序論:在您撰寫企業(yè)網(wǎng)絡安全論文時,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導您走向新的創(chuàng)作高度�。
第1篇
1.1計算機自身系統(tǒng)安全問題
計算機系統(tǒng)的正常運行以計算機操作系統(tǒng)程序為主要依據(jù)��,與之相關的各類程序也必須以此為標準����,操作系統(tǒng)理所當然地成為了計算機系統(tǒng)中的基本程序。計算機操作系統(tǒng)具有較強的拓展性���,開發(fā)商很容易完成計算機系統(tǒng)的開發(fā)工作����。但是,在優(yōu)化和升級計算機系統(tǒng)的過程中���,相關操作技術仍存在較大問題����,這是計算機技術快速發(fā)展的難點�����,也是黑客入侵計算機系統(tǒng)的主要切入點���。
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵��,將會出現(xiàn)嚴重的運行問題�,如系統(tǒng)癱瘓��、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等��。計算機病毒具有典型的潛伏性�����、傳染性����、隱蔽性和破環(huán)性����,目前�,計算機病毒種類主要有以下四種:第一���,木馬病毒�。該類病毒的主要目的是竊取計算機上的數(shù)據(jù)信息����,具有典型的誘騙性;第二����,蠕蟲病毒。熊貓燒香是該類病毒的典型代表��,以用戶計算機上出現(xiàn)的漏洞為切入點���,綜合使用攻擊計算機終端的方式控制計算機系統(tǒng)�����,該病毒具有較強的傳播性和變異性��;第三��,腳本病毒����。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置;第四�,間諜病毒。要想提升某網(wǎng)頁的訪問量���,強制要求計算機用戶主頁預期鏈接�。伴隨著科技的發(fā)展��,計算機網(wǎng)絡應用范圍不斷擴大���,各種類型病毒的破壞性也隨之增加�。
1.3黑客
通過網(wǎng)絡攻擊計算機目前���,我國仍存在著大量非法人員對計算機系統(tǒng)進行攻擊等行為��,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術�,對計算機用戶終端與網(wǎng)絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網(wǎng)絡的主要形式有三種:第一�����,利用虛假的信息攻擊網(wǎng)絡�����;第二�,利用木馬或者病毒程序?qū)τ嬎銠C用戶的電腦進行控制���;第三���,結(jié)合計算機用戶瀏覽網(wǎng)頁的腳本漏洞對其進行攻擊。
2計算機網(wǎng)絡安全技術在企業(yè)網(wǎng)中的應用
2.1防火墻技術
防護墻技術是計算機網(wǎng)絡安全技術在企業(yè)網(wǎng)中應用的主要表現(xiàn)形式之一����。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中�,計算機網(wǎng)絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全�,在掃描終端服務器的數(shù)據(jù)后,如果發(fā)現(xiàn)有意或者不合常理等攻擊行為��,系統(tǒng)應該及時切斷服務器與內(nèi)網(wǎng)服務器之間的交流,采用終端病毒傳播的方式保護企業(yè)網(wǎng)的安全�����。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數(shù)據(jù)信息�����,這種過濾手段可以阻擋病毒信息入侵計算機系統(tǒng)�,并第一時間內(nèi)通知用戶攔截病毒信息,為提高企業(yè)網(wǎng)的安全性提供技術保障�����。下圖1是企業(yè)網(wǎng)防護墻配置示意圖��。Intranet周邊網(wǎng)絡InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡服外部網(wǎng)絡務器服務器圖1防火墻配置
2.2數(shù)據(jù)加密技術
數(shù)據(jù)加密技術是計算機網(wǎng)絡安全技術在企業(yè)網(wǎng)中應用的另一種表現(xiàn)形式�����。在企業(yè)發(fā)展建設過程中����,要想提高企業(yè)發(fā)展信息的安全性和可靠性,企業(yè)必須在實際運行的計算機網(wǎng)絡中綜合使用數(shù)據(jù)加密技術��。數(shù)據(jù)加密技術要求將企業(yè)網(wǎng)內(nèi)的相關數(shù)據(jù)進行加密處理,在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關文件��,這為提高企業(yè)信息的安全性提供了技術保障��。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種��,其中對稱加密算法中使用的加密和加密信息保持一致���,非對稱加密算法中加密方法和解密方法存在較大的差異�����,通常很難被黑客破解��,這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應用。
2.3病毒查殺技術
病毒查殺技術是計算機網(wǎng)絡安全技術在企業(yè)網(wǎng)中應用的表現(xiàn)形式之一���。病毒對計算機安全有極大的威脅���,該技術要求企業(yè)技術對計算機操作系統(tǒng)進行檢測和更新,減少系統(tǒng)出現(xiàn)漏洞的頻率�����;杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數(shù)據(jù)庫����;控制用戶瀏覽不文明的網(wǎng)頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理�����,確定文件的安全性后才能投入使用����。
2.4入侵檢測技術
入侵檢測技術在企業(yè)網(wǎng)安全運行中發(fā)揮著至關重要的作用,其作用主要表現(xiàn)在以下幾方面:第一��,收集計算機操作系統(tǒng)�、網(wǎng)絡數(shù)據(jù)及相關應用程序中存在的信息數(shù)據(jù);第二�����,找尋計算機系統(tǒng)中可能存在的侵害行為��;第三�,自動發(fā)出病毒侵害報警信號;第四,切斷入侵途徑��;第五�����,攔截入侵�����。入侵檢測技術在企業(yè)網(wǎng)中的應用具有較強的安全性特征�����,該技術的主要任務是負責監(jiān)視企業(yè)網(wǎng)絡運行狀況�,對網(wǎng)絡的正常運行不會產(chǎn)生任何影響。入侵檢測技術使用的網(wǎng)絡系統(tǒng)以基于主機系統(tǒng)和基于網(wǎng)絡的入侵系統(tǒng)為主���?�;谥鳈C系統(tǒng)的入侵檢測技術主要針對企業(yè)網(wǎng)的主機系統(tǒng)、歷史審計數(shù)據(jù)和用戶的系統(tǒng)日志等�,該檢測技術具有極高的準確性,但是���,實際檢測過程中很容易引發(fā)各種問題�����,如數(shù)據(jù)失真和檢測漏洞等�����;基于網(wǎng)絡入侵檢測技術以其自身存在的特點為依據(jù)�,以網(wǎng)絡收集的相關數(shù)據(jù)信息為手段,在第一時間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡管理人����,該技術具有較強的抗攻擊能力、能在短時間內(nèi)做出有效的檢測��,但是�����,由于該技術能對網(wǎng)絡數(shù)據(jù)包的變化狀況進行監(jiān)控���,在實際過程中會給加密技術帶來一定程度影響���。入侵檢測技術在企業(yè)網(wǎng)的應用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主,在實際檢測過程中���,該檢測方法具有響應速度快和誤警率低等特點�,但是��,該檢測技術需要較長的檢測時間為支撐�,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統(tǒng)非正常行為和正常行為情況����,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統(tǒng)進行全盤掃描��,因此�����,必須有大量的檢測時間作支撐�����。
3結(jié)束語
第2篇
關鍵詞信息安全���;PKI;CA;VPN
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展�����,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加����,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶��,在2003年后����,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化��。這都對企業(yè)信息安全提出了更高的要求�����。
隨著信息化技術的飛速發(fā)展����,許多有遠見的企業(yè)都認識到依托先進的IT技術構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出�。面對這瞬息萬變的市場��,企業(yè)就面臨著如何提高自身核心競爭力的問題�����,而其內(nèi)部的管理問題����、效率問題����、考核問題、信息傳遞問題�、信息安全問題等,又時刻在制約著自己�����,企業(yè)采用PKI技術來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段�。
