時(shí)間:2023-09-19 16:27:17
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)網(wǎng)絡(luò)安全的重要性,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
【 關(guān)鍵詞 】 企業(yè)網(wǎng)絡(luò);安全管理;防護(hù)策略
1 引言
如今,經(jīng)濟(jì)迅速發(fā)展帶動(dòng)網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)網(wǎng)絡(luò)化管理被廣泛應(yīng)用,給企業(yè)內(nèi)部、企業(yè)與外界的聯(lián)系以及企業(yè)的管理帶來(lái)了便利,業(yè)務(wù)的靈活性被企業(yè)經(jīng)營(yíng)者廣泛關(guān)注,同時(shí)也發(fā)展了企業(yè)信息網(wǎng)絡(luò)。一系列諸如生產(chǎn)上網(wǎng)、辦公自動(dòng)化、遠(yuǎn)程辦公以及業(yè)務(wù)上網(wǎng)的新的業(yè)務(wù)模式得到了開(kāi)發(fā)與發(fā)展。但是與此同時(shí),網(wǎng)絡(luò)環(huán)境下的企業(yè)安全問(wèn)題引發(fā)了管理者的擔(dān)心,能否創(chuàng)建安全穩(wěn)固的企業(yè)網(wǎng)絡(luò)是企業(yè)管理者最為看重的問(wèn)題,也逐漸變成一個(gè)企業(yè)能否正常運(yùn)轉(zhuǎn)的前提。因此,運(yùn)用切實(shí)可靠的網(wǎng)絡(luò)安全管理方法、提高網(wǎng)絡(luò)的安全防護(hù)能力已經(jīng)企業(yè)一個(gè)重要研究的內(nèi)容。
2 影響企業(yè)網(wǎng)絡(luò)安全的因素
網(wǎng)絡(luò)安全關(guān)系到許多方面,不但涉及到網(wǎng)絡(luò)信息系統(tǒng)自身的安全問(wèn)題,而且囊括邏輯的和物理的技術(shù)策略等。WWW、TCP/IP、電子郵件數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)是當(dāng)前企業(yè)網(wǎng)絡(luò)通用標(biāo)準(zhǔn)和技術(shù),其廣域連接采用多種通信方式,大部分單位的系統(tǒng)被覆蓋。行業(yè)內(nèi)部信息存在于企業(yè)網(wǎng)絡(luò)的傳輸、處理和存儲(chǔ)各個(gè)環(huán)節(jié)。這些信息資源的保護(hù)和管理以及確保企業(yè)網(wǎng)絡(luò)內(nèi)部的各種信息在各個(gè)環(huán)節(jié)保持信息的完整、真實(shí)和防止非法截獲非常重要。
影響企業(yè)網(wǎng)絡(luò)安全的因素既有軟硬件的因素,也有人為的因素,既有來(lái)自網(wǎng)絡(luò)外部的,也來(lái)自網(wǎng)絡(luò)內(nèi)部的,歸結(jié)起來(lái)主要有幾方面。
2.1 網(wǎng)絡(luò)硬件的安全隱患
網(wǎng)絡(luò)中的的拓?fù)浣Y(jié)構(gòu)還有硬件設(shè)備兩者均有對(duì)企業(yè)網(wǎng)絡(luò)安全造成威脅可能,如一種硬件設(shè)備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業(yè)網(wǎng)絡(luò)中有各種各樣如應(yīng)用軟件、操作系統(tǒng)的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業(yè)也由此蒙受巨大的損失,這樣的例子在現(xiàn)實(shí)生活中層出不窮。比如,一些不為人知的軟件研發(fā)者為了個(gè)人原因(升級(jí)或自便)而設(shè)置的“后門(mén)”,黑客一旦破解打開(kāi)這些“后門(mén)”,便可以肆虐的操作,完全控制用戶計(jì)算機(jī),篡改數(shù)據(jù),后果不堪設(shè)想,損失更是不可估量;又如以方便快捷應(yīng)用為目的的TCP/IP協(xié)議為網(wǎng)絡(luò)系統(tǒng)普遍應(yīng)用,但是其并沒(méi)有對(duì)安全性進(jìn)行全面估計(jì)考慮,更是在認(rèn)證和保密措施方面做得非常欠缺,若是一些IT高手對(duì)此很了解,便可以輕松利用其缺陷攻擊網(wǎng)絡(luò)。
2.3 計(jì)算機(jī)病毒與惡意程序
網(wǎng)絡(luò)被普遍應(yīng)用和告訴發(fā)展的時(shí)代,病毒傳播的主要途徑是網(wǎng)絡(luò)。一些企業(yè)的內(nèi)部網(wǎng)絡(luò)很容易被蠕蟲(chóng)、病毒侵入,其特點(diǎn)是范圍廣、變化快、種類(lèi)多、傳播速度快、破壞性大,其破壞性是巨大的。在網(wǎng)絡(luò)安全領(lǐng)域,病毒問(wèn)題一直難以從根本上解決,原因總結(jié)為兩點(diǎn):其一,技術(shù)原因,殺毒軟件總是在病毒出現(xiàn)后給用戶或是企業(yè)造成巨大損失后更新,滯后性和被動(dòng)性不言而喻;其二,用戶的安全防范意識(shí)不高,對(duì)病毒的了解不夠,不主動(dòng)安裝殺毒軟件,或是不及時(shí)升級(jí)殺毒軟件,給傳播病毒提供了機(jī)會(huì),巨大的威脅了網(wǎng)絡(luò)安全。
2.4 網(wǎng)絡(luò)入侵
網(wǎng)絡(luò)人侵的意思是網(wǎng)絡(luò)攻擊者在非授權(quán)的情況下獲得非法的權(quán)限,并通過(guò)這些非法的權(quán)限對(duì)用戶進(jìn)行非法的操作,獲得網(wǎng)絡(luò)資源或是文件訪問(wèn),入侵進(jìn)入公司或是企業(yè)內(nèi)部網(wǎng)絡(luò),極大地危害計(jì)算機(jī)網(wǎng)絡(luò),給社會(huì)帶來(lái)巨大財(cái)產(chǎn)或是信息損失。
2.5 人為因素
用戶安全意識(shí)淡薄,企業(yè)內(nèi)局域網(wǎng)應(yīng)用不規(guī)范。企業(yè)內(nèi)網(wǎng)在實(shí)際運(yùn)行中沒(méi)有限制,木馬、病毒等破壞性信息在p2p下載過(guò)程中傳播到企業(yè)內(nèi)網(wǎng)中,系統(tǒng)的安全應(yīng)用收到影響;接入網(wǎng)絡(luò)沒(méi)有很好地限制,如沒(méi)有限制接入的人員、時(shí)間方面,隨意、隨時(shí)上網(wǎng)不但容易使系統(tǒng)容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專(zhuān)用虛擬系統(tǒng)安全防范措施;管理措施不到位;復(fù)雜的用戶人群,很多不是本系統(tǒng)專(zhuān)業(yè)的工作者,約束和監(jiān)管困難;衛(wèi)星信號(hào)很容易就被泄密,在空中傳輸無(wú)限信號(hào)的過(guò)程中,無(wú)線信號(hào)很容易被黑客截獲并利用;在很多企業(yè)中,沒(méi)有制定規(guī)范的管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的隔離措施,一旦管理網(wǎng)絡(luò)沾染病毒,生產(chǎn)網(wǎng)絡(luò)也很容易被傳染。
2.6 其它的安全因素
威脅網(wǎng)絡(luò)安全的因素還有很多,比如,傳輸過(guò)程中的數(shù)據(jù)很容易被電磁輻射物破壞;非授權(quán)的惡意刪除或攻擊數(shù)據(jù)、破壞系統(tǒng);非法竊取復(fù)制或是盜用系統(tǒng)文件、資料、數(shù)據(jù)、信息,導(dǎo)致企業(yè)或是公司泄密等,其后果非常嚴(yán)重。
3 企業(yè)網(wǎng)絡(luò)的安全管理
企業(yè)網(wǎng)絡(luò)安全管理是保證網(wǎng)絡(luò)安全運(yùn)行的基石,一些人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題可以通過(guò)加強(qiáng)和敦促管理工作可以盡最大可能的避免。企業(yè)應(yīng)把建立健全企業(yè)網(wǎng)絡(luò)安全管理制度作為安全管理的重點(diǎn),制定系統(tǒng)的安全管理方案,采取有效切實(shí)的管理政策。
企業(yè)的網(wǎng)絡(luò)管理主要從幾點(diǎn)努力。
3.1 健立健全企業(yè)規(guī)章制度
要保證網(wǎng)絡(luò)的相對(duì)安全,就務(wù)必制定詳細(xì)系統(tǒng)的安全制度,了解并認(rèn)識(shí)網(wǎng)絡(luò)安全的重要性,一旦出現(xiàn)網(wǎng)絡(luò)安全事故,其相應(yīng)處罰力度就必須嚴(yán)格按照處罰條例執(zhí)行到位,絕不能姑息手軟。為了做到切實(shí)保證企業(yè)的機(jī)密不泄露,建立對(duì)應(yīng)的詳細(xì)的安全保密制度勢(shì)在必行,管理者還要經(jīng)常不斷檢查制度的實(shí)施情況。記錄出現(xiàn)違規(guī)的人員及情況、相應(yīng)處罰情況、檢查的結(jié)果報(bào)告,做到今后有據(jù)可循,為以后出現(xiàn)類(lèi)似情況提供管理依據(jù)。
3.2 樹(shù)立員工網(wǎng)絡(luò)安全意識(shí)
網(wǎng)絡(luò)安全工作要想做好,樹(shù)立企業(yè)工作人員的信息安全意識(shí)是首要任務(wù),只有員工切身真正認(rèn)識(shí)到信息安全對(duì)企業(yè)發(fā)展和前進(jìn)的重要性,才能切實(shí)在實(shí)際工作中重視起來(lái)。企業(yè)要實(shí)常加強(qiáng)員工相應(yīng)的信息安全的知識(shí)培訓(xùn),采用各種形式來(lái)增強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí),促使員工養(yǎng)成健康的使用計(jì)算機(jī)的習(xí)慣。
4 企業(yè)網(wǎng)絡(luò)安全防護(hù)措施
為了使企業(yè)網(wǎng)絡(luò)保持安全狀態(tài),企業(yè)網(wǎng)絡(luò)的安全防護(hù)措施必須與其具體需求要相結(jié)合,整合各種安全方案,創(chuàng)立一個(gè)多層次、完整的企業(yè)網(wǎng)絡(luò)防護(hù)體系,在為企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)防護(hù)措施時(shí),應(yīng)主要從幾點(diǎn)考慮:其一是要選擇進(jìn)行安全策略的工具,但安全風(fēng)險(xiǎn)是不可避免的也是必須承擔(dān)的;其二是要注意企業(yè)網(wǎng)絡(luò)的可訪問(wèn)性以及安全性平衡的保持;其三是考慮安全問(wèn)題是在系統(tǒng)管理的多個(gè)層次、多個(gè)方面都存在的。在企業(yè)網(wǎng)絡(luò)中,主要有幾種安全防護(hù)的措施。
4.1 防火墻技術(shù)
防火墻技術(shù)是當(dāng)下一種被廣泛應(yīng)用的也是最為流行的網(wǎng)絡(luò)安全技術(shù),其核心主題是在外界網(wǎng)絡(luò)環(huán)境不安全的大前提下創(chuàng)建一個(gè)相對(duì)安全有保證的子網(wǎng)。防火墻能實(shí)時(shí)監(jiān)測(cè)進(jìn)出于企業(yè)網(wǎng)絡(luò)的通訊交流數(shù)據(jù),允許安全合法的訪問(wèn)的數(shù)據(jù)和計(jì)算機(jī)進(jìn)入到企業(yè)網(wǎng)絡(luò)的內(nèi)部,把非授權(quán)的非法的數(shù)據(jù)和計(jì)算機(jī)擋在網(wǎng)絡(luò),企業(yè)內(nèi)網(wǎng)及特殊站點(diǎn)應(yīng)限制企業(yè)一般人員或是無(wú)關(guān)人員訪問(wèn),最大可能地阻止外部社會(huì)網(wǎng)絡(luò)中的黑客訪問(wèn)鏈接企業(yè)內(nèi)部的網(wǎng)絡(luò),阻止或是制止他們復(fù)制、篡改、破壞重要的或是機(jī)密信息。所以,防火墻是一道屏障,是在被保護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)和社會(huì)外界網(wǎng)絡(luò)之間設(shè)置的,在網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)合外部非授權(quán)的網(wǎng)絡(luò)之間,企業(yè)內(nèi)部網(wǎng)不同的網(wǎng)絡(luò)安全環(huán)境之間,達(dá)到隔離和控制的目標(biāo),外部網(wǎng)絡(luò)的攻擊合截獲被有效控制。
4.2 數(shù)據(jù)加密技術(shù)
如果一些重要的機(jī)密的數(shù)據(jù)需要通過(guò)外部網(wǎng)絡(luò)傳送的,該數(shù)據(jù)的加密工作則需運(yùn)用加密技術(shù)。防火墻技術(shù)以及數(shù)據(jù)加密技術(shù)兩者結(jié)合使用,增強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)及內(nèi)部數(shù)據(jù)的保密性和安全性,謹(jǐn)防外部破壞重要的機(jī)密數(shù)據(jù)。
4.3 入侵檢測(cè)技術(shù)
安裝入侵監(jiān)測(cè)系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡(luò)中,信息從企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)中若干關(guān)鍵點(diǎn)中收集,并分析數(shù)據(jù),從中檢查企業(yè)內(nèi)部網(wǎng)絡(luò)中是否存在與安全策略相違背的行為或是入侵現(xiàn)象,如果檢測(cè)到可疑的未授權(quán)的IP地址,則來(lái)自此入侵地址的信息就會(huì)被自動(dòng)切斷、同時(shí)給網(wǎng)絡(luò)管理員發(fā)送警告,企業(yè)內(nèi)部動(dòng)態(tài)的網(wǎng)絡(luò)安全保護(hù)就可以實(shí)現(xiàn)。
4.4 網(wǎng)絡(luò)蠕蟲(chóng)、病毒防護(hù)技術(shù)
盡管無(wú)法避免來(lái)自蠕蟲(chóng)、病毒對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的危害,但采取切實(shí)有效的防護(hù)方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒(méi)有危害。在企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi),由于網(wǎng)絡(luò)節(jié)點(diǎn)不但存在于局域網(wǎng)中,又有接入到互聯(lián)網(wǎng)中的可能,一般的防護(hù)技術(shù)是很難做到把蠕蟲(chóng)、病毒的威脅降低很多,在防病毒方面、通常要設(shè)計(jì)多層次阻止病毒體系。在企業(yè)安裝一般的常見(jiàn)的殺毒軟件時(shí),通常要定時(shí)自動(dòng)掃描系統(tǒng),另外,用戶在收發(fā)郵件時(shí)一定要打開(kāi)殺毒軟件的實(shí)時(shí)監(jiān)控郵件病毒功能,實(shí)時(shí)地同步地對(duì)檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網(wǎng)絡(luò)版殺毒軟件,那么全部網(wǎng)絡(luò)環(huán)境中每一個(gè)節(jié)點(diǎn)的病毒檢測(cè)情況可以被企業(yè)網(wǎng)絡(luò)的安全管理員如實(shí)準(zhǔn)確的掌握,當(dāng)然越先進(jìn)的防病毒產(chǎn)品或是技術(shù)效果也就越好。
4.5 系統(tǒng)平臺(tái)與漏洞的處理
網(wǎng)絡(luò)安全管理員可以運(yùn)用安全漏洞掃描技術(shù)了解掌握網(wǎng)絡(luò)的安全設(shè)備和正在進(jìn)行的應(yīng)用進(jìn)程,提前得到有可能被截獲的脆弱步驟,準(zhǔn)時(shí)檢查安全漏洞,盡快改正網(wǎng)絡(luò)安全系統(tǒng)存在漏洞和網(wǎng)絡(luò)系統(tǒng)存在的有誤差配置,防范措施應(yīng)該在黑客攻擊之前提早進(jìn)行。
5 結(jié)束語(yǔ)
企業(yè)網(wǎng)絡(luò)安全不是最終的目的,更恰當(dāng)和準(zhǔn)確地說(shuō)只是一種保障。隨著企業(yè)自身的發(fā)展和規(guī)模的壯大,企業(yè)網(wǎng)絡(luò)的普及也是勢(shì)在必行,網(wǎng)絡(luò)安全管理變得也就越來(lái)越復(fù)雜,網(wǎng)絡(luò)的安全管理和防護(hù)是企業(yè)發(fā)展的一項(xiàng)重要和艱巨的任務(wù)。在執(zhí)行維護(hù)網(wǎng)絡(luò)安全任務(wù)的同時(shí),我們一定要注意把網(wǎng)絡(luò)安全防護(hù)技術(shù)、影響網(wǎng)絡(luò)安全的因素結(jié)合起來(lái),制定有效的管理措施和技術(shù)方案,采取可行性高的防護(hù)措施,建立健全防護(hù)體系,增強(qiáng)企業(yè)內(nèi)部員工的網(wǎng)絡(luò)安全意識(shí),從源頭上解決網(wǎng)絡(luò)安全問(wèn)題。
參考文獻(xiàn)
[1] 宋軍.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國(guó)華,文開(kāi)豐.企業(yè)信息安全防護(hù)策略的研究[J].電腦知識(shí)與技術(shù),2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業(yè)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強(qiáng)等.網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全檢測(cè)與管理程序設(shè)計(jì)實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2012,(02):14-18.
[5] 黃俊強(qiáng),方舟,王希忠.基于Snort-wireless的分布式入侵檢測(cè)系統(tǒng)研究與設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2012,(02):23-26.
