序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡(luò)安全威脅樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)����,請盡情閱讀���。
第1篇
1 企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅的分析
1.1 隨意更改IP地址
企業(yè)網(wǎng)絡(luò)使用者對于計算機(jī)IP地址的更改是常見的信息安全問題�����,一方面更改IP地址后,可能與其他計算機(jī)產(chǎn)生地址沖突��,造成他人無法正常使用的問題��,另一方面更改IP的行為將使監(jiān)控系統(tǒng)無法對計算機(jī)的網(wǎng)絡(luò)使用進(jìn)行追溯��,不能準(zhǔn)確掌握設(shè)備運(yùn)行狀況�����,出現(xiàn)異常運(yùn)行等問題難以進(jìn)行核查���。
1.2 私自連接互聯(lián)網(wǎng)
企業(yè)內(nèi)部人員通過撥號或?qū)拵нB接的形式�����,將計算機(jī)接入互聯(lián)網(wǎng)私自瀏覽網(wǎng)絡(luò)信息�����,使企業(yè)內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)環(huán)境的隔離狀態(tài)被打破����,原有設(shè)置的防火墻等病毒防護(hù)體系不能有效發(fā)揮作用,部分木馬�����、病毒將以接入外網(wǎng)的計算機(jī)為跳板�����,進(jìn)而侵入企業(yè)網(wǎng)絡(luò)內(nèi)部的其他計算機(jī)���。
1.3 隨意接入移動存儲設(shè)備
移動硬盤�����、U盤等移動存儲設(shè)備的接入是當(dāng)前企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全的最大隱患��,部分企業(yè)內(nèi)部人員接入的移動存儲設(shè)備已經(jīng)感染了病毒�,而插入計算機(jī)的時候又未能進(jìn)行有效的病毒查殺���,這使得病毒直接侵入企業(yè)計算機(jī)���,形成企業(yè)信息數(shù)據(jù)的內(nèi)外網(wǎng)間接地交換�����,造成機(jī)密數(shù)據(jù)的泄漏���。
1.4 不良軟件的安裝
部分企業(yè)盡管投入了大量資金在內(nèi)部網(wǎng)絡(luò)建設(shè)與信息安全保護(hù)體系構(gòu)建之中,但受版權(quán)意識不足�、軟件購置資金較少等原因的限制���,一些企業(yè)在計算機(jī)上安裝的是盜版�����、山寨軟件��,這些軟件一方面不能保證計算機(jī)的正常使用需求�,對企業(yè)內(nèi)部網(wǎng)絡(luò)的運(yùn)行造成一定影響�,同時這些軟件還可能預(yù)裝了部分插件,用于獲取企業(yè)內(nèi)部資料信息�����,這都對內(nèi)網(wǎng)計算機(jī)形成了一定的威脅。
1.5 人為泄密或竊取內(nèi)網(wǎng)數(shù)據(jù)資料
受管理制度不完善����、監(jiān)控力度不完善等因素的影響,一些內(nèi)部人員在企業(yè)內(nèi)部網(wǎng)絡(luò)中獲取了這些數(shù)據(jù)信息���,通過攜帶的移動存儲設(shè)備進(jìn)行下載保存�����,或者連接到外網(wǎng)進(jìn)行散播��,這是極為嚴(yán)重的企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅問題�。
2 企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅成因分析
2.1 企業(yè)網(wǎng)絡(luò)信息安全技術(shù)方面
我國計算機(jī)與網(wǎng)絡(luò)科學(xué)技術(shù)的研究相對滯后��,在計算機(jī)安全防護(hù)系統(tǒng)和軟件方面的開發(fā)仍然無法滿足企業(yè)的實際需求���,缺少適合網(wǎng)絡(luò)內(nèi)部和桌面電腦的信息安全產(chǎn)品�,這使得當(dāng)前企業(yè)網(wǎng)絡(luò)內(nèi)部監(jiān)控與防護(hù)工作存在這漏洞����,使企業(yè)管理人員不能有效應(yīng)對外部入侵,同時不能對企業(yè)內(nèi)部人員的操作行為進(jìn)行監(jiān)控管理���。
2.2 企業(yè)網(wǎng)絡(luò)信息安全管理方面
在企業(yè)中�,內(nèi)部員工對于信息安全缺乏準(zhǔn)確的認(rèn)知,計算機(jī)和內(nèi)部網(wǎng)絡(luò)的使用較為隨意���,這給企業(yè)網(wǎng)絡(luò)安全帶來了極大的隱患��。同時�,企業(yè)信息管理部門不能從自身實際情況出發(fā)��,完善內(nèi)部數(shù)據(jù)資料管理體系���,在內(nèi)部網(wǎng)絡(luò)使用上沒有相應(yīng)的用戶認(rèn)證以及權(quán)限管理,信息資料也沒有進(jìn)行密級劃定���,任何人都能隨意瀏覽敏感信息���。另外,當(dāng)前企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅大多產(chǎn)生于內(nèi)部員工��,企業(yè)忽視了對員工的信息安全管理���,部分離職員工仍能夠登錄內(nèi)部網(wǎng)絡(luò)����,這使得內(nèi)部網(wǎng)絡(luò)存在著極大的泄密風(fēng)險。
3 企業(yè)網(wǎng)絡(luò)信息安全的內(nèi)部威脅解決對策
3.1 管控企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為
對企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為的管控是避免出現(xiàn)內(nèi)部威脅的重要方法�,該方法能夠有效避免企業(yè)網(wǎng)絡(luò)資源非法使用的風(fēng)險。企業(yè)網(wǎng)絡(luò)管理部門可在內(nèi)部計算機(jī)上安裝桌面監(jiān)控軟件��,為企業(yè)網(wǎng)絡(luò)信息安全管理構(gòu)筑首層訪問控制��,從而實現(xiàn)既定用戶在既定時間內(nèi)通過既定計算機(jī)訪問既定數(shù)據(jù)資源的控制�。企業(yè)應(yīng)對內(nèi)部用戶或用戶組進(jìn)行權(quán)限管理,將內(nèi)部信息數(shù)據(jù)進(jìn)行密級劃分��,將不同用戶或用戶組能夠訪問的文件和可以執(zhí)行的操作進(jìn)行限定�����。同時����,在用戶登錄過程中應(yīng)使用密碼策略,提高密碼復(fù)雜性���,設(shè)置口令鎖定服務(wù)器控制臺��,杜絕密碼被非法修改的風(fēng)險�。
3.2 提高企業(yè)網(wǎng)絡(luò)安全技術(shù)水平
首先管理部門應(yīng)為企業(yè)網(wǎng)絡(luò)構(gòu)建防火墻,對計算機(jī)網(wǎng)絡(luò)進(jìn)程實施跟蹤�,從而判斷訪問網(wǎng)絡(luò)進(jìn)程的合法性,對非法訪問進(jìn)行攔截��。同時�,將企業(yè)網(wǎng)絡(luò)IP地址與計算機(jī)MAC地址綁定,避免IP地址更改帶來的網(wǎng)絡(luò)沖����,同時對各計算機(jī)的網(wǎng)絡(luò)行為進(jìn)行有效追蹤,提高病毒傳播與泄密問題的追溯效率���。另外�,可通過計算機(jī)屬性安全控制的方式�,降低用戶對目錄和文件的誤刪除和修改風(fēng)險。最后����,應(yīng)對企業(yè)網(wǎng)絡(luò)連接的計算機(jī)進(jìn)行徹底的病毒查殺��,杜絕病毒的內(nèi)部蔓延�。
3.3 建立信息安全內(nèi)部威脅管理制度
企業(yè)網(wǎng)絡(luò)信息安全管理工作的重點(diǎn)之一,就是制定科學(xué)而完善的信息安全管理制度,并將執(zhí)行措施落到實處�。其中,針對部分企業(yè)人員將內(nèi)部機(jī)密資料帶離企業(yè)的行為�����,在情況合理的條件下�����,應(yīng)進(jìn)行規(guī)范化的登記記錄��。針對企業(yè)網(wǎng)絡(luò)文件保存����,應(yīng)制定規(guī)律的備份周期,將數(shù)據(jù)信息進(jìn)行匯總復(fù)制加以儲存�。針對離職員工,應(yīng)禁止其帶走任何企業(yè)文件資料����,同時對其內(nèi)部網(wǎng)絡(luò)登錄賬號進(jìn)行注銷,防止離職員工再次登入內(nèi)部網(wǎng)絡(luò)�。
3.4 強(qiáng)化企業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)
加強(qiáng)安全知識培訓(xùn),使每位計算機(jī)使用者掌握一定的安全知識�,至少能夠掌握如何備份本地的數(shù)據(jù)����,保證本地數(shù)據(jù)信息的安全可靠��。加大對計算機(jī)信息系統(tǒng)的安全管理�����,防范計算機(jī)信息系統(tǒng)泄密事件的發(fā)生�。加強(qiáng)網(wǎng)絡(luò)知識培訓(xùn),通過培訓(xùn)�����,掌握IP地址的配置��、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識����,樹立良好的計算機(jī)使用習(xí)慣。
4 結(jié)語
綜上所述��,信息安全是當(dāng)前企業(yè)網(wǎng)絡(luò)應(yīng)用和管理工作的要點(diǎn)之一�,企業(yè)應(yīng)嚴(yán)格管控企業(yè)內(nèi)部用戶網(wǎng)絡(luò)操作行為�,提高企業(yè)網(wǎng)絡(luò)安全技術(shù)水平,建立信息安全內(nèi)部威脅管理制度,強(qiáng)化企業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)�����,進(jìn)而對企業(yè)網(wǎng)絡(luò)信息安全內(nèi)部威脅進(jìn)行全面控制�,從而提高敏感信息與機(jī)密資料的安全性。
作者簡介
第2篇
保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的軟件���、硬件及數(shù)據(jù)不遭受破壞�����、更改��、泄露���,信息系統(tǒng)連續(xù)可靠地運(yùn)行是企業(yè)網(wǎng)絡(luò)安全的基本要求。企業(yè)網(wǎng)絡(luò)安全分為物理安全和邏輯安全���,邏輯安全是對信息的保密性�����、完整性和可用性的保護(hù)���。物理安全是對計算機(jī)系統(tǒng)���、通信系統(tǒng)、存儲系統(tǒng)和人員采取安全措施以確保信息不會丟失����、泄漏等。目前企業(yè)網(wǎng)絡(luò)中缺乏專門的安全管理人員���,網(wǎng)絡(luò)信息化管理制度也不健全����,導(dǎo)致了部分人為因素引發(fā)的企業(yè)網(wǎng)絡(luò)安全事故��。因此企業(yè)網(wǎng)絡(luò)安全必須從技術(shù)和管理兩個方面進(jìn)行�����。
2企業(yè)網(wǎng)絡(luò)安全所面臨的威脅
企業(yè)網(wǎng)絡(luò)安全所面臨的威脅除了技術(shù)方面的因素外�����,還有一部分是管理不善引起的����。企業(yè)網(wǎng)絡(luò)安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關(guān)的管理制度
俗話說“三分技術(shù)�����,七分管理”����,管理是企業(yè)信息化中重要的組成部分。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度�,都可能引起企業(yè)網(wǎng)絡(luò)安全的風(fēng)險,給企業(yè)網(wǎng)絡(luò)造成安全事故�����。由于大部分企業(yè)沒有專門的網(wǎng)絡(luò)安全管理人員����,相關(guān)的網(wǎng)絡(luò)管理制度也不完善,實際運(yùn)行過程中沒有嚴(yán)格要求按照企業(yè)的網(wǎng)絡(luò)安全管理制度執(zhí)行����。以至于部分企業(yè)選用了最先進(jìn)的網(wǎng)絡(luò)安全設(shè)備,但是其管理員賬號一直使用默認(rèn)的賬號����,密碼使用簡單的容易被猜中的密碼����,甚至就是默認(rèn)的密碼�。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關(guān)條款進(jìn)行操作,給系統(tǒng)留下巨大的安全隱患���,導(dǎo)致安全事故發(fā)生�。
2.2技術(shù)因素導(dǎo)致的主要安全威脅
企業(yè)網(wǎng)絡(luò)應(yīng)用是架構(gòu)在現(xiàn)有的網(wǎng)絡(luò)信息技術(shù)基礎(chǔ)之上����,對技術(shù)的依賴程度非常高,因此不可避免的會有網(wǎng)絡(luò)信息技術(shù)的缺陷引發(fā)相關(guān)的安全問題����,主要表現(xiàn)在以下幾個方面。
2.2.1計算機(jī)病毒
計算機(jī)病毒是一組具有特殊的破壞功能的程序代碼或指令�����。它可以潛伏在計算機(jī)的程序或存儲介質(zhì)中�,當(dāng)條件滿足時就會被激活。企業(yè)網(wǎng)絡(luò)中的計算機(jī)一旦感染病毒,會迅速通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播�����,可能導(dǎo)致整個企業(yè)網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)嚴(yán)重丟失��。
2.2.2軟件系統(tǒng)漏洞
軟件的安全漏洞會被一些別有用心的用戶利用�,使軟件執(zhí)行一些被精心設(shè)計的惡意代碼���。一旦軟件中的安全漏洞被利用��,就可能引起機(jī)密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取���,從而引發(fā)安全事故。
3企業(yè)網(wǎng)絡(luò)安全的防護(hù)措施
3.1配備良好的管理制度和專門的管理人員
企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護(hù)制度���,結(jié)合企業(yè)自身的信息系統(tǒng)建設(shè)和應(yīng)用的進(jìn)程��,統(tǒng)籌規(guī)劃��,分步實施���。做好安全風(fēng)險的評估、建立信息安全防護(hù)體系、根據(jù)信息安全策略制定管理制度����、提高安全管理水平。企業(yè)內(nèi)部的用戶行為約束必須通過嚴(yán)格的管理制度進(jìn)行規(guī)范���。同時建立安全事件應(yīng)急響應(yīng)機(jī)制����。配備專門的網(wǎng)絡(luò)安全管理員�����,負(fù)責(zé)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全事務(wù)�。及時根據(jù)企業(yè)網(wǎng)絡(luò)的動向,建立以預(yù)防為主�����,事后補(bǔ)救為輔的安全策略�����。細(xì)化安全管理員工作細(xì)則����,如日常操作系統(tǒng)維護(hù)����、漏洞檢測及修補(bǔ)���、應(yīng)用系統(tǒng)的安全補(bǔ)丁����、病毒防治等工作�,并建立工作日志�。并對系統(tǒng)記錄文件進(jìn)行存檔管理。良好的日志和存檔管理����,可以為預(yù)測攻擊,定位攻擊���,以及遭受攻擊后追查攻擊者提供有力的支持����。
3.2防病毒技術(shù)
