时间:2023-09-19 16:27:17
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全的重要性,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【 关键词 】 企业网络;安全管理;防护策略
1 引言
如今,经济迅速发展带动网络技术的发展,企业网络化管理被广泛应用,给企业内部、企业与外界的联系以及企业的管理带来了便利,业务的灵活性被企业经营者广泛关注,同时也发展了企业信息网络。一系列诸如生产上网、办公自动化、远程办公以及业务上网的新的业务模式得到了开发与发展。但是与此同时,网络环境下的企业安全问题引发了管理者的担心,能否创建安全稳固的企业网络是企业管理者最为看重的问题,也逐渐变成一个企业能否正常运转的前提。因此,运用切实可靠的网络安全管理方法、提高网络的安全防护能力已经企业一个重要研究的内容。
2 影响企业网络安全的因素
网络安全关系到许多方面,不但涉及到网络信息系统自身的安全问题,而且囊括逻辑的和物理的技术策略等。WWW、TCP/IP、电子邮件数据库、数据库是当前企业网络通用标准和技术,其广域连接采用多种通信方式,大部分单位的系统被覆盖。行业内部信息存在于企业网络的传输、处理和存储各个环节。这些信息资源的保护和管理以及确保企业网络内部的各种信息在各个环节保持信息的完整、真实和防止非法截获非常重要。
影响企业网络安全的因素既有软硬件的因素,也有人为的因素,既有来自网络外部的,也来自网络内部的,归结起来主要有几方面。
2.1 网络硬件的安全隐患
网络中的的拓扑结构还有硬件设备两者均有对企业网络安全造成威胁可能,如一种硬件设备路由器的安全性较差的原因是其自身性能差。
2.2 软件缺陷和漏洞
在企业网络中有各种各样如应用软件、操作系统的软件,这些软件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用这些漏洞或缺陷从中获利,企业也由此蒙受巨大的损失,这样的例子在现实生活中层出不穷。比如,一些不为人知的软件研发者为了个人原因(升级或自便)而设置的“后门”,黑客一旦破解打开这些“后门”,便可以肆虐的操作,完全控制用户计算机,篡改数据,后果不堪设想,损失更是不可估量;又如以方便快捷应用为目的的TCP/IP协议为网络系统普遍应用,但是其并没有对安全性进行全面估计考虑,更是在认证和保密措施方面做得非常欠缺,若是一些IT高手对此很了解,便可以轻松利用其缺陷攻击网络。
2.3 计算机病毒与恶意程序
网络被普遍应用和告诉发展的时代,病毒传播的主要途径是网络。一些企业的内部网络很容易被蠕虫、病毒侵入,其特点是范围广、变化快、种类多、传播速度快、破坏性大,其破坏性是巨大的。在网络安全领域,病毒问题一直难以从根本上解决,原因总结为两点:其一,技术原因,杀毒软件总是在病毒出现后给用户或是企业造成巨大损失后更新,滞后性和被动性不言而喻;其二,用户的安全防范意识不高,对病毒的了解不够,不主动安装杀毒软件,或是不及时升级杀毒软件,给传播病毒提供了机会,巨大的威胁了网络安全。
2.4 网络入侵
网络人侵的意思是网络攻击者在非授权的情况下获得非法的权限,并通过这些非法的权限对用户进行非法的操作,获得网络资源或是文件访问,入侵进入公司或是企业内部网络,极大地危害计算机网络,给社会带来巨大财产或是信息损失。
2.5 人为因素
用户安全意识淡薄,企业内局域网应用不规范。企业内网在实际运行中没有限制,木马、病毒等破坏性信息在p2p下载过程中传播到企业内网中,系统的安全应用收到影响;接入网络没有很好地限制,如没有限制接入的人员、时间方面,随意、随时上网不但容易使系统容易传染上病毒,还有信息泄露、丢失的可能;不完善的专用虚拟系统安全防范措施;管理措施不到位;复杂的用户人群,很多不是本系统专业的工作者,约束和监管困难;卫星信号很容易就被泄密,在空中传输无限信号的过程中,无线信号很容易被黑客截获并利用;在很多企业中,没有制定规范的管理网络和生产网络的隔离措施,一旦管理网络沾染病毒,生产网络也很容易被传染。
2.6 其它的安全因素
威胁网络安全的因素还有很多,比如,传输过程中的数据很容易被电磁辐射物破坏;非授权的恶意删除或攻击数据、破坏系统;非法窃取复制或是盗用系统文件、资料、数据、信息,导致企业或是公司泄密等,其后果非常严重。
3 企业网络的安全管理
企业网络安全管理是保证网络安全运行的基石,一些人为因素导致的网络安全问题可以通过加强和敦促管理工作可以尽最大可能的避免。企业应把建立健全企业网络安全管理制度作为安全管理的重点,制定系统的安全管理方案,采取有效切实的管理政策。
企业的网络管理主要从几点努力。
3.1 健立健全企业规章制度
要保证网络的相对安全,就务必制定详细系统的安全制度,了解并认识网络安全的重要性,一旦出现网络安全事故,其相应处罚力度就必须严格按照处罚条例执行到位,绝不能姑息手软。为了做到切实保证企业的机密不泄露,建立对应的详细的安全保密制度势在必行,管理者还要经常不断检查制度的实施情况。记录出现违规的人员及情况、相应处罚情况、检查的结果报告,做到今后有据可循,为以后出现类似情况提供管理依据。
3.2 树立员工网络安全意识
网络安全工作要想做好,树立企业工作人员的信息安全意识是首要任务,只有员工切身真正认识到信息安全对企业发展和前进的重要性,才能切实在实际工作中重视起来。企业要实常加强员工相应的信息安全的知识培训,采用各种形式来增强员工的网络安全意识,促使员工养成健康的使用计算机的习惯。
4 企业网络安全防护措施
为了使企业网络保持安全状态,企业网络的安全防护措施必须与其具体需求要相结合,整合各种安全方案,创立一个多层次、完整的企业网络防护体系,在为企业网络安全设计防护措施时,应主要从几点考虑:其一是要选择进行安全策略的工具,但安全风险是不可避免的也是必须承担的;其二是要注意企业网络的可访问性以及安全性平衡的保持;其三是考虑安全问题是在系统管理的多个层次、多个方面都存在的。在企业网络中,主要有几种安全防护的措施。
4.1 防火墙技术
防火墙技术是当下一种被广泛应用的也是最为流行的网络安全技术,其核心主题是在外界网络环境不安全的大前提下创建一个相对安全有保证的子网。防火墙能实时监测进出于企业网络的通讯交流数据,允许安全合法的访问的数据和计算机进入到企业网络的内部,把非授权的非法的数据和计算机挡在网络,企业内网及特殊站点应限制企业一般人员或是无关人员访问,最大可能地阻止外部社会网络中的黑客访问链接企业内部的网络,阻止或是制止他们复制、篡改、破坏重要的或是机密信息。所以,防火墙是一道屏障,是在被保护的企业内部网络和社会外界网络之间设置的,在网络内部网络合外部非授权的网络之间,企业内部网不同的网络安全环境之间,达到隔离和控制的目标,外部网络的攻击合截获被有效控制。
4.2 数据加密技术
如果一些重要的机密的数据需要通过外部网络传送的,该数据的加密工作则需运用加密技术。防火墙技术以及数据加密技术两者结合使用,增强网络信息系统及内部数据的保密性和安全性,谨防外部破坏重要的机密数据。
4.3 入侵检测技术
安装入侵监测系统在企业内部网络中,信息从企业内部计算机网络中若干关键点中收集,并分析数据,从中检查企业内部网络中是否存在与安全策略相违背的行为或是入侵现象,如果检测到可疑的未授权的IP地址,则来自此入侵地址的信息就会被自动切断、同时给网络管理员发送警告,企业内部动态的网络安全保护就可以实现。
4.4 网络蠕虫、病毒防护技术
尽管无法避免来自蠕虫、病毒对企业内部网络的危害,但采取切实有效的防护方案还是有帮助的,尽最大可能阻止病毒的传播,减小它的危害范围,或是没有危害。在企业内部网络内,由于网络节点不但存在于局域网中,又有接入到互联网中的可能,一般的防护技术是很难做到把蠕虫、病毒的威胁降低很多,在防病毒方面、通常要设计多层次阻止病毒体系。在企业安装一般的常见的杀毒软件时,通常要定时自动扫描系统,另外,用户在收发邮件时一定要打开杀毒软件的实时监控邮件病毒功能,实时地同步地对检查邮件,抑制传播邮件病毒。如果用户安装的网络版杀毒软件,那么全部网络环境中每一个节点的病毒检测情况可以被企业网络的安全管理员如实准确的掌握,当然越先进的防病毒产品或是技术效果也就越好。
4.5 系统平台与漏洞的处理
网络安全管理员可以运用安全漏洞扫描技术了解掌握网络的安全设备和正在进行的应用进程,提前得到有可能被截获的脆弱步骤,准时检查安全漏洞,尽快改正网络安全系统存在漏洞和网络系统存在的有误差配置,防范措施应该在黑客攻击之前提早进行。
5 结束语
企业网络安全不是最终的目的,更恰当和准确地说只是一种保障。随着企业自身的发展和规模的壮大,企业网络的普及也是势在必行,网络安全管理变得也就越来越复杂,网络的安全管理和防护是企业发展的一项重要和艰巨的任务。在执行维护网络安全任务的同时,我们一定要注意把网络安全防护技术、影响网络安全的因素结合起来,制定有效的管理措施和技术方案,采取可行性高的防护措施,建立健全防护体系,增强企业内部员工的网络安全意识,从源头上解决网络安全问题。
参考文献
[1] 宋军.浅谈企业网络安全防护策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 赵尹琛,马国华,文开丰.企业信息安全防护策略的研究[J].电脑知识与技术,2011,(7);5346-5347.
[3] 邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010,(10);186.
[4] 王希忠,曲家兴,黄俊强等.网络数据库安全检测与管理程序设计实现[J].信息网络安全,2012,(02):14-18.
[5] 黄俊强,方舟,王希忠.基于Snort-wireless的分布式入侵检测系统研究与设计[J].信息网络安全,2012,(02):23-26.
