前言:中文期刊网精心挑选了企业网络安全策略范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业网络安全策略范文1
1 中小型企业网络的安全目标
一般的中小型企业的局域网拥有十几台或者上百台计算机。其中的Web、FTP、电子邮件、DNS等服务器应能被内外网络的计算机所访问,数据库服务器一般只面向内部网络,而所有的工作站都不能被外部网络所访问。局域网中的工作站有些可以访问外部网络,有些则不可以。局域网中的所有计算机都应能抵挡来自于外网的黑客或病毒的侵入。
2 中小型企业的网络安全隐患
任何一个IP地址都会被攻击。攻击的形式多种多样,主要有以下几种:
2.1 网络嗅探器
攻击者通过嗅探器中途截走网络上的数据流,对报文进行分析,破解出他们想要的信息,例如服务器的密码或者电子邮件等。
2.2 IP欺骗
攻击者制造一个假的IP地址,使接收者误以为是局域网内的合法地址。
2.3 端口扫描
攻击者通过在端口扫描,可以检测出服务器上安全的脆弱方面。
2.4 密码攻击
通过多次的自动试探,获取服务器的密码。
2.5 拒绝服务攻击
大量使用对方的网络资源,使合法的用户无法访问网络。
2.6 应用层的攻击
应用层的攻击有许多方式。系统中的许多服务软件本身就含有安全方面的问题,然后这些被黑客利用发动攻击。
3 制定安全策略的原则
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施。网络安全的维护策略就是针对网络的实际情况,在网络管理中,对各种网络安全采取的保护措施。网络的环境不同,实施的策略也要依据具体情况来定。因此要根据网络的具体应用环境制定出合理的安全策略。
3.1 系统性原则
网络的安全管理拥有系统化的工作流程,必?考虑网络的各个方面,比如网络上用户、设备等,并且采取相应的措施。不要错过任何一个细节,一点点的错失都会降低整个网络的安全性。
3.2 简单性原则
网络用户越多,网络管理人员越多,网络安全的管理工作就越复杂,采用的网络软件种类就越多,网络提供的服务越多,出现安全隐患的可能性就越大,出现问题后解决问题的难度也越大。要有简单的网络,才会有安全的网络。
3.3 适应性原则
随着网络技术的发展和迅速的变化,网络用户不断增加,网络规模不断扩大,而安全措施是防范性的、持续的,所以制定的网络安全维护策略必须适应网络发展的变化,与网络的实际应用环境相结合。
4 中小型企业网络安全维护策略
4.1 网络规划时的安全策略
做网络规划时一定要考虑网络的安全性,并且要实施一些安全策略。对于中小型企业网络来说,网络管理员是网络安全责任人,所以明确网络安全的责任人和安全策略的实施者。对中小型企业的局域网要集中管理网络上的公用服务器和主交换设备。安全策略不可能保证网络绝对安全和硬件不出故障。
4.2 网络管理员的安全策略
对于中小型企业网络,网络管理员要承担安全管理员的责任。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。网络管理员必须了解整个网络中的重要公共数据和机密数据有哪些,保存的地方,归属于谁,丢失或泄密会有什么后果,将这些重要数据集中在中心机房的服务器上,定期对各类用户进行安全培训。
设置服务器的BIOS,不允许从可移动的存储设备启动。通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。取消服务器上不用的服务和协议种类。网务和协议越多安全性越差。系统文件和用户数据文件分别存储在不同的卷上,方便日常的安全管理和数据备份。管理员账号仅用于网络管理,不在任何客户机上使用管理员账号。对属于Administrator组和份组的成员用户要特别慎重。
鼓励用户将数据保存到服务器上。不建议用户在本地硬盘上共享文件。限制可登录到有敏感数据的服务器的用户数。在出现问题时可以缩小怀疑范围。一般不直接给用户赋权,而通过用户组分配用户权限。新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,且最好新设置成的口令不低于6个字符,以杜绝安全漏洞。
4.3 网络用户的安全策略
网络的安全不仅是网络管理员的事,网络上的每个用户都有责任。网络用户应了解下列安全策略:
(1)将口令设置为8位数以上,不要将自己的口令告诉其他人。知道自己私有数据存储的位置,了解如何备份和恢复。
(2)定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(3)为了不影响自己的机器安全,尽量不要在本地硬盘上共享文件。应将共享文件存放在服务器上,这样比较安全也可以实现共享。
(4)设置客户机的BIOS,不允许从软驱启动。
(5)设置有显示的屏幕保护,并且加上口令保护。
(6)如果离开机器时间较长时,一定要退出网络。
(7)安装启动时的病毒扫描软件。
企业网络安全策略范文2
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起 来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
企业网络安全策略范文3
关键词:企事业单位;内部网络;网络安全;预防措施
1企事业单位中的网络安全威胁
企事业单位内部的网络安全是指企业内部计算机中存留的有价值的企业文件或者客户信息。网络安全问题就是企业内部的计算机软硬件被破坏、篡改或者是信息数据被盗取的现象。为了防止这种情况的发生,企事业单位有关领导者需要确保计算机网络运行的安全性与稳定性,确保企业内部的网络健康和谐发展。
(1)物理安全威胁
在日常的计算机网络工作中,外部的物理环境会直接影响企事业单位中的网络安全运行,比方说,在极其恶劣的暴雨、大雪环境下,企事业单位中的计算机网络可能会被中断、或者直接瘫痪。这就给企业带来了一定的经济损失。
(2)网络安全威胁
在计算机设备上网时会签署一个网络协议,其中运用较多的就是TCP/IP协议,其与互联网企业合作,互联网企业给企事业单位提供线上网络,但是不能确保其安全操作。而且这样的网上协议存在一定的开放性,这就给企事业单位的发展运营带来了诸多安全风险。
(3)系统安全威胁
在现代化信息技术的迅猛发展进程中,一些企事业单位中运用的网络系统都是直接可以进入的,这给工作人员带来了较大的便利,可是也给网络入侵者带来了极大的方便。一些黑客也会借助网络系统的漏洞对计算机网络实行攻击,而且企事业单位通过网络开放的业务服务通道,也有可能成为黑客入侵的渠道,假如企业管理者不好好监控和把关,那么其内部的网络安全性就会不稳定。
(4)应用安全威胁
当企事业单位工作人员在运用网络实行远程业务服务时,假如网络接入口中没有相应的限制以及高效的监督检查流程,那么很容易导致网络系统的崩溃和毁坏。而在企事业单位中存在着一个庞大的计算机网络系统,每个端口承受的网络业务也不尽相同,那么假如企事业单位每个部门没有做好及时的沟通和高效的把控,那么企业的信息和客户的信息很容易会被盗取。
(5)管理安全威胁
企事业单位中每个工作人员的分工不明确以及责任没有落实到个人,导致企业内部的管理松懈,都会造成企业内部的网络出现安全问题。而且企业领导者的网络安全意识相对薄弱,对于计算机设备的登录密码和账号管理松懈,都会导致计算机网络的运行安全问题。
2企事业单位中预防网络安全问题的有关措施
不论是企事业单位中的何种网络安全问题,只要问题一出现,就会直接给企业带来极其严重的经济信息损失。所以在新时期的社会企业发展进程中,企事业单位管理者迫切要做的就是如何把自身企业内部的计算机网络安全风险减少到最小,借助新市场发展中的网络安全管理理念和先进的网络安全管理手段创新原有的计算机网络安全防御措施,逐步强化企事业单位的网络安全使用进程。
(1)安装网络防火墙,稳固网络安全堡垒
网络防火墙的安装主要是在计算机的主机或者是路由器中,能够协助计算机软硬件阻挡有害的网络病毒侵入,保障计算机网络的运行安全。也就是说,当工作人员在使用计算机网络时,其中的信息传输、文字编辑或者是各种业务服务都需要经过网络防火墙的洗礼和过滤,确保安全之后才可以开展后期的一系列工作。当下的网络防火墙主要涵盖几种类型:其一是过滤防火墙;其二是防火墙;其三是状态防火墙;其四是自适应技能。以上网络防御风险的技能和设施都可以为计算机网络的使用添加一层保护装置,阻碍有害网页的侵入和信息的融入。而且企事业单位中的网络防火墙可以给计算机中的一些软件进行加密和口令输出,或者是借助网络防火墙监督计算机网络的使用日常,并且可以记录每个网络端口的使用流程,减少企事业单位内部的网络安全事故发生。
(2)定期查杀网络病毒,提升网络系统的免疫力
在企事业单位的计算机网络使用过程中,工作人员务必要借助杀毒软件对网络实施定期的杀毒管理。而病毒属于计算机网络中一个错误的编程,网络入侵者通过对计算机软件内部的编写程序的篡改和变更,从而感染计算机中的一些文件。对于这一类的病毒危害,企事业单位工作人员可以采用预防和病毒查杀方式来优化计算机网络安全。其中相对简单的病毒查杀方式就是安装杀毒软件,按时地对计算机网络实施杀毒处理。当计算机软件中的杀毒软件遇到病毒入侵时,就会及时追寻到病毒,并直接消灭,为计算机网络的安全运行提供相对优质的环境。
(3)加密重要数据,实行身份认证监管
对于企事业单位中的一些重要文件或者有价值的信息,有关管理者务必要对其实行加密保存,并且在计算机网络使用时需要认证身份,对于这种保密的资料最好越少人知道越好,因此企事业单位管理者需要借助相对先进的加密软件来保证网络安全性。举个简单的例子来说,可以在计算机文件中设置账号和密码,或者借助DES、IDEA、公钥加密算法和RSA算法来确保计算机网络中的信息数据安全性。除此之外,还可以借助保密的网上登录口令来进行一次性的线上登录,以此来推动企事业单位的健康平稳运行。
(4)完善企业网络监管机制,及时监控网络系统
在一些企事业单位的发展进程中,其需要依据自身企业的发展现状引用科学的网络监管模式,对于计算机网络运行流程实施高效的管理和监控工作,并有效的装置报警系统,当企事业单位内部计算机网络被入侵时,报警系统会及时向工作人员传输消息发警报,从而工作人员采取应急措施,处理网络安全问题。这样就可以在极大程度上优化企事业单位中的网络安全问题,保障企业的经济财产安全。
3结束语
总而言之,在新时期的社会企业发展进程中,虽然互联网技术给各行各业都带来了极大的便捷性,可是其发展弊端也给一些企业带来了极大的经济损失,非常不利于社会的和谐发展。所以,企事业单位管理者务必要重视自身企业内部的网络安全使用流程,逐步规范网络安全管理制度,借助各种网络防火墙以及杀毒软件来预防计算机网络的安全问题,增强企业工作人员对计算机网络安全的高效认知,力求企事业单位内部的计算机网络运行安全、规范,推动企事业单位的可持续发展进程。
参考文献:
[1]肖祥省.开放环境下的信息网络安全问题与对策研究[J].海南广播电视大学学报,2019.
企业网络安全策略范文4
【关键词】烟草行业 网络安全 安全防护
随着信息化技术的发展和行业渗透,烟草行业的信息化网络技术应用逐步加深,问题也随之而来:计算机网络防护能力较弱、存储数据量越来越大,信息安全问题剧增,网络安全隐患得不到有效保障,企业信息难以得到安全有效的保护,企业网络安全问题不容乐观。因此,深入探讨网络安全问题,建立健全安全监测机制,探索安全防护策略是十分必要的。
1 网络安全问题
网络安全问题就是指在网络上传输的信息安全性, 网络安全涵盖网络系统的硬件、软件以及系统中的数据不会受到攻击、篡改、破坏、泄露、中断等现象,即硬件设备应稳定运行,软件系统稳定可靠、网络连续不中断、数据全面且安全。网络安全问题既要从技术上进行有效的风险控制,注重防范外部入侵、黑客攻击、病毒等;还要从管理上加强控制,注重人为因素。
计算机网络安全问题中,最主要的问题就是病毒,计算机在网络环境下、在有外部设备如优盘、移动硬盘、光盘等连接的情况下,计算机都容易感染病毒,不及时清除病毒,会带来一系列问题,最简单最直接就是计算机运行速度降低、病毒导致文件破损甚至丢失,给用户带来不便;严重病毒甚至篡改系统程序、非法入侵计算机盗取重要数据和信息,给用户带来信息安全的威胁。
网络安全管理分工、职责不明确,使用权限不匹配,保密意识淡薄,对网络安全不够重视,容易造成遇到事情互相推诿的局面。另外,网络安全管理人员的相关培训有待加强。
2 网络安全技术防护
2.1 防火墙技术
防火墙技术实际上是一种隔离技术,将计算机与内部网络、外部网络、公共网络、专用网络之间架设的一种隔离保护屏障,数据和信息经防火墙隔离后从计算机流出,保护加密信息;外界数据和信息经防火墙流入计算机,将外界有病毒的、不安全的、不确定的因素隔离掉。防火墙是软件和硬件的组合体,是计算机解决网络安全问题的首要基本方法。
2.2 升级操作系统,修复漏洞
计算机操作系统本身结构、程序复杂,操作系统供应商也在不断的更新、完善系统,用户应及时升级操作系统,补正最新的补丁,修复系统漏洞,以便防御各种恶意入侵,将系统风险降至最低。
2.3 安装防病毒软件
保护用户计算机网络的安全性的最基础和最重要的一环就是安装防病毒软件,如360杀毒、瑞星杀毒等。通过定时使用防病毒软件对计算机各个硬盘及网络环境进行扫描,对于其中文件、邮件、以及代有可执行的文件.exe等进行扫描,发现并清除病毒文件。另外,用户需经常及时的更新病毒库,以防范新病毒的入侵。
2.4 数据库管理
数据库存储着计算机的所有数据和信息,是计算机系统非常重要的部分,为防止发生突发性的情况,数据库要进行一用一备的双数据库,烟草行业使用信息化系统随着使用时间和使用规模的增加,数据量增大,除了一用一备的数据库管理模式,更应该建设数据库灾备管理、双机热备等,以应对紧急情况,以实现对数据库的安全管理及维护,保证系统数据和信息的安全、准确和全面。
2.5 数据加密技术
在数据量的激增,用户随时随地利用网络查看信息的需求,大数据、云计算的使用越来越广泛的环境下,保障用户的数据有效、完整、保密显得更为突出。数据加密技术对于云计算和大数据来说,是一种行之有效的保密、安全技术,原理是用户对某部分数据发起查询指令,云端将数据发送出去后,要经过加密软件转换成加密文件进行传输,再传输给用户端前,在经过解密文件进行还原。加密和解密的过程都离不开关键的环节就是密钥。数据加密技术在互联网大数据、云计算的大环境下,是非常必要的,通过加密技术来保证数据传递的真实性、可靠性和保密性。
3 网络安全管理
3.1 加强防范措施
计算机网络安全的防护不仅需要技术手段上的保驾护航,更需要管理手段的完善和提高。烟草行业网络管理部分需要建立网络监测管理系统和机制,安排进行必要的日常巡检、漏洞更新等常规操作,并定期对所有计算机进行检查,对计算机内的信息和数据进行全面监测,发现异常情况及时处理。安全、可靠、完备的监测管理手段,可以在一定程度上防止外部攻击。
制定合理的网络管理规范和安全制度,能从根本上有效地防止人为因素产生的漏洞。规范上网行为,制定上网行为管理规范,有效降低内部员工上网误操作带来的损失。制定移动存储设备管理制度,杜绝将存有机密信息的存储设备、笔记本计算机等设备带离岗位或单位,如有必要需要建立申请制度。
3.2 加强管理制度
烟草行业信息化管理部门要建立健全网络安全管理机构和相关制度,使得相关人员在工作过程中做到分工明确、有张可循、责任到人。对于风险要有严密的防控机制,出现问题要有合理快速的解决办法可循,将事故率降至最低。
建立完善的管理工作交接、使用权限交接等的制度和规则,网络管理人员如遇工作调动、辞职、退休等情况时,交接工作有章可循。
3.3 注重人才培养
计算机、网络技术需要专业性强的人才进行运行和管理,因此,加强烟草行业网络管理专业技术人才队伍建设和能力提升,对于提升烟草行业网络安全等级具有现实意义。
注重高级人才的引进和现有人员的培养、培训,对网络管理人员进行专业知识的培训,普及信息安全技术,组织信息安全保密知识学习,听取相关专家的行业发展讲座,提高网络管理人员的整体素质,从专业技能到宏观大局都具有前瞻性。对信息中心网络安全人员进行信息化和网络方面的专业技术培训,包括统一标准、数据库维护、网络技术,对计算机网络管理员和操作员进行专业培训,加强专业素养,提高个人能力,应对新技术的发展变化。
参考文献
[1]李益文.基于烟草行业业务可持续运行的信息安全运维管理体系的思考[J].东方企业文化,2012(22).
[2]高萍,黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息,2010(31).
[3]杨欣.烟草行业信息安全应对策略探讨[J].中小企业管理与科技,2013(05).
企业网络安全策略范文5
关键词:安全;信息;内部网络;防范策略
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 12-0000-02
Analysis on Prevention Strategies of Enterprises Internal Network Security
Feng Jie
(Chongqing MSA Communication and Information Center,Chongqing408000,China)
Abstract:With the development of computer network technology,more and more enterprises to establish their own internal network.Although information transfer and sharing with fast and stable,easy and flexible features,but its lack of security of the structure is to be virus outbreak,the first weak link data leakage.Enterprises within the article based on the current status and characteristics of network security,network security threat analysis,and presents preliminary preventive measures and control strategies.
Keywords:Security;Information;Internal network;Prevention strategies
随着计算机及信息网络技术的飞速发展,企事业单位数字化管理作为为网络时代的产物,已经成为目前应用管理发展的方向。同时,随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,单位内部网络安全是信息化建设中不可忽视的首要问题。网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
一、企事业内部网络的现状及威胁网络安全的因素
1.软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机一旦连接入网,将成为众矢之的,处于危险的境地。目前,被广泛使用的网络操作系统主要是UNIX、Linux、WINDOWS等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
2.缺乏隔离机制:一旦有一台计算机被病毒木马所感染,其它的也就都陷入了非常危险的境地。网关是内外网通信的必经之路,是外网联入内网的咽喉。使用网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过网关,进而才能访问到Internet,这样操作者便可以比较方便地在服务器上对网络内部的计算机访问外部网络进行限制。
3.病毒的破坏:计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响单位内部网络安全的主要因素。
4.非正常途径访问或内部破坏:在单位内部中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据等。这些安全隐患都严重地破坏了单位的管理秩序,造成了管理的混乱及重要文件的外流。
5.网络入侵:是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的计算机进行非授权的操作。
6.网络硬件设备受损:企事业单位内部网络涉及的设备分布在整个单位内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样可能会造成内部网络全部或部分瘫痪的严重后果。
7.缺乏安全意识:企事业内部网络是一个比较特殊的网络环境。随着单位内部网络规模的扩大,目前,大多数基本实现了科室办公上网。由于上网地点的扩大,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。加之规章制度还不够完善,还不能够有效的规范和约束其上网行为,使得网络监管更是难上加难。
二、企事业网络安全的防范策略
(一)技术层面对策
1.防火墙(Fire Wall)技术:防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据使用者的安全政策控制出入网络的信息流。根据防火墙所采用的技术和对数据的处理方式不同,我们可以将它分为三种基本类型:包过滤型,型和监测型。
2.数据加密技术:数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。加密技术通常分为两大类:“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key”这种加密技术目前被广泛采用。而非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。
3.数字签名技术数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。在传统密码中,通信双方用的密钥是一样的,既然如此,收信方可以伪造、修改密文,发信方也可以抵赖他发过该密文,若产生纠纷,将无法裁决谁是谁非。
(二)日常管理层面对策
1.建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。同时,加强对工作人员的管理教育,不断加强自身学习,了解新形势,适应新变化。充分认识到新时期保密问题的重要性、紧迫性,不断增强保秘意识,提高计算机网络安全保密知识水平,真正了解所有设备的性能,掌握防止泄密的知识和防范措施。
2.数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。
3.对操作系统、数据库及服务系统进行漏洞修补和安全加固。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的可移动磁盘和程序,不随意下载网络可疑信息。
4.提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(三)物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
1.计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
2.网络机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要,它直接影响到系统的安全性和可靠性。选择计算机网络机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3.机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏篡改重要数据、盗窃网络设施、非法暴力入侵等而采取的安全措施和对策。
三、结束语
总之,网络安全是一个综合性的课题,涉及技术、使用、管理等诸多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施。对于企事业单位内部,不管是网络管理员还是一般人员,一定要提高网络安全责任意识,加强网络安全技术的掌握,改善单位内部网络安全现状,从而对我国信息技术的日益发展产生重大影响。
参考文献:
[1]李军义.计算机网络技术与应用[M].北方交通大学出版社,2006,7
企业网络安全策略范文6
关键词:企业网络安全;网络防御体系;动态安全模型;系统检测
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 07-0000-01
Related Issues of Enterprise Network in Defense Depth System
Lian Qiang
(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)
Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.
Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing
一、引言
网络安全体系结构是从系统的、整体的角度来考虑网络安全问题。参照权威的信息安全标准,围绕企业网络特点,以先进的网络安全理论为指导的,是解决企业网络安全体系问题的必不可少的手段[1,2]。本文正是基于这个思路,力争站在一个统揽全局的层次上,摒弃企业网络的实现细节,抽象网络安全需求,建立一个完善的企业网络安全模型与体系。
二、企业网络动态安全模型
针对一个具体的网络系统,网络活动、网络的系统管理甚至网络体系结构都可能是一个动态的、不断变化的过程,所以,在考虑网络的安全性时,应从被监控网络或系统安全运行的角度,根据实际情况对网络(或系统)实施系统的安全配置。也就是说,网络安全应是一个从网络运行的角度考虑其安全性的动态过程。
这里提出的可自适应网络安全模型P2DR就是这样一个动态的安全模型。其中,安全策略用以描述系统的安全需求以及如何组织各种安全机制来实现系统的安全需求。从基于时间的角度及普遍意义上讲,P2DR模型概括了信息网络安全的各个方面。我们需要根据模型做出自己的定义和阐述,使其符合企业网络安全防御体系的需要。
(1)
公式中Pt表示系统为了保护安全目标而设置各种保护后的防护时间,也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始,系统能够检测到攻击行为指导所花的时间。Rt为发现攻击后,系统能做出足够响应将系统调整到正常状态的时间。如果系统能满足上述公式,即:防护时间Pt大于检测时间Dt加上响应时间Rt,
则认为系统是安全的,因为它在攻击造成危害前就对攻击做出了响应并做出了处理。
(2) ,if
公式中Et表示系统的暴露时间,假定系统的防护时间Pt为0,即系统突然遭到破坏,则希望系统能快速检测到并迅速调整到正常状态,系统的检测时间Dt和响应时间置之和就是系统的暴露时间Et。该时间越小,系统安全性越好。由此,我们可以得出动态网络安全的新概念:及时的检测和响应就是安全。
三、基P2DR模型的企业安全防御体系
根据前面叙述的P2DR动态网络安全模型,针对企业的网络系统,我们可以在对网络系统进行安全评估的基础上制定具体的系统安全策略,借助现有各种网络安全技术和工具,设立多道的安全防线来集成各种可靠的安全机制从而建立完善的多层安全防御体系,以求能够有效地抵御来自系统内外的入侵攻击,达到企业网络系统安全的目的。
(一)以安全策略为中心
企业规程应该简明扼要。规程不应包含技术实施的详细内容,因为这些内容经常更改。设计安全策略时应认真制订计划,以确保所有与安全有关的问题都得到充分重视。
(二)系统预警
预警是防患于未然,因此有效的预警措施对企业网络安全十分重要。对安全漏洞的扫描是系统预警的重要方面。所谓漏洞扫描是指利用扫描程序(scanner)自动检测远端或本地主机安全脆弱点。在网络管理员的手里,扫描程序可以使一些烦琐的安全审计工作得以简化。我们可以将常用的攻击方法集成到漏洞扫描程序中,输出统一格式的结果,这样就可以对系统的抗攻击能力有较为清楚的了解。
(三)系统防护
系绕防护包括系统论证、访问控制、加密传输、数据完整性检查等。防火墙作为一种传统的网络安全产品,其主要功能就是实施访问控制策略。访问控制策略规定了网络不同部分允许的数据流向,还会制定哪些类型的传输是允许的,其它的传输都将被阻塞。加密传输也很重要。由于Internet上数据的时文传输,维修Internet造成了很大的顾虑。随着全球经济一体化趋势的发展,加密是网络防御体系中日益重要的一块,在Internet上构筑虚拟专用网(VPN)是解决加密传输的一种普遍实用的方法。
(四)系统检测
检测包括入侵检测、网络审计和病毒检测,入侵检测和网络审计的功能有很大的重复性,它们可以互为补究。其数据源也可以一次采集,重复利用。入侵检测作为一种动态的监控、预防或抵御系统入侵行为的安全机制,是对传统计算机机制的一种扩充,它的开发应用增大了网络与系统安全的保护纵深,这是因为:现有的各种安全机制都有自己的局限性。
四、结语
本文描述了企业网络的组成与特点,指出了我国企业安全存在的问题。针对这些问题,说明了P2DR动态安全模型,并详细阐述了基于P2DR模型的企业网络安全防御体系,解释了体系各部分的组成和功能。
参考文献:
