时间:2023-09-14 17:44:39
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
引言
随着我国Internet和电力信息化产业的飞速发展,计算机网络在电力企业的各个方面得到了广泛的应用,电力企业信息网络已经成为电力系统的重要基础设施,它的安全运行与否关系到电力系统的安全、稳定、有效运行。网络技术的广泛应用,电力信息网络的不断延伸和扩大,特别是电力企业网和Internet的互联都对电力信息网络的安全提出了更高的要求。因此,深入研究电力企业信息网络安全的特点和存在的问题,对电力企业信息网络的安全运行有一定的指导意义。
电力企业信息网络结构如图1所示。
图1电力企业信息网络结构
1网络安全
所谓网络安全是指在分布网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容或能力拒绝服务或非授权使用和篡改。网络安全具有机密性、可用性和完整性这三个基本属性。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。
威胁网络安全的因素主要有黑客入侵、信息泄漏、拒绝服务攻击和病毒等几类。
(1)黑客入侵
由于网络边界上的系统安全漏洞或管理方面的缺陷(如弱口令),容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络,使用被入侵的计算机或网络的信息资源,来窃取、破坏或修改数据,从而威胁电力企业信息网络安全。
(2)信息泄漏
相对于黑客入侵这种来自网络外部的威胁而言,信息泄漏的主要原因则在于企业内部管理不善,如信息分级不合理、信息审查不严和不当授权等,都容易导致信息外泄。
(3)拒绝服务攻击
信息网络上提供的FTP、WEB和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加CPU的负荷,当系统资源消耗超出CPU的负荷能力时,此时网络的正常服务失效。
(4)病毒
通过计算机网络,病毒的传播速度和传播范围程度惊人,它可以在数小时之间使得全球成千上万的网络计算机系统瘫痪,严重威胁网络安全。病毒的危害性涉及面广,它不仅可以修改删除文件,还可以窃取企业内部文件和泄露用户个人隐私信息等。
2安全策略
2.1网络隔离
由于不同的网络结构应该采用不同的安全对策,因此我们为了提高整个网络的安全性考虑,可以根据保密程度、保护功能和安全水平等差异,把整个网络进行分段隔离。这样可以实现更为细化的安全控制体系,将攻击和入侵造成的威胁分别限制在较小的范围内。所谓网络隔离(Network Isolation)是指把两个或两个以上可路由的网络(如TCP/IP)完全断开或通过不可路由的形式(如不可路由的专用协议、专用数据交换硬件等)进行连接,从而达到隔离网络攻击和防范网络风险的目的。
电力企业内外网之间是通过物理隔离的,所谓物理隔离是通过网络与计算机设备的空间(主要包括网线、路由器、交换机、主机和终端等)分离来实现的网络隔离。物理隔离强调的是设备在物理形态上的分离,从而来实现数据的分离。完整意义上的物理隔离应该是指两个网络完全断开,网络之间不存在数据交换。然而实际上,由于网络的开放性和资源共享性等特点需要内外网之间进行数据交换。因此,我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统。
2.2防火墙
防火墙实际上是由应用层网关、包过滤路由器和电路层网关等组成的一套系统,它逻辑上处于内部网和外部网之间,可以提供网络通信,从而保证内部网的正常安全运行。防火墙是放置在电力企业内网服务器前端的,防火墙的基本结构如图2所示。
图2 防火墙结构
工作原理:当防火墙被安置完成以后,所有内部通向外部和外部通向内部的数据流都要通过防火墙。它通过包过滤技术,利用应用层或应用层数据共享的方式来实现不同网络之间的通信,通过堡垒主机(屏蔽主机防火墙)连接系统外部与内部。此外,它还利用基于支持网络层和应用层安全功能等技术来有效的隔离了内部和外部的网络,从而建筑起了一道屏障来抵御非法的侵入,更好的保护了电力企业网络系统的安全运行。
我们要特别注意的是,即使网络安装了防火墙也还要考虑防火墙产品自身是否安全、防火墙用户权限体系管理和防火墙的安全认证等特性。防火墙一般经常采用密码认证的方式,由于该方法安全性较差,所以一旦密码泄漏,别人就很容易控制防火墙,从而对网络的安全运行造成隐患。因此我们需要要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解,从而更好的保护网络的安全运行。
2.3防病毒
电力企业网络面临的病毒威胁主要有电子邮件传播、文件交叉感染和浏览网页及文件下载感染这三种传播途径。在电力企业网络环境下,网络病毒除了具有破坏性、可传播性、可执行性和可触发性等计算机病毒的共性外,还具有感染速度快、传播形式复杂、破坏性大、难于彻底清除和扩散面广等新的特点。
易于管理和全面防毒功能是防病毒软件的关键。现在的防病毒软件已不单单是检测病毒和清除病毒,而且还应加强对病毒的防护工作。我们可以通过安装远程防病毒软件来保证电力企业的网络安全运行。因此,集中管理、远程安装、统一防病毒策略成为了企业级防病毒产品的重要功能。我们在选择杀毒软件时,要选择在市场上有较高知名度企业研发的杀毒软件产品,这样不仅可以保证产品质量,而且产品的售后服务也能得到保证。由于计算机病毒的传播途径多样化,电力企业需要建立多层次、立体式病毒防护体系、完善的管理系统和病毒防护策略来保证网络的安全运行。
这里所谓的多层次、立体式病毒防护体 系是指在电力企业的每台台式机上安装基于台式机的反病毒软件,在Internet网关上安装基于Internet网关的反病毒软件,在服务器上安装基于服务器的反病毒软件,于此同时对电脑的操作系统进行安全加固,这样就可以从工作站到服务器再到网关进行全面保护,从而保证整个电力企业网络的安全运行,使其不受计算机病毒的侵害。
3入侵检测系统
入侵检测系统(IDS)是一种主动防御攻击的新型网络安全系统,由于它在功能上弥补了防火墙的缺陷,完善了整个安全防御体系,因此在电力企业的网络安全中有着重要的作用。
入侵检测系统是放置在电力企业内网服务器前端的,其分布式布置3所示。由图可知,我们在进行安装入侵检测系统(IDS)的关键步骤是部署监测器与控制台。具体安装如下:首先,可以在外部路由器与外部网络的连接处部署监测器,以监测异常的入侵企图,在防火墙与MIS之间部署监测器,以监视和分析管理信息系统与外部网络的通信流。然后,分别在监控信息系统(SIS)和管理信息系统(MIS)中部署一台监测器,监视各子网的内部情况,其中控制台设置在管理信息系统中。最后,根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件,保护重要设备。
图3入侵检测系统分布式布置
结束语
综上所述,随着我国经济和社会的飞速发展,电力企业在我国国民经济中的比重日益提高,电力企业网络系统的安全、稳定、有效运行对整个国民经济的稳定运行起着十分重要的作用。针对电力企业网络所面临的各种不同的威胁,我们只有采用与之相应的安全措施,才能保证电力企业局域网的安全、正常和稳定运行。
参考文献:
