序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡安全樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)��,請盡情閱讀��。
第1篇
1企業(yè)網(wǎng)絡安全需求分析
1.1網(wǎng)絡安全概念及特征
網(wǎng)絡安全是指為防范網(wǎng)絡攻擊、侵入��、干擾��、破壞��、竊用及其他意外事故所采取的各種必要措施��,以確保信息完整��、可用��、無泄露,保持網(wǎng)絡穩(wěn)定��、安全地運行��。其主要特征是保證網(wǎng)絡信息的完整性��、可用性和機密性[2]��。
1.2企業(yè)網(wǎng)絡安全面臨的主要問題
企業(yè)網(wǎng)絡安全面臨的問題歸納如下:(1)網(wǎng)絡安全目標不明確��。雖然《網(wǎng)絡安全法》已于2017年6月1日起施行��,但企業(yè)對網(wǎng)絡安全的重要性依然認識不足��,缺乏網(wǎng)絡安全規(guī)劃��,沒有明確的網(wǎng)絡安全目標[3]��。(2)網(wǎng)絡安全意識不足��。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡安全的重要性��,企業(yè)網(wǎng)絡安全存在很大隱患��。(3)網(wǎng)絡安全設施不健全��。無論大型企業(yè),還是中小企業(yè)��,都存在網(wǎng)絡安全基礎設施投入不足的問題��,以致設施陳舊��、不完整��,面對外部攻擊和各種漏洞很容易發(fā)生信息丟失��、泄露��、竊用等現(xiàn)象��。(4)缺乏完整的網(wǎng)絡安全解決方案��。企業(yè)網(wǎng)絡安全防護呈現(xiàn)碎片化��、分散化等特點[4]��,缺乏系統(tǒng)性��、協(xié)同性��、靈活性��,面對萬物互聯(lián)和更高級的威脅��,傳統(tǒng)防護手段捉襟見肘��、防不勝防[5]��。
1.3企業(yè)網(wǎng)絡安全需求
企業(yè)因網(wǎng)絡安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡安全需求��,這是由企業(yè)內部網(wǎng)絡因素與外部網(wǎng)絡形勢共同決定的��,內外都不會一成不變��,所以企業(yè)網(wǎng)絡安全需求是一個動態(tài)過程��,具有時效性��?�;诖?�,要準確把握企業(yè)網(wǎng)絡安全需求��,必須對企業(yè)網(wǎng)絡安全現(xiàn)狀進行調查分析��,一般而言��,企業(yè)網(wǎng)絡安全主要包括內網(wǎng)安全、邊界安全及文件傳輸安全等方面[6]��,具體體現(xiàn)在以下幾個方面:(1)網(wǎng)絡安全策略需求��。安全策略的有效性��、完整性和實用性是企業(yè)網(wǎng)絡安全的一個重要需求��。目前的企業(yè)網(wǎng)絡安全策略文檔過于簡單��,而且沒有形成完整的體系��,對企業(yè)網(wǎng)絡安全的指導性不足��。(2)網(wǎng)絡安全組織需求��。企業(yè)應建立結構完整��、職能清晰的網(wǎng)絡安全組織機構��,負責企業(yè)網(wǎng)絡安全策略制定��、網(wǎng)絡安全培訓��、網(wǎng)絡安全運行管理等��。(3)網(wǎng)絡安全運行管理需求��。企業(yè)應建立科學高效的運行管理體系��,采用實用的運行管理方法��,對服務器安全��、網(wǎng)絡訪問可控性��、網(wǎng)絡監(jiān)控等進行管理��。
2企業(yè)網(wǎng)絡安全解決方案
2.1企業(yè)網(wǎng)絡安全方案設計原則
網(wǎng)絡安全方案的設計原則旨在指導企業(yè)科學合理地設計網(wǎng)絡安全方案��,避免失于偏頗和“詞不達意”��,設計原則可以有很多��,筆者認為最重要的原則如下:(1)多重防護原則��。突破單一防護機制要比突破多重防護機制容易得多��。(2)簡單適用原則��。過于復雜的方案漏洞多��,本身就不安全。(3)系統(tǒng)性原則��。企業(yè)網(wǎng)絡安全面對的威脅是多方面的��,只專注于一點無法保障網(wǎng)絡安全��。(4)需求��、風險與代價平衡原則��。沒有任何方案可以做到絕對安全��,追求過高的安全性要付出巨大代價��,所以要學會取舍��,平衡風險與代價��。(5)可維護性原則��。沒有任何系統(tǒng)可以做到無懈可擊��,要做到能隨時調整��、升級��、擴充��。(6)技術與管理相結合原則��。在改善安全技術的同時也要加強管理��,減少管理漏洞��,對于復雜的安全形勢��,要多做預案��,提前防范突發(fā)事件��。
2.2企業(yè)網(wǎng)絡安全解決方案
2.2.1網(wǎng)絡分域防護方案網(wǎng)絡分域防護的原則是落實安全域的防護策略��、制定訪問控制策略��、檢查網(wǎng)絡邊界��、分級防護等��。從企業(yè)網(wǎng)絡安全需求及特點出發(fā)��,將網(wǎng)絡組織架構從邏輯上分為互聯(lián)網(wǎng)域��、服務區(qū)域、外聯(lián)域和內網(wǎng)核心區(qū)域��,如圖1所示��?�;ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務��,服務區(qū)域即企業(yè)服務器放置區(qū)域��,外聯(lián)域接入分公司區(qū)域��,內網(wǎng)核心區(qū)域是指企業(yè)內部網(wǎng)絡互聯(lián)的核心設備區(qū)域��。如此劃分的目的是保證具有相同防護需求的網(wǎng)絡及系統(tǒng)處于同一安全子域內��,便于各個安全子域內部署相應等級的防護策略��。2.2.2部署安全網(wǎng)關方案在外網(wǎng)與內網(wǎng)之間設置安全網(wǎng)關(如圖1所示)��,作為企業(yè)網(wǎng)絡系統(tǒng)的物理屏障��,以保護內網(wǎng)安全��。安全網(wǎng)關不是單一的防火墻��,而是綜合了防病毒��、入侵檢測和防火墻的一體化安全設備��。該設備運用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念��,將多種安全特性的防護策略整合到統(tǒng)一的管理平臺上��,按需開啟多種功能��,其由硬件��、軟件��、網(wǎng)絡技術組成��。UTM在硬件上可以采用X86��、ASIC��、NP架構中的一種��,X86架構適于百兆網(wǎng)絡��,若是千兆網(wǎng)絡應采用ASIC架構或NP架構。在升級��、維護及開發(fā)周期方面��,NP架構比ASIC架構更有優(yōu)勢��。UTM軟件上可以集成防病毒��、入侵檢測��、內容過濾��、防垃圾郵件��、流量管理等多種功能��,通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升��。UTM管理結構基于管理分層��、功能分級思想��,包含集中管理與單機管理的雙重管理機制��,實現(xiàn)功能設置管理和數(shù)據(jù)分析能力��。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫,用于監(jiān)視網(wǎng)絡或網(wǎng)絡設備上的數(shù)據(jù)傳輸��,發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進行隔離��,先于攻擊達成實現(xiàn)防護��,與防火墻功能上互補��,并支持串行接入模式��,采用基于策略的防護方式��,用戶可以選擇最適合策略達到最佳防護效果��。IPS部署在服務區(qū)域與內網(wǎng)核心區(qū)域之間��,或核心交換機與內部服務器之間(如圖1所示)��,可實時監(jiān)測外部數(shù)據(jù)向內部服務器的傳輸過程��,發(fā)現(xiàn)入侵行為即報警��、阻斷��,同時還能精確阻擊SQL注入攻擊��。IDS是入侵檢測系統(tǒng)(intrusiondetectionsystem)的英文縮寫��,能對網(wǎng)絡數(shù)據(jù)傳輸實時監(jiān)視��,發(fā)現(xiàn)可疑報警或采取其他主動反應措施��,屬于監(jiān)聽設備��,其安全策略包括異常入侵檢測��、誤用入侵檢測兩種方式��,可部署在核心交換機上��,對進出內網(wǎng)與內部服務器的數(shù)據(jù)進行監(jiān)測��,如圖1所示��。
2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫��,通過掃描檢測遠程系統(tǒng)或本地系統(tǒng)漏洞行為��,與防火墻��、IDS配合以提高網(wǎng)絡安全性��,掃描對象包括網(wǎng)絡、主機和數(shù)據(jù)庫��。漏洞掃描運用的技術有主機在線掃描��、端口掃描��、操作系統(tǒng)識別��、漏洞監(jiān)測數(shù)據(jù)采集��、智能端口識別��、多重服務檢測��、系統(tǒng)滲透掃描等��。漏洞掃描系統(tǒng)部署方式包括獨立式部署和分布式部署��。前者適于比較簡單的網(wǎng)絡結構��,例如電子商務��、中小企業(yè)等��;后者適于復雜��、分布點多��、數(shù)據(jù)相對分散的網(wǎng)絡結構��,例如政府��、電力行業(yè)��、金融行業(yè)��、電信運營商等��。圖1為采用獨立式部署的漏洞掃描系統(tǒng)方案��。
第2篇
關鍵詞:網(wǎng)絡安全��;企業(yè)網(wǎng)絡系統(tǒng)��;黑客攻擊��;病毒攻擊��;采取措施
1當前網(wǎng)絡存在的主要安全威脅因素
