企業(yè)網絡安全建設范文
時間:2023-09-18 18:00:06
導語:如何才能寫好一篇企業(yè)網絡安全建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
中圖分類號: F407 文獻標識碼: A 文章編號:
引言
信息化是一把“雙刃劍”,在提高企業(yè)工作效率、管理水平以及整體競爭能力的同時,也給企業(yè)帶來了一定的安全風險,并且伴隨著企業(yè)信息化水平的提高而逐漸增長。因此,提升企業(yè)的信息系統(tǒng)安全防護能力,使其滿足國家等級保護的規(guī)范性要求,已經成為現階段信息化工作的首要任務。對于電力企業(yè)的信息系統(tǒng)安全防護工作而言,應等級保護要求,將信息管理網絡劃分為信息內網與信息外網,并根據業(yè)務的重要性劃分出相應的二級保護系統(tǒng)與三級保護系統(tǒng),對三級系統(tǒng)獨立成域,其余二級系統(tǒng)統(tǒng)一成域,并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。
1現階段電力企業(yè)網絡風險分析
1.1服務器區(qū)域缺少安全防護措施
大部分電力企業(yè)的服務器都是直接接入本單位的核心交換機,然而各網段網關都在核心交換機上,未能對服務器區(qū)域采取有效的安全防護措施。
1.2服務器區(qū)域和桌面終端區(qū)域之間的劃分不明確
因服務器和桌面終端的網關都在核心交換機上,不能實現對于域的有效劃分。
1.3網絡安全建設缺乏規(guī)劃
就現階段的電力企業(yè)網絡安全建設而言,普遍存在著缺乏整體安全設計與規(guī)劃的現狀,使整個網絡系統(tǒng)成為了若干個安全產品的堆砌物,從而使各個產品之間失去了相應的聯動,不僅在很大程度上降低了網絡的運營效率,還增加了網絡的復雜程度與維護難度。
1.4系統(tǒng)策略配置有待加強
在信息網絡中使用的操作系統(tǒng)大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統(tǒng)等,但在實際的網絡安裝調試過程中,往往只使用最寬松的配置,然而對于安全保密來說卻恰恰相反,要想確保系統(tǒng)的安全,必須遵循最小化原則,沒有必要的策略在網絡中一律不配置,即使有必要的,也應對其進行嚴格限制。
1.5缺乏相應的安全管理機制
對于一個好的電力企業(yè)網絡信息系統(tǒng)而言,安全與管理始終是分不開的。如果只有好的安全設備與系統(tǒng)而沒有完善的安全管理體系來確保安全管理方法的順利實施,很難實現電力企業(yè)網絡信息系統(tǒng)的安全運營。對于安全管理工作而言,其目的就是確保網絡的安全穩(wěn)定運行,并且其自身應該具有良好的自我修復性,一旦發(fā)生黑客事件,能夠在最大程度上挽回損失。因此,在現階段的企業(yè)網絡安全建設工作過程中,應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。
2等級保護要求下電力企業(yè)網絡安全建設防護的具體措施
2.1突出保護重點
對于電力企業(yè)而言,其投入到信息網絡安全上的資源是一定的。從另外一種意義上講,當一些設備存在相應的安全隱患或者發(fā)生破壞之后,其所產生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它,顯然不滿足科學性的要求。因此,在保護工作過程中,應對需要保護的信息資產進行詳細梳理,以企業(yè)的整體利益為出發(fā)點,確定出重要的信息資產或系統(tǒng),然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時,還可以使工作效率得到很大程度的提高。
2.2貫徹實施3層防護方案
在企業(yè)網絡安全建設過程中,應充分結合電力企業(yè)自身網絡化特點,積極貫徹落實安全域劃分、邊界安全防護、網絡環(huán)境安全防護的3層防護設計方案。在安全防護框架的基礎上,實行分級、分域與分層防護的總體策略,以充分實現國家等級防護的基本要求。
(1)分區(qū)分域。統(tǒng)一對直屬單位的安全域進行劃分,以充分實現對于不同安全等級、不同業(yè)務類型的獨立化與差異化防護。
(2)等級防護。遵循“二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨立成域”的劃分原則,并根據信息系統(tǒng)的定級情況,進行等級安全防護策略的具體設計。
(3)多層防護。在此項工作的開展過程中,應從邊界、網絡環(huán)境等多個方面進行安全防護策略的設計工作。
2.3加強安全域劃分
安全域是指在同一環(huán)境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統(tǒng)。加強對于安全域的劃分,可以實現以下目標:
(1)實現對復雜問題的分解。對于信息系統(tǒng)的安全域劃分而言,其目的是將一個復雜的安全問題分解成一定數量小區(qū)域的安全防護問題。安全區(qū)域劃分可以有效實現對于復雜系統(tǒng)的安全等級防護,是實現重點防護、分級防護的戰(zhàn)略防御理念。
(2)實現對于不同系統(tǒng)的差異防護?;A網絡服務、業(yè)務應用、日常辦公終端之間都存在著一定的差異,并且能夠根據不同的安全防護需求,實現對于不同特性系統(tǒng)的歸類劃分,從而明確各域邊界,對相應的防護措施進行分別考慮。
(3)有效防止安全問題的擴散。進行安全區(qū)域劃分,可以將其安全問題限定在其所在的安全域內,從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中,還應充分遵循區(qū)域劃分的原則,將直屬單位的網絡系統(tǒng)統(tǒng)一劃分為相應的二級服務器域與桌面終端域,并對其分別進行安全防護管理。在二級系統(tǒng)服務器域與桌面域間,采取橫向域間的安全防護措施,以實現域間的安全防護。
2.4加強對于網絡邊界安全的防護
對于電力企業(yè)的網絡邊界安全防護工作而言,其目的是使邊界避免來自外部的攻擊,并有效防止內部人員對外界進行攻擊。在安全事件發(fā)生之前,能夠通過對安全日志與入侵事件的分析,來發(fā)現攻擊企圖,在事件發(fā)生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。
(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻,以實現對于網絡邊界安全的防護。
(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區(qū)域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中,應根據網絡邊界的數據流制定出相應的訪問控制矩陣,并依此在邊界網絡訪問控制設備上設定相應的訪問控制規(guī)則。
2.5加強對于網絡環(huán)境的安全防護
(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包,并通過相應的特征分析、異常統(tǒng)計分析等方法,及時發(fā)現并處理網絡攻擊與異常安全事件。在此過程中,設置相應的入侵檢測系統(tǒng),能夠及時發(fā)現病毒、蠕蟲、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率,從而為安全問題的取證提供有力依據。
(2)強化網絡設備安全加固。安全加固是指在確保業(yè)務處理正常進行的情況下,對初始配置進行相應的優(yōu)化,從而提高網絡系統(tǒng)的自身抗攻擊性。因此,在經過相應的安全評估之后,應及時發(fā)現其中隱藏的安全問題,對重要的網絡設備進行必要的安全加固。
(3)強化日志審計配置。在此項工作的開展過程中,應根據國家二級等級保護要求,對服務器、安全設備、網絡設備等開啟審計功能,并對這些設備進行日志的集中搜索,對事件進行定期分析,以有效實現對于信息系統(tǒng)、安全設備、網絡設備的日志記錄與分析工作。
結語
綜上所述,對于現階段電力企業(yè)信息網絡而言,網絡安全建設是一個綜合性的課題,涉及到技術、使用、管理等許多方面,并受到諸多因素的影響。在電力企業(yè)網絡安全建設過程中,應加強對于安全防護管理體系的完善與創(chuàng)新,以嚴格的管理制度與高素質管理人才,實現對于信息系統(tǒng)的精細化、準確化管理,從而切實促進企業(yè)網絡安全建設的健康、穩(wěn)步發(fā)展。
參考文獻:
[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業(yè)網絡安全防護體系研究[J].計算機安全,2010(4).
