前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业网络安全预案主题范文,仅供参考,欢迎阅读并收藏。
关键词:网络安全 网络管理
中国拥有四千万中小企业,据权威部门调研发现,90%以上的中小企业至少都已经建立了内部网络。但是,随之而来的,就是企业内部网络的安全性问题。多核、万兆安全、云安全这些新技术对于他们而言或许过于高端,中小企业应该如何进行网络安全管理?又该从哪入手呢?
1 企业内部网络建设的三原则
在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。
原则一:最小权限原则
最小权限原则要求我们在企业网络安全管理中,为员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。
如企业现在有一个文件服务器系统,为了安全的考虑,我们财务部门的文件会做一些特殊的权限控制。财务部门会设置两个文件夹,其中一个文件夹用来放置一些可以公开的文件,如空白的报销凭证等等,方便其他员工填写费用报销凭证。还有一个文件放置一些机密文件,只有企业高层管理人员才能查看,如企业的现金流量表等等。此时我们在设置权限的时候,就要根据最小权限的原则,对于普通员工与高层管理人员进行发开设置,若是普通员工的话,则其职能对其可以访问的文件夹进行查询,对于其没有访问权限的文件夹,则服务器要拒绝其访问。
原则二:完整性原则
完整性原则指我们在企业网络安全管理中,要确保未经授权的个人不能改变或者删除信息,尤其要避免未经授权的人改变公司的关键文档,如企业的财务信息、客户联系方式等等。
完整性原则在企业网络安全应用中,主要体现在两个方面。一是未经授权的人,不能更改信息记录。二是指若有人修改时,必须要保存修改的历史记录,以便后续查询。
原则三:速度与控制之间平衡的原则
我们在对信息作了种种限制的时候,必然会对信息的访问速度产生影响。为了达到这个平衡的目的,我们可以如此做。一是把文件信息进行根据安全性进行分级。对一些不怎么重要的信息,我们可以把安全控制的级别降低,从而来提高用户的工作效率。二是尽量在组的级别上进行管理,而不是在用户的级别上进行权限控制。三是要慎用临时权限。
2 企业内部网络暴露的主要问题
2.1 密码单一
2.1.1 邮件用统一密码或者有一定规律的密码
对于邮件系统、文件服务器、管理系统等等账户的密码,设置要稍微复杂一点,至少规律不要这么明显,否则的话,会有很大的安全隐患。
2.1.2 重要文档密码复杂性差,容易破解
纵观企业用户,其实,他们对于密码的认识性很差。有不少用户,知道对一些重要文档要设置密码,但是,他们往往出于方便等需要,而把密码设置的过于简单。故我们对用户进行网络安全培训时,要在这方面给他们重点提示才行。
2.2 网络拥堵、冲突
2.2.1 下电影、游戏,大量占用带宽资源
现在不少企业用的都是光纤接入,带宽比较大。但是,这也给一些酷爱电影的人,提供了契机。他们在家里下电影,下载速度可能只有10K,但是,在公司里下电影的话,速度可以达到1M,甚至更多。这对于喜欢看电影的员工来说,有很大的吸引力。
2.2.2 IP地址随意更改,导致地址冲突
有些企业会根据IP设置一些规则,如限制某一段的IP地址不能上QQ等等一些简单的设置。这些设置的初衷是好的,但是也可能会给我们网络维护带来一些麻烦。
2.3 门户把关不严
2.3.1 便携性移动设备控制不严
虽然我们公司现在对于移动存储设备,如U盘、移动硬盘、MP3播放器等的使用有严格的要求,如要先审批后使用,等等。但是,很多用户还是私自在使用移动存储设备。
私自采用便携性移动存储设备,会给企业的内部网络带来两大隐患。
一是企业文件的安全。因为企业的有些重要文件,属于企业的资源,如客户信息、产品物料清单等等,企业规定是不能够外传的。二是,若利用移动存储设备,则病毒就会漏过我们的设在的病毒防火墙,而直接从企业的内部侵入。
2.3.2 邮件附件具有安全隐患
邮件附件的危害也在慢慢增大。现在随着电子文档的普及,越来越多的人喜欢利用邮件附件来传递电子文档。而很多电子文档都是OFFICE文档、图片格式文件或者RAR压缩文件,但是,这些格式的文件恰巧是病毒很好的载体。
据相关网站调查,现在邮件附件携带病毒的案例在逐年攀升。若企业在日常管理中,不加以控制的话,这迟早会影响企业的网络安全。
3 企业内部网络的日常行为管理
由于组织内部员工的上网行为复杂多变,没有哪一付灵药包治百病,针对不同的上网行为业界都已有成熟的解决方案。现以上网行为管理领域领导厂商深信服科技的技术为基础,来简单介绍一下基本的应对策略。
3.1 外发Email的过滤和延迟审计。
防范Email泄密需要从事前和事后两方面考虑。首先外发前基于多种条件对Email进行拦截和过滤,但被拦截的邮件未必含有对组织有害的内容,如何避免机器识别的局限性?深信服提供的邮件延迟审计技术可以拦截匹配上指定条件的外发Email,人工审核后在外发,确保万无一失。
事后审计也不容忽视。将所有外发Email全部记录,包括正文及附件。另外由于Webmail使用的普遍,对Webmail外发Email也应该能做到过滤、记录与审计。
3.2 URL库+关键字过滤+SSL加密网页识别。
通过静态预分类URL库实现明文网页的部分管控是基础,但同时必须能够对搜索引擎输入的关键字进行过滤,从而实现对静态URL库更新慢、容量小的补充。而对于SSL加密网页的识别与过滤,业界存在通过SSL加密流量、解密SSL加密流量的方式实现,但对于组织财务部、普通员工操作网上银行账户的数据也被解密显然是存在极大安全隐患的。深信服上网行为管理设备通过对SSL加密网站的数字证书的进行识别、检测与过滤,既能满足用户过滤 SSL加密网址的要求,同时也不会引入新的安全隐患。
3.3 网络上传信息过滤。
论坛灌水、网络发贴、文件上传下载都需要基于多种关键字进行过滤,并应该能对所有成功上传的内容进行详细记录以便事后查验。但这是不够的,如藏污纳垢的主要场所之一的互联网WEB聊天室绝大多数都是采用随机动态端口访问,识别、封堵此类动态端口网址成为当下上网行为管理难题之一,只有部分厂商能妥善解决该问题,这是用户在选择上网行为管理网关时需要着重考虑的问题。
3.4 P2P的精准识别与灵活管理。
