公务员期刊网 精选范文 企业网络安全策略范文

企业网络安全策略精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络安全策略主题范文,仅供参考,欢迎阅读并收藏。

企业网络安全策略

第1篇:企业网络安全策略范文

关键词:企业网络完全;控制策略;措施

中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2012) 12-0067-01

计算机网络的发展,给人们的生活和工作都带来非常大的帮助,有效提升了工作效率,促进了企业的发展速度,促进了我国社会经济的快速发展。但是,由于计算机网络的公开性和自由性,造成了网络安全问题也日渐严重,大量木马及病毒的泛滥,给企业带来了非常大的经济损失,造成了严重的社会影响。因此,加强安全问题的处理工作,成为人们亟待需要解决的问题。

一、网络安全问题的原因分析

网络安全问题的出现,主要是由于企业网络管理意识淡薄,网络管理工作不到位,从而导致病毒木马程序的侵入,从而给企业带来较为严重的经济损失。随着我国社会经济的快速发展,以及网络技术的不断完善,企业的发展越来越离不开网络技术的推动,因此,网络风险和安全问题也成为了阻碍企业发展的重要问题之一。

(一)企业网络管理意识的淡薄

对于企业来说,网络技术已经成为了企业发展的保障,也是企业发展必不可少的重要手段,但是,就我国多数企业来说,并不重视网络管理工作,只强调网络技术的应用,却缺乏良好的管理手段,最终造成了网络安全问题的发生。目前,网络技术已经涉及到企业的各个运作环节,从技术管理、技术监督、电子商务、档案管理以及财务管理工作,都需要由网络技术进行配合,自动化的办公条件使得企业对网络技术的依赖性也越来越高。但是,企业仅仅重视对网络技术的使用,却步重视对网络技术的管理,网络安全管理资金的缺乏,导致网络安全防御系统不完善,网络抵抗能力不足,使得网络安全问题发生频率大大增加,使企业蒙受重大经济损失。

(二)网络技术人员的能力问题

网络技术人员是维持企业网络正常运行的重要因素,如果网络技术人员个人能力素质存在一定的问题,将严重影响到企业网络管理工作的正常开展,导致网络安全防御工作的严重缺失。就目前我国企业网络管理人员来说,由于企业对网络管理工作的不重视,导致网络管理人员的薪资待遇较低,网络管理人员的工作积极性不足,网络管理人员的个人能力素质也有着非常大的不足,使得网络安全监督力度不够,网络安全防御系统脆弱,在面对病毒及木马程序入侵时很难开展有效的补救措施,从而造成严重的后果。

(三)其他问题

随着我国社会经济的不断发展,行业间的竞争也日渐激烈,部分企业为实现自身经济效益的不断增长,往往会采用较为恶劣的竞争手段,对竞争企业进行攻击,其中,企业网络攻击就是较为常用的打击手段。企业往往雇佣网络黑客对竞争对手进行网络攻击,利用木马和病毒程序进行网络入侵,对企业内部的相关数据进行窃取、复制或删除,导致竞争对手蒙受重大经济损失。由于企业缺乏网络安全管理工作,造成企业网络安全性能的大大降低,使得网络黑客有机可乘,给企业发展造成严重影响。

二、提升企业网络安全的相关措施

未来企业发展需要网络技术的支持,未来企业经济取决于企业网络技术的发展,因此,我们有必要加强企业网络管理建设,提高网络安全性能,提升企业网络安全防御能力,避免网络安全问题的发生,降低企业的网络运行风险。以下,是笔者结合多年管理经验所提出的几点提升企业网络安全管理水平的相关措施:

(一)规范企业网络行为

企业网络环境的入侵,主要是由于相关网络技术操作不当所引起的,因此,合理的规范网络行为,能够有效避免病毒和木马程序对企业网络的入侵,有效降低企业网络安全问题发生的频率。网络行为规范包括了网络设备的维护,网络数据保护以及网络操作的约束,要约束企业员工的网页操作,杜绝员工对陌生网页和危险网页的浏览,避免木马文件和病毒文件的感染,这一问题能够通过添加网络安全软件来进行有效控制,避免相关网页的浏览及开启,提升企业网络的安全性能;网络设备维护就是企业网络管理人员要对企业网络进行定期的检查和维护,针对网络漏洞进行及时的修复,提升网络安全性,从而杜绝病毒文件的侵入;网络数据保护,就是对企业重要网络文件进行加密工作,做好企业网络防火墙监督和设置,确保良好的网络运行环境,增高企业安全性能。

(二)加强网络管理人才的引入

良好的网络环境,需要网络管理人才的支持。首先,企业要正确认识网络安全问题对企业的影响,网络安全管理工作的重要性,从而加强网络安全管理力度,适当提升网络管理人员岗位薪资待遇,提升网络管理人员的工作积极性。同时,企业要加强对网络管理人才的引入工作,提升网络管理团队的整体业务能力,有效保证企业网络的安全性能;企业要加强网络管理人才的培训力度,帮助网络管理人员及时了解网络发展动向,了解相关网络病毒和网络木马,并及时掌握有效的预防措施,提高企业网络安全性能,有效避免企业经济方面的损失。

三、总结

企业网络安全管理工作对于企业的发展具有非常重要的意义,能够有效减少企业网络运行风险,避免企业相关重要文件的流失,促进企业网络环境的有效建立。因此,企业应该加强网络安全管理工作,积极进行网络安全管理队伍建设,提高网络管理人员的整体工作能力,避免网络安全问题的发生,避免网络问题对企业经济效益的影响,促进企业健康稳定的发展。

参考文献:

[1]周朝萱.企业网络安全管理与防护策略探讨[J].电脑与电信,2008,8

第2篇:企业网络安全策略范文

关键词:中小企业;信息安全;防火墙;VPN

1背景目前

我国很多中小企业都开始广泛使用信息化手段提升自身的竞争力,借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,帮助企业更快的了解市场行情,促进企业发展。但与此同时信息安全问题也日益突出,每年企业因信息系统的安全问题而遭受经济损失难以估量。本文针对太仓中小企业网络信息安全现状进行深入调研,走访企业了解企业网络信息安全的配置情况,可能存在的问题,然后根据现有的网络安全技术和手段帮助企业解决问题,以满足企业需求、投入资金少、专业技术管理人员投入少为需求给出解决策略,避免因信息安全问题造成的经济损失。

