時間:2023-09-21 17:53:53
序論:在您撰寫企業(yè)網(wǎng)絡安全體系時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度。
隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,它在推動社會進步的同時,網(wǎng)絡安全問題也越來越多的出現(xiàn)在人們的生活當中,企業(yè)也同樣面臨著各種各樣的網(wǎng)絡威脅。面對這樣的局面,企業(yè)該如何解決安全威脅問題呢?據(jù)此研究企業(yè)網(wǎng)絡安全體系,從企業(yè)網(wǎng)絡的特殊性,影響企業(yè)網(wǎng)絡安全的因素,企業(yè)網(wǎng)絡安全的管理辦法以及防火墻技術(shù)的應用幾個方面進行闡述,全面研究企業(yè)網(wǎng)絡安全體系。
關(guān)鍵詞:
企業(yè) 網(wǎng)絡安全 管理辦法
近日,日本養(yǎng)老金管理機構(gòu)因員工操作不當,導致日本養(yǎng)老金系統(tǒng)遭遇網(wǎng)絡攻擊,上百萬份個人信息遭泄露。5月28日,攜程旅行官網(wǎng)突然陷入癱瘓。除首頁可顯示頁面,多數(shù)頻道無法打開。經(jīng)調(diào)查,網(wǎng)絡癱瘓是由于攜程部分服務器遭到網(wǎng)絡攻擊所致。面對這種網(wǎng)絡攻擊越來越多的局面,企業(yè)該如何解決安全威脅問題呢?
一、企業(yè)網(wǎng)絡有哪些特殊性
(一)企業(yè)內(nèi)部網(wǎng)絡與外界網(wǎng)絡是斷開的
企業(yè)內(nèi)部網(wǎng)絡形成了一個單獨的局域互聯(lián)網(wǎng)絡,并沒有與外界網(wǎng)絡的接入端。在企業(yè)內(nèi)部網(wǎng)絡中,企業(yè)網(wǎng)絡的接入口都是在企業(yè)內(nèi)部,企業(yè)外部人員很難控制企業(yè)網(wǎng)絡的接入口。因此,通過外界網(wǎng)絡基本沒有辦法連接到企業(yè)內(nèi)網(wǎng)中來。
(二)企業(yè)網(wǎng)絡對實時性要求很高
盡管企業(yè)內(nèi)部網(wǎng)絡主要傳遞的資料是文字,視頻和圖像類的資料相對很少,所需的網(wǎng)絡流量很小,然而部門會議也會需要傳送視頻和圖像到企業(yè)下一級部門或客戶,甚至企業(yè)需要經(jīng)常開展視頻會議,因此,為了保障信息的高速傳輸,需要為企業(yè)安裝高帶寬的接入端,以免影響企業(yè)信息傳輸速率,造成不必要的損失。
(三)企業(yè)網(wǎng)絡的接入口大多數(shù)在公司內(nèi)部
為了使企業(yè)網(wǎng)絡得到集中管理,一般將企業(yè)網(wǎng)絡的接入口設(shè)在公司內(nèi)部,以確保企業(yè)網(wǎng)絡接入端被其他公司或個人非法侵入。(四)企業(yè)網(wǎng)絡一旦出現(xiàn)問題必將造成不可挽回的后果在企業(yè)網(wǎng)絡中,如果出現(xiàn)服務器被黑客攻擊的狀況,企業(yè)網(wǎng)絡常常出現(xiàn)癱瘓的狀況,進而造成斷網(wǎng)等現(xiàn)象,嚴重的還會出現(xiàn)信息外流,給公司帶來嚴重的后果。從以上分析比較可知,盡管互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡原理一樣,結(jié)構(gòu)上卻存在較大的差異,也正是依據(jù)企業(yè)網(wǎng)絡的特殊性可知,企業(yè)網(wǎng)絡大多是安全的,那么,它又存在哪些不安全因素呢?
二、影響企業(yè)網(wǎng)絡安全的因素
(一)企業(yè)網(wǎng)絡硬件的安全性較差
網(wǎng)絡拓撲結(jié)構(gòu),是指用傳輸媒體互連各種設(shè)備的物理布局,網(wǎng)絡的拓撲結(jié)構(gòu)不合理就會為企業(yè)網(wǎng)絡帶來隱患。因此,企業(yè)網(wǎng)絡拓撲普遍采用服務器通過路由器和防火墻與外網(wǎng)相連。而如果企業(yè)員工通過撥號上網(wǎng),則容易造成公司數(shù)據(jù)外流。同樣,網(wǎng)絡中的硬件設(shè)備也會成為企業(yè)網(wǎng)絡中的安全隱患,例如,某企業(yè)網(wǎng)絡使用一種路由器,該路由器的性能安全性很差。
(二)企業(yè)網(wǎng)絡軟件存在著漏洞
企業(yè)網(wǎng)絡軟件包括很多種,如企業(yè)內(nèi)部使用的操作系統(tǒng),各種瀏覽器等,而這些網(wǎng)絡軟件或多或少都存在一定的安全漏洞。網(wǎng)絡黑客也就利用這個安全漏洞進行網(wǎng)絡侵入,盜取重要信息,隨之而來的給企業(yè)帶來不可彌補的損失。網(wǎng)絡漏洞廣泛存在,由于網(wǎng)絡服務器是企業(yè)網(wǎng)絡中的核心,而在企業(yè)網(wǎng)絡服務器中安裝的軟件和開放的端口越多,于是也越容易遭到網(wǎng)絡攻擊。TCP/IP協(xié)議往往被軟件開發(fā)者忽略,網(wǎng)絡黑客可以利用網(wǎng)絡協(xié)議以假IP地址向網(wǎng)絡主機發(fā)送請求,用以降低主機的工作效率。
(三)企業(yè)網(wǎng)絡容易面臨著計算機病毒與惡意程序
計算機病毒與生物病毒相同,同樣可以自我繁殖、互相傳染以及激活再生。計算機病毒程序寄生在各種類型的文件中,當文件從網(wǎng)上下載或者通過存儲設(shè)備傳播時,計算機病毒也隨之傳播。在企業(yè)網(wǎng)絡中,計算機病毒和惡意程序也容易侵入。對于種類如此繁多且日新月異的計算機病毒,人們并沒有一個根本的解決方法。
(四)企業(yè)網(wǎng)絡時刻面臨網(wǎng)絡入侵
企業(yè)網(wǎng)絡同時也面臨著網(wǎng)絡黑客的入侵,他們通過侵入企業(yè)網(wǎng)絡主機,從而獲取企業(yè)重要的信息,給企業(yè)帶來無可估量的損失。每天,全球200億人使用互聯(lián)網(wǎng),每天全球發(fā)生網(wǎng)絡攻擊2億次,由此可見,網(wǎng)絡入侵成為企業(yè)面臨的重要問題。
三、企業(yè)網(wǎng)絡安全管理辦法
(一)健全的網(wǎng)絡安全制度
為了規(guī)范企業(yè)職員的行為,企業(yè)可針對網(wǎng)絡安全建立規(guī)范的網(wǎng)絡安全管理制度,從而確保網(wǎng)絡安全。網(wǎng)絡安全管理制度的制定不僅僅要規(guī)范企業(yè)員工的網(wǎng)絡安全行為,同時還要確定違反制度后的相關(guān)處罰措施。同時還應指派專門的管理人員根據(jù)管理制度檢查其實施的效果,從而使網(wǎng)絡安全成為企業(yè)網(wǎng)絡安全的重要保證。
(二)員工要具備網(wǎng)絡安全意識
企業(yè)員工為網(wǎng)絡安全的重要實施者,而使他們具有網(wǎng)絡安全意識成為企業(yè)網(wǎng)絡安全的核心問題。企業(yè)可以通過培訓、宣傳等方式,向企業(yè)員工講解相關(guān)事例,讓企業(yè)員工了解企業(yè)網(wǎng)絡安全的重要性。同時培訓相關(guān)企業(yè)網(wǎng)絡安全常識,包括設(shè)置網(wǎng)絡密碼,發(fā)現(xiàn)網(wǎng)絡故障,解決簡單的網(wǎng)絡問題等一系列知識。
(三)網(wǎng)絡設(shè)備的管理
定期升級網(wǎng)絡軟件可以提升網(wǎng)絡安全性,企業(yè)員工必須在指定時間升級網(wǎng)絡軟件。同時,員工應每人應用專屬密碼登陸企業(yè)網(wǎng)絡系統(tǒng),以確保企業(yè)網(wǎng)絡安全。這樣,大大降低了企業(yè)內(nèi)部資料泄漏的幾率。
(四)實施網(wǎng)絡分區(qū)管理辦法
每個企業(yè)的網(wǎng)絡都是比較繁雜的網(wǎng)絡系統(tǒng),而某個小區(qū)域出現(xiàn)的問題都有可能使整個企業(yè)網(wǎng)絡處于癱瘓狀態(tài)。因此,對于復雜的企業(yè)網(wǎng)絡實施分區(qū)管理辦法是每個大型企業(yè)的必然選擇。企業(yè)可以指派專人負責每個分區(qū),把復雜的系統(tǒng)簡單化,責任也分配到個人,從而提升整個系統(tǒng)的安全性和網(wǎng)絡管理人員的工作效率。
