序論:在您撰寫企業(yè)網(wǎng)絡(luò)安全論文時(shí),參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度����。
第1篇
1.1計(jì)算機(jī)自身系統(tǒng)安全問題
計(jì)算機(jī)系統(tǒng)的正常運(yùn)行以計(jì)算機(jī)操作系統(tǒng)程序?yàn)橹饕罁?jù),與之相關(guān)的各類程序也必須以此為標(biāo)準(zhǔn)����,操作系統(tǒng)理所當(dāng)然地成為了計(jì)算機(jī)系統(tǒng)中的基本程序。計(jì)算機(jī)操作系統(tǒng)具有較強(qiáng)的拓展性���,開發(fā)商很容易完成計(jì)算機(jī)系統(tǒng)的開發(fā)工作���。但是,在優(yōu)化和升級計(jì)算機(jī)系統(tǒng)的過程中����,相關(guān)操作技術(shù)仍存在較大問題,這是計(jì)算機(jī)技術(shù)快速發(fā)展的難點(diǎn)�,也是黑客入侵計(jì)算機(jī)系統(tǒng)的主要切入點(diǎn)。
1.2計(jì)算機(jī)病毒安全問題
計(jì)算機(jī)一旦受到病毒的入侵���,將會(huì)出現(xiàn)嚴(yán)重的運(yùn)行問題���,如系統(tǒng)癱瘓���、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等。計(jì)算機(jī)病毒具有典型的潛伏性���、傳染性�����、隱蔽性和破環(huán)性�,目前��,計(jì)算機(jī)病毒種類主要有以下四種:第一�,木馬病毒����。該類病毒的主要目的是竊取計(jì)算機(jī)上的數(shù)據(jù)信息,具有典型的誘騙性�;第二,蠕蟲病毒�����。熊貓燒香是該類病毒的典型代表��,以用戶計(jì)算機(jī)上出現(xiàn)的漏洞為切入點(diǎn),綜合使用攻擊計(jì)算機(jī)終端的方式控制計(jì)算機(jī)系統(tǒng)�����,該病毒具有較強(qiáng)的傳播性和變異性����;第三,腳本病毒�����。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置�;第四,間諜病毒���。要想提升某網(wǎng)頁的訪問量,強(qiáng)制要求計(jì)算機(jī)用戶主頁預(yù)期鏈接��。伴隨著科技的發(fā)展����,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大����,各種類型病毒的破壞性也隨之增加�����。
1.3黑客
通過網(wǎng)絡(luò)攻擊計(jì)算機(jī)目前�,我國仍存在著大量非法人員對計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊等行為���,這類人員大都掌握著扎實(shí)的計(jì)算機(jī)和計(jì)算機(jī)安全漏洞技術(shù),對計(jì)算機(jī)用戶終端與網(wǎng)絡(luò)做出強(qiáng)有力的破壞行為是他們的主要目的���。黑客攻擊計(jì)算機(jī)網(wǎng)絡(luò)的主要形式有三種:第一,利用虛假的信息攻擊網(wǎng)絡(luò)����;第二��,利用木馬或者病毒程序?qū)τ?jì)算機(jī)用戶的電腦進(jìn)行控制;第三�����,結(jié)合計(jì)算機(jī)用戶瀏覽網(wǎng)頁的腳本漏洞對其進(jìn)行攻擊。
2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用
2.1防火墻技術(shù)
防護(hù)墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一���。防火墻技術(shù)的應(yīng)用能夠從根本上解決計(jì)算機(jī)病毒安全問題���,在實(shí)際應(yīng)用過程中����,計(jì)算機(jī)網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級防火墻和包過濾防火墻兩種形式��。其中應(yīng)用型防護(hù)墻的主要目的是保護(hù)服務(wù)器的安全��,在掃描終端服務(wù)器的數(shù)據(jù)后�����,如果發(fā)現(xiàn)有意或者不合常理等攻擊行為,系統(tǒng)應(yīng)該及時(shí)切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流����,采用終端病毒傳播的方式保護(hù)企業(yè)網(wǎng)的安全。包過濾防火墻的主要工作任務(wù)是及時(shí)過濾路由器傳輸給計(jì)算機(jī)的數(shù)據(jù)信息�,這種過濾手段可以阻擋病毒信息入侵計(jì)算機(jī)系統(tǒng),并第一時(shí)間內(nèi)通知用戶攔截病毒信息�����,為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障���。下圖1是企業(yè)網(wǎng)防護(hù)墻配置示意圖��。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置
2.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式�。在企業(yè)發(fā)展建設(shè)過程中,要想提高企業(yè)發(fā)展信息的安全性和可靠性��,企業(yè)必須在實(shí)際運(yùn)行的計(jì)算機(jī)網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)��。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進(jìn)行加密處理�,在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關(guān)文件��,這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種���,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異�,通常很難被黑客破解���,這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用���。
2.3病毒查殺技術(shù)
病毒查殺技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一����。病毒對計(jì)算機(jī)安全有極大的威脅���,該技術(shù)要求企業(yè)技術(shù)對計(jì)算機(jī)操作系統(tǒng)進(jìn)行檢測和更新��,減少系統(tǒng)出現(xiàn)漏洞的頻率;杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件���;安裝正版病毒查殺軟件的過程中還應(yīng)該及時(shí)清理病毒數(shù)據(jù)庫�����;控制用戶瀏覽不文明的網(wǎng)頁����;在下載不明郵件或者軟件后立即對不良文件進(jìn)行病毒查殺處理�,確定文件的安全性后才能投入使用����。
2.4入侵檢測技術(shù)
入侵檢測技術(shù)在企業(yè)網(wǎng)安全運(yùn)行中發(fā)揮著至關(guān)重要的作用���,其作用主要表現(xiàn)在以下幾方面:第一����,收集計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù)����;第二�����,找尋計(jì)算機(jī)系統(tǒng)中可能存在的侵害行為��;第三,自動(dòng)發(fā)出病毒侵害報(bào)警信號�;第四���,切斷入侵途徑;第五��,攔截入侵��。入侵檢測技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強(qiáng)的安全性特征����,該技術(shù)的主要任務(wù)是負(fù)責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運(yùn)行狀況��,對網(wǎng)絡(luò)的正常運(yùn)行不會(huì)產(chǎn)生任何影響。入侵檢測技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機(jī)系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主����。基于主機(jī)系統(tǒng)的入侵檢測技術(shù)主要針對企業(yè)網(wǎng)的主機(jī)系統(tǒng)����、歷史審計(jì)數(shù)據(jù)和用戶的系統(tǒng)日志等�,該檢測技術(shù)具有極高的準(zhǔn)確性,但是�,實(shí)際檢測過程中很容易引發(fā)各種問題�,如數(shù)據(jù)失真和檢測漏洞等���;基于網(wǎng)絡(luò)入侵檢測技術(shù)以其自身存在的特點(diǎn)為依據(jù),以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段��,在第一時(shí)間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人��,該技術(shù)具有較強(qiáng)的抗攻擊能力�、能在短時(shí)間內(nèi)做出有效的檢測����,但是���,由于該技術(shù)能對網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進(jìn)行監(jiān)控��,在實(shí)際過程中會(huì)給加密技術(shù)帶來一定程度影響���。入侵檢測技術(shù)在企業(yè)網(wǎng)的應(yīng)用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主��,在實(shí)際檢測過程中����,該檢測方法具有響應(yīng)速度快和誤警率低等特點(diǎn)��,但是��,該檢測技術(shù)需要較長的檢測時(shí)間為支撐,實(shí)際耗費(fèi)的工作量比較大�。異常檢測的主要對象是計(jì)算機(jī)資源中用戶和系統(tǒng)非正常行為和正常行為情況�����,該檢測法誤警率較高,在實(shí)際檢測過程中必須對整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行全盤掃描��,因此�,必須有大量的檢測時(shí)間作支撐����。
3結(jié)束語
第2篇
關(guān)鍵詞信息安全�����;PKI;CA��;VPN
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展�,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加��,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后���,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化����。這都對企業(yè)信息安全提出了更高的要求���。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力�����,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場��,企業(yè)就面臨著如何提高自身核心競爭力的問題��,而其內(nèi)部的管理問題、效率問題����、考核問題、信息傳遞問題�、信息安全問題等����,又時(shí)刻在制約著自己�����,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段����。
