基于某企业的网络安全策略范文
基于某企业的网络安全策略篇1
关键词:企业网端点准入防御网络安全
中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00
1 前言
随着计算机网络的快速发展,网络已成为企业生产经营不可缺少的工具。网络发展的初期注重设备的互通性、链路的可靠性,从而达到信息共享的通畅。经过多年的应用与发展,伴随着我们对网络软硬件技术认识的深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业网最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业生产经验蒙受严重损失。在企业网中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合安全策略的终端(如防病毒库版本低,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。因此,研究设计一个能够解决这一危害的防御系统尤为必要。
有鉴于此,通过对目前唐钢企业网状况的调研及其需求分析,研究设计了端点准入防御系统。端点准入防御系统在实际应用中切实可行,以下从其架构和组网方法做出分析。
2 端点准入防御系统架构
端点准入防御系统是整合了孤立的单点防御系统,加强对用户的集中管理,统一实施企业网安全策略,提高网络终端的主动抵抗能力。该系统可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其基本功能是通过安全客户端、安全策略服务器、安全联动设备(如交换机、路由器)以及第三方服务器(如防病毒服务器、补丁服务器)的联动实现的。
2.1安全客户端
安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。其主要功能包括:
(1)利用802.1X认证协议通过接入层交换机实现对终端进行身份验证(用户名、密码、IP、MAC、VLAN),从而实现了端点准入控制。
(2)检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。
(3)安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表、禁止、禁止多网卡)、系统修复补丁升级、病毒库升级等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
(4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
2.2安全策略服务器
安全策略服务器是端点准入系统的管理与控制中心。集中、统一的安全策略管理和安全事件监控。具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(1)用户管理。对用户身份信息、权限、分组策略等管理。网络中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
(2)安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。(3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。(4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
2.3安全联动设备
安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全联动设备采用H3C 3600交换机,利用802.1X协议认证实现端点准入控制。安全联动设备主要实现以下功能:
(1)强制网络接入终端进行身份认证和安全状态评估。(2)隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,可以通过ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。(3)提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如利用H3C 3600交换机的ACL、VLAN功能可以实现按不同用户需求访问不同的信息资源。
2.4第三方服务器
系统中隔离区的资源称为第三方服务器。用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。
3 端点准入防御系统组网方法
该系统组网,不需要对原有主要网络结构进行改动。需要更改的设备只有接入层交换机。接入层交换机只要能支持802.1X协议、ACL、VLAN等功能即可。利用这种组网方法对不符合安全策略的用户隔离严格,可以有效防止来自企业网络内部的安全威胁。