1.1安全漏洞��。只要有漏洞��,應該就存在漏洞,幾乎每天都有新的漏洞被發(fā)現(xiàn)��,程序設計員在修補已知漏洞時��,又可能產(chǎn)生新的漏洞?�,F(xiàn)在各類的操作系統(tǒng)和應用軟件都會有不同程度的漏洞存在��,雖然操作系統(tǒng)的無口令入口為系統(tǒng)開發(fā)人員帶來了便捷��,但是它也成為黑客進入的通道��。并且操作系統(tǒng)可能還存在一些隱蔽通道��,給黑客以可乘之機��。同時��,這些操作系統(tǒng)中都包括了各種通用的服務供應戶使用��,而它具有一定的專屬性��,假如安裝時沒有關閉一些不相關的服務��,就可能成為黑客進入的渠道��。對于一些不懷好意的人��,他們都有可能利用這些漏洞向企業(yè)網(wǎng)絡發(fā)起攻擊��,從而使某個甚至整個網(wǎng)絡喪失功能��,威脅到企業(yè)的網(wǎng)絡安全��。1.2病毒感染��。計算機病毒就像人體感冒發(fā)燒��,也會出現(xiàn)相應的身體排斥的現(xiàn)象��。在當代社會中��,人們通過下載帶有病毒的軟件��,讓自己的電腦在無形中感染病毒��,或者在沒有查殺病毒的前提下通過U盤實行資源共享��,同樣也會造成病毒感染��。可以說��,有計算機的地方��,就有出現(xiàn)計算機病毒的可能性��。它隨著計算機網(wǎng)絡技術的發(fā)展而發(fā)展��,現(xiàn)在的計算機病毒更具有隱蔽性��,其破壞性更大��,傳播速度更快��。當然��,病毒的“毒性”不同��,所產(chǎn)生的負面影響也就不同��。輕者只會出現(xiàn)警告信息��,重者則會破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡的安全��。按其種類可分為一下幾種:木馬病毒��,蠕蟲病毒��,腳本病毒��,間諜病毒��。病毒往往在計算機的后臺強制運行��,讓人防不勝防��。1.3黑客攻擊��。網(wǎng)絡作為一個開放式的資源共享平臺��,一些重要的企業(yè)機密和很高商業(yè)價值的文件成為黑客的攻擊對象��,它往往決定著一些企業(yè)的生存命脈��,競爭對手往往會盯住了這部分商機��,通過黑客的力量進行網(wǎng)絡攻擊得到資源��。非法入侵企業(yè)網(wǎng)絡系統(tǒng)��,不管動機是什么��,對企業(yè)的網(wǎng)絡安全危害都是非常大的��。黑客故意篡改網(wǎng)絡信息��,利用企業(yè)機密文件進行不法交易和冒充��,干擾破壞數(shù)據(jù)加密過程中的信息互通��,這些行為嚴重影響網(wǎng)絡安全的行為��,成為企業(yè)信息化��、網(wǎng)絡化發(fā)展的最大阻礙��。1.4內部竊取和破壞��。內部人員對網(wǎng)絡系統(tǒng)可能會造成以下威脅:內部人員有意或無意泄密��,更改信息記錄��;內部非授權人員有意或無意偷盜機密文件��,更改網(wǎng)絡配置和記錄信息��;內部人員破壞網(wǎng)絡系統(tǒng)��。1.5其他威脅��。對網(wǎng)絡系統(tǒng)的的威脅還包括電磁泄漏��、設備失效��、線路阻斷��、停電��、操作失誤��。
2計算機網(wǎng)絡安全的措施
2.1安裝防火墻。防火墻作為計算機網(wǎng)絡安全技術��,已經(jīng)廣泛應用到企業(yè)當中��。防火墻技術可以從根本上防范和控制計算機病毒?�,F(xiàn)階段��,防火墻可分為兩種形式:應用級防火墻和包過濾防火墻��。應用性防火墻可以保護服務器的安全��,通過掃描服務器終端的數(shù)據(jù)��,發(fā)現(xiàn)異常數(shù)據(jù)對計算機的攻擊后��,及時斷開企業(yè)網(wǎng)與服務器的聯(lián)系��,來保護企業(yè)網(wǎng)不受病毒的侵害��。包過濾防火墻通過及時過濾路由器傳輸給計算機的數(shù)據(jù)��,阻擋病毒進入計算機��,并通知計算機用戶對病毒進行攔截,保護企業(yè)網(wǎng)的安全���。2.2數(shù)據(jù)加密。數(shù)據(jù)加密技術是保證企業(yè)網(wǎng)絡安全的另一計算機安全技術��。該項技術可以對企業(yè)網(wǎng)內的數(shù)據(jù)信息進行加密��,在數(shù)據(jù)傳輸和接收時必須要輸入正確的密碼��,從技術上提高了企業(yè)數(shù)據(jù)信息的安全��。所以��,企業(yè)如果想要保證和提高其數(shù)據(jù)信息的安全��,必須在企業(yè)網(wǎng)中加強對數(shù)據(jù)加密技術的使用��,數(shù)據(jù)加密通常會用到以下兩種算法��,一是對稱加密算法��,即保持加密方法和解密方法的一致��;二是非對稱加密算法��,即加密方法和解密方法的不一致性,以上兩種加密方法已經(jīng)廣泛應用到企業(yè)當中2.3病毒查殺��。及時進行病毒查殺也是提高企業(yè)網(wǎng)的網(wǎng)絡安全的另一方法��。計算機病毒對計算及終端設備和計算機網(wǎng)絡的危害極大��,可能會造成網(wǎng)頁腳本病毒��、計算機數(shù)據(jù)信息被盜或丟失��、計算機系統(tǒng)癱瘓等��,使用病毒查殺軟件可以及時檢測和更新計算機的操作系統(tǒng)��,修補系統(tǒng)漏洞��、對網(wǎng)頁病毒進行攔截��,更新病毒數(shù)據(jù)庫信息��,對下載的文件等進行病毒查殺后在進行查看和使用��,以防止計算機病毒對計算及終端設備的損害2.4入侵檢測��。入侵檢測對企業(yè)網(wǎng)的安全有非常重要的意義��,它會在不影響企業(yè)網(wǎng)絡正常運行的情況下��,對網(wǎng)絡運行的情況進行檢測��,入侵檢測不僅可以收集計算機相關的數(shù)據(jù)信息��,而且還可以對計算機內可能存在的侵害進行自動尋找��,在計算機受到侵害時��,它會對計算機用戶發(fā)出警報��,并切斷入侵的途徑��,對其進行攔截��,所以��,入侵檢測技術可以加強計算機的抗攻擊性��。入侵檢測技術包括誤用檢測和異常檢測��。誤用檢測誤報率低��,響應快,而異常檢測的誤報率高��,檢測時需要全盤掃描計算機��,兩種入侵檢測均需要較長的檢測時間��。2.5企業(yè)內部加強網(wǎng)絡信息安全的規(guī)章制度的建立��。企業(yè)根據(jù)其實際情況��,遵照相關的規(guī)定��,制定出符合本公司的全面規(guī)范��,切實可行的安全管理制度��。例如:計算機日常使用規(guī)范��、崗位責任制度��、責任追究制度��、崗位責任制度等��,管理制度中應明確描述出所有信息技術人員以及信息系統(tǒng)使用人員的網(wǎng)絡信息安全職責和信息系統(tǒng)的使用規(guī)范��,規(guī)范網(wǎng)絡信息系統(tǒng)規(guī)范流程��,減少人為操作失誤��。通過規(guī)章制度的建設��,以制度管人��,靠制度管事��,為企業(yè)網(wǎng)絡安全建立強有力的依據(jù)和有效的保障��。2.6加強網(wǎng)絡安全考核力度��。企業(yè)不僅建立網(wǎng)絡信息安全的規(guī)章制度��,還應實行網(wǎng)絡信息安全考核制度��,采取適合企業(yè)自身的考核方式��,使規(guī)章制度的制定落到實處��,而不是形同虛設��。把網(wǎng)絡信息安全作為企業(yè)員工年終考核的重要指標之一��。在檢查到有違反其相關制度或網(wǎng)絡安全事件發(fā)生后,負責網(wǎng)絡信息安全的監(jiān)督部門應對相關事件的發(fā)生原因��,嚴重程度��,損失��,性質等進行調查確認��,形成分析評價資料��,對其責任人進行相應的處罰2.7環(huán)境��、設備及介質安全��。檢測機房及相關設備是否安全��;觀察環(huán)境與人員是否安全��,預防自然災害��?�?紤]計算機的防盜��、防毀��、防電磁泄漏發(fā)射��、抗電磁干擾及電源保護等��。防止媒體自身的防盜��、防毀��、防霉��,以及數(shù)據(jù)的盜取��、破壞或非法使用��。
3結語
企業(yè)信息化建設已經(jīng)成為這個時代不可或缺的產(chǎn)物��,為各個企業(yè)帶來了極大的便利��,它是企業(yè)發(fā)展的必要條件��,也是企業(yè)發(fā)展的必要前提��。所以在市場經(jīng)濟發(fā)展的今天��,企業(yè)想要在激烈的市場競爭中取得優(yōu)勢��,就必須大力發(fā)展其網(wǎng)絡文化,當然在發(fā)展企業(yè)網(wǎng)絡的同時��,還應加強對網(wǎng)絡安全的管理��,提高企業(yè)網(wǎng)絡系統(tǒng)的安全性��,以提高企業(yè)的效益��。
參考文獻
[1]韓加軍.企事業(yè)及政府機關單位網(wǎng)絡安全解決方案[J].科技風��,2013
[2]李長英.企業(yè)內部網(wǎng)絡的規(guī)劃設計與實現(xiàn)[D].吉林大學��,2013
[3]楊瑋紅.計算機網(wǎng)絡安全技術在網(wǎng)絡維護中的應用初探[J].神州��,2013(31):17
第3篇
關鍵詞:企業(yè)網(wǎng)絡安全��;VNP��;網(wǎng)絡防火墻��;網(wǎng)絡攻擊
引言
由于Internet的迅速發(fā)展和普及��,接入Internet的組織��、企業(yè)和機構等的不斷增加��,這也增加了來自互聯(lián)網(wǎng)的不安全因素��。網(wǎng)絡是一個虛擬的社會��,在很多方面與真實的世界有驚人的相似��。在虛擬社會中��,也存在有各種各樣的沖突和矛盾��,同樣網(wǎng)絡也面臨著如病毒��、垃圾郵件和不良Web內容等��。對網(wǎng)絡安全的威脅主要表現(xiàn)在:非授權訪問��,冒充合法用戶��,破壞數(shù)據(jù)完整性��,干擾系統(tǒng)正常運行��,利用網(wǎng)絡傳播病毒��,線路竊聽等方面��。據(jù)國際計算機安全協(xié)會(簡稱ICSA)調查,在全球有99%以上的病毒是通過POP3��、SMTP和HTTP協(xié)議傳播的��。面對如今Internet網(wǎng)上眾多的不安全因素��,傳統(tǒng)的功能單一網(wǎng)絡安全產(chǎn)品已經(jīng)不能滿足企業(yè)的安全需求了��,企業(yè)需要一個整體式的網(wǎng)絡方案��。
1 網(wǎng)絡不安全因素分析
網(wǎng)絡安全是一門涉及計算機科學��、網(wǎng)絡技術��、通信技術��、密碼技術��、信息安全技術��、應用數(shù)學��、數(shù)論��、信息論等多種學科的綜合性學科��。在網(wǎng)絡攻擊類型中看到��,攻擊者的攻擊對象有兩類��,一類傳輸中的網(wǎng)絡數(shù)據(jù)��;另一類是系統(tǒng)��。針對系統(tǒng)的攻擊又可以進一步分為兩種:一種以獲取或者更改系統(tǒng)的數(shù)據(jù)為目的��,另一種是DoS(Denial of Service)攻擊��,也就是讓網(wǎng)絡中的重要系統(tǒng)停止服務��。針對不同的攻擊應該采用相應的網(wǎng)絡技術來予以防范��。
