時間:2022-05-08 04:36:03
緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了1篇企業(yè)網(wǎng)絡安全論文,愿這些內容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
系統(tǒng)的默認共享是打開的,關鍵的是它將系統(tǒng)盤也共享了,通過網(wǎng)絡映像就可以直接訪問,在注冊表中可以將其關閉。接到某些部門的電話,在計算機上出現(xiàn)“網(wǎng)絡IP地址沖突”的信息,無法使用網(wǎng)絡。這些部門有個共同點,就是都有訪問Internet的權限。企業(yè)網(wǎng)絡是通過路由器連接到Internet的,路由器安裝調試之處,只是設置了可以訪問Internet的計算機IP地址及訪問時間段,所以沒有訪問權限的計算機為了達到某種目的,私自更改本機的IP地址,造成IP地址沖突。為了解決這個問題,更換了新的路由器,這種路由器具有MAC地址過濾,MAC地址綁定,網(wǎng)絡流量分配等功能。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的計算機的MAC是否與路由器上的MAC地址表相符,如果相符就放行,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的計算機返回一個警告信息。同時也限定了工作站的訪問流量,防止使用BT,迅雷等下載工具長時間的大量占用網(wǎng)絡寬帶。2006年末的“熊貓燒香”病毒,造成上百萬臺電腦和千余家企業(yè)網(wǎng)絡被感染,特別是對企業(yè)網(wǎng)絡造成了很大的危害,也使人們對企業(yè)網(wǎng)絡安全有了進一步的認識。
第一,在企業(yè)網(wǎng)絡中,利用在對等網(wǎng)中對計算機中的某個目錄設置共享,進行資料的傳輸與共享是人們常采用的一個方法。但是在設置過程中,要充分認識到當一個目錄共享后,就不光是企業(yè)網(wǎng)絡內部的用戶可以訪問到,而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。有些人認為計算機只有自己使用,不需要設置密碼,這就造成非法用戶可以通過網(wǎng)絡共享隨意訪問計算機中的數(shù)據(jù)。為了防止資料的外泄,在設置共享時一定要設置訪問密碼。只有這樣,才能保證共享目錄資料的安全。有條件的話,應設立專門的文件服務器,進行統(tǒng)一管理。
第二,企業(yè)內部網(wǎng)速變得異常緩慢,許多計算機之間無法相互訪問,ERP系統(tǒng)軟件經(jīng)常出現(xiàn)不能正常登錄的情況。排除掉硬件因素,將工作站的共享去掉后,網(wǎng)速恢復正常,經(jīng)調查,發(fā)現(xiàn)是病毒在作怪,一旦聯(lián)網(wǎng),病毒就開始四處散播,占用了相當大的網(wǎng)絡寬帶,造成了網(wǎng)速下降。在“熊貓燒香”病毒發(fā)作期間,曾經(jīng)采取斷開網(wǎng)絡,進行逐臺計算機殺毒,但聯(lián)網(wǎng)后很快又被傳染,始終不能徹底清除。因此在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有合適于局域網(wǎng)的全方位防病毒產(chǎn)品。企業(yè)網(wǎng)絡是內部局域網(wǎng),就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。所以采用網(wǎng)絡版殺毒軟件是唯一的方法,這樣不必每臺工作站都需上網(wǎng)升級,由殺毒服務器統(tǒng)一升級,也能做到統(tǒng)一管理,避免了無故退出,非法卸載等誤操作。
另外,操作人員的素質不同,也造成了許多安全的隱患。使用外來磁盤、光盤、U盤等存儲介質,應該養(yǎng)成先殺毒的習慣。上網(wǎng)時,不訪問非法的網(wǎng)站,下載不明的文件,接收到的郵件中,可能包含木馬病毒等非法程序,所以不認識的信件盡量不要打開,而那些業(yè)務上、朋友的信件也要認真檢查。制定相應的計算機管理制度也是加強企業(yè)網(wǎng)絡安全的一個重要手段,使企業(yè)人員從認識上積極對待,工作中嚴格實行。
作者:閆志康 李偉洋 高淑平 單位:濮陽同力水泥有限公司 濮陽市生產(chǎn)力促進中心
一、網(wǎng)絡操作系統(tǒng)安全風險分析與對策
目前常用網(wǎng)絡操作系統(tǒng)有windows、UNIX、linux操作系統(tǒng),這些操作系統(tǒng)開發(fā)在過程中要考慮到方便用戶使用,但在方便使用的前提下也暴露出一些問題:(1)操作系統(tǒng)默認配置存在安全隱患:如Windows操作系統(tǒng)默認設置可以從光盤或U盤啟動,這種設置可以避開登錄密碼直接進入操作系統(tǒng),另外操作系統(tǒng)默認安裝了一些不常用的服務和端口,為非法用戶的入侵提供了便利。(2)操作系統(tǒng)支持在網(wǎng)絡上共享數(shù)據(jù)、加載或安裝程序,這些功能方便了非法用戶注入和運行木馬程序,為獲取用戶的信息提供了方便之門。(3)操作系統(tǒng)自身結構問題,如:windows操作系統(tǒng)自身提供的IPC$鏈接、遠程調用等都存在安全隱患。IPC$鏈接是通過DOS界面在獲得管理員權限的前提下獲得遠程計算機的信息;ftp服務傳輸過程為明碼傳輸,使用抓包工具即可獲取FTP服務器的登錄賬號和密碼,telnet遠程登錄需要經(jīng)過很多的環(huán)節(jié),中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全問題,所以為了加固網(wǎng)路操作安全可以采用以下措施:1、加強物理安全管理禁止通過DOS或其它操作系統(tǒng)訪問NTFS分區(qū)。在BIOS中設置口令,禁止使用U盤或光驅引導系統(tǒng)。2、加強用戶名和口令的管理windows操縱系統(tǒng)Administrator管理員用戶和Unix/Linux操作系統(tǒng)root特權用戶均具有對操作系統(tǒng)的完全控制權限,所以是入侵者想要獲取的信息。用戶名保護:Windows非管理員賬戶在輸入密碼錯誤后可設置成鎖定該用戶,但是Administrator不能刪除和禁用,所以攻擊者可以反復嘗試登陸,試圖獲取密碼。為了增加攻擊者獲取管理員權限的難度,可以為Administrator重命名,這樣攻擊者不但要猜出密碼,還要先猜出管理員修改后的用戶名。Root用戶不能更名,為了保護該用戶,在沒有必要的情況下,不要用root用戶登錄本機及遠程登錄服務器。密碼保護:密碼設置應按照密碼復雜度要求設置并定期更換密碼,同時密碼的設置不要用普通的英文單詞或比較公開的信息如生日、車牌等。3、加強用戶訪問權限的管理有些管理員為了方便用戶訪問文件系統(tǒng),為用戶開放了所有權限,如windows操作系統(tǒng)中為everyone工作組授予了“完全控制”權限,UNIX/Linux操作系統(tǒng)為所有用戶設置讀寫執(zhí)行權限,這樣的設置方便非法用戶上傳木馬,所以為了文件系統(tǒng)的安全,必須重新設置文件系統(tǒng)的權限,在保證正常運行的前提下,為用戶設置最小的訪問權限。4、加強服務和端口的管理當用戶開啟操作系統(tǒng)后,操作系統(tǒng)自帶的某些服務會自動運行,而非法用戶會針對這些服務進行遠程攻擊,而一些不常使用的端口也容易被非法用戶利用,作為再次入侵的后門,所以應該將不常使用的服務和端口關閉。
二、數(shù)據(jù)安全風險分析及對策
企業(yè)網(wǎng)絡的數(shù)據(jù)安全不可避免的受到外界的威脅,而數(shù)據(jù)的任何失誤,都可能對企業(yè)帶來巨大的損失。目前數(shù)據(jù)泄漏的主要途徑是:辦公計算機或硬盤的外帶;利用移動存儲設備將數(shù)據(jù)帶出;通過網(wǎng)絡傳輸文件;通過外設拷貝數(shù)據(jù);服務器被非法入侵等。為了防止企業(yè)數(shù)據(jù)泄露可以采用如下措施:1、磁盤加密針對硬盤丟失或被盜造成的泄密風險,可以通過對磁盤驅動層的加密加固處理,保證硬盤在被非法外帶或丟失后呈“鎖死”狀態(tài),硬盤內容無法被他人所讀取。2、移動存儲設備使用管理對于移動存儲設備設置加密寫入,即拷貝到該類設備的文檔都會以密文形式存在,密文只有拷貝回本地計算機才能解除加密。3、文檔傳輸控制對于文檔傳輸可以采取文件外發(fā)對象控制(指定可以外發(fā)文件的對象列表)、文件外發(fā)加密(外發(fā)的文檔處于加密狀態(tài))、文件外發(fā)審批(外發(fā)的文件需要經(jīng)領導審批方可發(fā)送)等形式進行控制。4、外設與外設端口管理針對具備數(shù)據(jù)傳輸?shù)臄?shù)據(jù)端口和外設,如紅外、藍牙、無線網(wǎng)卡、刻錄光驅等,只要與辦公無實質性的聯(lián)系應設置為禁用。5、文件服務器安全管理公司內部之間最為普及的是利用文件服務器進行文件傳遞。文件服務器上的數(shù)據(jù)經(jīng)過長期累積存儲,往往會成為“竊密”的重災區(qū)。為了防止服務器的外泄,可以在防火墻中過濾和排查來訪者身份的真實性與有效性,只有合法的客戶端且得到管理員授權的用戶會被放行,非法用戶將被禁止。
作者:王琪 單位:天津工程職業(yè)技術學院
1建立保護區(qū)域與防護等級措施,提高對信息系統(tǒng)的控制力
供電企業(yè)的信息系統(tǒng)應該根據(jù)自身生產(chǎn)特點,劃分為生產(chǎn)控制區(qū)域管理信息區(qū),并且對于業(yè)務處理進行分級,實現(xiàn)差異化的防護措施,提高防護水平與防護效果。其中,對于生產(chǎn)控制區(qū)的劃分上,可以劃分為控制區(qū)與非控制區(qū),將專用數(shù)據(jù)網(wǎng)絡進行網(wǎng)段阻隔,劃分為安全控制區(qū),并且與其他控制區(qū)之間安裝電力專用正向單向隔離裝置。對于管理信息區(qū)中,要安裝硬件防火墻,對訪問行為進行嚴格的控制,做好以下工作:(1)加強口令管理與數(shù)據(jù)備份,提高系統(tǒng)安全性。口令信息是保證信息安全的重要環(huán)節(jié),也是驗證權限的重要手段。所有服務器與計算機,都需要設置開機口令,并且保證口令的安全性與復雜性。對于安全口令進行定期的更換,提高口令的安全性。(2)在計算機日常使用的過程中,要設定屏幕保護,并開啟屏幕保護密碼。與此同時,還要關閉遠程桌面功能,避免被外來人員進行遠程訪問與控制。數(shù)據(jù)備份是提高系統(tǒng)安全性的另一項重要舉措,是保護系統(tǒng)數(shù)據(jù)完整性的主要方式。計算機管理人員需要對信息系統(tǒng)中的數(shù)據(jù)進行定期的備份,在出現(xiàn)病毒入侵、數(shù)據(jù)損壞等情況下,及時的進行數(shù)據(jù)恢復,保證信息系統(tǒng)的正常運作。個人電腦在日常使用中,也要注意做好信息的備份。(3)加強殺毒與漏洞掃描的工作,消除系統(tǒng)安全隱患。電力企業(yè)的網(wǎng)絡系統(tǒng)管理者,需要根據(jù)自身企業(yè)內部網(wǎng)絡情況,購買專業(yè)殺毒軟件,提高整體網(wǎng)絡的安全性。對于殺毒軟件,需要進行定期的病毒庫更新,對計算機病毒庫進行實時的升級,降低網(wǎng)絡病毒與木馬對計算機的影響。對于系統(tǒng)漏洞的管理上,要采用漏洞自動掃描系統(tǒng),對于系統(tǒng)的安全風險進行評估,及時的對系統(tǒng)中的漏洞進行整改。信息系統(tǒng)管理員要對網(wǎng)絡系統(tǒng)進行定期的評測,對于系統(tǒng)中存在的安全風險與漏洞進行有效的處理,降低系統(tǒng)運行風險,提高系統(tǒng)的可靠性與穩(wěn)定性。
2加強物理安全和主機安全的管理,提高對安全事故的響應能力
電力企業(yè)內部員工在日常工作中,要注重對計算機電話的保護,下班后及時關閉計算機,從而延長計算機使用壽命,保護硬件設設備的安全。針對特殊雷雨天氣,要做好防雷擊與防潮工作,保護機房的環(huán)境。在對于機房的管理上,要執(zhí)行嚴格的登記制度,避免無關人員進入機房。對于服務器與數(shù)據(jù)庫的訪問上,要嚴格對訪問權限進行管理,關閉可能造成系統(tǒng)受攻擊的服務與端口,最大限度的提高服務器的安全運行水平。在安全管理工作中,要建立科學有效的應急預案,爭取在出現(xiàn)安全事件時,第一時間的進行響應與處理,降低影響與損失,保證電網(wǎng)最快的恢復正常運行。
3結束語
完善和落實各項規(guī)章制度,構建良好的安全管理體系,將信息安全作為企業(yè)日常管理中的重要內容。企業(yè)管理者要重視信息安全,并且認識到網(wǎng)絡信息安全對于電力系統(tǒng)正常運行的意義。管理者要制定和完善內部網(wǎng)絡信息安全管理制度,并且對有關制度進行嚴格的執(zhí)行,做好日常監(jiān)督工作。在安全責任的劃分上,要做好責任落實,對于專人簽訂專門的安全責任書。日常工作中還要積極的組織職工接受安全教育宣傳與培訓,提高職工安全認識與信息安全保護的水平。
作者:李鋮 徐歡
1企業(yè)內部人員的非法操作和非法登錄
隨著計算機技術在電信生產(chǎn)中的廣泛應用,許多企業(yè)員工的計算機技術得到了一定程度的提高,又因電信企業(yè)各工作站點分布在不同的生產(chǎn)場所,有的生產(chǎn)場所管理不嚴,職工和維護人員口令沒有注意保密,導致企業(yè)內部部分員工在非工作時間盜用他人密碼登錄系統(tǒng)進行非法操作,嚴重地威脅到系統(tǒng)數(shù)據(jù)安全及生產(chǎn)流程的有效管理。外部人員的非法入侵。電信企業(yè)計算機網(wǎng)絡和相關上級部門實現(xiàn)了互聯(lián),勢必存在著有人通過這種互聯(lián)非法入侵的可能性;同時,因部分設備廠家遠程維護的需要,提供了部分遠程撥號登錄端口,如果對該登錄端口管理失控,那么設備供應廠家眾多計算機網(wǎng)絡高手必然借機非法入侵,使該系統(tǒng)成為他人練習技術的場所。電腦病毒的破壞。在現(xiàn)代計算機世界里,數(shù)以千萬計的電腦病毒無疑是令無數(shù)計算機工作者頭痛的問題,特別是近年來,破壞硬件的病毒不斷出現(xiàn),例如CIH病毒等,對計算機系統(tǒng)的破壞性大大增強。物理設備的破壞。因為火災、雷擊、電源、被盜等原因造成小型機或主網(wǎng)絡設備服務器的硬件損壞、被盜,導致網(wǎng)絡中斷,數(shù)據(jù)全部丟失,也是威脅電信企業(yè)計算機網(wǎng)絡安全的重要因素。
