前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络安全防护措施主题范文,仅供参考,欢迎阅读并收藏。
1.1主观因素
(1)从使用网络的人来看,网络使用者的安全防范意识不尽相同,有的人非常重视网络安全,有的人甚至不知道什么是网络安全,网络安全意识薄弱。
(2)从黑客的角度来分析,黑客对于网络安全的威胁是目前最大的。黑客通常是利用技术将带有病毒的游戏、网页、多媒体等放入软件终端,电脑使用者不留意就会点开这些资源,黑客就会监控电脑的一切活动,会偷取计算机上的用户名、账户、密码等个人隐私数据,或者占用系统资源,严重的情况下会导致系统崩溃,企业相关的资料都会消失,损害企业的经济、财产,并为网络安全带来威胁。
1.2客观因素
石油企业应用网络办公都已经形成了企业独立的网络系统,但还是受到网络安全的威胁,主要是由于影响石油企业网络安全的自然原因主要是操作系统和软件的漏洞。随着科技的发展,网络操作系统和应用软件总在不断地更新,而且其更新比较慢,这就为黑客的入侵提供了缝隙。
随着石油企业网络安全问题的频繁出现,网络使用者必须重视网络安全问题,必须对网络安全采取有效的防护技术和措施,为企业提供安全的网络管理平台。
2.1石油企业建立健全企业规章制度
为了确保企业网络安全,必须建立完善的安全系统,了解网络安全的重要性。对于网络安全事故的发生,应采取处罚制度,并进行记录,一旦出现重大网络安全事故,可以做到有证据可依。
2.2石油企业应对网络数据采取加密技术
石油企业内一些重要的文件必须对其进行加密后再放到外部网络中,并结合防火墙技术,才能进一步提高石油企业网络信息系统内部数据的保密性和安全性,防止数据被非法人员偷盗,损害企业的利益。
2.3石油企业应加强员工网络安全知识的培训
员工作为石油企业网络的使用者,梳理员工网络安全意识变得尤为重要,只有让员工认识到网络安全的危害和意义才能从根本上防止主观因素网络安全问题的发生。石油企业应加强对员工网络安全信息的培训工作,提高员工的网络安全意识,保证企业网络安全的使用。
2.4石油企业应加强系统平台与漏洞的处理
网络管理员可以利用系统漏洞的扫描技术来提前获取网络应用过程中的漏洞,并通过漏洞处理技术快速恢复系统漏洞。
3、关于石油企业网络安全中其它防护技术
在石油企业网络安全防护技术方案中,还应该应用以下几个防护技术:访问控制技术、入侵行为检测技术、异常流量分析与处理技术、终端安全防护与管理技术、身份认证与管理技术。
3.1访问控制技术
企业可以根据企业本身的安全需求、安全级别的不同,在网络的交界处和内部划分出不同的区域,在这些区域中安装防火墙设备进行访问控制。通过防火墙设备对数据包进行过滤、对于有问题的数据进行分析,防止外部未被授权的用户入侵企业网络。单向数据输出的安全区域,防火墙设备应对外区域的访问请求进行阻止;对于需要进行双向数据交互的区域,必须按照制源地址、目的地址、服务、协议、端口内容进行精确的匹配,避免网络安全问题的出现。
3.2入侵行为检测技术
入侵检测就是在石油企业网络的关键位置安装检测软件,对入侵行为进行检测与分析。入侵检测技术可以对整个企业网络进行检测,对产生警告的信息进行记录并处理。
3.3异常流量分析与处理技术
为了保障供应服务的稳定性,避免拒绝服务攻击行为导致业务系统可用性的丧失,需要通过深度包检测。当发现网络流量有问题时,就会将恶意数据删除,保留原有的正常数据,这样就保证了有权限的用户进行正常访问。
3.4终端安全防护与管理技术
企业整体信息安全水平取决于安全防护最薄弱的环节。在石油企业中,企业比较重视网络及应用系统的保护,忽视了对终端计算机的全面防护与管理措施的保护。这些就需要企业利用安全防护管理技术在内部终端计算机进行统一安全防护和安全管理,保证信息的安全。
4、结语
关键词:等级防护;电力企业;网络安全建设
中图分类号: F407 文献标识码: A 文章编号:
引言
信息化是一把“双刃剑”,在提高企业工作效率、管理水平以及整体竞争能力的同时,也给企业带来了一定的安全风险,并且伴随着企业信息化水平的提高而逐渐增长。因此,提升企业的信息系统安全防护能力,使其满足国家等级保护的规范性要求,已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言,应等级保护要求,将信息管理网络划分为信息内网与信息外网,并根据业务的重要性划分出相应的二级保护系统与三级保护系统,对三级系统独立成域,其余二级系统统一成域,并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。
1现阶段电力企业网络风险分析
1.1服务器区域缺少安全防护措施
大部分电力企业的服务器都是直接接入本单位的核心交换机,然而各网段网关都在核心交换机上,未能对服务器区域采取有效的安全防护措施。
1.2服务器区域和桌面终端区域之间的划分不明确
因服务器和桌面终端的网关都在核心交换机上,不能实现对于域的有效划分。
1.3网络安全建设缺乏规划
就现阶段的电力企业网络安全建设而言,普遍存在着缺乏整体安全设计与规划的现状,使整个网络系统成为了若干个安全产品的堆砌物,从而使各个产品之间失去了相应的联动,不仅在很大程度上降低了网络的运营效率,还增加了网络的复杂程度与维护难度。
1.4系统策略配置有待加强
在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等,但在实际的网络安装调试过程中,往往只使用最宽松的配置,然而对于安全保密来说却恰恰相反,要想确保系统的安全,必须遵循最小化原则,没有必要的策略在网络中一律不配置,即使有必要的,也应对其进行严格限制。
1.5缺乏相应的安全管理机制
