時(shí)間:2023-06-04 10:46:48
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)網(wǎng)絡(luò)安全方案,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
網(wǎng)絡(luò)化辦公和企業(yè)信息化的變革帶給了每個(gè)企業(yè)快速而富有效率的發(fā)展,現(xiàn)在幾乎所有企業(yè)都需要網(wǎng)絡(luò),特別是在一些科技互聯(lián)網(wǎng)類企業(yè),網(wǎng)絡(luò)占據(jù)了企業(yè)全天候的時(shí)間,而其產(chǎn)生的信息價(jià)值基本代表了整個(gè)企業(yè)的所有資產(chǎn)和信譽(yù),可見今天的網(wǎng)絡(luò)在企業(yè)的價(jià)值和地位已經(jīng)變得十分重要,有效率而安全地使用網(wǎng)絡(luò),一來(lái)能夠節(jié)省網(wǎng)絡(luò)成本,二來(lái)還能夠保證企業(yè)信息價(jià)值的安全使用,避免給企業(yè)帶來(lái)不良的信用風(fēng)險(xiǎn),加之目前網(wǎng)絡(luò)安全事件頻出,不少企業(yè)因此負(fù)出了很大的代價(jià)。我們有理由相信:網(wǎng)絡(luò)在如今這幾年是一個(gè)野蠻生長(zhǎng)的時(shí)代,但我們也有理由告訴你:未來(lái)的網(wǎng)絡(luò)是絕不允許你能像現(xiàn)在這樣繼續(xù)裸奔,網(wǎng)絡(luò)有“防”才能無(wú)“患”!
北京科能騰達(dá)信息技術(shù)股份有限公司(以下簡(jiǎn)稱科能騰達(dá))是一家成立于2000年的網(wǎng)絡(luò)安全公司,一直致立于網(wǎng)絡(luò)安全行業(yè)的技術(shù)研究與市場(chǎng)擴(kuò)展,成立15年來(lái)穩(wěn)步發(fā)展,產(chǎn)品應(yīng)用范圍已經(jīng)涉及能源、電力、銀行、證券、民航、互聯(lián)網(wǎng)、連銷經(jīng)營(yíng)諸多行業(yè)和知名大型企業(yè),目前已經(jīng)和多家行業(yè)機(jī)構(gòu),科研機(jī)構(gòu)保持密切聯(lián)系與深入合作,從起初的銷售型企業(yè)逐步發(fā)展為創(chuàng)新型技術(shù)研發(fā)+市場(chǎng)經(jīng)營(yíng)銷售和綜合性安全服務(wù)商,2012年企業(yè)獲得資本市場(chǎng)許可,成功登陸新三板(簡(jiǎn)稱:科能騰達(dá) 代碼:430148),2014年企業(yè)又完成了新一輪融資,總股本增至2000萬(wàn),市值近3億元,發(fā)展勢(shì)頭迅猛。
在2015年第十六屆中國(guó)信息安全大會(huì)上,北京科能騰達(dá)信息技術(shù)股份有限公司榮譽(yù)產(chǎn)品CNGate-USG 綜合安全網(wǎng)關(guān)獲得了與會(huì)人員的高度認(rèn)可。這款設(shè)備的市場(chǎng)定位主要在于解決中小企業(yè)網(wǎng)絡(luò)安全,其特點(diǎn)為,應(yīng)用范圍廣泛,功能全面,操作簡(jiǎn)易,CNGate-USG集成了防火墻、IPSec 和 SSL VPN、入侵防御、防病毒、防惡意軟件、防垃圾郵件、 P2P 安全及 Web 安全過(guò)濾,可識(shí)別多種安全威脅,同時(shí),它的高密度接口也使得它可以做為企業(yè)內(nèi)網(wǎng)安全交換機(jī)使用,方便對(duì)內(nèi)網(wǎng)資源集中安全管控,堪稱在中小型企業(yè)和分支辦公室環(huán)境下極為完美的網(wǎng)絡(luò)安全解決方案。
本次中國(guó)信息安全大會(huì)上,北京科能騰達(dá)信息技術(shù)股份有限公司旗下產(chǎn)品CNGate-USG 綜合安全網(wǎng)關(guān)一舉獲得了“2015年度中國(guó)信息安全優(yōu)秀產(chǎn)品”殊榮,科能騰達(dá)獲得了“2015年度中國(guó)信息安全極具影響力企業(yè)”。安全實(shí)用的產(chǎn)品,良好的企業(yè)信譽(yù)讓這家歷經(jīng)十五年的企業(yè)再次贏得了市場(chǎng)和同行業(yè)人員的一致好評(píng)。
CNGate-USG 綜合安全網(wǎng)關(guān)的明顯優(yōu)勢(shì)在于,這款產(chǎn)品的市場(chǎng)設(shè)計(jì)定位和高度聚合化的功能;綜觀現(xiàn)在紛繁復(fù)雜的安全市場(chǎng),大多數(shù)安全產(chǎn)品的設(shè)計(jì)還處于一種很專業(yè)化、定向化的氛圍中,即一個(gè)產(chǎn)品解決一個(gè)專業(yè)定向的問(wèn)題,企業(yè)出了這種問(wèn)題,就找這種設(shè)備去防護(hù)、檢測(cè)等,企業(yè)是在一種相對(duì)被動(dòng)的防護(hù)環(huán)境做出的選擇,而且隨著問(wèn)題的越來(lái)越多越來(lái)越復(fù)雜,企業(yè)要去做的防護(hù)也會(huì)相應(yīng)的多起來(lái),隨之而來(lái)的就是企業(yè)網(wǎng)絡(luò)拓?fù)湓絹?lái)越復(fù)雜,可維護(hù)性降低與維護(hù)成本不斷提高,對(duì)于所有應(yīng)用網(wǎng)絡(luò)的企業(yè)來(lái)說(shuō),這或許企業(yè)發(fā)展壯大中的一個(gè)不可避免的問(wèn)題。
但對(duì)于中小企業(yè)來(lái)說(shuō),面對(duì)如頻繁復(fù)雜的網(wǎng)絡(luò)局面,又要做到保證足夠的信息安全防護(hù)級(jí)別,那將是一件很麻煩的事,復(fù)雜的網(wǎng)絡(luò)部署,加之不斷增長(zhǎng)的安全設(shè)備成本與維護(hù)成本,愈發(fā)讓這些中小企業(yè)感到無(wú)奈,因?yàn)闀r(shí)下的企業(yè)管理者大都認(rèn)為,用戶已不同以前像個(gè)單點(diǎn),而是遍布網(wǎng)絡(luò)各處,企業(yè)信息安全問(wèn)題早已經(jīng)深入到了企業(yè)日常管理中,越來(lái)越普遍的安全威脅已經(jīng)涉及他們迫切需要一個(gè)即能通盤解決時(shí)下主流信息安全威脅的設(shè)備,又能在維護(hù)上做到盡可能的簡(jiǎn)單易用,不致辭于投入過(guò)多的安全維護(hù)成本。科能騰達(dá)正是看到了眾多企業(yè)問(wèn)題,應(yīng)合市場(chǎng)需求,設(shè)計(jì)了這款 CNGate-USG 綜合安全網(wǎng)關(guān),為這些中小企業(yè)打造了功能集中方便管理維護(hù)的網(wǎng)絡(luò)安全設(shè)備,可以滿足中小企業(yè)對(duì)安全的基本應(yīng)用,在有限的企業(yè)網(wǎng)絡(luò)中,為企業(yè)日后網(wǎng)絡(luò)發(fā)展預(yù)留了相當(dāng)大的網(wǎng)絡(luò)擴(kuò)展空間,稱得上是一款市場(chǎng)所需、企業(yè)所想、投入產(chǎn)出比較高的安全產(chǎn)品。
科能騰達(dá)目前已經(jīng)構(gòu)建網(wǎng)絡(luò)安全產(chǎn)品體系日趨健全多樣化,能極大地滿足各式網(wǎng)絡(luò)環(huán)境需求,安全防護(hù)類產(chǎn)品:除了CNGate-USG 綜合安全網(wǎng)關(guān),還有專注高級(jí)逃避技術(shù)防護(hù)的CNGate-NGFW 下一代防火墻、CNGate-NGIPS 下一代IPS、 CNGate-EPS、高級(jí)逃避技術(shù)防護(hù)系統(tǒng),和專門為互聯(lián)網(wǎng)網(wǎng)站提供安全服務(wù)的CNGate-WAF Web應(yīng)用防火墻、CNGate-HST 主機(jī)安全加固軟件以及物理上實(shí)現(xiàn)訪問(wèn)隔離CNGate-SGG 安全網(wǎng)閘;運(yùn)維審計(jì)類有:CNGate-BAS 安全運(yùn)維審計(jì)系統(tǒng)(堡壘機(jī))、CNGate-ITM IT運(yùn)維可視化系統(tǒng)、 CNGate-DBA 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、CNGate-AG 上網(wǎng)行為管理系統(tǒng)、CNGate-SIEM 安全事件管理平臺(tái);同時(shí)還有應(yīng)用交付類CNGate-ADC 應(yīng)用交付系統(tǒng),以及測(cè)試儀表類的 CNGate-TES 高級(jí)逃避技術(shù)測(cè)試工具等;如此全面而細(xì)化的網(wǎng)絡(luò)安全產(chǎn)品體系,不僅能做到網(wǎng)絡(luò)單一方面的重點(diǎn)防護(hù),更能通過(guò)企業(yè)定制化的解決方案配合相關(guān)技術(shù)服務(wù)支持,做到涵蓋網(wǎng)絡(luò)各個(gè)基礎(chǔ)單位的立體的安全防護(hù)體系,真正做到網(wǎng)絡(luò)立體防護(hù)、可控、可視、可管,一些與之合作的企業(yè)更是將CNGate 視為自己企業(yè)的安全顧問(wèn),因?yàn)樵贑NGate 他們提供的是多樣化的產(chǎn)品,并配之以詳盡周道的服務(wù),就像他們的企業(yè)口號(hào)所倡導(dǎo)的那樣“您專注業(yè)務(wù),我們專注安全!”,CNGate 讓合作企業(yè)少費(fèi)心,多放心。
CNGate現(xiàn)已經(jīng)歷經(jīng)十多年的發(fā)展,一直專注于網(wǎng)絡(luò)信息安全領(lǐng)域的研發(fā)與安全產(chǎn)品的銷售和服務(wù),已經(jīng)積聚了不小的品牌影響力。相信不久的將來(lái),科能騰達(dá)將近一步面向市場(chǎng)推出更加優(yōu)秀的產(chǎn)品,服務(wù)廣大用戶,服務(wù)大眾網(wǎng)絡(luò)安全!
