摘要
在企业信息化建设过程中,必须要保证企业网络的安全与稳定,网络是任何信息化建设的基础。然而随着信息技术的发展,企业计算机网络系统的安全将受到更多的威胁,企业领导,技术管理人员和普通工人都必须进一步提高计算机网络安全意识,高度重视,确保网络的安全、稳定运行。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失。如果是商业机密信息,给企业造成的损失会更大,甚至会影响到企业的生存和发展。
关键词:网络安全;维护;
第一章网络安全概述
什么是网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络安全的主要特征
网络安全应具有以下五个方面的特征:
保密性
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性
数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性
可被授权实体访问并按需求使用的特性。即当需要时能否存取所需网络安全解决措施的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性
对信息的传播及内容具有控制能力。
可审查性
出现安全问题时提供依据与手段
企业网络安全现状和威胁
当今无论是中小企业还是大企业,都广泛使用信息技术,特别是网络技术,以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的同时,也给企业带来了安全隐患。网络的安全问题一直困扰着企业的发展,给企业所造成的损失不可估量。由于计算机网络特有的开放性,网络安全问题日益严重。企业所面临的安全威胁主要有以下几个方面:
互联网安全:
企业通过Internet可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等已成为影响广泛的安全威胁。
企业内部网安全:
企业中大量员工利用网络处理私人事务。对网络的不正当使用,降低了生产效率、消耗了企业的网络资源,并引入病毒和木马程序等。发生在企业网络上的病毒事件,据调查90%是经由电子邮件或浏览网页,进入企业内部网络并传播的。垃圾邮件和各种恶意程序,造成企业网络拥塞瘫痪,甚至系统崩溃,造成难以弥补的巨大损失。
内网与内网、内网与外网之间的连接安全:
随着企业的不断发展壮大,逐渐形成了企业总部、异地分支机构、移动办公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企业的运行效率。
第二章网络安全的威胁
信息关系着企业的兴衰。IT技术的发展使得人们获取信息的速度日益加快,这也提供了便利,通过一个U盘(外部设备隐患)、一个病毒(内网WAN的缺失),一分钟的时间就可以拷贝走上百兆的资料,而这些资料可能价值不菲,因此说一分钟损失几千万,上亿元绝对不是危言耸听。我们的安全建设在“重防外,轻防内”的原则上,则可以安全的保护公司的技术文件。但是由于内部网络监控的缺位及网络布置的缺失和服务器年迈老化的问题,有许多漏洞可以被内、外人员所利用以截获资料,目前来看,安全主要是通过如下途径:
外网安全
是否机房安全
机房是网络设备运行的关键地,如果发生安全问题,如物理安全(火灾、雷击、盗贼等)、电气安全(停电、负载不均等)等情况。
是病毒的侵入和黑客的攻击
Internet开拓性的发展使病毒可能成为灾难。据美国国家计算机安全协会(NCSA)最近一项调查发现,几乎100%的美国大公司都曾在他们的网络或台式机上经历过计算机病毒的危害。黑客对计算机网络构成的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。以各种方式有选择地破坏信息的有效性和完整性;进行截获、窃取、破译,以获得重要机密信息。
是管理不健全而造成的安全漏洞
从广泛的网络安全意义范围来看,网络安全不仅仅是技术问题,更是一个管理问题。它包含管理机构、法律、技术、经济各方面。说到数据丢失,我们首先能够想到的就是英国税务及海关总署发生的光盘遗失案,在这些丢失的光盘中含有25个人的详细资料。随后,另外一个含有美国300万名见习司机的个人信息(其中包括姓名、地址和电话号码等)的光盘也神秘地失踪了。更糟糕的是,英国国防部还丢失了一台存有六十万军人资料(其中包括护照和银行信息)的笔记本电脑。这些令人震惊的新闻的出现,意味着相关组织和个人必须要在将来加大对数据的管理力度,并了解这些数据是如何被使用的。
内网安全
服务器没有固定防火墙
上网人员操作不当,导致病毒感染局域网,电脑中病毒后,硬盘上的资料没有做保密、防护处理,导致资料外泄。
例如将笔记本连接上局域网,未做身份认证的网络空缺(IP确定),资料将从笔记本窃取;
通过软盘、U盘或移动硬盘从电脑中拷出带走,或盘内病毒感染。资料将通过内网转架在外网导致资料外泄;而移动存储设备共用,也导致非相关人员及外来人员获取资料;
随意将文件设成共享,导致非相关人员及外来人员获取资料,乘办公人员不在,开启电脑,浏览,复制电脑里的资料。
第三章企业网络安全的分析
