時間:2022-12-16 14:47:04
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)網(wǎng)絡(luò)安全,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;建設(shè)原則
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-7712 (2012) 12-0114-01
計算機系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟損失,并嚴(yán)重影響正常工作的順利開展。加強企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計,防火墻應(yīng)用等,重點針對企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題,作了個介紹。對有關(guān)安全問題方面模塊的劃分,解決的方案與具體實現(xiàn)等部分.
一、網(wǎng)絡(luò)威脅、風(fēng)險分析
隨著通訊技術(shù)和計算機技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步成為當(dāng)今社會發(fā)展的一個主題,其改變著人們的工作方式和生活方式。網(wǎng)絡(luò)的互連性,開放性,共享性程度的擴大,然而網(wǎng)絡(luò)的重要性和對社會的影響也越來越大主要是Internet的出現(xiàn)。隨著數(shù)字貨幣,電子現(xiàn)金,電子商務(wù)和政府上網(wǎng)以及網(wǎng)絡(luò)銀行等網(wǎng)絡(luò)行為的出現(xiàn),網(wǎng)絡(luò)安全的問題變得越來越重要。
(一)其他網(wǎng)絡(luò)的攻擊
據(jù)數(shù)據(jù)統(tǒng)計,在美國網(wǎng)絡(luò)中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網(wǎng)絡(luò)業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報告,計算機病毒事件在1999年計算機安全問題上排名第一位,然而與計算機病毒相關(guān)的黑客問題也在其中占有相當(dāng)大的比例。從科研人員的分析結(jié)果科研看出計算機病毒的表現(xiàn)有以下新特點:
當(dāng)今社會電子郵件已經(jīng)成為計算機病毒傳播的主要媒介,它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播,事實上,有一些電子郵件病毒根本就沒有附件,因為它本身就是一個HTML。在不久前出現(xiàn)的許多的計算機病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動打開HTML格式的郵件,那么該計算機病毒就會立刻感染用戶的系統(tǒng)。
近年來由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計算機病毒種類,比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁等黑客程序。其種類、數(shù)量正在迅速激增。同時,根據(jù)最新數(shù)據(jù)統(tǒng)計計算機病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過40種新計算機病毒出現(xiàn),因此每年的新型計算機病毒就有就有1.2萬種左右出現(xiàn),這樣的數(shù)目超過了截至1997年為止世界上計算機病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對掌上電腦和手機的計算機病毒。
計算機病毒造成的破壞日益嚴(yán)重。2000年5月“I Love You”情書病毒的影響,全球的損失預(yù)計已經(jīng)高達(dá)100億美元,而受CIH計算機病毒在全球造成的損失據(jù)估計已超過10億美元。對于行業(yè)的用戶當(dāng)系統(tǒng)每死機一小時其損失都在650萬美元以上,其包括電視機構(gòu)、證券公司、國際航運公司、信用卡公司和郵購公司在內(nèi),然而對于Internet公司,尚無人能統(tǒng)計其損失的金額。
(二)管理及操作人員缺乏安全知識
我們認(rèn)為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓(xùn)、事后的安全審計、安全策略制定、安全策略架構(gòu)的實施、企業(yè)系統(tǒng)風(fēng)險評估、安全架構(gòu)制定等部分有機結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個方面和層次上部署相應(yīng)安全產(chǎn)品的工具。
現(xiàn)代計算機網(wǎng)絡(luò)要加強系統(tǒng)的總體安全級別,必須從應(yīng)用業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、計算機操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因為安全隱患會隱藏在系統(tǒng)的各個角落,使用人員應(yīng)該考慮安全意識等各個層面統(tǒng)籌。木筒裝水的多少決定于最矮的木板,然而系統(tǒng)的總體安全級別就象裝在木筒中的水,系統(tǒng)安全級別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對系統(tǒng)安全管理應(yīng)該是多方面的、多層次的,要從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)各個方面來提高系統(tǒng)的安全級別,還要把原來通過管理規(guī)定由使用人員自覺維護的安全規(guī)則用系統(tǒng)來自動實現(xiàn),來加強系統(tǒng)的總體安全性。
二、網(wǎng)絡(luò)安全總體設(shè)計
據(jù)統(tǒng)計,在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設(shè)置安裝。然而對于系統(tǒng)安全的維護和管理需要各種層次的系統(tǒng)和安全專家才能完成。如果沒有專業(yè)人員的介入,根據(jù)實際情況對安全管理產(chǎn)品進行詳細(xì)地配置,對于企業(yè)的策略進行設(shè)計和安全管理規(guī)范,就算功能再強大的安全產(chǎn)品也會達(dá)不到非常好的安全防護作用。
三、安全系統(tǒng)的建設(shè)原則
“使入侵者花費不可接受的金錢與時間,并且承受非常高的風(fēng)險才可以闖入的系統(tǒng)叫做安全系統(tǒng)。我們認(rèn)為,絕對安全與可靠的信息系統(tǒng)并不存在。然而安全性的增加通常會導(dǎo)致企業(yè)費用的增長,這些費用包括系統(tǒng)復(fù)雜性增加、系統(tǒng)性能下降、操作與維護成本增加和系統(tǒng)可用性降低等等。安全不是目的而是一個過程。威脅與弱點會隨時間變化。然而安全的努力依賴于許多因素,例如新業(yè)務(wù)應(yīng)用的實施、職員的調(diào)整、安全漏洞和新攻擊技術(shù)與工具的導(dǎo)入。
參考文獻(xiàn):
[1]張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003
[2]高永強,郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社,2003
保護企業(yè)網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及數(shù)據(jù)不遭受破壞、更改、泄露,信息系統(tǒng)連續(xù)可靠地運行是企業(yè)網(wǎng)絡(luò)安全的基本要求。企業(yè)網(wǎng)絡(luò)安全分為物理安全和邏輯安全,邏輯安全是對信息的保密性、完整性和可用性的保護。物理安全是對計算機系統(tǒng)、通信系統(tǒng)、存儲系統(tǒng)和人員采取安全措施以確保信息不會丟失、泄漏等。目前企業(yè)網(wǎng)絡(luò)中缺乏專門的安全管理人員,網(wǎng)絡(luò)信息化管理制度也不健全,導(dǎo)致了部分人為因素引發(fā)的企業(yè)網(wǎng)絡(luò)安全事故。因此企業(yè)網(wǎng)絡(luò)安全必須從技術(shù)和管理兩個方面進行。
2企業(yè)網(wǎng)絡(luò)安全所面臨的威脅
企業(yè)網(wǎng)絡(luò)安全所面臨的威脅除了技術(shù)方面的因素外,還有一部分是管理不善引起的。企業(yè)網(wǎng)絡(luò)安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關(guān)的管理制度
俗話說“三分技術(shù),七分管理”,管理是企業(yè)信息化中重要的組成部分。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業(yè)網(wǎng)絡(luò)安全的風(fēng)險,給企業(yè)網(wǎng)絡(luò)造成安全事故。由于大部分企業(yè)沒有專門的網(wǎng)絡(luò)安全管理人員,相關(guān)的網(wǎng)絡(luò)管理制度也不完善,實際運行過程中沒有嚴(yán)格要求按照企業(yè)的網(wǎng)絡(luò)安全管理制度執(zhí)行。以至于部分企業(yè)選用了最先進的網(wǎng)絡(luò)安全設(shè)備,但是其管理員賬號一直使用默認(rèn)的賬號,密碼使用簡單的容易被猜中的密碼,甚至就是默認(rèn)的密碼。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關(guān)條款進行操作,給系統(tǒng)留下巨大的安全隱患,導(dǎo)致安全事故發(fā)生。
2.2技術(shù)因素導(dǎo)致的主要安全威脅
企業(yè)網(wǎng)絡(luò)應(yīng)用是架構(gòu)在現(xiàn)有的網(wǎng)絡(luò)信息技術(shù)基礎(chǔ)之上,對技術(shù)的依賴程度非常高,因此不可避免的會有網(wǎng)絡(luò)信息技術(shù)的缺陷引發(fā)相關(guān)的安全問題,主要表現(xiàn)在以下幾個方面。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質(zhì)中,當(dāng)條件滿足時就會被激活。企業(yè)網(wǎng)絡(luò)中的計算機一旦感染病毒,會迅速通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播,可能導(dǎo)致整個企業(yè)網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)嚴(yán)重丟失。
2.2.2軟件系統(tǒng)漏洞
軟件的安全漏洞會被一些別有用心的用戶利用,使軟件執(zhí)行一些被精心設(shè)計的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取,從而引發(fā)安全事故。
3企業(yè)網(wǎng)絡(luò)安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護制度,結(jié)合企業(yè)自身的信息系統(tǒng)建設(shè)和應(yīng)用的進程,統(tǒng)籌規(guī)劃,分步實施。做好安全風(fēng)險的評估、建立信息安全防護體系、根據(jù)信息安全策略制定管理制度、提高安全管理水平。企業(yè)內(nèi)部的用戶行為約束必須通過嚴(yán)格的管理制度進行規(guī)范。同時建立安全事件應(yīng)急響應(yīng)機制。配備專門的網(wǎng)絡(luò)安全管理員,負(fù)責(zé)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全事務(wù)。及時根據(jù)企業(yè)網(wǎng)絡(luò)的動向,建立以預(yù)防為主,事后補救為輔的安全策略。細(xì)化安全管理員工作細(xì)則,如日常操作系統(tǒng)維護、漏洞檢測及修補、應(yīng)用系統(tǒng)的安全補丁、病毒防治等工作,并建立工作日志。并對系統(tǒng)記錄文件進行存檔管理。良好的日志和存檔管理,可以為預(yù)測攻擊,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持。
3.2防病毒技術(shù)
