前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全策略主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)完全;控制策略;措施
中圖分類號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0067-01
計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,給人們的生活和工作都帶來非常大的幫助,有效提升了工作效率,促進(jìn)了企業(yè)的發(fā)展速度,促進(jìn)了我國(guó)社會(huì)經(jīng)濟(jì)的快速發(fā)展。但是,由于計(jì)算機(jī)網(wǎng)絡(luò)的公開性和自由性,造成了網(wǎng)絡(luò)安全問題也日漸嚴(yán)重,大量木馬及病毒的泛濫,給企業(yè)帶來了非常大的經(jīng)濟(jì)損失,造成了嚴(yán)重的社會(huì)影響。因此,加強(qiáng)安全問題的處理工作,成為人們亟待需要解決的問題。
一、網(wǎng)絡(luò)安全問題的原因分析
網(wǎng)絡(luò)安全問題的出現(xiàn),主要是由于企業(yè)網(wǎng)絡(luò)管理意識(shí)淡薄,網(wǎng)絡(luò)管理工作不到位,從而導(dǎo)致病毒木馬程序的侵入,從而給企業(yè)帶來較為嚴(yán)重的經(jīng)濟(jì)損失。隨著我國(guó)社會(huì)經(jīng)濟(jì)的快速發(fā)展,以及網(wǎng)絡(luò)技術(shù)的不斷完善,企業(yè)的發(fā)展越來越離不開網(wǎng)絡(luò)技術(shù)的推動(dòng),因此,網(wǎng)絡(luò)風(fēng)險(xiǎn)和安全問題也成為了阻礙企業(yè)發(fā)展的重要問題之一。
(一)企業(yè)網(wǎng)絡(luò)管理意識(shí)的淡薄
對(duì)于企業(yè)來說,網(wǎng)絡(luò)技術(shù)已經(jīng)成為了企業(yè)發(fā)展的保障,也是企業(yè)發(fā)展必不可少的重要手段,但是,就我國(guó)多數(shù)企業(yè)來說,并不重視網(wǎng)絡(luò)管理工作,只強(qiáng)調(diào)網(wǎng)絡(luò)技術(shù)的應(yīng)用,卻缺乏良好的管理手段,最終造成了網(wǎng)絡(luò)安全問題的發(fā)生。目前,網(wǎng)絡(luò)技術(shù)已經(jīng)涉及到企業(yè)的各個(gè)運(yùn)作環(huán)節(jié),從技術(shù)管理、技術(shù)監(jiān)督、電子商務(wù)、檔案管理以及財(cái)務(wù)管理工作,都需要由網(wǎng)絡(luò)技術(shù)進(jìn)行配合,自動(dòng)化的辦公條件使得企業(yè)對(duì)網(wǎng)絡(luò)技術(shù)的依賴性也越來越高。但是,企業(yè)僅僅重視對(duì)網(wǎng)絡(luò)技術(shù)的使用,卻步重視對(duì)網(wǎng)絡(luò)技術(shù)的管理,網(wǎng)絡(luò)安全管理資金的缺乏,導(dǎo)致網(wǎng)絡(luò)安全防御系統(tǒng)不完善,網(wǎng)絡(luò)抵抗能力不足,使得網(wǎng)絡(luò)安全問題發(fā)生頻率大大增加,使企業(yè)蒙受重大經(jīng)濟(jì)損失。
(二)網(wǎng)絡(luò)技術(shù)人員的能力問題
網(wǎng)絡(luò)技術(shù)人員是維持企業(yè)網(wǎng)絡(luò)正常運(yùn)行的重要因素,如果網(wǎng)絡(luò)技術(shù)人員個(gè)人能力素質(zhì)存在一定的問題,將嚴(yán)重影響到企業(yè)網(wǎng)絡(luò)管理工作的正常開展,導(dǎo)致網(wǎng)絡(luò)安全防御工作的嚴(yán)重缺失。就目前我國(guó)企業(yè)網(wǎng)絡(luò)管理人員來說,由于企業(yè)對(duì)網(wǎng)絡(luò)管理工作的不重視,導(dǎo)致網(wǎng)絡(luò)管理人員的薪資待遇較低,網(wǎng)絡(luò)管理人員的工作積極性不足,網(wǎng)絡(luò)管理人員的個(gè)人能力素質(zhì)也有著非常大的不足,使得網(wǎng)絡(luò)安全監(jiān)督力度不夠,網(wǎng)絡(luò)安全防御系統(tǒng)脆弱,在面對(duì)病毒及木馬程序入侵時(shí)很難開展有效的補(bǔ)救措施,從而造成嚴(yán)重的后果。
(三)其他問題
隨著我國(guó)社會(huì)經(jīng)濟(jì)的不斷發(fā)展,行業(yè)間的競(jìng)爭(zhēng)也日漸激烈,部分企業(yè)為實(shí)現(xiàn)自身經(jīng)濟(jì)效益的不斷增長(zhǎng),往往會(huì)采用較為惡劣的競(jìng)爭(zhēng)手段,對(duì)競(jìng)爭(zhēng)企業(yè)進(jìn)行攻擊,其中,企業(yè)網(wǎng)絡(luò)攻擊就是較為常用的打擊手段。企業(yè)往往雇傭網(wǎng)絡(luò)黑客對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行網(wǎng)絡(luò)攻擊,利用木馬和病毒程序進(jìn)行網(wǎng)絡(luò)入侵,對(duì)企業(yè)內(nèi)部的相關(guān)數(shù)據(jù)進(jìn)行竊取、復(fù)制或刪除,導(dǎo)致競(jìng)爭(zhēng)對(duì)手蒙受重大經(jīng)濟(jì)損失。由于企業(yè)缺乏網(wǎng)絡(luò)安全管理工作,造成企業(yè)網(wǎng)絡(luò)安全性能的大大降低,使得網(wǎng)絡(luò)黑客有機(jī)可乘,給企業(yè)發(fā)展造成嚴(yán)重影響。
二、提升企業(yè)網(wǎng)絡(luò)安全的相關(guān)措施
未來企業(yè)發(fā)展需要網(wǎng)絡(luò)技術(shù)的支持,未來企業(yè)經(jīng)濟(jì)取決于企業(yè)網(wǎng)絡(luò)技術(shù)的發(fā)展,因此,我們有必要加強(qiáng)企業(yè)網(wǎng)絡(luò)管理建設(shè),提高網(wǎng)絡(luò)安全性能,提升企業(yè)網(wǎng)絡(luò)安全防御能力,避免網(wǎng)絡(luò)安全問題的發(fā)生,降低企業(yè)的網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)。以下,是筆者結(jié)合多年管理經(jīng)驗(yàn)所提出的幾點(diǎn)提升企業(yè)網(wǎng)絡(luò)安全管理水平的相關(guān)措施:
(一)規(guī)范企業(yè)網(wǎng)絡(luò)行為
企業(yè)網(wǎng)絡(luò)環(huán)境的入侵,主要是由于相關(guān)網(wǎng)絡(luò)技術(shù)操作不當(dāng)所引起的,因此,合理的規(guī)范網(wǎng)絡(luò)行為,能夠有效避免病毒和木馬程序?qū)ζ髽I(yè)網(wǎng)絡(luò)的入侵,有效降低企業(yè)網(wǎng)絡(luò)安全問題發(fā)生的頻率。網(wǎng)絡(luò)行為規(guī)范包括了網(wǎng)絡(luò)設(shè)備的維護(hù),網(wǎng)絡(luò)數(shù)據(jù)保護(hù)以及網(wǎng)絡(luò)操作的約束,要約束企業(yè)員工的網(wǎng)頁操作,杜絕員工對(duì)陌生網(wǎng)頁和危險(xiǎn)網(wǎng)頁的瀏覽,避免木馬文件和病毒文件的感染,這一問題能夠通過添加網(wǎng)絡(luò)安全軟件來進(jìn)行有效控制,避免相關(guān)網(wǎng)頁的瀏覽及開啟,提升企業(yè)網(wǎng)絡(luò)的安全性能;網(wǎng)絡(luò)設(shè)備維護(hù)就是企業(yè)網(wǎng)絡(luò)管理人員要對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行定期的檢查和維護(hù),針對(duì)網(wǎng)絡(luò)漏洞進(jìn)行及時(shí)的修復(fù),提升網(wǎng)絡(luò)安全性,從而杜絕病毒文件的侵入;網(wǎng)絡(luò)數(shù)據(jù)保護(hù),就是對(duì)企業(yè)重要網(wǎng)絡(luò)文件進(jìn)行加密工作,做好企業(yè)網(wǎng)絡(luò)防火墻監(jiān)督和設(shè)置,確保良好的網(wǎng)絡(luò)運(yùn)行環(huán)境,增高企業(yè)安全性能。
(二)加強(qiáng)網(wǎng)絡(luò)管理人才的引入
良好的網(wǎng)絡(luò)環(huán)境,需要網(wǎng)絡(luò)管理人才的支持。首先,企業(yè)要正確認(rèn)識(shí)網(wǎng)絡(luò)安全問題對(duì)企業(yè)的影響,網(wǎng)絡(luò)安全管理工作的重要性,從而加強(qiáng)網(wǎng)絡(luò)安全管理力度,適當(dāng)提升網(wǎng)絡(luò)管理人員崗位薪資待遇,提升網(wǎng)絡(luò)管理人員的工作積極性。同時(shí),企業(yè)要加強(qiáng)對(duì)網(wǎng)絡(luò)管理人才的引入工作,提升網(wǎng)絡(luò)管理團(tuán)隊(duì)的整體業(yè)務(wù)能力,有效保證企業(yè)網(wǎng)絡(luò)的安全性能;企業(yè)要加強(qiáng)網(wǎng)絡(luò)管理人才的培訓(xùn)力度,幫助網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)發(fā)展動(dòng)向,了解相關(guān)網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)木馬,并及時(shí)掌握有效的預(yù)防措施,提高企業(yè)網(wǎng)絡(luò)安全性能,有效避免企業(yè)經(jīng)濟(jì)方面的損失。
三、總結(jié)
企業(yè)網(wǎng)絡(luò)安全管理工作對(duì)于企業(yè)的發(fā)展具有非常重要的意義,能夠有效減少企業(yè)網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn),避免企業(yè)相關(guān)重要文件的流失,促進(jìn)企業(yè)網(wǎng)絡(luò)環(huán)境的有效建立。因此,企業(yè)應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全管理工作,積極進(jìn)行網(wǎng)絡(luò)安全管理隊(duì)伍建設(shè),提高網(wǎng)絡(luò)管理人員的整體工作能力,避免網(wǎng)絡(luò)安全問題的發(fā)生,避免網(wǎng)絡(luò)問題對(duì)企業(yè)經(jīng)濟(jì)效益的影響,促進(jìn)企業(yè)健康穩(wěn)定的發(fā)展。
參考文獻(xiàn):
[1]周朝萱.企業(yè)網(wǎng)絡(luò)安全管理與防護(hù)策略探討[J].電腦與電信,2008,8
關(guān)鍵詞:中小企業(yè);信息安全;防火墻;VPN
1背景目前
我國(guó)很多中小企業(yè)都開始廣泛使用信息化手段提升自身的競(jìng)爭(zhēng)力,借助信息化,企業(yè)可以更有效地管理資源,優(yōu)化組合,提高企業(yè)運(yùn)營(yíng)效率,幫助企業(yè)更快的了解市場(chǎng)行情,促進(jìn)企業(yè)發(fā)展。但與此同時(shí)信息安全問題也日益突出,每年企業(yè)因信息系統(tǒng)的安全問題而遭受經(jīng)濟(jì)損失難以估量。本文針對(duì)太倉中小企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀進(jìn)行深入調(diào)研,走訪企業(yè)了解企業(yè)網(wǎng)絡(luò)信息安全的配置情況,可能存在的問題,然后根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)和手段幫助企業(yè)解決問題,以滿足企業(yè)需求、投入資金少、專業(yè)技術(shù)管理人員投入少為需求給出解決策略,避免因信息安全問題造成的經(jīng)濟(jì)損失。
2中小企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀研究