一.研究?jī)?nèi)容
本報(bào)告研究?jī)?nèi)容主要包括以下幾個(gè)方面:1.中小企業(yè)網(wǎng)絡(luò)安全的需求特點(diǎn)。根據(jù)對(duì)中小企業(yè)的分類(見報(bào)告正文),分別對(duì)初級(jí)、中級(jí)、高級(jí)中小企業(yè)網(wǎng)絡(luò)安全的需求特點(diǎn)做了分析。
2.針對(duì)初級(jí)、中級(jí)、高級(jí)中小企業(yè)的網(wǎng)絡(luò)安全需求分別研究了解決方案。
3.對(duì)中小企業(yè)網(wǎng)絡(luò)安全市場(chǎng)做了增長(zhǎng)趨勢(shì)預(yù)測(cè)。
4.分析了網(wǎng)絡(luò)安全廠商的捆綁策略,并對(duì)網(wǎng)絡(luò)安全廠商合作中需要注意的問(wèn)題和選擇合作伙伴的標(biāo)準(zhǔn)做了建議。
二.中小企業(yè)網(wǎng)絡(luò)安全的需求
1.中級(jí)中小企業(yè)防入侵、防垃圾郵件的需求沒(méi)有得到中小企業(yè)的足夠重視,這兩個(gè)方面的需求沒(méi)有得到有效的滿足。市場(chǎng)上雖然有解決此類問(wèn)題的產(chǎn)品,但由于中級(jí)中小企業(yè)防護(hù)意識(shí)的缺乏,以及存在信息不對(duì)稱和相關(guān)知識(shí)缺乏的問(wèn)題,需求并沒(méi)有被滿足。這需要廠商加強(qiáng)宣傳和引導(dǎo)。
2.高級(jí)中小企業(yè)的網(wǎng)絡(luò)安全方面,防止內(nèi)部人員竊取和攻擊、防止無(wú)線數(shù)據(jù)的攔截這兩方面沒(méi)有得到中小企業(yè)的足夠重視。網(wǎng)絡(luò)安全廠商所關(guān)注的重點(diǎn),仍主要集中于防病毒、防垃圾郵件、防止非法入侵、身份識(shí)別與訪問(wèn)控制、反端口掃描、數(shù)據(jù)的備份和恢復(fù)等方面,對(duì)防止內(nèi)部人員竊取和攻擊、防止無(wú)線數(shù)據(jù)的攔截這兩方面重視程度不夠。例如防止無(wú)線數(shù)據(jù)的攔截方面,網(wǎng)絡(luò)安全市場(chǎng)就缺乏針對(duì)中小企業(yè)此方面需求的相關(guān)產(chǎn)品。
三.中小企業(yè)網(wǎng)絡(luò)安全市場(chǎng)的增長(zhǎng)趨勢(shì)
1.初級(jí)中小企業(yè)網(wǎng)絡(luò)安全的市場(chǎng)價(jià)值20__年為0.7億元人民幣。在20__年,市場(chǎng)價(jià)值將增加到1.6億元人民幣,但年增長(zhǎng)率由20__年的42.9降低到20__年的23.1。
2.中級(jí)中小企業(yè)網(wǎng)絡(luò)安全的市場(chǎng)價(jià)值在20__年為2.2億元人民幣。20__年市場(chǎng)價(jià)值將增加到5.3億元人民幣,但年增長(zhǎng)率由20__年的45.5降低到20__年的23.3。
【 關(guān)鍵詞 】 企業(yè)網(wǎng)絡(luò);安全管理;防護(hù)策略
1 引言
如今,經(jīng)濟(jì)迅速發(fā)展帶動(dòng)網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)網(wǎng)絡(luò)化管理被廣泛應(yīng)用,給企業(yè)內(nèi)部、企業(yè)與外界的聯(lián)系以及企業(yè)的管理帶來(lái)了便利,業(yè)務(wù)的靈活性被企業(yè)經(jīng)營(yíng)者廣泛關(guān)注,同時(shí)也發(fā)展了企業(yè)信息網(wǎng)絡(luò)。一系列諸如生產(chǎn)上網(wǎng)、辦公自動(dòng)化、遠(yuǎn)程辦公以及業(yè)務(wù)上網(wǎng)的新的業(yè)務(wù)模式得到了開發(fā)與發(fā)展。但是與此同時(shí),網(wǎng)絡(luò)環(huán)境下的企業(yè)安全問(wèn)題引發(fā)了管理者的擔(dān)心,能否創(chuàng)建安全穩(wěn)固的企業(yè)網(wǎng)絡(luò)是企業(yè)管理者最為看重的問(wèn)題,也逐漸變成一個(gè)企業(yè)能否正常運(yùn)轉(zhuǎn)的前提。因此,運(yùn)用切實(shí)可靠的網(wǎng)絡(luò)安全管理方法、提高網(wǎng)絡(luò)的安全防護(hù)能力已經(jīng)企業(yè)一個(gè)重要研究的內(nèi)容。
2 影響企業(yè)網(wǎng)絡(luò)安全的因素
網(wǎng)絡(luò)安全關(guān)系到許多方面,不但涉及到網(wǎng)絡(luò)信息系統(tǒng)自身的安全問(wèn)題,而且囊括邏輯的和物理的技術(shù)策略等。WWW、TCP/IP、電子郵件數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)是當(dāng)前企業(yè)網(wǎng)絡(luò)通用標(biāo)準(zhǔn)和技術(shù),其廣域連接采用多種通信方式,大部分單位的系統(tǒng)被覆蓋。行業(yè)內(nèi)部信息存在于企業(yè)網(wǎng)絡(luò)的傳輸、處理和存儲(chǔ)各個(gè)環(huán)節(jié)。這些信息資源的保護(hù)和管理以及確保企業(yè)網(wǎng)絡(luò)內(nèi)部的各種信息在各個(gè)環(huán)節(jié)保持信息的完整、真實(shí)和防止非法截獲非常重要。
影響企業(yè)網(wǎng)絡(luò)安全的因素既有軟硬件的因素,也有人為的因素,既有來(lái)自網(wǎng)絡(luò)外部的,也來(lái)自網(wǎng)絡(luò)內(nèi)部的,歸結(jié)起來(lái)主要有幾方面。
2.1 網(wǎng)絡(luò)硬件的安全隱患
網(wǎng)絡(luò)中的的拓?fù)浣Y(jié)構(gòu)還有硬件設(shè)備兩者均有對(duì)企業(yè)網(wǎng)絡(luò)安全造成威脅可能,如一種硬件設(shè)備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業(yè)網(wǎng)絡(luò)中有各種各樣如應(yīng)用軟件、操作系統(tǒng)的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業(yè)也由此蒙受巨大的損失,這樣的例子在現(xiàn)實(shí)生活中層出不窮。比如,一些不為人知的軟件研發(fā)者為了個(gè)人原因(升級(jí)或自便)而設(shè)置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計(jì)算機(jī),篡改數(shù)據(jù),后果不堪設(shè)想,損失更是不可估量;又如以方便快捷應(yīng)用為目的的TCP/IP協(xié)議為網(wǎng)絡(luò)系統(tǒng)普遍應(yīng)用,但是其并沒(méi)有對(duì)安全性進(jìn)行全面估計(jì)考慮,更是在認(rèn)證和保密措施方面做得非常欠缺,若是一些IT高手對(duì)此很了解,便可以輕松利用其缺陷攻擊網(wǎng)絡(luò)。
2.3 計(jì)算機(jī)病毒與惡意程序
網(wǎng)絡(luò)被普遍應(yīng)用和告訴發(fā)展的時(shí)代,病毒傳播的主要途徑是網(wǎng)絡(luò)。一些企業(yè)的內(nèi)部網(wǎng)絡(luò)很容易被蠕蟲、病毒侵入,其特點(diǎn)是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網(wǎng)絡(luò)安全領(lǐng)域,病毒問(wèn)題一直難以從根本上解決,原因總結(jié)為兩點(diǎn):其一,技術(shù)原因,殺毒軟件總是在病毒出現(xiàn)后給用戶或是企業(yè)造成巨大損失后更新,滯后性和被動(dòng)性不言而喻;其二,用戶的安全防范意識(shí)不高,對(duì)病毒的了解不夠,不主動(dòng)安裝殺毒軟件,或是不及時(shí)升級(jí)殺毒軟件,給傳播病毒提供了機(jī)會(huì),巨大的威脅了網(wǎng)絡(luò)安全。
2.4 網(wǎng)絡(luò)入侵
網(wǎng)絡(luò)人侵的意思是網(wǎng)絡(luò)攻擊者在非授權(quán)的情況下獲得非法的權(quán)限,并通過(guò)這些非法的權(quán)限對(duì)用戶進(jìn)行非法的操作,獲得網(wǎng)絡(luò)資源或是文件訪問(wèn),入侵進(jìn)入公司或是企業(yè)內(nèi)部網(wǎng)絡(luò),極大地危害計(jì)算機(jī)網(wǎng)絡(luò),給社會(huì)帶來(lái)巨大財(cái)產(chǎn)或是信息損失。
2.5 人為因素
用戶安全意識(shí)淡薄,企業(yè)內(nèi)局域網(wǎng)應(yīng)用不規(guī)范。企業(yè)內(nèi)網(wǎng)在實(shí)際運(yùn)行中沒(méi)有限制,木馬、病毒等破壞性信息在p2p下載過(guò)程中傳播到企業(yè)內(nèi)網(wǎng)中,系統(tǒng)的安全應(yīng)用收到影響;接入網(wǎng)絡(luò)沒(méi)有很好地限制,如沒(méi)有限制接入的人員、時(shí)間方面,隨意、隨時(shí)上網(wǎng)不但容易使系統(tǒng)容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統(tǒng)安全防范措施;管理措施不到位;復(fù)雜的用戶人群,很多不是本系統(tǒng)專業(yè)的工作者,約束和監(jiān)管困難;衛(wèi)星信號(hào)很容易就被泄密,在空中傳輸無(wú)限信號(hào)的過(guò)程中,無(wú)線信號(hào)很容易被黑客截獲并利用;在很多企業(yè)中,沒(méi)有制定規(guī)范的管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的隔離措施,一旦管理網(wǎng)絡(luò)沾染病毒,生產(chǎn)網(wǎng)絡(luò)也很容易被傳染。
2.6 其它的安全因素
威脅網(wǎng)絡(luò)安全的因素還有很多,比如,傳輸過(guò)程中的數(shù)據(jù)很容易被電磁輻射物破壞;非授權(quán)的惡意刪除或攻擊數(shù)據(jù)、破壞系統(tǒng);非法竊取復(fù)制或是盜用系統(tǒng)文件、資料、數(shù)據(jù)、信息,導(dǎo)致企業(yè)或是公司泄密等,其后果非常嚴(yán)重。
3 企業(yè)網(wǎng)絡(luò)的安全管理
企業(yè)網(wǎng)絡(luò)安全管理是保證網(wǎng)絡(luò)安全運(yùn)行的基石,一些人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題可以通過(guò)加強(qiáng)和敦促管理工作可以盡最大可能的避免。企業(yè)應(yīng)把建立健全企業(yè)網(wǎng)絡(luò)安全管理制度作為安全管理的重點(diǎn),制定系統(tǒng)的安全管理方案,采取有效切實(shí)的管理政策。
企業(yè)的網(wǎng)絡(luò)管理主要從幾點(diǎn)努力。
3.1 健立健全企業(yè)規(guī)章制度
要保證網(wǎng)絡(luò)的相對(duì)安全,就務(wù)必制定詳細(xì)系統(tǒng)的安全制度,了解并認(rèn)識(shí)網(wǎng)絡(luò)安全的重要性,一旦出現(xiàn)網(wǎng)絡(luò)安全事故,其相應(yīng)處罰力度就必須嚴(yán)格按照處罰條例執(zhí)行到位,絕不能姑息手軟。為了做到切實(shí)保證企業(yè)的機(jī)密不泄露,建立對(duì)應(yīng)的詳細(xì)的安全保密制度勢(shì)在必行,管理者還要經(jīng)常不斷檢查制度的實(shí)施情況。記錄出現(xiàn)違規(guī)的人員及情況、相應(yīng)處罰情況、檢查的結(jié)果報(bào)告,做到今后有據(jù)可循,為以后出現(xiàn)類似情況提供管理依據(jù)。
3.2 樹立員工網(wǎng)絡(luò)安全意識(shí)
網(wǎng)絡(luò)安全工作要想做好,樹立企業(yè)工作人員的信息安全意識(shí)是首要任務(wù),只有員工切身真正認(rèn)識(shí)到信息安全對(duì)企業(yè)發(fā)展和前進(jìn)的重要性,才能切實(shí)在實(shí)際工作中重視起來(lái)。企業(yè)要實(shí)常加強(qiáng)員工相應(yīng)的信息安全的知識(shí)培訓(xùn),采用各種形式來(lái)增強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí),促使員工養(yǎng)成健康的使用計(jì)算機(jī)的習(xí)慣。
4 企業(yè)網(wǎng)絡(luò)安全防護(hù)措施
為了使企業(yè)網(wǎng)絡(luò)保持安全狀態(tài),企業(yè)網(wǎng)絡(luò)的安全防護(hù)措施必須與其具體需求要相結(jié)合,整合各種安全方案,創(chuàng)立一個(gè)多層次、完整的企業(yè)網(wǎng)絡(luò)防護(hù)體系,在為企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)防護(hù)措施時(shí),應(yīng)主要從幾點(diǎn)考慮:其一是要選擇進(jìn)行安全策略的工具,但安全風(fēng)險(xiǎn)是不可避免的也是必須承擔(dān)的;其二是要注意企業(yè)網(wǎng)絡(luò)的可訪問(wèn)性以及安全性平衡的保持;其三是考慮安全問(wèn)題是在系統(tǒng)管理的多個(gè)層次、多個(gè)方面都存在的。在企業(yè)網(wǎng)絡(luò)中,主要有幾種安全防護(hù)的措施。
4.1 防火墻技術(shù)
防火墻技術(shù)是當(dāng)下一種被廣泛應(yīng)用的也是最為流行的網(wǎng)絡(luò)安全技術(shù),其核心主題是在外界網(wǎng)絡(luò)環(huán)境不安全的大前提下創(chuàng)建一個(gè)相對(duì)安全有保證的子網(wǎng)。防火墻能實(shí)時(shí)監(jiān)測(cè)進(jìn)出于企業(yè)網(wǎng)絡(luò)的通訊交流數(shù)據(jù),允許安全合法的訪問(wèn)的數(shù)據(jù)和計(jì)算機(jī)進(jìn)入到企業(yè)網(wǎng)絡(luò)的內(nèi)部,把非授權(quán)的非法的數(shù)據(jù)和計(jì)算機(jī)擋在網(wǎng)絡(luò),企業(yè)內(nèi)網(wǎng)及特殊站點(diǎn)應(yīng)限制企業(yè)一般人員或是無(wú)關(guān)人員訪問(wèn),最大可能地阻止外部社會(huì)網(wǎng)絡(luò)中的黑客訪問(wèn)鏈接企業(yè)內(nèi)部的網(wǎng)絡(luò),阻止或是制止他們復(fù)制、篡改、破壞重要的或是機(jī)密信息。所以,防火墻是一道屏障,是在被保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)和社會(huì)外界網(wǎng)絡(luò)之間設(shè)置的,在網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)合外部非授權(quán)的網(wǎng)絡(luò)之間,企業(yè)內(nèi)部網(wǎng)不同的網(wǎng)絡(luò)安全環(huán)境之間,達(dá)到隔離和控制的目標(biāo),外部網(wǎng)絡(luò)的攻擊合截獲被有效控制。
4.2 數(shù)據(jù)加密技術(shù)
如果一些重要的機(jī)密的數(shù)據(jù)需要通過(guò)外部網(wǎng)絡(luò)傳送的,該數(shù)據(jù)的加密工作則需運(yùn)用加密技術(shù)。防火墻技術(shù)以及數(shù)據(jù)加密技術(shù)兩者結(jié)合使用,增強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)及內(nèi)部數(shù)據(jù)的保密性和安全性,謹(jǐn)防外部破壞重要的機(jī)密數(shù)據(jù)。
4.3 入侵檢測(cè)技術(shù)
安裝入侵監(jiān)測(cè)系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡(luò)中,信息從企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)中若干關(guān)鍵點(diǎn)中收集,并分析數(shù)據(jù),從中檢查企業(yè)內(nèi)部網(wǎng)絡(luò)中是否存在與安全策略相違背的行為或是入侵現(xiàn)象,如果檢測(cè)到可疑的未授權(quán)的IP地址,則來(lái)自此入侵地址的信息就會(huì)被自動(dòng)切斷、同時(shí)給網(wǎng)絡(luò)管理員發(fā)送警告,企業(yè)內(nèi)部動(dòng)態(tài)的網(wǎng)絡(luò)安全保護(hù)就可以實(shí)現(xiàn)。
4.4 網(wǎng)絡(luò)蠕蟲、病毒防護(hù)技術(shù)
盡管無(wú)法避免來(lái)自蠕蟲、病毒對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的危害,但采取切實(shí)有效的防護(hù)方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒(méi)有危害。在企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi),由于網(wǎng)絡(luò)節(jié)點(diǎn)不但存在于局域網(wǎng)中,又有接入到互聯(lián)網(wǎng)中的可能,一般的防護(hù)技術(shù)是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設(shè)計(jì)多層次阻止病毒體系。在企業(yè)安裝一般的常見的殺毒軟件時(shí),通常要定時(shí)自動(dòng)掃描系統(tǒng),另外,用戶在收發(fā)郵件時(shí)一定要打開殺毒軟件的實(shí)時(shí)監(jiān)控郵件病毒功能,實(shí)時(shí)地同步地對(duì)檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網(wǎng)絡(luò)版殺毒軟件,那么全部網(wǎng)絡(luò)環(huán)境中每一個(gè)節(jié)點(diǎn)的病毒檢測(cè)情況可以被企業(yè)網(wǎng)絡(luò)的安全管理員如實(shí)準(zhǔn)確的掌握,當(dāng)然越先進(jìn)的防病毒產(chǎn)品或是技術(shù)效果也就越好。
4.5 系統(tǒng)平臺(tái)與漏洞的處理
網(wǎng)絡(luò)安全管理員可以運(yùn)用安全漏洞掃描技術(shù)了解掌握網(wǎng)絡(luò)的安全設(shè)備和正在進(jìn)行的應(yīng)用進(jìn)程,提前得到有可能被截獲的脆弱步驟,準(zhǔn)時(shí)檢查安全漏洞,盡快改正網(wǎng)絡(luò)安全系統(tǒng)存在漏洞和網(wǎng)絡(luò)系統(tǒng)存在的有誤差配置,防范措施應(yīng)該在黑客攻擊之前提早進(jìn)行。
5 結(jié)束語(yǔ)
企業(yè)網(wǎng)絡(luò)安全不是最終的目的,更恰當(dāng)和準(zhǔn)確地說(shuō)只是一種保障。隨著企業(yè)自身的發(fā)展和規(guī)模的壯大,企業(yè)網(wǎng)絡(luò)的普及也是勢(shì)在必行,網(wǎng)絡(luò)安全管理變得也就越來(lái)越復(fù)雜,網(wǎng)絡(luò)的安全管理和防護(hù)是企業(yè)發(fā)展的一項(xiàng)重要和艱巨的任務(wù)。在執(zhí)行維護(hù)網(wǎng)絡(luò)安全任務(wù)的同時(shí),我們一定要注意把網(wǎng)絡(luò)安全防護(hù)技術(shù)、影響網(wǎng)絡(luò)安全的因素結(jié)合起來(lái),制定有效的管理措施和技術(shù)方案,采取可行性高的防護(hù)措施,建立健全防護(hù)體系,增強(qiáng)企業(yè)內(nèi)部員工的網(wǎng)絡(luò)安全意識(shí),從源頭上解決網(wǎng)絡(luò)安全問(wèn)題。
參考文獻(xiàn)
[1] 宋軍.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國(guó)華,文開豐.企業(yè)信息安全防護(hù)策略的研究[J].電腦知識(shí)與技術(shù),2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業(yè)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強(qiáng)等.網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全檢測(cè)與管理程序設(shè)計(jì)實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2012,(02):14-18.
