论文部分内容阅读
摘 要: 计算机网络是企业信息化的基础,信息系统应用、部署到哪里,网络就要覆盖到哪里。但如今Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭,它可使计算机和计算机网络数据和文件丢失,系统瘫痪。分析当今企业中计算机网络面临的威胁,阐述面对威胁我们应该制定强有力的安全策略,实施有效的措施办法,以保障计算机网络安全。
关键词: 网络威协;安全策略;访问控制;信息加密;病毒防治;定期备份
0 引言
当前,企业信息化建设已进入最好发展时期,信息技术在各个业务领域不断深入应用,信息系统集中度不断提高,信息化在企业经营管理等领域发挥着不可替代的作用。计算机网络中的信息安全问题就日益突出,对信息系统安全带来新的挑战。信息化程度越高,潜在的威胁就越大,计算机网络安全已上升到企业安全、公共安全的高度。
1 当今企业中计算机网络面临的威胁
企业中计算机网络面临的威胁可分为两種:
1.1 人为行为所至的威胁
操作系统人员安装的系统配置不够严格,选择的安全级别过低造成系统漏洞;用户安全意识不强,登录口令选择的过于简单,把系统帐号随意转借他人,与别人共享账户;不法分子设法盗取商业机密,敌对势力对网络进行恶意攻击。这些行为均可对企业计算机网络造成极大的危害,并导致企业机密数据的泄漏。
1.2 应用系统和网络软件的漏洞或“后门”
在信息化建设大规模推进的同时,尽管企业采取了有力的措施,但是许多信息系统不可避免会存在漏洞和安全隐患;网上下载免费的网络软件,有时有“后门”,一般是软件开发公司的设计编程人员为了软件升级或便利而设置的,当被不法人利用,其造成的后果将不堪设想。
2 企业中计算机网络的安全策略
计算机网络资源的高效、快捷为计算机给企业提供了高额利润,但同时也带来了计算机网络中的安全威协,甚至给用户造成巨大的损失。因此加强计算机网络安全性管理,制定一套具有可靠性、可用性、完整性、保密性计算机网络安全策略是计算机管理人员的责任。分别讨论以下几种策略:
2.1 用户主观防护策略
设定此安全策略的目的是让网络用户清醒认识当前信息安全形势,增强计算机网络系统安全工作的责任感和紧迫感。建立可操作性、实效性的安全管理制度,不断优化制度和标准,指导信息系统安全建设、运维等工作。同时加强制度的学习和宣贯,把新制度、新规范及时融入并固化到信息系统的功能模块中,建立规章制度实施的保障机制,强化规章制度实施的检查监督,增强执行力,加强信息系统安全队伍建设,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.2 物理环境保障策略
物理环境要保障网络设备免受自然灾害。机房中配备专业的视频监控系统、供电系统、消防系统、防闪电雷击系统,完善的门禁系统,以及恒温恒湿系统等。
2.3 专业技术层面的访问控制策略
网络访问控制是保护计算机系统中硬件实体和通信链路免受人为破坏和攻击的主要策略。它的主要任务是保证网络资源不被非法使用和非常访问。主要分为几种策略:
2.3.1 用户入网控制
用户入网控制是网络安全访问要做的第一层哨卡。可以设置何种用户在固定时间入网,何种用户准许登录到哪台服务器并获取何种资源;实施网络安全域控制:分域边界控制、域与域间控制、域内控制等三部分,就是对互联网出口集中控制和域接入边界的安全控制;域间与数据中心边界安全控制;域内各业务网络内部的安全控制与规范。
2.3.2 监视和自动锁定系统
网络管理员通过网络设备定时监视网络的性能和流量,对于可疑包要实时跟踪。监视服务器应记录用户对网络资源的访问,服务器设置多媒体形式报警系统。如果有人试图非法进入网络,服务器应自动记录企图尝试进入网络的次数,设定登录最大次数,然后将该帐户锁定。
2.3.3 网络服务器及密钥管理
网络服务器的是被攻击的的几率最高,密钥管理也最为重要。可以设置口令锁定服务器控制台。服务器均禁用弱口令,密码强度加高,减少暴力破解和溢出攻击的可能性;所有磁盘统一分区格式,并设置锁定时间;所有服务器的安全、系统和应用日志审计策略均开启;系统补丁及时更新,防止高危系统漏洞。
2.3.4 文档属性控制