四、防火墻技術(shù)在企業(yè)網(wǎng)絡安全中的重要應用
(一)防火墻技術(shù)的技術(shù)基礎(chǔ)
1.設(shè)計理念
防火墻是將所有外來的網(wǎng)絡信息通過指定區(qū)域,并對該區(qū)域進行保護,從而使企業(yè)網(wǎng)絡系統(tǒng)更加安全。系統(tǒng)管理員設(shè)置網(wǎng)絡安全規(guī)則,但凡外部侵入信息都要經(jīng)過安全規(guī)則過濾,從而實現(xiàn)對外界訪問的控制。而滿足網(wǎng)絡規(guī)則的用戶則可以對外網(wǎng)進行訪問。防火墻就是將內(nèi)網(wǎng)與不安全的外網(wǎng)協(xié)議和服務隔離,它通常可以是服務器、個人機、主系統(tǒng)等。
2.安全策略
防火墻的安全策略是防火墻的重要基礎(chǔ)。它按照如下兩個規(guī)則制定:規(guī)則一:通過防火墻規(guī)則的所有訪問都被允許訪問;規(guī)則二:被防火墻規(guī)則拒絕的都禁止訪問。
(二)企業(yè)網(wǎng)絡系統(tǒng)中,防火墻的重要效用
關(guān)鍵詞:企業(yè)網(wǎng) 網(wǎng)絡安全 安全體系 入侵檢測 病毒防護
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,在企業(yè)中運用計算機網(wǎng)絡進行各項工作更加的深入和普及,通過企業(yè)網(wǎng)絡向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業(yè)網(wǎng)絡自身的特點,使安全問題在企業(yè)網(wǎng)絡的運行與管理中格外突出,研究構(gòu)建、完善基于企業(yè)網(wǎng)的信息安全體系,對企業(yè)網(wǎng)安全問題的解決具有重要意義。
一、企業(yè)網(wǎng)絡安全風險狀況概述
企業(yè)網(wǎng)絡是在企業(yè)范圍內(nèi),在一定的思想和理論指導下,為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加,如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡安全的要求是越來越強烈。與其它網(wǎng)絡一樣,企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡安全問題。但是在企業(yè)網(wǎng)絡建設(shè)的過程中,由于對技術(shù)的偏好和運營意識的不足,普遍都存在”重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡規(guī)模的急劇膨脹,網(wǎng)絡用戶的快速增長,關(guān)鍵性應用的普及和深入,企業(yè)網(wǎng)絡在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題,解決網(wǎng)絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網(wǎng)絡入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡。此外,由于企業(yè)網(wǎng)用戶網(wǎng)絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。
因此,在設(shè)計時有必要將公開服務器和外網(wǎng)及內(nèi)部其它業(yè)務網(wǎng)絡進行必要的隔離,避免網(wǎng)絡結(jié)構(gòu)信息外泄;同時還要對網(wǎng)絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業(yè)網(wǎng)絡安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建
網(wǎng)絡安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡安全的動態(tài)防護體系,是動態(tài)加靜態(tài)的防御,是被動加主動的防御甚至抗擊,是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡安全問題不是在網(wǎng)絡中加一個防火墻就能解決的問題,需要有一個科學、系統(tǒng)、全面的網(wǎng)絡安全結(jié)構(gòu)體系。
(一)企業(yè)網(wǎng)絡安全系統(tǒng)設(shè)計目標
企業(yè)網(wǎng)絡系統(tǒng)安全設(shè)計的目標是使在企業(yè)網(wǎng)絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態(tài)。在網(wǎng)絡上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制,網(wǎng)絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態(tài)。
(二) 企業(yè)網(wǎng)防火墻的部署
1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,是為不信任系統(tǒng)提供服務的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全),與內(nèi)網(wǎng)和外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接企業(yè)網(wǎng),外網(wǎng)口通過電信網(wǎng)絡與互聯(lián)網(wǎng)連接。
3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡系統(tǒng)各主要運營環(huán)節(jié)的實時入侵,在企業(yè)網(wǎng)網(wǎng)絡與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng),與防火墻并行的接入網(wǎng)絡中,監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業(yè)網(wǎng)絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術(shù),首先滿足企業(yè)網(wǎng)最迫切的安全需求,所涉及到的安全內(nèi)容有:
①滿足設(shè)備物理安全
②VLAN與IP地址的規(guī)劃與實施
③制定相關(guān)安全策略
④內(nèi)外網(wǎng)隔離與訪問控制
⑤內(nèi)網(wǎng)自身病毒防護
⑥系統(tǒng)自身安全
⑦相關(guān)制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現(xiàn)整個企業(yè)網(wǎng)絡的安全需求。所涉及的安全內(nèi)容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內(nèi)外網(wǎng)病毒防護與控制
⑤動態(tài)調(diào)整安全策略
第三階段:后續(xù)動態(tài)的安全系統(tǒng)調(diào)整與完善。相關(guān)安全策略的調(diào)整與完善以及數(shù)據(jù)備份與災難恢復等。
在上述分析、比較基礎(chǔ)上,我們利用現(xiàn)有的各種網(wǎng)絡安全技術(shù),結(jié)合企業(yè)網(wǎng)的特點,依據(jù)設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡安全體系,成功構(gòu)建了如圖4-1的企業(yè)網(wǎng)絡安全解決方案,對本研究設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡安全體系的實踐應用具有重要的指導意義。
