時間:2023-09-19 16:27:37
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全防范措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】信息安全;安全技術;防范措施
1、前言
隨著社會和經濟的高度信息化、網絡化,現代企業的生產、管理、銷售已經和網絡密不可分,許多企業只重視利用網絡抓生產、促銷售,在全面發掘網絡帶來經濟效益的同時忽略對自身企業網絡信息安全防范的建設,一旦發生網絡信息安全問題,往往追悔莫及,保障企業網絡信息的安全可控,采取有效的防范措施是每個現代企業面臨的嚴峻問題。
2、網絡信息安全概述
對網絡信息安全定義有多種說法,本人傾向于網絡信息安全是指網絡系統的軟件、硬件及系統數據受到保護,不受意外的或惡意的原因而遭到破壞、更改、泄露,保持系統連續可靠正常地運行,網絡服務不中斷。做好企業的網絡信息系統安全首先要有良好的網絡信息安全防范意識,提高網絡信息系統軟、硬件技術保障水平、建立完善的網絡信息系統管理制度開展工作。
2.1影響網絡信息安全的因素
影響網絡信息安全的主要因素主要分為以下四大類。
2.1.1網絡信息系統的脆弱性。網絡信息系統的脆弱性包括了操作系統的脆弱性,信息系統本身的漏洞、后門,硬件系統的故障和天災人禍等,這些脆弱性使得網絡信息安全受到攻擊成為可能。
2.1.2缺乏先進的網絡安全技術、手段、工具和產品。企業在利用網絡信息開展生產、管理的同時往往缺乏安全防范意識,認為只要系統不出問題就說明沒事,對保障網絡安全系統安全的必要網絡安全技術產品不愿投入資金建設,從而造成網絡信息系統的中重大安全隱患。
2.1.3缺乏正確安全策略和管理監督制度。主要體現在部分企業認為只要購買了昂貴的網絡安全產品就萬事大吉了,缺乏正確的安全策略和管理監督制度,再好的產品也是需要員工按規定來操作和執行,沒有管理監督制度和正確的安全策略,網絡信息安全就無從談起。
2.1.4缺乏完善的網絡信息系統恢復、備份技術手段。主要體現在缺乏對網絡信息安全重要性的評估,對網絡信息受到受到攻擊、意外事件造成崩潰后缺乏網絡信息系統的恢復、備份技術和工具,造成網絡信息系統恢復的不可逆性。
3、網絡信息安全防范策略
3.1采取有效的網絡安全技術手段和措施
3.1.1采取有效身份認證技術。采取有效的身份認證技術可對具備合法信息的用戶進行確認,同時根據用戶信息對授權進行判定,給予不同的網絡信息操作權限,常用的身份認證技術主要有信息認證、密鑰認證、用戶認證等。
3.1.2防火墻技術。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間,它是一種計算機硬件防火墻件和軟件的結合,在企業內部網和外部網絡之間建立起一個安全網關,通過鑒別限制或者更改越過防火墻的各種數據流,防止外部網絡用戶未經授權的訪問,從而保護內部網免受非法用戶的侵入。
3.1.3防病毒技術。選擇先進的反病毒產品,并定期進行更新,在防病毒技術上針對企業的用戶數以服務器為基礎,提供實時掃描病毒能力,確保反病毒產品能夠部署到企業的每個工作站。確保企業所有的網絡終端都能夠部署到。
3.1.4入侵的檢測技術。入侵檢測系統能自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,有效彌補防火墻技術對內部網絡存在的非法活動監控的能力的不足,從而最大程度地為企業網絡提供安全。
3.1.5漏洞的掃描技術。通過采取漏洞掃描,及時,準確的發現自身網絡信息安全存在的漏洞和問題,有利于系統管理員采取應對措施,封堵網絡信息系統存在的漏洞和安全隱患,從而有效保障網絡信息安全,確保業務系統安全的運行。目前漏洞掃描主要分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描五種主要技術。
3.1.6加密技術。通過對企業的網絡信息安全進行加密,確保網絡信息在使用和傳輸過程中的安全性,加密算法主要分為堆成加密算法和非對稱加密算法兩類,并由此衍生出加密狗、加密軟件等各類產品。
3.1.7對有特殊安全要求的網絡建立與互聯網隔離。一些特殊產品的生產管理網絡根據其安全的密級要求實行和互聯網絡隔離,確需聯絡的需采取單向光閘等措施保證其安全性。
3.2建立完善的網絡信息安全的管理制度和安全應對策略。據統計,70%以上的信息安全威脅來自于企業內部的員工,沒有一套完善的網絡信息安全管理制度來實現對信息系統使用人員的管理,再出色的安全技術手段和產品也無法發揮作用,通過制度對人的行為進行規范,從而確保網絡信息安全落到實處。
3.3采取有效的備份、恢復措施。對企業自身的網絡信息系統做好安全等級保護評測、安全風險評估工作,針對評估情況采取對應的災難備份及恢復措施,對重要的網絡信息系統應采取包括對軟件部分、硬件以及傳輸線路的備份,在有條件的情況下應采取異地雙線路雙系統備份的方法,從而最大程度降低自然災害對網絡信息安全造成的破壞。
4、結束語
隨著信息產業化的不斷深入,網絡信息安全問題日益凸顯,企業應提高自身的網絡信息安全防范意識,在享受網絡信息化帶來的便利同時加強企業自身的網絡與信息安全管理,采取有效的技術措施,建立完善、高效的網絡信息安全管理制度,從而將企業網絡信息安全風險降到最低。
參考文獻
[1]陳震.我國信息與通信網建設安全問題初探[J].科學之友,2010年24期
關鍵詞:企業;網絡安全;防護
中圖分類號:TP393.08
隨著計算機和網絡技術的高速發展,網絡已經成為人們生活和工作當中必不可少的一部分。大中型企業信息化建設隨著網絡系統的快速發展也在日新月異,網絡和信息化已經融入到企業的生產和管理當中,對企業的正常運轉越來越重要。隨著大中型企業網絡和信息化業務系統的日益增多,遭受網絡安全威脅與攻擊的可能性也大大增加,一旦遭受攻擊導致網絡和信息化系統服務異常,影響到生產的話,將會給企業造成極大的經濟損失和社會負面影響。
1 企業網絡安全防護的重要性和建設目標
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。網絡安全的主要特性為:保密性、完整性、可用性、可控性和可審查行。
企業的網絡與信息化系統應用的越多,企業對網絡的依賴度就更高,目前大中型企業提高信息化發展水平已經是一種趨勢,信息化的發展必然面臨各種網絡安全威脅,若不采取相應措施保護企業網絡和信息化系統安全,則企業的網絡和信息化系統將隨時遭受攻擊而癱瘓或崩潰,影響企業的生產秩序。
大中型企業網絡所面臨的嚴峻安全形勢,使得各企業必須意識到構建完備安全體系的重要性。隨著網絡攻擊的多樣化,企業不能只針對單一方面進行網絡安全防護,應該從整理著眼,建立完整的網絡安全防護體系。完整的安全體系建設不僅要能有效抵御外網攻擊,而且要能防范可能來自內部的攻擊、入侵和泄密等威脅。
2 企業網絡安全的隱患與危害
2.1 計算機病毒
計算機病毒出現的初期,其危害主要為刪除文件數據、格式化硬盤等,但隨著計算機應用和互聯網技術的發展,計算機病毒通過網絡進行瘋狂傳播,大量消耗網絡資源,使企業甚至互聯網網絡癱瘓。
計算機病毒造成的最大破壞,不是技術方面的,而是社會方面的。計算機感染病毒后導致計算機的使用率減低,甚至導致企業、銀行等關鍵信息泄露,造成社會聲譽損失和商業風險。
2.2 黑客威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越劇烈,目前以非法牟利為目的的黑客產業鏈已經成為新的暴力產業,黑客通過網絡非法入侵計算機信息系統,肆意竊取信息系統里面存儲的用戶信息和關鍵數據等,給信息系統所有者和用戶帶來無法估計的損失。
2.3 內部威脅和攻擊
企業在管理內部人員上網時,由于對內部威脅認識不足,所以沒有采取全面的安全防范措施,導致內部網絡安全事故逐年上升。機器都是人進行操作的,由于懶惰、粗心大意或者對設備的使用和業務不太熟練等原因,都有可能造成數據的損壞和丟失,或者企業機密信息泄露。另外還有一些企業員工,為了一己私利對企業的計算機網絡系統進行攻擊和破壞。不管是有意的還是偶然的,內部威脅都是一個最大的安全威脅,而且是一個很難解決的威脅。
2.4 系統漏洞
許多網絡系統和應用信息系統都存在著這樣那樣的漏洞,這些漏洞可能是網絡建設考慮不全和系統本身所有的。另外,在企業信息化應用系統建設時,由于技術方面的不足或者為了遠程維護的方面導致應用系統在開發過程中存在漏洞或后門,一旦這種漏洞或后門被惡意利用,將會造成非常大的威脅。
3 企業網絡安全的技術防護措施
完整的網絡安全防護體系,必須具體綜合的防護技術,對攻擊、病毒、訪問控制等全面防御,目前企業網絡安全防護技術主要有以下幾種:
3.1 防火墻隔離
防火墻提供如下功能:訪問控制、數據包過濾、流量分析和監控、攔截阻斷非法數據連接、限制IP連接數等。此外通過防火墻將內網、外網和DMZ(非軍事區)區劃分不同的等級域,限制各域之間的相互訪問,達到保護內網和公共服務站點安全的目的;
3.2 VPN安全訪問系統
VPN(虛擬專用網絡)是在公用網絡上建立專用網絡的技術。VPN屬于一種安全的遠程訪問技術,通過在公網上建立一個私有的隧道,利用加密技術對數據進行加密,保證數據的私有性和安全性。
3.3 入侵檢測系統與入侵防御系統
入侵檢測系統(Intrusion Detection System)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報網絡安全設備。入侵檢測系統通過對來自外部網和內部的各種行為的實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,并記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據。入侵檢測系統采用旁路部署模式,將網絡的關鍵路徑上的數據流進行鏡像和收集分析。
入侵防御系統(Intrusion Prevention System)是一種在線部署到網絡關鍵路徑上的產品,通過對流經該關鍵路徑上的網絡數據流進行2-7層的深度分析,能精確、實時的識別、阻斷、限制各類網絡攻擊和泛洪攻擊,進行主動的、實時的防護,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷。
[關鍵詞] 計算機網絡;安全;外網;防范措施
[Abstract] With the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. This paper focuses on the campus network information network construction program, and made a number of external network security measures.
