序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡(luò)安全樣本��,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�����,請(qǐng)盡情閱讀��。
第1篇
1企業(yè)網(wǎng)絡(luò)安全需求分析
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入����、干擾、破壞�����、竊用及其他意外事故所采取的各種必要措施����,以確保信息完整、可用�����、無(wú)泄露��,保持網(wǎng)絡(luò)穩(wěn)定����、安全地運(yùn)行。其主要特征是保證網(wǎng)絡(luò)信息的完整性�����、可用性和機(jī)密性[2]。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問(wèn)題
企業(yè)網(wǎng)絡(luò)安全面臨的問(wèn)題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確�。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行,但企業(yè)對(duì)網(wǎng)絡(luò)安全的重要性依然認(rèn)識(shí)不足���,缺乏網(wǎng)絡(luò)安全規(guī)劃����,沒(méi)有明確的網(wǎng)絡(luò)安全目標(biāo)[3]�����。(2)網(wǎng)絡(luò)安全意識(shí)不足�。從企業(yè)的決策者到普通員工并沒(méi)有充分意識(shí)到網(wǎng)絡(luò)安全的重要性,企業(yè)網(wǎng)絡(luò)安全存在很大隱患�����。(3)網(wǎng)絡(luò)安全設(shè)施不健全���。無(wú)論大型企業(yè),還是中小企業(yè)��,都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問(wèn)題��,以致設(shè)施陳舊、不完整����,面對(duì)外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露����、竊用等現(xiàn)象。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案����。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點(diǎn)[4]�,缺乏系統(tǒng)性、協(xié)同性��、靈活性����,面對(duì)萬(wàn)物互聯(lián)和更高級(jí)的威脅,傳統(tǒng)防護(hù)手段捉襟見(jiàn)肘����、防不勝防[5]。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢(shì)共同決定的��,內(nèi)外都不會(huì)一成不變���,所以企業(yè)網(wǎng)絡(luò)安全需求是一個(gè)動(dòng)態(tài)過(guò)程�,具有時(shí)效性����。基于此���,要準(zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求�����,必須對(duì)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析��,一般而言����,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全�、邊界安全及文件傳輸安全等方面[6],具體體現(xiàn)在以下幾個(gè)方面:(1)網(wǎng)絡(luò)安全策略需求�����。安全策略的有效性���、完整性和實(shí)用性是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要需求�。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過(guò)于簡(jiǎn)單����,而且沒(méi)有形成完整的體系,對(duì)企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足��。(2)網(wǎng)絡(luò)安全組織需求����。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu)���,負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定����、網(wǎng)絡(luò)安全培訓(xùn)�����、網(wǎng)絡(luò)安全運(yùn)行管理等。(3)網(wǎng)絡(luò)安全運(yùn)行管理需求���。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系�,采用實(shí)用的運(yùn)行管理方法��,對(duì)服務(wù)器安全���、網(wǎng)絡(luò)訪問(wèn)可控性��、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理�����。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則
網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計(jì)網(wǎng)絡(luò)安全方案�����,避免失于偏頗和“詞不達(dá)意”�����,設(shè)計(jì)原則可以有很多�,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則��。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。(2)簡(jiǎn)單適用原則����。過(guò)于復(fù)雜的方案漏洞多�,本身就不安全。(3)系統(tǒng)性原則����。企業(yè)網(wǎng)絡(luò)安全面對(duì)的威脅是多方面的,只專注于一點(diǎn)無(wú)法保障網(wǎng)絡(luò)安全���。(4)需求�、風(fēng)險(xiǎn)與代價(jià)平衡原則�。沒(méi)有任何方案可以做到絕對(duì)安全,追求過(guò)高的安全性要付出巨大代價(jià)�,所以要學(xué)會(huì)取舍,平衡風(fēng)險(xiǎn)與代價(jià)�����。(5)可維護(hù)性原則���。沒(méi)有任何系統(tǒng)可以做到無(wú)懈可擊�����,要做到能隨時(shí)調(diào)整���、升級(jí)���、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則�。在改善安全技術(shù)的同時(shí)也要加強(qiáng)管理,減少管理漏洞�����,對(duì)于復(fù)雜的安全形勢(shì)�,要多做預(yù)案,提前防范突發(fā)事件���。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實(shí)安全域的防護(hù)策略���、制定訪問(wèn)控制策略、檢查網(wǎng)絡(luò)邊界�、分級(jí)防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點(diǎn)出發(fā)�����,將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域�����、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域����,如圖1所示�����?��;ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)����,服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域��,外聯(lián)域接入分公司區(qū)域����,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域�。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)�,便于各個(gè)安全子域內(nèi)部署相應(yīng)等級(jí)的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示)����,作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全�。安全網(wǎng)關(guān)不是單一的防火墻,而是綜合了防病毒���、入侵檢測(cè)和防火墻的一體化安全設(shè)備��。該設(shè)備運(yùn)用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念����,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺(tái)上����,按需開(kāi)啟多種功能,其由硬件����、軟件、網(wǎng)絡(luò)技術(shù)組成��。UTM在硬件上可以采用X86、ASIC�����、NP架構(gòu)中的一種��,X86架構(gòu)適于百兆網(wǎng)絡(luò)��,若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)��。在升級(jí)�����、維護(hù)及開(kāi)發(fā)周期方面�,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢(shì)�。UTM軟件上可以集成防病毒、入侵檢測(cè)�、內(nèi)容過(guò)濾、防垃圾郵件���、流量管理等多種功能�,通過(guò)模式匹配實(shí)現(xiàn)特征庫(kù)統(tǒng)一和效率提升�����。UTM管理結(jié)構(gòu)基于管理分層、功能分級(jí)思想�,包含集中管理與單機(jī)管理的雙重管理機(jī)制,實(shí)現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力�。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫(xiě),用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸���,發(fā)現(xiàn)異常數(shù)據(jù)可以即時(shí)中斷傳輸或進(jìn)行隔離�,先于攻擊達(dá)成實(shí)現(xiàn)防護(hù)����,與防火墻功能上互補(bǔ),并支持串行接入模式����,采用基于策略的防護(hù)方式,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果���。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間���,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示),可實(shí)時(shí)監(jiān)測(cè)外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過(guò)程,發(fā)現(xiàn)入侵行為即報(bào)警��、阻斷����,同時(shí)還能精確阻擊SQL注入攻擊。IDS是入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem)的英文縮寫(xiě)��,能對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)時(shí)監(jiān)視�,發(fā)現(xiàn)可疑報(bào)警或采取其他主動(dòng)反應(yīng)措施,屬于監(jiān)聽(tīng)設(shè)備�,其安全策略包括異常入侵檢測(cè)、誤用入侵檢測(cè)兩種方式��,可部署在核心交換機(jī)上�,對(duì)進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測(cè),如圖1所示���。
2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫(kù),通過(guò)掃描檢測(cè)遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為�,與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性�����,掃描對(duì)象包括網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫(kù)�����。漏洞掃描運(yùn)用的技術(shù)有主機(jī)在線掃描����、端口掃描、操作系統(tǒng)識(shí)別��、漏洞監(jiān)測(cè)數(shù)據(jù)采集��、智能端口識(shí)別����、多重服務(wù)檢測(cè)、系統(tǒng)滲透掃描等���。漏洞掃描系統(tǒng)部署方式包括獨(dú)立式部署和分布式部署����。前者適于比較簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)����,例如電子商務(wù)���、中小企業(yè)等;后者適于復(fù)雜�����、分布點(diǎn)多����、數(shù)據(jù)相對(duì)分散的網(wǎng)絡(luò)結(jié)構(gòu),例如政府���、電力行業(yè)�����、金融行業(yè)����、電信運(yùn)營(yíng)商等�。圖1為采用獨(dú)立式部署的漏洞掃描系統(tǒng)方案。
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全�;企業(yè)網(wǎng)絡(luò)系統(tǒng)����;黑客攻擊�;病毒攻擊��;采取措施
1當(dāng)前網(wǎng)絡(luò)存在的主要安全威脅因素
1.1安全漏洞��。只要有漏洞���,應(yīng)該就存在漏洞���,幾乎每天都有新的漏洞被發(fā)現(xiàn),程序設(shè)計(jì)員在修補(bǔ)已知漏洞時(shí)�����,又可能產(chǎn)生新的漏洞?���,F(xiàn)在各類的操作系統(tǒng)和應(yīng)用軟件都會(huì)有不同程度的漏洞存在,雖然操作系統(tǒng)的無(wú)口令入口為系統(tǒng)開(kāi)發(fā)人員帶來(lái)了便捷���,但是它也成為黑客進(jìn)入的通道��。并且操作系統(tǒng)可能還存在一些隱蔽通道���,給黑客以可乘之機(jī)��。同時(shí)���,這些操作系統(tǒng)中都包括了各種通用的服務(wù)供應(yīng)戶使用,而它具有一定的專屬性����,假如安裝時(shí)沒(méi)有關(guān)閉一些不相關(guān)的服務(wù),就可能成為黑客進(jìn)入的渠道�����。對(duì)于一些不懷好意的人�,他們都有可能利用這些漏洞向企業(yè)網(wǎng)絡(luò)發(fā)起攻擊,從而使某個(gè)甚至整個(gè)網(wǎng)絡(luò)喪失功能���,威脅到企業(yè)的網(wǎng)絡(luò)安全�����。1.2病毒感染����。計(jì)算機(jī)病毒就像人體感冒發(fā)燒�����,也會(huì)出現(xiàn)相應(yīng)的身體排斥的現(xiàn)象���。在當(dāng)代社會(huì)中����,人們通過(guò)下載帶有病毒的軟件��,讓自己的電腦在無(wú)形中感染病毒�,或者在沒(méi)有查殺病毒的前提下通過(guò)U盤(pán)實(shí)行資源共享,同樣也會(huì)造成病毒感染����。可以說(shuō)�,有計(jì)算機(jī)的地方,就有出現(xiàn)計(jì)算機(jī)病毒的可能性�����。它隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展����,現(xiàn)在的計(jì)算機(jī)病毒更具有隱蔽性����,其破壞性更大����,傳播速度更快。當(dāng)然����,病毒的“毒性”不同,所產(chǎn)生的負(fù)面影響也就不同���。輕者只會(huì)出現(xiàn)警告信息����,重者則會(huì)破壞或危及個(gè)人計(jì)算機(jī)乃至整個(gè)企業(yè)網(wǎng)絡(luò)的安全��。按其種類可分為一下幾種:木馬病毒�,蠕蟲(chóng)病毒,腳本病毒���,間諜病毒�����。病毒往往在計(jì)算機(jī)的后臺(tái)強(qiáng)制運(yùn)行����,讓人防不勝防���。1.3黑客攻擊�。網(wǎng)絡(luò)作為一個(gè)開(kāi)放式的資源共享平臺(tái)��,一些重要的企業(yè)機(jī)密和很高商業(yè)價(jià)值的文件成為黑客的攻擊對(duì)象��,它往往決定著一些企業(yè)的生存命脈�����,競(jìng)爭(zhēng)對(duì)手往往會(huì)盯住了這部分商機(jī)���,通過(guò)黑客的力量進(jìn)行網(wǎng)絡(luò)攻擊得到資源����。非法入侵企業(yè)網(wǎng)絡(luò)系統(tǒng)�,不管動(dòng)機(jī)是什么���,對(duì)企業(yè)的網(wǎng)絡(luò)安全危害都是非常大的。黑客故意篡改網(wǎng)絡(luò)信息���,利用企業(yè)機(jī)密文件進(jìn)行不法交易和冒充�,干擾破壞數(shù)據(jù)加密過(guò)程中的信息互通���,這些行為嚴(yán)重影響網(wǎng)絡(luò)安全的行為�����,成為企業(yè)信息化��、網(wǎng)絡(luò)化發(fā)展的最大阻礙�。1.4內(nèi)部竊取和破壞���。內(nèi)部人員對(duì)網(wǎng)絡(luò)系統(tǒng)可能會(huì)造成以下威脅:內(nèi)部人員有意或無(wú)意泄密���,更改信息記錄;內(nèi)部非授權(quán)人員有意或無(wú)意偷盜機(jī)密文件��,更改網(wǎng)絡(luò)配置和記錄信息;內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)�。1.5其他威脅。對(duì)網(wǎng)絡(luò)系統(tǒng)的的威脅還包括電磁泄漏�、設(shè)備失效、線路阻斷��、停電����、操作失誤。