2中小企业网络信息安全现状研究

经调研分析,目前中小企业大致可以分为两类,一类是国内企业,一类是外企也就是总部在国外,国内有分公司或者工厂。总的来说,所有的中小企业都有自己的计算机网络、典型应用系统如办公自动化系统、信息查询系统、web应用、邮件服务、财务和人事系统等。根据中小企业计算机网络应用特点,一般需要保证数据具有实时性、机密性、安全性、完整性、可用性和不可抵赖性。太仓中小企业众多,光德资企业就有200多家。企业的产品信息、业务数据、销售订单都需要利用信息化系统进行处理,有的甚至需要大数据平台分析处理,那么信息系统的安全性也是尤为突出的一个问题。对太仓中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否适合时代新技术,健康良好快速发展的关键因素之一。太仓众多外企总部都在国外,因此总公司和分公司之间需要经常传输大量的数据,其中包括很多重要甚至机密的数据,对于数据传输的保密性、完整性要求更高。针对这些特点目前中小型企业网络存在的主要安全问题有:

1)弱口令造成信息泄露威胁目前中小企业使用的各类系统较多,包括邮件、ERP、内部OA系统、电子商务系统等。面对众多的系统,员工要设置各类密码,非常麻烦,所以基本都会设置简单的便于记忆的弱口令,而且很多系统都设置相同的密码,长期不对密码进行更改,这样就很容易造成密码泄露,一旦成功入侵企业内部网络,就很容易窃取到密码非法进入系统获取资料。

2)网络病毒威胁中小型企业员工一般都是单独使用计算机,并且所有计算机都可以访问互联网,员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,如果不能正确安装使用防病毒软件,一台计算机感染病毒很快就传播到企业内部的多台计算机,甚至导致企业内部网络瘫痪。

3)企业主干网络没有划分VLAN中小型企业网络系统中,由于网络规模小,没有专业网络设计维护人员,为了省事和方便,很多企业的系统没有划分VLAN或者没有按要求细化,造成同一广播域中计算机数量过多,容易造成广播风暴和网络带宽严重浪费。

4)无线网络密码泄露无线网络的方便快捷使得它在企业中的应用快速发展起来,一般企业公司都在工作区域安装无线路由器等无线设备,方便公司员工及外来人员进入公司内部网络或者互联网。但由于无线密码设置简单,很容易被破译。互联网上的攻击者可以通过破译无线密码,轻松进入到公司内部网络,从而造成公司信息泄露。

5)移动终端安全隐患随着3G时代的到来,公司企业员工使用移动设备连接公司网络,因此由移动终端设备带来的安全隐患也不可避免。对于企业IT部门而言,移动设备已成为网络安全的一个致命弱点,因为通过电子邮件、彩信、蓝牙等方式传播的病毒很容易对企业内网安全造成危害。

3中小企业网络信息安全解决策略研究

中小企业对信息安全的需求主要是保障公司网站稳定运行、避免商业机密被窃取、企业信息被恶意篡改,因此网络安全解决方案的可用性是中小企业首要考虑的问题,只有网络安全设备正常可用,才能保护企业网络安全。其次,中小企业规模小,资金不足,网络安全管理人才缺乏,安全解决方案的易用性也是企业必须考虑的因素,使用简单有效的方法提高企业网络安全,减少企业在资金、专业管理人才的投入同时又能保障公司网络信息安全。移动互联、大数据、云计算环境下,针对企业各类服务和后台系统建议找专业网络公司托管,这类公司有专业的网关、防火墙、入侵检测系统,能够为企业各类服务提供安全保障,这样中小企业也无需在花大量的资金自己购买这类安全设备、专业人员培训等,大大减轻了公司服务器管理和维护压力。针对目前存在的安全问题,给出以下安全策略:

1)加强企业员工网络安全管理中小企业所有的系统口令包括员工设置登陆口令必须按照操作系统密码复杂性要求设置,至少8位字符,其中要包括字母大写、小写、数字、特殊符号中三种情况以上,由企业系统管理员或者网络管理员设置密码失效时间,规定在一定时间内必须更新密码,用简单切实可行的方法建立第一道安全大门。

2)加强企业网络入侵防范中小企业可以利用防火墙加强企业网络入侵防范,实现企业内外网隔离,主要设置网络边界出口链路带宽要求、数量等情况,IP地址规划对防火墙地址转换的需求。通过防火墙的认证机制,过滤访问网络数据。通过防火墙权限设置,严格审核外网用户的非法登录,定期查看防火墙日志文件,对有攻击性的网络访问行为进行警告。

3)VPN策略一般公司都需要连接互联网,特别是针对太仓德资外企来说与德国总部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用浏览器内建的安全通道封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。中小企业的远程访问环境变化较大,SSLVPN不需要安装客户端软件远程用户,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低,其次SSLVPN还提高了平台的灵活性方便扩展应用和增强性能,对中小企业而言可以降低使用成本,最有效地保护投资。

4)无线网络安全策略对于中小企业,建议选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能。在网络上,针对全部用户使用一致的授权规则,在不会被轻易损坏的位置部署硬件。正确全面使用WEP机制来实现保密目标与共享密钥认证功能,通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流。其次必须在每个客户端和每个AP上实现WEP才能起作用,不使用预先定义的WEP密钥,避免使用缺省选项。密钥由用户来设定,并且能够经常更改,最后要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。

5)移动终端安全策略为了避免移动终端携带病毒连接到企业内网中,确保移动终端如智能手机、ipad、移动笔记本安装杀毒软件、防火墙并定期对移动设备进行系统漏洞补丁和更新,定期扫描杀毒,特别不要随意打开、下载不确定的邮件、链接和彩信,以免中木马病毒。如果一旦中毒,应该立刻断网,进行杀毒或者更新系统,以免木马病毒通过无线网络传播企业内部网络。

4结束语

通过深入太仓中小企业调研,了解企业的网络信息安全现状及存在问题,结合网络信息安全建设方案,从物理安全、计算机硬件软件安全、网络体系结构安全、病毒防范、入侵检查、防火墙配置、信息系统运行维护等方面给出切实可行的网络信息安全建设方案,有针对性对太仓中小企业网络信息安全建设策略研究。参考文献:[1]冯运仿.基于防水墙系统的中小企业信息安全策略[J].安防科技,2006(9):57-58.

[2]周伟.电子商务信息安全技术浅议[J].农业网络信息,2007(4):95-96.

[3]项菲,林山.中小企业信息安全策略研究[J].电脑知识与技术,2009(5):325-326.

[4]赵向梅,杜晓春,侯亚玲.中小企业网络安全问题和策略研究[J].电子测试,2014(6):134-135.

[5]邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010(10):207-208.

[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2010(19):207-208.

[7]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006(5):62-63.