[1]赵小林.网络安全技术教程[M].北京:国防工业出版社,2006
[2]彭新光,吴兴兴.计算机网络安全技术与应用[M].北京:科学出版社, 2005
[3]胡炎,韩英铎.电力工业信息安全的思考[J].电力系统自动化, 2002(4):27
【关键词】计算机系统;网络安全;技术措施
0.前言
计算机系统的安全问题是一个关系到人类生产与生活的大事情, 必须充分重视并设法解决它。笔者的工作单位是电力企业, 通过这几年信息化的发展, 深深体会到企业, 特别是电力企业在网络安全、数据安全方面的重要性, 这里就其安全需求和防护问题进行论述。
1.威胁网络安全的因素主要类型
(1)黑客入侵。由于网络边界上的系统安全漏洞或管理方面的缺陷(如弱口令),容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络,使用被入侵的计算机或网络的信息资源,来窃取、破坏或修改数据,从而威胁电力企业信息网络安全。
(2)信息泄漏。相对于黑客入侵这种来自网络外部的威胁而言,信息泄漏的主要原因则在于企业内部管理不善,如信息分级不合理、信息审查不严和不当授权等,都容易导致信息外泄。
(3)拒绝服务攻击。信息网络上提供的FTP、WEB和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加CPU的负荷,当系统资源消耗超出CPU的负荷能力时,此时网络的正常服务失效。
(4)病毒。通过计算机网络,病毒的传播速度和传播范围程度惊人,它可以在数小时之间使得全球成千上万的网络计算机系统瘫痪,严重威胁网络安全。病毒的危害性涉及面广,它不仅可以修改删除文件,还可以窃取企业内部文件和泄露用户个人隐私信息等。
2.企业网络安全威胁来源
电力企业网络不仅连接企业各部门, 还连接企业内的终端机。由于内部用户对网络的结构和应用模式都比较了解, 因此还存在着来自内部的安全。归结起来,针对网络安全的威胁有以下几个方面:
(1)人为的失误操作。如网络管理员对服务器系统、应用软件服务器端和网络设备设置不当造成的安全漏洞; 网络用户或低权限用户的无意识错误操作通常有口令设置不慎,将自己账号随意借用他人、任意共享本地资源等行为对网络安全带来威胁。
(2)人为的恶意攻击。此类攻击分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性; 另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这是计算机网络所面临的最大威胁,可对计算机网络造成极大的危害,并导致机密数据的泄露。
(3)软件的漏洞。网络软件不可能是百分之百的无缺陷和无漏涧的,尤其是操作系统的安全性。这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。此外,在软件开发过程中的程序后门也是软件安全漏洞的重要因素。
(4)计算机病毒。在网络环境下, 病毒具有不可估量的威胁和破坏力。
(5)网络管理制度不健全。为了维护企业网络的安全, 单纯凭技术力量解决是不够的,还必须具有完善的网络管理制度,目前企业还有很多不完善、不周全的地方。
3.电力企业网络安全的技术措施
(1)安装防火墙系统。防火墙系统是允许信任网络信息通过,阻止非信任网络信息通过的技术。这种技术主要是通过在一个固定的信息集合的检查点,并在这个固定的检查点对通过的网络信息进行统一、强制性的拦截和检查,通过限制一些指令的进入来对自身存储的信息进行保护的措施。电力系统的生产、计算、销售以及管理等都不是在同一个地方完成的,因此其信息的集合与整理,需要通过两段不同的信息渠道,然后通过对指令的过滤和筛选,控制其信息的出入,对具有破坏作用的信息进行组织,放行符合网络要求的信息,设置信息访问的权限,来保证信息资源的安全。
(2)防病毒侵入技术。防病毒侵入系统能够有效地阻止病毒的进入,进而有效地防止病毒对电力系统的信息进行破坏。这种措施通常是在电脑上下载安全的杀毒软件,还应该安装服务器,对防病毒系统进行定期的维护,保证其能够有效正常地运行。此外,在网关出还应该安装相应的网关防病毒系统。也就是说,通过在电力系统的所有信息系统中安装全面防护的防病毒软件,对各个环节进行防毒处理,并创建合理的管理体制,以起到对计算机可能出现的病毒侵入进行预防、监测和治理,同时还应该及时对防病毒系统进行定时的升级。通过上述的所有手段,这样才能有效地对即将侵入信息管理系统的病毒进行处理。
(3)虚拟局域网网络安全技术。虚拟局域网技术简称VLAN技术,VLAN 技术是将相关的LAN 合理的分成几个不同的区域,促使每一个VLAN 都能够满足计算机的工作要求。由于LAN 的属性决定其在逻辑上的物理划分必须在不同的区域哈桑,在每一个工作站上都有特定的LAN网段,每一个VLAN中的信息都不能和其他的VLAN 上的信息进行交换,这种技术能够有效地控制信息的流动,并且有助于网络控制的简单化,从而提高网络信息的安全性。
(4)信息备份技术。电力系统的所有信息在进行传输之前,都应该进行备份,并且备份也要按等级进行,根据数据的重要程度,对信息进行分级备份,将这些备份信息进行统一管理,并且还应该定期的对备份的信息进行检查,以确保其可用性和准确性,以此防止当电力系统信息出现故障的时候,因为数据丢失造成严重的损失。
4.维护电力系统网络安全的管理
(1)网络信息安全的意识和相应的手段。意识决定着人类的行动,想要提高网络信息的安全性,首先应该通过学习和培训,促使电力企业的信息管理部门养成良好的网络信息安全意识,促使他们掌握一些安全防护意识与挖掘结局问题的能力。再通过对其进行专业的网络信息安全技能培训,使其掌握操作统计网络信息的设备的应用,在此基础上,完成对信息系统安全性的管理。
(2)强调安全制度的重要性。如果没有健全的制度对信息安全进行界定,就无法衡量信息的安全性与合法性,没有相关的制度就无法形成相应的安全防护系统。因此,电力企业应该从企业全面发展的角度出发,在对相关的网络信息安全制度充分研究的基础上,再根据企业的具体情况,为企业的网络信息安全制定一套完整的,具有指导作用的安全制度,并将此制度形象化、具体化,制定明确的条文,并且将企业的网络信息安全管理和法律向连接,对危害企业网络信息安全的因素通过法律途径惩治,以此来为电力企业的网络安全保驾护航。
(3)建立专门的安全管理部门。通过建立专门的管理网络信息安全的部门,对电力企业的信息安全进行管理,通过该部门对相关资料不断地研究,再结合自身企业的具体情况,制定符合企业自身情况的网络安全管理系统,并对此系统不断地进行维护和完善。此外还应该设定特定的岗位,将任务分级,根据不同的等级将该系统的任务分配到相关的人员手中,然后通过垂直管理,一级一级地对电力企业的网络信息安全进行检查,通过部门内所有人员的协调和配合,保证其安全有序地进行下去。
5.结语
综上所述,随着我国经济和社会的飞速发展,电力企业在我国国民经济中的比重日益提高,电力企业网络系统的安全、稳定、有效运行对整个国民经济的稳定运行起着十分重要的作用。针对电力企业网络所面临的各种不同的威胁,我们只有采用与之相应的安全措施,才能保证电力企业局域网的安全、正常和稳定运行。
【参考文献】
[1]赵小林.网络安全技术教程[M].北京:国防工业出版社,2006.