2計(jì)算機(jī)網(wǎng)絡(luò)安全的措施
2.1安裝防火墻��。防火墻作為計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)���,已經(jīng)廣泛應(yīng)用到企業(yè)當(dāng)中。防火墻技術(shù)可以從根本上防范和控制計(jì)算機(jī)病毒?,F(xiàn)階段,防火墻可分為兩種形式:應(yīng)用級(jí)防火墻和包過(guò)濾防火墻���。應(yīng)用性防火墻可以保護(hù)服務(wù)器的安全��,通過(guò)掃描服務(wù)器終端的數(shù)據(jù)�����,發(fā)現(xiàn)異常數(shù)據(jù)對(duì)計(jì)算機(jī)的攻擊后�����,及時(shí)斷開(kāi)企業(yè)網(wǎng)與服務(wù)器的聯(lián)系�,來(lái)保護(hù)企業(yè)網(wǎng)不受病毒的侵害。包過(guò)濾防火墻通過(guò)及時(shí)過(guò)濾路由器傳輸給計(jì)算機(jī)的數(shù)據(jù)��,阻擋病毒進(jìn)入計(jì)算機(jī)���,并通知計(jì)算機(jī)用戶對(duì)病毒進(jìn)行攔截��,保護(hù)企業(yè)網(wǎng)的安全�����。2.2數(shù)據(jù)加密���。數(shù)據(jù)加密技術(shù)是保證企業(yè)網(wǎng)絡(luò)安全的另一計(jì)算機(jī)安全技術(shù)。該項(xiàng)技術(shù)可以對(duì)企業(yè)網(wǎng)內(nèi)的數(shù)據(jù)信息進(jìn)行加密���,在數(shù)據(jù)傳輸和接收時(shí)必須要輸入正確的密碼��,從技術(shù)上提高了企業(yè)數(shù)據(jù)信息的安全����。所以,企業(yè)如果想要保證和提高其數(shù)據(jù)信息的安全���,必須在企業(yè)網(wǎng)中加強(qiáng)對(duì)數(shù)據(jù)加密技術(shù)的使用����,數(shù)據(jù)加密通常會(huì)用到以下兩種算法��,一是對(duì)稱加密算法�,即保持加密方法和解密方法的一致;二是非對(duì)稱加密算法��,即加密方法和解密方法的不一致性����,以上兩種加密方法已經(jīng)廣泛應(yīng)用到企業(yè)當(dāng)中2.3病毒查殺����。及時(shí)進(jìn)行病毒查殺也是提高企業(yè)網(wǎng)的網(wǎng)絡(luò)安全的另一方法。計(jì)算機(jī)病毒對(duì)計(jì)算及終端設(shè)備和計(jì)算機(jī)網(wǎng)絡(luò)的危害極大�����,可能會(huì)造成網(wǎng)頁(yè)腳本病毒、計(jì)算機(jī)數(shù)據(jù)信息被盜或丟失�����、計(jì)算機(jī)系統(tǒng)癱瘓等����,使用病毒查殺軟件可以及時(shí)檢測(cè)和更新計(jì)算機(jī)的操作系統(tǒng),修補(bǔ)系統(tǒng)漏洞���、對(duì)網(wǎng)頁(yè)病毒進(jìn)行攔截��,更新病毒數(shù)據(jù)庫(kù)信息�����,對(duì)下載的文件等進(jìn)行病毒查殺后在進(jìn)行查看和使用�����,以防止計(jì)算機(jī)病毒對(duì)計(jì)算及終端設(shè)備的損害2.4入侵檢測(cè)�����。入侵檢測(cè)對(duì)企業(yè)網(wǎng)的安全有非常重要的意義�,它會(huì)在不影響企業(yè)網(wǎng)絡(luò)正常運(yùn)行的情況下,對(duì)網(wǎng)絡(luò)運(yùn)行的情況進(jìn)行檢測(cè)���,入侵檢測(cè)不僅可以收集計(jì)算機(jī)相關(guān)的數(shù)據(jù)信息��,而且還可以對(duì)計(jì)算機(jī)內(nèi)可能存在的侵害進(jìn)行自動(dòng)尋找��,在計(jì)算機(jī)受到侵害時(shí)��,它會(huì)對(duì)計(jì)算機(jī)用戶發(fā)出警報(bào)�����,并切斷入侵的途徑��,對(duì)其進(jìn)行攔截�����,所以,入侵檢測(cè)技術(shù)可以加強(qiáng)計(jì)算機(jī)的抗攻擊性����。入侵檢測(cè)技術(shù)包括誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)誤報(bào)率低����,響應(yīng)快��,而異常檢測(cè)的誤報(bào)率高���,檢測(cè)時(shí)需要全盤(pán)掃描計(jì)算機(jī),兩種入侵檢測(cè)均需要較長(zhǎng)的檢測(cè)時(shí)間�。2.5企業(yè)內(nèi)部加強(qiáng)網(wǎng)絡(luò)信息安全的規(guī)章制度的建立。企業(yè)根據(jù)其實(shí)際情況��,遵照相關(guān)的規(guī)定����,制定出符合本公司的全面規(guī)范,切實(shí)可行的安全管理制度����。例如:計(jì)算機(jī)日常使用規(guī)范、崗位責(zé)任制度��、責(zé)任追究制度�����、崗位責(zé)任制度等�����,管理制度中應(yīng)明確描述出所有信息技術(shù)人員以及信息系統(tǒng)使用人員的網(wǎng)絡(luò)信息安全職責(zé)和信息系統(tǒng)的使用規(guī)范,規(guī)范網(wǎng)絡(luò)信息系統(tǒng)規(guī)范流程��,減少人為操作失誤�。通過(guò)規(guī)章制度的建設(shè),以制度管人����,靠制度管事,為企業(yè)網(wǎng)絡(luò)安全建立強(qiáng)有力的依據(jù)和有效的保障���。2.6加強(qiáng)網(wǎng)絡(luò)安全考核力度���。企業(yè)不僅建立網(wǎng)絡(luò)信息安全的規(guī)章制度,還應(yīng)實(shí)行網(wǎng)絡(luò)信息安全考核制度�,采取適合企業(yè)自身的考核方式,使規(guī)章制度的制定落到實(shí)處�,而不是形同虛設(shè)。把網(wǎng)絡(luò)信息安全作為企業(yè)員工年終考核的重要指標(biāo)之一��。在檢查到有違反其相關(guān)制度或網(wǎng)絡(luò)安全事件發(fā)生后��,負(fù)責(zé)網(wǎng)絡(luò)信息安全的監(jiān)督部門(mén)應(yīng)對(duì)相關(guān)事件的發(fā)生原因��,嚴(yán)重程度�,損失,性質(zhì)等進(jìn)行調(diào)查確認(rèn)�,形成分析評(píng)價(jià)資料,對(duì)其責(zé)任人進(jìn)行相應(yīng)的處罰2.7環(huán)境���、設(shè)備及介質(zhì)安全��。檢測(cè)機(jī)房及相關(guān)設(shè)備是否安全���;觀察環(huán)境與人員是否安全,預(yù)防自然災(zāi)害�。考慮計(jì)算機(jī)的防盜���、防毀�、防電磁泄漏發(fā)射�����、抗電磁干擾及電源保護(hù)等���。防止媒體自身的防盜�、防毀、防霉���,以及數(shù)據(jù)的盜取����、破壞或非法使用���。
3結(jié)語(yǔ)
企業(yè)信息化建設(shè)已經(jīng)成為這個(gè)時(shí)代不可或缺的產(chǎn)物��,為各個(gè)企業(yè)帶來(lái)了極大的便利�,它是企業(yè)發(fā)展的必要條件���,也是企業(yè)發(fā)展的必要前提�。所以在市場(chǎng)經(jīng)濟(jì)發(fā)展的今天����,企業(yè)想要在激烈的市場(chǎng)競(jìng)爭(zhēng)中取得優(yōu)勢(shì),就必須大力發(fā)展其網(wǎng)絡(luò)文化��,當(dāng)然在發(fā)展企業(yè)網(wǎng)絡(luò)的同時(shí)�����,還應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理,提高企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性�,以提高企業(yè)的效益�����。
參考文獻(xiàn)
[1]韓加軍.企事業(yè)及政府機(jī)關(guān)單位網(wǎng)絡(luò)安全解決方案[J].科技風(fēng)�����,2013
[2]李長(zhǎng)英.企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)[D].吉林大學(xué)��,2013
[3]楊瑋紅.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)維護(hù)中的應(yīng)用初探[J].神州����,2013(31):17
第3篇
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)安全;VNP�����;網(wǎng)絡(luò)防火墻���;網(wǎng)絡(luò)攻擊
引言
由于Internet的迅速發(fā)展和普及����,接入Internet的組織、企業(yè)和機(jī)構(gòu)等的不斷增加�,這也增加了來(lái)自互聯(lián)網(wǎng)的不安全因素。網(wǎng)絡(luò)是一個(gè)虛擬的社會(huì)�����,在很多方面與真實(shí)的世界有驚人的相似���。在虛擬社會(huì)中�����,也存在有各種各樣的沖突和矛盾�����,同樣網(wǎng)絡(luò)也面臨著如病毒�、垃圾郵件和不良Web內(nèi)容等���。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:非授權(quán)訪問(wèn)���,冒充合法用戶�����,破壞數(shù)據(jù)完整性��,干擾系統(tǒng)正常運(yùn)行��,利用網(wǎng)絡(luò)傳播病毒,線路竊聽(tīng)等方面����。據(jù)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)(簡(jiǎn)稱ICSA)調(diào)查,在全球有99%以上的病毒是通過(guò)POP3�����、SMTP和HTTP協(xié)議傳播的���。面對(duì)如今Internet網(wǎng)上眾多的不安全因素�,傳統(tǒng)的功能單一網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)不能滿足企業(yè)的安全需求了���,企業(yè)需要一個(gè)整體式的網(wǎng)絡(luò)方案�。
1 網(wǎng)絡(luò)不安全因素分析
網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)�、網(wǎng)絡(luò)技術(shù)�����、通信技術(shù)����、密碼技術(shù)���、信息安全技術(shù)��、應(yīng)用數(shù)學(xué)�����、數(shù)論���、信息論等多種學(xué)科的綜合性學(xué)科。在網(wǎng)絡(luò)攻擊類型中看到���,攻擊者的攻擊對(duì)象有兩類���,一類傳輸中的網(wǎng)絡(luò)數(shù)據(jù);另一類是系統(tǒng)���。針對(duì)系統(tǒng)的攻擊又可以進(jìn)一步分為兩種:一種以獲取或者更改系統(tǒng)的數(shù)據(jù)為目的�,另一種是DoS(Denial of Service)攻擊,也就是讓網(wǎng)絡(luò)中的重要系統(tǒng)停止服務(wù)�����。針對(duì)不同的攻擊應(yīng)該采用相應(yīng)的網(wǎng)絡(luò)技術(shù)來(lái)予以防范��。
攻擊傳輸中的數(shù)據(jù)有多個(gè)目的���,其一為獲得數(shù)據(jù)內(nèi)容;其二為更改數(shù)據(jù)�����,破壞數(shù)據(jù)的完整性���;其三為分析數(shù)據(jù)流�。保護(hù)傳輸中數(shù)據(jù)的機(jī)密性和完整性的方法有多種�,可以在應(yīng)用層(或者會(huì)話層傳輸層)上實(shí)現(xiàn),也可以在網(wǎng)絡(luò)層上實(shí)現(xiàn)或者物理(數(shù)據(jù))鏈路層上實(shí)現(xiàn)��。下面是一個(gè)示意圖:
圖1 網(wǎng)絡(luò)傳輸中的攻擊路線
2 企業(yè)網(wǎng)絡(luò)的基本應(yīng)用
企業(yè)不斷發(fā)展的同時(shí)其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大����,由于其自身業(yè)務(wù)的需要��,在不同的地區(qū)建有分公司或分支機(jī)構(gòu)��,本地龐大的Intranet和分布在全國(guó)各地的Internet之間互相連接形成一個(gè)更加龐大的網(wǎng)絡(luò)��。這種網(wǎng)絡(luò)應(yīng)用系統(tǒng)�,主要包含WEB����、E-mail、OA�����、MIS�����、財(cái)務(wù)系統(tǒng)�����、人事系統(tǒng)等�。而且隨著企業(yè)的發(fā)展���,網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜,應(yīng)用系統(tǒng)也會(huì)越來(lái)越多�。從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來(lái)看,既有內(nèi)部用戶���,也有外部用戶�。怎么處理總部與分支機(jī)構(gòu)���、移動(dòng)辦公人員的信息共享安全����,既要保證信息的及時(shí)共享����,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題��。
3 VNP的設(shè)置與應(yīng)用
3.1 VNP的應(yīng)用
