企業(yè)網(wǎng)絡安全預案范文

時間:2023-09-14 17:51:07

導語:如何才能寫好一篇企業(yè)網(wǎng)絡安全預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

企業(yè)網(wǎng)絡安全預案

篇1

【關鍵詞】煤礦;信息網(wǎng)絡信息系統(tǒng);網(wǎng)絡安全

隨著信息技術、網(wǎng)絡技術、自動化技術、視頻技術、傳感器技術等一系列先進技術的快速發(fā)展和融合,煤礦企業(yè)信息網(wǎng)絡建設也取得了豐碩成果。目前國內(nèi)大、中型煤礦企業(yè)基本上都已經(jīng)構建和裝備了企業(yè)互聯(lián)網(wǎng)、工業(yè)以太網(wǎng)、監(jiān)測監(jiān)控、人員定位、工業(yè)控制等信息系統(tǒng),這些信息系統(tǒng)已經(jīng)深入到煤礦安全生產(chǎn)的方方面面,而且很多工業(yè)系統(tǒng)自動化程度非常的高,比如提升系統(tǒng)、選煤系統(tǒng)等已經(jīng)實現(xiàn)了無人操作,遠程開停、故障閉鎖等,操作人員只需要對運行的參數(shù)進行觀測和記錄,大大提高了人員工作效率、增強了企業(yè)的核心競爭力。所以今天煤礦企業(yè)信息網(wǎng)安全就顯得尤為重要,本文將就煤礦企業(yè)信息網(wǎng)絡安全現(xiàn)狀及重要性進行分析和探究。

1現(xiàn)狀分析

我國中、大型煤礦企業(yè)建設和應用了大量的信息系統(tǒng)和工業(yè)控制系統(tǒng),并且這些信息系統(tǒng)已經(jīng)深入到生產(chǎn)經(jīng)營的方方面面,促使煤礦企業(yè)從傳統(tǒng)的密集型、重體力生產(chǎn)模式向“采掘機械化、生產(chǎn)自動化、管理信息化”模式轉(zhuǎn)變,有力地提升了煤礦企業(yè)管理效率,加速了煤礦的企業(yè)轉(zhuǎn)型升級。但是煤礦企業(yè)在信息網(wǎng)絡安全管理方面還存在諸多問題:

1.1企業(yè)管理人員對信息網(wǎng)絡安全的重要性認識不足

主要表現(xiàn)在四點,一是沒有建立完善的信息網(wǎng)絡組織體系,相關的制度建立和落實不到位。二是企業(yè)大都沒有編制詳實可行的信息網(wǎng)絡安全預案,也沒有進行相關的應急演練;三是信息網(wǎng)絡安全方面的投入比較少,企業(yè)安全防護設施不全;四是企業(yè)管理人員對于信息網(wǎng)絡安全的知識非常欠缺,只注重信息系統(tǒng)具體應用和預設功能,對于操作可能帶來的網(wǎng)絡威脅沒有防范意識。

1.2信息孤島與信息網(wǎng)絡安全之間的矛盾日益沖突

早期煤礦企業(yè)建設的信息系統(tǒng)和工業(yè)控制系統(tǒng)都是一個單一的個體,相互獨立,之間沒有任何聯(lián)系,隨著信息技術的發(fā)展和企業(yè)管控一體化進程的不斷推進?!靶畔⒐聧u”的問題得到了很大程度的解決,但同時產(chǎn)生的信息網(wǎng)絡安全問題也日益突出?!靶畔⒐聧u”的消除依賴網(wǎng)絡的廣泛應用,而網(wǎng)絡正是信息安全的薄弱環(huán)節(jié)。消除“信息孤島”勢必使工業(yè)控制系統(tǒng)增加大量的對外聯(lián)系通道,這使得信息網(wǎng)絡安全面臨更加復雜的環(huán)境,安全保障的難度大大增加。

1.3信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量

主要原因有三點:(1)煤礦企業(yè)地處偏遠山區(qū)、工作環(huán)境和生活環(huán)境相對都比較差,很難招聘到高科技人才,即是招到人也很難留下來。(2)企業(yè)以煤炭生產(chǎn)、加工、銷售為主業(yè),信息技術人才發(fā)展空間小、大多數(shù)人員都只是從事信息維修工和桌面支持之類的工作。(3)信息安全管理人員長期得不到培訓和學習的機會,信息技術知識的儲備量有限、業(yè)務水平處在較低的一個水平,所以只能依靠外部安全服務公司。

1.4信息網(wǎng)絡安全防護設備利用率低,很難發(fā)揮應有的功能

煤礦企業(yè)在信息網(wǎng)絡建設初期都會做網(wǎng)絡安全方面的布置,比如在網(wǎng)絡邊界架設防火墻、入侵檢測設備,在內(nèi)部部署殺毒軟件,形成了軟硬件相結合的防御模式,可是很多企業(yè)的防火墻和入侵檢測設備從安裝到被替換可能從來都沒有做過配置更新,和漏洞修復、打補丁之類的操作,大多數(shù)的員工電腦也從不安裝殺毒軟件,這就做法無形中弱化了我們防御的盾牌和進攻的長矛,使網(wǎng)絡安全防護設備長期處于半“休眠”狀態(tài)。

2重要性

“沒有網(wǎng)絡安全就沒有國家安全”,在浙江烏鎮(zhèn)世界互聯(lián)網(wǎng)大會上提出的網(wǎng)絡安全觀,足以證明網(wǎng)絡安全對于國家的重要性。那么同樣對于現(xiàn)今充分利用信息網(wǎng)絡和工業(yè)控制系統(tǒng)的現(xiàn)代化煤礦企業(yè)來說,如果沒有足夠的信息網(wǎng)絡安全也就沒有企業(yè)的安全生產(chǎn)。信息技術是一把“雙刃劍”,它改變了企業(yè)的生產(chǎn)方式,優(yōu)化了企業(yè)的管理流程,提高了企業(yè)管理效率,可是同樣卻又不得不將企業(yè)置身于互聯(lián)網(wǎng)之中?;ヂ?lián)網(wǎng)是一個“超領土”存在的虛擬空間,存在各種潛在的威脅,比如利用木馬、病毒、遠程攻擊、控制等方式,泄露企業(yè)的商業(yè)機密、修改控制系統(tǒng)指令、攻陷服務器、盜取個人信息等,這些都有可能對企業(yè)造成嚴重安全事故和經(jīng)濟損失。這些還只是企業(yè)內(nèi)部的損失,很多大、中型煤礦企業(yè)為了提升企業(yè)管理效率都開通與集團公司之間的專線VPN,承載了很多應用服務包括協(xié)同OA、生產(chǎn)調(diào)度、銷售等等的數(shù)據(jù)都要進行通信,如果信息網(wǎng)絡安全受到攻擊癱瘓,都會對企業(yè)的生產(chǎn)經(jīng)營造成影響,更有甚者可能通過煤礦企業(yè)本地發(fā)起攻擊,致使整個集團的信息網(wǎng)絡受到嚴重威脅,所以煤礦企業(yè)管理人員一定要樹立正確的信息網(wǎng)絡安全觀,充分認知信息網(wǎng)絡安全的重要性,加快構建關鍵信息基礎設施安全保障體系,增強企業(yè)信息網(wǎng)絡安全的防御能力。

3總結

總之,信息網(wǎng)絡技術發(fā)展的今天,信息網(wǎng)絡安全已經(jīng)是每一個煤礦企業(yè)必須面對和正視的問題,也是每一個企業(yè)管理者應該積極參與和考慮的問題。古人云“知己知彼百戰(zhàn)不殆”,煤礦企業(yè)應該立即行動起來,通過開展關鍵信息基礎設施網(wǎng)絡安全檢查,準確掌握企業(yè)關鍵基礎設施的網(wǎng)絡安全狀況,詳細評估企業(yè)所面臨的網(wǎng)絡安全威脅,制定對應的防范措施,構建企業(yè)信息網(wǎng)絡安全的“防火墻”,為企業(yè)安全生產(chǎn)經(jīng)營、職工娛樂生活營造一個安全、穩(wěn)定、健康的網(wǎng)絡環(huán)境。

參考文獻

[1]陳龍.煤炭企業(yè)網(wǎng)絡安全建設與管理探究[J].煤炭技術,2013.

篇2

關鍵詞:企業(yè)局域網(wǎng);網(wǎng)絡安全;防范措施

局域網(wǎng)的使用需要將無線信道作為媒介,然后在此基礎之上支持漫游、移動以及網(wǎng)絡通信等,移動性、靈活性、擴展性以及便捷性比較明顯。其在使用時優(yōu)勢主要體現(xiàn)在對無線電波的使用,但是在使用時,也會使局域網(wǎng)產(chǎn)生一定的安全問題,即入侵者不需要進入到內(nèi)部的物理位置然后進行物理連接,只需要對內(nèi)部網(wǎng)絡進行攻擊即可[1]。

