前言:中文期刊網精心挑選了企業網絡安全方案范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
企業網絡安全方案范文1
摘 要 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。 關鍵詞 信息安全;pki;ca;vpn 1 引言 隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用pki技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。 在下面的描述中,以某公司為例進行說明。 2 信息系統現狀 2.1 信息化整體狀況 1)計算機網絡 某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1 2)應用系統 經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。 2.2 信息安全現狀 為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。 3 風險與需求分析 3.1 風險分析 通過對我們信息系統現狀的分析,可得出如下結論: (1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。 (2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。 通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在: (1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。 當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。 針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。 美國聯邦調查局(fbi)和計算機安全機構(csi)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。 信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。 (2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。 已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。 網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。 3.2 需求分析 如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點: (1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。 (2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。 (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。 (4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。 4 設計原則 安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。 4.1 標準化原則 本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。 4.2 系統化原則 信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。 4.3 規避風險原則 安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。 4.4 保護投資原則 由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。 4.5 多重保護原則 任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。 4.6 分步實施原則 由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5 設計思路及安全產品的選擇和部署 信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。 圖2 網絡與信息安全防范體系模型 信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。 5.1 網絡安全基礎設施 證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用pki/ca數字認證服務。pki(public key infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的pki/ca數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標: 身份認證(authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。 數據的機密性(confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。 數據的完整性(integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。 不可抵賴性(non-repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。 5.2 邊界防護和網絡的隔離 vpn(virtual private network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。 通過安裝部署vpn系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程lan的安全連接。 集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。 集中的安全策略管理可以對整個vpn網絡的安全策略進行集中管理和配置。 5.3 安全電子郵件 電子郵件是internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。 目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關系基本是樹狀的。其次, s/mime 將信件內容加密簽名后作為特殊的附件傳送。 保證了信件內容的安全性。 5.4 桌面安全防護 對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。 桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。 1)電子簽章系統 利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入office系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。 2) 安全登錄系統 安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。 3)文件加密系統 文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。 5.5 身份認證 身份認證是指計算機及網絡系統確認操作者身份的過程。基于pki的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用usb key內置的密碼算法實現對用戶身份的認證。 基于pki的usb key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。 6 方案的組織與實施方式 網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。 圖3 因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作: (1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。 (2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。 (3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。 (4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。 7 結論 本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。 也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。 參考文獻 [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術研究中心.《電子政務總體設計與技術實現》
企業網絡安全方案范文2
防火墻是網絡安全的基本防護設備,其安全性受到了越來越多人的重視,尤其是在當前科技迅猛發展的環境下,各企業也迅速的崛起,使得企業在網絡環境的推動下,也面領著嚴峻的信息安全挑戰。在這種環境下,人們對于防火墻的安全性要求也隨之提高。當前,企業的防火墻要實現安全設計,還需要對企業的網絡安全進行全方面的需求分析,通過針對性的設計,提高防火墻的實用性、功能性、安全性。
【關鍵詞】
防火墻;企業網絡安全設計;實現
1前言
計算機網絡技術的廣泛應用,為企業提供了更多的發展平臺與業務渠道,在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天,各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害,不僅嚴重威脅到企業的信息安全,而且給企業帶來較大的經濟損失,造成了企業形象的破壞。因此,才需要使用防火墻技術,通過防火墻網絡技術的安全設計,對各種病毒與網絡攻擊進行抵御,維護企業的信息安全,促進企業的健康穩定發展。
2防火墻的企業網絡安全設計原則
在企業防火墻的網絡安全設計中應該遵循一定的原則,即:全面、綜合性原則,也就是企業的網絡安全體系設計,應該從企業的整體出發,對各項信息威脅進行利弊權衡,進而制定出可行性的安全防護措施;簡易性原則,主要是對于網絡安全設計,既要保證其安全性,又要保證其操作簡便性,以免系統過于復雜而造成維護上的阻礙;多重保護原則能夠在建立多重的網絡安全機制,確保整個網絡環境安全;可擴充原則,主要是指在網絡運用過程中,要隨著新變化的出現,對于之前的網絡安全系統進行升級與擴充;靈活性原則,也就是防火墻的網絡安全設計方案,應該結合企業自身網絡現狀及安全需求,采用靈活、使用的方式進行設計;高效性原則,也就是防火墻的網絡安全設計應該確保投資與產出相符,通過安全性的設計解決方案,避免重復性的投資,讓企業投入最少的項目資金,獲得最大的收益,有效維護企業的安全[1]。
3防火墻的企業網絡安全設計
防火墻為服務器的中轉站,能夠避免計算機用戶與互聯網進行直接連接,并對客戶端的請求加以及時地接收,創建服務其的連接,并對服務器發出的信號相應加以接受,再通過系統將服務器響應信號發送出去,并反饋與客戶端。
3.1防火墻加密設計
防火墻的加密技術,是基于開放型的網絡信息采取的一種主動防范手段,通過對敏感數據的加密處理、加密傳輸,確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種,這種數據加密技術,主要是對明文的文件、數據等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護數據信息的安全,以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統資源的非授權使用,入侵行為能夠在一定程度上導致系統數據的損毀與丟失,對于企業的信息安全與網絡安全會造成較大的威脅,甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中,應該加強對入侵者檢測系統的重視,對于入侵腳本、程序自動命令等進行有效識別,通過敏感數據的訪問監測,對系統入侵者進行行為分析,加強預警機制,檢測入侵者的惡意活動,及時發現各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權者的身份識別,通過將實體身份與證據的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護。通常,證據與實體身份間為一種對應的關系,主要由實體方向提供相應的證據,來證明自己的身份,而防火墻的身份認證則通相關的機制來對證據進行驗證,以確保實體身份與證據的一致性。通過身份認證,防火墻便能夠對非法用戶與合法用戶加以識別,進而對非法用戶進行訪問設置,維護主機系統的安全。
3.4狀態檢測設計
訪問狀態檢測,是控制技術的一種,其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問,是維護企業網絡安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統訪問控制;②網絡訪問控制。其中,網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問,以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制,主要是結合企業的實際管理需求,對不同的用戶賦予相應的主機資源操作、訪問權限。
3.5包過濾數據設計
數據包過濾型的防火墻主要是通過讀取相應的數據包,對一些信息數據進行分析,進而對該數據的安全性、可信度等加以判斷,并以判斷結果作為依據,來進行數據的處理。這在個過程中,若相關數據包不能得到防火墻的信任,便無法進入該網絡。所以,這種技術的實用性很強,能夠在網絡環境下,維護計算機網絡的安全,且操作便捷,成本較低。但需要注意的是,該技術只能依據一些基本的信息數據,來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現,對用戶的定義內容進行過濾,在網絡層、數據鏈路層中截獲數據,并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全,需要對該種技術進行充分的利用,并適當融入網絡地址翻譯,對外部攻擊者造成干擾,維護網絡內部環境與外部環境的安全。
4企業網絡安全中的實現
4.1強化網絡安全管理
用將防火墻技術應用于企業的網絡安全中,還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析,對本企業存在的信息安全加以風險評估,熟悉掌握本企業網絡安全的薄弱環節,全民提高企業的信息安全。另外,企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握,對企業的未來業務發展加以合理的預測分析,進而制定出科學合理的網絡信息安全策略。同時,企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施。
4.2網絡安全需求分析
企業的網絡安全為動態過程,其設方案需要結合自身的實際狀況加以靈活設計,進而提高設計方案的適用性、安全性,維護企業整個網絡的安全。在對企業網絡需求進行分析時,還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中,對于系統使用頻繁,提供服務資源的數據庫與服務器,要在網絡環境下,確保其運行安全,以免疏導惡意攻擊與訪問;而對于網絡訪問設計應具有一定的可控性,具備相應的認證與授權功能,對用戶的身份加以識別,對敏感信息加以維護,以免企業的核心系統遭到攻擊[4];網絡資源要確保其適用性,能夠承載企業的辦公自動化系統及各項業務的運行使用,并保證網絡能夠不間斷地高效運行;同時,針對網絡管理,應該具有可操作性,在安全日志與審計上進行相關的信息記錄,以免企業信息系統管理人員的日后維護。
4.3網絡安全策略的制定
要實現企業的網絡安全,還需要對企業的實際網絡安全需求進行了解之后,針對不同的信息資源,制定出相關的安全策略,通過各種系統保密措施、信息訪問加密措施、身份認證措施等,對企業信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業的信心管理人員對整個安全系統進行監控與審計,通過監控系統的安全漏洞檢查,對威脅信息系統安全的類型與來源進行初步判斷,通過深入分析,制定出完善是網絡安全防護策略[5]。
5結束語
在互聯網環境下,信息資源的存儲量巨大,運行較為高效,不僅為企業帶來了較大發展空間,也使企業的信心安全面臨巨大的威脅。因此,企業需要加強防火墻系統的建設,提高對網絡安全系統的認識,通過有效措施,加強防火墻的安全設計,構建一個相對穩定的網絡環境,維護企業的信息安全,讓企業在可靠的信息網絡環境開發更多的客戶資源,以尋得健康、穩定、持續的發展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術,2016(02):42~44.
[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護,2016(06):78~80.
企業網絡安全方案范文3
關鍵詞 網絡威脅;網絡防御;網絡安全;防火墻
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01
1 企業內部網絡安全面臨的主要威脅
一般來說,計算機網絡系統的安全威脅主要來自以下幾個方面:
1)計算機病毒的侵襲。計算機病毒侵入網絡,對網絡資源進行破壞,使網絡不能正常工作,甚至造成整個網絡的癱瘓;
2)黑客侵襲。黑客非法進入網絡使用網絡資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網絡監聽獲取網上用戶賬號和密碼;非法獲取網上傳輸的數據等;
3)拒絕服務攻擊。例如“郵件炸彈”,使用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業務的運行。嚴重時會使系統關機,網絡癱瘓;
4)通用網關接口(CGI)漏洞。搜索引擎是通過CGI腳本執行的方式實現的,黑客可以修改這些CGI腳本以執行他們的非法任務;
5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。
2 企業網絡安全目標
1)建立一套完整可行的網絡安全與管理策略,將內部網絡、公開服務器網絡和外網進行有效隔離;2)建立網站各主機和服務器的安全保護措施,保證系統安全;3)對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度,全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網絡、公開服務器的訪問行為,形成完整的系統日志備份與災難恢復;6)提高系統全體人員的網絡安全意識和防范技術。
3 安全方案設計原則
對企業局域網網絡安全方案設計、規劃時,應遵循以下原則:
1)綜合性、整體性原則:應用系統工程的觀點、方法,分析網絡的安全措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
2)需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定必要。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略,是比較經濟的方法。
3)一致性原則:網絡安全問題貫穿整個網絡的生命周期,因此制定的安全體系結構必須與網絡的安全需求相一致。在網絡建設開始就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,要有效得多。
4)易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。
5)分步實施原則:由于網絡規模的擴展及應用的增加。一勞永逸地解決網絡安全問題是不現實的,費用支出也較大。因此可以分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。
6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息安全。
4 主要防范措施
1)依據《互聯網信息服務管理辦法》、《互聯網站從事登載新聞業務管理暫行規定》和《中國互聯網絡域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網絡安全教育和培訓。
2)網絡病毒的防范。作為企業應用網絡,同時需要基于服務器操作系統平臺、桌面操作系統、網關和郵件服務器平臺的防病毒軟件。所以最好使用全方位的防病毒產品,通過全方位、多層次的防病毒系統的配置,使網絡免受病毒的侵襲。
3)配置防火墻。防火墻是一種行之有效且應用廣泛的網絡安全機制。利用防火墻執行一種訪問控制尺度,將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,同時防止Internet上的不安全因素蔓延到局域網內部。
4)采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,用于檢測計算機網絡中違反安全策略行為。利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。最好采用混合入侵檢測,同時采用基于網絡和基于主機的入侵檢測系統,構架成一套完整立體的主動防御體系。
5)漏洞掃描系統。解決網絡安全問題,要清楚網絡中存在哪些安全隱患、脆弱點。僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估顯然是不現實的。能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具是較好的解決方案,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
7)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,可以采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序,長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。
企業網絡安全方案范文4
關鍵詞:企業信息化;網絡管理;安全問題
前言
自中國加入世貿組織后,全球實行經濟一體化,信息資源對于企業的發展經營顯得十分重要,企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。對于企業進行信息化改革需要進行一些規劃性安排。其中包含有信息資源規劃,這主要是指企業生產經營過程中所需要掌握到的所有信息,從開始采集、處理一直到傳輸、使用全過程的一個整體規劃。企業在生產經營活動過程中,無時不刻都充斥著信息,信息資源與企業人、財、物資源同等重要,都是企業在經營環節中不可缺少的重要資源。而經過長期的發展,很多企業已經開始意識到企業信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。而對企業信息化安全的解決應該建立在人員管理的基礎之上,致力于整個企業網絡管理。
1企業信息化安全與網絡管理
1.1網絡集成應用系統安全
網絡集成應用系統根據不同企業的需求呈現不同的情況,一些企業中的網絡集成應用系統比較復雜。不能夠很精準的估計防御對象的規模以及價值,也不能簡單的對其加以標定界限,針對這種情況,就只能夠將網絡管理安全保障的工作分解開來。落實到具體的個人,采取一系列有效的措施如主動防御方式去進行。而網絡安全信息的防御是一個保障整體網絡信息安全的手段,其可預見性以及靈敏性等都為工作帶來便利,在面臨網絡空間可能帶來的威脅的同時,站在網絡管理者的角度上去思考,為企業網絡安全提供一定的保障。因此對于現代社會企業發展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人為主角的主動型安全防御。
1.2企業人員信息技術安全
企業信息化歸根到底也是人的參與,因此對于企業在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業在發展中的關鍵競爭力,企業對于人才的重視程度也在日益增加,而同時也要注重企業的管理。隨著時代的發展,信息化已經成為企業不可忽視的發展趨勢,當企業投入大量的資金和精力去培養人才進行信息化管理以及掌握信息化技術之后,更需要加強信息安全管理。目前是信息化時代,“信息”對于企業而言是十分重要的財富,企業信息系統中掌握著企業運行經營的大量資源和信息,而信息系統的一些安全隱患大部分來源于外界的侵擾,信息工作和管理人員個人的疏忽也容易導致信息的外泄,這將是對企業造成嚴重的損失。目前對于企業在信息化方面的標準有多種爭議,面對爭議我們首先要弄清楚企業目前處于什么樣的狀況,這些標準都是隨著技術水平的改進以及管理要求的變化而變化的,因此針對這些變化,企業需要針對自身的實際情況以及實際需求進行安全管理。
1.3網絡管理人員信息技術安全
企業信息化系統管理中最重要的一項安全指標就是信息技術方面的安全,面對高要求的安全管理,對于網絡安全管理人員的職業素養以及業務能力也相應提出了更高的要求。而企業信息化系統的網絡管理在實際的運行過程中必定會涉及到眾多的功能模塊,面臨企業信息化系統中的網絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網絡安全管理的基本功能,除此基本功能之外,網絡管理還包括有網絡規劃、網絡操作規范等,以下就來簡單分析介紹這些功能:(1)配置管理:網絡的配置管理要做到的是自動發現網絡拓補結構,構造和維護網絡系統的配置。時時的注意網絡中被管理監測的對象狀態,對網絡設置中的一些設備配置的語法進行檢測,對于配置進行嚴格的檢驗。(2)故障管理:在網絡運行過程中時刻的進行網絡有關事件的過濾和歸并,通過不間斷的檢測及時的發現在網絡管理以及操作過程中出現的一系列網絡故障問題,并根據實際問題情況尋找出有效的應對措施和建議,提供一定的排錯手段以及工具,逐漸形成一套完善的網絡故障預警和解決機制,從而減少故障給企業信息化系統帶來的危害和損失。(3)性能管理:性能管理是對網絡對象的性能方面數據進行收集、分析以及處理功能,通過分析和收集了解網絡在運行過程中的質量安全問題,同時掌握整個網絡運行體制中的運行狀態信息,為整個網絡的使用情況以及未來發展趨勢、狀況進行一個評估,為進一步的網絡規劃提供一定的參考價值。(4)安全管理:網絡信息的安全主要在于存儲在系統中的一些用戶信息資料以及企業內部的資料的泄露,加強安全管理無疑是要加強用戶的認證、訪問控制、數據傳輸以及存儲保密性和完整性,保障網絡系統本身的安全。維護系統日志,使系統的使用情況以及網絡對象的修改都有記錄和有數據可循。加強對網絡資源的訪問量的控制。例如有些企業在加強網絡安全管理方面為了盡量的減少不必要的漏洞,在配置管理中采用了VLAN的方式,這種方式就是將企業內部的不同部門都劃分為各個不同的虛擬網段,而針對不同部門的職員設置相應的權限,只有具有權限的職員才能進入某一個虛擬網段,沒有權限的用戶無法訪問其他網段。VLAN其實就相當于是一個計算機網絡,里面所有內容都由同一個網線連接著,但是其中的網絡又可以分為不同的部分和區域。由于該方式多是通過軟件來操作實施的,因此使其具備了更多的靈活性,而該手段的最大優勢在于提供了更多的管理控制,這相應的減少了很大一部分的管理費用,同時也提供了更多的配置靈活性。另外,在網絡管理中可以通過邊界的路由器來控制外來的用戶對網絡信息的訪問,從而可以有效的防止外來用戶對本企業網絡的侵入和攻擊。加之前文中有提到可以加強網絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理,及時發現可能存在的攻擊行為,及時發現網絡管理中存在的安全漏洞和安全隱患,從而更好的防患于未然。當然,在進行這些網絡安全管理手段操作中可以充分借助有關的管理網絡的軟件,為網絡管理人員提供有效的技術信息和保障,而且單一的軟件絕對滿足不了網絡安全管理的需求,需要根據實際情況綜合運用多種軟件形式,從而滿足不同方面和層次的需求,無論是加強網絡管理安全還是利用各種管理軟件首先必須要提高網絡管理人員的綜合素質,提升其職業素養和計算機應用水平,人員素質的提升以及相關管理硬件、軟件的配套,才能從根本上解決企業信息化管理以及網絡安全管理中的問題,提高其管理機制和管理水平。
2結束語
從本文中所闡述的眾多問題中可以總結出,無論是網絡集成應用系統的框架還是人員信息化和網絡管理者角度而言,企業信息化的安全問題主要集中在網絡管理方面。而對網絡進行管理的主體部分就是人員。因此加強網絡管理的安全問題要從人員自身方面的水平以及素質和網絡安全管理相關技術兩個方面著手,讓所有的網絡管理者在思想上意識到網絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新,這也是我們進行網絡管理的最終目的和有效保障。
參考文獻:
[1]林鵬,葉盛元.互聯網與信息化安全(三)[J].華南金融電腦,2006.
[2]曲璐.信息化安全在計算機管理中的運用探討[J].信息與電腦(理論版),2013.
企業網絡安全方案范文5
無線網絡所面臨的安全威脅
無線網絡與有線網絡相比只是在傳輸方式上有所不同,所有常規有線網絡存在的安全威脅在無線網絡中也存在,因此要繼續加強常規的網絡安全措施,但無線網絡與有線網絡相比還存在一些特有的安全威脅,因為無線網絡是采用射頻技術進行網絡連接及傳輸的開放式物理系統。總體來說,無線網絡所面臨的威脅主要表現下在以下幾個方面。
(1)信息重放:在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙,進而對信息進行竊取和篡改。
(2)W E P破解:現在互聯網上已經很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區域內的數據包,收集到足夠的WEP弱密鑰加密的包,并進行分析以恢復W E P密鑰。根據監聽無線通信的機器速度、W L A N內發射信號的無線主機數量,最快可以在兩個小時內攻破W E P密鑰。
(3)網絡竊聽:一般說來,大多數網絡通信都是以明文(非加密)格式出現的,這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解(讀取)通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡,所以,這種威脅已經成為無線局域網面臨的最大問題之一。
(4)假冒攻擊:某個實體假裝成另外一個實體訪問無線網絡,即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網絡中,移動站與網絡控制中心及其它移動站之間不存在任何固定的物理鏈接,移動站必須通過無線信道傳輸其身份信息,身份信息在無線信道中傳輸時可能被竊聽,當攻擊者截獲一合法用戶的身份信息時,可利用該用戶的身份侵入網絡,這就是所謂的身份假冒攻擊。
(5)MAC地址欺騙:通過網絡竊聽工具獲取數據,從而進一步獲得AP允許通信的靜態地址池,這樣不法之徒就能利用M A C地址偽裝等手段合理接入網絡。
(6)拒絕服務:攻擊者可能對A P進行泛洪攻擊,使AP拒絕服務,這是一種后果最為嚴重的攻擊方式。此外,對移動模式內的某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,通常也稱為能源消耗攻擊。
(7)服務后抵賴:服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務中常見。
保證無線網絡安全的機制與技術措施
涉及到無線網絡的安全性設計時,通常應該從以下幾個安全因素考慮并制定相關措施。
(1)身份認證:對于無線網絡的認證可以是基于設備的,通過共享的WEP密鑰來實現。它也可以是基于用戶的,使用EAP來實現。無線EAP認證可以通過多種方式來實現,比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在無線網絡中,設備認證和用戶認證都應該實施,以確保最有效的網絡安全性。用戶認證信息應該通過安全隧道傳輸,從而保證用戶認證信息交換是加密的。因此,對于所有的網絡環境,如果設備支持,最好使用EAP-TTLS或PEAP。
(2)訪問控制:對于連接到無線網絡用戶的訪問控制主要通過AAA服務器來實現。這種方式可以提供更好的可擴展性,有些訪問控制服務器在802.1x的各安全端口上提供了機器認證,在這種環境下,只有當用戶成功通過802.1x規定端口的識別后才能進行端口訪問。此外還可以利用SSID和MAC地址過濾。服務集標志符(SSID)是目前無線訪問點采用的識別字符串,該標志符一般由設備制造商設定,每種標識符都使用默認短語,如101即指3COM設備的標志符。倘若黑客得知了這種口令短語,即使沒經授權,也很容易使用這個無線服務。對于設置的各無線訪問點來說,應該選個獨一無二且很難讓人猜中的SSID并且禁止通過天線向外界廣播這個標志符。由于每個無線工作站的網卡都有唯一的物理地址,所以用戶可以設置訪問點,維護一組允許的MAC地址列表,實現物理地址過濾。這要求AP中的MAC地址列表必須隨時更新,可擴展性差,無法實現機器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此,這也是較低級的授權認證。但它是阻止非法訪問無線網絡的一種理想方式,能有效保護網絡安全。
(3)完整性:通過使用WEP或TKIP,無線網絡提供數據包原始完整性。有線等效保密協議是由802.11標準定義的,用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙,采用RSA開發的RC4對稱加密算法,在鏈路層加密數據。WEP加密采用靜態的保密密鑰,各無線工作站使用相同的密鑰訪問無線網絡。WEP也提供認證功能,當加密機制功能啟用,客戶端要嘗試連接上AP時,AP會發出一個Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對,如果正確無誤,才能獲準存取網絡的資源。現在的WEP也一般支持128位的鑰匙,能夠提供更高等級的安全加密。在IEEE 802.11i規范中,TKIP負責處理無線安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素:必須在現有硬件上運行,因此不能使用計算先進的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”,它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長度為128位,這解決了WEP的密鑰長度過短的問題。
(4)機密性:保證數據的機密性可以通過WEP、TKIP或VPN來實現。前面已經提及,WEP提供了機密性,但是這種算法很容易被破解。而TKIP使用了更強的加密規則,可以提供更好的機密性。另外,在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN(Virtual Private Network,虛擬專用網絡)是在現有網絡上組建的虛擬的、加密的網絡。VPN主要采用4項安全保障技術來保證網絡安全,這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security)協議是目前In- ternet通信中最完整的一種網絡安全技術,利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec,并在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
(5)可用性:無線網絡有著與其它網絡相同的需要,這就是要求最少的停機時間。不管是由于DOS攻擊還是設備故障,無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網絡訪問正常運行的重要性。在機場或者咖啡廳等場合,不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進行商業運作,這就需要通過多個AP來實現漫游、負載均衡和熱備份。
當一個客戶端試圖與某個特定的AP通訊,而認證服務器不能提供服務時也會產生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數據包,建議賦予該數據包更高的優先級以提供更好的QoS。另外應該設置本地認證作為備用,可以在AAA服務器不能提供服務時對無線客戶端進行認證。
(6)審計:審計工作是確定無線網絡配置是否適當的必要步驟。如果對通信數據進行了加密,則不要只依賴設備計數器來顯示通信數據正在被加密。就像在VPN網絡中一樣,應該在網絡中使用通信分析器來檢查通信的機密性,并保證任何有意無意嗅探網絡的用戶不能看到通信的內容。為了實現對網絡的審計,需要一整套方法來配置、收集、存儲和檢索網絡中所有AP及網橋的信息。
無線網絡安全性解決方案
企業網絡安全方案范文6
[關鍵詞] 網絡;安全威脅;中國石油;網絡安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中圖分類號] TP343.08 [文獻標識碼] A [文章編號] 1673 - 0194(2012)10- 0062- 02
1 引 言
隨著市場競爭的日益加劇,業務靈活性、成本控制成為企業經營者最關心的問題,彈性靈活的業務流程需求日益加強,辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現,促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網,一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理,國家監管部門對企業的內控管理提出了多項規范要求,包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。
然而信息網絡面臨的安全威脅與日俱增,安全攻擊漸漸向有組織、有目的、趨利化方向發展,網絡病毒、漏洞依然泛濫,同時信息技術的不斷更新,信息安全面臨的挑戰不斷增加。特別是云的應用,云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系,滿足業務發展的需要,已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。
2 大型企業網絡面臨的安全威脅
賽門鐵克的《2011 安全狀況調查報告》顯示:29%的企業定期遭受網絡攻擊,71% 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大,信息系統多,受攻擊面廣等特點,更是成為被攻擊的首選目標。
大型企業網絡應用存在的安全威脅主要包括:(1)內網應用不規范。企業網絡行為不加限制,P2P下載等信息占據大量的網絡帶寬,同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網,對內網應用系統安全構成威脅。(2)網絡接入控制不嚴。網絡準入設施及制度的缺失,任何人都可以隨時、隨地插線上網,極易帶來病毒、木馬等,也很容易造成身份假冒、信息竊取、信息丟失等事件。(3)VPN系統安全措施不全。企業中的VPN系統,特別是二級單位自建的VPN系統,安全防護與審計能力不高,存在管理和控制不完善,且存在非系統員工用戶,行為難以監管和約束。(4)衛星信號易泄密。衛星通信方便靈活,通信范圍廣,不受距離和地域限制,許多在僻遠地區作業的一線生產單位,通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸,容易被截獲。(5)無線網絡安全風險較大。無線接入由于靈活方便,常在局域網絡中使用,但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。(6)生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范,大多數二級單位采用防火墻邏輯隔離,有些單位防護策略制定不嚴格,導致生產網被來自管理網絡的病毒感染。
3 大型企業網絡安全防護體系建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,將企業信息安全保障體系建設列為信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。中國石油網絡安全域建設是其重要建設內容。
中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統,是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路,承載對內服務業務信息系統的網絡,與外網邏輯隔離。外網是實現對外提供服務和應用的網絡,與互聯網相連(見圖1)。
為了構建安全可靠的中國石油網絡安全架構,中國石油通過劃分中國石油網絡安全域,明確安全責任和防護標準,采取分層的防護措施來提高整體網絡的安全性,同時,為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想,將項目分為:廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。
廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時,還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護,所有單位均通過16個互聯網出口對外聯系,規劃DMZ,制定統一的策略,對外服務應用統一部署DMZ,內網與外網邏輯隔離,內網員工能正常收發郵件、瀏覽網頁,部分功能受限。
域間防護方案主要遵循 “縱深防護,保護核心”主體思想,安全防護針對各專網與內網接入點進行部署,并根據其在網絡層面由下至上的分布,保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況,將數據中心劃分為4個安全區域,分別是核心網絡、二級系統區、三級系統區、網絡管理區;通過完善數據中心核心網絡與廣域網邊界,二級系統、三級系統、網絡管理區與核心區邊界,二、三級系統區內部各信息系統間的邊界防護,構成數據中心縱深防御的體系,提升整體安全防護水平。
域內防護是指分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準,實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎,并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式,為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎,實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計;以部署設備證書為基礎,實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠,從而確保區域網絡中心、數據中心互聯網接入的安全性。
4 結束語
一個穩定安全的企業信息網絡已成為企業正常運營的基本條件,然而信息網絡的安全威脅日益加劇,企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設,系統地解決網絡安全問題,供其他企業參考。
主要參考文獻
[1]王擁軍. 淺談企業網絡安全防護體系的建設 [J]. 信息安全與通信保密,2011(12).
