基于某企業的網絡安全策略精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的基于某企業的網絡安全策略主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:基于某企業的網絡安全策略范文
電力企業的信息安全不僅影響著其自身的網絡信息的化建設進程,也關系著電力生產系統的安全、穩定、經濟、優質運行。所以,強化信息網絡安全管理,確保電力信息網絡的安全性,保證業務操作平臺能夠穩定、可靠的運行是電力安全工作中的一項核心任務。
1.電力信息網絡安全體系
信息網絡安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露信息安全應該實行分層保護措施.有以下五個方面:①物理層面安全,環境安全,設備安全,介質安全;②網絡層面安全,網絡運行安全,網絡傳輸安全,網絡邊界安全;③系統層面安全,操作系統安全,數據庫管理系統安全;④應用層面安全,辦公系統安全,業務系統安全,服務系統安全;⑤管理層面安全,安全管理制度,部門與人員的組織規則。
2.電力信息網絡安全存在的問題
2.1 系統漏洞。電力企業使用的都是微軟所開發的Windows操作系統。由于一個計算機操作系統過于龐大、復雜,所以它不可能第一次性地發現并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷地被完善。但是,據一些消息稱,微軟公司對于漏洞信息披露的反應時間為1~2周。但是在這段時間內,這些長久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用,造成對企業信息網絡安全的威脅。
2.2 黑客的惡意攻擊。如今,社會當中的部分人也擁有了較強的計算機網絡操作、控制能力。他們有的出于興趣愛好、有的出于金錢指使,而對其他網絡系統發起惡意的攻擊、破壞,以滿足自身的各種成就感。在這些攻擊行為當中,一部分是主動的進行系統破壞或是更改、刪除重要的信息,另一部分是被動的進行監聽,竊取電力企業內部網絡交流信息,導致信息外泄。
2.3 網絡硬件系統不牢固。網絡硬件系統不牢固是一個普遍性的問題。盡管互聯網的硬件系統已經具有了較高的穩定性和安全性,但其仍然存在的脆弱性也不可忽視,比如雷電所引發的硬件故障,各種傳輸過程當中受其他因素影響所出現的信息失真等。
2.4 員工的信息網絡安全意識不健全。在如今的電力企業當中,許多員工多信息網絡的安全意識還不健全。比如用戶安全意識不強,系統登錄口令過于簡單,或是將賬戶及密碼借給他人使用,盲目地進行資源信息共享,這些帶全安全威脅性的操作都可能會對企業的信息網絡安全帶來隱患。還有的員工長時間占用網絡,大量消耗了網絡資源,增加了企業的網絡通信負擔,導致企業內部的通信與生產效率較低。更有甚者由于瀏覽網頁或是使用U盤,導致了一些木馬、病毒被下載到了計算機系統當中,造成各式各樣的網絡通信故障。
3.電力信息網絡安全策略
3.1設備安全策略
3.1.1 建立配套的績效管理機制,以促進信息安全運維人員樹立良好意識,提高自身信息網絡管理能力。
3.1.2 建立電網信息安全事故應急處理預案,例如“突況下某某大樓信息系統應急處理預案”,預案所要求的各項信息設備必須作為信息安全重要物資交由信息應急指揮人員保管,相關信息運維人員必須在信息事故發生的第一時間到崗到位、信息預案操作流程必須準確到位,各應急單位要定期進行應急演練,保證在發生信息安全事故之時隊伍能夠拉得出、打得贏。
3.1.3 運用國家電網公司統一的標準化信息安全管理模式,規范日常網絡處理流程,嚴格控制網絡接入程序,對新進網絡施行過程化管理,例如:申請入網人員必須填寫“某公司入網申請單”,并對操作人員嚴格施行信息網絡處理“兩票三制”管理,即:操作票、工作票、交接班制、巡回檢查制、設備定期試驗輪換制,從制度上保證信息網絡安全管理。
3.1.4 成立網絡信息安全組織機構,例如:成立某公司信息安全領導小組,小組成員包括:公司領導層人員、信息安全管理層人員、信息安全網絡技術實施保障人員等,并對各人員工作職責提出具體要求,尤其是必須明確技術實施保障人員的工作要求。
3.2安全技術策略
3.2.1 使用VPN(虛擬隧道)技術。按業務分別建立對應的三層VPN,各VLAN段建立符合實際要求的網絡訪問控制列表,將網絡按部門(樓層)進行分段,對各段網絡配置對應的訪問控制,設置高強度的網絡登錄密碼,保證網絡的安全性。
3.2.2 安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計。及時自動分析系統安全事件,實現系統安全運行管理。
3.2.3 病毒防護技術。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺PC機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網父的防病毒軟件,必須在信息系統的各個環節采用全網全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理。
3.2.4防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術。它通過單一集中的安全檢查點,強制實操相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
3.2.5 擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分,所以同一個LAN內的各工作站無須放置在同一物理空LAN里,但這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。
4.結束語
電力企業網絡安全包括系統結構本身的安全及桌面終端設備信息安全,所以利用結構化的觀點和方法來看待電力企業信息網絡安全系統。基于網絡的特殊性,有關供電系統數據網的安全問題不容忽視,要保障其網絡的安全可靠運行,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,方能生成一個高效、通用、安全的網絡系統。
參考文獻
[1] 楊晶.論計算機網絡安全問題及防范措施[J].科技創新導報.2011.
[2] 侯康.淺談電力調度數據網及其維護[J].科技信息.2011.