篇2
現在企業(yè)很多商業(yè)業(yè)務、商業(yè)活動和財務管理系統(tǒng)協(xié)同工作等,都需要借助計算機網絡進行。如果沒有網絡安全性的保障,就會發(fā)生系統(tǒng)延遲、拒絕服務、程序錯誤、數據篡改等現象,甚至很多情況下會發(fā)生木馬病毒的侵蝕。過去企業(yè)數據是以文本文件的形式存在,雖然處理和操作不具有便捷性,但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞,但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業(yè)數據信息管理的過程中需要有保密性和可靠性的保障,維護企業(yè)的商業(yè)機密。其次,網絡交易渠道容易發(fā)生數據信息丟失或損壞,交易雙方的信息結果發(fā)生差異的現象時有發(fā)生,嚴重影響了企業(yè)數據的精準性。所以企業(yè)急需完整性的交易信息憑證,避免交易信息的篡改或者刪除,保證交易雙方數據的一致性[1]。
2企業(yè)網絡面臨的安全風險
2.1物理安全風險
近年來,很多現代化企業(yè)加大信息建設,一些下屬公司的網絡接入企業(yè)總網絡,企業(yè)網路物理層邊界限制模糊,而電子商務的業(yè)務發(fā)展需求要求企業(yè)網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業(yè)內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
2.2入侵審計和防御體系不完善
隨著互聯網的快速發(fā)展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業(yè)網絡安全。當前,很多企業(yè)缺乏完善的入侵審計和防御體系,企業(yè)網絡的主動防御和智能分析能力明顯不足,檢查監(jiān)控效率低,缺乏一致性的安全防護規(guī)范,安全策略落實不到位。
2.3管理安全的風險
企業(yè)網絡與信息的安全需要有效的安全管理措施作為制度體系保障,但是企業(yè)經常由于管理的疏忽,造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面:企業(yè)沒有健全和完善的網絡安全管理制度,難以落實安全追責;技術人員的操作技術能力缺陷,導致操作混亂;缺乏網絡信息安全管理的意識,沒有健全的網絡信息安全培訓體系等。
3構建企業(yè)網絡安全防護體系
3.1加強規(guī)劃、預防和動態(tài)管理
首先,企業(yè)需要建立完善的網絡信息安全防護體系,保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統(tǒng)籌規(guī)劃,針對性的展開安全防護系統(tǒng)的設計。其次,企業(yè)應該加強對安全防護系統(tǒng)建設的資金投入,建立適合自己網絡信息應用需求的防護體系,并且定期進行安全系統(tǒng)的維護和升級。最后,加強預防與動態(tài)化的管理,要制定安全風險處理的應急預案,有效降低網絡信息安全事故的發(fā)生。并且根據網絡信息動態(tài)的變化,采取動態(tài)化的管理措施,將網絡與信息安全風險控制在可接受的范圍。
3.2合理劃分安全域
現代化企業(yè)網絡可以按照系統(tǒng)行為、安全防護等級和業(yè)務系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網絡在不同區(qū)域和不同層次關注的內容不同,因此在劃分企業(yè)網絡安全域時,應結合業(yè)務屬性和網絡管理,不僅要確保企業(yè)正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業(yè)網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發(fā)揮不同方式的優(yōu)勢,結合企業(yè)網絡管理要求和網絡業(yè)務需求,有針對性地進行企業(yè)網絡安全域劃分。
首先,根據業(yè)務需求,可以將企業(yè)網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業(yè)網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業(yè)內網業(yè)務的安全性。其次,按照企業(yè)業(yè)務系統(tǒng)方式,分別劃分外網和內網安全域,企業(yè)外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統(tǒng)行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域?;A保障域主要用來防護網絡系統(tǒng)管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業(yè)網絡的信息系統(tǒng),包括信息系統(tǒng)內部和系統(tǒng)之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業(yè)網絡信息系統(tǒng)和其他系統(tǒng)之間的邊界上。
3.3信息安全技術的應用
(1)防火墻技術
防火墻主要的作用是對不安全的服務進行過濾和攔截,對企業(yè)網絡的信息加強訪問限制,提高網絡安全防護。例如,企業(yè)的信息數據庫只能在企業(yè)內部局域網網絡的覆蓋下才能瀏覽操作,域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統(tǒng)計數據,對可能存在的攻擊、侵入行為精心預測預警,最大限度地保障了企業(yè)內部網絡系統(tǒng)的安全。隨著業(yè)務模式的不斷發(fā)展,簡單的業(yè)務(端口)封堵已經不能適應動態(tài)的業(yè)務需要,需要采用基于內容的深度檢測技術對區(qū)域間的業(yè)務流進行過濾。并借助于大數據分析能力對異常業(yè)務流進行智能分析判斷。
(2)終端準入防御技術
終端準入防御技術主要是以用戶終端作為切入點,對網絡的接入進行控制,利用安全服務器、安全網絡設備等聯動,對接入網絡的用戶終端強制實施企業(yè)安全策略,實時掌控用戶端的網絡信息操作行為,提高用戶端的風險主動防御能力。
4結束語
綜上所述,計算機網絡有效提高了企業(yè)業(yè)務工作的效率,實現企業(yè)計算機網絡數據庫中的數據分類、整理、資源的共享。但是,系統(tǒng)數據的保密、安全方面還存在技術上的一些欠缺,經常會發(fā)生數據被非法侵入和截取的現象,造成了嚴重的數據安全風險。企業(yè)應該科學分析網絡與信息安全風險類型,加強規(guī)劃、預防利用防火墻技術、終端準入防御技術等,提高企業(yè)網絡與信息安全防護效率。
參考文獻
[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創(chuàng)新,2016,(1):36.
篇3
隨著近年來信息化的快速推進,供電企業(yè)網絡信息系統(tǒng)與Internet的交互日益頻繁,基于Internet的業(yè)務呈不斷增長態(tài)勢。電力行業(yè)作為國民經濟的重要組成部分,已經在人們的正常生活中不可缺少。電力系統(tǒng)的是否安全可靠,關系著國民經濟的發(fā)展,更影響著人們的日常生活。然而電力企業(yè)信息網絡的發(fā)展還不健全,尚存在很多安全問題。這些問題正是黑客和病毒入侵的目標??h級供電企業(yè)是整個電力企業(yè)的基本單位,只有保證縣級供電企業(yè)信息網絡的安全,才能使整個電力行業(yè)正常的運行,因此對其信息網絡安全的研究受到越來越多的關注。
2 信息網絡安全概述
信息網絡安全是指運用各種相關技術和管理,使網絡信息不受危害和威脅,保證信息的安全。由于計算機網絡在建立時就存在缺陷,本身具有局限性,使其網絡系統(tǒng)的硬件和軟件資源都有可能遭到破壞和入侵,嚴重時甚至可能引起整個系統(tǒng)的癱瘓,以至于造成巨大的損失。相對于外界的破壞,自身的防守時非常艱巨的,必須保證每個軟件、每一項服務,甚至每個細節(jié)都要安全可靠。因此要對網絡安全進行細致的研究,下面介紹其特征:
2.1 完整性
主要是指數據的完整性。數據信息在未經許可的情況下不能進行任何修改。
2.2 保密性
未經授權的用戶不能使用該數據。
2.3 可用性
被授權的用戶可以根據自己的需求使用該數據,不能阻礙其合法使用。
2.4 可控性
系統(tǒng)要能控制能夠訪問數據的用戶,可以被訪問的數據以及訪問方式,并記錄所有用戶在系統(tǒng)內的網絡活動。
3 信息網絡系統(tǒng)安全存在的問題
3.1 系統(tǒng)設備和軟件存在漏洞
網絡系統(tǒng)的發(fā)展時間很短,因此其操作系統(tǒng)、協(xié)議和數據庫都存在漏洞,這些漏洞變成為黑客和病毒入侵的通道;存儲介質受到破壞,使系統(tǒng)中的信息數據丟失和泄漏;系統(tǒng)不進行及時的修補,采用較弱的口令和訪問限制。這些都是導致信息網絡不安全的因素。網絡是開放性的,因此非常容易受到外界的攻擊和入侵,入侵者便是通過運用相關工具掃描系統(tǒng)和網絡中的漏洞,通過這些漏洞進行攻擊,致使網絡受到危害,資料泄露。
3.2 制度不完善
目前對于信息網絡的建立,數據的使用以及用戶的訪問沒有完善的規(guī)章制度,這也導致了各個縣級供電企業(yè)信息網絡系統(tǒng)之間的不統(tǒng)一,在數據傳輸和利用上受到限制。同時在目前已經確立的信息網絡安全的防護規(guī)章制度的執(zhí)行上,企業(yè)也不能嚴格的執(zhí)行。
4 提高網絡安全方法
4.1 網絡安全策略
信息網絡是一個龐大的系統(tǒng),包括系統(tǒng)設備和軟件的建立、數據的維護和更新、對外界攻擊的修復等很多方面,必須各個細節(jié)都要保證安全,沒有漏洞。然而很多供電企業(yè),尤其是縣級企業(yè)并沒有對其引起足夠的重視,只是被動地進行防護。整體的安全管理水平很低,沒有完備的網絡安全策略和規(guī)劃。因此要想實現信息網絡的安全,首先需要制定一個全面可行的安全策略以及相應的實施過程。
4.2 提高網絡安全技術人員技術水平
信息網絡的運行涉及很多方面,其安全防護只是其中一部分,因此在網絡安全部分要建立專業(yè)的安全技術隊伍。信息網絡中的一些系統(tǒng)和應用程序更新速度不一致,也會造成網絡的不安全。一般企業(yè)的網絡管理員要兼顧軟硬件的維護和開發(fā),有時會顧此失彼,因此要建立更專業(yè)的安全技術隊伍,使信息網絡的工作各有分工,實現專業(yè)性,提升整體網絡安全技術水平,提高工作效率。
