时间:2023-09-14 17:44:36
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
前言
由于计算机与通信技术的快速发展,人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大,对社会的影响也日益增大,网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现,网络安全也变得日益重要。为了保证企业网络自身的安全性,必须采取有效的手段面对网络中的各种威胁[1]。
1 企业网络的威胁及其风险管理
企业网络的信息是自由传输的,尽管有各种各样的方式威胁着企业网络的安全,但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁,并根据这些威胁所导致的企业风险进行有效管理。首先,企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护,针对设备可以提供什么样的访问和怎么协调这样的工作。其次,评估需要进行网络安全保护的资源和财产。最后,分析所有对企业网络安全的可能威胁,并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失,它可以是偶然的,也可以是刻意的。威胁有很多方式,一般可以简单归纳为以下三种基本的类型:
1 未经授权的访问。指未经过授权的人员却可以访问网络资产,而且也存在对网络资产进行篡改的可能。
2 假冒。指由于伪造的凭证假冒其他人进行活动。
3 拒绝服务。指服务中断。
2 企业信息化的网络安全策略体系[2]
网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针,而且在内部网络的安全策略以及身份证明,从而为网络安全提供支持和认证。
2.1 安全策略的文档结构
a) 最高方针。是安全策略的主文档,属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。
b) 技术的规范与标准。其内容包含:各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。
c) 管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作,还能有效的推广及实行,是由最高方针引申而来,对用户协议具有规范作用。而用户协议对其不能违背。
d) 组织机构以及人员的职责。负责安全管理的组织机构以及人员职责,包含负责安全管理的机构的组织形式以及运作方式,还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性,需得到有效推广及实行。
e) 用户的协议。与用户所签署的文档及协议,包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定,并在违反安全规定时的处罚依据[3]。
2.2 建立策略体系
目前,大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系,制定出安全策略的系列文档。
建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系,其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前,由于企业中机构间的网络现状与业务情况的差别较大,所以在基本的策略体系和框架下,可以让各个机构以自身情况为基础,对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。
2.3 策略的与执行
企业网络安全的策略系列文档在制定完成后,必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外,而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前,还需要对每个员工进行相关的培训,以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作,需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工,工作的方式与流程可能还需要改变,所以其推行难度相当大;同时,安全策略的本身还可能存在这样那样的缺陷,例如太过复杂及繁琐、不切实际以及规定有所缺欠等,都会影响到整体策略的落实[4]。
3 企业信息化网络安全技术的总体方案
3.1 引入防火墙系统[5]
通过引入防火墙系统,可以利用防火墙功能中的“访问控制+边界隔离”,从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的,可以重点进行监控,以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动,当入侵检测的系统对数据包进行检测,发现异常并告知防火墙时,防火墙可以生成相应的安全策略,并将访问源拒绝于防火墙之外。
3.2 引入网络防病毒的子系统
防病毒的子系统是用来对网络病毒进行实时查杀的,从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力,提高企业网络层面安全性。
3.3 引入漏洞扫描的子系统
漏洞扫描的子系统可以定期分析安全隐患,并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统,还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统,如何确保众多信息的安全以及各类系统的稳定应用,便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描,并在定期扫描后提交漏洞和弱点分析报告,可使企业网的整体系统的安全性得以提高。
3.4 引入数据加密的子系统
对企业网重要的数据进行加密,以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据,可以使企业网络的整体安全性得以提高。
4 结语
通过以上对企业网络的安全和隐患进行的着重分析,提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛,所以对于企业网络安全的建设,需要遵循一个稳定的体系框架,同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数,进一步保证企业信息化在网络时代能够更安全、更健康的发展。
参考文献
[1] 顾晟. 企业信息化网络的安全隐患及解决策略[J].计算机时代,2010,3:19~22.
[2]丁国华,丁国强. 企业网络安全体系研究[J].福建电脑,2007,2:66~67.
[3]陆耀宾. 企业网络安全体系结构[J].电子工程师,2004,4:55~56.
1.1校企共建实训教材
职业院校的培养目标是技能型应用人才。通过和企业合作可以加强学生的就业能力,首先对企业进行调查研究,针对企业网络对人才的应用需求,依照企业岗位所要求的职业技能,与企业共建实训教材。要参照国家相关的职业资格标准,改革课程项目实训的教学内容,实现企业和学院共同编写实训教材的方案[3]107-108。我们编写的校本实训教材适合学生的水平和需求,不但提高了学生学习兴趣,而且让他们从实践中提高了网络技术实际应用能力。
1.2搭建实训虚拟平台
网络技术专业课程原理较多并且设置复杂,如果单纯地使用裸机和真实设备来配置,不仅不能满足需求,而且设备昂贵,易于损坏。项目实训实验结合企业网络工程项目,按照企业网络实施流程来完成案例[4]25-27。实训中采用Windows Server、Linux和GNS3软件和ASA防火墙等模拟路由器和防火墙,让虚拟机和真实机桥接。该仿真平台使教师教学方式灵活,学生不但易于理解和实现,而且调动了学生的学习积极性。使用虚拟机软件VMware练习操作系统的安装、设置和维护,避免因学生的误操作对系统造成损坏使实训终止。它能帮助学生顺利地在计算机上安装操作系统,完成修改和设置而不影响真机的正常运作。使用模拟软件进行路由器和交换机的配置,实现真实的网络环境,让学生能够在模拟软件中体会到路由器、交换机在企业网络环境中的具体应用和配置,为以后的网络安全管理工作奠定基础。
1.3企业案例实训
