基于某企业的网络安全策略篇1
关键词:网络信息安全;计算机;apt;安全防御;恶意威胁
中图分类号:tn711?34文献标识码:a文章编号:1004?373X(2015)21?0100?05
threattonetworkinformationsecurityandstudyonnewdefense
technologiesinpowergridenterprises
LonGZhenyue1,2,QianYang1,2,ZoUHong1,2,CHenRuizhong1,2
(1.KeyLaboratoryofinformationtesting,ChinaSouthernpowerGridCo.,Ltd.,Guangzhou510000,China;
2.informationCenter,GuangdongpowerGridCo.,Ltd.,Guangzhou510000,China)
abstract:withthecontinuousdevelopmentofmanagementinformationizationofthepowergridenterprises,automaticpowergridoperationandintelligentelectricalequipment,theinformationsecurityhasbecomemoreimportant.Fortheserioussituationofnetworkinformationsecurity,thenew?typedefensetechnologiesarestudied,whichareconsistedofadvancedpersistentthreat(apt)protectiontechnologyandvulnerabilityscanningtechnology.Combiningwiththeadvantagesanddisadvantagesofthesetechnologies,thestrategyofdefenseeffectivenessanalysisbasedontheminimumattackcostisproposed,whichcancomputethedefensecapabilityofthenetwork.
Keywords:networkinformationsecurity;computer;apt;safetydefense;maliciousthreat
0引言
随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。
目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
1概述
从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。
通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。
本文主要针对第三点展开论述,研究包括高级持续威胁(apt)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。
2信息安全的攻防新技术
电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。
经过分析,目前针对电网企业的新型攻防技术有如下几类:
2.1高级持续威胁攻击与防护技术
高级持续威胁(apt)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的apt攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。
根据apt攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。
2.1.1基于沙箱的恶意代码检测技术
恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。
2.1.2基于异常的流量检测技术
传统的入侵检测系统iDS都是基于特征(签名)的深度包检测(Dpi)分析,部分会采用到简单深度流检测(DFi)技术。面对新型威胁,基于DFi技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。
2.1.3全包捕获与分析技术
由于apt攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(Fpi),借助海量存储空间和大数据分析(BDa)方法,Fpi能够抓取网络定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。
2.2漏洞扫描技术
漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。
2.2.1基于网络的安全漏洞扫描技术
基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知openSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。
2.2.2基于主机的安全漏洞扫描技术
基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。
基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。
3基于最小攻击代价的网络防御有效性分析策略
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。
在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。
最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。
攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。
攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。
4网络防御有效性分析应用
假设在电网企业复杂网络环境场景下存在一类新型的apt攻击,网络中使用两种策略a,B进行攻击防御。策略a采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了apt防御技术。计算两类策略下的最小攻击代价,并进而对apt防护效果进行分析。
4.1策略选取
4.1.1策略a
图1为一个简化的复杂网络环境实例拓扑,其中DmZ区部署的web服务器为内、外网用户提供web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:
(1)只允许地市局局域网用户访问DmZ区Host2(H2)上的iiSweb服务和Host3(H3)上的tomcat服务;
(2)DmZ区的H2允许访问H3上的tomcat服务和iDC区Host4(H4)上的oracleDB服务;
(3)禁止H2和H3访问Domino服务器Host5(H5);
(4)H5允许访问DmZ的H2和H3及iDC区的H4。
4.2效果分析
通过上述计算结果表明,在应用策略a与B情况下,局域网用户到DmZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93,0.93,0.979)。在策略a的情况下,通过DmZ区的H2为跳板,攻击iDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DmZ或iDC服务器的系统权限,从而造成较大的危害。而增加apt防护设备之后,通过DmZ区的H2为跳板,攻击iDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。
策略a与策略B的对比结果表明,在DmZ区域有apt防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。
5结语
在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。
参考文献
[1]高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.
[2]彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.
[3]范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.
[4]吴迪,冯登国,连一峰,等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报,2012,23(7):1880?1898.
基于某企业的网络安全策略篇2
企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的,是一个综合管理系统。从安全形势来看,企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享,但同时在安全方面又是脆弱和复杂的,对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面:信息泄露:信息被泄露或透露给某个非授权的实体;破坏信息的完整性:数据未经非授权被增删、修改或破坏而受到损失;拒绝服务:对信息或其他资源的合法访问被无条件地阻止;非授权访问:某一资源被某个非授权的人,或以非授权的方式使用;窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息;业务流分析:通过对系统进行长期监听,利用统计分析方法对某些参数进行研究,从中发现有价值的信息和规律;假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击;旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利;授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”;特洛伊木马:软件中含有一个觉察不出的有害的程序段,当其被执行时,会破坏用户的安全;陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略;抵赖:这是一种来自用户的攻击,如否认自己曾经过的某条消息、伪造一份对方来信等;重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送;计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人;媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得;物理侵入:侵入者绕过物理控制而获得对系统的访问;窃取:重要的安全物品,如令牌或身份卡被盗;业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。
2企业办公中的信息安全策略
2.1保护网络安全
