前言:中文期刊网精心挑选了工业企业网络安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
工业企业网络安全范文1
企业办公网络存在的问题
(一)算机网络的安全性和开放性存在的问题
现代社会,由于计算机网络的全球性、开放性发展,使得上网普及到人们的生活和学习中去,其作用与影响力远远超出了人们的想象,他深入到社会和生活的方方面面,一旦瘫痪而不能正常工作,严重影响人们的生活质量,也使得无纸化办公成为空想。从网络办公的安全现状出发,把安全建设环境的重要性提到日程上面来。
(二)网络犯罪和恶意无意病毒入侵与构建绿色网络存在的问题
现代,由于时代的发展,在计算机方面愈多优秀人才。他们利用自身的优势,深入企业内部窃取资料信息,非法获取利润。更有之,利用全网开放性特征,以歪门邪道入侵公司或银行网站,非法谋取暴利[1]。
企业办公网络的安全管理
(一)建立网络预警制度,做好安全防范
新形势下,构建企业办公网络,做好日常防护,扩大社会主义精神文明建设,利用网络办公,提高员工工作效率。“凡事预则立,不预则废”,无论是一个企业还是个人还是整个国民经济。建立良好的预警和防御机制,防范与未然。统观网络全局,首先建立网络预警制度,制止黑客入侵,,从系统层面最大程度降低危害。对于网络维护方面的专业技师来说,谎报的网络预警机制,会将他们对网络的安全失掉警惕心。这就很大程度上的致使黑客入侵,给办公网络造成毁灭性的打击。(二)合理配置网络信息资源
对于一立的计算机,必须首先安装防毒软件,对于整个网络系统,必须要有全方位的防病毒方案。办公网络的技术维护人员,首先要设置好防火墙,及时地修复网络漏洞。安装杀毒软件并在使用中定期升级软件版本。对服务器系统管理员的账号和密码进行管理,防止网络黑客对办公网络的破坏。一旦防火墙检测到异常数据包,则直接丢弃,有效的防止病毒木马的传播,有效的保护整网的安全和稳定,发动联动机制,确保安全是第一位的。一般企业网络维护师只注重外域网的文件及防范数据包,排除不安全隐患的重心都投在那上面――内域网上。因管理员有意或者无意泄露甚至故意用黑客控制内域网全员,这是最大程度上对网络资源的威胁。网络信息资源固然是共享的,但一般用户安全意识都比较淡薄,在日常的收发邮件中,甚至被黑客恶意跟踪。需要利用服务器和防火墙将二者相对应的防毒软件制成一系列完整全面的网络结构平台,对企业的办公网络体系和资源进行有效的配置和科学的管理,同时也可将远程管理落实到实处。
(三)有效地防治病毒
系统管理员应充分考虑计算机正在运行的实时性防毒软件的防毒效果和功能是否能保证系统的安全。再次分析,企业若不能按时治理好病毒防治,会否造成网络的瘫痪及对企业造成的财产损失估价。大量统计数据显示,引起网络不安全的因素主要是网站维护者自身。首先他们缺乏必要的安全意识,在网上随意浏览网页,及网络下载资源的不合理。在对外界进行数据交换时,管理和控制不到位,辨识不清盗版软件。
(四)做好计算机数据修复技术
企业办公网之间除了自己正常的办公以外,还与其他主机相连,一旦遭遇黑客木马袭击,直接影响联机的全网安全。需做好计算机日常维护工作,定期清理磁盘,扫除垃圾文件。如果系统瘫痪或重要数据丢失,恢复的难度有多大,费用有多高。首先需要对硬件进行全面体验,针对自身企业的IT设备维修标准及制度,保证网络系统的安全。现在很多企业由于缺少专业的网络维护人员,各人员使用的操作系统均限于单机杀毒软件,使得企业办公网络的维护变得千差万别,使得企业的安全管理变得极为复杂,企业的重要数据一旦泄露,遭到恶意攻击之后,将会带来极大的损失。
总结
工业企业网络安全范文2
随着我国计算机网络技术的不断进步,基于网络业务系统的开放网络环境,给人们的生活工作带来了极大的方便,同时也促进企业的发展,人们在享受网络方便的同时,网络安全问题也越来越引起人们的重视。电力行业作为我国社会发展的动力来源,从2002年电力行业市场改革以来,电力行业在迅猛的发展。国家电网公司也提出:电力行业的发展应以科学技术为基础,逐渐实现电力行业的信息化和现代化,因此,网络信息系统的建设就迫在眉睫。目前我国供电企业内部还存在许多安全问题,如供电公司网站被破坏、信息被窃取等,这些问题都严重影响供电企业的正常发展,为了保证信息的安全性,目前大多采用加密技术、认证技术等,但是这些技术只能作为一般的预防,不能保证信息的完整性。而随着数字签名技术的发展,由于其自身的独特优势,可以很好的解决供电企业内部网络安全问题,最终促进供电企业快速健康的发展。
2数字签名技术
数字签名技术的基础是公开密钥加密技术,其核心是借助加密技术的加密和解密算法体制来完成信息的数字签名。通俗说,数字签名就是数据单元上附加的一些数据,或者是对数据单元进行密码变换,该数据变换可以使数据接收人员对数据单元的来源及数据完整性进行确认,并对数据进行保护,避免被人伪造。签名机制本质性的特征是此签名只能借助签名人员的私有信息才能产生,即签名人员的签名只有他自己能够唯一产生。当信息的收发双方出现争议时,第三方的仲裁机构只能依据消息的签名来裁定该消息的真正发送方,来完成抵赖性的安全服务。
2.1数字签名的特点
①数字签名可以保障数据的完整性。若数据在传输过程中被修改或数据本来就是伪造的,就不能够通过接受方数据签名的认证。②数字签名有不可抵赖性。数据的发送方对于他曾经发送的信息是不能抵赖的,因为其他人是不能对其数字签名进行伪造的。
