绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇企业内网信息安全范文,希望它们能为您的写作提供参考和启发。
电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息安全管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。
一、电力企业内网面临的完全威胁
内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:
一是物理层面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。
二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。
三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。
由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。
二、电力企业内网安全管理技术
(一)防火墙技术的应用。
在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。
(二)漏洞扫描及入侵检测技术。
对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。
(三)网络安全防护技术。
从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。
(四)防病毒软件技术。
计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。
三、结语
随着我国经济的快速发展和信息化进程的加快,企业都建立了自己的网络系统,计算机网络在企业的日常工作和管理中发挥着越来越大的作用。然而,网络带给我们便利的同时,也因为网络的开放性和自由性的特点,导致一些非法分子的攻击,恶意破坏或侵犯网络,安全问题日趋突出。企业在加强对内部网络进行安全管理的同量,还要采取必要的技术措施来保证信息安全。
一、内部网络安全隐患
为了提高工作效率,绝大多数企业都建立了自己的内部网络,内部网络存在的安全隐患同样会对信息安全造成很多的威胁,甚至会对企业造成重大经济损失。企业网络面临的威胁来自于企业内部和企业外部两个方面,安全隐患主要体现在管理不严,导致非法入侵;企业内部操作不规范,故意修改自己的IP地址等,导致企业内部信息的泄漏;网络黑客通过系统的漏洞进行攻击,导致网络的瘫痪,数据的盗取;病毒通过局域网资料的共享造成病毒的蔓延等。
企业网络面临的外部威胁主要是指黑客攻击,它们凭借计算机技术和通信技术侵入到企业内部网络信息系统中,非法获得企业内部的机密文件和信息。无论是操作系统还是网络服务都存在一定的安全漏洞,这些漏洞的存在,就给攻击者提供了入侵的机会。网络黑客通过各种手段对涉密网络中的计算机进行攻击,非法闯入涉密信息系统,窃取涉密信息,泄露涉密信息系统内的重要文件。
由于企业内部管理不善,企业员工的恶意行为也影响着信息的安全,内部人员的威胁行为分为违规操作和恶意报复。其中,内部员工的违规操作是造成外部威胁得逞的主要原因,有的工作人员利用自己的工作便利进入企业的信息系统,窃取企业信息系统内的重要文件,并将信息泄漏给他人,获取一定的利益;有的员工直接打开从网上下载的文件和视频,不经过专业杀毒软件的扫描,给企业的内部网络带来安全隐患,甚至带来的病毒在全网络蔓延,造成企业内网的瘫痪,严重损坏公司的利益,影响公司的正常运转。
二、内部网络安全防护措施
对于企业来说,网络安全问题至关重要,必须采取一定的技术措施来保障信息的安全,这些措施有:防火墙技术、病毒防护技术、身份认证、安全管理等。
(一)防火墙技术。在一个企业的网络信息系统中,防火墙是组成信息安全体系的重要组成部分,是进行信息安全防护的最基础的网络设施。防火墙在企业内部与外部网络之间建立了一道安全屏障,对企业内部网络的安全起到保护作用,它通过一系列的技术措施来防止外部的安全威胁进入企业内部。同时,对传输到外部的企业内部信息进行检查,防止非法用户的入侵。通过安全监测,防火墙可以监控进出网络的通信数据,阻挡一些非法和没有经过信任认证的数据进入企业内部信息系统。防火墙对进入企业内部网络的信息进行认证、识别,只允许安全的信息进入,一切非法和可疑数据均被挡在防火墙之外。
(二)病毒防护。在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。为了避免企业的信息系统遭受病毒攻击,必须在企业网络内部统一安装专业杀毒软件,定期进行扫描查杀病毒,不定期更新杀毒软件的版本,对于系统和应用软件要定期安装补丁程序,防止系统漏洞造成对系统的攻击。采取防护措施防止计算机病毒与恶意代码通过移动存储介质、电子邮件、网络等途径进行传播。对于新添置的各种设备和仪器,不能配置存储外设,比如软驱、光驱、刻录机等,同时也不能开设蓝牙和无线功能。
企业内部的网络管理员要实时监视网络服务器上的文件和信息,利用病毒查杀工具定期进行扫描,为了不影响企业员工的正常工作,扫描一般在晚上进行,管理员根据扫描结果对网络进行相应的处理。当网络内的任意一台机器出现故障或病毒时,管理员必须先将此机器的网络断开,防止病毒在企业内部扩散和传播。