网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略;制订网络安全的管理措施;使用防火墙;尽可能记录网络上的一切活动;注意对网络设备的物理保护;检验网络平台系统的脆弱性;建立可靠的鉴别机制。
2.2保护应用安全
保护应用安全,主要是针对特定应用(如web服务器、数据库服务器、ftp服务器等)所建立的安全防护措施,这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如web浏览器和web服务器在应用层上对网络支付结算信息包的加密,都通过ip层加密,但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、web安全性、eDi和网络支付等应用的安全性。
2.3保护系统安全
保护系统安全,是指从整体信息系统的角度进行安全防护,与网络系统硬件平台、操作系统、各种应用软件等互相关联,其安全策略包含下述一些措施:①在安装的软件中,检查和确认未知的安全漏洞;②技术与管理相结合,使系统具有最小穿透风险性。③建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4加强员工的信息安全培训
基于某企业的网络安全策略篇3
摘要:随着网络技术、信息技术的发展,越来越多的人正在关注防火墙技术,在考虑传统防火墙技术缺陷的基础上,提出了分布式防火墙技术。本文主要探讨分布式防火墙技术的原理、结构和应用。关键字:分布式防火墙安全管理abstract:withthedevelopmentofnetworktechnologyandit,moreandmorepeoplepayattentiontothefirewalltechnology,andbroughtthedistributedfirewalltechnologyonthebasisofdefectaboutthetraditionfirewalltechnology.thepapermainlydiscussedtheprinciplestructureandapplicationofdistributedfirewalltechnology.keywords:distributedfirewallsecuritymanagement一、分布式防火墙概述1.传统防火墙的缺陷(1)结构性限制:边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。(2)内部安全:边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。(3)效率和故障:边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。2.分布式防火墙的优点(1)增强的系统安全性增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器pc上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了ip安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用ip安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。(2)提高了系统性能消除了结构性瓶颈问题,提高了系统性能。传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。(3)系统的扩展性分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住,克服了传统防火墙因网络规模增大而不堪重负的弊端。二、分布式防火墙的体系结构1.网络防火墙它是用于内部网与外部网之间,以及内部网各子网之间的防护产品。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络间的安全防护体系就显得更加安全可靠。2.主机防火墙主机防火墙驻留在主机中,负责策略的实施。它对网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外(如托管服务器或移动办公的便携机)。(1)主机驻留。主机防火墙驻留在被保护的主机上。该主机以外的网络(内部网或外部网)都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。从而使安全策略从网络与网络之间推广延伸到每个网络末端。(2)嵌入操作系统内核。由于操作系统自身存在许多安全漏洞。运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统,以杜绝隐患。(3)类似于个人防火墙。分布式针对桌而应用的主机防火墙与个人防火墙有相似之处,如它们都对应个人系统,但其差别又是本质性的。首先,管理方式不同,个人防火墙的安全策略由系统使用者自己设置,别人不能干涉,其目的是防外部攻击,主机防火墙的安全策略必须由管理员统一安排和设置,除了对该桌面机起到保护作用外,还可以对该桌面机的对外访问加以控制。其次,个人防火墙面向个人用户,主机防火墙则面向企业级客户。3.中心管理中心管理服务器负责安全策略的制定!管理!分发及日志的汇总,中心策略是分布式防火墙系统的核心和重要特征之一。一个良好的分布式防火墙系统策略管理模型,对于分布式防火墙系统而言是至关重要的。对于分布式防火端系统,由于在结构上不再依赖拓扑结构,因此系统的规模伸缩性很大。这就决定了分布式防火墙系统策略管理模型必须适应这一需求,所构造的系统必须具有良好的伸缩性。
三、分布式防火墙的应用1.分布式防火墙的主要功能分布式防火墙大都采用软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面:(1)internet访问控制。依据工作站名称、设备指纹等属性,使用“internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的internetweb服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。(2)应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/internet的应用服务请求,如sql数据库访问、ipx协议访问等。(3)网络状态监控。实时动态报告当前网络中所有的用户登陆、internet访问、内网访问、网络入侵事件等信息。(4)黑客攻击的防御。抵御包括smurf拒绝服务攻击、arp欺骗式攻击、ping攻击、trojan木马攻击等在内的近百种来自网络内部以及来自internet的黑客攻击手段。(5)日志管理。对工作站协议规则日志、用户登陆事件日志、用户internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。(6)系统工具。包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。2.分布式防火墙构建网络安全解决方案的具体应用一个典型的分布式防火墙系统一般由三部分组成:网络防火墙(networkfirewall),主机防火墙(hostfirewall)和中心策略服务器(centralpolicymanagement)。已的网络拓扑结构如图1所示。
在这里我们具体介绍分布式防火墙在托管服务中的应用。互联网和电子商务的发展促使互联网数据中心的迅速崛起,数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言,该服务器在逻辑上是企业网的一部分,不过在物理上并不在企业网内部。对于这种应用分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件,并根据该服务器的应用设置安全策略,利用中心管理软件对该服务器进行远程监控即可。具体体系结构如下图:
图中的公司a、b、c都是托管用户,这些用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。如果托管用户希望把这些服务器的安全问题委托给数据中心专业的安全服务部门来负责,就可以与数据中心签定相应的安全服务保障合同。数据中心的安全服务部门在需提供安全服务的服务器上安装一套cyberwallplus-sv主机防火墙产品,并根据用户具体应用要求,设定的相应策略。对于安装了cyberwallplus-cm中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。参考文献:[1]肖昌吉,周忠丽,邓文红.分布式防火墙原理及其技术研究中国民航飞行学院学报,2005[2]王伟,曹元大.分布式防火墙关键技术研究[j].大连理工大学学报,2003[3]王江峰,牟永敏,李美贵.基于的桥式防火墙的研究[j].北京机械工业学院学报,2006
基于某企业的网络安全策略篇4
(河北省承德市双滦区人力资源和社会保障局,承德067101)
(ShuangluanDistrictHumanResourcesandSocialSecurityBureauofChengde,Hebeiprovince,Chengde067101,China)
摘要:随着计算技术的发展,网络技术的普遍应用,保护商业机密、个人隐私、敏感数据等越显重要。尤其是中小企事业单位由于资金有限,资源不多,各种信息数据时时受到内部的以及外部的威胁。数据信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。本文将对中小企事业单位的数据信息安全问题进行分析,提出相应的安全策略和技术防范措施。
abstract:withthedevelopmentofcomputingtechnologyandwidespreadapplicationofnetworktechnology,theprotectionofcommercialsecrets,personalprivacyandsensitivedataandsoonbecomesmoreimportant.especiallyforsmallandmedium-sizedenterprises,duetothelimitedfundingandresources,theinformationdataisconstantlythreatenedbyinternalandexternalfactors.theessenceofthedatainformationsecurityistoprotectinformationsystemsorinformationinthenetworkinformationresourcesfromvarioustypesofthreats,interferenceanddamage,namelyguaranteeinformationsecurity.thisarticleanalyzesthedatainformationsecurityproblemsofsmallandmedium-sizedenterprisesandinstitutions,andputsforwardthecorrespondingsecuritystrategyandtechnicalmeasures.
