序論:在您撰寫企業(yè)網(wǎng)絡(luò)安全論文時,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的1篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度�����。
系統(tǒng)的默認(rèn)共享是打開的,關(guān)鍵的是它將系統(tǒng)盤也共享了����,通過網(wǎng)絡(luò)映像就可以直接訪問,在注冊表中可以將其關(guān)閉�。接到某些部門的電話,在計算機上出現(xiàn)“網(wǎng)絡(luò)IP地址沖突”的信息��,無法使用網(wǎng)絡(luò)����。這些部門有個共同點,就是都有訪問Internet的權(quán)限����。企業(yè)網(wǎng)絡(luò)是通過路由器連接到Internet的,路由器安裝調(diào)試之處����,只是設(shè)置了可以訪問Internet的計算機IP地址及訪問時間段,所以沒有訪問權(quán)限的計算機為了達到某種目的��,私自更改本機的IP地址�,造成IP地址沖突����。為了解決這個問題�,更換了新的路由器,這種路由器具有MAC地址過濾����,MAC地址綁定,網(wǎng)絡(luò)流量分配等功能����。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時�����,路由器要檢查發(fā)出這個IP廣播包的計算機的MAC是否與路由器上的MAC地址表相符�,如果相符就放行����,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的計算機返回一個警告信息�。同時也限定了工作站的訪問流量,防止使用BT��,迅雷等下載工具長時間的大量占用網(wǎng)絡(luò)寬帶。2006年末的“熊貓燒香”病毒����,造成上百萬臺電腦和千余家企業(yè)網(wǎng)絡(luò)被感染,特別是對企業(yè)網(wǎng)絡(luò)造成了很大的危害���,也使人們對企業(yè)網(wǎng)絡(luò)安全有了進一步的認(rèn)識�����。
第一�,在企業(yè)網(wǎng)絡(luò)中����,利用在對等網(wǎng)中對計算機中的某個目錄設(shè)置共享,進行資料的傳輸與共享是人們常采用的一個方法�����。但是在設(shè)置過程中����,要充分認(rèn)識到當(dāng)一個目錄共享后,就不光是企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶可以訪問到,而是連在網(wǎng)絡(luò)上的各臺計算機都能對它進行訪問�����。這也成了數(shù)據(jù)資料安全的一個隱患���。有些人認(rèn)為計算機只有自己使用�����,不需要設(shè)置密碼���,這就造成非法用戶可以通過網(wǎng)絡(luò)共享隨意訪問計算機中的數(shù)據(jù)。為了防止資料的外泄���,在設(shè)置共享時一定要設(shè)置訪問密碼�����。只有這樣,才能保證共享目錄資料的安全�����。有條件的話,應(yīng)設(shè)立專門的文件服務(wù)器�����,進行統(tǒng)一管理��。
第二�����,企業(yè)內(nèi)部網(wǎng)速變得異常緩慢�,許多計算機之間無法相互訪問,ERP系統(tǒng)軟件經(jīng)常出現(xiàn)不能正常登錄的情況���。排除掉硬件因素���,將工作站的共享去掉后,網(wǎng)速恢復(fù)正常�����,經(jīng)調(diào)查�,發(fā)現(xiàn)是病毒在作怪,一旦聯(lián)網(wǎng)��,病毒就開始四處散播,占用了相當(dāng)大的網(wǎng)絡(luò)寬帶���,造成了網(wǎng)速下降��。在“熊貓燒香”病毒發(fā)作期間����,曾經(jīng)采取斷開網(wǎng)絡(luò)��,進行逐臺計算機殺毒����,但聯(lián)網(wǎng)后很快又被傳染,始終不能徹底清除�����。因此在網(wǎng)絡(luò)環(huán)境下��,病毒傳播擴散快��,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒�����,必須有合適于局域網(wǎng)的全方位防病毒產(chǎn)品����。企業(yè)網(wǎng)絡(luò)是內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件�����。如果與互聯(lián)網(wǎng)相連�,就需要網(wǎng)關(guān)的防病毒軟件,加強上網(wǎng)計算機的安全�。所以采用網(wǎng)絡(luò)版殺毒軟件是唯一的方法,這樣不必每臺工作站都需上網(wǎng)升級��,由殺毒服務(wù)器統(tǒng)一升級�����,也能做到統(tǒng)一管理�����,避免了無故退出�����,非法卸載等誤操作。
另外�,操作人員的素質(zhì)不同,也造成了許多安全的隱患��。使用外來磁盤����、光盤、U盤等存儲介質(zhì)����,應(yīng)該養(yǎng)成先殺毒的習(xí)慣。上網(wǎng)時���,不訪問非法的網(wǎng)站�,下載不明的文件���,接收到的郵件中��,可能包含木馬病毒等非法程序��,所以不認(rèn)識的信件盡量不要打開����,而那些業(yè)務(wù)上、朋友的信件也要認(rèn)真檢查��。制定相應(yīng)的計算機管理制度也是加強企業(yè)網(wǎng)絡(luò)安全的一個重要手段���,使企業(yè)人員從認(rèn)識上積極對待,工作中嚴(yán)格實行���。
作者:閆志康 李偉洋 高淑平 單位:濮陽同力水泥有限公司 濮陽市生產(chǎn)力促進中心
企業(yè)網(wǎng)絡(luò)安全論文:企業(yè)網(wǎng)絡(luò)安全風(fēng)險分析及策略
一�����、網(wǎng)絡(luò)操作系統(tǒng)安全風(fēng)險分析與對策
目前常用網(wǎng)絡(luò)操作系統(tǒng)有windows�、UNIX�、linux操作系統(tǒng),這些操作系統(tǒng)開發(fā)在過程中要考慮到方便用戶使用�,但在方便使用的前提下也暴露出一些問題:(1)操作系統(tǒng)默認(rèn)配置存在安全隱患:如Windows操作系統(tǒng)默認(rèn)設(shè)置可以從光盤或U盤啟動,這種設(shè)置可以避開登錄密碼直接進入操作系統(tǒng)�,另外操作系統(tǒng)默認(rèn)安裝了一些不常用的服務(wù)和端口,為非法用戶的入侵提供了便利��。(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上共享數(shù)據(jù)���、加載或安裝程序,這些功能方便了非法用戶注入和運行木馬程序,為獲取用戶的信息提供了方便之門����。(3)操作系統(tǒng)自身結(jié)構(gòu)問題,如:windows操作系統(tǒng)自身提供的IPC$鏈接����、遠程調(diào)用等都存在安全隱患����。IPC$鏈接是通過DOS界面在獲得管理員權(quán)限的前提下獲得遠程計算機的信息;ftp服務(wù)傳輸過程為明碼傳輸�,使用抓包工具即可獲取FTP服務(wù)器的登錄賬號和密碼,telnet遠程登錄需要經(jīng)過很多的環(huán)節(jié)����,中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全問題,所以為了加固網(wǎng)路操作安全可以采用以下措施:1�����、加強物理安全管理禁止通過DOS或其它操作系統(tǒng)訪問NTFS分區(qū)�����。在BIOS中設(shè)置口令,禁止使用U盤或光驅(qū)引導(dǎo)系統(tǒng)��。2�、加強用戶名和口令的管理windows操縱系統(tǒng)Administrator管理員用戶和Unix/Linux操作系統(tǒng)root特權(quán)用戶均具有對操作系統(tǒng)的完全控制權(quán)限,所以是入侵者想要獲取的信息���。用戶名保護:Windows非管理員賬戶在輸入密碼錯誤后可設(shè)置成鎖定該用戶,但是Administrator不能刪除和禁用�,所以攻擊者可以反復(fù)嘗試登陸,試圖獲取密碼����。為了增加攻擊者獲取管理員權(quán)限的難度,可以為Administrator重命名���,這樣攻擊者不但要猜出密碼���,還要先猜出管理員修改后的用戶名。Root用戶不能更名��,為了保護該用戶�����,在沒有必要的情況下��,不要用root用戶登錄本機及遠程登錄服務(wù)器。密碼保護:密碼設(shè)置應(yīng)按照密碼復(fù)雜度要求設(shè)置并定期更換密碼�����,同時密碼的設(shè)置不要用普通的英文單詞或比較公開的信息如生日���、車牌等�。3�����、加強用戶訪問權(quán)限的管理有些管理員為了方便用戶訪問文件系統(tǒng)��,為用戶開放了所有權(quán)限��,如windows操作系統(tǒng)中為everyone工作組授予了“完全控制”權(quán)限��,UNIX/Linux操作系統(tǒng)為所有用戶設(shè)置讀寫執(zhí)行權(quán)限����,這樣的設(shè)置方便非法用戶上傳木馬,所以為了文件系統(tǒng)的安全����,必須重新設(shè)置文件系統(tǒng)的權(quán)限�,在保證正常運行的前提下��,為用戶設(shè)置最小的訪問權(quán)限���。4��、加強服務(wù)和端口的管理當(dāng)用戶開啟操作系統(tǒng)后�����,操作系統(tǒng)自帶的某些服務(wù)會自動運行,而非法用戶會針對這些服務(wù)進行遠程攻擊�����,而一些不常使用的端口也容易被非法用戶利用����,作為再次入侵的后門,所以應(yīng)該將不常使用的服務(wù)和端口關(guān)閉�。
二、數(shù)據(jù)安全風(fēng)險分析及對策
企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)安全不可避免的受到外界的威脅��,而數(shù)據(jù)的任何失誤,都可能對企業(yè)帶來巨大的損失�。目前數(shù)據(jù)泄漏的主要途徑是:辦公計算機或硬盤的外帶;利用移動存儲設(shè)備將數(shù)據(jù)帶出����;通過網(wǎng)絡(luò)傳輸文件;通過外設(shè)拷貝數(shù)據(jù)���;服務(wù)器被非法入侵等�。為了防止企業(yè)數(shù)據(jù)泄露可以采用如下措施:1��、磁盤加密針對硬盤丟失或被盜造成的泄密風(fēng)險��,可以通過對磁盤驅(qū)動層的加密加固處理��,保證硬盤在被非法外帶或丟失后呈“鎖死”狀態(tài)�����,硬盤內(nèi)容無法被他人所讀取�����。2�����、移動存儲設(shè)備使用管理對于移動存儲設(shè)備設(shè)置加密寫入,即拷貝到該類設(shè)備的文檔都會以密文形式存在��,密文只有拷貝回本地計算機才能解除加密���。3�、文檔傳輸控制對于文檔傳輸可以采取文件外發(fā)對象控制(指定可以外發(fā)文件的對象列表)�、文件外發(fā)加密(外發(fā)的文檔處于加密狀態(tài))、文件外發(fā)審批(外發(fā)的文件需要經(jīng)領(lǐng)導(dǎo)審批方可發(fā)送)等形式進行控制����。4、外設(shè)與外設(shè)端口管理針對具備數(shù)據(jù)傳輸?shù)臄?shù)據(jù)端口和外設(shè)����,如紅外���、藍牙�、無線網(wǎng)卡�����、刻錄光驅(qū)等,只要與辦公無實質(zhì)性的聯(lián)系應(yīng)設(shè)置為禁用����。5、文件服務(wù)器安全管理公司內(nèi)部之間最為普及的是利用文件服務(wù)器進行文件傳遞�。文件服務(wù)器上的數(shù)據(jù)經(jīng)過長期累積存儲,往往會成為“竊密”的重災(zāi)區(qū)����。為了防止服務(wù)器的外泄,可以在防火墻中過濾和排查來訪者身份的真實性與有效性���,只有合法的客戶端且得到管理員授權(quán)的用戶會被放行���,非法用戶將被禁止。
作者:王琪 單位:天津工程職業(yè)技術(shù)學(xué)院
企業(yè)網(wǎng)絡(luò)安全論文:供電企業(yè)網(wǎng)絡(luò)安全管理綜述
1建立保護區(qū)域與防護等級措施��,提高對信息系統(tǒng)的控制力
供電企業(yè)的信息系統(tǒng)應(yīng)該根據(jù)自身生產(chǎn)特點����,劃分為生產(chǎn)控制區(qū)域管理信息區(qū),并且對于業(yè)務(wù)處理進行分級���,實現(xiàn)差異化的防護措施���,提高防護水平與防護效果�。其中����,對于生產(chǎn)控制區(qū)的劃分上,可以劃分為控制區(qū)與非控制區(qū)����,將專用數(shù)據(jù)網(wǎng)絡(luò)進行網(wǎng)段阻隔,劃分為安全控制區(qū)��,并且與其他控制區(qū)之間安裝電力專用正向單向隔離裝置��。對于管理信息區(qū)中��,要安裝硬件防火墻�����,對訪問行為進行嚴(yán)格的控制�,做好以下工作:(1)加強口令管理與數(shù)據(jù)備份�����,提高系統(tǒng)安全性?����?诹钚畔⑹潜WC信息安全的重要環(huán)節(jié)���,也是驗證權(quán)限的重要手段��。所有服務(wù)器與計算機��,都需要設(shè)置開機口令���,并且保證口令的安全性與復(fù)雜性。對于安全口令進行定期的更換�,提高口令的安全性。(2)在計算機日常使用的過程中����,要設(shè)定屏幕保護,并開啟屏幕保護密碼��。與此同時��,還要關(guān)閉遠程桌面功能����,避免被外來人員進行遠程訪問與控制���。數(shù)據(jù)備份是提高系統(tǒng)安全性的另一項重要舉措,是保護系統(tǒng)數(shù)據(jù)完整性的主要方式���。計算機管理人員需要對信息系統(tǒng)中的數(shù)據(jù)進行定期的備份���,在出現(xiàn)病毒入侵、數(shù)據(jù)損壞等情況下����,及時的進行數(shù)據(jù)恢復(fù),保證信息系統(tǒng)的正常運作���。個人電腦在日常使用中���,也要注意做好信息的備份。(3)加強殺毒與漏洞掃描的工作���,消除系統(tǒng)安全隱患�。電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)管理者�,需要根據(jù)自身企業(yè)內(nèi)部網(wǎng)絡(luò)情況,購買專業(yè)殺毒軟件��,提高整體網(wǎng)絡(luò)的安全性���。對于殺毒軟件��,需要進行定期的病毒庫更新�����,對計算機病毒庫進行實時的升級��,降低網(wǎng)絡(luò)病毒與木馬對計算機的影響�����。對于系統(tǒng)漏洞的管理上�,要采用漏洞自動掃描系統(tǒng)����,對于系統(tǒng)的安全風(fēng)險進行評估,及時的對系統(tǒng)中的漏洞進行整改���。信息系統(tǒng)管理員要對網(wǎng)絡(luò)系統(tǒng)進行定期的評測��,對于系統(tǒng)中存在的安全風(fēng)險與漏洞進行有效的處理���,降低系統(tǒng)運行風(fēng)險���,提高系統(tǒng)的可靠性與穩(wěn)定性。
2加強物理安全和主機安全的管理��,提高對安全事故的響應(yīng)能力
電力企業(yè)內(nèi)部員工在日常工作中�,要注重對計算機電話的保護,下班后及時關(guān)閉計算機�,從而延長計算機使用壽命,保護硬件設(shè)設(shè)備的安全�。針對特殊雷雨天氣,要做好防雷擊與防潮工作���,保護機房的環(huán)境���。在對于機房的管理上,要執(zhí)行嚴(yán)格的登記制度��,避免無關(guān)人員進入機房���。對于服務(wù)器與數(shù)據(jù)庫的訪問上��,要嚴(yán)格對訪問權(quán)限進行管理��,關(guān)閉可能造成系統(tǒng)受攻擊的服務(wù)與端口����,最大限度的提高服務(wù)器的安全運行水平�����。在安全管理工作中�����,要建立科學(xué)有效的應(yīng)急預(yù)案���,爭取在出現(xiàn)安全事件時����,第一時間的進行響應(yīng)與處理���,降低影響與損失�,保證電網(wǎng)最快的恢復(fù)正常運行。
3結(jié)束語
完善和落實各項規(guī)章制度��,構(gòu)建良好的安全管理體系�,將信息安全作為企業(yè)日常管理中的重要內(nèi)容。企業(yè)管理者要重視信息安全����,并且認(rèn)識到網(wǎng)絡(luò)信息安全對于電力系統(tǒng)正常運行的意義。管理者要制定和完善內(nèi)部網(wǎng)絡(luò)信息安全管理制度����,并且對有關(guān)制度進行嚴(yán)格的執(zhí)行,做好日常監(jiān)督工作�。在安全責(zé)任的劃分上,要做好責(zé)任落實����,對于專人簽訂專門的安全責(zé)任書。日常工作中還要積極的組織職工接受安全教育宣傳與培訓(xùn)��,提高職工安全認(rèn)識與信息安全保護的水平����。
作者:李鋮 徐歡
企業(yè)網(wǎng)絡(luò)安全論文:通信企業(yè)網(wǎng)絡(luò)安全與防范探索
1企業(yè)內(nèi)部人員的非法操作和非法登錄