作者簡介
第2篇:基于某企業的網絡安全策略范文
近日,Check Point了《2013年信息安全報告》(以下簡稱《報告》)。《報告》指出,63%的企業被僵尸網絡感染;54%的企業曾發生數據泄露;43%的企業中存在匿名軟件;36%的金融組織存在信用卡信息泄露;16%的衛生保健和保險組織中存在受《HIPAA隱私規定》保護的個人健康數據被泄露現象……安全形勢不容樂觀。
安全威脅不勝枚舉
僵尸網絡被認為是當前網絡安全最主要的威脅之一。Check Point中國區大客戶總監李若怡在接受《中國計算機報》記者專訪時表示,Check Point調查發現,僵尸計算機與其指揮和控制中心平均每隔21分鐘通信一次,報告其感染的新主機、存貨信息以及從主機系統搜集的數據。她還指出,僵尸網絡的黑色產業鏈已經形成。
企業面臨的安全威脅遠不止僵尸網絡,還包括病毒、蠕蟲、間諜軟件、廣告軟件、木馬等。《報告》指出,75%受訪企業有主機訪問過惡意網絡,50%的企業中有5臺主機訪問過惡意網站。“每隔23分鐘,就有一臺主機訪問惡意網站,53%的企業中有員工通過公司網絡下載惡意軟件。”李若怡稱,“令人擔憂的是,23%的主機并沒有每天更新反病毒庫,而14%的主機甚至根本沒有運行反病毒軟件,導致企業處在惡意軟件的威脅下。”
此外,Web 2.0應用程序的快速增長,也為犯罪分子提供了大好的犯罪機會。《報告》指出,91%的企業中存在不安全的應用程序,包括匿名軟件、P2P應用程序和共享程序、社交網絡應用等。黑客既能夠利用應用程序的漏洞攻擊企業網絡,也可以通過獲取用戶權限和賬戶信息來獲取利益,亦或是通過匿名軟件來隱藏犯罪活動。
量體裁衣 建立多層防御
建立多層防御的安全策略是每個企業都必須面對的頭等大事。只有這樣,企業才能提升信息化的“正能量”。
要建立多層防御的安全策略,IT人員首先要清晰地了解企業的網絡安全狀況,包括安全事件和安全趨勢。“這份《報告》的數據來源包括三個方面:Check Point安全云、Check Point 3D安全報告和遍布于全球各地電信運營商的傳感器網絡,涵蓋了政府、金融、電信、工業和交通等重點行業。”李若怡認為,通過對這些數據的分析,企業能夠了解網絡安全的薄弱點。
第3篇:基于某企業的網絡安全策略范文
得尤其重要,因此不論在局域網還是在廣域網中,網絡的安全措施能全方位地應對各種不同的威脅和脆弱性,能確保網絡信息的保密性、完整性和可用性。
關鍵詞 網絡安全局域網安全策略
如何在安全的計算機網絡環境下辦公成為計算機網絡技術的一
個重要領域,尤其是局域網安全問題,現在的企事業單位都有自己的局域網,企事業單位的核心數據也在局域網上,核心數據關系著企事業單位的生死存亡,一旦出現問題后果不堪設想,該文從局域網安全管理出發提出了基于局域網安全的策略。
1、局域網安全方案設計
安全策略包括兩個部分:一個總的策略和具體的規則策略用于闡明企業安全政策的總體思想,而具體規則用于說明什么活動是被允許的,什么活動是被禁止的。網絡的完全安全是不可能的,但是,我們卻可以根據威脅網絡安全的源頭不同,及時調整網絡安全策略,所以總的說來,網絡安全方案設計的原則就是因時而變。
2、局域網安全機制
2.1物理隔離
常見的各種安全保護方式是安裝防火墻,入侵檢測系統、網絡安全管理軟件等安全軟件,但是這類的“軟”保護具有不確定性,誰也不能保證這些軟件中沒有后門、沒有錯誤,而被黑客利用攻入內部系統。最安全的辦法,就是讓局域網內部重要的數據和外部的互聯網沒有物理的連接,把用戶可以上網的信息和不可以上網的信息隔離開來,讓黑客無機可乘。
目前,物理隔離的實現模型,一般是包括客戶端選擇設備和網
絡選擇器,用戶通過開關設備,或通過鍵盤選擇,控制客戶端選擇不同的存儲介質,在需要的情況下,網絡選擇端還要同時進行相應的網絡連接跳轉。現在的物理隔離產品,主要采用基于單網線的安全隔離卡技術加上網絡選擇器方法,即客戶端依然采用類似第二代雙網線安全隔離卡的技術。
2.2遠程訪問控制
對于遠程撥號用戶,已經配置了用戶身份認證服務器。在技術
上有一定的安全保障。另外還可以從自身條件優勢上考慮,由于都
同屬一個電話局,這樣就可以在電話局的程控交換機上控制,只允
許內部的電話號碼訪問本地的網絡。同時對于撥號用戶采用動態地
址分配,并對所有在用的機器MAC地址進行注冊,采用IP地址與
MAC地址的動態綁定。
2.3 防火墻
在原理上,防火墻更像是物理隔離的軟件實現手段。由于要與
互聯網連接,所以防火墻是必不可少的。防火墻規則動態的修改在
大型網絡中已經是必不可少的了。
2. 4防病毒
防病毒基本上可以分為單機版和網絡版。選擇單機版和網絡版要權衡代價和效率的關系。如果全部選用網絡版那么造價很高,而且網絡版的安裝也相對復雜,勢必要牽扯大量的人力。所以如果要節約費用,建議安裝單機版防毒軟件。而如果要求更高的安全性,并且局域網頻繁的與Internet交換數據,被病毒感染的機會很高,所以病毒代碼的更新也要求較高,建議采用網絡版的防毒軟件。
3加強局域網安全的管理對策
3.1及時修補漏洞
要及時更新系統、數據庫等漏洞補丁。漏洞已成為病毒、木馬以及黑客進行攻擊的主要途徑,可以通過360安全衛士來檢查系統的漏洞并打上補丁,一些防火墻軟件也具有檢查系統的漏洞的功能,做到定期檢查和更新。
3.2關閉系統默認共享以及其它目錄共享
默認共享是局域網里存在的一個安全隱患,很多病毒和黑客利用系統的默認共享進行傳播和攻擊的,威金蠕蟲和Funlove病毒等都是利用局域網里的共享進行傳播的,所以要關閉默認共享。如果業務需
要共享數據,那么要將共享方式設為只讀或將共享目錄隱藏,在共享
名后加上“$”符號即可隱藏共享資源。最好是建立文件服務器、存
儲設備或局域網郵件系統來收發文件,這樣可以大大地降低局域網中
受攻擊和感染的風險。
3.3關閉危險的系統服務
有的系統服務的啟用不僅會占用系統資源,而且還會對我們的系
統帶來嚴重的安全隱患,為黑客和病毒開啟了方便之門,在不需要這
些服務的情況下可以關閉。
4、加強局域網安全的技術策略
4.1基于Internet的防火墻安全策略
典型的局域網要通過路由器來實現內部和外部信息的通訊,兩者之間的數據流控制是計算機網絡安全的關鍵。如何保證外部合法數據進入到局域網及局域網內部核心,數據安全將由防火墻(firewall)來實現。防火是由軟件、硬件構成的系統,用來在兩個網絡之間實施接入控制策略。防火墻內的網絡稱為可信賴的網絡(trusted network),而將外部的因特網稱為不可信賴的網絡(untrusted network)。防火墻可用來解決內聯網和外聯網的安全問題。