互联网上的P2P软件层出不穷,如果只能封堵“昨天的BT”显然是不足的。在P2P的识别方面深信服科技的P2P智能识别专利技术――基于行为统计学的分析的确有其独到之处。基于行为特征而非基于P2P软件本身精准识别了各种P2P,包括加密的、不常见的、版本泛滥的等。有了精准识别,这样的设备对P2P的流控效果格外出众。
3.5 管控各种非工作无关网络行为。
【关键词】 信息安全; 防火墙;技术特征;并发连接数
一、防火墙的发展历程及工作原理
从广义上讲,防火墙保护的是企业内部网络信息的安全。从狭义上讲,防火墙保护的是企业内部网络中各个电脑的安全,防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙的发展经过了几个历程:第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,提出了第三代防火即应用防火墙的初步结构。第四代防火墙,1992年USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。1998年,NAI公司推出了一种自适应(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
二、防火墙技术工作原理
1.包过滤分。静态包过滤,过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。状态包过滤,防火墙采用了一个在网关上执行网络安全策略的软件引擎,被称为模块。监测模块工作在链路层和IP层之间,对网络通信的各层实施检测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新。其另外一个优点是能够提供对基于无连接的协议(UDP)的应用(DNS,WAIS等)及基于端口动态分配的协议(RPC)的应用的安全支持。
2.应用防火墙。应用防火墙检查数据包的应用数据,并且保持完整的连接状态,他能够分析不同协议的命令集,根据安全规则景致或者允许某些特殊的协议命令。通过限制某些协议的传出请求,来减少网络中不必要的服务,大多数防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事进行记录
三、企业选择防火墙
在应用领域,企业需要对外提供如WEB服务、DNS域名解析以及其他服务等,这些应用会使网络流量不断变化,企业就需要性能指标好的防火墙,要考虑的基本标准:防火墙的基本功能、管理功能、内容过滤、NAT技术、状态检测、抗攻击能力等;更要考虑吞吐量、延时、丢包率、并发连接数等性能表现,并发连接数为评价防火墙性能的最主要因素:(1)吞吐量。吞吐良作为衡量防火墙性能的重要指标之一,要求防火墙具有单向或双向线连吞吐量的能力。(2)时延。其时延是体现处理数据的速度。(3)丢包率。主要测试的是在连接负载的情况下、防火墙由于资源不足应转发但未转发的祯的百分比。(4)并发连接数。并发连接数是指防火墙对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
在实际应用中,由于大多数连接的维持存活周期非常短,从统计角度上来说,并发连接数/每用户的等效数值 Sum_Statistical = Sum_Peak×0.3将是一个非常充分、宽松的等效换算公式。每个用户所需要的并发连接数=35×0.3=10.5个,这是一个比较合理、科学的统计估值。高并发连接数的防火墙设备通常需要客户投资更多的设备,这是因为并发连接数的增大牵扯到数据结构、CPU、内存、系统总线和网络接口等多方面因素。在合理的设备投资和实际上所能提供的性能之间按照并发连接数来衡量方案的合理性是一个值得推荐的办法。
以每个用户需要10.5个并发连接来计算,一个中小型企业网络(1000个信息点以下,容纳4个C类地址空间)大概需要10.5× 1000=10500个并发连接,因此支持20000~30000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(信息点数在 1000~10000之间)大概会需要105000个并发连接,支持100000~120000最大并发连接的防火墙就可以满足企业的实际需要;对于大型电信运营商和ISP来说,电信级的千兆防火墙(支持120000~200000个并发连接)则是恰当的选择。
总之,在构建和完善企业内部网络的时候,避免为较低需求而采用高端的防火墙设备将造成用户投资的浪费,也要避免为较高的客户需求而采用低端设备将无法达到预计的性能指标,也需要谨慎的考虑和选择节省企业的开支,达到最佳的性价比。
关键词:企业网络;安全管理;维护
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 06-0000-01
Enterprise Network Security Management and Maintenance
Xiang Yijun
(Quzhou City Company of Zhejiang Tobacco Company,Quzhou324000,China)
Abstract:With the rapid development of science and technology,the popularity of computer networks have become more sophisticated,many companies are using the network of office and trade.However,with the popularity,there have been some corporate network security risks.This article from the corporate network security risks exist starting from the perspective of management and maintenance measures for the two talk about the how to strengthen the security of enterprise networks.
