时间:2023-09-15 17:32:32
关键词:网络 安全 防火墙 VPN IDS
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)07-0174-01
1、某金融企业计算机网络使用现状
某金融企业的计算机网络被划分成两个个部分:一个是内部网络,即在某企业系统中进行内部网络互联的广域网;一个是外部网络,即与国际互联网相连接的www网络。
内部网络采用星型的拓扑结构,以企业本部为中心,上连总公司,下辖数十个营业网点,共有信息点近千个。主干网采用光纤传输,网络地址使用的是A类地址,C类掩码。公司本部和总公司以及所辖营业网点之间采用双线路备份,主线路使用cisco路由器和电信公司光纤线路,使用ATM相连接,备份线路也是使用cisco服务器和电信公司光纤线路,使用MPLS方式连接。公司本部和其他合作往来的相关企业比如银行、邮政等通过cisco路由器和电信公司光纤线路相连。
外部网络与内部网络采用了物理隔离的方式,审批通过获准上网的客户终端通过切换信息点的方式将网络从内网断开,接入互联网获取web服务和Email服务。
2、目前该金融企业网主要存在的安全威胁
该金融企业内外网物理隔离的策略基本避免了来自互联网的网络攻击,是一种相对安全的防范措施,此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
虽然物理隔离有效杜绝了外来入侵,但网络内部依然存在很多安全隐患。
2.1 物理安全问题
物理安全产生的原因有:空气的温度和湿度等造成的系统故障、设备故障、电磁干扰、线路截获等。物理安全比较少见,但问题出现后,解决的速度比较慢,造成的损失大而持久。
2.2 病毒入侵
从广义上来讲,凡是能引起计算机故障的程序统称为病毒,传播快、种类多、范围广、破坏性大、变化快是是病毒的主要特点,即使最先进的防病毒软件也总是落后于新病毒。而且不管功能多么强大的防护技术也无法独立有效地完成安全防护任务。企业内部网络用户的一些行为也致使计算机容易感染病毒:不安装杀毒软件、安装了杀毒软件不及时升级、桌面用户在终端使用各种不可靠的移动介质等。
一旦感染病毒,轻则电脑系统变慢,重则导致用户电脑瘫痪,某些蠕虫病毒还会导致整个部门网络瘫痪,业务中断。
2.3 内部恶意攻击
在内部网络中,任意一台计算机都可以访问其他连接在网络中的计算机,互联网上的黑客手段在局域网内部同样有效,这些条件让内部人员非法获取重要信息、信息变得轻松方便,内部网络的安全性受到极大威胁。
2.4 非授权网络接入
企业内部人员的一些违规行为使物理隔离失去意义,比如内网主机擅自更换隔离卡的内外网口、网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、无线AP、以太网接入等,给整个企业内网带来严重的安全威胁。
3、网络安全策略
3.1 虚拟局域网技术
在公司网络核心交换机-cisco 6509交换机上划分多个VLAN ,VLAN的划分可以隔离广播域,提高网络性能,同时,还可以对机要部门进行隔离,比如公司业务部门用户不能访问数据中心服务器资源。提高了安全性。VLAN使网络的拓扑结构变得非常灵活机动,它可在诸如IP地址、端口、mac地址等不同形式上产生。VLAN对每个子网间的非授权访问有限制作用,并能设置MAC/IP地址绑定。VLAN工作在OSI参考模型的数据链路层和网络层上,VLAN子网间的通信通过网络层的路由器或者三层交换机来转发,运行不同地理位置的用户加入一个逻辑子网中。
3.2 防火墙技术
防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据安全策略对出入网络的信息流进行有效的控制,防火墙的组成可以理解为网络过滤器和安全策略的组合,在安全策略中,主要包括网络访问、服务访问、用户认证、数据加密、病毒防御等,仅利用防护墙设备,不设置合理的安全策略,防火墙将形同虚设。公司的核心交换设备cisco 6509中有FWSM防火墙模块,安全管理人员可以设置安全策略实现对中心服务器群的保护和VLAN间访问控制。另外,公司所辖营业网点接入本部网络之前要经过天融信硬件防火墙。
3.3 入侵检测系统
入侵检测系统,英文名称Intrusion Detection System,即IDS,作为防火墙功能不足的补充,检测并报告系统中没有授权或异常状况的一种计算机系统安全技术,通过预先设置安全策略,从网络中的若干关键点收集信息、分析信息,检测网络中是否有违反安全策略的行为,分析是否有遭受攻击的迹象。IDS被认为是防火墙之后的第二道安全闸门,能帮助系统对付网络攻击。
3.4 其他措施
公司构建了整体病毒防范体系,网络中的每台工作站、服务器及网关处全部部署相应的网络防病毒产品,对每一层进行分别控制和管理,在病毒可能利用的各个传播渠道对病毒进行拦截和查杀,从而达到病毒整体防护的功效。病毒码的更新及操作系统、软件补丁的更新服务器端统一设置,客户端自动更新。
公司还采取了一些措施保证网络安全,比如主机系统双击冗余备份、严格的主机用户和密码的权限管理、自动化集中数据备份及异地备份、数据镜像、容错、数据审计,利用Ciscoworks网管软件进行网络安全监视等。
参考文献
[1]于承斌.基于防火墙的双出口路由策略的设计与实现[J].计算机系统应用,2010,(06):131-134.
[2]矫健,韩芳溪,毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用,2003,(33):168-170.