經(jīng)調(diào)研分析,目前中小企業(yè)大致可以分為兩類,一類是國(guó)內(nèi)企業(yè),一類是外企也就是總部在國(guó)外,國(guó)內(nèi)有分公司或者工廠??偟膩碚f,所有的中小企業(yè)都有自己的計(jì)算機(jī)網(wǎng)絡(luò)、典型應(yīng)用系統(tǒng)如辦公自動(dòng)化系統(tǒng)、信息查詢系統(tǒng)、web應(yīng)用、郵件服務(wù)、財(cái)務(wù)和人事系統(tǒng)等。根據(jù)中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用特點(diǎn),一般需要保證數(shù)據(jù)具有實(shí)時(shí)性、機(jī)密性、安全性、完整性、可用性和不可抵賴性。太倉中小企業(yè)眾多,光德資企業(yè)就有200多家。企業(yè)的產(chǎn)品信息、業(yè)務(wù)數(shù)據(jù)、銷售訂單都需要利用信息化系統(tǒng)進(jìn)行處理,有的甚至需要大數(shù)據(jù)平臺(tái)分析處理,那么信息系統(tǒng)的安全性也是尤為突出的一個(gè)問題。對(duì)太倉中小企業(yè)而言,構(gòu)建一個(gè)安全、可靠的IT系統(tǒng)是關(guān)系到企業(yè)能否適合時(shí)代新技術(shù),健康良好快速發(fā)展的關(guān)鍵因素之一。太倉眾多外企總部都在國(guó)外,因此總公司和分公司之間需要經(jīng)常傳輸大量的數(shù)據(jù),其中包括很多重要甚至機(jī)密的數(shù)據(jù),對(duì)于數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾砸蟾?。針?duì)這些特點(diǎn)目前中小型企業(yè)網(wǎng)絡(luò)存在的主要安全問題有:
1)弱口令造成信息泄露威脅目前中小企業(yè)使用的各類系統(tǒng)較多,包括郵件、ERP、內(nèi)部OA系統(tǒng)、電子商務(wù)系統(tǒng)等。面對(duì)眾多的系統(tǒng),員工要設(shè)置各類密碼,非常麻煩,所以基本都會(huì)設(shè)置簡(jiǎn)單的便于記憶的弱口令,而且很多系統(tǒng)都設(shè)置相同的密碼,長(zhǎng)期不對(duì)密碼進(jìn)行更改,這樣就很容易造成密碼泄露,一旦成功入侵企業(yè)內(nèi)部網(wǎng)絡(luò),就很容易竊取到密碼非法進(jìn)入系統(tǒng)獲取資料。
2)網(wǎng)絡(luò)病毒威脅中小型企業(yè)員工一般都是單獨(dú)使用計(jì)算機(jī),并且所有計(jì)算機(jī)都可以訪問互聯(lián)網(wǎng),員工根據(jù)自己的情況自行安裝防病毒系統(tǒng),由于員工對(duì)病毒預(yù)防知識(shí)和防病毒軟件的使用方法掌握情況不同,如果不能正確安裝使用防病毒軟件,一臺(tái)計(jì)算機(jī)感染病毒很快就傳播到企業(yè)內(nèi)部的多臺(tái)計(jì)算機(jī),甚至導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)癱瘓。
3)企業(yè)主干網(wǎng)絡(luò)沒有劃分VLAN中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)中,由于網(wǎng)絡(luò)規(guī)模小,沒有專業(yè)網(wǎng)絡(luò)設(shè)計(jì)維護(hù)人員,為了省事和方便,很多企業(yè)的系統(tǒng)沒有劃分VLAN或者沒有按要求細(xì)化,造成同一廣播域中計(jì)算機(jī)數(shù)量過多,容易造成廣播風(fēng)暴和網(wǎng)絡(luò)帶寬嚴(yán)重浪費(fèi)。
4)無線網(wǎng)絡(luò)密碼泄露無線網(wǎng)絡(luò)的方便快捷使得它在企業(yè)中的應(yīng)用快速發(fā)展起來,一般企業(yè)公司都在工作區(qū)域安裝無線路由器等無線設(shè)備,方便公司員工及外來人員進(jìn)入公司內(nèi)部網(wǎng)絡(luò)或者互聯(lián)網(wǎng)。但由于無線密碼設(shè)置簡(jiǎn)單,很容易被破譯?;ヂ?lián)網(wǎng)上的攻擊者可以通過破譯無線密碼,輕松進(jìn)入到公司內(nèi)部網(wǎng)絡(luò),從而造成公司信息泄露。
5)移動(dòng)終端安全隱患隨著3G時(shí)代的到來,公司企業(yè)員工使用移動(dòng)設(shè)備連接公司網(wǎng)絡(luò),因此由移動(dòng)終端設(shè)備帶來的安全隱患也不可避免。對(duì)于企業(yè)IT部門而言,移動(dòng)設(shè)備已成為網(wǎng)絡(luò)安全的一個(gè)致命弱點(diǎn),因?yàn)橥ㄟ^電子郵件、彩信、藍(lán)牙等方式傳播的病毒很容易對(duì)企業(yè)內(nèi)網(wǎng)安全造成危害。
3中小企業(yè)網(wǎng)絡(luò)信息安全解決策略研究
中小企業(yè)對(duì)信息安全的需求主要是保障公司網(wǎng)站穩(wěn)定運(yùn)行、避免商業(yè)機(jī)密被竊取、企業(yè)信息被惡意篡改,因此網(wǎng)絡(luò)安全解決方案的可用性是中小企業(yè)首要考慮的問題,只有網(wǎng)絡(luò)安全設(shè)備正常可用,才能保護(hù)企業(yè)網(wǎng)絡(luò)安全。其次,中小企業(yè)規(guī)模小,資金不足,網(wǎng)絡(luò)安全管理人才缺乏,安全解決方案的易用性也是企業(yè)必須考慮的因素,使用簡(jiǎn)單有效的方法提高企業(yè)網(wǎng)絡(luò)安全,減少企業(yè)在資金、專業(yè)管理人才的投入同時(shí)又能保障公司網(wǎng)絡(luò)信息安全。移動(dòng)互聯(lián)、大數(shù)據(jù)、云計(jì)算環(huán)境下,針對(duì)企業(yè)各類服務(wù)和后臺(tái)系統(tǒng)建議找專業(yè)網(wǎng)絡(luò)公司托管,這類公司有專業(yè)的網(wǎng)關(guān)、防火墻、入侵檢測(cè)系統(tǒng),能夠?yàn)槠髽I(yè)各類服務(wù)提供安全保障,這樣中小企業(yè)也無需在花大量的資金自己購買這類安全設(shè)備、專業(yè)人員培訓(xùn)等,大大減輕了公司服務(wù)器管理和維護(hù)壓力。針對(duì)目前存在的安全問題,給出以下安全策略:
1)加強(qiáng)企業(yè)員工網(wǎng)絡(luò)安全管理中小企業(yè)所有的系統(tǒng)口令包括員工設(shè)置登陸口令必須按照操作系統(tǒng)密碼復(fù)雜性要求設(shè)置,至少8位字符,其中要包括字母大寫、小寫、數(shù)字、特殊符號(hào)中三種情況以上,由企業(yè)系統(tǒng)管理員或者網(wǎng)絡(luò)管理員設(shè)置密碼失效時(shí)間,規(guī)定在一定時(shí)間內(nèi)必須更新密碼,用簡(jiǎn)單切實(shí)可行的方法建立第一道安全大門。
2)加強(qiáng)企業(yè)網(wǎng)絡(luò)入侵防范中小企業(yè)可以利用防火墻加強(qiáng)企業(yè)網(wǎng)絡(luò)入侵防范,實(shí)現(xiàn)企業(yè)內(nèi)外網(wǎng)隔離,主要設(shè)置網(wǎng)絡(luò)邊界出口鏈路帶寬要求、數(shù)量等情況,IP地址規(guī)劃對(duì)防火墻地址轉(zhuǎn)換的需求。通過防火墻的認(rèn)證機(jī)制,過濾訪問網(wǎng)絡(luò)數(shù)據(jù)。通過防火墻權(quán)限設(shè)置,嚴(yán)格審核外網(wǎng)用戶的非法登錄,定期查看防火墻日志文件,對(duì)有攻擊性的網(wǎng)絡(luò)訪問行為進(jìn)行警告。
3)VPN策略一般公司都需要連接互聯(lián)網(wǎng),特別是針對(duì)太倉德資外企來說與德國(guó)總部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用瀏覽器內(nèi)建的安全通道封包處理功能,用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。中小企業(yè)的遠(yuǎn)程訪問環(huán)境變化較大,SSLVPN不需要安裝客戶端軟件遠(yuǎn)程用戶,遠(yuǎn)程用戶只需借助標(biāo)準(zhǔn)的瀏覽器連接Internet,即可訪問企業(yè)的網(wǎng)絡(luò)資源。企業(yè)可在較短時(shí)間內(nèi)部署完SSLVPN,因此其部署和實(shí)施成本較低,其次SSLVPN還提高了平臺(tái)的靈活性方便擴(kuò)展應(yīng)用和增強(qiáng)性能,對(duì)中小企業(yè)而言可以降低使用成本,最有效地保護(hù)投資。
4)無線網(wǎng)絡(luò)安全策略對(duì)于中小企業(yè),建議選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件,同時(shí)還要做到如下幾點(diǎn):修改設(shè)備的默認(rèn)值,指定專用于無線網(wǎng)絡(luò)的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能。在網(wǎng)絡(luò)上,針對(duì)全部用戶使用一致的授權(quán)規(guī)則,在不會(huì)被輕易損壞的位置部署硬件。正確全面使用WEP機(jī)制來實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能,通過在每幀中加入一個(gè)校驗(yàn)和的做法來保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流。其次必須在每個(gè)客戶端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用,不使用預(yù)先定義的WEP密鑰,避免使用缺省選項(xiàng)。密鑰由用戶來設(shè)定,并且能夠經(jīng)常更改,最后要使用最堅(jiān)固的WEP版本,并與標(biāo)準(zhǔn)的最新更新版本保持同步。
5)移動(dòng)終端安全策略為了避免移動(dòng)終端攜帶病毒連接到企業(yè)內(nèi)網(wǎng)中,確保移動(dòng)終端如智能手機(jī)、ipad、移動(dòng)筆記本安裝殺毒軟件、防火墻并定期對(duì)移動(dòng)設(shè)備進(jìn)行系統(tǒng)漏洞補(bǔ)丁和更新,定期掃描殺毒,特別不要隨意打開、下載不確定的郵件、鏈接和彩信,以免中木馬病毒。如果一旦中毒,應(yīng)該立刻斷網(wǎng),進(jìn)行殺毒或者更新系統(tǒng),以免木馬病毒通過無線網(wǎng)絡(luò)傳播企業(yè)內(nèi)部網(wǎng)絡(luò)。
4結(jié)束語
通過深入太倉中小企業(yè)調(diào)研,了解企業(yè)的網(wǎng)絡(luò)信息安全現(xiàn)狀及存在問題,結(jié)合網(wǎng)絡(luò)信息安全建設(shè)方案,從物理安全、計(jì)算機(jī)硬件軟件安全、網(wǎng)絡(luò)體系結(jié)構(gòu)安全、病毒防范、入侵檢查、防火墻配置、信息系統(tǒng)運(yùn)行維護(hù)等方面給出切實(shí)可行的網(wǎng)絡(luò)信息安全建設(shè)方案,有針對(duì)性對(duì)太倉中小企業(yè)網(wǎng)絡(luò)信息安全建設(shè)策略研究。參考文獻(xiàn):[1]馮運(yùn)仿.基于防水墻系統(tǒng)的中小企業(yè)信息安全策略[J].安防科技,2006(9):57-58.
[2]周偉.電子商務(wù)信息安全技術(shù)淺議[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2007(4):95-96.
[3]項(xiàng)菲,林山.中小企業(yè)信息安全策略研究[J].電腦知識(shí)與技術(shù),2009(5):325-326.
[4]趙向梅,杜曉春,侯亞玲.中小企業(yè)網(wǎng)絡(luò)安全問題和策略研究[J].電子測(cè)試,2014(6):134-135.
[5]邵琳,劉源.淺談企業(yè)網(wǎng)絡(luò)安全問題及其對(duì)策[J].科技傳播,2010(10):207-208.
[6]王鋒.關(guān)于企業(yè)網(wǎng)絡(luò)安全問題的探討[J].電腦知識(shí)與技術(shù),2010(19):207-208.
[7]劉建偉.企業(yè)網(wǎng)絡(luò)安全問題探討[J].甘肅科技,2006(5):62-63.
