基于某企业的网络安全策略范文1
奇虎360关注企业级安全,面对日益严峻的安全挑战,360希望为企业提供安全可靠的防护平台。360私有云安全就是奇虎360针对高端企业需求推出的一套企业终端安全解决方案,旨在打造高度可控的企业安全网络。如果把360云安全体系移植到企业内网,就可以让企业用户享受云安全技术带来的高效及便利。360私有云安全系统是国内率先推出基于定制化黑白名单的企业云安全解决方案,依托超过4亿终端用户的云安全体系,为企业打造高度可控云安全解决方案。面对企业复杂的网络环境,360私有云安全提供内网云安全服务,能极大限度保障业务系统和数据安全,有效降低资源占用和运营成本。
定制防护
通过360私有云安全黑白库平台,以及对应的四个安全区策略(核心区、办公区、客户区、非信任区),从高到低为企业用户定制不同的需求,抵制外来以及内部的恶意软件攻击。强大的360私有云安全库以及基于非白即黑的主动防御技术,企业用户可以在相应的安全区下放心地使用机器。当企业终端用户发生未知文件操作时,控制台可以及时发现并记录用户的操作行为,在控制台进行记录,方便网络管理员查看。此外,360私有云安全还支持企业域用户的需求,可实现不同区域终端集中管理。
为了更加有效地部署和保障用户文件,360私有云安全还设置了独有的信任机机制,当某台机器被设定为信任机之后,此机器的软件会自动加入到360私有云安全白库中,局域网的其他终端会通过连接控制台的数据更新白名单,这样对于用户来说在部署或者添加、删除应用程序就更加方便快捷。另外,360私有云安全还支持企业管理员自己添加黑白库,管理员可通过控制台自定义黑白库,对全网终端下发统一策略,让恶意软件及非正常操作无法运行。
360私有云安全客户端通过访问控制台页面进行安装,快速方便。客户端系统支持云引擎和QVM启发式引擎双查杀,更好地保护企业信息数据安全。同时根据360私有云安全独有的策略区规则,客户端会执行相应的策略。白库加黑库的双重策略,有效防护企业用户的系统文件。通过客户端快速上报拦截和查杀信息,服务器控制台生成审计记录,为企业管理提供了有据可查的功能。
360私有云安全基于B/S架构,支持多级部署,采用集中管理的工作模式。它由三部分组成:服务端是内网云安全系统的数据处理和存储中心,为全网客户端提供云安全服务;客户端安装在终端上,对计算机实现保护,上报终端安全状况,下载安全策略,及时处理病毒,和服务端通信并接受统一管理和升级;控制台采用人机交互界面,通过浏览器登录和管理,管理员可轻松实现全网终端部署、文件审计、策略下发和报表查看等功能。
七大优势
在为企业提供安全防护时,360私有云安全解决方案有着诸多优势。
第一是私有云查杀。360私有云安全把文件特征库置于企业内网服务器端,无需连外网,终端可以通过云查杀引擎直接调用内网服务器端特征库执行查杀,其运算速度和数据量都远远超过传统杀软的本地查杀引擎,实现全网协同作战、集体防御,并允许企业根据业务需求自由设定私有文件的黑白名单,避免内网出现误杀、漏杀。
第二是统一管理企业安全。360私有云安全,通过一个简单高效的管理控制中心统一管理终端的安全,解决企业对安全统一管理的需求。360私有云安全提供全网安全监控、病毒查杀、漏洞修复、策略分发、统一升级等。通过基于B/S构架的管理控制台,管理员可以随时随地进行统一的企业安全管理。
第三是智能漏洞修复。及时修复漏洞可以有效保护用户电脑系统和网络应用的安全。360私有云安全提供全网补丁智能修复功能,智能分配服务器的流量带宽,避免因为大量补丁更新导致网络阻塞,影响正常企业办公。独有的系统蓝屏修复功能,可帮助您在安装微软补丁并发生蓝屏或无法启动等问题后快速修复您的系统。
第四是全网文件审计。360私有云独创的全网文件安全审计功能,全网的可执行文件信息都汇总到服务器端,所有文件都带有详细信息和云鉴定结果,管理员可以按公司名、产品名、数字签名等方式分类审核文件,便于及时发现和定位未知威胁。
第五是Office宏病毒引擎。360私有云客户端可全面清除寄生在Excel、Word等文档中的Office宏病毒,还原珍贵文档。用户可开启360杀毒的“Office宏病毒免疫”,就如同为系统打上疫苗一样,使办公文档免除感染病毒之忧。
第六是断网保护。360私有云安全支持查杀引擎智能切换,在正常通信时,云引擎将全力保障您的电脑安全,当网络出现故障时,将自动启用国际领先的常规反病毒引擎和360 QVM II人工智能引擎,让电脑依然坚不可摧。
第七是内网带宽保护。用户可自定义服务器的下载带宽、连接数和单台下载速度等,一旦超出预设值,网络将自动启用分流或延缓机制,以确保用户网络办公环境不受影响。
应用案例
目前,360私有云安全系统已经在政府机关和诸多行业企业得到了应用。
