購物車(0)
企業(yè)網(wǎng)絡安全論文模板(10篇)
時間:2023-03-20 16:28:41
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇企業(yè)網(wǎng)絡安全論文,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術來解決這些問題已經成為當前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應用系統(tǒng)
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內部網(wǎng)絡信息系統(tǒng)的。
針對外部網(wǎng)絡安全,人們提出了內部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產品的效能。
(2)原有的網(wǎng)絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產品亟待升級。
已購買的網(wǎng)絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經執(zhí)行或正在起草標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產品和解決方案的調查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。
7結論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。
篇2
信息安全管理涉及油田生產、數(shù)據(jù)保存、辦公區(qū)域保護等多個層面,在信息化時代,油田企業(yè)需要加強信息化網(wǎng)絡安全管理。現(xiàn)階段,油田企業(yè)信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏細化、具體化的網(wǎng)絡安全措施,針對員工不合理使用信息設備、網(wǎng)絡的懲罰機制不健全。②部分管理人員和員工信息素養(yǎng)較低,如他們不能全面掌握部分軟件的功能,不重視企業(yè)網(wǎng)絡使用規(guī)范,且存在隨意訪問網(wǎng)站,隨意下載文件的現(xiàn)象,增加企業(yè)網(wǎng)絡負擔,影響網(wǎng)絡安全。③信息系統(tǒng)管理員缺乏嚴格的管理理念。石油企業(yè)信息網(wǎng)絡系統(tǒng)都設有管理員崗位,負責企業(yè)內部網(wǎng)絡軟硬件的配備與管理,但現(xiàn)階段,該職位員工缺乏嚴格的管理理念,不能及時發(fā)現(xiàn)和解決信息安全隱患。④為方便員工使用移動終端設備辦公上網(wǎng),石油企業(yè)辦公區(qū)域也設置了無線路由器。但是,員工自身的手機等設備存在很多不安全因素,會影響企業(yè)網(wǎng)絡安全性。
1.2病毒入侵與軟件漏洞
網(wǎng)絡病毒入侵通常是通過訪問網(wǎng)站、下載文件和使用等途徑傳播,員工如果訪問不法鏈接或下載來源不明的文件,可能會導致病毒入侵,危害信息安全。病毒入侵的原因主要有兩方面,一方面,員工的不良行為帶來病毒;另一方面,系統(tǒng)自身的漏洞導致病毒入侵。由此看來,油田企業(yè)信息化軟件自身存在的漏洞也具有安全隱患。其中,主要包括基礎軟件操作系統(tǒng),也包括基于操作系統(tǒng)運行的應用軟件,如Office辦公軟件、CAD制圖軟件、社交軟件、油田監(jiān)控信息系統(tǒng)、油田企業(yè)內部郵箱、財務管理軟件、人事管理軟件等。
1.3網(wǎng)絡設備的安全隱患
現(xiàn)階段,油田企業(yè)網(wǎng)絡設備也存在不安全因素,主要表現(xiàn)在兩方面:第一,油田企業(yè)無論是辦公區(qū)還是作業(yè)區(qū),環(huán)境都較為惡劣,部分重要企業(yè)信息網(wǎng)絡設備放置環(huán)境的溫度、濕度不合理,嚴重影響硬件的使用壽命和性能,存在信息數(shù)據(jù)丟失的危險;第二,企業(yè)內部網(wǎng)絡的一些關鍵環(huán)節(jié)尚未引入備份機制,如服務器硬盤,若單個硬盤損壞缺乏備份機制,會導致數(shù)據(jù)永久性丟失。
2提高油田企業(yè)網(wǎng)絡安全策略
2.1加強信息安全管理
基于現(xiàn)階段油田企業(yè)信息網(wǎng)絡安全管理現(xiàn)狀,首先,油田企業(yè)要重新制定管理機制,對各個安全隱患進行具體化、細化規(guī)范,包括員工對信息應用的日常操作規(guī)范,禁止訪問不明網(wǎng)站和打開不明鏈接。其次,油田企業(yè)要強化執(zhí)行力,摒除企業(yè)管理弊端,對違規(guī)操作的個人進行嚴厲處罰,使員工意識到信息安全的重要性,提高其防范意識和能力。再次,油田企業(yè)要招聘能力強、素質高的信息系統(tǒng)管理員,使其能及時發(fā)現(xiàn)和整改系統(tǒng)安全隱患。最后,對員工使用智能終端上網(wǎng)的現(xiàn)象,則建議辦公區(qū)配備無線路由器的寬帶與企業(yè)信息網(wǎng)絡要完全隔離,以避免對其產生負面影響。
2.2加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現(xiàn)階段,油田企業(yè)的網(wǎng)絡建設雖然引入防火墻設備,但沒有合理利用。因此,油田企業(yè)要全面監(jiān)管和控制外部數(shù)據(jù),防止不法攻擊,防止病毒入侵。同時,定期更新防火墻安全策略。(2)對企業(yè)數(shù)據(jù)進行有效加密與備份。對油田企業(yè)來說,大部分數(shù)據(jù)具有保密性,不可對外泄密。因此,企業(yè)不僅要做好內部權限管理,還應要求掌握關鍵數(shù)據(jù)的員工對數(shù)據(jù)做好加密和備份工作。在傳輸和保存中利用加密工具進行加密,數(shù)據(jù)的保存則需要通過物理硬盤等工具進行備份。有條件的企業(yè),可在不同地區(qū)進行備份,以防止不可抗拒外力作用下的數(shù)據(jù)丟失。(3)合理使用殺毒軟件。企業(yè)要對內部計算機和移動終端安裝殺毒軟件,并高效運行,以加強對病毒的防范。
2.3提升網(wǎng)絡設備安全
(1)由于油田企業(yè)內部信息網(wǎng)絡規(guī)模較大,設備較多且部署復雜。因此,要及時解決硬件面臨的問題,定期檢查維修,提高硬件設備安全性。定期檢修能準確掌握網(wǎng)絡設備的運行狀況,并能及時發(fā)現(xiàn)潛在隱患。(2)對處于惡劣環(huán)境中的網(wǎng)絡設備,包括防火墻、服務器、交換機、路由器等,盡量為其提供獨立封閉的空間,以確保溫濕度合理。
篇3
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術來解決這些問題已經成為當前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應用系統(tǒng)
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內部網(wǎng)絡信息系統(tǒng)的。
針對外部網(wǎng)絡安全,人們提出了內部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產品的效能。