就目前企業(yè)網(wǎng)絡(luò)安全的情況來看,網(wǎng)絡(luò)安全管理員主要是做好網(wǎng)絡(luò)防病毒的工作,主流的技術(shù)有分布式殺毒技術(shù)、數(shù)字免疫系統(tǒng)技術(shù)、主動內(nèi)核技術(shù)等幾種。企業(yè)需要根據(jù)自身的實際情況,靈活選用,確保殺毒機制的有效運行。
3.3系統(tǒng)漏洞修補
現(xiàn)代軟件規(guī)模越來越大,功能越來越多,其中隱藏的系統(tǒng)漏洞也可能越來越多。不僅僅是應(yīng)用軟件本身的漏洞,還有可能來自操作系統(tǒng),數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補丁。既可以購買專業(yè)的第三方補丁修補系統(tǒng),也可以使用軟件廠商自己提供的系統(tǒng)補丁升級工具。確保操作系統(tǒng),數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的,管理員還要及時關(guān)注應(yīng)用系統(tǒng)廠商提供的升級補丁的信息,確保發(fā)現(xiàn)漏洞的第一時間更新補丁,將系統(tǒng)漏洞的危害降到最低。
4結(jié)束語
關(guān)鍵詞:防火墻;企業(yè)網(wǎng)絡(luò)安全;設(shè)計;實現(xiàn)
1針對企業(yè)網(wǎng)絡(luò)安全的防火墻設(shè)計原則
在部署一個企業(yè)的網(wǎng)絡(luò)安全防火墻時,應(yīng)遵循一些固定的原則,在保證網(wǎng)絡(luò)安全的基礎(chǔ)上,以免產(chǎn)生不必要的維護量。綜合性原則:即企業(yè)的網(wǎng)絡(luò)安全設(shè)計要考慮企業(yè)的整體綜合情況,從實際出發(fā),考慮到各種情況,權(quán)衡網(wǎng)絡(luò)安全中可能出現(xiàn)的問題,從而制定出可以保障企業(yè)網(wǎng)絡(luò)安全的有效防護措施。簡易與靈活性原則:網(wǎng)絡(luò)安全的設(shè)計不宜過于復(fù)雜,也需要具有一定得靈活性,在保證功能的基礎(chǔ)上,盡量使其操作簡易,便于維護和往后的升級。高效與可擴充性原則:企業(yè)的網(wǎng)絡(luò)安全必須是高效的,也就是防火墻的設(shè)置必須是符合企業(yè)的網(wǎng)絡(luò)安全需求的并且可以高效率的運行并保障網(wǎng)絡(luò)安全,同時,企業(yè)的網(wǎng)絡(luò)不可能一成不變,因此防火墻在企業(yè)網(wǎng)絡(luò)的安全設(shè)計中必須還是可以擴充的,在網(wǎng)絡(luò)架構(gòu)發(fā)生變更或者需要升級的時候,能夠進行對應(yīng)的擴充操作。
2企業(yè)網(wǎng)絡(luò)安全的防火墻設(shè)計
防火墻顧名思義,即是防止網(wǎng)絡(luò)外部的一些不安全因素的入侵和干擾,防火墻工作于終端用戶與互聯(lián)網(wǎng)之間,是服務(wù)器的中轉(zhuǎn)站。一方面接收客戶端的數(shù)據(jù)請求并及時響應(yīng)連接,另一方面,對服務(wù)器發(fā)出的信號傳輸給客戶端,以此實現(xiàn)客戶端與服務(wù)器的數(shù)據(jù)傳輸。(1)入侵檢測。企業(yè)網(wǎng)絡(luò)外部的用戶終端對企業(yè)內(nèi)部主機的非授權(quán)登入和對主機資源的非授權(quán)使用稱之為入侵,入侵對于企業(yè)內(nèi)部數(shù)據(jù)信息安全存在著十分大的隱患,也會給企業(yè)的網(wǎng)絡(luò)造成很大的安全漏洞。因此在防火墻的設(shè)計和部署過程中,必須重視入侵檢測系統(tǒng)的配置,能夠有效地抵擋入侵腳本、自動命令等的入侵攻擊,及時并高效的檢測到各類入侵行為,抵擋各類惡意的活動,對可能發(fā)生的安全隱患做好防護應(yīng)對措施。(2)加密設(shè)計。防火墻的加密技術(shù)主要有兩種,一種是數(shù)據(jù)加密,另外一種是硬件與軟件加密。數(shù)據(jù)加密主要是通過非對稱秘鑰與對稱秘鑰兩種方式進行加密,對一些機密數(shù)據(jù)進行加密后傳輸,以此保證企業(yè)內(nèi)部數(shù)據(jù)安全。硬件與軟件加密,顧名思義,即是對防火墻等硬件進行加密處理,防止外部系統(tǒng)登入,安全系數(shù)相對較高,軟件加密相對硬件加密成本更低,同時簡易性和靈活性也比較高,在企業(yè)網(wǎng)絡(luò)架構(gòu)中應(yīng)用比較廣泛。(3)身份驗證的設(shè)計。防火墻可以通過一定得規(guī)則來認(rèn)證識別用戶身份信息,確保用戶的合法性,阻止非法用戶登入,以此來達(dá)到保護主機網(wǎng)絡(luò)的安全。身份驗證主要是針對授權(quán)者的識別,將證據(jù)內(nèi)容與實體用戶身份進行捆綁,確保實體的身份與系統(tǒng)證據(jù)一致,使用戶、程序、主機、進程等實體得到安全的信息維護。(4)包過濾的設(shè)計。任何的數(shù)據(jù)進出企業(yè)網(wǎng)絡(luò),都是以數(shù)據(jù)包的形式進行傳輸,而防火墻對數(shù)據(jù)包則進行嚴(yán)格的過濾,讀取對應(yīng)的數(shù)據(jù)包進行詳細(xì)的信息數(shù)據(jù)分析,檢測該數(shù)據(jù)包的安全性,如果無法通過包過濾檢測,則該數(shù)據(jù)包無法進入此網(wǎng)絡(luò)。包過濾數(shù)據(jù)檢測是一項成本較低并且使用率很高的設(shè)計,對于信息數(shù)據(jù)的篩查可謂滴水不漏,缺陷在于此檢測無法限制程序、郵件等病毒類型進入網(wǎng)絡(luò),因此還需要配合其他的策略來共同保障網(wǎng)絡(luò)信息安全。(5)狀態(tài)檢測的設(shè)計。防火墻的狀態(tài)檢測主要是針對外部的訪問行為,屬于一種控制技術(shù),目的是阻擋非法訪問對企業(yè)網(wǎng)絡(luò)資源進行訪問,這種訪問控制技術(shù)一般分為兩個類型,一種類型是系統(tǒng)訪問控制,另一種是網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)訪問控制用來限制外部終端與企業(yè)內(nèi)部主機和終端的互相訪問,系統(tǒng)訪問控制則是對特殊用戶進行特殊的權(quán)限賦予,使其能夠?qū)χ鳈C進行一些特殊操作。
3使用防火墻在企業(yè)網(wǎng)絡(luò)安全中的實現(xiàn)
防火墻在企業(yè)網(wǎng)絡(luò)安全的應(yīng)用過程中,必須要求企業(yè)強化網(wǎng)絡(luò)安全管理,并且對網(wǎng)絡(luò)安全需求進行詳細(xì)的分析,制定出網(wǎng)絡(luò)安全的具體實施策略。企業(yè)網(wǎng)絡(luò)管理人員對本企業(yè)實際存在的網(wǎng)絡(luò)安全問題進行總結(jié)和規(guī)劃,在薄弱的環(huán)節(jié)采取對應(yīng)的安全措施,對安全風(fēng)險漏洞進行預(yù)測分析并做出安全策略。網(wǎng)絡(luò)的安全行為實則是一個一直變化的過程,企業(yè)需要實時的對網(wǎng)絡(luò)進行需求分析,動態(tài)的分析網(wǎng)絡(luò)的安全狀態(tài),從而及時的對各個系統(tǒng)的防護保密措施進行檢測和更新,定時的維護硬件和軟件系統(tǒng)的安全問題,總結(jié)制定出適合企業(yè)發(fā)展的完善的網(wǎng)絡(luò)安全防護措施。
4結(jié)束語
信息化時代的背景下,網(wǎng)絡(luò)的安全對于企業(yè)來說至關(guān)重要,信息資源的數(shù)據(jù)得到安全保障才可以保證企業(yè)順利運行和參與企業(yè)競爭。企業(yè)網(wǎng)絡(luò)需要加強防火墻安全系統(tǒng)的建設(shè),搭建一個穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境,維護企業(yè)信息和數(shù)據(jù)安全,提高企業(yè)的市場競爭力。
參考文獻(xiàn):
[1]仝乃禮.計算機網(wǎng)絡(luò)安全漏洞分析及防范措施[J].電子技術(shù)與軟件工程,2017(06).
關(guān)鍵詞:網(wǎng)絡(luò)安全;企業(yè)網(wǎng)絡(luò)系統(tǒng);黑客攻擊;病毒攻擊;采取措施
1當(dāng)前網(wǎng)絡(luò)存在的主要安全威脅因素
1.1安全漏洞。只要有漏洞,應(yīng)該就存在漏洞,幾乎每天都有新的漏洞被發(fā)現(xiàn),程序設(shè)計員在修補已知漏洞時,又可能產(chǎn)生新的漏洞。現(xiàn)在各類的操作系統(tǒng)和應(yīng)用軟件都會有不同程度的漏洞存在,雖然操作系統(tǒng)的無口令入口為系統(tǒng)開發(fā)人員帶來了便捷,但是它也成為黑客進入的通道。并且操作系統(tǒng)可能還存在一些隱蔽通道,給黑客以可乘之機。同時,這些操作系統(tǒng)中都包括了各種通用的服務(wù)供應(yīng)戶使用,而它具有一定的專屬性,假如安裝時沒有關(guān)閉一些不相關(guān)的服務(wù),就可能成為黑客進入的渠道。對于一些不懷好意的人,他們都有可能利用這些漏洞向企業(yè)網(wǎng)絡(luò)發(fā)起攻擊,從而使某個甚至整個網(wǎng)絡(luò)喪失功能,威脅到企業(yè)的網(wǎng)絡(luò)安全。1.2病毒感染。計算機病毒就像人體感冒發(fā)燒,也會出現(xiàn)相應(yīng)的身體排斥的現(xiàn)象。在當(dāng)代社會中,人們通過下載帶有病毒的軟件,讓自己的電腦在無形中感染病毒,或者在沒有查殺病毒的前提下通過U盤實行資源共享,同樣也會造成病毒感染。可以說,有計算機的地方,就有出現(xiàn)計算機病毒的可能性。它隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展,現(xiàn)在的計算機病毒更具有隱蔽性,其破壞性更大,傳播速度更快。當(dāng)然,病毒的“毒性”不同,所產(chǎn)生的負(fù)面影響也就不同。輕者只會出現(xiàn)警告信息,重者則會破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡(luò)的安全。按其種類可分為一下幾種:木馬病毒,蠕蟲病毒,腳本病毒,間諜病毒。病毒往往在計算機的后臺強制運行,讓人防不勝防。1.3黑客攻擊。網(wǎng)絡(luò)作為一個開放式的資源共享平臺,一些重要的企業(yè)機密和很高商業(yè)價值的文件成為黑客的攻擊對象,它往往決定著一些企業(yè)的生存命脈,競爭對手往往會盯住了這部分商機,通過黑客的力量進行網(wǎng)絡(luò)攻擊得到資源。非法入侵企業(yè)網(wǎng)絡(luò)系統(tǒng),不管動機是什么,對企業(yè)的網(wǎng)絡(luò)安全危害都是非常大的。黑客故意篡改網(wǎng)絡(luò)信息,利用企業(yè)機密文件進行不法交易和冒充,干擾破壞數(shù)據(jù)加密過程中的信息互通,這些行為嚴(yán)重影響網(wǎng)絡(luò)安全的行為,成為企業(yè)信息化、網(wǎng)絡(luò)化發(fā)展的最大阻礙。1.4內(nèi)部竊取和破壞。內(nèi)部人員對網(wǎng)絡(luò)系統(tǒng)可能會造成以下威脅:內(nèi)部人員有意或無意泄密,更改信息記錄;內(nèi)部非授權(quán)人員有意或無意偷盜機密文件,更改網(wǎng)絡(luò)配置和記錄信息;內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)。1.5其他威脅。對網(wǎng)絡(luò)系統(tǒng)的的威脅還包括電磁泄漏、設(shè)備失效、線路阻斷、停電、操作失誤。
2計算機網(wǎng)絡(luò)安全的措施