2電信企業(yè)計算機網(wǎng)絡安全的防范措施
通過前面的分析,我們可以知道,電信企業(yè)計算機網(wǎng)絡平臺上的信息資源事關廣大客戶能否正常享有電信企業(yè)提供的各項服務及企業(yè)各項業(yè)務生產(chǎn)處理流程能否正常進行,因而一旦安全受到威脅,將會危及整個網(wǎng)絡的正常運轉,甚至會使全網(wǎng)的機器癱瘓,大量重要數(shù)據(jù)丟失,造成無法估計的損失。為了防止此類事件的發(fā)生,必須根據(jù)企業(yè)實際情況,制定防范措施,確保網(wǎng)絡的安全性,筆者認為應該從以下幾個方面來考慮:
2.1分利用先進的計算機技術,分別在網(wǎng)絡層、系統(tǒng)設備層、應用層進行分級安全保護。網(wǎng)絡建設時,必須按國際C2級安全性標準來規(guī)劃、設計;在CISCO路由設備中,利用CISCOIOS操作系統(tǒng)的安全保護,設置用戶口令及ENABLE口令,解決網(wǎng)絡層的安全問題;對廠家遠程維護的撥號上網(wǎng)用戶,加入口令保護,使用加密協(xié)議,監(jiān)控其上網(wǎng)維護過程。構建網(wǎng)絡防火墻體系,過濾縱向網(wǎng)與電信企業(yè)計算機網(wǎng)絡訴互聯(lián),防止外部用戶的非法入侵。充分利用UNIX系統(tǒng)的安全機制,保證用戶身份、用戶授權和基于授權的系統(tǒng)的安全。對各服務器操作系統(tǒng)和數(shù)據(jù)庫設立訪問權限;同時,利用UNIX的安全文件,限制遠程登錄主機,以防非法用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
2.2建立電信計算機網(wǎng)絡電腦病毒立體預防體系。面對日益猖獗的計算機病毒,企業(yè)的計算機管理部門必須建立有效的規(guī)章制度,定期對網(wǎng)絡系統(tǒng)進行防病毒檢查。
2.3加強計算機網(wǎng)絡安全性管理。企業(yè)必須設立專門的系統(tǒng)安全性管理員,負責整個網(wǎng)絡系統(tǒng)的安全性監(jiān)控、管理、維護。必須做好小型機及服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、核心網(wǎng)絡路由設備、網(wǎng)絡交換機等系統(tǒng)超級用戶的口令管理,嚴格保密,防止他人竊取。因為超級用戶具有至高無上的權限,其口令為網(wǎng)絡安全性的第一道大門,一旦失竊,其他安全性措施都將成為空話,系統(tǒng)將可能受到嚴重的破壞。嚴格禁止系統(tǒng)管理員在中心機房之外使用超級用戶口令進行系統(tǒng)維護,確保超級用戶口令安全。建立健全企業(yè)生產(chǎn)用計算機網(wǎng)絡設備管理制度,對各生產(chǎn)場所的計算機設備嚴格管理,實行專人負責管理,嚴禁非工作人員上機操作。
2.4嚴格維護制度,確保物理設備的安全。物理設備的安全是其他安全性措施的基礎,如果物理設備遭到嚴重破壞,如燒毀、雷擊、被盜等,那么其他安全措施、手段將無從談起。系統(tǒng)管理員必須做好機房防火、防盜、防水、防雷等各項安全防范工作,確保網(wǎng)絡系統(tǒng)物理設備的安全。系統(tǒng)管理員必須做好經(jīng)常性的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的備份工作,有條件的必須將備份數(shù)據(jù)存放于不同地點的多個介質上,以防物理設備遭到嚴重破壞時,能夠在新設備上恢復操作系統(tǒng)及數(shù)據(jù)。
3總結
隨著電信企業(yè)的進一步發(fā)展,網(wǎng)絡的擴大,電信企業(yè)計算機網(wǎng)絡系統(tǒng)的安全性將受到更多的威脅,企業(yè)領導、技術管理人員和普通員工都必須進一步提高計算機網(wǎng)絡安全意識,高度重視,充分認識電信計算機網(wǎng)絡系統(tǒng)安全的重要性,提高警惕,確保網(wǎng)絡的安全、穩(wěn)定運行。
作者:馬俊嶺 單位:內蒙古聯(lián)通公司呼倫貝爾根河市分公司
企業(yè)內部計算機的網(wǎng)絡知識
通過先進的網(wǎng)絡管理技術,使企業(yè)的商業(yè)信息安全使用。企業(yè)計算機網(wǎng)絡維護主要包括物理安全和邏輯安全兩方面,物理安全指的是對計算機硬件設備進行保護,不受到外界損壞;邏輯安全指的是企業(yè)內部信息的完整和隱秘性。雖然很多企業(yè)已經(jīng)開始建立企業(yè)內部計算機網(wǎng)絡,但因為每個企業(yè)的性質和規(guī)模不同,對內部計算機網(wǎng)絡安全的程度也不相同。國有企業(yè)是國家的重要經(jīng)濟來源,所以,應當把國有企業(yè)的內部計算機網(wǎng)絡安全問題放在首位。計算機的網(wǎng)絡技術為整個企業(yè)的生產(chǎn)作出了重要貢獻,隨著黑客技術的不斷發(fā)展,很多企業(yè)的網(wǎng)絡數(shù)據(jù)也遭到了破壞,重要的商業(yè)信息不斷外泄,對企業(yè)造成了嚴重的經(jīng)濟損失。企業(yè)內部的某些員工私自篡改數(shù)據(jù),將病毒釋放到企業(yè)內部計算機內,導致企業(yè)信息的真實性大大降低。企業(yè)內部計算機的特征獨立性強企業(yè)內部的網(wǎng)絡是為企業(yè)生產(chǎn)管理所服務的,和外界無關,所以企業(yè)內部的網(wǎng)絡獨立性很強。企業(yè)內部的計算機和外界計算機沒有直接聯(lián)系,有些企業(yè)為了提高業(yè)務量,會與因特網(wǎng)相聯(lián)系,企業(yè)內網(wǎng)用了S/C軟件這種結構可以向企業(yè)提供電子郵件和網(wǎng)上會議等多種服務。應用這種軟件,使企業(yè)內部的不同部門可以相互傳輸數(shù)據(jù),為整個企業(yè)的辦公提供了極大便利。企業(yè)的內網(wǎng)與企業(yè)的運營有直接聯(lián)系隨著一系列生產(chǎn)系統(tǒng)的普及,企業(yè)的運營對計算機的依賴性也越來越大。企業(yè)的辦公也逐漸進入無紙化,企業(yè)內部的網(wǎng)絡也成為了企業(yè)內部信息交流和傳輸?shù)妮d體,這是保證企業(yè)正常生產(chǎn)運行的先決條件。因為網(wǎng)絡在企業(yè)生產(chǎn)中占有重要地位,所以對企業(yè)內部網(wǎng)絡的安全系數(shù)要求也越來越大。終端機、服務器以及網(wǎng)絡這三個要素構成了企業(yè)內部的計算機網(wǎng)絡,形成了一個連續(xù)性極強的整體,每個安全漏洞都會給一個企業(yè)帶來嚴重的經(jīng)濟損失,必須要保證數(shù)據(jù)庫的穩(wěn)定性和有效性,保證企業(yè)內部計算機的安全運行。
企業(yè)內部要建立起安全的防御體系
對不同安全區(qū)域的網(wǎng)絡信息進行管理;要對網(wǎng)絡安全全面開展訪問控制、防火墻設置以及日志管理;對企業(yè)網(wǎng)絡流量進行控制和保護要不斷完善訪問控制設施,實現(xiàn)對用戶身份認證和授權的管理要建立一個審計系統(tǒng)。企業(yè)內部要建立一個安全的網(wǎng)絡構架,將計算機網(wǎng)絡從原來的平面結構轉變?yōu)楸Wo結構,形成外部網(wǎng)、工作網(wǎng)和生產(chǎn)網(wǎng)三層結構。在網(wǎng)絡邊緣區(qū)域,通過邊界保衛(wèi)策略,對其實施多點控制,使網(wǎng)絡被劃分成不同級別的層次和區(qū)域,控制好各層之間的信息流。
企業(yè)內部計算機的網(wǎng)絡控制
對企業(yè)重要信息加密。網(wǎng)絡信息加密有三種方法:節(jié)點加密、鏈路加密和端口加密,這些加密法的目的是為了保護計算機內部所儲存的重要資料以及指令、文件等提供安全性。這種加密方法可以保證信息在傳輸中的安全。至于如何來選擇這些加密方法,可以根據(jù)企業(yè)用戶的情況需要自由選擇。物理安全保護策略物理安全的保護,主要針對于計算機硬件上的設備提供保護。物理安全策略可以保護企業(yè)計算機在一個安全的環(huán)境下工作。這種策略還可以設定用戶訪問權限,制定計算機的使用制度,防止黑客攻擊、盜竊以及破壞等行為的發(fā)生。訪問控制的策略訪問控制是對企業(yè)內部計算機網(wǎng)絡安全最有保障的手段之一,它主要被用來防范非法訪問和使用網(wǎng)絡資源,通常有以下措施:(1)屬性安全控制,這種控制對計算機中的文件和網(wǎng)絡設備之間開設了一條“專屬通道”,可以有效的保證信息安全。(2)防火墻的控制,這些可以有效的防止黑客進攻企業(yè)電腦。(3)入網(wǎng)訪問進行控制,主要限制用戶進入和使用某些資源,最大程度控制非法訪問情況的放生。
結語
對于企業(yè)而言,怎樣最大限度發(fā)揮出計算機的優(yōu)勢,防止黑客攻擊,是企業(yè)管理者和用戶都應該關心的問題。在企業(yè)計算機網(wǎng)絡防范中,企業(yè)要根據(jù)自身的需要,制定出一套健全的計算機網(wǎng)絡方法策略。制度防范并不能代表技術防范,而技術防范則可以很好的彌補制度防范中的不足。在企業(yè)內部自身網(wǎng)絡的安全防范中,除了要考慮到企業(yè)員工對計算機網(wǎng)絡安全意識的淡薄之外,還要防范企業(yè)內部的計算機網(wǎng)絡攻擊。在當今這個黑客猖獗、計算機病毒肆虐的信息化時代里,企業(yè)除了要保證內部計算機網(wǎng)絡的安全、有效和完整,還要不斷探索和發(fā)掘更新,更先進的安全防范技術。
作者:謝鶴 金賢 單位:山西晉緣網(wǎng)絡技術有限公司
摘要:
本文闡述了國內煙草企業(yè)面對的網(wǎng)絡信息安全的主要威脅,分析其網(wǎng)絡安全防護體系建設的應用現(xiàn)狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網(wǎng)絡安全區(qū)域、大力推行動態(tài)防護措施、構建專業(yè)防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業(yè)網(wǎng)絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業(yè);網(wǎng)絡安全防護;體系建設
隨著信息化的逐步發(fā)展,國內煙草企業(yè)也愈加重視利用網(wǎng)絡提高生產(chǎn)管理銷售水平,打造信息化時代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網(wǎng)絡威脅給企業(yè)信息安全方面帶來的影響。因此,越來越多的煙草企業(yè)對如何強化網(wǎng)絡安全防護體系建設給予了高度關注。
1威脅煙草企業(yè)網(wǎng)絡信息體系安全的因素
受各種因素影響,煙草企業(yè)網(wǎng)絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。人為的惡意攻擊,這是計算機網(wǎng)絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網(wǎng)絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網(wǎng)絡安全設備投資方面,行業(yè)在防火墻、網(wǎng)管設備、入侵檢測防御等網(wǎng)絡安全設備配置方面處于領先地位,但各類應用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護網(wǎng)絡遭受嚴重威脅。
1.3結構性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡安全防護體系結構,多數(shù)采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡使用者因系統(tǒng)過于復雜而導致錯誤操作,都可能造成網(wǎng)絡安全問題。
2煙草企業(yè)網(wǎng)絡安全防護體系建設現(xiàn)狀
煙草企業(yè)網(wǎng)絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業(yè)務應用集成整合不足
不少煙草企業(yè)防護系統(tǒng)在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協(xié)同性,安全防護信息沒有實現(xiàn)跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網(wǎng)絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網(wǎng)絡安全防護體系建設是現(xiàn)代煙草企業(yè)的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規(guī)范體系化等方面的建設工作都較為滯后。主營煙草業(yè)務沒有同信息化建設高度契合,對影響企業(yè)發(fā)展的管理制度、業(yè)務需求、核心數(shù)據(jù)和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協(xié)調,致使在信息化建設中,業(yè)務、管理、技術“三位一體”的要求并未落到實處,影響了網(wǎng)絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業(yè)信息化建設的各個環(huán)節(jié),加上企業(yè)信息化治理模式構建不成熟等原因,制約了企業(yè)安全綜合防范能力與運維保障體系建設的整體效能,導致在網(wǎng)絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網(wǎng)站等反復侵襲。
3加強煙草企業(yè)網(wǎng)絡安全防護體系建設的策略
煙草企業(yè)應以實現(xiàn)一體化數(shù)字煙草作為建設目標,秉承科學頂層設計、合理統(tǒng)籌規(guī)劃、力爭整體推進的原則,始終堅持兩級主體、協(xié)同建設和項目帶動的模式,按照統(tǒng)一架構、安全同步、統(tǒng)一平臺的技術規(guī)范,才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設和諧共生。
3.1遵循網(wǎng)絡防護基本原則
