前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业网络安全问题范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:网络安全;企业网络系统;黑客攻击;病毒攻击;采取措施
1当前网络存在的主要安全威胁因素
1.1安全漏洞。只要有漏洞,应该就存在漏洞,几乎每天都有新的漏洞被发现,程序设计员在修补已知漏洞时,又可能产生新的漏洞。现在各类的操作系统和应用软件都会有不同程度的漏洞存在,虽然操作系统的无口令入口为系统开发人员带来了便捷,但是它也成为黑客进入的通道。并且操作系统可能还存在一些隐蔽通道,给黑客以可乘之机。同时,这些操作系统中都包括了各种通用的服务供应户使用,而它具有一定的专属性,假如安装时没有关闭一些不相关的服务,就可能成为黑客进入的渠道。对于一些不怀好意的人,他们都有可能利用这些漏洞向企业网络发起攻击,从而使某个甚至整个网络丧失功能,威胁到企业的网络安全。1.2病毒感染。计算机病毒就像人体感冒发烧,也会出现相应的身体排斥的现象。在当代社会中,人们通过下载带有病毒的软件,让自己的电脑在无形中感染病毒,或者在没有查杀病毒的前提下通过U盘实行资源共享,同样也会造成病毒感染。可以说,有计算机的地方,就有出现计算机病毒的可能性。它随着计算机网络技术的发展而发展,现在的计算机病毒更具有隐蔽性,其破坏性更大,传播速度更快。当然,病毒的“毒性”不同,所产生的负面影响也就不同。轻者只会出现警告信息,重者则会破坏或危及个人计算机乃至整个企业网络的安全。按其种类可分为一下几种:木马病毒,蠕虫病毒,脚本病毒,间谍病毒。病毒往往在计算机的后台强制运行,让人防不胜防。1.3黑客攻击。网络作为一个开放式的资源共享平台,一些重要的企业机密和很高商业价值的文件成为黑客的攻击对象,它往往决定着一些企业的生存命脉,竞争对手往往会盯住了这部分商机,通过黑客的力量进行网络攻击得到资源。非法入侵企业网络系统,不管动机是什么,对企业的网络安全危害都是非常大的。黑客故意篡改网络信息,利用企业机密文件进行不法交易和冒充,干扰破坏数据加密过程中的信息互通,这些行为严重影响网络安全的行为,成为企业信息化、网络化发展的最大阻碍。1.4内部窃取和破坏。内部人员对网络系统可能会造成以下威胁:内部人员有意或无意泄密,更改信息记录;内部非授权人员有意或无意偷盗机密文件,更改网络配置和记录信息;内部人员破坏网络系统。1.5其他威胁。对网络系统的的威胁还包括电磁泄漏、设备失效、线路阻断、停电、操作失误。
2计算机网络安全的措施
2.1安装防火墙。防火墙作为计算机网络安全技术,已经广泛应用到企业当中。防火墙技术可以从根本上防范和控制计算机病毒。现阶段,防火墙可分为两种形式:应用级防火墙和包过滤防火墙。应用性防火墙可以保护服务器的安全,通过扫描服务器终端的数据,发现异常数据对计算机的攻击后,及时断开企业网与服务器的联系,来保护企业网不受病毒的侵害。包过滤防火墙通过及时过滤路由器传输给计算机的数据,阻挡病毒进入计算机,并通知计算机用户对病毒进行拦截,保护企业网的安全。2.2数据加密。数据加密技术是保证企业网络安全的另一计算机安全技术。该项技术可以对企业网内的数据信息进行加密,在数据传输和接收时必须要输入正确的密码,从技术上提高了企业数据信息的安全。所以,企业如果想要保证和提高其数据信息的安全,必须在企业网中加强对数据加密技术的使用,数据加密通常会用到以下两种算法,一是对称加密算法,即保持加密方法和解密方法的一致;二是非对称加密算法,即加密方法和解密方法的不一致性,以上两种加密方法已经广泛应用到企业当中2.3病毒查杀。及时进行病毒查杀也是提高企业网的网络安全的另一方法。计算机病毒对计算及终端设备和计算机网络的危害极大,可能会造成网页脚本病毒、计算机数据信息被盗或丢失、计算机系统瘫痪等,使用病毒查杀软件可以及时检测和更新计算机的操作系统,修补系统漏洞、对网页病毒进行拦截,更新病毒数据库信息,对下载的文件等进行病毒查杀后在进行查看和使用,以防止计算机病毒对计算及终端设备的损害2.4入侵检测。入侵检测对企业网的安全有非常重要的意义,它会在不影响企业网络正常运行的情况下,对网络运行的情况进行检测,入侵检测不仅可以收集计算机相关的数据信息,而且还可以对计算机内可能存在的侵害进行自动寻找,在计算机受到侵害时,它会对计算机用户发出警报,并切断入侵的途径,对其进行拦截,所以,入侵检测技术可以加强计算机的抗攻击性。