前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业网络安全预案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:网络安全;问题分析;对策探讨
1前言
随着互联网、大数据、云计算时代的到来,特别是随着网络个人信息的增多,以及公众对网络资源的依赖,网络安全对用户信息(包括个人财产安全)产生严重的威胁和影响,信息安全问题已成为制约企业跨越性、可持续发展的重要因素。为此,正视网络信息安全,从信息安全现存问题入手,分析问题的成因,制定具体的应对策略,从而营造一个安全稳定的网络环境,是当前企业信息建设的一项重要任务。信息安全涉及网络通信、密码技术、中端设备、数据传输与运用等诸多学科,是一项综合性应用课题。广义上说,有关网络信息保密性、完整性、真实性、可控性的技术和理论,都是网络信息安全所关注和研究的领域。在实际应用中,网络信息安全更多地指向构成网络闭环的硬件、终端传输及其系统中的数据,如何使这些数据资源不受偶然(或者恶意)的原因破坏、失真、更改或泄露,确保系统连续可靠、正常有序地运行。
2主要问题分析
就国内企业(包括国内大型国企)而言,由于受到我国整体信息技术水平的限制,其网络信息建设无论是硬件还是软件,都存在严重依赖国外技术的问题。以通信芯片和操作系统为例,我国在自主创新上还存在较大差距。如智能手机的操作系统,华为虽启用自主研发的“鸿蒙系统”,但国外操作系统的垄断局面还较为普遍。2018年,据相关机构的统计数据,我国国内智能手机使用美国谷歌公司安卓系统的产品占了89.3%。信息安全体系建设,不只是用信息安全产品搭建起一个信息“堡垒”,更重要的是要建立一套完善的、自成体系的信息安全制度。正如“瑞星杀毒软件”安全专家指出的,“只有有形的产品和无形的制度相互配合,才能避免核心机密被类似‘棱镜’项目所窥视。”从目前网络信息安全所暴露的问题看,有三个方面的因素常常引发网络信息安全危机。
2.1自然因素(或偶发因素)引起网络信息安全问题
主机系统和终端设施遭受自然力的破坏,如:自然灾害(地震、水灾、风暴、建筑物损毁等)对计算机网络构成威胁;电源故障、设备失常、能耗崩溃等一些偶发因素,对计算机网络构成威胁。
2.2管理应用疏漏造成网络信息安全问题
如用户在网络应用过程中,因安全意识松懈、规章制度不全、管理水平低下、操作环节失误、人为渎职积弊等对网络安全造成威胁。网络信息具有宽域开放的特征,信息采集、储存、传输、应用过程中的任何疏忽,都有可能造成泄露、失真等信息安全隐患。近年来,智能终端等移动互联设备更新速度惊人,新的开发应用层出不穷,各种“小程序”的出现令人眼花缭乱。而在实际应用过程中,企业或个人均存在“盲目跟风、自由购买、随意使用”现象,网络信息安全形势日益严峻。例如,假如用户将具备联网功能的智能手机,接入已连接涉密网关的办公计算机,其目的虽是给手机充电,却无意中等于让该智能机同时联接了互联网,进入了涉密网络空间,由此给他人植入电脑病毒带来空隙和机会。
2.3安防体系建设滞后酿成的信息安全问题
多年来,人们习惯于依赖安装杀毒软件来保障网络安全,但由于没有构建严密的防护体系,系统管理不严、人员操作不当和黑客入侵引发的系列安全问题始终未能有效解决。目前看,虽然在开发环节对操作系统的安全设置已予较高重视,并为用户设置了一定的自具式防护,但是因网络黑客手段不断升级,操作系统本身的安全漏洞和缺陷,往往在“防不胜防”中逐渐被黑客所破解和攻击。其次,在实际使用过程中,防火墙只能抵御一般性的网络攻击,一旦遇到升级版本的计算机病毒,将无法形成对系统的保护。这些先天性的、不可避免的漏洞和局限,将给网络信息安全造成严重影响。从数据资源看,数据库中的海量数据和关键信息,其中有些涉及个人隐私,有些则是涉及资金安全的重要信息。数据库的安全防御措施显然尚未建构起密不可破的层层“天网”,一旦遇到网络入侵,难以形成对数据信息的有效保护。
3对策建议
3.1要普及网络安全知识,营造信息安全环境氛围