关键词: 企业;网络信息安全;威胁;管理对策
1 网络信息安全管理内涵阐述
随着计算机网络技术的飞速发展,企业网络化管理成为当今世界经济和社会发展的趋势与主流。在网络化背景下,企业不仅能够方便快捷地进行信息共享、信息交流与信息服务,而且极大地提高了工作效率,创造了经济效益,增加了在激励市场竞争中的核心竞争力。然而,凡事有利则有弊,网络技术也不例外,网络化给企业带来巨大利益的同时,网络信息安全问题也成为众多企业十分头痛的问题。如何解决常见网络问题,消除网络安全隐患,严堵安全漏洞,确保企业计算机网络及信息的安全,从而来确保油田企业生产、科研等工作正确开展,已成为油田企业亟待解决的重要课题。
言及此,笔者觉得十分有必要对网络信息安全管理的内涵,进行再分析与阐述。一直以来,许多企业,谈及网络信息安全管理,大多认为就是技术层面的工作,如防黑客攻击、反病毒侵蚀、堵系统安全漏洞等专业技术问题。其实维护网站安全工作,应不止于此。网络环境下的信息安全不仅涉及到数据加密、防黑客、反病毒、控制入网访问、防火墙升级技术等专业技术问题,更应该涉及法律政策问题和制度管理问题。不少企业,往往重视升级硬件、技术防范,却忽视安全管理问题,特别是人员管理、制度管理。其中,安全技术与安全管理齐头并进,两手共抓才是企业网络信息安全致胜的法宝,技术问题是基础与保障,而安全管理则是信息安全更强大的方式手段。
2 “两手抓,两手都要硬”加强企业网络信息安全管理对策
2.1 高度重视网络管理制度层面工作
油田企业是科研性单位,许多科技数据、技术数据等对企业生存发展来说至关重要,如录井技术就是油气勘探开发活动中最基本的技术,是发现、评估油气藏最及时、最直接的手段,因而石油勘探企业网络安全管理问题更是不容忽视,网络上的任何一个小漏洞,都会导致全网的安全问题,给企业造成不可估量的损失。
首先,我们必须在企业内部制定严格并切实可行的网络安全管理规章制度,企业主管领导应当高度重视,建立内部安全管理制度,如出入机房制度、机房管理制度、设备管理维护制度、岗位责任制、操作安全管理制度、病毒防范制度、应急处理制度等。还要定期对制度落实情况进行例行检查与抽查,重在落实,避免流于形式。确保通过制度能够做到业务计算机专门使用,业务系统与其他信息系统充分隔离,企业局域网与互联的其他网络充分隔离。充分降低安全风险。其次,要提高员工的网络安全意识。加强对使用人员的安全知识教育与培训,组织员工学习熟悉《中国信息系统安全保护条例》、《算机信息网络国际联网安全保护管理办法》等条例,增强相关法律知识,信息安全意识,坚持杜绝员工在工作时间内利用企业工作电脑访问与业务无关的网站,尤其是开展聊天、游戏、电影、下载、购物等娱乐活动,避免企业内部的文件以及数据甚至机密资料被盗现象。使用中不要随意使用自带光盘、移动硬盘与U盘等存储设备,避免传染病毒等。再次,通过学习培训增强网站管理人员的技术水平与能力。管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,以便随意采取相关措施,有应对突发风险的能力,并通过访问控制、升级防火墙、漏洞检测、病毒查杀、入侵检测等技术,做好日常网站的安全维护工作。
2.2 重视加强网络安全技术层面工作
目前网络安全技术工作,早已从操作系统维护、简单的病毒防范发展到防止黑客恶意进攻,防范蠕虫、木马程序等种类多样的网络病毒以及变种等诸多工作,表现在高水平防御体系的建构上。
俗话说:病从口入。首先,要做好访问控制管理,这就是抓好源头工作。特别是核心技术、重要数据的共享网站,一定要做到对入网访问控制和网络资源的访问控制,可实施有效的用户口令和访问账号密码,避免用户非法访问。此外口令、密码的设置上应尽量长一些复杂一些,数字字母相结合。如目前实用的USBKEY认证方法也是一种较可靠的方法,出现调离或者解雇员工,应该立即对其的网络账号进行清除,避免非法登陆,泄露企业信息。其次,通过防火墙、入侵检测、网络安全防漏洞、数据加密传输、防杀病毒等全方面的技术工作,保证企业网络信息的安全。如在防火墙设置原则上,保证实施合理有效的安全过滤原则,严格控制外网用户非法访问,确保经过精心选择的应用协议才能通过防火墙,使用网络防病毒软件,建立起企业整体防病毒体系,尽可能企业内部一些重要的资料或者核心数据进行加密传输与加密储存,这些一系列的工作可让网络环境变得更安全。
当然,网络安全管理工作是一项长期而细致艰辛的工作,不可能一蹴而就,也不能无所进步,随着信息技术的快速发展,对信息安全技术、网络安全管理工作的要求也会随之增高,今后企业信息安全技术、管理工作应该继续跟踪、学习国内外最先进的知识经验,努力提高企业信息安全管理技术水平。
参考文献:
[1]由媛,浅谈企业网络信息安全[J].电脑知识与技术,2012(02):1057-1058.
关键词:网络安全管理;网络安全管理系统;企业信息安全
中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。 5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
关键词:稳定性 体验 平衡点 路由
一、引言
近几年,随着互联网技术的不断发展,网络应用的不断丰富,用户可存在于网络空间的活动越来越多,上至六七十的老人,下到小学生都加入了这个行列。而企业因网络接入用户数急剧增加,随之接入的网络设备数量也在增多,设备配置也随着应用的需求不断的变化。在实际工作中,简单的扩充网络带宽来提高网络访问速度的做法效果并不理想。经过反复研究分析,采用综合性技术手段提高网络稳定性,对于访问速度的提高,用户体验十分显著。网络速度实际是恒定的,用户上网访问快慢的感受实际上是受带宽影响,但又存在有效带宽问题。
随着网络规模的增大并变得更为复杂,需要更多的功能、更好地控制网络组建。
二、如何提高网络稳定性问题研究
网络稳定,带宽中的有效带宽就比较高,用户上网访问速度就比较平稳,用户的访问体验就不会出现高低起伏,但网络访问稳定了并不代表速度就快了。要提高网络稳定性,首先应找出造成网络不稳定的原因,并结合实际情况尽可能把这些问题解决掉。
1.影响网络稳定性的因素。影响网络不稳定的因素很多,总结起来主要表现在五个方面:网络架构、路由体系、网络安全、桌面安全和系统安全。目前,对企业网络在这几方面情况分析如下:
(1)企业网络架构主要采用的是“三级”架构(核心、汇聚、接入)。总体思路很明确,但随着网络的不断延伸,接入用户的不断增加和新技术的应用,网络边界不断赋予新的内涵,边界功能化、明晰化成为现在存在的问题。
(2)随着技术的发展和网络应用的深入原来的路由体系是否适合现在不断扩展的企业网络,如何找出路由体系中关键技术的平衡点这都是技术难点。
(3)网络安全的隐患是影响网络稳定性的直接因素。经过近几年的努力,企业网络安全问题已得到很大提升,尤其是网络安全域划分的实施。
(4)桌面安全和系统安全对网络的局部稳定起到至关重要的作用。近两年部署的桌面安全准入系统的实施,使桌面安全和系统安全从根本上得到改善,为快速预测和提前相应提供了支持。
2.提高网络稳定性的措施。从影响网络稳定性的因素出发,我们结合业界的相关技术,提出了提高网络稳定性的措施。