对于一个好的电力企业网络信息系统而言,安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施,很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言,其目的就是确保网络的安全稳定运行,并且其自身应该具有良好的自我修复性,一旦发生黑客事件,能够在最大程度上挽回损失。因此,在现阶段的企业网络安全建设工作过程中,应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。
2等级保护要求下电力企业网络安全建设防护的具体措施
2.1突出保护重点
对于电力企业而言,其投入到信息网络安全上的资源是一定的。从另外一种意义上讲,当一些设备存在相应的安全隐患或者发生破坏之后,其所产生的后果并不严重,如果投入和其一样重要的信息资源来保护它,显然不满足科学性的要求。因此,在保护工作过程中,应对需要保护的信息资产进行详细梳理,以企业的整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中,在这些重要信息资源得到有效保护的同时,还可以使工作效率得到很大程度的提高。
2.2贯彻实施3层防护方案
在企业网络安全建设过程中,应充分结合电力企业自身网络化特点,积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上,实行分级、分域与分层防护的总体策略,以充分实现国家等级防护的基本要求。
(1)分区分域。统一对直属单位的安全域进行划分,以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。
(2)等级防护。遵循“二级系统统一成域,三级系统独立成域”的划分原则,并根据信息系统的定级情况,进行等级安全防护策略的具体设计。
(3)多层防护。在此项工作的开展过程中,应从边界、网络环境等多个方面进行安全防护策略的设计工作。
2.3加强安全域划分
安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分,可以实现以下目标:
(1)实现对复杂问题的分解。对于信息系统的安全域划分而言,其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护,是实现重点防护、分级防护的战略防御理念。
(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异,并且能够根据不同的安全防护需求,实现对于不同特性系统的归类划分,从而明确各域边界,对相应的防护措施进行分别考虑。
(3)有效防止安全问题的扩散。进行安全区域划分,可以将其安全问题限定在其所在的安全域内,从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中,还应充分遵循区域划分的原则,将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域,并对其分别进行安全防护管理。在二级系统服务器域与桌面域间,采取横向域间的安全防护措施,以实现域间的安全防护。
2.4加强对于网络边界安全的防护
对于电力企业的网络边界安全防护工作而言,其目的是使边界避免来自外部的攻击,并有效防止内部人员对外界进行攻击。在安全事件发生之前,能够通过对安全日志与入侵事件的分析,来发现攻击企图,在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。
(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙,以实现对于网络边界安全的防护。
(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中,应根据网络边界的数据流制定出相应的访问控制矩阵,并依此在边界网络访问控制设备上设定相应的访问控制规则。
2.5加强对于网络环境的安全防护
(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包,并通过相应的特征分析、异常统计分析等方法,及时发现并处理网络攻击与异常安全事件。在此过程中,设置相应的入侵检测系统,能够及时发现病毒、蠕虫、恶意代码攻击等威胁,能够有效提高处理安全问题的效率,从而为安全问题的取证提供有力依据。
(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下,对初始配置进行相应的优化,从而提高网络系统的自身抗攻击性。因此,在经过相应的安全评估之后,应及时发现其中隐藏的安全问题,对重要的网络设备进行必要的安全加固。
(3)强化日志审计配置。在此项工作的开展过程中,应根据国家二级等级保护要求,对服务器、安全设备、网络设备等开启审计功能,并对这些设备进行日志的集中搜索,对事件进行定期分析,以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。
结语
综上所述,对于现阶段电力企业信息网络而言,网络安全建设是一个综合性的课题,涉及到技术、使用、管理等许多方面,并受到诸多因素的影响。在电力企业网络安全建设过程中,应加强对于安全防护管理体系的完善与创新,以严格的管理制度与高素质管理人才,实现对于信息系统的精细化、准确化管理,从而切实促进企业网络安全建设的健康、稳步发展。
参考文献:
[1]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).
