前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡安全主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞 企業(yè);網(wǎng)絡安全;防范
中圖分類號:C29文獻標識碼: A
1 加強企業(yè)安全技術(shù)可靠性建設
對于網(wǎng)絡安全我們面前的挑戰(zhàn)是,如何使新技術(shù)能夠可靠地工作。隨著顧客對技術(shù)的要求日益提高,這一點將會實現(xiàn)。但是,由于廠商同時加速進行產(chǎn)品開發(fā),總體而言,情況沒有多少變化:可靠性依然不佳。有時,進行組裝的工程師缺乏經(jīng)驗,那些獨立工作時運轉(zhuǎn)良好的系統(tǒng)被組裝到一起卻常會引發(fā)一些意想不到的后果??偠灾F(xiàn)在的安全系統(tǒng)未經(jīng)標準化。訣竅是在競爭激烈的市場中找到一席之地,既要擁有激動人心的新科技,又要保持傳統(tǒng)的乏味的可靠性。
2 其他網(wǎng)絡的攻擊
據(jù)數(shù)據(jù)統(tǒng)計,在美國網(wǎng)絡中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網(wǎng)絡業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報告,計算機病毒事件在1999年計算機安全問題上排名第一位,然而與計算機病毒相關的黑客問題也在其中占有相當大的比例。從科研人員的分析結(jié)果科研看出計算機病毒的表現(xiàn)有以下新特點:
當今社會電子郵件已經(jīng)成為計算機病毒傳播的主要媒介,它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播,事實上,有一些電子郵件病毒根本就沒有附件,因為它本身就是一個HTML。在不久前出現(xiàn)的許多的計算機病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動打開HTML格式的郵件,那么該計算機病毒就會立刻感染用戶的系統(tǒng)。
近年來由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計算機病毒種類,比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁等黑客程序。其種類、數(shù)量正在迅速激增。同時,根據(jù)最新數(shù)據(jù)統(tǒng)計計算機病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過40種新計算機病毒出現(xiàn),因此每年的新型計算機病毒就有就有1.2萬種左右出現(xiàn),這樣的數(shù)目超過了截至1997年為止世界上計算機病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對掌上電腦和手機的計算機病毒。
計算機病毒造成的破壞日益嚴重。2000年5月“I Love You”情書病毒的影響,全球的損失預計已經(jīng)高達100億美元,而受CIH計算機病毒在全球造成的損失據(jù)估計已超過10億美元。對于行業(yè)的用戶當系統(tǒng)每死機一小時其損失都在650萬美元以上,其包括電視機構(gòu)、證券公司、國際航運公司、信用卡公司和郵購公司在內(nèi),然而對于Internet公司,尚無人能統(tǒng)計其損失的金額。
3 加強網(wǎng)絡本身的安全措施
信息網(wǎng)絡中網(wǎng)絡操作系統(tǒng)和相應的服務器軟件包都提供了很強的安全性保障,對于一個具有很高安全級別的網(wǎng)絡來說,加強其本身的安全設置,是必不可少的一環(huán)。
下面以目前最常見的企業(yè)建立內(nèi)部網(wǎng)、通過專線上網(wǎng)并提供信息服務為例,說明企業(yè)實現(xiàn)網(wǎng)絡安全的防護措施。
假設企業(yè)是采用WindowsNT作為服務器和Web服務器平臺,內(nèi)部設置SQLServer7.0作為數(shù)據(jù)庫服務器,并開發(fā)相應的應用系統(tǒng);整個系統(tǒng)通過64K DDN專線與因特網(wǎng)連接,系統(tǒng)對外提供Web信息服務、電子郵件服務、FTP服務等。
內(nèi)部網(wǎng)絡的安全問題可以進一步分為網(wǎng)絡操作系統(tǒng)的安全和應用系統(tǒng)的安全。通常采用WindowsNT網(wǎng)絡操作系統(tǒng)的安全問題就變得非常重要。應用系統(tǒng)的安全則是用戶的Web服務器、FTP眼務器和電子郵件服務器等的安全,以及用戶開發(fā)的各種應用系統(tǒng)的安全性。下面主要對在WindowsNT系統(tǒng)中提高安全性,給出一些建議。
WindowsNT和IIS(Web服務)的安全模式是完全集成的。在系統(tǒng)中沒有指定的Web客戶,只有那些被WindowsNT確認在服務器上有賬號的客戶才能管理。如果使WindowsNT,必須考慮對將創(chuàng)建客戶權(quán)利的每一個集合都創(chuàng)建一個組。另外,WindowsNT是針對域(do一main)模型的概念而操作的,這意味著對網(wǎng)絡維持需求的權(quán)利共享和增進的控制。域是控制客戶端系統(tǒng)如何進入服務器的基本體系結(jié)構(gòu),不論客戶端系統(tǒng)是在用戶的局域網(wǎng)還是因特網(wǎng)中。域提供了一種對系統(tǒng)和客戶進行邏輯分組的方法來實現(xiàn)對系統(tǒng)的管理、進入服務器以及在各個系統(tǒng)和客戶之間進行交互。
用戶可以對信息進行保護,并且強制客戶在服務器上進行驗證,但是這需要為具有安全保護的資源建立客戶賬號。這是對客戶進行管理的正確實現(xiàn)方法。應該為默認的客戶提供廣泛的、對大多數(shù)沒有安全保護的資源的進入;但是對于那些受到保護的信息,應該不允許這種類型的進入。
4 加強“防火墻”技術(shù)控制
防火墻的技術(shù)已經(jīng)經(jīng)歷了三個階段,即包過濾技術(shù)、技術(shù)和狀態(tài)監(jiān)視技術(shù)。
1)包過濾技術(shù)。包過濾防火墻的安全性是基于對包的IP地址的校驗。在因特網(wǎng)上,所有信息都是以包的形式傳輸?shù)模畔邪l(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出,并按照預先設定的過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉,以保證網(wǎng)絡系統(tǒng)的安全。這是一種基于網(wǎng)絡層的安全技術(shù),對于應用層的黑客行為卻無能為力。
2)技術(shù)。服務器接收客戶請求后會檢查驗證其合法性,只有那些被認為“可信賴的”服務才允許通過防火墻。它將內(nèi)部系統(tǒng)與外界隔離開來,從外面只能看到服務器而看不到任何內(nèi)部資源。服務器只允許有的服務通過,而其他所有服務都完全被封鎖住,這一點對系統(tǒng)安全是很重要的,另外服務還可以過濾協(xié)議,如可以過濾FTP連接,拒絕使用FTP Put(放置)命令,以保證用戶不能將文件寫到匿名服務器。
服務具有信息隱蔽、保證有效的認證和登錄、簡化了過濾規(guī)則等優(yōu)點。網(wǎng)絡地址轉(zhuǎn)換服務(NAT―Network Address Translation)可以屏蔽內(nèi)部網(wǎng)絡的IP地址,外部看不到網(wǎng)絡結(jié)構(gòu)。
3)狀態(tài)監(jiān)視技術(shù)。狀態(tài)監(jiān)視服務的監(jiān)視模塊在不影響網(wǎng)絡安全正常工作的前提下,采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各個層次實行監(jiān)測,并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡協(xié)議和應用協(xié)議,可以方便地實現(xiàn)應用和服務的擴充。狀態(tài)監(jiān)視服務可以監(jiān)視RPC(遠程過程調(diào)用)和UDP(用戶數(shù)據(jù)報)端口信息,而包過濾和服務則都無法做到。
5 管理及操作人員缺乏安全知識
我們認為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓、事后的安全審計、安全策略制定、安全策略架構(gòu)的實施、企業(yè)系統(tǒng)風險評估、安全架構(gòu)制定等部分有機結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個方面和層次上部署相應安全產(chǎn)品的工具。
現(xiàn)代計算機網(wǎng)絡要加強系統(tǒng)的總體安全級別,必須從應用業(yè)務系統(tǒng)、網(wǎng)絡、計算機操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因為安全隱患會隱藏在系統(tǒng)的各個角落,使用人員應該考慮安全意識等各個層面統(tǒng)籌。木筒裝水的多少決定于最矮的木板,然而系統(tǒng)的總體安全級別就象裝在木筒中的水,系統(tǒng)安全級別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對系統(tǒng)安全管理應該是多方面的、多層次的,要從網(wǎng)絡、應用系統(tǒng)、操作系統(tǒng)各個方面來提高系統(tǒng)的安全級別,還要把原來通過管理規(guī)定由使用人員自覺維護的安全規(guī)則用系統(tǒng)來自動實現(xiàn),來加強系統(tǒng)的總體安全性。
參考文獻
[1]高漸翔.淺談企業(yè)網(wǎng)絡的安全審計體系[J].科技創(chuàng)新導報,2008,33.
關鍵詞:企業(yè);網(wǎng)絡;安全
中圖分類號:TP309.1文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01
Enterprise Network Security Management
Chen Xianhai
(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)
Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.
