引論:我們為您整理了13篇企業網絡安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵,將會出現嚴重的運行問題,如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性,目前,計算機病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計算機上出現的漏洞為切入點,綜合使用攻擊計算機終端的方式控制計算機系統,該病毒具有較強的傳播性和變異性;第三,腳本病毒。該病毒主要發生在互聯網網頁位置;第四,間諜病毒。要想提升某網頁的訪問量,強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展,計算機網絡應用范圍不斷擴大,各種類型病毒的破壞性也隨之增加。
1.3黑客
通過網絡攻擊計算機目前,我國仍存在著大量非法人員對計算機系統進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術,對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種:第一,利用虛假的信息攻擊網絡;第二,利用木馬或者病毒程序對計算機用戶的電腦進行控制;第三,結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。
2計算機網絡安全技術在企業網中的應用
2.1防火墻技術
防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中,計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全,在掃描終端服務器的數據后,如果發現有意或者不合常理等攻擊行為,系統應該及時切斷服務器與內網服務器之間的交流,采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息,這種過濾手段可以阻擋病毒信息入侵計算機系統,并第一時間內通知用戶攔截病毒信息,為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置
2.2數據加密技術
數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中,要想提高企業發展信息的安全性和可靠性,企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理,在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件,這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業網中均得到了廣泛應用。
2.3病毒查殺技術
病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅,該技術要求企業技術對計算機操作系統進行檢測和更新,減少系統出現漏洞的頻率;杜絕用戶在不經允許的情況下私自下載不正規的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫;控制用戶瀏覽不文明的網頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理,確定文件的安全性后才能投入使用。
2.4入侵檢測技術
入侵檢測技術在企業網安全運行中發揮著至關重要的作用,其作用主要表現在以下幾方面:第一,收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據;第二,找尋計算機系統中可能存在的侵害行為;第三,自動發出病毒侵害報警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征,該技術的主要任務是負責監視企業網絡運行狀況,對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主。基于主機系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等,該檢測技術具有極高的準確性,但是,實際檢測過程中很容易引發各種問題,如數據失真和檢測漏洞等;基于網絡入侵檢測技術以其自身存在的特點為依據,以網絡收集的相關數據信息為手段,在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人,該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測,但是,由于該技術能對網絡數據包的變化狀況進行監控,在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主,在實際檢測過程中,該檢測方法具有響應速度快和誤警率低等特點,但是,該檢測技術需要較長的檢測時間為支撐,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統進行全盤掃描,因此,必須有大量的檢測時間作支撐。
篇2
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇3
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇4
互聯網是把雙刃劍,在給企業帶來極大便利的同時,也不可避免地給企業的運營帶來了極大風險。因為黑客與病毒無孔不入,稍有疏漏,就可能使整個網絡遭受攻擊,并帶來不可逆轉的損害。因此,建立科學的網絡體系,保障系統網絡安全迫在眉睫。
1.2大中型企業內網的安全性
ERP、OA和CAD等生產和辦公系統已經在企業中得到普遍性應用,隨之而來的就是企業對這些系統的高依賴性。這樣帶來的另一個問題是內網面臨的風險。內網運行穩定、可靠、可控才能保障日常生產和辦公的進行,一定程度上,將內網信息網絡比作企業的生命線也不為過。這個內網同時由大量終端設備,大中小型服務器,各種網絡設備構成,這個其中每一個部分都要確保正常工作,否則一點小問題都有可能引發網絡的停滯甚至癱瘓。但目前大中型企業的內網安全依然存在很多安全隱患,主要表現為以下幾種情形:對外服務器缺少安全防護遭到黑客攻擊;員工上網過程缺乏有效監管,一方面會造成網絡安全隱患,另一方面也影響工作效率;此外還有一些內部的服務器被非法訪問,造成企業信息的外泄。
2大中型石油企業信息網絡安全威脅及安全體系構建
2.1大中型石油企業面臨的信息網絡安全威脅
進入21世紀以來,大中型石油企業對數字化信息網絡建設可謂不遺余力,軟硬件的建設開發中,信息網絡的安全性卻未得到足夠的重視。由于對網絡安全防護重視程度不夠,我國的大中型石油企業長期飽受網絡安全的困擾。有相關調查顯示,我國企業中,約有41%經常受到惡意軟件和間諜的入侵,63%的企業經常遭受病毒或蠕蟲攻擊。而就大中型石油企業而言,不僅面臨著外部病毒的攻擊,同時內部人員的信息泄露也考驗著企業的網絡安全。由于員工信息安全意識淡薄,上網過程又缺乏有效監管,在員工無意識的情況下,就可能引起發一系列問題。比如,企業機密信息的泄露,各種垃圾郵件的充斥,各種網絡病毒的侵襲,黑客的攻擊等等,這些問題隨著信息化的發展進程和企業經濟發展利益競爭白熱化,成為大中型石油企業最為棘手的問題。
2.2大中型石油企業網絡安全體系的全方位構建
隨著網絡攻擊的多元化,攻擊方式也是五花八門。傳統的只針對網絡層面以下的安全對策已經不足以應對如今復雜的網絡安全情況,企業必須要建立起多層次多元化的安全體系才能有效提升企業網絡信息安全指數。大中型石油企業信息網絡安全的五個重要組成:物理安全、鏈路安全、網絡安全、系統安全、信息安全。
1)物理安全。物理安全是整個網絡系統安全的前提,物理安全旨在為企業提供一個安全可靠的物理運行環境,這個更多指對企業相應硬件設施的安全防護,比如,企業服務器、數據介質、數據庫等、