现在,网络信息逐渐实现了共享,在共享网络信息的过程中,能够为人们的交流提供便利,但是,各种病毒在网络中出现,导致了网络信息的泄露,给人们的生活和生产带来很大的麻烦,使网络信息的安全存在着隐患。所以,建立完善的企业网络安全防护体系是十分必要的。现在,卷烟企业要想促进自身的额发展,就必须针对企业内部对网络应用的特点,使企业内部的网络结构得以优化,通过完善网络的安全技术,实现网络安全体系的完善。
1卷烟企业面临的网络安全风险分析
1.1运用网络进行出口比较频繁,导致网络的管理存在难度
卷烟企业要借助网络进行出口,所以,要面对各个地区不同的用户,这就导致卷烟企业内部在管理方面存在着很大的缺陷。现在,卷烟企业内部使用网络的力度越来越大,大多数的业务是运用网络的,而且业务人员只是在网络上交流,具有很强的流动性特点,在网络上还没有建立和完善相关的网络行为规范,这就导致了各类人员在网络上传播信息,导致卷烟企业内部的服务器受到病毒的侵袭,使企业的网络安全遭到破坏。
1.2物理层边界的设置具有模糊性特点
现在,很多企业都在发展信息化建设,很多公司的网络是连接在一起的,这就导致了企业网络的物理层之间没有清晰的界限。现在电子商务发展越来越快,企业都会借助网络进行交易,导致企业之间的信息共享程度越来越高,企业能够在很高的权限下完成交易。这就导致了卷烟企业内部的网络范围工程了一个逻辑便捷,在使用防火墙的过程中就会受到很多的限制,导致防火墙不能够及时地将病毒清除。
1.3卷烟企业的入侵审计和防护体系还存在缺陷
现在,互联网发展的速度非常快,出现了各类网络攻击现象,而且计算机病毒每天都在更新和升级,计算机病毒的破坏范围越来越广,破坏能力也越来越强,病毒传播的速度日益加快,病毒在网络中传播的形式也是多样的,让卷烟企业不能够及时采取措施防范,导致企业内部的网络安全受到严重的威胁。卷烟企业还没有制定完善的入侵审计和防御体系,不能够运用智能化分析的方法,建立病毒的防御功能,而且卷烟企业的网络对病毒的检测能力是比较差的,没有建立统一的网络安全防护的规范,安全管理措施还没有全面地落实。
2建立卷烟企业网络安全防护体系
2.1卷烟企业网络安全防护体系的建立目标
应该分析卷烟企业网络安全体系建立的目标,分清企业网络主要的使用人员,分析网络使用的性质,结合这些因素,对企业的网络进行有逻辑性的划分,在对不同领域的网络设计不同的防御体系,从而能够完善对网络边界的控制,建立完善的安全防御体系,使网络之间能够建立信任。将卷烟企业内部出现的网络安全问题加以划分,将大型的以及较为复杂的问题转化成简单的问题,从而能够简化卷烟企业网络安全问题的处理。对企业内部的网络使用,按照功能进行划分,从而能够按照区域进行网络安全的治理,而且还要建立完善的网络体系,从而能够确保卷烟企业能够对网络安全的管理进行规划和设计。
2.2卷烟企业应该科学的划分网络安全区域
卷烟企业内部的网络应该根据使用网络的行为、安全防护体系以及业务操作将网络的使用分成不同的区域。现在,卷烟企业在使用网络时,不同的区域关注的内容也是不同的,所以,在对企业的网络使用区域进行划分的过程中,需要针对企业内部不同的业务强化网络使用的管理,不仅仅要使企业能够借助网络进行销售,而且要分析企业内部的网络区域划分是否是科学的。卷烟企业内部对网络使用的划分不能够按照单一的方法进行,应该结合企业的实际情况,采取多元化的方法,从而能够更加清晰地分析出卷烟企业内部网络业务的实际要求。
2.3卷烟企业应该根据自己使用网络的情况,建立入侵检测的动态防护技术
现在,网络技术发展越来越快,卷烟企业在发展的过程中受到网络病毒的威胁,网络入侵的形式也越来越多元化,各类新的病毒不断地出现,所以,在卷烟企业内部应该根据病毒的形式建立完善的防护体系,应该对实际的网络应用分析的基础上,找出网络应用中最容易出现的漏洞,从而建立入侵检测和动态保护功能。卷烟企业可以建立备份恢复功能,也可以定期对网络使用的风险进行分析,建立网络风险的应急机制,从而能够防止病毒的进一步入侵。在使用网络系统时,如果发现企业内部的网络系统已经受到了病毒的入侵,那么,就要应用到备份恢复机制,使企业的网络设计可以及时地恢复,使企业的网络运行不被中断,不影响企业的业务进行。
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带――企业信息系统的便捷途径,使企业网络面临种种威胁和风险,开放的网络给企业的信息安全带来巨大的威胁:
一、病毒、蠕虫入侵。目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、种类多、变化快等特点,病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁来自于内部网络用户的各种不规范行为:不安装杀毒软件、杀毒软件升级不及时、外来用户计算机在没有采取任何防护措施的情况下连入企业网络、数据介质及软件介质等都可能将病毒、蠕虫带入到企业网络中,给企业信息、企业业务带来无法估量的损失。
二、软件漏洞隐患。企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等,尤其是终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都不可避免存在潜在或已知的漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
三、系统安全配置薄弱。企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、匿名访问限制等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。
四、脆弱的网络接入安全防护。传统的网络访问控制都是在企业网络边界或不同的企业内网不同子网边界进行的,在网络访问用户的身份被确认后,用户即可以对企业内网进行各种操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞。
内网安全实施策略
一、自动化的补丁管理、安全配置。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
二、全面的网络准入控制。为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
三、终端设备安全完整性保证。主机完整性强制是确保企业网络安全的关键组件,主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全,阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而,只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性,也就不能将该设备看成企业网络受信设备。
关键词:当前网络;安全评估;防护体系构建
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-02
网络技术发展犹如一把双刃剑,在为人类社会经济发展带来便捷的同时,也造成了一定的妨碍,尤其是网络具有开放共享、联接形式多样、终端分布不均以及易受侵袭的特性,使得网络安全始终存在一定的隐患。步入信息时代,企业对网络的依赖程度逐渐加深,日常办公活动甚至是经济运营都需要通过网络才能实现。而随着网络技术的不断进步,妨碍网络安全的因素也在不断增多,对企业所造成的危害也越来越大。应对当前企业计算机网络安全问题进行深入分析,构建并完善有效的网络安全体系,为维护企业利益、促进企业发展做出积极的努力。
1 网络安全的内涵及其特征
网络安全是指网络系统的软件、硬件以及系统中的数据受到充分保护,不因任何原因而遭受到破坏、更改和泄露,计算机系统得以维持连续、可靠、有效地运行,网络服务不中断。在安全状态下,计算机网络系统具有可靠、可用、可控、保密等特征。从狭义来说,网络安全就是维护存储在网络上的信息安全;从广义来说,凡是与网络信息的完整性、保密性、真实性和可控性的相关理论和技术都是网络安全问题。因此,网络安全是一门涉及到网络技术、通信技术、计算机技术、密码技术、信息安全技术等多种学科的综合性科学。历史实践证明,科学技术的进步将会为人类社会生活中的各个领域都带来重大影响。现代计算机及网络技术的快速发展,尤其是Internet的出现,使得信息的最广泛交换和共享成为现实。但伴随着信息共享所带来的巨大益处,信息在网络上存储、传输的同时,也可能受到窃取、篡改和毁坏,甚至可能会导致无法估量的损失。
2 企业计算机网络所面临的威胁
当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。
2.1 网络管理制度不完善
网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。