[Keywords] Computer network; security; external network; precautions
中圖分類號:TN711 文獻標識碼:A 文章編號:
1校園網外網現狀
1.1 網絡架構
目前我校每個辦公室都鋪設了信息外網結點,信息結點由樓層接入交換機連接到核心交換機。然后再通過外網邊界處部署的防火墻,通過VPN通道統一出口訪問互聯網。
1.2 網絡設備型號
核心交換機:H3C3600
防火墻:FW4120
校園網接入路由器:H3C5060
樓層交換機:cisco 2950
1.3 現有網絡安全配置
為了做好我校信息外網安全工作,我校統一安裝部署了卡巴斯基殺毒軟件并定期更新、掃描,同時在信息外網的邊界處部署了防火墻、由學校統一加強互聯網出口、病毒木馬、網絡行為分析與流量監控來抵御來自外部網絡的安全威脅,在這些設備、軟件的嚴密監控下,來自網絡外部的安全威脅大大減小,而對來自網絡內部的計算機客戶端的安全威脅所作的安全管理措施不夠,安全威脅較大。而且來自信息外網的威脅,也可能通過U盤等傳播到信息內網,使信息內網同樣面臨安全威脅。為了抵御內部威脅防止未授權計算機的接入,最初我們只是在H3C3600核心交換機上做了IP、MAC地址綁定,這種配置方式雖然在一定程度上可以減少非法接入和ARP欺騙攻擊但仍存在一定的缺陷,因為MAC地址可以偽造,非法用戶可以利用綁定列表中的IP并虛擬與該IP綁定的MAC地址,通過任意一個辦公室的信息結點連接外網。因此,最初所做的綁定策略是較低級別的授權認證。
2校園網信息外網安全防范措施
為了解決單純在核心交換機上進行IP、MAC地址綁定存在的缺陷,嚴格限制非法設備接入,同時做好外網信息安全工作,制定以下防范措施:
2.1 核心交換機上執行端口+IP+MAC地址綁定策略
在核心交換機上,對在用的每一個端口進行端口+IP+MAC地址的綁定,實現在固定端口只允許固定IP和MAC地址的訪問,對于未使用的端口全部關閉。由于對每個在用的端口進行綁定并有嚴格限制,而未使用的端口全部關閉,所以在一個端口綁定的PC使用該IP地址和MAC地址也不可以在其他端口上網。
在核心交換機上對端口、IP、MAC地址進行綁定,可以嚴格控制非法網絡接入,但是由于只是在核心交換機上進行限制,而終端計算機不是直接接入核心交換而是通過接入交換機進行接入,該方法雖然可以限制網絡訪問,但同一接入交換機直接相連的終端或不同接入交換機相連的終端仍然可以通信,且會產生不必要的網絡流量,對網絡仍產生一定的威脅,所以我們可以采用基于核心、接入交換的兩級綁定管理。
2.2 基于核心、接入交換機的兩級綁定管理
我們保留最初在核心交換機上做的IP、MAC地址綁定,同時在接入層交換機上對每個端口綁定固定的一個MAC地址,且每個端口只允許一個MAC地址通過。這樣,在接入層交換機上可以實現對終端計算機的一級MAC地址過濾管理,嚴格控制網絡接入設備,同時減少非法接入設備產生的不必要的流量;在核心交換機上實現對終端設備的二級IP管理,每個MAC地址只能使用特定的IP,防止終端私自更改IP,做好IP地址管理工作。通過此配置,可以實現基于核心、接入交換機的兩級綁定管理,即從源頭上,通過接入層一級管理嚴格控制終端計算機非法接入,同時對核心交換層進行二級管理防止私自更改IP,做好IP地址維護管理工作。
2.3 基于CAMS的身份認證機制
針對目前越來越復雜的網絡環境,CAMS身份認證服務機制從企業用戶的網絡接入控制入手,可以統一管理網絡中用戶的身份、權限信息,通過嚴格的身份認證、安全狀態評估和終端準入控制功能,解決企業網用戶接入控制的問題,可以大幅度提升企業網絡的安全性和可管理性。CAMS服務器與H3C系列路由器和交換機的協同配合,可以穩定、高效地完成對網路接入用戶的安全認證、授權和管理,滿足企業的高安全和可管理的需求。
2.3.1 基于CAMS身份認證的組網結構
此結構需要通過配置路由器實現Radius 服務器對登錄路由器的用戶進行認證。Radius 服務器可使用H3C的CAMS服務器,CAMS與核心交換機相互配合,以保證安全性。CAMS配置需要以系統管理員admin的權限登錄CAMS配置臺,以界面的形式進行接入設備信息和策略的配置,實現設備用戶管理功能,這里只需在CAMS配置管理平臺進行簡單配置即可。
2.3.2 可以實現的功能
(1)用戶信息統一管理:利用CAMS強大的身份認證對設備管理用戶信息(用戶名,密碼,設備服務類型和訪問權限等)進行統一認證管理,提高網絡的可維護性。
(2)增加了綁定技術:可以將用戶的帳號和IP、MAC、VLAN、設備的端口等元素綁定在一起。每次認證的時候不僅確認用戶名和密碼,還需認證其IP或MAC,甚至是VLAN和端口號。當用戶數量很多時這時只需啟動自動綁定功能,CAMS可以自動學習用戶第一次上網時的IP和MAC并做相應綁定。這樣一來不僅完善了對用戶合法身份識別的方法,更提高了網絡的安全性。
(3)在線用戶控制:CAMS提供具體的用戶在線信息,如帳號、IP、MAC、端口、時間、流量等,并可實施強制下線,減少非法用戶和中毒計算機對網絡的危害。
2.4 加強病毒防范
為了能有效地預防并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施,建立病毒預警機制,以提高對病毒的反應速度,并有效加強對病毒的處理能力。我校目前安裝的主要安全軟件有網絡版卡巴斯基和360安全衛士。
2.5 加強工作人員的網絡安全培訓,培養用戶的信息安全意識
要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。
參考文獻
[1] 吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用〔J〕真空電子技術,2004.34-36
一、企業會計信息化建設存在的問題
(一)企業管理者對實現會計信息化重要性認識不足
企業管理者對會計信息化管理的理念落后,存在“重生產經營,輕現代化管理”的思想,認為實現會計信息化不能給企業帶來直接的經濟效益,對企業信息化能提高企業競爭力的認識不足,對會計信息化管理的認識存在一定的偏差與誤區,認為企業信息化管理可有可無,即使實現會計信息化管理也只是能減少工作量、減少人員、提高效率,對企業的發展得不到根本性改善,導致企業會計信息化管理設備不全、制度不完善、管理不到位等情況,起不到信息化管理應有的作用。
(二)會計人員的專業素質達不到信息化要求
企業會計信息化建設是一項完整的系統,不僅需要先進的設備和軟件,還需要有專業人員進行管理操作。由于會計信息化建設投入大,一些企業因經費有限沒有對會計人員進行定時的培訓,會計人員沒有得到信息化應用的專業指導,對新的設備和軟件缺乏靈活運用,出現了利用不當的情況,甚至一些企業中的會計人員由兼職人員替代,導致會計人員流動性大、專業素養低、會計信息化應用程度低等狀況。缺乏信息化管理專業人才是企業會計信息化建設不能順利進行的關鍵因素,這與企業信息化建設潮流是沖突的,需要努力改進。
(三)安全防范得不到保障