由于大部分企業(yè)中心內(nèi)部網(wǎng)絡(luò)都是這種情況:存在兩套網(wǎng)絡(luò)系統(tǒng)�����,其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)��,為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動(dòng)化和業(yè)務(wù)處理系統(tǒng)服務(wù)��;另一套是與INTERNET相連�,通過(guò)ADSL接入,并與企業(yè)系統(tǒng)內(nèi)部的上�、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。那么如何在這種模式下進(jìn)行VPN的設(shè)置是網(wǎng)絡(luò)安全保障首先要解決的問(wèn)題���。這種模式下INTERNET缺乏有效的安全保護(hù)��,如果不采取相應(yīng)的安全措施����,易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或非法篡改�,產(chǎn)生嚴(yán)重的后果?���?稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備,由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Wo(hù)���。每一級(jí)的設(shè)置及管理方法相同����。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPN-CA),在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備�,由上級(jí)的VPN認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。
3.2 ISA Sever及其與VNP的集成
圖 2 VPN與ISA Server集成
ISA Server的企業(yè)策略是在一個(gè)組織的總部級(jí)別進(jìn)行配置的�����,而且可以應(yīng)用到所有陣列或任一陣列中����。陣列策略是在分支級(jí)別進(jìn)行配置,而且可以繼承企業(yè)策略���。對(duì)任何給定的陣列來(lái)說(shuō)�����,ISA Server允許應(yīng)用企業(yè)策略�、陣列策略或者同時(shí)應(yīng)用兩者�。在這里可以通過(guò)集成ISA Server和VPN來(lái)實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的安全保障�����。本地網(wǎng)絡(luò)上的計(jì)算機(jī)要和遠(yuǎn)程網(wǎng)絡(luò)上的計(jì)算機(jī)通過(guò)ISA Server計(jì)算機(jī)進(jìn)行通信時(shí),數(shù)據(jù)封裝好后��,通過(guò)一個(gè)VPN信道進(jìn)行發(fā)送��。計(jì)算機(jī)使用PPTP或者L2TP來(lái)管理隧道和封裝專用數(shù)據(jù)����。通過(guò)隧道傳送的數(shù)據(jù)也必須加密后才能使用VPN連接。
4 建立病毒防護(hù)體系
對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)而言���,絕不能簡(jiǎn)單的使用單機(jī)版的病毒防治軟件�,必須有針對(duì)性地選擇性能優(yōu)秀的專業(yè)級(jí)網(wǎng)絡(luò)殺毒軟件�����,以建立實(shí)時(shí)的�、全網(wǎng)段的病毒防護(hù)體系,是網(wǎng)絡(luò)系統(tǒng)免遭病毒侵?jǐn)_的重要保證�,用戶可以根據(jù)本網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來(lái)選擇合適的產(chǎn)品,及時(shí)升級(jí)殺毒軟件的病毒庫(kù)�����,并在相關(guān)的病毒防治網(wǎng)站上及時(shí)下載特定的防殺病毒工具查殺頑固性病毒�����,這樣才能有較好病毒防范能力。
基本的技術(shù)包括網(wǎng)絡(luò)安全技術(shù)���,比如身份驗(yàn)證�、訪問(wèn)控制���、安全協(xié)議括:行為監(jiān)視�、變化檢測(cè)和掃描等等��。需要對(duì)計(jì)算機(jī)進(jìn)行好防毒的工作����,應(yīng)用瑞星、卡巴等殺毒軟件來(lái)實(shí)時(shí)地監(jiān)控����。此外,一臺(tái)接入網(wǎng)絡(luò)的計(jì)算機(jī)之所以能夠被蠕蟲(chóng)病毒侵入���,是因?yàn)椴僮飨到y(tǒng)或者應(yīng)用軟件存在漏洞�����。這些漏洞就像是墻上的一個(gè)個(gè)大洞����,盡管大門(mén)緊鎖�����,但是小偷還是可以輕而易舉地從這些大洞爬進(jìn)房間�����。所以我們需要將這些漏洞補(bǔ)上“補(bǔ)丁”���。
防火墻是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備�。選擇一款功能強(qiáng)大的防火墻對(duì)我們的企業(yè)網(wǎng)絡(luò)安全保障有著重要意義����。比如瑞星可以根據(jù)用戶的不同需要,具備針對(duì)HTTP�����、FTP�、SMTP和POP3協(xié)議內(nèi)容檢查����、清除病毒的能力��,同時(shí)通過(guò)實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系����,不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯,同時(shí)可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用��。
參考文獻(xiàn):
[1]雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社��,2004�����;
第4篇
關(guān)鍵詞信息安全���;PKI��;CA����;VPN
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展�,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加���,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益,但隨之而來(lái)的安全問(wèn)題也在困擾著用戶���,在2003年后,木馬���、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化�。這都對(duì)企業(yè)信息安全提出了更高的要求�。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力�����,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出���。面對(duì)這瞬息萬(wàn)變的市場(chǎng)�,企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題���,而其內(nèi)部的管理問(wèn)題���、效率問(wèn)題���、考核問(wèn)題、信息傳遞問(wèn)題���、信息安全問(wèn)題等�,又時(shí)刻在制約著自己�,企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。
在下面的描述中����,以某公司為例進(jìn)行說(shuō)明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)�,通過(guò)內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃���,通過(guò)防火墻與外網(wǎng)互聯(lián)�����。在內(nèi)部網(wǎng)絡(luò)中��,各計(jì)算機(jī)在同一網(wǎng)段��,通過(guò)交換機(jī)連接�。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過(guò)多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)�,包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善����,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全�,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目����,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全��,部署了防火墻���、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品���,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件�����、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用���。
3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析
通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析��,可得出如下結(jié)論:
(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)���,計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)��。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜�。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)�����,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心����,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份�,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性��、完整性和可用性���。
通過(guò)對(duì)現(xiàn)有的信息安全體系的分析�,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加���,某公司的信息安全無(wú)論在總體構(gòu)成��、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷�,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng)�,安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)����、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)��。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的����,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段��。如缺乏有效的身份認(rèn)證����,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充����;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露�����。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念��,是基于這樣一種信任模型的����,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下����,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部,并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的��。
針對(duì)外部網(wǎng)絡(luò)安全�,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的���。在這種信任模型中��,假設(shè)所有用戶都可能對(duì)信息安全造成威脅��,并且可以各種更加方便的手段對(duì)信息安全造成威脅��,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息���,或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器����,下載重要的信息并盜取出去���。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況���。
美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞���。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程,某公司缺乏相關(guān)的規(guī)章制度����、技術(shù)規(guī)范,也沒(méi)有選用有關(guān)的安全服務(wù)����。不能充分發(fā)揮安全產(chǎn)品的效能�。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)����,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)�����。
已購(gòu)買(mǎi)的網(wǎng)絡(luò)安全產(chǎn)品中���,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求���。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制���,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸����。同時(shí)病毒的防范���、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求����,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上�,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門(mén)和運(yùn)營(yíng)����、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期����,在規(guī)劃的過(guò)程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估�����、風(fēng)險(xiǎn)管理的手段���,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)���。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)���,信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)�,也需要做好系統(tǒng)����、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)���。為此���,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面��,增加新的安全防護(hù)手段�����。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加��,以及新的攻擊手段的不斷出現(xiàn)���,使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)�����,原有的產(chǎn)品進(jìn)行升級(jí)或重新部署�。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)�,使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行���。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程�����,如何利用專業(yè)公司的安全服務(wù)���,做好事前、事中和事后的各項(xiàng)防范工作����,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題����。