企業網絡安全評估范文
時間:2023-09-20 17:54:03
導語:如何才能寫好一篇企業網絡安全評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
隨著信息技術的不斷發展和信息化建設的不斷進步,辦公系統、商務平臺的不斷推出和投入運行,信息系統在企業的運營中全面滲透。電信行業、財政、稅務、公安、金融、電力、石油、大中企業和門戶網站,更是使用數量較多的服務器主機來運行關鍵業務。
1.1 企業管理現狀
隨著網絡安全威脅日益增多,單純來自于外界的威脅變得有限,更多的、更嚴重的威脅來自于內部,或由內外勾結所產生的破壞。企業生產數據面臨被內部人員篡改、刪除、竊取,主機被關機、設備配置被修改,導致企業生產停頓、商業資料泄露,給企業造成巨大的損失。目前企業機構的運維管理總體上有以下三個特點:
1、關鍵的核心業務都部署于Unix和Windows服務器上。
2、應用的復雜度決定了多種角色交叉管理。
3、通過Telnet, SSH, FTP, RDP等方式進行遠程管理。
1.2 企業管理中存在的問題分析
1、賬號管理工作問題
由于共享帳號是多人共同使用,發生問題后,無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員,帶來了密碼管理的復雜化。同時還造成密碼策略無法有效執行;帳號授權不清晰;訪問控制策略無法嚴格執行的問題。
2、審計工作問題
審計問題主要包括:缺乏帳號分配審計;缺乏用戶使用相應帳號的授權審計;缺乏用戶登錄登出系統的審計;缺乏用戶對系統訪問行為審計這四個方面。而且,由于各系統的日志記錄能力各不相同,例如對于Unix系統來說,日志記錄就存在以下問題:
(1)Unix系統中,用戶在服務器上的操作有一個歷史命令記錄的文件,但是用戶可以隨意更改和刪除自己的記錄;
(2)root用戶不僅僅可以修改自己的歷史記錄,還可以修改他人的歷史記錄,系統本身的歷史記錄文件已經變的不可信;
(3)記錄的命令數量有限制;
(4)無法記錄操作人員、操作時間、操作結果等。
綜上所述,企業現狀迫切要求企業內部規范管理,通過內控堡壘主機實現企業內部網絡的合理化,安全化,專業化,規范化,充分保障企業資源安全。
2堡壘主機的作用和功能發展
2.1 堡壘主機概述
堡壘主機是一種被強化的可以防御進攻的計算機,作為進入內部網絡的一個檢查點,以達到把整個網絡的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。堡壘主機是網絡中最容易受到侵害的主機,所以堡壘主機也必須是自身保護最完善的主機。
2.2 堡壘主機平臺系統的發展及解決思路
2.1.1旁路審計
操作審計管理主要審計操作人員的帳號使用(登錄、資源訪問)情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一的帳號、資源進行標識后,操作審計能更好地對帳號的完整使用過程進行追蹤。
所謂的旁路審計可以針對常見的明文協議,如TELNET/FTP/HTTP等,采用鏡像監聽技術從旁路對協議報文進行審計。
它主要存在的問題是無法對密文協議如:SSH/RDP進行旁路審計以及審計信息不可讀(實名、信息量)等。解決思路就是采用審計雙向備份及審計查詢檢索技術等。
2.1.2集中登錄
集中登錄是指先登錄管理作業服務器,然后轉換身份再對相關服務器進行維護。屬于多用戶單帳號管理方式,這種登錄方式的主要問題是:
1.多用戶共享root帳號,權限劃分不明,所有人員都具有最高的ROOT權限。 2.無法跟蹤某個管理員的確切操作。 3.依靠各自服務器的日志信息,審計信息不可讀。
解決集中登錄的問題可采用單點登錄或者連續跳轉登錄技術。
2.1.3身份授權分離
以前管理員依賴各IT系統上的系統帳號實線兩部分功能:身份認證和系統授權,但是因為共享帳號、弱口令帳號等問題存在,這兩方面實現都存在漏洞,達不到預期的效果。
解決的思路是將身份和授權分離。在堡壘主機上建立主帳號體系,用于身份認證,原各IT系統上的系統帳號僅用于系統授權,這樣可以有效增強身份認證和系統授權的可靠性,從本質上解決帳號管理混亂問題,為認證、授權、審計提供可靠的保障。
3基于堡壘主機的加固解決方案
3.1 極地銀河內控堡壘主機概述
極地銀河內控堡壘主機是一種被加固的可以防御進攻的計算機,能夠具備很強安全防范功能。極地銀河內控堡壘主機是在整個 Unix/Linux主機系統的扮演著看門者的工作,所有的請求都要從這扇大門走過,它攔截所有用戶的非法訪問,和惡意攻擊,過濾掉所有對目標訪問Unix/Linux設備的非法行為,對不合法命令進行命令阻斷。
極地銀河內控堡壘主機支持多信道通信,用戶只需要在一點便可以登錄到不同的 Unix/Linux設備上進行工作,無需在不同的機器上分別登錄,大大的節約了系統管理員的時間,從而提高了工作效率。
3.2 系統總體技術功能
3.2.1統一的WEB方式管理
使用極地銀河堡壘主機,無論管理員還是用戶,都采用同意的WEB方式管理, 用戶登錄堡壘主機后可以看到所有授權資源列表,訪問資源時不用再輸入帳號和密碼,做到真正的單點登錄。系統內部提供認證服務器組件,所有對資源的訪問都是認證服務器提供的臨時會話號,即使會話號被截獲,也無法通過此會話號再次訪問資源,提高資源訪問的安全性。
3.2.2 支持強認證和數字加密功能
系統可以方便的集成各種強認證方式,如證書認證、智能卡認證、短信認證甚至人體特征認證(指紋、視網膜等)方式。極地銀河內控堡壘主機在處理用戶數據時都采用相應的數據加密技術來保護用戶通信的安全性和數據的完整性。防止惡意用戶截獲和篡改數據。充分保護用戶在操作過程中不被惡意破壞。
3.2.3審計雙向備份技術
審計雙向備份指的將用戶的行為審計信息記錄在本地和發送到指定的服務器,進行雙向寫入,使得重要的用戶行為審計信息能夠得到安全的管理,避免丟失數據無法查證,提高審計信息的安全性,管理員自身也可以通過某種技術手段將這些重要的審計信息保存或備份到其他的存儲設備上。定期的歸檔和調閱。
3.3系統部署
極地銀河內控堡壘主機能夠架設在企業內部網絡的 Unix/Linux主機之上,是一道安全屏障,因此企業內部 Unix/Linux主機不需要擔心任何安全問題,可以全身心投入到業務處理中。
它在部署過程中不需要任何客戶端或服務器端引擎;部署不影響現有企業網絡拓撲結構,不影響業務數據流。同時,堡壘主機支持了雙機熱備、支持集中管理分級部署,完全可以實現快速上線使用。