四年前,网络世界的巨擘思科开始转型,无论是出于对IT应用趋势的预判,还是对自身业务发展的紧迫感,如今看来,这一战略决策让思科在瞬息万变的科技变革之中抢占了先机。
作为思科转型策略的重要参与者,BretHartman在四年前加入思科,现任思科全球副总裁兼安全事业部首席技术官,凭借三十多年在安全领域的技术积淀和经验积累,为企业级用户搭建了一个更加安全、更加快捷、更加易用的集成式网络安全架构解决方案。企业安全越来越复杂
从最初的单机时代,到Jnternet连接网络设备所搭建的互联网时代,再到各种终端设备互相连接的物联网时代,网络安全领域的局面变得越来越复杂。作为计算机和网络安全相关技术发展和演变的亲历者,Bret认为,“很多年前我们就已经发明了很多安全技术,而有些技术其实还在不断推陈出新,对于已有的安全技术我们还是应该有一定的传承,并且重新对它们进行再次思考和再造,在过去的技术基础之上不断推动安全技术的演进。”
当今企业级用户所面对的新型威胁不断出现、攻击手段层出不穷,用户必须不断采纳新型安全技术,以应对这一动态威胁形势。举例来说,一个企业级用户为了解决一种新型威胁,通常的做法是会采用一款新的安全产品来加强防御。随着威胁数量日益增多,所部署的安全产品数量也不断增多。但是随之而来的,单个安全产品的有效性反而呈下降趋势。我们发现当用户使用第一款安全产品时,其有效性非常高。随着安全产品数量的不断增加,尽管总体有效性是增加的,边际有效性却是不断下降的。与此同时,企业级用户面临的整体复杂性不断攀升,其可管理性却在不断下降,调用某款安全产品的效率也随之降低。也就是说,随着企业级用户部署的安全产品数量的增加,能够提供给用户的防御力和其构成的复杂性之间存在一个安全有效性的缺口。
“我们希望在控制因安全产品数量增加而造成的复杂性的同时,也让每一款安全产品本身的安全能力得到足够提升,让网络安全的防御力与设备复杂性之间的安全有效性缺口得以弥合,从而让整体防御力和设备有效性得到共同提升。”Bret解释说。弥合安全有效性缺口
对于企业用户而言,如何在庞杂交错的企业安全架构中实现网络安全的有效性是他们最关心的问题。作为网络设备提供商,思科拥有庞大的用户群体,对于企业用户在网络安全方面的痛点和难点也有着更深入的理解。“我们的想法就是希望给企业级用户提供更易于部署的安全产品。”Bret告诉记者。
凭借过去三十多年在安全建模和分析等方面的丰富经验,以及近些年在云、虚拟化、SOA和Web服务安全、策略制定和管理方面的丰富积累,Bret为思科的企业级用户规划和构建了一个具备集成化、整合化和自动化的安全解决方案,使客户已有的安全产品效用得到最大限度的提升。
具体来说,“集成化”是指各个安全产品之间能够有更好的互操作性,可以更好地统一管理,能够最大限度降低安全产品造成的复杂性;“整合化”是指将企业级用户可能在同时使用的七八十个不同的安全产品进行整合,让这个企业使用的安全产品的数量逐步减少:“自动化”是指向安全产品内嵌更多的智能,当一个攻击发生时,安全产品可以自主地采取行动,无需人为介入。
“这三点也正好是思科这么多年以来投资的三个主要的安全战略。”Bret说。
思科的安全产品线覆盖安全的不同领域,这些产品之间采取高度集成化的架构方法,可以实现高度可兼容和互操作。如果只是某个产品本身的能力很强,是不足以解决客户的安全问题的,思科的安全产品采用的是集成化架构的方法,不同的安全产品可以组合在一起共同解决网络安全领域面临的不同问题。
同时,思科的安全产品覆盖了安全问题整个生命周期,在攻击发生之前、攻击发生之中以及攻击发生之后,都有相应的产品:第一类型,针对攻击发生之前,思科称之为预防性安全产品,比如思科推出的下一代防火墙(NGFW)技术;第二类型,针对正在发生中的攻击,通过检测正在发生中的攻击,及时把它阻止在某一个位置,思科将这个产品叫做“高级恶意软件防护”;第三类型,针对攻击发生之后,指确认攻击已经发生,并且入侵到了网络中的时候,为了防止它去侵害更大范围的网络,会把入侵的攻击和威胁控制并锁定在网络某一个区域,思科把这叫做“网络分区”。
要解决安全问题,所有企业都一定要注重三个平台,而思科的安全产品也正是在这三个平台基础上打造的。首先是“网络平台”,通过这个网络平台,可以收集各种远程数据信息,了解在网络设备之间所发生的各种通信,从而针对网络设备执行安全策略:第二个平台是“终端设备平台”,包括台式机、笔记本、移动设备,通过对终端设备进行检测,一旦发生网络攻击就会执行安全策略;第三个平台就是“云平台”,目前有很多工作负载都是在云平台上进行的,如果检测到这些工作负载有任何异常行为,就会执行安全措施。思科的安全产品纵贯这三个平台,实现了统一管理,从而简化了企业用户的安全问题的复杂性。
构建基于标准化平台的安全生态圈
企业级用户的IT构建是一个循序渐进的过程,而安全相关产品是与企业IT基础设施建设几乎是同步的。在这个高度互联的时代,几乎所有大型企业用户都已经在安全领域进行过多次投资,它们的安全资产已经很多。对这些企业用户而言,它们更关心的是如何能够在已有的安全技术和产品基础上进行改进和提升。思科的安全产品是基于标准化平台开发的,因此完全可以与企业现有的安全产品进行互操作。
关键词:VLAN;虚拟局域网;企业网络;网络设计
中图分类号:TP393文献标识码:A文章编号:16727800(2012)009013403
1企业组网中采用单一网段架构的不足之处
企业在组建局域网和信息化平台时,为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂,这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段(同一广播域),大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽,从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址,就会干扰到网络的正常运行,造成严重的安全隐患。为了解决上述问题,提高企业网络的安全性、稳定性和可靠性,就需要部署与实施VLAN虚拟局域网。
2VLAN虚拟局域网的主要特点
IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中,所有的计算机位于同一个广播域中,广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网,同一VLAN中的广播包只有同一VLAN的成员组才能收到,而不会传输到其它VLAN中去,这就很好地控制了广播风暴。在企业网络组建中,通过合理的VLAN设计规划,一方面可以限制广播域,最大限度地防止广播风暴的发生,节省网络带宽;同时还可以提高网络处理能力,并通过VLAN间路由、VLAN间互访策略,全面增强企业网络的安全性。
3企业VLAN规划中的技术要点
VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用,VLAN的规划和设计是高等计算机网络的一个重点,同时也是一个技术难点,实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前,应该从以下几个方面重点分析和考虑:
(1)根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段,然后根据各部门的网络应用需求、联网设备数量作进一步规划。
(2)采用合适的VLAN划分技术,常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例,计算机的数量与分布的地理位置相对比较固定,优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员,从而形成一个VLAN网段,将指定端口加入到指定VLAN中之后,该端口就可以转发指定VLAN的数据包。
(3)各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问,各个VLAN的内部计算机可以互访,其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。
(4)防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口,直接决定哪些VLAN组、哪些计算机成员可以访问Internet。
(5)必要的经费投入,购买合适的网络设备。一般选择三层智能VLAN以太网交换机,根据设计方案,通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同,因此需要VLAN实施者精通常用交换机的配置与应用。
4某企业VLAN规划和实施的具体步骤与案例分析
随着经营业务的不断扩展、联网设备的不断增多,为提高局域网安全性和处理能力,笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析,设计划分为5个VLAN, 其中VLAN16为服务器核心网段,可以与其它全部VLAN(17~20)互访。VLAN(17~20)只能访问16网段,相互之间不能互访,但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100S,LAN口管理IP为192.168.16.1,可以路由到全部5个VLAN,并能控制任意网段的计算机访问外网与IP流量。
接入层访问端口,按表1方案,连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等
在实施VLAN前,首先要对企业现有的综合布线作全面的梳理,每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下,做到计算机与核心交换机端口直接相连,尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案,对网络设备、部门计算机的网络参数进行重新分配和配置,把每台计算机的网线连接到交换机对应的VLAN端口。
该项目中,采用了H3C公司的48口全千兆三层以太网交换机S550048PSI。S550048PSI千兆以太网交换机定位于企业网和城域网的汇聚或接入,具备丰富的业务特性,提供了高性能、大容量的交换服务,并支持10GE 的上行接口,为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接,为用户提供了高接入带宽和高端口密度。S550048PSI支持4K个基于端口的VLAN,在全双工模式下交换容量为240Gbps,整机包转发率为72Mpps,可以满足企业目前应用需求。
S550048PSI交换机的配置是整个VLAN实施中的技术重点和难点,其配置要点说明如下:
(1)创建ACL访问策略。根据设计方案,VLAN16可以与VLAN(17~20)直接互访,无须设置拒绝访问规则。VLAN17不能与VLAN(18~20)互访,VLAN18不能与VLAN(17、19、20)互访,VLAN19不能与VLAN(17、18、20)互访,VLAN20不能与VLAN(17~19)互访。因此,必须单独设置规则号和拒绝访问控制列表。
5VLAN实施后产生问题如何解决
由于实施VLAN后除了VLAN16其它各网段之间不能直接互访,因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹,需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹,或者在VLAN16网段上设置共享打印机或者文件夹,以便给全公司的联网计算机访问。
6结语
通过实施VLAN前后的网络协议分析,在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样,发现各个网段的广播包数量明显减少,网络利用率有了明显提高,实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后,业务软件的输入、统计、查询,以及浏览网页的速度均有较大的提高,网络性能有了很大改善。
上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机,因此,需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施,不仅提高了网络安全性和利用率,并且对于今后企业网络的扩展和升级都带来了很大的便利。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社,2003.