4.3 完備的數據備份
當信息網絡受到嚴重破壞時,備份數據便發(fā)揮了作用。不論網絡系統(tǒng)建立的多完善,安全措施做得多到位,保留完備的備份數據都是有備無患。進行數據備份,首先要制定全面的備份計劃,包括網絡系統(tǒng)和數據信息備份、備份數據的修改和責任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數據,保證數據的完整性和實時性。同時網絡管理人員的數據備份和恢復技術的操作要很熟練,這樣才能保障備份數據的有效性。
4.4 加強防病毒
隨著網絡技術的發(fā)展,網絡病毒也越來越多,這些病毒都會對信息網絡造成或多或少的危害。防病毒不僅需要應用專業(yè)可靠的防毒體系,還要建立防火墻,屏蔽非法的數據包。
對于防毒,在不同的硬件上要安裝相應的防毒程序。例如工作站上應該安裝單機的防毒程序;主機上則安裝主機防毒程序;網關上安裝防病毒墻;而這些不同的防毒程序的升級可以通過設立防毒控制中心,統(tǒng)一管理,由中心將升級包發(fā)給各個機器,完成整個網絡防毒系統(tǒng)的升級。這樣有針對性的防毒程序能更有效的進行病毒防護。
防火墻可以通過檢測和過濾,阻斷外來的非法攻擊。防火墻的形式包括硬件、軟件式和內嵌式三種。內嵌式防火墻需要與操作系統(tǒng)結合,性能較高,應用較為廣泛。
5 具體措施
5.1 增強管理安全
在網絡安全中管理是最重要的,如果安全管理制度不完善,就會導致正常的網絡安全工作不能有序實施。信息網絡的管理包括對網絡的定期檢查、實時監(jiān)控以及出現故障時及時報告等。為了達到管理安全,首先,要制定完整詳細的供電企業(yè)信息網絡安全制度,并嚴格實施;其次,對用戶的網絡活動做記錄并保存網絡日志,以便對外部的攻擊行為和違法操作進行追蹤定位;還應制定應急方案,在網絡系統(tǒng)出現故障和攻擊時及時采取措施。
5.2 網絡分段
網絡分段技術是指在網絡中傳輸的信息,可以被處在用以網絡平臺上其他節(jié)點的計算機截取的技術。采用這種技術可以限制用戶的非法訪問。比如,黑客通過網絡上的一個節(jié)點竊取該網絡上的數據信息,如果沒有任何限制,便能獲得所有的數據,而網絡分段技術則可以在這時,將黑客與網絡上的數據隔離,限制其非法訪問,進而保護了信息網絡的安全。
5.3 數據備份
重要數據的備份是網絡安全的重要工作。隨著網絡技術的迅速發(fā)展,備份工作也必須要與之一致,保證實時性和完整性,才能在出現緊急問題時發(fā)揮其應有的作用,恢復數據信息。整個龐大的信息網絡,備份的數據量也是很大的,要避免或減少不必要的備份;備份的時間也要恰當地選擇,盡量不影響用戶的使用;同時備份數據的存儲介質要選擇適當。
5.4 病毒檢測和防范
檢測也是信息安全中的一個重要環(huán)節(jié)。通過應用專業(yè)的檢測工具,對網絡進行不斷地檢測,能夠及時的發(fā)現漏洞和病毒,在最短時間內采取相應的措施。
病毒防范技術有很多,可以先分析網絡病毒的特征,建立病毒庫,在掃描數據信息時如果對象的代碼與病毒庫中的代碼吻合,則判斷其感染病毒;對于加密、變異的不易掃描出來的病毒可以通過虛擬執(zhí)行查殺;最基本的還是對文件進行實時監(jiān)控,一旦感染病毒,及時報警并采取相應的措施。
6 結束語
篇4
關鍵詞:網絡安全;網絡管理;防護;防火墻
中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2011)14-3302-02
隨著企業(yè)信息化進程的不斷發(fā)展,網絡已成為提高企業(yè)生產效率和企業(yè)競爭力的有力手段。目前,石化企業(yè)網絡各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運行,信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式,實現了企業(yè)內的資源共享。與此同時,網絡安全問題日益突出,各種針對網絡協(xié)議和應用程序漏洞的新型攻擊層出不窮,病毒威脅無處不在。
因此,了解網絡安全,做好防范措施,保證系統(tǒng)安全可靠地運行已成為企業(yè)網絡系統(tǒng)的基本職能,也是企業(yè)本質安全的重要一環(huán)。
1 石化企業(yè)網絡安全現狀
石化企業(yè)局域網一般包含Web、Mail等服務器和辦公區(qū)客戶機,通過內部網相互連接,經防火墻與外網互聯。在內部網絡中,各計算機處在同一網段或通過Vlan(虛擬網絡)技術把企業(yè)不同業(yè)務部門相互隔離。
2 企業(yè)網絡安全概述
企業(yè)網絡安全隱患的來源有內、外網之分,網絡安全系統(tǒng)所要防范的不僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問。企業(yè)網絡安全隱患主要如下:
1) 操作系統(tǒng)本身存在的安全問題
2) 病毒、木馬和惡意軟件的入侵
3) 網絡黑客的攻擊
4) 管理及操作人員安全知識缺乏
5) 備份數據和存儲媒體的損壞
針對上述安全隱患,可采取安裝專業(yè)的網絡版病毒防護系統(tǒng),同時加強內部網絡的安全管理;配置好防火墻過濾策略,及時安裝系統(tǒng)安全補?。辉趦取⑼饩W之間安裝網絡掃描檢測、入侵檢測系統(tǒng),配置網絡安全隔離系統(tǒng)等。
3 網絡安全解決方案
一個網絡系統(tǒng)的安全建設通常包含許多方面,主要為物理安全、數據安全、網絡安全、系統(tǒng)安全等。
3.1 物理安全
物理安全主要指環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等,包括機房環(huán)境安全、通信線路安全、設備安全、電源安全。
主要考慮:自然災害、物理損壞和設備故障;選用合適的傳輸介質;供電安全可靠及網絡防雷等。
3.2 網絡安全
石化企業(yè)內部網絡,主要運行的是內部辦公、業(yè)務系統(tǒng)等,并與企業(yè)系統(tǒng)內部的上、下級機構網絡及Internet互連。
3.2.1 VLAN技術
VLAN即虛擬局域網。是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。
借助VLAN技術,可將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環(huán)境 ,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。
3.2.2 防火墻技術
1) 防火墻體系結構
① 雙重宿主主機體系結構
防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統(tǒng)的主體,執(zhí)行分離外部網絡和內部網絡的任務。
② 被屏蔽主機體系結構
被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,強迫所有的外部主機與一個堡壘主機相連,而不讓其與內部主機相連。
③ 被屏蔽子網體系結構
被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器,位于堡壘主機的兩端,一端連接內網,一端連接外網。為了入侵這種類型的體系結構,入侵者必須穿透兩個屏蔽路由器。
2) 企業(yè)防火墻應用
① 企業(yè)網絡體系中的三個區(qū)域
邊界網絡。此網絡通過路由器直接面向Internet,通過防火墻將數據轉發(fā)到網絡。
網絡。即DMZ,將用戶連接到Web服務器或其他服務器,Web服務器通過內部防火墻連接到內部網絡。
內部網絡。連接各個內部服務器(如企業(yè)OA服務器,ERP服務器等)和內部用戶。
② 防火墻及其功能
在企業(yè)網絡中,常常有兩個不同的防火墻:防火墻和內部防火墻。雖然任務相似,但側重點不同,防火墻主要提供對不受信任的外部用戶的限制,而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。
在以上3個區(qū)域中,雖然內部網絡和DMZ都屬于企業(yè)內部網絡的一部分,但他們的安全級別不同,對于要保護的大部分內部網絡,一般禁止所有來自Internet用戶的訪問;而企業(yè)DMZ區(qū),限制則沒有那么嚴格。
3.2.3 VPN技術
VPN(Virtual Private Network)虛擬專用網絡,一種通過公用網絡安全地對企業(yè)內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內部網之間就好像架設了一條專線,但它并不需要真正地去鋪設光纜之類的物理線路。
企業(yè)用戶采用VPN技術來構建其跨越公共網絡的內聯網系統(tǒng),與Internet進行隔離,控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間,將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離,禁止外網直接訪問內網,控制內網的對外訪問。
3.3 應用系統(tǒng)安全
企業(yè)應用系統(tǒng)安全包括兩方面。一方面涉及用戶進入系統(tǒng)的身份鑒別與控制,對安全相關操作進行審核等。另一方面涉及各種數據庫系統(tǒng)、Web、FTP服務、E-MAIL等
病毒防護是企業(yè)應用系統(tǒng)安全的重要組成部分,企業(yè)在構建網絡防病毒系統(tǒng)時,應全方位地布置企業(yè)防毒產品。
在網絡骨干接入處,安裝防毒墻,對主要網絡協(xié)議(SMTP、FTP、HTTP)進行殺毒處理;在服務器上安裝單獨的服務器殺毒產品,各用戶安裝網絡版殺毒軟件客戶端;對郵件系統(tǒng),可采取安裝專用郵件殺毒產品。
4 結束語
該文從網絡安全及其建設原則進行了論述,對企業(yè)網絡安全建設的解決方案進行了探討和總結。石化企業(yè)日新月異,網絡安全管理任重道遠,網絡安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質安全。加強網絡安全建設,確保網絡安全運行勢在必行。
參考文獻:
[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學出版社,2010.
[2] 王文壽. 網管員必備寶典――網絡安全[M]. 北京:清華大學出版社,2007.