網(wǎng)絡(luò)安全是一個(gè)較為系統(tǒng)的概念,網(wǎng)絡(luò)安全解決方案的可靠性是建立在集成網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)之上,由于受到各種各樣因素的影響而對(duì)眾多供電企業(yè)的網(wǎng)絡(luò)安全構(gòu)成威脅。隨著現(xiàn)代科學(xué)技術(shù)水平的不斷提高,電網(wǎng)安全生產(chǎn)系統(tǒng)、電力調(diào)度監(jiān)控系統(tǒng)以及用電營(yíng)銷系統(tǒng)等已廣泛應(yīng)用于供電企業(yè)中。應(yīng)用信息網(wǎng)絡(luò)安全技術(shù)可確保各應(yīng)用系統(tǒng)穩(wěn)定可靠運(yùn)行,有效提高各系統(tǒng)數(shù)據(jù)傳輸?shù)男?,?shí)現(xiàn)數(shù)據(jù)集中和數(shù)據(jù)資源共享[1]。但是,網(wǎng)絡(luò)信息中仍然存在較多安全問題,需要對(duì)其給予重視,提高計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性并加強(qiáng)防護(hù)對(duì)供電企業(yè)的正常運(yùn)行以及發(fā)展均具有非常重要的意義。
1地級(jí)市供電企業(yè)信息網(wǎng)絡(luò)存在的安全問題
1.1內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)不健全
現(xiàn)今,地級(jí)市供電企業(yè)的內(nèi)網(wǎng)結(jié)構(gòu)未能達(dá)到企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)信息化的良好狀態(tài),其結(jié)構(gòu)還不夠健全。地級(jí)市供電企業(yè)由于條件有限,對(duì)信息安全工作的投入并不多,使其存在較大的安全隱患,加上各項(xiàng)安全保障措施不到位,使得內(nèi)網(wǎng)網(wǎng)絡(luò)缺乏健全性。但是,隨著營(yíng)銷、生產(chǎn)、財(cái)務(wù)等各個(gè)專業(yè)的信息系統(tǒng)的上線投運(yùn),使得整個(gè)信息管理模式中較為薄弱的網(wǎng)絡(luò)安全系統(tǒng)成為最短板。
1.2職工安全防范意識(shí)不夠
要使網(wǎng)絡(luò)信息安全得到保障,就要提高地級(jí)市供電企業(yè)的工作人員的綜合素質(zhì)。目前,地級(jí)市供電企業(yè)的工作人員具有技術(shù)水平參差不齊、缺乏安全防范意識(shí)的特點(diǎn)。年輕職員的操作能力不夠高,對(duì)突發(fā)事件的應(yīng)對(duì)措施等相關(guān)知識(shí)沒有足夠的積累;而老齡職工又難以完全掌握網(wǎng)絡(luò)信息安全,跟不上信息化的更新腳步,對(duì)新型網(wǎng)絡(luò)技術(shù)的了解不全面等[2]。這也是地級(jí)市供電企業(yè)信息網(wǎng)絡(luò)安全中存在的問題,應(yīng)當(dāng)給予重視。
1.3網(wǎng)絡(luò)信息化機(jī)構(gòu)漏洞較多
當(dāng)前地級(jí)市供電企業(yè)的網(wǎng)絡(luò)信息化管理還不是一個(gè)完整的體系,其中各類系統(tǒng)的數(shù)據(jù)存儲(chǔ)、關(guān)鍵流程流轉(zhuǎn)等都是非常重要的環(huán)節(jié),不能出現(xiàn)任何問題,但由于安全管理的漏洞較多,所承載的網(wǎng)絡(luò)平臺(tái)的安全性也較低,使信息管理的發(fā)展不具平衡性。針對(duì)現(xiàn)狀來看,計(jì)算機(jī)病毒、黑客攻擊等所導(dǎo)致的關(guān)鍵保密數(shù)據(jù)外泄是對(duì)地級(jí)市供電企業(yè)最具威脅性的安全隱患。雖然應(yīng)用各種計(jì)算機(jī)準(zhǔn)入技術(shù)和可移動(dòng)存儲(chǔ)介質(zhì)的加密技術(shù)可保障企業(yè)信息網(wǎng)絡(luò)安全,但是還存在操作系統(tǒng)正版化程度嚴(yán)重不足的情況[3]。由于被廣泛使用的XP操作系統(tǒng)在企業(yè)內(nèi)已停止更新,導(dǎo)致操作系統(tǒng)的針對(duì)性攻擊越來越頻繁。一旦出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)病毒,就會(huì)在企業(yè)內(nèi)部的計(jì)算機(jī)中進(jìn)行大規(guī)模傳播,從而為相對(duì)公開化的網(wǎng)絡(luò)提供了機(jī)會(huì),導(dǎo)致計(jì)算機(jī)系統(tǒng)遭到惡意破壞,甚至系統(tǒng)崩潰。不法分子就會(huì)趁機(jī)盜取企業(yè)的機(jī)密文件,對(duì)供電系統(tǒng)的相關(guān)數(shù)據(jù)進(jìn)行篡改,毀滅性地攻擊供電系統(tǒng),嚴(yán)重時(shí)還會(huì)導(dǎo)致整個(gè)供電系統(tǒng)的大面積癱瘓。
2對(duì)地級(jí)市供電企業(yè)信息網(wǎng)絡(luò)安全的防范措施
2.1加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備的管理
采用內(nèi)外網(wǎng)物理隔離,在內(nèi)網(wǎng)邊界設(shè)置入侵監(jiān)測(cè)系統(tǒng);在內(nèi)外網(wǎng)邊界同時(shí)設(shè)置千兆硬件防火墻。對(duì)VLAN裝置進(jìn)行優(yōu)化,對(duì)局域網(wǎng)合理分割安全區(qū)域;對(duì)于VLAN之間的信息交換進(jìn)行嚴(yán)格規(guī)劃,訪問控制列表須詳細(xì)規(guī)劃,對(duì)VLAN的合法訪問給予授權(quán),對(duì)非法訪問則進(jìn)行隔離,同時(shí)還要運(yùn)用VACL優(yōu)化訪問控制列表,使其安全性得到保障。入侵監(jiān)測(cè)系統(tǒng)的配置可對(duì)利用常用端口的漏洞所實(shí)施的攻擊以及病毒進(jìn)行防范。
2.2加強(qiáng)對(duì)服務(wù)器的管理
專用業(yè)務(wù)服務(wù)器的訪問權(quán)限較嚴(yán)格,其訪問精度須達(dá)到“終端級(jí)別”;采用VACL隔離無需相互訪問的服務(wù)器。仔細(xì)認(rèn)真地整理和統(tǒng)計(jì)服務(wù)器中應(yīng)用系統(tǒng)的使用對(duì)象及需開放的服務(wù)端口,并根據(jù)實(shí)際情況進(jìn)行調(diào)整。逐一匹配IDS到開通的服務(wù)端口中,并對(duì)同一源地址、目的地址的連接次數(shù)進(jìn)行限制,控制數(shù)據(jù)包的大小,監(jiān)控對(duì)主機(jī)提供服務(wù)的端口,如果發(fā)現(xiàn)有攻擊行為就會(huì)自動(dòng)連接到防火墻模塊。
2.3加強(qiáng)對(duì)終端設(shè)備的管理
設(shè)置北信源內(nèi)網(wǎng)安全管理系統(tǒng)可對(duì)終端設(shè)備管理進(jìn)行強(qiáng)化,從而保護(hù)內(nèi)部資源與網(wǎng)絡(luò)的安全。這個(gè)系統(tǒng)是由移動(dòng)存儲(chǔ)管理、文件保密管理、補(bǔ)丁管理和終端管理構(gòu)成,終端管理系統(tǒng)可使桌面行為監(jiān)管、準(zhǔn)入控制、外設(shè)與接口管理、終端資產(chǎn)管理等功能得以實(shí)現(xiàn)。補(bǔ)丁管理系統(tǒng)是分析系統(tǒng)漏洞以及對(duì)流量進(jìn)行控制,而文件保密管理和移動(dòng)存儲(chǔ)管理是對(duì)文件、目錄、U盤、磁盤盒等進(jìn)行保密管理。
2.4防火墻的攔截
防火墻被稱為控制逾出兩個(gè)方向通信的門檻,是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行保護(hù)的一種技術(shù)措施,也是對(duì)網(wǎng)絡(luò)中的黑客入侵進(jìn)行阻止的有力屏障。在電力系統(tǒng)殺毒軟件的基礎(chǔ)上再對(duì)防火墻軟件系統(tǒng)進(jìn)行配置是安全性較高的措施,并且可以預(yù)防黑客或不法分子的入侵,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息和系統(tǒng)的備份都具有重要意義,另外還可定期檢查備份,使其有效性得到保證[4]。防火墻系統(tǒng)由過濾防火墻、防火墻和雙穴防火墻組成。過濾防火墻是設(shè)置于網(wǎng)絡(luò)層的,它能夠?qū)崿F(xiàn)路由器上的過濾。防火墻又稱應(yīng)用層網(wǎng)管級(jí)防火墻,由服務(wù)器和過濾路由器組成,是目前最流行的防火墻。雙穴防火墻主要是對(duì)一個(gè)網(wǎng)路的數(shù)據(jù)進(jìn)行搜集,并選擇性地將數(shù)據(jù)發(fā)送至另一個(gè)網(wǎng)絡(luò)中。在電力系統(tǒng)中合理、科學(xué)地配置防火墻可保障計(jì)算機(jī)信息網(wǎng)絡(luò)的安全性,同時(shí)對(duì)網(wǎng)絡(luò)之間連接的可靠性和安全性也具有重要意義。
2.5使用正版化的操作系統(tǒng)和應(yīng)用軟件,并及時(shí)升級(jí)
使用正版化的操作系統(tǒng)和應(yīng)用軟件具有專業(yè)有效的售后服務(wù)支持,可隨時(shí)請(qǐng)專業(yè)人員對(duì)電腦所出現(xiàn)的問題進(jìn)行解決。另外,隨著人們對(duì)軟件功能要求和硬件升級(jí)的不斷提高,使用正版化的操作系統(tǒng)和應(yīng)用軟件可隨時(shí)獲得安全升級(jí),避免盜版軟件所帶來的安全隱患,有效防范企業(yè)隱私信息外泄。因此,地級(jí)市供電企業(yè)應(yīng)使用正版化的操作系統(tǒng)和應(yīng)用軟件,并及時(shí)進(jìn)行升級(jí),以使信息網(wǎng)絡(luò)的安全性得到提高。
2.6提高員工的綜合素質(zhì)
地級(jí)市供電企業(yè)應(yīng)提高全體工作人員的計(jì)算機(jī)網(wǎng)絡(luò)信息安全知識(shí)水平和技術(shù)水平,提高其計(jì)算機(jī)網(wǎng)絡(luò)信息竊密泄密的防護(hù)水平以及綜合能力。嚴(yán)禁將泄密的計(jì)算機(jī)和互聯(lián)網(wǎng)或其他公共信息網(wǎng)進(jìn)行連接,在非泄密計(jì)算機(jī)或者互聯(lián)網(wǎng)中對(duì)機(jī)密文件進(jìn)行處理,落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密責(zé)任制,提高員工對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)[5]。還可設(shè)立安全保密管理系統(tǒng),簽署保密協(xié)議,對(duì)供電企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全的管理與監(jiān)督進(jìn)行加強(qiáng),定期對(duì)其安全性進(jìn)行檢查。做好文件的登記、存檔和銷毀工作,對(duì)系統(tǒng)中的網(wǎng)絡(luò)信息安全隱患能夠及時(shí)發(fā)現(xiàn)并處理,從而保證地級(jí)市供電企業(yè)網(wǎng)絡(luò)信息的安全。另外,企業(yè)也應(yīng)嚴(yán)格遵循相關(guān)的信息保密工作文件要求,防止外部侵害和網(wǎng)絡(luò)化所造成的機(jī)密泄露。
3結(jié)束語
一、網(wǎng)絡(luò)操作系統(tǒng)安全風(fēng)險(xiǎn)分析與對(duì)策