1企业网络安全需求分析
1.1网络安全概念及特征
网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施,以确保信息完整、可用、无泄露,保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。
1.2企业网络安全面临的主要问题
企业网络安全面临的问题归纳如下:(1)网络安全目标不明确。虽然《网络安全法》已于2017年6月1日起施行,但企业对网络安全的重要性依然认识不足,缺乏网络安全规划,没有明确的网络安全目标[3]。(2)网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性,企业网络安全存在很大隐患。(3)网络安全设施不健全。无论大型企业,还是中小企业,都存在网络安全基础设施投入不足的问题,以致设施陈旧、不完整,面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。(4)缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4],缺乏系统性、协同性、灵活性,面对万物互联和更高级的威胁,传统防护手段捉襟见肘、防不胜防[5]。
1.3企业网络安全需求
企业因网络安全需要而产生的要求即为企业网络安全需求,这是由企业内部网络因素与外部网络形势共同决定的,内外都不会一成不变,所以企业网络安全需求是一个动态过程,具有时效性。基于此,要准确把握企业网络安全需求,必须对企业网络安全现状进行调查分析,一般而言,企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6],具体体现在以下几个方面:(1)网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单,而且没有形成完整的体系,对企业网络安全的指导性不足。(2)网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构,负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。(3)网络安全运行管理需求。企业应建立科学高效的运行管理体系,采用实用的运行管理方法,对服务器安全、网络访问可控性、网络监控等进行管理。
2企业网络安全解决方案
2.1企业网络安全方案设计原则
网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案,避免失于偏颇和“词不达意”,设计原则可以有很多,笔者认为最重要的原则如下:(1)多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。(2)简单适用原则。过于复杂的方案漏洞多,本身就不安全。(3)系统性原则。企业网络安全面对的威胁是多方面的,只专注于一点无法保障网络安全。(4)需求、风险与代价平衡原则。没有任何方案可以做到绝对安全,追求过高的安全性要付出巨大代价,所以要学会取舍,平衡风险与代价。(5)可维护性原则。没有任何系统可以做到无懈可击,要做到能随时调整、升级、扩充。(6)技术与管理相结合原则。在改善安全技术的同时也要加强管理,减少管理漏洞,对于复杂的安全形势,要多做预案,提前防范突发事件。
2.2企业网络安全解决方案
2.2.1网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发,将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域,如图1所示。互联网域接入互联网服务,服务区域即企业服务器放置区域,外联域接入分公司区域,内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内,便于各个安全子域内部署相应等级的防护策略。2.2.2部署安全网关方案在外网与内网之间设置安全网关(如图1所示),作为企业网络系统的物理屏障,以保护内网安全。安全网关不是单一的防火墙,而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理(unifiedthreatmanagement,UTM)概念,将多种安全特性的防护策略整合到统一的管理平台上,按需开启多种功能,其由硬件、软件、网络技术组成。UTM在硬件上可以采用X86、ASIC、NP架构中的一种,X86架构适于百兆网络,若是千兆网络应采用ASIC架构或NP架构。在升级、维护及开发周期方面,NP架构比ASIC架构更有优势。UTM软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能,通过模式匹配实现特征库统一和效率提升。UTM管理结构基于管理分层、功能分级思想,包含集中管理与单机管理的双重管理机制,实现功能设置管理和数据分析能力。
2.2.3部署IPS与IDS方案IPS是入侵防御系统(intrusionpreventionsystem)的英文缩写,用于监视网络或网络设备上的数据传输,发现异常数据可以即时中断传输或进行隔离,先于攻击达成实现防护,与防火墙功能上互补,并支持串行接入模式,采用基于策略的防护方式,用户可以选择最适合策略达到最佳防护效果。IPS部署在服务区域与内网核心区域之间,或核心交换机与内部服务器之间(如图1所示),可实时监测外部数据向内部服务器的传输过程,发现入侵行为即报警、阻断,同时还能精确阻击SQL注入攻击。IDS是入侵检测系统(intrusiondetectionsystem)的英文缩写,能对网络数据传输实时监视,发现可疑报警或采取其他主动反应措施,属于监听设备,其安全策略包括异常入侵检测、误用入侵检测两种方式,可部署在核心交换机上,对进出内网与内部服务器的数据进行监测,如图1所示。
2.2.4部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库,通过扫描检测远程系统或本地系统漏洞行为,与防火墙、IDS配合以提高网络安全性,扫描对象包括网络、主机和数据库。漏洞扫描运用的技术有主机在线扫描、端口扫描、操作系统识别、漏洞监测数据采集、智能端口识别、多重服务检测、系统渗透扫描等。漏洞扫描系统部署方式包括独立式部署和分布式部署。前者适于比较简单的网络结构,例如电子商务、中小企业等;后者适于复杂、分布点多、数据相对分散的网络结构,例如政府、电力行业、金融行业、电信运营商等。图1为采用独立式部署的漏洞扫描系统方案。
1 中小型企业网络的安全目标
一般的中小型企业的局域网拥有十几台或者上百台计算机。其中的Web、FTP、电子邮件、DNS等服务器应能被内外网络的计算机所访问,数据库服务器一般只面向内部网络,而所有的工作站都不能被外部网络所访问。局域网中的工作站有些可以访问外部网络,有些则不可以。局域网中的所有计算机都应能抵挡来自于外网的黑客或病毒的侵入。
2 中小型企业的网络安全隐患
任何一个IP地址都会被攻击。攻击的形式多种多样,主要有以下几种:
2.1 网络嗅探器
攻击者通过嗅探器中途截走网络上的数据流,对报文进行分析,破解出他们想要的信息,例如服务器的密码或者电子邮件等。
2.2 IP欺骗
攻击者制造一个假的IP地址,使接收者误以为是局域网内的合法地址。
2.3 端口扫描
攻击者通过在端口扫描,可以检测出服务器上安全的脆弱方面。
2.4 密码攻击
通过多次的自动试探,获取服务器的密码。
2.5 拒绝服务攻击
大量使用对方的网络资源,使合法的用户无法访问网络。
2.6 应用层的攻击
应用层的攻击有许多方式。系统中的许多服务软件本身就含有安全方面的问题,然后这些被黑客利用发动攻击。
3 制定安全策略的原则
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施。网络安全的维护策略就是针对网络的实际情况,在网络管理中,对各种网络安全采取的保护措施。网络的环境不同,实施的策略也要依据具体情况来定。因此要根据网络的具体应用环境制定出合理的安全策略。
3.1 系统性原则
网络的安全管理拥有系统化的工作流程,必?考虑网络的各个方面,比如网络上用户、设备等,并且采取相应的措施。不要错过任何一个细节,一点点的错失都会降低整个网络的安全性。
3.2 简单性原则
网络用户越多,网络管理人员越多,网络安全的管理工作就越复杂,采用的网络软件种类就越多,网络提供的服务越多,出现安全隐患的可能性就越大,出现问题后解决问题的难度也越大。要有简单的网络,才会有安全的网络。
3.3 适应性原则
随着网络技术的发展和迅速的变化,网络用户不断增加,网络规模不断扩大,而安全措施是防范性的、持续的,所以制定的网络安全维护策略必须适应网络发展的变化,与网络的实际应用环境相结合。
4 中小型企业网络安全维护策略
4.1 网络规划时的安全策略
做网络规划时一定要考虑网络的安全性,并且要实施一些安全策略。对于中小型企业网络来说,网络管理员是网络安全责任人,所以明确网络安全的责任人和安全策略的实施者。对中小型企业的局域网要集中管理网络上的公用服务器和主交换设备。安全策略不可能保证网络绝对安全和硬件不出故障。
4.2 网络管理员的安全策略
对于中小型企业网络,网络管理员要承担安全管理员的责任。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。网络管理员必须了解整个网络中的重要公共数据和机密数据有哪些,保存的地方,归属于谁,丢失或泄密会有什么后果,将这些重要数据集中在中心机房的服务器上,定期对各类用户进行安全培训。
设置服务器的BIOS,不允许从可移动的存储设备启动。通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。取消服务器上不用的服务和协议种类。网务和协议越多安全性越差。系统文件和用户数据文件分别存储在不同的卷上,方便日常的安全管理和数据备份。管理员账号仅用于网络管理,不在任何客户机上使用管理员账号。对属于Administrator组和份组的成员用户要特别慎重。
鼓励用户将数据保存到服务器上。不建议用户在本地硬盘上共享文件。限制可登录到有敏感数据的服务器的用户数。在出现问题时可以缩小怀疑范围。一般不直接给用户赋权,而通过用户组分配用户权限。新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,且最好新设置成的口令不低于6个字符,以杜绝安全漏洞。
4.3 网络用户的安全策略
网络的安全不仅是网络管理员的事,网络上的每个用户都有责任。网络用户应了解下列安全策略:
(1)将口令设置为8位数以上,不要将自己的口令告诉其他人。知道自己私有数据存储的位置,了解如何备份和恢复。