煙草企業(yè)在建設安全防護網(wǎng)絡時,應明白建設安全防護網(wǎng)絡的目標與原則,清楚網(wǎng)絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網(wǎng)絡進行合理劃分,不同區(qū)域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網(wǎng)絡邊界更為明確,相互之間更為信任。要對已出現(xiàn)的安全問題進行認真分析,并歸類統(tǒng)計,大的問題盡量拆解細分,類似的問題歸類統(tǒng)一,從而將復雜問題具體化,降低網(wǎng)絡防護工作的難度。對企業(yè)內部網(wǎng)絡來說,應以功能為界限來劃分,以劃分區(qū)域為安全防護區(qū)域。同時,要不斷地完善安全防護體系建設標準,打破不同企業(yè)之間網(wǎng)絡安全防護體系的壁壘,實現(xiàn)信息資源更大程度上的互聯(lián)互通,從而有效地提升自身對網(wǎng)絡威脅的抵御力。
3.2合理確定網(wǎng)絡安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡過程中,不同的區(qū)域所擔負的角色是不同的。為此,內部網(wǎng)絡,在設計之初,應以安全防護體系、業(yè)務操作標準、網(wǎng)絡使用行為等為標準對區(qū)域進行劃分。同時,對生產(chǎn)、監(jiān)管、流通、銷售等各個環(huán)節(jié),要根據(jù)其業(yè)務特點強化對應的網(wǎng)絡使用管理制度,既能實現(xiàn)網(wǎng)絡安全更好防護,也能幫助企業(yè)實現(xiàn)更為科學的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡安全區(qū)域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態(tài)度,根據(jù)企業(yè)實際情況,以現(xiàn)有的網(wǎng)絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態(tài)防護措施
根據(jù)網(wǎng)絡入侵事件可知,較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業(yè)在構建網(wǎng)絡安全防護體系時,應根據(jù)不同的威脅形式確定相應的防護技術,且系統(tǒng)要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業(yè)所遭受的網(wǎng)絡威脅進行分析,確定系統(tǒng)存在哪些漏洞、留有什么隱患,實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡應急機制,在系統(tǒng)遭受重大網(wǎng)絡威脅而癱瘓時,確保在最短的時間內恢復系統(tǒng)的基本功能,為后期確定問題原因與及時恢復系統(tǒng)留下時間,并且確保企業(yè)業(yè)務的開展不被中斷,不會為企業(yè)帶來很大的經(jīng)濟損失。另外,還應大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作,構建病毒防護戰(zhàn)略聯(lián)盟,為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡防護效果提供堅實的技術支撐。
3.4構建專業(yè)防護人才隊伍
人才是網(wǎng)絡安全防護體系的首要資源,缺少專業(yè)性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業(yè)網(wǎng)絡安全防護的工作專業(yè)性很強,既要熟知信息安全防護技術,也要對煙草企業(yè)生產(chǎn)全過程了然于胸,并熟知國家政策法規(guī)等制度。因此,煙草企業(yè)要大力構建專業(yè)的網(wǎng)絡信息安全防護人才隊伍,要采取定期選送、校企聯(lián)訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業(yè)現(xiàn)有信息安全防護人員的能力素質,也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作,引進高素質專業(yè)技術人才,從而為企業(yè)更好地實現(xiàn)信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統(tǒng)也不能取得好的效果。煙草企業(yè)要設立專門的信息管理培訓中心,統(tǒng)一對企業(yè)網(wǎng)絡安全防護系統(tǒng)進行管理培訓,各部門、各環(huán)節(jié)也要設立相應崗位,負責本崗位的網(wǎng)絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監(jiān)督下,都要在網(wǎng)絡使用制度的規(guī)則框架中,杜絕違規(guī)使用網(wǎng)絡、肆意泄露信息等現(xiàn)象的發(fā)生。對全體員工開展網(wǎng)絡安全教育,提升其網(wǎng)絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡。
4結語
煙草企業(yè)管理者必須清醒認識到,利用信息網(wǎng)絡加快企業(yè)升級換代、建設一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢所趨,絕不能因為網(wǎng)絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網(wǎng)絡安全帶來的挑戰(zhàn),以實事求是的態(tài)度,大力依托信息網(wǎng)絡安全技術,構建更為安全的防護體系,為企業(yè)做大做強奠定堅實的基礎。
作者:王世蓮 單位:陜西中煙旬陽卷煙廠
1網(wǎng)絡安全技術
1.1 加密技術
加密技術是企業(yè)常用保護數(shù)據(jù)信息的一種便捷技術,主要是利用一些加密程序對企業(yè)一些重要的數(shù)據(jù)進行保護,避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進行變換,改變其原有特征,讓外部人員無法直接觀察其本質含義,這種加密技術具有簡便性和有效性,但是存在一定的風險,一旦加密規(guī)律被別人知道后就很容易將其破解。基于公鑰的加密算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強的隱蔽性,外部人員如果想得到數(shù)據(jù)信息只有得到相關的只有得到唯一的私有密匙,因此具有較強的保密性。
1.2 身份鑒定技術
身份鑒定技術就是根據(jù)具體的特征對個人進行識別,根據(jù)識別的結果來判斷識別對象是否符合具體條件,再由系統(tǒng)判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效,比如指紋或者后虹膜,一般情況下只有本人才有權限進行某些專屬操作,也難以被模擬,安全性能比較可靠。這樣的技術一般應用在企業(yè)高度機密信息的保密過程中,具有較強的實用性。
2企業(yè)網(wǎng)絡安全體系解決方案
2.1 控制網(wǎng)絡訪問
對網(wǎng)絡訪問的控制是保障企業(yè)網(wǎng)絡安全的重要手段,通過設置各種權限避免企業(yè)信息外流,保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡設置按照面向對象的方式進行設置,針對個體對象按照網(wǎng)絡協(xié)議進行訪問權限設置,將網(wǎng)絡進行細分,根據(jù)不同的功能對企業(yè)內部的工作人員進行權限管理。企業(yè)辦公人員需要使用到的功能給予開通,其他與其工作不相關的內容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護,從根本上保障企業(yè)機密信息的安全。另外對網(wǎng)絡的訪問控制可以分時段進行,例如某文件只可以在相應日期的一段時間內打開。企業(yè)網(wǎng)絡設計過程中應該考慮到網(wǎng)絡安全問題,因此在實際設計過程中應該對各種網(wǎng)絡設備、網(wǎng)絡系統(tǒng)等進行安全管理,例如對各種設備的接口以及設備間的信息傳送方式進行科學管理,在保證其基本功能的基礎上消除其他功能,利用當前安全性較高的網(wǎng)絡系統(tǒng),消除網(wǎng)絡安全的脆弱性。企業(yè)經(jīng)營過程中由于業(yè)務需求常需要通過遠端連線設備連接企業(yè)內部網(wǎng)絡,遠程連接過程中脆弱的網(wǎng)絡系統(tǒng)極容易成為別人攻擊的對象,因此在企業(yè)網(wǎng)絡系統(tǒng)中應該加入安全性能較高的遠程訪問設備,提高遠程網(wǎng)絡訪問的安全性。同時對網(wǎng)絡系統(tǒng)重新設置,對登入身份信息進行加密處理,保證企業(yè)內部人員在操作過程中信息不被外人竊取,在數(shù)據(jù)傳輸過程中通過相應的網(wǎng)絡技術對傳輸?shù)臄?shù)據(jù)審核,避免信息通過其他渠道外泄,提高信息傳輸?shù)陌踩浴?
2.2 網(wǎng)絡的安全傳輸
電子商務時代的供應鏈建立在網(wǎng)絡技術的基礎上,供應鏈的各種信息都在企業(yè)內部網(wǎng)絡以及與供應商之間的網(wǎng)絡上進行傳遞,信息在傳遞過程中容易被不法分子盜取,給企業(yè)造成重大經(jīng)濟損失。為了避免信息被竊取,企業(yè)可以建設完善的網(wǎng)絡系統(tǒng),通過防火墻技術將身份無法識別的隔離在企業(yè)網(wǎng)絡之外,保證企業(yè)信息在安全的網(wǎng)絡環(huán)境下進行傳輸。另外可以通過相應的加密技術對傳輸?shù)男畔⑦M行加密處理,技術一些黑客破解企業(yè)的防火墻,竊取到的信息也是難以理解的加密數(shù)據(jù),加密過后的信息常常以亂碼的形式存在。從理論上而言,加密的信息仍舊有被破解的可能性,但現(xiàn)行的數(shù)據(jù)加密方式都是利用復雜的密匙處理過的,即使是最先進的密碼破解技術也要花費相當長的時間,等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時效性,成為一條無用的信息,對企業(yè)而言沒有任何影響。
2.3 網(wǎng)絡攻擊檢測
一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡,并從中找到漏洞進入企業(yè)內部網(wǎng)絡,對企業(yè)信息進行竊取或更改。為避免惡意網(wǎng)絡攻擊,企業(yè)可以引進入侵檢測系統(tǒng),并將其與控制網(wǎng)絡訪問結合起來,對企業(yè)信息實行雙重保護。根據(jù)企業(yè)的網(wǎng)絡結構,將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡內部的各個環(huán)節(jié),尤其是重要部門的機密信息需要重點監(jiān)控。利用防火墻技術實現(xiàn)企業(yè)網(wǎng)絡的第一道保護屏障,再配以檢測技術以及相關加密技術,防火記錄用戶的身份信息,遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測技術將徹底阻擋黑客的攻擊,并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù),難以從中得到有效信息。通過這些網(wǎng)絡安全技術的配合,全方位消除來自網(wǎng)絡黑客的攻擊,保障企業(yè)網(wǎng)絡安全。
3結束語
隨著電子商務時代的到來,網(wǎng)絡技術將會在未來一段時間內在企業(yè)的運轉中發(fā)揮難以取代的作用,企業(yè)網(wǎng)絡安全也將長期伴隨企業(yè)經(jīng)營管理,因此必須對企業(yè)網(wǎng)絡實行動態(tài)管理,保證網(wǎng)絡安全的先進性,為企業(yè)的發(fā)展建立安全的網(wǎng)絡環(huán)境。
作者:關勇單位:大慶市郵政局
摘要 隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。
關鍵詞 信息安全;PKI;CA;VPN
1 引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2 信息系統(tǒng)現(xiàn)狀
2.1 信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。
2)應用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉變?yōu)閿?shù)據(jù)日益集中的模式。
2.2 信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。
3 風險與需求分析
3.1 風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內部網(wǎng)絡信息系統(tǒng)的。
針對外部網(wǎng)絡安全,人們提出了內部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2 需求分析
如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4 設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1 標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。
4.2 系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3 規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4 保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5 多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6 分步實施原則
由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5 設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2 邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?