网络信息安全教育是保守国家涉密、实现信息安全的根本,也是做好网络信息安全的基础和前提。这就要求各级组织高度重视,切实增强自身网络信息安全的意识和素质,领导带头学,业务人员主动学,自觉成为信息安全的排头兵,成为工作中的行家里手,形成自我学习、自我教育的良好氛围;通过共同参与、主动防范,端正思想认识,营造一个良好的网络信息安全氛围。
3.2要强化安全监管,健全网络信息安全体系
网络信息安全建设是一项系统工程,需要完善的工作机制与高效的管理体制,籍此推动网络信息安全的健康有序发展。从企业信息化建设需求看,首先,要完善顶层设计,明确单位信息安全建设的总体思路和指导思想,细化信息安全的实施步骤、标准要求,建立网络信息安全框架协议与制度规范。其次是科学规划,理清职责,构建科学的管理体制,包括对所在单位的编制体制进行有机整合,合理调整信息从业人员的科学分工,从而理顺管理体制,明确各自职责,推动网络信息安全工作的高效运行。
3.3要优化安防系统,完善信息安全应急预案
及时更新防病毒软件,完善具有远程安装、报警和集中管理的有效功能;建立内网认证系统,实现访问控制、身份识别、机密性、不可否认服务等;建立病毒防控机制,禁止在网上随意下载的数据往内网主机复制,禁止在联网计算机上随意使用来历不明的存储设备;紧盯网络信息系统安全检测设施和手段的发展前沿,提高网络信息安全检测监控技术,完善网络信息系统安全防护手段,提高网络信息安全技术和产品的检测评估能力;加强网络安全威胁评估,做到及时预警、预案完备、应对措施得当,对可能发生的网上意外,可能引发的舆情危机进行预测,做好预案,防止意外状况发生。
3.4要理顺信息安全管理机制,加强网络信息安全研究
应理清网络信息安全建设的总体思路,细化信息安全防范的实施步骤与标准要求,完善网络信息安全框架协议和制度规范。网络信息安全是一项系统工程,要确保其高效有序的运行,需要完善工作机制,顺畅管理体制。企业各部门要通力合作,各司其职、各负其责,共同推动信息安全建设的健康、有序发展。目前,国家层面已经成立了国家安全委员会,这对企业网络信息安全建设起到了积极促进作用,但在运行机制、制度保障等方面,还需各企业(用户)进一步优化和完善。其着力点应放在“跨域融合”上,即立足于国家安全的全局,平衡好各方利益冲突,融合好各部门的利益诉求,研究解决好信息发展与跨部门、跨领域、超越局部利益、短期利益的瓶颈问题。要高度重视网络信息安全管理存在的多头管理、职能交叉、重复建设问题,拟订网络信息系统的建设、使用、管控具体实施细则,明确责、权、利约束,破除“有利益就上,有问题就让”的积弊。要紧跟信息技术发展,加快发展网络信息安全检测和监控技术,完善网络信息系统完全防护手段,提高对网络信息安全技术和产品的检测评估能力。
3.5要广揽人才,建立一支网络信息安全队伍
当前,国内外各大企业对网络空间的安全问题越来越重视,并将网络空间视作未来企业竞争的主要手段和利益空间。对于确保网络空间安全问题,各企业的做法、手段不尽相同,但建立一支有规模、结构优、素质良的专业网络空间安全队伍,已是各企业、各从业人员的一致选择。因此,确保企业在网络空间的话语权与运行自由,必须建立一支网络空间信息安全队伍,包括落实国家网络安全人才战略,提升各类人员的安全意识和能力,加强网络信息安全专业人才的教育培训等。要创新人才培养模式,优化教学环节,在学历教育、职业培训方面共同发力,通过规模化培养,解决网络信息安全人才不足的问题,填补信息安全细分领域人才缺口。目前,信息安全人才评价标准的难点,在于不能用同一把尺子,用传统的人才评价方式来对其评价和衡量,因此,建立全面、系统的网络信息安全人才评价标准,应作为我们稳定队伍的重点来抓。
3.6要加强合作,共建安全、开放的网络空间
关键词:网络安全;防火墙;DMZ
中图分类号:TP393.08 文献标识码:A文章编号:1009-3044(2007)12-21564-03
Firewall Technology and Tobacco Processing Factory Network Security
ZHANG Song-lin
(Hefei University of Technology,Hefei 230039,China)
Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.
