发布时间:2023-10-10 10:37:22
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业网络安全威胁样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
1 企业网络信息安全的内部威胁的分析
1.1 随意更改IP地址
企业网络使用者对于计算机IP地址的更改是常见的信息安全问题,一方面更改IP地址后,可能与其他计算机产生地址冲突,造成他人无法正常使用的问题,另一方面更改IP的行为将使监控系统无法对计算机的网络使用进行追溯,不能准确掌握设备运行状况,出现异常运行等问题难以进行核查。
1.2 私自连接互联网
企业内部人员通过拨号或宽带连接的形式,将计算机接入互联网私自浏览网络信息,使企业内部网络与外界网络环境的隔离状态被打破,原有设置的防火墙等病毒防护体系不能有效发挥作用,部分木马、病毒将以接入外网的计算机为跳板,进而侵入企业网络内部的其他计算机。
1.3 随意接入移动存储设备
移动硬盘、U盘等移动存储设备的接入是当前企业内部网络信息安全的最大隐患,部分企业内部人员接入的移动存储设备已经感染了病毒,而插入计算机的时候又未能进行有效的病毒查杀,这使得病毒直接侵入企业计算机,形成企业信息数据的内外网间接地交换,造成机密数据的泄漏。
1.4 不良软件的安装
部分企业尽管投入了大量资金在内部网络建设与信息安全保护体系构建之中,但受版权意识不足、软件购置资金较少等原因的限制,一些企业在计算机上安装的是盗版、山寨软件,这些软件一方面不能保证计算机的正常使用需求,对企业内部网络的运行造成一定影响,同时这些软件还可能预装了部分插件,用于获取企业内部资料信息,这都对内网计算机形成了一定的威胁。
1.5 人为泄密或窃取内网数据资料
受管理制度不完善、监控力度不完善等因素的影响,一些内部人员在企业内部网络中获取了这些数据信息,通过携带的移动存储设备进行下载保存,或者连接到外网进行散播,这是极为严重的企业网络信息安全的内部威胁问题。
2 企业网络信息安全的内部威胁成因分析
2.1 企业网络信息安全技术方面
我国计算机与网络科学技术的研究相对滞后,在计算机安全防护系统和软件方面的开发仍然无法满足企业的实际需求,缺少适合网络内部和桌面电脑的信息安全产品,这使得当前企业网络内部监控与防护工作存在这漏洞,使企业管理人员不能有效应对外部入侵,同时不能对企业内部人员的操作行为进行监控管理。
2.2 企业网络信息安全管理方面
在企业中,内部员工对于信息安全缺乏准确的认知,计算机和内部网络的使用较为随意,这给企业网络安全带来了极大的隐患。同时,企业信息管理部门不能从自身实际情况出发,完善内部数据资料管理体系,在内部网络使用上没有相应的用户认证以及权限管理,信息资料也没有进行密级划定,任何人都能随意浏览敏感信息。另外,当前企业网络信息安全的内部威胁大多产生于内部员工,企业忽视了对员工的信息安全管理,部分离职员工仍能够登录内部网络,这使得内部网络存在着极大的泄密风险。
3 企业网络信息安全的内部威胁解决对策
3.1 管控企业内部用户网络操作行为
对企业内部用户网络操作行为的管控是避免出现内部威胁的重要方法,该方法能够有效避免企业网络资源非法使用的风险。企业网络管理部门可在内部计算机上安装桌面监控软件,为企业网络信息安全管理构筑首层访问控制,从而实现既定用户在既定时间内通过既定计算机访问既定数据资源的控制。企业应对内部用户或用户组进行权限管理,将内部信息数据进行密级划分,将不同用户或用户组能够访问的文件和可以执行的操作进行限定。同时,在用户登录过程中应使用密码策略,提高密码复杂性,设置口令锁定服务器控制台,杜绝密码被非法修改的风险。
3.2 提高企业网络安全技术水平
首先管理部门应为企业网络构建防火墙,对计算机网络进程实施跟踪,从而判断访问网络进程的合法性,对非法访问进行拦截。同时,将企业网络IP地址与计算机MAC地址绑定,避免IP地址更改带来的网络冲,同时对各计算机的网络行为进行有效追踪,提高病毒传播与泄密问题的追溯效率。另外,可通过计算机属性安全控制的方式,降低用户对目录和文件的误删除和修改风险。最后,应对企业网络连接的计算机进行彻底的病毒查杀,杜绝病毒的内部蔓延。
3.3 建立信息安全内部威胁管理制度
企业网络信息安全管理工作的重点之一,就是制定科学而完善的信息安全管理制度,并将执行措施落到实处。其中,针对部分企业人员将内部机密资料带离企业的行为,在情况合理的条件下,应进行规范化的登记记录。针对企业网络文件保存,应制定规律的备份周期,将数据信息进行汇总复制加以储存。针对离职员工,应禁止其带走任何企业文件资料,同时对其内部网络登录账号进行注销,防止离职员工再次登入内部网络。
3.4 强化企业人员网络安全培训
加强安全知识培训,使每位计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。加大对计算机信息系统的安全管理,防范计算机信息系统泄密事件的发生。加强网络知识培训,通过培训,掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
4 结语
综上所述,信息安全是当前企业网络应用和管理工作的要点之一,企业应严格管控企业内部用户网络操作行为,提高企业网络安全技术水平,建立信息安全内部威胁管理制度,强化企业人员网络安全培训,进而对企业网络信息安全内部威胁进行全面控制,从而提高敏感信息与机密资料的安全性。
作者简介
