時(shí)間:2022-05-08 04:36:03
序論:在您撰寫企業(yè)網(wǎng)絡(luò)安全論文時(shí),參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
系統(tǒng)的默認(rèn)共享是打開的,關(guān)鍵的是它將系統(tǒng)盤也共享了,通過網(wǎng)絡(luò)映像就可以直接訪問,在注冊(cè)表中可以將其關(guān)閉。接到某些部門的電話,在計(jì)算機(jī)上出現(xiàn)“網(wǎng)絡(luò)IP地址沖突”的信息,無法使用網(wǎng)絡(luò)。這些部門有個(gè)共同點(diǎn),就是都有訪問Internet的權(quán)限。企業(yè)網(wǎng)絡(luò)是通過路由器連接到Internet的,路由器安裝調(diào)試之處,只是設(shè)置了可以訪問Internet的計(jì)算機(jī)IP地址及訪問時(shí)間段,所以沒有訪問權(quán)限的計(jì)算機(jī)為了達(dá)到某種目的,私自更改本機(jī)的IP地址,造成IP地址沖突。為了解決這個(gè)問題,更換了新的路由器,這種路由器具有MAC地址過濾,MAC地址綁定,網(wǎng)絡(luò)流量分配等功能。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的計(jì)算機(jī)的MAC是否與路由器上的MAC地址表相符,如果相符就放行,否則不允許通過路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的計(jì)算機(jī)返回一個(gè)警告信息。同時(shí)也限定了工作站的訪問流量,防止使用BT,迅雷等下載工具長(zhǎng)時(shí)間的大量占用網(wǎng)絡(luò)寬帶。2006年末的“熊貓燒香”病毒,造成上百萬臺(tái)電腦和千余家企業(yè)網(wǎng)絡(luò)被感染,特別是對(duì)企業(yè)網(wǎng)絡(luò)造成了很大的危害,也使人們對(duì)企業(yè)網(wǎng)絡(luò)安全有了進(jìn)一步的認(rèn)識(shí)。
第一,在企業(yè)網(wǎng)絡(luò)中,利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享,進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但是在設(shè)置過程中,要充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后,就不光是企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶可以訪問到,而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。有些人認(rèn)為計(jì)算機(jī)只有自己使用,不需要設(shè)置密碼,這就造成非法用戶可以通過網(wǎng)絡(luò)共享隨意訪問計(jì)算機(jī)中的數(shù)據(jù)。為了防止資料的外泄,在設(shè)置共享時(shí)一定要設(shè)置訪問密碼。只有這樣,才能保證共享目錄資料的安全。有條件的話,應(yīng)設(shè)立專門的文件服務(wù)器,進(jìn)行統(tǒng)一管理。
第二,企業(yè)內(nèi)部網(wǎng)速變得異常緩慢,許多計(jì)算機(jī)之間無法相互訪問,ERP系統(tǒng)軟件經(jīng)常出現(xiàn)不能正常登錄的情況。排除掉硬件因素,將工作站的共享去掉后,網(wǎng)速恢復(fù)正常,經(jīng)調(diào)查,發(fā)現(xiàn)是病毒在作怪,一旦聯(lián)網(wǎng),病毒就開始四處散播,占用了相當(dāng)大的網(wǎng)絡(luò)寬帶,造成了網(wǎng)速下降。在“熊貓燒香”病毒發(fā)作期間,曾經(jīng)采取斷開網(wǎng)絡(luò),進(jìn)行逐臺(tái)計(jì)算機(jī)殺毒,但聯(lián)網(wǎng)后很快又被傳染,始終不能徹底清除。因此在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有合適于局域網(wǎng)的全方位防病毒產(chǎn)品。企業(yè)網(wǎng)絡(luò)是內(nèi)部局域網(wǎng),就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。所以采用網(wǎng)絡(luò)版殺毒軟件是唯一的方法,這樣不必每臺(tái)工作站都需上網(wǎng)升級(jí),由殺毒服務(wù)器統(tǒng)一升級(jí),也能做到統(tǒng)一管理,避免了無故退出,非法卸載等誤操作。
另外,操作人員的素質(zhì)不同,也造成了許多安全的隱患。使用外來磁盤、光盤、U盤等存儲(chǔ)介質(zhì),應(yīng)該養(yǎng)成先殺毒的習(xí)慣。上網(wǎng)時(shí),不訪問非法的網(wǎng)站,下載不明的文件,接收到的郵件中,可能包含木馬病毒等非法程序,所以不認(rèn)識(shí)的信件盡量不要打開,而那些業(yè)務(wù)上、朋友的信件也要認(rèn)真檢查。制定相應(yīng)的計(jì)算機(jī)管理制度也是加強(qiáng)企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要手段,使企業(yè)人員從認(rèn)識(shí)上積極對(duì)待,工作中嚴(yán)格實(shí)行。
作者:閆志康 李偉洋 高淑平 單位:濮陽同力水泥有限公司 濮陽市生產(chǎn)力促進(jìn)中心
一、網(wǎng)絡(luò)操作系統(tǒng)安全風(fēng)險(xiǎn)分析與對(duì)策
目前常用網(wǎng)絡(luò)操作系統(tǒng)有windows、UNIX、linux操作系統(tǒng),這些操作系統(tǒng)開發(fā)在過程中要考慮到方便用戶使用,但在方便使用的前提下也暴露出一些問題:(1)操作系統(tǒng)默認(rèn)配置存在安全隱患:如Windows操作系統(tǒng)默認(rèn)設(shè)置可以從光盤或U盤啟動(dòng),這種設(shè)置可以避開登錄密碼直接進(jìn)入操作系統(tǒng),另外操作系統(tǒng)默認(rèn)安裝了一些不常用的服務(wù)和端口,為非法用戶的入侵提供了便利。(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上共享數(shù)據(jù)、加載或安裝程序,這些功能方便了非法用戶注入和運(yùn)行木馬程序,為獲取用戶的信息提供了方便之門。(3)操作系統(tǒng)自身結(jié)構(gòu)問題,如:windows操作系統(tǒng)自身提供的IPC$鏈接、遠(yuǎn)程調(diào)用等都存在安全隱患。IPC$鏈接是通過DOS界面在獲得管理員權(quán)限的前提下獲得遠(yuǎn)程計(jì)算機(jī)的信息;ftp服務(wù)傳輸過程為明碼傳輸,使用抓包工具即可獲取FTP服務(wù)器的登錄賬號(hào)和密碼,telnet遠(yuǎn)程登錄需要經(jīng)過很多的環(huán)節(jié),中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全問題,所以為了加固網(wǎng)路操作安全可以采用以下措施:1、加強(qiáng)物理安全管理禁止通過DOS或其它操作系統(tǒng)訪問NTFS分區(qū)。在BIOS中設(shè)置口令,禁止使用U盤或光驅(qū)引導(dǎo)系統(tǒng)。2、加強(qiáng)用戶名和口令的管理windows操縱系統(tǒng)Administrator管理員用戶和Unix/Linux操作系統(tǒng)root特權(quán)用戶均具有對(duì)操作系統(tǒng)的完全控制權(quán)限,所以是入侵者想要獲取的信息。用戶名保護(hù):Windows非管理員賬戶在輸入密碼錯(cuò)誤后可設(shè)置成鎖定該用戶,但是Administrator不能刪除和禁用,所以攻擊者可以反復(fù)嘗試登陸,試圖獲取密碼。為了增加攻擊者獲取管理員權(quán)限的難度,可以為Administrator重命名,這樣攻擊者不但要猜出密碼,還要先猜出管理員修改后的用戶名。Root用戶不能更名,為了保護(hù)該用戶,在沒有必要的情況下,不要用root用戶登錄本機(jī)及遠(yuǎn)程登錄服務(wù)器。密碼保護(hù):密碼設(shè)置應(yīng)按照密碼復(fù)雜度要求設(shè)置并定期更換密碼,同時(shí)密碼的設(shè)置不要用普通的英文單詞或比較公開的信息如生日、車牌等。3、加強(qiáng)用戶訪問權(quán)限的管理有些管理員為了方便用戶訪問文件系統(tǒng),為用戶開放了所有權(quán)限,如windows操作系統(tǒng)中為everyone工作組授予了“完全控制”權(quán)限,UNIX/Linux操作系統(tǒng)為所有用戶設(shè)置讀寫執(zhí)行權(quán)限,這樣的設(shè)置方便非法用戶上傳木馬,所以為了文件系統(tǒng)的安全,必須重新設(shè)置文件系統(tǒng)的權(quán)限,在保證正常運(yùn)行的前提下,為用戶設(shè)置最小的訪問權(quán)限。4、加強(qiáng)服務(wù)和端口的管理當(dāng)用戶開啟操作系統(tǒng)后,操作系統(tǒng)自帶的某些服務(wù)會(huì)自動(dòng)運(yùn)行,而非法用戶會(huì)針對(duì)這些服務(wù)進(jìn)行遠(yuǎn)程攻擊,而一些不常使用的端口也容易被非法用戶利用,作為再次入侵的后門,所以應(yīng)該將不常使用的服務(wù)和端口關(guān)閉。
二、數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對(duì)策
企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)安全不可避免的受到外界的威脅,而數(shù)據(jù)的任何失誤,都可能對(duì)企業(yè)帶來巨大的損失。目前數(shù)據(jù)泄漏的主要途徑是:辦公計(jì)算機(jī)或硬盤的外帶;利用移動(dòng)存儲(chǔ)設(shè)備將數(shù)據(jù)帶出;通過網(wǎng)絡(luò)傳輸文件;通過外設(shè)拷貝數(shù)據(jù);服務(wù)器被非法入侵等。為了防止企業(yè)數(shù)據(jù)泄露可以采用如下措施:1、磁盤加密針對(duì)硬盤丟失或被盜造成的泄密風(fēng)險(xiǎn),可以通過對(duì)磁盤驅(qū)動(dòng)層的加密加固處理,保證硬盤在被非法外帶或丟失后呈“鎖死”狀態(tài),硬盤內(nèi)容無法被他人所讀取。2、移動(dòng)存儲(chǔ)設(shè)備使用管理對(duì)于移動(dòng)存儲(chǔ)設(shè)備設(shè)置加密寫入,即拷貝到該類設(shè)備的文檔都會(huì)以密文形式存在,密文只有拷貝回本地計(jì)算機(jī)才能解除加密。3、文檔傳輸控制對(duì)于文檔傳輸可以采取文件外發(fā)對(duì)象控制(指定可以外發(fā)文件的對(duì)象列表)、文件外發(fā)加密(外發(fā)的文檔處于加密狀態(tài))、文件外發(fā)審批(外發(fā)的文件需要經(jīng)領(lǐng)導(dǎo)審批方可發(fā)送)等形式進(jìn)行控制。4、外設(shè)與外設(shè)端口管理針對(duì)具備數(shù)據(jù)傳輸?shù)臄?shù)據(jù)端口和外設(shè),如紅外、藍(lán)牙、無線網(wǎng)卡、刻錄光驅(qū)等,只要與辦公無實(shí)質(zhì)性的聯(lián)系應(yīng)設(shè)置為禁用。5、文件服務(wù)器安全管理公司內(nèi)部之間最為普及的是利用文件服務(wù)器進(jìn)行文件傳遞。文件服務(wù)器上的數(shù)據(jù)經(jīng)過長(zhǎng)期累積存儲(chǔ),往往會(huì)成為“竊密”的重災(zāi)區(qū)。為了防止服務(wù)器的外泄,可以在防火墻中過濾和排查來訪者身份的真實(shí)性與有效性,只有合法的客戶端且得到管理員授權(quán)的用戶會(huì)被放行,非法用戶將被禁止。
作者:王琪 單位:天津工程職業(yè)技術(shù)學(xué)院
1建立保護(hù)區(qū)域與防護(hù)等級(jí)措施,提高對(duì)信息系統(tǒng)的控制力
供電企業(yè)的信息系統(tǒng)應(yīng)該根據(jù)自身生產(chǎn)特點(diǎn),劃分為生產(chǎn)控制區(qū)域管理信息區(qū),并且對(duì)于業(yè)務(wù)處理進(jìn)行分級(jí),實(shí)現(xiàn)差異化的防護(hù)措施,提高防護(hù)水平與防護(hù)效果。其中,對(duì)于生產(chǎn)控制區(qū)的劃分上,可以劃分為控制區(qū)與非控制區(qū),將專用數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行網(wǎng)段阻隔,劃分為安全控制區(qū),并且與其他控制區(qū)之間安裝電力專用正向單向隔離裝置。對(duì)于管理信息區(qū)中,要安裝硬件防火墻,對(duì)訪問行為進(jìn)行嚴(yán)格的控制,做好以下工作:(1)加強(qiáng)口令管理與數(shù)據(jù)備份,提高系統(tǒng)安全性??诹钚畔⑹潜WC信息安全的重要環(huán)節(jié),也是驗(yàn)證權(quán)限的重要手段。所有服務(wù)器與計(jì)算機(jī),都需要設(shè)置開機(jī)口令,并且保證口令的安全性與復(fù)雜性。對(duì)于安全口令進(jìn)行定期的更換,提高口令的安全性。(2)在計(jì)算機(jī)日常使用的過程中,要設(shè)定屏幕保護(hù),并開啟屏幕保護(hù)密碼。與此同時(shí),還要關(guān)閉遠(yuǎn)程桌面功能,避免被外來人員進(jìn)行遠(yuǎn)程訪問與控制。數(shù)據(jù)備份是提高系統(tǒng)安全性的另一項(xiàng)重要舉措,是保護(hù)系統(tǒng)數(shù)據(jù)完整性的主要方式。計(jì)算機(jī)管理人員需要對(duì)信息系統(tǒng)中的數(shù)據(jù)進(jìn)行定期的備份,在出現(xiàn)病毒入侵、數(shù)據(jù)損壞等情況下,及時(shí)的進(jìn)行數(shù)據(jù)恢復(fù),保證信息系統(tǒng)的正常運(yùn)作。個(gè)人電腦在日常使用中,也要注意做好信息的備份。(3)加強(qiáng)殺毒與漏洞掃描的工作,消除系統(tǒng)安全隱患。電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)管理者,需要根據(jù)自身企業(yè)內(nèi)部網(wǎng)絡(luò)情況,購(gòu)買專業(yè)殺毒軟件,提高整體網(wǎng)絡(luò)的安全性。對(duì)于殺毒軟件,需要進(jìn)行定期的病毒庫更新,對(duì)計(jì)算機(jī)病毒庫進(jìn)行實(shí)時(shí)的升級(jí),降低網(wǎng)絡(luò)病毒與木馬對(duì)計(jì)算機(jī)的影響。對(duì)于系統(tǒng)漏洞的管理上,要采用漏洞自動(dòng)掃描系統(tǒng),對(duì)于系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,及時(shí)的對(duì)系統(tǒng)中的漏洞進(jìn)行整改。信息系統(tǒng)管理員要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期的評(píng)測(cè),對(duì)于系統(tǒng)中存在的安全風(fēng)險(xiǎn)與漏洞進(jìn)行有效的處理,降低系統(tǒng)運(yùn)行風(fēng)險(xiǎn),提高系統(tǒng)的可靠性與穩(wěn)定性。
2加強(qiáng)物理安全和主機(jī)安全的管理,提高對(duì)安全事故的響應(yīng)能力
電力企業(yè)內(nèi)部員工在日常工作中,要注重對(duì)計(jì)算機(jī)電話的保護(hù),下班后及時(shí)關(guān)閉計(jì)算機(jī),從而延長(zhǎng)計(jì)算機(jī)使用壽命,保護(hù)硬件設(shè)設(shè)備的安全。針對(duì)特殊雷雨天氣,要做好防雷擊與防潮工作,保護(hù)機(jī)房的環(huán)境。在對(duì)于機(jī)房的管理上,要執(zhí)行嚴(yán)格的登記制度,避免無關(guān)人員進(jìn)入機(jī)房。對(duì)于服務(wù)器與數(shù)據(jù)庫的訪問上,要嚴(yán)格對(duì)訪問權(quán)限進(jìn)行管理,關(guān)閉可能造成系統(tǒng)受攻擊的服務(wù)與端口,最大限度的提高服務(wù)器的安全運(yùn)行水平。在安全管理工作中,要建立科學(xué)有效的應(yīng)急預(yù)案,爭(zhēng)取在出現(xiàn)安全事件時(shí),第一時(shí)間的進(jìn)行響應(yīng)與處理,降低影響與損失,保證電網(wǎng)最快的恢復(fù)正常運(yùn)行。
3結(jié)束語
完善和落實(shí)各項(xiàng)規(guī)章制度,構(gòu)建良好的安全管理體系,將信息安全作為企業(yè)日常管理中的重要內(nèi)容。企業(yè)管理者要重視信息安全,并且認(rèn)識(shí)到網(wǎng)絡(luò)信息安全對(duì)于電力系統(tǒng)正常運(yùn)行的意義。管理者要制定和完善內(nèi)部網(wǎng)絡(luò)信息安全管理制度,并且對(duì)有關(guān)制度進(jìn)行嚴(yán)格的執(zhí)行,做好日常監(jiān)督工作。在安全責(zé)任的劃分上,要做好責(zé)任落實(shí),對(duì)于專人簽訂專門的安全責(zé)任書。日常工作中還要積極的組織職工接受安全教育宣傳與培訓(xùn),提高職工安全認(rèn)識(shí)與信息安全保護(hù)的水平。
作者:李鋮 徐歡
1企業(yè)內(nèi)部人員的非法操作和非法登錄