(三)身份认证。保证信息安全的关键是有效阻止非法用户的入侵,因此,必须对进入企业网络信息系统的用户进行身份认证。用户在登录信息系统前,系统首先要查核用户的身份,确认是系统的合法用户后,才能让其登录系统。身份认证的方法有很多,最简单的一种是设置用户口令,用户口令由用户自行设定,也可由系统随机产生。这种方法实现比较简单,但是如果密码设置的太简单,也很容易被识破。身份认证的另外一种方法是使用唯一标识符。系统在创建用户时,同时为其创建一个标识符,此标识符是用来识别和确认用户身份的唯一标志,标识符通常包括数字、字母和称号等一串字符序列,该数字序列只能属于一个用户使用,在系统周期内,别的用户不能被再次使用。
(四)安全管理。由于企业内部网络面临着各种各样的威胁,再加上内部员工操作的不规范,工作环境复杂,近年来流行的桌面管理软件可以很好的解决这个问题。桌面管理软件可以对存储在计算机内的文件进行全面和保护,对企业的重要信息进行事前防御、事中控制、事后审计;它能够有效地防止企业的内部信息通过打印机、存储介质、网络等进行泄密,对信息实现全方位的安全审计。对于一些保密级别较高的信息,采用文件强制性加密功能,员工在操作文件的过程中自动加密处理,即便文件被非法泄漏,外人也无法打开和阅读。另外,企业要建立信息安全管理机构,健全企业内部网络信息安全防护制度建设,实行主管部门领导的责任制,明确规定安全责任,划清安全管理范围。
三、结束语
1 企业网络信息安全的内部威胁的分析
1.1 随意更改IP地址
企业网络使用者对于计算机IP地址的更改是常见的信息安全问题,一方面更改IP地址后,可能与其他计算机产生地址冲突,造成他人无法正常使用的问题,另一方面更改IP的行为将使监控系统无法对计算机的网络使用进行追溯,不能准确掌握设备运行状况,出现异常运行等问题难以进行核查。
1.2 私自连接互联网
企业内部人员通过拨号或宽带连接的形式,将计算机接入互联网私自浏览网络信息,使企业内部网络与外界网络环境的隔离状态被打破,原有设置的防火墙等病毒防护体系不能有效发挥作用,部分木马、病毒将以接入外网的计算机为跳板,进而侵入企业网络内部的其他计算机。
1.3 随意接入移动存储设备
移动硬盘、U盘等移动存储设备的接入是当前企业内部网络信息安全的最大隐患,部分企业内部人员接入的移动存储设备已经感染了病毒,而插入计算机的时候又未能进行有效的病毒查杀,这使得病毒直接侵入企业计算机,形成企业信息数据的内外网间接地交换,造成机密数据的泄漏。
1.4 不良软件的安装
部分企业尽管投入了大量资金在内部网络建设与信息安全保护体系构建之中,但受版权意识不足、软件购置资金较少等原因的限制,一些企业在计算机上安装的是盗版、山寨软件,这些软件一方面不能保证计算机的正常使用需求,对企业内部网络的运行造成一定影响,同时这些软件还可能预装了部分插件,用于获取企业内部资料信息,这都对内网计算机形成了一定的威胁。
1.5 人为泄密或窃取内网数据资料
受管理制度不完善、监控力度不完善等因素的影响,一些内部人员在企业内部网络中获取了这些数据信息,通过携带的移动存储设备进行下载保存,或者连接到外网进行散播,这是极为严重的企业网络信息安全的内部威胁问题。
2 企业网络信息安全的内部威胁成因分析
2.1 企业网络信息安全技术方面
我国计算机与网络科学技术的研究相对滞后,在计算机安全防护系统和软件方面的开发仍然无法满足企业的实际需求,缺少适合网络内部和桌面电脑的信息安全产品,这使得当前企业网络内部监控与防护工作存在这漏洞,使企业管理人员不能有效应对外部入侵,同时不能对企业内部人员的操作行为进行监控管理。
2.2 企业网络信息安全管理方面
在企业中,内部员工对于信息安全缺乏准确的认知,计算机和内部网络的使用较为随意,这给企业网络安全带来了极大的隐患。同时,企业信息管理部门不能从自身实际情况出发,完善内部数据资料管理体系,在内部网络使用上没有相应的用户认证以及权限管理,信息资料也没有进行密级划定,任何人都能随意浏览敏感信息。另外,当前企业网络信息安全的内部威胁大多产生于内部员工,企业忽视了对员工的信息安全管理,部分离职员工仍能够登录内部网络,这使得内部网络存在着极大的泄密风险。
3 企业网络信息安全的内部威胁解决对策
3.1 管控企业内部用户网络操作行为
对企业内部用户网络操作行为的管控是避免出现内部威胁的重要方法,该方法能够有效避免企业网络资源非法使用的风险。企业网络管理部门可在内部计算机上安装桌面监控软件,为企业网络信息安全管理构筑首层访问控制,从而实现既定用户在既定时间内通过既定计算机访问既定数据资源的控制。企业应对内部用户或用户组进行权限管理,将内部信息数据进行密级划分,将不同用户或用户组能够访问的文件和可以执行的操作进行限定。同时,在用户登录过程中应使用密码策略,提高密码复杂性,设置口令锁定服务器控制台,杜绝密码被非法修改的风险。
3.2 提高企业网络安全技术水平
首先管理部门应为企业网络构建防火墙,对计算机网络进程实施跟踪,从而判断访问网络进程的合法性,对非法访问进行拦截。同时,将企业网络IP地址与计算机MAC地址绑定,避免IP地址更改带来的网络冲,同时对各计算机的网络行为进行有效追踪,提高病毒传播与泄密问题的追溯效率。另外,可通过计算机属性安全控制的方式,降低用户对目录和文件的误删除和修改风险。最后,应对企业网络连接的计算机进行彻底的病毒查杀,杜绝病毒的内部蔓延。
3.3 建立信息安全内部威胁管理制度
企业网络信息安全管理工作的重点之一,就是制定科学而完善的信息安全管理制度,并将执行措施落到实处。其中,针对部分企业人员将内部机密资料带离企业的行为,在情况合理的条件下,应进行规范化的登记记录。针对企业网络文件保存,应制定规律的备份周期,将数据信息进行汇总复制加以储存。针对离职员工,应禁止其带走任何企业文件资料,同时对其内部网络登录账号进行注销,防止离职员工再次登入内部网络。
3.4 强化企业人员网络安全培训