入侵检测技术包括误用检测和异常检测。误用检测误报率低,响应快,而异常检测的误报率高,检测时需要全盘扫描计算机,两种入侵检测均需要较长的检测时间。2.5企业内部加强网络信息安全的规章制度的建立。企业根据其实际情况,遵照相关的规定,制定出符合本公司的全面规范,切实可行的安全管理制度。例如:计算机日常使用规范、岗位责任制度、责任追究制度、岗位责任制度等,管理制度中应明确描述出所有信息技术人员以及信息系统使用人员的网络信息安全职责和信息系统的使用规范,规范网络信息系统规范流程,减少人为操作失误。通过规章制度的建设,以制度管人,靠制度管事,为企业网络安全建立强有力的依据和有效的保障。2.6加强网络安全考核力度。企业不仅建立网络信息安全的规章制度,还应实行网络信息安全考核制度,采取适合企业自身的考核方式,使规章制度的制定落到实处,而不是形同虚设。把网络信息安全作为企业员工年终考核的重要指标之一。在检查到有违反其相关制度或网络安全事件发生后,负责网络信息安全的监督部门应对相关事件的发生原因,严重程度,损失,性质等进行调查确认,形成分析评价资料,对其责任人进行相应的处罚2.7环境、设备及介质安全。检测机房及相关设备是否安全;观察环境与人员是否安全,预防自然灾害。考虑计算机的防盗、防毁、防电磁泄漏发射、抗电磁干扰及电源保护等。防止媒体自身的防盗、防毁、防霉,以及数据的盗取、破坏或非法使用。
3结语
企业信息化建设已经成为这个时代不可或缺的产物,为各个企业带来了极大的便利,它是企业发展的必要条件,也是企业发展的必要前提。所以在市场经济发展的今天,企业想要在激烈的市场竞争中取得优势,就必须大力发展其网络文化,当然在发展企业网络的同时,还应加强对网络安全的管理,提高企业网络系统的安全性,以提高企业的效益。
参考文献
[1]韩加军.企事业及政府机关单位网络安全解决方案[J].科技风,2013
[2]李长英.企业内部网络的规划设计与实现[D].吉林大学,2013
[3]杨玮红.计算机网络安全技术在网络维护中的应用初探[J].神州,2013(31):17
1.1物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3.结语
【关键词】信息安全;安全技术;防范措施
1、前言
随着社会和经济的高度信息化、网络化,现代企业的生产、管理、销售已经和网络密不可分,许多企业只重视利用网络抓生产、促销售,在全面发掘网络带来经济效益的同时忽略对自身企业网络信息安全防范的建设,一旦发生网络信息安全问题,往往追悔莫及,保障企业网络信息的安全可控,采取有效的防范措施是每个现代企业面临的严峻问题。
2、网络信息安全概述
对网络信息安全定义有多种说法,本人倾向于网络信息安全是指网络系统的软件、硬件及系统数据受到保护,不受意外的或恶意的原因而遭到破坏、更改、泄露,保持系统连续可靠正常地运行,网络服务不中断。做好企业的网络信息系统安全首先要有良好的网络信息安全防范意识,提高网络信息系统软、硬件技术保障水平、建立完善的网络信息系统管理制度开展工作。
2.1影响网络信息安全的因素
影响网络信息安全的主要因素主要分为以下四大类。
2.1.1网络信息系统的脆弱性。网络信息系统的脆弱性包括了操作系统的脆弱性,信息系统本身的漏洞、后门,硬件系统的故障和天灾人祸等,这些脆弱性使得网络信息安全受到攻击成为可能。
2.1.2缺乏先进的网络安全技术、手段、工具和产品。企业在利用网络信息开展生产、管理的同时往往缺乏安全防范意识,认为只要系统不出问题就说明没事,对保障网络安全系统安全的必要网络安全技术产品不愿投入资金建设,从而造成网络信息系统的中重大安全隐患。
2.1.3缺乏正确安全策略和管理监督制度。主要体现在部分企业认为只要购买了昂贵的网络安全产品就万事大吉了,缺乏正确的安全策略和管理监督制度,再好的产品也是需要员工按规定来操作和执行,没有管理监督制度和正确的安全策略,网络信息安全就无从谈起。
2.1.4缺乏完善的网络信息系统恢复、备份技术手段。主要体现在缺乏对网络信息安全重要性的评估,对网络信息受到受到攻击、意外事件造成崩溃后缺乏网络信息系统的恢复、备份技术和工具,造成网络信息系统恢复的不可逆性。
3、网络信息安全防范策略
3.1采取有效的网络安全技术手段和措施
3.1.1采取有效身份认证技术。采取有效的身份认证技术可对具备合法信息的用户进行确认,同时根据用户信息对授权进行判定,给予不同的网络信息操作权限,常用的身份认证技术主要有信息认证、密钥认证、用户认证等。