Keywords:Enterprise;Network;Security
企業(yè)運行過程中需要大量的信息,同時很多信息將會通過網(wǎng)絡進行上傳下達,在企業(yè)運行期間是不允許中斷的,一旦斷網(wǎng)將會對企業(yè)運行產(chǎn)生重大的負面影響。但目前而言,企業(yè)網(wǎng)絡安全仍然存在一些不安全因素,因此,為了保證企業(yè)順利運行,保證信息的有效傳遞,研究企業(yè)網(wǎng)絡的安全是很現(xiàn)實也是很有必要的。
一、企業(yè)網(wǎng)絡的特點
(一)企業(yè)內(nèi)部網(wǎng)絡與外界絕對隔絕。企業(yè)內(nèi)部網(wǎng)絡是單獨的一個互聯(lián)專網(wǎng),它沒有與Internet的接入口,而且,企業(yè)網(wǎng)絡的所有接入端都是在企業(yè)內(nèi)部,其他人員輕易不可能接觸到接入點,所以,通過Internet將無法連接到企業(yè)內(nèi)部網(wǎng)絡。
(二)實時性要求高。企業(yè)網(wǎng)絡大部分時間主要傳遞企業(yè)本文資料,視頻和圖形圖象的傳遞較少,因此流量不是很大,但是,有時也需要將一些特殊資料如視頻、圖形、會議等通過網(wǎng)絡實時的傳遞到各部門、各分支機構(gòu),所以要保證這些信息能夠在快速高效的傳遞,網(wǎng)絡的接入端也應采用高帶寬,以免為企業(yè)決策造成貽誤。
(三)絕大部分接入點在企業(yè)內(nèi)部。企業(yè)網(wǎng)絡的接入點大都是在企業(yè)內(nèi)部,盡量做到集中管理,盡量降低信息接入點被其他個人或機構(gòu)影響的可能性。
(四)企業(yè)網(wǎng)絡出問題帶來的后果比Internet出問題大得多。企業(yè)網(wǎng)絡如果出現(xiàn)服務器被攻擊癱瘓、網(wǎng)絡設備被堵塞,造成斷網(wǎng)或者服務器不能訪問,在企業(yè)管理中各個部門將無法獲取所需信息,嚴重得的話將會影響到企業(yè)的戰(zhàn)略決策。
從以上分析比較可知,盡管互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡原理一樣,結(jié)構(gòu)上卻存在較大的差異,也正是企業(yè)網(wǎng)絡結(jié)構(gòu)的特殊性,大大增加了企業(yè)網(wǎng)絡的安全,但它仍然存在一些不安全的因素。
二、企業(yè)網(wǎng)絡不安全的因素
(一)物理鏈路的不安全。有的企業(yè)各分支機構(gòu)分布在全國來說是比較分散的,要使各分支機構(gòu)全部納入統(tǒng)一管理必然將部分物理鏈路分散管理,這樣地方人員將能夠接觸到這些鏈路,使這部分物理鏈路有可能成為攻擊、竊取的目標,這是對企業(yè)網(wǎng)絡安全管理最大的威脅,同時也是企業(yè)內(nèi)信息最可能泄露的地域。另外,如果有人對物理鏈路進行竊聽或者剪斷,將會使這些單位造成長時間斷網(wǎng),無法發(fā)送和接收信息,或者傳遞的信息將可能被竊取,造成泄密。
(二)接入端信息接入點的不安全。對企業(yè)網(wǎng)絡來說,接入端也有不安全因素,這些接入點將最有可能被竊取,只要一個信息接入點被成功竊入,那么信息就有可能借此被竊取,為企業(yè)信息管理帶來麻煩。
(三)違規(guī)使用造成的不安全。由于人員結(jié)構(gòu)的復雜性,導致有些員工私自使用軟件、存儲介質(zhì),甚至個人PC,從而可能導致病毒在網(wǎng)絡上的傳播;同時,將企業(yè)專用的存儲介質(zhì)在企業(yè)網(wǎng)絡和Internet之間互用,造成企業(yè)信息在Internet上的泄露,同時將病毒帶入網(wǎng)絡,對企業(yè)造成危害。
從上述分析可知,盡管企業(yè)網(wǎng)絡從結(jié)構(gòu)上解決了一定的安全問題,但是由于其特殊性,它仍然存在一些不安全因素,這些不安全因素將會是企業(yè)網(wǎng)絡的薄弱點,也是企業(yè)網(wǎng)絡安全管理應特別注重的地方。
三、解決企業(yè)網(wǎng)絡不安全因素的幾點建議
(一)技術(shù)方面:一是對核心的數(shù)據(jù)庫服務器和網(wǎng)頁服務器要運用高性能防火墻保護;二是對整個系統(tǒng)部署統(tǒng)一的防病毒軟件,安裝網(wǎng)絡入侵檢測系統(tǒng)加強對入侵行為的監(jiān)控;三是對異地連接的系統(tǒng)要運用數(shù)據(jù)加密技術(shù);四是對應用系統(tǒng)要強化口令和賬號設置,提高對使用人員的身份鑒別與認證的可靠性;五是強化對重要業(yè)務系統(tǒng)的操作審計;六是重要數(shù)據(jù)進行異地備份存儲等。
(二)管理方面:一是結(jié)合系統(tǒng)實際制定統(tǒng)一的安全管理制度和操作規(guī)程指導安全操作;二是指點專人負責對系統(tǒng)的日常運行與維護工作;三是要對安全產(chǎn)品配置進行定期審計;四是對系統(tǒng)和漏洞要進行制度化的加固和修補;五是要制訂應急措施,制訂在緊急情況下,系統(tǒng)如何盡快恢復的應急措施,使損失減至最?。涣菍Π踩燃壱筝^高的系統(tǒng),實行分區(qū)控制,限制工作人員出入與己無關的區(qū)域;七是強化物理訪問控制,設置警示牌、欄桿、柵欄和崗哨,加固門窗等。
(三)制度方面:對風險進行持續(xù)性控制,必須有嚴格的制度作保證。通過將有效的風險控制活動,用條文的形式固定下來,列入企業(yè)計算機網(wǎng)絡安全管理規(guī)章制度,要求組織內(nèi)的成員必須遵照執(zhí)行,使對風險的控制步入到經(jīng)?;椭贫然能壍郎蟻?。
(四)教育培訓方面。在信息安全風險管理控制的過程中,人的因素至關重要,如果組織只是實施了技術(shù)性的控制措施,但卻忽略了與計算機網(wǎng)絡相關的操作人員、管理人員和用戶的安全意識的提升及安全技能的掌握,安全控制措施就不可能穩(wěn)定而持續(xù)地發(fā)揮效力,因此應加強對企業(yè)計算機網(wǎng)絡相關人員的教育和培訓。
總之,對企業(yè)網(wǎng)絡安全風險的控制是一項系統(tǒng)工程,必須綜合考慮多種控制措施,才能提高控制的有效性和針對性,實現(xiàn)控制的目的。
參考文獻:
[1]彭俊好.信息安全風險評估方法綜述[J].網(wǎng)絡安全技術(shù)與應用,2006,3
1、不恰當?shù)拿艽a使用
密碼是最簡單的安全形式,如果密碼是空或者是過于簡單( 比如就是‘password’或者是‘a(chǎn)dmin’),未經(jīng)授權(quán)的使用者可以很容易去瀏覽敏感數(shù)據(jù)。如果密碼中既包含字母也包含數(shù)字,并且既有大寫也有小寫,那么密碼就會更全。還有就是密碼要經(jīng)常更換。
2、缺少安全意識
在使用軟件前應對用戶進行培訓,特別是涉及到電子郵件、附件以及下載資料的時候。他們應該清楚的知道有什么威脅。未受網(wǎng)絡安全培訓的電腦使用者經(jīng)常成為病毒、間諜軟件和網(wǎng)絡釣魚的受害者,所有這些網(wǎng)絡威脅都是設計來破壞系統(tǒng)或者是在未經(jīng)用戶允許的情況下將用戶信息泄露給第三方。
3、資料不備份
懶惰是網(wǎng)絡的安全的最大威脅,相比花時間來備份適當?shù)馁Y料來說,完全重建一個被破壞的系統(tǒng)是相當困難的。所以必須要經(jīng)常備份。除此之外,要保證一份備份的絕對安全,不要把他們放在網(wǎng)上以免緊急情況的發(fā)生。
4、聯(lián)網(wǎng)問題
電腦沒有設計成直接在機箱之外與因特網(wǎng)相連接。在使用網(wǎng)線或是無線網(wǎng)卡聯(lián)網(wǎng)之前,要先裝上殺毒軟件。理論上來說,這種軟件應該包含病毒防護,間諜軟件掃描,以及能在后臺防止惡意軟件的安裝的程序。當然有些時候可以安裝一些轉(zhuǎn)用而已軟件查殺工具,可以更好的保證聯(lián)網(wǎng)的安全。
5、升級意識薄弱
如果殺毒軟件或者專殺工具不升級的話,他們會有什么用呢?每周升級病毒庫是很關鍵的。這樣能確保殺毒軟件監(jiān)測到最新的病毒和惡意軟件,保證用戶的電腦可以更加安全的運行。
6、忽視安全補丁
在你的操作系統(tǒng)中,大多數(shù)會存在著安全漏洞。沒有任何一種軟件是完美的,一旦一個缺陷或是漏洞被發(fā)現(xiàn),經(jīng)常就會在很短的一段時間內(nèi)被黑客和惡意程序利用,對用戶產(chǎn)生句大的危害。因此,盡快安裝安全補丁是必要的,也是必須的。
7、不使用加密技術(shù)
在銀行業(yè)和信用卡中,加密技術(shù)尤為重要。儲存和傳遞未加密的數(shù)據(jù)等于是把這些數(shù)據(jù)公之與眾。如果你不喜歡使用加密技術(shù),你可以請一位IT專家?guī)椭恪U埾嘈?,你的個人信息隨時都可能被黑客或者惡意程序所監(jiān)控。
8、威脅意識
現(xiàn)在因特網(wǎng)上的廣告越來越具有欺騙性。他們看起來就像是“緊急系統(tǒng)信息”或者是一些警告而使用戶去點擊。如果一個彈出的桌面窗口,宣稱阻止桌面窗口的彈出,十之八九是一個陰謀。
9、盡量自己做
搭建一個網(wǎng)絡,使用恰當?shù)陌踩胧?,下載和安裝軟件的時候應該機警一點。大公司一般都有自己的IT部門。小一點的公司應該詢問一些安全建議,有可能的話,應該找一位專門專家做技術(shù)顧問,這是物有所值的。網(wǎng)絡發(fā)展到今天,網(wǎng)絡上企業(yè)或用戶的重要信息的安全越來越不可忽視。
關鍵詞:網(wǎng)絡安全;黑客;信息;漏洞;對策
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)17-4044-03
Enterprise Network Security Management Were Discussed
XIE Qing-yu
(Shandong Electric Power School Information Center,Tai'an 271000, China)
Abstract: In the enterprise the computer network management, how to effectively manage the entire network system, safely better for the enterprise service has become the problem bothering network managers content of network security, this paper is the fundamental changes will occur the safety of network and its realization methods were discussed thoroughly, and specific solutions.
