1. 需要一篇論文 企業網路建設安全策略探討
企業網路建設安全策略探討
陳明明 (遼寧石油化工大學理學院,遼寧撫順)
摘要:
企業內部網路安全是建立企業網路信息系統時需解決的重大問題.對計算機網路安全機制的防火牆技術和入侵檢測技術進行了對比與分析.防護牆是一種邊界安全防護層,經過仔細配置,能夠在內部,外部網路之間建立一道安全屏障,降低網路被入侵的風險.但單一的防火牆技術只能在相對的時期內保證網路的安全,需要不斷的維護,調整,升級其安全策略.監測與檢測技術從安全技術層面為網路管理部門提供了進一步實施安全管理和維護的手段,使其既能防範來自外部的非法入侵又能防範來自內部的惡性破壞以及人為的誤操作.提出了企業網路建設中這兩項技術應用的重要作用.
關鍵詞:企業網路;網路安全;防火牆技術;入侵檢測技術
由於企業發展的需要,計算機網路技術為企業生產,管理,經營等各方面信息交換帶來了很大的變革,企業得益於網路,但是與此同時,網路的數據不同程度被侵害,企業利益受到了嚴重的威脅.侵害的來源主要有企業內部不法職工,網路黑客,企業競爭對手等.他們通過竊取用戶口令,偽造用戶身份,竊聽網路信息等手段篡改資料庫內容,竊取用戶重要資料,摧毀網路節點,釋放病毒,造成數據信息失真,丟失,設備損壞,生產經營失控,信息系統崩潰等,使企業蒙受巨大經濟損失.由此可見,阻止黑客入侵,防止非法用戶的資源訪問,保證計算機網路的安全運行是網路管理員重大責任.一個網路建設是一個系統工程,而安全策略是極其重要的組成部分,安全策略基本包括安全技術,安全程序規則,安全審計,安全校驗,安全機構,安全教育與培訓等等.
其中,安全技術是極為重要的部分,目前主要採用的技術是防火牆技術,防病毒技術,網路用戶認證與加密,安全檢測技術等.防火牆技術和安全檢測技術在目前的大部分企業網路建設中都被不同程度採用,這兩項技術在不同層面上對網路的安全起到保護作用.
防火牆技術
防護牆是一種邊界安全防護層,能夠有效的保護網路內部的安全,在網路安全中起到重要作用.原來防火牆技術僅僅是基於網路層的安全技術,目前已經成為更加先進和復雜的基於應用層的網關,經過認真仔細的配置,防火牆通常能夠在內部,外部網路之間建立一道安全屏障,降低網路被入侵的風險.
防火牆建立策略
防火牆是由主機,路由器,安全策略構成的集合體,其功能是禁止或允許對網路的訪問.強制所有的訪問者要通過預先設定規則檢查,確定訪問者的請求被禁止或允許.主要防範策略有數據包過濾,應用級網關和代理服務.數據包過濾在路由器設置過濾邏輯,建立訪問控製表,在網路層對數據流的數據包的源地
址,埠號,協議等進行組合評價,確定是否允許通過.應用級網關應用網關是安裝在一台專用工作站系統上的.在網路應用層面上建立協議過濾轉發.針對指定網路服務協議使用專門的數據過濾邏輯,形成的分析統計報告供管理員瀏覽.代理服務鏈路網關(通道),是一個專用伺服器,內外網路的"鏈接"取決於代理伺服器應用層的連接.外部計算機的網路連接只能到達代理伺服器.代理伺服器對所有鏈接的數據進行分析,注冊,報告,報警,記錄訪問者的痕跡,追蹤攻擊網路的人員.
防火牆的結構策略
在實際構建防火牆的工作中一般運用多策略,多部件組合的方法.簡單防火牆採用商用帶有數據包過濾功能的路由器,進行分組過濾.放置在和企業網路之間的分組過濾路由器.屏蔽主機防火牆是由一台主機和一個屏蔽路由器構成.主機連接企業內部網路,路由器在和內部網路之間,路由器負責數據包的過濾以及對主機某些埠屏蔽.屏蔽子網指在屏蔽主機結構中,主機後端再加入一台路由器,保護子網路安全,這樣使子網路安全性進一步提高雙宿主主機防火牆是在企業內部網路和間設置一個主機,安裝兩個網路介面,屏蔽掉協議的直接傳輸,內部網路不能直接和傳輸存在問題.
