企业网络安全规划范文10篇

时间:2023-12-06 17:18:14

企业网络安全规划

企业网络安全规划范文篇1

关键词:企业单位;网络安全;关系因素;分析策略

随着近年来计算机网络所具备的开放性、共享性以及互联的程度不断扩大,互联网络得到了飞速的发展,人们的日常生活和企业的正常运行都离不开计算机网络技术的应用了。互联网技术的良好应用,能够为企业的长久运转和安全发展带来重要的影响。但是随着当前环境下,科技手段的不断深入发展,出现了各种各样的网络安全问题,对计算机网络安全造成了严重的不良影响。企业管理者越来越重视企业网络的安全性。在进行企业网络运行的时候,需要将一些网络安全技术进行良好的运用,如防火墙技术、木马查杀等,从而保障企业网络在运用中的安全性和稳定性,从而避免企业内部核心文件丢失等问题,能够为企业的发展提供更多的有效帮助。

1企业网络安全的架构

企业的网络安全问题日益严重突出,相关的安全管理技术层出不穷,但是对于传统技术而言,网络构架各安全模块缺乏一定的交互,对企业网络安全带来了严重的影响。在网络架构的设计中需考虑以下四点:(1)在网络架构设计过程中应满足法律法规和国家标准对网络架构方面的安全性要求。(2)需要将企业网络自身所具备的安全目标、使用主体和性质等各种因素进行网络安全区域的划分。而现代化企业网络则可按照网络系统行为和安全防护等各种方式来进行安全区域的划分。因为企业网络在各个不同的区域或者不同层次中所关注的内容并不相同,所以在进行企业网络安全区域划分的时候,需要结合业务属性和网络管理等方式进行结合,同时不仅需要关注企业正常的运行,还应该注意考虑到网络安全区域划分的合理性。针对这一情况,不能够仅仅通过使用一种划分方式来进行企业网络安全区域的划分,应该综合运用多种方式来进行,需要将企业网络管理的实际需求和网络业务的需求进行结合,从而针对性地进行企业网络安全区域划分。(3)对企业网络的各个区域安全防护重点工作进行明确了解,投入更多的安全设备,良性提高企业网络安全设备的利用率。(4)对企业网络加强运行维护,对各企业网络的审计设备进行合理的部署,将网络审核与检查的一查证据进行运用,为企业构建网络安全防护体系提供重要参考。

2网络安全建设中的关键管理因素

(1)组织管理机构组织管理机构是一个企业来进行网络安全建设工作的重要基础和核心工作。在企业的管理安全建设工作中,管理工作十分的重要。在一般情况下,按照国家的相关要求和规定,重点领域中的政府机构和企业都需要具备一个网络安全领导小组,全组员具备更多的管理知识和技能,才能够保障企业网络安全建设工作的良好展开。组织管理机构需要得到企业的任命,确认整个机构工作的职责,使员工对工作内容进行了解和认同,促进下一步工作高效快速地进行。另外,为了使组织管理机构的职责能够明确,必须采用书面形式的文档来进行管理。这不仅仅能够对整个组织管理机构的工作内容进行准确的定义,也能够涉及相关工作人员的责任,针对不同的用户来进行不同行为管理工作,明确文档编写、升级和管理维护人员的职责。这样才能够使企业的网络安全管理机构在运行的时候具备规范性和高效性。(2)网络安全发展制定企业的网络安全发展规划是网络安全工作人员的责任,需要企业内的所有工作人员大力配合、支持,全身心参与进来。因为网络安全的发展规划和企业的发展规划之间存在着十分紧密地联系,所以就需要始终保持企业发展目标的一致性,保证网络安全始终为企业的发展服务。开展一个制定好的、适合企业网络安全工作发展的活动,使企业在今后的网络安全工作中所出现的问题得到明显地减少和降低。对此,为企业网络的安全发展制定相关规划,就需要注意将以下几点工作进行掌握。首先,保持网络安全目标和企业目标的一致。简单举例,网络安全建设的成本都应该是小于所保护目标的价值的,否则网络安全的建设工作将不存在任何意义。根据目标的价值和需要的程度来进行不同水平控制措施的使用,从而最大化的保障企业网络安全的利益,使员工日常工作所受影响也能够得到明显地减少。在这其中需要注意所制定的网络安全措施,需要和技术人员进行充分的交流探讨,从而保障企业业务具备一定的可靠性、整体性和可用性,保障企业网络安全管理工作的良好开展。其次,需要制定包括灾备恢复、应急响应和操作计划等在内的多种计划,搭建一个硬件环境,并且估算设备承载能力的高低以及功能设计和实际需求的差别,最终选择一个适合的方案。最后,对用户使用一个有效的控制计划来进行网络安全的控制。根据工作人员所在的部门采用不同用户组的方法来进行,对企业核心内容十分了解的用户,需要采用极为严格的控制方式。在保障商业连续性的条件之下,对企业的其他员工活动采用适当的控制,防止因企业内部人员管理不当而造成的网络安全隐患问题。

3网络安全建设中的关键技术

(1)防火墙安全技术首先,防火墙安全技术主要是在企业的网络边界中建立一个监管网络通信情况的系统,对整个企业网络安全系统进行全方位的监控,保护企业网络的运行状态,防止各种电脑病毒的侵入。所以需要对企业网络边界和网络的实际服务状态进行全方面的了解,然后再将防火墙安全技术进行运用。全面监测网络外界的威胁、病毒等内容,且需要分析相应的数据,通过网络外界的屏蔽系统来保护企业网络信息和相关的数据。这样一来,就能够保证企业网络安全管理功能的良好开展和顺利进行。其次,开展防火墙技术,可以使用网络拓扑结构进行隔离,从而使企业网络能够更加安全,因此,在使用防火墙技术的时候,应该运用一些适合的技术形式来进行管理,建立保护企业网络的相关系统,过滤网络中的数据包、网络连接等各方面的内容,降低外界各种威胁和各种电脑病毒对企业网络所带来的不良影响。最后,基于网络服务功能和拓扑的结构,防火墙技术能够对企业网络中信息软件等方面的工作开展综合性的管理,从而降低了外界信息数据所带来的各种病毒威胁,保证企业网络能够安全长远发展运行。(2)漏洞扫描安全技术在进行企业网络安全技术使用的时候,漏洞扫描安全技术是一种十分常见的技术形式。这一技术具备了十分强大的功能,能够扫描、识别企业网络数据和信息中心可能存在着的各种危险,使各种数据丢失和信息被窃等情况得到有效的解决,保障了企业网络的安全性。在企业网络使用漏洞扫描安全技术的时候,需要在固定的时间内进行网络系统的安全检查,保障企业网络自身的安全运行,提高其自身风险防范的能力。另外,在企业网络中运用漏洞扫描安全技术,可以不需要人工检查和修复,而这样的操作流程就变得更加复杂了,且工作效率也并不高,自身的检测范围也较窄。因此,在使用漏洞扫描安全技术的时候,还应该注意使用一些相关的辅助漏洞扫描软件,定期或者不定期进行企业网络系统的安全扫描,从而使外界因素内容对企业网络可能造成的安全问题得到提前预知,先一步进行问题的解决,使网络企业能够具备更多的安全性和稳定性,为企业网络安全的长远发展带来了巨大的有效帮助。(3)入侵检测安全技术企业网络是否具备安全稳定的特点,与企业的经济效益有着直接的联系,所以在进行企业网络管理的时候,就需要明确其操作流程,入侵检测安全技术的使用就能够将企业网络安全管理工作落实到位。以下几点可以加以考虑运用:首先,站在网络安全的角度来分析,入侵的检测安全技术主要是针对内部网络资源的非正确使用行为。同时,入侵检测安全技术能够对网络数据包的合法性和合法用户滥用特权的形式来进行详细检测,从而为企业网络的正确运营提供更加良好的网络环境。其次,在进行企业发展的时候,需要经常接受网络邮件,通过网络设备来进行业务上的沟通。因此,在入侵检测安全技术的时候,就应该在进行邮件读取和各种网络资源下载的时候进行一个更加全面、详细的监控,及时对存在着的问题和病毒等威胁进行辨别和处理,从而减少各种企业信息数据丢失的情况,在一定程度上保障了企业网络的安全管理,促进企业在这样的环境下更加高效率、高质量的发展。(4)远程传输控制安全技术随着异地办公的需求不断增加,企业通过建立虚拟远程网络链接实现远程资源本地共享。在企业的互联网出口处需要部署sslvpn进行远程接入。通过使用VPN可以帮助企业建立可信的安全链接,保障互联网用户的安全接入同时保证数据的安全传输。

4结束语

综上所述,随着时代的不断飞速发展,计算机信息技术在人们的生产生活中得到了广泛的应用,企业网络的安全问题受到了社会各阶层人士的普遍重视。网络安全的建设不仅仅包含了技术,还存在着组织管理方面的内容。对于企业部门而言,因为考虑到自身的投入成本和经济效益具备特殊性,根据自身的实际情况选择一个适合的策略来进行网络安全的管理十分重要,需要企业相关管理者对此投入更多的重视目光,站在投资、成本和收益等各种不同的角度来进行问题的考虑,充分的对当前现状下企业网络安全存在着的问题进行思考,并选择适合的技术来进行整改,保障企业网络的安全性,促进企业的长远发展。

参考文献:

[1]钟剑.企业网络安全建设中的关键因素研究[J].网络空间安全,2019,10(04):23-30.

[2]任皓罡.浅析中小企业信息化建设的制约因素及关键策略[J].经营管理者,2013(21):163-164.

[3]高毅夫.企业网络信息安全体系建设的几点考虑因素[J].数字石油和化工,2018(8):158-162.

[4]毕霞,葛涛安.影响中小企业信息化建设的关键因素分析[J].科技管理研究,2018(3):242-244.

[5]张纯刚.浅析企业网络安全体系建设中的问题及对策[J].计算机光盘软件与应用,2018(8):66-67.

[6]敖磊,魏煜辰.企业网络安全架构设计[J].网络空间安全,2017(4):70-72.

[7]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).

[8]刘宇.三峡梯调中心网络安全防护体系的设计与实现[D].重庆大学,2006.

企业网络安全规划范文篇2

【关键词】大型企业;网络安全;监管;创新思路

一、研究背景

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。提升网络安全的价值与必要性十分明显,在技术上包括脚本、黑客、威胁性的软件捆绑安装等等,都对大型企业造成了严重威胁。在一些业务联系或者连续性较强的网络安全工作安排桑,要必须保障网络安全的稳定性,提升安全管理层级,通过对网络安全的考虑不断优化网络安全管理的授权层次,并且能够改善网络安全控制战略,通过网络安全的控制加强系统稳定性,并且要让安全标准建立起来,丰富安全指标的稳定性,保障大型企业网络安全的应用与维护能力,大型企业的数据库或者备份的数据类型与内容之中都会存在这样或那样的问题,从而影响着网络数据库的安全性。大型企业的数据库中一些代码可能存在漏洞,一些代码会存在安全问题,导致数据的威胁性变强。

二、网络安全监管的溯源及价值

上世纪七十年代,美国科学家A.GPhadke等首次提出了同步相量测量的概念。在那个时期,计算机的硬件功能还不是很完善,存在计算能力无法满足需求的问题,为了解决这一问题,A.GPhadke等人利用对称分量的离散傅氏变换提高了计算机硬件的计算能力。随着互联网信息技术的发展与普及,我国已经拥有了5亿网民,手机覆盖数量已经超过8个亿,基本上信息传递通过手机端可以传递到任何一个人的身边,网络化的操作普及让大企业网络安全监管电网监控发展沿着网络渠道不断丰富、完善,大企业网络安全监管电网监控信息的创新与构建,丰富了大企业网络安全监管电网监控业务通过网络传播的种类,也让大企业网络安全监管电网监控信息在网络环境中的成长与发展得到了机遇,大企业网络安全监管电网监控信息在网络环境中加速了信息共享,根据大企业网络安全监管电网监控的服务方式,一方面提高了大企业网络安全监管电网监控的覆盖面积,让更多的用户享受到这种福利与便捷,另外一个方面是提升了大企业网络安全监管电网监控业务的工作效率,利用网络数据与信息化流程大大降低了窗口办理的速度,也让大企业网络安全监管电网监控服务的种类得到了大幅提升。80年代末,美国学者对pmu进行了试运行。经过一段时间的试销,美国在20世纪90年代初成功推出了pmu产品,这也标志着pmu正式进入市场。目前,从事相关研究的大学和研究机构主要包括清华大学,华北广播电视大学和中国电力学院。北斗一号卫星导航系统正式投入使用的地方是山东,北斗一号成功向同步相量测量装置发出信号。现在它们已经形成了零检测方法、数字差分方法、最小二乘法、牛顿方法、齐尔曼夫方法、离散傅里叶变换等。最近提出的一种方法是泰勒扩展算法。