(1)网络架构。企业网络是按照标准的三层结构部署,但是缺乏真正意义上的三层核心,不同功能网络之间边界不够清晰,没有使用安全设备进行隔离和访问控制。企业基于根据业务功能规划物理网络的设计原则,灵活性欠佳,且网络单元连接关系规划的不尽合理,造成部分应用数据流路径的不合理性。
针对企业网络现状,按照功能分区、逻辑分层的原则,并考虑安全区域划分的方式进行构造网络,增加统一的三网络核心,整合网络安全边界,优化网络单元连接和应用数据流路径。增加开发测试区,增强开发测试类应用的独立性和安全性;增加运行管理区,为企业网络运行管理、网络安全管理提供网络基础接入平台;增加数据摆渡区,隔离保护生产和科研网络,以保障企业核心业务;针对各网络功能区,定义网络安全边界,实施网络安全控制;增加各功能区网络设备和网络连接的冗余性,提高网络的可用性,包括:各功能区的冗余分布层和连接。
现在提倡扁平化管理,企业网络是按照标准的三层结构部署,按照功能分区、逻辑分层的原则,网络架构为核心——汇聚——接入。但随着网络规模的增大企业网络变得更为复杂,在网络接入层中有的地方包含了三层、四层,甚至五层接连,增加了数据转发层数,也就增加了故障点:上联设备故障,直接影响其下联设备。对用户来说直接影响了其上网体验。
(2)路由体系。路由协议是网络基础规则的重要内容,需要考察路由协议的开放性、可扩展性、灵活性和可管理性等方面,进行比较和选择。
下表中列出了几种路由协议各自的优点和需注意的问题。
根据前文提出的企业网络架构,考虑各种路由协议的特点,企业在内部网络采用OSPF路由和Static路由相结合的方式。
(3)网络安全。网络安全体系架构需要考虑三个层面的内容:网络安全架构、网络安全技术和网络设备配置安全,并通过不断的评估和规划,提高企业整体的安全水平。对企业网络安全技术部署现状的了解和分析,考虑认证鉴权、访问控制、审计跟踪、响应恢复、内容安全这五个方面。安全应该贯彻到整个IT架构中的各个层次,网络设备配置安全也非常重要,利用设备操作系统软件的许多安全技术,可以大大增强网络设备的安全性,从而为整个网络的安全又提供了一层保障。从口令管理、服务管理、访问控制和管理、攻击防范和路由安全这几个方面,提出网络设备配置安全:
①口令管理:要求使用加密口令,避免口令被恶意截取;
②服务管理:强调网络设备关闭不必要的服务,减少被攻击者利用的可能;
③访问控制和管理:要求对客户端的操作进行严格的认证、授权和审计;
④攻击防范:增加网络设备防范攻击功能的配置,减少网络设备被恶意攻击的风险;
⑤路由安全:关注路由协议认证,消除路由安全问题。
(4)桌面安全和系统安全。信息安全风险管理就是可以接受的代价,识别、控制、减少或消除可能影响信息系统的安全分析的过程。桌面和系统的安全风险管理并不仅仅只是着眼于防病毒,防攻击以及系统加固也很重要。但必要的加固措施存在以下几个问题:
①不能确保所有计算机都安装了防火墙和杀毒软件;
②不能及时对杀毒软件、防火墙进行更新;
③不知道怎样对系统防护进行策略配置,不知道怎样对漏洞进行补丁安装。
近两年企业部署的桌面安全准入系统的实施,使桌面安全和系统安全从根本上得到改善。企业应从提高桌面准入客户端的安装率,挖掘该系统的深入应用,提高系统补丁的安装出发来解决这些问题。
三、企业提高网络稳定性实践方案
本实践方案是在影响网络稳定的五大因素的基础上,通过结合企业现状、利用现有的条件得出的一套提高企业网络稳定性的实践方案。以下将从网络结构介绍出发,详细阐述该实践方案。
1.网络架构。网络架构在功能分区、逻辑分层的总体思路指导下,采用“三级”架构,核心-汇聚-接入。所有只具备单链路接入的单位联接在边界路由器,边界路由器与核心A和核心B采用双链,数据中心与核心采用双链,重要并具备条件的各汇聚采用双链,从而实现核心A和核心B热备,无论核心A或B其中任何一个故障,各二级汇聚上用户或边界路由器用户都能无所察觉的正常访问数据中心资源,进行日常办公。从而加固了网络核心,明晰了网络边界,提高了企业网络稳定性。
图 网络架构总体设计
2.路由体系。根据OSPF(开放式最短路径优先)路由和Static(静态)路由的优缺点,结合企业现状,提出企业路由体系需遵循的三个原则:(1)动静路由的选择。
(2)减少路由器同步和收敛时间。
(3)明晰并统一语法。
企业网络是采用OSPF路由和Static路由结合的方式,这两种方式各有优缺点。Static路由可以精确的控制互联网络的路由行为,然而,如果经常发生网络拓扑变化,那么手动配置方式将导致静态路由的管理工作根本无法进行下去。OSPF路由能够使互联网络迅速并自动地响应网络拓扑的变化。但对于任何程序而言,自动化程度越高,可控程度就越差。通过Static路由这种精确控制互联网络的路由的方式,即减少各片区路由收敛对整网造成过大的影响,又在一定程度上规范了IP地址等网络资源的使用。
企业网络核心到边界,核心到汇聚采用OSPF路由,使互联网络迅速并自动地响应网络拓扑的变化,减少路由维护工作量。边界其他一些网络用户数较大的接入单位采用Static路由,通过这种精确控制互联网络的路由的方式,减少各片区路由收敛对整网造成过大的影响,在一定程度上规范了IP地址等网络资源的使用。接入边界的网络用户数较大的单位内部网络采用动态路由。并且统一路由规则,主要包括以下几点:
(1)RID(router id)是用来唯一表示OSPF网络中的一个节点,为避免由于组网不当造成相同自治系统中的RID冲突,路由器均需设置RID,RID的地址最好选择网络中最大的IP地址;
(2)合理使用OSPF的0区域,统一OSPF的语法和规则。
在本方案中,由于指出了网络路由协议使用原则,规范了路由的语法和规则,从而避免了路由配置错误;并且把可能产生的路由震荡局限在了比较小的范围,从而提高了网络稳定性。
3.网络安全。启用接入层交换机端口安全,采用适合企业现状的相关参数,减少ARP攻击。
4.桌面安全和系统安全。根据企业的实际情况,提出从两方面出发:(1)把IPS桌面化和桌面防火墙的使用实现防攻击。
(2)提高终端计算机补丁安装率。
基于策略的终端安全检查和控制功能,通过在sep(终端准入系统)策略服务器上制定详细的wsus()策略来控制计算机的补丁更新,安装了sep客户端计算机只要接入网络,sep客户端就会执行相应的wsus策略检查并将结果提交给sep策略服务器,策略服务器在收到客户端传来检查结果后和制定的wsus策略进行比对,如客户端计算机满足wsus策略才被允许使用网络,否则只能访问隔离网段内的网络资源。针对不同区域实施不同策略,实现多组wsus服务器之间负载均衡,使客户端能在最短时间内获取补丁资源 。
5.实践总结。企业网络是在不断的扩展,各种新技术也是层出不穷,如何解决网络稳定性的问题已成为当今乃至未来面临的主要难题。这提醒着我们要从全局角度出发,思考、分析、解决问题,“头痛医头,脚痛医脚”的方式无法适应当下网络的运维工作;并且要从体系角度进行网络建设和维护,改变简单的把“网络维护”看成“网络设备维护”的传统思想。
参考文献:
[1](美)多伊尔 著.葛建立,吴剑章译.TCP/IP路由技术,第一卷,2003.10.