2.2数字签名原理
数字签名技术使用的基本程序是:发送方通过自己的私钥对要发送的信息进行身份加密,接收方通过发送方的公钥来解密发送方的身份,这样就完成了信息的抗否定性;发送方通过接受方的公钥对要发送的信息进行加密,接受方通过自己的私钥对接收的信息进行解密,这样就可以实现信息传输的安全。
3数字签名技术在供电企业内部网络中的应用
随着供电企业规模的不断扩大以及供电企业信息化的逐渐应用,供电企业内部网络和互联网的联系越来越紧密,对于省、市级供电企业,一般会在开放的网络环境中信息,其安全体系直接影响着企业的正常运转。而基层供电企业,在负责人签字、文档传送等环节上容易存在安全隐患。基于以上问题,数字签名技术在保证供电企业信息的完整性、可靠性、机密性等方面具有独特的优势。
3.1多人签字
在供电企业实际运转过程中,在报文传输中,通常会出现多人在同一报文上进行签字。多人数字签名一般通过以下方法实现:首先在供电企业内部设立一个签名的顺序,在进行下一个人员签字时,只需要验证上一个是否签名,如果已经获得批准。每个签名的人员都可以知道前后人员的公开密钥,最后签名的只需把完成后边的信息发送出去就可以了,而发送的信息已经被私有密钥进行加密。而接收方可以利用自己的秘密钥匙对信息记性解密,可以产生一个数字签名。如果验证成功,就会从签名次序中分离下一个签名,从而进行验证工作。验证签名以及数字签名的整个循环过程,不管是发送者还是接受者,都应该知道对方的公开密钥,对整个签名进行验证工作,保证信息的安全性。对基层供电企业内部局域网信息系统来说,存在着人员少的特点,可由用户被授权生成独有密钥时,进行统一管理分配工作,保证供电企业内部网络的安全性。
3.2应用数字加密及签名
数字签名技术的应用虽能够保障信息的真实性和完整性,但是该技术并不能对信息传输的保密性进行保障,信息内容能够被知道发送方公钥的任何人阅读。为了保障网络通信的安全,确保传送信息的保密性、不可抵赖性以及完整性,就要对传送的信息实行数字签名及数字加密。该方式的特点是:①通信的保密性好。接收方之外的第三方是不能获取传输的信息的,因为信息的接收方公开密钥是进行加密的,只有通过接收方私有密钥才可以进行解密。②可以保障信息的完整性。一旦传输的信息在传送中被伪造或者修改,就不能够通过接收方数字签名的验证。③不可抵赖性。发送方是不能对其曾发过的信息进行抵赖的,因为别人是不能对其数字签名进行伪造的。
3.3加强密钥管理与分配
供电企业中,由于应用系统使用广泛,如财务系统等,信息的保密程度不同,因此,访问权限也不同。为了防止某些用户出现越权访问的现象,应该建立用户身份和权限的识别机制,因此,对于密钥的管理和分配应进行严格监督,随着公开密钥技术在网络应用中的规模不断扩大,用户也在不断增长,需要建立一个完善的PIK体系来解决这些问题。从公共密钥管理角度出发,数字证书作为一个媒介,通过PIK系统对证书等进行管理,建立一个安全的网络环境。从而使数字签名技术在供电企业内部网络安全中发挥最大的作用。
4结语
工业企业网络安全范文3
【关键词】:信息;网络;安全管理;策略
1 引言
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,我供电公司也在由企业信息化向信息化企业不断的迈进。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。计算机病毒的泛滥;木马程序带来安全保密方面的隐患;易受黑客攻击特别是洪流攻击;垃圾邮件阻塞网络等各类网络安全的威胁开始蔓延到应用的环节,其中Windows占70%,UNIX占30%。因此网络的信息安全防护是一个至关重要的问题,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。网络的安全防护措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。本次调研也正是基于此目的。
2 信息网络安防的加密策略和安全策略技术
2.1 目前计算机信息网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;还有可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有以下三种:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,恶意的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善导致的。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
2.3 计算机信息网络的安全策略
(1)物理安全策略。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
(2)访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
3 安防管理措施
针对我供电公司目前的网络现状,提出以下几点安防管理措施。
3.1 入网访问控制