第3篇:企业网络安全策略范文

网络安全是一个较为系统的概念,网络安全解决方案的可靠性是建立在集成网络安全技术的基础之上,由于受到各种各样因素的影响而对众多供电企业的网络安全构成威胁。随着现代科学技术水平的不断提高,电网安全生产系统、电力调度监控系统以及用电营销系统等已广泛应用于供电企业中。应用信息网络安全技术可确保各应用系统稳定可靠运行,有效提高各系统数据传输的效率,实现数据集中和数据资源共享[1]。但是,网络信息中仍然存在较多安全问题,需要对其给予重视,提高计算机网络信息的安全性并加强防护对供电企业的正常运行以及发展均具有非常重要的意义。

1地级市供电企业信息网络存在的安全问题

1.1内网网络结构不健全

现今,地级市供电企业的内网结构未能达到企业内网网络信息化的良好状态,其结构还不够健全。地级市供电企业由于条件有限,对信息安全工作的投入并不多,使其存在较大的安全隐患,加上各项安全保障措施不到位,使得内网网络缺乏健全性。但是,随着营销、生产、财务等各个专业的信息系统的上线投运,使得整个信息管理模式中较为薄弱的网络安全系统成为最短板。

1.2职工安全防范意识不够

要使网络信息安全得到保障,就要提高地级市供电企业的工作人员的综合素质。目前,地级市供电企业的工作人员具有技术水平参差不齐、缺乏安全防范意识的特点。年轻职员的操作能力不够高,对突发事件的应对措施等相关知识没有足够的积累;而老龄职工又难以完全掌握网络信息安全,跟不上信息化的更新脚步,对新型网络技术的了解不全面等[2]。这也是地级市供电企业信息网络安全中存在的问题,应当给予重视。

1.3网络信息化机构漏洞较多

当前地级市供电企业的网络信息化管理还不是一个完整的体系,其中各类系统的数据存储、关键流程流转等都是非常重要的环节,不能出现任何问题,但由于安全管理的漏洞较多,所承载的网络平台的安全性也较低,使信息管理的发展不具平衡性。针对现状来看,计算机病毒、黑客攻击等所导致的关键保密数据外泄是对地级市供电企业最具威胁性的安全隐患。虽然应用各种计算机准入技术和可移动存储介质的加密技术可保障企业信息网络安全,但是还存在操作系统正版化程度严重不足的情况[3]。由于被广泛使用的XP操作系统在企业内已停止更新,导致操作系统的针对性攻击越来越频繁。一旦出现计算机网络病毒,就会在企业内部的计算机中进行大规模传播,从而为相对公开化的网络提供了机会,导致计算机系统遭到恶意破坏,甚至系统崩溃。不法分子就会趁机盗取企业的机密文件,对供电系统的相关数据进行篡改,毁灭性地攻击供电系统,严重时还会导致整个供电系统的大面积瘫痪。

2对地级市供电企业信息网络安全的防范措施

2.1加强对网络设备的管理

采用内外网物理隔离,在内网边界设置入侵监测系统;在内外网边界同时设置千兆硬件防火墙。对VLAN装置进行优化,对局域网合理分割安全区域;对于VLAN之间的信息交换进行严格规划,访问控制列表须详细规划,对VLAN的合法访问给予授权,对非法访问则进行隔离,同时还要运用VACL优化访问控制列表,使其安全性得到保障。入侵监测系统的配置可对利用常用端口的漏洞所实施的攻击以及病毒进行防范。

2.2加强对服务器的管理

专用业务服务器的访问权限较严格,其访问精度须达到“终端级别”;采用VACL隔离无需相互访问的服务器。仔细认真地整理和统计服务器中应用系统的使用对象及需开放的服务端口,并根据实际情况进行调整。逐一匹配IDS到开通的服务端口中,并对同一源地址、目的地址的连接次数进行限制,控制数据包的大小,监控对主机提供服务的端口,如果发现有攻击行为就会自动连接到防火墙模块。

2.3加强对终端设备的管理

设置北信源内网安全管理系统可对终端设备管理进行强化,从而保护内部资源与网络的安全。这个系统是由移动存储管理、文件保密管理、补丁管理和终端管理构成,终端管理系统可使桌面行为监管、准入控制、外设与接口管理、终端资产管理等功能得以实现。补丁管理系统是分析系统漏洞以及对流量进行控制,而文件保密管理和移动存储管理是对文件、目录、U盘、磁盘盒等进行保密管理。

2.4防火墙的拦截

防火墙被称为控制逾出两个方向通信的门槛,是对计算机网络安全进行保护的一种技术措施,也是对网络中的黑客入侵进行阻止的有力屏障。在电力系统杀毒软件的基础上再对防火墙软件系统进行配置是安全性较高的措施,并且可以预防黑客或不法分子的入侵,对计算机网络信息和系统的备份都具有重要意义,另外还可定期检查备份,使其有效性得到保证[4]。防火墙系统由过滤防火墙、防火墙和双穴防火墙组成。过滤防火墙是设置于网络层的,它能够实现路由器上的过滤。防火墙又称应用层网管级防火墙,由服务器和过滤路由器组成,是目前最流行的防火墙。双穴防火墙主要是对一个网路的数据进行搜集,并选择性地将数据发送至另一个网络中。在电力系统中合理、科学地配置防火墙可保障计算机信息网络的安全性,同时对网络之间连接的可靠性和安全性也具有重要意义。

2.5使用正版化的操作系统和应用软件,并及时升级

使用正版化的操作系统和应用软件具有专业有效的售后服务支持,可随时请专业人员对电脑所出现的问题进行解决。另外,随着人们对软件功能要求和硬件升级的不断提高,使用正版化的操作系统和应用软件可随时获得安全升级,避免盗版软件所带来的安全隐患,有效防范企业隐私信息外泄。因此,地级市供电企业应使用正版化的操作系统和应用软件,并及时进行升级,以使信息网络的安全性得到提高。

2.6提高员工的综合素质

地级市供电企业应提高全体工作人员的计算机网络信息安全知识水平和技术水平,提高其计算机网络信息窃密泄密的防护水平以及综合能力。严禁将泄密的计算机和互联网或其他公共信息网进行连接,在非泄密计算机或者互联网中对机密文件进行处理,落实计算机网络信息安全保密责任制,提高员工对网络安全的认识[5]。还可设立安全保密管理系统,签署保密协议,对供电企业的计算机网络安全的管理与监督进行加强,定期对其安全性进行检查。做好文件的登记、存档和销毁工作,对系统中的网络信息安全隐患能够及时发现并处理,从而保证地级市供电企业网络信息的安全。另外,企业也应严格遵循相关的信息保密工作文件要求,防止外部侵害和网络化所造成的机密泄露。