4端点准入防御系统实施的效果
该系统整合防病毒与网络接入控制,大幅提高安全性。确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。通过端点准入防御系统的强制措施,可以保证用户终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。
提高了网络安全性的同时,对网络有效利用率也有很大的提高。减少了用户终端故障频率,提高了工作效率。
5结语
端点准入防御系统提供了一个全新的安全防御体系。将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,有效的控制了非法用户接入唐钢企业网,提高了网络终端的主动抵抗能力。该系统通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升了网络抵御新兴安全威胁的能力。
参考文献
基于某企业的网络安全策略篇2
关键词:网络安全;动态安全模型;P2DR;企业园区网
中图分类号:TP393.08 文献标志码:A
近年来,网络安全技术的研究逐渐摆脱了传统的单一防守思想局限,开始关注入侵检测系统以及实时响应系统在网络安全中的重要作用。P2DR作为一种全面、动态、实时的主动防御和利用入侵检测制定及时响应措施的模型代表,为网络安全管理提供了很好的解决方案。它能够根据网络动态变化的情况及时做出相应的调整,以维持网络系统的相对安全稳定的状态。
1 P2DR模型
P2DR 模型是一个动态模型, 其中引进了时间的概念, 而且对如何实现系统安全, 如何评估安全的状态给出了可操作性的描述, P2DR 模型是对传统安全模型的重大改进。P2DR 模型包含四个主要部分:Policy(安全策略)、Protection (防护)、Detection(检测)、Response(响应)。防护、检测和响应组成了一个较完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。P2DR网络安全模型如图1所示。
(1)Policy。它是模型的核心, 负责制定一系列的控制策略、通信策略和整体安全策略。一个策略体系的建立包括安全策略的制定、评估和执行等。策略意味着网络安全要达到的目标, 它决定了各种措施的强度。因为追求安全是要付出代价的, 一般会牺牲用户使用的舒适度, 还有整个网络系统的运行性能, 因此策略的制定要按照需要进行。在制定好策略之后, 网络安全的其他几个方面就要围绕着策略运行。
(2)Protection。它是模型的重要组成部分,通过传统的静态安全技术和方法来实现,主要有防火墙、数字加密技术、身份认证控制等。通过防火墙监视、限制进出网络的数据包,防范内外网之间的非法访问,提高网络的防护能力,保护信息系统的保密性、完整性、可用性、可控性和不可否认性,可以根据安全策略来制定程序内置主机防火墙策略。
(3)Detection。它是整个模型动态性的体现,能够保证模型随着事件的递增, 防御能力也随着提升。检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁,利用检测工具了解和评估系统的安全状态。
(4)Response。它是解决安全潜在性的最有效的方法,在安全系统中占有重要的地位。主要负责在检测到安全漏洞和安全事件之后及时做出正确的响应,从而把系统调整到风险最低,最为安全的状态。
2 某企业园区网络安全系统方案的设计
随着企业的快速发展,应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,计算机病毒、系统非法入侵、数据泄密、木马植入、漏洞非法利用等信息安全事件时有发生。企业园区的主要功能包括园区办公,科研生产,实验测试等等,而相关的产品设计方案、生产制造数据、设备程序代码等等都是企业赖以生存的商业机密,任何数据的丢失都可能给企业带来无法想象的损失。企业园区信息安全体系最终目的就是保护数据安全,不受偶然的或者恶意的原因而遭到破坏、更改、泄露。
2.1 设计原则
企业园区网络安全体系结构是一种被划分若干层面、多层次和立体的安全构架,体系涉及网络安全策略指导、网络安全标准规范、网络安全防范技术、网络安全管理保障和网络安全服务支持体系等诸多方面,因此建立动态安全体系结构应遵循:
(1)先进性和整体性。它不是一个独立的个体,而是由一组相互补充、相互作用的安全防范标准、技术与工具组成的有机整体;
(2)层次性和区域性。它不是各项安全工具的顺序排列,而应该是在多层次、多区域和不同保护措施的等级上的三维空间中安全工具的有选择的部署,根据安全保护等级在不同层次、不同区域的系统中部署各类安全工具,建立起安全工具之间的依赖关系,形成一个有机的三维网络安全体系。