2.2 网络建设规划不合理
网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。
2.3 网络设施设备的落后
网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。
2.4 网络操作系统自身存在漏洞
操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。
3 网络安全防护体系的构建策略
如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。
3.1 完善企业计算机网络制度
制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。
3.2 配置有效的防火墙
防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。
3.2 采用有效的病毒检测技术
计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。
3.3 其他网络安全技术
其他的网络安全技术包括密码更改、网络加密技术和IP 隐藏技术等。密码更改是网络用户应具备的一项安全意识,要定期或不定期对自己的账户密码进行修改,设置密码保护问题,以预防密码泄露;机密技术是指通过将存储在计算机网络上的重要信息改变为密文来防止被窃取和泄露;IP隐藏技术是隐藏用户计算机的IP地址,避免网络黑客采取特殊的网络探测手段获取用户IP来确定攻击目标,以上都是确保网络安全的重要手段。
计算机及网络技术的进步推动了信息时代的发展进程,在人类社会的各个领域都引起了一系列影响深刻的革命。但伴随着网络规模的逐步扩大和更加开放,网络所面临的安全威胁和风险也变得更加严重和复杂,企业计算机网络受到威胁行为日益增多。为了保障企业计算机网络安全,必须强化信息应用安全意识,及时了解网络中出现的安全问题,规范计算机网络使用行为,加强网络基础设施建设,提高设备设施应用水平,构建起有效的网络安全防护体系,维护企业的网络安全和合法权益。
参考文献:
[1](美)Michael·Erbschloe著,常晓波等译.信息战一如何战胜计算机攻击[M].北京:清华大学出版社,2002.
[2]姚顾波,刘焕金等著.黑客终结——网络安全完全解决方案[M].北京:电子工业出版社,2003.
【关键词】企业局域网 信息安全 问题分析
企业的发展离不开科学的管理水平,现代化的管理方式离不开网络。网络提供给企业充分的可利用的资源,提高了各个部门之间的联系,为企业的推广提供了更广阔的平台,最终提高了企业的经济效益。但是网络业不是万能的,网络在提供给企业安全的同时,也存在着一些信息安全的隐患,如黑客、破坏性病毒、流氓软件等给企业的网络安全带来了威胁。如何保护企业的信息安全,提高局域网信息安全,是企业需要引起重视的问题。
1 企业局域网信息安全风险
互联网的普及,局域网技术的应用已经成为企业信息传递的重要部分。通过调查,我国超过60%的企业及用户正处于网络安全“高风险”的程度,每年因网络安全而导致重要信息被盗,给企业带来了数百亿的经济损失。企业对局域网的安全问题一直存在着困扰,每年在网络安全上的投入也不断增加,但局域网信息不安全的因素仍然存在。
1.1 外部环境不安全因素
局域网被破坏,容易导致企业整个网络的瘫痪。局域网最大的威胁来自于网络外部的不安全因素。企业的发展离不开竞争,有些恶意的竞争会主动攻击企业的网络,以盗取企业的关键信息,以满足自己的利益。另外,网络病毒和木马等对计算机和网络的破坏性越来越大,大部分企业的网络技术得不到更新,导致企业网络容易受到病毒和木马的攻击,导致企业多个程序被破坏,企业的发展秩序被破坏,影响经济发展等。
1.2 内部操作不安全因素
局域网的不安全因素还包括对计算机的操作不当和设备故障等因素。企业中,大部分员工只会对自己熟练的部分进行操作,对计算机安全的意识不足,导致局域网络出现故障。有些企业的局域网设备得不到更新,操作系统存在缺陷,导致用户密码被盗,对企业的信息数据安全存在着很大的威胁。
2 企业网络安全的措施
2.1 建立网络安全防护系统