(2)原有的網(wǎng)絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產品亟待升級。
已購買的網(wǎng)絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經執(zhí)行或正在起草標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產品和解決方案的調查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。
7結論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。
篇4
當前,大多數(shù)企業(yè)都實現(xiàn)了辦公自動化、網(wǎng)絡化,這是提高辦公效率、擴大企業(yè)經營范圍的重要手段。但也正是因為對計算機網(wǎng)絡的過分依賴,容易因為一些主客觀因素對計算機網(wǎng)絡造成妨礙,并給企業(yè)造成無法估計的損失。
1網(wǎng)絡管理制度不完善
網(wǎng)絡管理制度不完善是妨礙企業(yè)網(wǎng)絡安全諸多因素中破壞力最強的。“沒有規(guī)矩,不成方圓。”制度就是規(guī)矩。當前,一些企業(yè)的網(wǎng)絡管理制度不完善,尚未形成規(guī)范的管理體系,存在著網(wǎng)絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業(yè)相關人員不能采取有效措施防范網(wǎng)絡威脅,也給一些攻擊者接觸并獲取企業(yè)信息提供很大的便利。
2網(wǎng)絡建設規(guī)劃不合理
網(wǎng)絡建設規(guī)劃不合理是企業(yè)網(wǎng)絡安全中存在的普遍問題。企業(yè)在成立初期對網(wǎng)絡建設并不是十分重視,但隨著企業(yè)的發(fā)展與擴大,對網(wǎng)絡應用的日益頻繁與依賴,企業(yè)未能對網(wǎng)絡建設進行合理規(guī)劃的弊端也就會日益凸顯,如,企業(yè)所接入的網(wǎng)絡寬帶的承載能力不足,企業(yè)內部網(wǎng)絡計算機的聯(lián)接方式不夠科學,等等。
3網(wǎng)絡設施設備的落后
網(wǎng)絡設施設備與時展相比始終是落后。這是因為計算機和網(wǎng)絡技術是發(fā)展更新最為迅速的科學技術,即便企業(yè)在網(wǎng)絡設施設備方面投入了大筆資金,在一定時間之后,企業(yè)的網(wǎng)絡設施設備仍是落后或相對落后的,尤其是一些企業(yè)對于設施設備的更新和維護不夠重視,這一問題會更加突出。
4網(wǎng)絡操作系統(tǒng)自身存在漏洞
操作系統(tǒng)是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網(wǎng)絡環(huán)境中的操作系統(tǒng)不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網(wǎng)絡黑客所了解,就會給其進行網(wǎng)絡攻擊提供便利。
網(wǎng)絡安全防護體系的構建策略
如前所述,企業(yè)網(wǎng)絡安全問題所面臨的形勢十分嚴峻,構建企業(yè)網(wǎng)絡安全防護體系已經刻不容緩。要結合企業(yè)計算機網(wǎng)絡的具體情況,構建具有監(jiān)測、預警、防御和維護功能的安全防護體系,切實保障企業(yè)的信息安全。
1完善企業(yè)計算機網(wǎng)絡制度
制度的建立和完善是企業(yè)網(wǎng)絡安全體系的重要前提。要結合企業(yè)網(wǎng)絡使用要求制定合理的管理流程和使用制度,強化企業(yè)人員的網(wǎng)絡安全意識,明確網(wǎng)絡安全管護責任,及時更新并維護網(wǎng)絡設施設備,提高網(wǎng)絡設施的應用水平。如果有必要,企業(yè)應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業(yè)員工提供網(wǎng)絡安全的講座和培訓,引導企業(yè)人員在使用網(wǎng)絡時主動維護網(wǎng)絡安全,避免網(wǎng)絡安全問題的出現(xiàn)。
2配置有效的防火墻
防火墻是用于保障網(wǎng)絡信息安全的設備或軟件,防火墻技術是網(wǎng)絡安全防御體系的重要構成。防火墻技術主要通過既定的網(wǎng)絡安全規(guī)則,監(jiān)視計算機網(wǎng)絡的運行狀態(tài),對網(wǎng)絡間傳輸?shù)臄?shù)據(jù)包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網(wǎng)站或個人登錄或訪問企業(yè)計算機,從而防止計算機網(wǎng)絡信息泄露,保護計算機網(wǎng)絡安全。
3采用有效的病毒檢測技術
篇5
1.2對外部網(wǎng)絡攻擊的防護因連接到因特網(wǎng),不可避免地會受到外部網(wǎng)絡的攻擊,通常的做法是安裝部署網(wǎng)絡防火墻進行防護。通過設置防護策略防止外部網(wǎng)絡的掃描和攻擊,通過網(wǎng)絡地址轉換技術NAT(NetworkAddressTranslation)等方式隱藏內部網(wǎng)絡的細節(jié),防止其窺探,從而加強網(wǎng)絡的安全性。1.3員工上網(wǎng)行為的管控對于在辦公區(qū)內的員工,要禁止其在工作期間做無關工作的網(wǎng)絡行為,如QQ聊天、論壇發(fā)帖子、炒股等,尤其禁止其玩征途等各類網(wǎng)絡游戲。常用做法就是安裝網(wǎng)絡行為管理設備(應用網(wǎng)關),也有些企業(yè)會出于成本考慮安裝一些網(wǎng)絡管理類軟件,但若操作不當,很容易會造成網(wǎng)絡擁塞,出現(xiàn)莫名其妙的故障。
1.4對不同接入者權限的區(qū)分企業(yè)網(wǎng)絡中的接入者應用目的是不相同的,有些必須接入互聯(lián)網(wǎng),而有些設備不能接入互聯(lián)網(wǎng);有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設多套網(wǎng)絡。通常的做法是通過3層交換機劃分虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)來區(qū)分不同的網(wǎng)段,與防火墻等網(wǎng)絡控制設備配合來實現(xiàn)有關功能。
1.5安全審計功能通過在網(wǎng)絡旁路掛載的方式,對網(wǎng)絡進行監(jiān)聽,捕獲并分析網(wǎng)絡數(shù)據(jù)包,還原出完整的協(xié)議原始信息,并準確記錄網(wǎng)絡訪問的關鍵信息,從而實現(xiàn)網(wǎng)絡訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網(wǎng)絡,并需具有提供內容安全控制的功能,使網(wǎng)絡維護人員能夠及時發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等,從而使網(wǎng)絡系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統(tǒng)SOC(SecurityOperationsCente)r,網(wǎng)管員定時查看日志來分析網(wǎng)絡狀況,并制定相應的策略來維護穩(wěn)定網(wǎng)絡的安全運行。