目前常用網(wǎng)絡(luò)操作系統(tǒng)有windows、UNIX、linux操作系統(tǒng),這些操作系統(tǒng)開發(fā)在過程中要考慮到方便用戶使用,但在方便使用的前提下也暴露出一些問題:(1)操作系統(tǒng)默認(rèn)配置存在安全隱患:如Windows操作系統(tǒng)默認(rèn)設(shè)置可以從光盤或U盤啟動(dòng),這種設(shè)置可以避開登錄密碼直接進(jìn)入操作系統(tǒng),另外操作系統(tǒng)默認(rèn)安裝了一些不常用的服務(wù)和端口,為非法用戶的入侵提供了便利。(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上共享數(shù)據(jù)、加載或安裝程序,這些功能方便了非法用戶注入和運(yùn)行木馬程序,為獲取用戶的信息提供了方便之門。(3)操作系統(tǒng)自身結(jié)構(gòu)問題,如:windows操作系統(tǒng)自身提供的IPC$鏈接、遠(yuǎn)程調(diào)用等都存在安全隱患。IPC$鏈接是通過DOS界面在獲得管理員權(quán)限的前提下獲得遠(yuǎn)程計(jì)算機(jī)的信息;ftp服務(wù)傳輸過程為明碼傳輸,使用抓包工具即可獲取FTP服務(wù)器的登錄賬號(hào)和密碼,telnet遠(yuǎn)程登錄需要經(jīng)過很多的環(huán)節(jié),中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全問題,所以為了加固網(wǎng)路操作安全可以采用以下措施:1、加強(qiáng)物理安全管理禁止通過DOS或其它操作系統(tǒng)訪問NTFS分區(qū)。在BIOS中設(shè)置口令,禁止使用U盤或光驅(qū)引導(dǎo)系統(tǒng)。2、加強(qiáng)用戶名和口令的管理windows操縱系統(tǒng)Administrator管理員用戶和Unix/Linux操作系統(tǒng)root特權(quán)用戶均具有對(duì)操作系統(tǒng)的完全控制權(quán)限,所以是入侵者想要獲取的信息。用戶名保護(hù):Windows非管理員賬戶在輸入密碼錯(cuò)誤后可設(shè)置成鎖定該用戶,但是Administrator不能刪除和禁用,所以攻擊者可以反復(fù)嘗試登陸,試圖獲取密碼。為了增加攻擊者獲取管理員權(quán)限的難度,可以為Administrator重命名,這樣攻擊者不但要猜出密碼,還要先猜出管理員修改后的用戶名。Root用戶不能更名,為了保護(hù)該用戶,在沒有必要的情況下,不要用root用戶登錄本機(jī)及遠(yuǎn)程登錄服務(wù)器。密碼保護(hù):密碼設(shè)置應(yīng)按照密碼復(fù)雜度要求設(shè)置并定期更換密碼,同時(shí)密碼的設(shè)置不要用普通的英文單詞或比較公開的信息如生日、車牌等。3、加強(qiáng)用戶訪問權(quán)限的管理有些管理員為了方便用戶訪問文件系統(tǒng),為用戶開放了所有權(quán)限,如windows操作系統(tǒng)中為everyone工作組授予了“完全控制”權(quán)限,UNIX/Linux操作系統(tǒng)為所有用戶設(shè)置讀寫執(zhí)行權(quán)限,這樣的設(shè)置方便非法用戶上傳木馬,所以為了文件系統(tǒng)的安全,必須重新設(shè)置文件系統(tǒng)的權(quán)限,在保證正常運(yùn)行的前提下,為用戶設(shè)置最小的訪問權(quán)限。4、加強(qiáng)服務(wù)和端口的管理當(dāng)用戶開啟操作系統(tǒng)后,操作系統(tǒng)自帶的某些服務(wù)會(huì)自動(dòng)運(yùn)行,而非法用戶會(huì)針對(duì)這些服務(wù)進(jìn)行遠(yuǎn)程攻擊,而一些不常使用的端口也容易被非法用戶利用,作為再次入侵的后門,所以應(yīng)該將不常使用的服務(wù)和端口關(guān)閉。
二、數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對(duì)策
企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)安全不可避免的受到外界的威脅,而數(shù)據(jù)的任何失誤,都可能對(duì)企業(yè)帶來巨大的損失。目前數(shù)據(jù)泄漏的主要途徑是:辦公計(jì)算機(jī)或硬盤的外帶;利用移動(dòng)存儲(chǔ)設(shè)備將數(shù)據(jù)帶出;通過網(wǎng)絡(luò)傳輸文件;通過外設(shè)拷貝數(shù)據(jù);服務(wù)器被非法入侵等。為了防止企業(yè)數(shù)據(jù)泄露可以采用如下措施:1、磁盤加密針對(duì)硬盤丟失或被盜造成的泄密風(fēng)險(xiǎn),可以通過對(duì)磁盤驅(qū)動(dòng)層的加密加固處理,保證硬盤在被非法外帶或丟失后呈“鎖死”狀態(tài),硬盤內(nèi)容無法被他人所讀取。2、移動(dòng)存儲(chǔ)設(shè)備使用管理對(duì)于移動(dòng)存儲(chǔ)設(shè)備設(shè)置加密寫入,即拷貝到該類設(shè)備的文檔都會(huì)以密文形式存在,密文只有拷貝回本地計(jì)算機(jī)才能解除加密。3、文檔傳輸控制對(duì)于文檔傳輸可以采取文件外發(fā)對(duì)象控制(指定可以外發(fā)文件的對(duì)象列表)、文件外發(fā)加密(外發(fā)的文檔處于加密狀態(tài))、文件外發(fā)審批(外發(fā)的文件需要經(jīng)領(lǐng)導(dǎo)審批方可發(fā)送)等形式進(jìn)行控制。4、外設(shè)與外設(shè)端口管理針對(duì)具備數(shù)據(jù)傳輸?shù)臄?shù)據(jù)端口和外設(shè),如紅外、藍(lán)牙、無線網(wǎng)卡、刻錄光驅(qū)等,只要與辦公無實(shí)質(zhì)性的聯(lián)系應(yīng)設(shè)置為禁用。5、文件服務(wù)器安全管理公司內(nèi)部之間最為普及的是利用文件服務(wù)器進(jìn)行文件傳遞。文件服務(wù)器上的數(shù)據(jù)經(jīng)過長(zhǎng)期累積存儲(chǔ),往往會(huì)成為“竊密”的重災(zāi)區(qū)。為了防止服務(wù)器的外泄,可以在防火墻中過濾和排查來訪者身份的真實(shí)性與有效性,只有合法的客戶端且得到管理員授權(quán)的用戶會(huì)被放行,非法用戶將被禁止。
作者:王琪 單位:天津工程職業(yè)技術(shù)學(xué)院
【關(guān)鍵詞】企業(yè);網(wǎng)絡(luò)信息安全;問題;對(duì)策
【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158(2013)04-0188-01
隨著我國(guó)經(jīng)濟(jì)的快速發(fā)展,市場(chǎng)競(jìng)爭(zhēng)越來越激烈,企業(yè)要想在激烈的市場(chǎng)競(jìng)爭(zhēng)中占得優(yōu)勢(shì)必須提高企業(yè)的工作效率,提高企業(yè)的效率就要依靠技術(shù)的發(fā)展。隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展和自身的優(yōu)勢(shì),很多企業(yè)為了提高企業(yè)的工作效率都引入了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),來提高企業(yè)內(nèi)部的管理。的確,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)給企業(yè)的管理帶來了極大的便利,但是在提供便利和提高工作效率的同時(shí)也帶來了一些企業(yè)信息安全的隱患,比如黑客的攻擊、病毒的攻擊、惡意程序的攻擊等危害。因此,為了保證企業(yè)信息的安全,必須采取相應(yīng)的措施來解決這些問題。
一、安全隱患
企業(yè)內(nèi)部網(wǎng)絡(luò)信息的安全隱患主要包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、系統(tǒng)的安全風(fēng)險(xiǎn)、管理的安全風(fēng)險(xiǎn)、黑客的攻擊和病毒的攻擊。網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)主要包括公開服務(wù)器面臨的威脅和整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)面臨的威脅。公開服務(wù)器主要的任務(wù)就是為外界提供服務(wù),所以每天都要向外界開放相應(yīng)的服務(wù),這就給黑客的進(jìn)入提供了機(jī)會(huì),一些黑客每時(shí)每刻都在準(zhǔn)備著闖入網(wǎng)絡(luò)的節(jié)點(diǎn),這些節(jié)點(diǎn)如果不能夠時(shí)刻保持警惕,黑客就會(huì)隨時(shí)入侵,最后還會(huì)出現(xiàn)連黑客是什么時(shí)候侵入的都不知道,嚴(yán)重的情況,這些節(jié)點(diǎn)還可能成為黑客攻擊其他站點(diǎn)的跳板。整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)是否成熟直接影響著安全系統(tǒng)的建設(shè),只有具備安全的網(wǎng)絡(luò)系統(tǒng)才能夠保證安全的應(yīng)用網(wǎng)絡(luò)。有一些企業(yè)直接把路由器和網(wǎng)絡(luò)連接起來,這樣的網(wǎng)絡(luò)結(jié)構(gòu)就比較簡(jiǎn)單,但正是這種簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu),才減少了因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由所帶來的安全的風(fēng)險(xiǎn)。
系統(tǒng)的安全主要是指整個(gè)網(wǎng)絡(luò)操作的系統(tǒng)和網(wǎng)絡(luò)硬件的平臺(tái)是否值得信任。從當(dāng)前我國(guó)的信息技術(shù)發(fā)展的情況來看,或許并不存在絕對(duì)安全的操作系統(tǒng),一些系統(tǒng)本身就存在著很大的漏洞,這些漏洞就給網(wǎng)絡(luò)信息的安全帶來隱患。
企業(yè)的網(wǎng)絡(luò)管理對(duì)維護(hù)網(wǎng)絡(luò)信息的安全具有重要的作用,很多企業(yè)中存在著責(zé)權(quán)不明的情況,同時(shí)也沒有相應(yīng)的安全管理制度,或者即使有安全管理制度卻缺乏可操作性,這些問題都給信息安全帶來了嚴(yán)重的隱患。責(zé)權(quán)不明就會(huì)導(dǎo)致管理的混亂,有一些員工利用這樣的機(jī)會(huì)隨便的帶一些非企業(yè)人員進(jìn)入機(jī)房重地,這些工作人員還會(huì)在無意之間泄露一些企業(yè)的信息,但是由于缺乏管理制度,企業(yè)也不會(huì)對(duì)其進(jìn)行相應(yīng)的懲罰,久而久之們就會(huì)給企業(yè)的網(wǎng)絡(luò)信息安全帶來嚴(yán)重危害。另外,一些企業(yè)還會(huì)發(fā)生內(nèi)部人員錯(cuò)誤操作的事故。這主要是因?yàn)?,企業(yè)信息技術(shù)管理人員的計(jì)算機(jī)水平比較低,或者跟不上計(jì)算機(jī)更新?lián)Q代的速度,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)并不是特別熟悉,在一些情況下就會(huì)出現(xiàn)錯(cuò)誤操作的事件,這些錯(cuò)誤的操作當(dāng)時(shí)可能并不在意,但是它會(huì)造成企業(yè)信息的丟失或者通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)流失出去,從而給企業(yè)信息的安全帶來隱患。還有一些企業(yè)內(nèi)部人員故意破壞系統(tǒng),因此企業(yè)必須加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)工作人員的管理。
企業(yè)的網(wǎng)絡(luò)隨時(shí)都會(huì)遇到黑客的攻擊,黑客會(huì)利用網(wǎng)絡(luò)系統(tǒng)中的和企業(yè)管理中的一切漏洞對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊。黑客可以輕易的騙過公開服務(wù)器軟件,直接進(jìn)入口令文件,另外,黑客還可以開發(fā)其他的欺騙程序,監(jiān)聽登陸會(huì)話。如果黑客發(fā)現(xiàn)有用戶登錄時(shí),就會(huì)把用戶的信息儲(chǔ)存下來,這樣它就擁有了其他人的賬戶和口令。黑客的攻擊給企業(yè)的信息安全造成的隱患是最大的。
另外,企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)還會(huì)受到病毒的攻擊,一些病毒在侵入網(wǎng)絡(luò)系統(tǒng)之后還可能會(huì)在網(wǎng)絡(luò)上產(chǎn)生新的病毒,這就給計(jì)算機(jī)的安全帶來了嚴(yán)重的威脅。目前,計(jì)算機(jī)的病毒的種類和傳播的方式不斷增加,因此,為了保證企業(yè)信息的安全必須加強(qiáng)系統(tǒng)對(duì)病毒的防范能力。
二、網(wǎng)絡(luò)安全技術(shù)
1、密碼的使用
為了使企業(yè)的信息更加安全應(yīng)該對(duì)企業(yè)的一些數(shù)據(jù)進(jìn)行加密,這樣即使有的人切取了數(shù)據(jù),但是卻沒有密碼,這些數(shù)據(jù)在他們那依然發(fā)揮不了作用,這樣一來就可以充分的保證企業(yè)信息的安全。但是,隨著科學(xué)技術(shù)的發(fā)展,有些人能夠破解密碼,這就需要企業(yè)擁有較高技術(shù)的計(jì)算機(jī)人才,對(duì)數(shù)據(jù)進(jìn)行加密。
2、防火墻技術(shù)