3结束语

第4篇:企业网络安全策略范文

一、网络操作系统安全风险分析与对策

目前常用网络操作系统有windows、UNIX、linux操作系统,这些操作系统开发在过程中要考虑到方便用户使用,但在方便使用的前提下也暴露出一些问题:(1)操作系统默认配置存在安全隐患:如Windows操作系统默认设置可以从光盘或U盘启动,这种设置可以避开登录密码直接进入操作系统,另外操作系统默认安装了一些不常用的服务和端口,为非法用户的入侵提供了便利。(2)操作系统支持在网络上共享数据、加载或安装程序,这些功能方便了非法用户注入和运行木马程序,为获取用户的信息提供了方便之门。(3)操作系统自身结构问题,如:windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息;ftp服务传输过程为明码传输,使用抓包工具即可获取FTP服务器的登录账号和密码,telnet远程登录需要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题,所以为了加固网路操作安全可以采用以下措施:1、加强物理安全管理禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令,禁止使用U盘或光驱引导系统。2、加强用户名和口令的管理windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限,所以是入侵者想要获取的信息。用户名保护:Windows非管理员账户在输入密码错误后可设置成锁定该用户,但是Administrator不能删除和禁用,所以攻击者可以反复尝试登陆,试图获取密码。为了增加攻击者获取管理员权限的难度,可以为Administrator重命名,这样攻击者不但要猜出密码,还要先猜出管理员修改后的用户名。Root用户不能更名,为了保护该用户,在没有必要的情况下,不要用root用户登录本机及远程登录服务器。密码保护:密码设置应按照密码复杂度要求设置并定期更换密码,同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。3、加强用户访问权限的管理有些管理员为了方便用户访问文件系统,为用户开放了所有权限,如windows操作系统中为everyone工作组授予了“完全控制”权限,UNIX/Linux操作系统为所有用户设置读写执行权限,这样的设置方便非法用户上传木马,所以为了文件系统的安全,必须重新设置文件系统的权限,在保证正常运行的前提下,为用户设置最小的访问权限。4、加强服务和端口的管理当用户开启操作系统后,操作系统自带的某些服务会自动运行,而非法用户会针对这些服务进行远程攻击,而一些不常使用的端口也容易被非法用户利用,作为再次入侵的后门,所以应该将不常使用的服务和端口关闭。

二、数据安全风险分析及对策

企业网络的数据安全不可避免的受到外界的威胁,而数据的任何失误,都可能对企业带来巨大的损失。目前数据泄漏的主要途径是:办公计算机或硬盘的外带;利用移动存储设备将数据带出;通过网络传输文件;通过外设拷贝数据;服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施:1、磁盘加密针对硬盘丢失或被盗造成的泄密风险,可以通过对磁盘驱动层的加密加固处理,保证硬盘在被非法外带或丢失后呈“锁死”状态,硬盘内容无法被他人所读取。2、移动存储设备使用管理对于移动存储设备设置加密写入,即拷贝到该类设备的文档都会以密文形式存在,密文只有拷贝回本地计算机才能解除加密。3、文档传输控制对于文档传输可以采取文件外发对象控制(指定可以外发文件的对象列表)、文件外发加密(外发的文档处于加密状态)、文件外发审批(外发的文件需要经领导审批方可发送)等形式进行控制。4、外设与外设端口管理针对具备数据传输的数据端口和外设,如红外、蓝牙、无线网卡、刻录光驱等,只要与办公无实质性的联系应设置为禁用。5、文件服务器安全管理公司内部之间最为普及的是利用文件服务器进行文件传递。文件服务器上的数据经过长期累积存储,往往会成为“窃密”的重灾区。为了防止服务器的外泄,可以在防火墙中过滤和排查来访者身份的真实性与有效性,只有合法的客户端且得到管理员授权的用户会被放行,非法用户将被禁止。

作者:王琪 单位:天津工程职业技术学院

第5篇:企业网络安全策略范文

【关键词】企业;网络信息安全;问题;对策

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)04-0188-01

随着我国经济的快速发展,市场竞争越来越激烈,企业要想在激烈的市场竞争中占得优势必须提高企业的工作效率,提高企业的效率就要依靠技术的发展。随着计算机网络的快速发展和自身的优势,很多企业为了提高企业的工作效率都引入了计算机网络技术,来提高企业内部的管理。的确,计算机网络技术给企业的管理带来了极大的便利,但是在提供便利和提高工作效率的同时也带来了一些企业信息安全的隐患,比如黑客的攻击、病毒的攻击、恶意程序的攻击等危害。因此,为了保证企业信息的安全,必须采取相应的措施来解决这些问题。

一、安全隐患

企业内部网络信息的安全隐患主要包括网络安全风险、系统的安全风险、管理的安全风险、黑客的攻击和病毒的攻击。网络的安全风险主要包括公开服务器面临的威胁和整个网络结构面临的威胁。公开服务器主要的任务就是为外界提供服务,所以每天都要向外界开放相应的服务,这就给黑客的进入提供了机会,一些黑客每时每刻都在准备着闯入网络的节点,这些节点如果不能够时刻保持警惕,黑客就会随时入侵,最后还会出现连黑客是什么时候侵入的都不知道,严重的情况,这些节点还可能成为黑客攻击其他站点的跳板。整个网络的结构是否成熟直接影响着安全系统的建设,只有具备安全的网络系统才能够保证安全的应用网络。有一些企业直接把路由器和网络连接起来,这样的网络结构就比较简单,但正是这种简单的网络结构,才减少了因为网络结构和网络路由所带来的安全的风险。

系统的安全主要是指整个网络操作的系统和网络硬件的平台是否值得信任。从当前我国的信息技术发展的情况来看,或许并不存在绝对安全的操作系统,一些系统本身就存在着很大的漏洞,这些漏洞就给网络信息的安全带来隐患。

企业的网络管理对维护网络信息的安全具有重要的作用,很多企业中存在着责权不明的情况,同时也没有相应的安全管理制度,或者即使有安全管理制度却缺乏可操作性,这些问题都给信息安全带来了严重的隐患。责权不明就会导致管理的混乱,有一些员工利用这样的机会随便的带一些非企业人员进入机房重地,这些工作人员还会在无意之间泄露一些企业的信息,但是由于缺乏管理制度,企业也不会对其进行相应的惩罚,久而久之们就会给企业的网络信息安全带来严重危害。另外,一些企业还会发生内部人员错误操作的事故。这主要是因为,企业信息技术管理人员的计算机水平比较低,或者跟不上计算机更新换代的速度,对计算机网络并不是特别熟悉,在一些情况下就会出现错误操作的事件,这些错误的操作当时可能并不在意,但是它会造成企业信息的丢失或者通过计算机网络系统流失出去,从而给企业信息的安全带来隐患。还有一些企业内部人员故意破坏系统,因此企业必须加强对计算机网络工作人员的管理。