(2)定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(3)为了不影响自己的机器安全,尽量不要在本地硬盘上共享文件。应将共享文件存放在服务器上,这样比较安全也可以实现共享。
(4)设置客户机的BIOS,不允许从软驱启动。
(5)设置有显示的屏幕保护,并且加上口令保护。
(6)如果离开机器时间较长时,一定要退出网络。
(7)安装启动时的病毒扫描软件。
5月22日,国家互联网信息办公室消息,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该制度规定,关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。同月,出于对信息安全考虑,中央政府采购网《中央国家机关政府采购中心重要通知》,要求所有计算机类产品不允许安装Windows 8操作系统。
这是2013年6月“美国斯诺登事件”曝光以来,信息网络安全工作被我国政府提到一个新的国家战略高度上的又一体现。此前的2月27日,中央网络安全和信息化领导小组宣告成立。亲自担任组长,并在领导小组第一次会议上指出“没有网络安全,就没有国家安全”。这彰显出中国最高领导层在保障网络安全、维护国家利益、推动信息化发展方面的决心。
信息网络安全工作既是一项技术工作,又是一项管理工作,要做到技术手段和日常管理相结合。
五方面完善
鉴于信息网络安全的重要性,我认为,安全管理要从如下五个方面进行完善,并不断提高人们对于网络安全重要性的认识。
第一,信息网络安全要进行顶层架构设计。设计信息网络安全的顶层架构,要从总体上把握好信息网络安全工作。通过信息网络安全的顶层设计,形成信息网络安全策略的制定、运营的执行、监管控制和反馈的闭环体系,建立统一的信息网络安全指标,规划信息网络安全职能和服务,特别要涵盖身份识别与访问、安全路径和设施、数据安全等。
第二,突出信息网络安全工作重点。信息网络安全工作的突出重点和目的是保护数据资源安全。在数据收集、处理和应用的整个生命周期,防止数据资源的丢失以及非法窃取,设计数据级安全解决方案,与信息系统建设同步进行数据访问和权限管理,对数据使用进行全过程管理和控制,包括数据的非法或非正常查阅、复制、篡改、删除等。
第三,重视信息网络安全组织和团队建设。建立强有力的信息网络安全组织和团队,从组织上保证信息网络安全工作体系落实到位。建立信息网络安全专职队伍,构建专门的信息网络安全事件响应团队,负责建立信息网络安全技术基准、例外情况的正式批准、制定安全策略和指南、信息网络安全事件的采集分析处理和响应等工作。
第四,建立全面的信息网络安全报告沟通制度和惩戒机制。建立专门的信息网络安全门户、信息网络安全教育网页,正式的信息网络安全年度报告,每月、每季度对内信息网络安全报告,对信息网络安全事件及时反馈沟通。对违反信息网络安全规定、造成信息网络安全事故的事件进行警示。加强信息网络安全宣传教育,全面提高员工的信息网络安全意识。
第五,要定期开展内部模拟攻击测试和应急响应演练。在企业内部定期开展网络模拟攻击测试,测验员工安全意识和防范能力,检测各种隐患漏洞,通过快速反馈和响应,提高信息网络安全的应急响应水平。
三措施应对
在信息网络安全的建设中,除了要有完善的管理制度外,还要有强大的安全技术的支持。鉴于目前的网络安全状况,企业应重点做好三个方面的工作。
一是对网络行为要实施信息网络安全实时动态监管,实时阻止非法访问行为。
在信息网络安全工作中,监管处于核心位置,除了要管好自家的“门”外,更要对进入“门”内的各种访问行为进行实时监管。成立专门的计算机安全应急响应小组。该小组一方面跟踪研究业界最新的安全动态,并实施最新的信息网络安全防御技术等;另一方面综合应用DNS(域名服务器)收集、防火墙、IPS(入侵防御系统)、用户行为建模等工具,7×24小时不间断地对公司网络中的各种“例外行为”进行监管。
国内企业的大部分信息网络安全事件是由于计算机病毒或木马导致信息和数据失泄密,因此很强调“门卫”的作用。但仅仅重视“门卫”的预防而忽视对内网行为的实时监管,结果会让非法访问者一旦突破“门卫”进入企业内网,非法访问者可以做任何事情而没有人过问。对企业网中的一切访问行为进行实时动态的监控,能实现更全面的信息网络安全监管,只要有不合规的行为就可能在最短的时间内被发现并被阻止。
二是注重信息网络安全系统的自学习能力,加强系统防御、发现和修复的能力建设。
随着IT技术的飞速发展,企业网络面临越来越多的攻击风险。新技术的不断应用,导致攻击的手段和方式也越来越隐蔽、越来越不易被发现。2012年Verizo数据泄露报告中,对企业网络遭受恶意攻击导致数据丢失甚至系统瘫痪,以及对发现攻击并修复漏洞、恢复系统运行等所需要的时间做了统计,从统计数据中可以看出,受攻击能够在几分钟、几个小时内就导致企业数据的外泄甚至系统瘫痪,而企业要发现这些攻击并有效阻止这些攻击则需要数周甚至数月的时间。这就让企业的网络、系统、信息长时间处于危险状态,而且旧的漏洞被修复后攻击者又会发现并利用新的漏洞,导致信息网络安全人员疲于应付。
因此,企业需要有效利用信息网络安全工具和手段,加强“防御-发现-修复”过程的自学习和自修复能力。即通过综合开展有针对性监控,有效利用数据丢失预防(DLP)、DDOS(分布式拒绝服务攻击)缓解、恶意软件/代码高级检测、DNS域名系统记录和分析、数据包捕获/检测(DPI)、远程调查分析等工具,对各种行为数据进行分析处理,对网络中的各种行为习惯进行自学习,在出现异常情况时采用全自动和人工干预的方式,“即时”控制异常行为。这相对于发现漏洞、等待修复的传统方式,在时间上有了数量级的提高。同时,企业要不定期地通过实施实际的攻击来检验网络的自学习和自修复能力,不断优化完善防御、发现和修复系统的自学习能力,并将相关优化建议直接应用到防御、发现和修复系统,提高防御、发现和修复系统的能力,形成良性循环。
三是有效应用“身份”安全的边界支持信息系统应用。
IT新技术的快速发展和应用,对传统的安全域隔离提出了挑战。一方面,云计算让“安全域”的边界越来越模糊。另一方面,BYOD(携带自己的设备办公)的移动应用让终端的管理越来越难。
云计算和传统方式相比具有很多优势。但它的方便性和易用性也导致了企业网络中不同的安全域逐步模糊了边界,尤其是企业采用了“公有云”服务后,“安全域”已经无法界定清楚。而WIFI、3G、4G技术的发展,使员工越来越愿意使用PAD、智能手机等智能终端随时随地处理办公业务,众多终端通过不同的方式接入企业网络,终端的管控越来越难,而且智能终端的便携性也同样面临容易丢失等问题。
因此,在当前的云计算和移动互联网环境下,“身份”是安全域的一个新边界,也是企业信息网络安全进行精细度控制的基准点。国内外基于“身份”的安全体系已经比较成熟,目前国内外基于“身份”的安全体系已经从CA(证书认证)发展到了4A(账号、认证、授权、审计),国内各大银行网银系统的U盾就是典型的基于“身份”的4A应用,核心思想就是通过数字证书确保使用者身份的唯一性。但是,不论CA还是4A,一般都要求使用存储了数字证书的“U盾”作为身份的唯一标识。
科技的进步,带动了信息技术的日新月异的发展,信息安全对于企业来讲关系着企业的核心资产,因此,加强信息安全的管理对于企业的发展有着至关重要的作用。就目前的现状来看,诸多企业已经开始全面重视起自身的信息安全建设工作,虽然通过一系列信息安全产品的建设与维护能够在某些方面起到作用,但仍有很多企业网络的信息安全性并未有本质上的提升。对于企业来讲,安全管理是一个系统的标准,有着较高的复杂性,因此,企业应当根据自身的特点,深入研究信息化进程当中的安全管理问题,而这也成为了当前时代背景下助推企业进一步发展的必由之路。由此可见,企业管理好计算机网络安全是至关重要的,做好相应的应对机制,做到防患于未然是当下应当采取的必要措施。在这样的基础上,探讨计算机网络安全技术在企业网的应用对于企业实现可持续发展具有重要的指导意义。
1 基于信息化管理的企业计算机网络安全概述
计算机网络,顾名思义,就是指在网络上进行一系列连接,通过信息数据之间的相互传播最终达到资源共享的一个网络化结构。回顾计算机的发展,其迅速十分迅猛,起初的计算机是运用在军事上的,为了填补战争中在通信上的缺陷,计算机网络由此诞生。基于计算机的网络类型包括局域网和广域网,其中应用最为广泛的就是家庭局域网或者企业的局域网。其中城域网也是计算机网络的重要组成部分之一,这种网络是以城市,乡村为主来进行的,供同一地区小范围内的网络使用,城域网以ATM技术作为骨干网,通过一个MAN网络连接多个LAN网络的方式来实现的[1]。计算机网络还包含无线网,无线网络的产品其中包含个人通信系统无线数据终端、便携式可视电话、个人数字助理等。
信息化的技术是随着科学技术不断发展的产物,最早来自于上个世纪的后半叶,目前已经成为一项现代化的科学技术,是现代化生活中最主要的一种理念和方式,不仅深深地影响着人们的生活和改变着人们的生活、生产方式,更为国家社会和企业带来了更高效的工作效率和管理效率。
我国的各个类型的企业可以说是促进我国经济发展的重要支柱,也是社会主义市场经济的重要组成部分,因此,发展各个类型的企业,是确保社会主义市场经济健康发展的有效手段。在现代化社会的进程当中,企业的发展离不开信息化的管理,而这个过程又在充满着机遇的同时面对着诸多严峻的挑战,因此,加强企业信息化进程中的安全管理,充分认识到其中的困难,进而提出解决措施,是确保现代化企业不断发展的有效动力。
2 基于信息化管理的企业计算机网络安全现状
一般来讲,企业信息安全管理的隐患主要来源于信息网络方面、人为方面、硬件设施和安全管理的隐患。其中主要包括病毒和黑客的入侵、人为操作不当造成的信息泄露、存储的数据和备份等硬件设施安全隐患和管理意识淡薄等。
以上诸多因素可以归纳出目前企业信息化进程中的安全管理现状及问题主要表现为几个方面。(1)诸多企业由于自身的经营条件受限,缺乏相关的资金和技术投入,虽然对其的重要性有着一定的重视,但是仍然因为投资不足而导致硬件和软件设备的开发和建设难以满足企业实际的需求,因此也就难以实现企业信息化安全管理工作的有效落实。(2)缺乏相应的人才建设,人才对于企业的重要性显而易见,企业不应当仅仅重视促进企业发展的人才建设,更应当重视技术人才的建设。(3)信息化安全管理机制的不完善,任何企业只要任何方面出现问题,都会涉及到制度建设的不完善。(4)就是企业对信息化安全管理的重视程度不足。(5)企业对于信息化安全方面的风险防御能力不够,简单的黑客入侵或者病毒的袭击甚至都会造成信息系统的崩溃,而这也是由于技术人才不足所导致[2]。
3 影响企业计算机网络安全的来源
3.1 黑客入侵
现在网络上出现各种各样的恶性攻击,其中一部分是由于黑客入侵所造成的,黑客入侵是计算机网络中风险较为常见的一种。有些黑客非法入侵用户的电脑中,对用户的网络数据资料进行窥探,黑客入侵通常都是采用口令的进攻方式,对用户的账号密码进行破解,对用户的财产进行转账、删除网络用户的重要文件资料等行为,为企业用户的经济财产带来巨大的损失。