就目前企業(yè)網(wǎng)絡(luò)安全的情況來看����,網(wǎng)絡(luò)安全管理員主要是做好網(wǎng)絡(luò)防病毒的工作����,主流的技術(shù)有分布式殺毒技術(shù)���、數(shù)字免疫系統(tǒng)技術(shù)���、主動內(nèi)核技術(shù)等幾種。企業(yè)需要根據(jù)自身的實際情況�,靈活選用,確保殺毒機(jī)制的有效運(yùn)行��。
3.3系統(tǒng)漏洞修補(bǔ)
現(xiàn)代軟件規(guī)模越來越大���,功能越來越多���,其中隱藏的系統(tǒng)漏洞也可能越來越多。不僅僅是應(yīng)用軟件本身的漏洞����,還有可能來自操作系統(tǒng),數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題�。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補(bǔ)丁�。既可以購買專業(yè)的第三方補(bǔ)丁修補(bǔ)系統(tǒng)�,也可以使用軟件廠商自己提供的系統(tǒng)補(bǔ)丁升級工具。確保操作系統(tǒng)���,數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的���,管理員還要及時關(guān)注應(yīng)用系統(tǒng)廠商提供的升級補(bǔ)丁的信息,確保發(fā)現(xiàn)漏洞的第一時間更新補(bǔ)丁�,將系統(tǒng)漏洞的危害降到最低。
4結(jié)束語
第3篇
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題����,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個網(wǎng)絡(luò)系統(tǒng)中的硬件�、軟件和數(shù)據(jù)信息受到有效保護(hù)���,不會因為網(wǎng)絡(luò)意外故障的發(fā)生����,或者人為惡意攻擊����,病毒入侵而受到破壞��,導(dǎo)致重要信息的泄露和丟失�����,甚至造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓��。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸�、共享�、使用的安全,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性����、可用性、保密性和真實性等一系列技術(shù)理論����。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計算機(jī)科學(xué)技術(shù)�、通信技術(shù)、信息安全管理技術(shù)�����、密碼學(xué)����、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科����。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護(hù)措施
網(wǎng)絡(luò)安全威脅指的是具體的人���、事���、物對具有合法性、保密性�����、完整性和可用性造成的威脅和侵害�。防護(hù)措施就是對這些資源進(jìn)行保護(hù)和控制的相關(guān)策略、機(jī)制和過程����。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種��,而故意安全威脅又可以分為被動安全威脅和主動安全威脅����。被動安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行監(jiān)聽�、竊聽等�,而不對這些數(shù)據(jù)進(jìn)行篡改,主動安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行故意篡改等行為�����。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前�,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位�����、政府機(jī)關(guān)和高等院校的各種計算機(jī)網(wǎng)絡(luò)中�。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展���,同時出現(xiàn)了若干問題����,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題���、網(wǎng)絡(luò)安全風(fēng)險監(jiān)控問題���、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題�����,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等��。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個關(guān)鍵的組成部分�����,從信息安全管理的方向來看�����,網(wǎng)絡(luò)安全管理涉及到整個企業(yè)的策略規(guī)劃和流程��、保護(hù)數(shù)據(jù)需要的密碼加密��、防火墻設(shè)置�����、授權(quán)訪問��、系統(tǒng)認(rèn)證�、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等�����。
在實際應(yīng)用中����,網(wǎng)絡(luò)安全管理并不僅僅是一個軟件系統(tǒng),它涵蓋了多種內(nèi)容��,包括網(wǎng)絡(luò)安全策略管理�����、網(wǎng)絡(luò)設(shè)備安全管理�����、網(wǎng)絡(luò)安全風(fēng)險監(jiān)控等多個方面��。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入��,是一個控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)����,目的是為了保證整個網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力�,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間,或者多個局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口���。防火墻是保證網(wǎng)絡(luò)信息安全����、提供安全服務(wù)的基礎(chǔ)設(shè)施�,它不僅是一個限制器,更是一個分離器和分析器�,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換,從而保證整個網(wǎng)絡(luò)系統(tǒng)的安全��。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全�,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽����。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議�����,而TCP/IP的制定并沒有考慮到安全因素�,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題�。
2.4 入侵檢測技術(shù)
入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法���。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評估��,并根據(jù)評價結(jié)果來判斷行為的正常性����,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施�。入侵檢測可分為:異常檢測��、行為檢測�����、分布式免疫檢測等��。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計
3.1 系統(tǒng)設(shè)計目標(biāo)
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足����,提出一種通用的、可擴(kuò)展的�����、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng),以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式����,將身份認(rèn)證、入侵檢測����、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中,使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)��、彼此配合�����,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測和監(jiān)控����,從而形成一個分布式網(wǎng)絡(luò)安全防護(hù)體系,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性����、實用性和開放性。
3.2 系統(tǒng)原理框圖
該文設(shè)計了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)�,該系統(tǒng)的原理圖如圖1所示。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分�,能夠在同一時間與多個網(wǎng)絡(luò)安全終端連接���,并通過其對多個網(wǎng)絡(luò)設(shè)備進(jìn)行管理,還能夠提供處理網(wǎng)絡(luò)安全事件��、提供網(wǎng)絡(luò)配置探測器��、查詢網(wǎng)絡(luò)安全事件���,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式��,布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中�����,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集����,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的,并且與網(wǎng)絡(luò)安全管理中心相互連接�����。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備�����、設(shè)施的管理。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備�,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件����、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件�����。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實現(xiàn)對模塊進(jìn)行添加���、刪除的功能�����,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進(jìn)行選擇���,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上����。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中�����。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)�����。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動查詢���,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。
系統(tǒng)網(wǎng) 絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫����、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫�����,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫�����。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的��,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進(jìn)行存儲�。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計�,主要用于對各種網(wǎng)絡(luò)安全事件的存儲����。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略,并且對各種策略進(jìn)行存儲����。
3.3 系統(tǒng)架構(gòu)特點(diǎn)
3.3.1 統(tǒng)一管理,分布部署
該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進(jìn)行部署和管理�����,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求���,將網(wǎng)絡(luò)安全分布地布置在整個網(wǎng)絡(luò)系統(tǒng)之中�,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上�����,網(wǎng)絡(luò)安全管理中心可以自動管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進(jìn)行處理��。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計方式��,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時���,只需要對相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實現(xiàn)����,最后將其加載到網(wǎng)絡(luò)安全中,而不必對網(wǎng)絡(luò)安全管理中心�����、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級和更新���。
3.3.3 分布式多級應(yīng)用
對于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)�����,可使用多管理器連接����,保證全局網(wǎng)絡(luò)的安全�。在這種應(yīng)用中�����,上一級管理要對下一級的安全狀況進(jìn)行實時監(jiān)控�,并對下一級的安全事件在所轄范圍內(nèi)進(jìn)行及時全局預(yù)警處理�,同時向上一級管理中心進(jìn)行匯報�。網(wǎng)絡(luò)安全主管部門可以在最短時間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展��,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù)�����,這些數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸和使用����,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn)����,由此,企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升��,因此�,該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值。
參考文獻(xiàn):
第4篇
[關(guān)鍵詞]煙草企業(yè)�����;網(wǎng)絡(luò)安全防護(hù);體系建設(shè)