2)鏈路安全。鏈路安全指的是信息輸送通道。數據傳輸過程中能夠確保內容安全、可靠、可控、能有效抵御攻擊。常見的幾種數據鏈路層安全攻擊有MAC地址擴散、ARP攻擊與欺騙、DHCP服務器欺騙與DHCP地址耗盡、IP地址欺騙。
3)網絡安全。這主要針對于系統信息方面。這個是涵蓋范圍相對廣泛的一個方面。比如,用戶口令鑒別,計算機病毒防治,用戶存取權限控制,數據存取權限,數據加密等都屬于網絡安全范疇。
4)系統安全。系統的正常運行是企業日常生產和運行的根本保障。但是,系統出現崩潰、損壞的風險依然存在,這就需要能夠有一套有效的風險預防機制和辦法。能夠確保系統崩潰時對相關信息實現最大化備份,同時能夠具備保密功能,防止系統崩潰后的信息外漏。
5)信息安全。這就要分信息的傳播安全和信息的內容安全。很大程度上是對不良信息的有效過濾和攔截。側重于對非法、有害信息可能造成的不良后果的有效遏止。信息內容角度更側重于對信息保密性、真實和完整的保護,防止網絡黑客對信息的截留、篡改和刪除等手段來達到損害企業利益的行為,本質上是對企業利益和隱私的保護。
2.3大中型石油企業安全設計的基本原則
信息保密性、真實性、完整性、未授權拷貝、寄生系統的安全性等五個方面的內容構成了信息安全的整體統一。信息安全的原則也就指明了大中型石油企業“數字化”網絡建設安全設計的基本原則。
1)保密性:對授權用戶的保護和對非授權用戶的防止,信息利用的用戶、實體的專屬性。
2)完整性:信息的輸入和傳輸要確保完整,防止非法的篡改或者破壞,保證數據的穩定和一致。
3)可用性:針對授權用戶而言要確保其合理使用的特性。
4)可控性:信息能夠在處理、傳遞、存儲、輸入、輸出等環節中有可控能力。
3大中型石油企業網絡信息安全風險漏洞的成因及一些防范措施
網絡信息流量幾何式增長,大中型石油企業信息資源對系統的應用也日漸成熟,生產經營數據也日益增多。與此同時,國內大中型石油企業信息系統安全問題日益突出。因而,如何保障大中型石油企業信息數據安全,全面建立安全保障體系,這就顯得愈發重要。應從內因和外因上進行分析和預防。內因上,處于方向性決策的管理層對網絡信息安全的防護意識不強,不夠重視。這類人群往往關注的是信息化進程給企業帶來的收益,對于安全隱患和潛在的威脅卻往往忽視。此外,在信息化發展進程中,大中型石油企業在數據化硬件建設中容易競爭對比,但是對于數據的管理安全性建設要求不高。其次,網絡信息安全建設不是一蹴而就的,相反是一個長期過程,需要不斷進行系統補丁的更新。其一,信息系統連接于因特網,開放的網絡環境帶來的是企業信息安全的脆弱。其二,大中型石油企業信息化建設往往求新不求穩。云計算,物聯網,只要是當下發展流行技術都會上馬,而不充分考慮技術的實際應用于企業的現實貼合。多系統的復雜應用帶來的是更多、更高的系統漏洞風險。再次,大中型石油企業在信息安全技術團隊建設上海相對滯后,缺乏強有力的信息安全維護團隊帶來的是企業信息安全的高風險。這往往是因為大中型石油企業往往將預算優先分配于能夠直接帶來經濟效益的生產方面,對于見不到短期回報的信息安全防護支出是能少則少。然而,一旦企業信息泄露帶來的可能是災難性的后果,因而,有水平有業務能力的專業信息安全維護隊伍建設至關重要。外因上,一些不可抗力造成的硬件設備損壞,外部對企業信息的攻擊,相關法律法規還不夠健全等等因素都是影響企業信息安全的外因。因而,加強大中型石油企業的安全防范可從四個方面著手。在機制層面,第一,管理層要對信息安全有強意識,第二,信息安全意識要滲透到整個企業。進而建立企業信息安全管理、運行、檢測體系。另外,在面對一些風險來臨之時,能夠有有效的應急機制加以應對。在技術面,技術指標相對可量化,過硬的技術實力是保證大中型石油企業信息安全的關鍵,所以說,提高對信息安全水平的投資力度,建設高水平,高素質的技術隊伍顯得尤為重要。在系統安全性建設層面,大中型石油企業在信息系統安全性建設之初就要結合企業實際充分考慮信息系統需要的安全保護等級以及架構建設,對后期風險能夠有科學的分析與控制建議。在企業人員素養層面,大中型石油企業能夠在技術層面實現對企業信息安全的保障,就需要企業能夠有具備專業技術業務水準的網絡信息技術安全人員隊伍。從設計到操作到運維都離不開專業的技術人員。這些網絡管理技術人員還要能夠在后期不斷得到組織和學習,不斷得到新的知識補充,能夠讓這些技術人員時刻與最前沿的IT科技接軌。
篇5
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護。基于入侵檢測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
篇6
1.4對不同接入者權限的區分企業網絡中的接入者應用目的是不相同的,有些必須接入互聯網,而有些設備不能接入互聯網;有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設多套網絡。通常的做法是通過3層交換機劃分虛擬局域網VLAN(VirtualLocalAreaNetwork)來區分不同的網段,與防火墻等網絡控制設備配合來實現有關功能。
1.5安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽,捕獲并分析網絡數據包,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網絡,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等,從而使網絡系統性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況,并制定相應的策略來維護穩定網絡的安全運行。
.6外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網獲取相關數據資料,出于安全和便捷等因素考慮,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析,結合中小企業網絡的實際需求進行設計。該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關。它是一種由專用硬件、專用軟件和網絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統一管理平臺[2]。通常,UTM設備應該具備的基本功能有網絡防火墻、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作,有效降低操作管理難度,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現。因其具有多個接口(即多個網卡),可通過設定接口組把辦公區、車間、服務器組等不同區域劃分成不同的網段;通過對不同網段設定不同的訪問規則,制定不同的訪問策略,來實現非軍事化區DMZ(demilitarizedzone)、可信任區以及非信任區的劃分,從而有效增強網絡的安全性和穩定性。對于上網行為的管理,可以通過內置UTM設備的功能來實現管控,并可以實現Web過濾以及安全審計功能。,設定了辦公區和車間1可以訪問互聯網,而車間2不能訪問互聯網。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備,有條件的單位可進行安裝,用以實現對員工上網行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業內部網絡,實現高效安全的網絡應用。
篇7
[1]張金輝,王衛,侯磊.信息安全保障體系建設研究.計算機安全,2012,(8).
[2]肖志宏,楊倩雯.美國聯邦政府采購的信息安全保障機制及其啟示.北京電子科技學院學報,2009,(3).
[3]沈昌祥.構建積極防御綜合防范的信息安全保障體系.金融電子化,2010,(12).
[4]嚴國戈.中美軍事信息安全法律保障比較.信息安全與通信保密,2007,(7).