在下面的描述中,以某公司為例進行說明�。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接����,根據(jù)公司統(tǒng)一規(guī)劃�����,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中����,各計算機在同一網(wǎng)段,通過交換機連接��。
圖1
2)應用系統(tǒng)
經(jīng)過多年的積累�,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)���。隨著計算機網(wǎng)絡的進一步完善�,計算機應用也由數(shù)據(jù)分散的應用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式���。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全���,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產(chǎn)品的狀況��,信息安全的主要內(nèi)容是網(wǎng)絡安全���,部署了防火墻����、防病毒服務器等網(wǎng)絡安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡的安全性����,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用�。
3風險與需求分析3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強�����,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強��。計算機網(wǎng)絡規(guī)模不斷擴大��,網(wǎng)絡結(jié)構(gòu)日益復雜��。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求���。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)�,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心���,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證���,加強對數(shù)據(jù)的備份�,并運用技術手段���,提高數(shù)據(jù)的機密性、完整性和可用性�����。
通過對現(xiàn)有的信息安全體系的分析�����,也可以看出:隨著計算機技術的發(fā)展�����、安全威脅種類的增加����,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷����,具體表現(xiàn)在:
(1)系統(tǒng)性不強�����,安全防護僅限于網(wǎng)絡安全�����,系統(tǒng)�����、應用和數(shù)據(jù)的安全存在較大的風險��。
目前實施的安全方案是基于當時的認識進行的�����,主要工作集中于網(wǎng)絡安全���,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證��,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段�,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范�����,容易造成重要數(shù)據(jù)的丟失和泄露����。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的���,即網(wǎng)絡內(nèi)部的用戶都是可信的。在這種信任模型下�,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的��。
針對外部網(wǎng)絡安全��,人們提出了內(nèi)部網(wǎng)絡安全的概念�����,它基于這樣一種信任模型:所有的用戶都是不可信的����。在這種信任模型中��,假設所有用戶都可能對信息安全造成威脅����,并且可以各種更加方便的手段對信息安全造成威脅�����,比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息����,或者從內(nèi)部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去����。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部�,這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程�,某公司缺乏相關的規(guī)章制度、技術規(guī)范����,也沒有選用有關的安全服務����。不能充分發(fā)揮安全產(chǎn)品的效能��。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢��,存在一定的網(wǎng)絡安全隱患���,產(chǎn)品亟待升級�����。
已購買的網(wǎng)絡安全產(chǎn)品中���,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性��,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制���,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范���、新的攻擊手段也對防火墻提出了更多的功能上的要求����,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上�,這是信息化建設的內(nèi)在要求,系統(tǒng)主管部門和運營�、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期�����,在規(guī)劃的過程中���,就運用風險評估���、風險管理的手段,用戶才可以避免重復建設和投資的浪費��。
3.2需求分析
如前所述��,某公司信息系統(tǒng)存在較大的風險�,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)����、應用��、數(shù)據(jù)各方面的安全防護�����。為此����,要加強安全防護的整體布局���,擴大安全防護的覆蓋面�����,增加新的安全防護手段�。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加�����,以及新的攻擊手段的不斷出現(xiàn)�,使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)���,原有的產(chǎn)品進行升級或重新部署�。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設���,使安全防范的各項工作都能夠有序�、規(guī)范地進行�����。
(4)信息安全防范是一個動態(tài)循環(huán)的過程����,如何利用專業(yè)公司的安全服務,做好事前����、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅����,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃���、統(tǒng)籌安排�、統(tǒng)一標準��、分步實施”的原則進行,避免重復投入��、重復建設��,充分考慮整體和局部的利益���。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定�,使安全技術體系的建設達到標準化�、規(guī)范化的要求,為拓展�����、升級和集中統(tǒng)一打好基礎�。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次���、安全防范的各階段全面地進行考慮�,既注重技術的實現(xiàn)�����,又要加大管理的力度,以形成系統(tǒng)化的解決方案�。
4.3規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡�、系統(tǒng)、應用等方方面面���,任何改造�����、添加甚至移動�,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)�����、穩(wěn)定運行���,這是安全技術體系建設必須面對的最大風險��。本規(guī)劃特別考慮規(guī)避運行風險問題�,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時�,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā)�,設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力��,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng)�����,配置了相應的設施��。因此����,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃�、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善���、整合的辦法����,以使其納入總體安全技術體系�,發(fā)揮更好的效能,而不是排斥或拋棄����。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng)�,各層保護相互補充,當一層保護被攻破時�����,其它層保護仍可保護信息的安全�。
