企业网络安全方案范文

时间:2023-05-05 18:16:33

导语:如何才能写好一篇企业网络安全方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

企业网络安全方案

篇1

关键词:企业网络;安全;病毒;物理

在现代企业的生存与发展过程中,企业网络安全威胁与企业网络安全防护是并行存在的。虽然企业网络安全技术与以往相比取得了突破性的进展,但过去企业网络处于一个封闭或者是半封闭的状态,只需简单的防护设备和防护方案即可保证其安全性。而当今大多数企业网络几乎处于全球互联的状态,这种时空的无限制性和准入的开放性间接增加了企业网络安全的影响因素,自然给企业网络安全带来了更多的威胁。因此,企业网络安全防护一个永无止境的过程,对其进行研究无论是对于网络安全技术的应用,还是对于企业的持续发展,都具有重要的意义。

1企业网络安全问题分析

基于企业网络的构成要素以及运行维护条件,目前企业网络典型的安全问题主要表现于以下几个方面。

1.1网络设备安全问题

企业网络系统服务器、网络交换机、个人电脑、备用电源等硬件设备,时常会发生安全问题,而这些设备一旦产生安全事故很有可能会泄露企业的机密信息,进而给企业带来不可估量经济损失。以某企业为例,该企业网络的服务器及相关网络设备的运行电力由UPS接12V的SOAK蓄电池组提供,该蓄电池组使用年限行、容量低,在长时间停电的情况下,很容易由于蓄电池的电量耗尽而导致整个企业网络的停运。当然,除了电源问题外,服务器、交换机也存在诸多安全隐患。

1.2服务器操作系统安全问题

随着企业规模的壮大以及企业业务的拓展,对企业网络服务器的安全需求也有所提高。目前诸多企业网络服务器采用的是WindowsXP或Windows7操作系统,由于这些操作系统存在安全漏洞,自然会降低服务器的安全防御指数。加上异常端口、未使用端口以及不规范的高权限账号管理等问题的存在,在不同程度上增加了服务器的安全威胁。

1.3访问控制问题

企业网络访问控制安全问题也是较为常见的,以某企业为例,该企业采用Websense管理软件来监控企业内部人员的上网行为,但未限制存在安全隐患的上网活动。同时对于内部上网终端及外来电脑未设置入网认证及无线网络访问节点安全检查,任何电脑都可在信号区内接入到无线网络。

2企业网络安全防护方案

基于上述企业网络普遍性的安全问题,可以针对性的提出以下综合性的安全防护方案来提高企业网络的整体安全性能。

2.1网络设备安全方案

企业网络相关设备的安全性能是保证整个企业网络安全的基本前提,为了提高网络设备的整体安全指数,可采取以下具体措施。首先,合适传输介质的选用。尽量选择抗干扰能力强、传输频带宽、传输误码率低的传输介质,例如屏蔽式双绞线、光纤等。其次是保证供电的安全可靠。企业网络相关主干设备对交流电源的生产质量、供电连续性、供电可靠性以及抗干扰性等指标提出了更高的要求,这就要求对企业网络的供电系统进行优化。以上述某企业网络系统电源供电不足问题为例,为了彻底解决传统电源供给不足问题,可以更换为大容量的蓄电池组,并安装固定式发电机组,进而保证在长时间停电状态下企业网络设备的可持续供电,避免因为断电而导致文件损坏及数据丢失等安全问题的发生。

2.2服务器系统安全方案

企业网络服务器系统的安全尤为重要,然而其安全问题的产生又是多方面因素所导致的,需要从多个层面来构建安全防护方案。

2.2.1操作系统漏洞安全

目前企业网络服务器操作系统以Windows为主,该系统漏洞的出现成为了诸多攻击者的重点对象,除了采取常规的更新Windows系统、安装系统补丁外,还应针对企业网络服务器及个人电脑的操作系统使用实际情况,实施专门的漏洞扫描和检测,并根据扫描结果做出科学、客观、全面的安全评估,如图1所示,将证书授权入侵检测系统部署在核心交换机的监控端口,并在不同网段安装由中央工作站控制的网络入侵检测,以此来检测和响应网络入侵威胁。图1漏洞扫描及检测系统

2.2.2Windows端口安全

在Windows系统中,端口是企业实现网络信息服务主要通道,一般一台服务器会绑定多个IP,而这些IP又通过多个端口来提高企业网络服务能力,这种多个端口的对外开放在一定程度反而增加了安全威胁因素。从目前各种服务器网络攻击的运行路径来看,大多数都要通过服务器TCP/UDP端口,可充分这一点来预防各种网络攻击,只需通过命令或端口管理软件来实现系统端口的控制管理即可。

2.2.3Internet信息服务安全

Internet信息服务是以TCP/IP为基础的,可通过诸多措施来提高Internet信息服务安全。(1)基于IP地址实现访问控制。通过对IIS配置,可实现对来访IP地址的检测,进而以访问权限的设置来阻止或允许某些特定计算机的访问站点。(2)在非系统分区上安装IIS服务器。若在系统分区上安装IIS,IIS就会具备非法访问属性,给非法用户侵入系统分区提供便利,因此,在非系统分区上安全IIS服务器较为科学。(3)NTFS文件系统的应用。NTFS文件系统具有文件及目录管理功能,服务器Windows2000的安全机制是基于NTFS文件系统的,因此Windows2000安装时选用NTFS文件系统,安全性能更高。(4)服务端口号的修改。虽然IIS网络服务默认端口的使用为访问提供了诸多便捷,但会降低安全性,更容易受到基于端口程序漏洞的服务器攻击,因此,通过修改部分服务器的网络服务端口可提高企业网络服务器的安全性。

