前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)的網絡安全主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:企業(yè)網絡 安全管理 維護
中圖分類號:TN915.08 文獻標識碼:A 文章編號:1672-3791(2012)12(a)-0024-01
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。逐漸地使經營管理對計算機應用系統(tǒng)依賴性增強,計算機應用系統(tǒng)對網絡依賴性增強。然而,網絡的安全是伴隨著網絡的產生而產生,可以說,有網絡的地方就存在網絡安全隱患。如病毒入侵和黑客攻擊之類的網絡安全事件,速度之快,范圍之廣,已眾所周知。企業(yè)為阻止惡意軟件入侵攻擊、防止非法用戶通過網絡訪問和操作、防止用戶郵件被非法截取或篡改等采取的安全措施,既保證企業(yè)數據安全、網絡系統(tǒng)運行穩(wěn)定,又防止非法入侵等問題才是企業(yè)網絡安全管理的重要內容。
1 威脅信息安全的主要因素
1.1 軟件的內在缺陷
這些缺陷不僅直接造成系統(tǒng)宕機,還會提供一些人為的惡意攻擊機會。對于某些操作系統(tǒng),相當比例的惡意攻擊就是利用操作系統(tǒng)缺陷設計和展開的,一些病毒、木馬也是盯住其破綻興風作浪,由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統(tǒng)的故障,降低系統(tǒng)安全性能。
1.2 惡意攻擊
攻擊的種類有多種,有的是對硬件設施的干擾或破壞,有的是對應用程序的攻擊,有的是對數據的攻擊。對硬件設施的攻擊,可能會造成一次性或永久性故障或損壞。對應用程序的攻擊會導致系統(tǒng)運行效率的下降,嚴重的會導致應用異常甚至中斷。對數據的攻擊可破壞數據的有效性和完整性,也可能導致敏感數據的泄漏、濫用[1]。
1.3 管理不善
許多企業(yè)網絡都存在重建設、重技術、輕管理的傾向。實踐證明,安全管理制度不完善、人員安全風險意識薄弱,是網絡風險的重要原因之一。比如,網絡管理員配備不當、企業(yè)員工安全意識不強、用戶口令設置不合理等[2],都會給信息安全帶來嚴重威脅。
1.4 網絡病毒的肆虐
只要上網便避免不了的受到病毒的侵襲。一旦沾染病毒,就會通過各種途徑大面積傳播病毒,就會造成企業(yè)的網絡性能急劇下降,還會造成很多重要數據的丟失,給企業(yè)帶來巨大的損失。
1.5 自然災害
對計算機信息系統(tǒng)安全構成嚴重威脅的災害主要有雷電、鼠害、火災、水災、地震等各種自然災害。此外,停電、盜竊、違章施工也對計算機信息系統(tǒng)安全構成現實威脅。
2 完善網絡信息安全的管理機制
2.1 規(guī)范制度化企業(yè)網絡安全管理
網絡和信息安全管理真正納入安全生產管理體系,并能夠得到有效運作,就必須使這項工作制度化、規(guī)范化。要在企業(yè)網絡與信息安全管理工作中融入安全管理的思想,制定出相應的管理制度。
2.2 規(guī)范企業(yè)網絡管理員的行為
企業(yè)內部網絡安全崗位的工作人員要周期性進行輪換工作,在公司條件允許的情況下,可以每項工作指派2~3人共同參與,形成制約機制。網絡管理員每天都要認真查看日志,通過日志來發(fā)現有無外來人員攻擊公司內部網絡,以便及時應對,采取相應措施。
2.3 規(guī)范企業(yè)員工的上網行為
目前,琳瑯滿目的網站及廣告鋪天蓋地,鼠標一點,就非常有可能進入非法網頁,普通電腦用戶無法分辯,這就需要我們網管人員對網站進行過濾,配置相應的策略,為企業(yè)提供健康的安全上網環(huán)境。為此,企業(yè)要制定規(guī)范,規(guī)定員工的上網行為,如免費軟件、共享軟件等沒有充分安全保證的情況下盡量不要安裝,同時,還要培養(yǎng)企業(yè)員工的網絡安全意識,注意移動硬件病毒的防范和查殺的問題,增強計算機保護方面的知識。
2.4 加強企業(yè)員工的網絡安全培訓
企業(yè)網絡安全的培訓大致可以包括理論培訓、產品培訓、業(yè)務培訓等。通過培訓可以有效解決企業(yè)的網絡安全問題,同時,還能減少企業(yè)進行網絡安全修護的費用。
3 提高企業(yè)網絡安全的維護的措施
3. 1病毒的防范
在網絡環(huán)境下,病毒的傳播性、破壞性及其變種能力都遠遠強于過去,鑒于“熊貓燒香”、“灰鴿子”、“機器狗”等病毒給太多的企業(yè)造成嚴重的損失,慘痛的教訓告誡我們,選用一款適合于企業(yè)網的網絡版防病毒產品,是最有效的方法。網絡版的產品具備統(tǒng)一管理、統(tǒng)一升級、遠程維護、統(tǒng)一查殺、協(xié)助查殺等多種單機版不具備的功能。有效緩解系統(tǒng)管理員在網絡防病毒方面的壓力。
3.2 合理配置防火墻
利用防火墻,在網絡通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻的配置需要網絡管理員對本單位網絡有較深程度的了解,在保證性能及可用性的基礎上,制定出與本單位實際應用較一致的防火墻策略。
3.3 配置專業(yè)的網絡安全管理工具
這種類型的工具包括入侵檢測系統(tǒng)、Web,Email,BBS的安全監(jiān)測系統(tǒng)、漏洞掃描系統(tǒng)等。這些系統(tǒng)的配備,可以讓系統(tǒng)管理員能夠集中處理網絡中發(fā)生的各類安全事件,更高效、快捷的解決網絡中的安全問題。
3.4 提高使用人員的網絡安全意識和配備相關技術人員
企業(yè)網絡漏洞最多的機器往往不是服務器等專業(yè)設備,而是用戶的終端機。因此,加強計算機系統(tǒng)使用人員的安全意識及相關技術是最有效,但也是最難執(zhí)行的方面。這需要在企業(yè)信息管理專業(yè)人員,在終端使用人員網絡安全技術培訓、網絡安全意識宣傳等方面多下功夫。
3.5 保管數據安全
企業(yè)數據的安全是安全管理的重要環(huán)節(jié)。特別是近年來,隨著企業(yè)網絡系統(tǒng)的不斷完善,各專業(yè)應用如財務、人事、營銷、生產、OA、物資等方方面面均已進入信息系統(tǒng)的管理范圍。系統(tǒng)數據一旦發(fā)生損壞與丟失,給企業(yè)帶來的影響是不可估計的。任何硬件及軟件的防范都僅能提高系統(tǒng)可靠性,而不能杜絕系統(tǒng)災難。在這種情況下,合理地制定系統(tǒng)數據保護策略,購置相應設備,做好數據備份與系統(tǒng)災難的恢復預案,做好恢復預案的演練,是最有效的手段。
3.6 合理規(guī)劃網絡結構
合理規(guī)劃網絡結構,可使用物理隔離裝置將重要的系統(tǒng)與常規(guī)網絡隔離開來,是保障重要系統(tǒng)安全穩(wěn)定的最有效手段。
4 結語