[5]楊紹蘭.信息安全的保障體系.圖書館論壇,2005,(2).
[6]侯安才,徐瑩.建設網絡信息安全保障體系的新思路.現代電子技術,2004,(3).
網絡安全論文參考文獻:
[1]王爽.探討如何加強計算機網絡安全及防范[J].計算機光盤軟件與應用,2012(11).
[2]田文英.淺談計算機操作系統安全問題[J].科技創新與應用,2012(23).
[3]張曉光.試論計算機網絡的安全隱患與解決對策[J].計算機光盤軟件與應用,2012(18).
[4]郭晶晶,牟勝梅,史蓓蕾.關于某金融企業網絡安全應用技術的探討[J].數字技術與應用,2013,12(09):123-125.
[5]王擁軍,李建清.淺談企業網絡安全防護體系的建設[J].信息安全與通信保密,2013,11(07):153-171.
[6]胡經珍.深入探討企業網絡安全管理中的常見問題[J].計算機安全,2013,11(07):152-160.
[7]周連兵,張萬.淺議企業網絡安全方案的設計[J].中國公共安全:學術版,2013,10(02):163-175.
網絡安全論文參考文獻:
[1]古田月.一場在網絡戰場上的較量與爭奪[N].中國國防報,2013-05-20(6).
[2]蘭亭.美國秘密監視全球媒體[N].中國國防報,2010-10-24(1).
[3]李志偉.法國網絡安全戰略正興起[N].人民日報,2013-01-01(3).
篇8
4: 吉林省林業系統生態信息高速公路構建課題.
二、論文撰寫與設計研究的目的:
跟隨1946年第一臺計算機在美國誕生,人類文明發展到一個嶄新的時代.尤其是20世紀后10年,以計算機網絡的飛速發展為契機,我們進入了信息時代.人們的生活和工作逐漸以信息為中心,信息時代更離不開網絡, 任何一個規模企業尤其開始依賴網絡,沒有網絡企業就面臨著落后.
吉林省的林業分布十分廣泛,以長白山系為主要脈絡的山地廣泛分布各種森林資源,而作為林業及林業環境的發展,林業生態信息則是一個更為龐大的系統,快捷,準確,合理,系統的采集,處理,分析,存儲這些信息是擺在我們面前的十分現實的問題.在信息交流的這個世界中,信息好比貨物,我們需要將這些貨物(信息)進行合理的處理,其中以硬件為主的計算機網絡系統是這些貨物(信息)交流的"公路"和"處理廠",我做這個題目,就是要為它畫出一條"公路"和若干"處理方法"的藍圖.
由于森工集團這樣的特定企業,其一,它是一個統一管理的企業,具有集團化的特點,網絡的構建具有統一性.其二,它又在地理上是一個分散的企業,網絡點也具有分散性.然而,分散中還具有集中的特點,它的網絡系統的設計就應該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設計的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.
沒有最好,只有更好;更新觀念,大步向前.我相信,在導師的精心指導下,經過我的努力,我將為它們創造出一條平坦,寬闊的"高速公路".
1,論文(設計)研究的對象:
擬訂以吉林省林業系統為地理模型,以林業網絡綜合服務為基本需求,以網絡拓撲結構為設計方向,以軟件整合為應用方法,開發設計一套完整的基于集散集團企業的企業網絡系統.
2,論文(設計)研究預期達到目標:
通過設計,論文的撰寫,預期達到網絡設計全面化,軟件整合合理化,網絡性能最優化,資金應用最低化,工程周期最短化的目標.
3,論文(設計)研究的內容:
一),主要問題:
設計解決網絡地域規范與現有網絡資源的利用和開發.
設計解決集中單位的網絡統一部署.
設計解決多類型網絡的接口部署.
設計解決分散網絡用戶的接入問題.
設計解決遠程瘦用戶網絡分散點的性能價格合理化問題.
設計解決具有針對性的輸入設備的自動化信息采集問題.
合理部署網絡服務中心的網絡平衡.
優化網絡服務系統,營造合理的網絡平臺.
網絡安全問題.
10,基本應用軟件整合問題.
二),論文(設計)包含的部分:
1,地理模型與網絡模型的整合.
2,企業內部集中部門網絡設計.
3,企業內部分散單元網絡設計——總體分散.
4,企業內部分散單元網絡設計——遠程結點.
5,企業內部分散單元網絡設計——移動結點.
6,企業網絡窗口(企業外信息交流)設計.
7,企業網絡中心,服務平臺的設計.
8,企業網絡基本應用軟件結構設計.
9,企業網絡特定終端接點設計.
10,企業網絡整合設計.
5,論文(設計)的實驗方法及理由:
由于設計的過程并不是工程的施工過程,在設計過程中詳盡的去現場建設肯定有很大的難度,也不是十分可行的,那么我們在設計的階段就應該進行仿真試驗和科學計算.第一步,通過小型網絡測試軟件平臺,第二步,構建多個小型網絡搭建全局網絡模擬環境,第三步,構建干擾源利用小型網絡集總仿真測試.
6,論文(設計)實施安排表:
1.論文(設計)階段第一周次:相關理論的學習研究,閱讀參考文獻資料,制訂課題研究的實施方案,準備試驗用網絡硬件和軟件形成試驗程序表及試驗細則.
2.論文(設計)階段第二周次:開始第一輪實驗,進行小型網絡構建試驗,模擬網絡服務中心,模擬區域板塊,模擬遠程及移動網絡.
3.論文(設計)階段第三周次:進行接口模擬試驗,測試軟件應用平臺,完善課題研究方案.
4.論文(設計)階段第四周次:完成第一輪實驗,提交中期成果(實驗報告1).
5.論文(設計)階段第五周次:進行第二輪實驗,模擬環境(干擾仿真)實驗,提交實驗報告2.
6.論文(設計)階段第六周次:完成結題報告,形成論文.
三,論文(設計)實施工具及參考資料:
小型網絡環境,模擬干擾環境,軟件平臺.
吳企淵《計算機網絡》.
鄭紀蛟《計算機網絡》.
陳濟彪 丹青 等 《計算機局域網與企業網》.
christian huitema 《因特網路由技術》.
[美]othmar kyas 《網絡安全技術——風險分析,策略與防火墻》.
其他相關設備,軟件的說明書.