企业希望能具有竞争力并提高生产效率,就必须对市场需求作出及时有效的响应,从而引发了依赖于互联网来获取、共享信息的趋势,这样才能进一步提高生产效率进而推动企业的发展。然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而当今的网络已经发生了巨大的变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以很多企业频繁地受到网络的安全威胁甚至损害。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些问题无能为力。
为了应对网络安全挑战,企业通常会使用多种网络硬件设备,包括防火墙、路由器、转接器、远程接入设备等。大多数公司的网络相当复杂,这些网络需要所有这些设备来确保正确的路由以及提供快速和可靠的网络性能。在这些硬件的基础上,再结合多种软件解决方案,如病毒防护、入侵检测(IDS)、入侵防御(IPS)、VPN 网关和内容过滤(如URL 过滤)等,就构成了一个常规的网络安全解决方案。但网络安全产品不仅仅需要简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案。归结起来,应充分保证以下几点:
网络的可用性:
网络是企业业务系统的载体,安全体系必须防止病毒入侵及破坏,建立完善统一的病毒防范体系,维护网内计算机的运行。
业务系统的可用性:
中小企业主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
数据机密性:
对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。有效拦截黑客程序的破坏,准确记录和上报攻击信息,
保障重要数据安全。
访问的可控性:
分层次的安全策略,针对不同职能部门确立相应的安全防范标准。对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
网络操作的可管理性:
简单高效的网络安全管理模式,清晰统一的责任分工与合作。对于网络安全系统应具备审计和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。专业及时的灾难恢复系统,将受灾后的损失减少到最小。
第四章企业可采取的网络安全措施
安全技术手段
物理措施:保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。
访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。
网络隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。
安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。主机安全检查
要保证网络安全,进行网络安全建设,第一步首先要全面了解系统,评估系统安全性,认识到自己的风险所在,从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具,彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性,一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定,并对评测系统进行强有力的分析处置和修复。
主机物理安全
服务器运行的物理安全环境是很重要的,很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素,因为在选择IDC时你自己会作出决策。
在这里着重强调的是,有些机房提供专门的机柜存放服务器,而有些机房只提供机架。所谓机柜,就是类似于家里的橱柜那样的铁柜子,前后有门,里面有放服务器的拖架和电源、风扇等,服务器放进去后即把门锁上,只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子,开放式的,服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别,显而易见,放在机柜里的服务器要安全得多。
防火墙控制策略
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
随着互联网的迅速发展,网络攻击也在迅速增多,病毒邮件攻击的影响日益激烈,病毒、蠕虫和毫无必要的大量垃圾电子邮件利用互联网资源来传播,使企业网络的传输速度缓慢甚至瘫痪。本文提出的企业网络安全解决方案能够为企业提供安全的网络保护,并缩减了企业在网络安全方面的投资。解决了企业的安全隐患,使能够合理利用网络并从网络中获取丰厚的效益,提高了企业的竞争力。
在毕业论文即将完成之际,我要深深地感谢我的指导老师张焕琪。他对我给予了极大地关心和信任,使我不断得到了理论和实践上的精心指导,使我认识我的不足之处和平时所忽略的缺点。张老师以其严谨的治学态度时时教育、激励着我,使我有信心、有能力攻克一个个难点。张老师的言传身教是我终身受益。最后,谨向百忙中抽出宝贵时间评审本论文的教师致以最诚挚的谢意!
参考文献
1.杜向文.中小企业的网络安全.计算机安全.2006(08)
2.李彦军.基于中小企业网络安全的防火墙配置策略.太原大学学报.2006
3.王绍卜.我国中小企业网络安全研究与应用.集体经济研究.2004(12)