时间:2023-10-07 08:36:43
引言:寻求写作上的突破?我们特意为您精选了12篇企业的网络安全范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
在计算机网络应用越来越广泛的今天,人们在享受着网络带来的方便快捷生活的同时,也会被随之而来的网络安全问题而困扰,大多网络用户均属于非专业人士,对网络的认知较浅,只能简单的应用,对于网络上常见的安全问题都会有些束手无策,对于一些需要用到网络的企业而言,网络安全问题更是需要受到重视。
1 计算机网络安全的概述
所谓计算机网络安全是指技术人员对网络的性能和安全实行专业化的管理和控制,针对可能出现的状况制定出合理的解决措施,从而保证数据的保密性以及完整性,且网络环境相对稳定,数据的各方面都能得到有效地保护。对于网络的安全管理主要由两部分构成,一部分为物理安全,另一部分为逻辑安全,物理安全是指整个网络系统的相关硬件以及附带设施实行物理性的保护,防止硬件的丢失或毁损;而逻辑安全则是指对数据传输的完整性、保密性做到全方位的防护。
2 企业网络安全的现状
现阶段,网络的发展和早期所设计的网络意图有所更改,已经将安全问题放在了首位,若不能够将安全问题解决,会在一定程度上直接影响到企业网络的应用。企业网络的信息当中存在着较多的对网络安全会产生不利影响的特性,例如:网络开放性、共享性以及互联性等,在当前经常发生恶性攻击事件,极大地显示出了现阶段严峻的网络安全形势,所以对于网络安全方面的防范措施,需要具备可以解除不同网络威胁的特点。在最近几年,我国的网络协议和系统会产生较多的问题,不能够安全、完善、健全的体现出所具备的影响价值。网络技术和计算机技术由于具备的多样性和复杂性,促使网络安全变为了一种需要不断提升和更新的范畴。因此,计算机网络在企业的应用上,需要拥有相应的网络安全问题的分析,以及网络安全的解决对策,才可以确保企业网络的顺畅运行。
3 企业网络安全应用中的问题
3.1 网络软件的漏洞
网络软件不论多么的优秀,都会产生或多或少的漏洞和缺陷,然而对于较高水平的黑客而言,定会将这些缺陷和漏洞作为首要攻击的目标。在早期发生的黑客攻击事件当中,基本上都是由于产生不完善的软件安全措施所造成的后果。
3.2 人为无意失误
人为的失误方面包含不够恰当的操作员安全配置,会在一定程度上导致安全漏洞的产生,用户缺失较强的安全意识,经常不填写用户口令,会将自身的账号随意的和别人分享或者供他人使用等,会无意间威胁到企业网络。
3.3 人为恶意失误
人为的恶意失误是网络的最大程度威胁因素,例如:计算机犯罪等。类似的攻击,基本上能分成两个层面:其一为被动攻击,是在不影响到网络工作的基础上,开展的破译、窃取、截获后,以此来获取核心性的机密信息。其二为主动攻击,是用不同的方法有选择性的对信息的完整性和有效性进行破坏。这两个层面的攻击,都能够让计算机网络产生较大的威胁,同时会造成机密数据的严重泄漏。
4 企业网络安全应用中的解决对策
4.1 网络设备的安全
在防护网络安全方面,保证网络设备安全是较为基础性的防护模式。其一,需要有效地对设备进行配置,要保证只对设备中必要的服务有所开放,在运行方面,只参考指定人员的访问;其二,重视设备厂商所提出的漏洞,要在第一时间进行网络设备补丁的安装;其三,在计算机网络中的全部设备,有必要定期地进行密码的更换,并且密码方面需要符合相应的复杂度,才能够不被轻易地破解。最后,组织有效的维护设备,保证网络设备的运营稳定性。
4.2 无线网络的安全
因为无线网络信号会利用空气运行,极易产生恶意用户的窃取,因此无线网络安全在一定程度上成为了预防安全隐患的重点。只是加密无线信号,不可以达成安全性的要求。现阶段,在企业的内部提倡应用认证和加密的结合形式,其中所涉及到的认证需要与AD相融合,以此来有效地提升账户的可管理性。
4.3 客户端的安全管理
在大中型的企业当中拥有着较多的客户端,往往都属于Windows操作系统,对其进行分别的管理较为麻烦,需要在企业的内部利用Windows组策略进行客户端的管理。组策略就是利用一次的设定,制约一部分的对象。能够在组策略中创设较为严谨的策略,以此来把控客户端的安全运行。主要的策略包含:加强账户策略、合理删除Guest等类似次要的用户;加强系统日志审核功能;局限非管理员的相应操作权限等。这一系列的策略是企业内部较为通用的策略。针对企业内部生产使用中的客户端,因为作业人员只应用几个建议的操作,因此有必要开展较为严格的限制。例如:最小化系统操作、最小化系统开放端口、最小化运行的用户进程等。其中的最小化运行用户进程所指的是,除了特定的系统进程,不能够使用其他的进程。最小化系统操作包含:禁用注册表、禁用命令提示符、禁用控制面板、禁用鼠标右键等。
5 总结
根据以上的论述,网络安全是较为复杂性、综合性的问题,会与较多的因素相联系,具体包含多种管理、产品以及技术等。不可以单纯的依赖防护系统,也不能够只是将防护系统作为摆设,而不去贯彻落实。想要将企业高效的进行网络运行,就需要为企业解决网络安全的实质性问题,才能做好企业网络信息的可用性、完整性以及保密性。
参考文献
[1]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.
[2]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.
[3]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.