加强安全知识培训,使每位计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。加大对计算机信息系统的安全管理,防范计算机信息系统泄密事件的发生。加强网络知识培训,通过培训,掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
4 结语
综上所述,信息安全是当前企业网络应用和管理工作的要点之一,企业应严格管控企业内部用户网络操作行为,提高企业网络安全技术水平,建立信息安全内部威胁管理制度,强化企业人员网络安全培训,进而对企业网络信息安全内部威胁进行全面控制,从而提高敏感信息与机密资料的安全性。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3涉密信息分散
由于部分企业内部网络的涉密数据存储分布在不同的计算机终端中,没有将这些涉密信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于涉密数据往往不加密就在内部网络中随意传输,这就给窃取涉密信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络涉密信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
同时,目前很多企业没有建立完善的信息安全规章制度,也缺少必要的安全合规意识,尤其在终端用户规模较大的企业,内网安全存在诸多隐患。
如果把企业的网络安全比作一只完整木桶的话,内网安全似乎是目前相对较短的那块,因此,完善企业的网络安全,内网安全建设显得尤为重要。
内网风险越来越大
据统计,外部入侵事件占到所有信息安全事件的20%~30%,而70%~80%的信息安全事件来自于内部,而且内部人员犯罪难抵御、难发现。此外,在企业整体的安全建设投入中,内网部分往往占了过半。
事实上,随着USB、移动存储等工具的频繁使用并逐渐形成病毒入侵的途径之一,来自内部网络的攻击有愈演愈烈之势。更重要的是,一些重要的企业信息资料被内部员工非法拷贝、篡改、盗取等,也成为内网安全的重要隐患。
在保密要求甚高的机构尤其如此。目前,随着电子政务的大力实施,作为向老百姓处理日常事务的政府部门,如地税局、气象局、银监会、证监会等,都不可避免的要通过移动方式进行现场办公,其中,U盘、光盘、笔记本电脑等移动存储设备也被大量使用。
而对于企业机构的内网用户,如果缺少较好的身份认证和访问控制机制,那么也会因访问权限的混乱而造成信息泄露风险,比如企业内部服务器,有的用户能只能访问服务器提供的Web服务,有的用户只能访问服务器提供的FTP服务。
至于如何防止网络办公环境下,因移动办公所带来的电子邮件被截获、修改等风险,以及在知识的共享和管理已经成为企业信息系统建设重要的应用的今天,如何有效地分类、安全存储、管理和使用文件、档案等,也都需要在内网安全建设上进一步完善。
内网安全整体防护
应该说,无论通过怎样的技术产品和保护方式,“企业内网安全的追求不外乎五个关键点,非法用户进不来,有效信息拿不走,信息读不懂,非法行为跑不掉,数据设备不怕丢。”卫士通公司副总经理李学军如此总结。
事实上,目前市场针对内网安全的产品已有众多,有重在防数据泄露的终端防护解决套件,有重在统一管理的安全管理平台,还有重在身份认证的加密方案。卫士通的一Key通综合安全防护系统,则是通过每个用户持有的一个USBKey硬件密码模块,实现终端设备、身份认证、访问控制、邮件保密等方面的综合防护。
中图分类号:TP393.08
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
Discussion of Intranet Security Establishment
Zhang Huai-jing Zhu Jian-hang Wang Xin-ting
(China Tobacco Shandong Industrial Co. Ltd. Qingzhou Cigarette Factory ShandongQingzhou 262500)
【 Abstract 】 With the development of information technology, Intranet security has been more and more important, how to set up a eligible security system, how to set up a network security policy, how to implement the safety network system, how to guaranteef the security of core data from company. Those are the issues need to be solved immediately according to the enterprise pressing requirement. This article studied seveal directions from the inner network security concept and inner safety net system implementation principles, Structure frame and specific function and the inner safety net system development vision, Those provided reference and helpness for enterprise inner safety net system establishment.