Key words:network security;firewall;DoS
1 引言
20世纪90年代以来,烟草系统信息进程得到巨大的发展和广泛的应用。计算机应用技术的普及,信息技术的迅猛发展,信息化建设给这个行业带来了新的机遇和挑战。而对于打叶复烤企业来说,由于企业规模较小,计算机应用基础薄弱。随着信息化建设的不断深入,特别是计算机网络技术应用(如企业网络的应用系统,主要有WEB、E-mail、OA系统、MIS系统等)范围越来越广,不可避免的就会带来了网络攻击、内部网络使用混乱、信息盗窃和其它危及企业正常生产及经营活动的行为,从而直接威胁到打叶复烤企业网络与信息方面的安全问题。
2 网络安全
2.1 网络安全的概念
信息技术的使用给人们的生活和工作带来了便捷,然而,计算机信息技术也和其它学科一样是一把双刃剑,当大部分人使用信息技术提高了工作效率,为社会创造更多财富的同时,另外一些人却利用信息技术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,造成难以估量的损失。
网络安全是一个关系到国家安全、社会稳定、民族文化的继承和发扬等重要问题。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科。
计算机网络的安全不是绝对的。安全是有成本的,而且也有时间限制。因此,安全是指化多大成本在多长时间之内可以保证计算机网络安全。安全问题的解决依赖于法律、管理机制和技术保障等多方面相互协调和配合,形成一个完整的安全保障体系。
2.2 网络安全的需求
计算机网络安全是随着计算机网络的发展和广泛应用而产生的,是计算机安全的发展与延伸。可以用系统的观点把计算机网络看成一个扩大了的计算机系统,因此许多关于计算机安全的概念和机制也同样适用于计算机网络。虽然网络安全同单个计算机安全在目标上并没有本质区别,但由于网络环境的复杂性,网络安全比单个计算机安全要复杂得多[1]。
第一,网络资源的共享范围更加宽泛,难以控制。共享既是网络的优点,又是风险的根源,它会导致更多的用户(友好与不友好的)远程访问系统,使数据遭到拦截与破坏,以及对数据、程序和资源的非法访问。
第二网络支持多种操作系统,这使网络系统更为复杂,安全管理和控制更为困难。
第三网络的扩大使网络的边界和网络用户群变得不确定,对用户的管理较计算机单机困难得多。
第四单机的用户可以从自己的计算机中直接获取敏感数据,但网络中用户的文件可能存放在远离自己的服务器上,在文件的传送过程中,可能经过多个主机的转发,因而沿途可能受到多处攻击。
第五由于网络路由选择的不固定性,很难确保网络信息在一条安全通道上传送。
基于以上5个特点的分析可知,保证计算机网络的安全,就是要保护网络信息在存储和传动过程中的保密性、完整性、可用性、可控性和真实性。
(1)数据的保密性
数据的保密性是网络信息不被泄露给非授权的用户和实体,信息只能以允许的方式供授权用户使用的特性。也就是说,保证只有授权用户才可以访问数据,而限制其他人对数据的访问。
(2)数据的完整性
数据的完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传送过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放及插入等破坏和丢失的特性。
(3)数据的可用性
数据的可用性是网络信息可被授权实体访问并按需求使用的特性,即需要网络信息服务时允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。影响网络可用性的因素包括人为和非人为两种,前者有非法占用网络资源,切断或阻塞网络通信,通过病毒、蠕虫或者拒绝服务攻击降低网络性能,甚至使网络瘫痪等;后者有灾害事故(水灾、火灾、雷击等)和系统死锁、系统故障等。
(4)数据的可控性
数据的可控性是控制授权范围内的网络信息流向和行为方式的特性,如对信息的访问、传播及内容具有控制能力。
(5)数据的真实性
数据的真实性又称不可抵赖或不可否认性,指在网络信息系统的信息交互过程中参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
2.3 安全攻击的种类和常见形式
对网络信息系统的攻击来自很多方面,这些攻击可以宏观地分为人为攻击和自然灾害攻击。它们都会对通信安全构成威胁,但精心设计的人为攻击威胁更大,也最难防备。对网络信息系统的人为攻击,通常都是通过寻找系统的弱点,以非授权的方式达到破坏、欺骗和窃取数据等目的[2]。
2.3.1 主动攻击
主动攻击涉及某些数据流的篡改或虚假数据流的产生,这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。
(1)假冒:假冒指某个实体(人或系统)假扮另外一个实体,以获取合法用户的权力和特权。
(2)重放:重放即攻击者对截获的某次合法数据进行复制,以后出于非法目的的重新发送,以产生未授权的效果。
(3)篡改消息:篡改消息是指一个合法消息的某些部分被改变、删除,或者消息被延迟或改变顺序,以产生未授权的效果。
(4)拒绝服务:拒绝服务即常说的DoS(Deny of Service),会导致对通信设备的正常使用或管理被无条件地拒绝。通常是对整个网络实施破坏,如大量无用信息将资源(如通信带宽、主机内存)耗尽,以达到降低性能,中断服务的目的。这种攻击可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被阻止。
