1. 需要一篇论文 企业网络建设安全策略探讨
企业网络建设安全策略探讨
陈明明 (辽宁石油化工大学理学院,辽宁抚顺)
摘要:
企业内部网络安全是建立企业网络信息系统时需解决的重大问题.对计算机网络安全机制的防火墙技术和入侵检测技术进行了对比与分析.防护墙是一种边界安全防护层,经过仔细配置,能够在内部,外部网络之间建立一道安全屏障,降低网络被入侵的风险.但单一的防火墙技术只能在相对的时期内保证网络的安全,需要不断的维护,调整,升级其安全策略.监测与检测技术从安全技术层面为网络管理部门提供了进一步实施安全管理和维护的手段,使其既能防范来自外部的非法入侵又能防范来自内部的恶性破坏以及人为的误操作.提出了企业网络建设中这两项技术应用的重要作用.
关键词:企业网络;网络安全;防火墙技术;入侵检测技术
由于企业发展的需要,计算机网络技术为企业生产,管理,经营等各方面信息交换带来了很大的变革,企业得益于网络,但是与此同时,网络的数据不同程度被侵害,企业利益受到了严重的威胁.侵害的来源主要有企业内部不法职工,网络黑客,企业竞争对手等.他们通过窃取用户口令,伪造用户身份,窃听网络信息等手段篡改数据库内容,窃取用户重要资料,摧毁网络节点,释放病毒,造成数据信息失真,丢失,设备损坏,生产经营失控,信息系统崩溃等,使企业蒙受巨大经济损失.由此可见,阻止黑客入侵,防止非法用户的资源访问,保证计算机网络的安全运行是网络管理员重大责任.一个网络建设是一个系统工程,而安全策略是极其重要的组成部分,安全策略基本包括安全技术,安全程序规则,安全审计,安全校验,安全机构,安全教育与培训等等.
其中,安全技术是极为重要的部分,目前主要采用的技术是防火墙技术,防病毒技术,网络用户认证与加密,安全检测技术等.防火墙技术和安全检测技术在目前的大部分企业网络建设中都被不同程度采用,这两项技术在不同层面上对网络的安全起到保护作用.
防火墙技术
防护墙是一种边界安全防护层,能够有效的保护网络内部的安全,在网络安全中起到重要作用.原来防火墙技术仅仅是基于网络层的安全技术,目前已经成为更加先进和复杂的基于应用层的网关,经过认真仔细的配置,防火墙通常能够在内部,外部网络之间建立一道安全屏障,降低网络被入侵的风险.
防火墙建立策略
防火墙是由主机,路由器,安全策略构成的集合体,其功能是禁止或允许对网络的访问.强制所有的访问者要通过预先设定规则检查,确定访问者的请求被禁止或允许.主要防范策略有数据包过滤,应用级网关和代理服务.数据包过滤在路由器设置过滤逻辑,建立访问控制表,在网络层对数据流的数据包的源地
址,端口号,协议等进行组合评价,确定是否允许通过.应用级网关应用网关是安装在一台专用工作站系统上的.在网络应用层面上建立协议过滤转发.针对指定网络服务协议使用专门的数据过滤逻辑,形成的分析统计报告供管理员浏览.代理服务链路网关(通道),是一个专用服务器,内外网络的"链接"取决于代理服务器应用层的连接.外部计算机的网络连接只能到达代理服务器.代理服务器对所有链接的数据进行分析,注册,报告,报警,记录访问者的痕迹,追踪攻击网络的人员.
防火墙的结构策略
在实际构建防火墙的工作中一般运用多策略,多部件组合的方法.简单防火墙采用商用带有数据包过滤功能的路由器,进行分组过滤.放置在和企业网络之间的分组过滤路由器.屏蔽主机防火墙是由一台主机和一个屏蔽路由器构成.主机连接企业内部网络,路由器在和内部网络之间,路由器负责数据包的过滤以及对主机某些端口屏蔽.屏蔽子网指在屏蔽主机结构中,主机后端再加入一台路由器,保护子网络安全,这样使子网络安全性进一步提高双宿主主机防火墙是在企业内部网络和间设置一个主机,安装两个网络接口,屏蔽掉协议的直接传输,内部网络不能直接和传输存在问题.
