时间:2023-09-19 16:27:37
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全防范措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】信息安全;安全技术;防范措施
1、前言
随着社会和经济的高度信息化、网络化,现代企业的生产、管理、销售已经和网络密不可分,许多企业只重视利用网络抓生产、促销售,在全面发掘网络带来经济效益的同时忽略对自身企业网络信息安全防范的建设,一旦发生网络信息安全问题,往往追悔莫及,保障企业网络信息的安全可控,采取有效的防范措施是每个现代企业面临的严峻问题。
2、网络信息安全概述
对网络信息安全定义有多种说法,本人倾向于网络信息安全是指网络系统的软件、硬件及系统数据受到保护,不受意外的或恶意的原因而遭到破坏、更改、泄露,保持系统连续可靠正常地运行,网络服务不中断。做好企业的网络信息系统安全首先要有良好的网络信息安全防范意识,提高网络信息系统软、硬件技术保障水平、建立完善的网络信息系统管理制度开展工作。
2.1影响网络信息安全的因素
影响网络信息安全的主要因素主要分为以下四大类。
2.1.1网络信息系统的脆弱性。网络信息系统的脆弱性包括了操作系统的脆弱性,信息系统本身的漏洞、后门,硬件系统的故障和天灾人祸等,这些脆弱性使得网络信息安全受到攻击成为可能。
2.1.2缺乏先进的网络安全技术、手段、工具和产品。企业在利用网络信息开展生产、管理的同时往往缺乏安全防范意识,认为只要系统不出问题就说明没事,对保障网络安全系统安全的必要网络安全技术产品不愿投入资金建设,从而造成网络信息系统的中重大安全隐患。
2.1.3缺乏正确安全策略和管理监督制度。主要体现在部分企业认为只要购买了昂贵的网络安全产品就万事大吉了,缺乏正确的安全策略和管理监督制度,再好的产品也是需要员工按规定来操作和执行,没有管理监督制度和正确的安全策略,网络信息安全就无从谈起。
2.1.4缺乏完善的网络信息系统恢复、备份技术手段。主要体现在缺乏对网络信息安全重要性的评估,对网络信息受到受到攻击、意外事件造成崩溃后缺乏网络信息系统的恢复、备份技术和工具,造成网络信息系统恢复的不可逆性。
3、网络信息安全防范策略
3.1采取有效的网络安全技术手段和措施
3.1.1采取有效身份认证技术。采取有效的身份认证技术可对具备合法信息的用户进行确认,同时根据用户信息对授权进行判定,给予不同的网络信息操作权限,常用的身份认证技术主要有信息认证、密钥认证、用户认证等。
3.1.2防火墙技术。防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间,它是一种计算机硬件防火墙件和软件的结合,在企业内部网和外部网络之间建立起一个安全网关,通过鉴别限制或者更改越过防火墙的各种数据流,防止外部网络用户未经授权的访问,从而保护内部网免受非法用户的侵入。
3.1.3防病毒技术。选择先进的反病毒产品,并定期进行更新,在防病毒技术上针对企业的用户数以服务器为基础,提供实时扫描病毒能力,确保反病毒产品能够部署到企业的每个工作站。确保企业所有的网络终端都能够部署到。
3.1.4入侵的检测技术。入侵检测系统能自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,有效弥补防火墙技术对内部网络存在的非法活动监控的能力的不足,从而最大程度地为企业网络提供安全。
3.1.5漏洞的扫描技术。通过采取漏洞扫描,及时,准确的发现自身网络信息安全存在的漏洞和问题,有利于系统管理员采取应对措施,封堵网络信息系统存在的漏洞和安全隐患,从而有效保障网络信息安全,确保业务系统安全的运行。目前漏洞扫描主要分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术。
3.1.6加密技术。通过对企业的网络信息安全进行加密,确保网络信息在使用和传输过程中的安全性,加密算法主要分为堆成加密算法和非对称加密算法两类,并由此衍生出加密狗、加密软件等各类产品。
3.1.7对有特殊安全要求的网络建立与互联网隔离。一些特殊产品的生产管理网络根据其安全的密级要求实行和互联网络隔离,确需联络的需采取单向光闸等措施保证其安全性。
3.2建立完善的网络信息安全的管理制度和安全应对策略。据统计,70%以上的信息安全威胁来自于企业内部的员工,没有一套完善的网络信息安全管理制度来实现对信息系统使用人员的管理,再出色的安全技术手段和产品也无法发挥作用,通过制度对人的行为进行规范,从而确保网络信息安全落到实处。
3.3采取有效的备份、恢复措施。对企业自身的网络信息系统做好安全等级保护评测、安全风险评估工作,针对评估情况采取对应的灾难备份及恢复措施,对重要的网络信息系统应采取包括对软件部分、硬件以及传输线路的备份,在有条件的情况下应采取异地双线路双系统备份的方法,从而最大程度降低自然灾害对网络信息安全造成的破坏。
4、结束语
随着信息产业化的不断深入,网络信息安全问题日益凸显,企业应提高自身的网络信息安全防范意识,在享受网络信息化带来的便利同时加强企业自身的网络与信息安全管理,采取有效的技术措施,建立完善、高效的网络信息安全管理制度,从而将企业网络信息安全风险降到最低。
参考文献
[1]陈震.我国信息与通信网建设安全问题初探[J].科学之友,2010年24期
关键词:企业;网络安全;防护
中图分类号:TP393.08
随着计算机和网络技术的高速发展,网络已经成为人们生活和工作当中必不可少的一部分。大中型企业信息化建设随着网络系统的快速发展也在日新月异,网络和信息化已经融入到企业的生产和管理当中,对企业的正常运转越来越重要。随着大中型企业网络和信息化业务系统的日益增多,遭受网络安全威胁与攻击的可能性也大大增加,一旦遭受攻击导致网络和信息化系统服务异常,影响到生产的话,将会给企业造成极大的经济损失和社会负面影响。
1 企业网络安全防护的重要性和建设目标
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。网络安全的主要特性为:保密性、完整性、可用性、可控性和可审查行。
企业的网络与信息化系统应用的越多,企业对网络的依赖度就更高,目前大中型企业提高信息化发展水平已经是一种趋势,信息化的发展必然面临各种网络安全威胁,若不采取相应措施保护企业网络和信息化系统安全,则企业的网络和信息化系统将随时遭受攻击而瘫痪或崩溃,影响企业的生产秩序。
大中型企业网络所面临的严峻安全形势,使得各企业必须意识到构建完备安全体系的重要性。随着网络攻击的多样化,企业不能只针对单一方面进行网络安全防护,应该从整理着眼,建立完整的网络安全防护体系。完整的安全体系建设不仅要能有效抵御外网攻击,而且要能防范可能来自内部的攻击、入侵和泄密等威胁。
2 企业网络安全的隐患与危害
2.1 计算机病毒
计算机病毒出现的初期,其危害主要为删除文件数据、格式化硬盘等,但随着计算机应用和互联网技术的发展,计算机病毒通过网络进行疯狂传播,大量消耗网络资源,使企业甚至互联网网络瘫痪。
计算机病毒造成的最大破坏,不是技术方面的,而是社会方面的。计算机感染病毒后导致计算机的使用率减低,甚至导致企业、银行等关键信息泄露,造成社会声誉损失和商业风险。
2.2 黑客威胁和攻击
计算机信息网络上的黑客攻击事件越演越剧烈,目前以非法牟利为目的的黑客产业链已经成为新的暴力产业,黑客通过网络非法入侵计算机信息系统,肆意窃取信息系统里面存储的用户信息和关键数据等,给信息系统所有者和用户带来无法估计的损失。
2.3 内部威胁和攻击
企业在管理内部人员上网时,由于对内部威胁认识不足,所以没有采取全面的安全防范措施,导致内部网络安全事故逐年上升。机器都是人进行操作的,由于懒惰、粗心大意或者对设备的使用和业务不太熟练等原因,都有可能造成数据的损坏和丢失,或者企业机密信息泄露。另外还有一些企业员工,为了一己私利对企业的计算机网络系统进行攻击和破坏。不管是有意的还是偶然的,内部威胁都是一个最大的安全威胁,而且是一个很难解决的威胁。
2.4 系统漏洞
许多网络系统和应用信息系统都存在着这样那样的漏洞,这些漏洞可能是网络建设考虑不全和系统本身所有的。另外,在企业信息化应用系统建设时,由于技术方面的不足或者为了远程维护的方面导致应用系统在开发过程中存在漏洞或后门,一旦这种漏洞或后门被恶意利用,将会造成非常大的威胁。