3.2 网络病毒
网络病毒的危害性众所周知。网络病毒的生成,是一个人为的过程,是以人为主导的一种“网络环境破坏”,对于网络病毒来说,其本质也是电脑程序中的一种,由相关的数据通过不同的表达顺序,进而呈现出不同的破坏力,在互联网这个大环境中,其经常会攻击一些用户的计算机(服务器),对这些网络用户的文件造成一定损害或者是直接删除,并且在一定程度上影响到了计算机的运行过程,阻碍着网络数据的传播,更有一些网络病毒破坏的更为彻底,当强行删除病毒或者是开启计算计的自我保护模式时,病毒会导致系统的崩溃[3]。
3.3 网络诈骗
计算机的使用环境较为开放,这就给一些不法分子提供有机可乘的机会,不法分子可以针对各大企业的计算机网络进行网络诈骗,有些企业相关人员对计算机安全掌握不到位就及其容易的钻进网络陷阱之中,网络诈骗形式的出现严重的威胁着计算机网络的安全,会直接造成企业财产的损失,陷企业于困难的境地。
除此之外,最重要的一个危险因素就是企业内部计算机系统的安全性。众所周知,计算机的运行主要依靠其本身的操作系统,也就是基本的程序,虽然现代化技术已经能够实现为计算机程序进行及时的更新,但正是在此过程中容易出现一些技术方面的问题,成为威胁网络安全的重要因素。
4 企业网中强化计算机网络安全的相关技术分析
4.1 网络防火墙技术
当前所有计算机应用的领域,不单是企业,很多个人用户也在不断提高着对计算机安全的重视程度,而防火墙技术的应用作为维护计算机安全的重要手段,应当更好地应用在企业网络当中。在企业的网络结构中,防火墙技术又分为包过滤防火墙和应用级防火墙两种,前者能够有效地起到对所传输的信息数据的过滤作用,以此方式来对病毒进行隔离,同时发出信号通知用户对病毒进行人工拦截;后者的用途直接作为保护计算机网络的安全,通过对终端服务器的扫描来发现并处理网络攻击行为。
4.2 数据的加密
数据加密技术也是一种常用的维护网络安全的形式。在现代化企业的发展过程中,数据的加密是确保企业信息安全的一个有效途径,这种技术的应用不应当仅仅局限于单一的加密,而应当通过综合使用来实现加密的最大化安全保障。加密的形式通常有两种算法,即对称与非对称算法,对称加密就是只要密码符合就能够通过,而非对称加密则要相对复杂,需要进行一些复杂的计算才能通过验证,安全性较高。
4.3 杀毒技术
网络病毒,可以说是当前对计算机安全性威胁最大的一个来源,因此各种杀毒软件获得了极其广泛的应用。对此,企业应当要求相关人员及时检测并更新计算机系统,最大程度避免网络漏洞的出现。同时,还要加强企业员工的素质建设,避免私自下载无关软件或浏览非正常网页,安装并及时更新杀毒软件,确保计算机系统内所有文件的安全。
4.4 系统入侵的检测
对于企业网的安全来说,入侵检测技术水平至关重要。这种技术具有几个方面的优势。(1)能够自动收集一切与计算机网络相关的信息数据进行自动化检测;(2)自动找寻系统当中可能存在的侵害行为;(3)受到侵害时能够自动发出求救信号并同时切断入侵通道;(4)有效拦截一切入侵[4]。由此可见,企业网的入侵检测技术的本质就是实现对网络运行的整体监控,通常基于主机与主网络来进行智能化检测,相比之下准确性和效率都较高。然而该技术也会在一定程度上影响到加密技术,也就是说,在入侵检测的过程中,会或多或少地出现异常检测和误检测情况,其中异常检测主要针对整个计算机资源用户和系统的各种行为,这种检测方式极其容易出现误报,在整个检测的过程中又需要对整个系统进行全面的整体扫描,由此就需要耗费大量的时间,从而影响工作效率;而误检测一般针对已经确定的入侵模式来进行,相比之下,这种检测方式检测效率较高,也就是不仅速度快,同时还具有较高的准确率,唯一不足的方面与异常检测一样,均需要耗费大量的时间。因此,入侵检测技术的应用,需要企业充分结合自身的实际情况来进行合理化选择。
关键词:网络安全 防火墙 VPN
随着计算机技术和网络技术的高速发展,企业对计算机和网络的需求也日趋增长,同时,网络安全面临着严峻的威胁。Ju-niper网络公司发起的一项最新研究表明,在调研的中国企业中有63%在去年受到了病毒或蠕虫攻击,而41%的公司受到了间谍软件和恶意软件的攻击,14%受到了黑客的攻击。
面对日趋复杂的网络安全威胁,各种安全技术也应运而生,如防火墙技术、VPN技术、IPSec技术、黑客技术、漏洞扫描和修复技术、入侵检测技术、恶意代码与计算机病毒防治、系统平台安全及应用安全等。
1、中小企业网络出现的安全问题
中小企业网络一般会出现以下八种安全问题:第一、中小网络经常受到各种各样的攻击,其中有SYNFLOOD、UDPFLOOD等DDoS攻击。第二、企业Web服务器曾因为访问可执行文件而中毒、瘫痪。第三、在外出差的员工无法安全快速的访问公司的服务器。第四、公司员工浏览一些不安全网站,存在安全隐患。第五、公司员工使用P2P软件,存在安全隐患;第六、公司员工安全意识较低,没有定时查杀病毒,中毒机率高。第七、用户使用的杀毒软件没有及时更新,导致杀毒软件无法查杀最新的病毒,造成严重后果;第八、用户没有及时修复系统漏洞,导致很多基于漏洞的攻击和病毒的入侵。
2、解决中小企业网络安全问题采用的策略
双防火墙策略
硬件防火墙作为企业内部网络和外部网络连接的第一道门,它的功能全面,能有效阻止非法的入侵和攻击,ISAServer2004集成的软件防火墙对Internet协议(如超文本传输协议(HTTP))执行深入检查,能检测到许多传统防火墙检测不到的威胁。硬件防火墙+ISAServer2004软件防火墙,两者各自发挥优点和特色,为构建更为安全的企业网络打下坚实的基础。
VPN策略
由于各种安全威胁层出不穷,让我们防不胜防,那么如何让企业员工在外面出差的时候安全的访问企业内部网络呢?ISAS-erver2004,提供了一种方法,就是通过建立VPN虚拟专用网络,该方法需四个步骤,就可以启用ISAServer2004中安全、快速的VPN服务器。这四个步骤是:(1)启用VPN服务器;(2)配置远程访问属性;(3)给予用户拨入权限;(4)访问规则。
病毒防治策略
计算机病毒的危害如下:阻塞网络、破坏系统、破坏数据、感染其他计算机、泄露信息、消耗资源等等。笔者采用瑞星网络版杀毒软件,对客户端的杀毒软件进行实时的监控和管理,并为客户端的杀毒软件制定了一系列的防护病霉策略,做到实时监控、及时升级,定时查杀。
漏洞扫描修复策略
系统和软件如果出现漏洞,就容易成为黑客、病毒、木马等的攻击对象。可见修复系统漏洞和及时升级软件是多么的重要。瑞星杀毒软件修复系统漏洞功能解决这一问题。在漏洞扫描设置页面,设置启用定时漏洞扫描并且设置扫描频率、设置扫描漏洞的严重级别和自动安装补丁程序等。还可以采取静默安装的方式,这样就可在不干扰用户正常工作的情况下自动进行安装。
禁止企业内部访问某些网站策略
要实现该策略的技术,必须在ISASERV-ER2004里面分两大步骤:其一,对需要禁止上网的客户建立一个地址范围或者计算机集,然后为禁止这些用户访问的那些站点建立一个地址范围或域名集;其二,在防火墙策略中新建一个访问规则,阻止内部的这些计算机集访问定义的外部站点地址范围或域名集。
禁止企业内部用户使用P2P软件策略
目前,P2P软件非常的流行,而且提供了多样化的登录方式,支持UDP、HTTP和HTTPS这三种登录方式,ISAServer2004的深层HTTP检查机制,可以快速简单封锁P2P软件。封锁P2P软件的最好办法是封锁它的服务器IP,有些P2P软件还可以使用HTTP登录,所以,还得在ISAServer2004的H TTP检查机制中设置禁止P2P的HTTP连接。
服务器上阻止对所有可执行文件的访问策略
对于Windows2000/XP/2003下的攻击,很多时候是以得到服务器Shel1为目标的,这就需要执行服务器上的Cmd. exe。如果禁止访问服务器上的exe可执行文件,这样类似的攻击就不防而灭了。
ISAServer2004中的HTTP过滤策略是基于每条防火墙策略进行配置的,只要这防火墙策略中包含了HTTP协议,就可以配置该防火墙策略的HTTP策略。只要在阻止包含Windows可执行内容的响应打上勾就设置完成了。
员工安全培训策略
当前网络安全和计算机安全面临着严峻的威胁,而这些威胁带来的结果都是灾难性的,如果员工的安全意识没有提高,那自身的安全技术就得不到提高,网络安全方案实施就会受阻,不安全因素就会大大地提高。因此提高员工安全意识的工作必须放在首位。
中小企业可以根据自己的实际情况制定培训计划,培训内容主要包含有:第一、提高员工安全意识重要性;第二、了解目前网络安全背景;第三、学习和运用各种安全技术。
3、结束语
面对日趋复杂的网络安全威胁,单一的网络安全技术和网络安全产品无法解决网络安全的全部问题,因此我们应根据实际应用需求,制定安全策略,综合运动各种网络安全技术来保障企业计算机和网络安全。
参考文献:
【1】袁津生,吴砚农计算机网络安全基础[M].北京:人民邮电出版社,2008
互联网络深入到生产生活的各方面,改变了传统的生产模式,对促进生产力的提高发挥着重要的作用;中石化也正是看到了这一点,在近几年加快了信息化建设的步伐。网络也在不断调整和优化,几乎每个加油站网点都被纳入公司局域网之内;而且陆续投入使用了ERP系统、V20系统、视频监控系统、加油卡系统等。这些系统的推广和使用对提高中国石化的生产、经营和管理水平发挥了很大的作用。随着中石化信息化不断深入,网络安全已成为维持日常经营活动正常开展的前提。中石化网络信息安全管理架构的形成,既是企业业务需求形成的结果,也是网络安全领域向全方位、纵深化、专业化方向发展的结果,无论从经济效益还是社会影响考虑,我们都应该重视我们企业的网络安全管理及系统建设情况。
1 网络安全的含义及特征
1.1 网络安全定义
网络安全指的是:为保证网络正常平稳的运行,而采取使其免受各种侵害的保护措施。
1.2 网络安全特征
1)完整性:指信息不能在未得到授权的情况下擅自修改,不能被破坏、信息确保完整和及时传送,确保承载企业信息的网络系统完整性和有效性;
2)机密性:指网络能够阻止未经授权的用户读取保密信息,能够保证为授权使用者正常的使用,并能防止非授权用户的使用,而且有防范黑客,病毒等;
3)可用性:要保证系统时刻能正常运行,确保各种业务的顺利开展。
2 企业网络安全的需求
企业对信息网络安全方面的需求主要包含:
1)实现网络安全首先要保证机房能为各种核心设备提供符合标准的运行环境,要有门禁系统、防火、防雷、防静电、防潮、防鼠防虫等设备,有冗余供电线路和后备电源甚至发电系统,有空调设备保证机房恒温,每天定时巡检,及时发现问题及时解决。