在下面的描述中�,以某公司為例進(jìn)行說明�����。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺,通過內(nèi)部網(wǎng)相互連接�����,根據(jù)公司統(tǒng)一規(guī)劃����,通過防火墻與外網(wǎng)互聯(lián)���。在內(nèi)部網(wǎng)絡(luò)中����,各計(jì)算機(jī)在同一網(wǎng)段�����,通過交換機(jī)連接���。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié)���,包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式��。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全�,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目����,基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況����,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全�����,部署了防火墻���、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品���,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件�、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析�,可得出如下結(jié)論:
(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)����,計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)����。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜�����。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)����,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心�����,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證�,加強(qiáng)對數(shù)據(jù)的備份�����,并運(yùn)用技術(shù)手段����,提高數(shù)據(jù)的機(jī)密性���、完整性和可用性����。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展����、安全威脅種類的增加�,某公司的信息安全無論在總體構(gòu)成���、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷���,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng)�����,安全防護(hù)僅限于網(wǎng)絡(luò)安全���,系統(tǒng)����、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的�,主要工作集中于網(wǎng)絡(luò)安全�����,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段����。如缺乏有效的身份認(rèn)證���,對服務(wù)器�、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段��,很容易被冒充��;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范��,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念��,是基于這樣一種信任模型的�����,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下��,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部�����,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的�。
針對外部網(wǎng)絡(luò)安全����,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念�,它基于這樣一種信任模型:所有的用戶都是不可信的��。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅�,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息��,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去�����。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部�����,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞���。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程�����,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范��,也沒有選用有關(guān)的安全服務(wù)��。不能充分發(fā)揮安全產(chǎn)品的效能�。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢��,存在一定的網(wǎng)絡(luò)安全隱患�����,產(chǎn)品亟待升級���。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中����,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性�����,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸����。同時(shí)病毒的防范�����、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能��。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上��,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作�����。只有在建設(shè)的初期,在規(guī)劃的過程中����,就運(yùn)用風(fēng)險(xiǎn)評估����、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)����。
3.2需求分析
如前所述�,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)��,信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)��,也需要做好系統(tǒng)�����、應(yīng)用���、數(shù)據(jù)各方面的安全防護(hù)���。為此,要加強(qiáng)安全防護(hù)的整體布局����,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段��。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加����,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)���,原有的產(chǎn)品進(jìn)行升級或重新部署�。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)�����,使安全防范的各項(xiàng)工作都能夠有序�����、規(guī)范地進(jìn)行�����。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程���,如何利用專業(yè)公司的安全服務(wù)���,做好事前�����、事中和事后的各項(xiàng)防范工作��,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃����、統(tǒng)籌安排����、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行����,避免重復(fù)投入�����、重復(fù)建設(shè),充分考慮整體和局部的利益����。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定����,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化���、規(guī)范化的要求��,為拓展���、升級和集中統(tǒng)一打好基礎(chǔ)�。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程���,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮����,既注重技術(shù)的實(shí)現(xiàn)����,又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)���、系統(tǒng)�、應(yīng)用等方方面面,任何改造�、添加甚至移動(dòng)�,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)���、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)�。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)����,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)��,設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力�,某公司分期����、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)��,配置了相應(yīng)的設(shè)施��。因此����,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃��、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)����,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法��,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能��,而不是排斥或拋棄����。
4.5多重保護(hù)原則