1企業(yè)網(wǎng)絡(luò)安全需求分析
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無(wú)泄露,保持網(wǎng)絡(luò)穩(wěn)定、安全地運(yùn)行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問(wèn)題
企業(yè)網(wǎng)絡(luò)安全面臨的問(wèn)題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行,但企業(yè)對(duì)網(wǎng)絡(luò)安全的重要性依然認(rèn)識(shí)不足,缺乏網(wǎng)絡(luò)安全規(guī)劃,沒(méi)有明確的網(wǎng)絡(luò)安全目標(biāo)[3]。(2)網(wǎng)絡(luò)安全意識(shí)不足。從企業(yè)的決策者到普通員工并沒(méi)有充分意識(shí)到網(wǎng)絡(luò)安全的重要性,企業(yè)網(wǎng)絡(luò)安全存在很大隱患。(3)網(wǎng)絡(luò)安全設(shè)施不健全。無(wú)論大型企業(yè),還是中小企業(yè),都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問(wèn)題,以致設(shè)施陳舊、不完整,面對(duì)外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點(diǎn)[4],缺乏系統(tǒng)性、協(xié)同性、靈活性,面對(duì)萬(wàn)物互聯(lián)和更高級(jí)的威脅,傳統(tǒng)防護(hù)手段捉襟見(jiàn)肘、防不勝防[5]。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢(shì)共同決定的,內(nèi)外都不會(huì)一成不變,所以企業(yè)網(wǎng)絡(luò)安全需求是一個(gè)動(dòng)態(tài)過(guò)程,具有時(shí)效性。基于此,要準(zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求,必須對(duì)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析,一般而言,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6],具體體現(xiàn)在以下幾個(gè)方面:(1)網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實(shí)用性是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過(guò)于簡(jiǎn)單,而且沒(méi)有形成完整的體系,對(duì)企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。(2)網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu),負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運(yùn)行管理等。(3)網(wǎng)絡(luò)安全運(yùn)行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系,采用實(shí)用的運(yùn)行管理方法,對(duì)服務(wù)器安全、網(wǎng)絡(luò)訪問(wèn)可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則
網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計(jì)網(wǎng)絡(luò)安全方案,避免失于偏頗和“詞不達(dá)意”,設(shè)計(jì)原則可以有很多,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。(2)簡(jiǎn)單適用原則。過(guò)于復(fù)雜的方案漏洞多,本身就不安全。(3)系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對(duì)的威脅是多方面的,只專(zhuān)注于一點(diǎn)無(wú)法保障網(wǎng)絡(luò)安全。(4)需求、風(fēng)險(xiǎn)與代價(jià)平衡原則。沒(méi)有任何方案可以做到絕對(duì)安全,追求過(guò)高的安全性要付出巨大代價(jià),所以要學(xué)會(huì)取舍,平衡風(fēng)險(xiǎn)與代價(jià)。(5)可維護(hù)性原則。沒(méi)有任何系統(tǒng)可以做到無(wú)懈可擊,要做到能隨時(shí)調(diào)整、升級(jí)、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時(shí)也要加強(qiáng)管理,減少管理漏洞,對(duì)于復(fù)雜的安全形勢(shì),要多做預(yù)案,提前防范突發(fā)事件。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實(shí)安全域的防護(hù)策略、制定訪問(wèn)控制策略、檢查網(wǎng)絡(luò)邊界、分級(jí)防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點(diǎn)出發(fā),將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域,如圖1所示。互聯(lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù),服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi),便于各個(gè)安全子域內(nèi)部署相應(yīng)等級(jí)的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻,而是綜合了防病毒、入侵檢測(cè)和防火墻的一體化安全設(shè)備。該設(shè)備運(yùn)用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺(tái)上,按需開(kāi)啟多種功能,其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種,X86架構(gòu)適于百兆網(wǎng)絡(luò),若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級(jí)、維護(hù)及開(kāi)發(fā)周期方面,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢(shì)。UTM軟件上可以集成防病毒、入侵檢測(cè)、內(nèi)容過(guò)濾、防垃圾郵件、流量管理等多種功能,通過(guò)模式匹配實(shí)現(xiàn)特征庫(kù)統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級(jí)思想,包含集中管理與單機(jī)管理的雙重管理機(jī)制,實(shí)現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫(xiě),用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸,發(fā)現(xiàn)異常數(shù)據(jù)可以即時(shí)中斷傳輸或進(jìn)行隔離,先于攻擊達(dá)成實(shí)現(xiàn)防護(hù),與防火墻功能上互補(bǔ),并支持串行接入模式,采用基于策略的防護(hù)方式,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示),可實(shí)時(shí)監(jiān)測(cè)外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過(guò)程,發(fā)現(xiàn)入侵行為即報(bào)警、阻斷,同時(shí)還能精確阻擊SQL注入攻擊。IDS是入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem)的英文縮寫(xiě),能對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)時(shí)監(jiān)視,發(fā)現(xiàn)可疑報(bào)警或采取其他主動(dòng)反應(yīng)措施,屬于監(jiān)聽(tīng)設(shè)備,其安全策略包括異常入侵檢測(cè)、誤用入侵檢測(cè)兩種方式,可部署在核心交換機(jī)上,對(duì)進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測(cè),如圖1所示。
2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫(kù),通過(guò)掃描檢測(cè)遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為,與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性,掃描對(duì)象包括網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫(kù)。漏洞掃描運(yùn)用的技術(shù)有主機(jī)在線掃描、端口掃描、操作系統(tǒng)識(shí)別、漏洞監(jiān)測(cè)數(shù)據(jù)采集、智能端口識(shí)別、多重服務(wù)檢測(cè)、系統(tǒng)滲透掃描等。漏洞掃描系統(tǒng)部署方式包括獨(dú)立式部署和分布式部署。前者適于比較簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu),例如電子商務(wù)、中小企業(yè)等;后者適于復(fù)雜、分布點(diǎn)多、數(shù)據(jù)相對(duì)分散的網(wǎng)絡(luò)結(jié)構(gòu),例如政府、電力行業(yè)、金融行業(yè)、電信運(yùn)營(yíng)商等。圖1為采用獨(dú)立式部署的漏洞掃描系統(tǒng)方案。
1 中小型企業(yè)網(wǎng)絡(luò)的安全目標(biāo)
一般的中小型企業(yè)的局域網(wǎng)擁有十幾臺(tái)或者上百臺(tái)計(jì)算機(jī)。其中的Web、FTP、電子郵件、DNS等服務(wù)器應(yīng)能被內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)所訪問(wèn),數(shù)據(jù)庫(kù)服務(wù)器一般只面向內(nèi)部網(wǎng)絡(luò),而所有的工作站都不能被外部網(wǎng)絡(luò)所訪問(wèn)。局域網(wǎng)中的工作站有些可以訪問(wèn)外部網(wǎng)絡(luò),有些則不可以。局域網(wǎng)中的所有計(jì)算機(jī)都應(yīng)能抵擋來(lái)自于外網(wǎng)的黑客或病毒的侵入。
2 中小型企業(yè)的網(wǎng)絡(luò)安全隱患
任何一個(gè)IP地址都會(huì)被攻擊。攻擊的形式多種多樣,主要有以下幾種:
2.1 網(wǎng)絡(luò)嗅探器
攻擊者通過(guò)嗅探器中途截走網(wǎng)絡(luò)上的數(shù)據(jù)流,對(duì)報(bào)文進(jìn)行分析,破解出他們想要的信息,例如服務(wù)器的密碼或者電子郵件等。
2.2 IP欺騙
攻擊者制造一個(gè)假的IP地址,使接收者誤以為是局域網(wǎng)內(nèi)的合法地址。
2.3 端口掃描
攻擊者通過(guò)在端口掃描,可以檢測(cè)出服務(wù)器上安全的脆弱方面。
2.4 密碼攻擊
通過(guò)多次的自動(dòng)試探,獲取服務(wù)器的密碼。
2.5 拒絕服務(wù)攻擊
大量使用對(duì)方的網(wǎng)絡(luò)資源,使合法的用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)。
2.6 應(yīng)用層的攻擊
應(yīng)用層的攻擊有許多方式。系統(tǒng)中的許多服務(wù)軟件本身就含有安全方面的問(wèn)題,然后這些被黑客利用發(fā)動(dòng)攻擊。
3 制定安全策略的原則
網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來(lái)自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施。網(wǎng)絡(luò)安全的維護(hù)策略就是針對(duì)網(wǎng)絡(luò)的實(shí)際情況,在網(wǎng)絡(luò)管理中,對(duì)各種網(wǎng)絡(luò)安全采取的保護(hù)措施。網(wǎng)絡(luò)的環(huán)境不同,實(shí)施的策略也要依據(jù)具體情況來(lái)定。因此要根據(jù)網(wǎng)絡(luò)的具體應(yīng)用環(huán)境制定出合理的安全策略。
3.1 系統(tǒng)性原則
網(wǎng)絡(luò)的安全管理?yè)碛邢到y(tǒng)化的工作流程,必?考慮網(wǎng)絡(luò)的各個(gè)方面,比如網(wǎng)絡(luò)上用戶、設(shè)備等,并且采取相應(yīng)的措施。不要錯(cuò)過(guò)任何一個(gè)細(xì)節(jié),一點(diǎn)點(diǎn)的錯(cuò)失都會(huì)降低整個(gè)網(wǎng)絡(luò)的安全性。
3.2 簡(jiǎn)單性原則
網(wǎng)絡(luò)用戶越多,網(wǎng)絡(luò)管理人員越多,網(wǎng)絡(luò)安全的管理工作就越復(fù)雜,采用的網(wǎng)絡(luò)軟件種類(lèi)就越多,網(wǎng)絡(luò)提供的服務(wù)越多,出現(xiàn)安全隱患的可能性就越大,出現(xiàn)問(wèn)題后解決問(wèn)題的難度也越大。要有簡(jiǎn)單的網(wǎng)絡(luò),才會(huì)有安全的網(wǎng)絡(luò)。
3.3 適應(yīng)性原則
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和迅速的變化,網(wǎng)絡(luò)用戶不斷增加,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,而安全措施是防范性的、持續(xù)的,所以制定的網(wǎng)絡(luò)安全維護(hù)策略必須適應(yīng)網(wǎng)絡(luò)發(fā)展的變化,與網(wǎng)絡(luò)的實(shí)際應(yīng)用環(huán)境相結(jié)合。
4 中小型企業(yè)網(wǎng)絡(luò)安全維護(hù)策略
4.1 網(wǎng)絡(luò)規(guī)劃時(shí)的安全策略
做網(wǎng)絡(luò)規(guī)劃時(shí)一定要考慮網(wǎng)絡(luò)的安全性,并且要實(shí)施一些安全策略。對(duì)于中小型企業(yè)網(wǎng)絡(luò)來(lái)說(shuō),網(wǎng)絡(luò)管理員是網(wǎng)絡(luò)安全責(zé)任人,所以明確網(wǎng)絡(luò)安全的責(zé)任人和安全策略的實(shí)施者。對(duì)中小型企業(yè)的局域網(wǎng)要集中管理網(wǎng)絡(luò)上的公用服務(wù)器和主交換設(shè)備。安全策略不可能保證網(wǎng)絡(luò)絕對(duì)安全和硬件不出故障。
4.2 網(wǎng)絡(luò)管理員的安全策略
對(duì)于中小型企業(yè)網(wǎng)絡(luò),網(wǎng)絡(luò)管理員要承擔(dān)安全管理員的責(zé)任。網(wǎng)絡(luò)管理員采取的安全策略,最重要的是保證服務(wù)器的安全和分配好各類(lèi)用戶的權(quán)限。網(wǎng)絡(luò)管理員必須了解整個(gè)網(wǎng)絡(luò)中的重要公共數(shù)據(jù)和機(jī)密數(shù)據(jù)有哪些,保存的地方,歸屬于誰(shuí),丟失或泄密會(huì)有什么后果,將這些重要數(shù)據(jù)集中在中心機(jī)房的服務(wù)器上,定期對(duì)各類(lèi)用戶進(jìn)行安全培訓(xùn)。
設(shè)置服務(wù)器的BIOS,不允許從可移動(dòng)的存儲(chǔ)設(shè)備啟動(dòng)。通過(guò)BIOS設(shè)置軟驅(qū)無(wú)效,并設(shè)置BIOS口令。防止非法用戶利用控制臺(tái)獲取敏感數(shù)據(jù),以及由軟驅(qū)感染病毒到服務(wù)器。取消服務(wù)器上不用的服務(wù)和協(xié)議種類(lèi)。網(wǎng)務(wù)和協(xié)議越多安全性越差。系統(tǒng)文件和用戶數(shù)據(jù)文件分別存儲(chǔ)在不同的卷上,方便日常的安全管理和數(shù)據(jù)備份。管理員賬號(hào)僅用于網(wǎng)絡(luò)管理,不在任何客戶機(jī)上使用管理員賬號(hào)。對(duì)屬于Administrator組和份組的成員用戶要特別慎重。
鼓勵(lì)用戶將數(shù)據(jù)保存到服務(wù)器上。不建議用戶在本地硬盤(pán)上共享文件。限制可登錄到有敏感數(shù)據(jù)的服務(wù)器的用戶數(shù)。在出現(xiàn)問(wèn)題時(shí)可以縮小懷疑范圍。一般不直接給用戶賦權(quán),而通過(guò)用戶組分配用戶權(quán)限。新增用戶時(shí)分配一個(gè)口令,并控制用戶“首次登錄必須更改口令”,且最好新設(shè)置成的口令不低于6個(gè)字符,以杜絕安全漏洞。
4.3 網(wǎng)絡(luò)用戶的安全策略
網(wǎng)絡(luò)的安全不僅是網(wǎng)絡(luò)管理員的事,網(wǎng)絡(luò)上的每個(gè)用戶都有責(zé)任。網(wǎng)絡(luò)用戶應(yīng)了解下列安全策略:
(1)將口令設(shè)置為8位數(shù)以上,不要將自己的口令告訴其他人。知道自己私有數(shù)據(jù)存儲(chǔ)的位置,了解如何備份和恢復(fù)。
(2)定期參加網(wǎng)絡(luò)知識(shí)和網(wǎng)絡(luò)安全的培訓(xùn),了解網(wǎng)絡(luò)安全知識(shí),養(yǎng)成注意安全的工作習(xí)慣。
(3)為了不影響自己的機(jī)器安全,盡量不要在本地硬盤(pán)上共享文件。應(yīng)將共享文件存放在服務(wù)器上,這樣比較安全也可以實(shí)現(xiàn)共享。
(4)設(shè)置客戶機(jī)的BIOS,不允許從軟驅(qū)啟動(dòng)。
(5)設(shè)置有顯示的屏幕保護(hù),并且加上口令保護(hù)。
(6)如果離開(kāi)機(jī)器時(shí)間較長(zhǎng)時(shí),一定要退出網(wǎng)絡(luò)。
(7)安裝啟動(dòng)時(shí)的病毒掃描軟件。
5月22日,國(guó)家互聯(lián)網(wǎng)信息辦公室消息,為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益,我國(guó)即將推出網(wǎng)絡(luò)安全審查制度。該制度規(guī)定,關(guān)系國(guó)家安全和公共利益的重要技術(shù)產(chǎn)品和服務(wù),應(yīng)通過(guò)網(wǎng)絡(luò)安全審查。同月,出于對(duì)信息安全考慮,中央政府采購(gòu)網(wǎng)《中央國(guó)家機(jī)關(guān)政府采購(gòu)中心重要通知》,要求所有計(jì)算機(jī)類(lèi)產(chǎn)品不允許安裝Windows 8操作系統(tǒng)。