一、概述
近年来大港油区各单位的信息化建设工作都在循序渐进的进行着,接入油田网络的电脑终端数量越来越多,除了桌面电脑、服务器、存储、路由器、交换机……设备的大量增加以满足办公需要,各种操作系统、数据库、应用系统……也在不断地扩充。随着这些硬件、软件、系统的广泛应用,信息安全的重要性日益显现。
二、企业信息系统状况
1.信息化整体状况
(1)计算机网络
该企业现有计算机240余台,通过内部网相互连接,根据油田公司统一规划,通过交换机与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
(2)应用系统
随着近年来整个大港油田信息化建设的不断深入,各专业路的各项工作与这个网络早已经密不可分了。2010年油田公司各专业部门新上线或升级的信息系统超过20余套,范围涉及管理处生产、安全、经营、财务、人事、劳资、党群等所有部门,因此维护网络的信息安全,保障网络高效、稳定运行,直接关系着管理处全年生产、经营任务能否顺利完成。
2.信息安全状况
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因遭到破坏、泄露,能确保网络连续可靠的运行。
网络安全其实就是网络上的信息存储和传输安全。
信息安全是网络安全中最重要的一部分,其它的东西在遭破坏后还可以重新恢复或补救,而信息一旦丢失或者遭盗窃,那带来的损失就是无法估量的。
三、网络安全管理
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部有意或无意的不安全网络操作。归结起来,针对网络安全的威胁主要有:
1.人为的无意失误:如网络用户安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账户随意转借他人或者与别人共享等,这些行为都会对网络安全带来威胁。
2.人为的恶意攻击:这是计算机网络所面临的最大威胁,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。
3.网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。
(1)RSW-防毒墙
防毒墙技术是通过IP过滤和服务器等软件方法在企业内部网和外部互联网之间搭建一个网络安全屏障,即所谓的“墙”,以保护企业内部网中的信息数据,只有授权用户才能获准进入企业内部网的系统。
(2)Symantec服务器
目前管理处网络全面部署了Symantec网络防病毒软件,更好的保证防病毒系统的正常运行,防止病毒的入侵。Symantec(赛门铁克)杀毒软件,包括Symantec AntiVirus即SAV系列,Symantec Client Security即SMS系列,以及Symantec Endpoint Protection即SEP系列,都是专门为企业级用户定制的。三个桌面安全系统均包括服务器端安装程序和客户端安装程序,由油田公司统一配置安装,通过配置服务器端,每台客户端都能通过服务器端及时更新,服务器端通过网络与Symantec升级服务器连接来进行更新。
四、加强网络信息安全管理的办法
1.规范网络的使用管理
搞好计算机网络信息安全管理,思想是先导,技术是保障,管理是关键。因此,应建立正规的管理秩序。要严格落实各项网络安全制度,各类信息上网前要经过严格审查,要严格选配和管理网络操作人员,保证从事网络信息工作的人员有较高的政治觉悟和强烈的责任心。
2.采取多种防范措施
技术问题最终要靠技术来解决。从根源做起,最重要的是注重计算机病毒、恶意软件的防范工作。对计算机设置开机登录密码;安装桌面安全系统,并定期升级扫描计算机;定期检测计算机是否存在黑客工具、恶意软件及浏览器恶意插件;不安装与工作无关的软件等,一点一滴,从细节做起,使每位网络用户意识到对自己的负责,就是对企业的负责,就是对整个企业网的安全负责。
3.加强专业队伍建设
计算机网络是高科技发展的产物,保障一个企业安全平稳运行,做好网络安全防护工作,关键在人的素质。而网络管理是一个技术性很强的岗位,对于从事网络安全的人员来说,技术往往是不进则退。因此网络管理员必须要不断加强自身的业务知识学习,面对难题才能游刃有余。
五、总结
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的网络安全制度、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务――这才是营造良好的网络安全环境的唯一手段。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4026-02
随着信息技术的飞速发展,电子政务、电子商务、企业信息化建设取得了显著成效,园区网络也已经被广泛的应用到企业日常工作、管理中去。与此同时网络安全问题日益突出,安全保密建设任务更加紧迫,如何切实有效的对终端用户的网络访问范围、权限加以控制,对病毒、木马的泛滥加以限制成为企业园区网络安全建设的面临的重要课题。
近年来由于三层交换设备在企业园区网络中的广泛应用,通过ACL(Access Control List,访问控制列表)进行数据流控制实现网络安全,变得具有普遍意义。
1 ACL技术介绍
1.1 ACL的工作原理
TCP/IP协议中数据包具有数据包由IP报头、TCP/UDP报头、数据组成,IP报头中包含上层的协议端口号、源地址、目的地址,TCP/UDP报头包含源端号、目的端口,设备信息。(如图1)
ACL利用这些信息来定义规则,通过一组由多条deny(拒绝)和permit(允许)语句组成的条件列表,对数据包进行比较、分类,然后根据条件实施过滤。――如果满足条件,则执行给定的操作;如果不满足条件,则不做任何操作继续测试下一条语句。(如:图2)
1.2 ACL的分类
ACL的分类根据网络厂商及设备IOS版本的不同存在一定的差别,但按照规则的功能一般ACL可以划分以下三种:
1)标准ACL:仅使用数据包的源IP地址作为条件来定义规则。
2)扩展ACL:既可使用数据包的源IP地址,也可使用目的IP地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型等其他第3层和第4层报头中的其他字段来定义规则。
3)基于以太帧的ACL:可根据数据包的源MAC地址、目的MAC地址、以太帧协议类型等其他以太网帧头信息来定义规则。
1.3 ACL的特性
1)每条ACL应当至少包含一条允许语句,否则将拒绝所有流量。
2)ACL被创建后并不是马上生效,只有在被应用到接口时才会过滤流量。
3)ACL只过滤通过设备的流量,而不过滤本设备所产生的流量。
4)将标准ACL尽可能放置在靠近目的地址的位置,将扩展ACL尽可能放置在靠近在源地址的位置,以避免不必要的流量占用网络带宽。
5)避免在核心层设备上大量使用ACL,这将大量占用设备的处理能力。
2 企业园区网络安全实例
2.1 典型企业园区网络
在典型企业园区网络环境中,网络依照三层架构建设及接入层、汇聚层、核心层,各部门通过Vlan划分为多个子网络。终端用户主要应用为OA系统、电子邮件以及部门打印机。(如图3)
2.2 企业园区网络所面临的安全问题
传统意义上的网络安全考虑的是防范外部网络对内网的攻击行为,即来自于英特网的攻击行为。外网安全威胁模型假设内部网络都是安全可信的,威胁都来自于外部,其途径主要通过内外网络边界出口,只要将网络边界处的安全控制措施做好,即可确保整个网络的安全。传统防火墙、入侵检测、防病毒网关和VPN设备都是基于这种思路来设计的。
事实上,内部网络并非完全安全可信。内部网络包含大量的终端、服务器和网络设备,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,威胁既可能来自外网,也可能来自内网的任何一个节点上,实现一个可管理、可控制和可信任的内网已成为维护企业网络系统正常运行,充分发挥信息网络效益的必然要求。
目前,对企业内部园区网络的常见安全问题有以下几点:
1)在企业管理中需要避免各个部门之间网络的相互影响,限定终端用户的访问区域之在本部门Vlan和特定的服务器Vlan之内。
2)防止内网已有病毒在网络上的扩散传播,控制并减少病毒侵害的范围。
3)防止未经授权的非法终端设备接入网络,对网络中的设备进行。
2.3 ACL策略实现
对于企业园区网中的上述问题,以Cisco三层交换机为例设配置ACL策略,实现安全防范。
1)企业园区网络各部门Vlan收敛于核心交换机,因此在核心交换机上使用扩展ACL实现Vlan指定访问。
Switch(config)# access-list 101 permit any 192.168.254.0 0.0.0.255//允许目的地址为服务器区域地址段
Switch(config-if)# interface vlan 10 //进入vlan10的网关
Switch(config-if)# ip access-group 101 out //比对vlan10网关的出输数据包
2)大部分病毒利用软件、操作系统的漏洞通过开放的端口实施侵入,常用端口有136、137、138、445等,所以在汇聚层交换机上使用扩展ACL实现网络防护,将病毒影响控制在有限的范围内。
Switch(config)# access-list 102 deny udp any any eq 135//拒绝任意主机间通过135端口的UDP数据包
Switch(config)# access-list 102 deny udp any any eq 136
Switch(config)# access-list 102 deny udp any any eq 137
Switch(config)# access-list 102 deny udp any any eq 138
Switch(config)# access-list 102 deny udp any any eq 445
Switch(config)# access-list 102 deny tcp any any eq 135
Switch(config)# access-list 102 deny tcp any any eq 136
Switch(config)# access-list 102 deny tcp any any eq 137
Switch(config)# access-list 102 deny tcp any any eq 138
Switch(config)# access-list 102 deny tcp any any eq 445
Switch(config)# access-list 102 permit ip any any//允许任意主机之间的访问
Switch(config)#intface GigabitEthernet 0/1//进入汇聚交换机下联端口
Switch(config-if)# ip access-group 102 in//比对端口输入数据包
3)由于非法接入动作发生于交换机接入层,所以在接入层交换机端口上使用基于以太帧的ACL对接入端口的MAC地址进行绑定,实现网络接入安全。
Switch(config)# mac access-list extended f0/1//建立命名为f0/1的ACL
Switch(config-ext-mac)# permit any host H.H.H//允许任意地址访问MAC地址为H.H.H的主机
Switch(config-ext-mac)# permit host H.H.H any//允许MAC地址为H.H.H的主机访问任意地址
Switch(config)# intface fastEthernet 0/1//进入终端接入端口
Switch(config-if)# mac access-group f0/1 in //比对端口输入数据帧
3 结束语
ACL在本质上是一系列对包进行分类的条件,通过ACL网络管理员可以对企业园区网络中的传输流量做到精确控制,防止病毒在网络中的扩散,保护敏感设备远离未授权的访问。
参考文献:
[1] Andrew S,Tanenbaum.计算机网络[M].4版.北京:清华大学出版社,2004.
