时间:2023-09-21 17:53:53
序论:在您撰写企业网络安全体系时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
随着互联网技术的飞速发展,它在推动社会进步的同时,网络安全问题也越来越多的出现在人们的生活当中,企业也同样面临着各种各样的网络威胁。面对这样的局面,企业该如何解决安全威胁问题呢?据此研究企业网络安全体系,从企业网络的特殊性,影响企业网络安全的因素,企业网络安全的管理办法以及防火墙技术的应用几个方面进行阐述,全面研究企业网络安全体系。
关键词:
企业 网络安全 管理办法
近日,日本养老金管理机构因员工操作不当,导致日本养老金系统遭遇网络攻击,上百万份个人信息遭泄露。5月28日,携程旅行官网突然陷入瘫痪。除首页可显示页面,多数频道无法打开。经调查,网络瘫痪是由于携程部分服务器遭到网络攻击所致。面对这种网络攻击越来越多的局面,企业该如何解决安全威胁问题呢?
一、企业网络有哪些特殊性
(一)企业内部网络与外界网络是断开的
企业内部网络形成了一个单独的局域互联网络,并没有与外界网络的接入端。在企业内部网络中,企业网络的接入口都是在企业内部,企业外部人员很难控制企业网络的接入口。因此,通过外界网络基本没有办法连接到企业内网中来。
(二)企业网络对实时性要求很高
尽管企业内部网络主要传递的资料是文字,视频和图像类的资料相对很少,所需的网络流量很小,然而部门会议也会需要传送视频和图像到企业下一级部门或客户,甚至企业需要经常开展视频会议,因此,为了保障信息的高速传输,需要为企业安装高带宽的接入端,以免影响企业信息传输速率,造成不必要的损失。
(三)企业网络的接入口大多数在公司内部
为了使企业网络得到集中管理,一般将企业网络的接入口设在公司内部,以确保企业网络接入端被其他公司或个人非法侵入。(四)企业网络一旦出现问题必将造成不可挽回的后果在企业网络中,如果出现服务器被黑客攻击的状况,企业网络常常出现瘫痪的状况,进而造成断网等现象,严重的还会出现信息外流,给公司带来严重的后果。从以上分析比较可知,尽管互联网与企业网络原理一样,结构上却存在较大的差异,也正是依据企业网络的特殊性可知,企业网络大多是安全的,那么,它又存在哪些不安全因素呢?
二、影响企业网络安全的因素
(一)企业网络硬件的安全性较差
网络拓扑结构,是指用传输媒体互连各种设备的物理布局,网络的拓扑结构不合理就会为企业网络带来隐患。因此,企业网络拓扑普遍采用服务器通过路由器和防火墙与外网相连。而如果企业员工通过拨号上网,则容易造成公司数据外流。同样,网络中的硬件设备也会成为企业网络中的安全隐患,例如,某企业网络使用一种路由器,该路由器的性能安全性很差。
(二)企业网络软件存在着漏洞
企业网络软件包括很多种,如企业内部使用的操作系统,各种浏览器等,而这些网络软件或多或少都存在一定的安全漏洞。网络黑客也就利用这个安全漏洞进行网络侵入,盗取重要信息,随之而来的给企业带来不可弥补的损失。网络漏洞广泛存在,由于网络服务器是企业网络中的核心,而在企业网络服务器中安装的软件和开放的端口越多,于是也越容易遭到网络攻击。TCP/IP协议往往被软件开发者忽略,网络黑客可以利用网络协议以假IP地址向网络主机发送请求,用以降低主机的工作效率。
(三)企业网络容易面临着计算机病毒与恶意程序
计算机病毒与生物病毒相同,同样可以自我繁殖、互相传染以及激活再生。计算机病毒程序寄生在各种类型的文件中,当文件从网上下载或者通过存储设备传播时,计算机病毒也随之传播。在企业网络中,计算机病毒和恶意程序也容易侵入。对于种类如此繁多且日新月异的计算机病毒,人们并没有一个根本的解决方法。
(四)企业网络时刻面临网络入侵
企业网络同时也面临着网络黑客的入侵,他们通过侵入企业网络主机,从而获取企业重要的信息,给企业带来无可估量的损失。每天,全球200亿人使用互联网,每天全球发生网络攻击2亿次,由此可见,网络入侵成为企业面临的重要问题。
三、企业网络安全管理办法
(一)健全的网络安全制度
为了规范企业职员的行为,企业可针对网络安全建立规范的网络安全管理制度,从而确保网络安全。网络安全管理制度的制定不仅仅要规范企业员工的网络安全行为,同时还要确定违反制度后的相关处罚措施。同时还应指派专门的管理人员根据管理制度检查其实施的效果,从而使网络安全成为企业网络安全的重要保证。
(二)员工要具备网络安全意识