三、大型企业网络安全监管的创新

1、增强网络安全的维度控制能力。在网络拓扑规划方面,调度第二平面以当前电力传输通道(SDH)规划为基础,借鉴SGDnet1.0的细节规划,同时结合特高压、节能调度及跨区域电力交易等业务的特点综合考虑。国家电网公司调度数据网完善扩充工程由两级网络组成,即国家骨干网和接入网。调度第二平面通信网络负责整个调度的多种业务数据交换;要求较高的实时性、可靠性、安全性。对设备的可靠性、处理能力、安全、可维护性等要求较高。在调度第二平面核心层节点,采用H3CSR8800万兆核心路由器,它广泛应用于电力、金融、政府等行业网络的骨干位置以及运营商IP城域网核心层、汇聚层。提供超强的路由处理能力、丰富的接口和高品质业务,同时符合扁平化组网趋势的高端路由器要求,提供形式多样的广域网接口,满足丰富的接入方式的需求;提供丰富的端到端业务支撑能力。2、丰富关键基础设施的建设。关键基础设施包括社会所依赖的物理网络系统,包括电网、净水系统、交通信号灯以及医院系统等。例如,大型企业在丰富了安全监管的基础设施后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查,以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施,在遭遇网络攻击后会对他们自身造成的影响进行评估,然后制定应急计划。

综上所述,大型企业的网络安全监管的现状分析,的确是存在很大的需求,大型企业的网络安全监管需要更好地完善自身的网络安全建设,通过一定的方式推动企业网络安全的外部动力,改善大型企业的信息化安全运营效果。

参考文献

[1]信息安全为我国民航保驾护航[J].白云波,刘孝男,顾兆军,周景贤.中国信息安全.2018(10)

[2]交通运输行业网络与信息安全信息通报机制研究[J].周艳芳,李为为,杨淑贤.信息网络安全.2015(12)

[3]民航网络与信息安全监管工作浅谈[J].王麒,黄建军.中国民用航空.2018(07)

企业网络安全规划范文篇3

一、企业网络安全风险状况概述

企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。

由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。

二、企业网络安全体系结构的设计与构建

网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。

(一)企业网络安全系统设计目标

企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。

(二)企业网防火墙的部署

1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。

2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。

3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。

4.企业网络安全体系实施阶段。

第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:

①满足设备物理安全

②VLAN与IP地址的规划与实施

③制定相关安全策略

④内外网隔离与访问控制

⑤内网自身病毒防护

⑥系统自身安全

⑦相关制度的完善

第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:

①入侵检测与保护

②身份认证与安全审计

③流量控制

④内外网病毒防护与控制

⑤动态调整安全策略

企业网络安全规划范文篇4

保护企业网络系统的软件、硬件及数据不遭受破坏、更改、泄露,信息系统连续可靠地运行是企业网络安全的基本要求。企业网络安全分为物理安全和逻辑安全,逻辑安全是对信息的保密性、完整性和可用性的保护。物理安全是对计算机系统、通信系统、存储系统和人员采取安全措施以确保信息不会丢失、泄漏等。目前企业网络中缺乏专门的安全管理人员,网络信息化管理制度也不健全,导致了部分人为因素引发的企业网络安全事故。因此企业网络安全必须从技术和管理两个方面进行。

2企业网络安全所面临的威胁

企业网络安全所面临的威胁除了技术方面的因素外,还有一部分是管理不善引起的。企业网络安全面临的威胁主要来自以下两个方面。

2.1缺乏专门的管理人员和相关的管理制度

俗话说“三分技术,七分管理”,管理是企业信息化中重要的组成部分。企业信息化过程中缺乏专门的管理人员和完善的管理制度,都可能引起企业网络安全的风险,给企业网络造成安全事故。由于大部分企业没有专门的网络安全管理人员,相关的网络管理制度也不完善,实际运行过程中没有严格要求按照企业的网络安全管理制度执行。以至于部分企业选用了最先进的网络安全设备,但是其管理员账号一直使用默认的账号,密码使用简单的容易被猜中的密码,甚至就是默认的密码。由于没有按照企业信息化安全管理制度中密码管理的相关条款进行操作,给系统留下巨大的安全隐患,导致安全事故发生。

2.2技术因素导致的主要安全威胁

企业网络应用是架构在现有的网络信息技术基础之上,对技术的依赖程度非常高,因此不可避免的会有网络信息技术的缺陷引发相关的安全问题,主要表现在以下几个方面。

2.2.1计算机病毒

计算机病毒是一组具有特殊的破坏功能的程序代码或指令。它可以潜伏在计算机的程序或存储介质中,当条件满足时就会被激活。企业网络中的计算机一旦感染病毒,会迅速通过网络在企业内部传播,可能导致整个企业网络瘫痪或者数据严重丢失。

2.2.2软件系统漏洞

软件的安全漏洞会被一些别有用心的用户利用,使软件执行一些被精心设计的恶意代码。一旦软件中的安全漏洞被利用,就可能引起机密数据泄露或系统控制权被获取,从而引发安全事故。

3企业网络安全的防护措施

3.1配备良好的管理制度和专门的管理人员

企业信息化管理部门要建立完整的企业信息安全防护制度,结合企业自身的信息系统建设和应用的进程,统筹规划,分步实施。做好安全风险的评估、建立信息安全防护体系、根据信息安全策略制定管理制度、提高安全管理水平。企业内部的用户行为约束必须通过严格的管理制度进行规范。同时建立安全事件应急响应机制。配备专门的网络安全管理员,负责企业网络的系统安全事务。及时根据企业网络的动向,建立以预防为主,事后补救为辅的安全策略。细化安全管理员工作细则,如日常操作系统维护、漏洞检测及修补、应用系统的安全补丁、病毒防治等工作,并建立工作日志。并对系统记录文件进行存档管理。良好的日志和存档管理,可以为预测攻击,定位攻击,以及遭受攻击后追查攻击者提供有力的支持。

3.2防病毒技术

就目前企业网络安全的情况来看,网络安全管理员主要是做好网络防病毒的工作,主流的技术有分布式杀毒技术、数字免疫系统技术、主动内核技术等几种。企业需要根据自身的实际情况,灵活选用,确保杀毒机制的有效运行。

3.3系统漏洞修补

现代软件规模越来越大,功能越来越多,其中隐藏的系统漏洞也可能越来越多。不仅仅是应用软件本身的漏洞,还有可能来自操作系统,数据库系统等底层的系统软件的漏洞引发的系列问题。因此解决系统漏洞的根本途径是不断地更新的系统的补丁。既可以购买专业的第三方补丁修补系统,也可以使用软件厂商自己提供的系统补丁升级工具。确保操作系统,数据系统等底层的系统软件是最新的,管理员还要及时关注应用系统厂商提供的升级补丁的信息,确保发现漏洞的第一时间更新补丁,将系统漏洞的危害降到最低。

4结束语

企业网络安全规划范文篇5

摘要:随着计算机信息技术的发展和经济全球化的加快,信息全球化已经成为当前社会的发展趋势。近年来,我国企业内部的网络已经实现了信息与资源的共享。但是由于其中包含了很多企业内部的重要信息,因此其网络安全问题就受到了企业的重视。因此,企业必须针对这个问题制定一套相对完善的网络安全解决方案来对企业内部网络中的重要信息进行保护。

关键词:企业网络安全;方案;设计

随着计算机网络的发展和普及,全球信息化的发展趋势离我们越来越近,与此同时网络环境的安全性也受到越来越多的威胁,仅凭借传统的网络安全防范措施已然无法满足当今的网络安全的保护需求。现如今,大多数的企业内部都实施了自己的网络系统,其中保存着大量的企业内部文件与信息,但是这些信息在传输的过程中很有可能就会被非法的窃取和破坏,进而给企业带来不可估量的损失。因此对于企业网络安全的保护十分重要,需要对相关的网络系统硬件、软件以及系统中的数据等来进行保护,使其能够连续可靠的运行。

一、企业网络安全现状

随着科学技术的发展,现代信息网络开放性、共享性以及互联程度的扩大,大多数的企业其内部网络已经普及。企业网络的普及给企业的运营带来了极大的便利,同时,由于网络安全性能始终无法得到有效的提升,企业网络安全问题越来越受到企业人员的关注与重视。对于企业而言,有何充分有效的利用信息化优势的同时,对本企业的信息进行更好的保护已经成为了大多数企业面临的一个重要的难题。企业内部网络遭受安全威胁主要是来自企业外部人员以及企业内部人员的恶意入侵和攻击。企业外部人员通过植入各种病毒从而获取企业内部的机密资料与信息,进而获得相应的报酬。而企业的内部人员在对网络进行攻击时,可以利用网络中的某些软件的漏洞或是其软件的“后门”来对企业的网络进行攻击。除此之外,还可以通过使用非授权访问、冒充企业网络的合法用户等手段来破坏企业网络中数据的完整性、对其系统的正常运行进行干扰等一系列的行为来破坏企业网络的安全。

二、企业网络安全需求

(一)办公网设备实体安全需求

企业办公网内的设备实体主要就是交换机、员工的个人电脑等设备。对于这些设备的管理存在一定的安全隐患,同时,如果这些设备出现安全性的问题,就会对企业造成极其严重的后果。通常情况下,企业办公网的核心设备和其服务器都在一个机房内,大多数企业所使用的蓄电池的蓄电量较小,如果碰到长时间停电的状况,相关设备就会停止工作。除此之外,绝大多数的企业在机房管理方面没有建立相对完善的管理制度,对机房的进出人员没有限制,关于交换机机柜的管理措施不严谨,对于安放交换机的会议室应该在不投入使用时需要对其上锁,等等。此类人为的安全隐患都可以造成企业网络的中断,进而影响企业正常的运作与办公,甚至有可能造成相关服务器的数据丢失,给企业带来极大的损失。

(二)个人办公电脑系统安全需求

一般来说,企业中的重要文件、报表等信息都存储在员工的个人电脑中,有利于相关员工的调取与施工,进而提升其工作效率。但是,这样也存在一定的安全风险。个人电脑一旦遭到攻击,就会使企业相关的信息遭到泄露,近年来盛行的移动办公更会出现这种情况。因此,对于涉及企业重要信息的计算机应该采取特殊、专门的安全措施来进行重点的保护,确保其中的信息安全。除此之外,还可以对这些计算机设置密码,可以有效地避免公司内部心机不纯的人盗取企业的重要资料。

(三)病毒防护需求

随着计算机网络技术的成熟与发展,与此相关的计算机病毒技术也在不断的提升,其破坏能力也在逐步的加强,病毒的顽固性也随之提升。因此,为了能够避免病毒的入侵,企业中的计算机必须配备相应的杀毒软件。同时对计算机和企业内部网络进行实时的病毒安全防护,以此来确保企业整个网络业务数据的安全性,避免其遭到破坏,是企业能够维持正常的运转。由于信息技术的发展,相关的网络病毒更新的速度以及新病毒出现的时间越来越快,因此,需要定期的就病毒防御系统进行更新。同时还要加强相关员工对计算机进行杀毒的意识,培养其进行定期杀毒的习惯。