安全防范措施是企業信息化管理的重要保障,是企業安全管理的最后一道屏障。許多企業由于安全防范意識不到位,缺乏防范措施,導致企業中財務的任何信息很容易被攻破。企業的絕密信息由于沒有進行專業的安全防范措施保護,導致企業的機密信息被“黑客”輕易攻擊并獲取重要資料信息,使企業網站癱瘓并受到重大損失,所以企業信息化安全防范關乎企業的生存發展。因而,為確保企業財務的重要信息的安全性,必須設立一些安全防范措施和體系避免信息泄露,使企業更好、更快的發展。
二、企業會計信息化應用對策
(一)在思想上提高企業管理層的重視
傳統“重生產經營,輕現代化管理”的思想,導致企業會計信息化建設得不到發展,改變這種觀念刻不容緩。首先,在企業內部設立專管會計信息化建設部門,負責人員定時向企業上級匯報最新的詳細狀況,做成報告書面形式呈遞,以便保管分析,經過分析后,對企業會計信息化建設的方向做出規劃,監督執行;其次,企業之間共同合作出資聘請專業人員進行講座,為企業管理者講解企業信息化管理的重要性,改變企業管理者對信息化建設的誤區,接受新觀念、新經驗,提高對企業信息化建設作用的認識,通過對企業管理人員潛移默化的影響,使其重新認識信息化管理,逐漸改變企業落后管理的現狀;最后,各企業之間相互學習、相互交流,在學習中進步,使企業在競爭中合作,改變傳統觀念,在經濟效益提高到同時使企業信息化建設共同發展,既不能急于求成,也不能放任自流。
(二)提高會計人員的專業素養,培養專業人才
專業人才的運用是企業會計信息化建設的根本。首先,企業要慎重選擇會計人員崗位人選,提高門檻,嚴格把關,經過多方面測試后選擇專業素養強、有責任心的會計工作人員,杜絕在招聘、面試時弄虛作假,導致專業人才的流失;其次,定期對企業會計人員進行信息化操作的專業培訓,廣泛開展信息技術的再教育,使會計人員及時掌握設備、軟件更新的操作方法以及新用處,使專業設備得到真正利用;最后,中小企業可以與大企業、龍頭企業進行強強合作,派企業的會計人員、技術骨干到大企業學習先進的操作技術,在習中認識到自己的不足,刺激其不斷進步的動力,使會計人員通過不斷努力學習,靈活運用并操作,使企業實現雙贏。只有端正會計人員的工作態度,意識到會計信息化對提高工作效率、完成工作目標起到的重要作用,才能加快企業會計信息化建設的步伐,使企業快速發展。
(三)建立網絡安全防范體系
隨著信息技術的發展,網絡安全事故越來越頻繁,所以網絡安全防范體系是企業會計信息化建設的安全保障,沒有安全防范體系的建立企業信息化建設只是泡影,它是確保企業信息化建設順利進行的最后屏障。首先,企業財務管理部門要制定嚴格的規章制度,規定會計人員嚴格按照程序進行辦理事物,并對軟件系統的操作和管理設置專人負責多人監督,杜絕相關人員進行違規操作或者監守自盜的現象;其次,企業與軟件公司合作,為企業會計信息化管理量身設置防護軟件并及時更新,通過防火墻、加密、設置口令等識別技術保證企業財務信息、網站不被黑客攻擊,防止企業重要信息泄露、被盜的現象;最后,提高操作人員的保密意識和安全意識,做到‘不該說的不說、不該做的不做’,嚴格履行自己的職責和義務,避免個人失誤為企業帶來不必要的損失。
三、結語
(1)內網網絡結構不健全。
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
3結語
關鍵詞:企業;網絡安全;措施分析
引言
雖然煤礦企業未發生過重大的網絡安全事件,但從大范圍來看,每年因病毒、黑客及其他人為因素對網絡經濟造成的損失也頗為嚴重,本文從網絡安全存在的問題及措施方法上進行分析。
1.企業網絡信息安全存在的幾點問題
1.1人為的惡意攻擊
人為惡意攻擊主要有兩種:一是以各種方式有選擇的破壞信息的機密性、可用性,是主動攻擊;二是在不影響網絡正常工作的情況下,對重要信息進行截獲、竊取,是被動攻擊。以上兩種情況均會對計算機網絡造成極大危害,導致企業辦公數據的流失。
1.2人為的無意失誤
主要表現在,安全配置不當造成的安全漏洞,或是用戶安全意識不強、用戶將自己帳號隨意轉借他人,內部人員的操作失誤也會對網絡安全帶來危害。
1.3網絡病毒的威脅
網絡病毒指蠕蟲、惡意代碼、垃圾郵件等通過各種途徑侵入企業內部網絡,用戶如果未及時安裝殺毒軟件、或是在安裝完自己的辦公桌面系統后未進行有效措施而直接連接到危險的開放網絡環境中,或是終端用戶在使用各種數據介質、軟件介質時將病毒、蠕蟲帶入到企業網絡中,給企業信息基礎設施和重要資料造成損失。
2.為加強單位內部企業辦公網絡的安全管理工作,需做好以下幾點安全防范措施
2.1進行網絡規范化管理
嚴格規范的管理制度是保證正常發展運行的關鍵,網絡安全與井下生產安全一樣,都需要有規范的作業流程,網絡應用的制度需要注意兩方面:一是制度網絡管理者職責,將系統維護、數據備份、操作步驟進行具體化;二是制定機房管理制度,防止進行非法計算機操作。
2.2進行系統設置
網絡系統的設置關系著整個網絡安全的運轉過程,網絡在建設初期首要考慮的便是安全問題,比如是否增設防火墻、是否采用雙機備份等,網絡系統本身也制定了備份和數據恢復策略,對原始數據和每年數據進行異地封存,網絡安全不僅包括軟(硬)件系統安全,更主要的是數據信息的安全。隨著網絡系統的不斷優化,數據的安全也得到了保證。
2.3進行安全技術培訓
安全技術是每一個計算機工作者都應遵守的,在擁有制度和配置的同時,還應不斷提高計算機工作人員的技術水平,有時一個小小的失誤,小小的泄密,都會對網絡系統帶來危害,影響網絡安全。為此,在遵守制度的同時,需做好規范操作,還應加強技術培訓。
2.3.1加密技術
一、秘密密鑰加密(對稱加密技術),是加密和解密使用同一把秘鑰,具有算法公開、運算量小、加密速度快等優點,但在分布網絡環境中應用較為困難,密鑰的數量較大,存在失密情況,管理較為困難。秘密密鑰加密技術常用算法有DES、IDEA等。
二、公用密鑰加密(非對稱密鑰加密技術),其包括公用密鑰和私用密鑰兩個密鑰。通信時,發送方用公用密鑰對信息進行加密,接收方對收到的信息用私用密鑰進行解密。公用密鑰加密技術具有運算復雜,加密解密效率低等特點,但公用密鑰加密很適合應用于分布式環境,一來簡化了密鑰管理難度,二是避免了失密情況的發生。公用密鑰加密技術常用算法有RSA等。
2.3.2防火墻技術
防火墻有軟件防火墻和硬件防火墻之分,按照防范模式與側重點可分為三種:一是包過濾型,其直接轉發數據包,邏輯簡單,速度快,對用戶透明等優點,但該功能是在網絡層實現的,無法對更高層的信息進行解析,不具備防范高層的安全威脅。二是服務型,用來連接防火墻的內外網絡,外部網絡用戶不可直接訪問內部資源,只能到達服務器,起到隔離的作用,保護網絡內部結構,增強網絡安全性。三是應用網關型,是建立在網絡應用層,通過一臺專用計算機來完成。
2.3.3身份確認技術和數字簽名技術
為保證網絡連接的合法性,在用戶同網上另一用戶連接時,首先對用戶的身份進行合法驗證,防止非法用戶的連接,即身份確認技術。數字簽名技術則是防止通信雙方的任何一方對自己行為的否認,保證數據的正常發送和接收,滿足網上交易要求。
2.4入侵檢測技術和漏洞掃描
入侵檢測技術一種主動型網絡安全防護技術,包括兩種,一是基于知識的入侵檢測,將已知的入侵行為為基礎信息來檢測入侵的出現。二是基于行為的入侵檢測,將被監控系統的正常行為信息作為檢測入侵和異常活動的依據。通過主動對網絡系統資源的信息采集,分析將要出現的網絡攻擊,對其做出處理,并在不影響網絡性能的條件下,進行網絡監測,對網絡內部攻擊、外部攻擊、失誤操作等進行及時防護。
