企業網絡安全建設精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業網絡安全建設主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業網絡安全建設范文
【關鍵詞】企業 信息化 網絡 安全
中圖分類號:TN915.08文獻標識碼: A 文章編號:
一、前言
在信息迅速發展的時代,計算機網絡技術已無處不在,而企業信息化已經成為提高企業競爭的重要因素,企業在大力推行辦公自動化、網絡化、電子化、信息共享,以利用網絡技術增強各部門的科學決策、監管控制、提高工作效率的同時,網絡安全是每一個企業工作得以保障的首要條件,我們必須重視。
二、常見的網絡安全隱患
1、非法入侵
任何軟件中都可能存在缺陷,而部分系統中會留下未公開的特性。這些特性會導致系統中各種保護機制失效,如盜用身份。事實上很多危險的入侵者是以獲得管理員權限為主要目標的,繞過反問控制。通過修改審計系統清除入侵痕跡等。這些缺陷和未公開特性可以制作成工具而廣泛傳播,而有些惡意的未公開特性會在某些時刻被利用攻擊系統。
2、病毒傳播
病毒的種類是多種多樣的,目前全世界發現的病毒已遠遠超過數十萬種,根據感染對象的不同.這些病毒可分為引導型病毒、文件型病毒、混合型病毒三類。引導型病毒其感染對象是計算機存儲介質的引導區,其傳染性較強;文件型病毒其感染對象是計算機系統存在的文件,病毒將在文件運行或被調用時駐留內存、傳染、破壞混合型病毒其感染對象是引導區或文件。
3、數據丟失
企業的重要業務數據都存儲在網絡中,一旦丟失,后果不堪設想。因此,建立一套行之有效的災難恢復方案就顯得尤為重要。在企業信息系統中,由于數據量大,且常常需要跨平臺操作,數據出錯或丟失是難免的,如果沒有事先對數據進行備份,要想恢復數據不僅難度大而且很不可靠,有時甚至根本不可能進行恢復。如果定期對重要數據進行備份。那么在系統出現故障時,仍然能保證重要數據準確無誤。
三、網絡安全分析
1.企業網絡概況企業網可分為三部分:企業內部網、企業外部網和企業廣域網
內部網是一個信息點密集的千兆網絡系統,這些信息點為企業內各部門提供一個快速、方便的信息交流平臺。企業外部網可實現對外信息。企業廣域網,可實現各部門與互聯網用戶進行交流、查詢資料.以及遠程辦公。高速交換技術的采用、靈活的網絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時。也為網絡的安全帶來了更大的風險。因此。實施一套完整、可操作的安全解決方案是必須的。
2.網絡安全性概述計算機網絡主要是向客戶提供信息、在企業內部共享相關數據并進行業務聯系.因此一個安全的企業網絡應該能夠解決以下三方面的問題:
(1)企業內部網用戶對企業信息的安全訪問。
(2)Intemet用戶對企業信息的安全訪問。
(3)企業內部網與Intemet的正常信息交流。
3.企業內部網受到的安全威脅企業內部網受到的安全威脅有以下幾種:黑客人侵、病毒的傳播、內部攻擊、秘密信息泄露和篡改、修改網絡配置、造成網絡癱瘓等。具體來說網絡安全的威脅主要來自技術層面和管理層面。
(1)技術層面目前使用的網絡協議主要考慮了通用性設計,安全層面考慮的少。使目前的網絡存在以下安全威脅:物理屢、鏈路層以及網絡層的安全問題,即竊聽或干擾、非法用戶的使用、信息被攔截監聽;操作系統安全。目前流行的操作系統均存在網絡安全漏洞,許多攻擊直接針對操作系統展開;應用平臺安全,如數據庫服務器、郵件服務器、Web服務器、Ftp服務器等均存在安全隱患,很容易受到攻擊;應用系統是直接面向最終用戶的,其安全問題包括規范化操作、合法性使用、信息泄露、信息篡改、信息抵賴及信息假冒等。
(2)管理層面管理層面的問題是整個網絡安全的關鍵,通常存在如下的管理問題:管理組織不完善:很多單位出于節約資金的考慮,沒有聘用專業的安全管理人員。或者安全管理任務沒有落實到人,責權不明確;管理規范未建立:安全是一個整體工程,不完整的管理幾乎等于不管:技術管理不到位:多數單位只考慮防火墻、防病毒等措施,并沒有提高到管理的程度:日常管理不到位:從計算機的日常使用、信息保存、用戶權限變更等。
四、企業信息化建設過程中解決網絡安全問題的措施
實現網路安全的過程是復雜的,任何一種單一的技術或產品無法滿足網絡對安全的要求,只有將技術和管理有機結合起來,從控制整個網絡安全建設、運行和維護的全過程角度人手。還應采用各種先進技術,防火墻技術、VPN技術、加密技術、入侵檢測技術等。
1、加強素質培養
首先加強網絡管理人員的技術水平,特別是計算機網絡安全新技術的培訓。其次對非技術人員進行計算機操作培訓,并且介紹網絡安全的重要性以及基本的防御常識等。
2、網絡安全的先進技術
防火墻技術:防火墻技術一般分為兩類:網絡級防火墻和應用級防火墻。網絡級防火墻防止整個網絡出現外來非法入侵;應用級防火墻是從應用程序來進行接入控制。通常使用應用網關或服務器來區分各種應用。目前防火墻所采用的技術主要有:屏蔽路由技術、基于技術、包過濾技術、動態防火墻技術、DMZ模型。虛擬專用網:虛擬專用網(Virtual Private Network,VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個私有的連接。因此,從本質上說VPN是一個虛擬通道,它可用來連接兩個專用網,通過可靠的加密技術方法保證其他安全性,并且是作為一個公共網絡的一部分存在的。
加密技術:加密技術分為對稱加密和非對稱加密兩類,對稱加密技術有DES、3DES、IDEA,對稱加密技術是指加密系統的加密密鑰和解密密鑰相同,也就是說一把鑰匙開一把鎖。非對稱密鑰技術主要有RSA.非對稱密鑰技術也稱為公鑰算法,是指加密系統的加密密鑰和解密密鑰完全不同,這種加密方式廣泛應用于身份驗證、數字簽名、數據傳輸。
入侵檢測技術:入侵檢測技術的核心包括兩個方面,一是如何充分并可靠地提取描述行為的特征數據;二是如何根據特征數據,高效并準確地判斷行為的性質。它通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