【 Keywords 】 intranet security;access control;audit; security strategy
0 引言
随着信息技术的发展,信息化在企业的生产经营活动中起到越来越重要的支撑作用。企业局域网的普及,办公自动化的广泛应用,企业内部ERP、MES、生产自动化等各种应用系统的实施,在给企业活动带来极大便利的同时,也带来了众多的安全隐患,如:病毒的传播、企业机密信息的泄漏、生产业务数据的丢失、网络的滥用等。而此时企业的防护手段还是主要以防火墙为代表的网络边界防护,一旦越过防火墙,来到企业局域网内部,就会对企业的内部网络造成极大的破坏和风险。
造成这种情况多是由于企业内大多数用户计算机知识有限,对信息安全认识程度不高,缺乏防护意识,加之企业网络防范技术措施的缺失,因而难以对局域网内的单点威胁爆发进行有效监控和防范。依靠单一的边界防火墙、防病毒软件无法应付病毒和其他信息安全的威胁,只有在将每个客户端都保护起来才能有效防止病毒入侵、信息泄露、蠕虫爆发,网络滥用等问题。因此,企业内网安全的管理显得日趋重要。
1 内网安全和管理概述
内网安全的概念:一般而言,我们通常以企业局域网的网络边界为限,将企业网络划分为内部网和外部网两个部分。因此,内网安全指的就是企业内部局域网的信息安全。具体地说,就是对企业局域网防火墙以内的网络的信息安全综合管理,进一步也包括局域网终端的综合管理。由于IT技术的快速发展变化,新的技术和新的安全威胁不断涌现,因此内网安全的概念自始至终就在不断的变化着。
2 内网安全现状
随着企业信息化建设的发展,企业生产经营的各种资料、数据80%以上都是以电子文档和数据的形式保存。这些信息包含了企业的核心生产技术、经营成本信息、日常生产数据等各方面的数据,对可靠性、保密性要求很高,如果发生数据丢失或泄密,将会给企业的生产经营活动造成无法估计的后果。
企业局域网的普及,为企业提高员工工作效率,提高企业整体竞争实力奠定了基础。但是,员工不规范的桌面行为,如上班时间炒股、网上玩游戏、在线看电影等行为严重影响了工作效率。同时由于BT下载、在线视频、迅雷应用等行为,造成企业局域网的堵塞,影响正常业务的开展。还有非法和不健康网站的浏览,可能会导致病毒、木马等被非法下载进入企业局域网内部,对企业网络的安全产生严重危害。
外来人员不能有效进行管理。企业合作和外协单位的工作人员来厂交流,由于不能及时对相关人员的计算机设备进行检查,容易由其计算机设备将病毒、木马等带入企业内部网络。同时,外来人员监控的缺失,也会造成企业内部资料的泄漏等情况。
由于企业的发展,办公地点分散,由此造成大量计算机系统分散布置,企业内部的资产统计工作非常繁琐。维护计算机系统的正常运转是IT部门的日常工作,但由于缺少适合的管理工具,企业内部动辄几百上千台计算机系统维护,也使得有限的IT管理人员要将有限的时间都投入到无限的系统维护工作上。
3 内网安全建设
3.1 内网安全建设原则
按照BS7799信息系统安全管理规范的要求,在设计信息安全系统时,必须掌握安全原则。
3.1.1相对安全原则
没有100%的信息安全,安全是相对的,在安全保护方面投入的资源是有限的。保护的目的是要使信息资产得以有效利用,不能为了保护而过度限制对信息资产的使用。
3.1.2分级/分组保护原则
对信息系统分类,不同对象定义不同的安全级别,首先要保障安全级别高的对象。
3.1.3全局性原则
解决安全问题不只是一个技术问题,要从组织、流程、管理上予以整体考虑、解决。
3.2 内网安全建设架构
企业的内网安全系统建设应建立一个统一的集成化的管理平台,有整体的终端安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。
通过统一的集成化的管理平台,管理员可以完成所有与终端安全管理维护相关的各种任务,包括用户身份认证,网络准入控制管理,网络拓扑发现及设备快速定位,终端安全策略设置(主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等),网络异常监控,移动介质管理,终端软件及补丁管理,终端的远程管理和维护,终端资产管理等多个方面。
3.3 安全功能模块
3.3.1准入控制管理
系统对于非法进入企业内网的终端进入进行监控与管理。管理员将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源:访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表。通过网络准入控制杜绝非法外来电脑接入内部网络;同时将有问题的客户机隔离或限制其访问,直到这些有问题的客户机修复为止,这样,一方面可以防止这些客户机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
对于非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络进行攻击或者试图窃密。
3.3.2网络拓扑发现及IT资产管理
通过二层拓扑发现功能可以发现网络中的所有IT设备,包括网络设备、主机设备、网络打印机、终端设备等。实现跨网络、跨路由发现设备,支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现,能够获得网络设备之间、主机和网络设备之间的物理连接关系,获得设备的基本信息如IP地址、MAC地址、设备名、在线