防火墻系統的主要目標是對進出所有數據進行分析,并對用戶進行認證,從而防止有害信息進入受保護的網絡系統,為網絡提供安全保障,可以用硬件或軟件實現,也可以是兩者的結合。主要功能包括:安全警報;重新部署網絡地址轉換(NAT);監視Internet的使用;防火墻也是審查和記錄內部人員對Internet使用的一個最佳位置, 可以在此對內部訪問Internet的情況進行記錄,向外信息;防火墻除了起到安全屏障作用外,也是部署www服務器和FTP服務器的理想位置;允許Internet訪問上述服務器,而禁止對內部受保護的其他系統進行訪問。
4.2VLAN技術安全策略
VLAN又稱虛擬局域網,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。 一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。
4.3捆綁技術安全策略
l) IP與MAC地址捆綁技術安全策略
在實際的局域網安全管理中會經常出現IP地址被盜用的現象,這不僅對計算機網絡的正常使用造成影響,同時也會由于被盜用的地
址往往具有較高的權限而對企業單位造成了大量的經濟上的損失和
潛在的安全隱患。為了防止IP地址被盜用,可采用ARP來實現IP
地址與網卡MAC地址捆綁技術安全策略。
2)端口與MAC地址捆綁技術安全策略
在實際的局域網安全管理中會經常出現端口被盜用,即外來非法計算機利用局域網空閑端口連上局域網,盜用企業單位核心數據的情況,對企業單位造成了大量的經濟上的損失和潛在的安全隱患。為了防止端口被盜用,可采用端口與MAC地址捆綁技術安全策略。
當然,為了防止這種攻擊,我們也可以采用Socket編程技術,但是對于計算機網絡管理人員計算機的水平要求較高。Socket是一
種計算機網絡應用層與TCP/IP協議族通信的中間軟件抽象層,它
是一組接口(Interface)。在設計模式中把復雜的TCP/IP協議族隱藏在Socket接口后面,讓Socket去組織數據是符合指定的協議。
服務器端先初始化Socket然后與端口綁定(bind),對端口進行監聽(listen),調用accept阻塞,等待客戶端連接,客戶端初始化一個Socket,然后連接服務器(connect),如果連接成功,這時客戶端與服務器端的連接就建立了。客戶端發送數據請求,服務器端接收請求并處理請求,然后把回應數據發送給客戶端,客戶端讀取數據,最后關閉連接,一次交互結束。
4.4生物識別技術安全策略
局域網身份識別目前主要有如下三種方式:①“用戶名+口令”模式,用已知道的信息來證明識別身份;②用密碼卡、智能卡等擁有的物品來證明識別身份;③用人類獨一無二、不可復制的生物特征來證明身份,如指紋識別、虹膜識別等。很顯然,前兩種方式很難實現安全、可靠的身份識別,而生物特征識別技術它能杜絕易丟、易破解的現象,不存在記憶密碼、丟失密碼及受損的風險,是目前局域網安全技術策略首選的技術方案。生物特征識別技術可用于硬件設備使用的身份識別,只有合法的生物特征的人才能進入;計算機開機識別,只有合法的人才能開機,只有合法的人才能進入某一軟件系統,獲得軟件的使用權等。
5.結束語
計算機網絡在給我們工作方便的同時也帶來了安全問題,在安全
的計算機網絡環境下方便使用計算機網絡已成為社會發展的必然趨勢,局域網更是如此。本文基于局域網安全策略的研究,對于局域網
安全方面的問題提供了一些解決思路。局域網安全光有局域網安全技
術保障是不夠的,還要用制度管理好人,也就是說局域網安全技術策
第4篇:基于某企業的網絡安全策略范文
關鍵詞:防火墻;校園網;互聯網
中圖分類號: TD39
文獻標識碼: A
文章編號:1005-569X(2009)06-0099-02
1 引言
目前,黑客入侵與病毒發作事件在全球范圍內不斷增加。由于網絡應用的迅速發展,除以往熟知的病毒、垃圾郵,以及黑客惡意攻擊、網絡釣魚之外,也有來自企業內部的安全隱患等,這些問題困擾著每一個企業。網絡安全已經成為越來越多使用網絡的公司、個人需要考慮的問題,越來越多的企業將網絡的安全看作確保企業盈利能力的一項重要因素。
2 防火墻基礎簡介
2.1網絡安全問題
傳統的邊界安全設備――防火墻,成為整體安全策略中不可缺少的重要模塊。目前的防火墻產品的用戶主要是企業用戶。互聯網已經改變了人們工作、聯絡、協作交流以及買賣的方式。網絡的安全程度究竟如何?這是許多IT管理人員每天都會考慮的問題。可以想象,防火墻的應用也越來越普及,這個普及不僅面向各個公司、企業,也深入到家庭、個人,深入到每個網絡節點、終端。
2.2防火墻概述
2.2.1防火墻的作用
防火墻從本質上說是一些設備,是外部網絡訪問內部網絡的控制設備。它是用來保護內部的數據、資源和用戶信息的工具,可以防止Internet上的危險(病毒、資源盜用等)傳播到網絡內部。這樣的設備通常是單獨的計算機、路由器或防火墻盒(專用硬件設備)。它們充當訪問網絡的惟一入口點,并且判斷是否接收某個連接請求,只有來自授權主機的連接請求才會被處理,而剩于的連接請求將被丟棄。
通常,防火墻被安裝在受保護的內部網絡與Internet的連接點上。被保護的網絡屬于內部網絡,所防止的網絡是不可信的外部網。保護網絡包括阻止非法授權用戶訪問敏感數據的同時,允許合法用戶無障礙地訪問網絡資源,如防火墻能夠確保電子郵件、文件傳輸、遠程登錄或在特定系統間信息交換的安全。
總之,從網絡安全的角度來考慮,防火墻是兩個網絡之間的成分集合,它們的合作應具有的性質是:從里向外或外向里的流量都必須通過防火墻;只有符合本地安全策略放行流量才能通過防火墻;防火墻本身是不能穿透的。
2.2.2設置防火墻的必要性
(1)集中化的安全管理,強化安全策略。由于Internet上每天都有上百萬人在收集信息和交換信息,不可避免地會出現個別品德不良、違反規則的人,防火墻是為了防止不良現象發生的“交通警察”,它執行站點的安全策略,僅僅容許“認可的”和符合規則的請求通過。
(2)網絡使用進行統計。因為防火墻是所有進出信息必須的通路,所以防火墻非常適用于收集關于系統和網絡使用和誤用的信息。作為訪問的惟一點,防火墻能在被保護的網絡和外部網絡之間進行記錄,對網絡存取訪問進行統計。
(3)保護那些易受攻擊的服務。防火墻能夠用來隔開網絡中一個網段與另一個網段的連接。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
(4)實施安全策略。防火墻是一個安全策略的檢查站,控制對特殊站點的訪問。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕。
