序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡(luò)安全評(píng)估樣本����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�����,請(qǐng)盡情閱讀�����。
第1篇
關(guān)鍵詞:中小型企業(yè)�;信息網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全架構(gòu)
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2104(2013)
1�、中小型企業(yè)網(wǎng)絡(luò)安全問題的研究背景
隨著企業(yè)信息化的推廣和計(jì)算機(jī)網(wǎng)絡(luò)的成熟和擴(kuò)大,企業(yè)的發(fā)展越來越離不開網(wǎng)絡(luò)����,而伴隨著企業(yè)對(duì)網(wǎng)絡(luò)的依賴性與日俱增,企業(yè)網(wǎng)絡(luò)的安全性問題越來越嚴(yán)重�,大量的入侵、蠕蟲����、木馬、后門��、拒絕服務(wù)��、垃圾郵件���、系統(tǒng)漏洞�����、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前����。近些年來頻繁出現(xiàn)在媒體報(bào)道中的網(wǎng)絡(luò)安全案例無疑是為我們敲響了警鐘���,在信息網(wǎng)絡(luò)越來越發(fā)達(dá)的今天����,企業(yè)要發(fā)展就必須重視自身網(wǎng)絡(luò)的安全問題���。網(wǎng)絡(luò)安全不僅關(guān)系到企業(yè)的發(fā)展��,甚至關(guān)乎到了企業(yè)的存亡�����。
2 ���、中小型企業(yè)網(wǎng)絡(luò)安全的主要問題
2.1什么是網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的一個(gè)通用定義:網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟、硬件設(shè)施及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)�,不會(huì)由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)����、可靠地正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷����。網(wǎng)絡(luò)安全從本質(zhì)上說就是網(wǎng)絡(luò)上的信息安全。廣義地說��,凡是涉及網(wǎng)絡(luò)上信息的保密性��、完整性�����、可用性����、真實(shí)性(抗抵賴性)和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全主要研究的領(lǐng)域����。
2.2網(wǎng)絡(luò)安全架構(gòu)的基本功能
網(wǎng)絡(luò)信息的保密性、完整性����、可用性��、真實(shí)性(抗抵賴性)和可控性又被稱為網(wǎng)絡(luò)安全目標(biāo)��,對(duì)于任何一個(gè)企業(yè)網(wǎng)絡(luò)來講����,都應(yīng)該實(shí)現(xiàn)這五個(gè)網(wǎng)絡(luò)安全基本目標(biāo)�����,這就需要企業(yè)的網(wǎng)絡(luò)應(yīng)用架構(gòu)具備防御�、監(jiān)測(cè)��、應(yīng)急���、恢復(fù)等基本功能���。
2.3中小型企業(yè)的主要網(wǎng)絡(luò)安全問題
中小型企業(yè)主要的網(wǎng)絡(luò)安全問題主要體現(xiàn)在3個(gè)方面.
1、木馬和病毒
計(jì)算機(jī)木馬和病毒是最常見的一類安全問題���。木馬和病毒會(huì)嚴(yán)重破壞企業(yè)業(yè)務(wù)的連續(xù)性和有效性��,某些木馬和病毒甚至能在片刻之間感染整個(gè)辦公場(chǎng)所從而導(dǎo)致企業(yè)業(yè)務(wù)徹底癱瘓����。與此同時(shí),公司員工也可能通過訪問惡意網(wǎng)站���、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式�����,在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡(luò)并進(jìn)行傳播��,進(jìn)而給企業(yè)造成巨大的經(jīng)濟(jì)損失��。由此可見��,網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點(diǎn)對(duì)蠕蟲�、病毒和間諜軟件進(jìn)行檢測(cè)和防范���。這里提到的每一點(diǎn)��,包括網(wǎng)絡(luò)的邊界位置以及內(nèi)部網(wǎng)絡(luò)環(huán)境�����。
2��、信息竊取
信息竊取是企業(yè)面臨的一個(gè)重大問題���,也可以說是企業(yè)最急需解決的問題�����。網(wǎng)絡(luò)黑客通過入侵企業(yè)網(wǎng)絡(luò)盜取企業(yè)信息和企業(yè)的客戶信息而牟利��。解決這一問題,僅僅靠在網(wǎng)絡(luò)邊緣位置加強(qiáng)防范還遠(yuǎn)遠(yuǎn)不夠����,因?yàn)楹诳涂赡軙?huì)伙同公司內(nèi)部人員(如員工或承包商)一起作案。信息竊取會(huì)對(duì)中小型企業(yè)的發(fā)展造成嚴(yán)重影響���,它不僅會(huì)破壞中小型企業(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系�。還會(huì)令企業(yè)陷入面臨負(fù)面報(bào)道���、政府罰金和法律訴訟等問題的困境����。
3、業(yè)務(wù)有效性
計(jì)算機(jī)木馬和病毒并不是威脅業(yè)務(wù)有效性的唯一因素��。隨著企業(yè)發(fā)展與網(wǎng)絡(luò)越來越密不可分�,網(wǎng)絡(luò)開始以破壞公司網(wǎng)站和電子商務(wù)運(yùn)行為威脅條件,對(duì)企業(yè)進(jìn)行敲詐勒索�����。其中����,以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊占用企業(yè)網(wǎng)絡(luò)的大量帶寬,使其無法正常處理用戶的服務(wù)請(qǐng)求����。而這一現(xiàn)象的結(jié)果是災(zāi)難性的:數(shù)據(jù)和訂單丟失,客戶請(qǐng)求被拒絕……同時(shí)�����,當(dāng)被攻擊的消息公之于眾后��,企業(yè)的聲譽(yù)也會(huì)隨之受到影響���。
3如何打造安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)
通過對(duì)中小型企業(yè)網(wǎng)絡(luò)存在的安全問題的分析��,同時(shí)考慮到中小型企業(yè)資金有限的情況�,我認(rèn)為打造一個(gè)安全的中小型企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)遵循以下的過程:首先要建立企業(yè)自己的網(wǎng)絡(luò)安全策略;其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境對(duì)企業(yè)可能存在的網(wǎng)絡(luò)隱患進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估�����,確定企業(yè)需要保護(hù)的重點(diǎn)��;最后選擇合適的設(shè)備����。
3.1建立網(wǎng)絡(luò)安全策略
一個(gè)企業(yè)的網(wǎng)絡(luò)絕不能簡簡單單的就定義為安全或者是不安全,每個(gè)企業(yè)在建立網(wǎng)絡(luò)安全體系的第一步應(yīng)該是定義安全策略���,該策略不會(huì)去指導(dǎo)如何獲得安全,而是將企業(yè)需要的應(yīng)用清單羅列出來���,再針對(duì)不同的信息級(jí)別給予安全等級(jí)定義�����。針對(duì)不同的信息安全級(jí)別和信息流的走向來給予不同的安全策略����,企業(yè)需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性�、可用性、可控性與可審查性��。對(duì)關(guān)鍵數(shù)據(jù)的防護(hù)要采取包括“進(jìn)不來�����、出不去�����、讀不懂���、改不了���、走不脫”的五不原則。
“五不原則”:
1.“進(jìn)不來”——可用性: 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)��,讓非法的用戶不能夠進(jìn)入企業(yè)網(wǎng)����。
2.“出不去”——可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式,讓企業(yè)網(wǎng)內(nèi)的商業(yè)機(jī)密不被泄密。
3.“讀不懂”——機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程����,讓未被授權(quán)的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數(shù)據(jù)不被未授權(quán)修改��。
5.“走不脫”——可審查性:對(duì)出現(xiàn)的安全問題提供依據(jù)與手段�����。
在“五不原則”的基礎(chǔ)上��,再針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的不同環(huán)節(jié)采取不同的策略����。
3.2 信息安全等級(jí)劃分
根據(jù)我國《信息安全等級(jí)保護(hù)管理辦法》,我國所有的企業(yè)都必須對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)��,對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督����、管理���。具體劃分情況如下:
第一級(jí)�����,信息系統(tǒng)受到破壞后�,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害�,但不損害國家安全、社會(huì)秩序和公共利益����。
第二級(jí),信息系統(tǒng)受到破壞后���,會(huì)對(duì)公民�、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害�����,或者對(duì)社會(huì)秩序和公共利益造成損害����,但不損害國家安全。
第三級(jí)����,信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國家安全造成損害�����。
第四級(jí)���,信息系統(tǒng)受到破壞后�����,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害�,或者對(duì)國家安全造成嚴(yán)重?fù)p害�����。
第五級(jí)�����,信息系統(tǒng)受到破壞后�,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。
因此��,中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)之前�����,都應(yīng)該根據(jù)《信息安全等級(jí)保護(hù)管理辦法》����,經(jīng)由相關(guān)部門確定企業(yè)的信息安全等級(jí),并依據(jù)界定的企業(yè)信息安全等級(jí)對(duì)企業(yè)可能存在的網(wǎng)絡(luò)安全問題進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估�����。
3.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
根據(jù)國家信息安全保護(hù)管理辦法,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)系統(tǒng)所存在的脆弱性�����,因人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的可能性影響����。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估就是指依據(jù)有關(guān)信息安全技術(shù)和管理標(biāo)準(zhǔn),對(duì)網(wǎng)絡(luò)系統(tǒng)的保密性�����、完整想���、可控性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程�����。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)的網(wǎng)絡(luò)安全意義重大���。首先���,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的基礎(chǔ)工作,它有利于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計(jì)以及明確網(wǎng)絡(luò)安全的保障需求�����;另外�����,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有利于網(wǎng)絡(luò)的安全防護(hù)����,使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡(luò)做到突出防護(hù)重點(diǎn),分級(jí)保護(hù)���。
3.4確定企業(yè)需要保護(hù)的重點(diǎn)
針對(duì)不同的企業(yè)�,其需要保護(hù)的網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)是不同的����。但是企業(yè)信息網(wǎng)絡(luò)中需要保護(hù)的重點(diǎn)在大體上是相同的����,我認(rèn)為主要包括以下幾點(diǎn):
1.要著重保護(hù)服務(wù)器��、存儲(chǔ)的安全����,較輕保護(hù)單機(jī)安全��。
企業(yè)的運(yùn)作中�����,信息是靈魂���,一般來說���,大量有用的信息都保存在服務(wù)器或者存儲(chǔ)設(shè)備上。在實(shí)際工作中�����,企業(yè)應(yīng)該要求員工把相關(guān)的資料存儲(chǔ)在企業(yè)服務(wù)器中。企業(yè)可以對(duì)服務(wù)器采取統(tǒng)一的安全策略�����,如果管理策略定義的好的話���,在服務(wù)器上文件的安全性比單機(jī)上要高的多�����。所以在安全管理中�����,企業(yè)應(yīng)該把管理的重心放到這些服務(wù)器中��,要采用一切必要的措施��,讓員工把信息存儲(chǔ)在文件服務(wù)器上��。在投資上也應(yīng)著重考慮企業(yè)服務(wù)器的防護(hù)��。
2.邊界防護(hù)是重點(diǎn)����。
當(dāng)然著重保護(hù)服務(wù)器、存儲(chǔ)設(shè)備的安全并不是說整體的防護(hù)并不需要�����,相反的邊界防護(hù)是網(wǎng)絡(luò)防護(hù)的重點(diǎn)�。網(wǎng)絡(luò)邊界是企業(yè)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線,對(duì)網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)�,首先必須明確到底哪些網(wǎng)絡(luò)邊界需要防護(hù)��,這可以通過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估來確定��。網(wǎng)絡(luò)邊界是一個(gè)網(wǎng)絡(luò)的重要組成部分����,負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量進(jìn)行最初及最后的過濾,對(duì)一些公共服務(wù)器區(qū)進(jìn)行保護(hù)����,VPN技術(shù)也是在網(wǎng)絡(luò)邊界設(shè)備建立和終結(jié)的,因此邊界安全的有效部署對(duì)整網(wǎng)安全意義重大��。
3.“”保護(hù)��。
企業(yè)還要注意到����,對(duì)于某些極其重要的部門�,要將其劃為����,例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡(luò)安全事件����,往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術(shù)或者干脆做到物理隔離���。
4.終端計(jì)算機(jī)的防護(hù)�。
最后作者還是要提到終端計(jì)算機(jī)的防護(hù)���,雖然對(duì)比服務(wù)器�����、存儲(chǔ)和邊界防護(hù)����,終端計(jì)算機(jī)的安全級(jí)別相對(duì)較低,但最基本的病毒防護(hù)�,和策略審計(jì)是必不可少的。
3.5選擇合適的網(wǎng)絡(luò)安全設(shè)備
企業(yè)應(yīng)該根據(jù)自身的需求和實(shí)際情況選擇適合的網(wǎng)絡(luò)安全設(shè)備�,并不是越貴越好,或者是越先進(jìn)越好��。在這里作者重點(diǎn)介紹一下邊界防護(hù)產(chǎn)品——防火墻的性能參數(shù)的實(shí)際應(yīng)用����。
作為網(wǎng)絡(luò)安全重要的一環(huán),防火墻是在任何整體網(wǎng)絡(luò)安全建設(shè)中都是不能缺少的主角之一�,并且?guī)缀跛械木W(wǎng)絡(luò)安全公司都會(huì)推出自己品牌的防火墻。在防火墻的參數(shù)中�,最??吹降氖遣l(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量兩個(gè)指標(biāo).