例如国内某大型企业就提出了具体的企业内部安全需求:要在企业内部建立私有云安全平台,实现文件查杀企业内部可控;方便部署及维护,可以让某个服务器作为可信任的机器,在此机器部署的软件都为内部可执行文件;可以自行设置黑白文件库,防御外网未知文件的功能;对内网的安全操作行为进行有效监控,实现每个操作在服务器端有记录,可供相关人员审核;不同区域的用户执行不同的策略,核心区用户的监管相对严谨,客户区的监管可以相对宽松些。
基于某企业的网络安全策略范文2
电力企业的信息安全不仅影响着其自身的网络信息的化建设进程,也关系着电力生产系统的安全、稳定、经济、优质运行。所以,强化信息网络安全管理,确保电力信息网络的安全性,保证业务操作平台能够稳定、可靠的运行是电力安全工作中的一项核心任务。
1.电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:①物理层面安全,环境安全,设备安全,介质安全;②网络层面安全,网络运行安全,网络传输安全,网络边界安全;③系统层面安全,操作系统安全,数据库管理系统安全;④应用层面安全,办公系统安全,业务系统安全,服务系统安全;⑤管理层面安全,安全管理制度,部门与人员的组织规则。
2.电力信息网络安全存在的问题
2.1 系统漏洞。电力企业使用的都是微软所开发的Windows操作系统。由于一个计算机操作系统过于庞大、复杂,所以它不可能第一次性地发现并解决所有存在的各种漏洞和安全问题,这需要在我们的使用当中不断地被完善。但是,据一些消息称,微软公司对于漏洞信息披露的反应时间为1~2周。但是在这段时间内,这些长久存在或是刚被披露的漏洞很可能被一些居心不良的人所利用,造成对企业信息网络安全的威胁。
2.2 黑客的恶意攻击。如今,社会当中的部分人也拥有了较强的计算机网络操作、控制能力。他们有的出于兴趣爱好、有的出于金钱指使,而对其他网络系统发起恶意的攻击、破坏,以满足自身的各种成就感。在这些攻击行为当中,一部分是主动的进行系统破坏或是更改、删除重要的信息,另一部分是被动的进行监听,窃取电力企业内部网络交流信息,导致信息外泄。
2.3 网络硬件系统不牢固。网络硬件系统不牢固是一个普遍性的问题。尽管互联网的硬件系统已经具有了较高的稳定性和安全性,但其仍然存在的脆弱性也不可忽视,比如雷电所引发的硬件故障,各种传输过程当中受其他因素影响所出现的信息失真等。
2.4 员工的信息网络安全意识不健全。在如今的电力企业当中,许多员工多信息网络的安全意识还不健全。比如用户安全意识不强,系统登录口令过于简单,或是将账户及密码借给他人使用,盲目地进行资源信息共享,这些带全安全威胁性的操作都可能会对企业的信息网络安全带来隐患。还有的员工长时间占用网络,大量消耗了网络资源,增加了企业的网络通信负担,导致企业内部的通信与生产效率较低。更有甚者由于浏览网页或是使用U盘,导致了一些木马、病毒被下载到了计算机系统当中,造成各式各样的网络通信故障。
3.电力信息网络安全策略
3.1设备安全策略
3.1.1 建立配套的绩效管理机制,以促进信息安全运维人员树立良好意识,提高自身信息网络管理能力。
3.1.2 建立电网信息安全事故应急处理预案,例如“突况下某某大楼信息系统应急处理预案”,预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管,相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位,各应急单位要定期进行应急演练,保证在发生信息安全事故之时队伍能够拉得出、打得赢。
3.1.3 运用国家电网公司统一的标准化信息安全管理模式,规范日常网络处理流程,严格控制网络接入程序,对新进网络施行过程化管理,例如:申请入网人员必须填写“某公司入网申请单”,并对操作人员严格施行信息网络处理“两票三制”管理,即:操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制,从制度上保证信息网络安全管理。
3.1.4 成立网络信息安全组织机构,例如:成立某公司信息安全领导小组,小组成员包括:公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等,并对各人员工作职责提出具体要求,尤其是必须明确技术实施保障人员的工作要求。
3.2安全技术策略
3.2.1 使用VPN(虚拟隧道)技术。按业务分别建立对应的三层VPN,各VLAN段建立符合实际要求的网络访问控制列表,将网络按部门(楼层)进行分段,对各段网络配置对应的访问控制,设置高强度的网络登录密码,保证网络的安全性。