隨著計算機技術(shù)在電信生產(chǎn)中的廣泛應(yīng)用,許多企業(yè)員工的計算機技術(shù)得到了一定程度的提高�����,又因電信企業(yè)各工作站點分布在不同的生產(chǎn)場所,有的生產(chǎn)場所管理不嚴(yán)����,職工和維護人員口令沒有注意保密,導(dǎo)致企業(yè)內(nèi)部部分員工在非工作時間盜用他人密碼登錄系統(tǒng)進行非法操作����,嚴(yán)重地威脅到系統(tǒng)數(shù)據(jù)安全及生產(chǎn)流程的有效管理�。外部人員的非法入侵。電信企業(yè)計算機網(wǎng)絡(luò)和相關(guān)上級部門實現(xiàn)了互聯(lián)�����,勢必存在著有人通過這種互聯(lián)非法入侵的可能性����;同時,因部分設(shè)備廠家遠程維護的需要�,提供了部分遠程撥號登錄端口,如果對該登錄端口管理失控��,那么設(shè)備供應(yīng)廠家眾多計算機網(wǎng)絡(luò)高手必然借機非法入侵�,使該系統(tǒng)成為他人練習(xí)技術(shù)的場所�。電腦病毒的破壞�。在現(xiàn)代計算機世界里,數(shù)以千萬計的電腦病毒無疑是令無數(shù)計算機工作者頭痛的問題�,特別是近年來,破壞硬件的病毒不斷出現(xiàn)�,例如CIH病毒等,對計算機系統(tǒng)的破壞性大大增強����。物理設(shè)備的破壞。因為火災(zāi)��、雷擊���、電源��、被盜等原因造成小型機或主網(wǎng)絡(luò)設(shè)備服務(wù)器的硬件損壞���、被盜,導(dǎo)致網(wǎng)絡(luò)中斷�,數(shù)據(jù)全部丟失,也是威脅電信企業(yè)計算機網(wǎng)絡(luò)安全的重要因素�。
2電信企業(yè)計算機網(wǎng)絡(luò)安全的防范措施
通過前面的分析,我們可以知道��,電信企業(yè)計算機網(wǎng)絡(luò)平臺上的信息資源事關(guān)廣大客戶能否正常享有電信企業(yè)提供的各項服務(wù)及企業(yè)各項業(yè)務(wù)生產(chǎn)處理流程能否正常進行,因而一旦安全受到威脅�����,將會危及整個網(wǎng)絡(luò)的正常運轉(zhuǎn)�,甚至?xí)谷W(wǎng)的機器癱瘓,大量重要數(shù)據(jù)丟失���,造成無法估計的損失��。為了防止此類事件的發(fā)生���,必須根據(jù)企業(yè)實際情況����,制定防范措施,確保網(wǎng)絡(luò)的安全性�,筆者認(rèn)為應(yīng)該從以下幾個方面來考慮:
2.1分利用先進的計算機技術(shù),分別在網(wǎng)絡(luò)層���、系統(tǒng)設(shè)備層���、應(yīng)用層進行分級安全保護�����。網(wǎng)絡(luò)建設(shè)時����,必須按國際C2級安全性標(biāo)準(zhǔn)來規(guī)劃��、設(shè)計����;在CISCO路由設(shè)備中,利用CISCOIOS操作系統(tǒng)的安全保護�,設(shè)置用戶口令及ENABLE口令,解決網(wǎng)絡(luò)層的安全問題����;對廠家遠程維護的撥號上網(wǎng)用戶,加入口令保護���,使用加密協(xié)議�,監(jiān)控其上網(wǎng)維護過程�����。構(gòu)建網(wǎng)絡(luò)防火墻體系,過濾縱向網(wǎng)與電信企業(yè)計算機網(wǎng)絡(luò)訴互聯(lián)��,防止外部用戶的非法入侵����。充分利用UNIX系統(tǒng)的安全機制,保證用戶身份����、用戶授權(quán)和基于授權(quán)的系統(tǒng)的安全。對各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫設(shè)立訪問權(quán)限��;同時�,利用UNIX的安全文件,限制遠程登錄主機�����,以防非法用戶使用TELNET�����、FTP等遠程登錄工具���,進行非法入侵�����。
2.2建立電信計算機網(wǎng)絡(luò)電腦病毒立體預(yù)防體系�。面對日益猖獗的計算機病毒���,企業(yè)的計算機管理部門必須建立有效的規(guī)章制度����,定期對網(wǎng)絡(luò)系統(tǒng)進行防病毒檢查���。
2.3加強計算機網(wǎng)絡(luò)安全性管理�����。企業(yè)必須設(shè)立專門的系統(tǒng)安全性管理員����,負(fù)責(zé)整個網(wǎng)絡(luò)系統(tǒng)的安全性監(jiān)控��、管理�、維護。必須做好小型機及服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)�����、核心網(wǎng)絡(luò)路由設(shè)備���、網(wǎng)絡(luò)交換機等系統(tǒng)超級用戶的口令管理��,嚴(yán)格保密����,防止他人竊取�����。因為超級用戶具有至高無上的權(quán)限�,其口令為網(wǎng)絡(luò)安全性的第一道大門,一旦失竊�����,其他安全性措施都將成為空話��,系統(tǒng)將可能受到嚴(yán)重的破壞�����。嚴(yán)格禁止系統(tǒng)管理員在中心機房之外使用超級用戶口令進行系統(tǒng)維護�,確保超級用戶口令安全。建立健全企業(yè)生產(chǎn)用計算機網(wǎng)絡(luò)設(shè)備管理制度�,對各生產(chǎn)場所的計算機設(shè)備嚴(yán)格管理,實行專人負(fù)責(zé)管理�����,嚴(yán)禁非工作人員上機操作���。
2.4嚴(yán)格維護制度��,確保物理設(shè)備的安全��。物理設(shè)備的安全是其他安全性措施的基礎(chǔ)����,如果物理設(shè)備遭到嚴(yán)重破壞���,如燒毀�、雷擊����、被盜等����,那么其他安全措施�、手段將無從談起。系統(tǒng)管理員必須做好機房防火�、防盜、防水�、防雷等各項安全防范工作,確保網(wǎng)絡(luò)系統(tǒng)物理設(shè)備的安全���。系統(tǒng)管理員必須做好經(jīng)常性的操作系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)的備份工作�����,有條件的必須將備份數(shù)據(jù)存放于不同地點的多個介質(zhì)上�����,以防物理設(shè)備遭到嚴(yán)重破壞時��,能夠在新設(shè)備上恢復(fù)操作系統(tǒng)及數(shù)據(jù)���。
3總結(jié)
隨著電信企業(yè)的進一步發(fā)展�����,網(wǎng)絡(luò)的擴大����,電信企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)的安全性將受到更多的威脅��,企業(yè)領(lǐng)導(dǎo)��、技術(shù)管理人員和普通員工都必須進一步提高計算機網(wǎng)絡(luò)安全意識���,高度重視�����,充分認(rèn)識電信計算機網(wǎng)絡(luò)系統(tǒng)安全的重要性��,提高警惕����,確保網(wǎng)絡(luò)的安全���、穩(wěn)定運行���。
作者:馬俊嶺 單位:內(nèi)蒙古聯(lián)通公司呼倫貝爾根河市分公司
企業(yè)網(wǎng)絡(luò)安全論文:改善企業(yè)網(wǎng)絡(luò)安全與維護體系綜述
企業(yè)內(nèi)部計算機的網(wǎng)絡(luò)知識
通過先進的網(wǎng)絡(luò)管理技術(shù)����,使企業(yè)的商業(yè)信息安全使用���。企業(yè)計算機網(wǎng)絡(luò)維護主要包括物理安全和邏輯安全兩方面����,物理安全指的是對計算機硬件設(shè)備進行保護��,不受到外界損壞�����;邏輯安全指的是企業(yè)內(nèi)部信息的完整和隱秘性���。雖然很多企業(yè)已經(jīng)開始建立企業(yè)內(nèi)部計算機網(wǎng)絡(luò)�,但因為每個企業(yè)的性質(zhì)和規(guī)模不同����,對內(nèi)部計算機網(wǎng)絡(luò)安全的程度也不相同����。國有企業(yè)是國家的重要經(jīng)濟來源�����,所以���,應(yīng)當(dāng)把國有企業(yè)的內(nèi)部計算機網(wǎng)絡(luò)安全問題放在首位。計算機的網(wǎng)絡(luò)技術(shù)為整個企業(yè)的生產(chǎn)作出了重要貢獻��,隨著黑客技術(shù)的不斷發(fā)展����,很多企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)也遭到了破壞,重要的商業(yè)信息不斷外泄�����,對企業(yè)造成了嚴(yán)重的經(jīng)濟損失�。企業(yè)內(nèi)部的某些員工私自篡改數(shù)據(jù),將病毒釋放到企業(yè)內(nèi)部計算機內(nèi)�����,導(dǎo)致企業(yè)信息的真實性大大降低。企業(yè)內(nèi)部計算機的特征獨立性強企業(yè)內(nèi)部的網(wǎng)絡(luò)是為企業(yè)生產(chǎn)管理所服務(wù)的����,和外界無關(guān),所以企業(yè)內(nèi)部的網(wǎng)絡(luò)獨立性很強����。企業(yè)內(nèi)部的計算機和外界計算機沒有直接聯(lián)系,有些企業(yè)為了提高業(yè)務(wù)量��,會與因特網(wǎng)相聯(lián)系�����,企業(yè)內(nèi)網(wǎng)用了S/C軟件這種結(jié)構(gòu)可以向企業(yè)提供電子郵件和網(wǎng)上會議等多種服務(wù)���。應(yīng)用這種軟件�����,使企業(yè)內(nèi)部的不同部門可以相互傳輸數(shù)據(jù)�����,為整個企業(yè)的辦公提供了極大便利�����。企業(yè)的內(nèi)網(wǎng)與企業(yè)的運營有直接聯(lián)系隨著一系列生產(chǎn)系統(tǒng)的普及����,企業(yè)的運營對計算機的依賴性也越來越大。企業(yè)的辦公也逐漸進入無紙化�,企業(yè)內(nèi)部的網(wǎng)絡(luò)也成為了企業(yè)內(nèi)部信息交流和傳輸?shù)妮d體,這是保證企業(yè)正常生產(chǎn)運行的先決條件����。因為網(wǎng)絡(luò)在企業(yè)生產(chǎn)中占有重要地位����,所以對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全系數(shù)要求也越來越大。終端機����、服務(wù)器以及網(wǎng)絡(luò)這三個要素構(gòu)成了企業(yè)內(nèi)部的計算機網(wǎng)絡(luò),形成了一個連續(xù)性極強的整體����,每個安全漏洞都會給一個企業(yè)帶來嚴(yán)重的經(jīng)濟損失,必須要保證數(shù)據(jù)庫的穩(wěn)定性和有效性��,保證企業(yè)內(nèi)部計算機的安全運行。
企業(yè)內(nèi)部要建立起安全的防御體系
對不同安全區(qū)域的網(wǎng)絡(luò)信息進行管理�����;要對網(wǎng)絡(luò)安全全面開展訪問控制�、防火墻設(shè)置以及日志管理;對企業(yè)網(wǎng)絡(luò)流量進行控制和保護要不斷完善訪問控制設(shè)施���,實現(xiàn)對用戶身份認(rèn)證和授權(quán)的管理要建立一個審計系統(tǒng)���。企業(yè)內(nèi)部要建立一個安全的網(wǎng)絡(luò)構(gòu)架,將計算機網(wǎng)絡(luò)從原來的平面結(jié)構(gòu)轉(zhuǎn)變?yōu)楸Wo結(jié)構(gòu)����,形成外部網(wǎng)、工作網(wǎng)和生產(chǎn)網(wǎng)三層結(jié)構(gòu)��。在網(wǎng)絡(luò)邊緣區(qū)域����,通過邊界保衛(wèi)策略,對其實施多點控制��,使網(wǎng)絡(luò)被劃分成不同級別的層次和區(qū)域,控制好各層之間的信息流��。
企業(yè)內(nèi)部計算機的網(wǎng)絡(luò)控制
對企業(yè)重要信息加密���。網(wǎng)絡(luò)信息加密有三種方法:節(jié)點加密��、鏈路加密和端口加密�,這些加密法的目的是為了保護計算機內(nèi)部所儲存的重要資料以及指令��、文件等提供安全性���。這種加密方法可以保證信息在傳輸中的安全�。至于如何來選擇這些加密方法�����,可以根據(jù)企業(yè)用戶的情況需要自由選擇�����。物理安全保護策略物理安全的保護����,主要針對于計算機硬件上的設(shè)備提供保護。物理安全策略可以保護企業(yè)計算機在一個安全的環(huán)境下工作���。這種策略還可以設(shè)定用戶訪問權(quán)限��,制定計算機的使用制度���,防止黑客攻擊、盜竊以及破壞等行為的發(fā)生���。訪問控制的策略訪問控制是對企業(yè)內(nèi)部計算機網(wǎng)絡(luò)安全最有保障的手段之一�,它主要被用來防范非法訪問和使用網(wǎng)絡(luò)資源���,通常有以下措施:(1)屬性安全控制���,這種控制對計算機中的文件和網(wǎng)絡(luò)設(shè)備之間開設(shè)了一條“專屬通道”,可以有效的保證信息安全���。(2)防火墻的控制��,這些可以有效的防止黑客進攻企業(yè)電腦�。(3)入網(wǎng)訪問進行控制��,主要限制用戶進入和使用某些資源,最大程度控制非法訪問情況的放生��。
結(jié)語
對于企業(yè)而言���,怎樣最大限度發(fā)揮出計算機的優(yōu)勢��,防止黑客攻擊�,是企業(yè)管理者和用戶都應(yīng)該關(guān)心的問題��。在企業(yè)計算機網(wǎng)絡(luò)防范中��,企業(yè)要根據(jù)自身的需要��,制定出一套健全的計算機網(wǎng)絡(luò)方法策略��。制度防范并不能代表技術(shù)防范���,而技術(shù)防范則可以很好的彌補制度防范中的不足。在企業(yè)內(nèi)部自身網(wǎng)絡(luò)的安全防范中��,除了要考慮到企業(yè)員工對計算機網(wǎng)絡(luò)安全意識的淡薄之外�,還要防范企業(yè)內(nèi)部的計算機網(wǎng)絡(luò)攻擊。在當(dāng)今這個黑客猖獗�����、計算機病毒肆虐的信息化時代里,企業(yè)除了要保證內(nèi)部計算機網(wǎng)絡(luò)的安全���、有效和完整����,還要不斷探索和發(fā)掘更新�����,更先進的安全防范技術(shù)����。
作者:謝鶴 金賢 單位:山西晉緣網(wǎng)絡(luò)技術(shù)有限公司
企業(yè)網(wǎng)絡(luò)安全論文:煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)研究
摘要:
本文闡述了國內(nèi)煙草企業(yè)面對的網(wǎng)絡(luò)信息安全的主要威脅,分析其網(wǎng)絡(luò)安全防護體系建設(shè)的應(yīng)用現(xiàn)狀�,指出其中存在的問題,之后�,從科學(xué)設(shè)定防護目標(biāo)原則、合理確定網(wǎng)絡(luò)安全區(qū)域��、大力推行動態(tài)防護措施����、構(gòu)建專業(yè)防護人才隊伍�、提升員工安全防護意識等方面����,提出加強煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)的策略,希望對相關(guān)工作有所幫助�����。
關(guān)鍵詞:
煙草企業(yè)��;網(wǎng)絡(luò)安全防護�����;體系建設(shè)
隨著信息化的逐步發(fā)展���,國內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平��,打造信息化時代下的現(xiàn)代煙草企業(yè)��。但享受網(wǎng)絡(luò)帶來便捷的同時�,也正遭受到諸如病毒�����、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來的影響���。因此���,越來越多的煙草企業(yè)對如何強化網(wǎng)絡(luò)安全防護體系建設(shè)給予了高度關(guān)注。
1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素
受各種因素影響�����,煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅�。
1.1人為因素
人為的無意失誤,如操作員安全配置不當(dāng)造成的安全漏洞��,用戶安全意識不強�����,用戶口令選擇不慎�,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。人為的惡意攻擊�����,這是計算機網(wǎng)絡(luò)所面臨的最大威脅��,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊�,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊���,他是在不影響網(wǎng)絡(luò)正常工作的情況下����,進行截獲�����、竊取與破譯等行為獲得重要機密信息���。
1.2軟硬件因素
網(wǎng)絡(luò)安全設(shè)備投資方面�����,行業(yè)在防火墻����、網(wǎng)管設(shè)備�����、入侵檢測防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位,但各類應(yīng)用系統(tǒng)���、數(shù)據(jù)庫、軟件存在漏洞和“后門”���。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的�����,如Telnet漏洞����、Web軟件��、E-mail漏洞�����、匿名FTP等���,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)�����。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件���,其大部分是因為安全措施不完善所招致的苦果��。軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的�,一般不為外人所知�����,一旦被破解�����,其造成的后果將不堪設(shè)想��。另外�����,各種新型病毒發(fā)展迅速���,超出防火墻屏蔽能力等����,都使企業(yè)安全防護網(wǎng)絡(luò)遭受嚴(yán)重威脅。