3 企业网络安全的技术防护措施
完整的网络安全防护体系,必须具体综合的防护技术,对攻击、病毒、访问控制等全面防御,目前企业网络安全防护技术主要有以下几种:
3.1 防火墙隔离
防火墙提供如下功能:访问控制、数据包过滤、流量分析和监控、拦截阻断非法数据连接、限制IP连接数等。此外通过防火墙将内网、外网和DMZ(非军事区)区划分不同的等级域,限制各域之间的相互访问,达到保护内网和公共服务站点安全的目的;
3.2 VPN安全访问系统
VPN(虚拟专用网络)是在公用网络上建立专用网络的技术。VPN属于一种安全的远程访问技术,通过在公网上建立一个私有的隧道,利用加密技术对数据进行加密,保证数据的私有性和安全性。
3.3 入侵检测系统与入侵防御系统
入侵检测系统(Intrusion Detection System)是一种对网络传输进行即时监视,在发现可疑传输时发出警报网络安全设备。入侵检测系统通过对来自外部网和内部的各种行为的实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,并记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据。入侵检测系统采用旁路部署模式,将网络的关键路径上的数据流进行镜像和收集分析。
入侵防御系统(Intrusion Prevention System)是一种在线部署到网络关键路径上的产品,通过对流经该关键路径上的网络数据流进行2-7层的深度分析,能精确、实时的识别、阻断、限制各类网络攻击和泛洪攻击,进行主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断。
[关键词] 计算机网络;安全;外网;防范措施
[Abstract] With the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. This paper focuses on the campus network information network construction program, and made a number of external network security measures.
[Keywords] Computer network; security; external network; precautions
中图分类号:TN711 文献标识码:A 文章编号:
1校园网外网现状
1.1 网络架构
目前我校每个办公室都铺设了信息外网结点,信息结点由楼层接入交换机连接到核心交换机。然后再通过外网边界处部署的防火墙,通过VPN通道统一出口访问互联网。
1.2 网络设备型号
核心交换机:H3C3600
防火墙:FW4120
校园网接入路由器:H3C5060
楼层交换机:cisco 2950
1.3 现有网络安全配置
为了做好我校信息外网安全工作,我校统一安装部署了卡巴斯基杀毒软件并定期更新、扫描,同时在信息外网的边界处部署了防火墙、由学校统一加强互联网出口、病毒木马、网络行为分析与流量监控来抵御来自外部网络的安全威胁,在这些设备、软件的严密监控下,来自网络外部的安全威胁大大减小,而对来自网络内部的计算机客户端的安全威胁所作的安全管理措施不够,安全威胁较大。而且来自信息外网的威胁,也可能通过U盘等传播到信息内网,使信息内网同样面临安全威胁。为了抵御内部威胁防止未授权计算机的接入,最初我们只是在H3C3600核心交换机上做了IP、MAC地址绑定,这种配置方式虽然在一定程度上可以减少非法接入和ARP欺骗攻击但仍存在一定的缺陷,因为MAC地址可以伪造,非法用户可以利用绑定列表中的IP并虚拟与该IP绑定的MAC地址,通过任意一个办公室的信息结点连接外网。因此,最初所做的绑定策略是较低级别的授权认证。
2校园网信息外网安全防范措施
为了解决单纯在核心交换机上进行IP、MAC地址绑定存在的缺陷,严格限制非法设备接入,同时做好外网信息安全工作,制定以下防范措施:
2.1 核心交换机上执行端口+IP+MAC地址绑定策略
在核心交换机上,对在用的每一个端口进行端口+IP+MAC地址的绑定,实现在固定端口只允许固定IP和MAC地址的访问,对于未使用的端口全部关闭。由于对每个在用的端口进行绑定并有严格限制,而未使用的端口全部关闭,所以在一个端口绑定的PC使用该IP地址和MAC地址也不可以在其他端口上网。
在核心交换机上对端口、IP、MAC地址进行绑定,可以严格控制非法网络接入,但是由于只是在核心交换机上进行限制,而终端计算机不是直接接入核心交换而是通过接入交换机进行接入,该方法虽然可以限制网络访问,但同一接入交换机直接相连的终端或不同接入交换机相连的终端仍然可以通信,且会产生不必要的网络流量,对网络仍产生一定的威胁,所以我们可以采用基于核心、接入交换的两级绑定管理。
2.2 基于核心、接入交换机的两级绑定管理
我们保留最初在核心交换机上做的IP、MAC地址绑定,同时在接入层交换机上对每个端口绑定固定的一个MAC地址,且每个端口只允许一个MAC地址通过。这样,在接入层交换机上可以实现对终端计算机的一级MAC地址过滤管理,严格控制网络接入设备,同时减少非法接入设备产生的不必要的流量;在核心交换机上实现对终端设备的二级IP管理,每个MAC地址只能使用特定的IP,防止终端私自更改IP,做好IP地址管理工作。通过此配置,可以实现基于核心、接入交换机的两级绑定管理,即从源头上,通过接入层一级管理严格控制终端计算机非法接入,同时对核心交换层进行二级管理防止私自更改IP,做好IP地址维护管理工作。
2.3 基于CAMS的身份认证机制
针对目前越来越复杂的网络环境,CAMS身份认证服务机制从企业用户的网络接入控制入手,可以统一管理网络中用户的身份、权限信息,通过严格的身份认证、安全状态评估和终端准入控制功能,解决企业网用户接入控制的问题,可以大幅度提升企业网络的安全性和可管理性。CAMS服务器与H3C系列路由器和交换机的协同配合,可以稳定、高效地完成对网路接入用户的安全认证、授权和管理,满足企业的高安全和可管理的需求。
2.3.1 基于CAMS身份认证的组网结构
此结构需要通过配置路由器实现Radius 服务器对登录路由器的用户进行认证。Radius 服务器可使用H3C的CAMS服务器,CAMS与核心交换机相互配合,以保证安全性。CAMS配置需要以系统管理员admin的权限登录CAMS配置台,以界面的形式进行接入设备信息和策略的配置,实现设备用户管理功能,这里只需在CAMS配置管理平台进行简单配置即可。
2.3.2 可以实现的功能
(1)用户信息统一管理:利用CAMS强大的身份认证对设备管理用户信息(用户名,密码,设备服务类型和访问权限等)进行统一认证管理,提高网络的可维护性。
(2)增加了绑定技术:可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码,还需认证其IP或MAC,甚至是VLAN和端口号。当用户数量很多时这时只需启动自动绑定功能,CAMS可以自动学习用户第一次上网时的IP和MAC并做相应绑定。这样一来不仅完善了对用户合法身份识别的方法,更提高了网络的安全性。
(3)在线用户控制:CAMS提供具体的用户在线信息,如帐号、IP、MAC、端口、时间、流量等,并可实施强制下线,减少非法用户和中毒计算机对网络的危害。
2.4 加强病毒防范
为了能有效地预防并清除病毒,必须建立起有效的病毒防范体系,这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施,建立病毒预警机制,以提高对病毒的反应速度,并有效加强对病毒的处理能力。我校目前安装的主要安全软件有网络版卡巴斯基和360安全卫士。
2.5 加强工作人员的网络安全培训,培养用户的信息安全意识
要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。
参考文献
[1] 吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用〔J〕真空电子技术,2004.34-36