篇5
關鍵詞:網絡安全;安全防護;接入控制;防火墻;訪問權限
隨著計算機技術的發(fā)展和Internet的廣泛應用,越來越多的企業(yè)都實現了業(yè)務系統(tǒng)的電子化和網絡化,計算機網絡安全已成為企業(yè)信息安全的重要組成部分。但計算機網絡也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對企業(yè)的信息系統(tǒng)安全造成損害。
因此,如何提高計算機網絡的防御能力,增強網絡的安全性和可靠性,已成為企業(yè)網絡建設時必須考慮的問題。下面介紹一些網絡安全建設方面的策略,希望能為企業(yè)網絡建設提供一些參考。
一、 做好網絡結構安全設計
網絡結構安全的核心是網絡隔離,即將整個網絡按照系統(tǒng)功能、信息安全等級、工作地點等原則劃分為相對獨立的子網絡,使得當某個子網絡內發(fā)生安全故障時,有害信息不能或不易擴散到別的子網絡中。
各個子網絡之間應部署防火墻、網閘等網絡安全設備,實現信息系統(tǒng)隔離和訪問控制。同時,充分利用IP地址、VLAN、訪問控制列表等工具,實現子網絡之間的邏輯隔離。
二、 網絡設備的安全防護
網絡設備的安全防護是指同設備交互時的安全防護,一般用于設備的配置和管理。同設備的交互有以下幾種方式:
* 通過設備Console 口訪問。
* 異步輔助端口的本地/遠程撥號訪問
* TELNET訪問
* SNMP訪問
* HTTP訪問
針對這幾種交互方式,采取的安全策略如下:
(1) 用戶登錄驗證
必須要求設備配置身份驗證,如果設備未配,將拒絕接受用戶登錄,可以通過本地用戶驗證或RADIUS驗證實現。
(2) 控制臺超時注銷
控制臺訪問用戶超過一段時間對設備沒有交互操作,設備將自動注銷本次控制臺配置任務,并切斷連接。超時時間必須可配置,缺省為10分鐘。
(3) 控制臺終端鎖定
配置用戶離開配置現場,設備提供暫時鎖定終端的能力,并設置解鎖口令。
(4) 限制telnet用戶數目
設備對telnet用戶數量必需做出上限控制。
三、 部署用戶安全接入控制系統(tǒng)
用戶安全接入控制是指企業(yè)員工在使用終端訪問企業(yè)資源前,先要經過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后,終端可以訪問用戶授權的內部資源,認證不通過則被拒絕接入網絡。終端安全接入控制主要是防止不安全的終端接入網絡和防止非法終端用戶訪問企業(yè)內部網絡。
用戶接入控制可通過部署終端安全管理系統(tǒng)實現。終端安全管理系統(tǒng)是一個包括軟件和硬件整體系統(tǒng)。在用戶終端上安裝安全服務程序,在用戶使用網絡前,必須啟動程序,然后輸入身份信息進行登錄。由安全管控服務器對終端用戶進行身份認證和安全檢查。通過之后服務器把檢查結果通知安全接入網關,安全接入網關根據用戶的角色,開放終端用戶的訪問權限,有效的制止用戶的非法訪問和越權訪問。
四、 網絡數據流控制
網絡數據流控制通過數據包過濾來實現。通過網絡數據包過濾,可以限制網絡通信量,限制網絡訪問到特定的用戶和設備。
訪問列表可用來控制網絡上數據包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達到增強網絡安全性的目的。在端口上設定數據流過濾,防止企業(yè)內部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數據流通過網絡設備,原則上只允許本系統(tǒng)應用需要的應用數據流才能通過網絡設備。
五、 部署網絡防病毒軟件
網絡病毒的入口點是非常多的。在一個具有多個網絡入口的連接點的企業(yè)網絡環(huán)境中,病毒可以由軟盤、光盤、U盤等傳統(tǒng)介質進入,也可能由企業(yè)信息網等進入,還有可能從外部網絡中通過文件傳輸等方式進入。所以不僅要注重單機的防毒,更要重要網絡的整體防毒措施。
任何一點沒有部署防病毒系統(tǒng),對整個網絡都是一個安全的威脅。網絡中應部署一套網絡防病毒系統(tǒng),在所有重要服務器、操作終端安裝殺毒軟件。通過網絡殺毒服務器及時更新病毒庫及殺毒引擎,保證內部網絡安全、穩(wěn)定的運行。
六、 內部網絡使用安全
* 內部系統(tǒng)中資源共享
嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全,但對一般用戶而言,還是起到一定的安全防護,即使有刻意破解者,只要口令設得復雜些,也得花費相當長的時間。
* 信息存儲
對有涉及企業(yè)秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,包括本地備份和遠程備份存儲。
* 構建安全管理平臺
構建安全管理平臺將會降低很多因為無意的人為因素而造成的風險。構建安全管理平臺從技術上如:組成安全管理子網,安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網絡設備管理系統(tǒng)以及網絡安全設備統(tǒng)一管理軟件。通過安全管理平臺實現全網的安全管理。
總之,網絡安全是一個系統(tǒng)的工程,要用系統(tǒng)的思想來建設全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務,需要不斷的探索。網絡安全建設不能僅僅依靠于技術手段,而應建立包括安全規(guī)范、規(guī)章制度、人員培訓等全面的管理體系,提高全體員工的安全防范意識,保護好每臺接入網絡中的設備,才能實現高速穩(wěn)定安全的信息化網絡系統(tǒng)。
參考文獻:
篇6
【關鍵詞】信息系統(tǒng);安全建設;防護體系
1.企業(yè)信息系統(tǒng)安全防護的價值
隨著企業(yè)信息化水平的提高,企業(yè)對于IT系統(tǒng)的依賴性也越來越高。一方面,“業(yè)務系統(tǒng)流程化”正在成為IT安全建設的驅動力。企業(yè)的新業(yè)務應用正在逐漸標準化和流程化,各種應用系統(tǒng)如ERP、MES為企業(yè)的生產效率的提高起到了關鍵的作用。有效的管控IT環(huán)境,確保IT業(yè)務系統(tǒng)的持續(xù)穩(wěn)定運行作為企業(yè)競爭力的一部分,已成為IT系統(tǒng)安全防護的主要目標和關鍵驅動力。另一方面,企業(yè)IT安全的建設也是“法規(guī)遵從”的需要。IT系統(tǒng)作為企業(yè)財務應用系統(tǒng)的重要支撐,必須提供可靠的運行保障和數據正確性保證。
2.企業(yè)信息系統(tǒng)安全建設的現狀分析
在企業(yè)信息化建設的過程中,業(yè)務系統(tǒng)的建設一直是關注的重點,但是IT業(yè)務系統(tǒng)的安全保障方面,往往成為整個信息化最薄弱的環(huán)節(jié),尤其是在信息化水平還較低的情況下,IT系統(tǒng)的安全建設缺乏統(tǒng)一的策略作為指導。歸結起來,企業(yè)在IT系統(tǒng)安全建設的過程中,存在以下幾方面的不足:
2.1 安全危機意識不足,制度和規(guī)范不健全
盡管知道IT安全事故后果比較嚴重,但是企業(yè)的高層領導心中仍然存在著僥幸心理,更多的時候把IT安全建設的預算挪用到其他的領域。企業(yè)在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規(guī)范保證,由此帶來的后果是諸如對網絡的任意使用,導致公司的機密文檔被擴散。同時在發(fā)生網絡安全問題的時候,也因為缺乏預先設置的各種應急防護措施,導致安全風險得不到有效控制。
2.2 應用系統(tǒng)和安全建設相分離,忽視數據安全存儲建設
在企業(yè)IT應用系統(tǒng)的建設時期,由于所屬的建設職能部門的不同,或者是因為投資預算的限制,導致在應用系統(tǒng)建設階段并沒有充分考慮到安全防護的需要,為后續(xù)的應用系統(tǒng)受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失;各種自然災難、IT系統(tǒng)故障,也對數據安全帶來了巨大沖擊。遺憾的是很多企業(yè)在數據的安全存儲方面,并沒有意識到同城異地災難備份或遠程災難備份的重要性。
2.3 缺乏整體的安全防護體系,“簡單疊加、七國八制”
對于信息安全系統(tǒng)的建設,“頭痛醫(yī)頭、腳痛醫(yī)腳”的現象比較普遍。大多數企業(yè)仍然停留在出現一個安全事故后再去解決一個安全隱患的階段,缺乏對信息安全的全盤考慮和統(tǒng)一規(guī)劃,這樣的后果就是網絡上的設備五花八門,設備方案之間各自為戰(zhàn),缺乏相互關聯,從而導致了多種問題。
3.企業(yè)信息系統(tǒng)安全建設規(guī)劃的原則
企業(yè)的信息化安全建設的目標是要保證業(yè)務系統(tǒng)的正常運轉從而為企業(yè)帶來價值,在設計高水平的安全防護體系時應該遵循以下幾個原則:
(1)統(tǒng)一規(guī)劃設計。信息安全建設,需要遵循“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設計、統(tǒng)一建設”的原則;應用系統(tǒng)的建設要和信息安全的防護要求統(tǒng)一考慮。
(2)架構先進,突出防護重點。要采用先進的架構,選擇成熟的主流產品和符合技術發(fā)展趨勢的產品;明確信息安全建設的重點,重點保護基礎網絡安全及關鍵應用系統(tǒng)的安全,對不同的安全威脅進行有針對性的方案建設。
