時間:2023-09-13 17:14:29
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全防護措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
本文闡述了國內煙草企業面對的網絡信息安全的主要威脅,分析其網絡安全防護體系建設的應用現狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業網絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報,2016(4).
【 關鍵詞 】 企業網絡;安全管理;防護策略
1 引言
如今,經濟迅速發展帶動網絡技術的發展,企業網絡化管理被廣泛應用,給企業內部、企業與外界的聯系以及企業的管理帶來了便利,業務的靈活性被企業經營者廣泛關注,同時也發展了企業信息網絡。一系列諸如生產上網、辦公自動化、遠程辦公以及業務上網的新的業務模式得到了開發與發展。但是與此同時,網絡環境下的企業安全問題引發了管理者的擔心,能否創建安全穩固的企業網絡是企業管理者最為看重的問題,也逐漸變成一個企業能否正常運轉的前提。因此,運用切實可靠的網絡安全管理方法、提高網絡的安全防護能力已經企業一個重要研究的內容。
2 影響企業網絡安全的因素
網絡安全關系到許多方面,不但涉及到網絡信息系統自身的安全問題,而且囊括邏輯的和物理的技術策略等。WWW、TCP/IP、電子郵件數據庫、數據庫是當前企業網絡通用標準和技術,其廣域連接采用多種通信方式,大部分單位的系統被覆蓋。行業內部信息存在于企業網絡的傳輸、處理和存儲各個環節。這些信息資源的保護和管理以及確保企業網絡內部的各種信息在各個環節保持信息的完整、真實和防止非法截獲非常重要。
影響企業網絡安全的因素既有軟硬件的因素,也有人為的因素,既有來自網絡外部的,也來自網絡內部的,歸結起來主要有幾方面。
2.1 網絡硬件的安全隱患
網絡中的的拓撲結構還有硬件設備兩者均有對企業網絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業網絡中有各種各樣如應用軟件、操作系統的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業也由此蒙受巨大的損失,這樣的例子在現實生活中層出不窮。比如,一些不為人知的軟件研發者為了個人原因(升級或自便)而設置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計算機,篡改數據,后果不堪設想,損失更是不可估量;又如以方便快捷應用為目的的TCP/IP協議為網絡系統普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺,若是一些IT高手對此很了解,便可以輕松利用其缺陷攻擊網絡。
2.3 計算機病毒與惡意程序
網絡被普遍應用和告訴發展的時代,病毒傳播的主要途徑是網絡。一些企業的內部網絡很容易被蠕蟲、病毒侵入,其特點是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網絡安全領域,病毒問題一直難以從根本上解決,原因總結為兩點:其一,技術原因,殺毒軟件總是在病毒出現后給用戶或是企業造成巨大損失后更新,滯后性和被動性不言而喻;其二,用戶的安全防范意識不高,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件,給傳播病毒提供了機會,巨大的威脅了網絡安全。
2.4 網絡入侵
網絡人侵的意思是網絡攻擊者在非授權的情況下獲得非法的權限,并通過這些非法的權限對用戶進行非法的操作,獲得網絡資源或是文件訪問,入侵進入公司或是企業內部網絡,極大地危害計算機網絡,給社會帶來巨大財產或是信息損失。
2.5 人為因素
用戶安全意識淡薄,企業內局域網應用不規范。企業內網在實際運行中沒有限制,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業內網中,系統的安全應用收到影響;接入網絡沒有很好地限制,如沒有限制接入的人員、時間方面,隨意、隨時上網不但容易使系統容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統安全防范措施;管理措施不到位;復雜的用戶人群,很多不是本系統專業的工作者,約束和監管困難;衛星信號很容易就被泄密,在空中傳輸無限信號的過程中,無線信號很容易被黑客截獲并利用;在很多企業中,沒有制定規范的管理網絡和生產網絡的隔離措施,一旦管理網絡沾染病毒,生產網絡也很容易被傳染。
2.6 其它的安全因素
威脅網絡安全的因素還有很多,比如,傳輸過程中的數據很容易被電磁輻射物破壞;非授權的惡意刪除或攻擊數據、破壞系統;非法竊取復制或是盜用系統文件、資料、數據、信息,導致企業或是公司泄密等,其后果非常嚴重。
3 企業網絡的安全管理
企業網絡安全管理是保證網絡安全運行的基石,一些人為因素導致的網絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業應把建立健全企業網絡安全管理制度作為安全管理的重點,制定系統的安全管理方案,采取有效切實的管理政策。
企業的網絡管理主要從幾點努力。
3.1 健立健全企業規章制度
要保證網絡的相對安全,就務必制定詳細系統的安全制度,了解并認識網絡安全的重要性,一旦出現網絡安全事故,其相應處罰力度就必須嚴格按照處罰條例執行到位,絕不能姑息手軟。為了做到切實保證企業的機密不泄露,建立對應的詳細的安全保密制度勢在必行,管理者還要經常不斷檢查制度的實施情況。記錄出現違規的人員及情況、相應處罰情況、檢查的結果報告,做到今后有據可循,為以后出現類似情況提供管理依據。
3.2 樹立員工網絡安全意識
網絡安全工作要想做好,樹立企業工作人員的信息安全意識是首要任務,只有員工切身真正認識到信息安全對企業發展和前進的重要性,才能切實在實際工作中重視起來。企業要實常加強員工相應的信息安全的知識培訓,采用各種形式來增強員工的網絡安全意識,促使員工養成健康的使用計算機的習慣。
4 企業網絡安全防護措施
為了使企業網絡保持安全狀態,企業網絡的安全防護措施必須與其具體需求要相結合,整合各種安全方案,創立一個多層次、完整的企業網絡防護體系,在為企業網絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具,但安全風險是不可避免的也是必須承擔的;其二是要注意企業網絡的可訪問性以及安全性平衡的保持;其三是考慮安全問題是在系統管理的多個層次、多個方面都存在的。在企業網絡中,主要有幾種安全防護的措施。
4.1 防火墻技術
防火墻技術是當下一種被廣泛應用的也是最為流行的網絡安全技術,其核心主題是在外界網絡環境不安全的大前提下創建一個相對安全有保證的子網。防火墻能實時監測進出于企業網絡的通訊交流數據,允許安全合法的訪問的數據和計算機進入到企業網絡的內部,把非授權的非法的數據和計算機擋在網絡,企業內網及特殊站點應限制企業一般人員或是無關人員訪問,最大可能地阻止外部社會網絡中的黑客訪問鏈接企業內部的網絡,阻止或是制止他們復制、篡改、破壞重要的或是機密信息。所以,防火墻是一道屏障,是在被保護的企業內部網絡和社會外界網絡之間設置的,在網絡內部網絡合外部非授權的網絡之間,企業內部網不同的網絡安全環境之間,達到隔離和控制的目標,外部網絡的攻擊合截獲被有效控制。