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發(fā)展����,國內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平,打造信息化時代下的現(xiàn)代煙草企業(yè)�����。但享受網(wǎng)絡(luò)帶來便捷的同時�,也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來的影響����。因此,越來越多的煙草企業(yè)對如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注��。
1 威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素
受各種因素影響�����,煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅���。
1.1 人為因素
人為的無意失誤,如操作員安全配置不當(dāng)造成的安全漏洞���,用戶安全意識不強(qiáng)����,用戶口令選擇不慎,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅����。人為的惡意攻擊,這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅�����,敵手的攻擊和計算機(jī)犯罪就屬于這一類���。此類攻擊又可以分為以下兩種:一種是主動攻擊�,它以各種方式有選擇地破壞信息的有效性和完整性��;另一種是被動攻擊���,他是在不影響網(wǎng)絡(luò)正常工作的情況下�,進(jìn)行截獲�����、竊取與破譯等行為獲得重要機(jī)密信息。
1.2 軟硬件因素
網(wǎng)絡(luò)安全設(shè)備投資方面�����,行業(yè)在防火墻���、網(wǎng)管設(shè)備�、入侵檢測防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位����,但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫�、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的��,如Telnet漏洞�、Web軟件、E-mail漏洞���、匿名FTP等���,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件��,其大部分是因為安全措施不完善所招致的苦果����。軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知�����,一旦被破解����,其造成的后果將不堪設(shè)想。另外�,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等���,都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅��。
1.3 結(jié)構(gòu)性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)�����,多數(shù)采用的是混合型結(jié)構(gòu)�,星形和總線型結(jié)構(gòu)重疊并存�����,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”�,黑客就可以利用病毒等入侵開展攻擊,或者�����,網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯誤操作����,都可能造成網(wǎng)絡(luò)安全問題。
2 煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀
煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)����,仍然存在著很多不容忽視的問題,亟待引起高度關(guān)注���。
2.1 業(yè)務(wù)應(yīng)用集成整合不足
不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過于單一化���、條線化,影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性�,安全防護(hù)信息沒有實現(xiàn)跨部門、跨單位�����、跨層級上的交流,相互之間不健全的信息共享機(jī)制����,滯后的信息資源服務(wù)決策�����,影響了信息化建設(shè)的整體效率�����。缺乏對網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計���,致使信息化建設(shè)未能形成整體合力����。
2.2 信息化建設(shè)特征不夠明顯
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志�����,但如基礎(chǔ)平臺的集成性���、基礎(chǔ)設(shè)施的集約化���、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后�����。主營煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合�����,對影響企業(yè)發(fā)展的管理制度�����、業(yè)務(wù)需求�、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo)����,缺乏宏觀角度上的溝通協(xié)調(diào),致使在信息化建設(shè)中�����,業(yè)務(wù)、管理�����、技術(shù)“三位一體”的要求并未落到實處����,影響了網(wǎng)絡(luò)安全防護(hù)的效果。
2.3 安全運(yùn)維保障能力不足
缺乏對運(yùn)維保障工作的正確認(rèn)識�,其尚未完全融入企業(yè)信息化建設(shè)的各個環(huán)節(jié),加上企業(yè)信息化治理模式構(gòu)建不成熟等原因���,制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能,導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動�,未能做到主動化、智能化分析�,導(dǎo)致遭受病毒、木馬����、釣魚網(wǎng)站等反復(fù)侵襲。
3 加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略
煙草企業(yè)應(yīng)以實現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)���,秉承科學(xué)頂層設(shè)計�����、合理統(tǒng)籌規(guī)劃�、力爭整體推進(jìn)的原則,始終堅持兩級主體����、協(xié)同建設(shè)和項目帶動的模式,按照統(tǒng)一架構(gòu)��、安全同步�����、統(tǒng)一平臺的技術(shù)規(guī)范��,才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生�����。
3.1 遵循網(wǎng)絡(luò)防護(hù)基本原則
煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時�����,應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則����,清楚網(wǎng)絡(luò)使用的性質(zhì)�����、主要使用人員等基本情況���。并在邏輯上對安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分,不同區(qū)域的防御體系應(yīng)具有針對性�,相互之間邏輯清楚、調(diào)用清晰�,從而使網(wǎng)絡(luò)邊界更為明確,相互之間更為信任�。要對已出現(xiàn)的安全問題進(jìn)行認(rèn)真分析,并歸類統(tǒng)計�,大的問題盡量拆解細(xì)分���,類似的問題歸類統(tǒng)一����,從而將復(fù)雜問題具體化�����,降低網(wǎng)絡(luò)防護(hù)工作的難度。對企業(yè)內(nèi)部網(wǎng)絡(luò)來說���,應(yīng)以功能為界限來劃分����,以劃分區(qū)域為安全防護(hù)區(qū)域���。同時�����,要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn)��,打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘���,實現(xiàn)信息資源更大程度上的互聯(lián)互通,從而有效地提升自身對網(wǎng)絡(luò)威脅的抵御力���。
3.2 合理確定網(wǎng)絡(luò)安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡(luò)過程中����,不同的區(qū)域所擔(dān)負(fù)的角色是不同的�����。為此,內(nèi)部網(wǎng)絡(luò)����,在設(shè)計之初,應(yīng)以安全防護(hù)體系����、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對區(qū)域進(jìn)行劃分�����。同時����,對生產(chǎn)、監(jiān)管�����、流通���、銷售等各個環(huán)節(jié)���,要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對應(yīng)的網(wǎng)絡(luò)使用管理制度,既能實現(xiàn)網(wǎng)絡(luò)安全更好防護(hù)����,也能幫助企業(yè)實現(xiàn)更為科學(xué)的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時���,不能以偏概全�、一蹴而就���,應(yīng)本著實事求是的態(tài)度�����,根據(jù)企業(yè)實際情況�,以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ)����,有針對性地進(jìn)行合理的劃分,才能取得更好的防護(hù)效果����。
3.3 大力推行動態(tài)防護(hù)措施
根據(jù)網(wǎng)絡(luò)入侵事件可知�,較為突出的問題有病毒更新?lián)Q代快����、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等�。為此,煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時�,應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù),且系統(tǒng)要能夠隨時升級換代�����,從而提升總體防護(hù)力��。同時�����,要定期對煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析��,確定系統(tǒng)存在哪些漏洞��、留有什么隱患��,實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護(hù)��。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制��,在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時��,確保在最短的時間內(nèi)恢復(fù)系統(tǒng)的基本功能��,為后期確定問題原因與及時恢復(fù)系統(tǒng)留下時間��,并且確保企業(yè)業(yè)務(wù)的開展不被中斷�����,不會為企業(yè)帶來很大的經(jīng)濟(jì)損失����。另外,還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作����,構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟,為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅實的技術(shù)支撐�。
3.4 構(gòu)建專業(yè)防護(hù)人才隊伍
人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源,缺少專業(yè)性人才的支撐��,再好的信息安全防護(hù)體系也形同虛設(shè)�。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng)���,既要熟知信息安全防護(hù)技術(shù),也要對煙草企業(yè)生產(chǎn)全過程了然于胸�����,并熟知國家政策法規(guī)等制度�。因此,煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊伍����,要采取定期選送、校企聯(lián)訓(xùn)����、崗位培訓(xùn)等方式,充分挖掘內(nèi)部人力資源����,提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì),也要積極同病毒防護(hù)企業(yè)�����、專業(yè)院校和科研院所合作,引進(jìn)高素質(zhì)專業(yè)技術(shù)人才�,從而為企業(yè)更好地實現(xiàn)信息安全防護(hù)效果打下堅實的人才基礎(chǔ)。
3.5 提升員工安全防護(hù)意識
技術(shù)防護(hù)手段效果再好��,員工信息安全防護(hù)意識不佳�,系統(tǒng)也不能取得好的效果���。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心��,統(tǒng)一對企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn)�����,各部門����、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位���,負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況�����。賬號使用����、信息、權(quán)限確定等�����,都要置于信息管理培訓(xùn)中心的制約監(jiān)督下���,都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中����,杜絕違規(guī)使用網(wǎng)絡(luò)�����、肆意泄露信息等現(xiàn)象的發(fā)生����。對全體員工開展網(wǎng)絡(luò)安全教育,提升其網(wǎng)絡(luò)安全防護(hù)意識�,使其認(rèn)識到安全防護(hù)體系的重要性,從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡(luò)���。
4 結(jié) 語
煙草企業(yè)管理者必須清醒認(rèn)識到�����,利用信息網(wǎng)絡(luò)加快企業(yè)升級換代���、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向��、大勢所趨,絕不能因為網(wǎng)絡(luò)存在安全威脅而固步自封�����、拒絕進(jìn)步�。但也要關(guān)注信息化時代下網(wǎng)絡(luò)安全帶來的挑戰(zhàn),以實事求是的態(tài)度��,大力依托信息網(wǎng)絡(luò)安全技術(shù)��,構(gòu)建更為安全的防護(hù)體系�,為企業(yè)做大做強(qiáng)奠定堅實的基礎(chǔ)。
主要參考文獻(xiàn)
[1]楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究[J].計算機(jī)與信息技術(shù)�,2012(5).