【關鍵詞】計算機網絡安全;防范措施;安全技術
一、前言
隨著互聯網技術的日新月異,計算機網絡已為全社會廣泛應用。計算機網絡之間的互聯互通,實現了信息資源的網上的共有,具有對網民開放友好的特點。在信息時代,人們須臾無法離開網絡。從歷史上看,互聯網技術經歷了兩次飛躍:第一次飛躍是從保證網絡簡單互聯的第一代互聯網技術過渡到信息服務為主要特點的第二代互聯網技術;第二次飛躍是從第二代技術發展到以企業網絡信息為主導的第三代互聯網技術。但是,網絡的發展也讓網絡安全問題變成了一個不容忽視的大問題。網絡協議在設計上具有先天的缺陷,對網絡安全問題重視不足。加之,網絡的特性決定了它在使用和管理上的失序和混亂狀態。這使它在技術特性上具有天生的網絡安全隱憂。此外,雖然我國的計算機行業進展神速、化蛹成蝶,但是計算機核心部件的制造卻為國外企業所控制,軟件的研發也無法擺脫國外的限制,這使我國的網絡安全問題變得異常嚴峻。
二、計算機網絡安全概述
網絡系統由計算機或者服務器的軟硬件和系統數據組成。網絡安全技術采擷和合成于多種學科的技術精華,比如計算機、網絡與通信、密碼學、信息安全、信息論、應用數學和數論等。
2.1網絡最初的設計理念
為了信息傳遞的便捷,網絡最初僅在小范圍內應用。后來,隨著網絡技術的進步,人們逐漸把一個個的局域網連接起來,從而形成了世界范圍內的萬維網。網絡的相互連接給敏感信息的傳遞構成了潛在威脅。同時,網絡產品賴以存在的基礎網絡協議本身也存在安全隱憂。
2.2網絡的開放性
因特網的開放性與資源的豐富性為黑客的攻擊行為提供了機會。由此,網絡共享與網絡安全構成了一對難以分開的矛盾。
2.3網絡的可控性變差
因為各種需要,局域網總是以某種形式與外界的公眾網相連。這種網絡上的相互連通,使得網絡中的某個薄弱環節容易被攻擊而引起整個安全體系的崩潰。由此造成了網絡的無法自主控制的因素增多,網絡安全無法得到切實保證。
三、計算機網絡安全面臨的威脅
當前,網絡面臨著包括信息安全和網絡設施在內的全方位的威脅,主要是有四方面的原因:第一,人員的不當操作和管理造成的安全漏洞,比如口令外泄,防護系統沒有得到及時更新等。第二,黑客的主動攻擊或者被動攻擊行為造成的網絡安全問題,比如網絡入侵的非授權訪問行為和病毒傳播。第三,網絡軟件自帶的漏洞和“后門”留下的安全隱患以及木馬程序等。第四,不當管理對網絡設施造成的損害以及各種自然災害對網絡安全造成的直接的或者間接的危險。。網絡安全面臨的威脅的表現形式是多種多樣的。比如黑客對特定網絡的非法訪問和侵入、未經授權的訪問、破壞網絡數據的行為、用不當的行為對系統運行的干擾和破壞和把病毒傳播到網絡上去等等。
四、計算機網絡安全的防范措施
要很好地實現網絡安全,需要建立一套有效運轉的安全體系,讓技術、裝備、管理及立法等各個層面的因素得到很好地落實和協調。總的說來,計算機網絡安全的防范措施就是采取通過不斷提供技術水平以防御外部的入侵和對現有的數據系統進行實時備份兩種思路。
4.1傳統技術
4.1.1防火墻
防火墻是一套專屬的軟件或硬件系統,邏輯上起到隔離、制約和研判的作用。它可以設定訪問的權限、篩選信息。但是,防火墻不能防范來自內網的攻擊行為,也無法抵御一些破譯辦法,因而有相當的局限性。
4.1.2訪問控制的技術
訪問控制技術就是設定不同的訪問等級,不同等級的訪問者在特定網絡可以獲取相應等級的信息資源,并限制未授權客戶獲取數據的技術。它是網絡安全防護一種主要策略,目的是防止對網絡資源的濫用。
4.1.3網絡防病毒的技術
病毒是能夠大量自我復制和傳播以破壞計算機正常運行的一種程序。網絡防病毒技術分為防御、檢測和清除技術等,一般采用“服務器—工作站”工作模式。應用網絡防病毒技術,必須建立一套全面和分層的防病毒系統,并經常進行系統升級,以保網絡安全無憂。
4.1.4數據加密技術
數據加密技術是指運用加法運算和重新編碼以實現對信息的隱藏,保護信息系統和數據的安全。根據加密密鑰與解密密鑰是否一致性,可分為私鑰加密和公鑰加密。總之,密鑰的保密與管理對于數據系統的安全性非常關鍵。
4.1.5容災技術
容災技術是指數據災難發生時,盡量減少數據的損失和保持系統的正常運行的一種技術。從對系統的保護來劃分,容災技術可分為對數據的保護技術和對應用系統的保護技術,基本含義是建立一套數據系統或者生產系統的備份。
4.2新型技術
4.2.1入侵檢測系統技術(IDS)
入侵檢測系統技術是通過對網絡或者計算機系統中關鍵點的信息收集和分析,檢測用戶行為是否合法,以主動行為保護自身免受攻擊的動態安全策略。它綜合了從信息識別到報警響應技術的一整套技術。入侵檢測系統技術可以實現對內外部攻擊和誤操作的實時防護,事先攔截入侵行為。在可以預期的未來,入侵檢測系統技術將更加智能和云分布。
4.2.2虛擬專用網(VPN)技術
虛擬專用網技術是由互聯網服務提供商或者其他網絡服務提供商建立的、基于公共數據網的一種資源動態技術。虛擬專用網技術通過隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術,以保護網絡的安全性。
4.2.3云安全技術
云安全是對云計算安全的技術回應。云計算以分布式處理、并行處理和網絡技術的方式把計算散布在網絡上。黑客在云端互動環節攻擊數據中心,造成了云安全問題。云安全,依靠巨量的網絡服務,實時即時采集、分析和處理病毒。云安全是一門嶄新的網路安全技術,許多問題有待深入研究。
4.3管理使用及立法
最好的網絡安全技術也需要合理的管理措施和立法加以配合和保護。
4.3.1對設備的管理
應當建設標準機房,制定相應的機房管理標準,抵御自然災害和人為破壞的安全威脅。并且經常性地排查安全隱患。
4.3.2開展網絡安全教育和網絡道德教育,增強網絡安全防范意識
培養網民和網絡管理員的安全意識,了解網絡安全防范措施,養成定期查毒殺毒和排查網絡安全隱患的良好習慣。通過制度化的宣傳教育活動,教育廣大網民增強網絡道德觀,不做網絡安全違法行為。
4.3.3制定和遵守網絡安全規章制度
參照國家和行業的技術標準和管理規范,對信息管理和系統流程的各個環節進行安全評估,設定安全等級,制定本部門的操作規范。
4.3.4完善網絡安全立法,加強網絡法律監管
借鑒國外成功的立法實踐經驗,針對我國網絡安全的現實情況,盡快制定和實施網絡安全的相關性法律。在此基礎之上,網絡法律的執法力度,制止和打擊網絡安全的違法犯罪行為,遏制網絡安全不法行為多發的現象,凈化網絡環境。
五、結束語
總之,網絡安全已經成為一個亟待解決的重要的計算機行業的發展問題。通過國家、社會、網絡使用單位和廣大網民的共同努力,網絡安全的發展一定打開新的局面。
參考文獻
[1]彭沙沙,張紅梅卞,東亮.計算機網絡安全分析研究.現代電子技術[J].2012.4:109-112,116
[2]宋國云等.有效改善計算機網絡安全問題及其防范措施.電腦知識與技術[J].2014.4:721-723
[3]孫志寬.計算機網絡安全問題及其防范措施研究.才智[J].2014.32:347
在過去的2012年,發生了很多起DoS和DDoS攻擊事件,Radware緊急響應團隊(ERT)于2013年年初的一份年度安全報告詳細描述了這些攻擊事件,并且在報告中指出,在33%的DoS和DDoS攻擊事件中,防火墻和IPS設備變成了主要的瓶頸設備。
為何防火墻與IPS不能有效應對DDoS攻擊?