2.1安裝防火墻。防火墻作為計算機網(wǎng)絡(luò)安全技術(shù),已經(jīng)廣泛應(yīng)用到企業(yè)當(dāng)中。防火墻技術(shù)可以從根本上防范和控制計算機病毒。現(xiàn)階段,防火墻可分為兩種形式:應(yīng)用級防火墻和包過濾防火墻。應(yīng)用性防火墻可以保護服務(wù)器的安全,通過掃描服務(wù)器終端的數(shù)據(jù),發(fā)現(xiàn)異常數(shù)據(jù)對計算機的攻擊后,及時斷開企業(yè)網(wǎng)與服務(wù)器的聯(lián)系,來保護企業(yè)網(wǎng)不受病毒的侵害。包過濾防火墻通過及時過濾路由器傳輸給計算機的數(shù)據(jù),阻擋病毒進入計算機,并通知計算機用戶對病毒進行攔截,保護企業(yè)網(wǎng)的安全。2.2數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)是保證企業(yè)網(wǎng)絡(luò)安全的另一計算機安全技術(shù)。該項技術(shù)可以對企業(yè)網(wǎng)內(nèi)的數(shù)據(jù)信息進行加密,在數(shù)據(jù)傳輸和接收時必須要輸入正確的密碼,從技術(shù)上提高了企業(yè)數(shù)據(jù)信息的安全。所以,企業(yè)如果想要保證和提高其數(shù)據(jù)信息的安全,必須在企業(yè)網(wǎng)中加強對數(shù)據(jù)加密技術(shù)的使用,數(shù)據(jù)加密通常會用到以下兩種算法,一是對稱加密算法,即保持加密方法和解密方法的一致;二是非對稱加密算法,即加密方法和解密方法的不一致性,以上兩種加密方法已經(jīng)廣泛應(yīng)用到企業(yè)當(dāng)中2.3病毒查殺。及時進行病毒查殺也是提高企業(yè)網(wǎng)的網(wǎng)絡(luò)安全的另一方法。計算機病毒對計算及終端設(shè)備和計算機網(wǎng)絡(luò)的危害極大,可能會造成網(wǎng)頁腳本病毒、計算機數(shù)據(jù)信息被盜或丟失、計算機系統(tǒng)癱瘓等,使用病毒查殺軟件可以及時檢測和更新計算機的操作系統(tǒng),修補系統(tǒng)漏洞、對網(wǎng)頁病毒進行攔截,更新病毒數(shù)據(jù)庫信息,對下載的文件等進行病毒查殺后在進行查看和使用,以防止計算機病毒對計算及終端設(shè)備的損害2.4入侵檢測。入侵檢測對企業(yè)網(wǎng)的安全有非常重要的意義,它會在不影響企業(yè)網(wǎng)絡(luò)正常運行的情況下,對網(wǎng)絡(luò)運行的情況進行檢測,入侵檢測不僅可以收集計算機相關(guān)的數(shù)據(jù)信息,而且還可以對計算機內(nèi)可能存在的侵害進行自動尋找,在計算機受到侵害時,它會對計算機用戶發(fā)出警報,并切斷入侵的途徑,對其進行攔截,所以,入侵檢測技術(shù)可以加強計算機的抗攻擊性。入侵檢測技術(shù)包括誤用檢測和異常檢測。誤用檢測誤報率低,響應(yīng)快,而異常檢測的誤報率高,檢測時需要全盤掃描計算機,兩種入侵檢測均需要較長的檢測時間。2.5企業(yè)內(nèi)部加強網(wǎng)絡(luò)信息安全的規(guī)章制度的建立。企業(yè)根據(jù)其實際情況,遵照相關(guān)的規(guī)定,制定出符合本公司的全面規(guī)范,切實可行的安全管理制度。例如:計算機日常使用規(guī)范、崗位責(zé)任制度、責(zé)任追究制度、崗位責(zé)任制度等,管理制度中應(yīng)明確描述出所有信息技術(shù)人員以及信息系統(tǒng)使用人員的網(wǎng)絡(luò)信息安全職責(zé)和信息系統(tǒng)的使用規(guī)范,規(guī)范網(wǎng)絡(luò)信息系統(tǒng)規(guī)范流程,減少人為操作失誤。通過規(guī)章制度的建設(shè),以制度管人,靠制度管事,為企業(yè)網(wǎng)絡(luò)安全建立強有力的依據(jù)和有效的保障。2.6加強網(wǎng)絡(luò)安全考核力度。企業(yè)不僅建立網(wǎng)絡(luò)信息安全的規(guī)章制度,還應(yīng)實行網(wǎng)絡(luò)信息安全考核制度,采取適合企業(yè)自身的考核方式,使規(guī)章制度的制定落到實處,而不是形同虛設(shè)。把網(wǎng)絡(luò)信息安全作為企業(yè)員工年終考核的重要指標(biāo)之一。在檢查到有違反其相關(guān)制度或網(wǎng)絡(luò)安全事件發(fā)生后,負(fù)責(zé)網(wǎng)絡(luò)信息安全的監(jiān)督部門應(yīng)對相關(guān)事件的發(fā)生原因,嚴(yán)重程度,損失,性質(zhì)等進行調(diào)查確認(rèn),形成分析評價資料,對其責(zé)任人進行相應(yīng)的處罰2.7環(huán)境、設(shè)備及介質(zhì)安全。檢測機房及相關(guān)設(shè)備是否安全;觀察環(huán)境與人員是否安全,預(yù)防自然災(zāi)害。考慮計算機的防盜、防毀、防電磁泄漏發(fā)射、抗電磁干擾及電源保護等。防止媒體自身的防盜、防毀、防霉,以及數(shù)據(jù)的盜取、破壞或非法使用。
3結(jié)語
企業(yè)信息化建設(shè)已經(jīng)成為這個時代不可或缺的產(chǎn)物,為各個企業(yè)帶來了極大的便利,它是企業(yè)發(fā)展的必要條件,也是企業(yè)發(fā)展的必要前提。所以在市場經(jīng)濟發(fā)展的今天,企業(yè)想要在激烈的市場競爭中取得優(yōu)勢,就必須大力發(fā)展其網(wǎng)絡(luò)文化,當(dāng)然在發(fā)展企業(yè)網(wǎng)絡(luò)的同時,還應(yīng)加強對網(wǎng)絡(luò)安全的管理,提高企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性,以提高企業(yè)的效益。
參考文獻(xiàn)
[1]韓加軍.企事業(yè)及政府機關(guān)單位網(wǎng)絡(luò)安全解決方案[J].科技風(fēng),2013
[2]李長英.企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃設(shè)計與實現(xiàn)[D].吉林大學(xué),2013
[3]楊瑋紅.計算機網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)維護中的應(yīng)用初探[J].神州,2013(31):17
關(guān)鍵詞:網(wǎng)絡(luò)安全網(wǎng)絡(luò)維護
中圖分類號:TU714文獻(xiàn)標(biāo)識碼: A
企業(yè)網(wǎng)絡(luò)是企業(yè)實行信息化的基本要素,隨著信息化的不斷深入,企業(yè)對網(wǎng)絡(luò)的依賴日深。因此,企業(yè)網(wǎng)絡(luò)安全維護也越來越重要。從企業(yè)角度來看,網(wǎng)絡(luò)安全維護主要包括以下幾個方面:
1.核心機房環(huán)境:
核心機房的環(huán)境及設(shè)備中心機房環(huán)境是服務(wù)器安全的重要保證,機房空間寬大,安裝防靜電地板、墻面經(jīng)防火處理、機房采取無窗設(shè)計,安裝緊急照明系統(tǒng);安裝恒溫、恒濕空調(diào)保證機房的溫度和濕度,同時安裝全方位防雷系統(tǒng)、抗磁場干擾等裝置,機房內(nèi)部放置滅火、防水設(shè)備;為保障機房供電,機房電源采用常規(guī)供電和蓄電池兩套供電方式,并安裝UPS穩(wěn)壓設(shè)備,使斷電的危險性降至最小。
2.網(wǎng)絡(luò)布線:
如果線路遭到干擾,會使循環(huán)冗余校驗碼增加,降低網(wǎng)絡(luò)速度。在布線時應(yīng)考慮到用合適的線槽,支架,從而有效的將強弱電分離,避免造成線路干擾。對于不同用途的光纖和網(wǎng)線,應(yīng)采取不同的顏色進行安裝,而對于顏色相同的應(yīng)采取加標(biāo)簽等其他方法對其進行區(qū)分,以便出現(xiàn)網(wǎng)絡(luò)問題時維護人員可以盡快的解決。對于重要的線路應(yīng)注意預(yù)留備用線路,維護人員也可以準(zhǔn)備一些長距離網(wǎng)線以備應(yīng)急使用。
3.網(wǎng)絡(luò)設(shè)備維護:
由于軟、硬件設(shè)備性能高低直接影響到網(wǎng)絡(luò)的運行快慢,建議購買較為高端的服務(wù)器,選用安全性高的網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。對于設(shè)備的日常維護也是相當(dāng)重要的,有效的維護才能保證企業(yè)信息系統(tǒng)高速運行,服務(wù)器的日常維護主要在于兩方面:
軟件維護。定期的清理磁盤冗余,檢查病毒;建立服務(wù)器日志,制定服務(wù)器設(shè)備安全檢查記錄,服務(wù)器啟停記錄,錯誤日志檢查記錄;建立數(shù)據(jù)庫日志,對數(shù)據(jù)庫的使用、擴展、修改、備份情況進行記錄;隨著系統(tǒng)的長時間運行,系統(tǒng)補丁要更新。
硬件維護。請專業(yè)人員定期檢測路由器、交換機、集線器、光纖收發(fā)器等設(shè)備,查看指示燈狀態(tài)是否正常,各種插頭是否松動,注意除垢、防水等[1]。
4.數(shù)據(jù)存儲備份:
信息化的高速發(fā)展 ,越來越多的中小型企業(yè)認(rèn)識到數(shù)據(jù)存儲和備份的重要性,而對于數(shù)據(jù)存儲備份的方式主要有以下幾種,企業(yè)可根據(jù)條件選擇適合于自己的存儲備份方式。
1)重要數(shù)據(jù)光碟存儲
市面上常規(guī)的存儲設(shè)備主要是磁盤,依據(jù)其靠磁性介質(zhì)進行存儲的原理,隨著時間的流逝,磁盤上的數(shù)據(jù)就會發(fā)生丟失,而將數(shù)據(jù)刻入光盤,只要保存妥當(dāng),可以保證數(shù)據(jù)多年不會丟失。
2)磁盤陣列技術(shù)
由于服務(wù)器軟件故障或者是有硬件故障引起服務(wù)器不能正常工作 ,我們可以采用磁盤陣列技術(shù)對企業(yè)里的重要數(shù)據(jù)進行實時的監(jiān)控,一旦出現(xiàn)問題,數(shù)據(jù)會被另外的磁盤保存起來。
3)網(wǎng)絡(luò)備份數(shù)據(jù)
網(wǎng)絡(luò)數(shù)據(jù)是業(yè)界對企業(yè)生產(chǎn)系統(tǒng)所需相關(guān)的數(shù)據(jù)庫后臺和為了監(jiān)控生產(chǎn)而進行跟蹤的目標(biāo)文件實施數(shù)據(jù)在線更新的重要方式 ,此種方式主要是將更新日志實時通過網(wǎng)絡(luò)傳送到備份系統(tǒng) ,備份系統(tǒng)依據(jù)日志反過來對磁盤更新的一種技術(shù)。中小型企業(yè)不需要投入很多,就可以利用現(xiàn)有的平臺,簡單且經(jīng)濟效益較高[2]。
5.病毒安全防護:
可根據(jù)條件將企業(yè)局域網(wǎng)和外部互聯(lián)網(wǎng)進行隔離,保護局域網(wǎng)不被病毒入侵;建立防火墻,安裝企業(yè)級殺毒軟件,網(wǎng)絡(luò)流量控制設(shè)備,對企業(yè)網(wǎng)絡(luò)安全進行實時監(jiān)控,對網(wǎng)絡(luò)流量進行控制保證企業(yè)網(wǎng)絡(luò)在無病毒的狀態(tài)下安全運行;周期性的對系統(tǒng)中的程序進行檢查,如有來歷不明的文件在掃描過程中會被發(fā)現(xiàn)并刪除,并清除不常用的軟件,從而提高設(shè)備性能;對于重要設(shè)備需關(guān)閉USB等端口防止外來設(shè)備對其進行干預(yù)。
6.人員技術(shù)培訓(xùn):
網(wǎng)絡(luò)管理員承擔(dān)著企業(yè)網(wǎng)絡(luò)的設(shè)計,構(gòu)建和維護的工作,其自身的技術(shù)水平對整個企業(yè)的網(wǎng)絡(luò)起著決定性的作用,需要進一步提高其工作能力和責(zé)任心。也可對其進行不定期的電腦基礎(chǔ)、網(wǎng)絡(luò)知識、應(yīng)用軟件操作的培訓(xùn)并考核。
而企業(yè)內(nèi)其他工作人員在上網(wǎng)的時候要注意提高自我的保護意識,不訪問陌生網(wǎng)站,也對企業(yè)網(wǎng)絡(luò)的正常運行起著重要的作用。
總結(jié)
企業(yè)網(wǎng)絡(luò)系統(tǒng)能否正常運行是決定企業(yè)業(yè)務(wù)正常開展的重要因素,在日常的工作中需要網(wǎng)絡(luò)管理人員提高工作能力,完善工作方法,加強對于網(wǎng)絡(luò)管理工作的責(zé)任心,全面深層的考察網(wǎng)絡(luò)中安全存在的問題,保證企業(yè)網(wǎng)絡(luò)安全、持久的運行[3]。
參考文獻(xiàn)
[1]聶敏.醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全維護的措施[J].中華醫(yī)院管理雜志,2008,24(6):419-420.
關(guān)鍵詞:網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理
中國擁有四千萬中小企業(yè),據(jù)權(quán)威部門調(diào)研發(fā)現(xiàn),90%以上的中小企業(yè)至少都已經(jīng)建立了內(nèi)部網(wǎng)絡(luò)。但是,隨之而來的,就是企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性問題。多核、萬兆安全、云安全這些新技術(shù)對于他們而言或許過于高端,中小企業(yè)應(yīng)該如何進行網(wǎng)絡(luò)安全管理?又該從哪入手呢?