.6外網(wǎng)用戶訪問內部網(wǎng)絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網(wǎng)獲取相關數(shù)據(jù)資料,出于安全和便捷等因素考慮,需要借助虛擬專用網(wǎng)絡技術VPN(VirtualPrivateNetwork)來實現(xiàn)。通常的做法是安裝VPN設備(應用網(wǎng)關)來實現(xiàn)。
2網(wǎng)絡安全設備的部署與應用
通過企業(yè)網(wǎng)絡安全分析,結合中小企業(yè)網(wǎng)絡的實際需求進行設計。該網(wǎng)絡中的核心網(wǎng)絡設備為UTM綜合安全網(wǎng)關。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡安全防護功能,從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關。它是一種由專用硬件、專用軟件和網(wǎng)絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統(tǒng)一管理平臺[2]。通常,UTM設備應該具備的基本功能有網(wǎng)絡防火墻、網(wǎng)絡入侵檢測(防御)和網(wǎng)關防病毒等功能。為使這些功能能夠協(xié)同運作,有效降低操作管理難度,研發(fā)人員會從易于操作使用的角度對系統(tǒng)進行優(yōu)化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術力量相對薄弱的中小企業(yè)來說,使用UTM產品可以很方便地提高這些企業(yè)應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網(wǎng)絡接入和路由轉發(fā)功能也可由UTM設備來實現(xiàn)。因其具有多個接口(即多個網(wǎng)卡),可通過設定接口組把辦公區(qū)、車間、服務器組等不同區(qū)域劃分成不同的網(wǎng)段;通過對不同網(wǎng)段設定不同的訪問規(guī)則,制定不同的訪問策略,來實現(xiàn)非軍事化區(qū)DMZ(demilitarizedzone)、可信任區(qū)以及非信任區(qū)的劃分,從而有效增強網(wǎng)絡的安全性和穩(wěn)定性。對于上網(wǎng)行為的管理,可以通過內置UTM設備的功能來實現(xiàn)管控,并可以實現(xiàn)Web過濾以及安全審計功能。,設定了辦公區(qū)和車間1可以訪問互聯(lián)網(wǎng),而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP,可方便人員隨時接入網(wǎng)絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網(wǎng)絡的權限進行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設備,有條件的單位可進行安裝,用以實現(xiàn)對員工上網(wǎng)行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業(yè)內部網(wǎng)絡,實現(xiàn)高效安全的網(wǎng)絡應用。
篇6
現(xiàn)階段,我國的供電企業(yè)內網(wǎng)網(wǎng)絡結構不夠健全,未能達成建立在供電企業(yè)內部網(wǎng)絡信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網(wǎng)網(wǎng)絡系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運,財務、營銷、生產各專業(yè)都有相關的信息系統(tǒng)投入應用,相對薄弱的網(wǎng)絡系統(tǒng)必將成為整個信息管理模式的最短板。
(2)存在于網(wǎng)絡信息化機構漏洞較多。
目前在我國供電企業(yè)中,網(wǎng)絡信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡的各類系統(tǒng)對于關鍵流程流轉、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責執(zhí)行和管理。網(wǎng)絡信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業(yè)信息網(wǎng)絡安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡病毒的出現(xiàn),就會對企業(yè)內部計算機進行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡一個有機可乘的機會,對計算機系統(tǒng)進行惡意破壞,導致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關文件,篡改供電系統(tǒng)相關數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網(wǎng)絡信息的安全,就必須要提高供電企業(yè)員工的綜合素質,目前國內供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應對突發(fā)事件應對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡技術相脫軌。
2網(wǎng)絡信息安全管理在供電企業(yè)中的應用
造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設備上的信息安全威脅,另一方面就是外界網(wǎng)絡惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關部門都在使用計算機對網(wǎng)絡安全進行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系,及時更新網(wǎng)絡防病毒軟件,針對性地引進遠程協(xié)助設備,提高警報設備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術的操控,國家相關部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡技術促使安全策略、安全服務和安全機制的相結合,大力開發(fā)信息網(wǎng)絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
篇7
3: 吉林省林業(yè)設計院網(wǎng)絡中心網(wǎng)絡改造與發(fā)展規(guī)劃.
4: 吉林省林業(yè)系統(tǒng)生態(tài)信息高速公路構建課題.
二、論文撰寫與設計研究的目的:
吉林省的林業(yè)分布十分廣泛,以長白山系為主要脈絡的山地廣泛分布各種森林資源,而作為林業(yè)及林業(yè)環(huán)境的發(fā)展,林業(yè)生態(tài)信息則是一個更為龐大的系統(tǒng),快捷,準確,合理,系統(tǒng)的采集,處理,分析,存儲這些信息是擺在我們面前的十分現(xiàn)實的問題.在信息交流的這個世界中,信息好比貨物,我們需要將這些貨物(信息)進行合理的處理,其中以硬件為主的計算機網(wǎng)絡系統(tǒng)是這些貨物(信息)交流的"公路"和"處理廠",我做這個題目,就是要為它畫出一條"公路"和若干"處理方法"的藍圖.