答案很簡單,防火墻與IPS最初并不是為了應對DDoS攻擊而設計的。防火墻和IPS的設計目的是檢測并阻止單一實體在某個時間發起的入侵行為,而非為了探測那些被百萬次發送的貌似合法數據包的組合行為。為了更好說明這一觀點,接下來的說明可以解釋防火墻和IPS在有效阻止DDoS攻擊時的種種缺陷。
防火墻和IPS是狀態監測設備
作為狀態監測設備,防火墻和IPS可以跟蹤檢查所有連接,并將其存儲在連接表里。每個數據包都與連接表相匹配,以確認該數據包是通過已經建立的合法連接進行傳輸的。
一個典型的連接表可以存儲成千上萬個活動連接,足以滿足正常的網絡訪問活動。但是,DDoS攻擊每秒可能會發送數千個數據包。作為企業網絡中處理流量的窗口設備,防火墻或IPS將會在連接表中為每一個惡意數據包創建一個新連接表項,這會導致連接表空間被快速耗盡。一旦連接表達到其最大容量,就不再允許打開新的連接,最終會阻止合法用戶建立連接。
專用的DDoS攻擊緩解設備使用的是一種無狀態保護機制,它可以處理數百萬個連接嘗試,無需連接表項的介入,也不會導致其它系統資源的耗盡。
防火墻和IPS不能區分惡意用戶和合法用戶
諸如HTTP洪水等諸多DDoS攻擊是由數百萬個合法會話構成的。每個會話本身都是合法的,防火墻和IPS無法將其標記為威脅。這主要是因為防火墻和IPS不具有對數百萬并發會話的行為進行全面觀察與分析的能力,只能對單個會話進行檢測,這就削弱了防火墻或IPS對由數百萬個合法請求構成的攻擊的識別能力。
防火墻和IPS在網絡中的部署位置不合適
物流管理信息系統是由人員、計算機硬件、軟件、網絡通信設備及其他辦公設備組成的人機交互系統,其主要功能是進行物流信息的收集、存儲、傳輸、加工整理、維護和輸出,為物流管理者及其它組織管理人員提供戰略、戰術及運作決策的支持。當前,越來越多的物流企業建立了自己的物流信息系統,利用Internet開展業務管理和信息服務,不但提高了企業內部運作效率、客戶服務質量,而且提高了市場反應速度、決策效率和企業的綜合競爭力。對物流企業而言,網絡和信息系統數據安全是經營活動得以正常持續開展的前提和基礎,因此,充分利用各種安全防范技術,建立多道嚴密的安全防線,最大限度地保護物流管理信息系統和各種數據的安全,是非常必要的。
2物流管理信息系統的安全體系層次結構
一個完整的網絡安全防范體系分為不同層次,不同層次反映了不同的安全問題,根據系統結構,物流管理信息系統安全體系可劃分為物理層安全、網絡層安全、系統層安全、應用層安全和管理安全五個層次,各個層次間的關系如圖1所示。
2.1物理層安全
包括機房的安全,各種物理設備的安全,通信線路的安全等。物理層是構建信息網絡和進行網絡傳輸的基礎,因而物理層安全是一切安全性的起點。但物理層是所有組成網絡設施的元素中最容易被忽視的,人們往往將更多的精力放在更高層網絡結構的管理和服務上,卻忽略了網絡傳輸的基礎——物理層。物理層安全主要體現在軟硬件設備的安全性、通信線路的可靠性、設備的防災害及抗干擾能力、設備的備份、運行環境、不間斷電源保障等方面。
2.2網絡層安全
網絡層是網絡入侵者進攻信息系統的通路和渠道,許多安全問題都體現在網絡層的安全方面。網絡層安全包括:網絡拓撲結構的安全,網絡層身份認證,網絡掃描技術,防火墻技術,數據傳輸的保密與完整性,遠程接入的安全,路由系統的安全,域名系統的安全,網絡實時入侵檢測手段等。
2.3系統層安全
操作系統安全也稱為主機安全,主要表現在以下三個方面:(1)計算機病毒對操作系統的威脅。(2)操作系統有其自身的缺陷和脆弱性,并由此帶來安全隱患,如系統漏洞、身份認證、訪問控制等。現代操作系統代碼龐大,所有OS都在不同程度上存在安全漏洞,一些廣泛應用的操作系統其安全漏洞更是廣為人知,如Unix,WindowsNT等。(3)操作系統的安全配置問題:系統管理員或使用人員對操作系統復雜的安全機制了解不夠,系統相關安全配置設置不當也會造成安全隱患。
2.4應用層安全
該層次的安全建立在網絡、操作系統、數據庫安全的基礎之上。網絡應用系統復雜多樣,雖然采用特定的安全技術可以解決某些特殊應用系統的安全問題,如對于Web的應用、數據庫應用、電子郵件應用等,但由于許多企業的關鍵業務(如交易、管理控制、決策分析等)系統及重要數據都運行在數據庫平臺上,那么,如果數據庫的安全無法保證,運行其上的應用系統也會被破壞或者非法訪問。
2.5管理層安全
管理的制度化是整個網絡管理信息系統安全的重要保障。嚴格的安全管理制度、合理的人員配置和明確的安全職責劃分可以在很大程度上降低其他層次的安全風險。管理層安全包括設備安全的管理、安全管理制度的制定與貫徹落實、部門與人員的組織規則、風險評估、安全性評價等。
3物流管理信息系統的安全防范策略
3.1身份認證
身份驗證又稱“驗證”“、鑒權”,是指通過一定的技術手段,完成對用戶身份的確認,用戶名和口令識別是身份認證中最常用的方式。在數據庫管理系統中,用戶名和口令是管理權限和訪問控制的一種安全措施。我們在系統設計中采用了Windows認證、物流管理信息系統認證和SQLServer認證相結合的混合身份認證模式。
3.2安裝殺毒軟件物流企業網絡安全性建設中最重要的一個環節,就是對計算機病毒的防范。利用各種殺毒軟件防止病毒侵入系統,是人們最為熟悉的安全防范措施。除此之外,病毒防范還需要有完善的管理規范,如:不使用盜版軟件;不打開來歷不明的電子郵件,不訪問不可靠的網站;對重要文件設置訪問權限或加密;特別重要的數據隨時備份保護;及時升級殺毒軟件,并定期查殺病毒等等。在物流信息系統的具體設計中我們選擇了諾頓企業版防毒軟件,并結合相關的防病毒制度,有效地保障了系統的安全。
3.3配置防火墻
防火墻是設置在可信賴的企業內部網和不可信的公共網之間的一系列部件的組合,是網絡安全的保護屏障,也是防范黑客攻擊的有效手段,它能通過過濾不安全的服務而降低風險,并極大地提高內部網絡的安全性。在邏輯上,防火墻是一個限制器、分離器,還是一個分析器,能有效監控因特網和內部網絡之間的活動,為內部網絡提供了安全保證。在物流管理信息系統設計中我們選擇的是瑞星防火墻結合其他技術來構建網絡防護系統。
3.4數據庫安全機制
數據庫是信息管理系統的基礎,對物流公司來說,所有的合同、訂單以及交易信息都存儲在數據庫中,因而對數據庫的安全必須高度重視。數據庫的安全性是指保護數據庫避免非法使用,防止數據的泄露、破壞或更改,主要體現在以下方面:(1)數據庫的存在安全;(2)數據庫可用性;(3)數據庫的機密性;(4)數據庫的完整性。數據庫安全機制可劃分為四個層次:用戶層、數據庫管理系統(DBMS)層、操作系統層、數據庫層,其中:(1)DBMS層安全機制通過訪問控制實現,即設置不同用戶對數據庫各種對象的訪問權限,是數據庫管理系統最有效的安全手段,也是數據庫安全系統中的核心技術。訪問控制可以通過用戶分類和數據分類實現。(2)數據庫層的安全機制大多以加密技術來保證。數據庫加密是網絡系統中防止信息失真的最基本的防范技術,也是數據安全的最后防線。在實際系統設計中,我們選擇MicrosoftSQLServer2000作為數據庫管理系統,采取加密粒度為字段的數據存儲加密方式,實現了基于角色和口令的用戶訪問以及信息在網絡中的密文傳輸,大大提高了數據庫系統的安全性。
3.5數據備份