這是2013年6月“美國(guó)斯諾登事件”曝光以來(lái),信息網(wǎng)絡(luò)安全工作被我國(guó)政府提到一個(gè)新的國(guó)家戰(zhàn)略高度上的又一體現(xiàn)。此前的2月27日,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立。親自擔(dān)任組長(zhǎng),并在領(lǐng)導(dǎo)小組第一次會(huì)議上指出“沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有國(guó)家安全”。這彰顯出中國(guó)最高領(lǐng)導(dǎo)層在保障網(wǎng)絡(luò)安全、維護(hù)國(guó)家利益、推動(dòng)信息化發(fā)展方面的決心。
信息網(wǎng)絡(luò)安全工作既是一項(xiàng)技術(shù)工作,又是一項(xiàng)管理工作,要做到技術(shù)手段和日常管理相結(jié)合。
五方面完善
鑒于信息網(wǎng)絡(luò)安全的重要性,我認(rèn)為,安全管理要從如下五個(gè)方面進(jìn)行完善,并不斷提高人們對(duì)于網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)。
第一,信息網(wǎng)絡(luò)安全要進(jìn)行頂層架構(gòu)設(shè)計(jì)。設(shè)計(jì)信息網(wǎng)絡(luò)安全的頂層架構(gòu),要從總體上把握好信息網(wǎng)絡(luò)安全工作。通過(guò)信息網(wǎng)絡(luò)安全的頂層設(shè)計(jì),形成信息網(wǎng)絡(luò)安全策略的制定、運(yùn)營(yíng)的執(zhí)行、監(jiān)管控制和反饋的閉環(huán)體系,建立統(tǒng)一的信息網(wǎng)絡(luò)安全指標(biāo),規(guī)劃信息網(wǎng)絡(luò)安全職能和服務(wù),特別要涵蓋身份識(shí)別與訪問(wèn)、安全路徑和設(shè)施、數(shù)據(jù)安全等。
第二,突出信息網(wǎng)絡(luò)安全工作重點(diǎn)。信息網(wǎng)絡(luò)安全工作的突出重點(diǎn)和目的是保護(hù)數(shù)據(jù)資源安全。在數(shù)據(jù)收集、處理和應(yīng)用的整個(gè)生命周期,防止數(shù)據(jù)資源的丟失以及非法竊取,設(shè)計(jì)數(shù)據(jù)級(jí)安全解決方案,與信息系統(tǒng)建設(shè)同步進(jìn)行數(shù)據(jù)訪問(wèn)和權(quán)限管理,對(duì)數(shù)據(jù)使用進(jìn)行全過(guò)程管理和控制,包括數(shù)據(jù)的非法或非正常查閱、復(fù)制、篡改、刪除等。
第三,重視信息網(wǎng)絡(luò)安全組織和團(tuán)隊(duì)建設(shè)。建立強(qiáng)有力的信息網(wǎng)絡(luò)安全組織和團(tuán)隊(duì),從組織上保證信息網(wǎng)絡(luò)安全工作體系落實(shí)到位。建立信息網(wǎng)絡(luò)安全專(zhuān)職隊(duì)伍,構(gòu)建專(zhuān)門(mén)的信息網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì),負(fù)責(zé)建立信息網(wǎng)絡(luò)安全技術(shù)基準(zhǔn)、例外情況的正式批準(zhǔn)、制定安全策略和指南、信息網(wǎng)絡(luò)安全事件的采集分析處理和響應(yīng)等工作。
第四,建立全面的信息網(wǎng)絡(luò)安全報(bào)告溝通制度和懲戒機(jī)制。建立專(zhuān)門(mén)的信息網(wǎng)絡(luò)安全門(mén)戶、信息網(wǎng)絡(luò)安全教育網(wǎng)頁(yè),正式的信息網(wǎng)絡(luò)安全年度報(bào)告,每月、每季度對(duì)內(nèi)信息網(wǎng)絡(luò)安全報(bào)告,對(duì)信息網(wǎng)絡(luò)安全事件及時(shí)反饋溝通。對(duì)違反信息網(wǎng)絡(luò)安全規(guī)定、造成信息網(wǎng)絡(luò)安全事故的事件進(jìn)行警示。加強(qiáng)信息網(wǎng)絡(luò)安全宣傳教育,全面提高員工的信息網(wǎng)絡(luò)安全意識(shí)。
第五,要定期開(kāi)展內(nèi)部模擬攻擊測(cè)試和應(yīng)急響應(yīng)演練。在企業(yè)內(nèi)部定期開(kāi)展網(wǎng)絡(luò)模擬攻擊測(cè)試,測(cè)驗(yàn)員工安全意識(shí)和防范能力,檢測(cè)各種隱患漏洞,通過(guò)快速反饋和響應(yīng),提高信息網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)水平。
三措施應(yīng)對(duì)
在信息網(wǎng)絡(luò)安全的建設(shè)中,除了要有完善的管理制度外,還要有強(qiáng)大的安全技術(shù)的支持。鑒于目前的網(wǎng)絡(luò)安全狀況,企業(yè)應(yīng)重點(diǎn)做好三個(gè)方面的工作。
一是對(duì)網(wǎng)絡(luò)行為要實(shí)施信息網(wǎng)絡(luò)安全實(shí)時(shí)動(dòng)態(tài)監(jiān)管,實(shí)時(shí)阻止非法訪問(wèn)行為。
在信息網(wǎng)絡(luò)安全工作中,監(jiān)管處于核心位置,除了要管好自家的“門(mén)”外,更要對(duì)進(jìn)入“門(mén)”內(nèi)的各種訪問(wèn)行為進(jìn)行實(shí)時(shí)監(jiān)管。成立專(zhuān)門(mén)的計(jì)算機(jī)安全應(yīng)急響應(yīng)小組。該小組一方面跟蹤研究業(yè)界最新的安全動(dòng)態(tài),并實(shí)施最新的信息網(wǎng)絡(luò)安全防御技術(shù)等;另一方面綜合應(yīng)用DNS(域名服務(wù)器)收集、防火墻、IPS(入侵防御系統(tǒng))、用戶行為建模等工具,7×24小時(shí)不間斷地對(duì)公司網(wǎng)絡(luò)中的各種“例外行為”進(jìn)行監(jiān)管。
國(guó)內(nèi)企業(yè)的大部分信息網(wǎng)絡(luò)安全事件是由于計(jì)算機(jī)病毒或木馬導(dǎo)致信息和數(shù)據(jù)失泄密,因此很強(qiáng)調(diào)“門(mén)衛(wèi)”的作用。但僅僅重視“門(mén)衛(wèi)”的預(yù)防而忽視對(duì)內(nèi)網(wǎng)行為的實(shí)時(shí)監(jiān)管,結(jié)果會(huì)讓非法訪問(wèn)者一旦突破“門(mén)衛(wèi)”進(jìn)入企業(yè)內(nèi)網(wǎng),非法訪問(wèn)者可以做任何事情而沒(méi)有人過(guò)問(wèn)。對(duì)企業(yè)網(wǎng)中的一切訪問(wèn)行為進(jìn)行實(shí)時(shí)動(dòng)態(tài)的監(jiān)控,能實(shí)現(xiàn)更全面的信息網(wǎng)絡(luò)安全監(jiān)管,只要有不合規(guī)的行為就可能在最短的時(shí)間內(nèi)被發(fā)現(xiàn)并被阻止。
二是注重信息網(wǎng)絡(luò)安全系統(tǒng)的自學(xué)習(xí)能力,加強(qiáng)系統(tǒng)防御、發(fā)現(xiàn)和修復(fù)的能力建設(shè)。
隨著IT技術(shù)的飛速發(fā)展,企業(yè)網(wǎng)絡(luò)面臨越來(lái)越多的攻擊風(fēng)險(xiǎn)。新技術(shù)的不斷應(yīng)用,導(dǎo)致攻擊的手段和方式也越來(lái)越隱蔽、越來(lái)越不易被發(fā)現(xiàn)。2012年Verizo數(shù)據(jù)泄露報(bào)告中,對(duì)企業(yè)網(wǎng)絡(luò)遭受惡意攻擊導(dǎo)致數(shù)據(jù)丟失甚至系統(tǒng)癱瘓,以及對(duì)發(fā)現(xiàn)攻擊并修復(fù)漏洞、恢復(fù)系統(tǒng)運(yùn)行等所需要的時(shí)間做了統(tǒng)計(jì),從統(tǒng)計(jì)數(shù)據(jù)中可以看出,受攻擊能夠在幾分鐘、幾個(gè)小時(shí)內(nèi)就導(dǎo)致企業(yè)數(shù)據(jù)的外泄甚至系統(tǒng)癱瘓,而企業(yè)要發(fā)現(xiàn)這些攻擊并有效阻止這些攻擊則需要數(shù)周甚至數(shù)月的時(shí)間。這就讓企業(yè)的網(wǎng)絡(luò)、系統(tǒng)、信息長(zhǎng)時(shí)間處于危險(xiǎn)狀態(tài),而且舊的漏洞被修復(fù)后攻擊者又會(huì)發(fā)現(xiàn)并利用新的漏洞,導(dǎo)致信息網(wǎng)絡(luò)安全人員疲于應(yīng)付。
因此,企業(yè)需要有效利用信息網(wǎng)絡(luò)安全工具和手段,加強(qiáng)“防御-發(fā)現(xiàn)-修復(fù)”過(guò)程的自學(xué)習(xí)和自修復(fù)能力。即通過(guò)綜合開(kāi)展有針對(duì)性監(jiān)控,有效利用數(shù)據(jù)丟失預(yù)防(DLP)、DDOS(分布式拒絕服務(wù)攻擊)緩解、惡意軟件/代碼高級(jí)檢測(cè)、DNS域名系統(tǒng)記錄和分析、數(shù)據(jù)包捕獲/檢測(cè)(DPI)、遠(yuǎn)程調(diào)查分析等工具,對(duì)各種行為數(shù)據(jù)進(jìn)行分析處理,對(duì)網(wǎng)絡(luò)中的各種行為習(xí)慣進(jìn)行自學(xué)習(xí),在出現(xiàn)異常情況時(shí)采用全自動(dòng)和人工干預(yù)的方式,“即時(shí)”控制異常行為。這相對(duì)于發(fā)現(xiàn)漏洞、等待修復(fù)的傳統(tǒng)方式,在時(shí)間上有了數(shù)量級(jí)的提高。同時(shí),企業(yè)要不定期地通過(guò)實(shí)施實(shí)際的攻擊來(lái)檢驗(yàn)網(wǎng)絡(luò)的自學(xué)習(xí)和自修復(fù)能力,不斷優(yōu)化完善防御、發(fā)現(xiàn)和修復(fù)系統(tǒng)的自學(xué)習(xí)能力,并將相關(guān)優(yōu)化建議直接應(yīng)用到防御、發(fā)現(xiàn)和修復(fù)系統(tǒng),提高防御、發(fā)現(xiàn)和修復(fù)系統(tǒng)的能力,形成良性循環(huán)。
三是有效應(yīng)用“身份”安全的邊界支持信息系統(tǒng)應(yīng)用。
IT新技術(shù)的快速發(fā)展和應(yīng)用,對(duì)傳統(tǒng)的安全域隔離提出了挑戰(zhàn)。一方面,云計(jì)算讓“安全域”的邊界越來(lái)越模糊。另一方面,BYOD(攜帶自己的設(shè)備辦公)的移動(dòng)應(yīng)用讓終端的管理越來(lái)越難。
云計(jì)算和傳統(tǒng)方式相比具有很多優(yōu)勢(shì)。但它的方便性和易用性也導(dǎo)致了企業(yè)網(wǎng)絡(luò)中不同的安全域逐步模糊了邊界,尤其是企業(yè)采用了“公有云”服務(wù)后,“安全域”已經(jīng)無(wú)法界定清楚。而WIFI、3G、4G技術(shù)的發(fā)展,使員工越來(lái)越愿意使用PAD、智能手機(jī)等智能終端隨時(shí)隨地處理辦公業(yè)務(wù),眾多終端通過(guò)不同的方式接入企業(yè)網(wǎng)絡(luò),終端的管控越來(lái)越難,而且智能終端的便攜性也同樣面臨容易丟失等問(wèn)題。
因此,在當(dāng)前的云計(jì)算和移動(dòng)互聯(lián)網(wǎng)環(huán)境下,“身份”是安全域的一個(gè)新邊界,也是企業(yè)信息網(wǎng)絡(luò)安全進(jìn)行精細(xì)度控制的基準(zhǔn)點(diǎn)。國(guó)內(nèi)外基于“身份”的安全體系已經(jīng)比較成熟,目前國(guó)內(nèi)外基于“身份”的安全體系已經(jīng)從CA(證書(shū)認(rèn)證)發(fā)展到了4A(賬號(hào)、認(rèn)證、授權(quán)、審計(jì)),國(guó)內(nèi)各大銀行網(wǎng)銀系統(tǒng)的U盾就是典型的基于“身份”的4A應(yīng)用,核心思想就是通過(guò)數(shù)字證書(shū)確保使用者身份的唯一性。但是,不論CA還是4A,一般都要求使用存儲(chǔ)了數(shù)字證書(shū)的“U盾”作為身份的唯一標(biāo)識(shí)。
科技的進(jìn)步,帶動(dòng)了信息技術(shù)的日新月異的發(fā)展,信息安全對(duì)于企業(yè)來(lái)講關(guān)系著企業(yè)的核心資產(chǎn),因此,加強(qiáng)信息安全的管理對(duì)于企業(yè)的發(fā)展有著至關(guān)重要的作用。就目前的現(xiàn)狀來(lái)看,諸多企業(yè)已經(jīng)開(kāi)始全面重視起自身的信息安全建設(shè)工作,雖然通過(guò)一系列信息安全產(chǎn)品的建設(shè)與維護(hù)能夠在某些方面起到作用,但仍有很多企業(yè)網(wǎng)絡(luò)的信息安全性并未有本質(zhì)上的提升。對(duì)于企業(yè)來(lái)講,安全管理是一個(gè)系統(tǒng)的標(biāo)準(zhǔn),有著較高的復(fù)雜性,因此,企業(yè)應(yīng)當(dāng)根據(jù)自身的特點(diǎn),深入研究信息化進(jìn)程當(dāng)中的安全管理問(wèn)題,而這也成為了當(dāng)前時(shí)代背景下助推企業(yè)進(jìn)一步發(fā)展的必由之路。由此可見(jiàn),企業(yè)管理好計(jì)算機(jī)網(wǎng)絡(luò)安全是至關(guān)重要的,做好相應(yīng)的應(yīng)對(duì)機(jī)制,做到防患于未然是當(dāng)下應(yīng)當(dāng)采取的必要措施。在這樣的基礎(chǔ)上,探討計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)的應(yīng)用對(duì)于企業(yè)實(shí)現(xiàn)可持續(xù)發(fā)展具有重要的指導(dǎo)意義。
1 基于信息化管理的企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全概述
計(jì)算機(jī)網(wǎng)絡(luò),顧名思義,就是指在網(wǎng)絡(luò)上進(jìn)行一系列連接,通過(guò)信息數(shù)據(jù)之間的相互傳播最終達(dá)到資源共享的一個(gè)網(wǎng)絡(luò)化結(jié)構(gòu)。回顧計(jì)算機(jī)的發(fā)展,其迅速十分迅猛,起初的計(jì)算機(jī)是運(yùn)用在軍事上的,為了填補(bǔ)戰(zhàn)爭(zhēng)中在通信上的缺陷,計(jì)算機(jī)網(wǎng)絡(luò)由此誕生。基于計(jì)算機(jī)的網(wǎng)絡(luò)類(lèi)型包括局域網(wǎng)和廣域網(wǎng),其中應(yīng)用最為廣泛的就是家庭局域網(wǎng)或者企業(yè)的局域網(wǎng)。其中城域網(wǎng)也是計(jì)算機(jī)網(wǎng)絡(luò)的重要組成部分之一,這種網(wǎng)絡(luò)是以城市,鄉(xiāng)村為主來(lái)進(jìn)行的,供同一地區(qū)小范圍內(nèi)的網(wǎng)絡(luò)使用,城域網(wǎng)以ATM技術(shù)作為骨干網(wǎng),通過(guò)一個(gè)MAN網(wǎng)絡(luò)連接多個(gè)LAN網(wǎng)絡(luò)的方式來(lái)實(shí)現(xiàn)的[1]。計(jì)算機(jī)網(wǎng)絡(luò)還包含無(wú)線網(wǎng),無(wú)線網(wǎng)絡(luò)的產(chǎn)品其中包含個(gè)人通信系統(tǒng)無(wú)線數(shù)據(jù)終端、便攜式可視電話、個(gè)人數(shù)字助理等。
信息化的技術(shù)是隨著科學(xué)技術(shù)不斷發(fā)展的產(chǎn)物,最早來(lái)自于上個(gè)世紀(jì)的后半葉,目前已經(jīng)成為一項(xiàng)現(xiàn)代化的科學(xué)技術(shù),是現(xiàn)代化生活中最主要的一種理念和方式,不僅深深地影響著人們的生活和改變著人們的生活、生產(chǎn)方式,更為國(guó)家社會(huì)和企業(yè)帶來(lái)了更高效的工作效率和管理效率。
我國(guó)的各個(gè)類(lèi)型的企業(yè)可以說(shuō)是促進(jìn)我國(guó)經(jīng)濟(jì)發(fā)展的重要支柱,也是社會(huì)主義市場(chǎng)經(jīng)濟(jì)的重要組成部分,因此,發(fā)展各個(gè)類(lèi)型的企業(yè),是確保社會(huì)主義市場(chǎng)經(jīng)濟(jì)健康發(fā)展的有效手段。在現(xiàn)代化社會(huì)的進(jìn)程當(dāng)中,企業(yè)的發(fā)展離不開(kāi)信息化的管理,而這個(gè)過(guò)程又在充滿著機(jī)遇的同時(shí)面對(duì)著諸多嚴(yán)峻的挑戰(zhàn),因此,加強(qiáng)企業(yè)信息化進(jìn)程中的安全管理,充分認(rèn)識(shí)到其中的困難,進(jìn)而提出解決措施,是確保現(xiàn)代化企業(yè)不斷發(fā)展的有效動(dòng)力。
2 基于信息化管理的企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀
一般來(lái)講,企業(yè)信息安全管理的隱患主要來(lái)源于信息網(wǎng)絡(luò)方面、人為方面、硬件設(shè)施和安全管理的隱患。其中主要包括病毒和黑客的入侵、人為操作不當(dāng)造成的信息泄露、存儲(chǔ)的數(shù)據(jù)和備份等硬件設(shè)施安全隱患和管理意識(shí)淡薄等。
以上諸多因素可以歸納出目前企業(yè)信息化進(jìn)程中的安全管理現(xiàn)狀及問(wèn)題主要表現(xiàn)為幾個(gè)方面。(1)諸多企業(yè)由于自身的經(jīng)營(yíng)條件受限,缺乏相關(guān)的資金和技術(shù)投入,雖然對(duì)其的重要性有著一定的重視,但是仍然因?yàn)橥顿Y不足而導(dǎo)致硬件和軟件設(shè)備的開(kāi)發(fā)和建設(shè)難以滿足企業(yè)實(shí)際的需求,因此也就難以實(shí)現(xiàn)企業(yè)信息化安全管理工作的有效落實(shí)。(2)缺乏相應(yīng)的人才建設(shè),人才對(duì)于企業(yè)的重要性顯而易見(jiàn),企業(yè)不應(yīng)當(dāng)僅僅重視促進(jìn)企業(yè)發(fā)展的人才建設(shè),更應(yīng)當(dāng)重視技術(shù)人才的建設(shè)。(3)信息化安全管理機(jī)制的不完善,任何企業(yè)只要任何方面出現(xiàn)問(wèn)題,都會(huì)涉及到制度建設(shè)的不完善。(4)就是企業(yè)對(duì)信息化安全管理的重視程度不足。(5)企業(yè)對(duì)于信息化安全方面的風(fēng)險(xiǎn)防御能力不夠,簡(jiǎn)單的黑客入侵或者病毒的襲擊甚至都會(huì)造成信息系統(tǒng)的崩潰,而這也是由于技術(shù)人才不足所導(dǎo)致[2]。
3 影響企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的來(lái)源
3.1 黑客入侵
現(xiàn)在網(wǎng)絡(luò)上出現(xiàn)各種各樣的惡性攻擊,其中一部分是由于黑客入侵所造成的,黑客入侵是計(jì)算機(jī)網(wǎng)絡(luò)中風(fēng)險(xiǎn)較為常見(jiàn)的一種。有些黑客非法入侵用戶的電腦中,對(duì)用戶的網(wǎng)絡(luò)數(shù)據(jù)資料進(jìn)行窺探,黑客入侵通常都是采用口令的進(jìn)攻方式,對(duì)用戶的賬號(hào)密碼進(jìn)行破解,對(duì)用戶的財(cái)產(chǎn)進(jìn)行轉(zhuǎn)賬、刪除網(wǎng)絡(luò)用戶的重要文件資料等行為,為企業(yè)用戶的經(jīng)濟(jì)財(cái)產(chǎn)帶來(lái)巨大的損失。
3.2 網(wǎng)絡(luò)病毒