隨著計(jì)算機(jī)技術(shù)在電信生產(chǎn)中的廣泛應(yīng)用,許多企業(yè)員工的計(jì)算機(jī)技術(shù)得到了一定程度的提高,又因電信企業(yè)各工作站點(diǎn)分布在不同的生產(chǎn)場(chǎng)所,有的生產(chǎn)場(chǎng)所管理不嚴(yán),職工和維護(hù)人員口令沒有注意保密,導(dǎo)致企業(yè)內(nèi)部部分員工在非工作時(shí)間盜用他人密碼登錄系統(tǒng)進(jìn)行非法操作,嚴(yán)重地威脅到系統(tǒng)數(shù)據(jù)安全及生產(chǎn)流程的有效管理。外部人員的非法入侵。電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和相關(guān)上級(jí)部門實(shí)現(xiàn)了互聯(lián),勢(shì)必存在著有人通過這種互聯(lián)非法入侵的可能性;同時(shí),因部分設(shè)備廠家遠(yuǎn)程維護(hù)的需要,提供了部分遠(yuǎn)程撥號(hào)登錄端口,如果對(duì)該登錄端口管理失控,那么設(shè)備供應(yīng)廠家眾多計(jì)算機(jī)網(wǎng)絡(luò)高手必然借機(jī)非法入侵,使該系統(tǒng)成為他人練習(xí)技術(shù)的場(chǎng)所。電腦病毒的破壞。在現(xiàn)代計(jì)算機(jī)世界里,數(shù)以千萬計(jì)的電腦病毒無疑是令無數(shù)計(jì)算機(jī)工作者頭痛的問題,特別是近年來,破壞硬件的病毒不斷出現(xiàn),例如CIH病毒等,對(duì)計(jì)算機(jī)系統(tǒng)的破壞性大大增強(qiáng)。物理設(shè)備的破壞。因?yàn)榛馂?zāi)、雷擊、電源、被盜等原因造成小型機(jī)或主網(wǎng)絡(luò)設(shè)備服務(wù)器的硬件損壞、被盜,導(dǎo)致網(wǎng)絡(luò)中斷,數(shù)據(jù)全部丟失,也是威脅電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要因素。
2電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施
通過前面的分析,我們可以知道,電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)上的信息資源事關(guān)廣大客戶能否正常享有電信企業(yè)提供的各項(xiàng)服務(wù)及企業(yè)各項(xiàng)業(yè)務(wù)生產(chǎn)處理流程能否正常進(jìn)行,因而一旦安全受到威脅,將會(huì)危及整個(gè)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),甚至?xí)谷W(wǎng)的機(jī)器癱瘓,大量重要數(shù)據(jù)丟失,造成無法估計(jì)的損失。為了防止此類事件的發(fā)生,必須根據(jù)企業(yè)實(shí)際情況,制定防范措施,確保網(wǎng)絡(luò)的安全性,筆者認(rèn)為應(yīng)該從以下幾個(gè)方面來考慮:
2.1分利用先進(jìn)的計(jì)算機(jī)技術(shù),分別在網(wǎng)絡(luò)層、系統(tǒng)設(shè)備層、應(yīng)用層進(jìn)行分級(jí)安全保護(hù)。網(wǎng)絡(luò)建設(shè)時(shí),必須按國(guó)際C2級(jí)安全性標(biāo)準(zhǔn)來規(guī)劃、設(shè)計(jì);在CISCO路由設(shè)備中,利用CISCOIOS操作系統(tǒng)的安全保護(hù),設(shè)置用戶口令及ENABLE口令,解決網(wǎng)絡(luò)層的安全問題;對(duì)廠家遠(yuǎn)程維護(hù)的撥號(hào)上網(wǎng)用戶,加入口令保護(hù),使用加密協(xié)議,監(jiān)控其上網(wǎng)維護(hù)過程。構(gòu)建網(wǎng)絡(luò)防火墻體系,過濾縱向網(wǎng)與電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)訴互聯(lián),防止外部用戶的非法入侵。充分利用UNIX系統(tǒng)的安全機(jī)制,保證用戶身份、用戶授權(quán)和基于授權(quán)的系統(tǒng)的安全。對(duì)各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫設(shè)立訪問權(quán)限;同時(shí),利用UNIX的安全文件,限制遠(yuǎn)程登錄主機(jī),以防非法用戶使用TELNET、FTP等遠(yuǎn)程登錄工具,進(jìn)行非法入侵。
2.2建立電信計(jì)算機(jī)網(wǎng)絡(luò)電腦病毒立體預(yù)防體系。面對(duì)日益猖獗的計(jì)算機(jī)病毒,企業(yè)的計(jì)算機(jī)管理部門必須建立有效的規(guī)章制度,定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行防病毒檢查。
2.3加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全性管理。企業(yè)必須設(shè)立專門的系統(tǒng)安全性管理員,負(fù)責(zé)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性監(jiān)控、管理、維護(hù)。必須做好小型機(jī)及服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、核心網(wǎng)絡(luò)路由設(shè)備、網(wǎng)絡(luò)交換機(jī)等系統(tǒng)超級(jí)用戶的口令管理,嚴(yán)格保密,防止他人竊取。因?yàn)槌?jí)用戶具有至高無上的權(quán)限,其口令為網(wǎng)絡(luò)安全性的第一道大門,一旦失竊,其他安全性措施都將成為空話,系統(tǒng)將可能受到嚴(yán)重的破壞。嚴(yán)格禁止系統(tǒng)管理員在中心機(jī)房之外使用超級(jí)用戶口令進(jìn)行系統(tǒng)維護(hù),確保超級(jí)用戶口令安全。建立健全企業(yè)生產(chǎn)用計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備管理制度,對(duì)各生產(chǎn)場(chǎng)所的計(jì)算機(jī)設(shè)備嚴(yán)格管理,實(shí)行專人負(fù)責(zé)管理,嚴(yán)禁非工作人員上機(jī)操作。
2.4嚴(yán)格維護(hù)制度,確保物理設(shè)備的安全。物理設(shè)備的安全是其他安全性措施的基礎(chǔ),如果物理設(shè)備遭到嚴(yán)重破壞,如燒毀、雷擊、被盜等,那么其他安全措施、手段將無從談起。系統(tǒng)管理員必須做好機(jī)房防火、防盜、防水、防雷等各項(xiàng)安全防范工作,確保網(wǎng)絡(luò)系統(tǒng)物理設(shè)備的安全。系統(tǒng)管理員必須做好經(jīng)常性的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的備份工作,有條件的必須將備份數(shù)據(jù)存放于不同地點(diǎn)的多個(gè)介質(zhì)上,以防物理設(shè)備遭到嚴(yán)重破壞時(shí),能夠在新設(shè)備上恢復(fù)操作系統(tǒng)及數(shù)據(jù)。
3總結(jié)
隨著電信企業(yè)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)的擴(kuò)大,電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性將受到更多的威脅,企業(yè)領(lǐng)導(dǎo)、技術(shù)管理人員和普通員工都必須進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí),高度重視,充分認(rèn)識(shí)電信計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要性,提高警惕,確保網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。
作者:馬俊嶺 單位:內(nèi)蒙古聯(lián)通公司呼倫貝爾根河市分公司
企業(yè)內(nèi)部計(jì)算機(jī)的網(wǎng)絡(luò)知識(shí)
通過先進(jìn)的網(wǎng)絡(luò)管理技術(shù),使企業(yè)的商業(yè)信息安全使用。企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)主要包括物理安全和邏輯安全兩方面,物理安全指的是對(duì)計(jì)算機(jī)硬件設(shè)備進(jìn)行保護(hù),不受到外界損壞;邏輯安全指的是企業(yè)內(nèi)部信息的完整和隱秘性。雖然很多企業(yè)已經(jīng)開始建立企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò),但因?yàn)槊總€(gè)企業(yè)的性質(zhì)和規(guī)模不同,對(duì)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全的程度也不相同。國(guó)有企業(yè)是國(guó)家的重要經(jīng)濟(jì)來源,所以,應(yīng)當(dāng)把國(guó)有企業(yè)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全問題放在首位。計(jì)算機(jī)的網(wǎng)絡(luò)技術(shù)為整個(gè)企業(yè)的生產(chǎn)作出了重要貢獻(xiàn),隨著黑客技術(shù)的不斷發(fā)展,很多企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)也遭到了破壞,重要的商業(yè)信息不斷外泄,對(duì)企業(yè)造成了嚴(yán)重的經(jīng)濟(jì)損失。企業(yè)內(nèi)部的某些員工私自篡改數(shù)據(jù),將病毒釋放到企業(yè)內(nèi)部計(jì)算機(jī)內(nèi),導(dǎo)致企業(yè)信息的真實(shí)性大大降低。企業(yè)內(nèi)部計(jì)算機(jī)的特征獨(dú)立性強(qiáng)企業(yè)內(nèi)部的網(wǎng)絡(luò)是為企業(yè)生產(chǎn)管理所服務(wù)的,和外界無關(guān),所以企業(yè)內(nèi)部的網(wǎng)絡(luò)獨(dú)立性很強(qiáng)。企業(yè)內(nèi)部的計(jì)算機(jī)和外界計(jì)算機(jī)沒有直接聯(lián)系,有些企業(yè)為了提高業(yè)務(wù)量,會(huì)與因特網(wǎng)相聯(lián)系,企業(yè)內(nèi)網(wǎng)用了S/C軟件這種結(jié)構(gòu)可以向企業(yè)提供電子郵件和網(wǎng)上會(huì)議等多種服務(wù)。應(yīng)用這種軟件,使企業(yè)內(nèi)部的不同部門可以相互傳輸數(shù)據(jù),為整個(gè)企業(yè)的辦公提供了極大便利。企業(yè)的內(nèi)網(wǎng)與企業(yè)的運(yùn)營(yíng)有直接聯(lián)系隨著一系列生產(chǎn)系統(tǒng)的普及,企業(yè)的運(yùn)營(yíng)對(duì)計(jì)算機(jī)的依賴性也越來越大。企業(yè)的辦公也逐漸進(jìn)入無紙化,企業(yè)內(nèi)部的網(wǎng)絡(luò)也成為了企業(yè)內(nèi)部信息交流和傳輸?shù)妮d體,這是保證企業(yè)正常生產(chǎn)運(yùn)行的先決條件。因?yàn)榫W(wǎng)絡(luò)在企業(yè)生產(chǎn)中占有重要地位,所以對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全系數(shù)要求也越來越大。終端機(jī)、服務(wù)器以及網(wǎng)絡(luò)這三個(gè)要素構(gòu)成了企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò),形成了一個(gè)連續(xù)性極強(qiáng)的整體,每個(gè)安全漏洞都會(huì)給一個(gè)企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失,必須要保證數(shù)據(jù)庫的穩(wěn)定性和有效性,保證企業(yè)內(nèi)部計(jì)算機(jī)的安全運(yùn)行。
企業(yè)內(nèi)部要建立起安全的防御體系
對(duì)不同安全區(qū)域的網(wǎng)絡(luò)信息進(jìn)行管理;要對(duì)網(wǎng)絡(luò)安全全面開展訪問控制、防火墻設(shè)置以及日志管理;對(duì)企業(yè)網(wǎng)絡(luò)流量進(jìn)行控制和保護(hù)要不斷完善訪問控制設(shè)施,實(shí)現(xiàn)對(duì)用戶身份認(rèn)證和授權(quán)的管理要建立一個(gè)審計(jì)系統(tǒng)。企業(yè)內(nèi)部要建立一個(gè)安全的網(wǎng)絡(luò)構(gòu)架,將計(jì)算機(jī)網(wǎng)絡(luò)從原來的平面結(jié)構(gòu)轉(zhuǎn)變?yōu)楸Wo(hù)結(jié)構(gòu),形成外部網(wǎng)、工作網(wǎng)和生產(chǎn)網(wǎng)三層結(jié)構(gòu)。在網(wǎng)絡(luò)邊緣區(qū)域,通過邊界保衛(wèi)策略,對(duì)其實(shí)施多點(diǎn)控制,使網(wǎng)絡(luò)被劃分成不同級(jí)別的層次和區(qū)域,控制好各層之間的信息流。
企業(yè)內(nèi)部計(jì)算機(jī)的網(wǎng)絡(luò)控制
對(duì)企業(yè)重要信息加密。網(wǎng)絡(luò)信息加密有三種方法:節(jié)點(diǎn)加密、鏈路加密和端口加密,這些加密法的目的是為了保護(hù)計(jì)算機(jī)內(nèi)部所儲(chǔ)存的重要資料以及指令、文件等提供安全性。這種加密方法可以保證信息在傳輸中的安全。至于如何來選擇這些加密方法,可以根據(jù)企業(yè)用戶的情況需要自由選擇。物理安全保護(hù)策略物理安全的保護(hù),主要針對(duì)于計(jì)算機(jī)硬件上的設(shè)備提供保護(hù)。物理安全策略可以保護(hù)企業(yè)計(jì)算機(jī)在一個(gè)安全的環(huán)境下工作。這種策略還可以設(shè)定用戶訪問權(quán)限,制定計(jì)算機(jī)的使用制度,防止黑客攻擊、盜竊以及破壞等行為的發(fā)生。訪問控制的策略訪問控制是對(duì)企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全最有保障的手段之一,它主要被用來防范非法訪問和使用網(wǎng)絡(luò)資源,通常有以下措施:(1)屬性安全控制,這種控制對(duì)計(jì)算機(jī)中的文件和網(wǎng)絡(luò)設(shè)備之間開設(shè)了一條“專屬通道”,可以有效的保證信息安全。(2)防火墻的控制,這些可以有效的防止黑客進(jìn)攻企業(yè)電腦。(3)入網(wǎng)訪問進(jìn)行控制,主要限制用戶進(jìn)入和使用某些資源,最大程度控制非法訪問情況的放生。
結(jié)語
對(duì)于企業(yè)而言,怎樣最大限度發(fā)揮出計(jì)算機(jī)的優(yōu)勢(shì),防止黑客攻擊,是企業(yè)管理者和用戶都應(yīng)該關(guān)心的問題。在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)防范中,企業(yè)要根據(jù)自身的需要,制定出一套健全的計(jì)算機(jī)網(wǎng)絡(luò)方法策略。制度防范并不能代表技術(shù)防范,而技術(shù)防范則可以很好的彌補(bǔ)制度防范中的不足。在企業(yè)內(nèi)部自身網(wǎng)絡(luò)的安全防范中,除了要考慮到企業(yè)員工對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)的淡薄之外,還要防范企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)攻擊。在當(dāng)今這個(gè)黑客猖獗、計(jì)算機(jī)病毒肆虐的信息化時(shí)代里,企業(yè)除了要保證內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的安全、有效和完整,還要不斷探索和發(fā)掘更新,更先進(jìn)的安全防范技術(shù)。
作者:謝鶴 金賢 單位:山西晉緣網(wǎng)絡(luò)技術(shù)有限公司
摘要:
本文闡述了國(guó)內(nèi)煙草企業(yè)面對(duì)的網(wǎng)絡(luò)信息安全的主要威脅,分析其網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的應(yīng)用現(xiàn)狀,指出其中存在的問題,之后,從科學(xué)設(shè)定防護(hù)目標(biāo)原則、合理確定網(wǎng)絡(luò)安全區(qū)域、大力推行動(dòng)態(tài)防護(hù)措施、構(gòu)建專業(yè)防護(hù)人才隊(duì)伍、提升員工安全防護(hù)意識(shí)等方面,提出加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略,希望對(duì)相關(guān)工作有所幫助。
關(guān)鍵詞:
煙草企業(yè);網(wǎng)絡(luò)安全防護(hù);體系建設(shè)
隨著信息化的逐步發(fā)展,國(guó)內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平,打造信息化時(shí)代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來便捷的同時(shí),也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來的影響。因此,越來越多的煙草企業(yè)對(duì)如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。
1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素
受各種因素影響,煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶口令選擇不慎,用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。人為的惡意攻擊,這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動(dòng)攻擊,他是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。
1.2軟硬件因素
