時間:2023-09-21 17:53:53
序論:在您撰寫企業網絡安全體系時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
隨著互聯網技術的飛速發展,它在推動社會進步的同時,網絡安全問題也越來越多的出現在人們的生活當中,企業也同樣面臨著各種各樣的網絡威脅。面對這樣的局面,企業該如何解決安全威脅問題呢?據此研究企業網絡安全體系,從企業網絡的特殊性,影響企業網絡安全的因素,企業網絡安全的管理辦法以及防火墻技術的應用幾個方面進行闡述,全面研究企業網絡安全體系。
關鍵詞:
企業 網絡安全 管理辦法
近日,日本養老金管理機構因員工操作不當,導致日本養老金系統遭遇網絡攻擊,上百萬份個人信息遭泄露。5月28日,攜程旅行官網突然陷入癱瘓。除首頁可顯示頁面,多數頻道無法打開。經調查,網絡癱瘓是由于攜程部分服務器遭到網絡攻擊所致。面對這種網絡攻擊越來越多的局面,企業該如何解決安全威脅問題呢?
一、企業網絡有哪些特殊性
(一)企業內部網絡與外界網絡是斷開的
企業內部網絡形成了一個單獨的局域互聯網絡,并沒有與外界網絡的接入端。在企業內部網絡中,企業網絡的接入口都是在企業內部,企業外部人員很難控制企業網絡的接入口。因此,通過外界網絡基本沒有辦法連接到企業內網中來。
(二)企業網絡對實時性要求很高
盡管企業內部網絡主要傳遞的資料是文字,視頻和圖像類的資料相對很少,所需的網絡流量很小,然而部門會議也會需要傳送視頻和圖像到企業下一級部門或客戶,甚至企業需要經常開展視頻會議,因此,為了保障信息的高速傳輸,需要為企業安裝高帶寬的接入端,以免影響企業信息傳輸速率,造成不必要的損失。
(三)企業網絡的接入口大多數在公司內部
為了使企業網絡得到集中管理,一般將企業網絡的接入口設在公司內部,以確保企業網絡接入端被其他公司或個人非法侵入。(四)企業網絡一旦出現問題必將造成不可挽回的后果在企業網絡中,如果出現服務器被黑客攻擊的狀況,企業網絡常常出現癱瘓的狀況,進而造成斷網等現象,嚴重的還會出現信息外流,給公司帶來嚴重的后果。從以上分析比較可知,盡管互聯網與企業網絡原理一樣,結構上卻存在較大的差異,也正是依據企業網絡的特殊性可知,企業網絡大多是安全的,那么,它又存在哪些不安全因素呢?
二、影響企業網絡安全的因素
(一)企業網絡硬件的安全性較差
網絡拓撲結構,是指用傳輸媒體互連各種設備的物理布局,網絡的拓撲結構不合理就會為企業網絡帶來隱患。因此,企業網絡拓撲普遍采用服務器通過路由器和防火墻與外網相連。而如果企業員工通過撥號上網,則容易造成公司數據外流。同樣,網絡中的硬件設備也會成為企業網絡中的安全隱患,例如,某企業網絡使用一種路由器,該路由器的性能安全性很差。
(二)企業網絡軟件存在著漏洞
企業網絡軟件包括很多種,如企業內部使用的操作系統,各種瀏覽器等,而這些網絡軟件或多或少都存在一定的安全漏洞。網絡黑客也就利用這個安全漏洞進行網絡侵入,盜取重要信息,隨之而來的給企業帶來不可彌補的損失。網絡漏洞廣泛存在,由于網絡服務器是企業網絡中的核心,而在企業網絡服務器中安裝的軟件和開放的端口越多,于是也越容易遭到網絡攻擊。TCP/IP協議往往被軟件開發者忽略,網絡黑客可以利用網絡協議以假IP地址向網絡主機發送請求,用以降低主機的工作效率。
(三)企業網絡容易面臨著計算機病毒與惡意程序
計算機病毒與生物病毒相同,同樣可以自我繁殖、互相傳染以及激活再生。計算機病毒程序寄生在各種類型的文件中,當文件從網上下載或者通過存儲設備傳播時,計算機病毒也隨之傳播。在企業網絡中,計算機病毒和惡意程序也容易侵入。對于種類如此繁多且日新月異的計算機病毒,人們并沒有一個根本的解決方法。
(四)企業網絡時刻面臨網絡入侵
企業網絡同時也面臨著網絡黑客的入侵,他們通過侵入企業網絡主機,從而獲取企業重要的信息,給企業帶來無可估量的損失。每天,全球200億人使用互聯網,每天全球發生網絡攻擊2億次,由此可見,網絡入侵成為企業面臨的重要問題。
三、企業網絡安全管理辦法
(一)健全的網絡安全制度
為了規范企業職員的行為,企業可針對網絡安全建立規范的網絡安全管理制度,從而確保網絡安全。網絡安全管理制度的制定不僅僅要規范企業員工的網絡安全行為,同時還要確定違反制度后的相關處罰措施。同時還應指派專門的管理人員根據管理制度檢查其實施的效果,從而使網絡安全成為企業網絡安全的重要保證。