一、企业会计信息化建设存在的问题
(一)企业管理者对实现会计信息化重要性认识不足
企业管理者对会计信息化管理的理念落后,存在“重生产经营,轻现代化管理”的思想,认为实现会计信息化不能给企业带来直接的经济效益,对企业信息化能提高企业竞争力的认识不足,对会计信息化管理的认识存在一定的偏差与误区,认为企业信息化管理可有可无,即使实现会计信息化管理也只是能减少工作量、减少人员、提高效率,对企业的发展得不到根本性改善,导致企业会计信息化管理设备不全、制度不完善、管理不到位等情况,起不到信息化管理应有的作用。
(二)会计人员的专业素质达不到信息化要求
企业会计信息化建设是一项完整的系统,不仅需要先进的设备和软件,还需要有专业人员进行管理操作。由于会计信息化建设投入大,一些企业因经费有限没有对会计人员进行定时的培训,会计人员没有得到信息化应用的专业指导,对新的设备和软件缺乏灵活运用,出现了利用不当的情况,甚至一些企业中的会计人员由兼职人员替代,导致会计人员流动性大、专业素养低、会计信息化应用程度低等状况。缺乏信息化管理专业人才是企业会计信息化建设不能顺利进行的关键因素,这与企业信息化建设潮流是冲突的,需要努力改进。
(三)安全防范得不到保障
安全防范措施是企业信息化管理的重要保障,是企业安全管理的最后一道屏障。许多企业由于安全防范意识不到位,缺乏防范措施,导致企业中财务的任何信息很容易被攻破。企业的绝密信息由于没有进行专业的安全防范措施保护,导致企业的机密信息被“黑客”轻易攻击并获取重要资料信息,使企业网站瘫痪并受到重大损失,所以企业信息化安全防范关乎企业的生存发展。因而,为确保企业财务的重要信息的安全性,必须设立一些安全防范措施和体系避免信息泄露,使企业更好、更快的发展。
二、企业会计信息化应用对策
(一)在思想上提高企业管理层的重视
传统“重生产经营,轻现代化管理”的思想,导致企业会计信息化建设得不到发展,改变这种观念刻不容缓。首先,在企业内部设立专管会计信息化建设部门,负责人员定时向企业上级汇报最新的详细状况,做成报告书面形式呈递,以便保管分析,经过分析后,对企业会计信息化建设的方向做出规划,监督执行;其次,企业之间共同合作出资聘请专业人员进行讲座,为企业管理者讲解企业信息化管理的重要性,改变企业管理者对信息化建设的误区,接受新观念、新经验,提高对企业信息化建设作用的认识,通过对企业管理人员潜移默化的影响,使其重新认识信息化管理,逐渐改变企业落后管理的现状;最后,各企业之间相互学习、相互交流,在学习中进步,使企业在竞争中合作,改变传统观念,在经济效益提高到同时使企业信息化建设共同发展,既不能急于求成,也不能放任自流。
(二)提高会计人员的专业素养,培养专业人才
专业人才的运用是企业会计信息化建设的根本。首先,企业要慎重选择会计人员岗位人选,提高门槛,严格把关,经过多方面测试后选择专业素养强、有责任心的会计工作人员,杜绝在招聘、面试时弄虚作假,导致专业人才的流失;其次,定期对企业会计人员进行信息化操作的专业培训,广泛开展信息技术的再教育,使会计人员及时掌握设备、软件更新的操作方法以及新用处,使专业设备得到真正利用;最后,中小企业可以与大企业、龙头企业进行强强合作,派企业的会计人员、技术骨干到大企业学习先进的操作技术,在习中认识到自己的不足,刺激其不断进步的动力,使会计人员通过不断努力学习,灵活运用并操作,使企业实现双赢。只有端正会计人员的工作态度,意识到会计信息化对提高工作效率、完成工作目标起到的重要作用,才能加快企业会计信息化建设的步伐,使企业快速发展。
(三)建立网络安全防范体系
随着信息技术的发展,网络安全事故越来越频繁,所以网络安全防范体系是企业会计信息化建设的安全保障,没有安全防范体系的建立企业信息化建设只是泡影,它是确保企业信息化建设顺利进行的最后屏障。首先,企业财务管理部门要制定严格的规章制度,规定会计人员严格按照程序进行办理事物,并对软件系统的操作和管理设置专人负责多人监督,杜绝相关人员进行违规操作或者监守自盗的现象;其次,企业与软件公司合作,为企业会计信息化管理量身设置防护软件并及时更新,通过防火墙、加密、设置口令等识别技术保证企业财务信息、网站不被黑客攻击,防止企业重要信息泄露、被盗的现象;最后,提高操作人员的保密意识和安全意识,做到‘不该说的不说、不该做的不做’,严格履行自己的职责和义务,避免个人失误为企业带来不必要的损失。
三、结语
(1)内网网络结构不健全。
现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。
(2)存在于网络信息化机构漏洞较多。
目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。
(3)职工安全防范意识不够。
想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。
2网络信息安全管理在供电企业中的应用
造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。
3结语
关键词:企业;网络安全;措施分析
引言
虽然煤矿企业未发生过重大的网络安全事件,但从大范围来看,每年因病毒、黑客及其他人为因素对网络经济造成的损失也颇为严重,本文从网络安全存在的问题及措施方法上进行分析。
1.企业网络信息安全存在的几点问题
1.1人为的恶意攻击
人为恶意攻击主要有两种:一是以各种方式有选择的破坏信息的机密性、可用性,是主动攻击;二是在不影响网络正常工作的情况下,对重要信息进行截获、窃取,是被动攻击。以上两种情况均会对计算机网络造成极大危害,导致企业办公数据的流失。
1.2人为的无意失误
主要表现在,安全配置不当造成的安全漏洞,或是用户安全意识不强、用户将自己帐号随意转借他人,内部人员的操作失误也会对网络安全带来危害。
1.3网络病毒的威胁
网络病毒指蠕虫、恶意代码、垃圾邮件等通过各种途径侵入企业内部网络,用户如果未及时安装杀毒软件、或是在安装完自己的办公桌面系统后未进行有效措施而直接连接到危险的开放网络环境中,或是终端用户在使用各种数据介质、软件介质时将病毒、蠕虫带入到企业网络中,给企业信息基础设施和重要资料造成损失。
2.为加强单位内部企业办公网络的安全管理工作,需做好以下几点安全防范措施
2.1进行网络规范化管理
严格规范的管理制度是保证正常发展运行的关键,网络安全与井下生产安全一样,都需要有规范的作业流程,网络应用的制度需要注意两方面:一是制度网络管理者职责,将系统维护、数据备份、操作步骤进行具体化;二是制定机房管理制度,防止进行非法计算机操作。
2.2进行系统设置
网络系统的设置关系着整个网络安全的运转过程,网络在建设初期首要考虑的便是安全问题,比如是否增设防火墙、是否采用双机备份等,网络系统本身也制定了备份和数据恢复策略,对原始数据和每年数据进行异地封存,网络安全不仅包括软(硬)件系统安全,更主要的是数据信息的安全。随着网络系统的不断优化,数据的安全也得到了保证。
2.3进行安全技术培训
安全技术是每一个计算机工作者都应遵守的,在拥有制度和配置的同时,还应不断提高计算机工作人员的技术水平,有时一个小小的失误,小小的泄密,都会对网络系统带来危害,影响网络安全。为此,在遵守制度的同时,需做好规范操作,还应加强技术培训。
2.3.1加密技术
一、秘密密钥加密(对称加密技术),是加密和解密使用同一把秘钥,具有算法公开、运算量小、加密速度快等优点,但在分布网络环境中应用较为困难,密钥的数量较大,存在失密情况,管理较为困难。秘密密钥加密技术常用算法有DES、IDEA等。
二、公用密钥加密(非对称密钥加密技术),其包括公用密钥和私用密钥两个密钥。通信时,发送方用公用密钥对信息进行加密,接收方对收到的信息用私用密钥进行解密。公用密钥加密技术具有运算复杂,加密解密效率低等特点,但公用密钥加密很适合应用于分布式环境,一来简化了密钥管理难度,二是避免了失密情况的发生。公用密钥加密技术常用算法有RSA等。
2.3.2防火墙技术
防火墙有软件防火墙和硬件防火墙之分,按照防范模式与侧重点可分为三种:一是包过滤型,其直接转发数据包,逻辑简单,速度快,对用户透明等优点,但该功能是在网络层实现的,无法对更高层的信息进行解析,不具备防范高层的安全威胁。二是服务型,用来连接防火墙的内外网络,外部网络用户不可直接访问内部资源,只能到达服务器,起到隔离的作用,保护网络内部结构,增强网络安全性。三是应用网关型,是建立在网络应用层,通过一台专用计算机来完成。