1企業(yè)局域網(wǎng)網(wǎng)絡在使用時面臨的風險

局域網(wǎng)主要是使用無線介質(zhì)對數(shù)據(jù)以及信息進行傳輸,在網(wǎng)絡設備和終端之間并沒有物理電纜,但是這在方便用戶使用的情況下,也使入侵者在攻擊時變得更加便利。無線信號在使用過程中,對門窗以及墻壁等都有一定覆蓋能力,難以實現(xiàn)對范圍的精確覆蓋,由于在使用過程中不能將全部的信號接收范圍以及接收設備定向,就會出現(xiàn)目標外泄,進而產(chǎn)生安全問題。企業(yè)局域網(wǎng)從本質(zhì)上是為了使企業(yè)當中的信息不被泄露,使企業(yè)當中的數(shù)據(jù)保證其機密性、完整性和真實性[2]。但是就當前情況來講,網(wǎng)絡越來越開放,我們在享受網(wǎng)絡帶來便利的同時,也承擔著相應的安全隱患,同時這些隱患也會帶來一定威脅。而威脅產(chǎn)生的原因可能是人為,也有可能是不經(jīng)意之間的失誤,還有可能是由于軟件當中存在的漏洞造成。當前在網(wǎng)絡應用逐漸深入背景下,非法訪問、安全威脅以及惡意攻擊的可能性也在逐漸加大。而安全問題的產(chǎn)生主要體現(xiàn)在以下幾個方面:(1)硬件問題硬件問題主要體現(xiàn)在設備上相對落后,它是計算機中使用的服務器,服務器難以跟上時代腳步,在這種情況下,軟件安裝和運行系統(tǒng)在使用時,才能充分滿足時代需要。其中比較重要的是無線設備和防火墻。防火墻在使用時的劣勢主要體現(xiàn)在難以對內(nèi)部網(wǎng)絡的入侵問題起到很好防范,很多企業(yè)的工作人員在選擇使用無線路由器搭建無線網(wǎng),在此過程中會產(chǎn)生比較大的安全風險。(2)軟件問題軟件和操作系統(tǒng)的使用都是經(jīng)過調(diào)試以及編寫,其在設計與結構上需要相應的人為因素參與,因此就難以避免或出現(xiàn)一些漏洞或者是缺陷,網(wǎng)絡攻擊以及病毒的產(chǎn)生也恰好是利用這一系列漏洞,進而使計算機遭受惡意程序的破壞,影響其正常工作[3]。網(wǎng)絡系統(tǒng)是實現(xiàn)網(wǎng)絡服務以及網(wǎng)絡協(xié)議的重要載體,需要程序上的支持,而受到人為因素的影響,網(wǎng)絡在使用過程中存在漏洞的概率也有所增加。(3)人為因素在企業(yè)當中,網(wǎng)絡安全的實現(xiàn),不僅涉及技術人員,也關系到每個人,網(wǎng)絡資源在使用中存在的共享性,能夠使人們在使用過程中實現(xiàn)信息之間的共享,也能使企業(yè)當中的工作人員加強對計算機的依賴程度,而這種情況的出現(xiàn)也帶來了相應的安全隱患。

2企業(yè)局域網(wǎng)網(wǎng)絡安全防范措施

(1)做好備份工作備份是企業(yè)工作中的重要內(nèi)容,其中備份主要有三種形式,主要為差異備份、完全備份以及文件備份。完全備份在實施過程中需要花費大量時間,也是最為必要的一項內(nèi)容,企業(yè)在運行過程中,需要間隔一定時間就進行完全備份,備份工作的實施有利于保證數(shù)據(jù)的完整性和安全性[4]。差異備份主要是指完全備份在結束之后,需要針對一些可能會出現(xiàn)變化的內(nèi)容進行備份。而文件備份在使用頻率上并不高。除此之外,企業(yè)還需要對重要數(shù)據(jù)進行備份。(2)防火墻的設置與安裝防火墻的設置與安裝,有利于實現(xiàn)對企業(yè)網(wǎng)絡的細化管理,使網(wǎng)絡彼此之間的訪問受到限制,進而使網(wǎng)絡信息的內(nèi)部安全得到充分保證,同時通過設置防火墻,也能使外網(wǎng)與內(nèi)網(wǎng)之間形成相應保護屏障,實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的隔離,進而使網(wǎng)絡安全得以保證。不僅如此,防火墻也能對計算機中傳輸?shù)男畔嵤┌踩珯z測,為信息和數(shù)據(jù)在傳輸時的安全提供保證[5]。防火墻的使用能夠?qū)崿F(xiàn)對網(wǎng)絡的分割管理,并且使計算機在使用時,其訪問受到監(jiān)測,將規(guī)則允許的數(shù)據(jù)放入到網(wǎng)絡中,在這種情況下,黑客病毒對內(nèi)部網(wǎng)絡的訪問能夠得到較大阻止。也就是說防火墻是網(wǎng)絡內(nèi)部與外部之間的通道,只有通過防火墻,局域網(wǎng)才能得到連接,進而使企業(yè)當中的信息安全得到保障。(3)內(nèi)部監(jiān)管在進行內(nèi)部監(jiān)管時,可以從兩方面進行,一方面為了降低硬件設施在損壞時對網(wǎng)絡產(chǎn)生的影響,需要經(jīng)常對其進行檢查,檢查的范圍主要包括交換機、防火墻、主機、路由器以及光驅(qū)等,加強相應監(jiān)管力度,同時需要對硬件進行備案與治理,這樣才能實現(xiàn)對備份工作的強化。另一方面,需要注重網(wǎng)絡管理以及網(wǎng)絡控制的實施。(4)殺毒軟件的安裝殺毒軟件能夠起到較大的反病毒作用,實現(xiàn)對軟件的安全防護,起到對網(wǎng)絡的防御作用,在使用過程中,能夠?qū)﹄娔X病毒進行清除,解決電腦中產(chǎn)生的惡意軟件以及木馬程序等。殺毒軟件是計算機實現(xiàn)安全防范中不可或缺的一部分,其功能上主要體現(xiàn)在軟件監(jiān)控、自動升級、流量控制、主動防御、病毒查殺等幾個方面,其中企業(yè)在安全防范中使用的主要功能是病毒查殺以及主動防御,并且會對網(wǎng)絡進行不斷升級,使病毒數(shù)據(jù)庫得以更新,然后通過對數(shù)據(jù)的對比,對病毒進行有效的查殺與防護[6]。如果局域網(wǎng)的速度比較快,其在病毒的傳播速度上也會更快,殺毒軟件的安裝,能夠?qū)崿F(xiàn)對病毒的多層次和全方位查殺,進而在最大程度上實現(xiàn)對病毒的控制。(5)保護IP地址IP地址能夠最直接的顯現(xiàn)出網(wǎng)絡中的主機,對IP進行攻擊,也是網(wǎng)絡安全中最為常見的攻擊方式,黑客能夠從用戶上網(wǎng)時產(chǎn)生的痕跡,對用戶使用的IP進行跟蹤。黑客在掌握IP之后,就會確定相應的攻擊目標,然后對IP進行各種方式的攻擊。在對于企業(yè)局域網(wǎng)來講,為了實現(xiàn)對網(wǎng)絡的安全防范,需要使用服務器,這樣黑客在攻擊時,只能發(fā)現(xiàn)服務器的IP,進而將真實的服務器地址隱藏,使主機的安全得到充分保證。因此企業(yè)在實際工作中,應該注重對IP地址的保護,防止出現(xiàn)信息泄露的問題,以免為企業(yè)帶來不必要的損失。(6)防止交叉感染就企業(yè)來講,局域網(wǎng)是一個比較封閉的內(nèi)部網(wǎng)絡,也就需要在使用過程中注意對外界設備的相關管理,尤其是對U盤的管理,U盤在使用時比較便捷,但是比較容易發(fā)生病毒感染,當U盤被病毒感染之后,就比較容易產(chǎn)生交叉感染。(7)及時修復漏洞局域網(wǎng)在使用過程中,需要及時修復系統(tǒng)當中的漏洞和補丁,尤其是一些危險性比較高的漏洞,計算機對病毒的侵害基本不設防。因此需要對系統(tǒng)當中產(chǎn)生的一些補丁及時進行更新,使漏洞得以最大限度減少,使計算機產(chǎn)生的安全隱患得以有效降低。

3結束語

總之,企業(yè)局域網(wǎng)安全防范措施的實施比較復雜,是一個系統(tǒng)工程,涉及企業(yè)的不同工作,這就需要企業(yè)做好對計算機在硬件和軟件方面的配備,使工作人員在實際工作中形成一定的安全意識,運用合理方式,使局域網(wǎng)在使用時的安全得到充分保證,然后為企業(yè)提供更優(yōu)質(zhì)的服務。

參考文獻:

[1]史曉娜.企業(yè)級無線局域網(wǎng)的網(wǎng)絡安全防范措施研究[J].中國科技投資,2018(18):240.

[2]馬代軍.企業(yè)級無線局域網(wǎng)的網(wǎng)絡安全防范措施[J].電子制作,2014(12):140-140,141.

[3]郭思琪.試論加強企業(yè)單位局域網(wǎng)信息安全管理的策略[J].數(shù)字通信世界,2016(10):157.

[4]林松.電力行業(yè)計算機局域網(wǎng)絡安全防范的重要性[J].低碳世界,2017(5):95-96.

[5]張祿遠.企業(yè)局域網(wǎng)信息安全研究[J].科技視界,2015(4):97-98.

篇3

關鍵詞:信息;網(wǎng)絡安全;管理策略

中圖分類號:F270文獻標志碼:A文章編號:1673-291X(2010)30-0015-02

隨著企業(yè)信息網(wǎng)絡建設與不斷的發(fā)展,信息化已成為企業(yè)發(fā)展的大趨勢,信息網(wǎng)絡安全就顯得尤為重要。由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征,無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。

一、信息網(wǎng)絡的安全管理系統(tǒng)的建立

信息網(wǎng)絡安全管理系統(tǒng)的建立,是實現(xiàn)對信息網(wǎng)絡安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作,在將與整體安全有關的各項安全技術和產(chǎn)品組合為一個規(guī)范的、整體的、集中的安全平臺上的同時,使技術因素、策略因素以及人員因素能夠更加緊密地結合在一起,從而提高用戶在安全領域的整體安全效益。下面對信息網(wǎng)絡安全管理系統(tǒng)技術需求和功能要求進行分析。

(一)技術分析

1.在信息網(wǎng)絡安全管理系統(tǒng)的設計上,應該用到以下技術:安全綜合管理系統(tǒng)體系結構構造理論和技術;安全部件之間的聯(lián)動技術;安全部件互動協(xié)議與接口技術;網(wǎng)絡拓撲結構自動發(fā)掘技術;網(wǎng)絡數(shù)據(jù)的相關性分析和統(tǒng)計分析算法;網(wǎng)絡事件的多維描述技術。

2.信息網(wǎng)絡安全管理系統(tǒng)應具有安全保密第一:安全保密與系統(tǒng)性能是相互矛盾的,彼此相互影響、相互制約,在這種情況下,系統(tǒng)遵循安全與保密第一的原則,信息網(wǎng)絡安全管理系統(tǒng)在設計、實施、運行、管理、維護過程中,應始終把系統(tǒng)的安全與保密放在首要的位置。在信息網(wǎng)絡安全管理系統(tǒng)設計,尤其在身份認證、信任管理和授權管理方面,應采用先進的加密技術,實現(xiàn)全方位的信任和授權管理。因此,對信息安全管理系統(tǒng)而言,針對單個系統(tǒng)的全部管理并非是本系統(tǒng)的重點,而應該投入更多的力量在于:集中式、全方位、可視化的體現(xiàn);獨立安全設備管理中不完善或未實現(xiàn)的部分;獨立安全設備的數(shù)據(jù)、響應、策略的集中處理。