1.3結(jié)構(gòu)性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護體系結(jié)構(gòu)���,多數(shù)采用的是混合型結(jié)構(gòu)�,星形和總線型結(jié)構(gòu)重疊并存�����,相互之間極易產(chǎn)生干擾���。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊���,或者�����,網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯誤操作�,都可能造成網(wǎng)絡(luò)安全問題����。
2煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)現(xiàn)狀
煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè),仍然存在著很多不容忽視的問題,亟待引起高度關(guān)注�。
2.1業(yè)務(wù)應(yīng)用集成整合不足
不少煙草企業(yè)防護系統(tǒng)在建設(shè)上過于單一化、條線化�,影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性,安全防護信息沒有實現(xiàn)跨部門�����、跨單位���、跨層級上的交流��,相互之間不健全的信息共享機制����,滯后的信息資源服務(wù)決策�����,影響了信息化建設(shè)的整體效率��。缺乏對網(wǎng)絡(luò)安全防護體系建設(shè)的頂層設(shè)計����,致使信息化建設(shè)未能形成整體合力��。
2.2信息化建設(shè)特征不夠明顯
網(wǎng)絡(luò)安全防護體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志����,但如基礎(chǔ)平臺的集成性��、基礎(chǔ)設(shè)施的集約化�����、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后�����。主營煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合����,對影響企業(yè)發(fā)展的管理制度�����、業(yè)務(wù)需求�����、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo),缺乏宏觀角度上的溝通協(xié)調(diào)�����,致使在信息化建設(shè)中���,業(yè)務(wù)���、管理、技術(shù)“三位一體”的要求并未落到實處���,影響了網(wǎng)絡(luò)安全防護的效果��。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認(rèn)識�����,其尚未完全融入企業(yè)信息化建設(shè)的各個環(huán)節(jié)�,加上企業(yè)信息化治理模式構(gòu)建不成熟等原因��,制約了企業(yè)安全綜合防范能力與運維保障體系建設(shè)的整體效能����,導(dǎo)致在網(wǎng)絡(luò)威脅的防護上較為被動�����,未能做到主動化�����、智能化分析�,導(dǎo)致遭受病毒��、木馬����、釣魚網(wǎng)站等反復(fù)侵襲。
3加強煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)的策略
煙草企業(yè)應(yīng)以實現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)���,秉承科學(xué)頂層設(shè)計、合理統(tǒng)籌規(guī)劃�����、力爭整體推進的原則���,始終堅持兩級主體����、協(xié)同建設(shè)和項目帶動的模式,按照統(tǒng)一架構(gòu)�、安全同步、統(tǒng)一平臺的技術(shù)規(guī)范�,才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。
3.1遵循網(wǎng)絡(luò)防護基本原則
煙草企業(yè)在建設(shè)安全防護網(wǎng)絡(luò)時����,應(yīng)明白建設(shè)安全防護網(wǎng)絡(luò)的目標(biāo)與原則,清楚網(wǎng)絡(luò)使用的性質(zhì)����、主要使用人員等基本情況。并在邏輯上對安全防護網(wǎng)絡(luò)進行合理劃分�,不同區(qū)域的防御體系應(yīng)具有針對性,相互之間邏輯清楚����、調(diào)用清晰,從而使網(wǎng)絡(luò)邊界更為明確���,相互之間更為信任�。要對已出現(xiàn)的安全問題進行認(rèn)真分析�����,并歸類統(tǒng)計,大的問題盡量拆解細分�,類似的問題歸類統(tǒng)一,從而將復(fù)雜問題具體化���,降低網(wǎng)絡(luò)防護工作的難度�。對企業(yè)內(nèi)部網(wǎng)絡(luò)來說�,應(yīng)以功能為界限來劃分,以劃分區(qū)域為安全防護區(qū)域���。同時���,要不斷地完善安全防護體系建設(shè)標(biāo)準(zhǔn),打破不同企業(yè)之間網(wǎng)絡(luò)安全防護體系的壁壘���,實現(xiàn)信息資源更大程度上的互聯(lián)互通��,從而有效地提升自身對網(wǎng)絡(luò)威脅的抵御力。
3.2合理確定網(wǎng)絡(luò)安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡(luò)過程中����,不同的區(qū)域所擔(dān)負(fù)的角色是不同的��。為此�,內(nèi)部網(wǎng)絡(luò)�����,在設(shè)計之初�,應(yīng)以安全防護體系、業(yè)務(wù)操作標(biāo)準(zhǔn)�、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對區(qū)域進行劃分。同時��,對生產(chǎn)���、監(jiān)管�����、流通�����、銷售等各個環(huán)節(jié)���,要根據(jù)其業(yè)務(wù)特點強化對應(yīng)的網(wǎng)絡(luò)使用管理制度��,既能實現(xiàn)網(wǎng)絡(luò)安全更好防護����,也能幫助企業(yè)實現(xiàn)更為科學(xué)的管控與人性化的操作���。在對煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進行劃分時�����,不能以偏概全�、一蹴而就���,應(yīng)本著實事求是的態(tài)度�,根據(jù)企業(yè)實際情況�����,以現(xiàn)有的網(wǎng)絡(luò)安全防護為基礎(chǔ)��,有針對性地進行合理的劃分�����,才能取得更好的防護效果����。
3.3大力推行動態(tài)防護措施
根據(jù)網(wǎng)絡(luò)入侵事件可知,較為突出的問題有病毒更新?lián)Q代快����、入侵手段與形式日趨多樣、病毒防護效果滯后等�。為此,煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護體系時�����,應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護技術(shù)�����,且系統(tǒng)要能夠隨時升級換代�����,從而提升總體防護力���。同時�,要定期對煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進行分析,確定系統(tǒng)存在哪些漏洞����、留有什么隱患,實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護�����。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機制�����,在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時�����,確保在最短的時間內(nèi)恢復(fù)系統(tǒng)的基本功能�,為后期確定問題原因與及時恢復(fù)系統(tǒng)留下時間,并且確保企業(yè)業(yè)務(wù)的開展不被中斷����,不會為企業(yè)帶來很大的經(jīng)濟損失。另外����,還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作����,構(gòu)建病毒防護戰(zhàn)略聯(lián)盟����,為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護效果提供堅實的技術(shù)支撐�。
3.4構(gòu)建專業(yè)防護人才隊伍
人才是網(wǎng)絡(luò)安全防護體系的首要資源,缺少專業(yè)性人才的支撐����,再好的信息安全防護體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護的工作專業(yè)性很強�,既要熟知信息安全防護技術(shù),也要對煙草企業(yè)生產(chǎn)全過程了然于胸����,并熟知國家政策法規(guī)等制度。因此���,煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護人才隊伍���,要采取定期選送��、校企聯(lián)訓(xùn)����、崗位培訓(xùn)等方式�����,充分挖掘內(nèi)部人力資源�,提升企業(yè)現(xiàn)有信息安全防護人員的能力素質(zhì)�����,也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作����,引進高素質(zhì)專業(yè)技術(shù)人才,從而為企業(yè)更好地實現(xiàn)信息安全防護效果打下堅實的人才基礎(chǔ)�。
3.5提升員工安全防護意識
技術(shù)防護手段效果再好,員工信息安全防護意識不佳�����,系統(tǒng)也不能取得好的效果����。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心�,統(tǒng)一對企業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)進行管理培訓(xùn)�,各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位��,負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況����。賬號使用�����、信息��、權(quán)限確定等�,都要置于信息管理培訓(xùn)中心的制約監(jiān)督下,都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中���,杜絕違規(guī)使用網(wǎng)絡(luò)��、肆意泄露信息等現(xiàn)象的發(fā)生�����。對全體員工開展網(wǎng)絡(luò)安全教育���,提升其網(wǎng)絡(luò)安全防護意識����,使其認(rèn)識到安全防護體系的重要性�����,從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡(luò)����。
4結(jié)語
煙草企業(yè)管理者必須清醒認(rèn)識到,利用信息網(wǎng)絡(luò)加快企業(yè)升級換代��、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向����、大勢所趨,絕不能因為網(wǎng)絡(luò)存在安全威脅而固步自封�����、拒絕進步����。但也要關(guān)注信息化時代下網(wǎng)絡(luò)安全帶來的挑戰(zhàn)�����,以實事求是的態(tài)度�����,大力依托信息網(wǎng)絡(luò)安全技術(shù)���,構(gòu)建更為安全的防護體系����,為企業(yè)做大做強奠定堅實的基礎(chǔ)。
作者:王世蓮 單位:陜西中煙旬陽卷煙廠
企業(yè)網(wǎng)絡(luò)安全論文:企業(yè)網(wǎng)絡(luò)安全論文
1網(wǎng)絡(luò)安全技術(shù)
1.1 加密技術(shù)
加密技術(shù)是企業(yè)常用保護數(shù)據(jù)信息的一種便捷技術(shù)����,主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進行保護,避免被不法分子盜取利用��。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法����。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進行變換�����,改變其原有特征�����,讓外部人員無法直接觀察其本質(zhì)含義�����,這種加密技術(shù)具有簡便性和有效性�����,但是存在一定的風(fēng)險�����,一旦加密規(guī)律被別人知道后就很容易將其破解���。基于公鑰的加密算法指的是由對應(yīng)的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法�����。這種加密方法具有較強的隱蔽性,外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙�,因此具有較強的保密性。
1.2 身份鑒定技術(shù)
身份鑒定技術(shù)就是根據(jù)具體的特征對個人進行識別��,根據(jù)識別的結(jié)果來判斷識別對象是否符合具體條件��,再由系統(tǒng)判斷是否對來人開放權(quán)限�����。這種方式對于冒名頂替者十分有效���,比如指紋或者后虹膜����,一般情況下只有本人才有權(quán)限進行某些專屬操作���,也難以被模擬,安全性能比較可靠��。這樣的技術(shù)一般應(yīng)用在企業(yè)高度機密信息的保密過程中�,具有較強的實用性。
2企業(yè)網(wǎng)絡(luò)安全體系解決方案
2.1 控制網(wǎng)絡(luò)訪問
對網(wǎng)絡(luò)訪問的控制是保障企業(yè)網(wǎng)絡(luò)安全的重要手段,通過設(shè)置各種權(quán)限避免企業(yè)信息外流�,保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡(luò)設(shè)置按照面向?qū)ο蟮姆绞竭M行設(shè)置���,針對個體對象按照網(wǎng)絡(luò)協(xié)議進行訪問權(quán)限設(shè)置����,將網(wǎng)絡(luò)進行細分�,根據(jù)不同的功能對企業(yè)內(nèi)部的工作人員進行權(quán)限管理。企業(yè)辦公人員需要使用到的功能給予開通���,其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限��。另外對于一些重要信息設(shè)置寫保護或讀保護�,從根本上保障企業(yè)機密信息的安全�。另外對網(wǎng)絡(luò)的訪問控制可以分時段進行,例如某文件只可以在相應(yīng)日期的一段時間內(nèi)打開�����。企業(yè)網(wǎng)絡(luò)設(shè)計過程中應(yīng)該考慮到網(wǎng)絡(luò)安全問題��,因此在實際設(shè)計過程中應(yīng)該對各種網(wǎng)絡(luò)設(shè)備��、網(wǎng)絡(luò)系統(tǒng)等進行安全管理,例如對各種設(shè)備的接口以及設(shè)備間的信息傳送方式進行科學(xué)管理�,在保證其基本功能的基礎(chǔ)上消除其他功能,利用當(dāng)前安全性較高的網(wǎng)絡(luò)系統(tǒng)�����,消除網(wǎng)絡(luò)安全的脆弱性��。企業(yè)經(jīng)營過程中由于業(yè)務(wù)需求常需要通過遠端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡(luò)��,遠程連接過程中脆弱的網(wǎng)絡(luò)系統(tǒng)極容易成為別人攻擊的對象���,因此在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該加入安全性能較高的遠程訪問設(shè)備����,提高遠程網(wǎng)絡(luò)訪問的安全性�。同時對網(wǎng)絡(luò)系統(tǒng)重新設(shè)置,對登入身份信息進行加密處理�,保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取,在數(shù)據(jù)傳輸過程中通過相應(yīng)的網(wǎng)絡(luò)技術(shù)對傳輸?shù)臄?shù)據(jù)審核���,避免信息通過其他渠道外泄,提高信息傳輸?shù)陌踩浴?
