序論:在您撰寫企業網絡安全論文時���,參考他人的優秀作品可以開闊視野��,小編為您整理的7篇范文�,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度��。
第1篇
1.1計算機自身系統安全問題
計算機系統的正常運行以計算機操作系統程序為主要依據��,與之相關的各類程序也必須以此為標準,操作系統理所當然地成為了計算機系統中的基本程序����。計算機操作系統具有較強的拓展性����,開發商很容易完成計算機系統的開發工作�。但是,在優化和升級計算機系統的過程中����,相關操作技術仍存在較大問題,這是計算機技術快速發展的難點����,也是黑客入侵計算機系統的主要切入點。
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵���,將會出現嚴重的運行問題���,如系統癱瘓���、傳輸數據失真以及數據庫信息丟失等�����。計算機病毒具有典型的潛伏性��、傳染性�、隱蔽性和破環性���,目前���,計算機病毒種類主要有以下四種:第一����,木馬病毒�。該類病毒的主要目的是竊取計算機上的數據信息�����,具有典型的誘騙性�����;第二����,蠕蟲病毒。熊貓燒香是該類病毒的典型代表�,以用戶計算機上出現的漏洞為切入點����,綜合使用攻擊計算機終端的方式控制計算機系統�,該病毒具有較強的傳播性和變異性;第三,腳本病毒���。該病毒主要發生在互聯網網頁位置�����;第四���,間諜病毒�。要想提升某網頁的訪問量��,強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展����,計算機網絡應用范圍不斷擴大,各種類型病毒的破壞性也隨之增加�。
1.3黑客
通過網絡攻擊計算機目前���,我國仍存在著大量非法人員對計算機系統進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術,對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的����。黑客攻擊計算機網絡的主要形式有三種:第一,利用虛假的信息攻擊網絡;第二����,利用木馬或者病毒程序對計算機用戶的電腦進行控制;第三����,結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。
2計算機網絡安全技術在企業網中的應用
2.1防火墻技術
防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一����。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中�,計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全���,在掃描終端服務器的數據后�����,如果發現有意或者不合常理等攻擊行為,系統應該及時切斷服務器與內網服務器之間的交流�����,采用終端病毒傳播的方式保護企業網的安全����。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息�,這種過濾手段可以阻擋病毒信息入侵計算機系統�����,并第一時間內通知用戶攔截病毒信息,為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖�。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置
2.2數據加密技術
數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中,要想提高企業發展信息的安全性和可靠性��,企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理���,在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件,這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種��,其中對稱加密算法中使用的加密和加密信息保持一致��,非對稱加密算法中加密方法和解密方法存在較大的差異��,通常很難被黑客破解���,這兩種加密形式在企業網中均得到了廣泛應用����。
2.3病毒查殺技術
病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一����。病毒對計算機安全有極大的威脅,該技術要求企業技術對計算機操作系統進行檢測和更新����,減少系統出現漏洞的頻率���;杜絕用戶在不經允許的情況下私自下載不正規的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫�;控制用戶瀏覽不文明的網頁��;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理�,確定文件的安全性后才能投入使用。
2.4入侵檢測技術
入侵檢測技術在企業網安全運行中發揮著至關重要的作用,其作用主要表現在以下幾方面:第一�,收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據���;第二��,找尋計算機系統中可能存在的侵害行為���;第三��,自動發出病毒侵害報警信號��;第四����,切斷入侵途徑;第五�,攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征��,該技術的主要任務是負責監視企業網絡運行狀況��,對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主��?��;谥鳈C系統的入侵檢測技術主要針對企業網的主機系統�、歷史審計數據和用戶的系統日志等,該檢測技術具有極高的準確性���,但是�����,實際檢測過程中很容易引發各種問題,如數據失真和檢測漏洞等�����;基于網絡入侵檢測技術以其自身存在的特點為依據,以網絡收集的相關數據信息為手段�����,在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人��,該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測��,但是����,由于該技術能對網絡數據包的變化狀況進行監控,在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式�。誤用檢測通常以已經確定的入侵模式為主,在實際檢測過程中��,該檢測方法具有響應速度快和誤警率低等特點����,但是���,該檢測技術需要較長的檢測時間為支撐,實際耗費的工作量比較大����。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況��,該檢測法誤警率較高��,在實際檢測過程中必須對整個計算機系統進行全盤掃描��,因此,必須有大量的檢測時間作支撐。
3結束語
第2篇
關鍵詞信息安全��;PKI�;CA�;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展���,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益�,但隨之而來的安全問題也在困擾著用戶����,在2003年后�����,木馬�����、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求����。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力�����,使企業在殘酷的競爭環境中脫穎而出���。面對這瞬息萬變的市場�����,企業就面臨著如何提高自身核心競爭力的問題���,而其內部的管理問題、效率問題�、考核問題、信息傳遞問題�、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段�。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺���,通過內部網相互連接����,根據公司統一規劃����,通過防火墻與外網互聯。在內部網絡中���,各計算機在同一網段�����,通過交換機連接��。