任何安全措施都不是絕對安全的��,都可能被攻破�����。但是建立一個(gè)多重保護(hù)系統(tǒng)���,各層保護(hù)相互補(bǔ)充����,當(dāng)一層保護(hù)被攻破時(shí)�,其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊��,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加���,系統(tǒng)脆弱性也會(huì)不斷增加��。一勞永逸地解決安全問題是不現(xiàn)實(shí)的����。針對安全體系的特性�,尋求安全���、風(fēng)險(xiǎn)��、開銷的平衡���,采取“統(tǒng)一規(guī)劃��、分步實(shí)施”的原則����。即可滿足某公司安全的基本需求���,亦可節(jié)省費(fèi)用開支���。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮���,全面覆蓋信息系統(tǒng)的各層次��,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用���、數(shù)據(jù)做全面的防范�����。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程��,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備����,安全管理應(yīng)貫穿安全防范活動(dòng)的始終����,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的�,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡����,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查����,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容��。通過本次安全項(xiàng)目的實(shí)施����,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺���,都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上�。目前���,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)���,建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺����,能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份�����,要求通信雙方的身份不能被假冒或偽裝���,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密�����,確保信息不被泄露�����,在此體系中利用數(shù)字證書加密來完成���。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?���,通過哈希函數(shù)和數(shù)字簽名來完成���。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé)�����,通過數(shù)字簽名來完成��,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)��,是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比�����,具有降低成本及維護(hù)費(fèi)用�、易于擴(kuò)展�����、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案�。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w��,通過加密、認(rèn)證�����、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道����,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式���,實(shí)現(xiàn)移動(dòng)用戶�����、遠(yuǎn)程LAN的安全連接�����。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)���,可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效�����、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置����。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展����,電子郵件的使用日益廣泛,成為人們交流的重要工具���,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播��。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患�。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的�����。首先�����,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)����,所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證��,而最上一級的組織(根證書)之間相互認(rèn)證���,整個(gè)信任關(guān)系基本是樹狀的����。其次����,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送����。保證了信件內(nèi)容的安全性����。
5.4桌面安全防護(hù)
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部�,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示����,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí)�����,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確�,如針對企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴(yán)重����。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段�����。
桌面安全系統(tǒng)把電子簽章��、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起�����,形成一個(gè)整體��,是針對客戶端安全的整體解決方案�。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)�,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章�,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證�。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)��。用戶如果需要離開計(jì)算機(jī)���,只需拔出智能密碼鑰匙�����,即可鎖定計(jì)算機(jī)�。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中���,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法��,從而保證了存儲數(shù)據(jù)的安全性�����。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程���。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便���、安全的身份認(rèn)證技術(shù)�。它采用軟硬件相結(jié)合�、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾�����。USBKey是一種USB接口的硬件設(shè)備��,它內(nèi)置單片機(jī)或智能卡芯片���,可以存儲用戶的密鑰或數(shù)字證書�,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證�����。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能��,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)��、應(yīng)用安全組件�����、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系�,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制��、安全審計(jì)��、數(shù)據(jù)的機(jī)密性����、完整性�、抗抵賴性的總體要求����。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對�����。安全管理貫穿全流程如圖3所示�。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒��。
圖3
因此在本方案的組織和實(shí)施中���,除了工程的實(shí)施外���,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估�,明確需求所在,務(wù)求有的放矢��,確保技術(shù)方案的針對性和投資的回報(bào)��。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù)����,提高應(yīng)對重大安全事件的能力。
(3)該方案投資大���,覆蓋范圍廣,根據(jù)實(shí)際情況����,可采取分地區(qū)、分階段實(shí)施的方式��。
(4)在方案實(shí)施的同時(shí)�,加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)���,使信息安全的日常工作進(jìn)一步制度化�、規(guī)范化����。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀��,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案�,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn)����,到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固��,到整體網(wǎng)絡(luò)的安全管理����。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)��、易于部署�����,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段����。
也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系�����,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平����。
第3篇