(5)增強保密性。用來屏蔽有關網站系統的DNS信息。因此,網站系統名字和IP地址都不要提供到Internet上。
3 防火墻在校園網中的應用
3.1校園網簡介
隨著因特網的發展,校園網已迅速的普及,不可避免的出現校園網的安全性問題,防火墻在校園網中也得到廣泛的應用。某所學校建立一校園網,校園網主要是給在校師生提供服務。其主要架構是:Internet網首先接入到華為交換機2403,然后通過Juniper NetScreen防火墻連入到Cisco路由器,最后分布到校園本部以及分校,同時連接Web與郵件兩服務器。在此校園網中日用戶訪問量最高峰達到幾十萬個連接,總出口300M,提供游戲、電影、課件下載,以及bbs論壇、Web訪問等服務。通過一臺Juniper NetScreen防火墻提供防護。
3.2防火墻的設置
要求Juniper NetScreen防火墻能夠實現的功能:①工作在防火墻透明模式;②實現MIP功能;③啟用IPSec VPN。
3.2.1防火墻透明模式配置
學校要求防火墻工作在透明模式下。當Juniper NetScreen防火墻接口處于“透明”模式時,防火墻將過濾通過的IP數據包,但不會修改IP數據包中任何信息。透明模式是一種保護內部網絡從不可信源接收信息流的方便手段。使用模式有以下優點:
(1)不需要修改現有網絡規劃及配置。
(2)不需要實施地址翻譯。
(3)可以允許動態路由協議、Vlan trunking的數據包通過。
3.2.2MIP功能的配置
為了實現互聯網用戶訪問對外提供網絡服務的服務器(服務器使用私有IP地址),可在Internet出口的防火墻上建立公網IP地址與服務器私有IP地址之間的一對一映射(MIP),并通過策略實現對服務器所提供服務進行訪問控制。
3.2.3IPSec VPN配置
學校要求防火墻支持IPSec VPN,應用站點間(Site-to Site)的VPN,創建的站點兩端都具備靜態IP公網地址。
當創建站點兩端都具備靜態IP的VPN應用中,位于兩端的防火墻上的VIP配置基本相同,不同之處是在VPNgateway部分的VPN網關指向IP不同,其它部分相同。
4 結語
防火墻與IDS 結合是將動態安全技術的實時、快速、自適應的特點變成靜態技術的有效補充, 將靜態技術的包過濾、信任檢查、訪問控制成為動態技術的有力保障。二者結合使用可以很好的將對方的弱點淡化, 而將自己的優點補充上去, 使防御系統成為一個更加堅固的圍墻。在未來的網絡安全技術領域中, 將動態技術與靜態技術的互動使用, 將有很大的發展市場和空間。
參考文獻:
[1] 張興東, 胡華平, 況曉輝, 等.防火墻與入侵檢測系統聯動的研究與實現[ J] .計算機工程與科學,2004,26(4).
[2] 高光勇, 遲樂軍, 王艷春.聯動防火墻的主機入侵檢測系統的研究[J].微計算機信息,2005,21(7).
第5篇:基于某企業的網絡安全策略范文
關鍵詞:網絡 安全策略 數據 訪問
0 引言
隨著我國經濟與科技的不斷發展,企業數字化管理作為為網絡時代的產物,已經成為企業管理發展的方向。隨著各企業內部網絡規模的急劇膨脹,網絡用戶的快速增長,企業內部網安全問題已經成為當前各企業網絡建設中不可忽視的首要問題。
1 目前企業內部網絡的安全現狀
1.1 操作系統的安全問題 目前,被廣泛使用的網絡操作系統主要是UNIX、WINDOWS 和Linux等,這些操作系統都存在各種各樣的安全問題,許多新型計算機病毒都是利用操作系統的漏洞進行傳染。如不對操作系統進行及時更新,彌補各種漏洞,計算機即使安裝了防毒軟件也會反復感染。
1.2 病毒的破壞 計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響企業內部網絡安全的主要因素。
1.3 黑客 在《中華人民共和國公共安全行業標準》中,黑客的定義是:“對計算機系統進行非授權訪問的人員”,這也是目前大多數人對黑客的理解。大多數黑客不會自己分析操作系統或應用軟件的源代碼、找出漏洞、編寫工具,他們只是能夠靈活運用手中掌握的十分豐富的現成工具。黑客入侵的常用手法有:端口監聽、端口掃描、口令入侵、JAVA炸彈等。
1.4 口令入侵 為管理方便,一般來說,企業為每個上網的領導和工人分配一個賬號,并根據其應用范圍,分配相應的權限。某些人員為了訪問不屬于自己應該訪問的內容,用不正常的手段竊取別人的口令,造成了企業管理的混亂及企業重要文件的外流。
1.5 非正常途徑訪問或內部破壞 在企業中,有人為了報復而銷毀或篡改人事檔案記錄;有人改變程序設置,引起系統混亂;有人越權處理公務,為了個人私利竊取機密數據。這些安全隱患都嚴重地破壞了學校的管理秩序。
1.6 設備受損 設備破壞主要是指對網絡硬件設備的破壞。企業內部網絡涉及的設備分布在整個企業內,管理起來非常困難,任何安置在不能上鎖的地方的設施,都有可能被人有意或無意地損壞,這樣會造成企業內部網絡全部或部分癱瘓的嚴重后果。
1.7 敏感服務器使用的受限 由于財務等敏感服務器上存有大量重要數據庫和文件,因擔心安全性問題,不得不與企業內部網絡物理隔離,使得應用軟件不能發揮真正的作用。
1.8 技術之外的問題 企業內部網是一個比較特殊的網絡環境。隨著企業內部網絡規模的擴大,目前,大多數企業基本實現了科室辦公上網。由于上網地點的擴大,使得網絡監管更是難上加難。由于企業中部分員工對網絡知識很感興趣,而且具有相當高的專業知識水平,有的員工上學時所學的專業甚至就是網絡安全,攻擊企業內部網就成了他們表現才華,甚至是泄私憤的首選。其次,許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。企業的規章制度還不夠完善,還不能夠有效的規范和約束領導和員工的上網行為。
2 企業內部網絡安全策略
安全策略是指一個特定環境中,為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括嚴格的管理、先進的技術和相關的法律。安全策略決定采用何種方式和手段來保證網絡系統的安全。即首先要清楚自己需要什么,制定恰當的滿足需求的策略方案,然后才考慮技術上如何實施。
2.1 物理安全策略 保證計算機網絡系統各種設備的物理安全是整個網絡安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統、web 服務器、打印機等硬件實體和通信鏈路層網絡設備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面:①環境安全。對系統所在環境的安全保護, 確保計算機系統有一個良好的電磁兼容工作環境。②設備安全。包括設備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。