第5篇
網(wǎng)絡(luò)安全威脅的主要來源。網(wǎng)絡(luò)安全的威脅是現(xiàn)代企業(yè)管理中經(jīng)常會遇到的安全性問題����,網(wǎng)絡(luò)安全的來源具有不同的渠道和類型。在傳統(tǒng)的理解中,網(wǎng)絡(luò)安全威脅主要是病毒感染����,但是,網(wǎng)絡(luò)技術(shù)不斷升級的情況下����,網(wǎng)絡(luò)安全更多的是對網(wǎng)絡(luò)的非法入侵,對網(wǎng)絡(luò)的攻擊和訪問��。在大型企業(yè)中�,網(wǎng)絡(luò)安全的來源既有內(nèi)網(wǎng)的威脅,也有外網(wǎng)的威脅�����,而內(nèi)網(wǎng)的威脅遠(yuǎn)比外網(wǎng)的威脅要大得多����,如果內(nèi)網(wǎng)遭到攻擊,那么��,對大型企業(yè)的危害則是深入的�。網(wǎng)絡(luò)的安全隱患主要包括病毒、木馬或者惡意軟件的侵襲��,網(wǎng)絡(luò)黑客的攻擊,文件或者郵件被非法竊聽與訪問��,重要部門的信息被訪問同時造成泄漏�����,外網(wǎng)的非法入侵��,備份數(shù)據(jù)和存儲媒體的損壞和丟失�。針對于企業(yè)網(wǎng)絡(luò)安全的認(rèn)知誤區(qū)。對網(wǎng)絡(luò)安全的認(rèn)知過程����,是網(wǎng)絡(luò)安全進(jìn)行威脅處理的重要思想基礎(chǔ)�����。在很多人都意識中�����,網(wǎng)絡(luò)安全不是特別重要的事情�����,甚至認(rèn)為只要是安裝了防火墻,或者安裝了防病毒的工具���,使用了加密技術(shù)或者對數(shù)據(jù)進(jìn)行了必要的保存����,就不會遭到網(wǎng)絡(luò)攻擊��,而實際上網(wǎng)絡(luò)安全威脅遠(yuǎn)比意識中的要嚴(yán)重和復(fù)雜的多���。例如防火墻的主要作用是用來控制兩個網(wǎng)絡(luò)之間的訪問����,它主要是限制互聯(lián)網(wǎng)之間的來往��,防火墻是隔離技術(shù)�����,在不同的網(wǎng)絡(luò)之間控制安全域信息的出入��。防火墻的主要工作就是控制存取和過濾封包���,對針對于工作性的措施進(jìn)行防范���。但是����,在網(wǎng)絡(luò)安全威脅中�,如果攻擊行為越過防火墻,防火墻就沒有多大的用處了�����。防火墻用于防止外部入侵���,而無法防止內(nèi)部入侵����。還有人認(rèn)為殺毒軟件很有作用�,殺毒軟件是防止病毒的入侵�����,對系統(tǒng)中的病毒進(jìn)行查殺���,但是��,在實際應(yīng)用中可以發(fā)展���,很多殺毒軟件的功能都落后于病毒的更新��,而且每一臺機(jī)器的殺毒軟件�,都是把重心集中在網(wǎng)絡(luò)防毒的系統(tǒng)管理上��。如果沒有網(wǎng)絡(luò)作為依托��,殺毒軟件就會失去單擊操作的能力��。
1大型企業(yè)網(wǎng)絡(luò)安全的設(shè)計
(1)大型企業(yè)網(wǎng)絡(luò)安全的主要需求�����。企業(yè)網(wǎng)絡(luò)安全的主要需求是根據(jù)具體業(yè)務(wù)的發(fā)展而確定的�����。以國家電網(wǎng)的電力企業(yè)為例���,在網(wǎng)絡(luò)安全上�����,需要建立具有Web和Mail等服務(wù)器和辦公區(qū)客戶機(jī)����,企業(yè)的各個部門之間能夠進(jìn)行相互的聯(lián)系,同樣�����,也要進(jìn)行必要的隔離��。大型企業(yè)網(wǎng)絡(luò)安全的設(shè)計中�,主要的需求就是對網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)規(guī)劃,對網(wǎng)絡(luò)系統(tǒng)的可用性進(jìn)行保護(hù)����,對網(wǎng)絡(luò)系統(tǒng)的服務(wù)設(shè)施連續(xù)性設(shè)計,防止網(wǎng)絡(luò)資源的非法訪問���,防止入侵者的惡意破壞,保護(hù)企業(yè)信息的機(jī)密性和完整性����,防范病毒的侵害,對網(wǎng)絡(luò)進(jìn)行安全管理����。以電力企業(yè)為例�����,對網(wǎng)絡(luò)安全的需要主要是對業(yè)務(wù)的辦理和系統(tǒng)的改造�����,要求企業(yè)的網(wǎng)絡(luò)具有穩(wěn)定性�,能夠保證各種信息的安全�,防止圖紙或者文檔的丟失。
(2)大型企業(yè)網(wǎng)絡(luò)設(shè)計的功能�。在企業(yè)的發(fā)展建設(shè)中,應(yīng)用計算機(jī)網(wǎng)絡(luò)進(jìn)行運(yùn)營控制����,提高了企業(yè)的經(jīng)營和管理效力,但是�����,因為技術(shù)性的原因��,也給網(wǎng)絡(luò)安全帶來的隱患。企業(yè)對于網(wǎng)絡(luò)設(shè)計的功能主要可以體現(xiàn)在企業(yè)要求最資源進(jìn)行共享�����。也就是說在網(wǎng)絡(luò)內(nèi)部企業(yè)的各個部門都能夠共享數(shù)據(jù)庫��,共享打印機(jī)���,形成辦公自動化的良好秩序����。對于大型企業(yè)而言�����,業(yè)務(wù)繁多���,辦公自動化非常重要�����,通過辦公自動化能夠形象高效率的工作方式���。在通信服務(wù)方面,通過廣域網(wǎng)能夠隨時接發(fā)郵件�����,實現(xiàn)Web應(yīng)用�����,同時��,接入互聯(lián)網(wǎng)實現(xiàn)網(wǎng)絡(luò)的訪問��,這樣可以使企業(yè)能夠隨時在網(wǎng)絡(luò)上進(jìn)行查詢���,能夠保證最新鮮資訊有明確的了解�����。
(3)大型企業(yè)網(wǎng)絡(luò)設(shè)計的原則�����。大型企業(yè)的網(wǎng)絡(luò)設(shè)計原則主要是以企業(yè)的運(yùn)行為基礎(chǔ)�����,以提高企業(yè)的運(yùn)行效率為根本���。在設(shè)計原則上需要掌握:第一�,應(yīng)用的便捷性���。網(wǎng)絡(luò)系統(tǒng)要以應(yīng)用為前提���,在實用性和經(jīng)濟(jì)方面具有絕對性優(yōu)勢,通過建立企業(yè)的網(wǎng)絡(luò)系統(tǒng)����,能夠把企業(yè)統(tǒng)一到一個資源共享的平臺。在資源利用上�,保持好良好的狀態(tài)。第二�����,技術(shù)的成熟性�����。網(wǎng)絡(luò)系統(tǒng)設(shè)計需要進(jìn)行不斷的更新�,以先進(jìn)的技術(shù)和方法����,引領(lǐng)網(wǎng)絡(luò)發(fā)展���。企業(yè)的運(yùn)行中,涉及的部門多�����,業(yè)務(wù)種類多���,這就要求網(wǎng)絡(luò)系統(tǒng)對設(shè)備和工具十分熟悉��,在網(wǎng)絡(luò)的支撐下�����,能夠完成各個部門的具體化工作��。第三����,系統(tǒng)的穩(wěn)定性���。大型企業(yè)依靠網(wǎng)絡(luò)進(jìn)行的工作很多�����,這就網(wǎng)絡(luò)系統(tǒng)一定要具有超高的穩(wěn)定性����,在技術(shù)措施上,系統(tǒng)管理中���,廠商技術(shù)中���,維修能力方面都要能夠隨時確保系統(tǒng)的運(yùn)行可靠性。如果網(wǎng)絡(luò)系統(tǒng)運(yùn)行不穩(wěn)定�,就會給整體企業(yè)的運(yùn)營帶來時時的危險性。例如大型電力企業(yè)中����,如果網(wǎng)絡(luò)不穩(wěn)定,就會造成數(shù)據(jù)采集不穩(wěn)定�����,就會給整體信息收集帶來不良后果����。
(4)具體應(yīng)用技術(shù)的實施����。在技術(shù)應(yīng)用上����,需要從網(wǎng)絡(luò)安全的內(nèi)部和外部進(jìn)行綜合控制����。在位置選擇上,需要選擇具有防震���、防風(fēng)和防雨功能的建筑物����,機(jī)房承重要求要滿足設(shè)計要求�,避免強(qiáng)磁場,強(qiáng)噪聲的環(huán)境��,避免重度污染的環(huán)境�����,避免容易發(fā)生火災(zāi)的環(huán)境。電力供應(yīng)方面要選擇穩(wěn)定的電壓�,設(shè)置電壓防護(hù)設(shè)備,能夠提供短期備用電的地方����。在電磁防護(hù)方面,采用接地方式防止外界干擾��,電線和通信線路要進(jìn)行必要的隔離��,防止二者之間相互干擾�。在訪問權(quán)限上實施控制策略,企業(yè)的決策層�����,財務(wù)層��,市場運(yùn)營管理和生產(chǎn)層���,都要進(jìn)行分級別的VPN設(shè)計�����,各個VPN層級要有明確的區(qū)分�����。
2大型企業(yè)網(wǎng)絡(luò)安全解決方案的實現(xiàn)
(1)確保網(wǎng)絡(luò)企業(yè)的物理安全����。網(wǎng)絡(luò)安全的前提和基礎(chǔ)性條件就是物理條件,在物理安全上���,要重視環(huán)境設(shè)置�����。在機(jī)房環(huán)境安全上,要將信息系統(tǒng)的計算機(jī)硬件���,網(wǎng)絡(luò)設(shè)施等進(jìn)行統(tǒng)一的管理���。防止自然災(zāi)害,物理性損壞和設(shè)備故障���,電磁輻射�,痕跡泄漏��,操作失誤,意外疏漏等����。在傳輸介質(zhì)的選擇上,要配有支持屏功能的連接器件���,介質(zhì)要具有良好的接地功能���,能夠?qū)Ω蓴_嚴(yán)重的區(qū)域使用屏蔽線,增強(qiáng)抗干擾能力�����。在傳輸介質(zhì)上���,光纖具有明顯的優(yōu)勢����。
(2)形成網(wǎng)絡(luò)防火墻的優(yōu)化配置���。網(wǎng)絡(luò)防護(hù)墻對于網(wǎng)絡(luò)安全是一項重要的技術(shù)類型�����,網(wǎng)絡(luò)防火墻在配置過程中要掌握好�,防火墻選擇的數(shù)碼類型,或者防火墻和VPN功能的結(jié)合�,在防火墻的設(shè)計上,確定好源域��,源地址對象�����,目的域��,目的地址對象��。防火墻要設(shè)置全局訪問策略����,在域內(nèi)或者域間進(jìn)行訪問����,內(nèi)部網(wǎng)絡(luò)為信任區(qū)域,外部網(wǎng)絡(luò)為不信任區(qū)域��。防火墻允許外部網(wǎng)絡(luò)訪問,但是不能進(jìn)行內(nèi)部訪問���,中間位置的訪問需要進(jìn)行權(quán)限設(shè)置��。網(wǎng)絡(luò)防火墻的優(yōu)化配置����,是形成網(wǎng)絡(luò)防護(hù)的重要方式���,網(wǎng)絡(luò)防火墻的設(shè)計對于網(wǎng)絡(luò)安全是重要的技術(shù)措施�。
(3)實現(xiàn)網(wǎng)絡(luò)VPN的準(zhǔn)確對接�����。在網(wǎng)絡(luò)技術(shù)不斷進(jìn)步的過程中���,對網(wǎng)絡(luò)安全解決的方案也逐漸進(jìn)行完善����。網(wǎng)絡(luò)安全需要建立多重防御體系�����,同時在商業(yè)及技術(shù)機(jī)密上,要做好多種防范措施�����。大型企業(yè)是國家經(jīng)濟(jì)建設(shè)的重要組成部分����,是創(chuàng)造經(jīng)濟(jì)效益和社會效益的集合體。網(wǎng)絡(luò)的VPN功能主要是通過防火墻實現(xiàn)�,在設(shè)計中主要是通過PPTP協(xié)議來是網(wǎng)絡(luò)VPN,因此�,首要的任務(wù)就是增加PPTP地址池,在PPTP設(shè)置中���,選擇Chap加密認(rèn)證�。
(4)構(gòu)建網(wǎng)絡(luò)防病毒多重體系����。網(wǎng)絡(luò)安全解決方案中防病毒體系的構(gòu)建至關(guān)重要。通過防病毒體系的構(gòu)建����,可以針對企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀進(jìn)行設(shè)計�����,通過建立多種防病毒方案,確保在簡單或者復(fù)雜的網(wǎng)絡(luò)環(huán)境下��,都能夠設(shè)計出適應(yīng)大型企業(yè)運(yùn)行情況的計算機(jī)病毒防護(hù)系統(tǒng)��,這種系統(tǒng)可以適應(yīng)多臺機(jī)器���,可以適用于多個服務(wù)器�,在不同的超大型網(wǎng)絡(luò)中�����,能夠具有先進(jìn)的系統(tǒng)結(jié)構(gòu)����,超強(qiáng)的殺毒能力,有效的遠(yuǎn)程控制力�����,可以方便進(jìn)行分級和分組管理���。
3結(jié)語
現(xiàn)代化的企業(yè)采用的方式也是現(xiàn)代化的���,現(xiàn)代化的技術(shù)具有明顯的優(yōu)勢�����,同時�����,也存在一定的弊端�����。網(wǎng)絡(luò)信息資源的共享�,為企業(yè)發(fā)展提供了智力支持���,但也給企業(yè)帶來了很多不安全的因素�。對于大型企業(yè)的網(wǎng)絡(luò)安全而言����,要從技術(shù)上和管理上進(jìn)行控制,通過有效的管理手段和升級化的技術(shù)���,突出技術(shù)與管理的融合�����,實現(xiàn)網(wǎng)絡(luò)安全的有效控制�����。
參考文獻(xiàn)
[1]彭長艷.空間網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].國防科學(xué)技術(shù)大學(xué)���,2010.
