浅谈通信企业如何做好信息网络安全工作

  • 格式:doc
  • 大小:37.50 KB
  • 文档页数:3

浅谈通信企业如何做好信息网络安全工作20世纪80年代以来,以计算机和因特网技术为主的现代信息技术取得了突飞猛进的发展,为全球各个领域、各部门的工作带来了深刻的变革。

事实说明,信息与物质能源共同构成了企业乃至国家生存的客观世界三大资源和要素,其对各行各业的生存与发展所起的重要作用决不亚于物质和能源。

随着现代信息技术的发展,作为IT行业排头兵的通信企业在自身的信息网络建设上也得到了长足的进步,其生产、经营都越来越强烈地依赖于企业的信息网络。

对网络利用和依赖的程度越高,就越要求我们重视网络的安全防护。

尤其是随着INTERNET/INTRANET技术的兴起,当前的通信企业网已经不再是一个封闭的内部网,而逐步成为一个开放的、互联的“大”网。

INTERNET技术应该说是一把双刃剑,它为通信企业各部门的信息化建设、生产效率和服务质量的提高带来了极大的促进作用,但是它也对传统的企业安全体系提出了严峻的挑战。

由于计算机信息具有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,即很容易被干扰、滥用和丢失,甚至被泄漏、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染,所以对于通信企业来说,构筑信息网络的安全防线事关重大、刻不容缓。

本文试图就当前通信企业的信息网络发展现状结合国内外信息安全技术发展的新动向,谈一谈对通信企业信息网络安全建设的一些心得和体会。

通信企业信息网络面临的主要安全威胁纵观近年来信息网络安全的发展动态,当前通信企业信息网络安全主要来自于以下三个方面的威胁:1、物理威胁信息网络在物理上可以分为网络设施和网络操作人员两大类,网络设施包括路由器、交换机、工作站等硬件实体和网络通讯使用的通信链路,还包括通信设备所在的机房等工作环境,而网络操作人员指的是网络的使用者和维护者,由于信息网络在企业的各个生产和经营环节中都得到了广泛的应用,所以所谓的网络操作人员这一概念可以延伸到企业的所有员工。

信息网络的物理威胁主要来自于火灾、水灾等自然灾害以及违法犯罪人员闯入机房进行偷窃和破坏所造成的设备损失。

2、病毒威胁网络的发展为企业办公和生产带来巨大变革的同时,也为计算机病毒的蔓延打开了方便之门,各种各样的病毒无时无刻不在对网络的安全构成潜在的威胁,它们有可能从任一节点潜入并蔓延至整个网络,稍一疏忽,就可能招致无穷后患。

尤其是人们频繁使用的电子邮件如今更成为病毒栖身、散播的载体。

3、黑客威胁黑客攻击早在主机/终端时代就已经出现,那时的主要进攻手段有:窃取口令、强力闯入、窃取额外特权、植入“特洛伊木马”等等。

随着INTERNET的发展,现在黑客的进攻手段从以系统为主的攻击转变到以网络为主的攻击,新的攻击手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程;通过隐蔽通道进行非法活动;突破网络防火墙等等。

目前已知的黑客攻击手段已多达500余种。

随着通信企业信息网与INTERNET的互联互通,电子商务以及其它互联网应用的开展,黑客入侵已经成为目前最大的威胁,是企业信息网络发展的最大障碍,也是通信企业信息网络安全建设最需要解决的问题。

加强通信企业信息安全应采用的主要措施“魔高一尺,道高一丈”,针对上述3种对信息网络安全的威胁,加强通信企业的信息安全应当采取以下三个方面的措施。

1、建立严格的信息安全保障制度,制定完备的机房安全管理规章这部分的手段包括妥善保护磁带和文档资料,防止非法人员进入机房进行偷窃和破坏活动,同时采取妥善措施抑制和防止电磁泄漏,主要可以采用两类防护措施:一类是对传导发射的防护,主要采取对电源线和信号线性能良好的滤波器,以减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,这类防护措施又可以分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行防护和隔离;二是采用干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声,向空间辐射来掩盖计算机系统的工作频率和信息特征。

另外,还要建立计算机信息系统安全等级制度、国际互联网备案制度、发生案件报告制度等,定期监督检查上述制度的落实情况。

2、系统的防护措施即建立全面立体的企业防毒和反黑网络,对桌面、网络和服务器进行全方位防护。

3、采用稳妥的系统保护技术即系统的备份技术,采用先进的备份手段和备份策略来最大限度地保证系统信息在遭受破坏后的可恢复性。

采用这三方面的技术,企业信息网才算是有了全面的安全——即通常所说的全面解决方案。

这里的第一种技术与第三种技术与传统的通信网防护措施基本相同,下面我们就第二种技术的具体实施作一说明。

建立全方位的立体防毒反黑网络企业的计算机网络通常有很多PC机和不同的应用服务器,构建网络防毒反黑系统时,应当对网络内所有可能作为病毒寄居、传播及受感染的计算机进行有效地处理,并对黑客可能入侵的节点进行有效的监控和保护。