隨著網(wǎng)絡(luò)中傳播的木馬、病毒等開發(fā)�����、設(shè)計(jì)技術(shù)的強(qiáng)化和智能化����,其傳播速度越來越快��,傳播途徑也越來越廣泛�����,并且隱藏周期更長����,更難以被人發(fā)現(xiàn),尤其是在互聯(lián)網(wǎng)時(shí)代����,化工企業(yè)的生產(chǎn)控制��、經(jīng)營辦公等信息數(shù)據(jù)均通過互聯(lián)網(wǎng)連接在一起����,并且非專業(yè)的技術(shù)人員很少定期進(jìn)行查毒和殺毒����,導(dǎo)致網(wǎng)絡(luò)中彌漫著ARP病毒、FTP病毒����、震蕩波病毒、郵件病毒和網(wǎng)頁病毒等����,導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)性能逐漸降低,服務(wù)效率大幅度下降����。
2化工企業(yè)網(wǎng)絡(luò)安全防御措施
2.1應(yīng)用層安全防御措施
在化工企業(yè)網(wǎng)絡(luò)中,應(yīng)用層與網(wǎng)絡(luò)用戶直接接觸����,因此為了保護(hù)應(yīng)用層安全,需要強(qiáng)化第一道安全屏障�����,可以采取的措施包括設(shè)置用戶/組角色,實(shí)行單一角色登陸及認(rèn)證����,為用戶分配固定的安全控制權(quán)限標(biāo)識,限制用戶的訪問權(quán)限����,并且建立動(dòng)態(tài)配置機(jī)制,以便更好地控制網(wǎng)絡(luò)資源�����,避免病毒����、木馬和黑客攻擊核心數(shù)據(jù)資源�����,確保用戶實(shí)現(xiàn)有效控制訪問��。
2.2接入層安全防御措施
接入層可以根據(jù)不同的IP組����,分類控制訪問網(wǎng)絡(luò)資源的模式����,并且能夠強(qiáng)化遠(yuǎn)程接入的防御能力�。由于化工企業(yè)員工眾多,需要根據(jù)其所在的不同部門��,設(shè)置不同的訪問權(quán)限�,僅僅依賴角色控制難以實(shí)現(xiàn)訪問資源的合理管理,因?yàn)榻巧芾硎侨藶榈?,無法更好地從根本上進(jìn)行控制,因此根據(jù)客戶機(jī)的IP地址����、MAC地址、交換機(jī)端口地址劃分VPN��,可以有效地實(shí)現(xiàn)遠(yuǎn)程訪問VPN�、IntranetVPN或ExtranetVPN,共同構(gòu)建良好的VPN模式���,并且在實(shí)現(xiàn)遠(yuǎn)程接入過程中���,可以采用隧道加密協(xié)議�,將VPN根據(jù)不同的訪問權(quán)限和重要程度劃分為PPTPPN�、L2TPPN、IPSecPN和MPLSPN等�����,以便能夠?qū)鬏數(shù)臄?shù)據(jù)進(jìn)行不同層次的加密�,更好保護(hù)化工企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸有效性、安全性�、準(zhǔn)確性。
2.3傳輸層防御措施
目前�����,化工企業(yè)網(wǎng)絡(luò)傳輸層的防御措施也有很多個(gè)�����,比如構(gòu)建入侵檢測���、防火墻和審計(jì)分析體系,因此可以使用殺毒防毒軟件�����、防火墻、虛擬局域網(wǎng)和ACL等具體的措施進(jìn)行實(shí)現(xiàn)��,可以為化工企業(yè)網(wǎng)絡(luò)構(gòu)建一個(gè)完善的網(wǎng)絡(luò)防火墻體系���,確保網(wǎng)絡(luò)用戶的認(rèn)證信息是完整的����,保證網(wǎng)絡(luò)用戶不受到病毒���、木馬侵襲和黑客的攻擊�����。
2.4主動(dòng)防御體系
為了更好地面對網(wǎng)絡(luò)安全面臨的威脅��,化工企業(yè)除了在接入層和傳輸層采用傳統(tǒng)的安全防御措施之外����,同時(shí)構(gòu)建主動(dòng)的安全防御體系�����,采用主動(dòng)安全防御措施,以便能夠確保網(wǎng)絡(luò)的正常使用���。構(gòu)建主動(dòng)安全防御體系時(shí)���,網(wǎng)絡(luò)主動(dòng)預(yù)警技術(shù)主要包括網(wǎng)絡(luò)主動(dòng)預(yù)警、響應(yīng)���、檢測����、保護(hù)�、恢復(fù)和反擊六個(gè)方面,其中核心內(nèi)容是網(wǎng)絡(luò)主動(dòng)預(yù)警技術(shù)和主動(dòng)響應(yīng)技術(shù)�,其也是與傳統(tǒng)的防御技術(shù)具有較大區(qū)別的方面。在網(wǎng)絡(luò)主動(dòng)預(yù)警過程中�,首先可以通過遺傳算法、支持量機(jī)�、BP神經(jīng)網(wǎng)絡(luò)等技術(shù)進(jìn)行入侵檢測,以便能夠有效地確定網(wǎng)絡(luò)中是否存在非法數(shù)據(jù)流等信息����,掃描網(wǎng)絡(luò)操作系統(tǒng)是否存在漏洞��,以便能夠根據(jù)數(shù)據(jù)庫、知識庫中保存的經(jīng)驗(yàn)數(shù)據(jù)��,判斷網(wǎng)絡(luò)信息流中是否存在非法的內(nèi)容及相關(guān)的特征�,及時(shí)主動(dòng)地采取漏洞預(yù)警、攻擊預(yù)警����、行為預(yù)警、情報(bào)采集預(yù)警等技術(shù)���,進(jìn)行網(wǎng)絡(luò)主動(dòng)預(yù)警���。
2.5網(wǎng)絡(luò)主動(dòng)響應(yīng)技術(shù)
網(wǎng)絡(luò)主動(dòng)預(yù)警技術(shù)可以發(fā)現(xiàn)即將或者已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊行為,網(wǎng)絡(luò)主動(dòng)響應(yīng)技術(shù)可以對相關(guān)的攻擊行為進(jìn)行防御���,以便能夠最大化地降低網(wǎng)絡(luò)攻擊行為帶來的影響��。目前����,網(wǎng)絡(luò)主動(dòng)響應(yīng)技術(shù)可以搜集攻擊數(shù)據(jù)�����,對其進(jìn)行實(shí)時(shí)的分析,判斷攻擊源所在的位置����,以便能夠采用網(wǎng)絡(luò)防火墻等阻斷攻擊源,或者可以采用網(wǎng)絡(luò)攻擊誘騙技術(shù)或者僚機(jī)技術(shù)��,將網(wǎng)絡(luò)中已經(jīng)或正在發(fā)生的攻擊行為引誘到一個(gè)無關(guān)緊要的主機(jī)上�����,降低網(wǎng)絡(luò)攻擊造成的危害����。
3結(jié)語
第4篇
1.1主觀因素
(1)從使用網(wǎng)絡(luò)的人來看,網(wǎng)絡(luò)使用者的安全防范意識不盡相同���,有的人非常重視網(wǎng)絡(luò)安全����,有的人甚至不知道什么是網(wǎng)絡(luò)安全���,網(wǎng)絡(luò)安全意識薄弱��。
(2)從黑客的角度來分析��,黑客對于網(wǎng)絡(luò)安全的威脅是目前最大的���。黑客通常是利用技術(shù)將帶有病毒的游戲、網(wǎng)頁�、多媒體等放入軟件終端,電腦使用者不留意就會(huì)點(diǎn)開這些資源�����,黑客就會(huì)監(jiān)控電腦的一切活動(dòng)�,會(huì)偷取計(jì)算機(jī)上的用戶名、賬戶�、密碼等個(gè)人隱私數(shù)據(jù),或者占用系統(tǒng)資源�,嚴(yán)重的情況下會(huì)導(dǎo)致系統(tǒng)崩潰,企業(yè)相關(guān)的資料都會(huì)消失����,損害企業(yè)的經(jīng)濟(jì)、財(cái)產(chǎn)�����,并為網(wǎng)絡(luò)安全帶來威脅��。
1.2客觀因素
石油企業(yè)應(yīng)用網(wǎng)絡(luò)辦公都已經(jīng)形成了企業(yè)獨(dú)立的網(wǎng)絡(luò)系統(tǒng),但還是受到網(wǎng)絡(luò)安全的威脅�,主要是由于影響石油企業(yè)網(wǎng)絡(luò)安全的自然原因主要是操作系統(tǒng)和軟件的漏洞。隨著科技的發(fā)展�,網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用軟件總在不斷地更新,而且其更新比較慢����,這就為黑客的入侵提供了縫隙。
2��、石油企業(yè)網(wǎng)絡(luò)安全的防護(hù)技術(shù)措施
隨著石油企業(yè)網(wǎng)絡(luò)安全問題的頻繁出現(xiàn)�����,網(wǎng)絡(luò)使用者必須重視網(wǎng)絡(luò)安全問題���,必須對網(wǎng)絡(luò)安全采取有效的防護(hù)技術(shù)和措施��,為企業(yè)提供安全的網(wǎng)絡(luò)管理平臺����。
2.1石油企業(yè)建立健全企業(yè)規(guī)章制度
為了確保企業(yè)網(wǎng)絡(luò)安全�����,必須建立完善的安全系統(tǒng),了解網(wǎng)絡(luò)安全的重要性����。對于網(wǎng)絡(luò)安全事故的發(fā)生,應(yīng)采取處罰制度�,并進(jìn)行記錄�����,一旦出現(xiàn)重大網(wǎng)絡(luò)安全事故���,可以做到有證據(jù)可依���。
2.2石油企業(yè)應(yīng)對網(wǎng)絡(luò)數(shù)據(jù)采取加密技術(shù)
石油企業(yè)內(nèi)一些重要的文件必須對其進(jìn)行加密后再放到外部網(wǎng)絡(luò)中,并結(jié)合防火墻技術(shù)��,才能進(jìn)一步提高石油企業(yè)網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部數(shù)據(jù)的保密性和安全性���,防止數(shù)據(jù)被非法人員偷盜�,損害企業(yè)的利益��。
2.3石油企業(yè)應(yīng)加強(qiáng)員工網(wǎng)絡(luò)安全知識的培訓(xùn)
員工作為石油企業(yè)網(wǎng)絡(luò)的使用者�����,梳理員工網(wǎng)絡(luò)安全意識變得尤為重要,只有讓員工認(rèn)識到網(wǎng)絡(luò)安全的危害和意義才能從根本上防止主觀因素網(wǎng)絡(luò)安全問題的發(fā)生�����。石油企業(yè)應(yīng)加強(qiáng)對員工網(wǎng)絡(luò)安全信息的培訓(xùn)工作��,提高員工的網(wǎng)絡(luò)安全意識�����,保證企業(yè)網(wǎng)絡(luò)安全的使用�����。
2.4石油企業(yè)應(yīng)加強(qiáng)系統(tǒng)平臺與漏洞的處理
網(wǎng)絡(luò)管理員可以利用系統(tǒng)漏洞的掃描技術(shù)來提前獲取網(wǎng)絡(luò)應(yīng)用過程中的漏洞��,并通過漏洞處理技術(shù)快速恢復(fù)系統(tǒng)漏洞�����。
3��、關(guān)于石油企業(yè)網(wǎng)絡(luò)安全中其它防護(hù)技術(shù)
在石油企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)方案中,還應(yīng)該應(yīng)用以下幾個(gè)防護(hù)技術(shù):訪問控制技術(shù)����、入侵行為檢測技術(shù)、異常流量分析與處理技術(shù)�、終端安全防護(hù)與管理技術(shù)、身份認(rèn)證與管理技術(shù)�����。
3.1訪問控制技術(shù)