Key words: network security; hackers; information; holes; countermeasures
自上世紀九十年代“網(wǎng)絡安全”這一概念提出至今,網(wǎng)絡技術(shù)飛速發(fā)展。近幾年,各種互聯(lián)網(wǎng)資源日益豐富和網(wǎng)民數(shù)量激增的同時,各類網(wǎng)絡攻擊事件數(shù)量成倍增長,充分說明各種安全威脅仍然存在,網(wǎng)絡安全形勢依然嚴峻。如何有效地管理企業(yè)網(wǎng)絡系統(tǒng),提高網(wǎng)絡的安全性,已是迫切需要解決的重要難題之一。
1 影響網(wǎng)絡安全的因素
計算機網(wǎng)絡的安全性,是一個系統(tǒng)的概念,它是由數(shù)據(jù)運行安全、通信安全和管理人員的安全意識三部分組成。任何一方面出現(xiàn)問題都將影響整個網(wǎng)絡系統(tǒng)的正常運行。
1.1 計算機病毒及黑客入侵的影響
1) 計算機病毒有著破壞性強、變形變種繁多、傳播速度快、影響范圍廣等特點。計算機病毒憑借自身特點,利用網(wǎng)絡作為自己繁殖和傳播的載體及工具,造成信息、資源泄密,網(wǎng)絡阻塞甚至癱瘓。
2) 黑客的入侵是網(wǎng)絡攻擊中最為普遍的現(xiàn)象,計算機軟硬件方面的隱患為黑客入侵創(chuàng)造了有利條件。其入侵方法總體上可分為以下幾種:
第一種:口令入侵
黑客通過破解密碼、中途截擊等方法得到某個合法用戶的帳號和口令登錄到目的主機,然后進行攻擊。密碼的破解一般都是利用了系統(tǒng)管理員的失誤,如使用習慣性帳號、采用易泄漏的密鑰和易被第三方截獲的DES加密;另外,操作系統(tǒng)的設計缺陷、安全漏洞以及Bug也都是黑客進攻的渠道。
中途截擊是由于Telnet、FTP、HTTPSMTP等協(xié)議以明文格式傳輸?shù)赜脩魩艉兔艽a,黑客利用數(shù)據(jù)包截取工具便可以很容易地收集到,或者利用 “三次握手”通信中假冒用戶與服務器進行欺騙。
由此可見,在日常的工作中,我們只有通過修改系統(tǒng)賬號、設置復雜密碼、設置口令文件的訪問權(quán)限,并且不斷注意安全防范,及時查看服務器系統(tǒng)的異常情況,才能避免此類問題的發(fā)生。
第二種:利用安全漏洞和軟件錯誤
1) 放置“Trojan Horse”程序:是一種最常見的攻擊方法。它典型的做法就是把一含特殊任務的程序注入在某一合法用戶的正常程序中,并改變其程序代碼,一旦此程序被激活,它就能完成黑客指定的任務。由于此種程序必須被安裝在目標系統(tǒng),這就要求電腦用戶必須有意或被欺騙的安裝它。只要保持警惕性,不運行來歷不明的軟件,電子郵件和盜版軟件,就可以做到主動防范。
2) 端口掃描:目標探測是網(wǎng)絡攻擊的第一步,以了解被攻擊目標的一些信息,包括目標主機已開啟的端口、端口上的網(wǎng)絡服務及其版本,由此可以進一步發(fā)現(xiàn)和分析出系統(tǒng)的安全漏洞,為實施攻擊作好充分的信息儲備。這需要我們手工關閉閑置和有潛在危險的端口;有端口掃描的癥狀時,用防火墻屏蔽該端口。
3) 網(wǎng)絡監(jiān)聽:在網(wǎng)絡上,任何一臺主機所發(fā)送的數(shù)據(jù)包,都會通過網(wǎng)絡線路傳輸?shù)街付ǖ哪繕酥鳈C上,所有在這個網(wǎng)絡線路上的主機都能偵聽到這個傳輸?shù)臄?shù)據(jù)包。攻擊者利用這一原理,截獲流經(jīng)他的各種數(shù)據(jù)包進行分析,并對一些敏感性的數(shù)據(jù)包做進一步的解析。這種攻擊需要進入到目標主機所在的局域網(wǎng)內(nèi)部,選擇一條主機實施網(wǎng)絡監(jiān)聽。我們可以通過檢查系統(tǒng)運行的程序列表,及時查看日志文件,對數(shù)據(jù)及賬號進行加密,劃分VLAN等方法防止我們的網(wǎng)絡被監(jiān)聽。
4) 另外,黑客還常利用IP、DNS、WEB、ARP、電子郵件等進行網(wǎng)絡攻擊。
1.2 計算機網(wǎng)絡系統(tǒng)內(nèi)部存在的安全威脅
計算機系統(tǒng)、通信線路、路由器、交換機等網(wǎng)絡設備被自然和人為破壞。物理電磁輻射引起的信息泄露。計算機網(wǎng)絡端口、傳輸線路、和各類處理機都可能因為屏蔽不嚴或未屏蔽造成電磁信息輻射,造成有用信息甚至機密信息泄漏。
TCP/IP、FTP等協(xié)議雖然拓寬了共享資源,但他提供的服務卻包含許多不安全因素,存在許多安全漏洞。在發(fā)送信息時常包含源地址、目標地址和端口號等信息。導致了網(wǎng)絡用戶讀寫文件通過網(wǎng)絡進行傳送時產(chǎn)生了安全漏洞。
1.3 管理人員缺少嚴格的網(wǎng)絡安全管理制度
網(wǎng)絡內(nèi)部的安全需要用完備的安全制度來保障,管理的失敗是網(wǎng)絡系統(tǒng)安全體系失敗的最重要的原因。網(wǎng)絡管理人員配置不當、網(wǎng)絡應用升級不及時、網(wǎng)管員使用簡單的系統(tǒng)賬戶及口令、網(wǎng)管員不慎將操作口令泄露、臨時文件未及時刪除而被竊取,或者隨意使用普通網(wǎng)絡站點下載的軟件等都是人為因素造成的。另外用戶安全意識不強、將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等,都會使網(wǎng)絡處于危險之中。因此必須制定完備的管理體制來約束網(wǎng)絡管理人員和企業(yè)用戶。
2 網(wǎng)絡安全管理的實現(xiàn)辦法及安全對策
計算機網(wǎng)絡安全性包括:保密性、完整性、可用性、真實性、可控性五大指標。網(wǎng)絡安全的本質(zhì)就是網(wǎng)絡上的信息安全,安全防護的目的是保障各種網(wǎng)絡資源穩(wěn)定、可靠的運行和受控、合法使用。這是一項系統(tǒng)工程,下面從以下幾方面給出網(wǎng)絡安全解決方案。
2.1 物理安全管理
制定嚴格的網(wǎng)絡安全管理規(guī)章制度,管理計算機網(wǎng)絡系統(tǒng)物理安全。目的是保護路由器、交換機、工作站、網(wǎng)絡服務器、打印機等硬件實體和通信線路免受自然災害、人為破壞和搭線竊聽攻擊,確保網(wǎng)絡設備有一個良好的電磁兼容工作環(huán)境。另外還要配備UPS電源以確保網(wǎng)絡能夠不間斷運行。
2.2 訪問控制策略
訪問控制是網(wǎng)絡安全防范和保護的主要策略,它能有效的解決信息安全領域的訪問控制問題,有效地保護數(shù)據(jù)的保密性和完整性,保證網(wǎng)絡資源不被非法使用和非法訪問。
我們可以通過以下幾種策略實現(xiàn)全方位的網(wǎng)絡控制:入網(wǎng)訪問控制、網(wǎng)絡權(quán)限限制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制、防火墻控制。
2.3 系統(tǒng)安全設置
1) 操作系統(tǒng)安全。及時更新系統(tǒng)補丁,大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進來的。關閉TELNET、guest等不需要的服務和賬號。并修改超級管理員賬號名稱。
2) IE瀏覽器安全級別。很多黑客通過訪問網(wǎng)頁,當你打開一個網(wǎng)頁的時候,會不斷的跳出多個窗口,關都關不掉。所以我們要將IE的安全性調(diào)高,經(jīng)常刪除一些cookies和脫機文件,還有就是禁用那些ActiveX的控件。
3) 口令安全。使用大小寫字母和數(shù)字以及特殊符號混合的復雜密碼,不要使用空口令或者簡單易猜的口令。也可以在屏保、重要的文件上添加密碼,以確保雙重安全。
4) 安裝殺毒軟件。對全網(wǎng)內(nèi)的機器從服務器到客戶機都要安裝殺毒軟件,并保持最新的病毒定義碼。減少由病毒帶來的危害。另外每周一次對全網(wǎng)的電腦進行集中殺毒,并定期的清除隔離病毒的文件夾。
2.4 部署防火墻
防火墻是位于不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合,實現(xiàn)網(wǎng)絡和信息安全的訪問控制。它使內(nèi)部網(wǎng)絡與Interner之間與其他外部網(wǎng)絡互相隔離。通過對防火墻的策略設置,可以用來限制網(wǎng)絡互訪,防止外部攻擊;保護內(nèi)部網(wǎng)絡資源免遭非法使用者的侵入;執(zhí)行安全管制措施;記錄所有可疑事件。另外,防火墻還提供了NAT網(wǎng)絡地址轉(zhuǎn)換、加密、身份驗證等功能。目前使用的防火墻產(chǎn)品可分為兩種類型:包過濾和應用防火墻。但是防火墻也存在一些缺點和不足:防火墻不能防止內(nèi)部攻擊;不能防止未經(jīng)過防火墻的攻擊;不能完全防止有病毒的軟件的傳送; 不易防止木馬攻擊。所以必須配合其他手段進行網(wǎng)絡防御。
2.5 入侵檢測系統(tǒng)的部署:
入侵檢測系統(tǒng)(IDS)是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息并將事件與入侵檢測規(guī)則比較,在發(fā)現(xiàn)入侵行為與跡象后,及時作出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等功能。他是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。
2.6系統(tǒng)審計