企业在建立局域网的同时,还应当完善企业的网络安全防护系统,以保护网络信息安全。首先,建设完善的主动防护入侵体系,这主要在网络与主机的链接方面,从源头做好信息安全工作。在局域网段中安装网络入侵器,以保护各网段的数据,如果发现有入侵就会发出提示切断网络服务链接,在主机处安装FTP服务器,以对系统进行智能的保护。第二点,建立防火墙,在计算机的路由器上设置好包过滤防火墙,以屏蔽子网中的服务器,但也能让电子邮箱和信息服务器等顺利实施,将外部的网络访问限制在可赛性范围之内。防火墙的设置能够在计算机的硬件和软件方面进行检测,避免非法入侵,以保护网络信息资源。第三点,针对违法攻击网络的情况,设置入侵检测技术,检测非法入侵行为。接下来,设置安全审计技术和荣火容错技术,以检查局域网络中俄安全事件,并实施安全策略,以保护计算机的正常运行。最后,建立好网络行为检测系统,根据企业的发展需要,对网络加以相关设置,以保护网络信息安全。这项技术可以检测企业内部的重要文件的访问情况,并对其访问进行加密管理。这种技术也可以约束企业员工的操作行为,在正常上班期间禁止聊天,玩游戏等。
2.2 提高网络安全防护意识
企业员工对计算机安全的意识不够,也导致了信息不安全。企业各部门的管理都利用了局域网,企业的各种信息通过网络传播获得。企业员工在对计算机操作时,要经常对自己的电脑进行杀毒和清理不需要的文件,以保护自己的计算机不被病毒侵害[3]。在整理信息时,需要对信息进行妥善安排,对重要的信息要加以保护。网络方便了信息的传递效率,但网络也具备一定的公开性,因此,在重要信息传递时,要注意传递信息的途径,不要在公众的聊天场合进行文件的传递。可以通过邮箱等采用专人转机获取信息,以保护网络下信息的安全性。企业还应组织员工针对网络安全方面的培训与指导,确定网络信息安全的责任制度,从而提高企业员工的网络安全意识。在使用电脑时,要养成正确的使用情况,不随便进如游戏网站,不乱下载与工作不相关的软件等。
2.3 定期进行网络安全监测
在安全防护系统和企业防护意识的保护下,企业的信息安全也不能被忽视。在日常的网络保护中,需要定期对网络进行安全监测。制定出相应的规章制度能促进网络安全的顺利进行。企业的局域网应用中,需要对企业的安全技术加以更新,以保证局域网的顺利进行。为了避免局域网出现问题,企业应做好各部分相关的措施,在网络出现故障时,能够尽快修复好网络,保护网络信息不被破坏。同时,要经常更新网络操作系统,清理不必要的服务项目,以防止黑客和木马对计算机的破坏。在重要信息的保护环节,要实施“权利限制”企业重要的信息,只有相关人员才能获得,设置好网络配置,并进行多关卡的网络设限,如果遭到入侵,在最初的源头将会发出警报,系统自动生成保护措施,保护信息不被盗窃和破坏。
3 结语
在企业发展中,局域网络信息安全的保护尤为关键。企业要做好最基本的防护工作,以保证企业工作的顺利进行。在日常的操作中,要养成良好的计算机网络安全意识,对重要的信息设置好密码,及时安装系统漏洞,按时清理不必要的文件等。企业的信息管理员要对及时更新防护信息,采取良好的措施来保护企业的信息,使网络能够正常运行,以促进企业的经济效益提高。
1.1网络未进行等级区分我国《全国电力二次系统安全防护总体方案》中明确指出,电力企业有义务对网络进行安全等级划分。具体分为横向和纵向两类,其中横向是要求能够实现实时监控系统与非实时监控系统之间的相互连接。纵向上是要求实现实时监控系统之间的互联。但实际生产经营过程中,很多电力企业没有实现网络化的数据传输,同时在主站与厂站之间也没有实现光纤载波双通道。
1.2网络信息安全防护能力不足当前,很多电力企业的信息化程度都在不断加强,但网络信息安全的防护还停留在以往的水平上,不能很好地满足日益增长的信息安全保障。在管理体系上,很多企业都没有完善的网络信息安全管理机制,在面对信息安全问题时无从下手处理。在软件应用上,缺乏专业的防病毒软件,很多企业都自主选择一些常用的网络杀毒软件,无法做到与企业信息防护相匹配。在信息备份和恢复方面,很多电力企业没有建立信息备份和恢复机制,信息一旦丢失将给企业带来巨大经济损失。
1.3电力企业服务器存在的安全隐患众所周知,电力企业的服务器种类和数量众多,既包含数据库服务器、应用服务器、Web服务器,还包含算费服务器、银电联网服务器等。当前网络上针对各类服务器的攻击时刻在发生,服务器的安全稳定直接关系到整个网络信息的安全。尽管这些服务器有各自的认证,但入侵者还可以采用QL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据,同时,由于服务器内数据未进行加密,在信息交流传递过程中会存在信息泄露风险。