網(wǎng)絡(luò)安全設(shè)備投資方面,行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測(cè)防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位,但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,其大部分是因?yàn)榘踩胧┎煌晟扑兄碌目喙\浖摹昂箝T”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設(shè)想。另外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。
1.3結(jié)構(gòu)性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu),多數(shù)采用的是混合型結(jié)構(gòu),星形和總線型結(jié)構(gòu)重疊并存,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯(cuò)誤操作,都可能造成網(wǎng)絡(luò)安全問題。
2煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀
煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè),仍然存在著很多不容忽視的問題,亟待引起高度關(guān)注。
2.1業(yè)務(wù)應(yīng)用集成整合不足
不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性,安全防護(hù)信息沒有實(shí)現(xiàn)跨部門、跨單位、跨層級(jí)上的交流,相互之間不健全的信息共享機(jī)制,滯后的信息資源服務(wù)決策,影響了信息化建設(shè)的整體效率。缺乏對(duì)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計(jì),致使信息化建設(shè)未能形成整體合力。
2.2信息化建設(shè)特征不夠明顯
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志,但如基礎(chǔ)平臺(tái)的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營(yíng)煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合,對(duì)影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo),缺乏宏觀角度上的溝通協(xié)調(diào),致使在信息化建設(shè)中,業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處,影響了網(wǎng)絡(luò)安全防護(hù)的效果。
2.3安全運(yùn)維保障能力不足
缺乏對(duì)運(yùn)維保障工作的正確認(rèn)識(shí),其尚未完全融入企業(yè)信息化建設(shè)的各個(gè)環(huán)節(jié),加上企業(yè)信息化治理模式構(gòu)建不成熟等原因,制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能,導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動(dòng),未能做到主動(dòng)化、智能化分析,導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。
3加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略
煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo),秉承科學(xué)頂層設(shè)計(jì)、合理統(tǒng)籌規(guī)劃、力爭(zhēng)整體推進(jìn)的原則,始終堅(jiān)持兩級(jí)主體、協(xié)同建設(shè)和項(xiàng)目帶動(dòng)的模式,按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺(tái)的技術(shù)規(guī)范,才能持續(xù)推動(dòng)產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。
3.1遵循網(wǎng)絡(luò)防護(hù)基本原則
煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時(shí),應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則,清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對(duì)安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分,不同區(qū)域的防御體系應(yīng)具有針對(duì)性,相互之間邏輯清楚、調(diào)用清晰,從而使網(wǎng)絡(luò)邊界更為明確,相互之間更為信任。要對(duì)已出現(xiàn)的安全問題進(jìn)行認(rèn)真分析,并歸類統(tǒng)計(jì),大的問題盡量拆解細(xì)分,類似的問題歸類統(tǒng)一,從而將復(fù)雜問題具體化,降低網(wǎng)絡(luò)防護(hù)工作的難度。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來說,應(yīng)以功能為界限來劃分,以劃分區(qū)域?yàn)榘踩雷o(hù)區(qū)域。同時(shí),要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn),打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘,實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通,從而有效地提升自身對(duì)網(wǎng)絡(luò)威脅的抵御力。
3.2合理確定網(wǎng)絡(luò)安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡(luò)過程中,不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此,內(nèi)部網(wǎng)絡(luò),在設(shè)計(jì)之初,應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對(duì)區(qū)域進(jìn)行劃分。同時(shí),對(duì)生產(chǎn)、監(jiān)管、流通、銷售等各個(gè)環(huán)節(jié),要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對(duì)應(yīng)的網(wǎng)絡(luò)使用管理制度,既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù),也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對(duì)煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時(shí),不能以偏概全、一蹴而就,應(yīng)本著實(shí)事求是的態(tài)度,根據(jù)企業(yè)實(shí)際情況,以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ),有針對(duì)性地進(jìn)行合理的劃分,才能取得更好的防護(hù)效果。
3.3大力推行動(dòng)態(tài)防護(hù)措施
根據(jù)網(wǎng)絡(luò)入侵事件可知,較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此,煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時(shí),應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù),且系統(tǒng)要能夠隨時(shí)升級(jí)換代,從而提升總體防護(hù)力。同時(shí),要定期對(duì)煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析,確定系統(tǒng)存在哪些漏洞、留有什么隱患,實(shí)現(xiàn)入侵實(shí)時(shí)監(jiān)測(cè)和系統(tǒng)動(dòng)態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制,在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時(shí),確保在最短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的基本功能,為后期確定問題原因與及時(shí)恢復(fù)系統(tǒng)留下時(shí)間,并且確保企業(yè)業(yè)務(wù)的開展不被中斷,不會(huì)為企業(yè)帶來很大的經(jīng)濟(jì)損失。另外,還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作,構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟,為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅(jiān)實(shí)的技術(shù)支撐。
3.4構(gòu)建專業(yè)防護(hù)人才隊(duì)伍
人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源,缺少專業(yè)性人才的支撐,再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng),既要熟知信息安全防護(hù)技術(shù),也要對(duì)煙草企業(yè)生產(chǎn)全過程了然于胸,并熟知國(guó)家政策法規(guī)等制度。因此,煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊(duì)伍,要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式,充分挖掘內(nèi)部人力資源,提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì),也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作,引進(jìn)高素質(zhì)專業(yè)技術(shù)人才,從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅(jiān)實(shí)的人才基礎(chǔ)。
3.5提升員工安全防護(hù)意識(shí)
技術(shù)防護(hù)手段效果再好,員工信息安全防護(hù)意識(shí)不佳,系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心,統(tǒng)一對(duì)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn),各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位,負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號(hào)使用、信息、權(quán)限確定等,都要置于信息管理培訓(xùn)中心的制約監(jiān)督下,都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中,杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對(duì)全體員工開展網(wǎng)絡(luò)安全教育,提升其網(wǎng)絡(luò)安全防護(hù)意識(shí),使其認(rèn)識(shí)到安全防護(hù)體系的重要性,從而使每個(gè)人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。
4結(jié)語
煙草企業(yè)管理者必須清醒認(rèn)識(shí)到,利用信息網(wǎng)絡(luò)加快企業(yè)升級(jí)換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢(shì)所趨,絕不能因?yàn)榫W(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時(shí)代下網(wǎng)絡(luò)安全帶來的挑戰(zhàn),以實(shí)事求是的態(tài)度,大力依托信息網(wǎng)絡(luò)安全技術(shù),構(gòu)建更為安全的防護(hù)體系,為企業(yè)做大做強(qiáng)奠定堅(jiān)實(shí)的基礎(chǔ)。
作者:王世蓮 單位:陜西中煙旬陽卷煙廠
1網(wǎng)絡(luò)安全技術(shù)
1.1 加密技術(shù)
加密技術(shù)是企業(yè)常用保護(hù)數(shù)據(jù)信息的一種便捷技術(shù),主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進(jìn)行保護(hù),避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對(duì)重要的數(shù)據(jù)通過一定的規(guī)律進(jìn)行變換,改變其原有特征,讓外部人員無法直接觀察其本質(zhì)含義,這種加密技術(shù)具有簡(jiǎn)便性和有效性,但是存在一定的風(fēng)險(xiǎn),一旦加密規(guī)律被別人知道后就很容易將其破解?;诠€的加密算法指的是由對(duì)應(yīng)的一對(duì)唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強(qiáng)的隱蔽性,外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙,因此具有較強(qiáng)的保密性。
1.2 身份鑒定技術(shù)
身份鑒定技術(shù)就是根據(jù)具體的特征對(duì)個(gè)人進(jìn)行識(shí)別,根據(jù)識(shí)別的結(jié)果來判斷識(shí)別對(duì)象是否符合具體條件,再由系統(tǒng)判斷是否對(duì)來人開放權(quán)限。這種方式對(duì)于冒名頂替者十分有效,比如指紋或者后虹膜,一般情況下只有本人才有權(quán)限進(jìn)行某些專屬操作,也難以被模擬,安全性能比較可靠。這樣的技術(shù)一般應(yīng)用在企業(yè)高度機(jī)密信息的保密過程中,具有較強(qiáng)的實(shí)用性。
2企業(yè)網(wǎng)絡(luò)安全體系解決方案
2.1 控制網(wǎng)絡(luò)訪問
對(duì)網(wǎng)絡(luò)訪問的控制是保障企業(yè)網(wǎng)絡(luò)安全的重要手段,通過設(shè)置各種權(quán)限避免企業(yè)信息外流,保證企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中具有一定的競(jìng)爭(zhēng)力。企業(yè)的網(wǎng)絡(luò)設(shè)置按照面向?qū)ο蟮姆绞竭M(jìn)行設(shè)置,針對(duì)個(gè)體對(duì)象按照網(wǎng)絡(luò)協(xié)議進(jìn)行訪問權(quán)限設(shè)置,將網(wǎng)絡(luò)進(jìn)行細(xì)分,根據(jù)不同的功能對(duì)企業(yè)內(nèi)部的工作人員進(jìn)行權(quán)限管理。企業(yè)辦公人員需要使用到的功能給予開通,其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限。另外對(duì)于一些重要信息設(shè)置寫保護(hù)或讀保護(hù),從根本上保障企業(yè)機(jī)密信息的安全。另外對(duì)網(wǎng)絡(luò)的訪問控制可以分時(shí)段進(jìn)行,例如某文件只可以在相應(yīng)日期的一段時(shí)間內(nèi)打開。企業(yè)網(wǎng)絡(luò)設(shè)計(jì)過程中應(yīng)該考慮到網(wǎng)絡(luò)安全問題,因此在實(shí)際設(shè)計(jì)過程中應(yīng)該對(duì)各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)系統(tǒng)等進(jìn)行安全管理,例如對(duì)各種設(shè)備的接口以及設(shè)備間的信息傳送方式進(jìn)行科學(xué)管理,在保證其基本功能的基礎(chǔ)上消除其他功能,利用當(dāng)前安全性較高的網(wǎng)絡(luò)系統(tǒng),消除網(wǎng)絡(luò)安全的脆弱性。企業(yè)經(jīng)營(yíng)過程中由于業(yè)務(wù)需求常需要通過遠(yuǎn)端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡(luò),遠(yuǎn)程連接過程中脆弱的網(wǎng)絡(luò)系統(tǒng)極容易成為別人攻擊的對(duì)象,因此在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該加入安全性能較高的遠(yuǎn)程訪問設(shè)備,提高遠(yuǎn)程網(wǎng)絡(luò)訪問的安全性。同時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)重新設(shè)置,對(duì)登入身份信息進(jìn)行加密處理,保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取,在數(shù)據(jù)傳輸過程中通過相應(yīng)的網(wǎng)絡(luò)技術(shù)對(duì)傳輸?shù)臄?shù)據(jù)審核,避免信息通過其他渠道外泄,提高信息傳輸?shù)陌踩浴?