网络系统管理员应给文件、目录等指定访问属性,用户分只读(R)、可写(W)、可执行性(X)三种,重要数据也可设隐藏。也可使用“受托”或“委派”属性,多层管理,保护上一级文档。
2.3.5 设置防火墙机制
防火墙是用来阻止网络中的黑客访问某个机构网络的硬设备或软件。在Internet与Intranet之间构造的一个保护屏障,这一道关卡可以保护内部网免受非法用户的侵入。目前防火墙技术也在不断提高,一般由服务访问规则、验证工具、包过滤和应用网关4个部分构成。局域网上进出的所有网络通信数据包均要经过防火墙过滤。
2.4 信息加密策略
企业机密信息在网络传输过程中,一般文件内容、口令或控制信息不能公开,即使被被截包,也令其无法读取,要实施信息加密。一般的数据加密方式可以在“链路加密”、“端点加密”和“节点加密”三个层次实现。“链路加密”在网络节点之间的链路信息实施加密;“端点加密”是对源端用户到目的端用户的信息实施加密;“节点加密”是对源节点到目的节点之间的传输链路实施加密。网络用户可根据网络传输协议情况和技术水平实施哪种加密方式。
3 企业网安全管理具体实施办法
3.1 加强行政管理
现代化企业都离不开计算机,更离不开网络,设立信息中心办公室,设置计算机安全管理和技术岗位,并落实到人;对工作人员定期进行网络与信息安全培训工作,查漏补缺,及时整改问题,防患未然,提高风险防范能力。
3.2 实施桌面安全管理
遵循“统一平台、集中部署、分级管理”原则,设计和构建企业终端计算机安全防护及安全管理系统平台,达到协防效果。具体做法如下: 3.2.1 中心布控
在企业中心机房内部署SEP(SYMANTEC ENDPOINT PROTEC
TION)策略服务器N台,端点准入控制访问服务器M台,安全管理服务器X台。划分防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等保护综合管理六个子系统,形成一个防病毒体系。配置日志服务器和审计员,定期进行日志审计。
3.2.2 客户端安装
局域网用户桌面全部安装SEP客户端并实施VRV注册,进行实时的补丁分发和病毒预警查杀。只有VRV用户方可在局网上浏览。
3.3 网络安全域实施
是根据网络中不同信息资产的重要程度,划分不同等级的网络区域,实现网络分级保护。针对各单位互联网出口多、地域分散所带来的安全隐患,需要大量缩减互联网出口,实行集中统一管理,提高整体管控能力。各单位按照项目要求关闭互联网出口和自建VPN系统,统一使用一个互联网出口和VPN系统
3.4 实施网络資源管理项目
是通过统一的网络资源管理平台和网络资源数据库对网络IP地址、网络设备、网络准入情况等进行规范化管理。各单位信息部门与项目组相互配合,要做到组织到位,层层落实,确保项目顺利、有序、按期完成。
3.5 设置备份机制
企业的数据是企业的资产,价值无法估量,无论设计得多好的软件,可能因为一些意外造成资料的丢失。制定一个可靠的备份机制,实施本地与异地两种备份,同时做好恢复试验。如果备份的数据具有机密的性质,对过期的备份要进行彻底的销毁,不可随意处置。
3.6 专业技术人员尽责
对于服务器上的软件其定期检查,对于购置的系统软件应及时查看新的补丁包,尽快升级打好补丁。人为的误操作误删文件,应及时维护,尽快恢复。不要在系统中安装非专业用的软件;定期的做注册表清理、磁盘整理等。
4 结论
计算机技术和通信技术在迅猛发展,计算机网络已成为企业现代化办公重要手段,渗透到企业管理的各个领域。“千里之堤、溃于蚁穴”,处理好计算机网络安全的每一个环节和细节,认清网络的潜在威胁,采取有力的安全策略,实施有效的措施防护办法,做到:
1)防范为主,制定好网络安全控制策略。
2)备份为辅,设置数据备份机制。
3)定期检测,同时做好应急预案。
才能保证企业计算机网络的安全、可靠,才能实现网络用户的信息安全。
参考文献:
[1]网络安全策略,互动百科,3.2.1-3.2.8.
[2]鲁士文,计算机网络原理与网络技述,机械工业出版社,1996.10.6.
[3]葛秀慧,计算机网络安全管理,清华大学出版社,2005:1.9-1.11.
[4]周天明,TCP/IP网络原理与技术,1993:3.2-3.4.