企业的网络随时都会遇到黑客的攻击,黑客会利用网络系统中的和企业管理中的一切漏洞对计算机网络进行攻击。黑客可以轻易的骗过公开服务器软件,直接进入口令文件,另外,黑客还可以开发其他的欺骗程序,监听登陆会话。如果黑客发现有用户登录时,就会把用户的信息储存下来,这样它就拥有了其他人的账户和口令。黑客的攻击给企业的信息安全造成的隐患是最大的。

另外,企业的计算机网络系统还会受到病毒的攻击,一些病毒在侵入网络系统之后还可能会在网络上产生新的病毒,这就给计算机的安全带来了严重的威胁。目前,计算机的病毒的种类和传播的方式不断增加,因此,为了保证企业信息的安全必须加强系统对病毒的防范能力。

二、网络安全技术

1、密码的使用

为了使企业的信息更加安全应该对企业的一些数据进行加密,这样即使有的人切取了数据,但是却没有密码,这些数据在他们那依然发挥不了作用,这样一来就可以充分的保证企业信息的安全。但是,随着科学技术的发展,有些人能够破解密码,这就需要企业拥有较高技术的计算机人才,对数据进行加密。

2、防火墙技术

防火墙系统可以决定哪些企业内部资源可以被外部人员访问,内部人员可以访问哪些外部服务,它是内部网络和外部网络之间的一道屏障,对维护企业信息的安全具有重要的作用。内部网络和外部网络之间所传输的信息,只有经过防火墙的检查才能够通过,这就从更细的部分保证了企业信息的安全。对数据的处理有很多方法,根据这些方法,防火墙可以分为两个体系:包过滤防火墙和防火墙。包过滤防火墙技术本身就具有一些审查原则,如果信息和防火墙的审查原则相符合,那么信息就会进入网络系统,反之就会被防火墙阻挡在网络之外。防火墙采用的是的技术,从网络内部发出的信息在经过防火墙的处理之后,可以隐藏内部的网络结构。从当前的防火墙技术来看。防火墙可以起到更好的保护网络内部信息的作用,防火墙的核心技术其实就是服务器的功能。

3、计算机病毒防治技术

计算机病毒防治技术主要包括文件实时监控技术、嵌入式杀毒技术和特征码扫描法等。文件实时监控技术主要是通过操作系统底部的接口技术,对系统内部的各种文件类型进行实时的监督,能够及时发现侵入系统的病毒。嵌入式杀毒技术主要是针对那些经常遭遇到病毒入侵的文件的,对这些文件提供重点的保护技术,它主要是通过操作系统或者应用程序的内部接口来实现的。它主要是对那些用户使用的频率较高、使用的范围比较广的软件提供保护。特征扫描法主要是通过对病毒的分析,把病毒存放在病毒代码的文件中,在对病毒进行扫描的时候一旦发现病毒的特点和病毒库中的病毒代码相符,从而判定系统染上了病毒。

4、入侵检测技术

当企业的计算机网络技术工作人员对计算机技术不了解时,就会出现利用系统中的非授权的资源,这会造成系统数据的丢失或者使系统数据遭到破坏,与此同时,系统还会拒绝合法的用户的服务请求。在这种情况下,就需要入侵检测技术对网络系统进行保护。入侵检测技术能够及时的发现系统中未授权的资源或者其他异常的现象,它可以充分的维护计算机信息系统的安全,同时它还可以及时的发现违反安全策略的行为。

另外,为了保证企业内部信息的安全还需要工作人员做好备份工作。很多重要的企业内部信息,一旦丢失就会给企业带来严重的经济损失,所以,工作人员除了在企业的计算机网络上存留企业的信息,还应该做好这些信息的备份工作。如可以把重要的信息存储到u盘,但是必须对u盘进行加密,防止信息的流逝。

第6篇:企业网络安全策略范文

关键词:网络安全,用户意识,解决方案

1、网络安全的重要性

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用书序、数论、信息论等多种学科。网络安全是指网络系统等硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。具体而言,网络安全要:保护个人隐私;控制对网络资源的访问;保证用户秘密信息在网络上传输的保密性、完整性、真实性及不可抵赖;控制不健康的内容或危害社会稳定的言论;避免国家及企业机密泄漏等。

随着企业信息化建设的飞速发展,网络数据量的迅速增长,网络安全问题已经越来越受到人们广泛的关注,各种病毒花样繁多、层出不穷;系统、程序、软件的安全漏洞越来越多;黑客们通过不正当的手段侵入他人电脑,非法获得信息资料,给正常使用网络的用户带来不可估计的损失。很多企业及用户就曾深受其害。

2、 破坏网络安全的因素

破坏网络安全的因素主要包括物理上的、技术上的、管理上的及用户意识几个方面。

从物理上讲,我网络安全是脆弱的。就如通信领域所面临的问题一样,网络涉及的设备分布极为广泛,任何个人或组织都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施,包括有线通讯线,电话线,局域网,远程网等都有可能遭到破坏,从而引起业务中断,如果是包含数据的软盘,光盘,主机等被盗,更会引起数据的丢失和泄漏。

从技术上讲,首先,系统必须提供一定的途径以许可外系统的访问;其次,系统必须有足够的能力对这些访问进行控制。如果控制技术本身有缺陷,就有可能被攻击者利用。如在网络上广泛应用的Windows2000、WindowsXP等系统都存在自身的缺陷。最后,即使控制技术本身并无缺陷,在选用控制系统时还有一个平衡的问题;控制太严,合法用户的正常使用将受到影响;控制太松,就会有漏洞。要做到恰到好处的控制并不是一件容易的事。

从管理上说,没有一只高效的网络安全管理队伍,没有一套网络安全技术培训和用户安全意识教育机制,也是造成网络不安全的一个重要因素。上百个用户的网络就靠一两个网络管理员来维护,势必造成头痛医头、脚痛医脚的局面。

下面就重点分析一下用户意识因素:

大多数系统是以用户为中心的。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。然而,更多的安全措施必须由用户自己来完成,比如:

2.1码控制

一个合理的要求是,由用户来管理自己的登录密码。系统管理员可以更改用户的密码,但不能读取用户的密码。用户必须对自己密码的安全性、保密性负责。一个不好的(或不安全的)密码事实上不能起到密码的作用。在下面的分析中,将进行具体的分析。同样,如果不能保证密码的保密性,自然密码也是虚设。

