǎng)絡(luò)的開放性
因特網(wǎng)的開放性與資源的豐富性為黑客的攻擊行為提供了機(jī)會(huì)。由此,網(wǎng)絡(luò)共享與網(wǎng)絡(luò)安全構(gòu)成了一對難以分開的矛盾。
2.3網(wǎng)絡(luò)的可控性變差
因?yàn)楦鞣N需要,局域網(wǎng)總是以某種形式與外界的公眾網(wǎng)相連。這種網(wǎng)絡(luò)上的相互連通,使得網(wǎng)絡(luò)中的某個(gè)薄弱環(huán)節(jié)容易被攻擊而引起整個(gè)安全體系的崩潰。由此造成了網(wǎng)絡(luò)的無法自主控制的因素增多,網(wǎng)絡(luò)安全無法得到切實(shí)保證。
三、計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅
當(dāng)前,網(wǎng)絡(luò)面臨著包括信息安全和網(wǎng)絡(luò)設(shè)施在內(nèi)的全方位的威脅,主要是有四方面的原因:第一,人員的不當(dāng)操作和管理造成的安全漏洞,比如口令外泄,防護(hù)系統(tǒng)沒有得到及時(shí)更新等。第二,黑客的主動(dòng)攻擊或者被動(dòng)攻擊行為造成的網(wǎng)絡(luò)安全問題,比如網(wǎng)絡(luò)入侵的非授權(quán)訪問行為和病毒傳播。第三,網(wǎng)絡(luò)軟件自帶的漏洞和“后門”留下的安全隱患以及木馬程序等。第四,不當(dāng)管理對網(wǎng)絡(luò)設(shè)施造成的損害以及各種自然災(zāi)害對網(wǎng)絡(luò)安全造成的直接的或者間接的危險(xiǎn)。。網(wǎng)絡(luò)安全面臨的威脅的表現(xiàn)形式是多種多樣的。比如黑客對特定網(wǎng)絡(luò)的非法訪問和侵入、未經(jīng)授權(quán)的訪問、破壞網(wǎng)絡(luò)數(shù)據(jù)的行為、用不當(dāng)?shù)男袨閷ο到y(tǒng)運(yùn)行的干擾和破壞和把病毒傳播到網(wǎng)絡(luò)上去等等。
四、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施
要很好地實(shí)現(xiàn)網(wǎng)絡(luò)安全,需要建立一套有效運(yùn)轉(zhuǎn)的安全體系,讓技術(shù)、裝備、管理及立法等各個(gè)層面的因素得到很好地落實(shí)和協(xié)調(diào)。總的說來,計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施就是采取通過不斷提供技術(shù)水平以防御外部的入侵和對現(xiàn)有的數(shù)據(jù)系統(tǒng)進(jìn)行實(shí)時(shí)備份兩種思路。
4.1傳統(tǒng)技術(shù)
4.1.1防火墻
防火墻是一套專屬的軟件或硬件系統(tǒng),邏輯上起到隔離、制約和研判的作用。它可以設(shè)定訪問的權(quán)限、篩選信息。但是,防火墻不能防范來自內(nèi)網(wǎng)的攻擊行為,也無法抵御一些破譯辦法,因而有相當(dāng)?shù)木窒扌浴?/p>
4.1.2訪問控制的技術(shù)
訪問控制技術(shù)就是設(shè)定不同的訪問等級,不同等級的訪問者在特定網(wǎng)絡(luò)可以獲取相應(yīng)等級的信息資源,并限制未授權(quán)客戶獲取數(shù)據(jù)的技術(shù)。它是網(wǎng)絡(luò)安全防護(hù)一種主要策略,目的是防止對網(wǎng)絡(luò)資源的濫用。
4.1.3網(wǎng)絡(luò)防病毒的技術(shù)
病毒是能夠大量自我復(fù)制和傳播以破壞計(jì)算機(jī)正常運(yùn)行的一種程序。網(wǎng)絡(luò)防病毒技術(shù)分為防御、檢測和清除技術(shù)等,一般采用“服務(wù)器—工作站”工作模式。應(yīng)用網(wǎng)絡(luò)防病毒技術(shù),必須建立一套全面和分層的防病毒系統(tǒng),并經(jīng)常進(jìn)行系統(tǒng)升級,以保網(wǎng)絡(luò)安全無憂。
4.1.4數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是指運(yùn)用加法運(yùn)算和重新編碼以實(shí)現(xiàn)對信息的隱藏,保護(hù)信息系統(tǒng)和數(shù)據(jù)的安全。根據(jù)加密密鑰與解密密鑰是否一致性,可分為私鑰加密和公鑰加密。總之,密鑰的保密與管理對于數(shù)據(jù)系統(tǒng)的安全性非常關(guān)鍵。
4.1.5容災(zāi)技術(shù)
容災(zāi)技術(shù)是指數(shù)據(jù)災(zāi)難發(fā)生時(shí),盡量減少數(shù)據(jù)的損失和保持系統(tǒng)的正常運(yùn)行的一種技術(shù)。從對系統(tǒng)的保護(hù)來劃分,容災(zāi)技術(shù)可分為對數(shù)據(jù)的保護(hù)技術(shù)和對應(yīng)用系統(tǒng)的保護(hù)技術(shù),基本含義是建立一套數(shù)據(jù)系統(tǒng)或者生產(chǎn)系統(tǒng)的備份。
4.2新型技術(shù)
4.2.1入侵檢測系統(tǒng)技術(shù)(IDS)
入侵檢測系統(tǒng)技術(shù)是通過對網(wǎng)絡(luò)或者計(jì)算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)的信息收集和分析,檢測用戶行為是否合法,以主動(dòng)行為保護(hù)自身免受攻擊的動(dòng)態(tài)安全策略。它綜合了從信息識別到報(bào)警響應(yīng)技術(shù)的一整套技術(shù)。入侵檢測系統(tǒng)技術(shù)可以實(shí)現(xiàn)對內(nèi)外部攻擊和誤操作的實(shí)時(shí)防護(hù),事先攔截入侵行為。在可以預(yù)期的未來,入侵檢測系統(tǒng)技術(shù)將更加智能和云分布。
4.2.2虛擬專用網(wǎng)(VPN)技術(shù)
虛擬專用網(wǎng)技術(shù)是由互聯(lián)網(wǎng)服務(wù)提供商或者其他網(wǎng)絡(luò)服務(wù)提供商建立的、基于公共數(shù)據(jù)網(wǎng)的一種資源動(dòng)態(tài)技術(shù)。虛擬專用網(wǎng)技術(shù)通過隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù),以保護(hù)網(wǎng)絡(luò)的安全性。
4.2.3云安全技術(shù)
云安全是對云計(jì)算安全的技術(shù)回應(yīng)。云計(jì)算以分布式處理、并行處理和網(wǎng)絡(luò)技術(shù)的方式把計(jì)算散布在網(wǎng)絡(luò)上。黑客在云端互動(dòng)環(huán)節(jié)攻擊數(shù)據(jù)中心,造成了云安全問題。云安全,依靠巨量的網(wǎng)絡(luò)服務(wù),實(shí)時(shí)即時(shí)采集、分析和處理病毒。云安全是一門嶄新的網(wǎng)路安全技術(shù),許多問題有待深入研究。
4.3管理使用及立法
最好的網(wǎng)絡(luò)安全技術(shù)也需要合理的管理措施和立法加以配合和保護(hù)。
4.3.1對設(shè)備的管理