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排���、統(tǒng)一標(biāo)準(zhǔn)����、分步實(shí)施”的原則進(jìn)行�����,避免重復(fù)投入��、重復(fù)建設(shè)�����,充分考慮整體和局部的利益���。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定�,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化�����、規(guī)范化的要求����,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)����。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程����,從信息系統(tǒng)的各層次��、安全防范的各階段全面地進(jìn)行考慮���,既注重技術(shù)的實(shí)現(xiàn)����,又要加大管理的力度�,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)���、系統(tǒng)��、應(yīng)用等方方面面����,任何改造���、添加甚至移動(dòng)��,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)�、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)����。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題�����,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)����,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)��,設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接��。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力����,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)��,配置了相應(yīng)的設(shè)施���。因此�,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃����、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善�、整合的辦法,以使其納入總體安全技術(shù)體系��,發(fā)揮更好的效能����,而不是排斥或拋棄。
4.5多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的�����,都可能被攻破�。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充���,當(dāng)一層保護(hù)被攻破時(shí)�����,其它層保護(hù)仍可保護(hù)信息的安全�。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加����,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的�。針對(duì)安全體系的特性,尋求安全���、風(fēng)險(xiǎn)、開(kāi)銷(xiāo)的平衡��,采取“統(tǒng)一規(guī)劃�����、分步實(shí)施”的原則����。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開(kāi)支��。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮��,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)����、系統(tǒng)、應(yīng)用�����、數(shù)據(jù)做全面的防范����。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程,事前����、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終�,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對(duì)的�����,需要在風(fēng)險(xiǎn)��、安全和投入之間做出平衡��,通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查���,通過(guò)與計(jì)算機(jī)專業(yè)公司接觸�,初步確定了本次安全項(xiàng)目的內(nèi)容�。通過(guò)本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系�����。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)�����,都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上��。目前�����,解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)�。PKI(PublicKeyInfrastructure�,公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證�����、信息完整性和抗抵賴等安全問(wèn)題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障���,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)��。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng)���,建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份���,要求通信雙方的身份不能被假冒或偽裝����,在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份����。
數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露�����,在此體系中利用數(shù)字證書(shū)加密來(lái)完成����。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?��,通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成����。
不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為�,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過(guò)數(shù)字簽名來(lái)完成��,數(shù)字簽名可作為法律證據(jù)��。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)�����,是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)�����。和傳統(tǒng)的物理方式相比�,具有降低成本及維護(hù)費(fèi)用�����、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過(guò)安裝部署VPN系統(tǒng)����,可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w����,通過(guò)加密、認(rèn)證���、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道��,使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)�����,用以代替專線方式��,實(shí)現(xiàn)移動(dòng)用戶�����、遠(yuǎn)程LAN的安全連接��。
集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)�����,可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控��,為網(wǎng)絡(luò)提供高效����、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置����。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展���,電子郵件的使用日益廣泛����,成為人們交流的重要工具����,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn)����,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)��,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的���。首先�����,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu)��,所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證�����,而最上一級(jí)的組織(根證書(shū))之間相互認(rèn)證�,整個(gè)信任關(guān)系基本是樹(shù)狀的���。其次��,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送���。保證了信件內(nèi)容的安全性。
5.4桌面安全防護(hù)
對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來(lái)自企業(yè)內(nèi)部��。很早之前安全界就有數(shù)據(jù)顯示��,近80%的網(wǎng)絡(luò)安全事件�����,是來(lái)自于企業(yè)內(nèi)部�。同時(shí),由于是內(nèi)部人員所為����,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取�、財(cái)務(wù)欺騙等,因此���,對(duì)于企業(yè)的威脅更為嚴(yán)重���。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章�、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體��,是針對(duì)客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性����。采用組件技術(shù)����,可以無(wú)縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章����,或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證���。使用后�����,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)�����。用戶如果需要離開(kāi)計(jì)算機(jī)��,只需拔出智能密碼鑰匙�,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)��。由于密鑰保存在智能密碼鑰匙中�����,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法��,從而保證了存儲(chǔ)數(shù)據(jù)的安全性����。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?���;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)���。它采用軟硬件相結(jié)合���、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾�����。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片���,可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)��,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證��。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)�����、應(yīng)用安全組件�����、客戶端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系��,從而實(shí)現(xiàn)上述身份認(rèn)證��、授權(quán)與訪問(wèn)控制��、安全審計(jì)��、數(shù)據(jù)的機(jī)密性�����、完整性、抗抵賴性的總體要求���。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范����、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)���。安全管理貫穿全流程如圖3所示����。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程�����,也為本方案的實(shí)施提供了借鑒���。
圖3
因此在本方案的組織和實(shí)施中����,除了工程的實(shí)施外��,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估����,明確需求所在,務(wù)求有的放矢����,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分�����,必要時(shí)可借助專業(yè)公司的安全服務(wù)�,提高應(yīng)對(duì)重大安全事件的能力��。
(3)該方案投資大���,覆蓋范圍廣����,根據(jù)實(shí)際情況�����,可采取分地區(qū)、分階段實(shí)施的方式�����。
(4)在方案實(shí)施的同時(shí)����,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)����,使信息安全的日常工作進(jìn)一步制度化、規(guī)范化�。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀����,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案�����,涵蓋了各個(gè)方面�����,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善�;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理�。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)���、易于部署����,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段���。
也希望通過(guò)本方案的實(shí)施���,可以建立較完善的信息安全體系���,有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅�,把風(fēng)險(xiǎn)降到最低水平���。
第5篇
關(guān)鍵詞:油田企業(yè)����;網(wǎng)絡(luò)安全;防火墻技術(shù)��;應(yīng)用
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 15-0000-01
Application of Oilfield Enterprise Network Security and Firewall Technology
Hou Haidong
(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)
Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.