2电力企业网络信息安全防护措施
2.1进行网络安全风险评估电力企业在进行网络信息安全防护时,技术革新是一方面,加强信息安全管理是重中之重。因此,在进行网络信息安全建设实施阶段,需要对企业当前面临的网络信息安全环境进行分析总结,找出可以降低网络信息安全风险的突破口,并计算投入和降低风险带来的收益之前的差额,权衡电力企业进行网络信息安全建设的必要性。对于很多电力企业而言,弄清楚网络信息安全存在的风险点以及解决对策非常重要,对于后期的具体实施起到事半功的效果。
2.2构建防火墙防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙可以很好的帮助服务器阻挡外界信息和指令,同时对信息传输指令加以控制。电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。为了防止各种意外的发生,需要对各种数据进行定期的备份。电力企业防火墙体系构建如下:访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删,能有效的对网络进行控制,对流入和流出路由器接口的数据包进行过滤,达到部分网络防火墙的效果。
2.3加强对计算机病毒的预防控制对网络信息安全直接威胁最大的是网络病毒,而新型计算机病毒对电力企业网络安全的影响最大。目前,很多电力企业都是在病毒入侵导致系统或者数据瘫痪后才发现问题,此时挽救的几率已经很小。因此,需要企业网络管理部门在病毒入侵之前就能够切断,从根源上避免计算机病毒对信息造成威胁,建立一套科学完整的计算机病毒预防管理体系,从病毒监控、强制防止及恢复四个环节着手,将病毒对网络信息安全的影响降低到最小。前期预防具有重要意义,可以防止病毒继续扩散,同样的在病毒入侵之后的有效查杀也至关重要。很多电力企业已经建立了防毒系统,可以保证在病毒代码到来之前,就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件、文件夹写保护等各种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。
2.4开展电力企业内部的全员信息安全教育和培训活动在企业安全管理建设过程中,安全意识和安全技能的培养至关重要。安全意识和安全技能的学习需要全体员工共同参与,各级主管及班长应积极带头,确保人人参与、人人掌握,防止实际工作中因个人操作不当造成风险发生。在具体学习和培训过程中,各个电力企业应当按需定制,针对中高级管理人员,应当着重管理和领导技能培训,学习企业信息安全的控制重点和需要达成的目标,便于指定决策。针对岗位负责人,应当充分灌输信息安全防护的意义,信息安全事故发生时应采取的处理方式。针对具体业务人员,应让他们学习确保信息安全而必须遵循的操作手法,同时强化个人责任意识并告知因个人原因发生信息安全风险需要承担的责任。只有逐层逐级开展全方位的安全教育和培训,才能从思想层面加强企业信息安全建设。
3结论
在网络安全体系中,防火墙是最重要的安全要素。同样,该系统模型以防火墙为联动中心。防火墙在安全防护中的地位决定了防火墙是一切安全联动技术的中心和基础。
首先防火墙是网络安全最主要和最基本的基础设施。防火墙是保护网络安全的最重要技术,它是保护网络并连接网络到外部网的最有效方法。防火墙是网络安全防护体系的大门,所有进出的信息必须通过这个唯一的检查点。实际上,它为网络安全起到了把关的作用。
其次,联动需要防火墙。网络入侵检测系统离不开防火墙。网络入侵检测技术主要是利用网络嗅探的方式,对网间的数据包进行提取和分析。它的局限性使得该技术本身的安全性同样需要防火墙的保护。入侵检测虽然具有一定的发现入侵、阻断连接的功能,但其重点更多地放在对入侵行为的识别上,网络整体的安全策略还需由防火墙完成。因此,入侵检测应该通过与防火墙联动,动态改变防火墙的策略,通过防火墙从源头上彻底切断入侵行为。基于类似的原因,漏洞扫描技术同样离不开防火墙。
基于以上的系统模型,我们主要考虑了以下的联动互操作:
防火墙和漏洞扫描系统之间的互操作
漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。它的局限性在于当它发现漏洞时,它本身不能自动修补漏洞,在安全产品不具备联动性能的情况下,一般需要管理员的人工干预才能修补发现的安全漏洞。这样,在发现漏洞与修补好漏洞之间存在一个时间差,在这个时间间隔里,如果发现风险级别很高的漏洞又不能采取其它任何补救措施,系统的安全就会面临极大的威胁。在这种情况下,就可以请求防火墙的协作,即当扫描系统检测到存在安全漏洞时,可以及时通知防火墙采取相应措施。