企业员工为网络安全的重要实施者,而使他们具有网络安全意识成为企业网络安全的核心问题。企业可以通过培训、宣传等方式,向企业员工讲解相关事例,让企业员工了解企业网络安全的重要性。同时培训相关企业网络安全常识,包括设置网络密码,发现网络故障,解决简单的网络问题等一系列知识。
(三)网络设备的管理
定期升级网络软件可以提升网络安全性,企业员工必须在指定时间升级网络软件。同时,员工应每人应用专属密码登陆企业网络系统,以确保企业网络安全。这样,大大降低了企业内部资料泄漏的几率。
(四)实施网络分区管理办法
每个企业的网络都是比较繁杂的网络系统,而某个小区域出现的问题都有可能使整个企业网络处于瘫痪状态。因此,对于复杂的企业网络实施分区管理办法是每个大型企业的必然选择。企业可以指派专人负责每个分区,把复杂的系统简单化,责任也分配到个人,从而提升整个系统的安全性和网络管理人员的工作效率。
四、防火墙技术在企业网络安全中的重要应用
(一)防火墙技术的技术基础
1.设计理念
防火墙是将所有外来的网络信息通过指定区域,并对该区域进行保护,从而使企业网络系统更加安全。系统管理员设置网络安全规则,但凡外部侵入信息都要经过安全规则过滤,从而实现对外界访问的控制。而满足网络规则的用户则可以对外网进行访问。防火墙就是将内网与不安全的外网协议和服务隔离,它通常可以是服务器、个人机、主系统等。
2.安全策略
防火墙的安全策略是防火墙的重要基础。它按照如下两个规则制定:规则一:通过防火墙规则的所有访问都被允许访问;规则二:被防火墙规则拒绝的都禁止访问。
(二)企业网络系统中,防火墙的重要效用
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案
结 语
本文通过对企业网络特点及所面临的安全风险分析,从网络安全系统策略与设计目标的确立出发,依据企业网络安全策略设计,构建相对比较全面的企业网络安全体系,并参照设计、构建的企业网络安全体系,给出了一个较全面的企业网络安全解决方案。对促进当前我国企业网络普遍应用情况下,企业网络安全问题的解决,具有重要意义。
参考文献:
[1]方杰,许峰,黄皓.一种优化入侵检测系统的方案[J.]计算机应用,2005,(01).
[2]李莹.小型分布式入侵检测系统的构建[J].安阳工学院学报,2005,(06).
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二)企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。
第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
关键词:企业;网络;系统;安全;虚拟化;信息化
一、 企业网的组成和所面临的安全威胁
(一) 企业网的组成
企业网一般由两个大的功能区域组成:企业内网和企业外部接入网。我们可以逻辑上把这两大区域进一步划分成若干个模块,企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。企业外部接入网包括外网接入模块和远程接入模块两个部分。不同模块实现不同的功能,各自的安全需要也有所不同, 需要实施相应的安全策略。模块与模块之间的安全策略相互影响、相互作用并互为补充。典型的大型企业网络架构如下图:
(二) 企业网面临的安全威胁
1. 来自内部用户的安全威胁
大多数威胁来自于内部网络, 如缺乏安全意识的员工、心怀不满的员工、公司间谍等都是这类攻击的来源。
2. 来自外部网络的安全威胁
随着信息技术的不断发展,企业总部与分支以及合作伙伴之间的联网需求越来越迫切。它们之间不可避免的需要通过网络交换信息及共享资源。同时, 企业网还为内部合法员工提供了上互联网的途径, 互联网用户可以访问企业对外提供的公共服务器上的信息,由于信息资源的共享同时也给企业网的内、外网安全带来了一系列的挑战。
二、 企业内网的安全设计
企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。下面分别分析各个模块的功能, 及面临的安全威胁和相对应的安全措施, 以及与其它模块之间的关系。
(一) 管理模块
管理模块的主要功能是实现企业网络的所有设备和服务器的安全管理。所面临最主要的安全威胁有未授权接入、口令攻击、中间人攻击等,为了消除以上管理模块面临的安全威胁,应采取以下的安全措施:
1. 管理数据流和生产网数据流需有效的安全隔离,包括尽可能使用安全性高的带外管理, 在不能使用带外管理的情况下,带内管理也要做到使用IPSec、SSH等加密传输。