2.3网络结构安全方案

2.3.1强化网络设备安全

强化企业网络设备的自身安全是保障企业网络安全的基础措施,具体包含以下措施。(1)网络设备运行安全。对各设备、各端口运行状态的实时监控能有效发现各种异常,进而预防各种安全威胁。一般可通过可视化管理软件的应用来实现上述目标,例如What’supGold能实现对企业网络设备状态的监控,而SolarWindsNetworkPerformancemonitor可实现对各个端口流量的实时监控。(2)网络设备登录安全。为了保证网络设备登录安全指数,对于企业网络中的核心设备应配置专用的localuser用户名,用户名级别设置的一级,该级别用户只具备读权限,一般用于console、远程telnet登录等需求。除此之外,还可设置一个单独的super密码,只有拥有super密码的管理员才有资格对核心交换机实施相关配置设置。(3)无线AP安全。一般在企业内部有多个无线AP设备,应采用较为成熟的加密技术设置一个较为复杂的高级秘钥,从而确保无线接入网的安全性。

2.3.2细分网络安全区域

目前,广播式局域的企业网络组网模式存在着一个严重缺陷就是当其中各个局域网存在ARP病毒时,未设置ARP本地绑定或未设置ARP防火墙的终端则无法有效访问系统,同时还可能泄露重要信息。为了解决这种问题,可对整个网络进行细分,即按某种规则如企业职能部门将企业网络终端设备划分为多个网段,在每个网段均有不同的vlan,从而保证安全性。

2.3.3加强通问控制

针对企业各个部门对网络资源的需求,在通问控制时需要注意以下几点:对内服务器应根据提供的业务与对口部门互通;对内服务器需要与互联网隔离;体验区只能访问互联网,不能访问办公网。以上功能的实现,可在核心路由器和防火墙上共同配合完成。

作者:李常福 单位:郑州市中心医院

篇2

【论文摘要】 在网络攻击手段日益增多,攻击频率日益增高的背景下,为了确保企业的信息资源、生产数据资料的安全保密,解决企业计算机网络中存在的安全隐患。需要一种静态技术和动态技术相结合的安全解决方案,即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系。包括防病毒技术;防火墙技术;入侵检测技术;网络性能监控及故障分析技术;漏洞扫描安全评估技术;主机访问控制等。

信息技术正以其广泛的渗透性和无与伦比的先进性与传统产业结合,随着Internet网络的飞速发展,使网络的重要性和对社会的影响越来越大。企业的办公自动化、生产业务系统及电子商务系统对网络系统的依赖性尤其突出,但病毒及黑客对网络系统的恶意入侵使企业的信息网络系统面临着强大的生存压力,网络安全问题变得越来越重要。

企业网络安全主要来自以下几个方面:①来自INTERNET的安全问题;②来自外部网络的安全威胁;③来自内部网络的安全威胁。

针对以上安全威胁,为了确保企业的信息资源、生产数据资料的安全保密,解决企业计算机网络中存在的安全隐患,本文介绍一种静态技术和动态技术相结合的安全解决方案,即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系:①防病毒技术;②防火墙技术;③入侵检测技术;④网络性能监控及故障分析技术;⑤漏洞扫描安全评估技术;⑥主机访问控制。

一、防病毒技术

对于企业网络及网内大量的计算机,各种病毒更是防不胜防,如宏病毒和变形病毒。彻底清除病毒,必须采用多层的病毒防护体系。企业网络防病毒系统采用多层的病毒防卫体系和层次化的管理结构,即在企业信息中心设防病毒控制台,通过该控制台控制各二级网络中各个服务器和工作站的防病毒策略,监督整个网络系统的防病毒软件配置和运行情况,并且能够进行相应策略的统一调整和管理:在较大的下属子公司设置防病毒服务器,负责防病毒策略的设置、病毒代码分发等工作。其中信息中心控制台作为中央控制台负责控制各分控制台的防病毒策略,采集网络中所有客户端防毒软件的运行状态和配置参数,对客户端实施分组管理等。管理员可以通过管理员客户端远程登录到网络中的所有管理服务器上,实现对整个网络的管理。根据需要各个管理服务器还可以由专门的区域管理员管理。管理服务器负责收集网络中的客户端的实时信息, 分发管理员制定的防毒安全策略等。

配套软件:冠群金辰KILL6.0。KILL采用服务器/客户端构架,实时保护Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系统的服务器及Internet网关服务器,防止各种引导型病毒、文件型病毒、宏病毒、传播速度快且破坏性很大的蠕虫病毒进入企业内部网,阻止不怀好意的Java、ActiveX小程序等攻击企业内部网络系统。它通过全方位的网络管理、多种报警机制、完整的病毒报告、支持远程服务器、软件自动分发,帮助管理员更好的实施网络防病毒工作。

二、防火墙技术

防火墙是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而抵御网络外部安全威胁,保护内部网络免受非法用户的侵入,它是一个把互联网与内部网(局域网或城域网)隔开的屏障,控制客户机和真实服务器之间的通讯,主要包括以下几方面的功能:①隔离不信任网段间的直接通讯;②拒绝非法访问;③系统认证;④日志功能。在计算机网络中设置防火墙后,可以有效防止非法访问,保护重要主机上的数据,提高网络的安全性。

配套软件:NetScreen。NetScreen是唯一把防火墙、负载均衡及流量控制结合起来,且提供100M的线速性能的软硬件相结合的产品,在Internet出口、拨号接入入口、企业关键服务器的前端及与电信、联通的连接出口处增设NetScreen-100f防火墙,可以实现企业网络与外界的安全隔离,保护企业的关键信息。

三、入侵检测系统

入侵检测系统(IDS)是一种为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是对防火墙的必要补充,它可以对系统或网络资源进行实时检测,及时发现恶意入侵者或识别出对计算机的非法访问行为,并对其进行隔离,并能收集可以用来诉讼的犯罪证据。

配套软件: eTrust Intrusion Detection(Sessionwall-3)。利用基于网络的eTrust Intrusion Detection建立入侵检测系统来保证企业网络系统的安全性。