應(yīng)當(dāng)建設(shè)標(biāo)準(zhǔn)機(jī)房,制定相應(yīng)的機(jī)房管理標(biāo)準(zhǔn),抵御自然災(zāi)害和人為破壞的安全威脅。并且經(jīng)常性地排查安全隱患。
4.3.2開展網(wǎng)絡(luò)安全教育和網(wǎng)絡(luò)道德教育,增強(qiáng)網(wǎng)絡(luò)安全防范意識
培養(yǎng)網(wǎng)民和網(wǎng)絡(luò)管理員的安全意識,了解網(wǎng)絡(luò)安全防范措施,養(yǎng)成定期查毒殺毒和排查網(wǎng)絡(luò)安全隱患的良好習(xí)慣。通過制度化的宣傳教育活動(dòng),教育廣大網(wǎng)民增強(qiáng)網(wǎng)絡(luò)道德觀,不做網(wǎng)絡(luò)安全違法行為。
4.3.3制定和遵守網(wǎng)絡(luò)安全規(guī)章制度
參照國家和行業(yè)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范,對信息管理和系統(tǒng)流程的各個(gè)環(huán)節(jié)進(jìn)行安全評估,設(shè)定安全等級,制定本部門的操作規(guī)范。
4.3.4完善網(wǎng)絡(luò)安全立法,加強(qiáng)網(wǎng)絡(luò)法律監(jiān)管
借鑒國外成功的立法實(shí)踐經(jīng)驗(yàn),針對我國網(wǎng)絡(luò)安全的現(xiàn)實(shí)情況,盡快制定和實(shí)施網(wǎng)絡(luò)安全的相關(guān)性法律。在此基礎(chǔ)之上,網(wǎng)絡(luò)法律的執(zhí)法力度,制止和打擊網(wǎng)絡(luò)安全的違法犯罪行為,遏制網(wǎng)絡(luò)安全不法行為多發(fā)的現(xiàn)象,凈化網(wǎng)絡(luò)環(huán)境。
五、結(jié)束語
總之,網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)亟待解決的重要的計(jì)算機(jī)行業(yè)的發(fā)展問題。通過國家、社會(huì)、網(wǎng)絡(luò)使用單位和廣大網(wǎng)民的共同努力,網(wǎng)絡(luò)安全的發(fā)展一定打開新的局面。
參考文獻(xiàn)
[1]彭沙沙,張紅梅卞,東亮.計(jì)算機(jī)網(wǎng)絡(luò)安全分析研究.現(xiàn)代電子技術(shù)[J].2012.4:109-112,116
[2]宋國云等.有效改善計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施.電腦知識與技術(shù)[J].2014.4:721-723
[3]孫志寬.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施研究.才智[J].2014.32:347
在過去的2012年,發(fā)生了很多起DoS和DDoS攻擊事件,Radware緊急響應(yīng)團(tuán)隊(duì)(ERT)于2013年年初的一份年度安全報(bào)告詳細(xì)描述了這些攻擊事件,并且在報(bào)告中指出,在33%的DoS和DDoS攻擊事件中,防火墻和IPS設(shè)備變成了主要的瓶頸設(shè)備。
為何防火墻與IPS不能有效應(yīng)對DDoS攻擊?
答案很簡單,防火墻與IPS最初并不是為了應(yīng)對DDoS攻擊而設(shè)計(jì)的。防火墻和IPS的設(shè)計(jì)目的是檢測并阻止單一實(shí)體在某個(gè)時(shí)間發(fā)起的入侵行為,而非為了探測那些被百萬次發(fā)送的貌似合法數(shù)據(jù)包的組合行為。為了更好說明這一觀點(diǎn),接下來的說明可以解釋防火墻和IPS在有效阻止DDoS攻擊時(shí)的種種缺陷。
防火墻和IPS是狀態(tài)監(jiān)測設(shè)備
作為狀態(tài)監(jiān)測設(shè)備,防火墻和IPS可以跟蹤檢查所有連接,并將其存儲(chǔ)在連接表里。每個(gè)數(shù)據(jù)包都與連接表相匹配,以確認(rèn)該數(shù)據(jù)包是通過已經(jīng)建立的合法連接進(jìn)行傳輸?shù)摹?/p>
一個(gè)典型的連接表可以存儲(chǔ)成千上萬個(gè)活動(dòng)連接,足以滿足正常的網(wǎng)絡(luò)訪問活動(dòng)。但是,DDoS攻擊每秒可能會(huì)發(fā)送數(shù)千個(gè)數(shù)據(jù)包。作為企業(yè)網(wǎng)絡(luò)中處理流量的窗口設(shè)備,防火墻或IPS將會(huì)在連接表中為每一個(gè)惡意數(shù)據(jù)包創(chuàng)建一個(gè)新連接表項(xiàng),這會(huì)導(dǎo)致連接表空間被快速耗盡。一旦連接表達(dá)到其最大容量,就不再允許打開新的連接,最終會(huì)阻止合法用戶建立連接。
專用的DDoS攻擊緩解設(shè)備使用的是一種無狀態(tài)保護(hù)機(jī)制,它可以處理數(shù)百萬個(gè)連接嘗試,無需連接表項(xiàng)的介入,也不會(huì)導(dǎo)致其它系統(tǒng)資源的耗盡。
防火墻和IPS不能區(qū)分惡意用戶和合法用戶
諸如HTTP洪水等諸多DDoS攻擊是由數(shù)百萬個(gè)合法會(huì)話構(gòu)成的。每個(gè)會(huì)話本身都是合法的,防火墻和IPS無法將其標(biāo)記為威脅。這主要是因?yàn)榉阑饓虸PS不具有對數(shù)百萬并發(fā)會(huì)話的行為進(jìn)行全面觀察與分析的能力,只能對單個(gè)會(huì)話進(jìn)行檢測,這就削弱了防火墻或IPS對由數(shù)百萬個(gè)合法請求構(gòu)成的攻擊的識別能力。
防火墻和IPS在網(wǎng)絡(luò)中的部署位置不合適
物流管理信息系統(tǒng)是由人員、計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)通信設(shè)備及其他辦公設(shè)備組成的人機(jī)交互系統(tǒng),其主要功能是進(jìn)行物流信息的收集、存儲(chǔ)、傳輸、加工整理、維護(hù)和輸出,為物流管理者及其它組織管理人員提供戰(zhàn)略、戰(zhàn)術(shù)及運(yùn)作決策的支持。當(dāng)前,越來越多的物流企業(yè)建立了自己的物流信息系統(tǒng),利用Internet開展業(yè)務(wù)管理和信息服務(wù),不但提高了企業(yè)內(nèi)部運(yùn)作效率、客戶服務(wù)質(zhì)量,而且提高了市場反應(yīng)速度、決策效率和企業(yè)的綜合競爭力。對物流企業(yè)而言,網(wǎng)絡(luò)和信息系統(tǒng)數(shù)據(jù)安全是經(jīng)營活動(dòng)得以正常持續(xù)開展的前提和基礎(chǔ),因此,充分利用各種安全防范技術(shù),建立多道嚴(yán)密的安全防線,最大限度地保護(hù)物流管理信息系統(tǒng)和各種數(shù)據(jù)的安全,是非常必要的。
2物流管理信息系統(tǒng)的安全體系層次結(jié)構(gòu)
一個(gè)完整的網(wǎng)絡(luò)安全防范體系分為不同層次,不同層次反映了不同的安全問題,根據(jù)系統(tǒng)結(jié)構(gòu),物流管理信息系統(tǒng)安全體系可劃分為物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全和管理安全五個(gè)層次,各個(gè)層次間的關(guān)系如圖1所示。
