發布時間:2023-12-24 16:39:07
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業網絡安全評估樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號:TN915.08文獻標識碼:A文章編號:2095-2104(2013)
1、中小型企業網絡安全問題的研究背景
隨著企業信息化的推廣和計算機網絡的成熟和擴大,企業的發展越來越離不開網絡,而伴隨著企業對網絡的依賴性與日俱增,企業網絡的安全性問題越來越嚴重,大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘,在信息網絡越來越發達的今天,企業要發展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業的發展,甚至關乎到了企業的存亡。
2 、中小型企業網絡安全的主要問題
2.1什么是網絡安全
網絡安全的一個通用定義:網絡安全是指網絡系統中的軟、硬件設施及其系統中的數據受到保護,不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統能夠連續、可靠地正常運行,網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性的相關技術和理論,都是網絡安全主要研究的領域。
2.2網絡安全架構的基本功能
網絡信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性又被稱為網絡安全目標,對于任何一個企業網絡來講,都應該實現這五個網絡安全基本目標,這就需要企業的網絡應用架構具備防御、監測、應急、恢復等基本功能。
2.3中小型企業的主要網絡安全問題
中小型企業主要的網絡安全問題主要體現在3個方面.
1、木馬和病毒
計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業業務的連續性和有效性,某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業業務徹底癱瘓。與此同時,公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經意間將病毒和木馬帶入企業網絡并進行傳播,進而給企業造成巨大的經濟損失。由此可見,網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點,包括網絡的邊界位置以及內部網絡環境。
2、信息竊取
信息竊取是企業面臨的一個重大問題,也可以說是企業最急需解決的問題。網絡黑客通過入侵企業網絡盜取企業信息和企業的客戶信息而牟利。解決這一問題,僅僅靠在網絡邊緣位置加強防范還遠遠不夠,因為黑客可能會伙同公司內部人員(如員工或承包商)一起作案。信息竊取會對中小型企業的發展造成嚴重影響,它不僅會破壞中小型企業賴以生存的企業商譽和客戶關系。還會令企業陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。
3、業務有效性
計算機木馬和病毒并不是威脅業務有效性的唯一因素。隨著企業發展與網絡越來越密不可分,網絡開始以破壞公司網站和電子商務運行為威脅條件,對企業進行敲詐勒索。其中,以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業網絡的大量帶寬,使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的:數據和訂單丟失,客戶請求被拒絕……同時,當被攻擊的消息公之于眾后,企業的聲譽也會隨之受到影響。
3如何打造安全的中小型企業網絡架構
通過對中小型企業網絡存在的安全問題的分析,同時考慮到中小型企業資金有限的情況,我認為打造一個安全的中小型企業網絡架構應遵循以下的過程:首先要建立企業自己的網絡安全策略;其次根據企業現有網絡環境對企業可能存在的網絡隱患進行網絡安全風險評估,確定企業需要保護的重點;最后選擇合適的設備。
3.1建立網絡安全策略
一個企業的網絡絕不能簡簡單單的就定義為安全或者是不安全,每個企業在建立網絡安全體系的第一步應該是定義安全策略,該策略不會去指導如何獲得安全,而是將企業需要的應用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進不來”——可用性: 授權實體有權訪問數據,讓非法的用戶不能夠進入企業網。
2.“出不去”——可控性: 控制授權范圍內的信息流向及操作方式,讓企業網內的商業機密不被泄密。
3.“讀不懂”——機密性: 信息不暴露給未授權實體或進程,讓未被授權的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數據不被未授權修改。
5.“走不脫”——可審查性:對出現的安全問題提供依據與手段。
在“五不原則”的基礎上,再針對企業網絡內的不同環節采取不同的策略。
3.2 信息安全等級劃分
根據我國《信息安全等級保護管理辦法》,我國所有的企業都必須對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。具體劃分情況如下:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
因此,中小型企業在構建企業信息網絡安全架構之前,都應該根據《信息安全等級保護管理辦法》,經由相關部門確定企業的信息安全等級,并依據界定的企業信息安全等級對企業可能存在的網絡安全問題進行網絡安全風險評估。
3.3 網絡安全風險評估
根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統所存在的脆弱性,因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準,對網絡系統的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。
網絡安全風險評估對企業的網絡安全意義重大。首先,網絡安全風險評估是網絡安全的基礎工作,它有利于網絡安全的規劃和設計以及明確網絡安全的保障需求;另外,網絡安全風險評估有利于網絡的安全防護,使得企業能夠對自己的網絡做到突出防護重點,分級保護。
3.4確定企業需要保護的重點
針對不同的企業,其需要保護的網絡設備和節點是不同的。但是企業信息網絡中需要保護的重點在大體上是相同的,我認為主要包括以下幾點:
1.要著重保護服務器、存儲的安全,較輕保護單機安全。
企業的運作中,信息是靈魂,一般來說,大量有用的信息都保存在服務器或者存儲設備上。在實際工作中,企業應該要求員工把相關的資料存儲在企業服務器中。企業可以對服務器采取統一的安全策略,如果管理策略定義的好的話,在服務器上文件的安全性比單機上要高的多。所以在安全管理中,企業應該把管理的重心放到這些服務器中,要采用一切必要的措施,讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業服務器的防護。
2.邊界防護是重點。
當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要,相反的邊界防護是網絡防護的重點。網絡邊界是企業網絡與其他網絡的分界線,對網絡邊界進行安全防護,首先必須明確到底哪些網絡邊界需要防護,這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分,負責對網絡流量進行最初及最后的過濾,對一些公共服務器區進行保護,VPN技術也是在網絡邊界設備建立和終結的,因此邊界安全的有效部署對整網安全意義重大。
3.“”保護。
企業還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發部門。類似的部門一旦發生網絡安全事件,往往很難估量損失。在這些區域可以采用虛擬局域網技術或者干脆做到物理隔離。
4.終端計算機的防護。
最后作者還是要提到終端計算機的防護,雖然對比服務器、存儲和邊界防護,終端計算機的安全級別相對較低,但最基本的病毒防護,和策略審計是必不可少的。
3.5選擇合適的網絡安全設備
企業應該根據自身的需求和實際情況選擇適合的網絡安全設備,并不是越貴越好,或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。
作為網絡安全重要的一環,防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一,并且幾乎所有的網絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中,最常看到的是并發連接數、網絡吞吐量兩個指標.