关键词:数据信息;安全策略;企事业单位
Keywords:datainformation;securitypolicy;enterprisesandinstitutions
中图分类号:tp311.5文献标识码:a文章编号:1006-4311(2015)25-0055-02
作者简介:李晓宾(1979-),男,河北承德人,科员,助理工程师,研究方向为电子信息。
0引言
internet为人类社会创造了一个全新的信息空间,随着计算机网络技术的日益成熟,计算机网络在社会上的应用也急剧增多,中小企事业单位越来越多的采用计算机网络技术来进行办公。但是在此过程中,由于中小企事业单位对网络安全问题不够重视以及工作人员的操作不规范等问题,使中小企事业单位的网络安全受到极大的威胁。随着数字化经济的到来,网络系统的不断扩大,信息的快速获取,数据的安全性、可用性变得越来越重要。
1计算机网络数据安全问题概述
随着网络技术的迅猛发展,各行各业逐步跨入信息时代大平台,这一方面为信息储存、行业推广提供了极大便利,而另一方面也催化了网络信息安全隐患的不断滋长,频频爆出网络用户信息泄漏事件。目前网络已成为中小企事业单位重要的工作手段之一,网络信息泄密使企业面临严重的安全威胁,并且已经有企业为此承担了巨大的经济损失。加强网络信息安全管理已刻不容缓。
2企事业单位计算机数据安全面临的威胁
①中小企事业单位由于网络管理上的缺失,没有形成统一的网络安全管理制度或者责任分工不明确,不能及时发现计算机网络系统中出现的安全漏洞,造成数据损毁丢失或被黑客篡改。
②U盘、移动硬盘等外来数据与中小企事业单位内部的计算机端口进行非法的连接,造成网络系统感染病毒或者直接瘫痪,对中小企事业单位的内部信息安全够成威胁。
③中小企事业单位对计算机网络终端缺乏有效的监控,当计算机系统出现安全威胁时,无法通过监控系统及时锁定故障点,也无法统一管理计算机网络所配置的应用软件。
④由于单位员工的计算机网络技术水平存在较大差异,大部分员工不能熟练掌握计算机网络的应用技术,经常出现由于工作人员的操作不当,造成数据的删除或者损坏。因没有设置或及时更改计算机网络的使用权限,增加了网络入侵的危险。
3计算机网络数据信息安全策略与技术防范措施
基于上述安全隐患,而计算机网络在中小企事业单位中的应用又势在必行的现实趋势,中小企事业单位应该针对计算机网络信息制定配套的安全管理策略,切实加强信息安全管理,并且针对安全威胁采取相应的技术防范措施,见表1。
RaiD0追求速度,至少需要2块硬盘,总容量相当于多块硬盘加起来,不过这种方案安全性欠缺,一块硬盘出现问题,数据全毁。RaiD1追求安全,磁盘2是磁盘1的备份,缺点是容量损失,速度与单块硬盘相同。RaiD0+1或RaiD1+0兼顾速度与安全,应用较多。RaiD5相对来说速度较快,安全性较高,应用也比较普遍。
4典型案例分析
2010年,张建在杭州某电商企业中负责品牌运营和推广工作。在工作中结识了前支付宝员工李明,双方产生了“生意”上的来往。在一次合作中,李明用3万条目标消费者信息来抵付欠张建的500元人民币酬劳。这3万条目标消费者信息中包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,张建通过这些定位精准的用户信息进一步筛选出精准的目标消费群体。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。李明下载用户信息后,伙同两位系统外的it业者,共同将用户数据加以分析、提炼,并兜售给目标客户。
此案暴露了支付宝公司信息安全管理上的漏洞,如果内部监管得力,及时发现问题,就可制止犯罪行为。如果权限设置得当,他没有相应的权限,就接触不到或者不会轻易得到如此多的隐私数据,就不会发生这类事件了。
5数据信息安全的目标及要达到的效果
信息安全通常强调Cia三元组的目标,即保密性、完整性和可用性。Cia的概念阐述源自信息技术安全评估标准(itSeC,即informationtechnologySecurityevaluationCriteria),它也是信息安全的基本要素和安全建设所应遵循的基本原则。
中小企事业单位的目标是在有限的投入中,获得尽可能最大的安全性。防火墙是必须的,既要防病毒又要防黑客;物理隔离网络是必要的,只有这样才能保护专网的数据信息安全;建立完整的备份策略是必然的,防患于未然;内部的监管也是非常重要的,消灭一切威胁到数据信息安全的行为。
6结论
随着计算机网络技术的发展,中小企事业单位对于计算机网络的应用将越来越广泛,建立健全各种安全制度,增强网络数据信息的安全性刻不容缓。在产业融合的态势下,应该尽量保证数据信息的准确性,完整性,保密性,避免由于网络数据信息丢失、损毁、泄密等给中小企事业单位带来的损失。同时,政府也应该遵循互联网发展的规律,秉承开放、包容、创新、分享的理念,加快建立完善和互联网工作发展相适应的监管制度,修订完善法律法规,不断优化监管思路,创新监管手段,规范市场秩序,着力打造党政部门、互联网企业、科研机构、行业组织,以至普通的网民广泛参与合作等多元监管格局,为互联网潜能的充分释放营造公平、公正、合法、合规的外部环境。
参考文献:
[1]潘柱廷.高端信息安全与大数据[J].信息安全与通信保密,2012(12).
[2]维克托·迈尔·舍恩伯格,周涛.大数据时代:生活、工作与思维的大变革[J].人力资源管理,2013(03).
[3]刘庆宇.浅析计算机网络的安全策略与技术防范对策[J].数字技术与应用,2013(10):207.
[4]关启明.计算机网络安全与保密[J].河北理工学院学报,2003(2):84-89.
基于某企业的网络安全策略篇5
三重流控引擎
it人员大都遇到过这样的情况:公司高管正在跟地方办事处的同事开视频会议,突然因为网络不给力被迫中断。而由于总分型企业大多以Vpn纵向组网,对于Vpn内部的业务流量it人员难以管控,问题难以得到有效解决。锐捷网络出口产品线经理刘帅表示:“以具有2000个项目部的建设企业为例,由于it管理和视频会议等关键业务无法顺利开展给企业带来的人员和it管理成本一年大约有100万元。”
为此,锐捷网络近日了业务保障网关系列产品——G-eG(业务保障网关高级版)、RG-nBR(业务保障网关基础版)系列,前者针对大型企业、酒店等,性能更强,功能更丰富,后者则针对网吧、SmB等中小型网络市场,性价比较高。企业用户可以将产品部署在网络出口,从而实现精细化的智能管理,优化网络业务承载,为企业开展核心业务提供更强的保障和更好的用户体验。
Vpn就像一个黑盒子,我们不清楚里面有哪些流量,带宽到底被什么应用程序占用。对此,锐捷业务保障网关的Vpn隧道和隧道内流量的可视化管理功能,实现了用户对Vpn连接状况和业务流量的可看、可控、可管。当企业视频会议系统无法开展时,it人员可以通过关闭迅雷p2p下载等方式,保障关键业务的顺利开展。同时,该系列产品针对教育网的实名制流控,不再根据ip地址定位每个人,而是为教育网内的每个人实名制分配网络资源,对城域网内出现的安全事件还能够迅速定位到人。
刘帅介绍说:“锐捷网络推出的新一代业务保障网关,在出口管理的内、外控制上增加了三重流控引擎,并且提供了针对不同行业的具体业务应用与精细管理模板。通过网络出口一体化管理,it人员可部署更加智能化的控制策略,减少部署与运维成本,终端用户也可以体验到优化后的高速带宽。”
在某些应用场景下,部署多条出口链路的情况屡见不鲜。此时,出口网关除了要为不同应用合理地分配带宽资源,还要对出口链路进行优化。但由于网关设备的调度能力不够,性能不足,经常会出现某一条链路已经满了,其他链路却还空闲着的情况。“多链路的典型应用场景是网吧,这种情况经常出现并给网吧带来很大损失。”刘帅告诉记者,锐捷网络一项网吧断网造成经济损失的调查显示,pC数量为200台的网吧,如果每天断网20分钟,客户流失率将达70%以上,网吧一天的损失约为1680元,一年就高达61万元,基本上这网吧可以“关门大吉”了。“对此,锐捷业务保障网关独特的运营路由功能,针对应用而不是ip地址进行路由,能为关键应用分配特定的链路,例如让游戏通过光纤走。同时针对多aDSL的情况,锐捷网络开发了aDSL虚拟拨号功能优化网络路由,帮网吧降低成本。”刘帅介绍说。
集中管控贯彻安全策略
Vpn组网方式带来的另一个问题是,it人员对于分支机构的网络管理往往鞭长莫及,企业的安全策略难以实现集中管控。但是,企业将整个公司的安全策略下发到分支机构并且贯彻落实,已经成为当前业界的大势所趋。
基于某企业的网络安全策略篇6
abstract:networksecurityintheenterpriseinformationismoreandmoreimportant,andmoreandmorenetworkandsystemsneedfirewallsecurityforsecurityprotection.thelevelofsecuritypolicydeploymentqualityisakeyforwhetherthefirewalldeviceplaytheroleofsecurityprotection.Butformanycomplexapplicationsinenterprisenetwork,itsdataflowisoftenmorecomplicated.accordingtotheproblemsofenterprisenetworkfirewallpolicy,thispaperproposesamethodthatusingnetworkdeviceloganalysistoidentifythetrafficflow.themethodcandiscoverynetworktrafficwithlow-cost,high-efficiency,andthusprovidethebasisforthedeploymentoffirewallpolicy.