[5] 黃俊強(qiáng),方舟,王希忠.基于Snort-wireless的分布式入侵檢測(cè)系統(tǒng)研究與設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2012,(02):23-26.
關(guān)鍵詞:網(wǎng)絡(luò);安全技術(shù);數(shù)據(jù);防火墻
1 引言
在當(dāng)今網(wǎng)絡(luò)化的世界中,計(jì)算機(jī)信息和資源很容易遭到各方面的攻擊。一方面,來(lái)源于Internet,Internet給企業(yè)網(wǎng)帶來(lái)成熟的應(yīng)用技術(shù)的同時(shí),也把固有的安全問(wèn)題帶給了企業(yè)網(wǎng);另一方面,來(lái)源于企業(yè)內(nèi)部,因?yàn)槭瞧髽I(yè)內(nèi)部的網(wǎng)絡(luò),主要針對(duì)企業(yè)內(nèi)部的人員和企業(yè)內(nèi)部的信息資源。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會(huì)遇到安全的問(wèn)題。隨著信息技術(shù)的高速發(fā)展,網(wǎng)絡(luò)安全技術(shù)也越來(lái)越受到重視,由此推動(dòng)了各種網(wǎng)絡(luò)安全技術(shù)的蓬勃發(fā)展。
2 企業(yè)網(wǎng)絡(luò)安全的主要技術(shù)
網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,現(xiàn)階段對(duì)企業(yè)網(wǎng)絡(luò)安全的主要技術(shù)進(jìn)行如下探討:
2.1 VLAN(虛擬局域網(wǎng))技術(shù)
選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過(guò)交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò),它依賴用戶的邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng),劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點(diǎn)的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量,防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù),對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息。
2.2 網(wǎng)絡(luò)分段
企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,可以被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對(duì)其進(jìn)行解包分析,從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問(wèn)的目的。
2.3 虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問(wèn)題的一個(gè)最新、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。VPN隧道機(jī)制具有不同層次的安全服務(wù),這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等,確保了數(shù)據(jù)傳輸?shù)陌踩浴⒈C苄院屯暾浴?/p>
2.4 網(wǎng)絡(luò)訪問(wèn)控制
企業(yè)應(yīng)該為每位員工分配一個(gè)賬號(hào),并根據(jù)其應(yīng)用范圍,分配相應(yīng)的權(quán)限,嚴(yán)格控制哪些用戶可以獲取哪些網(wǎng)絡(luò)資源,保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。
2.5 防火墻技術(shù)
任何企業(yè)安全策略的一個(gè)主要部分都是實(shí)現(xiàn)和維護(hù)防火墻,因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡(jiǎn)化網(wǎng)絡(luò)的安全管理。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣,這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò),防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。
2.6 網(wǎng)絡(luò)病毒的防范
在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。應(yīng)該使用針對(duì)網(wǎng)絡(luò)、網(wǎng)關(guān)、郵件、終端等全方位的防病毒產(chǎn)品,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置,通過(guò)定期或不定期的自動(dòng)升級(jí),使網(wǎng)絡(luò)免受病毒的侵襲。
2.7 采用入侵檢測(cè)系統(tǒng)
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng)的目的,以保護(hù)系統(tǒng)的安全。
2.8 漏洞掃描系統(tǒng)
解決網(wǎng)絡(luò)層安全問(wèn)題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估,顯然是不現(xiàn)實(shí)的。應(yīng)該尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。
2.9 網(wǎng)絡(luò)安全管理規(guī)范
網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持, 在網(wǎng)絡(luò)安全中,除采用技術(shù)措施之外,加強(qiáng)網(wǎng)絡(luò)的安全管理,制定有關(guān)的規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級(jí)和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。
3 結(jié)束語(yǔ)
安全是企業(yè)網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,企業(yè)網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù)結(jié)合在一起,才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn)
[1]張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003.
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全體系
前言
由于計(jì)算機(jī)與通信技術(shù)的快速發(fā)展,人們的工作方式以及生活方式都因?yàn)榫W(wǎng)絡(luò)而逐步的發(fā)生改變。網(wǎng)絡(luò)的共享性、開放性以及互聯(lián)性程度逐漸擴(kuò)大,對(duì)社會(huì)的影響也日益增大,網(wǎng)絡(luò)也成為企業(yè)發(fā)展的主題。隨著企業(yè)的信息化、辦公的全球化以及網(wǎng)絡(luò)貿(mào)易等業(yè)務(wù)的出現(xiàn),網(wǎng)絡(luò)安全也變得日益重要。為了保證企業(yè)網(wǎng)絡(luò)自身的安全性,必須采取有效的手段面對(duì)網(wǎng)絡(luò)中的各種威脅[1]。
1 企業(yè)網(wǎng)絡(luò)的威脅及其風(fēng)險(xiǎn)管理
企業(yè)網(wǎng)絡(luò)的信息是自由傳輸?shù)模M管有各種各樣的方式威脅著企業(yè)網(wǎng)絡(luò)的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應(yīng)從下列幾點(diǎn)解決對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成的威脅,并根據(jù)這些威脅所導(dǎo)致的企業(yè)風(fēng)險(xiǎn)進(jìn)行有效管理。首先,企業(yè)一定要確定哪些關(guān)鍵的內(nèi)容或資產(chǎn)需要被保護(hù)。明確什么設(shè)備需要被保護(hù),針對(duì)設(shè)備可以提供什么樣的訪問(wèn)和怎么協(xié)調(diào)這樣的工作。其次,評(píng)估需要進(jìn)行網(wǎng)絡(luò)安全保護(hù)的資源和財(cái)產(chǎn)。最后,分析所有對(duì)企業(yè)網(wǎng)絡(luò)安全的可能威脅,并評(píng)估每個(gè)威脅的可能攻擊性。威脅是指可能對(duì)網(wǎng)絡(luò)和其中信息資源造成損失,它可以是偶然的,也可以是刻意的。威脅有很多方式,一般可以簡(jiǎn)單歸納為以下三種基本的類型:
1 未經(jīng)授權(quán)的訪問(wèn)。指未經(jīng)過(guò)授權(quán)的人員卻可以訪問(wèn)網(wǎng)絡(luò)資產(chǎn),而且也存在對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行篡改的可能。
2 假冒。指由于偽造的憑證假冒其他人進(jìn)行活動(dòng)。
3 拒絕服務(wù)。指服務(wù)中斷。
2 企業(yè)信息化的網(wǎng)絡(luò)安全策略體系[2]
網(wǎng)絡(luò)的安全策略是對(duì)網(wǎng)絡(luò)的安全進(jìn)行管理指導(dǎo)與支持。企業(yè)應(yīng)該為網(wǎng)絡(luò)安全制定一套安全方針,而且在內(nèi)部網(wǎng)絡(luò)的安全策略以及身份證明,從而為網(wǎng)絡(luò)安全提供支持和認(rèn)證。
2.1 安全策略的文檔結(jié)構(gòu)
a) 最高方針。是安全策略的主文檔,屬于綱領(lǐng)性的。陳述安全策略的適用范圍、支持目標(biāo)、對(duì)網(wǎng)絡(luò)安全管理的意圖、目的以及其它指導(dǎo)原則,網(wǎng)絡(luò)安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。
b) 技術(shù)的規(guī)范與標(biāo)準(zhǔn)。其內(nèi)容包含:各個(gè)主機(jī)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及主要應(yīng)用程序等應(yīng)該遵守的管理技術(shù)的標(biāo)準(zhǔn)、安全配置以及規(guī)范。
c) 管理的制度與規(guī)定.其中包含各種管理辦法、管理規(guī)定或是暫行規(guī)定。從最高方針中引出一些具體的管理規(guī)定、實(shí)施辦法以及管理辦法。得到的規(guī)定或辦法不但可操作,還能有效的推廣及實(shí)行,是由最高方針引申而來(lái),對(duì)用戶協(xié)議具有規(guī)范作用。而用戶協(xié)議對(duì)其不能違背。
d) 組織機(jī)構(gòu)以及人員的職責(zé)。負(fù)責(zé)安全管理的組織機(jī)構(gòu)以及人員職責(zé),包含負(fù)責(zé)安全管理的機(jī)構(gòu)的組織形式以及運(yùn)作方式,還有機(jī)構(gòu)與人員的具體責(zé)任或是連帶責(zé)任。是機(jī)構(gòu)及員工工作時(shí)的依照標(biāo)準(zhǔn)。具有可操作性,需得到有效推廣及實(shí)行。
e) 用戶的協(xié)議。與用戶所簽署的文檔及協(xié)議,包含安全管理的網(wǎng)絡(luò)、人員以及系統(tǒng)管理員的保密協(xié)議、安全使用承諾、安全責(zé)任書等等。作為用戶及員工在日常工作中承諾遵守規(guī)定,并在違反安全規(guī)定時(shí)的處罰依據(jù)[3]。
2.2 建立策略體系
目前,大部分企業(yè)都缺少完整的策略體系。也沒(méi)有使其成為可操作的、成文的、正式的策略以及規(guī)定來(lái)體現(xiàn)出機(jī)關(guān)或是企業(yè)高層對(duì)于網(wǎng)絡(luò)安全性的重視。企業(yè)應(yīng)該建立好網(wǎng)絡(luò)安全的策略體系,制定出安全策略的系列文檔。
建議企業(yè)按照上文描述的安全策略的文檔結(jié)構(gòu)進(jìn)行文檔體系的建立。企業(yè)的安全策略的編制原則是一個(gè)一體式的企業(yè)安全的策略體系,其內(nèi)容可以覆蓋到企業(yè)中的全部人員、部門、網(wǎng)絡(luò)、地點(diǎn)以及分支機(jī)構(gòu)。目前,由于企業(yè)中機(jī)構(gòu)間的網(wǎng)絡(luò)現(xiàn)狀與業(yè)務(wù)情況的差別較大,所以在基本的策略體系和框架下,可以讓各個(gè)機(jī)構(gòu)以自身情況為基礎(chǔ),對(duì)策略和體系中的組織、用戶協(xié)議、操作流程、管理制度以及人員的職責(zé)逐步地細(xì)化。但細(xì)化后的策略所要求的安全程度不允許下降。
2.3 策略的與執(zhí)行
企業(yè)網(wǎng)絡(luò)安全的策略系列文檔在制定完成后,必須得到以及有效執(zhí)行。與執(zhí)行的過(guò)程除了需要得到高層領(lǐng)導(dǎo)的支持與推動(dòng)外,而且還要有可行的、合適的以及正確的推動(dòng)手段。同時(shí)在策略與執(zhí)行前,還需要對(duì)每個(gè)員工進(jìn)行相關(guān)的培訓(xùn),以確保每個(gè)員工都掌握與內(nèi)容中其相關(guān)的部分。而且還要明白這是一個(gè)艱苦的、長(zhǎng)期的工作,需要經(jīng)過(guò)艱苦努力。況且由于牽涉到企業(yè)內(nèi)眾多部門與大部分員工,工作的方式與流程可能還需要改變,所以其推行難度相當(dāng)大;同時(shí),安全策略的本身還可能存在這樣那樣的缺陷,例如太過(guò)復(fù)雜及繁瑣、不切實(shí)際以及規(guī)定有所缺欠等,都會(huì)影響到整體策略的落實(shí)[4]。
3 企業(yè)信息化網(wǎng)絡(luò)安全技術(shù)的總體方案
3.1 引入防火墻系統(tǒng)[5]