審計(Audit)是指產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程,它是一個被信任的機制 。它也是計算機系統(tǒng)安全機制的一個不可或缺的部分,對于C2及其以上安全級別的計算機系統(tǒng)來講,審計功能是其必備的安全機制。審計是其它安全機制的有力補充,它貫穿計算機安全機制實現(xiàn)的整個過程,從身份認證到訪問控制這些都離不開審計。同時,審計還是人們研究的入侵檢測系統(tǒng)的前提。
2.7 部署漏洞掃描系統(tǒng)
漏洞掃描就是對重要計算機信息系統(tǒng)進行檢測,發(fā)現(xiàn)其中可被黑客利用的漏洞。多數(shù)攻擊者所利用的都是常見的信息系統(tǒng)漏洞,這些漏洞,均有實時的書面資料記載。每一個系統(tǒng)都有漏洞,用戶在使用過程中發(fā)現(xiàn)后必須及時安裝系統(tǒng)補?。蝗欢到y(tǒng)配置的不斷更改,黑客攻擊技術(shù)的不斷提高,網(wǎng)絡安全系數(shù)也會不斷地變化,必須定期地進行漏洞檢測。漏洞掃描系統(tǒng)是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描系統(tǒng)自動檢測,系統(tǒng)管理員可以快速發(fā)現(xiàn)所維護的服務器的各種TCP端口分配、提供的服務、服務軟件版本以及操作系統(tǒng)、數(shù)據(jù)庫、防火墻甚至整個局域網(wǎng)呈現(xiàn)在Internet上的安全漏洞。
2.8 部署網(wǎng)絡防病毒系統(tǒng)
病毒在網(wǎng)絡中的迅速傳播是利用了構(gòu)成網(wǎng)絡結(jié)點(工作站、服務器等)的可駐留性、可復制性和通信傳播性實現(xiàn)的。因此企業(yè)內(nèi)部需要部署網(wǎng)絡防病毒系統(tǒng),并且定時升級病毒庫。部署防病毒能夠在源頭上保障企業(yè)內(nèi)部的網(wǎng)絡安全。在選擇防病毒軟件時應選用口碑比較好的名牌產(chǎn)品。并需具備以下功能:
1) 防護策略:實現(xiàn)全方位、多層次防毒。如:網(wǎng)關防毒、 群件服務器、應用服務器防毒和客戶端防毒等。能夠截斷病毒可能傳播、寄生的每一個結(jié)點。
2) 采用網(wǎng)關防毒作為首要防線。
3) 管理人員可隨時隨地通過瀏覽器對防毒系統(tǒng)進行有效管理。
4) 能夠提供防毒產(chǎn)品及時、全面的服務與更新。
2.9 通過網(wǎng)絡分段和VPN管理網(wǎng)絡
網(wǎng)絡分段式安全的主要措施,網(wǎng)絡分為物理分段和邏輯分段,網(wǎng)絡可從物理上分為若干段,通過交換器連接各段。更為強有力的安全控制是邏輯分段,對于TCP/IP,即把網(wǎng)絡分成若干子網(wǎng),各子網(wǎng)通過中心交換機連接。
虛擬專用網(wǎng)VPN(Virtual Private Network)是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)的服務”。虛擬專用網(wǎng)VPN不是真的專用網(wǎng)絡,但是它卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能,是公司對外的延伸。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應用的性能,又不會“餓死”低優(yōu)先級的應用。
2.10 使用數(shù)據(jù)加密、數(shù)字簽名和用戶認證的傳輸技術(shù)。
他是企業(yè)在傳送涉及到自己的商業(yè)秘密的數(shù)據(jù)時保障信息安全的最基本最核心的技術(shù)措施和理論基礎。
2.11 加強網(wǎng)絡安全管理,逐步完善網(wǎng)絡系統(tǒng)安全管理規(guī)章制度。
對網(wǎng)絡安全的脆弱性,除了在網(wǎng)絡設計上增加安全服務功能,完善系統(tǒng)的安全保密措施外,建立和實施嚴密的網(wǎng)絡機房計算機安全管理制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。建立完備的網(wǎng)絡機房安全管理制度,妥善保管備份磁盤和文檔資料,防止非法人員進入機房進行偷竊和破壞活動。將重要信息存放在光盤或其他介質(zhì)上,同時鏡像磁盤和雙機系統(tǒng),在受到攻擊而造成破壞時及時恢復信息,減少受到攻擊所造成的損失,只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來,整個網(wǎng)絡的安全性才有保障。
3 總結(jié)
在當前網(wǎng)絡安全問題已經(jīng)成為影響企業(yè)穩(wěn)定發(fā)展的重要因素的嚴峻形勢下,保障網(wǎng)絡安全已經(jīng)不容忽視。任何單位都應該根據(jù)自己的需要,制定自己的安全政策,采用合適的安全技術(shù),選擇合適的標準,讓企業(yè)通過網(wǎng)絡這個平臺快速發(fā)展壯大。
參考文獻:
[1] 謝希仁.計算機網(wǎng)絡[M].4版.北京:電子工業(yè)出版社,2007.
[2] 郝興偉.計算機技術(shù)及應用[M].北京:高等教育出版社,1999.
[3] 鄧吉,羅詩堯,曹軼.黑客攻防實戰(zhàn)入門[M].北京:電子工業(yè)出版社,2007.
[4] 王達.網(wǎng)管員必讀――網(wǎng)絡安全[M].2版.北京:電子工業(yè)出版社,2007.
[5] 戚文靜.網(wǎng)絡安全與管理[M].北京:中國水利水電出版社,2004.
[6] 葛秀慧.計算機網(wǎng)絡安全管理[M].2版.北京:清華大學出版社,2010.
【 關鍵詞 】 企業(yè)網(wǎng)絡;安全管理;防護策略
1 引言
如今,經(jīng)濟迅速發(fā)展帶動網(wǎng)絡技術(shù)的發(fā)展,企業(yè)網(wǎng)絡化管理被廣泛應用,給企業(yè)內(nèi)部、企業(yè)與外界的聯(lián)系以及企業(yè)的管理帶來了便利,業(yè)務的靈活性被企業(yè)經(jīng)營者廣泛關注,同時也發(fā)展了企業(yè)信息網(wǎng)絡。一系列諸如生產(chǎn)上網(wǎng)、辦公自動化、遠程辦公以及業(yè)務上網(wǎng)的新的業(yè)務模式得到了開發(fā)與發(fā)展。但是與此同時,網(wǎng)絡環(huán)境下的企業(yè)安全問題引發(fā)了管理者的擔心,能否創(chuàng)建安全穩(wěn)固的企業(yè)網(wǎng)絡是企業(yè)管理者最為看重的問題,也逐漸變成一個企業(yè)能否正常運轉(zhuǎn)的前提。因此,運用切實可靠的網(wǎng)絡安全管理方法、提高網(wǎng)絡的安全防護能力已經(jīng)企業(yè)一個重要研究的內(nèi)容。
2 影響企業(yè)網(wǎng)絡安全的因素
網(wǎng)絡安全關系到許多方面,不但涉及到網(wǎng)絡信息系統(tǒng)自身的安全問題,而且囊括邏輯的和物理的技術(shù)策略等。WWW、TCP/IP、電子郵件數(shù)據(jù)庫、數(shù)據(jù)庫是當前企業(yè)網(wǎng)絡通用標準和技術(shù),其廣域連接采用多種通信方式,大部分單位的系統(tǒng)被覆蓋。行業(yè)內(nèi)部信息存在于企業(yè)網(wǎng)絡的傳輸、處理和存儲各個環(huán)節(jié)。這些信息資源的保護和管理以及確保企業(yè)網(wǎng)絡內(nèi)部的各種信息在各個環(huán)節(jié)保持信息的完整、真實和防止非法截獲非常重要。
影響企業(yè)網(wǎng)絡安全的因素既有軟硬件的因素,也有人為的因素,既有來自網(wǎng)絡外部的,也來自網(wǎng)絡內(nèi)部的,歸結(jié)起來主要有幾方面。
2.1 網(wǎng)絡硬件的安全隱患
網(wǎng)絡中的的拓撲結(jié)構(gòu)還有硬件設備兩者均有對企業(yè)網(wǎng)絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差。
2.2 軟件缺陷和漏洞
在企業(yè)網(wǎng)絡中有各種各樣如應用軟件、操作系統(tǒng)的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利,企業(yè)也由此蒙受巨大的損失,這樣的例子在現(xiàn)實生活中層出不窮。比如,一些不為人知的軟件研發(fā)者為了個人原因(升級或自便)而設置的“后門”,黑客一旦破解打開這些“后門”,便可以肆虐的操作,完全控制用戶計算機,篡改數(shù)據(jù),后果不堪設想,損失更是不可估量;又如以方便快捷應用為目的的TCP/IP協(xié)議為網(wǎng)絡系統(tǒng)普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺,若是一些IT高手對此很了解,便可以輕松利用其缺陷攻擊網(wǎng)絡。
2.3 計算機病毒與惡意程序
網(wǎng)絡被普遍應用和告訴發(fā)展的時代,病毒傳播的主要途徑是網(wǎng)絡。一些企業(yè)的內(nèi)部網(wǎng)絡很容易被蠕蟲、病毒侵入,其特點是范圍廣、變化快、種類多、傳播速度快、破壞性大,其破壞性是巨大的。在網(wǎng)絡安全領域,病毒問題一直難以從根本上解決,原因總結(jié)為兩點:其一,技術(shù)原因,殺毒軟件總是在病毒出現(xiàn)后給用戶或是企業(yè)造成巨大損失后更新,滯后性和被動性不言而喻;其二,用戶的安全防范意識不高,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件,給傳播病毒提供了機會,巨大的威脅了網(wǎng)絡安全。
2.4 網(wǎng)絡入侵