Keywords:Enterprise network;Safety management;Maintenance
一、企业网络的安全隐患
(一)网络系统中存在安全隐患。目前,现代企业网络大多采用以广播技术为基础的快速以太网的类型,传输协议通常为TCP/IP协议,站点以CSMA/CD机制进行传输信息,网络中任何两个节点之间的通信数据包,不仅能够被这两个节点的网瞳所接受,同时又无法避免地被处在同一以太网上的任何一个节点的网卡截取。因此,只要能够接入以太网上的任一节点进行侦听,就可以捕获发生在该以太网上的所有信息,对侦听到信息加以分析,就能窃取到关键信息。这是企业网络安全存在的普遍安全隐患。通常,大多数企业由于网络建设经费的不足,没有相应的网络安全设备,对企业的网络安全也没有有效的安全预警措施和防范手段。
(二)缺少专业的网络技术管理人员。企业大多都没自己专业的网络技术管理人员。企业对网络的出口、网络监控等都缺乏有效的技术管理,而且企业内部上网用户的身份无法一一识别,这也存在着极大的安全隐患。
(三)电子邮件的收发系统不完善,缺乏安全管理和监督的手段。企业收发电子邮件是网络办公的一项基础活动,但是这个活动也是最容易感染病毒和垃圾的途径。而企业大多在公司内部网络中没有设置邮件过滤系统,对邮件的监督和管理都不完善,同时,这也不符合国家对安全邮件系统提出的要求,即使出现了侵害企业利益的事件也无法及时有效地解决。
(四)网络病毒的肆虐。只要上网便不可避免的会受到病毒的侵袭。一旦沾染病毒,就会造成企业的网络性能急剧下降,还会造成很多重要数据的丢失,给企业带来巨大的损失。
二、加强对企业网络安全的管理
(一)建立健全企业关于网络安全的规章制度。只有建立了完善的规章制度,企业的各项工作才能得以顺利开展。企业要针对网络的安全责任和惩戒措施做出详细的书面规定,并进行相关制度的学习工作,让企业内部的员工都对网络安全的规章制度有所了解。对违反制度的人员要进行严厉处罚,同时,企业还要建立并完善企业内部的安全保密制度。
(二)规范企业网络管理员的行为。企业内部安全岗位的工作人员要经常进行轮换工作,在公司条件允许的情况下,可以每项工作指派两到三人共同参与,形成制约机制。网络管理员每天都要认真的查看日志,通过日志来清楚的发现有无外来人员进入公司网络,以便做出应对策略。
(三)规范企业员工的上网行为。根据每个员工的上网习惯不同,很多员工会把在家里使用电脑的不良习惯带到公司里来。这就要求企业要制定规范,规定员工的上网行为,如免费软件、共享软件等没有充分安全保证的软件尽量不要安装,同时,还要培养企业员工的网络安全意识,注意病毒的防范和查杀的问题,增强计算机保护方面的知识。
(四)加强企业员工的网络安全培训。企业网络安全的培训大致可以包括理论培训、产品培训、业务培训等。通过培训可以有效解决企业的网络安全问题,同时,还能减少企业进行网络安全修护的费用。
三、企业网络安全的维护措施
(一)使用防火墙技术。防火墙技术采用的核心思想是在相对不安全的网络环境中建构一个相对安全的子网,也是目前国际上最流行、使用范围最广的一种网络安全的技术。防火墙可以监控进出网络的通信数据,让允许访问的计算机和数据进入内部网络,将不允许进入计算机的数据拒之门外,限制一般人员访问内网及特殊站点,最大限度地阻止网络中的黑客访问企业内部网络,防止他们更改、拷贝、毁坏重要信息。因此,防火墙可以有效阻挡外网的攻击。目前,为了提高企业网络的安全性,企业网络中的防火墙设置一般遵循以下原则:依照企业的网络安全策略及安全目标,设置有效的安全过滤规则,严格控制外网不必要的的访问;配置只允许在局域网内部使用的计算机的IP地址,供防火墙识别,以保证内网中的计算机之间能正确地进行文件或打印机等资源的共享。
(二)数据加密技术。企业如果要通过外网传送一些比较重要的机密文件和数据,则必须使用加密技术对文件和数据进行保护。加密技术和防火墙技术的配合使用,可以大幅度提高信息系统和数据的安全性,有效地做到防止文件和数据外漏的危险。
(三)入侵检测技术。在不良的企业竞争中,会有许多入侵其他企业的网络、盗取商业机密的现象出现。为确保企业的信息安全,可以在企业网络中安装入侵检测系统,这样就可以从计算机网络的若干关键点收集信息,并分析这些信息,从中发现公司的网络中是否存在违反安全策略的行为和入侵迹象,系统一旦检测到可疑的地址,便会自动切断入侵者的通信,并及时发送警告给企业的网络管理员,对企业的信息进行有效地安全保护。
四、结语
在企业的信息化建设过程中,企业的网络安全和稳定是信息化建设发展的基础。随着信息技术的发展,企业的网络安全将受到更大的威胁,这就要求企业的领导、技术人员以及普通员工都要不断提高自身的网络安全意识,切实保证企业网络的安全、稳定运行。
参考文献:
[1]万长有.企业网络安全技术防范措施[J].民营科技,2009,12
【关键词】企业 内部网络 安全 威胁 防范 措施