2.2 網(wǎng)絡(luò)的安全傳輸
電子商務(wù)時(shí)代的供應(yīng)鏈建立在網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上,供應(yīng)鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡(luò)以及與供應(yīng)商之間的網(wǎng)絡(luò)上進(jìn)行傳遞,信息在傳遞過程中容易被不法分子盜取,給企業(yè)造成重大經(jīng)濟(jì)損失。為了避免信息被竊取,企業(yè)可以建設(shè)完善的網(wǎng)絡(luò)系統(tǒng),通過防火墻技術(shù)將身份無法識(shí)別的隔離在企業(yè)網(wǎng)絡(luò)之外,保證企業(yè)信息在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸。另外可以通過相應(yīng)的加密技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理,技術(shù)一些黑客破解企業(yè)的防火墻,竊取到的信息也是難以理解的加密數(shù)據(jù),加密過后的信息常常以亂碼的形式存在。從理論上而言,加密的信息仍舊有被破解的可能性,但現(xiàn)行的數(shù)據(jù)加密方式都是利用復(fù)雜的密匙處理過的,即使是最先進(jìn)的密碼破解技術(shù)也要花費(fèi)相當(dāng)長(zhǎng)的時(shí)間,等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時(shí)效性,成為一條無用的信息,對(duì)企業(yè)而言沒有任何影響。
2.3 網(wǎng)絡(luò)攻擊檢測(cè)
一些黑客通常會(huì)利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò),并從中找到漏洞進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),對(duì)企業(yè)信息進(jìn)行竊取或更改。為避免惡意網(wǎng)絡(luò)攻擊,企業(yè)可以引進(jìn)入侵檢測(cè)系統(tǒng),并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來,對(duì)企業(yè)信息實(shí)行雙重保護(hù)。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu),將入侵檢測(cè)系統(tǒng)滲入到企業(yè)網(wǎng)絡(luò)內(nèi)部的各個(gè)環(huán)節(jié),尤其是重要部門的機(jī)密信息需要重點(diǎn)監(jiān)控。利用防火墻技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的第一道保護(hù)屏障,再配以檢測(cè)技術(shù)以及相關(guān)加密技術(shù),防火記錄用戶的身份信息,遇到無法識(shí)別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測(cè)技術(shù)將徹底阻擋黑客的攻擊,并對(duì)黑客身份信息進(jìn)行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù),難以從中得到有效信息。通過這些網(wǎng)絡(luò)安全技術(shù)的配合,全方位消除來自網(wǎng)絡(luò)黑客的攻擊,保障企業(yè)網(wǎng)絡(luò)安全。
3結(jié)束語
隨著電子商務(wù)時(shí)代的到來,網(wǎng)絡(luò)技術(shù)將會(huì)在未來一段時(shí)間內(nèi)在企業(yè)的運(yùn)轉(zhuǎn)中發(fā)揮難以取代的作用,企業(yè)網(wǎng)絡(luò)安全也將長(zhǎng)期伴隨企業(yè)經(jīng)營(yíng)管理,因此必須對(duì)企業(yè)網(wǎng)絡(luò)實(shí)行動(dòng)態(tài)管理,保證網(wǎng)絡(luò)安全的先進(jìn)性,為企業(yè)的發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境。
作者:關(guān)勇單位:大慶市郵政局
摘要 隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終。
關(guān)鍵詞 信息安全;PKI;CA;VPN
1 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng),企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。
在下面的描述中,以某公司為例進(jìn)行說明。
2 信息系統(tǒng)現(xiàn)狀
2.1 信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2 信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3 風(fēng)險(xiǎn)與需求分析
3.1 風(fēng)險(xiǎn)分析
通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
通過對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。
美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。
已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。
3.2 需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4 設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1 標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。
4.2 系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3 規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4 保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5 多重保護(hù)原則
任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
4.6 分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。
5 設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。
網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3 安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4 桌面安全防護(hù)
對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。
5.5 身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
6 方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
7 結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。
摘要:隨著社會(huì)的發(fā)展經(jīng)濟(jì)的進(jìn)步,計(jì)算機(jī)成為人們?nèi)粘9ぷ髦猩钪谐蔀椴豢苫蛉钡闹帧U怯捎谟?jì)算機(jī)的普及,網(wǎng)絡(luò)攻擊手段也不斷更新,各種病毒、黑客攻擊、破壞、篡改、竊取計(jì)算機(jī)中的各種信息,這就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全有更高的要求。如今企業(yè)和個(gè)人的計(jì)算機(jī)中都會(huì)存儲(chǔ)大量重要文件資料,在這些文件資料的共享和傳輸過程中對(duì)完整性、保密性、私有性也有更高的要求。本文闡述了數(shù)據(jù)加密技術(shù)的種類及表現(xiàn)形式,威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素,分析數(shù)據(jù)加密技術(shù)在化工企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。
關(guān)鍵詞:數(shù)據(jù)加密;網(wǎng)絡(luò)安全;化工企業(yè)
隨著計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的不斷普及,數(shù)據(jù)加密技術(shù)成為網(wǎng)絡(luò)安全中最重要的技術(shù)。數(shù)據(jù)加密技術(shù)也廣泛應(yīng)用于以計(jì)算機(jī)為主導(dǎo)的化工企業(yè)的數(shù)據(jù)傳輸交換中。
1數(shù)據(jù)加密技術(shù)的種類及其表現(xiàn)方式
化工企業(yè)中經(jīng)過數(shù)據(jù)加密技術(shù)處理過的信息,需要經(jīng)過密鑰和解密函數(shù)的轉(zhuǎn)化才能夠使用,而沒有這個(gè)密鑰或者解密函數(shù)就會(huì)得到亂碼或者無法打開。
1.1數(shù)據(jù)加密技術(shù)的種類
1.1.1對(duì)稱式加密技術(shù)
對(duì)稱式加密也稱為單密鑰加密,是一種最簡(jiǎn)潔,最快速的加密技術(shù),信息的加密和解密使用同一個(gè)密鑰,由于它的效率高,因此被廣泛應(yīng)用于很多加密協(xié)議的核心當(dāng)中。但是因?yàn)榘l(fā)送和接受雙方擁有同一個(gè)密鑰,所以只有雙方在沒有泄露密鑰的前提下,才能夠保證傳輸數(shù)據(jù)的安全性、完整性。對(duì)稱加密的難就是密鑰的管理問題,通常是把對(duì)稱加密的密鑰通過非對(duì)稱式加密傳輸給接收方,保證在傳輸中不會(huì)被黑客截獲,即便被截獲也不會(huì)被破譯。化工企業(yè)中的郵件加密、圖紙和條件加密基本都是使用對(duì)稱式加密傳輸?shù)姆绞絒1]。
1.1.2非對(duì)稱式加密技術(shù)
非對(duì)稱加密技術(shù)是需要兩個(gè)密鑰來進(jìn)行加密和解密,即公開密鑰(公鑰)和私有密鑰(私鑰)。如果用公鑰對(duì)數(shù)據(jù)進(jìn)行加密就必須用對(duì)應(yīng)的私鑰進(jìn)行解密;如果用私鑰對(duì)數(shù)據(jù)進(jìn)行加密就必須用對(duì)應(yīng)的公鑰進(jìn)行解密。這種加密技術(shù)雖然安全性高,但是加密解密的速度比較慢,因此在實(shí)際的工作中大多數(shù)采用的方法是將對(duì)稱式加密中的密鑰使用非對(duì)稱是加密的公鑰進(jìn)行加密,發(fā)送給接收方再使用私鑰進(jìn)行解密,得到對(duì)稱式加密中的密鑰。雙方可以用對(duì)稱式加密進(jìn)行溝通,這樣即安全又快捷。非對(duì)稱加密技術(shù)可應(yīng)用于數(shù)據(jù)加密,在身份認(rèn)證、數(shù)字證書、數(shù)字簽名等領(lǐng)域也有廣泛的應(yīng)用。
1.2數(shù)據(jù)加密的表現(xiàn)方式
隨著化工企業(yè)設(shè)計(jì)過程數(shù)字化、信息化的不斷發(fā)展,各類數(shù)據(jù)在設(shè)計(jì)人員內(nèi)部之間流轉(zhuǎn),設(shè)計(jì)成果的可復(fù)制性雖然提高了效率,但是也出現(xiàn)了數(shù)據(jù)安全問題。海量的圖紙、郵件、條件、信息在傳輸中面臨被盜取、丟失的風(fēng)險(xiǎn),令企業(yè)和業(yè)主蒙受巨大損失。假如被競(jìng)爭(zhēng)對(duì)手掌握后果不堪設(shè)想。
1.2.1鏈路加密
鏈路加密又稱為在線加密。它是同一網(wǎng)絡(luò)內(nèi)兩點(diǎn)傳輸數(shù)據(jù)時(shí)在數(shù)字鏈路層加密信息的一種數(shù)字保密方法。在主服務(wù)器端的數(shù)據(jù)是明文的,當(dāng)它離開主機(jī)的時(shí)候就會(huì)加密,等到了下個(gè)鏈接(可能是一個(gè)主機(jī)也可能是一個(gè)中集節(jié)點(diǎn))再解密,然后在傳輸?shù)较乱粋€(gè)鏈接前再加密。每個(gè)鏈接可能用到不同的密鑰或不同的加密算法。這個(gè)過程將持續(xù)到數(shù)據(jù)的接收端。鏈路加密掩蓋了被傳送消息的源點(diǎn)與終點(diǎn),非法入侵一般很難截獲明文信息,所以保證了數(shù)據(jù)的安全性[2]。
1.2.2節(jié)點(diǎn)加密
節(jié)點(diǎn)加密在數(shù)據(jù)網(wǎng)絡(luò)傳輸形式不會(huì)以明文出現(xiàn),而是以再加密的方式將數(shù)據(jù)再次傳輸?shù)酵ǖ乐?,避免了黑客入侵者?duì)信息的盜取和修改。但是節(jié)點(diǎn)加密要求源點(diǎn)和終點(diǎn)要以明文形式出現(xiàn),因此也存在一定的缺陷。
1.2.3端端加密
端端加密又稱為脫線加密。端端加密從源點(diǎn)到終點(diǎn)一直以密文的形式傳輸數(shù)據(jù),數(shù)據(jù)在到達(dá)終點(diǎn)之前也不會(huì)進(jìn)行解密,因此即使在節(jié)點(diǎn)處有非法入侵也不會(huì)泄露數(shù)據(jù)[3]。例如某化工企業(yè)中,員工500多名,業(yè)務(wù)遍布全國(guó)各省自治區(qū),數(shù)據(jù)的傳輸不僅限于局域網(wǎng),更遍及全國(guó)各地,每天員工和客戶的往來郵件和圖紙等數(shù)據(jù)無數(shù),而這些數(shù)據(jù)都是以明文的形式存儲(chǔ)在個(gè)人或者單位計(jì)算機(jī)系統(tǒng)中,在傳輸過程中必須要對(duì)這些文檔、圖紙加密、設(shè)置權(quán)限等,防止設(shè)計(jì)成果的泄漏。采用端端加密的方式能更安全更高效的保證數(shù)據(jù)和系統(tǒng)的安全。
2影響化工企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全的因素
核心數(shù)據(jù)是化工企業(yè)的命脈。通過建立完善的信息安全系統(tǒng),保護(hù)化工企業(yè)核心數(shù)據(jù)尤其是企業(yè)商業(yè)機(jī)密,防止從內(nèi)部泄密,已經(jīng)成為眾多企業(yè)的共識(shí)。企業(yè)從信息系統(tǒng)的安全性、穩(wěn)定性和可靠性等方面為基點(diǎn),以數(shù)據(jù)安全為目標(biāo),紛紛構(gòu)建企業(yè)數(shù)據(jù)防泄密體系[4]。
2.1軟件漏洞
現(xiàn)在的軟件為了方便企業(yè)和個(gè)人的交流都會(huì)有很好開放性和共享性,但是正因?yàn)榇?,軟件的安全問題也凸現(xiàn)出來。通常使用的TCP/IP協(xié)議,在網(wǎng)絡(luò)協(xié)議驗(yàn)證上并沒有過多安全要求,這也避免不了網(wǎng)絡(luò)安全問題的出現(xiàn)。再有瀏覽器的使用過程中也會(huì)對(duì)用戶信息造成泄漏。這就要求我們?cè)谄綍r(shí)要采用正版軟件并注意及時(shí)更新軟件,減少軟件漏洞的出現(xiàn)。
2.2操作系統(tǒng)漏洞
操作系統(tǒng)是整個(gè)計(jì)算機(jī)的核心,如果病毒侵入后就能隨意操作計(jì)算機(jī)系統(tǒng),盜取用戶信息。病毒還能利用木馬程序監(jiān)控用戶信息傳送,更嚴(yán)重的能使服務(wù)器崩潰。在化工企業(yè)的網(wǎng)絡(luò)中心應(yīng)該及時(shí)升級(jí)操作系統(tǒng)并安裝補(bǔ)丁,縮小風(fēng)險(xiǎn)。
2.3計(jì)算機(jī)病毒
病毒能夠破壞計(jì)算機(jī)軟件、資料甚至計(jì)算機(jī)硬件,使得計(jì)算機(jī)不能正常使用。隨著計(jì)算機(jī)網(wǎng)絡(luò)共享的不斷發(fā)展,病毒的蔓延更加快速,輕者使得電腦運(yùn)行緩慢,嚴(yán)重的導(dǎo)致死機(jī)、崩潰、數(shù)據(jù)丟失等?;て髽I(yè)網(wǎng)絡(luò)中心應(yīng)該在服務(wù)器上及個(gè)人電腦上安裝正版網(wǎng)絡(luò)版殺毒軟件,并及時(shí)更新病毒庫,防止計(jì)算機(jī)被病毒感染。
2.4黑客入侵
黑客主要是利用計(jì)算機(jī)系統(tǒng)的安全漏洞,采用非法監(jiān)測(cè)等手段侵入電腦,盜取計(jì)算機(jī)中的私密數(shù)據(jù)。黑客入侵主要是人為的對(duì)計(jì)算機(jī)進(jìn)行攻擊,所以其危害性比病毒更嚴(yán)重。平時(shí)要避免不明來歷的下載,減少共享設(shè)置等[5]。數(shù)據(jù)加密技術(shù)突飛猛進(jìn),要求對(duì)數(shù)據(jù)進(jìn)行高強(qiáng)度加密和對(duì)使用者透明的解密,防止各種泄密情況的出現(xiàn),并且還要求操作簡(jiǎn)便、應(yīng)用方便、無痕處理。數(shù)據(jù)加密采用內(nèi)核驅(qū)動(dòng)級(jí)文件加密技術(shù),256位高強(qiáng)度加密算法。在單位內(nèi)部文件可以正常流轉(zhuǎn),一旦離開單位網(wǎng)絡(luò),文件顯示亂碼或者打開失敗。這樣就實(shí)現(xiàn)了設(shè)計(jì)圖紙加密、研發(fā)數(shù)據(jù)加密、客戶資料加密等。真正意義上保障了企業(yè)數(shù)據(jù)的安全性。
作者:王欣 單位:天津渤?;ぜ瘓F(tuán)規(guī)劃設(shè)計(jì)院
摘要:目前計(jì)算機(jī)網(wǎng)絡(luò)已成為企業(yè)生存和發(fā)展不可或缺的組成部分,但隨著網(wǎng)絡(luò)安全問題的頻發(fā),以及網(wǎng)絡(luò)安全問題所帶來的嚴(yán)重影響,有必要針對(duì)目前企業(yè)網(wǎng)絡(luò)安全主要存在的問題,提出綜合、有效、可行的企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案。
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);安全;病毒;物理
在現(xiàn)代企業(yè)的生存與發(fā)展過程中,企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護(hù)是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進(jìn)展,但過去企業(yè)網(wǎng)絡(luò)處于一個(gè)封閉或者是半封閉的狀態(tài),只需簡(jiǎn)單的防護(hù)設(shè)備和防護(hù)方案即可保證其安全性。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài),這種時(shí)空的無限制性和準(zhǔn)入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素,自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅。因此,企業(yè)網(wǎng)絡(luò)安全防護(hù)一個(gè)永無止境的過程,對(duì)其進(jìn)行研究無論是對(duì)于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用,還是對(duì)于企業(yè)的持續(xù)發(fā)展,都具有重要的意義。
1企業(yè)網(wǎng)絡(luò)安全問題分析