(3)技術和管理并重,注重系統(tǒng)間的協(xié)同防護?!叭旨夹g,七分管理”,合理劃分技術和管理的界面,從組織與流程、制度與人員、場地與環(huán)境、網絡與系統(tǒng)、數據與應用等多方面著手,在系統(tǒng)設計、建設和運維的多環(huán)節(jié)進行綜合協(xié)同防范。
(4)統(tǒng)一安全管理,考慮合規(guī)性要求。建設集中的安全管理平臺,統(tǒng)一處理各種安全事件,實現安全預警和及時響應;基于安全管理平臺,輸出各種合規(guī)性要求的報告,為企業(yè)的信息安全策略制定提供參考。
(5)高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求,是業(yè)務連續(xù)性的需要,是滿足企業(yè)發(fā)展擴容的需要。
4.企業(yè)信息系統(tǒng)安全建設的部署建議
以ISO27001等企業(yè)信息安全法規(guī)[1]遵從的原則為基礎,通過分析企業(yè)信息安全面臨的風險和前期的部署實踐,建立企業(yè)信息安全建設模型,如圖1所示。
圖1 企業(yè)信息系統(tǒng)安全建設模型
基于上述企業(yè)信息安全建設模型,在建設終端安全、網絡安全、應用安全、數據安全、統(tǒng)一安全管理和滿足法規(guī)遵從的全面安全防護體系時,需要重點關注以下幾個方面的部署建議:
4.1 實施終端安全,關注完整的用戶行為關聯分析
在企業(yè)關注的安全事件中,信息泄漏是屬于危害比較嚴重的行為?,F階段由于企業(yè)對網絡的管控不嚴,員工可以通過很多方式實現信息外泄,常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為,企業(yè)在建設信息安全防護體系的時候,單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統(tǒng)一規(guī)劃實施的安全防護體系中,系統(tǒng)從用戶接入的那一時刻開始,就對用戶的桌面行為進行監(jiān)控,同時配合internet上網行為審計設備,對該員工的上網行為進行監(jiān)控和審計,真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監(jiān)控之中,提升企業(yè)的防護水平。
4.2 建設綜合的VPN接入平臺
無論是IPSec、L2TP,還是SSL VPN,都是企業(yè)在VPN建設過程中必然會遇到的需求。當前階段,總部與分支節(jié)點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認證方式統(tǒng)一是需要重點考慮的問題。而統(tǒng)一接入認證的方式,如采用USBKEY等,甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便,從而提升企業(yè)整體的VPN接入水平。
4.3 優(yōu)化安全域的隔離和控制,實現L2~L7層的安全防護
在建設安全邊界防護控制過程中,面對企業(yè)的多個業(yè)務部門和分支機構,合理的安全域劃分將是關鍵。按照安全域的劃分原則,企業(yè)網絡包括內部園區(qū)網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分,各安全域之間的相互隔離和訪問策略是防止安全風險的重要環(huán)節(jié)。在多樣化安全域劃分的基礎上,深入分析各安全域內的業(yè)務單元,根據企業(yè)持續(xù)性運行的高低優(yōu)先級以及面臨風險的嚴重程度,設定合適的域內安全防護策略及安全域之間的訪問控制策略,實現有針對性的安全防護。例如,選擇FW+IPS等設備進行深層次的安全防護,或者提供防垃圾郵件、Web訪問控制等解決方案進行應對,真正實現L2~L7層的安全防護。
4.4 強調網絡和安全方案之間的耦合聯動,實現網絡安全由被動防御到主動防御的轉變
統(tǒng)一規(guī)劃的技術方案,可以做到方案之間的有效關聯,實現設備之間的安全聯動。在實際部署過程中,在接入用戶側部署端點準入解決方案,實現客戶端點安全接入網絡。同時啟動安全聯動的特性,一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊,可以實現對攻擊者接入位置的有效定位,并采取類似關閉接入交換機端口的動作響應,真正實現從被動防御向主動防御的轉變。
4.5 實現統(tǒng)一的安全管理,體現對整個網安全事件的“可視、可控和可管”
統(tǒng)一建設的安全防護系統(tǒng),還有一個最為重要的優(yōu)勢,就是能實現對全網安全設備及安全事件的統(tǒng)一管理。面對各種安全設備發(fā)出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實現對全網安全事件的統(tǒng)一分析和報警管理。因此在規(guī)劃之初,就需要考慮到各種安全設備之間的日志格式的統(tǒng)一化,需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規(guī)性的報表,只有這樣才能做到對全網安全事件的統(tǒng)一可視、安全設備的統(tǒng)一批量配置下發(fā),以及整網安全設備的防控策略的統(tǒng)一管理,最終實現安全運行中心管控平臺的建設。[3]
4.6 關注數據存儲安全,強調本地數據保護和遠程災難備份相結合
在整體數據安全防護策略中,可以采用本地數據保護和遠程災備相結合的方式?;贑DP的數據連續(xù)保護技術可以很好地解決數據本地安全防護的問題,與磁帶庫相比,它具有很多的技術優(yōu)勢。在數據庫的配合下,通過連續(xù)數據快照功能實現了對重要數據的連續(xù)數據保護,用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態(tài),同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時,可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上,生產中心和災備中心采用基于磁盤陣列的異步復制技術,實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器,以提供對關鍵業(yè)務的應用級接管能力,從而實現對數據安全的有效防護。
5.結束語
企業(yè)信息安全防護體系的建設是一個長期的持續(xù)的工作,不是一蹴而就的,就像現階段的信息安全威脅也在不斷的發(fā)展和更新,針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業(yè)的信息安全建設之中,這種動態(tài)的過程將使得企業(yè)的信息安全防護更有生命力和主動性,真正為企業(yè)的業(yè)務永續(xù)運行提供保障。
參考文獻
[1]李納.計算機系統(tǒng)安全與計算機網絡安全淺析[J].科技與企業(yè),2013.
[2]李群,周相廣,陳剛.中國石油上游信息系統(tǒng)災難備份技術與實踐[J].信息技術與信息化,2010,06.
篇7
隨著網絡與信息技術在我們經濟和生活各個領域的快速發(fā)展,企業(yè)也紛紛打造自身的網絡信息平臺。信息技術正逐漸影響著我們生活和工作的方式,在信息技術帶給我們巨大便利的同時,網絡與信息安全的各類問題也在不斷攀升。面對眾多網絡攻擊行為,安全風險面臨重要的挑戰(zhàn)。因此,探討企業(yè)網絡與信息安全風險,強化安全防護管理措施,保障企業(yè)業(yè)務安全穩(wěn)定發(fā)展具有十分重要的意義。
關鍵詞
企業(yè)網絡;信息安全;防護
隨著網絡與信息技術在我們經濟和生活各個領域的快速發(fā)展,企業(yè)也紛紛打造自身的網絡信息平臺。信息技術正逐漸影響著我們生活和工作的方式,在信息技術帶給我們巨大便利的同時,網絡與信息安全的各類問題也在不斷攀升。面對眾多網絡攻擊行為,安全風險面臨重要的挑戰(zhàn)。因此,探討企業(yè)網絡與信息安全風險,強化安全防護管理措施,保障企業(yè)業(yè)務安全穩(wěn)定發(fā)展具有十分重要的意義。
1網絡與信息安全風險分析
面對日益增加,不斷涌現的網絡攻擊行為,企業(yè)在鞏固和加強基本的網絡與信息安全的基礎上,仍不同程度上存在一定的安全風險,主要包括以下方面。
1.1物理安全風險
物理安全是網絡與信息系統(tǒng)安全的基礎。物理安全風險主要包括雷擊、水災、火災等環(huán)境事故導致大部分或整個系統(tǒng)的癱瘓;供配電系統(tǒng)故障導致設備斷電而造成的業(yè)務服務中斷;機房環(huán)控及報警系統(tǒng)缺失造成設備被盜、被損;電磁輻射可能造成重要數據的信息泄露或非法截獲;人為操作失誤或錯誤造成的系統(tǒng)宕機或數據庫信息丟失等。
1.2網絡安全風險