2.1物理層安全
包括機(jī)房的安全,各種物理設(shè)備的安全,通信線路的安全等。物理層是構(gòu)建信息網(wǎng)絡(luò)和進(jìn)行網(wǎng)絡(luò)傳輸?shù)幕A(chǔ),因而物理層安全是一切安全性的起點(diǎn)。但物理層是所有組成網(wǎng)絡(luò)設(shè)施的元素中最容易被忽視的,人們往往將更多的精力放在更高層網(wǎng)絡(luò)結(jié)構(gòu)的管理和服務(wù)上,卻忽略了網(wǎng)絡(luò)傳輸?shù)幕A(chǔ)——物理層。物理層安全主要體現(xiàn)在軟硬件設(shè)備的安全性、通信線路的可靠性、設(shè)備的防災(zāi)害及抗干擾能力、設(shè)備的備份、運(yùn)行環(huán)境、不間斷電源保障等方面。
2.2網(wǎng)絡(luò)層安全
網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的通路和渠道,許多安全問題都體現(xiàn)在網(wǎng)絡(luò)層的安全方面。網(wǎng)絡(luò)層安全包括:網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全,網(wǎng)絡(luò)層身份認(rèn)證,網(wǎng)絡(luò)掃描技術(shù),防火墻技術(shù),數(shù)據(jù)傳輸?shù)谋C芘c完整性,遠(yuǎn)程接入的安全,路由系統(tǒng)的安全,域名系統(tǒng)的安全,網(wǎng)絡(luò)實(shí)時(shí)入侵檢測手段等。
2.3系統(tǒng)層安全
操作系統(tǒng)安全也稱為主機(jī)安全,主要表現(xiàn)在以下三個(gè)方面:(1)計(jì)算機(jī)病毒對操作系統(tǒng)的威脅。(2)操作系統(tǒng)有其自身的缺陷和脆弱性,并由此帶來安全隱患,如系統(tǒng)漏洞、身份認(rèn)證、訪問控制等。現(xiàn)代操作系統(tǒng)代碼龐大,所有OS都在不同程度上存在安全漏洞,一些廣泛應(yīng)用的操作系統(tǒng)其安全漏洞更是廣為人知,如Unix,WindowsNT等。(3)操作系統(tǒng)的安全配置問題:系統(tǒng)管理員或使用人員對操作系統(tǒng)復(fù)雜的安全機(jī)制了解不夠,系統(tǒng)相關(guān)安全配置設(shè)置不當(dāng)也會(huì)造成安全隱患。
2.4應(yīng)用層安全
該層次的安全建立在網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫安全的基礎(chǔ)之上。網(wǎng)絡(luò)應(yīng)用系統(tǒng)復(fù)雜多樣,雖然采用特定的安全技術(shù)可以解決某些特殊應(yīng)用系統(tǒng)的安全問題,如對于Web的應(yīng)用、數(shù)據(jù)庫應(yīng)用、電子郵件應(yīng)用等,但由于許多企業(yè)的關(guān)鍵業(yè)務(wù)(如交易、管理控制、決策分析等)系統(tǒng)及重要數(shù)據(jù)都運(yùn)行在數(shù)據(jù)庫平臺(tái)上,那么,如果數(shù)據(jù)庫的安全無法保證,運(yùn)行其上的應(yīng)用系統(tǒng)也會(huì)被破壞或者非法訪問。
2.5管理層安全
管理的制度化是整個(gè)網(wǎng)絡(luò)管理信息系統(tǒng)安全的重要保障。嚴(yán)格的安全管理制度、合理的人員配置和明確的安全職責(zé)劃分可以在很大程度上降低其他層次的安全風(fēng)險(xiǎn)。管理層安全包括設(shè)備安全的管理、安全管理制度的制定與貫徹落實(shí)、部門與人員的組織規(guī)則、風(fēng)險(xiǎn)評估、安全性評價(jià)等。
3物流管理信息系統(tǒng)的安全防范策略
3.1身份認(rèn)證
身份驗(yàn)證又稱“驗(yàn)證”“、鑒權(quán)”,是指通過一定的技術(shù)手段,完成對用戶身份的確認(rèn),用戶名和口令識別是身份認(rèn)證中最常用的方式。在數(shù)據(jù)庫管理系統(tǒng)中,用戶名和口令是管理權(quán)限和訪問控制的一種安全措施。我們在系統(tǒng)設(shè)計(jì)中采用了Windows認(rèn)證、物流管理信息系統(tǒng)認(rèn)證和SQLServer認(rèn)證相結(jié)合的混合身份認(rèn)證模式。
3.2安裝殺毒軟件物流企業(yè)網(wǎng)絡(luò)安全性建設(shè)中最重要的一個(gè)環(huán)節(jié),就是對計(jì)算機(jī)病毒的防范。利用各種殺毒軟件防止病毒侵入系統(tǒng),是人們最為熟悉的安全防范措施。除此之外,病毒防范還需要有完善的管理規(guī)范,如:不使用盜版軟件;不打開來歷不明的電子郵件,不訪問不可靠的網(wǎng)站;對重要文件設(shè)置訪問權(quán)限或加密;特別重要的數(shù)據(jù)隨時(shí)備份保護(hù);及時(shí)升級殺毒軟件,并定期查殺病毒等等。在物流信息系統(tǒng)的具體設(shè)計(jì)中我們選擇了諾頓企業(yè)版防毒軟件,并結(jié)合相關(guān)的防病毒制度,有效地保障了系統(tǒng)的安全。
3.3配置防火墻
防火墻是設(shè)置在可信賴的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)之間的一系列部件的組合,是網(wǎng)絡(luò)安全的保護(hù)屏障,也是防范黑客攻擊的有效手段,它能通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn),并極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。在邏輯上,防火墻是一個(gè)限制器、分離器,還是一個(gè)分析器,能有效監(jiān)控因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間的活動(dòng),為內(nèi)部網(wǎng)絡(luò)提供了安全保證。在物流管理信息系統(tǒng)設(shè)計(jì)中我們選擇的是瑞星防火墻結(jié)合其他技術(shù)來構(gòu)建網(wǎng)絡(luò)防護(hù)系統(tǒng)。
3.4數(shù)據(jù)庫安全機(jī)制