首先,信息管理中心设立整个网络监控系统的控制中心。通过该控制台,管理员能够对其它网络入侵检测系统进行监控和配置。在该机器上安装集中控制的eID中央控制台模块、eID日志服务器模块和eID日志浏览器模块,使所有eTrust Intrusion Detection监控工作站处于集中控制之下,该安全主控台也被用于集中管理所有的主机保护系统软件。

其次,在Internet出口路由器和防火墙之间部署一套eTrust Intrusion Detection的监控工作站,重点解决与Internet的边界安全问题,在这些工作站上安装软件,包括eID基本模块、eID模块和日志数据库客户端。

四、网络性能监控及故障分析

性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它自动接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。

配套软件——NAI Sniffer。NAI Sniffer 是一套功能强大的网络故障侦测工具,它可以帮助用户快速诊断网络故障原因,并提出具体的解决办法。在信息中心安装这样的工具,用于对网络流量和状态进行监控,而且无论全网任何地方发生问题时,都可以利用它及时诊断并排除故障。

五、网络系统的安全评估

网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞、结构漏洞、信任漏洞。采用安全扫描技术与防火墙、安全监控系统互相配合来检测系统安全漏洞。

网络安全漏洞扫描系统通常安装在一台与网络有连接的主机上。系统中配有一个信息库,其中存放着大量有关系统安全漏洞和可能的黑客攻击行为的数据。扫描系统根据这些信息向网络上的其他主机和网络设备发送数据包,观察被扫描的设备是否存在与信息库中记录的内容相匹配的安全漏洞。扫描的内容包括主机操作系统本身、操作系统的配置、防火墙配置、网路设备配置以及应用系统等。

网络安全扫描的主要性能应该考虑以下方面:①速度。在网络内进行安全扫描非常耗时;②网络拓扑。通过GUI的图形界面,可选择一个或某些区域的设备;③能够发现的漏洞数量;④是否支持可定制的攻击方法;⑤扫描器应该能够给出清楚的安全漏洞报告。⑥更新周期。提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性升级,并给出相应的改进建议。

通过网络扫描,系统管理员可以及时发现网路中存在的安全隐患,并加以必要的修补,从而减小网络被攻击的可能。

配套软件:Symantec Enterprise Security Manger 5.5。

六、主机防护系统

在一个企业的网络环境中,大部分信息是以文件、数据库的形式存放在服务器中的。在信息中心,使用WWW、Mail、文件服务器、数据库服务器来对内部、外部用户提供信息。但无论是UNIX还是Windows 9X/NT/2K,都存在着这样和那样的安全薄弱环节,存放在这些机器上的关键业务数据存在着被破坏和窃取的风险。因此,对主机防护提出了专门的需求。

配套软件:CA eTrust Access。eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层。通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。

通过eTrust Access Control,我们可以集中维护多台异构平台的用户、组合安全策略,以简化安全管理工作。

通过以上几种安全措施的实施,从系统级安全到桌面级安全,从静态访问控制到动态入侵检测主要层面:方案覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为监控响应和事后信息监控取证的全过程,从而全面解决企业的信息安全问题,使企业网络避免来自内外部的攻击,防止病毒对主机的侵害和在网络中的传播。使整个网络的安全水平有很大程度的提高。

【参考文献】

篇3

关键词:无线网络规划;无线网络风险;无线安全检查项目;无线网络安全指引

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6262-03

1 概述

有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。

因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。

2 无线网络传输风险

现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。

倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。

2.1 伪冒基地机风险

目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。

2.2 弱加密机制传输风险

WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。

许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。

当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。

3 无线网络安全架构

近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。

3.1 企业无线局域网安全目标

企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。

机密性(Confidentiality)

无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。

完整性(Integrity)

无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。

认证性(Authentication)

建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。

因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。

内部网络:

为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。

一般网络:

主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。

因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。

3.2内部网络安全架构

减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。

企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。

企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。

为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。

企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。

为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。

考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。

企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。

另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。

IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。

4 结论

由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。

参考文献:

[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.

[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.

[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.

[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.

篇4

随着近年来信息化的快速推进,供电企业网络信息系统与Internet的交互日益频繁,基于Internet的业务呈不断增长态势。电力行业作为国民经济的重要组成部分,已经在人们的正常生活中不可缺少。电力系统的是否安全可靠,关系着国民经济的发展,更影响着人们的日常生活。然而电力企业信息网络的发展还不健全,尚存在很多安全问题。这些问题正是黑客和病毒入侵的目标。县级供电企业是整个电力企业的基本单位,只有保证县级供电企业信息网络的安全,才能使整个电力行业正常的运行,因此对其信息网络安全的研究受到越来越多的关注。

2 信息网络安全概述

信息网络安全是指运用各种相关技术和管理,使网络信息不受危害和威胁,保证信息的安全。由于计算机网络在建立时就存在缺陷,本身具有局限性,使其网络系统的硬件和软件资源都有可能遭到破坏和入侵,严重时甚至可能引起整个系统的瘫痪,以至于造成巨大的损失。相对于外界的破坏,自身的防守时非常艰巨的,必须保证每个软件、每一项服务,甚至每个细节都要安全可靠。因此要对网络安全进行细致的研究,下面介绍其特征:

2.1 完整性

主要是指数据的完整性。数据信息在未经许可的情况下不能进行任何修改。

2.2 保密性

未经授权的用户不能使用该数据。

2.3 可用性

被授权的用户可以根据自己的需求使用该数据,不能阻碍其合法使用。

2.4 可控性

系统要能控制能够访问数据的用户,可以被访问的数据以及访问方式,并记录所有用户在系统内的网络活动。

3 信息网络系统安全存在的问题

3.1 系统设备和软件存在漏洞

网络系统的发展时间很短,因此其操作系统、协议和数据库都存在漏洞,这些漏洞变成为黑客和病毒入侵的通道;存储介质受到破坏,使系统中的信息数据丢失和泄漏;系统不进行及时的修补,采用较弱的口令和访问限制。这些都是导致信息网络不安全的因素。网络是开放性的,因此非常容易受到外界的攻击和入侵,入侵者便是通过运用相关工具扫描系统和网络中的漏洞,通过这些漏洞进行攻击,致使网络受到危害,资料泄露。