4.2 數據加密技術
如果一些重要的機密的數據需要通過外部網絡傳送的,該數據的加密工作則需運用加密技術。防火墻技術以及數據加密技術兩者結合使用,增強網絡信息系統及內部數據的保密性和安全性,謹防外部破壞重要的機密數據。
4.3 入侵檢測技術
安裝入侵監測系統在企業內部網絡中,信息從企業內部計算機網絡中若干關鍵點中收集,并分析數據,從中檢查企業內部網絡中是否存在與安全策略相違背的行為或是入侵現象,如果檢測到可疑的未授權的IP地址,則來自此入侵地址的信息就會被自動切斷、同時給網絡管理員發送警告,企業內部動態的網絡安全保護就可以實現。
4.4 網絡蠕蟲、病毒防護技術
盡管無法避免來自蠕蟲、病毒對企業內部網絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒有危害。在企業內部網絡內,由于網絡節點不但存在于局域網中,又有接入到互聯網中的可能,一般的防護技術是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設計多層次阻止病毒體系。在企業安裝一般的常見的殺毒軟件時,通常要定時自動掃描系統,另外,用戶在收發郵件時一定要打開殺毒軟件的實時監控郵件病毒功能,實時地同步地對檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網絡版殺毒軟件,那么全部網絡環境中每一個節點的病毒檢測情況可以被企業網絡的安全管理員如實準確的掌握,當然越先進的防病毒產品或是技術效果也就越好。
4.5 系統平臺與漏洞的處理
網絡安全管理員可以運用安全漏洞掃描技術了解掌握網絡的安全設備和正在進行的應用進程,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞,盡快改正網絡安全系統存在漏洞和網絡系統存在的有誤差配置,防范措施應該在黑客攻擊之前提早進行。
5 結束語
企業網絡安全不是最終的目的,更恰當和準確地說只是一種保障。隨著企業自身的發展和規模的壯大,企業網絡的普及也是勢在必行,網絡安全管理變得也就越來越復雜,網絡的安全管理和防護是企業發展的一項重要和艱巨的任務。在執行維護網絡安全任務的同時,我們一定要注意把網絡安全防護技術、影響網絡安全的因素結合起來,制定有效的管理措施和技術方案,采取可行性高的防護措施,建立健全防護體系,增強企業內部員工的網絡安全意識,從源頭上解決網絡安全問題。
參考文獻
[1] 宋軍.淺談企業網絡安全防護策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國華,文開豐.企業信息安全防護策略的研究[J].電腦知識與技術,2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全,2012,(02):14-18.
[5] 黃俊強,方舟,王希忠.基于Snort-wireless的分布式入侵檢測系統研究與設計[J].信息網絡安全,2012,(02):23-26.
關鍵詞:企業網絡;安全;病毒;物理
在現代企業的生存與發展過程中,企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展,但過去企業網絡處于一個封閉或者是半封閉的狀態,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素,自然給企業網絡安全帶來了更多的威脅。因此,企業網絡安全防護一個永無止境的過程,對其進行研究無論是對于網絡安全技術的應用,還是對于企業的持續發展,都具有重要的意義。
1企業網絡安全問題分析
基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面。
1.1網絡設備安全問題
企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備,時常會發生安全問題,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息,進而給企業帶來不可估量經濟損失。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。
1.2服務器操作系統安全問題
隨著企業規模的壯大以及企業業務的拓展,對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為,但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查,任何電腦都可在信號區內接入到無線網絡。
2企業網絡安全防護方案
基于上述企業網絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。
2.1網絡設備安全方案
企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提,為了提高網絡設備的整體安全指數,可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。
2.2服務器系統安全方案
企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。
2.2.1操作系統漏洞安全
目前企業網絡服務器操作系統以Windows為主,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統、安裝系統補丁外,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統部署在核心交換機的監控端口,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統
2.2.2Windows端口安全
在Windows系統中,端口是企業實現網絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業網絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看,大多數都要通過服務器TCP/UDP端口,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現訪問控制。通過對IIS配置,可實現對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學。(3)NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統,安全性能更高。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。
2.3網絡結構安全方案
2.3.1強化網絡設備安全
強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。(2)網絡設備登錄安全。為了保證網絡設備登錄安全指數,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網的安全性。