Keywords:Oilfield enterprise;Network security;Firewall technology;Application
計(jì)算機(jī)從出現(xiàn)到發(fā)展�����,短短幾十年間���,無(wú)論從生活���、學(xué)習(xí),還是工作中都帶來(lái)了巨大的影響���,使我們的生活���、學(xué)習(xí)和工作都起了翻天覆地的變化。在各個(gè)企業(yè)里面��,現(xiàn)代化的建設(shè)都是建立在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用之上的���,計(jì)算機(jī)技術(shù)覆蓋了企業(yè)生產(chǎn)的各個(gè)大小環(huán)節(jié)���。保證企業(yè)中網(wǎng)絡(luò)的安全性���,使企業(yè)生產(chǎn)順利進(jìn)行,這是企業(yè)中網(wǎng)絡(luò)運(yùn)行的基本保障�。筆者仔細(xì)分析了青海油田企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀,針對(duì)青海油田企業(yè)的網(wǎng)絡(luò)安全問(wèn)題�����,提出相應(yīng)的解決策略�,結(jié)合防火墻技術(shù)的應(yīng)用,提高油田企業(yè)網(wǎng)絡(luò)安全性����,保證企業(yè)生產(chǎn)的順利進(jìn)行。
一�����、青海油田企業(yè)網(wǎng)絡(luò)工作概況
青海油田是一家大型企業(yè)���,其二級(jí)單位網(wǎng)絡(luò)中目前包含華為、港灣����、華為3COM����、Cisco等廠商設(shè)備����,屬于多廠商互聯(lián)網(wǎng)絡(luò)。青海油田企業(yè)的整個(gè)網(wǎng)絡(luò)主體建設(shè)于1999年�,逐年累建至今。目前網(wǎng)絡(luò)集中問(wèn)題有多個(gè)方面�,網(wǎng)絡(luò)缺乏管理性;多廠商設(shè)備�����,難以統(tǒng)一管理�;大部分設(shè)備陳舊,匯聚層性能���、帶寬不足��;冗余可靠性差�����。由于這些原因���,導(dǎo)致匯聚層設(shè)備擴(kuò)展性不夠�����,一些單位層層級(jí)連網(wǎng)�,影響網(wǎng)絡(luò)的穩(wěn)定性和可靠性��,使得網(wǎng)絡(luò)安全問(wèn)題成為極大的難題���。
二��、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)根據(jù)不同的方面��,有許多的風(fēng)險(xiǎn)因素����,比如網(wǎng)絡(luò)外部的環(huán)境是否安全����,包括了電源故障、設(shè)備被盜�����、認(rèn)為操作失誤��、線路截獲����、高可用性的硬件、機(jī)房環(huán)境�����、雙機(jī)多冗余的設(shè)計(jì)��、安全意識(shí)�、報(bào)警系統(tǒng)等。再比如系統(tǒng)完全����,包括了整個(gè)局域網(wǎng)的網(wǎng)絡(luò)硬件平臺(tái)、網(wǎng)絡(luò)操作系統(tǒng)等�����。每一個(gè)網(wǎng)絡(luò)操作系統(tǒng)都有其后門(mén)�,不可能有絕對(duì)安全的操作系統(tǒng)�����。還有網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)����,作為企業(yè)信息的公開(kāi)平臺(tái)�,要是受到了攻擊或者在運(yùn)行中間出現(xiàn)了問(wèn)題,對(duì)企業(yè)的聲譽(yù)是極大的影響�。同時(shí),作為公開(kāi)的服務(wù)器�,本身隨時(shí)都面臨著黑客的攻擊,安全風(fēng)險(xiǎn)比其他的原本就要高上許多���。另外����,應(yīng)用系統(tǒng)安全也是風(fēng)險(xiǎn)因素中的一個(gè)�����,在不斷發(fā)展和增加過(guò)程中��,其安全漏洞也在日益增加,并且漏洞隱藏得只會(huì)越來(lái)越深�。此外還有管理的安全,管理混亂��、責(zé)權(quán)不分�����、安全管理制度不健全等都是管理安全的風(fēng)險(xiǎn)因素�����。
三�����、油田企業(yè)網(wǎng)絡(luò)安全管理工作
隨著油田企業(yè)中網(wǎng)絡(luò)用戶的逐漸增多���,網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出、越來(lái)越被網(wǎng)絡(luò)管理工作人員所重視�����。在實(shí)際工作中����,通過(guò)增強(qiáng)單位用戶對(duì)網(wǎng)絡(luò)安全重要性的緊迫性的認(rèn)識(shí)�����、強(qiáng)化和規(guī)范用戶防病毒意識(shí)等手段����,全面采用網(wǎng)絡(luò)版防病毒系統(tǒng)�,部署防病毒服務(wù)器和補(bǔ)丁分發(fā)服務(wù)器。在網(wǎng)絡(luò)管理過(guò)程中����,技術(shù)人員定期檢查、預(yù)防�、控制和及時(shí)更新防病毒系統(tǒng)病毒定義碼,按時(shí)向總部上報(bào)極度防病毒巡檢表���。網(wǎng)絡(luò)管理技術(shù)人員還積極做好入侵保護(hù)系統(tǒng)IPS策略的日常管理和日志審計(jì)工作�,使有限的網(wǎng)絡(luò)資源能用于重點(diǎn)保障業(yè)務(wù)工作的正常進(jìn)行���。
四�、油田企業(yè)網(wǎng)絡(luò)安全防范舉措與防火墻技術(shù)應(yīng)用
在油田企業(yè)網(wǎng)絡(luò)運(yùn)行過(guò)程中�,安全威脅主要有非授權(quán)訪問(wèn)、信息泄露或丟失、拒絕服務(wù)攻擊��、破壞數(shù)據(jù)完整性���、利用網(wǎng)絡(luò)傳播病毒等方面�。要防范油田企業(yè)網(wǎng)絡(luò)安全�����,主要的防御體系是由漏洞掃描�����、入侵檢測(cè)和防火墻組成的���。油田企業(yè)的局域網(wǎng)主要又外部網(wǎng)絡(luò)、內(nèi)部職工網(wǎng)絡(luò)�����、內(nèi)部單位辦公網(wǎng)絡(luò)和公開(kāi)服務(wù)器區(qū)域組成���。在每一個(gè)出口通過(guò)安裝硬件防火墻設(shè)備�����,用防火墻來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)����、外部網(wǎng)絡(luò)以及公開(kāi)服務(wù)器網(wǎng)的區(qū)分。防火墻對(duì)外部的安全威脅起到了抵御的作用�,但是從內(nèi)部發(fā)動(dòng)的安全攻擊卻無(wú)能為力。這個(gè)時(shí)候就需要?jiǎng)討B(tài)監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)以及及時(shí)做出響應(yīng)����,將網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)接入到防火墻和交換機(jī)上的IDS端口,一旦發(fā)現(xiàn)入侵或者可疑行為之后�����,立即報(bào)告防火墻動(dòng)態(tài)調(diào)整安全策略�����,采取相應(yīng)的防御措施�����。另外�,網(wǎng)絡(luò)安全還需要被動(dòng)的防御體系�����,它是由VPN路由和防火墻組成���,被動(dòng)防御體系主要實(shí)現(xiàn)了外網(wǎng)的安全接入。外網(wǎng)在于企業(yè)網(wǎng)絡(luò)之間實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臅r(shí)候�����,經(jīng)過(guò)防火墻高強(qiáng)度的加密認(rèn)證����,保證外網(wǎng)接入的安全性�����。在油田企業(yè)網(wǎng)絡(luò)安全與防火墻技術(shù)應(yīng)用中���,還需要加對(duì)病毒的防范�、數(shù)據(jù)安全的保護(hù)和數(shù)據(jù)備份與恢復(fù)的建設(shè)����。在服務(wù)器上安裝服務(wù)器端殺毒軟件����,在每一臺(tái)網(wǎng)絡(luò)用戶電腦上安裝客戶端殺毒軟件�����,通過(guò)及時(shí)更新病毒代碼��,防范病毒的入侵�����。采用自動(dòng)化備份����、安裝磁帶機(jī)等外部存貯設(shè)備等方法,保證數(shù)據(jù)的安全��。
五�、總結(jié)
油田企業(yè)網(wǎng)絡(luò)安全不僅關(guān)系著企業(yè)的整體發(fā)展,還關(guān)系著油田企業(yè)中廣大職工的網(wǎng)絡(luò)使用安全�����,積極采取防火墻技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防范之中�,以提高青海油田企業(yè)網(wǎng)絡(luò)的安全性��,保證企業(yè)的正常工作���、企業(yè)職工的正常生活。
參考文獻(xiàn):
[1]何黎明,方風(fēng)波,王波濤.油田網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與策略研究[J].石油天然氣學(xué)報(bào),2008,3:279-280
[2]陳崗.大型企業(yè)信息網(wǎng)絡(luò)安全問(wèn)題解決方案[J].岳陽(yáng)師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2006,2:168-169
第6篇