关键词:防火墙;网络安全;安全策略
Keywords:firewall;networksecurity;securitypolicy
中图分类号:tp393文献标识码:a文章编号:1006-4311(2014)10-0223-02
0引言
在企业网络的网络管理及项目建设上,防火墙的应用越来越广泛。在一张网络中部署的防火墙数目小到五六台多则十几台、几十台。为了使每台防火墙真正起到安全控制的作用,每台防火墙都要根据实际的访问需求制定出成百上千条安全策略。每条安全策略都要有针对性的对合法的数据流予以允许通过,对非法的数据流予以拒绝。在网络应用日益复杂的今天,如何对现网数据流进行识别(统计、分析)是摆在工程技术和网络维护人员面前的一个重要课题。
1目前的识别方法及问题
目前,数据流的识别主要采用的技术有netflow/Sflow和Span技术。
netflow/Sflow技术主要是支持该技术的数据节点设备上启用该特性,通过采集服务器到节点设备上采集数据,然后对数据进行分析整理得到网络中的数据流信息。netflow/sFlow技术能对数据网络的通信流量进行详细的行为模式分析和计量,并提供网络运行的详细统计数据。但是,netFlow/sFlow支持情况受设备类型、板卡类型、软件版本、软件授权等条件制约,某些厂商设备甚至需要采购专用硬件。
Span技术(镜像抓包)是一种基于被动侦听原理的网络分析方式。使用这种技术,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,可以使用网络监听的方式来进行记录、分析。将网络接口设置在监听模式,可以将网上传输的源源不断的信息截获。但是,这种技术需要把整个数据包的信息都记录下来,包含对于数据流分析基本没有用处的data信息,这样就需要处理大量的无关信息,分析效率比较低,而且对于已经部署iDS、流量清洗等设备的节点,受到网络端口镜像SeSSion数量的限制,而无法实施。
2解决办法
利用在路由器、交换机、防火墙设备普遍支持的访问控制功能,在设备上部署开放的数据流抓取策略(所谓开放的数据流抓取策略,就是采用允许数据流通过的访问控制列表或策略,以便在不影响现有业务流通过的前提下生成数据流日志),生成表1所示的数据流向日志(Cisco设备产生的log节选)。
由表1可以发现,每条日志中记录了数据流的协议类型、源ip、源端口、目的ip、目的端口等信息。以上日志信息可以提取如表2所示的信息。
部署周期内形成的日志文件记录了本时间段内所有数据流访问信息。通过软件工具对日志进行分析、抽取、统计、整理,就可以得到通过某一网络节点的数据流信息。
利用得到的数据流信息,通过甄别、筛选、汇总,就可以形成该节点正常业务流信息,为安全策略的制定、实时维护提供依据。
由于绝大多数厂商(Cisco、Juniper、华为等)的数据网络设备(防火墙、路由器、交换机)都支持这种通过部署开放策略生成数据流向日志的功能,因此,通过该方法可实现对多厂商、异构数据网络数据流识别。
此方法相比netflow、Span等数据流分析技术,特点是支持设备更广泛、部署位置灵活,无需改变现网结构,实现容易、成本低,并支持海量数据的分析整理。
3具体实施方案
①确定数据流分析方案。获取数据流分析需求,根据需求选择开放策略所部属的网络节点部署位置,同时编写开放的访问控制策略。
②部署开放控制策略并采集日志。在数据网络的节点上部署开放的安全策略,数据流流经该节点就可以生成数据访问日志。日志采集服务器负责收集节点生成的日志,并按照预定格式生成日志文件。
③从日志文件中分析数据流。日志分析程序从日志文件中分析数据流的协议、源目的ip、端口等信息,以及节点的位置。由于每种设备的日志格式各不相同,并且中间可能夹杂其他无关冗余的日志信息,这就要求关键信息的提取既要准确又要快速,以便适应大数据量的计算。另外,客户端发起源端口是可变的,能够根据服务端的端口识别数据流,并能够准确分析、剔除重复数据,进而统计出准确的数据流信息,并生成数据流结果文件。
本方法可对现网中的业务流进行有效的分析,并能根据所得的结果生成合适的安全策略,而且对数据网中的节点设备要求较低,无需支持netflow/sFlow等高级特性。
笔者在实际工程中,采用本方法和自主软件,搜集并分析了上百GB的日志文件,并把得到的结果运用在实际的网络安全项目中的多种类型的防火墙的策略部署工作中,大大提高了工作效率和准确性,对今后实施此类工程中的安全策略部署具有极强的指导和借鉴意义。
4结论
本文分析了在企业网络中采用网络设备日志分析,实现识别业务数据流的方法,并为制定满足系统防护需求的防火墙安全策略提供了一套切实可行的方案。在企业信息化系统中部署和维护防火墙策略的过程中,可以借鉴和参考。
参考文献:
[1]乔辉.浅谈多重异构防火墙网络环境下的安全策略管理[J].中国电子商务,2012(2).