圖1
2)應用系統
經過多年的積累�,某公司的計算機應用已基本覆蓋了經營管理的各個環節�����,包括各種應用系統和辦公自動化系統�。隨著計算機網絡的進一步完善����,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式�。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目���,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全��,部署了防火墻����、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件�����、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用��。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強�,計算機應用系統對網絡的依賴性增強��。計算機網絡規模不斷擴大��,網絡結構日益復雜���。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求���。
(2)計算機應用系統涉及越來越多的企業關鍵數據��,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份�,并運用技術手段,提高數據的機密性��、完整性和可用性�。
通過對現有的信息安全體系的分析�,也可以看出:隨著計算機技術的發展����、安全威脅種類的增加,某公司的信息安全無論在總體構成�����、信息安全產品的功能和性能上都存在一定的缺陷���,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全�����,系統�����、應用和數據的安全存在較大的風險����。
目前實施的安全方案是基于當時的認識進行的����,主要工作集中于網絡安全���,對于系統和應用的安全防范缺乏技術和管理手段���。如缺乏有效的身份認證���,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充���;又如數據備份缺乏整體方案和制度規范��,容易造成重要數據的丟失和泄露�。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的����,即網絡內部的用戶都是可信的�。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的�����。
針對外部網絡安全�,人們提出了內部網絡安全的概念����,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中�,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息��,或者從內部網絡訪問服務器�����,下載重要的信息并盜取出去���。內部網絡安全的這種信任模型更符合現實的狀況��。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部����,這些隱患直接導致了信息被內部人員所竊取和破壞��。
信息系統的安全防范是一個動態過程����,某公司缺乏相關的規章制度��、技術規范����,也沒有選用有關的安全服務����。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患�����,產品亟待升級�����。
已購買的網絡安全產品中���,有不少在功能和性能上都不能滿足進一步提高信息安全的要求�。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制�����,原有的防火墻將成為企業內網和公網之間的瓶頸�����。同時病毒的防范�、新的攻擊手段也對防火墻提出了更多的功能上的要求����,現有的防火墻不具備這些功能�����。
網絡信息系統的安全建設建立在風險評估的基礎上����,這是信息化建設的內在要求�����,系統主管部門和運營����、應用單位都必須做好本系統的信息安全風險評估工作�。只有在建設的初期,在規劃的過程中���,就運用風險評估�����、風險管理的手段,用戶才可以避免重復建設和投資的浪費����。
3.2需求分析
如前所述���,某公司信息系統存在較大的風險�����,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡�����,也需要做好系統�、應用�����、數據各方面的安全防護�����。為此,要加強安全防護的整體布局��,擴大安全防護的覆蓋面�,增加新的安全防護手段��。
(2)網絡規模的擴大和復雜性的增加�,以及新的攻擊手段的不斷出現���,使某公司計算機網絡安全面臨更大的挑戰���,原有的產品進行升級或重新部署����。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求���,為此要加快規章制度和技術規范的建設�����,使安全防范的各項工作都能夠有序��、規范地進行��。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前��、事中和事后的各項防范工作��,應對不斷出現的各種安全威脅�,也是某公司面臨的重要課題��。
4設計原則
安全體系建設應按照“統一規劃、統籌安排���、統一標準、分步實施”的原則進行�����,避免重復投入、重復建設���,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定�,使安全技術體系的建設達到標準化�、規范化的要求,為拓展����、升級和集中統一打好基礎���。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次���、安全防范的各階段全面地進行考慮,既注重技術的實現����,又要加大管理的力度�����,以形成系統化的解決方案���。
4.3規避風險原則
安全技術體系的建設涉及網絡����、系統���、應用等方方面面,任何改造�����、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續����、穩定運行���,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題��,在規劃與應用系統銜接的基礎安全措施時���,優先保證透明化,從提供通用安全基礎服務的要求出發�����,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力���,某公司分期、分批建設了一些整體的或區域的安全技術系統����,配置了相應的設施��。因此��,本方案依據保護信息安全投資效益的基本原則,在合理規劃�、建設新的安全子系統或投入新的安全設施的同時�,對現有安全系統采取了完善�、整合的辦法,以使其納入總體安全技術體系���,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的���,都可能被攻破。但是建立一個多重保護系統�,各層保護相互補充����,當一層保護被攻破時,其它層保護仍可保護信息的安全�����。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加����,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的���。針對安全體系的特性��,尋求安全����、風險�����、開銷的平衡��,采取“統一規劃、分步實施”的原則���。即可滿足某公司安全的基本需求���,亦可節省費用開支���。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次���,針對網絡���、系統��、應用�����、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程���,事前、事中和事后的技術手段應當完備�,安全管理應貫穿安全防范活動的始終�����,如圖2所示�。