攻擊傳輸中的數(shù)據(jù)有多個目的��,其一為獲得數(shù)據(jù)內容��;其二為更改數(shù)據(jù)��,破壞數(shù)據(jù)的完整性��;其三為分析數(shù)據(jù)流��。保護傳輸中數(shù)據(jù)的機密性和完整性的方法有多種,可以在應用層(或者會話層傳輸層)上實現(xiàn)��,也可以在網(wǎng)絡層上實現(xiàn)或者物理(數(shù)據(jù))鏈路層上實現(xiàn)��。下面是一個示意圖:
圖1 網(wǎng)絡傳輸中的攻擊路線
2 企業(yè)網(wǎng)絡的基本應用
企業(yè)不斷發(fā)展的同時其網(wǎng)絡規(guī)模也在不斷的擴大��,由于其自身業(yè)務的需要��,在不同的地區(qū)建有分公司或分支機構��,本地龐大的Intranet和分布在全國各地的Internet之間互相連接形成一個更加龐大的網(wǎng)絡��。這種網(wǎng)絡應用系統(tǒng)��,主要包含WEB��、E-mail��、OA��、MIS��、財務系統(tǒng)��、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展��,網(wǎng)絡體系結構也會變得越來越復雜��,應用系統(tǒng)也會越來越多��。從整個網(wǎng)絡系統(tǒng)的管理上來看��,既有內部用戶��,也有外部用戶��。怎么處理總部與分支機構��、移動辦公人員的信息共享安全��,既要保證信息的及時共享��,又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題��。
3 VNP的設置與應用
3.1 VNP的應用
由于大部分企業(yè)中心內部網(wǎng)絡都是這種情況:存在兩套網(wǎng)絡系統(tǒng)��,其中一套為企業(yè)內部網(wǎng)絡��,為本行業(yè)��、本系統(tǒng)的內部辦公自動化和業(yè)務處理系統(tǒng)服務��;另一套是與INTERNET相連��,通過ADSL接入��,并與企業(yè)系統(tǒng)內部的上��、下級機構網(wǎng)絡相連��。那么如何在這種模式下進行VPN的設置是網(wǎng)絡安全保障首先要解決的問題��。這種模式下INTERNET缺乏有效的安全保護��,如果不采取相應的安全措施��,易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改��,產(chǎn)生嚴重的后果��?�?稍诿考壒芾碛騼仍O置一套VPN設備��,由VPN設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Wo��。每一級的設置及管理方法相同。即在每一級的中心網(wǎng)絡安裝一臺VPN設備和一臺VPN認證服務器(VPN-CA)��,在所屬的直屬單位的網(wǎng)絡接入處安裝一臺VPN設備��,由上級的VPN認證服務器通過網(wǎng)絡對下一級的VPN設備進行集中統(tǒng)一的網(wǎng)絡化管理��。
3.2 ISA Sever及其與VNP的集成
圖 2 VPN與ISA Server集成
ISA Server的企業(yè)策略是在一個組織的總部級別進行配置的��,而且可以應用到所有陣列或任一陣列中��。陣列策略是在分支級別進行配置��,而且可以繼承企業(yè)策略��。對任何給定的陣列來說��,ISA Server允許應用企業(yè)策略��、陣列策略或者同時應用兩者��。在這里可以通過集成ISA Server和VPN來實現(xiàn)對企業(yè)網(wǎng)絡的安全保障��。本地網(wǎng)絡上的計算機要和遠程網(wǎng)絡上的計算機通過ISA Server計算機進行通信時��,數(shù)據(jù)封裝好后��,通過一個VPN信道進行發(fā)送��。計算機使用PPTP或者L2TP來管理隧道和封裝專用數(shù)據(jù)��。通過隧道傳送的數(shù)據(jù)也必須加密后才能使用VPN連接��。
4 建立病毒防護體系
對于一個網(wǎng)絡系統(tǒng)而言��,絕不能簡單的使用單機版的病毒防治軟件��,必須有針對性地選擇性能優(yōu)秀的專業(yè)級網(wǎng)絡殺毒軟件��,以建立實時的��、全網(wǎng)段的病毒防護體系��,是網(wǎng)絡系統(tǒng)免遭病毒侵擾的重要保證��,用戶可以根據(jù)本網(wǎng)絡的拓撲結構來選擇合適的產(chǎn)品,及時升級殺毒軟件的病毒庫��,并在相關的病毒防治網(wǎng)站上及時下載特定的防殺病毒工具查殺頑固性病毒��,這樣才能有較好病毒防范能力��。
基本的技術包括網(wǎng)絡安全技術��,比如身份驗證��、訪問控制��、安全協(xié)議括:行為監(jiān)視��、變化檢測和掃描等等��。需要對計算機進行好防毒的工作,應用瑞星��、卡巴等殺毒軟件來實時地監(jiān)控��。此外��,一臺接入網(wǎng)絡的計算機之所以能夠被蠕蟲病毒侵入��,是因為操作系統(tǒng)或者應用軟件存在漏洞��。這些漏洞就像是墻上的一個個大洞��,盡管大門緊鎖��,但是小偷還是可以輕而易舉地從這些大洞爬進房間��。所以我們需要將這些漏洞補上“補丁”��。
防火墻是目前一種最重要的網(wǎng)絡防護設備��。選擇一款功能強大的防火墻對我們的企業(yè)網(wǎng)絡安全保障有著重要意義��。比如瑞星可以根據(jù)用戶的不同需要��,具備針對HTTP��、FTP��、SMTP和POP3協(xié)議內容檢查��、清除病毒的能力��,同時通過實施安全策略可以在網(wǎng)絡環(huán)境中的內外網(wǎng)之間建立一道功能強大的防火墻體系��,不但可以保護內部資源不受外部網(wǎng)絡的侵犯��,同時可以阻止內部用戶對外部不良資源的濫用��。
參考文獻:
[1]雷震甲.網(wǎng)絡工程師教程.[M].北京:清華大學出版社��,2004��;
第4篇
關鍵詞信息安全��;PKI��;CA��;VPN
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展��,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加��,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益��,但隨之而來的安全問題也在困擾著用戶��,在2003年后��,木馬��、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化��。這都對企業(yè)信息安全提出了更高的要求��。
隨著信息化技術的飛速發(fā)展��,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力��,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出��。面對這瞬息萬變的市場��,企業(yè)就面臨著如何提高自身核心競爭力的問題��,而其內部的管理問題��、效率問題��、考核問題��、信息傳遞問題��、信息安全問題等��,又時刻在制約著自己��,企業(yè)采用PKI技術來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段��。
在下面的描述中,以某公司為例進行說明��。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺��,通過內部網(wǎng)相互連接��,根據(jù)公司統(tǒng)一規(guī)劃��,通過防火墻與外網(wǎng)互聯(lián)��。在內部網(wǎng)絡中��,各計算機在同一網(wǎng)段��,通過交換機連接��。
圖1
2)應用系統(tǒng)
經(jīng)過多年的積累��,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)��,包括各種應用系統(tǒng)和辦公自動化系統(tǒng)��。隨著計算機網(wǎng)絡的進一步完善��,計算機應用也由數(shù)據(jù)分散的應用模式轉變?yōu)閿?shù)據(jù)日益集中的模式��。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全��,某公司實施了計算機網(wǎng)絡安全項目��,基于當時對信息安全的認識和安全產(chǎn)品的狀況��,信息安全的主要內容是網(wǎng)絡安全��,部署了防火墻��、防病毒服務器等網(wǎng)絡安全產(chǎn)品��,極大地提升了公司計算機網(wǎng)絡的安全性��,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件��、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用��。
3風險與需求分析
3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析��,可得出如下結論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強��,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強��。計算機網(wǎng)絡規(guī)模不斷擴大��,網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求��。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)��,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心��,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證��,加強對數(shù)據(jù)的備份��,并運用技術手段��,提高數(shù)據(jù)的機密性��、完整性和可用性��。
通過對現(xiàn)有的信息安全體系的分析��,也可以看出:隨著計算機技術的發(fā)展��、安全威脅種類的增加��,某公司的信息安全無論在總體構成��、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷��,具體表現(xiàn)在:
(1)系統(tǒng)性不強��,安全防護僅限于網(wǎng)絡安全��,系統(tǒng)��、應用和數(shù)據(jù)的安全存在較大的風險��。