基于某企业的网络安全策略篇7
关键词:网络安全防火墙Vpn
随着计算机技术和网络技术的高速发展,企业对计算机和网络的需求也日趋增长,同时,网络安全面临着严峻的威胁。Ju-niper网络公司发起的一项最新研究表明,在调研的中国企业中有63%在去年受到了病毒或蠕虫攻击,而41%的公司受到了间谍软件和恶意软件的攻击,14%受到了黑客的攻击。
面对日趋复杂的网络安全威胁,各种安全技术也应运而生,如防火墙技术、Vpn技术、ipSec技术、黑客技术、漏洞扫描和修复技术、入侵检测技术、恶意代码与计算机病毒防治、系统平台安全及应用安全等。
1、中小企业网络出现的安全问题
中小企业网络一般会出现以下八种安全问题:第一、中小网络经常受到各种各样的攻击,其中有SYnFLooD、UDpFLooD等DDoS攻击。第二、企业web服务器曾因为访问可执行文件而中毒、瘫痪。第三、在外出差的员工无法安全快速的访问公司的服务器。第四、公司员工浏览一些不安全网站,存在安全隐患。第五、公司员工使用p2p软件,存在安全隐患;第六、公司员工安全意识较低,没有定时查杀病毒,中毒机率高。第七、用户使用的杀毒软件没有及时更新,导致杀毒软件无法查杀最新的病毒,造成严重后果;第八、用户没有及时修复系统漏洞,导致很多基于漏洞的攻击和病毒的入侵。
2、解决中小企业网络安全问题采用的策略
双防火墙策略
硬件防火墙作为企业内部网络和外部网络连接的第一道门,它的功能全面,能有效阻止非法的入侵和攻击,iSaServer2004集成的软件防火墙对internet协议(如超文本传输协议(Http))执行深入检查,能检测到许多传统防火墙检测不到的威胁。硬件防火墙+iSaServer2004软件防火墙,两者各自发挥优点和特色,为构建更为安全的企业网络打下坚实的基础。
Vpn策略
由于各种安全威胁层出不穷,让我们防不胜防,那么如何让企业员工在外面出差的时候安全的访问企业内部网络呢?iSaS-erver2004,提供了一种方法,就是通过建立Vpn虚拟专用网络,该方法需四个步骤,就可以启用iSaServer2004中安全、快速的Vpn服务器。这四个步骤是:(1)启用Vpn服务器;(2)配置远程访问属性;(3)给予用户拨入权限;(4)访问规则。
病毒防治策略
计算机病毒的危害如下:阻塞网络、破坏系统、破坏数据、感染其他计算机、泄露信息、消耗资源等等。笔者采用瑞星网络版杀毒软件,对客户端的杀毒软件进行实时的监控和管理,并为客户端的杀毒软件制定了一系列的防护病霉策略,做到实时监控、及时升级,定时查杀。
漏洞扫描修复策略
系统和软件如果出现漏洞,就容易成为黑客、病毒、木马等的攻击对象。可见修复系统漏洞和及时升级软件是多么的重要。瑞星杀毒软件修复系统漏洞功能解决这一问题。在漏洞扫描设置页面,设置启用定时漏洞扫描并且设置扫描频率、设置扫描漏洞的严重级别和自动安装补丁程序等。还可以采取静默安装的方式,这样就可在不干扰用户正常工作的情况下自动进行安装。
禁止企业内部访问某些网站策略
要实现该策略的技术,必须在iSaSeRV-eR2004里面分两大步骤:其一,对需要禁止上网的客户建立一个地址范围或者计算机集,然后为禁止这些用户访问的那些站点建立一个地址范围或域名集;其二,在防火墙策略中新建一个访问规则,阻止内部的这些计算机集访问定义的外部站点地址范围或域名集。
禁止企业内部用户使用p2p软件策略
目前,p2p软件非常的流行,而且提供了多样化的登录方式,支持UDp、Http和HttpS这三种登录方式,iSaServer2004的深层Http检查机制,可以快速简单封锁p2p软件。封锁p2p软件的最好办法是封锁它的服务器ip,有些p2p软件还可以使用Http登录,所以,还得在iSaServer2004的Http检查机制中设置禁止p2p的Http连接。
服务器上阻止对所有可执行文件的访问策略
对于windows2000/Xp/2003下的攻击,很多时候是以得到服务器Shel1为目标的,这就需要执行服务器上的Cmd.exe。如果禁止访问服务器上的exe可执行文件,这样类似的攻击就不防而灭了。
iSaServer2004中的Http过滤策略是基于每条防火墙策略进行配置的,只要这防火墙策略中包含了Http协议,就可以配置该防火墙策略的Http策略。只要在阻止包含windows可执行内容的响应打上勾就设置完成了。
员工安全培训策略
当前网络安全和计算机安全面临着严峻的威胁,而这些威胁带来的结果都是灾难性的,如果员工的安全意识没有提高,那自身的安全技术就得不到提高,网络安全方案实施就会受阻,不安全因素就会大大地提高。因此提高员工安全意识的工作必须放在首位。
中小企业可以根据自己的实际情况制定培训计划,培训内容主要包含有:第一、提高员工安全意识重要性;第二、了解目前网络安全背景;第三、学习和运用各种安全技术。
3、结束语
面对日趋复杂的网络安全威胁,单一的网络安全技术和网络安全产品无法解决网络安全的全部问题,因此我们应根据实际应用需求,制定安全策略,综合运动各种网络安全技术来保障企业计算机和网络安全。
参考文献:
【1】袁津生,吴砚农计算机网络安全基础[m].北京:人民邮电出版社,2008
基于某企业的网络安全策略篇8
本文介绍了网络安全管理要素,并结合笔者多年工作实践经验,以某卷烟厂企网络安全管理技术的应用为例,针对企业网络安全方案展开研究,希望能够为网络安全管理技术在oSS中的应用提供一点理论支持。
【关键词】
网络安全;管理技术;应用
1网络安全管理要素
目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。
1.1安全策略
网络安全的核心在于安全策略。在网络系统安全建立的过程中,安全策略具有重要的指导性作用。通过安全策略,可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则,安全策略对于网络系统安全而言有着重要的控制作用。换言之,就是指以安全需求、安全威胁来源以及组织机构状况为出发点,对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中,安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法,都只有参考安全策略。作为重要的标准规范,相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法,利用有关途径,对安全策略及其制定进行了解,并在安全策略系统下接受培训。同时,安全策略的一致性管理与生命周期管理的重要性不言而喻,必须确保不同的安全策略的和谐、一致,使矛盾得以有效避免,否则将会导致其失去实际意义,难以充分发挥作用。安全策略具有多样性,并非一成不变,在科学技术不断发展的背景下,为了保证安全策略的时效性,需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下,安全策略才能够充分发挥作用。
1.2安全配置
从微观上来讲,实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建,例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛,例如防火墙系统。Vpn系统、入侵检测系统等等,这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现,能够很好的符合安全策略的需求。如果安全配置不当,那么就会导致安全系统设备缺乏实际意义,难以发挥作用,情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要,任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要,应做好定期更新工作,并进行及时检查,确保其能够将安全策略的需求能够反映出来,为相关工作人员工作的开展提供可靠的依据。
1.3安全事件