【关键词】企业;互联网;安全管理
1 企业互联网应用现状
互联网发展的很快,经历了一个从简单到复杂的演变过程。计算机的应用也不断地发展,渗透在人们生活的方方面面。随着互联网用户数量的增多,带来安全问题也逐年上涨。主要有:(1)互联网上的木马、病毒、钓鱼等网络威胁泛滥;(2)职工安全意识和安全知识欠缺,不及时安装补丁、不安装防病毒软件,访问一些危险站点和网页,造成病毒、木马大量的传播,致使敏感资料、数据和信息的丢失泄密;(3)信息基础设施面临着网络安全的挑战;(4)互联网应用占用大量的时间和带宽,给正常生产和管理效率带来不利的影响。
1.1 网络的主要安全隐患
现在网络安全系统索要防范的不再仅仅是病毒感染,更多的是基于网络的非法近几年来,计算机网络安全威胁趋势发生了显著的变化,攻击变得更复杂、更隐蔽、更加多样化。主要来源包括病毒、木马和恶意软件的入侵,它们利用网络作为传播媒介,对系统和网络进行全面的攻击,具有多渠道传播、自主自动攻击、传播速度快、危害范围广等特性;网络黑客的攻击,外网的非法入侵等。
1.2 国内外管理模式
欧美企业基本上采取全体开放的方式,使用上网行为管理进行监控、管理,采取控制比较宽松、处罚较为严厉的政策。日韩企业普遍采取严格的控制管理方式。
国内管理方式差别较大,既有欧美全体开放式又有日韩的严谨上网,有限的开放方式。目前大多数企业在互联网访问安全方面还没有建立完善的管理方案。在互联网访问安全管理上,国内、外各企业的策略使用深度各异,需要针对本企业应用的实际进行关键技术研究、策略制定设计。
1.3 企业互联网管理模式
企业互联网典型管理手段为采用各类的服务器实现局域网用户访问互联网,访问策略由服务器进行控制。此模式存在以下不足:(1)没有URL库和应用协议数据库,对于URL的管理需要通过手工进行配置。并且对URL的控制与调试不够灵活;(2)对讯雷、电驴等P2P软件或是多线程下载工具不能有效的进行控制;(3)不能对网页进行有效的管理,对于游戏、视频等网站不能有效地封堵;(4)不具备上网审计功能,日志记录、分析功能不全;(5)对企业用户访问互联网的带宽不能管理,致使非工作数据侵占关键业务带宽。
2 企业互联网访问安全管理关心的主要内容
企业中的互联网用户使用互联网在做什么?是否和工作相关?是否影响了自己或是他人的工作效率?还有其他诸多的问题。
2.1 制定适合企业的网络应用控制策略、信息收发监控策略
分析企业互联网软件、下载信息和上传信息的主要应用模式,分析企业职工使用互联网的行为习惯,分析对应用软件、下载信息和上传信息的识别和分类的访问控制技术,制订针对不同应用和信息传输的控制策略,设计适合企业管理需求的网络应用控制策略集,对不同的部门应用相应的策略集,以满足其部门的日常办公的需求。
2.2 分析现有网络架构和链路下的带宽管理策略
针对企业现有网络的体系架构和互联网的访问链路,结合企业互联网应用软件的特点和信息传递的模式,分析带宽分配的粒度和技术手段,不同应用的带宽分配模式和优先级别。对企业互联网出口带宽进行合理的分配、调优,最大化地满足企业办公的需求。
2.3 分析用户通过认证访问互联网
分析哪些人可以不受限制的访问互联网互联网,哪些人可以访问部分互联网以及访问的内容是否与工作相关;不受限的互联网访问是否与本人所使用的计算机硬件信息相符,防止他人盗用有权限人的帐户。
2.4分析安全风险防范措施
互联网的首先接入到防毒墙,对互联网传播的病毒、木马程序等进行过滤,对有木马或是钓鱼网站进行屏蔽,企业内网用户统一部署网络版防病毒软件,并定期进行深度扫描;部署反垃圾邮件网关系统,对带有病毒、木马程序等的邮件进行阻拦,并对同一时间发送超过一定数量邮件的邮件帐户,列入邮件系统的黑名单,防止利用邮件系统进行攻击企业内部网络。
2.5 防火墙技术的应用
防火墙是企业网络安全的重要防护,可以保护企业内网尽可能小的受到攻击。然而,这与防火墙的策略、规则的制定有着直接的关系。对企业的各业务的应用制定严格的策略,并只开放与应用相关的端口,杜绝黑客利用其他端口进行攻击的可能性,同时开启日志记录功能,若有入侵检测功能应一并开启,做到可能受到攻击的预警,防范于未然。
3 制定互联网应用的安全管理策略
安全策略的制定实施围绕主体、客体和安全控制规则集三者之间的关系展开,遵循如下基本原则:
3.1最小特权原则:每一个用户只应该拥有最小的访问集合,只在能完成任务所必需的权限所组成的保护域执行;
3.2经济性原则:控制机制应该最小和简单,便于实现、检查和证明;
3.3完全中介性:必须可以对系统发生的所有访问请求和主客体权限变化起到完全中介作用,监控不能被旁路;
3.4特权分离原则:对客体的访问应该取决于不止一个条件被满足,把访问某个客体的权利分解成多个子权利,分别由不同主体掌握,当自权利同时都满足时才能对客体访问。
4 企业互联网访问的管理
通过企业互联网访问的分析与策略的部署,对上网信息内容进行审计,分析用户上网的行为,并进行统计,根据统计的结果对网页访问过滤进行优化;控制网络应用协议、流量等进行调优,以最合理的带宽分配,最有利于企业生产的网络应用,提高企业的办公效率,同时也降低了企业员工沉迷于互联网而忽略了正常的工作。
5 结束语
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络威胁的客观存在。我国日益开放并融入世界,但加强监管和建立保护屏障不可或缺。可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调都不过分。对于一个企业来说更是如此,通过本文的分析达到以下效果:
(1)通过对互联网访问安全管理的分析,可以对企业互联网访问安全进行规范化管理,提高企业互联网的利用率,加强企业的内部网络的安全,是企业网络健康运行。
(2)企业管理维护人员可以快速判定网络异常问题的根源,以便处理故障,为企业保生产做好后盾。
根本目标就是保证企业网络安全畅通,提升企业整体办公效率和生产力。
参考文献:
论文摘要:当前,我国电子商务建设中以技术为主的安全管理体制,忽视了人员对电子商务的安全影响。但近几年案例表明:企业缺乏针对内部人员的系统安全管理体制,是导致网络交易过程中泄密和企业利益损失的主要原因。本文重点分析了企业在电子商务安全管理体制方面存在的不足和原因,提出了一些加强人员安全管理的建议,为我国电子商务企业的安全管理提供借鉴。
1、问题的提出
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也19益猖獗。国内外调查显示…,52.26%的用户最关心的是网上交易的安全可靠性,超过6o%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程中的安全管理已经成为促进电子商务高速发展的重要因素。