2.2 訪問控制策略 訪問控制的主要任務是保證網絡資源不被非法使用和訪問, 它是保證網絡安全最重要的核心策略之一。主要有以下七種方式:①入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制, 它控制哪些用戶能夠登錄到服務器并獲取網絡資源;控制準許用戶入網的時間和準許他們在哪臺工作站入網。②網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。③目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。④屬性安全控制。當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。⑤網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。⑥網絡監測和鎖定控制。網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。⑦網絡端口和節點的安全控制。端口是虛擬的“門戶”,信息通過它進入和駐留于計算機中,網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。
2.3 防火墻控制策略 防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。它是位于兩個網絡之間執行控制策略的系統(可能是軟件或硬件或者是兩者并用),用來限制外部非法(未經許可)用戶訪問內部網絡資源,通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入,防止偷竊或起破壞作用的惡意攻擊。
2.4 信息加密策略 信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。信息加密過程是由各種加密算法來具體實施。多數情況下,信息加密是保證信息機密性的唯一方法。
2.5 備份和鏡像技術 用備份和鏡像技術提高完整性。備份技術指對需要保護的數據在另一個地方制作一個備份,一旦失去原件還能使用數據備份。鏡像技術是指兩個設備執行完全相同的工作,若其中一個出現故障,另一個仍可以繼續工作。
2.6 網絡安全管理規范 網絡安全技術的解決方案必須依賴安全管理規范的支持,在網絡安全中,除采用技術措施之外,加強網絡的安全管理,制定有關的規章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入辦公室管理制度; 制定網絡系統的維護制度和應急措施等
2.7 網絡入侵檢測技術 試圖破壞信息系統的完整性、機密性、可信性的任何網絡活動,都稱為網絡入侵。入侵檢測(IntrusionDeteetion)的定義為:識別針對計算機或網絡資源的惡意企圖和行為,并對此做出反應的過程。它不僅檢測來自外部的入侵行為,同時也檢測來自內部用戶的未授權活動。入侵檢測應用了以攻為守的策略,它所提供的數據不僅有可能用來發現合法用戶濫用特權,還有可能在一定程度上提供追究入侵者法律責任的有效證據。
第6篇:基于某企業的網絡安全策略范文
網絡安全技術概述
常永亮
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標準的面向所有用戶的技術,其資源通過網絡共享,因此,資源共享和信息安全就成了一對矛盾。
【關鍵詞】網絡攻擊、安全預防、風險分析、網絡安全
1.引言
隨著網絡的迅速發展,網絡的安全性顯得非常重要,這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息,通過網絡非法進入遠程主機,獲取儲存在主機上的機密信息,或占用網絡資源,阻止其他用戶使用等。然而,網絡作為開放的信息系統必然存在眾多潛在的安全隱患,因此,網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。
一般來說,計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。隨著無線互聯網越來越普及的應用,互聯網的安全性又很難在無線網上實施,因此,特別在構建內部網時,若忽略了無線設備的安全性則是一種重大失誤。
2.網絡攻擊及其防護技術
計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護,不因偶然或惡意的原因遭到破壞、泄露,能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全。
網絡的安全主要來自黑客和病毒攻擊,各類攻擊給網絡造成的損失已越來越大了,有的損失對一些企業已是致命的,僥幸心里已經被提高防御取代,下面就攻擊和防御作簡要介紹。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統攻擊
此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺,對方可以直接控制你的機器。
2.1.2緩沖區溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數,可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,從而破壞程序的堆棧,使程序轉而執行其它的指令,如果這些指令是放在有root權限的內存中,那么一旦這些指令得到了運行,黑客就以root權限控制了系統,這樣系統的控制權就會被奪取,此類攻擊在LINUX系統常發生。在Windows系統下用戶權限本身設定不嚴謹,因此應比在LINUX系統下更易實現。
2.1.3欺騙類攻擊
網絡協議本身的一些缺陷可以被利用,使黑客可以對網絡進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
2.1.4拒絕服務攻擊
通過網絡,也可使正在使用的計算機出現無響應、死機的現象,這就是拒絕服務攻擊,簡稱DoS(DenialofService)。
分布式拒絕服務攻擊采用了一種比較特別的體系結構,從許多分布的主機同時攻擊一個目標,從而導致目標癱瘓,簡稱DDoS(DistributedDenialofService)。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的,在設計和實現上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術、認證的攻擊技術等。