(二)功能分析

1.分級管理與全網(wǎng)統(tǒng)一的管理機制:網(wǎng)絡安全是分區(qū)域和時段的,實施分級與統(tǒng)一的管理機制可以對全網(wǎng)進行有效的管理,不僅體現(xiàn)區(qū)域管理的靈活性,還表現(xiàn)在抵御潛在網(wǎng)絡威脅的有效性,管理中心可以根據(jù)自己網(wǎng)絡的實際情況配置自己的策略,將每日的安全事件報告給上一級,由上一級進行統(tǒng)一分析。上一級可以對全網(wǎng)實施有效的控制,比如采用基于web的電子政務的形式,要求下一級管理中心更改策略、打補丁、安全產(chǎn)品升級等。

2.安全設備的網(wǎng)絡自動拓撲:系統(tǒng)能夠自動找出正確的網(wǎng)絡結構,并以圖形方式顯示出來,給用戶管理網(wǎng)絡提供極大的幫助。這方面的內(nèi)容包括:自動搜索用戶關心的安全設備;網(wǎng)絡中安全設備之間的拓撲關系;根據(jù)網(wǎng)絡拓撲關系自動生成拓撲圖;能夠反映當前安全設備以及網(wǎng)絡狀態(tài)的界面。

3.安全設備實時狀態(tài)監(jiān)測:安全設備如果發(fā)生故障而又沒有及時發(fā)現(xiàn),可能會造成很大的損失。所以必須不間斷地監(jiān)測安全設備的工作狀況。如某一設備不能正常工作,則在安全設備拓撲圖上應能直觀的反映出來。實時狀態(tài)監(jiān)測的特點是:(1)高度兼容性:由于各種安全設備的差別很大,實時狀態(tài)監(jiān)測具有高度兼容性,支持各種常用協(xié)議,能夠最大程度地支持現(xiàn)有的各種安全設備。(2)智能化:狀態(tài)監(jiān)測有一定的智能化,對安全設備的運行狀態(tài)提前作出預測,做到防患于未然。(3)易用性:實時狀態(tài)監(jiān)測不是把各種設備的差別處理轉(zhuǎn)移給用戶,而是能夠提供易用的方式幫助用戶管理設備。

4.高效而全面的反應報警機制:報警形式多樣:如響鈴、郵件、短消息、電話通知等。基于用戶和等級的報警:可以根據(jù)安全的等級,負責處理問題的用戶,做出不同方式、針對不同對象的報警響應。

5.安全設備日志統(tǒng)計分析:可以根據(jù)用戶需求生成一段時間內(nèi)網(wǎng)絡設備與安全設備各種數(shù)據(jù)的統(tǒng)計報表。

二、信息網(wǎng)絡的安全策略

企業(yè)信息網(wǎng)絡面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎等都會對網(wǎng)絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網(wǎng)絡所面臨的最大威脅,造成極大的危害,并導致機密數(shù)據(jù)的泄漏。(3)網(wǎng)絡軟件的漏洞:網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,這些是因為安全措施不完善所招致。

(一)物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受破壞和攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室。

(二)訪問控制策略

訪問控制是網(wǎng)絡安全防范和保護的主要策略,它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。

1.入網(wǎng)訪問控制:入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源。用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。

2.權限控制:網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源??梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。可以根據(jù)訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶,系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限。

(三)目錄級控制策略

網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限、存取控制權限。

三、網(wǎng)絡安全管理策略

在網(wǎng)絡安全中,除了采用技術措施之外,加強網(wǎng)絡的安全管理,制定有關規(guī)章制度,對于確保網(wǎng)絡的安全、可靠地運行,將起到十分有效的作用。網(wǎng)絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關網(wǎng)絡操作;使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。

篇4

以Internet、云計算、物聯(lián)網(wǎng)為代表的信息化浪潮一次次席卷全球,信息技術的應用不斷深入,逐漸覆蓋到日常生產(chǎn)、生活的方方面面。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了越來越高的要求。如何保障信息網(wǎng)絡系統(tǒng)安全已成為政府機構、企事業(yè)單位信息化健康發(fā)展所必需考慮和解決的重要問題。企業(yè)園區(qū)網(wǎng)絡作為企業(yè)的神經(jīng)中樞,它的安全穩(wěn)定運行對于整個企業(yè)的日常生產(chǎn)與信息安全都具有重要的意義。

作為企業(yè)園區(qū)網(wǎng)絡的網(wǎng)絡管理員,我們必須了解園區(qū)網(wǎng)絡面臨的多方面的安全威脅,從而制定相應的管理措施,以保障網(wǎng)絡的安全與穩(wěn)定。

1 園區(qū)安全風險分析

1.1 內(nèi)部局域網(wǎng)的安全威脅

在已知的網(wǎng)絡維護安全事件中,約70%的攻擊是來自局域網(wǎng)。首先,局域網(wǎng)中用戶之間經(jīng)常通過網(wǎng)絡共享資源,給病毒的傳播提供了便捷;其次,內(nèi)部管理人員有意或者無意泄漏系統(tǒng)管理員的用戶名、口令、內(nèi)部網(wǎng)的網(wǎng)絡結構以及其他一些重要信息等,這有可能加大網(wǎng)絡安全事件造成的損失。另外,由于局域網(wǎng)內(nèi)的用戶主機、服務器等直接或者間接連接到同一臺網(wǎng)絡設備上,局域網(wǎng)的高帶寬也在加快病毒的傳播速度的同時,加劇病毒對網(wǎng)絡的影響程度。

1.2 廣域網(wǎng)、用戶遷移的安全威脅

其他區(qū)域網(wǎng)絡感染的病毒有可能通過廣域網(wǎng)傳播到本地區(qū)域網(wǎng),也可能隨著用戶出差、變換工作地點、同一臺機器在不同的網(wǎng)絡環(huán)境中使用等原因?qū)⒉《編氡镜貐^(qū)域網(wǎng)。

1.3 電子郵件應用安全威脅

電子郵件是最為廣泛的網(wǎng)絡應用之一。局域網(wǎng)用戶除了使用企業(yè)內(nèi)部郵箱收發(fā)系統(tǒng)內(nèi)辦公郵件以外,也會接受一些來自Internet的不明郵件,這給入侵者提供機會,給系統(tǒng)帶來了不安全因素。

1.4 來自Internet的安全威脅

來自Internet的安全威脅非常多,園區(qū)網(wǎng)絡一般只會開啟互聯(lián)網(wǎng)的網(wǎng)頁瀏覽功能,但網(wǎng)頁瀏覽也是網(wǎng)絡系統(tǒng)被入侵的一個不安全因素,這也是園區(qū)網(wǎng)絡最主要的病毒來源之一。瀏覽網(wǎng)頁、下載資料都可能帶來病毒程序或者木馬,還有利用假冒手段騙取你的關鍵信息等手段。

2網(wǎng)絡管理措施

2.1網(wǎng)絡拓撲設計

園區(qū)網(wǎng)絡的管理應從設計階段就加以考慮。關鍵節(jié)點雙機熱備、關鍵傳輸鏈路采用多條不同路由、設備互聯(lián)采用動態(tài)路由環(huán)狀連接等,這些冗余架構都能從很大程度上增強基礎網(wǎng)絡的穩(wěn)定性。但我們也需要在網(wǎng)絡的復雜性和簡潔性上做好權衡,過于復雜的網(wǎng)絡結構反倒會給后期的運維管理埋下隱患。筆者在長期的網(wǎng)絡運維管理實踐中就遇到過不少這樣的問題。個別局域網(wǎng)系統(tǒng)設計考慮非常多,采用雙機熱備、多鏈路上聯(lián)等多種方式,VRRP、STP也都用上了,以期增強網(wǎng)絡的穩(wěn)定性。結果在后期運維中,由于選用設備版本不夠穩(wěn)定,經(jīng)常出現(xiàn)莫名其妙的問題,反倒降低了整個系統(tǒng)的可用性。

2.2 網(wǎng)絡管理文檔的建立

網(wǎng)絡維護的絕大部分工作在于平時細致的管理和準備,需要對網(wǎng)絡的每一個細節(jié)做到了然于胸,當故障發(fā)生時,我們能夠迅速定位到故障點,以最快速度排除故障。為了做好網(wǎng)絡的管理,我們需要持續(xù)做好網(wǎng)絡管理文檔的完善工作。如:交換機端口信息表、ip和mac地址的對應表、網(wǎng)絡拓撲圖、故障處理報告等等,這些信息都會為我們應對突發(fā)網(wǎng)絡故障提供幫助。例如:經(jīng)常在園區(qū)內(nèi)泛濫的ARP病毒,由于其影響范圍廣、難以查殺而讓網(wǎng)管人員頗為頭疼。如果我們有ip和mac地址對應表,就能夠非常快的定位病毒源,以最快速度處理掉故障。

2.3 網(wǎng)絡的日常檢查及性能分析

我們需要經(jīng)常對核心網(wǎng)絡、應用服務器進行細致的檢查,分析性能,察看日志,發(fā)現(xiàn)可疑情況及時處理。這種工作雖然枯燥但卻很重要。每天的重復勞動不一定總能發(fā)現(xiàn)異常,但這是我們發(fā)現(xiàn)問題,對故障進行預判的依據(jù)。例如:一次日常檢查我們發(fā)現(xiàn)某主干交換機CPU、內(nèi)存使用率偏高,通過進一步分析日志發(fā)現(xiàn)某接口錯誤。經(jīng)過細致排查,我們發(fā)現(xiàn)接口光纖質(zhì)量不好導致接口報錯,更換光纖后故障排除,避免了問題的進一步升級。

2.4 系統(tǒng)及時升級、補丁、病毒定義及時更新

網(wǎng)絡設備、服務器的軟件系統(tǒng)需要及時升級,服務器、客戶端也要及時打補丁、更新病毒定義,這是我們防患于未然的必要措施。目前國內(nèi)客戶端使用微軟的用戶比較多,那WSUS就非常重要。防病毒服務器也必須統(tǒng)一部署,能夠使病毒定義統(tǒng)一更新,避免網(wǎng)內(nèi)有安全短板。