由於防火牆只是一種靜態的安全技術,需要人工實施與維護,相對入侵時間的隨機性發生,不能完全做到阻止入侵者的攻擊.主要表現在:不能阻止來自內部網路不法用戶的入侵;外部入侵者通過掃描路由器可以找到防火牆背後的入口,繞過防火牆進行入侵;由於防火牆性能的問題不能實時進行入侵檢測;不能防止病毒的侵入;不能解決自身的安全問題.防火牆安全性能的提高將降低網路的運行速
度.因此單一的防火牆技術只能在相對的時期保證網路的安全,這就要求網路管理部門不斷的維護,調整,升級防火牆的安全策略.同時,建立和完善網路的監測檢測技術.
網路監測與檢測技術
防火牆安全技術是處於被動的保護網路的安全,而實時監測與檢測技術是主動保護自身的安全技術機制.從安全技術層面為網路管理部門提供了進一步實施安全管理和維護的手段.既能防範來自外部的非法入侵又能防範來自內部的惡性破壞
以及人為的誤操作.採用相應保護手段保護網路系統,同時可以分析,跟蹤,切斷連接,保留證據等,控制網路的用戶運行保護網路的安全.檢測系統與檢測方法檢測系統分別是基於主機和基於網路的系統.基於主機的檢測系統主要用於監控網路上用戶的運行,此種技術已經廣泛的用於網路操作系統,其檢測方法與運行全部集成在網路操作系統中.實時檢測網路中的連接,系統日誌檢查等,在網路伺服器操作系統中為管理員提供了相應安全策略和保護方法.基於網路的系統主要用於實時監測關鍵路徑上的數據流量,代理軟體在區域網網路中監測數據流.基於路由器檢測系統主要用於保護網路的基礎設施,確保計算機網路之間連接安全.主機檢測系統主要作用是通過網路系統實時監測每一個用戶的使用情況,判斷出非法入侵的事件,系統對不同入侵行為採用相應保護措施,由於運行檢測系統需要大量的系統資源,因此,伺服器主機一定要選硬體性能很好的計算機伺服器.基於網路的檢測由於只能在網路內進行監視,因此,在區域網網段部署檢測系統是很方便的.檢測方法主要基於行為和基於知識的入侵.基於行為入侵檢測方法是根據網路用戶的行為或者資源使用情況來判斷是否入侵,即異常檢測一般採用概率統計的方法.基於知識的入侵檢測方法是根據已知的攻擊方法模型建立檢測
模式,通過判斷來發現是否發生入侵,即違規檢測.檢測功能一個檢測系統的基本功能必須能夠保證對現有已知的入侵行為進行發現處理,同時要為系統管理
人員提供簡捷的配置方法,完善的操作功能.能夠做到:監視系統及用戶的運行狀態,檢查用戶許可權;檢查系統漏洞,提示系統管理人員;分析,統計用戶的行為規律;系統文件與數據的一致性校驗;對檢測到的異常行為進行報警,保護處理;操作系統的審計管理.檢測系統的數據報告將作為安全策略制定的基本依據之一.
第5期陳明明,企業網路建設安全策略探討
2. 企業網路安全該怎麼做
★ 您的企業是否總是擔心公司內部的各種技術機密和商務秘密通過計算機的電子文檔泄漏出去?
★ 若泄漏是否會直接影響企業生存和發展?
★ 您的企業是否總有人員流動?
★ 原工作人員是否將工作涉及的文檔都通過U盤或電子郵件拷貝走了?
★ 現在的工作人員是否有可能將各種機密泄漏給競爭對手?
★ 工作人員離職後是否變成了企業的競爭對手?
★ 您的企業把USB埠、光碟機、軟碟機、互聯網、計算機後蓋全都封住了就能保證電子文檔不會泄漏出去嗎?