數(shù)據(jù)庫是信息管理系統(tǒng)的基礎(chǔ),對物流公司來說,所有的合同、訂單以及交易信息都存儲(chǔ)在數(shù)據(jù)庫中,因而對數(shù)據(jù)庫的安全必須高度重視。數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫避免非法使用,防止數(shù)據(jù)的泄露、破壞或更改,主要體現(xiàn)在以下方面:(1)數(shù)據(jù)庫的存在安全;(2)數(shù)據(jù)庫可用性;(3)數(shù)據(jù)庫的機(jī)密性;(4)數(shù)據(jù)庫的完整性。數(shù)據(jù)庫安全機(jī)制可劃分為四個(gè)層次:用戶層、數(shù)據(jù)庫管理系統(tǒng)(DBMS)層、操作系統(tǒng)層、數(shù)據(jù)庫層,其中:(1)DBMS層安全機(jī)制通過訪問控制實(shí)現(xiàn),即設(shè)置不同用戶對數(shù)據(jù)庫各種對象的訪問權(quán)限,是數(shù)據(jù)庫管理系統(tǒng)最有效的安全手段,也是數(shù)據(jù)庫安全系統(tǒng)中的核心技術(shù)。訪問控制可以通過用戶分類和數(shù)據(jù)分類實(shí)現(xiàn)。(2)數(shù)據(jù)庫層的安全機(jī)制大多以加密技術(shù)來保證。數(shù)據(jù)庫加密是網(wǎng)絡(luò)系統(tǒng)中防止信息失真的最基本的防范技術(shù),也是數(shù)據(jù)安全的最后防線。在實(shí)際系統(tǒng)設(shè)計(jì)中,我們選擇MicrosoftSQLServer2000作為數(shù)據(jù)庫管理系統(tǒng),采取加密粒度為字段的數(shù)據(jù)存儲(chǔ)加密方式,實(shí)現(xiàn)了基于角色和口令的用戶訪問以及信息在網(wǎng)絡(luò)中的密文傳輸,大大提高了數(shù)據(jù)庫系統(tǒng)的安全性。
3.5數(shù)據(jù)備份
數(shù)據(jù)安全是物流管理信息系統(tǒng)安全的核心部分,這有兩方面的含義:一是邏輯上的安全,二是物理上的安全。前者需要系統(tǒng)的安全防護(hù),后者則需要數(shù)據(jù)存儲(chǔ)備份的保護(hù)。數(shù)據(jù)備份是系統(tǒng)數(shù)據(jù)可用性的最后一道防線,保證發(fā)生故障(主要是系統(tǒng)故障)后的數(shù)據(jù)恢復(fù)。沒有數(shù)據(jù)備份,就不可能恢復(fù)丟失的數(shù)據(jù),從而造成不可估量的損失。定期備份數(shù)據(jù)庫是最穩(wěn)妥也是比較兼價(jià)的防止系統(tǒng)故障的方法,能有效地恢復(fù)數(shù)據(jù)。人們經(jīng)常采用的數(shù)據(jù)庫備份方法有雙機(jī)熱備份、硬盤鏡象備份等。一個(gè)完整的數(shù)據(jù)庫備份策略需要考慮很多因素,包括備份周期、使用靜態(tài)備份還是動(dòng)態(tài)備份(動(dòng)態(tài)備份也即允許數(shù)據(jù)庫運(yùn)行時(shí)進(jìn)行備份)、使用全備份還是結(jié)合增量備份、備份介質(zhì)、人工備份還是系統(tǒng)自動(dòng)備份等等。出于成本方面的考慮,我們采用了比較經(jīng)濟(jì)的異機(jī)備份形式,使用MsSQLServer2000的自動(dòng)備份功能和異機(jī)傳送工具來實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)備份,并根據(jù)物流企業(yè)的業(yè)務(wù)量或數(shù)據(jù)重要程度選擇合適的備份計(jì)劃,設(shè)置定時(shí)(可以是每周、每月、每日或每時(shí))由計(jì)算機(jī)自動(dòng)把服務(wù)器中數(shù)據(jù)庫的數(shù)據(jù)傳送到另外工作站機(jī)的數(shù)據(jù)庫中。此外,還需要定期把某些表或全部數(shù)據(jù)備份到光盤、U盤中,妥善保管。
3.6管理層面的安全防范
物流管理信息系統(tǒng)的安全保障是由技術(shù)、管理和人的作用共同決定的。利用技術(shù)手段獲得的安全畢竟是有限的,而所有的策略、技術(shù)、工具的使用和管理都要依靠人,因此對物流管理信息系統(tǒng)的安全從管理層面的防范至關(guān)重要。這需要制定體系化的安全管理制度,如:系統(tǒng)信息安全備份及相關(guān)的操作規(guī)程,系統(tǒng)和數(shù)據(jù)庫的安全管理制度,網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)設(shè)施控制和相關(guān)的操作規(guī)程,等等。
關(guān)鍵詞:校園網(wǎng);安全策略
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2011)18-4326-02
隨著“校校通”工程的建設(shè),很多學(xué)校都相繼建成或正在建設(shè)校園網(wǎng)。校園網(wǎng)的投入使用,加快了信息處理速度,提高了勞動(dòng)效率,實(shí)現(xiàn)資源共享,實(shí)現(xiàn)了管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化。但是現(xiàn)在網(wǎng)絡(luò)環(huán)境復(fù)雜,網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊肆虐,又加上校園網(wǎng)獨(dú)有的特點(diǎn),校園網(wǎng)用戶眾多,校園網(wǎng)的安全也受到很大威脅。如何保證校園網(wǎng)不受攻擊和破壞,保證校園網(wǎng)的安全暢通,是各院校網(wǎng)絡(luò)管理的首要任務(wù)。
1 校園網(wǎng)絡(luò)的特點(diǎn)
校園網(wǎng)因其獨(dú)特的功能和用戶群體,呈現(xiàn)出與政府或企業(yè)網(wǎng)不同的特點(diǎn),從而導(dǎo)致校園網(wǎng)的安全管理。
1)校園網(wǎng)的速度快和規(guī)模大。高校校園網(wǎng)是最早的寬帶網(wǎng)絡(luò),主干網(wǎng)普遍使用千兆甚至萬兆,百兆交換到桌面的解決方案,它全面提升了整個(gè)校園網(wǎng)的網(wǎng)絡(luò)性能,滿足各種數(shù)據(jù)的通訊和網(wǎng)絡(luò)應(yīng)用的需要。另外,在社會(huì)上,學(xué)生是網(wǎng)絡(luò)應(yīng)用比較多的群體,因此,校園網(wǎng)的用戶群體一般也較大。正是由于高帶寬和大用戶量的特點(diǎn),網(wǎng)絡(luò)安全問題一般蔓延快、對網(wǎng)絡(luò)的影響比較嚴(yán)重。
2)計(jì)算機(jī)系統(tǒng)比較復(fù)雜導(dǎo)致管理難度增大。校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)的購置和管理情況非常復(fù)雜,學(xué)生的電腦一般是學(xué)生自己花錢購買、自己維護(hù),而辦公電腦有的是是統(tǒng)一采購、有專門的技術(shù)人員負(fù)責(zé)維護(hù),有的則是教師自主購買、沒有專人維護(hù)的。這種情況下要求所有的端系統(tǒng)實(shí)施統(tǒng)一的安全政策是非常困難的。由于沒有統(tǒng)一的系統(tǒng)維護(hù)人員、統(tǒng)一的資產(chǎn)管理和設(shè)備管理,使系統(tǒng)存在很多安全盲點(diǎn),并且出現(xiàn)安全問題后通常無法分清責(zé)任。
3)活躍的用戶群體。學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶,對于網(wǎng)絡(luò)中的新事物通常充滿好奇。如果沒有意識到后果的嚴(yán)重性,有些學(xué)生會(huì)嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù),可能對網(wǎng)絡(luò)造成一定的影響和破壞。