其他的網絡安全技術還有安全隔離技術、VLAN技術、各種防、殺毒技術等等。
五、網絡安全管理
為了保護網絡的安全性,除了增加安全服務功能,完善系統的安全保密措施外,安全管理規范也是必須的。安全管理策略一方面從安全管理規范來實現。男一方面從技術上建立高效的管理平臺。
1.安全管理規范信息系統的安全管理部門應根據管理原則制定相應的管理制度或采用相應的規范。具體工作是:
(1)根據工作的重要程度,確定安全管理等級和安全管理范圍。
(2)制訂相應的機房出入制度,對于安全等級要求較高的系統。實行分區控制和出入管理。可采用證件識別或自動識別登記系統.采用磁卡、身份卡等手段。對人員進行識別、登記管理。
(3)制訂嚴格的網絡操作規程。既有網絡管理人員的操作規程,也要有內網用戶的操作規程。
(4)制訂完備的網絡系統維護制度。維護時要首先經主管部門批準,并有網絡管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄。
結論
今后的企業信息化建設中,網絡安全就顯得尤為重要,如果企業不重視信息化的網絡安全工作。信息化不僅無法提高企業的工作效率,還會讓企業蒙受巨大的經濟損失。所以信息化建設中的網絡安全要與信息化同步考慮進行。
【參考文獻】
第2篇:企業網絡安全建設范文
【關鍵詞】子系統;冗余環網;信息孤島;防火墻
一、前言
隨著我國煤炭事業的發展,高產、高效煤礦對生產過程監控、全礦井生產安全環境監測、生產過程信息綜合利用等方面的網絡化、自動化和智能化提出了更高的要求。實現全礦井的數據采集、生產調度、經營管理、決策指揮的信息化、科學化,確保礦井安全生產、集約高效,提升企業的生產力水平,煤礦信息化網絡建設是礦井建設的重要組成部分。
二、煤礦信息化網絡建設的需求分析
1.煤礦生產中從工藝上包含多個子系統,通常煤礦生產企業包括:環境安全監控系統、人員定位系統、地面壓風機房監控系統、副井提升監控系統、鍋爐房集控系統、主通風機監控系統、主副斜井監控系統、主斜井皮帶機篩分樓監控系統、礦燈房監控系統、乘人猴車監控系統、暖風機房監測系統、綜采工作面監控系統、綜掘工作面監測系統、中央水泵房監控系統、中央變電所監控系統、采區變電所監控系統、無極繩絞車監控系統、主斜井皮帶給煤機監控系統、順槽皮帶運輸系統等多個子系統,各個子系統之間的數據需要實現數據共享,要求避免信息孤島,對信息進行有效整合,解決不同子系統之間的協同作業,互聯互通是信息化網絡建設的核心需求。
2.信息業務:視頻數據信息、語音信息、辦公數據信息,生產數據信息,數據具有一定的異構性。
3.分布:從地理位置上,煤礦生產有地面以下的部分和地面以上的部分,而且地面以下的煤礦巷道屬于狹長的區域分布,巷道的長度一般是十幾公里到幾十公里。
4.網絡分為生產控制網絡和企業管理層局域網絡,對于生產控制網絡要高的可靠性,要確保網絡系統的安全,如果網絡出現問題不能及時回復,會造成停產,甚至發生安全事故。
5.業務跨越Internet運作,一個煤礦的各種生產和管理數據,不僅要內部使用,通過門戶網站對外,還要給集團提供,實現資源的統一管理與調度,并要求給上級安全監查部門上報。而且隨著技術的發展,要求能夠不斷的升級。
三、網絡規劃與設計
經過對以上的需求分析,將煤礦信息化網絡建設成為設備層、工業以太網冗余環網和企業管理層局域網絡三層結構模式,將骨干網絡的可靠性和安全性放在第一位,同時結合網絡數據的流量和流向,采用千兆網絡,滿足傳輸帶寬的要求。
1.生產控制網絡
生產控制網絡采用網絡拓撲結構為冗余環網,根據煤礦生產和巷道結構的特點,將十幾臺交換機在井上與井下各形成一個環路,一般將通訊鏈路分開兩個不同的巷道進行敷設,由于煤礦生產環境惡劣,容易造成網絡線路斷裂,環網結構在很大程度上解決了以太網的容錯技術,保證了當某條鏈路意外損壞時,數據仍可以從另一個方向的備用鏈路進行傳輸,冗余修復的時間小于300ms,網絡在300ms之內可以重新啟用,最大限度的滿足煤礦生產數據信息傳輸的可靠性與實時性,主干網絡傳輸介質為光纖,采用工業以太網交換機進行數據交換,地面、井下各設一個環網,兩個光纖環網在控制中心機房通過高性能的核心交換機連接在一起,構成一個統一的煤礦生產控制網絡。
根據一般煤礦生產的要求,在煤礦井下一般布置攝像頭的數量不會超過100個,每個視頻圖像流量平均在1Mbps左右,總的視頻流量不大于100Mbps,而且流向也比較確定,基本上都是從井下流向地面的調度中心,總的音頻流量一般不大于10Mbps,總的數據流量一般不大于1Mbps,音頻流量和數據流量一般是雙向傳輸,所以在設計上采用千兆網絡傳輸平臺實現同網、同纜、同芯傳輸視頻、音頻、數據信號。
2.企業管理層局域網絡
企業管理層局域網絡為星型網絡拓撲結構,千兆以太網技術,采用三層結構,即核心層、交換層和接入層,通過連接路由器、交換機、防火墻、服務器、客戶機等設備來組成網絡,通過高性能的核心交換機將管理層局域網絡與生產管理網絡連接在一起。通過防火墻接Internet網絡,采用VPN技術與集團公司總部聯系。結合公司今后的發展,采用開放式的結構,使網絡具有良好的擴展性和開放性,滿足未來網絡發展需求。通過WEB,實現信息查詢,通過遠程撥號實現遠程作業,實現信息共享及統一管理,建立調度指揮中心,統一調度指揮。
四、網絡的信息安全
結合實際的網絡環境,針對非法入侵者采用的手段以及網絡環境中存在的漏洞,建立一套網絡安全防范系統,及時彌補系統中各個級別的漏洞,切斷非法用戶的入侵渠道,保證綜合監控及自動化網絡及所有子系統接入數據傳輸的安全性,在煤礦生產工業以太環網和企業管理層局域網之間設置防火墻,用來隔離管理網與生產網。
為了保證信息安全,在系統規劃的過程中從物理安全、系統安全、網絡安全、應用安全、數據加密10個方面分別采用各種技術,來滿足整個系統的安全。
1.物理安全:合理選擇機房的位置,控制機房溫度、濕度和環境清潔度滿足設備運行要求,加強設備管理,供電系統穩定,做好接地與防雷,采用防靜電地板,使服務器、客戶機運行可靠,對媒體和存儲設備加強管理,及時備份、對數據的轉移和備份采取審核與登記管理制度。