網(wǎng)絡(luò)病毒的危害性眾所周知。網(wǎng)絡(luò)病毒的生成,是一個(gè)人為的過(guò)程,是以人為主導(dǎo)的一種“網(wǎng)絡(luò)環(huán)境破壞”,對(duì)于網(wǎng)絡(luò)病毒來(lái)說(shuō),其本質(zhì)也是電腦程序中的一種,由相關(guān)的數(shù)據(jù)通過(guò)不同的表達(dá)順序,進(jìn)而呈現(xiàn)出不同的破壞力,在互聯(lián)網(wǎng)這個(gè)大環(huán)境中,其經(jīng)常會(huì)攻擊一些用戶的計(jì)算機(jī)(服務(wù)器),對(duì)這些網(wǎng)絡(luò)用戶的文件造成一定損害或者是直接刪除,并且在一定程度上影響到了計(jì)算機(jī)的運(yùn)行過(guò)程,阻礙著網(wǎng)絡(luò)數(shù)據(jù)的傳播,更有一些網(wǎng)絡(luò)病毒破壞的更為徹底,當(dāng)強(qiáng)行刪除病毒或者是開(kāi)啟計(jì)算計(jì)的自我保護(hù)模式時(shí),病毒會(huì)導(dǎo)致系統(tǒng)的崩潰[3]。
3.3 網(wǎng)絡(luò)詐騙
計(jì)算機(jī)的使用環(huán)境較為開(kāi)放,這就給一些不法分子提供有機(jī)可乘的機(jī)會(huì),不法分子可以針對(duì)各大企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)詐騙,有些企業(yè)相關(guān)人員對(duì)計(jì)算機(jī)安全掌握不到位就及其容易的鉆進(jìn)網(wǎng)絡(luò)陷阱之中,網(wǎng)絡(luò)詐騙形式的出現(xiàn)嚴(yán)重的威脅著計(jì)算機(jī)網(wǎng)絡(luò)的安全,會(huì)直接造成企業(yè)財(cái)產(chǎn)的損失,陷企業(yè)于困難的境地。
除此之外,最重要的一個(gè)危險(xiǎn)因素就是企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)的安全性。眾所周知,計(jì)算機(jī)的運(yùn)行主要依靠其本身的操作系統(tǒng),也就是基本的程序,雖然現(xiàn)代化技術(shù)已經(jīng)能夠?qū)崿F(xiàn)為計(jì)算機(jī)程序進(jìn)行及時(shí)的更新,但正是在此過(guò)程中容易出現(xiàn)一些技術(shù)方面的問(wèn)題,成為威脅網(wǎng)絡(luò)安全的重要因素。
4 企業(yè)網(wǎng)中強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)技術(shù)分析
4.1 網(wǎng)絡(luò)防火墻技術(shù)
當(dāng)前所有計(jì)算機(jī)應(yīng)用的領(lǐng)域,不單是企業(yè),很多個(gè)人用戶也在不斷提高著對(duì)計(jì)算機(jī)安全的重視程度,而防火墻技術(shù)的應(yīng)用作為維護(hù)計(jì)算機(jī)安全的重要手段,應(yīng)當(dāng)更好地應(yīng)用在企業(yè)網(wǎng)絡(luò)當(dāng)中。在企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)中,防火墻技術(shù)又分為包過(guò)濾防火墻和應(yīng)用級(jí)防火墻兩種,前者能夠有效地起到對(duì)所傳輸?shù)男畔?shù)據(jù)的過(guò)濾作用,以此方式來(lái)對(duì)病毒進(jìn)行隔離,同時(shí)發(fā)出信號(hào)通知用戶對(duì)病毒進(jìn)行人工攔截;后者的用途直接作為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全,通過(guò)對(duì)終端服務(wù)器的掃描來(lái)發(fā)現(xiàn)并處理網(wǎng)絡(luò)攻擊行為。
4.2 數(shù)據(jù)的加密
數(shù)據(jù)加密技術(shù)也是一種常用的維護(hù)網(wǎng)絡(luò)安全的形式。在現(xiàn)代化企業(yè)的發(fā)展過(guò)程中,數(shù)據(jù)的加密是確保企業(yè)信息安全的一個(gè)有效途徑,這種技術(shù)的應(yīng)用不應(yīng)當(dāng)僅僅局限于單一的加密,而應(yīng)當(dāng)通過(guò)綜合使用來(lái)實(shí)現(xiàn)加密的最大化安全保障。加密的形式通常有兩種算法,即對(duì)稱(chēng)與非對(duì)稱(chēng)算法,對(duì)稱(chēng)加密就是只要密碼符合就能夠通過(guò),而非對(duì)稱(chēng)加密則要相對(duì)復(fù)雜,需要進(jìn)行一些復(fù)雜的計(jì)算才能通過(guò)驗(yàn)證,安全性較高。
4.3 殺毒技術(shù)
網(wǎng)絡(luò)病毒,可以說(shuō)是當(dāng)前對(duì)計(jì)算機(jī)安全性威脅最大的一個(gè)來(lái)源,因此各種殺毒軟件獲得了極其廣泛的應(yīng)用。對(duì)此,企業(yè)應(yīng)當(dāng)要求相關(guān)人員及時(shí)檢測(cè)并更新計(jì)算機(jī)系統(tǒng),最大程度避免網(wǎng)絡(luò)漏洞的出現(xiàn)。同時(shí),還要加強(qiáng)企業(yè)員工的素質(zhì)建設(shè),避免私自下載無(wú)關(guān)軟件或?yàn)g覽非正常網(wǎng)頁(yè),安裝并及時(shí)更新殺毒軟件,確保計(jì)算機(jī)系統(tǒng)內(nèi)所有文件的安全。
4.4 系統(tǒng)入侵的檢測(cè)
對(duì)于企業(yè)網(wǎng)的安全來(lái)說(shuō),入侵檢測(cè)技術(shù)水平至關(guān)重要。這種技術(shù)具有幾個(gè)方面的優(yōu)勢(shì)。(1)能夠自動(dòng)收集一切與計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)的信息數(shù)據(jù)進(jìn)行自動(dòng)化檢測(cè);(2)自動(dòng)找尋系統(tǒng)當(dāng)中可能存在的侵害行為;(3)受到侵害時(shí)能夠自動(dòng)發(fā)出求救信號(hào)并同時(shí)切斷入侵通道;(4)有效攔截一切入侵[4]。由此可見(jiàn),企業(yè)網(wǎng)的入侵檢測(cè)技術(shù)的本質(zhì)就是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行的整體監(jiān)控,通常基于主機(jī)與主網(wǎng)絡(luò)來(lái)進(jìn)行智能化檢測(cè),相比之下準(zhǔn)確性和效率都較高。然而該技術(shù)也會(huì)在一定程度上影響到加密技術(shù),也就是說(shuō),在入侵檢測(cè)的過(guò)程中,會(huì)或多或少地出現(xiàn)異常檢測(cè)和誤檢測(cè)情況,其中異常檢測(cè)主要針對(duì)整個(gè)計(jì)算機(jī)資源用戶和系統(tǒng)的各種行為,這種檢測(cè)方式極其容易出現(xiàn)誤報(bào),在整個(gè)檢測(cè)的過(guò)程中又需要對(duì)整個(gè)系統(tǒng)進(jìn)行全面的整體掃描,由此就需要耗費(fèi)大量的時(shí)間,從而影響工作效率;而誤檢測(cè)一般針對(duì)已經(jīng)確定的入侵模式來(lái)進(jìn)行,相比之下,這種檢測(cè)方式檢測(cè)效率較高,也就是不僅速度快,同時(shí)還具有較高的準(zhǔn)確率,唯一不足的方面與異常檢測(cè)一樣,均需要耗費(fèi)大量的時(shí)間。因此,入侵檢測(cè)技術(shù)的應(yīng)用,需要企業(yè)充分結(jié)合自身的實(shí)際情況來(lái)進(jìn)行合理化選擇。
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻 VPN
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展,企業(yè)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的需求也日趨增長(zhǎng),同時(shí),網(wǎng)絡(luò)安全面臨著嚴(yán)峻的威脅。Ju-niper網(wǎng)絡(luò)公司發(fā)起的一項(xiàng)最新研究表明,在調(diào)研的中國(guó)企業(yè)中有63%在去年受到了病毒或蠕蟲(chóng)攻擊,而41%的公司受到了間諜軟件和惡意軟件的攻擊,14%受到了黑客的攻擊。
面對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全威脅,各種安全技術(shù)也應(yīng)運(yùn)而生,如防火墻技術(shù)、VPN技術(shù)、IPSec技術(shù)、黑客技術(shù)、漏洞掃描和修復(fù)技術(shù)、入侵檢測(cè)技術(shù)、惡意代碼與計(jì)算機(jī)病毒防治、系統(tǒng)平臺(tái)安全及應(yīng)用安全等。
1、中小企業(yè)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題
中小企業(yè)網(wǎng)絡(luò)一般會(huì)出現(xiàn)以下八種安全問(wèn)題:第一、中小網(wǎng)絡(luò)經(jīng)常受到各種各樣的攻擊,其中有SYNFLOOD、UDPFLOOD等DDoS攻擊。第二、企業(yè)Web服務(wù)器曾因?yàn)樵L問(wèn)可執(zhí)行文件而中毒、癱瘓。第三、在外出差的員工無(wú)法安全快速的訪問(wèn)公司的服務(wù)器。第四、公司員工瀏覽一些不安全網(wǎng)站,存在安全隱患。第五、公司員工使用P2P軟件,存在安全隱患;第六、公司員工安全意識(shí)較低,沒(méi)有定時(shí)查殺病毒,中毒機(jī)率高。第七、用戶使用的殺毒軟件沒(méi)有及時(shí)更新,導(dǎo)致殺毒軟件無(wú)法查殺最新的病毒,造成嚴(yán)重后果;第八、用戶沒(méi)有及時(shí)修復(fù)系統(tǒng)漏洞,導(dǎo)致很多基于漏洞的攻擊和病毒的入侵。
2、解決中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題采用的策略
雙防火墻策略
硬件防火墻作為企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的第一道門(mén),它的功能全面,能有效阻止非法的入侵和攻擊,ISAServer2004集成的軟件防火墻對(duì)Internet協(xié)議(如超文本傳輸協(xié)議(HTTP))執(zhí)行深入檢查,能檢測(cè)到許多傳統(tǒng)防火墻檢測(cè)不到的威脅。硬件防火墻+ISAServer2004軟件防火墻,兩者各自發(fā)揮優(yōu)點(diǎn)和特色,為構(gòu)建更為安全的企業(yè)網(wǎng)絡(luò)打下堅(jiān)實(shí)的基礎(chǔ)。
VPN策略
由于各種安全威脅層出不窮,讓我們防不勝防,那么如何讓企業(yè)員工在外面出差的時(shí)候安全的訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)呢?ISAS-erver2004,提供了一種方法,就是通過(guò)建立VPN虛擬專(zhuān)用網(wǎng)絡(luò),該方法需四個(gè)步驟,就可以啟用ISAServer2004中安全、快速的VPN服務(wù)器。這四個(gè)步驟是:(1)啟用VPN服務(wù)器;(2)配置遠(yuǎn)程訪問(wèn)屬性;(3)給予用戶撥入權(quán)限;(4)訪問(wèn)規(guī)則。
病毒防治策略
計(jì)算機(jī)病毒的危害如下:阻塞網(wǎng)絡(luò)、破壞系統(tǒng)、破壞數(shù)據(jù)、感染其他計(jì)算機(jī)、泄露信息、消耗資源等等。筆者采用瑞星網(wǎng)絡(luò)版殺毒軟件,對(duì)客戶端的殺毒軟件進(jìn)行實(shí)時(shí)的監(jiān)控和管理,并為客戶端的殺毒軟件制定了一系列的防護(hù)病霉策略,做到實(shí)時(shí)監(jiān)控、及時(shí)升級(jí),定時(shí)查殺。
漏洞掃描修復(fù)策略
系統(tǒng)和軟件如果出現(xiàn)漏洞,就容易成為黑客、病毒、木馬等的攻擊對(duì)象。可見(jiàn)修復(fù)系統(tǒng)漏洞和及時(shí)升級(jí)軟件是多么的重要。瑞星殺毒軟件修復(fù)系統(tǒng)漏洞功能解決這一問(wèn)題。在漏洞掃描設(shè)置頁(yè)面,設(shè)置啟用定時(shí)漏洞掃描并且設(shè)置掃描頻率、設(shè)置掃描漏洞的嚴(yán)重級(jí)別和自動(dòng)安裝補(bǔ)丁程序等。還可以采取靜默安裝的方式,這樣就可在不干擾用戶正常工作的情況下自動(dòng)進(jìn)行安裝。
禁止企業(yè)內(nèi)部訪問(wèn)某些網(wǎng)站策略
要實(shí)現(xiàn)該策略的技術(shù),必須在ISASERV-ER2004里面分兩大步驟:其一,對(duì)需要禁止上網(wǎng)的客戶建立一個(gè)地址范圍或者計(jì)算機(jī)集,然后為禁止這些用戶訪問(wèn)的那些站點(diǎn)建立一個(gè)地址范圍或域名集;其二,在防火墻策略中新建一個(gè)訪問(wèn)規(guī)則,阻止內(nèi)部的這些計(jì)算機(jī)集訪問(wèn)定義的外部站點(diǎn)地址范圍或域名集。
禁止企業(yè)內(nèi)部用戶使用P2P軟件策略
目前,P2P軟件非常的流行,而且提供了多樣化的登錄方式,支持UDP、HTTP和HTTPS這三種登錄方式,ISAServer2004的深層HTTP檢查機(jī)制,可以快速簡(jiǎn)單封鎖P2P軟件。封鎖P2P軟件的最好辦法是封鎖它的服務(wù)器IP,有些P2P軟件還可以使用HTTP登錄,所以,還得在ISAServer2004的H TTP檢查機(jī)制中設(shè)置禁止P2P的HTTP連接。
服務(wù)器上阻止對(duì)所有可執(zhí)行文件的訪問(wèn)策略
對(duì)于Windows2000/XP/2003下的攻擊,很多時(shí)候是以得到服務(wù)器Shel1為目標(biāo)的,這就需要執(zhí)行服務(wù)器上的Cmd. exe。如果禁止訪問(wèn)服務(wù)器上的exe可執(zhí)行文件,這樣類(lèi)似的攻擊就不防而滅了。
ISAServer2004中的HTTP過(guò)濾策略是基于每條防火墻策略進(jìn)行配置的,只要這防火墻策略中包含了HTTP協(xié)議,就可以配置該防火墻策略的HTTP策略。只要在阻止包含Windows可執(zhí)行內(nèi)容的響應(yīng)打上勾就設(shè)置完成了。
員工安全培訓(xùn)策略
當(dāng)前網(wǎng)絡(luò)安全和計(jì)算機(jī)安全面臨著嚴(yán)峻的威脅,而這些威脅帶來(lái)的結(jié)果都是災(zāi)難性的,如果員工的安全意識(shí)沒(méi)有提高,那自身的安全技術(shù)就得不到提高,網(wǎng)絡(luò)安全方案實(shí)施就會(huì)受阻,不安全因素就會(huì)大大地提高。因此提高員工安全意識(shí)的工作必須放在首位。
中小企業(yè)可以根據(jù)自己的實(shí)際情況制定培訓(xùn)計(jì)劃,培訓(xùn)內(nèi)容主要包含有:第一、提高員工安全意識(shí)重要性;第二、了解目前網(wǎng)絡(luò)安全背景;第三、學(xué)習(xí)和運(yùn)用各種安全技術(shù)。
3、結(jié)束語(yǔ)
面對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全威脅,單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品無(wú)法解決網(wǎng)絡(luò)安全的全部問(wèn)題,因此我們應(yīng)根據(jù)實(shí)際應(yīng)用需求,制定安全策略,綜合運(yùn)動(dòng)各種網(wǎng)絡(luò)安全技術(shù)來(lái)保障企業(yè)計(jì)算機(jī)和網(wǎng)絡(luò)安全。
參考文獻(xiàn):
【1】袁津生,吳硯農(nóng)計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:人民郵電出版社,2008
互聯(lián)網(wǎng)絡(luò)深入到生產(chǎn)生活的各方面,改變了傳統(tǒng)的生產(chǎn)模式,對(duì)促進(jìn)生產(chǎn)力的提高發(fā)揮著重要的作用;中石化也正是看到了這一點(diǎn),在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化,幾乎每個(gè)加油站網(wǎng)點(diǎn)都被納入公司局域網(wǎng)之內(nèi);而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對(duì)提高中國(guó)石化的生產(chǎn)、經(jīng)營(yíng)和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入,網(wǎng)絡(luò)安全已成為維持日常經(jīng)營(yíng)活動(dòng)正常開(kāi)展的前提。中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成,既是企業(yè)業(yè)務(wù)需求形成的結(jié)果,也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專(zhuān)業(yè)化方向發(fā)展的結(jié)果,無(wú)論從經(jīng)濟(jì)效益還是社會(huì)影響考慮,我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)安全管理及系統(tǒng)建設(shè)情況。
1 網(wǎng)絡(luò)安全的含義及特征
1.1 網(wǎng)絡(luò)安全定義
網(wǎng)絡(luò)安全指的是:為保證網(wǎng)絡(luò)正常平穩(wěn)的運(yùn)行,而采取使其免受各種侵害的保護(hù)措施。
1.2 網(wǎng)絡(luò)安全特征
1)完整性:指信息不能在未得到授權(quán)的情況下擅自修改,不能被破壞、信息確保完整和及時(shí)傳送,確保承載企業(yè)信息的網(wǎng)絡(luò)系統(tǒng)完整性和有效性;
2)機(jī)密性:指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息,能夠保證為授權(quán)使用者正常的使用,并能防止非授權(quán)用戶的使用,而且有防范黑客,病毒等;
3)可用性:要保證系統(tǒng)時(shí)刻能正常運(yùn)行,確保各種業(yè)務(wù)的順利開(kāi)展。
2 企業(yè)網(wǎng)絡(luò)安全的需求
企業(yè)對(duì)信息網(wǎng)絡(luò)安全方面的需求主要包含:
1)實(shí)現(xiàn)網(wǎng)絡(luò)安全首先要保證機(jī)房能為各種核心設(shè)備提供符合標(biāo)準(zhǔn)的運(yùn)行環(huán)境,要有門(mén)禁系統(tǒng)、防火、防雷、防靜電、防潮、防鼠防蟲(chóng)等設(shè)備,有冗余供電線路和后備電源甚至發(fā)電系統(tǒng),有空調(diào)設(shè)備保證機(jī)房恒溫,每天定時(shí)巡檢,及時(shí)發(fā)現(xiàn)問(wèn)題及時(shí)解決。
宿遷分公司機(jī)房于2009年底進(jìn)行改造,改造后較改造前有較大改觀;但還存在一些問(wèn)題,比如UPS電池組使用超過(guò)期限,防潮防鼠防蟲(chóng)不到位,沒(méi)有冗余供電線路和發(fā)電設(shè)備等等;但這些問(wèn)題相對(duì)于泗陽(yáng)、泗洪、沭陽(yáng)、黑魚(yú)汪油庫(kù)、南關(guān)蕩油庫(kù)來(lái)講就不是問(wèn)題了,因?yàn)檫@三縣兩庫(kù)根本就沒(méi)有機(jī)房,網(wǎng)絡(luò)設(shè)備隨意堆放,沒(méi)有任何防護(hù)措施,人員可以隨意出入,網(wǎng)絡(luò)布線雜亂無(wú)章。不過(guò)省信息處已經(jīng)意識(shí)到此問(wèn)題,準(zhǔn)備在兩個(gè)油庫(kù)建立標(biāo)準(zhǔn)化機(jī)房,希望盡快改造,早日消除風(fēng)險(xiǎn)。