2.3.2 被动攻击
被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改。通常包括监听未受保护的通信、流量分析、解密弱加密的数据流、获得认证信息(如密码)等。被动攻击常用的手段有以下几种:
(1)搭线监听:搭线监听是最常用的手段,将导线搭到无人职守的网络传输线上进行监听。
(2) 无线截获:通过高灵敏度的接受装置接受网络节点辐射的电磁波或网络连接设备辐射的电磁波,通过对电磁信号的分析恢复原数据信号,从而获得网络信息。
(3)其它截获:用程序和病毒截获信息是计算机技术发展的新型手段,在通信设备或主机中预留程序代码或施放病毒程序后,这些程序会将有用的信息通过某种方式发送出来。
3 防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全[3]。
从技术上看,防火墙有三种基本类型:包过滤型、服务器型和复合型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定[4]。
(1)包过滤型防火墙(Packet Filter Firewall)
通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。
(2)服务器型防火墙(Proxy Service Firewall)
通过在计算机或服务器上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。服务器型防火墙的核心,是运行于防火墙主机上的服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。它用户完成TCP/IP网络的访问功能,实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的。这种技术使得外部网络与内部网络之间需要建立的连接必须通过服务器的中间转换,实现了安全的网络访问,并可以实现用户认证、详细日志、审计跟踪和数据加密等功能,实现协议及应用的过滤及会话过程的控制,具有很好的灵活性。服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个模块,建立对应的网关,实现起来比较复杂。
(3)复合型防火墙(Hybrid Firewall) [5]
由于对更高安全性的要求,常把基于包过滤的方法与基于应用的方法结合起来,形成复合型防火墙,以提高防火墙的灵活性和安全性。这种结合通常有两种方案:
屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
企业在选择防火墙时不仅要考虑防火墙的安全性、实用性、而且还要考虑经济性,防火墙产品的安全性、实用性和经济性是相互制约和平衡的。
4 打叶复烤企业防火墙的设置
必须妥善地规划其架构,拟定其安全政策,最重要的是必须彻底执行其安全政策,而防火墙是落实这些安全政策的重要工具之一。Internet网络商用化的趋势愈来愈明显,企业也不断通过应用网络技术提高生产销售的水平,单位网络的安全性规划更是刻不容缓。一个好防火墙的规划必须能充分配合执行单位所制定的安全政策,再加上安全的建置架构,方能提供单位一个方便而安全的网络环境。
图1以屏蔽子网防火墙为例介绍打叶复烤企业防火墙的设置,一级堡垒防火墙是整个内部网络对外的枢纽,是必需设立的。它一边连接单位内部网络,一边通往外部网络。外部网络上可摆单位对外提供服务的主机,例如:WEBServer、EMAILServer、POP3Server及FTPServer等,提供对外服务。防火墙的设定,可保证服务器主机只提供它应提供的服务,而阻挡所有不当的存取与连线,避免黑客在服务主机上开后门[6]。
打叶复烤企业可根据实际需要,将其他部门的子系统保护在隔断防火墙内,比如生产运行实时控制系统、企业运行管理信息系统、企业营销管理系统、企业多种经营管理系统等。同时可以将某些较重要而有安全顾虑的部门网络,加上防火墙的配置,此即所谓的单位内防火墙(IntranetFirewall)。单位内防火墙的功能与主防火墙类似,但因为其数量可能很多,会分配到电力部门的网络内,因此其管理规则的设定、系统的维护,不应太过于困难。单位希望建置一个安全的网络环境,除了采用防火墙之外,当然还提供单位一个方便而安全的网络环境。
图1 企业屏蔽子网防火墙拓扑图
4 结论
打叶复烤企业所面临的网络安全问题是多种多样的,所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响,诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。作者认为:企业内部信息网络系统是动态发展变化的,正确的安全策略与选择合适的防火墙产品只是一个良好的开端,它只能解决40%~60%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,所有这些都使打叶复烤企业将要面对网络信息系统安全的挑战。
参考文献:
[1]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,(12):109-110.