基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運(yùn)行維護(hù)條件,目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個(gè)方面。
1.1網(wǎng)絡(luò)設(shè)備安全問題
企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機(jī)、個(gè)人電腦、備用電源等硬件設(shè)備,時(shí)常會(huì)發(fā)生安全問題,而這些設(shè)備一旦產(chǎn)生安全事故很有可能會(huì)泄露企業(yè)的機(jī)密信息,進(jìn)而給企業(yè)帶來不可估量經(jīng)濟(jì)損失。以某企業(yè)為例,該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長(zhǎng)時(shí)間停電的情況下,很容易由于蓄電池的電量耗盡而導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)的停運(yùn)。當(dāng)然,除了電源問題外,服務(wù)器、交換機(jī)也存在諸多安全隱患。
1.2服務(wù)器操作系統(tǒng)安全問題
隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展,對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng),由于這些操作系統(tǒng)存在安全漏洞,自然會(huì)降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號(hào)管理等問題的存在,在不同程度上增加了服務(wù)器的安全威脅。
1.3訪問控制問題
企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的,以某企業(yè)為例,該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為,但未限制存在安全隱患的上網(wǎng)活動(dòng)。同時(shí)對(duì)于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認(rèn)證及無線網(wǎng)絡(luò)訪問節(jié)點(diǎn)安全檢查,任何電腦都可在信號(hào)區(qū)內(nèi)接入到無線網(wǎng)絡(luò)。
2企業(yè)網(wǎng)絡(luò)安全防護(hù)方案
基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題,可以針對(duì)性的提出以下綜合性的安全防護(hù)方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能。
2.1網(wǎng)絡(luò)設(shè)備安全方案
企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個(gè)企業(yè)網(wǎng)絡(luò)安全的基本前提,為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù),可采取以下具體措施。首先,合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強(qiáng)、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì),例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對(duì)交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求,這就要求對(duì)企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進(jìn)行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例,為了徹底解決傳統(tǒng)電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發(fā)電機(jī)組,進(jìn)而保證在長(zhǎng)時(shí)間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電,避免因?yàn)閿嚯姸鴮?dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。
2.2服務(wù)器系統(tǒng)安全方案
企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要,然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的,需要從多個(gè)層面來構(gòu)建安全防護(hù)方案。
2.2.1操作系統(tǒng)漏洞安全
目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主,該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點(diǎn)對(duì)象,除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補(bǔ)丁外,還應(yīng)針對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器及個(gè)人電腦的操作系統(tǒng)使用實(shí)際情況,實(shí)施專門的漏洞掃描和檢測(cè),并根據(jù)掃描結(jié)果做出科學(xué)、客觀、全面的安全評(píng)估,如圖1所示,將證書授權(quán)入侵檢測(cè)系統(tǒng)部署在核心交換機(jī)的監(jiān)控端口,并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè),以此來檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測(cè)系統(tǒng)
2.2.2Windows端口安全
在Windows系統(tǒng)中,端口是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道,一般一臺(tái)服務(wù)器會(huì)綁定多個(gè)IP,而這些IP又通過多個(gè)端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力,這種多個(gè)端口的對(duì)外開放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運(yùn)行路徑來看,大多數(shù)都要通過服務(wù)器TCP/UDP端口,可充分這一點(diǎn)來預(yù)防各種網(wǎng)絡(luò)攻擊,只需通過命令或端口管理軟件來實(shí)現(xiàn)系統(tǒng)端口的控制管理即可。
2.2.3Internet信息服務(wù)安全
Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的,可通過諸多措施來提高Internet信息服務(wù)安全。(1)基于IP地址實(shí)現(xiàn)訪問控制。通過對(duì)IIS配置,可實(shí)現(xiàn)對(duì)來訪IP地址的檢測(cè),進(jìn)而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計(jì)算機(jī)的訪問站點(diǎn)。(2)在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS,IIS就會(huì)具備非法訪問屬性,給非法用戶侵入系統(tǒng)分區(qū)提供便利,因此,在非系統(tǒng)分區(qū)上安全I(xiàn)IS服務(wù)器較為科學(xué)。(3)NTFS文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能,服務(wù)器Windows2000的安全機(jī)制是基于NTFS文件系統(tǒng)的,因此Windows2000安裝時(shí)選用NTFS文件系統(tǒng),安全性能更高。(4)服務(wù)端口號(hào)的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問提供了諸多便捷,但會(huì)降低安全性,更容易受到基于端口程序漏洞的服務(wù)器攻擊,因此,通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。
2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案
2.3.1強(qiáng)化網(wǎng)絡(luò)設(shè)備安全
強(qiáng)化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施,具體包含以下措施。(1)網(wǎng)絡(luò)設(shè)備運(yùn)行安全。對(duì)各設(shè)備、各端口運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控能有效發(fā)現(xiàn)各種異常,進(jìn)而預(yù)防各種安全威脅。一般可通過可視化管理軟件的應(yīng)用來實(shí)現(xiàn)上述目標(biāo),例如What’supGold能實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控,而SolarWindsNetworkPerformancemonitor可實(shí)現(xiàn)對(duì)各個(gè)端口流量的實(shí)時(shí)監(jiān)控。(2)網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù),對(duì)于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名,用戶名級(jí)別設(shè)置的一級(jí),該級(jí)別用戶只具備讀權(quán)限,一般用于console、遠(yuǎn)程telnet登錄等需求。除此之外,還可設(shè)置一個(gè)單獨(dú)的super密碼,只有擁有super密碼的管理員才有資格對(duì)核心交換機(jī)實(shí)施相關(guān)配置設(shè)置。(3)無線AP安全。一般在企業(yè)內(nèi)部有多個(gè)無線AP設(shè)備,應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個(gè)較為復(fù)雜的高級(jí)秘鑰,從而確保無線接入網(wǎng)的安全性。
2.3.2細(xì)分網(wǎng)絡(luò)安全區(qū)域
目前,廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個(gè)嚴(yán)重缺陷就是當(dāng)其中各個(gè)局域網(wǎng)存在ARP病毒時(shí),未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng),同時(shí)還可能泄露重要信息。為了解決這種問題,可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行細(xì)分,即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個(gè)網(wǎng)段,在每個(gè)網(wǎng)段均有不同的vlan,從而保證安全性。
2.3.3加強(qiáng)通信訪問控制
針對(duì)企業(yè)各個(gè)部門對(duì)網(wǎng)絡(luò)資源的需求,在通信訪問控制時(shí)需要注意以下幾點(diǎn):對(duì)內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對(duì)口部門互通;對(duì)內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離;體驗(yàn)區(qū)只能訪問互聯(lián)網(wǎng),不能訪問辦公網(wǎng)。以上功能的實(shí)現(xiàn),可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫(yī)院
摘要:近年來,隨著我國(guó)科學(xué)技術(shù)和社會(huì)經(jīng)濟(jì)的不斷發(fā)展,給我國(guó)中小企業(yè)帶來了很大的挑戰(zhàn)和機(jī)遇。目前,計(jì)算機(jī)網(wǎng)絡(luò)越來越被應(yīng)用到中小企業(yè)的發(fā)展中,但是,網(wǎng)絡(luò)安全問題也變得越來越嚴(yán)重,因此,中小企業(yè)應(yīng)該重視網(wǎng)絡(luò)安全問題。本文首先分析了中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀,然后講述了影響中小企業(yè)網(wǎng)絡(luò)安全的因素,最后提出了以下安全策略,以供中小企業(yè)相關(guān)負(fù)責(zé)人參考。
關(guān)鍵詞:中小企業(yè);網(wǎng)絡(luò)安全;現(xiàn)狀;因素;策略
目前,隨著我國(guó)信息化的快速發(fā)展,中小企業(yè)越來越重視計(jì)算機(jī)的使用。一直以來,網(wǎng)絡(luò)安全問題都是最值得關(guān)注的問題,尤其是對(duì)于企業(yè)的發(fā)展來說,很多機(jī)密資料都放在了網(wǎng)絡(luò)中,如果不對(duì)網(wǎng)絡(luò)安全加以管理,那么就會(huì)透漏很多企業(yè)自身的機(jī)密信息,嚴(yán)重的會(huì)使得企業(yè)面臨倒閉的風(fēng)險(xiǎn)。但是,從目前我國(guó)中小企業(yè)網(wǎng)絡(luò)安全發(fā)展的現(xiàn)狀來看,依然存在很多的問題,影響網(wǎng)絡(luò)安全的因素也很多,因此,企業(yè)為了能夠長(zhǎng)久穩(wěn)定的發(fā)展下去,就必須重視網(wǎng)絡(luò)安全問題,采取行之有效的策略,加強(qiáng)網(wǎng)絡(luò)安全意識(shí)與管理制度,組建合理的企業(yè)內(nèi)網(wǎng),從而保證企業(yè)的經(jīng)濟(jì)不受損失。
1中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀
現(xiàn)如今,隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,中小企業(yè)都在廣泛使用計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù),但是,在企業(yè)享受網(wǎng)絡(luò)帶來的數(shù)據(jù)共享、異地間數(shù)據(jù)傳輸?shù)缺憬輹r(shí),也在面臨網(wǎng)絡(luò)完全問題的威脅。如果企業(yè)不加重視網(wǎng)絡(luò)安全管理問題,那么就會(huì)給企業(yè)帶來很大的安全隱患。從目前我國(guó)中小企業(yè)發(fā)展的現(xiàn)狀來看,網(wǎng)絡(luò)安全還存在很多問題。首先,技術(shù)力量有效。很多中小企業(yè)都注重交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備,因此把大量的資金都放在了投資網(wǎng)絡(luò)設(shè)備上面,但是,對(duì)于設(shè)備的后期維護(hù)工作缺少過多的重視,也沒有相關(guān)的技術(shù)工作人員加以維護(hù),一般都是聘用兼職人員來維護(hù)后期網(wǎng)絡(luò),因此,使得企業(yè)存在很大的安全隱患。其次,缺乏網(wǎng)絡(luò)安全管理意識(shí)。部門中小企業(yè)都沒有成立專門的網(wǎng)絡(luò)安全管理部門,相關(guān)領(lǐng)導(dǎo)缺乏對(duì)網(wǎng)絡(luò)安全管理的意識(shí),但是黑客程度的攻擊具有隱蔽性、無特定性等特點(diǎn),從而使得中小企業(yè)很容易受到侵襲。最后,缺乏專業(yè)的網(wǎng)絡(luò)安全管理水平。在我國(guó)大型企業(yè)中,一般都有專業(yè)的網(wǎng)絡(luò)安全管理技術(shù)人員,但是,對(duì)于中小企業(yè)來說,由于資金有限,他們都不會(huì)聘用具有專業(yè)知識(shí)的網(wǎng)絡(luò)安全管理人員,一旦網(wǎng)絡(luò)出現(xiàn)安全問題,不能在短時(shí)間內(nèi)全面解決安全問題,最終使得數(shù)據(jù)在網(wǎng)絡(luò)環(huán)境中使用和傳輸都可能被破壞、篡改或泄露。
2影響中小企業(yè)網(wǎng)絡(luò)安全的因素
2.1病毒的侵襲
在中小企業(yè)網(wǎng)絡(luò)安全中,病毒入侵是其中非常重要的一個(gè)因素。我們都知道,病毒的危害性特別大,能夠嚴(yán)重破壞計(jì)算機(jī)功能或者計(jì)算機(jī)數(shù)據(jù),同時(shí),病毒也都是把自己附著在合法的可執(zhí)行文件上,因此,不容易被企業(yè)發(fā)現(xiàn)。病毒的特點(diǎn)非常多,比如破壞性、自我復(fù)制性、傳染性等。但是,病毒不是天然存在的,是當(dāng)某人在使用計(jì)算機(jī)時(shí),由于計(jì)算機(jī)自身軟件的脆弱性編制而產(chǎn)生的一組指令集或程序代碼。由于病毒能夠自我復(fù)制,因此,一旦某計(jì)算機(jī)的某個(gè)軟件遭遇了病毒入侵,那么就會(huì)使得某個(gè)局域網(wǎng)或者一臺(tái)機(jī)器都有病毒,在病毒入侵的過程中,如果不及時(shí)加以制止,那么病毒就會(huì)一直繁殖下去,后果將不堪設(shè)想,從而就會(huì)導(dǎo)致整個(gè)系統(tǒng)都癱瘓。
2.2黑客的非法闖入
眾所周知,網(wǎng)絡(luò)具有開放性,因此,決定了網(wǎng)絡(luò)的多樣性和復(fù)雜性。在網(wǎng)絡(luò)管理中,黑客的非法闖入也是常見的一種網(wǎng)絡(luò)安全影響因素,如果中小企業(yè)遭遇了黑客的非法闖入,那么就會(huì)使得整個(gè)企業(yè)網(wǎng)絡(luò)都面臨很大的安全隱患。隨著我國(guó)科學(xué)技術(shù)的不斷發(fā)展,計(jì)算機(jī)技術(shù)也在迅猛發(fā)展,同時(shí)各式各樣的黑客也在緊跟科技腳步,非法闖入行為屢見不鮮。黑客攻擊行為主要分為兩種,即破壞性攻擊和非破壞性攻擊。其中破壞性攻擊主要目的就是侵入他人電腦系統(tǒng)、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)和盜竊系統(tǒng)保密信息;而非破壞性攻擊主要是為了擾亂系統(tǒng)的運(yùn)行,并不盜竊系統(tǒng)資料。據(jù)相關(guān)調(diào)查顯示,黑客攻擊行為越來越猖獗,組織越來越龐大,如果不加以制止,那么就會(huì)在很大程度上阻礙企業(yè)的發(fā)展。
3中小企業(yè)網(wǎng)絡(luò)安全策略
3.1加強(qiáng)網(wǎng)絡(luò)安全意識(shí)與管理制度