4)開放的網(wǎng)絡(luò)環(huán)境。由于教學(xué)和科研的需要,校園網(wǎng)絡(luò)比其他網(wǎng)絡(luò)更加開放,管理更為寬松,使其安全隱患更為嚴(yán)重。比如,企業(yè)網(wǎng)可以限制一些Web的瀏覽,可以對某些電子郵件進(jìn)行限制,可以進(jìn)行流量限制,甚至禁止外部發(fā)起的連接進(jìn)入防火墻,但是在校園網(wǎng)環(huán)境下通常是行不通的,否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實(shí)施。
5)盜版資源泛濫。由于缺乏統(tǒng)一的管理,網(wǎng)絡(luò)資源豐富,盜版軟件、影視資源在校園網(wǎng)中的普遍使用,這些資源的使用占用了大量的網(wǎng)絡(luò)帶寬,另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。并且從網(wǎng)絡(luò)上下載的軟件中很可能隱藏木馬程序、后門等惡意代碼,下載到系統(tǒng)后被攻擊者侵入和利用,甚至被利用來作為攻擊源。
以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標(biāo)。
2 校園網(wǎng)面臨的安全隱患
1)計(jì)算機(jī)操作系統(tǒng)及軟件漏洞。
不管是目前應(yīng)用最廣泛的微軟windows操作系統(tǒng),還是開放源代碼的Linux或者Unix操作系統(tǒng),都存在著系統(tǒng)安全漏洞。在網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中,由于操作系統(tǒng)自身不夠完善,針對系統(tǒng)漏洞本身的攻擊較多,且影響也較嚴(yán)重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標(biāo)。
2)校園網(wǎng)用戶多,安全意識薄弱。
校園網(wǎng)的絕大多數(shù)用戶是學(xué)生,學(xué)生接受能力強(qiáng),對新事物好奇心強(qiáng),對網(wǎng)絡(luò)安全也造成一定危害。一方面,部分學(xué)生對網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的了解少之又少,很容易感染病毒,被黑客攻擊。另一方面,有些學(xué)生具有很高的網(wǎng)絡(luò)水平和學(xué)習(xí)能力,在校園網(wǎng)中實(shí)驗(yàn)不成熟的技術(shù)而不計(jì)后果,對校園網(wǎng)有比較大的攻擊性。
3)網(wǎng)絡(luò)病毒泛濫,網(wǎng)絡(luò)性能下降。
網(wǎng)絡(luò)的發(fā)展使資源的共享更加方便,移動(dòng)設(shè)備使資源利用顯著提高,但卻帶來病毒泛濫、網(wǎng)絡(luò)性能急劇下降,許多重要的數(shù)據(jù)因此受到破壞或丟失。也就是說,網(wǎng)絡(luò)在提供方便的同時(shí),也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達(dá)”、“沖擊波”、“震蕩波”、“歡樂時(shí)光”、“熊貓燒香”的爆發(fā)無不使成千上萬的用戶受到影響,再加之。近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。
特別是學(xué)校機(jī)房中,由于學(xué)生病毒防范意識薄弱,病毒更是泛濫成災(zāi),輕者感染移動(dòng)存儲(chǔ)設(shè)備,重者導(dǎo)致系統(tǒng)不能正常使用。
4)網(wǎng)絡(luò)安全投入不足,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。
很多學(xué)校校園網(wǎng)建設(shè)中都存在建設(shè)經(jīng)費(fèi)不足的問題,有限的經(jīng)費(fèi)也主要投入到主要設(shè)備上,在網(wǎng)絡(luò)安全設(shè)備上的投入少之又少,甚至沒有什么措施,從而導(dǎo)致校園網(wǎng)完全暴漏在外網(wǎng)中,成為攻擊的對象。
綜上所述,校園網(wǎng)絡(luò)安全的形勢非常嚴(yán)峻,為能有效解決以上安全隱患和漏洞,根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)以及面臨的安全問題,提出以下校園網(wǎng)安全解決辦法。
3 加強(qiáng)校園網(wǎng)的安全策略
1)網(wǎng)絡(luò)結(jié)構(gòu)安全。
按照對網(wǎng)絡(luò)安全等級的標(biāo)準(zhǔn),可以將網(wǎng)絡(luò)結(jié)構(gòu)劃分為外部網(wǎng)(簡稱外網(wǎng))、內(nèi)部網(wǎng)(簡稱內(nèi)網(wǎng))、公共子網(wǎng)。
為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問隔離,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制,以及對網(wǎng)絡(luò)安全進(jìn)行檢測,以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。
2)主機(jī)安全檢查。
要保證網(wǎng)絡(luò)安全,進(jìn)行網(wǎng)絡(luò)安全建設(shè),首先要保證主機(jī)系統(tǒng)安全,評估系統(tǒng)安全性,認(rèn)識到自己的風(fēng)險(xiǎn)所在,從而迅速、準(zhǔn)確得解決內(nèi)網(wǎng)安全問題。安裝操作系統(tǒng)和應(yīng)用程序的安全補(bǔ)丁,并且采用更加安全的系統(tǒng)設(shè)置,系統(tǒng)的很多默認(rèn)設(shè)置以及默認(rèn)開放的端口都會(huì)成為黑客攻擊的突破口。例如對系統(tǒng)賬戶的管理,使用安全的密碼,關(guān)閉必須要的端口和服務(wù)等。
3)防火墻安全策略。
防火墻作為一種網(wǎng)絡(luò)隔離技術(shù),已經(jīng)被廣泛應(yīng)于校園網(wǎng)中。防火墻根據(jù)內(nèi)部設(shè)置的規(guī)則可以有效控制內(nèi)外網(wǎng)的信息交換,從而阻斷不希望的用戶和信息,禁止非法用戶和不良信息進(jìn)入校園網(wǎng)系統(tǒng)。主要控制策略如下:按照來訪者的IP地址區(qū)分用戶,最好是能對來訪者身份進(jìn)行驗(yàn)證;要支持TCP等面向連接的通訊也要支持如UDP等非連接的通訊;要控制教學(xué)及辦公資源的訪問權(quán)限及訪問時(shí)限;對病毒及惡意代碼等要提供良好的訪問控制策略及有效的安全保障。
4)反病毒技術(shù)。
計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序,它能夠傳染其它程序,并在網(wǎng)絡(luò)中進(jìn)行自我復(fù)制,感染其他用戶和主機(jī)。特別是在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力,因此對計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié),具體方法是使用防病毒軟件對服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測,或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。