企業(yè)可以根據(jù)企業(yè)本身的安全需求���、安全級別的不同,在網(wǎng)絡(luò)的交界處和內(nèi)部劃分出不同的區(qū)域��,在這些區(qū)域中安裝防火墻設(shè)備進(jìn)行訪問控制�。通過防火墻設(shè)備對數(shù)據(jù)包進(jìn)行過濾、對于有問題的數(shù)據(jù)進(jìn)行分析�����,防止外部未被授權(quán)的用戶入侵企業(yè)網(wǎng)絡(luò)����。單向數(shù)據(jù)輸出的安全區(qū)域,防火墻設(shè)備應(yīng)對外區(qū)域的訪問請求進(jìn)行阻止���;對于需要進(jìn)行雙向數(shù)據(jù)交互的區(qū)域�����,必須按照制源地址�、目的地址、服務(wù)�、協(xié)議、端口內(nèi)容進(jìn)行精確的匹配��,避免網(wǎng)絡(luò)安全問題的出現(xiàn)���。
3.2入侵行為檢測技術(shù)
入侵檢測就是在石油企業(yè)網(wǎng)絡(luò)的關(guān)鍵位置安裝檢測軟件����,對入侵行為進(jìn)行檢測與分析����。入侵檢測技術(shù)可以對整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行檢測,對產(chǎn)生警告的信息進(jìn)行記錄并處理�����。
3.3異常流量分析與處理技術(shù)
為了保障供應(yīng)服務(wù)的穩(wěn)定性,避免拒絕服務(wù)攻擊行為導(dǎo)致業(yè)務(wù)系統(tǒng)可用性的喪失��,需要通過深度包檢測�����。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量有問題時(shí)���,就會(huì)將惡意數(shù)據(jù)刪除�,保留原有的正常數(shù)據(jù)���,這樣就保證了有權(quán)限的用戶進(jìn)行正常訪問�。
3.4終端安全防護(hù)與管理技術(shù)
企業(yè)整體信息安全水平取決于安全防護(hù)最薄弱的環(huán)節(jié)���。在石油企業(yè)中,企業(yè)比較重視網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的保護(hù)�����,忽視了對終端計(jì)算機(jī)的全面防護(hù)與管理措施的保護(hù)�。這些就需要企業(yè)利用安全防護(hù)管理技術(shù)在內(nèi)部終端計(jì)算機(jī)進(jìn)行統(tǒng)一安全防護(hù)和安全管理,保證信息的安全��。
4、結(jié)語
第5篇
關(guān)鍵詞信息安全�;PKI;CA�;VPN
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加�����,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益����,但隨之而來的安全問題也在困擾著用戶,在2003年后��,木馬�、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求����。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力���,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出�����。面對這瞬息萬變的市場��,企業(yè)就面臨著如何提高自身核心競爭力的問題�,而其內(nèi)部的管理問題、效率問題���、考核問題����、信息傳遞問題��、信息安全問題等�,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段�����。
在下面的描述中�����,以某公司為例進(jìn)行說明��。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺�����,通過內(nèi)部網(wǎng)相互連接��,根據(jù)公司統(tǒng)一規(guī)劃���,通過防火墻與外網(wǎng)互聯(lián)�����。在內(nèi)部網(wǎng)絡(luò)中����,各計(jì)算機(jī)在同一網(wǎng)段���,通過交換機(jī)連接�。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累��,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié)�,包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善����,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式��。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全����,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目����,基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全����,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品�����,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性����,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用���。
3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析�����,可得出如下結(jié)論:
(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)���,計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求��。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)�����,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心��,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證��,加強(qiáng)對數(shù)據(jù)的備份��,并運(yùn)用技術(shù)手段���,提高數(shù)據(jù)的機(jī)密性���、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析���,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展�����、安全威脅種類的增加��,某公司的信息安全無論在總體構(gòu)成�、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng)�����,安全防護(hù)僅限于網(wǎng)絡(luò)安全�,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)��。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的�,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段���。如缺乏有效的身份認(rèn)證����,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段��,很容易被冒充�����;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范�,容易造成重要數(shù)據(jù)的丟失和泄露�。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的���,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的�����。在這種信任模型下�����,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部��,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的�。
針對外部網(wǎng)絡(luò)安全��,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的����。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅�����,并且可以各種更加方便的手段對信息安全造成威脅���,比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息�����,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器��,下載重要的信息并盜取出去�����。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況���。
美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞���。
信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程��,某公司缺乏相關(guān)的規(guī)章制度�、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)����。不能充分發(fā)揮安全產(chǎn)品的效能�����。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢�����,存在一定的網(wǎng)絡(luò)安全隱患��,產(chǎn)品亟待升級�����。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中�,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性�����,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸�����。同時(shí)病毒的防范�、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能�。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求��,系統(tǒng)主管部門和運(yùn)營��、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作��。只有在建設(shè)的初期�,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評估���、風(fēng)險(xiǎn)管理的手段����,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)��。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)�,信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)����、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)���。為此��,要加強(qiáng)安全防護(hù)的整體布局�,擴(kuò)大安全防護(hù)的覆蓋面���,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加����,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)�,原有的產(chǎn)品進(jìn)行升級或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求�����,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序����、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程�,如何利用專業(yè)公司的安全服務(wù),做好事前�、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅�����,也是某公司面臨的重要課題�����。