1、論文(設計)的創新點:
努力實現網絡資源的全面應用,擺脫將單純的網絡硬件設計為企業網絡設計的模式,大膽實踐將軟件部署與硬件設計階段相整合的網絡設計方法.
題目可行性說明及預期成果:
2、可行性說明:
篇9
1 網絡安全的重要性
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科,是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。具體而言,網絡安全就是保護個人隱私,控制對網絡資源的訪問,保證商業秘密在網絡上傳輸的保密性、完整性及真實性,控制不健康的內容或危害社會穩定的言論,避免機密泄漏等。
2 我廠網絡安全措施
2.1 統一出口,便于管理
將三地的網絡進行了配置更改,兩地間增加了高性能的路由器,建成了企業內部局域網絡。此局域網的建成就像給企業網絡系統安裝了一個“保護殼”,使企業內部網絡的使用更加方便、快捷的同時保證了數據采集、傳輸的安全性,加強了計算機信息和網絡的保密性。
2.2 企業防火墻,墻
在企業局域網的統一出口安裝了Internet防火墻,負責管理Internet和企業內部網絡之間的訪問。在沒有防火墻時,內部網絡上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網絡的安全性要由每一個主機的堅固程度來決定,并且安全性等同于其中最弱的系統。
2.3 生產和辦公物理和虛擬相結合隔離
為了保證生產網的安全穩定運行,采取了生產網和辦公網邏輯隔離,兩網通過防火墻相連,高度融合,進一步強化了生產網的安全性。
2.4 病毒掃描評估
通過專業軟件掃描分析全廠的網絡系統,檢查網絡系統中存在的弱點和漏洞并生成相應的報告,提出修補方法和應實施的安全策略,增強了網絡安全性。
2.5 行為管理
引進了國內先進的“網康”網絡接入管理設備,對企業網絡進行優化管理,實現了對網絡的整體流量分配與控制,加強了網絡數據流量分析,優化了網絡流量調整工作。
2.6 區域WLAN的劃分
將企業辦公、生產區域網絡用戶按照單位、區域和樓層等細化管理,通過劃分不同的WLAN,從邏輯上阻隔網段,徹底阻隔廣播域,縮小區域,減小網絡異常的影響范圍。
3 目前存在的主要問題
3.1 認識上的誤區
①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。
②在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟 件等效。網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡而言,管理非常方便,對于單機版是不可能做到的。
③不上網就不會中毒。雖然不少病毒是通過網頁傳播的,但像QQ聊天接發郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。
④文件設置只讀就可以避免感染病毒。設置只讀只是調用系統的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網中為了共享安全,放置誤刪除,還是比較有用的。
⑤網絡安全主要來自外部。基于內部的網絡攻擊更加容易,不需要借助于其他的網絡連接方式,就可以直接在內部網絡中實施攻擊。所以,加強內部網絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要。
3.2. 技術上的差距
①操作系統使用盜版。由于習慣問題,部分軟件不兼容原裝系統和覺得正版與盜版都一樣等的一些類似原因導致使用盜版系統占到我廠絕大數計算機,給全廠網絡安全帶來了嚴重隱患。
②生產電腦防火墻和殺毒軟件無法自動升級。由于辦公網和生產網隔離,生產電腦無法上網,無法自動升級防火墻和殺毒等軟件,以至于在生產電腦上插拔外置移動設備和局域內傳輸文件帶來的安全危險顯得毫無抵抗之力。
③查找故障機困難。由于三地運行,地域廣,人員多,加之入廠機子相關登記信息空白,給查找故障機帶來更多困難,顯得無從下手。
4 進一步的措施
4.1 環網建設
目前企業網絡鏈路均為單鏈路。致使網絡鏈路抗風險能力較差,鏈路中斷后恢復時間較長。不能滿足生產管理系統的穩定運行需求。為提高網絡鏈路的抗風險能力,計劃在充分利用已建光纜、桿路資源及網絡設備的基礎上,新增傳輸設備,將網絡鏈路構成環網,當網絡中斷后自動切換至反向鏈路,實現網絡“零中斷”。
4.2 層級改造
我廠分場站網絡節點,由于之前采用交換機級聯的方式組網,受到光纜資源的限制,尚有部分網絡級聯層級達到三級或者更多,隨著網絡的不斷擴展,層級數過多問題也日益凸顯,現計劃對此類場站進行層級改造。
4.3 基于DHCP和MAC地址動態綁定的用戶自助接入系 統研究與應用
充分利用現有成熟的DHCP、VPMS和開源Liunx系統的相關技術,實現基于DHCP和MAC地址動態綁定的網絡用戶自助接入指定網絡,無需安裝客戶端,從而簡化日常IT管理人員負擔和提高網絡管理效率與信息安全水平,基于DHCP和MAC地址動態綁定的用戶自助接入系統應用,如圖1所示。
4.4 端口封裝,細化管理
結合以上MAC地址綁定和VLAN劃分,通過客戶端連接交換機做端口分裝策略,進一步固定IP地址,防止IP使用混亂,營造一個平穩暢通的網絡環境。
5 結 語
上述論文主要從我廠當前實際的網絡運行狀況,分析了所存在的網絡安全隱患,及采取的一些相應安全措施和下步主要安全工作的同時,也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網絡安全的現狀,可以使大家有對網絡安全的重要性有了進一步的了解。
參考文獻:
[1] 董玉格.網絡攻擊與防護-網絡安全與實用防護技術[M].北京:人民郵 電出版社,2002.