防火墻系統(tǒng)可以決定哪些企業(yè)內(nèi)部資源可以被外部人員訪問,內(nèi)部人員可以訪問哪些外部服務(wù),它是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,對(duì)維護(hù)企業(yè)信息的安全具有重要的作用。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間所傳輸?shù)男畔?,只有?jīng)過防火墻的檢查才能夠通過,這就從更細(xì)的部分保證了企業(yè)信息的安全。對(duì)數(shù)據(jù)的處理有很多方法,根據(jù)這些方法,防火墻可以分為兩個(gè)體系:包過濾防火墻和防火墻。包過濾防火墻技術(shù)本身就具有一些審查原則,如果信息和防火墻的審查原則相符合,那么信息就會(huì)進(jìn)入網(wǎng)絡(luò)系統(tǒng),反之就會(huì)被防火墻阻擋在網(wǎng)絡(luò)之外。防火墻采用的是的技術(shù),從網(wǎng)絡(luò)內(nèi)部發(fā)出的信息在經(jīng)過防火墻的處理之后,可以隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)。從當(dāng)前的防火墻技術(shù)來看。防火墻可以起到更好的保護(hù)網(wǎng)絡(luò)內(nèi)部信息的作用,防火墻的核心技術(shù)其實(shí)就是服務(wù)器的功能。
3、計(jì)算機(jī)病毒防治技術(shù)
計(jì)算機(jī)病毒防治技術(shù)主要包括文件實(shí)時(shí)監(jiān)控技術(shù)、嵌入式殺毒技術(shù)和特征碼掃描法等。文件實(shí)時(shí)監(jiān)控技術(shù)主要是通過操作系統(tǒng)底部的接口技術(shù),對(duì)系統(tǒng)內(nèi)部的各種文件類型進(jìn)行實(shí)時(shí)的監(jiān)督,能夠及時(shí)發(fā)現(xiàn)侵入系統(tǒng)的病毒。嵌入式殺毒技術(shù)主要是針對(duì)那些經(jīng)常遭遇到病毒入侵的文件的,對(duì)這些文件提供重點(diǎn)的保護(hù)技術(shù),它主要是通過操作系統(tǒng)或者應(yīng)用程序的內(nèi)部接口來實(shí)現(xiàn)的。它主要是對(duì)那些用戶使用的頻率較高、使用的范圍比較廣的軟件提供保護(hù)。特征掃描法主要是通過對(duì)病毒的分析,把病毒存放在病毒代碼的文件中,在對(duì)病毒進(jìn)行掃描的時(shí)候一旦發(fā)現(xiàn)病毒的特點(diǎn)和病毒庫中的病毒代碼相符,從而判定系統(tǒng)染上了病毒。
4、入侵檢測(cè)技術(shù)
當(dāng)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)工作人員對(duì)計(jì)算機(jī)技術(shù)不了解時(shí),就會(huì)出現(xiàn)利用系統(tǒng)中的非授權(quán)的資源,這會(huì)造成系統(tǒng)數(shù)據(jù)的丟失或者使系統(tǒng)數(shù)據(jù)遭到破壞,與此同時(shí),系統(tǒng)還會(huì)拒絕合法的用戶的服務(wù)請(qǐng)求。在這種情況下,就需要入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)。入侵檢測(cè)技術(shù)能夠及時(shí)的發(fā)現(xiàn)系統(tǒng)中未授權(quán)的資源或者其他異常的現(xiàn)象,它可以充分的維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全,同時(shí)它還可以及時(shí)的發(fā)現(xiàn)違反安全策略的行為。
另外,為了保證企業(yè)內(nèi)部信息的安全還需要工作人員做好備份工作。很多重要的企業(yè)內(nèi)部信息,一旦丟失就會(huì)給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失,所以,工作人員除了在企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)上存留企業(yè)的信息,還應(yīng)該做好這些信息的備份工作。如可以把重要的信息存儲(chǔ)到u盤,但是必須對(duì)u盤進(jìn)行加密,防止信息的流逝。
關(guān)鍵詞:網(wǎng)絡(luò)安全,用戶意識(shí),解決方案
1、網(wǎng)絡(luò)安全的重要性
網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用書序、數(shù)論、信息論等多種學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)等硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。具體而言,網(wǎng)絡(luò)安全要:保護(hù)個(gè)人隱私;控制對(duì)網(wǎng)絡(luò)資源的訪問;保證用戶秘密信息在網(wǎng)絡(luò)上傳輸?shù)谋C苄?、完整性、真?shí)性及不可抵賴;控制不健康的內(nèi)容或危害社會(huì)穩(wěn)定的言論;避免國(guó)家及企業(yè)機(jī)密泄漏等。
隨著企業(yè)信息化建設(shè)的飛速發(fā)展,網(wǎng)絡(luò)數(shù)據(jù)量的迅速增長(zhǎng),網(wǎng)絡(luò)安全問題已經(jīng)越來越受到人們廣泛的關(guān)注,各種病毒花樣繁多、層出不窮;系統(tǒng)、程序、軟件的安全漏洞越來越多;黑客們通過不正當(dāng)?shù)氖侄吻秩胨穗娔X,非法獲得信息資料,給正常使用網(wǎng)絡(luò)的用戶帶來不可估計(jì)的損失。很多企業(yè)及用戶就曾深受其害。
2、 破壞網(wǎng)絡(luò)安全的因素
破壞網(wǎng)絡(luò)安全的因素主要包括物理上的、技術(shù)上的、管理上的及用戶意識(shí)幾個(gè)方面。
從物理上講,我網(wǎng)絡(luò)安全是脆弱的。就如通信領(lǐng)域所面臨的問題一樣,網(wǎng)絡(luò)涉及的設(shè)備分布極為廣泛,任何個(gè)人或組織都不可能時(shí)刻對(duì)這些設(shè)備進(jìn)行全面的監(jiān)控。任何安置在不能上鎖的地方的設(shè)施,包括有線通訊線,電話線,局域網(wǎng),遠(yuǎn)程網(wǎng)等都有可能遭到破壞,從而引起業(yè)務(wù)中斷,如果是包含數(shù)據(jù)的軟盤,光盤,主機(jī)等被盜,更會(huì)引起數(shù)據(jù)的丟失和泄漏。
從技術(shù)上講,首先,系統(tǒng)必須提供一定的途徑以許可外系統(tǒng)的訪問;其次,系統(tǒng)必須有足夠的能力對(duì)這些訪問進(jìn)行控制。如果控制技術(shù)本身有缺陷,就有可能被攻擊者利用。如在網(wǎng)絡(luò)上廣泛應(yīng)用的Windows2000、WindowsXP等系統(tǒng)都存在自身的缺陷。最后,即使控制技術(shù)本身并無缺陷,在選用控制系統(tǒng)時(shí)還有一個(gè)平衡的問題;控制太嚴(yán),合法用戶的正常使用將受到影響;控制太松,就會(huì)有漏洞。要做到恰到好處的控制并不是一件容易的事。
從管理上說,沒有一只高效的網(wǎng)絡(luò)安全管理隊(duì)伍,沒有一套網(wǎng)絡(luò)安全技術(shù)培訓(xùn)和用戶安全意識(shí)教育機(jī)制,也是造成網(wǎng)絡(luò)不安全的一個(gè)重要因素。上百個(gè)用戶的網(wǎng)絡(luò)就靠一兩個(gè)網(wǎng)絡(luò)管理員來維護(hù),勢(shì)必造成頭痛醫(yī)頭、腳痛醫(yī)腳的局面。
下面就重點(diǎn)分析一下用戶意識(shí)因素:
大多數(shù)系統(tǒng)是以用戶為中心的。一個(gè)合法的用戶在系統(tǒng)內(nèi)可以執(zhí)行各種操作。管理人員可以通過對(duì)用戶的權(quán)限分配,限定用戶的某些行為,以避免故意的或非故意的某些破壞。然而,更多的安全措施必須由用戶自己來完成,比如:
2.1碼控制
一個(gè)合理的要求是,由用戶來管理自己的登錄密碼。系統(tǒng)管理員可以更改用戶的密碼,但不能讀取用戶的密碼。用戶必須對(duì)自己密碼的安全性、保密性負(fù)責(zé)。一個(gè)不好的(或不安全的)密碼事實(shí)上不能起到密碼的作用。在下面的分析中,將進(jìn)行具體的分析。同樣,如果不能保證密碼的保密性,自然密碼也是虛設(shè)。
2.2文件管理
用戶對(duì)自己的文件必須負(fù)責(zé)。對(duì)于一般的系統(tǒng)和應(yīng)用,文件的創(chuàng)建者擁有對(duì)文件的全部權(quán)限,包括將權(quán)限分配給他人的權(quán)限。如果缺省設(shè)置是文件創(chuàng)建后,僅有文件創(chuàng)建者擁有對(duì)文件的權(quán)限,其他人必須顯示得到權(quán)限分配,問題會(huì)小些。然而,多數(shù)系統(tǒng)(Microsoft、Windows)對(duì)文件權(quán)限的設(shè)置是:只要沒有顯示的限制,都是可以訪問的。這樣,對(duì)文件訪問的安全問題實(shí)際上是交給了用戶自己管理。
2.3運(yùn)行安全的程序
目前在系統(tǒng)一級(jí)上,尚無對(duì)病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用戶自己判斷。一個(gè)用戶只要有寫文件、運(yùn)行文件的權(quán)利,就有可能無意中給系統(tǒng)裝上木馬程序。
2.4保持警惕
這兩年,電子郵件病毒日益猖獗。同前一個(gè)問題一樣,電子郵件的安全也只能由用戶自己控制。在瀏覽網(wǎng)頁時(shí),也可能遇上陷阱,這些都要求用戶保持警惕。
3、網(wǎng)絡(luò)安全的解決方案
網(wǎng)絡(luò)的安全不是單純的技術(shù)問題,他和系統(tǒng)的管理維護(hù)制度方面密切相關(guān)。要實(shí)現(xiàn)完整的企業(yè)網(wǎng)絡(luò)安全性,首先要制定一個(gè)完整的企業(yè)安全策略。一個(gè)完整的企業(yè)網(wǎng)絡(luò)安全策略涵蓋的內(nèi)容很多,整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性也不僅依賴于安全可靠的網(wǎng)絡(luò)操作、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全性。
3.1需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則
對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性和定量的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略、保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡。
3.2授權(quán)、認(rèn)證原則
對(duì)那些確實(shí)需要保護(hù)的企業(yè)網(wǎng)絡(luò)資源(包括設(shè)備、軟件、數(shù)據(jù)等),保證在對(duì)這些資源訪問前,用戶必須經(jīng)過授權(quán)和認(rèn)證,符合身份驗(yàn)證和授權(quán)的用戶才能夠獲得相應(yīng)的訪問權(quán)限。
3.3一致性原則
主要指只有應(yīng)該具備訪問權(quán)的人才能夠獲得相應(yīng)的訪問資源的賬號(hào)。這里要特別注意因?yàn)閱T工更換部門或者離開公司,其相應(yīng)的權(quán)限和賬號(hào)也要相應(yīng)取消。
3.4綜合性、完整性原則
運(yùn)用系統(tǒng)工具的觀點(diǎn)、方法分析網(wǎng)絡(luò)安全的問題,并制定具體措施。一個(gè)較好的安全措施往往是多種方法綜合應(yīng)用的結(jié)果。
3.5建立安全監(jiān)控、報(bào)警手段或者機(jī)制
可對(duì)網(wǎng)絡(luò)的安全策略是否得到正確的實(shí)施,以及對(duì)違反安全策略的行為予以報(bào)警,有助于確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。
3.6易操作性原則
如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低來安全性。
3.7適應(yīng)性、靈活性原則
安全措施必須能隨網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易、適應(yīng)修改。
本文介紹了網(wǎng)絡(luò)安全管理要素,并結(jié)合筆者多年工作實(shí)踐經(jīng)驗(yàn),以某卷煙廠企網(wǎng)絡(luò)安全管理技術(shù)的應(yīng)用為例,針對(duì)企業(yè)網(wǎng)絡(luò)安全方案展開研究,希望能夠?yàn)榫W(wǎng)絡(luò)安全管理技術(shù)在OSS中的應(yīng)用提供一點(diǎn)理論支持。
【關(guān)鍵詞】
網(wǎng)絡(luò)安全;管理技術(shù);應(yīng)用
1網(wǎng)絡(luò)安全管理要素
目前,隨著互聯(lián)網(wǎng)的普及與發(fā)展,人們對(duì)網(wǎng)絡(luò)的應(yīng)用越來越廣泛,對(duì)網(wǎng)絡(luò)安全的意識(shí)也不斷增強(qiáng),尤其是對(duì)于企業(yè)而言,網(wǎng)絡(luò)安全管理一直以來都存在諸多問題。網(wǎng)絡(luò)安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,這些要素對(duì)于網(wǎng)絡(luò)安全管理而言有著重大影響,針對(duì)這些網(wǎng)絡(luò)安全管理要素的分析與研究具有十分重要的意義。