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃���、統(tǒng)籌安排�、統(tǒng)一標(biāo)準(zhǔn)�、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入��、重復(fù)建設(shè)�����,充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定����,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求�����,為拓展���、升級和集中統(tǒng)一打好基礎(chǔ)���。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程�,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮�����,既注重技術(shù)的實(shí)現(xiàn)�����,又要加大管理的力度,以形成系統(tǒng)化的解決方案��。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)�����、系統(tǒng)����、應(yīng)用等方方面面,任何改造���、添加甚至移動(dòng)��,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)�、穩(wěn)定運(yùn)行��,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)�����。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題����,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)���,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)���,設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接����。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力�,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)����,配置了相應(yīng)的設(shè)施。因此����,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃��、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)��,對現(xiàn)有安全系統(tǒng)采取了完善���、整合的辦法���,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能�,而不是排斥或拋棄。
4.5多重保護(hù)原則
任何安全措施都不是絕對安全的����,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)�,各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí)�,其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊����,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加��。一勞永逸地解決安全問題是不現(xiàn)實(shí)的���。針對安全體系的特性�,尋求安全�、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃�����、分步實(shí)施”的原則���。即可滿足某公司安全的基本需求���,亦可節(jié)省費(fèi)用開支。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮�����,全面覆蓋信息系統(tǒng)的各層次��,針對網(wǎng)絡(luò)���、系統(tǒng)�����、應(yīng)用���、數(shù)據(jù)做全面的防范����。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程����,事前��、事中和事后的技術(shù)手段應(yīng)當(dāng)完備����,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示�����。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的���,需要在風(fēng)險(xiǎn)�����、安全和投入之間做出平衡��,通過對某公司信息化和信息安全現(xiàn)狀的分析��,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查����,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容��。通過本次安全項(xiàng)目的實(shí)施��,基本建成較完整的信息安全防范體系���。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺��,都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上���。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)��。PKI(PublicKeyInfrastructure����,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證����、信息完整性和抗抵賴等安全問題�,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障���,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)�����。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺�����,能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份�����,要求通信雙方的身份不能被假冒或偽裝�,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密�,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成�����。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?���,通過哈希函數(shù)和數(shù)字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為�����,確保通信方對自己的行為承認(rèn)和負(fù)責(zé)��,通過數(shù)字簽名來完成����,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)�����,是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)��。和傳統(tǒng)的物理方式相比�����,具有降低成本及維護(hù)費(fèi)用�、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng)�,可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案��。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w����,通過加密�、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道�,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式��,實(shí)現(xiàn)移動(dòng)用戶�、遠(yuǎn)程LAN的安全連接�。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控����,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)�����。
集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置���。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一���。隨著網(wǎng)絡(luò)的快速發(fā)展�����,電子郵件的使用日益廣泛�,成為人們交流的重要工具�����,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播��。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)����,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)��,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的��。首先��,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)�����,所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證����,整個(gè)信任關(guān)系基本是樹狀的。其次�,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性���。
5.4桌面安全防護(hù)