随着数据库、软件工程和多媒体通信技术的快速发展,矿山企业实施了安全生产集控系统、环境监测系统、调度管控系统、移动办公系统及智能决策支持等系统,实现了矿山企业安全生产、办公和管理信息化、智能化。网络能够实现各类信息化系统的数据共享、协同办公等,也是信息化系统正常运行的关键,因此网络安全防御具有重要的作用。本文详细地分析了矿山企业网络安全面临的问题和现状,提出采用先进的防御措施,构建安全管理系统,以便提高网络安全性能,进一步改善矿山企业信息化运营环境的安全性。
1矿山企业网络安全现状分析
随着互联网技术的快速发展,互联网将分布于矿山企业生产、管理等部门的设备连接在一起,形成了一个强大的矿山企业服务系统,为矿山企业提供了强大的信息共享、数据传输能力。但是,由于许多矿山企业工作人员在操作管理系统、使用计算机时不规范,如果一台终端或服务器感染了计算机病毒、木马,将会在很短的时间内扩散到其他终端和服务器中,感染矿山企业信息化系统,导致矿山企业服务系统无法正常使用。经过分析与研究,目前网络安全管理面临威胁攻击渠道多样化、威胁智能化等现状。
1.1网络攻击渠道多样化
目前网络黑客技术正快速普及,网络攻击和威胁不仅仅来源于黑客、病毒和木马,传播渠道不仅仅局限于计算机,随着移动互联网、光纤网络的兴起和应用,网络安全威胁通过智能终端进行传播,传播渠道更加多样化。
1.2网络安全威胁智能化
随着移动计算、云计算和分布式计算技术的快速发展,网络黑客制作的木马和病毒隐藏周期更长,破坏的范围更加广泛,安全威胁日趋智能化,给矿山企业信息化系统带来的安全威胁更加严重,非常容易导致网络安全数据资料丢失。
1.3网络安全威胁严重化
网络安全攻击渠道多样、智能逐渐增加了安全威胁的程度,网络安全受到的威胁日益严重,矿山企业网络设备、数据资源一旦受到安全攻击,将会在短时间内迅速感染等网络中接入的软硬件资源,破坏网络安全威胁。
2矿山企业网络安全防御措施研究
矿山企业网络运行过程中,安全管理系统可以采用主动、纵深防御模式,安全管理系统主要包括预警、响应、保护、防御、监测、恢复和反击等六种关键技术,从根本上转变矿山企业信息系统使用人员的安全意识,改善系统操作规范性,进一步增强网络安全防御性能。
2.1网络安全预警
网络安全预警措施主要包括漏洞预警、行为预警和攻击趋势预警,能够及时发现网络数据流中存在的威胁。漏洞预警可以积极发现网络操作系统中存在的漏洞,以便积极升级系统,修复系统漏洞。行为预警、攻击预警可以分析网络数据流,发现数据中隐藏的攻击行为或趋势,以便能够有效预警。网络安全预警是网络预警的第一步,其作用非常明显,可以为网络安全保护提供依据。
2.2网络安全保护
网络安全保护可以采用简单的杀毒软件、防火墙、访问控制列表、虚拟专用网等技术防御攻击威胁,以便保证网络数据的机密性、完整性、可控性、不可否认性和可用性。网络安全保护与传统的网络安全防御技术相近,因此在构建主动防御模型时,融入了传统的防御技术。
2.3网络安全监测
网络安全监测可以采用扫描技术、实时监控技术、入侵检测技术等发现网络中是否存在严重的漏洞或攻击数据流,能够进一步完善主动防御模型内容,以便从根本上保证网络安全防御的完整性。
2.4网络安全响应
网络安全响应能够对网络中存在的病毒、木马等安全威胁做出及时的反应,以便进一步阻止网络攻击,将网络安全威胁阻断或者引诱到其他的备用主机上。
2.5网络恢复
矿山企业信息系统遭受到攻击之后,为了尽可能降低网络安全攻击损失,提高用户的承受能力,可以采用网络安全恢复技术,将系统恢复到遭受攻击前的阶段。主动恢复技术主要采用离线备份、在线备份、阶段备份或增量备份等技术。
2.6网络安全反击
网络反击技术是主动防御最为关键的技术,也是与传统的网络防御技术最大的区别。网络反击技术可以采用欺骗类攻击、病毒类攻击、漏洞类攻击、探测类攻击和阻塞类攻击等技术,网络反击技术可以针对攻击威胁的源主机进行攻击,不但能够阻断网络攻击,还可以反击攻击源,以便破坏攻击源主机的运行性能。
3矿山企业网络安全管理系统设计
为了能够更好地导出系统的逻辑业务功能,对网络安全管理的管理员、用户和防御人员进行调研和分析,使用原型化方法和结构化需求分析技术导出了系统的逻辑业务功能,分别是系统配置管理功能、用户管理功能、安全策略管理功能、网络状态监控管理功能、网络运行日志管理功能、网络运行报表管理功能等六个部分。
3.1网络安全管理系统配置管理功能分析
通过对网络安全管理系统操作人员进行调研和分析,导出了系统配置管理功能的业务功能,系统配置管理功能主要包括七个关键功能,分别是系统用户信息配置管理功能、网络模式配置、网络管理参数配置、网络管理对象配置、辅助工具配置、备份与恢复配置和系统注册与升级等。
3.2用户管理功能分析
矿山企业网络运行中,其主要设备包括多种,操作的用户也有很多种类别,比如网络设备管理人员、应用系统管理人员、网络维护部门、服务器等,因此用户管理功能主要包括人员、组织、机器等分析,主要功能包括三个方面,分别是组织管理、自动分组和认证配置。组织管理功能可以对网络中的设备进行组织和管理,按照账号管理、机器管理等进行操作;自动分组可以根据用户搜索的设备的具体情况改善机器的搜索范围,添加到机器列表中,并且可以对及其进行重新的分组管理;认证配置可以根据终端机器的登录模式进行认证管理。
3.3安全策略管理功能分析
网络安全防御过程中,网络安全需要配置相关的策略,以便能够更好的维护网络运行安全,同时可以为用户提供强大的保护和防御性能,网络安全策略配置是非常重要的一个工作内容。网络安全防御规则包括多种,比如入侵监测规则、网络响应规则、网络阻断规则等,配置过程复杂,工作量大,通过归纳,需要根据网络安全防御的关键内容设置网络访问的黑白名单、应用封堵、流量封堵、行为审计、内容审计、策略分配等功能。
3.4网络状态监控管理功能分析
网络运行过程中,由于涉及的服务器、终端设备较多,网络运行容易产生错误,需要对网络状态进行实时监管,以便能够及时的发现网络中存在的攻击威胁、故障灯。网络运行管理过程中,需要时刻的监控网络的运行管理状态,具体的网络运行管理的状态主要包括三个方面,分别是系统运行状态、网络活动状态、流量监控状态。
3.5网络运行日志管理功能分析
矿山企业网络运行过程中,根据计算机的特性需要保留网络操作日志,如果发生网络安全事故,可以对网络操作日志进行分析,便于发现某些操作是不符合规则的。因此,网络运行管理过程中,网络运行日志管理可以分析网络运行操作的主要信息,日志管理主要包括以下几个方面,分别是内容日志管理、报警日志管理、封堵日志管理、系统操作日志管理。
3.6网络运行报表管理功能分析
网络运行过程中,为了能够实现网络安全管理的统计分析,可以采用网络安全报表管理模式,以便能够统计分析接入到网络中的各种软硬件设备和系统的运行情况,网络运行报表管理主要包括两个方面的功能,分别是统计报表和报表订阅。
4结束语
随着物联网、大数据、云计算和移动互联网技术的快速应用和普及,矿山企业逐渐进入智慧化时代,网络安全威胁更加智能化、快速化和多样化,感染速度更快,影响范围更广,给矿山企业信息系统带来的损失更加严重,本文提出构建一种多层次的主动网络安全防御系统,能够提高矿山企业信息系统网络运行的安全性,具有重要的作用和意义。
作者:张军 单位:陕西南梁矿业有限公司
引用:
[1]汪军阳,司巍.计算机网络应用安全问题分析与防护措施探讨[J].电子技术与软件工程,2013.