2. 采用强力的认证授权技术对管理信息进行认证和授权,可以通过采用AAA认证和双因素认证技术, 保证只有合法的用户才能管理相应设备, 并能够防止密码泄漏和对密码窃听。
3. 采用完善的安全审计技术对整个网络(或重要网络部分)的运行进行记录和分析,可以通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并为今后网络整改提供依据。
4. 部署网络入侵检测系统,从而能够对流入和流出管理模块的数据流进行实时的分析并及时发现可能的入侵行为。
由于管理模块全网可达, 且能够对全网的所有设备和服务器进行管理,所以它的安全防护策略应该是全网最严格的。
(二) 核心模块
核心模块的主要功能是快速转发。所面临主要安全威胁是分组窃听、功能区域划分模糊和如何实现快速故障隔离。当多种应用流量运行在核心模块时,如何防止不同应用流量被窃听篡改、如何对不同应用区域进行分类保护、如何在核心模块故障发生时进行有效快速的故障隔离成了当务之急。
核心模块的主要设备是三层交换机, 三层交换架构是消除分组窃听威胁的有效手段,而核心三层交换机的虚拟化技术则可以解决核心功能区域的精细划分、实现有效快速的隔离故障,提高系统的可用性,防止级联式的服务中断。通过核心交换机的虚拟化技术还可实现交换机控制和管理平面的虚拟化,在三层交换机上配置相应的安全策略,为多个应用或部门的流量提供安全的网络分区,让每个应用或部门可以独立管理和维护其各自的配置。
(三) 分布层模块
分布层模块主要提供包括路由、QoS和访问控制。所面临的主要安全威胁有未授权访问、欺骗、病毒和特洛伊木马的应用。为了消除以上分布层模块面临的安全威胁, 分布层模块应采取以下的安全措施:
1. 针对二层网络的安全威胁,利用网络设备本身的二层网络安全性能,进行二层网络安全策略的部署,如二层VLAN划分、DHCP窥探保护、动态ARP检查、IP源地址保护等安全策略。
2. 通过在分布层使用访问控制, 可以减少一个部门访问另一部门服务器上保密信息的机会,利用设备包过滤技术,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
3. 通过RFC2827过滤可有效防止源地址欺骗。
4. 部署防病毒系统,防止各个工作站感染病毒和特洛伊木马的应用。
5. 部署网络准入控制系统,通过在网络中部署网络准入控制系统,可以实现最大限度减少内部网络安全威胁,降低病毒和蠕虫造成的停机时间。
根据网络规模和性能要求的不同, 核心层和分布层可以结合起来合二为一, 从而达到减少硬件设备,达到减少投资与节能等目的。
(四) 服务器模块
服务器模块的主要目标是向最终用户和设备提供应用服务。所面临的主要安全威胁有未授权访问、应用层攻击、IP欺骗、分组窃听和端口重定向等。为了消除以上安全威胁,应采取以下的安全措施:
1. 使用基于主机和网络的IDS/IPS系统。
2. 在交换机上配置私有VLAN,实现对服务器的访问限制, 限制对关健服务器的随意访问。
3. 对服务器及时打上最新的补丁程序。
4. 对服务器区域(DMZ区域)进行不同安全级别划分,通过对不同应用的服务器进行安全级别的划分,并通过防火墙模块进行DMZ逻辑区域的隔离,可以实现服务器故障的快速隔离和服务器间访问的有效控制。
5. 针对企业较为重要的邮件应用服务器,可以单独部署电子邮件安全产品,从而减少与垃圾邮件、病毒和其它各种威胁有关的宕机,以求减轻技术人员的负担。
像分布层模块一样, 根据公司规模、应用性能及需求的不同, 服务器模块可以与核心模块相结合。
(五) 边界接入模块
边界接入模块的目标是在网络边缘集中来自各个接入网模块的连接,信息流从边界接入模块过滤后路 由至至核心。边界接入模块在整体功能方面和分布层模块有些类似,都采用接入控制来过滤信息流,但边界接入模块在一定程度上依赖整个接入网功能区域来执行附加安全功能。像服务器和分布层模块一样,如果性能要求不高, 边界接入模块可与核心模块结合起来。
在边界接入模块比较常见的安全措施为应用流量观察分析和安全网关。应用流量观察分析是通过部署流量控制设备,使用其二至七层强大的应用分析能力,能够第一时间获得核心模块和接入网模块之间应用流量能见度,并以此为基础在企业网络中部署相应的安全策略(比如限制病毒端口号、限制特定内网IP地址、限制特定MAC地址)。安全网关是通过采用专用的安全网关技术,实现核心模块和外网接入网模块之间的Web内容过滤,Web病毒扫描,间谍软件防御,HTTPS安全控制,防机密数据外泄等等安全功能。