保护企业网络系统的软件、硬件及数据不遭受破坏、更改、泄露,信息系统连续可靠地运行是企业网络安全的基本要求。企业网络安全分为物理安全和逻辑安全,逻辑安全是对信息的保密性、完整性和可用性的保护。物理安全是对计算机系统、通信系统、存储系统和人员采取安全措施以确保信息不会丢失、泄漏等。目前企业网络中缺乏专门的安全管理人员,网络信息化管理制度也不健全,导致了部分人为因素引发的企业网络安全事故。因此企业网络安全必须从技术和管理两个方面进行。
2企业网络安全所面临的威胁
企业网络安全所面临的威胁除了技术方面的因素外,还有一部分是管理不善引起的。企业网络安全面临的威胁主要来自以下两个方面。
2.1缺乏专门的管理人员和相关的管理制度
俗话说“三分技术,七分管理”,管理是企业信息化中重要的组成部分。企业信息化过程中缺乏专门的管理人员和完善的管理制度,都可能引起企业网络安全的风险,给企业网络造成安全事故。由于大部分企业没有专门的网络安全管理人员,相关的网络管理制度也不完善,实际运行过程中没有严格要求按照企业的网络安全管理制度执行。以至于部分企业选用了最先进的网络安全设备,但是其管理员账号一直使用默认的账号,密码使用简单的容易被猜中的密码,甚至就是默认的密码。由于没有按照企业信息化安全管理制度中密码管理的相关条款进行操作,给系统留下巨大的安全隐患,导致安全事故发生。
2.2技术因素导致的主要安全威胁
企业网络应用是架构在现有的网络信息技术基础之上,对技术的依赖程度非常高,因此不可避免的会有网络信息技术的缺陷引发相关的安全问题,主要表现在以下几个方面。
2.2.1计算机病毒
计算机病毒是一组具有特殊的破坏功能的程序代码或指令。它可以潜伏在计算机的程序或存储介质中,当条件满足时就会被激活。企业网络中的计算机一旦感染病毒,会迅速通过网络在企业内部传播,可能导致整个企业网络瘫痪或者数据严重丢失。
2.2.2软件系统漏洞
软件的安全漏洞会被一些别有用心的用户利用,使软件执行一些被精心设计的恶意代码。一旦软件中的安全漏洞被利用,就可能引起机密数据泄露或系统控制权被获取,从而引发安全事故。
3企业网络安全的防护措施
3.1配备良好的管理制度和专门的管理人员
企业信息化管理部门要建立完整的企业信息安全防护制度,结合企业自身的信息系统建设和应用的进程,统筹规划,分步实施。做好安全风险的评估、建立信息安全防护体系、根据信息安全策略制定管理制度、提高安全管理水平。企业内部的用户行为约束必须通过严格的管理制度进行规范。同时建立安全事件应急响应机制。配备专门的网络安全管理员,负责企业网络的系统安全事务。及时根据企业网络的动向,建立以预防为主,事后补救为辅的安全策略。细化安全管理员工作细则,如日常操作系统维护、漏洞检测及修补、应用系统的安全补丁、病毒防治等工作,并建立工作日志。并对系统记录文件进行存档管理。良好的日志和存档管理,可以为预测攻击,定位攻击,以及遭受攻击后追查攻击者提供有力的支持。
3.2防病毒技术
就目前企业网络安全的情况来看,网络安全管理员主要是做好网络防病毒的工作,主流的技术有分布式杀毒技术、数字免疫系统技术、主动内核技术等几种。企业需要根据自身的实际情况,灵活选用,确保杀毒机制的有效运行。
3.3系统漏洞修补
现代软件规模越来越大,功能越来越多,其中隐藏的系统漏洞也可能越来越多。不仅仅是应用软件本身的漏洞,还有可能来自操作系统,数据库系统等底层的系统软件的漏洞引发的系列问题。因此解决系统漏洞的根本途径是不断地更新的系统的补丁。既可以购买专业的第三方补丁修补系统,也可以使用软件厂商自己提供的系统补丁升级工具。确保操作系统,数据系统等底层的系统软件是最新的,管理员还要及时关注应用系统厂商提供的升级补丁的信息,确保发现漏洞的第一时间更新补丁,将系统漏洞的危害降到最低。
4结束语
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网 络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
[关键词]烟草企业;网络安全防护;体系建设
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
网络安全威胁的主要来源。网络安全的威胁是现代企业管理中经常会遇到的安全性问题,网络安全的来源具有不同的渠道和类型。在传统的理解中,网络安全威胁主要是病毒感染,但是,网络技术不断升级的情况下,网络安全更多的是对网络的非法入侵,对网络的攻击和访问。在大型企业中,网络安全的来源既有内网的威胁,也有外网的威胁,而内网的威胁远比外网的威胁要大得多,如果内网遭到攻击,那么,对大型企业的危害则是深入的。网络的安全隐患主要包括病毒、木马或者恶意软件的侵袭,网络黑客的攻击,文件或者邮件被非法窃听与访问,重要部门的信息被访问同时造成泄漏,外网的非法入侵,备份数据和存储媒体的损坏和丢失。针对于企业网络安全的认知误区。对网络安全的认知过程,是网络安全进行威胁处理的重要思想基础。在很多人都意识中,网络安全不是特别重要的事情,甚至认为只要是安装了防火墙,或者安装了防病毒的工具,使用了加密技术或者对数据进行了必要的保存,就不会遭到网络攻击,而实际上网络安全威胁远比意识中的要严重和复杂的多。例如防火墙的主要作用是用来控制两个网络之间的访问,它主要是限制互联网之间的来往,防火墙是隔离技术,在不同的网络之间控制安全域信息的出入。防火墙的主要工作就是控制存取和过滤封包,对针对于工作性的措施进行防范。但是,在网络安全威胁中,如果攻击行为越过防火墙,防火墙就没有多大的用处了。防火墙用于防止外部入侵,而无法防止内部入侵。还有人认为杀毒软件很有作用,杀毒软件是防止病毒的入侵,对系统中的病毒进行查杀,但是,在实际应用中可以发展,很多杀毒软件的功能都落后于病毒的更新,而且每一台机器的杀毒软件,都是把重心集中在网络防毒的系统管理上。如果没有网络作为依托,杀毒软件就会失去单击操作的能力。