數據安全是物流管理信息系統安全的核心部分,這有兩方面的含義:一是邏輯上的安全,二是物理上的安全。前者需要系統的安全防護,后者則需要數據存儲備份的保護。數據備份是系統數據可用性的最后一道防線,保證發生故障(主要是系統故障)后的數據恢復。沒有數據備份,就不可能恢復丟失的數據,從而造成不可估量的損失。定期備份數據庫是最穩妥也是比較兼價的防止系統故障的方法,能有效地恢復數據。人們經常采用的數據庫備份方法有雙機熱備份、硬盤鏡象備份等。一個完整的數據庫備份策略需要考慮很多因素,包括備份周期、使用靜態備份還是動態備份(動態備份也即允許數據庫運行時進行備份)、使用全備份還是結合增量備份、備份介質、人工備份還是系統自動備份等等。出于成本方面的考慮,我們采用了比較經濟的異機備份形式,使用MsSQLServer2000的自動備份功能和異機傳送工具來實現數據存儲備份,并根據物流企業的業務量或數據重要程度選擇合適的備份計劃,設置定時(可以是每周、每月、每日或每時)由計算機自動把服務器中數據庫的數據傳送到另外工作站機的數據庫中。此外,還需要定期把某些表或全部數據備份到光盤、U盤中,妥善保管。
3.6管理層面的安全防范
物流管理信息系統的安全保障是由技術、管理和人的作用共同決定的。利用技術手段獲得的安全畢竟是有限的,而所有的策略、技術、工具的使用和管理都要依靠人,因此對物流管理信息系統的安全從管理層面的防范至關重要。這需要制定體系化的安全管理制度,如:系統信息安全備份及相關的操作規程,系統和數據庫的安全管理制度,網絡使用授權、網絡檢測、網絡設施控制和相關的操作規程,等等。
關鍵詞:校園網;安全策略
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)18-4326-02
隨著“校校通”工程的建設,很多學校都相繼建成或正在建設校園網。校園網的投入使用,加快了信息處理速度,提高了勞動效率,實現資源共享,實現了管理網絡化和教學手段現代化。但是現在網絡環境復雜,網絡病毒和網絡攻擊肆虐,又加上校園網獨有的特點,校園網用戶眾多,校園網的安全也受到很大威脅。如何保證校園網不受攻擊和破壞,保證校園網的安全暢通,是各院校網絡管理的首要任務。
1 校園網絡的特點
校園網因其獨特的功能和用戶群體,呈現出與政府或企業網不同的特點,從而導致校園網的安全管理。
1)校園網的速度快和規模大。高校校園網是最早的寬帶網絡,主干網普遍使用千兆甚至萬兆,百兆交換到桌面的解決方案,它全面提升了整個校園網的網絡性能,滿足各種數據的通訊和網絡應用的需要。另外,在社會上,學生是網絡應用比較多的群體,因此,校園網的用戶群體一般也較大。正是由于高帶寬和大用戶量的特點,網絡安全問題一般蔓延快、對網絡的影響比較嚴重。
2)計算機系統比較復雜導致管理難度增大。校園網中的計算機系統的購置和管理情況非常復雜,學生的電腦一般是學生自己花錢購買、自己維護,而辦公電腦有的是是統一采購、有專門的技術人員負責維護,有的則是教師自主購買、沒有專人維護的。這種情況下要求所有的端系統實施統一的安全政策是非常困難的。由于沒有統一的系統維護人員、統一的資產管理和設備管理,使系統存在很多安全盲點,并且出現安全問題后通常無法分清責任。
3)活躍的用戶群體。學生通常是最活躍的網絡用戶,對于網絡中的新事物通常充滿好奇。如果沒有意識到后果的嚴重性,有些學生會嘗試使用網上學到的、甚至自己研究的各種攻擊技術,可能對網絡造成一定的影響和破壞。
4)開放的網絡環境。由于教學和科研的需要,校園網絡比其他網絡更加開放,管理更為寬松,使其安全隱患更為嚴重。比如,企業網可以限制一些Web的瀏覽,可以對某些電子郵件進行限制,可以進行流量限制,甚至禁止外部發起的連接進入防火墻,但是在校園網環境下通常是行不通的,否則一些新的應用、新的技術很難在校園網內部實施。
5)盜版資源泛濫。由于缺乏統一的管理,網絡資源豐富,盜版軟件、影視資源在校園網中的普遍使用,這些資源的使用占用了大量的網絡帶寬,另一方面也給網絡安全帶來了一定的隱患。并且從網絡上下載的軟件中很可能隱藏木馬程序、后門等惡意代碼,下載到系統后被攻擊者侵入和利用,甚至被利用來作為攻擊源。
以上各種原因導致校園網既是大量攻擊的發源地,也是攻擊者最容易攻破的目標。
2 校園網面臨的安全隱患
1)計算機操作系統及軟件漏洞。
不管是目前應用最廣泛的微軟windows操作系統,還是開放源代碼的Linux或者Unix操作系統,都存在著系統安全漏洞。在網絡系統運行過程中,由于操作系統自身不夠完善,針對系統漏洞本身的攻擊較多,且影響也較嚴重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。
2)校園網用戶多,安全意識薄弱。
校園網的絕大多數用戶是學生,學生接受能力強,對新事物好奇心強,對網絡安全也造成一定危害。一方面,部分學生對網絡及網絡安全的了解少之又少,很容易感染病毒,被黑客攻擊。另一方面,有些學生具有很高的網絡水平和學習能力,在校園網中實驗不成熟的技術而不計后果,對校園網有比較大的攻擊性。
3)網絡病毒泛濫,網絡性能下降。
網絡的發展使資源的共享更加方便,移動設備使資源利用顯著提高,但卻帶來病毒泛濫、網絡性能急劇下降,許多重要的數據因此受到破壞或丟失。也就是說,網絡在提供方便的同時,也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發無不使成千上萬的用戶受到影響,再加之。近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網絡病毒的防范任務越來越嚴峻。
特別是學校機房中,由于學生病毒防范意識薄弱,病毒更是泛濫成災,輕者感染移動存儲設備,重者導致系統不能正常使用。
4)網絡安全投入不足,沒有系統的網絡安全設備。
很多學校校園網建設中都存在建設經費不足的問題,有限的經費也主要投入到主要設備上,在網絡安全設備上的投入少之又少,甚至沒有什么措施,從而導致校園網完全暴漏在外網中,成為攻擊的對象。
綜上所述,校園網絡安全的形勢非常嚴峻,為能有效解決以上安全隱患和漏洞,根據校園網絡的特點以及面臨的安全問題,提出以下校園網安全解決辦法。
3 加強校園網的安全策略
1)網絡結構安全。
按照對網絡安全等級的標準,可以將網絡結構劃分為外部網(簡稱外網)、內部網(簡稱內網)、公共子網。
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制,以及對網絡安全進行檢測,以增強機構內部網的安全性。
2)主機安全檢查。
要保證網絡安全,進行網絡安全建設,首先要保證主機系統安全,評估系統安全性,認識到自己的風險所在,從而迅速、準確得解決內網安全問題。安裝操作系統和應用程序的安全補丁,并且采用更加安全的系統設置,系統的很多默認設置以及默認開放的端口都會成為黑客攻擊的突破口。例如對系統賬戶的管理,使用安全的密碼,關閉必須要的端口和服務等。
3)防火墻安全策略。
防火墻作為一種網絡隔離技術,已經被廣泛應于校園網中。防火墻根據內部設置的規則可以有效控制內外網的信息交換,從而阻斷不希望的用戶和信息,禁止非法用戶和不良信息進入校園網系統。主要控制策略如下:按照來訪者的IP地址區分用戶,最好是能對來訪者身份進行驗證;要支持TCP等面向連接的通訊也要支持如UDP等非連接的通訊;要控制教學及辦公資源的訪問權限及訪問時限;對病毒及惡意代碼等要提供良好的訪問控制策略及有效的安全保障。