2.2 網(wǎng)絡(luò)的安全傳輸
電子商務(wù)時代的供應(yīng)鏈建立在網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上�,供應(yīng)鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡(luò)以及與供應(yīng)商之間的網(wǎng)絡(luò)上進行傳遞,信息在傳遞過程中容易被不法分子盜取,給企業(yè)造成重大經(jīng)濟損失�。為了避免信息被竊取,企業(yè)可以建設(shè)完善的網(wǎng)絡(luò)系統(tǒng)��,通過防火墻技術(shù)將身份無法識別的隔離在企業(yè)網(wǎng)絡(luò)之外����,保證企業(yè)信息在安全的網(wǎng)絡(luò)環(huán)境下進行傳輸。另外可以通過相應(yīng)的加密技術(shù)對傳輸?shù)男畔⑦M行加密處理�����,技術(shù)一些黑客破解企業(yè)的防火墻��,竊取到的信息也是難以理解的加密數(shù)據(jù)�,加密過后的信息常常以亂碼的形式存在。從理論上而言��,加密的信息仍舊有被破解的可能性�,但現(xiàn)行的數(shù)據(jù)加密方式都是利用復(fù)雜的密匙處理過的,即使是最先進的密碼破解技術(shù)也要花費相當(dāng)長的時間�����,等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時效性����,成為一條無用的信息�,對企業(yè)而言沒有任何影響��。
2.3 網(wǎng)絡(luò)攻擊檢測
一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò)���,并從中找到漏洞進入企業(yè)內(nèi)部網(wǎng)絡(luò)����,對企業(yè)信息進行竊取或更改��。為避免惡意網(wǎng)絡(luò)攻擊���,企業(yè)可以引進入侵檢測系統(tǒng)���,并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來,對企業(yè)信息實行雙重保護����。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu),將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡(luò)內(nèi)部的各個環(huán)節(jié)���,尤其是重要部門的機密信息需要重點監(jiān)控�。利用防火墻技術(shù)實現(xiàn)企業(yè)網(wǎng)絡(luò)的第一道保護屏障�,再配以檢測技術(shù)以及相關(guān)加密技術(shù),防火記錄用戶的身份信息��,遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員����。后續(xù)的入侵檢測技術(shù)將徹底阻擋黑客的攻擊,并對黑客身份信息進行分析����。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù),難以從中得到有效信息���。通過這些網(wǎng)絡(luò)安全技術(shù)的配合���,全方位消除來自網(wǎng)絡(luò)黑客的攻擊,保障企業(yè)網(wǎng)絡(luò)安全����。
3結(jié)束語
隨著電子商務(wù)時代的到來,網(wǎng)絡(luò)技術(shù)將會在未來一段時間內(nèi)在企業(yè)的運轉(zhuǎn)中發(fā)揮難以取代的作用�����,企業(yè)網(wǎng)絡(luò)安全也將長期伴隨企業(yè)經(jīng)營管理,因此必須對企業(yè)網(wǎng)絡(luò)實行動態(tài)管理�,保證網(wǎng)絡(luò)安全的先進性,為企業(yè)的發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境�����。
作者:關(guān)勇單位:大慶市郵政局
企業(yè)網(wǎng)絡(luò)安全論文:企業(yè)網(wǎng)絡(luò)安全解決戰(zhàn)略
摘要 隨著信息化技術(shù)的飛速發(fā)展����,許多有遠見的企業(yè)都認(rèn)識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出���。經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強���,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大��,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜�����。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求�����。信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次�,針對網(wǎng)絡(luò)、系統(tǒng)���、應(yīng)用、數(shù)據(jù)做全面的防范�。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前�、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終�。
關(guān)鍵詞 信息安全;PKI���;CA����;VPN
1 引言
隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展�����,企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加��,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益���,但隨之而來的安全問題也在困擾著用戶�,在2003年后,木馬�����、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化��。這都對企業(yè)信息安全提出了更高的要求���。
隨著信息化技術(shù)的飛速發(fā)展�,許多有遠見的企業(yè)都認(rèn)識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力����,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場����,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題���、效率問題���、考核問題���、信息傳遞問題、信息安全問題等����,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段�����。
在下面的描述中�,以某公司為例進行說明��。
2 信息系統(tǒng)現(xiàn)狀
2.1 信息化整體狀況
1)計算機網(wǎng)絡(luò)
某公司現(xiàn)有計算機500余臺�,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃�����,通過防火墻與外網(wǎng)互聯(lián)�����。在內(nèi)部網(wǎng)絡(luò)中,各計算機在同一網(wǎng)段�����,通過交換機連接�。
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)���,包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)����。隨著計算機網(wǎng)絡(luò)的進一步完善�,計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2 信息安全現(xiàn)狀
為保障計算機網(wǎng)絡(luò)的安全���,某公司實施了計算機網(wǎng)絡(luò)安全項目����,基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況��,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全�,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品�,極大地提升了公司計算機網(wǎng)絡(luò)的安全性�����,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件����、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用�����。
3 風(fēng)險與需求分析
3.1 風(fēng)險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析��,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強���,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大����,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求�。
(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心�,因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強對數(shù)據(jù)的備份��,并運用技術(shù)手段,提高數(shù)據(jù)的機密性�����、完整性和可用性�。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展����、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成�����、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷��,具體表現(xiàn)在:
(1)系統(tǒng)性不強����,安全防護僅限于網(wǎng)絡(luò)安全,系統(tǒng)�����、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險�����。
目前實施的安全方案是基于當(dāng)時的認(rèn)識進行的,主要工作集中于網(wǎng)絡(luò)安全���,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段�。如缺乏有效的身份認(rèn)證�����,對服務(wù)器�、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充�;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露�����。
當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念�,是基于這樣一種信任模型的�����,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的���。在這種信任模型下��,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部�,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全�,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的���。在這種信任模型中����,假設(shè)所有用戶都可能對信息安全造成威脅��,并且可以各種更加方便的手段對信息安全造成威脅��,比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息��,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器��,下載重要的信息并盜取出去����。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部��,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程��,某公司缺乏相關(guān)的規(guī)章制度�����、技術(shù)規(guī)范��,也沒有選用有關(guān)的安全服務(wù)����。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢����,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級��。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中�����,有不少在功能和性能上都不能滿足進一步提高信息安全的要求���。如為進一步提高全網(wǎng)的安全性�����,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴(yán)格限制��,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸��。同時病毒的防范�����、新的攻擊手段也對防火墻提出了更多的功能上的要求�����,現(xiàn)有的防火墻不具備這些功能�。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上�,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運營����、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期�����,在規(guī)劃的過程中,就運用風(fēng)險評估����、風(fēng)險管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費��。
3.2 需求分析
如前所述�����,某公司信息系統(tǒng)存在較大的風(fēng)險�,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò),也需要做好系統(tǒng)�、應(yīng)用、數(shù)據(jù)各方面的安全防護����。為此,要加強安全防護的整體布局�����,擴大安全防護的覆蓋面�����,增加新的安全防護手段。
(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加����,以及新的攻擊手段的不斷出現(xiàn)��,使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)����,原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求�����,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)�����,使安全防范的各項工作都能夠有序���、規(guī)范地進行����。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù)�����,做好事前�����、事中和事后的各項防范工作��,應(yīng)對不斷出現(xiàn)的各種安全威脅�,也是某公司面臨的重要課題。
4 設(shè)計原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃�、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)�����、分步實施”的原則進行���,避免重復(fù)投入���、重復(fù)建設(shè),充分考慮整體和局部的利益�。
4.1 標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定�,使安全技術(shù)體系的建設(shè)達到標(biāo)準(zhǔn)化���、規(guī)范化的要求���,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)��。
4.2 系統(tǒng)化原則
信息安全是一個復(fù)雜的系統(tǒng)工程�����,從信息系統(tǒng)的各層次����、安全防范的各階段全面地進行考慮��,既注重技術(shù)的實現(xiàn)���,又要加大管理的力度�,以形成系統(tǒng)化的解決方案�����。
4.3 規(guī)避風(fēng)險原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)�、應(yīng)用等方方面面,任何改造�、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)��、穩(wěn)定運行��,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險�����。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題����,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化�����,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)��,設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接��。
4.4 保護投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力�,某公司分期��、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)����,配置了相應(yīng)的設(shè)施���。因此���,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃�����、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時����,對現(xiàn)有安全系統(tǒng)采取了完善�����、整合的辦法�����,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能��,而不是排斥或拋棄����。
4.5 多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破����。但是建立一個多重保護系統(tǒng),各層保護相互補充����,當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全�����。
4.6 分步實施原則
由于某公司應(yīng)用擴展范圍廣闊��,隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加��,系統(tǒng)脆弱性也會不斷增加����。一勞永逸地解決安全問題是不現(xiàn)實的�。針對安全體系的特性����,尋求安全、風(fēng)險�����、開銷的平衡���,采取“統(tǒng)一規(guī)劃����、分步實施”的原則�。即可滿足某公司安全的基本需求����,亦可節(jié)省費用開支。
5 設(shè)計思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮����,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)��、系統(tǒng)、應(yīng)用����、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程����,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備���,安全管理應(yīng)貫穿安全防范活動的始終����,如圖2所示���。
網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的�����,需要在風(fēng)險����、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析��,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查�,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容�����。通過本次安全項目的實施�,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺���,都必須建立在一個安全可信的網(wǎng)絡(luò)之上�����。目前���,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure�����,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系����,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題���,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障���,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)��,建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝�����,在此體系中通過數(shù)字證書來確認(rèn)對方的身份��。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密���,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成����。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé)�,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)���。
5.2 邊界防護和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)���,是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比�,具有降低成本及維護費用、易于擴展�、數(shù)據(jù)傳輸?shù)母甙踩浴?
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案��。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w�����,通過加密����、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道����,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式����,實現(xiàn)移動用戶、遠程LAN的安全連接����。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控�,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護�����。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置���。