三、企业网络安全解决方案

(一)边界防火墙部署

企业为了保障内部网络的安全,可以采用边界防火墙的措施来对其进行保护。边界防火墙主要设置在网络主交换机的地方,并且使用路由器与外界进行连接。边界防火墙的设置会在企业的内部网络与外部网络之间筑建起一道相对安全的墙,防火墙在设置后,对于进入系统内部的信息会事先进行查看与分析,其满足相关的安全条件后才能进入系统的内部。使用边界防火墙可以有效地隔离企业的内部与外部网络,使企业内部网络避免遭受外部不安全因素的攻击与入侵。能够根据源地址的相关信息对访问的数据进行自动的过滤,对不符合标准的予以拒绝;还能够关闭一些不安全的服务;同时设置了完善的访问系统的规则,将没有合法权限的拒之门外;除此之外还能够对外部的信息进行严密的监测,对不合法的请求直接拒绝。

(二)漏洞扫描

企业内部网路是一个常用性的安全系统,需要对其采取适当的方法措施,并定期对其进行安全性能的评估。因此,需要使用漏洞扫描系统,对网络中存在的漏洞进行及时的扫描与修复,安装漏洞补丁等,进而提升企业网络的防护能力,增强网络的安全性。进行漏洞扫描的软件需要具备网络监控及自动响应的功能,能够找出网络经常发生问题的根源,创建一定的过程来检查网络安全威胁因素,对漏洞进行分析与相应,尽可能的减少网站的安全漏洞,增强企业网络的耐攻击性等功能。

四、结语

企业网络安全是企业发展,提升其市场竞争力的前提条件。对于企业网络安全的保障需要不断地对其进行检测与控制,管理等多方面的控制。可以采用相关的措施来对企业网络信息系统进行管理与控制,随着科学技术的发展,在未来,企业有可能会在网络信息安全方面面临更加巨大的挑战与机遇。

作者:李腾飞 单位:河钢集团宣钢公司计控中心

参考文献:

[1]于治新.企业网络安全风险分析及可靠性设计与实现[D].吉林大学,2013.

[2]韩洪锋.浅谈企业网络安全策略[J].福建电脑,2010(01).

[3]程龙,马婷.企业网络安全解决方案[J].科技风,2009(15).

第二篇:企业信息化建设中网络安全问题研究

摘要:该文主要针对企业在信息化建设过程中遇到的网络安全问题进行简要的研究分析,首先对网络信息安全的概念做了简要的论述,然后对造成企业内部安全问题的内部和外部原因进行了分析,提出从数据加密技术、主机安全技术、树立安全意识、选择安全性能高的防护软件、加强对企业内部信息化的系统管理五个方面入手解决企业常见的各种网络安全问题,希望能够对提高企业网络的运行效率提供保证。

关键词:企业信息化;网络安全;安全分析

随着网络信息化时代的到来,互联网的快速发展,如今网络化已经成为企业信息化发展过程中的重要推动力量,网络信息化使得全球两百多个国家的信息资源可以得到最大程度上的共享。对于中小企业而言,企业信息化的发展是必经之路。但是凡事都有两面性,都不可能一直顺风顺水,这一进程必将遭受大大小小的挫折和考验;随着企业信息化的高速发展,企业信息化网络安全问题也渐渐变得突出,网络安全问题已经成为阻碍企业发展难以逾越的一条鸿沟。

1企业信息化与网络安全

1.1企业信息化概述

企业信息化即企业建设一个良好的资源平台,收集各种各样的信息,建立一个网络数据库。在一定程度上利用计算机互联网技术,控制企业的经济发展,将企业收集到的信息高度集成化,以此达到企业实现资源共享的目的。其种种行为,都是为了提高企业的经济效益,提高企业市场竞争力。为了达到之一目的,这就意味着要对企业的管理流程进行变革和优化、管理理念的创新和改善、管理团队的重组以及管理手段进行创新。

1.2网络安全概述

网络安全的通用定义:就是在网络运行过程中,网络系统的硬件和软件系统都可以得到很好的保护,不会因为偶然间的原因而遭到恶意的破坏和泄漏,系统的连续十分可靠,在正常情况下都可以稳定运行,网络服务器不会因为其他原因而中途中断。在如今的信息时代下,网络安全问题层出不穷,在目前的公共通信网络存在着千奇百种的安全漏洞和威胁。从企业和单位个人的角度来看,这一群体希望自己的个人隐私和商户利益在进行网络传输时受到保护。要求这种保护真实完整,保密系数高,可以做到避免不法分子的窃取和侵犯。保证用户的利益和隐私不受到损害和侵犯。同时这一群体也希望主机上的个人信息不受到其他用户的干扰和破坏。从网络运行管理者的角度来看,这一群体希望对本地网络信息的安全做出有力的保证。保证用户的个人信息、商业机密、生活隐私不受到侵犯和威胁。避免出现病毒的传染、网络资源的非法占用、非法存取、拒绝服务,对黑客的网络攻击进行制止和防御。

1.3网络安全的基本特征

保密性:保密性指的是不将用户的个人隐私、商业机密、生活隐私等信息向外界透露,不泄密给非授权的个人,法律规定的除外。可控制性:简言之,可控制性就是指对企业信息的传播方式,传播途径都可以很好的掌握,必要时,可以及时控制企业信息的发出。可以在授权范围内对文件的流向以及方式进行控制。可用性:可用性是指保证用户在合法的情况下,可以及时访问到所需要的信息资源。具体是指:可用性合法用户访问信息并能够按要求顺序使用信息的特性。

2网络安全问题分析

2.1内部因素

企业在安全意识方面注意度不够。即使目前已经有了相当大一部分企业加快了企业内部信息化建设的步伐,但是企业管理者往往看到的只是企业信息化带来的经济效益和社会效益。却忽略了信息化建设发展中存在的一些问题,对信息化的建设发展没有引起高度重视。管理者在管理制度上存在一定的缺陷,存在着管理制度不够完善的情况。由于管理制度的整体缺失,加上管理者可能出现操作上的疏忽,这在一定程度上就给了黑客和不法分子趁虚而入的机会,从而造成企业信息被窃取,导致企业蒙受不必要的损失。国内软件制作技术相对落后,软件安全得不到高度保障。自信息化时代以来,尤其是近几年软件技术发展十分迅速。即便如此,但是我国在软件制作技术发面和发达国家在软件制作技术方面还是存在着一定差距。在企业信息化管理人员方面,尤其是具备这方面的高素质管理人才,我国还很缺乏。在企业信息化安全策略制定的前期,日常安全系统的维护及日后安全系统的升级,都需要这方面的高素质人才进行操作。由此可见,企业高素质管理人才的缺乏将直接影响到企业的信息化建设。其次,我国的相关法律法规及制度还不够完善。法规的不够具体和空白现象,必然直接影响到信息化的建设,阻碍企业未来的发展效益。

2.2外部因素

企业在信息化建设过程中受到的影响有很大一部分来自外部因素。随着社会经济的发展,加上市场经济的推动,在市场竞争中,信息的准确性已经显得十分重要。有很大一部分不法分子靠窃取商业机密来牟利,想尽一切办法和手段来窃取企业信息达到目的。与此同时,还存在着竞争对手用不良手段窃取其他企业商业秘密,获得经济利益。目前黑客可以通过传播病毒和攻击用户防护系统等手段入侵企业的信息化网络,攻击企业信息系统。

3信息化网络安全问题的研究对策

加强对网络安全的保护,在对建设企业信息化的问题上,起到了至关重要的作用。不仅为企业提供了一个良好的网络安全环境,还为企业信息化工作提供了一个很好的网络信息传输平台。下面是一些加强对网络安全的保护对策。

3.1数据加密技术

数据加密可以用来提高信息系统的安全性,对用户数据的保密性也有着十分明显的作用。数据加密手段对保护数据外泄有着非常好的效果。数据加密具体通过对数据的传输、数据的存储、数据的完整性这几个方面来加强对企业数据的防护,以此来提高企业整体上的安全系数,达到保障企业信息化建设顺利进行目的。

3.2主机安全技术

主机安全技术主要控制系统用户能否进入系统和进入系统后可以访问哪些资源。这对保护用户的安全可以起到一定的防范作用。同时他还具备操作系统安全,数据库安全,应用软件程序安全等方面的应用。

3.3树立安全意识

企业在信息化发展进程中,必须要意识到企业发展环境的重要性,如果企业的发展过程中没有一个良好的网络环境。那么在企业的发展过程中,企业的商业机密和部分信息资源就很有可能被泄露。那么对于企业而言,这种打击无疑是毁灭性的,很可能导致企业经济效益下降。因此树立良好的安全意识不仅可以让竞争对手找不到下手的机会,打消其作案念头和使得其不具备作案条件。与此同时,还可以为企业的后续发展打下良好的基础。

3.4选择安全性能高的防护软件

世界上的任何一款软件都可以被破解,没有绝对破解不了的信息化软件。但是要明白的是,一些好的信息化软件比起那些次的信息化软件,其性能方面是不可比拟的。无论是在操作性能上还是在破解难度上,高性能的防护软件,都有着其独特的性能优势。

3.5要时刻加强对企业内部信息化的系统管理

为了加强企业的信息化管理,可以采用一些必要的技术手段。例如:采取数据加密技术、防火墙技术和访问控制技术。当然,加强对企业的安全意识,对企业信息化管理也有着一定程度上的帮助。只有加强对企业的信息化管理,才能为企业的系统安全打下良好的基础。

4结语

企业在信息化建设过程中,遇到的网络问题涉及面非常广,我国企业信息网络安全技术的研究仍处于起步阶段,对一些网络安全方面遇到的问题,需要人们去深入研究和进一步的探索,实时保障企业信息化网络的安全,对企业经济的快速发展起着重要作用。

作者:李永湘 单位:云南经贸外事职业学院

参考文献:

[1]何晓晗.企业信息化建设中的安全分析[J].科技信息,2008(26):67-68.

[2]李晓东.我国企业信息化发展的现状、障碍及对策建议[J].中国中小企业,2000(6):19-20.

[3]王静.当前我国企业信息化建设中的网络安全问题研究[J].行政事业资产与财务,2014(6):224.

第三篇:企业网络安全防护体系研究

摘要:随着网络技术的快速发展与普及,网络之间的信息共享与交流越来越方便,但是企业网络面临的安全威胁越来越多,网络攻击手段不断向多样化发展,针对企业网络安全防护体系的研究对企业安全稳定发展有着深远意义。笔者就安全域在构建企业网络安全防护体系中的应用进行了探析。

关键词:安全域;企业网络;安全防护体系

近年来,网络安全威胁不断出现与增加,例如木马、病毒、蠕虫等。这种威胁网络安全的手段,以破坏企业网络安全获取经济利益,对企业发展造成了极大危害,可能造成巨大损失。一个企业网包含大量运行与办公系统,它关乎企业的经济效益与正常发展运行,保障企业网络安全对企业的正常运行有重要作用与意义。

1企业网络安全的现状探究

1.1网络边界不够清晰

企业网络建设初期,对网络安全的设计还不是很充足,对安全方面的考虑还不是很周到,企业网络安全没有统一规划,并且随着企业扩大与发展,越来越多的子公司与下属企业加入到企业网络中,这就使企业内部网络渐渐失去了它真正的意义。企业在进行电子交易或者与其他企业合作中,其他企业与本企业在一定的权限下可以进入彼此的企业网络,这就使得企业网络的边界与划分越来越模糊,对网络安全的管理出现漏洞,边界防火墙的应用受到越来越多的限制。

1.2安全技术的单一

企业的网络安全防护意识弱,部分企业只在企业网络安全防护中使用了单一的防火墙或者防病毒软件,这些措施虽然对网络安全有一定的保护作用,但这只对企业网络安全做到了部分保护,对企业网络安全无法实现全方位保护。

1.3缺乏系统的管理

随着企业发展,企业的Internet用户数量逐渐增多,这就使得企业网络Internet出口增多,在这种情况下,对企业网络的安全很难实现系统性管理,网络安全管理没有实现统一。并且企业业务发展迅速,企业员工流动频繁,员工对企业网络使用不规范,都对企业网络安全带来极大安全威胁。