總而言之,企業(yè)網絡系統(tǒng)的安全防護是一項長期以來極具挑戰(zhàn)性的課題。它的發(fā)展往往伴隨著網絡技術的發(fā)展其自身也在不斷的更新和調整。信息安全是一個企業(yè)賴以生存的基礎保障,只有信息安全得到保障,企業(yè)的網絡系統(tǒng)才有其存在的價值。網絡安全是一項系統(tǒng)的工程,需要我們綜合考慮很多實際的需求問題,靈活運用各種網絡安全技術才能組建一個高效、穩(wěn)定、安全的企業(yè)網絡系統(tǒng)。
參考文獻
關鍵詞:企業(yè)網 網絡安全 安全體系 入侵檢測 病毒防護
隨著互聯(lián)網技術的發(fā)展,在企業(yè)中運用計算機網絡進行各項工作更加的深入和普及,通過企業(yè)網絡向師生提供高效、優(yōu)質、規(guī)范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業(yè)網絡自身的特點,使安全問題在企業(yè)網絡的運行與管理中格外突出,研究構建、完善基于企業(yè)網的信息安全體系,對企業(yè)網安全問題的解決具有重要意義。
一、企業(yè)網絡安全風險狀況概述
企業(yè)網絡是在企業(yè)范圍內,在一定的思想和理論指導下,為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網絡。隨著我國各地企業(yè)網數量的迅速增加,如何實現企業(yè)網之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網絡安全的要求是越來越強烈。與其它網絡一樣,企業(yè)網也同樣面臨著各種各樣的網絡安全問題。但是在企業(yè)網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規(guī)模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業(yè)網絡在企業(yè)的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業(yè)網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業(yè)網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業(yè)務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業(yè)網絡安全體系結構的設計與構建
網絡安全系統(tǒng)的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網絡安全的動態(tài)防護體系,是動態(tài)加靜態(tài)的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業(yè)網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統(tǒng)、全面的網絡安全結構體系。
(一)企業(yè)網絡安全系統(tǒng)設計目標
企業(yè)網絡系統(tǒng)安全設計的目標是使在企業(yè)網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態(tài)。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態(tài)。
(二) 企業(yè)網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統(tǒng)設計。在互聯(lián)網與企業(yè)網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,是為不信任系統(tǒng)提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業(yè)網,外網口通過電信網絡與互聯(lián)網連接。
3.入侵檢測系統(tǒng)的設計和部署。入侵檢測系統(tǒng)主要檢測對網絡系統(tǒng)各主要運營環(huán)節(jié)的實時入侵,在企業(yè)網網絡與互聯(lián)網之間設置瑞星RIDS一100入侵檢測系統(tǒng),與防火墻并行的接入網絡中,監(jiān)測來自互聯(lián)網、企業(yè)網內部的攻擊行為。發(fā)現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業(yè)網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業(yè)網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規(guī)劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統(tǒng)自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業(yè)網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態(tài)調整安全策略
第三階段:后續(xù)動態(tài)的安全系統(tǒng)調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。
在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業(yè)網的特點,依據設計、構建的企業(yè)網絡安全體系,成功構建了如圖4-1的企業(yè)網絡安全解決方案,對本研究設計、構建的企業(yè)網絡安全體系的實踐應用具有重要的指導意義。
圖4-1 企業(yè)網絡安全體系應用解決方案
結 語
本文通過對企業(yè)網絡特點及所面臨的安全風險分析,從網絡安全系統(tǒng)策略與設計目標的確立出發(fā),依據企業(yè)網絡安全策略設計,構建相對比較全面的企業(yè)網絡安全體系,并參照設計、構建的企業(yè)網絡安全體系,給出了一個較全面的企業(yè)網絡安全解決方案。對促進當前我國企業(yè)網絡普遍應用情況下,企業(yè)網絡安全問題的解決,具有重要意義。
參考文獻:
[1]方杰,許峰,黃皓.一種優(yōu)化入侵檢測系統(tǒng)的方案[J.]計算機應用,2005,(01).
[2]李瑩.小型分布式入侵檢測系統(tǒng)的構建[J].安陽工學院學報,2005,(06).
關鍵詞 內部;計算機網絡;安全研究
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)13-0122-01