(二)員工要具備網絡安全意識
企業員工為網絡安全的重要實施者,而使他們具有網絡安全意識成為企業網絡安全的核心問題。企業可以通過培訓、宣傳等方式,向企業員工講解相關事例,讓企業員工了解企業網絡安全的重要性。同時培訓相關企業網絡安全常識,包括設置網絡密碼,發現網絡故障,解決簡單的網絡問題等一系列知識。
(三)網絡設備的管理
定期升級網絡軟件可以提升網絡安全性,企業員工必須在指定時間升級網絡軟件。同時,員工應每人應用專屬密碼登陸企業網絡系統,以確保企業網絡安全。這樣,大大降低了企業內部資料泄漏的幾率。
(四)實施網絡分區管理辦法
每個企業的網絡都是比較繁雜的網絡系統,而某個小區域出現的問題都有可能使整個企業網絡處于癱瘓狀態。因此,對于復雜的企業網絡實施分區管理辦法是每個大型企業的必然選擇。企業可以指派專人負責每個分區,把復雜的系統簡單化,責任也分配到個人,從而提升整個系統的安全性和網絡管理人員的工作效率。
四、防火墻技術在企業網絡安全中的重要應用
(一)防火墻技術的技術基礎
1.設計理念
防火墻是將所有外來的網絡信息通過指定區域,并對該區域進行保護,從而使企業網絡系統更加安全。系統管理員設置網絡安全規則,但凡外部侵入信息都要經過安全規則過濾,從而實現對外界訪問的控制。而滿足網絡規則的用戶則可以對外網進行訪問。防火墻就是將內網與不安全的外網協議和服務隔離,它通常可以是服務器、個人機、主系統等。
2.安全策略
防火墻的安全策略是防火墻的重要基礎。它按照如下兩個規則制定:規則一:通過防火墻規則的所有訪問都被允許訪問;規則二:被防火墻規則拒絕的都禁止訪問。
(二)企業網絡系統中,防火墻的重要效用
關鍵詞:企業網 網絡安全 安全體系 入侵檢測 病毒防護
隨著互聯網技術的發展,在企業中運用計算機網絡進行各項工作更加的深入和普及,通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點,使安全問題在企業網絡的運行與管理中格外突出,研究構建、完善基于企業網的信息安全體系,對企業網安全問題的解決具有重要意義。
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二) 企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。
在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業網的特點,依據設計、構建的企業網絡安全體系,成功構建了如圖4-1的企業網絡安全解決方案,對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。
圖4-1 企業網絡安全體系應用解決方案
關鍵詞:企業網 網絡安全 安全體系 入侵檢測 病毒防護
隨著互聯網技術的發展,在企業中運用計算機網絡進行各項工作更加的深入和普及,通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點,使安全問題在企業網絡的運行與管理中格外突出,研究構建、完善基于企業網的信息安全體系,對企業網安全問題的解決具有重要意義。
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二) 企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。
在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業網的特點,依據設計、構建的企業網絡安全體系,成功構建了如圖4-1的企業網絡安全解決方案,對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。
圖4-1 企業網絡安全體系應用解決方案
結 語
本文通過對企業網絡特點及所面臨的安全風險分析,從網絡安全系統策略與設計目標的確立出發,依據企業網絡安全策略設計,構建相對比較全面的企業網絡安全體系,并參照設計、構建的企業網絡安全體系,給出了一個較全面的企業網絡安全解決方案。對促進當前我國企業網絡普遍應用情況下,企業網絡安全問題的解決,具有重要意義。
參考文獻:
[1]方杰,許峰,黃皓.一種優化入侵檢測系統的方案[J.]計算機應用,2005,(01).