[2]黄哲,文晓浩.浅论计算机网络安全及防御措施[J].计算机光盘软件与应用,2013.
[3]潘泽欢.数字化校园网络的安全现状及防御对策[J].网络安全技术与应用,2015.
[4]赵锐.探讨计算机网络信息安全问题与防护措施[J].计算机光盘软件与应用,2014.
[5]白雪.计算机网络安全应用及防御措施的探讨[J].计算机光盘软件与应用,2012.
[6]王喜昌.计算机网络管理系统及其安全技术分析[J].计算机光盘软件与应用,2014.
(一)缺乏安全防范意识。
就目前我国各个油田企业的网络发展情况来看,很多油田企业事先并没有做好安全防范工作,往往都是网络安全事故发展之后,才采取措施去解决的。这样一来,造成了信息泄露,对油田发展十分不利。我国油田企业普遍缺少安全防范意识,这对于油田网络安全管理十分不利,同时也将严重制约了我国油田企业朝着更好方向发展。
(二)网络安全问题应急措施存在缺陷。
随着社会经济的发展,网络安全问题呈现着新的发展趋势,传统观念和经验已经无法满足当下油田网络安全问题。我国很多油田企业处理网络安全问题时,依旧利用传统经验办事,这样一来,很难有效解决问题,造成了故障的滞留,从而带来较大的损失。
(三)缺乏科学技术投入。
有些油田企业的网络设备未能跟上时展潮流,依旧停留在初始阶段,一些系统设备较为陈旧,不利于当下油田信息化建设发展,影响了油田企业生产效率和经济效益。究其原因,主要是缺乏科学技术投入,对落后设备不能进行及时有效更新,导致网络运行不稳定,并且出现网络安全问题。
二、油田企业网络安全管理和防护建设措施研究
(一)建立网络安全预警机制。
网络安全预警机制的建立,将在很大程度上对入侵的木马、病毒进行阻挡和预警,可以有效保护油田企业网络安全。建立网络安全预警机制,应该注意以下几点问题:(1)对网络安全设备进行及时更新,确保相关设备跟上时展潮流,具有一定的先进性。油田网络安全设备主要涉及到CPU、流量测试设备、接口设备、网络设备等,确保这些设备的先进性能,将有利于预警功能实现;(2)设置多样化的警告方式,确保预警机制能够起到重要作用。网络预警机制,需要设置相应软件进行预警监控,多样化的警告方式,可以保证预警作用实现,避免单一预警信号失去效用;(3)建立相应数据监控系统,通过对数据监测,可以更好发现故障出处,有利于故障解决。在进行实际工作中,一些故障问题具有普遍性,建立数据监控系统,对故障数据进行存储,可以方便日后故障处理,保证网络运行稳定性。
(二)提高安全防范意识。
网络安全防范意识的提升,从主观上意识到网络安全重要性,对于网络安全管理以及防护建设具有重要意义。油田企业日常工作过程中,要注意网络安全的维护,并且对企业员工灌输网络安全防护意识,大家在使用网络时,不去浏览非法网页,硬盘使用时记着查杀病毒,这样一来,将在很大程度上切断病毒传输途径,确保网络安全。同时,加大网络安全维护意识以及防范意识,定期对垃圾文件进行清理,安装病毒防火墙,检查计算机系统是否存在漏洞,并且进行及时修复。
(三)注重网络安全维护队伍建设。
建立一支高素质的网络人才队伍,对于解决网络安全管理问题具有重要作用。我国油田企业为了更好实现网络安全,应该注意高素质人才队伍建立,让这支高素质的网络人才队伍,服务于网络安全管理和防护建设当中,将更加有利于实现网络安全目的。油田企业建立网络人才队伍,应该切实发挥人才在网络安全管理中的重要作用,为油田企业网络安全管理维护贡献自身的力量。同时,油田企业还应该加强网络安全技术交流,让网络安全人才与其他企业的人才进行交流,学习和借鉴先进经验,更好服务于企业网络安全管理与防护建设的工作当中。除此之外,企业在网络安全人才建设过程中,应注意采取灵活的人才管理机制,激发员工工作热情,为网络安全人才提供广阔的发展空间。
三、结束语
[关键词] 网络营销 风险 对策
网络营销是企业利用互联网进行营销活动的一种新的方式,相比传统营销,它是技术、智慧和服务的结合,有着传统营销无可比拟的优势和特点。然而,尽管网络营销具有许多竞争优势,但并不是说企业只要“触网”就都能成功,企业网络营销的开展同样存在着巨大的运作障碍和经营风险。因此,如何应对网络营销风险已经成为一个亟待解决的新课题。
一、企业网络营销的风险识别
1.支付风险
目前,企业对网络营销最担心的问题之一是支付的安全问题,有很多企业对网上交易的安全性表示担心。这主要是因为目前缺乏满足网络营销所要求的交易费用支付和结算手段,银行的电子化水平不高,安全性差,银行之间相对封闭。虽然银行方面也作出了很大的努力,但远不能满足全面网络营销的要求,消费者面临网上欺诈的危险,害怕自己信用卡号码被盗用,担心个人隐私被泄露。
2.技术风险
技术风险是企业在网络技术不成熟和与之相关的技术手段不稳定,而给交易双方带来的风险,如数据加密技术还不尽如人意,数据的传送、读取、反馈会因为软硬件设施的出错而发生错误,上网速度慢、网络易堵塞、密码被盗窃等等,这些大大加深了网络交易的风险。在我国,网络发展水平不高、网络基础设施差、线路少、安全性不高,这些都导致一切技术上的不稳定,从而造成上述混乱情况,技术原因形成的风险对网络营销产生较大的负面影响。
3.信用风险
信用风险是网络营销发展中的主要障碍,这是因为网络营销是建立在交易双方相互信任,信守诺言的基础上的。买方假设卖方的商品合格没有缺陷,卖方假设买方有足够的支付能力,双方都会履行交易时达成的承诺。但在目前“假冒伪劣盛行,欠债不还有理”这样一种缺乏信任的经营环境中,如果没有任何信用保证,网络营销是难以开展的。信用风险将在很大程度上制约网络营销的发展。
4.法律风险
尽管我国对电子合同的法律效率、知识产权的保护、网上支付、电子证据等进行不断的研究,但这些法律法规的内容远远不能适应电子商务的发展,很多的商务活动还找不到现成的法律条文来保护网络交易中的交易方式,导致交易双方都存在风险。另外,由于网络营销可以在不同国家和地区的企业个人之间交叉进行,但各国的法律不同,社会文化、风俗习惯又有很大的差异。因此,很有可能一方看来正当的交易,但在另一方却是不可接受的,从而导致交易的失败或受到限制。
5.物权转移风险
物权转移中的风险是买卖双方都应十分注意防范的一种风险。尤其是在网络营销中,物权转移过程中的风险更大,更加应该提防和警惕。如款到无货或货到无款、无保障的定金交易等,都将加大买卖双方的风险。这主要是由于物流网络的不配套而引起,网络营销虽然缩小了企业之间信息虚拟市场上的竞争,但对企业的物流水平与能力提出更高的要求。而目前拥有全国物流能力的企业寥寥无几,特别是广大中小企业,物流能力不强,不能及时与网络用户实物交割,产生物权转移的风险,这已经成为阻碍网络营销发展的主要原因。
二、我国企业防范网络营销风险的对策
企业网络营销风险的防范,建立在企业准确认识网络营销风险基础之上,而科学的营销战略和战术可以减少网络营销企业的经营风险和机会成本。通过对企业网络营销风险的识别,可以考虑以下几种对策:
1.加强网上支付的管理
(1)各大商业银行之间尽快实现统一,可跨行业的互联、互通;(2)固树立安全第一的意识,处理好安全与发展速度的关系;(3)加大支付技术上的攻关力度进一步提高网上支付安全保障,将风险环节前移,在产品开发初期充分考虑到安全性,对存在安全隐患的产品,绝对不投入使用,不投入市场。
2.加强信息安全技术研究
网络营销要适应市场全球化的新形势,信息安全至关重要。加强信息安全研究是我国发展网络营销亟待解决的关键问题。信息安全体系的突出特点之一,是必须有先进的技术系统来支持。在安全技术方面,涉及技术标准、关键技术、关键设备和安全技术管理等环节,而其核心问题有两个:(1)有关的安全技术及产品必须也只能是我国自主开发的和国产化的;(2)信息安全技术的开发与采用和国产信息安全产品的采购与装备,也应纳入法制的范围。
3.建立健全信用评估体系
建立我国完善的信用评估体系是网络营销得以迅速发展的重要组成部分。建立完善的信用评估体系要从以下几方面着手:(1)建立健全科学的信用评级体系。建立科学的信用评级体系要做到国际惯例与中国国情相结合以及传统研究方法与现代先进评级技术和互联网技术相结合;(2)建立独立、公正的评级机构。信用评级机构不能受到政府、企事业单位和被评级对象的干预;(3)政府积极持信用评级机构开展工作。
4.完善网络交易的法律法规