由于森工集團這樣的特定企業(yè),其一,它是一個統(tǒng)一管理的企業(yè),具有集團化的特點,網(wǎng)絡的構建具有統(tǒng)一性.其二,它又在地理上是一個分散的企業(yè),網(wǎng)絡點也具有分散性.然而,分散中還具有集中的特點,它的網(wǎng)絡系統(tǒng)的設計就應該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設計的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.
沒有最好,只有更好;更新觀念,大步向前.我相信,在導師的精心指導下,經過我的努力,我將為它們創(chuàng)造出一條平坦,寬闊的"高速公路".
1,論文(設計)研究的對象:
擬訂以吉林省林業(yè)系統(tǒng)為地理模型,以林業(yè)網(wǎng)絡綜合服務為基本需求,以網(wǎng)絡拓撲結構為設計方向,以軟件整合為應用方法,開發(fā)設計一套完整的基于集散集團企業(yè)的企業(yè)網(wǎng)絡系統(tǒng).
2,論文(設計)研究預期達到目標:
通過設計,論文的撰寫,預期達到網(wǎng)絡設計全面化,軟件整合合理化,網(wǎng)絡性能最優(yōu)化,資金應用最低化,工程周期最短化的目標.
3,論文(設計)研究的內容:
一),主要問題:
設計解決網(wǎng)絡地域規(guī)范與現(xiàn)有網(wǎng)絡資源的利用和開發(fā).
設計解決集中單位的網(wǎng)絡統(tǒng)一部署.
設計解決多類型網(wǎng)絡的接口部署.
設計解決分散網(wǎng)絡用戶的接入問題.
設計解決遠程瘦用戶網(wǎng)絡分散點的性能價格合理化問題.
設計解決具有針對性的輸入設備的自動化信息采集問題.
合理部署網(wǎng)絡服務中心的網(wǎng)絡平衡.
優(yōu)化網(wǎng)絡服務系統(tǒng),營造合理的網(wǎng)絡平臺.
網(wǎng)絡安全問題.
10,基本應用軟件整合問題.
[nextpage]
二),論文(設計)包含的部分:
1,地理模型與網(wǎng)絡模型的整合.
2,企業(yè)內部集中部門網(wǎng)絡設計.
3,企業(yè)內部分散單元網(wǎng)絡設計——總體分散.
4,企業(yè)內部分散單元網(wǎng)絡設計——遠程結點.
5,企業(yè)內部分散單元網(wǎng)絡設計——移動結點.
6,企業(yè)網(wǎng)絡窗口(企業(yè)外信息交流)設計.
7,企業(yè)網(wǎng)絡中心,服務平臺的設計.
8,企業(yè)網(wǎng)絡基本應用軟件結構設計.
9,企業(yè)網(wǎng)絡特定終端接點設計.
10,企業(yè)網(wǎng)絡整合設計.
5,論文(設計)的實驗方法及理由:
由于設計的過程并不是工程的施工過程,在設計過程中詳盡的去現(xiàn)場建設肯定有很大的難度,也不是十分可行的,那么我們在設計的階段就應該進行仿真試驗和科學計算.第一步,通過小型網(wǎng)絡測試軟件平臺,第二步,構建多個小型網(wǎng)絡搭建全局網(wǎng)絡模擬環(huán)境,第三步,構建干擾源利用小型網(wǎng)絡集總仿真測試.
6,論文(設計)實施安排表:
1.論文(設計)階段第一周次:相關理論的學習研究,閱讀參考文獻資料,制訂課題研究的實施方案,準備試驗用網(wǎng)絡硬件和軟件形成試驗程序表及試驗細則.
2.論文(設計)階段第二周次:開始第一輪實驗,進行小型網(wǎng)絡構建試驗,模擬網(wǎng)絡服務中心,模擬區(qū)域板塊,模擬遠程及移動網(wǎng)絡.
3.論文(設計)階段第三周次:進行接口模擬試驗,測試軟件應用平臺,完善課題研究方案.
4.論文(設計)階段第四周次:完成第一輪實驗,提交中期成果(實驗報告1).
5.論文(設計)階段第五周次:進行第二輪實驗,模擬環(huán)境(干擾仿真)實驗,提交實驗報告2.
6.論文(設計)階段第六周次:完成結題報告,形成論文.
三,論文(設計)實施工具及參考資料:
小型網(wǎng)絡環(huán)境,模擬干擾環(huán)境,軟件平臺.
吳企淵《計算機網(wǎng)絡》.
鄭紀蛟《計算機網(wǎng)絡》.
陳濟彪 丹青 等 《計算機局域網(wǎng)與企業(yè)網(wǎng)》.
christian huitema 《因特網(wǎng)路由技術》.
[美]othmar kyas 《網(wǎng)絡安全技術——風險分析,策略與防火墻》.
其他相關設備,軟件的說明書.
1、論文(設計)的創(chuàng)新點:
努力實現(xiàn)網(wǎng)絡資源的全面應用,擺脫將單純的網(wǎng)絡硬件設計為企業(yè)網(wǎng)絡設計的模式,大膽實踐將軟件部署與硬件設計階段相整合的網(wǎng)絡設計方法.