2.3.3身份确认技术和数字签名技术
为保证网络连接的合法性,在用户同网上另一用户连接时,首先对用户的身份进行合法验证,防止非法用户的连接,即身份确认技术。数字签名技术则是防止通信双方的任何一方对自己行为的否认,保证数据的正常发送和接收,满足网上交易要求。
2.4入侵检测技术和漏洞扫描
入侵检测技术一种主动型网络安全防护技术,包括两种,一是基于知识的入侵检测,将已知的入侵行为为基础信息来检测入侵的出现。二是基于行为的入侵检测,将被监控系统的正常行为信息作为检测入侵和异常活动的依据。通过主动对网络系统资源的信息采集,分析将要出现的网络攻击,对其做出处理,并在不影响网络性能的条件下,进行网络监测,对网络内部攻击、外部攻击、失误操作等进行及时防护。
【关键词】计算机网络安全;防范措施;安全技术
一、前言
随着互联网技术的日新月异,计算机网络已为全社会广泛应用。计算机网络之间的互联互通,实现了信息资源的网上的共有,具有对网民开放友好的特点。在信息时代,人们须臾无法离开网络。从历史上看,互联网技术经历了两次飞跃:第一次飞跃是从保证网络简单互联的第一代互联网技术过渡到信息服务为主要特点的第二代互联网技术;第二次飞跃是从第二代技术发展到以企业网络信息为主导的第三代互联网技术。但是,网络的发展也让网络安全问题变成了一个不容忽视的大问题。网络协议在设计上具有先天的缺陷,对网络安全问题重视不足。加之,网络的特性决定了它在使用和管理上的失序和混乱状态。这使它在技术特性上具有天生的网络安全隐忧。此外,虽然我国的计算机行业进展神速、化蛹成蝶,但是计算机核心部件的制造却为国外企业所控制,软件的研发也无法摆脱国外的限制,这使我国的网络安全问题变得异常严峻。
二、计算机网络安全概述
网络系统由计算机或者服务器的软硬件和系统数据组成。网络安全技术采撷和合成于多种学科的技术精华,比如计算机、网络与通信、密码学、信息安全、信息论、应用数学和数论等。
2.1网络最初的设计理念
为了信息传递的便捷,网络最初仅在小范围内应用。后来,随着网络技术的进步,人们逐渐把一个个的局域网连接起来,从而形成了世界范围内的万维网。网络的相互连接给敏感信息的传递构成了潜在威胁。同时,网络产品赖以存在的基础网络协议本身也存在安全隐忧。
2.2网络的开放性
因特网的开放性与资源的丰富性为黑客的攻击行为提供了机会。由此,网络共享与网络安全构成了一对难以分开的矛盾。
2.3网络的可控性变差
因为各种需要,局域网总是以某种形式与外界的公众网相连。这种网络上的相互连通,使得网络中的某个薄弱环节容易被攻击而引起整个安全体系的崩溃。由此造成了网络的无法自主控制的因素增多,网络安全无法得到切实保证。
三、计算机网络安全面临的威胁
当前,网络面临着包括信息安全和网络设施在内的全方位的威胁,主要是有四方面的原因:第一,人员的不当操作和管理造成的安全漏洞,比如口令外泄,防护系统没有得到及时更新等。第二,黑客的主动攻击或者被动攻击行为造成的网络安全问题,比如网络入侵的非授权访问行为和病毒传播。第三,网络软件自带的漏洞和“后门”留下的安全隐患以及木马程序等。第四,不当管理对网络设施造成的损害以及各种自然灾害对网络安全造成的直接的或者间接的危险。。网络安全面临的威胁的表现形式是多种多样的。比如黑客对特定网络的非法访问和侵入、未经授权的访问、破坏网络数据的行为、用不当的行为对系统运行的干扰和破坏和把病毒传播到网络上去等等。
四、计算机网络安全的防范措施
要很好地实现网络安全,需要建立一套有效运转的安全体系,让技术、装备、管理及立法等各个层面的因素得到很好地落实和协调。总的说来,计算机网络安全的防范措施就是采取通过不断提供技术水平以防御外部的入侵和对现有的数据系统进行实时备份两种思路。
4.1传统技术
4.1.1防火墙
防火墙是一套专属的软件或硬件系统,逻辑上起到隔离、制约和研判的作用。它可以设定访问的权限、筛选信息。但是,防火墙不能防范来自内网的攻击行为,也无法抵御一些破译办法,因而有相当的局限性。
4.1.2访问控制的技术
访问控制技术就是设定不同的访问等级,不同等级的访问者在特定网络可以获取相应等级的信息资源,并限制未授权客户获取数据的技术。它是网络安全防护一种主要策略,目的是防止对网络资源的滥用。
4.1.3网络防病毒的技术
病毒是能够大量自我复制和传播以破坏计算机正常运行的一种程序。网络防病毒技术分为防御、检测和清除技术等,一般采用“服务器—工作站”工作模式。应用网络防病毒技术,必须建立一套全面和分层的防病毒系统,并经常进行系统升级,以保网络安全无忧。
4.1.4数据加密技术
数据加密技术是指运用加法运算和重新编码以实现对信息的隐藏,保护信息系统和数据的安全。根据加密密钥与解密密钥是否一致性,可分为私钥加密和公钥加密。总之,密钥的保密与管理对于数据系统的安全性非常关键。
4.1.5容灾技术
容灾技术是指数据灾难发生时,尽量减少数据的损失和保持系统的正常运行的一种技术。从对系统的保护来划分,容灾技术可分为对数据的保护技术和对应用系统的保护技术,基本含义是建立一套数据系统或者生产系统的备份。
4.2新型技术
4.2.1入侵检测系统技术(IDS)
入侵检测系统技术是通过对网络或者计算机系统中关键点的信息收集和分析,检测用户行为是否合法,以主动行为保护自身免受攻击的动态安全策略。它综合了从信息识别到报警响应技术的一整套技术。入侵检测系统技术可以实现对内外部攻击和误操作的实时防护,事先拦截入侵行为。在可以预期的未来,入侵检测系统技术将更加智能和云分布。
4.2.2虚拟专用网(VPN)技术
虚拟专用网技术是由互联网服务提供商或者其他网络服务提供商建立的、基于公共数据网的一种资源动态技术。虚拟专用网技术通过隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术,以保护网络的安全性。
4.2.3云安全技术
云安全是对云计算安全的技术回应。云计算以分布式处理、并行处理和网络技术的方式把计算散布在网络上。黑客在云端互动环节攻击数据中心,造成了云安全问题。云安全,依靠巨量的网络服务,实时即时采集、分析和处理病毒。云安全是一门崭新的网路安全技术,许多问题有待深入研究。
4.3管理使用及立法
最好的网络安全技术也需要合理的管理措施和立法加以配合和保护。
4.3.1对设备的管理
应当建设标准机房,制定相应的机房管理标准,抵御自然灾害和人为破坏的安全威胁。并且经常性地排查安全隐患。
4.3.2开展网络安全教育和网络道德教育,增强网络安全防范意识
培养网民和网络管理员的安全意识,了解网络安全防范措施,养成定期查毒杀毒和排查网络安全隐患的良好习惯。通过制度化的宣传教育活动,教育广大网民增强网络道德观,不做网络安全违法行为。
4.3.3制定和遵守网络安全规章制度
参照国家和行业的技术标准和管理规范,对信息管理和系统流程的各个环节进行安全评估,设定安全等级,制定本部门的操作规范。
4.3.4完善网络安全立法,加强网络法律监管
借鉴国外成功的立法实践经验,针对我国网络安全的现实情况,尽快制定和实施网络安全的相关性法律。在此基础之上,网络法律的执法力度,制止和打击网络安全的违法犯罪行为,遏制网络安全不法行为多发的现象,净化网络环境。
五、结束语
总之,网络安全已经成为一个亟待解决的重要的计算机行业的发展问题。通过国家、社会、网络使用单位和广大网民的共同努力,网络安全的发展一定打开新的局面。
参考文献
[1]彭沙沙,张红梅卞,东亮.计算机网络安全分析研究.现代电子技术[J].2012.4:109-112,116
[2]宋国云等.有效改善计算机网络安全问题及其防范措施.电脑知识与技术[J].2014.4:721-723
[3]孙志宽.计算机网络安全问题及其防范措施研究.才智[J].2014.32:347
在过去的2012年,发生了很多起DoS和DDoS攻击事件,Radware紧急响应团队(ERT)于2013年年初的一份年度安全报告详细描述了这些攻击事件,并且在报告中指出,在33%的DoS和DDoS攻击事件中,防火墙和IPS设备变成了主要的瓶颈设备。
为何防火墙与IPS不能有效应对DDoS攻击?