并發連接數:是指防火墻或服務器對其業務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數目,它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力,這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個臺計算機發生20個并發連接數計算(很多文章中提到一個經驗數據是15,但這個數值在集中辦公的地方往往會出現不足),假設企業中的計算機用戶為500人,這個企業需要的防火墻的并發連接數是:20*500*3/4=7500,也就是說在其他指標符合的情況下,購買一臺并發連接數在10000~15000之間的防火墻就已經足夠了,如果再規范了終端用戶的瀏覽限制,甚至可以更低。
網絡吞吐量:是指在沒有幀丟失的情況下,設備能夠接受的最大速率。隨著Internet的日益普及,內部網用戶訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務,這些因素會導致網絡流量的急劇增加,而防火墻作為內外網之間的唯一數據通道,如果吞吐量太小,就會成為網絡瓶頸,給整個網絡的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于企業更好的評價其性能表現。這也是測量防火墻性能的重要指標。
吞吐量的大小主要由防火墻內網卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此,大多數防火墻雖號稱100M防火墻,由于其算法依靠軟件實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。
從實際情況來看,中小型企業由于企業規模和人數的原因,一般選擇百兆防火墻就已經足夠了。
3.6投資回報率
在之前作者曾提到的中小企業的網絡特點中資金少是最重要的一個問題。不論企業如何做安全策略以及劃分保護重點,最終都要落實到一個實際問題上——企業網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上,是看不到任何產出的,那么網絡安全的投資回報率該如何計算呢?
首先,企業要確定公司內部員工在使用電子郵件和進行WEB瀏覽時,可能會違反公司網絡行為規范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業做的調查報告可知,通常有25%—30%的員工會違反企業的使用策略,作者在此選擇25%作為計算安全投資回報率的暴光值。那么,一個擁有100名員工的企業就有100x 25% = 25名違反者。
下一步,必需確定一個因素——當發現單一事件時將損失多少人民幣。可以將它稱為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規定,因此,可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如,作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后,企業需要確定在一周的工作時間之內,處理25名違規員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣,就可以按下列公式來計算單一預期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業要確定這樣的事情在一年中可能會發生多少次。可以叫它為預期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發生,一年有52周,如果除去我國的春節和十一黃金周的兩個假期,這意味著一個企業在一年中可能會發生50次這樣的事件,可以將它稱之為年發生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發生率(ARO)乘以預期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術防范措施的情況下,內部員工的違規網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監控解決方案,就可能讓企業每年減少12.5萬元人民幣的損失,這個安全防范方案當然是值得去做的。
當然,事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的,安全防范是一個持續過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術或安全解決方案并不能保證絕對的安全,因為這是不可能完成的任務。
就拿本例來說,實施這個網絡行為監控方案之后,能夠將企業內部員工的違規行為,也就是暴光值(EV)降低到2%就已經相當不錯了。而這,需要在此安全防范方案實施一段時間之后,例如半年或一年,企業才可能知道實施此安全方案后的最終效果,也就是此次安全投資的具體投資回報率是多少。
有數據表明在國外,安全投入一般占企業基礎投入的5%~20%,在國內一般很少超過2%,而網絡安全事件不論在國內外都層出不窮,企業可能在安全方面投入了很多,但是仍然頻頻發生網絡安全事故。很多企業的高層管理者對于這個問題都比較頭疼。其實網絡安全理論中著名的木桶理論,很好的解釋了這種現象。企業在信息安全方面的預算不夠進而導致了投資報酬不成比例,另外很多企業每年在安全產品上投入大量資金,但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素。缺乏系統的、科學的管理體系的支持,也是導致這種結果產生的原因。
關鍵詞:企業網絡;安全;病毒;物理
在現代企業的生存與發展過程中,企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展,但過去企業網絡處于一個封閉或者是半封閉的狀態,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素,自然給企業網絡安全帶來了更多的威脅。因此,企業網絡安全防護一個永無止境的過程,對其進行研究無論是對于網絡安全技術的應用,還是對于企業的持續發展,都具有重要的意義。
1企業網絡安全問題分析
基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面。
1.1網絡設備安全問題
企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備,時常會發生安全問題,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息,進而給企業帶來不可估量經濟損失。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。
1.2服務器操作系統安全問題
隨著企業規模的壯大以及企業業務的拓展,對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為,但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查,任何電腦都可在信號區內接入到無線網絡。