網(wǎng)絡人侵的意思是網(wǎng)絡攻擊者在非授權(quán)的情況下獲得非法的權(quán)限,并通過這些非法的權(quán)限對用戶進行非法的操作,獲得網(wǎng)絡資源或是文件訪問,入侵進入公司或是企業(yè)內(nèi)部網(wǎng)絡,極大地危害計算機網(wǎng)絡,給社會帶來巨大財產(chǎn)或是信息損失。
2.5 人為因素
用戶安全意識淡薄,企業(yè)內(nèi)局域網(wǎng)應用不規(guī)范。企業(yè)內(nèi)網(wǎng)在實際運行中沒有限制,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業(yè)內(nèi)網(wǎng)中,系統(tǒng)的安全應用收到影響;接入網(wǎng)絡沒有很好地限制,如沒有限制接入的人員、時間方面,隨意、隨時上網(wǎng)不但容易使系統(tǒng)容易傳染上病毒,還有信息泄露、丟失的可能;不完善的專用虛擬系統(tǒng)安全防范措施;管理措施不到位;復雜的用戶人群,很多不是本系統(tǒng)專業(yè)的工作者,約束和監(jiān)管困難;衛(wèi)星信號很容易就被泄密,在空中傳輸無限信號的過程中,無線信號很容易被黑客截獲并利用;在很多企業(yè)中,沒有制定規(guī)范的管理網(wǎng)絡和生產(chǎn)網(wǎng)絡的隔離措施,一旦管理網(wǎng)絡沾染病毒,生產(chǎn)網(wǎng)絡也很容易被傳染。
2.6 其它的安全因素
威脅網(wǎng)絡安全的因素還有很多,比如,傳輸過程中的數(shù)據(jù)很容易被電磁輻射物破壞;非授權(quán)的惡意刪除或攻擊數(shù)據(jù)、破壞系統(tǒng);非法竊取復制或是盜用系統(tǒng)文件、資料、數(shù)據(jù)、信息,導致企業(yè)或是公司泄密等,其后果非常嚴重。
3 企業(yè)網(wǎng)絡的安全管理
企業(yè)網(wǎng)絡安全管理是保證網(wǎng)絡安全運行的基石,一些人為因素導致的網(wǎng)絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業(yè)應把建立健全企業(yè)網(wǎng)絡安全管理制度作為安全管理的重點,制定系統(tǒng)的安全管理方案,采取有效切實的管理政策。
企業(yè)的網(wǎng)絡管理主要從幾點努力。
3.1 健立健全企業(yè)規(guī)章制度
要保證網(wǎng)絡的相對安全,就務必制定詳細系統(tǒng)的安全制度,了解并認識網(wǎng)絡安全的重要性,一旦出現(xiàn)網(wǎng)絡安全事故,其相應處罰力度就必須嚴格按照處罰條例執(zhí)行到位,絕不能姑息手軟。為了做到切實保證企業(yè)的機密不泄露,建立對應的詳細的安全保密制度勢在必行,管理者還要經(jīng)常不斷檢查制度的實施情況。記錄出現(xiàn)違規(guī)的人員及情況、相應處罰情況、檢查的結(jié)果報告,做到今后有據(jù)可循,為以后出現(xiàn)類似情況提供管理依據(jù)。
3.2 樹立員工網(wǎng)絡安全意識
網(wǎng)絡安全工作要想做好,樹立企業(yè)工作人員的信息安全意識是首要任務,只有員工切身真正認識到信息安全對企業(yè)發(fā)展和前進的重要性,才能切實在實際工作中重視起來。企業(yè)要實常加強員工相應的信息安全的知識培訓,采用各種形式來增強員工的網(wǎng)絡安全意識,促使員工養(yǎng)成健康的使用計算機的習慣。
4 企業(yè)網(wǎng)絡安全防護措施
為了使企業(yè)網(wǎng)絡保持安全狀態(tài),企業(yè)網(wǎng)絡的安全防護措施必須與其具體需求要相結(jié)合,整合各種安全方案,創(chuàng)立一個多層次、完整的企業(yè)網(wǎng)絡防護體系,在為企業(yè)網(wǎng)絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具,但安全風險是不可避免的也是必須承擔的;其二是要注意企業(yè)網(wǎng)絡的可訪問性以及安全性平衡的保持;其三是考慮安全問題是在系統(tǒng)管理的多個層次、多個方面都存在的。在企業(yè)網(wǎng)絡中,主要有幾種安全防護的措施。
4.1 防火墻技術(shù)
防火墻技術(shù)是當下一種被廣泛應用的也是最為流行的網(wǎng)絡安全技術(shù),其核心主題是在外界網(wǎng)絡環(huán)境不安全的大前提下創(chuàng)建一個相對安全有保證的子網(wǎng)。防火墻能實時監(jiān)測進出于企業(yè)網(wǎng)絡的通訊交流數(shù)據(jù),允許安全合法的訪問的數(shù)據(jù)和計算機進入到企業(yè)網(wǎng)絡的內(nèi)部,把非授權(quán)的非法的數(shù)據(jù)和計算機擋在網(wǎng)絡,企業(yè)內(nèi)網(wǎng)及特殊站點應限制企業(yè)一般人員或是無關人員訪問,最大可能地阻止外部社會網(wǎng)絡中的黑客訪問鏈接企業(yè)內(nèi)部的網(wǎng)絡,阻止或是制止他們復制、篡改、破壞重要的或是機密信息。所以,防火墻是一道屏障,是在被保護的企業(yè)內(nèi)部網(wǎng)絡和社會外界網(wǎng)絡之間設置的,在網(wǎng)絡內(nèi)部網(wǎng)絡合外部非授權(quán)的網(wǎng)絡之間,企業(yè)內(nèi)部網(wǎng)不同的網(wǎng)絡安全環(huán)境之間,達到隔離和控制的目標,外部網(wǎng)絡的攻擊合截獲被有效控制。
4.2 數(shù)據(jù)加密技術(shù)
如果一些重要的機密的數(shù)據(jù)需要通過外部網(wǎng)絡傳送的,該數(shù)據(jù)的加密工作則需運用加密技術(shù)。防火墻技術(shù)以及數(shù)據(jù)加密技術(shù)兩者結(jié)合使用,增強網(wǎng)絡信息系統(tǒng)及內(nèi)部數(shù)據(jù)的保密性和安全性,謹防外部破壞重要的機密數(shù)據(jù)。
4.3 入侵檢測技術(shù)
安裝入侵監(jiān)測系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡中,信息從企業(yè)內(nèi)部計算機網(wǎng)絡中若干關鍵點中收集,并分析數(shù)據(jù),從中檢查企業(yè)內(nèi)部網(wǎng)絡中是否存在與安全策略相違背的行為或是入侵現(xiàn)象,如果檢測到可疑的未授權(quán)的IP地址,則來自此入侵地址的信息就會被自動切斷、同時給網(wǎng)絡管理員發(fā)送警告,企業(yè)內(nèi)部動態(tài)的網(wǎng)絡安全保護就可以實現(xiàn)。
4.4 網(wǎng)絡蠕蟲、病毒防護技術(shù)
盡管無法避免來自蠕蟲、病毒對企業(yè)內(nèi)部網(wǎng)絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播,減小它的危害范圍,或是沒有危害。在企業(yè)內(nèi)部網(wǎng)絡內(nèi),由于網(wǎng)絡節(jié)點不但存在于局域網(wǎng)中,又有接入到互聯(lián)網(wǎng)中的可能,一般的防護技術(shù)是很難做到把蠕蟲、病毒的威脅降低很多,在防病毒方面、通常要設計多層次阻止病毒體系。在企業(yè)安裝一般的常見的殺毒軟件時,通常要定時自動掃描系統(tǒng),另外,用戶在收發(fā)郵件時一定要打開殺毒軟件的實時監(jiān)控郵件病毒功能,實時地同步地對檢查郵件,抑制傳播郵件病毒。如果用戶安裝的網(wǎng)絡版殺毒軟件,那么全部網(wǎng)絡環(huán)境中每一個節(jié)點的病毒檢測情況可以被企業(yè)網(wǎng)絡的安全管理員如實準確的掌握,當然越先進的防病毒產(chǎn)品或是技術(shù)效果也就越好。
4.5 系統(tǒng)平臺與漏洞的處理
網(wǎng)絡安全管理員可以運用安全漏洞掃描技術(shù)了解掌握網(wǎng)絡的安全設備和正在進行的應用進程,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞,盡快改正網(wǎng)絡安全系統(tǒng)存在漏洞和網(wǎng)絡系統(tǒng)存在的有誤差配置,防范措施應該在黑客攻擊之前提早進行。
5 結(jié)束語
企業(yè)網(wǎng)絡安全不是最終的目的,更恰當和準確地說只是一種保障。隨著企業(yè)自身的發(fā)展和規(guī)模的壯大,企業(yè)網(wǎng)絡的普及也是勢在必行,網(wǎng)絡安全管理變得也就越來越復雜,網(wǎng)絡的安全管理和防護是企業(yè)發(fā)展的一項重要和艱巨的任務。在執(zhí)行維護網(wǎng)絡安全任務的同時,我們一定要注意把網(wǎng)絡安全防護技術(shù)、影響網(wǎng)絡安全的因素結(jié)合起來,制定有效的管理措施和技術(shù)方案,采取可行性高的防護措施,建立健全防護體系,增強企業(yè)內(nèi)部員工的網(wǎng)絡安全意識,從源頭上解決網(wǎng)絡安全問題。
參考文獻
[1] 宋軍.淺談企業(yè)網(wǎng)絡安全防護策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 趙尹琛,馬國華,文開豐.企業(yè)信息安全防護策略的研究[J].電腦知識與技術(shù),2011,(7);5346-5347.
[3] 邵琳,劉源.淺談企業(yè)網(wǎng)絡安全問題及其對策[J].科技傳播,2010,(10);186.
[4] 王希忠,曲家興,黃俊強等.網(wǎng)絡數(shù)據(jù)庫安全檢測與管理程序設計實現(xiàn)[J].信息網(wǎng)絡安全,2012,(02):14-18.
[5] 黃俊強,方舟,王希忠.基于Snort-wireless的分布式入侵檢測系統(tǒng)研究與設計[J].信息網(wǎng)絡安全,2012,(02):23-26.