內部計算機網絡安全主要是涉及到計算機的軟、硬件系統(tǒng)的安全,同時還包括計算機內部一些保密數據和信息的安全。計算機網絡在運行過程中,會接觸到各種各樣的人員、數據和信息,同時還要對計算機發(fā)出的復雜功能指令進行有效地執(zhí)行。在這一系列的工作中,很容易出現一些問題,再加上外界對該計算機系統(tǒng)的攻擊和破壞,這些方面都嚴重地削弱了內部計算機網絡的安全性能。如何保證計算機網絡的安全,確保網絡信息的安全性、保密性和實用性,這是一個值得深入思考的問題。有關人員要集中精力來解決這一難題,可以通過對內部計算機網絡的運行規(guī)律和特點,再結合一些安全漏洞制定一些行之有效的解決方案。
1 內部計算機網絡安全存在的一些問題
內部計算機網絡主要是有數據庫、網絡技術、操作系統(tǒng)這三個模塊構成,每個方面發(fā)揮著各自作用,使內部計算機網絡功能得到充分發(fā)揮。但這些方面若是出現一些操作性失誤、或是運行不良,都會給整個的內部計算機網絡安全造成威脅。因此,要對這些方面存在的問題進行嚴格控制。
1.1 在數據庫方面存在的安全問題
數據庫是一個存儲各類數據的系統(tǒng),不具備對數據庫內的信息性質和內容識別功能。因此,容易造成一些不健康甚至是違法的信息和內容進入到數據庫中。這些信息很有可能會攜帶著一些網絡病毒甚至是木馬程序等,這給數據庫的安全造成巨大安全隱患。數據庫的設計人員在對數據庫進行編程的過程中,安全意識淡薄,未能將所有的資料和信息考慮進編程中去,沒有對編程過程中出現的問題進行及時糾正。
1.2 在網絡技術方面存在的安全問題
在網絡技術方面同樣的存在一些問題,這些問題嚴重影響著內部計算機網絡的安全。網絡技術支撐著計算機網絡的運行,若是這項技術在設計環(huán)節(jié)、運行環(huán)節(jié)中出現一點紕漏,都會導致計算機網絡的正常運行受阻。當對內部計算機網絡進行升級時,網絡技術未能找到升級環(huán)節(jié)的切入點,又或者是相關人員將網絡技術應用到相反的方向中去。以上這些操作性失誤,增加了外界入侵計算機內部網絡系統(tǒng)的風險。
1.3 在操作系統(tǒng)方面存在的安全問題
計算機內部網絡的正常運行離不開操作系統(tǒng)這一軟件的大力支持。因為操作系統(tǒng)是所有計算機網絡運行的基礎,只有當操作系統(tǒng)工作時,才能過將一些指令進行轉化。但若是操作系統(tǒng)自身功能存在一些漏洞,這就很容易地給整個計算機網絡帶來嚴重后果。例如操作系統(tǒng)在設計環(huán)節(jié)出現一些小紕漏,或是在程序輸入過程中,對一些程序數據輸入不當,又或者是操作系統(tǒng)在安裝過程中沒有嚴格地遵照有關指示和要求來操作等一些方面的小問題,這些操作系統(tǒng)中潛藏著的問題都有可能成為黑客攻擊的目標,進而導致整個計算機網絡陷入癱瘓狀態(tài)之中。
2 內部計算機網絡安全完善和維護措施
為確保內部計算機網絡安全,對內部計算機網絡進行相應的完善和維護是非常有必要的一項工作。這些維護和完善工作也不是盲目和無目的地執(zhí)行,必須做到有的放矢。因此,在制定對內部計算機網絡安全的完善和維護措施時,必須對存在其中的安全問題進行熟練掌握,然后再根據每個問題的形成原因和存在特點制定相應的解決措施。只有堅持這種做法,才能夠將影響內部計算機網絡安全的因素徹底清除。
2.1 在運行計算機網絡時,要增強網絡安全意識
改善和維護內部計算機網絡的安全問題,所有使用計算機的人員必須形成一種強烈的網絡安全意識,這樣不管是網絡的設計人員,還是計算機的使用者都會更加仔細、認真地對待這一事物。宣傳教育是加強有關人員網絡安全意識的一個有效途徑,通過不斷灌輸網絡安全知識,這些人員會在潛移默化中形成網絡安全意識。此外,還可以在進行計算機專業(yè)知識培訓的過程中,提高管理人員和技術人員的專業(yè)技術水平。將一些加密技術應用到計算機的設計中去,避免因操作失誤而導致信息泄等重大事故的發(fā)生。
2.2 完善相關規(guī)章制度,嚴格控制網絡的使用
從事計算機內部網絡安全工作的人員只有按照科學的規(guī)章制度工作,才能保證工作的質量,進而確保內部計算機網絡的安全。此外,為確保網絡的安全,對網絡的使用情況進行有效的控制,同樣是非常有必要。在制定規(guī)章制度時,要本著嚴謹、科學的態(tài)度來對待。通過對計算機網絡的工作流程進行調查和分析,再根據員工的素質和專業(yè)水平,制定相應的規(guī)章制度,在規(guī)章制度定制成功后,要求員工嚴格遵守所制定的規(guī)章制度,對違反制度的人員要進行嚴格懲處。在對網絡的適用情況進行管理時,要特別嚴格和仔細。對用戶的來源、用戶的資料進行仔細審查。
2.3 加強對計算機網系統(tǒng)的安全性設置
計算機網絡的安全性設置主要體現在對計算機網絡的設計環(huán)節(jié)中。具體來講,主要是對用戶安全的設置和密碼安全的設置兩個方面。用戶安全設置主要內容為定期要求用戶對用戶名進行更換,對一些不必要的用戶進行刪除,對Guest這類賬號要嚴格限制其使用,要及時地將系統(tǒng)Administrator賬號進行更換,以防計算機系統(tǒng)數據被竊取或篡改。另外對于密碼安全的設置主要體現在:①提高密碼的安全系數,最好不要采用公司名稱、生日、個人名字等一些簡單容易猜到的內容來設置密碼;②要對電腦屏幕設置密碼,以防工作電腦被他人偷窺,導致數據丟失。
3 結束語
如今國家間的聯(lián)系日益密切,科技競爭也越來越激烈。如何確保內部計算機網絡安全,將會對個人、企業(yè)、國家產生重大影響。為確保社會各界的生產生活能夠順利進行,必須對影響計算機內部安全的因素進行深入分析,再制定相應的解決措施來有效解決這一難題。
參考文獻
[1]楊飛.小議企業(yè)內部計算機網絡安全存在問題與完善措施[J].中國電子商務,2012(2):5-7.
[2]馬向華.企業(yè)內部網絡安全技術的探討與實踐[J].中國科技信息,2009(12):14-116.
關鍵詞:企業(yè)辦公網絡;網絡安全;影響因素;防范措施
中圖分類號:TP393.08
1 辦公自動化的概念及其網絡特點
辦公自動化(Office Automation,簡稱OA)是利用現代通信技術、辦公自動化設備和電子計算機系統(tǒng)或工作站來實現事務處理、信息管理和決策支持的綜合自動化。實現辦公自動化的系統(tǒng)(OA系統(tǒng))是建立在計算機網絡基礎上的一種分布式信息處理系統(tǒng),所以又稱辦公信息系統(tǒng)。
隨著信息時代的發(fā)展,為了達到提高辦公效率以及實現無紙化辦公等節(jié)能增效目標,當前企業(yè)基本都建立起了自己企業(yè)內部的辦公自動化網絡。企業(yè)的辦公自動化網絡通常都具有復雜的網絡拓撲結構和廣泛的地域覆蓋范圍,使用辦公網絡的人員分布于企業(yè)的各個層面,有機關部室人員也有基層作業(yè)人員,且年齡跨度大,既人員眾多,又素質參差不齊。辦公網絡一般都是生產網絡尤其是IT系統(tǒng)的物理載體,其承載的數據與企業(yè)生產的安全平穩(wěn)緊密相關,這就造成企業(yè)對網絡的依賴程度和對網絡安全的要求很高。辦公網絡往往還與互聯(lián)網有不同程度的連接,其安全會受到來自互聯(lián)網上更多的威脅。
2 影響網絡安全的因素
