前言:中文期刊网精心挑选了公司网络安全管理方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公司网络安全管理方案范文1
关键词:计算机信息化 网络 安全 中小企业 管理 防范
1 概述
网络安全伴随着计算机网络的出现已经成为了一个伴随每个网络用户永恒的问题。黑客们长期以来不断的分析系统和应用系统,以更多的发现系统存在的漏洞,并通过编写相应的脚本对其加以利用。安全厂商面对这些不断发展安全威胁,也不断的推出了新的安全防范技术和产品,如:防火墙、入侵检测防御系统、杀毒软件、反间谍软件以及过滤内容和垃圾邮件等产品。此后,各个网络用户跟随着安全厂商的步伐不断的将这些安全产品叠加到自身的网络结构、服务器和工作站上。但与此同时需要网络用户解决的还有很多问题,如:为了充分发挥他们的作用,如何建立一个有效的安全防范策略以及如何妥善管理这些设备并且如何计算安全防范的投资回报率等。
我们必须承认,中小企业在网络安全方面的认识、投入和实施的案值相对以前的防范措施都有了很大的进步。但是相比以前,是否目前的中小企业网络就更加安全呢?但是针对这个问题,由于网络威胁随着计算机的网络发展而不断的出现,并且相对以前的攻击手段更具有危险性,因此,不可能有一个非常肯定的答案。并且从经济利益角度出发是目前黑客攻击的一个重大目标,从而使得中小企业成为黑客们攻击的目标之一。即相对以前而言,目前中小企业面临的安全风险更高。由于中小企业的网络正朝着WEB应用和SOA架构的应用方向发展,从而使得网络相对以前更加复杂。因此,目前的计算机网络仅有C/S和B/S结构。网络结构的复杂性也增加了安全防范的复杂性和难度。因此,目前最需要解决的问题就是如何构建信息安全管理方案帮助中小企业更好的解决安全检测、识别和安全防范等。
2 影响企业网络安全的主要因素
企业网络由局域网和广域网组成,人和自然因素是影响网络安全的主要因素。雷击、水灾以及火灾和地震等因素属于自然因素,而人为因素包括误操作删除数据的无意和故意破坏之分。人为故意破坏分为计算机病毒、黑客入侵、网络窃听以及制造大量垃圾邮件等。
斯诺登泄密风暴揭发香港网络保安不堪一击,风暴过后复归平静,香港中小企业计算机保安水平低问题依旧。专家指出,黑客近年喜以“僵尸”手法入侵盗取资料,有公司员工误开恶性电邮附件,计算机变成“僵尸”控亦懵然不知,最终令全公司计算机受感染。
香港警方坦言黑客难捉,科技罪案破案率不足20%。有中小企代表称,公司计算机保安水平十年来毫无寸进,原因在于不觉数据被偷是致命伤,有闲钱不会优先投放改进计算机系统。学者指出,问题根本在人身上,“并非门锁不够先进,而是你不懂把门好好关上!”
中小企业大多不重视网络安全,而“僵尸网络”是近年渐趋普遍的入侵方式,黑客在电邮附件中暗藏恶性软件,公司内部有人不慎开启,即令计算机受感染成为“僵尸计算机”,“中招”计算机自动将IP地址传回黑客的控制中心,令其用作监测用户的网上银行活动。黑客趁用户登入时,伺机改写网页样式,骗取用户输入敏感数据,或改变交易的细节,例如改变交易金额,或将金额过数予第三者。
计算机之所以让黑客有机可乘,往往由于同事疏于防范胡乱下载附件,令“僵尸”程序或病毒有机可乘,甚至连累全公司被感染而不自知。今年6月,香港计算机保安事故协调中心曾参与全球捉“僵尸”行动,与警方连手捣破两个在港境内控制中心,根据经验,香港受感染的“僵尸”计算机介乎200至700部之间。前六个月处理的622宗保安事故中,超过一半来自僵尸网络及黑客入侵,数字较去年同期增加94%。有专家建议,除防毒软件及联网防火墙外,公司应该为员工各自安装个人防火墙,避免同事计算机在公司Local LAN(局部区域网络)内互相攻击。
只要给企业一个构建安全管理方案的通用处理步骤和流程,每个企业都能为自己建立一个安全管理方案,因此,企业设计一个网络安全管理方案并不困难。但是需要注意的是,建立的安全管理方案除了适合目前和以后的发展外,还应当适合企业最关心的投资回报率问题。
目前很多中小企业针对安全投资回报率的问题,不知道如何确定防火墙、UTM、IDS/IPS和内容过滤以及监控系统等开支具体有多大。由于大部分的企业对于购买的设备适应什么样的网络结构、具体功能是否满足现在和以后的需求、目前企业存在哪些问题以及企业需要什么功能的产品等都不了解,只是简单将最新产品以及功能最多的产品链接到自己的网络,认为这样就可以起到安全防护的效果了,网络安全问题便可以高枕无忧,因此在安全方面的投资,很多中小企业虽然常亮红灯,但是却得不到相应的安全防范效果。实际上,使用恰当的技术以持续不断的应用到某个具体的对象上是安全防范的关键因素,安全防范作为一个具体的过程,而不是某种技术就能解决的。
安全管理涉及的方面很多,如配置管理、变更控制、业务连续性和灾难恢复计划、网络安全、人力资源以及合理使用等。有些中小企业也许自己不能构建一个全面的安全管理方案,但是为了达到与安全管理方案相同的效果,我们可以使用一种叫做信息安全和事件管理的现成产品。
但是SIEM产品目前只能解决中小企业安全防范过程中许多问题的一小部分,甚至通过它中小企业根本取得不了任何安全防范效果。目前大部分的SIEM产品都是建立在关系型数据库上,由于关系型数据库不具有每天记录上百万条甚至是上十亿条安全事件的能力,因此,很大程度上严重影响了他们在当今企业环境中应用时的可扩展性。由于购买现成的SIEM产品需要额外花费企业很多费用,这对于处于危机时期的中小企业而言无疑成为一个不小的负担。但是中小企业在完成网络安全防范任务的时候,无论是使用自己制定的安全管理方案,还是使用现成的STEM产品,都能让企业在安全防范过程中不再感到迷惑,并且更加容易实现安全管理的目标。
4 企业信息安全新形势