入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。用户帐号只有系统管理员才能建立,管理员对普通用户的帐号使用进行控制和限制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。同时对所有入网用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,给出报警信息。
3.2 网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以通过访问控制表来描述。
3.3 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权 限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。网络系统管理员为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
3.4 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
3.5 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
3.6 防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
工业企业网络安全范文4
关键词:县级电力企业;信息网络安全;安全策略;防病毒
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 15-0000-02
1 前言
随着信息化时代的到来,企业内部的信息化和网络化的应用逐渐广泛。电力行业作为国民经济的重要组成部分,电力已经在人们的正常生活中不可缺少。电力系统的是否安全可靠,关系着国民经济的发展,更影响着人们的日常生活。然而电力企业信息网络的发展还不健全,尚存在很多安全问题。这些问题正是黑客和病毒入侵的目标。县级供电企业是整个电力企业的基本单位,只有保证县级供电企业信息网络的安全,才能使整个电力行业正常的运行,因此对其信息网络安全的研究受到越来越多的关注。
2 信息网络安全概述
信息网络安全是指运用各种相关技术和管理,使网络信息不受危害和威胁,保证信息的安全。由于计算机网络在建立时就存在缺陷,本身具有局限性,使其网络系统的硬件和软件资源都有可能遭到破坏和入侵,严重时甚至可能引起整个系统的瘫痪,以至于造成巨大的损失。相对于外界的破坏,自身的防守时非常艰巨的,必须保证每个软件、每一项服务,甚至每个细节都要安全可靠。因此要对网络安全进行细致的研究,下面介绍其特征:
2.1 完整性
主要是指数据的完整性。数据信息在未经许可的情况下不能进行任何修改。
2.2 保密性
未经授权的用户不能使用该数据。
2.3 可用性
被授权的用户可以根据自己的需求使用该数据,不能阻碍其合法使用。
2.4 可控性
系统要能控制能够访问数据的用户,可以被访问的数据以及访问方式,并记录所有用户在系统内的网络活动。
3 我国县级供电企业信息网络系统安全存在的问题
3.1 网管技术水平低
县级供电企业的网络系统采用的防毒软件与上级企业的不统一。有些采用单机版的防毒软件,然而这种软件对如此庞大的信息网络防护能力有限,并不能达到应用的保护作用;有些采用专业的安全产品,但相关的技术人员没有相应的技术,不能很好地运用这些软件,使其不能发挥保障网络安全的作用,系统网管的技术水平有待提高;有的企业甚至没有部署相关的安全产品,更不能保护网络安全。这些都要求提高系统网管的技术水平。无论是在维护网络系统硬件设施,建立和更新数据信息,还是在系统遭到威胁时及时地进行防护,都需要相应的技术作为支撑。
3.2 系统设备和软件存在漏洞
网络系统的发展时间很短,因此其操作系统、协议和数据库都存在漏洞,这些漏洞变成为黑客和病毒入侵的通道;存储介质受到破坏,使系统中的信息数据丢失和泄漏;系统不进行及时的修补,采用较弱的口令和访问限制。这些都是导致信息网络不安全的因素。网络是开放性的,因此非常容易受到外界的攻击和入侵,入侵者便是通过运用相关工具扫描系统和网络中的漏洞,通过这些漏洞进行攻击,致使网络受到危害,资料泄露。
3.3 制度不完善
目前对于信息网络的建立,数据的使用以及用户的访问没有完善的规章制度,这也导致了各个县级供电企业信息网络系统之间的不统一,在数据传输和利用上受到限制。同时在目前已经确立的信息网络安全的防护规章制度的执行上,企业也不能严格的执行。
4 提高网络安全方法
4.1 网络安全策略
信息网络是一个庞大的系统,包括系统设备和软件的建立、数据的维护和更新、对外界攻击的修复等很多方面,必须各个细节都要保证安全,没有漏洞。然而很多供电企业,尤其是县级企业并没有对其引起足够的重视,只是被动地进行防护。整体的安全管理水平很低,没有完备的网络安全策略和规划。因此要想实现信息网络的安全,首先需要制定一个全面可行的安全策略以及相应的实施过程。
4.2 提高网络安全技术人员技术水平
信息网络的运行涉及很多方面,其安全防护只是其中一部分,因此在网络安全部分要建立专业的安全技术队伍。信息网络中的一些系统和应用程序更新速度不一致,也会造成网络的不安全。一般企业的网络管理员要兼顾软硬件的维护和开发,有时会顾此失彼,因此要建立更专业的安全技术队伍,使信息网络的工作各有分工,实现专业性,提升整体网络安全技术水平,提高工作效率。