圖4-1 企業(yè)網(wǎng)絡安全體系應用解決方案
關(guān)鍵詞:企業(yè)網(wǎng) 網(wǎng)絡安全 安全體系 入侵檢測 病毒防護
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,在企業(yè)中運用計算機網(wǎng)絡進行各項工作更加的深入和普及,通過企業(yè)網(wǎng)絡向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業(yè)網(wǎng)絡自身的特點,使安全問題在企業(yè)網(wǎng)絡的運行與管理中格外突出,研究構(gòu)建、完善基于企業(yè)網(wǎng)的信息安全體系,對企業(yè)網(wǎng)安全問題的解決具有重要意義。
一、企業(yè)網(wǎng)絡安全風險狀況概述
企業(yè)網(wǎng)絡是在企業(yè)范圍內(nèi),在一定的思想和理論指導下,為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加,如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡安全的要求是越來越強烈。與其它網(wǎng)絡一樣,企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡安全問題。但是在企業(yè)網(wǎng)絡建設(shè)的過程中,由于對技術(shù)的偏好和運營意識的不足,普遍都存在”重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡規(guī)模的急劇膨脹,網(wǎng)絡用戶的快速增長,關(guān)鍵性應用的普及和深入,企業(yè)網(wǎng)絡在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題,解決網(wǎng)絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網(wǎng)絡入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡。此外,由于企業(yè)網(wǎng)用戶網(wǎng)絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。
因此,在設(shè)計時有必要將公開服務器和外網(wǎng)及內(nèi)部其它業(yè)務網(wǎng)絡進行必要的隔離,避免網(wǎng)絡結(jié)構(gòu)信息外泄;同時還要對網(wǎng)絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業(yè)網(wǎng)絡安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建
網(wǎng)絡安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡安全的動態(tài)防護體系,是動態(tài)加靜態(tài)的防御,是被動加主動的防御甚至抗擊,是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡安全問題不是在網(wǎng)絡中加一個防火墻就能解決的問題,需要有一個科學、系統(tǒng)、全面的網(wǎng)絡安全結(jié)構(gòu)體系。
(一)企業(yè)網(wǎng)絡安全系統(tǒng)設(shè)計目標
企業(yè)網(wǎng)絡系統(tǒng)安全設(shè)計的目標是使在企業(yè)網(wǎng)絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態(tài)。在網(wǎng)絡上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制,網(wǎng)絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態(tài)。
(二) 企業(yè)網(wǎng)防火墻的部署
1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,是為不信任系統(tǒng)提供服務的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全),與內(nèi)網(wǎng)和外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接企業(yè)網(wǎng),外網(wǎng)口通過電信網(wǎng)絡與互聯(lián)網(wǎng)連接。
3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡系統(tǒng)各主要運營環(huán)節(jié)的實時入侵,在企業(yè)網(wǎng)網(wǎng)絡與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng),與防火墻并行的接入網(wǎng)絡中,監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業(yè)網(wǎng)絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術(shù),首先滿足企業(yè)網(wǎng)最迫切的安全需求,所涉及到的安全內(nèi)容有:
①滿足設(shè)備物理安全
②VLAN與IP地址的規(guī)劃與實施
③制定相關(guān)安全策略
④內(nèi)外網(wǎng)隔離與訪問控制
⑤內(nèi)網(wǎng)自身病毒防護
⑥系統(tǒng)自身安全
⑦相關(guān)制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現(xiàn)整個企業(yè)網(wǎng)絡的安全需求。所涉及的安全內(nèi)容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內(nèi)外網(wǎng)病毒防護與控制
⑤動態(tài)調(diào)整安全策略
第三階段:后續(xù)動態(tài)的安全系統(tǒng)調(diào)整與完善。相關(guān)安全策略的調(diào)整與完善以及數(shù)據(jù)備份與災難恢復等。
在上述分析、比較基礎(chǔ)上,我們利用現(xiàn)有的各種網(wǎng)絡安全技術(shù),結(jié)合企業(yè)網(wǎng)的特點,依據(jù)設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡安全體系,成功構(gòu)建了如圖4-1的企業(yè)網(wǎng)絡安全解決方案,對本研究設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡安全體系的實踐應用具有重要的指導意義。
圖4-1 企業(yè)網(wǎng)絡安全體系應用解決方案
結(jié) 語
本文通過對企業(yè)網(wǎng)絡特點及所面臨的安全風險分析,從網(wǎng)絡安全系統(tǒng)策略與設(shè)計目標的確立出發(fā),依據(jù)企業(yè)網(wǎng)絡安全策略設(shè)計,構(gòu)建相對比較全面的企業(yè)網(wǎng)絡安全體系,并參照設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡安全體系,給出了一個較全面的企業(yè)網(wǎng)絡安全解決方案。對促進當前我國企業(yè)網(wǎng)絡普遍應用情況下,企業(yè)網(wǎng)絡安全問題的解決,具有重要意義。
參考文獻:
[1]方杰,許峰,黃皓.一種優(yōu)化入侵檢測系統(tǒng)的方案[J.]計算機應用,2005,(01).