所谓的安全事件,指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中,这些行为都能够被观察与发现。其中破坏系统、网络中ip包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面,计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面,在网络发展过程中,网络安全事件越来越频繁,违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛,包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来,对于网络系统而言,其安全状况可以通过安全事件得到充分体现。在安全管理中,安全事件的重要性不言而喻,安全事件的特点在于数量多、分布散、技术复杂等。因此,在安全事件管理中往往存在诸多难题。在工作实践中,不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大,系统安全管理人员往往难以全面观察与分析,安全系统与设备的安全缺乏实际意义,其作用也没有得到充分发挥。安全事件造成的影响有可能比较小,然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集,通过数据挖掘、信息融合等方法,对其进行冗余处理与综合分析,以此来确定对网络、操作系统、应用系统产生影响的安全事件,即安全事故。
1.4安全事故
安全事故如果产生了一定的影响并造成了损失,就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施,使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性,相关工作人员应针对事故发生各方面要素进行分析,发现事故产生的原因,以此来实现对安全事故的有效处理。在安全事故的处理中,应对信息资源库加以利用,对事故现场系统或设备情况进行了解,如此才能够针对实际情况采取有效的技术手段,使安全事故产生的影响得到有效控制。
1.5用户身份管理
在统一网络安全管理体系中,用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象,通过这部分系统,最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中,身份管理系统会鉴别用户身份,以此保障用户的安全。
2企业网络安全方案研究
本文以某卷烟厂网络安全方案为例,针对网络安全技术在oSS中的应用进行分析。该企业属于生产型企业。该企业网络安全管理中,采用针对性的安全部署策略,采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面,作为网络设备安全的基本防护方法:①对设备进行合理配置,为设备所需的必要服务进行开放,仅运行指定人员的访问;②该企业对设备厂商的漏洞予以高度关注,对网络设备补丁进行及时安装;③全部网络设备的密码会定期更换,并且密码具有一定的复杂程度,其破解存在一定难度;④该企业对设备维护有着高度重视,采取合理方法,为网络设备运营的稳定性提供了强有力的保障。在企业数据方面,对于企业而言,网络安全的实施主要是为了病毒威胁的预防,以及数据安全的保护。作为企业核心内容之一,尤其是对于高科技企业而言,数据的重要性不言而喻。为此,企业内部对数据安全的保护有着高度重视。站在企业的角度,该企业安排特定的专业技术人员对数据进行观察,为数据的有效利用提供强有力的保障。同时,针对于业务无关的人员,该企业禁止其对数据进行查看,具体采用的方法如下:①采用加密方法处理总公司与子公司之间传输的数据。现阶段,很多大中型企业在各地区都设有分支机构,该卷烟厂也不例外,企业核心信息在公司之间传输,为了预防非法人员查看,其发送必须采取加密处理。并且,采用internet进行邮件发送的方式被严令禁止;②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制,该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能,无线、蓝牙等设备也无法使用,如此一来,内部用户将数据私自带出的情况就能够得到有效避免。此外,该企业针对办公软件加密系统进行构建,对办公文档加以制定,非制定权限人员不得查看。在内部网络安全上,为了使外部网络入侵得到有效控制,企业采取了防火墙安装的方法,然而在网络内部入侵上,该方法显然无法应对。因此,该企业针对其性质进行细致分析,采取了内部网络安全的应对方法。企业内部网络可以分为两种,即办公网络与生产网络。前者可以对internet进行访问,存在较大安全隐患,而后者则只需将内部服务器进行连接,无需对internet进行访问。二者针对防火墙系统隔离进行搭建,使生产网络得到最大限度的保护,为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制,应对网络区域进行划分,可以对VLan加以利用,隔离不同的网络区域,并在其中进行安全策略的设置,使区域间影响得到分隔,确保任何一个VLan的故障不会对其他VLan造成影响。在客户端安全管理方面,该企业具有较多客户端,大部分都属于windows操作系统,其逐一管理难度打,因此企业内部采用windows组侧策略对客户端进行管理。在生产使用的客户端上,作业人员的操作相对简单,只需要利用严格的限制手段,就可以实现对客户端的安全管理。
作者:杨国欣霍重宁单位:广西中烟工业有限责任公司
参考文献
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.
[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.
基于某企业的网络安全策略篇9
(关键词]人际竞争情报 web2.0wiki
[分类号]G354
21世纪的成功哲学认为:成功=20%专业能力+40%观念想法+40%人际关系。相关调查显示,“人际交流”是中国企业获取竞争情报最多的手段(占65%),也是它们最信赖的情报搜集手段(占23%)。这些调查研究表明了人际情报在竞争情报活动中的价值。当前,人际网络理论的兴起和发展,正在向我国情报界和企业界展示获取情报、分析情报和传递情报的新视角、新领域;同时,web2.0理念与平台的应用,给人际竞争情报带来了新的发展空间。在这种际遇下,人际竞争情报相关研究得到进一步拓展,引起大量学者关注。
1 人际竞争情报与web2.0
1.1 人际竞争情报
自1998年11月包昌火首次提出把人际网络与组织网络、信息网络一起作为企业竞争情报系统三大网络的基本构想以来,国内学者对竞争情报活动中人际网络问题的关注不断升温。人际网络(Socialnet-work,又称社会网络),实质上就是为达到特定目的,人与人之间进行信息交流和资源利用的关系网,是一个由某些个体或组织间社会关系构成的动态的系统。人际网络是普遍存在的,竞争情报人员根据情报需求构建或选择特定网络作为情报搜索对象,就形成了人际情报网络。人际竞争情报是情报工作人员(竞争情报工作人员或选择的中介对象)基于人际情报网络,在传递和共享各种资源的过程中,运用竞争情报方法获取信息、分析信息的过程。人际竞争情报最大的优势是可以搜索到通过一般公开渠道很难获取的保密或半机密的信息,或一般正式渠道得不到的信息。
1.2 web2.0环境下人际竞争情报搜索的发展