圖2網絡與信息安全防范體系模型
信息安全又是相對的�����,需要在風險�、安全和投入之間做出平衡�����,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查�,通過與計算機專業公司接觸�����,初步確定了本次安全項目的內容����。通過本次安全項目的實施���,基本建成較完整的信息安全防范體系�����。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺����,都必須建立在一個安全可信的網絡之上���。目前��,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure���,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證�、信息完整性和抗抵賴等安全問題���,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務��。通過建設證書認證中心系統���,建立一個完善的網絡安全認證平臺����,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份��,要求通信雙方的身份不能被假冒或偽裝�����,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密�����,確保信息不被泄露�,在此體系中利用數字證書加密來完成��。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)�,通過哈希函數和數字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責�����,通過數字簽名來完成���,數字簽名可作為法律證據�����。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網����。和傳統的物理方式相比�����,具有降低成本及維護費用��、易于擴展、數據傳輸的高安全性�。
通過安裝部署VPN系統�����,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案���。它利用開放性網絡作為信息傳輸的媒體�,通過加密��、認證�、封裝以及密鑰交換技術在公網上開辟一條隧道����,使得合法的用戶可以安全的訪問企業的私有數據�����,用以代替專線方式���,實現移動用戶�����、遠程LAN的安全連接�。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術�����,可以對多種網絡對象進行有效地訪問監控�����,為網絡提供高效、穩定地安全保護�。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置����。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一�。隨著網絡的快速發展��,電子郵件的使用日益廣泛��,成為人們交流的重要工具����,大量的敏感信息隨之在網絡上傳播�。然而由于網絡的開放性和郵件協議自身的缺點���,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)����,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的�。首先���,它的認證機制依賴于層次結構的證書認證機構���,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證�,整個信任關系基本是樹狀的�����。其次���,S/MIME將信件內容加密簽名后作為特殊的附件傳送����。保證了信件內容的安全性����。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部���,大量的安全威脅來自企業內部��。很早之前安全界就有數據顯示��,近80%的網絡安全事件,是來自于企業內部���。同時�����,由于是內部人員所為�,這樣的安全犯罪往往目的明確�,如針對企業機密和專利信息的竊取���、財務欺騙等����,因此��,對于企業的威脅更為嚴重���。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起����,形成一個整體���,是針對客戶端安全的整體解決方案��。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性��。采用組件技術��,可以無縫嵌入OFFICE系統��,用戶可以在編輯文檔后對文檔進行簽章�����,或是打開文檔時驗證文檔的完整性和查看文檔的作者�。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證���。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡�����。用戶如果需要離開計算機���,只需拔出智能密碼鑰匙����,即可鎖定計算機��。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中�����,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性��。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程��。基于PKI的身份認證方式是近幾年發展起來的一種方便��、安全的身份認證技術。它采用軟硬件相結合��、一次一密的強雙因子認證模式�����,很好地解決了安全性與易用性之間的矛盾�。USBKey是一種USB接口的硬件設備��,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書��,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能�,還可構建用戶集中管理與認證系統���、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系�,從而實現上述身份認證���、授權與訪問控制、安全審計�、數據的機密性、完整性、抗抵賴性的總體要求���。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對��。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程�����,也為本方案的實施提供了借鑒�����。
圖3
因此在本方案的組織和實施中,除了工程的實施外�,還應重視以下各項工作:
(1)在初步進行風險分析基礎上�����,方案實施方應進行進一步的風險評估���,明確需求所在��,務求有的放矢���,確保技術方案的針對性和投資的回報�。
