论文部分内容阅读
【摘 要】 当今这个网络环境下,不少企业也是因为网络造成数据丢失或被篡改,给企业造成不小的损失。网络安全越来越受到人们的重视,成为企业建立网络所必须考虑和解决的主要难题。本文讨论了目前企业中网络安全常见的问题,并在各个层次的安全性上给出了解决办法。
【关键词】 企业网;网络安全;应用安全性;安全意识
随着国家网络信息化建设的不断推进和发展,各个企业都脱离了那种单纯的用一台计算机来处理数据的阶段。更多的是使用多台计算机组成一个网络来实现办公自动化、数据的实时传递、电子邮件收发等。但是在目前的企业网络中一般存在哪些安全隐患呢?我们又该如何去应对呢?
1.影响计算机终端安全管理的因素
1.1自然灾害因素
自然灾害的发生是不可避免的,如地震、洪水、火灾等等所引起的计算机系统的破坏,从而引起的信息的丢失或损坏,这些威胁不受人为控制,但是产生的损失却不可小视。组织可以制定适当的安全措施来抵御这种威胁,比如对重要信息采取多种备份方式并分散存储,制定完善的灾难恢复机制等都可以极大的降低自然灾害因素对企业带来的损失。
1.2人为主观因素
人为主观因素可分为两个方面:恶意行为和非恶意行为。
(1)恶意行为。内部员工或可进入组织内部的其他人员的恶意行为是组织信息安全的最大威胁之一,这些内部员工对内部组织结构及系统都相对比较熟悉,他们知道何种操作能给组织带来最大的损失,他们可以充分利用这一优势来达到自己的目的。与计算机终端操作相关的恶意操作大致可分为:非授权访问;破环数据完整性;利用网络传播病毒等。
(2)非恶意行为。对于组织的内部员工,虽然他们并没有恶意动机进行破坏,但是由于缺乏相应的安全意识,他们的一些疏忽或错误操作都可能直接或间接的对组织的信息数据造成潜在的安全威胁。如员工对一些重要文件的误操作可能导致信息的破环或丢失;员工对计算机终端的不合理配置可能导致系统存在漏洞或重要数据泄露等等。由于内部员工的这些不当操作具有很大的不确定性,因此可以说对组织具有很大的安全威胁。非恶意员工可能造成的威胁有:帐户外泄;不安全的文件共享;系统补丁未及时更新;未及时防病毒等。
1.3系统漏洞因素
漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当等引起的。在实际应用的系统中,都会不同程度的存在各种潜在的安全性错误,对于操作系统这样一个庞大的软件系统而言,安全漏洞的存在更是不可避免的。安全漏洞会给黑客或入侵者提供入侵系统的机会,入侵者可能会研究分析漏洞,加以利用而绕过系统的安全机制而获得一定程度的访问权限,从而达到自己的目的。
1.4恶意代码因素
对计算机终端系统中数据的保密性、完整性和可用性最顽固的威胁是恶意代码,最常见的形式有:(1)病毒。它是一种计算机程序,该程序执行时可以未经允许就把自身复制到另一个程序之中,感染该病毒的程序在执行时仍以这种方式把自身复制到另一程序之中。这些行为都会极大影响计算机终端,并对整个组织内部网络都造成极大危害。(2)蠕虫。它是一种未经许可就可以把自身复制到网络节点上的计算机程序。蠕虫可以将其一部分散布到网络其他计算机上,占用大量的内存空间和处理时间,最终可能导致死机。(3)特洛伊木马。它指有预谋的隐藏在程序之中的一组计算机指令,是一种计算机程序,它可以伪装成合法程序,做一些用户并不希望的事情。
2.相关计算机安全管理技术
2.1访问控制技术
访问控制是网络安全防范和保护的丰要技术之一,他的主要任务是保证网络资源不被非法使用和访问。访问控制技术用来控制用户对网络资源的合法使用,访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。(1)入网访问控制。通过对用户账户和口令的认证与识别来实现用户对网络或资源的访问控制。它主要控制哪些用户能登陆服务器并获取网络资源,控制准许用户的入网时间以及可登陆的服务器。(2)权限控制。权限控制是针对网络非法操作所提出的一种安全保护措施。不同用户和用户组被赋予不同的权限级别,通过权限设置控制用户和用户组对网络资源的访问范围及对可访问资源的操作性。(3)目录及文件属性控制。目录及文件属性控制可以实现进一步的信息安全,可以控制用户对目录、文件或设备的访问,用户或用户组被设置相应的权限来获得对目录或文件的访问。文件属性控制可以针对文件、目录等设置访问属性,如访问、修改、删除、拷贝等属性控制,适当的属性控制可防止由于用户对资源的误操作,可见属性安全是在权限安全的基础上提供的更进一步的安全。