篇8
1.引言
隨著Internet網(wǎng)絡的迅速發(fā)展,絕大多數(shù)企事業(yè)單位的用戶都存在上網(wǎng)的需求,但是現(xiàn)行的IPV4協(xié)議32位的地址空間已經出現(xiàn)嚴重短缺,公有IP地址不僅越來越稀少而且價格也相對昂貴。在目前的網(wǎng)絡環(huán)境中,NAT技術的合理使用可以很好地解決這個問題。
NAT可以在路由器、防火墻或單獨的NAT設備等多種網(wǎng)絡設備上進行配置實現(xiàn),應用范圍廣,而且價格低廉,配置簡單網(wǎng)絡地址轉換,是許多中小企業(yè)解決公網(wǎng)地址不足的有效方法。
2.NAT 的基本原理
NAT (Network Address Translation,網(wǎng)絡地址轉換),它允許一個機構以一個公有 IP 地址出現(xiàn)在Internet 上。將局域網(wǎng)內每個節(jié)點的私有地址轉換成一個公有 IP 地址,反之亦然。而且,它可以應用于防火墻技術,把個別地址隱藏起來不被外界發(fā)現(xiàn),使外界無法直接訪問內部網(wǎng)絡設備。同時,它可以幫助網(wǎng)絡超越地址的限制,合理地安排網(wǎng)絡中的公有 Internet 地址和私有 IP地址的使用。
NAT技術能幫助解決令人頭疼的 IP 地址緊缺的問題,實現(xiàn)公網(wǎng)地址和私網(wǎng)地址之間的映射,而且能使內部和外部的網(wǎng)絡隔離,提供一定程度的網(wǎng)絡安全保障。它解決問題的辦法是::在內部網(wǎng)絡中使用內部地址,通過NAT 把內部地址翻譯成合法的IP地址在 Internet 上使用,其具體的做法是把 IP包內的地址域用合法的外部 IP 地址來替換。
2.1 NAT工作流程:
(1)當私網(wǎng)內的 IP 包經 NAT 流入公網(wǎng)時,NAT將此 IP包的源 IP地址改為 NAT接口上的一個公網(wǎng)地址。
(2)當公網(wǎng)中的 IP包經NAT訪問私網(wǎng)資源時,NAT將此 IP包目的地址改為某一私網(wǎng) IP地址論文的格式。
2.2 NAT技術的類型
NAT有三種類:靜態(tài) NAT(static NAT)、NAT池(pooled NAT) 和端口 NAT(PAT)。其中,靜態(tài)NAT設置起來最為簡單網(wǎng)絡地址轉換,內部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而NAT池則是在外部網(wǎng)絡中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內部網(wǎng)絡。PAT 則是將多個內網(wǎng)地址映射到同一個外網(wǎng)地址的不同端口上。根據(jù)不同的需要,各種 NAT 方案都是有利有弊。
2.2.1 NAT地址池
使用 NAT地址池,可以從未注冊的地址空間中提供被外部訪問的服務,也可以從內部網(wǎng)絡訪問外部網(wǎng)絡,而不需要重新配置內部網(wǎng)絡中的每臺機器的IP地址。采用 NAT池意味著可以在內部網(wǎng)絡中定義很多的內部用戶,通過動態(tài)分配的辦法,共享很少的幾個外部 IP地址。而靜態(tài)NAT則只能形成一一對應的固定映射方式。
NAT池提供很大靈活性的同時,也影響到網(wǎng)絡原有的一些管理功能。例如,一些管理系統(tǒng)要利用IP地址來跟蹤設備的運行情況。但使用NAT 之后,意味著那些被翻譯的地址對應的內部地址是變化的,今天可能對應一臺工作站,明天可能對應一臺服務器。這給網(wǎng)絡管理帶來了麻煩。
2.2.2 PAT
PAT 可把內部的 TCP/ IP 映射到外部一個注冊 IP 地址的多個端口上,還可支持同時連接 64500 個 TCP/ IP、UDP/ IP,但實際可支持的工作站個數(shù)會少一些。
在 Internet 中使用 PAT 時,所有不同的 TCP和 UDP信息流看起來仿佛都來源于同一個 IP 地址。這個優(yōu)點在小型辦公室內非常實用,通過從ISP處申請的一個 IP 地址網(wǎng)絡地址轉換,通過 PAT 將多個連接接入 Internet。
3.企業(yè)案例
筆者在指導企業(yè)開展網(wǎng)絡安全服務過程中,利用NAT 技術特點,將其運用至企業(yè)網(wǎng)絡管理中,使企業(yè)節(jié)約了網(wǎng)絡資源,增強了企業(yè)的網(wǎng)絡調優(yōu)能力和網(wǎng)絡的安全性, 同時為企業(yè)節(jié)約了網(wǎng)絡管理成本,受到企業(yè)歡迎。
背景:圖1為某企業(yè)網(wǎng)絡拓撲結構簡圖,是基于層次性網(wǎng)絡結構的設計,接入層設備采用S2126G交換機,匯聚層設備采用s3550三層交換機。企業(yè)中有四個大的子網(wǎng)。分別為工程部、財務部、商務部和服務器群(目前企業(yè)只有1臺web服務器),在交換機上劃分vlan,vlan10 是工程部子網(wǎng)、vlan20是財務部子網(wǎng)、vlan30是商務部子網(wǎng)、vlan40是服務器群網(wǎng)絡。為了保證網(wǎng)絡的高可用性和穩(wěn)定性,接入層交換機與匯聚層交換機通過兩條鏈路相連,匯聚層交換機通過F0/1與RB路由器接口F1/1相連,匯聚層交換機通過接口F0/8與web服務器群網(wǎng)絡相連接。
工程部和財務部各有20臺電腦,商務部有30臺電腦,網(wǎng)絡中還有1臺web服務器。根據(jù)企業(yè)業(yè)務需要,要求所有計算機都能上互聯(lián)網(wǎng)網(wǎng)絡地址轉換,web服務器要求能對外開放。現(xiàn)在企業(yè)有8個c類地址(IP 地址是 218.192.84.101 至 218.192.84.108 掩碼為 255.255.255.0 )這顯然是不夠用論文的格式。因此采用了NAT技術的解決方案。
方案中使用銳捷路由器。將企業(yè)網(wǎng)根據(jù)職能分成四個子網(wǎng),服務器子網(wǎng)對外提供 Web 服務。考慮到服務的安全性,故采用靜態(tài)地址轉換。工程部和財務部各自使用獨立的地址池接入企業(yè)網(wǎng),并采用動態(tài)地址轉換;商務部共用 1 個 IP 地址,采用地址端口轉換。
圖1 企業(yè)網(wǎng)絡拓撲結構