2.5 網(wǎng)絡管理系統(tǒng)、日志系統(tǒng)、網(wǎng)管工具的使用

通過使用網(wǎng)絡管理系統(tǒng),可以實現(xiàn)設備的輪詢、故障的報警等功能。通過一些閥值的設定,系統(tǒng)可以第一時間將故障預警信息通過郵件或者短信發(fā)送給系統(tǒng)管理員或者網(wǎng)管中心,能夠幫助我們實現(xiàn)對故障的預判。并且,網(wǎng)絡管理系統(tǒng)圖形化、自動化的管理方式,也將大大提高我們網(wǎng)絡管理的效率。

日志系統(tǒng)也非常重要,通過對日志系統(tǒng)記錄的設備運行狀態(tài)進行分析,能夠幫助我們發(fā)現(xiàn)系統(tǒng)存在的問題,為排錯、優(yōu)化系統(tǒng)提供依據(jù)。

各種網(wǎng)管工具更是我們做網(wǎng)絡管理的必要的幫手,比如抓包軟件、可視光源、測線工具、標簽機、螺絲刀等等,所以網(wǎng)管人員往往都是背著背包的,應手的家伙一個也不能少。

2.6 做好設備、線纜標識工作

好記性不如爛筆頭,一個人做過的事也很容易就忘掉,更何況網(wǎng)絡管理團隊中有好多人,很多時候一件事往往追溯不到源頭。所以標識、記錄工作非常重要。如果標識工作不到位,很容易會發(fā)生設備、線纜用途無人知曉,誰都不敢動的情況。

2.7對用戶的培訓

很多網(wǎng)絡故障是由人為因素造成的,比如碰掉設備的電源、辦公室HUB出現(xiàn)環(huán)接等等,通過適當?shù)臅r機對用戶進行網(wǎng)絡知識的教育,能夠有效地避免類似網(wǎng)絡故障的發(fā)生,給網(wǎng)絡管理工作降低工作量和難度。

2.8其他

機房環(huán)境設施的運維管理,也是對網(wǎng)絡的安全與運維管理產(chǎn)生重要影響的一個方面。除此之外,如果有互聯(lián)網(wǎng)出口的,還需要部署防火墻、上網(wǎng)行為管理設備等,既要做好安全防護,又要做到有跡可查。

篇5

關鍵詞:無線網(wǎng)絡規(guī)劃;無線網(wǎng)絡風險;無線安全檢查項目;無線網(wǎng)絡安全指引

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)28-6262-03

1 概述

有別于有線網(wǎng)絡的設備可利用線路找尋設備信息,無論是管理、安全、記錄信息,比起無線網(wǎng)絡皆較為方便,相較之下無線網(wǎng)絡的環(huán)境較復雜。無線網(wǎng)絡安全問題最令人擔心的原因在于,無線網(wǎng)絡僅透過無線電波透過空氣傳遞訊號,一旦內(nèi)部架設發(fā)射訊號的儀器,在收訊可及的任一節(jié)點,都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內(nèi),即便在圍墻外,都能截取訊號信息。

因此管理無線網(wǎng)絡安全維護比有線網(wǎng)絡更具挑戰(zhàn)性,有鑒于政府機關推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導入無線網(wǎng)絡架構之需求,本篇論文特別針對無線網(wǎng)絡Wi-Fi之使用情境進行風險評估與探討,以下將分別探討無線網(wǎng)絡傳輸可能產(chǎn)生的風險,以及減少風險產(chǎn)生的可能性,進而提出建議之無線網(wǎng)絡建置規(guī)劃檢查項目。

2 無線網(wǎng)絡傳輸風險

現(xiàn)今無線網(wǎng)絡裝置架設便利,簡單設定后即可進行網(wǎng)絡分享,且智能型行動裝置已具備可架設熱點功能以分享網(wǎng)絡,因此皆可能出現(xiàn)不合法之使用者聯(lián)機合法基地臺,或合法使用者聯(lián)機至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務,或者考慮網(wǎng)絡存取便利性,架設無線網(wǎng)絡基地臺,皆須評估當內(nèi)部使用者透過行動裝置聯(lián)機機關所提供之無線網(wǎng)絡,所使用之聯(lián)機傳輸加密機制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機時,勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風險。以下將對合法使用者在未知的情況下聯(lián)機至偽冒的無線網(wǎng)絡基地臺,以及非法使用者透過加密機制的弱點破解無線網(wǎng)絡基地臺,針對這2個情境加以分析其風險。

2.1 偽冒基地機風險

目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現(xiàn)今,可能會讓用戶在不知情的情況下進行聯(lián)機,當連上線后,攻擊者即可進行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網(wǎng)絡上所傳輸?shù)臄?shù)據(jù)。情境之架構詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯(lián)機上的AP是否合法,而一旦聯(lián)機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù),造成個人數(shù)據(jù)以及存放于行動裝置上之機敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡時,需考慮該類風險問題。

2.2 弱加密機制傳輸風險

WEP (Wired Equivalent Privacy)為一無線加密協(xié)議保護無線局域網(wǎng)絡(Wireless LAN,以下簡稱WLAN)數(shù)據(jù)安全的加密機制,因WEP的設計是要提供和傳統(tǒng)有線的局域網(wǎng)絡相當?shù)臋C密性,隨著計算器運算能力提升,許多密碼分析學家已經(jīng)找出WEP好幾個弱點,但WEP加密方式是目前仍是許多無線基地臺使用的防護方式,由于WEP安全性不佳,易造成被輕易破解。

許多的無線破解工具皆已存在且純熟,因此利用WEP認證加密之無線AP,當破解被其金鑰后,即可透過該AP連接至該無線局域網(wǎng)絡,再利用探測軟件進行無線局域網(wǎng)絡掃描,取得該無線局域網(wǎng)絡內(nèi)目前有哪些聯(lián)機的裝置。

當使用者使用行動裝置連上不安全的網(wǎng)絡,可能因本身行動裝置設定不完全,而將弱點曝露在不安全的網(wǎng)絡上,因此當企業(yè)允許使用者透過行動裝置進行聯(lián)機時,除了提醒使用者應加強自身終端安全外,更應建置安全的無線網(wǎng)絡架構,以提供使用者使用。

3 無線網(wǎng)絡安全架構

近年許多企業(yè)逐漸導入無線局域網(wǎng)絡服務以提供內(nèi)部使用者及訪客使用。但在提供便利的同時,如何達到無線局域網(wǎng)絡之安全,亦為重要。

3.1 企業(yè)無線局域網(wǎng)安全目標

企業(yè)之無線網(wǎng)絡架構應符合無線局域網(wǎng)絡安全目標:機密性、完整性與驗證性。

機密性(Confidentiality)

無線網(wǎng)絡安全架構應防范機密不可泄漏給未經(jīng)授權之人或程序,且無線網(wǎng)絡架構應將對外提供給一般使用者網(wǎng)絡以及內(nèi)部所使用之內(nèi)部網(wǎng)絡區(qū)隔開。無線網(wǎng)絡架構之加密需采用安全性即高且不易被破解的方式,并可對無線網(wǎng)絡使用進行稽核。

完整性(Integrity)

無線網(wǎng)絡安全架構應確認辦公室環(huán)境內(nèi)無其它無線訊號干擾源,并保證員工無法自行架設非法無線網(wǎng)絡存取點設備,以確保在使用無線網(wǎng)絡時傳輸不被中斷或是攔截。對于內(nèi)部使用者,可建立一個隔離區(qū)之無線網(wǎng)絡,僅提供外部網(wǎng)際網(wǎng)絡連路連接,并禁止存取機關內(nèi)部網(wǎng)絡。

認證性(Authentication)

建議無線網(wǎng)絡安全架構應提供使用者及設備進行身份驗證,讓使用者能確保自己設備安全性,且能區(qū)分存取控制權限。無線網(wǎng)絡安全架構應需進行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機關的無線網(wǎng)絡。

因應以上無線局域網(wǎng)絡安全目標,應將網(wǎng)絡區(qū)分為內(nèi)部網(wǎng)絡及一般網(wǎng)絡等級,依其不同等級實施不同的保護措施及其應用,說明如下。

內(nèi)部網(wǎng)絡:

為網(wǎng)絡內(nèi)負責傳送一般非機密性之行政資料,其系統(tǒng)能處理中信任度信息,并使用機關內(nèi)部加密認證以定期更變密碼,且加裝防火墻、入侵偵測等作業(yè)。

一般網(wǎng)絡:

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡系統(tǒng),不與內(nèi)部其它網(wǎng)絡相連,其網(wǎng)絡系統(tǒng)僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機制。

因此建議企業(yè)在建構無線網(wǎng)絡架構,須將內(nèi)部網(wǎng)絡以及提供給一般使用者之一般網(wǎng)絡區(qū)隔開,以達到無線網(wǎng)絡安全目標,以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導入無線網(wǎng)絡架構時作為參考使用。

3.2內(nèi)部網(wǎng)絡安全架構

減輕無線網(wǎng)絡風險之基礎評估,應集中在四個方面:人身安全、AP位置、AP設定及安全政策。人身安全方面,須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡,僅經(jīng)授權之企業(yè)內(nèi)部使用者可存取??墒褂糜跋裾J證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護的建筑物內(nèi),且使用者須經(jīng)過適當?shù)纳矸蒡炞C才允許進入,而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡設備。

企業(yè)信息管理人員須將未經(jīng)授權的使用者訪問企業(yè)外部無線網(wǎng)絡之可能性降至最低,評估每臺AP有可能造成的網(wǎng)絡安全漏洞,可請網(wǎng)絡工程師進行現(xiàn)場調(diào)查,確定辦公室內(nèi)最適當放置AP的位置以降低之風險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡能力,攻擊者仍有機會竊聽辦公室無線網(wǎng)絡通訊,建議企業(yè)將無線網(wǎng)絡架構放置于防火墻外,并使用高加密性VPN以保護流量通訊,此配置可降低無線網(wǎng)絡竊聽風險。

企業(yè)應側(cè)重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼,企業(yè)信息管理人員需使用復雜度高之密碼以確保密碼安全,并定期更換密碼。企業(yè)應制定相關無線內(nèi)部網(wǎng)絡安全政策,包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網(wǎng)絡使用情況。

為提供安全無線辦公室環(huán)境,企業(yè)應進行使用者MAC控管,并禁用遠程SNMP協(xié)議,只允許使用者使用本身內(nèi)部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰,未經(jīng)授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內(nèi)部網(wǎng)絡,因此企業(yè)應使用內(nèi)部使用者賬號與密碼之身份驗證以控管無線內(nèi)部網(wǎng)絡之存取。