3.2 制度不完善

目前对于信息网络的建立,数据的使用以及用户的访问没有完善的规章制度,这也导致了各个县级供电企业信息网络系统之间的不统一,在数据传输和利用上受到限制。同时在目前已经确立的信息网络安全的防护规章制度的执行上,企业也不能严格的执行。

4 提高网络安全方法

4.1 网络安全策略

信息网络是一个庞大的系统,包括系统设备和软件的建立、数据的维护和更新、对外界攻击的修复等很多方面,必须各个细节都要保证安全,没有漏洞。然而很多供电企业,尤其是县级企业并没有对其引起足够的重视,只是被动地进行防护。整体的安全管理水平很低,没有完备的网络安全策略和规划。因此要想实现信息网络的安全,首先需要制定一个全面可行的安全策略以及相应的实施过程。

4.2 提高网络安全技术人员技术水平

信息网络的运行涉及很多方面,其安全防护只是其中一部分,因此在网络安全部分要建立专业的安全技术队伍。信息网络中的一些系统和应用程序更新速度不一致,也会造成网络的不安全。一般企业的网络管理员要兼顾软硬件的维护和开发,有时会顾此失彼,因此要建立更专业的安全技术队伍,使信息网络的工作各有分工,实现专业性,提升整体网络安全技术水平,提高工作效率。

4.3 完备的数据备份

当信息网络受到严重破坏时,备份数据便发挥了作用。不论网络系统建立的多完善,安全措施做得多到位,保留完备的备份数据都是有备无患。进行数据备份,首先要制定全面的备份计划,包括网络系统和数据信息备份、备份数据的修改和责任人等。备份时要严格按照计划进行实施。还要定期的检查备份数据,保证数据的完整性和实时性。同时网络管理人员的数据备份和恢复技术的操作要很熟练,这样才能保障备份数据的有效性。

4.4 加强防病毒

随着网络技术的发展,网络病毒也越来越多,这些病毒都会对信息网络造成或多或少的危害。防病毒不仅需要应用专业可靠的防毒体系,还要建立防火墙,屏蔽非法的数据包。

对于防毒,在不同的硬件上要安装相应的防毒程序。例如工作站上应该安装单机的防毒程序;主机上则安装主机防毒程序;网关上安装防病毒墙;而这些不同的防毒程序的升级可以通过设立防毒控制中心,统一管理,由中心将升级包发给各个机器,完成整个网络防毒系统的升级。这样有针对性的防毒程序能更有效的进行病毒防护。

防火墙可以通过检测和过滤,阻断外来的非法攻击。防火墙的形式包括硬件、软件式和内嵌式三种。内嵌式防火墙需要与操作系统结合,性能较高,应用较为广泛。

5 具体措施

5.1 增强管理安全

在网络安全中管理是最重要的,如果安全管理制度不完善,就会导致正常的网络安全工作不能有序实施。信息网络的管理包括对网络的定期检查、实时监控以及出现故障时及时报告等。为了达到管理安全,首先,要制定完整详细的供电企业信息网络安全制度,并严格实施;其次,对用户的网络活动做记录并保存网络日志,以便对外部的攻击行为和违法操作进行追踪定位;还应制定应急方案,在网络系统出现故障和攻击时及时采取措施。

5.2 网络分段

网络分段技术是指在网络中传输的信息,可以被处在用以网络平台上其他节点的计算机截取的技术。采用这种技术可以限制用户的非法访问。比如,黑客通过网络上的一个节点窃取该网络上的数据信息,如果没有任何限制,便能获得所有的数据,而网络分段技术则可以在这时,将黑客与网络上的数据隔离,限制其非法访问,进而保护了信息网络的安全。

5.3 数据备份

重要数据的备份是网络安全的重要工作。随着网络技术的迅速发展,备份工作也必须要与之一致,保证实时性和完整性,才能在出现紧急问题时发挥其应有的作用,恢复数据信息。整个庞大的信息网络,备份的数据量也是很大的,要避免或减少不必要的备份;备份的时间也要恰当地选择,尽量不影响用户的使用;同时备份数据的存储介质要选择适当。

5.4 病毒检测和防范

检测也是信息安全中的一个重要环节。通过应用专业的检测工具,对网络进行不断地检测,能够及时的发现漏洞和病毒,在最短时间内采取相应的措施。

病毒防范技术有很多,可以先分析网络病毒的特征,建立病毒库,在扫描数据信息时如果对象的代码与病毒库中的代码吻合,则判断其感染病毒;对于加密、变异的不易扫描出来的病毒可以通过虚拟执行查杀;最基本的还是对文件进行实时监控,一旦感染病毒,及时报警并采取相应的措施。

6 结束语

篇5

关键词:网络安全;防火墙;DMZ

中图分类号:TP393.08 文献标识码:A文章编号:1009-3044(2007)12-21564-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世纪90年代以来,烟草系统信息进程得到巨大的发展和广泛的应用。计算机应用技术的普及,信息技术的迅猛发展,信息化建设给这个行业带来了新的机遇和挑战。而对于打叶复烤企业来说,由于企业规模较小,计算机应用基础薄弱。随着信息化建设的不断深入,特别是计算机网络技术应用(如企业网络的应用系统,主要有WEB、E-mail、OA系统、MIS系统等)范围越来越广,不可避免的就会带来了网络攻击、内部网络使用混乱、信息盗窃和其它危及企业正常生产及经营活动的行为,从而直接威胁到打叶复烤企业网络与信息方面的安全问题。