篇2
關鍵詞:企業網端點準入防御網絡安全
中圖分類號:文獻標識碼:A文章編號:1007-9416(2010)05-0000-00
1 前言
隨著計算機網絡的快速發展,網絡已成為企業生產經營不可缺少的工具。網絡發展的初期注重設備的互通性、鏈路的可靠性,從而達到信息共享的通暢。經過多年的應用與發展,伴隨著我們對網絡軟硬件技術認識的深入,網絡安全已經超過對網絡可靠性、交換能力和服務質量的需求,成為企業網最關心的問題,網絡安全基礎設施也日漸成為企業網建設的重中之重。在企業網中,新的安全威脅不斷涌現,病毒和蠕蟲日益肆虐。他們自我繁殖的本性使其對網絡的破壞程度和范圍持續擴大,經常引起系統崩潰、網絡癱瘓,使企業生產經驗蒙受嚴重損失。在企業網中,任何一臺終端的安全狀態(主要是指終端的防病毒能力、補丁級別和系統安全設置),都將直接影響到整個網絡的安全。不符合安全策略的終端(如防病毒庫版本低,補丁未升級)容易遭受攻擊、感染病毒,如果某臺終端感染了病毒,它將不斷在網絡中試圖尋找下一個受害者,并使其感染;在一個沒有安全防護的網絡中,最終的結果可能是全網癱瘓,所有終端都無法正常工作。因此,研究設計一個能夠解決這一危害的防御系統尤為必要。
有鑒于此,通過對目前唐鋼企業網狀況的調研及其需求分析,研究設計了端點準入防御系統。端點準入防御系統在實際應用中切實可行,以下從其架構和組網方法做出分析。
2 端點準入防御系統架構
端點準入防御系統是整合了孤立的單點防御系統,加強對用戶的集中管理,統一實施企業網安全策略,提高網絡終端的主動抵抗能力。該系統可以將不符合安全要求的終端限制在“隔離區” 內,防止“危險”終端對網絡安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊。其基本功能是通過安全客戶端、安全策略服務器、安全聯動設備(如交換機、路由器)以及第三方服務器(如防病毒服務器、補丁服務器)的聯動實現的。
2.1安全客戶端
安全客戶端是安裝在用戶終端系統上的軟件,是對用戶終端進行身份認證、安全狀態評估以及安全策略實施的主體。其主要功能包括:
(1)利用802.1X認證協議通過接入層交換機實現對終端進行身份驗證(用戶名、密碼、IP、MAC、VLAN),從而實現了端點準入控制。
(2)檢查用戶終端的安全狀態,包括操作系統版本、系統補丁等信息;同時提供與防病毒客戶端聯動的接口,實現與第三方防病毒客戶端的聯動,檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。
(3)安全策略實施,接收安全策略服務器下發的安全策略并強制用戶終端執行,包括設置安全策略(是否監控郵件、注冊表、禁止、禁止多網卡)、系統修復補丁升級、病毒庫升級等功能。不按要求實施安全策略的用戶終端將被限制在隔離區。
(4)實時監控系統安全狀態,包括是否更改安全設置、是否發現新病毒等,并將安全事件定時上報到安全策略服務器,用于事后進行安全審計。
2.2安全策略服務器
安全策略服務器是端點準入系統的管理與控制中心。集中、統一的安全策略管理和安全事件監控。具有用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。
(1)用戶管理。對用戶身份信息、權限、分組策略等管理。網絡中,不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級,方便管理員對網絡用戶制定差異化的安全策略。
(2)安全策略管理。安全策略服務器定義了對用戶終端進行準入控制的一系列策略,包括用戶終端安全狀態評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。(3)安全聯動控制。安全策略服務器負責評估安全客戶端上報的安全狀態,控制安全聯動設備對用戶的隔離與開放,下發用戶終端的修復方式與安全策略。通過安全策略服務器的控制,安全客戶端、安全聯動設備與防病毒服務器才可以協同工作,配合完成端到端的安全準入控制。(4)日志審計。安全策略服務器收集由安全客戶端上報的安全事件,并形成安全日志,可以為管理員追蹤和監控網絡的整個網絡的安全狀態 提供依據。
2.3安全聯動設備
安全聯動設備是網絡中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全聯動設備采用H3C 3600交換機,利用802.1X協議認證實現端點準入控制。安全聯動設備主要實現以下功能:
(1)強制網絡接入終端進行身份認證和安全狀態評估。(2)隔離不符合安全策略的用戶終端。聯動設備接收到安全策略服務器下發的隔離指令后,可以通過ACL方式限制用戶的訪問權限;同樣,收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。(3)提供基于身份的網絡服務。安全聯動設備可以根據安全策略服務器下發的策略,為用戶提供個性化的網絡服務,如利用H3C 3600交換機的ACL、VLAN功能可以實現按不同用戶需求訪問不同的信息資源。
2.4第三方服務器
系統中隔離區的資源稱為第三方服務器。用于終端進行自我修復的防病毒服務器或補丁服務器。網絡版的防病毒服務器提供病毒庫升級服務,允許防病毒客戶端進行在線升級;補丁服務器則提供系統補丁升級服務,當用戶終端的系統補丁不能滿足安全要求時,可以通過補丁服務器進行補丁下載和升級。
3 端點準入防御系統組網方法
該系統組網,不需要對原有主要網絡結構進行改動。需要更改的設備只有接入層交換機。接入層交換機只要能支持802.1X協議、ACL、VLAN等功能即可。利用這種組網方法對不符合安全策略的用戶隔離嚴格,可以有效防止來自企業網絡內部的安全威脅。
4端點準入防御系統實施的效果
該系統整合防病毒與網絡接入控制,大幅提高安全性。確保所有正常接入網絡的用戶終端符合企業的防病毒標準和系統補丁安裝策略。不符合安全策略的用戶終端將被隔離到“隔離區”,只能訪問網絡管理員指定的資源,直到按要求完成相應的升級操作。通過端點準入防御系統的強制措施,可以保證用戶終端與企業安全策略的一致,防止其成為網絡攻擊的對象或“幫兇”。
提高了網絡安全性的同時,對網絡有效利用率也有很大的提高。減少了用戶終端故障頻率,提高了工作效率。
5結語