答案很简单,防火墙与IPS最初并不是为了应对DDoS攻击而设计的。防火墙和IPS的设计目的是检测并阻止单一实体在某个时间发起的入侵行为,而非为了探测那些被百万次发送的貌似合法数据包的组合行为。为了更好说明这一观点,接下来的说明可以解释防火墙和IPS在有效阻止DDoS攻击时的种种缺陷。
防火墙和IPS是状态监测设备
作为状态监测设备,防火墙和IPS可以跟踪检查所有连接,并将其存储在连接表里。每个数据包都与连接表相匹配,以确认该数据包是通过已经建立的合法连接进行传输的。
一个典型的连接表可以存储成千上万个活动连接,足以满足正常的网络访问活动。但是,DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备,防火墙或IPS将会在连接表中为每一个恶意数据包创建一个新连接表项,这会导致连接表空间被快速耗尽。一旦连接表达到其最大容量,就不再允许打开新的连接,最终会阻止合法用户建立连接。
专用的DDoS攻击缓解设备使用的是一种无状态保护机制,它可以处理数百万个连接尝试,无需连接表项的介入,也不会导致其它系统资源的耗尽。
防火墙和IPS不能区分恶意用户和合法用户
诸如HTTP洪水等诸多DDoS攻击是由数百万个合法会话构成的。每个会话本身都是合法的,防火墙和IPS无法将其标记为威胁。这主要是因为防火墙和IPS不具有对数百万并发会话的行为进行全面观察与分析的能力,只能对单个会话进行检测,这就削弱了防火墙或IPS对由数百万个合法请求构成的攻击的识别能力。
防火墙和IPS在网络中的部署位置不合适
物流管理信息系统是由人员、计算机硬件、软件、网络通信设备及其他办公设备组成的人机交互系统,其主要功能是进行物流信息的收集、存储、传输、加工整理、维护和输出,为物流管理者及其它组织管理人员提供战略、战术及运作决策的支持。当前,越来越多的物流企业建立了自己的物流信息系统,利用Internet开展业务管理和信息服务,不但提高了企业内部运作效率、客户服务质量,而且提高了市场反应速度、决策效率和企业的综合竞争力。对物流企业而言,网络和信息系统数据安全是经营活动得以正常持续开展的前提和基础,因此,充分利用各种安全防范技术,建立多道严密的安全防线,最大限度地保护物流管理信息系统和各种数据的安全,是非常必要的。
2物流管理信息系统的安全体系层次结构
一个完整的网络安全防范体系分为不同层次,不同层次反映了不同的安全问题,根据系统结构,物流管理信息系统安全体系可划分为物理层安全、网络层安全、系统层安全、应用层安全和管理安全五个层次,各个层次间的关系如图1所示。
2.1物理层安全
包括机房的安全,各种物理设备的安全,通信线路的安全等。物理层是构建信息网络和进行网络传输的基础,因而物理层安全是一切安全性的起点。但物理层是所有组成网络设施的元素中最容易被忽视的,人们往往将更多的精力放在更高层网络结构的管理和服务上,却忽略了网络传输的基础——物理层。物理层安全主要体现在软硬件设备的安全性、通信线路的可靠性、设备的防灾害及抗干扰能力、设备的备份、运行环境、不间断电源保障等方面。
2.2网络层安全
网络层是网络入侵者进攻信息系统的通路和渠道,许多安全问题都体现在网络层的安全方面。网络层安全包括:网络拓扑结构的安全,网络层身份认证,网络扫描技术,防火墙技术,数据传输的保密与完整性,远程接入的安全,路由系统的安全,域名系统的安全,网络实时入侵检测手段等。
2.3系统层安全
操作系统安全也称为主机安全,主要表现在以下三个方面:(1)计算机病毒对操作系统的威胁。(2)操作系统有其自身的缺陷和脆弱性,并由此带来安全隐患,如系统漏洞、身份认证、访问控制等。现代操作系统代码庞大,所有OS都在不同程度上存在安全漏洞,一些广泛应用的操作系统其安全漏洞更是广为人知,如Unix,WindowsNT等。(3)操作系统的安全配置问题:系统管理员或使用人员对操作系统复杂的安全机制了解不够,系统相关安全配置设置不当也会造成安全隐患。
2.4应用层安全
该层次的安全建立在网络、操作系统、数据库安全的基础之上。网络应用系统复杂多样,虽然采用特定的安全技术可以解决某些特殊应用系统的安全问题,如对于Web的应用、数据库应用、电子邮件应用等,但由于许多企业的关键业务(如交易、管理控制、决策分析等)系统及重要数据都运行在数据库平台上,那么,如果数据库的安全无法保证,运行其上的应用系统也会被破坏或者非法访问。
2.5管理层安全
管理的制度化是整个网络管理信息系统安全的重要保障。严格的安全管理制度、合理的人员配置和明确的安全职责划分可以在很大程度上降低其他层次的安全风险。管理层安全包括设备安全的管理、安全管理制度的制定与贯彻落实、部门与人员的组织规则、风险评估、安全性评价等。
3物流管理信息系统的安全防范策略
3.1身份认证
身份验证又称“验证”“、鉴权”,是指通过一定的技术手段,完成对用户身份的确认,用户名和口令识别是身份认证中最常用的方式。在数据库管理系统中,用户名和口令是管理权限和访问控制的一种安全措施。我们在系统设计中采用了Windows认证、物流管理信息系统认证和SQLServer认证相结合的混合身份认证模式。
3.2安装杀毒软件物流企业网络安全性建设中最重要的一个环节,就是对计算机病毒的防范。利用各种杀毒软件防止病毒侵入系统,是人们最为熟悉的安全防范措施。除此之外,病毒防范还需要有完善的管理规范,如:不使用盗版软件;不打开来历不明的电子邮件,不访问不可靠的网站;对重要文件设置访问权限或加密;特别重要的数据随时备份保护;及时升级杀毒软件,并定期查杀病毒等等。在物流信息系统的具体设计中我们选择了诺顿企业版防毒软件,并结合相关的防病毒制度,有效地保障了系统的安全。
3.3配置防火墙
防火墙是设置在可信赖的企业内部网和不可信的公共网之间的一系列部件的组合,是网络安全的保护屏障,也是防范黑客攻击的有效手段,它能通过过滤不安全的服务而降低风险,并极大地提高内部网络的安全性。在逻辑上,防火墙是一个限制器、分离器,还是一个分析器,能有效监控因特网和内部网络之间的活动,为内部网络提供了安全保证。在物流管理信息系统设计中我们选择的是瑞星防火墙结合其他技术来构建网络防护系统。
3.4数据库安全机制
数据库是信息管理系统的基础,对物流公司来说,所有的合同、订单以及交易信息都存储在数据库中,因而对数据库的安全必须高度重视。数据库的安全性是指保护数据库避免非法使用,防止数据的泄露、破坏或更改,主要体现在以下方面:(1)数据库的存在安全;(2)数据库可用性;(3)数据库的机密性;(4)数据库的完整性。数据库安全机制可划分为四个层次:用户层、数据库管理系统(DBMS)层、操作系统层、数据库层,其中:(1)DBMS层安全机制通过访问控制实现,即设置不同用户对数据库各种对象的访问权限,是数据库管理系统最有效的安全手段,也是数据库安全系统中的核心技术。访问控制可以通过用户分类和数据分类实现。(2)数据库层的安全机制大多以加密技术来保证。数据库加密是网络系统中防止信息失真的最基本的防范技术,也是数据安全的最后防线。在实际系统设计中,我们选择MicrosoftSQLServer2000作为数据库管理系统,采取加密粒度为字段的数据存储加密方式,实现了基于角色和口令的用户访问以及信息在网络中的密文传输,大大提高了数据库系统的安全性。
3.5数据备份