由于防火墙只是一种静态的安全技术,需要人工实施与维护,相对入侵时间的随机性发生,不能完全做到阻止入侵者的攻击.主要表现在:不能阻止来自内部网络不法用户的入侵;外部入侵者通过扫描路由器可以找到防火墙背后的入口,绕过防火墙进行入侵;由于防火墙性能的问题不能实时进行入侵检测;不能防止病毒的侵入;不能解决自身的安全问题.防火墙安全性能的提高将降低网络的运行速
度.因此单一的防火墙技术只能在相对的时期保证网络的安全,这就要求网络管理部门不断的维护,调整,升级防火墙的安全策略.同时,建立和完善网络的监测检测技术.
网络监测与检测技术
防火墙安全技术是处于被动的保护网络的安全,而实时监测与检测技术是主动保护自身的安全技术机制.从安全技术层面为网络管理部门提供了进一步实施安全管理和维护的手段.既能防范来自外部的非法入侵又能防范来自内部的恶性破坏
以及人为的误操作.采用相应保护手段保护网络系统,同时可以分析,跟踪,切断连接,保留证据等,控制网络的用户运行保护网络的安全.检测系统与检测方法检测系统分别是基于主机和基于网络的系统.基于主机的检测系统主要用于监控网络上用户的运行,此种技术已经广泛的用于网络操作系统,其检测方法与运行全部集成在网络操作系统中.实时检测网络中的连接,系统日志检查等,在网络服务器操作系统中为管理员提供了相应安全策略和保护方法.基于网络的系统主要用于实时监测关键路径上的数据流量,代理软件在局域网网络中监测数据流.基于路由器检测系统主要用于保护网络的基础设施,确保计算机网络之间连接安全.主机检测系统主要作用是通过网络系统实时监测每一个用户的使用情况,判断出非法入侵的事件,系统对不同入侵行为采用相应保护措施,由于运行检测系统需要大量的系统资源,因此,服务器主机一定要选硬件性能很好的计算机服务器.基于网络的检测由于只能在网络内进行监视,因此,在局域网网段部署检测系统是很方便的.检测方法主要基于行为和基于知识的入侵.基于行为入侵检测方法是根据网络用户的行为或者资源使用情况来判断是否入侵,即异常检测一般采用概率统计的方法.基于知识的入侵检测方法是根据已知的攻击方法模型建立检测
模式,通过判断来发现是否发生入侵,即违规检测.检测功能一个检测系统的基本功能必须能够保证对现有已知的入侵行为进行发现处理,同时要为系统管理
人员提供简捷的配置方法,完善的操作功能.能够做到:监视系统及用户的运行状态,检查用户权限;检查系统漏洞,提示系统管理人员;分析,统计用户的行为规律;系统文件与数据的一致性校验;对检测到的异常行为进行报警,保护处理;操作系统的审计管理.检测系统的数据报告将作为安全策略制定的基本依据之一.
第5期陈明明,企业网络建设安全策略探讨
2. 企业网络安全该怎么做
★ 您的企业是否总是担心公司内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去?
★ 若泄漏是否会直接影响企业生存和发展?
★ 您的企业是否总有人员流动?
★ 原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了?
★ 现在的工作人员是否有可能将各种机密泄漏给竞争对手?
★ 工作人员离职后是否变成了企业的竞争对手?
★ 您的企业把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不会泄漏出去吗?