4.6分步實施原則
由于某公司應用擴展范圍廣闊����,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加�����。一勞永逸地解決安全問題是不現(xiàn)實的���。針對安全體系的特性�,尋求安全����、風險、開銷的平衡�,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求����,亦可節(jié)省費用開支。
5設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮����,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡���、系統(tǒng)�、應用����、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程�����,事前���、事中和事后的技術手段應當完備��,安全管理應貫穿安全防范活動的始終�����,如圖2所示���。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的����,需要在風險����、安全和投入之間做出平衡����,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查���,通過與計算機專業(yè)公司接觸��,初步確定了本次安全項目的內(nèi)容���。通過本次安全項目的實施,基本建成較完整的信息安全防范體系��。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上�。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務���。PKI(PublicKeyInfrastructure��,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系�����,它從技術上解決了網(wǎng)上身份認證�、信息完整性和抗抵賴等安全問題��,為網(wǎng)絡應用提供可靠的安全保障�,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)��,建立一個完善的網(wǎng)絡安全認證平臺�����,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份���,要求通信雙方的身份不能被假冒或偽裝��,在此體系中通過數(shù)字證書來確認對方的身份����。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露����,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)�����,通過哈希函數(shù)和數(shù)字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為��,確保通信方對自己的行為承認和負責��,通過數(shù)字簽名來完成�,數(shù)字簽名可作為法律證據(jù)�����。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)�����,是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比��,具有降低成本及維護費用��、易于擴展���、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng)����,可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡提供了一整套安全的解決方案����。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密���、認證��、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道�,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)�,用以代替專線方式,實現(xiàn)移動用戶���、遠程LAN的安全連接�。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控�,為網(wǎng)絡提供高效、穩(wěn)定地安全保護���。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置�。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一���。隨著網(wǎng)絡的快速發(fā)展��,電子郵件的使用日益廣泛�����,成為人們交流的重要工具�,大量的敏感信息隨之在網(wǎng)絡上傳播��。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點�����,電子郵件存在著很大的安全隱患���。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)���,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先��,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu)���,所有下一級的組織和個人的證書由上一級的組織負責認證�����,而最上一級的組織(根證書)之間相互認證���,整個信任關系基本是樹狀的。其次���,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送���。保證了信件內(nèi)容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部�,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件�,是來自于企業(yè)內(nèi)部。同時�,由于是內(nèi)部人員所為�,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等�,因此�,對于企業(yè)的威脅更為嚴重�����。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段�����。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起���,形成一個整體����,是針對客戶端安全的整體解決方案����。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性����。采用組件技術�����,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者���。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證�。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡����。用戶如果需要離開計算機����,只需拔出智能密碼鑰匙�����,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲�����。由于密鑰保存在智能密碼鑰匙中�,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法�����,從而保證了存儲數(shù)據(jù)的安全性�����。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程���。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便����、安全的身份認證技術�����。它采用軟硬件相結(jié)合��、一次一密的強雙因子認證模式�����,很好地解決了安全性與易用性之間的矛盾����。USBKey是一種USB接口的硬件設備���,它內(nèi)置單片機或智能卡芯片��,可以存儲用戶的密鑰或數(shù)字證書�����,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證�。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能���,還可構(gòu)建用戶集中管理與認證系統(tǒng)�、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構(gòu)成的綜合性安全技術體系��,從而實現(xiàn)上述身份認證�、授權與訪問控制�����、安全審計�����、數(shù)據(jù)的機密性�����、完整性�����、抗抵賴性的總體要求��。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范����、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示����。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程��,也為本方案的實施提供了借鑒����。
圖3
因此在本方案的組織和實施中�����,除了工程的實施外�,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估��,明確需求所在���,務求有的放矢����,確保技術方案的針對性和投資的回報���。
(2)把應急響應和事故恢復作為技術方案的一部分����,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力����。
(3)該方案投資大,覆蓋范圍廣�����,根據(jù)實際情況����,可采取分地區(qū)、分階段實施的方式�。