一�����、企業(yè)網(wǎng)絡(luò)系統(tǒng)存在的安全隱患
企業(yè)網(wǎng)絡(luò)安全系統(tǒng)就是企業(yè)借助計(jì)算機(jī)����、通信設(shè)施等現(xiàn)代設(shè)備,構(gòu)建相應(yīng)的滿足企業(yè)日常經(jīng)營(yíng)和管理需求的系統(tǒng)模式�。隨著信息技術(shù)的快速發(fā)展,企業(yè)網(wǎng)絡(luò)建設(shè)更加成熟和完善���。整個(gè)網(wǎng)絡(luò)系統(tǒng)能夠跨越多個(gè)地區(qū)��、覆蓋千家企業(yè)和大量用戶,網(wǎng)絡(luò)比較龐大且復(fù)雜����,不管網(wǎng)絡(luò)構(gòu)架多么的復(fù)雜,其應(yīng)用系統(tǒng)種類更加繁多��,各系統(tǒng)間關(guān)聯(lián)性更強(qiáng)[1]。目前����,企業(yè)網(wǎng)絡(luò)安全系統(tǒng)主要面臨以下威脅:(1)物理層安全威脅會(huì)導(dǎo)致設(shè)備損壞,系統(tǒng)或網(wǎng)絡(luò)不可用����,數(shù)據(jù)損壞、丟失等����。(2)因企業(yè)管理人員水平不高,引發(fā)企業(yè)內(nèi)部信息泄露的威脅�����。同時(shí)�����,在整個(gè)網(wǎng)絡(luò)中��,內(nèi)部員工對(duì)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)�、應(yīng)用比較熟悉,自己攻擊或泄露內(nèi)部信息�����,也會(huì)導(dǎo)致系統(tǒng)遭受致命的安全威脅。(3)計(jì)算機(jī)病毒是一種可以將自身附加值目標(biāo)機(jī)系統(tǒng)的文件程序�����,其對(duì)系統(tǒng)的破壞性非常嚴(yán)重����,會(huì)導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)或?qū)е抡麄€(gè)系統(tǒng)面臨癱瘓���。當(dāng)病毒釋放至網(wǎng)絡(luò)環(huán)境內(nèi)����,其無(wú)法預(yù)測(cè)其產(chǎn)生的危害��。
二�����、企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)
1身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
身份認(rèn)證作為網(wǎng)絡(luò)安全的重要組成部分����,企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計(jì)基于RSA的認(rèn)證系統(tǒng),該系統(tǒng)為三方身份認(rèn)證協(xié)議�。
(1)申請(qǐng)認(rèn)證模塊的設(shè)計(jì)與實(shí)現(xiàn)
CA設(shè)置在企業(yè)主服務(wù)器上,本系統(tǒng)主要包含申請(qǐng)認(rèn)證����、身份認(rèn)證、通信模塊����。其中,申請(qǐng)認(rèn)證完成與申請(qǐng)認(rèn)證相關(guān)的操作�����,該模塊實(shí)現(xiàn)流程如下:用鼠標(biāo)點(diǎn)擊菜單項(xiàng)中的“申請(qǐng)證書(shū)”��,彈出相應(yīng)的認(rèn)證界面��。在申請(qǐng)書(shū)界面內(nèi)�����,輸入用戶的姓名及密碼��,傳遞至CA認(rèn)證。
CA接收到認(rèn)證方所發(fā)出的名稱和明碼后����,并將認(rèn)證結(jié)果發(fā)送至申請(qǐng)證書(shū)方,當(dāng)通過(guò)用戶驗(yàn)證將公鑰傳給CA���。
CA接收申請(qǐng)證書(shū)一方傳來(lái)的公鑰����,把其制作為證書(shū)發(fā)送給申請(qǐng)方�,完成CA各項(xiàng)功能。申請(qǐng)方接收CA傳來(lái)的證書(shū)后���,保存至初始化文件.ini內(nèi)��。在申請(qǐng)方.ini文件內(nèi)可以看見(jiàn)用戶設(shè)置的公鑰����。
(2)身份認(rèn)證模塊
實(shí)施身份認(rèn)證的雙方�,依次點(diǎn)擊菜單項(xiàng)中的身份認(rèn)證項(xiàng),打開(kāi)相應(yīng)的身份認(rèn)證對(duì)話框�����,提出驗(yàn)證方的請(qǐng)求連接,以此為雙方創(chuàng)建連接[2]�����。
實(shí)際認(rèn)證過(guò)程中�����,采用產(chǎn)生的隨機(jī)數(shù)字N1��、N2來(lái)抵抗攻擊����。B驗(yàn)證A證書(shū)有效后��,獲取自己的證書(shū)�,產(chǎn)生隨機(jī)數(shù)N1對(duì)其實(shí)施簽名。隨之把證書(shū)�、簽名的N1兩條信息一起傳遞至A。A接收B發(fā)出的信息后��,將其劃分為兩個(gè)部分�����,并驗(yàn)證B的身份同時(shí)獲取B公鑰。A驗(yàn)證B證書(shū)屬于有效后�,取出N傳出的隨機(jī)數(shù)N1,并產(chǎn)生隨機(jī)數(shù)字N2���,把密鑰采用B公鑰加密�����,最終把加密后的密鑰采用A傳送至B��。B接受A發(fā)出的信息后���,對(duì)A簽名數(shù)據(jù)串進(jìn)行解簽,對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行驗(yàn)證���。如果驗(yàn)證失敗�,必須重新實(shí)施認(rèn)證���。實(shí)現(xiàn)代碼如下:
UCHARdata[1024]={0}://解密后的私鑰文件UINT4datalen=10224//解密后私鑰文件長(zhǎng)度if(RTN_OK���!=CryptionProe(ATTRIB_SDBI_KEY,Dec_keylen�,DNCRYPT�����,kk->length����,data�����,&datalen)){m_List.AddMSg(解密私鑰失敗”�,M_ERROR):deletekk�;retllrn;}e1se.
2安全防護(hù)系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)
設(shè)計(jì)安全防護(hù)系統(tǒng)旨在保護(hù)企業(yè)內(nèi)部信息的安全��,實(shí)現(xiàn)對(duì)各個(gè)協(xié)議和端口過(guò)濾操作���,并實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的安全性�。
(1)Windos網(wǎng)絡(luò)接口標(biāo)準(zhǔn)
安全防護(hù)系統(tǒng)總設(shè)計(jì)方案是基于Windows內(nèi)核內(nèi)截取所有IP包�����。在Windows操作系統(tǒng)內(nèi)����,NDIS發(fā)揮著重要的作用�,其是網(wǎng)絡(luò)協(xié)議與NIC之間的橋梁�����,Windows網(wǎng)絡(luò)接口見(jiàn)圖1����。其中,NDIS設(shè)置在MinpORT驅(qū)動(dòng)程序上���,Miniport相當(dāng)于數(shù)據(jù)鏈路層的介質(zhì)訪問(wèn)控制子層����。
(2)數(shù)據(jù)包過(guò)濾系統(tǒng)
數(shù)據(jù)包過(guò)濾系統(tǒng)主要過(guò)濾IP數(shù)據(jù)包�、UDP數(shù)據(jù)包、傳輸層TCP�、應(yīng)用層HTTP等。包過(guò)濾技術(shù)遵循“允許或不允許”部分?jǐn)?shù)據(jù)包通過(guò)防火墻��,數(shù)據(jù)包過(guò)濾流程見(jiàn)圖2�����。包過(guò)濾裝置對(duì)數(shù)據(jù)包進(jìn)行有選擇的通過(guò),采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后���,依據(jù)數(shù)據(jù)包源地址����、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過(guò)[3]�。
綜上所述,現(xiàn)階段�����,我國(guó)多數(shù)企業(yè)設(shè)置的安全防護(hù)系統(tǒng)主要預(yù)防外部人員的非法入侵和供給�,對(duì)企業(yè)內(nèi)部人員發(fā)出的網(wǎng)絡(luò)攻擊�、信息竊取無(wú)法起到防護(hù)的效果。文中對(duì)網(wǎng)絡(luò)系統(tǒng)安全存在的安全風(fēng)險(xiǎn)展開(kāi)分析���,提出企業(yè)網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)步驟�,以此提升企業(yè)網(wǎng)絡(luò)信息的安全性����,為企業(yè)更好地發(fā)展提供安全支持。
參考文獻(xiàn):
[1]徐哲明.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全修補(bǔ)程序構(gòu)架的設(shè)計(jì)[J].計(jì)算機(jī)安全�����,2013,17(8):47-50.
[2]勞偉強(qiáng).企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實(shí)現(xiàn)[J].電子世界�����,2013��,35(22):154-154.
[3]付寧.企業(yè)網(wǎng)絡(luò)安全防護(hù)體系及企業(yè)郵箱的建立[J].科技傳播����,2013,12(2):214-215.