2 网络安全

2.1 网络安全的概念

信息技术的使用给人们的生活和工作带来了便捷,然而,计算机信息技术也和其它学科一样是一把双刃剑,当大部分人使用信息技术提高了工作效率,为社会创造更多财富的同时,另外一些人却利用信息技术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,造成难以估量的损失。

网络安全是一个关系到国家安全、社会稳定、民族文化的继承和发扬等重要问题。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科。

计算机网络的安全不是绝对的。安全是有成本的,而且也有时间限制。因此,安全是指化多大成本在多长时间之内可以保证计算机网络安全。安全问题的解决依赖于法律、管理机制和技术保障等多方面相互协调和配合,形成一个完整的安全保障体系。

2.2 网络安全的需求

计算机网络安全是随着计算机网络的发展和广泛应用而产生的,是计算机安全的发展与延伸。可以用系统的观点把计算机网络看成一个扩大了的计算机系统,因此许多关于计算机安全的概念和机制也同样适用于计算机网络。虽然网络安全同单个计算机安全在目标上并没有本质区别,但由于网络环境的复杂性,网络安全比单个计算机安全要复杂得多[1]。

第一,网络资源的共享范围更加宽泛,难以控制。共享既是网络的优点,又是风险的根源,它会导致更多的用户(友好与不友好的)远程访问系统,使数据遭到拦截与破坏,以及对数据、程序和资源的非法访问。

第二网络支持多种操作系统,这使网络系统更为复杂,安全管理和控制更为困难。

第三网络的扩大使网络的边界和网络用户群变得不确定,对用户的管理较计算机单机困难得多。

第四单机的用户可以从自己的计算机中直接获取敏感数据,但网络中用户的文件可能存放在远离自己的服务器上,在文件的传送过程中,可能经过多个主机的转发,因而沿途可能受到多处攻击。

第五由于网络路由选择的不固定性,很难确保网络信息在一条安全通道上传送。

基于以上5个特点的分析可知,保证计算机网络的安全,就是要保护网络信息在存储和传动过程中的保密性、完整性、可用性、可控性和真实性。

(1)数据的保密性

数据的保密性是网络信息不被泄露给非授权的用户和实体,信息只能以允许的方式供授权用户使用的特性。也就是说,保证只有授权用户才可以访问数据,而限制其他人对数据的访问。

(2)数据的完整性

数据的完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传送过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放及插入等破坏和丢失的特性。

(3)数据的可用性

数据的可用性是网络信息可被授权实体访问并按需求使用的特性,即需要网络信息服务时允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。影响网络可用性的因素包括人为和非人为两种,前者有非法占用网络资源,切断或阻塞网络通信,通过病毒、蠕虫或者拒绝服务攻击降低网络性能,甚至使网络瘫痪等;后者有灾害事故(水灾、火灾、雷击等)和系统死锁、系统故障等。

(4)数据的可控性

数据的可控性是控制授权范围内的网络信息流向和行为方式的特性,如对信息的访问、传播及内容具有控制能力。

(5)数据的真实性

数据的真实性又称不可抵赖或不可否认性,指在网络信息系统的信息交互过程中参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

2.3 安全攻击的种类和常见形式

对网络信息系统的攻击来自很多方面,这些攻击可以宏观地分为人为攻击和自然灾害攻击。它们都会对通信安全构成威胁,但精心设计的人为攻击威胁更大,也最难防备。对网络信息系统的人为攻击,通常都是通过寻找系统的弱点,以非授权的方式达到破坏、欺骗和窃取数据等目的[2]。

2.3.1 主动攻击

主动攻击涉及某些数据流的篡改或虚假数据流的产生,这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。

(1)假冒:假冒指某个实体(人或系统)假扮另外一个实体,以获取合法用户的权力和特权。

(2)重放:重放即攻击者对截获的某次合法数据进行复制,以后出于非法目的的重新发送,以产生未授权的效果。

(3)篡改消息:篡改消息是指一个合法消息的某些部分被改变、删除,或者消息被延迟或改变顺序,以产生未授权的效果。

(4)拒绝服务:拒绝服务即常说的DoS(Deny of Service),会导致对通信设备的正常使用或管理被无条件地拒绝。通常是对整个网络实施破坏,如大量无用信息将资源(如通信带宽、主机内存)耗尽,以达到降低性能,中断服务的目的。这种攻击可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被阻止。

2.3.2 被动攻击

被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改。通常包括监听未受保护的通信、流量分析、解密弱加密的数据流、获得认证信息(如密码)等。被动攻击常用的手段有以下几种:

(1)搭线监听:搭线监听是最常用的手段,将导线搭到无人职守的网络传输线上进行监听。

(2) 无线截获:通过高灵敏度的接受装置接受网络节点辐射的电磁波或网络连接设备辐射的电磁波,通过对电磁信号的分析恢复原数据信号,从而获得网络信息。

(3)其它截获:用程序和病毒截获信息是计算机技术发展的新型手段,在通信设备或主机中预留程序代码或施放病毒程序后,这些程序会将有用的信息通过某种方式发送出来。

3 防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全[3]。

从技术上看,防火墙有三种基本类型:包过滤型、服务器型和复合型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定[4]。

(1)包过滤型防火墙(Packet Filter Firewall)

通常建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层,基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好,对网络性能影响不大,可以用于禁止外部不合法用户对企业内部网的访问,也可以用来禁止访问某些服务类型,但是不能识别内容有危险的信息包,无法实施对应用级协议的安全处理。

(2)服务器型防火墙(Proxy Service Firewall)