企業(yè)在網絡平臺建設的初期,安全意識不高,沒有從整體網絡與信息安全的角度出發(fā)進行統(tǒng)籌規(guī)劃,網絡與信息安全風險主要存在網絡結構風險、網絡邊界風險、入侵檢測風險、流量管理風險、遠程安全接入風險5個方面。網絡結構風險方面,企業(yè)網絡結構中缺少冗余設計,網絡中關鍵設備易形成單點故障,影響了整體網絡系統(tǒng)故障恢復的能力。網絡邊界風險方面,企業(yè)網絡系統(tǒng)中不同網絡區(qū)域間通信管控能力不足,數據的安全訪問不能得到有效控制,存在非法訪問的風險。入侵檢測風險方面,在企業(yè)局域網內缺少入侵檢測手段,無法對局域網內引發(fā)的網絡安全攻擊事件進行有效檢測與報警。入侵者通過滲透以獲取用戶系統(tǒng)控制權,并傳播木馬病毒形成僵尸網絡,甚至發(fā)起拒絕服務攻擊,使企業(yè)的業(yè)務服務面臨中斷風險。流量管理風險方面,企業(yè)用戶在網絡帶寬使用過程中,存在過度資源濫用情況,業(yè)務流量帶寬受到擠壓,帶寬使用效率大幅降低。遠程接入風險方面,企業(yè)網絡系統(tǒng)沒有采取可信認證與加密遠程接入的訪問機制,造成非可信身份訪問企業(yè)內部網絡,導致信息泄露風險。
1.3系統(tǒng)安全風險
系統(tǒng)安全風險一般指主機或終端自身系統(tǒng)防護能力不足導致容易發(fā)生病毒和惡意代碼攻擊、非法使用、數據截取等安全事件。系統(tǒng)安全風險主要包括身份認證風險、系統(tǒng)安全配置風險、系統(tǒng)漏洞風險、病毒和惡意代碼風險這4個方面。身份認證風險方面,企業(yè)在網絡系統(tǒng)中由于采用單一身份鑒別技術,導致攻擊者易假冒合法用戶獲得資源的訪問權限,對系統(tǒng)和數據安全造成威脅。系統(tǒng)漏洞與安全配置風險方面,由于系統(tǒng)補丁未得到及時更新,安全配置未能形成統(tǒng)一化、標準化安全部署,導致企業(yè)網絡與信息系統(tǒng)存在大量的安全盲點。病毒和惡意代碼風險方面,企業(yè)網絡中主機及終端系統(tǒng)中防病毒軟件升級滯后,導致防護軟件存在查殺能力不足,系統(tǒng)易受病毒和惡意代碼的攻擊。
1.4應用安全風險
應用安全風險涉及很多方面,并且與具體的應用有關。應用系統(tǒng)的安全是動態(tài)的、不斷變化的,需要我們針對不同的應用進行安全漏洞的檢測,從而采取相應的安全措施,降低應用的安全風險。應用安全風險主要包括文件及數據庫安全風險、病毒侵害風險、未經授權的訪問、數據信息篡改,破壞了數據的完整性等。
1.5管理安全風險
安全管理是網絡與信息安全得到保證的重要組成部分,從管理層面分析,管理安全風險主要包括:安全管理制度不夠健全,關鍵活動的審批流程未建立或不夠明確,導致責權不明;工作人員的操作權限缺乏合理的劃分與分配,操作混亂;網絡安全管理和技術人員缺乏必要的安全意識、安全知識和教育的培訓;安全管理體系有待健全和完善,在主動防范網絡與信息安全風險的管理手段有所不足,安全控制措施有待進一步有效發(fā)揮。從上述網絡與信息安全風險分析,由此所引發(fā)的安全事件,一般情況下將會導致網絡與信息系統(tǒng)在可用性、可靠性、可恢復性方面大幅下降。因此,針對安全風險制定切實可行的解決措施,提高網絡與信息安全的整體防護能力和水平,是保障企業(yè)網絡與信息系統(tǒng)安全穩(wěn)定運行的關鍵所在。
2網絡與信息安全防護的主要措施
參照信息系統(tǒng)安全等級保護基本要求,根據網絡與信息安全建設存在的主要問題,切實結合企業(yè)自身實際需求,逐步建設形成多層保護、重點突出、持續(xù)運行的安全保障體系,將企業(yè)網絡與信息安全防護工作落實到建設、防護、管理等的各個環(huán)節(jié),保障企業(yè)網絡與信息安全的整體性。因此,根據此主要思路提出保障企業(yè)網絡與信息安全的總體原則與主要措施意見。
2.1總體原則
1)統(tǒng)籌規(guī)劃,分步實施。建立健全完善企業(yè)網絡與信息整體安全防護體系是一項長期的系統(tǒng)工程,其所涉及到各層面、各系統(tǒng)的安全問題要在國家信息安全法律法規(guī)及標準規(guī)范框架內,根據對信息安全風險分析的綜合考慮進行統(tǒng)籌規(guī)劃,制定統(tǒng)一、完整、動態(tài),可控的安全防護系統(tǒng)設計,分步驟、分階段的進行實施。
2)以用促建,合理投入。為保障企業(yè)網絡系統(tǒng)長期、安全、穩(wěn)定運行,依據企業(yè)網絡不同時期所面臨威脅的嚴重程度,在考慮安全防護經費投入與數據及其應用系統(tǒng)防護價值的性價比基礎上實施安全防護體系的建設。安全設備在性能功能的選擇上,要安全適度,不盲目超前,既要滿足業(yè)務應用當前安全防護需求,又能適應未來安全防護的調整升級。
3)主動預防為主,應急恢復為輔??紤]到現代網絡安全防護的復雜性和多變性,企業(yè)網絡與信息安全防護,應以主動預防為主,盡量將安全隱患消除在安全事件發(fā)生之前。要提前制定好安全事件處理的應急預案,熟悉并掌握應對各種事件發(fā)生的安全措施及辦法,最大限度地降低安全事件的損失程度。
4)動態(tài)管理,持續(xù)改進。企業(yè)網絡與信息安全防護是一個動態(tài)的變化過程,要對安全風險實施動態(tài)管理,針對不斷出現的新的安全威脅與漏洞持續(xù)改進完善企業(yè)網絡安全措施,始終將網絡與信息安全風險控制在可接受的范圍。
2.2主要措施意見
1)合理劃分網絡安全區(qū)域。企業(yè)從整體網絡與信息安全角度出發(fā),綜合分析網絡系統(tǒng)中存在的普遍問題,采取結構化網絡設計思想,結合網絡安全域劃分原則,對企業(yè)網絡系統(tǒng)進行合理的安全區(qū)域劃分。依據安全域劃分,建議采取相應的網絡邊界安全防護措施,實現網絡安全隔離,邊界間聯合防御,對病毒進行有效攔截及區(qū)域管控。在應對滲透攻擊方面也能積極起到縱深防御效果,完善企業(yè)網絡系統(tǒng)抗攻擊,抗風險的能力。
2)規(guī)范網絡資源的有效使用。規(guī)范企業(yè)網絡資源的有效使用,增強局域網終端用戶的安全審計,有效對網絡中的各種行為采取更加細粒度的安全識別和控制的措施。同時,可對網絡流量、終端上網行為進行實時分析和審計,做到有據可查。從而,有效優(yōu)化網絡資源使用效率,幫助企業(yè)管理層全面了解網絡應用狀況與趨勢,增強網絡資源對企業(yè)業(yè)務服務提供強支撐能力。
3)增強終端用戶的網絡安全防護措施。增強企業(yè)網絡安全意識,提高終端用戶安全防護措施,采取網絡防病毒、終端安全核心配置等措施,通過安全策略的統(tǒng)一分發(fā)及部署,企業(yè)管理人員可全面直觀掌握網絡中的安全狀況,如終端漏洞、終端病毒、終端升級等情況一目了然。有助于管理人員提高企業(yè)安全風險分析的能力及快速解除安全威脅的響應能力。
4)創(chuàng)新開展具有自身特色的網絡運維管理服務新模式。面對信息化技術的飛速發(fā)展及網絡應用的不斷深入,在增強自身網絡安全意識的同時,應不斷學習新的防范技術,豐富防范手段;不斷借鑒成熟的技術成果,對照自身網絡特點,研究符合自身網絡安全防護技術,不斷深入實踐,總結經驗教訓,把技術理論與實踐經驗有效結合,創(chuàng)新開展具有自身特色的網絡運維管理服務新模式。
篇8
【關鍵詞】網絡安全;防火墻;VPN;VLAN
一、引言
隨著電力施工企業(yè)信息化發(fā)展的不斷深入,企業(yè)對信息系統(tǒng)的依賴程度越來越高,信息與網絡安全直接影響到企業(yè)生產、經營及管理活動,甚至直接影響企業(yè)未來發(fā)展。企業(yè)網絡規(guī)模的擴大、信息接入點增多、分布范圍廣,使信息接入點管控難度大。企業(yè)信息與網絡安全面臨各類威脅,筆者以構建某電力施工企業(yè)信息與網絡安全體系為例,從信息安全管理、技術實施方面進行闡述與分析,建立一套比較完整信息化安全保障體系,保障業(yè)務應用的正常運行。
二、企業(yè)網絡安全威脅問題分析
1.企業(yè)網絡通信設備存的安全漏洞威脅,網絡非法入侵者可以采用監(jiān)聽數據、嗅探數據、截取數據等方式收集信息,利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。
2.非法入侵用戶對網絡系統(tǒng)的知識結構非常清楚,包括企業(yè)外部人員、企業(yè)內部熟悉網絡技術的工作人員,利用內部網絡進行惡意操作。非法用戶入侵企業(yè)內部網絡主要采用非法授權訪問對企業(yè)內部網絡進行惡意操作,以達到竊取商業(yè)機密的目的;獨占網絡資源的方式,非業(yè)務數據流(如P2P文件傳輸與即時通訊等)消耗了大量帶寬,輕則影響企業(yè)業(yè)務無法正常運作,重則致使企業(yè)IT系統(tǒng)癱瘓,對內部網絡系統(tǒng)造成損壞。
3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統(tǒng)。病毒感染可能造成網絡通信阻塞、文件系統(tǒng)破壞,系統(tǒng)無法提供服務甚至重要數據丟失。病毒的傳播非常迅速;蠕蟲是通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓;間諜軟件在用戶不知情的情況下進行非法安裝,并把截獲的機密信息發(fā)送給第三者。
4.隨著企業(yè)信息化平臺、一體化系統(tǒng)投入運行,大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸,信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大;當非法入侵者以不正當的手段獲得系統(tǒng)授權后??梢詫ζ髽I(yè)內部網絡的信息資源執(zhí)行非法操作,包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等,甚至竊取用戶的個人隱私信息,阻止合法用戶的正常使用,造成破壞和損失。保護信息資源,保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。