1大型企业网络安全的设计
(1)大型企业网络安全的主要需求。企业网络安全的主要需求是根据具体业务的发展而确定的。以国家电网的电力企业为例,在网络安全上,需要建立具有Web和Mail等服务器和办公区客户机,企业的各个部门之间能够进行相互的联系,同样,也要进行必要的隔离。大型企业网络安全的设计中,主要的需求就是对网络设备进行组网规划,对网络系统的可用性进行保护,对网络系统的服务设施连续性设计,防止网络资源的非法访问,防止入侵者的恶意破坏,保护企业信息的机密性和完整性,防范病毒的侵害,对网络进行安全管理。以电力企业为例,对网络安全的需要主要是对业务的办理和系统的改造,要求企业的网络具有稳定性,能够保证各种信息的安全,防止图纸或者文档的丢失。
(2)大型企业网络设计的功能。在企业的发展建设中,应用计算机网络进行运营控制,提高了企业的经营和管理效力,但是,因为技术性的原因,也给网络安全带来的隐患。企业对于网络设计的功能主要可以体现在企业要求最资源进行共享。也就是说在网络内部企业的各个部门都能够共享数据库,共享打印机,形成办公自动化的良好秩序。对于大型企业而言,业务繁多,办公自动化非常重要,通过办公自动化能够形象高效率的工作方式。在通信服务方面,通过广域网能够随时接发邮件,实现Web应用,同时,接入互联网实现网络的访问,这样可以使企业能够随时在网络上进行查询,能够保证最新鲜资讯有明确的了解。
(3)大型企业网络设计的原则。大型企业的网络设计原则主要是以企业的运行为基础,以提高企业的运行效率为根本。在设计原则上需要掌握:第一,应用的便捷性。网络系统要以应用为前提,在实用性和经济方面具有绝对性优势,通过建立企业的网络系统,能够把企业统一到一个资源共享的平台。在资源利用上,保持好良好的状态。第二,技术的成熟性。网络系统设计需要进行不断的更新,以先进的技术和方法,引领网络发展。企业的运行中,涉及的部门多,业务种类多,这就要求网络系统对设备和工具十分熟悉,在网络的支撑下,能够完成各个部门的具体化工作。第三,系统的稳定性。大型企业依靠网络进行的工作很多,这就网络系统一定要具有超高的稳定性,在技术措施上,系统管理中,厂商技术中,维修能力方面都要能够随时确保系统的运行可靠性。如果网络系统运行不稳定,就会给整体企业的运营带来时时的危险性。例如大型电力企业中,如果网络不稳定,就会造成数据采集不稳定,就会给整体信息收集带来不良后果。
(4)具体应用技术的实施。在技术应用上,需要从网络安全的内部和外部进行综合控制。在位置选择上,需要选择具有防震、防风和防雨功能的建筑物,机房承重要求要满足设计要求,避免强磁场,强噪声的环境,避免重度污染的环境,避免容易发生火灾的环境。电力供应方面要选择稳定的电压,设置电压防护设备,能够提供短期备用电的地方。在电磁防护方面,采用接地方式防止外界干扰,电线和通信线路要进行必要的隔离,防止二者之间相互干扰。在访问权限上实施控制策略,企业的决策层,财务层,市场运营管理和生产层,都要进行分级别的VPN设计,各个VPN层级要有明确的区分。
2大型企业网络安全解决方案的实现
(1)确保网络企业的物理安全。网络安全的前提和基础性条件就是物理条件,在物理安全上,要重视环境设置。在机房环境安全上,要将信息系统的计算机硬件,网络设施等进行统一的管理。防止自然灾害,物理性损坏和设备故障,电磁辐射,痕迹泄漏,操作失误,意外疏漏等。在传输介质的选择上,要配有支持屏功能的连接器件,介质要具有良好的接地功能,能够对干扰严重的区域使用屏蔽线,增强抗干扰能力。在传输介质上,光纤具有明显的优势。
(2)形成网络防火墙的优化配置。网络防护墙对于网络安全是一项重要的技术类型,网络防火墙在配置过程中要掌握好,防火墙选择的数码类型,或者防火墙和VPN功能的结合,在防火墙的设计上,确定好源域,源地址对象,目的域,目的地址对象。防火墙要设置全局访问策略,在域内或者域间进行访问,内部网络为信任区域,外部网络为不信任区域。防火墙允许外部网络访问,但是不能进行内部访问,中间位置的访问需要进行权限设置。网络防火墙的优化配置,是形成网络防护的重要方式,网络防火墙的设计对于网络安全是重要的技术措施。
(3)实现网络VPN的准确对接。在网络技术不断进步的过程中,对网络安全解决的方案也逐渐进行完善。网络安全需要建立多重防御体系,同时在商业及技术机密上,要做好多种防范措施。大型企业是国家经济建设的重要组成部分,是创造经济效益和社会效益的集合体。网络的VPN功能主要是通过防火墙实现,在设计中主要是通过PPTP协议来是网络VPN,因此,首要的任务就是增加PPTP地址池,在PPTP设置中,选择Chap加密认证。
(4)构建网络防病毒多重体系。网络安全解决方案中防病毒体系的构建至关重要。通过防病毒体系的构建,可以针对企业网络安全的现状进行设计,通过建立多种防病毒方案,确保在简单或者复杂的网络环境下,都能够设计出适应大型企业运行情况的计算机病毒防护系统,这种系统可以适应多台机器,可以适用于多个服务器,在不同的超大型网络中,能够具有先进的系统结构,超强的杀毒能力,有效的远程控制力,可以方便进行分级和分组管理。
3结语
现代化的企业采用的方式也是现代化的,现代化的技术具有明显的优势,同时,也存在一定的弊端。网络信息资源的共享,为企业发展提供了智力支持,但也给企业带来了很多不安全的因素。对于大型企业的网络安全而言,要从技术上和管理上进行控制,通过有效的管理手段和升级化的技术,突出技术与管理的融合,实现网络安全的有效控制。
参考文献
[1]彭长艳.空间网络安全关键技术研究[J].国防科学技术大学,2010.