目前實施的安全方案是基于當時的認識進行的��,主要工作集中于網(wǎng)絡安全��,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段��。如缺乏有效的身份認證��,對服務器��、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段��,很容易被冒充��;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范��,容易造成重要數(shù)據(jù)的丟失和泄露��。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的��,即網(wǎng)絡內部的用戶都是可信的��。在這種信任模型下��,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部��,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內部網(wǎng)絡信息系統(tǒng)的��。
針對外部網(wǎng)絡安全��,人們提出了內部網(wǎng)絡安全的概念��,它基于這樣一種信任模型:所有的用戶都是不可信的��。在這種信任模型中��,假設所有用戶都可能對信息安全造成威脅��,并且可以各種更加方便的手段對信息安全造成威脅��,比如內部人員可以直接對重要的服務器進行操控從而破壞信息��,或者從內部網(wǎng)絡訪問服務器��,下載重要的信息并盜取出去。內部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況��。
美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部��,這些隱患直接導致了信息被內部人員所竊取和破壞��。
信息系統(tǒng)的安全防范是一個動態(tài)過程��,某公司缺乏相關的規(guī)章制度��、技術規(guī)范��,也沒有選用有關的安全服務��。不能充分發(fā)揮安全產(chǎn)品的效能��。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢��,存在一定的網(wǎng)絡安全隱患��,產(chǎn)品亟待升級��。
已購買的網(wǎng)絡安全產(chǎn)品中��,有不少在功能和性能上都不能滿足進一步提高信息安全的要求��。如為進一步提高全網(wǎng)的安全性��,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制��,原有的防火墻將成為企業(yè)內網(wǎng)和公網(wǎng)之間的瓶頸��。同時病毒的防范��、新的攻擊手段也對防火墻提出了更多的功能上的要求��,現(xiàn)有的防火墻不具備這些功能��。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上��,這是信息化建設的內在要求��,系統(tǒng)主管部門和運營��、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作��。只有在建設的初期��,在規(guī)劃的過程中��,就運用風險評估��、風險管理的手段,用戶才可以避免重復建設和投資的浪費��。
3.2需求分析
如前所述��,某公司信息系統(tǒng)存在較大的風險��,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡��,也需要做好系統(tǒng)��、應用��、數(shù)據(jù)各方面的安全防護��。為此��,要加強安全防護的整體布局��,擴大安全防護的覆蓋面��,增加新的安全防護手段��。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加��,以及新的攻擊手段的不斷出現(xiàn)��,使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)��,原有的產(chǎn)品進行升級或重新部署��。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求��,為此要加快規(guī)章制度和技術規(guī)范的建設��,使安全防范的各項工作都能夠有序��、規(guī)范地進行��。
(4)信息安全防范是一個動態(tài)循環(huán)的過程��,如何利用專業(yè)公司的安全服務��,做好事前��、事中和事后的各項防范工作��,應對不斷出現(xiàn)的各種安全威脅��,也是某公司面臨的重要課題��。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排��、統(tǒng)一標準��、分步實施”的原則進行��,避免重復投入��、重復建設��,充分考慮整體和局部的利益��。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經(jīng)執(zhí)行或正在起草標準及規(guī)定��,使安全技術體系的建設達到標準化��、規(guī)范化的要求��,為拓展��、升級和集中統(tǒng)一打好基礎��。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程��,從信息系統(tǒng)的各層次��、安全防范的各階段全面地進行考慮��,既注重技術的實現(xiàn)��,又要加大管理的力度��,以形成系統(tǒng)化的解決方案��。
4.3規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡��、系統(tǒng)��、應用等方方面面��,任何改造��、添加甚至移動��,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)��、穩(wěn)定運行��,這是安全技術體系建設必須面對的最大風險��。本規(guī)劃特別考慮規(guī)避運行風險問題��,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化��,從提供通用安全基礎服務的要求出發(fā)��,設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接��。
4.4保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力��,某公司分期��、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng)��,配置了相應的設施��。因此��,本方案依據(jù)保護信息安全投資效益的基本原則��,在合理規(guī)劃��、建設新的安全子系統(tǒng)或投入新的安全設施的同時��,對現(xiàn)有安全系統(tǒng)采取了完善��、整合的辦法��,以使其納入總體安全技術體系��,發(fā)揮更好的效能��,而不是排斥或拋棄��。
4.5多重保護原則
任何安全措施都不是絕對安全的��,都可能被攻破��。但是建立一個多重保護系統(tǒng)��,各層保護相互補充��,當一層保護被攻破時��,其它層保護仍可保護信息的安全��。
4.6分步實施原則
由于某公司應用擴展范圍廣闊��,隨著網(wǎng)絡規(guī)模的擴大及應用的增加��,系統(tǒng)脆弱性也會不斷增加��。一勞永逸地解決安全問題是不現(xiàn)實的��。針對安全體系的特性,尋求安全��、風險��、開銷的平衡��,采取“統(tǒng)一規(guī)劃��、分步實施”的原則��。即可滿足某公司安全的基本需求��,亦可節(jié)省費用開支��。
5設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮��,全面覆蓋信息系統(tǒng)的各層次��,針對網(wǎng)絡��、系統(tǒng)��、應用��、數(shù)據(jù)做全面的防范��。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程��,事前��、事中和事后的技術手段應當完備��,安全管理應貫穿安全防范活動的始終��,如圖2所示��。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的��,需要在風險��、安全和投入之間做出平衡��,通過對某公司信息化和信息安全現(xiàn)狀的分析��,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調查��,通過與計算機專業(yè)公司接觸��,初步確定了本次安全項目的內容��。通過本次安全項目的實施��,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺��,都必須建立在一個安全可信的網(wǎng)絡之上��。目前��,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務��。PKI(PublicKeyInfrastructure��,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系��,它從技術上解決了網(wǎng)上身份認證��、信息完整性和抗抵賴等安全問題��,為網(wǎng)絡應用提供可靠的安全保障��,向用戶提供完整的PKI/CA數(shù)字認證服務��。通過建設證書認證中心系統(tǒng)��,建立一個完善的網(wǎng)絡安全認證平臺��,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份��,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份��。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密��,確保信息不被泄露��,在此體系中利用數(shù)字證書加密來完成��。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)��,通過哈希函數(shù)和數(shù)字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為��,確保通信方對自己的行為承認和負責��,通過數(shù)字簽名來完成��,數(shù)字簽名可作為法律證據(jù)��。