2.3.2細分網絡安全區域
目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題,可對整個網絡進行細分,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段,在每個網段均有不同的vlan,從而保證安全性。
2.3.3加強通問控制
針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通;對內服務器需要與互聯網隔離;體驗區只能訪問互聯網,不能訪問辦公網。以上功能的實現,可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫院
(一)缺乏安全防范意識。
就目前我國各個油田企業的網絡發展情況來看,很多油田企業事先并沒有做好安全防范工作,往往都是網絡安全事故發展之后,才采取措施去解決的。這樣一來,造成了信息泄露,對油田發展十分不利。我國油田企業普遍缺少安全防范意識,這對于油田網絡安全管理十分不利,同時也將嚴重制約了我國油田企業朝著更好方向發展。
(二)網絡安全問題應急措施存在缺陷。
隨著社會經濟的發展,網絡安全問題呈現著新的發展趨勢,傳統觀念和經驗已經無法滿足當下油田網絡安全問題。我國很多油田企業處理網絡安全問題時,依舊利用傳統經驗辦事,這樣一來,很難有效解決問題,造成了故障的滯留,從而帶來較大的損失。
(三)缺乏科學技術投入。
有些油田企業的網絡設備未能跟上時展潮流,依舊停留在初始階段,一些系統設備較為陳舊,不利于當下油田信息化建設發展,影響了油田企業生產效率和經濟效益。究其原因,主要是缺乏科學技術投入,對落后設備不能進行及時有效更新,導致網絡運行不穩定,并且出現網絡安全問題。
二、油田企業網絡安全管理和防護建設措施研究
(一)建立網絡安全預警機制。
網絡安全預警機制的建立,將在很大程度上對入侵的木馬、病毒進行阻擋和預警,可以有效保護油田企業網絡安全。建立網絡安全預警機制,應該注意以下幾點問題:(1)對網絡安全設備進行及時更新,確保相關設備跟上時展潮流,具有一定的先進性。油田網絡安全設備主要涉及到CPU、流量測試設備、接口設備、網絡設備等,確保這些設備的先進性能,將有利于預警功能實現;(2)設置多樣化的警告方式,確保預警機制能夠起到重要作用。網絡預警機制,需要設置相應軟件進行預警監控,多樣化的警告方式,可以保證預警作用實現,避免單一預警信號失去效用;(3)建立相應數據監控系統,通過對數據監測,可以更好發現故障出處,有利于故障解決。在進行實際工作中,一些故障問題具有普遍性,建立數據監控系統,對故障數據進行存儲,可以方便日后故障處理,保證網絡運行穩定性。
(二)提高安全防范意識。
網絡安全防范意識的提升,從主觀上意識到網絡安全重要性,對于網絡安全管理以及防護建設具有重要意義。油田企業日常工作過程中,要注意網絡安全的維護,并且對企業員工灌輸網絡安全防護意識,大家在使用網絡時,不去瀏覽非法網頁,硬盤使用時記著查殺病毒,這樣一來,將在很大程度上切斷病毒傳輸途徑,確保網絡安全。同時,加大網絡安全維護意識以及防范意識,定期對垃圾文件進行清理,安裝病毒防火墻,檢查計算機系統是否存在漏洞,并且進行及時修復。
(三)注重網絡安全維護隊伍建設。
建立一支高素質的網絡人才隊伍,對于解決網絡安全管理問題具有重要作用。我國油田企業為了更好實現網絡安全,應該注意高素質人才隊伍建立,讓這支高素質的網絡人才隊伍,服務于網絡安全管理和防護建設當中,將更加有利于實現網絡安全目的。油田企業建立網絡人才隊伍,應該切實發揮人才在網絡安全管理中的重要作用,為油田企業網絡安全管理維護貢獻自身的力量。同時,油田企業還應該加強網絡安全技術交流,讓網絡安全人才與其他企業的人才進行交流,學習和借鑒先進經驗,更好服務于企業網絡安全管理與防護建設的工作當中。除此之外,企業在網絡安全人才建設過程中,應注意采取靈活的人才管理機制,激發員工工作熱情,為網絡安全人才提供廣闊的發展空間。
三、結束語
【關鍵詞】大數據 企業網絡 信息安全
1 大數據下的網絡安全現狀
網絡企業普遍將大數據定義為數據量與數據類型復雜到在合理時間內無法通過當前的主流數據庫管理軟件生成、獲取、傳輸、存儲、處理,管理、分析挖掘、應用決策以及銷毀等的大型數據集。大數據具有4V特征,即數據量大、數據類型多、數據價值密度低、數據處理速度快。在大數據計算和分析過程中,安全是不容忽視的。大數據的固有特征對現有的安全標準、安全體系架構、安全機制等都提出了新的挑戰。面向大數據的高效隱私保護方法方面,高效、輕量級的數據加密已有多年研究,雖然可用于大數據加密,但加密后數據不具可用性。保留數據可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數據隨機化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入,也不能適應大數據的海量性、異構性和時效性。
2 企業網絡信息安全的主要問題
在開放的互聯網環境中,企業網絡信息安全問題日益突顯,成為影響互聯網快速發展的重要因子。從實際來看,造成企業網絡信息安全問題的因素多元化,計算機系統漏洞、病毒入侵、黑客進攻是造成目前網絡信息安全主要原因。特別是病毒入侵、黑客進攻的頻繁,對整個互聯網的發展形成了較大影響。
2.1 計算機系統漏洞
計算機系統漏洞的存在,是造成計算機網絡信息安全的重要原因。在日常的系統運行中,360等安全工具都會對系統進行不定期的漏洞修復,以確保系統運行的安全穩定。因此,計算機系統漏洞的存在,一方面造成了計算機運行中的不穩定性,易于受到外界的惡意攻擊,進而造成網絡終端用戶的信息安全;另一方面,系統漏洞的存在,為黑客等的攻擊,提供了更多的途徑和選擇,特別是系統和軟件編寫中存在的漏洞,給不法分子的惡意攻擊提供了可能,進而造成計算機系統信息數據被盜,給計算機用戶的信息安全帶來極大的安全隱患。
2.2 計算機病毒攻擊
計算機病毒是當前計算機安全問題的“始作俑者”,對計算機網絡信息安全帶來極大的破壞性。計算機病毒具有隱蔽性強、可擴散等特點,決定了其在計算機安全中的巨大破壞性。首先,計算機病毒入侵的過程中,會造成計算機出現運行不穩定、系統異常等情況,數據丟失、硬盤內存不足等問題的出現,都會影響計算機的安全運行;其次,病毒一旦入侵計算機,其自動傳播、自動復制的特性,如木馬、蠕蟲等計算機病毒,可以讓其在計算機系統中形成大規模的自動傳播,進而對計算機系統內的數據信息進行破壞及竊取。
2.3 黑客攻擊頻繁
在開放的互聯網平臺,日益活躍的黑客成為企業網絡信息安全的重要影響因子。黑客通過入侵計算機系統,進而對計算機網絡的正常運行形成破壞,甚至將整個計算機網絡癱瘓,造成巨大的安全影響。近年來,隨著互聯網技術的不斷發展,黑客攻擊日益頻繁,且攻擊手段多樣化,這給計算機網絡安全帶來較大威脅。一方面,網絡安全監管存在漏洞,良好的網絡環境有待進一步凈化;另一方面,安全工具在技術升級等方面,存在一定的滯后性,在應對黑客進攻的過程中,表現出較大的被動性,以至于計算機網絡運行故障問題的頻發。
3 企業網絡信息安全防護辦法
完整的企業網絡信息安全防護體系應包括以下幾方面,如圖1所示。
3.1 企業系統終端安全防護