(2)把應急響應和事故恢復作為技術方案的一部分�����,必要時可借助專業公司的安全服務�,提高應對重大安全事件的能力����。
(3)該方案投資大��,覆蓋范圍廣,根據實際情況���,可采取分地區��、分階段實施的方式。
(4)在方案實施的同時��,加強規章制度���、技術規范的建設,使信息安全的日常工作進一步制度化�、規范化�。
7結論
本文以某公司為例���,分析了網絡安全現狀�,指出目前存在的風險,隨后提出了一整套完整的解決方案�,涵蓋了各個方面,從技術手段的改進��,到規章制度的完善���;從單機系統的安全加固�����,到整體網絡的安全管理。本方案從技術手段上�����、從可操作性上都易于實現、易于部署�,為眾多行業提供了網絡安全解決手段�����。
也希望通過本方案的實施,可以建立較完善的信息安全體系���,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平�����。
第3篇
隨著網絡中傳播的木馬�����、病毒等開發�����、設計技術的強化和智能化���,其傳播速度越來越快����,傳播途徑也越來越廣泛�����,并且隱藏周期更長,更難以被人發現���,尤其是在互聯網時代,化工企業的生產控制��、經營辦公等信息數據均通過互聯網連接在一起�,并且非專業的技術人員很少定期進行查毒和殺毒��,導致網絡中彌漫著ARP病毒、FTP病毒��、震蕩波病毒、郵件病毒和網頁病毒等���,導致計算機網絡性能逐漸降低,服務效率大幅度下降�����。
2化工企業網絡安全防御措施
2.1應用層安全防御措施
在化工企業網絡中,應用層與網絡用戶直接接觸��,因此為了保護應用層安全,需要強化第一道安全屏障,可以采取的措施包括設置用戶/組角色���,實行單一角色登陸及認證,為用戶分配固定的安全控制權限標識����,限制用戶的訪問權限,并且建立動態配置機制�����,以便更好地控制網絡資源�,避免病毒���、木馬和黑客攻擊核心數據資源�,確保用戶實現有效控制訪問���。
2.2接入層安全防御措施
接入層可以根據不同的IP組,分類控制訪問網絡資源的模式�,并且能夠強化遠程接入的防御能力���。由于化工企業員工眾多��,需要根據其所在的不同部門�,設置不同的訪問權限����,僅僅依賴角色控制難以實現訪問資源的合理管理��,因為角色管理是人為的�����,無法更好地從根本上進行控制,因此根據客戶機的IP地址、MAC地址����、交換機端口地址劃分VPN�����,可以有效地實現遠程訪問VPN�、IntranetVPN或ExtranetVPN,共同構建良好的VPN模式,并且在實現遠程接入過程中����,可以采用隧道加密協議��,將VPN根據不同的訪問權限和重要程度劃分為PPTPPN、L2TPPN、IPSecPN和MPLSPN等���,以便能夠對傳輸的數據進行不同層次的加密���,更好保護化工企業網絡的數據傳輸有效性����、安全性����、準確性。
2.3傳輸層防御措施
目前����,化工企業網絡傳輸層的防御措施也有很多個��,比如構建入侵檢測、防火墻和審計分析體系�,因此可以使用殺毒防毒軟件����、防火墻����、虛擬局域網和ACL等具體的措施進行實現���,可以為化工企業網絡構建一個完善的網絡防火墻體系���,確保網絡用戶的認證信息是完整的,保證網絡用戶不受到病毒���、木馬侵襲和黑客的攻擊���。
2.4主動防御體系
為了更好地面對網絡安全面臨的威脅�,化工企業除了在接入層和傳輸層采用傳統的安全防御措施之外��,同時構建主動的安全防御體系����,采用主動安全防御措施�����,以便能夠確保網絡的正常使用����。構建主動安全防御體系時����,網絡主動預警技術主要包括網絡主動預警、響應�����、檢測���、保護����、恢復和反擊六個方面���,其中核心內容是網絡主動預警技術和主動響應技術��,其也是與傳統的防御技術具有較大區別的方面�����。在網絡主動預警過程中����,首先可以通過遺傳算法�、支持量機����、BP神經網絡等技術進行入侵檢測�����,以便能夠有效地確定網絡中是否存在非法數據流等信息,掃描網絡操作系統是否存在漏洞�,以便能夠根據數據庫�����、知識庫中保存的經驗數據����,判斷網絡信息流中是否存在非法的內容及相關的特征�,及時主動地采取漏洞預警���、攻擊預警�����、行為預警、情報采集預警等技術�,進行網絡主動預警����。
2.5網絡主動響應技術
網絡主動預警技術可以發現即將或者已經發生的網絡攻擊行為����,網絡主動響應技術可以對相關的攻擊行為進行防御,以便能夠最大化地降低網絡攻擊行為帶來的影響。目前��,網絡主動響應技術可以搜集攻擊數據���,對其進行實時的分析���,判斷攻擊源所在的位置����,以便能夠采用網絡防火墻等阻斷攻擊源,或者可以采用網絡攻擊誘騙技術或者僚機技術�,將網絡中已經或正在發生的攻擊行為引誘到一個無關緊要的主機上,降低網絡攻擊造成的危害。
3結語
第4篇
1.1主觀因素
(1)從使用網絡的人來看,網絡使用者的安全防范意識不盡相同,有的人非常重視網絡安全��,有的人甚至不知道什么是網絡安全,網絡安全意識薄弱����。
(2)從黑客的角度來分析�,黑客對于網絡安全的威脅是目前最大的��。黑客通常是利用技術將帶有病毒的游戲、網頁���、多媒體等放入軟件終端,電腦使用者不留意就會點開這些資源��,黑客就會監控電腦的一切活動,會偷取計算機上的用戶名����、賬戶��、密碼等個人隱私數據,或者占用系統資源,嚴重的情況下會導致系統崩潰�����,企業相關的資料都會消失��,損害企業的經濟、財產�����,并為網絡安全帶來威脅�。
1.2客觀因素
石油企業應用網絡辦公都已經形成了企業獨立的網絡系統����,但還是受到網絡安全的威脅���,主要是由于影響石油企業網絡安全的自然原因主要是操作系統和軟件的漏洞�����。隨著科技的發展,網絡操作系統和應用軟件總在不斷地更新,而且其更新比較慢�����,這就為黑客的入侵提供了縫隙。
2���、石油企業網絡安全的防護技術措施
隨著石油企業網絡安全問題的頻繁出現,網絡使用者必須重視網絡安全問題,必須對網絡安全采取有效的防護技術和措施����,為企業提供安全的網絡管理平臺�����。
2.1石油企業建立健全企業規章制度
為了確保企業網絡安全�,必須建立完善的安全系統���,了解網絡安全的重要性。對于網絡安全事故的發生���,應采取處罰制度,并進行記錄,一旦出現重大網絡安全事故��,可以做到有證據可依��。
2.2石油企業應對網絡數據采取加密技術
石油企業內一些重要的文件必須對其進行加密后再放到外部網絡中����,并結合防火墻技術���,才能進一步提高石油企業網絡信息系統內部數據的保密性和安全性���,防止數據被非法人員偷盜,損害企業的利益����。
2.3石油企業應加強員工網絡安全知識的培訓
員工作為石油企業網絡的使用者����,梳理員工網絡安全意識變得尤為重要���,只有讓員工認識到網絡安全的危害和意義才能從根本上防止主觀因素網絡安全問題的發生��。石油企業應加強對員工網絡安全信息的培訓工作����,提高員工的網絡安全意識���,保證企業網絡安全的使用。
2.4石油企業應加強系統平臺與漏洞的處理
網絡管理員可以利用系統漏洞的掃描技術來提前獲取網絡應用過程中的漏洞,并通過漏洞處理技術快速恢復系統漏洞��。
3、關于石油企業網絡安全中其它防護技術
在石油企業網絡安全防護技術方案中�,還應該應用以下幾個防護技術:訪問控制技術���、入侵行為檢測技術���、異常流量分析與處理技術����、終端安全防護與管理技術、身份認證與管理技術��。
3.1訪問控制技術
企業可以根據企業本身的安全需求���、安全級別的不同���,在網絡的交界處和內部劃分出不同的區域���,在這些區域中安裝防火墻設備進行訪問控制。通過防火墻設備對數據包進行過濾����、對于有問題的數據進行分析���,防止外部未被授權的用戶入侵企業網絡���。單向數據輸出的安全區域,防火墻設備應對外區域的訪問請求進行阻止����;對于需要進行雙向數據交互的區域�,必須按照制源地址��、目的地址�、服務�����、協議�、端口內容進行精確的匹配�����,避免網絡安全問題的出現���。