端點準入防御系統提供了一個全新的安全防御體系。將防病毒功能與網絡接入控制相融合,加強了對用戶終端的集中管理,有效的控制了非法用戶接入唐鋼企業網,提高了網絡終端的主動抵抗能力。該系統通過安全客戶端、安全策略服務器、接入設備以及防病毒軟件的聯動,可以將不符合安全要求的終端限制在“隔離區” 內,防止“危險”終端對網絡安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊,從而大幅度提升了網絡抵御新興安全威脅的能力。
篇3
關鍵詞:網絡安全管理;網絡安全管理系統;企業信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。
網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統架構特點
3.3.1 統一管理,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
4 結論
隨著網絡技術的飛速發展,互聯網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此,企業對于網絡安全的要求也逐步提升,因此,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
參考文獻:
篇4
【關鍵詞】 計算機網絡 企業 網絡安全問題 安全防范技術
自進入21世紀后,社會的發展面貌煥然一新,經濟發展明顯提速,出現這一現象的重要原因是互聯網技術的迅速發展和廣泛應用,特別是計算機網絡技術,已經成為企業發展必不可少的技術性條件。在享受科技發展帶來的便利時,我們需要明確認識到現階段企業內外部的計算機網絡環境并不穩定,其中也存在著一些網絡安全問題,影響著企業的健康發展。基于這種認識,如何對企業的計算機網絡安全防護技術作出改進,是企業更好地利用計算機網絡的關鍵。
一、企業計算機網絡系統存在的安全問題
1.1系統漏洞
系統漏洞指的是由于操作系統設計存在缺陷,使不法人員得到了入侵機會,利用系統漏洞將一些木馬和病毒植入到企業計算機中,從而獲取企業的重要文件和機密信息,對計算機程序造成破壞。處于經濟因素的考量,部分企業會應用盜版系統,但是盜版系統本身就存在很多漏洞問題,如服務拒絕漏洞和熱鍵漏洞等等,還容易生成很多其他的新漏洞,在此情況下,企業的計算機網絡系統的安全性降低,重要信息容易被他人盜取和利用,給企業帶來不同程度的經濟或信譽損失,反而是得不償失的。
1.2黑客攻擊
這種安全問題是指一些不法網絡黑客破解、更改某些軟件程序或者篡改系統數據。具體來說,黑客對企業計算機網絡進行攻擊的性質主要包括兩種,即損壞性和非損壞性攻擊;按照實施途徑劃分,主要包括網絡監聽、程序后門、信息爆炸、密碼破譯以及拒絕服務等。黑客采用非損壞性攻擊多是為了對軟件系統造成干擾,而不是竊取系統軟件的信息,會擾亂企業的正常辦公程序;而損壞性攻擊則會造成計算機數據信息丟失,甚至導致整個計算機系統發生癱瘓,無法正常工作。
1.3網絡病毒
從目前企業中發生的主要網絡安全事件情況來看,網絡病毒是企業最為常見的安全問題之一。一般情況下,不法人員在網絡內自行編制一些毀壞數據且能夠自行復制的非法指令,就可造成網絡病毒廣泛傳播。由于網絡病毒的隱蔽性、傳播力以及破壞性較強,其對企業網絡安全的危害性比較大,而且病毒傳播的形式多種多樣,有些病毒還會在網絡重啟之后被激活,其潛伏性較強,潛伏期也比較長,成為長期影響企業網絡安全的危險因素。
二、企業的網絡安全防范技術探討
1、加強網絡漏洞檢測。漏洞安全檢查是企業在管理網絡時應該著重考慮的一種安全防護技術。具體操作方面,網絡管理者應該首先檢查網絡系統的防入侵漏洞,再檢測程序安全代碼是否正確,然后掃描WEB漏洞應用情況,最后再掃描數據庫漏洞。總而言之,在檢測過程當中,一旦發現系統潛在的漏洞,應該立即采取修復措施,同時在日常監測工作中要經常采取多種掃描方法進行安全掃描,進行漏洞評估和預測,避免影響公司網絡的正常運行。
2、應用防火墻技術。防火墻技術也是目前企業網絡安全防護工作中經常采用的一種技術,防火墻由軟件系統和硬件設備組成,是建立在企業內部和外部網絡環境中間的一道安全防護屏障。根據執行站點的工作方式,防火墻可以對不相符合的外部信息予以控制,從而發揮保護企業網絡安全的作用。同時,防火墻還可以自動記錄通過防火墻且進入到企業網絡系統中的全部數據和信息,因而,可以對網絡與軟件使用情況進行處理和統計。
3、正確使用數據加密技術。數據加密技術屬于自主安全防護技術,其防護網絡安全的能力較高。主要原理是通過函數加密或者其他方法把明文數據轉化為加密文件,文件的接收方需要利用函數才能解密文件。而且,只有特定的用戶以及網絡才能獲取文件信息,一般情況下,文件加密需要通過公開密鑰、專用秘鑰以及對稱秘鑰等幾種形式才能實現。這種安全防護技術能夠保證信息傳遞雙方身份真實可靠,同時還可以保證傳遞文件的完整性和隱私性,因此,已經成為企業最可靠的網絡防護技術之一。
三、結束語
網絡安全問題不僅關系到企業內部計算機網絡能否正常運行,而且直接影響著企業的經濟效益。從現有的條件來看,做好企業的網絡安全防護工作并不容易,一方面,企業自身應該對網絡安全管理工作給予高度的重視,不斷地完善網絡安全管理體系,在日常管理工作中加強防護力度;另一方面,企業還應該充分利用內外部資源,綜合運用多種網絡安全防護技術,使得安全防護技術能夠真正為企業網絡穩定、安全運行保駕護航。
參 考 文 獻
篇5
關鍵詞:安全審計系統;網絡安全管理;措施
互聯網時代信息技術雖然使人們的生活更加便捷,卻帶來了網絡安全問題。盡管網絡外部檢測技術和防御系統已經持續建設,在某種程度抵御外部網絡的入侵,保護網絡數據信息的安全,但是內部網絡的違規操作、非法訪問等造成的網絡安全問題在外部網絡的防御措施得不到有效解決。因此可以利用安全審計系統進行網絡安全管理,檢測訪問網絡內部系統的用戶,監控其網絡行為,記錄其異常網絡行為,針對記錄結果解決網絡安全問題,對網絡安全隱患的評判具有重要作用。本文主要介紹安全審計系統以及作用,闡述其在網絡安全管理的必要性以及實際應用。
1網絡安全管理的安全審計系統
1.1安全審計系統的組成
①事件產生器;②事件數據庫;③事件分析器;④響應單元。事件產生器的作用:將單位網絡獲得的事件提供給網絡安全審計系統;事件分析器的作用:詳細地分析所得到的數據;事件響應單元的作用:根據時間分析器得到的分析結果做出相應的反映;事件數據庫的作用:保存時間分析器得到的分析結果。
1.2安全審計系統的要求