web2.0是2004年3月由美国著名的opReilly公司的DaleDougherty与mediaLive公司的CraigCline在一个头脑风暴会议上提出的新理念,提倡“人人参与、平等自由”的网络交流方式。在这种环境下,人际竞争情报与网络相结合,搜索手段与思想都得到极大的拓展。首先,wiki、BBS、Blog等应用延伸了人际交流的手段,RSS、p2p等技术方便了情报搜索的实施;另一方面,web2.0的长尾理论、群智组织、六度分隔拓宽了情报搜索的思想。长尾理论颠覆了二八定律,将竞争情报搜索从围绕以前起80%作用的20%的信息进行搜集转为关注信息碎片的捕捉,认为起20%作用的情报通常包含极为关键的信息;群智组织是集合很多人智慧的信息组织,认为于海量的网络信息中搜集有用的情报信息,需要堆积大众智慧才能获取多数情报;六度分离理论说明了社会中普遍存在的“弱纽带”,但是却发挥着非常强大的作用”】,人际竞争情报搜索中,只要努力寻找与建立联系,总能与目标获得关联。因此,在web2.0环境下,要实施虚实并举的策略,进一步促进人际竞争情报搜索的应用和发展。
2 web2.0环境下的人际竞争情报搜索策略
人际网络涉及内容广泛,在其中搜索有价值的情报需要系统地规划情报搜索过程,策划相应搜索策略。web2.o环境下人际网络错综复杂,市场变动莫测,所以人际竞争情报搜索必须遵循相应原则,尽可能扩大情报搜索领域,强调内容搜集针对性,不断循环往复实施过程,保证情报搜索的连续性。基于此,笔者提出人际关系扩张、面向主题与动态三种搜索策略。一般来说,这三种策略是交叉使用,而不仅仅单独应用。
2.1 搜索原则
在当前条件下,信息技术日新月异,竞争环境是大范围、全方位、多视角和有序化的。根据竞争情报的基本原则,人际竞争情报搜索也必须遵循相应的规则,保证有效合法的实施。
2.1.1 底线原则即公开原则,指在搜集情报时不能逾越底线,即不能触犯法律、侵权,不能使用不正当的手段(如派人卧底、雇用计算机“黑客”)来搜集情报。
2.1.2 最大化原则又称最多化原则,是指搜集的情报越多越好。这也是一种趋同原则,搜集的竞争情报越多,越能够全面地判断竞争对手的动向,制订越准确的应对方案。
2.1.3 最小化原则亦称最细化原则,是指搜集的情报越细越好。例如细到某个商品差价的分(如超市之间的价格竞争)、某人一小时内的活动(如总工程师、总裁或总经理)等。
2.1.4 均值原则也叫不偏不倚原则,是指在搜集情报时不能先人为主,而是要对所有信息“一视同仁”,先接收再通过情报分析系统区别真、伪,过滤筛选。
2.2 人际关系扩张策略――完善网络
人际关系扩张策略旨在利用人际网络搜索情报时,尽可能高效地利用当前人际关系,借助于现有网络与外界环境的联系,进一步完善网络。根据竞争情报工作的特点和人际情报网络理论模型的分析,人际关系扩张策略采取三种基本策略,即联合(bonding)策略、联结(bridging)策略和嵌入(embedded)策略。
2.2.1联合策略联合策略是将更多不同类型的人际情报网络进行连接,并组合成新的更大人际情报网络的策略。该策略通过将不同情报人员现有的人际情报网络与其他人际网络连接或者重新组合,既促进了网络中强关系与弱关系的整合,也增加了弱关系的联系广度和强度,往往能够充分发挥弱关系在搜集竞争情报过程中的信息桥作用,推进不同类型人际网络关系的组合和重构,从而跨越原有人际情报网络中信息流动的社会界限和制约,形成更大范围新的人际情报网络。因此,采用联合策略构建人际情报网络,被连接或组合的其他人际网络的差异性越大,弱关系充当信息桥的可能就越大,获取信息资源的途径也越广泛。所以,情报人员在构建有效的人际情报网络时,应尽可能多地参加各种行业协会组织等社会网络,不断建立新的关系,拓展联系的领域和空间,并有意识地将它们联合起来,使其成为人际情报网络的组成部分。
2.2.2 联结策略联结策略是指情报人员通过中介者将自己的人际网络与其他人际网络保持联系,从而使人际网络跨越空间、竞争意识等障碍,得到有效的拓展。该策略的一个显著特点是,原有的人际网络与被联结的人际网络之间没有组织上的合并,在信息流动过程中中介者(可以是个人、组织或其他联系载体等)起到桥梁的作用,因此又被称为桥梁策略。由于不需要与被联结的人际网络发生直接的联系,而是通过中介者进行信息的交流,形成人际竞争情报网络的结构空洞,因此,竞争情报人员要认识和掌握尽可能多的中介者,了解其特性。这不仅是构建人际情报网络的基础和任务,也是情报人员社会资本和业务素质水平的
具体体现。在采用联结策略扩张人际竞争情报网络时,通常是以中介者为核心,制作类似于“谁认识谁”、“谁知道什么”的关系网络图,并随着人际情报网络的扩展,不断补充完善。
2.2.3 嵌入策略嵌入策略是指情报人员将自己人际网络中的一部分或整体嵌入一个更大的人际网络中,通过信息交流取得相应人际网络成员的信任,从而实现人际竞争情报网络在更大范围的扩张。根据嵌入方式的不同,嵌入策略可分为:①“关系性嵌入”(rela-tionalembedment)策略,即某个情报人员将自己的人际情报网络嵌入其他情报人员的人际网络之中,通过建立相互的信任,实现信息的交换;②“结构性嵌入”(structuralembedment)策略,即不同的竞争情报人员均把自己的人际情报网络嵌入到更为广阔的社会人际网络中,推动网络间信任机制的形成,实现信息的有限共享。与联合策略相比,嵌入策略更强调人际情报网络构建中信任意识和机制的形成,而信任的获得和巩固需要人际网络成员之间较长期的接触、交流与合作。因此,采用嵌入策略扩展人际竞争情报网络的过程,又是网络中的弱关系逐步演化为强关系的过程以及竞争情报人员社会资本积累和丰富的过程,信任的程度越深,获得有价值情报的机会就越多。
2.3 面向主题的搜索策略
人际交流形式松散,容易造成搜索过程偏离情报目标。面向主题的搜索策略正是为解决这个难题提供一种新的思路。即人际关系可尽可能扩展,但情报搜集必须具备针对性,确定情报搜索的主题,在内容上限定人际交流的范围,便于节约时间,提高搜索效率。图1与图2详细展示了面向主题的搜索策略:
・选定主题。人际竞争情报搜索主题与整个竞争情报活动主题一致,根据需求分析的结果,从组织本体库中抽取对应主题,其中本体库即采用本体论的思想,对主题领域中的概念及其之间的关系进行系统化、抽象化的描述。同时选定的主题可能是一个或多个。
・建立成员联系库,并根据主次或其他标准将其排列,然后逐次选择成员与联系实施人际交流,实现信息采集。构建人际竞争情报网络时,需要识别网络成员与联系,成员联系库即以此为依据形成队列,在相应主题的指导下,循序进行人际交流。这样既可保证其全面性,又能确定其主题性。队列没有空时,继续交流;队列一旦结束,即遍历了人际网络,则可选择是否需要进一步选择其他主题继续搜集;并且按此方法搜集的所有信息被收入临时信息库。此过程可以不断循环往复,也可以根据情报工作计划选择是否继续。
・进行初步的信息筛选将相关信息放人数据仓库,过滤无关或重复的信息,避免冗余。即比照本体库与临时信息库进行初步的内容分析,筛选与主题相关的信息进行处理并存储人数据仓库;与主题不相关的无用信息,则直接丢弃。
综上,过程中涉及到本体库、临时信息库、数据仓库以及成员联系库,主要由于人际竞争情报搜索并非竞争情报唯一的搜索手段,不是完全独立的过程,需要调取竞争情报组织的本体库,选择相应主题,与整体竞争情报保持战略一致;另外搜索到的信息与使用其他手段获取的信息同时收入i临时信息库,接受初级的信息处理;最后情报收入数据仓库,为组织决策管理服务。成员联系库是人际竞争情报根据人际网络建立的唯一独立的数据库,这是人际搜索的基础,可以根据人际网络构建时的信息搭建,不需要耗费过多资源。所以,面向主题的人际竞争情报搜索策略不仅省时高效,而且加强人际竞争情报搜素与竞争情报其他环节的联系,具有实践意义。
2.4 动态情报搜索策略
人际网络通常处于一种不稳定的状态,存在较多变动因素,内容可能会随时更新。同时信息技术的进步拓展了人际交流的方式,也会扩展人际竞争情报搜索的范畴。人际网络环境瞬息万变,主要有:①新成员加入、老成员退出;②网络结点声望变更,关键结点变化;③结点之间的联系变动,尤其关键结点的联系变化;④新人际关系建立,组织调整合作伙伴,改变发展方向等;⑤人际交流工具升级和增多,通常每种交流工具针对特定人群,遗漏某一种交流工具则可能会失去部分人际关系,造成信息漏洞。面对这些不定期的变化,组织可以采用定期和不定期网络调整两种方法。定期网络调整是指组织长期跟踪网络环境变化,没有发生重大变动时,按照稳定频率调节人际竞争情报网络;不定期是指网络面临重大变革,例如组织合作伙伴变化、战略调整这些可能导致网络大范围人际关系变化时,立即调整人际竞争情报网络。