利用局域网终端计算机客户端的安装,系统可以自动终端详细的软硬件配置信息,包括CPU、主板信息、内存信息、硬盘信息、光驱信息、网卡信息、外设信息、操作系统信息等各种计算机系统信息。同时,系统可以自动收集分析终端计算机安装的软件信息,包括安装的软件名、软件厂商、版本、语言、安装日期等。
通过上述技术,管理员可以可以快速发现接入网络的所有设备(无需准入控制),无论接入网络的终端是否安装个人防火墙,均可以对其快速发现并予以定位,实现企业局域网设备的实时监控。系统智能实现自动监测系统软硬件资产的变动,记录日志并可以产生报警,同时可以根据策略自主采用响应措施,防止资产变更给客户端或者网络带来更大的危害。
3.3.3移动介质管理
移动介质的管理一直是企业IT管理中的难点,也是最容易出现安全问题的设备,对移动介质的管理主要在以下几点上进行控制:外部的或非法的移动存储设备不能随意的进入IT系统,必须经过一个安全的注册认证流程来实现对管理;经过注册的内部移动存储设备的使用要进行监管,未经授权无法到外部使用,进行加密存储;为了防御移动介质的自运行程序,在使用移动介质时,无法运行移动介质中的可执行程序;对移动介质的文件传输进行审计或禁止。
3.3.4客户端反卸载功能
终端计算机客户端具有自我保护功能,可以防止客户端用户随意卸载、停止或者删除的安装目录下文件。管理员必须有卸载口令才能对客户端进行卸载操作,而且卸载口令可以动态变化并下发到终端上。
即使终端客户通过格式化系统盘并重装操作系统来卸载客户端,系统也可以通过与网络准入控制功能的联动来实现对该终端的强制控制,当终端再次接入内网后,网络准入控制系统会自动把该终端划到访客区中,该终端必须重新安装客户端来实现进入网络。
3.3.5终端安全策略管理
系统可以对客户端操作系统漏洞进行扫描,包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示,提醒用户自己机器存在的安全漏洞,并且也会通知管理员。
系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。
系统可以通过白名单、黑名单方式定义违禁软件,这些违禁软件被运行时可以产生告警事件通知管理员,或者直接禁止违禁软件的使用。
利用网络行为审计功能实现终端用户上网行为审计和控制,包括:通过白名单和黑名单,审计和控制Web网站的访问,可以禁止终端用户访问一些非法Web网站;通过白名单和黑名单,审计和控制通过POP3和SMTP服务器收发邮件,可以禁止终端用户通过外部邮箱收发邮件;对文件拷贝进行审计和控制;对MSN、QQ等聊天软件的使用进行审计和控制,可以禁止某个时间段内使用这些聊天工具;对BT、电驴等P2P软件的使用进行审计和控制,可以禁止这些P2P软件的使用。
3.3.6网络异常监控
系统客户端能够自动抵御ARP网关欺骗和DHCP欺骗,能够实现自动识别,并选用正确的网关MAC。当发现ARP网关欺骗时,能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时,无需更改终端的配置,终端能够自动适应,选择新的网关MAC地址。
3.3.7终端行为审计与控制
系统可以实现局域网内终端计算机的个人行为审计,包括:U盘控制功能,实现U盘的读写控制;定义终端设备能够通过哪些POP3和SMTP服务器收发邮件,禁止通过哪些POP3和SMTP服务器收发邮件,哪些需要进行审计;通过Web访问控制,可以限制桌面终端用户通过WebMail方式外传文件,从而防止文件非法外传;能够对桌面终端用户使用MSN/QQ等进行监控和管理,禁止其通过QQ/MSN外传文件,也能够防止桌面终端用户通过文件共享和FTP等的方式外传文件,从而保证了企业的核心机密数据不被泄漏。
另外,补丁分发、软件分发等功能较为简单,就不再详细描述。
4 结束语
随着信息技术的不断发展和进步,内网安全的管理也在不断的发展。从最初的资产管理、补丁分发,到准入控制、设备加密、行为审计,再到数据防泄漏、透明加密,随着技术的进步和内网安全理念的不断深入发展,内网安全的建设也越来越全面,越来越成熟。
目前,内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题,单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发,对信息安全进行全方位、多角度的设计,统筹规划、统一安排,全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段,根据企业局域网内安全等级的不同,级别的不同,部署级别不同、力度不一的梯度式防护系统,将管理、技术、审计、人员进行有机的结合,在企业内部构建一个立体化的整体安全网络,才能实现真正意义上的内网安全。
参考文献
[1] 杨义先,钮心忻.网络安全理论与技术[M].人民邮电出版社,2003.
[2] LindaMcCarthy.信息安全-企业抵御风险之道[M].北京:清华大学出社,2003.
[3] 覃健.网络安全与防范措施.《中国科教创新导刊》,2010年第25期.
[4] 刘葵.现代信息条件下的计算机网络安全管理.《重庆科技学院学报:社会科学版》,2010年第16期.