路由器的配置如下(以下命令均以銳捷設備為例)
1)配置內部全局地址池。給工程部、財務部、商務部配置地址池engineering_departmeng、accounting_department 和commerce_department
Router(config)# ip nat poolengineering_department 218.192.84.104 218.192.84.105 netmask 255.255.255.0
Router(config)# ip natpool accounting_department 218.192.84.106 218.192.84.107 netmask255.255.255.0
Router(config)# ip nat poolcommerce_department 218.192.84.108 218.192.84.108 netmask 255.255.255.0
2)配置允許轉換的內部本地地址的范圍。給工程部、財務部、商務部配置允許轉換的內部本地地址的范圍
Router(config)# access–list10 permit 172.16.10.0 0.0.0.255
Router(config)# access–list20 permit 172.16.20.0 0.0.0.255
Router(config)# access–list30 permit 172.16.30.0 0.0.0.255
Router(config)# access–list40 permit 172.16.40.0 0.0.0.255
3)配置本地地址與全局地址的映射關系
Router(config)# ip nat insidesource static 172.16.40.1 218.192.84.102
Router(config)# ip nat insidesource list 10 pool engineering_departmengcomputer 1
Router(config)# ip nat insidesource list 20 pool accounting_department computer 2
Router(config)# ip nat insidesource list 30 pool commerce_department overload
4)配置外部接口
Router(config)# interfaces1/2
Router(config-if)# ip address218.192.84.101 255.255.255.0
Router(config-if)# ip natoutside
Router(config-if)# noshutdown
5)配置內部接口。
Router(config)# interfacef1/1
Router(config-if)# ip address172.16.1.2 255.255.255.0
Router(config-if)# ip natinside
Router(config-if)# noshutdown
6)設置缺省路由 路由器設置。
Router(config)# ip route 0. 0. 0. 0 0. 0. 0. 0 218. 192. 84. 101
7)三層交換機的基本配置以及vlan劃分省略了,不在此羅列了。
經過上述配置后 Internet 上的主機可以訪問校園網(wǎng)中的 Web 服務器以及工程部、財務部、商務部的計算機也可以同時訪問到互聯(lián)網(wǎng)。
4.結束語
隨著 IP 地址短缺以及網(wǎng)絡安全的問題日漸突出,采用網(wǎng)絡地址轉換是一個方便、廉價而且實用的方法。文章系統(tǒng)的歸納了此項技術,并結合此技術給出了 NAT 技術的應用實例,很好的解決了企業(yè)網(wǎng)絡調優(yōu)及安全問題,完善了該技術的價值。
[參考文獻]
[1]謝希仁.計算機網(wǎng)絡[M]. 北京電子工業(yè)出版社,2003.
篇9
中圖分類號:TP398.1 文獻標識碼:A 文章編號:1006-8937(2015)30-0069-02
1 網(wǎng)絡安全的重要性
網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科,是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。具體而言,網(wǎng)絡安全就是保護個人隱私,控制對網(wǎng)絡資源的訪問,保證商業(yè)秘密在網(wǎng)絡上傳輸?shù)谋C苄浴⑼暾约罢鎸嵭裕刂撇唤】档膬热莼蛭:ι鐣€(wěn)定的言論,避免機密泄漏等。
2 我廠網(wǎng)絡安全措施
2.1 統(tǒng)一出口,便于管理
將三地的網(wǎng)絡進行了配置更改,兩地間增加了高性能的路由器,建成了企業(yè)內部局域網(wǎng)絡。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡系統(tǒng)安裝了一個“保護殼”,使企業(yè)內部網(wǎng)絡的使用更加方便、快捷的同時保證了數(shù)據(jù)采集、傳輸?shù)陌踩裕訌娏擞嬎銠C信息和網(wǎng)絡的保密性。
2.2 企業(yè)防火墻,墻
在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻,負責管理Internet和企業(yè)內部網(wǎng)絡之間的訪問。在沒有防火墻時,內部網(wǎng)絡上的每個節(jié)點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網(wǎng)絡的安全性要由每一個主機的堅固程度來決定,并且安全性等同于其中最弱的系統(tǒng)。
2.3 生產和辦公物理和虛擬相結合隔離
為了保證生產網(wǎng)的安全穩(wěn)定運行,采取了生產網(wǎng)和辦公網(wǎng)邏輯隔離,兩網(wǎng)通過防火墻相連,高度融合,進一步強化了生產網(wǎng)的安全性。
2.4 病毒掃描評估
通過專業(yè)軟件掃描分析全廠的網(wǎng)絡系統(tǒng),檢查網(wǎng)絡系統(tǒng)中存在的弱點和漏洞并生成相應的報告,提出修補方法和應實施的安全策略,增強了網(wǎng)絡安全性。