篇10
1 引言
當今信息安全技術主要包括密碼技術、身份認證、訪問控制、入侵檢測、風險分析與評估等諸多方面。在實際運用中,這些安全技術相互支持與協作,各自解決安全問題的某一方面。目前人們關注的重點在入侵檢測、密碼技術等,作為訪問控制沒有得到應有的重視,事實上訪問控制是一個安全信息系統下不可或缺的安全措施。訪問控制就是通過某種途徑顯式地限制對關鍵資源的訪問[1-2]。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網絡安全監控系統,在分析主動式網絡監控系統設計基礎上,針對企業網非法接入防范子系統采用的SNMP協議進行相關分析。
2 網絡管理概述
隨著網絡技術的發展,網絡規模增大,復雜性也增加,以前的網絡管理技術已經無法適應這一情況,特別是由于以往的網絡管理系統往往是生產制造廠商在自已的網絡系統中開發的應用系統,很難對其它廠商的網絡系統、通信設備等進行管理,這種狀況很不適應網絡異構互聯的發展趨勢。網絡管理一般采用管理―的管理結構。網絡管理站是實施網絡管理的處理實體,駐留在管理工作站上,它是整個網絡系統的核心,完成復雜網絡管理的各項功能,如排除網絡故障、配置網絡等,一般位于網絡中的一個主機節點上。被管(簡稱)是配合網絡管理的處理實體,駐留在被管理對象上。被管監測所在網絡部件的工作狀況,收集有關網絡信息。公共網絡管理協議描述了管理器與被管之間的數據通信機制。
3 主動式網絡安全監控系統
3.1 需求分析
一般企業網內部資源的安全策略(諸如訪問權限、存取控制等)是基于IP地址進行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權限或IP地址,將會對企業內部造成重大損失,因此,系統主要從以下幾個方面考慮安全監控問題:
1)企業網內部主機資源的安全。 企業網內部主機除了應用傳統的防火墻、入侵檢測系統以外,還可應用強制訪問控制機制對本機內部的重要資源實施強制訪問控制保護;
2)入侵檢測。在發現非法攻擊或者非法用戶企圖操作主機文件時,可通過入侵檢測機制發現入侵者來源,阻斷入侵者的非法操作,記錄入侵主機相關信息等;
3)企業網的接入安全 企業網安全監控的另一主要目的即對企業網內部的非法接入進行監控,發現非法入網者,主動地采取相關措施避免和阻止類似情況的發生,實現企業網安全的外部屏障;
4)安全審計,監控系統應當具備記錄監控信息的能力;
5)通訊機制,除了各子系統本身的主動式的反應機制、通訊機制和控制機制以外,監控系統還應當建立通訊體系,向上級監控模塊提供安全監控信息,為管理機構制定相關策略提供有價值的參考。
3.2 ANSMS 系統設計方案
主動式網絡安全監控系統(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統:主機強制訪問控制監控子系統(MACMS,Mandatory Access Control Monitor Subsystem)和企業網非法接入防范子系統(ICMS,Illegal Connection Monitor Subsystem)。主機強制訪問控制監控子系統主要分為四個模塊:強制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊。
1)強制訪問控制模塊:建立和管理安全標簽庫,實現對用戶進程和文件安全標簽的管理,在對進程和文件的安全標簽進行比較后,根據相關規則決定進程對文件的操作權限和操作方式;
2)入侵檢測模塊,檢測網絡入侵操作并進行阻斷,記錄入侵主機的IP地址和入侵時間,將其記入安全日志當中;
3)安全審計模塊 對強制訪問控制的監控信息進行安全審計,記錄入侵主機和非法操作進程,統計和審核,對高危險性和頻繁多發的操作進行分類和統計;
4)通訊模塊 與安全監控模塊實現通訊,及時地通報和匯總安全信息。企業網非法接入防范子系統主要分為四個模塊:非法接入的檢測模塊、非法接入的處理模塊和審計模塊。
4 企業網防范非法接入監控子系統
4.1 非法接入防范策略
非法接入是指沒有經過科技部門允許直接將各類計算機和移動設備接入內聯網的行為。網絡上出現不經常使用的IP、IP和MAC映射表與科技部門認定的不一致等現象,都可以認為是非法接入。這類非法事件雖不是暴力入侵,但可能在內聯網傳播病毒、移植木馬和泄露內聯網業務機密信息等嚴重的后果,而且發生的主要原因是內控措施不利和內部人員的安全意識不夠,所以很難預防和控制。
非法接入的主要途徑――IP 地址盜用侵害了 Internet 網絡的中正常用戶的權益,并且給網絡計費、網絡安全和網絡運行帶來巨大的負面影響,因此解決 IP地址盜用成為當前一個迫切的問題。基于IP盜用的非法接入的形式繁多,常見的主要有以下幾種:不經過系統分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發數據包時修改IP 地址。
在上述防范措施的基礎上,結合用戶認證和IP-MAC-PORT三者綁定的技術,首先確保合法用戶通過認證,再通過SNMP協議編寫相關的網絡管理軟件,輪詢交換機等網絡設備,獲取當前網絡中主機的IP地址和MAC地址等信息,與原始IP-MAC對照表進行比對,進而發現非法的IP地址和接入點。企業網監控著重于監控網絡當前主機狀況,發現非法接入點,采取相關行動阻止非法用戶接入網內。具體的設計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監控模塊。
4.2 簡單網絡管理協議 SNMP
SNMP 的網絡管理模型包括以下關鍵元素:管理站、者、管理信息庫、網絡管理協議。管理站一般是一個分立的設備,也可以利用共享系統實現。管理站被作為網絡管理員與網絡管理系統的接口。SNMP 中的對象是表示被管資源某一方面的數據變量。對象被標準化為跨系統的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)。MIB 作為設在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進行網絡監控。管理站可以在者處產生動作,也可以通過修改變量值改變者處的配置。
SNMP 的規范 SMI(Structure of Management Information)為定義和構造MIB提供了一個通用的框架。同時也規定了可以在MIB中使用的數據類型,說明了資源在 MIB 中怎樣表示和命名。SMI 避開復雜的數據類型是為了降低實現的難度和提高互操作性。MIB 中的每個對象類型都被賦予一個對象標識符(OID),以此來命名對象。另外,由于對象標識符的值是層次結構的,因此命名方法本身也能用于確認對象類型的結構。
在 TCP/IP 網絡管理的建議標準中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網絡管理而開發的 MIB-II。管理站和者之間以傳送 SNMP 消息的形式交換信息。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協議數據單元之一的消息類型。
4.3 非法接入防范子系統
SNMP++是一套 C++類的集合,它為網絡管理應用的開發者提供了 SNMP 服務。SNMP++并非是現有的 SNMP 引擎的擴充或者封裝。事實上為了效率和方便移植,它只用到了現有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通過提供強大靈活的功能,降低管理和執行的復雜性,把面向對象的優點帶到了網絡編程中。可以利用SNMP++來實現非法接入防范子系統的設計相關工作。在具體過程中需要考慮:
1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發現非法的IP地址,進而關閉其端口,阻止其接入企業網;
2)非法用戶成對修改 IP-MAC 地址方面。
5 結束語