5)備份和鏡像技術(shù)。
用備份和鏡像技術(shù)提高重要文件完整性。備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施,它是指對需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)來備份,一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作,若其中一個(gè)出現(xiàn)故障,另一個(gè)仍可以繼續(xù)工作。在網(wǎng)絡(luò)遭到破壞的情況下,使用備份和鏡像技術(shù)來有效保護(hù)重要的數(shù)據(jù)資源。
6)漏洞掃描系統(tǒng)。
解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠一個(gè)人的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出評估,顯然是不現(xiàn)實(shí)的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。
7)入侵檢測技術(shù)。
入侵檢測技術(shù)是一種根據(jù)相應(yīng)的規(guī)則對網(wǎng)絡(luò)進(jìn)行監(jiān)視,從而發(fā)現(xiàn)可能存在的攻擊進(jìn)行攔截,并且對攻擊源進(jìn)行反攻。入侵檢測技術(shù)作為防火情的有效的補(bǔ)充,可以彌補(bǔ)防火墻相對靜態(tài)防御的不足,從而實(shí)現(xiàn)對網(wǎng)絡(luò)的安全防護(hù)。
4 校園網(wǎng)重點(diǎn)在于管理
俗話說,三分技術(shù)七分管理。對校園網(wǎng)的安全管理一方面靠技術(shù),另一方面要靠制度的規(guī)范和約束。
計(jì)算機(jī)信息資源遭到攻擊很大一部分來源于企業(yè)內(nèi)部,因?yàn)槠髽I(yè)內(nèi)部的人員安全意識淡薄造成的,因此應(yīng)加強(qiáng) 企業(yè)內(nèi)部網(wǎng)絡(luò)的管理。
1)制定詳盡的規(guī)章制度,并嚴(yán)格遵照執(zhí)行。
2)加強(qiáng)人員控制,提高人員的安全防范意識。
擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā)生都和缺乏安全防范意識有關(guān)。
3)加強(qiáng)對移動(dòng)存儲(chǔ)介質(zhì)的管理。
據(jù)統(tǒng)計(jì),很多信息泄露事件都是通過移動(dòng)存儲(chǔ)介質(zhì)泄露的,并且很多病毒也可以通過移動(dòng)存儲(chǔ)設(shè)備傳播,因此對于一些重要主機(jī)上可以通過限制使用移動(dòng)存儲(chǔ)介質(zhì)防止信息泄露和病毒傳播。
5 總結(jié)
總之,校園網(wǎng)安全問題是一個(gè)復(fù)雜的、整體的系統(tǒng)工程,網(wǎng)絡(luò)中的任何薄弱環(huán)節(jié)都會(huì)被攻擊者利用。因此校園網(wǎng)的安全除了運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)外還要加強(qiáng)對網(wǎng)絡(luò)的管理,從技術(shù)和管理兩方面入手加強(qiáng)校園網(wǎng)的安全。
參考文獻(xiàn):
[1] 杜一寧,鄭俏.談高校校園網(wǎng)的安全問題及解決方法[J].電腦知識與技術(shù),2010(17).
[2] 周盛軍.淺談高校校園網(wǎng)安全控制策略[J].浙年專修學(xué)院學(xué)報(bào),2009(1).
[3] 王斌,孔璐.防火墻與網(wǎng)絡(luò)安全(入侵檢測和VPN)[M].北京:清華大學(xué)出版社,2004.
關(guān)鍵詞 煙草;信息安全;威脅;互聯(lián)網(wǎng)
中圖分類號 S572 文獻(xiàn)標(biāo)識碼 A 文章編號 1004-8421(2012)01-86-01
隨著網(wǎng)絡(luò)普及程度的不斷提高,網(wǎng)站已成為企業(yè)網(wǎng)絡(luò)公眾形象的載體,是提高企業(yè)形象、提升企業(yè)競爭力的有效途徑。在我國,煙草實(shí)行的是國家專賣體制,煙草行業(yè)網(wǎng)站承擔(dān)著政策、政務(wù)公開、信息宣傳、技術(shù)交流、品牌等方面的職責(zé)。由于互聯(lián)網(wǎng)具有開放性、共享性的特點(diǎn),網(wǎng)絡(luò)信息安全問題越來越引起煙草企業(yè)的高度重視。2009年,國家煙草局下發(fā)了《國家煙草專賣局辦公室關(guān)于行業(yè)信息安全工作有關(guān)情況的通知》。該通知明確提出:“加強(qiáng)網(wǎng)站‘三防’建設(shè),提高重要信息系統(tǒng)安全防護(hù)能力,各單位要按照國務(wù)院辦公廳文件要求,重點(diǎn)做好行業(yè)對外網(wǎng)站網(wǎng)頁防攻擊、防病毒、防篡改的安全保障。”在現(xiàn)行的基層煙草網(wǎng)站中,存在諸多安全問題,因此,在建設(shè)和維護(hù)過程中,要有針對性的規(guī)劃安全體系建設(shè),并逐步完善,全面確保煙草企業(yè)信息系統(tǒng)安全。
1 煙草網(wǎng)站信息安全威脅因素
1.1 外部威脅
1.1.1 黑客攻擊。近幾年來,黑客的攻擊手段日益多樣化,網(wǎng)絡(luò)黑客常使用翻新分散式的方法來阻斷服務(wù)攻擊,利用一些網(wǎng)來擾亂網(wǎng)絡(luò)信息系統(tǒng)。網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)網(wǎng)絡(luò)服務(wù)器攻擊,或者用蠕蟲病等方式對網(wǎng)絡(luò)進(jìn)行攻擊,導(dǎo)致網(wǎng)絡(luò)設(shè)備出現(xiàn)崩潰,嚴(yán)重影響了網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行。同時(shí),黑客還利用黑客工具從企業(yè)租用的通信線路非法進(jìn)入企業(yè)網(wǎng)絡(luò),利用企業(yè)在內(nèi)部網(wǎng)絡(luò)傳輸中未對數(shù)據(jù)進(jìn)行加密的疏漏對網(wǎng)絡(luò)進(jìn)行監(jiān)聽,或者從事其他破壞活動(dòng)。
1.1.2 計(jì)算機(jī)病毒。計(jì)算機(jī)病毒寄生于其他程序之中,具有隱蔽性強(qiáng)、潛伏性高、傳染性強(qiáng)的特點(diǎn),對計(jì)算機(jī)系統(tǒng)危害極大,計(jì)算機(jī)病毒侵入計(jì)算機(jī)系統(tǒng),破壞數(shù)據(jù)文件,甚至造成計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)癱瘓。隨著網(wǎng)絡(luò)信息技術(shù)的廣泛應(yīng)用和推廣,病毒的種類數(shù)量也在急劇增加,目前全球已發(fā)現(xiàn)2萬余種病毒樣本,并且以每月300多種的速度遞增。