并發(fā)連接數(shù):是指防火墻或服務(wù)器對(duì)其業(yè)務(wù)信息流的處理能力����,是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目,它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力���,這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)����。由于計(jì)算機(jī)用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個(gè)臺(tái)計(jì)算機(jī)發(fā)生20個(gè)并發(fā)連接數(shù)計(jì)算(很多文章中提到一個(gè)經(jīng)驗(yàn)數(shù)據(jù)是15�,但這個(gè)數(shù)值在集中辦公的地方往往會(huì)出現(xiàn)不足),假設(shè)企業(yè)中的計(jì)算機(jī)用戶為500人����,這個(gè)企業(yè)需要的防火墻的并發(fā)連接數(shù)是:20*500*3/4=7500,也就是說在其他指標(biāo)符合的情況下�����,購買一臺(tái)并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了�����,如果再規(guī)范了終端用戶的瀏覽限制�,甚至可以更低。
網(wǎng)絡(luò)吞吐量:是指在沒有幀丟失的情況下�,設(shè)備能夠接受的最大速率。隨著Internet的日益普及���,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加���,一些企業(yè)也需要對(duì)外提供諸如WWW頁面瀏覽、FTP文件傳輸����、DNS域名解析等服務(wù)����,這些因素會(huì)導(dǎo)致網(wǎng)絡(luò)流量的急劇增加����,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小��,就會(huì)成為網(wǎng)絡(luò)瓶頸�����,給整個(gè)網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響��。因此��,考察防火墻的吞吐能力有助于企業(yè)更好的評(píng)價(jià)其性能表現(xiàn)��。這也是測(cè)量防火墻性能的重要指標(biāo)����。
吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡���,及程序算法的效率決定�����,尤其是程序算法�����,會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算����,通信量大打折扣。因此�����,大多數(shù)防火墻雖號(hào)稱100M防火墻�,由于其算法依靠軟件實(shí)現(xiàn),通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到100M,實(shí)際只有10M-20M��。純硬件防火墻��,由于采用硬件進(jìn)行運(yùn)算����,因此吞吐量可以達(dá)到線性90-95M,才是真正的100M防火墻����。
從實(shí)際情況來看�,中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因,一般選擇百兆防火墻就已經(jīng)足夠了��。
3.6投資回報(bào)率
在之前作者曾提到的中小企業(yè)的網(wǎng)絡(luò)特點(diǎn)中資金少是最重要的一個(gè)問題��。不論企業(yè)如何做安全策略以及劃分保護(hù)重點(diǎn)�����,最終都要落實(shí)到一個(gè)實(shí)際問題上——企業(yè)網(wǎng)絡(luò)安全的投資資金��。這里就涉及到了一個(gè)名詞——投資回報(bào)率�。在網(wǎng)絡(luò)安全的投資上,是看不到任何產(chǎn)出的����,那么網(wǎng)絡(luò)安全的投資回報(bào)率該如何計(jì)算呢?
首先,企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進(jìn)行WEB瀏覽時(shí)���,可能會(huì)違反公司網(wǎng)絡(luò)行為規(guī)范的概率?��?梢詫⑦@個(gè)概率稱為暴光值(exposure value (EV))�����。根據(jù)一些機(jī)構(gòu)對(duì)中小企業(yè)做的調(diào)查報(bào)告可知�,通常有25%—30%的員工會(huì)違反企業(yè)的使用策略,作者在此選擇25%作為計(jì)算安全投資回報(bào)率的暴光值�。那么,一個(gè)擁有100名員工的企業(yè)就有100x 25% = 25名違反者����。
下一步,必需確定一個(gè)因素——當(dāng)發(fā)現(xiàn)單一事件時(shí)將損失多少人民幣���?�?梢詫⑺Q為預(yù)期單一損失(single loss expectancy (SLE))�。由于公司中的100個(gè)員工都有可能會(huì)違反公司的使用規(guī)定�,因此,可以用這100個(gè)員工的平均小時(shí)工資作為每小時(shí)造成工作站停機(jī)的預(yù)期單一最小損失值��。例如���,作者在此可以用每小時(shí)10元人民幣作為預(yù)期單一最小損失值�����。然后�,企業(yè)需要確定在一周的工作時(shí)間之內(nèi),處理25名違規(guī)員工帶來的影響需要花費(fèi)多少時(shí)間�。這個(gè)時(shí)間可以用每周總工作量40小時(shí)乘以暴光值25%可以得出為10小時(shí)。這樣���,就可以按下列公式來計(jì)算單一預(yù)期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后�,企業(yè)要確定這樣的事情在一年中可能會(huì)發(fā)生多少次����。可以叫它為預(yù)期年均損失(annualized loss expectancy (ALE))�����。這樣的損失事件可能每一個(gè)星期都會(huì)發(fā)生����,一年有52周,如果除去我國的春節(jié)和十一黃金周的兩個(gè)假期����,這意味著一個(gè)企業(yè)在一年中可能會(huì)發(fā)生50次這樣的事件,可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))����。預(yù)期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預(yù)期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術(shù)防范措施的情況下�,內(nèi)部員工的違規(guī)網(wǎng)絡(luò)操作行為可能會(huì)給公司每年造成12.5萬元人民幣的損失。從這里就可以知道����,如果公司只需要花費(fèi)10000元人民幣來實(shí)施一個(gè)具體的網(wǎng)絡(luò)行為監(jiān)控解決方案,就可能讓企業(yè)每年減少12.5萬元人民幣的損失��,這個(gè)安全防范方案當(dāng)然是值得去做的���。
當(dāng)然��,事實(shí)卻并不是這么簡單的���。這是由于安全并不是某種安全技術(shù)就可以解決的,安全防范是一個(gè)持續(xù)過程�,其中必然會(huì)牽扯到人力和管理成本等因素。而且�����,任何一種安全技術(shù)或安全解決方案并不能保證絕對(duì)的安全,因?yàn)檫@是不可能完成的任務(wù)����。
就拿本例來說,實(shí)施這個(gè)網(wǎng)絡(luò)行為監(jiān)控方案之后����,能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為,也就是暴光值(EV)降低到2%就已經(jīng)相當(dāng)不錯(cuò)了����。而這,需要在此安全防范方案實(shí)施一段時(shí)間之后��,例如半年或一年��,企業(yè)才可能知道實(shí)施此安全方案后的最終效果�����,也就是此次安全投資的具體投資回報(bào)率是多少�。
有數(shù)據(jù)表明在國外,安全投入一般占企業(yè)基礎(chǔ)投入的5%~20%�����,在國內(nèi)一般很少超過2%,而網(wǎng)絡(luò)安全事件不論在國內(nèi)外都層出不窮��,企業(yè)可能在安全方面投入了很多�,但是仍然頻頻發(fā)生網(wǎng)絡(luò)安全事故�����。很多企業(yè)的高層管理者對(duì)于這個(gè)問題都比較頭疼��。其實(shí)網(wǎng)絡(luò)安全理論中著名的木桶理論���,很好的解釋了這種現(xiàn)象�����。企業(yè)在信息安全方面的預(yù)算不夠進(jìn)而導(dǎo)致了投資報(bào)酬不成比例��,另外很多企業(yè)每年在安全產(chǎn)品上投入大量資金��,但是卻不關(guān)注內(nèi)部人員的考察��、安全產(chǎn)品有效性的審核等安全要素���。缺乏系統(tǒng)的�、科學(xué)的管理體系的支持�,也是導(dǎo)致這種結(jié)果產(chǎn)生的原因。
第2篇
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)���;安全�;病毒�����;物理
在現(xiàn)代企業(yè)的生存與發(fā)展過程中�,企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護(hù)是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進(jìn)展��,但過去企業(yè)網(wǎng)絡(luò)處于一個(gè)封閉或者是半封閉的狀態(tài)���,只需簡單的防護(hù)設(shè)備和防護(hù)方案即可保證其安全性�����。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài)���,這種時(shí)空的無限制性和準(zhǔn)入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素���,自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅。因此�����,企業(yè)網(wǎng)絡(luò)安全防護(hù)一個(gè)永無止境的過程��,對(duì)其進(jìn)行研究無論是對(duì)于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用��,還是對(duì)于企業(yè)的持續(xù)發(fā)展�����,都具有重要的意義��。
1企業(yè)網(wǎng)絡(luò)安全問題分析
基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運(yùn)行維護(hù)條件�,目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個(gè)方面�����。
1.1網(wǎng)絡(luò)設(shè)備安全問題
企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器��、網(wǎng)絡(luò)交換機(jī)�、個(gè)人電腦����、備用電源等硬件設(shè)備��,時(shí)常會(huì)發(fā)生安全問題����,而這些設(shè)備一旦產(chǎn)生安全事故很有可能會(huì)泄露企業(yè)的機(jī)密信息,進(jìn)而給企業(yè)帶來不可估量經(jīng)濟(jì)損失���。以某企業(yè)為例���,該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行����、容量低,在長時(shí)間停電的情況下�,很容易由于蓄電池的電量耗盡而導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)的停運(yùn)。當(dāng)然��,除了電源問題外��,服務(wù)器�����、交換機(jī)也存在諸多安全隱患。
1.2服務(wù)器操作系統(tǒng)安全問題
隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展����,對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng)�,由于這些操作系統(tǒng)存在安全漏洞,自然會(huì)降低服務(wù)器的安全防御指數(shù)��。加上異常端口���、未使用端口以及不規(guī)范的高權(quán)限賬號(hào)管理等問題的存在,在不同程度上增加了服務(wù)器的安全威脅�。
1.3訪問控制問題
企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的,以某企業(yè)為例����,該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為,但未限制存在安全隱患的上網(wǎng)活動(dòng)��。同時(shí)對(duì)于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認(rèn)證及無線網(wǎng)絡(luò)訪問節(jié)點(diǎn)安全檢查���,任何電腦都可在信號(hào)區(qū)內(nèi)接入到無線網(wǎng)絡(luò)��。
2企業(yè)網(wǎng)絡(luò)安全防護(hù)方案
基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題����,可以針對(duì)性的提出以下綜合性的安全防護(hù)方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能。
2.1網(wǎng)絡(luò)設(shè)備安全方案