一方面需要对各种病毒和黑客进行有效的“查”和“防”;另一方面也要强调防毒反黑网络在实施、操作、维护和管理中的简洁、方便和高效。

最大限度地减轻使用人员和维护人员的工作量。

一个成功的全方位立体防毒反黑网络应当具有以下特征:1、防毒反黑网络体系结构应当包括从PC到各种服务器,从操作系统到各种应用软件,从单机到网络的全方位防病毒解决方案;2、同时,该网络必须集成中央控管,远程软件分发,远程升级等工具,便于系统管理;3、网络具有“查毒”、“杀毒”、“防毒”、“预警”等全面的功能,并能够适用于多个平台的产品。

另外,由于目前的病毒传播越来越强烈地体现其网络特性,尤其以电子邮件为载体的病毒传播日益猖獗,病毒在压缩文件和打包邮件中埋藏极深,因此系统还应当能够实现邮件的实时防毒,同时能够对压缩文件进行快速查毒。

4、网络节点应具备“防火墙”功能,由于通信企业信息网中潜在着可能的黑客入侵,所以在每个网络节点上都应安装有“防火墙”,防火墙能够起到实时监控的作用,当用户上网时,防火墙将充当个人电脑与网络间的过滤器,并对黑客可能入侵的各个网络端口进行屏蔽与防护。

目前,组建这样的系统可以有许多选择,比如冠群金辰的Kill for Windows NT/Windows 2000,Norton公司的Norton Antivirus 2000以及Network Associate公司的面向企业网络的病毒防保方案TVD(Total Virus Defense)Enterprise都是很好的选择,对于个人防火墙来说,Network ICE公司的Black ICE是一个值得推荐的产品,其运行如图1(略)所示,除了可以监测入侵者外,还可以给出对系统安全的各种“忠告”。

另外,除了采取上述技术措施外,建立严密的规章制度也是十分必要的,如告知员工不要通过无防护的接口上网,不要随便执行附加在电子邮件中来历不明的附件,反病毒软件要经常升级等,并设置专职人员监督执行。

应用实例如某企业信息网络有10多台服务器,使用的软件平台主要为Windows NT 和Windows 2000,客户端有将近150台PC工作站,主要安装Windows 98,完成Web服务、邮件服务、数据库服务、电子办公等工作,根据上一部分所讲述的全方位立体防毒反黑网络特征和要求,该企业在进行认真的系统选型后,认为选择冠群金辰的Kill 2000更符合本企业的网络系统需求。

为此,利用Kill 2000部署了反病毒解决方案。

下面,简要介绍一下系统的应用情况。

1、全方位立体防护体系的实施情况全方位防护体系包括服务器病毒防护、客户端病毒防护、电子邮件病毒防护和INTERNET网关病毒防护。

我们在Windows NT、Windows 2000服务器上分别安装相应的Kill 2000 for Windows NT、Kill 2000 for Windows 2000,实现对所有服务器的网络防护及管理功能、防毒墙功能、整个网络的自动更新和分发、网络报警和广播服务;在Windows 98工作站上安装Kill 2000 for Windows 98客户端软件,以实现对客户端的实时防毒功能及管理功能,图2(略)为Kill 2000实时监视器的工作画面;对电子邮件系统安装Kill for Microsoft Exchange防病毒代理程序选件,建立对群件信息系统的防毒保护。

通过组建Kill 2000网络防病毒架构,在整个网络体系的信息发送端和接收端都安装了相应的Kill反病毒软件控制病毒源,从而对网络系统的各个关口严密把守,使病毒无法入侵,由此也解决了对网络流量影响的问题,形成一种病毒源控制防护方式。

通过Kill 2000这种对病毒源严密控制方式,实现了整个系统的全面病毒防护。

2、报警功能的实现反病毒网络建设完成后,整个企业网便具有了相互间的通讯能力和报警能力,即通过Kill 2000提供的网络广播、故障打印、MS Mail、Lotus Notes邮件等多种报警方式对病毒情况进行通报。

与此相配合的是日志记录,它包括了从服务器到客户端所有出现问题的计算机名称、用户名、使用时间、染毒情况、处理情况信息记录。

因此,根据报警和日志信息,系统管理员便能够全面掌握整个网络的安全状况,使网络管理更加简单明了且具有针对性,图3(略)为系统的报警管理器。

3、升级及维护功能升级及维护问题一直是系统管理员感到费时费力的事情。

Kill 2000提供的自动简单的升级方法解决了这一难题。

Kill 2000具有自动下载功能,图4(略)为其“自动下载管理器”的工作界面,能够直接将最新升级版本通过网络方式下载到本地服务器。

同时,企业内部网通过简单配置,在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作,大大减轻了系统管理员的工作量,提高了工作效率。

结束语、安全本身不是目的,它只是一种保障。

网络安全涉及的范围非常宽广。

不管是从技术角度,还是从实际意义角度,它都是一个太大的话题。

本文仅讨论了在通信企业信息网络中网络安全的实现。

企业网络安全是国家网络安全的基石,也是针对未来的信息战来加强国防建设的重要基础。

一般来说,安全性越高,其实现就越复杂,费用也相应的越高。

对于企业来说,就需要对网络中需保护的信息和数据进行详细的经济性评估,决定投资强度。

企业的网络安全工作可以根据本企业的主营方向来决定是建设自己的网络安全服务队伍,还是购买市场上的网络安全服务产品,对于通信企业网则可以选择购买服务产品来减少成本。

笔者认为制定严格完备的网络安全保障制度是实现网络安全的前提,采用高水平的网络安全防护技术是保证,认真地管理落实是关键。