對企業計算機終端進行分類,依照國家信息安全等級保護的要求實行分等級管理,根據確定的等級要求采取相應的安全防護。企業擁有多種類型終端設備,對于不同終端,根據具體終端的類型、通信方式以及應用環境等選擇適宜的保障策略。確保移動終端的接入安全,移動作業類終端嚴格執行企業制定的辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入。
3.2 企業網絡邊界安全防護
企業網絡具有分區分層的特點,通過邊界防護確保信息資產不受外部的攻擊,防止惡意的內部人員跨越邊界對外實施攻擊或對內進行超越權限的訪問和攻擊,在不同區的網絡邊界加強安全防護策略,或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部,審核不同業務安全等級與網絡密級,在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、業務連續性需求以及用途等評價指標,采用防火墻隔離技術、協議隔離技術、物理隔離技術等對關鍵核心業務網絡進行安全隔離,實現內部網與外部網訪問資源的有效控制。
關鍵詞:企業網絡 安全 防范措施
網絡是任何信息化建設的基礎。隨著網絡信息技術的發展,企業計算機網絡的安全將面臨更多的威脅。企業在信息化建設過程中,必須進一步提高計算機網絡安全意識,采取有效措施切實維護企業網絡的安全與穩定。企業計算機網絡安全的威脅主要來自內網和外網。內網的威脅主要是由于使用未授權盜版軟件、員工操作不當、內部網絡攻擊等方面造成。企業內網造成的危害是很大的,很多時候比外網造成的危害嚴重的多。外網是直接與互聯網相連的,威脅主要來自外面的惡意攻擊等。企業網絡自身的安全缺陷主要表現在以下問題。
1.企業內網安全隱患
(1)選用未授權盜版軟件
部分的中小企業出于節約成本,會選擇使用未授權盜版軟件。據Insight CN執行中國市場調查結果顯示:使用未授權盜版軟件不僅不能明顯降低企業在IT方面的投入,而且會使企業遭受系統故障、敏感數據丟失等等風險。
(2)企業內部人為因素
人為原因有多方面,比如說企業員工對業務的不熟悉,對一些數據的修改出現錯誤,或者誤刪了一些重要的數據,容易導致整個系統出現問題,甚至破壞網絡設備,也出現過一些員工因為不滿現在的工作狀態,故意破壞企業內的一些重要數據。
(3)移動存儲介質的不規范使用
在企業信息網絡安全方面,移動存儲介質的使用也是一個重要的安全隱患點。容易導致未授權打印、未授權拷貝等問題,也會出現計算機網絡感染移動存儲介質病毒的問題。
(4)內網網絡攻擊
部分網絡管理員工由于非常熟悉企業內部網絡架構,利用管理上的一些漏洞入侵他人計算機,非法獲取企業內部訊息或者破壞信息。這種網絡攻擊方式可歸納為三類:一是非法外聯,即沒有經過上級管理部門的同意,就將企業內的計算機連入外網中;二是非法入侵,即在沒有授權的情況下,擅自處理信息,導致系統遭受破壞;三是非法接入,即沒有通過網絡管理部門的意見,就直接將計算機接入企業內網。
2.企業外網的安全威脅
企業出于對外業務的需要通常都會要求企業的計算機網絡接入互聯網,面對復雜的互聯網,企業網絡在接入時,將會面臨病毒侵襲、黑客非法闖入、電子商務攻擊、惡意掃描等等風險。企業網絡一旦被被感染,不僅會影響正常辦公,嚴重的甚至會導致整個網絡癱瘓。
病毒、木馬的入侵是威脅企業網絡安全的首要因素。計算機病毒通常隱藏在文件或程序代碼內,有的員工在不知情的情況下下載了感染病毒的軟件或者是電子郵件,導致了病毒的傳播。有些計算機病毒只會開玩笑似的在受害人機器上顯示警告信息,重則可能破壞或危機整個企業網絡的安全。例如前幾年出現的“熊貓燒香”的病毒,對不少個人用戶以及企業用戶造成了極大危害。這些病毒會從一臺計算機迅速傳播到另一臺,令企業防不勝防。
3.企業內網的安全防范措施
網絡安全重在防范,為了確保企業內網的安全運行,必須要重視管理制度、將管理、監測和控制三者結合在一起,重視對員工網絡安全知識的培訓,提高所有員工的安全意識,特別是涉及到商業機密或者政治機密的企事業單位,尤為重要。同時采用安裝防火墻等網絡安全防范手段和安全檢測手段相結合,主動防御;建立起規范化的網絡安全日志和審查制度。
(1)提高和加強員工網絡安全知識,各企事業單位可酌情根據自身狀況合理安排,邀請有經驗的網絡安全專家到公司來授課。
(2)企業要建立起計算機網絡用戶的信息數據庫,對于一些重要數據的客戶,對他們的登錄時間、訪問地點都需要重要監測;要建立起內部網絡主機的登錄日志,對于所有在內部網絡登錄的用戶信息,時間都要有詳細的記錄,發現可疑操作的時候要采取必要的安全措施。對于未經授權的接入、外聯、存取都要生成日志記錄,通過必要的技術手段進行檢測和判斷是否對網絡安全構成威脅。企業還有對網絡設備不斷更新,從技術層面上提高設備的預防能力,比如說防火墻軟件的及時更新,處理數據的計算機更新等。一旦出現網絡安全問題,能及時的對日志進行審查,分析引起網絡安全問題的原因,從而解決相關的問題。
(3)在企業內網與外網物理隔離的前提下,可將防火墻技術、漏洞掃描技術、入侵檢測技術與安全監測、安全控制和安全管理進行集成與融合,從而有效地實現對內網的安全防范。
4.企業外網的安全防范措施
(1)病毒防護技術
病毒防護技術在企業計算機網絡安全防御體系中也是一項非常重要的技術。企業應購置正版授權殺毒軟件,并為每個用戶安裝客戶端,以此來應對越來越復雜和高級的病毒和木馬程序。
(2)防火墻技術
防火墻包括硬件和軟件兩個部分,隨著人們對完全意識的增強,每臺電腦上面都會安裝不同的防火墻,企業里面一般都會安裝專業的企業版防火墻,能有效的實現網絡安全最基本、最有效、最經濟的安全防護,能主動抵御外網的各種攻擊,企業還可以利用防火墻,阻止對一些網頁的訪問,從而降低遭受外網攻擊的概率。
(3)入侵監測技術
在企業網絡安全中,要建立起防火墻之后的第二道安全閘門——入侵檢測技術,構建一套完整的主動防御體系,在不少的金融企業和銀行都采用了此項技術,并且收到了良好的效果,此項技術能在不影響網絡性能的情況下實現主動監測,可以識別一些防火墻不能識別的內部攻擊,對于一些合法用戶的錯誤操作,能有效的捕捉這些信息,從而實現實時安全保護。
企業計算機網絡安全涉及了許多領域,要想建立起一個安全穩定的網絡環境,需要企業做好網絡的各種防護措施。企業網絡安全性能得到了有效保障,企業才能順利開展各項業務。
參考文獻:
隨著信息化建設的推進,目前整個IT系統的建設已經具備了相當的規模,網絡、服務器、終端機和運行在上面的應用系統形成了整個業務運行的基礎支撐環境,業務系統越來越依賴于IT系統,而作為整個IT基礎設施中數量最多的終端機,是IT管理部門最為頭疼的問題。一方面,由于計算機設備的更新和變化,對計算機設備的管理經常處于一種無序及手工統計的狀態;另一方面,安全漏洞與日俱增,新的病毒充斥網絡,原有的手工安裝和分發升級文件包及補丁不僅需要更多的人力資源,還會造成時間的遲滯,影響運行效率,給單位帶來損失;再者,非法辦公軟件及其他軟件的使用,不但造成了生產效率的低下,也給單位的形象造成了很壞的影響。
終端桌面安全管理技術的興起是伴隨著網絡管理事務密集度的增加,作為網絡管理技術的邊緣產物而衍生的,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系重要的組成部分。
內部網絡面臨安全問題