[2]阿莱.计算机网络安全问题及解决策略初探[J].信息与电脑(理论版),2012.
[3]卜祥飞.大型企业网络信息安全问题与解决方案[J].全国冶金自动化信息网2012年年会论文集,2012.
[4]周未,张宏,李千目,郭萍.计算机与信息技术[J],2011.
关键词:企业;网络;系统;安全;虚拟化;信息化
一、 企业网的组成和所面临的安全威胁
(一) 企业网的组成
企业网一般由两个大的功能区域组成:企业内网和企业外部接入网。我们可以逻辑上把这两大区域进一步划分成若干个模块,企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。企业外部接入网包括外网接入模块和远程接入模块两个部分。不同模块实现不同的功能,各自的安全需要也有所不同, 需要实施相应的安全策略。模块与模块之间的安全策略相互影响、相互作用并互为补充。典型的大型企业网络架构如下图:
(二) 企业网面临的安全威胁
1. 来自内部用户的安全威胁
大多数威胁来自于内部网络, 如缺乏安全意识的员工、心怀不满的员工、公司间谍等都是这类攻击的来源。
2. 来自外部网络的安全威胁
随着信息技术的不断发展,企业总部与分支以及合作伙伴之间的联网需求越来越迫切。它们之间不可避免的需要通过网络交换信息及共享资源。同时, 企业网还为内部合法员工提供了上互联网的途径, 互联网用户可以访问企业对外提供的公共服务器上的信息,由于信息资源的共享同时也给企业网的内、外网安全带来了一系列的挑战。
二、 企业内网的安全设计
企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。下面分别分析各个模块的功能, 及面临的安全威胁和相对应的安全措施, 以及与其它模块之间的关系。
(一) 管理模块
管理模块的主要功能是实现企业网络的所有设备和服务器的安全管理。所面临最主要的安全威胁有未授权接入、口令攻击、中间人攻击等,为了消除以上管理模块面临的安全威胁,应采取以下的安全措施:
1. 管理数据流和生产网数据流需有效的安全隔离,包括尽可能使用安全性高的带外管理, 在不能使用带外管理的情况下,带内管理也要做到使用IPSec、SSH等加密传输。
2. 采用强力的认证授权技术对管理信息进行认证和授权,可以通过采用AAA认证和双因素认证技术, 保证只有合法的用户才能管理相应设备, 并能够防止密码泄漏和对密码窃听。
3. 采用完善的安全审计技术对整个网络(或重要网络部分)的运行进行记录和分析,可以通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并为今后网络整改提供依据。
4. 部署网络入侵检测系统,从而能够对流入和流出管理模块的数据流进行实时的分析并及时发现可能的入侵行为。
由于管理模块全网可达, 且能够对全网的所有设备和服务器进行管理,所以它的安全防护策略应该是全网最严格的。
(二) 核心模块
核心模块的主要功能是快速转发。所面临主要安全威胁是分组窃听、功能区域划分模糊和如何实现快速故障隔离。当多种应用流量运行在核心模块时,如何防止不同应用流量被窃听篡改、如何对不同应用区域进行分类保护、如何在核心模块故障发生时进行有效快速的故障隔离成了当务之急。
核心模块的主要设备是三层交换机, 三层交换架构是消除分组窃听威胁的有效手段,而核心三层交换机的虚拟化技术则可以解决核心功能区域的精细划分、实现有效快速的隔离故障,提高系统的可用性,防止级联式的服务中断。通过核心交换机的虚拟化技术还可实现交换机控制和管理平面的虚拟化,在三层交换机上配置相应的安全策略,为多个应用或部门的流量提供安全的网络分区,让每个应用或部门可以独立管理和维护其各自的配置。
(三) 分布层模块
分布层模块主要提供包括路由、QoS和访问控制。所面临的主要安全威胁有未授权访问、欺骗、病毒和特洛伊木马的应用。为了消除以上分布层模块面临的安全威胁, 分布层模块应采取以下的安全措施:
1. 针对二层网络的安全威胁,利用网络设备本身的二层网络安全性能,进行二层网络安全策略的部署,如二层VLAN划分、DHCP窥探保护、动态ARP检查、IP源地址保护等安全策略。
2. 通过在分布层使用访问控制, 可以减少一个部门访问另一部门服务器上保密信息的机会,利用设备包过滤技术,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
3. 通过RFC2827过滤可有效防止源地址欺骗。
4. 部署防病毒系统,防止各个工作站感染病毒和特洛伊木马的应用。
5. 部署网络准入控制系统,通过在网络中部署网络准入控制系统,可以实现最大限度减少内部网络安全威胁,降低病毒和蠕虫造成的停机时间。