2)要實(shí)現(xiàn)網(wǎng)絡(luò)安全首先要實(shí)現(xiàn)承載公司各種業(yè)務(wù)系統(tǒng)的操作系統(tǒng)的安全,這有許多工作要做,比如:及時(shí)升級(jí)系統(tǒng)補(bǔ)丁堵住漏洞,關(guān)閉不必要的端口,配置系統(tǒng)安全策略,有選擇性限制用戶對(duì)系統(tǒng)的使用權(quán)限等;這些一系列復(fù)雜的操作,要按期望的結(jié)果執(zhí)行,則必須制定一定的規(guī)范,將所有需要執(zhí)行的步驟程序化,這樣可以規(guī)范一線信息人員的操作行為,減少誤操作的可能性,為網(wǎng)絡(luò)安全奠定堅(jiān)實(shí)的基礎(chǔ)。
3)公司關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須按照內(nèi)控要求及時(shí)備份,并定期對(duì)備份介質(zhì)進(jìn)行可讀性檢查;公司移動(dòng)辦公用戶接入內(nèi)網(wǎng)辦公時(shí),數(shù)據(jù)需要加密傳輸;保證業(yè)務(wù)系統(tǒng)正常運(yùn)行,即使在業(yè)務(wù)中斷情況下也能迅速恢復(fù)。
省公司在保證數(shù)據(jù)安全性方面并沒(méi)有統(tǒng)一的解決方案,這對(duì)一個(gè)企業(yè)來(lái)講是非常危險(xiǎn)的,數(shù)據(jù)的價(jià)值對(duì)企業(yè)的重要性是不言而喻的,因此我們不僅要制定有效的數(shù)據(jù)丟失防范策略,而且還要有相應(yīng)的設(shè)備的支持。
4)公司關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)該有冗余線路和冗余設(shè)備,以便在網(wǎng)絡(luò)中斷或設(shè)備停止工作時(shí)能自動(dòng)切換,保證系統(tǒng)平穩(wěn)運(yùn)行;但我們還是冷備,斷網(wǎng)時(shí)需要手動(dòng)切換,存在單點(diǎn)故障,需要改進(jìn)。
5)加強(qiáng)對(duì)系統(tǒng)操作人員的培訓(xùn),通過(guò)培訓(xùn)加深相關(guān)人員對(duì)業(yè)務(wù)系統(tǒng)的理解和認(rèn)識(shí),從而可以減少誤操作可能性,最大程度減少內(nèi)部原因引起的各種不穩(wěn)定因素。對(duì)安全性要求較高的場(chǎng)合,采用數(shù)字證書(shū)等認(rèn)證方式,代替?zhèn)鹘y(tǒng)的不安全的用戶名口令授權(quán)模式。對(duì)業(yè)務(wù)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)進(jìn)行嚴(yán)格監(jiān)控,防止異常情況的發(fā)生,并在發(fā)現(xiàn)異常時(shí)能及時(shí)采取相應(yīng)措施。
3 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及主要威脅
3.1 來(lái)自企業(yè)內(nèi)部的威脅
在所有對(duì)網(wǎng)絡(luò)安全造成威脅的事件中,來(lái)自企業(yè)內(nèi)部的占絕大多數(shù)。據(jù)統(tǒng)計(jì),來(lái)自企業(yè)外部的威脅只有不到1/4,而3/4以上的網(wǎng)絡(luò)安全威脅事件來(lái)自企業(yè)內(nèi)部。且這些來(lái)自于企業(yè)內(nèi)部的網(wǎng)絡(luò)安全事件中,源自企業(yè)內(nèi)部制度不健全、安全意識(shí)較差等自身管理問(wèn)題占3/5;企業(yè)內(nèi)部未經(jīng)授權(quán)的訪問(wèn)所造成的威脅占1/5;剩下的1/5則是由于設(shè)備老化或者相關(guān)人員操作失誤而導(dǎo)致。
由此可知,源于企業(yè)內(nèi)部的安全威脅所占比重最大,所以對(duì)企業(yè)內(nèi)部采取必要的安全措施是非常必要的。內(nèi)部員工了解公司網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點(diǎn)、甚至掌握業(yè)務(wù)系統(tǒng)的密碼。因此從內(nèi)部攻擊是最難預(yù)測(cè)和防范的。另一方面商業(yè)競(jìng)爭(zhēng)可導(dǎo)致更多的惡意攻擊事件的發(fā)生。特別是個(gè)別員工安全意識(shí)不高,有意或無(wú)意泄露企業(yè)商業(yè)機(jī)密、甚至為了謀取個(gè)人利益將其出售給競(jìng)爭(zhēng)對(duì)手,最終給企業(yè)造成重大損失。
防范來(lái)自公司內(nèi)部的威脅可以部署上網(wǎng)行為管理設(shè)備,它可以監(jiān)控、規(guī)范并且記錄用戶的上網(wǎng)行為;根據(jù)不同的崗位設(shè)置不同的安全防護(hù)等級(jí);甚至還可以防范DDOS、ARP攻擊等行為。因此我們認(rèn)為要提高公司網(wǎng)絡(luò)安全和管理水平,很有必要部署此設(shè)備。
3.2 來(lái)自企業(yè)自身發(fā)展水平的威脅
首先,由于公司用車(chē)不便、信息人員較少等多方面的原因,我公司信息安全問(wèn)題一直有較多隱患。出現(xiàn)問(wèn)題有時(shí)無(wú)法及時(shí)排除,特別是省公司卡管系統(tǒng)最近問(wèn)題極多,這不僅影響經(jīng)營(yíng)也影響公司在客戶心目中的形象。
其次,公司加油站OA電腦配置水平較低,而且運(yùn)行較多業(yè)務(wù)軟件,如:OA系統(tǒng)、液位儀、視頻監(jiān)控、桌面安全、Norton網(wǎng)絡(luò)版客戶端等,電腦運(yùn)行不暢,經(jīng)常發(fā)生停頓無(wú)響應(yīng)甚至死機(jī)情況,這樣不僅無(wú)法防病毒,而且會(huì)影響業(yè)務(wù),只會(huì)有反作用,而且絕大部分加油站OA電腦使用時(shí)間超過(guò)4年,已不適應(yīng)業(yè)務(wù)發(fā)展的需求,建議升級(jí)。
第三,公司加油站及油庫(kù)都已經(jīng)安裝視頻監(jiān)控系統(tǒng),但沒(méi)有相應(yīng)的規(guī)章制度來(lái)合理使用此系統(tǒng),因此無(wú)法起到對(duì)經(jīng)營(yíng)及網(wǎng)絡(luò)安全的提升和促進(jìn)作用。
3.3 來(lái)自網(wǎng)絡(luò)黑客破壞和病毒的威脅
在互聯(lián)網(wǎng)高速發(fā)展的今天,相應(yīng)的攻擊技術(shù)和黑客工具傳播很快,相關(guān)工具使用起來(lái)也變得非常容易;因此導(dǎo)致攻擊事件層出不窮。這些行為的出現(xiàn)還有較深層次的原因:首先是商業(yè)競(jìng)爭(zhēng)導(dǎo)致的企業(yè)間為了各自利益而不顧道德和法律的約束,擅自雇傭黑客攻擊競(jìng)爭(zhēng)對(duì)手以便獲取對(duì)方信息然后制定相應(yīng)策略打壓對(duì)方;其次,越來(lái)越多的年輕人掩飾不住好奇心紛紛加入黑客隊(duì)伍,他們以設(shè)計(jì)黑客程序,攻破預(yù)期目標(biāo)為樂(lè),以此炫耀自己的技術(shù)水平。
如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升,因此造成的損失也呈幾何級(jí)數(shù)增長(zhǎng)。隨著我們網(wǎng)絡(luò)的發(fā)展和應(yīng)用的深入,網(wǎng)絡(luò)上存儲(chǔ)大量的重要信息,甚至包括核心信息。一旦遭到破壞,輕者影響業(yè)務(wù)增加維護(hù)成本;重者造成信息泄露,業(yè)務(wù)中斷,企業(yè)無(wú)法正常經(jīng)營(yíng)。我們就曾經(jīng)遭受過(guò)沖擊波、震蕩波、ARP病毒的攻擊,導(dǎo)致系統(tǒng)莫名重啟,無(wú)法聯(lián)網(wǎng)的情況;現(xiàn)在操作系統(tǒng)的漏洞層出不窮,我們應(yīng)該防范于未然,充分利用現(xiàn)有的桌面安全管理系統(tǒng)和Norton防病毒系統(tǒng),將問(wèn)題消滅在萌芽狀態(tài)。
4 加強(qiáng)與完善企業(yè)網(wǎng)絡(luò)安全管理的對(duì)策與建議
4.1 建立網(wǎng)絡(luò)功能管理平臺(tái)
現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)日益龐大,網(wǎng)絡(luò)安全應(yīng)用中也有很多成熟的技術(shù)可借鑒和使用,如防火墻、入侵檢測(cè)、防病毒軟件等;但這些系統(tǒng)往往都是獨(dú)立工作,處于“各自為政”的狀態(tài),要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠充分被利用,需要為其提供一個(gè)經(jīng)濟(jì)安全、可靠高效、方便易用、性能優(yōu)良、功能完善、易于擴(kuò)展、易于升級(jí)維護(hù)的網(wǎng)絡(luò)管理平臺(tái)來(lái)管理這些網(wǎng)絡(luò)安全設(shè)備。中石化江蘇分公司在2004年嘗試使用過(guò)HPOpen View網(wǎng)絡(luò)管理系統(tǒng),它的強(qiáng)大的網(wǎng)絡(luò)管理功能和跨平臺(tái)性是非常獨(dú)到的,它不僅功能強(qiáng)大、使用簡(jiǎn)單,而且很適合宿遷分公司的復(fù)雜網(wǎng)絡(luò)環(huán)境。
4.2 建立企業(yè)身份認(rèn)證系統(tǒng)
傳統(tǒng)的口令認(rèn)證方式雖然方便,但是由于其易受到竊聽(tīng)、重放攻擊等的安全缺陷,因此這種方式已無(wú)法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求。所以企業(yè)應(yīng)盡量采用PKI的USB Key技術(shù)體系的身份認(rèn)證。
中石化已經(jīng)在2008年開(kāi)始陸續(xù)在下屬分支公司的資金集中管理系統(tǒng)及OA簽章系統(tǒng)使用基于PKI的USB Key的認(rèn)證系統(tǒng);并且在2010年終止多用戶使用一個(gè)VPN賬號(hào)的粗放且不安全的管理方式,采用專(zhuān)人專(zhuān)號(hào),集中申請(qǐng)和管理的方式,極大增強(qiáng)了安全性和保密性;這些安全的認(rèn)證體系在提供身份認(rèn)證的功能時(shí),為企業(yè)的敏感通信和交易提供了一套信息安全保障,通過(guò)一定的層次關(guān)系和邏輯聯(lián)系,構(gòu)建了用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書(shū)管理系統(tǒng)構(gòu)成的綜合性安全技術(shù)體系,確保企業(yè)信息資源的訪問(wèn)得到正式的授權(quán),驗(yàn)證資源訪問(wèn)者的合法身份,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴(lài)性的總體要求,將企業(yè)網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)進(jìn)一步細(xì)化,盡可能地減輕由于網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)給可能給企業(yè)造成的形象與經(jīng)濟(jì)損失。
4.3 應(yīng)用防病毒技術(shù), 建立全面網(wǎng)絡(luò)防病毒體系
計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)已經(jīng)覆蓋企業(yè)生產(chǎn)經(jīng)營(yíng)方方面,各種信息設(shè)備在企業(yè)中扮演著重要的角色,因此保證它們安全穩(wěn)定運(yùn)行的要求變得很迫切。
江蘇石油分公司為了防止受到來(lái)自于多方面的威脅,特別是病毒的威脅。最大程度降低因病毒所造成的經(jīng)濟(jì)損失,從2004年開(kāi)始部署并在2009年升級(jí)了Norton網(wǎng)絡(luò)版防病毒系統(tǒng),并采用多層的病毒防衛(wèi)體系,在每臺(tái)PC機(jī)上安裝反病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術(shù),在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊,根據(jù)企業(yè)設(shè)定的安全規(guī)則,在保護(hù)自身網(wǎng)絡(luò)安全的前提下,保障內(nèi)外網(wǎng)絡(luò)通訊的暢通無(wú)阻。我們?cè)诰W(wǎng)絡(luò)出口處安裝防火墻后,所有來(lái)自外部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求都必須通過(guò)防火墻的檢查,內(nèi)部與外部網(wǎng)絡(luò)的信息得到了有效的隔離,使得宿遷分公司網(wǎng)絡(luò)安全有了很大的提高;但由于投入使用的防火墻擴(kuò)展性有限,隨著業(yè)務(wù)的擴(kuò)展,它已經(jīng)較難適應(yīng)現(xiàn)在的業(yè)務(wù)需求,需要更換,否則會(huì)是一個(gè)較大的隱患。
4.4 建立完善的數(shù)據(jù)備份與恢復(fù)體系
保證網(wǎng)絡(luò)安全的前提是保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全,我們根據(jù)公司的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)現(xiàn)狀,建立了基于Linux的數(shù)據(jù)備份系統(tǒng),既能保證公司業(yè)務(wù)系統(tǒng)數(shù)據(jù)(如:財(cái)務(wù)數(shù)據(jù)、FTP數(shù)據(jù)和瑞通換票系統(tǒng)數(shù)據(jù)等)和關(guān)鍵用戶數(shù)據(jù)能及時(shí)自動(dòng)同步到專(zhuān)用服務(wù)器上,又能在系統(tǒng)恢復(fù)后把數(shù)據(jù)自動(dòng)同步回來(lái)。此系統(tǒng)客戶端支持Windows、Linux。Mac,因此兼容性好,應(yīng)用前景廣。此系統(tǒng)有專(zhuān)人管理并定期刻錄轉(zhuǎn)存?zhèn)浞莸臄?shù)據(jù),定期對(duì)轉(zhuǎn)存的數(shù)據(jù)做可讀性測(cè)試并做好記錄,有力保證了數(shù)據(jù)和網(wǎng)絡(luò)的安全,在使用中起到了良好的效果,公司應(yīng)該盡快在全省推廣此應(yīng)用,讓數(shù)據(jù)丟失的悲劇永遠(yuǎn)不要再發(fā)生。
4.5 健全安全管理制度和規(guī)范管理人員
要保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性,首先管理工作必須到位;因?yàn)榫W(wǎng)絡(luò)管理也是計(jì)算機(jī)網(wǎng)絡(luò)安全重要組成部分。通過(guò)制定相應(yīng)的規(guī)范并有配套制度能保證規(guī)范執(zhí)行到位,這是維持信息化企業(yè)經(jīng)營(yíng)活動(dòng)正常開(kāi)展的前提。分公司信息站在這方面應(yīng)該是執(zhí)行者,引導(dǎo)并監(jiān)督相關(guān)人員正確、規(guī)范執(zhí)行。任何好的制度和措施,如果沒(méi)有很好的執(zhí)行,也只能是空談;網(wǎng)絡(luò)安全方面也是如此,我們倡導(dǎo)“技術(shù)先行,管理到位” 的原則,這也正和內(nèi)控制度相吻合。比如:使用門(mén)禁系統(tǒng)嚴(yán)格控制并記錄人員進(jìn)出,機(jī)房每天定時(shí)巡檢、設(shè)備出入嚴(yán)格記錄并有負(fù)責(zé)人簽字;設(shè)備或網(wǎng)絡(luò)故障都有一套嚴(yán)格的響應(yīng)機(jī)制和應(yīng)急機(jī)制,確保及時(shí)發(fā)現(xiàn),及時(shí)響應(yīng),及時(shí)處理;隨著這套機(jī)制在實(shí)踐中的逐步完善,我們的管理水平和網(wǎng)絡(luò)安全水平會(huì)有更大的提高。
對(duì)企業(yè)員工要強(qiáng)化宣傳,加強(qiáng)網(wǎng)絡(luò)安全教育和法制觀念教育,讓安全觀念和法制觀念深入人心,提高公司員工對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和保護(hù)網(wǎng)絡(luò)安全的主動(dòng)性。
4.6 重視對(duì)員工的培訓(xùn)
網(wǎng)絡(luò)安全做的再好,如果缺少人的因素,也是沒(méi)有意義的;因此人員素質(zhì)的高低對(duì)信息安全方面至關(guān)重要;提高人員素質(zhì)的前提就是加強(qiáng)培訓(xùn),特別加強(qiáng)是對(duì)專(zhuān)業(yè)信息人員的培訓(xùn)工作。目前的現(xiàn)狀是,公司缺乏系統(tǒng)的、長(zhǎng)期的培訓(xùn)計(jì)劃,無(wú)相應(yīng)培訓(xùn)經(jīng)費(fèi),偶爾組織的培訓(xùn)課程也都是走馬觀花,蜻蜓點(diǎn)水。信息人員每天都扮演消防員的角色,到處救火,疲于奔命,一直停留在較低層次水平。公司如果能有制定合理的人才發(fā)展規(guī)劃,讓信息人員的業(yè)務(wù)水平能有穩(wěn)步提高,進(jìn)而能主動(dòng)發(fā)現(xiàn)問(wèn)題,解決問(wèn)題,將問(wèn)題解決在萌芽狀態(tài)。而且信息人員素質(zhì)的提高對(duì)業(yè)務(wù)的提升能起到推動(dòng)性的作用,信息人員可以對(duì)一線員工進(jìn)行培訓(xùn),提高他們對(duì)業(yè)務(wù)系統(tǒng)的操作能力,進(jìn)而可以提升公司形象,最終形成良性發(fā)展模式。
5 結(jié)論
綜上所述,企業(yè)網(wǎng)絡(luò)安全領(lǐng)域以及網(wǎng)絡(luò)安全管理是一個(gè)綜合、交叉的綜合性的課題。我們?cè)诔浞窒碛盟鼛?lái)便利的同時(shí),也應(yīng)將網(wǎng)絡(luò)安全放在可以管理的范圍之內(nèi)。企業(yè)信息化建設(shè)過(guò)程中雖然面臨眾多網(wǎng)絡(luò)安全威脅,但是如果通過(guò)一定的技術(shù)和管理手段,在安全的范疇內(nèi)不斷探索和嘗試,并在實(shí)踐工作中學(xué)習(xí)和掌握新的網(wǎng)絡(luò)安全與管理知識(shí),我們完全可以構(gòu)建一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境,從而為企業(yè)的快速發(fā)展提供高效的服務(wù)。
參考文獻(xiàn)
[1]李立旭.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全及防范[J].企業(yè)科技信息,2009(12).
[2]李明之.網(wǎng)絡(luò)安全與數(shù)據(jù)完整性指南[M].機(jī)械工業(yè)出版社,2009,10.
[3]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2008,7.