宿迁分公司机房于2009年底进行改造,改造后较改造前有较大改观;但还存在一些问题,比如UPS电池组使用超过期限,防潮防鼠防虫不到位,没有冗余供电线路和发电设备等等;但这些问题相对于泗阳、泗洪、沭阳、黑鱼汪油库、南关荡油库来讲就不是问题了,因为这三县两库根本就没有机房,网络设备随意堆放,没有任何防护措施,人员可以随意出入,网络布线杂乱无章。不过省信息处已经意识到此问题,准备在两个油库建立标准化机房,希望尽快改造,早日消除风险。
2)要实现网络安全首先要实现承载公司各种业务系统的操作系统的安全,这有许多工作要做,比如:及时升级系统补丁堵住漏洞,关闭不必要的端口,配置系统安全策略,有选择性限制用户对系统的使用权限等;这些一系列复杂的操作,要按期望的结果执行,则必须制定一定的规范,将所有需要执行的步骤程序化,这样可以规范一线信息人员的操作行为,减少误操作的可能性,为网络安全奠定坚实的基础。
3)公司关键业务数据必须按照内控要求及时备份,并定期对备份介质进行可读性检查;公司移动办公用户接入内网办公时,数据需要加密传输;保证业务系统正常运行,即使在业务中断情况下也能迅速恢复。
省公司在保证数据安全性方面并没有统一的解决方案,这对一个企业来讲是非常危险的,数据的价值对企业的重要性是不言而喻的,因此我们不仅要制定有效的数据丢失防范策略,而且还要有相应的设备的支持。
4)公司关键网络设备应该有冗余线路和冗余设备,以便在网络中断或设备停止工作时能自动切换,保证系统平稳运行;但我们还是冷备,断网时需要手动切换,存在单点故障,需要改进。
5)加强对系统操作人员的培训,通过培训加深相关人员对业务系统的理解和认识,从而可以减少误操作可能性,最大程度减少内部原因引起的各种不稳定因素。对安全性要求较高的场合,采用数字证书等认证方式,代替传统的不安全的用户名口令授权模式。对业务系统和内部网络进行严格监控,防止异常情况的发生,并在发现异常时能及时采取相应措施。
3 企业网络安全现状及主要威胁
3.1 来自企业内部的威胁
在所有对网络安全造成威胁的事件中,来自企业内部的占绝大多数。据统计,来自企业外部的威胁只有不到1/4,而3/4以上的网络安全威胁事件来自企业内部。且这些来自于企业内部的网络安全事件中,源自企业内部制度不健全、安全意识较差等自身管理问题占3/5;企业内部未经授权的访问所造成的威胁占1/5;剩下的1/5则是由于设备老化或者相关人员操作失误而导致。
由此可知,源于企业内部的安全威胁所占比重最大,所以对企业内部采取必要的安全措施是非常必要的。内部员工了解公司网络结构、数据存放方式和地点、甚至掌握业务系统的密码。因此从内部攻击是最难预测和防范的。另一方面商业竞争可导致更多的恶意攻击事件的发生。特别是个别员工安全意识不高,有意或无意泄露企业商业机密、甚至为了谋取个人利益将其出售给竞争对手,最终给企业造成重大损失。
防范来自公司内部的威胁可以部署上网行为管理设备,它可以监控、规范并且记录用户的上网行为;根据不同的岗位设置不同的安全防护等级;甚至还可以防范DDOS、ARP攻击等行为。因此我们认为要提高公司网络安全和管理水平,很有必要部署此设备。
3.2 来自企业自身发展水平的威胁
首先,由于公司用车不便、信息人员较少等多方面的原因,我公司信息安全问题一直有较多隐患。出现问题有时无法及时排除,特别是省公司卡管系统最近问题极多,这不仅影响经营也影响公司在客户心目中的形象。
其次,公司加油站OA电脑配置水平较低,而且运行较多业务软件,如:OA系统、液位仪、视频监控、桌面安全、Norton网络版客户端等,电脑运行不畅,经常发生停顿无响应甚至死机情况,这样不仅无法防病毒,而且会影响业务,只会有反作用,而且绝大部分加油站OA电脑使用时间超过4年,已不适应业务发展的需求,建议升级。
第三,公司加油站及油库都已经安装视频监控系统,但没有相应的规章制度来合理使用此系统,因此无法起到对经营及网络安全的提升和促进作用。
3.3 来自网络黑客破坏和病毒的威胁
在互联网高速发展的今天,相应的攻击技术和黑客工具传播很快,相关工具使用起来也变得非常容易;因此导致攻击事件层出不穷。这些行为的出现还有较深层次的原因:首先是商业竞争导致的企业间为了各自利益而不顾道德和法律的约束,擅自雇佣黑客攻击竞争对手以便获取对方信息然后制定相应策略打压对方;其次,越来越多的年轻人掩饰不住好奇心纷纷加入黑客队伍,他们以设计黑客程序,攻破预期目标为乐,以此炫耀自己的技术水平。
如今病毒和恶意代码的传播和感染能力比前几年有了很大的提升,因此造成的损失也呈几何级数增长。随着我们网络的发展和应用的深入,网络上存储大量的重要信息,甚至包括核心信息。一旦遭到破坏,轻者影响业务增加维护成本;重者造成信息泄露,业务中断,企业无法正常经营。我们就曾经遭受过冲击波、震荡波、ARP病毒的攻击,导致系统莫名重启,无法联网的情况;现在操作系统的漏洞层出不穷,我们应该防范于未然,充分利用现有的桌面安全管理系统和Norton防病毒系统,将问题消灭在萌芽状态。
4 加强与完善企业网络安全管理的对策与建议
4.1 建立网络功能管理平台
现在的网络系统日益庞大,网络安全应用中也有很多成熟的技术可借鉴和使用,如防火墙、入侵检测、防病毒软件等;但这些系统往往都是独立工作,处于“各自为政”的状态,要保证网络安全以及网络资源能够充分被利用,需要为其提供一个经济安全、可靠高效、方便易用、性能优良、功能完善、易于扩展、易于升级维护的网络管理平台来管理这些网络安全设备。中石化江苏分公司在2004年尝试使用过HPOpen View网络管理系统,它的强大的网络管理功能和跨平台性是非常独到的,它不仅功能强大、使用简单,而且很适合宿迁分公司的复杂网络环境。
4.2 建立企业身份认证系统
传统的口令认证方式虽然方便,但是由于其易受到窃听、重放攻击等的安全缺陷,因此这种方式已无法满足当前复杂网络环境下的安全认证需求。所以企业应尽量采用PKI的USB Key技术体系的身份认证。
中石化已经在2008年开始陆续在下属分支公司的资金集中管理系统及OA签章系统使用基于PKI的USB Key的认证系统;并且在2010年终止多用户使用一个VPN账号的粗放且不安全的管理方式,采用专人专号,集中申请和管理的方式,极大增强了安全性和保密性;这些安全的认证体系在提供身份认证的功能时,为企业的敏感通信和交易提供了一套信息安全保障,通过一定的层次关系和逻辑联系,构建了用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统构成的综合性安全技术体系,确保企业信息资源的访问得到正式的授权,验证资源访问者的合法身份,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求,将企业网络运行风险进一步细化,尽可能地减轻由于网络安全管理风险给可能给企业造成的形象与经济损失。
4.3 应用防病毒技术, 建立全面网络防病毒体系
计算机网络应用技术已经覆盖企业生产经营方方面,各种信息设备在企业中扮演着重要的角色,因此保证它们安全稳定运行的要求变得很迫切。
江苏石油分公司为了防止受到来自于多方面的威胁,特别是病毒的威胁。最大程度降低因病毒所造成的经济损失,从2004年开始部署并在2009年升级了Norton网络版防病毒系统,并采用多层的病毒防卫体系,在每台PC机上安装反病毒软件,在网关上安装基于网关的反病毒软件,在服务器上安装基于服务器的反病毒软件。另外我们宿迁分公司也充分利用防火墙技术,在网络入口处检查网络通讯,根据企业设定的安全规则,在保护自身网络安全的前提下,保障内外网络通讯的畅通无阻。我们在网络出口处安装防火墙后,所有来自外部网络的访问请求都必须通过防火墙的检查,内部与外部网络的信息得到了有效的隔离,使得宿迁分公司网络安全有了很大的提高;但由于投入使用的防火墙扩展性有限,随着业务的扩展,它已经较难适应现在的业务需求,需要更换,否则会是一个较大的隐患。
4.4 建立完善的数据备份与恢复体系
保证网络安全的前提是保证业务系统数据的安全,我们根据公司的业务特点和网络现状,建立了基于Linux的数据备份系统,既能保证公司业务系统数据(如:财务数据、FTP数据和瑞通换票系统数据等)和关键用户数据能及时自动同步到专用服务器上,又能在系统恢复后把数据自动同步回来。此系统客户端支持Windows、Linux。Mac,因此兼容性好,应用前景广。此系统有专人管理并定期刻录转存备份的数据,定期对转存的数据做可读性测试并做好记录,有力保证了数据和网络的安全,在使用中起到了良好的效果,公司应该尽快在全省推广此应用,让数据丢失的悲剧永远不要再发生。
4.5 健全安全管理制度和规范管理人员
要保证计算机网络的安全性,首先管理工作必须到位;因为网络管理也是计算机网络安全重要组成部分。通过制定相应的规范并有配套制度能保证规范执行到位,这是维持信息化企业经营活动正常开展的前提。分公司信息站在这方面应该是执行者,引导并监督相关人员正确、规范执行。任何好的制度和措施,如果没有很好的执行,也只能是空谈;网络安全方面也是如此,我们倡导“技术先行,管理到位” 的原则,这也正和内控制度相吻合。比如:使用门禁系统严格控制并记录人员进出,机房每天定时巡检、设备出入严格记录并有负责人签字;设备或网络故障都有一套严格的响应机制和应急机制,确保及时发现,及时响应,及时处理;随着这套机制在实践中的逐步完善,我们的管理水平和网络安全水平会有更大的提高。
对企业员工要强化宣传,加强网络安全教育和法制观念教育,让安全观念和法制观念深入人心,提高公司员工对网络安全的认识和保护网络安全的主动性。
4.6 重视对员工的培训
网络安全做的再好,如果缺少人的因素,也是没有意义的;因此人员素质的高低对信息安全方面至关重要;提高人员素质的前提就是加强培训,特别加强是对专业信息人员的培训工作。目前的现状是,公司缺乏系统的、长期的培训计划,无相应培训经费,偶尔组织的培训课程也都是走马观花,蜻蜓点水。信息人员每天都扮演消防员的角色,到处救火,疲于奔命,一直停留在较低层次水平。公司如果能有制定合理的人才发展规划,让信息人员的业务水平能有稳步提高,进而能主动发现问题,解决问题,将问题解决在萌芽状态。而且信息人员素质的提高对业务的提升能起到推动性的作用,信息人员可以对一线员工进行培训,提高他们对业务系统的操作能力,进而可以提升公司形象,最终形成良性发展模式。
5 结论
综上所述,企业网络安全领域以及网络安全管理是一个综合、交叉的综合性的课题。我们在充分享用它带来便利的同时,也应将网络安全放在可以管理的范围之内。企业信息化建设过程中虽然面临众多网络安全威胁,但是如果通过一定的技术和管理手段,在安全的范畴内不断探索和尝试,并在实践工作中学习和掌握新的网络安全与管理知识,我们完全可以构建一个安全可靠的网络环境,从而为企业的快速发展提供高效的服务。
参考文献
[1]李立旭.浅析计算机网络安全及防范[J].企业科技信息,2009(12).
[2]李明之.网络安全与数据完整性指南[M].机械工业出版社,2009,10.
[3]胡道元.计算机局域网[M].北京:清华大学出版社,2008,7.