1 企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的三原則
在企業(yè)網(wǎng)絡(luò)安全管理中,為員工提供完成其本職工作所需要的信息訪問權(quán)限、避免未經(jīng)授權(quán)的人改變公司的關(guān)鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。
原則一:最小權(quán)限原則
最小權(quán)限原則要求我們在企業(yè)網(wǎng)絡(luò)安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問權(quán)限,而不提供其他額外的權(quán)限。
如企業(yè)現(xiàn)在有一個文件服務(wù)器系統(tǒng),為了安全的考慮,我們財務(wù)部門的文件會做一些特殊的權(quán)限控制。財務(wù)部門會設(shè)置兩個文件夾,其中一個文件夾用來放置一些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件,只有企業(yè)高層管理人員才能查看,如企業(yè)的現(xiàn)金流量表等等。此時我們在設(shè)置權(quán)限的時候,就要根據(jù)最小權(quán)限的原則,對于普通員工與高層管理人員進行發(fā)開設(shè)置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對于其沒有訪問權(quán)限的文件夾,則服務(wù)器要拒絕其訪問。
原則二:完整性原則
完整性原則指我們在企業(yè)網(wǎng)絡(luò)安全管理中,要確保未經(jīng)授權(quán)的個人不能改變或者刪除信息,尤其要避免未經(jīng)授權(quán)的人改變公司的關(guān)鍵文檔,如企業(yè)的財務(wù)信息、客戶聯(lián)系方式等等。
完整性原則在企業(yè)網(wǎng)絡(luò)安全應(yīng)用中,主要體現(xiàn)在兩個方面。一是未經(jīng)授權(quán)的人,不能更改信息記錄。二是指若有人修改時,必須要保存修改的歷史記錄,以便后續(xù)查詢。
原則三:速度與控制之間平衡的原則
我們在對信息作了種種限制的時候,必然會對信息的訪問速度產(chǎn)生影響。為了達(dá)到這個平衡的目的,我們可以如此做。一是把文件信息進行根據(jù)安全性進行分級。對一些不怎么重要的信息,我們可以把安全控制的級別降低,從而來提高用戶的工作效率。二是盡量在組的級別上進行管理,而不是在用戶的級別上進行權(quán)限控制。三是要慎用臨時權(quán)限。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)暴露的主要問題
2.1 密碼單一
2.1.1 郵件用統(tǒng)一密碼或者有一定規(guī)律的密碼
對于郵件系統(tǒng)、文件服務(wù)器、管理系統(tǒng)等等賬戶的密碼,設(shè)置要稍微復(fù)雜一點,至少規(guī)律不要這么明顯,否則的話,會有很大的安全隱患。
2.1.2 重要文檔密碼復(fù)雜性差,容易破解
縱觀企業(yè)用戶,其實,他們對于密碼的認(rèn)識性很差。有不少用戶,知道對一些重要文檔要設(shè)置密碼,但是,他們往往出于方便等需要,而把密碼設(shè)置的過于簡單。故我們對用戶進行網(wǎng)絡(luò)安全培訓(xùn)時,要在這方面給他們重點提示才行。
2.2 網(wǎng)絡(luò)擁堵、沖突
2.2.1 下電影、游戲,大量占用帶寬資源
現(xiàn)在不少企業(yè)用的都是光纖接入,帶寬比較大。但是,這也給一些酷愛電影的人,提供了契機。他們在家里下電影,下載速度可能只有10K,但是,在公司里下電影的話,速度可以達(dá)到1M,甚至更多。這對于喜歡看電影的員工來說,有很大的吸引力。
2.2.2 IP地址隨意更改,導(dǎo)致地址沖突
有些企業(yè)會根據(jù)IP設(shè)置一些規(guī)則,如限制某一段的IP地址不能上QQ等等一些簡單的設(shè)置。這些設(shè)置的初衷是好的,但是也可能會給我們網(wǎng)絡(luò)維護帶來一些麻煩。
2.3 門戶把關(guān)不嚴(yán)
2.3.1 便攜性移動設(shè)備控制不嚴(yán)
雖然我們公司現(xiàn)在對于移動存儲設(shè)備,如U盤、移動硬盤、MP3播放器等的使用有嚴(yán)格的要求,如要先審批后使用,等等。但是,很多用戶還是私自在使用移動存儲設(shè)備。
私自采用便攜性移動存儲設(shè)備,會給企業(yè)的內(nèi)部網(wǎng)絡(luò)帶來兩大隱患。
一是企業(yè)文件的安全。因為企業(yè)的有些重要文件,屬于企業(yè)的資源,如客戶信息、產(chǎn)品物料清單等等,企業(yè)規(guī)定是不能夠外傳的。二是,若利用移動存儲設(shè)備,則病毒就會漏過我們的設(shè)在的病毒防火墻,而直接從企業(yè)的內(nèi)部侵入。
2.3.2 郵件附件具有安全隱患
郵件附件的危害也在慢慢增大。現(xiàn)在隨著電子文檔的普及,越來越多的人喜歡利用郵件附件來傳遞電子文檔。而很多電子文檔都是OFFICE文檔、圖片格式文件或者RAR壓縮文件,但是,這些格式的文件恰巧是病毒很好的載體。
據(jù)相關(guān)網(wǎng)站調(diào)查,現(xiàn)在郵件附件攜帶病毒的案例在逐年攀升。若企業(yè)在日常管理中,不加以控制的話,這遲早會影響企業(yè)的網(wǎng)絡(luò)安全。
3 企業(yè)內(nèi)部網(wǎng)絡(luò)的日常行為管理
由于組織內(nèi)部員工的上網(wǎng)行為復(fù)雜多變,沒有哪一付靈藥包治百病,針對不同的上網(wǎng)行為業(yè)界都已有成熟的解決方案。現(xiàn)以上網(wǎng)行為管理領(lǐng)域領(lǐng)導(dǎo)廠商深信服科技的技術(shù)為基礎(chǔ),來簡單介紹一下基本的應(yīng)對策略。
3.1 外發(fā)Email的過濾和延遲審計。
防范Email泄密需要從事前和事后兩方面考慮。首先外發(fā)前基于多種條件對Email進行攔截和過濾,但被攔截的郵件未必含有對組織有害的內(nèi)容,如何避免機器識別的局限性?深信服提供的郵件延遲審計技術(shù)可以攔截匹配上指定條件的外發(fā)Email,人工審核后在外發(fā),確保萬無一失。
事后審計也不容忽視。將所有外發(fā)Email全部記錄,包括正文及附件。另外由于Webmail使用的普遍,對Webmail外發(fā)Email也應(yīng)該能做到過濾、記錄與審計。
3.2 URL庫+關(guān)鍵字過濾+SSL加密網(wǎng)頁識別。
通過靜態(tài)預(yù)分類URL庫實現(xiàn)明文網(wǎng)頁的部分管控是基礎(chǔ),但同時必須能夠?qū)λ阉饕孑斎氲年P(guān)鍵字進行過濾,從而實現(xiàn)對靜態(tài)URL庫更新慢、容量小的補充。而對于SSL加密網(wǎng)頁的識別與過濾,業(yè)界存在通過SSL加密流量、解密SSL加密流量的方式實現(xiàn),但對于組織財務(wù)部、普通員工操作網(wǎng)上銀行賬戶的數(shù)據(jù)也被解密顯然是存在極大安全隱患的。深信服上網(wǎng)行為管理設(shè)備通過對SSL加密網(wǎng)站的數(shù)字證書的進行識別、檢測與過濾,既能滿足用戶過濾 SSL加密網(wǎng)址的要求,同時也不會引入新的安全隱患。
3.3 網(wǎng)絡(luò)上傳信息過濾。
論壇灌水、網(wǎng)絡(luò)發(fā)貼、文件上傳下載都需要基于多種關(guān)鍵字進行過濾,并應(yīng)該能對所有成功上傳的內(nèi)容進行詳細(xì)記錄以便事后查驗。但這是不夠的,如藏污納垢的主要場所之一的互聯(lián)網(wǎng)WEB聊天室絕大多數(shù)都是采用隨機動態(tài)端口訪問,識別、封堵此類動態(tài)端口網(wǎng)址成為當(dāng)下上網(wǎng)行為管理難題之一,只有部分廠商能妥善解決該問題,這是用戶在選擇上網(wǎng)行為管理網(wǎng)關(guān)時需要著重考慮的問題。
3.4 P2P的精準(zhǔn)識別與靈活管理。
互聯(lián)網(wǎng)上的P2P軟件層出不窮,如果只能封堵“昨天的BT”顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術(shù)――基于行為統(tǒng)計學(xué)的分析的確有其獨到之處。基于行為特征而非基于P2P軟件本身精準(zhǔn)識別了各種P2P,包括加密的、不常見的、版本泛濫的等。有了精準(zhǔn)識別,這樣的設(shè)備對P2P的流控效果格外出眾。
3.5 管控各種非工作無關(guān)網(wǎng)絡(luò)行為。
互聯(lián)網(wǎng)絡(luò)深入到生產(chǎn)生活的各方面,改變了傳統(tǒng)的生產(chǎn)模式,對促進生產(chǎn)力的提高發(fā)揮著重要的作用;中石化也正是看到了這一點,在近幾年加快了信息化建設(shè)的步伐。網(wǎng)絡(luò)也在不斷調(diào)整和優(yōu)化,幾乎每個加油站網(wǎng)點都被納入公司局域網(wǎng)之內(nèi);而且陸續(xù)投入使用了ERP系統(tǒng)、V20系統(tǒng)、視頻監(jiān)控系統(tǒng)、加油卡系統(tǒng)等。這些系統(tǒng)的推廣和使用對提高中國石化的生產(chǎn)、經(jīng)營和管理水平發(fā)揮了很大的作用。隨著中石化信息化不斷深入,網(wǎng)絡(luò)安全已成為維持日常經(jīng)營活動正常開展的前提。中石化網(wǎng)絡(luò)信息安全管理架構(gòu)的形成,既是企業(yè)業(yè)務(wù)需求形成的結(jié)果,也是網(wǎng)絡(luò)安全領(lǐng)域向全方位、縱深化、專業(yè)化方向發(fā)展的結(jié)果,無論從經(jīng)濟效益還是社會影響考慮,我們都應(yīng)該重視我們企業(yè)的網(wǎng)絡(luò)安全管理及系統(tǒng)建設(shè)情況。
1 網(wǎng)絡(luò)安全的含義及特征
1.1 網(wǎng)絡(luò)安全定義
網(wǎng)絡(luò)安全指的是:為保證網(wǎng)絡(luò)正常平穩(wěn)的運行,而采取使其免受各種侵害的保護措施。
1.2 網(wǎng)絡(luò)安全特征
1)完整性:指信息不能在未得到授權(quán)的情況下擅自修改,不能被破壞、信息確保完整和及時傳送,確保承載企業(yè)信息的網(wǎng)絡(luò)系統(tǒng)完整性和有效性;
2)機密性:指網(wǎng)絡(luò)能夠阻止未經(jīng)授權(quán)的用戶讀取保密信息,能夠保證為授權(quán)使用者正常的使用,并能防止非授權(quán)用戶的使用,而且有防范黑客,病毒等;
3)可用性:要保證系統(tǒng)時刻能正常運行,確保各種業(yè)務(wù)的順利開展。
2 企業(yè)網(wǎng)絡(luò)安全的需求
企業(yè)對信息網(wǎng)絡(luò)安全方面的需求主要包含:
1)實現(xiàn)網(wǎng)絡(luò)安全首先要保證機房能為各種核心設(shè)備提供符合標(biāo)準(zhǔn)的運行環(huán)境,要有門禁系統(tǒng)、防火、防雷、防靜電、防潮、防鼠防蟲等設(shè)備,有冗余供電線路和后備電源甚至發(fā)電系統(tǒng),有空調(diào)設(shè)備保證機房恒溫,每天定時巡檢,及時發(fā)現(xiàn)問題及時解決。
宿遷分公司機房于2009年底進行改造,改造后較改造前有較大改觀;但還存在一些問題,比如UPS電池組使用超過期限,防潮防鼠防蟲不到位,沒有冗余供電線路和發(fā)電設(shè)備等等;但這些問題相對于泗陽、泗洪、沭陽、黑魚汪油庫、南關(guān)蕩油庫來講就不是問題了,因為這三縣兩庫根本就沒有機房,網(wǎng)絡(luò)設(shè)備隨意堆放,沒有任何防護措施,人員可以隨意出入,網(wǎng)絡(luò)布線雜亂無章。不過省信息處已經(jīng)意識到此問題,準(zhǔn)備在兩個油庫建立標(biāo)準(zhǔn)化機房,希望盡快改造,早日消除風(fēng)險。
2)要實現(xiàn)網(wǎng)絡(luò)安全首先要實現(xiàn)承載公司各種業(yè)務(wù)系統(tǒng)的操作系統(tǒng)的安全,這有許多工作要做,比如:及時升級系統(tǒng)補丁堵住漏洞,關(guān)閉不必要的端口,配置系統(tǒng)安全策略,有選擇性限制用戶對系統(tǒng)的使用權(quán)限等;這些一系列復(fù)雜的操作,要按期望的結(jié)果執(zhí)行,則必須制定一定的規(guī)范,將所有需要執(zhí)行的步驟程序化,這樣可以規(guī)范一線信息人員的操作行為,減少誤操作的可能性,為網(wǎng)絡(luò)安全奠定堅實的基礎(chǔ)。
3)公司關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須按照內(nèi)控要求及時備份,并定期對備份介質(zhì)進行可讀性檢查;公司移動辦公用戶接入內(nèi)網(wǎng)辦公時,數(shù)據(jù)需要加密傳輸;保證業(yè)務(wù)系統(tǒng)正常運行,即使在業(yè)務(wù)中斷情況下也能迅速恢復(fù)。
省公司在保證數(shù)據(jù)安全性方面并沒有統(tǒng)一的解決方案,這對一個企業(yè)來講是非常危險的,數(shù)據(jù)的價值對企業(yè)的重要性是不言而喻的,因此我們不僅要制定有效的數(shù)據(jù)丟失防范策略,而且還要有相應(yīng)的設(shè)備的支持。
4)公司關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)該有冗余線路和冗余設(shè)備,以便在網(wǎng)絡(luò)中斷或設(shè)備停止工作時能自動切換,保證系統(tǒng)平穩(wěn)運行;但我們還是冷備,斷網(wǎng)時需要手動切換,存在單點故障,需要改進。
5)加強對系統(tǒng)操作人員的培訓(xùn),通過培訓(xùn)加深相關(guān)人員對業(yè)務(wù)系統(tǒng)的理解和認(rèn)識,從而可以減少誤操作可能性,最大程度減少內(nèi)部原因引起的各種不穩(wěn)定因素。對安全性要求較高的場合,采用數(shù)字證書等認(rèn)證方式,代替?zhèn)鹘y(tǒng)的不安全的用戶名口令授權(quán)模式。對業(yè)務(wù)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)進行嚴(yán)格監(jiān)控,防止異常情況的發(fā)生,并在發(fā)現(xiàn)異常時能及時采取相應(yīng)措施。