隨著 Internet 的運用愈加廣泛,網絡安全和信息安全的問題日益突出,入侵主機通過修改相關設置入侵企業網并在網內主機上安置木馬程序,對企業網內部資源造成很大的危害,嚴重影響了企業網內部資源的共享和保密性要求。論文提出的主動式網絡安全監控可有效的解決本地和網絡入侵以及外部非法接入的隱患,具有較高的安全性、易用性和可擴展性。
篇11
企業網絡安全主要來自以下幾個方面:①來自INTERNET的安全問題;②來自外部網絡的安全威脅;③來自內部網絡的安全威脅。
針對以上安全威脅,為了確保企業的信息資源、生產數據資料的安全保密,解決企業計算機網絡中存在的安全隱患,本文介紹一種靜態技術和動態技術相結合的安全解決方案,即在網絡中的各個部分采取多種安全防范技術來構筑企業網絡整體安全體系:①防病毒技術;②防火墻技術;③入侵檢測技術;④網絡性能監控及故障分析技術;⑤漏洞掃描安全評估技術;⑥主機訪問控制。
一、防病毒技術
對于企業網絡及網內大量的計算機,各種病毒更是防不勝防,如宏病毒和變形病毒。徹底清除病毒,必須采用多層的病毒防護體系。企業網絡防病毒系統采用多層的病毒防衛體系和層次化的管理結構,即在企業信息中心設防病毒控制臺,通過該控制臺控制各二級網絡中各個服務器和工作站的防病毒策略,監督整個網絡系統的防病毒軟件配置和運行情況,并且能夠進行相應策略的統一調整和管理:在較大的下屬子公司設置防病毒服務器,負責防病毒策略的設置、病毒代碼分發等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略,采集網絡中所有客戶端防毒軟件的運行狀態和配置參數,對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網絡中的所有管理服務器上,實現對整個網絡的管理。根據需要各個管理服務器還可以由專門的區域管理員管理。管理服務器負責收集網絡中的客戶端的實時信息, 分發管理員制定的防毒安全策略等。
配套軟件:冠群金辰KILL6.0。KILL采用服務器/客戶端構架,實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統的服務器及Internet網關服務器,防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業內部網,阻止不懷好意的Java、ActiveX小程序等攻擊企業內部網絡系統。它通過全方位的網絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發,幫助管理員更好的實施網絡防病毒工作。
二、防火墻技術
防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯網與內部網之間建立起一個安全網關( scurity gateway), 從而抵御網絡外部安全威脅,保護內部網絡免受非法用戶的侵入,它是一個把互聯網與內部網(局域網或城域網)隔開的屏障,控制客戶機和真實服務器之間的通訊,主要包括以下幾方面的功能:①隔離不信任網段間的直接通訊;②拒絕非法訪問;③系統認證;④日志功能。在計算機網絡中設置防火墻后,可以有效防止非法訪問,保護重要主機上的數據,提高網絡的安全性。
配套軟件:NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來,且提供100M的線速性能的軟硬件相結合的產品,在Internet出口、撥號接入入口、企業關鍵服務器的前端及與電信、聯通的連接出口處增設NetScreen-100f防火墻,可以實現企業網絡與外界的安全隔離,保護企業的關鍵信息。
三、入侵檢測系統
入侵檢測系統(IDS)是一種為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是對防火墻的必要補充,它可以對系統或網絡資源進行實時檢測,及時發現惡意入侵者或識別出對計算機的非法訪問行為,并對其進行隔離,并能收集可以用來訴訟的犯罪證據。
配套軟件: eTrust Intrusion Detection(Sessionwall-3)。利用基于網絡的eTrust Intrusion Detection建立入侵檢測系統來保證企業網絡系統的安全性。
首先,信息管理中心設立整個網絡監控系統的控制中心。通過該控制臺,管理員能夠對其它網絡入侵檢測系統進行監控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務器模塊和eID日志瀏覽器模塊,使所有eTrust Intrusion Detection監控工作站處于集中控制之下,該安全主控臺也被用于集中管理所有的主機保護系統軟件。
其次,在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監控工作站,重點解決與Internet的邊界安全問題,在這些工作站上安裝軟件,包括eID基本模塊、eID模塊和日志數據庫客戶端。
四、網絡性能監控及故障分析
性能監控和故障分析就是利用計算機的網絡接口截獲目的地址為其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面,它自動接收著來自網絡的各種信息,通過對這些數據的分析,網絡管理員可以了解網絡當前的運行狀況,以便找出所關心的網絡中潛在的問題。
配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網絡故障偵測工具,它可以幫助用戶快速診斷網絡故障原因,并提出具體的解決辦法。在信息中心安裝這樣的工具,用于對網絡流量和狀態進行監控,而且無論全網任何地方發生問題時,都可以利用它及時診斷并排除故障。
五、網絡系統的安全評估
網絡安全性之所以這么低的一個主要原因就是系統漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監控系統互相配合來檢測系統安全漏洞。
網絡安全漏洞掃描系統通常安裝在一臺與網絡有連接的主機上。系統中配有一個信息庫,其中存放著大量有關系統安全漏洞和可能的黑客攻擊行為的數據。掃描系統根據這些信息向網絡上的其他主機和網絡設備發送數據包,觀察被掃描的設備是否存在與信息庫中記錄的內容相匹配的安全漏洞。掃描的內容包括主機操作系統本身、操作系統的配置、防火墻配置、網路設備配置以及應用系統等。
網絡安全掃描的主要性能應該考慮以下方面:①速度。在網絡內進行安全掃描非常耗時;②網絡拓撲。通過GUI的圖形界面,可選擇一個或某些區域的設備;③能夠發現的漏洞數量;④是否支持可定制的攻擊方法;⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產品的廠商應盡快給出新發現的安全漏洞掃描特性升級,并給出相應的改進建議。
通過網絡掃描,系統管理員可以及時發現網路中存在的安全隱患,并加以必要的修補,從而減小網絡被攻擊的可能。
配套軟件:Symantec Enterprise Security Manger 5.5。
六、主機防護系統
在一個企業的網絡環境中,大部分信息是以文件、數據庫的形式存放在服務器中的。在信息中心,使用WWW、Mail、文件服務器、數據庫服務器來對內部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K,都存在著這樣和那樣的安全薄弱環節,存放在這些機器上的關鍵業務數據存在著被破壞和竊取的風險。因此,對主機防護提出了專門的需求。
配套軟件:CA eTrust Access。eTrust Access Control在操作系統的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制,以加強操作系統安全性。它具有完整的用戶認證,訪問控制及審計的功能,采用集中式管理,克服了分布式系統在管理上的許多問題。
通過eTrust Access Control,我們可以集中維護多臺異構平臺的用戶、組合安全策略,以簡化安全管理工作。