关键词:等级防护;电力企业;网络安全建设
中图分类号: F407 文献标识码: A 文章编号:
引言
信息化是一把“双刃剑”,在提高企业工作效率、管理水平以及整体竞争能力的同时,也给企业带来了一定的安全风险,并且伴随着企业信息化水平的提高而逐渐增长。因此,提升企业的信息系统安全防护能力,使其满足国家等级保护的规范性要求,已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言,应等级保护要求,将信息管理网络划分为信息内网与信息外网,并根据业务的重要性划分出相应的二级保护系统与三级保护系统,对三级系统独立成域,其余二级系统统一成域,并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。
1现阶段电力企业网络风险分析
1.1服务器区域缺少安全防护措施
大部分电力企业的服务器都是直接接入本单位的核心交换机,然而各网段网关都在核心交换机上,未能对服务器区域采取有效的安全防护措施。
1.2服务器区域和桌面终端区域之间的划分不明确
因服务器和桌面终端的网关都在核心交换机上,不能实现对于域的有效划分。
1.3网络安全建设缺乏规划
就现阶段的电力企业网络安全建设而言,普遍存在着缺乏整体安全设计与规划的现状,使整个网络系统成为了若干个安全产品的堆砌物,从而使各个产品之间失去了相应的联动,不仅在很大程度上降低了网络的运营效率,还增加了网络的复杂程度与维护难度。
1.4系统策略配置有待加强
在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等,但在实际的网络安装调试过程中,往往只使用最宽松的配置,然而对于安全保密来说却恰恰相反,要想确保系统的安全,必须遵循最小化原则,没有必要的策略在网络中一律不配置,即使有必要的,也应对其进行严格限制。
1.5缺乏相应的安全管理机制
对于一个好的电力企业网络信息系统而言,安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施,很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言,其目的就是确保网络的安全稳定运行,并且其自身应该具有良好的自我修复性,一旦发生黑客事件,能够在最大程度上挽回损失。因此,在现阶段的企业网络安全建设工作过程中,应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。
2等级保护要求下电力企业网络安全建设防护的具体措施
2.1突出保护重点
对于电力企业而言,其投入到信息网络安全上的资源是一定的。从另外一种意义上讲,当一些设备存在相应的安全隐患或者发生破坏之后,其所产生的后果并不严重,如果投入和其一样重要的信息资源来保护它,显然不满足科学性的要求。因此,在保护工作过程中,应对需要保护的信息资产进行详细梳理,以企业的整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中,在这些重要信息资源得到有效保护的同时,还可以使工作效率得到很大程度的提高。
2.2贯彻实施3层防护方案
在企业网络安全建设过程中,应充分结合电力企业自身网络化特点,积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上,实行分级、分域与分层防护的总体策略,以充分实现国家等级防护的基本要求。
(1)分区分域。统一对直属单位的安全域进行划分,以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。
(2)等级防护。遵循“二级系统统一成域,三级系统独立成域”的划分原则,并根据信息系统的定级情况,进行等级安全防护策略的具体设计。
(3)多层防护。在此项工作的开展过程中,应从边界、网络环境等多个方面进行安全防护策略的设计工作。
2.3加强安全域划分
安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分,可以实现以下目标:
(1)实现对复杂问题的分解。对于信息系统的安全域划分而言,其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护,是实现重点防护、分级防护的战略防御理念。
(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异,并且能够根据不同的安全防护需求,实现对于不同特性系统的归类划分,从而明确各域边界,对相应的防护措施进行分别考虑。
(3)有效防止安全问题的扩散。进行安全区域划分,可以将其安全问题限定在其所在的安全域内,从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中,还应充分遵循区域划分的原则,将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域,并对其分别进行安全防护管理。在二级系统服务器域与桌面域间,采取横向域间的安全防护措施,以实现域间的安全防护。
2.4加强对于网络边界安全的防护
对于电力企业的网络边界安全防护工作而言,其目的是使边界避免来自外部的攻击,并有效防止内部人员对外界进行攻击。在安全事件发生之前,能够通过对安全日志与入侵事件的分析,来发现攻击企图,在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。
(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙,以实现对于网络边界安全的防护。
(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中,应根据网络边界的数据流制定出相应的访问控制矩阵,并依此在边界网络访问控制设备上设定相应的访问控制规则。
2.5加强对于网络环境的安全防护
(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包,并通过相应的特征分析、异常统计分析等方法,及时发现并处理网络攻击与异常安全事件。在此过程中,设置相应的入侵检测系统,能够及时发现病毒、蠕虫、恶意代码攻击等威胁,能够有效提高处理安全问题的效率,从而为安全问题的取证提供有力依据。
(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下,对初始配置进行相应的优化,从而提高网络系统的自身抗攻击性。因此,在经过相应的安全评估之后,应及时发现其中隐藏的安全问题,对重要的网络设备进行必要的安全加固。
(3)强化日志审计配置。在此项工作的开展过程中,应根据国家二级等级保护要求,对服务器、安全设备、网络设备等开启审计功能,并对这些设备进行日志的集中搜索,对事件进行定期分析,以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。
结语
综上所述,对于现阶段电力企业信息网络而言,网络安全建设是一个综合性的课题,涉及到技术、使用、管理等许多方面,并受到诸多因素的影响。在电力企业网络安全建设过程中,应加强对于安全防护管理体系的完善与创新,以严格的管理制度与高素质管理人才,实现对于信息系统的精细化、准确化管理,从而切实促进企业网络安全建设的健康、稳步发展。
参考文献:
[1]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).
关键词:内网;安全;网络;管理;措施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 内网安全的定义以及与外网安全的区别
既然要探讨内网安全,首先要理解内网安全的含义,网络安全主要包含两部分,一个就是传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全;另一个就是内网安全,它是对应于外网而言的。主要是指在小范围内的计算机互联网络,这个“小范围”可以是一个家庭,一所学校,或者是一家公司。内网上的每一台电脑(或其他网络设备)内部分配得到的局域网IP地址在不同的局域网内是可以重复的,不会相互影响。
外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。也就是说,网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范减小了黑客仅仅只需接入互联网、写程序就可访问企业网的几率。传统的防火墙、人侵检测系统和VPN都是基于这种思路设计和考虑的。
对众多大型企业而言,随着业务的发展,用户希望ERP、OA、Intranet、互联网在一张网上实现,能够同时使用有线、无线网络,在一个网络上实现Web、即时通信、协作、语音、视频的融合。外网在某种程度上已经成为了内网的一部分。而随着移动办公的兴起,安全的边界越发模糊,笔记本电脑、手机都成为了企业OA网络中的一部分,而这也增加了内网安全的管理难度。
内网安全的威胁模型与外网安全模型相比,更加全面和细致。它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何―个节点上。 所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现―个可管理、可控制和可信任的内网。
由此可见,相比于外网安全,内网安全具有以下特点:
1)要求建立一种更加全面、客观和严格的信任体系和安全体系。
2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理。
3)对信息进行生命周期的完善管理。
2 内网安全的威胁
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
在实际应用当中,内网安全的威胁主要来自以下几个方面:
1)移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;
2)内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;
3)违反规定将专网专用的计算机带出网络进入到其它网络;
4)网络出现病毒、蠕虫攻击等安全问题后,不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。安全事件发生后,网管一般通过交换机、路由器或防火墙进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作;
5)大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;
6)静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;
7)针对网络内部安全隐患,自动检测网络中主机的安全防范等级,进行补丁大面积分发,彻底解决网络中的不安全因素;
8)大型网络系统中区域结构复杂,不能明确划分管理责任范围;
9)网络中计算机设备硬件设备繁多,不能做到精确统计。
以上问题其实可以归到两个基本需求:安全与管理。安全方面,需要保证在终端方面可以提供正常工作的基础IT设施即计算机是可用的;而管理方面,则保证企业或都说组织的计算机是用来工作的,规范计算机在企业网络里边的行为。
3 加强内网安全管理的建议和措施
可管理的安全才是真正的安全。虽然管理对于信息安全的重要性已经逐渐达成共识,但如何将安全管理规章和技术手段有效的结合在一起,真正提高信息安全的有效性,依然是我们共同面临的挑战。安全关注的趋势由外而内,由边界到主机,由分散到集中,由系统到应用,由通用到专用,由分离到整合,由技术到管理。从实际工作出发和借鉴兄弟单位成功经验,我总结了加强内网安全的措施如下:
1)按照企业的管理框架,根据不同的业务部门或子公司划成了不同的虚拟网(Vlan)。通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率,同时,由于各虚拟网之间不能直接进行通讯,而必须通过路由器转,为高级的安全控制提供了可能,增强了网络的安全性,也给管理带来了极大的方便性。特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网,采用完全隔离或者相对隔离的措施,保证了核心业务和重要部门的安全性。
2)对企业网络的物理线路进行规范化管理。按照区域、楼层、配线间、房间、具置规范化管理编号的原则,把所有的网络线路编号,套上清晰的线标,配置可网管的交换机。同时对交换机、配线架、电脑等设备的物理配置、存放的具置以及电脑的软件系统和系统配置等基础数据进行详细的登记,同时还对IP地址进行统一管理,把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联,当网络或者电脑发生故障时,网管们能够通过基础数据管理系统实现快速定位、快速排查故障,极大地提高了网管们解决故障的工作效率。
