办公网络的网络安全问题
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇办公网络的网络安全问题范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
办公网络的网络安全问题范文第1篇
论文摘要:办公自动化系统的建设方便了企业信息、共享资源、对外交流和提高办事效率,但同时也带来了来自外部网络的各种安全威胁。本文针对性地对系统常见安全问题提出七类主要的防范方法。
0引言
办公自动化系统(oas)是办公业务中采用intemet/intranet技术,基于工作流的概念,使企业内部人员方便快捷地共享信息,高效地协同工作,实现迅速、全方位的信息采集、信息处理,为企业的管理和决策提供科学的依据。一个企业实现办公自动化的程度是衡量其现代化管理水平的标准。oas从最初的以大规模采用复印机等办公设备为标志的初级阶段,发展到今天的以运用网络和计算机为标志的阶段,oas对企业办公方式的改变和效率的提高起到了积极的促进作用。近年来,办公自动化系统都是架设在网络之上的,它是一个企业与外界联系的渠道,企业的imranet最终都会接人internet,这种接人一方面方便了企业信息、共享资源、对外交流和提高办事效率,另一方面也带来了来自外部网络的各种安全威胁。
1办公自动化系统存在的安全晚息
随着internet的迅速发展,如何保证信息和网络的自身安全性问题,尤其是在开放互联环境中进行商务等机密信息的交换时,如何保证信息存取中不被窃取篡改,已成为企业非常关注的问题。在国际上,计算机犯罪案件正在以几何级数增长。计算机犯罪是一种高技术型犯罪,由于妇汀日罪的隐蔽侄,因川,寸办公自动化系统安全构成了很大的威胁。
目前,办公自动化系统的安全隐患主要存在以下几个方面:
假冒内网的ip地址登录内网窃取信息;软件系统自身的问题:利用网络传输协议或操作系统的漏洞攻击网络;获得网络的超级管理员权限,窃取信息或破坏系统;在传输链路上截取信息,或者进人系统进行物理破坏;病毒破坏,计算机病毒是一种人为制造的,在计算机运行中对计算机信息或者系统起破坏作用的程序。它通常隐蔽在其它程序或者文件中,按照病毒设计者设定的条件引发,从而对系统或信息起到破坏作用;黑客人侵;防范技术落后,网络安全管理不力,管理人员混乱,权限混乱等等。
2系统安全的防范
针对目前系统安全的上述问题,在办公自动化系统安全上提出下面几类主要的防范方法。
2.1加强机房管理
对目前大多数办公自动化系统来说,存在的一个很大的不安全因素是网络管理员的权力太大,据有关资料报道,80%的计算机犯罪来自内部,所以对机房工作人员要做好选择和日常考察,妾采取一定的手段来限制或者削弱网络管理员的权力,对机房工作人员,要结合机房、硬件、软件、数据和网络等各个方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;要加强业务、技术等方面的定期培训,提高管理人员的技术水平。
2.2设里访问控制
访问控制是保证网络安全最重要的策略之一。访问控制策略包括人网访问控制策略、操作权限控制策略等几个方面的内容。首先,网络管理员应该对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户账户应只有网络管理员才能建立,用户口令是用户访问网络所必须提交的准人证。针对用户登录时多次输人口令不正确的情况,系统应按照非法用户人人口令的次数给予给出报警信息,同时应该能够对允许用户输其次,用户名和口令通过验证之后,系统需要进一步对用户账户的默认权限进行检查。最后,针对用户和用户组赋予一定的操作权限。网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些资源,可以在服务器上进行何种类型的操作。网络管理员要根据访问权限将用户分为特殊用户、普通用户和审计用户等等。
2.3数据加密
主要针对办公自动化系统中的数据进行加密。它是通过网络中的加密系统,把各种原始的数据信息(明文)按照某种特定的加密算法变换成与明文完全不同的数据信息(密文)的过程。目前常用的数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密对用户来说比较容易实现,使用的密钥较少,而端到端加密比较灵活,对用户可见,在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。数据存储加密主要就是针对系统数据库中存储的数据本身进行加密,这样即使数据不幸泄露或者丢失,也难以被人破译。数据存储加密的关键是选择一个好的加密算法。
2.4建立工作日志
对所有合法登录用户的操作情况进行跟踪记录;对非法用户,要求系统能够自动记录其登录次数,时间,ip地址等信息,以便网络管理员能够根据日志信息监控系统使用状态,并针对恶意行为采取相应的措施。