(4)在方案實施的同時,加強規(guī)章制度�����、技術規(guī)范的建設�����,使信息安全的日常工作進一步制度化�、規(guī)范化��。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀�,指出目前存在的風險,隨后提出了一整套完整的解決方案���,涵蓋了各個方面�����,從技術手段的改進�����,到規(guī)章制度的完善�����;從單機系統(tǒng)的安全加固�,到整體網(wǎng)絡的安全管理��。本方案從技術手段上��、從可操作性上都易于實現(xiàn)�����、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段����。
也希望通過本方案的實施,可以建立較完善的信息安全體系����,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平�����。
第3篇
隨著網(wǎng)絡中傳播的木馬�����、病毒等開發(fā)��、設計技術的強化和智能化���,其傳播速度越來越快�,傳播途徑也越來越廣泛���,并且隱藏周期更長���,更難以被人發(fā)現(xiàn),尤其是在互聯(lián)網(wǎng)時代�����,化工企業(yè)的生產(chǎn)控制��、經(jīng)營辦公等信息數(shù)據(jù)均通過互聯(lián)網(wǎng)連接在一起��,并且非專業(yè)的技術人員很少定期進行查毒和殺毒���,導致網(wǎng)絡中彌漫著ARP病毒�、FTP病毒���、震蕩波病毒��、郵件病毒和網(wǎng)頁病毒等�����,導致計算機網(wǎng)絡性能逐漸降低��,服務效率大幅度下降�����。
2化工企業(yè)網(wǎng)絡安全防御措施
2.1應用層安全防御措施
在化工企業(yè)網(wǎng)絡中�,應用層與網(wǎng)絡用戶直接接觸,因此為了保護應用層安全�,需要強化第一道安全屏障,可以采取的措施包括設置用戶/組角色����,實行單一角色登陸及認證,為用戶分配固定的安全控制權限標識�����,限制用戶的訪問權限�����,并且建立動態(tài)配置機制�����,以便更好地控制網(wǎng)絡資源�,避免病毒、木馬和黑客攻擊核心數(shù)據(jù)資源���,確保用戶實現(xiàn)有效控制訪問�。
2.2接入層安全防御措施
接入層可以根據(jù)不同的IP組��,分類控制訪問網(wǎng)絡資源的模式��,并且能夠強化遠程接入的防御能力�。由于化工企業(yè)員工眾多,需要根據(jù)其所在的不同部門�����,設置不同的訪問權限��,僅僅依賴角色控制難以實現(xiàn)訪問資源的合理管理�����,因為角色管理是人為的��,無法更好地從根本上進行控制�,因此根據(jù)客戶機的IP地址、MAC地址��、交換機端口地址劃分VPN����,可以有效地實現(xiàn)遠程訪問VPN�、IntranetVPN或ExtranetVPN�����,共同構(gòu)建良好的VPN模式�,并且在實現(xiàn)遠程接入過程中,可以采用隧道加密協(xié)議����,將VPN根據(jù)不同的訪問權限和重要程度劃分為PPTPPN、L2TPPN�、IPSecPN和MPLSPN等,以便能夠?qū)鬏數(shù)臄?shù)據(jù)進行不同層次的加密���,更好保護化工企業(yè)網(wǎng)絡的數(shù)據(jù)傳輸有效性����、安全性�����、準確性。
2.3傳輸層防御措施
目前��,化工企業(yè)網(wǎng)絡傳輸層的防御措施也有很多個��,比如構(gòu)建入侵檢測����、防火墻和審計分析體系,因此可以使用殺毒防毒軟件��、防火墻���、虛擬局域網(wǎng)和ACL等具體的措施進行實現(xiàn),可以為化工企業(yè)網(wǎng)絡構(gòu)建一個完善的網(wǎng)絡防火墻體系��,確保網(wǎng)絡用戶的認證信息是完整的����,保證網(wǎng)絡用戶不受到病毒、木馬侵襲和黑客的攻擊��。
2.4主動防御體系
為了更好地面對網(wǎng)絡安全面臨的威脅���,化工企業(yè)除了在接入層和傳輸層采用傳統(tǒng)的安全防御措施之外�����,同時構(gòu)建主動的安全防御體系�,采用主動安全防御措施,以便能夠確保網(wǎng)絡的正常使用���。構(gòu)建主動安全防御體系時���,網(wǎng)絡主動預警技術主要包括網(wǎng)絡主動預警、響應�、檢測、保護���、恢復和反擊六個方面����,其中核心內(nèi)容是網(wǎng)絡主動預警技術和主動響應技術�,其也是與傳統(tǒng)的防御技術具有較大區(qū)別的方面。在網(wǎng)絡主動預警過程中�,首先可以通過遺傳算法、支持量機��、BP神經(jīng)網(wǎng)絡等技術進行入侵檢測�,以便能夠有效地確定網(wǎng)絡中是否存在非法數(shù)據(jù)流等信息����,掃描網(wǎng)絡操作系統(tǒng)是否存在漏洞��,以便能夠根據(jù)數(shù)據(jù)庫��、知識庫中保存的經(jīng)驗數(shù)據(jù)��,判斷網(wǎng)絡信息流中是否存在非法的內(nèi)容及相關的特征�����,及時主動地采取漏洞預警��、攻擊預警��、行為預警�、情報采集預警等技術�����,進行網(wǎng)絡主動預警�����。
2.5網(wǎng)絡主動響應技術
網(wǎng)絡主動預警技術可以發(fā)現(xiàn)即將或者已經(jīng)發(fā)生的網(wǎng)絡攻擊行為,網(wǎng)絡主動響應技術可以對相關的攻擊行為進行防御����,以便能夠最大化地降低網(wǎng)絡攻擊行為帶來的影響。目前����,網(wǎng)絡主動響應技術可以搜集攻擊數(shù)據(jù),對其進行實時的分析����,判斷攻擊源所在的位置,以便能夠采用網(wǎng)絡防火墻等阻斷攻擊源�,或者可以采用網(wǎng)絡攻擊誘騙技術或者僚機技術,將網(wǎng)絡中已經(jīng)或正在發(fā)生的攻擊行為引誘到一個無關緊要的主機上�,降低網(wǎng)絡攻擊造成的危害。
3結(jié)語
第4篇
1.1主觀因素
(1)從使用網(wǎng)絡的人來看����,網(wǎng)絡使用者的安全防范意識不盡相同,有的人非常重視網(wǎng)絡安全��,有的人甚至不知道什么是網(wǎng)絡安全���,網(wǎng)絡安全意識薄弱����。
(2)從黑客的角度來分析,黑客對于網(wǎng)絡安全的威脅是目前最大的�。黑客通常是利用技術將帶有病毒的游戲、網(wǎng)頁�、多媒體等放入軟件終端,電腦使用者不留意就會點開這些資源�,黑客就會監(jiān)控電腦的一切活動,會偷取計算機上的用戶名����、賬戶、密碼等個人隱私數(shù)據(jù)��,或者占用系統(tǒng)資源���,嚴重的情況下會導致系統(tǒng)崩潰,企業(yè)相關的資料都會消失�����,損害企業(yè)的經(jīng)濟�����、財產(chǎn),并為網(wǎng)絡安全帶來威脅�����。
1.2客觀因素
石油企業(yè)應用網(wǎng)絡辦公都已經(jīng)形成了企業(yè)獨立的網(wǎng)絡系統(tǒng)�,但還是受到網(wǎng)絡安全的威脅,主要是由于影響石油企業(yè)網(wǎng)絡安全的自然原因主要是操作系統(tǒng)和軟件的漏洞�。隨著科技的發(fā)展,網(wǎng)絡操作系統(tǒng)和應用軟件總在不斷地更新��,而且其更新比較慢�,這就為黑客的入侵提供了縫隙。
2��、石油企業(yè)網(wǎng)絡安全的防護技術措施
隨著石油企業(yè)網(wǎng)絡安全問題的頻繁出現(xiàn)����,網(wǎng)絡使用者必須重視網(wǎng)絡安全問題,必須對網(wǎng)絡安全采取有效的防護技術和措施�,為企業(yè)提供安全的網(wǎng)絡管理平臺。
2.1石油企業(yè)建立健全企業(yè)規(guī)章制度
為了確保企業(yè)網(wǎng)絡安全�,必須建立完善的安全系統(tǒng),了解網(wǎng)絡安全的重要性�。對于網(wǎng)絡安全事故的發(fā)生,應采取處罰制度�����,并進行記錄,一旦出現(xiàn)重大網(wǎng)絡安全事故�,可以做到有證據(jù)可依。
2.2石油企業(yè)應對網(wǎng)絡數(shù)據(jù)采取加密技術
石油企業(yè)內(nèi)一些重要的文件必須對其進行加密后再放到外部網(wǎng)絡中����,并結(jié)合防火墻技術,才能進一步提高石油企業(yè)網(wǎng)絡信息系統(tǒng)內(nèi)部數(shù)據(jù)的保密性和安全性����,防止數(shù)據(jù)被非法人員偷盜,損害企業(yè)的利益�。
2.3石油企業(yè)應加強員工網(wǎng)絡安全知識的培訓
員工作為石油企業(yè)網(wǎng)絡的使用者,梳理員工網(wǎng)絡安全意識變得尤為重要����,只有讓員工認識到網(wǎng)絡安全的危害和意義才能從根本上防止主觀因素網(wǎng)絡安全問題的發(fā)生。石油企業(yè)應加強對員工網(wǎng)絡安全信息的培訓工作����,提高員工的網(wǎng)絡安全意識�����,保證企業(yè)網(wǎng)絡安全的使用。
2.4石油企業(yè)應加強系統(tǒng)平臺與漏洞的處理
網(wǎng)絡管理員可以利用系統(tǒng)漏洞的掃描技術來提前獲取網(wǎng)絡應用過程中的漏洞�,并通過漏洞處理技術快速恢復系統(tǒng)漏洞。
3��、關于石油企業(yè)網(wǎng)絡安全中其它防護技術
在石油企業(yè)網(wǎng)絡安全防護技術方案中����,還應該應用以下幾個防護技術:訪問控制技術、入侵行為檢測技術��、異常流量分析與處理技術�����、終端安全防護與管理技術�、身份認證與管理技術。
3.1訪問控制技術