4.3 完备的数据备份
当信息网络受到严重破坏时,备份数据便发挥了作用。不论网络系统建立的多完善,安全措施做得多到位,保留完备的备份数据都是有备无患。进行数据备份,首先要制定全面的备份计划,包括网络系统和数据信息备份、备份数据的修改和责任人等。备份时要严格按照计划进行实施。还要定期的检查备份数据,保证数据的完整性和实时性。同时网络管理人员的数据备份和恢复技术的操作要很熟练,这样才能保障备份数据的有效性。
4.4 加强防病毒
随着网络技术的发展,网络病毒也越来越多,这些病毒都会对信息网络造成或多或少的危害。防病毒不仅需要应用专业可靠的防毒体系,还要建立防火墙,屏蔽非法的数据包。
对于防毒,在不同的硬件上要安装相应的防毒程序。例如工作站上应该安装单机的防毒程序;主机上则安装主机防毒程序;网关上安装防病毒墙;而这些不同的防毒程序的升级可以通过设立防毒控制中心,统一管理,由中心将升级包发给各个机器,完成整个网络防毒系统的升级。这样有针对性的防毒程序能更有效的进行病毒防护。
防火墙可以通过检测和过滤,阻断外来的非法攻击。防火墙的形式包括硬件、软件式和内嵌式三种。内嵌式防火墙需要与操作系统结合,性能较高,应用较为广泛。
5 具体措施
5.1 增强管理安全
在网络安全中管理是最重要的,如果安全管理制度不完善,就会导致正常的网络安全工作不能有序实施。信息网络的管理包括对网络的定期检查、实时监控以及出现故障时及时报告等。为了达到管理安全,首先,要制定完整详细的供电企业信息网络安全制度,并严格实施;其次,对用户的网络活动做记录并保存网络日志,以便对外部的攻击行为和违法操作进行追踪定位;还应制定应急方案,在网络系统出现故障和攻击时及时采取措施。
5.2 网络分段
网络分段技术是指在网络中传输的信息,可以被处在用以网络平台上其他节点的计算机截取的技术。采用这种技术可以限制用户的非法访问。比如,黑客通过网络上的一个节点窃取该网络上的数据信息,如果没有任何限制,便能获得所有的数据,而网络分段技术则可以在这时,将黑客与网络上的数据隔离,限制其非法访问,进而保护了信息网络的安全。
5.3 数据备份
重要数据的备份是网络安全的重要工作。随着网络技术的迅速发展,备份工作也必须要与之一致,保证实时性和完整性,才能在出现紧急问题时发挥其应有的作用,恢复数据信息。整个庞大的信息网络,备份的数据量也是很大的,要避免或减少不必要的备份;备份的时间也要恰当地选择,尽量不影响用户的使用;同时备份数据的存储介质要选择适当。
5.4 病毒检测和防范
检测也是信息安全中的一个重要环节。通过应用专业的检测工具,对网络进行不断地检测,能够及时的发现漏洞和病毒,在最短时间内采取相应的措施。
病毒防范技术有很多,可以先分析网络病毒的特征,建立病毒库,在扫描数据信息时如果对象的代码与病毒库中的代码吻合,则判断其感染病毒;对于加密、变异的不易扫描出来的病毒可以通过虚拟执行查杀;最基本的还是对文件进行实时监控,一旦感染病毒,及时报警并采取相应的措施。
6 结束语
供电企业信息网络安全涉及的范围很广,且由于信息化和网络化的高速发展,其安全措施也要与之发展速度相一致。县级供电企业作为电力行业的基本单元,也是供电企业信息网络安全工作的基本单元,而网络的发展时期还很短,尚存在很多问题,因此其网络安全工作任重而道远。要保证信息网络的安全,第一,要制定完善可行的网络安全策略,并在日常工作中严格执行;第二,提高网络安全技术队伍的技术水平,采用先进有效的安全技术;第三,制定健全的数据备份制度,建立完备的备份数据,并及时更新,保证其实时性和完整性;第四,采取防病毒措施,实时监测病毒是否入侵,一旦发现,立即报警并进行处理。
信息网络的安全是个永久的问题。企业必须根据网络和信息的发展,不断地改善网络安全策略和措施,才能保证数据信息的完整和安全。
参考文献:
[1]赵江华,杨双吉,贾海锋.县级供电企业信息网络安全的探讨[J].华北水利水电学院学报,2011,4
[2]许彬,杨伯超.县级供电企业网络安全架构初探[J].湖南电力,2006,1
[3]汤宁平.供电企业业务网络安全解决方案[J].宁夏电力,2009,1
工业企业网络安全范文5
关键词: 网络信息安全; 计算机; APT; 安全防御; 恶意威胁
中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;
2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security; computer; APT; safety defense; malicious threat
0 引 言
随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。
目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
1 概 述
从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。
通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。