商场如战场,波谲云涌。身处其中的企业在日益激烈的商场竞争中不仅要应对来自竞争对手的挑战,还要面对企业内部的各种业务,因此承载企业重要商业信息的文件就在交错纷杂的商场风云下面临着各种安全隐患。没有进行加密防护的文件犹如一个诱人的苹果,谁都能轻易咬上一口。那么在这个没有硝烟的战场中,让域之盾加密软件坐镇文件安全,才能让企业放下包袱,轻装上阵。域之盾系统功能全面,可有效保护企业数据安全
1. 透明加解密
系统根据管理策略对相应文件进行加密,用户访问需要连接到服务器,按权限访问,越权访问会受限,通过共享、离线和外发管理可以实现更多的访问控制。
2. 泄密控制
对打开加密文档的应用程序进行打印、内存窃取、拖拽和剪贴板等操作管控,用户不能主动或被动地泄漏机密数据。
3. 审批管理
支持共享、离线和外发文档,管理员可以按照实际工作需求,配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时,将视管理员的权限许可,可能需要经过审批管理员审批。
4. 离线文档管理
对于员工外出无法接入网络的情况可采用系统的离线管理功能。通过此功能授权指定用户可以在一定时间内不接入网络仍可轻松访问加密数据,而该用户相应的安全策略仍然生效,相应数据仍然受控,文档权限也与联网使用一样。
5. 外发文档管理
本功能主要是解决数据二次泄密的威胁,目的是让发出的文档仍然受控。通过此功能对 需要发出的文件进行审批和授权后,使用者不必安装加密客户端即可轻松访问受控文件,且可对文件的操作权限及生命周期予以管控。
6. 审计管理
对加密文档的常规操作,进行详细且有效的审计。对离线用户,联网后会自动上传相关日志到服务器。
7. 自我保护
通过在操作系统的驱动层对系统自身进行自我保护,保障客户端不被非法破坏,并且始终运行在安全可信状态。即使客户端被意外破坏,客户端计算机里的加密文档也不会丢失或泄漏。
3. 中小企业如何进行网络信息安全建设(1)
网络是企业信息化的基石,而网络信息安全则成为网络运用的障碍。企业对网络的利用率低,不仅仅是网络带宽的问题,更多的是考虑到网络安全的问题。因为害怕在网络上会出现这样或那样的问题,而不愿或不敢在网络上运行可以信息化的业务系统,而继续使用传统的或手工的方式来完成繁重的业务工作。
对于网络信息安全有两个普遍的观点:其一是“三分技术,七分管理”,说的是网络信息安全主要靠管理手段来保障,技术对网络信息安全的贡献只占三成;其二是“木桶原理”,说的是网络信息安全由一些基本的安全因素构成,这些安全因素中最脆弱的哪一部分将成为网络信息安全的最大威胁。
中小企业建设网络信息安全的内容
网络信息安全的实质是:保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击,使它们能正常发挥作用,保障系统能够安全可靠地工作。
网络信息安全大体上可以分为:物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人的因素等几个方面。
对网络信息常采用的攻击手段有:窃取机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战等几大类。
针对中小企业网络信息安全建设,主要包括以下几个内容:
(1)物理安全:主要包括机房和配线间的条件、自然灾害、人为破坏、信息入侵等,进一步可以分为如下一些方面:
◆ 机房和配线间的电源、接地、防雷、防潮、防盗、防火、防尘、防鼠、温度调节、通风条件、强电流干扰等。
◆ 地震、火灾、洪水、台风等。
◆ 人为误操作、有意破坏信息系统或通信线路或设备、恐怖活动、战争等。
◆ 线路搭听、从网络入口处侵入网络等。
(2)计算机硬件和软件的资产安全:主要包括计算机硬件不被替换或者移走,所使用的计算机软件是否存在版权问题,是否使用了不允许使用的软件等。
(3)网络体系结构安全:主要包括如下一些内容:
◆ 相对独立的局域网的拓扑结构不存在环路。
◆ 通信线路通信性能上不存在瓶颈。
◆ 通信线路某一部分故障影响的范围尽可能小。
◆ 通信网络设备故障影响的范围尽可能小。
4. 企业网站建设需要注意什么
1、企业网站建设的目的要明确