1.1.3 網(wǎng)絡(luò)協(xié)議和軟件存在安全隱患。TCP/IP協(xié)議是因特網(wǎng)的基礎(chǔ),該協(xié)議只是追求高效率,卻未考慮過安全方面。大部分互聯(lián)網(wǎng)上的流量都沒有設(shè)置密碼,部分重要的電子郵件口令和文件傳輸很容易被監(jiān)聽和竊取。很多基于TCP/IP協(xié)議的應(yīng)用服務(wù)都存在一定的安全問題,如很多站點(diǎn)在防火墑配置中無意擴(kuò)大了訪問權(quán)限,這就很容易導(dǎo)致重要內(nèi)部機(jī)密被泄露,不利于網(wǎng)絡(luò)信息的傳遞。網(wǎng)絡(luò)訪問控制配置的復(fù)雜性很高,很容易出錯(cuò),這就為黑客和木馬病毒的入侵創(chuàng)造契機(jī)。
1.2 內(nèi)部威脅
1.2.1 保密工作不到位。如果保密工作不到位,就可能造成口令或IP地址泄露。操作人員不按規(guī)定使用或定期更換密碼,甚至系統(tǒng)運(yùn)行仍使用系統(tǒng)安裝時(shí)設(shè)置的默認(rèn)口令,造成密碼泄露,致使犯罪分子非法侵入網(wǎng)絡(luò)。此外,對管員為檢查通信線路是否暢通,經(jīng)常把IP地址暴露在顯示屏上。如果機(jī)房管理不嚴(yán),外人進(jìn)出,很容易使IP地址泄露造成網(wǎng)絡(luò)不安全。有的網(wǎng)管員將局域網(wǎng)中各主機(jī)IP地址以文字形式記錄在冊,而記錄表又不嚴(yán)格管理,隨處亂放,甚至帶…機(jī)房,都會(huì)給網(wǎng)絡(luò)運(yùn)行帶來極大安全隱患。
1.2.2 內(nèi)部管理出現(xiàn)漏洞。煙草企業(yè)信息系統(tǒng)是由人員來操作和維護(hù),工作人員的違規(guī)操作很容易對系統(tǒng)造成破壞,引起重要數(shù)據(jù)的丟失,造成系統(tǒng)癱瘓。而內(nèi)部人員利用職務(wù)之便進(jìn)行違法操作,對信息系統(tǒng)安全來說是更加嚴(yán)重的威脅。
1.2.3 系統(tǒng)本身存在的安全漏洞。無論是計(jì)算機(jī)硬件、系統(tǒng)軟件和應(yīng)用軟件,盡管設(shè)計(jì)者都對可靠性、安全性進(jìn)行了周密的研究,但都存在一定的薄弱環(huán)節(jié)和不安全因素。應(yīng)用軟件的設(shè)計(jì)漏洞、開發(fā)錯(cuò)誤以及系統(tǒng)功能擴(kuò)充后的銜接漏洞等,都會(huì)對系統(tǒng)安全構(gòu)成威脅。
2 煙草網(wǎng)站信息安全防范措施
計(jì)算機(jī)安全的防范目的在于保證數(shù)據(jù)的完整性、可靠性,防止由于欺詐行為、系統(tǒng)運(yùn)行失誤以及非法人侵造成的損失。在煙草企業(yè)信息安全工作中,主要通過加強(qiáng)外部、內(nèi)部防范措施,確保信息系統(tǒng)安全。
2.1 外部入侵的防范措施針對網(wǎng)路外部的木馬病毒及黑客人侵,主要從以下幾個(gè)方面進(jìn)行防范:
2.1.1 設(shè)置網(wǎng)絡(luò)密碼。對于不同的電腦用戶,可以根據(jù)需要不同設(shè)置不同的安全保護(hù),保證了數(shù)據(jù)信息傳遞的機(jī)密性、完整性,提高網(wǎng)絡(luò)信息的真實(shí)可靠性。
2.1.2 充分利用防火墻技術(shù)。防火墻技術(shù)是保證網(wǎng)絡(luò)信息安全的重要手段之一,它是網(wǎng)絡(luò)運(yùn)行時(shí)的一種訪問控制尺寸,主要目的在于通過控制網(wǎng)絡(luò)權(quán)限,在網(wǎng)絡(luò)內(nèi)外站點(diǎn)設(shè)置安全點(diǎn),從而對網(wǎng)絡(luò)服務(wù)器的訪問人數(shù)進(jìn)行控制,防止外部非法分子利用網(wǎng)絡(luò)信息進(jìn)行牟利。
2.1.3 建立入侵檢測系統(tǒng)。連續(xù)監(jiān)視網(wǎng)絡(luò)通信情況,尋找已知的攻擊模式,當(dāng)它檢測到未授權(quán)活動(dòng)時(shí),以預(yù)定方式自動(dòng)進(jìn)行響應(yīng),報(bào)告攻擊、記錄該事件或是斷開未授權(quán)連接“入侵檢測系統(tǒng)”與其他安全機(jī)制協(xié)同工作,保障計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行。
2.1.4 建立防病毒系統(tǒng)。建立有效的防病毒系統(tǒng),對網(wǎng)絡(luò)通訊中的數(shù)據(jù)實(shí)行實(shí)時(shí)監(jiān)控,并對系統(tǒng)進(jìn)行定時(shí)掃描、監(jiān)控、殺毒,減少病毒侵害帶來的損失。
2.2 內(nèi)部管理的防范措施
2.2.1 建立健全管理制度。建立職責(zé)明確的網(wǎng)絡(luò)管理制度,分清職責(zé),加強(qiáng)有關(guān)資料的檔案管理,嚴(yán)格配置修改的批準(zhǔn)程序和檔案入庫登記,防止外流、外泄,并追究因故意或過失對網(wǎng)絡(luò)造成危害的責(zé)任人法律責(zé)任。
2.2.2 加強(qiáng)人員管理。培訓(xùn)相關(guān)工作人員,制定操作規(guī)程和職責(zé),確保信息系統(tǒng)正確、安全的操作;全面樹立網(wǎng)絡(luò)安全意識,不斷強(qiáng)化對內(nèi)部人員的防范與管理,以真正使相關(guān)的安全規(guī)章制度得以落到實(shí)處,而不流于形式。
關(guān)鍵詞:企業(yè);局域網(wǎng);安全;防范措施
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 19-0000-01
Enterprise LAN Security Analysis and Preventive Measures
Liu Haojiang
(Suzhou Rail Transit Co.,Ltd.,Suzhou215006,China)
Abstract:With the wide range of network applications within the enterprise,the enterprise's network resources more and more,so the collection of corporate information has become increasingly high.However,the size of the internal network more expanded,more complex applications,personnel and more numerous to the enterprise's internal information security has also brought a lot of pressure.Therefore,network security has become an important topic.This paper mainly focus on the enterprise LAN security analysis,and the corresponding methods and measures.