2.1.6利用病毒攻擊
病毒是黑客實施網絡攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性,而且在網絡中其危害更加可怕,目前可通過網絡進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
2.1.8網絡偵聽
網絡偵聽為主機工作模式,主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具,就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。
等等。現在的網絡攻擊手段可以說日新月異,隨著計算機網絡的發展,其開放性、共享性、互連程度擴大,網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進,操作系統對本身漏洞的更新補救越來越及時。現在企業更加注意企業內部網的安全,個人越來越注意自己計算機的安全。可以說:只要有計算機和網絡的地方肯定是把網絡安全放到第一位。
網絡有其脆弱性,并會受到一些威脅。因而建立一個系統時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟,以防止所有對網絡安全構成威脅的事件發生。因此,嚴密的網絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網絡風險分析在系統可行性分析階段就應進行了。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善,在建立安全防護時,風險分析還是會發現一些潛在的安全問題,從整體性、協同性方面構建一個信息安全的網絡環境。可以說網絡的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障,用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。
2.2.2虛擬專用網
虛擬專用網(VPN)的實現技術和方式有很多,但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道,利用加密技術對經過隧道傳輸的數據進行加密,以保證數據的私有性和安全性。此外,還需要防止非法用戶對網絡資源或私有信息的訪問。
2.2.3虛擬局域網
選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息,但VLAN技術的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(PVLAN)技術。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統或網絡系統進行檢查,發現其中存在的薄弱環節和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查;主動式策略基于網絡檢測,通過執行一些腳本文件對系統進行攻擊,并記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火墻的延伸,并能有效地結合其他網絡安全產品的性能,保證計算機系統或網絡系統的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統將網絡上傳輸的數據實時捕獲下來,檢查是否有黑客入侵或可疑活動的發生,一旦發現有黑客入侵或可疑活動的發生,系統將做出實時報警響應。
2.2.6密碼保護
加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用,但隨著計算機性能的飛速發展,破解部分公開算法的加密方法已變得越來越可能。因此,現在對加密算法的保密越來越重要,幾個加密方法的協同應用會使信息保密性大大加強。
2.2.7安全策略
安全策略可以認為是一系列政策的集合,用來規范對組織資源的管理、保護以及分配,已達到最終安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8網絡管理員
網絡管理員在防御網絡攻擊方面也是非常重要的,雖然在構建系統時一些防御措施已經通過各種測試,但上面無論哪一條防御措施都有其局限性,只有高素質的網絡管理員和整個網絡安全系統協同防御,才能起到最好的效果。
以上大概講了幾個網絡安全的策略,網絡安全基本要素是保密性、完整性和可用,但網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險,浪費大量的資金,而且可能招致更大的安全威脅。一個好的安全網絡應該是由主機系統、應用和服務、路由、網絡、網絡管理及管理制度等諸多因數決定的,但所有的防御措施對信息安全管理者提出了挑戰,他們必須分析采用哪種產品能夠適應長期的網絡安全策略的要求,而且必須清楚何種策略能夠保證網絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。
隨著信息系統工程開發量越來越大,致使系統漏洞也成正比的增加,受到攻擊的次數也在增多。相對滯后的補救次數和成本也在增加,黑客與反黑客的斗爭已經成為一場沒有結果的斗爭。
3.結論
網絡安全的管理與分析現已被提到前所未有的高度,現在IPv6已開始應用,它設計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高,但并不是不存在安全問題了。在WindowsVista的開發過程中,安全被提到了一個前所未有的重視高度,但微軟相關負責人還是表示,"即使再安全的操作系統,安全問題也會一直存在"。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性,為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。
參考文獻
[1]《網絡綜合布線系統與施工技術》黎連業著
第7篇:基于某企業的網絡安全策略范文
關鍵詞:辦公網絡;安全策略;技術實現
0引言