1.2.1記錄與再現記錄安全審計系統中全部違規操作、非法行為,再現系統某種狀態的主要行為。1.2.2入侵檢測審計系統檢查出大多數常見的系統入侵的意圖,設計相應程序阻止入侵行為。1.2.3記錄入侵行為審計系統記錄所有的入侵企圖,對于成功入侵用戶,可以根據入侵記錄恢復系統。1.2.4系統本身的安全性安全審計系統必須保證自身系統操作系統和軟件安全以及審計數據安全才可以發揮其在網絡安全管理的作用。
2網絡安全審計的必要性
2.1提高企業數據安全管理績效
高新科技技術已經滲透到社會方方面面,有利也有弊,其中企業來說,網絡信息安全的問題頻頻出現,這對于企業網絡運營和實際經營造成很大的沖擊、帶來經濟損失。防火墻、防病毒軟件、反入侵系統雖然可以解決部分內部用戶的非法違規網絡行為導致的網絡信息安全問題,某種程度也保障了網絡信息安全。網絡信息外部的防衛無法抵御內部用戶在沒有網絡監管時對網絡內部的不合法操作,網絡外部的安全防衛措施無法解決網絡內部出現的故障。所以企業網絡要正常運營、企業經營要得到持續發展,必須要建立企業內部的安全審計系統,對內部用戶訪問網絡系統進行嚴格監控和審計,有必要時可以采取相應措施懲戒造成網絡安全問題的人員,讓網絡信息安全事件不再發生。
2.2提高網絡信息安全性
(1)安全審計系統采取訪問控制手段對網絡信息進行安全審計和監控,從而提高網絡信息安全;(2)對網絡信息加密實現網絡信息安全審計的目的,實現網絡數據私有,做到網絡安全管理,為了提高網絡信息安全水平要經常維護與檢查安全日志;(3)安全審計網絡中傳輸的信息,監控網絡操作行為,提高網絡信息安全性,提供社會組織的網絡化行為安全性保障。
3安全審計系統在網絡安全管理的應用
安全審計系統和基礎網絡病毒防護產品相互結合,共同保護網絡的整體安全。企業傳統的網絡安全體系建設只注重網絡邊界的安全,重點建設針對外部網絡向企業內網攻擊的防護措施,沒有考慮到內網自身存在的安全隱患,企業的網絡信息安全無法得到有效保障。因此,借助安全審計系統對企業網絡安全進行審計和評估,實現企業網絡的全面安全監督。隨著互聯網科技快速發展,銀行金融行業處于信息化時代,信息化推動銀行智能化發展,銀行網絡信息安全對銀行安全穩定發展非常重要,如銀行數據集中處理有風險、網絡金融服務容易受到黑客、病毒攻擊等。由于銀行涉及到金錢等財務利益上的交易,而且銀行作為信息化時代以客戶為主導的服務行業,必須嚴格地對客戶信息進行保密,保障客戶信息安全。不僅銀行關系到國計民生、對社會經濟發展也具有重要意義,所以控制銀行信息化風險的最有效方法就是建立銀行網絡信息安全審計系統。網絡的廣泛應用給教育行業帶來很大便利,目前很多高校和發達地區中小學都建立自己的校園網,但是網絡問題作為信息化水平發展的附屬品,給校園網安全管理造成很大困擾。雖然校園網已經加大網絡外部病毒防御系統建設,但是網絡內部檢測和審計更需要引起重視,為了減少網絡有害信息和侵權行為,規范師生上網行為,維護校園網安全穩定運行,非常有必要建立校園網絡安全審計系統。
4結語
本文詳細介紹了網絡安全管理的安全審計系統以及功能,并且闡述了網絡安全審計的必要性,安全審計系統的使用,使網絡監控力度大大加強,讓網絡監控效率得到顯著提高,為信息化建設提供了良好的保障。
參考文獻
[1]付曉坤.網絡安全審計技術的運用[J].中國水運,2013(09):50-51.
[2]張文穎.探討網絡安全中安全審計與監控系統的設計與實現[J].電腦知識與技術,2013(16):3738.
篇6
計算機網絡技術已經深入到人們生活中的方方面面,各個行業、各個企業為了順應時代的發展趨勢,都在積極搭建自己的網絡管理平臺,提升企業的網絡管理水平。通過計算機網絡技術,企業能夠了解市場的最新動態,根據市場進行決策,同時加強與商業伙伴的交流與信息反饋。企業必須熟悉如何搭建和維護網絡管理平臺,同時認清網絡管理的目的,積極彌補工作當中存在的缺陷和不足。
一、企業網絡管理的維護對象
1、維護網絡安全。企業計算機網絡在運行過程中,如果網絡安全得不到保證,就容易導致企業的商業秘密發生泄露,從而企業在市場競爭中失去先機,還有可能引起網絡系統癱瘓,使企業無法正常運轉。要想維護企業的網絡安全,要從多方面入手。首先,企業要根據自身情況選擇合適的防火墻系統,在部署防火墻時,合理配置訪問策略和安裝防御程序,有效抵御來自網絡上的攻擊,及時發現系統中的漏洞并加以彌補。其次,在網絡系統中合理劃分虛擬局域網,將網絡劃分為多個安全域,實現域間的邏輯隔離,不僅可以提高網絡安全性能,還能隔離網絡故障,增強網絡健壯性。再次,在路由器和重要交換機上設置訪問控制列表,合理設置訪問權限,對惡意訪問請求進行攔截,可有效降低信息安全風險。
2、防范病毒入侵。除了來自網絡上的各種攻擊,計算機病毒入侵也是危害計算機網絡安全的重要因素之一。為了避免企業的網絡被計算機病毒入侵,必須要在企業所有的計算機中安裝殺毒軟件,定時進行病毒的查殺和清除工作。由于計算機病毒處于不斷更新換代之中,所以計算機的殺毒軟件也要及時進行升級,這樣才能降低計算機感染病毒的概率。另外還可以在計算機終端上安裝移動存儲介質管理系統,沒有經過系統認證的移動存儲介質,一律不準接入網絡終端,同時限制可信移動存儲介質在企業外部隨意使用,從而降低通過移動存儲介質傳播病毒的風險。
3、確保系統穩定運行。計算機網絡系統即使沒有遭受網絡攻擊、病毒入侵,也會由于長期的工作發生一些問題和故障[1]。對企業來說,計算機網絡的日常維護是必不可少的,定期維護能夠讓網路管理者了解網絡系統的工作狀態,發現并及時消除網絡系統中存在的故障隱患,將問題消滅在萌芽狀態。比如定期對網絡設備和服務器進行重啟,定期對重要數據進行備份,及時關閉系統中非必要的服務,對發現的漏洞進行修復等,上述措施都能有效提高網絡系統的可用性與穩定性,以提高企業網絡管理水平。
二、企業網絡管理的維護策略
2.1增強系統性能
為了增強企業的網絡維護能力,首先要對網絡系統進行及時升級,安裝系統漏洞安全補丁,選擇經過國家認可的正版殺毒軟件[2]。另外,我國企業的網絡管理人員總體上來說安全防范意識淡薄,不能夠有效識別各種網絡攻擊和計算機病毒,容易給企業帶來經濟損失。對此,企業要加強宣傳,強化網絡管理人員的安全意識,養成管理人員的良好習慣,重視各類賬號和密碼的保護工作,定期對企業的網絡系統進行檢查,一旦發現異常及時進行處理。
2.2提高維護技術
隨著計算機網絡技術的發展,網絡攻擊的手段和計算機病毒的種類也在逐漸增加。為了防范這些網絡攻擊和計算機病毒,企業也要提升網絡維護的技術水平,防止系統遭受攻擊而發生數據泄露或癱瘓。對于提高企業的網絡維護技術,一方面要提高企業信息系統的登錄識別能力,確保合法登錄,一旦發生異常登錄,就要提高警惕,加大注意力。另一方面企業信息系統要提升監控能力和預警能力,在發現信息系統遭受攻擊時立刻發出預警信號,從而快速排除險情。
2.3健全制度建設
要做好企業網絡的維護工作,還要大力加強制度建設,從制度上為企業網絡管理保駕護航。企業可根據自身需求建立網絡系統維護工作機制、網絡突發事件應急預案、網絡系統風險評估辦法、網絡系統用戶操作準則等相關制度。網絡系統管理人員應該重點從管理角度去規避風險,提高網絡管理水平,盡可能減少因系統用戶的不安全操作,而給網絡系統帶來的不安全隱患和嚴重后果。
三、結論
目前我國的企業網絡管理水平比較低下,維護技術和維護理念相對落后,給網絡管理帶來一定的困難。為了提高企業的網絡管理水平,必須重視企業網絡管理平臺的搭建和維護,通過選擇合適的防火墻和殺毒軟件,對系統策略進行合理配置,對網絡攻擊和計算機病毒進行防范,及時升級系統漏洞補丁,提高管理人員的專業素質和安全意識,健全網絡管理制度建設,從而建立起完善的網絡安全管理體系。
篇7
【關鍵詞】發電企業;網絡安全;管理;技術
近些年,隨著電力體制改革的逐步深入和信息技術的飛速發展,發電企業對信息系統的依賴性逐漸提高,信息系統在企業生產經營和管理中扮演的角色越來越重要。發電企業通過信息化方式進行生產管理和辦公得到了廣泛認同,并因此大幅提高了生產效率和管理水平。
其中,網絡安全工作的落實情況是企業信息化管理水平的集中體現。作為國家能源行業的一份子,發電企業的信息網絡安全尤為重要,保障發電企業的網絡安全也是保障國家和社會安全的重要一環。發電企業對于信息化的重視程度也體現在加強自身信息網絡安全工作上,網絡安全已經成為發電企業安全生產的一項重要內容,不論對于火力、水力、核電、風能、太陽能還是新能源發電企業,網絡安全同等重要。
從電力行業信息化的發展現狀來看,網絡安全工作大致可以分為以下幾個方面:網絡安全管理、安全防護技術、應急保障和宣傳教育等。網絡安全管理包括:企業要有網絡安全領導責任制、管理機構和信息化網絡專責工作人員;網絡安全責任制的具體落實以及責任追究機制;人員、信息化經費、信息資產、采購、培訓、外包人員等日常安全管理;完整、完善的網絡安全管理制度體系;安全監測、硬件冗余、安全審計、補丁管理。安全防護技術包括:防病毒、防篡改、防癱瘓、防攻擊、防泄密等安全措施;服務器、防火墻、物理隔離設備等網絡安全設備的安全策略和功能有效性;局域網、互聯網、無線網絡安全措施;和非計算機、移動介質及密碼設備的安全防護措施。應急保障工作包括:信息安全事件應急預案、數據備份和恢復演練、應急技術支撐隊伍、重大安全事件處置等。宣傳教育工作包括:企業日常網絡安全培訓(包含:企業領導、信息化人員和業務人員)和網絡安全管理員專業技術培訓。
發電企業已經在網絡安全方面取得了很大的成績,軟件正版化率、自主開發軟件和國產信息系統的使用率都在逐年提高,國產網絡安全防護設備也已經大范圍應用在企業網絡中。發電企業在取得一些成績的同時,還需要充分認識到自身的不足之處,很多發電企業認為發電才是自己的主業,對企業信息化不夠重視,人員和資金的投入都很少,導致企業網絡安全得不到有效的保障,網絡安全事件時有發生,這對于企業和國家都是一筆損失。
綜上所述,發電企業要從以下幾個方面入手,逐步改進并完善網絡信息安全工作:企業應該有獨立的信息化管理部門,設置專門負責網絡安全管理員,明確崗位安全責任制,成立信息化領導小組、信息安全工作小組和招標小組等信息化工作組織機構;定期召開網絡安全管理工作會議,商議決策企業信息化工作,強化網絡安全;做好企業網絡安全規劃,按照年度、短期和長期規劃來制定,信息安全工作的整體策略及總體規劃(方案)需要完善,在今后工作中不斷補充、調整與細化;將信息網絡安全管理納入到企業年度工作計劃和績效考核中;每年都要進行定期的信息安全培訓和宣傳,讓員工充分了解和熟知網絡安全對于企業的重要性;劃分明確的分區界限,根據生產、管理等要素進行分區管理;完善企業網絡信息安全管理制度,并落實執行;加強局域網、廣域網和對外網站的管理;按照公安部和上級部門的有關要求,進行信息系統安全等級保護備案工作,進行安全風險測評;定期開展網絡安全自查工作,并按照檢查問題進行相關整改,需要定期開展網絡安全自查及整改工作,有條件的企業可以請外面高水平的專家組來企業做安全測評指導,通過這些檢查可以及時發現問題,進行有效的整改工作,保障企業信息網絡安全,使得員工可以通過信息系統提高生產管理和辦公效率;定期進行信息系統數據備份和恢復演練,進一步完善企業的網絡與信息安全應急管理體系,保障應急資源的及時到位,進一步制定有針對性的、實用化的專項應急預案,同時預案的演練要實現常態化;設定賬戶鎖定時間、賬戶鎖定閥值、重置賬戶鎖定計數器等安全策略;信息系統管理員需要定期檢查補丁更新、防病毒軟件和防惡意代碼軟件工作日志;口令執行策略需要包括:密碼必須符合復雜性要求、密碼長度最小值、密碼短期使用期限、密碼長期使用期限、強制密碼歷史和用可還原的加密來存儲密碼等安全策略;盡可能采用每個賬戶和每個人一一對應的關系,避免了賬戶的重復和共享賬戶的存在,對于多余的、過期的賬戶進行定期檢查和及時刪除;實現操作系統和數據庫系統特權用戶的權限分離,實現數據庫賬戶獨立管理;要有完整的機房進出記錄和系統安全維護檢查記錄;完善備份系統建設;企業應建立長效機制以確保信息安全建設及運行維護經費及時到位,以實現經費投入的常態化;加大信息安全產品的投入力度并盡量采購國內廠家的安全產品,降低對國外產品的依賴程度;對在信息安全崗位及其他敏感崗位工作的人員一定要搞好審查工作,只有符合規定的人員才能上崗,一旦人員離崗必須簽署保密承諾書且其權限要及時收回;按照國家有關要求,需要做到所有計算機類產品不安裝Windows 8操作系統,并采取措施應對Windows XP停止安全服務;安全防護產品采取白名單、卸載與工作無關的應用程序、關閉不必要服務和端口等安全措施情況。
不論在哪個行業或領域,安全都是第一位的,而網絡安全在涉及國家安全的發電企業更是尤為重要。發電企業要按照“誰主管誰負責,誰運營誰負責”的原則,明確任務,落實責任,加強網絡安全工作,保障企業網絡與信息系統的安全穩定運行。因為電力屬于國家能源行業的重要一環,必須遵循“上網不、不上網”的原則。總之,發電企業面臨的網絡安全形勢是復雜多變的,還有很長的路要走。
參考文獻
[1]羅寧.P2P安全問題初探[A].第十七次全國計算機安全學術交流會暨電子政務安全研討會論文集[C].2002.
[2]祝崇光,姚旺.檢察系統信息網絡安全的風險評估[A].全國計算機安全學術交流會論文集(第二十二卷)[C].2007.
[3] 朱修陽. 檢察機關專網系統信息網絡安全體系初探[A].全國計算機安全學術交流會論文集(第二十二卷)[C].2007.
[4]曾德賢,李睿.信息網絡安全體系及防護[A].第十八次全國計算機安全學術交流會論文集[C].2003.
[5]劉威,劉鑫,杜振華.2010年我國惡意代碼新特點的研究[A].第26次全國計算機安全學術交流會論文集[C].2011.
篇8
關鍵詞:網絡安全;網絡系統
引言:企業網絡安全已成為當今值得關注的問題,它的重要性是不言而喻的,黑客竊取企業的網絡數據,甚至破壞其網絡系統,更加具有現實和長遠的商業價值。因此,如何保障企業網絡的安全變得重要起來。
1.企業網絡現狀分析
公司的發展壯大使其企業布局發生了巨大的變化。隨著公司發展,需要重新規劃:其網絡結構。存在著遠端數據收集困難,病毒威脅、黑客入侵、垃圾和病毒郵件威脅,帶寬利用率低等
問題。
(1)病毒威脅,病毒是網絡安全最大威脅,每年給各種企業帶來的損失巨大,使所有企業都對病毒“談毒色變”。
(2)ARP攻擊威脅,ARP本是網絡體系結構中的一個協議,這個協議關系到計算機網絡通信必不可少的兩個地址IP與MAC地址的轉換功能。
(3)通過網絡方式泄露企業機密,造成企業損失。網絡在成為羲要交流工具的同時也成了重要的泄密渠道。
2.企業局域網安全防范方案
(1) 防火墻技術安全配置。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口。包過濾防火墻工作在網絡層上,有選擇的讓數據包在內部網絡與外部網絡之間進行交換。一般利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可實現網絡地址轉換(NAT)、審記與實時告警等功能。服務防火墻也有一定功效,是一種增加了安全功能的應用層網關,位于internet和intranet之間,自動截取內部用戶訪問internet的請求,驗證其有效性,代表用戶建立訪問外部網絡的連接。服務器在很大程度上對用戶是透明的,如果外部網絡個站點之間的連接被切斷了,必須通過服務器方可相互連通。
(2)攻擊檢測技術及方法。網絡系統的安全性取決于網絡系統中最薄弱的環節,所以要及時發現并修正網絡中存在的弱點和漏洞。網絡安全檢測工具通常是一個網絡安全性評估分析軟件,其功能是用實踐性的方法掃描分析網絡系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。這樣,防火墻將得到合理配置,內外WEB站點的安全漏洞減為最低,網絡體系達到強壯的耐攻擊性,對網絡訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人員誤操作的侵害。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),一般包括控制臺和探測器,也不會對網絡系統性能造成多大影響。
(3)審計與監控技術實施。由于企業需要的是一個非常龐大的網絡系統,因而對整個網絡(或重要網絡部分)運行進行記錄、分析是非常重要的,它可以讓用戶通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并可作為以后的法律證據或者為以后的網絡安全調整提供依據。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能看出系統正被怎樣的使用。對于確定是否有網絡攻擊的情況,審計信息對于去定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統的識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集與積累并且加以分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對發現或可能產生的破壞提供有力的證據。
(4) 企業局域網防病毒設置。隨著網絡病毒的泛濫,對于一個局域網來說,以前各掃門前雪的防病毒方式經顯得力不從心了,如果僅靠局域網中部分計算機的單機版防病毒軟件,根本不可能做到對病毒的及時防御。因此,在局域網中構建一個完整的防病毒體系己經成為當務之急,網絡防病毒軟件也應運而生。主要面向MAIL、Web服務器,以及辦公網段的PC服務器和PC機等。支持對網絡、服務器和工作站的實時病毒監控;能夠在中心控制臺向多個目標分發新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,包括宏病毒;支持對Internet/ Intranet服務器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項,如對染毒文件進行實時殺毒,移出,重新命名等;支持病毒隔離,當客戶機試圖上載一個染毒文件時,服務器可自動關閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
為了保護網絡的安全性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,安全管理規范也是網絡安全所必須的。
3.結束語
在信息化時代,網絡的安全應用是非常必要的,它將有效防止潛在敵人和不法分子的破壞,有效保護企業機密,降低企業的辦公成本。網絡安全的發展過程中,我們必須更進一步的開展企業信息安全應用研究。
參考文獻:
[1]郭軍.網絡管理.北京:北京郵電大學出版社,2001
篇9
關鍵詞:網絡安全;網絡攻擊;建設原則
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0114-01
計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,并嚴重影響正常工作的順利開展。加強企業網絡安全工作,是一些企業建設工作的重要工作內容之一。本文主要分析了企業的網絡結構和一些基本的安全情況,包括系統安全的需求分析、概要設計,防火墻應用等,重點針對企業網絡中出現的網絡安全問題,作了個介紹。對有關安全問題方面模塊的劃分,解決的方案與具體實現等部分.
一、網絡威脅、風險分析
隨著通訊技術和計算機技術的飛速發展,網絡正逐步成為當今社會發展的一個主題,其改變著人們的工作方式和生活方式。網絡的互連性,開放性,共享性程度的擴大,然而網絡的重要性和對社會的影響也越來越大主要是Internet的出現。隨著數字貨幣,電子現金,電子商務和政府上網以及網絡銀行等網絡行為的出現,網絡安全的問題變得越來越重要。
(一)其他網絡的攻擊
據數據統計,在美國網絡中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網絡業發展的最大危害,它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統都處于癱瘓狀態。據“Security Portal”的報告,計算機病毒事件在1999年計算機安全問題上排名第一位,然而與計算機病毒相關的黑客問題也在其中占有相當大的比例。從科研人員的分析結果科研看出計算機病毒的表現有以下新特點:
當今社會電子郵件已經成為計算機病毒傳播的主要媒介,它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播,事實上,有一些電子郵件病毒根本就沒有附件,因為它本身就是一個HTML。在不久前出現的許多的計算機病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動打開HTML格式的郵件,那么該計算機病毒就會立刻感染用戶的系統。
近年來由于互聯網的快速發展,互聯網出現了許多新一代的計算機病毒種類,比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網頁等黑客程序。其種類、數量正在迅速激增。同時,根據最新數據統計計算機病毒的數量正在急劇增加,現在每天都有超過40種新計算機病毒出現,因此每年的新型計算機病毒就有就有1.2萬種左右出現,這樣的數目超過了截至1997年為止世界上計算機病毒的總數。然而最近又出現了很多專門針對掌上電腦和手機的計算機病毒。
計算機病毒造成的破壞日益嚴重。2000年5月“I Love You”情書病毒的影響,全球的損失預計已經高達100億美元,而受CIH計算機病毒在全球造成的損失據估計已超過10億美元。對于行業的用戶當系統每死機一小時其損失都在650萬美元以上,其包括電視機構、證券公司、國際航運公司、信用卡公司和郵購公司在內,然而對于Internet公司,尚無人能統計其損失的金額。
(二)管理及操作人員缺乏安全知識
我們認為,全面的安全管理體系是由全面的安全產品解決方案、雇員的培訓、事后的安全審計、安全策略制定、安全策略架構的實施、企業系統風險評估、安全架構制定等部分有機結合,構成的完善的管理體系。全面的安全產品解決方案是包含在系統的各個方面和層次上部署相應安全產品的工具。
現代計算機網絡要加強系統的總體安全級別,必須從應用業務系統、網絡、計算機操作系統甚至系統安全管理規范,因為安全隱患會隱藏在系統的各個角落,使用人員應該考慮安全意識等各個層面統籌。木筒裝水的多少決定于最矮的木板,然而系統的總體安全級別就象裝在木筒中的水,系統安全級別的高低取決于系統安全管理最薄弱的環節。所以我們對系統安全管理應該是多方面的、多層次的,要從網絡、應用系統、操作系統各個方面來提高系統的安全級別,還要把原來通過管理規定由使用人員自覺維護的安全規則用系統來自動實現,來加強系統的總體安全性。
二、網絡安全總體設計
據統計,在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設置安裝。然而對于系統安全的維護和管理需要各種層次的系統和安全專家才能完成。如果沒有專業人員的介入,根據實際情況對安全管理產品進行詳細地配置,對于企業的策略進行設計和安全管理規范,就算功能再強大的安全產品也會達不到非常好的安全防護作用。
三、安全系統的建設原則
“使入侵者花費不可接受的金錢與時間,并且承受非常高的風險才可以闖入的系統叫做安全系統。我們認為,絕對安全與可靠的信息系統并不存在。然而安全性的增加通常會導致企業費用的增長,這些費用包括系統復雜性增加、系統性能下降、操作與維護成本增加和系統可用性降低等等。安全不是目的而是一個過程。威脅與弱點會隨時間變化。然而安全的努力依賴于許多因素,例如新業務應用的實施、職員的調整、安全漏洞和新攻擊技術與工具的導入。
參考文獻:
[1]張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003
[2]高永強,郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003
篇10
根據最新的國家計算機網絡應急技術處理協調中心的報告,目前網絡攻擊的動機逐漸從技術炫耀型轉向利益驅動型,網絡攻擊的組織性、趨利性、專業性和定向性繼續加強,從而導致為獲得經濟利益的惡意代碼和在線身份竊取成為網絡攻擊的主流,瞄準特定用戶群體的定向化信息竊取和勒索成為網絡攻擊的新趨勢。此外我國被篡改的網站數量居高不下,尤其是政府網站被篡改的比例呈現上升趨勢。圖1顯示了我國僅在2006上半年統計的網絡安全事件數; 圖2則顯示了當前我們所面對的網絡安全威脅種類的復雜性和多樣性。由此可見,我國的信息安全面臨嚴峻考驗。
從圖1和圖2我們不難看出,當前的網絡攻擊和威脅的最大特點是趨利化,那么對于企業來說,如果沒有一套較好的安全防范架構,那就不可避免地會在紛繁復雜的網絡中遭受大量的乃至致命的打擊。因此,建立企業安全防范架構勢在必行。
安全架構模型
從當前的理論研究以及實踐經驗來看,面向企業安全的防范架構并未有一個成型的模型,各企業均按照自身的經驗和組織管理體系來進行企業網絡安全的防范工作。然而,在實踐中急需有一套具有指導性意義的方法和手段來對其工作進行指導,才能做到有備無患。我們看到,關于網絡安全的相關標準及模型的研究已經日趨成熟和理論化,并在實踐中廣泛應用。因此,我們不妨借用這些模型和標準來構建一套較為有效和具有普遍意義的企業安全防范體系。
ITU-T X.800 Security architecture標準將我們常說的“網絡安全(Network Security)”進行邏輯上的分別定義,即安全攻擊(Security Attack)是指損害機構所擁有信息的安全的任何行為;安全機制(Security Mechanism)是指設計用于檢測、預防安全攻擊或者恢復系統的機制; 安全服務(Security Service)是指采用一種或多種安全機制以抵御安全攻擊、提高機構的數據處理系統安全和信息傳輸安全的服務。三者之間的關系如表1所示。