网络信息安全工作始终是通信行业最为关键的工作之一,具有长期性、复杂性和艰巨性的特点。2010年3G及宽带网络蓬勃发展,三网融合开始实施操作,云计算和物联网产业方兴未艾,需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战,行业中企业要进一步提高对网络信息安全重要性的认识,发展与管理并重,加强部门协调配合,加强网络基础管理工作,加强网络信息安全保障能力建设,特别是要加快网络信息安全关键基础产业的研发应用和产业化,通过核心技术掌握自主知识产权,加快发展自主可控的信息安全产业,建设新时期通信行业网络安全、信息安全长城。
从国际国内出现的安全现象出发,应对多种复杂的安全新问题,应该借助于RFID等物联网新技术,并通过极主动地建立网络与信息安全的保障体系,技术和管理并重,加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作,通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境,来共同改善全球的网络与信息安全问题。
5 结束语
计算机网络安全作为企业的一项十分重要的工作,应当引起高度的重视。在进行网络计算机操作之前,必须随时做好网络安全方面的防范工作。我们应当看到,动态的企业网络安全随着病毒、安全技术以及黑客站点的每日剧增,网络安全动态的不断更新,对网络管理人员来讲是一个巨大的挑战。相信做一个好的信息安全解决方案是企业办公网络应用的完美选择。
参考文献:
[1]宋钰,何小利,何先波,王伟黎.基于SNMP协议的入侵检测系统[J].河北理工大学学报(自然科学版),2010(01).
[2]王步飞,颜景润,任玉灿.现代信息技术与温室环境因子控制[J].考试(教研版),2010(01).
[3]郭锡泉,罗伟其,姚国祥.多级反馈的网络安全态势感知系统[J].信息安全与通信保密,2010(01).
[4]鄢喜爱,杨金民,常卫东.基于蜜罐技术的计算机动态取证系统研究[J].微电子学与计算机,2010(01).
公司网络安全管理方案范文2
“互联网+”首先要“安全+”
“互联网+”战略落地后,互联网信息安全再成风口,信息安全作为互联网行业中的基本要求,除了业内每个参与者不懈努力外,同时也要以“安全+”的战略积极布局。投资了京东、58同城、大众点评等平台及企业后,腾讯公司于日前在国家网络安全周上宣布了投资知道创宇并与启明星辰(002439,股吧)达成企业级安全战略合作。
据了解,国家“互联网+”战略提速,网络信息安全被认为是保障“互联网+”战略实施的重要环节;此次腾讯在互联网安全领域的一系列动作,或与其正在全国推进的“智慧城市”解决方案不无关系。启明星辰、知道创宇分别属于企业安全、国家安全领域的领军企业,腾讯通过战略合作或投资方式进行布局,符合腾讯公司的一贯路径。腾讯副总裁马斌表示,“新时期的互联网安全形势已经发生重大变化,传统单一企业级防护产品已经无法抵御“心脏出血”等新兴病毒威胁,这就需要产业链参与者打破行业壁垒、优势互补,针对企业内网终端用户容易遇到的各类问题,提供一整套的完整终端管控安全解决方案”。马斌认为,“互联网+时代,国家给了企业自主经营的土壤,企业安全一定要服务于国家安全;国内企业只有彼此开放合作才能形成竞争力,更好的服务国家战略。”
数据安全受到挑战
就在第二届国家网络安全宣传周开幕前,中国几家大的互联网企业却接连出现网络安全问题。继支付宝因光纤被挖短暂失灵后,携程网也遭到了因员工操作失误导致的网络瘫痪,互联网安全事故接连发生,数据安全问题引起公众关注。在线商旅管理专家HRS亚太区副总裁姜君在接受采访时就表示:“目前我们正在经历互联网+的时代,各行各业与互联网的融合日益加深,从个人服务到企业合作,都在向在线化转变。携程和支付宝的遭遇对公众来说是一个提醒。在互联网+时代,数据安全管理将成为企业核心竞争力,对于有着深厚互联网基因的公司来说,其数据安全管理将对其公众信任和公司的行业竞争力产生深远的影响。”姜君指出,互联网+时代为我们提供了数据高效传输和运用的便捷性,同时也提出了数据安全管理的挑战。
据南方日报记者了解到,随着企业安全问题的日益突出,互联网安全企业也开始在企业安全层面乏力。日前瑞星方面就了互联网企业信息安全服务产品—瑞星“安全+”。据瑞星安全专家介绍,瑞星“安全+”产品的推出是为了帮助广大互联网企业保护网站安全,避免因系统漏洞、产品漏洞、黑客入侵及员工违规操作等问题遭受损失,提升用户安全体验,将安全做到家。瑞星安全专家表示,由于近期信息安全泄密事件呈爆发式增长,瑞星已为不同规模的互联网企业定制了快速、标准化的服务,广大企业管理者应尽快为企业定制一套专属的解决方案。
个人信息安全不分“大小”
与企业的信息安全相比,广大网友的个人信息安全同样举足轻重,而且随着不法分子的伎俩越来越多样化,普通网友也可能因为信息泄露等的原因导致重大的损失。广州市公安局日前就宣布,在手机管家的协助下,成功破获近期猖獗的冒充“10086”积分诈骗案,罕见比较完整地抓捕了整个积分诈骗黑色产业链上的木马开发,包马,洗钱等所有环节的27名嫌疑人,还缴获了大批嫌疑人用于作案的伪基站设备、作案用车、电脑、手机等大量涉案物资。
公司网络安全管理方案范文3
关键词:网络安全、安全隐患、安全策略设计
中图分类号:G642 文献标识码:A
1引言
继中国科技大学、清华大学、北京大学等第一批铺设数字化校园网的高校之后,全国各地的大中专院校都掀起了轰轰烈烈的数字化校园浪潮。在结合该院自身实际条件下,各大高校都以建立一个以校园网为基础的集教学管理、消费、身份认证等服务为一体的新型数字化的工作、学习、生活环境为奋斗目标。在数字化校园规划与建设过程中,有一个非常关键而棘手的问题,那就是网络安全问题。在当今网络开放式互联的环境下,各种病毒蔓延和黑客攻击令人叫苦不迭,网络安全问题已成为数字化校园建设的一个重要问题。
2数字化校园及其网络安全
数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制;把学校建设成面向校园内,也面向社会的一个超越时间、超越空间的虚拟学校。