[2]阿萊.計算機(jī)網(wǎng)絡(luò)安全問題及解決策略初探[J].信息與電腦(理論版),2012.
[3]卜祥飛.大型企業(yè)網(wǎng)絡(luò)信息安全問題與解決方案[J].全國冶金自動化信息網(wǎng)2012年年會論文集����,2012.
[4]周未,張宏�����,李千目�����,郭萍.計算機(jī)與信息技術(shù)[J]��,2011.
第6篇
關(guān)鍵詞:企業(yè)�;網(wǎng)絡(luò)��;系統(tǒng)��;安全���;虛擬化;信息化
一����、 企業(yè)網(wǎng)的組成和所面臨的安全威脅
(一) 企業(yè)網(wǎng)的組成
企業(yè)網(wǎng)一般由兩個大的功能區(qū)域組成:企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)。我們可以邏輯上把這兩大區(qū)域進(jìn)一步劃分成若干個模塊����,企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊���、分布層模塊���、服務(wù)器模塊和邊界接入模塊五部分。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠(yuǎn)程接入模塊兩個部分���。不同模塊實現(xiàn)不同的功能���,各自的安全需要也有所不同, 需要實施相應(yīng)的安全策略���。模塊與模塊之間的安全策略相互影響、相互作用并互為補(bǔ)充��。典型的大型企業(yè)網(wǎng)絡(luò)架構(gòu)如下圖:
(二) 企業(yè)網(wǎng)面臨的安全威脅
1. 來自內(nèi)部用戶的安全威脅
大多數(shù)威脅來自于內(nèi)部網(wǎng)絡(luò), 如缺乏安全意識的員工��、心懷不滿的員工�、公司間諜等都是這類攻擊的來源����。
2. 來自外部網(wǎng)絡(luò)的安全威脅
隨著信息技術(shù)的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切。它們之間不可避免的需要通過網(wǎng)絡(luò)交換信息及共享資源����。同時, 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對外提供的公共服務(wù)器上的信息,由于信息資源的共享同時也給企業(yè)網(wǎng)的內(nèi)�����、外網(wǎng)安全帶來了一系列的挑戰(zhàn)�。
二、 企業(yè)內(nèi)網(wǎng)的安全設(shè)計
企業(yè)內(nèi)網(wǎng)包括管理模塊��、核心模塊、分布層模塊�、服務(wù)器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應(yīng)的安全措施, 以及與其它模塊之間的關(guān)系�。
(一) 管理模塊
管理模塊的主要功能是實現(xiàn)企業(yè)網(wǎng)絡(luò)的所有設(shè)備和服務(wù)器的安全管理。所面臨最主要的安全威脅有未授權(quán)接入�、口令攻擊、中間人攻擊等�,為了消除以上管理模塊面臨的安全威脅,應(yīng)采取以下的安全措施:
1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離,包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec����、SSH等加密傳輸。
2. 采用強(qiáng)力的認(rèn)證授權(quán)技術(shù)對管理信息進(jìn)行認(rèn)證和授權(quán)����,可以通過采用AAA認(rèn)證和雙因素認(rèn)證技術(shù), 保證只有合法的用戶才能管理相應(yīng)設(shè)備, 并能夠防止密碼泄漏和對密碼竊聽。
3. 采用完善的安全審計技術(shù)對整個網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)的運(yùn)行進(jìn)行記錄和分析��,可以通過對記錄的日志數(shù)據(jù)進(jìn)行分析���、比較���,找出發(fā)生的網(wǎng)絡(luò)安全問題的原因,并為今后網(wǎng)絡(luò)整改提供依據(jù)���。
4. 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)�,從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進(jìn)行實時的分析并及時發(fā)現(xiàn)可能的入侵行為。
由于管理模塊全網(wǎng)可達(dá), 且能夠?qū)θW(wǎng)的所有設(shè)備和服務(wù)器進(jìn)行管理��,所以它的安全防護(hù)策略應(yīng)該是全網(wǎng)最嚴(yán)格的����。
(二) 核心模塊
核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽�、功能區(qū)域劃分模糊和如何實現(xiàn)快速故障隔離��。當(dāng)多種應(yīng)用流量運(yùn)行在核心模塊時��,如何防止不同應(yīng)用流量被竊聽篡改���、如何對不同應(yīng)用區(qū)域進(jìn)行分類保護(hù)��、如何在核心模塊故障發(fā)生時進(jìn)行有效快速的故障隔離成了當(dāng)務(wù)之急��。
核心模塊的主要設(shè)備是三層交換機(jī), 三層交換架構(gòu)是消除分組竊聽威脅的有效手段��,而核心三層交換機(jī)的虛擬化技術(shù)則可以解決核心功能區(qū)域的精細(xì)劃分�、實現(xiàn)有效快速的隔離故障����,提高系統(tǒng)的可用性�����,防止級聯(lián)式的服務(wù)中斷�����。通過核心交換機(jī)的虛擬化技術(shù)還可實現(xiàn)交換機(jī)控制和管理平面的虛擬化����,在三層交換機(jī)上配置相應(yīng)的安全策略����,為多個應(yīng)用或部門的流量提供安全的網(wǎng)絡(luò)分區(qū),讓每個應(yīng)用或部門可以獨(dú)立管理和維護(hù)其各自的配置���。
(三) 分布層模塊
分布層模塊主要提供包括路由��、QoS和訪問控制�����。所面臨的主要安全威脅有未授權(quán)訪問����、欺騙、病毒和特洛伊木馬的應(yīng)用��。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應(yīng)采取以下的安全措施:
1. 針對二層網(wǎng)絡(luò)的安全威脅�,利用網(wǎng)絡(luò)設(shè)備本身的二層網(wǎng)絡(luò)安全性能,進(jìn)行二層網(wǎng)絡(luò)安全策略的部署�,如二層VLAN劃分、DHCP窺探保護(hù)�、動態(tài)ARP檢查、IP源地址保護(hù)等安全策略�。
2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務(wù)器上保密信息的機(jī)會,利用設(shè)備包過濾技術(shù)�,根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾,從而達(dá)到訪問控制的目的����。
3. 通過RFC2827過濾可有效防止源地址欺騙�����。
4. 部署防病毒系統(tǒng)�����,防止各個工作站感染病毒和特洛伊木馬的應(yīng)用。
5. 部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)�,通過在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),可以實現(xiàn)最大限度減少內(nèi)部網(wǎng)絡(luò)安全威脅�����,降低病毒和蠕蟲造成的停機(jī)時間��。
根據(jù)網(wǎng)絡(luò)規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達(dá)到減少硬件設(shè)備��,達(dá)到減少投資與節(jié)能等目的�。
(四) 服務(wù)器模塊
服務(wù)器模塊的主要目標(biāo)是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。所面臨的主要安全威脅有未授權(quán)訪問���、應(yīng)用層攻擊���、IP欺騙、分組竊聽和端口重定向等���。為了消除以上安全威脅,應(yīng)采取以下的安全措施:
1. 使用基于主機(jī)和網(wǎng)絡(luò)的IDS/IPS系統(tǒng)�����。
2. 在交換機(jī)上配置私有VLAN,實現(xiàn)對服務(wù)器的訪問限制, 限制對關(guān)健服務(wù)器的隨意訪問�。
3. 對服務(wù)器及時打上最新的補(bǔ)丁程序。
4. 對服務(wù)器區(qū)域(DMZ區(qū)域)進(jìn)行不同安全級別劃分�,通過對不同應(yīng)用的服務(wù)器進(jìn)行安全級別的劃分,并通過防火墻模塊進(jìn)行DMZ邏輯區(qū)域的隔離��,可以實現(xiàn)服務(wù)器故障的快速隔離和服務(wù)器間訪問的有效控制�。
5. 針對企業(yè)較為重要的郵件應(yīng)用服務(wù)器,可以單獨(dú)部署電子郵件安全產(chǎn)品��,從而減少與垃圾郵件����、病毒和其它各種威脅有關(guān)的宕機(jī),以求減輕技術(shù)人員的負(fù)擔(dān)��。
像分布層模塊一樣, 根據(jù)公司規(guī)模���、應(yīng)用性能及需求的不同, 服務(wù)器模塊可以與核心模塊相結(jié)合����。
(五) 邊界接入模塊
邊界接入模塊的目標(biāo)是在網(wǎng)絡(luò)邊緣集中來自各個接入網(wǎng)模塊的連接�����,信息流從邊界接入模塊過濾后路 由至至核心����。邊界接入模塊在整體功能方面和分布層模塊有些類似,都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能����。像服務(wù)器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。
在邊界接入模塊比較常見的安全措施為應(yīng)用流量觀察分析和安全網(wǎng)關(guān)�����。應(yīng)用流量觀察分析是通過部署流量控制設(shè)備��,使用其二至七層強(qiáng)大的應(yīng)用分析能力��,能夠第一時間獲得核心模塊和接入網(wǎng)模塊之間應(yīng)用流量能見度��,并以此為基礎(chǔ)在企業(yè)網(wǎng)絡(luò)中部署相應(yīng)的安全策略(比如限制病毒端口號�、限制特定內(nèi)網(wǎng)IP地址、限制特定MAC地址)�����。安全網(wǎng)關(guān)是通過采用專用的安全網(wǎng)關(guān)技術(shù)���,實現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾����,Web病毒掃描,間諜軟件防御�,HTTPS安全控制,防機(jī)密數(shù)據(jù)外泄等等安全功能����。
三、 企業(yè)接入網(wǎng)的安全設(shè)計