3 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及主要威脅
3.1 來自企業(yè)內(nèi)部的威脅
在所有對網(wǎng)絡(luò)安全造成威脅的事件中,來自企業(yè)內(nèi)部的占絕大多數(shù)。據(jù)統(tǒng)計,來自企業(yè)外部的威脅只有不到1/4,而3/4以上的網(wǎng)絡(luò)安全威脅事件來自企業(yè)內(nèi)部。且這些來自于企業(yè)內(nèi)部的網(wǎng)絡(luò)安全事件中,源自企業(yè)內(nèi)部制度不健全、安全意識較差等自身管理問題占3/5;企業(yè)內(nèi)部未經(jīng)授權(quán)的訪問所造成的威脅占1/5;剩下的1/5則是由于設(shè)備老化或者相關(guān)人員操作失誤而導(dǎo)致。
由此可知,源于企業(yè)內(nèi)部的安全威脅所占比重最大,所以對企業(yè)內(nèi)部采取必要的安全措施是非常必要的。內(nèi)部員工了解公司網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點、甚至掌握業(yè)務(wù)系統(tǒng)的密碼。因此從內(nèi)部攻擊是最難預(yù)測和防范的。另一方面商業(yè)競爭可導(dǎo)致更多的惡意攻擊事件的發(fā)生。特別是個別員工安全意識不高,有意或無意泄露企業(yè)商業(yè)機密、甚至為了謀取個人利益將其出售給競爭對手,最終給企業(yè)造成重大損失。
防范來自公司內(nèi)部的威脅可以部署上網(wǎng)行為管理設(shè)備,它可以監(jiān)控、規(guī)范并且記錄用戶的上網(wǎng)行為;根據(jù)不同的崗位設(shè)置不同的安全防護等級;甚至還可以防范DDOS、ARP攻擊等行為。因此我們認(rèn)為要提高公司網(wǎng)絡(luò)安全和管理水平,很有必要部署此設(shè)備。
3.2 來自企業(yè)自身發(fā)展水平的威脅
首先,由于公司用車不便、信息人員較少等多方面的原因,我公司信息安全問題一直有較多隱患。出現(xiàn)問題有時無法及時排除,特別是省公司卡管系統(tǒng)最近問題極多,這不僅影響經(jīng)營也影響公司在客戶心目中的形象。
其次,公司加油站OA電腦配置水平較低,而且運行較多業(yè)務(wù)軟件,如:OA系統(tǒng)、液位儀、視頻監(jiān)控、桌面安全、Norton網(wǎng)絡(luò)版客戶端等,電腦運行不暢,經(jīng)常發(fā)生停頓無響應(yīng)甚至死機情況,這樣不僅無法防病毒,而且會影響業(yè)務(wù),只會有反作用,而且絕大部分加油站OA電腦使用時間超過4年,已不適應(yīng)業(yè)務(wù)發(fā)展的需求,建議升級。
第三,公司加油站及油庫都已經(jīng)安裝視頻監(jiān)控系統(tǒng),但沒有相應(yīng)的規(guī)章制度來合理使用此系統(tǒng),因此無法起到對經(jīng)營及網(wǎng)絡(luò)安全的提升和促進作用。
3.3 來自網(wǎng)絡(luò)黑客破壞和病毒的威脅
在互聯(lián)網(wǎng)高速發(fā)展的今天,相應(yīng)的攻擊技術(shù)和黑客工具傳播很快,相關(guān)工具使用起來也變得非常容易;因此導(dǎo)致攻擊事件層出不窮。這些行為的出現(xiàn)還有較深層次的原因:首先是商業(yè)競爭導(dǎo)致的企業(yè)間為了各自利益而不顧道德和法律的約束,擅自雇傭黑客攻擊競爭對手以便獲取對方信息然后制定相應(yīng)策略打壓對方;其次,越來越多的年輕人掩飾不住好奇心紛紛加入黑客隊伍,他們以設(shè)計黑客程序,攻破預(yù)期目標(biāo)為樂,以此炫耀自己的技術(shù)水平。
如今病毒和惡意代碼的傳播和感染能力比前幾年有了很大的提升,因此造成的損失也呈幾何級數(shù)增長。隨著我們網(wǎng)絡(luò)的發(fā)展和應(yīng)用的深入,網(wǎng)絡(luò)上存儲大量的重要信息,甚至包括核心信息。一旦遭到破壞,輕者影響業(yè)務(wù)增加維護成本;重者造成信息泄露,業(yè)務(wù)中斷,企業(yè)無法正常經(jīng)營。我們就曾經(jīng)遭受過沖擊波、震蕩波、ARP病毒的攻擊,導(dǎo)致系統(tǒng)莫名重啟,無法聯(lián)網(wǎng)的情況;現(xiàn)在操作系統(tǒng)的漏洞層出不窮,我們應(yīng)該防范于未然,充分利用現(xiàn)有的桌面安全管理系統(tǒng)和Norton防病毒系統(tǒng),將問題消滅在萌芽狀態(tài)。
4 加強與完善企業(yè)網(wǎng)絡(luò)安全管理的對策與建議
4.1 建立網(wǎng)絡(luò)功能管理平臺
現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)日益龐大,網(wǎng)絡(luò)安全應(yīng)用中也有很多成熟的技術(shù)可借鑒和使用,如防火墻、入侵檢測、防病毒軟件等;但這些系統(tǒng)往往都是獨立工作,處于“各自為政”的狀態(tài),要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠充分被利用,需要為其提供一個經(jīng)濟安全、可靠高效、方便易用、性能優(yōu)良、功能完善、易于擴展、易于升級維護的網(wǎng)絡(luò)管理平臺來管理這些網(wǎng)絡(luò)安全設(shè)備。中石化江蘇分公司在2004年嘗試使用過HPOpen View網(wǎng)絡(luò)管理系統(tǒng),它的強大的網(wǎng)絡(luò)管理功能和跨平臺性是非常獨到的,它不僅功能強大、使用簡單,而且很適合宿遷分公司的復(fù)雜網(wǎng)絡(luò)環(huán)境。
4.2 建立企業(yè)身份認(rèn)證系統(tǒng)
傳統(tǒng)的口令認(rèn)證方式雖然方便,但是由于其易受到竊聽、重放攻擊等的安全缺陷,因此這種方式已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求。所以企業(yè)應(yīng)盡量采用PKI的USB Key技術(shù)體系的身份認(rèn)證。
中石化已經(jīng)在2008年開始陸續(xù)在下屬分支公司的資金集中管理系統(tǒng)及OA簽章系統(tǒng)使用基于PKI的USB Key的認(rèn)證系統(tǒng);并且在2010年終止多用戶使用一個VPN賬號的粗放且不安全的管理方式,采用專人專號,集中申請和管理的方式,極大增強了安全性和保密性;這些安全的認(rèn)證體系在提供身份認(rèn)證的功能時,為企業(yè)的敏感通信和交易提供了一套信息安全保障,通過一定的層次關(guān)系和邏輯聯(lián)系,構(gòu)建了用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)構(gòu)成的綜合性安全技術(shù)體系,確保企業(yè)信息資源的訪問得到正式的授權(quán),驗證資源訪問者的合法身份,從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求,將企業(yè)網(wǎng)絡(luò)運行風(fēng)險進一步細(xì)化,盡可能地減輕由于網(wǎng)絡(luò)安全管理風(fēng)險給可能給企業(yè)造成的形象與經(jīng)濟損失。
4.3 應(yīng)用防病毒技術(shù), 建立全面網(wǎng)絡(luò)防病毒體系
計算機網(wǎng)絡(luò)應(yīng)用技術(shù)已經(jīng)覆蓋企業(yè)生產(chǎn)經(jīng)營方方面,各種信息設(shè)備在企業(yè)中扮演著重要的角色,因此保證它們安全穩(wěn)定運行的要求變得很迫切。
江蘇石油分公司為了防止受到來自于多方面的威脅,特別是病毒的威脅。最大程度降低因病毒所造成的經(jīng)濟損失,從2004年開始部署并在2009年升級了Norton網(wǎng)絡(luò)版防病毒系統(tǒng),并采用多層的病毒防衛(wèi)體系,在每臺PC機上安裝反病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件。另外我們宿遷分公司也充分利用防火墻技術(shù),在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊,根據(jù)企業(yè)設(shè)定的安全規(guī)則,在保護自身網(wǎng)絡(luò)安全的前提下,保障內(nèi)外網(wǎng)絡(luò)通訊的暢通無阻。我們在網(wǎng)絡(luò)出口處安裝防火墻后,所有來自外部網(wǎng)絡(luò)的訪問請求都必須通過防火墻的檢查,內(nèi)部與外部網(wǎng)絡(luò)的信息得到了有效的隔離,使得宿遷分公司網(wǎng)絡(luò)安全有了很大的提高;但由于投入使用的防火墻擴展性有限,隨著業(yè)務(wù)的擴展,它已經(jīng)較難適應(yīng)現(xiàn)在的業(yè)務(wù)需求,需要更換,否則會是一個較大的隱患。
4.4 建立完善的數(shù)據(jù)備份與恢復(fù)體系
保證網(wǎng)絡(luò)安全的前提是保證業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全,我們根據(jù)公司的業(yè)務(wù)特點和網(wǎng)絡(luò)現(xiàn)狀,建立了基于Linux的數(shù)據(jù)備份系統(tǒng),既能保證公司業(yè)務(wù)系統(tǒng)數(shù)據(jù)(如:財務(wù)數(shù)據(jù)、FTP數(shù)據(jù)和瑞通換票系統(tǒng)數(shù)據(jù)等)和關(guān)鍵用戶數(shù)據(jù)能及時自動同步到專用服務(wù)器上,又能在系統(tǒng)恢復(fù)后把數(shù)據(jù)自動同步回來。此系統(tǒng)客戶端支持Windows、Linux。Mac,因此兼容性好,應(yīng)用前景廣。此系統(tǒng)有專人管理并定期刻錄轉(zhuǎn)存?zhèn)浞莸臄?shù)據(jù),定期對轉(zhuǎn)存的數(shù)據(jù)做可讀性測試并做好記錄,有力保證了數(shù)據(jù)和網(wǎng)絡(luò)的安全,在使用中起到了良好的效果,公司應(yīng)該盡快在全省推廣此應(yīng)用,讓數(shù)據(jù)丟失的悲劇永遠(yuǎn)不要再發(fā)生。
4.5 健全安全管理制度和規(guī)范管理人員
要保證計算機網(wǎng)絡(luò)的安全性,首先管理工作必須到位;因為網(wǎng)絡(luò)管理也是計算機網(wǎng)絡(luò)安全重要組成部分。通過制定相應(yīng)的規(guī)范并有配套制度能保證規(guī)范執(zhí)行到位,這是維持信息化企業(yè)經(jīng)營活動正常開展的前提。分公司信息站在這方面應(yīng)該是執(zhí)行者,引導(dǎo)并監(jiān)督相關(guān)人員正確、規(guī)范執(zhí)行。任何好的制度和措施,如果沒有很好的執(zhí)行,也只能是空談;網(wǎng)絡(luò)安全方面也是如此,我們倡導(dǎo)“技術(shù)先行,管理到位” 的原則,這也正和內(nèi)控制度相吻合。比如:使用門禁系統(tǒng)嚴(yán)格控制并記錄人員進出,機房每天定時巡檢、設(shè)備出入嚴(yán)格記錄并有負(fù)責(zé)人簽字;設(shè)備或網(wǎng)絡(luò)故障都有一套嚴(yán)格的響應(yīng)機制和應(yīng)急機制,確保及時發(fā)現(xiàn),及時響應(yīng),及時處理;隨著這套機制在實踐中的逐步完善,我們的管理水平和網(wǎng)絡(luò)安全水平會有更大的提高。
對企業(yè)員工要強化宣傳,加強網(wǎng)絡(luò)安全教育和法制觀念教育,讓安全觀念和法制觀念深入人心,提高公司員工對網(wǎng)絡(luò)安全的認(rèn)識和保護網(wǎng)絡(luò)安全的主動性。
4.6 重視對員工的培訓(xùn)
網(wǎng)絡(luò)安全做的再好,如果缺少人的因素,也是沒有意義的;因此人員素質(zhì)的高低對信息安全方面至關(guān)重要;提高人員素質(zhì)的前提就是加強培訓(xùn),特別加強是對專業(yè)信息人員的培訓(xùn)工作。目前的現(xiàn)狀是,公司缺乏系統(tǒng)的、長期的培訓(xùn)計劃,無相應(yīng)培訓(xùn)經(jīng)費,偶爾組織的培訓(xùn)課程也都是走馬觀花,蜻蜓點水。信息人員每天都扮演消防員的角色,到處救火,疲于奔命,一直停留在較低層次水平。公司如果能有制定合理的人才發(fā)展規(guī)劃,讓信息人員的業(yè)務(wù)水平能有穩(wěn)步提高,進而能主動發(fā)現(xiàn)問題,解決問題,將問題解決在萌芽狀態(tài)。而且信息人員素質(zhì)的提高對業(yè)務(wù)的提升能起到推動性的作用,信息人員可以對一線員工進行培訓(xùn),提高他們對業(yè)務(wù)系統(tǒng)的操作能力,進而可以提升公司形象,最終形成良性發(fā)展模式。
5 結(jié)論
綜上所述,企業(yè)網(wǎng)絡(luò)安全領(lǐng)域以及網(wǎng)絡(luò)安全管理是一個綜合、交叉的綜合性的課題。我們在充分享用它帶來便利的同時,也應(yīng)將網(wǎng)絡(luò)安全放在可以管理的范圍之內(nèi)。企業(yè)信息化建設(shè)過程中雖然面臨眾多網(wǎng)絡(luò)安全威脅,但是如果通過一定的技術(shù)和管理手段,在安全的范疇內(nèi)不斷探索和嘗試,并在實踐工作中學(xué)習(xí)和掌握新的網(wǎng)絡(luò)安全與管理知識,我們完全可以構(gòu)建一個安全可靠的網(wǎng)絡(luò)環(huán)境,從而為企業(yè)的快速發(fā)展提供高效的服務(wù)。
參考文獻(xiàn)
[1]李立旭.淺析計算機網(wǎng)絡(luò)安全及防范[J].企業(yè)科技信息,2009(12).