2.5 行為管理
引進了國內先進的“網(wǎng)康”網(wǎng)絡接入管理設備,對企業(yè)網(wǎng)絡進行優(yōu)化管理,實現(xiàn)了對網(wǎng)絡的整體流量分配與控制,加強了網(wǎng)絡數(shù)據(jù)流量分析,優(yōu)化了網(wǎng)絡流量調整工作。
2.6 區(qū)域WLAN的劃分
將企業(yè)辦公、生產區(qū)域網(wǎng)絡用戶按照單位、區(qū)域和樓層等細化管理,通過劃分不同的WLAN,從邏輯上阻隔網(wǎng)段,徹底阻隔廣播域,縮小區(qū)域,減小網(wǎng)絡異常的影響范圍。
3 目前存在的主要問題
3.1 認識上的誤區(qū)
①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。
②在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡版殺毒軟 件等效。網(wǎng)絡版殺毒軟件核心就是集中的網(wǎng)絡防毒系統(tǒng)管理。網(wǎng)絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網(wǎng)絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡的病毒。同時對于整個網(wǎng)絡而言,管理非常方便,對于單機版是不可能做到的。
③不上網(wǎng)就不會中毒。雖然不少病毒是通過網(wǎng)頁傳播的,但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。
④文件設置只讀就可以避免感染病毒。設置只讀只是調用系統(tǒng)的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網(wǎng)中為了共享安全,放置誤刪除,還是比較有用的。
⑤網(wǎng)絡安全主要來自外部。基于內部的網(wǎng)絡攻擊更加容易,不需要借助于其他的網(wǎng)絡連接方式,就可以直接在內部網(wǎng)絡中實施攻擊。所以,加強內部網(wǎng)絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要。
3.2. 技術上的差距
①操作系統(tǒng)使用盜版。由于習慣問題,部分軟件不兼容原裝系統(tǒng)和覺得正版與盜版都一樣等的一些類似原因導致使用盜版系統(tǒng)占到我廠絕大數(shù)計算機,給全廠網(wǎng)絡安全帶來了嚴重隱患。
②生產電腦防火墻和殺毒軟件無法自動升級。由于辦公網(wǎng)和生產網(wǎng)隔離,生產電腦無法上網(wǎng),無法自動升級防火墻和殺毒等軟件,以至于在生產電腦上插拔外置移動設備和局域內傳輸文件帶來的安全危險顯得毫無抵抗之力。
③查找故障機困難。由于三地運行,地域廣,人員多,加之入廠機子相關登記信息空白,給查找故障機帶來更多困難,顯得無從下手。
4 進一步的措施
4.1 環(huán)網(wǎng)建設
目前企業(yè)網(wǎng)絡鏈路均為單鏈路。致使網(wǎng)絡鏈路抗風險能力較差,鏈路中斷后恢復時間較長。不能滿足生產管理系統(tǒng)的穩(wěn)定運行需求。為提高網(wǎng)絡鏈路的抗風險能力,計劃在充分利用已建光纜、桿路資源及網(wǎng)絡設備的基礎上,新增傳輸設備,將網(wǎng)絡鏈路構成環(huán)網(wǎng),當網(wǎng)絡中斷后自動切換至反向鏈路,實現(xiàn)網(wǎng)絡“零中斷”。
4.2 層級改造
我廠分場站網(wǎng)絡節(jié)點,由于之前采用交換機級聯(lián)的方式組網(wǎng),受到光纜資源的限制,尚有部分網(wǎng)絡級聯(lián)層級達到三級或者更多,隨著網(wǎng)絡的不斷擴展,層級數(shù)過多問題也日益凸顯,現(xiàn)計劃對此類場站進行層級改造。
4.3 基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系 統(tǒng)研究與應用
充分利用現(xiàn)有成熟的DHCP、VPMS和開源Liunx系統(tǒng)的相關技術,實現(xiàn)基于DHCP和MAC地址動態(tài)綁定的網(wǎng)絡用戶自助接入指定網(wǎng)絡,無需安裝客戶端,從而簡化日常IT管理人員負擔和提高網(wǎng)絡管理效率與信息安全水平,基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系統(tǒng)應用,如圖1所示。
4.4 端口封裝,細化管理
結合以上MAC地址綁定和VLAN劃分,通過客戶端連接交換機做端口分裝策略,進一步固定IP地址,防止IP使用混亂,營造一個平穩(wěn)暢通的網(wǎng)絡環(huán)境。
5 結 語
上述論文主要從我廠當前實際的網(wǎng)絡運行狀況,分析了所存在的網(wǎng)絡安全隱患,及采取的一些相應安全措施和下步主要安全工作的同時,也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網(wǎng)絡安全的現(xiàn)狀,可以使大家有對網(wǎng)絡安全的重要性有了進一步的了解。
參考文獻:
[1] 董玉格.網(wǎng)絡攻擊與防護-網(wǎng)絡安全與實用防護技術[M].北京:人民郵 電出版社,2002.
篇10
中途分類號:TP309.2 文獻識別碼:A 文章編號:1007-9416(2016)05-0000-00
作為一個信息與技術均密集型的行業(yè)來說,廣電網(wǎng)絡企業(yè)所采用的現(xiàn)代化計算機網(wǎng)絡,不僅要提高內部自動化辦公的效率,更要保證使用有線通寬帶的用戶通訊時有舒適暢通的體驗,其通常有線通、數(shù)據(jù)專線網(wǎng)絡、辦公網(wǎng)絡三個部分。為了使系統(tǒng)正常運作,并且可以保證其穩(wěn)定性,所以多種高性能設備和先進技術是必不可少的。這是因為廣電的應用系統(tǒng)較為復雜,需要滿足比較嚴格的條件,比如數(shù)據(jù)、圖像、視頻等傳輸要求
1 廣電網(wǎng)絡安全需及隱患