作者简介:
报告指出,缺乏统一管理易形成“木桶效应”、安全软件误报、电脑设备独立升级占用企业带宽、漏洞补丁升级滞后、终端安全缺失、BYOD环境下WIFI上网缺乏管理、安全制度落后等问题困扰企业内网。
安全制度落后和缺乏统一管理是问题的关键。对此, Gartner副总裁彼得·福斯特布鲁克表示,企业安全属于一种集体安全问题。一般来说,联入内网系统的电脑中,只要有一台电脑被黑客攻破,那么就有可能造成内网安全体系的崩溃和商业机密的泄漏。也就是说,安全性最差的一台电脑实际上就决定了整个企业内网系统的安全级别,这就是企业安全问题中的“木桶效应”。而近年来随着APT高级持续性威胁形式日益严峻,这种“木桶效应”暴漏的更加明显。“完善的安全体系建设需要有产品做基础,有技术做保障、有服务做配合、有制度做管理。只有产品、技术、服务、制度协调配合,多管齐下,才能保障企业内网的安全。”同时他强调,安全问题不只是技术问题,究其根本是人与人,人与组织,组织与组织之间围绕利益的对抗行为。
脆弱的企业外网
随着电子商务的崛起,建立官网进行对外宣传和展示,以及进行相关产品的,已经成为企业的通用手段。因此,企业网站已经成为企业对外的一面镜子,反射出企业的自身形象。但是这面镜子在来自互联网的攻击面前却十分脆弱,很多企业由于各种问题被黑客攻击,造成用户流失,导致巨额损失,并严重影响了企业自身的形象。
《报告》显示,出现上述问题的原因,主要是由于企业网站存在漏洞,导致网站被拖库、篡改和流量攻击。同时,企业外网安全受到威胁的同时,也出现了一些新的趋势:一是,病毒木马的数量出现了明显的下滑,但是钓鱼网站呈现快速增长势头。来自中国互联网中心的数据显示,2012年新增钓鱼网站87.3万个,相比2011年增长73.9%。二是,网络存储和云共享成为木马新兴渠道。
解决方案分析
《报告》认为通过“边界防御+云端防护+终端防护”的解决方案,能够有效解决传统的安全防护检测手段单一、性能瓶颈、维护成本高、响应速度慢等问题。同时,鉴于云计算技术的普及,奇虎360总裁齐向东建议,在云端安全中使用分布式存储、分布式计算。把云端安全体系移植进企业内网,能最大程度保障企业业务系统和数据的安全,有效降低资源占用率和运营成本;在边界防护方案中可通过信息采集,进行协议还原对通信进行准入管理,阻断攻击。而在终端安全中需实现网络准入控制、程序准入控制和硬件准入控制。
此外,《报告》还指出到2020年,绝大多数企业都将无法独立的实现信息安全的保护。他们需要中央实体(如安全公司或政府)的统一管理和保护。而为了实现快速检测和快速响应,企业需要通过中央实体来实现情报共享。海量的黑白名单服务和漏洞预警服务是实现企业情报信息共享的必要手段。
链接———企业信息安全关键词
传统网络安全,更多考虑的是如何防范外网对内网的攻击,但这种传统手段已不能应对来自内部的层出不穷的恶意攻击和病毒。但根据相关资料显示,网络内部的计算机客户端的安全威胁更为普遍,大多安全事件是由内网用户有意或无意的操作造成的,因此,内网安全不容忽视。较之于外网安全,内网安全特点更突出,主要表现在:(1)须建立更全面、更客观和更严格的信任体系和安全体系;(2)须对计算机终端、服务器、网络和使用者等各个细节进行更加具有针对性的管理。网安全是内部局域网的信息防泄密和终端安全管理,电力企业在内网安全设计时,须以提高系统的保密性为出发点,将各种安全技术和管理手段结合起来,建立起覆盖全面、经济实用、结构合理、安全可靠的内网安全防护体系。
1 内网安全绿色防护的必要性
随着计算机技术的不断发展,电力企业管理信息化逐渐加强,信息技术给企业带来极大便利的同时,也存在一定的信息安全隐患。网络不存在绝对的安全,稍微不留意或防护措施不当,内网很有可能受到病毒的攻击和侵害,造成重要信息的泄露,给相关企业造成严重损失。尤其是电力企业,其内部核心技术决定着自身生存和发展,一旦泄露,将会对企业造成致命的损失。因此,电力企业须加强对涉及到信息的采集、分析、加工、处理、存储、传输及检测等各个方面的网络应用的重视,建立完整、立体、多层次的企业内部网络的绿色安全防护体系。只有从绿色电力IT 理念出发,建立起安全可靠、科学可行的内网安全绿色防护系统,才能满足企业的需求,保障数据存储的安全性、传输的可靠性和处理的可延展性,保障信息系统和控制系统的安全和稳定。
2 内网安全绿色防护策略
2.1 过客访问安全管理
内网安全绿色防护,过客访问安全管理是重点。对过客访问控制,能够对外来的访客进行有效定位、监控、异常阻断和报警,从而增强计算机信息终端管理能力,保障了企业的信息安全。过客访问安全管理,主要包括以下几个方面:1.对无线访问用户,应建立可靠的无线访问审查策略,为用户提供安全的无线访问接口,同时将无意义的无线访问点进行排除。2.对VPN用户,应最大限度限制访问内网的权限,隔出其访问给内网带来的巨大威胁。3.对新接入的网络终端和笔记本计算机,应经注册登记、设置访问权限和范围后才能使用。4.对外接移动存储器(U盘等),要设置其使用的内网物理范围,并设定专用的密码,保障数据移动的安全性。