2.2VPN技术
VPN(Virtual Private Network)是一种通过ISP和其他NSP,在公网如Internet中建立用户私有專用的数据通信网络技术,通过私有隧道在公共数据网上仿真一条点到点的专线,主要采用四项核心技术:安全隧道技术、密钥管理技术、访问控制技术和用户身份认证技术。
安全隧道技术是VPN的一项基本技术,主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络,从而实现对公用网络的透明性。隧道技术保证在公网上建立专用的私有通道,它主要遵循以下四种隧道协议:PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议。
2.3防病毒技术
计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是终端安全域与网络安全性建设中重要的一环。防病毒技术包括预防病毒、检测病毒和病毒清除三种技术:(1)预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。(2)检测病毒技术。它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。(3)清除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
3.保证计算机终端安全的对策与建议
3.1限制恶意代码
恶意代码对终端具有严重危害,限制恶意代码是实现终端安全的重要手段,限制恶意代码可以从以下三个方面入手:限制恶意代码进入系统;限制恶意代码运行;限制恶意代码通信。首先我们希望恶意代码远离系统,其次,如果它进入了系统,我们要尽量阻止它运行,最后如果它运行了,只有尽力阻止它向其他系统扩散。为了达到目的,可以采取以下几种终端配置:(1)基于主机的防火墙。Windows内置的基于主机的防火墙可以限制从其他计算机传入的信息,防御穿过外围网络或来自组织内部的网络攻击,可以防止在未经允许的情况下尝试连接到计算机。(2)IPSec过滤。IPSec可以实现过滤出入主机的数据流,通过建立IPSec策略规则来限制通过特定端口的数据,有时在某种程度上对限制蠕虫等恶意代码的传播非常有效。(3)软件限制。软件限制策略是根据一定规则来控制应用程序的在计算机上的运行能力,能有效的防止恶意代码的运行。为了保护客户端远离恶意代码,应尽可能多地使用软件限制策略。软件限制策略可以通过定义组策略强制作用到特定的域或工作组,从而增强客户端的安全性。(4)恶意代码防护软件。防病毒软件及反间谍软件可以很大程度上防止恶意代码侵入系统,因此,在大多数终端上都应安装合适的反病毒软件。
3.2完善终端帐户配置
(1)更改或禁用Administrator帐户名。对于终端计算机,应更改系统管理员的默认帐户,以避免被人破解密码,而且改后帐户名应尽量复杂,不易被猜到。(2)终端禁止其他用户登录。终端仅允许其唯一使用者登录,采用用户与终端计算机一对一的使用关系,防止交叉使用带来潜在威胁。(3)禁用本机的Guest账号。(4)用户密码安全。密码应定期更改;密码应该遵循一定的复杂对规则,如应规定最小长度,规定应包含尽可能多的字符集等以增加密码复杂度;对于有多个帐户的用户来说,应该禁止使用相同的口令,甚至包括邮件系统等的密码都不与系统登录密码相同。
参考文献:
[1]李涛.网络安全概论[M]北京:电子工业出版社,2008
[2]何莉,许林英,姚鹏海.计算机网络概论[M].北京:高等教育出版社,2009
【关键词】 企业网;网络安全;应用安全性;安全意识
随着国家网络信息化建设的不断推进和发展,各个企业都脱离了那种单纯的用一台计算机来处理数据的阶段。更多的是使用多台计算机组成一个网络来实现办公自动化、数据的实时传递、电子邮件收发等。但是在目前的企业网络中一般存在哪些安全隐患呢?我们又该如何去应对呢?