5.3 安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一���。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛��,成為人們交流的重要工具����,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播���。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患����。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的�。首先,它的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu)����,所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證����,整個信任關(guān)系基本是樹狀的。其次���,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送����。保證了信件內(nèi)容的安全性�。
5.4 桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部���。很早之前安全界就有數(shù)據(jù)顯示��,近80%的網(wǎng)絡(luò)安全事件���,是來自于企業(yè)內(nèi)部。同時�,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確�,如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等�,因此,對于企業(yè)的威脅更為嚴(yán)重���。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段��。
桌面安全系統(tǒng)把電子簽章��、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起����,形成一個整體��,是針對客戶端安全的整體解決方案�。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性����。采用組件技術(shù)��,可以無縫嵌入OFFICE系統(tǒng)����,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者�。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后��,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)��。用戶如果需要離開計算機��,只需拔出智能密碼鑰匙�����,即可鎖定計算機����。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中��,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性���。
5.5 身份認(rèn)證
身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程��?��;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便�����、安全的身份認(rèn)證技術(shù)�。它采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式���,很好地解決了安全性與易用性之間的矛盾�。USBKey是一種USB接口的硬件設(shè)備��,它內(nèi)置單片機或智能卡芯片�����,可以存儲用戶的密鑰或數(shù)字證書�,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證�����。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能��,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)�����、應(yīng)用安全組件�����、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系��,從而實現(xiàn)上述身份認(rèn)證�、授權(quán)與訪問控制�����、安全審計�、數(shù)據(jù)的機密性、完整性���、抗抵賴性的總體要求����。
6 方案的組織與實施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對�。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程���,也為本方案的實施提供了借鑒��。
因此在本方案的組織和實施中���,除了工程的實施外��,還應(yīng)重視以下各項工作:
(1)在初步進行風(fēng)險分析基礎(chǔ)上���,方案實施方應(yīng)進行進一步的風(fēng)險評估��,明確需求所在���,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報���。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分���,必要時可借助專業(yè)公司的安全服務(wù)����,提高應(yīng)對重大安全事件的能力�����。
(3)該方案投資大���,覆蓋范圍廣�,根據(jù)實際情況�,可采取分地區(qū)、分階段實施的方式����。
(4)在方案實施的同時,加強規(guī)章制度�、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進一步制度化���、規(guī)范化�����。
7 結(jié)論
本文以某公司為例����,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險����,隨后提出了一整套完整的解決方案,涵蓋了各個方面��,從技術(shù)手段的改進�����,到規(guī)章制度的完善���;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理���。本方案從技術(shù)手段上����、從可操作性上都易于實現(xiàn)、易于部署����,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實施�����,可以建立較完善的信息安全體系����,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險降到最低水平�����。
企業(yè)網(wǎng)絡(luò)安全論文:化工企業(yè)網(wǎng)絡(luò)安全探討
摘要:隨著社會的發(fā)展經(jīng)濟的進步�,計算機成為人們?nèi)粘9ぷ髦猩钪谐蔀椴豢苫蛉钡闹帧U怯捎谟嬎銠C的普及�,網(wǎng)絡(luò)攻擊手段也不斷更新,各種病毒�����、黑客攻擊��、破壞、篡改���、竊取計算機中的各種信息���,這就對計算機網(wǎng)絡(luò)安全有更高的要求。如今企業(yè)和個人的計算機中都會存儲大量重要文件資料��,在這些文件資料的共享和傳輸過程中對完整性�����、保密性��、私有性也有更高的要求���。本文闡述了數(shù)據(jù)加密技術(shù)的種類及表現(xiàn)形式���,威脅計算機網(wǎng)絡(luò)安全的主要因素,分析數(shù)據(jù)加密技術(shù)在化工企業(yè)計算機網(wǎng)絡(luò)安全中的應(yīng)用��。
關(guān)鍵詞:數(shù)據(jù)加密����;網(wǎng)絡(luò)安全;化工企業(yè)
隨著計算機和互聯(lián)網(wǎng)技術(shù)的不斷普及����,數(shù)據(jù)加密技術(shù)成為網(wǎng)絡(luò)安全中最重要的技術(shù)。數(shù)據(jù)加密技術(shù)也廣泛應(yīng)用于以計算機為主導(dǎo)的化工企業(yè)的數(shù)據(jù)傳輸交換中��。
1數(shù)據(jù)加密技術(shù)的種類及其表現(xiàn)方式
化工企業(yè)中經(jīng)過數(shù)據(jù)加密技術(shù)處理過的信息����,需要經(jīng)過密鑰和解密函數(shù)的轉(zhuǎn)化才能夠使用,而沒有這個密鑰或者解密函數(shù)就會得到亂碼或者無法打開�����。
1.1數(shù)據(jù)加密技術(shù)的種類
1.1.1對稱式加密技術(shù)
對稱式加密也稱為單密鑰加密��,是一種最簡潔�,最快速的加密技術(shù),信息的加密和解密使用同一個密鑰�����,由于它的效率高�,因此被廣泛應(yīng)用于很多加密協(xié)議的核心當(dāng)中。但是因為發(fā)送和接受雙方擁有同一個密鑰����,所以只有雙方在沒有泄露密鑰的前提下��,才能夠保證傳輸數(shù)據(jù)的安全性�、完整性����。對稱加密的難就是密鑰的管理問題,通常是把對稱加密的密鑰通過非對稱式加密傳輸給接收方�����,保證在傳輸中不會被黑客截獲��,即便被截獲也不會被破譯���?�;て髽I(yè)中的郵件加密����、圖紙和條件加密基本都是使用對稱式加密傳輸?shù)姆绞絒1]����。
1.1.2非對稱式加密技術(shù)
非對稱加密技術(shù)是需要兩個密鑰來進行加密和解密�,即公開密鑰(公鑰)和私有密鑰(私鑰)�。如果用公鑰對數(shù)據(jù)進行加密就必須用對應(yīng)的私鑰進行解密��;如果用私鑰對數(shù)據(jù)進行加密就必須用對應(yīng)的公鑰進行解密�。這種加密技術(shù)雖然安全性高,但是加密解密的速度比較慢����,因此在實際的工作中大多數(shù)采用的方法是將對稱式加密中的密鑰使用非對稱是加密的公鑰進行加密,發(fā)送給接收方再使用私鑰進行解密����,得到對稱式加密中的密鑰。雙方可以用對稱式加密進行溝通����,這樣即安全又快捷。非對稱加密技術(shù)可應(yīng)用于數(shù)據(jù)加密�����,在身份認(rèn)證�、數(shù)字證書、數(shù)字簽名等領(lǐng)域也有廣泛的應(yīng)用���。
1.2數(shù)據(jù)加密的表現(xiàn)方式
隨著化工企業(yè)設(shè)計過程數(shù)字化��、信息化的不斷發(fā)展�����,各類數(shù)據(jù)在設(shè)計人員內(nèi)部之間流轉(zhuǎn)��,設(shè)計成果的可復(fù)制性雖然提高了效率���,但是也出現(xiàn)了數(shù)據(jù)安全問題���。海量的圖紙、郵件���、條件�、信息在傳輸中面臨被盜取�����、丟失的風(fēng)險�,令企業(yè)和業(yè)主蒙受巨大損失。假如被競爭對手掌握后果不堪設(shè)想。
1.2.1鏈路加密
鏈路加密又稱為在線加密���。它是同一網(wǎng)絡(luò)內(nèi)兩點傳輸數(shù)據(jù)時在數(shù)字鏈路層加密信息的一種數(shù)字保密方法�。在主服務(wù)器端的數(shù)據(jù)是明文的�,當(dāng)它離開主機的時候就會加密���,等到了下個鏈接(可能是一個主機也可能是一個中集節(jié)點)再解密�����,然后在傳輸?shù)较乱粋€鏈接前再加密����。每個鏈接可能用到不同的密鑰或不同的加密算法���。這個過程將持續(xù)到數(shù)據(jù)的接收端����。鏈路加密掩蓋了被傳送消息的源點與終點���,非法入侵一般很難截獲明文信息�����,所以保證了數(shù)據(jù)的安全性[2]��。
1.2.2節(jié)點加密
節(jié)點加密在數(shù)據(jù)網(wǎng)絡(luò)傳輸形式不會以明文出現(xiàn)�����,而是以再加密的方式將數(shù)據(jù)再次傳輸?shù)酵ǖ乐?���,避免了黑客入侵者對信息的盜取和修改。但是節(jié)點加密要求源點和終點要以明文形式出現(xiàn)����,因此也存在一定的缺陷。
1.2.3端端加密
端端加密又稱為脫線加密�。端端加密從源點到終點一直以密文的形式傳輸數(shù)據(jù),數(shù)據(jù)在到達終點之前也不會進行解密�����,因此即使在節(jié)點處有非法入侵也不會泄露數(shù)據(jù)[3]��。例如某化工企業(yè)中����,員工500多名���,業(yè)務(wù)遍布全國各省自治區(qū),數(shù)據(jù)的傳輸不僅限于局域網(wǎng)��,更遍及全國各地�,每天員工和客戶的往來郵件和圖紙等數(shù)據(jù)無數(shù),而這些數(shù)據(jù)都是以明文的形式存儲在個人或者單位計算機系統(tǒng)中���,在傳輸過程中必須要對這些文檔、圖紙加密�、設(shè)置權(quán)限等,防止設(shè)計成果的泄漏�。采用端端加密的方式能更安全更高效的保證數(shù)據(jù)和系統(tǒng)的安全。
2影響化工企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全的因素
核心數(shù)據(jù)是化工企業(yè)的命脈���。通過建立完善的信息安全系統(tǒng)���,保護化工企業(yè)核心數(shù)據(jù)尤其是企業(yè)商業(yè)機密,防止從內(nèi)部泄密����,已經(jīng)成為眾多企業(yè)的共識����。企業(yè)從信息系統(tǒng)的安全性��、穩(wěn)定性和可靠性等方面為基點��,以數(shù)據(jù)安全為目標(biāo)���,紛紛構(gòu)建企業(yè)數(shù)據(jù)防泄密體系[4]��。
2.1軟件漏洞
現(xiàn)在的軟件為了方便企業(yè)和個人的交流都會有很好開放性和共享性��,但是正因為此�����,軟件的安全問題也凸現(xiàn)出來�。通常使用的TCP/IP協(xié)議��,在網(wǎng)絡(luò)協(xié)議驗證上并沒有過多安全要求���,這也避免不了網(wǎng)絡(luò)安全問題的出現(xiàn)�。再有瀏覽器的使用過程中也會對用戶信息造成泄漏���。這就要求我們在平時要采用正版軟件并注意及時更新軟件�,減少軟件漏洞的出現(xiàn)。
2.2操作系統(tǒng)漏洞
操作系統(tǒng)是整個計算機的核心���,如果病毒侵入后就能隨意操作計算機系統(tǒng)���,盜取用戶信息。病毒還能利用木馬程序監(jiān)控用戶信息傳送��,更嚴(yán)重的能使服務(wù)器崩潰���。在化工企業(yè)的網(wǎng)絡(luò)中心應(yīng)該及時升級操作系統(tǒng)并安裝補丁���,縮小風(fēng)險����。
2.3計算機病毒
病毒能夠破壞計算機軟件、資料甚至計算機硬件�,使得計算機不能正常使用。隨著計算機網(wǎng)絡(luò)共享的不斷發(fā)展�,病毒的蔓延更加快速,輕者使得電腦運行緩慢�����,嚴(yán)重的導(dǎo)致死機、崩潰�、數(shù)據(jù)丟失等?����;て髽I(yè)網(wǎng)絡(luò)中心應(yīng)該在服務(wù)器上及個人電腦上安裝正版網(wǎng)絡(luò)版殺毒軟件��,并及時更新病毒庫�,防止計算機被病毒感染。
2.4黑客入侵
黑客主要是利用計算機系統(tǒng)的安全漏洞��,采用非法監(jiān)測等手段侵入電腦���,盜取計算機中的私密數(shù)據(jù)���。黑客入侵主要是人為的對計算機進行攻擊,所以其危害性比病毒更嚴(yán)重��。平時要避免不明來歷的下載���,減少共享設(shè)置等[5]�����。數(shù)據(jù)加密技術(shù)突飛猛進�����,要求對數(shù)據(jù)進行高強度加密和對使用者透明的解密�����,防止各種泄密情況的出現(xiàn)�����,并且還要求操作簡便���、應(yīng)用方便�����、無痕處理。數(shù)據(jù)加密采用內(nèi)核驅(qū)動級文件加密技術(shù)��,256位高強度加密算法�。在單位內(nèi)部文件可以正常流轉(zhuǎn)�����,一旦離開單位網(wǎng)絡(luò)�����,文件顯示亂碼或者打開失敗����。這樣就實現(xiàn)了設(shè)計圖紙加密��、研發(fā)數(shù)據(jù)加密��、客戶資料加密等�����。真正意義上保障了企業(yè)數(shù)據(jù)的安全性���。
作者:王欣 單位:天津渤?��;ぜ瘓F規(guī)劃設(shè)計院
企業(yè)網(wǎng)絡(luò)安全論文:企業(yè)網(wǎng)絡(luò)安全方案設(shè)計
摘要:目前計算機網(wǎng)絡(luò)已成為企業(yè)生存和發(fā)展不可或缺的組成部分,但隨著網(wǎng)絡(luò)安全問題的頻發(fā),以及網(wǎng)絡(luò)安全問題所帶來的嚴(yán)重影響�����,有必要針對目前企業(yè)網(wǎng)絡(luò)安全主要存在的問題����,提出綜合、有效����、可行的企業(yè)網(wǎng)絡(luò)安全防護設(shè)計方案。
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)����;安全;病毒���;物理
在現(xiàn)代企業(yè)的生存與發(fā)展過程中��,企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護是并行存在的���。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進展,但過去企業(yè)網(wǎng)絡(luò)處于一個封閉或者是半封閉的狀態(tài)��,只需簡單的防護設(shè)備和防護方案即可保證其安全性����。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài),這種時空的無限制性和準(zhǔn)入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素��,自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅�。因此,企業(yè)網(wǎng)絡(luò)安全防護一個永無止境的過程����,對其進行研究無論是對于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用,還是對于企業(yè)的持續(xù)發(fā)展�,都具有重要的意義。
1企業(yè)網(wǎng)絡(luò)安全問題分析
基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運行維護條件���,目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個方面��。
1.1網(wǎng)絡(luò)設(shè)備安全問題
企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器�����、網(wǎng)絡(luò)交換機�����、個人電腦�、備用電源等硬件設(shè)備,時常會發(fā)生安全問題��,而這些設(shè)備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息��,進而給企業(yè)帶來不可估量經(jīng)濟損失���。以某企業(yè)為例��,該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運行電力由UPS接12V的SOAK蓄電池組提供����,該蓄電池組使用年限行���、容量低�,在長時間停電的情況下�����,很容易由于蓄電池的電量耗盡而導(dǎo)致整個企業(yè)網(wǎng)絡(luò)的停運��。當(dāng)然���,除了電源問題外���,服務(wù)器、交換機也存在諸多安全隱患���。
1.2服務(wù)器操作系統(tǒng)安全問題
隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展����,對企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高�����。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng)�����,由于這些操作系統(tǒng)存在安全漏洞���,自然會降低服務(wù)器的安全防御指數(shù)���。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號管理等問題的存在�,在不同程度上增加了服務(wù)器的安全威脅��。
1.3訪問控制問題
企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的��,以某企業(yè)為例���,該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為,但未限制存在安全隱患的上網(wǎng)活動�。同時對于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認(rèn)證及無線網(wǎng)絡(luò)訪問節(jié)點安全檢查,任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡(luò)�。
2企業(yè)網(wǎng)絡(luò)安全防護方案
基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能���。
2.1網(wǎng)絡(luò)設(shè)備安全方案
企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個企業(yè)網(wǎng)絡(luò)安全的基本前提����,為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)��,可采取以下具體措施�����。首先���,合適傳輸介質(zhì)的選用����。盡量選擇抗干擾能力強、傳輸頻帶寬�����、傳輸誤碼率低的傳輸介質(zhì)����,例如屏蔽式雙絞線�、光纖等。其次是保證供電的安全可靠���。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對交流電源的生產(chǎn)質(zhì)量��、供電連續(xù)性��、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求�����,這就要求對企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進行優(yōu)化����。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例,為了徹底解決傳統(tǒng)電源供給不足問題��,可以更換為大容量的蓄電池組����,并安裝固定式發(fā)電機組,進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電�����,避免因為斷電而導(dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生�����。
2.2服務(wù)器系統(tǒng)安全方案
企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要��,然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的�����,需要從多個層面來構(gòu)建安全防護方案�����。
2.2.1操作系統(tǒng)漏洞安全
目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主�,該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象��,除了采取常規(guī)的更新Windows系統(tǒng)�����、安裝系統(tǒng)補丁外����,還應(yīng)針對企業(yè)網(wǎng)絡(luò)服務(wù)器及個人電腦的操作系統(tǒng)使用實際情況�����,實施專門的漏洞掃描和檢測�,并根據(jù)掃描結(jié)果做出科學(xué)�、客觀、全面的安全評估���,如圖1所示����,將證書授權(quán)入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口����,并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測�,以此來檢測和響應(yīng)網(wǎng)絡(luò)入侵威脅�����。圖1漏洞掃描及檢測系統(tǒng)