2.2 虚拟边界防护
内网安全绿色防护,建立虚拟边界防护非常有必要。信息技术进步,也滋生了许多网络病毒,网络安全是一个相对的概念,不存在绝对安全,电力企业信息资源众多,数据庞杂,在运行管理过程中,不能保证不受到攻击。因而,应加强重视,企业实际业务情况重新定义信息系统安全级别,建立起虚拟边界。同时,应该根据企业内部具体情况制定有针对性的管理策略,包括实名登记、数据浏览监控、内网访问限制等,最大限度将攻击阻挡在外,保障信息资料的安全。此外,还应尽可能避免由于受到攻击而使整个网络陷入瘫痪等安全事件的发生,保障电力系统信息系统的安全、稳定运行。
2.3 内网终端强制性管理
内网安全绿色防护,内网终端强制性管理必不可少。通常情况下,内网终端强制性管理主要包括:桌面系统安全、病毒防护、身份鉴别、访问控制、漏洞扫描等五大方面,网终端强制性管理是建立内网安全防护体系的基础。电力企业应加强网终端强制性管理,主要内容包括以下几个方面:1.自动分发系统补丁,及时扫描漏洞;2.自动监控上网流量,自动断开流量超标的终端,防止蠕虫病毒传播和蔓延;3.绑定IP地址,防止人为更改和IP地址冲突,避免受到ARP的欺骗攻击;4.自动收集软硬资产,及时掌握内部网络终端资产和硬件配置变动情况。
3 小结
随着信息技术的不断发展,企业信息系统不断升级,大量的技术和企业机密均储存在计算机和网络中,网络安全重要性越来越突出。网络上一个小小的漏洞,都很有可能引起信息完全问题,造成重要信息的泄露,从而影响企业的发展。尤其是电力系统内部终端多,层次和构架都非常复杂,因而做好内网安全绿色防护势在必行。只有从绿色电力IT 理念出发,充分利用现代企业信息资源管理的优势,合理规划内网,构建完整的、立体的、多层次的“外防内控”网络安全防御体系,才能保障电力企业的利益,才能促进企业的健康、可持续发展。
参考文献
[1]王海涛,闫前进.内网的安全风险分析与保护策略[J].保密科学技术,2011(02).
[2]李孟兴,迟承哲,王海燕.电力企业信息安全趋势与防范措施[J].电力信息化,2010(12).
[3]周祥峰.基于行为的内网安全威胁检测系统在电力企业的应用[J].计算机安全,2013(03).
引言
当前信息安全产生的主要原因在于系统存在的不稳定因素、以数据信号存储在计算机中的数据信息非常容易传播并获取。网络应用发展至今,恶意泄露、窃取、破坏信息的情况普遍存在,威胁信息安全的因素也随之出现。信息系统面临的主动攻击与被动攻击需要同时得到控制,减少信息数据损失的可能性。
1内部网信息安全系统要求
在互联网信息时代,科技飞速发展,随着时间的推移,大多数的企业办公都已经全部实现了网络化,任何企业都建立自己的内部网络和数据存储中心,如何进行企业内网数据安全建设成为了企业日常运营的重点。
1.1结构与性能
为了充分保障系统的安全防护与监督作用,需要了解系统运行时的基础状况,以便于让系统客户端成功开启保护模式,嵌入计算机启动配置文件当中。另外,系统为了能持续发挥作用,应该具备稳定性与容错功能,且具备系统维护与二次开发的能力,可以采用模块化的功能设计方案来提升系统的扩展性。
1.2系统工作原理
完善的安全系统应该包含客户端、服务器、控制端三个区域,信息管理人员能够结合实际的信息需求将其安装在内网的不同设备之上,如果条件允许的情况下可以将控制端单独安装在一台服务器之上,以便于保障分析效率的提升[1]。系统运作过程中,首先会进行数据源统计,包括软件、硬件信息和数据信息,此外服务器端会对统计的数据进行收集,然后按照信息类型的不同进行划分,存储在自身的数据库当中。例如在网络设备的改造需求方面,采用了一台三层可网管交换机替换电力疗养院现有汇聚HUB;同时拆除机柜内2个至楼层光纤收发器,采用尾纤与汇聚交换机直接互联的方案,在保持原有结构系统的同时,提升了防火墙的使用价值。
1.3系统运行环境分析
为了进一步保障系统数据使用过程中的传输速率与安全性,就需要使用操作系统辅助安全系统的各个模块。例如可以选择MSAccess作为系统数据存储平台,不仅系统资源占用较少,且处理效率相对较高,操作简单,与系统之间不存在兼容性问题。从硬件环境要求来看,服务器端与控制端安装在企业内网的服务器之上,客户端可以直接安装在内网中的任一计算机之上。目前的技术水平下计算机配置相对较高,客户端也可以快速运行,服务器端在CPU于内存上具有一定的要求。
2系统具体实现方案
2.1网络监测模块
通常情况下管理人员可以进行网络监测来获取相关数据,从网络信息中截取其中的可疑流量。在这些可疑的流量之内包含通信协议、通信时间等重要的信息,然后通过信息分析来判断是哪一层的协议或计算机设备出现问题,以便于更好地为管理人员对网络问题进行判断。按照不同的网络协议,管理人员可以以此为基础分析不同的数据信息。例如对最常见的TCP/IP协议进行分析,就可以获取设备终端地址、名称等[2]。此时,当非法终端进入监听设备所在环境中时,管理人员能够立即发现并组织其与网络连接,从而实现内网信息安全保障,信息安全建设策略也可以通过这一模式来更好地判断存在的网络问题。安全监测策略中的模块可以被划分为3个部分,即设备驱动部分、动态链接库部分与应用程序部分,这也是应用层的重要内容。