本文主要针对第三点展开论述,研究包括高级持续威胁(APT)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。
2 信息安全的攻防新技术
电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。
经过分析,目前针对电网企业的新型攻防技术有如下几类:
2.1 高级持续威胁攻击与防护技术
高级持续威胁(APT)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。
根据APT攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。
2.1.1 基于沙箱的恶意代码检测技术
恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。
2.1.2 基于异常的流量检测技术
传统的入侵检测系统IDS都是基于特征(签名)的深度包检测(DPI)分析,部分会采用到简单深度流检测(DFI)技术。面对新型威胁,基于DFI技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。
2.1.3 全包捕获与分析技术
由于APT攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(FPI),借助海量存储空间和大数据分析(BDA)方法,FPI能够抓取网络定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。
2.2 漏洞扫描技术
漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。
2.2.1 基于网络的安全漏洞扫描技术
基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。
2.2.2 基于主机的安全漏洞扫描技术
基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。
基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。
3 基于最小攻击代价的网络防御有效性分析策略
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。
在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如Web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。
最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。
攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。
攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。
4 网络防御有效性分析应用
假设在电网企业复杂网络环境场景下存在一类新型的APT攻击,网络中使用两种策略A,B进行攻击防御。策略A采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价,并进而对APT防护效果进行分析。
4.1 策略选取
4.1.1 策略A
图1为一个简化的复杂网络环境实例拓扑,其中DMZ区部署的Web服务器为内、外网用户提供Web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:
(1) 只允许地市局局域网用户访问DMZ区Host2(H2)上的IIS Web服务和Host3(H3)上的Tomcat服务;
(2) DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4(H4)上的Oracle DB服务;
(3) 禁止H2和H3访问Domino服务器Host5(H5);
(4) H5允许访问DMZ的H2和H3及IDC区的H4。
4.2 效果分析
通过上述计算结果表明,在应用策略A与B情况下,局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93, 0.93,0.979)。在策略A的情况下,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DMZ或IDC服务器的系统权限,从而造成较大的危害。而增加APT防护设备之后,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。
策略A与策略B的对比结果表明,在DMZ区域有APT防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。
5 结 语
在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。
参考文献
[1] 高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.