案例实训是在实践中学习,将所学知识应用在实验中。通过对案例的学习,学生可以掌握Windows Server、Linux操作系统的安装、设置、维护和管理,学会桥架、管线、机柜和六大子系统的综合布线,熟悉交换机、路由器、防火墙和无线AP等的配置管理。企业案例的选取来源于企业,学生根据实训的目标,采取小组讨论选取组长、资料查阅记录、流程实施和报告撰写等形式完成实训任务。教师在施工现场有选择地指导,由小组长答辩,教师根据实训中出现的问题进行解答,最后评定实训成绩。企业案例实训培养了学生的职业技能。在项目实训中,从网络环境构建、操作系统设置、网络设备安装、网络设备安全配置到安全测试验证,一整套的项目实训下来,学生获取工作中有用的知识,教学中做到知识训练与实际工程项目职业能力衔接,为职业院校提供新的实践教学模式。网络设备的安全技术内容也是一个重要的实践内容,让实践教学充分体现职业教育的特点。
1.4企业顶岗实训
1学生顶岗实训
首先完成章节项目的实训,章节项目的实训是小案例实训,结合每一章节的具体内容来实施。其首先使用模拟软件来模拟,然后用虚拟机安装相应的软件来实施网络操作系统设置、交换机、路由器和防火墙安全案例。对于Windows Server的高级设置和维护、Linux的安全管理、ACL配置、NAT和防火墙等技术,讲解时要精讲,项目案例实训时要精练。其次完成综合项目的实训。综合实训是在本课程全部完成后进行,根据企业网络实际需求搭建安全和便于管理的网络。模拟企业网络环境,组建企业网络,进行网络操作系统搭建、网络环境的构建和网络安全技术的技能训练。通过项目综合实训学习,学生能够根据企业办公环境、需要的信息点数量以及网络拓扑图进行综合布线,安装和设置操作系统,配置交换机、路由器和防火墙安全设备,使用管理软件监控企业网络的运行状态,并采取安全技术保证企业网络的安全,使其正常运作。最后是顶岗实训,安排学生到企业进行实训,切实感受真实网络环境,发现网络安全隐患,掌握网络操作技术、网络设备配置技术和网络安全管理技术,提高处理网络故障的实际能力。项目实训的成绩考核方式要灵活,将企业和学校双方结合,给学生以中肯的评价,以能力为主,为学生就业打下坚实的基础。
2教师顶岗实训
深入企业第一线,了解企业网络所需要的工作岗位和技术能力,全面跟踪学习综合布线、网络应用操作、网络安全管理和网络云计算服务等方面的技术岗位;然后反馈到网络技术专业教学实践改革中,更新校企共建实训教材,将企业中的新知识、新技术和新的管理理念引入,做好与企业网络技术人员的良好沟通,丰富实训教材内容,提高教学质量。
2总结
关键词: 企业;网络安全;隐患;安全维护措施
0 前言
互联网络运用于生活和工作的各个领域,颠覆了传统的生产形式,对生产力的发展与提高起着重要作用;许多电力企业都意识到互联网对于企业生产经营的重要性,近几年信息化建设速度明显加快,并且对企业网络不断进行优化、调整;除此之外,在电力企业各下属网点还先后投入使用各种智能系统,如视频监视系统、智能操作控制系统等。上述智能系统的使用和推广,帮助电力企业提高了经营管理水平,对企业生产经营发挥了重要作用。随着我国电力企业信息化程度的不断提高,因此保证企业网络安全是企业经营活动正常开展的基础。电力企业网络安全管理方案的形成,是企业业务的客观需求,同时也是网络安全领域发展的必然结果,将经济效益和社会影响相结合进行综合考虑,可以看出重视网络安全管理及系统的维护建设是电力企业的当务之急[1]。
1 企业网络安全需求
电力企业对网络安全的需求主要包括以下几点:1)要确保拥有一个安全的网络环境首先需要保证机房可以为各种设备提供良好的运行环境,机房需要有门禁系统、防火、防雷电及防潮等相关设备。同时为机房配备空调,保持机房内温度处于恒温状态,值班人员每天要按时巡检,对于发现的问题要及时解决或报告。以某电力企业的机房改造工程为例,改造之后的机房条件虽然有较大改善,但仍存在一些问题。例如电池组超过使用期限,防潮防雷电等措施不到位,无发电设备及冗余供电线路等等;甚至有的电力企业根本没有专门的机房,网络设备胡乱堆放,并未采取任何防护措施,闲杂人员可以随意进出,网络线路也十分凌乱。希望有关部门能够意识到问题的存在,早日消除网络安全隐患。2)电力企业的各种业务的硬件操作系统安全平稳运行也是保障网络安全非常重要的一环,因此里面有大量的工作亟待完善,例如:对系统补丁进行及时升级堵住安全漏洞,关闭一些非必须端口,合理限制用户对操作系统的使用权限等等;若想达到期望的网络安全管理效果,还需进一步规范操作人员的操作行为,减少操作失误,将所有操作步骤程序化规范化,为企业网络安全提供可靠保障。3)对于电力企业的重要业务数据应根据相关要求予以及时备份,并定期对备份的内容进行检查,确认是否可读;企业的移动办公用户若需接入内网办公,传输数据时也应进行加密处理;确保业务系统安全稳定运行,即便业务出现意外中断情况也可及时恢复。如果电力企业在确保数据安全性方面尚无一个统一的解决措施,那么电力企业的网络安全将面临着极大的风险,数据资料对企业具有非常重要的价值,因此很有必要制定数据防丢失措施[2]。
2 网络安全现状分析及主要威胁
2.1 企业自身发展带来的威胁
部分电力企业由于各种各样的原因导致出现网络安全问题以后得不到及时解决,或者是企业的智能系统出现故障,这些都将影响企业在客户中心的形象和企业生产经营。其次,由于某些电力企业电脑配置较低,如有较多的业务软件同时运行将会出现电脑运行不畅的情况、甚至死机,这样不但影响电力企业的正常业务更无法防毒保证网络安全。加之部分企业的电脑超过使用年限,无法满足业务的发展需求,建议及时升级更换。尽管大多电力企业由于工作需要安装了视频监视系统,但并无相关的制度来正确使用该系统,因而对企业经营和网络安全维护作用不大。
2.2 网络黑客的破坏与病毒威胁
由于互联网的高速发展,一些攻击技术与黑客工具的传播非常快,相关的工具使用也变得更加容易,因此造成攻击事件不断发生。发生这些行为深层次原因有:1)商业竞争,电力企业间为自身利益,无视道德与法律,违法雇佣黑客对竞争对手进行攻击,达到获取竞争对手信息并制定策略进行打压的目的;2)更多的年轻人在好奇心的驱使下加入黑客队伍,以设计程序,攻破预定的目标为主要乐趣,达到炫耀过人技术水平的目的。目前,病毒与恶意代码传播、感染能力越来越强大,所以造成损失也是越来越大。随着计算机网络的深入发展及应用,网络上存储庞大的信息资源,甚至还包括了核心信息。一经遭到破坏,轻者就会影响业务,增加了维护的成本;严重的就会导致电力企业信息泄露和业务中断,使企业不能正常经营。由于遭受到冲击波和震荡波,甚至是ARP病毒进行攻击,造成电力企业的系统莫名重启和不能联网的情况;目前操作系统仍存在很大的漏洞,因此,电力企业必须防范未然,充分合理的利用企业已有桌面安全的管理系统与Norton防病毒的系统,把问题有效消灭在萌芽的状态中[3]。
3 完善企业网络安全管理措施
3.1 进行科学的网络功能管理
目前,电力企业网络系统非常庞大,在网络安全的应用中有大量相对成熟的技术能够借鉴与使用,如防火墙和防病毒等软件;但是这些系统都是独立的工作,处在相对独立的状态,因此要想保证网络安全和网络资源得到充分利用,必须为其提供经济安全、高效可靠、功能齐全、易于扩展和升级维护的一个网络管理平台进行管理。例如,某电力公司在2009年对网络管理系统进行尝试性的使用,其网络管理的功能十分强大,且还具有独到的跨平台性,它不但功能强大且使用简单,还非常适合用于其他分公司中复杂的网络环境的管理。
3.2 建立健全数据备份和恢复体系
网络安全能够得到保障的关键是确保安全的业务系统数据,因此,应该根据电力公司业务特点与网络现状,建立Linux
数据的备份系统,不仅能够确保电力企业业务系统的数据,如FTP数据和财务数据等,还能使关键用户的数据及时的自动的同步到服务器上,同时还可以在系统恢复后自动同步数据。该系统客户端能够支持Windows等,兼容性很好,应用的前景非常广。该系统应该由专人进行管理且定期刻录和转存备份数据,定期对转存数据进行可读性的测试,做好记录,有效确保数据与网络安全,在使用过程中取得良好效果,因此应该推广应用,有效避免发生数据丢失[4]。
4 结语
总而言之,电力企业的网络安全领域和安全管理是复杂、综合和交叉的综合性非常强的重要课题。我们应该在享用其便利的同时,应该把网络安全纳入安全管理工作范围内。电力企业在进行信息化建设的过程中就算面临很大的网络安全威胁,只要通过科学的技术及管理手段,在安全范畴里进行探索与尝试,并在实践中不断学习、掌握网络安全和管理的新知识,就能够构建安全可靠、高效的网络环境,从而有效促进电力企业可持续发展。
参考文献:
[1]高化田,浅谈计算机网络中信息系统的安全防范[J].信息与电脑(理论版),2011(05):32-33.
[2]杜君,网络信息管理及其安全[J].太原科技,2009(10):117-119.
全球危机 遭遇网络“泄秘门”
目前,从全球范围来看,美国白宫网络遭遇黑客入侵、黑客The Lords of Dharmaraja入侵印度军事情报部门的服务器发现赛门铁克源代码、韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同一时间被黑,2万余台电脑沦为肉鸡……这些案例令人毛骨悚然,谈“黑”色变!