3.2入侵行為檢測技術
入侵檢測就是在石油企業網絡的關鍵位置安裝檢測軟件�,對入侵行為進行檢測與分析�。入侵檢測技術可以對整個企業網絡進行檢測���,對產生警告的信息進行記錄并處理。
3.3異常流量分析與處理技術
為了保障供應服務的穩定性���,避免拒絕服務攻擊行為導致業務系統可用性的喪失�,需要通過深度包檢測����。當發現網絡流量有問題時����,就會將惡意數據刪除���,保留原有的正常數據,這樣就保證了有權限的用戶進行正常訪問�。
3.4終端安全防護與管理技術
企業整體信息安全水平取決于安全防護最薄弱的環節��。在石油企業中���,企業比較重視網絡及應用系統的保護����,忽視了對終端計算機的全面防護與管理措施的保護�。這些就需要企業利用安全防護管理技術在內部終端計算機進行統一安全防護和安全管理��,保證信息的安全。
4����、結語
第5篇
關鍵詞信息安全�;PKI�;CA�;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展����,企業基于網絡的計算機應用也在迅速增加��,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶��,在2003年后,木馬���、蠕蟲的傳播使企業的信息安全狀況進一步惡化����。這都對企業信息安全提出了更高的要求��。
隨著信息化技術的飛速發展�����,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出���。面對這瞬息萬變的市場��,企業就面臨著如何提高自身核心競爭力的問題�����,而其內部的管理問題、效率問題���、考核問題�����、信息傳遞問題����、信息安全問題等�,又時刻在制約著自己����,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中����,以某公司為例進行說明�。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺�����,通過內部網相互連接,根據公司統一規劃��,通過防火墻與外網互聯。在內部網絡中��,各計算機在同一網段���,通過交換機連接��。
圖1
2)應用系統
經過多年的積累�����,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統�����。隨著計算機網絡的進一步完善�,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式�。
2.2信息安全現狀
為保障計算機網絡的安全���,某公司實施了計算機網絡安全項目�����,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全�����,部署了防火墻、防病毒服務器等網絡安全產品�,極大地提升了公司計算機網絡的安全性���,這些產品在此后防范網絡攻擊事件�、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用����。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強����,計算機應用系統對網絡的依賴性增強�����。計算機網絡規模不斷擴大���,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求���。
(2)計算機應用系統涉及越來越多的企業關鍵數據���,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證����,加強對數據的備份�,并運用技術手段�,提高數據的機密性、完整性和可用性����。
通過對現有的信息安全體系的分析���,也可以看出:隨著計算機技術的發展、安全威脅種類的增加��,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷���,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全�����,系統�、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的��,主要工作集中于網絡安全�����,對于系統和應用的安全防范缺乏技術和管理手段���。如缺乏有效的身份認證,對服務器��、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充�;又如數據備份缺乏整體方案和制度規范��,容易造成重要數據的丟失和泄露�����。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的�,即網絡內部的用戶都是可信的���。在這種信任模型下���,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部�����,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全����,人們提出了內部網絡安全的概念�����,它基于這樣一種信任模型:所有的用戶都是不可信的�。在這種信任模型中��,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅�����,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器�����,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況��。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部�,這些隱患直接導致了信息被內部人員所竊取和破壞����。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度���、技術規范,也沒有選用有關的安全服務�。不能充分發揮安全產品的效能�。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢����,存在一定的網絡安全隱患����,產品亟待升級�。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求����。如為進一步提高全網的安全性�,擬對系統的互聯網出口進行嚴格限制��,原有的防火墻將成為企業內網和公網之間的瓶頸����。同時病毒的防范����、新的攻擊手段也對防火墻提出了更多的功能上的要求�,現有的防火墻不具備這些功能��。
網絡信息系統的安全建設建立在風險評估的基礎上��,這是信息化建設的內在要求,系統主管部門和運營�、應用單位都必須做好本系統的信息安全風險評估工作�。只有在建設的初期���,在規劃的過程中��,就運用風險評估�、風險管理的手段,用戶才可以避免重復建設和投資的浪費����。
3.2需求分析
如前所述�����,某公司信息系統存在較大的風險����,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統���、應用�、數據各方面的安全防護�。為此�����,要加強安全防護的整體布局�,擴大安全防護的覆蓋面,增加新的安全防護手段���。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現��,使某公司計算機網絡安全面臨更大的挑戰����,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求��,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序�����、規范地進行���。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務��,做好事前�、事中和事后的各項防范工作����,應對不斷出現的各種安全威脅����,也是某公司面臨的重要課題���。