通過(guò)引入防火墻系統(tǒng),可以利用防火墻功能中的“訪問(wèn)控制+邊界隔離”,從而實(shí)現(xiàn)控制企業(yè)網(wǎng)進(jìn)出的訪問(wèn)。尤其是對(duì)一些內(nèi)部服務(wù)器進(jìn)行資源訪問(wèn)的,可以重點(diǎn)進(jìn)行監(jiān)控,以提高企業(yè)網(wǎng)絡(luò)層面的安全。防火墻的子系統(tǒng)還能夠與入侵檢測(cè)的子系統(tǒng)聯(lián)動(dòng),當(dāng)入侵檢測(cè)的系統(tǒng)對(duì)數(shù)據(jù)包進(jìn)行檢測(cè),發(fā)現(xiàn)異常并告知防火墻時(shí),防火墻可以生成相應(yīng)的安全策略,并將訪問(wèn)源拒絕于防火墻之外。
3.2 引入網(wǎng)絡(luò)防病毒的子系統(tǒng)
防病毒的子系統(tǒng)是用來(lái)對(duì)網(wǎng)絡(luò)病毒進(jìn)行實(shí)時(shí)查殺的,從而保證企業(yè)免遭病毒的危害。企業(yè)需要在內(nèi)部部署郵件級(jí)、服務(wù)器級(jí)、個(gè)人主機(jī)級(jí)和網(wǎng)關(guān)級(jí)的病毒防護(hù)。在整體范圍內(nèi)提高系統(tǒng)的防御能力,提高企業(yè)網(wǎng)絡(luò)層面安全性。
3.3 引入漏洞掃描的子系統(tǒng)
漏洞掃描的子系統(tǒng)可以定期分析安全隱患,并在其萌牙狀態(tài)時(shí)就把安全隱患消滅。由于企業(yè)網(wǎng)絡(luò)中包含眾多類型的數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng),還運(yùn)行著人力資源系統(tǒng)、產(chǎn)品管理系統(tǒng)、客戶的信息系統(tǒng)、財(cái)務(wù)系統(tǒng)等諸多重要系統(tǒng),如何確保眾多信息的安全以及各類系統(tǒng)的穩(wěn)定應(yīng)用,便成為需要高度關(guān)注的重點(diǎn)。對(duì)漏洞掃描的子系統(tǒng)進(jìn)行定期掃描,并在定期掃描后提交漏洞和弱點(diǎn)分析報(bào)告,可使企業(yè)網(wǎng)的整體系統(tǒng)的安全性得以提高。
3.4 引入數(shù)據(jù)加密的子系統(tǒng)
對(duì)企業(yè)網(wǎng)重要的數(shù)據(jù)進(jìn)行加密,以確保數(shù)據(jù)以密文的形式在網(wǎng)絡(luò)中被傳遞。能夠有效防范竊取企業(yè)重要的數(shù)據(jù),可以使企業(yè)網(wǎng)絡(luò)的整體安全性得以提高。
4 結(jié)語(yǔ)
通過(guò)以上對(duì)企業(yè)網(wǎng)絡(luò)的安全和隱患進(jìn)行的著重分析,提出了保護(hù)企業(yè)信息安全的解決方法。由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的廣泛,所以對(duì)于企業(yè)網(wǎng)絡(luò)安全的建設(shè),需要遵循一個(gè)穩(wěn)定的體系框架,同時(shí)還要不斷更新技術(shù)。這樣才能有效地降低企業(yè)網(wǎng)絡(luò)安全隱患的系數(shù),進(jìn)一步保證企業(yè)信息化在網(wǎng)絡(luò)時(shí)代能夠更安全、更健康的發(fā)展。
參考文獻(xiàn)
[1] 顧晟. 企業(yè)信息化網(wǎng)絡(luò)的安全隱患及解決策略[J].計(jì)算機(jī)時(shí)代,2010,3:19~22.
[2]丁國(guó)華,丁國(guó)強(qiáng). 企業(yè)網(wǎng)絡(luò)安全體系研究[J].福建電腦,2007,2:66~67.
[3]陸耀賓. 企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J].電子工程師,2004,4:55~56.
這是因?yàn)椋S著企業(yè)級(jí)移動(dòng)應(yīng)用的普及,BYOD用戶量增加,企業(yè)網(wǎng)絡(luò)中傳統(tǒng)的邊界防護(hù)被突破。比如,移動(dòng)智能終端通過(guò)Wi-Fi連接企業(yè)網(wǎng)絡(luò),同時(shí)還通過(guò)3G/4G連接Internet,等于在企業(yè)網(wǎng)絡(luò)中打開了新的出口;再比如,移動(dòng)智能終端具備大容量的數(shù)據(jù)存儲(chǔ)能力,可以將大量企業(yè)數(shù)據(jù)以物理的方式帶出。總之,移動(dòng)智能終端讓企業(yè)機(jī)密數(shù)據(jù)“獲得”新的泄密途徑,BYOD安全成為企業(yè)當(dāng)務(wù)之急。
可喜的是,企業(yè)并沒(méi)有因噎廢食,而是清楚地認(rèn)識(shí)到BYOD帶來(lái)的好處:?jiǎn)T工可以使用自己喜歡的移動(dòng)設(shè)備(手機(jī)、平板電腦、筆記本電腦等等)接入網(wǎng)絡(luò),還可以在可接入網(wǎng)絡(luò)的任何地方(家、酒店、機(jī)場(chǎng)、火車上等等)完成辦公室里的一切工作。
現(xiàn)實(shí)中,BYOD節(jié)省了企業(yè)采購(gòu)辦公設(shè)備的成本,但也增加了管理和安全方面的成本。只有企業(yè)做到完善的安全性策略部署及能夠更好地在不同平臺(tái)協(xié)同工作之后,才能放心地推廣BYOD辦公。
BYOD安全管理的內(nèi)容一般包括移動(dòng)設(shè)備管理(MDM)和移動(dòng)安全平臺(tái)管理,具體實(shí)現(xiàn)的內(nèi)容包括移動(dòng)終端設(shè)備接入認(rèn)證、合規(guī)管理、數(shù)據(jù)加密、數(shù)據(jù)擦除、鎖定、安全策略等等。此外,企業(yè)還需要解決流量賬單的問(wèn)題,因?yàn)閱T工使用的數(shù)據(jù)流量中同時(shí)包含辦公和個(gè)人消費(fèi)。
BYOD安全解決方案中的“MXM”
移動(dòng)智能終端隨著BYOD的流行納入企業(yè)IT管理體系中后,出現(xiàn)了一系列的“MXM”管理方案,包括移動(dòng)設(shè)備管理(MDM)、移動(dòng)安全管理(MSM)、移動(dòng)應(yīng)用管理(MAM)、移動(dòng)郵件管理(MEM)、移動(dòng)內(nèi)容管理(MCM)等等。
移動(dòng)設(shè)備管理(MDM)指的是移動(dòng)設(shè)備生命周期管理,在設(shè)備注冊(cè)、激活、使用、退出的各個(gè)環(huán)節(jié),進(jìn)行用戶及設(shè)備管理、配置管理、安全管理,資產(chǎn)管理等。事實(shí)上,目前MDM還能提供全方位安全體系防護(hù),同時(shí)在移動(dòng)設(shè)備、移動(dòng)APP、移動(dòng)文檔三方面進(jìn)行管理和防護(hù)。
移動(dòng)安全管理(MSM)從終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等方面解決企業(yè)的移動(dòng)安全管理問(wèn)題。移動(dòng)智能終端面臨的最大威脅并非來(lái)自網(wǎng)絡(luò),而是來(lái)自“現(xiàn)實(shí)”――在日常生活中丟失設(shè)備的情況時(shí)有發(fā)生,所以MDM首先解決對(duì)設(shè)備丟失或被盜情況下的處理。目前MDM能夠?qū)崿F(xiàn)的功能包括:搜尋設(shè)備的位置、遠(yuǎn)程鎖定設(shè)備、遠(yuǎn)程擦除設(shè)備上的數(shù)據(jù)、使手機(jī)發(fā)出警報(bào)音,確保在能夠定位和檢索的同時(shí)最大程度地保護(hù)數(shù)據(jù)。當(dāng)然,并非只有BYOD辦公才面臨這樣的問(wèn)題,個(gè)人使用也一樣,所以這一功能在移動(dòng)操作系統(tǒng)和基本的移動(dòng)安全防護(hù)軟件中都有集成。
BYOD將個(gè)人設(shè)備納入企業(yè)管理,因此安全策略和報(bào)告均連接IT管理者而非擁有它的員工。在用戶使用設(shè)備的過(guò)程中:增加危險(xiǎn)配置保護(hù),移動(dòng)管理平臺(tái)能強(qiáng)制設(shè)備設(shè)置密碼,同時(shí)能在設(shè)備越獄后第一時(shí)間通知管理員;增加違規(guī)拷貝的保護(hù),對(duì)存儲(chǔ)具備數(shù)據(jù)加密功能;集成惡意軟件防御,對(duì)企業(yè)應(yīng)用商店進(jìn)行安全掃面檢測(cè);阻止應(yīng)用濫用,設(shè)置應(yīng)用的黑白名單,禁止部分應(yīng)用安裝和使用,保證終端的安全。
關(guān)鍵詞:中小企業(yè);網(wǎng)絡(luò)安全;企業(yè)網(wǎng)絡(luò);架構(gòu)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 20-0000-02
1 中小型企業(yè)網(wǎng)絡(luò)安全
1.1 中小型企業(yè)網(wǎng)絡(luò)安全概念。國(guó)際組織(ISO)對(duì)網(wǎng)絡(luò)安全規(guī)定為在網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)處理系統(tǒng)建立是所采取的相應(yīng)的安全技術(shù),這些技術(shù)可以對(duì)網(wǎng)絡(luò)進(jìn)行時(shí)時(shí)監(jiān)控和安全,并保證不讓任何人使用的程序通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行計(jì)算機(jī),并始終通過(guò)網(wǎng)絡(luò)有效的保證計(jì)算機(jī)算硬件的安全,不通過(guò)網(wǎng)絡(luò)泄露個(gè)人或者企業(yè)等單位的秘密。以此我們可以這樣理解中小型企業(yè)網(wǎng)絡(luò)安全為是通過(guò)采用各種高科技技術(shù)和一定的管理措施,使的中小企業(yè)網(wǎng)絡(luò)系統(tǒng)能夠進(jìn)行正常運(yùn)作,進(jìn)而來(lái)保證中小企業(yè)網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。
1.2 中小型企業(yè)網(wǎng)絡(luò)職能。一個(gè)安全的中小企業(yè)網(wǎng)絡(luò)職能應(yīng)該是具有一定的可靠性、可用性、完整性、保密性和真實(shí)性等的。中小企業(yè)網(wǎng)絡(luò)的安全不僅要保護(hù)企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全,更重要的是要對(duì)企業(yè)數(shù)據(jù)安全的保護(hù)。所以對(duì)于一個(gè)中小型企業(yè)來(lái)說(shuō)網(wǎng)絡(luò)安全最終的職能就是保護(hù)企業(yè)重要的信息數(shù)據(jù)。
2 中小型企業(yè)信息網(wǎng)絡(luò)安全的困惑
2.1 中小企業(yè)信息網(wǎng)絡(luò)操作系統(tǒng)安全的困惑。中小型企業(yè)經(jīng)常出現(xiàn)的困惑就是針對(duì)信息網(wǎng)絡(luò)操作時(shí)出現(xiàn)的安全困惑,所謂中小型企業(yè)信息網(wǎng)絡(luò)操作系統(tǒng)安全就是指通常是指進(jìn)行信息網(wǎng)絡(luò)操作系統(tǒng)的安全。操作系統(tǒng)的某一合法用戶可任意運(yùn)行一段程序來(lái)修改該用戶擁有的文件訪問(wèn)控制信息,而操作系統(tǒng)無(wú)法區(qū)別這種修改是用戶自己的合法操作還是計(jì)算機(jī)病毒的非法操作;另外,也沒(méi)有什么一般的方法能夠防止計(jì)算機(jī)病毒將信息通過(guò)共享客體從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程。為此,中小型企業(yè)認(rèn)識(shí)到必須采取更強(qiáng)有力的訪問(wèn)控制手段,這就是強(qiáng)制訪問(wèn)控制。在強(qiáng)制訪問(wèn)控制中,系統(tǒng)對(duì)主體與客體都分配一個(gè)特殊的一般不能更改的安全屬性,系統(tǒng)通過(guò)比較主體與客體的安全屬性來(lái)決定一個(gè)主體是否能夠訪問(wèn)某個(gè)客體。中小型企業(yè)為某個(gè)目的而運(yùn)行的程序,不能改變它自己及任何其它客體的安全屬性,包括該用戶自己擁有的客體。強(qiáng)制訪問(wèn)控制還可以阻止某個(gè)進(jìn)程生成共享文件并通過(guò)這個(gè)共享文件向其它進(jìn)程傳遞信息。目前來(lái)說(shuō)中小型企業(yè)的信息網(wǎng)絡(luò)操作系統(tǒng)多為Windows和UNIX操作系統(tǒng),這些操作系統(tǒng)本身就有自身的網(wǎng)絡(luò)安全漏洞,因?yàn)椴僮飨到y(tǒng)本身都是有后門的,而這些后門和安全漏洞都將存在重大的信息網(wǎng)絡(luò)安全隱患,造成中小企業(yè)信息網(wǎng)絡(luò)的安全困惑。所以這就要求在進(jìn)行中小型企業(yè)信息網(wǎng)絡(luò)系統(tǒng)安裝時(shí),不只要考慮到企業(yè)的自身需求,更多的時(shí)候要考慮到中小型企業(yè)的信息網(wǎng)絡(luò)安全,不能因?yàn)橄到y(tǒng)的安裝造成過(guò)大的中小型企業(yè)信息安全的困惑。
2.2 中小企業(yè)信息網(wǎng)絡(luò)應(yīng)用安全的困惑。現(xiàn)階段我國(guó)的中小型企業(yè)網(wǎng)絡(luò)安全應(yīng)用僅網(wǎng)絡(luò)系統(tǒng)就存在很大的安全隱患,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。目前,實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部,并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