2.1 病毒感染與傳播。計算機病毒是影響網絡安全最主要的因素之一。計算機病毒是一種人為設計的特殊的寄生性計算機程序。這種程序一旦運行就可以自我復制,使自身從一個程序擴散到另一個程序,從一個計算機系統(tǒng)進入到另一個計算機系統(tǒng)并在一定條件下對計算機進行破壞,使計算機系統(tǒng)不能正常工作。通常具有如下危害:破壞系統(tǒng),使系統(tǒng)崩潰,不能正常運轉;破壞數據造成數據丟失;使你的電腦變的很慢;盜取你的數據信息如照片、密碼、個人信息等;造成網絡賭賽。計算機病毒具有很強的隱蔽性、感染性和極高的傳播效率,新病毒及其變種產生的速度讓很多殺毒軟件防不勝防,是當前最主要的影響網絡安全的因素之一。
2.2 黑客入侵。大型企業(yè)辦公網絡根據企業(yè)工作性質與互聯(lián)網都有著或多或少的連接,只要有連接就不能完全排除黑客入侵的可能性。由于操作系統(tǒng)、通信協(xié)議、各類應用軟件均不同程度的存在安全漏洞或安全缺陷,這都使黑客有了可乘之機,一旦遭遇入侵,整個內部網絡將遭遇巨大的風險,很有可能造成數據、信息的篡改、毀壞,甚至全部丟失,導致系統(tǒng)崩潰、業(yè)務癱瘓,后果不堪設想。
2.3 設備軟硬件故障。企業(yè)的辦公網絡系統(tǒng)均是由服務器、路由器、交換機以及光纜、雙絞線、同軸電纜等硬件設備以及操作系統(tǒng)、應用軟件等組成,任何一個環(huán)節(jié)出現故障都有可能造成網絡通信的阻斷以及系統(tǒng)的不能正常運轉,都會給企業(yè)的正常辦公造成影響。
2.4 人員操作不當或災難造成數據損壞或丟失。由于員工的素質參差不齊,在企業(yè)辦公自動化系統(tǒng)使用中經常會出現由于員工操作不當造成的數據損壞或丟失,甚至造成硬件設備的損壞。同時由于洪澇、地震等不可抗拒的自然災害也會造成系統(tǒng)軟硬件的破壞,無論是數據的丟失還是硬件設備的損壞都會對企業(yè)的運營造成嚴重的干擾和巨大的經濟損失。
3 安全防范措施
3.1 與互聯(lián)網設置隔離。通過路由器和防火墻在企業(yè)內部辦公網絡和外部互聯(lián)網之間,設置物理隔離,以實現內外網的隔離是保護辦公自動化網絡安全的最主要、同時也是最有效、最經濟的措施之一。
3.2 優(yōu)化網絡結構。主要是根據企業(yè)組織架構或地理位置等情況將企業(yè)辦公網絡劃分成許多相互獨立的子網,并在子網間的路由器、防火墻等網絡設備上設置特定的訪問規(guī)則,按照管理要求約束各子網之間的訪問權限,這樣就可以降低不同部門或區(qū)域網絡間的互相影響,減少木馬、病毒等的擴散范圍和傳播速度,同時能避免非法用戶對敏感數據的訪問。通過對網絡結構進行優(yōu)化和調整可以有效的降低企業(yè)辦公網絡的安全風險,提高網絡的穩(wěn)定性。
3.3 VLAN(虛擬局域網)技術。選擇VLAN技術可較好地從鏈路層實施網絡安全保障。VLAN指通過交換設備在網絡物理拓撲結構基礎上建立一個邏輯網絡,它依據用戶的邏輯設定將原來物理上互連的一個局域網劃分為多個虛擬子網,劃分的依據可以是設備所連端口、用戶節(jié)點的MAC地址等。該技術能有效地控制網絡流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息。
3.4 機密數據安全。機密數據不能以明文方式在網絡中傳播,要用高強度加密算法進行加密,然后經由指定的安全渠道傳輸,并且讓盡可能少的人接觸。密鑰的安全管理、及時更換和密鑰分發(fā)方式都是影響加密數據安全的重要因素。
3.5 安全監(jiān)控。安全監(jiān)控技術主要是對入侵行為的及時發(fā)現和反應,利用入侵者留下的痕跡來有效的發(fā)現來自外部或內部的非法入侵;同時能夠對入侵做出及時的響應,包括斷開非法連接、報警等措施。安全監(jiān)控技術以探測和控制為主,起主動防御的作用。
3.6 安全漏洞檢測。安全漏洞檢測技術是指利用已知的攻擊手段對系統(tǒng)進行弱點掃描,以求及時發(fā)現系統(tǒng)漏洞,同時給出漏洞報告,指導系統(tǒng)管理員采用系統(tǒng)軟件升級或關閉相應服務等手段避免遭受攻擊。
3.7 服務器安全。服務器通常既是企業(yè)辦公網絡的服務應用中心又是整個企業(yè)辦公網絡的數據中心,可以說服務器是整個企業(yè)辦公網絡系統(tǒng)的核心,服務器的穩(wěn)定性是至關重要的。為了加強服務器的安全管理,在對服務器的配置過程中,要把握最小服務原則,盡可能的關閉不必要的網絡服務,降低安全風險。并采取主機備份+負載均衡的模式部署,這樣既可提高服務器的響應能力,又增強了數據安全提高服務可用性。同時日常還要做好定期數據備份以及設備硬件檢測維護工作,以應對可能出現的各種數據損壞和提高服務器的穩(wěn)定性和安全性。
3.8 終端安全。終端主要是指各應用客戶端,往往是各種病毒木馬的柄息地和實施攻擊破壞的基地,這就需要對終端操作系統(tǒng)進行必要的安全配置。主要有以下幾種具體手段:(1)關閉不必要的網絡服務,設置符合安全規(guī)范的密碼并定期更換以及禁用Guest用戶等,這樣可以減少病毒攻擊的途徑。(2)配置防火墻僅允許外部訪問本機必要的網絡服務,屏蔽已知流行病毒所使用的端口、IP地址等,減少被木馬攻擊和病毒感染的機會。(3)應該盡可能的關閉網絡共享服務,采取其他方式傳送文件。如果確實需要共享,那就盡可能減少共享內容,并進行嚴格的權限控制。(4)及時更新系統(tǒng)補丁以及安裝并及時升級殺毒軟件。
3.9 數據恢復。任何技術和手段都不能保證辦公網絡數據100%的安全,為了在數據遭到破壞后能盡快的讓系統(tǒng)恢復正常運轉以及最大程度的保證數據安全,這就涉及到了數據恢復技術,通常我們采用最多手段的就是建立數據備份方案。數據備份技術可以在數據遭到破壞時能快速的全盤恢復運行系統(tǒng)所需的數據和系統(tǒng)信息。數據備份方案不僅能在網絡系統(tǒng)硬件故障或人為失誤時起到保護作用,也在非法入侵或網絡攻擊等破壞數據完整性時起到保護作用,同時亦是系統(tǒng)癱瘓、崩潰等災難恢復的前提之一。
4 結束語
隨著網絡技術的不斷發(fā)展,企業(yè)辦公網絡安全問題隨時變化,企業(yè)辦公網絡安全的維護不僅要從技術、設備上采取防范措施,還應當更加重視企業(yè)網絡的安全管理和提高企業(yè)員工的網絡安全意識,這樣才能全面提高企業(yè)辦公網絡的安全性。
參考文獻:
[1]蔡立軍.計算機網絡安全技術.北京:中國水利水電出版社,2002.
關鍵詞:電力企業(yè);局域網;網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2012) 20-0000-02
隨著計算機技術、網絡信息技術的不斷發(fā)展,網絡已經成為各個行業(yè)所必須的技術,隨著網絡的大范圍使用,使生產效率大大提高,促進了經濟的發(fā)展。作為電力企業(yè)而言,對網絡的依賴程度也不斷的加深,但是隨著網絡的迅速普及,一些網絡安全問題也對電力企業(yè)網絡系統(tǒng)帶來嚴峻的挑戰(zhàn)。本文主要根據電力企業(yè)局域網系統(tǒng)中存在的一些安全問題進行分析,闡述影響網絡安全的一些因素,并尋找解決問題的一些措施。