4設計原則
安全體系建設應按照“統一規劃、統籌安排��、統一標準�����、分步實施”的原則進行,避免重復投入�、重復建設,充分考慮整體和局部的利益�����。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定���,使安全技術體系的建設達到標準化���、規范化的要求,為拓展���、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次�����、安全防范的各階段全面地進行考慮�����,既注重技術的實現,又要加大管理的力度����,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡�����、系統��、應用等方方面面,任何改造��、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續�、穩定運行���,這是安全技術體系建設必須面對的最大風險�。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時����,優先保證透明化,從提供通用安全基礎服務的要求出發���,設計并實現安全系統與應用系統的平滑連接��。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力�,某公司分期�、分批建設了一些整體的或區域的安全技術系統���,配置了相應的設施。因此���,本方案依據保護信息安全投資效益的基本原則����,在合理規劃�、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善��、整合的辦法�,以使其納入總體安全技術體系,發揮更好的效能����,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的���,都可能被攻破����。但是建立一個多重保護系統,各層保護相互補充���,當一層保護被攻破時��,其它層保護仍可保護信息的安全�。
4.6分步實施原則
由于某公司應用擴展范圍廣闊�,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加�。一勞永逸地解決安全問題是不現實的���。針對安全體系的特性����,尋求安全、風險��、開銷的平衡�����,采取“統一規劃�、分步實施”的原則�。即可滿足某公司安全的基本需求,亦可節省費用開支���。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮����,全面覆蓋信息系統的各層次����,針對網絡、系統���、應用�����、數據做全面的防范����。信息安全防范體系模型顯示安全防范是一個動態的過程�����,事前�、事中和事后的技術手段應當完備����,安全管理應貫穿安全防范活動的始終���,如圖2所示��。
圖2網絡與信息安全防范體系模型
信息安全又是相對的�����,需要在風險�����、安全和投入之間做出平衡�����,通過對某公司信息化和信息安全現狀的分析�,對現有的信息安全產品和解決方案的調查����,通過與計算機專業公司接觸,初步確定了本次安全項目的內容�。通過本次安全項目的實施,基本建成較完整的信息安全防范體系�。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上�。目前�����,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務�����。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系�����,它從技術上解決了網上身份認證��、信息完整性和抗抵賴等安全問題�,為網絡應用提供可靠的安全保障���,向用戶提供完整的PKI/CA數字認證服務���。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺����,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份�,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份���。
數據的機密性(Confidentiality):對敏感信息進行加密�����,確保信息不被泄露�����,在此體系中利用數字證書加密來完成�。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成�。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為���,確保通信方對自己的行為承認和負責�����,通過數字簽名來完成�����,數字簽名可作為法律證據�。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網����,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網�。和傳統的物理方式相比�,具有降低成本及維護費用����、易于擴展、數據傳輸的高安全性�。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案�。它利用開放性網絡作為信息傳輸的媒體,通過加密���、認證、封裝以及密鑰交換技術在公網上開辟一條隧道����,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式�����,實現移動用戶�、遠程LAN的安全連接�。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術��,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效�����、穩定地安全保護���。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置����。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一�����。隨著網絡的快速發展����,電子郵件的使用日益廣泛,成為人們交流的重要工具����,大量的敏感信息隨之在網絡上傳播�����。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患�����。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)��,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的����。首先,它的認證機制依賴于層次結構的證書認證機構����,所有下一級的組織和個人的證書由上一級的組織負責認證�����,而最上一級的組織(根證書)之間相互認證��,整個信任關系基本是樹狀的����。其次�,S/MIME將信件內容加密簽名后作為特殊的附件傳送��。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部��,大量的安全威脅來自企業內部����。很早之前安全界就有數據顯示,近80%的網絡安全事件���,是來自于企業內部��。同時����,由于是內部人員所為��,這樣的安全犯罪往往目的明確��,如針對企業機密和專利信息的竊取���、財務欺騙等���,因此,對于企業的威脅更為嚴重�。