2.2.2Windows端口安全
在Windows系統(tǒng)中�����,端口是企業(yè)實現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道��,一般一臺服務(wù)器會綁定多個IP���,而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力�����,這種多個端口的對外開放在一定程度反而增加了安全威脅因素�。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運行路徑來看�,大多數(shù)都要通過服務(wù)器TCP/UDP端口,可充分這一點來預(yù)防各種網(wǎng)絡(luò)攻擊�,只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。
2.2.3Internet信息服務(wù)安全
Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的���,可通過諸多措施來提高Internet信息服務(wù)安全����。(1)基于IP地址實現(xiàn)訪問控制。通過對IIS配置�����,可實現(xiàn)對來訪IP地址的檢測����,進而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計算機的訪問站點。(2)在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器��。若在系統(tǒng)分區(qū)上安裝IIS���,IIS就會具備非法訪問屬性,給非法用戶侵入系統(tǒng)分區(qū)提供便利��,因此�,在非系統(tǒng)分區(qū)上安全IIS服務(wù)器較為科學(xué)。(3)NTFS文件系統(tǒng)的應(yīng)用����。NTFS文件系統(tǒng)具有文件及目錄管理功能,服務(wù)器Windows2000的安全機制是基于NTFS文件系統(tǒng)的,因此Windows2000安裝時選用NTFS文件系統(tǒng)��,安全性能更高�。(4)服務(wù)端口號的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問提供了諸多便捷��,但會降低安全性����,更容易受到基于端口程序漏洞的服務(wù)器攻擊,因此��,通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性���。
2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案
2.3.1強化網(wǎng)絡(luò)設(shè)備安全
強化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施��,具體包含以下措施���。(1)網(wǎng)絡(luò)設(shè)備運行安全。對各設(shè)備���、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常���,進而預(yù)防各種安全威脅。一般可通過可視化管理軟件的應(yīng)用來實現(xiàn)上述目標(biāo),例如What’supGold能實現(xiàn)對企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控����,而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。(2)網(wǎng)絡(luò)設(shè)備登錄安全����。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù),對于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名����,用戶名級別設(shè)置的一級,該級別用戶只具備讀權(quán)限�����,一般用于console����、遠程telnet登錄等需求。除此之外�,還可設(shè)置一個單獨的super密碼����,只有擁有super密碼的管理員才有資格對核心交換機實施相關(guān)配置設(shè)置。(3)無線AP安全。一般在企業(yè)內(nèi)部有多個無線AP設(shè)備��,應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個較為復(fù)雜的高級秘鑰���,從而確保無線接入網(wǎng)的安全性�。
2.3.2細分網(wǎng)絡(luò)安全區(qū)域
目前����,廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個嚴(yán)重缺陷就是當(dāng)其中各個局域網(wǎng)存在ARP病毒時,未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng)����,同時還可能泄露重要信息。為了解決這種問題�����,可對整個網(wǎng)絡(luò)進行細分��,即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個網(wǎng)段���,在每個網(wǎng)段均有不同的vlan����,從而保證安全性。
2.3.3加強通信訪問控制
針對企業(yè)各個部門對網(wǎng)絡(luò)資源的需求�,在通信訪問控制時需要注意以下幾點:對內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對口部門互通;對內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離����;體驗區(qū)只能訪問互聯(lián)網(wǎng),不能訪問辦公網(wǎng)�。以上功能的實現(xiàn),可在核心路由器和防火墻上共同配合完成�����。
作者:李常福 單位:鄭州市中心醫(yī)院
企業(yè)網(wǎng)絡(luò)安全論文:中小企業(yè)網(wǎng)絡(luò)安全策略探討
摘要:近年來�����,隨著我國科學(xué)技術(shù)和社會經(jīng)濟的不斷發(fā)展���,給我國中小企業(yè)帶來了很大的挑戰(zhàn)和機遇�����。目前���,計算機網(wǎng)絡(luò)越來越被應(yīng)用到中小企業(yè)的發(fā)展中,但是�����,網(wǎng)絡(luò)安全問題也變得越來越嚴(yán)重���,因此����,中小企業(yè)應(yīng)該重視網(wǎng)絡(luò)安全問題���。本文首先分析了中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀�����,然后講述了影響中小企業(yè)網(wǎng)絡(luò)安全的因素�,最后提出了以下安全策略�����,以供中小企業(yè)相關(guān)負(fù)責(zé)人參考���。
關(guān)鍵詞:中小企業(yè)�����;網(wǎng)絡(luò)安全���;現(xiàn)狀���;因素;策略
目前�����,隨著我國信息化的快速發(fā)展�,中小企業(yè)越來越重視計算機的使用。一直以來�����,網(wǎng)絡(luò)安全問題都是最值得關(guān)注的問題�,尤其是對于企業(yè)的發(fā)展來說,很多機密資料都放在了網(wǎng)絡(luò)中����,如果不對網(wǎng)絡(luò)安全加以管理,那么就會透漏很多企業(yè)自身的機密信息,嚴(yán)重的會使得企業(yè)面臨倒閉的風(fēng)險���。但是���,從目前我國中小企業(yè)網(wǎng)絡(luò)安全發(fā)展的現(xiàn)狀來看�����,依然存在很多的問題��,影響網(wǎng)絡(luò)安全的因素也很多�����,因此�,企業(yè)為了能夠長久穩(wěn)定的發(fā)展下去,就必須重視網(wǎng)絡(luò)安全問題���,采取行之有效的策略�,加強網(wǎng)絡(luò)安全意識與管理制度����,組建合理的企業(yè)內(nèi)網(wǎng)����,從而保證企業(yè)的經(jīng)濟不受損失����。
1中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀
現(xiàn)如今,隨著我國計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展����,中小企業(yè)都在廣泛使用計算機網(wǎng)絡(luò)信息技術(shù),但是��,在企業(yè)享受網(wǎng)絡(luò)帶來的數(shù)據(jù)共享�、異地間數(shù)據(jù)傳輸?shù)缺憬輹r,也在面臨網(wǎng)絡(luò)完全問題的威脅����。如果企業(yè)不加重視網(wǎng)絡(luò)安全管理問題,那么就會給企業(yè)帶來很大的安全隱患���。從目前我國中小企業(yè)發(fā)展的現(xiàn)狀來看����,網(wǎng)絡(luò)安全還存在很多問題��。首先,技術(shù)力量有效�。很多中小企業(yè)都注重交換機、防火墻等網(wǎng)絡(luò)設(shè)備��,因此把大量的資金都放在了投資網(wǎng)絡(luò)設(shè)備上面��,但是�����,對于設(shè)備的后期維護工作缺少過多的重視��,也沒有相關(guān)的技術(shù)工作人員加以維護���,一般都是聘用兼職人員來維護后期網(wǎng)絡(luò),因此��,使得企業(yè)存在很大的安全隱患��。其次���,缺乏網(wǎng)絡(luò)安全管理意識��。部門中小企業(yè)都沒有成立專門的網(wǎng)絡(luò)安全管理部門�����,相關(guān)領(lǐng)導(dǎo)缺乏對網(wǎng)絡(luò)安全管理的意識�,但是黑客程度的攻擊具有隱蔽性、無特定性等特點�,從而使得中小企業(yè)很容易受到侵襲。最后�����,缺乏專業(yè)的網(wǎng)絡(luò)安全管理水平����。在我國大型企業(yè)中,一般都有專業(yè)的網(wǎng)絡(luò)安全管理技術(shù)人員����,但是,對于中小企業(yè)來說�����,由于資金有限����,他們都不會聘用具有專業(yè)知識的網(wǎng)絡(luò)安全管理人員�����,一旦網(wǎng)絡(luò)出現(xiàn)安全問題�,不能在短時間內(nèi)全面解決安全問題�����,最終使得數(shù)據(jù)在網(wǎng)絡(luò)環(huán)境中使用和傳輸都可能被破壞�����、篡改或泄露����。
2影響中小企業(yè)網(wǎng)絡(luò)安全的因素
2.1病毒的侵襲
在中小企業(yè)網(wǎng)絡(luò)安全中����,病毒入侵是其中非常重要的一個因素。我們都知道����,病毒的危害性特別大,能夠嚴(yán)重破壞計算機功能或者計算機數(shù)據(jù)�����,同時,病毒也都是把自己附著在合法的可執(zhí)行文件上����,因此,不容易被企業(yè)發(fā)現(xiàn)����。病毒的特點非常多,比如破壞性�����、自我復(fù)制性����、傳染性等。但是����,病毒不是天然存在的,是當(dāng)某人在使用計算機時��,由于計算機自身軟件的脆弱性編制而產(chǎn)生的一組指令集或程序代碼�。由于病毒能夠自我復(fù)制�,因此����,一旦某計算機的某個軟件遭遇了病毒入侵,那么就會使得某個局域網(wǎng)或者一臺機器都有病毒���,在病毒入侵的過程中����,如果不及時加以制止���,那么病毒就會一直繁殖下去��,后果將不堪設(shè)想�,從而就會導(dǎo)致整個系統(tǒng)都癱瘓�。
2.2黑客的非法闖入
眾所周知��,網(wǎng)絡(luò)具有開放性�,因此,決定了網(wǎng)絡(luò)的多樣性和復(fù)雜性����。在網(wǎng)絡(luò)管理中���,黑客的非法闖入也是常見的一種網(wǎng)絡(luò)安全影響因素,如果中小企業(yè)遭遇了黑客的非法闖入�����,那么就會使得整個企業(yè)網(wǎng)絡(luò)都面臨很大的安全隱患�。隨著我國科學(xué)技術(shù)的不斷發(fā)展,計算機技術(shù)也在迅猛發(fā)展�,同時各式各樣的黑客也在緊跟科技腳步,非法闖入行為屢見不鮮����。黑客攻擊行為主要分為兩種,即破壞性攻擊和非破壞性攻擊�����。其中破壞性攻擊主要目的就是侵入他人電腦系統(tǒng)��、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)和盜竊系統(tǒng)保密信息�;而非破壞性攻擊主要是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料����。據(jù)相關(guān)調(diào)查顯示�,黑客攻擊行為越來越猖獗�,組織越來越龐大,如果不加以制止�,那么就會在很大程度上阻礙企業(yè)的發(fā)展。
3中小企業(yè)網(wǎng)絡(luò)安全策略
3.1加強網(wǎng)絡(luò)安全意識與管理制度
對于中小企業(yè)來說��,加強網(wǎng)絡(luò)安全意識與管理制度屬于網(wǎng)絡(luò)安全管理中的一項重要策略��。由于受到傳統(tǒng)思想的束縛���,很多中小企業(yè)都把大量資金投入到生產(chǎn)中�����,忽視網(wǎng)絡(luò)安全的重要性�。在企業(yè)的網(wǎng)絡(luò)安全管理中����,很多網(wǎng)絡(luò)管理人員都缺乏相應(yīng)的專業(yè)知識,缺乏安全防范意識���,從而導(dǎo)致了企業(yè)信息資源經(jīng)常發(fā)生泄漏現(xiàn)象。因此����,中小企業(yè)應(yīng)該加強網(wǎng)絡(luò)安全意識與管理制度�����,定期對相關(guān)工作人員進行安全知識的培訓(xùn)����,防止因為疏忽而發(fā)生信息資源泄漏���,幫助員工熟練掌握網(wǎng)絡(luò)安全管理技能���,讓他們充分認(rèn)識到網(wǎng)絡(luò)安全管理的重要性。與此同時���,有條件的企業(yè)還可以聘用國外發(fā)達國家的相關(guān)網(wǎng)絡(luò)安全專家�����,幫助企業(yè)內(nèi)部工作人員增長豐富的實踐經(jīng)驗����,做到未雨綢繆,維護網(wǎng)絡(luò)信息的保密性和完整性����,保證企業(yè)的經(jīng)濟利益不受損失,從而促進企業(yè)的長久穩(wěn)定發(fā)展����。
3.2組建合理的企業(yè)內(nèi)網(wǎng)
在網(wǎng)絡(luò)管理中,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全是其中的首要任務(wù)�����,只有保證了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全���,才能有效開展企業(yè)內(nèi)部信息的安全傳遞���,因此,企業(yè)要組建合理的企業(yè)內(nèi)網(wǎng)����。企業(yè)內(nèi)網(wǎng)的主要目的就是要合理保證網(wǎng)絡(luò)安全,根據(jù)企業(yè)自身發(fā)展情況和信息安全級別���,從而對企業(yè)網(wǎng)絡(luò)進行隔離和分段�����。同時��,企業(yè)內(nèi)網(wǎng)的核心是要對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進行科學(xué)合理的設(shè)計����,從而保證企業(yè)內(nèi)網(wǎng)的安全穩(wěn)定性�。其中針對網(wǎng)絡(luò)分段來說,主要包括兩種方式���,即物理分段和邏輯分段���。網(wǎng)絡(luò)分段的優(yōu)勢也很多,一般情況下各網(wǎng)段相互之間是無法進行直接通信的����,因此,對網(wǎng)絡(luò)進行分段��,能夠?qū)崿F(xiàn)各網(wǎng)絡(luò)分段訪問間的單獨訪問控制���,從而避免非法用戶的入侵���。比如����,把網(wǎng)絡(luò)分成多個IP子網(wǎng)�,各個網(wǎng)絡(luò)間主要通過防火墻或者路由器連接,通過這些設(shè)備來達到控制各子網(wǎng)間的訪問目的����。由此可見,企業(yè)組建合理的企業(yè)內(nèi)網(wǎng)是保證網(wǎng)絡(luò)安全的一項重要策略��。
3.3合理設(shè)置加密方式及權(quán)限
在中小企業(yè)的發(fā)展中��,數(shù)據(jù)安全非常重要�,它能夠直接影響企業(yè)的信息、資源和機密數(shù)據(jù)的安全性和穩(wěn)定性���,因此��,企業(yè)在網(wǎng)絡(luò)安全管理中�,一定要充分認(rèn)識到數(shù)據(jù)安全的重要性��。企業(yè)可以采用數(shù)據(jù)加密技術(shù)�����,這主要是因為數(shù)據(jù)加密可以保護企業(yè)內(nèi)部的數(shù)據(jù)信息不被侵犯,從而保證企業(yè)內(nèi)部數(shù)據(jù)信息的完整性����。從目前我國企業(yè)的發(fā)展來看���,主要采用的加碼技術(shù)有兩種:對稱加密技術(shù)和非對稱加密技術(shù)�。通俗來說����,數(shù)據(jù)加密技術(shù)就是對內(nèi)部信息數(shù)據(jù)進行重新編碼,防止機密數(shù)據(jù)被黑客破譯���。由此可見���,企業(yè)應(yīng)該合理設(shè)置加密方式及權(quán)限,從而保證企業(yè)內(nèi)部信息數(shù)據(jù)的安全性和完整性���。
3.4使用防火墻及殺毒軟件實時監(jiān)控
中小企業(yè)要想保護內(nèi)部網(wǎng)絡(luò)信息的安全�����,還有一個重要的措施就是使用防火墻及殺毒軟件實時監(jiān)控�����。防火墻主要是起到一個門衛(wèi)的作用���,是保證網(wǎng)絡(luò)安全的第一道防線��。防火墻可以限制每個IP的流量和連接數(shù)���,如果得不到防火墻的“許可”,外部數(shù)據(jù)是不可能進入企業(yè)內(nèi)部系統(tǒng)的�。與此同時,防火墻還有監(jiān)視作用���,通過防火墻能夠了解入侵?jǐn)?shù)據(jù)的有效信息��,并且檢查所處理的每個消息的源���。因此,中小企業(yè)為了阻止病毒的入侵�,就要使用防火墻,并安裝網(wǎng)絡(luò)版防病毒軟件����,從而避免病毒的有效入侵和擴散�����,最終保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性和穩(wěn)定性���。
4結(jié)束語
總而言之,隨著市場經(jīng)濟的不斷變革���,中小企業(yè)越來越重視網(wǎng)絡(luò)安全管理問題。對于中小企業(yè)來說�����,網(wǎng)絡(luò)安全管理是一項長期且復(fù)雜的工作�,企業(yè)必須要充分認(rèn)識到網(wǎng)絡(luò)安全的重要性,不斷加強網(wǎng)絡(luò)安全意識與管理制度�,組建合理的企業(yè)內(nèi)網(wǎng),并合理設(shè)置加密方式及權(quán)限�,從而保證企業(yè)能夠可持續(xù)發(fā)展下去。
作者:楊海亮 馬天丁 李震 單位:南京水利科學(xué)研究院
企業(yè)網(wǎng)絡(luò)安全論文:企業(yè)網(wǎng)絡(luò)安全管理及防護策略
隨著信息化技術(shù)的發(fā)展和行業(yè)滲透��,煙草行業(yè)的信息化網(wǎng)絡(luò)技術(shù)應(yīng)用逐步加深�,問題也隨之而來:計算機網(wǎng)絡(luò)防護能力較弱���、存儲數(shù)據(jù)量越來越大,信息安全問題劇增��,網(wǎng)絡(luò)安全隱患得不到有效保障�����,企業(yè)信息難以得到安全有效的保護��,企業(yè)網(wǎng)絡(luò)安全問題不容樂觀���。因此��,深入探討網(wǎng)絡(luò)安全問題�����,建立健全安全監(jiān)測機制�����,探索安全防護策略是十分必要的����。
1網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全問題就是指在網(wǎng)絡(luò)上傳輸?shù)男畔踩?網(wǎng)絡(luò)安全涵蓋網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不會受到攻擊��、篡改����、破壞、泄露����、中斷等現(xiàn)象,即硬件設(shè)備應(yīng)穩(wěn)定運行����,軟件系統(tǒng)穩(wěn)定可靠、網(wǎng)絡(luò)連續(xù)不中斷���、數(shù)據(jù)全面且安全。網(wǎng)絡(luò)安全問題既要從技術(shù)上進行有效的風(fēng)險控制���,注重防范外部入侵����、黑客攻擊��、病毒等;還要從管理上加強控制��,注重人為因素����。計算機網(wǎng)絡(luò)安全問題中,最主要的問題就是病毒���,計算機在網(wǎng)絡(luò)環(huán)境下����、在有外部設(shè)備如優(yōu)盤����、移動硬盤、光盤等連接的情況下����,計算機都容易感染病毒,不及時清除病毒�,會帶來一系列問題,最簡單最直接就是計算機運行速度降低����、病毒導(dǎo)致文件破損甚至丟失��,給用戶帶來不便�;嚴(yán)重病毒甚至篡改系統(tǒng)程序��、非法入侵計算機盜取重要數(shù)據(jù)和信息�����,給用戶帶來信息安全的威脅���。網(wǎng)絡(luò)安全管理分工��、職責(zé)不明確��,使用權(quán)限不匹配�,保密意識淡薄����,對網(wǎng)絡(luò)安全不夠重視���,容易造成遇到事情互相推諉的局面����。另外,網(wǎng)絡(luò)安全管理人員的相關(guān)培訓(xùn)有待加強�����。
2網(wǎng)絡(luò)安全技術(shù)防護
2.1防火墻技術(shù)
防火墻技術(shù)實際上是一種隔離技術(shù)�����,將計算機與內(nèi)部網(wǎng)絡(luò)��、外部網(wǎng)絡(luò)����、公共網(wǎng)絡(luò)、專用網(wǎng)絡(luò)之間架設(shè)的一種隔離保護屏障���,數(shù)據(jù)和信息經(jīng)防火墻隔離后從計算機流出�����,保護加密信息��;外界數(shù)據(jù)和信息經(jīng)防火墻流入計算機��,將外界有病毒的�����、不安全的��、不確定的因素隔離掉�。防火墻是軟件和硬件的組合體,是計算機解決網(wǎng)絡(luò)安全問題的首要基本方法��。
2.2升級操作系統(tǒng)���,修復(fù)漏洞
計算機操作系統(tǒng)本身結(jié)構(gòu)��、程序復(fù)雜��,操作系統(tǒng)供應(yīng)商也在不斷的更新����、完善系統(tǒng)�����,用戶應(yīng)及時升級操作系統(tǒng)���,補正最新的補丁�����,修復(fù)系統(tǒng)漏洞�,以便防御各種惡意入侵�,將系統(tǒng)風(fēng)險降至最低。
2.3安裝防病毒軟件
保護用戶計算機網(wǎng)絡(luò)的安全性的最基礎(chǔ)和最重要的一環(huán)就是安裝防病毒軟件�,如360殺毒、瑞星殺毒等�。通過定時使用防病毒軟件對計算機各個硬盤及網(wǎng)絡(luò)環(huán)境進行掃描,對于其中文件����、郵件、以及代有可執(zhí)行的文件.exe等進行掃描���,發(fā)現(xiàn)并清除病毒文件�。另外�,用戶需經(jīng)常及時的更新病毒庫,以防范新病毒的入侵�����。
2.4數(shù)據(jù)庫管理