第7篇
關(guān)鍵詞:電力企業(yè)�����;網(wǎng)絡(luò)安全����;安全策略
引言
隨著我國(guó)Internet和電力信息化產(chǎn)業(yè)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在電力企業(yè)的各個(gè)方面得到了廣泛的應(yīng)用��,電力企業(yè)信息網(wǎng)絡(luò)已經(jīng)成為電力系統(tǒng)的重要基礎(chǔ)設(shè)施���,它的安全運(yùn)行與否關(guān)系到電力系統(tǒng)的安全����、穩(wěn)定、有效運(yùn)行���。網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用��,電力信息網(wǎng)絡(luò)的不斷延伸和擴(kuò)大�,特別是電力企業(yè)網(wǎng)和Internet的互聯(lián)都對(duì)電力信息網(wǎng)絡(luò)的安全提出了更高的要求��。因此���,深入研究電力企業(yè)信息網(wǎng)絡(luò)安全的特點(diǎn)和存在的問(wèn)題���,對(duì)電力企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行有一定的指導(dǎo)意義����。
電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。
圖1電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)
1網(wǎng)絡(luò)安全
所謂網(wǎng)絡(luò)安全是指在分布網(wǎng)絡(luò)環(huán)境中�����,對(duì)信息載體(處理載體����、存儲(chǔ)載體���、傳輸載體)和信息的處理、傳輸���、存儲(chǔ)�、訪問(wèn)提供安全保護(hù)���,以防止數(shù)據(jù)��、信息內(nèi)容或能力拒絕服務(wù)或非授權(quán)使用和篡改����。網(wǎng)絡(luò)安全具有機(jī)密性���、可用性和完整性這三個(gè)基本屬性����。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題��,也有管理方面的問(wèn)題,兩方面相互補(bǔ)充�,缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊��,管理方面則側(cè)重于內(nèi)部人為因素的管理�。
威脅網(wǎng)絡(luò)安全的因素主要有黑客入侵、信息泄漏����、拒絕服務(wù)攻擊和病毒等幾類。
(1)黑客入侵
由于網(wǎng)絡(luò)邊界上的系統(tǒng)安全漏洞或管理方面的缺陷(如弱口令)��,容易導(dǎo)致黑客的成功入侵�����。黑客可以通過(guò)入侵計(jì)算機(jī)或網(wǎng)絡(luò),使用被入侵的計(jì)算機(jī)或網(wǎng)絡(luò)的信息資源����,來(lái)竊取、破壞或修改數(shù)據(jù)�,從而威脅電力企業(yè)信息網(wǎng)絡(luò)安全�����。
(2)信息泄漏
相對(duì)于黑客入侵這種來(lái)自網(wǎng)絡(luò)外部的威脅而言,信息泄漏的主要原因則在于企業(yè)內(nèi)部管理不善,如信息分級(jí)不合理、信息審查不嚴(yán)和不當(dāng)授權(quán)等,都容易導(dǎo)致信息外泄�����。
(3)拒絕服務(wù)攻擊
信息網(wǎng)絡(luò)上提供的FTP��、WEB和DNS等服務(wù)都有可能遭受拒絕服務(wù)攻擊����。拒絕服務(wù)的主要攻擊方法是通過(guò)消耗用戶的資源,來(lái)增加CPU的負(fù)荷,當(dāng)系統(tǒng)資源消耗超出CPU的負(fù)荷能力時(shí)��,此時(shí)網(wǎng)絡(luò)的正常服務(wù)失效�����。
(4)病毒
通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)�,病毒的傳播速度和傳播范圍程度驚人,它可以在數(shù)小時(shí)之間使得全球成千上萬(wàn)的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)癱瘓��,嚴(yán)重威脅網(wǎng)絡(luò)安全�。病毒的危害性涉及面廣,它不僅可以修改刪除文件,還可以竊取企業(yè)內(nèi)部文件和泄露用戶個(gè)人隱私信息等����。
2安全策略
2.1網(wǎng)絡(luò)隔離
由于不同的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該采用不同的安全對(duì)策�����,因此我們?yōu)榱颂岣哒麄€(gè)網(wǎng)絡(luò)的安全性考慮��,可以根據(jù)保密程度��、保護(hù)功能和安全水平等差異����,把整個(gè)網(wǎng)絡(luò)進(jìn)行分段隔離��。這樣可以實(shí)現(xiàn)更為細(xì)化的安全控制體系����,將攻擊和入侵造成的威脅分別限制在較小的范圍內(nèi)。所謂網(wǎng)絡(luò)隔離(Network Isolation)是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(如TCP/IP)完全斷開(kāi)或通過(guò)不可路由的形式(如不可路由的專用協(xié)議�����、專用數(shù)據(jù)交換硬件等)進(jìn)行連接,從而達(dá)到隔離網(wǎng)絡(luò)攻擊和防范網(wǎng)絡(luò)風(fēng)險(xiǎn)的目的��。
電力企業(yè)內(nèi)外網(wǎng)之間是通過(guò)物理隔離的�,所謂物理隔離是通過(guò)網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備的空間(主要包括網(wǎng)線、路由器�、交換機(jī)、主機(jī)和終端等)分離來(lái)實(shí)現(xiàn)的網(wǎng)絡(luò)隔離����。物理隔離強(qiáng)調(diào)的是設(shè)備在物理形態(tài)上的分離,從而來(lái)實(shí)現(xiàn)數(shù)據(jù)的分離����。完整意義上的物理隔離應(yīng)該是指兩個(gè)網(wǎng)絡(luò)完全斷開(kāi),網(wǎng)絡(luò)之間不存在數(shù)據(jù)交換����。然而實(shí)際上,由于網(wǎng)絡(luò)的開(kāi)放性和資源共享性等特點(diǎn)需要內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)交換�����。因此����,我們通常所說(shuō)的物理隔離是指能滿足物理隔離的安全性要求的、相對(duì)的物理隔離技術(shù)�����。物理隔離的原理是使單個(gè)用戶在同一時(shí)間�����、同一空間不能同時(shí)使用內(nèi)部網(wǎng)和外部網(wǎng)兩個(gè)系統(tǒng)。如果兩個(gè)系統(tǒng)在空間上物理隔離��,在不同的時(shí)間運(yùn)行���,那么就可以得到兩個(gè)完全物理隔離的系統(tǒng)����。
2.2防火墻
防火墻實(shí)際上是由應(yīng)用層網(wǎng)關(guān)���、包過(guò)濾路由器和電路層網(wǎng)關(guān)等組成的一套系統(tǒng)�,它邏輯上處于內(nèi)部網(wǎng)和外部網(wǎng)之間��,可以提供網(wǎng)絡(luò)通信�,從而保證內(nèi)部網(wǎng)的正常安全運(yùn)行。防火墻是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的�,防火墻的基本結(jié)構(gòu)如圖2所示。
圖2 防火墻結(jié)構(gòu)
工作原理:當(dāng)防火墻被安置完成以后��,所有內(nèi)部通向外部和外部通向內(nèi)部的數(shù)據(jù)流都要通過(guò)防火墻�。它通過(guò)包過(guò)濾技術(shù),利用應(yīng)用層或應(yīng)用層數(shù)據(jù)共享的方式來(lái)實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的通信�,通過(guò)堡壘主機(jī)(屏蔽主機(jī)防火墻)連接系統(tǒng)外部與內(nèi)部���。此外,它還利用基于支持網(wǎng)絡(luò)層和應(yīng)用層安全功能等技術(shù)來(lái)有效的隔離了內(nèi)部和外部的網(wǎng)絡(luò)�����,從而建筑起了一道屏障來(lái)抵御非法的侵入���,更好的保護(hù)了電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。
我們要特別注意的是���,即使網(wǎng)絡(luò)安裝了防火墻也還要考慮防火墻產(chǎn)品自身是否安全���、防火墻用戶權(quán)限體系管理和防火墻的安全認(rèn)證等特性。防火墻一般經(jīng)常采用密碼認(rèn)證的方式��,由于該方法安全性較差����,所以一旦密碼泄漏,別人就很容易控制防火墻�����,從而對(duì)網(wǎng)絡(luò)的安全運(yùn)行造成隱患。因此我們需要要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解��,從而更好的保護(hù)網(wǎng)絡(luò)的安全運(yùn)行����。
2.3防病毒
電力企業(yè)網(wǎng)絡(luò)面臨的病毒威脅主要有電子郵件傳播、文件交叉感染和瀏覽網(wǎng)頁(yè)及文件下載感染這三種傳播途徑���。在電力企業(yè)網(wǎng)絡(luò)環(huán)境下�,網(wǎng)絡(luò)病毒除了具有破壞性�����、可傳播性����、可執(zhí)行性和可觸發(fā)性等計(jì)算機(jī)病毒的共性外,還具有感染速度快�、傳播形式復(fù)雜、破壞性大��、難于徹底清除和擴(kuò)散面廣等新的特點(diǎn)�����。
易于管理和全面防毒功能是防病毒軟件的關(guān)鍵。現(xiàn)在的防病毒軟件已不單單是檢測(cè)病毒和清除病毒���,而且還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作�。我們可以通過(guò)安裝遠(yuǎn)程防病毒軟件來(lái)保證電力企業(yè)的網(wǎng)絡(luò)安全運(yùn)行����。因此�,集中管理、遠(yuǎn)程安裝����、統(tǒng)一防病毒策略成為了企業(yè)級(jí)防病毒產(chǎn)品的重要功能。我們?cè)谶x擇殺毒軟件時(shí)�,要選擇在市場(chǎng)上有較高知名度企業(yè)研發(fā)的殺毒軟件產(chǎn)品,這樣不僅可以保證產(chǎn)品質(zhì)量��,而且產(chǎn)品的售后服務(wù)也能得到保證�。由于計(jì)算機(jī)病毒的傳播途徑多樣化,電力企業(yè)需要建立多層次����、立體式病毒防護(hù)體系、完善的管理系統(tǒng)和病毒防護(hù)策略來(lái)保證網(wǎng)絡(luò)的安全運(yùn)行���。
這里所謂的多層次��、立體式病毒防護(hù)體 系是指在電力企業(yè)的每臺(tái)臺(tái)式機(jī)上安裝基于臺(tái)式機(jī)的反病毒軟件�����,在Internet網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的反病毒軟件����,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件,于此同時(shí)對(duì)電腦的操作系統(tǒng)進(jìn)行安全加固���,這樣就可以從工作站到服務(wù)器再到網(wǎng)關(guān)進(jìn)行全面保護(hù)�,從而保證整個(gè)電力企業(yè)網(wǎng)絡(luò)的安全運(yùn)行�,使其不受計(jì)算機(jī)病毒的侵害。
3入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(IDS)是一種主動(dòng)防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)����,由于它在功能上彌補(bǔ)了防火墻的缺陷,完善了整個(gè)安全防御體系�����,因此在電力企業(yè)的網(wǎng)絡(luò)安全中有著重要的作用。
入侵檢測(cè)系統(tǒng)是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的�,其分布式布置3所示。由圖可知�����,我們?cè)谶M(jìn)行安裝入侵檢測(cè)系統(tǒng)(IDS)的關(guān)鍵步驟是部署監(jiān)測(cè)器與控制臺(tái)��。具體安裝如下:首先�����,可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測(cè)器���,以監(jiān)測(cè)異常的入侵企圖,在防火墻與MIS之間部署監(jiān)測(cè)器,以監(jiān)視和分析管理信息系統(tǒng)與外部網(wǎng)絡(luò)的通信流��。然后����,分別在監(jiān)控信息系統(tǒng)(SIS)和管理信息系統(tǒng)(MIS)中部署一臺(tái)監(jiān)測(cè)器,監(jiān)視各子網(wǎng)的內(nèi)部情況�����,其中控制臺(tái)設(shè)置在管理信息系統(tǒng)中。最后���,根據(jù)實(shí)際情況為個(gè)別需重點(diǎn)保護(hù)的服務(wù)器����、工作站安裝基于主機(jī)的入侵檢測(cè)軟件�����,保護(hù)重要設(shè)備�����。
圖3入侵檢測(cè)系統(tǒng)分布式布置
結(jié)束語(yǔ)
綜上所述��,隨著我國(guó)經(jīng)濟(jì)和社會(huì)的飛速發(fā)展�����,電力企業(yè)在我國(guó)國(guó)民經(jīng)濟(jì)中的比重日益提高��,電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全����、穩(wěn)定����、有效運(yùn)行對(duì)整個(gè)國(guó)民經(jīng)濟(jì)的穩(wěn)定運(yùn)行起著十分重要的作用���。針對(duì)電力企業(yè)網(wǎng)絡(luò)所面臨的各種不同的威脅�,我們只有采用與之相應(yīng)的安全措施�����,才能保證電力企業(yè)局域網(wǎng)的安全���、正常和穩(wěn)定運(yùn)行�。
參考文獻(xiàn):
[1]趙小林.網(wǎng)絡(luò)安全技術(shù)教程[M].北京:國(guó)防工業(yè)出版社,2006