企業(yè)應增加額外政策,要求存取無線內(nèi)部網(wǎng)絡之設備系統(tǒng)需進行安全性更新和升級,定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外,政策應規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜,企業(yè)內(nèi)部使用者應盡快通知企業(yè)信息管理人員,以防止該IP地址存取無線內(nèi)部網(wǎng)絡。

為達到一個安全的無線內(nèi)部網(wǎng)絡架構,建議企業(yè)采用IPS設備以進行無線環(huán)境之防御。IPS設備有助于辨識是否有未經(jīng)授權之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡或企圖進行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權私自架設之非法網(wǎng)絡。所有無線網(wǎng)絡之間的通訊都需經(jīng)過IPS做保護與進一步分析,為一種整體縱深防御之策略。

考慮前述需求,本篇論文列出建構無線內(nèi)部網(wǎng)絡應具備之安全策略,并提供一建議無線內(nèi)部網(wǎng)絡安全架構示意圖以提供企業(yè)信息管理人員作為風險評估之參考,詳見表1。

企業(yè)在風險評估后確認實現(xiàn)無線辦公室環(huán)境運行之好處優(yōu)于其它威脅風險,始可進行無線內(nèi)部網(wǎng)絡架構建置。然而,盡管在風險評估上實行徹底,但無線網(wǎng)絡環(huán)境之技術不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環(huán)節(jié),建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進行相關無線安全教育,以達到縱深防御之目標。

另外,企業(yè)應定期進行安全性更新和升級會議室公用網(wǎng)絡之系統(tǒng),定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網(wǎng)絡架構,建議企業(yè)采用IPS設備以進行無線環(huán)境之防御。

IPS設備有助于辨識是否有未經(jīng)授權之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡或企圖進行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權私自架設之非法網(wǎng)絡。所有無線網(wǎng)絡之間的通訊都需經(jīng)過IPS做保護與進一步分析,為一種整體縱深防御策略。

4 結論

由于無線網(wǎng)絡的存取及使用上存在相當程度的風險,更顯無線局域網(wǎng)絡的安全性之重要,本篇論文考慮無線網(wǎng)絡聯(lián)機存取之相關風險與安全聯(lián)機的準則需求,有鑒于目前行動裝置使用量大增,企業(yè)可能面臨使用者要求開放無線網(wǎng)絡之需求,應建立相關無線網(wǎng)絡方案,本研究針對目前常見之無線網(wǎng)絡風險威脅為出發(fā),以及內(nèi)部網(wǎng)絡與外部網(wǎng)絡使用者,針對不同安全需求強度,規(guī)劃無線網(wǎng)絡使用方案,提供作為建置參考依據(jù),進而落實傳輸風險管控,加強企業(yè)網(wǎng)絡安全強度。

參考文獻:

[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.

[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.

[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.

[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.

篇6

關鍵詞: 計算機;網(wǎng)絡;安全;防范

        1  網(wǎng)絡安全的含義及特征

        1.1 含義  網(wǎng)絡安全是指:為保護網(wǎng)絡免受侵害而采取的措施的總和。當正確的采用網(wǎng)絡安全措施時,能使網(wǎng)絡得到保護,正常運行。

        它具有三方面內(nèi)容:①保密性:指網(wǎng)絡能夠阻止未經(jīng)授權的用戶讀取保密信息。②完整性:包括資料的完整性和軟件的完整性。資料的完整性指在未經(jīng)許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤、被懷有而已的用戶或病毒修改。③可用性:指網(wǎng)絡在遭受攻擊時可以確保合法擁護對系統(tǒng)的授權訪問正常進行。

        1.2 特征  網(wǎng)絡安全根據(jù)其本質(zhì)的界定,應具有以下基本特征:①機密性:是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網(wǎng)絡系統(tǒng)的每一個層次都存在著不同的機密性,因此也需要有相應的網(wǎng)絡安全防范措施。在物理層,要保護系統(tǒng)實體的信息外露,在運行層面,保證能夠為授權使用者正常的使用,并對非授權的人禁止使用,并有防范黑客,病毒等的惡行攻擊能力。②完整性:是指信息未經(jīng)授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運行層面,要保證系統(tǒng)時刻能為授權人提供服務,保證系統(tǒng)的可用性,使得者無法否認所的信息內(nèi)容。接受者無法否認所接收的信息內(nèi)容,對數(shù)據(jù)抵賴采取數(shù)字簽名。

        2  網(wǎng)絡安全現(xiàn)狀分析

        網(wǎng)絡目前的發(fā)展已經(jīng)與當初設計網(wǎng)絡的初衷大相徑庭,安全問題已經(jīng)擺在了非常重要的位置上,安全問題如果不能解決,會嚴重地影響到網(wǎng)絡的應用。網(wǎng)絡信息具有很多不利于網(wǎng)絡安全的特性,例如網(wǎng)絡的互聯(lián)性,共享性,開放性等,現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡安全形勢嚴峻,不法分子的手段越來越先進,系統(tǒng)的安全漏洞往往給他們可趁之機,因此網(wǎng)絡安全的防范措施要能夠應付不同的威脅,保障網(wǎng)絡信息的保密性、完整性和可用性。目前我國的網(wǎng)絡系統(tǒng)和協(xié)議還存在很多問題,還不夠健全不夠完善不夠安全。計算機和網(wǎng)絡技術具有的復雜性和多樣性,使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。

        3  網(wǎng)絡安全解決方案

        要解決網(wǎng)絡安全,首先要明確實現(xiàn)目標:①身份真實性:對通信實體身份的真實性進行識別。②信息機密性:保證機密信息不會泄露給非授權的人或?qū)嶓w。③信息完整性:保證數(shù)據(jù)的一致性,防止非授權用戶或?qū)嶓w對數(shù)據(jù)進行任何破壞。④服務可用性:防止合法擁護對信息和資源的使用被不當?shù)木芙^。⑤不可否認性:建立有效的責任機智,防止實體否認其行為。⑥系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性:在滿足安全要求的條件下,系統(tǒng)應該操作簡單、維護方便。⑧可審查性:對出現(xiàn)問題的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

        4  網(wǎng)絡安全是一項動態(tài)、整體的系統(tǒng)工程。

        網(wǎng)絡安全有安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網(wǎng)絡的安全性。從實際操作的角度出發(fā)網(wǎng)絡安全應關注以下技術:

        ①防病毒技術。病毒因網(wǎng)絡而猖獗,對計算機系統(tǒng)安全威脅也最大,做好防護至關重要。應采取全方位的企業(yè)防毒產(chǎn)品,實施層層設防、集中控制、以防為主、防殺結合的策略。②防火墻技術。通常是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合(包括硬件和軟件)。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。③入侵檢測技術。入侵檢測幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展系統(tǒng)管理員的安全管理能力,提高信息安全基礎結構的完整性。它在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)控,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。具體的任務是監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構造和弱點審計;識別反映已進攻的活動規(guī)模并報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。④安全掃描技術。這是又一類重要的網(wǎng)絡安全技術。安全掃描技術與防火墻、入侵檢測系統(tǒng)三者相互配合,對網(wǎng)絡安全的提高非常有效。通過對系統(tǒng)以及網(wǎng)絡的掃描,能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡環(huán)境有一個整體的評價,并得出網(wǎng)絡安全風險級別,還能夠及時的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞,并自動修補。

如果說防火墻和網(wǎng)絡監(jiān)控系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,做到防患于未然。⑤網(wǎng)絡安全緊急響應體系。網(wǎng)絡安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生變化。隨著時間和網(wǎng)絡環(huán)境的變化或技術的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建網(wǎng)絡安全緊急響應體系,專人負責,防范安全突發(fā)事件。⑥安全加密技術。加密技術的出現(xiàn)為全球電子商務提供了保證,從而使基于internet上的電子交易系統(tǒng)成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。⑦網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措施。防火墻作為網(wǎng)絡的第一道防線并不能完全保護內(nèi)部網(wǎng)絡,必須結合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高,分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務安全、應用服務安全和文件系統(tǒng)安全;同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構成整個網(wǎng)絡系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡系統(tǒng)的最后防線,用來遭受攻擊之后進行系統(tǒng)恢復。在防火墻和主機安全措施之后,是全局性的由系統(tǒng)安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網(wǎng)絡系統(tǒng)中的防火墻、網(wǎng)絡主機甚至直接從網(wǎng)絡鏈路層上提取網(wǎng)絡狀態(tài)信息,作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生,如果有入侵發(fā)生,則啟動應急處理措施,并產(chǎn)生警告信息。而且,系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統(tǒng)安全策略進行改進的信息來源。

        5  結語

        總之,網(wǎng)絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。隨著計算機技術和網(wǎng)絡技術已深入到社會各個領域,人類社會各種活動對計算機網(wǎng)絡的依賴程度已經(jīng)越來越大。增強社會安全意識教育,普及計算機網(wǎng)絡安全教育,提高計算機網(wǎng)絡安全技術水平,改善其安全現(xiàn)狀,成為當務之急。

參考文獻:

[1]黃怡強等.淺談軟件開發(fā)需求分析階段的主要任務.中山大學學報論叢,2002(01).

[2]胡道元.計算機局域網(wǎng)[m].北京:清華大學出版社,2001.

[3]朱理森,張守連.計算機網(wǎng)絡應用技術[m].北京:專利文獻出版社,2001.