通过在计算机或服务器上运行的服务程序,直接对特定的应用层进行服务,因此也称为应用层网关级防火墙。服务器型防火墙的核心,是运行于防火墙主机上的服务器进程,实质上是为特定网络应用连接企业内部网与Internet的网关。它用户完成TCP/IP网络的访问功能,实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的。这种技术使得外部网络与内部网络之间需要建立的连接必须通过服务器的中间转换,实现了安全的网络访问,并可以实现用户认证、详细日志、审计跟踪和数据加密等功能,实现协议及应用的过滤及会话过程的控制,具有很好的灵活性。服务器型防火墙的缺点是可能影响网络的性能,对用户不透明,且对每一种TCP/IP服务都要设计一个模块,建立对应的网关,实现起来比较复杂。

(3)复合型防火墙(Hybrid Firewall) [5]

由于对更高安全性的要求,常把基于包过滤的方法与基于应用的方法结合起来,形成复合型防火墙,以提高防火墙的灵活性和安全性。这种结合通常有两种方案:

屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。

屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

企业在选择防火墙时不仅要考虑防火墙的安全性、实用性、而且还要考虑经济性,防火墙产品的安全性、实用性和经济性是相互制约和平衡的。

4 打叶复烤企业防火墙的设置

必须妥善地规划其架构,拟定其安全政策,最重要的是必须彻底执行其安全政策,而防火墙是落实这些安全政策的重要工具之一。Internet网络商用化的趋势愈来愈明显,企业也不断通过应用网络技术提高生产销售的水平,单位网络的安全性规划更是刻不容缓。一个好防火墙的规划必须能充分配合执行单位所制定的安全政策,再加上安全的建置架构,方能提供单位一个方便而安全的网络环境。

图1以屏蔽子网防火墙为例介绍打叶复烤企业防火墙的设置,一级堡垒防火墙是整个内部网络对外的枢纽,是必需设立的。它一边连接单位内部网络,一边通往外部网络。外部网络上可摆单位对外提供服务的主机,例如:WEBServer、EMAILServer、POP3Server及FTPServer等,提供对外服务。防火墙的设定,可保证服务器主机只提供它应提供的服务,而阻挡所有不当的存取与连线,避免黑客在服务主机上开后门[6]。

打叶复烤企业可根据实际需要,将其他部门的子系统保护在隔断防火墙内,比如生产运行实时控制系统、企业运行管理信息系统、企业营销管理系统、企业多种经营管理系统等。同时可以将某些较重要而有安全顾虑的部门网络,加上防火墙的配置,此即所谓的单位内防火墙(IntranetFirewall)。单位内防火墙的功能与主防火墙类似,但因为其数量可能很多,会分配到电力部门的网络内,因此其管理规则的设定、系统的维护,不应太过于困难。单位希望建置一个安全的网络环境,除了采用防火墙之外,当然还提供单位一个方便而安全的网络环境。

图1 企业屏蔽子网防火墙拓扑图

4 结论

打叶复烤企业所面临的网络安全问题是多种多样的,所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响,诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。作者认为:企业内部信息网络系统是动态发展变化的,正确的安全策略与选择合适的防火墙产品只是一个良好的开端,它只能解决40%~60%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,所有这些都使打叶复烤企业将要面对网络信息系统安全的挑战。

参考文献:

[1]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,(12):109-110.

[2]刘占全.网络管理与防火墙技术[M].人民邮电出版社,2000.

[3]Greg Holden(美).防火墙与网络安全[M]. 清华大学出版社,2004.

[4]郭炎华.网络信息与信息安全探析[J].情报杂志,2001,6.

[5]刘克龙,蒙杨.一种新型的防火墙系统[J].计算机学报,2006,8.

篇6

[关键词]烟草企业;网络安全防护;体系建设

doi:10.3969/j.issn.1673 - 0194.2016.24.028

[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02

随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。

1 威胁烟草企业网络信息体系安全的因素

受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。

1.1 人为因素

人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。

1.2 软硬件因素

网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。

1.3 结构性因素

烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。

2 烟草企业网络安全防护体系建设现状

烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。

2.1 业务应用集成整合不足

不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。

2.2 信息化建设特征不够明显

网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。

2.3 安全运维保障能力不足

缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。

3 加强烟草企业网络安全防护体系建设的策略

烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。

3.1 遵循网络防护基本原则

烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。

3.2 合理确定网络安全区域

烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。

3.3 大力推行动态防护措施

根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。

3.4 构建专业防护人才队伍

人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。

3.5 提升员工安全防护意识

技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。

4 结 语

烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。

主要参考文献

[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).

篇7

关键词:油田企业;网络安全;防火墙技术;应用

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01

Application of Oilfield Enterprise Network Security and Firewall Technology

Hou Haidong

(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)

Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.

Keywords:Oilfield enterprise;Network security;Firewall technology;Application

计算机从出现到发展,短短几十年间,无论从生活、学习,还是工作中都带来了巨大的影响,使我们的生活、学习和工作都起了翻天覆地的变化。在各个企业里面,现代化的建设都是建立在计算机网络技术应用之上的,计算机技术覆盖了企业生产的各个大小环节。保证企业中网络的安全性,使企业生产顺利进行,这是企业中网络运行的基本保障。笔者仔细分析了青海油田企业网络安全现状,针对青海油田企业的网络安全问题,提出相应的解决策略,结合防火墙技术的应用,提高油田企业网络安全性,保证企业生产的顺利进行。

一、青海油田企业网络工作概况

青海油田是一家大型企业,其二级单位网络中目前包含华为、港湾、华为3COM、Cisco等厂商设备,属于多厂商互联网络。青海油田企业的整个网络主体建设于1999年,逐年累建至今。目前网络集中问题有多个方面,网络缺乏管理性;多厂商设备,难以统一管理;大部分设备陈旧,汇聚层性能、带宽不足;冗余可靠性差。由于这些原因,导致汇聚层设备扩展性不够,一些单位层层级连网,影响网络的稳定性和可靠性,使得网络安全问题成为极大的难题。