[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.
[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.
[4] 吴迪,冯登国,连一峰,等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报,2012,23(7):1880?1898.
工业企业网络安全范文6
关键词:网络;安全;信息化
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30654-02
The Design and Implementation of Group Network Platform
WANG Fei, SHI Yun-yu, XUE Xun-ming, CHEN Kai
(China Tobacco Anhui Industrial Corporation Hefei Cigarette Factory,Hefei 230081,China)
Abstract:In the current economic situation,enterprise reorganization surges wave upon wave, trans-region management or the transnational management has become the inevitable trend of enterprise's development.Because of the collective operation pattern and the decentralization characteristic of organization layout, enterprise must use the information technology to enhance the ability to remote management. But under the traditional management pattern,metropolitan area network has been unable to adapt the need of communication between the regions.The author works in the tobacco enterprise, this text mainly discusses the design and implementation of the reorganized group network platform.
Key words:network; security; information
1 引言
21世纪的企业竞争益发呈现出大鱼吃小鱼,快鱼吃慢鱼的特征。为了应对企业之间这种日益激烈的竞争,企业纷纷加大整合与并购力度以增加规模优势,同时对企业组织机构与流程进行再造与优化。而上述这些变革都必须依靠信息化手段才能实现,尤其是跨地域集团企业对这方面需求尤其迫切。
笔者在烟草企业工作,以烟草行业为例,针对企业联合重组的信息化业务要求,着重从网络的系统结构、服务质量及必要的安全性与稳定性方面来探讨基于集团架构模式下城际间网络平台的设计、实现及应用管理。
2 现状及需求分析
2003年前后,中国烟草先后实现工商分设,工业系统又进行了大范围的联合重组与品牌整合,各类信息系统的深入研究与实施,极大的优化了企业资源配置,但网络环境基本没有改变,实时性、稳定性、安全性以及可管理性都无法满足企业的发展要求。具体主要体现在以下几个方面:
2.1 网络结构无法满足应用要求
中烟工业企业局域网络组建较早,全省五家工业企业网络均通过2~4M的SDH线路与商业公司网络核心连接,不论是办公自动化系统、视频会议应用,还是企业之间的数据传输,都必须得依托于商业公司的网络载体,尤其是工商分设后,中烟工业公司网络应用更趋集中,但与其他分支企业的数据通讯以及因特网业务仍然是通过商业公司中转,从而形成网络应用的瓶颈,并且造成工商业务重点与系统维护要求上的矛盾。
2.2 网络应用与边界服务质量未能优化