篇7

關鍵詞: 計算機;網(wǎng)絡;安全;防范

        1  網(wǎng)絡安全的含義及特征

        1.1 含義  網(wǎng)絡安全是指:為保護網(wǎng)絡免受侵害而采取的措施的總和。當正確的采用網(wǎng)絡安全措施時,能使網(wǎng)絡得到保護,正常運行。

        它具有三方面內(nèi)容:①保密性:指網(wǎng)絡能夠阻止未經(jīng)授權的用戶讀取保密信息。②完整性:包括資料的完整性和軟件的完整性。資料的完整性指在未經(jīng)許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤、被懷有而已的用戶或病毒修改。③可用性:指網(wǎng)絡在遭受攻擊時可以確保合法擁護對系統(tǒng)的授權訪問正常進行。

        1.2 特征  網(wǎng)絡安全根據(jù)其本質(zhì)的界定,應具有以下基本特征:①機密性:是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網(wǎng)絡系統(tǒng)的每一個層次都存在著不同的機密性,因此也需要有相應的網(wǎng)絡安全防范措施。在物理層,要保護系統(tǒng)實體的信息外露,在運行層面,保證能夠為授權使用者正常的使用,并對非授權的人禁止使用,并有防范黑客,病毒等的惡行攻擊能力。②完整性:是指信息未經(jīng)授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運行層面,要保證系統(tǒng)時刻能為授權人提供服務,保證系統(tǒng)的可用性,使得者無法否認所的信息內(nèi)容。接受者無法否認所接收的信息內(nèi)容,對數(shù)據(jù)抵賴采取數(shù)字簽名。

        2  網(wǎng)絡安全現(xiàn)狀分析

        網(wǎng)絡目前的發(fā)展已經(jīng)與當初設計網(wǎng)絡的初衷大相徑庭,安全問題已經(jīng)擺在了非常重要的位置上,安全問題如果不能解決,會嚴重地影響到網(wǎng)絡的應用。網(wǎng)絡信息具有很多不利于網(wǎng)絡安全的特性,例如網(wǎng)絡的互聯(lián)性,共享性,開放性等,現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡安全形勢嚴峻,不法分子的手段越來越先進,系統(tǒng)的安全漏洞往往給他們可趁之機,因此網(wǎng)絡安全的防范措施要能夠應付不同的威脅,保障網(wǎng)絡信息的保密性、完整性和可用性。目前我國的網(wǎng)絡系統(tǒng)和協(xié)議還存在很多問題,還不夠健全不夠完善不夠安全。計算機和網(wǎng)絡技術具有的復雜性和多樣性,使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。

        3  網(wǎng)絡安全解決方案

        要解決網(wǎng)絡安全,首先要明確實現(xiàn)目標:①身份真實性:對通信實體身份的真實性進行識別。②信息機密性:保證機密信息不會泄露給非授權的人或?qū)嶓w。③信息完整性:保證數(shù)據(jù)的一致性,防止非授權用戶或?qū)嶓w對數(shù)據(jù)進行任何破壞。④服務可用性:防止合法擁護對信息和資源的使用被不當?shù)木芙^。⑤不可否認性:建立有效的責任機智,防止實體否認其行為。⑥系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性:在滿足安全要求的條件下,系統(tǒng)應該操作簡單、維護方便。⑧可審查性:對出現(xiàn)問題的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

        4  網(wǎng)絡安全是一項動態(tài)、整體的系統(tǒng)工程。

        網(wǎng)絡安全有安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網(wǎng)絡的安全性。從實際操作的角度出發(fā)網(wǎng)絡安全應關注以下技術:

篇8

關鍵詞: 計算機網(wǎng)絡 內(nèi)網(wǎng)安全 存在問題 預防方案

1.引言

當今社會科技高速發(fā)展,信息技術應用逐漸廣泛,不少企事業(yè)、單位均在內(nèi)部建立了大型的網(wǎng)路(計算機網(wǎng)絡),比如生產(chǎn)指揮系統(tǒng),鐵路局域網(wǎng),車站客戶購票系統(tǒng)等大型系統(tǒng)。隨著信息技術帶給人們極大的快捷、方便,網(wǎng)路信息技術的安全也就越來越重要。計算機網(wǎng)絡安全所指的是計算機網(wǎng)絡系統(tǒng)的軟硬件及數(shù)據(jù)受到的保護,不因為人為因素的影響而被破壞、更改,從而正常工作。此文針對探討的就是如何加強對內(nèi)網(wǎng)安全的管理、維護,以及防范等問題。

2.企業(yè)內(nèi)部計算機網(wǎng)絡(以下簡稱內(nèi)網(wǎng))的特點

2.1與外界網(wǎng)絡的隔離。

為了企業(yè)的生產(chǎn)、管理運行和工作,大多數(shù)企業(yè)都建立了內(nèi)部網(wǎng),比較獨立,因此,物理連接方面與外界計算機網(wǎng)絡聯(lián)系很少,與外界不進行溝通。為了滿足企業(yè)與外界的聯(lián)系,內(nèi)網(wǎng)中個別客戶端計算機可能與外界聯(lián)系,但絕大多數(shù)用戶仍與外界隔絕。

2.2建立起S/C結構的應用。

內(nèi)部網(wǎng)中普遍設立了大量的S/C結構,可以提供很多功能,如web服務、ftp服務、實時通訊、網(wǎng)上會議等功能。其中,一些企業(yè)安裝了專門使用的軟件,并且建立了專門數(shù)據(jù)庫,可以幫助企業(yè)制造大量的公文,并且進行流轉(zhuǎn)、處理,各種文件傳輸,也可以進行會議等。

2.3企業(yè)的日程運轉(zhuǎn)越來越依賴于內(nèi)網(wǎng)。

由于ERP、CAD等辦公和生產(chǎn)系統(tǒng)的大量應用,企業(yè)的日常運轉(zhuǎn)對信息流通的依賴性越來越大,尤其是內(nèi)部信息網(wǎng)絡。另外,內(nèi)部網(wǎng)絡由于生產(chǎn)和辦公軟件系統(tǒng)的電子化、智能化,已經(jīng)成為單位信息和指令傳輸?shù)闹匾M成部分。

2.4對網(wǎng)絡安全提出了更高的要求。

大批量的終端、網(wǎng)絡設備和服務器共同組成了內(nèi)部網(wǎng)絡,相互協(xié)調(diào)工作,成為嚴密的整體,因此,為了不使整個內(nèi)部網(wǎng)絡發(fā)生不必要的意外,企業(yè)在任何一方面的安全問題都應當引起足夠的重視。這就要求內(nèi)網(wǎng)中的各部分要有較高的穩(wěn)定性、可靠性和可控性,尤其是服務器和數(shù)據(jù)庫。

3.一般內(nèi)網(wǎng)安全存在的問題

計算機的安全級別若從高到低來講,可以分為主機系統(tǒng)的應用服務安全、文件系統(tǒng)安全,系統(tǒng)服務安全,操作系統(tǒng)內(nèi)核安全,主機系統(tǒng)的物理安全。由于了解了內(nèi)部網(wǎng)絡的特征,我們可以很清楚地看出,內(nèi)網(wǎng)安全存在著很明顯的問題,特別是技術和管理使用方面。

3.1內(nèi)網(wǎng)管理、使用方面存在問題。

3.1.1網(wǎng)絡安全意識不強。

由于內(nèi)網(wǎng)還未得到大面積普及,部分企業(yè)的內(nèi)網(wǎng)組建比較倉促,導致一些管理、使用人員對計算機知識了解不清楚,對網(wǎng)絡的安全問題意識不夠,并且對信息資產(chǎn)保護的意識相對薄弱。因此,在每次計算機信息損壞,從而導致泄漏信息、文件遺失等安全問題。這些問題都會造成直接的經(jīng)濟損失。

3.1.2內(nèi)部人員使用不規(guī)范。

使用人員對計算機設備操作錯誤而產(chǎn)生的問題在內(nèi)網(wǎng)中占絕大多數(shù)。譬如,操作人員在計算機還未完全關閉后就關閉UPS電源,還有些操作人員在不經(jīng)常殺毒的前提下隨意在多臺計算機上使用U盤、活動硬盤拷貝文件,給電腦病毒以可乘之機。有的用戶在沒有確定軟件地安全性就隨意地安裝,還有的計算機用戶隨意地將自己的賬戶密碼告知別人,給計算機安全問題造成巨大隱患。

3.2科技角度存在的漏洞。

3.2.1操作系統(tǒng)不能及時進行升級完善。

沒有哪個操作系統(tǒng)是完美的,任何操作系統(tǒng)一定有自身的缺陷。正是這樣才給計算機病毒提供了溫床。原因在于內(nèi)網(wǎng)系統(tǒng)是一個獨立的體系,因而操作系統(tǒng)得不到及時升級,從而無法保證內(nèi)網(wǎng)的安全。同樣,在應用軟件方面也存在著不足。一般而言IIS的漏洞方式有:遠程溢出漏洞、配置錯誤漏洞、權限漏洞、解碼漏洞等,數(shù)據(jù)庫的漏洞形式注入式漏洞等。然而,有些編程人員卻忽略了安全這一重大問題,產(chǎn)生了操作系統(tǒng)的缺陷和漏洞,更有甚者,為了便利而故意設置軟件的漏洞。

3.2.2關注匱乏,信息安全無法顧及全面。

在部分企業(yè)管理人員的觀念中對信息安全的關注不夠,從而造缺乏對信息安全產(chǎn)品的投入。在部分企業(yè)中有放棄使用網(wǎng)絡版防火墻和防病毒軟件以單機版產(chǎn)品替代的,有的企業(yè)使用一套防病毒軟件安裝多臺計算機,甚至有的企業(yè)根本沒有使用任何防火墻和防病毒軟件。

4.預防方案

4.1敲響網(wǎng)絡安全的警鐘。

企業(yè)管理人員要培養(yǎng)網(wǎng)絡安全意識是穩(wěn)定企業(yè)內(nèi)網(wǎng)信息安全的先決條件。要及時對其進行相應的網(wǎng)絡應用技術培訓,促使其專業(yè)技術水平提高,真正為企業(yè)消除在設備性能、信息安全方面的后顧之憂。對于因一線操作人員水平存在缺陷或因工作疏忽誤操作而造成的問題,技術人員應利用加密、屏幕保護加密、目錄加密、文件加密、網(wǎng)絡傳輸加密等專業(yè)技術來加以預防。

4.2加強有關規(guī)章完善,嚴格管理網(wǎng)絡使用。

加強網(wǎng)絡安全管理,提高有關規(guī)章制度完善程度,將有利于保障網(wǎng)絡安全、可靠運行。完善計算機操作使用流程制度、網(wǎng)絡操作規(guī)范制度、U盤、活動硬盤等信息介質(zhì)的妥善管理規(guī)定、保密機和密鑰等密碼安全問責制度,同時建立健全計算機的維護制度和應急措施、預案,以保障網(wǎng)絡系統(tǒng)的安全等。為使計算機安全工作有章可循,責任到人的目的,可嘗試上網(wǎng)信息保密審批領導責任制等安全隱患問責制度,將計算機可能存在安全隱患的各個環(huán)節(jié)都能加以嚴格掌控。