企業(yè)可以根據(jù)企業(yè)本身的安全需求��、安全級別的不同�,在網(wǎng)絡的交界處和內(nèi)部劃分出不同的區(qū)域,在這些區(qū)域中安裝防火墻設備進行訪問控制��。通過防火墻設備對數(shù)據(jù)包進行過濾�����、對于有問題的數(shù)據(jù)進行分析,防止外部未被授權的用戶入侵企業(yè)網(wǎng)絡����。單向數(shù)據(jù)輸出的安全區(qū)域,防火墻設備應對外區(qū)域的訪問請求進行阻止����;對于需要進行雙向數(shù)據(jù)交互的區(qū)域,必須按照制源地址�、目的地址、服務���、協(xié)議�����、端口內(nèi)容進行精確的匹配��,避免網(wǎng)絡安全問題的出現(xiàn)�。
3.2入侵行為檢測技術
入侵檢測就是在石油企業(yè)網(wǎng)絡的關鍵位置安裝檢測軟件��,對入侵行為進行檢測與分析����。入侵檢測技術可以對整個企業(yè)網(wǎng)絡進行檢測,對產(chǎn)生警告的信息進行記錄并處理����。
3.3異常流量分析與處理技術
為了保障供應服務的穩(wěn)定性,避免拒絕服務攻擊行為導致業(yè)務系統(tǒng)可用性的喪失����,需要通過深度包檢測。當發(fā)現(xiàn)網(wǎng)絡流量有問題時�����,就會將惡意數(shù)據(jù)刪除���,保留原有的正常數(shù)據(jù)����,這樣就保證了有權限的用戶進行正常訪問���。
3.4終端安全防護與管理技術
企業(yè)整體信息安全水平取決于安全防護最薄弱的環(huán)節(jié)�。在石油企業(yè)中�,企業(yè)比較重視網(wǎng)絡及應用系統(tǒng)的保護,忽視了對終端計算機的全面防護與管理措施的保護。這些就需要企業(yè)利用安全防護管理技術在內(nèi)部終端計算機進行統(tǒng)一安全防護和安全管理����,保證信息的安全。
4�、結(jié)語
第5篇
關鍵詞信息安全;PKI�;CA;VPN
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展��,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加���,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益�����,但隨之而來的安全問題也在困擾著用戶�����,在2003年后����,木馬���、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化����。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術的飛速發(fā)展�����,許多有遠見的企業(yè)都認識到依托先進的IT技術構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力���,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場��,企業(yè)就面臨著如何提高自身核心競爭力的問題�����,而其內(nèi)部的管理問題����、效率問題、考核問題��、信息傳遞問題�����、信息安全問題等,又時刻在制約著自己�����,企業(yè)采用PKI技術來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段��。
在下面的描述中����,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺����,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃�����,通過防火墻與外網(wǎng)互聯(lián)�����。在內(nèi)部網(wǎng)絡中���,各計算機在同一網(wǎng)段�,通過交換機連接。
圖1
2)應用系統(tǒng)
經(jīng)過多年的積累����,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)�。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式�。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全���,某公司實施了計算機網(wǎng)絡安全項目���,基于當時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡安全����,部署了防火墻、防病毒服務器等網(wǎng)絡安全產(chǎn)品�,極大地提升了公司計算機網(wǎng)絡的安全性,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件����、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用�����。
3風險與需求分析3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析����,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強���,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強�����。計算機網(wǎng)絡規(guī)模不斷擴大���,網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求�����。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)��,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心��,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證����,加強對數(shù)據(jù)的備份����,并運用技術手段�,提高數(shù)據(jù)的機密性、完整性和可用性���。
通過對現(xiàn)有的信息安全體系的分析���,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加�����,某公司的信息安全無論在總體構(gòu)成��、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷���,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全�����,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險��。
目前實施的安全方案是基于當時的認識進行的�����,主要工作集中于網(wǎng)絡安全�,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證����,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段�����,很容易被冒充�����;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范��,容易造成重要數(shù)據(jù)的丟失和泄露��。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的���,即網(wǎng)絡內(nèi)部的用戶都是可信的�����。在這種信任模型下����,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部���,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的�。
針對外部網(wǎng)絡安全�,人們提出了內(nèi)部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的����。在這種信任模型中���,假設所有用戶都可能對信息安全造成威脅�����,并且可以各種更加方便的手段對信息安全造成威脅���,比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息����,或者從內(nèi)部網(wǎng)絡訪問服務器���,下載重要的信息并盜取出去�����。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況����。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部���,這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞�����。
信息系統(tǒng)的安全防范是一個動態(tài)過程���,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務�����。不能充分發(fā)揮安全產(chǎn)品的效能���。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢�,存在一定的網(wǎng)絡安全隱患�����,產(chǎn)品亟待升級�。