近年来,大家对于网络安全的认知上存有误差,他们总以为这是来源于企业外部的因素导致内部问题发生,这种说法是错误的。因为网络安全问题是涉及到相关网络研究网络的部门、还有企业内的网络设施等,但事实上,网络研究人员却将主要的安全隐患锁定网络外部目标,却常常忽视了最隐秘的威胁因素是来源于企业内部,数据统计,有金百分之八十五的安全隐患问题来源于内部,其隐患出于企业内部与外部的比例在逐年变大。
1 企业内部网络安全威胁
在企业内部由于自身的ICP协议和操作方法不正确,并主要是企业内部很大一部分人员操作不当导致,这些人为原因引起的网络威胁问题,其主要表现为:
1.1 用户操作步骤及方法不当
极有可能导致网络设备的内外部相应的毁坏等,引起错误删减重要的数据或使得网络硬盘恢复格式化等不同方面的问题出现。
1.2 有意恶性损坏
因个别人为因素导致,一些内部人员因情绪失控,做出某些破坏性预谋损坏行为,故意致使企业内部网存有威胁。
1.3 某些可移动的存介质在应用过程中不当的管理
这是一种难度程度极大的,直接威胁企业内部信息的关键要素,因此,相关网络部门人员需思考怎样才能防止介质消失或是禁止相关数据的授权等方面问题,是当下最难克服的重要问题。
1.4 黑客袭击或是病毒查杀操作不到位
因为在使用盗版的软件下载,是进行病毒无线传播的渠道。
1.5 组权分配不完善
在相关的网络服务人会员的组权分配问题上,还不是很完善。
1.6 企业内部账户的不合理设置
不能对其口诀进行较为合理的分配原则。
1.7 专业人员素质不高
相关的网络专业人员的技能操作应用效果不明显,加上工作态度问题,都是网路殴所隐藏的关键要素。
1.8 服务端口启动频繁
为了更多地搜集数据信息企业内部管理员频繁启动运行服务端口,致使网络产生严重的威胁。
2 网络安全问题排查及预防方法
2.1 访问控制
(1)通过有效的首层的安全和预防程序,也就是把初次入网客户通过当地及相关程序的审核与访问实现客户的验证过程,便于认识与检验、以相当的长度密码设定,并规定以阿拉伯数字、密码输入及相互引的其他的符号作为依据。
(2)设定访问权限。通过对一般的大众用户进行资源整合,实现对有关文件的有效操作,其应用程序所展示的安全性能含:erase、write、create、modify、access control等
(3)以交换机为基础,形成访问的有效设定,其主要包含有端口的限制问题。
(4)将其他的不需要的弹出窗口及时关闭。
(5)对资源策略的共同享有过程中避免涉及所谓的资源整合陷阱,并禁止在协议书删改相关协议内容或数据,不要以Administrator帐户的重新名称更改。
2.2 数据密码保护
(1)在网络数据、信息传输过程中,需进行技术的加密程序改良,确保信息的准确,并在信息的整体的发出过程实现智能化的加密程序,实现数据整体的存档,转化为不能有效分辨的或是不能够有效数据读取。当相关数据信息实现目的地产生的最初位置,并通过智能组合,与密码的解析步骤,确保数据的争取读取。
(2)在密码设置上要层层把关。在进行相关的存储信息或相关运转数据进行合理分析,对所设定的密码也应制定,在进行存储相关内容的存储加密设定,将以密码层层存储加密为主线,避免非正当企图的人员进行密码的解析。
2.3 系统补丁
按时定期的对系统软件进行全面的创意型数据库的相关漏洞。确保系统的安全与稳定。
3 防护
3.1 防火墙
通过防火墙的权限设定对象,并进行访问的方法,应以最快的速度还在设置咨询信息,禁止策略与防火墙的同时采用防火墙限制权限,并在防火墙中有效设定策略,禁止非法用户的操控进入界面。
3.2 入侵检测
通过应急事件预见性的处理,并检测系统,避免发生异常物体的发生及预防。其入侵检测的性能及状态,是依据其有效的静态密码层层保护,使得在功能上进行整合,针对相关的病毒入侵侵犯性技术难题与防火墙共同的补充。一些关键性的数据信息储备在应用网络上要实现存放的有效保障,以所配置的系统的入侵方式的不同,其在网络的数据输送与传输也不相同,在发生不恰当的操作使用时,要根据相关政策进行有效的技术隔断与实时报警,确保入侵的有效防护工作。因此说,在遇到不安全信息侵犯时,组织数据流的过程,就是实现网络内部策略的有效实现方式。
3.3 病毒防护软件
通过使用并下载病毒软件来进行有效的病毒查处功能,按一定周期来实现数据库的有效保护与监督,确保安全防护办法的执行,对那些安全隐患的网络问题及时进行制止,进一步确保企业内部网络的病毒净化与信息安全保障工作。
参考文献
[1]杨旭.计算机网络安全漏洞及防范措施研究[J].网络安全技术与应用. 2015(07)103-126.
[2]刘洪民,印帮辉,王钰,孙宇.计算机网络安全漏洞及防范分析[J].计算机光盘软件与应用,2014(12)23-36.
[3]王丽丽,李晓明,徐凡特.网络安全漏洞的现状及面临问题分析[J].科技创新导报,2013(15)12-15.