企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠(yuǎn)程接入模塊兩個部分組成�。以下分別闡述各個模塊的功能、面臨的安全威脅和相應(yīng)的安全措施���。
(一) 外網(wǎng)接入模塊
大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接�。外網(wǎng)包括企業(yè)分支網(wǎng)絡(luò)���、第三方接入網(wǎng)絡(luò)和互聯(lián)網(wǎng)�����。所面臨的主要安全威脅有未授權(quán)接入����、應(yīng)用層攻擊����、病毒和特洛伊木馬、拒絕服務(wù)攻擊等�����。主要防御措施有:
1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻�。防火墻應(yīng)分為兩組防護(hù), 一組用于企業(yè)網(wǎng)與分支機(jī)構(gòu)網(wǎng)絡(luò)的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接。防火墻為內(nèi)網(wǎng)的網(wǎng)絡(luò)資源提供保護(hù),從而確保只有合法信息流穿過防火墻�。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時可以使用目前先進(jìn)的“云火墻”技術(shù),該技術(shù)可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息���,實現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全����。
2. 使用防火墻的虛擬化技術(shù)�,將單一防火墻設(shè)備邏輯劃分為多個虛擬防火墻,每個防火墻有自己的策略且分別進(jìn)行管理�,可以實現(xiàn)不同區(qū)域模塊之間的安全控制和設(shè)備資源的高效利用。
3. 部署IDS/IPS入侵檢測/防御系統(tǒng)���,有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)���、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實時檢測來自外網(wǎng)的入侵行為��。
4. 建立統(tǒng)一的應(yīng)用服務(wù)器用于與其它分支網(wǎng)絡(luò)構(gòu)建統(tǒng)一接入平臺�����,應(yīng)用服務(wù)器作為所有應(yīng)用服務(wù)的, 通過進(jìn)行更嚴(yán)格的應(yīng)用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標(biāo)準(zhǔn)化和可擴(kuò)展性的提升�����。
5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡(luò)邊緣部署路由器�����,并通過在路由器入口進(jìn)行數(shù)據(jù)流的過濾�����,路由器對大多數(shù)攻擊提供了過濾器,同時進(jìn)行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應(yīng)丟棄‘碎片’的數(shù)據(jù)包���。對于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風(fēng)險是值得的。
(二) 遠(yuǎn)程接入模塊
遠(yuǎn)程接入模塊的主要目標(biāo)有三個:從遠(yuǎn)程用戶端接VPN信息流�����、為從遠(yuǎn)程站點(diǎn)VPN信息流提供一個集線器以及撥號用戶。遠(yuǎn)程接入模塊面臨的主要安全威脅有口令攻擊�����、未授權(quán)接入和中間人攻擊等�����。此模塊的核心要求是擁有三個獨(dú)立外部用戶服務(wù)驗證和端接�����,對于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡(luò)外的不可信源, 因此要為這三種服務(wù)的每一種提供一個防火墻上的獨(dú)立接口���。
1. 遠(yuǎn)程接入VPN,遠(yuǎn)程接入VPN推薦使用IPSec協(xié)議��。此服務(wù)的安全管理是通過將所有IPSec的安全參數(shù)從中央站點(diǎn)推向遠(yuǎn)程用戶實現(xiàn)的�����。
2. 撥號接入用戶�����,AAA和一次性口令服務(wù)器可用來驗證和提供口令。
3. 站點(diǎn)間VPN�����,與站點(diǎn)間連接相關(guān)的IP信息流在傳輸模式下由配置成GRE隧道來實現(xiàn)����。
以上來自三種服務(wù)的信息流應(yīng)集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為�。
四、 模塊之間的相互關(guān)系
采用模塊化設(shè)計時, 不是簡單地將網(wǎng)絡(luò)安全設(shè)計分解成各個孤立的模塊, 各模塊之間緊密聯(lián)系�����,其安全防護(hù)措施也直接影響到其它模塊的安全�。
管理模塊是整個網(wǎng)絡(luò)安全體系的核心、位于其它所有模塊的最頂層����。網(wǎng)絡(luò)安全體系的建立, 應(yīng)該首先建立管理模塊的安全結(jié)構(gòu)。它相對于其它模塊有著很大的獨(dú)立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎(chǔ)和前提��。
核心模塊�����、服務(wù)器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)。這三個模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅:分布層模塊提供了針對內(nèi)部發(fā)起攻擊的第一道防線�����;核心模塊的主要目標(biāo)是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設(shè)備本身的安全設(shè)置以及分布層模塊的安全防護(hù)����;服務(wù)器模塊往往會成為內(nèi)部攻擊的主要目標(biāo), 安全性除了自身的安全措施和分布層模塊的安全防護(hù)外, 嚴(yán)格的安全管理是極為重要的���。
邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶�。邊界接入模塊在外部接入網(wǎng)安全措施的基礎(chǔ)上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能����。
外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺。
模塊化的設(shè)計將復(fù)雜的大型網(wǎng)絡(luò)劃分為幾個相對簡單的模塊, 以模塊為基本單位構(gòu)筑整個網(wǎng)絡(luò)的安全體系結(jié)構(gòu)��。使用模塊化的網(wǎng)絡(luò)安全設(shè)計能夠很容易實現(xiàn)單個模塊的安全功能,并實現(xiàn)模塊與模塊間的安全關(guān)系,從而在整個企業(yè)網(wǎng)絡(luò)中形成分層次的縱深防御體系����。還能夠使設(shè)計者進(jìn)行逐個模塊的安全風(fēng)險評估和實施安全, 而非試圖在一個階段就完成整個體系結(jié)構(gòu)。
參考文獻(xiàn):
[1] 崔國慶. 計算機(jī)網(wǎng)絡(luò)安全技術(shù)與防護(hù)的研究?. 電腦知識與技術(shù)���,2009年9月.
第7篇
防火墻是網(wǎng)絡(luò)安全的基本防護(hù)設(shè)備���,其安全性受到了越來越多人的重視�,尤其是在當(dāng)前科技迅猛發(fā)展的環(huán)境下��,各企業(yè)也迅速的崛起�����,使得企業(yè)在網(wǎng)絡(luò)環(huán)境的推動下�,也面領(lǐng)著嚴(yán)峻的信息安全挑戰(zhàn)。在這種環(huán)境下�,人們對于防火墻的安全性要求也隨之提高。當(dāng)前���,企業(yè)的防火墻要實現(xiàn)安全設(shè)計��,還需要對企業(yè)的網(wǎng)絡(luò)安全進(jìn)行全方面的需求分析��,通過針對性的設(shè)計�,提高防火墻的實用性�、功能性、安全性����。
【關(guān)鍵詞】
防火墻�����;企業(yè)網(wǎng)絡(luò)安全設(shè)計�����;實現(xiàn)
1前言
計算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用��,為企業(yè)提供了更多的發(fā)展平臺與業(yè)務(wù)渠道�����,在一定程度上推動了企業(yè)的快速發(fā)展。但在網(wǎng)絡(luò)技術(shù)不斷普及的今天����,各種惡意攻擊、網(wǎng)絡(luò)病毒����、系統(tǒng)破壞也對企業(yè)的網(wǎng)絡(luò)安全造成了較大的傷害,不僅嚴(yán)重威脅到企業(yè)的信息安全��,而且給企業(yè)帶來較大的經(jīng)濟(jì)損失���,造成了企業(yè)形象的破壞�。因此,才需要使用防火墻技術(shù)�����,通過防火墻網(wǎng)絡(luò)技術(shù)的安全設(shè)計����,對各種病毒與網(wǎng)絡(luò)攻擊進(jìn)行抵御,維護(hù)企業(yè)的信息安全�����,促進(jìn)企業(yè)的健康穩(wěn)定發(fā)展��。
2防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計原則
在企業(yè)防火墻的網(wǎng)絡(luò)安全設(shè)計中應(yīng)該遵循一定的原則���,即:全面�、綜合性原則����,也就是企業(yè)的網(wǎng)絡(luò)安全體系設(shè)計,應(yīng)該從企業(yè)的整體出發(fā)�,對各項信息威脅進(jìn)行利弊權(quán)衡����,進(jìn)而制定出可行性的安全防護(hù)措施�����;簡易性原則���,主要是對于網(wǎng)絡(luò)安全設(shè)計���,既要保證其安全性,又要保證其操作簡便性�,以免系統(tǒng)過于復(fù)雜而造成維護(hù)上的阻礙;多重保護(hù)原則能夠在建立多重的網(wǎng)絡(luò)安全機(jī)制�,確保整個網(wǎng)絡(luò)環(huán)境安全��;可擴(kuò)充原則��,主要是指在網(wǎng)絡(luò)運(yùn)用過程中����,要隨著新變化的出現(xiàn),對于之前的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行升級與擴(kuò)充����;靈活性原則���,也就是防火墻的網(wǎng)絡(luò)安全設(shè)計方案,應(yīng)該結(jié)合企業(yè)自身網(wǎng)絡(luò)現(xiàn)狀及安全需求��,采用靈活����、使用的方式進(jìn)行設(shè)計;高效性原則���,也就是防火墻的網(wǎng)絡(luò)安全設(shè)計應(yīng)該確保投資與產(chǎn)出相符�����,通過安全性的設(shè)計解決方案�����,避免重復(fù)性的投資��,讓企業(yè)投入最少的項目資金����,獲得最大的收益,有效維護(hù)企業(yè)的安全[1]���。