[2]李明之.網(wǎng)絡(luò)安全與數(shù)據(jù)完整性指南[M].機械工業(yè)出版社,2009,10.
[3]胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社,2008,7.
關(guān)鍵詞:數(shù)據(jù)加密;網(wǎng)絡(luò)安全;化工企業(yè)
隨著計算機和互聯(lián)網(wǎng)技術(shù)的不斷普及,數(shù)據(jù)加密技術(shù)成為網(wǎng)絡(luò)安全中最重要的技術(shù)。數(shù)據(jù)加密技術(shù)也廣泛應(yīng)用于以計算機為主導(dǎo)的化工企業(yè)的數(shù)據(jù)傳輸交換中。
1數(shù)據(jù)加密技術(shù)的種類及其表現(xiàn)方式
化工企業(yè)中經(jīng)過數(shù)據(jù)加密技術(shù)處理過的信息,需要經(jīng)過密鑰和解密函數(shù)的轉(zhuǎn)化才能夠使用,而沒有這個密鑰或者解密函數(shù)就會得到亂碼或者無法打開。
1.1數(shù)據(jù)加密技術(shù)的種類
1.1.1對稱式加密技術(shù)
對稱式加密也稱為單密鑰加密,是一種最簡潔,最快速的加密技術(shù),信息的加密和解密使用同一個密鑰,由于它的效率高,因此被廣泛應(yīng)用于很多加密協(xié)議的核心當(dāng)中。但是因為發(fā)送和接受雙方擁有同一個密鑰,所以只有雙方在沒有泄露密鑰的前提下,才能夠保證傳輸數(shù)據(jù)的安全性、完整性。對稱加密的難就是密鑰的管理問題,通常是把對稱加密的密鑰通過非對稱式加密傳輸給接收方,保證在傳輸中不會被黑客截獲,即便被截獲也不會被破譯。化工企業(yè)中的郵件加密、圖紙和條件加密基本都是使用對稱式加密傳輸?shù)姆绞絒1]。
1.1.2非對稱式加密技術(shù)
非對稱加密技術(shù)是需要兩個密鑰來進行加密和解密,即公開密鑰(公鑰)和私有密鑰(私鑰)。如果用公鑰對數(shù)據(jù)進行加密就必須用對應(yīng)的私鑰進行解密;如果用私鑰對數(shù)據(jù)進行加密就必須用對應(yīng)的公鑰進行解密。這種加密技術(shù)雖然安全性高,但是加密解密的速度比較慢,因此在實際的工作中大多數(shù)采用的方法是將對稱式加密中的密鑰使用非對稱是加密的公鑰進行加密,發(fā)送給接收方再使用私鑰進行解密,得到對稱式加密中的密鑰。雙方可以用對稱式加密進行溝通,這樣即安全又快捷。非對稱加密技術(shù)可應(yīng)用于數(shù)據(jù)加密,在身份認(rèn)證、數(shù)字證書、數(shù)字簽名等領(lǐng)域也有廣泛的應(yīng)用。
1.2數(shù)據(jù)加密的表現(xiàn)方式
隨著化工企業(yè)設(shè)計過程數(shù)字化、信息化的不斷發(fā)展,各類數(shù)據(jù)在設(shè)計人員內(nèi)部之間流轉(zhuǎn),設(shè)計成果的可復(fù)制性雖然提高了效率,但是也出現(xiàn)了數(shù)據(jù)安全問題。海量的圖紙、郵件、條件、信息在傳輸中面臨被盜取、丟失的風(fēng)險,令企業(yè)和業(yè)主蒙受巨大損失。假如被競爭對手掌握后果不堪設(shè)想。
1.2.1鏈路加密
鏈路加密又稱為在線加密。它是同一網(wǎng)絡(luò)內(nèi)兩點傳輸數(shù)據(jù)時在數(shù)字鏈路層加密信息的一種數(shù)字保密方法。在主服務(wù)器端的數(shù)據(jù)是明文的,當(dāng)它離開主機的時候就會加密,等到了下個鏈接(可能是一個主機也可能是一個中集節(jié)點)再解密,然后在傳輸?shù)较乱粋€鏈接前再加密。每個鏈接可能用到不同的密鑰或不同的加密算法。這個過程將持續(xù)到數(shù)據(jù)的接收端。鏈路加密掩蓋了被傳送消息的源點與終點,非法入侵一般很難截獲明文信息,所以保證了數(shù)據(jù)的安全性[2]。
1.2.2節(jié)點加密
節(jié)點加密在數(shù)據(jù)網(wǎng)絡(luò)傳輸形式不會以明文出現(xiàn),而是以再加密的方式將數(shù)據(jù)再次傳輸?shù)酵ǖ乐校苊饬撕诳腿肭终邔π畔⒌谋I取和修改。但是節(jié)點加密要求源點和終點要以明文形式出現(xiàn),因此也存在一定的缺陷。
1.2.3端端加密
端端加密又稱為脫線加密。端端加密從源點到終點一直以密文的形式傳輸數(shù)據(jù),數(shù)據(jù)在到達(dá)終點之前也不會進行解密,因此即使在節(jié)點處有非法入侵也不會泄露數(shù)據(jù)[3]。例如某化工企業(yè)中,員工500多名,業(yè)務(wù)遍布全國各省自治區(qū),數(shù)據(jù)的傳輸不僅限于局域網(wǎng),更遍及全國各地,每天員工和客戶的往來郵件和圖紙等數(shù)據(jù)無數(shù),而這些數(shù)據(jù)都是以明文的形式存儲在個人或者單位計算機系統(tǒng)中,在傳輸過程中必須要對這些文檔、圖紙加密、設(shè)置權(quán)限等,防止設(shè)計成果的泄漏。采用端端加密的方式能更安全更高效的保證數(shù)據(jù)和系統(tǒng)的安全。
2影響化工企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全的因素
核心數(shù)據(jù)是化工企業(yè)的命脈。通過建立完善的信息安全系統(tǒng),保護化工企業(yè)核心數(shù)據(jù)尤其是企業(yè)商業(yè)機密,防止從內(nèi)部泄密,已經(jīng)成為眾多企業(yè)的共識。企業(yè)從信息系統(tǒng)的安全性、穩(wěn)定性和可靠性等方面為基點,以數(shù)據(jù)安全為目標(biāo),紛紛構(gòu)建企業(yè)數(shù)據(jù)防泄密體系[4]。
2.1軟件漏洞
現(xiàn)在的軟件為了方便企業(yè)和個人的交流都會有很好開放性和共享性,但是正因為此,軟件的安全問題也凸現(xiàn)出來。通常使用的TCP/IP協(xié)議,在網(wǎng)絡(luò)協(xié)議驗證上并沒有過多安全要求,這也避免不了網(wǎng)絡(luò)安全問題的出現(xiàn)。再有瀏覽器的使用過程中也會對用戶信息造成泄漏。這就要求我們在平時要采用正版軟件并注意及時更新軟件,減少軟件漏洞的出現(xiàn)。
2.2操作系統(tǒng)漏洞
操作系統(tǒng)是整個計算機的核心,如果病毒侵入后就能隨意操作計算機系統(tǒng),盜取用戶信息。病毒還能利用木馬程序監(jiān)控用戶信息傳送,更嚴(yán)重的能使服務(wù)器崩潰。在化工企業(yè)的網(wǎng)絡(luò)中心應(yīng)該及時升級操作系統(tǒng)并安裝補丁,縮小風(fēng)險。
2.3計算機病毒
病毒能夠破壞計算機軟件、資料甚至計算機硬件,使得計算機不能正常使用。隨著計算機網(wǎng)絡(luò)共享的不斷發(fā)展,病毒的蔓延更加快速,輕者使得電腦運行緩慢,嚴(yán)重的導(dǎo)致死機、崩潰、數(shù)據(jù)丟失等。化工企業(yè)網(wǎng)絡(luò)中心應(yīng)該在服務(wù)器上及個人電腦上安裝正版網(wǎng)絡(luò)版殺毒軟件,并及時更新病毒庫,防止計算機被病毒感染。
2.4黑客入侵
黑客主要是利用計算機系統(tǒng)的安全漏洞,采用非法監(jiān)測等手段侵入電腦,盜取計算機中的私密數(shù)據(jù)。黑客入侵主要是人為的對計算機進行攻擊,所以其危害性比病毒更嚴(yán)重。平時要避免不明來歷的下載,減少共享設(shè)置等[5]。數(shù)據(jù)加密技術(shù)突飛猛進,要求對數(shù)據(jù)進行高強度加密和對使用者透明的解密,防止各種泄密情況的出現(xiàn),并且還要求操作簡便、應(yīng)用方便、無痕處理。數(shù)據(jù)加密采用內(nèi)核驅(qū)動級文件加密技術(shù),256位高強度加密算法。在單位內(nèi)部文件可以正常流轉(zhuǎn),一旦離開單位網(wǎng)絡(luò),文件顯示亂碼或者打開失敗。這樣就實現(xiàn)了設(shè)計圖紙加密、研發(fā)數(shù)據(jù)加密、客戶資料加密等。真正意義上保障了企業(yè)數(shù)據(jù)的安全性。
作者:王欣 單位:天津渤海化工集團規(guī)劃設(shè)計院
參考文獻(xiàn):
[1]朱巖.淺談數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用[J].工程與技術(shù).2012:10-12.
[2]邵雪.數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用探討[J].電子商務(wù).2014:34-35.
[3]盧開澄.計算機密碼學(xué):計算機網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全(第3版)[M].北京:清華大學(xué)出版社,2003.89.