[2]李瑩.小型分布式入侵檢測系統的構建[J].安陽工學院學報,2005,(06).
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二)企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。
第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
關鍵詞:企業;網絡;系統;安全;虛擬化;信息化
一、 企業網的組成和所面臨的安全威脅
(一) 企業網的組成
企業網一般由兩個大的功能區域組成:企業內網和企業外部接入網。我們可以邏輯上把這兩大區域進一步劃分成若干個模塊,企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。企業外部接入網包括外網接入模塊和遠程接入模塊兩個部分。不同模塊實現不同的功能,各自的安全需要也有所不同, 需要實施相應的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業網絡架構如下圖:
(二) 企業網面臨的安全威脅
1. 來自內部用戶的安全威脅
大多數威脅來自于內部網絡, 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。
2. 來自外部網絡的安全威脅
隨著信息技術的不斷發展,企業總部與分支以及合作伙伴之間的聯網需求越來越迫切。它們之間不可避免的需要通過網絡交換信息及共享資源。同時, 企業網還為內部合法員工提供了上互聯網的途徑, 互聯網用戶可以訪問企業對外提供的公共服務器上的信息,由于信息資源的共享同時也給企業網的內、外網安全帶來了一系列的挑戰。
二、 企業內網的安全設計
企業內網包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應的安全措施, 以及與其它模塊之間的關系。
(一) 管理模塊
管理模塊的主要功能是實現企業網絡的所有設備和服務器的安全管理。所面臨最主要的安全威脅有未授權接入、口令攻擊、中間人攻擊等,為了消除以上管理模塊面臨的安全威脅,應采取以下的安全措施:
1. 管理數據流和生產網數據流需有效的安全隔離,包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內管理也要做到使用IPSec、SSH等加密傳輸。
2. 采用強力的認證授權技術對管理信息進行認證和授權,可以通過采用AAA認證和雙因素認證技術, 保證只有合法的用戶才能管理相應設備, 并能夠防止密碼泄漏和對密碼竊聽。
3. 采用完善的安全審計技術對整個網絡(或重要網絡部分)的運行進行記錄和分析,可以通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并為今后網絡整改提供依據。
4. 部署網絡入侵檢測系統,從而能夠對流入和流出管理模塊的數據流進行實時的分析并及時發現可能的入侵行為。
由于管理模塊全網可達, 且能夠對全網的所有設備和服務器進行管理,所以它的安全防護策略應該是全網最嚴格的。
(二) 核心模塊
核心模塊的主要功能是快速轉發。所面臨主要安全威脅是分組竊聽、功能區域劃分模糊和如何實現快速故障隔離。當多種應用流量運行在核心模塊時,如何防止不同應用流量被竊聽篡改、如何對不同應用區域進行分類保護、如何在核心模塊故障發生時進行有效快速的故障隔離成了當務之急。
核心模塊的主要設備是三層交換機, 三層交換架構是消除分組竊聽威脅的有效手段,而核心三層交換機的虛擬化技術則可以解決核心功能區域的精細劃分、實現有效快速的隔離故障,提高系統的可用性,防止級聯式的服務中斷。通過核心交換機的虛擬化技術還可實現交換機控制和管理平面的虛擬化,在三層交換機上配置相應的安全策略,為多個應用或部門的流量提供安全的網絡分區,讓每個應用或部門可以獨立管理和維護其各自的配置。