针对数字化校园网络化和信息化的特点,其安全问题成为当今亟待解决的重要问题。网络安全包括物理安全和逻辑安全两方面:
系统的物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等;系统的逻辑安全包括数字化校园的整合网络系统和承担各个业务流程的功能子系统的安全。逻辑安全包括信息的完整性、保密性和可用性三个要素。保密性是指信息不会泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指能够防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。
随着现代计算机系统功能的日渐复杂,网络体系日渐强大,正在对社会产生巨大而深远的影响,但同时由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。校园的网络系统是整合数字化校园的基础,它连接了各个功能子系统,各个系部,还有大量的个人电脑(如校园内学生、教师的PC等),所以它的安全是至关重要的。因此,要提高计算机网络的防御能力,加强网络的安全措施,以保证其正常运行。众所周知,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性进行预防,这样才能确保网络信息的保密性、完整性和可用性。俗话说“知己知彼,百战百胜”,要保证校园网络安全,首先必须深入了解威胁校园网络安全的“敌人”,即必须了解校园网络安全的隐患。
3数字化校园网络安全隐患
校园网络是借助主干通信网,将各地的分部门和总部联接,同时与Internet互联,这就势必会出现如下的安全隐患问题:
(1) 总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间以及广域网干线上信息传输的安全保密问题。
(2) 总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏等。
(3) 来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
现实存在的网络安全问题涉及面很广,但不安全因素主要集中在网络传播介质及网络协议的缺陷、主机操作系统的缺陷以及安全管理不善等因素上。由此可见,根据存在的安全隐患进行科学的安全策略设计,构筑必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
4校园数字化网络安全策略设计
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略设计包括了建立安全环境的三个重要组成部分,即:
先进的技术。先进和安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制然后集成先进的安全技术,这样才能保证对安全问题的彻底解决。先进的安全技术主要包括访问控制、防火墙、加密、鉴别、数字签名、审计监控、入侵防范、防病毒、网络安全检测等技术。
严格的管理。网络安全问题在很大程度上是非技术因素,安全管理漏洞和疏忽是最大的安全隐患。只有把安全管理制度与安全技术手段结合起来,这个网络的安全性才有保障。所以应严格执行相关的安全管理制度,握手操作规程、维护制度等,加强内部管理,建立审计和跟踪体系,提高整体安全意识。安全管理的原则一般有以下三个原则:(1) 多人负责原则。每一项与安全有关的活动,都必须有两人或多人在场,例如访问控制使用证件的发放与回收;信息处理系统使用媒介的发放与回收;处理保密信息;硬件和软件的维护等等。(2)任期有限原则。一般地讲任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的,为了遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使得任期有限制度切实可行。(3)职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,如有必要了解则需经系统主管领导批准。例如在计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制等情况下应当尽量让工作人员分开。
威严的法律和规章制度。安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律的威严,不敢轻举妄动。网络系统安全方面的法律和规章制度分两部分,一是国家及主管部门在信息安全方面的法律、法规与规定;另一部分是数字化校园自身的制度和规定,它应该与系统所采取的各种安全机制相辅相成,互为补充。既然安全策略的设计涉及到了这么多网络安全的措施,那怎样对一个数字化校园网络进行安全管理呢?现拟某学院数字化网络为例,拟定一个校园网的安全策略。具体工作是:
(1) 根据工作的重要程度,确定该系统的安全等级。
(2) 根据确定的安全等级,确定安全管理范围。
(3) 制订相应的机房出入管理制度。
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与已无关的区域,出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身分卡等手段,对人员进行识别、登记管理。
(4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
(5) 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等,维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(6) 制订应急措施。要制订系统在特殊情况下,如何恢复的应急措施,使损失减至最小。