[2]李瑩.小型分布式入侵檢測系統(tǒng)的構(gòu)建[J].安陽工學院學報,2005,(06).
一、企業(yè)網(wǎng)絡安全風險狀況概述
企業(yè)網(wǎng)絡是在企業(yè)范圍內(nèi),在一定的思想和理論指導下,為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機網(wǎng)絡。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加,如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡安全的要求是越來越強烈。與其它網(wǎng)絡一樣,企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡安全問題。但是在企業(yè)網(wǎng)絡建設(shè)的過程中,由于對技術(shù)的偏好和運營意識的不足,普遍都存在”重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡規(guī)模的急劇膨脹,網(wǎng)絡用戶的快速增長,關(guān)鍵性應用的普及和深入,企業(yè)網(wǎng)絡在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題,解決網(wǎng)絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網(wǎng)絡入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡。此外,由于企業(yè)網(wǎng)用戶網(wǎng)絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。
因此,在設(shè)計時有必要將公開服務器和外網(wǎng)及內(nèi)部其它業(yè)務網(wǎng)絡進行必要的隔離,避免網(wǎng)絡結(jié)構(gòu)信息外泄;同時還要對網(wǎng)絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業(yè)網(wǎng)絡安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建
網(wǎng)絡安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡安全的動態(tài)防護體系,是動態(tài)加靜態(tài)的防御,是被動加主動的防御甚至抗擊,是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡安全問題不是在網(wǎng)絡中加一個防火墻就能解決的問題,需要有一個科學、系統(tǒng)、全面的網(wǎng)絡安全結(jié)構(gòu)體系。
(一)企業(yè)網(wǎng)絡安全系統(tǒng)設(shè)計目標
企業(yè)網(wǎng)絡系統(tǒng)安全設(shè)計的目標是使在企業(yè)網(wǎng)絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態(tài)。在網(wǎng)絡上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制,網(wǎng)絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態(tài)。
(二)企業(yè)網(wǎng)防火墻的部署
1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,是為不信任系統(tǒng)提供服務的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全),與內(nèi)網(wǎng)和外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接企業(yè)網(wǎng),外網(wǎng)口通過電信網(wǎng)絡與互聯(lián)網(wǎng)連接。
3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡系統(tǒng)各主要運營環(huán)節(jié)的實時入侵,在企業(yè)網(wǎng)網(wǎng)絡與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng),與防火墻并行的接入網(wǎng)絡中,監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業(yè)網(wǎng)絡安全體系實施階段。
第一階段:基本安全需求。第一階段的目標是利用已有的技術(shù),首先滿足企業(yè)網(wǎng)最迫切的安全需求,所涉及到的安全內(nèi)容有:
①滿足設(shè)備物理安全
②VLAN與IP地址的規(guī)劃與實施
③制定相關(guān)安全策略
④內(nèi)外網(wǎng)隔離與訪問控制
⑤內(nèi)網(wǎng)自身病毒防護
⑥系統(tǒng)自身安全
⑦相關(guān)制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現(xiàn)整個企業(yè)網(wǎng)絡的安全需求。所涉及的安全內(nèi)容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內(nèi)外網(wǎng)病毒防護與控制
⑤動態(tài)調(diào)整安全策略
關(guān)鍵詞:企業(yè);網(wǎng)絡;系統(tǒng);安全;虛擬化;信息化
一、 企業(yè)網(wǎng)的組成和所面臨的安全威脅
(一) 企業(yè)網(wǎng)的組成
企業(yè)網(wǎng)一般由兩個大的功能區(qū)域組成:企業(yè)內(nèi)網(wǎng)和企業(yè)外部接入網(wǎng)。我們可以邏輯上把這兩大區(qū)域進一步劃分成若干個模塊,企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。企業(yè)外部接入網(wǎng)包括外網(wǎng)接入模塊和遠程接入模塊兩個部分。不同模塊實現(xiàn)不同的功能,各自的安全需要也有所不同, 需要實施相應的安全策略。模塊與模塊之間的安全策略相互影響、相互作用并互為補充。典型的大型企業(yè)網(wǎng)絡架構(gòu)如下圖:
(二) 企業(yè)網(wǎng)面臨的安全威脅
1. 來自內(nèi)部用戶的安全威脅