通過安裝部署VPN系統(tǒng),可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。
5.3 安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4 桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5 身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6 方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。
7 結論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平。
摘要:隨著社會的發(fā)展經(jīng)濟的進步,計算機成為人們日常工作中生活中成為不可或缺的助手。正是由于計算機的普及,網(wǎng)絡攻擊手段也不斷更新,各種病毒、黑客攻擊、破壞、篡改、竊取計算機中的各種信息,這就對計算機網(wǎng)絡安全有更高的要求。如今企業(yè)和個人的計算機中都會存儲大量重要文件資料,在這些文件資料的共享和傳輸過程中對完整性、保密性、私有性也有更高的要求。本文闡述了數(shù)據(jù)加密技術的種類及表現(xiàn)形式,威脅計算機網(wǎng)絡安全的主要因素,分析數(shù)據(jù)加密技術在化工企業(yè)計算機網(wǎng)絡安全中的應用。
關鍵詞:數(shù)據(jù)加密;網(wǎng)絡安全;化工企業(yè)
隨著計算機和互聯(lián)網(wǎng)技術的不斷普及,數(shù)據(jù)加密技術成為網(wǎng)絡安全中最重要的技術。數(shù)據(jù)加密技術也廣泛應用于以計算機為主導的化工企業(yè)的數(shù)據(jù)傳輸交換中。
1數(shù)據(jù)加密技術的種類及其表現(xiàn)方式
化工企業(yè)中經(jīng)過數(shù)據(jù)加密技術處理過的信息,需要經(jīng)過密鑰和解密函數(shù)的轉化才能夠使用,而沒有這個密鑰或者解密函數(shù)就會得到亂碼或者無法打開。
1.1數(shù)據(jù)加密技術的種類
1.1.1對稱式加密技術
對稱式加密也稱為單密鑰加密,是一種最簡潔,最快速的加密技術,信息的加密和解密使用同一個密鑰,由于它的效率高,因此被廣泛應用于很多加密協(xié)議的核心當中。但是因為發(fā)送和接受雙方擁有同一個密鑰,所以只有雙方在沒有泄露密鑰的前提下,才能夠保證傳輸數(shù)據(jù)的安全性、完整性。對稱加密的難就是密鑰的管理問題,通常是把對稱加密的密鑰通過非對稱式加密傳輸給接收方,保證在傳輸中不會被黑客截獲,即便被截獲也不會被破譯。化工企業(yè)中的郵件加密、圖紙和條件加密基本都是使用對稱式加密傳輸?shù)姆绞絒1]。
1.1.2非對稱式加密技術
非對稱加密技術是需要兩個密鑰來進行加密和解密,即公開密鑰(公鑰)和私有密鑰(私鑰)。如果用公鑰對數(shù)據(jù)進行加密就必須用對應的私鑰進行解密;如果用私鑰對數(shù)據(jù)進行加密就必須用對應的公鑰進行解密。這種加密技術雖然安全性高,但是加密解密的速度比較慢,因此在實際的工作中大多數(shù)采用的方法是將對稱式加密中的密鑰使用非對稱是加密的公鑰進行加密,發(fā)送給接收方再使用私鑰進行解密,得到對稱式加密中的密鑰。雙方可以用對稱式加密進行溝通,這樣即安全又快捷。非對稱加密技術可應用于數(shù)據(jù)加密,在身份認證、數(shù)字證書、數(shù)字簽名等領域也有廣泛的應用。
1.2數(shù)據(jù)加密的表現(xiàn)方式
隨著化工企業(yè)設計過程數(shù)字化、信息化的不斷發(fā)展,各類數(shù)據(jù)在設計人員內部之間流轉,設計成果的可復制性雖然提高了效率,但是也出現(xiàn)了數(shù)據(jù)安全問題。海量的圖紙、郵件、條件、信息在傳輸中面臨被盜取、丟失的風險,令企業(yè)和業(yè)主蒙受巨大損失。假如被競爭對手掌握后果不堪設想。
1.2.1鏈路加密
鏈路加密又稱為在線加密。它是同一網(wǎng)絡內兩點傳輸數(shù)據(jù)時在數(shù)字鏈路層加密信息的一種數(shù)字保密方法。在主服務器端的數(shù)據(jù)是明文的,當它離開主機的時候就會加密,等到了下個鏈接(可能是一個主機也可能是一個中集節(jié)點)再解密,然后在傳輸?shù)较乱粋€鏈接前再加密。每個鏈接可能用到不同的密鑰或不同的加密算法。這個過程將持續(xù)到數(shù)據(jù)的接收端。鏈路加密掩蓋了被傳送消息的源點與終點,非法入侵一般很難截獲明文信息,所以保證了數(shù)據(jù)的安全性[2]。
1.2.2節(jié)點加密
節(jié)點加密在數(shù)據(jù)網(wǎng)絡傳輸形式不會以明文出現(xiàn),而是以再加密的方式將數(shù)據(jù)再次傳輸?shù)酵ǖ乐校苊饬撕诳腿肭终邔π畔⒌谋I取和修改。但是節(jié)點加密要求源點和終點要以明文形式出現(xiàn),因此也存在一定的缺陷。
1.2.3端端加密
端端加密又稱為脫線加密。端端加密從源點到終點一直以密文的形式傳輸數(shù)據(jù),數(shù)據(jù)在到達終點之前也不會進行解密,因此即使在節(jié)點處有非法入侵也不會泄露數(shù)據(jù)[3]。例如某化工企業(yè)中,員工500多名,業(yè)務遍布全國各省自治區(qū),數(shù)據(jù)的傳輸不僅限于局域網(wǎng),更遍及全國各地,每天員工和客戶的往來郵件和圖紙等數(shù)據(jù)無數(shù),而這些數(shù)據(jù)都是以明文的形式存儲在個人或者單位計算機系統(tǒng)中,在傳輸過程中必須要對這些文檔、圖紙加密、設置權限等,防止設計成果的泄漏。采用端端加密的方式能更安全更高效的保證數(shù)據(jù)和系統(tǒng)的安全。
2影響化工企業(yè)網(wǎng)絡數(shù)據(jù)安全的因素
核心數(shù)據(jù)是化工企業(yè)的命脈。通過建立完善的信息安全系統(tǒng),保護化工企業(yè)核心數(shù)據(jù)尤其是企業(yè)商業(yè)機密,防止從內部泄密,已經(jīng)成為眾多企業(yè)的共識。企業(yè)從信息系統(tǒng)的安全性、穩(wěn)定性和可靠性等方面為基點,以數(shù)據(jù)安全為目標,紛紛構建企業(yè)數(shù)據(jù)防泄密體系[4]。
2.1軟件漏洞
現(xiàn)在的軟件為了方便企業(yè)和個人的交流都會有很好開放性和共享性,但是正因為此,軟件的安全問題也凸現(xiàn)出來。通常使用的TCP/IP協(xié)議,在網(wǎng)絡協(xié)議驗證上并沒有過多安全要求,這也避免不了網(wǎng)絡安全問題的出現(xiàn)。再有瀏覽器的使用過程中也會對用戶信息造成泄漏。這就要求我們在平時要采用正版軟件并注意及時更新軟件,減少軟件漏洞的出現(xiàn)。
2.2操作系統(tǒng)漏洞
操作系統(tǒng)是整個計算機的核心,如果病毒侵入后就能隨意操作計算機系統(tǒng),盜取用戶信息。病毒還能利用木馬程序監(jiān)控用戶信息傳送,更嚴重的能使服務器崩潰。在化工企業(yè)的網(wǎng)絡中心應該及時升級操作系統(tǒng)并安裝補丁,縮小風險。
2.3計算機病毒
病毒能夠破壞計算機軟件、資料甚至計算機硬件,使得計算機不能正常使用。隨著計算機網(wǎng)絡共享的不斷發(fā)展,病毒的蔓延更加快速,輕者使得電腦運行緩慢,嚴重的導致死機、崩潰、數(shù)據(jù)丟失等。化工企業(yè)網(wǎng)絡中心應該在服務器上及個人電腦上安裝正版網(wǎng)絡版殺毒軟件,并及時更新病毒庫,防止計算機被病毒感染。
2.4黑客入侵
黑客主要是利用計算機系統(tǒng)的安全漏洞,采用非法監(jiān)測等手段侵入電腦,盜取計算機中的私密數(shù)據(jù)。黑客入侵主要是人為的對計算機進行攻擊,所以其危害性比病毒更嚴重。平時要避免不明來歷的下載,減少共享設置等[5]。數(shù)據(jù)加密技術突飛猛進,要求對數(shù)據(jù)進行高強度加密和對使用者透明的解密,防止各種泄密情況的出現(xiàn),并且還要求操作簡便、應用方便、無痕處理。數(shù)據(jù)加密采用內核驅動級文件加密技術,256位高強度加密算法。在單位內部文件可以正常流轉,一旦離開單位網(wǎng)絡,文件顯示亂碼或者打開失敗。這樣就實現(xiàn)了設計圖紙加密、研發(fā)數(shù)據(jù)加密、客戶資料加密等。真正意義上保障了企業(yè)數(shù)據(jù)的安全性。
作者:王欣 單位:天津渤海化工集團規(guī)劃設計院
摘要:目前計算機網(wǎng)絡已成為企業(yè)生存和發(fā)展不可或缺的組成部分,但隨著網(wǎng)絡安全問題的頻發(fā),以及網(wǎng)絡安全問題所帶來的嚴重影響,有必要針對目前企業(yè)網(wǎng)絡安全主要存在的問題,提出綜合、有效、可行的企業(yè)網(wǎng)絡安全防護設計方案。
關鍵詞:企業(yè)網(wǎng)絡;安全;病毒;物理
在現(xiàn)代企業(yè)的生存與發(fā)展過程中,企業(yè)網(wǎng)絡安全威脅與企業(yè)網(wǎng)絡安全防護是并行存在的。雖然企業(yè)網(wǎng)絡安全技術與以往相比取得了突破性的進展,但過去企業(yè)網(wǎng)絡處于一個封閉或者是半封閉的狀態(tài),只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數(shù)企業(yè)網(wǎng)絡幾乎處于全球互聯(lián)的狀態(tài),這種時空的無限制性和準入的開放性間接增加了企業(yè)網(wǎng)絡安全的影響因素,自然給企業(yè)網(wǎng)絡安全帶來了更多的威脅。因此,企業(yè)網(wǎng)絡安全防護一個永無止境的過程,對其進行研究無論是對于網(wǎng)絡安全技術的應用,還是對于企業(yè)的持續(xù)發(fā)展,都具有重要的意義。
1企業(yè)網(wǎng)絡安全問題分析
基于企業(yè)網(wǎng)絡的構成要素以及運行維護條件,目前企業(yè)網(wǎng)絡典型的安全問題主要表現(xiàn)于以下幾個方面。
1.1網(wǎng)絡設備安全問題
企業(yè)網(wǎng)絡系統(tǒng)服務器、網(wǎng)絡交換機、個人電腦、備用電源等硬件設備,時常會發(fā)生安全問題,而這些設備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息,進而給企業(yè)帶來不可估量經(jīng)濟損失。以某企業(yè)為例,該企業(yè)網(wǎng)絡的服務器及相關網(wǎng)絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業(yè)網(wǎng)絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。
1.2服務器操作系統(tǒng)安全問題
隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務的拓展,對企業(yè)網(wǎng)絡服務器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡服務器采用的是WindowsXP或Windows7操作系統(tǒng),由于這些操作系統(tǒng)存在安全漏洞,自然會降低服務器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業(yè)網(wǎng)絡訪問控制安全問題也是較為常見的,以某企業(yè)為例,該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內部人員的上網(wǎng)行為,但未限制存在安全隱患的上網(wǎng)活動。同時對于內部上網(wǎng)終端及外來電腦未設置入網(wǎng)認證及無線網(wǎng)絡訪問節(jié)點安全檢查,任何電腦都可在信號區(qū)內接入到無線網(wǎng)絡。
2企業(yè)網(wǎng)絡安全防護方案
基于上述企業(yè)網(wǎng)絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡的整體安全性能。
2.1網(wǎng)絡設備安全方案
企業(yè)網(wǎng)絡相關設備的安全性能是保證整個企業(yè)網(wǎng)絡安全的基本前提,為了提高網(wǎng)絡設備的整體安全指數(shù),可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡相關主干設備對交流電源的生產(chǎn)質量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業(yè)網(wǎng)絡的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網(wǎng)絡系統(tǒng)電源供電不足問題為例,為了徹底解決傳統(tǒng)電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發(fā)電機組,進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡設備的可持續(xù)供電,避免因為斷電而導致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。