1.1安全策略
網(wǎng)絡(luò)安全的核心在于安全策略。在網(wǎng)絡(luò)系統(tǒng)安全建立的過程中,安全策略具有重要的指導(dǎo)性作用。通過安全策略,可以網(wǎng)絡(luò)系統(tǒng)的建立的安全性、資源保護(hù)以及資源保護(hù)方式予以明確。作為重要的規(guī)則,安全策略對(duì)于網(wǎng)絡(luò)系統(tǒng)安全而言有著重要的控制作用。換言之,就是指以安全需求、安全威脅來源以及組織機(jī)構(gòu)狀況為出發(fā)點(diǎn),對(duì)安全對(duì)象、狀態(tài)以及應(yīng)對(duì)方法進(jìn)行明確定義。在網(wǎng)絡(luò)系統(tǒng)安全檢查過程中,安全策略具有重要且唯一的參考意義。網(wǎng)絡(luò)系統(tǒng)的安全性、安全狀況以及安全方法,都只有參考安全策略。作為重要的標(biāo)準(zhǔn)規(guī)范,相關(guān)工作人員必須對(duì)安全策略有一個(gè)深入的認(rèn)識(shí)與理解。工作人員必須采用正確的方法,利用有關(guān)途徑,對(duì)安全策略及其制定進(jìn)行了解,并在安全策略系統(tǒng)下接受培訓(xùn)。同時(shí),安全策略的一致性管理與生命周期管理的重要性不言而喻,必須確保不同的安全策略的和諧、一致,使矛盾得以有效避免,否則將會(huì)導(dǎo)致其失去實(shí)際意義,難以充分發(fā)揮作用。安全策略具有多樣性,并非一成不變,在科學(xué)技術(shù)不斷發(fā)展的背景下,為了保證安全策略的時(shí)效性,需要對(duì)此進(jìn)行不斷調(diào)整與更新。只有在先進(jìn)技術(shù)手段與管理方法的支持下,安全策略才能夠充分發(fā)揮作用。
1.2安全配置
從微觀上來講,實(shí)現(xiàn)安全策略的重要前提就是合理的安全配置。安全配置指的是安全設(shè)備相關(guān)配置的構(gòu)建,例如安全設(shè)備、系統(tǒng)安全規(guī)則等等。安全配置涉及到的內(nèi)容比較廣泛,例如防火墻系統(tǒng)。VPN系統(tǒng)、入侵檢測(cè)系統(tǒng)等等,這些系統(tǒng)的安全配置及其優(yōu)化對(duì)于安全策略的有效實(shí)施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮。合理、科學(xué)的安全配置能夠使安全系統(tǒng)及設(shè)備的作用得到充分體現(xiàn),能夠很好的符合安全策略的需求。如果安全配置不當(dāng),那么就會(huì)導(dǎo)致安全系統(tǒng)設(shè)備缺乏實(shí)際意義,難以發(fā)揮作用,情況嚴(yán)重時(shí)還會(huì)產(chǎn)生消極影響。例如降低網(wǎng)絡(luò)的流暢性以及網(wǎng)絡(luò)運(yùn)行效率等等。安全配置的管理與控制至關(guān)重要,任何人對(duì)其隨意更改都會(huì)產(chǎn)生嚴(yán)重的影響。并且備案工作對(duì)于安全配置也非常重要,應(yīng)做好定期更新工作,并進(jìn)行及時(shí)檢查,確保其能夠?qū)踩呗缘男枨竽軌蚍从吵鰜?,為相關(guān)工作人員工作的開展提供可靠的依據(jù)。
1.3安全事件
所謂的安全事件,指的是對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)安全造成不良影響的行為。在計(jì)算機(jī)與域網(wǎng)絡(luò)中,這些行為都能夠被觀察與發(fā)現(xiàn)。其中破壞系統(tǒng)、網(wǎng)絡(luò)中IP包的泛濫以及在未經(jīng)授權(quán)的情況下對(duì)另一個(gè)用戶的賬戶或系統(tǒng)特殊權(quán)限的篡改導(dǎo)致數(shù)據(jù)被破壞等都屬于惡意行為。一方面,計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全指的是計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)、信息的保密性與完整性以及應(yīng)用、服務(wù)于網(wǎng)絡(luò)等的可用性。另一方面,在網(wǎng)絡(luò)發(fā)展過程中,網(wǎng)絡(luò)安全事件越來越頻繁,違反既定安全策略的不在預(yù)料之內(nèi)的對(duì)系統(tǒng)與網(wǎng)絡(luò)使用、訪問等行為都在安全事件的范疇之內(nèi)。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內(nèi)容比較廣泛,包括安全系統(tǒng)與設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)的日志與之間等等。安全事件將網(wǎng)絡(luò)、操作以及應(yīng)用系統(tǒng)的安全情況與發(fā)展直接的反映了出來,對(duì)于網(wǎng)絡(luò)系統(tǒng)而言,其安全狀況可以通過安全事件得到充分體現(xiàn)。在安全管理中,安全事件的重要性不言而喻,安全事件的特點(diǎn)在于數(shù)量多、分布散、技術(shù)復(fù)雜等。因此,在安全事件管理中往往存在諸多難題。在工作實(shí)踐中,不同的管理人員負(fù)責(zé)不同的系統(tǒng)管理。由于日志與安全事件數(shù)量龐大,系統(tǒng)安全管理人員往往難以全面觀察與分析,安全系統(tǒng)與設(shè)備的安全缺乏實(shí)際意義,其作用也沒有得到充分發(fā)揮。安全事件造成的影響有可能比較小,然而網(wǎng)絡(luò)安全狀況與發(fā)展趨勢(shì)在很大程度上受到這一要素的影響。必須采用相應(yīng)的方法對(duì)安全事件進(jìn)行收集,通過數(shù)據(jù)挖掘、信息融合等方法,對(duì)其進(jìn)行冗余處理與綜合分析,以此來確定對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)產(chǎn)生影響的安全事件,即安全事故。
1.4安全事故
安全事故如果產(chǎn)生了一定的影響并造成了損失,就被稱為安全事故。如果有安全事故發(fā)生那么網(wǎng)絡(luò)安全管理人員就必須針對(duì)此采取一定的應(yīng)對(duì)措施,使事故造成的影響以及損失得到有效控制。安全事故的處理應(yīng)具有準(zhǔn)確性、及時(shí)性,相關(guān)工作人員應(yīng)針對(duì)事故發(fā)生各方面要素進(jìn)行分析,發(fā)現(xiàn)事故產(chǎn)生的原因,以此來實(shí)現(xiàn)對(duì)安全事故的有效處理。在安全事故的處理中,應(yīng)對(duì)信息資源庫加以利用,對(duì)事故現(xiàn)場(chǎng)系統(tǒng)或設(shè)備情況進(jìn)行了解,如此才能夠針對(duì)實(shí)際情況采取有效的技術(shù)手段,使安全事故產(chǎn)生的影響得到有效控制。
1.5用戶身份管理
在統(tǒng)一網(wǎng)絡(luò)安全管理體系中,用戶管理身份系統(tǒng)占據(jù)著重要地位。最終用戶是用戶身份管理的主要對(duì)象,通過這部分系統(tǒng),最終用戶可以獲取集中的身份鑒別中心功能。在登錄網(wǎng)絡(luò)或者對(duì)網(wǎng)絡(luò)資源進(jìn)行使用的過程中,身份管理系統(tǒng)會(huì)鑒別用戶身份,以此保障用戶的安全。
2企業(yè)網(wǎng)絡(luò)安全方案研究
本文以某卷煙廠網(wǎng)絡(luò)安全方案為例,針對(duì)網(wǎng)絡(luò)安全技術(shù)在OSS中的應(yīng)用進(jìn)行分析。該企業(yè)屬于生產(chǎn)型企業(yè)。該企業(yè)網(wǎng)絡(luò)安全管理中,采用針對(duì)性的安全部署策略,采用安全信息收集與信息綜合的方法實(shí)施網(wǎng)絡(luò)安全管理。在網(wǎng)絡(luò)設(shè)備方面,作為網(wǎng)絡(luò)設(shè)備安全的基本防護(hù)方法:①對(duì)設(shè)備進(jìn)行合理配置,為設(shè)備所需的必要服務(wù)進(jìn)行開放,僅運(yùn)行指定人員的訪問;②該企業(yè)對(duì)設(shè)備廠商的漏洞予以高度關(guān)注,對(duì)網(wǎng)絡(luò)設(shè)備補(bǔ)丁進(jìn)行及時(shí)安裝;③全部網(wǎng)絡(luò)設(shè)備的密碼會(huì)定期更換,并且密碼具有一定的復(fù)雜程度,其破解存在一定難度;④該企業(yè)對(duì)設(shè)備維護(hù)有著高度重視,采取合理方法,為網(wǎng)絡(luò)設(shè)備運(yùn)營(yíng)的穩(wěn)定性提供了強(qiáng)有力的保障。在企業(yè)數(shù)據(jù)方面,對(duì)于企業(yè)而言,網(wǎng)絡(luò)安全的實(shí)施主要是為了病毒威脅的預(yù)防,以及數(shù)據(jù)安全的保護(hù)。作為企業(yè)核心內(nèi)容之一,尤其是對(duì)于高科技企業(yè)而言,數(shù)據(jù)的重要性不言而喻。為此,企業(yè)內(nèi)部對(duì)數(shù)據(jù)安全的保護(hù)有著高度重視。站在企業(yè)的角度,該企業(yè)安排特定的專業(yè)技術(shù)人員對(duì)數(shù)據(jù)進(jìn)行觀察,為數(shù)據(jù)的有效利用提供強(qiáng)有力的保障。同時(shí),針對(duì)于業(yè)務(wù)無關(guān)的人員,該企業(yè)禁止其對(duì)數(shù)據(jù)進(jìn)行查看,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)。現(xiàn)階段,很多大中型企業(yè)在各地區(qū)都設(shè)有分支機(jī)構(gòu),該卷煙廠也不例外,企業(yè)核心信息在公司之間傳輸,為了預(yù)防非法人員查看,其發(fā)送必須采取加密處理。并且,采用Internet進(jìn)行郵件發(fā)送的方式被嚴(yán)令禁止;②為了確保公司內(nèi)部人員對(duì)數(shù)據(jù)進(jìn)行私自復(fù)制并帶出公司的情況得到控制,該企業(yè)構(gòu)建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤、移動(dòng)硬盤燈功能,無線、藍(lán)牙等設(shè)備也無法使用,如此一來,內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免。此外,該企業(yè)針對(duì)辦公軟件加密系統(tǒng)進(jìn)行構(gòu)建,對(duì)辦公文檔加以制定,非制定權(quán)限人員不得查看。在內(nèi)部網(wǎng)絡(luò)安全上,為了使外部網(wǎng)絡(luò)入侵得到有效控制,企業(yè)采取了防火墻安裝的方法,然而在網(wǎng)絡(luò)內(nèi)部入侵上,該方法顯然無法應(yīng)對(duì)。因此,該企業(yè)針對(duì)其性質(zhì)進(jìn)行細(xì)致分析,采取了內(nèi)部網(wǎng)絡(luò)安全的應(yīng)對(duì)方法。企業(yè)內(nèi)部網(wǎng)絡(luò)可以分為兩種,即辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)。前者可以對(duì)Internet進(jìn)行訪問,存在較大安全隱患,而后者則只需將內(nèi)部服務(wù)器進(jìn)行連接,無需對(duì)Internet進(jìn)行訪問。二者針對(duì)防火墻系統(tǒng)隔離進(jìn)行搭建,使生產(chǎn)網(wǎng)絡(luò)得到最大限度的保護(hù),為公司核心業(yè)務(wù)的運(yùn)行提供保障。為了使網(wǎng)絡(luò)故障影響得到有效控制,應(yīng)對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分,可以對(duì)VLAN加以利用,隔離不同的網(wǎng)絡(luò)區(qū)域,并在其中進(jìn)行安全策略的設(shè)置,使區(qū)域間影響得到分隔,確保任何一個(gè)VLAN的故障不會(huì)對(duì)其他VLAN造成影響。在客戶端安全管理方面,該企業(yè)具有較多客戶端,大部分都屬于windows操作系統(tǒng),其逐一管理難度打,因此企業(yè)內(nèi)部采用Windows組側(cè)策略對(duì)客戶端進(jìn)行管理。在生產(chǎn)使用的客戶端上,作業(yè)人員的操作相對(duì)簡(jiǎn)單,只需要利用嚴(yán)格的限制手段,就可以實(shí)現(xiàn)對(duì)客戶端的安全管理。
作者:楊國(guó)欣 霍重寧 單位:廣西中煙工業(yè)有限責(zé)任公司
參考文獻(xiàn)
[1]崔小龍.論網(wǎng)絡(luò)安全中計(jì)算機(jī)信息管理技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014(20):181~182.