3防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計
防火墻為服務(wù)器的中轉(zhuǎn)站��,能夠避免計算機(jī)用戶與互聯(lián)網(wǎng)進(jìn)行直接連接���,并對客戶端的請求加以及時地接收,創(chuàng)建服務(wù)其的連接���,并對服務(wù)器發(fā)出的信號相應(yīng)加以接受�,再通過系統(tǒng)將服務(wù)器響應(yīng)信號發(fā)送出去�����,并反饋與客戶端�����。
3.1防火墻加密設(shè)計
防火墻的加密技術(shù)����,是基于開放型的網(wǎng)絡(luò)信息采取的一種主動防范手段,通過對敏感數(shù)據(jù)的加密處理�、加密傳輸,確保企業(yè)信息的安全�。當(dāng)前的防火墻加密技術(shù)主要有非對稱秘鑰與對稱秘鑰兩種,這種數(shù)據(jù)加密技術(shù)��,主要是對明文的文件�����、數(shù)據(jù)等通過特定的某種算法加以處理��,成為一段不可讀的代碼�,維護(hù)數(shù)據(jù)信息的安全,以免企業(yè)的機(jī)密信息收到外界的攻擊[2]���。當(dāng)前的防火墻加密手段也可分為硬件加密與軟件加密����,其中硬件加密的效率較高��,且安全系數(shù)較高��,而軟件加密的成本相對來說較低�,使用性與靈活性也較強(qiáng)��,更換較為方便����。
3.2入侵檢測設(shè)計
入侵主要指的是外部用戶對于主機(jī)系統(tǒng)資源的非授權(quán)使用��,入侵行為能夠在一定程度上導(dǎo)致系統(tǒng)數(shù)據(jù)的損毀與丟失�,對于企業(yè)的信息安全與網(wǎng)絡(luò)安全會造成較大的威脅,甚至導(dǎo)致系統(tǒng)拒絕合法用戶的使用與服務(wù)�。在防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計中,應(yīng)該加強(qiáng)對入侵者檢測系統(tǒng)的重視���,對于入侵腳本��、程序自動命令等進(jìn)行有效識別�,通過敏感數(shù)據(jù)的訪問監(jiān)測�,對系統(tǒng)入侵者進(jìn)行行為分析,加強(qiáng)預(yù)警機(jī)制�����,檢測入侵者的惡意活動����,及時發(fā)現(xiàn)各種安全隱患并加以防護(hù)處理。
3.3身份認(rèn)證設(shè)計
身份認(rèn)證主要是對授權(quán)者的身份識別��,通過將實體身份與證據(jù)的綁定���,對實體如:用戶���、應(yīng)用程序、主機(jī)�����、進(jìn)行等加以信息安全維護(hù)�。通常,證據(jù)與實體身份間為一種對應(yīng)的關(guān)系�����,主要由實體方向提供相應(yīng)的證據(jù)�����,來證明自己的身份��,而防火墻的身份認(rèn)證則通相關(guān)的機(jī)制來對證據(jù)進(jìn)行驗證���,以確保實體身份與證據(jù)的一致性���。通過身份認(rèn)證�����,防火墻便能夠?qū)Ψ欠ㄓ脩襞c合法用戶加以識別���,進(jìn)而對非法用戶進(jìn)行訪問設(shè)置,維護(hù)主機(jī)系統(tǒng)的安全���。
3.4狀態(tài)檢測設(shè)計
訪問狀態(tài)檢測�,是控制技術(shù)的一種���,其關(guān)鍵性的任務(wù)就是確保企業(yè)的網(wǎng)絡(luò)資源不受非法使用與非法訪問�,是維護(hù)企業(yè)網(wǎng)絡(luò)安全的重要手段之一����。防火墻的訪問控制,一般可分為兩種類型:①系統(tǒng)訪問控制�����;②網(wǎng)絡(luò)訪問控制。其中���,網(wǎng)絡(luò)訪問控制主要是限制外部計算機(jī)對于主機(jī)網(wǎng)絡(luò)服務(wù)系統(tǒng)的訪問,以及控制網(wǎng)絡(luò)內(nèi)部用戶與外部計算機(jī)的訪問�。而系統(tǒng)訪問控制,主要是結(jié)合企業(yè)的實際管理需求�����,對不同的用戶賦予相應(yīng)的主機(jī)資源操作����、訪問權(quán)限。
3.5包過濾數(shù)據(jù)設(shè)計
數(shù)據(jù)包過濾型的防火墻主要是通過讀取相應(yīng)的數(shù)據(jù)包����,對一些信息數(shù)據(jù)進(jìn)行分析,進(jìn)而對該數(shù)據(jù)的安全性�����、可信度等加以判斷���,并以判斷結(jié)果作為依據(jù)��,來進(jìn)行數(shù)據(jù)的處理���。這在個過程中��,若相關(guān)數(shù)據(jù)包不能得到防火墻的信任�����,便無法進(jìn)入該網(wǎng)絡(luò)�。所以�,這種技術(shù)的實用性很強(qiáng),能夠在網(wǎng)絡(luò)環(huán)境下��,維護(hù)計算機(jī)網(wǎng)絡(luò)的安全�����,且操作便捷��,成本較低���。但需要注意的是�,該技術(shù)只能依據(jù)一些基本的信息數(shù)據(jù),來對信息安全性進(jìn)行判斷���,而對于應(yīng)用程序��、郵件病毒等不能起到抵制的作用���。包過濾防火墻通常需要在路由器上實現(xiàn),對用戶的定義內(nèi)容進(jìn)行過濾��,在網(wǎng)絡(luò)層�����、數(shù)據(jù)鏈路層中截獲數(shù)據(jù)����,并運(yùn)用一定的規(guī)則來確定是否丟棄或轉(zhuǎn)發(fā)各數(shù)據(jù)包����。要確保企業(yè)的網(wǎng)絡(luò)安全,需要對該種技術(shù)進(jìn)行充分的利用����,并適當(dāng)融入網(wǎng)絡(luò)地址翻譯,對外部攻擊者造成干擾��,維護(hù)網(wǎng)絡(luò)內(nèi)部環(huán)境與外部環(huán)境的安全。
4企業(yè)網(wǎng)絡(luò)安全中的實現(xiàn)
4.1強(qiáng)化網(wǎng)絡(luò)安全管理
用將防火墻技術(shù)應(yīng)用于企業(yè)的網(wǎng)絡(luò)安全中�����,還需要企業(yè)的信息管理人員對于本企業(yè)的實際業(yè)務(wù)��、工作流程�����、信息傳輸?shù)冗M(jìn)行深入的分析��,對本企業(yè)存在的信息安全加以風(fēng)險評估��,熟悉掌握本企業(yè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)�����,全民提高企業(yè)的信息安全����。另外,企業(yè)信息管理人員還需要對企業(yè)的網(wǎng)絡(luò)平臺架構(gòu)進(jìn)行明確掌握�����,對企業(yè)的未來業(yè)務(wù)發(fā)展加以合理的預(yù)測分析,進(jìn)而制定出科學(xué)合理的網(wǎng)絡(luò)信息安全策略�����。同時���,企業(yè)信息管理人員還需要對黑客攻擊方式與攻擊手段進(jìn)行了解�����,做好防止黑客入侵的措施。
4.2網(wǎng)絡(luò)安全需求分析
企業(yè)的網(wǎng)絡(luò)安全為動態(tài)過程�,其設(shè)方案需要結(jié)合自身的實際狀況加以靈活設(shè)計,進(jìn)而提高設(shè)計方案的適用性����、安全性,維護(hù)企業(yè)整個網(wǎng)絡(luò)的安全���。在對企業(yè)網(wǎng)絡(luò)需求進(jìn)行分析時����,還需要注重企業(yè)的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)訪問系統(tǒng)����、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)管理實際[3]�����。在應(yīng)用系統(tǒng)安全性設(shè)計中����,對于系統(tǒng)使用頻繁,提供服務(wù)資源的數(shù)據(jù)庫與服務(wù)器����,要在網(wǎng)絡(luò)環(huán)境下,確保其運(yùn)行安全�,以免疏導(dǎo)惡意攻擊與訪問;而對于網(wǎng)絡(luò)訪問設(shè)計應(yīng)具有一定的可控性���,具備相應(yīng)的認(rèn)證與授權(quán)功能����,對用戶的身份加以識別��,對敏感信息加以維護(hù),以免企業(yè)的核心系統(tǒng)遭到攻擊[4]�;網(wǎng)絡(luò)資源要確保其適用性,能夠承載企業(yè)的辦公自動化系統(tǒng)及各項業(yè)務(wù)的運(yùn)行使用�����,并保證網(wǎng)絡(luò)能夠不間斷地高效運(yùn)行����;同時,針對網(wǎng)絡(luò)管理�����,應(yīng)該具有可操作性�����,在安全日志與審計上進(jìn)行相關(guān)的信息記錄���,以免企業(yè)信息系統(tǒng)管理人員的日后維護(hù)。
4.3網(wǎng)絡(luò)安全策略的制定
要實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全����,還需要對企業(yè)的實際網(wǎng)絡(luò)安全需求進(jìn)行了解之后���,針對不同的信息資源,制定出相關(guān)的安全策略��,通過各種系統(tǒng)保密措施�、信息訪問加密措施、身份認(rèn)證措施等��,對企業(yè)信息資源維護(hù)人員相關(guān)的職責(zé)加以申請與劃分��,并對訪問審批流程加以明確��。最后��,還需要企業(yè)的信心管理人員對整個安全系統(tǒng)進(jìn)行監(jiān)控與審計�����,通過監(jiān)控系統(tǒng)的安全漏洞檢查��,對威脅信息系統(tǒng)安全的類型與來源進(jìn)行初步判斷�����,通過深入分析���,制定出完善是網(wǎng)絡(luò)安全防護(hù)策略[5]����。
5結(jié)束語
在互聯(lián)網(wǎng)環(huán)境下,信息資源的存儲量巨大��,運(yùn)行較為高效��,不僅為企業(yè)帶來了較大發(fā)展空間����,也使企業(yè)的信心安全面臨巨大的威脅。因此���,企業(yè)需要加強(qiáng)防火墻系統(tǒng)的建設(shè)�,提高對網(wǎng)絡(luò)安全系統(tǒng)的認(rèn)識�,通過有效措施,加強(qiáng)防火墻的安全設(shè)計���,構(gòu)建一個相對穩(wěn)定的網(wǎng)絡(luò)環(huán)境�����,維護(hù)企業(yè)的信息安全�,讓企業(yè)在可靠的信息網(wǎng)絡(luò)環(huán)境開發(fā)更多的客戶資源�,以尋得健康、穩(wěn)定�、持續(xù)的發(fā)展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻(xiàn)
[1]馬小雨.防火墻和IDS聯(lián)動技術(shù)在網(wǎng)絡(luò)安全管理中的有效應(yīng)用[J].現(xiàn)代電子技術(shù)���,2016(02):42~44.