Keywords:Business;LAN;Security;Precautions
隨著現(xiàn)代技術(shù)的迅速發(fā)展,大部分企業(yè)都開始應(yīng)用了本單位的局域網(wǎng),對企業(yè)的生產(chǎn)經(jīng)營與管理產(chǎn)生重要影響。但是隨之而來的網(wǎng)絡(luò)中各種各樣的安全事件,對企業(yè)正常的生產(chǎn)活動(dòng)造成影響,因此要充分重視企業(yè)局域網(wǎng)的安全問題。
所謂的局域網(wǎng)是指在一個(gè)局部的地域內(nèi),例如學(xué)校和工廠等,把計(jì)算機(jī)、各種外部設(shè)備以及數(shù)據(jù)庫等連接起來組合成的計(jì)算機(jī)通信網(wǎng)絡(luò)[1]。通過將數(shù)據(jù)通信網(wǎng)絡(luò)或者專用的數(shù)據(jù)電路和遠(yuǎn)方的局域網(wǎng)或者處理中心相連接,可以組成一個(gè)較大范圍的信息處理系統(tǒng),這個(gè)系統(tǒng)簡稱LAN。局域網(wǎng)的網(wǎng)絡(luò)功能主要有:實(shí)現(xiàn)文件管理、共享應(yīng)用軟件、共享打印機(jī)以及掃描儀等等。
一、局域網(wǎng)安全分析
(一)系統(tǒng)與程序的安全漏洞。漏洞就是通常所說的BUG。任何的程序與系統(tǒng)都會(huì)或多或少存在著漏洞,在所有網(wǎng)絡(luò)安全問題中,漏洞問題是最常見,也是最多且較難處理的。大多數(shù)時(shí)候漏洞只會(huì)影響系統(tǒng)的正常使用,但是當(dāng)其能夠影響到整個(gè)系統(tǒng)安全時(shí),就可能遭到黑客或者病毒的利用,從而變成攻擊系統(tǒng)的工具。近年來網(wǎng)上流行的NIMDA、求職信以及紅色代碼等病毒,通過在網(wǎng)絡(luò)上產(chǎn)生大量垃圾流量,達(dá)到影響網(wǎng)絡(luò)系統(tǒng)的性能的目的。它們的技術(shù)特點(diǎn)就是利用系統(tǒng)中的漏洞,這些漏洞有可能直接造成系統(tǒng)崩潰與信息失密。
(二)信息收集。通常信息收集是指嗅探和掃描。嗅探主要是利用特殊技術(shù)捕捉網(wǎng)絡(luò)底層數(shù)據(jù),對其進(jìn)行分析。掃描是指訪問目標(biāo)計(jì)算機(jī)協(xié)議端口,以了解目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)行為。這些手段本身并不會(huì)對網(wǎng)絡(luò)產(chǎn)生影響,但是通過嗅探和掃描能夠比較完整的了解大部分的網(wǎng)絡(luò)應(yīng)用與使用的系統(tǒng)平臺(tái),因此這些信息如果配上適合的漏洞工具就能夠攻破整個(gè)網(wǎng)絡(luò)系統(tǒng)。但是由于目前國內(nèi)企業(yè)網(wǎng)絡(luò)環(huán)境的不規(guī)范導(dǎo)致了網(wǎng)絡(luò)信息的不可靠,造成了很多的誤報(bào),從而導(dǎo)致我國在對嗅探和掃描進(jìn)行反跟蹤方面的效果很不理想。
(三)人為失誤。人為失誤帶來安全隱患的例子非常多,例如沒有及時(shí)進(jìn)行系統(tǒng)或者應(yīng)用程序的升級或者打補(bǔ)丁、執(zhí)行不明來歷的程序、口令泄密、保留缺省賬號、密碼過于簡單或者干脆不設(shè)口令等等。因此減少人為失誤的辦法是提高員工的網(wǎng)絡(luò)安全意識。制定嚴(yán)格明確的網(wǎng)絡(luò)安全守則,并實(shí)施切實(shí)可行的管理手段。
二、企業(yè)局域網(wǎng)安全防范措施
我國目前大多數(shù)企業(yè)的局域網(wǎng)都存在安全隱患,保持現(xiàn)有的網(wǎng)絡(luò)手段與運(yùn)作方式,極有可能會(huì)給企業(yè)帶來無法彌補(bǔ)的數(shù)據(jù)災(zāi)難。因此有必要針對上述問題進(jìn)行研究,從而進(jìn)一步提出防范措施。
(一)設(shè)置防火墻。防火墻的主要作用在于保護(hù)內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù),同時(shí)記錄有關(guān)企業(yè)內(nèi)外通訊狀態(tài)的信息日志。防火墻的應(yīng)用能夠使你的網(wǎng)絡(luò)規(guī)劃更加清晰,有效阻止超越權(quán)限的數(shù)據(jù)訪問。如果企業(yè)的局域網(wǎng)接入互聯(lián)網(wǎng)絡(luò)但沒有設(shè)置防火墻,可能會(huì)受到許多系統(tǒng)入侵。因此為保證局域網(wǎng)安全,有必要在局域網(wǎng)與互聯(lián)網(wǎng)之間設(shè)置防火墻。
(二)建立內(nèi)網(wǎng)型的邊界防護(hù)。企業(yè)總部局域網(wǎng)應(yīng)作為廣域網(wǎng)的一個(gè)單獨(dú)區(qū)域,在通向各個(gè)下級單位的廣域網(wǎng)的通道的接口處應(yīng)設(shè)置防火墻,而且進(jìn)行相應(yīng)的設(shè)置,以保護(hù)企業(yè)總部局域網(wǎng)的安全[3]。此外還應(yīng)該將廣域網(wǎng)上的各個(gè)單位要訪問的企業(yè)資源設(shè)置于防火墻的DMZ區(qū)域中,禁止它們訪問企業(yè)總部局域網(wǎng)的其他資源。
(三)為所有服務(wù)器進(jìn)行自動(dòng)更新。目前眾多企業(yè)電腦使用的是微軟的操作系統(tǒng)。每隔一段時(shí)間操作系統(tǒng)補(bǔ)丁服務(wù)包才會(huì)推出,在新的補(bǔ)丁服務(wù)包沒有推出來的這段時(shí)間,企業(yè)主要通過安裝小補(bǔ)丁來防范漏洞。一般來說,最有效的方法就是借助操作系統(tǒng)的自動(dòng)更新來完成。打開企業(yè)局域網(wǎng)中的服務(wù)器與電腦的自動(dòng)更新功能,適時(shí)更新操作系統(tǒng)的補(bǔ)丁程序,能夠確保局域網(wǎng)的電腦都能夠自動(dòng)把系統(tǒng)補(bǔ)丁更新到最新狀態(tài)。
(四)建立功能完善的防病毒控制臺(tái)。一般來說,病毒的入口點(diǎn)非常多。因此就在企業(yè)局域網(wǎng)部署反病毒軟件來說,要在需要防護(hù)的應(yīng)用上都要布置防病毒軟件。而企業(yè)局域網(wǎng)防病毒所關(guān)注的不僅僅是防病毒軟件,更加注重的是對防病毒軟件借助網(wǎng)絡(luò)實(shí)施集中的管理與合理的配置,對病毒特征碼進(jìn)行集中的自動(dòng)升級。所謂企業(yè)局域網(wǎng)的發(fā)病毒軟件的最大特征是構(gòu)筑功能完善的防病毒軟件的控制臺(tái)。
(五)建立系統(tǒng)備份文件以及由應(yīng)用軟件產(chǎn)生的數(shù)據(jù)的文件備份。企業(yè)應(yīng)根據(jù)企業(yè)與應(yīng)用程序的實(shí)際情況,對服務(wù)器程序產(chǎn)生的數(shù)據(jù)文件采取有效的備份工具做定期備份,并要把這些備份文件好好保存。一旦需要進(jìn)行服務(wù)器的系統(tǒng)重裝與數(shù)據(jù)恢復(fù),就可以利用備份文件快速完成工作。
三、結(jié)束語
眾所周知,并不存在萬能的網(wǎng)絡(luò)安全解決方案。網(wǎng)絡(luò)是公共設(shè)施,企業(yè)局域網(wǎng)的安全管理是一個(gè)系統(tǒng)的工程。保障網(wǎng)絡(luò)安全并不能僅僅靠防火墻和殺毒軟件等硬件設(shè)備的防護(hù),還需要網(wǎng)絡(luò)用戶的密切配合。只有群策群力,群防群治,才能真正確保網(wǎng)絡(luò)的安全,進(jìn)一步推動(dòng)企業(yè)信息化建設(shè)的發(fā)展[4]。
參考文獻(xiàn):
[1]W.Richard Stevens,范建華(譯).TCP/IP詳解[M].北京:機(jī)械工業(yè)出版社,2000
[2]林東和.防反黑客攻擊不求人[M].北京:人民郵電出版社,2002