[2] 谭浩强.Cisco路由实用技术[M].北京:中国铁道出版社,2006.
1网络安全、信息安全标准
网络安全性标准是指为了规范网络行为,净化网络环境而制定的强制性或指导性的规定。目前,网络安全标准主要有针对系统安全等级、系统安全等级评定方法、系统安全使用和操作规范等方面的标准。世界各国纷纷颁布了计算机网络的安全管理条例,我国也颁布了《计算机网络国际互联网安全管理方法》等多个国家标准,用来制止网络污染,规范网络行为,同时各种网络技术在不断的改进和完善。1999年9月13日,中国颁布了《计算机信息系统安全保护等级划分准则》(GB17859:1999),定义了计算机信息系统安全保护能力的5个等级,分别如下:(1)第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。(2)第二级:系统审计保护级。除继承前一个级别的安全功能外,还要求创建和维护访问的审计踪记录,使所有的用户对自己行为的合法性负责。(3)第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。(4)第四级:结构化保护级。除继承前一个级别的安全功能外,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。(5)第五级:访问验证保护级。除继承前一个级别的安全功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
2企业网络主要安全隐患
企业网络主要分为内网和外网,网络安全体系防范的不仅是病毒感染,还有基于网络的非法入侵、攻击和访问,但这些非法入侵、攻击、访问的途径非常多,涉及到整个网络通信过程的每个细节。从以往的网络入侵、攻击等可以总结出,内部网络的安全威胁要多于外部网络,因为内网受到的入侵和攻击更加容易,所以做为网络安全体系设计人员要全面地考虑,注重内部网络中存在的安全隐患。
3企业网络安全防护策略
设计一个更加安全的网络安全系统包括网络通信过程中对OSI/RM的全部层次的安全保护和系统的安全保护。七层网络各个层次的安全防护是为了预防非法入侵、非法访问、病毒感染和黑客攻击,而非计算机通信过程中的安全保护是为了预防网络的物理瘫痪和网络数据损坏的。OSI/RM各层采取的安全保护措施及系统层的安全防护如图1所示。
4OSI/RM各层主要安全方案
4.1物理层安全
通信线路的屏蔽主要体现在两个方面:一方面是采用屏蔽性能好的传输介质,另一方面是把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中。(1)屏蔽双绞线屏蔽与非屏蔽的普通五类、超五类双绞线的主要区别是屏蔽类双绞线中8条(4对)芯线外集中包裹了一屏蔽层。而六类屏蔽双绞和七类双绞线除了五类、超五类屏蔽双绞线的这一层统一屏蔽层外,还有这些屏蔽层就是用来进行电磁屏蔽的,一方面防止外部环境干扰网线中的数据传输,另一方防止传输途中的电磁泄漏而被一些别有用心的人侦听到。(2)屏蔽机房和机柜机房屏蔽的方法是在机房外部以接地良好的金属膜、金属网或者金属板材(主要是钢板)包围,其中包括六面板体和一面屏蔽门。根据机房屏蔽性能的不同,可以将屏蔽机房分为A、B、C三个级别,最高级为C级。机柜的屏蔽是用采用冷扎钢板围闭而成,这些机柜的结构与普通的机柜是一样的,都是标准尺寸的。(3)WLAN的物理层安全保护对于无线网络,因为采用的传输介质是大气,大气是非固定有形线路,安全风险比有线网络更高,所以在无线网络中的物理层安全保护就显得更加重要了。如果将机房等整个屏蔽起来,成本太高,现在主要采用其他方式如多位数共享密钥、WPA/WPA2动态密钥、IEEE802.1X身份验证等。现在最新的无线宽带接入技术——WiMAX对于来自物理层的攻击,如网络阻塞、干扰,显得很脆弱,以后将提高发射信号功率、增加信号带宽和使用包括跳频、直接序列等扩频技术。
4.2数据链路层安全
在数据链路层可以采用的安全保护方案主要包括:数据链路加密、MAC地址绑定(防止MAC地址欺骗)、VLAN网段划分、网络嗅探预防、交换机保护。VLAN隔离技术是现代企业网络建设中用的最多的技术,该技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层的VLAN和基于策略的VLAN。
4.3网络层安全
在网络层首先是身份的认证,最简单的身份认证方式是密码认证,它是基于windows服务器系统的身份认证可针对网络资源的访问启用“单点登录”,采用单点登录后,用户可以使用一个密码或智能卡一次登录到windows域,然后向域中的任何计算机验证身份。网络上各种服务器提供的认证服务,使得口令不再是以明文方式在网络上传输,连接之间的通信是加密的。加密认证分为PKI公钥机制(非对称加密机制),Kerberos基于私钥机制(对称加密机制)。IPSec是针对IP网络所提出的安全性协议,用途就是保护IP网络通信安全。它支持网络数据完整性检查、数据机密保护、数据源身份认证和重发保护,可为绝大部分TCP/IP族协议提供安全服务。IPSec提供了两种使用模式:传输模式(TransportMode)和隧道模式(TUNNELMode)。
4.4传输层安全
传输层的主要作用是保证数据安全、可靠的从一端传到另一端。TLS/SSL协议是工作在传输层的安全协议,它不仅可以为网络通信中的数据提供强健的安全加密保护,还可以结合证书服务,提供强大的身份谁、数据签名和隐私保护。TLS/SSL协议广泛应用于Web浏览器和Web服务器之间基于HTTPS协议的互联网安全传输。
4.5防火墙
因防火墙技术在OSI/RM各层均有体现,在这里简单分析一下防火墙,防火墙分为网络层防火墙和应用层防火墙,网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,应用层防火墙可以拦截进出某应用程序的所有封包。目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。
5结语
以上对于实现企业网络建设安全技术及信息安全的简单论述,是基于网络OSI/RM各层相应的安全防护分析,重点分析了物理层所必须做好的各项工作,其余各层简单分析了应加强的主要技术。因网络技术日新月益,很多新的网络技术在本文中未有体现,实则由于本人时间、水平有限,请各位读者给予见解。文章中部分内容借签于参考文献,在此非常感谢各位作者的好书籍。
作者:单位:西山煤电(集团)有限公司物资供应分公司
引用:
[1]李磊.网络工程师考试辅导.北京:清华大学出版社,2009.