3.2.2 安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。
3.2.3 病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台PC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网父的防病毒软件,必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。
3.2.4防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术。它通过单一集中的安全检查点,强制实操相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
3.2.5 拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空LAN里,但这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.结束语
电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全,所以利用结构化的观点和方法来看待电力企业信息网络安全系统。基于网络的特殊性,有关供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,方能生成一个高效、通用、安全的网络系统。
参考文献
[1] 杨晶.论计算机网络安全问题及防范措施[J].科技创新导报.2011.
[2] 侯康.浅谈电力调度数据网及其维护[J].科技信息.2011.
作者简介
基于某企业的网络安全策略范文3
随着我国石油工业的不断发展进步,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
一、目前企业内部网络的安全现状
1.操作系统的安全问题
目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
2. 病毒的破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
3.黑客
在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA等。
4.口令入侵
为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
5.非正常途径访问或内部破坏
在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
6.设备受损
设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
7.敏感服务器使用的受限
由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
8.技术之外的问题
企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平。同时,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
二、企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
1.物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2.访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
3.防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
4.信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
5.备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
6.网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等 。
基于某企业的网络安全策略范文4
【关键词】企业云 安全 防护 攻击
1 企业云安全面临的威胁
一个存储海量企业用户数据的云存储系统,存在着巨大的非法攻击诱惑,一旦攻击者通过某种手段攻击企业云数据系统,将带来不可估量的经济损失。目前,企业云安全所存在着普遍性的安全威胁主要包括以下几个方面:
1.1 数据丢失和泄露