[2]何曉冬.淺談?dòng)?jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].長(zhǎng)春教育學(xué)院學(xué)報(bào),2015(11):61~62.
不久前,思科系統(tǒng)公司首席安全官John Stewart稱:“企業(yè)正在安全流程中浪費(fèi)金錢,使用補(bǔ)丁和使用殺毒軟件,都是不起作用的?!?/p>
對(duì)此筆者的感想是,在理論上思科公司是可以不使用殺毒軟件、打補(bǔ)丁的方法,用更先進(jìn)的措施辦法來解決病毒等威脅攻擊的。但我也想用個(gè)現(xiàn)實(shí)的例子說明一下:晉惠帝御宴,方食肉脯,東撫奏旱荒,饑民多餓死。帝曰:“饑民無谷食,便食這肉脯,也可充腹,何致餓死?”這其實(shí)和思科首席安全官的話語有很大程度的相似。
那么,企業(yè)究竟應(yīng)該如何保證企業(yè)網(wǎng)絡(luò)的安全呢?筆者認(rèn)為應(yīng)該從以下幾步開始。
第一步:
確定安全策略
首先弄清楚所要保護(hù)的對(duì)象。公司是否在運(yùn)行著文件服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器?辦公系統(tǒng)有多少客戶端、業(yè)務(wù)網(wǎng)段有多少客戶端、公司的核心數(shù)據(jù)有多少,存儲(chǔ)在哪里?目前亞洲地區(qū)仍有相當(dāng)多的公司,手工將關(guān)鍵數(shù)據(jù)存儲(chǔ)在工作簿或賬簿上。如果貴公司的計(jì)算機(jī)通常只是用來文字處理,或者是玩游戲,那數(shù)據(jù)可能根本不值得去保護(hù)。然而,如果貴公司保存有大量的敏感信息,例如信用卡號(hào)碼或者財(cái)務(wù)往來交易事項(xiàng),那么貴公司所需要的安全等級(jí)將會(huì)很高。
一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng),主要有Web、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展,網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來越復(fù)雜,應(yīng)用系統(tǒng)也會(huì)越來越多。從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來看,既有內(nèi)部用戶,也有外部用戶,因此,整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在以下兩個(gè)方面的安全問題:
1.Internet的安全性:目前互聯(lián)網(wǎng)應(yīng)用越來越廣泛,黑客與病毒無孔不入,這極大地影響了Internet的可靠性和安全性,保護(hù)Internet、加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。
2.企業(yè)內(nèi)網(wǎng)的安全性:企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視,存在的安全隱患主要有未授權(quán)的訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。
第二步:
弄清自身需求
要搞清楚,每年預(yù)算多少經(jīng)費(fèi)用于支付安全策略?可以購買什么?是一個(gè)入門級(jí)常用的防火墻還是一個(gè)擁有多種特性的綜合網(wǎng)關(guān)UTM產(chǎn)品?企業(yè)局域網(wǎng)客戶端的安全需求是什么?有多少臺(tái)嚴(yán)格的機(jī)器?此外,很重要的一步便是在功能性和安全性方面做出選擇。貴公司網(wǎng)絡(luò)必須提供的服務(wù)有哪些:郵件、網(wǎng)頁還是數(shù)據(jù)庫?該網(wǎng)絡(luò)真的需要即時(shí)消息么?某些情況下,貴公司擁有什么并不重要,重要的是怎么利用它。相對(duì)于將整個(gè)預(yù)算花在一個(gè)“花架子”似的防火墻上,實(shí)現(xiàn)多層防御是一個(gè)很不錯(cuò)的策略。盡管如此,我們還是有必要去查看一下整個(gè)網(wǎng)絡(luò),并弄清楚如何劃分才會(huì)最佳。
針對(duì)網(wǎng)絡(luò)受到非法攻擊以及病毒爆發(fā),網(wǎng)絡(luò)管理員還需做好準(zhǔn)備工作:目前的設(shè)備能夠做好足夠的日志么?路由器、防火墻或者系統(tǒng)日志服務(wù)器能夠告訴我們非法侵入的時(shí)間和手段嗎?是否有一個(gè)適當(dāng)位置可以用來恢復(fù)?如果受到攻擊的服務(wù)器需要擦除并重新配置,能盡可能減少關(guān)鍵數(shù)據(jù)的流失,并快速實(shí)現(xiàn)么?
因此,筆者認(rèn)為,企業(yè)的安全需要可以歸納為以下幾點(diǎn)。
1.基本安全需求
保護(hù)企業(yè)網(wǎng)絡(luò)中設(shè)備的正常運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全,是企業(yè)網(wǎng)絡(luò)的基本安全需求。針對(duì)企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境,主要包括:網(wǎng)絡(luò)正常運(yùn)行、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)部署、數(shù)據(jù)庫及其他服務(wù)器資料不被竊取、保護(hù)用戶賬號(hào)口令等個(gè)人資料不被泄露、對(duì)用戶賬號(hào)和口令進(jìn)行集中管理、對(duì)授權(quán)的個(gè)人限制訪問功能、分配個(gè)人操作等級(jí)、進(jìn)行用戶身份認(rèn)證、服務(wù)器、PC機(jī)和Internet/Intranet網(wǎng)關(guān)的防病毒保證、提供靈活高效且安全的內(nèi)外通信服務(wù)、保證撥號(hào)用戶的上網(wǎng)安全等。
2.關(guān)鍵業(yè)務(wù)系統(tǒng)的安全需求
關(guān)鍵業(yè)務(wù)系統(tǒng)是企業(yè)網(wǎng)絡(luò)應(yīng)用的核心。關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施,其安全需求主要包括:訪問控制,確保業(yè)務(wù)系統(tǒng)不被非法訪問;數(shù)據(jù)安全,保證數(shù)據(jù)庫軟硬系統(tǒng)的整體安全性和可靠性,保證數(shù)據(jù)不被來自網(wǎng)絡(luò)內(nèi)部其他子系統(tǒng)(子網(wǎng)段)的破壞;安全預(yù)警,對(duì)于試圖破壞關(guān)鍵業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤,提供非法攻擊的犯罪證據(jù);系統(tǒng)服務(wù)器、客戶機(jī)以及電子郵件系統(tǒng)的綜合防病毒措施等。
第三步:
制定解決方案
前兩步是不可或缺的部分,不了解自身狀況就無法制定因地制宜的解決方案。解決方案是指定給有具體需求的單位,有大眾性,但無通用性。調(diào)查顯示:近60%的企業(yè)面臨著以防護(hù)病毒和惡意行為為主的信息安全需求。
那么,下一步,就是采用何種解決方案的問題。針對(duì)防毒解決方案,筆者推薦瑞星公司的幾款產(chǎn)品:瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版、瑞星防毒墻、瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)。
這是企業(yè)整體防毒解決方案,主要是為了以下幾個(gè)目的。
1. 網(wǎng)絡(luò)邊緣防護(hù)
防毒墻可以根據(jù)用戶的不同需要,具備針對(duì)HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力,同時(shí)通過實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系,不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯,同時(shí)可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用。
2. 內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和規(guī)范
網(wǎng)絡(luò)安全預(yù)警系統(tǒng)可對(duì)HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力,企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別粒度達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為,提高工作效率,同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。
3. 計(jì)算機(jī)病毒的監(jiān)控和清除
網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件,可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理,實(shí)時(shí)掌握了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件,并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。
4. 用控制臺(tái)和Web方式管理
通過這兩種方式管理員可以靈活、簡(jiǎn)便地根據(jù)自身實(shí)際情況設(shè)置、修改安全策略,及時(shí)掌握了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行基本信息。
5. 可進(jìn)行日志分析和報(bào)表統(tǒng)計(jì)
這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)可以自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日?qǐng)?bào)表、月報(bào)表、年報(bào)表等,通過來源分析、目標(biāo)分析、類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的安全管理。
6. 功能模塊化組合
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)構(gòu)架;安全策略;攻擊
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)27-7657-03
The Discussion of Enterprises Network Architecture and Security
MA Wan-tao
(Yinchuan evening newpaper office of NingXia, Yinchuan 750004, China)
Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last,the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.