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)��,是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)��。和傳統(tǒng)的物理方式相比��,具有降低成本及維護費用��、易于擴展��、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng)��,可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案��。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w��,通過加密��、認證��、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道��,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)��,用以代替專線方式��,實現(xiàn)移動用戶��、遠程LAN的安全連接��。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控��,為網(wǎng)絡提供高效��、穩(wěn)定地安全保護��。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置��。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一��。隨著網(wǎng)絡的快速發(fā)展��,電子郵件的使用日益廣泛��,成為人們交流的重要工具��,大量的敏感信息隨之在網(wǎng)絡上傳播��。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點��,電子郵件存在著很大的安全隱患��。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)��,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的��。首先��,它的認證機制依賴于層次結構的證書認證機構��,所有下一級的組織和個人的證書由上一級的組織負責認證��,而最上一級的組織(根證書)之間相互認證��,整個信任關系基本是樹狀的��。其次��,S/MIME將信件內容加密簽名后作為特殊的附件傳送��。保證了信件內容的安全性��。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部��,大量的安全威脅來自企業(yè)內部��。很早之前安全界就有數(shù)據(jù)顯示��,近80%的網(wǎng)絡安全事件��,是來自于企業(yè)內部��。同時,由于是內部人員所為��,這樣的安全犯罪往往目的明確��,如針對企業(yè)機密和專利信息的竊取��、財務欺騙等��,因此��,對于企業(yè)的威脅更為嚴重��。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段��。
桌面安全系統(tǒng)把電子簽章��、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起��,形成一個整體��,是針對客戶端安全的整體解決方案��。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性��。采用組件技術��,可以無縫嵌入OFFICE系統(tǒng)��,用戶可以在編輯文檔后對文檔進行簽章��,或是打開文檔時驗證文檔的完整性和查看文檔的作者��。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證��。使用后��,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡��。用戶如果需要離開計算機�,只需拔出智能密碼鑰匙,即可鎖定計算機�。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中�,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數(shù)據(jù)的安全性�。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?;赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術�。它采用軟硬件相結合、一次一密的強雙因子認證模式�,很好地解決了安全性與易用性之間的矛盾�。USBKey是一種USB接口的硬件設備�,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書�,利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能�,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件�、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現(xiàn)上述身份認證�、授權與訪問控制、安全審計�、數(shù)據(jù)的機密性、完整性�、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范�、攻擊過程中的防范和攻擊后的應對�。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程�,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中�,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上�,方案實施方應進行進一步的風險評估,明確需求所在�,務求有的放矢�,確保技術方案的針對性和投資的回報�。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務�,提高應對重大安全事件的能力。
(3)該方案投資大�,覆蓋范圍廣,根據(jù)實際情況�,可采取分地區(qū)、分階段實施的方式�。
(4)在方案實施的同時,加強規(guī)章制度�、技術規(guī)范的建設,使信息安全的日常工作進一步制度化�、規(guī)范化。
7結論
本文以某公司為例�,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險�,隨后提出了一整套完整的解決方案,涵蓋了各個方面�,從技術手段的改進,到規(guī)章制度的完善�;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理�。本方案從技術手段上、從可操作性上都易于實現(xiàn)�、易于部署�,為眾多行業(yè)提供了網(wǎng)絡安全解決手段�。
也希望通過本方案的實施,可以建立較完善的信息安全體系�,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平�。
第5篇
關鍵詞:油田企業(yè);網(wǎng)絡安全�;防火墻技術;應用
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 15-0000-01
Application of Oilfield Enterprise Network Security and Firewall Technology
Hou Haidong
(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)
Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.
Keywords:Oilfield enterprise;Network security;Firewall technology;Application
計算機從出現(xiàn)到發(fā)展�,短短幾十年間,無論從生活�、學習,還是工作中都帶來了巨大的影響�,使我們的生活、學習和工作都起了翻天覆地的變化�。在各個企業(yè)里面,現(xiàn)代化的建設都是建立在計算機網(wǎng)絡技術應用之上的�,計算機技術覆蓋了企業(yè)生產(chǎn)的各個大小環(huán)節(jié)。保證企業(yè)中網(wǎng)絡的安全性�,使企業(yè)生產(chǎn)順利進行�,這是企業(yè)中網(wǎng)絡運行的基本保障。筆者仔細分析了青海油田企業(yè)網(wǎng)絡安全現(xiàn)狀�,針對青海油田企業(yè)的網(wǎng)絡安全問題,提出相應的解決策略�,結合防火墻技術的應用�,提高油田企業(yè)網(wǎng)絡安全性�,保證企業(yè)生產(chǎn)的順利進行。
一�、青海油田企業(yè)網(wǎng)絡工作概況
青海油田是一家大型企業(yè),其二級單位網(wǎng)絡中目前包含華為�、港灣、華為3COM�、Cisco等廠商設備,屬于多廠商互聯(lián)網(wǎng)絡�。青海油田企業(yè)的整個網(wǎng)絡主體建設于1999年,逐年累建至今�。目前網(wǎng)絡集中問題有多個方面,網(wǎng)絡缺乏管理性�;多廠商設備,難以統(tǒng)一管理�;大部分設備陳舊,匯聚層性能�、帶寬不足;冗余可靠性差�。由于這些原因,導致匯聚層設備擴展性不夠�,一些單位層層級連網(wǎng),影響網(wǎng)絡的穩(wěn)定性和可靠性�,使得網(wǎng)絡安全問題成為極大的難題。
二�、網(wǎng)絡安全風險
網(wǎng)絡安全風險根據(jù)不同的方面�,有許多的風險因素�,比如網(wǎng)絡外部的環(huán)境是否安全,包括了電源故障�、設備被盜、認為操作失誤�、線路截獲、高可用性的硬件�、機房環(huán)境、雙機多冗余的設計�、安全意識、報警系統(tǒng)等�。再比如系統(tǒng)完全,包括了整個局域網(wǎng)的網(wǎng)絡硬件平臺�、網(wǎng)絡操作系統(tǒng)等。每一個網(wǎng)絡操作系統(tǒng)都有其后門�,不可能有絕對安全的操作系統(tǒng)。還有網(wǎng)絡平臺的安全風險�,作為企業(yè)信息的公開平臺,要是受到了攻擊或者在運行中間出現(xiàn)了問題�,對企業(yè)的聲譽是極大的影響。同時�,作為公開的服務器,本身隨時都面臨著黑客的攻擊�,安全風險比其他的原本就要高上許多�。另外�,應用系統(tǒng)安全也是風險因素中的一個�,在不斷發(fā)展和增加過程中,其安全漏洞也在日益增加,并且漏洞隱藏得只會越來越深。此外還有管理的安全�,管理混亂、責權不分�、安全管理制度不健全等都是管理安全的風險因素。