商場如戰場,波譎雲涌。身處其中的企業在日益激烈的商場競爭中不僅要應對來自競爭對手的挑戰,還要面對企業內部的各種業務,因此承載企業重要商業信息的文件就在交錯紛雜的商場風雲下面臨著各種安全隱患。沒有進行加密防護的文件猶如一個誘人的蘋果,誰都能輕易咬上一口。那麼在這個沒有硝煙的戰場中,讓域之盾加密軟體坐鎮文件安全,才能讓企業放下包袱,輕裝上陣。域之盾系統功能全面,可有效保護企業數據安全
1. 透明加解密
系統根據管理策略對相應文件進行加密,用戶訪問需要連接到伺服器,按許可權訪問,越權訪問會受限,通過共享、離線和外發管理可以實現更多的訪問控制。
2. 泄密控制
對打開加密文檔的應用程序進行列印、內存竊取、拖拽和剪貼板等操作管控,用戶不能主動或被動地泄漏機密數據。
3. 審批管理
支持共享、離線和外發文檔,管理員可以按照實際工作需求,配置是否對這些操作進行強制審批。用戶在執行加密文檔的共享、離線和外發等操作時,將視管理員的許可權許可,可能需要經過審批管理員審批。
4. 離線文檔管理
對於員工外出無法接入網路的情況可採用系統的離線管理功能。通過此功能授權指定用戶可以在一定時間內不接入網路仍可輕松訪問加密數據,而該用戶相應的安全策略仍然生效,相應數據仍然受控,文檔許可權也與聯網使用一樣。
5. 外發文檔管理
本功能主要是解決數據二次泄密的威脅,目的是讓發出的文檔仍然受控。通過此功能對 需要發出的文件進行審批和授權後,使用者不必安裝加密客戶端即可輕松訪問受控文件,且可對文件的操作許可權及生命周期予以管控。
6. 審計管理
對加密文檔的常規操作,進行詳細且有效的審計。對離線用戶,聯網後會自動上傳相關日誌到伺服器。
7. 自我保護
通過在操作系統的驅動層對系統自身進行自我保護,保障客戶端不被非法破壞,並且始終運行在安全可信狀態。即使客戶端被意外破壞,客戶端計算機里的加密文檔也不會丟失或泄漏。
3. 中小企業如何進行網路信息安全建設(1)
網路是企業信息化的基石,而網路信息安全則成為網路運用的障礙。企業對網路的利用率低,不僅僅是網路帶寬的問題,更多的是考慮到網路安全的問題。因為害怕在網路上會出現這樣或那樣的問題,而不願或不敢在網路上運行可以信息化的業務系統,而繼續使用傳統的或手工的方式來完成繁重的業務工作。
對於網路信息安全有兩個普遍的觀點:其一是「三分技術,七分管理」,說的是網路信息安全主要靠管理手段來保障,技術對網路信息安全的貢獻只佔三成;其二是「木桶原理」,說的是網路信息安全由一些基本的安全因素構成,這些安全因素中最脆弱的哪一部分將成為網路信息安全的最大威脅。
中小企業建設網路信息安全的內容
網路信息安全的實質是:保障系統中的人、設備、設施、軟體、數據以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊,使它們能正常發揮作用,保障系統能夠安全可靠地工作。
網路信息安全大體上可以分為:物理安全問題、方案設計的缺陷、系統的安全漏洞、TCP/IP協議的安全和人的因素等幾個方面。
對網路信息常採用的攻擊手段有:竊取機密攻擊、非法訪問、惡意攻擊、社交工程、計算機病毒、不良信息資源和信息戰等幾大類。
針對中小企業網路信息安全建設,主要包括以下幾個內容:
(1)物理安全:主要包括機房和配線間的條件、自然災害、人為破壞、信息入侵等,進一步可以分為如下一些方面:
◆ 機房和配線間的電源、接地、防雷、防潮、防盜、防火、防塵、防鼠、溫度調節、通風條件、強電流干擾等。
◆ 地震、火災、洪水、台風等。
◆ 人為誤操作、有意破壞信息系統或通信線路或設備、恐怖活動、戰爭等。
◆ 線路搭聽、從網路入口處侵入網路等。
(2)計算機硬體和軟體的資產安全:主要包括計算機硬體不被替換或者移走,所使用的計算機軟體是否存在版權問題,是否使用了不允許使用的軟體等。
(3)網路體系結構安全:主要包括如下一些內容:
◆ 相對獨立的區域網的拓撲結構不存在環路。
◆ 通信線路通信性能上不存在瓶頸。
◆ 通信線路某一部分故障影響的范圍盡可能小。
◆ 通信網路設備故障影響的范圍盡可能小。
4. 企業網站建設需要注意什麼
1、企業網站建設的目的要明確
企業網站的功能無非就是品牌宣傳、企業推廣、線上營銷等作用,但具體要建設網站或開發網站時,要明確該網站的功能定位,比如以品牌宣傳為主的網站可能對美工、圖片要求高,以展現企業品牌形象。以營銷為主的網站要展現產品、客戶案例,這樣方便客戶了解產品詳情