一、企业网络安全的内涵
企业网络安全是指企业网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。企业网络安全从其本质上来讲就是企业网络上的信息安全。从广义来说,凡是涉及到企业网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
二、企业网络安全存在的问题
(一)安全意识淡薄
在企业网络系统中,每一台计算机的安全性都会影响整个系统的安全性能,网络安全与每个用户息息相关。内部员工了解公司的网络结构、数据存放方式和地点甚至掌握业务系统的密码。在具有严格访问权限的系统中,使用弱密码的用户有可能成为安全系统中的缺陷,甚至有些人随意改动系统注册表,使得整个网络安全系统失效。
(二)网络安全体系不健全
当前很多企业尽管采取了一些安全措施,但安全保护措施较为零散,缺乏整体性与系统性,对于企业网络信息安全保护缺乏统一的、明确的指导思想,没有建立一个完善的安全体系,这是引发安全问题的主要源头。
(三)网络黑客攻击
黑客肆意妄为,破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要,因为它关系到整个企业的生死存亡。企业存放信息会因网络黑客攻击而造成资料的泄密。
(四)来自企业外部的感染
来自企业外部的计算机病毒具有传播性、破坏性、隐蔽性、潜伏性和可触发性等特点,通过入侵网络系统和设备,对数据进行破坏,使网络瘫痪,不能正常运作。网络蠕虫由于不需要用户干预就能触发,因而其传播速度要远远大于计算机病毒,其对网络性能产生的影响也更为显著和严重。木马是指附着在应用程序中或者单独存在的一些恶意程序,它可以利用网络远程控制安装有服务端程序的主机,实现对主机的控制或者窃取主机上的机密信息。
(五)来自企业网络内部的攻击
企业防护重点是对外,往往忽视对内部防护的重视。利用企业内部计算机对企业局域网络进行攻击,企业局域网络也会受到严重攻击,当前企业内部攻击行为大大加强了企业网络安全的风险。
三、企业网络安全对策的思考
(一)强化信息安全意识
网络安全必须要靠企业全体人员的意识提高才能形成一种好的氛围。每个人在主观上有一种“我要安全”的意识才能不断提高网络的安全水平。要有专职部门负责管理企业网络安全,其它各部门服从专职部门的统一规划,统一部署。树立“网络安全无小事”的理念,落实建立健全各项各项规章制度。要把职责、标准、流程落实到实处,实现网络安全管理精细化。
(二)构建健全的网络安全体系
网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。企业力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念,是一个科学、系统、全面的网络安全结构体系。该网络安全体系的设计必须采用多层次、多维度的设计思路,才能有效地保障企业网络的安全。企业网络安全体系的构建目标是使在企业网络中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态,在网络传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(三)强化企业办公电脑的安全管理
经常删除垃圾文件,把木马和病毒消灭,以防止黑客攻击。防御黑客失败,可能会导致硬盘上的所有重要数据被破坏甚至删除。用恢复技术对硬盘数据进行恢复,如要恢复的数据涉及一些商业机密,准备新的空白硬盘作为数据恢复后的载体,千万不能将数据恢复到别人的机器上,因为他们既然能恢复您硬盘上的数据,也一定也能恢复暂存在他们的硬盘上的相关数据,恢复数据的过程最好有人全程监控,以避免泄密。及时进行入侵检测,如发现有被攻击的迹象,要迅速根据用户事先定义的动作做出相关反应,检查系统上存在的可能拒绝服务攻击检测系统中是不是被安装了某些窃听的程序,防火墙系统有没有存在配置错误和安全漏洞问题。
(四)加强企业外部网络和内部网络的管理
对企业的外部和内部网络进行相关的控制是必要的,尤其是访问控制,可以根据企业的实际情况和需要设置防火墙,加强必要的防护设施,把安全漏洞控制好。做好防护工作,关掉一些敏感端口和一些不必要的服务,那么一些想要入侵的人就会受到一定的限制,以阻挡外部网络不法分子的侵入,防止偷窃或起着破坏性作用的恶意攻击。同时企业还应在基础的防火墙体系上建立入侵检测系统,利用交换机处所布置的入侵检测系统实时监控企业内网的安全事件,以此为网络管理员的管理工作奠定基础,便于管理员及时针对情况做出反应。针对企业移动办公人员的移动需求,企业还应建立VPN加密系统。为移动办公人员通过互联网络访问企业内网奠定基础。通过科学的网络安全设置以及相应体系的建立提高企业网络安全防护性能。
四、结语
现代企业网络安全建设是现代企业经营与管理中的重要工作之一。网络安全建设关系到企业信息的安全,关系到企业信息化管理工作的开展,关系到企业管理工作的有效传达。通过网络安全建设能够保障企业信息流畅以及企业经营、财务等信息的安全。
参考文献:
[1]陈静.关于企业网络系统安全防护的探讨[J].企业信息化,2009,6
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)21-0241-01
计算机技术和网络技术在带给人们方便的同时,也使网络信息安全风险也大大增加。网络信息安全已成为当今社会互联网技术研究的重要难题。针对网络攻击行为,采用多种网络信息安全技术进行防护,可以有效的减少攻击行为所带来的损失。
1 网络安全隐患
网络安全,不仅指网络的信息系统安全,还包括网络系统中的硬件、软件及数据资源不遭受破坏、泄漏和更改,保证网络系统的安全可靠运行,防止各种有害信息和非法信息的传播。
企业网络的安全隐患主要表现在以下几个方面。
1)物理安全风险。物理安全包括网络系统中的各种网络硬件设备,如路由器、交换机、工作站和服务器等的通信链路的运行安全。物理安全风险主要有:火灾、雷击、水灾等自然灾害,外界电磁干扰,人为误操作或者破坏,设备自身的缺陷或者弱点等。
2)网络安全风险。网络是一个开放性的平台,企业的信息网络安全受到各种威胁和攻击。网络入侵者能够通过系统漏洞及各种扫描工具,以攻击程序对网络进行恶意的攻击,导致企业网络瘫痪,甚至是网络信息被篡改、窃取。
3)系统安全风险。企业网络设备主要为服务器系统、路由器交换机系统。在企业服务器系统中,设有数据库系统、操作系统、其他应用系统等。这些系统必然或多或少地存在着一些漏洞,一旦攻击者通过这些漏洞,可能会对系统造成很大的损失。
4)用户安全风险。这种风险主要是针对企业的内部人员,防止内部人员对系统和网络的误用、攻击等情况。如内部人员计算机感染了恶意软件或木马程序时,可能会造成内网的ARP攻击。
2 提高企业信息网络安全措施