关键词:企业;网络安全;防护;具体应用
中图分类号:TP393.08
随着时代的发展,安全性已经成为计算机网络技术的应用中最为重要、最为关键的一个问题,而这一问题,也往往是我们日常生活中最容易忽视的问题,目前来说,计算机网络安全问题主要是重要信息的泄露,一般原因在于计算机的病毒、木马入侵,随着网络的普及,这些问题也在不断的出现,因此,当前,对于计算机安全方面的要求更高,不仅要被动的防止木马、病毒的入侵,主动地抵制非法黑客进入内网,窃取重要信息,同时还要保障信息在传输过程中的安全性和保密性,避免在传输的过程中被非法用户窃取。对于企业来说,一旦计算机网络安全受到威胁,那么必然会导致企业的利益受损,更有甚者,可能导致企业竞争不断地处于劣势,最终面临破产的危机。
1 何为计算机网络安全
我们日常说的计算机网络安全通常就是说为了最大程度的保护网络,避免内网遭受侵害而主动或者被动的采取的各种措施。一般来说,如果采用科学的方法,正确的采用网络安全的具体措施,那么,就能够保障网络的正常运行,同时保护个人或者企业的隐私不会泄露。计算机网络安全主要有以下几个内容,第一就是计算机网络的保密性,保密性通常就是保护系统可以组织那些非法用户或者黑客、未授权的用户获取相关的保密信息,确保信息的保密性。第二是完整性,完整性的概念主要是指传输信息、资料的完整性,即在没有授权,未经允许的情况下,保证资料不被恶意修改和删除,另外还包括软件的完整性,即确保软件的具体的运作程序不被恶意或者随意的修改,避免出现各类错误。第三就是可用性,我们所说的可用性就是指计算机网络在在遭受来自外界的恶意攻击时,计算机网络安全系统便可以确保计算机网络的合法用户依然可以正常进行访问等工作。
网络安全的基本特征如下:所谓机密性,一般来说是指不随意的将信息泄露给非法用户或者未被授权的用户。在网络中,存在着许多的层次,而每一个层次都是具有机密的,因此都需要保护,采取防范措施,例如,在运行层面,就需要保证合法用户的正常的使用,而对于那些没有被授权或者是身份不明的用户,则禁止访问和使用,同时具有一定的抗侵入功能,避免黑客的恶意攻击;所谓完整性就是指信息的完整性,主要的表现为没有经过授权的用户和身份不明的用户是不能够对信息进行修改的,这样可以防止信息不被恶意破坏。随意的插入广告和木马、不耽误信息传播的延迟,保障信息的顺序比被打乱,保障信息不丢失,完整的进行信息的传输工作;所谓可用性则是指已经被授权的用户,可以在正常运行时间内,可以正常的使用的特性,这一性能主要是为了保障使用者(合法的)正常访问。
2 计算机网络中存在的网络安全问题
2.1 病毒、木马以及蠕虫、间谍等有害软件
病毒、木马以及蠕虫、间谍等有害软件可以说是当前计算机网络中最常遇见的安全问题,病毒可以说是最容易遇见的问题了,一般来说,病毒就是一种可执行的代码,这种代码可以不同程度的破坏掉正常运作的计算机的操作系统和应用系统,一般是隐藏在合法的信息或者邮件当中,或者直接伪装成合法邮件,甚至还可能在即时消息中发送,这一点与蠕虫特别相似,蠕虫只是比病毒更为普遍,
蠕虫是可以自动进行传播的,主要是依托于文件传输功能来完成,也正是因为这样,才导致了计算机网络中的许多个人信息以及密码等隐私,被木马所截获,这样就没办法保证信息的安全性,未授权的用户甚至可以访问安装了木马的系统。间谍软件其实也是一种病毒,只不过是一种特殊的病毒,主要是恶意的病毒代码,
这些病毒代码有一种功能,是可以监控系统功能的,同时,还可以将截取的信息传输给间谍软件的操作者,成功获取信息。
2.2 拒绝服务攻击和计算机网络系统的滥用和误用
随着木马、病毒的多样化入侵,企业的计算机网络安全意识在不断的提高,但是,正所谓道高一尺魔高一丈,尽管企业的安全防护性在不断的提升,黑客的攻击手段也在不断地更新,因此就会发生拒绝服务的现象,它们的攻击可能向服务器大量的发送请求,从而使服务器因为超载而瘫痪,从而不能为合法用户提供应有的服务。当然,我们也不得不承认,在我们的公司内部,存在着许多的误用和滥用计算机网络系统及其信息、数据的现象,有时候,都是稍不注意,就已经将公司的机密泄露掉,企业员工的保护意识不够强。
2.3 安全机制和安全工具以及安全系统
在理论上,我们当前所使用的每一种安全机制和安全工具,必然都有其固定的适用范围,对于应用环境也是有要求的,例如,防火墙这种有效的安全工具,确实是可以在一定程度上隐藏企业的内部网络的结构,但是,不得不承认的事实是,对于我们企业内部的网络之间的相互访问,防火墙确实是起不到任何防范作用,因此也就达不到目标。另外,BUG是极有可能存在于我们计算机的操作系统和应用软件中,致使网络瘫痪或者某个程序不能正常运行,给企业的计算机网络系统的安全带来不便。
3 计算机网络系统的安全防护解决方案
保障信息的机密性,最主要的就是不能让信息泄露,特别是那些未经授权的用户,一旦被黑客攻击,立即采取物理隔离技术进行补救,即信息系统要与外网实行物理隔离,这一技术的实现依靠隔离卡的辅助或者增加一块硬盘;保障信息的完整性,在录入、传出、收获这一过程中,必须有效的保障信息的一致性,防止被非法用户篡改、破坏,可以采用数据存储加密技术,对信息系统中存放数据进行加密,使这成为编码或者密文,用户对其进行访问需要对数据实时进行解密;对于来访者的身份、企业内部合法用户的身份的核实,需要加强访问控制技术,经对其访问系统资源的权限进行限制,一般分为自主访问控制、强制访问控制和角色控制;要保障服务的可用性,主要是防止恶性的向服务器发送请求,使服务器瘫痪而不能提供正常的服务,可以采用安全审计技术(模拟社会检察机构在信息系统中用来监视、记录和控制用户活动)它使影响系统安全的访问留下痕迹,便于锁定。
4 结束语
当今社会,信息化不断发展,计算机网络安全已经成为一个重要的问题,关系到个人的生活以及企业的正常工作,这一问题的内容覆盖面广,最为主要的就是计算机信息系统本身就存在的安全问题,同时也包括了使用单位、使用人的意识和行为问题,可以说关系重大,介于以上原因,笔者撰写论文,主要介绍了计算机网络系统的安全问题的存在,同时也提出了相应的解决方案,希望有利于企业计算机系统安全问题的解决。
参考文献:
[1]高秀娟,张海亮,庞传新.网络安全与防护在通信企业中的应用[J].中国新通信,2012(10):31-32.