电子商务的安全,可分为技术安全和管理安全两种类型。所谓技术安全,是指通过各种黑客手段窃取企业的用户ld、密码以及相关的机密文件,甚至网络银行帐号、密码等,给企业造成经济损失。而管理安全则是指缺乏对参与电子商务过程中各个环节的人员的管理预防手段,最终导致的电子商务安全事件。从美国的花旗银行和中央情报局到中国的某家国有商业银行,都有过由于内部人员的违规和违法操作,导致数据被篡改和泄密的事件发生。WWW.133229.cOm
近几年的电子商务安全案件表明:人员是网上交易安全管理中的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,有的竞争对手利用企业招募新人的方式潜入对方企业,或利用不正当的方式收买企业网络交易管理人员。有的电子商务从业人员从本企业辞职后,迅速把客户资料、产品研发成果等机密出售给竞争对手,给企业带来了不必要的经济损失。
2、原因分析
电子商务信息安全已经引起很多企业的重视,但大多数企业往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多企业认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务企业的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:
首先,很多企业管理高层对人员管理在信息安全中的地位认识不足。大多数企业将电子商务网络作为一项纯粹的技术工程来实施,企业内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和企业组织的~个层面,只有构建一个人与技术相结合的安全管理体系,才能确保整个电子商务系统得安全。
企业没有从整体上、有计划地考虑信息安全问题。企业各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。
企业对员工的信息安全教育不够。员工的信息安全意识薄弱,9o%的安全事故是由于人为疏忽所造成。如有些企业不限制内部人员使用各种高科技信息载体,如u盘、移动硬盘以及笔记本等移动办公设备。
3、加强电子商务安全管理的建议
电子商务信息安全管理实践表明,大多数安全问题是由于管理不善造成的。安全管理是一项系统工程,不仅涉及到企业的组织架构、信息技术、人员素质等各个方面,还牵扯到国家法律和商业规则。企业内部存在着诸多影响信息安全的因素:改变lt系统不等于改变企业的信息安全管理,要使企业信息尽可能的安全,必须在技术投人的基础上融人人在管理方面的智慧i同时,不仅要防外,更要防内,即对组织内部人员的管理。信息安全问题的解决需要技术,但又不能单纯依靠技术。整个电子商务的交易过程,是人与技术相互融合的过程,如何使管理与技术相得益彰十分重要。“三分技术,七分管理”阐述了信息安全的本质。
电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。网上交易安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒、信息加密、身份认证、授权等,但必须明确,只有技术措施并不能完全保证网上交易的安全。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。为了加强企业电子商务的信息安全,我们提出如下建议:
(1)提高网络安全防范意识。
现在许多企业没有意识到互联网的易受攻击性,盲目相信国外的加密软件,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。据调查,目前国内90%的网站存在安全问题,其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小,不会成为黑客的攻击目标,如此态度,网络安全更是无从谈起。应该定期由公司或安全管理小组承办信息安全讲座,只有提高网络安全防范意识,才能有效的减少信息安全事故的发生。
(2)建立电子商务安全管理组织体系。
一个完整的信息安全管理体系首先应建立完善的组织体系。即建立由行政领导、it技术主管、信息安全主管、本系统用户代表和安全顾问组成的安全决策机构。其职责是建立管理框架,组织审批安全策略、安全管理制度,指派安全角色,分配安全职责,并检查安全职责是否已被正确履行,核准新信息处理设施的启用、组织安全管理专题会等。还应建立由网络管理员、系统管理员、安全管理员、用户管理员等组成的安全执行机构。该机构负责起草网络系统的安全策略、执行批准后的安全策略、日常的安全运行和维护、定期的培训和安全检查等。如果需要,还可建立安全顾问机构。安全顾问机构可聘请信息安全专家担任系统安全顾问,负责提供安全建议,特别是在安全事故或违反安全策略事件发生后,可以被安全决策机构指定负责事故(事件)调查,并为安全策略评审和评估提供意见。
(3)制定符合机构安全需求的信息安全策略。电子商务交
易过程中,需要明确的安全策略主要包括客户认证策略、加密策略、日常维护策略、防病毒策略等安全技术方案的选择。安全执行机构应根据本信息网络的实际情况制定相应的信息安全策略,策略中应明确安全的定义、目标、范围和管理责任,并制定安全策略的实施细则。安全策略文档要由安全决策机构审查、批准,并和传达给所有的人安全策略还应由安全决策机构定期进行有效性审查和评估:在发生重大的安全事故、发现新的脆弱性、组织体系或技术上发生变更时,应重新进行安全策略的审查和评估。
(4)人员安全的管理和培训
参与网上交易的经营管理人员在很大程度上支配着企业的命运,他们承担着防范网络犯罪的任务。而计算机网络犯罪同一般犯罪不同的是,他们具有智能性、隐蔽性、连续性、高效性的特点,因而,加强对有关人员的管理变得十分重要。首先,在人员录用时应做好人员鉴别,人员录用或人员职位调整时,一般要签署保密协议。当人员到期离开或协议到期、工作终止时,要审查保密协议。其次对有关人员进行上岗培训,建立人员培训计划,定期组织安全策略和规程方面的培训。第三,落实工作责任制,在岗位职责中明确本岗位执行安全政策的常规职责和本岗位保护特定资产、执行特定安全过程或活动的特别职责,对违反网上交易安全规定的人员要进行及时的处理。第四,贯彻网上交易安全运作基本原则,包括职责分离、双人负责、任期有限、最小权限、个人可信赖性等。
(5)增强法律意识,促进电子商务立法