(三) 分布層模塊
分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權訪問、欺騙、病毒和特洛伊木馬的應用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應采取以下的安全措施:
1. 針對二層網絡的安全威脅,利用網絡設備本身的二層網絡安全性能,進行二層網絡安全策略的部署,如二層VLAN劃分、DHCP窺探保護、動態ARP檢查、IP源地址保護等安全策略。
2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務器上保密信息的機會,利用設備包過濾技術,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。
3. 通過RFC2827過濾可有效防止源地址欺騙。
4. 部署防病毒系統,防止各個工作站感染病毒和特洛伊木馬的應用。
5. 部署網絡準入控制系統,通過在網絡中部署網絡準入控制系統,可以實現最大限度減少內部網絡安全威脅,降低病毒和蠕蟲造成的停機時間。
根據網絡規模和性能要求的不同, 核心層和分布層可以結合起來合二為一, 從而達到減少硬件設備,達到減少投資與節能等目的。
(四) 服務器模塊
服務器模塊的主要目標是向最終用戶和設備提供應用服務。所面臨的主要安全威脅有未授權訪問、應用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應采取以下的安全措施:
1. 使用基于主機和網絡的IDS/IPS系統。
2. 在交換機上配置私有VLAN,實現對服務器的訪問限制, 限制對關健服務器的隨意訪問。
3. 對服務器及時打上最新的補丁程序。
4. 對服務器區域(DMZ區域)進行不同安全級別劃分,通過對不同應用的服務器進行安全級別的劃分,并通過防火墻模塊進行DMZ邏輯區域的隔離,可以實現服務器故障的快速隔離和服務器間訪問的有效控制。
5. 針對企業較為重要的郵件應用服務器,可以單獨部署電子郵件安全產品,從而減少與垃圾郵件、病毒和其它各種威脅有關的宕機,以求減輕技術人員的負擔。
像分布層模塊一樣, 根據公司規模、應用性能及需求的不同, 服務器模塊可以與核心模塊相結合。
(五) 邊界接入模塊
邊界接入模塊的目標是在網絡邊緣集中來自各個接入網模塊的連接,信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似,都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網功能區域來執行附加安全功能。像服務器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結合起來。
在邊界接入模塊比較常見的安全措施為應用流量觀察分析和安全網關。應用流量觀察分析是通過部署流量控制設備,使用其二至七層強大的應用分析能力,能夠第一時間獲得核心模塊和接入網模塊之間應用流量能見度,并以此為基礎在企業網絡中部署相應的安全策略(比如限制病毒端口號、限制特定內網IP地址、限制特定MAC地址)。安全網關是通過采用專用的安全網關技術,實現核心模塊和外網接入網模塊之間的Web內容過濾,Web病毒掃描,間諜軟件防御,HTTPS安全控制,防機密數據外泄等等安全功能。
三、 企業接入網的安全設計
企業接入網由外網接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應的安全措施。
(一) 外網接入模塊
大多企業網雖然都是專網,但是不可避免要和外網連接。外網包括企業分支網絡、第三方接入網絡和互聯網。所面臨的主要安全威脅有未授權接入、應用層攻擊、病毒和特洛伊木馬、拒絕服務攻擊等。主要防御措施有:
1. 在外網接入模塊和外網之間部署防火墻。防火墻應分為兩組防護, 一組用于企業網與分支機構網絡的連接, 另一組用于企業網與互聯網的連接。防火墻為內網的網絡資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業網與互聯網的連接上的防火墻時可以使用目前先進的“云火墻”技術,該技術可以持續收集互聯網上已知威脅的詳細信息,實現企業到互聯網的網絡安全。
2. 使用防火墻的虛擬化技術,將單一防火墻設備邏輯劃分為多個虛擬防火墻,每個防火墻有自己的策略且分別進行管理,可以實現不同區域模塊之間的安全控制和設備資源的高效利用。
3. 部署IDS/IPS入侵檢測/防御系統,有條件的情況下, 在防火墻的內網區、外網區和DMZ區域都要部署入侵檢測/防御系統, 以實時檢測來自外網的入侵行為。
4. 建立統一的應用服務器用于與其它分支網絡構建統一接入平臺,應用服務器作為所有應用服務的, 通過進行更嚴格的應用數據流檢查和過濾,有利于外網接入模塊的標準化和可擴展性的提升。
5. 在與互聯網連接的企業網絡邊緣部署路由器,并通過在路由器入口進行數據流的過濾,路由器對大多數攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應丟棄‘碎片’的數據包。對于過濾造成的合法數據包丟棄相比這些數據包帶來的安全風險是值得的。
(二) 遠程接入模塊
遠程接入模塊的主要目標有三個:從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接,對于此模塊來說信息流的來源是來自于企業網絡外的不可信源, 因此要為這三種服務的每一種提供一個防火墻上的獨立接口。
1. 遠程接入VPN,遠程接入VPN推薦使用IPSec協議。此服務的安全管理是通過將所有IPSec的安全參數從中央站點推向遠程用戶實現的。
2. 撥號接入用戶,AAA和一次性口令服務器可用來驗證和提供口令。
3. 站點間VPN,與站點間連接相關的IP信息流在傳輸模式下由配置成GRE隧道來實現。
以上來自三種服務的信息流應集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內口或外口部署IDS/IPS系統, 以檢測可能的攻擊行為。
四、 模塊之間的相互關系
采用模塊化設計時, 不是簡單地將網絡安全設計分解成各個孤立的模塊, 各模塊之間緊密聯系,其安全防護措施也直接影響到其它模塊的安全。
管理模塊是整個網絡安全體系的核心、位于其它所有模塊的最頂層。網絡安全體系的建立, 應該首先建立管理模塊的安全結構。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結構的基礎和前提。
核心模塊、服務器模塊和分布層模塊構成企業網絡的內部網絡。這三個模塊主要防范來自企業網內部的安全威脅:分布層模塊提供了針對內部發起攻擊的第一道防線;核心模塊的主要目標是線速的轉發數據流, 其安全性主要依賴于核心模塊交換設備本身的安全設置以及分布層模塊的安全防護;服務器模塊往往會成為內部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的。
邊界接入模塊是連接企業內網和外部接入網的橋梁和紐帶。邊界接入模塊在外部接入網安全措施的基礎上, 為企業內網提供附加的安全功能。
外部接入網為企業內網提供了第一道安全防線, 也是外網接入企業網內網統一的接入平臺。
模塊化的設計將復雜的大型網絡劃分為幾個相對簡單的模塊, 以模塊為基本單位構筑整個網絡的安全體系結構。使用模塊化的網絡安全設計能夠很容易實現單個模塊的安全功能,并實現模塊與模塊間的安全關系,從而在整個企業網絡中形成分層次的縱深防御體系。還能夠使設計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結構。
參考文獻:
[1] 崔國慶. 計算機網絡安全技術與防護的研究?. 電腦知識與技術,2009年9月.