1.4系统的脆弱性和数据的保护

在企业的信息网络系统中,操作系统与信息数据库都是多样且复杂的,企业网络中的应用系统大多都是相互独立的,这使得企业网络系统的内容十分复杂,各个应用与数据的互相交换、使用、访问等都增加了网络安全的管理风险,对企业网络数据的完整性带来了极大安全威胁。

2安全域的基本原理与设计

安全域是由在同一工作环境中,具有相同或相似的安全保护需求和保护策略,相互信任、相互关联或相互作用的IT要素的集合。安全域以业务为中心,以业务安全为根本出发点,基于业务数据流、数据进行处理活动。安全域的设计是从各种业务功能、管理功能、控制功能出发,构成数据流的各种数据处理活动和行为,分析数据流、数据处理活动的安全需求。基于业务信息系统结构,根据目标和安全需求设计和优化安全域防护策略,基于业务系统外部环境、总体安全防护策略要求制定防护规范。安全域的安全需求来自于政策、法规、标准及规范,还有系统风险控制和义务属性安全。安全域的划分可以从导致安全需求、安全策略差异化的因素考虑,还可以根据现状结构、威胁、目标要求等进行划分。不同的安全域具有不同的差异化因素。安全域划分的单元层次要求功能简单、边界清晰、便于定级和防护及策略部署。安全域系统层次要求清晰刻画系统边界、覆盖系统内所有IT要素,以及符合管理组织架构。

3基于安全域的网络安全防护体系

3.1安全域划分

按业务系统、系统行为和防护等级划分为目前企业网络安全域的三种基本方式。不同行业由于业务不同,划分方法也不同,需要根据企业实际发展情况来划分企业网络安全域,并且在划分中要以企业的正常运行为基础,然后再考虑安全域划分方式是否可行。根据企业发展实际情况可以选择多种安全域划分方式并且有机综合应用,实现企业网络安全域合理划分,最终达到对用户业务系统全方位防护的目的,满足用户实际需求。网络安全域一般可划分为四个部分:本地网络、远程网络、公共网络、伙伴访问。而在不同安全域之间需要设置防火墙进行安全保护,这样就在一定程度上降低了网络安全威胁。企业的核心业务与数据信息放在内网中,实现企业网络内、外运行与服务的分离,也避免了与外网接触带来的安全威胁。

3.2安全防护体系

企业网络安全防护体系的建立与完善,对企业网络安全的保护有重要作用,网络安全保护技术一般有七种,分别是安全审计技术、身份认证技术、桌面安全管理技术、资源控制技术、边界防护技术、加解密技术和检测监控技术。这七类网络安全防护技术已被大多企业网络采用或实施,企业网络仅仅使用网络防护技术无法全方位保护企业网络,也不会对企业网络的安全性有实质性提高。企业网络在建立之初,就需根据企业网络实际情况,设计完整的安全防护策略,并且建立完善的网络安全防护体系,根据防护策略与防护体系合理运用网络防护技术。

3.3入侵检测动态防护策略

企业网络的安全防护体系及防护策略不是一成不变的,在企业发展与网络运行过程中,企业网络安全的威胁每天都有,企业网络安全的保护体系要保证检测到网络入侵后要实施一定的保护措施,这种检测与保护采用动态的方式。要做到企业网络防护的动态化,仅仅依靠网络安全产品与技术是不够的,必须充分考虑到企业网络运行情况,设计出合理的动态保护体系。企业网络的安全防护策略包括检测入侵、应急机制、安全防护、风险分析和恢复备份五个方面。网络安全的检测入侵策略是对企业网络实时检测与监控,可以保证及时发现入侵威胁,当防护系统发现入侵后,系统可根据入侵类型与原因选择合适的防护技术,可以及时消除对企业网络的安全危害。如果当防护系统检测到入侵已对企业网络造成破坏,则系统在选择防护技术的同时启动网络系统恢复备份策略,这样可以使得企业网络恢复到入侵之前的状态,有效减少入侵对企业网络的破坏,保证企业网络正常运行。最后,网络安全防护系统以及工作人员对企业网络造成破坏的漏洞进行分析,对企业网络安全的防护策略进行调整与完善,这样在下次相似类型病毒入侵时,防护系统就可以从根源上阻止其发生。

4结语

企业网络安全防护体系的建立与完善,是保证一个企业正常发展的关键与重点,针对企业网络的应用实际,可以划分企业网络的安全域与完善安全防护体系,构建多层次、动态的网络安全防护体系和策略。企业网络的安全防护不仅需要依靠防护技术,还要更多从管理制度与防护策略入手,为整个企业提供及时、高效、安全的服务基础与保障。

作者:李全良 杨鸾 贺旭娜 单位:中国洛阳电子装备试验中心

参考文献:

[1]张蓓,冯梅,靖小伟,等.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).

[2]王群.基于安全域的信息安全防护体系研究[J].信息网络安全,2015(9).

[3]甘群文,李好文.网络信息安全的威胁与防范技术研究[J].计算机安全,2009(5).

第四篇:企业信息系统网络安全研究

摘要:论文对企业信息系统的网络安全进行了研究,首先简述了企业信息系统的现状,提出加强企业信息系统网络安全的必要性;其次指出了目前企业信息系统中主要存在的网络安全隐患;最后对构建企业信息系统的网络安全防护体系所用到的主要技术进行了阐述。论文对企业信息系统的网络安全运行具有一定的指导意义。

关键词:企业信息系统;网络安全;防火墙

1引言

目前,信息技术在我国取得了高速的发展,各个企业纷纷建立起了自己的信息系统。企业间业务的往来,企业内部项目的完成,无不依赖于信息技术的平台,企业通过互联网将世界各地的信息互联共享,“数字地球”这一提法正是电子信息化广泛应用的形象写照。但是,随着企业信息网络开放性的提高,其安全性已成为不容忽视的重要问题,它是考验网络性能的关键。

2企业信息系统存在的网络安全隐患

企业信息系统网络安全主要分为两个层面:即网络安全、信息安全。网络安全主要包括系统软件、应用软件以及硬件平台的安全;信息安全主要是指数据信息的安全,如数据的加密、备份等。目前,企业信息系统网络主要存在的安全威胁有计算机病毒的感染、黑客入侵和攻击、内部用户非法访问、数据意外损坏或丢失等。

3企业信息系统的网络安全防护技术

3.1防火墙技术

防火墙处于内网和外网之间,用来执行两网之间的访问控制策略。从本质上来讲,它是一种保护内网安全运行的访问控制技术。它由硬件和软件两部分组成,主要包括包过滤路由器、应用层网关以及电路层网关等,一般在企业信息系统内网服务器前端放置,基主要工作原理是:通过包过滤技术将从内网和外网过来的数据流利用应用层的方式进行处理,从而实现内外网之间的安全通信。硬件防火墙是企业信息网络系统中比较常见的,在使用它之前需要进行一些设置。

3.2NAT技术

NAT技术是一种网络地址转换技术,通过在路由器上这安装NAT软件,在访问外网时,会将企业内部的私有IP地址转换成有限的数个(或一个)公有IP地址,从而隐藏企业内网各个主机的真实IP地址,达到提高网络安全性的目的。NAT技术的实现主要有三种方式:静态转换、动态转换以及端口多路复用。

3.3入侵检测系统

IDS入侵检测系统(IDS)可以主动防御攻击,与防火墙相配合可以使企业信息系统的安全防御更加完善,在信息系统的网络安全中起着非常重要的作用。IDS一般放置在内网服务器前端,如图2所示,检测器与控制台的设置是入侵检测系统的关键。我们可以在外路由器与外网的连接处,防火墙与管理信息系统(MIS)之间分别设置检测器,在管理信息系统和监控信息系统(SIS)中分别设置检测器;在管理信息系统中设置控制台。然后,为重点服务器、工作站安装入侵检测软件。

3.4身份认证技术

身份认证技术是用来对来访用户进行身份验证,从而对不同的用户进行访问控制和记录。为了确保网络的安全,特定的用户只能访问特定的网络资源,这就在一定程度上限制了非法用户的访问,使其无法访问权限以外网络资源。

4结束语

企业信息系统的网络安全技术除了上述几种外,还有防病毒技术、虚拟局域网技术、数据备份技术等一些被广大企业普遍应用的技术。总之,要通过各种措施加强企业信息系统的网络安全,为企业商业项目的推进保架护航,从而为社会创造更大的价值。

作者:林宽胜 单位:国家新闻出版广电总局二0二二台

参考文献:

企业网络安全规划范文篇6

关键词企业网,P2DR2安全模型,应用实践

引言

21世纪全世界的计算机都通过Internet联到了一起,网络安全的内涵也随之发生了根本的变化。它不仅从一般性的防卫变成了一种立体、全方位的防范体系,而且还由专业技术变成了无处不在的技术应用。当人类步入21世纪这一信息社会、网络社会的时候,安全成为了科技发展所面临的一个重要课题。目前的网络安全主要具有以下特征:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化和发展;第三,随着网络在社会各方面的延伸,进入网络的手段也具有日新月异的多样性,网络安全也面临着更多的困惑。因此,网络安全技术是一个十分复杂的系统工程。

1网络安全隐患的分析

传统的安全防护方法是:对网络进行风险分析,制订相应的安全策略,采取一种或多种安全技术作为防护措施。这种方案要取得成功主要依赖于系统正确的设置和完善的防御手段的建立,并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网安全的重要特征,即因特网安全没有标准的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。

企业网络安全可以从以下几个方面来分析:物理网络安全、平台网络安全、系统网络安全、应用网络安全、管理网络安全等方面。

物理网络安全风险物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障、人为操作失误或错误,设备被盗、被毁,电磁干扰、线路截获等安全隐患;物理网络安全是整个网络系统安全的前提。

平台网络的安全风险平台网络的安全涉及到基于ISO/OSI模型三层路由平台的安全,包括网络拓扑结构、网络路由状况及网络环境等因素;企业网内公开服务器面临的威胁、网络结构和路由状况面临的困扰是问题的主要方面。

公开服务器是信息平台,由于承担了为外界信息服务的责任,因此极易成为网络黑客攻击的目标;伴随企业局域网与外网连接多样性的存在,安全、策略的路由显得愈加重要。

系统网络的安全风险系统网络安全是建立在平台网络安全基础上,涉及到网络操作系统及网络资源基础应用的安全体系。操作系统的安全设置、操作和访问的权限、共享资源的合理配置等成为主要因素。

应用网络的安全风险应用网络系统安全具有明显的个体性和动态性,针对不同的应用环境和不断变化发展应用需求,应用网络安全的内涵在不断的变化和发展之中。其安全性涉及到信息、数据的安全性。

管理网络的安全风险管理网络安全更多的涉及到人的因素,管理是网络中安全最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险;网络系统的实时检测、监控、报告与预警,是管理网络安全的另一方面。

通用网关接口(CGI)漏洞有一类风险涉及通用网关接口(CGI)脚本。CGI脚本程序是搜索引擎通过超链接查找特定信息的基础,同时也使得通过修改CGI脚本执行非法任务成为可能,这就是问题之所在。

除此之外,恶意代码、网络病毒也成为网络不安全的隐患。

2P2DR2安全模型的提出

基于闭环控制的动态网络安全理论模型在1995年开始逐渐形成并得到了迅速发展,学术界先后提出了PDR、P2DR等多种动态风险模型,随着互联网技术的飞速发展,企业网的应用环境千变万化,现有模型存在诸多待发展之处。

P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore)动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。

一个良好的网络安全模型应在充分了解网络系统安全需求的基础上,通过安全模型表达安全体系架构,通常具备以下性质:精确、无歧义;简单和抽象;具有一般性;充分体现安全策略。

2.1P2DR2模型的时间域分析

P2DR2模型可通过数学模型,作进一步理论分析。作为一个防御保护体系,当网络遭遇入侵攻击时,系统每一步的安全分析与举措均需花费时间。设Pt为设置各种保护后的防护时间,Dt为从入侵开始到系统能够检测到入侵所花费的时间,Rt为发现入侵后将系统调整到正常状态的响应时间,则可得到如下安全要求:

Pt>(Dt+Rt)(1-1)

由此针对于需要保护的安全目标,如果满足公式(1-1),即防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前,这种入侵行为就能够被检测到并及时处理。同样,我们假设Et为系统暴露给入侵者的时间,则有

Et=Dt+Rt(如果Pt=0)(1-2)

公式(1-2)成立的前提是假设防护时间为0,这种假设对WebServer这样的系统可以成立。

通过上面两个公式的分析,实际上给出了一个全新的安全定义:及时的检测和响应就是安全,及时的检测和恢复就是安全。不仅于此,这样的定义为解决安全问题给出了明确的提示:提高系统的防护时间Pt、降低检测时间Dt和响应时间Rt,是加强网络安全的有效途径。

图2为P2DR2安全模型的体系结构。模型认可风险的存在,绝对安全与绝对可靠的网络系统是不现实的,理想效果是期待网络攻击者穿越防御层的机会逐层递减,穿越第5层的概率趋于零。

2.2P2DR2模型的策略域分析

网络系统是由参与信息交互的各类实体元素构成,可以是独立计算机、局域网络或大规模分布式网络系统。实体集合可包括网络通信实体集、通信业务类型集和通信交互时间集。

通信实体集的内涵表示发起网络通信的主体,如:进程、任务文件等资源;对于网络系统,表示各类通信设备、服务器以及参与通信的用户。网络的信息交互的业务类型存在多样性,根据数据服务类型、业务类型,可以划分为数据信息、图片业务、声音业务;根据IP数据在安全网关的数据转换服务,业务类型可以划分为普通的分组;根据TCP/IP协议传输协议,业务类型可以划分为ICMP、TCP、UDP分组。信息安全系统根据不同安全服务需求,使用不同分类法则。通信交互时间集则包含了通信事件发生的时间区域集。

安全策略是信息安全系统的核心。大规模信息系统安全必须依赖统一的安全策略管理、动态维护和管理各类安全服务。安全策略根据各类实体的安全需求,划分信任域,制定各类安全服务的策略。

在信任域内的实体元素,存在两种安全策略属性,即信任域内的实体元素所共同具有的有限安全策略属性集合,实体自身具有的、不违反Sa的特殊安全策略属性Spi。由此我们不难看出,S=Sa+ΣSpi.

安全策略不仅制定了实体元素的安全等级,而且规定了各类安全服务互动的机制。每个信任域或实体元素根据安全策略分别实现身份验证、访问控制、安全通信、安全分析、安全恢复和响应的机制选择。

3企业网安全防御体系的建立

网络安全是一个系统工程,需要全方位防范各种安全漏洞。图3给出了企业网安全防范体系建立的体系框架。

局域网络系统安全方案设计、规划时应遵循以下原则:

综合性、整体性原则应用系统工程的观点方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度,如人员审查、工作流程、维护保障制度等;以及专业措施,如识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等。一个较好的安全措施往往是多种方法适当综合的应用结果。根据规定的安全策略制定出合理的网络安全体系结构。

需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也并非是必要的。对网络进行可行性研究,包括任务、性能、结构、可靠性、可维护性等基础上,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,再制定相应规范和措施,确定本系统的安全策略。

一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期或生命周期同步进行,制定的安全体系结构必须与网络的安全需求相一致。网络系统的安全体系包括安全计划分析、安全模型验证、工程实施、工程验收、实际运行等环节。实践证明,将网络安全设施与网络建设同步进行,可取得事半功倍的效果。

易操作性原则安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。

分步实施原则由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此,分步实

施即可满足网络系统及信息安全的基本需求,亦可节省费用开支。

多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全是必要的。

可评价性原则如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。

4应用案例的分析

根据以上讨论的P2DR2安全模型,并根据实际安全应用需求,可选用相关不同的产品形成多种解决方案方案。下面结合实际的工程案例――基于华为3ComSecPath100N防火墙架构的企业网安全系统作相关讨论。

4.1安全方案的配置策略

策略Policy定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则;

防护Protection充分利用防火墙系统,实现数据包策略路由、路由策略和数据包过滤技术,应用访问控制规则达到安全、高效地访问;应用NAT及映射技术实现IP地址的安全保护和隔离;

检测Detection利用防火墙系统具有的入侵检测技术及系统扫描工具,配合其他专项监测软件,建立访问控制子系统ACS,实现网络系统的入侵监测及日志记录审核,以利及时发现透过ACS的入侵行为;

响应Response在安全策略指导下,通过动态调整访问控制系统的控制规则,发现并及时截断可疑链接、杜绝可疑后门和漏洞,启动相关报警信息;

恢复Restore在多种备份机制的基础上,启用应急响应恢复机制实现系统的瞬时还原;进行现场恢复及攻击行为的再现,供研究和取证;实现异构存储、异构环境的高速、可靠备份。

4.2安全方案的实现

方案采用华为3ComSecPath100N防火墙作为安全系统核心,配合以多种软件防护策略。公司内部对外提供WWW、FTP和Telnet服务,内部FTP服务器地址为202.200.204.1,内部Telnet服务器地址为202.200.204.2,内部WWW服务器地址为202.200.204.3,公司对外地址为202.195.22.18。在安全网关上配置了地址转换,这样内部PC机可以访问Internet,外部PC可以访问内部服务器。通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器。内部网络只有特定主机可以访问外部网络。外部特定用户的IP地址为202.19.30.21。

部分配置步骤

#在安全网关Quidway上允许防火墙。

[Quidway]firewallenable

#设置防火墙缺省过滤方式为允许包通过。

[Quidway]firewalldefaultpermit

#创建访问控制列表3001。

[Quidway]aclnumber3001

#配置规则允许特定主机访问外部网,允许内部服务器访问外部网。

[Quidway-acl-adv-3001]rulepermitipsource202.200.201.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.202.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.203.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.204.00

#配置规则禁止所有IP包通过。

[Quidway-acl-adv-3001]ruledenyip

#创建访问控制列表3002

[Quidway]aclnumber3002

#配置规则允许特定用户从外部网访问内部服务器。

[Quidway-acl-adv-3002]rulepermittcpsource202.19.30.210destination202.195.22.180

#配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。

[Quidway-acl-adv-3002]rulepermittcpdestination202.195.22.180destination-portgt1024

#将规则3001作用于从接口Ethernet0/0/0进入的包。

[Quidway-Ethernet0/0/0]firewallpacket-filter3001inbound

#将规则3002作用于从接口Ethernet1/0/0进入的包。

[Quidway-Ethernet1/0/0]firewallpacket-filter3002inbound

#创建NAT应用规则。

[Quidway]nataddress-group1202.195.22.19202.195.22.28

[Quidway]aclnumber2001

[Quidway-acl-basic-2001]rulepermitsource202.200.201.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.202.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.203.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.204.00.0.0.255

[Quidway-acl-basic-2001]quit

[Quidway]interfaceEthernet3/0/0

[Quidway-Ethernet3/0/0]natoutbound2001address-group1

#设置内部ftp服务器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.1ftp

#设置内部www服务器1。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.2www

#设置内部www服务器2。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.198080inside202.200.204.3www

#设置内部smtp服务器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.4smtp

5结束语

网络安全防御是一个非常复杂的问题,传统单一的静态安全模型不能够很好地保证系统的安全。本文提出的P2DR2网络安全模型是对现有动态安全模型的一次重要补充,是解决典型企业局域网络的良好方法,通过工程案例的实践应用,取得了较为稳定的安全效果。

参考文献

[1]石志国等.计算机网络安全教程.北京:清华大学出版社,2005

[2]李家春,李之棠.动态安全模型的研究.华中科技大学学报,2003,31(3):40-42

[3]侯小梅,毛宗源.基于P2DR模型的Internet安全技术.计算机工程与应用,2000,23:1-2

[4]单蓉胜,王明政,李建华.基于策略的网络安全模型及形式化描述.计算机工程与应用,2003,13:68-71

[5]张成阳,穆志纯等.基于复杂性研究的Internet安全模型.北京科技大学学报,2003,5:483-487

企业网络安全规划范文篇7

关键词:中央企业;网络安全;保密管理工作

网络安全的三个基本属性是保密性、完整性和可用性;保密工作的三大管理重点是定密管理、网络保密管理和涉密人员管理,因此网络安全和保密工作二者相辅相成、密不可分。加强中央企业信息化建设,坚持以创新驱动带动生产力,是“十四五”重要战略规划时期所必须做出的改革创新举措。只有积极地应用推广新型信息技术,中央企业才能进一步实现工业信息化、生产信息化和管理信息化发展格局,而开发利用好信息资源,也正是中央企业形成自己的核心竞争力,在主业上做大做强所必需的物质基础。但新型信息技术的应用,带给中央企业的除了生产与管理技术的变革以外,也对中央企业的安全保密工作提出了更高难度的挑战,因此只有应用网络安全技术,加强网络保密管理水平,提高中央企业信息化集中管控能力,才能进一步促进中央企业实现增值保值的长效运营目标。

1网络安全与保密工作的重要性

中央企业是由国家党政组织独资控股的国有企业,通常在某个或多个行业内占据主要支配地位,在该行业内能够起到引领经济、带动经济、规范市场定价的作用,是国民经济体系中不容分割的重要经济支柱。而中央企业由于运营规模远大于常规民营企业与地方企业,所以它在资产管理、财务管理、人力资源调度、业务受理与风险管理上,所涉及的信息交互内容往往更加复杂多样,因此中央企业近年来在战略计划部署中,都会将信息管理系统建设和数字化转型放在重要位置。这样做的目的是通过信息技术高效率的处理与共享机制,提高企业的决策与执行效率,进一步规范管理体制流程,从而支撑中央企业长期稳定发展。中央企业的正常运作,离不开对各类信息和数据的保密,例如企业的核心生产技术、知识产权、重要的生产工艺配方、科研数据、设计图纸、方案文件以及客户资料、财务数据等生产信息和经营信息,关系着企业的核心竞争力,反映了企业的经营发展状况。一旦中央企业在信息化管理过程中因网络安全与保密工作不到位,引起信息丢失或扩散,将会直接影响企业行业优势,导致战略决策和经营生产的困难。例如关键生产技术的信息泄漏,会导致企业在专业技术领域或业务市场中失去竞争优势;客户资料失窃会引发社会层面的公关问题,给企业声誉带来严重损失;企业战略计划方案的泄漏,将会给他人带来可乘之机,使竞争企业可以提前谋划,抢占市场,我方企业可能会失去行业和市场的优势地位。无论是哪一种失泄密事件的出现,最终都会对企业的生产经营和长期发展产生难以估量的影响;由于中央企业特殊的市场地位,甚至会造成国际影响和社会舆情。所以中央企业在信息化转型模式下,应当从以往失泄密事件中得到警醒,在前车之鉴中吸取经验教训,走出以往传统管理模式的局限误区,将信息网络安全工作与保密管理工作提上日程,进一步保障中央企业的信息安全[1]。唯有这样,中央企业才能够在新型信息技术的支撑下,在新时代经济时期长久发展与生存。