已購買的網(wǎng)絡安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求��。如為進一步提高全網(wǎng)的安全性���,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制���,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范���、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上��,這是信息化建設的內(nèi)在要求��,系統(tǒng)主管部門和運營�����、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作��。只有在建設的初期��,在規(guī)劃的過程中����,就運用風險評估、風險管理的手段����,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述�����,某公司信息系統(tǒng)存在較大的風險����,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡���,也需要做好系統(tǒng)、應用��、數(shù)據(jù)各方面的安全防護�。為此,要加強安全防護的整體布局����,擴大安全防護的覆蓋面,增加新的安全防護手段�����。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加�����,以及新的攻擊手段的不斷出現(xiàn)��,使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)�����,原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求���,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序����、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程�����,如何利用專業(yè)公司的安全服務��,做好事前�、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅����,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃�、統(tǒng)籌安排、統(tǒng)一標準��、分步實施”的原則進行�����,避免重復投入、重復建設���,充分考慮整體和局部的利益�����。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定����,使安全技術體系的建設達到標準化���、規(guī)范化的要求�����,為拓展�����、升級和集中統(tǒng)一打好基礎�����。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程�����,從信息系統(tǒng)的各層次�����、安全防范的各階段全面地進行考慮�,既注重技術的實現(xiàn)��,又要加大管理的力度���,以形成系統(tǒng)化的解決方案�����。
4.3規(guī)避風險原則
安全技術體系的建設涉及網(wǎng)絡��、系統(tǒng)�、應用等方方面面�,任何改造、添加甚至移動���,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)�、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險�。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時��,優(yōu)先保證透明化�,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接�����。
4.4保護投資原則
由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力���,某公司分期�����、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng)�,配置了相應的設施����。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃��、建設新的安全子系統(tǒng)或投入新的安全設施的同時����,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法�,以使其納入總體安全技術體系,發(fā)揮更好的效能�,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的�����,都可能被攻破�。但是建立一個多重保護系統(tǒng)����,各層保護相互補充,當一層保護被攻破時���,其它層保護仍可保護信息的安全��。
4.6分步實施原則
由于某公司應用擴展范圍廣闊����,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加��。一勞永逸地解決安全問題是不現(xiàn)實的��。針對安全體系的特性�,尋求安全、風險�����、開銷的平衡�,采取“統(tǒng)一規(guī)劃、分步實施”的原則�。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支�����。
5設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮����,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡��、系統(tǒng)、應用�����、數(shù)據(jù)做全面的防范��。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程��,事前�����、事中和事后的技術手段應當完備��,安全管理應貫穿安全防范活動的始終��,如圖2所示�。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的��,需要在風險���、安全和投入之間做出平衡�,通過對某公司信息化和信息安全現(xiàn)狀的分析�����,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸�����,初步確定了本次安全項目的內(nèi)容����。通過本次安全項目的實施,基本建成較完整的信息安全防范體系����。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上�����。目前����,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure���,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系�,它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題�����,為網(wǎng)絡應用提供可靠的安全保障�,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)���,建立一個完善的網(wǎng)絡安全認證平臺�,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份���,要求通信雙方的身份不能被假冒或偽裝����,在此體系中通過數(shù)字證書來確認對方的身份����。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密�����,確保信息不被泄露��,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)�,通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為�,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成���,數(shù)字簽名可作為法律證據(jù)���。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)����。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用����、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng)��,可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡提供了一整套安全的解決方案���。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w�,通過加密�、認證����、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道�����,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)��,用以代替專線方式�����,實現(xiàn)移動用戶����、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術���,可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控�,為網(wǎng)絡提供高效�����、穩(wěn)定地安全保護���。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置��。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一����。隨著網(wǎng)絡的快速發(fā)展���,電子郵件的使用日益廣泛���,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播�。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患��。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)����,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先��,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu)��,所有下一級的組織和個人的證書由上一級的組織負責認證��,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的���。其次��,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送�。保證了信件內(nèi)容的安全性�。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內(nèi)部���。很早之前安全界就有數(shù)據(jù)顯示�����,近80%的網(wǎng)絡安全事件���,是來自于企業(yè)內(nèi)部。同時����,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確����,如針對企業(yè)機密和專利信息的竊取����、財務欺騙等���,因此,對于企業(yè)的威脅更為嚴重�����。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段���。