企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個(gè)企業(yè)網(wǎng)絡(luò)安全的基本前提���,為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)�����,可采取以下具體措施�。首先�,合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強(qiáng)��、傳輸頻帶寬���、傳輸誤碼率低的傳輸介質(zhì)����,例如屏蔽式雙絞線�����、光纖等。其次是保證供電的安全可靠�����。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對(duì)交流電源的生產(chǎn)質(zhì)量���、供電連續(xù)性�����、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求��,這就要求對(duì)企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進(jìn)行優(yōu)化����。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例���,為了徹底解決傳統(tǒng)電源供給不足問題,可以更換為大容量的蓄電池組���,并安裝固定式發(fā)電機(jī)組����,進(jìn)而保證在長時(shí)間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電,避免因?yàn)閿嚯姸鴮?dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生����。
2.2服務(wù)器系統(tǒng)安全方案
企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要,然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的����,需要從多個(gè)層面來構(gòu)建安全防護(hù)方案。
2.2.1操作系統(tǒng)漏洞安全
目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主�����,該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點(diǎn)對(duì)象��,除了采取常規(guī)的更新Windows系統(tǒng)���、安裝系統(tǒng)補(bǔ)丁外����,還應(yīng)針對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器及個(gè)人電腦的操作系統(tǒng)使用實(shí)際情況���,實(shí)施專門的漏洞掃描和檢測(cè)���,并根據(jù)掃描結(jié)果做出科學(xué)�、客觀���、全面的安全評(píng)估��,如圖1所示�����,將證書授權(quán)入侵檢測(cè)系統(tǒng)部署在核心交換機(jī)的監(jiān)控端口��,并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)���,以此來檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測(cè)系統(tǒng)
2.2.2Windows端口安全
在Windows系統(tǒng)中�����,端口是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道����,一般一臺(tái)服務(wù)器會(huì)綁定多個(gè)IP�����,而這些IP又通過多個(gè)端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力,這種多個(gè)端口的對(duì)外開放在一定程度反而增加了安全威脅因素���。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運(yùn)行路徑來看���,大多數(shù)都要通過服務(wù)器TCP/UDP端口,可充分這一點(diǎn)來預(yù)防各種網(wǎng)絡(luò)攻擊�����,只需通過命令或端口管理軟件來實(shí)現(xiàn)系統(tǒng)端口的控制管理即可���。
2.2.3Internet信息服務(wù)安全
Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的����,可通過諸多措施來提高Internet信息服務(wù)安全�。(1)基于IP地址實(shí)現(xiàn)訪問控制。通過對(duì)IIS配置����,可實(shí)現(xiàn)對(duì)來訪IP地址的檢測(cè),進(jìn)而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計(jì)算機(jī)的訪問站點(diǎn)��。(2)在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS��,IIS就會(huì)具備非法訪問屬性����,給非法用戶侵入系統(tǒng)分區(qū)提供便利,因此����,在非系統(tǒng)分區(qū)上安全I(xiàn)IS服務(wù)器較為科學(xué)。(3)NTFS文件系統(tǒng)的應(yīng)用�����。NTFS文件系統(tǒng)具有文件及目錄管理功能���,服務(wù)器Windows2000的安全機(jī)制是基于NTFS文件系統(tǒng)的�,因此Windows2000安裝時(shí)選用NTFS文件系統(tǒng)�,安全性能更高。(4)服務(wù)端口號(hào)的修改����。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問提供了諸多便捷,但會(huì)降低安全性�����,更容易受到基于端口程序漏洞的服務(wù)器攻擊����,因此,通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性��。
2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案
2.3.1強(qiáng)化網(wǎng)絡(luò)設(shè)備安全
強(qiáng)化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施�,具體包含以下措施。(1)網(wǎng)絡(luò)設(shè)備運(yùn)行安全�。對(duì)各設(shè)備、各端口運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控能有效發(fā)現(xiàn)各種異常��,進(jìn)而預(yù)防各種安全威脅�����。一般可通過可視化管理軟件的應(yīng)用來實(shí)現(xiàn)上述目標(biāo)��,例如What’supGold能實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控�����,而SolarWindsNetworkPerformancemonitor可實(shí)現(xiàn)對(duì)各個(gè)端口流量的實(shí)時(shí)監(jiān)控�。(2)網(wǎng)絡(luò)設(shè)備登錄安全���。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù),對(duì)于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名����,用戶名級(jí)別設(shè)置的一級(jí),該級(jí)別用戶只具備讀權(quán)限��,一般用于console�、遠(yuǎn)程telnet登錄等需求。除此之外���,還可設(shè)置一個(gè)單獨(dú)的super密碼���,只有擁有super密碼的管理員才有資格對(duì)核心交換機(jī)實(shí)施相關(guān)配置設(shè)置。(3)無線AP安全��。一般在企業(yè)內(nèi)部有多個(gè)無線AP設(shè)備��,應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個(gè)較為復(fù)雜的高級(jí)秘鑰����,從而確保無線接入網(wǎng)的安全性。
2.3.2細(xì)分網(wǎng)絡(luò)安全區(qū)域
目前���,廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個(gè)嚴(yán)重缺陷就是當(dāng)其中各個(gè)局域網(wǎng)存在ARP病毒時(shí)���,未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng)�����,同時(shí)還可能泄露重要信息。為了解決這種問題����,可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行細(xì)分,即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個(gè)網(wǎng)段�����,在每個(gè)網(wǎng)段均有不同的vlan����,從而保證安全性。
2.3.3加強(qiáng)通問控制
針對(duì)企業(yè)各個(gè)部門對(duì)網(wǎng)絡(luò)資源的需求���,在通問控制時(shí)需要注意以下幾點(diǎn):對(duì)內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對(duì)口部門互通��;對(duì)內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離�����;體驗(yàn)區(qū)只能訪問互聯(lián)網(wǎng)��,不能訪問辦公網(wǎng)����。以上功能的實(shí)現(xiàn),可在核心路由器和防火墻上共同配合完成��。
作者:李常福 單位:鄭州市中心醫(yī)院
第3篇
【關(guān)鍵詞】信息安全���;安全技術(shù)�;防范措施
1����、前言
隨著社會(huì)和經(jīng)濟(jì)的高度信息化、網(wǎng)絡(luò)化�����,現(xiàn)代企業(yè)的生產(chǎn)����、管理���、銷售已經(jīng)和網(wǎng)絡(luò)密不可分,許多企業(yè)只重視利用網(wǎng)絡(luò)抓生產(chǎn)��、促銷售�,在全面發(fā)掘網(wǎng)絡(luò)帶來經(jīng)濟(jì)效益的同時(shí)忽略對(duì)自身企業(yè)網(wǎng)絡(luò)信息安全防范的建設(shè),一旦發(fā)生網(wǎng)絡(luò)信息安全問題��,往往追悔莫及����,保障企業(yè)網(wǎng)絡(luò)信息的安全可控��,采取有效的防范措施是每個(gè)現(xiàn)代企業(yè)面臨的嚴(yán)峻問題����。
2、網(wǎng)絡(luò)信息安全概述
對(duì)網(wǎng)絡(luò)信息安全定義有多種說法�����,本人傾向于網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的軟件�����、硬件及系統(tǒng)數(shù)據(jù)受到保護(hù),不受意外的或惡意的原因而遭到破壞����、更改、泄露�����,保持系統(tǒng)連續(xù)可靠正常地運(yùn)行����,網(wǎng)絡(luò)服務(wù)不中斷。做好企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)安全首先要有良好的網(wǎng)絡(luò)信息安全防范意識(shí)��,提高網(wǎng)絡(luò)信息系統(tǒng)軟���、硬件技術(shù)保障水平�、建立完善的網(wǎng)絡(luò)信息系統(tǒng)管理制度開展工作�����。
2.1影響網(wǎng)絡(luò)信息安全的因素
影響網(wǎng)絡(luò)信息安全的主要因素主要分為以下四大類�。
2.1.1網(wǎng)絡(luò)信息系統(tǒng)的脆弱性。網(wǎng)絡(luò)信息系統(tǒng)的脆弱性包括了操作系統(tǒng)的脆弱性,信息系統(tǒng)本身的漏洞�����、后門�,硬件系統(tǒng)的故障和天災(zāi)人禍等,這些脆弱性使得網(wǎng)絡(luò)信息安全受到攻擊成為可能���。
2.1.2缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)����、手段���、工具和產(chǎn)品��。企業(yè)在利用網(wǎng)絡(luò)信息開展生產(chǎn)、管理的同時(shí)往往缺乏安全防范意識(shí)�,認(rèn)為只要系統(tǒng)不出問題就說明沒事,對(duì)保障網(wǎng)絡(luò)安全系統(tǒng)安全的必要網(wǎng)絡(luò)安全技術(shù)產(chǎn)品不愿投入資金建設(shè)����,從而造成網(wǎng)絡(luò)信息系統(tǒng)的中重大安全隱患。
2.1.3缺乏正確安全策略和管理監(jiān)督制度���。主要體現(xiàn)在部分企業(yè)認(rèn)為只要購買了昂貴的網(wǎng)絡(luò)安全產(chǎn)品就萬事大吉了���,缺乏正確的安全策略和管理監(jiān)督制度�,再好的產(chǎn)品也是需要員工按規(guī)定來操作和執(zhí)行��,沒有管理監(jiān)督制度和正確的安全策略�,網(wǎng)絡(luò)信息安全就無從談起。
2.1.4缺乏完善的網(wǎng)絡(luò)信息系統(tǒng)恢復(fù)��、備份技術(shù)手段���。主要體現(xiàn)在缺乏對(duì)網(wǎng)絡(luò)信息安全重要性的評(píng)估�,對(duì)網(wǎng)絡(luò)信息受到受到攻擊��、意外事件造成崩潰后缺乏網(wǎng)絡(luò)信息系統(tǒng)的恢復(fù)����、備份技術(shù)和工具,造成網(wǎng)絡(luò)信息系統(tǒng)恢復(fù)的不可逆性���。
3��、網(wǎng)絡(luò)信息安全防范策略
3.1采取有效的網(wǎng)絡(luò)安全技術(shù)手段和措施
3.1.1采取有效身份認(rèn)證技術(shù)���。采取有效的身份認(rèn)證技術(shù)可對(duì)具備合法信息的用戶進(jìn)行確認(rèn)���,同時(shí)根據(jù)用戶信息對(duì)授權(quán)進(jìn)行判定,給予不同的網(wǎng)絡(luò)信息操作權(quán)限�����,常用的身份認(rèn)證技術(shù)主要有信息認(rèn)證�����、密鑰認(rèn)證�����、用戶認(rèn)證等�����。