3.1.2防火墙技术。防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间,它是一种计算机硬件防火墙件和软件的结合,在企业内部网和外部网络之间建立起一个安全网关,通过鉴别限制或者更改越过防火墙的各种数据流,防止外部网络用户未经授权的访问,从而保护内部网免受非法用户的侵入。
3.1.3防病毒技术。选择先进的反病毒产品,并定期进行更新,在防病毒技术上针对企业的用户数以服务器为基础,提供实时扫描病毒能力,确保反病毒产品能够部署到企业的每个工作站。确保企业所有的网络终端都能够部署到。
3.1.4入侵的检测技术。入侵检测系统能自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,有效弥补防火墙技术对内部网络存在的非法活动监控的能力的不足,从而最大程度地为企业网络提供安全。
3.1.5漏洞的扫描技术。通过采取漏洞扫描,及时,准确的发现自身网络信息安全存在的漏洞和问题,有利于系统管理员采取应对措施,封堵网络信息系统存在的漏洞和安全隐患,从而有效保障网络信息安全,确保业务系统安全的运行。目前漏洞扫描主要分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术。
3.1.6加密技术。通过对企业的网络信息安全进行加密,确保网络信息在使用和传输过程中的安全性,加密算法主要分为堆成加密算法和非对称加密算法两类,并由此衍生出加密狗、加密软件等各类产品。
3.1.7对有特殊安全要求的网络建立与互联网隔离。一些特殊产品的生产管理网络根据其安全的密级要求实行和互联网络隔离,确需联络的需采取单向光闸等措施保证其安全性。
3.2建立完善的网络信息安全的管理制度和安全应对策略。据统计,70%以上的信息安全威胁来自于企业内部的员工,没有一套完善的网络信息安全管理制度来实现对信息系统使用人员的管理,再出色的安全技术手段和产品也无法发挥作用,通过制度对人的行为进行规范,从而确保网络信息安全落到实处。
3.3采取有效的备份、恢复措施。对企业自身的网络信息系统做好安全等级保护评测、安全风险评估工作,针对评估情况采取对应的灾难备份及恢复措施,对重要的网络信息系统应采取包括对软件部分、硬件以及传输线路的备份,在有条件的情况下应采取异地双线路双系统备份的方法,从而最大程度降低自然灾害对网络信息安全造成的破坏。
4、结束语
随着信息产业化的不断深入,网络信息安全问题日益凸显,企业应提高自身的网络信息安全防范意识,在享受网络信息化带来的便利同时加强企业自身的网络与信息安全管理,采取有效的技术措施,建立完善、高效的网络信息安全管理制度,从而将企业网络信息安全风险降到最低。
参考文献
[1]陈震.我国信息与通信网建设安全问题初探[J].科学之友,2010年24期
关键词企业;网络信息;安全管理
飞速发展的社会经济将企业管理投入到信息技术的海洋之中,大中型企业管理的自动化水平正在不断提高。现代企业的核心管理手段是将计算机网络技术应用于业务管理系统,实现企业管理理念的宏观化、管理手段的智能化、管理方式的网络化,从而带来的是管理效率的高速化。具体的管理系统包括外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等[1]。
1企业网络信息安全概述
1.1网络信息安全面临的威胁
网络信息的安全主要是系统漏洞带来的病毒和黑客侵袭。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统[2]。系统漏洞是危害网络安全的最主要因素,特别是软件系统的各种漏洞。黑客的攻击行为都是利用系统的安全漏洞来进行的。许多系统都有这样那样的安全漏洞(Bugs),其中有些是操作系统或应用软件由于设计缺陷本身所具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不接入网络。还有就是程序员在设计一些功能复杂的程序时,预留的用于测试和维护的程序入口,由于疏忽或者其他原因(如将它留在程序中,便于日后访问、测试或维护)没有去掉,这就可能被一些黑客发现并利用作为后门。到目前为止,还没有出现真正安全无漏洞的产品,这也是当前黑客肆虐的主要原因[3]。
1.2造成企业网络信息安全威胁的原因