2中央企业安全管理与保密工作的隐患因素与薄弱问题

2.1网络安全隐患

2.1.1网络业务复杂,互联网暴露面大为响应国家网络强国的号召,中央企业已将内部专线与移动5G、IPv6等技术相结合作为企业网络建设的重要方向,这使得内部网络可以获得更快的速度、更好的扩展性和更强安全性。但在方便业务系统联通的同时,也方便了系统入侵、病毒传播、数据窃取。近年来,通过互联网攻击入侵企业服务器进行“挖矿”的事件层出不穷,对企业的信誉造成了严重损害;勒索病毒改变了传统病毒破坏数据、阻塞网络、损坏硬件的方式,通过对重要数据进行高强度加密,让受害企业只能交钱就范,买回数据,且病毒一旦在内部网络传播,对前期发现、中期清除和后期溯源工作都带来了极大的挑战;互联网网站、企业信息系统数据库拖库事件频发,造成企业和人员信息泄漏的同时,也为不法人员的进一步网络攻击提供了便利。以上的网络攻击多数都是通过互联网进行,但互联网的使用已经深入到了企业日常生产经营的各个方面。企业为了自身宣传和便于日常工作,建立了互联网门户、采购交易等网站和移动办公、差旅管理等移动应用;由于行业监管、信息公开和业务发展的需要,中央企业的部分信息系统需要与主管部门和地方政府的互联网政务平台连接;企业员工需要与外部人员进行日常的工作交流和信息传递,及时通讯工具、互联网邮箱、网盘的使用不可或缺[2]。中央企业的信息系统使用在这个问题上,存在两种极端情况:一是消极保安全,直接采用“一刀切”的管理模式,直接以物理隔断的方式将企业内部网络与公网对接,虽然可以避免由于网络连通导致的信息失窃和网络攻击,但长此以往由于企业内部网络环境始终处于与外界隔离状态,没有基本的信息交互,就会出现“信息孤岛”效应,严重阻碍了企业信息化水平发展,也对人员办公造成不便,降低了工作效率;二是未采取任何隔离防护措施,直接将内网与互联网连接,使各类信息系统和办公计算机暴露在互联网上,用于商业秘密和企业敏感信息的信息系统和处理终端未加以区分,移动存储介质的管理比较随意,使用人员的登记不规范,存在较大失泄密风险。2.1.2信息系统建设业务面广,人员管理困难中央企业担负着强化主责主业,发挥国民经济“稳定器”和“压舱石”的作用,而多数中央企业并非专业的网络技术公司,所以多数内部管理人员和业务人员缺乏基础的网络安全技术知识,信息系统使用过程中将电子文件随意的保存,通过不安全的设备和网络进行处理传递,存在较大的失泄密风险,极易造成企业敏感信息扩散。从人员编制和用人成本的考虑,多数中央企业在系统开发和网络运维工作的用工制度多样,存在着大量的劳务派遣、项目外委、厂商驻场的开发和运维人员,这类技术人员普遍年轻有活力,但政治敏锐性不强、人员流动性大、缺乏管理约束,工作中网络安全技术欠缺,保密知识和保密常识不足,容易因麻痹大意导致网络安全事件或失泄密事件,成为了网络安全保密工作的短板[3]。

2.2信息化和数字化成果多样,供应链攻击难以防范

随着中央企业数字化事业的多年发展,主营业务与信息系统深度融合,云计算、大数据、物联网应用多种多样,形成了繁多复杂的信息系统集群。各信息系统集群是由不同子系统通过多次迭代开发完成,其中使用了大量的外部软硬件产品,这些软硬件产品不但品类繁多,而且来源复杂。目前开源软件和免费软件成为漏洞攻击的重点,尤其是通用性强的中间件产品更是发现问题的重灾区。相应的,payload(有效载荷)迅速在网上扩散,极大降低了漏洞的利用门槛,使一些初级“黑客”可以轻易的利用,随之而来的就是由于初级“黑客”知识的欠缺,造成对系统的破坏不可控。虽然软件社区和安全厂商会快速跟进漏洞的验证和修复,poc(概念验证)和安全补丁,但也极大加重了运维人员的负担。近年来国产软件硬件屡屡取得突破,但其中大量产品都应用了国外产品或使用了开源技术,这就对产品的安全可靠性提出挑战,例如国外的产品是否存在设计缺陷和漏洞,是否存在后门,如评估终止产品供应或中断服务将对整个信息系统产生何用影响;开源的产品是否安全,后续的升级和服务如何保障等等。即使是完全国内自主开发的产品也同样存在自身的安全问题,如安全漏洞能否被及时发现,厂商能否第一时间提供安全补丁进行修复,安全威胁能否及时得到解决等。

3加强中央企业网络安全与保密的对策措施

3.1提高政治意识,强化信息化顶层设计布局

中央企业要首先明确政治站位,要从国家发展的角度统筹发展和安全,坚持总体国家安全观,牢固树立“没有网络安全就没有国家安全,没有信息化就没有现代化”“保密就是保党的长期执政地位、保国家安全、保人民幸福、保民族复兴”的意识,要兼顾数字化事业发展和安全保密,不能盲目追求速度和便利而不顾安全保密,也不能因噎废食将数字化转型停滞不前。中央企业的数字信息化转型,要遵循《“十四五”国家信息化规划》,强化中央企业信息化转型的顶层设计,将网络安全防护能力作为一项基本建设要求,促进中央企业自有业务与信息化系统应用的深度结合,通过人防、物防、技防多位一体地开展系统化、工程化的网络安全与保密工作。

3.2建设内紧外松的信息网络,提高网络安全防范能力

对于中央企业来说,通过内外网对接实现信息传输,是多数核心业务不可避免的内容,在网络设计中应遵循《中央企业商业秘密安全保护技术指引》,设计出符合自身业务实际的网络,制定高效、便捷、安全、可靠的网络隔离方案。可采取以下措施:一是通过网闸等隔离设备实现数据的可控交换和网络协议的断开,在有效缩小企业内部系统在互联网的暴露的同时,保证内外网的相互独立运转和数据的高效联通,避免因内外网隔离造成的工作不便。二是加强办公电脑和移动存储介质的管控,避免优盘、移动硬盘的数据摆渡行为,避免“病”从“口”入。三是坚持信息系统建设与网络安全的同步规划、同步建设、同步使用,在系统建设之初除了考虑到系统自身的安全性以外,还要考虑系统的安全功能,如文件和屏幕的水印(盲水印)、电子签章、打印审计等。四是加强移动应用和移动终端的管控,结合移动应用的使用场景,在数据擦除、远程管理等方面提出更高的安全防护要求。五是精细化网络日常管理,适当收拢互联网出口,细化网络访问控制策略,规范信息系统授权,使网络安全的日常管理切实有效开展。六是在企业内部定期展开网络安全攻防演练,动态评估企业网络安全防护工作水平,对查找发现的问题及时分析处理,并形成长效处置机制[4]。

3.3以安全保密为推手,加强人员和供应链管理

中央企业的保密工作相较于网络安全起步早,有着十分丰富的管理经验和能力积累,各类管理制度完善,保守国家秘密是每个公民应尽义务的观念更是深入人心。在中央企业的信息网络、信息系统、信息设备均可以按照所承载数据的涉密情况进行分级分类,制定不同的管理策略和保障等级,选择合适的软件厂商、选用安全可靠的硬件设备,配备适当的运维保障人员,从而实现对信息系统的重点、动态、适度防护。加强对中央企业员工的保密教育培训,提高全员保密意识,掌握保密知识和技能,知晓工作中的保密红线和底线,约束日常工作中的行为。加大网络安全和保密工作的奖惩力度,对有突出贡献的人员进行奖励,对过失行为人和相关部门负责人进行严肃处理,遵守国家法律法规,维护企业内部的保密工作纪律,最大程度避免失泄密事件的发生。专业的人做专用的工作。中央企业可适当引入背景可靠、技术过硬的第三方安全厂商作为技术支持,构建由内而外、由易到难的技术支撑团队,及时有效的获得安全咨询和行业动态,始终保持敏锐的态势感知能力。

3.4各类管理部门齐抓共管形成合力,赋能数字化业务安全发展

我国信息化发展正处于内外部环境的深刻变化中,新一轮的科技革命和产业变革为中央企业的网络安全和保密工作的发展提出了新的挑战。在中央企业的内部管理中,网络安全和保密管理分属不同管理部门,面对数字化转型和信息化发展面临的挑战,各部门应在业务模型设计、数据分类、人员管理、设备管理、数据回收、监督检查等方面的相互配合,强化优势,弥补短板,形成合力,在中央企业内部形成无死角的网络安全防御机制。利用齐抓共管的网络安全和保密管理模式,建设可靠高效的信息系统,赋能数字化业务安全发展,提高中央企业的核心竞争力。综上所述,随着中央企业信息化业务的发展,系统的应用情景中存在着互联网暴露面大、技术人员管理困难、供应链管控不足三类安全风险隐患,因此需要企业站在统筹规划的角度上分析网络安全形势,认清网络安全与保密管理工作对于信息化转型期企业发展的重要意义。在网络安全和保密工作相互借鉴的基础上,通过网络安全的技术规范提高信息系统的技术防护能力,借鉴保密管理积累的经验加强制度建设和人员管控,综合人防、物防、技防手段,配齐安全防护保障、优化安全防护策略,全面提高中央企业的网络安全与保密工作的质量,赋能产业数字化转型和企业安全稳定发展。

参考文献:

[1]邵琳,刘源.计算机网络安全防护系统设计研究[J].电子世界,2022(02):92-93.

[2]熊宁.国有企业数字化转型中的网络安全防护与保密管理[J].网络安全技术与应用,2021(07):118-119.

[3]罗昱,盛梦婷.计算机网络中的气象数据保密与安全防护措施研究[J].中国新通信,2019,21(17):134.

企业网络安全规划范文篇8

网络安全防御技术主要包括包括五个方面,分别为认证技术、加密技术、访问控制技术、入侵技术、防火墙技术。网络传统安全体系中也同样包括五个方面的安全内容:(1)物理安全,主要为确保机房环境安全,视频监控与门禁系统,加强安全报警与UPS工作系统。(2)网络安全,包括网络审计、漏洞扫描、VPN系统、入侵防御等。(3)主机安全,主要包括主机加固,防治恶意代码与病毒,主机安全基线等内容。(4)应用安全,主要包括了web应用防护、堡垒主机、应用教辅、CA身份认证等内容。(5)数据安全,其主要内容为加密数据管理,做好数据完整性校验,进行数据归档,防治网页被篡改,并适当的做好灾难备份工作[1],系统框架如图1所示。1.1网络安全加密技术。加密技术是用以保护信息数据安全的重要方式,通过特定的加密算法将明文数据转化为密文。当前,网络安全加密技术主要采用对称密钥与非对称密钥两种方式,其具体的形式主要为面向应用服务与面向网络服务两种。其中在面向网络服务形式,主要在传输层与网络层开展加密工作,确保数据信息在网络传送过程中的安全性,将其应用于公网当中的虚拟网络建设当中,可以有效保障网络信息的安全性。面对应用服务形式,加密的主体对象主要为各种不同的应用软件,如邮件加密、文件系统加密应用的就是此项技术。1.2网络安全认证技术。网络安全认证技术是一项确保信息安全性、完整性、正确性的技术,是控制资源访问的有效方式。有效地安全认证技术,可以放置操作系统外的主动攻击,保障网络信息安全。常规安全认证技术包含了数字签名、证书、摘要等过多个方面。认证技术作为信息防入侵技术又包括了消息认证与身份认证两大方面。其中身份认证的内容主要为智能卡认证、生物特征认证、口令认证,识别登陆者的信息;消息认证与身份认证上有所区别,需要使用相关认证机构所签发的证书开展身份认证流程,之后再进行数字签名,此环节结束之后,消息认证技术会对数字签名进行认证。1.3安全访问控制技术。安全访问控制技术是最为常用的安全保护技术。安全访问控制技术控制的主要对象为网络资源权限,通过认证与控制手段限制防护的网络资源权限,阻挡非法访问。在实际企业网络安全构建中用户身份信息认定、信息更新与鉴别等都属于安全访问控制技术的一部分。现有的安全访问控制技术又可以分为强制访问控制、角色访问控制、自主访问控制三个方面的内容。1.4安全防火墙技术。安全防火墙技术是将系统有效隔离的一种技术,一般情况下被应用于内部与外部网络隔离当中,并配合相应集成软件技术,与其它硬件共同构建技术保护屏障[2]。防火墙技术与访问控制技术相比同样具备阻挡非法访客的目的,并阻拦外网非法用户的攻击行为。目前已经开发的安全防火墙技术主要包括了技术、过滤技术等内容。不同的防火墙技术有着不同的防范侧重点,因此在实际企业信息网络安全建设当中可以采用不同的防火墙技术,综合多个防火墙的优势,增强防火墙的有效性。1.5安全入侵检测技术。安全入侵检测技术相对于防火墙技术而言,是一种主动防御技术,通过主动性的系统检测,拦截相应的入侵活动,能够有效的保护系统安全。安全入侵检测技术主要包含了高级检测、异常检测、误用检测三个方面的内容,分别对文件完整性、异常入侵行为、判断攻击性为进行检测。