5数字化校园网络安全案例
以某技术职业学院校园网络安全策略为例,介绍安全策略的设计。该学院是一所面向全国招生,以培养专科层次的应用型高等职业技术人才的全日制普通高等院校。该校数字化网络一期工程为全校教育和科研建立了计算机信息网络,实现了校园内计算机联网,信息资源共享并通过与Internet互联,实现了与信息世界的多元化、直接流,其服务对象主要是校内的教学、学生实验机房、行政管理单位等。下图为该院校园网络拓扑结构图:
对该院校园网中的安全现状进行分析,隐患大致来自以下五个方面:
(1) 校园网通过与Internet相联,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(2) 目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。目前校园网的网络服务器安装的操作系统是WindowsNT/Windows2000,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞(RIP路由转移等)、服务安全漏洞等等,这些都对原有网络安全构成威胁。
(3) 校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
(4) 随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
(5) 限于该院数字化的进程,目前的网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,网络安全性完全依赖主系统的安全性,在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的和失误越来越普遍,入侵就很难避免。曾经尝试过在服务器上(机)安装防火墙软件进行安全隔离,即建立应用级防火墙。但在实际使用中,用户在受信任的网络上通过服务器访问Internet时,经常会发现存在延迟并且必须进行多次访问才能访问Internet的情况。这是因为该软件必须分析网络数据包并做出访问控制决定,从而影响了网络的性能。一般来说,如果计划选用应用级防火墙,最好选用较高性能的计算机运行服务器。但由于涉及到带宽、经费等多方面的限制,该院用作服务器的计算机性能并不是很理想,导致网络速度较慢,网络服务质量还有待提高。因此这必须在校园数字化网络中必须采用一定的安全策略,就这一问题,结合当前实际的前提下作者进行了广泛的调研和悉心比较,最后决定融合思科公司和瑞星设计的校园网络安全系统方案再整合其它相关先进的管理技术以拓展安全管理范围和增强安全管理的效果。提出了两种方案可供选择:
方案一:智能防火墙型。即用一台智能防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等对外服务器连接在防火墙的DMZ区,与内外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。现在比较流行的智能型防火墙有CISCOPIX系列防火墙、ONTECHNOLOGY软件公司生产的ONGUARD和CHECKPOINT软件公司生产的FIREWALL-1防火墙等。这一方案的优点是:在实际应用中,对用户的“透明度”较高,便于管理和控制。而缺点就是价格昂贵,不易被一般用户所接受。
方案二:网络层防火墙+服务器。即把网络层防火墙和应用层防火墙综合在一起。因为网络层防火墙具有速度快、费用低、对用户透明等优点,但是它对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力,特别是对于应用层上的黑客行为无能为力。而应用层防火墙(主要为服务器)有较好的访问控制,目前存在HTTP、TELNET、FTP、POP3和GOPHER等服务器,并且这些服务只需要一个服务器就可以实现。这一方案的优点是:费用低,性价比较高。而缺点则是“透明底”较低,需要由经验相对丰富的管理人员人进行管理,即对管理人员的要求较高。
由此看来,两种方案各有千秋,应用中可以根据自身实际进行选择,在此,从性价比和实际情况的角度考虑,选择方案二,见图2。注意,图中为了方便表示把网络层防火墙和服务器两个防火墙只用一个防火墙记号标示。
选择好了防火墙,还应对其进行正确配置才能充分发挥其安全防护的性能,在防火墙设置上按照以下配置原则来提高网络安全性:
(1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
(5) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
6检测系统的部署
数字化校园网中包含了几个系统的部署,其中有入侵检测系统部署、网络安全系统检测系统部署和杀毒产品部署等。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,因为防火墙的策略都是事先设置好的,无法动态设置,缺少针对攻击的必要性和灵活性,不能更好的保护网络的安全,所以部署IDS并使IDS与防火墙联动的目的就是为了更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据该院网络的特点,采取思科公司的网络IDS和主机并用的措施,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲就是将思科IDS入系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据,如果情况严重,思科IDS还会发出实时报警,使得学校管理员及时采取应对措施。