關(guān)鍵詞:等級(jí)防護(hù);電力企業(yè);網(wǎng)絡(luò)安全建設(shè)
中圖分類(lèi)號(hào): F407 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):
引言
信息化是一把“雙刃劍”,在提高企業(yè)工作效率、管理水平以及整體競(jìng)爭(zhēng)能力的同時(shí),也給企業(yè)帶來(lái)了一定的安全風(fēng)險(xiǎn),并且伴隨著企業(yè)信息化水平的提高而逐漸增長(zhǎng)。因此,提升企業(yè)的信息系統(tǒng)安全防護(hù)能力,使其滿足國(guó)家等級(jí)保護(hù)的規(guī)范性要求,已經(jīng)成為現(xiàn)階段信息化工作的首要任務(wù)。對(duì)于電力企業(yè)的信息系統(tǒng)安全防護(hù)工作而言,應(yīng)等級(jí)保護(hù)要求,將信息管理網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)與信息外網(wǎng),并根據(jù)業(yè)務(wù)的重要性劃分出相應(yīng)的二級(jí)保護(hù)系統(tǒng)與三級(jí)保護(hù)系統(tǒng),對(duì)三級(jí)系統(tǒng)獨(dú)立成域,其余二級(jí)系統(tǒng)統(tǒng)一成域,并從邊界安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等方面對(duì)不同的安全域?qū)Ψ雷o(hù)要求進(jìn)行明確劃分。
1現(xiàn)階段電力企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析
1.1服務(wù)器區(qū)域缺少安全防護(hù)措施
大部分電力企業(yè)的服務(wù)器都是直接接入本單位的核心交換機(jī),然而各網(wǎng)段網(wǎng)關(guān)都在核心交換機(jī)上,未能對(duì)服務(wù)器區(qū)域采取有效的安全防護(hù)措施。
1.2服務(wù)器區(qū)域和桌面終端區(qū)域之間的劃分不明確
因服務(wù)器和桌面終端的網(wǎng)關(guān)都在核心交換機(jī)上,不能實(shí)現(xiàn)對(duì)于域的有效劃分。
1.3網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)劃
就現(xiàn)階段的電力企業(yè)網(wǎng)絡(luò)安全建設(shè)而言,普遍存在著缺乏整體安全設(shè)計(jì)與規(guī)劃的現(xiàn)狀,使整個(gè)網(wǎng)絡(luò)系統(tǒng)成為了若干個(gè)安全產(chǎn)品的堆砌物,從而使各個(gè)產(chǎn)品之間失去了相應(yīng)的聯(lián)動(dòng),不僅在很大程度上降低了網(wǎng)絡(luò)的運(yùn)營(yíng)效率,還增加了網(wǎng)絡(luò)的復(fù)雜程度與維護(hù)難度。
1.4系統(tǒng)策略配置有待加強(qiáng)
在信息網(wǎng)絡(luò)中使用的操作系統(tǒng)大都含有相應(yīng)的安全機(jī)制、用戶與目錄權(quán)限設(shè)置以及適當(dāng)?shù)陌踩呗韵到y(tǒng)等,但在實(shí)際的網(wǎng)絡(luò)安裝調(diào)試過(guò)程中,往往只使用最寬松的配置,然而對(duì)于安全保密來(lái)說(shuō)卻恰恰相反,要想確保系統(tǒng)的安全,必須遵循最小化原則,沒(méi)有必要的策略在網(wǎng)絡(luò)中一律不配置,即使有必要的,也應(yīng)對(duì)其進(jìn)行嚴(yán)格限制。
1.5缺乏相應(yīng)的安全管理機(jī)制
對(duì)于一個(gè)好的電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)而言,安全與管理始終是分不開(kāi)的。如果只有好的安全設(shè)備與系統(tǒng)而沒(méi)有完善的安全管理體系來(lái)確保安全管理方法的順利實(shí)施,很難實(shí)現(xiàn)電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)營(yíng)。對(duì)于安全管理工作而言,其目的就是確保網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行,并且其自身應(yīng)該具有良好的自我修復(fù)性,一旦發(fā)生黑客事件,能夠在最大程度上挽回?fù)p失。因此,在現(xiàn)階段的企業(yè)網(wǎng)絡(luò)安全建設(shè)工作過(guò)程中,應(yīng)當(dāng)制訂出完善的安全檢測(cè)、人員管理、口令管理、策略管理、日志管理等管理方法。
2等級(jí)保護(hù)要求下電力企業(yè)網(wǎng)絡(luò)安全建設(shè)防護(hù)的具體措施
2.1突出保護(hù)重點(diǎn)
對(duì)于電力企業(yè)而言,其投入到信息網(wǎng)絡(luò)安全上的資源是一定的。從另外一種意義上講,當(dāng)一些設(shè)備存在相應(yīng)的安全隱患或者發(fā)生破壞之后,其所產(chǎn)生的后果并不嚴(yán)重,如果投入和其一樣重要的信息資源來(lái)保護(hù)它,顯然不滿足科學(xué)性的要求。因此,在保護(hù)工作過(guò)程中,應(yīng)對(duì)需要保護(hù)的信息資產(chǎn)進(jìn)行詳細(xì)梳理,以企業(yè)的整體利益為出發(fā)點(diǎn),確定出重要的信息資產(chǎn)或系統(tǒng),然后將有限的資源投入到對(duì)于這些重要信息資源的保護(hù)當(dāng)中,在這些重要信息資源得到有效保護(hù)的同時(shí),還可以使工作效率得到很大程度的提高。
2.2貫徹實(shí)施3層防護(hù)方案
在企業(yè)網(wǎng)絡(luò)安全建設(shè)過(guò)程中,應(yīng)充分結(jié)合電力企業(yè)自身網(wǎng)絡(luò)化特點(diǎn),積極貫徹落實(shí)安全域劃分、邊界安全防護(hù)、網(wǎng)絡(luò)環(huán)境安全防護(hù)的3層防護(hù)設(shè)計(jì)方案。在安全防護(hù)框架的基礎(chǔ)上,實(shí)行分級(jí)、分域與分層防護(hù)的總體策略,以充分實(shí)現(xiàn)國(guó)家等級(jí)防護(hù)的基本要求。
(1)分區(qū)分域。統(tǒng)一對(duì)直屬單位的安全域進(jìn)行劃分,以充分實(shí)現(xiàn)對(duì)于不同安全等級(jí)、不同業(yè)務(wù)類(lèi)型的獨(dú)立化與差異化防護(hù)。
(2)等級(jí)防護(hù)。遵循“二級(jí)系統(tǒng)統(tǒng)一成域,三級(jí)系統(tǒng)獨(dú)立成域”的劃分原則,并根據(jù)信息系統(tǒng)的定級(jí)情況,進(jìn)行等級(jí)安全防護(hù)策略的具體設(shè)計(jì)。
(3)多層防護(hù)。在此項(xiàng)工作的開(kāi)展過(guò)程中,應(yīng)從邊界、網(wǎng)絡(luò)環(huán)境等多個(gè)方面進(jìn)行安全防護(hù)策略的設(shè)計(jì)工作。
2.3加強(qiáng)安全域劃分
安全域是指在同一環(huán)境內(nèi)具有一致安全防護(hù)需求、相互信任且具有相同安全訪問(wèn)控制與邊界控制的系統(tǒng)。加強(qiáng)對(duì)于安全域的劃分,可以實(shí)現(xiàn)以下目標(biāo):
(1)實(shí)現(xiàn)對(duì)復(fù)雜問(wèn)題的分解。對(duì)于信息系統(tǒng)的安全域劃分而言,其目的是將一個(gè)復(fù)雜的安全問(wèn)題分解成一定數(shù)量小區(qū)域的安全防護(hù)問(wèn)題。安全區(qū)域劃分可以有效實(shí)現(xiàn)對(duì)于復(fù)雜系統(tǒng)的安全等級(jí)防護(hù),是實(shí)現(xiàn)重點(diǎn)防護(hù)、分級(jí)防護(hù)的戰(zhàn)略防御理念。
(2)實(shí)現(xiàn)對(duì)于不同系統(tǒng)的差異防護(hù)。基礎(chǔ)網(wǎng)絡(luò)服務(wù)、業(yè)務(wù)應(yīng)用、日常辦公終端之間都存在著一定的差異,并且能夠根據(jù)不同的安全防護(hù)需求,實(shí)現(xiàn)對(duì)于不同特性系統(tǒng)的歸類(lèi)劃分,從而明確各域邊界,對(duì)相應(yīng)的防護(hù)措施進(jìn)行分別考慮。
(3)有效防止安全問(wèn)題的擴(kuò)散。進(jìn)行安全區(qū)域劃分,可以將其安全問(wèn)題限定在其所在的安全域內(nèi),從而有效阻止其向其他安全域的擴(kuò)散。在此項(xiàng)工作的開(kāi)展過(guò)程中,還應(yīng)充分遵循區(qū)域劃分的原則,將直屬單位的網(wǎng)絡(luò)系統(tǒng)統(tǒng)一劃分為相應(yīng)的二級(jí)服務(wù)器域與桌面終端域,并對(duì)其分別進(jìn)行安全防護(hù)管理。在二級(jí)系統(tǒng)服務(wù)器域與桌面域間,采取橫向域間的安全防護(hù)措施,以實(shí)現(xiàn)域間的安全防護(hù)。
2.4加強(qiáng)對(duì)于網(wǎng)絡(luò)邊界安全的防護(hù)
對(duì)于電力企業(yè)的網(wǎng)絡(luò)邊界安全防護(hù)工作而言,其目的是使邊界避免來(lái)自外部的攻擊,并有效防止內(nèi)部人員對(duì)外界進(jìn)行攻擊。在安全事件發(fā)生之前,能夠通過(guò)對(duì)安全日志與入侵事件的分析,來(lái)發(fā)現(xiàn)攻擊企圖,在事件發(fā)生之后可以通過(guò)對(duì)入侵事件記錄的分析來(lái)進(jìn)行相應(yīng)的審查追蹤。
(1)加強(qiáng)對(duì)于縱向邊界的防護(hù)。在網(wǎng)絡(luò)出口與上級(jí)單位連接處設(shè)立防火墻,以實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)邊界安全的防護(hù)。
(2)加強(qiáng)對(duì)于域間橫向邊界的防護(hù)。此項(xiàng)防護(hù)是針對(duì)各安全區(qū)域通信數(shù)據(jù)流傳輸保護(hù)所制定出的安全防護(hù)措施。在該項(xiàng)工作的開(kāi)展過(guò)程中,應(yīng)根據(jù)網(wǎng)絡(luò)邊界的數(shù)據(jù)流制定出相應(yīng)的訪問(wèn)控制矩陣,并依此在邊界網(wǎng)絡(luò)訪問(wèn)控制設(shè)備上設(shè)定相應(yīng)的訪問(wèn)控制規(guī)則。
2.5加強(qiáng)對(duì)于網(wǎng)絡(luò)環(huán)境的安全防護(hù)
(1)加強(qiáng)邊界入侵檢測(cè)。以網(wǎng)絡(luò)嗅探的方式可以截獲通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,并通過(guò)相應(yīng)的特征分析、異常統(tǒng)計(jì)分析等方法,及時(shí)發(fā)現(xiàn)并處理網(wǎng)絡(luò)攻擊與異常安全事件。在此過(guò)程中,設(shè)置相應(yīng)的入侵檢測(cè)系統(tǒng),能夠及時(shí)發(fā)現(xiàn)病毒、蠕蟲(chóng)、惡意代碼攻擊等威脅,能夠有效提高處理安全問(wèn)題的效率,從而為安全問(wèn)題的取證提供有力依據(jù)。
(2)強(qiáng)化網(wǎng)絡(luò)設(shè)備安全加固。安全加固是指在確保業(yè)務(wù)處理正常進(jìn)行的情況下,對(duì)初始配置進(jìn)行相應(yīng)的優(yōu)化,從而提高網(wǎng)絡(luò)系統(tǒng)的自身抗攻擊性。因此,在經(jīng)過(guò)相應(yīng)的安全評(píng)估之后,應(yīng)及時(shí)發(fā)現(xiàn)其中隱藏的安全問(wèn)題,對(duì)重要的網(wǎng)絡(luò)設(shè)備進(jìn)行必要的安全加固。
(3)強(qiáng)化日志審計(jì)配置。在此項(xiàng)工作的開(kāi)展過(guò)程中,應(yīng)根據(jù)國(guó)家二級(jí)等級(jí)保護(hù)要求,對(duì)服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備等開(kāi)啟審計(jì)功能,并對(duì)這些設(shè)備進(jìn)行日志的集中搜索,對(duì)事件進(jìn)行定期分析,以有效實(shí)現(xiàn)對(duì)于信息系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備的日志記錄與分析工作。
結(jié)語(yǔ)
綜上所述,對(duì)于現(xiàn)階段電力企業(yè)信息網(wǎng)絡(luò)而言,網(wǎng)絡(luò)安全建設(shè)是一個(gè)綜合性的課題,涉及到技術(shù)、使用、管理等許多方面,并受到諸多因素的影響。在電力企業(yè)網(wǎng)絡(luò)安全建設(shè)過(guò)程中,應(yīng)加強(qiáng)對(duì)于安全防護(hù)管理體系的完善與創(chuàng)新,以嚴(yán)格的管理制度與高素質(zhì)管理人才,實(shí)現(xiàn)對(duì)于信息系統(tǒng)的精細(xì)化、準(zhǔn)確化管理,從而切實(shí)促進(jìn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的健康、穩(wěn)步發(fā)展。
參考文獻(xiàn):
[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)安全,2010(4).
關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡(luò);管理;措施
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別
既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡(luò)安全主要包含兩部分,一個(gè)就是傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,即可以說(shuō)是外網(wǎng)安全;另一個(gè)就是內(nèi)網(wǎng)安全,它是對(duì)應(yīng)于外網(wǎng)而言的。主要是指在小范圍內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò),這個(gè)“小范圍”可以是一個(gè)家庭,一所學(xué)校,或者是一家公司。內(nèi)網(wǎng)上的每一臺(tái)電腦(或其他網(wǎng)絡(luò)設(shè)備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復(fù)的,不會(huì)相互影響。
外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來(lái)自于外部網(wǎng)絡(luò),其途徑主要通過(guò)內(nèi)外網(wǎng)邊界出口。所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全。也就是說(shuō),網(wǎng)絡(luò)邊界安全技術(shù)防范來(lái)自Internet上的攻擊,主要是防范來(lái)自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)、寫(xiě)程序就可訪問(wèn)企業(yè)網(wǎng)的幾率。傳統(tǒng)的防火墻、人侵檢測(cè)系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。
對(duì)眾多大型企業(yè)而言,隨著業(yè)務(wù)的發(fā)展,用戶希望ERP、OA、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實(shí)現(xiàn),能夠同時(shí)使用有線、無(wú)線網(wǎng)絡(luò),在一個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)Web、即時(shí)通信、協(xié)作、語(yǔ)音、視頻的融合。外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分。而隨著移動(dòng)辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦、手機(jī)都成為了企業(yè)OA網(wǎng)絡(luò)中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度。
內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細(xì)致。它假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來(lái)自外網(wǎng),也可能來(lái)自?xún)?nèi)網(wǎng)的任何―個(gè)節(jié)點(diǎn)上。 所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理,實(shí)現(xiàn)―個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。
由此可見(jiàn),相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系。
2)要求建立更加細(xì)粒度的安全控制措施,對(duì)計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對(duì)性的管理。
3)對(duì)信息進(jìn)行生命周期的完善管理。
2 內(nèi)網(wǎng)安全的威脅
在所有的安全事件中,有超過(guò)70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長(zhǎng)的趨勢(shì)。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來(lái)也都是安全建設(shè)的難點(diǎn)。
在實(shí)際應(yīng)用當(dāng)中,內(nèi)網(wǎng)安全的威脅主要來(lái)自以下幾個(gè)方面:
1)移動(dòng)設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過(guò)安全過(guò)濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)。未經(jīng)允許擅自接入電腦設(shè)備會(huì)給網(wǎng)絡(luò)帶來(lái)病毒傳播、黑客入侵等不安全因素;
2)內(nèi)部網(wǎng)絡(luò)用戶通過(guò)調(diào)制解調(diào)器、雙網(wǎng)卡、無(wú)線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號(hào)上網(wǎng)、違規(guī)離線上網(wǎng)等行為;
3)違反規(guī)定將專(zhuān)網(wǎng)專(zhuān)用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其它網(wǎng)絡(luò);
4)網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲(chóng)攻擊等安全問(wèn)題后,不能做到安全事件源的實(shí)時(shí)、快速、精確定位、遠(yuǎn)程阻斷隔離操作。安全事件發(fā)生后,網(wǎng)管一般通過(guò)交換機(jī)、路由器或防火墻進(jìn)行封堵,但設(shè)置復(fù)雜,操作風(fēng)險(xiǎn)大,而且絕大多數(shù)普通交換機(jī)并沒(méi)有被設(shè)置成SNMP可管理模式,因此不能夠方便地進(jìn)行隔離操作;
5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無(wú)法確定病毒黑客事件源頭、無(wú)法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié),無(wú)法做到事后分析、加強(qiáng)安全預(yù)警;
6)靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無(wú)法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況;
7)針對(duì)網(wǎng)絡(luò)內(nèi)部安全隱患,自動(dòng)檢測(cè)網(wǎng)絡(luò)中主機(jī)的安全防范等級(jí),進(jìn)行補(bǔ)丁大面積分發(fā),徹底解決網(wǎng)絡(luò)中的不安全因素;
8)大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜,不能明確劃分管理責(zé)任范圍;
9)網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多,不能做到精確統(tǒng)計(jì)。
以上問(wèn)題其實(shí)可以歸到兩個(gè)基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎(chǔ)IT設(shè)施即計(jì)算機(jī)是可用的;而管理方面,則保證企業(yè)或都說(shuō)組織的計(jì)算機(jī)是用來(lái)工作的,規(guī)范計(jì)算機(jī)在企業(yè)網(wǎng)絡(luò)里邊的行為。
3 加強(qiáng)內(nèi)網(wǎng)安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對(duì)于信息安全的重要性已經(jīng)逐漸達(dá)成共識(shí),但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)。安全關(guān)注的趨勢(shì)由外而內(nèi),由邊界到主機(jī),由分散到集中,由系統(tǒng)到應(yīng)用,由通用到專(zhuān)用,由分離到整合,由技術(shù)到管理。從實(shí)際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗(yàn),我總結(jié)了加強(qiáng)內(nèi)網(wǎng)安全的措施如下:
1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務(wù)部門(mén)或子公司劃成了不同的虛擬網(wǎng)(Vlan)。通過(guò)劃分虛擬網(wǎng),可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi),從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡(luò)的傳輸效率,同時(shí),由于各虛擬網(wǎng)之間不能直接進(jìn)行通訊,而必須通過(guò)路由器轉(zhuǎn),為高級(jí)的安全控制提供了可能,增強(qiáng)了網(wǎng)絡(luò)的安全性,也給管理帶來(lái)了極大的方便性。特別是核心業(yè)務(wù)和重要部門(mén)根據(jù)安全的需要?jiǎng)澇闪瞬煌奶摂M網(wǎng),采用完全隔離或者相對(duì)隔離的措施,保證了核心業(yè)務(wù)和重要部門(mén)的安全性。
2)對(duì)企業(yè)網(wǎng)絡(luò)的物理線路進(jìn)行規(guī)范化管理。按照區(qū)域、樓層、配線間、房間、具置規(guī)范化管理編號(hào)的原則,把所有的網(wǎng)絡(luò)線路編號(hào),套上清晰的線標(biāo),配置可網(wǎng)管的交換機(jī)。同時(shí)對(duì)交換機(jī)、配線架、電腦等設(shè)備的物理配置、存放的具置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎(chǔ)數(shù)據(jù)進(jìn)行詳細(xì)的登記,同時(shí)還對(duì)IP地址進(jìn)行統(tǒng)一管理,把電腦的IP地址、MAC地址、使用人和各種基礎(chǔ)數(shù)據(jù)進(jìn)行關(guān)聯(lián),當(dāng)網(wǎng)絡(luò)或者電腦發(fā)生故障時(shí),網(wǎng)管們能夠通過(guò)基礎(chǔ)數(shù)據(jù)管理系統(tǒng)實(shí)現(xiàn)快速定位、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率。