2.3 中小企業(yè)信息網(wǎng)絡(luò)管理安全的困惑。中小型企業(yè)信息網(wǎng)絡(luò)管理方面存在的安全困惑主要包括了,中小型企業(yè)的內(nèi)部管理人員們或者是員工們圖方便省事,對(duì)自身的計(jì)算機(jī)不進(jìn)行密碼的設(shè)置,沒(méi)用自己的用戶口令,或者是有些管理者和員工設(shè)置的密碼和口令過(guò)短或者是過(guò)于簡(jiǎn)單,這樣就導(dǎo)致密碼和口令很容易被破解,這樣來(lái)當(dāng)出現(xiàn)了信息網(wǎng)絡(luò)的安全問(wèn)題時(shí),容易責(zé)任不清,并且很難一下就找到問(wèn)題出現(xiàn)的計(jì)算機(jī),因?yàn)檎麄€(gè)公司都使用相同的用戶名和口令,使得整體信息網(wǎng)絡(luò)的管理出現(xiàn)嚴(yán)重的混亂,并且容易出現(xiàn)企業(yè)重要信息的泄密。進(jìn)行中小型企業(yè)信息網(wǎng)絡(luò)管理是信息網(wǎng)絡(luò)安全的重要組成部分,是能保證中小型企業(yè)信息網(wǎng)絡(luò)安全的重要組成部分,是可以對(duì)外來(lái)病毒進(jìn)行防止的重要環(huán)節(jié),是中小型企業(yè)內(nèi)部信息網(wǎng)絡(luò)不被入侵必須的部分。也是中小型企業(yè)信息網(wǎng)絡(luò)暗中的管理困惑,是普遍中小型企業(yè)都會(huì)存在的困惑之一。
3 如何進(jìn)行中小型企業(yè)信息網(wǎng)絡(luò)安全的架構(gòu)
3.1 中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)Internet的接入。中小型企業(yè)信息網(wǎng)絡(luò)安全構(gòu)架中Internet的接入,多是采用了PIX515作為外部邊緣得防火墻設(shè)備,中小型企業(yè)內(nèi)部的用戶登錄則是通過(guò)互聯(lián)網(wǎng)時(shí)會(huì)經(jīng)過(guò)NetEye防火墻,然后再由PIX映射到互聯(lián)網(wǎng)。PIX與NetEye之間形成了DMZ映射區(qū),這是一種需要進(jìn)行提供互聯(lián)網(wǎng)服務(wù)的郵件服務(wù)和Web服務(wù)器等防止在該DMZ區(qū)內(nèi)。中小型企業(yè)進(jìn)行此防火墻的安全策略步驟是:首先要從Internet上設(shè)置只能訪問(wèn)到DMZ內(nèi)Web服務(wù)器的80端口和郵件服務(wù)器的25端口,其次,則是要從Internet和DMZ區(qū)設(shè)定出不能進(jìn)行訪問(wèn)內(nèi)部網(wǎng)任何資源,最后則是要從Internet進(jìn)行訪問(wèn)內(nèi)部網(wǎng)資源的時(shí)候只能通過(guò)VPN系統(tǒng)進(jìn)行。
3.2 中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)用戶的認(rèn)證。中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)的用戶認(rèn)證系統(tǒng)主要就是用于解決通過(guò)電話進(jìn)行撥號(hào)時(shí)出現(xiàn)的安全問(wèn)題和通過(guò)VPN進(jìn)行接入時(shí)出現(xiàn)的安全問(wèn)題,信息網(wǎng)絡(luò)安全架構(gòu)的用戶認(rèn)證系統(tǒng)是目前為止運(yùn)用最為完善的系統(tǒng)用戶認(rèn)證系統(tǒng)、訪問(wèn)控制系統(tǒng)和使用審計(jì)系統(tǒng)方面的功能來(lái)增強(qiáng)信息網(wǎng)絡(luò)系統(tǒng)的安全性,并采用了目前為止最為高端的ACS用戶認(rèn)證系統(tǒng)。中小型企業(yè)的ERP系統(tǒng)一般采用C/S(客戶機(jī)/服務(wù)器)體系結(jié)構(gòu),架構(gòu)于企業(yè)內(nèi)網(wǎng)Intranet上。通常,VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過(guò)它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸;VPN還可用于不斷增長(zhǎng)的移動(dòng)用戶的全球互聯(lián)網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路。在信息網(wǎng)絡(luò)的主域服務(wù)器上安裝Radius服務(wù)器,在Cisco撥號(hào)路由器和PIX防火墻上配置了Radius客戶端。這樣當(dāng)任何人進(jìn)行電話撥號(hào)和VPN用戶身份認(rèn)證時(shí),就會(huì)在Radius的服務(wù)器上直接進(jìn)行,這樣一來(lái)用戶賬號(hào)就會(huì)集中的在主域服務(wù)器上進(jìn)行開設(shè)。這樣做就可以在系統(tǒng)中設(shè)置較為嚴(yán)格的用戶訪問(wèn)策略和口令策略,能有效的強(qiáng)制使用用戶進(jìn)行定期的口令修改。
綜上所述,中小型企業(yè)信息網(wǎng)絡(luò)安全保障是開展其它一切業(yè)務(wù)往來(lái)與技術(shù)交流的關(guān)鍵,要想企業(yè)長(zhǎng)足發(fā)展,必須重視信息網(wǎng)絡(luò)安全的構(gòu)建。
參考文獻(xiàn):
本文介紹了網(wǎng)絡(luò)安全管理要素,并結(jié)合筆者多年工作實(shí)踐經(jīng)驗(yàn),以某卷煙廠企網(wǎng)絡(luò)安全管理技術(shù)的應(yīng)用為例,針對(duì)企業(yè)網(wǎng)絡(luò)安全方案展開研究,希望能夠?yàn)榫W(wǎng)絡(luò)安全管理技術(shù)在OSS中的應(yīng)用提供一點(diǎn)理論支持。
【關(guān)鍵詞】
網(wǎng)絡(luò)安全;管理技術(shù);應(yīng)用
1網(wǎng)絡(luò)安全管理要素
目前,隨著互聯(lián)網(wǎng)的普及與發(fā)展,人們對(duì)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛,對(duì)網(wǎng)絡(luò)安全的意識(shí)也不斷增強(qiáng),尤其是對(duì)于企業(yè)而言,網(wǎng)絡(luò)安全管理一直以來(lái)都存在諸多問(wèn)題。網(wǎng)絡(luò)安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,這些要素對(duì)于網(wǎng)絡(luò)安全管理而言有著重大影響,針對(duì)這些網(wǎng)絡(luò)安全管理要素的分析與研究具有十分重要的意義。
1.1安全策略
網(wǎng)絡(luò)安全的核心在于安全策略。在網(wǎng)絡(luò)系統(tǒng)安全建立的過(guò)程中,安全策略具有重要的指導(dǎo)性作用。通過(guò)安全策略,可以網(wǎng)絡(luò)系統(tǒng)的建立的安全性、資源保護(hù)以及資源保護(hù)方式予以明確。作為重要的規(guī)則,安全策略對(duì)于網(wǎng)絡(luò)系統(tǒng)安全而言有著重要的控制作用。換言之,就是指以安全需求、安全威脅來(lái)源以及組織機(jī)構(gòu)狀況為出發(fā)點(diǎn),對(duì)安全對(duì)象、狀態(tài)以及應(yīng)對(duì)方法進(jìn)行明確定義。在網(wǎng)絡(luò)系統(tǒng)安全檢查過(guò)程中,安全策略具有重要且唯一的參考意義。網(wǎng)絡(luò)系統(tǒng)的安全性、安全狀況以及安全方法,都只有參考安全策略。作為重要的標(biāo)準(zhǔn)規(guī)范,相關(guān)工作人員必須對(duì)安全策略有一個(gè)深入的認(rèn)識(shí)與理解。工作人員必須采用正確的方法,利用有關(guān)途徑,對(duì)安全策略及其制定進(jìn)行了解,并在安全策略系統(tǒng)下接受培訓(xùn)。同時(shí),安全策略的一致性管理與生命周期管理的重要性不言而喻,必須確保不同的安全策略的和諧、一致,使矛盾得以有效避免,否則將會(huì)導(dǎo)致其失去實(shí)際意義,難以充分發(fā)揮作用。安全策略具有多樣性,并非一成不變,在科學(xué)技術(shù)不斷發(fā)展的背景下,為了保證安全策略的時(shí)效性,需要對(duì)此進(jìn)行不斷調(diào)整與更新。只有在先進(jìn)技術(shù)手段與管理方法的支持下,安全策略才能夠充分發(fā)揮作用。
1.2安全配置
從微觀上來(lái)講,實(shí)現(xiàn)安全策略的重要前提就是合理的安全配置。安全配置指的是安全設(shè)備相關(guān)配置的構(gòu)建,例如安全設(shè)備、系統(tǒng)安全規(guī)則等等。安全配置涉及到的內(nèi)容比較廣泛,例如防火墻系統(tǒng)。VPN系統(tǒng)、入侵檢測(cè)系統(tǒng)等等,這些系統(tǒng)的安全配置及其優(yōu)化對(duì)于安全策略的有效實(shí)施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮。合理、科學(xué)的安全配置能夠使安全系統(tǒng)及設(shè)備的作用得到充分體現(xiàn),能夠很好的符合安全策略的需求。如果安全配置不當(dāng),那么就會(huì)導(dǎo)致安全系統(tǒng)設(shè)備缺乏實(shí)際意義,難以發(fā)揮作用,情況嚴(yán)重時(shí)還會(huì)產(chǎn)生消極影響。例如降低網(wǎng)絡(luò)的流暢性以及網(wǎng)絡(luò)運(yùn)行效率等等。安全配置的管理與控制至關(guān)重要,任何人對(duì)其隨意更改都會(huì)產(chǎn)生嚴(yán)重的影響。并且備案工作對(duì)于安全配置也非常重要,應(yīng)做好定期更新工作,并進(jìn)行及時(shí)檢查,確保其能夠?qū)踩呗缘男枨竽軌蚍从吵鰜?lái),為相關(guān)工作人員工作的開展提供可靠的依據(jù)。
1.3安全事件
所謂的安全事件,指的是對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)安全造成不良影響的行為。在計(jì)算機(jī)與域網(wǎng)絡(luò)中,這些行為都能夠被觀察與發(fā)現(xiàn)。其中破壞系統(tǒng)、網(wǎng)絡(luò)中IP包的泛濫以及在未經(jīng)授權(quán)的情況下對(duì)另一個(gè)用戶的賬戶或系統(tǒng)特殊權(quán)限的篡改導(dǎo)致數(shù)據(jù)被破壞等都屬于惡意行為。一方面,計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全指的是計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)、信息的保密性與完整性以及應(yīng)用、服務(wù)于網(wǎng)絡(luò)等的可用性。另一方面,在網(wǎng)絡(luò)發(fā)展過(guò)程中,網(wǎng)絡(luò)安全事件越來(lái)越頻繁,違反既定安全策略的不在預(yù)料之內(nèi)的對(duì)系統(tǒng)與網(wǎng)絡(luò)使用、訪問(wèn)等行為都在安全事件的范疇之內(nèi)。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內(nèi)容比較廣泛,包括安全系統(tǒng)與設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用系統(tǒng)的日志與之間等等。安全事件將網(wǎng)絡(luò)、操作以及應(yīng)用系統(tǒng)的安全情況與發(fā)展直接的反映了出來(lái),對(duì)于網(wǎng)絡(luò)系統(tǒng)而言,其安全狀況可以通過(guò)安全事件得到充分體現(xiàn)。在安全管理中,安全事件的重要性不言而喻,安全事件的特點(diǎn)在于數(shù)量多、分布散、技術(shù)復(fù)雜等。因此,在安全事件管理中往往存在諸多難題。在工作實(shí)踐中,不同的管理人員負(fù)責(zé)不同的系統(tǒng)管理。由于日志與安全事件數(shù)量龐大,系統(tǒng)安全管理人員往往難以全面觀察與分析,安全系統(tǒng)與設(shè)備的安全缺乏實(shí)際意義,其作用也沒(méi)有得到充分發(fā)揮。安全事件造成的影響有可能比較小,然而網(wǎng)絡(luò)安全狀況與發(fā)展趨勢(shì)在很大程度上受到這一要素的影響。必須采用相應(yīng)的方法對(duì)安全事件進(jìn)行收集,通過(guò)數(shù)據(jù)挖掘、信息融合等方法,對(duì)其進(jìn)行冗余處理與綜合分析,以此來(lái)確定對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)產(chǎn)生影響的安全事件,即安全事故。
1.4安全事故
安全事故如果產(chǎn)生了一定的影響并造成了損失,就被稱為安全事故。如果有安全事故發(fā)生那么網(wǎng)絡(luò)安全管理人員就必須針對(duì)此采取一定的應(yīng)對(duì)措施,使事故造成的影響以及損失得到有效控制。安全事故的處理應(yīng)具有準(zhǔn)確性、及時(shí)性,相關(guān)工作人員應(yīng)針對(duì)事故發(fā)生各方面要素進(jìn)行分析,發(fā)現(xiàn)事故產(chǎn)生的原因,以此來(lái)實(shí)現(xiàn)對(duì)安全事故的有效處理。在安全事故的處理中,應(yīng)對(duì)信息資源庫(kù)加以利用,對(duì)事故現(xiàn)場(chǎng)系統(tǒng)或設(shè)備情況進(jìn)行了解,如此才能夠針對(duì)實(shí)際情況采取有效的技術(shù)手段,使安全事故產(chǎn)生的影響得到有效控制。
1.5用戶身份管理
在統(tǒng)一網(wǎng)絡(luò)安全管理體系中,用戶管理身份系統(tǒng)占據(jù)著重要地位。最終用戶是用戶身份管理的主要對(duì)象,通過(guò)這部分系統(tǒng),最終用戶可以獲取集中的身份鑒別中心功能。在登錄網(wǎng)絡(luò)或者對(duì)網(wǎng)絡(luò)資源進(jìn)行使用的過(guò)程中,身份管理系統(tǒng)會(huì)鑒別用戶身份,以此保障用戶的安全。
2企業(yè)網(wǎng)絡(luò)安全方案研究