2.系統安全:主要是針對操作系統安全和數據庫系統安全,首先在系統選型中就采用運行穩定可靠的軟件產品,加強管理系統拷貝、系統管理,選擇,定期更新,及時補丁,定期優化與維護
3.網絡安全:采用入侵檢測實時監測網絡中的不安全因素,通過VPN加密技術,確保在互聯網上數據傳輸不泄密,對內部網和外部網之間采用網絡隔離,采用訪問控制技術,確保合法用戶和非法用戶的分類管理,保證各類系統和相關人員分別操作各自的系統,避免相互攻擊,實時監測網絡漏洞,對于發現的漏洞及時彌補。
4.應用安全:實際工作中,很多攻擊都是來自郵件,在本系統中我們通過采用安全的郵件系統,通過對密碼和口令嚴格配置,提高Email安全效果。另外黑客攻擊很多通過Web來攻擊,采用Web的安全協議,對Web的系統編碼進行安全評估。通過在引用系統內容過濾,過濾病毒,過濾非法的言論等實現內容過濾。對采用的各種系統,采用常用訪問控制、補丁升級和加密等技術保證應用系統安全。
5.數據加密:對于重要的數據采用加密保護,分別采用硬件加密和軟件加密,兩種加密技術相結合。
6.認證授權:項目中采用口令認證方式,每個操作人員和系統工程師以及相關的領導采用不同等級的授權與口令,而且對于口令的編碼有一定的要求,對于關鍵的崗位要求口令的設置必須采用數字、字母與符號的組合,位數不少于11位,而且要求定期更新。對于非常關鍵的核心位置,采用證書認證的方式,確保系統安全。
7.訪問控制:項目針對網絡訪問控制,采用網絡防火墻與訪問控制列表相結合的方式,提高訪問控制的水平。對操作系統和數據庫通過配置訪問列表訪問控制提高系統安全性。
8.審計跟蹤:采用入侵檢測實時的、全天候的檢測攻擊,并留下訪問攻擊的全部信息,提高安全事件的實時監測能力。各種網路設備和數據庫系統中都具有日志功能,詳細記錄各種日志,作為安全事件的分析之用。制定了安全事件的應急機制,發生嚴重安全事故之后及時報案,辨析取證作為重要的跟蹤依據,是公安人員的證據保護。實現對數據安全事件的事后跟蹤,
9.網絡防病毒:建立了單機防病毒與網絡整體防病毒體系共同組成一個防病毒體系,在服務器、操作員站與筆記本上等單機設備上安裝防病毒系統,及時對病毒數據庫升級,定期對系統掃描。在網絡上部署網絡防病毒體系,防止木馬和病毒的攻擊,大大降低病毒爆發的概率。
10.災難恢復與備份:為了保證出現問題后能夠及時完成數據恢復,定期對數據進行備份,制定了詳細的數據備份計劃,每天備份數據一次,首先采用移動硬盤定期備份,然后再刻錄在光盤上,并指定了存儲的地點,專人負責管理。制定了災難恢復計劃和恢復的流程,指定了專門的人員,并實行了分工,并對相關人專門培訓。
五、小結
系統建設完成后,以千兆工業以太環網為基礎的礦井網絡系統,相當于煤礦信息高速公路,在網絡傳輸平臺上,具備的多種接口,能夠將各子系統的數據接入到網絡上,實現各個子系統中生產設備狀態的實時傳輸與遠程控制,而且通過信息安全技術,使系統運行穩定可靠。
作者簡介:
第3篇:企業網絡安全建設范文
在計算機網絡飛速發展的今天,網絡營銷,電子商務等快速進入企業業務活動中,企業總部、企業地方分支機構、移動出差人員,充分利用Internet的公共資源及便利條件,通過VPN(Virtual Private Network,虛擬專用網)技術它們連接在一起,形成一個跨地域更大的網絡,方便企業用戶、分支機構及合作伙伴隨時隨地的接入并訪問企業網絡,與企業總部網絡進行數據信息安全傳輸與交流,不但給企業帶來數字化時代,方便信息交流與企業的管理,而且也給企業帶來不菲的經濟效益,與此同時,也給企業網帶來了安全隱患,數據信息如何跨越公共網絡的復雜環境進行安全的遠程傳輸成為關鍵。對于中小型企業資金相對比較貧乏,技術力量薄弱這種情況,研究經濟實用的遠程數據信息安全性傳輸就顯得非常重要。
2 中小型企業網絡現狀及需求
國有大中型企業是我國的經濟支柱,中小企業是我國經濟組成的重要組成部分,我國中小型企業眾多,對計算機網絡技術應用比較簡單,沒有很好的利用Internet的優勢,實現企業經濟的騰飛及壯大。中小型企業網絡主要應用是日常辦公,數據處理,屬于“單機版”類型,或者企業分支機構與總部就是簡單通過電子郵件,或者qq進行企業數據信息傳輸,這樣安全保密性太差。主要原因是:
1) 中小型企業資金比較貧乏,沒有更多的資金來購買成熟網絡安全產品,而且成熟的網絡安全產品價格一般比較昂貴,主要面向大型企業。中小型企業分布廣,業務靈活,經濟實惠的遠程數據安全傳輸解決方案甚少,而且技術復雜,維護較難,不能滿足中小企業的需要。
2) 中小型企業技術力量薄弱,沒有專業的網絡技術人員,一般是企業年輕的懂點計算機的員工兼職網絡管理,與專業網絡管理員還有一定的差距。
3) 中小型企業網絡基本屬于一個“信息孤島”,與外界進行數據通信不能做到安全可靠傳輸,不能確保數據信息不泄露、不丟失、不被篡改等,影響企業的快速發展。
3) 中小型企業領導重視網絡建設還不夠,網絡建設相對比較簡單,根據中小型企業目前對網絡的需要及依賴,進行簡單網絡建設,沒有長遠的網絡建設規劃,致使企業在壯大的過程中,網絡建設不能快步跟上,往往被忽視。中小企業網絡由于資金貧乏,技術力量不足等原因,在建設的初期就還可能留下許多漏洞與不足,這樣更容易被黑客攻擊。
4) 中小型企業用戶不能進行遠程數據信息的安全可靠傳輸,企業員工,或者領導外地出差,或者分支機構的網絡,就不能訪問企業網絡,不能遠程進行辦公,遠程快速的進行事務處理。
5) 中小型企業與合作伙伴之間沒有利用互聯網的優勢,在它們之間沒有建立一個企業擴展網絡,導致數據信息的安全交流和企業的密切合作收到影響。
在復雜的網絡環境下,解決中小型企業的遠程數據信息安全可靠的傳輸就變得越來越重要了,還需考慮方案的經濟實用,維護簡單容易。對于中小企業網絡中傳輸的重要數據信息,如財務報表等,必須保證數據信息完整性、可用性和機密性。完整性是數據信息在傳輸或存儲過程中保證沒有被修改,沒有被破壞,沒有被丟失等;可用性是數據信息可被授權實體訪問,并按需求使用的特性,即指定用戶訪問指定數據資源;機密性是保證數據信息網絡傳輸保密性和數據存儲的保密性,數據信息不會泄露給非授權的用戶、實體或過程。確保只有授權用戶才可以訪問指定數據資源,其他人限制對數據信息的讀寫等操作。