計算機技術和信息技術快速發展背景下,以其獨特的優勢被廣泛應用在現代辦公中,促使現代辦公方式不斷改革深化,大大提升了辦公效率和質量。由于辦公并不需要不同職務之間的面對面交流,僅僅依靠網絡即可實現通信,大范圍的實現信息資源的傳播和共享,可以有效降低信息傳播時間。同時,辦公領域得到了擴大,實現各種類型信息內容的傳輸,信息傳遞與共享不再局限于文字,進一步涵蓋了圖片、音頻和視頻內容,較之傳統辦公方式而言更加便捷、完整。但是,由于辦公網絡自身開放性特點,其中存在的安全隱患在不同程度上威脅著辦公信息安全,還需要繼續深化辦公網絡安全防護技術的研究,加強對其研究十分關鍵,對于后續工作開展具有一定參考價值。
1辦公網絡的結構和特點
1.1辦公網絡的結構
辦公網絡主要是由于內部網絡和外部網絡構成,其中外部網絡主要是用于同外部用戶溝通和交流,實現數據的采集和整理,內部網絡則是用于企業內部各個部門或是上下級之間的信息交互,實現更加高效的數據處理[1]。
1.2辦公網絡的特點
辦公網絡主要是應用在文件和打印服務共享、信息管理系統和辦公自動化系統中,較之公用網絡而言,特點十分鮮明,包括以下幾個方面:(1)網絡應用多。辦公網絡中不僅包括公眾網絡中的應用,同時還包括一些專項的應用程序,包括MIS和OA等,這就對辦公網絡的系統管理人員和工作人員專業素質水平提出了更高層次的要求。(2)用戶類型多。辦公網絡中的用戶數量沒有公眾網絡用戶數量多,但是由于辦公網絡應用系統多,所以系統內部關系十分復雜,不同的用戶擁有不同的權限。(3)網絡結構復雜。辦公網絡主要是根據部門和工作流程來劃分邏輯子網,不同的子網之間存在不同的控制策略,這就需要充分把握網絡物理結構和邏輯結構。(4)系統安全性高。辦公網絡其中傳輸的信息資源私密性更高,其中包括很多商業機密文件和重要的管理決策,所以為了保證信息安全,我們需要選擇合理有效手段進行安全防護[2]。
2辦公網絡中的安全威脅
辦公網絡中存在的安全隱患較為多樣、復雜,其中主要的安全隱患主要可以分為以下三種,即系統本身安全漏洞,出現故障問題埋下的安全隱患;網絡防護措施不合理,為黑客帶來了可趁之機;網絡使用者操作中不當,埋下安全隱患。
2.1系統安全漏洞
計算機在系統編程中,程序員的一點小失誤可能導致后續計算機系統運行中出現安全隱患,這些漏洞盡管平時在計算機系統中并無明顯的影響,但是如果用戶使用相關功能時,將導致功能無法使用或是系統崩潰等等,造成數據資料被損壞。需要注意的是,漏洞是一種普遍存在的現象,漏洞本身并不會為用戶帶來損失,而是某些黑客或不法分子利用漏洞來竊取用戶私密信息,攻擊計算機,致使計算機系統無法正常使用,帶來十分嚴重的經濟損失[3]。
2.2計算機病毒
計算機病毒是一種破壞計算機系統穩定性的攻擊手段,潛藏在計算機程序和軟件中,在被執行中操作,從而影響計算機正常性能發揮的程序。一般情況下,計算機病毒通過復制、傳輸信息和運行程度來傳播病毒,在使用中,硬盤和軟盤都可能造成病毒傳播。計算機病毒對于計算機的危害程度存在不同的差異,影響電腦運行速度,影響辦公效率,嚴重情況下則是造成重要數據文件損壞,計算機系統崩潰和硬件損壞,帶來嚴重的損失。在現代辦公環境中,計算機病毒更多的是通過網絡傳播,為網絡信息埋下了一系列安全隱患[4]。
2.3黑客攻擊
黑客攻擊是當前危害計算機網絡安全的一個主要問題,主要是指熟練計算機操作的黑客,通過高水平的計算機技術應用在不良用途上,針對計算機系統漏洞,有針對性的進行攻擊,致使網絡癱瘓和系統崩潰,無法正常使用,重要數據信息丟失。此類攻擊對于網絡正常運行帶來的影響較大,將嚴重破壞信息有效性;也可能對網絡不產生直接的影響,直接竊取重要數據信息。這種惡意攻擊對于計算機網絡安全帶來的危害較大,致使對用戶造成了不同程度上的損失。
2.4網絡安全管理力度不足
網絡是一種更加便捷的溝通平臺,由于計算機網絡開放性特點,致使網絡中潛在一系列安全隱患,為了加強網絡安全性,應該進一步加強對網絡安全管理。基于此,提升網絡安全認知水平,對網絡工作有一個全方位的了解,明確網絡安全重要性,及時清理網絡病毒和垃圾。此外,網絡體制不健全,網絡安全技術不足,導致很多網絡病毒和系統漏洞產生,為辦公網絡帶來了嚴重的威脅。
3網絡安全策略和實現技術
3.1系統安全
應該加強系統安全檢測力度。系統安全是辦公網絡安全的基礎所在,維護系統安全,主要是針對用戶的計算機系統而言。計算機系統并非是十分完美的,其中潛藏的系統漏洞在無形中威脅著用戶計算機系統安全,加強對系統安全的檢測力度是一種行之有效的方式。一般情況下,對計算機系統的安全檢測,主要是分為動態檢測和靜態檢測兩種方法,其中靜態分析技術是指對計算機程序和源代碼檢測,尋求計算機系統中存在的安全隱患,并予以修復和完善[5]。在衡量系統安全時,漏報率和誤報率是主要的衡量指標,這兩個指標之間存在密切的聯系,如果一個指標降低,另一個指標將隨之升高。這種靜態指標在實際應用中,并不需要軟件運行檢測,使用更為便捷和便利,但是對于計算機程序重要性無法做出準確分析,最終得到的結果可能同實際情況存在一定差距。動態檢測技術則是指優化軟件運行環境,修改內存大小,程序保密性得到了顯著的提升,以此來實現計算機系統安全維護。兩種方法在優劣對比中,動態更為合理,可以有效保證網絡安全。
3.2做好漏洞防護
漏洞的形成是受到多方因素影響,選擇的保護措施同樣存在差異,在防止格式化字符串的漏洞中,一般情況下主要是采用格式量化方法,可以有效的降低字符串被攻擊的幾率,提升漏洞檢測效果。防止競爭條件漏洞,從競爭代碼進行分析,通過操作代碼實現原子化操作,鎖定代碼,降低對軟件運行帶來的影響。
3.3網絡安全
采用信息加密技術,從數據終端和節點加密處理,維護信息安全和數據傳輸安全;節點加密則是對數據傳輸通道的保護,從源節點到節點之間傳輸的數據安全。同時,還應該加強賬號信息保護,尤其是網上銀行賬號和電子郵件賬號,加固賬號安全性是必然選擇。基于此,可以提升密碼的而復雜程度,通過數字、字母和符號的組合,提升密碼破譯難度;加大安全技術管理,轉變傳統網絡安全認知,明確網絡安全重要性,做好網絡安全防范工作,同時對于違法犯罪行為加大懲處力度,營造良好的網絡環境。
4結論
綜上所述,信息時代背景下,網絡信息安全是一個不可忽視的問題,同人們的日常生活存在密切聯系。在辦公網絡中,為了維護辦公信息安全,降低辦公網絡風險,應該注重架起網絡安全和使用安全,做好漏洞防護和信息加密工作,以降低辦公網絡風險。
參考文獻:
[1]李結松.辦公網絡安全策略研究及技術實現[J].計算機與現代化,2012.
[2]陳肖飛.高校辦公網絡數據安全問題與策略研究[J].教育信息化(學術版),2016.
[3]丁美榮,魏海亮.基于B/S和C/S混合模式的辦公自動化系統的網絡安全策略研究[J].計算機與現代化,2014.
[4]張秋余,袁占亭,馮濤等.辦公自動化系統的設計與安全策略研究[J].蘭州理工大學學報,2014.