通過以上幾種安全措施的實施,從系統級安全到桌面級安全,從靜態訪問控制到動態入侵檢測主要層面:方案覆蓋網絡安全的事前弱點漏洞分析修正、事中入侵行為監控響應和事后信息監控取證的全過程,從而全面解決企業的信息安全問題,使企業網絡避免來自內外部的攻擊,防止病毒對主機的侵害和在網絡中的傳播。使整個網絡的安全水平有很大程度的提高。
篇12
1 概述
有別于有線網絡的設備可利用線路找尋設備信息,無論是管理、安全、記錄信息,比起無線網絡皆較為方便,相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于,無線網絡僅透過無線電波透過空氣傳遞訊號,一旦內部架設發射訊號的儀器,在收訊可及的任一節點,都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內,即便在圍墻外,都能截取訊號信息。
因此管理無線網絡安全維護比有線網絡更具挑戰性,有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求,本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討,以下將分別探討無線網絡傳輸可能產生的風險,以及減少風險產生的可能性,進而提出建議之無線網絡建置規劃檢查項目。
2 無線網絡傳輸風險
現今無線網絡裝置架設便利,簡單設定后即可進行網絡分享,且智能型行動裝置已具備可架設熱點功能以分享網絡,因此皆可能出現不合法之使用者聯機合法基地臺,或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務,或者考慮網絡存取便利性,架設無線網絡基地臺,皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡,所使用之聯機傳輸加密機制是否合乎信息安全規范。
倘若黑客企圖偽冒企業內部合法基地臺提供聯機時,勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺,以及非法使用者透過加密機制的弱點破解無線網絡基地臺,針對這2個情境加以分析其風險。
2.1 偽冒基地機風險
目前黑客的攻擊常會偽冒正常的無線網絡基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現今,可能會讓用戶在不知情的情況下進行聯機,當連上線后,攻擊者即可進行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯機上的AP是否合法,而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據,造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時,需考慮該類風險問題。
2.2 弱加密機制傳輸風險
WEP (Wired Equivalent Privacy)為一無線加密協議保護無線局域網絡(Wireless LAN,以下簡稱WLAN)數據安全的加密機制,因WEP的設計是要提供和傳統有線的局域網絡相當的機密性,隨著計算器運算能力提升,許多密碼分析學家已經找出WEP好幾個弱點,但WEP加密方式是目前仍是許多無線基地臺使用的防護方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無線破解工具皆已存在且純熟,因此利用WEP認證加密之無線AP,當破解被其金鑰后,即可透過該AP連接至該無線局域網絡,再利用探測軟件進行無線局域網絡掃描,取得該無線局域網絡內目前有哪些聯機的裝置。
當使用者使用行動裝置連上不安全的網絡,可能因本身行動裝置設定不完全,而將弱點曝露在不安全的網絡上,因此當企業允許使用者透過行動裝置進行聯機時,除了提醒使用者應加強自身終端安全外,更應建置安全的無線網絡架構,以提供使用者使用。
3 無線網絡安全架構
近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時,如何達到無線局域網絡之安全,亦為重要。
3.1 企業無線局域網安全目標
企業之無線網絡架構應符合無線局域網絡安全目標:機密性、完整性與驗證性。
機密性(Confidentiality)
無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序,且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式,并可對無線網絡使用進行稽核。
完整性(Integrity)
無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源,并保證員工無法自行架設非法無線網絡存取點設備,以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者,可建立一個隔離區之無線網絡,僅提供外部網際網絡連路連接,并禁止存取機關內部網絡。
認證性(Authentication)
建議無線網絡安全架構應提供使用者及設備進行身份驗證,讓使用者能確保自己設備安全性,且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機關的無線網絡。
因應以上無線局域網絡安全目標,應將網絡區分為內部網絡及一般網絡等級,依其不同等級實施不同的保護措施及其應用,說明如下。
內部網絡:
為網絡內負責傳送一般非機密性之行政資料,其系統能處理中信任度信息,并使用機關內部加密認證以定期更變密碼,且加裝防火墻、入侵偵測等作業。
一般網絡:
主要在提供非企業內部人員或訪客使用之網絡系統,不與內部其它網絡相連,其網絡系統僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機制。
因此建議企業在建構無線網絡架構,須將內部網絡以及提供給一般使用者之一般網絡區隔開,以達到無線網絡安全目標,以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。
3.2內部網絡安全架構
減輕無線網絡風險之基礎評估,應集中在四個方面:人身安全、AP位置、AP設定及安全政策。人身安全方面,須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡,僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內,且使用者須經過適當的身份驗證才允許進入,而只有企業信息管理人員允許存取并管理無線網絡設備。
企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低,評估每臺AP有可能造成的網絡安全漏洞,可請網絡工程師進行現場調查,確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力,攻擊者仍有機會竊聽辦公室無線網絡通訊,建議企業將無線網絡架構放置于防火墻外,并使用高加密性VPN以保護流量通訊,此配置可降低無線網絡竊聽風險。
企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼,企業信息管理人員需使用復雜度高之密碼以確保密碼安全,并定期更換密碼。企業應制定相關無線內部網絡安全政策,包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。
為提供安全無線辦公室環境,企業應進行使用者MAC控管,并禁用遠程SNMP協議,只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰,未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡,因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。