(3)实用性与通用性。它应该与实际需要协调一致,不同的网络环境应该针对不同的重点采用不同的安全解决方案;
(4)高性能与可扩展性。它应该可以随网络系统的变化而调整,并根据实际需求进行扩展。
2.2 网络安全系统设计
某企业园区网络的典型场景如图2所示。
从图可以看出,整个企业园区网路大致可以分为办公接入区、科研生产区、实验测试区、管理中心区、数据中心区、广域网接入区和生产外联区等7个业务子网区域。数据中心区是整个园区网络的核心部分,对整个数据中心构成安全威胁的区域主要是办公接入区、实验测试区、广域网接入区和生产外联区。因此要做好这四个区域的访问控制限制,避免病毒和攻击入侵到数据中心区,确保整个园区网络系统稳定、可靠、安全的运行,为整个园区的办公与科研生产提供有利的保障。
办公接入区与实验测试区主要是园区用户的PC机接入。一方面,由于很多用户安全意识匮乏,对网络攻击和防范了解又很少,在不知不觉中就遭到了安全攻击;另一方面,整个网络系统还不可避免地受到来自内部一些员工的违规接入、非法上联甚至是恶意的入侵攻击、破坏等行为。此区域需要重点防范基于七层的网络病毒泛滥的威胁,如:木马、蠕虫以及各种基于系统漏洞的病毒,所以,在办公网络接入区和实验测试区部署IPS。
广域网接入区是一个严重的危险区域,该区域是本园区与其他园区及上级部门的汇聚区域,外来数据都要通过此区域流入到园区网络的数据中心,只要有一个节点或者一个分支网点被病毒感染,就会严重威胁到数据中心的安全,使整个园区办公网络与科研生产网络受到严重影响,所以此区域需部署IPS与防火墙。
生产外联区是园区与外界交换的一种重要部分,园区内相关部门通过该区域可以访问互联网,以获取外界最新信息,也方便外网用户访问园区的一些公共信息,实现园区内外的信息交互。随着互联网的发展,生产外联区将会成为展现园区实力一个重点窗口,但同时生产外联区既与网络核心交换区直接相连,又是一个Internet出口,必将是黑客入侵、病毒侵蚀、网络钓鱼欺骗等众多危害最严重的区域,所以此处的安全部署不容忽视,需在出口处部署防火墙和IPS。
2.3 系统的实现
结语
P2DR网络安全模型理论给人们提出了全新的安全概念,安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来解决,而是随着网络技术、应用技术的发展而发展。本文通过对P2DR网络安全模型的研究,结合各种网络安全技术和管理手段,给出了基于P2DR模型的某企业园区网络安全系统的设计方案。实践运行结果表明,该设计方案具有良好的安全效果。
参考文献
[1]侯小梅,毛宗源.基于P2DR模型的Internet安全技术[J].计算机工程与应用,2000.
[2]泽斌.基于P2DR模型的分布式入侵检测系统的设计[J].中国高新技术企业,2007.
基于某企业的网络安全策略篇3
【关键词】防火墙;安全策略;安全意识
1、防火墙安全策略的原理
防火墙又称为防护墙,是一种介于内部网络和外部网络之间的网络安全系统。其基本作用是保护特定的网络不受非法网络或入侵者的攻击,但同时还得允许两个正常网络之间可以进行合法的通信。安全策略就是对通过防护墙的信息数据进行检验,只有符合规则或符合安全策略的合法数据才能通过防火墙的检验,进行数据通信和资源共享。
通过防火墙安全策略可以有效地控制内网用户访问外网的权限,控制内网不同安全级别的子网之间的访问权限等。同时也能够对网络设备本身进行控制,如限制哪些IP地址不能使用设备,控制网管服务器与其他设备间的互相访问等。
在具体防火墙的应用中,防火墙安全策略是对防火墙的数据流进行网络安全访问的基本手段,其决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测,检测对象包括源\目的安全区域、源\目的地址、用户、服务和时间段等。具体步骤如下:
(1)首先是数据流先要经过防火墙;
(2)然后查找防火墙配置的安全策略,判断是否允许下一步的操作;
(3)防火墙根据安全策略定义规则对数据包进行处理。
2、安全策略的分类
安全策略大体可分为三大类:域间安全策略、域内安全策略和接口包过滤。
域间安全策略用于控制域间流量的转发,适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。其也用于控制外界与设备本身的互访,允许或拒绝与设备本身的互访。
域内安全策略与域间安全策略一样,也可以按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。但是在企业中某些部门如财务部等重要数据所在的部门,需要防止内部员工对服务器、PC机等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。