2.2文件管理

用户对自己的文件必须负责。对于一般的系统和应用,文件的创建者拥有对文件的全部权限,包括将权限分配给他人的权限。如果缺省设置是文件创建后,仅有文件创建者拥有对文件的权限,其他人必须显示得到权限分配,问题会小些。然而,多数系统(Microsoft、Windows)对文件权限的设置是:只要没有显示的限制,都是可以访问的。这样,对文件访问的安全问题实际上是交给了用户自己管理。

2.3运行安全的程序

目前在系统一级上,尚无对病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用户自己判断。一个用户只要有写文件、运行文件的权利,就有可能无意中给系统装上木马程序。

2.4保持警惕

这两年,电子邮件病毒日益猖獗。同前一个问题一样,电子邮件的安全也只能由用户自己控制。在浏览网页时,也可能遇上陷阱,这些都要求用户保持警惕。

3、网络安全的解决方案

网络的安全不是单纯的技术问题,他和系统的管理维护制度方面密切相关。要实现完整的企业网络安全性,首先要制定一个完整的企业安全策略。一个完整的企业网络安全策略涵盖的内容很多,整个网络系统的安全性也不仅依赖于安全可靠的网络操作、应用系统、网络设备的安全性。

3.1需求、风险、代价平衡分析的原则

对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性和定量的分析,然后制定规范和措施,确定本系统的安全策略、保护成本、被保护信息的价值必须平衡。

3.2授权、认证原则

对那些确实需要保护的企业网络资源(包括设备、软件、数据等),保证在对这些资源访问前,用户必须经过授权和认证,符合身份验证和授权的用户才能够获得相应的访问权限。

3.3一致性原则

主要指只有应该具备访问权的人才能够获得相应的访问资源的账号。这里要特别注意因为员工更换部门或者离开公司,其相应的权限和账号也要相应取消。

3.4综合性、完整性原则

运用系统工具的观点、方法分析网络安全的问题,并制定具体措施。一个较好的安全措施往往是多种方法综合应用的结果。

3.5建立安全监控、报警手段或者机制

可对网络的安全策略是否得到正确的实施,以及对违反安全策略的行为予以报警,有助于确保整个网络系统的安全性。

3.6易操作性原则

如果措施过于复杂,对人的要求过高,本身就降低来安全性。

3.7适应性、灵活性原则

安全措施必须能随网络性能及安全需求的变化而变化,要容易、适应修改。

第7篇:企业网络安全策略范文

本文介绍了网络安全管理要素,并结合笔者多年工作实践经验,以某卷烟厂企网络安全管理技术的应用为例,针对企业网络安全方案展开研究,希望能够为网络安全管理技术在OSS中的应用提供一点理论支持。

【关键词】

网络安全;管理技术;应用

1网络安全管理要素

目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。

1.1安全策略

网络安全的核心在于安全策略。在网络系统安全建立的过程中,安全策略具有重要的指导性作用。通过安全策略,可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则,安全策略对于网络系统安全而言有着重要的控制作用。换言之,就是指以安全需求、安全威胁来源以及组织机构状况为出发点,对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中,安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法,都只有参考安全策略。作为重要的标准规范,相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法,利用有关途径,对安全策略及其制定进行了解,并在安全策略系统下接受培训。同时,安全策略的一致性管理与生命周期管理的重要性不言而喻,必须确保不同的安全策略的和谐、一致,使矛盾得以有效避免,否则将会导致其失去实际意义,难以充分发挥作用。安全策略具有多样性,并非一成不变,在科学技术不断发展的背景下,为了保证安全策略的时效性,需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下,安全策略才能够充分发挥作用。

1.2安全配置

从微观上来讲,实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建,例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛,例如防火墙系统。VPN系统、入侵检测系统等等,这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现,能够很好的符合安全策略的需求。如果安全配置不当,那么就会导致安全系统设备缺乏实际意义,难以发挥作用,情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要,任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要,应做好定期更新工作,并进行及时检查,确保其能够将安全策略的需求能够反映出来,为相关工作人员工作的开展提供可靠的依据。

1.3安全事件

所谓的安全事件,指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中,这些行为都能够被观察与发现。其中破坏系统、网络中IP包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面,计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面,在网络发展过程中,网络安全事件越来越频繁,违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛,包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来,对于网络系统而言,其安全状况可以通过安全事件得到充分体现。在安全管理中,安全事件的重要性不言而喻,安全事件的特点在于数量多、分布散、技术复杂等。因此,在安全事件管理中往往存在诸多难题。在工作实践中,不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大,系统安全管理人员往往难以全面观察与分析,安全系统与设备的安全缺乏实际意义,其作用也没有得到充分发挥。安全事件造成的影响有可能比较小,然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集,通过数据挖掘、信息融合等方法,对其进行冗余处理与综合分析,以此来确定对网络、操作系统、应用系统产生影响的安全事件,即安全事故。

1.4安全事故

安全事故如果产生了一定的影响并造成了损失,就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施,使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性,相关工作人员应针对事故发生各方面要素进行分析,发现事故产生的原因,以此来实现对安全事故的有效处理。在安全事故的处理中,应对信息资源库加以利用,对事故现场系统或设备情况进行了解,如此才能够针对实际情况采取有效的技术手段,使安全事故产生的影响得到有效控制。

1.5用户身份管理

在统一网络安全管理体系中,用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象,通过这部分系统,最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中,身份管理系统会鉴别用户身份,以此保障用户的安全。