4)反病毒技術。
計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并在網絡中進行自我復制,感染其他用戶和主機。特別是在網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。
5)備份和鏡像技術。
用備份和鏡像技術提高重要文件完整性。備份技術是最常用的提高數據完整性的措施,它是指對需要保護的數據在另一個地方制作一個來備份,一旦失去原件還能使用數據備份。鏡像技術是指兩個設備執行完全相同的工作,若其中一個出現故障,另一個仍可以繼續工作。在網絡遭到破壞的情況下,使用備份和鏡像技術來有效保護重要的數據資源。
6)漏洞掃描系統。
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠一個人的技術和經驗尋找安全漏洞、做出評估,顯然是不現實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
7)入侵檢測技術。
入侵檢測技術是一種根據相應的規則對網絡進行監視,從而發現可能存在的攻擊進行攔截,并且對攻擊源進行反攻。入侵檢測技術作為防火情的有效的補充,可以彌補防火墻相對靜態防御的不足,從而實現對網絡的安全防護。
4 校園網重點在于管理
俗話說,三分技術七分管理。對校園網的安全管理一方面靠技術,另一方面要靠制度的規范和約束。
計算機信息資源遭到攻擊很大一部分來源于企業內部,因為企業內部的人員安全意識淡薄造成的,因此應加強 企業內部網絡的管理。
1)制定詳盡的規章制度,并嚴格遵照執行。
2)加強人員控制,提高人員的安全防范意識。
擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防范意識有關。
3)加強對移動存儲介質的管理。
據統計,很多信息泄露事件都是通過移動存儲介質泄露的,并且很多病毒也可以通過移動存儲設備傳播,因此對于一些重要主機上可以通過限制使用移動存儲介質防止信息泄露和病毒傳播。
5 總結
總之,校園網安全問題是一個復雜的、整體的系統工程,網絡中的任何薄弱環節都會被攻擊者利用。因此校園網的安全除了運用先進的網絡安全技術外還要加強對網絡的管理,從技術和管理兩方面入手加強校園網的安全。
參考文獻:
[1] 杜一寧,鄭俏.談高校校園網的安全問題及解決方法[J].電腦知識與技術,2010(17).
[2] 周盛軍.淺談高校校園網安全控制策略[J].浙年專修學院學報,2009(1).
[3] 王斌,孔璐.防火墻與網絡安全(入侵檢測和VPN)[M].北京:清華大學出版社,2004.
關鍵詞 煙草;信息安全;威脅;互聯網
中圖分類號 S572 文獻標識碼 A 文章編號 1004-8421(2012)01-86-01
隨著網絡普及程度的不斷提高,網站已成為企業網絡公眾形象的載體,是提高企業形象、提升企業競爭力的有效途徑。在我國,煙草實行的是國家專賣體制,煙草行業網站承擔著政策、政務公開、信息宣傳、技術交流、品牌等方面的職責。由于互聯網具有開放性、共享性的特點,網絡信息安全問題越來越引起煙草企業的高度重視。2009年,國家煙草局下發了《國家煙草專賣局辦公室關于行業信息安全工作有關情況的通知》。該通知明確提出:“加強網站‘三防’建設,提高重要信息系統安全防護能力,各單位要按照國務院辦公廳文件要求,重點做好行業對外網站網頁防攻擊、防病毒、防篡改的安全保障。”在現行的基層煙草網站中,存在諸多安全問題,因此,在建設和維護過程中,要有針對性的規劃安全體系建設,并逐步完善,全面確保煙草企業信息系統安全。
1 煙草網站信息安全威脅因素
1.1 外部威脅
1.1.1 黑客攻擊。近幾年來,黑客的攻擊手段日益多樣化,網絡黑客常使用翻新分散式的方法來阻斷服務攻擊,利用一些網來擾亂網絡信息系統。網絡黑客蓄意發動網絡服務器攻擊,或者用蠕蟲病等方式對網絡進行攻擊,導致網絡設備出現崩潰,嚴重影響了網絡信息系統的正常運行。同時,黑客還利用黑客工具從企業租用的通信線路非法進入企業網絡,利用企業在內部網絡傳輸中未對數據進行加密的疏漏對網絡進行監聽,或者從事其他破壞活動。
1.1.2 計算機病毒。計算機病毒寄生于其他程序之中,具有隱蔽性強、潛伏性高、傳染性強的特點,對計算機系統危害極大,計算機病毒侵入計算機系統,破壞數據文件,甚至造成計算機系統和網絡癱瘓。隨著網絡信息技術的廣泛應用和推廣,病毒的種類數量也在急劇增加,目前全球已發現2萬余種病毒樣本,并且以每月300多種的速度遞增。
1.1.3 網絡協議和軟件存在安全隱患。TCP/IP協議是因特網的基礎,該協議只是追求高效率,卻未考慮過安全方面。大部分互聯網上的流量都沒有設置密碼,部分重要的電子郵件口令和文件傳輸很容易被監聽和竊取。很多基于TCP/IP協議的應用服務都存在一定的安全問題,如很多站點在防火墑配置中無意擴大了訪問權限,這就很容易導致重要內部機密被泄露,不利于網絡信息的傳遞。網絡訪問控制配置的復雜性很高,很容易出錯,這就為黑客和木馬病毒的入侵創造契機。
1.2 內部威脅
1.2.1 保密工作不到位。如果保密工作不到位,就可能造成口令或IP地址泄露。操作人員不按規定使用或定期更換密碼,甚至系統運行仍使用系統安裝時設置的默認口令,造成密碼泄露,致使犯罪分子非法侵入網絡。此外,對管員為檢查通信線路是否暢通,經常把IP地址暴露在顯示屏上。如果機房管理不嚴,外人進出,很容易使IP地址泄露造成網絡不安全。有的網管員將局域網中各主機IP地址以文字形式記錄在冊,而記錄表又不嚴格管理,隨處亂放,甚至帶…機房,都會給網絡運行帶來極大安全隱患。
1.2.2 內部管理出現漏洞。煙草企業信息系統是由人員來操作和維護,工作人員的違規操作很容易對系統造成破壞,引起重要數據的丟失,造成系統癱瘓。而內部人員利用職務之便進行違法操作,對信息系統安全來說是更加嚴重的威脅。
1.2.3 系統本身存在的安全漏洞。無論是計算機硬件、系統軟件和應用軟件,盡管設計者都對可靠性、安全性進行了周密的研究,但都存在一定的薄弱環節和不安全因素。應用軟件的設計漏洞、開發錯誤以及系統功能擴充后的銜接漏洞等,都會對系統安全構成威脅。
2 煙草網站信息安全防范措施
計算機安全的防范目的在于保證數據的完整性、可靠性,防止由于欺詐行為、系統運行失誤以及非法人侵造成的損失。在煙草企業信息安全工作中,主要通過加強外部、內部防范措施,確保信息系統安全。
2.1 外部入侵的防范措施針對網路外部的木馬病毒及黑客人侵,主要從以下幾個方面進行防范:
2.1.1 設置網絡密碼。對于不同的電腦用戶,可以根據需要不同設置不同的安全保護,保證了數據信息傳遞的機密性、完整性,提高網絡信息的真實可靠性。
2.1.2 充分利用防火墻技術。防火墻技術是保證網絡信息安全的重要手段之一,它是網絡運行時的一種訪問控制尺寸,主要目的在于通過控制網絡權限,在網絡內外站點設置安全點,從而對網絡服務器的訪問人數進行控制,防止外部非法分子利用網絡信息進行牟利。
2.1.3 建立入侵檢測系統。連續監視網絡通信情況,尋找已知的攻擊模式,當它檢測到未授權活動時,以預定方式自動進行響應,報告攻擊、記錄該事件或是斷開未授權連接“入侵檢測系統”與其他安全機制協同工作,保障計算機網絡信息系統的正常運行。