二、网络安全风险

网络安全风险根据不同的方面,有许多的风险因素,比如网络外部的环境是否安全,包括了电源故障、设备被盗、认为操作失误、线路截获、高可用性的硬件、机房环境、双机多冗余的设计、安全意识、报警系统等。再比如系统完全,包括了整个局域网的网络硬件平台、网络操作系统等。每一个网络操作系统都有其后门,不可能有绝对安全的操作系统。还有网络平台的安全风险,作为企业信息的公开平台,要是受到了攻击或者在运行中间出现了问题,对企业的声誉是极大的影响。同时,作为公开的服务器,本身随时都面临着黑客的攻击,安全风险比其他的原本就要高上许多。另外,应用系统安全也是风险因素中的一个,在不断发展和增加过程中,其安全漏洞也在日益增加,并且漏洞隐藏得只会越来越深。此外还有管理的安全,管理混乱、责权不分、安全管理制度不健全等都是管理安全的风险因素。

三、油田企业网络安全管理工作

随着油田企业中网络用户的逐渐增多,网络安全问题也越来越突出、越来越被网络管理工作人员所重视。在实际工作中,通过增强单位用户对网络安全重要性的紧迫性的认识、强化和规范用户防病毒意识等手段,全面采用网络版防病毒系统,部署防病毒服务器和补丁分发服务器。在网络管理过程中,技术人员定期检查、预防、控制和及时更新防病毒系统病毒定义码,按时向总部上报极度防病毒巡检表。网络管理技术人员还积极做好入侵保护系统IPS策略的日常管理和日志审计工作,使有限的网络资源能用于重点保障业务工作的正常进行。

四、油田企业网络安全防范举措与防火墙技术应用

在油田企业网络运行过程中,安全威胁主要有非授权访问、信息泄露或丢失、拒绝服务攻击、破坏数据完整性、利用网络传播病毒等方面。要防范油田企业网络安全,主要的防御体系是由漏洞扫描、入侵检测和防火墙组成的。油田企业的局域网主要又外部网络、内部职工网络、内部单位办公网络和公开服务器区域组成。在每一个出口通过安装硬件防火墙设备,用防火墙来实现内部网络、外部网络以及公开服务器网的区分。防火墙对外部的安全威胁起到了抵御的作用,但是从内部发动的安全攻击却无能为力。这个时候就需要动态监测网络内部活动以及及时做出响应,将网络入侵监测系统接入到防火墙和交换机上的IDS端口,一旦发现入侵或者可疑行为之后,立即报告防火墙动态调整安全策略,采取相应的防御措施。另外,网络安全还需要被动的防御体系,它是由VPN路由和防火墙组成,被动防御体系主要实现了外网的安全接入。外网在于企业网络之间实现数据传输的时候,经过防火墙高强度的加密认证,保证外网接入的安全性。在油田企业网络安全与防火墙技术应用中,还需要加对病毒的防范、数据安全的保护和数据备份与恢复的建设。在服务器上安装服务器端杀毒软件,在每一台网络用户电脑上安装客户端杀毒软件,通过及时更新病毒代码,防范病毒的入侵。采用自动化备份、安装磁带机等外部存贮设备等方法,保证数据的安全。

五、总结

油田企业网络安全不仅关系着企业的整体发展,还关系着油田企业中广大职工的网络使用安全,积极采取防火墙技术应用到网络安全防范之中,以提高青海油田企业网络的安全性,保证企业的正常工作、企业职工的正常生活。

参考文献:

[1]何黎明,方风波,王波涛.油田网络安全风险评估与策略研究[J].石油天然气学报,2008,3:279-280

[2]陈岗.大型企业信息网络安全问题解决方案[J].岳阳师范学院学报(自然科学版),2006,2:168-169

篇8

【关键词】企业 内部网络 安全 威胁 防范 措施

近年来,大家对于网络安全的认知上存有误差,他们总以为这是来源于企业外部的因素导致内部问题发生,这种说法是错误的。因为网络安全问题是涉及到相关网络研究网络的部门、还有企业内的网络设施等,但事实上,网络研究人员却将主要的安全隐患锁定网络外部目标,却常常忽视了最隐秘的威胁因素是来源于企业内部,数据统计,有金百分之八十五的安全隐患问题来源于内部,其隐患出于企业内部与外部的比例在逐年变大。

1 企业内部网络安全威胁

在企业内部由于自身的ICP协议和操作方法不正确,并主要是企业内部很大一部分人员操作不当导致,这些人为原因引起的网络威胁问题,其主要表现为:

1.1 用户操作步骤及方法不当

极有可能导致网络设备的内外部相应的毁坏等,引起错误删减重要的数据或使得网络硬盘恢复格式化等不同方面的问题出现。

1.2 有意恶性损坏

因个别人为因素导致,一些内部人员因情绪失控,做出某些破坏性预谋损坏行为,故意致使企业内部网存有威胁。

1.3 某些可移动的存介质在应用过程中不当的管理

这是一种难度程度极大的,直接威胁企业内部信息的关键要素,因此,相关网络部门人员需思考怎样才能防止介质消失或是禁止相关数据的授权等方面问题,是当下最难克服的重要问题。

1.4 黑客袭击或是病毒查杀操作不到位

因为在使用盗版的软件下载,是进行病毒无线传播的渠道。

1.5 组权分配不完善

在相关的网络服务人会员的组权分配问题上,还不是很完善。

1.6 企业内部账户的不合理设置

不能对其口诀进行较为合理的分配原则。

1.7 专业人员素质不高

相关的网络专业人员的技能操作应用效果不明显,加上工作态度问题,都是网路殴所隐藏的关键要素。

1.8 服务端口启动频繁

为了更多地搜集数据信息企业内部管理员频繁启动运行服务端口,致使网络产生严重的威胁。

2 网络安全问题排查及预防方法

2.1 访问控制

(1)通过有效的首层的安全和预防程序,也就是把初次入网客户通过当地及相关程序的审核与访问实现客户的验证过程,便于认识与检验、以相当的长度密码设定,并规定以阿拉伯数字、密码输入及相互引的其他的符号作为依据。