3.1.2防火墻技術(shù)�����。防火墻主要由服務(wù)訪問政策��、驗(yàn)證工具����、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成,防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間��,它是一種計(jì)算機(jī)硬件防火墻件和軟件的結(jié)合����,在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān),通過鑒別限制或者更改越過防火墻的各種數(shù)據(jù)流���,防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問����,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入�。
3.1.3防病毒技術(shù)。選擇先進(jìn)的反病毒產(chǎn)品���,并定期進(jìn)行更新�����,在防病毒技術(shù)上針對(duì)企業(yè)的用戶數(shù)以服務(wù)器為基礎(chǔ)�����,提供實(shí)時(shí)掃描病毒能力����,確保反病毒產(chǎn)品能夠部署到企業(yè)的每個(gè)工作站。確保企業(yè)所有的網(wǎng)絡(luò)終端都能夠部署到�����。
3.1.4入侵的檢測(cè)技術(shù)���。入侵檢測(cè)系統(tǒng)能自動(dòng)實(shí)時(shí)的入侵檢測(cè)和響應(yīng)系統(tǒng)���。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動(dòng)檢測(cè)和響應(yīng)可疑的行為,在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部誤用�����,有效彌補(bǔ)防火墻技術(shù)對(duì)內(nèi)部網(wǎng)絡(luò)存在的非法活動(dòng)監(jiān)控的能力的不足����,從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。
3.1.5漏洞的掃描技術(shù)�����。通過采取漏洞掃描�,及時(shí),準(zhǔn)確的發(fā)現(xiàn)自身網(wǎng)絡(luò)信息安全存在的漏洞和問題���,有利于系統(tǒng)管理員采取應(yīng)對(duì)措施�,封堵網(wǎng)絡(luò)信息系統(tǒng)存在的漏洞和安全隱患��,從而有效保障網(wǎng)絡(luò)信息安全�����,確保業(yè)務(wù)系統(tǒng)安全的運(yùn)行�����。目前漏洞掃描主要分為ping掃描��、端口掃描�����、OS探測(cè)���、脆弱點(diǎn)探測(cè)�、防火墻掃描五種主要技術(shù)。
3.1.6加密技術(shù)���。通過對(duì)企業(yè)的網(wǎng)絡(luò)信息安全進(jìn)行加密��,確保網(wǎng)絡(luò)信息在使用和傳輸過程中的安全性����,加密算法主要分為堆成加密算法和非對(duì)稱加密算法兩類����,并由此衍生出加密狗、加密軟件等各類產(chǎn)品���。
3.1.7對(duì)有特殊安全要求的網(wǎng)絡(luò)建立與互聯(lián)網(wǎng)隔離�。一些特殊產(chǎn)品的生產(chǎn)管理網(wǎng)絡(luò)根據(jù)其安全的密級(jí)要求實(shí)行和互聯(lián)網(wǎng)絡(luò)隔離���,確需聯(lián)絡(luò)的需采取單向光閘等措施保證其安全性�����。
3.2建立完善的網(wǎng)絡(luò)信息安全的管理制度和安全應(yīng)對(duì)策略�。據(jù)統(tǒng)計(jì),70%以上的信息安全威脅來自于企業(yè)內(nèi)部的員工��,沒有一套完善的網(wǎng)絡(luò)信息安全管理制度來實(shí)現(xiàn)對(duì)信息系統(tǒng)使用人員的管理���,再出色的安全技術(shù)手段和產(chǎn)品也無法發(fā)揮作用,通過制度對(duì)人的行為進(jìn)行規(guī)范�����,從而確保網(wǎng)絡(luò)信息安全落到實(shí)處���。
3.3采取有效的備份�����、恢復(fù)措施�。對(duì)企業(yè)自身的網(wǎng)絡(luò)信息系統(tǒng)做好安全等級(jí)保護(hù)評(píng)測(cè)����、安全風(fēng)險(xiǎn)評(píng)估工作,針對(duì)評(píng)估情況采取對(duì)應(yīng)的災(zāi)難備份及恢復(fù)措施���,對(duì)重要的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)采取包括對(duì)軟件部分���、硬件以及傳輸線路的備份����,在有條件的情況下應(yīng)采取異地雙線路雙系統(tǒng)備份的方法���,從而最大程度降低自然災(zāi)害對(duì)網(wǎng)絡(luò)信息安全造成的破壞���。
4、結(jié)束語
隨著信息產(chǎn)業(yè)化的不斷深入���,網(wǎng)絡(luò)信息安全問題日益凸顯�,企業(yè)應(yīng)提高自身的網(wǎng)絡(luò)信息安全防范意識(shí)����,在享受網(wǎng)絡(luò)信息化帶來的便利同時(shí)加強(qiáng)企業(yè)自身的網(wǎng)絡(luò)與信息安全管理,采取有效的技術(shù)措施��,建立完善�、高效的網(wǎng)絡(luò)信息安全管理制度,從而將企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)降到最低��。
參考文獻(xiàn)
[1]陳震.我國信息與通信網(wǎng)建設(shè)安全問題初探[J].科學(xué)之友,2010年24期
第4篇
關(guān)鍵詞 電力企業(yè)�;網(wǎng)絡(luò)信息安全;防范措施
中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2012)73-0192-02
隨著信息系統(tǒng)與網(wǎng)絡(luò)的快速發(fā)展����,電力企業(yè)作為關(guān)乎國計(jì)民生的基礎(chǔ)行業(yè),企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)已基本在網(wǎng)絡(luò)流轉(zhuǎn)��,企業(yè)對(duì)信息系統(tǒng)產(chǎn)生了巨大的依賴性��。但是����,企業(yè)在享受著信息系統(tǒng)所帶來巨大經(jīng)濟(jì)效益的同時(shí)��,也面臨著高風(fēng)險(xiǎn)����。一旦出現(xiàn)信息泄密或篡改數(shù)據(jù)的情況,將為國家造成難以估量的損失�。尤其是近幾年,全球范圍內(nèi)的病毒泛濫�、黑客入侵、計(jì)算機(jī)犯罪等問題���,信息安全防范已成重中之重���。因此���,企業(yè)必須重新面對(duì)當(dāng)前的安全問題,從中找到行之有效的防范措施�。
1 電力企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析
1.1 網(wǎng)絡(luò)安全措施不到位
電力數(shù)據(jù)網(wǎng)絡(luò)信息化在電力系統(tǒng)中的應(yīng)用已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。電力數(shù)據(jù)網(wǎng)需要同時(shí)承載著實(shí)時(shí)�����、準(zhǔn)實(shí)時(shí)控制業(yè)務(wù)及管理信息業(yè)務(wù)���,電力生產(chǎn)����、經(jīng)營很多環(huán)節(jié)完全依賴電力信息網(wǎng)的正常運(yùn)行與否�,隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展,網(wǎng)絡(luò)犯罪不斷增加��,電力企業(yè)雖然已初步建立了網(wǎng)絡(luò)安全措施�,但企業(yè)網(wǎng)絡(luò)信息安全仍存在很多的安全隱患,職工安全意識(shí)�、數(shù)據(jù)傳輸加密���、身份認(rèn)證、訪問控制����、防病毒系統(tǒng)、人員的管理等方面需要進(jìn)一步加強(qiáng)��,在整個(gè)電力信息網(wǎng)絡(luò)中����,很多單位之間的網(wǎng)絡(luò)安全是不平衡的,主要是雖然網(wǎng)絡(luò)利用率較高�����,但信息的安全問題較多����,主要是安全級(jí)別較低的業(yè)務(wù)與安全��,沒有對(duì)網(wǎng)絡(luò)安全做長遠(yuǎn)�����、統(tǒng)一的規(guī)劃,網(wǎng)絡(luò)中還存在很多問題����。
1.2 職工安全意識(shí)有待加強(qiáng)
目前國內(nèi)電力企業(yè)職工的安全意識(shí)參差不齊,相較之下���,年輕的職工和管理人員其安全意識(shí)較高�����,中年以上的職工和一線職工仍然缺乏必要的安全意識(shí)��,主要是工作年齡����、所受教育�、工作后的信息安全培訓(xùn)程度,從事的工作性質(zhì)的原因造成的���,這就為網(wǎng)絡(luò)安全留下了隱患�����,加強(qiáng)電力企業(yè)信息安全的培訓(xùn)����,全方位提高職工網(wǎng)絡(luò)信息安全意識(shí),避免信息安全防護(hù)工作出現(xiàn)高低不均的情況�。
1.3 內(nèi)部的網(wǎng)絡(luò)威脅仍然存在
在這個(gè)科技技術(shù)日益發(fā)展的時(shí)代,網(wǎng)絡(luò)信息的安全工作越來越重要��,由此電力企業(yè)根據(jù)目前的狀況出臺(tái)了相關(guān)的網(wǎng)絡(luò)安全規(guī)章制度���,以保證其信息安全��,但內(nèi)部的網(wǎng)絡(luò)威脅仍然存在����,而且對(duì)管理人員的有效管理依然缺乏��。如:辦公計(jì)算機(jī)仍存在內(nèi)外網(wǎng)混用情況�����、內(nèi)外網(wǎng)邏輯隔離強(qiáng)度不夠��、企業(yè)內(nèi)網(wǎng)安全隔離相對(duì)薄弱等情況�����,如果其中的一些漏洞被非法分子所利用�,那么,電力企業(yè)的信息安全會(huì)受到嚴(yán)重的威脅���,并會(huì)對(duì)電力企業(yè)的生產(chǎn)以及經(jīng)營帶來很大的困難����。
2 電力企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,電力企業(yè)信息系統(tǒng)越來越復(fù)雜��,信息資源越來越龐大�����,不管是操作系統(tǒng)還是應(yīng)用軟件����,都存在系統(tǒng)漏洞等安全風(fēng)險(xiǎn),保證電力企業(yè)信息安全最重要的是保證信息數(shù)據(jù)的安全�����,目前電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的主要隱患主要存在于以下幾個(gè)方面�����。
2.1 惡意入侵
計(jì)算機(jī)系統(tǒng)本身并不具有一定的防御性,其通信設(shè)備也較為脆弱�����,因此���,計(jì)算機(jī)網(wǎng)絡(luò)中的潛在威脅對(duì)計(jì)算機(jī)來說是十分危險(xiǎn)的����。尤其是現(xiàn)在的信息網(wǎng)絡(luò)公開化��、信息利用自由化��,這也造成了一些秘密的信息資源被共享�����,而這些信息也容易被不法分子所利用����。而有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行惡意入侵進(jìn)行非法操作����,危機(jī)網(wǎng)絡(luò)系統(tǒng)的安全���,惡意入侵其實(shí)是由四個(gè)步驟構(gòu)成的:首先掃描IP地址,尋找存活主機(jī)���;然后確定IP地址���,掃描主機(jī)端口和漏洞;接著通過漏洞和開放端口放置后門程序�����;最后通過客戶端程序?qū)嵤┻h(yuǎn)程控制����。由于系統(tǒng)被入侵,電力企業(yè)信息泄露會(huì)造成不良后果�����,更嚴(yán)重的是系統(tǒng)被惡意控制���,不但會(huì)給電力企業(yè)本身造成嚴(yán)重的后果���,還會(huì)給社會(huì)和用戶帶來重大的損失����。
2.2 網(wǎng)絡(luò)病毒的傳播
計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)來說是最普遍的一種威脅����,伴隨著因特網(wǎng)的發(fā)展,各個(gè)企業(yè)開始創(chuàng)建或發(fā)展企業(yè)網(wǎng)絡(luò)應(yīng)用��,這無形也增加了病毒感染的可能性��,病毒的危害十分巨大�����,它是通過數(shù)據(jù)的傳輸來傳播的��,其能夠?qū)τ?jì)算機(jī)的軟硬件造成破壞����,同時(shí)它還能夠進(jìn)行自我復(fù)制,因此�����,一旦感染了病毒�,其危害性是十分巨大的。
2.3 惡意網(wǎng)頁的破壞
網(wǎng)絡(luò)共享性與開放性使得人人都可以在互聯(lián)網(wǎng)上所取和存放信息�����,由于信息的傳遞和反饋快速靈敏�,網(wǎng)絡(luò)資源的社會(huì)性和共享性,電力企業(yè)職工都在不斷地點(diǎn)擊各種網(wǎng)頁�,并在網(wǎng)絡(luò)中尋找他們所需要的資源,網(wǎng)頁中的病毒是掛靠在網(wǎng)頁上的一種木馬病毒����,它的實(shí)質(zhì)是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網(wǎng)頁病毒。當(dāng)用戶瀏覽過含有病毒的網(wǎng)站時(shí)����,病毒會(huì)在無形中被激活,并通過因特網(wǎng)進(jìn)如用戶的計(jì)算機(jī)系統(tǒng)�����,當(dāng)病毒進(jìn)入計(jì)算機(jī)后會(huì)迅速的自我復(fù)制并到處傳播病毒��,使得用戶的計(jì)算機(jī)系統(tǒng)崩潰,嚴(yán)重的會(huì)將用戶的系統(tǒng)徹底格式化��。
2.4 信息傳遞的安全不容忽視
在電力企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中���,信息傳輸基本上是明文方式或采用低安全級(jí)別的加密進(jìn)行傳輸����,當(dāng)這些企業(yè)信息在網(wǎng)絡(luò)上傳輸時(shí)���,其安全性就不能得到足夠的保障�,不具備網(wǎng)絡(luò)信息安全所要求的機(jī)密性��、數(shù)據(jù)完整性和身份認(rèn)證����。