虽然当初各工业企业网络方案设计时,已充分考虑到扩展性及冗余性要求,但随着业务系统的增多,无论是企业内还是企业边界,网络服务质量可能都不高,性能上也未必能满足扩展后的应用要求。如视频会议、办公自动化,生产经营决策、EAS等等,都是工业企业的一些常规信息应用,这些业务的访问量及其对网络带宽实时性要求都各不相同,重要性也存在区别,如何根据实际需要来合理分配网络资源,提高网络服务质量?这是现行网络系统无法解决且需要认真考虑的问题。
2.3 系统网络无法管理,诊断维护上难以界定
目前,中烟工业公司核心设备均部署在公司内部,与其他工业企业的连接则是通过商业公司线路中转。因为工业公司与商业公司的业务侧重点不同,对于应用中存在的网络故障或服务器应用问题,很大程度上就必须依靠商业公司技术人员协助解决,而某些测试调试工作则可能与其工作要求不太相符,或是存在矛盾,从而造成问题无法界定,故障难以及时解决。
2.4 硬件链路的安全冗余及边界的基本防护
烟草行业信息化建设时间并不算很长,许多应用都是在不断的摸索中前进。面对烟草行业深层次改革与信息化程度的不断提高,网络与信息安全变得越来越重要。但由于烟草分支工业网络组建相对较早,部分核心链路上的冗余未能进行完全部署,安全上仅在公司企业边界部署了部分防火墙设备,防范功能不完善,设置上也不够细化,一旦商业公司网络维护或是分支机构病毒爆发,都可能影响到整个工业企业的生产运行与数据传输,损失将不可估量。
3 系统建设目标与设计原则
根据当前烟草企业信息化实施情况及业务系统的运行情况来看,参照网络七层协议模型,中烟系统网络设计需要着重从应用、安全、管理及服务质量等几个方面进行整体考虑,合理利用并完善现有资源与网络,最终构建成一个独立、稳定、安全、可靠的高性能广域网络。
3.1 设备选型原则
中烟系统广域网需要充分满足省内工业企业之间信息传递的稳定性与集中性管理要求,并适当考虑未来几年企业发展与系统扩展问题。因为中烟系统中心网络需要能快速的处理核心数据,而对系统内部路由设置要求相对比较简单,仅需实现几家分支企业的互联,考虑到网络设备的长期维护与工作协同性问题,核心路由交换机仍然采用思科品牌的7609。对于防火墙设备可以针对不同工业企业分支的应用情况,采用思科、天融信或者fortigate等品牌防火墙。对于防病毒系统,趋势网络版有时很难及时发现病毒,对于木马的查杀效果一般,而瑞星可能有时占用资源较多,所以从病毒查杀处理能力与应用性能方面考虑,我们采用卡巴斯基网络版与服务器版相结合的方式进行基本的防护。
3.2 链路(功能)结构设计原则
根据中烟工业公司的统一规划与部署,中烟办公室与中烟机房的位置位于同城的不同地点,距离相差几公里。由于地理位置上的限制,若要实现集中监控与管理的目的,结构上可以考虑租用电信裸纤,完成中烟机房与中烟公司总部之间快速链路通讯。另一方面,为了便于远程维护,中烟机房与省内其他工业企业之间的链路需要进行调整,将工业企业原先接至商业中心机房的SDH线路移接到中烟中心机房,并根据实际需要考虑是否进行带宽的扩展。同时,为了建设工业系统自身独立的广域网系统,还需要考虑中烟工业公司与国家局链路的直连,然后根据工商间协商情况,考虑利用工业与商业公司之间的链路,实现工业与商业网络的应急备份冗余要求。
3.3 系统部署原则
基本的网络硬件搭建完成后,需要有一定的规则与协议进行管理与控制,以保证良好的传输性能。中烟系统网络的路由选择协议需要能满足快速性、稳定性、灵活性及扩展性的大型网络设计要求。根据行业网络实际情况及各种协议的优缺点对比分析,OSPF则具有较高的效率,产生的网络开销少,且对链接失败的响应速度非常快,可以很好地扩展到大型网络,对中烟网络系统的整体部署具有较强的适用性。
3.4 安全管理原则
因为中烟工业系统机构布局较为分散,各分支企业的网络安全产品及防范情况也各有不同,为了保证中烟工业系统网络核心服务的安全与稳定,所以有必要对系统网络进行安全管理与防护。原则上,中烟系统网络核心与分支机构之间需要部署防火墙与防病毒产品,对必要的危险端口进行阻断,并设置安全访问列表与服务端口,以降低相互间病毒传播的风险。
4 整体方案设计
4.1 网络拓扑与结构设计
中烟系统广域网络负责全省工业企业数据业务的通讯,其承载的内容主要包括视频会议、视频监控、生产业务应用及办公系统等,由于这些应用服务相对比较集中,且稳定性要求较高,所以网络核心应侧重于高性能的数据处理能力,且得有链路冗余。为此我们采用二台CISCO7609作为核心并形成备份,各分支工业企业分别通过2M的SDH线路接至不同的7609上,以达到链路冗余与负载均衡的应用目的。同时,为了能够形成工商之间的数据业务互通与网络应急备份,我们将中烟系统7609通过4M的SDH线路或裸纤租用的方式与商业的网络核心7507进行互连,以保证省内各项信息业务的畅通,以及灾难情况下的网络核心冗余备份。