根据网络规模和性能要求的不同, 核心层和分布层可以结合起来合二为一, 从而达到减少硬件设备,达到减少投资与节能等目的。
(四) 服务器模块
服务器模块的主要目标是向最终用户和设备提供应用服务。所面临的主要安全威胁有未授权访问、应用层攻击、IP欺骗、分组窃听和端口重定向等。为了消除以上安全威胁,应采取以下的安全措施:
1. 使用基于主机和网络的IDS/IPS系统。
2. 在交换机上配置私有VLAN,实现对服务器的访问限制, 限制对关健服务器的随意访问。
3. 对服务器及时打上最新的补丁程序。
4. 对服务器区域(DMZ区域)进行不同安全级别划分,通过对不同应用的服务器进行安全级别的划分,并通过防火墙模块进行DMZ逻辑区域的隔离,可以实现服务器故障的快速隔离和服务器间访问的有效控制。
5. 针对企业较为重要的邮件应用服务器,可以单独部署电子邮件安全产品,从而减少与垃圾邮件、病毒和其它各种威胁有关的宕机,以求减轻技术人员的负担。
像分布层模块一样, 根据公司规模、应用性能及需求的不同, 服务器模块可以与核心模块相结合。
(五) 边界接入模块
边界接入模块的目标是在网络边缘集中来自各个接入网模块的连接,信息流从边界接入模块过滤后路 由至至核心。边界接入模块在整体功能方面和分布层模块有些类似,都采用接入控制来过滤信息流,但边界接入模块在一定程度上依赖整个接入网功能区域来执行附加安全功能。像服务器和分布层模块一样,如果性能要求不高, 边界接入模块可与核心模块结合起来。
在边界接入模块比较常见的安全措施为应用流量观察分析和安全网关。应用流量观察分析是通过部署流量控制设备,使用其二至七层强大的应用分析能力,能够第一时间获得核心模块和接入网模块之间应用流量能见度,并以此为基础在企业网络中部署相应的安全策略(比如限制病毒端口号、限制特定内网IP地址、限制特定MAC地址)。安全网关是通过采用专用的安全网关技术,实现核心模块和外网接入网模块之间的Web内容过滤,Web病毒扫描,间谍软件防御,HTTPS安全控制,防机密数据外泄等等安全功能。
三、 企业接入网的安全设计
企业接入网由外网接入模块和远程接入模块两个部分组成。以下分别阐述各个模块的功能、面临的安全威胁和相应的安全措施。
(一) 外网接入模块
大多企业网虽然都是专网,但是不可避免要和外网连接。外网包括企业分支网络、第三方接入网络和互联网。所面临的主要安全威胁有未授权接入、应用层攻击、病毒和特洛伊木马、拒绝服务攻击等。主要防御措施有:
1. 在外网接入模块和外网之间部署防火墙。防火墙应分为两组防护, 一组用于企业网与分支机构网络的连接, 另一组用于企业网与互联网的连接。防火墙为内网的网络资源提供保护,从而确保只有合法信息流穿过防火墙。部署在企业网与互联网的连接上的防火墙时可以使用目前先进的“云火墙”技术,该技术可以持续收集互联网上已知威胁的详细信息,实现企业到互联网的网络安全。
2. 使用防火墙的虚拟化技术,将单一防火墙设备逻辑划分为多个虚拟防火墙,每个防火墙有自己的策略且分别进行管理,可以实现不同区域模块之间的安全控制和设备资源的高效利用。
3. 部署IDS/IPS入侵检测/防御系统,有条件的情况下, 在防火墙的内网区、外网区和DMZ区域都要部署入侵检测/防御系统, 以实时检测来自外网的入侵行为。
4. 建立统一的应用服务器用于与其它分支网络构建统一接入平台,应用服务器作为所有应用服务的, 通过进行更严格的应用数据流检查和过滤,有利于外网接入模块的标准化和可扩展性的提升。
5. 在与互联网连接的企业网络边缘部署路由器,并通过在路由器入口进行数据流的过滤,路由器对大多数攻击提供了过滤器,同时进行RFC1918和RFC2827过滤, 作为对过滤的验证, 路由器还应丢弃‘碎片’的数据包。对于过滤造成的合法数据包丢弃相比这些数据包带来的安全风险是值得的。
(二) 远程接入模块
远程接入模块的主要目标有三个:从远程用户端接VPN信息流、为从远程站点VPN信息流提供一个集线器以及拨号用户。远程接入模块面临的主要安全威胁有口令攻击、未授权接入和中间人攻击等。此模块的核心要求是拥有三个独立外部用户服务验证和端接,对于此模块来说信息流的来源是来自于企业网络外的不可信源, 因此要为这三种服务的每一种提供一个防火墙上的独立接口。
1. 远程接入VPN,远程接入VPN推荐使用IPSec协议。此服务的安全管理是通过将所有IPSec的安全参数从中央站点推向远程用户实现的。
2. 拨号接入用户,AAA和一次性口令服务器可用来验证和提供口令。
3. 站点间VPN,与站点间连接相关的IP信息流在传输模式下由配置成GRE隧道来实现。
以上来自三种服务的信息流应集中接入到防火墙的一个专用接口上。条件允许时在防火墙的内口或外口部署IDS/IPS系统, 以检测可能的攻击行为。
四、 模块之间的相互关系