本文以某卷煙廠網(wǎng)絡(luò)安全方案為例,針對(duì)網(wǎng)絡(luò)安全技術(shù)在OSS中的應(yīng)用進(jìn)行分析。該企業(yè)屬于生產(chǎn)型企業(yè)。該企業(yè)網(wǎng)絡(luò)安全管理中,采用針對(duì)性的安全部署策略,采用安全信息收集與信息綜合的方法實(shí)施網(wǎng)絡(luò)安全管理。在網(wǎng)絡(luò)設(shè)備方面,作為網(wǎng)絡(luò)設(shè)備安全的基本防護(hù)方法:①對(duì)設(shè)備進(jìn)行合理配置,為設(shè)備所需的必要服務(wù)進(jìn)行開放,僅運(yùn)行指定人員的訪問(wèn);②該企業(yè)對(duì)設(shè)備廠商的漏洞予以高度關(guān)注,對(duì)網(wǎng)絡(luò)設(shè)備補(bǔ)丁進(jìn)行及時(shí)安裝;③全部網(wǎng)絡(luò)設(shè)備的密碼會(huì)定期更換,并且密碼具有一定的復(fù)雜程度,其破解存在一定難度;④該企業(yè)對(duì)設(shè)備維護(hù)有著高度重視,采取合理方法,為網(wǎng)絡(luò)設(shè)備運(yùn)營(yíng)的穩(wěn)定性提供了強(qiáng)有力的保障。在企業(yè)數(shù)據(jù)方面,對(duì)于企業(yè)而言,網(wǎng)絡(luò)安全的實(shí)施主要是為了病毒威脅的預(yù)防,以及數(shù)據(jù)安全的保護(hù)。作為企業(yè)核心內(nèi)容之一,尤其是對(duì)于高科技企業(yè)而言,數(shù)據(jù)的重要性不言而喻。為此,企業(yè)內(nèi)部對(duì)數(shù)據(jù)安全的保護(hù)有著高度重視。站在企業(yè)的角度,該企業(yè)安排特定的專業(yè)技術(shù)人員對(duì)數(shù)據(jù)進(jìn)行觀察,為數(shù)據(jù)的有效利用提供強(qiáng)有力的保障。同時(shí),針對(duì)于業(yè)務(wù)無(wú)關(guān)的人員,該企業(yè)禁止其對(duì)數(shù)據(jù)進(jìn)行查看,具體采用的方法如下:①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)。現(xiàn)階段,很多大中型企業(yè)在各地區(qū)都設(shè)有分支機(jī)構(gòu),該卷煙廠也不例外,企業(yè)核心信息在公司之間傳輸,為了預(yù)防非法人員查看,其發(fā)送必須采取加密處理。并且,采用Internet進(jìn)行郵件發(fā)送的方式被嚴(yán)令禁止;②為了確保公司內(nèi)部人員對(duì)數(shù)據(jù)進(jìn)行私自復(fù)制并帶出公司的情況得到控制,該企業(yè)構(gòu)建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤、移動(dòng)硬盤燈功能,無(wú)線、藍(lán)牙等設(shè)備也無(wú)法使用,如此一來(lái),內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免。此外,該企業(yè)針對(duì)辦公軟件加密系統(tǒng)進(jìn)行構(gòu)建,對(duì)辦公文檔加以制定,非制定權(quán)限人員不得查看。在內(nèi)部網(wǎng)絡(luò)安全上,為了使外部網(wǎng)絡(luò)入侵得到有效控制,企業(yè)采取了防火墻安裝的方法,然而在網(wǎng)絡(luò)內(nèi)部入侵上,該方法顯然無(wú)法應(yīng)對(duì)。因此,該企業(yè)針對(duì)其性質(zhì)進(jìn)行細(xì)致分析,采取了內(nèi)部網(wǎng)絡(luò)安全的應(yīng)對(duì)方法。企業(yè)內(nèi)部網(wǎng)絡(luò)可以分為兩種,即辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)。前者可以對(duì)Internet進(jìn)行訪問(wèn),存在較大安全隱患,而后者則只需將內(nèi)部服務(wù)器進(jìn)行連接,無(wú)需對(duì)Internet進(jìn)行訪問(wèn)。二者針對(duì)防火墻系統(tǒng)隔離進(jìn)行搭建,使生產(chǎn)網(wǎng)絡(luò)得到最大限度的保護(hù),為公司核心業(yè)務(wù)的運(yùn)行提供保障。為了使網(wǎng)絡(luò)故障影響得到有效控制,應(yīng)對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分,可以對(duì)VLAN加以利用,隔離不同的網(wǎng)絡(luò)區(qū)域,并在其中進(jìn)行安全策略的設(shè)置,使區(qū)域間影響得到分隔,確保任何一個(gè)VLAN的故障不會(huì)對(duì)其他VLAN造成影響。在客戶端安全管理方面,該企業(yè)具有較多客戶端,大部分都屬于windows操作系統(tǒng),其逐一管理難度打,因此企業(yè)內(nèi)部采用Windows組側(cè)策略對(duì)客戶端進(jìn)行管理。在生產(chǎn)使用的客戶端上,作業(yè)人員的操作相對(duì)簡(jiǎn)單,只需要利用嚴(yán)格的限制手段,就可以實(shí)現(xiàn)對(duì)客戶端的安全管理。
作者:楊國(guó)欣 霍重寧 單位:廣西中煙工業(yè)有限責(zé)任公司
參考文獻(xiàn)
[1]崔小龍.論網(wǎng)絡(luò)安全中計(jì)算機(jī)信息管理技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014(20):181~182.
[2]何曉冬.淺談?dòng)?jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].長(zhǎng)春教育學(xué)院學(xué)報(bào),2015(11):61~62.
1.采用多層防衛(wèi)手段,將受到侵?jǐn)_和破壞的概率降到最低;
2.提供迅速檢測(cè)非法使用和非法初始進(jìn)入點(diǎn)的手段,核查跟蹤侵入者的活動(dòng);
3.提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段,盡量降低損失;
4.提供查獲侵入者的手段。
安全需求:
通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問(wèn)題,我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即,可用性:授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù)
機(jī)密性:
信息不暴露給未授權(quán)實(shí)體或進(jìn)程
完整性:保證數(shù)據(jù)不被未授權(quán)修改
可控性:控制授權(quán)范圍內(nèi)的信息流向及操作方式
可審查性:對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段
訪問(wèn)控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制。同樣,對(duì)內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問(wèn)控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中防止非法竊取、篡改信息的有效手段。
安全審計(jì):是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時(shí)響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對(duì)信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏險(xiǎn)分析網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全,而是整個(gè)信息網(wǎng)的安全,需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù),首先需要了解安全風(fēng)險(xiǎn)來(lái)自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面,涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無(wú)論哪個(gè)層面上的安全措施不到位,都會(huì)存在很大的安全隱患,都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況,應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè),對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。
解決方案:
安全策略:
1.采用漏洞掃描技術(shù),對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。
2.采用各種安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:
(1)防火墻技術(shù):在網(wǎng)絡(luò)的對(duì)外接口,采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制。
(2)NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息。
(3)VPN:虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用,而事實(shí)上并非如此。
(4)網(wǎng)絡(luò)加密技術(shù)(Ipsec):采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾浴K山鉀Q網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題,也可解決遠(yuǎn)程用戶訪問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。
(5)認(rèn)證:提供基于身份的認(rèn)證,并在各種認(rèn)證機(jī)制中可選擇使用。
(6)多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng):采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng),對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。
(7)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè):采用入侵檢測(cè)系統(tǒng),對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警,進(jìn)一步提高網(wǎng)絡(luò)防御外來(lái)攻擊的能力。
3.實(shí)時(shí)響應(yīng)與恢復(fù):制定和完善安全管理制度,提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。
4.建立分層管理和各級(jí)安全管理中心。
防御系統(tǒng):我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)(Ipsec)、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng)、入侵檢測(cè)技術(shù),構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。
物理安全:
物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施,來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。為保證網(wǎng)絡(luò)的正常運(yùn)行,在物理安全方面應(yīng)采取如下措施:
1.產(chǎn)品保障方面:主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。
2.運(yùn)行安全方面:網(wǎng)絡(luò)中的設(shè)備,特別是安全類產(chǎn)品在使用過(guò)程中,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。
3.防電磁輻射方面:所有重要的設(shè)備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機(jī)。
4.保安方面:主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。
防火墻技術(shù)
防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)地安全;在物理實(shí)現(xiàn)上,防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng),也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。入侵檢測(cè)入侵檢測(cè)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn):
1.監(jiān)視、分析用戶及系統(tǒng)活動(dòng);
2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);
3.識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;
4.異常行為模式的統(tǒng)計(jì)分析;
5.評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;
6.操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。
安全服務(wù):
網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng),它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整,網(wǎng)絡(luò)配置的變化,各種操作系統(tǒng)、應(yīng)用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。針對(duì)以上問(wèn)題和網(wǎng)管人員的不足,下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。包括:
1.通信伙伴認(rèn)證
2.訪問(wèn)控制
3.?dāng)?shù)據(jù)保密
4.業(yè)務(wù)流分析保護(hù)
接連不斷的蠕蟲病毒使當(dāng)前安全技術(shù)和措施的有效性再次受到質(zhì)疑。盡管安全是世界上所有機(jī)構(gòu)的頭等大事之一,安全攻擊事件的數(shù)量仍然是逐年攀升,造成的危害一次比一次大。在最近的數(shù)年中,大量的投資被用于阻擊安全事件的發(fā)生,但只有少數(shù)公司確保了它們網(wǎng)絡(luò)的安全。