現在,網絡信息逐漸實現了共享,在共享網絡信息的過程中,能夠為人們的交流提供便利,但是,各種病毒在網絡中出現,導致了網絡信息的泄露,給人們的生活和生產帶來很大的麻煩,使網絡信息的安全存在著隱患。所以,建立完善的企業網絡安全防護體系是十分必要的。現在,卷煙企業要想促進自身的額發展,就必須針對企業內部對網絡應用的特點,使企業內部的網絡結構得以優化,通過完善網絡的安全技術,實現網絡安全體系的完善。
1卷煙企業面臨的網絡安全風險分析
1.1運用網絡進行出口比較頻繁,導致網絡的管理存在難度
卷煙企業要借助網絡進行出口,所以,要面對各個地區不同的用戶,這就導致卷煙企業內部在管理方面存在著很大的缺陷。現在,卷煙企業內部使用網絡的力度越來越大,大多數的業務是運用網絡的,而且業務人員只是在網絡上交流,具有很強的流動性特點,在網絡上還沒有建立和完善相關的網絡行為規范,這就導致了各類人員在網絡上傳播信息,導致卷煙企業內部的服務器受到病毒的侵襲,使企業的網絡安全遭到破壞。
1.2物理層邊界的設置具有模糊性特點
現在,很多企業都在發展信息化建設,很多公司的網絡是連接在一起的,這就導致了企業網絡的物理層之間沒有清晰的界限。現在電子商務發展越來越快,企業都會借助網絡進行交易,導致企業之間的信息共享程度越來越高,企業能夠在很高的權限下完成交易。這就導致了卷煙企業內部的網絡范圍工程了一個邏輯便捷,在使用防火墻的過程中就會受到很多的限制,導致防火墻不能夠及時地將病毒清除。
1.3卷煙企業的入侵審計和防護體系還存在缺陷
現在,互聯網發展的速度非常快,出現了各類網絡攻擊現象,而且計算機病毒每天都在更新和升級,計算機病毒的破壞范圍越來越廣,破壞能力也越來越強,病毒傳播的速度日益加快,病毒在網絡中傳播的形式也是多樣的,讓卷煙企業不能夠及時采取措施防范,導致企業內部的網絡安全受到嚴重的威脅。卷煙企業還沒有制定完善的入侵審計和防御體系,不能夠運用智能化分析的方法,建立病毒的防御功能,而且卷煙企業的網絡對病毒的檢測能力是比較差的,沒有建立統一的網絡安全防護的規范,安全管理措施還沒有全面地落實。
2建立卷煙企業網絡安全防護體系
2.1卷煙企業網絡安全防護體系的建立目標
應該分析卷煙企業網絡安全體系建立的目標,分清企業網絡主要的使用人員,分析網絡使用的性質,結合這些因素,對企業的網絡進行有邏輯性的劃分,在對不同領域的網絡設計不同的防御體系,從而能夠完善對網絡邊界的控制,建立完善的安全防御體系,使網絡之間能夠建立信任。將卷煙企業內部出現的網絡安全問題加以劃分,將大型的以及較為復雜的問題轉化成簡單的問題,從而能夠簡化卷煙企業網絡安全問題的處理。對企業內部的網絡使用,按照功能進行劃分,從而能夠按照區域進行網絡安全的治理,而且還要建立完善的網絡體系,從而能夠確保卷煙企業能夠對網絡安全的管理進行規劃和設計。
2.2卷煙企業應該科學的劃分網絡安全區域
卷煙企業內部的網絡應該根據使用網絡的行為、安全防護體系以及業務操作將網絡的使用分成不同的區域。現在,卷煙企業在使用網絡時,不同的區域關注的內容也是不同的,所以,在對企業的網絡使用區域進行劃分的過程中,需要針對企業內部不同的業務強化網絡使用的管理,不僅僅要使企業能夠借助網絡進行銷售,而且要分析企業內部的網絡區域劃分是否是科學的。卷煙企業內部對網絡使用的劃分不能夠按照單一的方法進行,應該結合企業的實際情況,采取多元化的方法,從而能夠更加清晰地分析出卷煙企業內部網絡業務的實際要求。
2.3卷煙企業應該根據自己使用網絡的情況,建立入侵檢測的動態防護技術