2.2服務器系統(tǒng)安全方案
企業(yè)網(wǎng)絡服務器系統(tǒng)的安全尤為重要,然而其安全問題的產(chǎn)生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。
2.2.1操作系統(tǒng)漏洞安全
目前企業(yè)網(wǎng)絡服務器操作系統(tǒng)以Windows為主,該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象,除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外,還應針對企業(yè)網(wǎng)絡服務器及個人電腦的操作系統(tǒng)使用實際情況,實施專門的漏洞掃描和檢測,并根據(jù)掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口,并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡入侵檢測,以此來檢測和響應網(wǎng)絡入侵威脅。圖1漏洞掃描及檢測系統(tǒng)
2.2.2Windows端口安全
在Windows系統(tǒng)中,端口是企業(yè)實現(xiàn)網(wǎng)絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網(wǎng)絡攻擊的運行路徑來看,大多數(shù)都要通過服務器TCP/UDP端口,可充分這一點來預防各種網(wǎng)絡攻擊,只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現(xiàn)訪問控制。通過對IIS配置,可實現(xiàn)對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統(tǒng)分區(qū)上安裝IIS服務器。若在系統(tǒng)分區(qū)上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統(tǒng)分區(qū)提供便利,因此,在非系統(tǒng)分區(qū)上安全IIS服務器較為科學。(3)NTFS文件系統(tǒng)的應用。NTFS文件系統(tǒng)具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統(tǒng)的,因此Windows2000安裝時選用NTFS文件系統(tǒng),安全性能更高。(4)服務端口號的修改。雖然IIS網(wǎng)絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網(wǎng)絡服務端口可提高企業(yè)網(wǎng)絡服務器的安全性。
2.3網(wǎng)絡結構安全方案
2.3.1強化網(wǎng)絡設備安全
強化企業(yè)網(wǎng)絡設備的自身安全是保障企業(yè)網(wǎng)絡安全的基礎措施,具體包含以下措施。(1)網(wǎng)絡設備運行安全。對各設備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現(xiàn)上述目標,例如What’supGold能實現(xiàn)對企業(yè)網(wǎng)絡設備狀態(tài)的監(jiān)控,而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。(2)網(wǎng)絡設備登錄安全。為了保證網(wǎng)絡設備登錄安全指數(shù),對于企業(yè)網(wǎng)絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業(yè)內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網(wǎng)的安全性。
2.3.2細分網(wǎng)絡安全區(qū)域
目前,廣播式局域的企業(yè)網(wǎng)絡組網(wǎng)模式存在著一個嚴重缺陷就是當其中各個局域網(wǎng)存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統(tǒng),同時還可能泄露重要信息。為了解決這種問題,可對整個網(wǎng)絡進行細分,即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡終端設備劃分為多個網(wǎng)段,在每個網(wǎng)段均有不同的vlan,從而保證安全性。
2.3.3加強通信訪問控制
針對企業(yè)各個部門對網(wǎng)絡資源的需求,在通信訪問控制時需要注意以下幾點:對內服務器應根據(jù)提供的業(yè)務與對口部門互通;對內服務器需要與互聯(lián)網(wǎng)隔離;體驗區(qū)只能訪問互聯(lián)網(wǎng),不能訪問辦公網(wǎng)。以上功能的實現(xiàn),可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫(yī)院
摘要:近年來,隨著我國科學技術和社會經(jīng)濟的不斷發(fā)展,給我國中小企業(yè)帶來了很大的挑戰(zhàn)和機遇。目前,計算機網(wǎng)絡越來越被應用到中小企業(yè)的發(fā)展中,但是,網(wǎng)絡安全問題也變得越來越嚴重,因此,中小企業(yè)應該重視網(wǎng)絡安全問題。本文首先分析了中小企業(yè)網(wǎng)絡安全現(xiàn)狀,然后講述了影響中小企業(yè)網(wǎng)絡安全的因素,最后提出了以下安全策略,以供中小企業(yè)相關負責人參考。
關鍵詞:中小企業(yè);網(wǎng)絡安全;現(xiàn)狀;因素;策略
目前,隨著我國信息化的快速發(fā)展,中小企業(yè)越來越重視計算機的使用。一直以來,網(wǎng)絡安全問題都是最值得關注的問題,尤其是對于企業(yè)的發(fā)展來說,很多機密資料都放在了網(wǎng)絡中,如果不對網(wǎng)絡安全加以管理,那么就會透漏很多企業(yè)自身的機密信息,嚴重的會使得企業(yè)面臨倒閉的風險。但是,從目前我國中小企業(yè)網(wǎng)絡安全發(fā)展的現(xiàn)狀來看,依然存在很多的問題,影響網(wǎng)絡安全的因素也很多,因此,企業(yè)為了能夠長久穩(wěn)定的發(fā)展下去,就必須重視網(wǎng)絡安全問題,采取行之有效的策略,加強網(wǎng)絡安全意識與管理制度,組建合理的企業(yè)內網(wǎng),從而保證企業(yè)的經(jīng)濟不受損失。
1中小企業(yè)網(wǎng)絡安全現(xiàn)狀
現(xiàn)如今,隨著我國計算機網(wǎng)絡技術的不斷發(fā)展,中小企業(yè)都在廣泛使用計算機網(wǎng)絡信息技術,但是,在企業(yè)享受網(wǎng)絡帶來的數(shù)據(jù)共享、異地間數(shù)據(jù)傳輸?shù)缺憬輹r,也在面臨網(wǎng)絡完全問題的威脅。如果企業(yè)不加重視網(wǎng)絡安全管理問題,那么就會給企業(yè)帶來很大的安全隱患。從目前我國中小企業(yè)發(fā)展的現(xiàn)狀來看,網(wǎng)絡安全還存在很多問題。首先,技術力量有效。很多中小企業(yè)都注重交換機、防火墻等網(wǎng)絡設備,因此把大量的資金都放在了投資網(wǎng)絡設備上面,但是,對于設備的后期維護工作缺少過多的重視,也沒有相關的技術工作人員加以維護,一般都是聘用兼職人員來維護后期網(wǎng)絡,因此,使得企業(yè)存在很大的安全隱患。其次,缺乏網(wǎng)絡安全管理意識。部門中小企業(yè)都沒有成立專門的網(wǎng)絡安全管理部門,相關領導缺乏對網(wǎng)絡安全管理的意識,但是黑客程度的攻擊具有隱蔽性、無特定性等特點,從而使得中小企業(yè)很容易受到侵襲。最后,缺乏專業(yè)的網(wǎng)絡安全管理水平。在我國大型企業(yè)中,一般都有專業(yè)的網(wǎng)絡安全管理技術人員,但是,對于中小企業(yè)來說,由于資金有限,他們都不會聘用具有專業(yè)知識的網(wǎng)絡安全管理人員,一旦網(wǎng)絡出現(xiàn)安全問題,不能在短時間內全面解決安全問題,最終使得數(shù)據(jù)在網(wǎng)絡環(huán)境中使用和傳輸都可能被破壞、篡改或泄露。
2影響中小企業(yè)網(wǎng)絡安全的因素
2.1病毒的侵襲
在中小企業(yè)網(wǎng)絡安全中,病毒入侵是其中非常重要的一個因素。我們都知道,病毒的危害性特別大,能夠嚴重破壞計算機功能或者計算機數(shù)據(jù),同時,病毒也都是把自己附著在合法的可執(zhí)行文件上,因此,不容易被企業(yè)發(fā)現(xiàn)。病毒的特點非常多,比如破壞性、自我復制性、傳染性等。但是,病毒不是天然存在的,是當某人在使用計算機時,由于計算機自身軟件的脆弱性編制而產(chǎn)生的一組指令集或程序代碼。由于病毒能夠自我復制,因此,一旦某計算機的某個軟件遭遇了病毒入侵,那么就會使得某個局域網(wǎng)或者一臺機器都有病毒,在病毒入侵的過程中,如果不及時加以制止,那么病毒就會一直繁殖下去,后果將不堪設想,從而就會導致整個系統(tǒng)都癱瘓。
2.2黑客的非法闖入
眾所周知,網(wǎng)絡具有開放性,因此,決定了網(wǎng)絡的多樣性和復雜性。在網(wǎng)絡管理中,黑客的非法闖入也是常見的一種網(wǎng)絡安全影響因素,如果中小企業(yè)遭遇了黑客的非法闖入,那么就會使得整個企業(yè)網(wǎng)絡都面臨很大的安全隱患。隨著我國科學技術的不斷發(fā)展,計算機技術也在迅猛發(fā)展,同時各式各樣的黑客也在緊跟科技腳步,非法闖入行為屢見不鮮。黑客攻擊行為主要分為兩種,即破壞性攻擊和非破壞性攻擊。其中破壞性攻擊主要目的就是侵入他人電腦系統(tǒng)、破壞目標系統(tǒng)的數(shù)據(jù)和盜竊系統(tǒng)保密信息;而非破壞性攻擊主要是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料。據(jù)相關調查顯示,黑客攻擊行為越來越猖獗,組織越來越龐大,如果不加以制止,那么就會在很大程度上阻礙企業(yè)的發(fā)展。
3中小企業(yè)網(wǎng)絡安全策略
3.1加強網(wǎng)絡安全意識與管理制度
對于中小企業(yè)來說,加強網(wǎng)絡安全意識與管理制度屬于網(wǎng)絡安全管理中的一項重要策略。由于受到傳統(tǒng)思想的束縛,很多中小企業(yè)都把大量資金投入到生產(chǎn)中,忽視網(wǎng)絡安全的重要性。在企業(yè)的網(wǎng)絡安全管理中,很多網(wǎng)絡管理人員都缺乏相應的專業(yè)知識,缺乏安全防范意識,從而導致了企業(yè)信息資源經(jīng)常發(fā)生泄漏現(xiàn)象。因此,中小企業(yè)應該加強網(wǎng)絡安全意識與管理制度,定期對相關工作人員進行安全知識的培訓,防止因為疏忽而發(fā)生信息資源泄漏,幫助員工熟練掌握網(wǎng)絡安全管理技能,讓他們充分認識到網(wǎng)絡安全管理的重要性。與此同時,有條件的企業(yè)還可以聘用國外發(fā)達國家的相關網(wǎng)絡安全專家,幫助企業(yè)內部工作人員增長豐富的實踐經(jīng)驗,做到未雨綢繆,維護網(wǎng)絡信息的保密性和完整性,保證企業(yè)的經(jīng)濟利益不受損失,從而促進企業(yè)的長久穩(wěn)定發(fā)展。
3.2組建合理的企業(yè)內網(wǎng)
在網(wǎng)絡管理中,企業(yè)內部網(wǎng)絡的安全是其中的首要任務,只有保證了企業(yè)內部網(wǎng)絡的安全,才能有效開展企業(yè)內部信息的安全傳遞,因此,企業(yè)要組建合理的企業(yè)內網(wǎng)。企業(yè)內網(wǎng)的主要目的就是要合理保證網(wǎng)絡安全,根據(jù)企業(yè)自身發(fā)展情況和信息安全級別,從而對企業(yè)網(wǎng)絡進行隔離和分段。同時,企業(yè)內網(wǎng)的核心是要對網(wǎng)絡拓撲結構進行科學合理的設計,從而保證企業(yè)內網(wǎng)的安全穩(wěn)定性。其中針對網(wǎng)絡分段來說,主要包括兩種方式,即物理分段和邏輯分段。網(wǎng)絡分段的優(yōu)勢也很多,一般情況下各網(wǎng)段相互之間是無法進行直接通信的,因此,對網(wǎng)絡進行分段,能夠實現(xiàn)各網(wǎng)絡分段訪問間的單獨訪問控制,從而避免非法用戶的入侵。比如,把網(wǎng)絡分成多個IP子網(wǎng),各個網(wǎng)絡間主要通過防火墻或者路由器連接,通過這些設備來達到控制各子網(wǎng)間的訪問目的。由此可見,企業(yè)組建合理的企業(yè)內網(wǎng)是保證網(wǎng)絡安全的一項重要策略。
3.3合理設置加密方式及權限
在中小企業(yè)的發(fā)展中,數(shù)據(jù)安全非常重要,它能夠直接影響企業(yè)的信息、資源和機密數(shù)據(jù)的安全性和穩(wěn)定性,因此,企業(yè)在網(wǎng)絡安全管理中,一定要充分認識到數(shù)據(jù)安全的重要性。企業(yè)可以采用數(shù)據(jù)加密技術,這主要是因為數(shù)據(jù)加密可以保護企業(yè)內部的數(shù)據(jù)信息不被侵犯,從而保證企業(yè)內部數(shù)據(jù)信息的完整性。從目前我國企業(yè)的發(fā)展來看,主要采用的加碼技術有兩種:對稱加密技術和非對稱加密技術。通俗來說,數(shù)據(jù)加密技術就是對內部信息數(shù)據(jù)進行重新編碼,防止機密數(shù)據(jù)被黑客破譯。由此可見,企業(yè)應該合理設置加密方式及權限,從而保證企業(yè)內部信息數(shù)據(jù)的安全性和完整性。