2企業網絡安全防護方案
基于上述企業網絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。
2.1網絡設備安全方案
企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提,為了提高網絡設備的整體安全指數,可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。
2.2服務器系統安全方案
企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。
2.2.1操作系統漏洞安全
目前企業網絡服務器操作系統以Windows為主,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統、安裝系統補丁外,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統部署在核心交換機的監控端口,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統
2.2.2Windows端口安全
在Windows系統中,端口是企業實現網絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業網絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看,大多數都要通過服務器TCP/UDP端口,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現訪問控制。通過對IIS配置,可實現對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學。(3)NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統,安全性能更高。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。
2.3網絡結構安全方案
2.3.1強化網絡設備安全
強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。(2)網絡設備登錄安全。為了保證網絡設備登錄安全指數,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網的安全性。
2.3.2細分網絡安全區域
目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題,可對整個網絡進行細分,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段,在每個網段均有不同的vlan,從而保證安全性。
2.3.3加強通問控制
針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通;對內服務器需要與互聯網隔離;體驗區只能訪問互聯網,不能訪問辦公網。以上功能的實現,可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫院
【關鍵詞】信息安全;安全技術;防范措施
1、前言
隨著社會和經濟的高度信息化、網絡化,現代企業的生產、管理、銷售已經和網絡密不可分,許多企業只重視利用網絡抓生產、促銷售,在全面發掘網絡帶來經濟效益的同時忽略對自身企業網絡信息安全防范的建設,一旦發生網絡信息安全問題,往往追悔莫及,保障企業網絡信息的安全可控,采取有效的防范措施是每個現代企業面臨的嚴峻問題。
2、網絡信息安全概述
對網絡信息安全定義有多種說法,本人傾向于網絡信息安全是指網絡系統的軟件、硬件及系統數據受到保護,不受意外的或惡意的原因而遭到破壞、更改、泄露,保持系統連續可靠正常地運行,網絡服務不中斷。做好企業的網絡信息系統安全首先要有良好的網絡信息安全防范意識,提高網絡信息系統軟、硬件技術保障水平、建立完善的網絡信息系統管理制度開展工作。
2.1影響網絡信息安全的因素
影響網絡信息安全的主要因素主要分為以下四大類。
2.1.1網絡信息系統的脆弱性。網絡信息系統的脆弱性包括了操作系統的脆弱性,信息系統本身的漏洞、后門,硬件系統的故障和天災人禍等,這些脆弱性使得網絡信息安全受到攻擊成為可能。
2.1.2缺乏先進的網絡安全技術、手段、工具和產品。企業在利用網絡信息開展生產、管理的同時往往缺乏安全防范意識,認為只要系統不出問題就說明沒事,對保障網絡安全系統安全的必要網絡安全技術產品不愿投入資金建設,從而造成網絡信息系統的中重大安全隱患。
2.1.3缺乏正確安全策略和管理監督制度。主要體現在部分企業認為只要購買了昂貴的網絡安全產品就萬事大吉了,缺乏正確的安全策略和管理監督制度,再好的產品也是需要員工按規定來操作和執行,沒有管理監督制度和正確的安全策略,網絡信息安全就無從談起。
2.1.4缺乏完善的網絡信息系統恢復、備份技術手段。主要體現在缺乏對網絡信息安全重要性的評估,對網絡信息受到受到攻擊、意外事件造成崩潰后缺乏網絡信息系統的恢復、備份技術和工具,造成網絡信息系統恢復的不可逆性。
3、網絡信息安全防范策略
3.1采取有效的網絡安全技術手段和措施
3.1.1采取有效身份認證技術。采取有效的身份認證技術可對具備合法信息的用戶進行確認,同時根據用戶信息對授權進行判定,給予不同的網絡信息操作權限,常用的身份認證技術主要有信息認證、密鑰認證、用戶認證等。
3.1.2防火墻技術。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,防火墻就是一個位于計算機和它所連接的網絡之間,它是一種計算機硬件防火墻件和軟件的結合,在企業內部網和外部網絡之間建立起一個安全網關,通過鑒別限制或者更改越過防火墻的各種數據流,防止外部網絡用戶未經授權的訪問,從而保護內部網免受非法用戶的侵入。
3.1.3防病毒技術。選擇先進的反病毒產品,并定期進行更新,在防病毒技術上針對企業的用戶數以服務器為基礎,提供實時掃描病毒能力,確保反病毒產品能夠部署到企業的每個工作站。確保企業所有的網絡終端都能夠部署到。
3.1.4入侵的檢測技術。入侵檢測系統能自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,有效彌補防火墻技術對內部網絡存在的非法活動監控的能力的不足,從而最大程度地為企業網絡提供安全。
3.1.5漏洞的掃描技術。通過采取漏洞掃描,及時,準確的發現自身網絡信息安全存在的漏洞和問題,有利于系統管理員采取應對措施,封堵網絡信息系統存在的漏洞和安全隱患,從而有效保障網絡信息安全,確保業務系統安全的運行。目前漏洞掃描主要分為ping掃描、端口掃描、OS探測、脆弱點探測、防火墻掃描五種主要技術。
3.1.6加密技術。通過對企業的網絡信息安全進行加密,確保網絡信息在使用和傳輸過程中的安全性,加密算法主要分為堆成加密算法和非對稱加密算法兩類,并由此衍生出加密狗、加密軟件等各類產品。
3.1.7對有特殊安全要求的網絡建立與互聯網隔離。一些特殊產品的生產管理網絡根據其安全的密級要求實行和互聯網絡隔離,確需聯絡的需采取單向光閘等措施保證其安全性。
3.2建立完善的網絡信息安全的管理制度和安全應對策略。據統計,70%以上的信息安全威脅來自于企業內部的員工,沒有一套完善的網絡信息安全管理制度來實現對信息系統使用人員的管理,再出色的安全技術手段和產品也無法發揮作用,通過制度對人的行為進行規范,從而確保網絡信息安全落到實處。
3.3采取有效的備份、恢復措施。對企業自身的網絡信息系統做好安全等級保護評測、安全風險評估工作,針對評估情況采取對應的災難備份及恢復措施,對重要的網絡信息系統應采取包括對軟件部分、硬件以及傳輸線路的備份,在有條件的情況下應采取異地雙線路雙系統備份的方法,從而最大程度降低自然災害對網絡信息安全造成的破壞。
4、結束語
隨著信息產業化的不斷深入,網絡信息安全問題日益凸顯,企業應提高自身的網絡信息安全防范意識,在享受網絡信息化帶來的便利同時加強企業自身的網絡與信息安全管理,采取有效的技術措施,建立完善、高效的網絡信息安全管理制度,從而將企業網絡信息安全風險降到最低。
參考文獻
[1]陳震.我國信息與通信網建設安全問題初探[J].科學之友,2010年24期
關鍵詞 電力企業;網絡信息安全;防范措施
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)73-0192-02
隨著信息系統與網絡的快速發展,電力企業作為關乎國計民生的基礎行業,企業內部各業務數據已基本在網絡流轉,企業對信息系統產生了巨大的依賴性。但是,企業在享受著信息系統所帶來巨大經濟效益的同時,也面臨著高風險。一旦出現信息泄密或篡改數據的情況,將為國家造成難以估量的損失。尤其是近幾年,全球范圍內的病毒泛濫、黑客入侵、計算機犯罪等問題,信息安全防范已成重中之重。因此,企業必須重新面對當前的安全問題,從中找到行之有效的防范措施。
1 電力企業網絡安全現狀分析
1.1 網絡安全措施不到位
電力數據網絡信息化在電力系統中的應用已經成為不可或缺的基礎設施。電力數據網需要同時承載著實時、準實時控制業務及管理信息業務,電力生產、經營很多環節完全依賴電力信息網的正常運行與否,隨著網絡技術和信息技術的發展,網絡犯罪不斷增加,電力企業雖然已初步建立了網絡安全措施,但企業網絡信息安全仍存在很多的安全隱患,職工安全意識、數據傳輸加密、身份認證、訪問控制、防病毒系統、人員的管理等方面需要進一步加強,在整個電力信息網絡中,很多單位之間的網絡安全是不平衡的,主要是雖然網絡利用率較高,但信息的安全問題較多,主要是安全級別較低的業務與安全,沒有對網絡安全做長遠、統一的規劃,網絡中還存在很多問題。
1.2 職工安全意識有待加強
目前國內電力企業職工的安全意識參差不齊,相較之下,年輕的職工和管理人員其安全意識較高,中年以上的職工和一線職工仍然缺乏必要的安全意識,主要是工作年齡、所受教育、工作后的信息安全培訓程度,從事的工作性質的原因造成的,這就為網絡安全留下了隱患,加強電力企業信息安全的培訓,全方位提高職工網絡信息安全意識,避免信息安全防護工作出現高低不均的情況。
1.3 內部的網絡威脅仍然存在
在這個科技技術日益發展的時代,網絡信息的安全工作越來越重要,由此電力企業根據目前的狀況出臺了相關的網絡安全規章制度,以保證其信息安全,但內部的網絡威脅仍然存在,而且對管理人員的有效管理依然缺乏。如:辦公計算機仍存在內外網混用情況、內外網邏輯隔離強度不夠、企業內網安全隔離相對薄弱等情況,如果其中的一些漏洞被非法分子所利用,那么,電力企業的信息安全會受到嚴重的威脅,并會對電力企業的生產以及經營帶來很大的困難。
2 電力企業網絡安全的風險
隨著網絡技術的發展,電力企業信息系統越來越復雜,信息資源越來越龐大,不管是操作系統還是應用軟件,都存在系統漏洞等安全風險,保證電力企業信息安全最重要的是保證信息數據的安全,目前電力企業的網絡信息系統的主要隱患主要存在于以下幾個方面。
2.1 惡意入侵
計算機系統本身并不具有一定的防御性,其通信設備也較為脆弱,因此,計算機網絡中的潛在威脅對計算機來說是十分危險的。尤其是現在的信息網絡公開化、信息利用自由化,這也造成了一些秘密的信息資源被共享,而這些信息也容易被不法分子所利用。而有極少數人利用網絡進行惡意入侵進行非法操作,危機網絡系統的安全,惡意入侵其實是由四個步驟構成的:首先掃描IP地址,尋找存活主機;然后確定IP地址,掃描主機端口和漏洞;接著通過漏洞和開放端口放置后門程序;最后通過客戶端程序實施遠程控制。由于系統被入侵,電力企業信息泄露會造成不良后果,更嚴重的是系統被惡意控制,不但會給電力企業本身造成嚴重的后果,還會給社會和用戶帶來重大的損失。
2.2 網絡病毒的傳播
計算機病毒對計算機來說是最普遍的一種威脅,伴隨著因特網的發展,各個企業開始創建或發展企業網絡應用,這無形也增加了病毒感染的可能性,病毒的危害十分巨大,它是通過數據的傳輸來傳播的,其能夠對計算機的軟硬件造成破壞,同時它還能夠進行自我復制,因此,一旦感染了病毒,其危害性是十分巨大的。
2.3 惡意網頁的破壞
網絡共享性與開放性使得人人都可以在互聯網上所取和存放信息,由于信息的傳遞和反饋快速靈敏,網絡資源的社會性和共享性,電力企業職工都在不斷地點擊各種網頁,并在網絡中尋找他們所需要的資源,網頁中的病毒是掛靠在網頁上的一種木馬病毒,它的實質是一些不法分子通過編程來編寫的惡意代碼并植入IE漏洞而形成了網頁病毒。當用戶瀏覽過含有病毒的網站時,病毒會在無形中被激活,并通過因特網進如用戶的計算機系統,當病毒進入計算機后會迅速的自我復制并到處傳播病毒,使得用戶的計算機系統崩潰,嚴重的會將用戶的系統徹底格式化。
2.4 信息傳遞的安全不容忽視
在電力企業的計算機網絡系統中,信息傳輸基本上是明文方式或采用低安全級別的加密進行傳輸,當這些企業信息在網絡上傳輸時,其安全性就不能得到足夠的保障,不具備網絡信息安全所要求的機密性、數據完整性和身份認證。
2.5 軟件源代碼不能獨立控制的隱患
目前電力企業辦公計算機、企業級服務器的操作系統以及使用的信息系統軟件因為是絕大部分都是商業性質的,所以其源代碼是不公開的,這就代表著軟件的核心技術是被對方掌握的,其漏洞卻大量存在,雖然有系統補丁或者軟件升級,但其未公開、未被發現的漏洞對信息安全來說確實巨大的隱患。
【論文摘要】 在網絡攻擊手段日益增多,攻擊頻率日益增高的背景下,為了確保企業的信息資源、生產數據資料的安全保密,解決企業計算機網絡中存在的安全隱患。需要一種靜態技術和動態技術相結合的安全解決方案,即在網絡中的各個部分采取多種安全防范技術來構筑企業網絡整體安全體系。包括防病毒技術;防火墻技術;入侵檢測技術;網絡性能監控及故障分析技術;漏洞掃描安全評估技術;主機訪問控制等。
信息技術正以其廣泛的滲透性和無與倫比的先進性與傳統產業結合,隨著Internet網絡的飛速發展,使網絡的重要性和對社會的影響越來越大。企業的辦公自動化、生產業務系統及電子商務系統對網絡系統的依賴性尤其突出,但病毒及黑客對網絡系統的惡意入侵使企業的信息網絡系統面臨著強大的生存壓力,網絡安全問題變得越來越重要。
企業網絡安全主要來自以下幾個方面:①來自INTERNET的安全問題;②來自外部網絡的安全威脅;③來自內部網絡的安全威脅。
針對以上安全威脅,為了確保企業的信息資源、生產數據資料的安全保密,解決企業計算機網絡中存在的安全隱患,本文介紹一種靜態技術和動態技術相結合的安全解決方案,即在網絡中的各個部分采取多種安全防范技術來構筑企業網絡整體安全體系:①防病毒技術;②防火墻技術;③入侵檢測技術;④網絡性能監控及故障分析技術;⑤漏洞掃描安全評估技術;⑥主機訪問控制。
一、防病毒技術
對于企業網絡及網內大量的計算機,各種病毒更是防不勝防,如宏病毒和變形病毒。徹底清除病毒,必須采用多層的病毒防護體系。企業網絡防病毒系統采用多層的病毒防衛體系和層次化的管理結構,即在企業信息中心設防病毒控制臺,通過該控制臺控制各二級網絡中各個服務器和工作站的防病毒策略,監督整個網絡系統的防病毒軟件配置和運行情況,并且能夠進行相應策略的統一調整和管理:在較大的下屬子公司設置防病毒服務器,負責防病毒策略的設置、病毒代碼分發等工作。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略,采集網絡中所有客戶端防毒軟件的運行狀態和配置參數,對客戶端實施分組管理等。管理員可以通過管理員客戶端遠程登錄到網絡中的所有管理服務器上,實現對整個網絡的管理。根據需要各個管理服務器還可以由專門的區域管理員管理。管理服務器負責收集網絡中的客戶端的實時信息, 分發管理員制定的防毒安全策略等。
配套軟件:冠群金辰KILL6.0。KILL采用服務器/客戶端構架,實時保護Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系統的服務器及Internet網關服務器,防止各種引導型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒進入企業內部網,阻止不懷好意的Java、ActiveX小程序等攻擊企業內部網絡系統。它通過全方位的網絡管理、多種報警機制、完整的病毒報告、支持遠程服務器、軟件自動分發,幫助管理員更好的實施網絡防病毒工作。
二、防火墻技術
防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯網與內部網之間建立起一個安全網關( scurity gateway), 從而抵御網絡外部安全威脅,保護內部網絡免受非法用戶的侵入,它是一個把互聯網與內部網(局域網或城域網)隔開的屏障,控制客戶機和真實服務器之間的通訊,主要包括以下幾方面的功能:①隔離不信任網段間的直接通訊;②拒絕非法訪問;③系統認證;④日志功能。在計算機網絡中設置防火墻后,可以有效防止非法訪問,保護重要主機上的數據,提高網絡的安全性。
配套軟件:NetScreen。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來,且提供100M的線速性能的軟硬件相結合的產品,在Internet出口、撥號接入入口、企業關鍵服務器的前端及與電信、聯通的連接出口處增設NetScreen-100f防火墻,可以實現企業網絡與外界的安全隔離,保護企業的關鍵信息。
三、入侵檢測系統
入侵檢測系統(IDS)是一種為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是對防火墻的必要補充,它可以對系統或網絡資源進行實時檢測,及時發現惡意入侵者或識別出對計算機的非法訪問行為,并對其進行隔離,并能收集可以用來訴訟的犯罪證據。
配套軟件: eTrust Intrusion Detection(Sessionwall-3)。利用基于網絡的eTrust Intrusion Detection建立入侵檢測系統來保證企業網絡系統的安全性。
首先,信息管理中心設立整個網絡監控系統的控制中心。通過該控制臺,管理員能夠對其它網絡入侵檢測系統進行監控和配置。在該機器上安裝集中控制的eID中央控制臺模塊、eID日志服務器模塊和eID日志瀏覽器模塊,使所有eTrust Intrusion Detection監控工作站處于集中控制之下,該安全主控臺也被用于集中管理所有的主機保護系統軟件。
其次,在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監控工作站,重點解決與Internet的邊界安全問題,在這些工作站上安裝軟件,包括eID基本模塊、eID模塊和日志數據庫客戶端。
四、網絡性能監控及故障分析
性能監控和故障分析就是利用計算機的網絡接口截獲目的地址為其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面,它自動接收著來自網絡的各種信息,通過對這些數據的分析,網絡管理員可以了解網絡當前的運行狀況,以便找出所關心的網絡中潛在的問題。
配套軟件——NAI Sniffer。NAI Sniffer 是一套功能強大的網絡故障偵測工具,它可以幫助用戶快速診斷網絡故障原因,并提出具體的解決辦法。在信息中心安裝這樣的工具,用于對網絡流量和狀態進行監控,而且無論全網任何地方發生問題時,都可以利用它及時診斷并排除故障。
五、網絡系統的安全評估
網絡安全性之所以這么低的一個主要原因就是系統漏洞。譬如管理漏洞、軟件漏洞、結構漏洞、信任漏洞。采用安全掃描技術與防火墻、安全監控系統互相配合來檢測系統安全漏洞。
網絡安全漏洞掃描系統通常安裝在一臺與網絡有連接的主機上。系統中配有一個信息庫,其中存放著大量有關系統安全漏洞和可能的黑客攻擊行為的數據。掃描系統根據這些信息向網絡上的其他主機和網絡設備發送數據包,觀察被掃描的設備是否存在與信息庫中記錄的內容相匹配的安全漏洞。掃描的內容包括主機操作系統本身、操作系統的配置、防火墻配置、網路設備配置以及應用系統等。
網絡安全掃描的主要性能應該考慮以下方面:①速度。在網絡內進行安全掃描非常耗時;②網絡拓撲。通過GUI的圖形界面,可選擇一個或某些區域的設備;③能夠發現的漏洞數量;④是否支持可定制的攻擊方法;⑤掃描器應該能夠給出清楚的安全漏洞報告。⑥更新周期。提供該項產品的廠商應盡快給出新發現的安全漏洞掃描特性升級,并給出相應的改進建議。
通過網絡掃描,系統管理員可以及時發現網路中存在的安全隱患,并加以必要的修補,從而減小網絡被攻擊的可能。
配套軟件:Symantec Enterprise Security Manger 5.5。
六、主機防護系統
在一個企業的網絡環境中,大部分信息是以文件、數據庫的形式存放在服務器中的。在信息中心,使用WWW、Mail、文件服務器、數據庫服務器來對內部、外部用戶提供信息。但無論是UNIX還是Windows 9X/NT/2K,都存在著這樣和那樣的安全薄弱環節,存放在這些機器上的關鍵業務數據存在著被破壞和竊取的風險。因此,對主機防護提出了專門的需求。
配套軟件:CA eTrust Access。eTrust Access Control在操作系統的安全功能之上提供了一個安全保護層。通過從核心層截取文件訪問控制,以加強操作系統安全性。它具有完整的用戶認證,訪問控制及審計的功能,采用集中式管理,克服了分布式系統在管理上的許多問題。
通過eTrust Access Control,我們可以集中維護多臺異構平臺的用戶、組合安全策略,以簡化安全管理工作。
通過以上幾種安全措施的實施,從系統級安全到桌面級安全,從靜態訪問控制到動態入侵檢測主要層面:方案覆蓋網絡安全的事前弱點漏洞分析修正、事中入侵行為監控響應和事后信息監控取證的全過程,從而全面解決企業的信息安全問題,使企業網絡避免來自內外部的攻擊,防止病毒對主機的侵害和在網絡中的傳播。使整個網絡的安全水平有很大程度的提高。
【參考文獻】
關鍵詞:網絡安全;風險評估;安全措施