數(shù)據(jù)庫存儲著計算機的所有數(shù)據(jù)和信息,是計算機系統(tǒng)非常重要的部分����,為防止發(fā)生突發(fā)性的情況,數(shù)據(jù)庫要進行一用一備的雙數(shù)據(jù)庫��,煙草行業(yè)使用信息化系統(tǒng)隨著使用時間和使用規(guī)模的增加����,數(shù)據(jù)量增大,除了一用一備的數(shù)據(jù)庫管理模式�����,更應(yīng)該建設(shè)數(shù)據(jù)庫災(zāi)備管理����、雙機熱備等,以應(yīng)對緊急情況�,以實現(xiàn)對數(shù)據(jù)庫的安全管理及維護,保證系統(tǒng)數(shù)據(jù)和信息的安全��、準(zhǔn)確和全面��。
2.5數(shù)據(jù)加密技術(shù)
在數(shù)據(jù)量的激增�,用戶隨時隨地利用網(wǎng)絡(luò)查看信息的需求�����,大數(shù)據(jù)、云計算的使用越來越廣泛的環(huán)境下����,保障用戶的數(shù)據(jù)有效、完整���、保密顯得更為突出�����。數(shù)據(jù)加密技術(shù)對于云計算和大數(shù)據(jù)來說�,是一種行之有效的保密���、安全技術(shù)���,原理是用戶對某部分?jǐn)?shù)據(jù)發(fā)起查詢指令,云端將數(shù)據(jù)發(fā)送出去后����,要經(jīng)過加密軟件轉(zhuǎn)換成加密文件進行傳輸���,再傳輸給用戶端前,在經(jīng)過解密文件進行還原�����。加密和解密的過程都離不開關(guān)鍵的環(huán)節(jié)就是密鑰�。數(shù)據(jù)加密技術(shù)在互聯(lián)網(wǎng)大數(shù)據(jù)、云計算的大環(huán)境下���,是非常必要的�����,通過加密技術(shù)來保證數(shù)據(jù)傳遞的真實性����、可靠性和保密性���。
3網(wǎng)絡(luò)安全管理
3.1加強防范措施
計算機網(wǎng)絡(luò)安全的防護不僅需要技術(shù)手段上的保駕護航�����,更需要管理手段的完善和提高�。煙草行業(yè)網(wǎng)絡(luò)管理部分需要建立網(wǎng)絡(luò)監(jiān)測管理系統(tǒng)和機制,安排進行必要的日常巡檢�����、漏洞更新等常規(guī)操作�,并定期對所有計算機進行涉密檢查,對計算機內(nèi)的信息和數(shù)據(jù)進行全面監(jiān)測���,發(fā)現(xiàn)異常情況及時處理。安全����、可靠、完備的監(jiān)測管理手段���,可以在一定程度上防止外部攻擊�����。制定合理的網(wǎng)絡(luò)管理規(guī)范和安全制度�,能從根本上有效地防止人為因素產(chǎn)生的漏洞��。規(guī)范上網(wǎng)行為�����,制定上網(wǎng)行為管理規(guī)范,有效降低內(nèi)部員工上網(wǎng)誤操作帶來的損失�����。制定移動存儲設(shè)備管理制度���,杜絕將存有機密信息的存儲設(shè)備���、筆記本計算機等設(shè)備帶離崗位或單位,如有必要需要建立申請制度��。
3.2加強管理制度
煙草行業(yè)信息化管理部門要建立健全網(wǎng)絡(luò)安全管理機構(gòu)和相關(guān)制度��,使得相關(guān)人員在工作過程中做到分工明確����、有張可循、責(zé)任到人���。對于風(fēng)險要有嚴(yán)密的防控機制�,出現(xiàn)問題要有合理快速的解決辦法可循,將事故率降至最低�。建立完善的管理工作交接、使用權(quán)限交接等的制度和規(guī)則����,網(wǎng)絡(luò)管理人員如遇工作調(diào)動、辭職�、退休等情況時,交接工作有章可循�。
3.3注重人才培養(yǎng)
計算機、網(wǎng)絡(luò)技術(shù)需要專業(yè)性強的人才進行運行和管理���,因此,加強煙草行業(yè)網(wǎng)絡(luò)管理專業(yè)技術(shù)人才隊伍建設(shè)和能力提升�����,對于提升煙草行業(yè)網(wǎng)絡(luò)安全等級具有現(xiàn)實意義����。注重高級人才的引進和現(xiàn)有人員的培養(yǎng)、培訓(xùn)����,對網(wǎng)絡(luò)管理人員進行專業(yè)知識的培訓(xùn),普及信息安全技術(shù),組織信息安全保密知識學(xué)習(xí)�����,聽取相關(guān)專家的行業(yè)發(fā)展講座���,提高網(wǎng)絡(luò)管理人員的整體素質(zhì)��,從專業(yè)技能到宏觀大局都具有前瞻性����。對信息中心網(wǎng)絡(luò)安全人員進行信息化和網(wǎng)絡(luò)方面的專業(yè)技術(shù)培訓(xùn)��,包括統(tǒng)一標(biāo)準(zhǔn)����、數(shù)據(jù)庫維護、網(wǎng)絡(luò)技術(shù)�,對計算機網(wǎng)絡(luò)管理員和操作員進行專業(yè)培訓(xùn),加強專業(yè)素養(yǎng)�����,提高個人能力��,應(yīng)對新技術(shù)的發(fā)展變化。
作者:施驊 單位:江蘇鑫源煙草薄片有限公司
企業(yè)網(wǎng)絡(luò)安全論文:云計算技術(shù)下企業(yè)網(wǎng)絡(luò)安全管理研究
【摘要】云計算借助于虛擬化技術(shù)��,通過網(wǎng)絡(luò)平臺提供軟件���、平臺等服務(wù)�����,在下一代網(wǎng)絡(luò)技術(shù)中��,云計算技術(shù)將成為核心技術(shù)�����,它提供可靠�����、安全的信息存儲,具有強大的數(shù)據(jù)處理與快捷的互聯(lián)網(wǎng)服務(wù)能力����。本文則重要探討云計算下的企業(yè)網(wǎng)路安全管理系統(tǒng)的構(gòu)建,自在提高企業(yè)管理水平�����,促進企業(yè)快速發(fā)展。
【關(guān)鍵詞】云計算;企業(yè)網(wǎng)絡(luò);安全管理;構(gòu)建
近幾年來�,伴隨著科學(xué)技術(shù)及其網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展,云計算在各個領(lǐng)域中均得到實施���。信息網(wǎng)絡(luò)技術(shù)已為人們的生產(chǎn)及生活帶來較大便利���,同時也帶來了信息安全問題。企業(yè)網(wǎng)絡(luò)安全問題日益凸顯���,云計算作為一種新型的核心技術(shù)���,在各行各業(yè)中均得到廣泛應(yīng)用。
1云計算概述
云計算是2007年出現(xiàn)的新名詞��,只帶現(xiàn)在還沒有一個確切的定義��?��?偟膩碚f���,云計算指的是把分布式計算����,虛擬化等技術(shù)結(jié)合起來的一種計算方式�����,基于互聯(lián)網(wǎng)為媒介�����,向用戶提供各種技術(shù)說明���、數(shù)據(jù)說明及應(yīng)用�����,以方便用戶使用起來更方便快捷���。對于云計算而言,它是分布式處理���、網(wǎng)絡(luò)計算的發(fā)展,對分布式計算機中的數(shù)據(jù)�、資源進行整合��,實現(xiàn)協(xié)同工作����。用戶連上網(wǎng)絡(luò)��,運用云計算技術(shù)使標(biāo)準(zhǔn)化的訊息和數(shù)據(jù)更加的有效����、精確、快速及多量化��。云計算主要由計算與編程技術(shù)�����、數(shù)據(jù)存儲技術(shù)�、虛擬機技術(shù)、數(shù)據(jù)處理技術(shù)等技術(shù)構(gòu)成��。云計算技術(shù)不同于其他技術(shù)����,它具有自身獨特的特征,其中包括:超大規(guī)模�����、高真實性、高安全性�、擴張性、按需求提供等����。云計算技術(shù)具有獨特的特征,即使用成本低�,適應(yīng)范圍廣泛、高效的運行速度��,被各大企業(yè)廣泛運用��。云計算通過電腦進行數(shù)據(jù)���,至電腦的算術(shù)功能更加強大����,使那些繁瑣的����、量大的計算得到了提高。并且,啟用云計算模式����,使數(shù)據(jù)的儲存更加的統(tǒng)一化�,有利于數(shù)據(jù)在監(jiān)管測試中更加的安全。在云計算模式的數(shù)據(jù)中心中��,其對數(shù)據(jù)的統(tǒng)一化���、資源配置的有效化�����、系統(tǒng)的優(yōu)化���、安全的監(jiān)測環(huán)境和鋪排軟件,有效的提高了數(shù)據(jù)的完整性�。并且,在云計算平臺加入硬件��、軟件及技術(shù)資源���,從而促進集中管理的實行�,同時�,增加動態(tài)的虛構(gòu)化層次�����,促進了資源�����、硬軟件的全面發(fā)展�。云計算技術(shù)具有可持續(xù)性�����、虛擬化的特點�,可持續(xù)性的特點,使系統(tǒng)的總體消耗費用在一定的程度上降低�����。云計算的種類可分為公共云��、社區(qū)云�、混合云及私有云。其中公共云主要用于公共服務(wù)的云平臺��,進而為公眾提證供云存儲及云計算的服務(wù);社區(qū)云則是在某一區(qū)域內(nèi)使用的云服務(wù)�,進而為多家關(guān)聯(lián)機構(gòu)所提供的云服務(wù);混合云是兩種或兩種以上的云所組成的���;私有云是指企業(yè)內(nèi)部所使用的云服務(wù),適宜專網(wǎng)向結(jié)構(gòu)采用���。
2云計算在企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中的應(yīng)用
隨著科技的飛速發(fā)展和網(wǎng)絡(luò)的普及�����,企業(yè)管理所形成的運用系統(tǒng)平臺都向著規(guī)?����;?、多效用化��、高效能�、高機能的方向發(fā)展。以保障企業(yè)網(wǎng)絡(luò)管理系統(tǒng)安全的正常運行����、對其進行定時調(diào)度和維護,完善企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)發(fā)展,云計算技術(shù)在企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用必不可少���?��;谠朴嬎慵夹g(shù)的應(yīng)用將整合數(shù)據(jù)信息資源,可以確保企業(yè)安全管理系統(tǒng)數(shù)據(jù)的安全�。
2.1云計算系統(tǒng)實現(xiàn)
作為多層服務(wù)的集合體系,電力云主要由物理存儲層���、基礎(chǔ)管理層���、高級訪問層、應(yīng)用接口層四個主要層次構(gòu)成��。云計算系統(tǒng)是在企業(yè)網(wǎng)絡(luò)安全管理中��,網(wǎng)絡(luò)存儲與設(shè)備是以物理存儲層為基礎(chǔ)的��,其所分布的地理位置不同導(dǎo)致其云物理設(shè)備也不同��,這些差異的地理位置及云物理設(shè)備之間的連接主要是通過內(nèi)部網(wǎng)來實現(xiàn)的����?�;A(chǔ)管理層是采用集群式和分布式系統(tǒng)���,促使云中的儲存設(shè)備進行協(xié)同工作,在基礎(chǔ)管理層中�,還包括機密、數(shù)據(jù)備份內(nèi)容�����。高級訪問層主要包括管理系統(tǒng)的基礎(chǔ)與高級應(yīng)用����,通過軟件平臺來實現(xiàn)安全管理軟件快速有效的運行�����。云計算系統(tǒng)是在企業(yè)網(wǎng)絡(luò)安全管理中���,應(yīng)用接口層是其最最活躍的部分����,其系統(tǒng)中的運行管理機構(gòu)信息及數(shù)據(jù)獲取必需通過應(yīng)用接口層完成��。
2.2云計算的信息整合
云計算的信息整合很多都是通過云計算技術(shù)來實現(xiàn)的,如企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中的信息同享�����,利用公有信息模型�,標(biāo)準(zhǔn)組件接口,讓多個企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)進行交流�����、同享��。同時���,可利用自動分析與拆分技術(shù)��,對系統(tǒng)中繁瑣的資源進行統(tǒng)一���,使其任務(wù)變成較小任務(wù)。經(jīng)過企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中某個信息點將請求發(fā)云體系實現(xiàn)資源的統(tǒng)一�����,在請求接到后����,將數(shù)據(jù)請求要求發(fā)送給企業(yè)網(wǎng)絡(luò)安全管理中的公用信息平臺����,依照請求�,對系統(tǒng)中的資源進行儲蓄整理、推算�����。
2.3資源管理與調(diào)度
為了完成云計算技術(shù)在工作中的的有效使用����,應(yīng)該鞏固對資源的處理���、調(diào)度��。其詳細運行表現(xiàn)為:起初����,為了保證企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的安定��、穩(wěn)固進行�,應(yīng)該對每一臺使用云計算技術(shù)的計算機設(shè)施進行整合���,對使用者權(quán)利、使用者因特網(wǎng)地址���、用戶終端級別進行整合�����。另外�,描繪計算機資源近狀���,對Cache���、MFLOPS等數(shù)據(jù)結(jié)構(gòu)進行概述。最后�����,實現(xiàn)云內(nèi)部任意終端的探問����,運用云調(diào)度技能,有效處理云資源�����,完成對系統(tǒng)資源的靈驗、科學(xué)整理��,便于資源的詢問���、使用���。企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)與云計算的應(yīng)用具有計算速度快、安全可靠性高��、應(yīng)用范圍廣的特點���。為了使企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)有效快速的運行����,云計算技術(shù)還對技術(shù)標(biāo)準(zhǔn)合理的進行規(guī)范�����,利用數(shù)據(jù)模型���,完成數(shù)據(jù)的平穩(wěn)執(zhí)行���。
2.4云計算的關(guān)鍵技術(shù)
數(shù)據(jù)安全技術(shù)。在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中采用云計算技術(shù)�,數(shù)據(jù)的散落式儲存保證了數(shù)據(jù)的安全問題、系統(tǒng)內(nèi)的安全問題�����。在系統(tǒng)進行運行的過程中中�,保障數(shù)據(jù)完好,應(yīng)該對數(shù)據(jù)處理�、用戶約束、資源證實�、權(quán)利管理等各技術(shù)的認(rèn)真分析,保障應(yīng)用數(shù)據(jù)的穩(wěn)定性���、整體性����。因此����,在系統(tǒng)運行過程中,云計算技術(shù)還要加強對數(shù)據(jù)的隱秘功能,從而保證數(shù)據(jù)的穩(wěn)定性���、整體性���,可以通過數(shù)據(jù)加密技術(shù)進行維護。就像采用華為技術(shù)公司利用IaaS層資源管理軟件���,有用地解決了數(shù)據(jù)存在的安全問題����。與此之外����,數(shù)據(jù)的安全技術(shù)強化系統(tǒng)中的用戶數(shù)據(jù)安全,保障用戶數(shù)據(jù)的安全共享��,保障了數(shù)據(jù)的交迭�����。動態(tài)任務(wù)調(diào)度技術(shù)���。其于企業(yè)網(wǎng)絡(luò)管理系統(tǒng),其計算方式有暫態(tài)�、靜態(tài)等多樣性�����,因為計算時間具有不穩(wěn)定性因素�,且計算之間是具有相互依靠關(guān)系���,從而便增加了計算任務(wù)的調(diào)度的難度�。因此�,為了保證企業(yè)網(wǎng)絡(luò)管理系統(tǒng)的高速運行,在系統(tǒng)的云計算中心�����,使用任務(wù)預(yù)分配與動態(tài)分配相配合���,分布式文件與本地文件相配合的形式����,從而提高資源的有效利用�,促使數(shù)據(jù)運送、調(diào)整管理的時間損失降低了一定的程度��。一體化數(shù)據(jù)管理技術(shù)。在系統(tǒng)的多種整理中���,通過采用一體化數(shù)據(jù)管理技術(shù)與模型的方法來實現(xiàn)數(shù)據(jù)模型的統(tǒng)一化�,以此減少不同模型轉(zhuǎn)化的過程中所形成的數(shù)據(jù)丟失與失誤����,利用合并的計算數(shù)據(jù)準(zhǔn)則。在當(dāng)前的的數(shù)據(jù)模型中�,大部分采取EICCIM國際標(biāo)準(zhǔn),同時使用國網(wǎng)E格式標(biāo)準(zhǔn)數(shù)據(jù)替換����,而關(guān)于計算輸入數(shù)據(jù)而言,可使用BPA和PSASP兼并的方法��。
3企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中云計算技術(shù)的應(yīng)用
云計算在企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中的應(yīng)用可分為三大層次��,即:基礎(chǔ)設(shè)施層���、平臺服務(wù)層及軟件服務(wù)層��。其中基礎(chǔ)設(shè)施層是面向應(yīng)用對象���,平臺服務(wù)層面向服務(wù)���、軟件服務(wù)層面向用戶���。在每一個層次中都能夠根據(jù)功能需求加以細化���。并且根據(jù)邏輯的順序,在基礎(chǔ)設(shè)施層上能夠分為數(shù)據(jù)采集及其轉(zhuǎn)化��,并且根據(jù)硬件的不同�����,將其分為用戶設(shè)備終端�����、存儲設(shè)備及其服務(wù)器等���。此外�,在云計算的信息管理中���,大多是通過虛擬化的技術(shù)來實現(xiàn)資源的形象化轉(zhuǎn)變���,并將數(shù)據(jù)傳遞到服務(wù)平臺��。同時根據(jù)設(shè)計及開發(fā)的相關(guān)流程���,平臺服務(wù)層可分為開發(fā)、測試及其運行�。每一層都應(yīng)根據(jù)相關(guān)設(shè)計來進行開發(fā)。如:在建立某企業(yè)的網(wǎng)絡(luò)安全管理系統(tǒng)時�����,首先����,應(yīng)對該企業(yè)的業(yè)務(wù)類型進行全面調(diào)查分析,并給予分類�����,查看適合采用哪一種云計算分類���。若企業(yè)的網(wǎng)絡(luò)安全管理系統(tǒng)適宜采用私有云計算類型���,則可采用私有云的管理系統(tǒng)�。然后��,企業(yè)應(yīng)根據(jù)實際應(yīng)用需求���,需要配備足夠的服務(wù)器設(shè)備等�����。再次,對企業(yè)內(nèi)部IT資源����、數(shù)據(jù)中心等加以整合,并選擇較為合適的虛擬化方法��,對存儲設(shè)備及服務(wù)器給予虛擬化整合����,將已虛擬化的集成管理器給予管理,并將其上傳到云計算的平臺之中�。最后,在軟件的服務(wù)層���,應(yīng)根據(jù)實際的應(yīng)用對象及其需求進而用戶終端提供不同的軟件�,并設(shè)置相應(yīng)的操作系統(tǒng)。當(dāng)企業(yè)采用云計算的技術(shù)后�����,應(yīng)配置基礎(chǔ)設(shè)施或功能軟件等���,最終向服務(wù)提供者提供費用�����,可有效降低計算成本�����。對于云計算的信息管理系統(tǒng)�,其中影響較大的缺陷即所擁有的隱私保護力不夠��,且公享資源的較大則是服務(wù)提供者所擁有的任意數(shù)據(jù)�����,如何在確保資源共享的優(yōu)點下��,達到保護用戶隱私的目的���,是當(dāng)前亟需解決的問題����。
4結(jié)語
總而言之,云計算技術(shù)是當(dāng)前流行的新技術(shù)��,已在各行各業(yè)中得到廣泛應(yīng)用����,并且取得了較好的成效����。對于企業(yè)網(wǎng)絡(luò)安全管理而言也不例外,同樣可采用云計算技術(shù)���,能夠提高管理效率及質(zhì)量�。本文則將云計算技術(shù)應(yīng)用于企業(yè)安全網(wǎng)絡(luò)管理中�����,旨在提高信息安全管理水平���,促進企業(yè)的可持續(xù)發(fā)展�。
作者:程偉 單位:宜賓學(xué)院網(wǎng)絡(luò)與多媒體管理中心
企業(yè)網(wǎng)絡(luò)安全論文:淺談企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用
0引言
隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用,社會信息化進程不斷加快���,生產(chǎn)制造�����、物流網(wǎng)絡(luò)����、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大���,因此�����,保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要���。如何保證企業(yè)網(wǎng)絡(luò)信息化安全、穩(wěn)定運行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計師在設(shè)計初始周全的考慮到網(wǎng)絡(luò)安全所需達到的條件(包括硬件����、OSI/RM各層、各種系統(tǒng)操作和應(yīng)用)。
1網(wǎng)絡(luò)安全����、信息安全標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為,凈化網(wǎng)絡(luò)環(huán)境而制定的強制性或指導(dǎo)性的規(guī)定����。目前,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對系統(tǒng)安全等級����、系統(tǒng)安全等級評定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)��。世界各國紛紛頒布了計算機網(wǎng)絡(luò)的安全管理條例��,我國也頒布了《計算機網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全管理方法》等多個國家標(biāo)準(zhǔn)�����,用來制止網(wǎng)絡(luò)污染���,規(guī)范網(wǎng)絡(luò)行為,同時各種網(wǎng)絡(luò)技術(shù)在不斷的改進和完善����。1999年9月13日���,中國頒布了《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859:1999),定義了計算機信息系統(tǒng)安全保護能力的5個等級���,分別如下:(1)第一級:用戶自主保護級���。它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞�。(2)第二級:系統(tǒng)審計保護級。除繼承前一個級別的安全功能外��,還要求創(chuàng)建和維護訪問的審計蹤記錄�,使所有的用戶對自己行為的合法性負(fù)責(zé)。(3)第三級:安全標(biāo)記保護級���。除繼承前一個級別的安全功能外�����,還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限����,實現(xiàn)對訪問對象的強制訪問。(4)第四級:結(jié)構(gòu)化保護級���。除繼承前一個級別的安全功能外�����,將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分����,對關(guān)鍵部分直接控制訪問者對訪問對象的存取���,從而加強系統(tǒng)的抗?jié)B透能力��。(5)第五級:訪問驗證保護級�。除繼承前一個級別的安全功能外����,還特別增設(shè)了訪問驗證功能,負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動���。