3 經濟實用安全方案
從中小型企業網絡現狀及需求,利用VPN技術跨越Internet組建中小企業擴展網絡,保證遠程移動用戶、企業分支機構和企業合作伙伴之間安全可靠的進行遠程數據信息傳輸。通過實踐實驗,研究出經濟實用,安全可靠,配置和維護比較容易的中小型企業網絡安全性解決方案,如圖1所示。VPN服務器也稱為VPN網關,可以使用高性能的計算機來擔當,并且安裝兩塊網絡適配器,一塊網絡適配器用于連接中小型企業內部網絡,分配內網IP地址,另一塊網絡適配器連接外部網絡,分配外網IP地址。VPN服務器是內網和外網連接的必經之路,服務于內外兩個網絡,也是內網的安全屏障,相當于中小型企業的防火墻,它可以完成對訪問企業網絡的用戶進行身份認證、數據進行加密解密處理、密鑰交換等。VPN服務器安裝Windows Server 2003操作系統,充分利用公共網絡Internet的資源,通過VPN技術,實現中小企業遠程數據信息傳輸的安全性、完整性,可用性和保密性。
3.1 IPSec VPN保證數據信息遠程安全傳輸
1) VPN技術
VPN又稱虛擬專用網,是在公共網絡中建立專用網絡,數據信息通過建立的虛擬加密“安全隧道”在公共網絡上進行傳輸,即充分利用公共網絡如Internet的資源,達到公網“私用”的效果。中小企業只需接入Internet,就可以實現全國各地分支機構,甚至全世界各地的分支機構,都可以隨時隨地的訪問企業網絡,實現遠程數據信息的安全可靠傳輸。而且VPN具有節省成本、配置相對簡單、提供遠程訪問、擴展性較強、便于管理維護、實現全面控制等好處,是企業網絡發展的趨勢。
2) IPSec協議
IPSec是一個開放的應用范圍廣泛的網絡層VPN協議標準,是一套安全系統,包括安全協議選擇、安全算法、確定服務所使用的密鑰等服務,在網絡層為IP協議提供安全的保障,即IPSec可有效保護IP數據報的安全,如數據源驗證、完整性校驗、數據內容加密解密和防重演保護等。保證企業網絡用戶的身份驗證,保證經過網絡傳輸過程中數據信息完整性檢查,加密IP地址及數據信息保證其私有性和安全性。
3) 基于IPSec的VPN技術
基于IPSec的VPN技術解決了在Internet復雜的公網上所面臨的開放性及不安全因素的威脅,實現在不信任公共網絡中,通過虛擬“安全隧道”進行數據信息的安全傳輸。IPSec協議應用于OSI參考模型的第三層網絡層,基于TCP/IP的所有應用都要通過IP層,將數據封裝成一個IP數據包后再進行傳輸,所有要實現對上層網絡應用軟件的全透明控制,即同時對上層多種應用提供安全網絡服務,只需要在網絡層上采用VPN技術,基于IPSec的VPN技術提供了5種安全機制,即隧道技術、加密解密技術、密鑰管理技術、身份驗證技術和防重演保護技術,通過基于IPSe c的VPN技術,來保證傳輸數據的安全性、可用性、完整性和保密性[1]。
(1)隧道技術,隧道也可稱為通道,是在公用網中建立一條虛擬加密通道,讓數據包或者數據幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數據可以是不同協議的數據幀或數據包。“隧道”協議分為二、三層隧道協議,第二層隧道協議先把各種網絡協議封裝到PPP中,再把整個數據幀裝入到隧道協議中。這種雙層封裝方法形成的數據幀依靠第二層協議來傳輸,第二層協議包括PPTP、L2TP等。第三層隧道協議是把各種網絡協議直接裝入到隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層協議有GRE、IPSec等。這里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子協議保護IP數據包和IP數據首部不被第三方侵入,在兩個網絡之間建立一個虛擬“安全隧道” 用于數據信息的安全傳輸。授權用戶,通過IPSec安全策略的配置實現對網絡安全通信的保護意圖,其安全策略包括什么時候什么地方對AH和ESP保護,保護什么樣的通信數據,什么時候什么地方進行密鑰及保護強度的協商。IPSec通過認證和鑰匙交換機制確保中小型網絡與其分支機構網絡或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網絡的安全訪問。
(2)加密解密技術,是為了保障虛擬“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取數據信息的能力,同時保證必須使偷聽者不能破解或解密攔截到的的數據信息,但是授權用戶可以通過解密技術,完整的訪問數據資源。
(3)身份認證技術是通過對企業分支用戶或遠程用戶進行身份進行驗證,提供安全防護措施與訪問控制,包括對VPN“安全隧道”訪問控制的功能,有效的抵抗黑客通過VPN通道攻擊中小型企業網絡的能力。通過VPN服務器對授權用戶的身份及權限的驗證,嚴格控制授權的用戶訪問資源的權限。在每個VPN服務器上為遠端用戶的身份驗證憑據添加用戶信息,包括用戶名及密碼,并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。
(4)密鑰交換技術,為了防止密鑰在Internet復雜的公網上傳輸過程中而不被竊取。提供密鑰中心管理服務器,現行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。VPN技術能夠生成并更新客戶端和服務器的加密密鑰和密鑰的分發,實現動態密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接,還需要在每個VPN服務器上同時安裝客戶端身份驗證證書和服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。
(5)防重演保護。具備防止數據重演的功能,而且保證通道不能被重演。確保每個IP包的合法性和惟一性,保證信息萬一被截取復制后,或者攻擊者截取破譯信息后,再用相同的信息包獲取非法訪問權,確保數據信息不會被重新利用、重新傳回目標網絡,