桌面安全系統(tǒng)把電子簽章�、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起���,形成一個整體��,是針對客戶端安全的整體解決方案�。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性�����。采用組件技術,可以無縫嵌入OFFICE系統(tǒng)���,用戶可以在編輯文檔后對文檔進行簽章�����,或是打開文檔時驗證文檔的完整性和查看文檔的作者���。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后�����,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡����。用戶如果需要離開計算機,只需拔出智能密碼鑰匙��,即可鎖定計算機�。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中�,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性�。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程�?���;赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術��。它采用軟硬件相結(jié)合��、一次一密的強雙因子認證模式����,很好地解決了安全性與易用性之間的矛盾�����。USBKey是一種USB接口的硬件設備�����,它內(nèi)置單片機或智能卡芯片���,可以存儲用戶的密鑰或數(shù)字證書��,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證��。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能���,還可構(gòu)建用戶集中管理與認證系統(tǒng)�����、應用安全組件�����、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構(gòu)成的綜合性安全技術體系�����,從而實現(xiàn)上述身份認證���、授權與訪問控制、安全審計�、數(shù)據(jù)的機密性、完整性��、抗抵賴性的總體要求�。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對����。安全管理貫穿全流程如圖3所示��。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程�,也為本方案的實施提供了借鑒����。
圖3
因此在本方案的組織和實施中,除了工程的實施外�����,還應重視以下各項工作:
(1)在初步進行風險分析基礎上����,方案實施方應進行進一步的風險評估���,明確需求所在����,務求有的放矢�,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分��,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力�。
(3)該方案投資大,覆蓋范圍廣���,根據(jù)實際情況�����,可采取分地區(qū)�����、分階段實施的方式���。
(4)在方案實施的同時,加強規(guī)章制度�、技術規(guī)范的建設,使信息安全的日常工作進一步制度化�、規(guī)范化。
7結(jié)論
本文以某公司為例����,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險�����,隨后提出了一整套完整的解決方案,涵蓋了各個方面���,從技術手段的改進���,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固���,到整體網(wǎng)絡的安全管理�����。本方案從技術手段上�����、從可操作性上都易于實現(xiàn)、易于部署�����,為眾多行業(yè)提供了網(wǎng)絡安全解決手段����。
也希望通過本方案的實施�����,可以建立較完善的信息安全體系���,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平����。
第6篇
1網(wǎng)絡安全風險分析
1.1網(wǎng)絡結(jié)構(gòu)的安全風險分析
電力企業(yè)網(wǎng)絡與外網(wǎng)有互連?��;诰W(wǎng)絡系統(tǒng)的范圍大����、函蓋面廣�����,內(nèi)部網(wǎng)絡將面臨更加嚴重的安全威脅�����,入侵者每天都在試圖闖入網(wǎng)絡節(jié)點。網(wǎng)絡系統(tǒng)中辦公系統(tǒng)及員工主機上都有信息���,假如內(nèi)部網(wǎng)絡的一臺電腦安全受損(被攻擊或者被病毒感染)����,就會同時影響在同一網(wǎng)絡上的許多其他系統(tǒng)�����。
1.2操作系統(tǒng)的安全風險分析
所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全��。操作系統(tǒng)的安裝以正常工作為目標���,一般很少考慮其安全性�����,因此安裝通常都是以缺省選項進行設置����。從安全角度考慮�,其表現(xiàn)為裝了很多用不著的服務模塊����,開放了很多不必開放的端口���,其中可能隱含了安全風險。
1.3應用的安全風險分析
應用系統(tǒng)的安全涉及很多方面��。應用系統(tǒng)是動態(tài)的�����、不斷變化的���。應用的安全性也是動態(tài)的�。這就需要我們對不同的應用�����,檢測安全漏洞��,采取相應的安全措施�,降低應用的安全風險。主要有文件服務器的安全風險�����、數(shù)據(jù)庫服務器的安全風險、病毒侵害的安全風險��、數(shù)據(jù)信息的安全風險等��。
1.4管理的安全分析
管理方面的安全隱患包括:內(nèi)部管理人員或員工圖方便省事��,不設置用戶口令��,或者設置的口令過短和過于簡單��,導致很容易破解����。責任不清,使用相同的用戶名�����、口令��,導致權限管理混亂�,信息泄密。把內(nèi)部網(wǎng)絡結(jié)構(gòu)�����、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險�。內(nèi)部不滿的員工有的可能造成極大的安全風險。
2網(wǎng)絡信息與網(wǎng)絡安全的防護對策
盡管計算機網(wǎng)絡信息安全受到威脅�����,但是采取恰當?shù)姆雷o措施也能有效的保護計算機網(wǎng)絡信息的安全��。網(wǎng)絡安全不僅僅是技術問題�,同時也是一個安全管理問題。我們必須綜合考慮安全因素�����,制定合理的目標�、技術方案和相關的配套法規(guī)等。以下分別就這兩個方面進行論述����。
2.1管理維護措施
1)應建立健全計算機網(wǎng)絡安全管理制度體系,定期對管理制度進行檢查和審定��,對存在不足或需要改進的管理制度及時進行修訂���。2)使用人員應該了解國家有關法規(guī)�、方針、政策����、標準和規(guī)范,并主動貫徹與執(zhí)行�;掌握終端的基本使用常識,了解國家電網(wǎng)公司�、省公司及分公司有關管理制度,并嚴格遵守����。3)堅持“分區(qū)、分級���、分域”的總體防護策略���,執(zhí)行網(wǎng)絡安全等級保護制度。將網(wǎng)絡分為內(nèi)網(wǎng)和外網(wǎng)����,內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施�。4)內(nèi)外網(wǎng)分離���,外網(wǎng)由信息職能管理部門統(tǒng)一出口接入互聯(lián)網(wǎng),其他部門和個人不得以其它方式私自接入互聯(lián)網(wǎng)����,業(yè)務管理部門如有任何涉及網(wǎng)絡互聯(lián)的需求�����,應向信息職能管理部門提出網(wǎng)絡互聯(lián)的書面申請�,并提交相關資料,按規(guī)定流程進行審批�����,嚴禁擅自對外聯(lián)網(wǎng)�,如果互聯(lián)網(wǎng)使用人員發(fā)生人動,原來申請的互聯(lián)網(wǎng)賬戶必須注銷���。5)必須實行實名制�����,實行“誰使用����,誰負責”,通過建立電力企業(yè)網(wǎng)絡中確定用戶的身份標識����,將網(wǎng)絡用戶與自然人建立起一一對應的關系。6)加強網(wǎng)絡監(jiān)管人員的信息安全意識����,特別是要消除那些影響計算機網(wǎng)絡通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡管理人員缺乏安全觀念和必備技術�����,必須進行加強�����。7)有關部門監(jiān)管的力度落實相關責任制����,對計算機網(wǎng)絡和信息安全應用與管理工作實行“誰主管、誰負責���、預防為主���、綜合治理�、人員防范與技術防范相結(jié)合”的原則�,逐級建立安全保護責任制,加強制度建設����,逐步實現(xiàn)管理的科學化、規(guī)范化���。8)辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作。因此,建議計算機管理員在每次維護的過程中,可以適當?shù)匕压收袭a(chǎn)生的原因和維護辦法以及注意事項向辦公人員做以講解��。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策����。這樣,既能提高工作效率,又能降低故障,還能避免重復維護。