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章�、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起�,形成一個整體,是針對客戶端安全的整體解決方案��。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性�����。采用組件技術�����,可以無縫嵌入OFFICE系統��,用戶可以在編輯文檔后對文檔進行簽章�����,或是打開文檔時驗證文檔的完整性和查看文檔的作者���。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證�����。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡���。用戶如果需要離開計算機�,只需拔出智能密碼鑰匙�����,即可鎖定計算機��。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲��。由于密鑰保存在智能密碼鑰匙中�����,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法�����,從而保證了存儲數據的安全性�����。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程����。基于PKI的身份認證方式是近幾年發展起來的一種方便�、安全的身份認證技術�����。它采用軟硬件相結合���、一次一密的強雙因子認證模式���,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備�,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書�����,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能�,還可構建用戶集中管理與認證系統�����、應用安全組件�����、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系��,從而實現上述身份認證���、授權與訪問控制、安全審計�����、數據的機密性�、完整性�����、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范�、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示�����。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程��,也為本方案的實施提供了借鑒��。
圖3
因此在本方案的組織和實施中���,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上���,方案實施方應進行進一步的風險評估�����,明確需求所在�,務求有的放矢���,確保技術方案的針對性和投資的回報����。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務��,提高應對重大安全事件的能力����。
(3)該方案投資大�����,覆蓋范圍廣�,根據實際情況���,可采取分地區��、分階段實施的方式��。
(4)在方案實施的同時���,加強規章制度、技術規范的建設�,使信息安全的日常工作進一步制度化、規范化���。
7結論
本文以某公司為例��,分析了網絡安全現狀�����,指出目前存在的風險��,隨后提出了一整套完整的解決方案�����,涵蓋了各個方面,從技術手段的改進�,到規章制度的完善;從單機系統的安全加固��,到整體網絡的安全管理�。本方案從技術手段上、從可操作性上都易于實現����、易于部署�����,為眾多行業提供了網絡安全解決手段�����。
也希望通過本方案的實施,可以建立較完善的信息安全體系�����,有效地防范信息系統來自各方面的攻擊和威脅�����,把風險降到最低水平�。
第6篇
1網絡安全風險分析
1.1網絡結構的安全風險分析
電力企業網絡與外網有互連��?;诰W絡系統的范圍大、函蓋面廣����,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節點�����。網絡系統中辦公系統及員工主機上都有信息���,假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染)�����,就會同時影響在同一網絡上的許多其他系統�。
1.2操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全���。操作系統的安裝以正常工作為目標�,一般很少考慮其安全性�����,因此安裝通常都是以缺省選項進行設置�。從安全角度考慮�,其表現為裝了很多用不著的服務模塊��,開放了很多不必開放的端口���,其中可能隱含了安全風險。
1.3應用的安全風險分析
應用系統的安全涉及很多方面��。應用系統是動態的����、不斷變化的�。應用的安全性也是動態的。這就需要我們對不同的應用�����,檢測安全漏洞�,采取相應的安全措施,降低應用的安全風險�。主要有文件服務器的安全風險、數據庫服務器的安全風險���、病毒侵害的安全風險、數據信息的安全風險等����。
1.4管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事,不設置用戶口令���,或者設置的口令過短和過于簡單�,導致很容易破解���。責任不清���,使用相同的用戶名、口令��,導致權限管理混亂�����,信息泄密�。把內部網絡結構��、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險�。內部不滿的員工有的可能造成極大的安全風險。
2網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護計算機網絡信息的安全�����。網絡安全不僅僅是技術問題����,同時也是一個安全管理問題。我們必須綜合考慮安全因素��,制定合理的目標���、技術方案和相關的配套法規等。以下分別就這兩個方面進行論述��。
2.1管理維護措施
1)應建立健全計算機網絡安全管理制度體系��,定期對管理制度進行檢查和審定���,對存在不足或需要改進的管理制度及時進行修訂����。2)使用人員應該了解國家有關法規�、方針����、政策���、標準和規范����,并主動貫徹與執行;掌握終端的基本使用常識����,了解國家電網公司、省公司及分公司有關管理制度��,并嚴格遵守��。3)堅持“分區����、分級、分域”的總體防護策略��,執行網絡安全等級保護制度�����。將網絡分為內網和外網�,內、外網之間實施強邏輯隔離的措施���。4)內外網分離���,外網由信息職能管理部門統一出口接入互聯網,其他部門和個人不得以其它方式私自接入互聯網���,業務管理部門如有任何涉及網絡互聯的需求�,應向信息職能管理部門提出網絡互聯的書面申請���,并提交相關資料�����,按規定流程進行審批,嚴禁擅自對外聯網����,如果互聯網使用人員發生人動����,原來申請的互聯網賬戶必須注銷����。5)必須實行實名制,實行“誰使用�,誰負責”�����,通過建立電力企業網絡中確定用戶的身份標識�����,將網絡用戶與自然人建立起一一對應的關系����。6)加強網絡監管人員的信息安全意識�����,特別是要消除那些影響計算機網絡通信安全的主觀因素����。計算機系統網絡管理人員缺乏安全觀念和必備技術���,必須進行加強。7)有關部門監管的力度落實相關責任制��,對計算機網絡和信息安全應用與管理工作實行“誰主管��、誰負責��、預防為主��、綜合治理���、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制�,加強制度建設,逐步實現管理的科學化�����、規范化���。8)辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作��。因此,建議計算機管理員在每次維護的過程中,可以適當地把故障產生的原因和維護辦法以及注意事項向辦公人員做以講解��。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策�����。這樣,既能提高工作效率,又能降低故障,還能避免重復維護�����。