[2]张浩.浅议网络安全与防护在企业中的应用[J].现代企业教育,2010(22):98-99.
[3]葛金隆.网络安全与防护在企业中的应用[J].价值工程,2010(11):138-139.
[关键词]网络安全;信息化;数据信息
1企业信息化建设集成的重要性
首先,在企业管理上具有重要现实意义。在企业的经营和发展过程中经营的业务越来越多,区域越来越广泛,导致企业管理任务越来越复杂和多样,企业内部的组织结构和流程控制体系越来越完善,这都是因为信息化建设集成发挥了重要作用,其还促进管理服务和观念朝着信息化的方向发展。其次,企业信息化建设符合时展的潮流。如果想让集成化效率达到最高水平,就需要对传统的管理模式进行创新和发展,避免在集成化效率提高的同时带来一些严重的问题和风险,例如:现场安全管理和对管理人员的裁减等,企业必须在网络信息技术和计算机技术发展飞速的今天,对内部管理体系进行创新和改革,挖掘各组织和员工内在潜能和上升空间,在激烈的市场竞争中提升企业自身的活力与优势,从而将企业的经济收益上升到最高峰。第三,信息化建设集成具有自身独特的优势。大型公司集团会运用最新的互联网数据和先进的计算机技术创建一个管理信息平台,通过这个平台将在生产和管理方面的数据信息进行共享和联动,利用相关软件和系统将公司管理朝着集成化、信息化方向发展,有效地为公司的管理层提供决策理论支持,避免公司集团内部组织结构和人员冗杂,有效提高运营各环节的工作效率,以提供高质量、高效的服务。
2企业信息化建设集成中存在的网络安全问题
在利用现代网络信息平台对企业相关数据进行优化整合时,网络安全方面还存在一定的问题,企业相关信息和资料很容易受到网络攻击,系统很容易被黑客入侵,导致数据和信息被窃取或者丢失,这些问题都不利于企业的现代信息化建设集成和正常的运营发展。从外部环境来看,日益竞争的市场环境是造成网络安全管理的大环境因素,随着时代快速的发展和科学技术的进步,一些不法分子会利用黑客技术和网络病毒窃取企业内部的数据资料,并通过出售来牟取巨额利润,这种情况若得不到有效控制和整改,会导致企业网络安全环境日益恶化。其次,从企业的内部因素出发,企业信息化建设集成出现网络安全问题是因为企业自身没具备成熟的网络信息安全理念,没有采取相关的措施保证自身的网络信息安全,所以企业相关意识的缺乏使黑客有机可乘,他们简单操作就能获得企业内部的数据信息。总之,缺乏一定的网络信息防护手段和对员工的网络信息安全培训,会导致企业在信息化建设集成中受到更大的网络信息安全威胁。
3保障企业信息化建设集成中网络安全的措施
3.1创建企业信息安全标准
针对企业信息化建设集成中可能会出现的病毒入侵、非法访问和信息窃取等问题,笔者提出了一些加强网络安全的措施。首先,要建设一个信息化安全相关标准。当企业应用现代计算机网络技术,尤其是计算机集成制造系统时,要创建一个高效、高质量的企业信息化机制和信息安全标准,保证所有信息工作都具备标准流程,例如:我国现已存在的信息安全管理度量机制和测量措施,能够促使企业在运用网络信息平台时,提高自身的信息管理水平,从而保证企业在日常运用中能够顺利、安全地开展相关信息交流和信息传递工作。
3.2运用先进的网络安全技术
要引入现代网络安全技术,包括防火墙技术、入侵检测技术信息加密技术、访问控制技术等。防火墙技术是指将计算机与外部建立一道隔墙,防火墙技术包括网络级防火墙与应用级防火墙两种,网络级能够有效防止网络中的非法入侵,应用级防火墙技术是全方位地防护相关应用程序,使用起来比较简单还能够有效防止病毒入侵和非法访问。两者的防护能力与防护范围不同,因此在使用过程中需要将两者融合发挥作用,在动态防护、屏蔽路由和包过滤的基础上,更好地发挥防火墙防护技术。入侵检测技术是一种辨别网络系统的使用是否是恶意行为的技术,其在动态中对网络进行相关检测,及时发现非法访问行为和未授权的活动并反映给计算机用户,将软件与硬件融合起来共同对数据进行分析和作用,在琐碎和繁杂的数据处理方面不再需要人工操作,减少人力和资源的浪费和管理成本。但从整体来看,效果不如防火墙技术,也不能够完全代替防火墙技术。信息加密技术包括对称加密与非对成加密两种,且随着时代的发展不断优化升级。该技术主要是为了避免数据被非法窃取,对相关重要的信息资料进行加密处理,降低数据资料丢失和泄露的概率,从而在数据传递和资料存储中保证数据资料的完整性和安全性。访问控制技术是指通过检测访问者的信息在网络中保证网络资源的安全,包括高层和底层访问控制两种访问模式,前者是检测资源种类、用户权限和用户口令,后者是指通过通信协议中的信息判断访问者是否合法,并作出相关反应。
3.3提高企业网络安全管理水平
现代化企业集团在发展信息化建设集成过程中还存在很多网络安全隐患,但是传统管理模式已经明显不适用于目前的发展情况,网络安全受到了更大的威胁,造成的经济损失也较多,所以必须提高企业的网络安全管理水平。首先,要提高企业网络信息化系统管理水平和管理效率,要让企业内部包括员工和管理层都建立起网络安全管理的观念,创建一个成熟、完善的网络安全管理平台,树立现代化的网络安全管理意识,从而能够及时解决企业运营和发展过程中存在的问题,将企业发展中重要的资料信息利用网络技术实行集中性存储。另外,要对所有员工进行网络安全培训和再教育,提高员工的综合素质水平,以规范员工对信息化系统的具体操作,将企业重要数据信息进行加密处理和备份处理,企业要营造一个安全、稳定的网络安全环境,防止网络病毒和黑客的入侵。其次,企业要使用有效、实用的安全防护软件,例如,目前市场上的金山毒霸、360杀毒软件都得到了广泛运用,企业要根据自身具体情况选择一个有效的防护软件抵制外部非法入侵,设置好相关的安全管理权限,创建一个完善、严密、分层的安全管理权限体系,在用户登录和用户访问环节都要设置权限和密码,从而保证企业的信息安全。最后,要对企业信息化建设集成中的防火墙系统和访问控制模式进行完善的配置,安排一个较为专业的访问控制模式,避免网络环境中出现各种意外或者病毒入侵的情况,保证企业内部局域网络信息的安全,选择信息隐藏模式提高网络信息安全性。这种信息隐藏模式一般是运用高效的编码将数据修改方法嵌入,包括扩频嵌入和矩阵编码,将编码过程变得更加专业和复杂,网络黑客一般破译不了,有利于企业抵御网络黑客入侵和系统漏洞,保证企业信息化建设集成的健康发展,提高企业的经济收益。