3)部署桌面安全管理系統(tǒng)。企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個(gè)面向IT領(lǐng)域建設(shè)的專(zhuān)業(yè)安全解決方案。它采用集成化網(wǎng)絡(luò)安全防衛(wèi)體系,通過(guò)多種技術(shù)手段的融合幫助整個(gè)企業(yè)有效達(dá)成在物理訪問(wèn)、鏈路傳輸、操作系統(tǒng)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)保護(hù)、網(wǎng)間訪問(wèn)和人員管理等方面的安全策略制定、自動(dòng)分發(fā)和自動(dòng)實(shí)現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個(gè)終端用戶提供透明但高度個(gè)性化安全保證的前提下真正提高組織的動(dòng)作效率和管理水平。終端安全管理是基礎(chǔ),它解決了終端計(jì)算機(jī)經(jīng)常為病毒、木馬困擾的問(wèn)題,幫助管理員智能安裝系統(tǒng)與應(yīng)用補(bǔ)丁,提供一系列的終端維護(hù)工具與管理工具,使管理員做到對(duì)于終端的“中央集權(quán)管理與控制”。
4)部署防病毒系統(tǒng)。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過(guò)部署一套專(zhuān)業(yè)防病毒系統(tǒng)是最有效的解決辦法。防毒系統(tǒng)內(nèi)嵌病毒掃描和清除、個(gè)人防火墻、安全風(fēng)險(xiǎn)檢測(cè)與刪除,可以檢測(cè)、隔離、刪除和消除或修復(fù)間諜軟件、廣告軟件、撥號(hào)程序、黑客工具、玩笑程序等多種安全風(fēng)險(xiǎn)造成的負(fù)面影響。通過(guò)防毒系統(tǒng)中心控制臺(tái)可以集中管理客戶端,統(tǒng)一部署防護(hù)策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類(lèi)及查殺情況,可以控制客戶端集中或單獨(dú)清除病毒。另外,還可以通過(guò)病毒隔離區(qū)控制臺(tái),追蹤病毒傳播情況,快速找到病毒源,在第一時(shí)間對(duì)中毒的電腦進(jìn)行有效的殺毒和隔離。
5)部署網(wǎng)絡(luò)管理系統(tǒng)。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大,交換機(jī)、服務(wù)器的數(shù)量也逐漸增多,如何管理監(jiān)控重點(diǎn)設(shè)備、服務(wù)器的運(yùn)行情況,不是一件容易的事。為此部署一套網(wǎng)絡(luò)管理系統(tǒng),可對(duì)網(wǎng)絡(luò)、系統(tǒng)以及應(yīng)用進(jìn)行全面的監(jiān)視。它可以提供完整的故障管理和性能管理功能,能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)主動(dòng)監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和服務(wù)器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫(kù)中。通過(guò)綜合控制臺(tái)可實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器、URL、UPS無(wú)線設(shè)備以及打印機(jī)等性能的監(jiān)視,不僅提供了網(wǎng)絡(luò)設(shè)備的多種視圖,而且將收集的信息以豐富的圖、報(bào)表形式呈現(xiàn)給操作者。
6)部署安全管理系統(tǒng)(SOC)。為了讓管理人員能夠?qū)崟r(shí)了解網(wǎng)絡(luò)中動(dòng)態(tài)和事件,滿足不斷變化的網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用程序、應(yīng)用服務(wù)、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、機(jī)房環(huán)境等發(fā)生的故障、超閥值行為、安全事件統(tǒng)稱(chēng)為網(wǎng)絡(luò)安全問(wèn)題)的要求,需要有一套專(zhuān)門(mén)的安全管理系統(tǒng)來(lái)完成。網(wǎng)絡(luò)管理系統(tǒng)是從事件驅(qū)動(dòng)的目的出發(fā)強(qiáng)調(diào)系統(tǒng)運(yùn)維、系統(tǒng)故障處理和加強(qiáng)網(wǎng)絡(luò)的性能三個(gè)方面的內(nèi)容。與網(wǎng)絡(luò)管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對(duì)威脅的管理,它的側(cè)重點(diǎn)關(guān)注在三個(gè)層次上:資產(chǎn)層面,關(guān)注安全威脅對(duì)業(yè)務(wù)及資產(chǎn)的影響;威脅層面了解哪些威脅會(huì)影響業(yè)務(wù)及資產(chǎn);防護(hù)措施層面怎樣防護(hù)威脅,保護(hù)業(yè)務(wù)及資產(chǎn)。一句話概括,就是安全管理是從保護(hù)業(yè)務(wù)及資產(chǎn)的層面進(jìn)行的風(fēng)險(xiǎn)管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴(yán)重干擾了郵件收發(fā)的正常工作。為了解決垃圾郵件問(wèn)題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個(gè)活躍的電子郵件帳戶每天處理兩千五百萬(wàn)封電子郵件。
8)對(duì)重要資料進(jìn)行備份。在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對(duì)用戶的重要性越來(lái)越大,實(shí)際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊,用戶的一次錯(cuò)誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對(duì)性的災(zāi)難可能對(duì)用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全,必須對(duì)重要資料進(jìn)行備份,以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失。對(duì)數(shù)據(jù)的保護(hù)來(lái)說(shuō),選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件,可以較為全面地保護(hù)數(shù)據(jù)的安全。
9)密鑰管理。在現(xiàn)實(shí)中,入侵者攻擊Intranet目標(biāo)的時(shí)候,90%會(huì)把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠(yuǎn)端主機(jī)名”找出主機(jī)上的用戶賬號(hào),然后用字典窮舉法進(jìn)行攻擊。這個(gè)破譯過(guò)程是由程序來(lái)完成的。大概十幾個(gè)小時(shí)就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會(huì)仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞,伺機(jī)奪取目標(biāo)中存放口令的文件 shadow或者passwd。然后用專(zhuān)用的破解DES加密算法的程序來(lái)解析口令。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長(zhǎng);不要選取顯而易見(jiàn)的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時(shí)應(yīng)在無(wú)人的情況下進(jìn)行;口令中最好要有大小寫(xiě)字母、字符、數(shù)字;定期改變自己的口令;定期用破解口令程序來(lái)檢測(cè)shadow文件是否安全。沒(méi)有規(guī)律的口令具有較好的安全性。
4 結(jié)束語(yǔ)
當(dāng)然為了更好地解決內(nèi)網(wǎng)的安全問(wèn)題,需要有更為開(kāi)闊的思路看待內(nèi)網(wǎng)的安全問(wèn)題。七分管理,三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會(huì)有最大的保障。
參考文獻(xiàn):
關(guān)鍵詞局域網(wǎng);信息安全
中圖分類(lèi)號(hào)TP393文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào)1673-9671-(2010)042-0026-01
0引言
企業(yè)局域網(wǎng)是指局在企業(yè)范圍內(nèi)由通過(guò)網(wǎng)絡(luò)設(shè)備和通信線路連接起來(lái)由多臺(tái)計(jì)算機(jī)。企業(yè)局域網(wǎng)是自治的計(jì)算機(jī)網(wǎng)絡(luò),一般只對(duì)企業(yè)內(nèi)部提供資源共享、信息傳遞功能,實(shí)現(xiàn)電子郵件、內(nèi)部網(wǎng)站、企業(yè)辦公自動(dòng)化等應(yīng)用。
近年來(lái)我國(guó)企業(yè)信息化發(fā)展迅速,企業(yè)局域網(wǎng)作為信息化的基礎(chǔ)更是得到普遍應(yīng)用,有中小企業(yè)的幾臺(tái)計(jì)算機(jī)簡(jiǎn)單聯(lián)接,也有大型企業(yè)在全國(guó)乃至全球范圍內(nèi)通過(guò)通信專(zhuān)線或虛擬專(zhuān)用網(wǎng)(VPN)實(shí)現(xiàn)的成千上萬(wàn)臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)。雖然企業(yè)局域網(wǎng)在規(guī)模和實(shí)現(xiàn)技術(shù)上差異很大,但其面向企業(yè)內(nèi)部提供信息服務(wù)的功能是一致的。
1信息安全的主要內(nèi)容和目標(biāo)
信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而找到破壞、更改或泄漏,信息網(wǎng)絡(luò)服務(wù)不中斷的可靠運(yùn)行。信息安全的實(shí)現(xiàn)包含三個(gè)層次:①物理安全層次,包括機(jī)房,線路,主機(jī)等的實(shí)體安全,如防盜防火;②網(wǎng)絡(luò)安全層次,主要是網(wǎng)絡(luò)的安全暢通和保密;③應(yīng)用安全層次,各類(lèi)服務(wù)應(yīng)用的安全可用。
信息安全目標(biāo)就是保證信息網(wǎng)絡(luò)的安全可用,具體來(lái)看則包括以下幾點(diǎn):①信息來(lái)源真實(shí)性,能對(duì)信息來(lái)源進(jìn)行鑒別,能夠判斷偽造信息來(lái)源;②信息安全保密性,保證機(jī)密信息不被泄漏;③信息數(shù)據(jù)完整性,保證信息數(shù)據(jù)的一致性,防止非法篡改;④信息服務(wù)可用性,保證信息、資源或服務(wù)能為合法用戶連續(xù)正常使用;⑤防抵賴(lài)性,使用戶不能否認(rèn)其行為,這點(diǎn)在電子商務(wù)中尤其重要;⑥信息可控性,能夠有效控制信息的內(nèi)容和傳播;⑦可審查性,出現(xiàn)信息安全問(wèn)題時(shí)能提供調(diào)查依據(jù)和手段。
2企業(yè)局域網(wǎng)信息安全風(fēng)險(xiǎn)
隨著企業(yè)局域網(wǎng)應(yīng)用的增加,很大的提高了企業(yè)的生產(chǎn)率,同時(shí)企業(yè)對(duì)局域網(wǎng)的依賴(lài)也越來(lái)越強(qiáng)。很多企業(yè)局域網(wǎng)一旦中斷,整個(gè)業(yè)務(wù)都將陷入癱瘓。實(shí)際使用中企業(yè)局域網(wǎng)信息安全面臨著多種多樣的挑戰(zhàn),主要的安全風(fēng)險(xiǎn)可以歸結(jié)為以下幾類(lèi):
1)主動(dòng)網(wǎng)絡(luò)攻擊。來(lái)自對(duì)企業(yè)有惡意的實(shí)體對(duì)企業(yè)局域網(wǎng)發(fā)動(dòng)的主動(dòng)的網(wǎng)絡(luò)攻擊。惡意的實(shí)體包括有商業(yè)競(jìng)爭(zhēng)的對(duì)手公司,企業(yè)內(nèi)部有仇恨情緒的員工,甚至對(duì)企業(yè)持不滿態(tài)度的顧客等,出于獲得不當(dāng)利益或報(bào)復(fù)情緒都可能對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與竊密。另外還有一類(lèi)可能本身與企業(yè)沒(méi)有直接利益關(guān)系的群體,他們?cè)噲D通過(guò)對(duì)企業(yè)局域網(wǎng)的入侵或攻擊來(lái)證明其個(gè)人價(jià)值、使用企業(yè)內(nèi)部信息牟取非法利益更或者通過(guò)攻擊企業(yè)局域網(wǎng)進(jìn)行網(wǎng)絡(luò)敲詐。
2)病毒木馬的擴(kuò)散。如今的計(jì)算機(jī)網(wǎng)絡(luò)世界,病毒和木馬泛濫,每一天都會(huì)有成千上百種病毒或者木馬產(chǎn)生。而在很多企業(yè)局域網(wǎng)中,安全技術(shù)力量不足,信息安全管理松散、員工安全意識(shí)淡薄等問(wèn)題廣泛存。隨著企業(yè)局域網(wǎng)與網(wǎng)外數(shù)據(jù)交流聯(lián)系日益緊密,病毒木馬更容易在企業(yè)局域網(wǎng)內(nèi)傳播并造成危害,嚴(yán)重時(shí)甚至有可能造成整個(gè)企業(yè)網(wǎng)絡(luò)的中斷,導(dǎo)致企業(yè)業(yè)務(wù)不可用。病毒木馬擴(kuò)散類(lèi)安全風(fēng)險(xiǎn),危害方式多種多樣、技術(shù)特性發(fā)展變化迅速、危害多發(fā)易發(fā)、后果可輕可重。
3)非技術(shù)安全風(fēng)險(xiǎn)。非技術(shù)安全風(fēng)險(xiǎn)是指諸如員工誤操作、偶然事故等造成的企業(yè)局域網(wǎng)信息安全風(fēng)險(xiǎn)。由于目前企業(yè)員工普遍存在安全知識(shí)缺乏、安全意識(shí)薄弱、偶爾操作過(guò)程不夠謹(jǐn)慎仔細(xì),很可能造成誤操作或信息泄漏。偶然事故類(lèi)則包含軟硬件設(shè)施的偶然故障,電力供應(yīng)中斷,網(wǎng)絡(luò)服務(wù)線路故障等等。
3企業(yè)局域網(wǎng)安全解決方案
企業(yè)局域網(wǎng)安全技術(shù)是應(yīng)對(duì)企業(yè)局域網(wǎng)面臨信息安全的風(fēng)險(xiǎn)發(fā)展起來(lái)多種技術(shù),可以采用以下方案應(yīng)對(duì)網(wǎng)絡(luò)安全:
1)邊界安全防護(hù)技術(shù)。應(yīng)用于企業(yè)局域網(wǎng)邊界進(jìn)行保護(hù)的安全技術(shù),用于阻止來(lái)自外部網(wǎng)路的各種主動(dòng)。包含防火墻、入侵檢測(cè)、應(yīng)用網(wǎng)關(guān)、防非法外連接、邏輯隔離、物理隔離、信息過(guò)濾等技術(shù)。
2)防火墻技術(shù)。防火墻是目前局域網(wǎng)信息安全最主要的手段之一,是一種計(jì)算機(jī)硬件和軟件相結(jié)合的技術(shù),該技術(shù)通過(guò)監(jiān)測(cè)、限制,更改跨越防火墻的數(shù)據(jù)流,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。
3)入侵檢測(cè)技術(shù)。入侵檢測(cè)(Intrusion Detection)是對(duì)局域網(wǎng)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)信息,檢查網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的情況。入侵檢測(cè)是一種主動(dòng)安全防護(hù)技術(shù),提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),是防火墻之后的第二道安全閘門(mén)。
4)安全審計(jì)技術(shù)。安全審計(jì)技術(shù)及時(shí)發(fā)現(xiàn)并記錄各種與安全事件有關(guān)的行為,根據(jù)安全策略,對(duì)發(fā)現(xiàn)的安全事件作出處理。為企業(yè)局域網(wǎng)運(yùn)行過(guò)程中,提供審計(jì)支持。
5)容災(zāi)容錯(cuò)技術(shù)。通過(guò)對(duì)重點(diǎn)網(wǎng)絡(luò)設(shè)備、重要數(shù)據(jù)或應(yīng)用的進(jìn)行資源冗余與備份,確保信息系統(tǒng)不間斷運(yùn)行和對(duì)故障的快速處理和恢復(fù)。主要有熱備份,網(wǎng)絡(luò)復(fù)用等技術(shù)。
6)網(wǎng)絡(luò)監(jiān)控技術(shù),是實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備運(yùn)行情況進(jìn)行監(jiān)視和控制,針對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行情況、計(jì)算活動(dòng)情況進(jìn)行監(jiān)視和管理,確保網(wǎng)絡(luò)資源的正常合法使用,并針對(duì)異常情況及時(shí)干預(yù)的技術(shù)。
7)數(shù)據(jù)加密技術(shù)。加密技術(shù)是是最常用的安全保密手段,即按照一定算法將重要的數(shù)據(jù)變?yōu)閬y碼(加密)進(jìn)行保存或傳送,使用數(shù)據(jù)時(shí)再用相同或不同的手段還原(解密)的技術(shù)。加密技術(shù)的兩個(gè)要素是算法和密鑰。加密技術(shù)分為對(duì)稱(chēng)加密技術(shù)(加密和解密密鑰相同)、非對(duì)稱(chēng)加密技術(shù)(加密和解密密鑰不同)兩種。
8)身份鑒別技術(shù)。確認(rèn)實(shí)體身份真實(shí)性的技術(shù)。鑒別技術(shù)分為三種:掌握信息鑒別,如口令鑒別等;生物特征鑒別,如指紋識(shí)別等;擁有物品鑒別,如口令卡、數(shù)字證書(shū)等。
9)訪問(wèn)控制技術(shù)。通過(guò)對(duì)主體的資源訪問(wèn)進(jìn)行控制實(shí)現(xiàn)信息安全的技術(shù)。主要訪問(wèn)控制技術(shù)有:自主訪問(wèn)控制(DAC)、強(qiáng)制訪問(wèn)控制(MAC)、基于角色的訪問(wèn)控制(RBAC)。
10)安全管理技術(shù)。只從企業(yè)局域網(wǎng)的設(shè)計(jì)、建設(shè)、使用過(guò)程中圍繞網(wǎng)絡(luò)安全采用的管理手段。尤其是在使用過(guò)程中的安全管理計(jì)劃設(shè)置、管理機(jī)構(gòu)和人員配備、各種必要的規(guī)章制度、人員的審查與管理、人員培訓(xùn)、考核與操作管理、安全系統(tǒng)分等級(jí)管理更是企業(yè)局域網(wǎng)安全實(shí)現(xiàn)的必須條件。
4結(jié)束語(yǔ)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)局域網(wǎng)的應(yīng)用將更加廣泛,同時(shí)所面臨的安全風(fēng)險(xiǎn)也越來(lái)越大。只有重視企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全、采用先進(jìn)網(wǎng)絡(luò)安全技術(shù)、加強(qiáng)網(wǎng)絡(luò)安全管理才能發(fā)揮企業(yè)局域網(wǎng)的作用。
參考文獻(xiàn)
[1]卜麗芳,鄧曉衡.網(wǎng)絡(luò)信息安全與防范.常德,科技通訊,2009.
[2]陳樹(shù)平.網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與防火墻技術(shù)探討.邯鄲:信息技術(shù),2009.
[3]羅繼海.淺析企業(yè)信息系統(tǒng)的安全與防范措施.南寧:企業(yè)技術(shù)開(kāi)發(fā),2009,10.
關(guān)鍵詞:計(jì)算機(jī)信息化 網(wǎng)絡(luò) 安全 中小企業(yè) 管理 防范
1 概述
網(wǎng)絡(luò)安全伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)已經(jīng)成為了一個(gè)伴隨每個(gè)網(wǎng)絡(luò)用戶永恒的問(wèn)題。黑客們長(zhǎng)期以來(lái)不斷的分析系統(tǒng)和應(yīng)用系統(tǒng),以更多的發(fā)現(xiàn)系統(tǒng)存在的漏洞,并通過(guò)編寫(xiě)相應(yīng)的腳本對(duì)其加以利用。安全廠商面對(duì)這些不斷發(fā)展安全威脅,也不斷的推出了新的安全防范技術(shù)和產(chǎn)品,如:防火墻、入侵檢測(cè)防御系統(tǒng)、殺毒軟件、反間諜軟件以及過(guò)濾內(nèi)容和垃圾郵件等產(chǎn)品。此后,各個(gè)網(wǎng)絡(luò)用戶跟隨著安全廠商的步伐不斷的將這些安全產(chǎn)品疊加到自身的網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器和工作站上。但與此同時(shí)需要網(wǎng)絡(luò)用戶解決的還有很多問(wèn)題,如:為了充分發(fā)揮他們的作用,如何建立一個(gè)有效的安全防范策略以及如何妥善管理這些設(shè)備并且如何計(jì)算安全防范的投資回報(bào)率等。
我們必須承認(rèn),中小企業(yè)在網(wǎng)絡(luò)安全方面的認(rèn)識(shí)、投入和實(shí)施的案值相對(duì)以前的防范措施都有了很大的進(jìn)步。但是相比以前,是否目前的中小企業(yè)網(wǎng)絡(luò)就更加安全呢?但是針對(duì)這個(gè)問(wèn)題,由于網(wǎng)絡(luò)威脅隨著計(jì)算機(jī)的網(wǎng)絡(luò)發(fā)展而不斷的出現(xiàn),并且相對(duì)以前的攻擊手段更具有危險(xiǎn)性,因此,不可能有一個(gè)非常肯定的答案。并且從經(jīng)濟(jì)利益角度出發(fā)是目前黑客攻擊的一個(gè)重大目標(biāo),從而使得中小企業(yè)成為黑客們攻擊的目標(biāo)之一。即相對(duì)以前而言,目前中小企業(yè)面臨的安全風(fēng)險(xiǎn)更高。由于中小企業(yè)的網(wǎng)絡(luò)正朝著WEB應(yīng)用和SOA架構(gòu)的應(yīng)用方向發(fā)展,從而使得網(wǎng)絡(luò)相對(duì)以前更加復(fù)雜。因此,目前的計(jì)算機(jī)網(wǎng)絡(luò)僅有C/S和B/S結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性也增加了安全防范的復(fù)雜性和難度。因此,目前最需要解決的問(wèn)題就是如何構(gòu)建信息安全管理方案幫助中小企業(yè)更好的解決安全檢測(cè)、識(shí)別和安全防范等。
2 影響企業(yè)網(wǎng)絡(luò)安全的主要因素
企業(yè)網(wǎng)絡(luò)由局域網(wǎng)和廣域網(wǎng)組成,人和自然因素是影響網(wǎng)絡(luò)安全的主要因素。雷擊、水災(zāi)以及火災(zāi)和地震等因素屬于自然因素,而人為因素包括誤操作刪除數(shù)據(jù)的無(wú)意和故意破壞之分。人為故意破壞分為計(jì)算機(jī)病毒、黑客入侵、網(wǎng)絡(luò)竊聽(tīng)以及制造大量垃圾郵件等。
斯諾登泄密風(fēng)暴揭發(fā)香港網(wǎng)絡(luò)保安不堪一擊,風(fēng)暴過(guò)后復(fù)歸平靜,香港中小企業(yè)計(jì)算機(jī)保安水平低問(wèn)題依舊。專(zhuān)家指出,黑客近年喜以“僵尸”手法入侵盜取資料,有公司員工誤開(kāi)惡性電郵附件,計(jì)算機(jī)變成“僵尸”控亦懵然不知,最終令全公司計(jì)算機(jī)受感染。
香港警方坦言黑客難捉,科技罪案破案率不足20%。有中小企代表稱(chēng),公司計(jì)算機(jī)保安水平十年來(lái)毫無(wú)寸進(jìn),原因在于不覺(jué)數(shù)據(jù)被偷是致命傷,有閑錢(qián)不會(huì)優(yōu)先投放改進(jìn)計(jì)算機(jī)系統(tǒng)。學(xué)者指出,問(wèn)題根本在人身上,“并非門(mén)鎖不夠先進(jìn),而是你不懂把門(mén)好好關(guān)上!”