面对电子商务这种新型的贸易形式,我国目前尚无专门法规可依,使得部分违法犯罪人员没有得到应有的惩罚。近几年里,国家加强了这方面的投入。在全国性的立法文件中,《合同法》的部分条款可以看作是针对电子商务的立法。此外,广东省制定的《广东省电子交易管理条例》这个地方性的法规可以看作是对加快我国电子商务立法的有益探索。《中华人民共和国电子签名法》是对主要用于电子商务活动,电子政务等其他应用应该有新的适用法规。
尽管在电子商务信息安全立法方面取得了一些成就,但总的来说,我国的电子商务立法还很不健全,对电子商务活动的安全保护缺少直接性;相关立法比较分散,而且效力不高;对新出现的情况缺乏适应能力;立法速度慢。这些都需要电子商务企业和国家有关部门不断探索,共同促进电子商务信息安全的法制环境建设。
关键词:计算机网络安全;企业网络安全;应用;防范
中图分类号:TP393.08
在网络技术和计算机技术逐渐兴盛的情况下,不断地提升了网络安全技术。同时,也逐渐地兴起了企业的信息化热潮,因为在企业信息化方面不能够拥有较高的水平,也不能够拥有充足的投入等原因,促使网络安全在企业运营当中,成为了较为主要的关注对象。
1 计算机网络安全的概述
网络安全主要指的是,为了防止侵害到网络而采用的措施。在合理的应用网络安全措施的时候,就可以有效地保护到网络,并使其正常的运行。具体拥有着三个层面的内容:其一为可用性:可用性主要指的就是在网络受到不良供给的时候,能够保证合法的用户正常的开展系统的授权访问[1];其二为保密性:保密性主要指的是网络可以避免没有经授权的用户,读取到保密性的信息;其三为完整性:在完整性中具体包含:软件完整性和资料完整性。资料的完整性所指的是,在没有通过允许的条件下,保证资料的安全性,也就是不被擅自地修改或删除。软件完整性所指的就是,保证软件程序不会被错误的病毒或者用户所修改。
2 企业网络安全的现状分析
现阶段,网络的发展和早期所设计的网络意图有所更改,已经将安全问题放在了首位,若不能够将安全问题解决,会在一定程度上直接影响到企业网络的应用。企业网络的信息当中存在着较多的对网络安全会产生不利影响的特性,例如:网络开放性、共享性以及互联性等,在当前经常发生恶性攻击事件,极大地显示出了现阶段严峻的网络安全形势,所以对于网络安全方面的防范措施,需要具备可以解除不同网络威胁的特点。在最近几年,我国的网络协议和系统会产生较多的问题,不能够安全、完善、健全的体现出所具备的影响价值。网络技术和计算机技术由于具备的多样性和复杂性,促使网络安全变为了一种需要不断提升和更新的范畴。因此,计算机网络在企业的应用上,需要拥有相应的网络安全问题的分析,以及网络安全的解决对策,才可以确保企业网络的顺畅运行[2]。
3 企业网络安全应用中的问题
3.1 网络软件的漏洞
网络软件不论多么的优秀,都会产生或多或少的漏洞和缺陷,然而对于较高水平的黑客而言,定会将这些缺陷和漏洞作为首要攻击的目标。在早期发生的黑客攻击事件当中,基本上都是由于产生不完善的软件安全措施所造成的后果。
3.2 人为无意失误
人为的失误方面包含不够恰当的操作员安全配置,会在一定程度上导致安全漏洞的产生,用户缺失较强的安全意识,经常不填写用户口令,会将自身的账号随意的和别人分享或者供他人使用等,会无意间威胁到企业网络。
3.3 人为恶意失误
人为的恶意失误是网络的最大程度威胁因素,例如:计算机犯罪等。类似的攻击,基本上能分成两个层面:其一为被动攻击,是在不影响到网络工作的基础上,开展的破译、窃取、截获后,以此来获取核心性的机密信息。其二为主动攻击,是用不同的方法有选择性的对信息的完整性和有效性进行破坏。这两个层面的攻击,都能够让计算机网络产生较大的威胁,同时会造成机密数据的严重泄漏[3]。
4 企业网络安全应用中的解决对策
4.1 安全制度的管理
对拟定制度的合理性,在进行网络安全管理的过程中,是不能够缺失的方式,需要与人事部门有效的结合,拟定符合该企业网络安全管理的规定。在产生违反信息安全行为的时候,需要进行相应的人事处罚。
4.2 网络设备的安全
在防护网络安全方面,保证网络设备安全是较为基础性的防护模式。其一,需要有效地对设备进行配置,要保证只对设备中必要的服务有所开放,在运行方面,只参考指定人员的访问;其二,重视设备厂商所提出的漏洞,要在第一时间进行网络设备补丁的安装;其三,在计算机网络中的全部设备,有必要定期地进行密码的更换,并且密码方面需要符合相应的复杂度,才能够不被轻易地破解。最后,组织有效的维护设备,保证网络设备的运营稳定性[4]。
4.3 无线网络的安全
因为无线网络信号会利用空气运行,极易产生恶意用户的窃取,因此无线网络安全在一定程度上成为了预防安全隐患的重点。只是加密无线信号,不可以达成安全性的要求。现阶段,在企业的内部提倡应用认证和加密的结合形式,其中所涉及到的认证需要与AD相融合,以此来有效地提升账户的可管理性。
4.4 客户端的安全管理
在大中型的企业当中拥有着较多的客户端,往往都属于Windows操作系统,对其进行分别的管理较为麻烦,需要在企业的内部利用Windows组策略进行客户端的管理。组策略就是利用一次的设定,制约一部分的对象。能够在组策略中创设较为严谨的策略,以此来把控客户端的安全运行。主要的策略包含:加强账户策略、合理删除Guest等类似次要的用户;加强系统日志审核功能;局限非管理员的相应操作权限等。这一系列的策略是企业内部较为通用的策略。针对企业内部生产使用中的客户端,因为作业人员只应用几个建议的操作,因此有必要开展较为严格的限制。例如:最小化系统操作、最小化系统开放端口、最小化运行的用户进程等。其中的最小化运行用户进程所指的是,除了特定的系统进程,不能够使用其他的进程。最小化系统操作包含:禁用注册表、禁用命令提示符、禁用控制面板、禁用鼠标右键等。
4.5 企业的数据安全
在企业当中实行网络安全的具体目的,就是对病毒的预防,同时还需要对数据安全加以保护。数据在一定程度上是企业当中的主要内容,尤其是相对高科技的企业而言,是较为重要的组成部分。所以,企业的内部需要确保数据安全,对企业而言,要引导人员只能够看到属于自身的特定数据,是对数据进行有效利用的基本需求,也就是防止非业务人员对其查看。
5 总结
根据以上的论述,网络安全是较为复杂性、综合性的问题,会与较多的因素相联系,具体包含多种管理、产品以及技术等。不可以单纯的依赖防护系统,也不能够只是将防护系统作为摆设,而不去贯彻落实。想要将企业高效的进行网络运行,就需要为企业解决网络安全的实质性问题,才能做好企业网络信息的可用性、完整性以及保密性。
参考文献:
[1]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.
[2]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.
[3]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.