“有線通”業(yè)務是廣電網(wǎng)絡公司為用戶提供的基于雙向有線網(wǎng)絡的寬帶接入服務,利用遍布本市有線電視雙向網(wǎng)絡,通過EOC、EPON和 CMTS為用戶提供寬帶接入服務,目前“有線通”用戶超過5000戶,另外還包括本市銀行、醫(yī)保等數(shù)據(jù)專線業(yè)務,因此要加大對信息資源的保護力度,控制管理服務資源予。
1.1 廣電網(wǎng)絡安全需求
消除信息網(wǎng)絡內部各類信息的完整性,真實性,以及可用性和不被非法泄露盜用的安全隱患,使其在存儲、獲取、傳遞以及處理過程中處于安全狀態(tài)。為了使區(qū)域網(wǎng)保持其完整性、真實性、以及不被非法泄露盜用,使網(wǎng)絡外部的攻擊無效,加強對內部用戶訪問資源的控制,各類信息的獲取、存儲、處理和傳遞必須能夠應對各種層次的管理要求
1.2 廣電企業(yè)網(wǎng)絡安全隱患
現(xiàn)如今廣電企業(yè)網(wǎng)絡面臨的主要安全隱患:(1)其它網(wǎng)絡的攻擊INTERNET上黑客、惡意用戶等會利用廣電企業(yè)在INTERNET上接入網(wǎng)絡系統(tǒng)的這一特點來攻擊網(wǎng)絡,如企圖進入網(wǎng)絡系統(tǒng)、實現(xiàn)對敏感信息的竊取、系統(tǒng)數(shù)據(jù)的破壞、惡意代碼的設置、來嚴重降低或癱瘓系統(tǒng)服務。這個問題相當嚴重,不能忽視,所以相應的安全措施要適時采取,防止這類事情的發(fā)生。(2)管理及操作人員缺乏安全知識現(xiàn)如今信息的應用和安全技術與網(wǎng)絡的技術發(fā)展不成正比,前者相對滯后,用戶在引入和采用安全設備和系統(tǒng)時,沒有進行全面和深入的培訓和學習,沒有對信息安全的重要性與技術的認識,這就會導致安全設備/系統(tǒng)發(fā)揮不了正確的作用,最終成為擺設。(3)雷擊當?shù)貫槔纂姙碾y多發(fā)的沿海沿江地區(qū)。一旦遭受到雷電襲擊,連鎖反應就會產生,整個網(wǎng)絡就會癱瘓,設備也會收到損害,后果十分嚴重,這是因為很多的網(wǎng)絡設備、終端、線路等都會牽扯到網(wǎng)絡系統(tǒng)中,它們的傳輸方式都是通過通信電纜傳輸完成的,所以受到雷擊的概率特別大。為了減少雷擊造成的損失,就必須對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。
2 廣電網(wǎng)絡企業(yè)網(wǎng)絡安全策略
2.1 訪問控制策略
為了防止非法訪問,使用戶身份鑒別和對重要網(wǎng)絡、服務器的安全控制起作用,此時,最關鍵的是實施訪問控制。為了能夠使網(wǎng)絡安全得到保證,玩不可缺的是防火墻。防火墻會進行限制網(wǎng)絡流,合法網(wǎng)絡流得到許可,并將非法網(wǎng)絡流截止,在根據(jù)網(wǎng)絡流的來源和訪問目標的安全性作出判斷后。可以提供在網(wǎng)絡邊界處的安全策略,對有效的簡化復雜的網(wǎng)絡安全問題,使管理成本縮小,并將潛藏的風險降低,是防火墻最大的存在意義。
2.2 加密信息策略
信息加密在實現(xiàn)對網(wǎng)內的數(shù)據(jù)、文件、口令和加強對信息的控制的保護,網(wǎng)上的數(shù)據(jù)傳輸?shù)谋WC,是必不可缺的。網(wǎng)絡節(jié)點之間的鏈路信息安全可以通過鏈路加密得到保證;源節(jié)點到目的節(jié)點之間的傳輸鏈路可以通過節(jié)點加密得到保護;端與端加密能夠保護源端用戶到目的端用戶的數(shù)據(jù)。因此,鏈路加密、節(jié)點加密和端點加密三種方法是網(wǎng)絡加密常用的方法。用戶可根據(jù)實際情況進行選擇。
密碼技術是網(wǎng)絡安全頗為有效的技術中的一個。通過網(wǎng)絡加密,可以禁止非授權用戶搭線偷聽和入網(wǎng),并且讓惡意軟件也沒有可乘之機。
2.3 內外網(wǎng)互聯(lián)安全策略
在網(wǎng)絡的邊界必須用安全設備進行分離,通過防火墻的路由及NAT功能,廣電的信息網(wǎng)絡對醫(yī)保、銀行專網(wǎng)的訪問就得以實現(xiàn)。這是因為廣電的銀行、醫(yī)保專網(wǎng)和內部網(wǎng)絡的安全級別以及安全防護的要求不同,其作為核心網(wǎng)絡是屬于兩個截然不同單位的。并且這樣可以通過在防火墻配置嚴格的訪問控制措施,,其他未經授權的用戶不得相互訪問,訪問醫(yī)保專網(wǎng)和廣電信息網(wǎng)絡的權利只有授權用戶及IP地址。
3 數(shù)據(jù)備份策略
3.1 數(shù)據(jù)容災備份設計
“本地備份”和“異地災備”是尋常的備份方式。如果備份設備與要操作的數(shù)據(jù)、系統(tǒng)支撐設備的數(shù)據(jù)交換方式通常是光纖高速通路的,且兩者的距離非常小,那么使用本地備份的方式。異地災備與本地備份恰好相背,備份中心建立在離源數(shù)據(jù)、系統(tǒng)存放地的距離相當遠的地方,這樣做的好處是,當一些不能避免的事件發(fā)生時,數(shù)據(jù)或系統(tǒng)受到影響,而不會將破損災備中心。
3.2 容災恢復建議方案設計
在廣電系統(tǒng)業(yè)務平常運作中,為了能夠在出現(xiàn)問題故障時及時將至關重要的數(shù)據(jù)恢復,操作并備份關鍵數(shù)據(jù)和數(shù)據(jù)庫是關鍵組成成份。當出現(xiàn)非常大的數(shù)據(jù)量或發(fā)生突發(fā)性災難時,備份磁帶卻不能發(fā)揮實際作用,不能及時的將數(shù)據(jù)恢復出來,這是因為數(shù)據(jù)通常采用磁帶離線備份。所以若想要編定一套完整的災難備份方案,那么軟件,特別對相關的備份,存儲設備,服務器以及災難恢復的解決是一個都不能缺少的。 應該含有主數(shù)據(jù)中心和備份中心,主數(shù)據(jù)中心是相對比較可靠的解決方案,主數(shù)據(jù)中心與備份數(shù)據(jù)中心的連接方式是通過光纖或電信網(wǎng)實現(xiàn)的。主中心系統(tǒng)配置主機的存儲磁盤陣列中存儲著數(shù)據(jù),由于是由兩臺或多臺服務器以及其他相關服務器組成的,所以它有很高的可靠性。有相同結構的磁盤陣列存儲在異地備份中心,同樣也有一臺或多臺備份服務器。可以在主數(shù)據(jù)中心通過配置磁帶備份服務器這一途徑,完成備份軟件和磁帶庫的安裝。在存儲陣列和磁帶庫上直接將備份服務器連接上,從而實現(xiàn)對系統(tǒng)的日常數(shù)據(jù)的磁帶備份的控制。