2企业网络安全大数据安全技术

2.1数据采集安全。数据在网络系统传输的过程中可能会发生损毁、遗失、窃取现象,数据采集安全也就是要求在此环节保证数据的传输安全[3]。企业在信息管理的过程中可以通过数据加密与身份认证等方式建立相应的安全保障机制,利用信息加密技术为消息添加验证码,避免相关数据被窃取,保护相应数据的完整性。与此同时,信息安全技术管理人员也可以使用时间戳作为标识,避免系统文件收到重放型攻击,再配合使用VPN技术提升信息传输的安全性。2.2安全存储技术。对于企业来说,商业机密直接关系到企业的存亡。因此构建相应的网络安全系统时,应该做好安全存储技术。安全信息管理者可以将重要的数据加密、备份处理。应用加密技术对敏感数据进行加密,并采用对称加密、非对称加密技术分层存放管理体系,以便提高存储系统工作的有效性[4]。与此同时,可以将敏感信息异地备份,或使用数据快照与数据镜像技术等避免数据库受到攻击后信息数据丢失。2.3大数据安全挖掘技术。此项技术主要是针对信息挖掘者进行身份认证,避免非法访问与非法操作造成信息数据泄露。企业在信息管理系统构建的过程中可以采用动态口令、人脸识别、指纹识别等相关技术验证访问者的身份信息,给与其相应的权限。3云计算安全技术云计算安全技术是大数据环境下重要技术之一,主要通过分布式计算、并行计算、虚拟化技术、WebServices等多种技术共同构建云计算技术[5]。云计算安全体系以安全目标为核心,共依靠传统安全技术与大数据安全技术共同构建而成(如图2)。通过对云计算进行详细的分析可以得知,云计算是分布式计算与并行计算的深入延伸。其中并行计算运行的过程中需要使用多个处理器开展计算,分别承担一定的计算任务执行计算,并将最终计算的结果提交到相应的节点上进行信息处理。分布式计算与并行计算也是将计算任务分成多份,但可以一台或多台计算机上进行计算。云计算将分布式计算、并行计算等计算方式进行连接,可以整合多个计算优势,提高计算的有效性[6]。云计算对于大数据的应用起到“提质增效”的作用。大数据需要借助云计算处理相应的数据,提高工作效率。在应用大数据构建网络安全系统的过程中,可以借助云计算构建相应的大数据平台,将传统的网络安全信息技术与云计算相连,可以构建更加高效、安全的信息处理系统,提升信息系统的安全性、效率性。

4结语

大数据时代下,构建企业网络信息安全体系,应该详细分析信网络安全关键防御技术,在构建大数据平台的时将其应用其中,设置访问权限与控制网络资源,并通过信息技术加密手段,避免信息泄露。与此同时,将云计算应用其中,提高平台信息处理数据效率,助推企业网络安全信息管理。

参考文献

[1]曲震霆.大数据环境下企业年金信息安全管理问题与策略研究[J].现代情报,2019,39(01):149-153.

[2]何伟,张伦宁,贺成成,etal.地灾监测的大数据信息平台研究及应用[J].测绘通报,2019(1):127-131.

[3]黎栋梁,陈行.智慧规划下的协同编制信息资源平台研究[J].测绘通报,2019(1):149-154.

[4]李祥琴,罗小磊.大数据下通信传输用户信息安全保护仿真[J].计算机仿真,2018,v.35(05):178-182.

企业网络安全规划范文篇9

关键词:网络方案石化企业

随着科技的迅猛发展,石化企业越来越广泛地采用信息技术,使其成为挖潜增效、赢得市场竞争胜利的重要途径。网络整体解决方案是石化企业信息化工程的重要基础设施,其目标是建设一个先进、可靠、安全的信息通信平台,支持数据、话音和图像交换,实现传真、图片和电视会议等多种通信业务,覆盖所有网络应用,并具有完备的网络管理系统,能为用户建立面向未来的信息高速公路。

一石化企业网络建设目标

1.石化企业流程特点

石化以原油和天然气为主要原料,生产出燃料、润滑油、石蜡等产品,满足社会需要,同时谋求企业最大经济效益。其流程是连续生产,规模宏大,由许多内部复杂关联的单元操作模块组成,单元模块间由物料流、能量流及设备的相互连接而组成不同石化过程流程。

2.石化企业数据分类

石化企业网上数据,总体上包括:工艺流程数据、油品质量数据、油品罐存数据、公用工程数据、设备管理数据、经营管理数据和办公自动化数据等。特别是现场生产数据,实时性很强,要求较高通信速率,一般在几秒内刷新几千点以上的实时数据。工业电视监控系统视频则要求每秒25幅画面以上的通信速率,才能保证良好的画面效果。

3.光缆覆盖企业全部区域

到目前为止,石化企业的计算机应用,一般都走过了起步、探索和发展3个阶段,经历了单项开发、微机局域网和管理信息系统建设3个过程。在此基础上的网络整体解决方案,光缆敷设一定要覆盖企业全部区域,才能充分发挥出计算机信息系统在企业生产经营和管理决策上实实在在的重要作用,使企业管理模式有一个较大变革。

4.完成生产和管理各项服务职能

石化企业网络建设目的,是搭建信息应用平台,为生产和管理构造一个适应竞争发展的模式,最大限度提高经济效益。在这个宏观思想指导下,所建立起来的网络系统须能支持完成生产和管理各项服务职能,如生产管理、工艺管理、计划管理、计量管理、财务管理、设备管理、储运管理、工程管理、销售管理、工业电视、视频会议、流程模拟、过程控制优化、电子商务、办公自动化和决策支持等。

5.满足企业CIMS和ERP建设需要

网络系统是石化企业信息化建设的重要基础设施,应从企业全局出发,建成一个高起点、有水平、方便使用和管理、易于升级的网络系统,以期满足企业CIMS和ERP建设需要。其建设原则应定位在:统筹规划,分步实施;集中建设,分级管理;共同开发,资源共享;不断优化,滚动发展。

二石化企业网络建设方案

1.网络设计原则

由于网络技术发展十分迅速,产品更新换代日趋缩短,所以方案设计时须采用先进、成熟技术,确保网络结构、设备和软件具有较长生命周期,保护用户投资。同时,要兼顾产品性价比,以适应石化企业信息应用发展需要。网络应充分设计的重要因素:(1)网络实施可行性;(2)性能优异性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。

2.主干网类型

主干网连接各部门局域网网段,连接企业级服务器及各种远程网络设备,负责处理网间数据量传输,是石化企业全网数据交换枢纽。为此,要求主干网具有高速交换数据能力、良好技术升级特性和较强稳定可靠性,同时支持多种网络环境、通用网管协议和向未来网络技术平滑过渡。网络主干设计不仅要考虑结构合理,有利于网络分段(分组)、性能优化和安全控制,同时还要考虑原有网络基础设施的充分利用,方便日常维护。目前,石化企业主干网的选型,多以ATM和星型结构的千兆快速以太网为主流。

3.网络模型确定

网络模型是指在确定网络(以太网、FDDI、ATM、快速以太网络等)技术以及网络速率基础上,网络设备、网段的连接方式。就石化企业来说,分公司和下属二级生产企业的信息点总和约几千点,大体可分成3层:第一层为核心层,位于分公司计算机中心机房;第二层为中心层,位于下属二级企业计算机中心机房;第三层为接入层,包括分公司机关处室、下属二级企业管理部门及车间办公室和仪表控制室。核心层是网络高速交换主干、整个分公司信息管理枢纽,应具有高性能、高可靠性和3层交换的能力。中心层是下属二级企业生产数据管理中心,应具有较强数据交换能力,支持3层交换,基本解决二级企业路由,使二级企业信息管理相对独立,同时减少了分公司核心交换机数据处理压力。接入层为最终用户,是10/100M交换式以太网端口到桌面。

二级企业网络又可分成多级节点拓扑结构:其计算中心为中心节点;1000M主干抵达地为一级节点;企业领导层、单独组网的主要处室(如财务处、机动处、销售处、人事劳资处等)和车间办公室为二级节点;非独立组网的机关处室、仪表室和车间下属各组为三级节点。节点选择原则有3条:重要程度、地理位置、所管理工作站数量。

对石化企业来说,生产管理的一个十分显著特点,是需实时监控生产装置的流程参数和动态了解公用工程物料能耗数据。对仪表室DCS和微机监测系统采集信息的上网,应通过单设的工控机实现,目的是为避免网络部分闪失给生产装置造成不良影响。DCS、微机监测系统和工控机间的数据交换,在软件上通过DDE或OPC实现。

4.网络拓扑结构

地区石化企业网络拓扑结构一般分为两层:分公司层和下属分厂层。分公司层用于构造分公司机关信息系统网络平台;组建连接下属各分厂的网络管控中心;负责和中石油、Internet对外的统一接口。而下属分厂层,作为分公司整体网络组成部分,则应充分满足分厂和分公司信息化的全部需求。其具体网络拓扑结构见图所示。

5.网络设备选型

网络设备(交换机、集线器、路由器、接口卡和网管软件等)的选择原则,是依据石化企业网络拓扑结构要求,参照其功能、性能、容量和价格等综合因素而确定。

在这一网络设备选择原则的指导下,建议选用主流网络设备厂家Cisco和3COM公司产品,因其都拥有全线网络产品,性价比良好,有着强大技术支持和售后服务能力,并对网络扩展和升级不存在后顾之忧,不仅能使石化企业有效解决网络应用问题,且可降低维护成本,提升企业管理水平。以选用Cisco网络产品为例:分公司核心层主交换机可选用Cisco6000系列产品(如Cisco6506);二级企业中心层主交换机可选用Cisco4000系列产品(如Cisco4006),一级节点网络设备可采用Cisco2900系列产品(如Cisco2912、2924、2948),二级和三级节点可采用Cisco2950等网络设备。

6.网络服务器选择

服务器的选择对一个网络系统来说至关重要,它应具有较强稳定性、可靠性、保密性和安全性,同时方便操作和维护,充分考虑系统的扩充和发展。一般来说,系统主服务器可采用档次较高的SUN服务器,其他如生产(实时)数据服务器、Domino(办公自动化)服务器、服务器、域名服务器和拨号服务器等则可采用HP服务器。拨号服务器功能主要用于企业内部临时性办公地点以及领导外出工作时上网之用,通过Modem与拨号路由器实现拨号上网的用户对企业内部网络的访问。

7.域名的划分

传统域名的划分采用WindowsNT中WINS和DNS相结合的方式,为系统每台设备都设置域名,不仅增加网络广播信息流量,加重网络负担,降低网络性能,且不利于域名系统的维护。现在修正如下:(1)按照分公司规定域名划分方法进行厂级域名规划;(2)取消WINS系统;(3)不对分厂级以下的系统进行域名设置。

8.IP地址的分配

IP地址的划分采用分公司分配的IP地址段,分厂在此基础上进行IP地址的分配。IP地址是企业宝贵的计算机软资源,其合理划分对于网络性能优化、安全管理、正常维护都具有重要意义。IP地址的划分,必须在对网络进行全面调研的基础上,根据网段/子网划分原则、网络安全需求以及未来发展进行科学设计。

9.与Internet连接

随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源,更好服务于生产经营,以获得更大利润,现已变得越来越迫切,访问Internet事实上已成为石化企业网络功能的重要组成部分。与Internet连接,是由接入路由器、防火墙和入侵监测设备组成。为统一管理,Internet对外出口应设在分公司,由其信息中心统一控制和配置资源。分厂作为分公司下属生产企业,它与因特网的连接是通过分公司宽带出口实现的。Internet用户的开户管理和邮件管理等,也统一纳入分公司管理之下,由其信息中心来控制具体实施。如有必要,下属分厂也可根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(DHCP)。