1 網絡中存在不安全因素的原因
由于互聯(lián)網的四通八達,各種資源與信息充斥這整個網絡,目前,隨著網絡的普及,有更多的信息進入到互聯(lián)網中,有對人們有幫助作用的有利信息,也有影響人們正常工作生活的有害信息,因此要最大程度的保證網絡的安全。網絡的安全并不是絕對的,只能最大限度的進行網絡的防范與優(yōu)化,最大程度的抵御各種攻擊侵害,使得網絡在一定程度范圍內處于安全的領域。因為網絡的建設是基于TCP/IP協(xié)議來通信的。而TCP/IP是參照OSI七層模型來形成的。OSI的中文意思是:開放系統(tǒng)互聯(lián)。就是說,網絡從一出生就決定了它的開放性,因此它的先天開放性就決定了它自身存在安全漏洞。局域網也是同樣的,只不過局域網覆蓋的范圍相對較小,但在小范圍,局域網仍舊是一個開放的網絡平臺,其所受到的安全威脅渠道與廣域網的類型是類似的,而危害程度也不亞于廣域網。局域網受到的網絡攻擊類型中,仍然是以木馬危害較多較嚴重,病毒利用局域網在網絡中傳播,對網絡安全造成危害。對于電力企業(yè)而言,局域網的安全性關系到企業(yè)的正常經營與發(fā)展,因此,要對局域網網絡安全嚴格的進行保障。
2 局域網系統(tǒng)攻擊主要類型
2.1 收集信息攻擊。主要是針對特洛伊木馬而言的,是木馬程序攻擊的重要手段,該攻擊手段也是其它攻擊手段的基礎。相對于簡單的端口掃面,系統(tǒng)安全管理員可以察覺到攻擊者的意圖,但是對于隱秘程序而來,檢測起來就非常困難。Sniffer是對網絡連接進行診斷的設計,具有普通網絡分析功能,也可以是硬件和軟件的聯(lián)合形式,可截獲專用信息及秘密信息,對鄰近網絡可以進行攻擊。所以,如果局域網中存在sniffer,會對局域網帶來較大的威脅。
2.2 拒絕服務。這是在局域網中通過Internet協(xié)議妨礙或關閉其它用戶對系統(tǒng)進行訪問的攻擊類型,主要表現為潮水般的連接申請,瞬間使系統(tǒng)崩潰。對于電力企業(yè)局域網而言,這種攻擊類型有限,但是對于一些小的電力部門而言,就可能造成其網絡服務的崩潰。此類攻擊難以截獲,管理人員不容易對其來源查詢。典型的傳播途徑是通過電子郵件完成的。首先,E-mail炸彈,這是一種簡單的侵擾工具。是通過不間斷的重復傳播給收件者相同的信息,通過垃圾信息堵塞用戶個人郵箱,使郵箱癱瘓。采用的工具較多,諸多平臺都對這些應用程序支持,因此攻擊更為簡單,只需要簡單的幾行程序就可以實現攻擊的目的。但其防御也簡單,郵件的收發(fā)都有過濾功能,只需要將源目標地址添加到拒絕列表即可。其次,郵件列表連接。此類攻擊與郵件炸彈類似,是把目標地址同時注冊到多個郵件列表中,使目標郵箱癱瘓。這種攻擊可以手動完成,也可以建立數據庫自動完成。
2.3 電子欺騙。針對FTP、DNS等協(xié)議的攻擊,將用戶的權限進行竊取,隨意進行信息的修改,對用戶帶來較大的危害。IP欺騙,主要是偽造用戶IP地址,這種欺騙技術在互聯(lián)網中成功的不多,由于其要取得欺騙對象的信任才能實施攻擊,但在局域網中,這種信任關系比較容易建立,攻擊也容易實現,對電力企業(yè)局域網絡安全帶來一定的安全隱患。
3 局域網安全系統(tǒng)策略
3.1 人員角色劃分。根據電力企業(yè)的特點,對企業(yè)局域網安全系統(tǒng)要進行有效的管理,首先就需要對系統(tǒng)的管理人員及使用人員的角色進行明確權限劃分,不同的角色具有不同的職責和權限,相互牽制,保障系統(tǒng)整體的安全性。其中對系統(tǒng)的使用主要分為以下幾類人群:第一,決策專家。主要負責電力企業(yè)局域網安全系統(tǒng)的現狀,對安全設備及產品的購買和使用進行決策和評估,制定系統(tǒng)安全框架,保證局域網系統(tǒng)的正常運行,并負責制定安全管理策略及規(guī)章制度。這部分人群只負責安全策略,在該系統(tǒng)中沒有賬戶,因此,對系統(tǒng)的威脅較小。第二,安全管理員。主要是對各種安全策略實施在系統(tǒng)中,例如計算機安全屬性、網絡設備配置、訪問控制及防火墻等安全產品的規(guī)則,并進行日常的用戶管理、修改及維護資產等訪問權限。第三,審計員。主要是對違反安全管理、口令管理員操作、安全管理員操作及設置等工作進行審計。一旦發(fā)現違規(guī)操作或者安全管理員的誤操作,就會發(fā)出安全報告。第四,口令管理員。主要負責為口令質量的維護,保證決策專家制定的口令的實施。幫助新用戶設置口令或者復位遺忘、丟失的口令。第五,系統(tǒng)管理員。主要負責對網絡設備、操作系統(tǒng)、計算機及數據庫的管理,不涉及安全管理。
3.2 用戶口令規(guī)則。主要是對用戶口令的輸入合適等進行規(guī)范,如規(guī)定口令的輸入合適、最大長度及最小長度、禁止使用用戶名、特定詞組作為口令;規(guī)定口令組成中包含幾個字母、幾個數字及特殊字符等;規(guī)定口令使用時間;規(guī)定口令的歷史,在規(guī)定時間內不可重復使用,新舊口令的差別大小等。
3.3 用戶級別劃分。局域網的網絡終端使用人群比較多,其使用的目的也不盡相同,因此對使用終端的用戶進行劃分,首先可以強化對用戶的管理,其次也加強了局域網安全的管理目的,分組的用戶明確了各類用戶對系統(tǒng)的訪問權限,提高了系統(tǒng)的使用效率的同時,也加強了系統(tǒng)的安全防護。
3.4 資產級別劃分。對于局域網系統(tǒng)內涉及的各類資產進行級別的劃分,各級別資產分別由哪一類用戶進行使用或者哪一個級別的計算機進行訪問都要嚴格的進行規(guī)范,保證系統(tǒng)的安全,同時,局域網系統(tǒng)作為一個整體安全防護對象,還要從網絡級、系統(tǒng)級、應用級等幾個方面,全面的實時系統(tǒng)系統(tǒng)的安全管理。
4 結束語
通過以上內容的分析,本文主要對電力企業(yè)局域網系統(tǒng)的安全問題進行了闡述,在管理方面,電力企業(yè)應該加強安全管理,防止局域網出現不法分子的惡意攻擊,從技術層面,企業(yè)應該與時俱進,不斷對安全系統(tǒng)進行升級,采用新技術設備,強化系統(tǒng)的安全級別,從人員方面來說,要提高人員的自身素養(yǎng)和職業(yè)技能,使員工具有高度的責任心的同時,還要具備高技能的特質,只有從管理、技術及人員培養(yǎng)方面不斷的加強,電力企業(yè)局域網的安全等級才能不斷的提高,電力企業(yè)的發(fā)展才能更快更好。
參考文獻:
[1]楊大偉.基于網絡通信安全管理問題的思考[J].魅力中國,2010,34.
[2]尹旭升.淺談安全信息網絡管理技術的應用[J].煤,2010,8.
[3]李斌,欒慶芝.對電力企業(yè)局域網安全行為控制方案的探討[J].信息安全與技術,2012,8.
[4]司徒健輝.企業(yè)網絡安全準入控制技術設計與應用[J].大科技·科技天地,2010,7.