2.1 网络安全解决办法
提高网络安全,是为了保证网络系统不受外来攻击和内在的故障,安全稳定的运行。而防火墙是网络系统安全的第一道门槛,通过硬件和软件来实现网络的安全。防火墙的主要性能包括:
1)对内外部网络数据流进行控制。网络防火墙是链接内部网络和外部网络的通道,防火墙的特殊网络位置特征,决定了可以有效的保护内部网络不被破坏和攻击。
2)防火墙可以有效的过滤网络数据流量。通过防火墙的数据流量必须是经过防火墙认定,符合一定安全策略的才能通过,只有在该前提下,在适当的协议层才能进行访问规则和通过安全审查,对于那些不符合通过条件的报文予以阻断。
3)应用层防火墙具备更细致的防护能力。传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。而新一代的防火墙解决了这个问题,它具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,更好的针对应用层攻击进行防护。
2.2 系统安全解决办法
1)操作系统安全措施。操作系统的安全措施主要包括以下内容:①在局域网内建立WSUS补丁服务器,为整个局域网提供微软全系列软件的补丁。②操作系统及其各种应用软件及时更新补丁,有效防止黑客的攻击和病毒的感染。
2)系统漏洞扫描。目前的网络和系统配置往往存在部分漏洞,这些漏洞容易被黑客利用,使系统的安全存在隐患。因此,提前发现漏洞并进行处理,可以减少系统安全威胁,避免不必要的损失。漏洞扫描和检测工具可以对网络设备和操作系统进行扫描,对系统中存在的漏洞生成检查报告,并提示用户及时安装相应的漏洞补丁,以提高系统安全性。
3)网络入侵检测及预警。为了提高信息安全基础结构完整性,使用入侵检测及预警系统是防火墙的有益补充,进一步提高了系统面对网络攻击的安全性,使系统管理员更方便的对系统安全进行管理。
4)病毒防护。计算机病毒对系统和网络安全的威胁越来越引起人们的重视,而针对计算机病毒的防护和扫描是系统安全必不可少的。计算机病毒的防治在于完善操作系统和应用软件的安全机制和防范措施。使用高性能网络杀毒软件不仅能针对流行病毒进行查杀,阻断病毒的蔓延,而且还能实现实时监控和预防,避免计算机染上病毒。
5)网络审计与监控。网络审计和监控不仅依靠网管软件和系统管理软件来实现,还应采用目前较成熟的网络监测设备和实时入侵监测,对系统中的网络行为进行监控、预警和阻断,及时预防网络入侵行为和采取相应的措施。
6)数据备份与恢复。对于数据的备份和恢复应采用高速、大容量、自动的数据备份恢复。对于部分系统的备份,可以采取增量备份,只针对系统发生过更改的部分文件进行备份。
2.3 应用级安全解决办法
1)用户授权管理。实现了多级分权的权限划分机制,不同的部门只能在允许的范围内对数据进行操作,而对于管理部门,则可以跨部门或者全部操作。其次是功能权限,可以自定义的方式确定用户的增加、删除、修改、查询权限。
2)数据安全备份。数据安全是整个系统安全的核心,是系统可靠性的体现和关键环节。为此,系统中可自定义备份策略,实现定期自动备份,也可手动备份手动恢复。
3)数据加密。应对关键数据采用了完善的数据加密措施,如登录帐号和密码。作为最重要的身份识别依据和权限开关,其安全性的重要程度在应属于最高级。软件的关键配置文档,里面有关键的参数设置,也应进行了相应的加密处理,保证的系统的稳定性。
4)操作日志。对于系统的登陆和操作情况应进行自动记录,并形成报告和日志,进行痕迹保留,对操作方式,操作内容,操作时间等都可以进行记录。
3 结论
在计算机网络技术的发展过程中,企业的信息网络安全技术水平也不断提高。随着企业的发展和业务的拓展,网络安全受到极大的挑战,黑客攻击、病毒入侵、非法访问等不断发生。因此,从企业网络信息安全需求及等级情况出发,选择适合企业自身需求的企业网络信息安全措施,可以有效的保障企业信息网络的健康运行。
参考文献
2企业网络面临的安全风险
2.1物理安全风险
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
2.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.3管理安全的风险
企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企业经常由于管理的疏忽,造成严重的网络信息安全风险。具体管理安全的风险主要表现在以下几个方面:企业没有健全和完善的网络安全管理制度,难以落实安全追责;技术人员的操作技术能力缺陷,导致操作混乱;缺乏网络信息安全管理的意识,没有健全的网络信息安全培训体系等。
3构建企业网络安全防护体系
3.1加强规划、预防和动态管理
首先,企业需要建立完善的网络信息安全防护体系,保证各项安全措施都能够满足国家信息安全的标准和要求。对自身潜在的信息安全风险进行统筹规划,针对性的展开安全防护系统的设计。其次,企业应该加强对安全防护系统建设的资金投入,建立适合自己网络信息应用需求的防护体系,并且定期进行安全系统的维护和升级。最后,加强预防与动态化的管理,要制定安全风险处理的应急预案,有效降低网络信息安全事故的发生。并且根据网络信息动态的变化,采取动态化的管理措施,将网络与信息安全风险控制在可接受的范围。
3.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。
首先,根据业务需求,可以将企业网络分为两部分:外网和內网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
3.3信息安全技术的应用
(1)防火墙技术
防火墙主要的作用是对不安全的服务进行过滤和拦截,对企业网络的信息加强访问限制,提高网络安全防护。例如,企业的信息数据库只能在企业内部局域网网络的覆盖下才能浏览操作,域外访问操作会被禁止。并且防火墙可以有效记录使用过的统计数据,对可能存在的攻击、侵入行为精心预测预警,最大限度地保障了企业内部网络系统的安全。随着业务模式的不断发展,简单的业务(端口)封堵已经不能适应动态的业务需要,需要采用基于内容的深度检测技术对区域间的业务流进行过滤。并借助于大数据分析能力对异常业务流进行智能分析判断。
(2)终端准入防御技术
终端准入防御技术主要是以用户终端作为切入点,对网络的接入进行控制,利用安全服务器、安全网络设备等联动,对接入网络的用户终端强制实施企业安全策略,实时掌控用户端的网络信息操作行为,提高用户端的风险主动防御能力。
4结束语
综上所述,计算机网络有效提高了企业业务工作的效率,实现企业计算机网络数据库中的数据分类、整理、资源的共享。但是,系统数据的保密、安全方面还存在技术上的一些欠缺,经常会发生数据被非法侵入和截取的现象,造成了严重的数据安全风险。企业应该科学分析网络与信息安全风险类型,加强规划、预防利用防火墙技术、终端准入防御技术等,提高企业网络与信息安全防护效率。