[5]胡道元等,网络安全(第2版),清华大学出版社,2008:2-3.
作者简介:
聂秀清(1968-),女,辽宁铁岭人,本科,工程师,研究方向:油田开发计算机应用。
关键词: 网络威协;安全策略;访问控制;信息加密;病毒防治;定期备份
0 引言
当前,企业信息化建设已进入最好发展时期,信息技术在各个业务领域不断深入应用,信息系统集中度不断提高,信息化在企业经营管理等领域发挥着不可替代的作用。计算机网络中的信息安全问题就日益突出,对信息系统安全带来新的挑战。信息化程度越高,潜在的威胁就越大,计算机网络安全已上升到企业安全、公共安全的高度。
1 当今企业中计算机网络面临的威胁
企业中计算机网络面临的威胁可分为两種:
1.1 人为行为所至的威胁
操作系统人员安装的系统配置不够严格,选择的安全级别过低造成系统漏洞;用户安全意识不强,登录口令选择的过于简单,把系统帐号随意转借他人,与别人共享账户;不法分子设法盗取商业机密,敌对势力对网络进行恶意攻击。这些行为均可对企业计算机网络造成极大的危害,并导致企业机密数据的泄漏。
1.2 应用系统和网络软件的漏洞或“后门”
在信息化建设大规模推进的同时,尽管企业采取了有力的措施,但是许多信息系统不可避免会存在漏洞和安全隐患;网上下载免费的网络软件,有时有“后门”,一般是软件开发公司的设计编程人员为了软件升级或便利而设置的,当被不法人利用,其造成的后果将不堪设想。
2 企业中计算机网络的安全策略
计算机网络资源的高效、快捷为计算机给企业提供了高额利润,但同时也带来了计算机网络中的安全威协,甚至给用户造成巨大的损失。因此加强计算机网络安全性管理,制定一套具有可靠性、可用性、完整性、保密性计算机网络安全策略是计算机管理人员的责任。分别讨论以下几种策略:
2.1 用户主观防护策略
设定此安全策略的目的是让网络用户清醒认识当前信息安全形势,增强计算机网络系统安全工作的责任感和紧迫感。建立可操作性、实效性的安全管理制度,不断优化制度和标准,指导信息系统安全建设、运维等工作。同时加强制度的学习和宣贯,把新制度、新规范及时融入并固化到信息系统的功能模块中,建立规章制度实施的保障机制,强化规章制度实施的检查监督,增强执行力,加强信息系统安全队伍建设,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.2 物理环境保障策略
物理环境要保障网络设备免受自然灾害。机房中配备专业的视频监控系统、供电系统、消防系统、防闪电雷击系统,完善的门禁系统,以及恒温恒湿系统等。
2.3 专业技术层面的访问控制策略
网络访问控制是保护计算机系统中硬件实体和通信链路免受人为破坏和攻击的主要策略。它的主要任务是保证网络资源不被非法使用和非常访问。主要分为几种策略:
2.3.1 用户入网控制
用户入网控制是网络安全访问要做的第一层哨卡。可以设置何种用户在固定时间入网,何种用户准许登录到哪台服务器并获取何种资源;实施网络安全域控制:分域边界控制、域与域间控制、域内控制等三部分,就是对互联网出口集中控制和域接入边界的安全控制;域间与数据中心边界安全控制;域内各业务网络内部的安全控制与规范。
2.3.2 监视和自动锁定系统
网络管理员通过网络设备定时监视网络的性能和流量,对于可疑包要实时跟踪。监视服务器应记录用户对网络资源的访问,服务器设置多媒体形式报警系统。如果有人试图非法进入网络,服务器应自动记录企图尝试进入网络的次数,设定登录最大次数,然后将该帐户锁定。
2.3.3 网络服务器及密钥管理
网络服务器的是被攻击的的几率最高,密钥管理也最为重要。可以设置口令锁定服务器控制台。服务器均禁用弱口令,密码强度加高,减少暴力破解和溢出攻击的可能性;所有磁盘统一分区格式,并设置锁定时间;所有服务器的安全、系统和应用日志审计策略均开启;系统补丁及时更新,防止高危系统漏洞。
2.3.4 文档属性控制
网络系统管理员应给文件、目录等指定访问属性,用户分只读(R)、可写(W)、可执行性(X)三种,重要数据也可设隐藏。也可使用“受托”或“委派”属性,多层管理,保护上一级文档。
2.3.5 设置防火墙机制