采用模块化设计时, 不是简单地将网络安全设计分解成各个孤立的模块, 各模块之间紧密联系,其安全防护措施也直接影响到其它模块的安全。
管理模块是整个网络安全体系的核心、位于其它所有模块的最顶层。网络安全体系的建立, 应该首先建立管理模块的安全结构。它相对于其它模块有着很大的独立性, 但它是建立其它模块安全结构的基础和前提。
核心模块、服务器模块和分布层模块构成企业网络的内部网络。这三个模块主要防范来自企业网内部的安全威胁:分布层模块提供了针对内部发起攻击的第一道防线;核心模块的主要目标是线速的转发数据流, 其安全性主要依赖于核心模块交换设备本身的安全设置以及分布层模块的安全防护;服务器模块往往会成为内部攻击的主要目标, 安全性除了自身的安全措施和分布层模块的安全防护外, 严格的安全管理是极为重要的。
边界接入模块是连接企业内网和外部接入网的桥梁和纽带。边界接入模块在外部接入网安全措施的基础上, 为企业内网提供附加的安全功能。
外部接入网为企业内网提供了第一道安全防线, 也是外网接入企业网内网统一的接入平台。
模块化的设计将复杂的大型网络划分为几个相对简单的模块, 以模块为基本单位构筑整个网络的安全体系结构。使用模块化的网络安全设计能够很容易实现单个模块的安全功能,并实现模块与模块间的安全关系,从而在整个企业网络中形成分层次的纵深防御体系。还能够使设计者进行逐个模块的安全风险评估和实施安全, 而非试图在一个阶段就完成整个体系结构。
参考文献:
[1] 崔国庆. 计算机网络安全技术与防护的研究?. 电脑知识与技术,2009年9月.
防火墙是网络安全的基本防护设备,其安全性受到了越来越多人的重视,尤其是在当前科技迅猛发展的环境下,各企业也迅速的崛起,使得企业在网络环境的推动下,也面领着严峻的信息安全挑战。在这种环境下,人们对于防火墙的安全性要求也随之提高。当前,企业的防火墙要实现安全设计,还需要对企业的网络安全进行全方面的需求分析,通过针对性的设计,提高防火墙的实用性、功能性、安全性。
【关键词】
防火墙;企业网络安全设计;实现
1前言
计算机网络技术的广泛应用,为企业提供了更多的发展平台与业务渠道,在一定程度上推动了企业的快速发展。但在网络技术不断普及的今天,各种恶意攻击、网络病毒、系统破坏也对企业的网络安全造成了较大的伤害,不仅严重威胁到企业的信息安全,而且给企业带来较大的经济损失,造成了企业形象的破坏。因此,才需要使用防火墙技术,通过防火墙网络技术的安全设计,对各种病毒与网络攻击进行抵御,维护企业的信息安全,促进企业的健康稳定发展。
2防火墙的企业网络安全设计原则
在企业防火墙的网络安全设计中应该遵循一定的原则,即:全面、综合性原则,也就是企业的网络安全体系设计,应该从企业的整体出发,对各项信息威胁进行利弊权衡,进而制定出可行性的安全防护措施;简易性原则,主要是对于网络安全设计,既要保证其安全性,又要保证其操作简便性,以免系统过于复杂而造成维护上的阻碍;多重保护原则能够在建立多重的网络安全机制,确保整个网络环境安全;可扩充原则,主要是指在网络运用过程中,要随着新变化的出现,对于之前的网络安全系统进行升级与扩充;灵活性原则,也就是防火墙的网络安全设计方案,应该结合企业自身网络现状及安全需求,采用灵活、使用的方式进行设计;高效性原则,也就是防火墙的网络安全设计应该确保投资与产出相符,通过安全性的设计解决方案,避免重复性的投资,让企业投入最少的项目资金,获得最大的收益,有效维护企业的安全[1]。
3防火墙的企业网络安全设计
防火墙为服务器的中转站,能够避免计算机用户与互联网进行直接连接,并对客户端的请求加以及时地接收,创建服务其的连接,并对服务器发出的信号相应加以接受,再通过系统将服务器响应信号发送出去,并反馈与客户端。
3.1防火墙加密设计
防火墙的加密技术,是基于开放型的网络信息采取的一种主动防范手段,通过对敏感数据的加密处理、加密传输,确保企业信息的安全。当前的防火墙加密技术主要有非对称秘钥与对称秘钥两种,这种数据加密技术,主要是对明文的文件、数据等通过特定的某种算法加以处理,成为一段不可读的代码,维护数据信息的安全,以免企业的机密信息收到外界的攻击[2]。当前的防火墙加密手段也可分为硬件加密与软件加密,其中硬件加密的效率较高,且安全系数较高,而软件加密的成本相对来说较低,使用性与灵活性也较强,更换较为方便。
3.2入侵检测设计
入侵主要指的是外部用户对于主机系统资源的非授权使用,入侵行为能够在一定程度上导致系统数据的损毁与丢失,对于企业的信息安全与网络安全会造成较大的威胁,甚至导致系统拒绝合法用户的使用与服务。在防火墙的企业网络安全设计中,应该加强对入侵者检测系统的重视,对于入侵脚本、程序自动命令等进行有效识别,通过敏感数据的访问监测,对系统入侵者进行行为分析,加强预警机制,检测入侵者的恶意活动,及时发现各种安全隐患并加以防护处理。
3.3身份认证设计
身份认证主要是对授权者的身份识别,通过将实体身份与证据的绑定,对实体如:用户、应用程序、主机、进行等加以信息安全维护。通常,证据与实体身份间为一种对应的关系,主要由实体方向提供相应的证据,来证明自己的身份,而防火墙的身份认证则通相关的机制来对证据进行验证,以确保实体身份与证据的一致性。通过身份认证,防火墙便能够对非法用户与合法用户加以识别,进而对非法用户进行访问设置,维护主机系统的安全。
3.4状态检测设计
访问状态检测,是控制技术的一种,其关键性的任务就是确保企业的网络资源不受非法使用与非法访问,是维护企业网络安全的重要手段之一。防火墙的访问控制,一般可分为两种类型:①系统访问控制;②网络访问控制。其中,网络访问控制主要是限制外部计算机对于主机网络服务系统的访问,以及控制网络内部用户与外部计算机的访问。而系统访问控制,主要是结合企业的实际管理需求,对不同的用户赋予相应的主机资源操作、访问权限。
3.5包过滤数据设计
数据包过滤型的防火墙主要是通过读取相应的数据包,对一些信息数据进行分析,进而对该数据的安全性、可信度等加以判断,并以判断结果作为依据,来进行数据的处理。这在个过程中,若相关数据包不能得到防火墙的信任,便无法进入该网络。所以,这种技术的实用性很强,能够在网络环境下,维护计算机网络的安全,且操作便捷,成本较低。但需要注意的是,该技术只能依据一些基本的信息数据,来对信息安全性进行判断,而对于应用程序、邮件病毒等不能起到抵制的作用。包过滤防火墙通常需要在路由器上实现,对用户的定义内容进行过滤,在网络层、数据链路层中截获数据,并运用一定的规则来确定是否丢弃或转发各数据包。要确保企业的网络安全,需要对该种技术进行充分的利用,并适当融入网络地址翻译,对外部攻击者造成干扰,维护网络内部环境与外部环境的安全。
4企业网络安全中的实现
4.1强化网络安全管理
用将防火墙技术应用于企业的网络安全中,还需要企业的信息管理人员对于本企业的实际业务、工作流程、信息传输等进行深入的分析,对本企业存在的信息安全加以风险评估,熟悉掌握本企业网络安全的薄弱环节,全民提高企业的信息安全。另外,企业信息管理人员还需要对企业的网络平台架构进行明确掌握,对企业的未来业务发展加以合理的预测分析,进而制定出科学合理的网络信息安全策略。同时,企业信息管理人员还需要对黑客攻击方式与攻击手段进行了解,做好防止黑客入侵的措施。
4.2网络安全需求分析
企业的网络安全为动态过程,其设方案需要结合自身的实际状况加以灵活设计,进而提高设计方案的适用性、安全性,维护企业整个网络的安全。在对企业网络需求进行分析时,还需要注重企业的应用系统、网络访问系统、网络资源、网络管理实际[3]。在应用系统安全性设计中,对于系统使用频繁,提供服务资源的数据库与服务器,要在网络环境下,确保其运行安全,以免疏导恶意攻击与访问;而对于网络访问设计应具有一定的可控性,具备相应的认证与授权功能,对用户的身份加以识别,对敏感信息加以维护,以免企业的核心系统遭到攻击[4];网络资源要确保其适用性,能够承载企业的办公自动化系统及各项业务的运行使用,并保证网络能够不间断地高效运行;同时,针对网络管理,应该具有可操作性,在安全日志与审计上进行相关的信息记录,以免企业信息系统管理人员的日后维护。
4.3网络安全策略的制定
要实现企业的网络安全,还需要对企业的实际网络安全需求进行了解之后,针对不同的信息资源,制定出相关的安全策略,通过各种系统保密措施、信息访问加密措施、身份认证措施等,对企业信息资源维护人员相关的职责加以申请与划分,并对访问审批流程加以明确。最后,还需要企业的信心管理人员对整个安全系统进行监控与审计,通过监控系统的安全漏洞检查,对威胁信息系统安全的类型与来源进行初步判断,通过深入分析,制定出完善是网络安全防护策略[5]。
5结束语
在互联网环境下,信息资源的存储量巨大,运行较为高效,不仅为企业带来了较大发展空间,也使企业的信心安全面临巨大的威胁。因此,企业需要加强防火墙系统的建设,提高对网络安全系统的认识,通过有效措施,加强防火墙的安全设计,构建一个相对稳定的网络环境,维护企业的信息安全,让企业在可靠的信息网络环境开发更多的客户资源,以寻得健康、稳定、持续的发展。
作者:黄河锋 单位:桂林自来水公司
参考文献
[1]马小雨.防火墙和IDS联动技术在网络安全管理中的有效应用[J].现代电子技术,2016(02):42~44.
[2]范沁春.企业网络安全管理平台的设计与实现[J].网络安全技术与应用,2015(07):74+77.
[3]秦艳丽.试谈防火墙构建安全网络[J].电脑编程技巧与维护,2016(06):78~80.