現代網絡安全管理體系的日臻完善,使得對網絡終端桌面安全管理的需求強烈凸現出來。正確、全面地認識終端桌面管理產品的發展趨勢和技術特點,是IT研發廠商面臨的發展抉擇,同時也是企、事業IT管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的問題。
近兩年的安全防御調查也表明,政府、企業及金融證券等單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。因此,網絡安全呈現出了新的發展趨勢,對于各政府企業網絡來說,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端。
提起網絡安全,人們自然就會想到病毒破壞和黑客攻擊,其實不然。常規安全防御理念往往局限在網關級別、網絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反,來自網絡內部的計算機終端的安全威脅卻是眾多安全管理人員普遍反映的問題。
自2003年來,以SQL蠕蟲、“沖擊波”、“震蕩波”等病毒的連續性爆發以及多種木馬程序的蔓延為起點,到計算機文件泄密、硬件資產丟失、服務器系統癱瘓等諸多終端安全事件在各地網絡頻繁發生,增加了網絡管理人員的工作量。一些常見的終端安全威脅隨時隨地都可能影響著用戶網絡的正常運行,這也顯現出終端管理的缺乏。
對癥下藥主動防御
解決以上這些問題的有效方法是建立終端安全管理體系。
操作系統存在自身的弱點就是在應用中不斷出現漏洞,這將形成一個變化中的安全風險,讓攻擊者有威脅計算機安全的可乘之機。一些蠕蟲會發現并利用漏洞進入計算機操作系統。過去,我們被迫要等到爆發之后再寫一個特征碼來防護操作系統;現在,我們要采用混合型威脅防護,即主動式防護來保護我們的計算機安全性。
病毒、蠕蟲破壞一類的網絡安全事件在網絡安全領域一直沒有一個根本的解決辦法,其中的原因是多方面的:有人為的原因,如不安裝防殺病毒軟件、病毒庫未及時升級等等;也有技術上的原因,如殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步,危害無法避免。通過終端安全管理系統,我們可以控制病毒、蠕蟲的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對網絡的危害降低到最低限度。
僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。對當前肆虐于開放網絡環境中的大量病毒、蠕蟲威脅,必須采用多層次的安全防護策略,歸結起來是:事前預防、事中隔離、事后修復和殺毒聯動。
新型的網絡準入控制技術(Network Access Control, NAC )是在端點連接到網絡之前對它們的安全狀態進行審計,并在連接到標準企業網絡之前進行適當地更新,從而將蠕蟲和病毒屏蔽在網絡之外,也能強制執行應用級的安全策略。網絡準入控制是一個過程,它通過強制執行作為網絡訪問前提條件的IT安全策略,來減少網絡安全事件,增強對安全制度的遵從。網絡準入系統通過保證每個端點在安全上不做任何妥協,阻止不安全和未授權的行為,在網絡中排除未授權的設備,從而保護網絡的安全性和完整性。網絡準入系統通過確認設備的安全策略,創建加密的虛擬桌面環境,在會話結束后清除所有傳輸過去的數據,將對機密數據的保護延展到非企業所屬的設備之上。
網絡準入系統基于一個全新系統架構,它將整個內網安全防護策略劃分為邏輯上的三個組成部分:
1. 內網邊界安全防護:此部分架構實現對來自網絡外部的安全威脅進行安全防護。
2. 內網安全威脅防護:此部分架構實現對來自網絡內部的安全威脅進行防護。
3. 外網移動用戶安全接入防護:此部分架構用于保證內部移動用戶所處網絡環境的變換,以及當移動用戶處于外網安全防護薄弱網絡環境中自身安全、接入企業網絡安全。
由此可見,只有建立完整的終端安全管理體系才能有效保護我們的內部網絡安全。終端安全管理體系是能夠提供端點的全程、縱深端點安全保障體系(如圖1所示)。
利用全新系統架構,我們建立的終端安全管理系統是一個主動的安全防御體系,與傳統的解決方案有所不同(如圖2 所示)。打個比方:子彈射出之后,如何阻截飛速前進的子彈,以了解我們是否有比利用磁鐵來追趕子彈更好的解決方案。例如,我們可以適當采取主動的預防措施(比如防彈背心),以便在子彈導致破壞之前阻截子彈;或者為槍裝一把鎖,以防止子彈射出槍膛;或者我們可以使攻擊者不知道向哪里發射子彈,就像在布滿鏡子的大廳中一樣。在計算機世界,我們可能正在對付數以百萬的“子彈” ―― 互聯網上每時每刻存在著數百萬蠕蟲和混合型威脅。要阻截這數百萬的“子彈”,我們必須在主機、服務器和整個網絡結構中部署功能相似的各種技術,積極阻截這些威脅。
在網絡安全體系中,防火墻是最重要的安全要素。同樣,該系統模型以防火墻為聯動中心。防火墻在安全防護中的地位決定了防火墻是一切安全聯動技術的中心和基礎。
首先防火墻是網絡安全最主要和最基本的基礎設施。防火墻是保護網絡安全的最重要技術,它是保護網絡并連接網絡到外部網的最有效方法。防火墻是網絡安全防護體系的大門,所有進出的信息必須通過這個唯一的檢查點。實際上,它為網絡安全起到了把關的作用。
其次,聯動需要防火墻。網絡入侵檢測系統離不開防火墻。網絡入侵檢測技術主要是利用網絡嗅探的方式,對網間的數據包進行提取和分析。它的局限性使得該技術本身的安全性同樣需要防火墻的保護。入侵檢測雖然具有一定的發現入侵、阻斷連接的功能,但其重點更多地放在對入侵行為的識別上,網絡整體的安全策略還需由防火墻完成。因此,入侵檢測應該通過與防火墻聯動,動態改變防火墻的策略,通過防火墻從源頭上徹底切斷入侵行為。基于類似的原因,漏洞掃描技術同樣離不開防火墻。
基于以上的系統模型,我們主要考慮了以下的聯動互操作:
防火墻和漏洞掃描系統之間的互操作
漏洞掃描系統是一種自動檢測遠程或本地主機安全性弱點的程序。它的局限性在于當它發現漏洞時,它本身不能自動修補漏洞,在安全產品不具備聯動性能的情況下,一般需要管理員的人工干預才能修補發現的安全漏洞。這樣,在發現漏洞與修補好漏洞之間存在一個時間差,在這個時間間隔里,如果發現風險級別很高的漏洞又不能采取其它任何補救措施,系統的安全就會面臨極大的威脅。在這種情況下,就可以請求防火墻的協作,即當掃描系統檢測到存在安全漏洞時,可以及時通知防火墻采取相應措施。
防火墻和入侵檢測系統之間的互操作
入侵檢測系統(IDS)是一種主動的網絡安全防護措施,它從系統內部和各種網絡資源中主動采集信息,從中分析可能的網絡入侵或攻擊。入侵檢測系統在發現入侵后,會及時做出一些相對簡單的響應,包括記錄事件和報警等。顯然,這些入侵檢測系統自動進行的操作,對于網絡安全來說遠遠不夠。因此,入侵檢測系統需要與防火墻進行協作,請求防火墻及時切斷相關的網絡連接。
防火墻是訪問控制設備,安置在不同安全領域的接口處,其主要目的是根據網絡的安全策略,按照經過的網絡流量,而這種控制通常基于IP地址、端口、協議類型或應用。包過濾、網絡地址轉換、應用和日志審計是防火墻的基本功能。目前,防火墻已經成為企業網絡安全的第一道屏障,保護企業網絡免遭外部不信任網絡的侵害。
IDS則不同于防火墻,它不是網絡控制設備,不對通信流量做任何限制。它采用的是一種動態的安全防護技術,通過監視網絡資源(網絡數據包、系統日志、文件和用戶活動的狀態行為),主動尋找分析入侵行為的跡象,一旦發現入侵,立即進行日志、告警和安全控制操作等,從而給網絡系統提供對外部攻擊、內部攻擊和誤操作的安全保護。