中小企業(yè)大多不重視網(wǎng)絡(luò)安全,而“僵尸網(wǎng)絡(luò)”是近年漸趨普遍的入侵方式,黑客在電郵附件中暗藏惡性軟件,公司內(nèi)部有人不慎開(kāi)啟,即令計(jì)算機(jī)受感染成為“僵尸計(jì)算機(jī)”,“中招”計(jì)算機(jī)自動(dòng)將IP地址傳回黑客的控制中心,令其用作監(jiān)測(cè)用戶的網(wǎng)上銀行活動(dòng)。黑客趁用戶登入時(shí),伺機(jī)改寫(xiě)網(wǎng)頁(yè)樣式,騙取用戶輸入敏感數(shù)據(jù),或改變交易的細(xì)節(jié),例如改變交易金額,或?qū)⒔痤~過(guò)數(shù)予第三者。
計(jì)算機(jī)之所以讓黑客有機(jī)可乘,往往由于同事疏于防范胡亂下載附件,令“僵尸”程序或病毒有機(jī)可乘,甚至連累全公司被感染而不自知。今年6月,香港計(jì)算機(jī)保安事故協(xié)調(diào)中心曾參與全球捉“僵尸”行動(dòng),與警方連手搗破兩個(gè)在港境內(nèi)控制中心,根據(jù)經(jīng)驗(yàn),香港受感染的“僵尸”計(jì)算機(jī)介乎200至700部之間。前六個(gè)月處理的622宗保安事故中,超過(guò)一半來(lái)自僵尸網(wǎng)絡(luò)及黑客入侵,數(shù)字較去年同期增加94%。有專(zhuān)家建議,除防毒軟件及聯(lián)網(wǎng)防火墻外,公司應(yīng)該為員工各自安裝個(gè)人防火墻,避免同事計(jì)算機(jī)在公司Local LAN(局部區(qū)域網(wǎng)絡(luò))內(nèi)互相攻擊。
3 中小企業(yè)應(yīng)當(dāng)建設(shè)一個(gè)整體網(wǎng)絡(luò)安全管理方案
只要給企業(yè)一個(gè)構(gòu)建安全管理方案的通用處理步驟和流程,每個(gè)企業(yè)都能為自己建立一個(gè)安全管理方案,因此,企業(yè)設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全管理方案并不困難。但是需要注意的是,建立的安全管理方案除了適合目前和以后的發(fā)展外,還應(yīng)當(dāng)適合企業(yè)最關(guān)心的投資回報(bào)率問(wèn)題。
目前很多中小企業(yè)針對(duì)安全投資回報(bào)率的問(wèn)題,不知道如何確定防火墻、UTM、IDS/IPS和內(nèi)容過(guò)濾以及監(jiān)控系統(tǒng)等開(kāi)支具體有多大。由于大部分的企業(yè)對(duì)于購(gòu)買(mǎi)的設(shè)備適應(yīng)什么樣的網(wǎng)絡(luò)結(jié)構(gòu)、具體功能是否滿足現(xiàn)在和以后的需求、目前企業(yè)存在哪些問(wèn)題以及企業(yè)需要什么功能的產(chǎn)品等都不了解,只是簡(jiǎn)單將最新產(chǎn)品以及功能最多的產(chǎn)品鏈接到自己的網(wǎng)絡(luò),認(rèn)為這樣就可以起到安全防護(hù)的效果了,網(wǎng)絡(luò)安全問(wèn)題便可以高枕無(wú)憂,因此在安全方面的投資,很多中小企業(yè)雖然常亮紅燈,但是卻得不到相應(yīng)的安全防范效果。實(shí)際上,使用恰當(dāng)?shù)募夹g(shù)以持續(xù)不斷的應(yīng)用到某個(gè)具體的對(duì)象上是安全防范的關(guān)鍵因素,安全防范作為一個(gè)具體的過(guò)程,而不是某種技術(shù)就能解決的。
安全管理涉及的方面很多,如配置管理、變更控制、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃、網(wǎng)絡(luò)安全、人力資源以及合理使用等。有些中小企業(yè)也許自己不能構(gòu)建一個(gè)全面的安全管理方案,但是為了達(dá)到與安全管理方案相同的效果,我們可以使用一種叫做信息安全和事件管理的現(xiàn)成產(chǎn)品。
但是SIEM產(chǎn)品目前只能解決中小企業(yè)安全防范過(guò)程中許多問(wèn)題的一小部分,甚至通過(guò)它中小企業(yè)根本取得不了任何安全防范效果。目前大部分的SIEM產(chǎn)品都是建立在關(guān)系型數(shù)據(jù)庫(kù)上,由于關(guān)系型數(shù)據(jù)庫(kù)不具有每天記錄上百萬(wàn)條甚至是上十億條安全事件的能力,因此,很大程度上嚴(yán)重影響了他們?cè)诋?dāng)今企業(yè)環(huán)境中應(yīng)用時(shí)的可擴(kuò)展性。由于購(gòu)買(mǎi)現(xiàn)成的SIEM產(chǎn)品需要額外花費(fèi)企業(yè)很多費(fèi)用,這對(duì)于處于危機(jī)時(shí)期的中小企業(yè)而言無(wú)疑成為一個(gè)不小的負(fù)擔(dān)。但是中小企業(yè)在完成網(wǎng)絡(luò)安全防范任務(wù)的時(shí)候,無(wú)論是使用自己制定的安全管理方案,還是使用現(xiàn)成的STEM產(chǎn)品,都能讓企業(yè)在安全防范過(guò)程中不再感到迷惑,并且更加容易實(shí)現(xiàn)安全管理的目標(biāo)。
4 企業(yè)信息安全新形勢(shì)
網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一,具有長(zhǎng)期性、復(fù)雜性和艱巨性的特點(diǎn)。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展,三網(wǎng)融合開(kāi)始實(shí)施操作,云計(jì)算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾,需求的個(gè)性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來(lái)了新的更大的挑戰(zhàn),行業(yè)中企業(yè)要進(jìn)一步提高對(duì)網(wǎng)絡(luò)信息安全重要性的認(rèn)識(shí),發(fā)展與管理并重,加強(qiáng)部門(mén)協(xié)調(diào)配合,加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)管理工作,加強(qiáng)網(wǎng)絡(luò)信息安全保障能力建設(shè),特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化,通過(guò)核心技術(shù)掌握自主知識(shí)產(chǎn)權(quán),加快發(fā)展自主可控的信息安全產(chǎn)業(yè),建設(shè)新時(shí)期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長(zhǎng)城。
從國(guó)際國(guó)內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā),應(yīng)對(duì)多種復(fù)雜的安全新問(wèn)題,應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù),并通過(guò)極主動(dòng)地建立網(wǎng)絡(luò)與信息安全的保障體系,技術(shù)和管理并重,加強(qiáng)立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊(duì)伍建設(shè)、人才培養(yǎng)、市場(chǎng)服務(wù)、宣傳教育等多方面的工作,通過(guò)產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個(gè)全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境,來(lái)共同改善全球的網(wǎng)絡(luò)與信息安全問(wèn)題。
5 結(jié)束語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)安全作為企業(yè)的一項(xiàng)十分重要的工作,應(yīng)當(dāng)引起高度的重視。在進(jìn)行網(wǎng)絡(luò)計(jì)算機(jī)操作之前,必須隨時(shí)做好網(wǎng)絡(luò)安全方面的防范工作。我們應(yīng)當(dāng)看到,動(dòng)態(tài)的企業(yè)網(wǎng)絡(luò)安全隨著病毒、安全技術(shù)以及黑客站點(diǎn)的每日劇增,網(wǎng)絡(luò)安全動(dòng)態(tài)的不斷更新,對(duì)網(wǎng)絡(luò)管理人員來(lái)講是一個(gè)巨大的挑戰(zhàn)。相信做一個(gè)好的信息安全解決方案是企業(yè)辦公網(wǎng)絡(luò)應(yīng)用的完美選擇。
參考文獻(xiàn):
[1]宋鈺,何小利,何先波,王偉黎.基于SNMP協(xié)議的入侵檢測(cè)系統(tǒng)[J].河北理工大學(xué)學(xué)報(bào)(自然科學(xué)版),2010(01).
[2]王步飛,顏景潤(rùn),任玉燦.現(xiàn)代信息技術(shù)與溫室環(huán)境因子控制[J].考試(教研版),2010(01).
[3]郭錫泉,羅偉其,姚國(guó)祥.多級(jí)反饋的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)[J].信息安全與通信保密,2010(01).
[4]鄢喜愛(ài),楊金民,常衛(wèi)東.基于蜜罐技術(shù)的計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)研究[J].微電子學(xué)與計(jì)算機(jī),2010(01).
關(guān)鍵詞:企業(yè);信息網(wǎng)絡(luò);安全體系;安全技術(shù)
大中型企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的骨干企業(yè),在國(guó)家經(jīng)濟(jì)發(fā)揮舉足輕重的作用,現(xiàn)代經(jīng)濟(jì)活動(dòng)離不開(kāi)信息和網(wǎng)絡(luò),大中型企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴(lài)性很強(qiáng),企業(yè)員工多、信息化互聯(lián)設(shè)備多、種類(lèi)多樣,企業(yè)的關(guān)鍵業(yè)務(wù)大多架構(gòu)在IT系統(tǒng)之上,網(wǎng)絡(luò)環(huán)境的穩(wěn)定性、安全性、高效性直接影響公司信息化應(yīng)用。目前,許多大中型企業(yè)提出了建立“數(shù)字化企業(yè)”的目標(biāo),在企業(yè)信息化建設(shè)中,信息安全問(wèn)題是必須要首先考慮的問(wèn)題,可見(jiàn),建立企業(yè)信息安全體系勢(shì)在必行。
1 企業(yè)信息網(wǎng)絡(luò)安全威脅及風(fēng)險(xiǎn)
近年來(lái),許多大中型企業(yè)十分重視信息網(wǎng)絡(luò)建設(shè)的應(yīng)用和開(kāi)發(fā),但是對(duì)于信息網(wǎng)絡(luò)安全的防護(hù)并沒(méi)有得到足夠重視。根據(jù)調(diào)研機(jī)構(gòu)的調(diào)查報(bào)告顯示,國(guó)內(nèi)企業(yè)中63%經(jīng)常遭受病毒或蠕蟲(chóng)攻擊,而41%的企業(yè)受到惡意間諜軟件或惡意軟件的威脅。主要體現(xiàn)在:病毒和蠕蟲(chóng)攻擊、黑客入侵、惡意攻擊、完整性破壞、網(wǎng)絡(luò)資源濫用、員工信息安全意識(shí)淡薄等。
目前企業(yè)面臨著網(wǎng)絡(luò)攻擊的“外部威脅”及內(nèi)部人員信息泄露的“內(nèi)部威脅”的雙重考驗(yàn),垃圾郵件、企業(yè)機(jī)密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊等問(wèn)題成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問(wèn)題,企業(yè)網(wǎng)絡(luò)環(huán)境日趨嚴(yán)峻。
2 企業(yè)網(wǎng)絡(luò)安全體系
大中型企業(yè)網(wǎng)絡(luò)面臨嚴(yán)峻的安全形勢(shì),迫使各企業(yè)意識(shí)到構(gòu)建完備安全體系的重要性,隨著網(wǎng)絡(luò)攻擊的多樣化,只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付各種各樣的攻擊,同時(shí)還要隨時(shí)注重操作系統(tǒng)、數(shù)據(jù)庫(kù)、軟硬件設(shè)備的安全性;企業(yè)安全體系建設(shè)不僅要有效抵御外網(wǎng)攻擊,而且要能防范可能來(lái)自?xún)?nèi)部的安全泄密等威脅。企業(yè)必須采用多層次的安全系統(tǒng)架構(gòu)才能保障企業(yè)網(wǎng)絡(luò)安全,最終建立一套以?xún)?nèi)外兼防為特征的企業(yè)安全保障體系。
企業(yè)信息網(wǎng)絡(luò)安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。
物理安全:物理安全主要是保護(hù)企業(yè)數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)介質(zhì)及其他物理實(shí)體設(shè)備的安全,提供一個(gè)安全可靠的物理運(yùn)行環(huán)境。
鏈路安全:數(shù)據(jù)鏈路層(第二協(xié)議層)的通信連接就安全而言,是較為薄弱的環(huán)節(jié)。目的是保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)和篡改。
網(wǎng)絡(luò)安全:網(wǎng)絡(luò)安全主要包括:通過(guò)防火墻隔離內(nèi)外網(wǎng)絡(luò),不同區(qū)域的訪問(wèn)控制,部署基于網(wǎng)絡(luò)的身份認(rèn)證及入侵檢測(cè)系統(tǒng)、VPN、網(wǎng)絡(luò)集中防病毒等手段實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的安全可靠。
系統(tǒng)安全:系統(tǒng)安全主要指數(shù)據(jù)庫(kù)、操作系統(tǒng)的安全保護(hù)。保證應(yīng)用系統(tǒng)的可靠性、完整性和高效性。
信息安全:主要通過(guò)數(shù)據(jù)加密、CA認(rèn)證、授權(quán)等手段保證信息處理、傳遞、存儲(chǔ)的保密性、完整性和可用性。
典型企業(yè)信息網(wǎng)絡(luò)安全管理體系拓?fù)浣Y(jié)構(gòu)如圖一所示:
3 信息安全體系設(shè)計(jì)原則
企業(yè)安全設(shè)計(jì)應(yīng)遵循如下原則:
3.1保密性:信息不能夠泄露給非授權(quán)用戶、實(shí)體或過(guò)程,或供其利用的特性。
3.2完整性:信息完整性是指信息在輸入和傳輸?shù)倪^(guò)程中,不被非法授權(quán)修改和破壞,保證數(shù)據(jù)的一致性。
3. 3可用性:保障授權(quán)用戶在需要時(shí)可以獲取信息并按要求使用的特性。
3.4可控性:對(duì)信息的處理、傳遞、存儲(chǔ)等具有控制能力。
信息安全就是要保障維護(hù)信息的機(jī)密性、完整性、可用性以及保障維護(hù)信息的真實(shí)性、可問(wèn)責(zé)性、不可抵賴(lài)性、可靠性、守法性。
4 企業(yè)網(wǎng)絡(luò)安全防范技術(shù)手段
目前企業(yè)信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有:
4.1防火墻系統(tǒng)
防火墻系統(tǒng)作為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必不可少的組成部分,用于防范來(lái)自外部interne非法用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的主動(dòng)威脅。防火墻系統(tǒng)搭建在內(nèi)部網(wǎng)絡(luò)與外部公共Internet網(wǎng)絡(luò)之間,通過(guò)合理配置訪問(wèn)控制策略,管理Internet和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。其主要功能包括訪問(wèn)控制、信息過(guò)濾、流量分析和監(jiān)控、阻斷非法數(shù)據(jù)傳輸?shù)取F髽I(yè)在外部攻擊的頻度和攻擊流量非常嚴(yán)重的情況下,建議配置專(zhuān)用的DDOS防火墻。
4.2入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱(chēng)“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種積極主動(dòng)的安全防護(hù)技術(shù),可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足,通過(guò)對(duì)來(lái)自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)未授權(quán)或異常現(xiàn)象以及各種可能的攻擊企圖,記錄有關(guān)事件,以便網(wǎng)管員及時(shí)采取防范措施,為事后分析提供依據(jù)的依據(jù)。
4.3漏洞掃描系統(tǒng)
企業(yè)內(nèi)部部署漏洞掃描系統(tǒng),不間斷地對(duì)企業(yè)工作站、服務(wù)器、防火墻、交換機(jī)等進(jìn)行安全檢查,提供記錄有關(guān)漏洞的詳細(xì)信息和最佳解決對(duì)策,協(xié)助網(wǎng)管員及時(shí)發(fā)現(xiàn)和堵絕漏洞、降低風(fēng)險(xiǎn),防患于未然。
4.4網(wǎng)頁(yè)防篡改系統(tǒng)
網(wǎng)頁(yè)防篡改系統(tǒng)主要是防止企業(yè)對(duì)外Web遭受黑客的篡改,保證企業(yè)外部網(wǎng)站的正常運(yùn)行。防篡改系統(tǒng)利用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù),將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù),不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁(yè)和腳本的實(shí)時(shí)檢測(cè)和恢復(fù),更可以保護(hù)數(shù)據(jù)庫(kù)中的動(dòng)態(tài)內(nèi)容免受來(lái)自于Web的攻擊和篡改,徹底解決網(wǎng)頁(yè)防篡改問(wèn)題。
4.5上網(wǎng)行為管理系統(tǒng)
上網(wǎng)行為管理系統(tǒng)主要部署在企業(yè)外部防火墻和內(nèi)部核心交換機(jī)之間,針對(duì)企業(yè)內(nèi)部員工訪問(wèn)Internet行為進(jìn)行集中管理與控制。其主要功能有:網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制(IM聊天、P2P下載、在線娛樂(lè)、炒股軟件、論壇發(fā)帖等)、帶寬管理、內(nèi)容審計(jì)(郵件收發(fā)、論壇發(fā)帖、FTP、HTTP文件傳輸?shù)龋⒂脩艄芾怼⑷罩竟芾淼裙δ堋?/p>
4.6內(nèi)網(wǎng)安全管理平臺(tái)
據(jù)FBI/CSI中國(guó)CNISTEC調(diào)查報(bào)告:來(lái)自企業(yè)外部威脅占20%,內(nèi)部威脅高達(dá)80%。針對(duì)大型企業(yè)日益復(fù)雜的內(nèi)部網(wǎng)絡(luò)環(huán)境以及基于企業(yè)保密管理的需求,必須構(gòu)造一套內(nèi)網(wǎng)安全管理平臺(tái),規(guī)范和管理內(nèi)部網(wǎng)絡(luò)環(huán)境,提高內(nèi)部網(wǎng)絡(luò)資源的可控性。其功能應(yīng)包括:用戶認(rèn)證與授權(quán)、IP與MAC綁定、網(wǎng)絡(luò)監(jiān)控、桌面監(jiān)控、安全域管理、 存儲(chǔ)介質(zhì)管理、補(bǔ)丁分發(fā)、文檔安全管理、資產(chǎn)管理、日志報(bào)表管理等。
4.7企業(yè)集中防病毒系統(tǒng)
在病毒肆虐的時(shí)代,反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán),企業(yè)網(wǎng)絡(luò)情況比較復(fù)雜,由于員工計(jì)算機(jī)水平大多不高,構(gòu)造一套完整的企業(yè)集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺(tái),可以強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和統(tǒng)一管理策略,并且使企業(yè)員工電腦的病毒庫(kù)及時(shí)得到更新,增強(qiáng)病毒防護(hù)有效性,降低病毒對(duì)安全帶來(lái)的威脅。
集中防病毒系統(tǒng)應(yīng)具有:集中管控、遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、分布查殺等多種功能。
4.8建立健全企業(yè)安全管理組織體系及制度,加強(qiáng)企業(yè)信息安全意識(shí)
企業(yè)在建設(shè)信息網(wǎng)絡(luò)安全建設(shè)技術(shù)手段的同時(shí),更需要考慮管理的安全性,不斷完善企業(yè)信息安全制度。通過(guò)培訓(xùn),增強(qiáng)每個(gè)員工的安全意識(shí),為大中型企業(yè)信息安全管理奠定基礎(chǔ)。
隨著信息技術(shù)的發(fā)展,企業(yè)無(wú)線接入、電子商務(wù)交易、數(shù)字簽名、數(shù)字證書(shū)等安全管理也應(yīng)逐步納入企業(yè)信息安全體系范疇。
五、 結(jié)束語(yǔ)
目前,大中型企業(yè)信息進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì),針對(duì)各種網(wǎng)絡(luò)應(yīng)用的攻擊和破壞方式也變得異常頻繁,信息化發(fā)展而來(lái)的網(wǎng)絡(luò)安全問(wèn)題日漸突出,網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類(lèi)共同面臨的挑戰(zhàn),同時(shí),網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程,涉及人員、硬軟件設(shè)備、資金、制度等因素,沒(méi)有絕對(duì)可靠的安全技術(shù),科學(xué)有效的管理可以彌補(bǔ)技術(shù)安全漏洞的缺陷。
參考文獻(xiàn):
[1]向宏,傅鸝,詹榜華 著 信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估 電子工業(yè)出版社 2009-01
[2]謝宗曉,郭立生 著 信息安全管理體系應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社 2008-10