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統(tǒng)中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發(fā)生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統(tǒng)的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯(lián)網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監(jiān)聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統(tǒng)也逐漸地應用到企事業(yè)單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統(tǒng)建設的規(guī)模不斷發(fā)展和擴大,網絡安全防范技術也得到了迅猛發(fā)展,同時出現了若干問題,例如網絡安全管理和設備配置的協(xié)調問題、網絡安全風險監(jiān)控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業(yè)管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業(yè)的策略規(guī)劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統(tǒng)認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統(tǒng),它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監(jiān)控等多個方面。
2.3 防火墻技術
互聯(lián)網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統(tǒng),目的是為了保證整個網絡系統(tǒng)不受到任何侵犯。
防火墻是根據企業(yè)的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業(yè)不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業(yè)內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統(tǒng)的安全。
將防火墻技術引入到網絡安全管理系統(tǒng)之中是因為傳統(tǒng)的子網系統(tǒng)并不十分安全,很容易將信息暴露給網絡文件系統(tǒng)和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯(lián)網中較為常用的協(xié)議就是TCP/IP協(xié)議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統(tǒng)的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統(tǒng)管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業(yè)網絡安全管理系統(tǒng)架構設計
3.1 系統(tǒng)設計目標
該文的企業(yè)網絡安全管理系統(tǒng)的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統(tǒng),以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統(tǒng)之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統(tǒng)一的控制策略下對網絡系統(tǒng)進行檢測和監(jiān)控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統(tǒng)的功能性、實用性和開放性。
3.2 系統(tǒng)原理框圖
該文設計了一種通用的企業(yè)網絡安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示。
3.2.1 系統(tǒng)總體架構
網絡安全管理中心作為整個企業(yè)網絡安全管理系統(tǒng)的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發(fā)生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監(jiān)控的企業(yè)網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業(yè)整個網絡系統(tǒng)中的各種網絡基礎設備、設施的管理。
網絡安全管理專業(yè)人員能夠通過終端管理設備,對企業(yè)網絡安全管理系統(tǒng)進行有效的安全管理。
3.2.2 系統(tǒng)網絡安全管理中心組件功能
系統(tǒng)網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統(tǒng)探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業(yè)網絡安全專業(yè)管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發(fā)送給網絡安全。
系統(tǒng)網 絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統(tǒng)計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統(tǒng)架構特點
3.3.1 統(tǒng)一管理,分布部署
該文設計的企業(yè)網絡安全管理系統(tǒng)是采用網絡安全管理中心對系統(tǒng)進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統(tǒng)之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業(yè)網絡管理系統(tǒng)中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發(fā)實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統(tǒng)升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統(tǒng),可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監(jiān)控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監(jiān)視和防范。
4 結論
隨著網絡技術的飛速發(fā)展,互聯(lián)網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發(fā)展,新型的網絡安全設備也大量出現,由此,企業(yè)對于網絡安全的要求也逐步提升,因此,該文設計的企業(yè)網絡安全管理系統(tǒng)具有重要的現實意義和實用價值。
參考文獻:
關鍵詞:電力企業(yè);計算機網絡安全;保密管理
隨著二十世紀九十年代電力企業(yè)的高速發(fā)展計算機開始廣泛應用,電力操作的相關系統(tǒng)先后建立,電力系統(tǒng)所傳輸敏感數據的計算機網絡信息安全保密相當重要。電力企業(yè)計算機網絡須有強有力的安全措施,才能保障信息網絡安全。但電力局域網和廣域網都存在諸多的脆弱性和潛在威脅。因此,加強計算機網絡安全措施才能確保網絡信息的保密、完整和可用。
一、電力企業(yè)計算機網絡安全保密管理存在的問題
計算機網絡通常都受三類脆弱性危害:行為管理、網絡配置和技術脆弱性。計算機網絡威脅一是來源于網絡信息;二是來自于網絡設備。影響計算機網絡的因素可歸納為三點:
(一)人為無惡意失誤
不當的安全配置導致的系統(tǒng)安全漏洞、用戶薄弱的安全意識、用戶不慎選擇口令、用戶轉借或共享帳號常在企業(yè)計算機網絡使用初期多發(fā)。隨著網絡管理制度的建立和操作人員的培訓,人為無惡心失誤已不是主要的網絡安全威脅。
(二)人為的惡意攻擊
計算機網絡面臨的最大威脅就是人為的惡意攻擊,這類攻擊包括對手的攻擊及計算機犯罪。惡意攻擊一是以各種方式選擇性地破壞信息的有效性、完整性的主動攻擊;一是在網絡正常工作不受影響的情況下,為獲取重要機密信息截獲、竊取、破譯的被動攻擊。計算機網絡由于他們的攻擊會帶來很大危害,并泄漏機密數據。網絡的迅猛發(fā)展,網絡黑客及計算機病毒嚴重威脅了網絡安全,因此,電力企業(yè)網絡安全工作的重點是防范人為惡意攻擊。
(三)網絡軟件漏洞
黑客攻擊網絡的首選目標是網絡軟件漏洞和缺陷,黑客攻入內網大多是因安全措施不完善和編程設計人員為方便而設置的軟件“后門”被洞開。獲取軟件補丁程序不及時,漏洞和“后門”未被堵死,易招致黑客攻擊,同時使用盜版軟件,網絡系統(tǒng)在環(huán)境不干凈,也容易出現問題,一旦發(fā)生問題,損失會是慘重的。
二、解決電力企業(yè)計算機網絡安全保密管理的若干措施
計算機網絡信息保密一是要依靠先進設備和技術手段,二是需要依靠嚴格的內部管理及員工的自主保密意識來加強和完善,通過事實內部具體管理措施以達到計算機網絡信息安全保密的目的。
(一)保密意識的加強
部分單位和用戶在認識和理解涉密計算機保密問題上仍存在不小的誤區(qū),因此常常保密意識薄弱,無密可保,有密難保的麻痹意識、畏難情緒無處不在。部分單位雖有涉密系統(tǒng),但單位級別低,涉密層級不高,非重點單位,信息系統(tǒng)無所謂保密;有的認為本單位的涉密信息在局域網中傳輸,瀏覽對象屬于內部人員,無密可保;還有的認為在信息技術高度發(fā)達的今天,電腦黑客無處不在,防不勝防,有密難保等。這些錯誤認識也是導致當前涉密計算機信息系統(tǒng)存在漏洞和泄密隱患的一個主觀因素。
(二)提高員工計算機應用水平
計算機網絡相對而言技術含量高,不掌握相關科學技術,則難以抵御網絡的技術破壞和技術泄密。高素質的人才隊伍是計算機網絡信息安全保障體系的智力支撐,沒有一批網絡安全保密管理系統(tǒng)的規(guī)劃設計人才、應用軟件的研制開發(fā)人才、終端用戶的操作使用人才、硬件設備的維修保養(yǎng)人才、系統(tǒng)性能的監(jiān)測評估人才,網絡信息安全保密就無從談起。因此,保密工作應把人才問題擺在安全保密建設的戰(zhàn)略位置,普及計算機網絡信息安全保密知識,提高大家安全保密意識,努力建設一支專業(yè)精深、善于管理的高素質信息安全保密人才隊伍。
(三)建立網絡終端入網審批制度
控制上網范圍,尤其是涉密系統(tǒng)在投入運行之前要有保密的主管部門審核。保密工作部門經過初審、現場測試、性能評估,確認符合安全保密要求后,方能批準同意接入網絡,投入使用。只有滿足開放利用條件且不涉及重要機密的用戶才能成為考慮對象,真正做到從根本上杜絕泄密。在技術方面可以采用準入+終端管理的組合方式進行嚴格的限制。
(四)建立嚴格的安全保密檢查制度
要結合本單位實際,建立起嚴格的安全保密檢查制度,依靠安全技術定期與不定期地分析和維護網絡系統(tǒng)的安全保密性,避免其技術漏洞和泄密隱患,有效促進和規(guī)范網絡信息安全保密管理。在技術方面可以采用封堵USB接口+防數據丟失+數據加密的組合方式,不允許終端用戶將數據拷出本機,或者即使非法拷貝走了文件,也會因為是加密文件而無法打開。
三、結束語
電力系統(tǒng)隨信息時代的到來加速進入信息網絡時代。計算機作為高科技、高效率和高水平的標志使用工具,已滲透到電力系統(tǒng)日常工作,為企業(yè)創(chuàng)新發(fā)展做出了突出貢獻。隨著電力市場的建立和網絡技術的發(fā)展,計算機網絡的安全保密問題越發(fā)嚴重,電力企業(yè)應結合自身情況結合各種措施,發(fā)揮網絡的最大效益。
參考文獻:
[1]汪勝利.魏敬宏.電力企業(yè)計算機網絡安全保密管理探析[J].電力信息化.2006.
[2]向繼東.黃天戍.孫東.電力企業(yè)信息網絡安全管理系統(tǒng)設計與實現[J].電力系統(tǒng)自動化.2003.