第8篇:基于某企業的網絡安全策略范文
一、背景分析
提起網絡信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網絡安全防護建設中,普遍采用傳統的內網邊界安全防護技術,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術,對網絡入侵進行監控和防護,抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基于網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。一方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅卻是來自于內部網絡用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統后,未采取任何有效防護措施就連接到危險的網絡環境中,特別是Internet;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡;桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等等,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后,用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,以太網接入等等網絡接入方式,在外網和企業內網之間建立一個安全通道。
另一個傳統網絡訪問控制問題來自企業網絡內部,尤其對于大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮,目前對于企業網管很難準確的控制企業網絡的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網絡應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內部網絡,進而造成內部網絡中敏感數據的泄密或損毀。
5.企業網絡入侵
現階段黑客攻擊技術細分下來共有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。
對于采取各種傳統安全防護措施的企業內網來說,都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網絡入侵帶入企業網絡。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外,很有可能被黑客攻陷或感染網絡病毒。同時,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態,終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內部網絡的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術上的原因,殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
3.全面的網絡準入控制
為了解決傳統的外網用戶接入企業網絡給企業網絡帶來的安全隱患,以及企業網絡安全管理人員無法控制內部員工網絡行為給企業網絡帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網絡接入方式接入企業網絡的訪問控制問題,同時對傳統的網絡邊界訪問控制沒有解決的網絡接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術進行全面的實現準入控制。當外網用戶接入企業網絡時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對于符合的外網訪問則放行。一個全面的網絡準入檢測系統。
第9篇:基于某企業的網絡安全策略范文
關鍵詞:網絡;安全;數據包;防火墻;入侵防御;防病毒網關
網絡安全技術的現狀
目前我們使用各種網絡安全技術保護計算機網絡,以降低惡意軟件和各種攻擊給企業帶來的風險。使用的網絡安全技術大致可以分為四類:
1. 數據包層保護:如路由器的訪問控制列表和無狀態防火墻;
2. 會話層保護:如狀態檢測防火墻;
3. 應用層保護:如防火墻和入侵防御系統;
4. 文件層保護:如防病毒網關系統。
在表-1中對四類網絡安全技術進行了比較,并且評估各種技術涉及的協議,安全機制,以及這些技術對網絡性能的影響。
表-1 網絡安全技術的比較
數據包過濾保護
數據包過濾保護是目前應用最廣的控制網絡訪問的一種方式。這種技術的原理很簡單:通過比較數據包頭的基本信息來確定數據包是否允許通過。Cisco IOS的訪問控制列表(ACL)是應用最廣泛的一種包過濾工具。Linux操作系統中的IPChains也是一種常用的包過濾工具。
對于某些應用協議,在傳輸數據時,需要服務器和客戶端協商一個隨機的端口。例如FTP,RPC和H323.包過濾設備不能保護此類協議。為了保證此類應用的數據包通過包過濾設備,需要在訪問控制列表上打開一個比較大的"漏洞",這樣也就消弱了包過濾系統的保護作用。
狀態檢測防火墻
會話層的保護技術通過追蹤客戶端和服務器之間的會話狀態來控制雙向的數據流。狀態檢測防火墻記錄會話狀態信息,而且安全策略是也是對會話狀態的允許或拒絕。對于基于面向連接的TCP協議應用程序,狀態檢測防火墻提供更豐富的安全策略:
1. 直接丟棄來自客戶端/服務器的數據包;
2. 向客戶端,或服務器,或者雙方發送RST包,從而關閉整個TCP連接;
3. 提供基本的QoS功能。
狀態檢測防火墻能夠監測到客戶端和服務器之間的動態端口的協商,從而能夠控制動態協議的數據流。 例如,對于FTP協議,狀態檢測防火墻通過監測控制會話中的協商動態端口的命令,從而控制它的數據會話的數據傳輸。
應用層保護
為了實現應用層保護,需要兩個重要的技術:應用層協議分析器和內容匹配技術。應用層保護技術通過應用層協議分析器分析數據流的,從而過濾掉應用。目前,安全設備廠商提供多種安全產品提供應用層保護技術,其中部署比較廣泛的產品有:入侵防御系統、Proxy防火墻。
1.入侵檢測
入侵檢測技術是一種主動保護自己免受黑客攻擊的一種新型網絡安全技術。入侵檢測技術不但可以幫助系統對付網絡攻擊,而且擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全結構的完整性。它從計算機網絡系統中的苦干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下能對網絡監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。此外,它還可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,是網絡安全中極其重要的部分。
入侵防御系統根據網絡流量的IP地址,網絡協議和應用層的分析和檢測決定是否允許或拒絕網絡訪問。入侵防御系統接受數據包后,需要重組數據包,分析應用協議的命令和原語,然后發現可疑的網絡攻擊的特征碼。如果監測到網絡攻擊的特征碼,則執行預定策略的動作。這些動作可以是入侵日志,中斷連接,或者禁止特定的應用協議的某些行為(例如,禁止使用MSN傳輸文件)。
2. 防火墻
防火墻也叫應用層網關防火墻。這種防火墻通過一種技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后,就好像是 源于防火墻外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是服務器技術。
防火墻在網絡中客戶端訪問網絡服務屏蔽客戶端和服務器之間的直接通信。首先客戶端和防火墻建立連接,并且防火墻和遠程服務器建立連接。然后防火墻轉發雙方發送的數據。
防火墻和入侵防御系統都需要具有分片重組和TCP包重組功能,并且能夠丟棄異常網絡層數據包。這些異常的數據包可能被用于隱藏網絡入侵。應用層安全產品具有理解應用協議的命令和原語的能力,這能夠使應用層安全產品監測到異常的應用層內容。然而這些產品卻受限于它們支持的應用層協議。對于常用的防火墻,僅支持一般的互聯網協議,如HTTP,FTP,EMAIL,TELNET,RLOGIN等。入侵防御系統支持更廣泛的應用協議。
防火墻和入侵防御系統通過分析應用協議,可以監測某些病毒和木馬。例如,入侵防御系統通過分析EMAIL中的主體,附件文件名,以及附件的文件類型來監測某些已知的病毒。但是應用層安全保護不能進行文件層面,更深入的監測。文件層的安全監測可以發現更多的惡意代碼。
現今有許多應用程序是以網頁應用服務(Web Application)方式呈現的,所使用的HTTP端口。此外,許多軟件開發人員已經懂得在開發應用程序時透過這些端口,以規避狀態檢測防火墻的阻擋。狀態檢測防火墻把透過這兩個端口傳輸的服務?當成WWW服務,因此無法?解并控制在網絡上使用的應用程序。
- 上一篇:蒙古族的民俗文化范文
- 下一篇:固定資產管理的分類范文