企业网站的功能无非就是品牌宣传、企业推广、线上营销等作用,但具体要建设网站或开发网站时,要明确该网站的功能定位,比如以品牌宣传为主的网站可能对美工、图片要求高,以展现企业品牌形象。以营销为主的网站要展现产品、客户案例,这样方便客户了解产品详情
2、企业网站的导航栏目要做好
当前,企业网站设计都推崇简约、简洁的网站风格,整个网站看起来一目了然,界面外观大方、美观,企业品牌网站等都透着简约而不简单的风格,这些网站有一个共同特点,就是导航栏目用心设计、层次鲜明。这种规范化的导航栏目,既展现了网站主要内容,又方便客户浏览整个网站内容,同时显示出企业特点。
3、企业网站要方便查看
进入网站一般都是有针对性的浏览某一产品内容,所以,为了方便客户查询,可以在显眼的位置放上搜索框,帮助客户短时间内找到想要了解的信息。
4、官方网站页面颜色种类不能太多
有些企业管理人员没有考虑到企业市场用户对于网页审美,就按照自己的意愿审美在网站当中加入过多颜色,一个网站的颜色种类过多的话,只会让浏览者感觉这个网站不伦不类。如果大家有时间可以去浏览一下你们同行的网站,世界知名品牌的企业官网,从中你就可以深入的发现,他们网站的运用的颜色都是不会超过3种的。
5、网站页面板块层次应该分明
用户在进入到你的企业官网浏览网页内容时,一定是要让他们看到他们想要看到有用的的内容,一些网页的建设是非常不专业,板块层次不清晰,用户进入到网页需要花费很长时间才能够找到他们想要看到的内容,这种网站网页是不受用户喜欢,长久下去就没有用户愿意浏览。
6、网站页面图片视频适量
当你发现自己网站网页打开速度缓慢时,在你排除了服务器、网速、黑客攻击,那就是网站中加入了过多视频和图片,虽然说现在大家马上就要使用5G网速特别快,但是离5G普及还有那么一段时间,这个时候你必须要将网页当中视频和图片保持一定量。
7、网站页面导航栏清晰
对于新来网站用户人群来说,想要更好体验浏览这个网页,网页导航栏就是他们的地图,如果这个地图制作的不清楚明朗,那么不仅起不到引导作用,还会让用户流量流失。
5. 企业网站建设的主要功能有哪些
企业网站建设的主要功能有以下几点:
第一、展示企业形象
公司可以利用企业网页,宣传企业自身。通过网站,企业可以向外宣传企业的文化、企业的状况以及企业的产品和服务品质等。此外,通过及时发布产品信息以及产品的各种性能参数,使用说明等更好的帮助用户使用自己的产品,从而更好的赢得用户信任。
第二、提高产品推广范围
通过企业网站建站可以更好的宣传企业的产品,使其网页上的产品信息更加方便地传达到用户手中,以前的线下宣传传播途径和范围比较小,而通过网络宣传的渠道宣传范围就非常广泛了,不仅附近的客户可以看到,外省的甚至外国的客户都可能看到。这样,产品销售渠道就得到了很大程度的拓展,吸引到更多的用户群体,因此可以为企业的产品走得更远打下了坚实的基础,从而更好的推广产品。
第三、节省成本
利用网站可以降低企业营销推广成本。企业网站建站跟普通的广告以及其他营销手段来说花费相对更加低廉,而效果更好,以前宣传展示产品都是靠纸质的宣传单等,不仅制作成本高,而且不环保,所以企业可以通过更少的花费完成更高的推广目标。并且通过网站也可以降低销售成本及原材料采购成本,从而更好地提高了产品竞争力,这样就从综合程度上为企业赢得了更好的商业机会。
企业通过互联网可以寻求更多的合作伙伴,以及进行一些信息收集,可以更好地与用户进行沟通交流,从而能够更及时的提高产品的质量以及服务品质,从而能使企业有更好的发展。
6. 公司网络安全
企业网络安全认知与防范
在科学技术发展的今天,计算机和计算机网络正在逐步改变着人们的工作和生活方式,尤其是Internet的广泛使用更为企业的管理、运营和统计等带来了前所未有的高效和快捷。但同时计算机网络的安全隐患亦日益突出。
从网络结构上来看,企业网可分为三个部分。即企业的内部网络、企业的外部网络和企业广域网。网站建立的目的主要是帮助企业建立一个展示企业文化,发布企业信息,宣传企业形象和介绍企业产品的这样一个信息平台。如图就是一个实际的企业网络拓扑图。
★ 威胁安全的主要因素
由于企业网络由内部网络、外部网络和企业广域网组成,网络结构复杂,威胁主要来自:病毒的侵袭、黑客的入侵、拒绝服务、密码破解、网络窃听、数据篡改、垃圾邮件、恶意扫描等。大量的非法信息堵塞合法的网络通信,最后摧毁网络架构本身。