关键词: ISA Server;企业网络安全; 防火墙
1 什么是ISA Server
Microsoft Internet Security and Acceleration(ISA)Server是高级应用程序层防火墙、虚拟专用网(VPN)和Web缓存解决方案,它使客户能够通过提高网络安全和性能轻松地从现有的IT投资获得最大收益。ISA Server为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行Microsoft应用程序(如Microsoft Outlook Web Access(OWA)、Microsoft Internet信息服务、Office Share Point Portal Server、路由和远程访问服务、Active Directory目录服务等)的网络。ISA Server提供强大的基于策略的安全管理。这样,管理者就能将访问和带宽控制应用于他们所设置的任何策略单元,如用户、计算机、协议、内容类型、时间 表和站点。
2 ISA Server功能介绍
2.1 多网络架构支持
2.4 强大的报告功能
报告是ISA Server日志系统中一个划时代的改进。简单的操作、丰富的选项和的容易,让ISA Server的报告功能成为了让网管选择ISA Server的一大杀手锏。
2.5 基于每个策略的HTTP过滤
ISA Server中的HTTP过滤策略是基于每条防火墙策略进行配置的,只要这防火墙策略中包含了HTTP协议,就可以配置该防火墙的HTTP策略。
2.6 阻止对所有可执行文件的访问
对于Windows2000/XP/2003下的攻击,很多时候是以得到服务器的Shell为目标的,这就需要执行服务器上的Cmd.exe。ISA Server中可以明确禁止访问服务器上的Exe可执行文件,这样类似的攻击就不防而灭了。
2.7 系统和网络监控
通过ISA控制台的“监视”节点,可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA系统服务运行情况,还可以通过日志来查询当前的网络活动的报告。ISA Server的日志系统采用的是SQLServer的简化版进行存储,不但高效,而且性能卓越,在日志中可用于查询的条件到达了几十项,如ClientIP、连接状态等等。
3 ISA Server在企业网络安全方面的应用
3.1 配置策略规范人员上网行为
随着互联网应用的不断发展,绝大多数企业都接入了互联网或建立了自己的内部局域网,但企业在享受互联网所带来的方便、快捷的同时,也带来了企业上网管理的烦恼。应在企业网络使用中对上班人员使用电脑进行严格限制,比如不允许登录某些网站,不允许使用聊天工具,限制下载速度和禁止玩游戏等等。
3.1.1 配置策略过滤不良网站
对于企业来说,上班员工访问一些不良网站不利于企业的发展,很多企业会选择Web sense或者surf control以及一些国内的应用层网关设备,管理者可以通过域名及对应的IP手动维护这个列表,但是不良网站就像病毒一样会不断增长,如果企业内部本身部署了ISA Server,结合黑名单服务,ISA自身也可很好的屏蔽这些不良网站。黑名单服务维护着一个不良网站的列表,包括色情、恶言、暴力、黑客工具或其他被禁查的内容。
3.1.2 配置策略禁用聊天工具
企业管理员工如果想禁止一些通信聊天软件(如QQ和MSN)及一些BT下载软件,可以在ISA Server中修改下面这样一条规则。
1)打开ISA Server,单击“防火墙策略”。在右边的窗口中,右键单击创建的访问规则,从弹出的快捷菜单中选择“配置HTTP”命令,打开“为规则配置HTTP策略”对话框。
2)单击“签名”选项卡,然后单击“添加”按钮,在“签名”对话框中添加签名。还可以用同样的方法继续添加其他签名。
3.1.3 配置策略限制在线观看电影
企业网络管理者建立ISA规则之前确定可以正常登录在线电影,填写策略名称“deny Online Movie”,选择拒绝。选择所选规则在流媒体中添加相应选项,“目的”选择外部默认所有用户后完成。
3.3 企业选用ISA的优势
ISA属于软件防火墙,特别是中小型企业中选用ISA Server是企业发展的理想选择,选用ISA投入少见效好。ISA Server有如下几点优势:
3.3.1 基于应用层的高级防护
目前互联网上70%的WEB攻击发生在应用层,而传统防火墙只对数据包的包头进行检查,因此往往对成熟的应用层攻击(如“缓冲区溢出”)无能为力。而ISA Server是工作在应用层的,正是由于这个设计原理,它能检查数据包里面的信息,有效防范基于应用层的攻击。
3.3.2 传统防火墙无法防范成熟的应用层攻击
ISA Server 包含一个功能完善的应用程序层感知防火墙,它会对 Internet 协议(如超文本传输协议 (HTTP))执行深入检查,这使它能检测到许多传统防火墙检测不到的威胁。
3.3.3 集成服务器和缓存功能,实现快速访问
4 总结
综上所述,ISA Server防火墙作为一种基于访问控制的网络安全技术,是防范外部攻击行为的一道重要屏障。ISA Server 是高级的状态数据包与应用程序层检查防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,使得企业客户可以通过提高网络安全性和性能来从现有信息技术投资轻松获得最大回报。它是一种集成的边界安全网关产品,在使用户对应用系统和数据进行快速而安全的远程访问的同时,有助于保护您的 IT 环境免受来自基于 Internet 的威胁。企业应用ISA Server后VPN服务的安全性和可管理性有大幅度提升、数据中心服务器的安全性显著提高、内部网络中恶意软件事件大幅减少,与此同时也降低了企业网络安全管理成本。
参考文献:
[1]电脑报编,网管实战,电脑报电子音像出版社,P275.
[2]ISA Server2006防火墙安装与管理指南,戴有炜译,科学出版社.
[3]ISA中文站,http://.
关键词:信息安全;信息安全防护;安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5346-02
随着网络信息系统在各行各业得到广泛应用,企业单位办公自动化程度越来越高,许多企业开始利用信息化手段来提升自身管理水平,增加竞争力。企业内部用户之间实现了“互联互通 ,资源共享”,极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作,使得系统处于危险之中,而一旦网络被人攻破,企业机密的数据、资料可能会被盗取、网络可能会被破坏,给企业带来难以预测的损失。因此,企业网络安全的建设必须提上日程,并加以有效防范。
1 企业信息安全防护策略
企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。
企业信息安全从本质上讲就是企业网络信息安全,必须充分了解系统的安全隐患所在,构建科学信息安全防护系统架构,同时提高管理人员的技术水平,落实严格的管理制度 ,使得网络信息能够安全运行,企业信息安全防护策略如图1所示。
2 硬件安全
企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施:1)尽可能购买国产网络设备,从根源上防止由于后门造成的威胁;2)使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质,把设备的信息辐射抑制到最低限度,这是防止计算机辐射泄密的根本措施;3)加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施,对废弃的光盘、硬盘和存储介质要有专人销毁等,废弃纸质就地销毁等;4)定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆(或电缆)、收发器、终端及其它外设进行保密检查,防止非法侵入。
3 信息安全技术
企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有:
3.1 安全隔离技术
安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
3.2 防火墙技术
防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
3.3 入侵检测技术
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络,提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
3.4 终端准入防御技术
终端准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
3.5 灾难恢复策略
灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。只有制定快速有效地进行数据恢复的策略,才能应对每一种可能出现的数据损坏事故。
3.6 其他信息安全技术
当然,信息安全技术还有很多,如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等,这些都可以在一定程序上增加网络的安全性。
4 安全管理
网络安全管理是企业管理中一个难点,很多信息化企业并不十分看重网络安全,直到重要数据丢失产生重大损失才追悔莫及,因此首先在思想上充分重视信息安全,不能抱有一丝侥幸心理。对于安全管理采取的措施主要有:确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。
这些要通过对公司全体员工进行教育培训,强化规范操作,重要数据作好及时备份 ,从系统的角度促进全体团队认真执行 ,以达到网络的保障。
5 人员安全意识
企业信息安全队伍建设要以领导干部和人员为重点,积极开展面向企业各层面的保密教育,不断提高全体员工的信息安全素质。采取的措施主要有:开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。
6 小结
针对目前企业信息安全面临的诸多问题,提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程,必须全方位、科学地合理安排和落实,才能有效地保护企业的信息安全。
参考文献:
[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.