三、 企业接入网的安全设计
企业接入网由外网接入模块和远程接入模块两个部分组成。以下分别阐述各个模块的功能、面临的安全威胁和相应的安全措施。
(一) 外网接入模块
大多企业网虽然都是专网,但是不可避免要和外网连接。外网包括企业分支网络、第三方接入网络和互联网。所面临的主要安全威胁有未授权接入、应用层攻击、病毒和特洛伊木马、拒绝服务攻击等。主要防御措施有:
1. 在外网接入模块和外网之间部署防火墙。防火墙应分为两组防护, 一组用于企业网与分支机构网络的连接, 另一组用于企业网与互联网的连接。防火墙为内网的网络资源提供保护,从而确保只有合法信息流穿过防火墙。部署在企业网与互联网的连接上的防火墙时可以使用目前先进的“云火墙”技术,该技术可以持续收集互联网上已知威胁的详细信息,实现企业到互联网的网络安全。
2. 使用防火墙的虚拟化技术,将单一防火墙设备逻辑划分为多个虚拟防火墙,每个防火墙有自己的策略且分别进行管理,可以实现不同区域模块之间的安全控制和设备资源的高效利用。
3. 部署IDS/IPS入侵检测/防御系统,有条件的情况下, 在防火墙的内网区、外网区和DMZ区域都要部署入侵检测/防御系统, 以实时检测来自外网的入侵行为。
4. 建立统一的应用服务器用于与其它分支网络构建统一接入平台,应用服务器作为所有应用服务的, 通过进行更严格的应用数据流检查和过滤,有利于外网接入模块的标准化和可扩展性的提升。
5. 在与互联网连接的企业网络边缘部署路由器,并通过在路由器入口进行数据流的过滤,路由器对大多数攻击提供了过滤器,同时进行RFC1918和RFC2827过滤, 作为对过滤的验证, 路由器还应丢弃‘碎片’的数据包。对于过滤造成的合法数据包丢弃相比这些数据包带来的安全风险是值得的。
(二) 远程接入模块
远程接入模块的主要目标有三个:从远程用户端接VPN信息流、为从远程站点VPN信息流提供一个集线器以及拨号用户。远程接入模块面临的主要安全威胁有口令攻击、未授权接入和中间人攻击等。此模块的核心要求是拥有三个独立外部用户服务验证和端接,对于此模块来说信息流的来源是来自于企业网络外的不可信源, 因此要为这三种服务的每一种提供一个防火墙上的独立接口。
1. 远程接入VPN,远程接入VPN推荐使用IPSec协议。此服务的安全管理是通过将所有IPSec的安全参数从中央站点推向远程用户实现的。
2. 拨号接入用户,AAA和一次性口令服务器可用来验证和提供口令。
3. 站点间VPN,与站点间连接相关的IP信息流在传输模式下由配置成GRE隧道来实现。
以上来自三种服务的信息流应集中接入到防火墙的一个专用接口上。条件允许时在防火墙的内口或外口部署IDS/IPS系统, 以检测可能的攻击行为。
四、 模块之间的相互关系
采用模块化设计时, 不是简单地将网络安全设计分解成各个孤立的模块, 各模块之间紧密联系,其安全防护措施也直接影响到其它模块的安全。
管理模块是整个网络安全体系的核心、位于其它所有模块的最顶层。网络安全体系的建立, 应该首先建立管理模块的安全结构。它相对于其它模块有着很大的独立性, 但它是建立其它模块安全结构的基础和前提。
核心模块、服务器模块和分布层模块构成企业网络的内部网络。这三个模块主要防范来自企业网内部的安全威胁:分布层模块提供了针对内部发起攻击的第一道防线;核心模块的主要目标是线速的转发数据流, 其安全性主要依赖于核心模块交换设备本身的安全设置以及分布层模块的安全防护;服务器模块往往会成为内部攻击的主要目标, 安全性除了自身的安全措施和分布层模块的安全防护外, 严格的安全管理是极为重要的。
边界接入模块是连接企业内网和外部接入网的桥梁和纽带。边界接入模块在外部接入网安全措施的基础上, 为企业内网提供附加的安全功能。
外部接入网为企业内网提供了第一道安全防线, 也是外网接入企业网内网统一的接入平台。
模块化的设计将复杂的大型网络划分为几个相对简单的模块, 以模块为基本单位构筑整个网络的安全体系结构。使用模块化的网络安全设计能够很容易实现单个模块的安全功能,并实现模块与模块间的安全关系,从而在整个企业网络中形成分层次的纵深防御体系。还能够使设计者进行逐个模块的安全风险评估和实施安全, 而非试图在一个阶段就完成整个体系结构。
参考文献:
[1] 崔国庆. 计算机网络安全技术与防护的研究?. 电脑知识与技术,2009年9月.