三、企業(yè)信息與網絡安全策略
結合電力施工企業(yè)業(yè)務廣范圍大特點,提出一套側重網絡準入控制的信息安全解決方案,保障企業(yè)網絡信息安全。
1.遠程接入VPN安全解決方案
施工企業(yè)擁有多個項目部,地域范圍廣,項目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求,確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部,通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證,根據認證結果分配相應權限,實現對內部資源的訪問控制。
2.邊界安全解決方案
在系統(tǒng)互聯網出口部署防火墻(集成防病毒和網絡安全監(jiān)控模塊)和IPS設備,同時通過防火墻和IPS將企業(yè)內部網、數據中心、互聯網等安全區(qū)域分隔開,并通過制定相應的安全規(guī)則,以實現各區(qū)域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心,郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。
(1)通過防火墻在網絡邊界建立網絡通信監(jiān)控系統(tǒng),監(jiān)測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況,控制非法訪問、增強網絡信息保密性、記錄和統(tǒng)計網絡數據并對非法入侵報警提示等,達到保障計算機網絡安全的目的。
(2)在防火墻上開啟防病毒模塊,可以在網關處阻止病毒、木馬等威脅的傳播,保護網絡內部用戶免受侵害,改變了原有被動等待病毒感染的防御模式,實現網絡病毒的主動防御,切斷病毒在網絡邊界傳遞的通道。
(3)以入侵防御系統(tǒng)IPS應用層安全設備,作為防火墻的重要補充,很好的解決了應用層防御安全威脅,通過在線部署,IPS可以檢測并直接阻斷惡意流量。
(4)將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態(tài)、Web訪問內容、外發(fā)信息、網絡應用、帶寬占用情況等進行實時監(jiān)控,在上網行為管理設備上設置不同的策略,阻擋P2P應用,釋放網絡帶寬,有效地解決了內部網絡與互聯網之間的安全使用和管理問題。
3.內網安全解決方案
內網安全是網絡安全建設的重點,由于內網節(jié)點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,也是安全建設的難點。
(1)主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,將信任網段與不信任網段劃分在不同的VLAN段內,實現內部一個網段與另一個網段的物理隔離,防止影響一個網段的安全事故透過整個網絡傳播,限制局部網絡安全問題對全局網絡造成的影響。
(2)建立企業(yè)門戶系統(tǒng),用戶的訪問控制部署統(tǒng)一的用戶認證服務,實現單點登錄功能,統(tǒng)一存儲所有應用系統(tǒng)的用戶認證信息,而授權等操作則由各應用系統(tǒng)完成,即統(tǒng)一存儲、分布授權。
(3)系統(tǒng)軟件部署安全、漏洞更新,定期對系統(tǒng)進行安全更新、漏洞掃描,自動更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件,定期更新最新病毒定義文件,制定統(tǒng)一的策略,客戶端定期從病毒服務器下載安裝新的病毒定義文件,有效減少了病毒的影響;配置郵件安全網關系統(tǒng),為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能,有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。
4.數據中心安全解決方案
作為數據交換最頻繁、資源最密集的地方,數據中心出現任何安全防護上的疏漏必將導致不可估量的損失,因此數據中心安全解決方案十分重要。
(1)構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上,通過防火墻可以把安全信任網絡和非安全網絡進行隔離,并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力,即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為,也可以對分布在網絡中的各種流量進行有效管理,從而達到對網絡應用層的保護。
(2)建立數據備份和異地容災方案,建立了完善的數據備份體系,保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點,通過網絡以異步的方式,把主站點的數據備份到備份站點,利用地理上的分離來保證系統(tǒng)和數據對災難性事件的抵御能力。
5.安全信息管理與培訓
(1)網絡管理是計算機網絡安全重要組成部分,在組織架構上,應采用虛擬團隊的模式,成立了相關信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個層面為網絡信息安全工作提供保障。建立規(guī)范嚴謹的管理制度,制定相應的規(guī)范、配套制度能保證規(guī)范執(zhí)行到位,保障了網絡信息安全工作的“有章可循,有據可查”。主要涉及:安全策略管理、業(yè)務流程管理、應用軟件開發(fā)管理、操作系統(tǒng)管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等。
(2)人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓,特別加強是對專業(yè)信息人員的培訓工作。
四、結束語
該企業(yè)信息與網絡安全體系建設以技術、管理的安全理念為核心,從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面,構建一個多層次、全方位網絡防護體系。在統(tǒng)一的安全策略基礎上,利用安全產品間的分工協(xié)作,并針對局部關鍵問題點進行安全部署,使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理,達到提升網絡對安全威脅的整體防御能力。
參考文獻
篇9
1信息安全總體設計及實踐
1.1網絡安全要求及問題
1.1.1信息安全的最終實現目標為應對市場競爭,提高企業(yè)生產經營效率,滿足企業(yè)信息化建設的需要,汽車制造業(yè)應借鑒國內先進的信息技術和安全管理經驗,建立一套企業(yè)信息化辦公網絡,并逐步加強網絡傳輸的安全建設,和網絡安全管理手段。以保障企業(yè)信息化的穩(wěn)定運行。2.1.2系統(tǒng)和應用的脆弱性企業(yè)信息化辦公網絡建成后為企業(yè)經營和管理帶來了極大的便利,生產經營效率明顯提高。但同時引發(fā)了很多的技術問題:跨省專線費用太高,且鏈路發(fā)生故障之后的報修、排故、恢復程序極其繁雜,嚴重影響效率;無法滿足移動辦公的需求,無法滿足上下游供應商的使用需求;與互聯網連接時常受到攻擊導致業(yè)務中斷;內部人員未經授權許可訪問互聯網導致病毒攻擊內部辦公網等等。
1.1.3常見網絡風險通過系統(tǒng)的網絡安全技術學習,汽車制造業(yè)信息化人員應掌握企業(yè)網絡信息化建設過程中大量常見的網絡風險和防范手段:Backdo(各種后門和遠程控制軟件,例如BO、Netbus等)、BruteFce(各種瀏覽器相關的弱點,例如自動執(zhí)行移動代碼等)、CGI-BIN(各種CGI-BIN相關的弱點,例如PHF、wwwboard等)、Daemons(服務器中各種監(jiān)守程序產生弱點,例如amd,nntp等)、DCOM(微軟公司DCOM控件產生的相關弱點)、DNS(DNS服務相關弱點,例如BIND8.2遠程溢出弱點)、E-mail(各種郵件服務器、客戶端相關的安全弱點,例如Qpopper的遠程溢出弱點)、Firewalls(各種防火墻及其產生的安全弱點,例如GauntletFirewallCyberPatrol內容檢查弱點)、FTP(各種FTP服務器和客戶端相關程序或配置弱點,例如WuFTPDsiteexec弱點)、InfmationGathering(各種由于協(xié)議或配置不當造成信息泄露弱點,例如finger或rstat的輸出)、InstantMessaging(當前各種即時消息傳遞工具相關弱點,例如OICQ、IRC、Yahoomessager等相關弱點)、LDAP(LDAP服務相關的安全弱點)、Netwk(網絡層協(xié)議處理不當引發(fā)的安全弱點,例如LAND攻擊弱點)、NetwkSniffers(各種竊聽器相關的安全弱點,例如NetXRay訪問控制弱點)、NFS(NFS服務相關的安全弱點,例如NFS信任關系弱點)、NIS(NIS服務相關的安全弱點,例如知道NIS域名后可以猜測口令弱點)、NTRelated(微軟公司NT操作系統(tǒng)相關安全弱點)、ProtocolSpoofing(協(xié)議中存在的安全弱點,例如TCP序列號猜測弱點)、Router/Switch(各種路由器、交換機等網絡設備中存在的安全弱點,例如CiscoIOS10.3存在拒絕服務攻擊弱點)、RPC(RPC(SUN公司遠程過程調用)服務相關的弱點,例如rpc.ttdbserver遠程緩沖區(qū)溢出弱點)、Shares(文件共享服務相關的安全弱點,BIOS/Samba等相關弱點,例如Samba緩沖區(qū)溢出弱點)、SNMP(SNMP協(xié)議相關的安全弱點,例如利用“public”進行SNMP_SET操作)、UDP(UDP協(xié)議相關弱點,例如允許端口掃描等)、WebScan(Web服務器相關安全弱點,例如IISASPdot弱點)、XWindows(X服務相關安全弱點)、Management(安全管理類漏洞)等。