特別值得一提的是,為了滿足用戶和業(yè)務(wù)的需求,時(shí)刻保持競(jìng)爭(zhēng)優(yōu)勢(shì),企業(yè)不得不持續(xù)擴(kuò)張網(wǎng)絡(luò)體系。然而,很多人可能不知道,網(wǎng)絡(luò)的每一次擴(kuò)張,即便是一臺(tái)新計(jì)算機(jī)、一臺(tái)新服務(wù)器以及軟件應(yīng)用平臺(tái),都將給病毒、蠕蟲、黑客留下可乘之機(jī),為企業(yè)網(wǎng)絡(luò)帶來(lái)額外的安全風(fēng)險(xiǎn)。同時(shí),純病毒時(shí)代已經(jīng)一去不復(fù)返,幾年前占據(jù)著新聞?lì)^條的計(jì)算機(jī)病毒事件在今天看來(lái)已經(jīng)不是什么新聞,取而代之的是破壞程度呈幾何增長(zhǎng)的新型病毒。這種新型病毒被稱為混合型病毒,這種新病毒結(jié)合了傳統(tǒng)電子郵件病毒的破壞性和新型的基于網(wǎng)絡(luò)的能力,能夠快速尋找和發(fā)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)存在的安全漏洞,并進(jìn)行進(jìn)一步的破壞,如拒絕服務(wù)攻擊,拖垮服務(wù)器,攻擊計(jì)算機(jī)或系統(tǒng)的薄弱環(huán)節(jié)。在這種混合型病毒時(shí)代,單一的依靠軟件安全防護(hù)已開始不能滿足客戶的需求。
網(wǎng)絡(luò)安全不只是軟件廠商的事
今年上半年,網(wǎng)絡(luò)安全軟件及服務(wù)廠商——趨勢(shì)科技與網(wǎng)絡(luò)業(yè)界領(lǐng)導(dǎo)廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議。該協(xié)議進(jìn)一步擴(kuò)展了雙方此前針對(duì)思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃建立的合作關(guān)系,并將實(shí)現(xiàn)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施及安全解決方案與趨勢(shì)科技防病毒技術(shù)、漏洞評(píng)估和病毒爆發(fā)防御能力的結(jié)合。
根據(jù)合作協(xié)議,思科首先將在思科IOS路由器、思科Catalyst交換機(jī)和思科安全設(shè)備中采用的思科入侵檢測(cè)系統(tǒng)(IDS)軟件中添加趨勢(shì)科技的網(wǎng)絡(luò)蠕蟲和病毒識(shí)別碼技術(shù)。此舉將為用戶提供高級(jí)的網(wǎng)絡(luò)病毒智能識(shí)別功能和附加的實(shí)時(shí)威脅防御層,以抵御各種已知和未知的網(wǎng)絡(luò)蠕蟲的攻擊。
“在抵御網(wǎng)絡(luò)蠕蟲、防止再感染、漏洞和系統(tǒng)破壞的過(guò)程中,用戶不斷遭受業(yè)務(wù)中斷的損失,這導(dǎo)致了對(duì)更成熟的威脅防御方案需求的增長(zhǎng)。”趨勢(shì)科技創(chuàng)始人兼首席執(zhí)行官?gòu)埫髡u(píng)論說(shuō),“傳統(tǒng)的方法已無(wú)法滿足雙方客戶的需求。”
“現(xiàn)在的網(wǎng)絡(luò)安全已不是單一的軟件防護(hù),而是擴(kuò)充到整個(gè)網(wǎng)絡(luò)的防治。”思科全球副總裁杜家濱在接受記者采訪時(shí)表示:“路由器和交換機(jī)應(yīng)該是保護(hù)整個(gè)網(wǎng)絡(luò)安全的,如果它不安全,那它就不是路由器。從PC集成上來(lái)看,網(wǎng)絡(luò)設(shè)備應(yīng)該能自我保護(hù),甚至實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全的保護(hù)。”
業(yè)界專家指出,防病毒與網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合,甚至融入到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中,這是網(wǎng)絡(luò)安全的發(fā)展潮流,趨勢(shì)科技和思科此次合作引領(lǐng)了這一變革,邁出了安全發(fā)展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細(xì)細(xì)品味這次合作的話,我們不難發(fā)現(xiàn)這是雙方的一步好棋,兩家公司都需要此次合作。
作為網(wǎng)絡(luò)領(lǐng)域的全球領(lǐng)導(dǎo)者,思科一直致力于推動(dòng)網(wǎng)絡(luò)安全的發(fā)展并獨(dú)具優(yōu)勢(shì)。自防御網(wǎng)絡(luò)(Self-DefendingNetwork,SDN)計(jì)劃是思科于今年3月推出的全新的安全計(jì)劃,它能大大提高網(wǎng)絡(luò)發(fā)現(xiàn)、預(yù)防和對(duì)抗安全威脅的能力。思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃則是SDN計(jì)劃的重要組成部分,它和思科的其他安全技術(shù)一起構(gòu)成了SDN的全部?jī)?nèi)涵。
SDN是一個(gè)比較全面、系統(tǒng)的計(jì)劃,但是它缺乏有效的病毒防護(hù)功能。隨著網(wǎng)絡(luò)病毒的日見猖獗,該計(jì)劃防毒功能的欠缺日益凸顯。趨勢(shì)科技領(lǐng)先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢(shì)科技作為網(wǎng)絡(luò)安全軟件及服務(wù)廠商,以卓越的前瞻和技術(shù)革新能力引領(lǐng)了從桌面防毒到網(wǎng)絡(luò)服務(wù)器和網(wǎng)關(guān)防毒的潮流。趨勢(shì)科技的主動(dòng)防御的解決方案是防毒領(lǐng)域的一大創(chuàng)新,其核心是企業(yè)安全防護(hù)戰(zhàn)略(EPS)。EPS一反過(guò)去被動(dòng)地以防毒軟件守護(hù)的方式,將主動(dòng)預(yù)防和災(zāi)后重建的兩大階段納入整個(gè)防衛(wèi)計(jì)劃當(dāng)中,并將企業(yè)安全防護(hù)策略延伸至網(wǎng)絡(luò)的各個(gè)層次。
“如果此次與思科合作的不是趨勢(shì)科技,我們恐怕連覺(jué)都睡不好。”張明正的戲言無(wú)不透露出趨勢(shì)科技對(duì)此次合作的迫切性和重要性。
更讓張明正高興的是,通過(guò)此次合作,趨勢(shì)科技大大擴(kuò)充了渠道。“我們的渠道重疊性很小。”張明正表示。而此次“1+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間。
網(wǎng)絡(luò)安全路在何方?
如今,雖然業(yè)界有形形的安全解決方案,網(wǎng)絡(luò)安全的形勢(shì)卻不斷惡化。究其原因,主要是由于現(xiàn)在的網(wǎng)絡(luò)威脅形式越來(lái)越多,攻擊手段越來(lái)越復(fù)雜,呈現(xiàn)出綜合的多元化的特征。
關(guān)鍵詞:關(guān)鍵詞:防火墻;新一代;網(wǎng)絡(luò)安全
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
0 序言
近年來(lái),隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。同樣,隨著企業(yè)信息化的迅速發(fā)展,基于網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛,特別是企業(yè)內(nèi)部專網(wǎng)系統(tǒng)信息化的發(fā)展日新月異—如:網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大、信息的內(nèi)容和信息量在不斷增長(zhǎng),網(wǎng)絡(luò)應(yīng)用和規(guī)模的快速發(fā)展同時(shí)帶來(lái)了更大程度的安全問(wèn)題,這些安全威脅以不同的技術(shù)形式同步地在迅速更新, 并且以簡(jiǎn)單的傳播方式泛濫,使得網(wǎng)絡(luò)維護(hù)者不得不對(duì)潛在的威脅進(jìn)行防御及網(wǎng)絡(luò)安全系統(tǒng)建設(shè),多種威脅技術(shù)的變化發(fā)展及威脅對(duì)企業(yè)專網(wǎng)系統(tǒng)的IT安全建設(shè)提出了更高的要求。
1.安全風(fēng)險(xiǎn)背景
隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,接入專網(wǎng)的應(yīng)用系統(tǒng)越來(lái)越多。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來(lái)越多。對(duì)整個(gè)系統(tǒng)和專網(wǎng)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。而另一方面,Internet技術(shù)已得到廣泛使用,E-mail、Web2.0和終端PC的應(yīng)用也日益普及,但同時(shí)病毒和黑客也日益猖獗, 系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個(gè)非常緊迫的問(wèn)題。
2.網(wǎng)絡(luò)安全方案
防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件,可以檢測(cè)所有通信流。因此,防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心,通過(guò)部署防火墻來(lái)強(qiáng)化網(wǎng)絡(luò)的安全性,是實(shí)施安全策略的最有效位置。不過(guò),傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來(lái)區(qū)分通信流內(nèi)容,這樣導(dǎo)致精心設(shè)計(jì)的應(yīng)用程序和技術(shù)內(nèi)行的用戶可以輕松地繞過(guò)它們;例如,可以利用跳端口技術(shù)、使用 SSL、利用 80 端口秘密侵入或者使用非標(biāo)準(zhǔn)端口來(lái)繞過(guò)這些防火墻。
由此帶來(lái)的可視化和控制喪失會(huì)使管理員處于不利地位,失去應(yīng)用控制的結(jié)果會(huì)讓企業(yè)暴露在商業(yè)風(fēng)險(xiǎn)之下,并使企業(yè)面臨網(wǎng)絡(luò)中斷、違反規(guī)定、運(yùn)營(yíng)維護(hù)成本增加和可能丟失數(shù)據(jù)等風(fēng)險(xiǎn)。用于恢復(fù)可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過(guò)采用插接件集成的組合方式,單獨(dú)部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發(fā)掃描進(jìn)程)的不足,均無(wú)法解決可視化和控制問(wèn)題。現(xiàn)在需要一種完全顛覆式的方法來(lái)恢復(fù)可視化和控制。而新一代防火墻也必須具備如下要素:
(1)識(shí)別應(yīng)用程序而非端口:準(zhǔn)確識(shí)別應(yīng)用程序身份,檢測(cè)所有端口,而且不論應(yīng)用程序使用何種協(xié)議、SSL、加密技術(shù)或規(guī)避策略。應(yīng)用程序的身份構(gòu)成所有安全策略的基礎(chǔ)。(識(shí)別七層或七層以上應(yīng)用)
(2)識(shí)別用戶,而不僅僅識(shí)別 IP 地址。利用企業(yè)目錄中存儲(chǔ)的信息來(lái)執(zhí)行可視化、策略創(chuàng)建、報(bào)告和取證調(diào)查等操作。
(3)實(shí)時(shí)檢查內(nèi)容。幫助網(wǎng)絡(luò)防御在應(yīng)用程序通信流中嵌入的攻擊行為和惡意軟件,并且實(shí)現(xiàn)低延遲和高吞吐速度。
(4)簡(jiǎn)化策略管理。通過(guò)易用的圖形化工具和策略編輯器(來(lái)恢復(fù)可視化和控制
(5)提供數(shù)千兆位或萬(wàn)兆位的數(shù)據(jù)吞吐量。在一個(gè)專門構(gòu)建的平臺(tái)上結(jié)合高性能硬件和軟件來(lái)實(shí)現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能
2.1 產(chǎn)品與部署方式
本文就Palo Alto Networks 新一代安全防護(hù)網(wǎng)關(guān)部署方案進(jìn)行探討,該產(chǎn)品采用全新設(shè)計(jì)的軟/硬件架構(gòu),可在不影響任何服務(wù)的前提下,以旁路模式、透明模式等接入現(xiàn)有網(wǎng)絡(luò)架構(gòu)中,協(xié)助網(wǎng)管人員進(jìn)行環(huán)境狀態(tài)分析,并將分析過(guò)程中各類信息進(jìn)行整理后生成報(bào)表,從而進(jìn)一步發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn),作為安全策略調(diào)整的判斷依據(jù)。
2.2 解決方案功能
本方案產(chǎn)品突破了傳統(tǒng)的防火墻和UTM的缺陷,從硬件設(shè)計(jì)和軟件設(shè)計(jì)上進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)及應(yīng)用的安全性和可視性的同時(shí)保持應(yīng)用層線速的特性。主要功能如下:
(1)應(yīng)用程序、用戶和內(nèi)容的可視化
管理員可使用一組功能強(qiáng)大的可視化工具來(lái)快速查看穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業(yè)務(wù)相關(guān)的安全策略。
(2)應(yīng)用程序命令中心:這是一項(xiàng)無(wú)需執(zhí)行任何配置工作的標(biāo)準(zhǔn)功能,以圖形方式顯示有關(guān)當(dāng)前網(wǎng)絡(luò)活動(dòng)(包括應(yīng)用程序、URL 類別、威脅和數(shù)據(jù))的大量信息,為管理員提供所需的數(shù)據(jù),供其做出更為合理的安全策略決定。
(3)管理:管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來(lái)控制防火墻。可基于角色的管理,將不同的管理職能委派給合適的個(gè)人。
(4)日志記錄和報(bào)告:可完全自定義和安排的預(yù)定義報(bào)告提供有關(guān)網(wǎng)絡(luò)上的應(yīng)用程序、用戶和威脅的詳細(xì)視圖。