關(guān)鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計算機網(wǎng)絡(luò)
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善,計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡(luò)的安全,某公司實施了計算機網(wǎng)絡(luò)安全項目,基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險與需求分析3.1風(fēng)險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。
(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。
目前實施的安全方案是基于當(dāng)時的認(rèn)識進行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運用風(fēng)險評估、風(fēng)險管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應(yīng)用擴展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風(fēng)險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設(shè)計思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的,需要在風(fēng)險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個安全平臺實現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認(rèn)證
身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應(yīng)重視以下各項工作:
(1)在初步進行風(fēng)險分析基礎(chǔ)上,方案實施方應(yīng)進行進一步的風(fēng)險評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險降到最低水平。
關(guān)鍵詞:企業(yè)網(wǎng) 網(wǎng)絡(luò)安全 安全體系 入侵檢測 病毒防護
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,在企業(yè)中運用計算機網(wǎng)絡(luò)進行各項工作更加的深入和普及,通過企業(yè)網(wǎng)絡(luò)向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務(wù),沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應(yīng)用。然而由于企業(yè)網(wǎng)絡(luò)自身的特點,使安全問題在企業(yè)網(wǎng)絡(luò)的運行與管理中格外突出,研究構(gòu)建、完善基于企業(yè)網(wǎng)的信息安全體系,對企業(yè)網(wǎng)安全問題的解決具有重要意義。
一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險狀況概述
企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi),在一定的思想和理論指導(dǎo)下,為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡(luò)。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加,如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來越強烈。與其它網(wǎng)絡(luò)一樣,企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中,由于對技術(shù)的偏好和運營意識的不足,普遍都存在”重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,關(guān)鍵性應(yīng)用的普及和深入,企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題,解決網(wǎng)絡(luò)安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預(yù)知的風(fēng)險,網(wǎng)絡(luò)入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外,由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺,很少考慮實際存在的風(fēng)險和低效率,很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。
因此,在設(shè)計時有必要將公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時還要對網(wǎng)絡(luò)通訊進行有效的過濾,使必要的服務(wù)請求到達(dá)主機,對不必要的訪問請求加以拒絕。
二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建
網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護體系,是動態(tài)加靜態(tài)的防御,是被動加主動的防御甚至抗擊,是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問題不是在網(wǎng)絡(luò)中加一個防火墻就能解決的問題,需要有一個科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。
(一)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)
企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制,網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護的狀態(tài)。
(二) 企業(yè)網(wǎng)防火墻的部署
1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù),除非是必須的服務(wù)才被允許。
2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全),與內(nèi)網(wǎng)和外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接企業(yè)網(wǎng),外網(wǎng)口通過電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡(luò)系統(tǒng)各主要運營環(huán)節(jié)的實時入侵,在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng),與防火墻并行的接入網(wǎng)絡(luò)中,監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業(yè)網(wǎng)絡(luò)安全體系實施階段。第一階段:基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù),首先滿足企業(yè)網(wǎng)最迫切的安全需求,所涉及到的安全內(nèi)容有:
①滿足設(shè)備物理安全
②VLAN與IP地址的規(guī)劃與實施
③制定相關(guān)安全策略
④內(nèi)外網(wǎng)隔離與訪問控制
⑤內(nèi)網(wǎng)自身病毒防護
⑥系統(tǒng)自身安全
⑦相關(guān)制度的完善
第二階段:較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下,全面實現(xiàn)整個企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有:
①入侵檢測與保護
②身份認(rèn)證與安全審計
③流量控制
④內(nèi)外網(wǎng)病毒防護與控制
⑤動態(tài)調(diào)整安全策略
第三階段:后續(xù)動態(tài)的安全系統(tǒng)調(diào)整與完善。相關(guān)安全策略的調(diào)整與完善以及數(shù)據(jù)備份與災(zāi)難恢復(fù)等。
在上述分析、比較基礎(chǔ)上,我們利用現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù),結(jié)合企業(yè)網(wǎng)的特點,依據(jù)設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系,成功構(gòu)建了如圖4-1的企業(yè)網(wǎng)絡(luò)安全解決方案,對本研究設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系的實踐應(yīng)用具有重要的指導(dǎo)意義。
圖4-1 企業(yè)網(wǎng)絡(luò)安全體系應(yīng)用解決方案
結(jié) 語
本文通過對企業(yè)網(wǎng)絡(luò)特點及所面臨的安全風(fēng)險分析,從網(wǎng)絡(luò)安全系統(tǒng)策略與設(shè)計目標(biāo)的確立出發(fā),依據(jù)企業(yè)網(wǎng)絡(luò)安全策略設(shè)計,構(gòu)建相對比較全面的企業(yè)網(wǎng)絡(luò)安全體系,并參照設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系,給出了一個較全面的企業(yè)網(wǎng)絡(luò)安全解決方案。對促進當(dāng)前我國企業(yè)網(wǎng)絡(luò)普遍應(yīng)用情況下,企業(yè)網(wǎng)絡(luò)安全問題的解決,具有重要意義。
參考文獻(xiàn):
[1]方杰,許峰,黃皓.一種優(yōu)化入侵檢測系統(tǒng)的方案[J.]計算機應(yīng)用,2005,(01).
[2]李瑩.小型分布式入侵檢測系統(tǒng)的構(gòu)建[J].安陽工學(xué)院學(xué)報,2005,(06).
關(guān)鍵詞:網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全管理系統(tǒng);企業(yè)信息安全
中圖分類號:TP271 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能,如果想保證這些服務(wù)的有效提供,一是需要全面完善計算機網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護,不會因為網(wǎng)絡(luò)意外故障的發(fā)生,或者人為惡意攻擊,病毒入侵而受到破壞,導(dǎo)致重要信息的泄露和丟失,甚至造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸、共享、使用的安全,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性、可用性、保密性和真實性等一系列技術(shù)理論。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計算機科學(xué)技術(shù)、通信技術(shù)、信息安全管理技術(shù)、密碼學(xué)、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護措施
網(wǎng)絡(luò)安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關(guān)策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行監(jiān)聽、竊聽等,而不對這些數(shù)據(jù)進行篡改,主動安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行故意篡改等行為。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機關(guān)和高等院校的各種計算機網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展,同時出現(xiàn)了若干問題,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個關(guān)鍵的組成部分,從信息安全管理的方向來看,網(wǎng)絡(luò)安全管理涉及到整個企業(yè)的策略規(guī)劃和流程、保護數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護等等。
在實際應(yīng)用中,網(wǎng)絡(luò)安全管理并不僅僅是一個軟件系統(tǒng),它涵蓋了多種內(nèi)容,包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險監(jiān)控等多個方面。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進行出入,是一個控制經(jīng)過防火墻進行網(wǎng)絡(luò)活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng),目的是為了保證整個網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間,或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換,從而保證整個網(wǎng)絡(luò)系統(tǒng)的安全。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
2.4 入侵檢測技術(shù)
入侵檢測是一種增強系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估,并根據(jù)評價結(jié)果來判斷行為的正常性,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計
3.1 系統(tǒng)設(shè)計目標(biāo)
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的、可擴展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng),以多層網(wǎng)絡(luò)架構(gòu)的安全防護方式,將身份認(rèn)證、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中,使得這些網(wǎng)絡(luò)安全防護技術(shù)能夠相互彌補、彼此配合,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進行檢測和監(jiān)控,從而形成一個分布式網(wǎng)絡(luò)安全防護體系,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實用性和開放性。
3.2 系統(tǒng)原理框圖
該文設(shè)計了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分,能夠在同一時間與多個網(wǎng)絡(luò)安全終端連接,并通過其對多個網(wǎng)絡(luò)設(shè)備進行管理,還能夠提供處理網(wǎng)絡(luò)安全事件、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式,布置在受保護和監(jiān)控的企業(yè)網(wǎng)絡(luò)中,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的,并且與網(wǎng)絡(luò)安全管理中心相互連接。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備、設(shè)施的管理。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進行有效的安全管理。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實現(xiàn)對模塊進行添加、刪除的功能,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進行一系列操作的主要結(jié)構(gòu)。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進行自動查詢,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。
系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進行存儲。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進行分析和統(tǒng)計,主要用于對各種網(wǎng)絡(luò)安全事件的存儲。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略,并且對各種策略進行存儲。
3.3 系統(tǒng)架構(gòu)特點
3.3.1 統(tǒng)一管理,分布部署
該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進行部署和管理,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個網(wǎng)絡(luò)系統(tǒng)之中,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上,網(wǎng)絡(luò)安全管理中心可以自動管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進行處理。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計方式,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時,只需要對相應(yīng)的新模塊和響應(yīng)策略進行開發(fā)實現(xiàn),最后將其加載到網(wǎng)絡(luò)安全中,而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進行系統(tǒng)升級和更新。
3.3.3 分布式多級應(yīng)用