3.2其他輔助安全措施
對VPN服務器,還可以啟動軟件防火墻功能,如安全訪問策略、日志監控等功能,還可以安裝殺毒軟件,為內網提供安全屏障,再次增加網絡安全可靠性能。軟件防火墻通過設置的包過濾規則,分析IP數據報、TCP報文段、UDP報文段等,決定數據包是被阻止,還是繼續轉發,從網絡層和傳輸層上再次給予安全控制,提供了多層次安全保障體系。還可以增加應用層的過濾規則配置,再次提升VPN服務器安全性。
4 實踐應用分析
通過實踐應用,跨越Internet的中小型企業網絡安全解決方案分別從網絡層、傳輸層和應用層三個層次上給予安全保障,該方案充分利用VPN的“公網專用”的特點,允許中小型企業擁有一個世界范圍的專用網絡,在公用網中開辟虛擬“安全隧道”來保證遠程數據信息傳輸的可靠性和安全性;通過輔助的防火墻功能,進一步增加其安全。該方案使用高性能的PC充當VPN服務器,并配以Windows Server 2003操作系統,無需額外的復雜硬件設備與高昂的系統軟件,成本低、經濟實用、容易實現、維護簡單,是中小型企業網絡擴展不錯的選擇方案。VPN服務器不但具備VPN技術的功能外,還是一個中小企業的防火墻,安全配置、安全策略容易實現,一旦出現較大安全威脅,便于快速隔離網絡。
當然此方案也存在一些缺陷,主要是有依賴操作系統的安全性,操作系統本身的漏洞可能會造成安全隱患;VPN服務器是集多種服務于一體,需要較高高性能的計算機;VPN服務器故障會導致網絡連接失效;由軟件實現數據加密與解密、包過濾等,一定程度會占用系統資源,也會使通信效率略有降低;同時重注企業內部員工的安全培訓,有效地抑制社會學的攻擊,對來自企業內部員工的攻擊顯得無能為力。
5 結束語
跨越Internet的中小型企業網絡安全技術方案比較經濟、實用、安全、配置簡單,為中小企業打造一個世界范圍的網絡提供了較有力的技術支持,使得中小企業網絡也融入到互聯網這個“大家庭”中,不僅提高了中小型企業的工作效率,而且增強了其競爭力,將推動中小型企業電子商務,電子貿易,網絡營銷走向繁榮,加快了中小企業網絡信息化和經濟快速發展的步伐。
參考文獻:
[1] 郝春雷, 鄭陽平.中小型企業敏感分支網絡安全解決方案[J].商業時代,2007,(21):45.
[2] 阿楠. VPN虛擬專用網的安全[J].互聯網天地,2007,(7):46-47.
[3] 李春泉,周德儉,吳兆華. VPN技術及其在企業網絡安全技術中的應用[J]. 桂林工學院學報,2004,3:365-368.
[4] 韓儒博,鄔鈞霆,徐孟春.虛擬專用網絡及其隧道實現技術[J]. 微計算機信息,2005,14:1-3.
第4篇:企業網絡安全建設范文
1.1網絡未進行等級區分我國《全國電力二次系統安全防護總體方案》中明確指出,電力企業有義務對網絡進行安全等級劃分。具體分為橫向和縱向兩類,其中橫向是要求能夠實現實時監控系統與非實時監控系統之間的相互連接。縱向上是要求實現實時監控系統之間的互聯。但實際生產經營過程中,很多電力企業沒有實現網絡化的數據傳輸,同時在主站與廠站之間也沒有實現光纖載波雙通道。
1.2網絡信息安全防護能力不足當前,很多電力企業的信息化程度都在不斷加強,但網絡信息安全的防護還停留在以往的水平上,不能很好地滿足日益增長的信息安全保障。在管理體系上,很多企業都沒有完善的網絡信息安全管理機制,在面對信息安全問題時無從下手處理。在軟件應用上,缺乏專業的防病毒軟件,很多企業都自主選擇一些常用的網絡殺毒軟件,無法做到與企業信息防護相匹配。在信息備份和恢復方面,很多電力企業沒有建立信息備份和恢復機制,信息一旦丟失將給企業帶來巨大經濟損失。
1.3電力企業服務器存在的安全隱患眾所周知,電力企業的服務器種類和數量眾多,既包含數據庫服務器、應用服務器、Web服務器,還包含算費服務器、銀電聯網服務器等。當前網絡上針對各類服務器的攻擊時刻在發生,服務器的安全穩定直接關系到整個網絡信息的安全。盡管這些服務器有各自的認證,但入侵者還可以采用QL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據,同時,由于服務器內數據未進行加密,在信息交流傳遞過程中會存在信息泄露風險。
2電力企業網絡信息安全防護措施
2.1進行網絡安全風險評估電力企業在進行網絡信息安全防護時,技術革新是一方面,加強信息安全管理是重中之重。因此,在進行網絡信息安全建設實施階段,需要對企業當前面臨的網絡信息安全環境進行分析總結,找出可以降低網絡信息安全風險的突破口,并計算投入和降低風險帶來的收益之前的差額,權衡電力企業進行網絡信息安全建設的必要性。對于很多電力企業而言,弄清楚網絡信息安全存在的風險點以及解決對策非常重要,對于后期的具體實施起到事半功的效果。
2.2構建防火墻防火墻是一種能有效保護計算機網絡安全的技術性措施,有軟件防火墻與硬件防火墻這兩類。防火墻可以很好的幫助服務器阻擋外界信息和指令,同時對信息傳輸指令加以控制。電力企業可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。為了防止各種意外的發生,需要對各種數據進行定期的備份。電力企業防火墻體系構建如下:訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪,能有效的對網絡進行控制,對流入和流出路由器接口的數據包進行過濾,達到部分網絡防火墻的效果。
2.3加強對計算機病毒的預防控制對網絡信息安全直接威脅最大的是網絡病毒,而新型計算機病毒對電力企業網絡安全的影響最大。目前,很多電力企業都是在病毒入侵導致系統或者數據癱瘓后才發現問題,此時挽救的幾率已經很小。因此,需要企業網絡管理部門在病毒入侵之前就能夠切斷,從根源上避免計算機病毒對信息造成威脅,建立一套科學完整的計算機病毒預防管理體系,從病毒監控、強制防止及恢復四個環節著手,將病毒對網絡信息安全的影響降低到最小。前期預防具有重要意義,可以防止病毒繼續擴散,同樣的在病毒入侵之后的有效查殺也至關重要。很多電力企業已經建立了防毒系統,可以保證在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件、文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。