Key words: enterprises network architecture; security stategy; attack
隨著世界信息高新技術(shù)的快速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在全球各地的企業(yè)里得到了廣泛的應(yīng)用。企業(yè)在充分的享受到利用網(wǎng)絡(luò)方便快捷的找到信息的同時(shí),也承受著網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)問題。因此,對(duì)于深入探討企業(yè)網(wǎng)絡(luò)如何構(gòu)架從而提高企業(yè)網(wǎng)絡(luò)的安全性能等問題具有重要的現(xiàn)實(shí)意義。
1 企業(yè)網(wǎng)絡(luò)構(gòu)架的趨勢(shì)
由于下一代互聯(lián)網(wǎng)的發(fā)展趨勢(shì)是移動(dòng)互聯(lián)網(wǎng),很多城市正在考慮部署全城范圍的寬帶無線接入工程,實(shí)現(xiàn)“無線城市”的規(guī)劃,因此,本文所探討的是企業(yè)無線局域網(wǎng)絡(luò)的框架趨勢(shì)。信息安全實(shí)踐表明安全不是一個(gè)單純的技術(shù)問題,而是一個(gè)復(fù)雜的系統(tǒng)工程問題。人們?cè)趯?shí)踐中逐漸認(rèn)識(shí)到科學(xué)的管理是解決信息安全問題的關(guān)鍵。信息安全的內(nèi)涵也由最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而又發(fā)展到“攻(攻擊)、防(防范)、測(cè)(檢測(cè))、控(控制)、管(管理)、評(píng)(評(píng)估)”等多方面的基礎(chǔ)理論和實(shí)現(xiàn)技術(shù)。基于這一理論,企業(yè)無線局域網(wǎng)絡(luò)應(yīng)具有具有移動(dòng)安全基礎(chǔ)設(shè)施特色、以安全管理為中心的安全體系結(jié)構(gòu),其構(gòu)架如圖1所示。
該框架結(jié)構(gòu)主要有三個(gè)技術(shù)層次,第一層是移動(dòng)終端安全平臺(tái),該層實(shí)現(xiàn)移動(dòng)終端漏洞的自動(dòng)修復(fù)和安全引擎自動(dòng)加載技術(shù),實(shí)現(xiàn)安全防御技術(shù)的集成,如終端防火墻、防惡意代碼、終端HIDS(Host-based Intrusion Detection System,即基于主機(jī)型入侵檢測(cè)系統(tǒng))等技術(shù)的有機(jī)集成。達(dá)到綜合安全防御的目標(biāo),實(shí)現(xiàn)移動(dòng)終端設(shè)各的加固和通用商業(yè)移動(dòng)終端的專用化,體現(xiàn)“防”的思想。第二層是集成化的無線局域網(wǎng)接入管理平臺(tái),通過對(duì)安全網(wǎng)關(guān)、安全引擎、安全管理、無線局域網(wǎng)安全中間件等有機(jī)集成,體現(xiàn)“測(cè)、控、管”的思想。其中安全網(wǎng)關(guān)提供無線局域網(wǎng)接入管理平臺(tái)與無線局域網(wǎng)安全管理平臺(tái)之間安全通信的專用保密通道;安全管理組件實(shí)現(xiàn)終端軟件漏洞、病毒庫、審計(jì)與無線定位等管理,同時(shí)對(duì)遭受網(wǎng)絡(luò)攻擊而癱瘓節(jié)點(diǎn)的隔離與修復(fù)性管理;實(shí)現(xiàn)“測(cè)與控”的結(jié)合;無線安全中間件足為不同類型的終端提供統(tǒng)一的安全接口,解決移動(dòng)設(shè)備的異構(gòu)性問題。第三層是無線局域網(wǎng)安全管理層,通過無線局域網(wǎng)危害評(píng)佶系統(tǒng)和基礎(chǔ)數(shù)據(jù)庫,實(shí)現(xiàn)無線局域網(wǎng)安全管理的自動(dòng)化,體現(xiàn)安全中以“評(píng)”促“管”的思想。
該框架結(jié)構(gòu)在移動(dòng)設(shè)備、通信鏈路、安全等級(jí)、軟件體系和安全基礎(chǔ)數(shù)據(jù)等方面體現(xiàn)無線局域網(wǎng)安全基礎(chǔ)設(shè)施的思想。通過不斷加強(qiáng)安全基礎(chǔ)數(shù)據(jù)庫建設(shè),提高無線局域網(wǎng)遭受攻擊時(shí)系統(tǒng)的安全性、有效性和實(shí)用性。為了實(shí)現(xiàn)無線局域網(wǎng)安全框架,必須要有相應(yīng)的協(xié)議。圖2給出了無線局域網(wǎng)安全框架下的不同組件的協(xié)議結(jié)構(gòu)圖。從圖中可以看出,選擇支持“推”結(jié)構(gòu)的移動(dòng)終端,在進(jìn)行安全接入時(shí),當(dāng)通過MAC層的安全認(rèn)證后,自動(dòng)將安全引擎加載到移動(dòng)終端之中,為高安全需求的通信提供安全保障。同時(shí)該結(jié)構(gòu)也為移動(dòng)終端的選型和安全防護(hù)技術(shù)的升級(jí)提供了很好的擴(kuò)展性,實(shí)現(xiàn)了應(yīng)用與設(shè)備分離,符合瘦客戶終端的發(fā)展需求。為移動(dòng)運(yùn)營(yíng)商提供增值業(yè)務(wù)提供了較好的適應(yīng)性。在安全接入級(jí),考慮不同移動(dòng)終端設(shè)備的MAC層安全機(jī)制不同,采用中間件可以屏蔽其不同,提供不同移動(dòng)設(shè)備的統(tǒng)一安全接口,配合安全引擎的高級(jí)安全認(rèn)證體制,實(shí)現(xiàn)多種安全認(rèn)證技術(shù)的強(qiáng)認(rèn)證體系。WlDS組件是為了實(shí)現(xiàn)無線IDS、終端防火墻、終端防病毒等相結(jié)合的主動(dòng)安全防護(hù)技術(shù),通過智能性的關(guān)聯(lián)分析器,抽取出攻擊特征,報(bào)告給安全管理組件,這體現(xiàn)了入侵防御系統(tǒng)(IPS)的技術(shù)思想。安全管理組件是集成不同的無線局域網(wǎng)安全管理而設(shè)計(jì),涉及漏洞管理、病毒管理、惡意代碼管理、系統(tǒng)審計(jì)、無線定位、統(tǒng)一的安全策略管理和攻擊管理(隔離與恢復(fù))等。安全網(wǎng)關(guān)是為了防止移動(dòng)終端直接與無線局域網(wǎng)安全管理平臺(tái)通信而設(shè)計(jì)的安全隔離技術(shù),通過采用不同的安全算法和安全強(qiáng)度,實(shí)現(xiàn)技術(shù)隔離效果,如移動(dòng)終端與安全接入平臺(tái)間采用192比特的ECDSA算法,而安全接入平臺(tái)與安全管理平臺(tái)可以采用224比特的ECDSA算法。將基礎(chǔ)數(shù)據(jù)庫放置到后端,可以為不同區(qū)域的移動(dòng)用戶提供數(shù)據(jù)共享,這有助于實(shí)現(xiàn)一點(diǎn)采樣,多點(diǎn)聯(lián)動(dòng)的協(xié)同安全防御技術(shù)。
2 流行的網(wǎng)絡(luò)攻擊分析
企業(yè)流行的網(wǎng)絡(luò)攻擊主要分為外部網(wǎng)絡(luò)攻擊和內(nèi)部局域網(wǎng)的攻擊兩個(gè)方面。
在外網(wǎng)攻擊方面:出于業(yè)務(wù)的需要,企業(yè)的網(wǎng)絡(luò)與Internet及其他業(yè)務(wù)單位網(wǎng)絡(luò)相連接。這種物理網(wǎng)絡(luò)上互聯(lián)互通給數(shù)據(jù)的互聯(lián)互通帶來了事實(shí)上的可能性。但是如果Internet與外單位網(wǎng)絡(luò)可以與企業(yè)的網(wǎng)絡(luò)隨意進(jìn)行互訪,容易導(dǎo)致本系統(tǒng)內(nèi)部機(jī)密泄漏等安全威脅;其次,各系統(tǒng)的互聯(lián)互通會(huì)使得跨系統(tǒng)的攻擊和病毒傳播成為可能,帶來極大的安全隱患。企業(yè)的網(wǎng)絡(luò)中的服務(wù)器及個(gè)人主機(jī)上都有信息。假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損(被攻擊或者被病毒感染),就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的其他系統(tǒng)。透過網(wǎng)絡(luò)傳播,還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施,內(nèi)部網(wǎng)絡(luò)容易造到來自外部網(wǎng)絡(luò)的一些不懷好意的入侵者的攻擊。
目前最為流行的攻擊有以下幾種:
① 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。
② 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)重要信息。
③ 惡意攻擊。入侵者通過發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊,使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。
④ 發(fā)送大量包含惡意代碼或病毒程序的郵件。在內(nèi)部局域網(wǎng)的攻擊方面:在已有的網(wǎng)絡(luò)安全攻擊事件中實(shí)際上約70%是來自內(nèi)部網(wǎng)絡(luò)的攻擊。來自機(jī)構(gòu)內(nèi)部局域網(wǎng)的攻擊主要包括以下幾種:
① 誤用和濫用關(guān)鍵、敏感數(shù)據(jù)和計(jì)算資源。無論是有不滿情緒的員工的故意破壞,還是沒有訪問關(guān)鍵系統(tǒng)權(quán)限的員工因誤操作而進(jìn)入關(guān)鍵系統(tǒng),由此而造成的數(shù)據(jù)泄露、偷竊、損壞或刪除將給企業(yè)帶來很大的負(fù)面影響。
② 如果工作人員發(fā)送、接收和查看攻擊性材料,可能會(huì)形成敵意的工作環(huán)境,從而增大內(nèi)耗。
③ 內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu);安全管理員有意透露其用戶名及口令。
④ 內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人信息傳播出去。
3 當(dāng)前的安全策略
企業(yè)網(wǎng)絡(luò)除了要有安全的網(wǎng)絡(luò)構(gòu)架還需要全面的安全策略才能保證其總體信息安全運(yùn)行?;谝陨蠈?duì)網(wǎng)絡(luò)攻擊的具體分析,企業(yè)全面的安全策略應(yīng)包括以下幾個(gè)方面。
① 安全管理策略。安全管理貫穿在安全的各個(gè)層次實(shí)施。從管理角度來看,需制訂了整個(gè)企業(yè)的安全管理策略;從技術(shù)管理角度來看,實(shí)現(xiàn)安全的配置和管理;從人員管理角度來看,實(shí)現(xiàn)統(tǒng)一的用戶角色劃分策略,制定一系列的管理規(guī)范;從資源管理角度來看,實(shí)現(xiàn)資源的統(tǒng)一配置和管理。
② 訪問控制策略。訪問控制的目的是控制信息的訪問。訪問控制是對(duì)用戶進(jìn)行文件和數(shù)據(jù)權(quán)限的限制,主要防范用戶的越權(quán)訪問。訪問控制策略應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問,網(wǎng)絡(luò)訪問控制用于控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問,以確??梢栽L問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會(huì)破壞這些網(wǎng)絡(luò)服務(wù)的安全。不安全地連接到網(wǎng)絡(luò)服務(wù)會(huì)影響整個(gè)機(jī)構(gòu)的安全,所以,只能讓用戶直接訪問己明確授權(quán)使用的服務(wù)。這種安全控制對(duì)連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò),或連接到在高風(fēng)險(xiǎn)地方(例如不在安全管理及控制范圍的公用或外部地方)的用戶尤其重要。
③ 網(wǎng)絡(luò)安全監(jiān)控與入侵檢測(cè)策略。網(wǎng)絡(luò)安全監(jiān)控可以測(cè)試企業(yè)所實(shí)施的安全控制是否有效。同時(shí),安全監(jiān)控是檢測(cè)系統(tǒng)及網(wǎng)絡(luò)是否有可疑或不正常的通訊的有效辦法。這個(gè)步驟用于檢測(cè)網(wǎng)絡(luò)的潛在漏洞或非授權(quán)行為,同時(shí),它可以提醒管理人員網(wǎng)絡(luò)現(xiàn)有的安全隱患及應(yīng)采取什么樣的防護(hù)措施。一旦企業(yè)系統(tǒng)發(fā)生安全事故,管理人員應(yīng)依據(jù)監(jiān)控系統(tǒng)所提供的警示,采取必要的步驟,在最短的時(shí)間恢復(fù)系統(tǒng),以減少企業(yè)的損失。入侵監(jiān)控是對(duì)入侵行為的檢測(cè)和控制。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù),它可在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。通過在企業(yè)網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)放置入侵檢測(cè)產(chǎn)品,它監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的運(yùn)行,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施,如阻斷、跟蹤和反擊等。同時(shí),記錄受到攻擊的過程,為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。并把這些信息集中報(bào)告給數(shù)據(jù)中心的集中管理控制臺(tái)。
④ 漏洞掃描與風(fēng)險(xiǎn)評(píng)估策略。從信息安全的角度看,漏洞掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù),其原理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對(duì)象,然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,從而為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全建設(shè)中,漏洞掃描工具具有花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)單等特點(diǎn)。在功能上,安全掃描工具可以大規(guī)模減少安全管理員的手工勞動(dòng),有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。
⑤ 計(jì)算機(jī)病毒防治策略。由于在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。由于網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大多為WINDOWS系統(tǒng),比較容易感染病毒。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。必須從預(yù)防病毒、檢測(cè)病毒和殺毒考慮網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。
⑥ 備份與恢復(fù)策略。主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份,并有技術(shù)措施和組織措施能夠在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行。如果日常工作對(duì)系統(tǒng)的依賴性特別強(qiáng),則建立遠(yuǎn)程的應(yīng)急處理和災(zāi)難恢復(fù)中心。企業(yè)考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器備份、線路備份等幾個(gè)方面。
4 結(jié)束語
企業(yè)信息化是利用計(jì)算機(jī)技術(shù)的手段將先進(jìn)的企業(yè)管理思想融入企業(yè)的經(jīng)營(yíng)管理中,在這個(gè)過程中將最終實(shí)現(xiàn)對(duì)財(cái)務(wù)、物流、業(yè)務(wù)流程、成本核算、客戶關(guān)系管理及供應(yīng)鏈管理等各個(gè)環(huán)節(jié)的科學(xué)管理。企業(yè)網(wǎng)絡(luò)安全構(gòu)架不單是單點(diǎn)的安全,而是整個(gè)系統(tǒng)的安全,需要從物理、鏈路、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。隨著信息化得普及,企業(yè)網(wǎng)絡(luò)構(gòu)架及安全的探討意義將更為深遠(yuǎn)。
參考文獻(xiàn):
[1] 楊家海,任憲坤,王沛瑜.網(wǎng)絡(luò)管理原理與實(shí)現(xiàn)技術(shù)[M].北京:清華大學(xué)出版社,2000.
[2] 張仁斌,譚三,易勇,蔣毅.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社,2004.
[3] 吳振強(qiáng),馬建峰.基于管理的移動(dòng)互聯(lián)網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J].計(jì)算機(jī)科學(xué),2006,33(7):314-317.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