数据安全是物流管理信息系统安全的核心部分,这有两方面的含义:一是逻辑上的安全,二是物理上的安全。前者需要系统的安全防护,后者则需要数据存储备份的保护。数据备份是系统数据可用性的最后一道防线,保证发生故障(主要是系统故障)后的数据恢复。没有数据备份,就不可能恢复丢失的数据,从而造成不可估量的损失。定期备份数据库是最稳妥也是比较兼价的防止系统故障的方法,能有效地恢复数据。人们经常采用的数据库备份方法有双机热备份、硬盘镜象备份等。一个完整的数据库备份策略需要考虑很多因素,包括备份周期、使用静态备份还是动态备份(动态备份也即允许数据库运行时进行备份)、使用全备份还是结合增量备份、备份介质、人工备份还是系统自动备份等等。出于成本方面的考虑,我们采用了比较经济的异机备份形式,使用MsSQLServer2000的自动备份功能和异机传送工具来实现数据存储备份,并根据物流企业的业务量或数据重要程度选择合适的备份计划,设置定时(可以是每周、每月、每日或每时)由计算机自动把服务器中数据库的数据传送到另外工作站机的数据库中。此外,还需要定期把某些表或全部数据备份到光盘、U盘中,妥善保管。
3.6管理层面的安全防范
物流管理信息系统的安全保障是由技术、管理和人的作用共同决定的。利用技术手段获得的安全毕竟是有限的,而所有的策略、技术、工具的使用和管理都要依靠人,因此对物流管理信息系统的安全从管理层面的防范至关重要。这需要制定体系化的安全管理制度,如:系统信息安全备份及相关的操作规程,系统和数据库的安全管理制度,网络使用授权、网络检测、网络设施控制和相关的操作规程,等等。
关键词:校园网;安全策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)18-4326-02
随着“校校通”工程的建设,很多学校都相继建成或正在建设校园网。校园网的投入使用,加快了信息处理速度,提高了劳动效率,实现资源共享,实现了管理网络化和教学手段现代化。但是现在网络环境复杂,网络病毒和网络攻击肆虐,又加上校园网独有的特点,校园网用户众多,校园网的安全也受到很大威胁。如何保证校园网不受攻击和破坏,保证校园网的安全畅通,是各院校网络管理的首要任务。
1 校园网络的特点
校园网因其独特的功能和用户群体,呈现出与政府或企业网不同的特点,从而导致校园网的安全管理。
1)校园网的速度快和规模大。高校校园网是最早的宽带网络,主干网普遍使用千兆甚至万兆,百兆交换到桌面的解决方案,它全面提升了整个校园网的网络性能,满足各种数据的通讯和网络应用的需要。另外,在社会上,学生是网络应用比较多的群体,因此,校园网的用户群体一般也较大。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重。
2)计算机系统比较复杂导致管理难度增大。校园网中的计算机系统的购置和管理情况非常复杂,学生的电脑一般是学生自己花钱购买、自己维护,而办公电脑有的是是统一采购、有专门的技术人员负责维护,有的则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策是非常困难的。由于没有统一的系统维护人员、统一的资产管理和设备管理,使系统存在很多安全盲点,并且出现安全问题后通常无法分清责任。
3)活跃的用户群体。学生通常是最活跃的网络用户,对于网络中的新事物通常充满好奇。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏。
4)开放的网络环境。由于教学和科研的需要,校园网络比其他网络更加开放,管理更为宽松,使其安全隐患更为严重。比如,企业网可以限制一些Web的浏览,可以对某些电子邮件进行限制,可以进行流量限制,甚至禁止外部发起的连接进入防火墙,但是在校园网环境下通常是行不通的,否则一些新的应用、新的技术很难在校园网内部实施。
5)盗版资源泛滥。由于缺乏统一的管理,网络资源丰富,盗版软件、影视资源在校园网中的普遍使用,这些资源的使用占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。并且从网络上下载的软件中很可能隐藏木马程序、后门等恶意代码,下载到系统后被攻击者侵入和利用,甚至被利用来作为攻击源。
以上各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。
2 校园网面临的安全隐患
1)计算机操作系统及软件漏洞。
不管是目前应用最广泛的微软windows操作系统,还是开放源代码的Linux或者Unix操作系统,都存在着系统安全漏洞。在网络系统运行过程中,由于操作系统自身不够完善,针对系统漏洞本身的攻击较多,且影响也较严重。再加之,目前如办公、下载、视频播放、聊天等软件的流行,让使用率较高的程序也成为被攻击的目标。
2)校园网用户多,安全意识薄弱。
校园网的绝大多数用户是学生,学生接受能力强,对新事物好奇心强,对网络安全也造成一定危害。一方面,部分学生对网络及网络安全的了解少之又少,很容易感染病毒,被黑客攻击。另一方面,有些学生具有很高的网络水平和学习能力,在校园网中实验不成熟的技术而不计后果,对校园网有比较大的攻击性。
3)网络病毒泛滥,网络性能下降。
网络的发展使资源的共享更加方便,移动设备使资源利用显著提高,但却带来病毒泛滥、网络性能急剧下降,许多重要的数据因此受到破坏或丢失。也就是说,网络在提供方便的同时,也成为了病毒传播最为便捷的途径。例如,“红色代码”、“尼姆达”、“冲击波”、“震荡波”、“欢乐时光”、“熊猫烧香”的爆发无不使成千上万的用户受到影响,再加之。近几年病毒的黑客化,使得病毒的感染和传播更加快速化、多样化,因而网络病毒的防范任务越来越严峻。
特别是学校机房中,由于学生病毒防范意识薄弱,病毒更是泛滥成灾,轻者感染移动存储设备,重者导致系统不能正常使用。
4)网络安全投入不足,没有系统的网络安全设备。
很多学校校园网建设中都存在建设经费不足的问题,有限的经费也主要投入到主要设备上,在网络安全设备上的投入少之又少,甚至没有什么措施,从而导致校园网完全暴漏在外网中,成为攻击的对象。
综上所述,校园网络安全的形势非常严峻,为能有效解决以上安全隐患和漏洞,根据校园网络的特点以及面临的安全问题,提出以下校园网安全解决办法。
3 加强校园网的安全策略
1)网络结构安全。
按照对网络安全等级的标准,可以将网络结构划分为外部网(简称外网)、内部网(简称内网)、公共子网。
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制,以及对网络安全进行检测,以增强机构内部网的安全性。
2)主机安全检查。
要保证网络安全,进行网络安全建设,首先要保证主机系统安全,评估系统安全性,认识到自己的风险所在,从而迅速、准确得解决内网安全问题。安装操作系统和应用程序的安全补丁,并且采用更加安全的系统设置,系统的很多默认设置以及默认开放的端口都会成为黑客攻击的突破口。例如对系统账户的管理,使用安全的密码,关闭必须要的端口和服务等。
3)防火墙安全策略。