当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务、用户等多种方式匹配流量并执行相应动作。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度较快。
3、安全策略的配置思路
(1)管理员应该首先明确需要划分哪几个安全区域,接口如何来连接,分别加入哪些安全区域。
(2)管理员选择根据源地址或用户来区分企业员工。
(3)先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”,否则为“禁止”。
(4)确定对哪些通过防火墙的流量进行内容安全监测,进行哪些内容安全检测。
(5)将上述步骤规划出的安全策略的相关参数一一列出,并将所有安全策略按照先精确,再宽泛的顺序进行排序。在配置安全策略时需要按照此顺序进行配置。
4、安全策略的具体配置
针对具体的网络拓扑结构以及对防火墙的相关要求,我们在这里对防火墙的安全策略相关配置大体如下:
(1)配置安全区域。
系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级,就可以自行创建新的安全区域并定义其安全级别。具体新建安全区域步骤为:选择网络/安全区域,然后单击“新建”,直接配置安全区域的相关参数即可。
(2)配置地址和地址组。
地址是IPV4地址或MAC地址的集合,地址组是地址的集合。地址包含一个或若干个IPV4地址或MAC地址,类似于一个基础组件,只需定义一次,就可以被各种策略多次引用。
(3)配置地区和地区组。
地区是以地区为单位的IP地址对象,每个地区是当前地区的公网IP地址的集合。为了进一步方便扩展和复用,设备还支持配置地区组供策略引用。配置较为灵活。
(4)配置服务和服务组。
服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。其中,预定义服务是指系统缺省已经存在,可以直接选择的服务类型;自定义服务是通过指定协议类型和端口号等信息来定义的一些应用协议类型。
(5)配置应用和应用组。
应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。具体通过WEB界面配置相应的服务。
(6)配置时间段。
时间段定义了时间范围,定义好的时间段被策略引用侯,可以对某一时间段内流经NGFW的流量进行匹配和控制。具体通过WEB界面进行配置相关时间段。
综上所述,我们在进一步加强网络安全的今天,就必须在增强网络安全意识的前提下,不断地加强网络安全技术。而在防火墙安全技术中,防火墙的安全配置策略就是重中之重。在实际应用过程中,要不断地进行优化处理。只有不断地的丰富和完善,我们的网络世界才会安全通畅!
参考文献:
[1] 宿洁, 袁军鹏. 防火墙技术及其进展[J]. 计算机工程与应用, 2004, 40(9):147-149.
[2] 刘克龙, 蒙杨, 卿斯汉. 一种新型的防火墙系统[J]. 计算机学报, 2000, 23(3):231-236.
[3] 翟钰, 武舒凡, 胡建武. 防火墙包过滤技术发展研究[J]. 计算机应用研究, 2004, 21(9):144-146.
[4] 林晓东, 杨义先. 网络防火墙技术[J]. 电信科学, 1997(3):41-43.
[5] 杨琼, 杨建华, 王习平,等. 基于防火墙与入侵检测联动技术的系统设计[J]. 武汉理工大学学报, 2005, 27(7):112-115.
[6] 钱伟中, 王蔚然, 袁宏春. 分布式防火墙环境的边界防御系统[J]. 电子科技大学学报, 2005, 34(4):513-516.
基于某企业的网络安全策略篇4
电力企业的信息安全不仅影响着其自身的网络信息的化建设进程,也关系着电力生产系统的安全、稳定、经济、优质运行。所以,强化信息网络安全管理,确保电力信息网络的安全性,保证业务操作平台能够稳定、可靠的运行是电力安全工作中的一项核心任务。
1.电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:①物理层面安全,环境安全,设备安全,介质安全;②网络层面安全,网络运行安全,网络传输安全,网络边界安全;③系统层面安全,操作系统安全,数据库管理系统安全;④应用层面安全,办公系统安全,业务系统安全,服务系统安全;⑤管理层面安全,安全管理制度,部门与人员的组织规则。
2.电力信息网络安全存在的问题
2.1 系统漏洞。电力企业使用的都是微软所开发的Windows操作系统。由于一个计算机操作系统过于庞大、复杂,所以它不可能第一次性地发现并解决所有存在的各种漏洞和安全问题,这需要在我们的使用当中不断地被完善。但是,据一些消息称,微软公司对于漏洞信息披露的反应时间为1~2周。但是在这段时间内,这些长久存在或是刚被披露的漏洞很可能被一些居心不良的人所利用,造成对企业信息网络安全的威胁。