2.5加强邮件安全
在众多的通信工具中,电子邮件以其方便、快捷的特点已成了广大网络用户的首选。然而这也给网络安全带来了很大的隐患,目前垃圾邮件数量巨大、邮件病毒防不胜防,而关于邮件泄密的报道更是层出不穷。面对电子邮件存在的巨大安全隐患,可以采取如下的防御措施:
1)加强防御,一般用户会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是非常有必须的。例如,勿开启来自未知寄件者的附件;勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息等。
2)对邮件进行加密,由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性和不被其他人截取和偷阅也变得日趋重要。据调查,74%邮件泄密是因为邮件中的机密信息未做任何加密措施引起的。因此,邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。
3)反垃圾邮件,垃圾邮件经常与病毒有关,因此用户需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含恶意软件的网站,而且病毒经常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,或在打开邮件附件之前用反病毒软件进行扫描等等。
2.6设置网络防火墙
通过安装并启用网络防火墙,可以有效地建立起计算机与外界不安全因素的第一道屏障,做到实时监控网路中的数据流,保护本地计算机不被病毒或者黑客人侵。
2.7保护传输线路安全
对于传输线路,应有相应的保护措施,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误;网络连接设备如hub等应放置在易于监视的地方,以断绝外连的企图;还要定期检查线路的连接状况,以检测是否有外连或破坏等行为。
办公网络的网络安全问题范文第2篇
关键词: 网络安全,全台网,安全体系,防病毒
Abstract: television network to television program production, broadcast, storage and media assets make full use of a great convenience, improve work efficiency, and to promote the quality of programs, but with the expansion of business platform and network technology rapid development, the original system security already can't meet the requirements. This paper based on the television network security characteristics, at the county level of analysis on the main factors of television network security, this paper puts forward the construction of network security carry out the specific solutions, creating safe for television network environment.
Keywords: network security, all the networks, security system, prevent virus
中图分类号:TN915.08文献标识码:A文章编号:
引 言
近几年来,国内各级电视台都在逐步实现数字化,网络化的改造,网络化将传统电视台集成内容产业的优势和技术手段的先进性融为一体,提高电视台的综合竞争能力。
县级电视台在得益于网络加快业务运作的同时,其网络化的安全性也遭到了不同程度的挑战。现代网络环境是建立在飞速发展的开放网络环境中,开放的环境既为电视台提供与外界进行交互的窗口,同时也使网络面临种种威胁、风险:病毒、黑客、系统漏洞、数据库漏洞、违规不安全操作设置等行为所造成的损失都是不可估量,如何营造一个良好的、有序的、可靠的县级电视台全台网安全建设是一个迫在眉睫的问题。下面就有关于县级电视台全台网问题浅析本人的看法。
1县级电视台网络安全的特点
县级电视台网络不同于普通局域网,它具有以下几个特点:
1.1.网络负载能力大
电视台网络传输的基本上是基于MPEG-2或MPEG-4格式的视频流,很多时效性强的新闻必须能在当天上传下达,网络数据流量相对较大,因此要求网络有足够的吞吐量,保证信息高质量、高效率地传输。