大多數(shù)威脅來自于內(nèi)部網(wǎng)絡, 如缺乏安全意識的員工、心懷不滿的員工、公司間諜等都是這類攻擊的來源。
2. 來自外部網(wǎng)絡的安全威脅
隨著信息技術(shù)的不斷發(fā)展,企業(yè)總部與分支以及合作伙伴之間的聯(lián)網(wǎng)需求越來越迫切。它們之間不可避免的需要通過網(wǎng)絡交換信息及共享資源。同時, 企業(yè)網(wǎng)還為內(nèi)部合法員工提供了上互聯(lián)網(wǎng)的途徑, 互聯(lián)網(wǎng)用戶可以訪問企業(yè)對外提供的公共服務器上的信息,由于信息資源的共享同時也給企業(yè)網(wǎng)的內(nèi)、外網(wǎng)安全帶來了一系列的挑戰(zhàn)。
二、 企業(yè)內(nèi)網(wǎng)的安全設(shè)計
企業(yè)內(nèi)網(wǎng)包括管理模塊、核心模塊、分布層模塊、服務器模塊和邊界接入模塊五部分。下面分別分析各個模塊的功能, 及面臨的安全威脅和相對應的安全措施, 以及與其它模塊之間的關(guān)系。
(一) 管理模塊
管理模塊的主要功能是實現(xiàn)企業(yè)網(wǎng)絡的所有設(shè)備和服務器的安全管理。所面臨最主要的安全威脅有未授權(quán)接入、口令攻擊、中間人攻擊等,為了消除以上管理模塊面臨的安全威脅,應采取以下的安全措施:
1. 管理數(shù)據(jù)流和生產(chǎn)網(wǎng)數(shù)據(jù)流需有效的安全隔離,包括盡可能使用安全性高的帶外管理, 在不能使用帶外管理的情況下,帶內(nèi)管理也要做到使用IPSec、SSH等加密傳輸。
2. 采用強力的認證授權(quán)技術(shù)對管理信息進行認證和授權(quán),可以通過采用AAA認證和雙因素認證技術(shù), 保證只有合法的用戶才能管理相應設(shè)備, 并能夠防止密碼泄漏和對密碼竊聽。
3. 采用完善的安全審計技術(shù)對整個網(wǎng)絡(或重要網(wǎng)絡部分)的運行進行記錄和分析,可以通過對記錄的日志數(shù)據(jù)進行分析、比較,找出發(fā)生的網(wǎng)絡安全問題的原因,并為今后網(wǎng)絡整改提供依據(jù)。
4. 部署網(wǎng)絡入侵檢測系統(tǒng),從而能夠?qū)α魅牒土鞒龉芾砟K的數(shù)據(jù)流進行實時的分析并及時發(fā)現(xiàn)可能的入侵行為。
由于管理模塊全網(wǎng)可達, 且能夠?qū)θW(wǎng)的所有設(shè)備和服務器進行管理,所以它的安全防護策略應該是全網(wǎng)最嚴格的。
(二) 核心模塊
核心模塊的主要功能是快速轉(zhuǎn)發(fā)。所面臨主要安全威脅是分組竊聽、功能區(qū)域劃分模糊和如何實現(xiàn)快速故障隔離。當多種應用流量運行在核心模塊時,如何防止不同應用流量被竊聽篡改、如何對不同應用區(qū)域進行分類保護、如何在核心模塊故障發(fā)生時進行有效快速的故障隔離成了當務之急。
核心模塊的主要設(shè)備是三層交換機, 三層交換架構(gòu)是消除分組竊聽威脅的有效手段,而核心三層交換機的虛擬化技術(shù)則可以解決核心功能區(qū)域的精細劃分、實現(xiàn)有效快速的隔離故障,提高系統(tǒng)的可用性,防止級聯(lián)式的服務中斷。通過核心交換機的虛擬化技術(shù)還可實現(xiàn)交換機控制和管理平面的虛擬化,在三層交換機上配置相應的安全策略,為多個應用或部門的流量提供安全的網(wǎng)絡分區(qū),讓每個應用或部門可以獨立管理和維護其各自的配置。
(三) 分布層模塊
分布層模塊主要提供包括路由、QoS和訪問控制。所面臨的主要安全威脅有未授權(quán)訪問、欺騙、病毒和特洛伊木馬的應用。為了消除以上分布層模塊面臨的安全威脅, 分布層模塊應采取以下的安全措施:
1. 針對二層網(wǎng)絡的安全威脅,利用網(wǎng)絡設(shè)備本身的二層網(wǎng)絡安全性能,進行二層網(wǎng)絡安全策略的部署,如二層VLAN劃分、DHCP窺探保護、動態(tài)ARP檢查、IP源地址保護等安全策略。
2. 通過在分布層使用訪問控制, 可以減少一個部門訪問另一部門服務器上保密信息的機會,利用設(shè)備包過濾技術(shù),根據(jù)預先定義好的規(guī)則對包進行過濾,從而達到訪問控制的目的。
3. 通過RFC2827過濾可有效防止源地址欺騙。
4. 部署防病毒系統(tǒng),防止各個工作站感染病毒和特洛伊木馬的應用。
5. 部署網(wǎng)絡準入控制系統(tǒng),通過在網(wǎng)絡中部署網(wǎng)絡準入控制系統(tǒng),可以實現(xiàn)最大限度減少內(nèi)部網(wǎng)絡安全威脅,降低病毒和蠕蟲造成的停機時間。
根據(jù)網(wǎng)絡規(guī)模和性能要求的不同, 核心層和分布層可以結(jié)合起來合二為一, 從而達到減少硬件設(shè)備,達到減少投資與節(jié)能等目的。
(四) 服務器模塊
服務器模塊的主要目標是向最終用戶和設(shè)備提供應用服務。所面臨的主要安全威脅有未授權(quán)訪問、應用層攻擊、IP欺騙、分組竊聽和端口重定向等。為了消除以上安全威脅,應采取以下的安全措施:
1. 使用基于主機和網(wǎng)絡的IDS/IPS系統(tǒng)。
2. 在交換機上配置私有VLAN,實現(xiàn)對服務器的訪問限制, 限制對關(guān)健服務器的隨意訪問。
3. 對服務器及時打上最新的補丁程序。
4. 對服務器區(qū)域(DMZ區(qū)域)進行不同安全級別劃分,通過對不同應用的服務器進行安全級別的劃分,并通過防火墻模塊進行DMZ邏輯區(qū)域的隔離,可以實現(xiàn)服務器故障的快速隔離和服務器間訪問的有效控制。
5. 針對企業(yè)較為重要的郵件應用服務器,可以單獨部署電子郵件安全產(chǎn)品,從而減少與垃圾郵件、病毒和其它各種威脅有關(guān)的宕機,以求減輕技術(shù)人員的負擔。
像分布層模塊一樣, 根據(jù)公司規(guī)模、應用性能及需求的不同, 服務器模塊可以與核心模塊相結(jié)合。
(五) 邊界接入模塊
邊界接入模塊的目標是在網(wǎng)絡邊緣集中來自各個接入網(wǎng)模塊的連接,信息流從邊界接入模塊過濾后路 由至至核心。邊界接入模塊在整體功能方面和分布層模塊有些類似,都采用接入控制來過濾信息流,但邊界接入模塊在一定程度上依賴整個接入網(wǎng)功能區(qū)域來執(zhí)行附加安全功能。像服務器和分布層模塊一樣,如果性能要求不高, 邊界接入模塊可與核心模塊結(jié)合起來。