2.5 軟件源代碼不能獨(dú)立控制的隱患
目前電力企業(yè)辦公計(jì)算機(jī)、企業(yè)級(jí)服務(wù)器的操作系統(tǒng)以及使用的信息系統(tǒng)軟件因?yàn)槭墙^大部分都是商業(yè)性質(zhì)的�����,所以其源代碼是不公開的��,這就代表著軟件的核心技術(shù)是被對(duì)方掌握的�,其漏洞卻大量存在��,雖然有系統(tǒng)補(bǔ)丁或者軟件升級(jí)�����,但其未公開、未被發(fā)現(xiàn)的漏洞對(duì)信息安全來說確實(shí)巨大的隱患�����。
第5篇
【論文摘要】 在網(wǎng)絡(luò)攻擊手段日益增多��,攻擊頻率日益增高的背景下��,為了確保企業(yè)的信息資源���、生產(chǎn)數(shù)據(jù)資料的安全保密��,解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患�。需要一種靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)相結(jié)合的安全解決方案����,即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系。包括防病毒技術(shù)�;防火墻技術(shù)�;入侵檢測(cè)技術(shù)���;網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù)��;漏洞掃描安全評(píng)估技術(shù)�;主機(jī)訪問控制等�����。
信息技術(shù)正以其廣泛的滲透性和無與倫比的先進(jìn)性與傳統(tǒng)產(chǎn)業(yè)結(jié)合����,隨著Internet網(wǎng)絡(luò)的飛速發(fā)展,使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響越來越大�。企業(yè)的辦公自動(dòng)化、生產(chǎn)業(yè)務(wù)系統(tǒng)及電子商務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)的依賴性尤其突出���,但病毒及黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的惡意入侵使企業(yè)的信息網(wǎng)絡(luò)系統(tǒng)面臨著強(qiáng)大的生存壓力��,網(wǎng)絡(luò)安全問題變得越來越重要��。
企業(yè)網(wǎng)絡(luò)安全主要來自以下幾個(gè)方面:①來自INTERNET的安全問題��;②來自外部網(wǎng)絡(luò)的安全威脅�����;③來自內(nèi)部網(wǎng)絡(luò)的安全威脅�。
針對(duì)以上安全威脅,為了確保企業(yè)的信息資源�����、生產(chǎn)數(shù)據(jù)資料的安全保密��,解決企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患����,本文介紹一種靜態(tài)技術(shù)和動(dòng)態(tài)技術(shù)相結(jié)合的安全解決方案�����,即在網(wǎng)絡(luò)中的各個(gè)部分采取多種安全防范技術(shù)來構(gòu)筑企業(yè)網(wǎng)絡(luò)整體安全體系:①防病毒技術(shù)�����;②防火墻技術(shù)��;③入侵檢測(cè)技術(shù)�����;④網(wǎng)絡(luò)性能監(jiān)控及故障分析技術(shù);⑤漏洞掃描安全評(píng)估技術(shù)��;⑥主機(jī)訪問控制�。
一、防病毒技術(shù)
對(duì)于企業(yè)網(wǎng)絡(luò)及網(wǎng)內(nèi)大量的計(jì)算機(jī)�,各種病毒更是防不勝防,如宏病毒和變形病毒���。徹底清除病毒��,必須采用多層的病毒防護(hù)體系�����。企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)采用多層的病毒防衛(wèi)體系和層次化的管理結(jié)構(gòu)�,即在企業(yè)信息中心設(shè)防病毒控制臺(tái)�,通過該控制臺(tái)控制各二級(jí)網(wǎng)絡(luò)中各個(gè)服務(wù)器和工作站的防病毒策略,監(jiān)督整個(gè)網(wǎng)絡(luò)系統(tǒng)的防病毒軟件配置和運(yùn)行情況�����,并且能夠進(jìn)行相應(yīng)策略的統(tǒng)一調(diào)整和管理:在較大的下屬子公司設(shè)置防病毒服務(wù)器��,負(fù)責(zé)防病毒策略的設(shè)置、病毒代碼分發(fā)等工作���。其中信息中心控制臺(tái)作為中央控制臺(tái)負(fù)責(zé)控制各分控制臺(tái)的防病毒策略�����,采集網(wǎng)絡(luò)中所有客戶端防毒軟件的運(yùn)行狀態(tài)和配置參數(shù)�,對(duì)客戶端實(shí)施分組管理等�����。管理員可以通過管理員客戶端遠(yuǎn)程登錄到網(wǎng)絡(luò)中的所有管理服務(wù)器上��,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的管理���。根據(jù)需要各個(gè)管理服務(wù)器還可以由專門的區(qū)域管理員管理。管理服務(wù)器負(fù)責(zé)收集網(wǎng)絡(luò)中的客戶端的實(shí)時(shí)信息����, 分發(fā)管理員制定的防毒安全策略等。
配套軟件:冠群金辰KILL6.0�����。KILL采用服務(wù)器/客戶端構(gòu)架,實(shí)時(shí)保護(hù)Windows NT/Windows 2000��、Unix�、Linux、NetWare��、Windows95/98�、Windows3.X、DOS工作站���、Lotus Notes 和 Microsoft Exchange 群件系統(tǒng)的服務(wù)器及Internet網(wǎng)關(guān)服務(wù)器�,防止各種引導(dǎo)型病毒�、文件型病毒、宏病毒�、傳播速度快且破壞性很大的蠕蟲病毒進(jìn)入企業(yè)內(nèi)部網(wǎng),阻止不懷好意的Java��、ActiveX小程序等攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)��。它通過全方位的網(wǎng)絡(luò)管理�����、多種報(bào)警機(jī)制、完整的病毒報(bào)告�����、支持遠(yuǎn)程服務(wù)器�、軟件自動(dòng)分發(fā),幫助管理員更好的實(shí)施網(wǎng)絡(luò)防病毒工作���。
二�����、防火墻技術(shù)
防火墻是一種形象的說法, 其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合, 使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway), 從而抵御網(wǎng)絡(luò)外部安全威脅����,保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入���,它是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(局域網(wǎng)或城域網(wǎng))隔開的屏障,控制客戶機(jī)和真實(shí)服務(wù)器之間的通訊�,主要包括以下幾方面的功能:①隔離不信任網(wǎng)段間的直接通訊;②拒絕非法訪問��;③系統(tǒng)認(rèn)證��;④日志功能���。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置防火墻后�����,可以有效防止非法訪問�����,保護(hù)重要主機(jī)上的數(shù)據(jù)�,提高網(wǎng)絡(luò)的安全性。
配套軟件:NetScreen���。NetScreen是唯一把防火墻�����、負(fù)載均衡及流量控制結(jié)合起來���,且提供100M的線速性能的軟硬件相結(jié)合的產(chǎn)品,在Internet出口����、撥號(hào)接入入口、企業(yè)關(guān)鍵服務(wù)器的前端及與電信、聯(lián)通的連接出口處增設(shè)NetScreen-100f防火墻���,可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)與外界的安全隔離����,保護(hù)企業(yè)的關(guān)鍵信息�。
三、入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(IDS)是一種為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?��,F(xiàn)象的技術(shù)��,是對(duì)防火墻的必要補(bǔ)充�����,它可以對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)����,及時(shí)發(fā)現(xiàn)惡意入侵者或識(shí)別出對(duì)計(jì)算機(jī)的非法訪問行為��,并對(duì)其進(jìn)行隔離�,并能收集可以用來訴訟的犯罪證據(jù)��。
配套軟件: eTrust Intrusion Detection(Sessionwall-3)。利用基于網(wǎng)絡(luò)的eTrust Intrusion Detection建立入侵檢測(cè)系統(tǒng)來保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性��。
首先����,信息管理中心設(shè)立整個(gè)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制中心。通過該控制臺(tái)����,管理員能夠?qū)ζ渌W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)控和配置。在該機(jī)器上安裝集中控制的eID中央控制臺(tái)模塊�、eID日志服務(wù)器模塊和eID日志瀏覽器模塊,使所有eTrust Intrusion Detection監(jiān)控工作站處于集中控制之下����,該安全主控臺(tái)也被用于集中管理所有的主機(jī)保護(hù)系統(tǒng)軟件。
其次��,在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監(jiān)控工作站����,重點(diǎn)解決與Internet的邊界安全問題,在這些工作站上安裝軟件��,包括eID基本模塊���、eID模塊和日志數(shù)據(jù)庫客戶端�。
四、網(wǎng)絡(luò)性能監(jiān)控及故障分析
性能監(jiān)控和故障分析就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)����。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面,它自動(dòng)接收著來自網(wǎng)絡(luò)的各種信息����,通過對(duì)這些數(shù)據(jù)的分析,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況��,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題��。
配套軟件——NAI Sniffer��。NAI Sniffer 是一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測(cè)工具���,它可以幫助用戶快速診斷網(wǎng)絡(luò)故障原因��,并提出具體的解決辦法�。在信息中心安裝這樣的工具�����,用于對(duì)網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控,而且無論全網(wǎng)任何地方發(fā)生問題時(shí)��,都可以利用它及時(shí)診斷并排除故障����。
五���、網(wǎng)絡(luò)系統(tǒng)的安全評(píng)估
網(wǎng)絡(luò)安全性之所以這么低的一個(gè)主要原因就是系統(tǒng)漏洞�����。譬如管理漏洞�����、軟件漏洞��、結(jié)構(gòu)漏洞���、信任漏洞。采用安全掃描技術(shù)與防火墻��、安全監(jiān)控系統(tǒng)互相配合來檢測(cè)系統(tǒng)安全漏洞���。
網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺(tái)與網(wǎng)絡(luò)有連接的主機(jī)上���。系統(tǒng)中配有一個(gè)信息庫��,其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)����。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)絡(luò)上的其他主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包���,觀察被掃描的設(shè)備是否存在與信息庫中記錄的內(nèi)容相匹配的安全漏洞���。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置�����、防火墻配置�、網(wǎng)路設(shè)備配置以及應(yīng)用系統(tǒng)等。
網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面:①速度���。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)�����;②網(wǎng)絡(luò)拓?fù)?����。通過GUI的圖形界面��,可選擇一個(gè)或某些區(qū)域的設(shè)備�;③能夠發(fā)現(xiàn)的漏洞數(shù)量�;④是否支持可定制的攻擊方法;⑤掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告�����。⑥更新周期���。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級(jí)��,并給出相應(yīng)的改進(jìn)建議�。