2.2 黑客的恶意攻击。如今,社会当中的部分人也拥有了较强的计算机网络操作、控制能力。他们有的出于兴趣爱好、有的出于金钱指使,而对其他网络系统发起恶意的攻击、破坏,以满足自身的各种成就感。在这些攻击行为当中,一部分是主动的进行系统破坏或是更改、删除重要的信息,另一部分是被动的进行监听,窃取电力企业内部网络交流信息,导致信息外泄。
2.3 网络硬件系统不牢固。网络硬件系统不牢固是一个普遍性的问题。尽管互联网的硬件系统已经具有了较高的稳定性和安全性,但其仍然存在的脆弱性也不可忽视,比如雷电所引发的硬件故障,各种传输过程当中受其他因素影响所出现的信息失真等。
2.4 员工的信息网络安全意识不健全。在如今的电力企业当中,许多员工多信息网络的安全意识还不健全。比如用户安全意识不强,系统登录口令过于简单,或是将账户及密码借给他人使用,盲目地进行资源信息共享,这些带全安全威胁性的操作都可能会对企业的信息网络安全带来隐患。还有的员工长时间占用网络,大量消耗了网络资源,增加了企业的网络通信负担,导致企业内部的通信与生产效率较低。更有甚者由于浏览网页或是使用U盘,导致了一些木马、病毒被下载到了计算机系统当中,造成各式各样的网络通信故障。
3.电力信息网络安全策略
3.1设备安全策略
3.1.1 建立配套的绩效管理机制,以促进信息安全运维人员树立良好意识,提高自身信息网络管理能力。
3.1.2 建立电网信息安全事故应急处理预案,例如“突发情况下某某大楼信息系统应急处理预案”,预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管,相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位,各应急单位要定期进行应急演练,保证在发生信息安全事故之时队伍能够拉得出、打得赢。
3.1.3 运用国家电网公司统一的标准化信息安全管理模式,规范日常网络处理流程,严格控制网络接入程序,对新进网络施行过程化管理,例如:申请入网人员必须填写“某公司入网申请单”,并对操作人员严格施行信息网络处理“两票三制”管理,即:操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制,从制度上保证信息网络安全管理。
3.1.4 成立网络信息安全组织机构,例如:成立某公司信息安全领导小组,小组成员包括:公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等,并对各人员工作职责提出具体要求,尤其是必须明确技术实施保障人员的工作要求。
3.2安全技术策略
3.2.1 使用VPN(虚拟隧道)技术。按业务分别建立对应的三层VPN,各VLAN段建立符合实际要求的网络访问控制列表,将网络按部门(楼层)进行分段,对各段网络配置对应的访问控制,设置高强度的网络登录密码,保证网络的安全性。
3.2.2 安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。
3.2.3 病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台PC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网父的防病毒软件,必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。
3.2.4防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术。它通过单一集中的安全检查点,强制实操相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
3.2.5 拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空LAN里,但这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.结束语
电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全,所以利用结构化的观点和方法来看待电力企业信息网络安全系统。基于网络的特殊性,有关供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,方能生成一个高效、通用、安全的网络系统。
参考文献
[1] 杨晶.论计算机网络安全问题及防范措施[J].科技创新导报.2011.
[2] 侯康.浅谈电力调度数据网及其维护[J].科技信息.2011.
作者简介
高飞,男,汉族,大专学历,1975年出生,助理工程师,现从事电力企业信息运维工作。