2、企業網站的導航欄目要做好
當前,企業網站設計都推崇簡約、簡潔的網站風格,整個網站看起來一目瞭然,界面外觀大方、美觀,企業品牌網站等都透著簡約而不簡單的風格,這些網站有一個共同特點,就是導航欄目用心設計、層次鮮明。這種規范化的導航欄目,既展現了網站主要內容,又方便客戶瀏覽整個網站內容,同時顯示出企業特點。
3、企業網站要方便查看
進入網站一般都是有針對性的瀏覽某一產品內容,所以,為了方便客戶查詢,可以在顯眼的位置放上搜索框,幫助客戶短時間內找到想要了解的信息。
4、官方網站頁面顏色種類不能太多
有些企業管理人員沒有考慮到企業市場用戶對於網頁審美,就按照自己的意願審美在網站當中加入過多顏色,一個網站的顏色種類過多的話,只會讓瀏覽者感覺這個網站不倫不類。如果大家有時間可以去瀏覽一下你們同行的網站,世界知名品牌的企業官網,從中你就可以深入的發現,他們網站的運用的顏色都是不會超過3種的。
5、網站頁面板塊層次應該分明
用戶在進入到你的企業官網瀏覽網頁內容時,一定是要讓他們看到他們想要看到有用的的內容,一些網頁的建設是非常不專業,板塊層次不清晰,用戶進入到網頁需要花費很長時間才能夠找到他們想要看到的內容,這種網站網頁是不受用戶喜歡,長久下去就沒有用戶願意瀏覽。
6、網站頁面圖片視頻適量
當你發現自己網站網頁打開速度緩慢時,在你排除了伺服器、網速、黑客攻擊,那就是網站中加入了過多視頻和圖片,雖然說現在大家馬上就要使用5G網速特別快,但是離5G普及還有那麼一段時間,這個時候你必須要將網頁當中視頻和圖片保持一定量。
7、網站頁面導航欄清晰
對於新來網站用戶人群來說,想要更好體驗瀏覽這個網頁,網頁導航欄就是他們的地圖,如果這個地圖製作的不清楚明朗,那麼不僅起不到引導作用,還會讓用戶流量流失。
5. 企業網站建設的主要功能有哪些
企業網站建設的主要功能有以下幾點:
第一、展示企業形象
公司可以利用企業網頁,宣傳企業自身。通過網站,企業可以向外宣傳企業的文化、企業的狀況以及企業的產品和服務品質等。此外,通過及時發布產品信息以及產品的各種性能參數,使用說明等更好的幫助用戶使用自己的產品,從而更好的贏得用戶信任。
第二、提高產品推廣范圍
通過企業網站建站可以更好的宣傳企業的產品,使其網頁上的產品信息更加方便地傳達到用戶手中,以前的線下宣傳傳播途徑和范圍比較小,而通過網路宣傳的渠道宣傳范圍就非常廣泛了,不僅附近的客戶可以看到,外省的甚至外國的客戶都可能看到。這樣,產品銷售渠道就得到了很大程度的拓展,吸引到更多的用戶群體,因此可以為企業的產品走得更遠打下了堅實的基礎,從而更好的推廣產品。
第三、節省成本
利用網站可以降低企業營銷推廣成本。企業網站建站跟普通的廣告以及其他營銷手段來說花費相對更加低廉,而效果更好,以前宣傳展示產品都是靠紙質的宣傳單等,不僅製作成本高,而且不環保,所以企業可以通過更少的花費完成更高的推廣目標。並且通過網站也可以降低銷售成本及原材料采購成本,從而更好地提高了產品競爭力,這樣就從綜合程度上為企業贏得了更好的商業機會。
企業通過互聯網可以尋求更多的合作夥伴,以及進行一些信息收集,可以更好地與用戶進行溝通交流,從而能夠更及時的提高產品的質量以及服務品質,從而能使企業有更好的發展。
6. 公司網路安全
企業網路安全認知與防範
在科學技術發展的今天,計算機和計算機網路正在逐步改變著人們的工作和生活方式,尤其是Internet的廣泛使用更為企業的管理、運營和統計等帶來了前所未有的高效和快捷。但同時計算機網路的安全隱患亦日益突出。
從網路結構上來看,企業網可分為三個部分。即企業的內部網路、企業的外部網路和企業廣域網。網站建立的目的主要是幫助企業建立一個展示企業文化,發布企業信息,宣傳企業形象和介紹企業產品的這樣一個信息平台。如圖就是一個實際的企業網路拓撲圖。
★ 威脅安全的主要因素
由於企業網路由內部網路、外部網路和企業廣域網組成,網路結構復雜,威脅主要來自:病毒的侵襲、黑客的入侵、拒絕服務、密碼破解、網路竊聽、數據篡改、垃圾郵件、惡意掃描等。大量的非法信息堵塞合法的網路通信,最後摧毀網路架構本身。
下面來分析幾個典型的攻擊方式:
密碼破解 是先設法獲取對方機器上的密碼文件,然後再設法運用密碼破解工具獲得密碼。除了密碼破解攻擊,攻擊者也有可能通過猜測或網路竊聽等方式獲取密碼。