通過網(wǎng)絡(luò)掃描���,系統(tǒng)管理員可以及時(shí)發(fā)現(xiàn)網(wǎng)路中存在的安全隱患�,并加以必要的修補(bǔ)�,從而減小網(wǎng)絡(luò)被攻擊的可能����。
配套軟件:Symantec Enterprise Security Manger 5.5�����。
六�、主機(jī)防護(hù)系統(tǒng)
在一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境中,大部分信息是以文件���、數(shù)據(jù)庫的形式存放在服務(wù)器中的�����。在信息中心���,使用WWW、Mail�����、文件服務(wù)器��、數(shù)據(jù)庫服務(wù)器來對(duì)內(nèi)部、外部用戶提供信息�����。但無論是UNIX還是Windows 9X/NT/2K����,都存在著這樣和那樣的安全薄弱環(huán)節(jié),存放在這些機(jī)器上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)存在著被破壞和竊取的風(fēng)險(xiǎn)�����。因此�,對(duì)主機(jī)防護(hù)提出了專門的需求���。
配套軟件:CA eTrust Access��。eTrust Access Control在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層�����。通過從核心層截取文件訪問控制�,以加強(qiáng)操作系統(tǒng)安全性���。它具有完整的用戶認(rèn)證���,訪問控制及審計(jì)的功能�����,采用集中式管理�����,克服了分布式系統(tǒng)在管理上的許多問題���。
通過eTrust Access Control,我們可以集中維護(hù)多臺(tái)異構(gòu)平臺(tái)的用戶�、組合安全策略,以簡化安全管理工作����。
通過以上幾種安全措施的實(shí)施,從系統(tǒng)級(jí)安全到桌面級(jí)安全��,從靜態(tài)訪問控制到動(dòng)態(tài)入侵檢測(cè)主要層面:方案覆蓋網(wǎng)絡(luò)安全的事前弱點(diǎn)漏洞分析修正�����、事中入侵行為監(jiān)控響應(yīng)和事后信息監(jiān)控取證的全過程,從而全面解決企業(yè)的信息安全問題��,使企業(yè)網(wǎng)絡(luò)避免來自內(nèi)外部的攻擊��,防止病毒對(duì)主機(jī)的侵害和在網(wǎng)絡(luò)中的傳播�����。使整個(gè)網(wǎng)絡(luò)的安全水平有很大程度的提高���。
【參考文獻(xiàn)】
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全���;風(fēng)險(xiǎn)評(píng)估;安全措施
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注��,列舉的近年來的網(wǎng)絡(luò)突發(fā)事件��,不難發(fā)現(xiàn)�,強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估意識(shí)���、強(qiáng)化信息安全保障為當(dāng)務(wù)之急��。所謂風(fēng)險(xiǎn)評(píng)估���,是指網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)���,它的原理是,根據(jù)已知的安全漏洞知識(shí)庫��,對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查�。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)���。完成一個(gè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)施并不足以代表該信息安全事務(wù)的完結(jié)���。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn)�����,以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變���,信息安全工作人員要不斷地評(píng)估當(dāng)前的安全威脅����,并不斷對(duì)當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知�����。
2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀
2.1 風(fēng)險(xiǎn)評(píng)估的必要性
有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ),但有了安全產(chǎn)品���,不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)�。產(chǎn)品是沒有生命的��,需要人來管理與維護(hù)����,這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入����,時(shí)時(shí)伺機(jī)進(jìn)攻。這就更要求對(duì)安全產(chǎn)品及時(shí)升級(jí)��,不斷完善����,實(shí)時(shí)檢測(cè)�����,不斷補(bǔ)漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的�,它需要合適的安全體系和合理的安全產(chǎn)品組合,需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃���、設(shè)計(jì)和實(shí)施一定的安全策略�。通常���,在一個(gè)企業(yè)中����,對(duì)安全技術(shù)了如指掌的人員不多����,大多技術(shù)人員停留在對(duì)安全產(chǎn)品的一般使用上,如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓����,他們將束手無策。這時(shí)他們需要的是安全服務(wù)���。而安全評(píng)估�,便是安全服務(wù)的重要前期工作���。網(wǎng)絡(luò)信息安全����,需要不斷評(píng)估方可安全威脅。
2.2 安全評(píng)估的目標(biāo)�����、原則及內(nèi)容
安全評(píng)估的目標(biāo)通常包括:確定可能對(duì)資產(chǎn)造成危害的威脅�;通過對(duì)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性;對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值���、敏感性和嚴(yán)重性�����,以及相應(yīng)的級(jí)別��,確定哪些資產(chǎn)是最重要的���;準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀;明晰企業(yè)網(wǎng)的安全需求�;制定網(wǎng)絡(luò)和系統(tǒng)的安全策略�;制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案����;指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入�;通過項(xiàng)目實(shí)施和培訓(xùn),培養(yǎng)用戶自己的安全隊(duì)伍���。而在安全評(píng)估中必須遵循以下原則:標(biāo)準(zhǔn)性原則�、可控性原則���、整體性原則���、最小影響原則、保密性原則�����。
安全評(píng)估的內(nèi)容包括專業(yè)安全評(píng)估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)���。專業(yè)安全評(píng)估服務(wù)對(duì)目標(biāo)系統(tǒng)通過工具掃描和人工檢查���,進(jìn)行專業(yè)安全的技術(shù)評(píng)定,并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告��。
目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng),主流數(shù)據(jù)庫系統(tǒng)�,以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描�,提供原始評(píng)估報(bào)告或由專業(yè)安全工程師提供人工分析報(bào)告?�;蚴侨斯z查安全配置檢查�、安全機(jī)制檢查、入侵追查及事后取證等內(nèi)容�。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評(píng)估結(jié)果,制定相應(yīng)的系統(tǒng)加固方案�����,針對(duì)不同目標(biāo)系統(tǒng)��,通過打補(bǔ)丁�、修改安全配置、增加安全機(jī)制等方法���,合理進(jìn)行安全性加強(qiáng)�����。
系統(tǒng)加固報(bào)告服務(wù)選擇使用該服務(wù)包�����,必須以選擇ISMR/SSMR/HME服務(wù)包為前提�����,針對(duì)評(píng)估分析報(bào)告����,提出加固報(bào)告����。系統(tǒng)加固報(bào)告增強(qiáng)服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提����,針對(duì)評(píng)估分析報(bào)告,提出系統(tǒng)加固報(bào)告����,并將系統(tǒng)加固報(bào)告、加固步驟�、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實(shí)施服務(wù)選擇使用該服務(wù)包,必須以選擇 ISMR/SSMR/HME服務(wù)包為前提����,針對(duì)評(píng)估分析報(bào)告,提出系統(tǒng)加固報(bào)告����,并將系統(tǒng)加固報(bào)告、加固步驟�����、所需補(bǔ)丁程序以光盤形式提交客戶�����,并由專業(yè)安全工程師實(shí)施加固工作�����。
3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)
討論安全評(píng)定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略�,這項(xiàng)工作主要檢測(cè)當(dāng)前的安全策略是否被良好的執(zhí)行,從而發(fā)現(xiàn)系統(tǒng)中的不安全因素����。當(dāng)前計(jì)算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP���,而該協(xié)議族并沒有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù)����,網(wǎng)絡(luò)安全評(píng)定的主要目標(biāo)就是為修補(bǔ)全部的安全問題提供指導(dǎo)。
評(píng)定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���,拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài),進(jìn)行一些實(shí)際的檢測(cè)是非常必要的����。最簡單的,可以通過Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)���,但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會(huì)禁止Trackroute流量的通過�����。在了解了網(wǎng)絡(luò)拓?fù)渲?���,?yīng)該獲知所有計(jì)算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名���。對(duì)于可以訪問的計(jì)算機(jī)����,還應(yīng)該了解其正在運(yùn)行的端口,這可以通過很多流行的端口發(fā)現(xiàn)工具實(shí)現(xiàn)�����。當(dāng)對(duì)整個(gè)網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后�����,就可以針對(duì)所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了����。通常使用的方法是對(duì)協(xié)議和端口所存在的安全漏洞逐項(xiàng)進(jìn)行測(cè)試。
安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求���,為了提高安全防御的質(zhì)量��,除了在網(wǎng)絡(luò)邊界防范外部攻擊之外����,還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對(duì)各種訪問進(jìn)行監(jiān)控和管理��。企業(yè)組織每天都會(huì)從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù),包括系統(tǒng)日志��、防火墻日志��、入侵檢測(cè)報(bào)警等��。是否能夠從這些信息中有效的識(shí)別出安全風(fēng)險(xiǎn)�����,是風(fēng)險(xiǎn)管理中重要一環(huán)����。目前的技術(shù)手段主要被應(yīng)用于信息的收集����、識(shí)別和分析,也有很多廠商開發(fā)出了整合式的安全信息管理平臺(tái)��,可以實(shí)現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動(dòng)���。