4.3增強對計算機內(nèi)部網(wǎng)絡的技術維護。

4.3.1對專業(yè)人才進行針對培養(yǎng),加大計算機硬件的防護措施。

在制定生存發(fā)展戰(zhàn)略的同時,企業(yè)往往對專業(yè)人才的引進與培養(yǎng)傾注大量精力,而其中計算機專業(yè)的技術人員相對較為缺乏。為了推動企業(yè)發(fā)展,必須采取相應的針對措施。第一,加大對計算機專業(yè)技術人才的引進;第二,為了對計算機保持長期有效的維護,定期對內(nèi)網(wǎng)技術專業(yè)人員進行集中技能培訓,提高其專業(yè)素質(zhì);第三,為保證內(nèi)網(wǎng)設備的正常運行,應針對設備的使用環(huán)境、運行情況進行周期性檢查,及時更新和維護相應的配件。

4.3.2保持計算機操作系統(tǒng)的更新,修補減少編程堵塞漏洞。

第一,保證操作系統(tǒng)正常運行的首要條件就是定期對其進行更新和補漏,并且由于互聯(lián)網(wǎng)沒有與內(nèi)網(wǎng)直通,更新與升級的任務需要靠維護人員手動完成。補丁管理軟件能夠針對這一情況減輕維護人員的工作量,每次只需在服務器上更新一次,相應所有客戶端便能夠自動更新,安全便捷。如微軟公司(Microsoft)的WSUS(Windows Server Update Services)補丁管理軟件等,在現(xiàn)如今內(nèi)網(wǎng)服務器和終端較多的情況下,推薦使用這類軟件。第二,為最大限度地保證信息安全,類似系統(tǒng)中的WEB服務,數(shù)據(jù)庫讀、寫等由開發(fā)人員直接編程的專用程序應用,要求加大安全力度,盡量將程序編寫的嚴密,將涉及用戶名與口令的程序封在服務端,對于與數(shù)據(jù)庫連接的用戶名與口令應給予用戶最小的權限,營造一個安全的信息環(huán)境。

4.3.3運用防火墻、防病毒軟件等工具,定期對網(wǎng)絡進行監(jiān)測和檢查。

為營造安全訪問空間,阻擋木馬病毒的傳播與侵入,應在服務器、各終端邊界上建立起通信監(jiān)控系統(tǒng),利用防火墻技術來進行實時檢查與隔離,從而提高內(nèi)網(wǎng)的安全性。安裝網(wǎng)絡監(jiān)控軟件,能夠及時發(fā)現(xiàn)內(nèi)網(wǎng)中存在的異常情況,并提供有效證據(jù),為事后追查問題根源提供便捷。通過安裝網(wǎng)絡版防病毒軟件來加強病毒檢測,及時發(fā)現(xiàn)病毒并予以清殺,可有效阻止其在網(wǎng)絡上的蔓延和破壞。

5.結語

網(wǎng)絡安全是企業(yè)應該高度重視的一個綜合性課題,它既包括信息系統(tǒng)本身的安全,又有物理和邏輯的技術措施,涉及技術、管理、使用等許多方面。企業(yè)應針對不同方面的問題,開發(fā)新技術,加強對硬件和軟件的及時調(diào)整,研究維護網(wǎng)絡安全的完備方法,建立起完善的網(wǎng)絡安全管理體系,為保證企業(yè)信息系統(tǒng)的安全運行而積極防范。

參考文獻:

[1]謝希仁.計算機網(wǎng)絡(第6版)[M].北京:電子工業(yè)出版社,2011.

[2]胡道元.計算機局域網(wǎng)[M].北京:清華大學出版社,2010.

篇9

關鍵詞:電力企業(yè);局域網(wǎng);網(wǎng)絡安全

中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2012) 20-0000-02

隨著計算機技術、網(wǎng)絡信息技術的不斷發(fā)展,網(wǎng)絡已經(jīng)成為各個行業(yè)所必須的技術,隨著網(wǎng)絡的大范圍使用,使生產(chǎn)效率大大提高,促進了經(jīng)濟的發(fā)展。作為電力企業(yè)而言,對網(wǎng)絡的依賴程度也不斷的加深,但是隨著網(wǎng)絡的迅速普及,一些網(wǎng)絡安全問題也對電力企業(yè)網(wǎng)絡系統(tǒng)帶來嚴峻的挑戰(zhàn)。本文主要根據(jù)電力企業(yè)局域網(wǎng)系統(tǒng)中存在的一些安全問題進行分析,闡述影響網(wǎng)絡安全的一些因素,并尋找解決問題的一些措施。

1 網(wǎng)絡中存在不安全因素的原因

由于互聯(lián)網(wǎng)的四通八達,各種資源與信息充斥這整個網(wǎng)絡,目前,隨著網(wǎng)絡的普及,有更多的信息進入到互聯(lián)網(wǎng)中,有對人們有幫助作用的有利信息,也有影響人們正常工作生活的有害信息,因此要最大程度的保證網(wǎng)絡的安全。網(wǎng)絡的安全并不是絕對的,只能最大限度的進行網(wǎng)絡的防范與優(yōu)化,最大程度的抵御各種攻擊侵害,使得網(wǎng)絡在一定程度范圍內(nèi)處于安全的領域。因為網(wǎng)絡的建設是基于TCP/IP協(xié)議來通信的。而TCP/IP是參照OSI七層模型來形成的。OSI的中文意思是:開放系統(tǒng)互聯(lián)。就是說,網(wǎng)絡從一出生就決定了它的開放性,因此它的先天開放性就決定了它自身存在安全漏洞。局域網(wǎng)也是同樣的,只不過局域網(wǎng)覆蓋的范圍相對較小,但在小范圍,局域網(wǎng)仍舊是一個開放的網(wǎng)絡平臺,其所受到的安全威脅渠道與廣域網(wǎng)的類型是類似的,而危害程度也不亞于廣域網(wǎng)。局域網(wǎng)受到的網(wǎng)絡攻擊類型中,仍然是以木馬危害較多較嚴重,病毒利用局域網(wǎng)在網(wǎng)絡中傳播,對網(wǎng)絡安全造成危害。對于電力企業(yè)而言,局域網(wǎng)的安全性關系到企業(yè)的正常經(jīng)營與發(fā)展,因此,要對局域網(wǎng)網(wǎng)絡安全嚴格的進行保障。

2 局域網(wǎng)系統(tǒng)攻擊主要類型

2.1 收集信息攻擊。主要是針對特洛伊木馬而言的,是木馬程序攻擊的重要手段,該攻擊手段也是其它攻擊手段的基礎。相對于簡單的端口掃面,系統(tǒng)安全管理員可以察覺到攻擊者的意圖,但是對于隱秘程序而來,檢測起來就非常困難。Sniffer是對網(wǎng)絡連接進行診斷的設計,具有普通網(wǎng)絡分析功能,也可以是硬件和軟件的聯(lián)合形式,可截獲專用信息及秘密信息,對鄰近網(wǎng)絡可以進行攻擊。所以,如果局域網(wǎng)中存在sniffer,會對局域網(wǎng)帶來較大的威脅。

2.2 拒絕服務。這是在局域網(wǎng)中通過Internet協(xié)議妨礙或關閉其它用戶對系統(tǒng)進行訪問的攻擊類型,主要表現(xiàn)為潮水般的連接申請,瞬間使系統(tǒng)崩潰。對于電力企業(yè)局域網(wǎng)而言,這種攻擊類型有限,但是對于一些小的電力部門而言,就可能造成其網(wǎng)絡服務的崩潰。此類攻擊難以截獲,管理人員不容易對其來源查詢。典型的傳播途徑是通過電子郵件完成的。首先,E-mail炸彈,這是一種簡單的侵擾工具。是通過不間斷的重復傳播給收件者相同的信息,通過垃圾信息堵塞用戶個人郵箱,使郵箱癱瘓。采用的工具較多,諸多平臺都對這些應用程序支持,因此攻擊更為簡單,只需要簡單的幾行程序就可以實現(xiàn)攻擊的目的。但其防御也簡單,郵件的收發(fā)都有過濾功能,只需要將源目標地址添加到拒絕列表即可。其次,郵件列表連接。此類攻擊與郵件炸彈類似,是把目標地址同時注冊到多個郵件列表中,使目標郵箱癱瘓。這種攻擊可以手動完成,也可以建立數(shù)據(jù)庫自動完成。

2.3 電子欺騙。針對FTP、DNS等協(xié)議的攻擊,將用戶的權限進行竊取,隨意進行信息的修改,對用戶帶來較大的危害。IP欺騙,主要是偽造用戶IP地址,這種欺騙技術在互聯(lián)網(wǎng)中成功的不多,由于其要取得欺騙對象的信任才能實施攻擊,但在局域網(wǎng)中,這種信任關系比較容易建立,攻擊也容易實現(xiàn),對電力企業(yè)局域網(wǎng)絡安全帶來一定的安全隱患。

3 局域網(wǎng)安全系統(tǒng)策略

3.1 人員角色劃分。根據(jù)電力企業(yè)的特點,對企業(yè)局域網(wǎng)安全系統(tǒng)要進行有效的管理,首先就需要對系統(tǒng)的管理人員及使用人員的角色進行明確權限劃分,不同的角色具有不同的職責和權限,相互牽制,保障系統(tǒng)整體的安全性。其中對系統(tǒng)的使用主要分為以下幾類人群:第一,決策專家。主要負責電力企業(yè)局域網(wǎng)安全系統(tǒng)的現(xiàn)狀,對安全設備及產(chǎn)品的購買和使用進行決策和評估,制定系統(tǒng)安全框架,保證局域網(wǎng)系統(tǒng)的正常運行,并負責制定安全管理策略及規(guī)章制度。這部分人群只負責安全策略,在該系統(tǒng)中沒有賬戶,因此,對系統(tǒng)的威脅較小。第二,安全管理員。主要是對各種安全策略實施在系統(tǒng)中,例如計算機安全屬性、網(wǎng)絡設備配置、訪問控制及防火墻等安全產(chǎn)品的規(guī)則,并進行日常的用戶管理、修改及維護資產(chǎn)等訪問權限。第三,審計員。主要是對違反安全管理、口令管理員操作、安全管理員操作及設置等工作進行審計。一旦發(fā)現(xiàn)違規(guī)操作或者安全管理員的誤操作,就會發(fā)出安全報告。第四,口令管理員。主要負責為口令質(zhì)量的維護,保證決策專家制定的口令的實施。幫助新用戶設置口令或者復位遺忘、丟失的口令。第五,系統(tǒng)管理員。主要負責對網(wǎng)絡設備、操作系統(tǒng)、計算機及數(shù)據(jù)庫的管理,不涉及安全管理。