无论网络安全、网上结算还是货物配送,都涉及法律法规问题。只有健全法制,严惩违法者,才能保证网络营销的正常运行。因此,国家必须在立法和执法上加大力度。从网络安全来说,要组织力量,选择符合我国国情的网络交易安全技术,积极开发我国自己的网络安全产品。要强化网络交易安全管理,制定有关的网络交易标准和管理标准,规范买卖双方和中介方的交易行为。要尽快完善网络交易的法律法规,明确交易各方当事人的法律关系和法律责任,严厉打击利用网络营销进行欺诈的行为。
5.强化企业制度建设
企业的制度建设是有效防范各类风险、减少风险损失的主要手段。为有效防范和控制网络营销风险,企业应着重加强以下几项制度建设:(1)人员管理制度:明确权责范围,规范员工行为,通过培训教育提高员工的风险防范意识和能力;(2)风险控制制度:为企业在风险决策、交易管理、危机应急等状况下提供规范的处理方法和操作机制;(3)监督制度:通过严格的监督监管,保证各项制度措施能够顺利实施并充分发挥效用。
参考文献:
网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
1入侵检测技术入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
2系统设计目标该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
系统原理框图
该文设计了一种通用的企业网络安全管理系统。
1系统总体架构网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
2系统网络安全管理中心组件功能系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
系统架构特点
1统一管理,分布部署该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
2模块化开发方式本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3分布式多级应用对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
关键词:企业;网络安全;对策
【Abstract】The 21st century is the era of information technology, information technology has brought great opportunities to multinational enterprises, but at the same time challenges and opportunities facing a lot of problems at this stage of China's enterprises in the enterprise network security, this paper for Chinese enterprisesnetwork security, and foreign enterprise network security situation, a detailed analysis of China's enterprises in the network security threats and challenges, and the relevant principles of network security solutions, and related countermeasures.【Keywords】business; network security; countermeasures
中图分类号:TN915.41
21世纪是一个信息技术日新月异的时代,人类生活的各个网面也都已经进入了信息化时代, 互联网已经在人们的生活、工作、学习、娱乐等事务中得到广泛的应用,特别是在我国的企业中,网络在企业的发展中有着举足轻重的影响。现阶段,我国很多企业都充分意识到网络安全在企业发展中的重要地位和作用,各个企业都建立了自己的企业网站等,诚然,事实表明,网络给企业的发展带来了大量有益的信息资源,但是,与此同时,网络本身也蕴含非常多的潜在危险和挑战。因此,企业要对网络安全的问题给予充分的重视,这关系到企业的长远发展。
企业网络安全的涵义
企业的网络安全从字面上说,就是企业在网络上的安全,主要是企业信息的安全。网络安全涵盖非常多的领域,现阶段,网络安全主要是网络上安全漏洞、各种病毒的侵害和威胁。所以,企业网络的信息安全就是保护企业在网上的信息的安全、完整、真实,保证企业的网络信息不被盗用和修改,所以,“通常定义为网络系统中的软硬件、系统中的数据等受到保护,不会因为网络系统的硬件、软件及其系统中的数据受到保护, 不会因为任何的破坏而被修改、泄露,以至企业的正常的运行。“[1]由于企业计算机网络系统的多样,并且由于网络的开放性等特点,计算机很容易受到恶意软件、黑客以及各种非法的攻击和危险,这样就可能会导致企业网络信息的泄露,企业的各类信息受到严重的威胁,不仅包括使企业自身的各类信息,还包括企业的客户信息的安全。
国内外企业的网络安全现状
在国际范围内,一些发达国家,例如美国以及欧洲一些国家,他们在企业网络基础设施上的建设和维护相比较一些发展中国家来说,更加地完善。由于受到第三次科技革命的影响,这些国家的企业在企业网络安全问题的认识比较深入和重视,他们在网络安全上的建设起步时间比较早。因此,在这些发达国家内,企业的网络现状比较好,危害网络安全的黑客攻击、盗窃等犯罪活动的发生率比较低。足以看出,国外一些国家队企业网络安全的问题非常重视,并且把企业网络的安全问题作为企业发展的一项十分重要的问题。,他们在对网络的资金和人力的投资商都比较大,并且呈逐年递增的趋势。
在国内,我国企业对网络安全的资金和人力投入在整个网络系统的见着中所占的比例比较低,并且同欧美国家以及日本韩国等相比,都有很大差距。这其中的原因,主要是因为我国很多企业特别是那些中小企业的资金预算十分有限,他们很多仅仅重视利益的投资和回报率,。很多企业对企业网路信息的安全不太重视,再加上企业专门的网络技术人员的专业素质上的欠缺以及人数上的不足,这一系列的问题使得我国企业的网络安全的建设状况不容乐观。
在我国网络技术的应用中,一般都使用防火墙以及各种防病毒的软件。由于防火墙的性价比比较高,安装简便,并且可以在线升级,但是单单有这些技术应用是不够的,还应该在企业网络安全上多多注意,系统的登录名、登录密码等等,都要多加强技术的投入。
企业网络安全的原因分析
导致企业出现网络安全的原因是多方面的,主要包括以下几个方面:
企业对网络安全的防范措施不到位
首先, 企业对网络安全的认识不够,很多企业对网络管理不是十分重视,在企业内部设置的网络管理部门也对这个问题的重视不够。其次,企业的生产经营的许多环节都涉及到网络,在网络中企业要进行各项业务,在网络的运行过程中难免会有某些方面的疏忽和漏洞,这可能会导致一些黑客蓄意的攻击和侵害。企业缺乏一个相对比较健全的网络安全管理体制,企业网络的安全管理同其他方面的管理是不同的,不能照搬照抄,管理网络的方式比较落后,网络安全的职责落实不到个人,这些都导致网络管理的混乱以及网络全责的不明晰。
第二,黑客的攻击
在网络上黑客使用一系列工具对企业的网络进行攻击和入侵,企业的重要信息可能遭到破坏或者盗窃,致使企业网络不能正常地使用,如果情况严重的话,网络可能会瘫痪。调查表明,自从计算机在全球范围内得到广泛应用以来,计算机病毒也开始出现,有这些病毒造成的损失也十分的大。
网络操作系统自身的缺陷
企业在网络的操作系统中有很多漏洞,这样对那些注册过的用户来说就十分地危险,因为有些非法的用户在未经授权的情况下,可以获得访问的权限,这样非法用户就可能会侵害他人的信息,继而造成信息被泄露、破坏、盗取。
网络安全的管理策略
建立完善的企业网络安全保护体制
网络安全工作的开展需要严格完善的规章之地,企业的相关管理人员要对企业的网络安全进行责任的分配,对未尽责任的工作人员要给予相关的惩罚。“建立一个安全保密体制,对保密体制的执行状况进行定期或者不定期的检查,并对检查结果进行保存。”[2]这样就可以使得每一个相关的工作人员把企业网络安全的责任落实到实处,严格保守企业的机密信息,保护企业的网络信息安全。这也是企业网络安全首要的和最重要的任务。