防火墙和入侵检测系统之间的互操作
入侵检测系统(IDS)是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。入侵检测系统在发现入侵后,会及时做出一些相对简单的响应,包括记录事件和报警等。显然,这些入侵检测系统自动进行的操作,对于网络安全来说远远不够。因此,入侵检测系统需要与防火墙进行协作,请求防火墙及时切断相关的网络连接。
防火墙是访问控制设备,安置在不同安全领域的接口处,其主要目的是根据网络的安全策略,按照经过的网络流量,而这种控制通常基于IP地址、端口、协议类型或应用。包过滤、网络地址转换、应用和日志审计是防火墙的基本功能。目前,防火墙已经成为企业网络安全的第一道屏障,保护企业网络免遭外部不信任网络的侵害。
IDS则不同于防火墙,它不是网络控制设备,不对通信流量做任何限制。它采用的是一种动态的安全防护技术,通过监视网络资源(网络数据包、系统日志、文件和用户活动的状态行为),主动寻找分析入侵行为的迹象,一旦发现入侵,立即进行日志、告警和安全控制操作等,从而给网络系统提供对外部攻击、内部攻击和误操作的安全保护。
随着计算机网络的飞速发展,企业从传统的砖瓦水泥中脱离出来,通过互联网构筑强大的信息网络,来应对瞬息万变、不断白热化的竞争形势。而几乎等同于企业命脉的数据安全一旦遭受攻击或窃取,给企业带来的损失将是灾难性的。
据美国司法部犯罪科的计算机犯罪研究报告统计,有超过82%的计算机犯罪是由于简单的user/password身份验证,为犯罪分子潜入企业网络提供了可趁之机。
如何确保进入企业网络内部的ID是安全和不被盗用的,已经成为企业安全问题的最大困扰。
传统认证难堪重任
传统的认证方式大部分是基于对用户身份验证的角度出发的。例如加密、U/F验证以及USB Key结合数字证书等。
密码一旦被攻击者盗窃、字典攻击、中间截获,则很容易发生具有破坏力的计算机犯罪。相对于原始的身份验证,USB结合数字证书的认证方式由于拥有相对较高的安全性目前被广泛应用于各个领域。
这种认证方式将经过授权的数字证书存放于USB Key中,通过对USB Key中数字证书的验证来确定使用者是否是经过授权的用户。但由于USB Key极容易发生丢失和盗窃,因此企业依然难以保证网络安全的安全系数。
更有甚者,家贼难防,来自企业内部的失密竟然占据信息安全问题的绝大比例,统计数据的显示确实令人遗憾和惊叹,80%以上的企业数据安全问题是由内部员工引起的。
传统的基于身份验证的认证方式,已难以应对企业日益提高的安全系数要求。如何进一步为企业网络安全实施有效的保护措施成为市场关注的焦点。
“设备密钥”也验计算机
如果能够对进行连接的计算机也同时进行验证,在连接网络之前,保证计算机是已知的、可管理的设备,已下载最新的防病毒软件和补丁程序,那么企业的网络安全系数是否会大大提高?
凤凰科技公司推出了一款工具软件TrustConnector,使“用户的硬件设备”成为企业安全系统认证中的一个核心环节,确保只有使用“可信赖设备”的授权用户才能够访问企业网络。
在开启计算机的电源之后和操作系统运行之前的一段时间由BIOS控制着计算机,它的任务是确保计算机的所有硬件部件――例如硬盘、内存和键盘正确安装和运行。
正是利用在BIOS系统软件的核心技术,TrustConnector可以随机选择用户端电脑中不同零部件的唯一编号,如CPU系列编号、媒体存取控制地址等,以乱码形式产生代表该电脑设备的身份号码,设备密钥(Device Key),从而确保设备的惟―性。
同时,由于该产品可以通过与PKI/CA体系的结合,认证服务器对设备的识别来实现认证,因此一旦发生内部泄密,企业将很容易确定泄密的设备,从而进行进一步的追查。
分级设防
企业安全系统应分成三个层次,包括企业内部不同等级的安全防范、网络当中不同等级的安全防范以及在终端设备进行的安全防范。不同层次的安全需求,企业应该采取对应的安全防护手段。
对于一些对安全系数要求较低的部门和系统,采用普通的身份验证方式即可应对安全问题,而对于一些对安全有高敏感性的领域,如:金融系统、商业机密、客户及人事纪录、个人数据及受管制的数据等,企业应从设备层面着手,保护网络资产。