隨著計算機網絡的飛速發展,企業從傳統的磚瓦水泥中脫離出來,通過互聯網構筑強大的信息網絡,來應對瞬息萬變、不斷白熱化的競爭形勢。而幾乎等同于企業命脈的數據安全一旦遭受攻擊或竊取,給企業帶來的損失將是災難性的。
據美國司法部犯罪科的計算機犯罪研究報告統計,有超過82%的計算機犯罪是由于簡單的user/password身份驗證,為犯罪分子潛入企業網絡提供了可趁之機。
如何確保進入企業網絡內部的ID是安全和不被盜用的,已經成為企業安全問題的最大困擾。
傳統認證難堪重任
傳統的認證方式大部分是基于對用戶身份驗證的角度出發的。例如加密、U/F驗證以及USB Key結合數字證書等。
密碼一旦被攻擊者盜竊、字典攻擊、中間截獲,則很容易發生具有破壞力的計算機犯罪。相對于原始的身份驗證,USB結合數字證書的認證方式由于擁有相對較高的安全性目前被廣泛應用于各個領域。
這種認證方式將經過授權的數字證書存放于USB Key中,通過對USB Key中數字證書的驗證來確定使用者是否是經過授權的用戶。但由于USB Key極容易發生丟失和盜竊,因此企業依然難以保證網絡安全的安全系數。
更有甚者,家賊難防,來自企業內部的失密竟然占據信息安全問題的絕大比例,統計數據的顯示確實令人遺憾和驚嘆,80%以上的企業數據安全問題是由內部員工引起的。
傳統的基于身份驗證的認證方式,已難以應對企業日益提高的安全系數要求。如何進一步為企業網絡安全實施有效的保護措施成為市場關注的焦點。
“設備密鑰”也驗計算機
如果能夠對進行連接的計算機也同時進行驗證,在連接網絡之前,保證計算機是已知的、可管理的設備,已下載最新的防病毒軟件和補丁程序,那么企業的網絡安全系數是否會大大提高?
鳳凰科技公司推出了一款工具軟件TrustConnector,使“用戶的硬件設備”成為企業安全系統認證中的一個核心環節,確保只有使用“可信賴設備”的授權用戶才能夠訪問企業網絡。
在開啟計算機的電源之后和操作系統運行之前的一段時間由BIOS控制著計算機,它的任務是確保計算機的所有硬件部件――例如硬盤、內存和鍵盤正確安裝和運行。
正是利用在BIOS系統軟件的核心技術,TrustConnector可以隨機選擇用戶端電腦中不同零部件的唯一編號,如CPU系列編號、媒體存取控制地址等,以亂碼形式產生代表該電腦設備的身份號碼,設備密鑰(Device Key),從而確保設備的惟―性。
同時,由于該產品可以通過與PKI/CA體系的結合,認證服務器對設備的識別來實現認證,因此一旦發生內部泄密,企業將很容易確定泄密的設備,從而進行進一步的追查。
分級設防
企業安全系統應分成三個層次,包括企業內部不同等級的安全防范、網絡當中不同等級的安全防范以及在終端設備進行的安全防范。不同層次的安全需求,企業應該采取對應的安全防護手段。
對于一些對安全系數要求較低的部門和系統,采用普通的身份驗證方式即可應對安全問題,而對于一些對安全有高敏感性的領域,如:金融系統、商業機密、客戶及人事紀錄、個人數據及受管制的數據等,企業應從設備層面著手,保護網絡資產。
關鍵詞:防火墻;企業網絡安全;設計;實現
1針對企業網絡安全的防火墻設計原則
在部署一個企業的網絡安全防火墻時,應遵循一些固定的原則,在保證網絡安全的基礎上,以免產生不必要的維護量。綜合性原則:即企業的網絡安全設計要考慮企業的整體綜合情況,從實際出發,考慮到各種情況,權衡網絡安全中可能出現的問題,從而制定出可以保障企業網絡安全的有效防護措施。簡易與靈活性原則:網絡安全的設計不宜過于復雜,也需要具有一定得靈活性,在保證功能的基礎上,盡量使其操作簡易,便于維護和往后的升級。高效與可擴充性原則:企業的網絡安全必須是高效的,也就是防火墻的設置必須是符合企業的網絡安全需求的并且可以高效率的運行并保障網絡安全,同時,企業的網絡不可能一成不變,因此防火墻在企業網絡的安全設計中必須還是可以擴充的,在網絡架構發生變更或者需要升級的時候,能夠進行對應的擴充操作。
2企業網絡安全的防火墻設計
防火墻顧名思義,即是防止網絡外部的一些不安全因素的入侵和干擾,防火墻工作于終端用戶與互聯網之間,是服務器的中轉站。一方面接收客戶端的數據請求并及時響應連接,另一方面,對服務器發出的信號傳輸給客戶端,以此實現客戶端與服務器的數據傳輸。(1)入侵檢測。企業網絡外部的用戶終端對企業內部主機的非授權登入和對主機資源的非授權使用稱之為入侵,入侵對于企業內部數據信息安全存在著十分大的隱患,也會給企業的網絡造成很大的安全漏洞。因此在防火墻的設計和部署過程中,必須重視入侵檢測系統的配置,能夠有效地抵擋入侵腳本、自動命令等的入侵攻擊,及時并高效的檢測到各類入侵行為,抵擋各類惡意的活動,對可能發生的安全隱患做好防護應對措施。(2)加密設計。防火墻的加密技術主要有兩種,一種是數據加密,另外一種是硬件與軟件加密。數據加密主要是通過非對稱秘鑰與對稱秘鑰兩種方式進行加密,對一些機密數據進行加密后傳輸,以此保證企業內部數據安全。硬件與軟件加密,顧名思義,即是對防火墻等硬件進行加密處理,防止外部系統登入,安全系數相對較高,軟件加密相對硬件加密成本更低,同時簡易性和靈活性也比較高,在企業網絡架構中應用比較廣泛。(3)身份驗證的設計。防火墻可以通過一定得規則來認證識別用戶身份信息,確保用戶的合法性,阻止非法用戶登入,以此來達到保護主機網絡的安全。身份驗證主要是針對授權者的識別,將證據內容與實體用戶身份進行捆綁,確保實體的身份與系統證據一致,使用戶、程序、主機、進程等實體得到安全的信息維護。(4)包過濾的設計。任何的數據進出企業網絡,都是以數據包的形式進行傳輸,而防火墻對數據包則進行嚴格的過濾,讀取對應的數據包進行詳細的信息數據分析,檢測該數據包的安全性,如果無法通過包過濾檢測,則該數據包無法進入此網絡。包過濾數據檢測是一項成本較低并且使用率很高的設計,對于信息數據的篩查可謂滴水不漏,缺陷在于此檢測無法限制程序、郵件等病毒類型進入網絡,因此還需要配合其他的策略來共同保障網絡信息安全。(5)狀態檢測的設計。防火墻的狀態檢測主要是針對外部的訪問行為,屬于一種控制技術,目的是阻擋非法訪問對企業網絡資源進行訪問,這種訪問控制技術一般分為兩個類型,一種類型是系統訪問控制,另一種是網絡訪問控制,網絡訪問控制用來限制外部終端與企業內部主機和終端的互相訪問,系統訪問控制則是對特殊用戶進行特殊的權限賦予,使其能夠對主機進行一些特殊操作。
3使用防火墻在企業網絡安全中的實現
防火墻在企業網絡安全的應用過程中,必須要求企業強化網絡安全管理,并且對網絡安全需求進行詳細的分析,制定出網絡安全的具體實施策略。企業網絡管理人員對本企業實際存在的網絡安全問題進行總結和規劃,在薄弱的環節采取對應的安全措施,對安全風險漏洞進行預測分析并做出安全策略。網絡的安全行為實則是一個一直變化的過程,企業需要實時的對網絡進行需求分析,動態的分析網絡的安全狀態,從而及時的對各個系統的防護保密措施進行檢測和更新,定時的維護硬件和軟件系統的安全問題,總結制定出適合企業發展的完善的網絡安全防護措施。
4結束語
信息化時代的背景下,網絡的安全對于企業來說至關重要,信息資源的數據得到安全保障才可以保證企業順利運行和參與企業競爭。企業網絡需要加強防火墻安全系統的建設,搭建一個穩定、安全的網絡環境,維護企業信息和數據安全,提高企業的市場競爭力。
參考文獻:
[1]仝乃禮.計算機網絡安全漏洞分析及防范措施[J].電子技術與軟件工程,2017(06).