此處列出了專家們認為最應避免的十大最常見的安全地雷。
1.小小的手誤就有可能泄露公司機密。
很多最常見的安全問題實際上都是由于不良的習慣造成的,因此是可以避免的。
例如,很多無心之失的數據泄露事件都是可以消除的,只要告訴使用者在Outlook和其他郵件系統(tǒng)中關掉郵件地址的“自動填寫”功能即可。
賽門鐵克高級營銷兼產品總監(jiān)SteveRoop說,“在員工們快速處理郵件時,可能會在匆忙中無意選中了錯誤的收件人名字。員工會以為他只是要把一封郵件發(fā)給同一企業(yè)的朋友Eric,但是自動填寫功能卻有可能將此郵件發(fā)送給了敵人Eric.”Roop說?!拔覀兇蠹叶几蛇^這事。如果該郵件包含有關于擬議中的并購事項的敏感數據的話,那么秘密就泄漏出去了?!?/p>
差不多90%的信息泄露事件都和收發(fā)郵件時無意識的不良習慣有關,其中就有未關閉自動填寫功能,處理加密時出錯,或者錯誤地理解了郵件使用策略。Roop說,只要采取簡單地關掉類似“自動填寫”等功能,就可為企業(yè)省下不少冤枉錢。
2.人們往往會不加思索地拱手交出他們的密碼和其他私密信息。
很多時候,其實是企業(yè)內部的使用者,而非外部入侵者,要對泄露密碼及個人信息導致外來攻擊承擔責任。
雖然很多人對網絡釣魚、間諜軟件和黑客網站早有耳聞,可他們依然會心甘情愿地交出自己的個人信息,無不會想起要檢查一下他們的信息是否會被用于欺詐的目的。McAfee的安全研發(fā)與通信經理DaveMarcus說,“人們總是以為呈現在眼前的網站是合法的,而這在Web世界中恰恰是個最要不得的誤解。盜取某人在線身份的最簡單的辦法就是要求他們提供這些信息?!?/p>
3.千萬別以為合伙伙伴處理你的數據時是非常可靠的。
另一個常見的安全錯誤就是用戶們認為把敏感信息(如人力資源數據)發(fā)送給商業(yè)合作伙伴或者外包服務商是不會有問題的。然而Roop說,如果信息未加密就發(fā)送出去,那么就有可能觸發(fā)安全地雷。
“這個地雷就是錯誤地以為人力資源外包商不會再把這些信息發(fā)送給其他任何人或存儲在不安全的筆記本電腦上?!盧oop說?!爸灰舾袛祿峭ㄟ^e-mail和第三方共享的,那么這個地雷就有可能被觸發(fā)?!?/p>
4.Web應用可能成為泄密和失竊的門戶。
導致大量安全問題出現的一個常見行為就是允許員工通過企業(yè)網絡使用比如Webmail或者訪問音樂下載和文件共享服務網站。
此類Web應用可以繞過企業(yè)的安全過濾網關,或者會打開一條對外的通道,讓各種攜帶病毒或惡意軟件的程序進入你的組織。
如果員工在家工作,那么此類風險還會放大。假如他們使用企業(yè)的電腦,又在網上做一些個人的事情,那么這些電腦就有可能被入侵。如果他們還把企業(yè)的數據帶回家——通過e-mail或U盤——那么這些數據就將面臨泄密或被竊的危險。
所有這些安全問題都是容易避免的,只要能夠執(zhí)行相應的策略便可,比如要求員工必須通過VPN或其他加密隧道使用安全的郵件客戶端,或者不允許他們在工作電腦上安裝Web程序,不要拷貝數據到移動存儲介質等。此類安全問題可以利用安全策略和系統(tǒng)管理應用來加以管理。不過還是有一個通道是比較難以控制的,那就是員工自己給自己發(fā)郵件傳送數據,雖然加密技術能夠幫上一些忙。
5.要想壞事不發(fā)生就不要把事情做壞。
Mandiant公司的CEOKevinMandia忠告說,沒有人會故意泄露數據,但是你的行為必須正確才行。Mandiant專門提供數據泄密后的分析服務和軟件工具。一切組織或機構都可以采取一些步驟以減少數據泄密一旦發(fā)生后所產生的影響。但不幸的是,大多數企業(yè)卻一直沒有采取任何行動,一旦出現了問題再去測試或者創(chuàng)建他們的響應策略,那就太晚了。
每家企業(yè)都應該跟蹤數據的流動,記錄誰在何時接入何種系統(tǒng)使用了什么數據。但實際上很少有企業(yè)在這么做。Mandia說,“毫無疑問,最常見的錯誤就在于沒有記錄下發(fā)生了什么。一旦有人雇傭我們,我們要問的第一件事就是有沒有相關記錄。而通常的情況是,人們在處理TB級的數據,但卻沒有正規(guī)的記錄。所以幾乎在每次泄密事件中,當我們進入企業(yè),詢問他們到底發(fā)生了什么時,得到的總是閃爍其詞的回答?!?/p>
6.回避或推卸責任的領導方式會讓事情更糟。
由于企業(yè)通常沒有指定一位專門的領導或專門的團隊來負責對事件的響應和對重要細節(jié)的跟蹤,所以嚴重影響了企業(yè)對于泄密事件的響應能力。
在多數企業(yè)中,對事件的調查往往會演變?yōu)橐粓鐾菩敦熑蔚挠螒?,在調查泄密事件的責任時由于牽涉到的人會有很多,所以他們往往會阻礙進行相關的調查。
“雖然我們經常需要做出響應,但卻沒人真正負責,也沒人想負責,結果呢,沒人知道事件所涉及的資源到底有多少錢、有多少工具或技術,也沒有一個人能算清楚在處理重大事件時到底需要多少資源。”Mandia說。
“而在另一個極端,有些企業(yè)會讓太多的人來參與決策,卻還想做出及時的響應。我們的經驗是,假如你需要馬上向12個人通報情況的話,那么其中的10個人都是不管事的?!?/p>
7.處理泄密事件時不小心為罪犯通風報信。
企業(yè)中另一個典型的常見問題就是沒有建立一套處理泄密事件的“保密”程序,結果導致進行事件調查時非常困難,因為員工們擔心卷入事件,一般都會試圖保護自身的利益。
如果泄密事件牽涉到內部人員,那么這些人便會通過各種渠道獲悉調查的進展情況,就有可能拒絕說出有利于調查的事情,還會經常掩蓋他們的行跡。
8.可信賴的“銀彈”技術其實暗藏著真正的危險。
當涉及IT和數據安全的管制措施持續(xù)增多時,企業(yè)要投入大量的技術解決方案來彌補各種漏洞。然而企業(yè)普遍以為安裝某種特殊技術,或能夠滿足某一方面監(jiān)管的解決方案就是一顆“銀彈”(指能解決問題的高招)。其實不然。
“我遇見的最大的問題就是人們普遍認為像部署防病毒軟件、補丁、漏洞掃描等簡單功能就以為沒事了。他們根本沒有從風險管理的立場去對待安全問題——而只是在檢查系統(tǒng)而已。”SecurityIncite的分析師MikeRothman說。
企業(yè)往往就是這樣的一個傻瓜天堂,他們以為除了對其有限的安全系統(tǒng)做做審計,確認有沒有及時升級之外就無事可做了?!叭藗兂3R詾椋灰麄冞M行主動的審計,就萬事大吉了?!盧othman說?!坝谑菈娜司蜁蛩麄冏C明,他們做的遠遠不夠?!?/p>
9.在不該投入的地方浪費了對付重大危險所需的資源。
和法規(guī)遵從相關的另一個安全陷阱就是很多企業(yè)經常會對重要性完全不同的安全等級投入相同的人力和物力,Rothman說。