對于機構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng),可使用多管理器連接,保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中,上一級管理要對下一級的安全狀況進行實時監(jiān)控,并對下一級的安全事件在所轄范圍內(nèi)進行及時全局預(yù)警處理,同時向上一級管理中心進行匯報。網(wǎng)絡(luò)安全主管部門可以在最短時間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進行嚴(yán)密的監(jiān)視和防范。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸和使用,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn),由此,企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升,因此,該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值。
參考文獻(xiàn):
關(guān)鍵詞:中小型企業(yè)網(wǎng)絡(luò),虛擬專用網(wǎng),遠(yuǎn)程數(shù)據(jù)傳輸,安全性
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2013)27-6099-03
1 概述
在計算機網(wǎng)絡(luò)飛速發(fā)展的今天,網(wǎng)絡(luò)營銷,電子商務(wù)等快速進入企業(yè)業(yè)務(wù)活動中,企業(yè)總部、企業(yè)地方分支機構(gòu)、移動出差人員,充分利用Internet的公共資源及便利條件,通過VPN(Virtual Private Network,虛擬專用網(wǎng))技術(shù)它們連接在一起,形成一個跨地域更大的網(wǎng)絡(luò),方便企業(yè)用戶、分支機構(gòu)及合作伙伴隨時隨地的接入并訪問企業(yè)網(wǎng)絡(luò),與企業(yè)總部網(wǎng)絡(luò)進行數(shù)據(jù)信息安全傳輸與交流,不但給企業(yè)帶來數(shù)字化時代,方便信息交流與企業(yè)的管理,而且也給企業(yè)帶來不菲的經(jīng)濟效益,與此同時,也給企業(yè)網(wǎng)帶來了安全隱患,數(shù)據(jù)信息如何跨越公共網(wǎng)絡(luò)的復(fù)雜環(huán)境進行安全的遠(yuǎn)程傳輸成為關(guān)鍵。對于中小型企業(yè)資金相對比較貧乏,技術(shù)力量薄弱這種情況,研究經(jīng)濟實用的遠(yuǎn)程數(shù)據(jù)信息安全性傳輸就顯得非常重要。
2 中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求
國有大中型企業(yè)是我國的經(jīng)濟支柱,中小企業(yè)是我國經(jīng)濟組成的重要組成部分,我國中小型企業(yè)眾多,對計算機網(wǎng)絡(luò)技術(shù)應(yīng)用比較簡單,沒有很好的利用Internet的優(yōu)勢,實現(xiàn)企業(yè)經(jīng)濟的騰飛及壯大。中小型企業(yè)網(wǎng)絡(luò)主要應(yīng)用是日常辦公,數(shù)據(jù)處理,屬于“單機版”類型,或者企業(yè)分支機構(gòu)與總部就是簡單通過電子郵件,或者qq進行企業(yè)數(shù)據(jù)信息傳輸,這樣安全保密性太差。主要原因是:
1) 中小型企業(yè)資金比較貧乏,沒有更多的資金來購買成熟網(wǎng)絡(luò)安全產(chǎn)品,而且成熟的網(wǎng)絡(luò)安全產(chǎn)品價格一般比較昂貴,主要面向大型企業(yè)。中小型企業(yè)分布廣,業(yè)務(wù)靈活,經(jīng)濟實惠的遠(yuǎn)程數(shù)據(jù)安全傳輸解決方案甚少,而且技術(shù)復(fù)雜,維護較難,不能滿足中小企業(yè)的需要。
2) 中小型企業(yè)技術(shù)力量薄弱,沒有專業(yè)的網(wǎng)絡(luò)技術(shù)人員,一般是企業(yè)年輕的懂點計算機的員工兼職網(wǎng)絡(luò)管理,與專業(yè)網(wǎng)絡(luò)管理員還有一定的差距。
3) 中小型企業(yè)網(wǎng)絡(luò)基本屬于一個“信息孤島”,與外界進行數(shù)據(jù)通信不能做到安全可靠傳輸,不能確保數(shù)據(jù)信息不泄露、不丟失、不被篡改等,影響企業(yè)的快速發(fā)展。
3) 中小型企業(yè)領(lǐng)導(dǎo)重視網(wǎng)絡(luò)建設(shè)還不夠,網(wǎng)絡(luò)建設(shè)相對比較簡單,根據(jù)中小型企業(yè)目前對網(wǎng)絡(luò)的需要及依賴,進行簡單網(wǎng)絡(luò)建設(shè),沒有長遠(yuǎn)的網(wǎng)絡(luò)建設(shè)規(guī)劃,致使企業(yè)在壯大的過程中,網(wǎng)絡(luò)建設(shè)不能快步跟上,往往被忽視。中小企業(yè)網(wǎng)絡(luò)由于資金貧乏,技術(shù)力量不足等原因,在建設(shè)的初期就還可能留下許多漏洞與不足,這樣更容易被黑客攻擊。
4) 中小型企業(yè)用戶不能進行遠(yuǎn)程數(shù)據(jù)信息的安全可靠傳輸,企業(yè)員工,或者領(lǐng)導(dǎo)外地出差,或者分支機構(gòu)的網(wǎng)絡(luò),就不能訪問企業(yè)網(wǎng)絡(luò),不能遠(yuǎn)程進行辦公,遠(yuǎn)程快速的進行事務(wù)處理。
5) 中小型企業(yè)與合作伙伴之間沒有利用互聯(lián)網(wǎng)的優(yōu)勢,在它們之間沒有建立一個企業(yè)擴展網(wǎng)絡(luò),導(dǎo)致數(shù)據(jù)信息的安全交流和企業(yè)的密切合作收到影響。
在復(fù)雜的網(wǎng)絡(luò)環(huán)境下,解決中小型企業(yè)的遠(yuǎn)程數(shù)據(jù)信息安全可靠的傳輸就變得越來越重要了,還需考慮方案的經(jīng)濟實用,維護簡單容易。對于中小企業(yè)網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)信息,如財務(wù)報表等,必須保證數(shù)據(jù)信息完整性、可用性和機密性。完整性是數(shù)據(jù)信息在傳輸或存儲過程中保證沒有被修改,沒有被破壞,沒有被丟失等;可用性是數(shù)據(jù)信息可被授權(quán)實體訪問,并按需求使用的特性,即指定用戶訪問指定數(shù)據(jù)資源;機密性是保證數(shù)據(jù)信息網(wǎng)絡(luò)傳輸保密性和數(shù)據(jù)存儲的保密性,數(shù)據(jù)信息不會泄露給非授權(quán)的用戶、實體或過程。確保只有授權(quán)用戶才可以訪問指定數(shù)據(jù)資源,其他人限制對數(shù)據(jù)信息的讀寫等操作。
3 經(jīng)濟實用安全方案
從中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求,利用VPN技術(shù)跨越Internet組建中小企業(yè)擴展網(wǎng)絡(luò),保證遠(yuǎn)程移動用戶、企業(yè)分支機構(gòu)和企業(yè)合作伙伴之間安全可靠的進行遠(yuǎn)程數(shù)據(jù)信息傳輸。通過實踐實驗,研究出經(jīng)濟實用,安全可靠,配置和維護比較容易的中小型企業(yè)網(wǎng)絡(luò)安全性解決方案,如圖1所示。VPN服務(wù)器也稱為VPN網(wǎng)關(guān),可以使用高性能的計算機來擔(dān)當(dāng),并且安裝兩塊網(wǎng)絡(luò)適配器,一塊網(wǎng)絡(luò)適配器用于連接中小型企業(yè)內(nèi)部網(wǎng)絡(luò),分配內(nèi)網(wǎng)IP地址,另一塊網(wǎng)絡(luò)適配器連接外部網(wǎng)絡(luò),分配外網(wǎng)IP地址。VPN服務(wù)器是內(nèi)網(wǎng)和外網(wǎng)連接的必經(jīng)之路,服務(wù)于內(nèi)外兩個網(wǎng)絡(luò),也是內(nèi)網(wǎng)的安全屏障,相當(dāng)于中小型企業(yè)的防火墻,它可以完成對訪問企業(yè)網(wǎng)絡(luò)的用戶進行身份認(rèn)證、數(shù)據(jù)進行加密解密處理、密鑰交換等。VPN服務(wù)器安裝Windows Server 2003操作系統(tǒng),充分利用公共網(wǎng)絡(luò)Internet的資源,通過VPN技術(shù),實現(xiàn)中小企業(yè)遠(yuǎn)程數(shù)據(jù)信息傳輸?shù)陌踩浴⑼暾裕捎眯院捅C苄浴?/p>
3.1 IPSec VPN保證數(shù)據(jù)信息遠(yuǎn)程安全傳輸
1) VPN技術(shù)
VPN又稱虛擬專用網(wǎng),是在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò),數(shù)據(jù)信息通過建立的虛擬加密“安全隧道”在公共網(wǎng)絡(luò)上進行傳輸,即充分利用公共網(wǎng)絡(luò)如Internet的資源,達(dá)到公網(wǎng)“私用”的效果。中小企業(yè)只需接入Internet,就可以實現(xiàn)全國各地分支機構(gòu),甚至全世界各地的分支機構(gòu),都可以隨時隨地的訪問企業(yè)網(wǎng)絡(luò),實現(xiàn)遠(yuǎn)程數(shù)據(jù)信息的安全可靠傳輸。而且VPN具有節(jié)省成本、配置相對簡單、提供遠(yuǎn)程訪問、擴展性較強、便于管理維護、實現(xiàn)全面控制等好處,是企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。
2) IPSec協(xié)議
IPSec是一個開放的應(yīng)用范圍廣泛的網(wǎng)絡(luò)層VPN協(xié)議標(biāo)準(zhǔn),是一套安全系統(tǒng),包括安全協(xié)議選擇、安全算法、確定服務(wù)所使用的密鑰等服務(wù),在網(wǎng)絡(luò)層為IP協(xié)議提供安全的保障,即IPSec可有效保護IP數(shù)據(jù)報的安全,如數(shù)據(jù)源驗證、完整性校驗、數(shù)據(jù)內(nèi)容加密解密和防重演保護等。保證企業(yè)網(wǎng)絡(luò)用戶的身份驗證,保證經(jīng)過網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)信息完整性檢查,加密IP地址及數(shù)據(jù)信息保證其私有性和安全性。
3) 基于IPSec的VPN技術(shù)
基于IPSec的VPN技術(shù)解決了在Internet復(fù)雜的公網(wǎng)上所面臨的開放性及不安全因素的威脅,實現(xiàn)在不信任公共網(wǎng)絡(luò)中,通過虛擬“安全隧道”進行數(shù)據(jù)信息的安全傳輸。IPSec協(xié)議應(yīng)用于OSI參考模型的第三層網(wǎng)絡(luò)層,基于TCP/IP的所有應(yīng)用都要通過IP層,將數(shù)據(jù)封裝成一個IP數(shù)據(jù)包后再進行傳輸,所有要實現(xiàn)對上層網(wǎng)絡(luò)應(yīng)用軟件的全透明控制,即同時對上層多種應(yīng)用提供安全網(wǎng)絡(luò)服務(wù),只需要在網(wǎng)絡(luò)層上采用VPN技術(shù),基于IPSec的VPN技術(shù)提供了5種安全機制,即隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)、身份驗證技術(shù)和防重演保護技術(shù),通過基于IPSec的VPN技術(shù),來保證傳輸數(shù)據(jù)的安全性、可用性、完整性和保密性[1]。
(1)隧道技術(shù),隧道也可稱為通道,是在公用網(wǎng)中建立一條虛擬加密通道,讓數(shù)據(jù)包或者數(shù)據(jù)幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。“隧道”協(xié)議分為二、三層隧道協(xié)議,第二層隧道協(xié)議先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個數(shù)據(jù)幀裝入到隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)幀依靠第二層協(xié)議來傳輸,第二層協(xié)議包括PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入到隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層協(xié)議有GRE、IPSec等。這里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子協(xié)議保護IP數(shù)據(jù)包和IP數(shù)據(jù)首部不被第三方侵入,在兩個網(wǎng)絡(luò)之間建立一個虛擬“安全隧道” 用于數(shù)據(jù)信息的安全傳輸。授權(quán)用戶,通過IPSec安全策略的配置實現(xiàn)對網(wǎng)絡(luò)安全通信的保護意圖,其安全策略包括什么時候什么地方對AH和ESP保護,保護什么樣的通信數(shù)據(jù),什么時候什么地方進行密鑰及保護強度的協(xié)商。IPSec通過認(rèn)證和鑰匙交換機制確保中小型網(wǎng)絡(luò)與其分支機構(gòu)網(wǎng)絡(luò)或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網(wǎng)絡(luò)的安全訪問。
(2)加密解密技術(shù),是為了保障虛擬“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取數(shù)據(jù)信息的能力,同時保證必須使偷聽者不能破解或解密攔截到的的數(shù)據(jù)信息,但是授權(quán)用戶可以通過解密技術(shù),完整的訪問數(shù)據(jù)資源。
(3)身份認(rèn)證技術(shù)是通過對企業(yè)分支用戶或遠(yuǎn)程用戶進行身份進行驗證,提供安全防護措施與訪問控制,包括對VPN“安全隧道”訪問控制的功能,有效的抵抗黑客通過VPN通道攻擊中小型企業(yè)網(wǎng)絡(luò)的能力。通過VPN服務(wù)器對授權(quán)用戶的身份及權(quán)限的驗證,嚴(yán)格控制授權(quán)的用戶訪問資源的權(quán)限。在每個VPN服務(wù)器上為遠(yuǎn)端用戶的身份驗證憑據(jù)添加用戶信息,包括用戶名及密碼,并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。
(4)密鑰交換技術(shù),為了防止密鑰在Internet復(fù)雜的公網(wǎng)上傳輸過程中而不被竊取。提供密鑰中心管理服務(wù)器,現(xiàn)行的密鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。VPN技術(shù)能夠生成并更新客戶端和服務(wù)器的加密密鑰和密鑰的分發(fā),實現(xiàn)動態(tài)密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接,還需要在每個VPN服務(wù)器上同時安裝客戶端身份驗證證書和服務(wù)器身份驗證證書;如果不安裝證書,則需要配置預(yù)共享的IPSec密鑰。
(5)防重演保護。具備防止數(shù)據(jù)重演的功能,而且保證通道不能被重演。確保每個IP包的合法性和惟一性,保證信息萬一被截取復(fù)制后,或者攻擊者截取破譯信息后,再用相同的信息包獲取非法訪問權(quán),確保數(shù)據(jù)信息不會被重新利用、重新傳回目標(biāo)網(wǎng)絡(luò),
3.2其他輔助安全措施
對VPN服務(wù)器,還可以啟動軟件防火墻功能,如安全訪問策略、日志監(jiān)控等功能,還可以安裝殺毒軟件,為內(nèi)網(wǎng)提供安全屏障,再次增加網(wǎng)絡(luò)安全可靠性能。軟件防火墻通過設(shè)置的包過濾規(guī)則,分析IP數(shù)據(jù)報、TCP報文段、UDP報文段等,決定數(shù)據(jù)包是被阻止,還是繼續(xù)轉(zhuǎn)發(fā),從網(wǎng)絡(luò)層和傳輸層上再次給予安全控制,提供了多層次安全保障體系。還可以增加應(yīng)用層的過濾規(guī)則配置,再次提升VPN服務(wù)器安全性。
4 實踐應(yīng)用分析
通過實踐應(yīng)用,跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全解決方案分別從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層三個層次上給予安全保障,該方案充分利用VPN的“公網(wǎng)專用”的特點,允許中小型企業(yè)擁有一個世界范圍的專用網(wǎng)絡(luò),在公用網(wǎng)中開辟虛擬“安全隧道”來保證遠(yuǎn)程數(shù)據(jù)信息傳輸?shù)目煽啃院桶踩裕煌ㄟ^輔助的防火墻功能,進一步增加其安全。該方案使用高性能的PC充當(dāng)VPN服務(wù)器,并配以Windows Server 2003操作系統(tǒng),無需額外的復(fù)雜硬件設(shè)備與高昂的系統(tǒng)軟件,成本低、經(jīng)濟實用、容易實現(xiàn)、維護簡單,是中小型企業(yè)網(wǎng)絡(luò)擴展不錯的選擇方案。VPN服務(wù)器不但具備VPN技術(shù)的功能外,還是一個中小企業(yè)的防火墻,安全配置、安全策略容易實現(xiàn),一旦出現(xiàn)較大安全威脅,便于快速隔離網(wǎng)絡(luò)。
當(dāng)然此方案也存在一些缺陷,主要是有依賴操作系統(tǒng)的安全性,操作系統(tǒng)本身的漏洞可能會造成安全隱患;VPN服務(wù)器是集多種服務(wù)于一體,需要較高高性能的計算機;VPN服務(wù)器故障會導(dǎo)致網(wǎng)絡(luò)連接失效;由軟件實現(xiàn)數(shù)據(jù)加密與解密、包過濾等,一定程度會占用系統(tǒng)資源,也會使通信效率略有降低;同時重注企業(yè)內(nèi)部員工的安全培訓(xùn),有效地抑制社會學(xué)的攻擊,對來自企業(yè)內(nèi)部員工的攻擊顯得無能為力。
5 結(jié)束語
跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全技術(shù)方案比較經(jīng)濟、實用、安全、配置簡單,為中小企業(yè)打造一個世界范圍的網(wǎng)絡(luò)提供了較有力的技術(shù)支持,使得中小企業(yè)網(wǎng)絡(luò)也融入到互聯(lián)網(wǎng)這個“大家庭”中,不僅提高了中小型企業(yè)的工作效率,而且增強了其競爭力,將推動中小型企業(yè)電子商務(wù),電子貿(mào)易,網(wǎng)絡(luò)營銷走向繁榮,加快了中小企業(yè)網(wǎng)絡(luò)信息化和經(jīng)濟快速發(fā)展的步伐。
參考文獻(xiàn):
[1] 郝春雷, 鄭陽平.中小型企業(yè)敏感分支網(wǎng)絡(luò)安全解決方案[J].商業(yè)時代,2007,(21):45.
[2] 阿楠. VPN虛擬專用網(wǎng)的安全[J].互聯(lián)網(wǎng)天地,2007,(7):46-47.
[3] 李春泉,周德儉,吳兆華. VPN技術(shù)及其在企業(yè)網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用[J]. 桂林工學(xué)院學(xué)報,2004,3:365-368.
[4] 韓儒博,鄔鈞霆,徐孟春.虛擬專用網(wǎng)絡(luò)及其隧道實現(xiàn)技術(shù)[J]. 微計算機信息,2005,14:1-3.