现在,网络信息逐渐实现了共享,在共享网络信息的过程中,能够为人们的交流提供便利,但是,各种病毒在网络中出现,导致了网络信息的泄露,给人们的生活和生产带来很大的麻烦,使网络信息的安全存在着隐患。所以,建立完善的企业网络安全防护体系是十分必要的。现在,卷烟企业要想促进自身的额发展,就必须针对企业内部对网络应用的特点,使企业内部的网络结构得以优化,通过完善网络的安全技术,实现网络安全体系的完善。
1卷烟企业面临的网络安全风险分析
1.1运用网络进行出口比较频繁,导致网络的管理存在难度
卷烟企业要借助网络进行出口,所以,要面对各个地区不同的用户,这就导致卷烟企业内部在管理方面存在着很大的缺陷。现在,卷烟企业内部使用网络的力度越来越大,大多数的业务是运用网络的,而且业务人员只是在网络上交流,具有很强的流动性特点,在网络上还没有建立和完善相关的网络行为规范,这就导致了各类人员在网络上传播信息,导致卷烟企业内部的服务器受到病毒的侵袭,使企业的网络安全遭到破坏。
1.2物理层边界的设置具有模糊性特点
现在,很多企业都在发展信息化建设,很多公司的网络是连接在一起的,这就导致了企业网络的物理层之间没有清晰的界限。现在电子商务发展越来越快,企业都会借助网络进行交易,导致企业之间的信息共享程度越来越高,企业能够在很高的权限下完成交易。这就导致了卷烟企业内部的网络范围工程了一个逻辑便捷,在使用防火墙的过程中就会受到很多的限制,导致防火墙不能够及时地将病毒清除。
1.3卷烟企业的入侵审计和防护体系还存在缺陷
现在,互联网发展的速度非常快,出现了各类网络攻击现象,而且计算机病毒每天都在更新和升级,计算机病毒的破坏范围越来越广,破坏能力也越来越强,病毒传播的速度日益加快,病毒在网络中传播的形式也是多样的,让卷烟企业不能够及时采取措施防范,导致企业内部的网络安全受到严重的威胁。卷烟企业还没有制定完善的入侵审计和防御体系,不能够运用智能化分析的方法,建立病毒的防御功能,而且卷烟企业的网络对病毒的检测能力是比较差的,没有建立统一的网络安全防护的规范,安全管理措施还没有全面地落实。
2建立卷烟企业网络安全防护体系
2.1卷烟企业网络安全防护体系的建立目标
应该分析卷烟企业网络安全体系建立的目标,分清企业网络主要的使用人员,分析网络使用的性质,结合这些因素,对企业的网络进行有逻辑性的划分,在对不同领域的网络设计不同的防御体系,从而能够完善对网络边界的控制,建立完善的安全防御体系,使网络之间能够建立信任。将卷烟企业内部出现的网络安全问题加以划分,将大型的以及较为复杂的问题转化成简单的问题,从而能够简化卷烟企业网络安全问题的处理。对企业内部的网络使用,按照功能进行划分,从而能够按照区域进行网络安全的治理,而且还要建立完善的网络体系,从而能够确保卷烟企业能够对网络安全的管理进行规划和设计。
2.2卷烟企业应该科学的划分网络安全区域
卷烟企业内部的网络应该根据使用网络的行为、安全防护体系以及业务操作将网络的使用分成不同的区域。现在,卷烟企业在使用网络时,不同的区域关注的内容也是不同的,所以,在对企业的网络使用区域进行划分的过程中,需要针对企业内部不同的业务强化网络使用的管理,不仅仅要使企业能够借助网络进行销售,而且要分析企业内部的网络区域划分是否是科学的。卷烟企业内部对网络使用的划分不能够按照单一的方法进行,应该结合企业的实际情况,采取多元化的方法,从而能够更加清晰地分析出卷烟企业内部网络业务的实际要求。
2.3卷烟企业应该根据自己使用网络的情况,建立入侵检测的动态防护技术