2.2设备访问控制防护策略
当用户需要对计算机中的文件进行读写操作时,管理器会为其提供相应的请求。I/O管理器会对驱动设备对象进行检查,了解附着在文件系统驱动上的内容后再发送请求。如果发现有程序附着在设备对象栈上层,管理器会将请求发送给过滤驱动程序,并以此为基础阻断非授权用户对于文件的有效访问。从过滤程序要求来看,应该先构造过滤设备对象,并设计好分派程序。针对不同的请求也需要设置不同的分派程序,按照实际要求传递给相应的目的对象。而过滤驱动程序也需要向下层驱动程序进行传递并获得正确的返回。在文件系统访问控制方面,文件过滤驱动程序处在上层驱动程序之上,能够对所有文件的操作请求进行截获,从而对文件系统的访问进行合理控制,避免非法用户对企业机密文件的管理。所以,信息安全系统的管理过程中会涉及到状态设置命令,以便于对移动设备存储的连接状态进行调整[3]。
3模块建设策略与防范
3.1加密模块
在系统进行加密的过程中,数据在传输环节以XML的消息形式存在,而加密模块的作用也根据XML的加密规范对部分数据信息进行保密处理,为了防止信息内网终端与外网终端的误连接,导致数据信息的泄露,通过内网终端设备与外网控制阻断模块的连接来实现了数据安全性,不再被轻易获取,采用XML消息元素加密方案,数据可以得到稳定保障,避免信息被非法用户利用。根据所接收到的加密XML信息,先提取元素Signature中的内容后再进行数字签名验证,确定消息发送者的合法身份后,再提取子元素的内容,解密获取数据的加密密钥,最终根据元素中的消息摘要算法来生成新的摘要,以保障数据的完整性。
3.2密钥规划
2企业网络面临的安全风险
2.1物理安全风险
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
2.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.3管理安全的风险
企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企业经常由于管理的疏忽,造成严重的网络信息安全风险。具体管理安全的风险主要表现在以下几个方面:企业没有健全和完善的网络安全管理制度,难以落实安全追责;技术人员的操作技术能力缺陷,导致操作混乱;缺乏网络信息安全管理的意识,没有健全的网络信息安全培训体系等。
3构建企业网络安全防护体系
3.1加强规划、预防和动态管理
首先,企业需要建立完善的网络信息安全防护体系,保证各项安全措施都能够满足国家信息安全的标准和要求。对自身潜在的信息安全风险进行统筹规划,针对性的展开安全防护系统的设计。其次,企业应该加强对安全防护系统建设的资金投入,建立适合自己网络信息应用需求的防护体系,并且定期进行安全系统的维护和升级。最后,加强预防与动态化的管理,要制定安全风险处理的应急预案,有效降低网络信息安全事故的发生。并且根据网络信息动态的变化,采取动态化的管理措施,将网络与信息安全风险控制在可接受的范围。
3.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。
首先,根据业务需求,可以将企业网络分为两部分:外网和內网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
3.3信息安全技术的应用
(1)防火墙技术
防火墙主要的作用是对不安全的服务进行过滤和拦截,对企业网络的信息加强访问限制,提高网络安全防护。例如,企业的信息数据库只能在企业内部局域网网络的覆盖下才能浏览操作,域外访问操作会被禁止。并且防火墙可以有效记录使用过的统计数据,对可能存在的攻击、侵入行为精心预测预警,最大限度地保障了企业内部网络系统的安全。随着业务模式的不断发展,简单的业务(端口)封堵已经不能适应动态的业务需要,需要采用基于内容的深度检测技术对区域间的业务流进行过滤。并借助于大数据分析能力对异常业务流进行智能分析判断。
(2)终端准入防御技术
终端准入防御技术主要是以用户终端作为切入点,对网络的接入进行控制,利用安全服务器、安全网络设备等联动,对接入网络的用户终端强制实施企业安全策略,实时掌控用户端的网络信息操作行为,提高用户端的风险主动防御能力。
4结束语
综上所述,计算机网络有效提高了企业业务工作的效率,实现企业计算机网络数据库中的数据分类、整理、资源的共享。但是,系统数据的保密、安全方面还存在技术上的一些欠缺,经常会发生数据被非法侵入和截取的现象,造成了严重的数据安全风险。企业应该科学分析网络与信息安全风险类型,加强规划、预防利用防火墙技术、终端准入防御技术等,提高企业网络与信息安全防护效率。
参考文献