下面来分析几个典型的攻击方式:
密码破解 是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码。除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码。
网络窃听 是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。
数据篡改 是截获并修改网络上特定的数据包来破坏目标数据的完整性。
地址欺骗 是攻击者将自身IP伪装成目标机器信任的机器的IP 地址,以此来获得对方的信任。
垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件,或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。
非法入侵 是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动,一旦企业的重要数据被窃将会给企业造成无法挽回的损失。
★ 企业网络安全的防范
企业网络安全的防范策略目的就是决定一个组织机构怎样来保护自己。一般来说,安全策略包括两个部分:一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。一般是由管理层的官员来主持制定这种政策以建立该组织机构的信息系统安全计划和其基本框架结构。
物理隔离 即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到Internet,在同一时候,始终只有一块硬盘处于工作状态,这样就达到了真正意义上的物理安全隔离。
远程访问控制 主要是针对于企业远程拨号用户,在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP 地址与MAC地址的动态绑定,以保证非授权用户不能进入。
病毒的防护 在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
防火墙 目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
★ 结束语
企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。如何才能持续停留在知识曲线的最高点,把握住企业网络安全的大门这将是对新一代网络管理人员的挑战。
资料:
网络安全
http://www.xfocus.net/ 这个网站差不多够你看的了。
企业网络安全八大威胁 IM和电邮上榜
http://tech.sina.com.cn/i/2007-09-14/07401739285.shtml
7. 如何构建企业的网络安全体系
应重点加强对产品研发的信息安全保障,提升企业信息安全防护意识。信息安全保障如下:网络安全、终端安全、数据安全、文档安全管理等几个方面。上网行为管理网关、终端安全(打印机、U盘、上网行为管控、移动设备访问)、数据安全(文件加密、U盘加密等加密类产品)、文档安全管理(云文档存储、文件外发安全),全方位保护企业信息安全……防患于未然
产品代表天锐绿盾、赛门铁克,但铁克做备份和杀毒,天锐绿盾做企业信息安全
8. 企业为什么要建设网络信息安全
网络安全是21世纪世界十大热门课题之一,已经成为世界关注的焦点。 网络安全威胁对我国安全的影响主要体现在: 对网络安全各种技术及研发和应用,管理(成立中央网络信息安全领导小组等组织机构、经济和国防等安全保障体系)的加强和改进,以及法律、法规、政策、策略、规范、标准、机制、规划和措施等。实际上,网络安全是个系统工程,网络安全技术需要与安全管理和保障措施紧密结合,才能更好地发挥作用。 具体参见:上海高校优秀教材奖 贾铁军教授主编 网络安全技术及应用(第2版)。
9. 如何给公司网站防护,构建企业网络安全防护
建议楼主可以试试360企业版。360企业版 = 360安全卫士 + 360管理控制中心, 360管理控制中心为企业集中管理内网电脑搭建了一个全能平台, 在统一的平台上满足了广大企业对于集中杀毒,体检,打补丁的迫切需求。