防火墙是用来阻止网络中的黑客访问某个机构网络的硬设备或软件。在Internet与Intranet之间构造的一个保护屏障,这一道关卡可以保护内部网免受非法用户的侵入。目前防火墙技术也在不断提高,一般由服务访问规则、验证工具、包过滤和应用网关4个部分构成。局域网上进出的所有网络通信数据包均要经过防火墙过滤。
2.4 信息加密策略
企业机密信息在网络传输过程中,一般文件内容、口令或控制信息不能公开,即使被被截包,也令其无法读取,要实施信息加密。一般的数据加密方式可以在“链路加密”、“端点加密”和“节点加密”三个层次实现。“链路加密”在网络节点之间的链路信息实施加密;“端点加密”是对源端用户到目的端用户的信息实施加密;“节点加密”是对源节点到目的节点之间的传输链路实施加密。网络用户可根据网络传输协议情况和技术水平实施哪种加密方式。
3 企业网安全管理具体实施办法
3.1 加强行政管理
现代化企业都离不开计算机,更离不开网络,设立信息中心办公室,设置计算机安全管理和技术岗位,并落实到人;对工作人员定期进行网络与信息安全培训工作,查漏补缺,及时整改问题,防患未然,提高风险防范能力。
3.2 实施桌面安全管理
遵循“统一平台、集中部署、分级管理”原则,设计和构建企业终端计算机安全防护及安全管理系统平台,达到协防效果。具体做法如下: 3.2.1 中心布控
在企业中心机房内部署SEP(SYMANTEC ENDPOINT PROTEC
TION)策略服务器N台,端点准入控制访问服务器M台,安全管理服务器X台。划分防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等保护综合管理六个子系统,形成一个防病毒体系。配置日志服务器和审计员,定期进行日志审计。
3.2.2 客户端安装
局域网用户桌面全部安装SEP客户端并实施VRV注册,进行实时的补丁分发和病毒预警查杀。只有VRV用户方可在局网上浏览。
3.3 网络安全域实施
是根据网络中不同信息资产的重要程度,划分不同等级的网络区域,实现网络分级保护。针对各单位互联网出口多、地域分散所带来的安全隐患,需要大量缩减互联网出口,实行集中统一管理,提高整体管控能力。各单位按照项目要求关闭互联网出口和自建VPN系统,统一使用一个互联网出口和VPN系统
3.4 实施网络資源管理项目
是通过统一的网络资源管理平台和网络资源数据库对网络IP地址、网络设备、网络准入情况等进行规范化管理。各单位信息部门与项目组相互配合,要做到组织到位,层层落实,确保项目顺利、有序、按期完成。
3.5 设置备份机制
企业的数据是企业的资产,价值无法估量,无论设计得多好的软件,可能因为一些意外造成资料的丢失。制定一个可靠的备份机制,实施本地与异地两种备份,同时做好恢复试验。如果备份的数据具有机密的性质,对过期的备份要进行彻底的销毁,不可随意处置。
3.6 专业技术人员尽责
对于服务器上的软件其定期检查,对于购置的系统软件应及时查看新的补丁包,尽快升级打好补丁。人为的误操作误删文件,应及时维护,尽快恢复。不要在系统中安装非专业用的软件;定期的做注册表清理、磁盘整理等。
4 结论
计算机技术和通信技术在迅猛发展,计算机网络已成为企业现代化办公重要手段,渗透到企业管理的各个领域。“千里之堤、溃于蚁穴”,处理好计算机网络安全的每一个环节和细节,认清网络的潜在威胁,采取有力的安全策略,实施有效的措施防护办法,做到:
1)防范为主,制定好网络安全控制策略。
2)备份为辅,设置数据备份机制。
3)定期检测,同时做好应急预案。
才能保证企业计算机网络的安全、可靠,才能实现网络用户的信息安全。
参考文献:
[1]网络安全策略,互动百科,3.2.1-3.2.8.
[2]鲁士文,计算机网络原理与网络技述,机械工业出版社,1996.10.6.
[3]葛秀慧,计算机网络安全管理,清华大学出版社,2005:1.9-1.11.
[4]周天明,TCP/IP网络原理与技术,1993:3.2-3.4.
[5]胡道元等,网络安全(第2版),清华大学出版社,2008:2-3.
作者简介:
聂秀清(1968-),女,辽宁铁岭人,本科,工程师,研究方向:油田开发计算机应用。