在网络安全检测系统上考虑采用网络安全检测工具如SATAN等定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性报告,为提高网络安全整体水平产生重要依据。
杀毒产品部署上采用了瑞星网络版的杀毒产品,为了达到要在整个局域网内病毒感染、传播和发作这一目的,在整个网络内可能传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能,提出以下建议:
(1) 在学校网络中心配置一台高效的WINDOWS2000服务器,负责管理多个主机网点的计算机。
(2) 在各行政、教学单位等多个分支机构分别安装杀毒软件。
(3) 管理员在安装完杀毒软件以后,要由网络中心的系统定期地、自动地到网站上获取最新的升级文件,然后自动将更新的升级文件分发到其它各个主机网点的客户端与服务器端,并且对杀毒软件进行更新。
常言说:“三分技术,七分管理”,安全的处理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建议以下一套校园网络安全管理的模式:
第一:网络规划阶段的一些安全策略。
(1) 明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体,对于校园网络来说网络管理员可以是网络安全责任人。
(2) 对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度),对校园的局域网要将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。
(3) 进行容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障,网络应允许出现一些故障,并且可以很快从灾难中恢复,网络的主备份应位于中心机房。
(4) 因为网络与Internet有固定联接(静态的IP地址),要在网络和INTERNET之间安装防火墙。
(5) 网络使用服务器访问Internet,不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
第二:对网络管理员的一些安全策略建议。
对校园网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略,最主要的是保证服务器的安全和分配好各类用户的权限。
(1) 网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些,它在哪儿,哪些人在使用,属于哪些人,丢失或泄密会造成怎样的损失,这些重要数据集中位于中心服务器上,置于有安全经验的专人管理之下。
(2) 定期对和各类用户进行安全培训。
(3) 一般不直接给用户赋权,而通过用户组分配用户权限。
(4) 新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成的口令不低于6个字符,杜绝安全漏洞。
(5) 至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计,但不要忘了过多的审计将影响系统性能。
(6) 文件服务器不与Internet直接连接,专用服务器,不允许客户机通过MODEM连到INTERNET,形成在防火墙内的连接。
(7) 可以利用“TCP/IP安全”对话框,关闭INTERNET上机器不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。
(8) 可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。
(9) 对只提供内部访问的服务器和客户机可以采用非TCP/IP实现连接,这样可以隔离Internet访问。
(10) 利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。
第三:对校园网络用户的一些安全策略建议。
数字化校园网络的安全不仅仅是网络管理员的事,校园网络上的每一个用户都有责任,网络用户也可以了解一下以下的网络安全知识:
(1) 用一个长且难猜的口令,不要将自己的口令告诉任何人。
(2) 清楚自己私有数据存储的位置,知道如何备份和恢复。
(3) 定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(4) 尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全,最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。
(5) 通过“系统策略编辑器/注册表编辑器”控制在Windows 9x工作站上的“不显示最后一次登录的用户名”和“禁止使用口令缓存”,防止口令从缓存中被获取和最后一次登录的用户被利用。
(6) 设置有显示的(即非黑屏,防止误认为关机)屏幕保护,并且加上口令保护。
(7) 当你较长时间离开机器时一定要退出网络。
(8) 安装启动时病毒扫描软件。
结束语:可以预见,随着计算机技术和通信技术的发展,计算机网络不会仅局限于数字化校园,还将日益成为信息交换的重要手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在的隐患,采取强而有力的安全策略,对于保障网络的安全性将变得越来越重要。
参考文献:
[1] 王育民,刘建伟. 通信网的安全-理念与技术[M]. 西安电子科技大学出版社,1999.
[2] 张小斌,严望佳. 网络安全与黑客防范[M]. 北京;清华大学出版社,1999.
[3] 21世纪计算机网络工程丛书编委会. 网络技术基础[M]. 北京希望电子出版社,2000.
[4] 钟小平,张金石. 网络服务器的配置与应用[M].北京:人民邮电出版社,2002.