2企業(yè)網(wǎng)絡(luò)主要安全隱患
企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng),網(wǎng)絡(luò)安全體系防范的不僅是病毒感染�����,還有基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問�,但這些非法入侵、攻擊��、訪問的途徑非常多�,涉及到整個網(wǎng)絡(luò)通信過程的每個細節(jié)。從以往的網(wǎng)絡(luò)入侵��、攻擊等可以總結(jié)出�����,內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò)���,因為內(nèi)網(wǎng)受到的入侵和攻擊更加容易�,所以做為網(wǎng)絡(luò)安全體系設(shè)計人員要全面地考慮�����,注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患�。
3企業(yè)網(wǎng)絡(luò)安全防護策略
設(shè)計一個更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過程中對OSI/RM的全部層次的安全保護和系統(tǒng)的安全保護。七層網(wǎng)絡(luò)各個層次的安全防護是為了預(yù)防非法入侵�����、非法訪問、病毒感染和黑客攻擊����,而非計算機通信過程中的安全保護是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護措施及系統(tǒng)層的安全防護如圖1所示��。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現(xiàn)在兩個方面:一方面是采用屏蔽性能好的傳輸介質(zhì)���,另一方面是把傳輸介質(zhì)�、網(wǎng)絡(luò)設(shè)備���、機房等整個通信線路安裝在屏蔽的環(huán)境中�。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類�����、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對)芯線外集中包裹了一屏蔽層���。而六類屏蔽雙絞和七類雙絞線除了五類���、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外,還有這些屏蔽層就是用來進行電磁屏蔽的��,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸����,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。(2)屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜���、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍�,其中包括六面板體和一面屏蔽門�����。根據(jù)機房屏蔽性能的不同��,可以將屏蔽機房分為A��、B��、C三個級別��,最高級為C級����。機柜的屏蔽是用采用冷扎鋼板圍閉而成���,這些機柜的結(jié)構(gòu)與普通的機柜是一樣的,都是標(biāo)準(zhǔn)尺寸的�����。(3)WLAN的物理層安全保護對于無線網(wǎng)絡(luò)���,因為采用的傳輸介質(zhì)是大氣����,大氣是非固定有形線路����,安全風(fēng)險比有線網(wǎng)絡(luò)更高,所以在無線網(wǎng)絡(luò)中的物理層安全保護就顯得更加重要了�����。如果將機房等整個屏蔽起來�����,成本太高,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰�����、WPA/WPA2動態(tài)密鑰�����、IEEE802.1X身份驗證等?,F(xiàn)在最新的無線寬帶接入技術(shù)——WiMAX對于來自物理層的攻擊��,如網(wǎng)絡(luò)阻塞�����、干擾�,顯得很脆弱,以后將提高發(fā)射信號功率��、增加信號帶寬和使用包括跳頻���、直接序列等擴頻技術(shù)�����。
4.2數(shù)據(jù)鏈路層安全
在數(shù)據(jù)鏈路層可以采用的安全保護方案主要包括:數(shù)據(jù)鏈路加密��、MAC地址綁定(防止MAC地址欺騙)���、VLAN網(wǎng)段劃分�����、網(wǎng)絡(luò)嗅探預(yù)防�、交換機保護�。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù),該技術(shù)可分為基于端口的VLAN��、基于MAC地址的VLAN���、基于第三層的VLAN和基于策略的VLAN����。
4.3網(wǎng)絡(luò)層安全
在網(wǎng)絡(luò)層首先是身份的認(rèn)證�,最簡單的身份認(rèn)證方式是密碼認(rèn)證,它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對網(wǎng)絡(luò)資源的訪問啟用“單點登錄”�����,采用單點登錄后,用戶可以使用一個密碼或智能卡一次登錄到windows域���,然后向域中的任何計算機驗證身份���。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù),使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸����,連接之間的通信是加密的��。加密認(rèn)證分為PKI公鑰機制(非對稱加密機制)���,Kerberos基于私鑰機制(對稱加密機制)�。IPSec是針對IP網(wǎng)絡(luò)所提出的安全性協(xié)議��,用途就是保護IP網(wǎng)絡(luò)通信安全��。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查�、數(shù)據(jù)機密保護、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護�����,可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)�����。
4.4傳輸層安全
傳輸層的主要作用是保證數(shù)據(jù)安全���、可靠的從一端傳到另一端�。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議����,它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強健的安全加密保護,還可以結(jié)合證書服務(wù)��,提供強大的身份誰����、數(shù)據(jù)簽名和隱私保護。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸�����。
4.5防火墻
因防火墻技術(shù)在OSI/RM各層均有體現(xiàn)��,在這里簡單分析一下防火墻���,防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻�����,網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器�,運作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作����,應(yīng)用層防火墻可以攔截進出某應(yīng)用程序的所有封包。目前70%的攻擊是發(fā)生在應(yīng)用層��,而不是網(wǎng)絡(luò)層���。對于這類攻擊,傳統(tǒng)網(wǎng)絡(luò)防火墻的防護效果����,并不太理想。
5結(jié)語
以上對于實現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡單論述���,是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護分析��,重點分析了物理層所必須做好的各項工作����,其余各層簡單分析了應(yīng)加強的主要技術(shù)。因網(wǎng)絡(luò)技術(shù)日新月益�����,很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn)�,實則由于本人時間、水平有限�,請各位讀者給予見解。文章中部分內(nèi)容借簽于參考文獻,在此非常感謝各位作者的好書籍���。
作者:單位:西山煤電(集團)有限公司物資供應(yīng)分公司
企業(yè)網(wǎng)絡(luò)安全論文:企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀與防御措施
0引言
隨著數(shù)據(jù)庫����、軟件工程和多媒體通信技術(shù)的快速發(fā)展�,礦山企業(yè)實施了安全生產(chǎn)集控系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)����、調(diào)度管控系統(tǒng)、移動辦公系統(tǒng)及智能決策支持等系統(tǒng)��,實現(xiàn)了礦山企業(yè)安全生產(chǎn)�����、辦公和管理信息化、智能化�����。網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各類信息化系統(tǒng)的數(shù)據(jù)共享����、協(xié)同辦公等,也是信息化系統(tǒng)正常運行的關(guān)鍵�����,因此網(wǎng)絡(luò)安全防御具有重要的作用�。本文詳細地分析了礦山企業(yè)網(wǎng)絡(luò)安全面臨的問題和現(xiàn)狀,提出采用先進的防御措施����,構(gòu)建安全管理系統(tǒng)��,以便提高網(wǎng)絡(luò)安全性能��,進一步改善礦山企業(yè)信息化運營環(huán)境的安全性���。
1礦山企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析
隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展��,互聯(lián)網(wǎng)將分布于礦山企業(yè)生產(chǎn)�����、管理等部門的設(shè)備連接在一起�,形成了一個強大的礦山企業(yè)服務(wù)系統(tǒng),為礦山企業(yè)提供了強大的信息共享�����、數(shù)據(jù)傳輸能力��。但是����,由于許多礦山企業(yè)工作人員在操作管理系統(tǒng)、使用計算機時不規(guī)范��,如果一臺終端或服務(wù)器感染了計算機病毒��、木馬���,將會在很短的時間內(nèi)擴散到其他終端和服務(wù)器中�,感染礦山企業(yè)信息化系統(tǒng),導(dǎo)致礦山企業(yè)服務(wù)系統(tǒng)無法正常使用����。經(jīng)過分析與研究,目前網(wǎng)絡(luò)安全管理面臨威脅攻擊渠道多樣化�����、威脅智能化等現(xiàn)狀��。
1.1網(wǎng)絡(luò)攻擊渠道多樣化
目前網(wǎng)絡(luò)黑客技術(shù)正快速普及��,網(wǎng)絡(luò)攻擊和威脅不僅僅來源于黑客�、病毒和木馬,傳播渠道不僅僅局限于計算機��,隨著移動互聯(lián)網(wǎng)�����、光纖網(wǎng)絡(luò)的興起和應(yīng)用��,網(wǎng)絡(luò)安全威脅通過智能終端進行傳播�,傳播渠道更加多樣化��。
1.2網(wǎng)絡(luò)安全威脅智能化
隨著移動計算、云計算和分布式計算技術(shù)的快速發(fā)展��,網(wǎng)絡(luò)黑客制作的木馬和病毒隱藏周期更長�,破壞的范圍更加廣泛,安全威脅日趨智能化����,給礦山企業(yè)信息化系統(tǒng)帶來的安全威脅更加嚴(yán)重,非常容易導(dǎo)致網(wǎng)絡(luò)安全數(shù)據(jù)資料丟失�����。
1.3網(wǎng)絡(luò)安全威脅嚴(yán)重化
網(wǎng)絡(luò)安全攻擊渠道多樣��、智能逐漸增加了安全威脅的程度���,網(wǎng)絡(luò)安全受到的威脅日益嚴(yán)重��,礦山企業(yè)網(wǎng)絡(luò)設(shè)備�����、數(shù)據(jù)資源一旦受到安全攻擊����,將會在短時間內(nèi)迅速感染等網(wǎng)絡(luò)中接入的軟硬件資源,破壞網(wǎng)絡(luò)安全威脅���。
2礦山企業(yè)網(wǎng)絡(luò)安全防御措施研究
礦山企業(yè)網(wǎng)絡(luò)運行過程中��,安全管理系統(tǒng)可以采用主動���、縱深防御模式,安全管理系統(tǒng)主要包括預(yù)警�、響應(yīng)、保護��、防御�����、監(jiān)測���、恢復(fù)和反擊等六種關(guān)鍵技術(shù)��,從根本上轉(zhuǎn)變礦山企業(yè)信息系統(tǒng)使用人員的安全意識����,改善系統(tǒng)操作規(guī)范性,進一步增強網(wǎng)絡(luò)安全防御性能���。
2.1網(wǎng)絡(luò)安全預(yù)警
網(wǎng)絡(luò)安全預(yù)警措施主要包括漏洞預(yù)警、行為預(yù)警和攻擊趨勢預(yù)警�,能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流中存在的威脅。漏洞預(yù)警可以積極發(fā)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)中存在的漏洞�,以便積極升級系統(tǒng),修復(fù)系統(tǒng)漏洞���。行為預(yù)警�、攻擊預(yù)警可以分析網(wǎng)絡(luò)數(shù)據(jù)流����,發(fā)現(xiàn)數(shù)據(jù)中隱藏的攻擊行為或趨勢,以便能夠有效預(yù)警。網(wǎng)絡(luò)安全預(yù)警是網(wǎng)絡(luò)預(yù)警的第一步,其作用非常明顯,可以為網(wǎng)絡(luò)安全保護提供依據(jù)����。
2.2網(wǎng)絡(luò)安全保護
網(wǎng)絡(luò)安全保護可以采用簡單的殺毒軟件、防火墻�、訪問控制列表、虛擬專用網(wǎng)等技術(shù)防御攻擊威脅����,以便保證網(wǎng)絡(luò)數(shù)據(jù)的機密性、完整性、可控性����、不可否認(rèn)性和可用性。網(wǎng)絡(luò)安全保護與傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)相近���,因此在構(gòu)建主動防御模型時�����,融入了傳統(tǒng)的防御技術(shù)���。
2.3網(wǎng)絡(luò)安全監(jiān)測
網(wǎng)絡(luò)安全監(jiān)測可以采用掃描技術(shù)、實時監(jiān)控技術(shù)�����、入侵檢測技術(shù)等發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嚴(yán)重的漏洞或攻擊數(shù)據(jù)流�,能夠進一步完善主動防御模型內(nèi)容,以便從根本上保證網(wǎng)絡(luò)安全防御的完整性����。
2.4網(wǎng)絡(luò)安全響應(yīng)
網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時的反應(yīng)��,以便進一步阻止網(wǎng)絡(luò)攻擊,將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機上��。
2.5網(wǎng)絡(luò)恢復(fù)
礦山企業(yè)信息系統(tǒng)遭受到攻擊之后�,為了盡可能降低網(wǎng)絡(luò)安全攻擊損失,提高用戶的承受能力�����,可以采用網(wǎng)絡(luò)安全恢復(fù)技術(shù)��,將系統(tǒng)恢復(fù)到遭受攻擊前的階段�。主動恢復(fù)技術(shù)主要采用離線備份��、在線備份���、階段備份或增量備份等技術(shù)���。
2.6網(wǎng)絡(luò)安全反擊
網(wǎng)絡(luò)反擊技術(shù)是主動防御最為關(guān)鍵的技術(shù),也是與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)最大的區(qū)別�。網(wǎng)絡(luò)反擊技術(shù)可以采用欺騙類攻擊、病毒類攻擊��、漏洞類攻擊����、探測類攻擊和阻塞類攻擊等技術(shù)��,網(wǎng)絡(luò)反擊技術(shù)可以針對攻擊威脅的源主機進行攻擊�,不但能夠阻斷網(wǎng)絡(luò)攻擊�����,還可以反擊攻擊源�,以便破壞攻擊源主機的運行性能。
3礦山企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計
為了能夠更好地導(dǎo)出系統(tǒng)的邏輯業(yè)務(wù)功能��,對網(wǎng)絡(luò)安全管理的管理員�����、用戶和防御人員進行調(diào)研和分析�,使用原型化方法和結(jié)構(gòu)化需求分析技術(shù)導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能,分別是系統(tǒng)配置管理功能�����、用戶管理功能��、安全策略管理功能��、網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能、網(wǎng)絡(luò)運行日志管理功能�、網(wǎng)絡(luò)運行報表管理功能等六個部分。
3.1網(wǎng)絡(luò)安全管理系統(tǒng)配置管理功能分析
通過對網(wǎng)絡(luò)安全管理系統(tǒng)操作人員進行調(diào)研和分析�����,導(dǎo)出了系統(tǒng)配置管理功能的業(yè)務(wù)功能�����,系統(tǒng)配置管理功能主要包括七個關(guān)鍵功能�����,分別是系統(tǒng)用戶信息配置管理功能����、網(wǎng)絡(luò)模式配置���、網(wǎng)絡(luò)管理參數(shù)配置��、網(wǎng)絡(luò)管理對象配置�����、輔助工具配置��、備份與恢復(fù)配置和系統(tǒng)注冊與升級等�。
3.2用戶管理功能分析
礦山企業(yè)網(wǎng)絡(luò)運行中,其主要設(shè)備包括多種�,操作的用戶也有很多種類別,比如網(wǎng)絡(luò)設(shè)備管理人員��、應(yīng)用系統(tǒng)管理人員��、網(wǎng)絡(luò)維護部門����、服務(wù)器等,因此用戶管理功能主要包括人員��、組織�、機器等分析,主要功能包括三個方面��,分別是組織管理�����、自動分組和認(rèn)證配置�����。組織管理功能可以對網(wǎng)絡(luò)中的設(shè)備進行組織和管理,按照賬號管理�、機器管理等進行操作;自動分組可以根據(jù)用戶搜索的設(shè)備的具體情況改善機器的搜索范圍����,添加到機器列表中,并且可以對及其進行重新的分組管理����;認(rèn)證配置可以根據(jù)終端機器的登錄模式進行認(rèn)證管理。
3.3安全策略管理功能分析
網(wǎng)絡(luò)安全防御過程中�,網(wǎng)絡(luò)安全需要配置相關(guān)的策略�����,以便能夠更好的維護網(wǎng)絡(luò)運行安全�����,同時可以為用戶提供強大的保護和防御性能��,網(wǎng)絡(luò)安全策略配置是非常重要的一個工作內(nèi)容�。網(wǎng)絡(luò)安全防御規(guī)則包括多種��,比如入侵監(jiān)測規(guī)則�����、網(wǎng)絡(luò)響應(yīng)規(guī)則���、網(wǎng)絡(luò)阻斷規(guī)則等,配置過程復(fù)雜��,工作量大����,通過歸納,需要根據(jù)網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容設(shè)置網(wǎng)絡(luò)訪問的黑白名單����、應(yīng)用封堵、流量封堵��、行為審計���、內(nèi)容審計����、策略分配等功能。
3.4網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能分析
網(wǎng)絡(luò)運行過程中����,由于涉及的服務(wù)器、終端設(shè)備較多����,網(wǎng)絡(luò)運行容易產(chǎn)生錯誤,需要對網(wǎng)絡(luò)狀態(tài)進行實時監(jiān)管��,以便能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊威脅�、故障燈���。網(wǎng)絡(luò)運行管理過程中,需要時刻的監(jiān)控網(wǎng)絡(luò)的運行管理狀態(tài)��,具體的網(wǎng)絡(luò)運行管理的狀態(tài)主要包括三個方面��,分別是系統(tǒng)運行狀態(tài)�、網(wǎng)絡(luò)活動狀態(tài)��、流量監(jiān)控狀態(tài)����。
3.5網(wǎng)絡(luò)運行日志管理功能分析
礦山企業(yè)網(wǎng)絡(luò)運行過程中��,根據(jù)計算機的特性需要保留網(wǎng)絡(luò)操作日志�����,如果發(fā)生網(wǎng)絡(luò)安全事故����,可以對網(wǎng)絡(luò)操作日志進行分析�,便于發(fā)現(xiàn)某些操作是不符合規(guī)則的。因此�����,網(wǎng)絡(luò)運行管理過程中�,網(wǎng)絡(luò)運行日志管理可以分析網(wǎng)絡(luò)運行操作的主要信息,日志管理主要包括以下幾個方面���,分別是內(nèi)容日志管理�、報警日志管理�����、封堵日志管理、系統(tǒng)操作日志管理��。
3.6網(wǎng)絡(luò)運行報表管理功能分析
網(wǎng)絡(luò)運行過程中�,為了能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理的統(tǒng)計分析,可以采用網(wǎng)絡(luò)安全報表管理模式�����,以便能夠統(tǒng)計分析接入到網(wǎng)絡(luò)中的各種軟硬件設(shè)備和系統(tǒng)的運行情況�����,網(wǎng)絡(luò)運行報表管理主要包括兩個方面的功能�����,分別是統(tǒng)計報表和報表訂閱���。
4結(jié)束語
隨著物聯(lián)網(wǎng)���、大數(shù)據(jù)、云計算和移動互聯(lián)網(wǎng)技術(shù)的快速應(yīng)用和普及���,礦山企業(yè)逐漸進入智慧化時代,網(wǎng)絡(luò)安全威脅更加智能化、快速化和多樣化���,感染速度更快��,影響范圍更廣���,給礦山企業(yè)信息系統(tǒng)帶來的損失更加嚴(yán)重,本文提出構(gòu)建一種多層次的主動網(wǎng)絡(luò)安全防御系統(tǒng)��,能夠提高礦山企業(yè)信息系統(tǒng)網(wǎng)絡(luò)運行的安全性�,具有重要的作用和意義。
作者:張軍 單位:陜西南梁礦業(yè)有限公司