现在,网络技术发展越来越快,卷烟企业在发展的过程中受到网络病毒的威胁,网络入侵的形式也越来越多元化,各类新的病毒不断地出现,所以,在卷烟企业内部应该根据病毒的形式建立完善的防护体系,应该对实际的网络应用分析的基础上,找出网络应用中最容易出现的漏洞,从而建立入侵检测和动态保护功能。卷烟企业可以建立备份恢复功能,也可以定期对网络使用的风险进行分析,建立网络风险的应急机制,从而能够防止病毒的进一步入侵。在使用网络系统时,如果发现企业内部的网络系统已经受到了病毒的入侵,那么,就要应用到备份恢复机制,使企业的网络设计可以及时地恢复,使企业的网络运行不被中断,不影响企业的业务进行。
随着企业数量的不断增多,企业各自的网站管理及浏览量也都面对着严峻的考验,而其中网络安全方面更引起了社会的强烈关注,因此,构建企业网络信息安全体系成为当务之急,寻找一些安全有效的途径势在必行。
1 挖掘网络科技人才,增强企业网络信息加密防护
企业大幅增加导致大量的网站逐渐增多,而来自不同环境中的浏览次数也在不断攀升,这些都会对企业网络信息安全造成一定的影响,轻者导致网络系统失常,重者促使整个公司的网络崩溃,一些重要的信息外泄,后果不堪设想。因此,杜绝企业网络信息的流失才是根本之道,这也就需要大量的网络科技人才,通过网络编程与内容编辑等各种方法增强企业网络信息加密防护。
大量的网络科技人才通过一套完整的信息编程加密措施,能够保证企业网站在大量的浏览量下,几乎不会感染病毒木马,同时保证整个公司的网络应用顺畅快捷。一些新的技术出现,其背后都存在团队的巨大付出,因此整个网络科技团队的质量也是企业网络信息安全体系建立的关键因素,是整个公司网络安全保障的基石。我们也可以仿效银行网站的管理方式,虽然企业网站的浏览量不及银行网站,或者企业网站的应用性更狭窄一些,但是我们在企业网站的制作中加入银行网站的几个安全特性,这样也会巩固整个企业网络安全屏障。企业网站也具备一定的注册和登录功能,此处我们就可以仿效银行网站,在登录时针对每个用户实习密码加密,这样就会避免木马等通过键盘痕迹等盗走用户密码,从而进一步导致公司信息遭受重创的现象。
2 企业内部人员对网站的不断更新升级
目前,我国很多企业存在一个很严重的问题,企业网站建成后基本上就不怎么用,只将其当成一项业务完成,而没有对其以后的持续管理及更新升级产生重视,置之不理。这种做法是极其错误的,企业网站的一个最大的作用就是宣传,让广大客户群体能够对企业有一个充分的认识,及时把握公司的一些新的信息动态。大多数企业的这种针对企业网站置之不理的行为,不但对自身的发展制造了障碍,对整个社会的网络体系也构成了污染,网站发挥不到应有的作用,还占有域名,让一些想通过网站大量宣传自己的企业不能申请。这些现象都应该引起国家有关网络管理部门和企业内部人员的重视,积极提出建议及正确做法,做到企业网络信息的不断更新与升级,这样才会保证网站的永久创新,也减少了安全信息危害的危险。
当然,现在很多企业已经成立了网络部门,目的就是针对网络速度和安全威胁方面提高警惕,采取措施积极阻止。企业内部人员在网站管理方面不但要有一定的理论知识外,更要将其应用与实践,达到两者之间的巧妙结合。纯网站技术人员还需要积极参与到整个公司的轮岗经验实习过程中,了解其他部门的工作事项及内容,全面学习网站编辑工作,促使真个公司的近期动态呈现在网站上面,这样可以保证客户群体明晰企业的发展动态,也做到了对客户负责任的目的。企业内部员工应力求保证积极的心态,参与到企业网站建设当中去,针对各自部门的安全信息一定要加密防护,防止外泄,保证网站建设顺利进行的同时,公司的工作状态及安全信息也能够妥当处置,对公司内部和外部的客户群体都有一个很好的交代,促进整个企业的发展顺利向前。