3)部署桌面安全管理系统。企业部署一套桌面安全策略管理系统,是一个面向IT领域建设的专业安全解决方案。它采用集成化网络安全防卫体系,通过多种技术手段的融合帮助整个企业有效达成在物理访问、链路传输、操作系统、业务应用、数据保护、网间访问和人员管理等方面的安全策略制定、自动分发和自动实现,减小客户为保障安全需要付出的高额管理控制成本,在为每一个终端用户提供透明但高度个性化安全保证的前提下真正提高组织的动作效率和管理水平。终端安全管理是基础,它解决了终端计算机经常为病毒、木马困扰的问题,帮助管理员智能安装系统与应用补丁,提供一系列的终端维护工具与管理工具,使管理员做到对于终端的“中央集权管理与控制”。
4)部署防病毒系统。病毒、木马、流氓软件一直是困扰大家的一大难题,因此通过部署一套专业防病毒系统是最有效的解决办法。防毒系统内嵌病毒扫描和清除、个人防火墙、安全风险检测与删除,可以检测、隔离、删除和消除或修复间谍软件、广告软件、拨号程序、黑客工具、玩笑程序等多种安全风险造成的负面影响。通过防毒系统中心控制台可以集中管理客户端,统一部署防护策略、病毒码定义更新策略等,集中查看客户端病毒码更新情况、病毒分布情况、病毒种类及查杀情况,可以控制客户端集中或单独清除病毒。另外,还可以通过病毒隔离区控制台,追踪病毒传播情况,快速找到病毒源,在第一时间对中毒的电脑进行有效的杀毒和隔离。
5)部署网络管理系统。随着企业网络规模的扩大,交换机、服务器的数量也逐渐增多,如何管理监控重点设备、服务器的运行情况,不是一件容易的事。为此部署一套网络管理系统,可对网络、系统以及应用进行全面的监视。它可以提供完整的故障管理和性能管理功能,能自动发现网络主动监视网络、系统和服务器并将关键参数保存在数据库中。通过综合控制台可实现对路由器、交换机、服务器、URL、UPS无线设备以及打印机等性能的监视,不仅提供了网络设备的多种视图,而且将收集的信息以丰富的图、报表形式呈现给操作者。
6)部署安全管理系统(SOC)。为了让管理人员能够实时了解网络中动态和事件,满足不断变化的网络安全管理(网络设备、服务器、应用程序、应用服务、安全设备、操作系统、数据库、机房环境等发生的故障、超阀值行为、安全事件统称为网络安全问题)的要求,需要有一套专门的安全管理系统来完成。网络管理系统是从事件驱动的目的出发强调系统运维、系统故障处理和加强网络的性能三个方面的内容。与网络管理系统不同,安全管理系统最重要的是对威胁的管理,它的侧重点关注在三个层次上:资产层面,关注安全威胁对业务及资产的影响;威胁层面了解哪些威胁会影响业务及资产;防护措施层面怎样防护威胁,保护业务及资产。一句话概括,就是安全管理是从保护业务及资产的层面进行的风险管理。
7)部署垃圾邮件防火墙。随着电子邮件的普及,电子邮件的作用也越发重要,但是垃圾邮件却是件令人烦恼的事,严重干扰了邮件收发的正常工作。为了解决垃圾邮件问题,可以布署一套垃圾邮件防火墙。垃圾邮件防火墙能支持25000个活跃的电子邮件帐户每天处理两千五百万封电子邮件。
8)对重要资料进行备份。在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。
9)密钥管理。在现实中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例,先用“finger远端主机名”找出主机上的用户账号,然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效,入侵者就会仔细地寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的文件 shadow或者passwd。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理,如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。
4 结束语
当然为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题。七分管理,三分技术。管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。
参考文献:
关键词局域网;信息安全
中图分类号TP393文献标识码A文章编号1673-9671-(2010)042-0026-01
0引言
企业局域网是指局在企业范围内由通过网络设备和通信线路连接起来由多台计算机。企业局域网是自治的计算机网络,一般只对企业内部提供资源共享、信息传递功能,实现电子邮件、内部网站、企业办公自动化等应用。
近年来我国企业信息化发展迅速,企业局域网作为信息化的基础更是得到普遍应用,有中小企业的几台计算机简单联接,也有大型企业在全国乃至全球范围内通过通信专线或虚拟专用网(VPN)实现的成千上万台计算机联网。虽然企业局域网在规模和实现技术上差异很大,但其面向企业内部提供信息服务的功能是一致的。
1信息安全的主要内容和目标
信息安全是指信息网络的硬件、软件及系统中的数据受到保护,不受偶然的或者恶意的原因而找到破坏、更改或泄漏,信息网络服务不中断的可靠运行。信息安全的实现包含三个层次:①物理安全层次,包括机房,线路,主机等的实体安全,如防盗防火;②网络安全层次,主要是网络的安全畅通和保密;③应用安全层次,各类服务应用的安全可用。
信息安全目标就是保证信息网络的安全可用,具体来看则包括以下几点:①信息来源真实性,能对信息来源进行鉴别,能够判断伪造信息来源;②信息安全保密性,保证机密信息不被泄漏;③信息数据完整性,保证信息数据的一致性,防止非法篡改;④信息服务可用性,保证信息、资源或服务能为合法用户连续正常使用;⑤防抵赖性,使用户不能否认其行为,这点在电子商务中尤其重要;⑥信息可控性,能够有效控制信息的内容和传播;⑦可审查性,出现信息安全问题时能提供调查依据和手段。
2企业局域网信息安全风险
随着企业局域网应用的增加,很大的提高了企业的生产率,同时企业对局域网的依赖也越来越强。很多企业局域网一旦中断,整个业务都将陷入瘫痪。实际使用中企业局域网信息安全面临着多种多样的挑战,主要的安全风险可以归结为以下几类:
1)主动网络攻击。来自对企业有恶意的实体对企业局域网发动的主动的网络攻击。恶意的实体包括有商业竞争的对手公司,企业内部有仇恨情绪的员工,甚至对企业持不满态度的顾客等,出于获得不当利益或报复情绪都可能对企业网络进行破坏与窃密。另外还有一类可能本身与企业没有直接利益关系的群体,他们试图通过对企业局域网的入侵或攻击来证明其个人价值、使用企业内部信息牟取非法利益更或者通过攻击企业局域网进行网络敲诈。
2)病毒木马的扩散。如今的计算机网络世界,病毒和木马泛滥,每一天都会有成千上百种病毒或者木马产生。而在很多企业局域网中,安全技术力量不足,信息安全管理松散、员工安全意识淡薄等问题广泛存。随着企业局域网与网外数据交流联系日益紧密,病毒木马更容易在企业局域网内传播并造成危害,严重时甚至有可能造成整个企业网络的中断,导致企业业务不可用。病毒木马扩散类安全风险,危害方式多种多样、技术特性发展变化迅速、危害多发易发、后果可轻可重。
3)非技术安全风险。非技术安全风险是指诸如员工误操作、偶然事故等造成的企业局域网信息安全风险。由于目前企业员工普遍存在安全知识缺乏、安全意识薄弱、偶尔操作过程不够谨慎仔细,很可能造成误操作或信息泄漏。偶然事故类则包含软硬件设施的偶然故障,电力供应中断,网络服务线路故障等等。
3企业局域网安全解决方案
企业局域网安全技术是应对企业局域网面临信息安全的风险发展起来多种技术,可以采用以下方案应对网络安全:
1)边界安全防护技术。应用于企业局域网边界进行保护的安全技术,用于阻止来自外部网路的各种主动。包含防火墙、入侵检测、应用网关、防非法外连接、逻辑隔离、物理隔离、信息过滤等技术。
2)防火墙技术。防火墙是目前局域网信息安全最主要的手段之一,是一种计算机硬件和软件相结合的技术,该技术通过监测、限制,更改跨越防火墙的数据流,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源。
3)入侵检测技术。入侵检测(Intrusion Detection)是对局域网入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络信息,检查网络中是否存在违反安全策略的行为和被攻击的情况。入侵检测是一种主动安全防护技术,提供对内部攻击、外部攻击和误操作的实时保护,是防火墙之后的第二道安全闸门。
4)安全审计技术。安全审计技术及时发现并记录各种与安全事件有关的行为,根据安全策略,对发现的安全事件作出处理。为企业局域网运行过程中,提供审计支持。
5)容灾容错技术。通过对重点网络设备、重要数据或应用的进行资源冗余与备份,确保信息系统不间断运行和对故障的快速处理和恢复。主要有热备份,网络复用等技术。
6)网络监控技术,是实现对局域网内的计算机和网络设备运行情况进行监视和控制,针对网络设备运行情况、计算活动情况进行监视和管理,确保网络资源的正常合法使用,并针对异常情况及时干预的技术。
7)数据加密技术。加密技术是是最常用的安全保密手段,即按照一定算法将重要的数据变为乱码(加密)进行保存或传送,使用数据时再用相同或不同的手段还原(解密)的技术。加密技术的两个要素是算法和密钥。加密技术分为对称加密技术(加密和解密密钥相同)、非对称加密技术(加密和解密密钥不同)两种。
8)身份鉴别技术。确认实体身份真实性的技术。鉴别技术分为三种:掌握信息鉴别,如口令鉴别等;生物特征鉴别,如指纹识别等;拥有物品鉴别,如口令卡、数字证书等。
9)访问控制技术。通过对主体的资源访问进行控制实现信息安全的技术。主要访问控制技术有:自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)。
10)安全管理技术。只从企业局域网的设计、建设、使用过程中围绕网络安全采用的管理手段。尤其是在使用过程中的安全管理计划设置、管理机构和人员配备、各种必要的规章制度、人员的审查与管理、人员培训、考核与操作管理、安全系统分等级管理更是企业局域网安全实现的必须条件。
4结束语
随着网络技术的发展,企业局域网的应用将更加广泛,同时所面临的安全风险也越来越大。只有重视企业局域网网络安全、采用先进网络安全技术、加强网络安全管理才能发挥企业局域网的作用。
参考文献
[1]卜丽芳,邓晓衡.网络信息安全与防范.常德,科技通讯,2009.
[2]陈树平.网络安全技术现状与防火墙技术探讨.邯郸:信息技术,2009.
[3]罗继海.浅析企业信息系统的安全与防范措施.南宁:企业技术开发,2009,10.
关键词:计算机信息化 网络 安全 中小企业 管理 防范
1 概述
网络安全伴随着计算机网络的出现已经成为了一个伴随每个网络用户永恒的问题。黑客们长期以来不断的分析系统和应用系统,以更多的发现系统存在的漏洞,并通过编写相应的脚本对其加以利用。安全厂商面对这些不断发展安全威胁,也不断的推出了新的安全防范技术和产品,如:防火墙、入侵检测防御系统、杀毒软件、反间谍软件以及过滤内容和垃圾邮件等产品。此后,各个网络用户跟随着安全厂商的步伐不断的将这些安全产品叠加到自身的网络结构、服务器和工作站上。但与此同时需要网络用户解决的还有很多问题,如:为了充分发挥他们的作用,如何建立一个有效的安全防范策略以及如何妥善管理这些设备并且如何计算安全防范的投资回报率等。
我们必须承认,中小企业在网络安全方面的认识、投入和实施的案值相对以前的防范措施都有了很大的进步。但是相比以前,是否目前的中小企业网络就更加安全呢?但是针对这个问题,由于网络威胁随着计算机的网络发展而不断的出现,并且相对以前的攻击手段更具有危险性,因此,不可能有一个非常肯定的答案。并且从经济利益角度出发是目前黑客攻击的一个重大目标,从而使得中小企业成为黑客们攻击的目标之一。即相对以前而言,目前中小企业面临的安全风险更高。由于中小企业的网络正朝着WEB应用和SOA架构的应用方向发展,从而使得网络相对以前更加复杂。因此,目前的计算机网络仅有C/S和B/S结构。网络结构的复杂性也增加了安全防范的复杂性和难度。因此,目前最需要解决的问题就是如何构建信息安全管理方案帮助中小企业更好的解决安全检测、识别和安全防范等。
2 影响企业网络安全的主要因素
企业网络由局域网和广域网组成,人和自然因素是影响网络安全的主要因素。雷击、水灾以及火灾和地震等因素属于自然因素,而人为因素包括误操作删除数据的无意和故意破坏之分。人为故意破坏分为计算机病毒、黑客入侵、网络窃听以及制造大量垃圾邮件等。
斯诺登泄密风暴揭发香港网络保安不堪一击,风暴过后复归平静,香港中小企业计算机保安水平低问题依旧。专家指出,黑客近年喜以“僵尸”手法入侵盗取资料,有公司员工误开恶性电邮附件,计算机变成“僵尸”控亦懵然不知,最终令全公司计算机受感染。
香港警方坦言黑客难捉,科技罪案破案率不足20%。有中小企代表称,公司计算机保安水平十年来毫无寸进,原因在于不觉数据被偷是致命伤,有闲钱不会优先投放改进计算机系统。学者指出,问题根本在人身上,“并非门锁不够先进,而是你不懂把门好好关上!”