防火墙作为一种网络隔离技术,已经被广泛应于校园网中。防火墙根据内部设置的规则可以有效控制内外网的信息交换,从而阻断不希望的用户和信息,禁止非法用户和不良信息进入校园网系统。主要控制策略如下:按照来访者的IP地址区分用户,最好是能对来访者身份进行验证;要支持TCP等面向连接的通讯也要支持如UDP等非连接的通讯;要控制教学及办公资源的访问权限及访问时限;对病毒及恶意代码等要提供良好的访问控制策略及有效的安全保障。
4)反病毒技术。
计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并在网络中进行自我复制,感染其他用户和主机。特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
5)备份和镜像技术。
用备份和镜像技术提高重要文件完整性。备份技术是最常用的提高数据完整性的措施,它是指对需要保护的数据在另一个地方制作一个来备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。在网络遭到破坏的情况下,使用备份和镜像技术来有效保护重要的数据资源。
6)漏洞扫描系统。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
7)入侵检测技术。
入侵检测技术是一种根据相应的规则对网络进行监视,从而发现可能存在的攻击进行拦截,并且对攻击源进行反攻。入侵检测技术作为防火情的有效的补充,可以弥补防火墙相对静态防御的不足,从而实现对网络的安全防护。
4 校园网重点在于管理
俗话说,三分技术七分管理。对校园网的安全管理一方面靠技术,另一方面要靠制度的规范和约束。
计算机信息资源遭到攻击很大一部分来源于企业内部,因为企业内部的人员安全意识淡薄造成的,因此应加强 企业内部网络的管理。
1)制定详尽的规章制度,并严格遵照执行。
2)加强人员控制,提高人员的安全防范意识。
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
3)加强对移动存储介质的管理。
据统计,很多信息泄露事件都是通过移动存储介质泄露的,并且很多病毒也可以通过移动存储设备传播,因此对于一些重要主机上可以通过限制使用移动存储介质防止信息泄露和病毒传播。
5 总结
总之,校园网安全问题是一个复杂的、整体的系统工程,网络中的任何薄弱环节都会被攻击者利用。因此校园网的安全除了运用先进的网络安全技术外还要加强对网络的管理,从技术和管理两方面入手加强校园网的安全。
参考文献:
[1] 杜一宁,郑俏.谈高校校园网的安全问题及解决方法[J].电脑知识与技术,2010(17).
[2] 周盛军.浅谈高校校园网安全控制策略[J].浙年专修学院学报,2009(1).
[3] 王斌,孔璐.防火墙与网络安全(入侵检测和VPN)[M].北京:清华大学出版社,2004.
关键词 烟草;信息安全;威胁;互联网
中图分类号 S572 文献标识码 A 文章编号 1004-8421(2012)01-86-01
随着网络普及程度的不断提高,网站已成为企业网络公众形象的载体,是提高企业形象、提升企业竞争力的有效途径。在我国,烟草实行的是国家专卖体制,烟草行业网站承担着政策、政务公开、信息宣传、技术交流、品牌等方面的职责。由于互联网具有开放性、共享性的特点,网络信息安全问题越来越引起烟草企业的高度重视。2009年,国家烟草局下发了《国家烟草专卖局办公室关于行业信息安全工作有关情况的通知》。该通知明确提出:“加强网站‘三防’建设,提高重要信息系统安全防护能力,各单位要按照国务院办公厅文件要求,重点做好行业对外网站网页防攻击、防病毒、防篡改的安全保障。”在现行的基层烟草网站中,存在诸多安全问题,因此,在建设和维护过程中,要有针对性的规划安全体系建设,并逐步完善,全面确保烟草企业信息系统安全。
1 烟草网站信息安全威胁因素
1.1 外部威胁
1.1.1 黑客攻击。近几年来,黑客的攻击手段日益多样化,网络黑客常使用翻新分散式的方法来阻断服务攻击,利用一些网来扰乱网络信息系统。网络黑客蓄意发动网络服务器攻击,或者用蠕虫病等方式对网络进行攻击,导致网络设备出现崩溃,严重影响了网络信息系统的正常运行。同时,黑客还利用黑客工具从企业租用的通信线路非法进入企业网络,利用企业在内部网络传输中未对数据进行加密的疏漏对网络进行监听,或者从事其他破坏活动。
1.1.2 计算机病毒。计算机病毒寄生于其他程序之中,具有隐蔽性强、潜伏性高、传染性强的特点,对计算机系统危害极大,计算机病毒侵入计算机系统,破坏数据文件,甚至造成计算机系统和网络瘫痪。随着网络信息技术的广泛应用和推广,病毒的种类数量也在急剧增加,目前全球已发现2万余种病毒样本,并且以每月300多种的速度递增。
1.1.3 网络协议和软件存在安全隐患。TCP/IP协议是因特网的基础,该协议只是追求高效率,却未考虑过安全方面。大部分互联网上的流量都没有设置密码,部分重要的电子邮件口令和文件传输很容易被监听和窃取。很多基于TCP/IP协议的应用服务都存在一定的安全问题,如很多站点在防火墒配置中无意扩大了访问权限,这就很容易导致重要内部机密被泄露,不利于网络信息的传递。网络访问控制配置的复杂性很高,很容易出错,这就为黑客和木马病毒的入侵创造契机。
1.2 内部威胁
1.2.1 保密工作不到位。如果保密工作不到位,就可能造成口令或IP地址泄露。操作人员不按规定使用或定期更换密码,甚至系统运行仍使用系统安装时设置的默认口令,造成密码泄露,致使犯罪分子非法侵入网络。此外,对管员为检查通信线路是否畅通,经常把IP地址暴露在显示屏上。如果机房管理不严,外人进出,很容易使IP地址泄露造成网络不安全。有的网管员将局域网中各主机IP地址以文字形式记录在册,而记录表又不严格管理,随处乱放,甚至带…机房,都会给网络运行带来极大安全隐患。
1.2.2 内部管理出现漏洞。烟草企业信息系统是由人员来操作和维护,工作人员的违规操作很容易对系统造成破坏,引起重要数据的丢失,造成系统瘫痪。而内部人员利用职务之便进行违法操作,对信息系统安全来说是更加严重的威胁。
1.2.3 系统本身存在的安全漏洞。无论是计算机硬件、系统软件和应用软件,尽管设计者都对可靠性、安全性进行了周密的研究,但都存在一定的薄弱环节和不安全因素。应用软件的设计漏洞、开发错误以及系统功能扩充后的衔接漏洞等,都会对系统安全构成威胁。
2 烟草网站信息安全防范措施
计算机安全的防范目的在于保证数据的完整性、可靠性,防止由于欺诈行为、系统运行失误以及非法人侵造成的损失。在烟草企业信息安全工作中,主要通过加强外部、内部防范措施,确保信息系统安全。
2.1 外部入侵的防范措施针对网路外部的木马病毒及黑客人侵,主要从以下几个方面进行防范:
2.1.1 设置网络密码。对于不同的电脑用户,可以根据需要不同设置不同的安全保护,保证了数据信息传递的机密性、完整性,提高网络信息的真实可靠性。
2.1.2 充分利用防火墙技术。防火墙技术是保证网络信息安全的重要手段之一,它是网络运行时的一种访问控制尺寸,主要目的在于通过控制网络权限,在网络内外站点设置安全点,从而对网络服务器的访问人数进行控制,防止外部非法分子利用网络信息进行牟利。
2.1.3 建立入侵检测系统。连续监视网络通信情况,寻找已知的攻击模式,当它检测到未授权活动时,以预定方式自动进行响应,报告攻击、记录该事件或是断开未授权连接“入侵检测系统”与其他安全机制协同工作,保障计算机网络信息系统的正常运行。