關鍵詞:網絡系統;安全防范;安全管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 14-0064-01
隨著信息爆炸時代的到來,企業日常管理開始普遍采用網絡系統的方式,存儲著大量企業信息,而這些信息往往直接關乎企業未來的發展。然而在各種網絡病毒、黑客盛行的今天,企業網絡系統的安全已成為人們不得不面對的問題。為了防止企業信息外泄,我們必須充分重視起企業網絡系統的安全防范及其管理工作。
一、企業網絡系統
(一)基本概念及其重要性
所謂“企業網絡系統”,簡單來說,就是指企業通過計算機、通信設施等現代科技設備,所構建起的一系列用以滿足企業日常管理、經營與數據統計的系統模式。在當今社會,企業網絡系統的應用有著非常重要的意義,它是提高企業員工辦公效率,提升企業各項數據準確性的重要手段,也是企業各項業務數據的重要載體,可以說,如若企業網絡系統無法正常工作,那么這個企業整體日常工作也無法獲得正常有序運營發展。
(二)企業網絡系統存在的風險
當前企業網絡系統主要面臨著以下幾方面風險威脅:(1)由于Internet底層協議的不完善、各項硬件的問題而導致的系統漏洞風險;(2)由于企業自身人為管理不善或技術水平局限,引發的企業信息泄露威脅;(3)由于病毒感染、黑客入侵造成的企業網絡系統漏洞風險。
(三)企業網絡系統安全防范
也正是受以上幾大網絡系統風險的影響,要想確保企業得以正常的經營發展,我們必須重視起企業網絡系統安全防范及其管理工作。所謂“企業網絡系統安全”,其涉及計算機技術、網絡安全技術、密碼技術、信息安全技術等多項新興技術領域。在企業日常管理中,企業網絡系統安全主要用以企業網絡系統軟硬件及其數據保護、防范不必要的數據破壞、更改與泄露,維持企業日常工作的運行需要。
二、企業網絡系統安全防范存在的問題與缺陷
目前,企業網絡系統安全防范已經獲得了企業各部門的足夠重視,然而由于我國網絡系統研究起步較慢,人們對于安全管理等概念的理解尚不到位,當下我國企業網絡系統安全防范的工作仍存在很多的問題與缺陷,具體而言,其主要表現于以下幾個方面:
(一)安全意識淡薄與相關知識缺失
網絡屬于新生事物,不少企業員工對之充滿了好奇,由于剛剛接觸,他們不了解網絡危害的廣泛存在性,安全意識相當薄弱。由于缺乏相關的專業知識,這往往會導致他們不知不覺中走入網絡安全管理誤區。例如,部門管理人員認為局域網下無需安裝防火墻、安裝殺毒軟件和防火墻后就不用擔心病毒的侵擾、中毒之后查殺就好了不會造成多大的損失。這些認知易于對企業網絡系統的安全造成危害。
(二)過分追求先進技術
中國傳統觀念認為“最貴的就是最好的”,受到這種觀念的影響,很多企業認為,只要引進先進的計算機與網絡技術,就可以一勞永逸的解決網絡系統安全問題。這種觀念,導致企業花費了大量資金,改善了自己的配置,但是卻沒能取得重要的成果,浪費了大量的財力,打擊了技術人員的信心,給企業造成了巨大的損失。
(三)安全管理機制不完善
很多企業沒有制定企業網絡系統的管理機制,導致在企業網絡安全的管理過程中,缺乏行之有效的保護制度與管理制度。這些方面的缺失,又導致企業的網絡管理者及相關內部人員出現了違規現象,將嚴重影響了企業網絡系統的安全性,制約了企業網絡系統的建設。
三、未來企業網絡系統安全防范與管理的進一步完善
要想徹底解決企業網絡系統安全防范與管理上的問題,我們必須從制度、組織結構、思維方式等多角度出發,加以相應的改革與完善。
(一)建立企業網絡安全管理部門
企業安全管理部門的建立,可以提高員工的網絡安全意識,讓他們在一個更為安全的環境下取得信息,傳播信息。相關部門建立之后,要對企業的重要部門和各項重要信息經常性的進行安全保障與維護工作,及時消除安全隱患。當然,建立的安全管理部門不能夠流于形式,必須將它的職責明確的加以界定,然后組織管理人員對該部門實行監察與管理。定期要對企業網絡安全管理部門的相關技術人員進行培訓,讓他們了解行業走向,站在行業前列。
(二)合理投資,良好運行木桶效應
企業網絡系統安全防范不應該盲目追隨新興技術。木板所盛水的容量取決于最短那塊木板的長度。不法分子往往從企業網絡最薄弱的環節下手,然后加以利用。所以,企業應該合理投資,重點對網絡系統安全防范的薄弱環節加以重點治理,以此真正實現企業“投資少,回報高”的理性投資模式。
(三)制定網絡安全管理策略
安全管理總是被人們忽視,但是很多專家卻提出企業網絡系統的安全“三分靠技術,七分靠管理”,從中我們不難體會到管理工作在網絡系統安全運行中的重要作用。要想實現企業網絡系統安全防范這一終極目標,我們必須及時制定出相應良好的安全管理策略。例如,企業可以實行授權管理、病毒防范及用戶權限設置等一系列的安全管理制度與措施。與此同時,完善安全管理制度,我們還必須保證各項制度的一致性,其中包括防火墻制度、企業內部信息管理制度、用戶訪問權限制度之間的相互一致。
四、結語
對于企業發展而言,網絡系統所起到的作用越來越大,為此我們必須對其予以足夠的重視與保護,不斷強化對企業網絡系統安全防范與管理,將其作為我國企業發展的長久計劃加以改革完善,唯有這樣,才能真正意義上實現企業網絡系統的安全防護,也才能實現企業更快、更平穩的長久發展。
參考文獻:
[1]宇.計算機網絡安全防范技術淺析[J].民營科技,2010,7:25-27.