1.2網絡安全加固及應用拓展改造
針對上述網絡風險,汽車制造業(yè)應加強自身的網絡安全建設,強化網絡安全管理。重點進行了四個方面的技術改造:防火墻(VPN)、上網行為管理、入侵防御及桌面管理系統(tǒng)。
1.2.1訪問控制——防火墻部署防火墻之后,內部辦公網絡的IP地址與MAC地址捆綁,授權上網用戶實名制管理,根據工作需要申請和審批上網時間和訪問權限。內部VLAN劃分,把不同部門用VLAN劃分為不同的域以區(qū)分管理。重要數據庫服務器和存儲設備與辦公網隔離。嚴格管理和控制內外網對數據庫的訪問。
1.2.2遠程用戶加密訪問——VPN為保障企業(yè)運營效率,根據不同的工作人員分配不同的權限,可以在出差途中或家中處理緊急公務。并細化配置其VPN功能對企業(yè)內網的訪問權限,可以實現工作需要,保障企業(yè)內部流程效率
1.2.3內網用戶網絡行為監(jiān)控——上網行為管理系統(tǒng)通過對進程的審計可以了解到當前服務器的運行情況以及客戶端的使用情況,對非法的行為可以限制非法進程(包括病毒進程、聊天軟件進程等)的運行,非法軟件的安全,隨意的修改IP地址而導致的IP沖突等;內網用戶的網絡行為監(jiān)控,可以極大程度地避免企業(yè)內網的安全風險。
1.2.4外網攻擊的防護措施——入侵防御與防病毒采用入侵防御系統(tǒng),具備7層檢索比對入侵防御設備需要的高速芯片,同時具備硬件BYPASS功能和自動報警功能,當設備自身出現故障時不能中斷網絡運行,最大限度地避免單點故障對網絡穩(wěn)定運行的風險。
1.2.5桌面端管理通過桌面端管理套件核心服務器管理全網所有客戶端。所有的管理數據統(tǒng)一保存在核心服務器后臺的數據庫中。通過角色管理可以使用管理套件控制臺直接查看AD架構,而無需在管理套件中復制AD角色。同時可以分配管理套件權限給AD組或OU(ganizationunits),在分配權限時支持繼承的概念。
2結論
篇10
【關鍵詞】交換機;路由器;網絡;安全
企業(yè)網絡面臨的安全威脅不但來自病毒和木馬,而且還有內部網絡數據被盜、操作系統(tǒng)和軟件自身存在一些漏洞所造成的危害等,這就需要采取一定的技術措施來防范。
網絡互聯設備一般可分為網內互聯設備和網間互聯設備,為了構建安全的企業(yè)互聯網絡,設備的管理和配置非常重要。從網絡管理和安全方面來說,交換機和路由器起著非常重要的地位,它們是企業(yè)網絡中的核心設備,一些攻擊例如:利用路由器軟件版本的漏洞進行攻擊,非法用戶偽裝企業(yè)用戶修改路由信息等,以使機密泄露或導致路由器癱瘓而不能正常運行。為了保障企業(yè)網絡的安全,防止攻擊者入侵,導致網絡癱瘓,必須對網絡設備進行安全管理。
1.概述
傳統(tǒng)的網絡安全技術側重于系統(tǒng)入侵檢測,反病毒軟件或防火墻。在網絡安全構造中,交換機和路由器是非常重要的,在七層網絡中每一層都必須是安全的。很多交換機和路由器都有豐富的安全功能,要了解有些什么,如何工作,如何部署,一層有問題時不會影響整個網絡。交換機和路由器被設計成缺省安全的,出廠時就處于安全設置的狀態(tài),特別操作的設置在用戶要求時才會被激活,所有其他選項都是關閉的,以減少危險。
1.1密碼設置
在初始登錄路由器及交換機時會被強制要求更改密碼,也有密碼的期限選項及登錄嘗試的次數限制,而且以加密方式存儲。交換機及路由器在掉電,熱啟動、冷啟動,升級IOS、硬件或一個模塊失敗的情況下都必須是安全的,而且在這些事件發(fā)生后應該不會危及安全并恢復運作,因為日志的原因,網絡設備應該通過網絡時間協(xié)議保持安全精確的時間。
1.2抵擋DoS攻擊
從可用性出發(fā),交換機和路由器需要能抵擋拒絕服務式Dos攻擊,并在攻擊期間保持可用性。理想狀態(tài)是他們在受到攻擊時應該能夠做出反應,屏蔽攻擊IP及端口。每件事件都會立即反應并記錄在日志中,同時他們也能識別并對蠕蟲攻擊做出反應。
1.3漏洞管理
交換機及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代碼漏洞,在漏洞被發(fā)現報告后,應該及時安裝升級包或補丁。
1.4權限管理
基于角色的管理給予管理員最低程度的許可來完成任務,允許分派任務,提供檢查及平衡,只有受信任的連接才能管理它們。管理權限可賦予設備或其他主機,例如管理權限可授予一定IP地址及特定的TCP/UDP端口。
控制管理權限的最好辦法是在授權進入前分權限,可以通過認證和帳戶服務器,例如遠程接入服務,終端服務,或LDAP服務。
1.5遠程連接的加密
在有些情況下,管理員需要遠程管理交換機及路由器。為了保證管理傳輸的安全,需要加密協(xié)議,SSH是所有遠程命令行設置和文件傳輸的標準協(xié),基于WEB的則使用SSL或TLS協(xié)議,LDAP通常是通訊的協(xié)議,而SSL/TLS則用于加密此通訊。
1.6網絡管理協(xié)議
SNMP用來發(fā)現、監(jiān)控、配置網絡設備,SNMP3是足夠安全的版本,可以保證授權的通信。
2.常用網絡安全方法
(1)網絡服務器及交換機和路由器口令設置應該采用沒有意義的數字、字母和特殊符號的組合,長度應該大于9位,以減少使用暴力破解或密碼字典破解密碼口令的可行行。
(2)建立登錄控制可以減輕受攻擊的可能性,設定嘗試登錄的次數,在遇到這種掃描時能做出反應。詳細的日志在發(fā)現嘗試破解密碼及端口掃描時是非常有效的。
(3)交換機及路由器的配置文件的安全也是不容忽視的,通常配置文件應該保存在安全的位置,有些交換機結合了入侵檢測的功能,一些通過端口映射支持,允許管理員選擇監(jiān)控端口。
(4)虛擬網絡的角色:通常,只有通過劃分子網才可以隔離廣播,但是VLAN的出現打破了這個定律。VLAN叫做虛擬局域網,它的作用就是將物理上互連的網絡在邏輯上劃分為多個互不相干的網絡,這些網絡之間是無法通訊的,就好像互相之間沒有連接一樣,因此廣播也就隔離開了。
VLAN的實現原理非常簡單,通過交換機的控制,某一VLAN成員發(fā)出的數據包交換機只發(fā)個同一VLAN的其它成員,而不會發(fā)給該VLAN成員以外的計算機。
使用VLAN的目的不僅僅是隔離廣播,還有安全和管理等方面的應用,例如將重要部門與其它部門通過VLAN隔離,即使同在一個網絡也可以保證他們不能互相通訊,確保重要部門的數據安全;也可以按照不同的部門、人員,位置劃分VLAN,分別賦給不同的權限來進行管理。
VLAN的劃分有很多種,可以按照IP地址來劃分,按照端口來劃分、按照MAC地址劃分或者按照協(xié)議來劃分,常用的劃分方法是將端口和IP地址結合來劃分VLAN,某幾個端口為一個VLAN,并為該VLAN配置IP地址,那么該VLAN中的計算機就以這個地址為網關,其它VLAN則不能與該VLAN處于同一子網。
不同VLAN中的計算機之間進行通訊,可以通過VLAN Trunk來解決。VLAN Trunk目前有兩種標準,ISL和802.1q,前者是Cisco專有技術,后者則是IEEE的國際標準。
(5)安裝防火墻。防火墻可以控制網絡之間的訪問,最廣泛應用的是嵌在傳統(tǒng)路由器和多層交換機上的。防火墻的不同主要在于他們掃描包的深度,是端到端的直接通訊還是通過,是否有session。
3.結束語
現在的網絡要求設計成各層次都是安全的,通過部署交換機和路由器的安全設置,可以使用安全技術創(chuàng)建起強壯、各層都安全的系統(tǒng)。網絡安全是一項巨大的系統(tǒng)工程,其涉及的領域很廣泛?;诼酚善骱徒粨Q機的安全只是其中一項,但只要合理有效地配置好設備,就可以有效、安全、方便地保護我們的內部網絡,加強網絡安全。網絡安全控制與病毒防范是一項長期而艱巨的任務,需要不斷的探索。隨著網絡的發(fā)展計算機病毒形式日趨多樣化,網絡安全問題日益復雜化,網絡安全建設不再像單臺計算機安全防護那樣簡單。計算機網絡安全需要建立多層次的,立體的防護體系,要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略?!?/p>
【參考文獻】
[1]麥奎里,李祥瑞,張明,等.Cisco網絡設備互連(第2版)[M].北京:人民郵電出版社出版社,2010.
[2]王群.計算機網絡安全管理[M].北京:人民郵電出版社出版社,2010.
[3]宗明耀.企業(yè)網絡組建維護運營技術與網絡安全控制措施及故障診斷排除實用全書[M].北京:中國企業(yè)管理出版社,2007.
[4]顧巧論,高鐵杠,賈春福.計算機網絡安全[M].北京:清華大學出版社,2008.