2.1.4 建立防病毒系统。建立有效的防病毒系统,对网络通讯中的数据实行实时监控,并对系统进行定时扫描、监控、杀毒,减少病毒侵害带来的损失。
2.2 内部管理的防范措施
2.2.1 建立健全管理制度。建立职责明确的网络管理制度,分清职责,加强有关资料的档案管理,严格配置修改的批准程序和档案入库登记,防止外流、外泄,并追究因故意或过失对网络造成危害的责任人法律责任。
2.2.2 加强人员管理。培训相关工作人员,制定操作规程和职责,确保信息系统正确、安全的操作;全面树立网络安全意识,不断强化对内部人员的防范与管理,以真正使相关的安全规章制度得以落到实处,而不流于形式。
关键词:企业;局域网;安全;防范措施
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Enterprise LAN Security Analysis and Preventive Measures
Liu Haojiang
(Suzhou Rail Transit Co.,Ltd.,Suzhou215006,China)
Abstract:With the wide range of network applications within the enterprise,the enterprise's network resources more and more,so the collection of corporate information has become increasingly high.However,the size of the internal network more expanded,more complex applications,personnel and more numerous to the enterprise's internal information security has also brought a lot of pressure.Therefore,network security has become an important topic.This paper mainly focus on the enterprise LAN security analysis,and the corresponding methods and measures.
Keywords:Business;LAN;Security;Precautions
随着现代技术的迅速发展,大部分企业都开始应用了本单位的局域网,对企业的生产经营与管理产生重要影响。但是随之而来的网络中各种各样的安全事件,对企业正常的生产活动造成影响,因此要充分重视企业局域网的安全问题。
所谓的局域网是指在一个局部的地域内,例如学校和工厂等,把计算机、各种外部设备以及数据库等连接起来组合成的计算机通信网络[1]。通过将数据通信网络或者专用的数据电路和远方的局域网或者处理中心相连接,可以组成一个较大范围的信息处理系统,这个系统简称LAN。局域网的网络功能主要有:实现文件管理、共享应用软件、共享打印机以及扫描仪等等。
一、局域网安全分析
(一)系统与程序的安全漏洞。漏洞就是通常所说的BUG。任何的程序与系统都会或多或少存在着漏洞,在所有网络安全问题中,漏洞问题是最常见,也是最多且较难处理的。大多数时候漏洞只会影响系统的正常使用,但是当其能够影响到整个系统安全时,就可能遭到黑客或者病毒的利用,从而变成攻击系统的工具。近年来网上流行的NIMDA、求职信以及红色代码等病毒,通过在网络上产生大量垃圾流量,达到影响网络系统的性能的目的。它们的技术特点就是利用系统中的漏洞,这些漏洞有可能直接造成系统崩溃与信息失密。
(二)信息收集。通常信息收集是指嗅探和扫描。嗅探主要是利用特殊技术捕捉网络底层数据,对其进行分析。扫描是指访问目标计算机协议端口,以了解目标计算机的网络行为。这些手段本身并不会对网络产生影响,但是通过嗅探和扫描能够比较完整的了解大部分的网络应用与使用的系统平台,因此这些信息如果配上适合的漏洞工具就能够攻破整个网络系统。但是由于目前国内企业网络环境的不规范导致了网络信息的不可靠,造成了很多的误报,从而导致我国在对嗅探和扫描进行反跟踪方面的效果很不理想。
(三)人为失误。人为失误带来安全隐患的例子非常多,例如没有及时进行系统或者应用程序的升级或者打补丁、执行不明来历的程序、口令泄密、保留缺省账号、密码过于简单或者干脆不设口令等等。因此减少人为失误的办法是提高员工的网络安全意识。制定严格明确的网络安全守则,并实施切实可行的管理手段。
二、企业局域网安全防范措施
我国目前大多数企业的局域网都存在安全隐患,保持现有的网络手段与运作方式,极有可能会给企业带来无法弥补的数据灾难。因此有必要针对上述问题进行研究,从而进一步提出防范措施。
(一)设置防火墙。防火墙的主要作用在于保护内部网络敏感的数据,同时记录有关企业内外通讯状态的信息日志。防火墙的应用能够使你的网络规划更加清晰,有效阻止超越权限的数据访问。如果企业的局域网接入互联网络但没有设置防火墙,可能会受到许多系统入侵。因此为保证局域网安全,有必要在局域网与互联网之间设置防火墙。
(二)建立内网型的边界防护。企业总部局域网应作为广域网的一个单独区域,在通向各个下级单位的广域网的通道的接口处应设置防火墙,而且进行相应的设置,以保护企业总部局域网的安全[3]。此外还应该将广域网上的各个单位要访问的企业资源设置于防火墙的DMZ区域中,禁止它们访问企业总部局域网的其他资源。
(三)为所有服务器进行自动更新。目前众多企业电脑使用的是微软的操作系统。每隔一段时间操作系统补丁服务包才会推出,在新的补丁服务包没有推出来的这段时间,企业主要通过安装小补丁来防范漏洞。一般来说,最有效的方法就是借助操作系统的自动更新来完成。打开企业局域网中的服务器与电脑的自动更新功能,适时更新操作系统的补丁程序,能够确保局域网的电脑都能够自动把系统补丁更新到最新状态。
(四)建立功能完善的防病毒控制台。一般来说,病毒的入口点非常多。因此就在企业局域网部署反病毒软件来说,要在需要防护的应用上都要布置防病毒软件。而企业局域网防病毒所关注的不仅仅是防病毒软件,更加注重的是对防病毒软件借助网络实施集中的管理与合理的配置,对病毒特征码进行集中的自动升级。所谓企业局域网的发病毒软件的最大特征是构筑功能完善的防病毒软件的控制台。
(五)建立系统备份文件以及由应用软件产生的数据的文件备份。企业应根据企业与应用程序的实际情况,对服务器程序产生的数据文件采取有效的备份工具做定期备份,并要把这些备份文件好好保存。一旦需要进行服务器的系统重装与数据恢复,就可以利用备份文件快速完成工作。
三、结束语
众所周知,并不存在万能的网络安全解决方案。网络是公共设施,企业局域网的安全管理是一个系统的工程。保障网络安全并不能仅仅靠防火墙和杀毒软件等硬件设备的防护,还需要网络用户的密切配合。只有群策群力,群防群治,才能真正确保网络的安全,进一步推动企业信息化建设的发展[4]。
参考文献:
[1]W.Richard Stevens,范建华(译).TCP/IP详解[M].北京:机械工业出版社,2000
[2]林东和.防反黑客攻击不求人[M].北京:人民邮电出版社,2002