在邊界接入模塊比較常見的安全措施為應用流量觀察分析和安全網(wǎng)關(guān)。應用流量觀察分析是通過部署流量控制設(shè)備,使用其二至七層強大的應用分析能力,能夠第一時間獲得核心模塊和接入網(wǎng)模塊之間應用流量能見度,并以此為基礎(chǔ)在企業(yè)網(wǎng)絡中部署相應的安全策略(比如限制病毒端口號、限制特定內(nèi)網(wǎng)IP地址、限制特定MAC地址)。安全網(wǎng)關(guān)是通過采用專用的安全網(wǎng)關(guān)技術(shù),實現(xiàn)核心模塊和外網(wǎng)接入網(wǎng)模塊之間的Web內(nèi)容過濾,Web病毒掃描,間諜軟件防御,HTTPS安全控制,防機密數(shù)據(jù)外泄等等安全功能。
三、 企業(yè)接入網(wǎng)的安全設(shè)計
企業(yè)接入網(wǎng)由外網(wǎng)接入模塊和遠程接入模塊兩個部分組成。以下分別闡述各個模塊的功能、面臨的安全威脅和相應的安全措施。
(一) 外網(wǎng)接入模塊
大多企業(yè)網(wǎng)雖然都是專網(wǎng),但是不可避免要和外網(wǎng)連接。外網(wǎng)包括企業(yè)分支網(wǎng)絡、第三方接入網(wǎng)絡和互聯(lián)網(wǎng)。所面臨的主要安全威脅有未授權(quán)接入、應用層攻擊、病毒和特洛伊木馬、拒絕服務攻擊等。主要防御措施有:
1. 在外網(wǎng)接入模塊和外網(wǎng)之間部署防火墻。防火墻應分為兩組防護, 一組用于企業(yè)網(wǎng)與分支機構(gòu)網(wǎng)絡的連接, 另一組用于企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接。防火墻為內(nèi)網(wǎng)的網(wǎng)絡資源提供保護,從而確保只有合法信息流穿過防火墻。部署在企業(yè)網(wǎng)與互聯(lián)網(wǎng)的連接上的防火墻時可以使用目前先進的“云火墻”技術(shù),該技術(shù)可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細信息,實現(xiàn)企業(yè)到互聯(lián)網(wǎng)的網(wǎng)絡安全。
2. 使用防火墻的虛擬化技術(shù),將單一防火墻設(shè)備邏輯劃分為多個虛擬防火墻,每個防火墻有自己的策略且分別進行管理,可以實現(xiàn)不同區(qū)域模塊之間的安全控制和設(shè)備資源的高效利用。
3. 部署IDS/IPS入侵檢測/防御系統(tǒng),有條件的情況下, 在防火墻的內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域都要部署入侵檢測/防御系統(tǒng), 以實時檢測來自外網(wǎng)的入侵行為。
4. 建立統(tǒng)一的應用服務器用于與其它分支網(wǎng)絡構(gòu)建統(tǒng)一接入平臺,應用服務器作為所有應用服務的, 通過進行更嚴格的應用數(shù)據(jù)流檢查和過濾,有利于外網(wǎng)接入模塊的標準化和可擴展性的提升。
5. 在與互聯(lián)網(wǎng)連接的企業(yè)網(wǎng)絡邊緣部署路由器,并通過在路由器入口進行數(shù)據(jù)流的過濾,路由器對大多數(shù)攻擊提供了過濾器,同時進行RFC1918和RFC2827過濾, 作為對過濾的驗證, 路由器還應丟棄‘碎片’的數(shù)據(jù)包。對于過濾造成的合法數(shù)據(jù)包丟棄相比這些數(shù)據(jù)包帶來的安全風險是值得的。
(二) 遠程接入模塊
遠程接入模塊的主要目標有三個:從遠程用戶端接VPN信息流、為從遠程站點VPN信息流提供一個集線器以及撥號用戶。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權(quán)接入和中間人攻擊等。此模塊的核心要求是擁有三個獨立外部用戶服務驗證和端接,對于此模塊來說信息流的來源是來自于企業(yè)網(wǎng)絡外的不可信源, 因此要為這三種服務的每一種提供一個防火墻上的獨立接口。
1. 遠程接入VPN,遠程接入VPN推薦使用IPSec協(xié)議。此服務的安全管理是通過將所有IPSec的安全參數(shù)從中央站點推向遠程用戶實現(xiàn)的。
2. 撥號接入用戶,AAA和一次性口令服務器可用來驗證和提供口令。
3. 站點間VPN,與站點間連接相關(guān)的IP信息流在傳輸模式下由配置成GRE隧道來實現(xiàn)。
以上來自三種服務的信息流應集中接入到防火墻的一個專用接口上。條件允許時在防火墻的內(nèi)口或外口部署IDS/IPS系統(tǒng), 以檢測可能的攻擊行為。
四、 模塊之間的相互關(guān)系
采用模塊化設(shè)計時, 不是簡單地將網(wǎng)絡安全設(shè)計分解成各個孤立的模塊, 各模塊之間緊密聯(lián)系,其安全防護措施也直接影響到其它模塊的安全。
管理模塊是整個網(wǎng)絡安全體系的核心、位于其它所有模塊的最頂層。網(wǎng)絡安全體系的建立, 應該首先建立管理模塊的安全結(jié)構(gòu)。它相對于其它模塊有著很大的獨立性, 但它是建立其它模塊安全結(jié)構(gòu)的基礎(chǔ)和前提。
核心模塊、服務器模塊和分布層模塊構(gòu)成企業(yè)網(wǎng)絡的內(nèi)部網(wǎng)絡。這三個模塊主要防范來自企業(yè)網(wǎng)內(nèi)部的安全威脅:分布層模塊提供了針對內(nèi)部發(fā)起攻擊的第一道防線;核心模塊的主要目標是線速的轉(zhuǎn)發(fā)數(shù)據(jù)流, 其安全性主要依賴于核心模塊交換設(shè)備本身的安全設(shè)置以及分布層模塊的安全防護;服務器模塊往往會成為內(nèi)部攻擊的主要目標, 安全性除了自身的安全措施和分布層模塊的安全防護外, 嚴格的安全管理是極為重要的。
邊界接入模塊是連接企業(yè)內(nèi)網(wǎng)和外部接入網(wǎng)的橋梁和紐帶。邊界接入模塊在外部接入網(wǎng)安全措施的基礎(chǔ)上, 為企業(yè)內(nèi)網(wǎng)提供附加的安全功能。
外部接入網(wǎng)為企業(yè)內(nèi)網(wǎng)提供了第一道安全防線, 也是外網(wǎng)接入企業(yè)網(wǎng)內(nèi)網(wǎng)統(tǒng)一的接入平臺。
模塊化的設(shè)計將復雜的大型網(wǎng)絡劃分為幾個相對簡單的模塊, 以模塊為基本單位構(gòu)筑整個網(wǎng)絡的安全體系結(jié)構(gòu)。使用模塊化的網(wǎng)絡安全設(shè)計能夠很容易實現(xiàn)單個模塊的安全功能,并實現(xiàn)模塊與模塊間的安全關(guān)系,從而在整個企業(yè)網(wǎng)絡中形成分層次的縱深防御體系。還能夠使設(shè)計者進行逐個模塊的安全風險評估和實施安全, 而非試圖在一個階段就完成整個體系結(jié)構(gòu)。
參考文獻:
[1] 崔國慶. 計算機網(wǎng)絡安全技術(shù)與防護的研究?. 電腦知識與技術(shù),2009年9月.