(2)设定访问权限。通过对一般的大众用户进行资源整合,实现对有关文件的有效操作,其应用程序所展示的安全性能含:erase、write、create、modify、access control等

(3)以交换机为基础,形成访问的有效设定,其主要包含有端口的限制问题。

(4)将其他的不需要的弹出窗口及时关闭。

(5)对资源策略的共同享有过程中避免涉及所谓的资源整合陷阱,并禁止在协议书删改相关协议内容或数据,不要以Administrator帐户的重新名称更改。

2.2 数据密码保护

(1)在网络数据、信息传输过程中,需进行技术的加密程序改良,确保信息的准确,并在信息的整体的发出过程实现智能化的加密程序,实现数据整体的存档,转化为不能有效分辨的或是不能够有效数据读取。当相关数据信息实现目的地产生的最初位置,并通过智能组合,与密码的解析步骤,确保数据的争取读取。

(2)在密码设置上要层层把关。在进行相关的存储信息或相关运转数据进行合理分析,对所设定的密码也应制定,在进行存储相关内容的存储加密设定,将以密码层层存储加密为主线,避免非正当企图的人员进行密码的解析。

2.3 系统补丁

按时定期的对系统软件进行全面的创意型数据库的相关漏洞。确保系统的安全与稳定。

3 防护

3.1 防火墙

通过防火墙的权限设定对象,并进行访问的方法,应以最快的速度还在设置咨询信息,禁止策略与防火墙的同时采用防火墙限制权限,并在防火墙中有效设定策略,禁止非法用户的操控进入界面。

3.2 入侵检测

通过应急事件预见性的处理,并检测系统,避免发生异常物体的发生及预防。其入侵检测的性能及状态,是依据其有效的静态密码层层保护,使得在功能上进行整合,针对相关的病毒入侵侵犯性技术难题与防火墙共同的补充。一些关键性的数据信息储备在应用网络上要实现存放的有效保障,以所配置的系统的入侵方式的不同,其在网络的数据输送与传输也不相同,在发生不恰当的操作使用时,要根据相关政策进行有效的技术隔断与实时报警,确保入侵的有效防护工作。因此说,在遇到不安全信息侵犯时,组织数据流的过程,就是实现网络内部策略的有效实现方式。

3.3 病毒防护软件

通过使用并下载病毒软件来进行有效的病毒查处功能,按一定周期来实现数据库的有效保护与监督,确保安全防护办法的执行,对那些安全隐患的网络问题及时进行制止,进一步确保企业内部网络的病毒净化与信息安全保障工作。

参考文献

[1]杨旭.计算机网络安全漏洞及防范措施研究[J].网络安全技术与应用. 2015(07)103-126.

[2]刘洪民,印帮辉,王钰,孙宇.计算机网络安全漏洞及防范分析[J].计算机光盘软件与应用,2014(12)23-36.

[3]王丽丽,李晓明,徐凡特.网络安全漏洞的现状及面临问题分析[J].科技创新导报,2013(15)12-15.

篇9

使用OpenDNS

使用OpenDNS互联网,信息会经由IP地址传输,那么你输送的URL文本就排在所有数据的前面。通常情况下,当你输入某网站的URL地址时。这一链接会在域名服务器的目录中得到引用,在该域名服务器的目录或引导你到达真正的IP地址。但是如果这一结构受到损害,且黑客可以向不同的IP地址发送你的请求的话,该如何是好呢?

去年,一种新的、狡猾的攻击就是使用了这样一种技术。即便你输入的是一个可靠的URL名称,你也不能到达你想访问的服务器。而是去到了别的什么地方。你可能在网址列中看到银行的名称,但是你却不知道你直接向黑客的网页输入了自己的私人资料。域名服务器和操作系统最后修复了这一问题从而防止了这类型的攻击。但是OpenDNS已经预计到了这种问题的出现并迅速地对这一威胁做出了反应。使用OpenDNS而不要信赖你的ISP的DNS服务器。

在客户端,你可以打开网络连接控制面板。单击鼠标右键以激活连接,并选择属性。选择互联网协议(TCP/IP)。单击属性。选择单选按钮以使用下面的DNS服务器地址并输入208.67.222.222和208.67.220.220或者你可以在路由器上激活它,向DHCP客户端发送这些详细信息,不需要额外的干预。具体的过程因人而异,但是你需要登录并在NAT区域输入上述的IP地址。访问可以获得硬件的具体细则。

更新路由器固件

PsybOt是一种蠕虫病毒,它的目的是直接攻击路由器硬件,将其本身嵌入其中。它以默认值开始,只是简单地猜测路由器的登录名和密码。至少,你应该使用强效的密码,特别由于很多低端的路由器都不允许你改变登录ID。(尝试使用包含12个字符,混合了字母、数字和符号的密码)就像你的操作系统,硬件公司通常会随时间推移为路由增加补丁,特别是在有安全漏洞被发现的时候。查一查你的指定模式,看看是否有固件更新。如果有的话,下载更新,并使用修订。这样做可以帮助你防止很多攻击。

禁用远程管理

除了更新你的路由固件和使用强效密码以外,你还可以通过禁用远程管理的功能把攻击挡在门外。这一选项通常在默认情况下是关闭的,但是要检查你的路由设置以确保它是处于关闭状态。

篇10

关键词: 计算机;网络;安全;防范

        1  网络安全的含义及特征

        1.1 含义  网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。

        它具有三方面内容:①保密性:指网络能够阻止未经授权的用户读取保密信息。②完整性:包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。③可用性:指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。

        1.2 特征  网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶行攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。

        2  网络安全现状分析

        网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。

        3  网络安全解决方案

        要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。

        4  网络安全是一项动态、整体的系统工程。

        网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术: