论文部分内容阅读
企业网是企业信息化建设和发展的基础,但近年来,企业网面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,极大地困扰着用户,给企业的信息网络造成严重的破坏威胁。如何为企业用户提供一个安全、稳定的网络应用平台已成为一个日益突出的问题。
一、企业网现况分析
企业为充分合理地利用内外部资源,提高管理水平和效益,把企业内不同区域、不同部门的各种信息资源通过网络技术有机地结合在一起,构成企业网,便利的同时企业网的安全问题也伴随而来。
(一)威胁分析
一是来自内外部的威胁不断的袭扰网络的安全,来自外部的威胁,黑客扫描和攻击和病毒或蠕虫侵袭,通过渗透或绕过防火墙,进入网络,获取、篡改甚至破坏敏感的数据,乃至破坏企业的正常业务和生产运行。
二是出现在内部的威胁,无意识的外部风险引入和内部故意破坏行为的发生,由于安全技能和安全意识存在差异,将危险的、恶意的木马程序和恶意代码下载到内部网络执行,甚至传播进入内部网络,这将对企业网络的安全带来严重威胁。
(二)风险分析
针对企业服务器群的网络安全现状,根据对网络系统的风险分析,我们发现企业的服务器区信息安全需求主要在以下方面:
1、防御来自外部的威胁,阻止网络病毒、间谍软件和黑客攻击对企业网造成的安全损失,提高企业网络的整体抗攻击能力;
2、防御来自内部的威胁,管控人员行为意识,阻断网络病毒爆发对企业网络的破坏,保障网络的正常运行;
3、监控整体网络的安全运行,全面把握安全状态,以便于及时的发现安全攻击,防止安全事件的发生。
二、企业网络安全体系建设
(一)设计网络安全体系的原则
1、安全性:设计网络安全体系的最终目的是为了保护信息与网络系统安全,所有安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性盒可用性。
2、可行性:设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全系统本身也就没有了实际价值。
3、高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点,要求安全防护系统本身不能妨碍网络系统的正常运行。
4、可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方案的工作都要由企业支持,所以,在设计网络安全体系时,必须考虑企业的运维特点和实际承受能力。
(二)网络安全体系构建基础
1、安全风险评估
网络安全评估是根据评估目标和评估内容的要求构建的一组反映网络安全水平的相关指标,据以搜集评估对象的有关信息资料,反映评估对象的网络安全的基本面貌、素质和水平。
2、安全区域的划分
安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。
3、规定安全边界
安全边界是独立的安全区域与外部环境的连接处,是防御外来攻击的关口,根据企业具体的业务范围,必须规定安全边界上的连接情况,并进行过滤和控制,防止非法用户的入侵以及系统敏感信息的外泄。
4、技术实现
(1)防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
(2)病毒防护技术
病毒历來是信息系统安全的主要问题之一,需要从防毒、查毒、解毒三方面来进行计算机病毒的防治。主要包括实时监测预警,及时发出警报,快速查找病毒来源,排查影响范围,以及及时恢复被病毒感染前的原始信息的能力。
(3)入侵检测技术
入侵检测系统是提供实时的入侵检测及采取相应的防护手段,具备内外双向检测机制,能够记录证据用于跟踪和恢复、应急处置等。
(4)安全扫描技术
安全扫描技术一般分为针对服务器或网络的扫描。服务器扫描与相应的服务器操作系统紧密相关,主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。网络扫描主要扫描设定网络内的终端及设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
(5)认证和数字签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现,实现双方的可信通讯。
5、安全体系评估与测试
安全体系质量的评估也是检验体系是否达到安全性、高效性、可行性、可承担性的要求。某个网络系统的安全体系时针对系统而言的,它不能用于另外的某个系统,所以我们设计企业局网安全体系,必须在一定的理论指导性,以风险与评估、安全需求分析为基础,结合具体的实际情况进行研究分析。
(三)网络安全体系的可靠性
网络的脆弱性分为三类:行为管理、配置管理、技术能力。
1、行为管理:让员工知道什么可以做,什么不可以做,建立有效安全意识,有效防控无意行为的发生。
2、配置管理:及时的更新,根据网络中异常行为的检查,及时更新设备及系统的安全策略,降低不合规策略及老旧策略的隐患。
3、技术能力:安全技术理论在不断更新,关键技术设备和技术手段的不断完善,持续化的更新才能保障技术的有效性。
三、结束语
一个完整的网络安全体系必须具备以下特点:结构合理的网络安全体系结构;能够通过不断的培训和学习提高管理人员素质和技能;做好系统补丁与设备代码的及时升级;形成制度化的日常数据和系统状态资料的备份;保持低值的渗透成功率;以及规范的网络行为管理并具有严厉惩罚及打击所有的网络恶意行为的手段。这些特点是企业网络成熟的标识,也是每个网管人员努力的方向,但万能的网络安全解决方案是不存在的,企业网络安全体系设计首先要考虑企业的网络应用特点,量力而行,不要片面追求技术的先进性。
参考文献:
[1]杨义先《网络信息安全与保密》
[2]任冀湘《对企业级局域网的网络安全问题探讨》
一、企业网现况分析
企业为充分合理地利用内外部资源,提高管理水平和效益,把企业内不同区域、不同部门的各种信息资源通过网络技术有机地结合在一起,构成企业网,便利的同时企业网的安全问题也伴随而来。
(一)威胁分析
一是来自内外部的威胁不断的袭扰网络的安全,来自外部的威胁,黑客扫描和攻击和病毒或蠕虫侵袭,通过渗透或绕过防火墙,进入网络,获取、篡改甚至破坏敏感的数据,乃至破坏企业的正常业务和生产运行。
二是出现在内部的威胁,无意识的外部风险引入和内部故意破坏行为的发生,由于安全技能和安全意识存在差异,将危险的、恶意的木马程序和恶意代码下载到内部网络执行,甚至传播进入内部网络,这将对企业网络的安全带来严重威胁。
(二)风险分析
针对企业服务器群的网络安全现状,根据对网络系统的风险分析,我们发现企业的服务器区信息安全需求主要在以下方面:
1、防御来自外部的威胁,阻止网络病毒、间谍软件和黑客攻击对企业网造成的安全损失,提高企业网络的整体抗攻击能力;
2、防御来自内部的威胁,管控人员行为意识,阻断网络病毒爆发对企业网络的破坏,保障网络的正常运行;
3、监控整体网络的安全运行,全面把握安全状态,以便于及时的发现安全攻击,防止安全事件的发生。
二、企业网络安全体系建设
(一)设计网络安全体系的原则
1、安全性:设计网络安全体系的最终目的是为了保护信息与网络系统安全,所有安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性盒可用性。
2、可行性:设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全系统本身也就没有了实际价值。
3、高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点,要求安全防护系统本身不能妨碍网络系统的正常运行。
4、可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方案的工作都要由企业支持,所以,在设计网络安全体系时,必须考虑企业的运维特点和实际承受能力。
(二)网络安全体系构建基础
1、安全风险评估
网络安全评估是根据评估目标和评估内容的要求构建的一组反映网络安全水平的相关指标,据以搜集评估对象的有关信息资料,反映评估对象的网络安全的基本面貌、素质和水平。
2、安全区域的划分
安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。
3、规定安全边界
安全边界是独立的安全区域与外部环境的连接处,是防御外来攻击的关口,根据企业具体的业务范围,必须规定安全边界上的连接情况,并进行过滤和控制,防止非法用户的入侵以及系统敏感信息的外泄。
4、技术实现
(1)防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
(2)病毒防护技术
病毒历來是信息系统安全的主要问题之一,需要从防毒、查毒、解毒三方面来进行计算机病毒的防治。主要包括实时监测预警,及时发出警报,快速查找病毒来源,排查影响范围,以及及时恢复被病毒感染前的原始信息的能力。
(3)入侵检测技术
入侵检测系统是提供实时的入侵检测及采取相应的防护手段,具备内外双向检测机制,能够记录证据用于跟踪和恢复、应急处置等。
(4)安全扫描技术
安全扫描技术一般分为针对服务器或网络的扫描。服务器扫描与相应的服务器操作系统紧密相关,主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。网络扫描主要扫描设定网络内的终端及设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
(5)认证和数字签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现,实现双方的可信通讯。
5、安全体系评估与测试
安全体系质量的评估也是检验体系是否达到安全性、高效性、可行性、可承担性的要求。某个网络系统的安全体系时针对系统而言的,它不能用于另外的某个系统,所以我们设计企业局网安全体系,必须在一定的理论指导性,以风险与评估、安全需求分析为基础,结合具体的实际情况进行研究分析。
(三)网络安全体系的可靠性
网络的脆弱性分为三类:行为管理、配置管理、技术能力。
1、行为管理:让员工知道什么可以做,什么不可以做,建立有效安全意识,有效防控无意行为的发生。
2、配置管理:及时的更新,根据网络中异常行为的检查,及时更新设备及系统的安全策略,降低不合规策略及老旧策略的隐患。
3、技术能力:安全技术理论在不断更新,关键技术设备和技术手段的不断完善,持续化的更新才能保障技术的有效性。
三、结束语
一个完整的网络安全体系必须具备以下特点:结构合理的网络安全体系结构;能够通过不断的培训和学习提高管理人员素质和技能;做好系统补丁与设备代码的及时升级;形成制度化的日常数据和系统状态资料的备份;保持低值的渗透成功率;以及规范的网络行为管理并具有严厉惩罚及打击所有的网络恶意行为的手段。这些特点是企业网络成熟的标识,也是每个网管人员努力的方向,但万能的网络安全解决方案是不存在的,企业网络安全体系设计首先要考虑企业的网络应用特点,量力而行,不要片面追求技术的先进性。
参考文献:
[1]杨义先《网络信息安全与保密》
[2]任冀湘《对企业级局域网的网络安全问题探讨》