[2]刘占全.网络管理与防火墙技术[M].人民邮电出版社,2000.
[3]Greg Holden(美).防火墙与网络安全[M]. 清华大学出版社,2004.
[4]郭炎华.网络信息与信息安全探析[J].情报杂志,2001,6.
[5]刘克龙,蒙杨.一种新型的防火墙系统[J].计算机学报,2006,8.
关键词:网络安全管理;网络安全管理系统;企业信息安全
中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
【关键词】电力企业;网络;安全;分析与防护
21世纪是网络的时代,计算机网络在各个领域都是十分活跃的因素,为各行各业做出了巨大的贡献。但是,我们也就看到了许多的不足之处,像是一些网络系统的漏洞,病毒以及硬件方面问题也很多,我们网络安全中存在着巨大的问题。我们电力系统中的网络方面同样存在着相类似的问题。电网是关系到我们每天正常生活的,如何确保我们供电系统的正常是十分重要的。如今的电力部门的各个部分都广泛的运用了网络,带来了方便又承受着巨大的安全问题,如何解决他们是我们必须所要面对的问题,下面对于这些方面进行了详细的分析,希望对于大家有所帮助。
1、电网企业信息网络安全风险分析
计算机及信息网络安全意识亟待提高。我们都是很自信的感觉自己对于计算机的认识很透测的,但是有很大的距离,网络信息在不断的更新,我们对于网络认识程度还是很不够的。我们每个行业对于网络安全这块都是十分的重视,但是没有比较完整具体的行为准则对于我们电力部门的网络安全方面进行统一的规范。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的网络是自己独立的与外界没有任何关系的,由于这样的原理,早期的很少会出现网络安全问题,出现的也是大部分人们直接的,认为进行的破坏行为不会出现今天网络攻击等现象。如今的网络与外界的互联网进行连接,在网络中就极易受到软件的恶性攻击,盗取客户的信息,修改一些不良记录等违法行为,今天的网络安全是十分头疼的难题,方便的同时给我们带来了很多的问题。
数据的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以绕过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
2、网络信息安全防护方案
2.1管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
1)提高安全防范意识。网络的运用就是为了方便如今的工作,只有保证了网络的安全才能够进行正常的工作。网络完全要从每天的点点滴滴做起,很多的安全事故就是发生在不经意的小事上,缺乏安全防范意思。
2)要加强信息人员的安全教育。从事信息工作的人员就有工作的固定性,要不断的提升其专业工作的培训,要时刻跟得上网络的发展,这样才会跟得上网络的管理,此外,网络各作者的职业道德也是十分的重要的,要对于从事的相关信息进行保密,防止信息的外漏事件的发生。
3)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
4)技术管理,主要是指各种网络设备,安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
5)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
2.2技术措施
1)信息网络中按照各种业务安全等级的不同划分VPN充分做好信息传输时的安全隔离。
2)配备防火墙。以实现本局与外局之间及不同安全等级业务之间连接的访问控制。防火墙是指设计用来防止来自网络体系结构的一个不同部分,或对网络体结构的一个不同部分没有得到授权访问的系统。防火墙可以通过软件或硬件来实现,也可以两者结合。防火墙技术有以下几种:数据包过滤器、应用程序网关、电路张的网关以及服务器。在实践中,许多防火墙同时使用这些技术中的两种或更多。防火墙通常被认为是保护私有系统或信息的第一道防线。