3.2 用戶口令規(guī)則。主要是對用戶口令的輸入合適等進行規(guī)范,如規(guī)定口令的輸入合適、最大長度及最小長度、禁止使用用戶名、特定詞組作為口令;規(guī)定口令組成中包含幾個字母、幾個數(shù)字及特殊字符等;規(guī)定口令使用時間;規(guī)定口令的歷史,在規(guī)定時間內(nèi)不可重復使用,新舊口令的差別大小等。

3.3 用戶級別劃分。局域網(wǎng)的網(wǎng)絡終端使用人群比較多,其使用的目的也不盡相同,因此對使用終端的用戶進行劃分,首先可以強化對用戶的管理,其次也加強了局域網(wǎng)安全的管理目的,分組的用戶明確了各類用戶對系統(tǒng)的訪問權限,提高了系統(tǒng)的使用效率的同時,也加強了系統(tǒng)的安全防護。

3.4 資產(chǎn)級別劃分。對于局域網(wǎng)系統(tǒng)內(nèi)涉及的各類資產(chǎn)進行級別的劃分,各級別資產(chǎn)分別由哪一類用戶進行使用或者哪一個級別的計算機進行訪問都要嚴格的進行規(guī)范,保證系統(tǒng)的安全,同時,局域網(wǎng)系統(tǒng)作為一個整體安全防護對象,還要從網(wǎng)絡級、系統(tǒng)級、應用級等幾個方面,全面的實時系統(tǒng)系統(tǒng)的安全管理。

4 結束語

通過以上內(nèi)容的分析,本文主要對電力企業(yè)局域網(wǎng)系統(tǒng)的安全問題進行了闡述,在管理方面,電力企業(yè)應該加強安全管理,防止局域網(wǎng)出現(xiàn)不法分子的惡意攻擊,從技術層面,企業(yè)應該與時俱進,不斷對安全系統(tǒng)進行升級,采用新技術設備,強化系統(tǒng)的安全級別,從人員方面來說,要提高人員的自身素養(yǎng)和職業(yè)技能,使員工具有高度的責任心的同時,還要具備高技能的特質(zhì),只有從管理、技術及人員培養(yǎng)方面不斷的加強,電力企業(yè)局域網(wǎng)的安全等級才能不斷的提高,電力企業(yè)的發(fā)展才能更快更好。

參考文獻:

[1]楊大偉.基于網(wǎng)絡通信安全管理問題的思考[J].魅力中國,2010,34.

[2]尹旭升.淺談安全信息網(wǎng)絡管理技術的應用[J].煤,2010,8.

[3]李斌,欒慶芝.對電力企業(yè)局域網(wǎng)安全行為控制方案的探討[J].信息安全與技術,2012,8.

[4]司徒健輝.企業(yè)網(wǎng)絡安全準入控制技術設計與應用[J].大科技·科技天地,2010,7.

篇10

關鍵詞:企業(yè);計算機;網(wǎng)絡安全;防護;體系;構建

眾所周知,計算機網(wǎng)絡技術具有雙面性特點,優(yōu)點與缺陷共存,其在社會整體發(fā)展中會帶來一定操作便捷性,但其弊端與不足也尤為明顯,因為網(wǎng)絡本體具備開放共享特點和多樣化鏈接特點以及終端分布不均勻特點等,所以此時計算機網(wǎng)絡安全極易受到外界攻擊與損害,網(wǎng)絡安全隨之受到嚴重威脅。計算機網(wǎng)絡信息時代的到來,企業(yè)計算機技術依賴程度日漸加深,企業(yè)日常辦公活動和工作細節(jié)中都或多或少的應用計算機技術,網(wǎng)絡安全妨礙種類頗多,我們應正視此類狀況,從實際角度出發(fā),適時進行網(wǎng)絡安全防護結構體系構建,以保障企業(yè)信息安全。

一、現(xiàn)存問題要點分析

(一)企業(yè)網(wǎng)絡管理制度尚未整改與完善。企業(yè)網(wǎng)絡管理制度不完善因素存在對企業(yè)網(wǎng)絡安全造成嚴重影響,其網(wǎng)絡破壞力度相對較大,俗話說得好,沒有規(guī)矩不成方圓,企業(yè)制度即是規(guī)矩,應該了解到,當前我國多數(shù)企業(yè)網(wǎng)絡管理中仍存在管理制度不完善現(xiàn)象,缺少規(guī)范化網(wǎng)絡安全管理結構體系對此類不良事項進行制約,主要存在網(wǎng)絡安全管理流程混論狀況和網(wǎng)絡安全意識淡薄狀況以及管理流程混亂狀況等,而管理責任不明確現(xiàn)象也時有發(fā)生,詬病與缺陷眾多,企業(yè)專職管理人員沒有及時履行本體內(nèi)在職能,給網(wǎng)絡安全威脅者提供了攻擊機會。

(二)企業(yè)網(wǎng)絡建設缺乏科學合理規(guī)劃。企業(yè)網(wǎng)絡建設過程中常會出現(xiàn)規(guī)劃不合理狀況,其問題普遍性較為明顯。需知,企業(yè)建立伊始便不會高度重視網(wǎng)絡建設工作,企業(yè)發(fā)展和慢慢壯大后,計算機網(wǎng)絡應用次數(shù)會增加,利用計算機軟件進行企業(yè)辦公,此后便會出現(xiàn)一定的網(wǎng)絡安全問題,其主要由網(wǎng)絡建設不合理規(guī)劃造成,最為常見的例子即為,企業(yè)網(wǎng)絡寬帶接入時其基礎新承載力不足,這樣會嚴重影響辦公效率和網(wǎng)絡安全。

(三)企業(yè)網(wǎng)絡設施落后與企業(yè)網(wǎng)絡設備落后。部分企業(yè)網(wǎng)絡設備發(fā)展與當前社會發(fā)展需求難以相互適應,此項事件成因即為計算機和網(wǎng)絡技術以新型科學技術產(chǎn)生,雖然企業(yè)網(wǎng)絡設備投入資金到位,但經(jīng)過長期運作后,一些企業(yè)網(wǎng)絡設置和網(wǎng)絡設備還是處于相對落后態(tài)勢,特別是多數(shù)企業(yè)無法對企業(yè)本體網(wǎng)絡設施、網(wǎng)絡設備更新工作以及維護工作等重視起來,二者重視度降低便會使企業(yè)網(wǎng)絡設施落后與企業(yè)網(wǎng)絡設備落后問題日益凸顯。

二、企業(yè)計算機網(wǎng)絡安全與防護結構體系構建策略要點分析

(一)計算機網(wǎng)絡制度規(guī)范與完善。網(wǎng)絡制度建立環(huán)節(jié)勢在必行,因為其是進行企業(yè)計算機網(wǎng)絡安全與防護結構體系構建的首要前提,需要認真結合當前企業(yè)網(wǎng)絡使用現(xiàn)狀與特點,融入網(wǎng)絡管理流程制定和網(wǎng)絡使用制度制定,之后在此基礎上進行企業(yè)工作人員群體的計算機網(wǎng)絡安全操作意識強化,深度明確相關管理職責,針對老舊式網(wǎng)絡設備和網(wǎng)絡設施等予以及時取締,不斷提高網(wǎng)絡安全管護責任,對網(wǎng)絡設施設備進行全面更新與綜合整改,以至有效提升企業(yè)網(wǎng)絡設施具體應用水準。

(二)企業(yè)計算機網(wǎng)絡防火墻配置。此條首要一點即是進行網(wǎng)絡防火墻設置,因為防火墻技術是整體企業(yè)網(wǎng)絡安全維護過程中重要組成部分和重點操作環(huán)節(jié),網(wǎng)絡防火墻技術應用時需要嚴格遵循網(wǎng)絡安全維護原則,及時進行企業(yè)計算機網(wǎng)絡運行現(xiàn)狀和運行狀況監(jiān)管,針對網(wǎng)絡傳輸數(shù)據(jù)包內(nèi)容,不斷實施安全檢查與強制控制,有效屏蔽外來不良信息,禁止危險信息的不合理侵入,以至有效防止企業(yè)計算機網(wǎng)絡基本信息遭受泄漏。

(三)計算機網(wǎng)絡病毒檢測技術應用。計算機病毒的產(chǎn)生可對計算機原有程序進行破壞,使得計算機網(wǎng)絡結構系統(tǒng)不能正常運行,計算機網(wǎng)絡數(shù)據(jù)信息會遭到嚴重破壞,隨之產(chǎn)生計算機指令信息和相關程度代碼內(nèi)容,上述二者均具備自我復制特性,其網(wǎng)絡危害程度極深。較為正確的做法是,企業(yè)應及時利用病毒檢測軟件進行全面網(wǎng)絡病毒檢測,運用先進計算機網(wǎng)絡安全檢測軟件進行病毒查殺和攔阻,在及時檢測到計算機網(wǎng)絡病毒的同時予以及時刪除和處理,保障企業(yè)計算機網(wǎng)絡結構系統(tǒng)運行安全。除此之外,還可進行密碼更改與機密技術執(zhí)行,定期進行企業(yè)網(wǎng)絡賬戶密碼修改,防止網(wǎng)絡賬戶密碼泄露狀況產(chǎn)生,通過重要信息存儲形式加密改變進行竊取行為防御,避免企業(yè)信息泄露,再有就是IP隱藏技術,其可對IP地址進行隱藏,網(wǎng)絡黑客則不能趁虛而出,所以企業(yè)自身需要運用多樣網(wǎng)絡維護技術去保障企業(yè)計算機網(wǎng)絡安全,將各項網(wǎng)絡安全防護工作均落實到位,有效提升最終工作質(zhì)量和工作效率。

結束語:綜上所述,企業(yè)計算機網(wǎng)絡安全問題是企業(yè)發(fā)展過程中需要側(cè)重考慮的操作環(huán)節(jié)之一,當前存在網(wǎng)絡管理制度尚未整改、完善問題和網(wǎng)絡建設缺乏科學合理規(guī)劃問題以及網(wǎng)絡設施落后與企業(yè)網(wǎng)絡設備落后問題等,需要從實際角度出發(fā),及時進行計算機網(wǎng)絡制度規(guī)范與完善、計算機網(wǎng)絡防火墻配置和應用計算機網(wǎng)絡病毒檢測技術,全方位多角度保障企業(yè)計算機網(wǎng)絡正常平穩(wěn)運行。

參考文獻: