企业的网络安全范文
时间:2023-10-07 08:36:43
引言:寻求写作上的突破?我们特意为您精选了4篇企业的网络安全范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
篇1
在计算机网络应用越来越广泛的今天,人们在享受着网络带来的方便快捷生活的同时,也会被随之而来的网络安全问题而困扰,大多网络用户均属于非专业人士,对网络的认知较浅,只能简单的应用,对于网络上常见的安全问题都会有些束手无策,对于一些需要用到网络的企业而言,网络安全问题更是需要受到重视。
1 计算机网络安全的概述
所谓计算机网络安全是指技术人员对网络的性能和安全实行专业化的管理和控制,针对可能出现的状况制定出合理的解决措施,从而保证数据的保密性以及完整性,且网络环境相对稳定,数据的各方面都能得到有效地保护。对于网络的安全管理主要由两部分构成,一部分为物理安全,另一部分为逻辑安全,物理安全是指整个网络系统的相关硬件以及附带设施实行物理性的保护,防止硬件的丢失或毁损;而逻辑安全则是指对数据传输的完整性、保密性做到全方位的防护。
2 企业网络安全的现状
现阶段,网络的发展和早期所设计的网络意图有所更改,已经将安全问题放在了首位,若不能够将安全问题解决,会在一定程度上直接影响到企业网络的应用。企业网络的信息当中存在着较多的对网络安全会产生不利影响的特性,例如:网络开放性、共享性以及互联性等,在当前经常发生恶性攻击事件,极大地显示出了现阶段严峻的网络安全形势,所以对于网络安全方面的防范措施,需要具备可以解除不同网络威胁的特点。在最近几年,我国的网络协议和系统会产生较多的问题,不能够安全、完善、健全的体现出所具备的影响价值。网络技术和计算机技术由于具备的多样性和复杂性,促使网络安全变为了一种需要不断提升和更新的范畴。因此,计算机网络在企业的应用上,需要拥有相应的网络安全问题的分析,以及网络安全的解决对策,才可以确保企业网络的顺畅运行。
3 企业网络安全应用中的问题
3.1 网络软件的漏洞
网络软件不论多么的优秀,都会产生或多或少的漏洞和缺陷,然而对于较高水平的黑客而言,定会将这些缺陷和漏洞作为首要攻击的目标。在早期发生的黑客攻击事件当中,基本上都是由于产生不完善的软件安全措施所造成的后果。
3.2 人为无意失误
人为的失误方面包含不够恰当的操作员安全配置,会在一定程度上导致安全漏洞的产生,用户缺失较强的安全意识,经常不填写用户口令,会将自身的账号随意的和别人分享或者供他人使用等,会无意间威胁到企业网络。
3.3 人为恶意失误
人为的恶意失误是网络的最大程度威胁因素,例如:计算机犯罪等。类似的攻击,基本上能分成两个层面:其一为被动攻击,是在不影响到网络工作的基础上,开展的破译、窃取、截获后,以此来获取核心性的机密信息。其二为主动攻击,是用不同的方法有选择性的对信息的完整性和有效性进行破坏。这两个层面的攻击,都能够让计算机网络产生较大的威胁,同时会造成机密数据的严重泄漏。
4 企业网络安全应用中的解决对策
4.1 网络设备的安全
在防护网络安全方面,保证网络设备安全是较为基础性的防护模式。其一,需要有效地对设备进行配置,要保证只对设备中必要的服务有所开放,在运行方面,只参考指定人员的访问;其二,重视设备厂商所提出的漏洞,要在第一时间进行网络设备补丁的安装;其三,在计算机网络中的全部设备,有必要定期地进行密码的更换,并且密码方面需要符合相应的复杂度,才能够不被轻易地破解。最后,组织有效的维护设备,保证网络设备的运营稳定性。
4.2 无线网络的安全
因为无线网络信号会利用空气运行,极易产生恶意用户的窃取,因此无线网络安全在一定程度上成为了预防安全隐患的重点。只是加密无线信号,不可以达成安全性的要求。现阶段,在企业的内部提倡应用认证和加密的结合形式,其中所涉及到的认证需要与AD相融合,以此来有效地提升账户的可管理性。
4.3 客户端的安全管理
在大中型的企业当中拥有着较多的客户端,往往都属于Windows操作系统,对其进行分别的管理较为麻烦,需要在企业的内部利用Windows组策略进行客户端的管理。组策略就是利用一次的设定,制约一部分的对象。能够在组策略中创设较为严谨的策略,以此来把控客户端的安全运行。主要的策略包含:加强账户策略、合理删除Guest等类似次要的用户;加强系统日志审核功能;局限非管理员的相应操作权限等。这一系列的策略是企业内部较为通用的策略。针对企业内部生产使用中的客户端,因为作业人员只应用几个建议的操作,因此有必要开展较为严格的限制。例如:最小化系统操作、最小化系统开放端口、最小化运行的用户进程等。其中的最小化运行用户进程所指的是,除了特定的系统进程,不能够使用其他的进程。最小化系统操作包含:禁用注册表、禁用命令提示符、禁用控制面板、禁用鼠标右键等。
5 总结