3)入侵检测系统。作为防火墙的补充,须在内部关键业务网段配备入侵检测系统。入侵检测是指监控并分析计算机系统或者网络上发生的事件,以寻找入侵迹象的过程。在各关健业务的边界布置IDS(入侵检测系统)探头以防备来自内部的攻击及外部通过防火墙的功击。
4)网络隐患扫描系统。网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
5)网络防病毒软件。每个系统中的网络都可能被病毒侵害,我们应该在系统的服务器建立比较完备的病毒防御体系避免病毒的入侵。这类病毒防御系统以服务器为重心,进行防护系统的配置,对于发现的病毒进行及时的清理,并进行记忆识别,防止病毒的变异版本的产生,对于我们不同的系统运用的软件也不尽相同。
结束语
今天人们对于新的技术的不断应用越来越依赖,这个时代我们的科学技术得到了很大的发展,同时淘汰的也比较快。网络在各行各业的运用我们都看到了,在不断的更新不断地符合市场的需求。就拿网络如今在电力系统中的应用来说,越来越重要,同时问题也很多,有很多的方面我们在不断的采取措施已经解决了,但是仍有许多在不断的体现出来,我们只有不断的进行优化网络的管理系统就一定能消除这些问题,网络的优点被不断的体现,我相信电力系统的网络安全会越来越好。
参考文献
【关键词】信息安全;影响因素;安全措施
1、引言
随着计算机网络的出现和互联网飞速发展,烟草企业基于网络信息系统也在迅速增加,现已运行的信息系统有生产经营决策管理系统、网上交易系统、工商营销协同系统、烟叶生产经营管理系统、公文远程传输系统、专卖准运证管理系统、专卖证件统计报送系统、数字仓储系统、用友财务管理系统、MES、ERP等。基于网络信息系统给企业的经营管理带来高效和便捷,但随之而来网络安全问题也在困扰着终端用户。木马、蠕虫等病毒传播使企业信息安全状况进一步恶化,这对企业信息安全管理工作提出了更高的要求。
2、信息系统应用所带来的网络安全问题
在烟草企业信息化发展的今天,计算机网络得到了广泛应用。互联网的开放性以及其他因素导致了网络环境下的信息系统存在很多安全问题,这些安全隐患主要可以归结为以下几点:
2.1物理安全
计算机网络物理安全是指人为对网络的损害,最常见的是企业的外来施工人员由于对地下电缆走向不了解,容易造成光缆电缆被破坏,引起网络安全故障;另外计算机用户由于缺乏相关的硬件知识,人为地非正常操作电脑,容易引起网络不安全事件发生。
2.2访问控制安全
网络安全系统的最外层防线就是网络用户登录,但是随着企业内部计算机连接的日益广泛,内部访问与外部远程访问技术的日益开放,计算机用户的访问控制安全越来越薄弱,容易造成计算机用户重要资料泄露等安全事故。
2.3数据传输安全
对于缺少安全防患的计算机用户来说,在实现计算机数据交互的过程中,数据保密是很容易被侵犯的。特别是随着黑客攻击手段的不断更新、升级,计算机用户的数据传输安全面临着极大地威胁。
2.4病毒隐患
只要有程序,就有可能存在补丁,甚至安全工具和系统工具本身也可能存在安全的漏洞。几乎每天都有新的病毒被发现,甚至有不法者恶意传播病毒,导致病毒与杀毒大战不断升级,计算机病毒成为网络安全的一个长久隐患。
2.5移动存储介质的风险
U盘、移动硬盘等移动存储介质使用非常普遍,大量企业秘密信息通过移动介质存储传播。移动介质不受控,管理难度大,形成泄密隐患;另一方面外来人员带来移动存储介质接入企业内网不受限制,存在着恶意复制企业信息或将计算机病毒、间谍软件等恶意程序传入内网的安全风险。
3、信息安全防御体系设计原则
重视信息安全工作。技术先进、管理高效、安全可靠的信息安全防御体系是信息系统运维的一个重要防御。安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则,在各级信息中心指导下,对企业信息安全工作进行系统部署和推进,避免重复投入、重复建设,充分考虑整体和局部的利益。
3.1标准化原则
构建信息安全防御体系要按照国家法规、标准、烟草行业标准及规定执行,使安全技术体系建设达到标准化、规范化的要求,为拓展、升级和集中统一管理打好基础。
3.2系统化原则