現(xiàn)在,網(wǎng)絡信息逐漸實現(xiàn)了共享,在共享網(wǎng)絡信息的過程中,能夠為人們的交流提供便利,但是,各種病毒在網(wǎng)絡中出現(xiàn),導致了網(wǎng)絡信息的泄露,給人們的生活和生產(chǎn)帶來很大的麻煩,使網(wǎng)絡信息的安全存在著隱患。所以,建立完善的企業(yè)網(wǎng)絡安全防護體系是十分必要的。現(xiàn)在,卷煙企業(yè)要想促進自身的額發(fā)展,就必須針對企業(yè)內(nèi)部對網(wǎng)絡應用的特點,使企業(yè)內(nèi)部的網(wǎng)絡結(jié)構(gòu)得以優(yōu)化,通過完善網(wǎng)絡的安全技術(shù),實現(xiàn)網(wǎng)絡安全體系的完善。
1卷煙企業(yè)面臨的網(wǎng)絡安全風險分析
1.1運用網(wǎng)絡進行出口比較頻繁,導致網(wǎng)絡的管理存在難度
卷煙企業(yè)要借助網(wǎng)絡進行出口,所以,要面對各個地區(qū)不同的用戶,這就導致卷煙企業(yè)內(nèi)部在管理方面存在著很大的缺陷。現(xiàn)在,卷煙企業(yè)內(nèi)部使用網(wǎng)絡的力度越來越大,大多數(shù)的業(yè)務是運用網(wǎng)絡的,而且業(yè)務人員只是在網(wǎng)絡上交流,具有很強的流動性特點,在網(wǎng)絡上還沒有建立和完善相關(guān)的網(wǎng)絡行為規(guī)范,這就導致了各類人員在網(wǎng)絡上傳播信息,導致卷煙企業(yè)內(nèi)部的服務器受到病毒的侵襲,使企業(yè)的網(wǎng)絡安全遭到破壞。
1.2物理層邊界的設(shè)置具有模糊性特點
現(xiàn)在,很多企業(yè)都在發(fā)展信息化建設(shè),很多公司的網(wǎng)絡是連接在一起的,這就導致了企業(yè)網(wǎng)絡的物理層之間沒有清晰的界限。現(xiàn)在電子商務發(fā)展越來越快,企業(yè)都會借助網(wǎng)絡進行交易,導致企業(yè)之間的信息共享程度越來越高,企業(yè)能夠在很高的權(quán)限下完成交易。這就導致了卷煙企業(yè)內(nèi)部的網(wǎng)絡范圍工程了一個邏輯便捷,在使用防火墻的過程中就會受到很多的限制,導致防火墻不能夠及時地將病毒清除。
1.3卷煙企業(yè)的入侵審計和防護體系還存在缺陷
現(xiàn)在,互聯(lián)網(wǎng)發(fā)展的速度非常快,出現(xiàn)了各類網(wǎng)絡攻擊現(xiàn)象,而且計算機病毒每天都在更新和升級,計算機病毒的破壞范圍越來越廣,破壞能力也越來越強,病毒傳播的速度日益加快,病毒在網(wǎng)絡中傳播的形式也是多樣的,讓卷煙企業(yè)不能夠及時采取措施防范,導致企業(yè)內(nèi)部的網(wǎng)絡安全受到嚴重的威脅。卷煙企業(yè)還沒有制定完善的入侵審計和防御體系,不能夠運用智能化分析的方法,建立病毒的防御功能,而且卷煙企業(yè)的網(wǎng)絡對病毒的檢測能力是比較差的,沒有建立統(tǒng)一的網(wǎng)絡安全防護的規(guī)范,安全管理措施還沒有全面地落實。
2建立卷煙企業(yè)網(wǎng)絡安全防護體系
2.1卷煙企業(yè)網(wǎng)絡安全防護體系的建立目標
應該分析卷煙企業(yè)網(wǎng)絡安全體系建立的目標,分清企業(yè)網(wǎng)絡主要的使用人員,分析網(wǎng)絡使用的性質(zhì),結(jié)合這些因素,對企業(yè)的網(wǎng)絡進行有邏輯性的劃分,在對不同領(lǐng)域的網(wǎng)絡設(shè)計不同的防御體系,從而能夠完善對網(wǎng)絡邊界的控制,建立完善的安全防御體系,使網(wǎng)絡之間能夠建立信任。將卷煙企業(yè)內(nèi)部出現(xiàn)的網(wǎng)絡安全問題加以劃分,將大型的以及較為復雜的問題轉(zhuǎn)化成簡單的問題,從而能夠簡化卷煙企業(yè)網(wǎng)絡安全問題的處理。對企業(yè)內(nèi)部的網(wǎng)絡使用,按照功能進行劃分,從而能夠按照區(qū)域進行網(wǎng)絡安全的治理,而且還要建立完善的網(wǎng)絡體系,從而能夠確保卷煙企業(yè)能夠?qū)W(wǎng)絡安全的管理進行規(guī)劃和設(shè)計。
2.2卷煙企業(yè)應該科學的劃分網(wǎng)絡安全區(qū)域
卷煙企業(yè)內(nèi)部的網(wǎng)絡應該根據(jù)使用網(wǎng)絡的行為、安全防護體系以及業(yè)務操作將網(wǎng)絡的使用分成不同的區(qū)域。現(xiàn)在,卷煙企業(yè)在使用網(wǎng)絡時,不同的區(qū)域關(guān)注的內(nèi)容也是不同的,所以,在對企業(yè)的網(wǎng)絡使用區(qū)域進行劃分的過程中,需要針對企業(yè)內(nèi)部不同的業(yè)務強化網(wǎng)絡使用的管理,不僅僅要使企業(yè)能夠借助網(wǎng)絡進行銷售,而且要分析企業(yè)內(nèi)部的網(wǎng)絡區(qū)域劃分是否是科學的。卷煙企業(yè)內(nèi)部對網(wǎng)絡使用的劃分不能夠按照單一的方法進行,應該結(jié)合企業(yè)的實際情況,采取多元化的方法,從而能夠更加清晰地分析出卷煙企業(yè)內(nèi)部網(wǎng)絡業(yè)務的實際要求。
2.3卷煙企業(yè)應該根據(jù)自己使用網(wǎng)絡的情況,建立入侵檢測的動態(tài)防護技術(shù)