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發生的信息安全事件正在日益引起全球的關注,列舉的近年來的網絡突發事件,不難發現,強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估,是指網絡安全防御中的一項重要技術,它的原理是,根據已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。完成一個信息安全系統的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現,以及所導致的信息技術環境的轉變,信息安全工作人員要不斷地評估當前的安全威脅,并不斷對當前系統中的安全性產生認知。
2 網絡安全風險評估的現狀
2.1 風險評估的必要性
有人說安全產品就是保障網絡安全的基礎,但有了安全產品,不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的,需要人來管理與維護,這樣才能最大程度地發揮其效能。病毒和黑客可謂無孔不入,時時伺機進攻。這就更要求對安全產品及時升級,不斷完善,實時檢測,不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的,它需要合適的安全體系和合理的安全產品組合,需要根據網絡及網絡用戶的情況和需求規劃、設計和實施一定的安全策略。通常,在一個企業中,對安全技術了如指掌的人員不多,大多技術人員停留在對安全產品的一般使用上,如果安全系統出現故障或者黑客攻擊引發網絡癱瘓,他們將束手無策。這時他們需要的是安全服務。而安全評估,便是安全服務的重要前期工作。網絡信息安全,需要不斷評估方可安全威脅。
2.2 安全評估的目標、原則及內容
安全評估的目標通常包括:確定可能對資產造成危害的威脅;通過對歷史資料和專家的經驗確定威脅實施的可能性;對可能受到威脅影響的資產確定其價值、敏感性和嚴重性,以及相應的級別,確定哪些資產是最重要的;準確了解企業網的網絡和系統安全現狀;明晰企業網的安全需求;制定網絡和系統的安全策略;制定網絡和系統的安全解決方案;指導企業網未來的建設和投入;通過項目實施和培訓,培養用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。
安全評估的內容包括專業安全評估服務和主機系統加固服務。專業安全評估服務對目標系統通過工具掃描和人工檢查,進行專業安全的技術評定,并根據評估結果提供評估報告。
目標系統主要是主流UNIX及NT系統,主流數據庫系統,以及主流的網絡設備。使用掃描工具對目標系統進行掃描,提供原始評估報告或由專業安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統加固服務是根據專業安全評估結果,制定相應的系統加固方案,針對不同目標系統,通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
系統加固報告服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出加固報告。系統加固報告增強服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統加固實施服務選擇使用該服務包,必須以選擇 ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由專業安全工程師實施加固工作。
3 網絡安全風險評估系統
討論安全評定的前提在于企業已經具有了較為完備的安全策略,這項工作主要檢測當前的安全策略是否被良好的執行,從而發現系統中的不安全因素。當前計算機世界應用的主流網絡協議是TCP/IP,而該協議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護,網絡安全評定的主要目標就是為修補全部的安全問題提供指導。
評定網絡安全性的首要工作是了解網絡拓撲結構,拓撲描述文檔并不總能反映最新的網絡狀態,進行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進行網絡拓撲發現,但是一些網絡節點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后,應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機,還應該了解其正在運行的端口,這可以通過很多流行的端口發現工具實現。當對整個網絡的架構獲得了足夠的認知以后,就可以針對所運行的網絡協議和正在使用的端口發現網絡層面的安全脆弱點了。通常使用的方法是對協議和端口所存在的安全漏洞逐項進行測試。
安全領域的很多專家都提出邊界防御已經無法滿足今天的要求,為了提高安全防御的質量,除了在網絡邊界防范外部攻擊之外,還應該在網絡內部對各種訪問進行監控和管理。企業組織每天都會從信息應用環境中獲得大量的數據,包括系統日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險,是風險管理中重要一環。目前的技術手段主要被應用于信息的收集、識別和分析,也有很多廠商開發出了整合式的安全信息管理平臺,可以實現所有系統模塊的信息整合與聯動。
數據作為信息系統的核心價值,被直接攻擊和盜取數據將對用戶產生極大的危害。正因為如此,數據系統極易受到攻擊。對數據庫平臺來說,應該驗證是否能夠從遠程進行訪問,是否存在默認用戶名密碼,密碼的強度是否達到策略要求等。而除了數據庫平臺之外,數據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證,不但要檢驗其是否存在安全問題,還要確認其有效性。大部分數據管理產品都附帶了足夠的功能進行安全設定和數據驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用,而這往往是獲得系統權限和數據的跳板。事實上大部分的安全漏洞都來自于應用層面,這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規程化的面向體系底層的安全評定相比,應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。
4 結束語
目前我國信息系統安全風險評估工作,在測試數據采集和處理方面缺乏實用的技術和工具的支持,已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風險評估結果準確可靠,可以為風險管理活動提供有價值的參考;加強我國信息安全風險評估隊伍建設,促使我國信息安全評估水平得到持續改進。
參考文獻:
[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協議族的安全架構[N].華中科技大學學報,2001,32-34.
[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用,2004(7),21-24.
[3] 劉恒,信息安全風險評估挑戰[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1),40-45
[6] 趙戰生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.
關鍵詞:企業;信息網絡;安全體系;安全技術
大中型企業作為我國國民經濟的骨干企業,在國家經濟發揮舉足輕重的作用,現代經濟活動離不開信息和網絡,大中型企業對網絡和信息技術的依賴性很強,企業員工多、信息化互聯設備多、種類多樣,企業的關鍵業務大多架構在IT系統之上,網絡環境的穩定性、安全性、高效性直接影響公司信息化應用。目前,許多大中型企業提出了建立“數字化企業”的目標,在企業信息化建設中,信息安全問題是必須要首先考慮的問題,可見,建立企業信息安全體系勢在必行。
1 企業信息網絡安全威脅及風險
近年來,許多大中型企業十分重視信息網絡建設的應用和開發,但是對于信息網絡安全的防護并沒有得到足夠重視。根據調研機構的調查報告顯示,國內企業中63%經常遭受病毒或蠕蟲攻擊,而41%的企業受到惡意間諜軟件或惡意軟件的威脅。主要體現在:病毒和蠕蟲攻擊、黑客入侵、惡意攻擊、完整性破壞、網絡資源濫用、員工信息安全意識淡薄等。
目前企業面臨著網絡攻擊的“外部威脅”及內部人員信息泄露的“內部威脅”的雙重考驗,垃圾郵件、企業機密泄露、網絡資源濫用、病毒泛濫以及網絡攻擊等問題成為企業最為頭疼的網絡安全問題,企業網絡環境日趨嚴峻。
2 企業網絡安全體系
大中型企業網絡面臨嚴峻的安全形勢,迫使各企業意識到構建完備安全體系的重要性,隨著網絡攻擊的多樣化,只針對網絡層以下的安全解決方案已經不足以應付各種各樣的攻擊,同時還要隨時注重操作系統、數據庫、軟硬件設備的安全性;企業安全體系建設不僅要有效抵御外網攻擊,而且要能防范可能來自內部的安全泄密等威脅。企業必須采用多層次的安全系統架構才能保障企業網絡安全,最終建立一套以內外兼防為特征的企業安全保障體系。
企業信息網絡安全體系由物理安全、鏈路安全、網絡安全、系統安全、信息安全五部分構成。
物理安全:物理安全主要是保護企業數據庫服務器、應用服務器、網絡設備、數據介質及其他物理實體設備的安全,提供一個安全可靠的物理運行環境。
鏈路安全:數據鏈路層(第二協議層)的通信連接就安全而言,是較為薄弱的環節。目的是保證網絡鏈路傳送的數據不被竊聽和篡改。
網絡安全:網絡安全主要包括:通過防火墻隔離內外網絡,不同區域的訪問控制,部署基于網絡的身份認證及入侵檢測系統、VPN、網絡集中防病毒等手段實現網絡設備自身的安全可靠。
系統安全:系統安全主要指數據庫、操作系統的安全保護。保證應用系統的可靠性、完整性和高效性。
信息安全:主要通過數據加密、CA認證、授權等手段保證信息處理、傳遞、存儲的保密性、完整性和可用性。
典型企業信息網絡安全管理體系拓撲結構如圖一所示:
3 信息安全體系設計原則
企業安全設計應遵循如下原則:
3.1保密性:信息不能夠泄露給非授權用戶、實體或過程,或供其利用的特性。
3.2完整性:信息完整性是指信息在輸入和傳輸的過程中,不被非法授權修改和破壞,保證數據的一致性。
3. 3可用性:保障授權用戶在需要時可以獲取信息并按要求使用的特性。
3.4可控性:對信息的處理、傳遞、存儲等具有控制能力。
信息安全就是要保障維護信息的機密性、完整性、可用性以及保障維護信息的真實性、可問責性、不可抵賴性、可靠性、守法性。
4 企業網絡安全防范技術手段
目前企業信息網絡布署的安全技術手段主要方式有:
4.1防火墻系統
防火墻系統作為企業網絡安全系統必不可少的組成部分,用于防范來自外部interne非法用戶對企業內部網絡的主動威脅。防火墻系統搭建在內部網絡與外部公共Internet網絡之間,通過合理配置訪問控制策略,管理Internet和內部網絡之間的訪問。其主要功能包括訪問控制、信息過濾、流量分析和監控、阻斷非法數據傳輸等。企業在外部攻擊的頻度和攻擊流量非常嚴重的情況下,建議配置專用的DDOS防火墻。
4.2入侵檢測系統
入侵檢測系統(簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。IDS是一種積極主動的安全防護技術,可以彌補防火墻相對靜態防御的不足,通過對來自外部網和內部的各種行為進行實時檢測,及時發現未授權或異常現象以及各種可能的攻擊企圖,記錄有關事件,以便網管員及時采取防范措施,為事后分析提供依據的依據。
4.3漏洞掃描系統
企業內部部署漏洞掃描系統,不間斷地對企業工作站、服務器、防火墻、交換機等進行安全檢查,提供記錄有關漏洞的詳細信息和最佳解決對策,協助網管員及時發現和堵絕漏洞、降低風險,防患于未然。
4.4網頁防篡改系統
網頁防篡改系統主要是防止企業對外Web遭受黑客的篡改,保證企業外部網站的正常運行。防篡改系統利用先進的Web服務器核心內嵌技術,將篡改檢測模塊(數字水印技術)和應用防護模塊(防注入攻擊)內嵌于Web服務器內部,并輔助以增強型事件觸發檢測技術,不僅實現了對靜態網頁和腳本的實時檢測和恢復,更可以保護數據庫中的動態內容免受來自于Web的攻擊和篡改,徹底解決網頁防篡改問題。
4.5上網行為管理系統
上網行為管理系統主要部署在企業外部防火墻和內部核心交換機之間,針對企業內部員工訪問Internet行為進行集中管理與控制。其主要功能有:網頁過濾、應用控制(IM聊天、P2P下載、在線娛樂、炒股軟件、論壇發帖等)、帶寬管理、內容審計(郵件收發、論壇發帖、FTP、HTTP文件傳輸等)、用戶管理、日志管理等功能。
4.6內網安全管理平臺
據FBI/CSI中國CNISTEC調查報告:來自企業外部威脅占20%,內部威脅高達80%。針對大型企業日益復雜的內部網絡環境以及基于企業保密管理的需求,必須構造一套內網安全管理平臺,規范和管理內部網絡環境,提高內部網絡資源的可控性。其功能應包括:用戶認證與授權、IP與MAC綁定、網絡監控、桌面監控、安全域管理、 存儲介質管理、補丁分發、文檔安全管理、資產管理、日志報表管理等。
4.7企業集中防病毒系統
在病毒肆虐的時代,反病毒已經成為企業信息安全非常重要的一環,企業網絡情況比較復雜,由于員工計算機水平大多不高,構造一套完整的企業集中防病毒網絡系統平臺,可以強化病毒防護系統的應用策略和統一管理策略,并且使企業員工電腦的病毒庫及時得到更新,增強病毒防護有效性,降低病毒對安全帶來的威脅。
集中防病毒系統應具有:集中管控、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。
4.8建立健全企業安全管理組織體系及制度,加強企業信息安全意識
企業在建設信息網絡安全建設技術手段的同時,更需要考慮管理的安全性,不斷完善企業信息安全制度。通過培訓,增強每個員工的安全意識,為大中型企業信息安全管理奠定基礎。
隨著信息技術的發展,企業無線接入、電子商務交易、數字簽名、數字證書等安全管理也應逐步納入企業信息安全體系范疇。
五、 結束語
目前,大中型企業信息進程的深入和互聯網的快速發展,網絡化已經成為企業信息化的發展大趨勢,針對各種網絡應用的攻擊和破壞方式也變得異常頻繁,信息化發展而來的網絡安全問題日漸突出,網絡安全問題已成為信息時代人類共同面臨的挑戰,同時,網絡信息安全是一個系統工程,涉及人員、硬軟件設備、資金、制度等因素,沒有絕對可靠的安全技術,科學有效的管理可以彌補技術安全漏洞的缺陷。
參考文獻:
[1]向宏,傅鸝,詹榜華 著 信息安全測評與風險評估 電子工業出版社 2009-01
[2]謝宗曉,郭立生 著 信息安全管理體系應用手冊中國標準出版社 2008-10
關鍵詞:終端準入 網絡安全 802.1x EAD
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)06-0014-02
1 引言
在創新無處不在的IT世界里,從要求可用性到安全性再到高效率,只經歷了短短的幾年時間。如何對終端設備進行高效、安全、全方位控制一直都困擾著眾多IT管理者,由于終端設備數量多、分布廣、使用者素質及應用水平參差不齊,而且終端設備所接入的網絡環境異構化程度很高,導致了終端成為整個IT管理環境中最容易出現問題的一環,對終端問題的響應業已成為IT管理者日常最主要的工作之一,它同樣遵循著從可用性到安全性再到追求效率的發展規律。
終端作為網絡的關鍵組成和服務對象,其安全性受到極大關注。終端準入控制技術是網絡安全一個重要的研究方向,它通過身份認證和完整性檢查,依據預先設定的安全策略,通過軟硬件結合的方式控制終端的訪問權限,能有效限制不可信、非安全終端對網絡的訪問,從而達到保護網絡及終端安全的目的。終端準入控制技術的研究與應用對于提高網絡安全性,保障機構正常運轉具有重要作用;對于機構解決信息化建設中存在的安全問題具有重要意義。目前,終端準入控制技術已經得到較大的發展和應用,在安全領域起到越來越重要的作用。
2 發展現狀
為了解決網絡安全問題,安全專家相繼提出了新的理念。上世紀90年代以來,國內外提出了主動防御、可信計算等概念,認為安全應該回歸終端,以終端安全為核心來解決信息系統的安全問題。
3 終端準動模型
H3C終端準入控制解決方案(EAD,End user Admission Domination)從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,通過智能客戶端、安全策略服務器、聯動設備以及第三方軟件的聯動,對接入網絡的用戶終端按需實施靈活的安全策略,并嚴格控制終端用戶的網絡使用行為,極大地加強了企業用戶終端的主動防御能力,為企業IT管理人員提供了高效、易用的管理工具。
4 終端準入控制過程
EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設備IP、接入設備端口號等信息進行綁定,支持智能卡、數字證書認證,支持域統一認證,增強身份認證的安全性。根據實際情況我們采用基于域統一認證,與接入終端MAC地址和接入設備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后,根據管理員配置的安全策略,用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后,用戶可正常使用網絡,同時EAD將對終端運行情況和網絡使用情況進行監控和審計。若未通過安全認證,則將用戶放入隔離區,直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。
5 終端準入控制策略的實現
5.1 接入用戶身份認證
為了確保只有符合安全標準的用戶接入網絡,EAD通過交換機的配合,強制用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態評估,但很多單位已經建立了基于Windows域的信息管理系統,通過Windows域管理用戶訪問權限和應用執行權限。為了更加有效地控制和管理網絡資源,提高網絡接入的安全性,EAD實現了Windows 域與802.1x統一認證方案,平滑地解決了兩種認證流程之間的矛盾,避免了用戶二次認證的煩瑣。該方案的關鍵在于兩個“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實現用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程,EAD解決方案通過H3C自主開發的iNode智能客戶端實現認證流程的同步。統一認證的基本流程如圖3所示。
5.2 安全策略狀態評估
EAD終端準入控制解決方案在安全策略服務器統一進行安全策略的管理,并在安全策略管理中提供黑白軟件統一管理功能。管理員可根據IT政令,在安全策略服務器定義員工終端黑白軟件列表,通過智能客戶端實時檢測、網絡設備聯動控制,完成對用戶終端的軟件安裝運行狀態的統一監控和管理。如果用戶通過安全策略檢查,可以正常訪問授權的網絡資源;如果用戶未滿足安全策略,則將被強制放入隔離區內,直至通過安全策略檢查才可訪問授權的網絡資源。
5.3 EAD與iMC融合管理
EAD通過與iMC(開放智能管理中樞,Intelligent Management Center)靈活組織功能組件,形成直接面向客戶需求的業務流解決方案,從根本上解決多業務融合管理的復雜性。EAD實現了對用戶的準入控制、終端安全、桌面資產管理等功能,iMC平臺實現了對網絡、安全、存儲、多媒體等設備的資源管理功能,UBAS、NTA等組件實現了行為審計、流量分析等業務的管理功能,這幾者結合在一起,為企業IT管理員提供了前所未有的融合用戶、資源和業務三大要素的開放式管理體驗。
6 結語
在未實施終端準入解決方案之前,本企業網絡管理模式被動,雖制定完善的IT管理制度,但不能有效實行,比如不能及時升級系統補丁,不能及時升級殺毒軟件病毒庫,不能實時監控用戶軟件安裝,不能實時監控計算機硬件信息等問題。通過實施終端準入解決方案,降低了來自企業內部網絡的威脅,規范了終端準入安全策略,提高了IT管理員工作效率,從而保障了企業網絡環境的安全。
參考文獻
[1]周超,周城,丁晨路.計算機網絡終端準入控制技術.計算機系統應用,2011,20(1):89—94.
[2]馬錫坤.醫院網絡終端準入控制解決方案.醫院數字化,2011,26(11):30-32.
[3]成大偉,呂鋒.支持802.1x的網絡準入系統在企業中的應用.中國科技博覽,2012,27:296.