根据以上的论述,网络安全是较为复杂性、综合性的问题,会与较多的因素相联系,具体包含多种管理、产品以及技术等。不可以单纯的依赖防护系统,也不能够只是将防护系统作为摆设,而不去贯彻落实。想要将企业高效的进行网络运行,就需要为企业解决网络安全的实质性问题,才能做好企业网络信息的可用性、完整性以及保密性。
参考文献
[1]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.
[2]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.
[3]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.
篇2
一、概述
近年来大港油区各单位的信息化建设工作都在循序渐进的进行着,接入油田网络的电脑终端数量越来越多,除了桌面电脑、服务器、存储、路由器、交换机……设备的大量增加以满足办公需要,各种操作系统、数据库、应用系统……也在不断地扩充。随着这些硬件、软件、系统的广泛应用,信息安全的重要性日益显现。
二、企业信息系统状况
1.信息化整体状况
(1)计算机网络
该企业现有计算机240余台,通过内部网相互连接,根据油田公司统一规划,通过交换机与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
(2)应用系统
随着近年来整个大港油田信息化建设的不断深入,各专业路的各项工作与这个网络早已经密不可分了。2010年油田公司各专业部门新上线或升级的信息系统超过20余套,范围涉及管理处生产、安全、经营、财务、人事、劳资、党群等所有部门,因此维护网络的信息安全,保障网络高效、稳定运行,直接关系着管理处全年生产、经营任务能否顺利完成。
2.信息安全状况
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因遭到破坏、泄露,能确保网络连续可靠的运行。
网络安全其实就是网络上的信息存储和传输安全。
信息安全是网络安全中最重要的一部分,其它的东西在遭破坏后还可以重新恢复或补救,而信息一旦丢失或者遭盗窃,那带来的损失就是无法估量的。
三、网络安全管理
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部有意或无意的不安全网络操作。归结起来,针对网络安全的威胁主要有:
1.人为的无意失误:如网络用户安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账户随意转借他人或者与别人共享等,这些行为都会对网络安全带来威胁。
2.人为的恶意攻击:这是计算机网络所面临的最大威胁,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。
3.网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。
(1)RSW-防毒墙
防毒墙技术是通过IP过滤和服务器等软件方法在企业内部网和外部互联网之间搭建一个网络安全屏障,即所谓的“墙”,以保护企业内部网中的信息数据,只有授权用户才能获准进入企业内部网的系统。
(2)Symantec服务器
目前管理处网络全面部署了Symantec网络防病毒软件,更好的保证防病毒系统的正常运行,防止病毒的入侵。Symantec(赛门铁克)杀毒软件,包括Symantec AntiVirus即SAV系列,Symantec Client Security即SMS系列,以及Symantec Endpoint Protection即SEP系列,都是专门为企业级用户定制的。三个桌面安全系统均包括服务器端安装程序和客户端安装程序,由油田公司统一配置安装,通过配置服务器端,每台客户端都能通过服务器端及时更新,服务器端通过网络与Symantec升级服务器连接来进行更新。
四、加强网络信息安全管理的办法
1.规范网络的使用管理
搞好计算机网络信息安全管理,思想是先导,技术是保障,管理是关键。因此,应建立正规的管理秩序。要严格落实各项网络安全制度,各类信息上网前要经过严格审查,要严格选配和管理网络操作人员,保证从事网络信息工作的人员有较高的政治觉悟和强烈的责任心。
2.采取多种防范措施
技术问题最终要靠技术来解决。从根源做起,最重要的是注重计算机病毒、恶意软件的防范工作。对计算机设置开机登录密码;安装桌面安全系统,并定期升级扫描计算机;定期检测计算机是否存在黑客工具、恶意软件及浏览器恶意插件;不安装与工作无关的软件等,一点一滴,从细节做起,使每位网络用户意识到对自己的负责,就是对企业的负责,就是对整个企业网的安全负责。
3.加强专业队伍建设
计算机网络是高科技发展的产物,保障一个企业安全平稳运行,做好网络安全防护工作,关键在人的素质。而网络管理是一个技术性很强的岗位,对于从事网络安全的人员来说,技术往往是不进则退。因此网络管理员必须要不断加强自身的业务知识学习,面对难题才能游刃有余。
五、总结