3.4使用防火墻及殺毒軟件實時監(jiān)控
中小企業(yè)要想保護內部網(wǎng)絡信息的安全,還有一個重要的措施就是使用防火墻及殺毒軟件實時監(jiān)控。防火墻主要是起到一個門衛(wèi)的作用,是保證網(wǎng)絡安全的第一道防線。防火墻可以限制每個IP的流量和連接數(shù),如果得不到防火墻的“許可”,外部數(shù)據(jù)是不可能進入企業(yè)內部系統(tǒng)的。與此同時,防火墻還有監(jiān)視作用,通過防火墻能夠了解入侵數(shù)據(jù)的有效信息,并且檢查所處理的每個消息的源。因此,中小企業(yè)為了阻止病毒的入侵,就要使用防火墻,并安裝網(wǎng)絡版防病毒軟件,從而避免病毒的有效入侵和擴散,最終保證企業(yè)內部網(wǎng)絡的安全性和穩(wěn)定性。
4結束語
總而言之,隨著市場經(jīng)濟的不斷變革,中小企業(yè)越來越重視網(wǎng)絡安全管理問題。對于中小企業(yè)來說,網(wǎng)絡安全管理是一項長期且復雜的工作,企業(yè)必須要充分認識到網(wǎng)絡安全的重要性,不斷加強網(wǎng)絡安全意識與管理制度,組建合理的企業(yè)內網(wǎng),并合理設置加密方式及權限,從而保證企業(yè)能夠可持續(xù)發(fā)展下去。
作者:楊海亮 馬天丁 李震 單位:南京水利科學研究院
隨著信息化技術的發(fā)展和行業(yè)滲透,煙草行業(yè)的信息化網(wǎng)絡技術應用逐步加深,問題也隨之而來:計算機網(wǎng)絡防護能力較弱、存儲數(shù)據(jù)量越來越大,信息安全問題劇增,網(wǎng)絡安全隱患得不到有效保障,企業(yè)信息難以得到安全有效的保護,企業(yè)網(wǎng)絡安全問題不容樂觀。因此,深入探討網(wǎng)絡安全問題,建立健全安全監(jiān)測機制,探索安全防護策略是十分必要的。
1網(wǎng)絡安全問題
網(wǎng)絡安全問題就是指在網(wǎng)絡上傳輸?shù)男畔踩?網(wǎng)絡安全涵蓋網(wǎng)絡系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不會受到攻擊、篡改、破壞、泄露、中斷等現(xiàn)象,即硬件設備應穩(wěn)定運行,軟件系統(tǒng)穩(wěn)定可靠、網(wǎng)絡連續(xù)不中斷、數(shù)據(jù)全面且安全。網(wǎng)絡安全問題既要從技術上進行有效的風險控制,注重防范外部入侵、黑客攻擊、病毒等;還要從管理上加強控制,注重人為因素。計算機網(wǎng)絡安全問題中,最主要的問題就是病毒,計算機在網(wǎng)絡環(huán)境下、在有外部設備如優(yōu)盤、移動硬盤、光盤等連接的情況下,計算機都容易感染病毒,不及時清除病毒,會帶來一系列問題,最簡單最直接就是計算機運行速度降低、病毒導致文件破損甚至丟失,給用戶帶來不便;嚴重病毒甚至篡改系統(tǒng)程序、非法入侵計算機盜取重要數(shù)據(jù)和信息,給用戶帶來信息安全的威脅。網(wǎng)絡安全管理分工、職責不明確,使用權限不匹配,保密意識淡薄,對網(wǎng)絡安全不夠重視,容易造成遇到事情互相推諉的局面。另外,網(wǎng)絡安全管理人員的相關培訓有待加強。
2網(wǎng)絡安全技術防護
2.1防火墻技術
防火墻技術實際上是一種隔離技術,將計算機與內部網(wǎng)絡、外部網(wǎng)絡、公共網(wǎng)絡、專用網(wǎng)絡之間架設的一種隔離保護屏障,數(shù)據(jù)和信息經(jīng)防火墻隔離后從計算機流出,保護加密信息;外界數(shù)據(jù)和信息經(jīng)防火墻流入計算機,將外界有病毒的、不安全的、不確定的因素隔離掉。防火墻是軟件和硬件的組合體,是計算機解決網(wǎng)絡安全問題的首要基本方法。
2.2升級操作系統(tǒng),修復漏洞
計算機操作系統(tǒng)本身結構、程序復雜,操作系統(tǒng)供應商也在不斷的更新、完善系統(tǒng),用戶應及時升級操作系統(tǒng),補正最新的補丁,修復系統(tǒng)漏洞,以便防御各種惡意入侵,將系統(tǒng)風險降至最低。
2.3安裝防病毒軟件
保護用戶計算機網(wǎng)絡的安全性的最基礎和最重要的一環(huán)就是安裝防病毒軟件,如360殺毒、瑞星殺毒等。通過定時使用防病毒軟件對計算機各個硬盤及網(wǎng)絡環(huán)境進行掃描,對于其中文件、郵件、以及代有可執(zhí)行的文件.exe等進行掃描,發(fā)現(xiàn)并清除病毒文件。另外,用戶需經(jīng)常及時的更新病毒庫,以防范新病毒的入侵。
2.4數(shù)據(jù)庫管理
數(shù)據(jù)庫存儲著計算機的所有數(shù)據(jù)和信息,是計算機系統(tǒng)非常重要的部分,為防止發(fā)生突發(fā)性的情況,數(shù)據(jù)庫要進行一用一備的雙數(shù)據(jù)庫,煙草行業(yè)使用信息化系統(tǒng)隨著使用時間和使用規(guī)模的增加,數(shù)據(jù)量增大,除了一用一備的數(shù)據(jù)庫管理模式,更應該建設數(shù)據(jù)庫災備管理、雙機熱備等,以應對緊急情況,以實現(xiàn)對數(shù)據(jù)庫的安全管理及維護,保證系統(tǒng)數(shù)據(jù)和信息的安全、準確和全面。
2.5數(shù)據(jù)加密技術
在數(shù)據(jù)量的激增,用戶隨時隨地利用網(wǎng)絡查看信息的需求,大數(shù)據(jù)、云計算的使用越來越廣泛的環(huán)境下,保障用戶的數(shù)據(jù)有效、完整、保密顯得更為突出。數(shù)據(jù)加密技術對于云計算和大數(shù)據(jù)來說,是一種行之有效的保密、安全技術,原理是用戶對某部分數(shù)據(jù)發(fā)起查詢指令,云端將數(shù)據(jù)發(fā)送出去后,要經(jīng)過加密軟件轉換成加密文件進行傳輸,再傳輸給用戶端前,在經(jīng)過解密文件進行還原。加密和解密的過程都離不開關鍵的環(huán)節(jié)就是密鑰。數(shù)據(jù)加密技術在互聯(lián)網(wǎng)大數(shù)據(jù)、云計算的大環(huán)境下,是非常必要的,通過加密技術來保證數(shù)據(jù)傳遞的真實性、可靠性和保密性。
3網(wǎng)絡安全管理
3.1加強防范措施
計算機網(wǎng)絡安全的防護不僅需要技術手段上的保駕護航,更需要管理手段的完善和提高。煙草行業(yè)網(wǎng)絡管理部分需要建立網(wǎng)絡監(jiān)測管理系統(tǒng)和機制,安排進行必要的日常巡檢、漏洞更新等常規(guī)操作,并定期對所有計算機進行涉密檢查,對計算機內的信息和數(shù)據(jù)進行全面監(jiān)測,發(fā)現(xiàn)異常情況及時處理。安全、可靠、完備的監(jiān)測管理手段,可以在一定程度上防止外部攻擊。制定合理的網(wǎng)絡管理規(guī)范和安全制度,能從根本上有效地防止人為因素產(chǎn)生的漏洞。規(guī)范上網(wǎng)行為,制定上網(wǎng)行為管理規(guī)范,有效降低內部員工上網(wǎng)誤操作帶來的損失。制定移動存儲設備管理制度,杜絕將存有機密信息的存儲設備、筆記本計算機等設備帶離崗位或單位,如有必要需要建立申請制度。
3.2加強管理制度
煙草行業(yè)信息化管理部門要建立健全網(wǎng)絡安全管理機構和相關制度,使得相關人員在工作過程中做到分工明確、有張可循、責任到人。對于風險要有嚴密的防控機制,出現(xiàn)問題要有合理快速的解決辦法可循,將事故率降至最低。建立完善的管理工作交接、使用權限交接等的制度和規(guī)則,網(wǎng)絡管理人員如遇工作調動、辭職、退休等情況時,交接工作有章可循。
3.3注重人才培養(yǎng)
計算機、網(wǎng)絡技術需要專業(yè)性強的人才進行運行和管理,因此,加強煙草行業(yè)網(wǎng)絡管理專業(yè)技術人才隊伍建設和能力提升,對于提升煙草行業(yè)網(wǎng)絡安全等級具有現(xiàn)實意義。注重高級人才的引進和現(xiàn)有人員的培養(yǎng)、培訓,對網(wǎng)絡管理人員進行專業(yè)知識的培訓,普及信息安全技術,組織信息安全保密知識學習,聽取相關專家的行業(yè)發(fā)展講座,提高網(wǎng)絡管理人員的整體素質,從專業(yè)技能到宏觀大局都具有前瞻性。對信息中心網(wǎng)絡安全人員進行信息化和網(wǎng)絡方面的專業(yè)技術培訓,包括統(tǒng)一標準、數(shù)據(jù)庫維護、網(wǎng)絡技術,對計算機網(wǎng)絡管理員和操作員進行專業(yè)培訓,加強專業(yè)素養(yǎng),提高個人能力,應對新技術的發(fā)展變化。
作者:施驊 單位:江蘇鑫源煙草薄片有限公司
【摘要】云計算借助于虛擬化技術,通過網(wǎng)絡平臺提供軟件、平臺等服務,在下一代網(wǎng)絡技術中,云計算技術將成為核心技術,它提供可靠、安全的信息存儲,具有強大的數(shù)據(jù)處理與快捷的互聯(lián)網(wǎng)服務能力。本文則重要探討云計算下的企業(yè)網(wǎng)路安全管理系統(tǒng)的構建,自在提高企業(yè)管理水平,促進企業(yè)快速發(fā)展。
【關鍵詞】云計算;企業(yè)網(wǎng)絡;安全管理;構建
近幾年來,伴隨著科學技術及其網(wǎng)絡信息技術的快速發(fā)展,云計算在各個領域中均得到實施。信息網(wǎng)絡技術已為人們的生產(chǎn)及生活帶來較大便利,同時也帶來了信息安全問題。企業(yè)網(wǎng)絡安全問題日益凸顯,云計算作為一種新型的核心技術,在各行各業(yè)中均得到廣泛應用。
1云計算概述
云計算是2007年出現(xiàn)的新名詞,只帶現(xiàn)在還沒有一個確切的定義。總的來說,云計算指的是把分布式計算,虛擬化等技術結合起來的一種計算方式,基于互聯(lián)網(wǎng)為媒介,向用戶提供各種技術說明、數(shù)據(jù)說明及應用,以方便用戶使用起來更方便快捷。對于云計算而言,它是分布式處理、網(wǎng)絡計算的發(fā)展,對分布式計算機中的數(shù)據(jù)、資源進行整合,實現(xiàn)協(xié)同工作。用戶連上網(wǎng)絡,運用云計算技術使標準化的訊息和數(shù)據(jù)更加的有效、精確、快速及多量化。云計算主要由計算與編程技術、數(shù)據(jù)存儲技術、虛擬機技術、數(shù)據(jù)處理技術等技術構成。云計算技術不同于其他技術,它具有自身獨特的特征,其中包括:超大規(guī)模、高真實性、高安全性、擴張性、按需求提供等。云計算技術具有獨特的特征,即使用成本低,適應范圍廣泛、高效的運行速度,被各大企業(yè)廣泛運用。云計算通過電腦進行數(shù)據(jù),至電腦的算術功能更加強大,使那些繁瑣的、量大的計算得到了提高。并且,啟用云計算模式,使數(shù)據(jù)的儲存更加的統(tǒng)一化,有利于數(shù)據(jù)在監(jiān)管測試中更加的安全。在云計算模式的數(shù)據(jù)中心中,其對數(shù)據(jù)的統(tǒng)一化、資源配置的有效化、系統(tǒng)的優(yōu)化、安全的監(jiān)測環(huán)境和鋪排軟件,有效的提高了數(shù)據(jù)的完整性。并且,在云計算平臺加入硬件、軟件及技術資源,從而促進集中管理的實行,同時,增加動態(tài)的虛構化層次,促進了資源、硬軟件的全面發(fā)展。云計算技術具有可持續(xù)性、虛擬化的特點,可持續(xù)性的特點,使系統(tǒng)的總體消耗費用在一定的程度上降低。云計算的種類可分為公共云、社區(qū)云、混合云及私有云。其中公共云主要用于公共服務的云平臺,進而為公眾提證供云存儲及云計算的服務;社區(qū)云則是在某一區(qū)域內使用的云服務,進而為多家關聯(lián)機構所提供的云服務;混合云是兩種或兩種以上的云所組成的;私有云是指企業(yè)內部所使用的云服務,適宜專網(wǎng)向結構采用。
2云計算在企業(yè)網(wǎng)絡安全管理系統(tǒng)中的應用
隨著科技的飛速發(fā)展和網(wǎng)絡的普及,企業(yè)管理所形成的運用系統(tǒng)平臺都向著規(guī)模化、多效用化、高效能、高機能的方向發(fā)展。以保障企業(yè)網(wǎng)絡管理系統(tǒng)安全的正常運行、對其進行定時調度和維護,完善企業(yè)內部網(wǎng)絡的建設發(fā)展,云計算技術在企業(yè)網(wǎng)絡安全管理中的應用必不可少。基于云計算技術的應用將整合數(shù)據(jù)信息資源,可以確保企業(yè)安全管理系統(tǒng)數(shù)據(jù)的安全。
2.1云計算系統(tǒng)實現(xiàn)
作為多層服務的集合體系,電力云主要由物理存儲層、基礎管理層、高級訪問層、應用接口層四個主要層次構成。云計算系統(tǒng)是在企業(yè)網(wǎng)絡安全管理中,網(wǎng)絡存儲與設備是以物理存儲層為基礎的,其所分布的地理位置不同導致其云物理設備也不同,這些差異的地理位置及云物理設備之間的連接主要是通過內部網(wǎng)來實現(xiàn)的。基礎管理層是采用集群式和分布式系統(tǒng),促使云中的儲存設備進行協(xié)同工作,在基礎管理層中,還包括機密、數(shù)據(jù)備份內容。高級訪問層主要包括管理系統(tǒng)的基礎與高級應用,通過軟件平臺來實現(xiàn)安全管理軟件快速有效的運行。云計算系統(tǒng)是在企業(yè)網(wǎng)絡安全管理中,應用接口層是其最最活躍的部分,其系統(tǒng)中的運行管理機構信息及數(shù)據(jù)獲取必需通過應用接口層完成。