无论使用何种竞争情报搜索方法、策略,都应该了解情报搜索是个永无止境的过程,不存在情报搜集的终点。人际竞争情报搜索也必须保证动态循环的情报搜索。信息无时无刻不在产生,搜索一旦停止,可能就错失最新情报,极可能面对组织即将到来的危机茫然无知或对某个巨大的商机视而不见。基于多种因素的考虑,人际竞争情报搜索应该采用与时俱进、动态发展的搜索策略,主要表现为:动态跟踪网络环境,调节人际竞争情报网络;动态更新升级人际交流工具;循环往复、不间断地搜索情报。
综合三种搜索策略,组织一般会以某一种策略为主导、另外两种为辅助来制定人际竞争情报搜索策略,确保竞争情报工作的紧密性、全面性与及时性。例如长期的情报搜索工作一般是以动态情报搜索策略为主导,保持长期、大范围的信息采集,尽可能采集最新最全面的信息,同时注意人际扩张与主题;短期针对性强的情报搜集应以面向主题的情报搜索策略为主,保证情报的强目标性,快速获得某方面最新的情报。
3 基于wikiXlZ台的人际竞争情报搜索策略的实现
人际竞争情报搜索机制实现方式多样,通过多种web2.0工具均可实现。本文借助wiki方式模拟企业人际交流平台,模拟人际网络;采取以企业内部人际网络为基础,动态竞争情报搜索策略为主、面向主体和人际扩张搜索策略为辅的策略,注重数据的动态循序采集以及面向主题性,实现情报采集和风险识别的效果。整套过程在很大程度上是利用企业内部的强会话与全体员工的知识协作来完成。
3.1 企业wiki在情报搜索中的功能
首先利用web2.o技术,构建一个wiki框架(或直接下载原型,如pmwiki),首页设置用户注册、权限管理与企业资讯页面,其他主要功能模块与首页链接。为确保信息安全性,用户主要分为三种:①一般用户,企业内部员工均可注册,可参与信息交流;②管理层用户。企业内管理者可以注册,可察看风险识别情况;③管理员,技术人员与情报分析人员注册,wiki技术支持,可查看所有功能模块。权限设置虽有不同,但wiki内信息的交流是平行自由的,没有上下级限制。另外。为极大程度提高用户互动交流积极性,平台设置多个交流区,例如生活话题区、运动区等,并允许用户自主组成交流群体。
企业wiki的主要功能模块实现以下任务:①协助
信息侦查。企业员工在该平台进行信息交流时,内容可能涉及行业内外不同现象、偶然事件或者其他企业人员安排,竞争情报人员需进行实时监控。②协助信息整合。wiki利用已有或创建的主题,自动实现信息聚类,判断出信息表征,协助信息拼凑。③辅助信息确认与风险识别。管理员在零散信息整合后,将完整或预测的信息到wiki上,用户可自愿参与讨论,支持或反对该信息,发表观点或举例证明。然后直接将信息发送到风险数据库进行风险主题配对,预测企业面临的风险类型。
3.2 企业wiki的功能模块设计
企业wiki中的人际竞争情报搜索通过信息整合还原成情报原型实现,再与风险数据库风险主题配对,实现风险识别的目标。整个功能设计必须包括集群联结、主题选择、信息交流、信息整合与风险数据库链接模块,其结构如图3所示:
・集群联结模块(模块1)针对wiki平台上的不同用户交流群体,如群1、群2、群3,以共同的结点作为中介,实现集群联结;如无共同结点,则强制选择群主作为中介者,交流群体之间信息,而不需要集群的联结。情报搜索必须囊括所有集群的信息,保证资源利用有效性与信息搜集的全面性。
・主题选择模块(模块2)根据需要,是可选执行的。日常的情报搜索是琐碎的,仅遵循动态情报搜索策略,不针对任何主题;但即时情报搜索通常是针对特定应用目的,所以需要从本体库提取与目标一致的主题,筛选相关信息,保证强针对性。
・信息交流模块(模块3)通过平等协作的自由交流,激发企业员工创新能力,同时也辅助实现信息积累与信息准确性确认功能。该模块是整个平台的核心,也是整个平台中最开放、互动性较大的部分,允许所有用户消息、自由交流;情报人员将整合后的完整信息在此模块,接受用户的讨论,辅助信息过滤;企业也可借此公开通知。弱信号积累模块的整个操作过程由系统管理员在幕后实施监控,以便及时搜集信息。该模块得到的信息放入临时信息库,与竞争情报获取的其他情报合并,为模块4中的信息整合提供更全面的分析基础。
・信息整合模块(模块4)只允许管理层用户与系统管理员参与。该模块中,情报分析人员将收集的零散信息按照时间序列排列,并利用相关工具进行聚类分析,识别不同信息之间的联系,构建信息的认知图(cognitivemap),同一主题的信息用连线连接,并将得到的主题与前期的分析结果联系考虑,删除噪音信号,拼凑出完整的情报。此模块允许管理层用户查看信息整合的结果。
・风险数据库链接模块(模块5)是企业wiki平台与企业风险数据库联接的部分,安全性要求较高,只允许技术支持人员与情报分析人员参与。该模块实现平台内信息与风险数据库的信息交流,识别潜在风险:一方面,根据数据库中的已有的风险主题,模块自动实现与完整信息的配对,识别出企业面临风险;另一方面,根据部分信息预测的新风险类型,由技术人员将其添加到数据库,实现数据库内容更新。
基于某企业的网络安全策略篇10
关键词:网络安全策略数据访问
0引言
随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
1目前企业内部网络的安全现状
1.1操作系统的安全问题目前,被广泛使用的网络操作系统主要是unix、windows和linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
1.2病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
1.3黑客在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、java等。
1.4口令入侵为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
1.5非正常途径访问或内部破坏在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
1.6设备受损设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
1.7敏感服务器使用的受限由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
1.8技术之外的问题企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
2企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
2.1物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2.2访问控制策略访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
2.3防火墙控制策略防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
2.4信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
2.5备份和镜像技术用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
2.6网络安全管理规范网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度;制定网络系统的维护制度和应急措施等
2.7网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(intrusiondeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。