2.1.4 建立防病毒系統。建立有效的防病毒系統,對網絡通訊中的數據實行實時監控,并對系統進行定時掃描、監控、殺毒,減少病毒侵害帶來的損失。
2.2 內部管理的防范措施
2.2.1 建立健全管理制度。建立職責明確的網絡管理制度,分清職責,加強有關資料的檔案管理,嚴格配置修改的批準程序和檔案入庫登記,防止外流、外泄,并追究因故意或過失對網絡造成危害的責任人法律責任。
2.2.2 加強人員管理。培訓相關工作人員,制定操作規程和職責,確保信息系統正確、安全的操作;全面樹立網絡安全意識,不斷強化對內部人員的防范與管理,以真正使相關的安全規章制度得以落到實處,而不流于形式。
關鍵詞:企業;局域網;安全;防范措施
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-01
Enterprise LAN Security Analysis and Preventive Measures
Liu Haojiang
(Suzhou Rail Transit Co.,Ltd.,Suzhou215006,China)
Abstract:With the wide range of network applications within the enterprise,the enterprise's network resources more and more,so the collection of corporate information has become increasingly high.However,the size of the internal network more expanded,more complex applications,personnel and more numerous to the enterprise's internal information security has also brought a lot of pressure.Therefore,network security has become an important topic.This paper mainly focus on the enterprise LAN security analysis,and the corresponding methods and measures.
Keywords:Business;LAN;Security;Precautions
隨著現代技術的迅速發展,大部分企業都開始應用了本單位的局域網,對企業的生產經營與管理產生重要影響。但是隨之而來的網絡中各種各樣的安全事件,對企業正常的生產活動造成影響,因此要充分重視企業局域網的安全問題。
所謂的局域網是指在一個局部的地域內,例如學校和工廠等,把計算機、各種外部設備以及數據庫等連接起來組合成的計算機通信網絡[1]。通過將數據通信網絡或者專用的數據電路和遠方的局域網或者處理中心相連接,可以組成一個較大范圍的信息處理系統,這個系統簡稱LAN。局域網的網絡功能主要有:實現文件管理、共享應用軟件、共享打印機以及掃描儀等等。
一、局域網安全分析
(一)系統與程序的安全漏洞。漏洞就是通常所說的BUG。任何的程序與系統都會或多或少存在著漏洞,在所有網絡安全問題中,漏洞問題是最常見,也是最多且較難處理的。大多數時候漏洞只會影響系統的正常使用,但是當其能夠影響到整個系統安全時,就可能遭到黑客或者病毒的利用,從而變成攻擊系統的工具。近年來網上流行的NIMDA、求職信以及紅色代碼等病毒,通過在網絡上產生大量垃圾流量,達到影響網絡系統的性能的目的。它們的技術特點就是利用系統中的漏洞,這些漏洞有可能直接造成系統崩潰與信息失密。
(二)信息收集。通常信息收集是指嗅探和掃描。嗅探主要是利用特殊技術捕捉網絡底層數據,對其進行分析。掃描是指訪問目標計算機協議端口,以了解目標計算機的網絡行為。這些手段本身并不會對網絡產生影響,但是通過嗅探和掃描能夠比較完整的了解大部分的網絡應用與使用的系統平臺,因此這些信息如果配上適合的漏洞工具就能夠攻破整個網絡系統。但是由于目前國內企業網絡環境的不規范導致了網絡信息的不可靠,造成了很多的誤報,從而導致我國在對嗅探和掃描進行反跟蹤方面的效果很不理想。
(三)人為失誤。人為失誤帶來安全隱患的例子非常多,例如沒有及時進行系統或者應用程序的升級或者打補丁、執行不明來歷的程序、口令泄密、保留缺省賬號、密碼過于簡單或者干脆不設口令等等。因此減少人為失誤的辦法是提高員工的網絡安全意識。制定嚴格明確的網絡安全守則,并實施切實可行的管理手段。
二、企業局域網安全防范措施
我國目前大多數企業的局域網都存在安全隱患,保持現有的網絡手段與運作方式,極有可能會給企業帶來無法彌補的數據災難。因此有必要針對上述問題進行研究,從而進一步提出防范措施。
(一)設置防火墻。防火墻的主要作用在于保護內部網絡敏感的數據,同時記錄有關企業內外通訊狀態的信息日志。防火墻的應用能夠使你的網絡規劃更加清晰,有效阻止超越權限的數據訪問。如果企業的局域網接入互聯網絡但沒有設置防火墻,可能會受到許多系統入侵。因此為保證局域網安全,有必要在局域網與互聯網之間設置防火墻。
(二)建立內網型的邊界防護。企業總部局域網應作為廣域網的一個單獨區域,在通向各個下級單位的廣域網的通道的接口處應設置防火墻,而且進行相應的設置,以保護企業總部局域網的安全[3]。此外還應該將廣域網上的各個單位要訪問的企業資源設置于防火墻的DMZ區域中,禁止它們訪問企業總部局域網的其他資源。
(三)為所有服務器進行自動更新。目前眾多企業電腦使用的是微軟的操作系統。每隔一段時間操作系統補丁服務包才會推出,在新的補丁服務包沒有推出來的這段時間,企業主要通過安裝小補丁來防范漏洞。一般來說,最有效的方法就是借助操作系統的自動更新來完成。打開企業局域網中的服務器與電腦的自動更新功能,適時更新操作系統的補丁程序,能夠確保局域網的電腦都能夠自動把系統補丁更新到最新狀態。
(四)建立功能完善的防病毒控制臺。一般來說,病毒的入口點非常多。因此就在企業局域網部署反病毒軟件來說,要在需要防護的應用上都要布置防病毒軟件。而企業局域網防病毒所關注的不僅僅是防病毒軟件,更加注重的是對防病毒軟件借助網絡實施集中的管理與合理的配置,對病毒特征碼進行集中的自動升級。所謂企業局域網的發病毒軟件的最大特征是構筑功能完善的防病毒軟件的控制臺。
(五)建立系統備份文件以及由應用軟件產生的數據的文件備份。企業應根據企業與應用程序的實際情況,對服務器程序產生的數據文件采取有效的備份工具做定期備份,并要把這些備份文件好好保存。一旦需要進行服務器的系統重裝與數據恢復,就可以利用備份文件快速完成工作。
三、結束語
眾所周知,并不存在萬能的網絡安全解決方案。網絡是公共設施,企業局域網的安全管理是一個系統的工程。保障網絡安全并不能僅僅靠防火墻和殺毒軟件等硬件設備的防護,還需要網絡用戶的密切配合。只有群策群力,群防群治,才能真正確保網絡的安全,進一步推動企業信息化建設的發展[4]。
參考文獻:
[1]W.Richard Stevens,范建華(譯).TCP/IP詳解[M].北京:機械工業出版社,2000
[2]林東和.防反黑客攻擊不求人[M].北京:人民郵電出版社,2002