参考文献
针对目前计算机网络中所存在的严重安全问题,各种网络安全应用起到了一定的作用。但对于计算机网络安全问题需要综合考虑网络中所存在的各种安全隐患,建立整体的安全架构,使计算机网络的安全防护成为一个安全体系,具备自防御的功能。根据目前网络的特点,安全体系的设计应突出防范重点、保护重点、策略分布重点。网络安全的建立需要对整体网络进行统一的规划。在各个重点中,以策略为中心的安全模型可以更充分地发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优四个部分对安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面地发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。针对这种模型,具体应用到实际的网络环境中,安全体系架构包含四个模块,分别为企业互联网接入模块、企业园区网模块、企业网互联模块、企业广域网模块。这种结构化的设计,有利于在不同的网络功能模块之间更好地划分安全防范的重点,并具有良好的扩展性,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。
企业应用
根据企业安全的基本模型,对某企业的网络实施以防火墙、入侵监测设备、漏洞扫描设备为安全模块设备,安全策略为核心的企业安全体系的架构。整个架构共包含以下三个部分。
1.企业Internet接入模块
企业Internet接入模块主要是预防Internet攻击的第一道门户,是防范Internet上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略实现最严格的限制与最少的漏洞,同时保证最快的转发速度。
2.企业园区网模块
企业园区网是企业内部网的核心,保护着包括内网用户、重要服务器的安全。企业园区网由一台防火墙、两台互为冗余的主干交换机、企业内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙作为安全防护的中心,其安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分访问的具体范围。
3.企业间互联模块
企业对网络安全的需求
综合性
随着近两年越来越多的恶性网络安全事件的爆发,企业的信息管理者已经感觉到网络安全问题不再仅仅是网络中某个环节上的问题,在很多时侯,企业需要全面、综合地提高自身网络的安全性能。
防火墙、病毒防护、VPN连接、身份验证、访问控制、流量控制、服务器、客户端安全集中管理、补丁管理、事件报告及报表等网络安全涉及到的内容,虽然不能完全综合到一款软件上,但一个好的网络安全产品的综合性是不可或缺的。网络安全管理者都不希望每种网络安全方面的部署都要新架一台服务器来作为支持。
集成性
没有一个网络安全管理者希望,在企业的网络安全的部署中,有一款产品与已经部署好的或者即将部署的产品之间互相对立、格格不入。相反,他们都希望各种产品能相互沟通、相互依存,各自的功能和产生的数据信息能被其它产品所利用,各类产品可以紧密地集成在一起,让企业网络安全更清晰可控,更便于部署和管理。
网络部署中涉及到许多硬件、软件服务商,在各类产品之间可能存在着意想不到的网络安全隐患。因此,在部署中需要尽可能地使用产品线比较丰富和完善的厂商的产品,增强产品间的集成性,可以从网络建立的初期就减少“非受迫性”网络安全事故。
易用性
众所周知,IT部门的工作十分忙碌。如果网络安全产品的复杂度很高,那么IT技术人员就不得不牺牲更多的休息时间去适应企业网络安全方面的新产品。使用易用性高的产品则可以减少IT技术人员在学习新知识中花的时间,从而更好地专注于企业的网络安全服务。
另外,并不是每一个公司都有强大的技术团队来为网络安全提供保障,一旦网络安全事件发生,会给企业造成很大的损失。使用一些易用性强的产品,将对企业网络高效运行提供一定的保障作用。
可用性
如果企业部署的安全产品三天两头地Down掉,如一句俗语所说:“泥菩萨过河,自身难保”,那企业网络还有什么安全可言呢!所以,可用性是网络安全的最基本的要求。只有网络安全产品正常可用,它才能起到保护企业网络安全的作用。
病从口入,祸从口出。网络边界的安全是网络安全中很重要的一个部分。以上的分析表明,企业的网络安全问题需要一款好的网络边界产品。ISA Server 2006就是这样一款集成的边界安全网关产品,在用户对应用系统和数据进行快速而安全的远程访问的同时,能够保护企业IT环境免受来自基于Internet的威胁。
ISA Server 2006的特性
综合性
ISA Server 2006不但可以作为高效的Web、强大的防火墙、安全的VPN,还可以作为内部服务器的平台。同时,它可协助企业保护其环境免受内部和来自Internet的威胁。借助――防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护企业网络。
随着信息技术的飞速发展,石油公司开始广泛应用计算机网络进行往来的贸易和办公,这就给网络安全带来了严峻的挑战。建立和完善规范的石油企业网络安全体系已成为当务之急。所以我们首先需要分析石油企业网络安全的影响因素。
一、石油企业网络安全的影响因素
1.1 主观因素方面
首先,从网民的角度看,网民的安全意识和水平参差不齐,大多数人都知道网络安全知识,对于安全的意识淡薄。其次,从黑客攻击的角度来看,它是计算机网络安全所面临的敌人。如果你不小心打开或下载了这些资源,那么你的网络连接用户名、密码等账户信息和个人机密信息都有可能因为它而被泄露,或系统资源占用。
1.2 客观因素
系统安全漏洞和缺陷是不可避免的,这就给黑客提供了一个着陆点。黑客取得某一网站的信息机密事件时常发生,原因就是网络操作系统和应用软件出现漏洞,导致因安全措施不足而造成的。此外,在操作系统和应用软件的“漏洞”和“后门”上都是由公司内部的程序员为了方便自己而设置的,在正常情况下,不被外人所知,但一旦打开,其后果可能是灾难性的。
二、石油企业网络的安全防范措施
2.1 健立健全企业规章制度
要确保网络是否是相对安全的,就必须制定详细的安全系统,了解并认识到网络安全的重要性,在网络安全事故的发生中,应该进行相应的处罚,必须严格遵照执行的地方,绝不能姑息怜悯。对于记录中出现不遵守情况的人员,要给予相应的处罚,并编写检查结果的报告,可以为以后出现类似的情况,做到有证据可依的地步。
2.2 树立员工网络安全意识
为了在工作中树立企业员工的网络信息安全意识,并且让员工认识到网络安全是一个首要任务,只有员工对企业信息安全的发展与进步有了足够的重视,才能有效地防范日后工作的网络安全问题。企业应实施适当的网络安全信息培训,从而提高工作人员的网络安全知识,利用各种形式,增强员工的网络安全意识,激励员工养成健康使用计算机的习惯。