2.3 解決方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三種獨(dú)特的識(shí)別技術(shù),以統(tǒng)一策略方式對(duì)使用者(群組)、應(yīng)用程序及內(nèi)容提供訪問(wèn)控制、安全管理及帶寬控制解決方案,此創(chuàng)新的技術(shù)建構(gòu)于 “單通道平行處理 (SP3)”先進(jìn)的硬件+軟件系統(tǒng)架構(gòu)下,實(shí)現(xiàn)低延遲及高效率的特性,解決傳統(tǒng)FW+IPS+UTM對(duì)應(yīng)用處理效能不佳的現(xiàn)況。
(2)實(shí)現(xiàn)了對(duì)應(yīng)用程序和內(nèi)容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達(dá) 10Gbps,精確地識(shí)別應(yīng)用程序使用的端口、協(xié)議、規(guī)避策略或 SSL 加密算法,掃描內(nèi)容來(lái)阻止威脅和防止數(shù)據(jù)泄露。
(3)對(duì)網(wǎng)絡(luò)中傳輸?shù)膽?yīng)用程序和用戶進(jìn)行深度識(shí)別并進(jìn)行內(nèi)容的分析,提供完整的可視度和控制能力。
(4)提供多樣化NAT轉(zhuǎn)址功能:傳統(tǒng)NAT服務(wù),僅能利用單一或少數(shù)外部IP地址,提供內(nèi)部使用者做為IP地址轉(zhuǎn)換之用,其瓶頸在于能做為NAT轉(zhuǎn)換的外部IP地址數(shù)量過(guò)少,當(dāng)內(nèi)部有不當(dāng)使用行為發(fā)生,致使該IP地址被全球ISP服務(wù)業(yè)者列為黑名單后,將造成內(nèi)部網(wǎng)絡(luò)用戶無(wú)法存取因特網(wǎng)資源;本方案提供具有多對(duì)多特性的地址轉(zhuǎn)換服務(wù)功能,讓IT人員可以利用較多的外部IP地址做為地址轉(zhuǎn)換,避免因少數(shù)外部IP被封鎖而造成無(wú)法上網(wǎng),再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量。
(5)用戶行為控制:不僅具備廣泛應(yīng)用程序識(shí)別能力,還將無(wú)線網(wǎng)絡(luò)用戶納入集中的控制管理,可對(duì)無(wú)線網(wǎng)絡(luò)使用情況,提供最為詳細(xì)豐富的用戶使用數(shù)據(jù)。
(6)流量地圖功能:流量地圖清楚呈現(xiàn)資料流向并能連結(jié)集中化的事件分析界面。
3.總結(jié)
新一代防火墻解決了網(wǎng)絡(luò)應(yīng)用的可視性問(wèn)題,有效杜絕利用跳端口技術(shù)、使用SSL、80端口或非標(biāo)準(zhǔn)端口繞過(guò)傳統(tǒng)防火墻攻擊企業(yè)網(wǎng)絡(luò)行為,從根本上解決傳統(tǒng)防火墻集成多個(gè)安全系統(tǒng),卻無(wú)法真正有效協(xié)同工作的缺陷,大大提高數(shù)據(jù)實(shí)時(shí)轉(zhuǎn)發(fā)效率,有效解決企業(yè)信息安全存在的問(wèn)題。
參考文獻(xiàn):
[1] 孫嘉葦;對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的探討 [J];《計(jì)算機(jī)光盤軟件與應(yīng)用》 2012年02期。
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)化;網(wǎng)絡(luò)辦公;信息安全管理
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-2374(2014)02-0153-02
近些年來(lái),隨著我國(guó)經(jīng)濟(jì)不斷的發(fā)展,信息技術(shù)不斷革新,企業(yè)的生存已經(jīng)和計(jì)算機(jī)網(wǎng)緊緊綁定在一起。然而,網(wǎng)絡(luò)的覆蓋面和普及范圍越來(lái)越廣以及各種信息技術(shù)的不斷更新,使得網(wǎng)絡(luò)化辦公存在諸多安全隱患,尤其是企業(yè)信息安全問(wèn)題,因而在當(dāng)今網(wǎng)絡(luò)信息時(shí)代,保護(hù)信息等數(shù)據(jù)的安全是極為重要的。本文就針對(duì)網(wǎng)絡(luò)信息辦公中存在的安全問(wèn)題進(jìn)行了分析,并提出了相應(yīng)的解決措施。
1 企業(yè)網(wǎng)絡(luò)化辦公中存在的安全信息問(wèn)題
1.1 網(wǎng)絡(luò)病毒
在當(dāng)今的網(wǎng)絡(luò)信息時(shí)代,病毒攻擊防火墻隨時(shí)隨地都在上演;病毒感染、攻擊防火墻作為盜竊信息數(shù)據(jù)的重要手段之一,其是網(wǎng)絡(luò)辦公不得不防的問(wèn)題之一。如在網(wǎng)絡(luò)辦公中,經(jīng)常會(huì)使用郵件進(jìn)行交流、信息分享與交換,而郵件也作為當(dāng)前網(wǎng)絡(luò)病毒入侵的渠道之一,其隱藏在電子郵件及附件之中,若是沒(méi)有采取相應(yīng)的病毒防范措施,在郵件被打開的那一刻,企業(yè)的信息數(shù)據(jù)已然開始被復(fù)制或使得整個(gè)網(wǎng)絡(luò)辦公局域網(wǎng)癱瘓,給企業(yè)造成巨大的損失。
1.2 數(shù)據(jù)備份存在缺陷
企業(yè)網(wǎng)絡(luò)化辦公的實(shí)時(shí)性極強(qiáng),信息變化速度極快,因此數(shù)據(jù)備份就顯得非常重要,如計(jì)算機(jī)中存檔的數(shù)據(jù)、歷史記錄以及檔案對(duì)企業(yè)領(lǐng)導(dǎo)層或用戶來(lái)說(shuō)是非常重要的,若是沒(méi)有及時(shí)給予備份,一旦丟失,就會(huì)給企業(yè)造成不可預(yù)估的損失,輕則重要客戶信息流失,重則導(dǎo)致企業(yè)的正常運(yùn)行受到巨大阻礙,給生產(chǎn)、科研造成難以估計(jì)的損失。
1.3 網(wǎng)絡(luò)防火墻存在漏洞
防火墻軟件作為保護(hù)企業(yè)網(wǎng)絡(luò)化辦公免疫病毒攻擊的主要手段之一,其隨著網(wǎng)絡(luò)中病毒軟件的開發(fā)而出現(xiàn)相應(yīng)的變化,因此網(wǎng)絡(luò)防火墻會(huì)及時(shí)更新,這也是充分發(fā)揮網(wǎng)絡(luò)防火墻的作用,保證信息安全的主要手段之一。然而,由于管理人員不重視,認(rèn)為實(shí)時(shí)更新防火墻軟件麻煩,導(dǎo)致軟件中存在漏洞,造成數(shù)據(jù)安全隱患。
2 信息安全的防范措施
2.1 安裝防病毒軟件
企業(yè)在開展網(wǎng)絡(luò)化辦公時(shí),應(yīng)考慮網(wǎng)絡(luò)中可能被病毒感染或攻擊的地方可以采取相應(yīng)的防病毒措施,如以“縱深”的防御形式購(gòu)買和安裝相應(yīng)的防病毒軟件。網(wǎng)絡(luò)技術(shù)在發(fā)展,防病毒軟件在更新,病毒同樣如此,尤其是企業(yè)網(wǎng)絡(luò)化辦公,單機(jī)防病毒已經(jīng)不足以對(duì)網(wǎng)絡(luò)病毒進(jìn)行掃描和徹底清除,因此,必須購(gòu)買和安裝能適應(yīng)局域網(wǎng),且全方位、無(wú)死角的防病毒軟件。防病毒軟件的安裝,能有效地識(shí)別網(wǎng)絡(luò)內(nèi)部交流中隱藏的病毒,如郵件或附件中隱藏的病毒。
2.2 數(shù)據(jù)備份
為了保證企業(yè)重要數(shù)據(jù)不丟失,避免企業(yè)因數(shù)據(jù)丟失造成損失,對(duì)計(jì)算機(jī)中數(shù)據(jù)進(jìn)行備份是極為重要的,也是必須采取的防范措施之一,這對(duì)保障企業(yè)的生產(chǎn)、產(chǎn)品研發(fā)、銷售等正常運(yùn)行,有著重要的意義。企業(yè)應(yīng)根據(jù)自己的經(jīng)濟(jì)能力和信息的存儲(chǔ)及更新能力,選擇合適的數(shù)據(jù)備份方式,如網(wǎng)絡(luò)硬盤備份、硬盤備份等。
2.3 架設(shè)防火墻
防火墻作為當(dāng)前應(yīng)用最廣泛、最有效的網(wǎng)絡(luò)安全機(jī)制之一,其是預(yù)防和避免Internet上存在的不安全因素,如木馬病毒等,蔓延到企業(yè)使用的局域網(wǎng)內(nèi)部的有效措施之一,也是保證整個(gè)局域網(wǎng)安全的重要環(huán)節(jié)之一。架設(shè)防火墻對(duì)于一個(gè)需要保證信息安全的企業(yè)來(lái)說(shuō)非常有必要,它會(huì)對(duì)外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間流通的所有數(shù)據(jù)進(jìn)行檢驗(yàn)和篩選,只有符合企業(yè)所設(shè)定的信息安全策略的交流數(shù)據(jù)才能避免被防火墻攔截,同時(shí),防火墻本身還具有極強(qiáng)的抗攻擊免疫能力。
2.4 設(shè)定訪問(wèn)權(quán)限
訪問(wèn)權(quán)限設(shè)置和控制作為防范網(wǎng)絡(luò)不安全因素和保證網(wǎng)絡(luò)安全的重要手段之一,其主要任務(wù)是避免企業(yè)內(nèi)部網(wǎng)絡(luò)資源被非法或越權(quán)訪問(wèn)和使用,這是保障企業(yè)信息安全的核心策略之一。因此,依據(jù)企業(yè)對(duì)網(wǎng)絡(luò)信息的實(shí)際要求,制定相應(yīng)的訪問(wèn)控制權(quán)限,如目錄級(jí)控制、屬性控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)IP地址控制以及入網(wǎng)訪問(wèn)控制等手段均可起到作用。
3 網(wǎng)絡(luò)辦公信息安全管理策略
企業(yè)網(wǎng)絡(luò)安全的核心在于管理,而安全管理的保證在于技術(shù),因此“七分管理,三分技術(shù)”是保證企業(yè)網(wǎng)絡(luò)信息安全的重要策略和實(shí)施手段。只有制定和完善信息安全的規(guī)章制度,規(guī)范企業(yè)用戶使用信息的行為,同時(shí)與安全技術(shù)相互結(jié)合,企業(yè)使用的網(wǎng)絡(luò)系統(tǒng)及信息數(shù)據(jù)安全才有保障。
3.1 強(qiáng)化企業(yè)用戶的信息安全防范意識(shí),提升其綜合素質(zhì)
無(wú)論是企業(yè)決策人員,還是企業(yè)員工,其思想上對(duì)網(wǎng)絡(luò)安全的重視和認(rèn)識(shí)對(duì)企業(yè)信息安全是極為重要的,要落實(shí)安全保密工作的職責(zé),定期開展數(shù)據(jù)安全防范教育,并制定相應(yīng)的保密措施對(duì)企業(yè)員工或領(lǐng)導(dǎo)層進(jìn)行要求,提升其數(shù)據(jù)安全的預(yù)防意識(shí)和保密意識(shí)。同時(shí),網(wǎng)絡(luò)信息安全管理需要專業(yè)的人才來(lái)進(jìn)行相應(yīng)的操作和監(jiān)控,因此,企業(yè)要依據(jù)自身的實(shí)際需求,儲(chǔ)備和招攬相應(yīng)的計(jì)算機(jī)專業(yè)人才,并定期對(duì)其進(jìn)行培訓(xùn),提升企業(yè)數(shù)據(jù)安全的整體防護(hù)能力。
3.2 完善管理制度,加強(qiáng)管理力度
企業(yè)在實(shí)施宏觀的數(shù)據(jù)安全管理措施的同時(shí),還要與重點(diǎn)、有針對(duì)性監(jiān)控方式相結(jié)合,這樣才能最大程度上保障企業(yè)信息安全。同時(shí),依據(jù)企業(yè)各個(gè)部分涉及的信息量和核心信息量大小,加強(qiáng)管理力度,制定并實(shí)施相關(guān)的網(wǎng)絡(luò)信息安全管理辦法,將每個(gè)安全管理環(huán)節(jié)進(jìn)行細(xì)化,落實(shí)信息安全防范的責(zé)任,做到“誰(shuí)用誰(shuí)負(fù)責(zé)”,這對(duì)保證企業(yè)網(wǎng)絡(luò)化信息安全有著重要的意義。
3.3 加強(qiáng)對(duì)核心數(shù)據(jù)的管理
企業(yè)核心數(shù)據(jù)涉及到企業(yè)未來(lái)發(fā)展戰(zhàn)略的各個(gè)方面,其包含產(chǎn)品占據(jù)市場(chǎng)的方法、活動(dòng)方案、策劃方案等各種手段,這與企業(yè)的未來(lái)息息相關(guān),因此,加強(qiáng)對(duì)企業(yè)核心數(shù)據(jù)等信息的管理是非常重要的。依據(jù)核心數(shù)據(jù)管理所涉及的對(duì)象,如領(lǐng)導(dǎo)層、決策層以及網(wǎng)絡(luò)安全部門等人員,制定相應(yīng)的制度進(jìn)行規(guī)范,無(wú)論是信息的使用,還是數(shù)據(jù)的拷貝,都需要相應(yīng)的秘鑰進(jìn)行確認(rèn),這能有效避免數(shù)據(jù)被非法盜取或使用。
4 結(jié)語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息技術(shù)的快速發(fā)展,使得企業(yè)的辦公形式與業(yè)務(wù)發(fā)展發(fā)生了根本性的改變,企業(yè)的生存和盈利更是與網(wǎng)絡(luò)緊緊聯(lián)系在一起,而網(wǎng)絡(luò)中存在的病毒、黑客等不安全因素也給企業(yè)網(wǎng)絡(luò)化辦公的信息安全帶來(lái)巨大威脅,因此加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全的管理和防范,對(duì)企業(yè)未來(lái)的發(fā)展將會(huì)顯得越來(lái)越重要。
參考文獻(xiàn)
[1] 劉韞.企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險(xiǎn)及常用防護(hù)措
施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013,(9).
[2] 趙治誼.淺析企業(yè)網(wǎng)絡(luò)信息安全管理機(jī)制[J].中
國(guó)電子商務(wù),2012,(8).
[3] 趙婷婷.關(guān)于企業(yè)網(wǎng)絡(luò)信息安全的防范措施研究
[J].科海故事博覽?科技探索,2013,(3).
[4] 茍有來(lái),周琦.大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險(xiǎn)