4运用虚拟化的云计算平台创建相关安全机制
在运用虚拟化的云计算平台时,要具备更加安全和稳定的机制和系统,如行为约束机制、CHAOS系统和Shepherd系统,及时监控计算机中的相关进程、避免用户错误操作,防止非法进程对云计算平台的破坏,将异常进程进行数据安全隔离,从而保证企业信息化建设集成中的网络安全。
主要参考文献
[1]王然.企业信息化建设集成与网络安全措施探究[J].数字技术与应用,2017(1).
随着计算机技术在电信生产中的广泛应用,许多企业员工的计算机技术得到了一定程度的提高,又因电信企业各工作站点分布在不同的生产场所,有的生产场所管理不严,职工和维护人员口令没有注意保密,导致企业内部部分员工在非工作时间盗用他人密码登录系统进行非法操作,严重地威胁到系统数据安全及生产流程的有效管理。外部人员的非法入侵。电信企业计算机网络和相关上级部门实现了互联,势必存在着有人通过这种互联非法入侵的可能性;同时,因部分设备厂家远程维护的需要,提供了部分远程拨号登录端口,如果对该登录端口管理失控,那么设备供应厂家众多计算机网络高手必然借机非法入侵,使该系统成为他人练习技术的场所。电脑病毒的破坏。在现代计算机世界里,数以千万计的电脑病毒无疑是令无数计算机工作者头痛的问题,特别是近年来,破坏硬件的病毒不断出现,例如CIH病毒等,对计算机系统的破坏性大大增强。物理设备的破坏。因为火灾、雷击、电源、被盗等原因造成小型机或主网络设备服务器的硬件损坏、被盗,导致网络中断,数据全部丢失,也是威胁电信企业计算机网络安全的重要因素。
2电信企业计算机网络安全的防范措施
通过前面的分析,我们可以知道,电信企业计算机网络平台上的信息资源事关广大客户能否正常享有电信企业提供的各项服务及企业各项业务生产处理流程能否正常进行,因而一旦安全受到威胁,将会危及整个网络的正常运转,甚至会使全网的机器瘫痪,大量重要数据丢失,造成无法估计的损失。为了防止此类事件的发生,必须根据企业实际情况,制定防范措施,确保网络的安全性,笔者认为应该从以下几个方面来考虑:
2.1分利用先进的计算机技术,分别在网络层、系统设备层、应用层进行分级安全保护。网络建设时,必须按国际C2级安全性标准来规划、设计;在CISCO路由设备中,利用CISCOIOS操作系统的安全保护,设置用户口令及ENABLE口令,解决网络层的安全问题;对厂家远程维护的拨号上网用户,加入口令保护,使用加密协议,监控其上网维护过程。构建网络防火墙体系,过滤纵向网与电信企业计算机网络诉互联,防止外部用户的非法入侵。充分利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全。对各服务器操作系统和数据库设立访问权限;同时,利用UNIX的安全文件,限制远程登录主机,以防非法用户使用TELNET、FTP等远程登录工具,进行非法入侵。
2.2建立电信计算机网络电脑病毒立体预防体系。面对日益猖獗的计算机病毒,企业的计算机管理部门必须建立有效的规章制度,定期对网络系统进行防病毒检查。
2.3加强计算机网络安全性管理。企业必须设立专门的系统安全性管理员,负责整个网络系统的安全性监控、管理、维护。必须做好小型机及服务器操作系统、数据库系统、核心网络路由设备、网络交换机等系统超级用户的口令管理,严格保密,防止他人窃取。因为超级用户具有至高无上的权限,其口令为网络安全性的第一道大门,一旦失窃,其他安全性措施都将成为空话,系统将可能受到严重的破坏。严格禁止系统管理员在中心机房之外使用超级用户口令进行系统维护,确保超级用户口令安全。建立健全企业生产用计算机网络设备管理制度,对各生产场所的计算机设备严格管理,实行专人负责管理,严禁非工作人员上机操作。
2.4严格维护制度,确保物理设备的安全。物理设备的安全是其他安全性措施的基础,如果物理设备遭到严重破坏,如烧毁、雷击、被盗等,那么其他安全措施、手段将无从谈起。系统管理员必须做好机房防火、防盗、防水、防雷等各项安全防范工作,确保网络系统物理设备的安全。系统管理员必须做好经常性的操作系统、数据库系统的备份工作,有条件的必须将备份数据存放于不同地点的多个介质上,以防物理设备遭到严重破坏时,能够在新设备上恢复操作系统及数据。
关键词 网络安全;方案设计;方案实现
中图分类号 G271 文献标识码 A 文章编号 1673-9671-(2012)111-0142-01
计算机网络的安全运行,是关系到一个企业发展的重要问题,如何能使得企业网络更为安全,如今已经成为了一个热议的话题。影响网络安全的因素有很多种,保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全,我们必须要结合网络的具体需求,把多种安全措施进行总结,建立一个立体的、全面的、多层次网络安全防御系统。
1 影响网络安全的因素
网络信息的安全问题日益严重,这不仅会使企业遭受到巨大的经济损失,也影响到国家的安全。
如何避免网络安全问题的产生,我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面:
1.1 人为失误
人为失去指的是在在无意识的情况下造成的失误,进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等,这些都会对企业网络系统造成很大的破坏,引发网络安全问题。
1.2 病毒感染
病毒一直以来,都是能够对计算机安全够成直接威胁的因素,而网络更能够为病毒提供迅速快捷的传播途径,病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络,然后对计算机网络进行攻击、破坏,进而会造成很大的经济损失。