10.网络管理软件

网络管理是确保网络正常工作的重要手段,它决定某一特定段信息量,管理一个应用应怎样使用客户内存,以至跟踪某台特定设备的工作是否正常。网络管理一般包括流量、应用程序和设备管理。如Cisco网管软件CiscoView,能出色地承担起网络管理职能;3COM公司Transcend网管软件,也可为该公司的互连设备提供动态网络配置信息和运行状态信息,具有强有力的监视功能。

11.防火墙和防病毒

确保网络安全的基本方法是采用防火墙。简单讲,防火墙是用来控制信息流,通常防火墙都设置在网络基础设施的入口或出口。目前有3类包含不同过滤特性的防火墙:包过滤、网络过滤和应用网关。在确定选择防火墙时,应首先检查环境中可用的信息流控制,主要指通信方向、通信来源、IP地址、端编号、认证和应用内容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墙产品,都具有相当好保护性能,用以保护整个网络业务资源。防火墙设置应由分公司统一设置。

计算机病毒给网络应用带来了相当大的威胁,在网络环境中的防病毒措施与在单机环境下有着很大程度的不同。在网络系统中,须根据对病毒流入网络系统根源的分析,制定全方位、多平台网络防病毒方案。目前部分石化企业采用网络版NortonAntiVirus(企业版),定时对全网络用户查毒杀毒,收到较好效果。

12.数据备份

石化企业的生产、经营、管理和决策数据大都存储在网络环境的服务器中,网络数据安全性极为重要,一旦被破坏或丢失,将对企业正常运行带来重大影响,甚至造成难以弥补的损失。因此,数据备份是网络建设中不可缺少的组成部分。在传统磁带数据备份基础上,适时推出的NAS(网络连接存储)和SAN(存储区域网络)技术,正成为网络数据备份的主流。

三石化企业网络建设环境

1.机房环境设计

公务员之家版权所有

(1)温度:夏季22℃±2℃,冬季20℃±2℃;(2)湿度:45%~65%;(3)照明:距地面0.8m处>300Lx;(4)噪声:<70db;(5)电磁:≯800A/m。

2.系统供电设计

(1)电压波动范围-5%~+5%,频率变化范围-0.2Hz~+0.2Hz,波形失真率≤±5%;(2)采用UPS,其容量选用设备容量之和的1.5倍。

3.系统防雷击设计

需配置有效的防雷击隔离器(GB50174-93计算机机房防雷设计规范)。

4.接地设计

(1)交流工作地的接地电阻≯4Ω(2)安全保护地的接地电阻≯4Ω(3)信号地和屏蔽地的接地电阻≯3Ω(4)防雷保护地的接地电阻≯4Ω。

四石化企业网络建设实施

1.符合实际的路由设计

符合实际的路由设计是企业网络系统成功的基础。路由设计是一件十分细致的工作,在大量和反复调研基础上,完成详尽的文档,包括路由走向图和路由明细表。它遵照网络拓扑结构的具体要求,结合企业地理环境的具体情况,因地制宜地采取合理路由方式。路由设计首先考虑利用现有电话通信水泥管井,然后利用仪表和计量槽盒,最大限度减少地下直接掩埋或架空敷设。

2.采用结构化布线

先进的网络系统很重要的一点体现在网络的结构化、合理化、规范化上,以免制约企业网向更高层次的网络建设发展。石化企业网络一般分为建筑群间和楼内布线。公司和分厂之间,以及厂区内的主干,采用光缆;办公楼以及车间内部,铺设超五类双绞线。光缆敷设要根据现场实际情况因地制宜采取合理方式。在网络介质选择上,1000M主干采用单模光纤,其他网段采用多模光纤,为保证网络安全和可靠运行,单模光纤使用6芯(2/3作为备用),多模光纤使用4芯(1/2作为备用)。

3.充分利用原有网络资源公务员之家版权所有

石化企业的计算机应用工作起步较早,各单位网络建设也都实现了不同程度的应用。现在所提出的网络整体方案,一定要考虑充分利用原有网络资源。其利用是多方面的,光缆、用户工作站、集线器都可利用,交换机也可降级利用。这不仅仅是资金上的节省,而且也是人们心理上的期望。

4.工程组织和实施

(1)组织管理

项目工程领导小组、光缆敷设管理小组、网络性能优化管理小组、网络安全实施管理小组、文档资料管理小组。

(2)进度安排

设备采购、光缆敷设、设备安装与调试、系统联调及试运行、系统性能技术测试、交付文档资料、项目验收。

(3)质量管理

(a)项目工程领导小组,负责项目方案敲定、人员安排、进度掌握和甲乙双方间的协调;

(b)光缆敷设管理小组,负责光缆敷设,确保工程遵循技术规范、按照进度时间要求完成施工;

(c)网络性能优化管理小组,负责工程竣工前对网络性能测试,并进行优化调试;

(d)网络安全实施管理小组,负责实施网络安全策略,实现防火墙和防病毒的落实,确保网络安全和保密;

(e)文档资料管理小组,负责提供完整和实用的文档资料,以备网络日常的管理和维护。

(4)费用预算

光缆及网络交换设备费用、光缆敷设工程费用、网络管理软硬件费用、网络安全管理软硬件费用、网络防病毒软硬件费用、网络性能测试费用。

(5)技术培训

(6)测试验收

企业网络安全规划范文篇10

随着企业网络信息技术的快速发展和广泛应用,社会信息化进程不断加快,生产制造、物流网络、自动化办公系统对信息系统的依赖程度越来越大,因此,保证信息系统的安全稳定运行也越来越重要。如何保证企业网络信息化安全、稳定运行就需要网络规划设计师在设计初始周全的考虑到网络安全所需达到的条件(包括硬件、OSI/RM各层、各种系统操作和应用)。

1网络安全、信息安全标准

网络安全性标准是指为了规范网络行为,净化网络环境而制定的强制性或指导性的规定。目前,网络安全标准主要有针对系统安全等级、系统安全等级评定方法、系统安全使用和操作规范等方面的标准。世界各国纷纷颁布了计算机网络的安全管理条例,我国也颁布了《计算机网络国际互联网安全管理方法》等多个国家标准,用来制止网络污染,规范网络行为,同时各种网络技术在不断的改进和完善。1999年9月13日,中国颁布了《计算机信息系统安全保护等级划分准则》(GB17859:1999),定义了计算机信息系统安全保护能力的5个等级,分别如下:(1)第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。(2)第二级:系统审计保护级。除继承前一个级别的安全功能外,还要求创建和维护访问的审计踪记录,使所有的用户对自己行为的合法性负责。(3)第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。(4)第四级:结构化保护级。除继承前一个级别的安全功能外,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。(5)第五级:访问验证保护级。除继承前一个级别的安全功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。

2企业网络主要安全隐患

企业网络主要分为内网和外网,网络安全体系防范的不仅是病毒感染,还有基于网络的非法入侵、攻击和访问,但这些非法入侵、攻击、访问的途径非常多,涉及到整个网络通信过程的每个细节。从以往的网络入侵、攻击等可以总结出,内部网络的安全威胁要多于外部网络,因为内网受到的入侵和攻击更加容易,所以做为网络安全体系设计人员要全面地考虑,注重内部网络中存在的安全隐患。

3企业网络安全防护策略

设计一个更加安全的网络安全系统包括网络通信过程中对OSI/RM的全部层次的安全保护和系统的安全保护。七层网络各个层次的安全防护是为了预防非法入侵、非法访问、病毒感染和黑客攻击,而非计算机通信过程中的安全保护是为了预防网络的物理瘫痪和网络数据损坏的。OSI/RM各层采取的安全保护措施及系统层的安全防护如图1所示。

4OSI/RM各层主要安全方案

4.1物理层安全

通信线路的屏蔽主要体现在两个方面:一方面是采用屏蔽性能好的传输介质,另一方面是把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中。(1)屏蔽双绞线屏蔽与非屏蔽的普通五类、超五类双绞线的主要区别是屏蔽类双绞线中8条(4对)芯线外集中包裹了一屏蔽层。而六类屏蔽双绞和七类双绞线除了五类、超五类屏蔽双绞线的这一层统一屏蔽层外,还有这些屏蔽层就是用来进行电磁屏蔽的,一方面防止外部环境干扰网线中的数据传输,另一方防止传输途中的电磁泄漏而被一些别有用心的人侦听到。(2)屏蔽机房和机柜机房屏蔽的方法是在机房外部以接地良好的金属膜、金属网或者金属板材(主要是钢板)包围,其中包括六面板体和一面屏蔽门。根据机房屏蔽性能的不同,可以将屏蔽机房分为A、B、C三个级别,最高级为C级。机柜的屏蔽是用采用冷扎钢板围闭而成,这些机柜的结构与普通的机柜是一样的,都是标准尺寸的。(3)WLAN的物理层安全保护对于无线网络,因为采用的传输介质是大气,大气是非固定有形线路,安全风险比有线网络更高,所以在无线网络中的物理层安全保护就显得更加重要了。如果将机房等整个屏蔽起来,成本太高,现在主要采用其他方式如多位数共享密钥、WPA/WPA2动态密钥、IEEE802.1X身份验证等。现在最新的无线宽带接入技术——WiMAX对于来自物理层的攻击,如网络阻塞、干扰,显得很脆弱,以后将提高发射信号功率、增加信号带宽和使用包括跳频、直接序列等扩频技术。

4.2数据链路层安全

在数据链路层可以采用的安全保护方案主要包括:数据链路加密、MAC地址绑定(防止MAC地址欺骗)、VLAN网段划分、网络嗅探预防、交换机保护。VLAN隔离技术是现代企业网络建设中用的最多的技术,该技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层的VLAN和基于策略的VLAN。

4.3网络层安全

在网络层首先是身份的认证,最简单的身份认证方式是密码认证,它是基于windows服务器系统的身份认证可针对网络资源的访问启用“单点登录”,采用单点登录后,用户可以使用一个密码或智能卡一次登录到windows域,然后向域中的任何计算机验证身份。网络上各种服务器提供的认证服务,使得口令不再是以明文方式在网络上传输,连接之间的通信是加密的。加密认证分为PKI公钥机制(非对称加密机制),Kerberos基于私钥机制(对称加密机制)。IPSec是针对IP网络所提出的安全性协议,用途就是保护IP网络通信安全。它支持网络数据完整性检查、数据机密保护、数据源身份认证和重发保护,可为绝大部分TCP/IP族协议提供安全服务。IPSec提供了两种使用模式:传输模式(TransportMode)和隧道模式(TUNNELMode)。

4.4传输层安全

传输层的主要作用是保证数据安全、可靠的从一端传到另一端。TLS/SSL协议是工作在传输层的安全协议,它不仅可以为网络通信中的数据提供强健的安全加密保护,还可以结合证书服务,提供强大的身份谁、数据签名和隐私保护。TLS/SSL协议广泛应用于Web浏览器和Web服务器之间基于HTTPS协议的互联网安全传输。

4.5防火墙

因防火墙技术在OSI/RM各层均有体现,在这里简单分析一下防火墙,防火墙分为网络层防火墙和应用层防火墙,网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,应用层防火墙可以拦截进出某应用程序的所有封包。目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。

5结语

以上对于实现企业网络建设安全技术及信息安全的简单论述,是基于网络OSI/RM各层相应的安全防护分析,重点分析了物理层所必须做好的各项工作,其余各层简单分析了应加强的主要技术。因网络技术日新月益,很多新的网络技术在本文中未有体现,实则由于本人时间、水平有限,请各位读者给予见解。文章中部分内容借签于参考文献,在此非常感谢各位作者的好书籍。

作者:单位:西山煤电(集团)有限公司物资供应分公司

引用:

[1]李磊.网络工程师考试辅导.北京:清华大学出版社,2009.

[2]王达,阚京茂.网络工程方案规划与设计.北京:中国水利水电出版社,2010.