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的网络安全制度、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务――这才是营造良好的网络安全环境的唯一手段。
篇3
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4026-02
随着信息技术的飞速发展,电子政务、电子商务、企业信息化建设取得了显著成效,园区网络也已经被广泛的应用到企业日常工作、管理中去。与此同时网络安全问题日益突出,安全保密建设任务更加紧迫,如何切实有效的对终端用户的网络访问范围、权限加以控制,对病毒、木马的泛滥加以限制成为企业园区网络安全建设的面临的重要课题。
近年来由于三层交换设备在企业园区网络中的广泛应用,通过ACL(Access Control List,访问控制列表)进行数据流控制实现网络安全,变得具有普遍意义。
1 ACL技术介绍
1.1 ACL的工作原理
TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成,IP报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP报头包含源端号、目的端口,设备信息。(如图1)
ACL利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。――如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。(如:图2)
1.2 ACL的分类
ACL的分类根据网络厂商及设备IOS版本的不同存在一定的差别,但按照规则的功能一般ACL可以划分以下三种:
1)标准ACL:仅使用数据包的源IP地址作为条件来定义规则。
2)扩展ACL:既可使用数据包的源IP地址,也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。
3)基于以太帧的ACL:可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太网帧头信息来定义规则。
1.3 ACL的特性
1)每条ACL应当至少包含一条允许语句,否则将拒绝所有流量。
2)ACL被创建后并不是马上生效,只有在被应用到接口时才会过滤流量。
3)ACL只过滤通过设备的流量,而不过滤本设备所产生的流量。
4)将标准ACL尽可能放置在靠近目的地址的位置,将扩展ACL尽可能放置在靠近在源地址的位置,以避免不必要的流量占用网络带宽。
5)避免在核心层设备上大量使用ACL,这将大量占用设备的处理能力。
2 企业园区网络安全实例
2.1 典型企业园区网络
在典型企业园区网络环境中,网络依照三层架构建设及接入层、汇聚层、核心层,各部门通过Vlan划分为多个子网络。终端用户主要应用为OA系统、电子邮件以及部门打印机。(如图3)
2.2 企业园区网络所面临的安全问题
传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为,即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的,威胁都来自于外部,其途径主要通过内外网络边界出口,只要将网络边界处的安全控制措施做好,即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。
事实上,内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,威胁既可能来自外网,也可能来自内网的任何一个节点上,实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行,充分发挥信息网络效益的必然要求。
目前,对企业内部园区网络的常见安全问题有以下几点:
1)在企业管理中需要避免各个部门之间网络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。
2)防止内网已有病毒在网络上的扩散传播,控制并减少病毒侵害的范围。
3)防止未经授权的非法终端设备接入网络,对网络中的设备进行。
2.3 ACL策略实现
对于企业园区网中的上述问题,以Cisco三层交换机为例设配置ACL策略,实现安全防范。
1)企业园区网络各部门Vlan收敛于核心交换机,因此在核心交换机上使用扩展ACL实现Vlan指定访问。
Switch(config)# access-list 101 permit any 192.168.254.0 0.0.0.255//允许目的地址为服务器区域地址段
Switch(config-if)# interface vlan 10 //进入vlan10的网关
Switch(config-if)# ip access-group 101 out //比对vlan10网关的出输数据包
2)大部分病毒利用软件、操作系统的漏洞通过开放的端口实施侵入,常用端口有136、137、138、445等,所以在汇聚层交换机上使用扩展ACL实现网络防护,将病毒影响控制在有限的范围内。
Switch(config)# access-list 102 deny udp any any eq 135//拒绝任意主机间通过135端口的UDP数据包
Switch(config)# access-list 102 deny udp any any eq 136
Switch(config)# access-list 102 deny udp any any eq 137
Switch(config)# access-list 102 deny udp any any eq 138
Switch(config)# access-list 102 deny udp any any eq 445
Switch(config)# access-list 102 deny tcp any any eq 135
Switch(config)# access-list 102 deny tcp any any eq 136
Switch(config)# access-list 102 deny tcp any any eq 137
Switch(config)# access-list 102 deny tcp any any eq 138
Switch(config)# access-list 102 deny tcp any any eq 445
Switch(config)# access-list 102 permit ip any any//允许任意主机之间的访问
Switch(config)#intface GigabitEthernet 0/1//进入汇聚交换机下联端口
Switch(config-if)# ip access-group 102 in//比对端口输入数据包
3)由于非法接入动作发生于交换机接入层,所以在接入层交换机端口上使用基于以太帧的ACL对接入端口的MAC地址进行绑定,实现网络接入安全。
Switch(config)# mac access-list extended f0/1//建立命名为f0/1的ACL
Switch(config-ext-mac)# permit any host H.H.H//允许任意地址访问MAC地址为H.H.H的主机
Switch(config-ext-mac)# permit host H.H.H any//允许MAC地址为H.H.H的主机访问任意地址
Switch(config)# intface fastEthernet 0/1//进入终端接入端口
Switch(config-if)# mac access-group f0/1 in //比对端口输入数据帧
3 结束语
ACL在本质上是一系列对包进行分类的条件,通过ACL网络管理员可以对企业园区网络中的传输流量做到精确控制,防止病毒在网络中的扩散,保护敏感设备远离未授权的访问。
参考文献:
[1] Andrew S,Tanenbaum.计算机网络[M].4版.北京:清华大学出版社,2004.
[2] 谭浩强.Cisco路由实用技术[M].北京:中国铁道出版社,2006.
篇4
1网络安全、信息安全标准
网络安全性标准是指为了规范网络行为,净化网络环境而制定的强制性或指导性的规定。目前,网络安全标准主要有针对系统安全等级、系统安全等级评定方法、系统安全使用和操作规范等方面的标准。世界各国纷纷颁布了计算机网络的安全管理条例,我国也颁布了《计算机网络国际互联网安全管理方法》等多个国家标准,用来制止网络污染,规范网络行为,同时各种网络技术在不断的改进和完善。1999年9月13日,中国颁布了《计算机信息系统安全保护等级划分准则》(GB17859:1999),定义了计算机信息系统安全保护能力的5个等级,分别如下:(1)第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。(2)第二级:系统审计保护级。除继承前一个级别的安全功能外,还要求创建和维护访问的审计踪记录,使所有的用户对自己行为的合法性负责。(3)第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。(4)第四级:结构化保护级。除继承前一个级别的安全功能外,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。(5)第五级:访问验证保护级。除继承前一个级别的安全功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
2企业网络主要安全隐患