2企业网络安全方案研究

本文以某卷烟厂网络安全方案为例,针对网络安全技术在OSS中的应用进行分析。该企业属于生产型企业。该企业网络安全管理中,采用针对性的安全部署策略,采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面,作为网络设备安全的基本防护方法:①对设备进行合理配置,为设备所需的必要服务进行开放,仅运行指定人员的访问;②该企业对设备厂商的漏洞予以高度关注,对网络设备补丁进行及时安装;③全部网络设备的密码会定期更换,并且密码具有一定的复杂程度,其破解存在一定难度;④该企业对设备维护有着高度重视,采取合理方法,为网络设备运营的稳定性提供了强有力的保障。在企业数据方面,对于企业而言,网络安全的实施主要是为了病毒威胁的预防,以及数据安全的保护。作为企业核心内容之一,尤其是对于高科技企业而言,数据的重要性不言而喻。为此,企业内部对数据安全的保护有着高度重视。站在企业的角度,该企业安排特定的专业技术人员对数据进行观察,为数据的有效利用提供强有力的保障。同时,针对于业务无关的人员,该企业禁止其对数据进行查看,具体采用的方法如下:①采用加密方法处理总公司与子公司之间传输的数据。现阶段,很多大中型企业在各地区都设有分支机构,该卷烟厂也不例外,企业核心信息在公司之间传输,为了预防非法人员查看,其发送必须采取加密处理。并且,采用Internet进行邮件发送的方式被严令禁止;②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制,该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能,无线、蓝牙等设备也无法使用,如此一来,内部用户将数据私自带出的情况就能够得到有效避免。此外,该企业针对办公软件加密系统进行构建,对办公文档加以制定,非制定权限人员不得查看。在内部网络安全上,为了使外部网络入侵得到有效控制,企业采取了防火墙安装的方法,然而在网络内部入侵上,该方法显然无法应对。因此,该企业针对其性质进行细致分析,采取了内部网络安全的应对方法。企业内部网络可以分为两种,即办公网络与生产网络。前者可以对Internet进行访问,存在较大安全隐患,而后者则只需将内部服务器进行连接,无需对Internet进行访问。二者针对防火墙系统隔离进行搭建,使生产网络得到最大限度的保护,为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制,应对网络区域进行划分,可以对VLAN加以利用,隔离不同的网络区域,并在其中进行安全策略的设置,使区域间影响得到分隔,确保任何一个VLAN的故障不会对其他VLAN造成影响。在客户端安全管理方面,该企业具有较多客户端,大部分都属于windows操作系统,其逐一管理难度打,因此企业内部采用Windows组侧策略对客户端进行管理。在生产使用的客户端上,作业人员的操作相对简单,只需要利用严格的限制手段,就可以实现对客户端的安全管理。

作者:杨国欣 霍重宁 单位:广西中烟工业有限责任公司

参考文献

[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.

[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.

第8篇:企业网络安全策略范文

不久前,思科系统公司首席安全官John Stewart称:“企业正在安全流程中浪费金钱,使用补丁和使用杀毒软件,都是不起作用的。”

对此笔者的感想是,在理论上思科公司是可以不使用杀毒软件、打补丁的方法,用更先进的措施办法来解决病毒等威胁攻击的。但我也想用个现实的例子说明一下:晋惠帝御宴,方食肉脯,东抚奏旱荒,饥民多饿死。帝曰:“饥民无谷食,便食这肉脯,也可充腹,何致饿死?”这其实和思科首席安全官的话语有很大程度的相似。

那么,企业究竟应该如何保证企业网络的安全呢?笔者认为应该从以下几步开始。

第一步:

确定安全策略

首先弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器?办公系统有多少客户端、业务网段有多少客户端、公司的核心数据有多少,存储在哪里?目前亚洲地区仍有相当多的公司,手工将关键数据存储在工作簿或账簿上。如果贵公司的计算机通常只是用来文字处理,或者是玩游戏,那数据可能根本不值得去保护。然而,如果贵公司保存有大量的敏感信息,例如信用卡号码或者财务往来交易事项,那么贵公司所需要的安全等级将会很高。

一般企业网络的应用系统,主要有Web、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。从整个网络系统的管理上来看,既有内部用户,也有外部用户,因此,整个企业的网络系统存在以下两个方面的安全问题:

1.Internet的安全性:目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、加强网络安全建设已经迫在眉捷。

2.企业内网的安全性:企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权的访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

第二步:

弄清自身需求

要搞清楚,每年预算多少经费用于支付安全策略?可以购买什么?是一个入门级常用的防火墙还是一个拥有多种特性的综合网关UTM产品?企业局域网客户端的安全需求是什么?有多少台严格的机器?此外,很重要的一步便是在功能性和安全性方面做出选择。贵公司网络必须提供的服务有哪些:邮件、网页还是数据库?该网络真的需要即时消息么?某些情况下,贵公司拥有什么并不重要,重要的是怎么利用它。相对于将整个预算花在一个“花架子”似的防火墙上,实现多层防御是一个很不错的策略。尽管如此,我们还是有必要去查看一下整个网络,并弄清楚如何划分才会最佳。

针对网络受到非法攻击以及病毒爆发,网络管理员还需做好准备工作:目前的设备能够做好足够的日志么?路由器、防火墙或者系统日志服务器能够告诉我们非法侵入的时间和手段吗?是否有一个适当位置可以用来恢复?如果受到攻击的服务器需要擦除并重新配置,能尽可能减少关键数据的流失,并快速实现么?

因此,笔者认为,企业的安全需要可以归纳为以下几点。

1.基本安全需求

保护企业网络中设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。针对企业网络的运行环境,主要包括:网络正常运行、网络管理、网络部署、数据库及其他服务器资料不被窃取、保护用户账号口令等个人资料不被泄露、对用户账号和口令进行集中管理、对授权的个人限制访问功能、分配个人操作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通信服务、保证拨号用户的上网安全等。

2.关键业务系统的安全需求

关键业务系统是企业网络应用的核心。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;安全预警,对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据;系统服务器、客户机以及电子邮件系统的综合防病毒措施等。

第三步:

制定解决方案

前两步是不可或缺的部分,不了解自身状况就无法制定因地制宜的解决方案。解决方案是指定给有具体需求的单位,有大众性,但无通用性。调查显示:近60%的企业面临着以防护病毒和恶意行为为主的信息安全需求。

那么,下一步,就是采用何种解决方案的问题。针对防毒解决方案,笔者推荐瑞星公司的几款产品:瑞星网络版杀毒软件企业版、瑞星防毒墙、瑞星网络安全预警系统。

这是企业整体防毒解决方案,主要是为了以下几个目的。

1. 网络边缘防护

防毒墙可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。

2. 内部网络行为监控和规范

网络安全预警系统可对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力,企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。

3. 计算机病毒的监控和清除

网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,可以实现防病毒体系的统一、集中管理,实时掌握了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

4. 用控制台和Web方式管理

通过这两种方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略,及时掌握了解网络当前的运行基本信息。

5. 可进行日志分析和报表统计

这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表、月报表、年报表等,通过来源分析、目标分析、类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。

6. 功能模块化组合

第9篇:企业网络安全策略范文

关键词:企业网络构架;安全策略;攻击

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7657-03

The Discussion of Enterprises Network Architecture and Security

MA Wan-tao

(Yinchuan evening newpaper office of NingXia, Yinchuan 750004, China)

Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last,the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.