三�、油田企業(yè)網(wǎng)絡安全管理工作
隨著油田企業(yè)中網(wǎng)絡用戶的逐漸增多�,網(wǎng)絡安全問題也越來越突出、越來越被網(wǎng)絡管理工作人員所重視�。在實際工作中,通過增強單位用戶對網(wǎng)絡安全重要性的緊迫性的認識�、強化和規(guī)范用戶防病毒意識等手段,全面采用網(wǎng)絡版防病毒系統(tǒng)�,部署防病毒服務器和補丁分發(fā)服務器。在網(wǎng)絡管理過程中�,技術人員定期檢查、預防�、控制和及時更新防病毒系統(tǒng)病毒定義碼,按時向總部上報極度防病毒巡檢表�。網(wǎng)絡管理技術人員還積極做好入侵保護系統(tǒng)IPS策略的日常管理和日志審計工作,使有限的網(wǎng)絡資源能用于重點保障業(yè)務工作的正常進行�。
四、油田企業(yè)網(wǎng)絡安全防范舉措與防火墻技術應用
在油田企業(yè)網(wǎng)絡運行過程中,安全威脅主要有非授權訪問�、信息泄露或丟失、拒絕服務攻擊�、破壞數(shù)據(jù)完整性、利用網(wǎng)絡傳播病毒等方面�。要防范油田企業(yè)網(wǎng)絡安全,主要的防御體系是由漏洞掃描�、入侵檢測和防火墻組成的。油田企業(yè)的局域網(wǎng)主要又外部網(wǎng)絡�、內部職工網(wǎng)絡、內部單位辦公網(wǎng)絡和公開服務器區(qū)域組成�。在每一個出口通過安裝硬件防火墻設備,用防火墻來實現(xiàn)內部網(wǎng)絡�、外部網(wǎng)絡以及公開服務器網(wǎng)的區(qū)分。防火墻對外部的安全威脅起到了抵御的作用�,但是從內部發(fā)動的安全攻擊卻無能為力。這個時候就需要動態(tài)監(jiān)測網(wǎng)絡內部活動以及及時做出響應�,將網(wǎng)絡入侵監(jiān)測系統(tǒng)接入到防火墻和交換機上的IDS端口,一旦發(fā)現(xiàn)入侵或者可疑行為之后�,立即報告防火墻動態(tài)調整安全策略,采取相應的防御措施�。另外,網(wǎng)絡安全還需要被動的防御體系�,它是由VPN路由和防火墻組成,被動防御體系主要實現(xiàn)了外網(wǎng)的安全接入�。外網(wǎng)在于企業(yè)網(wǎng)絡之間實現(xiàn)數(shù)據(jù)傳輸?shù)臅r候�,經(jīng)過防火墻高強度的加密認證�,保證外網(wǎng)接入的安全性。在油田企業(yè)網(wǎng)絡安全與防火墻技術應用中�,還需要加對病毒的防范�、數(shù)據(jù)安全的保護和數(shù)據(jù)備份與恢復的建設。在服務器上安裝服務器端殺毒軟件�,在每一臺網(wǎng)絡用戶電腦上安裝客戶端殺毒軟件,通過及時更新病毒代碼�,防范病毒的入侵。采用自動化備份�、安裝磁帶機等外部存貯設備等方法,保證數(shù)據(jù)的安全�。
五、總結
油田企業(yè)網(wǎng)絡安全不僅關系著企業(yè)的整體發(fā)展�,還關系著油田企業(yè)中廣大職工的網(wǎng)絡使用安全,積極采取防火墻技術應用到網(wǎng)絡安全防范之中�,以提高青海油田企業(yè)網(wǎng)絡的安全性,保證企業(yè)的正常工作�、企業(yè)職工的正常生活。
參考文獻:
[1]何黎明,方風波,王波濤.油田網(wǎng)絡安全風險評估與策略研究[J].石油天然氣學報,2008,3:279-280
[2]陳崗.大型企業(yè)信息網(wǎng)絡安全問題解決方案[J].岳陽師范學院學報(自然科學版),2006,2:168-169
第6篇
一�、企業(yè)網(wǎng)絡系統(tǒng)存在的安全隱患
企業(yè)網(wǎng)絡安全系統(tǒng)就是企業(yè)借助計算機、通信設施等現(xiàn)代設備�,構建相應的滿足企業(yè)日常經(jīng)營和管理需求的系統(tǒng)模式。隨著信息技術的快速發(fā)展�,企業(yè)網(wǎng)絡建設更加成熟和完善�。整個網(wǎng)絡系統(tǒng)能夠跨越多個地區(qū)�、覆蓋千家企業(yè)和大量用戶,網(wǎng)絡比較龐大且復雜�,不管網(wǎng)絡構架多么的復雜,其應用系統(tǒng)種類更加繁多�,各系統(tǒng)間關聯(lián)性更強[1]。目前�,企業(yè)網(wǎng)絡安全系統(tǒng)主要面臨以下威脅:(1)物理層安全威脅會導致設備損壞,系統(tǒng)或網(wǎng)絡不可用�,數(shù)據(jù)損壞、丟失等�。(2)因企業(yè)管理人員水平不高,引發(fā)企業(yè)內部信息泄露的威脅�。同時,在整個網(wǎng)絡中�,內部員工對企業(yè)網(wǎng)絡結構、應用比較熟悉�,自己攻擊或泄露內部信息,也會導致系統(tǒng)遭受致命的安全威脅�。(3)計算機病毒是一種可以將自身附加值目標機系統(tǒng)的文件程序,其對系統(tǒng)的破壞性非常嚴重�,會導致服務拒絕、破壞數(shù)據(jù)或導致整個系統(tǒng)面臨癱瘓�。當病毒釋放至網(wǎng)絡環(huán)境內,其無法預測其產(chǎn)生的危害�。
二�、企業(yè)網(wǎng)絡安全防護系統(tǒng)設計
1身份認證系統(tǒng)的設計與實現(xiàn)
身份認證作為網(wǎng)絡安全的重要組成部分�,企業(yè)網(wǎng)絡安全系統(tǒng)中設計基于RSA的認證系統(tǒng),該系統(tǒng)為三方身份認證協(xié)議�。
(1)申請認證模塊的設計與實現(xiàn)
CA設置在企業(yè)主服務器上,本系統(tǒng)主要包含申請認證�、身份認證、通信模塊�。其中�,申請認證完成與申請認證相關的操作�,該模塊實現(xiàn)流程如下:用鼠標點擊菜單項中的“申請證書”,彈出相應的認證界面�。在申請書界面內�,輸入用戶的姓名及密碼�,傳遞至CA認證�。
CA接收到認證方所發(fā)出的名稱和明碼后,并將認證結果發(fā)送至申請證書方�,當通過用戶驗證將公鑰傳給CA�。
CA接收申請證書一方傳來的公鑰,把其制作為證書發(fā)送給申請方�,完成CA各項功能。申請方接收CA傳來的證書后�,保存至初始化文件.ini內�。在申請方.ini文件內可以看見用戶設置的公鑰�。
(2)身份認證模塊
實施身份認證的雙方,依次點擊菜單項中的身份認證項�,打開相應的身份認證對話框,提出驗證方的請求連接�,以此為雙方創(chuàng)建連接[2]�。
實際認證過程中�,采用產(chǎn)生的隨機數(shù)字N1�、N2來抵抗攻擊�。B驗證A證書有效后�,獲取自己的證書,產(chǎn)生隨機數(shù)N1對其實施簽名�。隨之把證書�、簽名的N1兩條信息一起傳遞至A�。A接收B發(fā)出的信息后,將其劃分為兩個部分�,并驗證B的身份同時獲取B公鑰�。A驗證B證書屬于有效后�,取出N傳出的隨機數(shù)N1�,并產(chǎn)生隨機數(shù)字N2,把密鑰采用B公鑰加密�,最終把加密后的密鑰采用A傳送至B。B接受A發(fā)出的信息后�,對A簽名數(shù)據(jù)串進行解簽,對傳輸?shù)臄?shù)據(jù)進行驗證�。如果驗證失敗,必須重新實施認證�。實現(xiàn)代碼如下:
UCHARdata[1024]={0}://解密后的私鑰文件UINT4datalen=10224//解密后私鑰文件長度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY�,Dec_keylen,DNCRYPT�,kk->length,data�,&datalen)){m_List.AddMSg(解密私鑰失敗”,M_ERROR):deletekk�;retllrn�;}e1se.
2安全防護系統(tǒng)的設計及實現(xiàn)
設計安全防護系統(tǒng)旨在保護企業(yè)內部信息的安全�,實現(xiàn)對各個協(xié)議和端口過濾操作,并實時監(jiān)測網(wǎng)絡的安全性�。
(1)Windos網(wǎng)絡接口標準
安全防護系統(tǒng)總設計方案是基于Windows內核內截取所有IP包。在Windows操作系統(tǒng)內�,NDIS發(fā)揮著重要的作用,其是網(wǎng)絡協(xié)議與NIC之間的橋梁�,Windows網(wǎng)絡接口見圖1。其中�,NDIS設置在MinpORT驅動程序上,Miniport相當于數(shù)據(jù)鏈路層的介質訪問控制子層�。
(2)數(shù)據(jù)包過濾系統(tǒng)
數(shù)據(jù)包過濾系統(tǒng)主要過濾IP數(shù)據(jù)包、UDP數(shù)據(jù)包�、傳輸層TCP、應用層HTTP等�。包過濾技術遵循“允許或不允許”部分數(shù)據(jù)包通過防火墻,數(shù)據(jù)包過濾流程見圖2�。包過濾裝置對數(shù)據(jù)包進行有選擇的通過,采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后�,依據(jù)數(shù)據(jù)包源地址、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過[3]�。
綜上所述�,現(xiàn)階段,我國多數(shù)企業(yè)設置的安全防護系統(tǒng)主要預防外部人員的非法入侵和供給,對企業(yè)內部人員發(fā)出的網(wǎng)絡攻擊�、信息竊取無法起到防護的效果。文中對網(wǎng)絡系統(tǒng)安全存在的安全風險展開分析�,提出企業(yè)網(wǎng)絡身份認證系統(tǒng)和安全防護系統(tǒng)設計與實現(xiàn)步驟,以此提升企業(yè)網(wǎng)絡信息的安全性�,為企業(yè)更好地發(fā)展提供安全支持。
參考文獻:
[1]徐哲明.企業(yè)網(wǎng)絡系統(tǒng)安全修補程序構架的設計[J].計算機安全�,2013,17(8):47-50.
[2]勞偉強.企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的研究與實現(xiàn)[J].電子世界�,2013,35(22):154-154.
[3]付寧.企業(yè)網(wǎng)絡安全防護體系及企業(yè)郵箱的建立[J].科技傳播�,2013,12(2):214-215.