數(shù)據(jù)作為信息系統(tǒng)的核心價(jià)值��,被直接攻擊和盜取數(shù)據(jù)將對(duì)用戶產(chǎn)生極大的危害�。正因?yàn)槿绱耍瑪?shù)據(jù)系統(tǒng)極易受到攻擊�����。對(duì)數(shù)據(jù)庫平臺(tái)來說��,應(yīng)該驗(yàn)證是否能夠從遠(yuǎn)程進(jìn)行訪問�,是否存在默認(rèn)用戶名密碼,密碼的強(qiáng)度是否達(dá)到策略要求等���。而除了數(shù)據(jù)庫平臺(tái)之外���,數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評(píng)估。不同級(jí)別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗(yàn)證���,不但要檢驗(yàn)其是否存在安全問題��,還要確認(rèn)其有效性���。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗(yàn)證,利用這些功能可以很好的完成安全評(píng)定工作并有效的與安全策略管理相集成���。攻擊者的一個(gè)非常重要目的在于無需授權(quán)訪問某些應(yīng)用����,而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實(shí)上大部分的安全漏洞都來自于應(yīng)用層面���,這使得應(yīng)用程序的安全評(píng)定成為整個(gè)工作體系中相當(dāng)重要的一個(gè)部分���。與更加規(guī)程化的面向體系底層的安全評(píng)定相比,應(yīng)用安全評(píng)定需要工作人員具有豐富的安全知識(shí)和堅(jiān)實(shí)的技術(shù)技能�。
4 結(jié)束語
目前我國信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作,在測(cè)試數(shù)據(jù)采集和處理方面缺乏實(shí)用的技術(shù)和工具的支持����,已經(jīng)成為制約我國風(fēng)險(xiǎn)評(píng)估水平的重要因素。需要研究用于評(píng)價(jià)信息安全評(píng)估效用的理論和方法���,總結(jié)出一套適用于我國國情的信息安全效用評(píng)價(jià)體系,以保證信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確可靠���,可以為風(fēng)險(xiǎn)管理活動(dòng)提供有價(jià)值的參考��;加強(qiáng)我國信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍建設(shè)�,促使我國信息安全評(píng)估水平得到持續(xù)改進(jìn)���。
參考文獻(xiàn):
[1] 陳曉蘇�����,朱國勝�,肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報(bào),2001,32-34.
[2] 賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評(píng)估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用���,2004(7)���,21-24.
[3] 劉恒,信息安全風(fēng)險(xiǎn)評(píng)估挑戰(zhàn)[R],信息安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系建設(shè)研討會(huì),2004.10.12.
[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實(shí)施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報(bào)雜志,2006(1)�����,40-45
[6] 趙戰(zhàn)生,信息安全風(fēng)險(xiǎn)評(píng)估[R],第全國計(jì)算機(jī)學(xué)術(shù)交流會(huì),2004.7.3.
第7篇
關(guān)鍵詞:企業(yè)���;信息網(wǎng)絡(luò)�;安全體系�����;安全技術(shù)
大中型企業(yè)作為我國國民經(jīng)濟(jì)的骨干企業(yè),在國家經(jīng)濟(jì)發(fā)揮舉足輕重的作用�����,現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開信息和網(wǎng)絡(luò)����,大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴性很強(qiáng),企業(yè)員工多���、信息化互聯(lián)設(shè)備多��、種類多樣�����,企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上�,網(wǎng)絡(luò)環(huán)境的穩(wěn)定性�����、安全性�����、高效性直接影響公司信息化應(yīng)用���。目前���,許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo),在企業(yè)信息化建設(shè)中��,信息安全問題是必須要首先考慮的問題���,可見��,建立企業(yè)信息安全體系勢(shì)在必行�����。
1 企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)
近年來,許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開發(fā)��,但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒有得到足夠重視����。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示��,國內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲攻擊�����,而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在:病毒和蠕蟲攻擊�����、黑客入侵�����、惡意攻擊�����、完整性破壞�����、網(wǎng)絡(luò)資源濫用��、員工信息安全意識(shí)淡薄等����。
目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn),垃圾郵件�����、企業(yè)機(jī)密泄露���、網(wǎng)絡(luò)資源濫用�、病毒泛濫以及網(wǎng)絡(luò)攻擊等問題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問題�,企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。
2 企業(yè)網(wǎng)絡(luò)安全體系
大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì)�����,迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性�����,隨著網(wǎng)絡(luò)攻擊的多樣化��,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊���,同時(shí)還要隨時(shí)注重操作系統(tǒng)���、數(shù)據(jù)庫、軟硬件設(shè)備的安全性�;企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊�����,而且要能防范可能來自內(nèi)部的安全泄密等威脅�。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全���,最終建立一套以內(nèi)外兼防為特征的企業(yè)安全保障體系�。
企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全��、鏈路安全���、網(wǎng)絡(luò)安全�����、系統(tǒng)安全��、信息安全五部分構(gòu)成���。
物理安全:物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器��、網(wǎng)絡(luò)設(shè)備��、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全,提供一個(gè)安全可靠的物理運(yùn)行環(huán)境�。
鏈路安全:數(shù)據(jù)鏈路層(第二協(xié)議層)的通信連接就安全而言,是較為薄弱的環(huán)節(jié)�����。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽和篡改�。
網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全主要包括:通過防火墻隔離內(nèi)外網(wǎng)絡(luò)�,不同區(qū)域的訪問控制,部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)�、VPN、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠��。
系統(tǒng)安全:系統(tǒng)安全主要指數(shù)據(jù)庫����、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性�����、完整性和高效性�。
信息安全:主要通過數(shù)據(jù)加密、CA認(rèn)證�����、授權(quán)等手段保證信息處理、傳遞�、存儲(chǔ)的保密性、完整性和可用性�����。
典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示:
3 信息安全體系設(shè)計(jì)原則
企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則:
3.1保密性:信息不能夠泄露給非授權(quán)用戶�、實(shí)體或過程,或供其利用的特性�。
3.2完整性:信息完整性是指信息在輸入和傳輸?shù)倪^程中,不被非法授權(quán)修改和破壞���,保證數(shù)據(jù)的一致性�����。
3. 3可用性:保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性����。
3.4可控性:對(duì)信息的處理��、傳遞��、存儲(chǔ)等具有控制能力。
信息安全就是要保障維護(hù)信息的機(jī)密性���、完整性�、可用性以及保障維護(hù)信息的真實(shí)性�、可問責(zé)性、不可抵賴性�����、可靠性�����、守法性����。
4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段
目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有:
4.1防火墻系統(tǒng)
防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分�,用于防范來自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間�����,通過合理配置訪問控制策略���,管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問����。其主要功能包括訪問控制、信息過濾�����、流量分析和監(jiān)控���、阻斷非法數(shù)據(jù)傳輸?shù)?���。企業(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下���,建議配置專用的DDOS防火墻��。
4.2入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(簡稱“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備�。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù),可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足�,通過對(duì)來自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)未授權(quán)或異常現(xiàn)象以及各種可能的攻擊企圖���,記錄有關(guān)事件���,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)的依據(jù)�����。
4.3漏洞掃描系統(tǒng)
企業(yè)內(nèi)部部署漏洞掃描系統(tǒng)���,不間斷地對(duì)企業(yè)工作站����、服務(wù)器���、防火墻、交換機(jī)等進(jìn)行安全檢查�,提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策,協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞�����、降低風(fēng)險(xiǎn),防患于未然���。
4.4網(wǎng)頁防篡改系統(tǒng)
網(wǎng)頁防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改���,保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)����,將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)���,不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)�����,更可以保護(hù)數(shù)據(jù)庫中的動(dòng)態(tài)內(nèi)容免受來自于Web的攻擊和篡改���,徹底解決網(wǎng)頁防篡改問題。
4.5上網(wǎng)行為管理系統(tǒng)
上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間���,針對(duì)企業(yè)內(nèi)部員工訪問Internet行為進(jìn)行集中管理與控制���。其主要功能有:網(wǎng)頁過濾、應(yīng)用控制(IM聊天、P2P下載����、在線娛樂、炒股軟件����、論壇發(fā)帖等)、帶寬管理���、內(nèi)容審計(jì)(郵件收發(fā)�����、論壇發(fā)帖�、FTP���、HTTP文件傳輸?shù)龋⒂脩艄芾?��、日志管理等功能?/p>