2.2技術維護措施
1)操作系統(tǒng)因為自身的復雜性和對網(wǎng)絡需求的適應性�����,需要及時進行升級和更新�,因此要及時升級并打上最新的系統(tǒng)補丁,嚴防網(wǎng)絡惡意工具和黑客利用漏洞進行入侵���。2)按要求安裝防病毒軟件��、補丁分發(fā)系統(tǒng)�����、移動存儲介質(zhì)管理系統(tǒng)等安全管理軟件��,進行安全加固��,未經(jīng)許可��,不得擅自卸載��。防病毒軟件系統(tǒng)的應用基本上可以防治絕大多數(shù)計算機病毒�����,保障信息系統(tǒng)的安全���。及時升級防病毒軟件�,加強全員防病毒�����、木馬的意識,不打開����、閱讀來歷不明的郵件;要指定專人對網(wǎng)絡和主機進行惡意代碼檢測并做好記錄�,定期開展分析;加強防惡意代碼軟件授權使用���、惡意代碼庫升級等管理�����。在信息系統(tǒng)的各個環(huán)節(jié)采用全面的防病毒策略,在計算機病毒預防��、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理��,建立較完善的管理制度���,有效地防止和抑制病毒的侵害����。3)防火墻是用于將信任網(wǎng)絡與非信任網(wǎng)絡隔離的一種技術,它通過單一集中的安全檢查點����,強制實施相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問���。電力系統(tǒng)的生產(chǎn)���、計量、營銷����、調(diào)度管理等系統(tǒng)之間,信息的共享����、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制���,阻斷攻擊破壞行為���,分權限合理享用信息資源。采用防火墻或入侵防護設備(IPS)對內(nèi)網(wǎng)邊界實施訪問審查和控制�����,對進出網(wǎng)絡信息內(nèi)容實施過濾,對應用層常用協(xié)議命令進行控制��,網(wǎng)關應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)�。嚴格撥號訪問控制措施。4)對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進行身份標識和鑒別�����,具有登錄失敗處理�,限制非法登錄次數(shù),設置連接超時功能����;用戶訪問不得采用空賬號和空口令,口令要足夠強健�����,長度不得少于8位����,并定期更換����,計算機帳號和口令要嚴格保密����,用戶短時離開要啟動帶口令的計算機屏幕保護程序或鎖定計算機�,長時間不使用計算機,必須將計算機關機����,以防他人非法使用。5)要執(zhí)行備份管理制度��,對重要數(shù)據(jù)進行備份�����。加強對數(shù)據(jù)和介質(zhì)的管理�����,規(guī)范數(shù)據(jù)的備份���、恢復以及廢棄介質(zhì)����、數(shù)據(jù)的處理措施。6)對于辦公計算機而言,每天都要在辦公區(qū)高頻地收發(fā)處理文件��,特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下���,破壞力極強��?����?赏ㄟ^批處理程序在開機時把驅(qū)動加進去,然后關機時恢復原來設置��;或通過組策略設置不自動打開U盤�,然后啟用殺毒軟件掃描����。
第7篇
1.1企業(yè)信息安全管理的隱患
信息安全管理涉及油田生產(chǎn)、數(shù)據(jù)保存���、辦公區(qū)域保護等多個層面����,在信息化時代�����,油田企業(yè)需要加強信息化網(wǎng)絡安全管理?��,F(xiàn)階段�,油田企業(yè)信息安全管理的漏洞包括:①信息安全管理制度不健全���,缺乏細化�����、具體化的網(wǎng)絡安全措施����,針對員工不合理使用信息設備���、網(wǎng)絡的懲罰機制不健全��。②部分管理人員和員工信息素養(yǎng)較低�,如他們不能全面掌握部分軟件的功能�,不重視企業(yè)網(wǎng)絡使用規(guī)范,且存在隨意訪問網(wǎng)站����,隨意下載文件的現(xiàn)象�,增加企業(yè)網(wǎng)絡負擔����,影響網(wǎng)絡安全。③信息系統(tǒng)管理員缺乏嚴格的管理理念����。石油企業(yè)信息網(wǎng)絡系統(tǒng)都設有管理員崗位,負責企業(yè)內(nèi)部網(wǎng)絡軟硬件的配備與管理�����,但現(xiàn)階段�,該職位員工缺乏嚴格的管理理念,不能及時發(fā)現(xiàn)和解決信息安全隱患����。④為方便員工使用移動終端設備辦公上網(wǎng),石油企業(yè)辦公區(qū)域也設置了無線路由器���。但是�����,員工自身的手機等設備存在很多不安全因素��,會影響企業(yè)網(wǎng)絡安全性�����。
1.2病毒入侵與軟件漏洞
網(wǎng)絡病毒入侵通常是通過訪問網(wǎng)站����、下載文件和使用等途徑傳播�,員工如果訪問不法鏈接或下載來源不明的文件,可能會導致病毒入侵��,危害信息安全��。病毒入侵的原因主要有兩方面����,一方面,員工的不良行為帶來病毒����;另一方面,系統(tǒng)自身的漏洞導致病毒入侵�。由此看來�����,油田企業(yè)信息化軟件自身存在的漏洞也具有安全隱患�。其中�,主要包括基礎軟件操作系統(tǒng),也包括基于操作系統(tǒng)運行的應用軟件��,如Office辦公軟件��、CAD制圖軟件��、社交軟件�����、油田監(jiān)控信息系統(tǒng)�����、油田企業(yè)內(nèi)部郵箱��、財務管理軟件�、人事管理軟件等。
1.3網(wǎng)絡設備的安全隱患
現(xiàn)階段,油田企業(yè)網(wǎng)絡設備也存在不安全因素���,主要表現(xiàn)在兩方面:第一��,油田企業(yè)無論是辦公區(qū)還是作業(yè)區(qū)��,環(huán)境都較為惡劣,部分重要企業(yè)信息網(wǎng)絡設備放置環(huán)境的溫度�����、濕度不合理����,嚴重影響硬件的使用壽命和性能,存在信息數(shù)據(jù)丟失的危險��;第二��,企業(yè)內(nèi)部網(wǎng)絡的一些關鍵環(huán)節(jié)尚未引入備份機制�����,如服務器硬盤�,若單個硬盤損壞缺乏備份機制,會導致數(shù)據(jù)永久性丟失。
2提高油田企業(yè)網(wǎng)絡安全策略
2.1加強信息安全管理
基于現(xiàn)階段油田企業(yè)信息網(wǎng)絡安全管理現(xiàn)狀�����,首先�����,油田企業(yè)要重新制定管理機制�����,對各個安全隱患進行具體化����、細化規(guī)范,包括員工對信息應用的日常操作規(guī)范���,禁止訪問不明網(wǎng)站和打開不明鏈接���。其次,油田企業(yè)要強化執(zhí)行力���,摒除企業(yè)管理弊端�����,對違規(guī)操作的個人進行嚴厲處罰�����,使員工意識到信息安全的重要性�,提高其防范意識和能力。再次�,油田企業(yè)要招聘能力強、素質(zhì)高的信息系統(tǒng)管理員�,使其能及時發(fā)現(xiàn)和整改系統(tǒng)安全隱患�����。最后�����,對員工使用智能終端上網(wǎng)的現(xiàn)象���,則建議辦公區(qū)配備無線路由器的寬帶與企業(yè)信息網(wǎng)絡要完全隔離�,以避免對其產(chǎn)生負面影響��。
2.2加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現(xiàn)階段�,油田企業(yè)的網(wǎng)絡建設雖然引入防火墻設備,但沒有合理利用����。因此,油田企業(yè)要全面監(jiān)管和控制外部數(shù)據(jù)����,防止不法攻擊,防止病毒入侵��。同時�,定期更新防火墻安全策略。(2)對企業(yè)數(shù)據(jù)進行有效加密與備份�。對油田企業(yè)來說,大部分數(shù)據(jù)具有保密性���,不可對外泄密��。因此���,企業(yè)不僅要做好內(nèi)部權限管理,還應要求掌握關鍵數(shù)據(jù)的員工對數(shù)據(jù)做好加密和備份工作�����。在傳輸和保存中利用加密工具進行加密,數(shù)據(jù)的保存則需要通過物理硬盤等工具進行備份���。有條件的企業(yè)�����,可在不同地區(qū)進行備份����,以防止不可抗拒外力作用下的數(shù)據(jù)丟失����。(3)合理使用殺毒軟件�����。企業(yè)要對內(nèi)部計算機和移動終端安裝殺毒軟件����,并高效運行,以加強對病毒的防范����。
2.3提升網(wǎng)絡設備安全
(1)由于油田企業(yè)內(nèi)部信息網(wǎng)絡規(guī)模較大�����,設備較多且部署復雜��。因此���,要及時解決硬件面臨的問題,定期檢查維修�,提高硬件設備安全性。定期檢修能準確掌握網(wǎng)絡設備的運行狀況����,并能及時發(fā)現(xiàn)潛在隱患。(2)對處于惡劣環(huán)境中的網(wǎng)絡設備�����,包括防火墻���、服務器�����、交換機��、路由器等���,盡量為其提供獨立封閉的空間��,以確保溫濕度合理�����。
3結(jié)語