Key words: enterprises network architecture; security stategy; attack

随着世界信息高新技术的快速发展,计算机网络在全球各地的企业里得到了广泛的应用。企业在充分的享受到利用网络方便快捷的找到信息的同时,也承受着网络带来的安全风险问题。因此,对于深入探讨企业网络如何构架从而提高企业网络的安全性能等问题具有重要的现实意义。

1 企业网络构架的趋势

由于下一代互联网的发展趋势是移动互联网,很多城市正在考虑部署全城范围的宽带无线接入工程,实现“无线城市”的规划,因此,本文所探讨的是企业无线局域网络的框架趋势。信息安全实践表明安全不是一个单纯的技术问题,而是一个复杂的系统工程问题。人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也由最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展到“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实现技术。基于这一理论,企业无线局域网络应具有具有移动安全基础设施特色、以安全管理为中心的安全体系结构,其构架如图1所示。

该框架结构主要有三个技术层次,第一层是移动终端安全平台,该层实现移动终端漏洞的自动修复和安全引擎自动加载技术,实现安全防御技术的集成,如终端防火墙、防恶意代码、终端HIDS(Host-based Intrusion Detection System,即基于主机型入侵检测系统)等技术的有机集成。达到综合安全防御的目标,实现移动终端设各的加固和通用商业移动终端的专用化,体现“防”的思想。第二层是集成化的无线局域网接入管理平台,通过对安全网关、安全引擎、安全管理、无线局域网安全中间件等有机集成,体现“测、控、管”的思想。其中安全网关提供无线局域网接入管理平台与无线局域网安全管理平台之间安全通信的专用保密通道;安全管理组件实现终端软件漏洞、病毒库、审计与无线定位等管理,同时对遭受网络攻击而瘫痪节点的隔离与修复性管理;实现“测与控”的结合;无线安全中间件足为不同类型的终端提供统一的安全接口,解决移动设备的异构性问题。第三层是无线局域网安全管理层,通过无线局域网危害评佶系统和基础数据库,实现无线局域网安全管理的自动化,体现安全中以“评”促“管”的思想。

该框架结构在移动设备、通信链路、安全等级、软件体系和安全基础数据等方面体现无线局域网安全基础设施的思想。通过不断加强安全基础数据库建设,提高无线局域网遭受攻击时系统的安全性、有效性和实用性。为了实现无线局域网安全框架,必须要有相应的协议。图2给出了无线局域网安全框架下的不同组件的协议结构图。从图中可以看出,选择支持“推”结构的移动终端,在进行安全接入时,当通过MAC层的安全认证后,自动将安全引擎加载到移动终端之中,为高安全需求的通信提供安全保障。同时该结构也为移动终端的选型和安全防护技术的升级提供了很好的扩展性,实现了应用与设备分离,符合瘦客户终端的发展需求。为移动运营商提供增值业务提供了较好的适应性。在安全接入级,考虑不同移动终端设备的MAC层安全机制不同,采用中间件可以屏蔽其不同,提供不同移动设备的统一安全接口,配合安全引擎的高级安全认证体制,实现多种安全认证技术的强认证体系。WlDS组件是为了实现无线IDS、终端防火墙、终端防病毒等相结合的主动安全防护技术,通过智能性的关联分析器,抽取出攻击特征,报告给安全管理组件,这体现了入侵防御系统(IPS)的技术思想。安全管理组件是集成不同的无线局域网安全管理而设计,涉及漏洞管理、病毒管理、恶意代码管理、系统审计、无线定位、统一的安全策略管理和攻击管理(隔离与恢复)等。安全网关是为了防止移动终端直接与无线局域网安全管理平台通信而设计的安全隔离技术,通过采用不同的安全算法和安全强度,实现技术隔离效果,如移动终端与安全接入平台间采用192比特的ECDSA算法,而安全接入平台与安全管理平台可以采用224比特的ECDSA算法。将基础数据库放置到后端,可以为不同区域的移动用户提供数据共享,这有助于实现一点采样,多点联动的协同安全防御技术。

2 流行的网络攻击分析

企业流行的网络攻击主要分为外部网络攻击和内部局域网的攻击两个方面。

在外网攻击方面:出于业务的需要,企业的网络与Internet及其他业务单位网络相连接。这种物理网络上互联互通给数据的互联互通带来了事实上的可能性。但是如果Internet与外单位网络可以与企业的网络随意进行互访,容易导致本系统内部机密泄漏等安全威胁;其次,各系统的互联互通会使得跨系统的攻击和病毒传播成为可能,带来极大的安全隐患。企业的网络中的服务器及个人主机上都有信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外部网络的一些不怀好意的入侵者的攻击。

目前最为流行的攻击有以下几种:

① 入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。

② 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。

③ 恶意攻击。入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

④ 发送大量包含恶意代码或病毒程序的邮件。在内部局域网的攻击方面:在已有的网络安全攻击事件中实际上约70%是来自内部网络的攻击。来自机构内部局域网的攻击主要包括以下几种:

① 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。

② 如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。

③ 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令。

④ 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人信息传播出去。

3 当前的安全策略

企业网络除了要有安全的网络构架还需要全面的安全策略才能保证其总体信息安全运行。基于以上对网络攻击的具体分析,企业全面的安全策略应包括以下几个方面。

① 安全管理策略。安全管理贯穿在安全的各个层次实施。从管理角度来看,需制订了整个企业的安全管理策略;从技术管理角度来看,实现安全的配置和管理;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理。

② 访问控制策略。访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据权限的限制,主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问,网络访问控制用于控制内部及外部联网服务的访问,以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。

③ 网络安全监控与入侵检测策略。网络安全监控可以测试企业所实施的安全控制是否有效。同时,安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为,同时,它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦企业系统发生安全事故,管理人员应依据监控系统所提供的警示,采取必要的步骤,在最短的时间恢复系统,以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。通过在企业网络的关键环节放置入侵检测产品,它监视计算机网络或计算机系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。

④ 漏洞扫描与风险评估策略。从信息安全的角度看,漏洞扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,从而为提高网络安全整体水平产生重要依据。在网络安全建设中,漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上,安全扫描工具可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。

⑤ 计算机病毒防治策略。由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。由于网络系统中使用的操作系统大多为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。必须从预防病毒、检测病毒和杀毒考虑网络的网络安全。

⑥ 备份与恢复策略。主要设备、软件、数据、电源等都应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对系统的依赖性特别强,则建立远程的应急处理和灾难恢复中心。企业考虑的备份主要包括数据备份、服务器备份、线路备份等几个方面。

4 结束语

企业信息化是利用计算机技术的手段将先进的企业管理思想融入企业的经营管理中,在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。企业网络安全构架不单是单点的安全,而是整个系统的安全,需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。随着信息化得普及,企业网络构架及安全的探讨意义将更为深远。

参考文献:

[1] 杨家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社,2000.

[2] 张仁斌,谭三,易勇,蒋毅.网络安全技术[M].北京:清华大学出版社,2004.

[3] 吴振强,马建峰.基于管理的移动互联网络安全体系结构[J].计算机科学,2006,33(7):314-317.