基于某企业的网络安全策略篇5
关键词:网络;安全管理;技术
随着科学技术的迅猛发展,网络信息技术的全球化运转,网络信息技术已经深入了各行各业的运营管理发展中。网络信息技术具有快速、准确、系统等多方面的信息传递优势,运用网络信息技术进行企业经营管理,直接影响了整个企业的经济效益和经营管理效率。但是,随着企业管理网络的不断扩大和衍生,网络安全管理难度系数越来越大,经常会因为各种网络安全问题导致企业网络瘫痪,企业一旦遭遇网络瘫痪的症状,会对企业的经营管理造成极大的影响,直接损坏了企业的经济效益[1]。因此,各企业运营中越来越重视其网络安全管理工作,本文重点分析了网络安全管理技术问题,并提出了解决方案。
1 网络安全管理主要解决的问题
网路安全管理对企业网络系统的正常运营具有重大意义,其安全管理工作包括防火墙的设置、网络密码加密、电子服务器认证系统以及病毒防控等内容,在安全管理工作当中一旦忽略了当中某一个安全管理环节,会导致网络安全出现漏洞,严重影响整个网络系统的正常运营工。因此,如何保证网络安全管理工作备受业界关注。目前网络安全管理工作需要解决的主要问题包括:
⑴进行严密的安全监控是网络安全管理工作的一个重要部分。通过安全监控工作企业可以及时了解企业内部网络的安全状况,一旦出现问题,可以及时发现并采取相应的措施进行监控。
⑵对企业网络进行补丁管理的配置,在网络安全监控工作中一旦出现企业安全漏洞,可以通过补丁快速进行修复,这样一方面可以大大提高网络系统安全防御能力,同时又能较好的控制企业用户的授权问题。
⑶对企业网络进行集中策略的管理,通过以网络系统为主单位,建议一个自上而下的安全管理策略,将安全管理策略融入到企业网络系统的不同执行点当中,对网络安全管理工作具有重要意义。
2 网络安全管理的核心要素
网络安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具体内容包括以下几个方面:
2.1 安全策略
在网络安全管理技术当中实施安全策略是网络安全的首要因素。通过网络安全管理策略的制定,可以明确网络安全系统建立的理论原因,明确网络安全管理的具体内容以及可以得到什么样的保护。通过安全策略对网络管理规定的安全原则,来定义网络安全管理的对象、安全管理方法以及网络安全状态。另外安全策略指定的过程中要遵守安全管理工作的一致性,避免系统内部安全管理工作当中出现冲突和矛盾,否则容易造成网络安全管理工作的失控[2]。
2.2 安全配置
网络安全配置是指构建网络安全系统的各种设置、网络系统管理的安全选项、安全策略以及安全规则等配置,对网络安全管理具有重要意义。一般情况下,网络安全管理配置主要包括网络运营系统中的防火墙设置、网络数据库系统、操作系统等安全设置,在实际运营过程当中要对网络安全配置进行严格的控制和管理,禁止任何人对网络安全配置进行更改操作。
2.3 安全事件
网络安全事件主要是指影响网络安全以及整个计算机系统的恶意行为。主要包括计算机网络遭到恶意攻击和非法侵入,网络遭遇恶意攻击和非法入侵会导致企业利用网络进行的商业活动被迫终止,程序停止运营,极大程度上影响了企业网络安全管理工作[3]。破坏网络安全的恶意行为通常表现为,利用木马病毒的入侵复制、盗窃企业内部资料和信息;组织企业利用网络进行的商业活动;终止企业运营过程中需要用到的网络资源;监控企业的实际运营管理工作,这给企业正常经营管理工作带来极大的影响。
3 网络安全管理发展趋势
现阶段网络安全管理技术还比较单调,尚未形成一个系统的安全管理机制,在实际管理工作当中还存在许多不足。随着网络技术的不断发展和进步,网络安全管理技术也将得到快速发展,网络安全管理体系将对安全软件以及安全设备进行集中化管理,通过对网络安全的全面监控,切实保障网络安全的可靠性,及时发现运营过程中存在的网络安全隐患;同时,网络安全管理技术将实现系统动态反应以及应急处理中心,实现对突发网络安全事件进行有效预案处理;另外,企业网络安全管理还将对网络系统的相关管理人员、软件、硬件等安全设置集中管理中心,完善安全管理系统[4]。
因此,企业要加强对网络信息技术的安全管理,采取措施严格控制病毒、黑客对企业网络系统的攻击,维护企业网络系统的安全性,保证企业在激烈的竞争环境中长远发展下去。
[参考文献]
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息技术安全技术.信息安全管理实用规则[s].中国高新技术企业,2010,(1):121-122.
[2]wimmasat山ngs,著,杨明,青光辉,齐东望,等,译.密码编码学与网络安全:原理与实践(第二版),电子工业出版社,2001.4.
[3]曹阳,陶舒,尹建华,等.基于移动Agnet的分布式网管系统设计与实现[1J,武汉大学学报(自然科学版),2000,46(3):297一30.