2.4開展電力企業內部的全員信息安全教育和培訓活動在企業安全管理建設過程中,安全意識和安全技能的培養至關重要。安全意識和安全技能的學習需要全體員工共同參與,各級主管及班長應積極帶頭,確保人人參與、人人掌握,防止實際工作中因個人操作不當造成風險發生。在具體學習和培訓過程中,各個電力企業應當按需定制,針對中高級管理人員,應當著重管理和領導技能培訓,學習企業信息安全的控制重點和需要達成的目標,便于指定決策。針對崗位負責人,應當充分灌輸信息安全防護的意義,信息安全事故發生時應采取的處理方式。針對具體業務人員,應讓他們學習確保信息安全而必須遵循的操作手法,同時強化個人責任意識并告知因個人原因發生信息安全風險需要承擔的責任。只有逐層逐級開展全方位的安全教育和培訓,才能從思想層面加強企業信息安全建設。
3結論
第5篇:企業網絡安全建設范文
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
第6篇:企業網絡安全建設范文
關鍵詞:網絡安全技術 企業網絡 解決方案
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網絡技術的飛速發展,自由的、開放的、國際化的Internet給政府機構、企事業單位帶來了前所未有的變革,使得企事業單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網絡安全問題也隨著網絡技術的發展而真多,凡是有網絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經濟論壇上,與會者首次觸及了互聯網安全問題,表明網絡安全已經成為影響互聯網發展的重要問題。由于因特網所具有的開放性、國際性和自由性在增加應用自由度的同時,網絡安全隱患也越來越大,如何針對企業的具體網絡結構設計出先進的安全方案并選配合理的網絡安全產品,以及搭建有效的企業網絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業網絡安全隱患分析 企事業單位可以通過Internet獲取重要數據,同時又要面對Internet開放性帶來的數據安全問題。公安部網絡安全狀況調查結果顯示:2009年,被調查的企業有49%發生過網絡信息安全事件。在發生過安全事件的企業中,83%的企業感染了計算機病毒、蠕蟲和木馬程序,36%的企業受到垃圾電子郵件干擾和影響。59%的企業發生網絡端口掃描,拒絕服務攻擊和網頁篡改等安全危機。如何保護企業的機密信息不受黑客和工業間諜的攻擊,已成為政府機構、企事業單位信息化健康發展所要解決的一項重要工作。隨著信息技術的發展,網絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現在: 1.網絡安全所面臨的是一個國際化的挑戰,網絡的攻擊不僅僅來自本地網絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網絡技術是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網絡導致網絡所面臨的破壞和攻擊往往是多方面的,例如:對網絡通信協議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網絡服務器,因為網絡最初對用戶的使用并沒有提供任何的技術約束。
二、企業網絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協議、沒有TCP/IP連接,沒有應用連接、沒有包轉發,只有文件“擺渡”,對固態介質只有讀和寫兩個命令。其結果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網絡信息安全隔離網閘。
(二)網絡系統安全解決方案。網絡應用服務器的操作系統選擇是一個很重要的部分,網絡操作系統的穩定性和安全性能決定了服務器的性能。網絡操作系統的系統軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現有的企業網絡安全防護體系中,大部分企業都部署了防火墻對企業進行保護。但是傳統防火墻設備有其自身的缺點。如果操作系統由于自身的漏洞也有可能帶來較大的安全風險。根據企業網絡的實際應用情況,對網絡環境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監控和防護。在這一區域部署入侵檢測系統,這樣可以充分發揮IDS的優勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優勢,則可以大大提升動態防護的效果。
(四)安全管理解決方案。信息系統安全管理機構是負責信息安全日常事務工作的,應按照國家信息系統安全的有關法律、法規、制度、規范建立和健全有關的安全策略和安全目標,結合自身信息系統的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(即內網)系統安全管理機構主要實現以下職能:
1.建立和健全本系統的系統安全操作規程。
2.確定信息安全各崗位人員的職責和權限,實行相互授權、相互牽連,建立崗位責任制。
3.審議并通過安全規劃,年度安全報告,有關安全的宣傳、教育、培訓計劃。
第7篇:企業網絡安全建設范文
關鍵詞:網絡安全;主要問題;原因分析;措施;意義
中圖分類號:TP393 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一、企業網絡安全存在的主要問題
(一)內部網絡存在的主要問題