数据安全是企业用户关注的重点问题,由于数据泄漏会给企业带来巨额损失,因此,一般会采取相应措施来保证数据的安全性。目前对于企业云数据,一方面攻击者会通过木马程序或其他恶意程序来控制客户端,进而获取和窜改企业数据。另一方面,因为云服务供应商隔离措施或安全策略的不当,也有可能导致数据丢失或信息篡改。
1.2 网络攻击
在云环境中,应用程序基本上是在网络上进行的,这就间接催生了网络攻击频繁性和危害性,网络攻击主要有以下两种类型。第一种是账户劫持。在云环境中,攻击者利用钓鱼网站或软件漏洞来攻击企业用户,进而获取用户账号及密码信息,这样就可以使用被窃取的账号密码登陆云计算系统,窃取或窜改企业用户云中的各类机密性数据,给企业带来巨大的损失。第二种是拒绝服务攻击。通过应用层DDOS攻击等方式阻止企业用户对云服务的正常访问,这样就会导致正常操作浪费大量的系统资源,如内存、硬盘空间和网络带宽等,降低云计算服务器的反应速度,也使企业用户由于资源的大量消耗而蒙受经济损失。这种攻击能够实现很大程度上是由于企业用户数据中心没有做好针对性的安全防范措施。
1.3 技术漏洞
由于云技术发展历程较短,其共享的平台组件及应用程序还存在着一些安全漏洞,这比其它安全问题更为危险和致命,严重情况下会导致整个云计算系统瘫痪。另外,云计算资源的虚拟化特征会给传统安全策略在整个虚拟网络的全面应用造成阻碍,虚拟化会增加认证的困难,恶意代码和病毒更容易传播,安全问题产生的机率也就更大。
2 企业云安全防护方案
基于上述企业云安全面临的威胁的主要威胁,可以通过以下综合性的安全防护技术措施来提高企业云安全性能。
2.1 云平台物理安全
物理安全是云计算系统的第一道安全防线,首先是环境安全的保障。温度、湿度等环境因素会影响云计算系统的稳定运行,因此,减少环境风险是企业云安全防护的基本前提。云服务提供商要通过各项措施来保证运维环境的安全性,除了安设一些必不可缺的设备外,如温度和湿度控制器、自动灭火系统等。还应配备支持特定环境的设备,如不间断电源等,以应对各种突变的自然环境。其次是设备的维护。为了保证设备的长期不间断运行,需要定期维护设备,并详细记录维护过程中所遇到的各种疑似故障及实际故障。最后是网络设备的配置。云计算系统整体设备性能的提高是安全防护的关键,特别是网络设备。应配置多台交换设备,网络设备与网络链路应有冗余备份。某一设备发生故障时应具备自动恢复功能,且企业网络应具有访问控制、安全检测、监控、报警、故障处理等功能。主机设备的核心应采用多机负载模式,某个主机若存在故障,其它主机仍能正常运行,同样服务器设备电源、风扇等也应采用冗余配置。
2.2 云平台访问控制
首先是网络安全访问控制。云平台和企业用户之间采用路由控制方式,通过安全访问路径的构建提高网络安全。避免在网络边界处安置重要网段,应对二者进行有效隔离。且利用防火墙、IPS、ACL等技术在重要业务网段边界进行隔离。具体而言主要可以采取以下措施来控制云平台网络:限制管理终端访问网络设备;设置安全的访问控制,过滤蠕虫的常用端口;关闭不使用的端口;关闭不必要服务,如FTP、TFTP服务等;修改BANNER提示,避免默认BANNER信息泄露系统平台及其他信息。其次是边界防护。清晰界定和综合防护系统边界,科学划分系统内部区域,加强便捷访问控制,增加访问控制配置,并使用防火墙等访问控制设备对高安全等级区域进行边界防护。最后是防火墙安全访问控制。在防火墙上配置常见病毒和攻击端口的ACL过滤控制策略,防止发生病毒或蠕虫扩散,影响核心设备正常工作。
2.3 云安全数据库及配置安全
对于云数据库,应采用C2以上安全控制标准及多层次安全控制原则。操作系统软件应能根据任务合理地分配系统资源,避免由于资源枯竭而停机。软件系统应具备良好的容错能力,保证某一进程故障的出现不会影响其它进程的运行,且能自动进行升级,并具备自动恢复功能,使系统在故障情况下能快速自动恢复。
2.4 云安全监控
云安全监控的目的是确保云平台的可用性,是安全防护过程中不可或缺的。首先是日志监控。通过监控系统的输出日志来监控相关事件。其次是性能监控。通过监控网络、系统以及应用等内容,保证云计算平台的稳定运行,一旦平台发生了故障,能迅速报警。
2.5 云安全审计
云安全审计包括日志收集、数据库审计、网络审计等。云服务提供商需要部署网络和数据审计措施,对网页内容、邮件内容等敏感信息进行审计;完善地记录其日志信息,建立良好的审核机制,并合理地整理相应的目志记录,增强违规事件发生之后的审查能力。
3 结语
企业云安全面临的威胁是复杂多样的,必须针对各类安全问题采取有效性的安全防护策略,进而保证企业的各类数据信息安全,同时也能促进云计算机系统在企业的推广和应用。
参考文献
[1]聂亚伟.企业网络安全解决方案研究与设计[D].邯郸:河北工程大学,2014.