2.3 防火墙技术
防火墙技术是现阶段许多石油企业广泛应用的最流行的网络安全技术,在不安全的外部网络环境的前提下,创造一个相对安全的企业内部网络环境。石油公司的内部网站应该禁止公司中一般员工或无关人员的访问,在最大程度上防止了外部社会网络环境中的黑客访问到企业内部网站进行链接的复制、篡改,或破坏重要机密信息。因此,防火墙是一种屏障技术,是隔断内部网络和外部社会网络环境之间的有效屏障。
2.4 数据加密技术
企业内部一些重要的机密文件需要通过使用数据加密技术进行加密发送到外部网络之中,这需要防火墙技术和数据加密技术结合使用,才能够提高石油企业网络信息系统和内部数据的保密性和安全性,防范外部人员恶意损伤企业的重要机密数据。
2.5 系统平台与漏洞的处理
网络安全管理员可以使用系统漏洞的扫描技术来提前获取网络应用进程中的漏洞,通过漏洞处理技术可以尽快修复网络安全存在漏洞,而且,还应该尽快的修正网络安全设备和持续应用过程中的一些错误配置,在黑客攻击之前进行预防措施。
三、加强石油企业网络安全的建议
面对如今种种的网络安全问题和现象,我们应该加强企业网络安全。首先,对于公司内部的网络系统问题,应该统一公司内部人员对于电脑网络的操作,对于操作过的电脑要进行及时的定期扫描和修补安全漏洞;其次,对于公司内部的网络操作系统应该加入应该具有的防火墙功能,阻挡一切其他恶意的攻击;第三,对于企业的网络安全而言,还应该加强应有的杀毒软件,并且及时更新病毒种类,要坚持每天定期进行病毒的扫描工作,这样可以帮助企业实现网络安全。
参 考 文 献
中图分类号:TN830文献标识码: A
正文:
1 办公自动化的概念及其网络特点
随着信息时代的发展,为了达到提高办公效率以及实现无纸化办公等节能增效目标,当前企业基本都建立起了自己企业内部的办公自动化网络。企业的办公自动化网络通常都具有复杂的网络拓扑结构和广泛的地域覆盖范围,使用办公网络的人员分布于企业的各个层面,有机关部室人员也有基层作业人员,且年龄跨度大,既人员众多,又素质参差不齐。办公网络一般都是生产网络尤其是IT系统的物理载体,其承载的数据与企业生产的安全平稳紧密相关,这就造成企业对网络的依赖程度和对网络安全的要求很高。办公网络往往还与互联网有不同程度的连接,其安全会受到来自互联网上更多的威胁。
2 影响网络安全的因素
2.1 病毒感染与传播。
计算机病毒是影响网络安全最主要的因素之一。计算机病毒是一种人为设计的特殊的寄生性计算机程序。这种程序一旦运行就可以自我复制,使自身从一个程序扩散到另一个程序,从一个计算机系统进入到另一个计算机系统并在一定条件下对计算机进行破坏,使计算机系统不能正常工作。通常具有如下危害:破坏系统,使系统崩溃,不能正常运转;破坏数据造成数据丢失;使你的电脑变的很慢;盗取你的数据信息如照片、密码、个人信息等;造成网络赌赛。计算机病毒具有很强的隐蔽性、感染性和极高的传播效率,新病毒及其变种产生的速度让很多杀毒软件防不胜防,是当前最主要的影响网络安全的因素之一。
2.2 黑客入侵。
大型企业办公网络根据企业工作性质与互联网都有着或多或少的连接,只要有连接就不能完全排除黑客入侵的可能性。由于操作系统、通信协议、各类应用软件均不同程度的存在安全漏洞或安全缺陷,这都使黑客有了可乘之机,一旦遭遇入侵,整个内部网络将遭遇巨大的风险,很有可能造成数据、信息的篡改、毁坏,甚至全部丢失,导致系统崩溃、业务瘫痪,后果不堪设想。
2.3 设备软硬件故障。企业的办公网络系统均是由服务器、路由器、交换机以及光缆、双绞线、同轴电缆等硬件设备以及操作系统、应用软件等组成,任何一个环节出现故障都有可能造成网络通信的阻断以及系统的不能正常运转,都会给企业的正常办公造成影响。
2.4 人员操作不当或灾难造成数据损坏或丢失。
由于员工的素质参差不齐,在企业办公自动化系统使用中常会出现由于员工操作不当造成的数据损坏或丢失,甚至造成硬件设备的损坏。同时由于洪涝、地震等不可抗拒的自然灾害也会造成系统软硬件的破坏,无论是数据的丢失还是硬件设备的损坏都会对企业的运营造成严重的干扰和巨大的经济损失。
3 安全防范措施
3.1 与互联网设置隔离。通过路由器和防火墙在企业内部办公网络和外部互联网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。
3.2 优化网络结构。主要是根据企业组织架构或地理位置等情况将企业办公网络划分成许多相互独立的子网,并在子网间的路由器、防火墙等网络设备上设置特定的访问规则,按照管理要求约束各子网之间的访问权限,这样就可以降低不同部门或区域网络间的互相影响,减少木马、病毒等的扩散范围和传播速度,同时能避免非法用户对敏感数据的访问。通过对网络结构进行优化和调整可以有效的降低企业办公网络的安全风险,提高网络的稳定性。
3.3 VLAN(虚拟局域网)技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络物理拓扑结构基础上建立一个逻辑网络,它依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
3.4 机密数据安全。机密数据不能以明文方式在网络中传播,要用高强度加密算法进行加密,然后经由指定的安全渠道传输,并且让尽可能少的人接触。密钥的安全管理、及时更换和密钥分发方式都是影响加密数据安全的重要因素。
3.5 安全监控。安全监控技术主要是对入侵行为的及时发现和反应,利用入侵者留下的痕迹来有效的发现来自外部或内部的非法入侵;同时能够对入侵做出及时的响应,包括断开非法连接、报警等措施。安全监控技术以探测和控制为主,起主动防御的作用。
3.6 安全漏洞检测。安全漏洞检测技术是指利用已知的攻击手段对系统进行弱点扫描,以求及时发现系统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关闭相应服务等手段避免遭受攻击。
3.7 服务器安全。服务器通常既是企业办公网络的服务应用中心又是整个企业办公网络的数据中心,可以说服务器是整个企业办公网络系统的核心,服务器的稳定性是至关重要的。为了加强服务器的安全管理,在对服务器的配置过程中,要把握最小服务原则,尽可能的关闭不必要的网络服务,降低安全风险。并采取主机备份+负载均衡的模式部署,这样既可提高服务器的响应能力,又增强了数据安全提高服务可用性。同时日常还要做好定期数据备份以及设备硬件检测维护工作,以应对可能出现的各种数据损坏和提高服务器的稳定性和安全性。
3.8 终端安全。终端主要是指各应用客户端,往往是各种病毒木马的柄息地和实施攻击破坏的基地,这就需要对终端操作系统进行必要的安全配置。主要有以下几种具体手段:
(1)关闭不必要的网络服务,设置符合安全规范的密码并定期更换以及禁用Guest用户等,这样可以减少病毒攻击的途径。(2)配置防火墙仅允许外部访问本机必要的网络服务,屏蔽已知流行病毒所使用的端口、IP地址等,减少被木马攻击和病毒感染的机会。(3)应该尽可能的关闭网络共享服务,采取其他方式传送文件。如果确实需要共享,那就尽可能减少共享内容,并进行严格的权限控制。(4)及时更新系统补丁以及安装并及时升级杀毒软件。
3.9 数据恢复。任何技术和手段都不能保证办公网络数据100%的安全,为了在数据遭到破坏后能尽快的让系统恢复正常运转以及最大程度的保证数据安全,这就涉及到了数据恢复技术,通常我们采用最多手段的就是建立数据备份方案。数据备份技术可以在数据遭到破坏时能快速的全盘恢复运行系统所需的数据和系统信息。数据备份方案不仅能在网络系统硬件故障或人为失误时起到保护作用,也在非法入侵或网络攻击等破坏数据完整性时起到保护作用,同时亦是系统瘫痪、崩溃等灾难恢复的前提之一。
4 结束语
随着网络技术的不断发展,企业办公网络安全的维护不仅要从技术、设备上采取防范措施,还应当更加重视企业网络的安全管理和提高企业员工的网络安全意识,这样才能全面提高企业办公网络的安全性。
参考文献:
[1]蔡立军.计算机网络安全技术.北京:中国水利水电出版社,2002.
[2]徐国爱.网络安全.北京:北京邮电大学出版社,2004.
[3]王丰辉.漏洞相关技术研究.北京邮电大学出版社,2006.
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0214-02
0引言
信息技术的迅猛发展极大地促进了网络在企业的普及应用,当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,来获得竞争优势。对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全,以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的,而是企业安全管理必须解决的问题。企业邮箱是公司架设的服务于公司内网用户的企业级邮箱。
1 网络安全管理系统的应用
公司通过使用莱恩塞克内网安全管理系统和金山毒霸网络版的配合使用,将公司整个网络设备对病毒的查、杀、防列入到网络管理体系当中。
1.1网络安全系统的需求分析
企业网络安全管理涉及的需求有诸多方面,仅就计算机网络系统集中管理、网络数据存储与备份管理,两方面进行说明。
1.1.1计算机网络系统集中管理
实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
1.1.2 网络数据存储备份管理
互联网与信息技术的蓬勃发展,在提高了各个行业企业日常业务运营效率的同时,也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富,企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护,并在故障出现时迅速准确的予以恢复,以最大限度减小企业可能的损失,实现业务的持续、正常运转。
1.2 网络安全系统的功能
系统投入使用以来,有效地解决了公司信息部门多年以来实际工作中遇到的网络管理难题,系统实现了对局域网内的所有设备的数量、型号以及配置的统计,还对突发故障及时报警和诊断,对最新病毒、黑客攻击进行报警判断并作出有效的控制,对软件的远程自动分发和恢复安装功能,通过分发使网内的各个终端计算机实时的进行系统升级以及防毒软件的日常升级需求。
1.3 网络安全系统的应用成果
对于近期危害严重的网络arp病毒一旦局域网内的计算机感染此病毒,由于此病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量导致网络瘫痪以往我们发现此类故障后只能现场查看网内每台机器来排查此病毒费时费力工作效率大大降低,现在通过金山毒霸网络版的病毒日志可以有效地得知病毒来源予以查杀,对于无法杀除病毒的机器通过莱恩塞克内网安全管理端对ip地址和MAC地址绑定功能控制交换机端口,禁止感染病毒的计算机进入网络,使网络中病毒的传播范围达到最小,把损失降到最低,还可以对内网机器准确的定位,有效杜绝了内部人员未经允许修改自己机器的ip地址,导致其它人员的ip地址被盗用,危险时会使网络内重要的服务器因ip地址被占用而停止服务的危险隐患。在信息中心利用管理软件得远程指导、远程维护功能可以对网内计算机操作人员的违规操作进行有效的监视,如上网、运行非法软件、记入到网络日志,并快速的提出警告。如果哪台机器感染病毒,迅速报警并采取措施。对于远程计算机的监视和控制就像操作自己的计算机一样,避免了跑路,提高效率。在信息中心可以统一向各计算机用户批量快速发送软件的升级补丁,发送信息,节省了人力,物力。
2 企业邮箱的应用
邮件系统,在办公自动化的今天,尤其显得重要。对于许多企业来说,离开了E-mail,工作已经不能顺畅的开展了。目前许多企业通过租用的外部邮箱系统的方式来解决邮件通讯问题。但租用的外部邮箱系统,除了需要花费昂贵的租金外,还不易于管理,同时在邮件安全、提高办公效率等都遇到了瓶颈。而拥有可靠的邮件系统是现代企业顺利发展的必要基础配置,也利于企业进一步提高自身形象。概括起来讲,企业邮箱达到的主要指标如下:
1)实现内外网络分离;
2)邮箱访问速度极快,内网用户文件上传下载文件速度可达10兆每秒;
3)邮箱拥有的公共地址簿,使用户使用邮箱时,方便得查找目的用户,提高了邮箱的使用效;
4)邮箱全部注册用户以真实身份进行注册,用户名称也使用真实姓名的英文拼写,防止了匿名内外网用户对网络安全的破坏,方便了管理员对网络安全的监控;
5)远程管理方便,管理员可以随时在互联网上对邮箱进行管理,提高了管理的效率;
6)邮箱正式运行后较稳定,邮件收发正确率,文件传输正确率100%,稳定运行时间95%以上。
4 结论
总的来说,一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后需要确保这个安全策略可以被彻底贯彻执行。最后,由于移动办公用户的存在,企业和网络经常处在变化中,需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,应该时刻具有主动性的眼光并在第一时刻更新的安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的,但这样做足可以使企业网络处于优势地位。
参考文献
[1]广域网与局域网.
[2]TCP/IP实用技术指南.
[3]网络分析与设计.
[4]计算机网络安全与加密技术.
[5]莱恩塞克内网安全管理使用手册.