2.2云計算的信息整合
云計算的信息整合很多都是通過云計算技術來實現(xiàn)的,如企業(yè)網(wǎng)絡安全管理系統(tǒng)中的信息同享,利用公有信息模型,標準組件接口,讓多個企業(yè)網(wǎng)絡數(shù)據(jù)庫中的數(shù)據(jù)進行交流、同享。同時,可利用自動分析與拆分技術,對系統(tǒng)中繁瑣的資源進行統(tǒng)一,使其任務變成較小任務。經(jīng)過企業(yè)網(wǎng)絡安全管理系統(tǒng)中某個信息點將請求發(fā)云體系實現(xiàn)資源的統(tǒng)一,在請求接到后,將數(shù)據(jù)請求要求發(fā)送給企業(yè)網(wǎng)絡安全管理中的公用信息平臺,依照請求,對系統(tǒng)中的資源進行儲蓄整理、推算。
2.3資源管理與調度
為了完成云計算技術在工作中的的有效使用,應該鞏固對資源的處理、調度。其詳細運行表現(xiàn)為:起初,為了保證企業(yè)網(wǎng)絡安全管理系統(tǒng)的安定、穩(wěn)固進行,應該對每一臺使用云計算技術的計算機設施進行整合,對使用者權利、使用者因特網(wǎng)地址、用戶終端級別進行整合。另外,描繪計算機資源近狀,對Cache、MFLOPS等數(shù)據(jù)結構進行概述。最后,實現(xiàn)云內部任意終端的探問,運用云調度技能,有效處理云資源,完成對系統(tǒng)資源的靈驗、科學整理,便于資源的詢問、使用。企業(yè)網(wǎng)絡安全管理系統(tǒng)與云計算的應用具有計算速度快、安全可靠性高、應用范圍廣的特點。為了使企業(yè)網(wǎng)絡安全管理系統(tǒng)有效快速的運行,云計算技術還對技術標準合理的進行規(guī)范,利用數(shù)據(jù)模型,完成數(shù)據(jù)的平穩(wěn)執(zhí)行。
2.4云計算的關鍵技術
數(shù)據(jù)安全技術。在企業(yè)網(wǎng)絡管理系統(tǒng)中采用云計算技術,數(shù)據(jù)的散落式儲存保證了數(shù)據(jù)的安全問題、系統(tǒng)內的安全問題。在系統(tǒng)進行運行的過程中中,保障數(shù)據(jù)完好,應該對數(shù)據(jù)處理、用戶約束、資源證實、權利管理等各技術的認真分析,保障應用數(shù)據(jù)的穩(wěn)定性、整體性。因此,在系統(tǒng)運行過程中,云計算技術還要加強對數(shù)據(jù)的隱秘功能,從而保證數(shù)據(jù)的穩(wěn)定性、整體性,可以通過數(shù)據(jù)加密技術進行維護。就像采用華為技術公司利用IaaS層資源管理軟件,有用地解決了數(shù)據(jù)存在的安全問題。與此之外,數(shù)據(jù)的安全技術強化系統(tǒng)中的用戶數(shù)據(jù)安全,保障用戶數(shù)據(jù)的安全共享,保障了數(shù)據(jù)的交迭。動態(tài)任務調度技術。其于企業(yè)網(wǎng)絡管理系統(tǒng),其計算方式有暫態(tài)、靜態(tài)等多樣性,因為計算時間具有不穩(wěn)定性因素,且計算之間是具有相互依靠關系,從而便增加了計算任務的調度的難度。因此,為了保證企業(yè)網(wǎng)絡管理系統(tǒng)的高速運行,在系統(tǒng)的云計算中心,使用任務預分配與動態(tài)分配相配合,分布式文件與本地文件相配合的形式,從而提高資源的有效利用,促使數(shù)據(jù)運送、調整管理的時間損失降低了一定的程度。一體化數(shù)據(jù)管理技術。在系統(tǒng)的多種整理中,通過采用一體化數(shù)據(jù)管理技術與模型的方法來實現(xiàn)數(shù)據(jù)模型的統(tǒng)一化,以此減少不同模型轉化的過程中所形成的數(shù)據(jù)丟失與失誤,利用合并的計算數(shù)據(jù)準則。在當前的的數(shù)據(jù)模型中,大部分采取EICCIM國際標準,同時使用國網(wǎng)E格式標準數(shù)據(jù)替換,而關于計算輸入數(shù)據(jù)而言,可使用BPA和PSASP兼并的方法。
3企業(yè)網(wǎng)絡安全管理系統(tǒng)中云計算技術的應用
云計算在企業(yè)網(wǎng)絡安全管理系統(tǒng)中的應用可分為三大層次,即:基礎設施層、平臺服務層及軟件服務層。其中基礎設施層是面向應用對象,平臺服務層面向服務、軟件服務層面向用戶。在每一個層次中都能夠根據(jù)功能需求加以細化。并且根據(jù)邏輯的順序,在基礎設施層上能夠分為數(shù)據(jù)采集及其轉化,并且根據(jù)硬件的不同,將其分為用戶設備終端、存儲設備及其服務器等。此外,在云計算的信息管理中,大多是通過虛擬化的技術來實現(xiàn)資源的形象化轉變,并將數(shù)據(jù)傳遞到服務平臺。同時根據(jù)設計及開發(fā)的相關流程,平臺服務層可分為開發(fā)、測試及其運行。每一層都應根據(jù)相關設計來進行開發(fā)。如:在建立某企業(yè)的網(wǎng)絡安全管理系統(tǒng)時,首先,應對該企業(yè)的業(yè)務類型進行全面調查分析,并給予分類,查看適合采用哪一種云計算分類。若企業(yè)的網(wǎng)絡安全管理系統(tǒng)適宜采用私有云計算類型,則可采用私有云的管理系統(tǒng)。然后,企業(yè)應根據(jù)實際應用需求,需要配備足夠的服務器設備等。再次,對企業(yè)內部IT資源、數(shù)據(jù)中心等加以整合,并選擇較為合適的虛擬化方法,對存儲設備及服務器給予虛擬化整合,將已虛擬化的集成管理器給予管理,并將其上傳到云計算的平臺之中。最后,在軟件的服務層,應根據(jù)實際的應用對象及其需求進而用戶終端提供不同的軟件,并設置相應的操作系統(tǒng)。當企業(yè)采用云計算的技術后,應配置基礎設施或功能軟件等,最終向服務提供者提供費用,可有效降低計算成本。對于云計算的信息管理系統(tǒng),其中影響較大的缺陷即所擁有的隱私保護力不夠,且公享資源的較大則是服務提供者所擁有的任意數(shù)據(jù),如何在確保資源共享的優(yōu)點下,達到保護用戶隱私的目的,是當前亟需解決的問題。
4結語
總而言之,云計算技術是當前流行的新技術,已在各行各業(yè)中得到廣泛應用,并且取得了較好的成效。對于企業(yè)網(wǎng)絡安全管理而言也不例外,同樣可采用云計算技術,能夠提高管理效率及質量。本文則將云計算技術應用于企業(yè)安全網(wǎng)絡管理中,旨在提高信息安全管理水平,促進企業(yè)的可持續(xù)發(fā)展。
作者:程偉 單位:宜賓學院網(wǎng)絡與多媒體管理中心
0引言
隨著企業(yè)網(wǎng)絡信息技術的快速發(fā)展和廣泛應用,社會信息化進程不斷加快,生產(chǎn)制造、物流網(wǎng)絡、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大,因此,保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要。如何保證企業(yè)網(wǎng)絡信息化安全、穩(wěn)定運行就需要網(wǎng)絡規(guī)劃設計師在設計初始周全的考慮到網(wǎng)絡安全所需達到的條件(包括硬件、OSI/RM各層、各種系統(tǒng)操作和應用)。
1網(wǎng)絡安全、信息安全標準
網(wǎng)絡安全性標準是指為了規(guī)范網(wǎng)絡行為,凈化網(wǎng)絡環(huán)境而制定的強制性或指導性的規(guī)定。目前,網(wǎng)絡安全標準主要有針對系統(tǒng)安全等級、系統(tǒng)安全等級評定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標準。世界各國紛紛頒布了計算機網(wǎng)絡的安全管理條例,我國也頒布了《計算機網(wǎng)絡國際互聯(lián)網(wǎng)安全管理方法》等多個國家標準,用來制止網(wǎng)絡污染,規(guī)范網(wǎng)絡行為,同時各種網(wǎng)絡技術在不斷的改進和完善。1999年9月13日,中國頒布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859:1999),定義了計算機信息系統(tǒng)安全保護能力的5個等級,分別如下:(1)第一級:用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。(2)第二級:系統(tǒng)審計保護級。除繼承前一個級別的安全功能外,還要求創(chuàng)建和維護訪問的審計蹤記錄,使所有的用戶對自己行為的合法性負責。(3)第三級:安全標記保護級。除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問權限,實現(xiàn)對訪問對象的強制訪問。(4)第四級:結構化保護級。除繼承前一個級別的安全功能外,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統(tǒng)的抗?jié)B透能力。(5)第五級:訪問驗證保護級。除繼承前一個級別的安全功能外,還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。
2企業(yè)網(wǎng)絡主要安全隱患
企業(yè)網(wǎng)絡主要分為內網(wǎng)和外網(wǎng),網(wǎng)絡安全體系防范的不僅是病毒感染,還有基于網(wǎng)絡的非法入侵、攻擊和訪問,但這些非法入侵、攻擊、訪問的途徑非常多,涉及到整個網(wǎng)絡通信過程的每個細節(jié)。從以往的網(wǎng)絡入侵、攻擊等可以總結出,內部網(wǎng)絡的安全威脅要多于外部網(wǎng)絡,因為內網(wǎng)受到的入侵和攻擊更加容易,所以做為網(wǎng)絡安全體系設計人員要全面地考慮,注重內部網(wǎng)絡中存在的安全隱患。
3企業(yè)網(wǎng)絡安全防護策略
設計一個更加安全的網(wǎng)絡安全系統(tǒng)包括網(wǎng)絡通信過程中對OSI/RM的全部層次的安全保護和系統(tǒng)的安全保護。七層網(wǎng)絡各個層次的安全防護是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊,而非計算機通信過程中的安全保護是為了預防網(wǎng)絡的物理癱瘓和網(wǎng)絡數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護措施及系統(tǒng)層的安全防護如圖1所示。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現(xiàn)在兩個方面:一方面是采用屏蔽性能好的傳輸介質,另一方面是把傳輸介質、網(wǎng)絡設備、機房等整個通信線路安裝在屏蔽的環(huán)境中。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對)芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外,還有這些屏蔽層就是用來進行電磁屏蔽的,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。(2)屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍,其中包括六面板體和一面屏蔽門。根據(jù)機房屏蔽性能的不同,可以將屏蔽機房分為A、B、C三個級別,最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成,這些機柜的結構與普通的機柜是一樣的,都是標準尺寸的。(3)WLAN的物理層安全保護對于無線網(wǎng)絡,因為采用的傳輸介質是大氣,大氣是非固定有形線路,安全風險比有線網(wǎng)絡更高,所以在無線網(wǎng)絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來,成本太高,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動態(tài)密鑰、IEEE802.1X身份驗證等。現(xiàn)在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊,如網(wǎng)絡阻塞、干擾,顯得很脆弱,以后將提高發(fā)射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴頻技術。
4.2數(shù)據(jù)鏈路層安全
在數(shù)據(jù)鏈路層可以采用的安全保護方案主要包括:數(shù)據(jù)鏈路加密、MAC地址綁定(防止MAC地址欺騙)、VLAN網(wǎng)段劃分、網(wǎng)絡嗅探預防、交換機保護。VLAN隔離技術是現(xiàn)代企業(yè)網(wǎng)絡建設中用的最多的技術,該技術可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。
4.3網(wǎng)絡層安全