1.影响计算机终端安全管理的因素
1.1自然灾害因素
自然灾害的发生是不可避免的,如地震、洪水、火灾等等所引起的计算机系统的破坏,从而引起的信息的丢失或损坏,这些威胁不受人为控制,但是产生的损失却不可小视。组织可以制定适当的安全措施来抵御这种威胁,比如对重要信息采取多种备份方式并分散存储,制定完善的灾难恢复机制等都可以极大的降低自然灾害因素对企业带来的损失。
1.2人为主观因素
人为主观因素可分为两个方面:恶意行为和非恶意行为。
(1)恶意行为。内部员工或可进入组织内部的其他人员的恶意行为是组织信息安全的最大威胁之一,这些内部员工对内部组织结构及系统都相对比较熟悉,他们知道何种操作能给组织带来最大的损失,他们可以充分利用这一优势来达到自己的目的。与计算机终端操作相关的恶意操作大致可分为:非授权访问;破环数据完整性;利用网络传播病毒等。
(2)非恶意行为。对于组织的内部员工,虽然他们并没有恶意动机进行破坏,但是由于缺乏相应的安全意识,他们的一些疏忽或错误操作都可能直接或间接的对组织的信息数据造成潜在的安全威胁。如员工对一些重要文件的误操作可能导致信息的破环或丢失;员工对计算机终端的不合理配置可能导致系统存在漏洞或重要数据泄露等等。由于内部员工的这些不当操作具有很大的不确定性,因此可以说对组织具有很大的安全威胁。非恶意员工可能造成的威胁有:帐户外泄;不安全的文件共享;系统补丁未及时更新;未及时防病毒等。
1.3系统漏洞因素
漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当等引起的。在实际应用的系统中,都会不同程度的存在各种潜在的安全性错误,对于操作系统这样一个庞大的软件系统而言,安全漏洞的存在更是不可避免的。安全漏洞会给黑客或入侵者提供入侵系统的机会,入侵者可能会研究分析漏洞,加以利用而绕过系统的安全机制而获得一定程度的访问权限,从而达到自己的目的。
1.4恶意代码因素
对计算机终端系统中数据的保密性、完整性和可用性最顽固的威胁是恶意代码,最常见的形式有:(1)病毒。它是一种计算机程序,该程序执行时可以未经允许就把自身复制到另一个程序之中,感染该病毒的程序在执行时仍以这种方式把自身复制到另一程序之中。这些行为都会极大影响计算机终端,并对整个组织内部网络都造成极大危害。(2)蠕虫。它是一种未经许可就可以把自身复制到网络节点上的计算机程序。蠕虫可以将其一部分散布到网络其他计算机上,占用大量的内存空间和处理时间,最终可能导致死机。(3)特洛伊木马。它指有预谋的隐藏在程序之中的一组计算机指令,是一种计算机程序,它可以伪装成合法程序,做一些用户并不希望的事情。
2.相关计算机安全管理技术
2.1访问控制技术
访问控制是网络安全防范和保护的丰要技术之一,他的主要任务是保证网络资源不被非法使用和访问。访问控制技术用来控制用户对网络资源的合法使用,访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。(1)入网访问控制。通过对用户账户和口令的认证与识别来实现用户对网络或资源的访问控制。它主要控制哪些用户能登陆服务器并获取网络资源,控制准许用户的入网时间以及可登陆的服务器。(2)权限控制。权限控制是针对网络非法操作所提出的一种安全保护措施。不同用户和用户组被赋予不同的权限级别,通过权限设置控制用户和用户组对网络资源的访问范围及对可访问资源的操作性。(3)目录及文件属性控制。目录及文件属性控制可以实现进一步的信息安全,可以控制用户对目录、文件或设备的访问,用户或用户组被设置相应的权限来获得对目录或文件的访问。文件属性控制可以针对文件、目录等设置访问属性,如访问、修改、删除、拷贝等属性控制,适当的属性控制可防止由于用户对资源的误操作,可见属性安全是在权限安全的基础上提供的更进一步的安全。