[2] 王梅,刘永涛.企业信息安全(保密)培训的几点思考[J].中国市场,2010,35(9):117-118.
[3] 赵晓.企业信息安全防护体系建设[J].科技创新导报,2010,34:255.
关键词:虚拟交换;安全;策略
中图分类号:TP393.18
计算机技术和网络技术的飞速发展,加快了企事业单位的信息化建设的步伐。信息技术和网络技术在企事业单位的应用,为企事业单位带来了效益和便利。但是同时也为企业的信息安全带来了隐患。所以,现在网络安全问题成为各个企事业单位普遍关注的问题。不同类型的企事业单位所采用的网络安全策略也应该是不同的,针对某企业的特点,本文分析利用VLAN技术来进行企业网络安全的保障。
1 VLAN概述
VLAN全称是Virtual Local Area Network,通常称之为虚拟局域网。VLAN能够通过逻辑上的划分将一个物理上的局域网实现分段,并能在局域网内实现虚拟的工作组的交换。在交换机和路由器中最常用的就是VLAN技术。
VLAN技术属于交换技术的类型,通过使用VLAN可以有效解决网络中的一些难题。例如:传统的网络技术对路由器的依赖严重,VLAN能减少这种依赖性,并同时能有效控制网络内广播的流量。利用VLAN技术就不需要再额外增加网络的站点,这样就能降低网络维护的复杂度和费用。如果在网络中能合理的利用VLAN技术,就能有效地提高网络的灵活度,并能通过有效的网络分段,提高网络的安全性能。
2 企业存在的网络安全隐患
大多数企业的内部网结构较为复杂,为了适用企业本身的特点,所以网络设置的也较为灵活,这样提升了网络的可用性,但是同时也增加了网络的安全隐患和安全漏洞。下面就分析一下大多数企业存在的网络安全隐患。
2.1 网络的非法接入隐患
对于企业来说,网络中传输和共享的数据时非常珍贵的企业资料。这些资料中不乏秘密甚至机密的内容,这些内容当然是不希望被网络外部的非法人员访问到得。但是现在对于网络的非法访问手段却是从出不穷,给网络的安全性带来很大的威胁。
2.2 伪AP和伪网络
非法攻击者对于煤炭企业的网络攻击还可能是通过假的网络接入设备伪造成真的,然后诱骗合法用户使用。这样,非法攻击者就会通过这种手段来非法获取合法用户的用户名和密码。
2.3 网络窃听
虽然,对于有线网络来说,它可以用物理隔离之类的手段来减少网络窃听的威胁,所以相对无线网络来说,有限网络被进行窃听的可能性要小一些。但是并不是完全没有,而且,现在的窃听手段有所提升,例如窃听者可以在他们的计算机上安装类似Sniffer、ethereal等窃听软件,可以轻易从企业的网络中捕获其在内部网上传输的数据包。
2.4 数据篡改
对数据进行篡改是另一种常见的非法攻击形式。这也是对企业来非常严重的破坏方式。攻击者会通过构造虚假报文对煤炭企业的合法用户进行欺诈。一般来将,非法攻击者会对企业的内部网进行三种形式的数据篡改。第一种是对企业的日常的业务数据进行篡改,这样就会给合法用户展现一种错误的业务数据,以来欺骗合法用户;第二种是捏造假的用户请求,非法接入网络;最后一种是将网络的管理报文进行篡改,来影响企业的网络设备的正常运转。
3 VLAN技术在企业网的实现
通过对某企业的企业内部网络的特点进行分析,笔者为该企业设计了一个VLAN的网络解决方案。该方案要求节省成本,又要规划合理,同时还要能解决该企业的网络问题。所以根据这些要求,笔者采用了基于端口的方法来对该企业进行了网络的VLAN逻辑划分。
图1 企业VLAN拓扑结构图
笔者设计的某企业的结构主要是行政区域、后勤服务、生产区域、公寓楼等,不同的职能区域都需要单独设置VLAN架构,但是每个职能区域设置VLAN的原理是几乎相同的。所以在此,笔者就以行政区域为例来进行VLAN拓扑结构的设计,具体如图1所示。该行政楼有四个楼层,以每个楼层为一个VLAN,所以一共有四个VLAN,在图1中可以看出VLAN的设置是基于端口的方式,交换机的配置可以通过超级终端等仿真程序实现。对于VLAN的交换机有两个要求:
(1)要求交换机在楼层间的传输速率要达到1000M/s;
(2)要求交换机能够实现在同一VLAN内和不同VLAN内的通信。所以,按照这个要求,可以选择CS6509E三层交换机作为核心交换机,AS3750作为行政楼各楼层用的交换机。二级交换机和核心交换机的连接是通过二级交换机的千兆模块和核心交换机的千兆端口相连来实现的,连接方式是TRUNK方式,也就是说是通过程序的编写来将两个或多个物理端口组合成一条逻辑路径以此来增加在交换机和网络节点间的宽带。交换机之间支持80211Q,实现了楼层间以及职能部门间传输速率1000M。
4 VLAN技术实现的网络安全策略
4.1 实现数据加密机制
通过在企业中实现VLAN技术可以增加网络的数据加密型,主要体现在两个方面:
一是加密信息源:通常情况下,企业的信息管理系统中的信息源主要以文字、声音、图像等形式出现,主要以文件或数据进行存储的,而通过在企业内使用VLAN技术可以进一步对文件进行加密或对API进行加密,从而提高信息存储的机密性。
二是加密信息传输通道:通过VLAN技术建立在网络基础上的安全子系统在进行信息传输时都能够对信息进行加密,主要是来判断信息是否要在传输中进行加密或需要在哪一层进行加密,而后再对传输信道进行加密,也可以在应用系统中直接调用经过加密的API来加密传输通道。
通过VLAN可以实现加密体制包含了对称密钥的体制,也包含了基于公钥的体制,这样做的主要目的是为了在不同的系统应用中来使用不同的手段来进行加密,这样以来,不仅能够最大限度的保证系统的安全,也在很大程度上提高系统的效率。
4.2 实现系统授权和访问机制
企业的信息管理系统采取集中式管理的,所以系统就相应的需要采用集中的授权访问控制模式。该模式下的授权访问可以对用户的属性集中管理,然后通过属性值为用户发生授权证书。授权中心的业务管理人员具体管理用户的授权属性的信息,各个应用系统同时对用户的授权和身份证书同时进行验证,这样才能确定用户具备什么权限,从而为具体的用户进行授权的访问控制。授权证书中包括用户的多种属性信息,这些信息能确定用户的权限。例如基于用户角色、用户标识、用户资源级别等访问控制,而对访问控制的粒度而言,也是可以灵活变化的,从基于IP的控制到对数据库字段的控制,访问控制粒度从粗到细,可以根据不同的应用系统进行灵活选择。
4.3 实现全网统一的管理策略
企业通过VLAN能够对用户的身份和用户的权限都是通过密钥和证书管理进行集中管理的,从其安全管理策略来看,其核心的内容是人和资源的对应关系:
非法用户缺少身份证书,将不能访问任何资源。
具有身份证书的合法用户,其具有的属性决定了其能访问哪些具体内容,能够具有哪些具体操作。
安全管理策略可以对用户的属性进行调整,例如:用户的访问权限有时提高,有时降低,有时不具备任何权限,有的用户已经变为非法用户等等,两种证书能够将每一个变化情况显现出来。
5 小结
VLAN技术是今年来应用非常广发的企业网络架构技术,通过VLAN的设置可以解决现在大多数企业面临的网络安全隐患。通过在企业内使用VLAN技术可以较为灵活的对企业的局域网进行设置,并能同时解决很多网络安全问题。虽然,现在VLAN技术中还存在一些技术和标准上的缺陷。但是,笔者相信,随着VLAN技术的不断完善,其必将在网络的扩展和网络的安全方面体现中更多的优势,从而保障企业的健康稳定的发展。
参考文献:
[1]赵毅.高校校园计算机网络设计与实现[C].重庆大学,2006,5.