企業(yè)網(wǎng)絡不安全因素主要分為來自企業(yè)內(nèi)部和企業(yè)外部。人為造成的數(shù)據(jù)丟失和破壞;管理不規(guī)范導致的故障;技術(shù)不成熟造成的不安全因素,來自黑客的攻擊和病毒的破壞;以及不可抗力造成的數(shù)據(jù)丟失等。
1.1現(xiàn)代企業(yè)管理上的不足
分工不明確,權(quán)責不清晰。一方面,很容易導致對網(wǎng)絡運行安全的不重視,出現(xiàn)互相推卸責任的局面。另一方面,也容易造成操作人員的管理不嚴格,缺乏整體系統(tǒng)的培訓,缺乏保密意識,從而帶來安全威脅。
1.2現(xiàn)代企業(yè)人為上的破壞
(1)來自企業(yè)內(nèi)部的攻擊。企業(yè)內(nèi)部人員非法訪問企業(yè)內(nèi)部資源,對企業(yè)網(wǎng)絡進行攻擊、破壞、惡意刪除和損壞企業(yè)數(shù)據(jù)。
(2)來自企業(yè)外部的攻擊。如黑客的攻擊,病毒的破壞等。
1.3網(wǎng)絡信患技術(shù)及應用上的漏洞
黑客主要是利用TCP/IP協(xié)議本身的漏洞,操作系統(tǒng)的漏洞,服務器的漏洞對企業(yè)網(wǎng)絡進行攻擊和破壞。
計算機病毒主要是通過電子郵件系統(tǒng),萬維網(wǎng)瀏覽,F(xiàn)TP下載,使用移動介質(zhì)等途徑對網(wǎng)絡進行攻擊和計算機病毒的傳播,嚴重威脅企業(yè)的網(wǎng)絡安全。
2.現(xiàn)代企迆網(wǎng)絡安全的防護手段
現(xiàn)代企業(yè)網(wǎng)絡安全管理的對象主要有網(wǎng)絡上的信息資源,保護企業(yè)網(wǎng)絡系統(tǒng)中的硬件、軟件及其他業(yè)務應用系統(tǒng)的數(shù)據(jù),確保不會因惡意的、不安全的因素而遭到破壞、更改、泄漏,保障各類系統(tǒng)可靠運行,網(wǎng)絡服務不會中斷?,F(xiàn)代企業(yè)網(wǎng)絡安全管理的內(nèi)容主要是從管理和技術(shù)這兩個方面人手。
2.1從組織管理層面進行規(guī)范
2.1.1設立專門的信息技術(shù)管理機構(gòu)、落實信息管理人員的責任
(1)成立專門負責計算機、服務器及網(wǎng)絡等設備的管理機構(gòu),明確各信息管理人員崗位分工和崗位職責,制定相應規(guī)章制度。
(2)加強對機房的監(jiān)管,嚴格按照機房巡檢要求,認真做好機房巡查工作,及時處理出現(xiàn)的故障,保障機房安全穩(wěn)定運行。嚴格執(zhí)行計算機房人員進出登記制度,進人機房人員登記具體時間、姓名及具體事由。
(3)各類信息管理人員根據(jù)崗位分工和崗位職責,每日對企業(yè)信息系統(tǒng)、網(wǎng)絡、業(yè)務系統(tǒng)、數(shù)據(jù)庫、安全設備、服務器等運行情況進行監(jiān)控和管理,做好相應的監(jiān)管和故障排查工作,確保能及時發(fā)現(xiàn)和解決問題。
2.1.2加強網(wǎng)絡安全教育
定期在企業(yè)開展計算機網(wǎng)絡知識、計算機應用及網(wǎng)絡安全的宣傳教育活動。普及相關知識,提高企業(yè)人員的計算機應用水平,及網(wǎng)絡安全保密意識.
2.2從技術(shù)應用層面進行管理
2.2.1防火墻技術(shù)和網(wǎng)絡隔離技術(shù)
防火墻是設置在兩個或多個網(wǎng)絡之間的安全阻隔,用于保證本地網(wǎng)絡資源的安全,通常是包含軟件部分和硬件部分的一個系統(tǒng)或多個系統(tǒng)的組合。處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡的訪問,及管理內(nèi)部用戶訪問外界網(wǎng)絡的系統(tǒng)。
網(wǎng)絡隔離是指根據(jù)數(shù)據(jù)的保密要求,將內(nèi)部網(wǎng)絡劃分為若千個子網(wǎng)。確保把有害的攻擊隔離,在可信的網(wǎng)絡之外和保?可信網(wǎng)絡內(nèi)部信息不泄漏的前提下,完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡隔離的形式可分為:物理隔離、協(xié)議隔離和VPN隔離等。
2.2.2加密與認證技術(shù)-
為了防止線路竊取,保證網(wǎng)絡會話完整性,將所有需要通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息進行加密。對于接收數(shù)據(jù)方在客戶端和服務器上要進行身份認證,只有提供有效的安全密碼、信息卡,通過驗證信息后才能獲取數(shù)據(jù)信息。通常加密方法有節(jié)點加密,端點加密,鏈路加密3種,加密是通過加密算法來實現(xiàn)。加密算法可分為私鑰加密算法和公鑰加密算法。
2.2.3網(wǎng)絡安全漏洞掃描
網(wǎng)絡攻擊、網(wǎng)絡人侵等安全事故的頻發(fā),多數(shù)是由于系統(tǒng)存在安全漏洞導致的。網(wǎng)絡安全掃描實際上是根據(jù)模擬網(wǎng)絡攻擊的方式,提前獲取可能會被攻擊的薄弱環(huán)節(jié),為系統(tǒng)安全提供可信的分析報告,發(fā)現(xiàn)未知漏洞并且及時修補已發(fā)現(xiàn)的漏洞。
2.2.4網(wǎng)絡入侵檢測
為了有效的彌補防火墻在某些方面的弱點和不足,入侵檢測系統(tǒng)作為一種積極主動的安全防護工具,為網(wǎng)絡安全提供內(nèi)部攻擊、外部攻擊和誤操作的實時和動態(tài)檢測,在計算機網(wǎng)絡和系統(tǒng)收到危害之前進行報餐、攔截和響應。人侵檢測可以分為基于主機、基于網(wǎng)絡和混合型入侵檢測系統(tǒng)三類?;旌闲褪腔谥鳈C和基于網(wǎng)絡的入侵檢測系統(tǒng)的結(jié)合,為前兩者提供了互補,還提供了人侵檢測的集中管理,采用這種技術(shù)能實現(xiàn)對人侵行為的全方位監(jiān)測。
2.2.5客戶端的防護
⑴為了減少病毒和防止病毒在企業(yè)網(wǎng)絡內(nèi)部中傳播,主要釆取病毒預防、病毒檢測及殺毒技術(shù)??蛻舳吮仨毎惭b殺毒及木馬查殺軟件,及時查殺病毒和木馬。
(2)要及時下載和安裝補丁程序,修復系統(tǒng)和軟件漏洞,有效的減少安全漏洞的隱患。
(3)做好移動介質(zhì)使用防護,在使甩前必須進行殺毒。
2.2.6最小授權(quán)原則
最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權(quán)(LeastPrivilege),指的是"在完成某種操作時所賦予網(wǎng)絡中每個主體(用戶或進程)必不可少的特權(quán)”。最小特權(quán)原則,則是指”應限定網(wǎng)絡中每個主體所必須的最小特權(quán),確??赡艿氖鹿?錯誤、網(wǎng)絡部件的篡改等原因造成的損失最小。
2.2.7遠程訪問控制
建立虛擬專用網(wǎng)(VPN)是目前實現(xiàn)遠程訪問的最佳選擇。VPN即虛擬專用網(wǎng),是通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。
對于遠程客戶端接入來說,只有允許經(jīng)過授權(quán)鑒別的用戶才能進行接入,并設置權(quán)限級別來控制每個用戶可以訪問的網(wǎng)絡資源范圍。
2.2.8數(shù)據(jù)備份與恢復
數(shù)據(jù)備份是容災的基礎,當系統(tǒng)出現(xiàn)災難性事件時,成為了企業(yè)重要的數(shù)據(jù)恢復手段。數(shù)據(jù)備份與恢復是為了防止系統(tǒng)出現(xiàn)操作失誤、系統(tǒng)故障而導致數(shù)據(jù)丟失,將全部或部分數(shù)據(jù)集合從應用主機的硬盤或陣列,復制到其它的存儲介質(zhì)的過程。建立并嚴格實施完整的數(shù)據(jù)備份方案,就能確保系統(tǒng)或數(shù)據(jù)受損時,能夠迅速和安全地將系統(tǒng)和數(shù)據(jù)恢復。
結(jié)論
關鍵詞:網(wǎng)絡安全網(wǎng)絡維護
中圖分類號:TU714文獻標識碼: A
企業(yè)網(wǎng)絡是企業(yè)實行信息化的基本要素,隨著信息化的不斷深入,企業(yè)對網(wǎng)絡的依賴日深。因此,企業(yè)網(wǎng)絡安全維護也越來越重要。從企業(yè)角度來看,網(wǎng)絡安全維護主要包括以下幾個方面:
1.核心機房環(huán)境:
核心機房的環(huán)境及設備中心機房環(huán)境是服務器安全的重要保證,機房空間寬大,安裝防靜電地板、墻面經(jīng)防火處理、機房采取無窗設計,安裝緊急照明系統(tǒng);安裝恒溫、恒濕空調(diào)保證機房的溫度和濕度,同時安裝全方位防雷系統(tǒng)、抗磁場干擾等裝置,機房內(nèi)部放置滅火、防水設備;為保障機房供電,機房電源采用常規(guī)供電和蓄電池兩套供電方式,并安裝UPS穩(wěn)壓設備,使斷電的危險性降至最小。
2.網(wǎng)絡布線:
如果線路遭到干擾,會使循環(huán)冗余校驗碼增加,降低網(wǎng)絡速度。在布線時應考慮到用合適的線槽,支架,從而有效的將強弱電分離,避免造成線路干擾。對于不同用途的光纖和網(wǎng)線,應采取不同的顏色進行安裝,而對于顏色相同的應采取加標簽等其他方法對其進行區(qū)分,以便出現(xiàn)網(wǎng)絡問題時維護人員可以盡快的解決。對于重要的線路應注意預留備用線路,維護人員也可以準備一些長距離網(wǎng)線以備應急使用。
3.網(wǎng)絡設備維護:
由于軟、硬件設備性能高低直接影響到網(wǎng)絡的運行快慢,建議購買較為高端的服務器,選用安全性高的網(wǎng)絡操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。對于設備的日常維護也是相當重要的,有效的維護才能保證企業(yè)信息系統(tǒng)高速運行,服務器的日常維護主要在于兩方面:
軟件維護。定期的清理磁盤冗余,檢查病毒;建立服務器日志,制定服務器設備安全檢查記錄,服務器啟停記錄,錯誤日志檢查記錄;建立數(shù)據(jù)庫日志,對數(shù)據(jù)庫的使用、擴展、修改、備份情況進行記錄;隨著系統(tǒng)的長時間運行,系統(tǒng)補丁要更新。
硬件維護。請專業(yè)人員定期檢測路由器、交換機、集線器、光纖收發(fā)器等設備,查看指示燈狀態(tài)是否正常,各種插頭是否松動,注意除垢、防水等[1]。
4.數(shù)據(jù)存儲備份:
信息化的高速發(fā)展 ,越來越多的中小型企業(yè)認識到數(shù)據(jù)存儲和備份的重要性,而對于數(shù)據(jù)存儲備份的方式主要有以下幾種,企業(yè)可根據(jù)條件選擇適合于自己的存儲備份方式。
1)重要數(shù)據(jù)光碟存儲
市面上常規(guī)的存儲設備主要是磁盤,依據(jù)其靠磁性介質(zhì)進行存儲的原理,隨著時間的流逝,磁盤上的數(shù)據(jù)就會發(fā)生丟失,而將數(shù)據(jù)刻入光盤,只要保存妥當,可以保證數(shù)據(jù)多年不會丟失。
2)磁盤陣列技術(shù)
由于服務器軟件故障或者是有硬件故障引起服務器不能正常工作 ,我們可以采用磁盤陣列技術(shù)對企業(yè)里的重要數(shù)據(jù)進行實時的監(jiān)控,一旦出現(xiàn)問題,數(shù)據(jù)會被另外的磁盤保存起來。
3)網(wǎng)絡備份數(shù)據(jù)
網(wǎng)絡數(shù)據(jù)是業(yè)界對企業(yè)生產(chǎn)系統(tǒng)所需相關的數(shù)據(jù)庫后臺和為了監(jiān)控生產(chǎn)而進行跟蹤的目標文件實施數(shù)據(jù)在線更新的重要方式 ,此種方式主要是將更新日志實時通過網(wǎng)絡傳送到備份系統(tǒng) ,備份系統(tǒng)依據(jù)日志反過來對磁盤更新的一種技術(shù)。中小型企業(yè)不需要投入很多,就可以利用現(xiàn)有的平臺,簡單且經(jīng)濟效益較高[2]。
5.病毒安全防護:
可根據(jù)條件將企業(yè)局域網(wǎng)和外部互聯(lián)網(wǎng)進行隔離,保護局域網(wǎng)不被病毒入侵;建立防火墻,安裝企業(yè)級殺毒軟件,網(wǎng)絡流量控制設備,對企業(yè)網(wǎng)絡安全進行實時監(jiān)控,對網(wǎng)絡流量進行控制保證企業(yè)網(wǎng)絡在無病毒的狀態(tài)下安全運行;周期性的對系統(tǒng)中的程序進行檢查,如有來歷不明的文件在掃描過程中會被發(fā)現(xiàn)并刪除,并清除不常用的軟件,從而提高設備性能;對于重要設備需關閉USB等端口防止外來設備對其進行干預。
6.人員技術(shù)培訓:
網(wǎng)絡管理員承擔著企業(yè)網(wǎng)絡的設計,構(gòu)建和維護的工作,其自身的技術(shù)水平對整個企業(yè)的網(wǎng)絡起著決定性的作用,需要進一步提高其工作能力和責任心。也可對其進行不定期的電腦基礎、網(wǎng)絡知識、應用軟件操作的培訓并考核。
而企業(yè)內(nèi)其他工作人員在上網(wǎng)的時候要注意提高自我的保護意識,不訪問陌生網(wǎng)站,也對企業(yè)網(wǎng)絡的正常運行起著重要的作用。
總結(jié)
企業(yè)網(wǎng)絡系統(tǒng)能否正常運行是決定企業(yè)業(yè)務正常開展的重要因素,在日常的工作中需要網(wǎng)絡管理人員提高工作能力,完善工作方法,加強對于網(wǎng)絡管理工作的責任心,全面深層的考察網(wǎng)絡中安全存在的問題,保證企業(yè)網(wǎng)絡安全、持久的運行[3]。
參考文獻
[1]聶敏.醫(yī)院信息系統(tǒng)網(wǎng)絡安全維護的措施[J].中華醫(yī)院管理雜志,2008,24(6):419-420.
關鍵詞:網(wǎng)絡安全 安全威脅 防范措施
隨著網(wǎng)絡技術(shù)的不斷發(fā)展,許多企業(yè)建立了自己的局域網(wǎng)及應用系統(tǒng),為生產(chǎn)、辦公提供了關鍵的數(shù)據(jù)傳輸平臺。網(wǎng)絡系統(tǒng)長期穩(wěn)定安全地運行,是為企業(yè)生產(chǎn)、辦公提供優(yōu)質(zhì)服務的保障。目前,企業(yè)網(wǎng)絡平臺建設已經(jīng)延伸到了各個單位的各個層面。在這樣大范圍分布的網(wǎng)絡中,業(yè)務系統(tǒng)、網(wǎng)絡的分散管理勢必會制約管理效率的提高,而且,也帶來了諸多安全隱患。本人結(jié)合實際經(jīng)驗,談一談網(wǎng)絡安全與防范技術(shù)。
1 企業(yè)網(wǎng)絡威脅分析
許多企業(yè)計算機網(wǎng)絡當前所面臨的威脅大體可分為兩種:一是對網(wǎng)絡中資源的威脅;二是對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網(wǎng)絡系統(tǒng)資源的非法使有,歸結(jié)起來,針對網(wǎng)絡安全的威脅主要有以下幾點:
1.1 人為的無意失誤 如用戶對計算機安全配置不當造成的安全漏洞,用戶安全意識不強,密碼口令設置較弱,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。
1.2 人為的惡意攻擊 這是計算機網(wǎng)絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害,并導致機密數(shù)據(jù)的泄漏。
1.3 網(wǎng)絡軟件的漏洞和系統(tǒng)后門 網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外,系統(tǒng)后門都是軟件公司的設計編程人員為了自己方便而設置的,一般不為外人所知,但一旦后門洞開,其造成的后果將不堪設想。
1.4 病毒是網(wǎng)絡安全的一大隱患 目前,全球已發(fā)現(xiàn)四萬余種病毒,并且以每月新增300多種的速度繼續(xù)破壞著網(wǎng)絡上寶貴的信息資源。計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產(chǎn)生變種,其速度之快令人難以預防。
2 企業(yè)網(wǎng)絡脆弱性分析
2.1 難以抵制針對系統(tǒng)自身缺陷的攻擊 此類攻擊手段包括特洛伊木馬、口令猜測、緩沖區(qū)溢出等。利用系統(tǒng)固有的或系統(tǒng)配置及管理過程中的安全漏洞,穿透或繞過安全設施的防護策略,達到非法訪問直至控制系統(tǒng)的目的,并以此為跳板,繼續(xù)攻擊其它系統(tǒng)。
2.2 安全監(jiān)控手段不多 許多企業(yè)沒有部署有效的流量管理措施,不能對企業(yè)網(wǎng)絡中的流量進行監(jiān)控。當網(wǎng)絡中垃圾數(shù)據(jù)包大量產(chǎn)生,P2P、BT下載猖獗,會嚴重阻塞網(wǎng)絡,拖慢網(wǎng)絡中重要業(yè)務應用,并最終導致系統(tǒng)癱瘓。
2.3 防病毒系統(tǒng)難以應對復雜多變的病毒環(huán)境 現(xiàn)在很多病毒為利用操作系統(tǒng)漏洞進行傳播的蠕蟲病毒,這種類型的病毒整合了傳統(tǒng)病毒傳播和黑客攻擊的技術(shù),以多種方式進行傳播和攻擊。它不需要人工干預,能夠自動發(fā)現(xiàn)和利用系統(tǒng)漏洞,并自動對有系統(tǒng)漏洞的計算機進行傳播和攻擊,其傳播和感染速度極快,破壞性也更強,受感染的系統(tǒng)通常伴隨著木馬程序種植。這種類型的病毒除了破壞被感染的機器,在傳播過程中也會形成DOS攻擊,阻塞網(wǎng)絡。
2.4 網(wǎng)絡設計不合理 網(wǎng)絡設計是指拓撲結(jié)構(gòu)的設計和各種網(wǎng)絡設備的選擇、配置等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設計在節(jié)約資源的情況下,還可以提供較好的安全性。企業(yè)的網(wǎng)絡架構(gòu)簡單,交換機配置不合理,都會對網(wǎng)絡造成威脅。
2.5 缺少嚴格合理的安全管理制度 政策的不完善、落實不徹底、安全管理制度的不健全、措施不得力和缺乏有效的動態(tài)管理網(wǎng)絡系統(tǒng)安全策略的能力等都可能形成對系統(tǒng)安全的威脅。
3 防范措施
3.1 防火墻部署 防火墻是建立在內(nèi)部專有網(wǎng)絡和外部公有網(wǎng)絡之間的。所有來自公網(wǎng)的傳輸信息或從內(nèi)網(wǎng)發(fā)出的信息都必須穿過防火墻。網(wǎng)絡訪問的安全一方面我們要配置防火墻禁止對內(nèi)訪問,以防止互聯(lián)網(wǎng)上黑客的非法入侵;另一方面對允許對內(nèi)訪問的合法用戶設立安全訪問區(qū)域。防火墻是在系統(tǒng)內(nèi)部和外部之間的隔離層,可保護內(nèi)部系統(tǒng)不被外部系統(tǒng)攻擊。
通過配置安全訪問控制策略,可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進行過濾,通過防火墻的設置,對內(nèi)網(wǎng)、公網(wǎng)、DMZ區(qū)進行劃分,并實施安全策略,防止外部用戶或內(nèi)部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能,對經(jīng)常出差的領導、員工支持遠程私有網(wǎng)絡,用戶通過公網(wǎng)可以象訪問本地內(nèi)部局域網(wǎng)一樣任意進行訪問。此外,防火墻還可以收集和記錄關于系統(tǒng)和網(wǎng)絡使用的多種信息,為流量監(jiān)控和入侵檢測提供可靠的數(shù)據(jù)支持。
3.2 防病毒系統(tǒng) 在網(wǎng)絡環(huán)境下,計算機病毒有不可估量的威脅性和破壞力,因此計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。