為了能夠有效了解用戶的安全需求,選擇各種安全產品和策略,有必要建立一些系統的方法來進行網絡安全防范。網絡安全防范體系的科學性、可行性是其可順利實施的保障。圖3給出了DISSP安全框架三維模型。第一維是安全服務,給出了八種安全屬性。第二維是系統單元,給出了信息網絡系統的組成。第三維是結構層次,給出并擴展了國際標準化組織ISO的七層開放系統互聯(OSI)模型。
框架結構中的每一個系統單元都對應于某一個協議層次,需要采取若干種安全服務才能保證該系統單元的安全。網絡平臺需要有網絡節點之間的認證、訪問控制,應用平臺需要有針對用戶的認證、訪問控制,需要保證數據傳輸的完整性、保密性,需要有抗抵賴和審計的功能,需要保證應用系統的可用性和可靠性。針對一個信息網絡系統,如果在各個系統單元都有相應的安全措施來滿足其安全需求,則我們認為該信息網絡是安全的。
安全架構的層次結構
作為全方位的、整體的網絡安全防范架構是分層次的,不同層次反映了不同的安全問題。我們可以將企業安全防范架構的層次劃分為物理層安全、系統層安全、網絡層安全、應用層安全和安全管理(如圖3)。由于層次的不同,我們也需要采用不同的安全技術來針對每層的安全問題進行應對和防護,因而也就產生了如圖4中所列的種類繁多的安全技術。
物理層
保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。該層次的安全包括通信線路的安全、物理設備的安全、機房的安全等。因此,該層的安全防護技術具體體現在設備和系統的管理層面和電氣工程相關技術的層面上。
網絡層
該層的安全及安全技術問題是當前企業面臨的最大問題,其安全防護技術主要是針對各種類型的DoS和DDoS攻擊進行防護和抑制。
管理層
管理層安全是最重要而且最容易被忽視的一個問題。它直接關系到上述安全問題和安全技術是否能夠收到較好的成效,也是貫穿整個企業安全防范架構的一條重要主線。安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。
網絡防護兩大趨勢
隨著攻擊技術的不斷發展和演化,我們需要對企業網絡防護技術的未來發展趨勢進行把握,可以做出如下兩個層面的歸納和預測。
首先是在網絡應用層中,風險分析的重點將放在安全測評評估技術上。它的戰略目標是掌握網絡、信息系統安全測試及風險評估技術,建立完整的、面向等級保護的測評流程及風險評估體系。這一點和過去不一樣,過去做測評是沒有強調等級保護的。
此外,網絡應用層的網絡安全事件監控技術的戰略目標應重點放在整個企業的層面進行考慮,要掌握保障基礎信息網絡與重要信息系統安全運行的能力,提高網絡安全危機處理的能力。響應的重點應該放在惡意代碼防范與應急響應技術上,其戰略目標是掌握有效的惡意代碼防范與反擊策略。一旦發現惡意代碼,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網絡安全事件應急響應支撐技術。其主要創新點在于,提出對蠕蟲、病毒、木馬、僵尸網絡、垃圾郵件等惡意代碼的控制機理。
此外國際產業界還提出了UTM。它的目標主要針對安全防護技術一體化、集成化的趨勢,提出了UTM與網絡安全管理的有效模型、關鍵算法,提出了相應的行業標準及其實現方式。UTM可以提高效果、降低投資,通過綜合管理提高防護能力。
有明顯發展新趨勢的第二個層面是系統與物理層,在這一層安全存儲系統產品很多,從安全角度來看,它的發展趨勢有兩點: 一個是機密性,企業要掌握海量數據的加密存儲和檢索技術,保障存儲數據的機密性和安全訪問能力; 另一個是安全存儲系統自身要可靠,企業要掌握高可靠海量存儲技術,保障海量存儲系統中數據的可靠性。創新點在于,應提出海量分布式數據存儲設備的高性能加密與存儲訪問方法,提出數據自毀機理數據備份與可生存性技術是圍繞災難恢復來做的。這主要是用于第三方實施數據災難備份的模型與方法,為建設通用災難備份中心提供理論依據與技術手段,建立網絡與信息系統生存性和抗毀性,提高網絡與信息系統的可靠性。對網絡安全模型提出一個技術性模型,應該要有一個可信計算平臺做整體的支撐。業界的戰略目標是掌握基于自主專利與標準的可信平臺模塊、硬件、軟件支撐、應用安全軟件、測評等一批核心技術,主導我國可信計算平臺的跨越式發展,為可信的企業計算提供操作平臺和可靠保障。
鏈接
企業安全防范架構設計準則
根據安全防范架構的多個層面的問題,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面,企業網絡安全防范架構在整體設計過程中需要遵循以下幾項準則,以切實全面地做好企業安全防范工作:
1.做好整體規劃
企業信息安全系統應該包括安全防護機制、安全檢測機制和安全響應機制和安全策略。這主要來源于經典的信息安全領域的P2DR模型(見右下圖)。P2DR模型包含四個主要部分: Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。
06
具體到企業安全防范架構上,我們也要很好地考慮這些要點,而不能光為了防范而防范,要整體規劃和部署。也就是說,安全防護機制是根據具體系統存在的各種安全威脅采取的相應防護措施,避免非法攻擊。安全檢測機制是檢測系統的運行情況,及時發現和制止對系統進行的各種攻擊。安全響應機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少供給的破壞程度。
2.做好層次性防范
層次性防范是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的,包括對信息保密程度分級,對用戶操作權限分級,對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網絡中不同層次的各種實際需求。
3.突出重點,合理平衡
網絡信息安全的木桶原理是指對信息均衡、全面地進行保護。網絡信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網絡系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的“最易滲透原則”,必然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析,評估和檢測(包括模擬攻擊)是設計信息安全系統的必要前提條件。
4.技術與管理,兩手都要硬
安全體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。切忌只重視其中一種而忽視另一種的情況出現,要明白好的技術是管理的基礎,而高效地管理則是技術強有力的保證。