在網(wǎng)絡層首先是身份的認證,最簡單的身份認證方式是密碼認證,它是基于windows服務器系統(tǒng)的身份認證可針對網(wǎng)絡資源的訪問啟用“單點登錄”,采用單點登錄后,用戶可以使用一個密碼或智能卡一次登錄到windows域,然后向域中的任何計算機驗證身份。網(wǎng)絡上各種服務器提供的認證服務,使得口令不再是以明文方式在網(wǎng)絡上傳輸,連接之間的通信是加密的。加密認證分為PKI公鑰機制(非對稱加密機制),Kerberos基于私鑰機制(對稱加密機制)。IPSec是針對IP網(wǎng)絡所提出的安全性協(xié)議,用途就是保護IP網(wǎng)絡通信安全。它支持網(wǎng)絡數(shù)據(jù)完整性檢查、數(shù)據(jù)機密保護、數(shù)據(jù)源身份認證和重發(fā)保護,可為絕大部分TCP/IP族協(xié)議提供安全服務。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)。
4.4傳輸層安全
傳輸層的主要作用是保證數(shù)據(jù)安全、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議,它不僅可以為網(wǎng)絡通信中的數(shù)據(jù)提供強健的安全加密保護,還可以結合證書服務,提供強大的身份誰、數(shù)據(jù)簽名和隱私保護。TLS/SSL協(xié)議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。
4.5防火墻
因防火墻技術在OSI/RM各層均有體現(xiàn),在這里簡單分析一下防火墻,防火墻分為網(wǎng)絡層防火墻和應用層防火墻,網(wǎng)絡層防火墻可視為一種IP封包過濾器,運作在底層的TCP/IP協(xié)議堆棧上。應用層防火墻是在TCP/IP堆棧的“應用層”上運作,應用層防火墻可以攔截進出某應用程序的所有封包。目前70%的攻擊是發(fā)生在應用層,而不是網(wǎng)絡層。對于這類攻擊,傳統(tǒng)網(wǎng)絡防火墻的防護效果,并不太理想。
5結語
以上對于實現(xiàn)企業(yè)網(wǎng)絡建設安全技術及信息安全的簡單論述,是基于網(wǎng)絡OSI/RM各層相應的安全防護分析,重點分析了物理層所必須做好的各項工作,其余各層簡單分析了應加強的主要技術。因網(wǎng)絡技術日新月益,很多新的網(wǎng)絡技術在本文中未有體現(xiàn),實則由于本人時間、水平有限,請各位讀者給予見解。文章中部分內容借簽于參考文獻,在此非常感謝各位作者的好書籍。
作者:單位:西山煤電(集團)有限公司物資供應分公司
0引言
隨著數(shù)據(jù)庫、軟件工程和多媒體通信技術的快速發(fā)展,礦山企業(yè)實施了安全生產(chǎn)集控系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)、調度管控系統(tǒng)、移動辦公系統(tǒng)及智能決策支持等系統(tǒng),實現(xiàn)了礦山企業(yè)安全生產(chǎn)、辦公和管理信息化、智能化。網(wǎng)絡能夠實現(xiàn)各類信息化系統(tǒng)的數(shù)據(jù)共享、協(xié)同辦公等,也是信息化系統(tǒng)正常運行的關鍵,因此網(wǎng)絡安全防御具有重要的作用。本文詳細地分析了礦山企業(yè)網(wǎng)絡安全面臨的問題和現(xiàn)狀,提出采用先進的防御措施,構建安全管理系統(tǒng),以便提高網(wǎng)絡安全性能,進一步改善礦山企業(yè)信息化運營環(huán)境的安全性。
1礦山企業(yè)網(wǎng)絡安全現(xiàn)狀分析
隨著互聯(lián)網(wǎng)技術的快速發(fā)展,互聯(lián)網(wǎng)將分布于礦山企業(yè)生產(chǎn)、管理等部門的設備連接在一起,形成了一個強大的礦山企業(yè)服務系統(tǒng),為礦山企業(yè)提供了強大的信息共享、數(shù)據(jù)傳輸能力。但是,由于許多礦山企業(yè)工作人員在操作管理系統(tǒng)、使用計算機時不規(guī)范,如果一臺終端或服務器感染了計算機病毒、木馬,將會在很短的時間內擴散到其他終端和服務器中,感染礦山企業(yè)信息化系統(tǒng),導致礦山企業(yè)服務系統(tǒng)無法正常使用。經(jīng)過分析與研究,目前網(wǎng)絡安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現(xiàn)狀。
1.1網(wǎng)絡攻擊渠道多樣化
目前網(wǎng)絡黑客技術正快速普及,網(wǎng)絡攻擊和威脅不僅僅來源于黑客、病毒和木馬,傳播渠道不僅僅局限于計算機,隨著移動互聯(lián)網(wǎng)、光纖網(wǎng)絡的興起和應用,網(wǎng)絡安全威脅通過智能終端進行傳播,傳播渠道更加多樣化。
1.2網(wǎng)絡安全威脅智能化
隨著移動計算、云計算和分布式計算技術的快速發(fā)展,網(wǎng)絡黑客制作的木馬和病毒隱藏周期更長,破壞的范圍更加廣泛,安全威脅日趨智能化,給礦山企業(yè)信息化系統(tǒng)帶來的安全威脅更加嚴重,非常容易導致網(wǎng)絡安全數(shù)據(jù)資料丟失。
1.3網(wǎng)絡安全威脅嚴重化
網(wǎng)絡安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度,網(wǎng)絡安全受到的威脅日益嚴重,礦山企業(yè)網(wǎng)絡設備、數(shù)據(jù)資源一旦受到安全攻擊,將會在短時間內迅速感染等網(wǎng)絡中接入的軟硬件資源,破壞網(wǎng)絡安全威脅。
2礦山企業(yè)網(wǎng)絡安全防御措施研究
礦山企業(yè)網(wǎng)絡運行過程中,安全管理系統(tǒng)可以采用主動、縱深防御模式,安全管理系統(tǒng)主要包括預警、響應、保護、防御、監(jiān)測、恢復和反擊等六種關鍵技術,從根本上轉變礦山企業(yè)信息系統(tǒng)使用人員的安全意識,改善系統(tǒng)操作規(guī)范性,進一步增強網(wǎng)絡安全防御性能。
2.1網(wǎng)絡安全預警
網(wǎng)絡安全預警措施主要包括漏洞預警、行為預警和攻擊趨勢預警,能夠及時發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)流中存在的威脅。漏洞預警可以積極發(fā)現(xiàn)網(wǎng)絡操作系統(tǒng)中存在的漏洞,以便積極升級系統(tǒng),修復系統(tǒng)漏洞。行為預警、攻擊預警可以分析網(wǎng)絡數(shù)據(jù)流,發(fā)現(xiàn)數(shù)據(jù)中隱藏的攻擊行為或趨勢,以便能夠有效預警。網(wǎng)絡安全預警是網(wǎng)絡預警的第一步,其作用非常明顯,可以為網(wǎng)絡安全保護提供依據(jù)。
2.2網(wǎng)絡安全保護
網(wǎng)絡安全保護可以采用簡單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網(wǎng)等技術防御攻擊威脅,以便保證網(wǎng)絡數(shù)據(jù)的機密性、完整性、可控性、不可否認性和可用性。網(wǎng)絡安全保護與傳統(tǒng)的網(wǎng)絡安全防御技術相近,因此在構建主動防御模型時,融入了傳統(tǒng)的防御技術。
2.3網(wǎng)絡安全監(jiān)測
網(wǎng)絡安全監(jiān)測可以采用掃描技術、實時監(jiān)控技術、入侵檢測技術等發(fā)現(xiàn)網(wǎng)絡中是否存在嚴重的漏洞或攻擊數(shù)據(jù)流,能夠進一步完善主動防御模型內容,以便從根本上保證網(wǎng)絡安全防御的完整性。
2.4網(wǎng)絡安全響應
網(wǎng)絡安全響應能夠對網(wǎng)絡中存在的病毒、木馬等安全威脅做出及時的反應,以便進一步阻止網(wǎng)絡攻擊,將網(wǎng)絡安全威脅阻斷或者引誘到其他的備用主機上。
2.5網(wǎng)絡恢復
礦山企業(yè)信息系統(tǒng)遭受到攻擊之后,為了盡可能降低網(wǎng)絡安全攻擊損失,提高用戶的承受能力,可以采用網(wǎng)絡安全恢復技術,將系統(tǒng)恢復到遭受攻擊前的階段。主動恢復技術主要采用離線備份、在線備份、階段備份或增量備份等技術。
2.6網(wǎng)絡安全反擊
網(wǎng)絡反擊技術是主動防御最為關鍵的技術,也是與傳統(tǒng)的網(wǎng)絡防御技術最大的區(qū)別。網(wǎng)絡反擊技術可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測類攻擊和阻塞類攻擊等技術,網(wǎng)絡反擊技術可以針對攻擊威脅的源主機進行攻擊,不但能夠阻斷網(wǎng)絡攻擊,還可以反擊攻擊源,以便破壞攻擊源主機的運行性能。
3礦山企業(yè)網(wǎng)絡安全管理系統(tǒng)設計
為了能夠更好地導出系統(tǒng)的邏輯業(yè)務功能,對網(wǎng)絡安全管理的管理員、用戶和防御人員進行調研和分析,使用原型化方法和結構化需求分析技術導出了系統(tǒng)的邏輯業(yè)務功能,分別是系統(tǒng)配置管理功能、用戶管理功能、安全策略管理功能、網(wǎng)絡狀態(tài)監(jiān)控管理功能、網(wǎng)絡運行日志管理功能、網(wǎng)絡運行報表管理功能等六個部分。
3.1網(wǎng)絡安全管理系統(tǒng)配置管理功能分析
通過對網(wǎng)絡安全管理系統(tǒng)操作人員進行調研和分析,導出了系統(tǒng)配置管理功能的業(yè)務功能,系統(tǒng)配置管理功能主要包括七個關鍵功能,分別是系統(tǒng)用戶信息配置管理功能、網(wǎng)絡模式配置、網(wǎng)絡管理參數(shù)配置、網(wǎng)絡管理對象配置、輔助工具配置、備份與恢復配置和系統(tǒng)注冊與升級等。
3.2用戶管理功能分析
礦山企業(yè)網(wǎng)絡運行中,其主要設備包括多種,操作的用戶也有很多種類別,比如網(wǎng)絡設備管理人員、應用系統(tǒng)管理人員、網(wǎng)絡維護部門、服務器等,因此用戶管理功能主要包括人員、組織、機器等分析,主要功能包括三個方面,分別是組織管理、自動分組和認證配置。組織管理功能可以對網(wǎng)絡中的設備進行組織和管理,按照賬號管理、機器管理等進行操作;自動分組可以根據(jù)用戶搜索的設備的具體情況改善機器的搜索范圍,添加到機器列表中,并且可以對及其進行重新的分組管理;認證配置可以根據(jù)終端機器的登錄模式進行認證管理。
3.3安全策略管理功能分析
網(wǎng)絡安全防御過程中,網(wǎng)絡安全需要配置相關的策略,以便能夠更好的維護網(wǎng)絡運行安全,同時可以為用戶提供強大的保護和防御性能,網(wǎng)絡安全策略配置是非常重要的一個工作內容。網(wǎng)絡安全防御規(guī)則包括多種,比如入侵監(jiān)測規(guī)則、網(wǎng)絡響應規(guī)則、網(wǎng)絡阻斷規(guī)則等,配置過程復雜,工作量大,通過歸納,需要根據(jù)網(wǎng)絡安全防御的關鍵內容設置網(wǎng)絡訪問的黑白名單、應用封堵、流量封堵、行為審計、內容審計、策略分配等功能。
3.4網(wǎng)絡狀態(tài)監(jiān)控管理功能分析
網(wǎng)絡運行過程中,由于涉及的服務器、終端設備較多,網(wǎng)絡運行容易產(chǎn)生錯誤,需要對網(wǎng)絡狀態(tài)進行實時監(jiān)管,以便能夠及時的發(fā)現(xiàn)網(wǎng)絡中存在的攻擊威脅、故障燈。網(wǎng)絡運行管理過程中,需要時刻的監(jiān)控網(wǎng)絡的運行管理狀態(tài),具體的網(wǎng)絡運行管理的狀態(tài)主要包括三個方面,分別是系統(tǒng)運行狀態(tài)、網(wǎng)絡活動狀態(tài)、流量監(jiān)控狀態(tài)。
3.5網(wǎng)絡運行日志管理功能分析
礦山企業(yè)網(wǎng)絡運行過程中,根據(jù)計算機的特性需要保留網(wǎng)絡操作日志,如果發(fā)生網(wǎng)絡安全事故,可以對網(wǎng)絡操作日志進行分析,便于發(fā)現(xiàn)某些操作是不符合規(guī)則的。因此,網(wǎng)絡運行管理過程中,網(wǎng)絡運行日志管理可以分析網(wǎng)絡運行操作的主要信息,日志管理主要包括以下幾個方面,分別是內容日志管理、報警日志管理、封堵日志管理、系統(tǒng)操作日志管理。
3.6網(wǎng)絡運行報表管理功能分析
網(wǎng)絡運行過程中,為了能夠實現(xiàn)網(wǎng)絡安全管理的統(tǒng)計分析,可以采用網(wǎng)絡安全報表管理模式,以便能夠統(tǒng)計分析接入到網(wǎng)絡中的各種軟硬件設備和系統(tǒng)的運行情況,網(wǎng)絡運行報表管理主要包括兩個方面的功能,分別是統(tǒng)計報表和報表訂閱。
4結束語
隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算和移動互聯(lián)網(wǎng)技術的快速應用和普及,礦山企業(yè)逐漸進入智慧化時代,網(wǎng)絡安全威脅更加智能化、快速化和多樣化,感染速度更快,影響范圍更廣,給礦山企業(yè)信息系統(tǒng)帶來的損失更加嚴重,本文提出構建一種多層次的主動網(wǎng)絡安全防御系統(tǒng),能夠提高礦山企業(yè)信息系統(tǒng)網(wǎng)絡運行的安全性,具有重要的作用和意義。
作者:張軍 單位:陜西南梁礦業(yè)有限公司