中小企业大多不重视网络安全,而“僵尸网络”是近年渐趋普遍的入侵方式,黑客在电邮附件中暗藏恶性软件,公司内部有人不慎开启,即令计算机受感染成为“僵尸计算机”,“中招”计算机自动将IP地址传回黑客的控制中心,令其用作监测用户的网上银行活动。黑客趁用户登入时,伺机改写网页样式,骗取用户输入敏感数据,或改变交易的细节,例如改变交易金额,或将金额过数予第三者。
计算机之所以让黑客有机可乘,往往由于同事疏于防范胡乱下载附件,令“僵尸”程序或病毒有机可乘,甚至连累全公司被感染而不自知。今年6月,香港计算机保安事故协调中心曾参与全球捉“僵尸”行动,与警方连手捣破两个在港境内控制中心,根据经验,香港受感染的“僵尸”计算机介乎200至700部之间。前六个月处理的622宗保安事故中,超过一半来自僵尸网络及黑客入侵,数字较去年同期增加94%。有专家建议,除防毒软件及联网防火墙外,公司应该为员工各自安装个人防火墙,避免同事计算机在公司Local LAN(局部区域网络)内互相攻击。
3 中小企业应当建设一个整体网络安全管理方案
只要给企业一个构建安全管理方案的通用处理步骤和流程,每个企业都能为自己建立一个安全管理方案,因此,企业设计一个网络安全管理方案并不困难。但是需要注意的是,建立的安全管理方案除了适合目前和以后的发展外,还应当适合企业最关心的投资回报率问题。
目前很多中小企业针对安全投资回报率的问题,不知道如何确定防火墙、UTM、IDS/IPS和内容过滤以及监控系统等开支具体有多大。由于大部分的企业对于购买的设备适应什么样的网络结构、具体功能是否满足现在和以后的需求、目前企业存在哪些问题以及企业需要什么功能的产品等都不了解,只是简单将最新产品以及功能最多的产品链接到自己的网络,认为这样就可以起到安全防护的效果了,网络安全问题便可以高枕无忧,因此在安全方面的投资,很多中小企业虽然常亮红灯,但是却得不到相应的安全防范效果。实际上,使用恰当的技术以持续不断的应用到某个具体的对象上是安全防范的关键因素,安全防范作为一个具体的过程,而不是某种技术就能解决的。
安全管理涉及的方面很多,如配置管理、变更控制、业务连续性和灾难恢复计划、网络安全、人力资源以及合理使用等。有些中小企业也许自己不能构建一个全面的安全管理方案,但是为了达到与安全管理方案相同的效果,我们可以使用一种叫做信息安全和事件管理的现成产品。
但是SIEM产品目前只能解决中小企业安全防范过程中许多问题的一小部分,甚至通过它中小企业根本取得不了任何安全防范效果。目前大部分的SIEM产品都是建立在关系型数据库上,由于关系型数据库不具有每天记录上百万条甚至是上十亿条安全事件的能力,因此,很大程度上严重影响了他们在当今企业环境中应用时的可扩展性。由于购买现成的SIEM产品需要额外花费企业很多费用,这对于处于危机时期的中小企业而言无疑成为一个不小的负担。但是中小企业在完成网络安全防范任务的时候,无论是使用自己制定的安全管理方案,还是使用现成的STEM产品,都能让企业在安全防范过程中不再感到迷惑,并且更加容易实现安全管理的目标。
4 企业信息安全新形势
网络信息安全工作始终是通信行业最为关键的工作之一,具有长期性、复杂性和艰巨性的特点。2010年3G及宽带网络蓬勃发展,三网融合开始实施操作,云计算和物联网产业方兴未艾,需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战,行业中企业要进一步提高对网络信息安全重要性的认识,发展与管理并重,加强部门协调配合,加强网络基础管理工作,加强网络信息安全保障能力建设,特别是要加快网络信息安全关键基础产业的研发应用和产业化,通过核心技术掌握自主知识产权,加快发展自主可控的信息安全产业,建设新时期通信行业网络安全、信息安全长城。
从国际国内出现的安全现象出发,应对多种复杂的安全新问题,应该借助于RFID等物联网新技术,并通过极主动地建立网络与信息安全的保障体系,技术和管理并重,加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作,通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境,来共同改善全球的网络与信息安全问题。
5 结束语
计算机网络安全作为企业的一项十分重要的工作,应当引起高度的重视。在进行网络计算机操作之前,必须随时做好网络安全方面的防范工作。我们应当看到,动态的企业网络安全随着病毒、安全技术以及黑客站点的每日剧增,网络安全动态的不断更新,对网络管理人员来讲是一个巨大的挑战。相信做一个好的信息安全解决方案是企业办公网络应用的完美选择。
参考文献:
[1]宋钰,何小利,何先波,王伟黎.基于SNMP协议的入侵检测系统[J].河北理工大学学报(自然科学版),2010(01).
[2]王步飞,颜景润,任玉灿.现代信息技术与温室环境因子控制[J].考试(教研版),2010(01).
[3]郭锡泉,罗伟其,姚国祥.多级反馈的网络安全态势感知系统[J].信息安全与通信保密,2010(01).
[4]鄢喜爱,杨金民,常卫东.基于蜜罐技术的计算机动态取证系统研究[J].微电子学与计算机,2010(01).
关键词:企业;信息网络;安全体系;安全技术
大中型企业作为我国国民经济的骨干企业,在国家经济发挥举足轻重的作用,现代经济活动离不开信息和网络,大中型企业对网络和信息技术的依赖性很强,企业员工多、信息化互联设备多、种类多样,企业的关键业务大多架构在IT系统之上,网络环境的稳定性、安全性、高效性直接影响公司信息化应用。目前,许多大中型企业提出了建立“数字化企业”的目标,在企业信息化建设中,信息安全问题是必须要首先考虑的问题,可见,建立企业信息安全体系势在必行。
1 企业信息网络安全威胁及风险
近年来,许多大中型企业十分重视信息网络建设的应用和开发,但是对于信息网络安全的防护并没有得到足够重视。根据调研机构的调查报告显示,国内企业中63%经常遭受病毒或蠕虫攻击,而41%的企业受到恶意间谍软件或恶意软件的威胁。主要体现在:病毒和蠕虫攻击、黑客入侵、恶意攻击、完整性破坏、网络资源滥用、员工信息安全意识淡薄等。
目前企业面临着网络攻击的“外部威胁”及内部人员信息泄露的“内部威胁”的双重考验,垃圾邮件、企业机密泄露、网络资源滥用、病毒泛滥以及网络攻击等问题成为企业最为头疼的网络安全问题,企业网络环境日趋严峻。
2 企业网络安全体系
大中型企业网络面临严峻的安全形势,迫使各企业意识到构建完备安全体系的重要性,随着网络攻击的多样化,只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击,同时还要随时注重操作系统、数据库、软硬件设备的安全性;企业安全体系建设不仅要有效抵御外网攻击,而且要能防范可能来自内部的安全泄密等威胁。企业必须采用多层次的安全系统架构才能保障企业网络安全,最终建立一套以内外兼防为特征的企业安全保障体系。
企业信息网络安全体系由物理安全、链路安全、网络安全、系统安全、信息安全五部分构成。
物理安全:物理安全主要是保护企业数据库服务器、应用服务器、网络设备、数据介质及其他物理实体设备的安全,提供一个安全可靠的物理运行环境。
链路安全:数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。目的是保证网络链路传送的数据不被窃听和篡改。
网络安全:网络安全主要包括:通过防火墙隔离内外网络,不同区域的访问控制,部署基于网络的身份认证及入侵检测系统、VPN、网络集中防病毒等手段实现网络设备自身的安全可靠。
系统安全:系统安全主要指数据库、操作系统的安全保护。保证应用系统的可靠性、完整性和高效性。
信息安全:主要通过数据加密、CA认证、授权等手段保证信息处理、传递、存储的保密性、完整性和可用性。
典型企业信息网络安全管理体系拓扑结构如图一所示:
3 信息安全体系设计原则
企业安全设计应遵循如下原则:
3.1保密性:信息不能够泄露给非授权用户、实体或过程,或供其利用的特性。
3.2完整性:信息完整性是指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。
3. 3可用性:保障授权用户在需要时可以获取信息并按要求使用的特性。
3.4可控性:对信息的处理、传递、存储等具有控制能力。
信息安全就是要保障维护信息的机密性、完整性、可用性以及保障维护信息的真实性、可问责性、不可抵赖性、可靠性、守法性。
4 企业网络安全防范技术手段
目前企业信息网络布署的安全技术手段主要方式有:
4.1防火墙系统
防火墙系统作为企业网络安全系统必不可少的组成部分,用于防范来自外部interne非法用户对企业内部网络的主动威胁。防火墙系统搭建在内部网络与外部公共Internet网络之间,通过合理配置访问控制策略,管理Internet和内部网络之间的访问。其主要功能包括访问控制、信息过滤、流量分析和监控、阻断非法数据传输等。企业在外部攻击的频度和攻击流量非常严重的情况下,建议配置专用的DDOS防火墙。
4.2入侵检测系统
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术,可以弥补防火墙相对静态防御的不足,通过对来自外部网和内部的各种行为进行实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据的依据。
4.3漏洞扫描系统
企业内部部署漏洞扫描系统,不间断地对企业工作站、服务器、防火墙、交换机等进行安全检查,提供记录有关漏洞的详细信息和最佳解决对策,协助网管员及时发现和堵绝漏洞、降低风险,防患于未然。
4.4网页防篡改系统
网页防篡改系统主要是防止企业对外Web遭受黑客的篡改,保证企业外部网站的正常运行。防篡改系统利用先进的Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
4.5上网行为管理系统
上网行为管理系统主要部署在企业外部防火墙和内部核心交换机之间,针对企业内部员工访问Internet行为进行集中管理与控制。其主要功能有:网页过滤、应用控制(IM聊天、P2P下载、在线娱乐、炒股软件、论坛发帖等)、带宽管理、内容审计(邮件收发、论坛发帖、FTP、HTTP文件传输等)、用户管理、日志管理等功能。
4.6内网安全管理平台
据FBI/CSI中国CNISTEC调查报告:来自企业外部威胁占20%,内部威胁高达80%。针对大型企业日益复杂的内部网络环境以及基于企业保密管理的需求,必须构造一套内网安全管理平台,规范和管理内部网络环境,提高内部网络资源的可控性。其功能应包括:用户认证与授权、IP与MAC绑定、网络监控、桌面监控、安全域管理、 存储介质管理、补丁分发、文档安全管理、资产管理、日志报表管理等。
4.7企业集中防病毒系统
在病毒肆虐的时代,反病毒已经成为企业信息安全非常重要的一环,企业网络情况比较复杂,由于员工计算机水平大多不高,构造一套完整的企业集中防病毒网络系统平台,可以强化病毒防护系统的应用策略和统一管理策略,并且使企业员工电脑的病毒库及时得到更新,增强病毒防护有效性,降低病毒对安全带来的威胁。
集中防病毒系统应具有:集中管控、远程安装、智能升级、远程报警、分布查杀等多种功能。
4.8建立健全企业安全管理组织体系及制度,加强企业信息安全意识
企业在建设信息网络安全建设技术手段的同时,更需要考虑管理的安全性,不断完善企业信息安全制度。通过培训,增强每个员工的安全意识,为大中型企业信息安全管理奠定基础。
随着信息技术的发展,企业无线接入、电子商务交易、数字签名、数字证书等安全管理也应逐步纳入企业信息安全体系范畴。
五、 结束语
目前,大中型企业信息进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,针对各种网络应用的攻击和破坏方式也变得异常频繁,信息化发展而来的网络安全问题日渐突出,网络安全问题已成为信息时代人类共同面临的挑战,同时,网络信息安全是一个系统工程,涉及人员、硬软件设备、资金、制度等因素,没有绝对可靠的安全技术,科学有效的管理可以弥补技术安全漏洞的缺陷。
参考文献:
[1]向宏,傅鹂,詹榜华 著 信息安全测评与风险评估 电子工业出版社 2009-01
[2]谢宗晓,郭立生 著 信息安全管理体系应用手册中国标准出版社 2008-10