网络技术上的安全防控措施
首先,需要做好对病毒的预防在企业内部,要做好对病毒的预防,要在病毒对网络进行攻击侵害之前就要对其进行很好的预防,如果仅仅在病毒入侵之后才看是对其进行消除的工作的话,这仅仅是一种补救的措施,是被动的,要做到防患于未然,必须对企业的计算机系统做严格的保护措施。在企业内部,要尽量做到专机专用,是每个人都有自己独立的电脑设备,尽量禁止无关人员使用企业内部的计算机设备;外带的移动设备等等,也要在连接电脑室进行木马的查杀,避免病毒和木马的侵害。在计算机使用互联网进行工作室,要对那些来路不明的邮件、文件等格外地注意。假如这些预防措施都不管用,导致病毒入侵的情况发生的话,就要对企业信息系统中的重要文件或者信息作备份,对那些被病毒感染的文件,要对其进行查毒,并对磁盘整体进行木马的查杀。如果在这一系列的行为之后,计算机仍然有残留的病毒的话,那么,应该停止使用计算机。
其次,对企业网络设备的硬件的安全管理大多数企业的网络设备一般都是放在专门的机房中,所以,良好的机房防盗措施是十分必要的。机房每天都要有专门的工作人员进行管理,并对进出机房的人员进行登记和检查,在机房内部安装监控摄像系统,以及报警系统,保证重要的计算机设备的安全。此外,机房的管理人员要对负责机房的卫生工作,保证机房的整洁干净,没有过多的尘土,无垃圾。同时,机房良好的防水、防火、放电灯措施也是必不可少的。
对企业网络访问权限的控制
“应用防火墙技术,控制访问权限,实现网络安全集中管理。”[3]防火墙技术是十分重要的网络安全技术,它是在近些年才发展起来的,防火墙的主要功能是是在接入网络入口时,保障网络通讯的安全。在网络出口处安装防火墙,进入网络内部就要通过防火墙的检查,IP地址,把系统可能受到的侵害发生几率降低,拒绝那些非法的进入,是黑客很难进入。这样就可以按照客户的安全规定,提高内部网络安全。
结语: 企业的网络安全企业发展的一个十分重要的问题,要做好企业的网络安全工作,需要全体工作人员的努力,在工作过程中要树立科学的网络安全意识,采取相关的措施,不断提高企业网络的安全。
【参考文献】
[1] 张敏;中小企业网络安全整体解决方案[J];改革与开放;2011年第6期
企业在发展的过程中,已经离不开网络,企业在使用网络的过程中,网络安全问题较为突出。所以,分析企业网络安全问题,提高企业网络安全性能非常重要,这关乎企业未来的发展。
二、企业网络安全性急需重视
企业已经越来越依赖网络以及企业内部网络来支持重要的工作流程,内部网络断线所带来的成本也急剧升高。当这一刻显得迫在眉睫时,如何确保核心网络系统的稳定性就变得非常重要,即使一个企业的虚拟网络或防火墙只是短暂的中断,也都可能会中断非常高额的交易,导致收入流失、客户不满意以及生产力的降低。尽管所有的企业都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业尤其需要一套强大而可靠的安全性解决方案。通过一部中央控制台来进行配置和管理的安全性解决方案能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员们能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员们将非常自信:一旦他们在整个网络中配置了适当的安全性规则,不论是用户还是系统的安全性都将得到保证,并且始终安全。而对于那些安全性要求较高的企业来说,基于软件的解决方案(例如个人防火墙以及防病毒扫描程序等)都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的“友好”应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。
三、网络结构的安全风险分析
根据使用网络的不同方面,以及对系统信息的安全使用将网络安全风险分为如下几类。
1.来自与公网互联的安全威胁
由于中心网络与Internet相连,而Inter-net公网是基于开放性、国际性与自由性的,所以中心内部网络连到INTERNET公网,则内部网受到攻击的可能性将增大。因为,每天黑客都在试图闯入Internet节点,并寻找一些目标试图进行攻击。假如对网络不保持警惕,可能连黑客的闯入无知,甚至会成为黑客入侵其他网络的跳板。假如内部网络的一台机器安全受损,就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,对有特殊要求的网络系统必须做相应的安全防范措施。
2.内部网络互联安全威胁
网络安全风险不仅来自外部网,内部网及不信任域同样存在着对内部系统网络的安全威胁,内部网络容易造到来自内部或不信任域用户中一些不怀好意的入侵者攻击。攻击方法比如:
入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的ID、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
内部不怀好意员工,通过上传一些破坏程序,也可能危机经济信息中心内部网络的安全。
入侵者通过发电子邮件或内部人员自己投放病毒软件,感染某主机,进而通过网络传播,影响整个网络的正常运行,并可能破坏网络系统。
3.系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Linux还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其后门。而且系统本身必定存在安全漏洞。这些”后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
4.应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也动态。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
5.资源共享
网络系统内部办公网络可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易获取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
6.电子邮件系统
企业网络系统连入互联网,电子邮件应用将是应用比较广泛,内外用户间的信息传递,就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,让黑客掌握了系统的主动权。给系统带来不安全因至素。
四、常用的网络安全技术
1.PKI技术
PKI(PublicKeyInfrastucture)技术是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心,是电子商务的关键和基础技术,是一种适合电子商务、电子政务、电子事务的密码技术,它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的、易用的、灵活的和经济的,它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
2.防火墙
基于防火墙的网络安全结构主要有三种:双宿主机结构、主机过滤结构和子网过滤结构。双宿主机结构可以提供很高程度的网络控制,它从物理上将内部和外部网络隔开,但该结构在防护资料包从外部网络进入内部网络时很容易失败,无法有效地预防,而该结构中的主机很容易成为网络瓶颈。主机过滤结构较前者安全、易操作,但是一旦堡垒主机瘫痪,整个系统上的信息部一览无余。子网过滤结构是主机过滤结构的变形,只是紧贴内部网络加一层过滤路由器,仍然存在安全问题。
五、企业网络安全管理制度保障
管理是企业网络安全的核心,技术是企业安全管理的保证。网络安全系统必须包括技术和管理两方面。只有完整的规章制度、行为准则并和安全技术手段结合,网络系统的安全才会得到最大限度的保障。只有制定合理有效的网络管理制度来约束员工,这样才能最大限度的保证企业网络平稳正常的运转,例如禁止员工滥用计算机,禁止利用工作时间随意下载软件,随意执行安装操作,禁止使用IM工具聊天等。最终制度通过网络管理平台得以具体体现,管理平台使得制度被严格的执行起来。