4.6內(nèi)網(wǎng)安全管理平臺(tái)
據(jù)FBI/CSI中國CNISTEC調(diào)查報(bào)告:來自企業(yè)外部威脅占20%����,內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求���,必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái)����,規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境��,提高內(nèi)部網(wǎng)絡(luò)資源的可控性�。其功能應(yīng)包括:用戶認(rèn)證與授權(quán)、IP與MAC綁定���、網(wǎng)絡(luò)監(jiān)控����、桌面監(jiān)控���、安全域管理����、 存儲(chǔ)介質(zhì)管理��、補(bǔ)丁分發(fā)����、文檔安全管理���、資產(chǎn)管理、日志報(bào)表管理等����。
4.7企業(yè)集中防病毒系統(tǒng)
在病毒肆虐的時(shí)代,反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)�,企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜,由于員工計(jì)算機(jī)水平大多不高����,構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái),可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略����,并且使企業(yè)員工電腦的病毒庫及時(shí)得到更新,增強(qiáng)病毒防護(hù)有效性����,降低病毒對(duì)安全帶來的威脅。
集中防病毒系統(tǒng)應(yīng)具有:集中管控��、遠(yuǎn)程安裝�、智能升級(jí)、遠(yuǎn)程報(bào)警����、分布查殺等多種功能。
4.8建立健全企業(yè)安全管理組織體系及制度����,加強(qiáng)企業(yè)信息安全意識(shí)
企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí),更需要考慮管理的安全性����,不斷完善企業(yè)信息安全制度。通過培訓(xùn)�,增強(qiáng)每個(gè)員工的安全意識(shí),為大中型企業(yè)信息安全管理奠定基礎(chǔ)�。
隨著信息技術(shù)的發(fā)展,企業(yè)無線接入�����、電子商務(wù)交易�����、數(shù)字簽名�、數(shù)字證書等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇��。
五�、 結(jié)束語
目前��,大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展��,網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)�����,針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁����,信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸突出,網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)�����,同時(shí)�����,網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程����,涉及人員�、硬軟件設(shè)備��、資金�、制度等因素���,沒有絕對(duì)可靠的安全技術(shù)�,科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷���。
參考文獻(xiàn):
[1]向宏�,傅鸝�����,詹榜華 著 信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社 2009-01
[2]謝宗曉�,郭立生 著 信息安全管理體系應(yīng)用手冊(cè)中國標(biāo)準(zhǔn)出版社 2008-10
第8篇
關(guān)鍵詞:終端準(zhǔn)入 網(wǎng)絡(luò)安全 802.1x EAD
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)06-0014-02
1 引言
在創(chuàng)新無處不在的IT世界里,從要求可用性到安全性再到高效率����,只經(jīng)歷了短短的幾年時(shí)間。如何對(duì)終端設(shè)備進(jìn)行高效��、安全���、全方位控制一直都困擾著眾多IT管理者��,由于終端設(shè)備數(shù)量多�、分布廣、使用者素質(zhì)及應(yīng)用水平參差不齊��,而且終端設(shè)備所接入的網(wǎng)絡(luò)環(huán)境異構(gòu)化程度很高���,導(dǎo)致了終端成為整個(gè)IT管理環(huán)境中最容易出現(xiàn)問題的一環(huán)����,對(duì)終端問題的響應(yīng)業(yè)已成為IT管理者日常最主要的工作之一�����,它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律��。
終端作為網(wǎng)絡(luò)的關(guān)鍵組成和服務(wù)對(duì)象��,其安全性受到極大關(guān)注��。終端準(zhǔn)入控制技術(shù)是網(wǎng)絡(luò)安全一個(gè)重要的研究方向��,它通過身份認(rèn)證和完整性檢查,依據(jù)預(yù)先設(shè)定的安全策略�����,通過軟硬件結(jié)合的方式控制終端的訪問權(quán)限�����,能有效限制不可信����、非安全終端對(duì)網(wǎng)絡(luò)的訪問��,從而達(dá)到保護(hù)網(wǎng)絡(luò)及終端安全的目的�����。終端準(zhǔn)入控制技術(shù)的研究與應(yīng)用對(duì)于提高網(wǎng)絡(luò)安全性����,保障機(jī)構(gòu)正常運(yùn)轉(zhuǎn)具有重要作用;對(duì)于機(jī)構(gòu)解決信息化建設(shè)中存在的安全問題具有重要意義���。目前�����,終端準(zhǔn)入控制技術(shù)已經(jīng)得到較大的發(fā)展和應(yīng)用��,在安全領(lǐng)域起到越來越重要的作用����。
2 發(fā)展現(xiàn)狀
為了解決網(wǎng)絡(luò)安全問題,安全專家相繼提出了新的理念�����。上世紀(jì)90年代以來�����,國內(nèi)外提出了主動(dòng)防御����、可信計(jì)算等概念,認(rèn)為安全應(yīng)該回歸終端�,以終端安全為核心來解決信息系統(tǒng)的安全問題。
3 終端準(zhǔn)動(dòng)模型
H3C終端準(zhǔn)入控制解決方案(EAD���,End user Admission Domination)從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手�����,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品��,通過智能客戶端����、安全策略服務(wù)器、聯(lián)動(dòng)設(shè)備以及第三方軟件的聯(lián)動(dòng)���,對(duì)接入網(wǎng)絡(luò)的用戶終端按需實(shí)施靈活的安全策略,并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為���,極大地加強(qiáng)了企業(yè)用戶終端的主動(dòng)防御能力�����,為企業(yè)IT管理人員提供了高效�、易用的管理工具��。
4 終端準(zhǔn)入控制過程
EAD解決方案提供完善的接入控制�����,除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址�、IP地址、所在VLAN��、所在SSID�����、接入設(shè)備IP��、接入設(shè)備端口號(hào)等信息進(jìn)行綁定��,支持智能卡��、數(shù)字證書認(rèn)證�,支持域統(tǒng)一認(rèn)證,增強(qiáng)身份認(rèn)證的安全性��。根據(jù)實(shí)際情況我們采用基于域統(tǒng)一認(rèn)證���,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式�����。通過身份認(rèn)證之后�,根據(jù)管理員配置的安全策略,用戶進(jìn)行包括終端病毒庫版本檢查���、終端補(bǔ)丁檢查�、是否有等安全認(rèn)證檢查�。通過安全認(rèn)證后,用戶可正常使用網(wǎng)絡(luò)���,同時(shí)EAD將對(duì)終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和審計(jì)�。若未通過安全認(rèn)證�����,則將用戶放入隔離區(qū)�,直到用戶通過安全認(rèn)證檢查�����。EAD解決方案對(duì)終端用戶的整體控制過程如圖2所示�����。
5 終端準(zhǔn)入控制策略的實(shí)現(xiàn)
5.1 接入用戶身份認(rèn)證
為了確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)���,EAD通過交換機(jī)的配合�,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng)��,通過Windows域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限����。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性����,EAD實(shí)現(xiàn)了Windows 域與802.1x統(tǒng)一認(rèn)證方案,平滑地解決了兩種認(rèn)證流程之間的矛盾��,避免了用戶二次認(rèn)證的煩瑣�����。該方案的關(guān)鍵在于兩個(gè)“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名�����、密碼)���,EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步��。二是同步域登錄與802.1x認(rèn)證流程�����,EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步�����。統(tǒng)一認(rèn)證的基本流程如圖3所示�。
5.2 安全策略狀態(tài)評(píng)估
EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能���。管理員可根據(jù)IT政令���,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過智能客戶端實(shí)時(shí)檢測(cè)��、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制�����,完成對(duì)用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理�。如果用戶通過安全策略檢查���,可以正常訪問授權(quán)的網(wǎng)絡(luò)資源�����;如果用戶未滿足安全策略��,則將被強(qiáng)制放入隔離區(qū)內(nèi)�����,直至通過安全策略檢查才可訪問授權(quán)的網(wǎng)絡(luò)資源���。
5.3 EAD與iMC融合管理
EAD通過與iMC(開放智能管理中樞�,Intelligent Management Center)靈活組織功能組件���,形成直接面向客戶需求的業(yè)務(wù)流解決方案���,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實(shí)現(xiàn)了對(duì)用戶的準(zhǔn)入控制�、終端安全、桌面資產(chǎn)管理等功能��,iMC平臺(tái)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)����、安全����、存儲(chǔ)���、多媒體等設(shè)備的資源管理功能����,UBAS����、NTA等組件實(shí)現(xiàn)了行為審計(jì)、流量分析等業(yè)務(wù)的管理功能����,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶����、資源和業(yè)務(wù)三大要素的開放式管理體驗(yàn)。
6 結(jié)語
在未實(shí)施終端準(zhǔn)入解決方案之前����,本企業(yè)網(wǎng)絡(luò)管理模式被動(dòng),雖制定完善的IT管理制度�����,但不能有效實(shí)行�����,比如不能及時(shí)升級(jí)系統(tǒng)補(bǔ)丁���,不能及時(shí)升級(jí)殺毒軟件病毒庫����,不能實(shí)時(shí)監(jiān)控用戶軟件安裝���,不能實(shí)時(shí)監(jiān)控計(jì)算機(jī)硬件信息等問題���。通過實(shí)施終端準(zhǔn)入解決方案,降低了來自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅����,規(guī)范了終端準(zhǔn)入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全��。
參考文獻(xiàn)
[1]周超���,周城���,丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù).計(jì)算機(jī)系統(tǒng)應(yīng)用,2011���,20(1):89—94.
[2]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準(zhǔn)入控制解決方案.醫(yī)院數(shù)字化�,2011�����,26(11):30-32.
[3]成大偉����,呂鋒.支持802.1x的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在企業(yè)中的應(yīng)用.中國科技博覽,2012����,27:296.