現(xiàn)在,網(wǎng)絡技術(shù)發(fā)展越來越快,卷煙企業(yè)在發(fā)展的過程中受到網(wǎng)絡病毒的威脅,網(wǎng)絡入侵的形式也越來越多元化,各類新的病毒不斷地出現(xiàn),所以,在卷煙企業(yè)內(nèi)部應該根據(jù)病毒的形式建立完善的防護體系,應該對實際的網(wǎng)絡應用分析的基礎(chǔ)上,找出網(wǎng)絡應用中最容易出現(xiàn)的漏洞,從而建立入侵檢測和動態(tài)保護功能。卷煙企業(yè)可以建立備份恢復功能,也可以定期對網(wǎng)絡使用的風險進行分析,建立網(wǎng)絡風險的應急機制,從而能夠防止病毒的進一步入侵。在使用網(wǎng)絡系統(tǒng)時,如果發(fā)現(xiàn)企業(yè)內(nèi)部的網(wǎng)絡系統(tǒng)已經(jīng)受到了病毒的入侵,那么,就要應用到備份恢復機制,使企業(yè)的網(wǎng)絡設(shè)計可以及時地恢復,使企業(yè)的網(wǎng)絡運行不被中斷,不影響企業(yè)的業(yè)務進行。
隨著企業(yè)數(shù)量的不斷增多,企業(yè)各自的網(wǎng)站管理及瀏覽量也都面對著嚴峻的考驗,而其中網(wǎng)絡安全方面更引起了社會的強烈關(guān)注,因此,構(gòu)建企業(yè)網(wǎng)絡信息安全體系成為當務之急,尋找一些安全有效的途徑勢在必行。
1 挖掘網(wǎng)絡科技人才,增強企業(yè)網(wǎng)絡信息加密防護
企業(yè)大幅增加導致大量的網(wǎng)站逐漸增多,而來自不同環(huán)境中的瀏覽次數(shù)也在不斷攀升,這些都會對企業(yè)網(wǎng)絡信息安全造成一定的影響,輕者導致網(wǎng)絡系統(tǒng)失常,重者促使整個公司的網(wǎng)絡崩潰,一些重要的信息外泄,后果不堪設(shè)想。因此,杜絕企業(yè)網(wǎng)絡信息的流失才是根本之道,這也就需要大量的網(wǎng)絡科技人才,通過網(wǎng)絡編程與內(nèi)容編輯等各種方法增強企業(yè)網(wǎng)絡信息加密防護。
大量的網(wǎng)絡科技人才通過一套完整的信息編程加密措施,能夠保證企業(yè)網(wǎng)站在大量的瀏覽量下,幾乎不會感染病毒木馬,同時保證整個公司的網(wǎng)絡應用順暢快捷。一些新的技術(shù)出現(xiàn),其背后都存在團隊的巨大付出,因此整個網(wǎng)絡科技團隊的質(zhì)量也是企業(yè)網(wǎng)絡信息安全體系建立的關(guān)鍵因素,是整個公司網(wǎng)絡安全保障的基石。我們也可以仿效銀行網(wǎng)站的管理方式,雖然企業(yè)網(wǎng)站的瀏覽量不及銀行網(wǎng)站,或者企業(yè)網(wǎng)站的應用性更狹窄一些,但是我們在企業(yè)網(wǎng)站的制作中加入銀行網(wǎng)站的幾個安全特性,這樣也會鞏固整個企業(yè)網(wǎng)絡安全屏障。企業(yè)網(wǎng)站也具備一定的注冊和登錄功能,此處我們就可以仿效銀行網(wǎng)站,在登錄時針對每個用戶實習密碼加密,這樣就會避免木馬等通過鍵盤痕跡等盜走用戶密碼,從而進一步導致公司信息遭受重創(chuàng)的現(xiàn)象。
2 企業(yè)內(nèi)部人員對網(wǎng)站的不斷更新升級
目前,我國很多企業(yè)存在一個很嚴重的問題,企業(yè)網(wǎng)站建成后基本上就不怎么用,只將其當成一項業(yè)務完成,而沒有對其以后的持續(xù)管理及更新升級產(chǎn)生重視,置之不理。這種做法是極其錯誤的,企業(yè)網(wǎng)站的一個最大的作用就是宣傳,讓廣大客戶群體能夠?qū)ζ髽I(yè)有一個充分的認識,及時把握公司的一些新的信息動態(tài)。大多數(shù)企業(yè)的這種針對企業(yè)網(wǎng)站置之不理的行為,不但對自身的發(fā)展制造了障礙,對整個社會的網(wǎng)絡體系也構(gòu)成了污染,網(wǎng)站發(fā)揮不到應有的作用,還占有域名,讓一些想通過網(wǎng)站大量宣傳自己的企業(yè)不能申請。這些現(xiàn)象都應該引起國家有關(guān)網(wǎng)絡管理部門和企業(yè)內(nèi)部人員的重視,積極提出建議及正確做法,做到企業(yè)網(wǎng)絡信息的不斷更新與升級,這樣才會保證網(wǎng)站的永久創(chuàng)新,也減少了安全信息危害的危險。
當然,現(xiàn)在很多企業(yè)已經(jīng)成立了網(wǎng)絡部門,目的就是針對網(wǎng)絡速度和安全威脅方面提高警惕,采取措施積極阻止。企業(yè)內(nèi)部人員在網(wǎng)站管理方面不但要有一定的理論知識外,更要將其應用與實踐,達到兩者之間的巧妙結(jié)合。純網(wǎng)站技術(shù)人員還需要積極參與到整個公司的輪崗經(jīng)驗實習過程中,了解其他部門的工作事項及內(nèi)容,全面學習網(wǎng)站編輯工作,促使真?zhèn)€公司的近期動態(tài)呈現(xiàn)在網(wǎng)站上面,這樣可以保證客戶群體明晰企業(yè)的發(fā)展動態(tài),也做到了對客戶負責任的目的。企業(yè)內(nèi)部員工應力求保證積極的心態(tài),參與到企業(yè)網(wǎng)站建設(shè)當中去,針對各自部門的安全信息一定要加密防護,防止外泄,保證網(wǎng)站建設(shè)順利進行的同時,公司的工作狀態(tài)及安全信息也能夠妥當處置,對公司內(nèi)部和外部的客戶群體都有一個很好的交代,促進整個企業(yè)的發(fā)展順利向前。