关键词:企业网络 安全管理 维护
中图分类号:TN915.08 文献标识码:A 文章编号:1672-3791(2012)12(a)-0024-01
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。逐渐地使经营管理对计算机应用系统依赖性增强,计算机应用系统对网络依赖性增强。然而,网络的安全是伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。如病毒入侵和黑客攻击之类的网络安全事件,速度之快,范围之广,已众所周知。企业为阻止恶意软件入侵攻击、防止非法用户通过网络访问和操作、防止用户邮件被非法截取或篡改等采取的安全措施,既保证企业数据安全、网络系统运行稳定,又防止非法入侵等问题才是企业网络安全管理的重要内容。
1 威胁信息安全的主要因素
1.1 软件的内在缺陷
这些缺陷不仅直接造成系统宕机,还会提供一些人为的恶意攻击机会。对于某些操作系统,相当比例的恶意攻击就是利用操作系统缺陷设计和展开的,一些病毒、木马也是盯住其破绽兴风作浪,由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障,降低系统安全性能。
1.2 恶意攻击
攻击的种类有多种,有的是对硬件设施的干扰或破坏,有的是对应用程序的攻击,有的是对数据的攻击。对硬件设施的攻击,可能会造成一次性或永久性故障或损坏。对应用程序的攻击会导致系统运行效率的下降,严重的会导致应用异常甚至中断。对数据的攻击可破坏数据的有效性和完整性,也可能导致敏感数据的泄漏、滥用[1]。
1.3 管理不善
许多企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员安全风险意识薄弱,是网络风险的重要原因之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等[2],都会给信息安全带来严重威胁。
1.4 网络病毒的肆虐
只要上网便避免不了的受到病毒的侵袭。一旦沾染病毒,就会通过各种途径大面积传播病毒,就会造成企业的网络性能急剧下降,还会造成很多重要数据的丢失,给企业带来巨大的损失。
1.5 自然灾害
对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、水灾、地震等各种自然灾害。此外,停电、盗窃、违章施工也对计算机信息系统安全构成现实威胁。
2 完善网络信息安全的管理机制
2.1 规范制度化企业网络安全管理
网络和信息安全管理真正纳入安全生产管理体系,并能够得到有效运作,就必须使这项工作制度化、规范化。要在企业网络与信息安全管理工作中融入安全管理的思想,制定出相应的管理制度。
2.2 规范企业网络管理员的行为
企业内部网络安全岗位的工作人员要周期性进行轮换工作,在公司条件允许的情况下,可以每项工作指派2~3人共同参与,形成制约机制。网络管理员每天都要认真查看日志,通过日志来发现有无外来人员攻击公司内部网络,以便及时应对,采取相应措施。
2.3 规范企业员工的上网行为
目前,琳琅满目的网站及广告铺天盖地,鼠标一点,就非常有可能进入非法网页,普通电脑用户无法分辩,这就需要我们网管人员对网站进行过滤,配置相应的策略,为企业提供健康的安全上网环境。为此,企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的情况下尽量不要安装,同时,还要培养企业员工的网络安全意识,注意移动硬件病毒的防范和查杀的问题,增强计算机保护方面的知识。
2.4 加强企业员工的网络安全培训
企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
3 提高企业网络安全的维护的措施
3. 1病毒的防范
在网络环境下,病毒的传播性、破坏性及其变种能力都远远强于过去,鉴于“熊猫烧香”、“灰鸽子”、“机器狗”等病毒给太多的企业造成严重的损失,惨痛的教训告诫我们,选用一款适合于企业网的网络版防病毒产品,是最有效的方法。网络版的产品具备统一管理、统一升级、远程维护、统一查杀、协助查杀等多种单机版不具备的功能。有效缓解系统管理员在网络防病毒方面的压力。
3.2 合理配置防火墙
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙的配置需要网络管理员对本单位网络有较深程度的了解,在保证性能及可用性的基础上,制定出与本单位实际应用较一致的防火墙策略。
3.3 配置专业的网络安全管理工具
这种类型的工具包括入侵检测系统、Web,Email,BBS的安全监测系统、漏洞扫描系统等。这些系统的配备,可以让系统管理员能够集中处理网络中发生的各类安全事件,更高效、快捷的解决网络中的安全问题。
3.4 提高使用人员的网络安全意识和配备相关技术人员
企业网络漏洞最多的机器往往不是服务器等专业设备,而是用户的终端机。因此,加强计算机系统使用人员的安全意识及相关技术是最有效,但也是最难执行的方面。这需要在企业信息管理专业人员,在终端使用人员网络安全技术培训、网络安全意识宣传等方面多下功夫。
3.5 保管数据安全
企业数据的安全是安全管理的重要环节。特别是近年来,随着企业网络系统的不断完善,各专业应用如财务、人事、营销、生产、OA、物资等方方面面均已进入信息系统的管理范围。系统数据一旦发生损坏与丢失,给企业带来的影响是不可估计的。任何硬件及软件的防范都仅能提高系统可靠性,而不能杜绝系统灾难。在这种情况下,合理地制定系统数据保护策略,购置相应设备,做好数据备份与系统灾难的恢复预案,做好恢复预案的演练,是最有效的手段。
3.6 合理规划网络结构
合理规划网络结构,可使用物理隔离装置将重要的系统与常规网络隔离开来,是保障重要系统安全稳定的最有效手段。
4 结语
总而言之,企业网络系统的安全防护是一项长期以来极具挑战性的课题。它的发展往往伴随着网络技术的发展其自身也在不断的更新和调整。信息安全是一个企业赖以生存的基础保障,只有信息安全得到保障,企业的网络系统才有其存在的价值。网络安全是一项系统的工程,需要我们综合考虑很多实际的需求问题,灵活运用各种网络安全技术才能组建一个高效、稳定、安全的企业网络系统。
参考文献