基于某企业的网络安全策略篇6
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起
来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
4 结束语
基于某企业的网络安全策略篇7
关键词:OA;办公系统;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
OA Office Network Security Analysis
Qiao Yongmei
(Yancheng Finance Bureau Information Center,Yancheng 224000,China)
Abstract:The current OA office system based on the existence of network security issues,requirements analysis through the development of an effective and efficient office automation system network security policy,automated office systems to enhance the level of the network,creating a safe environment to run a positive and effective service facilitating role.
Keywords:OA;Office system;Network security
一、OA办公系统面临的网络安全问题
随着网络系统、计算机技术的迅猛发展其应用服务于各行各业体现了优势效能,令社会生产、经营各项事业创设了现代化、网络化高效办公管理模式,同时各类计算机设备、网络管理系统的广泛引入令基于其开展的办公事业面临着愈演愈烈的病毒侵袭,令互联网络、自动化办公系统饱受信息数据不良窃取、内部瘫痪等安全威胁,较易造成不可挽回的经济损失。同时各项办公自动化系统程序一旦感染病毒还会迅速传播至整个互联网络,影响其他程序的正常运行,甚至令服务器系统崩溃。为便捷化办公,许多办公自动化系统主体网络技术均设置同互联网络连接的相关协议接口,这样一来互联网黑客只需截取OA办公网络之中的任何一个节点便可窃取该以太网之上发生的全体数据信息,通过进一步分解达到非法获取重要资料数据目标。借助相关互联网络系统技术构建的OA自动化办公系统中包含较多可以令信息数据被窃取的不良因素,例如黑客恶意入侵对系统数据进行破坏,通过侵入服务器展开对硬盘引导区各类原始数据的恶意篡改删除,令应用程序不良损害。另一类因素为病毒传播破坏,其可以侵入自动化办公系统的数据辖区,例如系统扇区、硬板主引导区、文件目录、FAT表等,同时还可侵入系统数据文件辖区,令各项重要数据被删除、篡改、替换,或令部分信息资料、应用程序不良丢失。另外各类灾难性损害也不容忽视,突发的天灾、人为误操作、强震、强磁力干扰均会令办公自动化系统数据库受到强烈的影响并引发损害现象,造成重要数据的丢失,令办公单位蒙受巨额物力、人力与财力的经济损失。
二、基于科学需求分析构建OA办公系统网络安全策略
(一)自动化办公系统安全需求分析
OA办公系统网络安全目标的树立应以防御外部与内部攻击、侵袭为主体,杜绝非法入侵访问、抑制各类篡改、冒充行为,确保重要信息不被破坏或泄露。因此在构建自动化网络办公系统阶段中我们应充分契合用户丰富需求,集成各项安全技术,确保安全管理有效措施的整合,合理利用行之有效的网络防火墙技术构建强有力的安全保障。同时我们还应完善考虑办公OA系统中心同它类机构展开传递公文、交流信息阶段,其信息数据会通过网络进行传输,一些集团企业、跨国单位需要通过网络展开办公OA系统访问,也就是说各类大规模网络办公自动化系统需要借助互联网络展开交流,而非仅仅在某一局域网中进行有限的交流。因此倘若黑客基于互联网络对信息展开窃听则较易造成严重后果,我们可通过构建专用虚拟网络VPN科学解决公网信息传递综合安全性问题。
(二)专用虚拟网络安全策略
虚拟专用网络安全策略VPN主体通过隧道私有、于不同网络地点构建公共网络设施基础等技术构建了专线专用的办公平台,其仅同属性相当的网络进行信息通信共享,因此可实现私有化的数据专用安全传输。实践管理中我们可科学应用VPN安全策略构建自动化OA办公系统,营造安全有序的数据专线传输环境,令员工即使在远程也可放心通过外部网络进行办公自动化系统的安全访问。同时我们还可借助VPN供应商相应服务转变以往办公系统采用的长途服务专线与拨号模式,提升远程办公效率,确保安全、快捷与可靠的专线网络传输。该安全策略模式下用户可基于本地ISP实现与互联网络连接,在通过网络办公服务器VPN认证后构建一条基于互联网络的安全连接。另外我们应对VPN网络资源展开科学有效管理,从分配客户机网络地址、展开用户身份认证、存储用户信息账号、记录VPN相关活动等层面实施完善管理,对传输于专用隧道之中的数据实施加密,验证双方通信身份,进而确保数据信息传输的科学完整。
(三)防火墙网络安全策略