對(duì)于中小企業(yè)來說,加強(qiáng)網(wǎng)絡(luò)安全意識(shí)與管理制度屬于網(wǎng)絡(luò)安全管理中的一項(xiàng)重要策略。由于受到傳統(tǒng)思想的束縛,很多中小企業(yè)都把大量資金投入到生產(chǎn)中,忽視網(wǎng)絡(luò)安全的重要性。在企業(yè)的網(wǎng)絡(luò)安全管理中,很多網(wǎng)絡(luò)管理人員都缺乏相應(yīng)的專業(yè)知識(shí),缺乏安全防范意識(shí),從而導(dǎo)致了企業(yè)信息資源經(jīng)常發(fā)生泄漏現(xiàn)象。因此,中小企業(yè)應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全意識(shí)與管理制度,定期對(duì)相關(guān)工作人員進(jìn)行安全知識(shí)的培訓(xùn),防止因?yàn)槭韬龆l(fā)生信息資源泄漏,幫助員工熟練掌握網(wǎng)絡(luò)安全管理技能,讓他們充分認(rèn)識(shí)到網(wǎng)絡(luò)安全管理的重要性。與此同時(shí),有條件的企業(yè)還可以聘用國(guó)外發(fā)達(dá)國(guó)家的相關(guān)網(wǎng)絡(luò)安全專家,幫助企業(yè)內(nèi)部工作人員增長(zhǎng)豐富的實(shí)踐經(jīng)驗(yàn),做到未雨綢繆,維護(hù)網(wǎng)絡(luò)信息的保密性和完整性,保證企業(yè)的經(jīng)濟(jì)利益不受損失,從而促進(jìn)企業(yè)的長(zhǎng)久穩(wěn)定發(fā)展。
3.2組建合理的企業(yè)內(nèi)網(wǎng)
在網(wǎng)絡(luò)管理中,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全是其中的首要任務(wù),只有保證了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全,才能有效開展企業(yè)內(nèi)部信息的安全傳遞,因此,企業(yè)要組建合理的企業(yè)內(nèi)網(wǎng)。企業(yè)內(nèi)網(wǎng)的主要目的就是要合理保證網(wǎng)絡(luò)安全,根據(jù)企業(yè)自身發(fā)展情況和信息安全級(jí)別,從而對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行隔離和分段。同時(shí),企業(yè)內(nèi)網(wǎng)的核心是要對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行科學(xué)合理的設(shè)計(jì),從而保證企業(yè)內(nèi)網(wǎng)的安全穩(wěn)定性。其中針對(duì)網(wǎng)絡(luò)分段來說,主要包括兩種方式,即物理分段和邏輯分段。網(wǎng)絡(luò)分段的優(yōu)勢(shì)也很多,一般情況下各網(wǎng)段相互之間是無法進(jìn)行直接通信的,因此,對(duì)網(wǎng)絡(luò)進(jìn)行分段,能夠?qū)崿F(xiàn)各網(wǎng)絡(luò)分段訪問間的單獨(dú)訪問控制,從而避免非法用戶的入侵。比如,把網(wǎng)絡(luò)分成多個(gè)IP子網(wǎng),各個(gè)網(wǎng)絡(luò)間主要通過防火墻或者路由器連接,通過這些設(shè)備來達(dá)到控制各子網(wǎng)間的訪問目的。由此可見,企業(yè)組建合理的企業(yè)內(nèi)網(wǎng)是保證網(wǎng)絡(luò)安全的一項(xiàng)重要策略。
3.3合理設(shè)置加密方式及權(quán)限
在中小企業(yè)的發(fā)展中,數(shù)據(jù)安全非常重要,它能夠直接影響企業(yè)的信息、資源和機(jī)密數(shù)據(jù)的安全性和穩(wěn)定性,因此,企業(yè)在網(wǎng)絡(luò)安全管理中,一定要充分認(rèn)識(shí)到數(shù)據(jù)安全的重要性。企業(yè)可以采用數(shù)據(jù)加密技術(shù),這主要是因?yàn)閿?shù)據(jù)加密可以保護(hù)企業(yè)內(nèi)部的數(shù)據(jù)信息不被侵犯,從而保證企業(yè)內(nèi)部數(shù)據(jù)信息的完整性。從目前我國(guó)企業(yè)的發(fā)展來看,主要采用的加碼技術(shù)有兩種:對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。通俗來說,數(shù)據(jù)加密技術(shù)就是對(duì)內(nèi)部信息數(shù)據(jù)進(jìn)行重新編碼,防止機(jī)密數(shù)據(jù)被黑客破譯。由此可見,企業(yè)應(yīng)該合理設(shè)置加密方式及權(quán)限,從而保證企業(yè)內(nèi)部信息數(shù)據(jù)的安全性和完整性。
3.4使用防火墻及殺毒軟件實(shí)時(shí)監(jiān)控
中小企業(yè)要想保護(hù)內(nèi)部網(wǎng)絡(luò)信息的安全,還有一個(gè)重要的措施就是使用防火墻及殺毒軟件實(shí)時(shí)監(jiān)控。防火墻主要是起到一個(gè)門衛(wèi)的作用,是保證網(wǎng)絡(luò)安全的第一道防線。防火墻可以限制每個(gè)IP的流量和連接數(shù),如果得不到防火墻的“許可”,外部數(shù)據(jù)是不可能進(jìn)入企業(yè)內(nèi)部系統(tǒng)的。與此同時(shí),防火墻還有監(jiān)視作用,通過防火墻能夠了解入侵?jǐn)?shù)據(jù)的有效信息,并且檢查所處理的每個(gè)消息的源。因此,中小企業(yè)為了阻止病毒的入侵,就要使用防火墻,并安裝網(wǎng)絡(luò)版防病毒軟件,從而避免病毒的有效入侵和擴(kuò)散,最終保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性和穩(wěn)定性。
4結(jié)束語
總而言之,隨著市場(chǎng)經(jīng)濟(jì)的不斷變革,中小企業(yè)越來越重視網(wǎng)絡(luò)安全管理問題。對(duì)于中小企業(yè)來說,網(wǎng)絡(luò)安全管理是一項(xiàng)長(zhǎng)期且復(fù)雜的工作,企業(yè)必須要充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性,不斷加強(qiáng)網(wǎng)絡(luò)安全意識(shí)與管理制度,組建合理的企業(yè)內(nèi)網(wǎng),并合理設(shè)置加密方式及權(quán)限,從而保證企業(yè)能夠可持續(xù)發(fā)展下去。
作者:楊海亮 馬天丁 李震 單位:南京水利科學(xué)研究院
隨著信息化技術(shù)的發(fā)展和行業(yè)滲透,煙草行業(yè)的信息化網(wǎng)絡(luò)技術(shù)應(yīng)用逐步加深,問題也隨之而來:計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)能力較弱、存儲(chǔ)數(shù)據(jù)量越來越大,信息安全問題劇增,網(wǎng)絡(luò)安全隱患得不到有效保障,企業(yè)信息難以得到安全有效的保護(hù),企業(yè)網(wǎng)絡(luò)安全問題不容樂觀。因此,深入探討網(wǎng)絡(luò)安全問題,建立健全安全監(jiān)測(cè)機(jī)制,探索安全防護(hù)策略是十分必要的。
1網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全問題就是指在網(wǎng)絡(luò)上傳輸?shù)男畔踩?網(wǎng)絡(luò)安全涵蓋網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不會(huì)受到攻擊、篡改、破壞、泄露、中斷等現(xiàn)象,即硬件設(shè)備應(yīng)穩(wěn)定運(yùn)行,軟件系統(tǒng)穩(wěn)定可靠、網(wǎng)絡(luò)連續(xù)不中斷、數(shù)據(jù)全面且安全。網(wǎng)絡(luò)安全問題既要從技術(shù)上進(jìn)行有效的風(fēng)險(xiǎn)控制,注重防范外部入侵、黑客攻擊、病毒等;還要從管理上加強(qiáng)控制,注重人為因素。計(jì)算機(jī)網(wǎng)絡(luò)安全問題中,最主要的問題就是病毒,計(jì)算機(jī)在網(wǎng)絡(luò)環(huán)境下、在有外部設(shè)備如優(yōu)盤、移動(dòng)硬盤、光盤等連接的情況下,計(jì)算機(jī)都容易感染病毒,不及時(shí)清除病毒,會(huì)帶來一系列問題,最簡(jiǎn)單最直接就是計(jì)算機(jī)運(yùn)行速度降低、病毒導(dǎo)致文件破損甚至丟失,給用戶帶來不便;嚴(yán)重病毒甚至篡改系統(tǒng)程序、非法入侵計(jì)算機(jī)盜取重要數(shù)據(jù)和信息,給用戶帶來信息安全的威脅。網(wǎng)絡(luò)安全管理分工、職責(zé)不明確,使用權(quán)限不匹配,保密意識(shí)淡薄,對(duì)網(wǎng)絡(luò)安全不夠重視,容易造成遇到事情互相推諉的局面。另外,網(wǎng)絡(luò)安全管理人員的相關(guān)培訓(xùn)有待加強(qiáng)。
2網(wǎng)絡(luò)安全技術(shù)防護(hù)
2.1防火墻技術(shù)
防火墻技術(shù)實(shí)際上是一種隔離技術(shù),將計(jì)算機(jī)與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、專用網(wǎng)絡(luò)之間架設(shè)的一種隔離保護(hù)屏障,數(shù)據(jù)和信息經(jīng)防火墻隔離后從計(jì)算機(jī)流出,保護(hù)加密信息;外界數(shù)據(jù)和信息經(jīng)防火墻流入計(jì)算機(jī),將外界有病毒的、不安全的、不確定的因素隔離掉。防火墻是軟件和硬件的組合體,是計(jì)算機(jī)解決網(wǎng)絡(luò)安全問題的首要基本方法。
2.2升級(jí)操作系統(tǒng),修復(fù)漏洞
計(jì)算機(jī)操作系統(tǒng)本身結(jié)構(gòu)、程序復(fù)雜,操作系統(tǒng)供應(yīng)商也在不斷的更新、完善系統(tǒng),用戶應(yīng)及時(shí)升級(jí)操作系統(tǒng),補(bǔ)正最新的補(bǔ)丁,修復(fù)系統(tǒng)漏洞,以便防御各種惡意入侵,將系統(tǒng)風(fēng)險(xiǎn)降至最低。
2.3安裝防病毒軟件
保護(hù)用戶計(jì)算機(jī)網(wǎng)絡(luò)的安全性的最基礎(chǔ)和最重要的一環(huán)就是安裝防病毒軟件,如360殺毒、瑞星殺毒等。通過定時(shí)使用防病毒軟件對(duì)計(jì)算機(jī)各個(gè)硬盤及網(wǎng)絡(luò)環(huán)境進(jìn)行掃描,對(duì)于其中文件、郵件、以及代有可執(zhí)行的文件.exe等進(jìn)行掃描,發(fā)現(xiàn)并清除病毒文件。另外,用戶需經(jīng)常及時(shí)的更新病毒庫,以防范新病毒的入侵。
2.4數(shù)據(jù)庫管理
數(shù)據(jù)庫存儲(chǔ)著計(jì)算機(jī)的所有數(shù)據(jù)和信息,是計(jì)算機(jī)系統(tǒng)非常重要的部分,為防止發(fā)生突發(fā)性的情況,數(shù)據(jù)庫要進(jìn)行一用一備的雙數(shù)據(jù)庫,煙草行業(yè)使用信息化系統(tǒng)隨著使用時(shí)間和使用規(guī)模的增加,數(shù)據(jù)量增大,除了一用一備的數(shù)據(jù)庫管理模式,更應(yīng)該建設(shè)數(shù)據(jù)庫災(zāi)備管理、雙機(jī)熱備等,以應(yīng)對(duì)緊急情況,以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的安全管理及維護(hù),保證系統(tǒng)數(shù)據(jù)和信息的安全、準(zhǔn)確和全面。
2.5數(shù)據(jù)加密技術(shù)
在數(shù)據(jù)量的激增,用戶隨時(shí)隨地利用網(wǎng)絡(luò)查看信息的需求,大數(shù)據(jù)、云計(jì)算的使用越來越廣泛的環(huán)境下,保障用戶的數(shù)據(jù)有效、完整、保密顯得更為突出。數(shù)據(jù)加密技術(shù)對(duì)于云計(jì)算和大數(shù)據(jù)來說,是一種行之有效的保密、安全技術(shù),原理是用戶對(duì)某部分?jǐn)?shù)據(jù)發(fā)起查詢指令,云端將數(shù)據(jù)發(fā)送出去后,要經(jīng)過加密軟件轉(zhuǎn)換成加密文件進(jìn)行傳輸,再傳輸給用戶端前,在經(jīng)過解密文件進(jìn)行還原。加密和解密的過程都離不開關(guān)鍵的環(huán)節(jié)就是密鑰。數(shù)據(jù)加密技術(shù)在互聯(lián)網(wǎng)大數(shù)據(jù)、云計(jì)算的大環(huán)境下,是非常必要的,通過加密技術(shù)來保證數(shù)據(jù)傳遞的真實(shí)性、可靠性和保密性。
3網(wǎng)絡(luò)安全管理
3.1加強(qiáng)防范措施
計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)不僅需要技術(shù)手段上的保駕護(hù)航,更需要管理手段的完善和提高。煙草行業(yè)網(wǎng)絡(luò)管理部分需要建立網(wǎng)絡(luò)監(jiān)測(cè)管理系統(tǒng)和機(jī)制,安排進(jìn)行必要的日常巡檢、漏洞更新等常規(guī)操作,并定期對(duì)所有計(jì)算機(jī)進(jìn)行涉密檢查,對(duì)計(jì)算機(jī)內(nèi)的信息和數(shù)據(jù)進(jìn)行全面監(jiān)測(cè),發(fā)現(xiàn)異常情況及時(shí)處理。安全、可靠、完備的監(jiān)測(cè)管理手段,可以在一定程度上防止外部攻擊。制定合理的網(wǎng)絡(luò)管理規(guī)范和安全制度,能從根本上有效地防止人為因素產(chǎn)生的漏洞。規(guī)范上網(wǎng)行為,制定上網(wǎng)行為管理規(guī)范,有效降低內(nèi)部員工上網(wǎng)誤操作帶來的損失。制定移動(dòng)存儲(chǔ)設(shè)備管理制度,杜絕將存有機(jī)密信息的存儲(chǔ)設(shè)備、筆記本計(jì)算機(jī)等設(shè)備帶離崗位或單位,如有必要需要建立申請(qǐng)制度。
3.2加強(qiáng)管理制度
煙草行業(yè)信息化管理部門要建立健全網(wǎng)絡(luò)安全管理機(jī)構(gòu)和相關(guān)制度,使得相關(guān)人員在工作過程中做到分工明確、有張可循、責(zé)任到人。對(duì)于風(fēng)險(xiǎn)要有嚴(yán)密的防控機(jī)制,出現(xiàn)問題要有合理快速的解決辦法可循,將事故率降至最低。建立完善的管理工作交接、使用權(quán)限交接等的制度和規(guī)則,網(wǎng)絡(luò)管理人員如遇工作調(diào)動(dòng)、辭職、退休等情況時(shí),交接工作有章可循。
3.3注重人才培養(yǎng)
計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)需要專業(yè)性強(qiáng)的人才進(jìn)行運(yùn)行和管理,因此,加強(qiáng)煙草行業(yè)網(wǎng)絡(luò)管理專業(yè)技術(shù)人才隊(duì)伍建設(shè)和能力提升,對(duì)于提升煙草行業(yè)網(wǎng)絡(luò)安全等級(jí)具有現(xiàn)實(shí)意義。注重高級(jí)人才的引進(jìn)和現(xiàn)有人員的培養(yǎng)、培訓(xùn),對(duì)網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)知識(shí)的培訓(xùn),普及信息安全技術(shù),組織信息安全保密知識(shí)學(xué)習(xí),聽取相關(guān)專家的行業(yè)發(fā)展講座,提高網(wǎng)絡(luò)管理人員的整體素質(zhì),從專業(yè)技能到宏觀大局都具有前瞻性。對(duì)信息中心網(wǎng)絡(luò)安全人員進(jìn)行信息化和網(wǎng)絡(luò)方面的專業(yè)技術(shù)培訓(xùn),包括統(tǒng)一標(biāo)準(zhǔn)、數(shù)據(jù)庫維護(hù)、網(wǎng)絡(luò)技術(shù),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理員和操作員進(jìn)行專業(yè)培訓(xùn),加強(qiáng)專業(yè)素養(yǎng),提高個(gè)人能力,應(yīng)對(duì)新技術(shù)的發(fā)展變化。
作者:施驊 單位:江蘇鑫源煙草薄片有限公司
【摘要】云計(jì)算借助于虛擬化技術(shù),通過網(wǎng)絡(luò)平臺(tái)提供軟件、平臺(tái)等服務(wù),在下一代網(wǎng)絡(luò)技術(shù)中,云計(jì)算技術(shù)將成為核心技術(shù),它提供可靠、安全的信息存儲(chǔ),具有強(qiáng)大的數(shù)據(jù)處理與快捷的互聯(lián)網(wǎng)服務(wù)能力。本文則重要探討云計(jì)算下的企業(yè)網(wǎng)路安全管理系統(tǒng)的構(gòu)建,自在提高企業(yè)管理水平,促進(jìn)企業(yè)快速發(fā)展。
【關(guān)鍵詞】云計(jì)算;企業(yè)網(wǎng)絡(luò);安全管理;構(gòu)建
近幾年來,伴隨著科學(xué)技術(shù)及其網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展,云計(jì)算在各個(gè)領(lǐng)域中均得到實(shí)施。信息網(wǎng)絡(luò)技術(shù)已為人們的生產(chǎn)及生活帶來較大便利,同時(shí)也帶來了信息安全問題。企業(yè)網(wǎng)絡(luò)安全問題日益凸顯,云計(jì)算作為一種新型的核心技術(shù),在各行各業(yè)中均得到廣泛應(yīng)用。
1云計(jì)算概述
云計(jì)算是2007年出現(xiàn)的新名詞,只帶現(xiàn)在還沒有一個(gè)確切的定義。總的來說,云計(jì)算指的是把分布式計(jì)算,虛擬化等技術(shù)結(jié)合起來的一種計(jì)算方式,基于互聯(lián)網(wǎng)為媒介,向用戶提供各種技術(shù)說明、數(shù)據(jù)說明及應(yīng)用,以方便用戶使用起來更方便快捷。對(duì)于云計(jì)算而言,它是分布式處理、網(wǎng)絡(luò)計(jì)算的發(fā)展,對(duì)分布式計(jì)算機(jī)中的數(shù)據(jù)、資源進(jìn)行整合,實(shí)現(xiàn)協(xié)同工作。用戶連上網(wǎng)絡(luò),運(yùn)用云計(jì)算技術(shù)使標(biāo)準(zhǔn)化的訊息和數(shù)據(jù)更加的有效、精確、快速及多量化。云計(jì)算主要由計(jì)算與編程技術(shù)、數(shù)據(jù)存儲(chǔ)技術(shù)、虛擬機(jī)技術(shù)、數(shù)據(jù)處理技術(shù)等技術(shù)構(gòu)成。云計(jì)算技術(shù)不同于其他技術(shù),它具有自身獨(dú)特的特征,其中包括:超大規(guī)模、高真實(shí)性、高安全性、擴(kuò)張性、按需求提供等。云計(jì)算技術(shù)具有獨(dú)特的特征,即使用成本低,適應(yīng)范圍廣泛、高效的運(yùn)行速度,被各大企業(yè)廣泛運(yùn)用。云計(jì)算通過電腦進(jìn)行數(shù)據(jù),至電腦的算術(shù)功能更加強(qiáng)大,使那些繁瑣的、量大的計(jì)算得到了提高。并且,啟用云計(jì)算模式,使數(shù)據(jù)的儲(chǔ)存更加的統(tǒng)一化,有利于數(shù)據(jù)在監(jiān)管測(cè)試中更加的安全。在云計(jì)算模式的數(shù)據(jù)中心中,其對(duì)數(shù)據(jù)的統(tǒng)一化、資源配置的有效化、系統(tǒng)的優(yōu)化、安全的監(jiān)測(cè)環(huán)境和鋪排軟件,有效的提高了數(shù)據(jù)的完整性。并且,在云計(jì)算平臺(tái)加入硬件、軟件及技術(shù)資源,從而促進(jìn)集中管理的實(shí)行,同時(shí),增加動(dòng)態(tài)的虛構(gòu)化層次,促進(jìn)了資源、硬軟件的全面發(fā)展。云計(jì)算技術(shù)具有可持續(xù)性、虛擬化的特點(diǎn),可持續(xù)性的特點(diǎn),使系統(tǒng)的總體消耗費(fèi)用在一定的程度上降低。云計(jì)算的種類可分為公共云、社區(qū)云、混合云及私有云。其中公共云主要用于公共服務(wù)的云平臺(tái),進(jìn)而為公眾提證供云存儲(chǔ)及云計(jì)算的服務(wù);社區(qū)云則是在某一區(qū)域內(nèi)使用的云服務(wù),進(jìn)而為多家關(guān)聯(lián)機(jī)構(gòu)所提供的云服務(wù);混合云是兩種或兩種以上的云所組成的;私有云是指企業(yè)內(nèi)部所使用的云服務(wù),適宜專網(wǎng)向結(jié)構(gòu)采用。