“一些人的錯誤就在于,對所有的安全問題都一視同仁,在所有客戶都使用的某個在線應用上花費的安全支出,和在只有5個人使用的舊的應用上花費的同樣多?!?/p>
這種方式不但浪費金錢,而且還會把很多重大的問題拖到以后再去處理——一旦預算用光,也可能就此再也不去解決了?!鞍踩藛T往往不知道究竟什么事情應該優(yōu)先考慮,”Rothman說?!八麄冋鎽撛囋嚳慈绻呈伦鰤牧藭a生什么結果,然后就知道該把錢花在哪里了?!?/p>
10.不要存儲不必要的數據。
還有一種較常見的情形是安全和法規(guī)遵從導致的災難,很多企業(yè)在處理信用卡和借記卡時會無意中遺漏存有賬戶信息的交易日志系統(tǒng)。而這種日志就可能導致客戶數據的外泄,以及PCI(支付卡行業(yè))審計的失效。
【關鍵詞】計算機網絡安全;防護策略;維護思路;安全管理工作
在信息時代及計算機技術廣泛應用的當下,很多企業(yè)都注重信息化建設,石油企業(yè)同樣如此。石油企業(yè)信息化建設經過多年發(fā)展取得了顯著成績,但是網絡安全問題一種困擾著企業(yè),特別是目前網絡攻擊手段日漸多樣化,隱蔽性很高,成為影響企業(yè)網絡安全運行的關鍵因素。為此,石油企業(yè)應根據自身業(yè)務經營與發(fā)展需要加強計算機網絡安全管理,針對當前網絡安全管理中的問題制定可行的維護方案,采取針對性的措施,為企業(yè)計算機網絡安全運行提供基本保障。
一、石油企業(yè)計算機網絡安全管理中的不足
隨著計算機技術及互聯(lián)網的普遍應用,網絡安全已經得到改進,但是在多種因素共同影響下,石油企業(yè)計算機網絡安全管理依然出現問題,主要為網絡安全管理力度不足,具體體現在結構本身、系統(tǒng)設備及信息上。石油企業(yè)的業(yè)務范圍較廣,內網系統(tǒng)結構越來越復雜,造成系統(tǒng)本身存在一些漏洞。如果這些漏洞不能及時補丁,很容易成為網絡攻擊的主要對象,造成木馬、病毒等惡意插件在內網中傳播,降低石油企業(yè)計算機網絡安全性能。此外,石油企業(yè)對計算機網絡安全管理缺乏足夠重視,沒有制定完善的信息安全管理制度,崗位分工不明確等,使網路安全管理不夠制度化、規(guī)范化。而且,石油企業(yè)辦公環(huán)境相對惡劣一些,在溫度、濕度等條件不適宜情況下工作很容易降低系統(tǒng)設備的性能,造成設備損壞、系統(tǒng)內部信息丟失、篡改等問題。
石油企業(yè)為方便工作往來,往往允許員工上網,網絡上不安全的信息極容易影響企業(yè)內網,降低信息傳輸速度,影響系統(tǒng)性能,為網絡安全帶來嚴重的隱患。針對這些,必須站在企業(yè)戰(zhàn)略目標高度上明確維護思路,編制可行、有效的維護方案,促進石油企業(yè)計算機網絡安全管理工作水平的提高。
二、石油企業(yè)計算機網絡方案維護思路與具體方案
(一)維護思路
由于石油企業(yè)計算機網絡安全管理缺乏健全的管理制度,相關人員素質普遍不高,且系統(tǒng)存在漏洞,易受網絡攻擊,計算機等身背性能受工作環(huán)境影響大,嚴重降低了計算機網絡安全性能。對此,一方面要完善計算機網絡安全管理制度,制定系統(tǒng)設備維護制度,加強計算機系統(tǒng)安全管理,另一方面要采取網絡安全防護技術,如防火墻技術、漏洞掃描技術、數字加密技術等,保護計算機系統(tǒng)信息安全,防止被惡意篡改與刪除。通過以上兩個方面,雙管齊下、多策略的進行石油企業(yè)計算機網絡安全管理,把網絡安全管理上升到戰(zhàn)略目標實現的高度上,納入石油企業(yè)日常工作范圍之內,使網路安全管理滿足石油企業(yè)日常工作和業(yè)務往來需要。
(二)具體方案
1、完善計算機網絡安全管理制度和網絡設備維護檢修制度
計算機網絡安全管理及維護工作是由信息部門員工負責的,若沒有完善的管理制度,就難以用制度對人員進行約束,造成相關管理、維護工作落實不到位。所以,石油企業(yè)應完善計算機網絡安全管理制度和網絡設備維護檢修制度,為有關人員的管理、維護工作提供準則,約束并規(guī)范其工作行為。同時,不允許計算機使用者瀏覽要求以來的網頁,擅自安裝一些網絡程序,規(guī)范計算機使用。如發(fā)現員工做出違反計算機網絡安全管理制度的行為,要給予嚴厲處罰。此外,要求管理人員定期檢查計算機設備性能,定期清理設備,根據使用者反饋立即檢修設備,使設備始終保持良好的工作狀態(tài),避免出現運行故障。
2、應用計算機網絡安全防護技術
目前,計算機網絡安全防護技術是較多的,如防火墻技術、漏洞掃描技術、數字加密技術、殺毒軟件等。第一,防火墻技術。一般計算機網絡防火墻設置在計算機的系統(tǒng)中,可以采用安全性能相對比較高的Linux系統(tǒng),并保留計算機基本功能,如SMIP協(xié)議,及時阻攔惡意侵入系統(tǒng)的木馬程序、病毒軟件,保護內網辦公安全;第二,漏洞掃描技術。采用自動掃描技術,自動進行系統(tǒng)漏洞掃描并修補漏洞,及時進行系統(tǒng)補丁,既能降低網絡攻擊的概率,又可以提高系統(tǒng)運行性能;第三,數字加密技術。對重要的信息利用數字加密技術進行保護,然后再進行存儲與傳輸,可以有效防止信息被攻擊、被篡改,維護計算機系統(tǒng)信息的安全。當然,在不同網絡環(huán)境下密碼保護性存在一定差異,并選采用最先進的算法進行密碼設計;第四,采用殺毒軟件,及時查找出系統(tǒng)內病毒軟件并及時清理,以加強系統(tǒng)的維護管理;第五,采用警告技術,并設置多樣化的警告方式。針對不同的網絡安全危害及系統(tǒng)故障可以設置不同的警告方式。比如,不同的問題用不同的聲音,給管理人員自動發(fā)送郵件、手機短信等,以便管理人員實施網絡安全維護。以上技術的應用能有效的提高石油企業(yè)網絡安全管理工作水平,提高網絡安全維護能力,保護日常工作的正常運行。
三、結束語
綜上所述,面對石油企業(yè)計算機安全管理中存在的一些不足,應建立完善的計算機網絡安全管理制度與設備維護檢修制度,同時科學應用計算機網絡安全防護技術,多層面、多策略的進行計算機網絡安全管理,讓石油企業(yè)計算機網絡安全管理在明確的維護思路和有效的策略下有序、高效的進行,進而提高石油企業(yè)計算機網絡安全管理工作實效。隨著計算機技術的革新變更,計算機網絡安全防護技術水平會不斷提高,石油企業(yè)在今后的計算機網絡安全管理中應注重先進防護技術的引用,這是提高石油企業(yè)計算機網絡安全管理工作水平的根本。
參考文獻:
[1]李偉.計算機網絡安全管理工作的維護思路及具體方案研究[J].電腦知識與技術,2015,20:22-23.