第7篇
關鍵詞:電力企業(yè)�;網(wǎng)絡安全;安全策略
引言
隨著我國Internet和電力信息化產(chǎn)業(yè)的飛速發(fā)展�,計算機網(wǎng)絡在電力企業(yè)的各個方面得到了廣泛的應用,電力企業(yè)信息網(wǎng)絡已經(jīng)成為電力系統(tǒng)的重要基礎設施�,它的安全運行與否關系到電力系統(tǒng)的安全�、穩(wěn)定、有效運行�。網(wǎng)絡技術的廣泛應用,電力信息網(wǎng)絡的不斷延伸和擴大�,特別是電力企業(yè)網(wǎng)和Internet的互聯(lián)都對電力信息網(wǎng)絡的安全提出了更高的要求�。因此,深入研究電力企業(yè)信息網(wǎng)絡安全的特點和存在的問題�,對電力企業(yè)信息網(wǎng)絡的安全運行有一定的指導意義。
電力企業(yè)信息網(wǎng)絡結構如圖1所示�。
圖1電力企業(yè)信息網(wǎng)絡結構
1網(wǎng)絡安全
所謂網(wǎng)絡安全是指在分布網(wǎng)絡環(huán)境中,對信息載體(處理載體�、存儲載體�、傳輸載體)和信息的處理�、傳輸�、存儲�、訪問提供安全保護,以防止數(shù)據(jù)�、信息內容或能力拒絕服務或非授權使用和篡改。網(wǎng)絡安全具有機密性�、可用性和完整性這三個基本屬性�。網(wǎng)絡安全涉及的內容既有技術方面的問題�,也有管理方面的問題�,兩方面相互補充,缺一不可�。技術方面主要側重于防范外部非法用戶的攻擊,管理方面則側重于內部人為因素的管理�。
威脅網(wǎng)絡安全的因素主要有黑客入侵�、信息泄漏�、拒絕服務攻擊和病毒等幾類�。
(1)黑客入侵
由于網(wǎng)絡邊界上的系統(tǒng)安全漏洞或管理方面的缺陷(如弱口令)�,容易導致黑客的成功入侵�。黑客可以通過入侵計算機或網(wǎng)絡,使用被入侵的計算機或網(wǎng)絡的信息資源,來竊取、破壞或修改數(shù)據(jù)�,從而威脅電力企業(yè)信息網(wǎng)絡安全�。
(2)信息泄漏
相對于黑客入侵這種來自網(wǎng)絡外部的威脅而言,信息泄漏的主要原因則在于企業(yè)內部管理不善,如信息分級不合理、信息審查不嚴和不當授權等,都容易導致信息外泄�。
(3)拒絕服務攻擊
信息網(wǎng)絡上提供的FTP、WEB和DNS等服務都有可能遭受拒絕服務攻擊�。拒絕服務的主要攻擊方法是通過消耗用戶的資源,來增加CPU的負荷,當系統(tǒng)資源消耗超出CPU的負荷能力時�,此時網(wǎng)絡的正常服務失效。
(4)病毒
通過計算機網(wǎng)絡�,病毒的傳播速度和傳播范圍程度驚人,它可以在數(shù)小時之間使得全球成千上萬的網(wǎng)絡計算機系統(tǒng)癱瘓�,嚴重威脅網(wǎng)絡安全�。病毒的危害性涉及面廣,它不僅可以修改刪除文件,還可以竊取企業(yè)內部文件和泄露用戶個人隱私信息等。
2安全策略
2.1網(wǎng)絡隔離
由于不同的網(wǎng)絡結構應該采用不同的安全對策�,因此我們?yōu)榱颂岣哒麄€網(wǎng)絡的安全性考慮,可以根據(jù)保密程度、保護功能和安全水平等差異,把整個網(wǎng)絡進行分段隔離�。這樣可以實現(xiàn)更為細化的安全控制體系�,將攻擊和入侵造成的威脅分別限制在較小的范圍內。所謂網(wǎng)絡隔離(Network Isolation)是指把兩個或兩個以上可路由的網(wǎng)絡(如TCP/IP)完全斷開或通過不可路由的形式(如不可路由的專用協(xié)議、專用數(shù)據(jù)交換硬件等)進行連接,從而達到隔離網(wǎng)絡攻擊和防范網(wǎng)絡風險的目的。
電力企業(yè)內外網(wǎng)之間是通過物理隔離的�,所謂物理隔離是通過網(wǎng)絡與計算機設備的空間(主要包括網(wǎng)線�、路由器、交換機�、主機和終端等)分離來實現(xiàn)的網(wǎng)絡隔離。物理隔離強調的是設備在物理形態(tài)上的分離,從而來實現(xiàn)數(shù)據(jù)的分離�。完整意義上的物理隔離應該是指兩個網(wǎng)絡完全斷開�,網(wǎng)絡之間不存在數(shù)據(jù)交換。然而實際上�,由于網(wǎng)絡的開放性和資源共享性等特點需要內外網(wǎng)之間進行數(shù)據(jù)交換。因此�,我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的�、相對的物理隔離技術�。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內部網(wǎng)和外部網(wǎng)兩個系統(tǒng)�。如果兩個系統(tǒng)在空間上物理隔離,在不同的時間運行�,那么就可以得到兩個完全物理隔離的系統(tǒng)。
2.2防火墻
防火墻實際上是由應用層網(wǎng)關�、包過濾路由器和電路層網(wǎng)關等組成的一套系統(tǒng),它邏輯上處于內部網(wǎng)和外部網(wǎng)之間�,可以提供網(wǎng)絡通信,從而保證內部網(wǎng)的正常安全運行�。防火墻是放置在電力企業(yè)內網(wǎng)服務器前端的,防火墻的基本結構如圖2所示�。
圖2 防火墻結構
工作原理:當防火墻被安置完成以后,所有內部通向外部和外部通向內部的數(shù)據(jù)流都要通過防火墻�。它通過包過濾技術,利用應用層或應用層數(shù)據(jù)共享的方式來實現(xiàn)不同網(wǎng)絡之間的通信�,通過堡壘主機(屏蔽主機防火墻)連接系統(tǒng)外部與內部。此外�,它還利用基于支持網(wǎng)絡層和應用層安全功能等技術來有效的隔離了內部和外部的網(wǎng)絡,從而建筑起了一道屏障來抵御非法的侵入�,更好的保護了電力企業(yè)網(wǎng)絡系統(tǒng)的安全運行。
我們要特別注意的是�,即使網(wǎng)絡安裝了防火墻也還要考慮防火墻產(chǎn)品自身是否安全、防火墻用戶權限體系管理和防火墻的安全認證等特性�。防火墻一般經(jīng)常采用密碼認證的方式�,由于該方法安全性較差�,所以一旦密碼泄漏,別人就很容易控制防火墻�,從而對網(wǎng)絡的安全運行造成隱患�。因此我們需要要求防火墻管理員對網(wǎng)絡安全攻擊的手段及其與系統(tǒng)配置的關系有相當深刻的了解,從而更好的保護網(wǎng)絡的安全運行�。
2.3防病毒
電力企業(yè)網(wǎng)絡面臨的病毒威脅主要有電子郵件傳播、文件交叉感染和瀏覽網(wǎng)頁及文件下載感染這三種傳播途徑�。在電力企業(yè)網(wǎng)絡環(huán)境下,網(wǎng)絡病毒除了具有破壞性�、可傳播性、可執(zhí)行性和可觸發(fā)性等計算機病毒的共性外�,還具有感染速度快、傳播形式復雜�、破壞性大、難于徹底清除和擴散面廣等新的特點�。
易于管理和全面防毒功能是防病毒軟件的關鍵。現(xiàn)在的防病毒軟件已不單單是檢測病毒和清除病毒�,而且還應加強對病毒的防護工作。我們可以通過安裝遠程防病毒軟件來保證電力企業(yè)的網(wǎng)絡安全運行�。因此,集中管理�、遠程安裝、統(tǒng)一防病毒策略成為了企業(yè)級防病毒產(chǎn)品的重要功能�。我們在選擇殺毒軟件時�,要選擇在市場上有較高知名度企業(yè)研發(fā)的殺毒軟件產(chǎn)品�,這樣不僅可以保證產(chǎn)品質量,而且產(chǎn)品的售后服務也能得到保證�。由于計算機病毒的傳播途徑多樣化,電力企業(yè)需要建立多層次�、立體式病毒防護體系、完善的管理系統(tǒng)和病毒防護策略來保證網(wǎng)絡的安全運行�。
這里所謂的多層次、立體式病毒防護體 系是指在電力企業(yè)的每臺臺式機上安裝基于臺式機的反病毒軟件�,在Internet網(wǎng)關上安裝基于Internet網(wǎng)關的反病毒軟件,在服務器上安裝基于服務器的反病毒軟件�,于此同時對電腦的操作系統(tǒng)進行安全加固,這樣就可以從工作站到服務器再到網(wǎng)關進行全面保護�,從而保證整個電力企業(yè)網(wǎng)絡的安全運行,使其不受計算機病毒的侵害�。
3入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(IDS)是一種主動防御攻擊的新型網(wǎng)絡安全系統(tǒng),由于它在功能上彌補了防火墻的缺陷�,完善了整個安全防御體系,因此在電力企業(yè)的網(wǎng)絡安全中有著重要的作用�。
入侵檢測系統(tǒng)是放置在電力企業(yè)內網(wǎng)服務器前端的,其分布式布置3所示�。由圖可知,我們在進行安裝入侵檢測系統(tǒng)(IDS)的關鍵步驟是部署監(jiān)測器與控制臺�。具體安裝如下:首先,可以在外部路由器與外部網(wǎng)絡的連接處部署監(jiān)測器,以監(jiān)測異常的入侵企圖,在防火墻與MIS之間部署監(jiān)測器�,以監(jiān)視和分析管理信息系統(tǒng)與外部網(wǎng)絡的通信流。然后�,分別在監(jiān)控信息系統(tǒng)(SIS)和管理信息系統(tǒng)(MIS)中部署一臺監(jiān)測器,監(jiān)視各子網(wǎng)的內部情況�,其中控制臺設置在管理信息系統(tǒng)中。最后�,根據(jù)實際情況為個別需重點保護的服務器、工作站安裝基于主機的入侵檢測軟件�,保護重要設備�。
圖3入侵檢測系統(tǒng)分布式布置
結束語
綜上所述,隨著我國經(jīng)濟和社會的飛速發(fā)展�,電力企業(yè)在我國國民經(jīng)濟中的比重日益提高,電力企業(yè)網(wǎng)絡系統(tǒng)的安全�、穩(wěn)定、有效運行對整個國民經(jīng)濟的穩(wěn)定運行起著十分重要的作用�。針對電力企業(yè)網(wǎng)絡所面臨的各種不同的威脅,我們只有采用與之相應的安全措施�,才能保證電力企業(yè)局域網(wǎng)的安全、正常和穩(wěn)定運行�。
參考文獻:
[1]趙小林.網(wǎng)絡安全技術教程[M].北京:國防工業(yè)出版社,2006