2云計(jì)算在企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中的應(yīng)用
隨著科技的飛速發(fā)展和網(wǎng)絡(luò)的普及,企業(yè)管理所形成的運(yùn)用系統(tǒng)平臺(tái)都向著規(guī)?;⒍嘈в没?、高效能、高機(jī)能的方向發(fā)展。以保障企業(yè)網(wǎng)絡(luò)管理系統(tǒng)安全的正常運(yùn)行、對(duì)其進(jìn)行定時(shí)調(diào)度和維護(hù),完善企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)發(fā)展,云計(jì)算技術(shù)在企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用必不可少?;谠朴?jì)算技術(shù)的應(yīng)用將整合數(shù)據(jù)信息資源,可以確保企業(yè)安全管理系統(tǒng)數(shù)據(jù)的安全。
2.1云計(jì)算系統(tǒng)實(shí)現(xiàn)
作為多層服務(wù)的集合體系,電力云主要由物理存儲(chǔ)層、基礎(chǔ)管理層、高級(jí)訪問層、應(yīng)用接口層四個(gè)主要層次構(gòu)成。云計(jì)算系統(tǒng)是在企業(yè)網(wǎng)絡(luò)安全管理中,網(wǎng)絡(luò)存儲(chǔ)與設(shè)備是以物理存儲(chǔ)層為基礎(chǔ)的,其所分布的地理位置不同導(dǎo)致其云物理設(shè)備也不同,這些差異的地理位置及云物理設(shè)備之間的連接主要是通過內(nèi)部網(wǎng)來實(shí)現(xiàn)的。基礎(chǔ)管理層是采用集群式和分布式系統(tǒng),促使云中的儲(chǔ)存設(shè)備進(jìn)行協(xié)同工作,在基礎(chǔ)管理層中,還包括機(jī)密、數(shù)據(jù)備份內(nèi)容。高級(jí)訪問層主要包括管理系統(tǒng)的基礎(chǔ)與高級(jí)應(yīng)用,通過軟件平臺(tái)來實(shí)現(xiàn)安全管理軟件快速有效的運(yùn)行。云計(jì)算系統(tǒng)是在企業(yè)網(wǎng)絡(luò)安全管理中,應(yīng)用接口層是其最最活躍的部分,其系統(tǒng)中的運(yùn)行管理機(jī)構(gòu)信息及數(shù)據(jù)獲取必需通過應(yīng)用接口層完成。
2.2云計(jì)算的信息整合
云計(jì)算的信息整合很多都是通過云計(jì)算技術(shù)來實(shí)現(xiàn)的,如企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中的信息同享,利用公有信息模型,標(biāo)準(zhǔn)組件接口,讓多個(gè)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行交流、同享。同時(shí),可利用自動(dòng)分析與拆分技術(shù),對(duì)系統(tǒng)中繁瑣的資源進(jìn)行統(tǒng)一,使其任務(wù)變成較小任務(wù)。經(jīng)過企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中某個(gè)信息點(diǎn)將請(qǐng)求發(fā)云體系實(shí)現(xiàn)資源的統(tǒng)一,在請(qǐng)求接到后,將數(shù)據(jù)請(qǐng)求要求發(fā)送給企業(yè)網(wǎng)絡(luò)安全管理中的公用信息平臺(tái),依照請(qǐng)求,對(duì)系統(tǒng)中的資源進(jìn)行儲(chǔ)蓄整理、推算。
2.3資源管理與調(diào)度
為了完成云計(jì)算技術(shù)在工作中的的有效使用,應(yīng)該鞏固對(duì)資源的處理、調(diào)度。其詳細(xì)運(yùn)行表現(xiàn)為:起初,為了保證企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的安定、穩(wěn)固進(jìn)行,應(yīng)該對(duì)每一臺(tái)使用云計(jì)算技術(shù)的計(jì)算機(jī)設(shè)施進(jìn)行整合,對(duì)使用者權(quán)利、使用者因特網(wǎng)地址、用戶終端級(jí)別進(jìn)行整合。另外,描繪計(jì)算機(jī)資源近狀,對(duì)Cache、MFLOPS等數(shù)據(jù)結(jié)構(gòu)進(jìn)行概述。最后,實(shí)現(xiàn)云內(nèi)部任意終端的探問,運(yùn)用云調(diào)度技能,有效處理云資源,完成對(duì)系統(tǒng)資源的靈驗(yàn)、科學(xué)整理,便于資源的詢問、使用。企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)與云計(jì)算的應(yīng)用具有計(jì)算速度快、安全可靠性高、應(yīng)用范圍廣的特點(diǎn)。為了使企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)有效快速的運(yùn)行,云計(jì)算技術(shù)還對(duì)技術(shù)標(biāo)準(zhǔn)合理的進(jìn)行規(guī)范,利用數(shù)據(jù)模型,完成數(shù)據(jù)的平穩(wěn)執(zhí)行。
2.4云計(jì)算的關(guān)鍵技術(shù)
數(shù)據(jù)安全技術(shù)。在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中采用云計(jì)算技術(shù),數(shù)據(jù)的散落式儲(chǔ)存保證了數(shù)據(jù)的安全問題、系統(tǒng)內(nèi)的安全問題。在系統(tǒng)進(jìn)行運(yùn)行的過程中中,保障數(shù)據(jù)完好,應(yīng)該對(duì)數(shù)據(jù)處理、用戶約束、資源證實(shí)、權(quán)利管理等各技術(shù)的認(rèn)真分析,保障應(yīng)用數(shù)據(jù)的穩(wěn)定性、整體性。因此,在系統(tǒng)運(yùn)行過程中,云計(jì)算技術(shù)還要加強(qiáng)對(duì)數(shù)據(jù)的隱秘功能,從而保證數(shù)據(jù)的穩(wěn)定性、整體性,可以通過數(shù)據(jù)加密技術(shù)進(jìn)行維護(hù)。就像采用華為技術(shù)公司利用IaaS層資源管理軟件,有用地解決了數(shù)據(jù)存在的安全問題。與此之外,數(shù)據(jù)的安全技術(shù)強(qiáng)化系統(tǒng)中的用戶數(shù)據(jù)安全,保障用戶數(shù)據(jù)的安全共享,保障了數(shù)據(jù)的交迭。動(dòng)態(tài)任務(wù)調(diào)度技術(shù)。其于企業(yè)網(wǎng)絡(luò)管理系統(tǒng),其計(jì)算方式有暫態(tài)、靜態(tài)等多樣性,因?yàn)橛?jì)算時(shí)間具有不穩(wěn)定性因素,且計(jì)算之間是具有相互依靠關(guān)系,從而便增加了計(jì)算任務(wù)的調(diào)度的難度。因此,為了保證企業(yè)網(wǎng)絡(luò)管理系統(tǒng)的高速運(yùn)行,在系統(tǒng)的云計(jì)算中心,使用任務(wù)預(yù)分配與動(dòng)態(tài)分配相配合,分布式文件與本地文件相配合的形式,從而提高資源的有效利用,促使數(shù)據(jù)運(yùn)送、調(diào)整管理的時(shí)間損失降低了一定的程度。一體化數(shù)據(jù)管理技術(shù)。在系統(tǒng)的多種整理中,通過采用一體化數(shù)據(jù)管理技術(shù)與模型的方法來實(shí)現(xiàn)數(shù)據(jù)模型的統(tǒng)一化,以此減少不同模型轉(zhuǎn)化的過程中所形成的數(shù)據(jù)丟失與失誤,利用合并的計(jì)算數(shù)據(jù)準(zhǔn)則。在當(dāng)前的的數(shù)據(jù)模型中,大部分采取EICCIM國(guó)際標(biāo)準(zhǔn),同時(shí)使用國(guó)網(wǎng)E格式標(biāo)準(zhǔn)數(shù)據(jù)替換,而關(guān)于計(jì)算輸入數(shù)據(jù)而言,可使用BPA和PSASP兼并的方法。
3企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中云計(jì)算技術(shù)的應(yīng)用
云計(jì)算在企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)中的應(yīng)用可分為三大層次,即:基礎(chǔ)設(shè)施層、平臺(tái)服務(wù)層及軟件服務(wù)層。其中基礎(chǔ)設(shè)施層是面向應(yīng)用對(duì)象,平臺(tái)服務(wù)層面向服務(wù)、軟件服務(wù)層面向用戶。在每一個(gè)層次中都能夠根據(jù)功能需求加以細(xì)化。并且根據(jù)邏輯的順序,在基礎(chǔ)設(shè)施層上能夠分為數(shù)據(jù)采集及其轉(zhuǎn)化,并且根據(jù)硬件的不同,將其分為用戶設(shè)備終端、存儲(chǔ)設(shè)備及其服務(wù)器等。此外,在云計(jì)算的信息管理中,大多是通過虛擬化的技術(shù)來實(shí)現(xiàn)資源的形象化轉(zhuǎn)變,并將數(shù)據(jù)傳遞到服務(wù)平臺(tái)。同時(shí)根據(jù)設(shè)計(jì)及開發(fā)的相關(guān)流程,平臺(tái)服務(wù)層可分為開發(fā)、測(cè)試及其運(yùn)行。每一層都應(yīng)根據(jù)相關(guān)設(shè)計(jì)來進(jìn)行開發(fā)。如:在建立某企業(yè)的網(wǎng)絡(luò)安全管理系統(tǒng)時(shí),首先,應(yīng)對(duì)該企業(yè)的業(yè)務(wù)類型進(jìn)行全面調(diào)查分析,并給予分類,查看適合采用哪一種云計(jì)算分類。若企業(yè)的網(wǎng)絡(luò)安全管理系統(tǒng)適宜采用私有云計(jì)算類型,則可采用私有云的管理系統(tǒng)。然后,企業(yè)應(yīng)根據(jù)實(shí)際應(yīng)用需求,需要配備足夠的服務(wù)器設(shè)備等。再次,對(duì)企業(yè)內(nèi)部IT資源、數(shù)據(jù)中心等加以整合,并選擇較為合適的虛擬化方法,對(duì)存儲(chǔ)設(shè)備及服務(wù)器給予虛擬化整合,將已虛擬化的集成管理器給予管理,并將其上傳到云計(jì)算的平臺(tái)之中。最后,在軟件的服務(wù)層,應(yīng)根據(jù)實(shí)際的應(yīng)用對(duì)象及其需求進(jìn)而用戶終端提供不同的軟件,并設(shè)置相應(yīng)的操作系統(tǒng)。當(dāng)企業(yè)采用云計(jì)算的技術(shù)后,應(yīng)配置基礎(chǔ)設(shè)施或功能軟件等,最終向服務(wù)提供者提供費(fèi)用,可有效降低計(jì)算成本。對(duì)于云計(jì)算的信息管理系統(tǒng),其中影響較大的缺陷即所擁有的隱私保護(hù)力不夠,且公享資源的較大則是服務(wù)提供者所擁有的任意數(shù)據(jù),如何在確保資源共享的優(yōu)點(diǎn)下,達(dá)到保護(hù)用戶隱私的目的,是當(dāng)前亟需解決的問題。
4結(jié)語
總而言之,云計(jì)算技術(shù)是當(dāng)前流行的新技術(shù),已在各行各業(yè)中得到廣泛應(yīng)用,并且取得了較好的成效。對(duì)于企業(yè)網(wǎng)絡(luò)安全管理而言也不例外,同樣可采用云計(jì)算技術(shù),能夠提高管理效率及質(zhì)量。本文則將云計(jì)算技術(shù)應(yīng)用于企業(yè)安全網(wǎng)絡(luò)管理中,旨在提高信息安全管理水平,促進(jìn)企業(yè)的可持續(xù)發(fā)展。
作者:程偉 單位:宜賓學(xué)院網(wǎng)絡(luò)與多媒體管理中心
0引言
隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用,社會(huì)信息化進(jìn)程不斷加快,生產(chǎn)制造、物流網(wǎng)絡(luò)、自動(dòng)化辦公系統(tǒng)對(duì)信息系統(tǒng)的依賴程度越來越大,因此,保證信息系統(tǒng)的安全穩(wěn)定運(yùn)行也越來越重要。如何保證企業(yè)網(wǎng)絡(luò)信息化安全、穩(wěn)定運(yùn)行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師在設(shè)計(jì)初始周全的考慮到網(wǎng)絡(luò)安全所需達(dá)到的條件(包括硬件、OSI/RM各層、各種系統(tǒng)操作和應(yīng)用)。
1網(wǎng)絡(luò)安全、信息安全標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為,凈化網(wǎng)絡(luò)環(huán)境而制定的強(qiáng)制性或指導(dǎo)性的規(guī)定。目前,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對(duì)系統(tǒng)安全等級(jí)、系統(tǒng)安全等級(jí)評(píng)定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)。世界各國(guó)紛紛頒布了計(jì)算機(jī)網(wǎng)絡(luò)的安全管理?xiàng)l例,我國(guó)也頒布了《計(jì)算機(jī)網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全管理方法》等多個(gè)國(guó)家標(biāo)準(zhǔn),用來制止網(wǎng)絡(luò)污染,規(guī)范網(wǎng)絡(luò)行為,同時(shí)各種網(wǎng)絡(luò)技術(shù)在不斷的改進(jìn)和完善。1999年9月13日,中國(guó)頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859:1999),定義了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的5個(gè)等級(jí),分別如下:(1)第一級(jí):用戶自主保護(hù)級(jí)。它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力,保護(hù)用戶的信息免受非法的讀寫破壞。(2)第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外,還要求創(chuàng)建和維護(hù)訪問的審計(jì)蹤記錄,使所有的用戶對(duì)自己行為的合法性負(fù)責(zé)。(3)第三級(jí):安全標(biāo)記保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外,還要求以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的訪問權(quán)限,實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制訪問。(4)第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分直接控制訪問者對(duì)訪問對(duì)象的存取,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。(5)第五級(jí):訪問驗(yàn)證保護(hù)級(jí)。除繼承前一個(gè)級(jí)別的安全功能外,還特別增設(shè)了訪問驗(yàn)證功能,負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)。
2企業(yè)網(wǎng)絡(luò)主要安全隱患
企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng),網(wǎng)絡(luò)安全體系防范的不僅是病毒感染,還有基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問,但這些非法入侵、攻擊、訪問的途徑非常多,涉及到整個(gè)網(wǎng)絡(luò)通信過程的每個(gè)細(xì)節(jié)。從以往的網(wǎng)絡(luò)入侵、攻擊等可以總結(jié)出,內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò),因?yàn)閮?nèi)網(wǎng)受到的入侵和攻擊更加容易,所以做為網(wǎng)絡(luò)安全體系設(shè)計(jì)人員要全面地考慮,注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患。
3企業(yè)網(wǎng)絡(luò)安全防護(hù)策略
設(shè)計(jì)一個(gè)更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過程中對(duì)OSI/RM的全部層次的安全保護(hù)和系統(tǒng)的安全保護(hù)。七層網(wǎng)絡(luò)各個(gè)層次的安全防護(hù)是為了預(yù)防非法入侵、非法訪問、病毒感染和黑客攻擊,而非計(jì)算機(jī)通信過程中的安全保護(hù)是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護(hù)措施及系統(tǒng)層的安全防護(hù)如圖1所示。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現(xiàn)在兩個(gè)方面:一方面是采用屏蔽性能好的傳輸介質(zhì),另一方面是把傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房等整個(gè)通信線路安裝在屏蔽的環(huán)境中。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對(duì))芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外,還有這些屏蔽層就是用來進(jìn)行電磁屏蔽的,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。(2)屏蔽機(jī)房和機(jī)柜機(jī)房屏蔽的方法是在機(jī)房外部以接地良好的金屬膜、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍,其中包括六面板體和一面屏蔽門。根據(jù)機(jī)房屏蔽性能的不同,可以將屏蔽機(jī)房分為A、B、C三個(gè)級(jí)別,最高級(jí)為C級(jí)。機(jī)柜的屏蔽是用采用冷扎鋼板圍閉而成,這些機(jī)柜的結(jié)構(gòu)與普通的機(jī)柜是一樣的,都是標(biāo)準(zhǔn)尺寸的。(3)WLAN的物理層安全保護(hù)對(duì)于無線網(wǎng)絡(luò),因?yàn)椴捎玫膫鬏斀橘|(zhì)是大氣,大氣是非固定有形線路,安全風(fēng)險(xiǎn)比有線網(wǎng)絡(luò)更高,所以在無線網(wǎng)絡(luò)中的物理層安全保護(hù)就顯得更加重要了。如果將機(jī)房等整個(gè)屏蔽起來,成本太高,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動(dòng)態(tài)密鑰、IEEE802.1X身份驗(yàn)證等?,F(xiàn)在最新的無線寬帶接入技術(shù)——WiMAX對(duì)于來自物理層的攻擊,如網(wǎng)絡(luò)阻塞、干擾,顯得很脆弱,以后將提高發(fā)射信號(hào)功率、增加信號(hào)帶寬和使用包括跳頻、直接序列等擴(kuò)頻技術(shù)。