企業應增加額外政策,要求存取無線內部網絡之設備系統需進行安全性更新和升級,定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外,政策應規定若企業內部使用者之無線裝置遺失或被盜,企業內部使用者應盡快通知企業信息管理人員,以防止該IP地址存取無線內部網絡。
為達到一個安全的無線內部網絡架構,建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構無線內部網絡應具備之安全策略,并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考,詳見表1。
企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險,始可進行無線內部網絡架構建置。然而,盡管在風險評估上實行徹底,但無線網絡環境之技術不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環節,建議企業必須持續對企業內部使用者進行相關無線安全教育,以達到縱深防御之目標。
另外,企業應定期進行安全性更新和升級會議室公用網絡之系統,定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構,建議企業采用IPS設備以進行無線環境之防御。
IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御策略。
4 結論
由于無線網絡的存取及使用上存在相當程度的風險,更顯無線局域網絡的安全性之重要,本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求,有鑒于目前行動裝置使用量大增,企業可能面臨使用者要求開放無線網絡之需求,應建立相關無線網絡方案,本研究針對目前常見之無線網絡風險威脅為出發,以及內部網絡與外部網絡使用者,針對不同安全需求強度,規劃無線網絡使用方案,提供作為建置參考依據,進而落實傳輸風險管控,加強企業網絡安全強度。
參考文獻:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
篇13
1.1、鋼鐵企業信息化的必要性分析
隨著我國經濟的發展和科技的進步,信息化已在越來越多的企業中被得到應用,而鋼鐵企業作為我國的經濟支柱之一,在近年來也逐漸實現了鋼鐵企業的信息化建設。在鋼鐵企業中實施信息化建設,一方面是可以將鋼鐵企業的發展空間擴大,提高企業本身的在市場的競爭力,使其在如今競爭激勵的市場中占有一席之地,對鋼鐵企業實施信息化建設是企業發展的需要;另一方面,由于鋼鐵企業的業務,其所涉及到數據、文檔和圖紙等的數量都是比較多的,想要將這些數據、文檔和圖紙儲存起來是一件不容易的事,操作起來比較復雜,而通過信息化技術的支持則可以大大的簡化了這個儲存操作的過程,便于人員進行操作,使鋼鐵企業的運行效率得到大大的提高,對鋼鐵企業實施信息化建設是企業管理的需要。除此之外,隨著生產鏈全球化和供應鏈全球化的日益緊密,鋼鐵企業作為我國的經濟支柱之一,要求其利用信息化管理加強對鋼鐵生產建設的指導的迫切性已是越來越突出。因此,對鋼鐵企業實施信息化建設是非常有必要的,它不僅僅是鋼鐵企業本身發展的需要,也是鋼鐵企業管理的需要,同時也還是生產鏈全球化和供應鏈全球化對鋼鐵企業生產的要求所在。
1.2、當前存在的問題
上述信息化優勢證明我國電力企業近年來關于網絡信息化建設取得了一些成果,給行業信息化建設打下了良好的基礎,但在網絡信息安全管理方面仍普遍存在較多問題。
(1)信息化機構建設不健全
鋼鐵企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
(2)企業管理阻礙信息化發展
有些鋼鐵企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
(3)內部監管不足,相關法規不夠完善
內部網絡安全監管對信息安全管理起著至關重要的作用。很多信息安全案件發生的根本原因都是缺乏有效的網絡安全監管,即使許多信息安全管理者認識到了加強內部監管的重要性,但實施起來依然阻力重重。很多具體的危害信息安全的行為并沒有在現行的信息安全法律、法規中做出明確的界定。
(4)身份認證缺陷
電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
(5)軟件系統安全風險較大
軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windowsXP系統的服務支持,大量使用windowsXP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
(6)管理人員意識不足
很多鋼鐵企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、完善企業網絡信息安全方案的具體實施
2.1、防火墻部署
防火墻是建立在內部專有網絡和外部公有網絡之間的。所有來自公網的傳輸信息或從內網發出的信息都必須穿過防火墻。網絡訪問的安全一方面我們要配置防火墻禁止對內訪問,以防止互聯網上黑客的非法入侵;另一方面對允許對內訪問的合法用戶設立安全訪問區域。防火墻是在系統內部和外部之間的隔離層,可保護內部系統不被外部系統攻擊。
通過配置安全訪問控制策略,可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進行過濾,通過防火墻的設置,對內網、公網、DMZ區進行劃分,并實施安全策略,防止外部用戶或內部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能,對經常出差的領導、員工支持遠程私有網絡,用戶通過公網可以象訪問本地內部局域網一樣任意進行訪問。此外,防火墻還可以收集和記錄關于系統和網絡使用的多種信息,為流量監控和入侵檢測提供可靠的數據支持。
2.2、防病毒系統
計算機網絡安全建設中其中最為關鍵的一個部分即是加強對防病毒系統的建設,這就需要在實際工作中,通過科學合理對防病毒系統進行裝置,從而實現對病毒的集中管理,利用中心控制室來對局域網的計算機和服務器進行有效的監視,從而加強病毒的防范。而對于進入到計算機系統內的病毒則需要做出及時的影響,預以及時清除。
2.3、流量監控系統
什么是流量監控?眾所周知,網絡通信是通過數據包來完成的,所有信息都包含在網絡通信數據包中。兩臺計算機通過網絡“溝通”,是借助發送與接收數據包來完成的。所謂流量監控,實際上就是針對這些網絡通信數據包進行管理與控制,同時進行優化與限制。流量監控的目的是允許并保證有用數據包的高效傳輸,禁止或限制非法數據包傳輸,一保一限是流量監控的本質。在P2P技術廣泛應用的今天,企業部署流量監控是非常有必要的。
2.4、合理的配置策略
通過將企業網絡劃分為虛擬網絡VLAN網段,這樣不僅可以有效的增加網絡連接的靈活性,而且可以對網絡上的廣播進行有效的控制,減少沒必要的廣播,從而有效的釋放帶寬,不信有效的提高網絡利用率,而且使網絡的安全性和保密性能得到有效的提升,確保了網絡安全管理的實現。
2.5、安全管理制度
目前我國還沒有制訂統一的網絡安全管理規范,所以在當前網絡安全不斷受到威脅的情況下,需要我們首先在設計上對安全功能進行完善,其次還要加強網絡安全管理制度的建立,并確保各種安全措施得以落實。對于企業中安全等級要求較高的系統,則需要由專人進行管理,實行嚴格的出入管理,利用不同手段對出入人員進行識別和登記管理,從而確保企業網絡信息的安全性。
總之,在計算機技術、信息技術和網絡技術的發展下,企業在生產活動中都建立了屬于自己的局域網和企業辦公平臺,從而使企業在生產和經營過程中的數據傳輸速度加快,而且業務系統及管理系統以網絡分支的情況下分布開來,這對于企業管理效率的提升起到了積極的作用。網絡技術在企業中的應用,有效的改變了企業的生產方式,推動了企業的快速發展,但其也帶來了一定的隱患,如果不能及時對網絡的安全進行有效的防范,則會給企業帶來嚴重的經濟損失。