防火墙是科学设置于办公自动化系统局域网络与服务器VPN之间安全有效的一道屏障,可全面预防潜在、不可预测入侵破坏网络行为。遵循办公自动化OA系统网络安全应用需求我们应科学采用防火墙双层防护方案,分解网络结构为办公OA系统与互联网络网域两部分,令办公OA系统需要同外部互联网络进行连接的较安全级别服务器设置于首层防火墙停火区内,同时令办公OA系统无需进行外部网络连接、对安全级别要求较高的各类服务器放置于二层内网防火墙区域,进而完善提升办公自动化系统服务运行效能,满足首层低安全级别服务器频率较高、连接数量大等需求,同时确保二层高安全级别服务器综合安全运行目标实现。
(四)强化办公自动化系统恢复数据功能
倘若办公自动化系统遭到内部构架的不良破坏,我们可采用计算机数据备份策略激发其恢复数据功能。依据办公自动化系统综合安全性能需求我们可采用内部、外部自动化大容量、高效率数据存储、恢复、备份机制,有效防范互联网硬件技术故障、不良人为操作失误引发的数据丢失现象,同时起到对各类非授权性黑客访问造成的网络攻击与数据完整性破坏进行科学防护。
三、结语
总之,OA办公系统网络安全问题日益严峻,为有效创设自动化办公系统安全、高效、远程、网络化优质运行环境,我们只有依据其面临的安全问题展开安全科学需求分析、制定行之有效的安全防范策略,强化系统恢复数据功能,才能真正提升办公系统效率,令其在自动化、可靠性、科学化服务管理中创设丰富的经济效益与社会效益。
参考文献:
[1]杨卫民.电脑办公自动化实用教程[M].北京:清华大学出版社,2009
基于某企业的网络安全策略篇8
企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的,是一个综合管理系统。从安全形势来看,企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享,但同时在安全方面又是脆弱和复杂的,对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面:信息泄露:信息被泄露或透露给某个非授权的实体;破坏信息的完整性:数据未经非授权被增删、修改或破坏而受到损失;拒绝服务:对信息或其他资源的合法访问被无条件地阻止;非授权访问:某一资源被某个非授权的人,或以非授权的方式使用;窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息;业务流分析:通过对系统进行长期监听,利用统计分析方法对某些参数进行研究,从中发现有价值的信息和规律;假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击;旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利;授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”;特洛伊木马:软件中含有一个觉察不出的有害的程序段,当其被执行时,会破坏用户的安全;陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略;抵赖:这是一种来自用户的攻击,如否认自己曾经过的某条消息、伪造一份对方来信等;重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送;计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人;媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得;物理侵入:侵入者绕过物理控制而获得对系统的访问;窃取:重要的安全物品,如令牌或身份卡被盗;业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。
2企业办公中的信息安全策略
2.1保护网络安全
网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略;制订网络安全的管理措施;使用防火墙;尽可能记录网络上的一切活动;注意对网络设备的物理保护;检验网络平台系统的脆弱性;建立可靠的鉴别机制。
2.2保护应用安全
保护应用安全,主要是针对特定应用(如Web服务器、数据库服务器、ftp服务器等)所建立的安全防护措施,这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
2.3保护系统安全
保护系统安全,是指从整体信息系统的角度进行安全防护,与网络系统硬件平台、操作系统、各种应用软件等互相关联,其安全策略包含下述一些措施:①在安装的软件中,检查和确认未知的安全漏洞;②技术与管理相结合,使系统具有最小穿透风险性。③建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4加强员工的信息安全培训
企业办公中,员工在上班时经常进行一些与工作无关的计算机操作,不仅影响网络速度,更影响系统安全。因此,在整个企业办公中的信息系统管理中,人为因素最重要,必须加强对计算机使用者的安全培训。
上一篇:计算机网络技术就业情况范文 下一篇:提高网络安全防范范文