1.3 来自企业网络外部的攻击
企业网络外部的攻击主要是企业局域网外部的恶意攻击,比如:伪装合法用户进入企业网络,并占用修改资源;有选择的来破坏企业网络信息的完整性和有效性;修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件;利用中间网线来读取或者拦截企业绝密信息等。
1.4 来自网络内部的攻击
在企业局域网内部,一些非法人员冒用合法的口令,登陆企业计算机网络,产看企业机密信息,修改企业信息内容,破坏企业网络系统的正常运行。
1.5 企业网络系统漏洞
企业的网络系统不可能是毫无破绽的,而企业网络中的漏洞,总是设计者预先留下的,为网络黑客和工业间谍提供最薄弱的攻击部位。
2 企业计算机网络安全方案的设计与实现
影响计算机网络完全因素很多,而相应的保护手段也很多。
2.1 动态口令身份认证的设计与实现
动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点,跟传统静态口令相比,增加了计算机网络的安全性。传统的静态口令进行身份验证的时候,很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点,又采用了先进的身份认证以及解密流程,而每一个动态口令只能使用一次,并且对认证的结果进行记录,防止同一个口令多次登录。
2.2 企业日志管理与备份的设计与实现
企业要想保证计算机网络的安全,对于计算机网络进行日志管理和备份是不可缺少的内容,日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障,而计算机中的数据和资料的一个企业的血液,如果数据和资料丢失,会给企业今后的发展带来巨大的不便,为了避免数据资料的丢失,我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。
2.3 病毒防护设计与实现
计算机病毒每年都在呈上涨的趋势,我国每年遭受计算机入侵的网络,占到了相当高的比例。计算机病毒会使计算机运行缓慢,对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展,让病毒在网上出现之后,会很快的通过网络进行传播。对于企业计算机网络,应当时刻进行监控以及判断系统中是否有病毒的存在,要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统,可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全,要建立起一个完善的防病毒系统,制定相应的措施和病毒入侵时的紧急应急措施,同时也要加大工作人员的安全意识。
病毒会随着时间的推移变的随时都有可能出现,所以企业中计算机网络安全人员,要随时加强对于防毒系统的升级、更新、漏洞修复,找出多种不同的防毒方法,提高企业计算机网络防病毒的能力。
2.4 防火墙技术设计与实现
Internet使用过程中,要通过内网。外网的连接来实现访问,这些就给网络黑客们提供了良好的空间与环境。目前,企业计算机网络系统,采用防火墙技术,能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵,这种方法也是维护企业计算机网络最有效、最经济的方法,因为防火墙系统是企业计算机网络安全的最前面屏障,能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处,在内网与外网之间。
防火墙最大的特点是所有的信息传递都要经过它,这样就能有效的避免企业网络遭到非法入侵,防火本身的具有很高的可靠性,它可以加强对企业网络的监督,防止外部入侵和黑客攻击造成的信息泄露,
2.5 网络安全设计的实现
在企业网络运行中,与用户和各个系统之间,存在着信息交换的过程,这些信息包括信息代码、电子文稿、文档等,所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性,就要去严格的限制登录者的操作权限,增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整,以避免带来的不便。
3 总结
现今网络在现代生活中发展迅速,然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性,使自身能够更快更好的发展,面对着网络入侵的行为要进行如何的防御,已经是一个越来越迫切的问题。我们只有从实际出发,去构建一个完整的安全的网络防御系统,才能保证企业网络的安全。
参考文献
[1]唐红亮.防火墙设计浅析[J].中国科技信息,2009,06.
【关键词】企业网络 信息安全 策略设计
随着社会经济的快速发展,计算机信息技术介入人们生活的方方面面。企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。下面着重阐述企业信息系统的网络层安全策略:
一、企业网络设备安全策略分析
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
二、企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
三、企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
四、企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
五、结束语
W络安全是一项综合的管理工程,意义重大。企业的网络安全一旦出现问题,极有可能造成巨大损失,到那时即使再投入大量资金进行弥补也为时已晚。因此,企业应未雨绸缪,认清事实、正视事实、立足长远,重视网络安全问题,这样才能保证企业网络的安全,从而实现企业长足发展。