[2]彭新光,吳興興.計算機網(wǎng)絡安全技術與應用[M].北京:科學出版社, 2005
[3]胡炎,韓英鐸.電力工業(yè)信息安全的思考[J].電力系統(tǒng)自動化, 2002(4):27
第8篇
隨著企業(yè)網(wǎng)絡信息技術的快速發(fā)展和廣泛應用,社會信息化進程不斷加快�,生產(chǎn)制造、物流網(wǎng)絡�、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大,因此,保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要�。如何保證企業(yè)網(wǎng)絡信息化安全、穩(wěn)定運行就需要網(wǎng)絡規(guī)劃設計師在設計初始周全的考慮到網(wǎng)絡安全所需達到的條件(包括硬件�、OSI/RM各層、各種系統(tǒng)操作和應用)�。
1網(wǎng)絡安全、信息安全標準
網(wǎng)絡安全性標準是指為了規(guī)范網(wǎng)絡行為�,凈化網(wǎng)絡環(huán)境而制定的強制性或指導性的規(guī)定。目前�,網(wǎng)絡安全標準主要有針對系統(tǒng)安全等級、系統(tǒng)安全等級評定方法�、系統(tǒng)安全使用和操作規(guī)范等方面的標準。世界各國紛紛頒布了計算機網(wǎng)絡的安全管理條例�,我國也頒布了《計算機網(wǎng)絡國際互聯(lián)網(wǎng)安全管理方法》等多個國家標準,用來制止網(wǎng)絡污染�,規(guī)范網(wǎng)絡行為,同時各種網(wǎng)絡技術在不斷的改進和完善�。1999年9月13日,中國頒布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859:1999)�,定義了計算機信息系統(tǒng)安全保護能力的5個等級,分別如下:(1)第一級:用戶自主保護級�。它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞�。(2)第二級:系統(tǒng)審計保護級。除繼承前一個級別的安全功能外�,還要求創(chuàng)建和維護訪問的審計蹤記錄,使所有的用戶對自己行為的合法性負責。(3)第三級:安全標記保護級�。除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問權限�,實現(xiàn)對訪問對象的強制訪問。(4)第四級:結構化保護級�。除繼承前一個級別的安全功能外,將安全保護機制劃分為關鍵部分和非關鍵部分�,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統(tǒng)的抗?jié)B透能力�。(5)第五級:訪問驗證保護級。除繼承前一個級別的安全功能外�,還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動�。
2企業(yè)網(wǎng)絡主要安全隱患
企業(yè)網(wǎng)絡主要分為內網(wǎng)和外網(wǎng)�,網(wǎng)絡安全體系防范的不僅是病毒感染,還有基于網(wǎng)絡的非法入侵�、攻擊和訪問,但這些非法入侵�、攻擊、訪問的途徑非常多�,涉及到整個網(wǎng)絡通信過程的每個細節(jié)。從以往的網(wǎng)絡入侵�、攻擊等可以總結出,內部網(wǎng)絡的安全威脅要多于外部網(wǎng)絡�,因為內網(wǎng)受到的入侵和攻擊更加容易,所以做為網(wǎng)絡安全體系設計人員要全面地考慮,注重內部網(wǎng)絡中存在的安全隱患�。
3企業(yè)網(wǎng)絡安全防護策略
設計一個更加安全的網(wǎng)絡安全系統(tǒng)包括網(wǎng)絡通信過程中對OSI/RM的全部層次的安全保護和系統(tǒng)的安全保護。七層網(wǎng)絡各個層次的安全防護是為了預防非法入侵�、非法訪問、病毒感染和黑客攻擊�,而非計算機通信過程中的安全保護是為了預防網(wǎng)絡的物理癱瘓和網(wǎng)絡數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護措施及系統(tǒng)層的安全防護如圖1所示�。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現(xiàn)在兩個方面:一方面是采用屏蔽性能好的傳輸介質,另一方面是把傳輸介質�、網(wǎng)絡設備、機房等整個通信線路安裝在屏蔽的環(huán)境中�。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對)芯線外集中包裹了一屏蔽層�。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外�,還有這些屏蔽層就是用來進行電磁屏蔽的,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸�,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。(2)屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜�、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍,其中包括六面板體和一面屏蔽門�。根據(jù)機房屏蔽性能的不同,可以將屏蔽機房分為A�、B、C三個級別�,最高級為C級�。機柜的屏蔽是用采用冷扎鋼板圍閉而成�,這些機柜的結構與普通的機柜是一樣的,都是標準尺寸的�。(3)WLAN的物理層安全保護對于無線網(wǎng)絡,因為采用的傳輸介質是大氣�,大氣是非固定有形線路,安全風險比有線網(wǎng)絡更高�,所以在無線網(wǎng)絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來�,成本太高,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰�、WPA/WPA2動態(tài)密鑰、IEEE802.1X身份驗證等?,F(xiàn)在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊,如網(wǎng)絡阻塞�、干擾,顯得很脆弱�,以后將提高發(fā)射信號功率、增加信號帶寬和使用包括跳頻�、直接序列等擴頻技術�。
4.2數(shù)據(jù)鏈路層安全
在數(shù)據(jù)鏈路層可以采用的安全保護方案主要包括:數(shù)據(jù)鏈路加密、MAC地址綁定(防止MAC地址欺騙)�、VLAN網(wǎng)段劃分、網(wǎng)絡嗅探預防�、交換機保護�。VLAN隔離技術是現(xiàn)代企業(yè)網(wǎng)絡建設中用的最多的技術�,該技術可分為基于端口的VLAN、基于MAC地址的VLAN�、基于第三層的VLAN和基于策略的VLAN。
4.3網(wǎng)絡層安全
在網(wǎng)絡層首先是身份的認證�,最簡單的身份認證方式是密碼認證,它是基于windows服務器系統(tǒng)的身份認證可針對網(wǎng)絡資源的訪問啟用“單點登錄”�,采用單點登錄后,用戶可以使用一個密碼或智能卡一次登錄到windows域�,然后向域中的任何計算機驗證身份。網(wǎng)絡上各種服務器提供的認證服務�,使得口令不再是以明文方式在網(wǎng)絡上傳輸,連接之間的通信是加密的�。加密認證分為PKI公鑰機制(非對稱加密機制),Kerberos基于私鑰機制(對稱加密機制)�。IPSec是針對IP網(wǎng)絡所提出的安全性協(xié)議,用途就是保護IP網(wǎng)絡通信安全�。它支持網(wǎng)絡數(shù)據(jù)完整性檢查、數(shù)據(jù)機密保護�、數(shù)據(jù)源身份認證和重發(fā)保護,可為絕大部分TCP/IP族協(xié)議提供安全服務�。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)。
4.4傳輸層安全
傳輸層的主要作用是保證數(shù)據(jù)安全�、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議�,它不僅可以為網(wǎng)絡通信中的數(shù)據(jù)提供強健的安全加密保護�,還可以結合證書服務�,提供強大的身份誰、數(shù)據(jù)簽名和隱私保護�。TLS/SSL協(xié)議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。
4.5防火墻
因防火墻技術在OSI/RM各層均有體現(xiàn)�,在這里簡單分析一下防火墻,防火墻分為網(wǎng)絡層防火墻和應用層防火墻�,網(wǎng)絡層防火墻可視為一種IP封包過濾器,運作在底層的TCP/IP協(xié)議堆棧上�。應用層防火墻是在TCP/IP堆棧的“應用層”上運作,應用層防火墻可以攔截進出某應用程序的所有封包�。目前70%的攻擊是發(fā)生在應用層,而不是網(wǎng)絡層�。對于這類攻擊,傳統(tǒng)網(wǎng)絡防火墻的防護效果�,并不太理想。
5結語
以上對于實現(xiàn)企業(yè)網(wǎng)絡建設安全技術及信息安全的簡單論述�,是基于網(wǎng)絡OSI/RM各層相應的安全防護分析,重點分析了物理層所必須做好的各項工作�,其余各層簡單分析了應加強的主要技術。因網(wǎng)絡技術日新月益�,很多新的網(wǎng)絡技術在本文中未有體現(xiàn),實則由于本人時間�、水平有限�,請各位讀者給予見解�。文章中部分內容借簽于參考文獻,在此非常感謝各位作者的好書籍�。
作者:單位:西山煤電(集團)有限公司物資供應分公司
引用:
[1]李磊.網(wǎng)絡工程師考試輔導.北京:清華大學出版社,2009.
[2]王達�,闞京茂.網(wǎng)絡工程方案規(guī)劃與設計.北京:中國水利水電出版社,2010.