2.2VPN技术
VPN(Virtual Private Network)是一种通过ISP和其他NSP,在公网如Internet中建立用户私有專用的数据通信网络技术,通过私有隧道在公共数据网上仿真一条点到点的专线,主要采用四项核心技术:安全隧道技术、密钥管理技术、访问控制技术和用户身份认证技术。
安全隧道技术是VPN的一项基本技术,主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络,从而实现对公用网络的透明性。隧道技术保证在公网上建立专用的私有通道,它主要遵循以下四种隧道协议:PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议。
2.3防病毒技术
计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是终端安全域与网络安全性建设中重要的一环。防病毒技术包括预防病毒、检测病毒和病毒清除三种技术:(1)预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。(2)检测病毒技术。它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。(3)清除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
3.保证计算机终端安全的对策与建议
3.1限制恶意代码
恶意代码对终端具有严重危害,限制恶意代码是实现终端安全的重要手段,限制恶意代码可以从以下三个方面入手:限制恶意代码进入系统;限制恶意代码运行;限制恶意代码通信。首先我们希望恶意代码远离系统,其次,如果它进入了系统,我们要尽量阻止它运行,最后如果它运行了,只有尽力阻止它向其他系统扩散。为了达到目的,可以采取以下几种终端配置:(1)基于主机的防火墙。Windows内置的基于主机的防火墙可以限制从其他计算机传入的信息,防御穿过外围网络或来自组织内部的网络攻击,可以防止在未经允许的情况下尝试连接到计算机。(2)IPSec过滤。IPSec可以实现过滤出入主机的数据流,通过建立IPSec策略规则来限制通过特定端口的数据,有时在某种程度上对限制蠕虫等恶意代码的传播非常有效。(3)软件限制。软件限制策略是根据一定规则来控制应用程序的在计算机上的运行能力,能有效的防止恶意代码的运行。为了保护客户端远离恶意代码,应尽可能多地使用软件限制策略。软件限制策略可以通过定义组策略强制作用到特定的域或工作组,从而增强客户端的安全性。(4)恶意代码防护软件。防病毒软件及反间谍软件可以很大程度上防止恶意代码侵入系统,因此,在大多数终端上都应安装合适的反病毒软件。
3.2完善终端帐户配置
(1)更改或禁用Administrator帐户名。对于终端计算机,应更改系统管理员的默认帐户,以避免被人破解密码,而且改后帐户名应尽量复杂,不易被猜到。(2)终端禁止其他用户登录。终端仅允许其唯一使用者登录,采用用户与终端计算机一对一的使用关系,防止交叉使用带来潜在威胁。(3)禁用本机的Guest账号。(4)用户密码安全。密码应定期更改;密码应该遵循一定的复杂对规则,如应规定最小长度,规定应包含尽可能多的字符集等以增加密码复杂度;对于有多个帐户的用户来说,应该禁止使用相同的口令,甚至包括邮件系统等的密码都不与系统登录密码相同。
参考文献:
[1]李涛.网络安全概论[M]北京:电子工业出版社,2008
[2]何莉,许林英,姚鹏海.计算机网络概论[M].北京:高等教育出版社,2009