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部�,大量的安全威脅來自企業(yè)內(nèi)部����。很早之前安全界就有數(shù)據(jù)顯示���,近80%的網(wǎng)絡(luò)安全事件����,是來自于企業(yè)內(nèi)部����。同時(shí),由于是內(nèi)部人員所為����,這樣的安全犯罪往往目的明確�����,如針對企業(yè)機(jī)密和專利信息的竊取���、財(cái)務(wù)欺騙等,因此�,對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段�。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起�,形成一個(gè)整體,是針對客戶端安全的整體解決方案�����。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性���。采用組件技術(shù)�����,可以無縫嵌入OFFICE系統(tǒng)�,用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者�。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后��,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)�。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙�����,即可鎖定計(jì)算機(jī)����。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中��,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法��,從而保證了存儲數(shù)據(jù)的安全性���。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?��;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便�����、安全的身份認(rèn)證技術(shù)�����。它采用軟硬件相結(jié)合�����、一次一密的強(qiáng)雙因子認(rèn)證模式�,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備�����,它內(nèi)置單片機(jī)或智能卡芯片��,可以存儲用戶的密鑰或數(shù)字證書�����,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證��。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)�����、應(yīng)用安全組件�、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證�����、授權(quán)與訪問控制����、安全審計(jì)、數(shù)據(jù)的機(jī)密性��、完整性���、抗抵賴性的總體要求����。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范����、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示����。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒��。
圖3
因此在本方案的組織和實(shí)施中�����,除了工程的實(shí)施外���,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上���,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在�,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)����。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù)�����,提高應(yīng)對重大安全事件的能力。
(3)該方案投資大��,覆蓋范圍廣�,根據(jù)實(shí)際情況,可采取分地區(qū)�、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí)�����,加強(qiáng)規(guī)章制度�、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化���、規(guī)范化��。
7結(jié)論
本文以某公司為例�,分析了網(wǎng)絡(luò)安全現(xiàn)狀�,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案����,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn)���,到規(guī)章制度的完善�����;從單機(jī)系統(tǒng)的安全加固��,到整體網(wǎng)絡(luò)的安全管理����。本方案從技術(shù)手段上��、從可操作性上都易于實(shí)現(xiàn)��、易于部署���,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段�。
也希望通過本方案的實(shí)施����,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅�,把風(fēng)險(xiǎn)降到最低水平。
第6篇
1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
1.1網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析
電力企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連�?���;诰W(wǎng)絡(luò)系統(tǒng)的范圍大���、函蓋面廣�����,內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅����,入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)����。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有信息,假如內(nèi)部網(wǎng)絡(luò)的一臺電腦安全受損(被攻擊或者被病毒感染)��,就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)�。
1.2操作系統(tǒng)的安全風(fēng)險(xiǎn)分析
所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo)��,一般很少考慮其安全性���,因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置����。從安全角度考慮,其表現(xiàn)為裝了很多用不著的服務(wù)模塊����,開放了很多不必開放的端口��,其中可能隱含了安全風(fēng)險(xiǎn)�����。
1.3應(yīng)用的安全風(fēng)險(xiǎn)分析
應(yīng)用系統(tǒng)的安全涉及很多方面���。應(yīng)用系統(tǒng)是動(dòng)態(tài)的�、不斷變化的����。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對不同的應(yīng)用�����,檢測安全漏洞,采取相應(yīng)的安全措施�����,降低應(yīng)用的安全風(fēng)險(xiǎn)����。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險(xiǎn)����、病毒侵害的安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等��。
1.4管理的安全分析
管理方面的安全隱患包括:內(nèi)部管理人員或員工圖方便省事�,不設(shè)置用戶口令,或者設(shè)置的口令過短和過于簡單�,導(dǎo)致很容易破解。責(zé)任不清���,使用相同的用戶名�、口令��,導(dǎo)致權(quán)限管理混亂����,信息泄密�����。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)����、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)�����。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)�。
2網(wǎng)絡(luò)信息與網(wǎng)絡(luò)安全的防護(hù)對策
盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅��,但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全��。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題����,同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素���,制定合理的目標(biāo)����、技術(shù)方案和相關(guān)的配套法規(guī)等。以下分別就這兩個(gè)方面進(jìn)行論述��。
2.1管理維護(hù)措施
1)應(yīng)建立健全計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度體系�����,定期對管理制度進(jìn)行檢查和審定�����,對存在不足或需要改進(jìn)的管理制度及時(shí)進(jìn)行修訂�。2)使用人員應(yīng)該了解國家有關(guān)法規(guī)、方針���、政策�、標(biāo)準(zhǔn)和規(guī)范�����,并主動(dòng)貫徹與執(zhí)行��;掌握終端的基本使用常識��,了解國家電網(wǎng)公司、省公司及分公司有關(guān)管理制度�����,并嚴(yán)格遵守�����。3)堅(jiān)持“分區(qū)����、分級、分域”的總體防護(hù)策略��,執(zhí)行網(wǎng)絡(luò)安全等級保護(hù)制度��。將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)���,內(nèi)、外網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施�����。4)內(nèi)外網(wǎng)分離��,外網(wǎng)由信息職能管理部門統(tǒng)一出口接入互聯(lián)網(wǎng),其他部門和個(gè)人不得以其它方式私自接入互聯(lián)網(wǎng)�����,業(yè)務(wù)管理部門如有任何涉及網(wǎng)絡(luò)互聯(lián)的需求�����,應(yīng)向信息職能管理部門提出網(wǎng)絡(luò)互聯(lián)的書面申請����,并提交相關(guān)資料,按規(guī)定流程進(jìn)行審批����,嚴(yán)禁擅自對外聯(lián)網(wǎng),如果互聯(lián)網(wǎng)使用人員發(fā)生人動(dòng)�,原來申請的互聯(lián)網(wǎng)賬戶必須注銷。5)必須實(shí)行實(shí)名制���,實(shí)行“誰使用��,誰負(fù)責(zé)”�����,通過建立電力企業(yè)網(wǎng)絡(luò)中確定用戶的身份標(biāo)識���,將網(wǎng)絡(luò)用戶與自然人建立起一一對應(yīng)的關(guān)系��。6)加強(qiáng)網(wǎng)絡(luò)監(jiān)管人員的信息安全意識�����,特別是要消除那些影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素����。計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)�����,必須進(jìn)行加強(qiáng)��。7)有關(guān)部門監(jiān)管的力度落實(shí)相關(guān)責(zé)任制���,對計(jì)算機(jī)網(wǎng)絡(luò)和信息安全應(yīng)用與管理工作實(shí)行“誰主管、誰負(fù)責(zé)���、預(yù)防為主�、綜合治理、人員防范與技術(shù)防范相結(jié)合”的原則�,逐級建立安全保護(hù)責(zé)任制,加強(qiáng)制度建設(shè)�����,逐步實(shí)現(xiàn)管理的科學(xué)化����、規(guī)范化。8)辦公人員每天直接面對計(jì)算機(jī)的時(shí)間是最長的,如果辦公人員本身的計(jì)算機(jī)操作水平很高,就會(huì)有效地減少一些不必要的維護(hù)工作�����。因此,建議計(jì)算機(jī)管理員在每次維護(hù)的過程中,可以適當(dāng)?shù)匕压收袭a(chǎn)生的原因和維護(hù)辦法以及注意事項(xiàng)向辦公人員做以講解���。隨著維護(hù)工作不斷地進(jìn)行,時(shí)間長了,再遇到類似的故障辦公人員便可輕松獨(dú)立處理,而不只是束手無策�。這樣,既能提高工作效率,又能降低故障,還能避免重復(fù)維護(hù)��。