从国内来看,去年年底的CSDN的数据库600余万用户信息被泄露事件至今令人心有余悸,互联网的“泄密门”成了我国近年来业界最严重的安全事件,给了互联网沉重一击。“在这些已经发生的安全事件背后,实际隐藏着一个问题,”瑞星安全专家直言,政府、大型企业的网络安全建设不成熟,安全意识差。病毒是网络安全问题中最为严重的问题之一,发生的频率高、损失大、潜伏性强、覆盖面广,给内部网络造成极大的安全隐患。
企业安全 面临孤岛战
那么,对于企业的网络安全来说,主要面临的病毒威胁来源于何处呢?安全专家介绍,主要包括内部和外部两个来源。内部威胁主要是系统内部人员恶意或无意传播病毒,从而造成病毒的传播和泛滥;外部威胁主要是恶意攻击者有针对性地或者是随意无针对性地制造病毒、传播病毒,从而达到一定的目的。而无论是内部还是外部威胁,都有可能促使企业在整个互联网链条中,瞬间崩裂,完全成为信息孤岛,而这对于一家需要随时掌握市场信息的企业来说,无疑是致命的。
凡事预则立不预则废!对于各类不同的病毒风险,用户该如何有效准确地进行预测呢?它需要根据病毒风险的不同分类,构建一个有效的数学模型,才能真实地反映出整个网络的病毒风险即将爆发的情况,为后续的风险管理提供可靠的依据。
“从近年来发生的各种安全事故可以看出,大量企业在网络安全方面存在严重知识匮乏或误区,”瑞星安全专家指出,这些问题在大型企业网络中一旦出现,就可能导致严重的安全事故。
在这种情况下,尽管在企业网络中部署了杀毒产品、防火墙产品、入侵检测等单一安防产品,也不一定能很好地达到企业管理者希望看到的结果。购买产品很简单,日常运维很复杂,这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。
预警体系 企业救生筏
中国互联网还处于发展阶段,安全从技术、立法、到用户的使用习惯,各个环节都有紧密的链接,一旦有任何环节出现漏洞,都将引来安全问题,让处于互联网整个系统的一个环节变成孤立。
利用热点新闻、用户好奇心的社交手法传播病毒,已经成为病毒流行的主要方式,如何避免中毒呢?专家建议,网关与终端的联动很重要。
应对病毒:网关与终端需联动
趋势科技执行副总裁兼大中华区总经理 张伟钦
最近,借助甲型H1N1流感、迈克尔?杰克逊之死等热点新闻为掩护的网络病毒,正大肆通过电子邮件、IM通信软件、网站挂马、视频病毒嵌入的方式在个人电脑中传播。轻者让个人电脑的网速变慢,重者让个人计算机死机,必须重装系统,甚至破坏电脑的硬件。而企业网络系统也不能幸免于难,很多系统就这样被通过终端电脑进入的病毒感染。
趋势科技云端客户端企业安全防护影响评估报告显示,在网关处部署网络安全产品,可以抵挡70%~80%的威胁攻击,但因为移动办公用户和移动存储介质应用激增,仍有20%~30%的威胁无法在网关端阻挡,一些热点事件引发的终端安全隐患,已经对整个企业网络安全构成极大威胁。
例如,一家拥有5000个终端的企业,在一个月内,会有5.4%的端点受到病毒侵入,一年则有2/3的端点被感染。很多病毒都嵌入了自我保护功能,会不断更新自己,避免被传统的防病毒软件发现,让企业防不胜防,不能开展针对性的安全防护。
因此,在教育用户加强防范意识的同时,企业应提高终端的安全防护措施。
首先,要将终端安全作为重点防范。攻击者普遍都在使用“最易渗透原则”,即在系统中最薄弱的地方进行攻击,终端常常储存着大量有价值的数据和文件,因此终端成为首要攻击目标。企业在关注网关安全的同时,要将重点精力放在终端防护上。
其次,通过联动机制减少被攻击面。任何一个客户端都可能在浏览网页过程中被植入木马,这就有可能造成整个安全防御体系的崩溃。部署网关和终端联动防护才有可能减少网络的被攻击面。
部署强大的内网监控机制。很多网管中心无法控制客户端被恶意代码侵入,无法对未安装或者悄悄卸载了防病毒软件的终端进行统计和远程部署,从而无法精准定位网络威胁的感染源头,因此就无法快速、安全地切断入侵事件,同时为企业网络内同一病毒反复发作提供了温床。因此,强大的内网监控机制是抓住漏网之鱼的有效措施。
避免终端之间相互感染。网络安全中的“蝴蝶效应”源于“混沌理论”,主要关心 “对初始条件的敏感性”。由于企业内部网络速度非常快,终端之间又存在着信任关系,可以相互随意访问,病毒传播只需要2~3秒,查杀的困难相当大。因此应该设置相应的终端安全认证机制,避免相互感染的情况发生。
问题困扰企业内部信息安全
报告指出,缺乏统一管理易形成“木桶效应”、安全软件误报、电脑设备独立升级占用企业带宽、漏洞补丁升级滞后、终端安全缺失、BYOD环境下WIFI上网缺乏管理、安全制度落后等问题困扰企业内网。
安全制度落后和缺乏统一管理是问题的关键。对此, Gartner副总裁彼得·福斯特布鲁克表示,企业安全属于一种集体安全问题。一般来说,联入内网系统的电脑中,只要有一台电脑被黑客攻破,那么就有可能造成内网安全体系的崩溃和商业机密的泄漏。也就是说,安全性最差的一台电脑实际上就决定了整个企业内网系统的安全级别,这就是企业安全问题中的“木桶效应”。而近年来随着APT高级持续性威胁形式日益严峻,这种“木桶效应”暴漏的更加明显。“完善的安全体系建设需要有产品做基础,有技术做保障、有服务做配合、有制度做管理。只有产品、技术、服务、制度协调配合,多管齐下,才能保障企业内网的安全。”同时他强调,安全问题不只是技术问题,究其根本是人与人,人与组织,组织与组织之间围绕利益的对抗行为。
脆弱的企业外网
随着电子商务的崛起,建立官网进行对外宣传和展示,以及进行相关产品的,已经成为企业的通用手段。因此,企业网站已经成为企业对外的一面镜子,反射出企业的自身形象。但是这面镜子在来自互联网的攻击面前却十分脆弱,很多企业由于各种问题被黑客攻击,造成用户流失,导致巨额损失,并严重影响了企业自身的形象。
《报告》显示,出现上述问题的原因,主要是由于企业网站存在漏洞,导致网站被拖库、篡改和流量攻击。同时,企业外网安全受到威胁的同时,也出现了一些新的趋势:一是,病毒木马的数量出现了明显的下滑,但是钓鱼网站呈现快速增长势头。来自中国互联网中心的数据显示,2012年新增钓鱼网站87.3万个,相比2011年增长73.9%。二是,网络存储和云共享成为木马新兴渠道。
解决方案分析
《报告》认为通过“边界防御+云端防护+终端防护”的解决方案,能够有效解决传统的安全防护检测手段单一、性能瓶颈、维护成本高、响应速度慢等问题。同时,鉴于云计算技术的普及,奇虎360总裁齐向东建议,在云端安全中使用分布式存储、分布式计算。把云端安全体系移植进企业内网,能最大程度保障企业业务系统和数据的安全,有效降低资源占用率和运营成本;在边界防护方案中可通过信息采集,进行协议还原对通信进行准入管理,阻断攻击。而在终端安全中需实现网络准入控制、程序准入控制和硬件准入控制。
此外,《报告》还指出到2020年,绝大多数企业都将无法独立的实现信息安全的保护。他们需要中央实体(如安全公司或政府)的统一管理和保护。而为了实现快速检测和快速响应,企业需要通过中央实体来实现情报共享。海量的黑白名单服务和漏洞预警服务是实现企业情报信息共享的必要手段。
链接———企业信息安全关键词
泛安全 未来五年或十年里网络安全会变得更加严峻,现在的互联网安全公司不能只把杀毒软件当成安全产品,应该更广泛地关注用户的网络安全需求。奇虎3 6 0总裁齐向东认为,除了电脑病毒外,用户的互联网安全还面临很多其他威胁,例如数据泄露、信息骚扰等。互联网安全公司不能只关注杀毒软件等传统安全产品,而应该更重视用户体验,把用户遇到与安全有关的问题都解决好,这才是新的产品思路。
关键词:网站营销;中小企业;SWOT分析
中图分类号:F27文献标识码:A
原标题:我国中小企业网站营销的SWOT分析
收录日期:2012年3月26日
近几年来,随着互联网技术的高速发展,很多企业都建立了自己的网站。网站营销因其低成本、高效率,吸引了众多企业的参与,并以其独有的优势逐步成为现代营销的主流。网站营销在中小企业中也得到广泛认同,并迅速发展起来。但是,总的来看,许多中小企业的网站营销并没有收到预期的效果。
一、网络营销与网站营销
网络营销是以互联网为载体,以符合网络传播的方式、方法和理念实施营销活动,是企业整体营销战略的一个组成部分,是为实现企业总体经营目标而进行的。网络营销包含的内容很广,主要有:网上市场调查、网上消费者行为分析、网络营销策略制定、网上产品和服务策略、网上价格营销策略、网上渠道选择与直销、网上促销与网络广告、网络营销管理与控制,等等。
网络营销的核心思想就是“营造网上经营环境”。所谓网上经营环境,是指企业内部和外部与开展网上经营活动相关的环境,包括网站本身、顾客、网络服务商、合作伙伴、供应商、销售商、相关行业的网络环境等,网络营销的开展就是与这些环境建立关系的过程,这些关系处理好了,网络营销也就卓有成效了。网上经营环境的营造主要通过建立一个营销型网站,并以此为基础,通过一些具体策略对网站进行推广,从而建立并扩大与其他网站之间以及与用户之间的关系,其主要目的是为企业提升品牌形象、增进顾客关系、改善顾客服务、开拓网上销售渠道并最终扩大销售。
可见,网站营销只是网络营销中的一部分,是对企业自身网站的推销,是企业开展网络营销活动的基础,目的在于通过各种策略和手段,提高网站在目标客户和合作伙伴中的知名度,增加访问量,扩大影响力,为企业挖掘新的客户资源。
二、我国中小企业网站营销现状
中国互联网络信息中心(CNNIC)在2011年10月份了《中国中小企业互联网应用状况调查报告(2011年上半年)》,《报告》显示:中小企业中拥有独立网站或网店的比例达到了48.1%。其中,100人及以上的企业中拥有网站或网店的比例接近70%,但在规模较小的中小企业中建站比例还偏低,7人以下的受访企业中拥有网站或网店的比例仅为20%左右,还有很大的发展空间。
我国中小企业中,有专门维护网站的部门或人员的企业比例仅有52%,近一半的企业缺乏专业的互联网人才。中小企业网站功能主要表现在信息,没有达到企业展示产品或服务、树立品牌形象、建立客户服务渠道的目的。尽管60%左右的中小企业认为网站营销是企业未来营销的一个重要趋势,30%左右的中小企业认为网站营销的开展将为企业自身赢得竞争优势,提升企业经济效益。从中小企业网站营销开展情况来看,网站调研、网站广告、网站分销、网站服务等网站营销活动,已经不同程度地渗透于中小企业的经营生产之中,部分企业开始通过网站接受客户订单。不过,总的来看,大部分企业的网站营销多处于信息阶段,尚未真正进入网站营销阶段。
三、我国中小企业网站营销SWOT分析
(一)优势分析
1、产品适合进行网站营销。中小企业处于规模较小的市场或专业化的市场,如服饰配件、小家电或某种专用设备、零部件等,客户群体广泛,适宜进行网络营销。
2、具备了开展网站营销的意识。中型企业规模小,管理层级简单,沟通和决策快捷,一般是管理者的经营理念决定了企业的发展。《中国中小企业互联网应用状况调查报告》显示,60%左右的中小企业已经看到了网站营销的发展前景,管理层的重视将成为中小企业开展网站营销的重要推动力。
(二)劣势分析
1、缺少网站营销人才。近一半的中小企业缺乏互联网专业人才,对于具有网站营销经验的人才更是缺乏。人才的缺乏造成中小企业难以形成有效的网站营销方案,并且网站建设水平低下,经常存在栏目设置交叉重叠、栏目名称意义不明确、网站商业信息量低等问题;或者过于注重对网站美术效果的追求,实用性不足,过分注重视觉效果,而营销功能不够明显,不能为网络用户提供富有价值的产品和服务信息,结果造成网站吸引力不足,不能留住网络客户。
2、缺乏网站推广的资金投入。许多中小企业网站建成后缺乏对搜索引擎、网站优化、关键词优化、媒体推广方面的进一步投入,网站推广品牌、展示商品/服务、商品促销、企业宣传、服务顾客等功能缺失,使网站难以发挥营销的作用。
(三)机会分析
1、当今社会已经进入了信息时代,信息资源成为人们工作、生活不可或缺的一部分,客户对信息的需求越来越强烈。通过互联网,人们可以越来越方便地获取信息。网站营销成为中小企业扩大市场的重要机会。
2、互联网用户规模日益扩大,使用互联网已经从时尚转变成生活必须,越来越多的人开始使用互联网。根据中国互联网络信息中心(CNNIC)的《第29次中国互联网络发展状况统计报告》,截至2011年12月底,中国网民数量突破5亿,达到5.13亿,互联网普及率较上年底提升4个百分点,达到38.3%。
(四)威胁分析
1、中小企业中拥有独立网站或网店的比例达到了48.1%。其中,100人及以上的企业中拥有网站或网店的比例接近70%,中小企业庞大的数量会造成企业间的激烈竞争。
2、中小企业网站营销不成熟,有可能受到大企业的打压和攻击。
3、中小企业还要面对网络安全方面的威胁。目前,垃圾邮件、病毒、间谍软件和不适内容会中断企业业务运行。要防范这些威胁,就需要在网络安全方面有增加投入。但现在的经济形势让众多中小企业面临生存挑战,IT投入的缩减、专业人员的不足等因素,都让中小企业在对付网络威胁方面更加无助。(表1)
从以上分析不难发现,我国中小企业网站营销模式的优势和机会在于线下拥有丰富的客户群体可以发展、管理层重视并拥有越来越多的消费需求,而目前存在的问题是缺少网站营销的人才、资金投入不足,并且面临企业间的激烈竞争、大企业的打压和网络安全的威胁。
四、我国中小企业网站营销方案设计
(一)做好网站规划,确立网站营销的指导思想。首先,中小企业在开展网站营销前,应进行充分的市场调研活动,全面了解公司自身情况,深入分析市场主要竞争情况和相关行业情况,以便对企业网站建设的目的功能进行科学定位。要明确建设网站的目的是为了宣传产品,进行电子商务,还是建立行业性网站;其次,要重视网站的设计。网站页面的美术设计要与企业整体形象一致,栏目规划要合理,要为网络用户提供富有价值的产品和服务信息,注重网站的实用性,充分体现网站的在线销售、商品促销、企业宣传等功能;最后,要保持网站营销的指导思想,以把网站建设成营销型网站为根本目的。
(二)从网站用户需求出发对企业网站进行完善。在今天的消费市场中,用户需求具有多样化、个性化的特征,中小企业要对这些变化做出及时快速的反应,建设网站前要了解用户,要以用户体验为核心和出发点对企业网站进行完善。一方面要满足网站营销目标用户个性化需求,设计网站功能;另一方面应结合网站用户意见不断对网站功能进行完善。中小企业在网站营销的开展过程中,应极为重视网站用户意见,一切从网站用户需求出发,促进网站营销的深化和实际经济效果的提高。另外,用户访问网站的主要目的是为了对公司的产品和服务进行深入的了解,企业网站的价值也就在于灵活地向用户展示产品说明及图片甚至多媒体信息。过时的产品信息或者产品信息不完善不仅无法促进销售,同时也影响用户的信心。
(三)从打造网站营销团队入手,提升网站营销水平。目前,中小企业的网站营销急需专业性人才。总的来讲,企业网站营销团队人员专业化不强严重制约了网站营销水平的有效提升。针对这一情况,中小企业在网站营销开展上,应从打造专业化网站营销团队入手,从组织机构完善、专职人员培训等方面强化营销团队建设。在组织机构完善上,中小企业应成立专门的网站营销组织机构、部门、小组或者专员,明确职责,负责与网站建设推广有关的各类事务,将网站营销工作作为企业营销工作中的一项常态化、日常化工作来抓,通过持之以恒的推广管理,以求产生显著的经济效益。在专职人员培训上,中小企业应强化对企业网站营销人员网络技术、营销技巧的全面培训。
(四)做好网站推广工作。网站推广的方式多种多样。第一,可以利用传统媒介广告进行网站推广。第二,在互联网上进行推广。首先,利用搜索引擎推广。搜索引擎推广是指利用搜索引擎、分类目录等具有在线检索信息功能的网络工具进行网站推广的方法。它是网站推广最快捷的方式,包括注册搜索引擎、搜索引擎结果登录和搜索引擎竞价排名;其次,网络广告宣传推广。网络广告是一种以消费者为导向、个性化的广告形式。消费者可根据自己的个性特点和喜好,选择是否接收、接收哪些广告信息。将网络广告用于网站推广,具有可选择网络媒体范围广、形式多样、适用性强、投放及时等优点,适合于网站初期及运营期的任何阶段。第三,电子邮件推广。随着互联网的迅速普及,E-mail已经成为人与人沟通的主要手段。随着通信技术的快速发展,用手机发送电子邮件也已变成现实,每天收发E-mail已经成为许多人生活中不可缺少的一部分。E-mail是增加访问量的重要方法,前提是不能大量发送未经许可的垃圾邮件。
主要参考文献:
[1]王秀英,韩韵.企业网站营销是大势所趋[J].中国花卉园艺,2011.15.
[2]王璨.中国中小企业网络营销现状、问题与对策[D].湖南:湘潭大学,2001.
[3]张金娜,黄保国.谈企业网站营销策略[J].科技咨询,2008.25.
[4]韩红旗.当前我国企业网站营销的问题与对策[D].河南:郑州大学,2004.
[5]倪海云.网站营销新谋略[J].空运商务,Air Transport & Business,2008.9.
[6]刘录敬,陈晓明.中小企业网站建设策略探讨[J].现代商贸工业,2010.19.
[7]刘瑛.基于体验营销的在线购物网站营销策略优化研究[A].中国管理现代化研究会.第五届(2010)中国管理学年会——市场营销分会场论文集[C],2010.
[8]刘金莲,赵易,刘朝阳.谈外贸企业网站营销策略[J].中国商贸,2009.17.
[9]马清梅.现代企业B2B网站营销策略分析及应用[J].管理科学文摘,2007.10.
关键词:关键词:防火墙;新一代;网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:
0 序言
近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛,特别是企业内部专网系统信息化的发展日新月异—如:网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速更新, 并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。
1.安全风险背景
随着计算机技术、通信技术和网络技术的发展,接入专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和终端PC的应用也日益普及,但同时病毒和黑客也日益猖獗, 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
2.网络安全方案
防火墙是最具策略性的网络安全基础结构组件,可以检测所有通信流。因此,防火墙是企业网络安全控制的中心,通过部署防火墙来强化网络的安全性,是实施安全策略的最有效位置。不过,传统的防火墙是依靠端口和通信协议来区分通信流内容,这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们;例如,可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。
由此带来的可视化和控制丧失会使管理员处于不利地位,失去应用控制的结果会让企业暴露在商业风险之下,并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式,单独部署其他的“辅助防火墙”。上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟(将引发扫描进程)的不足,均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙也必须具备如下要素:
(1)识别应用程序而非端口:准确识别应用程序身份,检测所有端口,而且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程序的身份构成所有安全策略的基础。(识别七层或七层以上应用)
(2)识别用户,而不仅仅识别 IP 地址。利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。
(3)实时检查内容。帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件,并且实现低延迟和高吞吐速度。
(4)简化策略管理。通过易用的图形化工具和策略编辑器(来恢复可视化和控制
(5)提供数千兆位或万兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能
2.1 产品与部署方式
本文就Palo Alto Networks 新一代安全防护网关部署方案进行探讨,该产品采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁路模式、透明模式等接入现有网络架构中,协助网管人员进行环境状态分析,并将分析过程中各类信息进行整理后生成报表,从而进一步发现潜在安全风险,作为安全策略调整的判断依据。
2.2 解决方案功能
本方案产品突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。主要功能如下:
(1)应用程序、用户和内容的可视化
管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响,从而使管理员能够制定更多与业务相关的安全策略。
(2)应用程序命令中心:这是一项无需执行任何配置工作的标准功能,以图形方式显示有关当前网络活动(包括应用程序、URL 类别、威胁和数据)的大量信息,为管理员提供所需的数据,供其做出更为合理的安全策略决定。
(3)管理:管理员可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多种方式来控制防火墙。可基于角色的管理,将不同的管理职能委派给合适的个人。
(4)日志记录和报告:可完全自定义和安排的预定义报告提供有关网络上的应用程序、用户和威胁的详细视图。
2.3 解决方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三种独特的识别技术,以统一策略方式对使用者(群组)、应用程序及内容提供访问控制、安全管理及带宽控制解决方案,此创新的技术建构于 “单通道平行处理 (SP3)”先进的硬件+软件系统架构下,实现低延迟及高效率的特性,解决传统FW+IPS+UTM对应用处理效能不佳的现况。
(2)实现了对应用程序和内容的前所未有的可视化和控制(按用户而不仅仅是按 IP 地址),并且速度可以高达 10Gbps,精确地识别应用程序使用的端口、协议、规避策略或 SSL 加密算法,扫描内容来阻止威胁和防止数据泄露。
(3)对网络中传输的应用程序和用户进行深度识别并进行内容的分析,提供完整的可视度和控制能力。
(4)提供多样化NAT转址功能:传统NAT服务,仅能利用单一或少数外部IP地址,提供内部使用者做为IP地址转换之用,其瓶颈在于能做为NAT转换的外部IP地址数量过少,当内部有不当使用行为发生,致使该IP地址被全球ISP服务业者列为黑名单后,将造成内部网络用户无法存取因特网资源;本方案提供具有多对多特性的地址转换服务功能,让IT人员可以利用较多的外部IP地址做为地址转换,避免因少数外部IP被封锁而造成无法上网,再次提升网络服务质量。
(5)用户行为控制:不仅具备广泛应用程序识别能力,还将无线网络用户纳入集中的控制管理,可对无线网络使用情况,提供最为详细丰富的用户使用数据。
(6)流量地图功能:流量地图清楚呈现资料流向并能连结集中化的事件分析界面。
3.总结
新一代防火墙解决了网络应用的可视性问题,有效杜绝利用跳端口技术、使用SSL、80端口或非标准端口绕过传统防火墙攻击企业网络行为,从根本上解决传统防火墙集成多个安全系统,却无法真正有效协同工作的缺陷,大大提高数据实时转发效率,有效解决企业信息安全存在的问题。
参考文献:
[1] 孙嘉苇;对计算机网络安全防护技术的探讨 [J];《计算机光盘软件与应用》 2012年02期。
关键词:企业局域网;安全;管理制度
近年来,随着企业管理水平的提高,企业管理信息化越来越受到企业的重视。企业ERP系统、企业电子邮局系统和协同办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。这种连接方式使得企业局域网在给内部用户带来工作便利的同时,也面临着外部环境的种种危险。如病毒、黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题。
一、网络安全及影响网络安全的因素
影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下两个方面:
1、外网安全。黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。
2、内网安全。企业员工利用网络处理私人事务和其他对网络的不正当使用,降低了生产率、消耗企业局域网络资源、并引入病毒和间谍软件,或者使得不法员工可以通过网络泄漏企业机密。
二、企业局域网安全方案
为了更好的解决上述问题,确保网络信息的安全,企业应建立完善的安全保障体系该体系,包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全。网络安全管理则侧重于内部人员操作使用的管理。采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。
1、企业的网络安全技术防护体系
主要包括入侵检测系统、漏洞扫描系统、病毒防护、防火墙、认证系统和网络行为监控等几大安全系统。
1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系,同时采用基于网络和基于主机的入侵检测系统,在重要的服务器上(如WEB服务器,邮件服务器,协同办公服务器等)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。
2)漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
3)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系。特别是针对重要的网段和服务器。要进行彻底堵截。
4)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只允许与屏蔽子网中的应用服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界网络对屏蔽子网的访问限制在特定的服务器的范围内,保证内部网络的安全。
5)认证系统。比如网络内应使用固定IP、绑定MAC地址;结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度,未经过安全认证的计算机不能接人企业局域网络。
6)网络行为监控系统。网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定对内网用户进行管理的一种技术手段,主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。
2、企业局域网安全管理措施
虽然先进完善的网络安全技术保护体系,如果日常的安全管理跟不上,同样也不能保证企业网络的绝对安全,一套完整的安全管理措施是必不可缺少的。
1)为了避免在紧急情况下预先制定的安全体系无法发挥作用时,应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门,事先做好多级的安全响应方案,才能在企业网络遇到毁灭性破坏时将损失降低到最低,并能尽快恢复网络到正常状态;
2)对各类恶意攻击要有积极的响应措施,并制定详尽的入侵应急措施以及汇报制度。发现入侵迹象,尽力定位入侵者的位置,如有必要,断开网络连接在服务主机不能继续服务的情况下,应该有能力从备份磁盘中恢复服务到备份主机上。
3)扎实做好网络安全的基础防护工作,建立完善的日志监控措施,加强日志记录,以报告网络的异常以及跟踪入侵者的踪迹。
当今的社会是一个数字化、信息化、地球化的社会,网络时代已经到来,人们的生活、工作、购物、学习、办公等都已经离不开网络。对于现代的企业,已经开始实行无纸办公,公司之间的联系、企业伙伴间的合作、公司外出人员与本部之间的联系等等这些都离不开网络。版权所有
在信息化浪潮方兴未艾的今天,企业内部的网络已经成为提升核心竞争力的关键因素。所有的企业,无论其规模大小,都会面临新的机遇和挑战。在市场经济的条件下,企业应用网络技术,其目的就是为了在提高企业运作效率的基础上,最终增加经济效益和增强竞争能力。在瞬息万变的市场上,网络应用可以帮助企业决策者运筹帷幄,充分利用各种信息资源,优化企业资源配置,网络扩大了各个产业的市场空间,减少了传统商务流程的环节,极大地提高了劳动生产率。置身于网络经济时代,任何企业,无论其规模大小,都必须适应新的潮流。
网络不仅是一种高深的科技,而且成为人们必不可少的工具。企业上网大大提高了企业运作效益,降低了企业成本。应该看到,企业在经营发展过程中,除了内部的运转管理外,还有大量的外部业务活动,包括与合作伙伴,上、下游企业,客户甚至竞争对手的各式各样的业务往来。过去这些业务活动多半是通过电话、传真、信件等传统通信方式辅助进行,而在因特网出现后的今天,这些业务活动几乎无一例外地正在转移到因特网上,并且这种转变的速度和程度都是非常惊人的。也就是说,过去传统意义上的企业内外部经营活动包括业务信息沟通,订货订单处理,库存物流管理,客户服务,批发或零售等等已经全部可以在因特网上实现了。所有这些应用都可以称之为企业上网,又被业界称为电子商务应用,它被认为是21世纪企业的必由之路。
二、行业分析
(一)企业上网的紧迫性
对于中国的企业来说,企业网的来临可谓恰逢其时。随着中国向混合市场经济的加速发展,中国各行各业的公司企业都在积极准备迎接国内外市场中日益激烈的竞争形势。这些公司深知:如果想在这个白热化的市场竞争中获得成功,就必须最大限度地提高企业生产力和降低生产成本。因此,各大企业都迫切需要建立自己的信息技术基础设施,以便将分散在各地的业务部门联系在一起并加快整个企业内部的信息交流和服务速度,从而加强自己在市场中的竞争优势。
(二)、企业上网的需求
企业网络信息系统建设应该以用户的需求为着眼点。目前,随着网络技术的飞速发展和应用水平的逐步提高,企业用户的需求,主要体现为:
(1)先进性,要求网络采用先进的技术,以保证整个企业网络系统在技术上的先进性;
(2)稳定性与可靠性,要求网络高度稳定、可靠,这是网络建设成功的关键,而高度稳定、可靠的网络系统有利于维护和管理,可减少网络系统的拥有成本;
(3)高性能,要求网络系统具有高性能,以满足计算机网络系统运行大量关键业务(如项目设计、项目管理、cad、oa、mis、erp及多媒体应用等)的需要;
(4)vlan划分的灵活性,因为网络系统站点数和运行的应用都在增多,所以要求网络平台具有灵活的虚网(vlan)划分能力;
(5)由于网络系统可能要传输多媒体信息,因此要求网络平台具有良好的服务质量和较小的延迟;
(6)要求网络平台具有良好的易管理性,减少运行、维护及管理成本;
(7)要求选择具有良好发展前景的网络厂商的产品,这样才能保证平台具有良好的售后服务、投资保护,更为关键的是能够保证网络系统持久的先进性。
三、企业网络主干技术选择:
企业局域网络技术的选择主要是主干技术的选择,现今适合作局域网络主干技术的主要有千兆以太网及atm两种。
千兆以太网是网络界公认的技术发展方向之一,它是对成功的10mbps和100mbpsieee802.3以太网标准的扩展,仍然沿用以太网ieee802.3帧格式,全双工操作和流控制方法。在半双工模式下,千兆以太网使用同样的csma/cd访问方法来解决媒体的通信竞争问题,并使用由ieee802.3小组定义的同样的管理对象。概括起来,千兆以太网的优点在于:网络技术可靠,易于管理,具有可伸缩性,且它相对于atm的价格水平要低得多;缺点为部分标准不统一。
atm规定各种类型的服务(声音、图像、数据)信息都由大小固定的53字节的信元进行传输。atm优点为:支持线路交换和分组交换;对广域网和局域网采用相同的技术;在普通线路上同时传输视频、语音和数据;对多种业务可保证服务质量,按需分配带宽。缺点为:管理和维护复杂;基于atm的应用较少;atm产品相对于以太网产品价格昂贵;部分标准不统一。
千兆以太网能与桌面的以太网和快速以太网无缝衔接,因为他们采用的协议是相同的。atm网络与以太网共存时,需在帧和信元之间进行转换。在企业园区网,90%的应用都是基于以太网或快速以太网的,千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使atm举步维艰,atm的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议(rsvp)、ieee802.3、ieee802.1q、ipprecedence、独立组播路由协议(pim)、国际互联网成组管理协议(igmp)等,这就使得千兆以太网传输多媒体成为可能,已有厂家的千兆以太网产品传输距离超过100公里。因此建议,企业园区网在主要传输数据的情况下,应选择千兆以太网作主干技术。
四、企业网络构架的基本方案
企业网中大部分是中小企业,中小型企业最大的特点是小规模与高效率的结合。他们往往不拥有完备的信息技术部门,但是网络应用对他们同样关键。因此,中小企业需要量身定做的解决方案。面对这一情况,上海广电应确信公司针对不同规模企业,推出了一系列解决方案,以帮助中小企业提升其竞争力。
4.1基本网络方案简述
根据企业网站可提供的内容和它的实际应用情况,企业上网可分为两部分,一部分是实现各企业部门内部办公功能的内部网,即intranet。另一部分是各企业部门网站在internet上信息与交流的外部网。
一旦企业建立了intranet,就可用它来信息、增强企业的通信能力、建立合作的环境。有些应用很简单,只是用html语言建立内部的环球网服务器信息;有些应用较复杂,需要连接数据库。下面列出一些intranet的应用:销售报告、财务报告、客户信息、季度统计、厂商信息、产品信息、市场信息小册子、产品开发信息、物资和元部件目录、仓库信息、网络管理、资产管理、新闻组、电子邮件、培训。
4.2具体方案实施:
按照网络的规模可具体划分为以下几个方案:
(1)小型企业信息系统方案:通常指在20-30个工作站以内的小型办公室(办公环境较集中)网络环境的方案。
(2)中型企业信息系统方案:即指在30个工作站以上的中型办公园区(办公环境较分散,距离教远)网络环境的方案。
(3)大型企业信息系统方案:即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境的方案。
4.2.1小型企业信息系统方案
小企业办公室网络,相对于大、中型企业网络,可以说是麻雀虽小,五脏俱全,同样有着文件共享、打印共享、电子邮件、财务管理、库房管理、web等大型网络所具有的需求。
由于小型企业网络站点数较少,而且联网的站点较集中(例如,在一幢楼内)。因此,结构化布线时就可以只采用双绞线就足够了,每个站点(计算机)与集线器或交换机之间的距离不能超过100米。
方案说明
网络配置:中心选用infiniteswitch5024机架型快速以太网交换机(24口10/100m自适应以太网交换机),采用10/100m自适应端口连接服务器及工作站。针对小型企业用户我们推出桌面型硬件安全设备isp1102,嵌入式的硬件安全架构,使其性价比很高。简单配置的防火墙安全规则,方便客户应用。同时可以作为dhcp服务器,具有本地路由器功能,支持以太网方式/cablemodem/adsl等方式接入internet,方便的实现共享上网。
方案特点:
(1)性价比高;在方案中,没有使用很多高端的设备,但已经完全可以满足小型企业网络的需求。
(2)功能齐全;提供了文件共享、打印共享、电子邮件、电子公告、库房管理、远程办公、工资管理、财务分析、采购管理、资金管理、库存管理、销售管理等较齐全的功能,很适合于小型企业网络环境。
(3)安全性高;采用infiniteswitch5024智能以太网交换机交换机,可以将单一的局域网划分为多个相对独立、互不干扰的vlan(虚拟子网),可以方便地控制不同部门对某些资源的访问权限,并能够缩小广播域,减少不必要的带宽占用,有效提高网络的安全性和性能。isp1102通过ip过滤提供防火墙功能。可以对ip地址、端口号、协议种类等进行设置并加以控制。
5.2.2中型企业信息系统方案
由于中型企业办公环境较分散,距离教远,对网络的性能要求较高(数据交换的安全性,设备运行的可靠性,网络管理的全面性),对网络的速度亦有提高。同时,每个网段最长只能100米的有效距离的双绞线传输介质已经不能满足中型企业网络的使用需求,有时必须使用多模光纤或单模光纤做为布线时所采用的传输线缆,使得有效传输距离能够延伸至2公里(多模光纤)或更远(单模光纤)。
方案说明
中心选用infiniteswitch5000系列交换机,根据用户数量及功能要求选用is5048/5024/5024s+.为了保护企业内部网络的安全,在接入internet时采用上海广电应确信的防火墙isp91*,可以防止来自外部的非法的、恶意的攻击。
由于中型企业办公环境较分散,距离教远,则在中心交换机上配置100base-f或1000base-l/s光纤模块.企业内部采用svaisp91*通过ddn、framerlay、.25等广域网专线接入internet,提供安全、快捷、简便的企业外部网站方案。isp91*适用于中小型企业用户,利用checkpoint软件及其opsec合作伙伴构成顶级配置,为用户提供一个完整的网络安全解决方案。
应用二:
方案说明
对于一个中型企业,如果公司内部有较多的部门,位置比较分散,而且相互之间要独立的工作,对于用户的访问权限可以限制(如要求划分vlan),所有的部门通过公司的网络中心的一台三层交换机来接入internet,采用svahammerhead9300/9500/9800来对进行对网络的安全进行保护。对于一些移动用户可以采用无线接入设备(2020/1011/1001)来连入企业内部网及上internet.
在公司的各个部门中采用的交换机均支持vlan的划分,根据每个部门的规划及距离网络中心的远近采用100mutp或者100/1000m光纤接入。随着员工数的增多,可以利用5024s/5024s+堆叠来扩展网络,5024s/5024s+最多分别可堆叠至4台/16台,因此网络有很好的扩展性及可管理性。
接入internet可以采用多种方式,通过pstn/isdn/ddn线路等多种方式,用户可能根据需要来实现企业网接入公用网。
中型企业方案特点:
(1)较充分发挥了internet/intranet应用的特性
除了传统的文件共享、打印共享等功能外,电子邮件、web、电子公告、库房管理、远程办公等功能都是基于internet/intranet应用实现的。使得整个网络系统充分发挥了internet/intranet应用的跨平台、与硬件无关、标准统一等特点,使得中小型企业可以与外界透明地通讯。
(2)维护小、投入少
中型企业网络系统使用了较少的高端产品,投入少而功能齐。由于使用了internet/intranet结构构造中小办公室网络系统,使得网络结构更加client/server化,作为网络的管理维护,只需对server端进行维护工作,对client的维护工作大大减少,所以总体上也就大大减少了维护工作量,并节省了投资。
(4)提高工作效率、节省开支。
在此方案中,提供了电子邮件、电子公告、web等实用、快捷的功能,大大提高了企业的办公效率。同时提供了网络内用户对internet的透明访问,使企业内部可以充分利用internet这个巨大的信息资源,更加提高了企业的办公效率和资源利用。
5.2.3大型企业信息系统方案
大型企业办公环境即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境。对网络的性能要求很高,同时对网络的速度亦有很高的要求。大型企业网支持各种网络功能,能够通过广域网接口实现internet接入,建立企业主页,为园区用户提供e-mail电子邮件、www、ftp服务,同时支持网络管理和电子信息的存储、访问管理。推荐采用局域网专线接入方式,此方式需要配备接入路由器,防火墙等网络设备,租用电信部门的专线并向cernet管理部门申请ip地址及注册域名。接入路由器可以通过ddn专线、framerelay等与internet相连。还可以按照需要组合配置多种wan广域网端口模块,提供宽带、qos保证的远程多媒体服务。为了保证企业网的安全,方案中提供svahammerhead9000安全平台,svahammerhead9000系列是业界唯一模块化网络安全平台和应用系统,在单一的设备上集成了路由、防火墙、入侵检测、vpn、lan连接和其他安全应用,为用户提供可扩容及可靠的网络安全整体解决方案。
在布线上,除了采用多模或单模光纤之外,甚至还需要从电信部门租用ddn、帧中继、.25、isdn等专线,或者利用无线微波方式进行远距离连接。版权所有
方案说明
在网络中心选择上海广电应确信的infiniteswitch7508三层交换机和5024交换机。在各分部门或者分公司根据信息点数选择infiniteswitch4000/5000系列交换机。
在网络中心的核心层配置的infiniteswitch7508g第三层交换机,可完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的企业网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度,infiniteswitch7000/7500系列是可网管的,高端口密度,配置灵活的高性能路由交换机。提供7个扩展插槽,22g交换背板上。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
infiniteswitch7508g提供了广泛的管理选择,包括hpopenview和其他的snmp管理系统,或者infiniteswitch7508g自己提供的网络管理系统。infiniteswitch7508g提供到与infiniteswitch4000/5000系列以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、www服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块进行生成树(spanningtree)冗余链路连接。
接入层交换机,在本方案设计中,为了保证网络的高性能,可采用infiniteswitch4000/5000系列智能以太网交换机,根据具体实际需求,接入层交换机可选用infiniteswitch4024/4032/5024/5024s/5048交换机。
在方案中的防火墙,选用svahammerhead9300.hammerhead9300是3插槽机箱式的安全平台,用户可以根据需求选择服务器、交换机、路由器等模块。svahammerhead9000的多种应用模块能支持linu,hp/u,bsduni,windowsnt和sunsolaris等系统,它能为用户提供防火墙保护、入侵侦测、身份认证、安全报告、内容安全、高可靠性。svahammerhead9000的有多种网络模块,它可支持多种的lan/wan互连,包括:frame、isdn、atm、以太网。实现完整的一体化的网络安全解决方案。
方案特点:
1、高性能;网络中采用了第三层交换机,第三层交换不仅拥有高速的交换功能,同时也具有全部的第三层控制功能,可以对流量基于ip地址、ip的协议类型、以及tcp/udp的端口进行交换控制,从而在提高网络处理效率的同时,保障了vlan之间通讯的安全性。
2、可扩展性;网络设计具有层次结构,用户能灵活地接入到相应的层次当中。可扩展的网络接口。
3、灵活性;适当的建立vlan,方便地理位置不同的用户的网络连接.
4、安全性;vlan的建立,可以控制广播和应用的信息流动,从而防止用户非法在网络上截获其它用户或它们的资源。hammerhead9000网络安全产品保护企业内部资源,防止外部入侵,控制和监督外部用户对企业内部网的访问;控制、监督和管理企业内部对外部internet的访问。
5、层次化、模块化;本网络设计的特点为层次化、模块化设计。
6、优良的性价比
六、总结
关键词:企业网;网络安全;网络安全体系
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21-4823-02
网络安全方案的设计是在不影响网络业务的前提下,实现对网络的全面的安全管理,当然要客观地考虑便捷性与安全性的矛盾对立关系的约束。但是,网络安全涉及的面既广泛又深刻,该文基于一般局域网构架,从网络物理安全性、网络结构安全性、系统安全性、应用安全性及管理安全性等五个方面入手,将安全策略、硬件与软件结合起来,讨论构造一个安全的防御系统的方法。
1 网络物理安全性
影响网络物理安全性的主要因素有地震、雷击、电磁辐射、水灾、火灾;设备被盗、线路截获;电源故障、操作失误或错误以及计算机、通信设施犯罪对网络的物理破坏。对此,主要通过以下措施来避免网络的物理风险:加强安全意识,制定健全的安全管理制度;权衡需求、风险、代价的平衡关系,建造防震机房,安装接地装置;综合考虑可能构成电磁辐射、水灾、火灾的各种因素,对相应的基础设施进行详细设计、精心选材等;健全系统备份、恢复机制;加强对网络机房及基础设施的监控与管理。
2 网络结构安全性
企业网按访问区域可以分为三个区域,即内部网络、外部网络及公开服务区(向外企业信息、提供Email服务等)。这三个区域用防火墙进行隔离,保护的重点是内部网络,公开服务区时企业信息的平台,一旦不能运行或者受到攻击,对企业的声誉影响巨大,同时公开服务器本身要为外界提供服务,必须开放相应的端口,但是必须警惕公开服务器成为黑客入侵内部网络的跳板,所以尽量关闭不必要的端口。外部网络直接连接Internet,是来自Internet的黑客攻击、病毒、非法访问入侵内网的必经之地。为了避免来自Internet的黑客攻击,在防火墙与内网交换机之间串联一个入侵防御系统(IPS),同时与防火墙并联一个入侵检测系统(IDS);为了避免非法访问,可以利用防火墙的访问控制技术,来限制来自Internet的非法访问,必要时可以安装AAA服务器,对用户进行身份验证、授权、审计等。同时启动防火墙的NAT功能来隐藏内部网络结构,病毒的预防在下文讨论。
内部网络可以根据各区域的职能、安全等级利用交换机的VLAN技术进行子网划分,如财务子网、领导子网及数据中心子网等属于重要网段,是被保护的对象,所以在中心交换机上将这些网段各自划分为一个独立的广播域。为了避免来自内网的攻击,也可以用防火墙来隔离重要的网段,必要时可以在重要网段部署入侵防御系统(IPS)、入侵检测系统(IDS)进行实时监控、跟踪、预警、分析、捕获攻击行为。
3 系统安全性
系统安全性主要指操作系统、应用系统及硬件系统的安全性,对中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows还算其他任何商用的Unix操作系统,其开发厂商必然有其Back-door,即使我们自己开发操作系统,其漏洞也是在所难免的。所以没有完全安全的操作系统。但是我们可以对现有操作系统进行周密的配置,严格限制操作和访问权限,以提高系统安全性。关键业务尽量采用安全性高的操作系统。针对操作系统的漏洞,可以在网络中部署一台操作系统自动更新服务器,以及早弥补系统中的漏洞,同时安装网络版病毒防御软件,使全网的所有主机都处于最新版的病毒防御系统的保护下。在网络的关键部位部署入侵监测系统和入侵防御系统以提供实时监测、监控、报告、预警及捕获各种攻击的功能。