作者简介
李常福(1973-),男,河南省信阳市人。大学本科学历。中级职称。主要研究方向为信息安全及云计算。
基于某企业的网络安全策略范文5
关键词:局域网;问题;安全;效率;维护;管理
中图分类号:TP399 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
1 引言
企业已经进入资源优化、提高效益的新的发展阶段,各种数据和信息呈爆炸式的增长,信息系统成为提高企业生产经营管理效率的重要支撑。逐渐深入的信息化建设结果,是越来越多的业务应用系统投入使用,越来越多的用户终端接入网络。办公局域网作为组成数据网络的基本单位,直接面向企业员工用户,在用户节点数量庞大、系统和数据高运行效率及高安全性要求下,局域网的维护和管理的工作量巨大,维护水平要求也越来越高。
2 局域网常见应用问题分析
目前,办公局域网基本上都是以广播技术为基础的以太网,以数据的快速转发为基本目的。整个运行链路主要包括以太网交换机设备、网络线路、用户终端等环节。
在现有网络运行工作中,我们发现约70%的局域网报障是用户终端本身软硬件故障或设置不当产生的问题,如网卡驱动运行不稳定、网卡硬件故障,本地连接设置不当、被安全准入策略限制、IE浏览器控件没安装或安全站点设置不当等问题导致网络不通、应用系统无法正常打开或登陆后板块缺失。网络线路的故障主要集中在综合布线接入用户终端最后一米的网络接头、插座和连接线的问题,在局域网运行问题中约占10%;恶意病毒、木马、ARP攻击或是人为环路导致广播风暴影响网络正常运行的情况偶有发生,这类问题往往能导致多用户网络中断,使某个局域网片区网络瘫痪,一旦发生,影响则十分恶劣;以太网交换机个别端口故障、交换机整机运行吊死、DHCP服务器问题等导致用户获取地址有误或无法获取地址的情况,虽然只有个位数的比例,但属于网络关键设备性能问题,应当在运行维护过程中予以重视,以对设备升级换代选型提供参考;个别办公点存在带宽瓶颈,使得该局域网运行速度缓慢,无法满足用户业务应用流量需求,直接影响工作效率。
3 局域网维护管理工作开展
3.1 满足业务与用户需求
网络是信息化发展的基础,局域网作为直接面向用户的接入网络,无疑是为了满足企业开展生产经营管理工作的需要而存在,业务需求应当直接驱动局域网的建设和发展。在局域网的运行维护管理中,我们应当在满足普遍性办公业务应用的同时,注意不同业务部门不同类型业务系统的个性化应用需求,网络的存在的意义在于满足工作的需要。
目前大多数业务应用都是基于B/S架构访问的,在使用基于B/S架构访问系统的过程中,经常有用户反映某个业务应用系统登陆很慢或无法登陆,登陆后系统有板块缺失的现象,通过故障分析,大多数原因是IE浏览器设置问题。IE缓存冗余多,会造成系统打开慢;IE控件没安装或安全站点设置不当,会造成系统打不开或板块缺失等。那么可以根据用户的业务应用特点形成IE安全性站点配置策略,通过域策略的设置对安全性站点的ActiveX控件统一开启并进行锁定;可以把针对特定业务系统的设置方案和新增软件、网页控件,通过域管理策略向客户端推送;通过域策略定期清理IE缓存。从而,不仅避免了用户误操作更改设置,也减少个人操作设置的繁琐,提高效率。
注意一些业务系统运行的带宽要求,如某些基于C/S架构访问的系统在采取客户端零维护方式时,用户每次登陆,都会通过网络从服务器局端传送几百兆的信息到客户端,那么局域网端口速率将可能成为瓶颈,在这些用户需要接入网络时,应提供足够的带宽通道,满足业务流量的需求。
业务系统的开发和在现在信息化的时代是非常迅速的,局域网的服务与业务的应用发展应当匹配,用户终端的网络软硬件配置及相关参数设置、通道的需求都是我们在运维过程中应当满足和到位的。
3.2 改善设备运维管理
由于企业建设等历史的原因,局域网中运行的网络设备参差不齐,除了统一管理后集中建设的网络,也有各部门单位办公点以前自行接入的集线器、普通小交换机的延伸节点。而要有坚强安全稳定的网络,满足业务拓展的需求,设备的管理必须得到改善。
根据使用需求和现场环境,通过直接更换退运、逐步整改等方式将不符合网络运行要求的网络设备替代或拆除。通过技术和管理手段禁止未认证的网络设备接入网络。所有网络设备不能直接安放在普通用户可以进入的办公场所,应统一安装在机房或者信息间,从而减少不必要的误动、误操作,如避免人为环路导致网络瘫痪的问题。
局域网的交换机设备由于接近用户,节点多而且分散,安装场所往往受到办公楼建设功能分配的限制,一些旧有办公楼在应用局域网设备时,所能提供的运行空间比较狭小,环境比较恶劣,因而导致的设备故障率比较高。在设备运维管理中,应有目的逐步改善设备运行环境,统一设备安装环境要求。
以往的综合布线系统由于没有统一的标准,布放时要求不一、专业性不强,使得网络线路的线缆、接头、网络插座材料质量和安装质量不高、线缆布放杂乱易误断等历史遗留问题成为了导致目前网络线路故障的主要原因,缆线是局域网运行的物理通道,其布放实施及材料选取应当符合统一的综合布线系统技术规范,没有高质量的物理承载,所有事情都无从谈起。
3.3 强化网络安全管控
局域网具有用户群庞大、访问方式多样、网络行为突发性较高的特点,在这个开放互连的环境中,应当加强网络的安全管控,有效防范恶意病毒、木马、非法软件等入侵的威胁。除了加强交换机等网络设备的运维人员操作管理外,防止来自用户终端的非正常接入,防止病从口入尤为重要。
当前桌面终端所面对的各种被称为混合型病毒的新型病毒不断出现,这些病毒同时具有文件感染传播、U盘传播、系统漏洞攻击传播、系统弱口令攻击传播、网站恶意代码攻击传播等传播机制,被感染的系统不但会自动进行病毒传播,还往往被安置了木马后门,被病毒制造者控制。
一些用户不遵守公司信息安全规章制度,私自在终端上安装各种与工作无关的软件,卸载公司统一安装的安全管理软件,这些终端很容易感染病毒或被攻击,成为病毒传播的温床和潜在的“僵尸”主机,造成网络速度下降甚至堵塞,窃取重要数据,破坏系统正常运行,严重影响系统的安全和网络的可用性。
恶意的外来人员可以通过利用安保不严的场所非法接入公司内部网络;一些用户不遵守信息安全管理规章制度,在接入内部网的同时私自拨号(PSTN/GPRS/CDMA)接入互联网,破坏了内部网络边界的完整性,绕过了公司在网络边界部署的安全防护措施,直接对内部网系统安全造成严重威胁。
那么可以通过采用支持802.1x协议的接入交换机作为强制点的强控制,同时结合交换机DAI(动态ARP检测)、ACL及DHCP实现对接入设备的授权,来实现用户认证和系统安全合规性检查。通过网络准入策略部署工作,实现计算机终端的注册表、进程、系统命令、应用程序、防病毒、文件、安全补丁以及移动存储、外设、网卡等的统一安全管理,实现计算机终端的实名制安全管控,切实做到预防木马、病毒、ARP欺骗攻击以及非法外联等主动违规行为。当然,安全策略执行和网络的运行效率总是一个矛盾体,做好平衡取舍,以尽可能少的策略确保网络安全运行无疑是对维护管理水平的考验。
3.4 加深用户网络认识
在运行维护中发现,用户对网络准入策略的限制内容不清晰或不了解,自行接入未安装指定防病毒软件、未入域的计算机终端,而这些终端受到安全策略限制导致网络连接不通,结果产生了大量的非故障报障,不仅影响了用户本身工作的效率,也增加了网络维护人员的工作量。
某些部门办公点人员变动,使用的业务系统有很大的变化,但是在搬迁时只考虑了办公点办公位置的容纳量,却没有考虑原有网络设备、线路能够提供的服务限制,结果业务系统要求的带宽受限,无法满足正常的工作需要。
加大网络知识普及宣传和各部门兼职信息员的培训力度,明确网络接入流程,在改变办公点使用用途或有新业务系统应用需求时,及时通知网络管理部门,根据实际情况进行网络调整和策略更新。网络建设和管理措施实施应尊重用户的知情权,增强用户服务意识,让用户了解网络及正确、良好的网络使用方法,使用户由强制受限到自觉养成良好的使用习惯,从入口处降低网络风险,提高网络运行效率,同时亦提高用户的满意度。
4 结语
随着企业运行、经营和管理等信息化的要求不断提高,海量数据的处理和传递,办公局域网接入的业务越来越复杂,不断摸索更好更有效的维护管理方法,积累经验,提高维护管理水平,才能适应企业快速发展的需要。
参考文献:
[1]王力,王艳双.网络管理技术的研究与应用[J].计算机光盘软件与应用,2010,7:32.
[2]龚乾春.基于计算机网络管理系统自动化分析[J].制造业自动化,2010,6(32):222-224.
[3]黎连业.网络综合布线系统与施工技术[M].机械工业出版社,2007.
[4]刘水生.网络可靠性探讨与应用实例[J].电信技术,2006,2:52-55.
基于某企业的网络安全策略范文6
1 传统防火墙的不足
传统防火墙是现代网络安全防范的主要支柱,但在安全要求较高的大型网络中存在一些不足,主要表现如下:
(1) 结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构,如今,越来越多的跨地区企业利用Internet来架构自己的网络,致使企业内部网络已基本上成为一个逻辑概念,因此,用传统的方式来区别内外网络十分困难。
(2) 防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏,但在大多数情况下,用户使用和配置防火墙主要还是防止来自外部网络的入侵。
(3) 效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上,因此,防火墙容易形成网络的瓶颈。
(4) 故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵,整个内部网络将完全暴露在外部攻击者的前面。
2 分布式防火墙的概念
为了解决传统防火墙面临的问题,美国AT&T实验室研究员Steven M.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义,其系统由以下三部分组成:
(1) 网络防火墙。网络防火墙承担着传统防火墙相同的职能,负责内外网络之间不同安全域的划分;同时,用于对内部网络中各子网之间的防护。
(2) 主机防火墙。为了扩大防火墙的应用范围,在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中,并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。
(3) 中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心,主要负责安全策略的制定、分发及日志收集和分析等操作。
3 分布式防火墙的工作模式
分布式防火墙的工作模式:由中心策略服务器统一制定安全策略,然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施,再由各主机产生的安全日志集中保存在中心管理服务器上,其工作模式如图所示。
分布式防火墙工作模式结构
从图中可以看出,分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域,可信赖的内部网络发生了概念上的变化,它已经成为一个逻辑上的网络,从而打破了传统防火墙对网络拓扑的依赖。但是,各主机节点在处理数据时,必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。
4 分布式防火墙的构建
分布式防火墙的构建主要有如下四个步骤:
(1) 策略的制定和分发。在分布式防火墙系统中,策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。
(2) 日志的收集。在分布式防火墙中,日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。
(3) 策略实施。策略在管理中心统一制定,通过分发机制传送到终端的主机防火墙,主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。
(4) 认证。在分布式防火墙系统中通常采用基于主机的认证方式,即根据IP地址进行认证。为了避免IP地址欺骗,可以采用一些强认证方法,例如Kerberos、X.509、IP Sec等。
5 分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
(1) 分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击的防范,可以实施全方位的安全策略。
(2) 分布式防火墙消除了结构性瓶颈问题,提高了系统性能。
(3) 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
6 结论
总之,在企事业单位的计算机网络安全防护中,分布式防火墙技术不仅克服了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中,具有无限制的扩展能力。随着网络的增长,它们的处理负荷也会在网络中进一步分布,从而持续地保持高性能,最终给网络提供全面的安全防护。
参考文献
[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).