1.2.节目播出的安全要求高
广播电视行业作为党和国家的重要喉舌,播出安全受到各级领导和市民的高度重视。对于一个电视台来说无论规模和覆盖面的大小,系统安全性和播出安全性都是我们必须首要考虑的问题。
1.3.网络稳定性强
电视台不仅要把播出安全性放在首位,还要把整个系统的安全运营放在极重要的地位,包括系统的整体安全、播出安全、各个子系统的安全性。为保证电视节目“高质量、不间断”的播出要求,必须保证网络的稳定。
2县级电视台网络安全威胁分析
县级电视台网络安全威胁主要来自外部网络和内部网络。外部威胁是指网络与外界互通引起的安全问题,有入侵、病毒、恶意代码与攻击等。内部威胁是指网络的合法用户在使用网络资源的时候,发生的不合规的行为、误操作、恶意破坏等行为
对网络安全的威胁主要表现在:非授权访问、冒充合法用户破坏系统和数据的有效性和完整性、干扰系统正常运行、利用网络传播病毒、截获、窃取、破译以获得重要机密信息等方面。
安全威胁主要利用以下途径:系统存在的漏洞、系统安全体系的缺陷、工作人员安全意识、安全知识、安全技能匮乏,导致安全策略不能真正的得到很好的落实
3电视台全台网安全体系
根据对电视台网络安全威胁的分析,不同网络面临的安全风险不同.对安全防护的需求不同.在全台网系统建设中要充分考虑以太网安全性。在网络安全体系下可为全台网系统提供端到端的安全保障机制,最大程度的保证网络层面的安全。
网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:网络安全 = 风险分析 + 制定策略 + 防御系统+ 实时监测 + 实时响应 + 灾难恢复即:网络的安全是一个“APPDRR”的动态安全模型。
图1“APPDRR”的动态安全模型
上图的安全模型为网络建立了四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;恢复是第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,最大程度上降低安全事件带来的损失。
安全防范系统不是一个简单、孤立的系统,它是由各个层次软硬件及管理规范组成的联动防范体系。
3.1. 对于全台网内网安全,网络不仅要采用传统的边界防火墙、IDS、防杀病毒系统等传统的网络边界安全防护技术,而且要对来自网络内部的安全威胁、来自移动设备的安全威胁进行防护;在用户层上解决用户的身份识别、验证授权、服务授权的安全问题。
3.2.对于来自全台网系统外部的访问,包括通过专用网和Internet接入的远程用户,采用不同的安全服务等级和策略,既可以实现外部合法用户对内部网络的访问,避免对内部网络和Internet服务器的攻击,也可以防范内部用户对服务中心的未授权访问、机密窃取和服务攻击。
3.3. 针对攻击的特点采用核心交换机集成的防火墙特性和IDS(入侵检测系统)实现对攻击的检测和全面防御,降低攻击者对网络攻击的可能性;此外,防火墙、IDS系统等能够做到对攻击日志、过滤日志、NAT日志等的分析审计
3.4.采用集中管理、策略服务管理,杜绝网络漏洞。对全台网系统内外网络不同的机密等级安全层次,采用不同的安全措施,对于网络提供用户精细认证授权、防火墙防御和入侵检测、策略服务集中管理。
4安全实现手段
电视台网通常由多个业务板块和子网构成,例如实现节目播出的播出网络、实现节目生产的制作网络、实现办公及节目生产管理的办公网络、实现平台及业务监控的监控网络等。根据各板块的业务特点,在网络上划分多个安全区域:
4.1以太网方面:
4.1.1在核心交换机上部署集成的防火墙、IDS、VPN业务模块,来控制和检测接入核心交换机的所有端口数据流量。相对于独立的防火墙和IDS设备,具有更好的吞吐率、可管理性。减少传输的时延,更适合视音频数据传输。
4.1.2与外网的连接,利用独立的防火墙和防毒墙设备来实现访问控制。
4.1.3通过合理划分VLAN区域,形成虚拟局域网,通过访问控制策略控制各个子系统之间的数据访问。
4.2高安全区域安全设计
高安全区是独立于生产网络,它被置于生产网和办公网相交的边界位置.一方面将生产网与办公网隔离以防止互联网中黑客利用漏洞等攻击手进入生产网络,另一方面又完成数据的中转,在安全策略的控制下进行内外网的数据交互。
高安全区域的详细访问控制机制如下图。
图2高安全区连接参考图
办公网络是电视台综合信息管理的系统,它与互联网连接,因此感染病毒或者受到攻击的可能性较高。同时办公网的区域范围大,终端设备多,管理相对宽松。因此对生产网而言,办公网是危险的、不信任的、不可控的。
由于生产网与办公网之间存在大量的交互需求,基于生产网安全的考虑我们在全台网系统中设置专门的高安全区域,如图 2 高安全区连接参考图所示,高安全区即起到隔离和缓冲的作用。架起办公业务系统访问全台网制播网络系统的桥梁,所有办公网络来的请求都访问高安全区域的应用服务器。
来自办公网络的数据经过核心交换机的防火墙端口,经过核心交换机内置的入侵检测监视,再通过访问规则约束,经过防毒墙的检测,然后进入高安全区域指定的服务器。高安全区域对应的站点得到请求以后,查询核心数据库,按原路反馈响应信息给办公网站点。
5防病毒
随着Internet和广域网的广泛应用,病毒传播的速度越来越快,如何有效的病毒防护控制,自动实时升级病毒库以确保整个网络的安全,将是我们需要解决的另外一个问题。
采用集中管理,分级防范设计思想。针对电视台生产网络,应部署网络版防病毒软件和硬件防毒墙相结合的方案。
防病毒系统最重要的是两个方面:
4.3.1病毒定义库如何最快更新。在办公网中设置专用的病毒库更新服务器,通过防火墙连接到厂商病毒库更新服务器,根据策略服务器自动更新病毒库。然后此病毒更新服务器通过防火墙专用的端口,同步更新支撑平台中的防病毒管理服务器,然后分发到各个子系统中的防病毒服务器和工作站。
4.3.2网络防病毒系统的管理。生产网中的防病毒面临众多的站点,因此,需要采用集中和分布结合的管理模式来实现对防病毒系统的管理。
6小结
县级电视台实现全台网安全建设有利于实现对新闻、播出等关键业务的重点保护和有效保护,增强安全保护的整体性、针对性和实效性,对于如何解决好网络安全问题一个永远说不完的话题,我们要清醒认识到任何网络安全和数据保护的防范措施都是有一定的限度,一劳永逸的网络安全体系是不存在的。网络安全需要我们每一个人的参与。
参考文献: [1] 袁津生,昊砚农,计算机网络安全基础,北京:人民邮电出版社,2002
办公网络的网络安全问题范文第3篇
一、企业网络系统存在的安全隐患
企业网络安全系统就是企业借助计算机、通信设施等现代设备,构建相应的满足企业日常经营和管理需求的系统模式。随着信息技术的快速发展,企业网络建设更加成熟和完善。整个网络系统能够跨越多个地区、覆盖千家企业和大量用户,网络比较庞大且复杂,不管网络构架多么的复杂,其应用系统种类更加繁多,各系统间关联性更强[1]。目前,企业网络安全系统主要面临以下威胁:(1)物理层安全威胁会导致设备损坏,系统或网络不可用,数据损坏、丢失等。(2)因企业管理人员水平不高,引发企业内部信息泄露的威胁。同时,在整个网络中,内部员工对企业网络结构、应用比较熟悉,自己攻击或泄露内部信息,也会导致系统遭受致命的安全威胁。(3)计算机病毒是一种可以将自身附加值目标机系统的文件程序,其对系统的破坏性非常严重,会导致服务拒绝、破坏数据或导致整个系统面临瘫痪。当病毒释放至网络环境内,其无法预测其产生的危害。
二、企业网络安全防护系统设计
1身份认证系统的设计与实现
身份认证作为网络安全的重要组成部分,企业网络安全系统中设计基于RSA的认证系统,该系统为三方身份认证协议。
(1)申请认证模块的设计与实现
CA设置在企业主服务器上,本系统主要包含申请认证、身份认证、通信模块。其中,申请认证完成与申请认证相关的操作,该模块实现流程如下:用鼠标点击菜单项中的“申请证书”,弹出相应的认证界面。在申请书界面内,输入用户的姓名及密码,传递至CA认证。
CA接收到认证方所发出的名称和明码后,并将认证结果发送至申请证书方,当通过用户验证将公钥传给CA。
CA接收申请证书一方传来的公钥,把其制作为证书发送给申请方,完成CA各项功能。申请方接收CA传来的证书后,保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。
(2)身份认证模块
实施身份认证的双方,依次点击菜单项中的身份认证项,打开相应的身份认证对话框,提出验证方的请求连接,以此为双方创建连接[2]。
实际认证过程中,采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后,获取自己的证书,产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后,将其划分为两个部分,并验证B的身份同时获取B公钥。A验证B证书属于有效后,取出N传出的随机数N1,并产生随机数字N2,把密钥采用B公钥加密,最终把加密后的密钥采用A传送至B。B接受A发出的信息后,对A签名数据串进行解签,对传输的数据进行验证。如果验证失败,必须重新实施认证。实现代码如下:
UCHARdata[1024]={0}://解密后的私钥文件UINT4datalen=10224//解密后私钥文件长度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY,Dec_keylen,DNCRYPT,kk->length,data,&datalen)){m_List.AddMSg(解密私钥失败”,M_ERROR):deletekk;retllrn;}e1se.
2安全防护系统的设计及实现
设计安全防护系统旨在保护企业内部信息的安全,实现对各个协议和端口过滤操作,并实时监测网络的安全性。
(1)Windos网络接口标准
安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内,NDIS发挥着重要的作用,其是网络协议与NIC之间的桥梁,Windows网络接口见图1。其中,NDIS设置在MinpORT驱动程序上,Miniport相当于数据链路层的介质访问控制子层。
(2)数据包过滤系统
数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等。包过滤技术遵循“允许或不允许”部分数据包通过防火墙,数据包过滤流程见图2。包过滤装置对数据包进行有选择的通过,采用检查数据量中各数据包后,依据数据包源地址、TCP链路状态等明确数据包是否通过[3]。
综上所述,现阶段,我国多数企业设置的安全防护系统主要预防外部人员的非法入侵和供给,对企业内部人员发出的网络攻击、信息窃取无法起到防护的效果。文中对网络系统安全存在的安全风险展开分析,提出企业网络身份认证系统和安全防护系统设计与实现步骤,以此提升企业网络信息的安全性,为企业更好地发展提供安全支持。
参考文献:
[1]徐哲明.企业网络系统安全修补程序构架的设计[J].计算机安全,2013,17(8):47-50.
[2]劳伟强.企业数据网安全防护体系的研究与实现[J].电子世界,2013,35(22):154-154.
[3]付宁.企业网络安全防护体系及企业邮箱的建立[J].科技传播,2013,12(2):214-215.
办公网络的网络安全问题范文第4篇
如何保卫个人计算机安全,不光靠产品,还应该有整体的方案
病毒来势汹汹,黑客趋向利益的驱使,僵尸网络控制上百万主机的“灵魂”。无论是公司用户还是个人用户,只要是使用计算机的人每天都面临着这些不断翻新的安全威胁,并且越来越严重。
安全问题从何而来
我们与外界的交流主要手段依赖于Internet以及公司内部网络,数据被盗窃或被破坏的安全威胁就更是逼近在我们的身边。除了潜在的经济损失之外,个人电脑用户很容易遭到身份盗窃、欺诈以及专利信息盗窃等的攻击。于是,这些新的安全威胁把人们对个人计算机及网络安全的关注一次次推倒了聚光灯下。
总的来说,威胁计算机和数据安全最常见的形式主要有两种,一种是物理攻击,另一种是网络攻击。
物理攻击主要是企业内部利用网络的管理漏洞进行欺诈、密码猜测、肩窥等。
网络攻击主要是黑客利用用户计算机的网络共享、计算机的端口扫描、加载在应用程序上的病毒、电子邮件病毒来进行密码推算、网络监听(硬件监听设备,利用通信线路对网络传输数据进行窃取)、DNS域名欺骗、植入木马程序等。病毒的形态、种类越来越复杂,举不胜举。
三大技术解决个人安全
针对上面提到的物理攻击,我们可以通过一些措施以及公司的安全规定来保护计算机,如使用电脑锁、设BIOS口令、管理员口令、Windows密码、资产标签、防窥屏等。
除了传统的针对网络攻击有两大类解决方案(软件类解决方案和硬件类解决方案)之外。在保持物理隔离卡优点的基础上,易思克研制出了神郁隔离计算机,很好地弥补了物理隔离卡的缺陷,实现了内外网络之间实时、在线、自由、安全地切换。网络切换时间缩短至5-8秒,用户的工作流程可以流畅地进行,不会受到网络切换的影响。
神郁隔离计算机(神郁3000)属于终端设备物理隔离主机,通过物理隔离的方式,在保证两个网络之间进行实时在线、安全自由切换的同时,计算机的数据在网络之间不被重用。在实现网络安全的技术上,其关键方案难点在于硬盘可靠的读写保护、内存的隔离使用、网络的切换三个方面。
神郁3000进入内网状态后,外网所占用的硬盘区域都是读写保护(包括分区表及安全边界),保证内网状态时所有的信息,不可能写入硬盘的外网区域,保证内网信息不能泄露。安全备份区实现读写保护,保证任何用户均不能得到安全备份区中的相关信息。当计算机进入外网状态后,安全边界、内网分区及安全备份区均不能读写。该技术有效地控制了计算机硬盘的读写,达到了硬盘内外网区域分别隔离使用的目的。
办公网络的网络安全问题范文第5篇
Abstract: By analysis of the unsafe factors in the enterprise computer network,this paper shows the components of the enterprise computer network security defense system,and then proposes the corresponding strategies for constructing enterprise computer network security defense system.
关键词: 企业计算机;不安全因素;防御体系;策略;安全
Key words: computer network;unsafe factor;defense system;strategies;safety
中图分类号:G203 文献标识码:A文章编号:1006-4311(2010)05-0149-02
0引言
随着科学技术的发展,计算机网络在企业的生产和经营活动中,发挥着越来越重要的作用。近年来,许多企业都相继实现了企业内部的信息化。企业的生产和经营都离不开计算机网络系统的支撑,因此,计算机网络的安全稳定对于企业的生存和发展至关重要。构建了一个安全、稳定、可靠的计算机网络系统是企业当前亟待解决的重大问题。
1企业计算机网络中存在的不安全因素
1.1 网络内部。在这种情况下,往往是由操作失误造成的,这是比较常见的原因,可以通过严格的管理和个人的技术培训来解决。
1.2 硬件故障。计算机是一个系统的整体,设备内部任何一种硬件发生故障都可能导致信息丢失, 甚至造成整个系统的瘫痪。网络线路的物理损伤、网络的不规范扩展和网络连接的混乱是目前造成硬件故障的三个最主要的原因。
1.3 对于网络的安全防护措施来说,防火墙是必不可少的手段,也是最有效的方法之一,其作用就是对内部网络的结构进行防护和隐藏,防止来自网络外部的攻击和侵害,但是任何措施都是有漏洞的。防火墙的最大问题就是能较好的防止来自外部网络的威胁,但是对于来自网络内部的侵害,防火墙就无能为力了。
1.4 安全工具的使用受到人为因素的影响。任何工具都是人发明和使用的,只要是与人有关的,就必然不是完美的。对数据安全来说,有时最严重的威胁通常来自于企业内部,员工的失误可能威胁信息的安全或导致病毒的传播。还有极少数员工基于不同的目的设法窃取超级用户口令, 在未经授权的情况下访问机密信息。除了专业技术人员之外,大部分企业员工对信息安全的认识不足,如果没有这种意识和认识,有再多的技术安全措施和屏障,也难以达到预期的目的。一个安全工具保护效果能否实现,不光是看技术设计的是否出色,更重要的取决于管理人员的素质和责任心。
1.5 只要有程序, Bug就可能存在,甚至安全的漏洞也可能存在于安全工具本身。现在人们常用的个人计算机操作系统其实并不安全,存在很多的缺陷和漏洞,一些病毒和木马就会利用这些漏洞对网络安全进行大肆攻击。很多操作系统都配备了用以改进系统管理和提高服务质量的工具软件,但这些工具同时也会被黑客利用去收集非法信息及加强攻击力度:如NBTSTA T 命令是用来给系统管理员提供远程节点的信息的,但是破坏者也用这一命令收集对系统有威胁性的信息;区域控制软件的身份信息、NetBIOS 的名字、IIS名甚至是用户名,这些信息足以被黑客用来破译口令;网包嗅探器(PacketSn iffer),系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题,同时也为黑客攻击网络提供了机会。
1.6 黑客的攻击手段虽然种类繁多,但主要利用以下两类漏洞:①TCP/IP协议自设设计的问题,这是因为TCP/IP协议一开始设计的时候,是基于互相信任的网络的,故而缺乏对付网络恶意攻击的手段;②一些操作系统的设计漏洞,这一点我们在上文中已经提到。现今的社会,互联网技术和计算机技术发展的越来越快,而网络黑客的攻击水平也是水涨船高,各种攻击手段和病毒式层出不穷,并且技术越来越高,越来越难以防范,几乎每天都有新的系统安全问题出现。与之相比,网络安全防护工具的发展明显滞后,究其原因,是因为黑客是一个群体,遍布全世界各地,而负责网络安全防护工具开发的只是一些固定的网络技术公司和开发人员,以有限的安全技术人员对付无限的庞大黑客群体,再加上这种对策都是被动的,总是等到新的木马或病毒出现后才会有相应的防护工具产生,其结果可想而知。
2计算机网络安全防御体系的组成部分
目前,虽然企业计算机网络的生产网和办公网之间有防火墙的隔离,但是二者交换数据时并没有进行IP 转换,从本质上来说,二者都属于统一网络,所以我们这里将因此把生产网安全域和办公网安全域都称为内部安全域。每一个内部安全域都配有一套完整的平台,部署在办公网,该平台负责用户管理和办公网与生产网认证授权,外网平台负责对外部用户的身份认证和授权。
2.1 路由器架构网络的第一层设备就是路由器,它也是网络入侵者攻击的首要目标,因此路由器有必要设置一定的过滤规则,滤掉被屏蔽的IP 地址和服务。
2.2 防火墙刚才我们在上文中已经介绍过防火墙了。其执行一种访问控制尺度,可以通过设置,分出可访问的IP地址和数据和不可访问的IP地址和数据,可访问的IP和数据进入防火墙的内部网络,同时将禁止的用户与数据拒绝,它可以最大限度地阻止网络入侵者访问自己的网络,并防止对内网信息和数据进行访问、修改和删除。所以,防火墙是一种得到广泛应用且公认安全高效的的网络安全手段,是保证网络安全的最重要的环节之一。
2.3 入侵监测系统在计算机网络的关键部位安装网络入侵检测系统(IDS),可以对网络和信息系统访问的异常行为进行实时监测和报警。IDS可以监测网络上所有的包(packets),捕捉危险或有恶意的动作,并及时发出报警信息。入侵监测系统可以按照用户指定的规则对端口进行监测、扫描。立体安全防御体系中普遍采用入侵监测系统,以识别防火墙不能识别的攻击,如来自企业内部的攻击。目前,入侵检测系统被认为是对防火墙的必要补充,可对网络资源进行实时监测,及时发现入侵者,防治合法用户对资源的错误操作,与其他安全产品一起构筑立体的安全防御体系。
2.4 物理隔离与信息交换系统物理隔离与信息交换系统又称网闸,是运用物理隔离网络安全技术设计的安全隔离系统。当企业网内部的生产系统因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性时,物理隔离与信息交换系统能够对内部网络与不可信网络进行物理隔断,可以及时阻止各种已知和未知的网络层和操作系统层攻击,它提供的安全性能比防火墙、入侵检测系统等技术更好,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2.5 交换机局域网通常采用以交换机为中心、路由器为边界的网络格局。交换机是该格局的核心,其最关键的工作是实现访问控制功能和3 层交换功能。访问控制对于交换机就是利用访问控制列表ACL 来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。
2.6 应用系统的认证和授权支持
建立应用系统能够提升支撑平台的安全性,应用系统的保护功能包括以下几个方面:①应用系统网络访问漏洞控制。应用系统要求软件按照安全软件标准开发,在输入级、对话路径级和事务处理级做到安全无漏洞;集成的系统必须具有良好的自我恢复能力,避免内部生产网中的系统因受攻击而导致瘫痪、数据破坏或丢失。②数字签名与认证。应用系统须利用CA 提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。③数据加密。对重要的数据进行加密存储。
2.7 操作系统的安全将所有不使用的服务和端口关闭,并将不使用的磁盘文件清除,建立一个内部网操作系统漏洞管理服务器,提供对官方补丁下载,以保证操作系统的安全性。
2.8 病毒防护将系统诊断工具(如360)与网络版的杀毒软件(如NOD)相结合,可以构成比较完整的病毒防护体系,能够有效地防控病毒的传播,保证网络运行的安全性和稳定性。
2.9 网络隔离度保障对未经过安全过滤和检查就违规接入内部网的移动设备(笔记本电脑等)和新增设备进行监控;对内部网中绕过防火墙的计算机或其他设备,违规接入网络的行为进行监测;对物理隔离的网络内部设备违规接入因特网的行为进行监控;对违反规定将专网专用的计算机带出网络进入到其他网络的行为进行监控;可提供IP 和MAC 地址绑定功能。
3构建计算机网络防御体系的策略
根据当前企业计算机网络的发展现状、发展趋势、操作系统对网络传输与服务的要求以及安全保密等相关规定,构建一个企业计算机网络安全防御体系应注意以下几点:①企业计算机网络结构必须做到实现外部服务网与内部服务网的分离;②对信息系统的安全等级要进行划分,以便在进行信息管理时使用不同的安全域;③在网络安全上必须充分开展对网络访问控制、防火墙设置、网络动态隔离和病毒网关及日志的管理和维护;④对网络的流量要进行充分控制和保护;⑤基于数字证书的用户身份认证、授权管理建立完善的访问控制设施;⑥必须建立日志和审计系统。
要建立企业计算机安全网络防御体系,必须将重要行业的原有的平面结构的计算机网络调整为层次保护结构的网络,形成外部网、办公网和生产网的三层结构。在外层部署与互联网的接口,外层网络屏蔽内层网络,实现外层网络对内层网络的保护。在不同的网络区域边界,通过边界保卫策略实施多点控制,使网络划分为不同级别的保护层次和区域,控制各层次之间的信息流。
4结语