2.2技術維護措施
1)操作系統因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新���,因此要及時升級并打上最新的系統補丁����,嚴防網絡惡意工具和黑客利用漏洞進行入侵��。2)按要求安裝防病毒軟件�、補丁分發系統、移動存儲介質管理系統等安全管理軟件���,進行安全加固���,未經許可�,不得擅自卸載����。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒�,保障信息系統的安全。及時升級防病毒軟件�����,加強全員防病毒����、木馬的意識,不打開�����、閱讀來歷不明的郵件�����;要指定專人對網絡和主機進行惡意代碼檢測并做好記錄,定期開展分析�����;加強防惡意代碼軟件授權使用���、惡意代碼庫升級等管理。在信息系統的各個環節采用全面的防病毒策略�����,在計算機病毒預防����、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度��,有效地防止和抑制病毒的侵害����。3)防火墻是用于將信任網絡與非信任網絡隔離的一種技術���,它通過單一集中的安全檢查點��,強制實施相應的安全策略進行檢查����,防止對重要信息資源進行非法存取和訪問�����。電力系統的生產�、計量、營銷����、調度管理等系統之間,信息的共享�����、整合與調用��,都需要在不同網段之間對這些訪問行為進行過濾和控制�,阻斷攻擊破壞行為,分權限合理享用信息資源����。采用防火墻或入侵防護設備(IPS)對內網邊界實施訪問審查和控制,對進出網絡信息內容實施過濾��,對應用層常用協議命令進行控制����,網關應限制網絡最大流量數及網絡連接數。嚴格撥號訪問控制措施��。4)對操作系統和數據庫系統用戶進行身份標識和鑒別�,具有登錄失敗處理,限制非法登錄次數�,設置連接超時功能;用戶訪問不得采用空賬號和空口令���,口令要足夠強健�,長度不得少于8位���,并定期更換,計算機帳號和口令要嚴格保密����,用戶短時離開要啟動帶口令的計算機屏幕保護程序或鎖定計算機����,長時間不使用計算機���,必須將計算機關機,以防他人非法使用�。5)要執行備份管理制度,對重要數據進行備份�����。加強對數據和介質的管理��,規范數據的備份���、恢復以及廢棄介質��、數據的處理措施。6)對于辦公計算機而言,每天都要在辦公區高頻地收發處理文件����,特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下,破壞力極強�。可通過批處理程序在開機時把驅動加進去,然后關機時恢復原來設置���;或通過組策略設置不自動打開U盤��,然后啟用殺毒軟件掃描����。
第7篇
1.1企業信息安全管理的隱患
信息安全管理涉及油田生產、數據保存�、辦公區域保護等多個層面,在信息化時代�,油田企業需要加強信息化網絡安全管理?��,F階段�����,油田企業信息安全管理的漏洞包括:①信息安全管理制度不健全���,缺乏細化、具體化的網絡安全措施���,針對員工不合理使用信息設備��、網絡的懲罰機制不健全�。②部分管理人員和員工信息素養較低��,如他們不能全面掌握部分軟件的功能�,不重視企業網絡使用規范�,且存在隨意訪問網站,隨意下載文件的現象����,增加企業網絡負擔,影響網絡安全�。③信息系統管理員缺乏嚴格的管理理念。石油企業信息網絡系統都設有管理員崗位���,負責企業內部網絡軟硬件的配備與管理�����,但現階段�,該職位員工缺乏嚴格的管理理念����,不能及時發現和解決信息安全隱患�����。④為方便員工使用移動終端設備辦公上網,石油企業辦公區域也設置了無線路由器����。但是,員工自身的手機等設備存在很多不安全因素���,會影響企業網絡安全性��。
1.2病毒入侵與軟件漏洞
網絡病毒入侵通常是通過訪問網站����、下載文件和使用等途徑傳播�����,員工如果訪問不法鏈接或下載來源不明的文件,可能會導致病毒入侵�,危害信息安全�����。病毒入侵的原因主要有兩方面��,一方面,員工的不良行為帶來病毒����;另一方面���,系統自身的漏洞導致病毒入侵����。由此看來��,油田企業信息化軟件自身存在的漏洞也具有安全隱患�。其中,主要包括基礎軟件操作系統���,也包括基于操作系統運行的應用軟件�����,如Office辦公軟件、CAD制圖軟件����、社交軟件�、油田監控信息系統����、油田企業內部郵箱、財務管理軟件���、人事管理軟件等���。
1.3網絡設備的安全隱患
現階段,油田企業網絡設備也存在不安全因素��,主要表現在兩方面:第一���,油田企業無論是辦公區還是作業區����,環境都較為惡劣��,部分重要企業信息網絡設備放置環境的溫度�、濕度不合理�����,嚴重影響硬件的使用壽命和性能,存在信息數據丟失的危險�����;第二����,企業內部網絡的一些關鍵環節尚未引入備份機制���,如服務器硬盤�,若單個硬盤損壞缺乏備份機制�,會導致數據永久性丟失。
2提高油田企業網絡安全策略
2.1加強信息安全管理
基于現階段油田企業信息網絡安全管理現狀���,首先��,油田企業要重新制定管理機制���,對各個安全隱患進行具體化�、細化規范,包括員工對信息應用的日常操作規范,禁止訪問不明網站和打開不明鏈接��。其次���,油田企業要強化執行力����,摒除企業管理弊端�����,對違規操作的個人進行嚴厲處罰����,使員工意識到信息安全的重要性,提高其防范意識和能力���。再次���,油田企業要招聘能力強、素質高的信息系統管理員�����,使其能及時發現和整改系統安全隱患��。最后�,對員工使用智能終端上網的現象,則建議辦公區配備無線路由器的寬帶與企業信息網絡要完全隔離��,以避免對其產生負面影響����。
2.2加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現階段���,油田企業的網絡建設雖然引入防火墻設備����,但沒有合理利用�����。因此�,油田企業要全面監管和控制外部數據��,防止不法攻擊���,防止病毒入侵����。同時���,定期更新防火墻安全策略�����。(2)對企業數據進行有效加密與備份�。對油田企業來說��,大部分數據具有保密性��,不可對外泄密�。因此,企業不僅要做好內部權限管理�����,還應要求掌握關鍵數據的員工對數據做好加密和備份工作��。在傳輸和保存中利用加密工具進行加密���,數據的保存則需要通過物理硬盤等工具進行備份���。有條件的企業�,可在不同地區進行備份�,以防止不可抗拒外力作用下的數據丟失。(3)合理使用殺毒軟件����。企業要對內部計算機和移動終端安裝殺毒軟件,并高效運行�����,以加強對病毒的防范���。
2.3提升網絡設備安全
(1)由于油田企業內部信息網絡規模較大,設備較多且部署復雜�����。因此��,要及時解決硬件面臨的問題�����,定期檢查維修��,提高硬件設備安全性�����。定期檢修能準確掌握網絡設備的運行狀況���,并能及時發現潛在隱患����。(2)對處于惡劣環境中的網絡設備�,包括防火墻、服務器�����、交換機���、路由器等,盡量為其提供獨立封閉的空間���,以確保溫濕度合理�����。
3結語