公司网络安全管理方案范文4
关键词:网络安全;防护机制;烟草公司;互联网
随着Internet技术的不断发展和网络应用技术的普及,网络安全威胁频繁地出现在互联网中。近年来,网络攻击的目的逐渐转变为获取不正当的经济利益。在此种情况下,加强网络安全建设已成为各个企业的迫切需要。烟草公司的网络安全防护机制和安全技术是确保其网络信息安全的关键所在。只有加强防护体系建设和创新安全技术,才能在保证网络安全的前提下,促进烟草公司的发展。
1县级烟草公司网络现面临的威胁
目前,烟草公司计算机网络面临的威胁从主体上可分为对网络信息的威胁、对网络设备的威胁。
1.1人为无意的失误
如果网络的安全配置不合理,则可能会出现安全漏洞,加之用户选择口令时不谨慎,甚至将自己的账号随意转借给他人或与他人共享,进而为网络埋下了安全隐患。
1.2人为恶意的攻击
人为恶意的攻击可分为主动攻击和被动攻击,这两种攻击都会对烟草公司的计算机网络造成较大的破坏,导致机密数据存在泄露的风险。比如,相关操作者未及时控制来自Internet的电子邮件中携带的病毒、Web浏览器可能存在的恶意Java控件等,进而对计算机网络造成巨大的影响。
1.3网络软件的漏洞
对于网络软件而言,会存在一定的缺陷和漏洞,而这些缺陷和漏洞为黑客提供了可乘之机。
1.4自然灾害和恶性事件
该种网络威胁主要是指无法预测的自然灾害和人为恶性事件。自然灾害包括地震、洪水等,人为恶性事件包括恶意破坏、人为纵火等。虽然这些事件发生的概率较低,但一旦发生,则会造成异常严重的后果,必须严以防范。
2构建烟草公司信息网络安全防护体系
要想形成一个完整的安全体系,并制订有效的解决方案,就必须在基于用户网络体系结构、网络分析的基础上开展研究。对于安全体系的构建,除了要建立安全理论和研发安全技术外,还要将安全策略、安全管理等各项内容囊括其中。总体来看,构建安全体系是一项跨学科、综合性的信息系统工程,应从设施、技术、管理、经营、操作等方面整体把握。安全系统的整体框架如图1所示。安全系统的整体框架可分为安全管理框架和安全技术框架。这两个部分既相互独立,又相互融合。安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面;安全技术框架包括鉴别与认证、访问控制、内容安全、冗余与恢复、审计响应五个层面。由此可见,根据烟草公司网络信息安全系统提出的对安全服务的需求,可将整个网络安全防护机制分为安全技术防护、安全管理和安全服务。
2.1安全技术防护机制
在此环节中,旨在将安全策略中的各个要素转化成为可行的技术。对于内容层面而言,必须明确安全策略的保护方向、保护内容,如何实施保护、处理发生的问题等。在此情况下,一旦整体的安全策略形成,经实践检验后,便可大幅推广,这有利于烟草公司整体安全水平的提高。此外,安全技术防护体系也可划分为1个基础平台和4个子系统。在这个技术防护体系中,结合网络管理等功能,可对安全事件等实现全程监控,并与各项技术相结合,从而实现对网络设备、信息安全的综合管理,确保系统的持续可用性。
2.2安全管理机制
依据ISO/IEC17700信息安全管理标准思路及其相关内容,信息安全管理机制的内容包括制订安全管理策略、制订风险评估机制、建设日常安全管理制度等。基于该项内容涉及的管理、技术等各个方面,需各方面资源的大力支持,通过技术工人与管理者的无隙合作,建立烟草公司内部的信息安全防范责任体系。2.3安全服务机制安全服务需结合人、管理、产品与技术等各方面,其首要内容是定期评估整个网络的风险,了解网络当前的安全状况,并根据评估结果调整网络安全策略,从而确保系统的正常运行。此外,还可通过专业培训,进一步促进烟草公司员工安全意识的增强。
3烟草公司的网络信息安全技术
3.1访问控制技术
在烟草公司的网络信息安全技术中,访问控制技术是最重要的一项,其由主体、客体、访问控制策略三个要素组成。烟草公司访问用户的种类多、数量大、常变化,进而增加了授权管理工作的负担。因此,为了避免发生上述情况,直接将访问权限授予了主体,从而便于管理。此外,还应革新并采用基于角色的访问控制模型RBAC。
3.2数字签名技术
在烟草公司,数字签名技术的应用很普遍。数字签名属于一种实现认证、非否认的方法。在网络虚拟环境中,数字签名技术仍然是确认身份的关键技术之一,可完全代替亲笔签名,其无论是在法律上,还是技术上均有严格的保证。在烟草公司的网络安全中应用数字签名技术,可更快地获得发送者公钥。但在这一过程中需要注意,应对发送者私钥严格保密。
3.3身份认证技术
身份认证是指在计算机与网络系统这一虚拟数字环境中确认操作者身份的过程。在网络系统中,用户的所有信息是用一组特定的数据来表示的;而在现实生活中,每个人都有着独一无二的物理身份。如何确保这两种身份的对应性,已成为相关工作者遇到的难题。而采用身份认证技术可很好地解决该难题。该技术主要包括基于随机口令的双因素认证和基于RKI体制的数字证书认证技术等。基于口令的身份认证技术具有使用灵活、投入小等特点,在一些封闭的小型系统或安全性要求较低的系统中非常适用;基于PKI体制的数字证书认证技术可有效保证信息系统的真实性、完整性、机密性等。
4结束语
综上所述,安全是烟草公司网络赖以生存的重要前提,网络安全的最终目标是确保在网络中交换的数据信息不会被删除、篡改、泄露甚至破坏,从而提高系统应用的可控性和保密性。因此,烟草公司必须具备一套行之有效的网络安全防护机制,增强自身网络的整体防御能力,研发网络安全立体防护技术。只有建立完善的信息安全防范体系,才能使烟草公司内部的重要信息资源得到有效保护。
参考文献
[1]张珏,田建学.网络安全新技术[J].电子设计工程,2011,19(12).
公司网络安全管理方案范文5
IBM最新的连续数据保护软件―IBM Tivoli Continuous Data Protection for Files(CDP),将数据保护的重点转移到了恢复上。由于CDP连续保护重要数据的所有更改,IT管理员不必考虑备份问题,因为备份会自动进行。当灾难来袭时,基于CDP的解决方案可以迅速恢复到过去任何所需的点位。
CDP 安装简便,只需花几分钟就可轻松安装完毕。向导光盘会指导用户操作简单的步骤,从确定数据应该存储在笔记本电脑的何处,到配置远程服务器来接收拷贝。用户可按任何时间点自行瞬时恢复,并支持远程或移动电脑的本地缓存复制与保护,连线后与文件服务器同步。“CDP通过文件改变时实时保护当时的文件从而实现数据的不间断保护。它是一个专门针对文件服务器和用户端点设计的实时连续数据保护解决方案,是数据保护领域的一项重大突破。”IBM软件集团大中华区Tivoli软件总经理黄德华说。
作为一种隐形、实时、易用、零界面的数据保护软件,该软件由IBM的剑桥与麻省实验室开发,其中的10余项技术正在申请专利,这些技术主要在使用远程预定备份方法来按顺序捕获对数据的连续修改。
除安装简便之外,CDP具备三大特点:文件不间断,数据完全实现了无间断的保护,同时应用复制技术使得个人电脑上文件得到与服务器数据同步的连续保护;感知无间隔,它完全实现了后台的自动化管理,用户完全感知不到,并在数据需要被恢复时,用户可按照任何时间点,自行瞬时恢复,无须寻求任何管理员的帮助;时间无“间”歇,支持远程或移动电脑的本地缓存复制,连线后与服务器同步,持续保护无时无刻不在。
美讯智威胁防范数据库急剧增长
美讯智宣布,该公司的Internet威胁防范数据库已收录了超过1200万个URL地址,这一数字还正在以可观的速度不断增长。
“卡卡助手”清剿“流氓软件”
随着瑞星杀毒软件2006版新品的,专门清除流氓软件的“卡卡上网安全助手”也随之正式推出。
根据用户的反馈,自从装上“卡卡助手”之后,电脑屏幕“清净”了许多。但是瑞星工程师强调,对流氓软件千万不能掉以轻心,必须严防它们改头换面继续作恶。
赛门铁克推电子邮件安全新方案
赛门铁克公司宣布推出电子邮件安全及可用性解决方案,成为市场上唯一能全面满足用户在业务和IT方面需求的公司。
8e6科技新方案维护上网环境
8e6科技提供完整网络安全行为管理解决方案8e6 R3000与 Enterprise Reporter,协助教育单位主动防御网路威胁,创造优质安全上网环境。
Unisys通过BS7799认证
Unisys公司宣布,BSI管理系统(BSI)已对Unisys公司的8个可管理服务中心(MSC)进行了认证,认为它们都达到了令业界羡慕的英国标准7799 (BS 7799:2002)。
工作时间遭遇间谍软件威胁增多
趋势科技宣布了根据一项调查所得到的重要发现:有超过87%的公司终端用户知道有间谍软件的存在,然而有53%表示需要IT部门提供更多的相关培训以增加对网络威胁的理解。
这项发现还表明:知道不能转化成知识,结果是用户指望着IT部门来充当一个提
供网络安全保护的角色。
McAfee推出新反间谍方案
McAfee宣布推出两款全新的反间谍软件解决方案:McAfee AntiSpyware Enterprise和McAfee Managed VirusScan plus AntiSpyware。其中,McAfee AntiSpyware Enterprise是一款针对中大型企业的独立反间谍软件解决方案;McAfee Managed VirusScan plus AntiSpyware是一款简单易用、为中小企业提供的定购服务。
这两款McAfee的反间谍软件技术主要用于防范潜在的非预期程序 (PUPs),比如间谍软件、广告软件以及键盘记录。
公司网络安全管理方案范文6
现代化计算机网络信息技术能够提供重要的信息资源,有效地对信息资源进行优化配置,同时,这种配置方式也存在一定的风险。必须要辩证地看待计算机网络技术,若是没有对其信息安全管理给与高度的重视,就有可能外泄重要信息,从而给民航企业带来致命性的打击。在民航空管中,病毒与黑客都会对计算机网络技术造成侵害,不利于民航空管工作的顺利开展。综上所述,必须要提高民航空管计算机网络信息的安全管理水平。
2在民航空管中,计算机网络安全管理的不足
(1)操作系统存在安全问题。操作系统会受到各种不利因素的攻击,而且部分空管计算机操作系统的结构体系存在缺陷,黑客就会对操作系统不完善的地方进行利用,攻击系统,从而导致系统瘫痪。在传输文件的时候,网络安装程序中可执行文件也可能存在一定不安全的因素。在传送文件或者加载程序时,一旦某个地方出现漏洞,就有可能导致系统崩溃。在创建和调用远程时,若是存在网络漏洞,则中间的通信环节就可能被监控,更甚者会被破坏,从而泄露或者丢失网络信息。再者,黑客也会对空管计算机操作系统的后门进行利用,进而轻易避开安全控制,给网络信息安全带来重大威胁。
(2)网络存在安全问题。近几年,网络结构日益复杂,而且网络应用广泛,从而给网络信息安全管理带来了巨大的挑战。部分空管网络系统需要借助电信运营商的网络基础设施,而且一些重要网络信息在远程管理和维护方面,也需要应用电信网络,利用电信基础网络设施,很容易导致空管网络信息出现窃听和篡改现象。随着空管网络系统应用日益广泛,为了满足业务的各项要求,在传输资料和交流信息时需要利用互联网,而且这种需求日益增多。此外,在建设空管网络系统时,可能会出现重功能轻安全的情况,再加上技术人员的能力不足,而且网络安全知识不高,导致空管网络系统内部出现网络安全问题。
3在民航空管中,强化计算机网络安全管理的措施
3.1对计算机网络信息技术进行创新
在民航空管中,若是想要提升计算机网络信息安全管理的水平,那么应该对计算机网络信息技术进行全面的改革和创新,采取有效的防护措施,以免计算机网络技术被破坏。
(1)为了防治病毒破坏信息数据,应该采用先进的病毒监测技术,对病毒进行有效的防范;而且利用此技术能够检测出系统中的病毒,以免出现病毒恶意侵入的现象,保证信息数据的完整性;再者,当前最新开发出的病毒预防技术,在准确识别病毒的基础之上,还拥有杀毒作用,能够对系统中的病毒及时进行处理。
(2)引进现代入侵检测技术。近些年来,科学技术不断发展,入侵检测技术的应用也逐渐成熟,并且在实际应用中,取得了不错的成果,进一步提升了服务的质量。入侵检测技术把异常检测和特征检测有机组合起来,使检测达到全方位的目标,以免检测进程中出现漏洞从而为不良因素的侵入创造条件。该技术实现了网络信息系统内、外入侵的检测,而且在出现错误操作的情况下,还能采取一定的措施对其进行防护,保证计算机网络信息的安全性。
(3)为了有效清除网络信息中存在的各种不利因素,可以使用安全扫描技术,做到防患未然。安全扫描主要包括两种检测方式:主动检测网络、主动检测系统。对系统进行全面检测能够发现其存在安全患的口令、设置,以及一些和安全规则相违背的漏洞。
(4)为了保证网络信息的安全,还应该采取有力的手段,即数据加密与用户授权访问控制技术。对数据进行加密可以保护动态信息,用户授权访问的主要作用则是保护静态信息。数据在经过加密处理之后,能够打乱信息,没有被授权的人不能进行解读。利用用户授权访问能够阻挡没有被授权的人,他们不能够访问。把数据加密技术与用户授权访问控制技术全面结合起来,灵活使用,从而保障网络信息的安全。
3.2利用科学的管理手段保障计算机网络信息的安全
为了使计算机网络信息实现安全严管理,可以充分利用现代化安全管理模式。
(1)结合民航空管中网络信息的安全管理现状,制定完善的安全管理制度,对计算网络信息安全管理工作进行规范,切实实施指定的政策制度。航空公司必须要对自身的发展状况进行全面的了解,结合公司的实践经验,制定出科学的信息安全管理方案。此外,还应该加强对相关管理人员的培训力度,不断提高管理人员的安全意识,增强工作过责任心,为计算机网络信息的安全性提供保障。