通過部署防病毒系統(tǒng),做到實現(xiàn)集中病毒管理,在中心控制臺可監(jiān)視所有部署防病毒客戶端的計算機和服務器。并可據(jù)具體需要制定出相應的防范和救治措施,如刪除,隔離,殺毒等;能夠?qū)M入系統(tǒng)的病毒做實時的響應。自動由中心控制臺向其它計算機和服務器更新病毒庫。可以預先設定對某些重要文件進行實時掃描監(jiān)控。
3.3 流量監(jiān)控系統(tǒng) 什么是流量監(jiān)控?眾所周知,網(wǎng)絡通信是通過數(shù)據(jù)包來完成的,所有信息都包含在網(wǎng)絡通信數(shù)據(jù)包中。兩臺計算機通過網(wǎng)絡“溝通”,是借助發(fā)送與接收數(shù)據(jù)包來完成的。所謂流量監(jiān)控,實際上就是針對這些網(wǎng)絡通信數(shù)據(jù)包進行管理與控制,同時進行優(yōu)化與限制。流量監(jiān)控的目的是允許并保證有用數(shù)據(jù)包的高效傳輸,禁止或限制非法數(shù)據(jù)包傳輸,一保一限是流量監(jiān)控的本質(zhì)。在P2P技術(shù)廣泛應用的今天,企業(yè)部署流量監(jiān)控是非常有必要的。
3.4 合理的配置策略 通過將企業(yè)網(wǎng)絡劃分為虛擬網(wǎng)絡VLAN網(wǎng)段,可以強化網(wǎng)絡管理和網(wǎng)絡安全。
3.4.1 增加了網(wǎng)絡連接的靈活性 借助VLAN技術(shù),能將不同地點、不同網(wǎng)絡、不同用戶組合在一起,形成一個虛擬的網(wǎng)絡環(huán)境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用,特別是一些業(yè)務情況有經(jīng)常性變動的公司使用了VLAN后,這部分管理費用大大降低。
3.4.2 控制網(wǎng)絡上的廣播 VLAN可以提供建立防火墻的機制,防止交換網(wǎng)絡的過量廣播。使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機,在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的產(chǎn)生。
3.4.3 增加網(wǎng)絡的安全性 因為一個VLAN就是一個單獨的廣播域,VLAN之間相互隔離,這大大提高了網(wǎng)絡的利用率,確保了網(wǎng)絡的安全保密性。交換端口可以基于應用類型和訪問特權(quán)來進行分組,被限制的應用程序和資源一般置于安全性VLAN中。
3.5 安全管理制度 面對網(wǎng)絡安全的脆弱性,除了在網(wǎng)絡設計上增加安全服務功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強網(wǎng)絡的安全管理,制訂相應的管理制度或采用相應的規(guī)范。對于安全等級要求較高的系統(tǒng),要實行分區(qū)控制,限制工作人員出入與己無關的區(qū)域。出入管理可安裝自動識別登記系統(tǒng),采用指紋鎖、身份卡等手段,對人員進行識別、登記管理。
4 結(jié)束語
總之,網(wǎng)絡安全是需要綜合的部署和完善的策略來做保證的。企業(yè)的網(wǎng)絡安全是一項綜合性很強的工作,并且持續(xù)的時間將隨著整個拓撲和應用的周期而擴展。網(wǎng)絡管理人員必須明確網(wǎng)絡安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設計的基本原則,根據(jù)規(guī)定的安全策略制定出合理靈活的部署,這樣才能真正做到整個網(wǎng)絡的安全。
參考文獻:
我們本次評測的重點有兩個,第一卡巴斯基開放空間安全解決方案加強版在企業(yè)網(wǎng)絡中的部署能力,以及對安全部署后的管理能力。第二是實際的病毒攻擊和掛馬測試等,該測試將在服務器和工作站端同時進行,以檢測這款產(chǎn)品的遠程保護和遠程清除能力。
卡巴斯基開放空間安全解決方案是一款集多個產(chǎn)品線組成的安全解決方案,能夠為工作站,服務器、網(wǎng)關等網(wǎng)絡終端提供安全保障,甚至其安全保障還延伸到了手機安全策略,不過我們本次測試由于環(huán)境局限,并沒有對手機部分進行測試。
針對本次卡巴斯基開放空間安全解決方案加強版的測試。我們特別搭建了測試環(huán)境和測試平臺,參與測試的有5臺工作站和1臺服務器。并且搭建了千兆的網(wǎng)絡環(huán)境和Intel AGN標準無線網(wǎng)絡環(huán)境,將測試平臺部署成網(wǎng)絡,連接外部互聯(lián)網(wǎng)的是1條10MB ADSL。再添加多個工作站即可成為一個中小型企業(yè)的網(wǎng)絡部署結(jié)構(gòu),所以本次測試同樣適用于中小型企業(yè)。
管理工具在服務器端的安裝
部署卡巴斯基開放空間安全解決方案加強版首先需要在服務器端安裝卡巴斯基管理工具8.0軟件,管理者可通過該軟件對網(wǎng)絡內(nèi)的任何工作站進行安全管理。這是卡巴斯基開放空間安全解決方案加強版的核心部件之一。
制作卡巴斯基一鍵安裝包是部署的核心工作,管理者在該處即可完成網(wǎng)絡設定,規(guī)劃好工作站網(wǎng)絡結(jié)構(gòu)。通過制作多功能多分類的卡巴斯基一鍵安裝包分發(fā)到制定工作站,完成復雜網(wǎng)絡的部署。
工作站的部署與安裝
卡巴斯基開放空間安全解決方案應對于中小型企業(yè)的部署有三種方式:
一、通過網(wǎng)站方式或文件共享方式進行部署安裝:
二、通過管理端的網(wǎng)絡推送方式進行部署安裝;
三、通過拷貝文件的方式進行分發(fā)的本地安裝來完成部署;
總的來看,以第一種方式來進行部署安裝是最為方便的。第二種方式部署管理性強,比較適用于異地安裝;第三種方式最為常見,但不適用于大批量工作站的部署;三種方式各有優(yōu)劣。
卡巴斯基開放空間安全解決方案加強版提供的三種解決方案可以完成從中小型企業(yè)到大型企業(yè)的部署工作,甚至會議安全部署與賽事部署都可以輕松解決。還有一種面向域的不是方式,這種方式更適合有獨立域的企業(yè)完成部署,其復雜程度要高過以上介紹的三種方式,故我們在本文中就不在進行介紹。
卡巴斯基管理工具應用
既然要管理多臺工作站,那么對于管理者而言就要制定安全管理策略,卡巴斯基管理工具8.0內(nèi)置了標準的管理策略,并且管理者還能夠具備自定義安全管理策略。部屬和組任務,完成對加入管理組的工作站的管理。
保護Windows工作站中可以查看到部署的計算機餅狀分布圖,能夠顯示準備執(zhí)行計算機,正在執(zhí)行計算機、執(zhí)行成功的計算機和執(zhí)行失敗的計算機并能夠查看執(zhí)行詳細。管理者可編輯策略包含主動防御,反黑客,文件反病毒等策略。編輯完成后激活執(zhí)行即可,管理者只需要執(zhí)行策略的反饋。
組任務操作包含掃描工作站和服務器病毒,更新工作站和服務器病毒四項系統(tǒng)內(nèi)置的任務。掃描屬性上可設定掃描計劃時間、掃描對象,通知、掃描到病毒后的執(zhí)行狀況。更新部分可為部署好的工作站更新病毒庫,應用程序等。
客戶端計算機中可查看到當前連接到管理服務器的狀態(tài),包含連接時間和安裝狀態(tài)等。
要統(tǒng)計龐大的工作站終端,就需要設計合理的統(tǒng)計報表??ò退够芾砉ぞ叩膱蟾婧屯ㄖ獦撕炛心軌?qū)崟r的顯示網(wǎng)絡運營的各項狀態(tài)。包含保護狀體、保護范圍報告、反病毒庫版本報告、外部程序報告、病毒報告、授權(quán)報告等等。管理者每次計劃掃描的結(jié)果都會匯總在此,對我們用處較大的是病毒報告,大部分受感染計算機報告和回執(zhí)的錯誤報告。
報告和通知的功能我們在此不在列舉,這款軟件的設計能夠使繁瑣的網(wǎng)絡管理變得簡單易操控。
卡巴斯基管理工具還具備數(shù)據(jù)備份、發(fā)送報告,管理工具下載更新任務工具,這些工具能夠良好的維護自身的更新與運轉(zhuǎn)??ò退够芾砉ぞ吣軌?qū)χ付ǖ膯为氂嬎銠C進行任務操作。
從上文的介紹來看,卡巴斯基開放安全解決方案加強版擁有方便快速有效的部署到簡單易用的集中管理的特色,這對于企業(yè)應用而言非常有實用的特點。以開放部署應對網(wǎng)絡的開放性,以集中管理閉合網(wǎng)絡的開放性,是這款產(chǎn)品的最“深刻”的地方。
常規(guī)病毒樣本掃描測試
常規(guī)病毒樣本掃描是殺毒軟件的基礎,能否很好的進行快速判定和有效清除,是考核殺毒軟件核心殺毒能力和技術(shù)引擎判定標準之一。我們實際測試了卡巴斯基反病毒window工作站6.0加強版在工作站軟件的查殺能力,選用了一款含有141個常規(guī)病毒的數(shù)據(jù)樣本包??ò退够床《網(wǎng)indow工作站6.0加強版能夠非常好的識別出病毒,并詢問對病毒文件的處理。
經(jīng)過測試卡巴斯基反病毒W(wǎng)indow工作站6.0加強版達到了99%的查殺率,常規(guī)病毒樣本掃描測試效果非常好。
特征碼掃描測試是檢測殺毒軟件掃描引擎的關鍵測試,它區(qū)別于常規(guī)病毒樣本掃描那樣有針對性,而是通過識別病毒特征進行掃描查殺,這項測試的測試結(jié)果直接影響一款產(chǎn)品的好壞。我們使用了100個特征碼病毒的樣本包進行測試,測試過程,卡巴斯基反病毒W(wǎng)indow工作站6.0加強版能夠快速的識別并進行相關詢問操作。
防掛馬能力測試,是檢測一款殺毒軟件對網(wǎng)頁木馬能否識別并攔截的測試。這對于能夠訪問互聯(lián)網(wǎng)的工作站是非常有必要部屬的,能夠抵御來自互聯(lián)網(wǎng)病毒的侵害。本項測試我們通過訪問攜帶木馬的網(wǎng)頁來進行測試,訪問的多個“掛馬”網(wǎng)頁卡巴斯基反病毒W(wǎng)indow工作站6.0加強版都能都很好的進項攔截。
卡巴斯基反病毒W(wǎng)indow工作站6.0加強版在本次測試中表現(xiàn)很好,識別率為100%,本次測試值得稱道。
卡巴斯基反病毒W(wǎng)indow工作站6.0加強版設計有主動防御功能,顧名思義即對計算機正在運行的應用程序進行主動的分析,以達到實時發(fā)現(xiàn)和查殺病毒的作用。同時還能夠保護注冊表不被惡意的篡改等等。