4.2數(shù)據(jù)鏈路層安全
在數(shù)據(jù)鏈路層可以采用的安全保護(hù)方案主要包括:數(shù)據(jù)鏈路加密、MAC地址綁定(防止MAC地址欺騙)、VLAN網(wǎng)段劃分、網(wǎng)絡(luò)嗅探預(yù)防、交換機(jī)保護(hù)。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù),該技術(shù)可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。
4.3網(wǎng)絡(luò)層安全
在網(wǎng)絡(luò)層首先是身份的認(rèn)證,最簡(jiǎn)單的身份認(rèn)證方式是密碼認(rèn)證,它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對(duì)網(wǎng)絡(luò)資源的訪問啟用“單點(diǎn)登錄”,采用單點(diǎn)登錄后,用戶可以使用一個(gè)密碼或智能卡一次登錄到windows域,然后向域中的任何計(jì)算機(jī)驗(yàn)證身份。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù),使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸,連接之間的通信是加密的。加密認(rèn)證分為PKI公鑰機(jī)制(非對(duì)稱加密機(jī)制),Kerberos基于私鑰機(jī)制(對(duì)稱加密機(jī)制)。IPSec是針對(duì)IP網(wǎng)絡(luò)所提出的安全性協(xié)議,用途就是保護(hù)IP網(wǎng)絡(luò)通信安全。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查、數(shù)據(jù)機(jī)密保護(hù)、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護(hù),可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)。
4.4傳輸層安全
傳輸層的主要作用是保證數(shù)據(jù)安全、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議,它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強(qiáng)健的安全加密保護(hù),還可以結(jié)合證書服務(wù),提供強(qiáng)大的身份誰、數(shù)據(jù)簽名和隱私保護(hù)。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。
4.5防火墻
因防火墻技術(shù)在OSI/RM各層均有體現(xiàn),在這里簡(jiǎn)單分析一下防火墻,防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻,網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器,運(yùn)作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作,應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包。目前70%的攻擊是發(fā)生在應(yīng)用層,而不是網(wǎng)絡(luò)層。對(duì)于這類攻擊,傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果,并不太理想。
5結(jié)語
以上對(duì)于實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡(jiǎn)單論述,是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護(hù)分析,重點(diǎn)分析了物理層所必須做好的各項(xiàng)工作,其余各層簡(jiǎn)單分析了應(yīng)加強(qiáng)的主要技術(shù)。因網(wǎng)絡(luò)技術(shù)日新月益,很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn),實(shí)則由于本人時(shí)間、水平有限,請(qǐng)各位讀者給予見解。文章中部分內(nèi)容借簽于參考文獻(xiàn),在此非常感謝各位作者的好書籍。
作者:單位:西山煤電(集團(tuán))有限公司物資供應(yīng)分公司
0引言
隨著數(shù)據(jù)庫、軟件工程和多媒體通信技術(shù)的快速發(fā)展,礦山企業(yè)實(shí)施了安全生產(chǎn)集控系統(tǒng)、環(huán)境監(jiān)測(cè)系統(tǒng)、調(diào)度管控系統(tǒng)、移動(dòng)辦公系統(tǒng)及智能決策支持等系統(tǒng),實(shí)現(xiàn)了礦山企業(yè)安全生產(chǎn)、辦公和管理信息化、智能化。網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各類信息化系統(tǒng)的數(shù)據(jù)共享、協(xié)同辦公等,也是信息化系統(tǒng)正常運(yùn)行的關(guān)鍵,因此網(wǎng)絡(luò)安全防御具有重要的作用。本文詳細(xì)地分析了礦山企業(yè)網(wǎng)絡(luò)安全面臨的問題和現(xiàn)狀,提出采用先進(jìn)的防御措施,構(gòu)建安全管理系統(tǒng),以便提高網(wǎng)絡(luò)安全性能,進(jìn)一步改善礦山企業(yè)信息化運(yùn)營(yíng)環(huán)境的安全性。
1礦山企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析
隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)將分布于礦山企業(yè)生產(chǎn)、管理等部門的設(shè)備連接在一起,形成了一個(gè)強(qiáng)大的礦山企業(yè)服務(wù)系統(tǒng),為礦山企業(yè)提供了強(qiáng)大的信息共享、數(shù)據(jù)傳輸能力。但是,由于許多礦山企業(yè)工作人員在操作管理系統(tǒng)、使用計(jì)算機(jī)時(shí)不規(guī)范,如果一臺(tái)終端或服務(wù)器感染了計(jì)算機(jī)病毒、木馬,將會(huì)在很短的時(shí)間內(nèi)擴(kuò)散到其他終端和服務(wù)器中,感染礦山企業(yè)信息化系統(tǒng),導(dǎo)致礦山企業(yè)服務(wù)系統(tǒng)無法正常使用。經(jīng)過分析與研究,目前網(wǎng)絡(luò)安全管理面臨威脅攻擊渠道多樣化、威脅智能化等現(xiàn)狀。
1.1網(wǎng)絡(luò)攻擊渠道多樣化
目前網(wǎng)絡(luò)黑客技術(shù)正快速普及,網(wǎng)絡(luò)攻擊和威脅不僅僅來源于黑客、病毒和木馬,傳播渠道不僅僅局限于計(jì)算機(jī),隨著移動(dòng)互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)的興起和應(yīng)用,網(wǎng)絡(luò)安全威脅通過智能終端進(jìn)行傳播,傳播渠道更加多樣化。
1.2網(wǎng)絡(luò)安全威脅智能化
隨著移動(dòng)計(jì)算、云計(jì)算和分布式計(jì)算技術(shù)的快速發(fā)展,網(wǎng)絡(luò)黑客制作的木馬和病毒隱藏周期更長(zhǎng),破壞的范圍更加廣泛,安全威脅日趨智能化,給礦山企業(yè)信息化系統(tǒng)帶來的安全威脅更加嚴(yán)重,非常容易導(dǎo)致網(wǎng)絡(luò)安全數(shù)據(jù)資料丟失。
1.3網(wǎng)絡(luò)安全威脅嚴(yán)重化
網(wǎng)絡(luò)安全攻擊渠道多樣、智能逐漸增加了安全威脅的程度,網(wǎng)絡(luò)安全受到的威脅日益嚴(yán)重,礦山企業(yè)網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)資源一旦受到安全攻擊,將會(huì)在短時(shí)間內(nèi)迅速感染等網(wǎng)絡(luò)中接入的軟硬件資源,破壞網(wǎng)絡(luò)安全威脅。
2礦山企業(yè)網(wǎng)絡(luò)安全防御措施研究
礦山企業(yè)網(wǎng)絡(luò)運(yùn)行過程中,安全管理系統(tǒng)可以采用主動(dòng)、縱深防御模式,安全管理系統(tǒng)主要包括預(yù)警、響應(yīng)、保護(hù)、防御、監(jiān)測(cè)、恢復(fù)和反擊等六種關(guān)鍵技術(shù),從根本上轉(zhuǎn)變礦山企業(yè)信息系統(tǒng)使用人員的安全意識(shí),改善系統(tǒng)操作規(guī)范性,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全防御性能。
2.1網(wǎng)絡(luò)安全預(yù)警
網(wǎng)絡(luò)安全預(yù)警措施主要包括漏洞預(yù)警、行為預(yù)警和攻擊趨勢(shì)預(yù)警,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流中存在的威脅。漏洞預(yù)警可以積極發(fā)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)中存在的漏洞,以便積極升級(jí)系統(tǒng),修復(fù)系統(tǒng)漏洞。行為預(yù)警、攻擊預(yù)警可以分析網(wǎng)絡(luò)數(shù)據(jù)流,發(fā)現(xiàn)數(shù)據(jù)中隱藏的攻擊行為或趨勢(shì),以便能夠有效預(yù)警。網(wǎng)絡(luò)安全預(yù)警是網(wǎng)絡(luò)預(yù)警的第一步,其作用非常明顯,可以為網(wǎng)絡(luò)安全保護(hù)提供依據(jù)。
2.2網(wǎng)絡(luò)安全保護(hù)
網(wǎng)絡(luò)安全保護(hù)可以采用簡(jiǎn)單的殺毒軟件、防火墻、訪問控制列表、虛擬專用網(wǎng)等技術(shù)防御攻擊威脅,以便保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性、完整性、可控性、不可否認(rèn)性和可用性。網(wǎng)絡(luò)安全保護(hù)與傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)相近,因此在構(gòu)建主動(dòng)防御模型時(shí),融入了傳統(tǒng)的防御技術(shù)。
2.3網(wǎng)絡(luò)安全監(jiān)測(cè)
網(wǎng)絡(luò)安全監(jiān)測(cè)可以采用掃描技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、入侵檢測(cè)技術(shù)等發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在嚴(yán)重的漏洞或攻擊數(shù)據(jù)流,能夠進(jìn)一步完善主動(dòng)防御模型內(nèi)容,以便從根本上保證網(wǎng)絡(luò)安全防御的完整性。
2.4網(wǎng)絡(luò)安全響應(yīng)
網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時(shí)的反應(yīng),以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊,將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機(jī)上。
2.5網(wǎng)絡(luò)恢復(fù)
礦山企業(yè)信息系統(tǒng)遭受到攻擊之后,為了盡可能降低網(wǎng)絡(luò)安全攻擊損失,提高用戶的承受能力,可以采用網(wǎng)絡(luò)安全恢復(fù)技術(shù),將系統(tǒng)恢復(fù)到遭受攻擊前的階段。主動(dòng)恢復(fù)技術(shù)主要采用離線備份、在線備份、階段備份或增量備份等技術(shù)。
2.6網(wǎng)絡(luò)安全反擊
網(wǎng)絡(luò)反擊技術(shù)是主動(dòng)防御最為關(guān)鍵的技術(shù),也是與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)最大的區(qū)別。網(wǎng)絡(luò)反擊技術(shù)可以采用欺騙類攻擊、病毒類攻擊、漏洞類攻擊、探測(cè)類攻擊和阻塞類攻擊等技術(shù),網(wǎng)絡(luò)反擊技術(shù)可以針對(duì)攻擊威脅的源主機(jī)進(jìn)行攻擊,不但能夠阻斷網(wǎng)絡(luò)攻擊,還可以反擊攻擊源,以便破壞攻擊源主機(jī)的運(yùn)行性能。
3礦山企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)
為了能夠更好地導(dǎo)出系統(tǒng)的邏輯業(yè)務(wù)功能,對(duì)網(wǎng)絡(luò)安全管理的管理員、用戶和防御人員進(jìn)行調(diào)研和分析,使用原型化方法和結(jié)構(gòu)化需求分析技術(shù)導(dǎo)出了系統(tǒng)的邏輯業(yè)務(wù)功能,分別是系統(tǒng)配置管理功能、用戶管理功能、安全策略管理功能、網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能、網(wǎng)絡(luò)運(yùn)行日志管理功能、網(wǎng)絡(luò)運(yùn)行報(bào)表管理功能等六個(gè)部分。
3.1網(wǎng)絡(luò)安全管理系統(tǒng)配置管理功能分析
通過對(duì)網(wǎng)絡(luò)安全管理系統(tǒng)操作人員進(jìn)行調(diào)研和分析,導(dǎo)出了系統(tǒng)配置管理功能的業(yè)務(wù)功能,系統(tǒng)配置管理功能主要包括七個(gè)關(guān)鍵功能,分別是系統(tǒng)用戶信息配置管理功能、網(wǎng)絡(luò)模式配置、網(wǎng)絡(luò)管理參數(shù)配置、網(wǎng)絡(luò)管理對(duì)象配置、輔助工具配置、備份與恢復(fù)配置和系統(tǒng)注冊(cè)與升級(jí)等。
3.2用戶管理功能分析
礦山企業(yè)網(wǎng)絡(luò)運(yùn)行中,其主要設(shè)備包括多種,操作的用戶也有很多種類別,比如網(wǎng)絡(luò)設(shè)備管理人員、應(yīng)用系統(tǒng)管理人員、網(wǎng)絡(luò)維護(hù)部門、服務(wù)器等,因此用戶管理功能主要包括人員、組織、機(jī)器等分析,主要功能包括三個(gè)方面,分別是組織管理、自動(dòng)分組和認(rèn)證配置。組織管理功能可以對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行組織和管理,按照賬號(hào)管理、機(jī)器管理等進(jìn)行操作;自動(dòng)分組可以根據(jù)用戶搜索的設(shè)備的具體情況改善機(jī)器的搜索范圍,添加到機(jī)器列表中,并且可以對(duì)及其進(jìn)行重新的分組管理;認(rèn)證配置可以根據(jù)終端機(jī)器的登錄模式進(jìn)行認(rèn)證管理。
3.3安全策略管理功能分析
網(wǎng)絡(luò)安全防御過程中,網(wǎng)絡(luò)安全需要配置相關(guān)的策略,以便能夠更好的維護(hù)網(wǎng)絡(luò)運(yùn)行安全,同時(shí)可以為用戶提供強(qiáng)大的保護(hù)和防御性能,網(wǎng)絡(luò)安全策略配置是非常重要的一個(gè)工作內(nèi)容。網(wǎng)絡(luò)安全防御規(guī)則包括多種,比如入侵監(jiān)測(cè)規(guī)則、網(wǎng)絡(luò)響應(yīng)規(guī)則、網(wǎng)絡(luò)阻斷規(guī)則等,配置過程復(fù)雜,工作量大,通過歸納,需要根據(jù)網(wǎng)絡(luò)安全防御的關(guān)鍵內(nèi)容設(shè)置網(wǎng)絡(luò)訪問的黑白名單、應(yīng)用封堵、流量封堵、行為審計(jì)、內(nèi)容審計(jì)、策略分配等功能。
3.4網(wǎng)絡(luò)狀態(tài)監(jiān)控管理功能分析
網(wǎng)絡(luò)運(yùn)行過程中,由于涉及的服務(wù)器、終端設(shè)備較多,網(wǎng)絡(luò)運(yùn)行容易產(chǎn)生錯(cuò)誤,需要對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)管,以便能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊威脅、故障燈。網(wǎng)絡(luò)運(yùn)行管理過程中,需要時(shí)刻的監(jiān)控網(wǎng)絡(luò)的運(yùn)行管理狀態(tài),具體的網(wǎng)絡(luò)運(yùn)行管理的狀態(tài)主要包括三個(gè)方面,分別是系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)活動(dòng)狀態(tài)、流量監(jiān)控狀態(tài)。
3.5網(wǎng)絡(luò)運(yùn)行日志管理功能分析
礦山企業(yè)網(wǎng)絡(luò)運(yùn)行過程中,根據(jù)計(jì)算機(jī)的特性需要保留網(wǎng)絡(luò)操作日志,如果發(fā)生網(wǎng)絡(luò)安全事故,可以對(duì)網(wǎng)絡(luò)操作日志進(jìn)行分析,便于發(fā)現(xiàn)某些操作是不符合規(guī)則的。因此,網(wǎng)絡(luò)運(yùn)行管理過程中,網(wǎng)絡(luò)運(yùn)行日志管理可以分析網(wǎng)絡(luò)運(yùn)行操作的主要信息,日志管理主要包括以下幾個(gè)方面,分別是內(nèi)容日志管理、報(bào)警日志管理、封堵日志管理、系統(tǒng)操作日志管理。
3.6網(wǎng)絡(luò)運(yùn)行報(bào)表管理功能分析
網(wǎng)絡(luò)運(yùn)行過程中,為了能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全管理的統(tǒng)計(jì)分析,可以采用網(wǎng)絡(luò)安全報(bào)表管理模式,以便能夠統(tǒng)計(jì)分析接入到網(wǎng)絡(luò)中的各種軟硬件設(shè)備和系統(tǒng)的運(yùn)行情況,網(wǎng)絡(luò)運(yùn)行報(bào)表管理主要包括兩個(gè)方面的功能,分別是統(tǒng)計(jì)報(bào)表和報(bào)表訂閱。
4結(jié)束語
隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算和移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速應(yīng)用和普及,礦山企業(yè)逐漸進(jìn)入智慧化時(shí)代,網(wǎng)絡(luò)安全威脅更加智能化、快速化和多樣化,感染速度更快,影響范圍更廣,給礦山企業(yè)信息系統(tǒng)帶來的損失更加嚴(yán)重,本文提出構(gòu)建一種多層次的主動(dòng)網(wǎng)絡(luò)安全防御系統(tǒng),能夠提高礦山企業(yè)信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行的安全性,具有重要的作用和意義。
作者:張軍 單位:陜西南梁礦業(yè)有限公司