企業內部人員對信息網絡形成的威脅,肆意破壞信息系統,有意或者無意泄密,非授權人員有意竊取機密信息,病毒的破壞作用,而其也是不容忽視的,它會影響計算機系統的正常運行,是影響企業內部網絡安全的最主要的因素;另一方面因為企業內部網絡是一個極其特殊的網絡環境,隨著企業內部網絡的規模的不斷擴大與發展,很多企業基本上實現了科室辦公上網,這同時也伴隨著一定的問題,內部網絡的監管與控制更加困難;除此之外,企業的內部規章制度還不夠完善,不能夠有效的約束和規范領導和員工上網的行為,從而存在一定的安全隱患。
(二)與外部互聯網的連接存在的安全隱患
與外部互聯網聯接時會遭到外部網絡的攻擊,來自外部互聯網絡的安全威脅主要是在進行某些業務時,要與外部互聯網絡進行某些連接,連接集中在存有安全威脅的外部互聯網絡的數據上,因為沒有一定的防護設施,內部的網絡會很容易被訪問,內部的整個網絡系統就會被攻擊,另一方面,企業工作人員經常需要出差,在出差在外時與企業的連接,這種連接就使得企業的內部網絡非常容易受到來自因特網的攻擊。
(三)因網絡黑客攻擊而造成資料的泄密
黑客肆意妄為,破壞的手段也越來越多樣化。企業的內部資料對于整個企業經營來說相當重要,因為它關系到整個企業的生死存完,一旦泄露定會給企業造成一定甚至是巨大的損失,在不同的環境中使用加密技術來實現對網絡信息的保護,存在一定的局限性,雖然訪問控制技術在某種程度上能夠控制其傳播的范圍和信息的使用,然而當業務的效率和控制發生沖突時,企業存放的信息的安全隱患定會迅速暴露,就會因網絡黑客攻擊而造成資料的泄密。
(四)網絡癱瘓
一般情況就是網絡崩潰了,導致整體無法訪問,例如廣播風暴,網絡環路,除此之外就是因為設備出的問題,例如某臺電腦的交換壞了,也會影響到整個企業的網絡系統,還有ARP病毒攻擊造成網絡的癱瘓,黑客會針對弊端攻擊操作系統,讓計算機網絡系統尤其是服務器的系統立即癱瘓;也會通過控制企業網絡系統,內部網絡系統就會被攻擊,讓電腦的主機沒有辦法進行相關工作,系統和整個網絡就有癱瘓的可能。
二、存在問題的原因分析
企業的網絡要能夠正常的進行,就必須保證企業的網絡是安全的,企業網絡安全不僅要求其單點是安全的,其整個信息網絡也必須是安全的,這就要從各個方面對網絡加強防護措施,確保其能正常運行,才能達到維護企業網絡安全的效果。為了確保整個網絡系統的安全,最重要的是要明白那些安全隱患是如何產生的,從哪里來。網絡安全涉及到管理方面和技術方面,包括其網絡層,管理層,系統層上等各種風險,只要任何一個方面出現問題,安全隱患問題就會很快暴露出來,而這些安全隱患問題都會造成企業的整個網絡無法正常工作,下面我根據企業網絡的基本情況,從網絡系統的各方面進行系統地分析。
(一)操作系統存在的相關安全風險分析
電腦的系統安全的含義是指電腦的整個操作系統是安全的。操作系統是以能使電腦正常工作為出發點,很少考慮到了安全性的問題。因此在安裝操作系統的時候存在很多缺省的選項,這必然會存在一定的風險。而又安裝了一些沒有什么作用的模塊,這樣不該開放的端口也會處于開放的狀態,安全問題自然就會馬上暴露出來,然而目前電腦的整個操作系統現在并不完善,現有的操作系統不管是UNIX還是Windows的操作系統或是其他的一些應用系統,一定會將后門運用到系統上。任何事物都不會是完美的,操作系統也一樣,它也存在一定的安全隱患,運用后門就會存在很大的風險問題。而操作系統的安全度和相關的配置及系統的相關應用都有著密切的聯系,一旦缺少了好的適合操作系統的安全設備,就會導致一系列的安全問題,就很容易被不法分子攻擊。
(二)網絡結構的安全風險分析
1.企業內部網絡的安全威脅
根據有關的調查顯示,網絡中存在安全隱患主要是因為內部網絡遭到攻擊目,而會讓企業內部網絡有安全隱患,主要是因為企業員工的泄密,故意亂用企業的重要信息資料,通過各種途徑將企業信息傳播給他人。
2.外部互聯網的威脅
企業的網絡與外部網絡有互連。由于企業的整個網絡覆蓋的面積很廣,范圍也大,其內部網絡就會面臨著更大更多的風險,一些不法分子會想方設法進到企業網絡的相關節點。員工主機上及網絡系統中的辦公系統都會有一些被泄漏的信息資料。無論企業內部網絡哪個電腦受到了損害,存在安全問題,企業的其他的很多系統就會受到一定程度的影響,經過不斷的傳播,連接到本網絡的任何其他單位的整個網絡系統也都會被影響,如果外部連接和內部的連接之間沒有實行一些安全保護措施,內部網絡就會很容易受到來自外網某些居心叵測的入侵者攻擊。
3.企業網絡的設備存在的安全隱患
企業網絡的所有設備由防火墻,路由器和交換機等組成,這些設備很重要,因為其都有著復雜的設置程序,即使在被誤解和忽略的情況下也能使用,但卻沒有安全保障,它的安全性很低。
第8篇:企業網絡安全建設范文
關鍵詞: 企業;網絡信息安全;威脅;管理對策
1 網絡信息安全管理內涵闡述
隨著計算機網絡技術的飛速發展,企業網絡化管理成為當今世界經濟和社會發展的趨勢與主流。在網絡化背景下,企業不僅能夠方便快捷地進行信息共享、信息交流與信息服務,而且極大地提高了工作效率,創造了經濟效益,增加了在激勵市場競爭中的核心競爭力。然而,凡事有利則有弊,網絡技術也不例外,網絡化給企業帶來巨大利益的同時,網絡信息安全問題也成為眾多企業十分頭痛的問題。如何解決常見網絡問題,消除網絡安全隱患,嚴堵安全漏洞,確保企業計算機網絡及信息的安全,從而來確保油田企業生產、科研等工作正確開展,已成為油田企業亟待解決的重要課題。
言及此,筆者覺得十分有必要對網絡信息安全管理的內涵,進行再分析與闡述。一直以來,許多企業,談及網絡信息安全管理,大多認為就是技術層面的工作,如防黑客攻擊、反病毒侵蝕、堵系統安全漏洞等專業技術問題。其實維護網站安全工作,應不止于此。網絡環境下的信息安全不僅涉及到數據加密、防黑客、反病毒、控制入網訪問、防火墻升級技術等專業技術問題,更應該涉及法律政策問題和制度管理問題。不少企業,往往重視升級硬件、技術防范,卻忽視安全管理問題,特別是人員管理、制度管理。其中,安全技術與安全管理齊頭并進,兩手共抓才是企業網絡信息安全致勝的法寶,技術問題是基礎與保障,而安全管理則是信息安全更強大的方式手段。
2 “兩手抓,兩手都要硬”加強企業網絡信息安全管理對策
2.1 高度重視網絡管理制度層面工作
油田企業是科研性單位,許多科技數據、技術數據等對企業生存發展來說至關重要,如錄井技術就是油氣勘探開發活動中最基本的技術,是發現、評估油氣藏最及時、最直接的手段,因而石油勘探企業網絡安全管理問題更是不容忽視,網絡上的任何一個小漏洞,都會導致全網的安全問題,給企業造成不可估量的損失。
首先,我們必須在企業內部制定嚴格并切實可行的網絡安全管理規章制度,企業主管領導應當高度重視,建立內部安全管理制度,如出入機房制度、機房管理制度、設備管理維護制度、崗位責任制、操作安全管理制度、病毒防范制度、應急處理制度等。還要定期對制度落實情況進行例行檢查與抽查,重在落實,避免流于形式。確保通過制度能夠做到業務計算機專門使用,業務系統與其他信息系統充分隔離,企業局域網與互聯的其他網絡充分隔離。充分降低安全風險。其次,要提高員工的網絡安全意識。加強對使用人員的安全知識教育與培訓,組織員工學習熟悉《中國信息系統安全保護條例》、《算機信息網絡國際聯網安全保護管理辦法》等條例,增強相關法律知識,信息安全意識,堅持杜絕員工在工作時間內利用企業工作電腦訪問與業務無關的網站,尤其是開展聊天、游戲、電影、下載、購物等娛樂活動,避免企業內部的文件以及數據甚至機密資料被盜現象。使用中不要隨意使用自帶光盤、移動硬盤與U盤等存儲設備,避免傳染病毒等。再次,通過學習培訓增強網站管理人員的技術水平與能力。管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估,以便隨意采取相關措施,有應對突發風險的能力,并通過訪問控制、升級防火墻、漏洞檢測、病毒查殺、入侵檢測等技術,做好日常網站的安全維護工作。
2.2 重視加強網絡安全技術層面工作
目前網絡安全技術工作,早已從操作系統維護、簡單的病毒防范發展到防止黑客惡意進攻,防范蠕蟲、木馬程序等種類多樣的網絡病毒以及變種等諸多工作,表現在高水平防御體系的建構上。
俗話說:病從口入。首先,要做好訪問控制管理,這就是抓好源頭工作。特別是核心技術、重要數據的共享網站,一定要做到對入網訪問控制和網絡資源的訪問控制,可實施有效的用戶口令和訪問賬號密碼,避免用戶非法訪問。此外口令、密碼的設置上應盡量長一些復雜一些,數字字母相結合。如目前實用的USBKEY認證方法也是一種較可靠的方法,出現調離或者解雇員工,應該立即對其的網絡賬號進行清除,避免非法登陸,泄露企業信息。其次,通過防火墻、入侵檢測、網絡安全防漏洞、數據加密傳輸、防殺病毒等全方面的技術工作,保證企業網絡信息的安全。如在防火墻設置原則上,保證實施合理有效的安全過濾原則,嚴格控制外網用戶非法訪問,確保經過精心選擇的應用協議才能通過防火墻,使用網絡防病毒軟件,建立起企業整體防病毒體系,盡可能企業內部一些重要的資料或者核心數據進行加密傳輸與加密儲存,這些一系列的工作可讓網絡環境變得更安全。
當然,網絡安全管理工作是一項長期而細致艱辛的工作,不可能一蹴而就,也不能無所進步,隨著信息技術的快速發展,對信息安全技術、網絡安全管理工作的要求也會隨之增高,今后企業信息安全技術、管理工作應該繼續跟蹤、學習國內外最先進的知識經驗,努力提高企業信息安全管理技術水平。
參考文獻:
[1]由媛,淺談企業網絡信息安全[J].電腦知識與技術,2012(02):1057-1058.
第9篇:企業網絡安全建設范文
工信部前不久,中國電子商務市場規模約為3萬億人民幣,同比增長41.7%。面對金融危機引發的困境,中小企業紛紛致力于降低成本與提高效率,通過各種渠道發展自己,而基于互聯網絡的電子商務便是一條佳徑。
電子商務顯然為我國中小企業帶來了發展契機:他們可以在網絡上推廣業務,獲得新客戶并節省開支,他們只需花費少量的錢,就可以與大型企業同“臺”競爭。
在互聯網迅猛發展與普及的當下,諸多中小企業紛紛在互聯網上建立了自己的網站,意圖向全中國乃至世界范圍內的網絡用戶展示自己的企業風采,讓更多人了解自己的企業,使企業能夠在公眾知名度上得到盡可能多的提升。很多企業還通過網站進行企業的內部管理,搭建交易平臺,大舉開展網站建設活動。
當網站建設對于企業日益重要,如何提高網站的安全性能,抵抗非法入侵和破壞,避免信息泄漏等問題的緊迫性凸顯出來,網絡安全問題無疑已成為目前網站建設中至為關鍵的一環。
網絡安全出了問題,將會給消費者帶來或多或少的財產損失,而對企業來說,則常常意味著更嚴重的損失,如品牌形象受損、消費者信心下降,以及長久難以恢復的用戶信賴度等等。要知道,企業與網上客戶建立信任耗時長久,而且困難重重,可失去信任卻往往是轉瞬之間的事情。一旦這份信任因網絡安全問題而受到損害,想要補救就難了。
有數據顯示,2009年僅上半年被掛馬的網頁數量就突破2億,平均每天都會有數百萬計的網民瀏覽過被掛馬的網站,從個人網站到企業網站,從政府網站到流行軟件,無不深受其害,通過攻擊服務器破壞網絡穩定造成大范圍斷網的惡性事件也時有發生。
還有一點值得注意,除了外來侵害,一些中小網站本身也侵犯著消費者的隱私安全。比如,網民在某個社交網站注冊個人資料之后,很容易遭遇手機號泄露、MSN和郵箱賬號密碼被盜用等諸多安全風險,甚至一些社交網站利用網民個人資料牟利。
據媒體報道,目前包括Myspace賬號、Facebook賬號在內的不少國外社交網站的資料,都可以在黑市上買到,單個賬戶的價格根據活躍等級、完善程度從幾美分到幾美元不等。
如今,不論對中小網站還是消費者來說,網絡安全顯然是一個亟待解決的問題。有人指出,網絡安全問題的出現,大都源自中小網站自身的“幾宗罪”。
大多數該類網站在設計之時,只考慮如何滿足用戶正常穩定使用,卻對應用開發過程中存有的安全隱患孰視無睹。這些漏洞在正常使用中不會給用戶帶來不便,卻是對漏洞有著敏銳嗅覺的黑客施展拳腳的最佳場地。
網站防御措施過于落后,甚至沒有真正的防御。大多數網站的防御系統都只是基于特征識別的防御或內容過濾技術,而對于特征不固定的攻擊則往往束手無策。因此,常常是黑客入侵后,未被網站及時發現。很多網站甚至被掛木馬數月仍未察覺,這難防的暗箭著實讓網站成了木偶玩具。