在应用系统的二次开发过程中,要充分利用身份验证、授权、审计等机制对机密数据库服务器、应用服务器等重要服务器进行保护。
网络中的服务器和网络设备尽可能不采用同一家厂的设备,这样既可以避免通过Back-Door的攻击,又增加了黑客攻击的难度。
4 应用安全性
应用安全性涉及到网络数据、信息的安全存储、安全访问和安全传输。对重要数据的访问,实行身份认证、授权、审计,使访问者通过身份认证后在其权限允许的范围内进行最小限度的访问,同时跟踪访问轨迹,审计访问行为,对非法行为进行取证,基本能够阻止非法用户的访问。可是,当整个系统遭到灾难性破坏时,同时殃及备份数据。另一种方式是冷备份,将备份数据存储到另一个系统或存储介质中,此时,备份数据可存放在远离系统的地方,非常有利于灾难性恢复,但投资较昂贵。
数据在传输过程中可能被非法截获,从而破坏信息的机密性,完整性。为了保证数据传输的安全性,我们可以借助VPN技术,这样即使数据被截获,但由于数据是加密的,保证了数据的机密性,同时所传输的数据附有哈希消息认证码,可以保证数据的完整性,这种技术又具有身份认证及数字签名功能,保证了消息不会是假冒的,同时也是不可抵赖的。根据具体情况可以采用接入VPN(Access Vpn)、内部网VPN(Intranet VPN)和外部网VPN(Extranet VPN)。
5 管理安全性
安全管理策略包括定义完善的、合理的、长远的、可实施的安全管理规范和高效、可靠的安全管理技术平台。这两个方面必须齐抓共建、有机整合才能保证管理安全性。
5.1 安全管理规范
必须花大气力建立网络安全管理规范,因为诸多不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
5.1.1安全管理原则
网络信息系统的安全管理主要基于三个原则:① 多人负责原则。每一项与安全有关的活动,都必须有两人以上参加,他们忠实可靠、能胜任工作,应记录、签署工作情况以证明相应安全得到保障。具体工作有:访问控制权限的授予与回收;所使用存储介质发放与回收;保密信息的处理;系统的维护;重要程序和数据的删除与销毁等。②任期有限原则。制定切实可行的任期有限制度,对工作人员进行操流培训,不要任命任何人长期担任与安全有关的职务,应不定期循环任职,强制实行休假制度。③职责分离原则。除非领导批准,信息系统工作的任何人员不要打听、参与职责以为的任何与安全有关的事情,为了安全,计算机操作与计算机编程要分开,机密资料的接受与传送要分开,应用程序与系统程序的编制要分开,访问证件的管理与其它工作要分开,计算机操作与存储媒体的管理要分开等。
5.1.2 安全管理规范的实施
首先严格遵照安全管理规范,认真完成下面工作:根据工作的实际需要,把该系统的安全等级确认一下;其次根据我们以前确认好的安全等级,来更好的确认其安全的可控管理范围;再次机房出入管理制度要制定好,实行分区管理,彻底限制好工作人员的工作区域;第三要根据每个人的职责逐个分离和每个人负责的原则,不准有任何人超越各自的管理范围;第五要对系统进行维护管理时,要经各个主管部门的批准,并采取一定的有力保护手段,同时对发生故障原因、维护内容及维护前后的状态进行详细记录;第六要制定应急方案,以不变应万变,以防不测;第七要健全人员雇佣和解聘制度,对调动和离职人员及时调整访问权限。
5.2 安全管理技术平台
建立能够对整个网络设备(包括服务器、客户端)、安全设备、网络防病毒软件、系统升级软件、入侵检测、预防系统等各个网络系统部件进行综合管理的统一安全管理控制中心,按计划定期对全网进行安全扫描,漏洞分析,并及时采取相应的措施;对资源访问进行身份认证、权限设置、轨迹跟踪、行为审计,如遇到异常行为系统能够自动报警或生成事件消息并及时报告管理员或其他访问控制设备,及时阻止对网络的威胁,如果攻击已经发生,要及时取证,并妥善保存;对与密钥相关的服务器,要设置合理的密钥生命周期、进行及时的密钥备份等;对关键的服务器应冗余备份,以增加网络的安全系数。
安全管理应从网络管理制定和安全管理技术平台两个方面来实现,二者相辅相成,缺一不可。
6 结束语
按以上论述设计局域网安全方案基本能够满足一般企业局域网的安全要求,个别企业根据自身特殊需求可能提出一些特殊的安全要求,如:安全E-MAIL服务,安全WEB服务,安全电子交易(SET)等,但我们讨论的是局域网的基本安全构架,并不影响用户的特殊安全需求,用户可以在此基础上构筑符合自身网络安全需求的合理的安全体系。
参考文献:
[1] 万振凯,苏华,韩青.网络安全与维护[M].北京:清华大学出版社,2004.
[2] 中软.中软统一终端安全管理系统技术白皮书[M].中国软件与技术服务股份有限公司,2006.
[3] 赵洪彪.信息安全策略[M].北京:清华大学出版社,2004.
[4] 蒋东兴,郭大勇,符群卫.清华大学新一代数字校园建设规划与实践[J].厦门大学学报:自然科学版,2007.
新的形势对银行的软硬件设施建设提出了新的挑战。其中网络的运行情况,尤其是网络安全问题尤其突出。目前,银行逐步建立了基于ip技术的业务骨干网,但银行电子网络建设存在的问题也不容忽视。
一、银行网络改造工作中存在的问题
1.来自互联网的风险
网上银行、电子商务、网上交易系统都是通过internet公网并且都与银行发生关系,银行系统网络如果与internet公网直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,银行网络系统自然会被恶意的入侵者列入其攻击目标的前列。
2.来自互联单位的风险
银行与电信局、水电部门、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全信任的关系,因此它们之间的互联,也使得银行网络系统存在着来自外单位的安全威胁。
3.来自内部的风险
据调查统计,已发生的网络安全事件中,70%的攻击是来自内部,因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自我攻击或泄露重要信息,内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
4.管理安全风险
银行内部员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。
5.网络系统维护费用高
原有的网络系统还存在维护费用高,技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。
二、形成原因分析
银行计算机网络需要可靠的安全保障支持。银行网络安全的威胁主要来自内部和外部两个方面。在过去的几年中很多报告都指出,企业内部员工的破坏行为是对信息安全的最大威胁,主要包括:缺乏有效的网络防护手段,网络协议分析工具带来的威胁,执行不安全代码以及个人能力的不正当炫耀。另一方面非法的外来侵入攻击数量近几年有了惊人的增长。商业银行计算机网络系统很快地将要面对有组织有计划的黑客的更大威胁,主要包括:广为流传的黑客攻击技术,有组织的信息网络入侵活动,新的网络应用和技术的大规模涌现,硬件的高速发展使得破译加密信息成为可能。据统计,银行业基于网络的信息失窃在过去5年中以200%以上的速度递增。网络安全已经成为银行业务安全的重要组成部分,同时也是国家网络经济发展的关键。
三、对银行网络安全改造解决方案的探讨
通过审慎的调查研究和亲身产品使用,笔者建议对银行网络系统实行全面改造,以达到网络安全要求。
首先,全行的主要主干电路可采取面向网络安全端到端的safe(security architecture for e-business)解决方案,结合现有运行网络的实际情况,完成网络安全性设计。方案的模块化方法可为银行网络提供最大的灵活性。使银行能够针对特定的业务来选择特定的模块。同时方案也可提供根据业务需要逐步实现安全的cisco avvid基础设施的可能。这保护了银行在现有安全设施上的投资,降低整个网络系统的费用,同时也可知道每一个模块的工作原理及在整个网络安全框架中的作用。
其次,在整个网络的安全性设计上,进行全面的规划,制定整体的安全策略。同时对局域网、广域网以及外联网与internet等公共信息网互连的安全保障规定。使用思科的安全策略管理器cspm指定整体的安全策略,并实施定期的监控和改进。原有的应用服务器与其他系统服务器以及办公及管理信息系统相连,存在一定的安全隐患。在系统改造中这一问题将得到解决,通过采用内部防火墙,两者可实现安全隔离,应用主机安全性可得到更好的保障。
为了保障基于因特网和基于web交易的保密性和完整性,可以实现虚拟专用网(vpn)。就像装甲车一样,vpn在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和银行之间,vpn提供安全可靠的加密式端对端"隧道"。即使是最狡猾的网络黑客,vpn的强劲安全性也能防止他们截取隧道传输的内容,使他们的阴谋不能得逞。vpn的创建宗旨就是要在每个远程访问会话期间保障其安全性,它对用户是透明的。一般而言,具有vpn功能的防火墙和客户计算机配置的许多操作系统都支持vpn。
改造后的网络可在广域网中心增设了专用的路由器。原来既作为dlsw+节点又作为广域网路由的中心路由器实现功能上的拆分,新增专门路由器作为dlsw+路由器,负责sna和tcp/ip的协议转换。所有路由器位于高性能防火墙的两侧,防止外部对应用主机的非法操作,同时网络对sna协议的处理能力也得到提高。
显然,有效的安全性设计来源于网络本身。网络基础架构必须具有嵌入式防火墙、验证和vpn等安全功能。不仅设计安全的网络很重要,而且设计网络时所采用的方法同样也重要,不能使银行的日常运营脱离正常轨道。当超负荷网络发生故障或崩溃时,将会给银行业务造成令人可怕的后果。