2.2技術(shù)維護(hù)措施
1)操作系統(tǒng)因?yàn)樽陨淼膹?fù)雜性和對網(wǎng)絡(luò)需求的適應(yīng)性���,需要及時(shí)進(jìn)行升級和更新�����,因此要及時(shí)升級并打上最新的系統(tǒng)補(bǔ)丁�����,嚴(yán)防網(wǎng)絡(luò)惡意工具和黑客利用漏洞進(jìn)行入侵�����。2)按要求安裝防病毒軟件����、補(bǔ)丁分發(fā)系統(tǒng)、移動(dòng)存儲介質(zhì)管理系統(tǒng)等安全管理軟件���,進(jìn)行安全加固�����,未經(jīng)許可����,不得擅自卸載��。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒����,保障信息系統(tǒng)的安全。及時(shí)升級防病毒軟件��,加強(qiáng)全員防病毒���、木馬的意識��,不打開�、閱讀來歷不明的郵件��;要指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并做好記錄���,定期開展分析�;加強(qiáng)防惡意代碼軟件授權(quán)使用�����、惡意代碼庫升級等管理�����。在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全面的防病毒策略,在計(jì)算機(jī)病毒預(yù)防����、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度����,有效地防止和抑制病毒的侵害。3)防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)�����,它通過單一集中的安全檢查點(diǎn)��,強(qiáng)制實(shí)施相應(yīng)的安全策略進(jìn)行檢查��,防止對重要信息資源進(jìn)行非法存取和訪問�����。電力系統(tǒng)的生產(chǎn)���、計(jì)量�、營銷�、調(diào)度管理等系統(tǒng)之間���,信息的共享、整合與調(diào)用�����,都需要在不同網(wǎng)段之間對這些訪問行為進(jìn)行過濾和控制����,阻斷攻擊破壞行為��,分權(quán)限合理享用信息資源�����。采用防火墻或入侵防護(hù)設(shè)備(IPS)對內(nèi)網(wǎng)邊界實(shí)施訪問審查和控制����,對進(jìn)出網(wǎng)絡(luò)信息內(nèi)容實(shí)施過濾,對應(yīng)用層常用協(xié)議命令進(jìn)行控制��,網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)�����。嚴(yán)格撥號訪問控制措施。4)對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識和鑒別���,具有登錄失敗處理���,限制非法登錄次數(shù),設(shè)置連接超時(shí)功能��;用戶訪問不得采用空賬號和空口令���,口令要足夠強(qiáng)健���,長度不得少于8位,并定期更換���,計(jì)算機(jī)帳號和口令要嚴(yán)格保密����,用戶短時(shí)離開要啟動(dòng)帶口令的計(jì)算機(jī)屏幕保護(hù)程序或鎖定計(jì)算機(jī)�����,長時(shí)間不使用計(jì)算機(jī)�,必須將計(jì)算機(jī)關(guān)機(jī)���,以防他人非法使用。5)要執(zhí)行備份管理制度�,對重要數(shù)據(jù)進(jìn)行備份。加強(qiáng)對數(shù)據(jù)和介質(zhì)的管理�,規(guī)范數(shù)據(jù)的備份、恢復(fù)以及廢棄介質(zhì)���、數(shù)據(jù)的處理措施。6)對于辦公計(jì)算機(jī)而言,每天都要在辦公區(qū)高頻地收發(fā)處理文件����,特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下,破壞力極強(qiáng)�����?�?赏ㄟ^批處理程序在開機(jī)時(shí)把驅(qū)動(dòng)加進(jìn)去,然后關(guān)機(jī)時(shí)恢復(fù)原來設(shè)置���;或通過組策略設(shè)置不自動(dòng)打開U盤��,然后啟用殺毒軟件掃描���。
第7篇
1.1企業(yè)信息安全管理的隱患
信息安全管理涉及油田生產(chǎn)��、數(shù)據(jù)保存����、辦公區(qū)域保護(hù)等多個(gè)層面�,在信息化時(shí)代,油田企業(yè)需要加強(qiáng)信息化網(wǎng)絡(luò)安全管理?�,F(xiàn)階段��,油田企業(yè)信息安全管理的漏洞包括:①信息安全管理制度不健全���,缺乏細(xì)化��、具體化的網(wǎng)絡(luò)安全措施���,針對員工不合理使用信息設(shè)備、網(wǎng)絡(luò)的懲罰機(jī)制不健全����。②部分管理人員和員工信息素養(yǎng)較低,如他們不能全面掌握部分軟件的功能���,不重視企業(yè)網(wǎng)絡(luò)使用規(guī)范����,且存在隨意訪問網(wǎng)站,隨意下載文件的現(xiàn)象�,增加企業(yè)網(wǎng)絡(luò)負(fù)擔(dān),影響網(wǎng)絡(luò)安全����。③信息系統(tǒng)管理員缺乏嚴(yán)格的管理理念。石油企業(yè)信息網(wǎng)絡(luò)系統(tǒng)都設(shè)有管理員崗位��,負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)軟硬件的配備與管理���,但現(xiàn)階段,該職位員工缺乏嚴(yán)格的管理理念�,不能及時(shí)發(fā)現(xiàn)和解決信息安全隱患。④為方便員工使用移動(dòng)終端設(shè)備辦公上網(wǎng)�����,石油企業(yè)辦公區(qū)域也設(shè)置了無線路由器���。但是���,員工自身的手機(jī)等設(shè)備存在很多不安全因素�����,會(huì)影響企業(yè)網(wǎng)絡(luò)安全性���。
1.2病毒入侵與軟件漏洞
網(wǎng)絡(luò)病毒入侵通常是通過訪問網(wǎng)站、下載文件和使用等途徑傳播�����,員工如果訪問不法鏈接或下載來源不明的文件��,可能會(huì)導(dǎo)致病毒入侵��,危害信息安全����。病毒入侵的原因主要有兩方面,一方面�,員工的不良行為帶來病毒;另一方面���,系統(tǒng)自身的漏洞導(dǎo)致病毒入侵����。由此看來,油田企業(yè)信息化軟件自身存在的漏洞也具有安全隱患�����。其中�,主要包括基礎(chǔ)軟件操作系統(tǒng),也包括基于操作系統(tǒng)運(yùn)行的應(yīng)用軟件�����,如Office辦公軟件�、CAD制圖軟件、社交軟件�����、油田監(jiān)控信息系統(tǒng)���、油田企業(yè)內(nèi)部郵箱、財(cái)務(wù)管理軟件���、人事管理軟件等�����。
1.3網(wǎng)絡(luò)設(shè)備的安全隱患
現(xiàn)階段��,油田企業(yè)網(wǎng)絡(luò)設(shè)備也存在不安全因素��,主要表現(xiàn)在兩方面:第一�����,油田企業(yè)無論是辦公區(qū)還是作業(yè)區(qū)����,環(huán)境都較為惡劣,部分重要企業(yè)信息網(wǎng)絡(luò)設(shè)備放置環(huán)境的溫度��、濕度不合理��,嚴(yán)重影響硬件的使用壽命和性能���,存在信息數(shù)據(jù)丟失的危險(xiǎn)���;第二,企業(yè)內(nèi)部網(wǎng)絡(luò)的一些關(guān)鍵環(huán)節(jié)尚未引入備份機(jī)制,如服務(wù)器硬盤�,若單個(gè)硬盤損壞缺乏備份機(jī)制,會(huì)導(dǎo)致數(shù)據(jù)永久性丟失�。
2提高油田企業(yè)網(wǎng)絡(luò)安全策略
2.1加強(qiáng)信息安全管理
基于現(xiàn)階段油田企業(yè)信息網(wǎng)絡(luò)安全管理現(xiàn)狀,首先����,油田企業(yè)要重新制定管理機(jī)制,對各個(gè)安全隱患進(jìn)行具體化�����、細(xì)化規(guī)范��,包括員工對信息應(yīng)用的日常操作規(guī)范�,禁止訪問不明網(wǎng)站和打開不明鏈接。其次��,油田企業(yè)要強(qiáng)化執(zhí)行力�,摒除企業(yè)管理弊端,對違規(guī)操作的個(gè)人進(jìn)行嚴(yán)厲處罰����,使員工意識到信息安全的重要性�����,提高其防范意識和能力。再次����,油田企業(yè)要招聘能力強(qiáng)、素質(zhì)高的信息系統(tǒng)管理員��,使其能及時(shí)發(fā)現(xiàn)和整改系統(tǒng)安全隱患�。最后,對員工使用智能終端上網(wǎng)的現(xiàn)象���,則建議辦公區(qū)配備無線路由器的寬帶與企業(yè)信息網(wǎng)絡(luò)要完全隔離�����,以避免對其產(chǎn)生負(fù)面影響����。
2.2加強(qiáng)對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術(shù)?����,F(xiàn)階段��,油田企業(yè)的網(wǎng)絡(luò)建設(shè)雖然引入防火墻設(shè)備,但沒有合理利用����。因此,油田企業(yè)要全面監(jiān)管和控制外部數(shù)據(jù)����,防止不法攻擊,防止病毒入侵�。同時(shí),定期更新防火墻安全策略�。(2)對企業(yè)數(shù)據(jù)進(jìn)行有效加密與備份。對油田企業(yè)來說�,大部分?jǐn)?shù)據(jù)具有保密性,不可對外泄密�。因此,企業(yè)不僅要做好內(nèi)部權(quán)限管理�����,還應(yīng)要求掌握關(guān)鍵數(shù)據(jù)的員工對數(shù)據(jù)做好加密和備份工作�。在傳輸和保存中利用加密工具進(jìn)行加密,數(shù)據(jù)的保存則需要通過物理硬盤等工具進(jìn)行備份�。有條件的企業(yè),可在不同地區(qū)進(jìn)行備份�,以防止不可抗拒外力作用下的數(shù)據(jù)丟失�����。(3)合理使用殺毒軟件。企業(yè)要對內(nèi)部計(jì)算機(jī)和移動(dòng)終端安裝殺毒軟件����,并高效運(yùn)行,以加強(qiáng)對病毒的防范����。
2.3提升網(wǎng)絡(luò)設(shè)備安全
(1)由于油田企業(yè)內(nèi)部信息網(wǎng)絡(luò)規(guī)模較大,設(shè)備較多且部署復(fù)雜����。因此,要及時(shí)解決硬件面臨的問題��,定期檢查維修�,提高硬件設(shè)備安全性。定期檢修能準(zhǔn)確掌握網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況���,并能及時(shí)發(fā)現(xiàn)潛在隱患�。(2)對處于惡劣環(huán)境中的網(wǎng)絡(luò)設(shè)備�,包括防火墻��、服務(wù)器����、交換機(jī)���、路由器等�����,盡量為其提供獨(dú)立封閉的空間����,以確保溫濕度合理�。
3結(jié)語