另一方面,由于各分支工业企业与国家局已经有自己独立的局域网,所以可直接将分支企业及国家局路由器与核心7609连接,并通过7609上的防火墙模块进行基本的隔离与防护。而对于核心服务器区域,由于其安全性要求较高,所以也可单独配置一台具有防病毒功能的千兆防火墙设备与7609进行连接,并进行安全访问设置,实现办公区域与服务器区域的分离保护。 同时,为了实现因特网互联服务,需要单独开通服务器区域100M宽带上网服务,通过某些支持病毒与入侵检测功能的防火墙对网络流量进行限制与保护。
简单拓扑结构示意图如图1所示。
4.2 系统部署与实施
高性能的网络需要有强大的硬件作为支撑,同时也需要软环境上的合理设置,并在安全上进行必要的防范。因而在系统网络组建过程中,可考虑结合以下几个方面进行部署实施:
(1)对核心网络设备及分支设备的路由选择协议、网络区域及地址分配情况进行设置,包括链路冗余与负载均衡设置,以实现故障时备份路由的快速切换。
图1 简单系统网络拓扑结构示意图
(2)对办公计算机及服务器区域设备进行网络防病毒软件的部署与逻辑网段的划分,以尽可能降低病毒的影响范围。
(3)对核心设备进行分类流量设置及防火墙模块访问的策略设置,根据应用情况合理分配网络带宽资源,并限制必要的地址与服务访问范围,过滤部分垃圾信息,以提高设备的网络服务质量。
(4)部署7609上的入侵流量分析模块,重点对服务器区域及网络边界进行检测与分析,尽量做到预先诊断并进行控制。而对于其他部分的入侵流量检测或未经过核心设备的异常流量,可视7609上流量分析模块的资源占用情况而定,也可结合其它入侵检测系统或监测软件进行考虑。
4.3 系统性能测试
中烟系统广域网基本上是一个新建的系统,涉及的内容和范围较多,如何保证这些系统或产品之间协同工作,判断其工作性能是否达到了我们的应用要求,这需要有套测试体系:首先,对于网络链路上的冗余功能或备份路由进行模拟测试。其次,分段对服务器区域设备或其他分支企业设备进行并发连接与下载性能测试,根据实际情况可考虑结合某些测试软件进行。第三、对防火墙设备的访问列表及相关策略进行分类测试,包括部分防病毒软件与流量分析模块的应用与升级测试。第四、通过试运行观察相关功能模块的作用是否符合要求。
除此之外,可能还有其他的一些专业的性能指标或测试方法,需要结合业主实际需要进行了解与考虑。
4.4 网络系统管理与维护
中烟系统广域网络由于分支企业计算机较多,因而需要进行分级管理,而为了保障企业核心应用的服务安全,可考虑结合以下几个方面进行完善:
首先,应统一计算机信息库管理,包括人员、地址、计算机基本配置信息等,对于变动或移动计算机,需要进行统一登记与更新办理。
其次,对于统一部署的网络防病毒软件及入侵检测与流量分析系统,实现统一监控管理,辅助进行预先诊断与控制。
第三,加强互联网的访问监控与分类流量限制,考虑进行域管理及上网行为管理的部署实施,对客户端用户进行权限控制,防止不必要的流量下载与病毒传播。
第四,部署远程程序安装及漏洞补丁分发软件的部署,及时对客户端进行软件升级或补丁安装,提高安全性。
第五,根据重要性要求,对不同分支企业或区域内的计算机进行逻辑分段管理,设置特定的访问权限,对部分区域进行隔离保护。
第六,配合进行网络管理平台的搭建与日志服务器系统的建立,对路由交换及服务器设备的运行情况及端口状态、地址故障等信息进行记录,以便排错跟踪。
第七,结合部分网络分析与测试软件,辅助进行抓包分析,对出现的异常情况进行初步的诊断。第八,配合专业的技术培训与制度保障。
5 结束语
信息化能够提高企业的技术和管理水平,促进企业业务流程的重组和组织结构的优化,有效降低企业成本,增强其产品在市场中的竞争力。集团广域网系统的组建,有效的将工业企业的网络资源进行了整合,并进行优化与安全设计,实现了统一集中管理,这无疑将为信息化建设与企业发展提供更广阔的基础平台,也为更高层次上的管理决策提供了技术与安全保障。
参考文献:
[1]李建雨,肖松岭. 网络组建与应用大全[J]. 北京:电子科技大学出版社,2006.
[2]王达. 网管员必读[J]. 北京:电子工业出版社,2005.
[3]张常有. 网络安全体系结构[J]. 成都:电子科技大学出版社,2006.