信息安全防御体系是一个复杂的系统工程,从信息系统各层次、安全防范各阶段全面地进行设计,既注重技术实现,又要加大管理力度,以形成系统化解决方案。
3.3规避风险原则
信息安全防御体系建设涉及网络、系统、应用等方方面面,任何改造,都可能影响现有网络畅通或者在用系统连续、稳定运行,这是安全技术体系建设必须面对的最大风险。在规划设计与应用系统衔接的基础时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
3.4保护投资原则
由于信息安全理论与技术发展的历史原因和企业自身的资金能力,分期、分批建设一些整体的或区域的安全技术系统。保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
3.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可以保护其信息安全。
4、构建信息安全防御体系
4.1做好信息系统风险评估
贯彻落实《烟草行业信息安全防御体系建设指南》,构建“组织机制、规章制度、技术架构”三位一体的信息安全防御体系,必须做到信息安全工作与信息化建设同步规划、同步建设、协调发展。
俗话说:三分技术,七分管理。信息安全设备是网络安全建设的防护基础,网络安全管理将使得网络安全产品能真正发挥作用。烟草企业首先要构建以信息管理部门专业技术人员为核心,以各部门系统管理员、系统操作员为辅助的三级管理运维体系。将信息安全技术和管理二者有机地结合起来,消除网络技术壁垒。其次优化企业局域网资源,实现网络设备的全网监控管理,进一步提升网络统一性及网络安全管理水平。
4.2采取各种安全技术,实现不同安全防护策略
企业信息系统应采用各种安全技术,构筑信息安全防御体系。采用的主要安全技术有:
(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2) VLAN及ACL技术:企业内网的各类交换机上配置VLAN,实现对交换机设备管理、交换机设备间三层互联管理、各类应用业务的业务VLAN管理和相互间访问控制。
(3) VPN:虚拟专用网(VPN)是企业内网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,为厂家远程维护企业信息系统提供网络连接服务。
(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)端点准入访问控制:采用H3C的EAD端点准入访问控制系统,它是基于用户名和密码身份与接入主机的MAC地址、IP地址、所在VLAN、接入交换机IP、交换机端口号等信息进行绑定认证,增强身份认证的安全性,确保只有合法用户和客户端设备才可访问企业局域网。防止人为私改IP地址,造成IP地址冲突现象的发生。
(6) 企业级的防病毒系统:采用企业级的网络防病毒服务器,安装正版杀毒软件,对病毒实现全面的防护。同时采用漏洞扫描技术,对内网中主机及时更新漏洞补丁,保证信息系统尽量在最优的状况下运行。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
(8)CA安全体系:采用国家局推荐CA认证产品,建立行业二级CA认证体系。通过基于数字证书的身份认证、访问控制、权限管理等技术措施,实现高强度的身份认证和责任认定机制;保证数据的完整性和保密性,确保用户来源和行为的真实性和不可否认性。
(9)加强信息安全教育:信息系统运维、操作人员要认识到信息安全的重要性和必要性,加强信息安全理论、技能培训学习,纠正日常工作中不规范行为,防御系统安全、稳定运行。
(10)加强企业外来人员上网管理:严格管理企业外来人员上网行为,防止外来人员笔记本电脑、移动存储介质任意接入企业内网,恶意复制企业信息或将病毒、间谍软件等恶意程序传入内网的安全风险。
总之,只要将信息安全设备和信息技术人员二者紧密结合起来,发挥企业信息技术人员主观能动性,就能将网络隐患消灭在萌芽状态。
参考文献
[1]蔡立军,《计算机网络安全技术》,中国水利水电出版社,2002年6月,第1版