現在,網絡技術發展越來越快,卷煙企業在發展的過程中受到網絡病毒的威脅,網絡入侵的形式也越來越多元化,各類新的病毒不斷地出現,所以,在卷煙企業內部應該根據病毒的形式建立完善的防護體系,應該對實際的網絡應用分析的基礎上,找出網絡應用中最容易出現的漏洞,從而建立入侵檢測和動態保護功能。卷煙企業可以建立備份恢復功能,也可以定期對網絡使用的風險進行分析,建立網絡風險的應急機制,從而能夠防止病毒的進一步入侵。在使用網絡系統時,如果發現企業內部的網絡系統已經受到了病毒的入侵,那么,就要應用到備份恢復機制,使企業的網絡設計可以及時地恢復,使企業的網絡運行不被中斷,不影響企業的業務進行。
隨著企業數量的不斷增多,企業各自的網站管理及瀏覽量也都面對著嚴峻的考驗,而其中網絡安全方面更引起了社會的強烈關注,因此,構建企業網絡信息安全體系成為當務之急,尋找一些安全有效的途徑勢在必行。
1 挖掘網絡科技人才,增強企業網絡信息加密防護
企業大幅增加導致大量的網站逐漸增多,而來自不同環境中的瀏覽次數也在不斷攀升,這些都會對企業網絡信息安全造成一定的影響,輕者導致網絡系統失常,重者促使整個公司的網絡崩潰,一些重要的信息外泄,后果不堪設想。因此,杜絕企業網絡信息的流失才是根本之道,這也就需要大量的網絡科技人才,通過網絡編程與內容編輯等各種方法增強企業網絡信息加密防護。
大量的網絡科技人才通過一套完整的信息編程加密措施,能夠保證企業網站在大量的瀏覽量下,幾乎不會感染病毒木馬,同時保證整個公司的網絡應用順暢快捷。一些新的技術出現,其背后都存在團隊的巨大付出,因此整個網絡科技團隊的質量也是企業網絡信息安全體系建立的關鍵因素,是整個公司網絡安全保障的基石。我們也可以仿效銀行網站的管理方式,雖然企業網站的瀏覽量不及銀行網站,或者企業網站的應用性更狹窄一些,但是我們在企業網站的制作中加入銀行網站的幾個安全特性,這樣也會鞏固整個企業網絡安全屏障。企業網站也具備一定的注冊和登錄功能,此處我們就可以仿效銀行網站,在登錄時針對每個用戶實習密碼加密,這樣就會避免木馬等通過鍵盤痕跡等盜走用戶密碼,從而進一步導致公司信息遭受重創的現象。
2 企業內部人員對網站的不斷更新升級
目前,我國很多企業存在一個很嚴重的問題,企業網站建成后基本上就不怎么用,只將其當成一項業務完成,而沒有對其以后的持續管理及更新升級產生重視,置之不理。這種做法是極其錯誤的,企業網站的一個最大的作用就是宣傳,讓廣大客戶群體能夠對企業有一個充分的認識,及時把握公司的一些新的信息動態。大多數企業的這種針對企業網站置之不理的行為,不但對自身的發展制造了障礙,對整個社會的網絡體系也構成了污染,網站發揮不到應有的作用,還占有域名,讓一些想通過網站大量宣傳自己的企業不能申請。這些現象都應該引起國家有關網絡管理部門和企業內部人員的重視,積極提出建議及正確做法,做到企業網絡信息的不斷更新與升級,這樣才會保證網站的永久創新,也減少了安全信息危害的危險。
當然,現在很多企業已經成立了網絡部門,目的就是針對網絡速度和安全威脅方面提高警惕,采取措施積極阻止。企業內部人員在網站管理方面不但要有一定的理論知識外,更要將其應用與實踐,達到兩者之間的巧妙結合。純網站技術人員還需要積極參與到整個公司的輪崗經驗實習過程中,了解其他部門的工作事項及內容,全面學習網站編輯工作,促使真個公司的近期動態呈現在網站上面,這樣可以保證客戶群體明晰企業的發展動態,也做到了對客戶負責任的目的。企業內部員工應力求保證積極的心態,參與到企業網站建設當中去,針對各自部門的安全信息一定要加密防護,防止外泄,保證網站建設順利進行的同時,公司的工作狀態及安全信息也能夠妥當處置,對公司內部和外部的客戶群體都有一個很好的交代,促進整個企業的發展順利向前。