網路竊聽 是直接或間接截獲網路上的特定數據包並進行分析來獲取所需信息。
數據篡改 是截獲並修改網路上特定的數據包來破壞目標數據的完整性。
地址欺騙 是攻擊者將自身IP偽裝成目標機器信任的機器的IP 地址,以此來獲得對方的信任。
垃圾郵件 主要表現為黑客利用自己在網路上所控制的計算機向企業的郵件伺服器發送大量的垃圾郵件,或者利用企業的郵件伺服器把垃圾郵件發送到網路上其他的伺服器上。
非法入侵 是指黑客利用企業網路的安全漏洞,不經允許非法訪問企業內部網路或數據資源,從事刪除、復制甚至毀壞數據的活動,一旦企業的重要數據被竊將會給企業造成無法挽回的損失。
★ 企業網路安全的防範
企業網路安全的防範策略目的就是決定一個組織機構怎樣來保護自己。一般來說,安全策略包括兩個部分:一個總體的安全策略和具體的規則。總體安全策略制定一個組織機構的戰略性安全指導方針,並為實現這個方針分配必要的人力物力。一般是由管理層的官員來主持制定這種政策以建立該組織機構的信息系統安全計劃和其基本框架結構。
物理隔離 即在網路建設的時候單獨建立兩套相互獨立的網路,一套用於部門內部辦公自動化,另一套用於連接到Internet,在同一時候,始終只有一塊硬碟處於工作狀態,這樣就達到了真正意義上的物理安全隔離。
遠程訪問控制 主要是針對於企業遠程撥號用戶,在內部網路中配置用戶身份認證伺服器。在技術上通過對接入的用戶進行身份和密碼驗證,並對所有的用戶機器的MAC地址進行注冊,採用IP 地址與MAC地址的動態綁定,以保證非授權用戶不能進入。
病毒的防護 在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
防火牆 目前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關, 它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網路的非法訪問。一般來說, 這種防火牆的安全性能很高,是最不容易被破壞和入侵的。
★ 結束語
企業網路安全是一個永遠說不完的話題,今天企業網路安全已被提到重要的議事日程。一個安全的網路系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網路安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增。如何才能持續停留在知識曲線的最高點,把握住企業網路安全的大門這將是對新一代網路管理人員的挑戰。
資料:
網路安全
http://www.xfocus.net/ 這個網站差不多夠你看的了。
企業網路安全八大威脅 IM和電郵上榜
http://tech.sina.com.cn/i/2007-09-14/07401739285.shtml
7. 如何構建企業的網路安全體系
應重點加強對產品研發的信息安全保障,提升企業信息安全防護意識。信息安全保障如下:網路安全、終端安全、數據安全、文檔安全管理等幾個方面。上網行為管理網關、終端安全(列印機、U盤、上網行為管控、移動設備訪問)、數據安全(文件加密、U盤加密等加密類產品)、文檔安全管理(雲文檔存儲、文件外發安全),全方位保護企業信息安全……防患於未然
產品代表天銳綠盾、賽門鐵克,但鐵克做備份和殺毒,天銳綠盾做企業信息安全
8. 企業為什麼要建設網路信息安全
網路安全是21世紀世界十大熱門課題之一,已經成為世界關注的焦點。 網路安全威脅對我國安全的影響主要體現在: 對網路安全各種技術及研發和應用,管理(成立中央網路信息安全領導小組等組織機構、經濟和國防等安全保障體系)的加強和改進,以及法律、法規、政策、策略、規范、標准、機制、規劃和措施等。實際上,網路安全是個系統工程,網路安全技術需要與安全管理和保障措施緊密結合,才能更好地發揮作用。 具體參見:上海高校優秀教材獎 賈鐵軍教授主編 網路安全技術及應用(第2版)。
9. 如何給公司網站防護,構建企業網路安全防護
建議樓主可以試試360企業版。360企業版 = 360安全衛士 + 360管理控制中心, 360管理控制中心為企業集中管理內網電腦搭建了一個全能平台, 在統一的平台上滿足了廣大企業對於集中殺毒,體檢,打補丁的迫切需求。