1.2.1计算机系统原生漏洞目前计算机所依赖的依然是普遍通用的微软Windows系统。为了适应用户的需求,这一系统的研发进展不断进步,系统升级较为频繁,每两年左右便会有新系统推出面世。许多计算机用户,特别是企业用户,如果对新系统没有全面、专业、深入的了解而盲目进行了系统更新,有可能造成安装设置过程中缺陷导致的新系统带来的弊端,从而埋下漏洞隐患,给信息安全造成威胁。1.2.2计算机软件应用不当遭遇恶意软件在企业管理计算机软件应用过程中,如果没有专业的识别和下载安装经验,极有可能遇到恶意软件。恶意软件常常故意不对用户做明确提示(如选项提示、退出安装提示等)或者在未经用户许可的情况下,在用户的计算机上强行安装;有的软件难以卸载(设置卸载障碍);还有的软件通过浏览器劫持行为,肆意:指未经用户许可,修改用户浏览器或设置,迫使用户访问特定网站或导致用户无法正常上网等。恶意软件造成的计算机病毒感染,黑客的乘虚而入将严重威胁企业网络信息安全,甚至导致系统崩溃,数据丢失。有的恶意软件甚至自带网络数据运行监视装置,被恶意使用后可以直接用于窃取商业数据和信息,给企业造成巨大损失。1.2.3企业网络信息系统维护规范欠缺企业网络信息系统在运行过程中无论何种原因都难以避免可能产生的漏洞,而对信息系统的规范维护是信息安全保护的重要手段。但部分企业没有对系统维护规范作出规定,如系统维护工程师、助理工程师的职责与权限并不明确,生产或销售应用系统的监控记录不能定期建档,生产或办公系统主机的日常故障处理不做登记,应用系统的数据库启动情况和数据库设置得不到及时观察,重要数据库的变更操作,定期清理过期备份不能正常进行,应用数据库瘫痪后的异地备份恢复记录不完整等,都有可能造成企业网络信息系统的安全隐患。
2企业信息系统安全管理存在的问题
2.1企业对信息系统管理重视不足
许多企业顶层决策缺乏长久观念,比较重视信息网络的建设而较易忽视信息网络和系统的管理。在企业网络建设初期往往偏重于硬件设施的投资和技术成本的投入,盲目追求管理系统的高性能、高配置,忽略了硬件设施与实际应用的差距,认为高层次的网络系统一旦建成便万事大吉。这种认识不但造成了不必要的资金浪费,更容易形成轻视系统维护管理工作的状况。由于缺乏管理意识,许多企业在规章制度、人事安排、专业培训、技术队伍等几方面没有形成企业信息系统的专业团队,更没有针对系统瘫痪、数据丢失等突发事件的应急预案,往往是问题发生后临时应急解决,“头痛治头足痛治足”,致使现代化信息系统不能充分发挥在企业运行管理中应有的作用。
2.2企业网络信息安全性难以保障
由于信息安全管理意识淡薄,部分企业没有专业的网络管理团队。现有网管人员维护、管理网联络信息技术没有保障,或者责任心不强。例如,民营生产销售企业由于操作不规范销售报表和潜在客户资料数据丢失现象时有发生;部分县级以上医院分科或多或少都存在体统停滞现象;中小型企业中财务资料的误删时有发生。虽然这些单位有的也具备系统维护应急预案,部分数据得到恢复,但依然给企业造成一定损失。
3企业网络信息安全防范措施
3.1建立系统安全检查制度
企业的规章制度要重视系统安全的保护,对重要信息系统的安全检查要建章立制,不能松懈。首先要对系统安全负责的团队人员构成和岗位职责进行明文规定。其次要确定具体的安全检查目标,如企业的基础网络是否完善、主服务器配置是否异常,对外门户网站防火墙是否坚固,数据中心的设置是否可靠,内部办公系统(包括财务、销售、服务等)更新是否正常等等。第三,信息安全检查规章制度中要具化检点内容,如安全管理保障系统方面,对岗位制度是否建全,人员负责是否落实,信息数据是否安全,应急响应是否稳妥等项目要做出详细检查记录。技术保障方面:服务器(包括操作系统、数据库、应用系统)的各项指标,网络设备和安全设备的各种配置,网站建设和终端等组织策略和运行维护等内容都要落实到检查实处。
3.2加大企业网络信息安全的管理力度
第一,要增强网络信息管理人员的技术培训,使企业信息系统得到可靠的技术维护和管理,组件一只责任心强、分工明确、技术精湛的网管团队,以保障企业网络信息系统正常运转不出纰漏。第二,提高企业核心机密资料的加密层次,在这方面要投入资金购买保密程度较有保障的计算机软件装备,防止黑客攻击和病毒感染。第三,对企业信息管理和维护工作进行定期记录、责任到人,记录保护存档以备可查。第四,要建立安全可靠的计算机数据异地备案和应急预案机制,有专门制定人员负责,定期检测数据,严格管理制度,以确保企业网络信息系统出现异常时得到有效维护和修复。
4结论
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案