[2]彭新光,吳興興.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:科學(xué)出版社, 2005
[3]胡炎,韓英鐸.電力工業(yè)信息安全的思考[J].電力系統(tǒng)自動(dòng)化, 2002(4):27
第8篇
隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用��,社會(huì)信息化進(jìn)程不斷加快�,生產(chǎn)制造����、物流網(wǎng)絡(luò)、自動(dòng)化辦公系統(tǒng)對(duì)信息系統(tǒng)的依賴程度越來(lái)越大�,因此,保證信息系統(tǒng)的安全穩(wěn)定運(yùn)行也越來(lái)越重要���。如何保證企業(yè)網(wǎng)絡(luò)信息化安全���、穩(wěn)定運(yùn)行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師在設(shè)計(jì)初始周全的考慮到網(wǎng)絡(luò)安全所需達(dá)到的條件(包括硬件����、OSI/RM各層���、各種系統(tǒng)操作和應(yīng)用)�。
1網(wǎng)絡(luò)安全�����、信息安全標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為�,凈化網(wǎng)絡(luò)環(huán)境而制定的強(qiáng)制性或指導(dǎo)性的規(guī)定。目前�����,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對(duì)系統(tǒng)安全等級(jí)���、系統(tǒng)安全等級(jí)評(píng)定方法�、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)�����。世界各國(guó)紛紛頒布了計(jì)算機(jī)網(wǎng)絡(luò)的安全管理?xiàng)l例,我國(guó)也頒布了《計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全管理方法》等多個(gè)國(guó)家標(biāo)準(zhǔn)�,用來(lái)制止網(wǎng)絡(luò)污染,規(guī)范網(wǎng)絡(luò)行為�,同時(shí)各種網(wǎng)絡(luò)技術(shù)在不斷的改進(jìn)和完善。1999年9月13日����,中國(guó)頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859:1999),定義了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的5個(gè)等級(jí)��,分別如下:(1)第一級(jí):用戶自主保護(hù)級(jí)�����。它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力��,保護(hù)用戶的信息免受非法的讀寫(xiě)破壞��。(2)第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)��。除繼承前一個(gè)級(jí)別的安全功能外��,還要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)蹤記錄��,使所有的用戶對(duì)自己行為的合法性負(fù)責(zé)�����。(3)第三級(jí):安全標(biāo)記保護(hù)級(jí)���。除繼承前一個(gè)級(jí)別的安全功能外���,還要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限,實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)����。(4)第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外�,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取���,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力��。(5)第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)�。除繼承前一個(gè)級(jí)別的安全功能外�,還特別增設(shè)了訪問(wèn)驗(yàn)證功能,負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)��。
2企業(yè)網(wǎng)絡(luò)主要安全隱患
企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng),網(wǎng)絡(luò)安全體系防范的不僅是病毒感染��,還有基于網(wǎng)絡(luò)的非法入侵����、攻擊和訪問(wèn),但這些非法入侵����、攻擊、訪問(wèn)的途徑非常多��,涉及到整個(gè)網(wǎng)絡(luò)通信過(guò)程的每個(gè)細(xì)節(jié)�����。從以往的網(wǎng)絡(luò)入侵����、攻擊等可以總結(jié)出,內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò)��,因?yàn)閮?nèi)網(wǎng)受到的入侵和攻擊更加容易����,所以做為網(wǎng)絡(luò)安全體系設(shè)計(jì)人員要全面地考慮,注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患����。
3企業(yè)網(wǎng)絡(luò)安全防護(hù)策略
設(shè)計(jì)一個(gè)更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過(guò)程中對(duì)OSI/RM的全部層次的安全保護(hù)和系統(tǒng)的安全保護(hù)。七層網(wǎng)絡(luò)各個(gè)層次的安全防護(hù)是為了預(yù)防非法入侵�����、非法訪問(wèn)��、病毒感染和黑客攻擊����,而非計(jì)算機(jī)通信過(guò)程中的安全保護(hù)是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護(hù)措施及系統(tǒng)層的安全防護(hù)如圖1所示���。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現(xiàn)在兩個(gè)方面:一方面是采用屏蔽性能好的傳輸介質(zhì)���,另一方面是把傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備���、機(jī)房等整個(gè)通信線路安裝在屏蔽的環(huán)境中���。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類�����、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對(duì))芯線外集中包裹了一屏蔽層����。而六類屏蔽雙絞和七類雙絞線除了五類���、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外��,還有這些屏蔽層就是用來(lái)進(jìn)行電磁屏蔽的��,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸���,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽(tīng)到。(2)屏蔽機(jī)房和機(jī)柜機(jī)房屏蔽的方法是在機(jī)房外部以接地良好的金屬膜����、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍,其中包括六面板體和一面屏蔽門(mén)��。根據(jù)機(jī)房屏蔽性能的不同����,可以將屏蔽機(jī)房分為A�����、B、C三個(gè)級(jí)別�����,最高級(jí)為C級(jí)�。機(jī)柜的屏蔽是用采用冷扎鋼板圍閉而成,這些機(jī)柜的結(jié)構(gòu)與普通的機(jī)柜是一樣的��,都是標(biāo)準(zhǔn)尺寸的�����。(3)WLAN的物理層安全保護(hù)對(duì)于無(wú)線網(wǎng)絡(luò)�����,因?yàn)椴捎玫膫鬏斀橘|(zhì)是大氣��,大氣是非固定有形線路�,安全風(fēng)險(xiǎn)比有線網(wǎng)絡(luò)更高,所以在無(wú)線網(wǎng)絡(luò)中的物理層安全保護(hù)就顯得更加重要了。如果將機(jī)房等整個(gè)屏蔽起來(lái)����,成本太高,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰��、WPA/WPA2動(dòng)態(tài)密鑰��、IEEE802.1X身份驗(yàn)證等?,F(xiàn)在最新的無(wú)線寬帶接入技術(shù)——WiMAX對(duì)于來(lái)自物理層的攻擊,如網(wǎng)絡(luò)阻塞��、干擾��,顯得很脆弱����,以后將提高發(fā)射信號(hào)功率、增加信號(hào)帶寬和使用包括跳頻�、直接序列等擴(kuò)頻技術(shù)。
4.2數(shù)據(jù)鏈路層安全
在數(shù)據(jù)鏈路層可以采用的安全保護(hù)方案主要包括:數(shù)據(jù)鏈路加密�、MAC地址綁定(防止MAC地址欺騙)、VLAN網(wǎng)段劃分���、網(wǎng)絡(luò)嗅探預(yù)防����、交換機(jī)保護(hù)。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù)�����,該技術(shù)可分為基于端口的VLAN�����、基于MAC地址的VLAN���、基于第三層的VLAN和基于策略的VLAN。
4.3網(wǎng)絡(luò)層安全
在網(wǎng)絡(luò)層首先是身份的認(rèn)證�,最簡(jiǎn)單的身份認(rèn)證方式是密碼認(rèn)證,它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對(duì)網(wǎng)絡(luò)資源的訪問(wèn)啟用“單點(diǎn)登錄”��,采用單點(diǎn)登錄后�����,用戶可以使用一個(gè)密碼或智能卡一次登錄到windows域���,然后向域中的任何計(jì)算機(jī)驗(yàn)證身份���。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù)��,使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸�,連接之間的通信是加密的����。加密認(rèn)證分為PKI公鑰機(jī)制(非對(duì)稱加密機(jī)制),Kerberos基于私鑰機(jī)制(對(duì)稱加密機(jī)制)�����。IPSec是針對(duì)IP網(wǎng)絡(luò)所提出的安全性協(xié)議���,用途就是保護(hù)IP網(wǎng)絡(luò)通信安全��。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查��、數(shù)據(jù)機(jī)密保護(hù)��、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護(hù)�����,可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)����。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)。
4.4傳輸層安全
傳輸層的主要作用是保證數(shù)據(jù)安全��、可靠的從一端傳到另一端����。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議,它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強(qiáng)健的安全加密保護(hù)��,還可以結(jié)合證書(shū)服務(wù)�����,提供強(qiáng)大的身份誰(shuí)���、數(shù)據(jù)簽名和隱私保護(hù)。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸�。
4.5防火墻
因防火墻技術(shù)在OSI/RM各層均有體現(xiàn),在這里簡(jiǎn)單分析一下防火墻�����,防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻����,網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器���,運(yùn)作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作�����,應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包�。目前70%的攻擊是發(fā)生在應(yīng)用層,而不是網(wǎng)絡(luò)層��。對(duì)于這類攻擊�����,傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果����,并不太理想。
5結(jié)語(yǔ)
以上對(duì)于實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡(jiǎn)單論述�,是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護(hù)分析,重點(diǎn)分析了物理層所必須做好的各項(xiàng)工作����,其余各層簡(jiǎn)單分析了應(yīng)加強(qiáng)的主要技術(shù)����。因網(wǎng)絡(luò)技術(shù)日新月益��,很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn)����,實(shí)則由于本人時(shí)間、水平有限�����,請(qǐng)各位讀者給予見(jiàn)解�。文章中部分內(nèi)容借簽于參考文獻(xiàn),在此非常感謝各位作者的好書(shū)籍。
作者:單位:西山煤電(集團(tuán))有限公司物資供應(yīng)分公司
引用:
[1]李磊.網(wǎng)絡(luò)工程師考試輔導(dǎo).北京:清華大學(xué)出版社��,2009.
[2]王達(dá)����,闞京茂.網(wǎng)絡(luò)工程方案規(guī)劃與設(shè)計(jì).北京:中國(guó)水利水電出版社��,2010.