關鍵詞:網絡環境;計算機信息;安全防護;措施
計算機技術被廣泛的應用于各個領域,甚至于很多的企事業單位組建了自己的局域網,同時也伴有互聯網,實現了兩者之間的互聯。互聯網系統覆蓋的范圍較廣、覆蓋面較大,因此內部局域網會面臨著嚴重的安全威脅,網絡節點也隨時會被黑客攻擊。在網絡環境下,辦公系統的服務器和其他主機上的信息都可能會泄密,如果內部網絡中的計算機受到了攻擊,可能會被其他病毒感染,這樣便會影響到其他的主機信息安全。網絡環境的開放性、分散性等特點,為信息的交流共享創造了理想空間,與之相關的網絡技術取得了更快發展,為社會進步與發展增添了活力。
1 網絡環境下計算機信息安全面臨的威脅
(一)缺乏安全意識
計算機技術最大的優勢就是實現資源的共享,同時在端口開放的條件下實現文件的傳輸,相對于網絡環境中的其他用戶信息是透明的。某些機關、企業對服務器的保護意識不足,根據相關的統計分析,存在80%的公共網站沒有采取任何的防護措施,還有些企業網站在受到惡意攻擊之后,并沒有引起足夠的重視,殊不知企業內部的重要文件早已泄密,引發經濟上的重大損失。
(二)網絡技術影響
計算機信息就是以互聯網為重要依托,構建起一個無行政管理的世界性網絡,在沒有監護措施與防護措施的前提下,安全性能相對較差,因此網絡犯罪具有跨區域、跨國界等特點,會給行政執法帶來巨大困難,如網絡木馬、黑客病毒、信息間諜等成為威脅計算機信息安全的重要因素。
(三)存儲潛在風險
計算機信息需要利用多種硬件介質加以存儲,但是介質屬于電子類產品,經過長時間的存放,往往會出現無法讀取的情況。這種問題的產生主要是受到介質壽命的影響,由于硬件載體不可能永久可用,也會受到環境、磁場等影響,很容易出現變質情況,證明存儲設備擁有一定的使用年限。伴隨著科學技術的發展,網絡環境下的信息載體技術也發生了改變,當更換讀取設備時,存取的文件將無法正常讀取出來。
(四)人為因素影響
新世紀面臨新挑戰,其中涉及到信息的競爭、人才的競爭,主要原因是對網絡安全的重視程度不足,同時缺乏技術型人才的培養。很多企業中,網絡維護人員并不是專業技術型人才,因此只關注對網站信息的定時更新,如配置的網絡設備仍然存在著諸多漏洞,極易被非法人員利用。
2 網絡環境下計算機信息安全防護措施
(一)建立健全網絡管理制度
企事業單位應該建立健全網絡管理制度,并且將計算機信息安全視為頭等大事,在法律法規基礎上,根據企業的實際情況,將計算機信息的安全工作責任具體到個人。安全維護人員需要制定可行性保障,強化對全體人員的信息安全維護意識,同時加強監管監控,對運行網絡的安全施以全方位管理,針對其中的薄弱環節采取適當的改進措施,不斷完善企業的信息保護規章制度,對企業內部員工的賬號及密碼實行合理監管,若存在非法登錄情況,應該及時進行維護,特別是管理人員及重要部門人員的口令與密碼,特定時間內加以更換。
(二)合理維護備份文件安全
計算機硬件與網絡若是遭遇了安全威脅,或發生不可抵抗的損壞時,其內部的所有文件也隨之出現損壞情況,由此可見備份文件十分重要。文件的備份需要采取全方位、多層次的措施,注重軟件及硬件的相互結合。硬件備份能夠讓系統逐漸恢復運行,軟件備份可以保證重要的信息及時恢復,在對系統進行全方位多級防護的過程中,確保網絡環境下計算機信息的安全可靠。
(三)病毒引擎防護措施
結合當前的網絡環境分析,計算機信息安全防護情況不容樂觀,因此需要采取病毒引擎防護措施,為計算機信息提供安全保障。智能化安全防護引擎可以實現對不同病毒特征碼的準確掃描,同時也能實行靶向控制。利用智能化病毒引擎防護,能夠對未知病毒進行嚴格的檢查,采取針對性舉措防護病毒,突破傳統病毒掃描技術的限制,把高新技術手段及措施有機結合到一起,通過對存在病毒的系統防護,可以增強計算機信息對病毒的免疫力。當病毒攻擊計算機時,智能化病毒引擎防護可以準確快速的進行查殺,雖然能夠起到良好的病毒防護效果,但是很多時候此項舉措還是顯得較為被動,現階段,實踐中常用的病毒軟件有Outlook、Net Ant等。
(四)安裝系統漏洞補丁程序
在計算機系統設計的過程中,為了計算機信息的安全,需要軟件開發商補丁程度,從而及時糾正漏洞問題。伴隨著計算機系統的應用,需要定時更新網絡補丁程序,同時對其進行安裝,為網絡系統的實際運行創造優質的安全環境。如COPS軟件的應用,就是專門用來掃描漏洞的設備。
3 結語
在科學技術飛速發展的今天,計算機信息安全風險逐漸增大,從實踐過程分析,需要綜合各方努力,為計算機信息安全提供可靠保障。在當前的時代背景下,網絡成為了一種特色標志,象征著時代的進步與發展,計算機信息安全防護工作的重要性日益體現出來,與之相關的安全維護難度也隨之增大。現階段的技術條件下,計算機信息安全防護問題只能在避免的過程中不斷強化具體措施,但是卻無法根除,只能結合技術優選組合,保障計算機信息的安全。
參考文獻
[1]陸俊,侯雅莉. 淺析計算機信息安全防護措施[J]. 赤峰學院學報(自然科學版),2016,(12):10-12.
[2]張康榮. 計算機網絡信息安全及其防護對策分析[J]. 網絡安全技術與應用,2015,(02):92+94.
[3]張嘉. 網絡環境下計算機信息安全防護措施[J]. 計算機光盤軟件與應用,2014,(03):189+191.
[4]朱亮. 計算機網絡信息管理及其安全防護策略[J]. 電腦知識與技術,2012,(18):4389-4390+4395.