[2]王湘渝,陈立.基于多层防护的校园网安全体系研究[J].计算机安全,2009,8.
[3]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2010.
[4]李晋平.局域网组建和安全管理的实用技术[J].电脑开发与应用,2011.
【关键词】防火墙;安全策略;安全意识
1、防火墙安全策略的原理
防火墙又称为防护墙,是一种介于内部网络和外部网络之间的网络安全系统。其基本作用是保护特定的网络不受非法网络或入侵者的攻击,但同时还得允许两个正常网络之间可以进行合法的通信。安全策略就是对通过防护墙的信息数据进行检验,只有符合规则或符合安全策略的合法数据才能通过防火墙的检验,进行数据通信和资源共享。
通过防火墙安全策略可以有效地控制内网用户访问外网的权限,控制内网不同安全级别的子网之间的访问权限等。同时也能够对网络设备本身进行控制,如限制哪些IP地址不能使用设备,控制网管服务器与其他设备间的互相访问等。
在具体防火墙的应用中,防火墙安全策略是对防火墙的数据流进行网络安全访问的基本手段,其决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测,检测对象包括源\目的安全区域、源\目的地址、用户、服务和时间段等。具体步骤如下:
(1)首先是数据流先要经过防火墙;
(2)然后查找防火墙配置的安全策略,判断是否允许下一步的操作;
(3)防火墙根据安全策略定义规则对数据包进行处理。
2、安全策略的分类
安全策略大体可分为三大类:域间安全策略、域内安全策略和接口包过滤。
域间安全策略用于控制域间流量的转发,适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。其也用于控制外界与设备本身的互访,允许或拒绝与设备本身的互访。
域内安全策略与域间安全策略一样,也可以按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。但是在企业中某些部门如财务部等重要数据所在的部门,需要防止内部员工对服务器、PC机等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。
当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务、用户等多种方式匹配流量并执行相应动作。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度较快。
3、安全策略的配置思路
(1)管理员应该首先明确需要划分哪几个安全区域,接口如何来连接,分别加入哪些安全区域。
(2)管理员选择根据源地址或用户来区分企业员工。
(3)先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”,否则为“禁止”。
(4)确定对哪些通过防火墙的流量进行内容安全监测,进行哪些内容安全检测。
(5)将上述步骤规划出的安全策略的相关参数一一列出,并将所有安全策略按照先精确,再宽泛的顺序进行排序。在配置安全策略时需要按照此顺序进行配置。
4、安全策略的具体配置
针对具体的网络拓扑结构以及对防火墙的相关要求,我们在这里对防火墙的安全策略相关配置大体如下:
(1)配置安全区域。
系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级,就可以自行创建新的安全区域并定义其安全级别。具体新建安全区域步骤为:选择网络/安全区域,然后单击“新建”,直接配置安全区域的相关参数即可。
(2)配置地址和地址组。
地址是IPV4地址或MAC地址的集合,地址组是地址的集合。地址包含一个或若干个IPV4地址或MAC地址,类似于一个基础组件,只需定义一次,就可以被各种策略多次引用。
(3)配置地区和地区组。
地区是以地区为单位的IP地址对象,每个地区是当前地区的公网IP地址的集合。为了进一步方便扩展和复用,设备还支持配置地区组供策略引用。配置较为灵活。
(4)配置服务和服务组。
服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。其中,预定义服务是指系统缺省已经存在,可以直接选择的服务类型;自定义服务是通过指定协议类型和端口号等信息来定义的一些应用协议类型。
(5)配置应用和应用组。
应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。具体通过WEB界面配置相应的服务。
(6)配置时间段。
时间段定义了时间范围,定义好的时间段被策略引用侯,可以对某一时间段内流经NGFW的流量进行匹配和控制。具体通过WEB界面进行配置相关时间段。
综上所述,我们在进一步加强网络安全的今天,就必须在增强网络安全意识的前提下,不断地加强网络安全技术。而在防火墙安全技术中,防火墙的安全配置策略就是重中之重。在实际应用过程中,要不断地进行优化处理。只有不断地的丰富和完善,我们的网络世界才会安全通畅!
参考文献:
[1] 宿洁, 袁军鹏. 防火墙技术及其进展[J]. 计算机工程与应用, 2004, 40(9):147-149.
[2] 刘克龙, 蒙杨, 卿斯汉. 一种新型的防火墙系统[J]. 计算机学报, 2000, 23(3):231-236.
[3] 翟钰, 武舒凡, 胡建武. 防火墙包过滤技术发展研究[J]. 计算机应用研究, 2004, 21(9):144-146.
[4] 林晓东, 杨义先. 网络防火墙技术[J]. 电信科学, 1997(3):41-43.
[5] 杨琼, 杨建华, 王习平,等. 基于防火墙与入侵检测联动技术的系统设计[J]. 武汉理工大学学报, 2005, 27(7):112-115.
关键词:网络 安全策略 数据 访问
引言
随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
目前企业内部网络的安全现状
. 操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
. 病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
. 黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA等。
. 口令入侵 为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
. 非正常途径访问或内部破坏 在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
. 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
. 敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
. 技术之外的问题 企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安
全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
. 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
. 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
. 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
. 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
. 备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
. 网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等
. 网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
一、背景分析
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