[2]范沁春.企業(yè)網(wǎng)絡(luò)安全管理平臺的設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用����,2015(07):74+77.
[3]秦艷麗.試談防火墻構(gòu)建安全網(wǎng)絡(luò)[J].電腦編程技巧與維護(hù)��,2016(06):78~80.
第8篇
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò) 安全管理 維護(hù)
中圖分類號:TN915.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2012)12(a)-0024-01
隨著信息化技術(shù)的飛速發(fā)展�����,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力���,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出���。逐漸地使經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)依賴性增強(qiáng),計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)依賴性增強(qiáng)��。然而����,網(wǎng)絡(luò)的安全是伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生����,可以說�,有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。如病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件��,速度之快�����,范圍之廣����,已眾所周知。企業(yè)為阻止惡意軟件入侵攻擊�����、防止非法用戶通過網(wǎng)絡(luò)訪問和操作�、防止用戶郵件被非法截取或篡改等采取的安全措施,既保證企業(yè)數(shù)據(jù)安全���、網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定���,又防止非法入侵等問題才是企業(yè)網(wǎng)絡(luò)安全管理的重要內(nèi)容。
1 威脅信息安全的主要因素
1.1 軟件的內(nèi)在缺陷
這些缺陷不僅直接造成系統(tǒng)宕機(jī)�����,還會提供一些人為的惡意攻擊機(jī)會�����。對于某些操作系統(tǒng)���,相當(dāng)比例的惡意攻擊就是利用操作系統(tǒng)缺陷設(shè)計和展開的�����,一些病毒���、木馬也是盯住其破綻興風(fēng)作浪,由此造成的損失實難估量����。應(yīng)用軟件的缺陷也可能造成計算機(jī)信息系統(tǒng)的故障,降低系統(tǒng)安全性能。
1.2 惡意攻擊
攻擊的種類有多種�����,有的是對硬件設(shè)施的干擾或破壞�,有的是對應(yīng)用程序的攻擊,有的是對數(shù)據(jù)的攻擊����。對硬件設(shè)施的攻擊,可能會造成一次性或永久性故障或損壞����。對應(yīng)用程序的攻擊會導(dǎo)致系統(tǒng)運(yùn)行效率的下降,嚴(yán)重的會導(dǎo)致應(yīng)用異常甚至中斷�����。對數(shù)據(jù)的攻擊可破壞數(shù)據(jù)的有效性和完整性����,也可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用[1]�����。
1.3 管理不善
許多企業(yè)網(wǎng)絡(luò)都存在重建設(shè)、重技術(shù)����、輕管理的傾向。實踐證明���,安全管理制度不完善、人員安全風(fēng)險意識薄弱���,是網(wǎng)絡(luò)風(fēng)險的重要原因之一���。比如,網(wǎng)絡(luò)管理員配備不當(dāng)�、企業(yè)員工安全意識不強(qiáng)、用戶口令設(shè)置不合理等[2]��,都會給信息安全帶來嚴(yán)重威脅��。
1.4 網(wǎng)絡(luò)病毒的肆虐
只要上網(wǎng)便避免不了的受到病毒的侵襲����。一旦沾染病毒,就會通過各種途徑大面積傳播病毒�,就會造成企業(yè)的網(wǎng)絡(luò)性能急劇下降,還會造成很多重要數(shù)據(jù)的丟失,給企業(yè)帶來巨大的損失���。
1.5 自然災(zāi)害
對計算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的災(zāi)害主要有雷電���、鼠害、火災(zāi)���、水災(zāi)����、地震等各種自然災(zāi)害��。此外��,停電����、盜竊、違章施工也對計算機(jī)信息系統(tǒng)安全構(gòu)成現(xiàn)實威脅��。
2 完善網(wǎng)絡(luò)信息安全的管理機(jī)制
2.1 規(guī)范制度化企業(yè)網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)和信息安全管理真正納入安全生產(chǎn)管理體系�,并能夠得到有效運(yùn)作,就必須使這項工作制度化���、規(guī)范化����。要在企業(yè)網(wǎng)絡(luò)與信息安全管理工作中融入安全管理的思想,制定出相應(yīng)的管理制度����。
2.2 規(guī)范企業(yè)網(wǎng)絡(luò)管理員的行為
企業(yè)內(nèi)部網(wǎng)絡(luò)安全崗位的工作人員要周期性進(jìn)行輪換工作,在公司條件允許的情況下����,可以每項工作指派2~3人共同參與��,形成制約機(jī)制���。網(wǎng)絡(luò)管理員每天都要認(rèn)真查看日志��,通過日志來發(fā)現(xiàn)有無外來人員攻擊公司內(nèi)部網(wǎng)絡(luò)�,以便及時應(yīng)對����,采取相應(yīng)措施。
2.3 規(guī)范企業(yè)員工的上網(wǎng)行為
目前��,琳瑯滿目的網(wǎng)站及廣告鋪天蓋地,鼠標(biāo)一點(diǎn)��,就非常有可能進(jìn)入非法網(wǎng)頁���,普通電腦用戶無法分辯���,這就需要我們網(wǎng)管人員對網(wǎng)站進(jìn)行過濾,配置相應(yīng)的策略����,為企業(yè)提供健康的安全上網(wǎng)環(huán)境。為此�����,企業(yè)要制定規(guī)范����,規(guī)定員工的上網(wǎng)行為,如免費(fèi)軟件���、共享軟件等沒有充分安全保證的情況下盡量不要安裝���,同時����,還要培養(yǎng)企業(yè)員工的網(wǎng)絡(luò)安全意識��,注意移動硬件病毒的防范和查殺的問題��,增強(qiáng)計算機(jī)保護(hù)方面的知識�����。
2.4 加強(qiáng)企業(yè)員工的網(wǎng)絡(luò)安全培訓(xùn)
企業(yè)網(wǎng)絡(luò)安全的培訓(xùn)大致可以包括理論培訓(xùn)�����、產(chǎn)品培訓(xùn)�����、業(yè)務(wù)培訓(xùn)等����。通過培訓(xùn)可以有效解決企業(yè)的網(wǎng)絡(luò)安全問題�����,同時,還能減少企業(yè)進(jìn)行網(wǎng)絡(luò)安全修護(hù)的費(fèi)用����。
3 提高企業(yè)網(wǎng)絡(luò)安全的維護(hù)的措施
3. 1病毒的防范
在網(wǎng)絡(luò)環(huán)境下,病毒的傳播性���、破壞性及其變種能力都遠(yuǎn)遠(yuǎn)強(qiáng)于過去���,鑒于“熊貓燒香”、“灰鴿子”����、“機(jī)器狗”等病毒給太多的企業(yè)造成嚴(yán)重的損失,慘痛的教訓(xùn)告誡我們�����,選用一款適合于企業(yè)網(wǎng)的網(wǎng)絡(luò)版防病毒產(chǎn)品�����,是最有效的方法�。網(wǎng)絡(luò)版的產(chǎn)品具備統(tǒng)一管理、統(tǒng)一升級���、遠(yuǎn)程維護(hù)�����、統(tǒng)一查殺��、協(xié)助查殺等多種單機(jī)版不具備的功能�。有效緩解系統(tǒng)管理員在網(wǎng)絡(luò)防病毒方面的壓力。
3.2 合理配置防火墻
利用防火墻�����,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度�,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外����,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改����、移動甚至刪除網(wǎng)絡(luò)上的重要信息�。防火墻的配置需要網(wǎng)絡(luò)管理員對本單位網(wǎng)絡(luò)有較深程度的了解,在保證性能及可用性的基礎(chǔ)上���,制定出與本單位實際應(yīng)用較一致的防火墻策略���。
3.3 配置專業(yè)的網(wǎng)絡(luò)安全管理工具
這種類型的工具包括入侵檢測系統(tǒng)�、Web�����,Email�,BBS的安全監(jiān)測系統(tǒng)、漏洞掃描系統(tǒng)等���。這些系統(tǒng)的配備�����,可以讓系統(tǒng)管理員能夠集中處理網(wǎng)絡(luò)中發(fā)生的各類安全事件����,更高效�����、快捷的解決網(wǎng)絡(luò)中的安全問題。
3.4 提高使用人員的網(wǎng)絡(luò)安全意識和配備相關(guān)技術(shù)人員
企業(yè)網(wǎng)絡(luò)漏洞最多的機(jī)器往往不是服務(wù)器等專業(yè)設(shè)備����,而是用戶的終端機(jī)。因此�����,加強(qiáng)計算機(jī)系統(tǒng)使用人員的安全意識及相關(guān)技術(shù)是最有效����,但也是最難執(zhí)行的方面。這需要在企業(yè)信息管理專業(yè)人員�����,在終端使用人員網(wǎng)絡(luò)安全技術(shù)培訓(xùn)�、網(wǎng)絡(luò)安全意識宣傳等方面多下功夫。
3.5 保管數(shù)據(jù)安全
企業(yè)數(shù)據(jù)的安全是安全管理的重要環(huán)節(jié)���。特別是近年來�,隨著企業(yè)網(wǎng)絡(luò)系統(tǒng)的不斷完善��,各專業(yè)應(yīng)用如財務(wù)�、人事、營銷���、生產(chǎn)�����、OA����、物資等方方面面均已進(jìn)入信息系統(tǒng)的管理范圍�。系統(tǒng)數(shù)據(jù)一旦發(fā)生損壞與丟失,給企業(yè)帶來的影響是不可估計的���。任何硬件及軟件的防范都僅能提高系統(tǒng)可靠性�����,而不能杜絕系統(tǒng)災(zāi)難�。在這種情況下�,合理地制定系統(tǒng)數(shù)據(jù)保護(hù)策略,購置相應(yīng)設(shè)備��,做好數(shù)據(jù)備份與系統(tǒng)災(zāi)難的恢復(fù)預(yù)案�����,做好恢復(fù)預(yù)案的演練,是最有效的手段�����。
3.6 合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)
合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)���,可使用物理隔離裝置將重要的系統(tǒng)與常規(guī)網(wǎng)絡(luò)隔離開來���,是保障重要系統(tǒng)安全穩(wěn)定的最有效手段。
4 結(jié)語
總而言之���,企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是一項長期以來極具挑戰(zhàn)性的課題�����。它的發(fā)展往往伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展其自身也在不斷的更新和調(diào)整��。信息安全是一個企業(yè)賴以生存的基礎(chǔ)保障����,只有信息安全得到保障���,企業(yè)的網(wǎng)絡(luò)系統(tǒng)才有其存在的價值��。網(wǎng)絡(luò)安全是一項系統(tǒng)的工程����,需要我們綜合考慮很多實際的需求問題�,靈活運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)才能組建一個高效、穩(wěn)定����、安全的企業(yè)網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn)