企业网络主要分为内网和外网,网络安全体系防范的不仅是病毒感染,还有基于网络的非法入侵、攻击和访问,但这些非法入侵、攻击、访问的途径非常多,涉及到整个网络通信过程的每个细节。从以往的网络入侵、攻击等可以总结出,内部网络的安全威胁要多于外部网络,因为内网受到的入侵和攻击更加容易,所以做为网络安全体系设计人员要全面地考虑,注重内部网络中存在的安全隐患。
3企业网络安全防护策略
设计一个更加安全的网络安全系统包括网络通信过程中对OSI/RM的全部层次的安全保护和系统的安全保护。七层网络各个层次的安全防护是为了预防非法入侵、非法访问、病毒感染和黑客攻击,而非计算机通信过程中的安全保护是为了预防网络的物理瘫痪和网络数据损坏的。OSI/RM各层采取的安全保护措施及系统层的安全防护如图1所示。
4OSI/RM各层主要安全方案
4.1物理层安全
通信线路的屏蔽主要体现在两个方面:一方面是采用屏蔽性能好的传输介质,另一方面是把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中。(1)屏蔽双绞线屏蔽与非屏蔽的普通五类、超五类双绞线的主要区别是屏蔽类双绞线中8条(4对)芯线外集中包裹了一屏蔽层。而六类屏蔽双绞和七类双绞线除了五类、超五类屏蔽双绞线的这一层统一屏蔽层外,还有这些屏蔽层就是用来进行电磁屏蔽的,一方面防止外部环境干扰网线中的数据传输,另一方防止传输途中的电磁泄漏而被一些别有用心的人侦听到。(2)屏蔽机房和机柜机房屏蔽的方法是在机房外部以接地良好的金属膜、金属网或者金属板材(主要是钢板)包围,其中包括六面板体和一面屏蔽门。根据机房屏蔽性能的不同,可以将屏蔽机房分为A、B、C三个级别,最高级为C级。机柜的屏蔽是用采用冷扎钢板围闭而成,这些机柜的结构与普通的机柜是一样的,都是标准尺寸的。(3)WLAN的物理层安全保护对于无线网络,因为采用的传输介质是大气,大气是非固定有形线路,安全风险比有线网络更高,所以在无线网络中的物理层安全保护就显得更加重要了。如果将机房等整个屏蔽起来,成本太高,现在主要采用其他方式如多位数共享密钥、WPA/WPA2动态密钥、IEEE802.1X身份验证等。现在最新的无线宽带接入技术——WiMAX对于来自物理层的攻击,如网络阻塞、干扰,显得很脆弱,以后将提高发射信号功率、增加信号带宽和使用包括跳频、直接序列等扩频技术。
4.2数据链路层安全
在数据链路层可以采用的安全保护方案主要包括:数据链路加密、MAC地址绑定(防止MAC地址欺骗)、VLAN网段划分、网络嗅探预防、交换机保护。VLAN隔离技术是现代企业网络建设中用的最多的技术,该技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层的VLAN和基于策略的VLAN。
4.3网络层安全
在网络层首先是身份的认证,最简单的身份认证方式是密码认证,它是基于windows服务器系统的身份认证可针对网络资源的访问启用“单点登录”,采用单点登录后,用户可以使用一个密码或智能卡一次登录到windows域,然后向域中的任何计算机验证身份。网络上各种服务器提供的认证服务,使得口令不再是以明文方式在网络上传输,连接之间的通信是加密的。加密认证分为PKI公钥机制(非对称加密机制),Kerberos基于私钥机制(对称加密机制)。IPSec是针对IP网络所提出的安全性协议,用途就是保护IP网络通信安全。它支持网络数据完整性检查、数据机密保护、数据源身份认证和重发保护,可为绝大部分TCP/IP族协议提供安全服务。IPSec提供了两种使用模式:传输模式(TransportMode)和隧道模式(TUNNELMode)。
4.4传输层安全
传输层的主要作用是保证数据安全、可靠的从一端传到另一端。TLS/SSL协议是工作在传输层的安全协议,它不仅可以为网络通信中的数据提供强健的安全加密保护,还可以结合证书服务,提供强大的身份谁、数据签名和隐私保护。TLS/SSL协议广泛应用于Web浏览器和Web服务器之间基于HTTPS协议的互联网安全传输。
4.5防火墙
因防火墙技术在OSI/RM各层均有体现,在这里简单分析一下防火墙,防火墙分为网络层防火墙和应用层防火墙,网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,应用层防火墙可以拦截进出某应用程序的所有封包。目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。
5结语
以上对于实现企业网络建设安全技术及信息安全的简单论述,是基于网络OSI/RM各层相应的安全防护分析,重点分析了物理层所必须做好的各项工作,其余各层简单分析了应加强的主要技术。因网络技术日新月益,很多新的网络技术在本文中未有体现,实则由于本人时间、水平有限,请各位读者给予见解。文章中部分内容借签于参考文献,在此非常感谢各位作者的好书籍。
作者:单位:西山煤电(集团)有限公司物资供应分公司
引用:
[1]李磊.网络工程师考试辅导.北京:清华大学出版社,2009.
