前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網(wǎng)絡(luò)安全的意義主題范文,僅供參考,歡迎閱讀并收藏。
安全評價的關(guān)鍵與基礎(chǔ)是選取與確立評價的指標(biāo)體系,它對評價的結(jié)果是否符合實際情況至關(guān)重要?;て髽I(yè)安全評價指標(biāo)體系應(yīng)盡可能反映化工企業(yè)的主要特征和基本狀況。評價過程中指標(biāo)體系的要素組成非常關(guān)鍵,如果選取的要素太多,有可能使評價指標(biāo)體系更加龐大和冗雜,從而增加評價的困難程度,甚至?xí)挂恍┲匾蛩乇缓雎?如果指標(biāo)因素太少,則難以較完整地反映被評價系統(tǒng)的客觀實際情況。•33•通過查閱研究某大型煉油化工企業(yè)的相關(guān)文獻(xiàn)和資料[4],由人、機(jī)和環(huán)境3個方面構(gòu)成的系統(tǒng)模型出發(fā),把生產(chǎn)系統(tǒng)所有重要環(huán)節(jié)包含其中,從而建立出化工企業(yè)的安全評價指標(biāo)體系如圖1和表1至表4所示。
2化工企業(yè)的遺傳神經(jīng)網(wǎng)絡(luò)安全評價模型
2.1遺傳神經(jīng)網(wǎng)絡(luò)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的方法主要有2種:對神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值進(jìn)行優(yōu)化;對神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行優(yōu)化[5]。本文在保持神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)不變的情況下,用遺傳算法對BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值進(jìn)行優(yōu)化。
2.2遺傳神經(jīng)網(wǎng)絡(luò)評價模型遺傳神經(jīng)網(wǎng)絡(luò)優(yōu)化的數(shù)學(xué)模型[6]如下:本文構(gòu)建的遺傳神經(jīng)網(wǎng)絡(luò)模型的運(yùn)行過程如下:(1)初始化BP神經(jīng)網(wǎng)絡(luò)。(2)把BP神經(jīng)網(wǎng)絡(luò)的全部權(quán)值與閾值實數(shù)編碼,確定其長度l,確定其為遺傳算法的初始種群個體。(3)設(shè)置遺傳算法的相關(guān)參數(shù)以及終止條件,執(zhí)行遺傳算法;遺傳算法包括對群體中個體適應(yīng)度進(jìn)行評價,執(zhí)行選擇、交叉、變異遺傳操作,進(jìn)化生成新的群體;反復(fù)操作至設(shè)定的進(jìn)化代數(shù),最終取得最佳染色體個體。(4)把最佳染色體個體解碼,分解為BP網(wǎng)絡(luò)對應(yīng)的權(quán)值、閾值,輸入訓(xùn)練樣本,利用BP網(wǎng)絡(luò)進(jìn)行訓(xùn)練。(5)得到訓(xùn)練好的BP神經(jīng)網(wǎng)絡(luò),則可輸入實例樣本進(jìn)行評價。
3遺傳神經(jīng)網(wǎng)絡(luò)評價模型在化工企業(yè)的應(yīng)用
3.1學(xué)習(xí)樣本的準(zhǔn)備根據(jù)前文所確定的評價指標(biāo)體系和對某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收、一氧化碳變換、甲醇洗滌、液氮洗滌等工序的安全原始數(shù)據(jù),參考文獻(xiàn)中化工企業(yè)安全評價指標(biāo)取值標(biāo)準(zhǔn),進(jìn)行分析和整理,得出11個實例樣本,如表5所示。選擇10個樣本作為遺傳神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本,1個樣本作為測試樣本。
3.2BP網(wǎng)絡(luò)結(jié)構(gòu)的確定BP網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般是由網(wǎng)絡(luò)層數(shù)、輸入層節(jié)點(diǎn)數(shù)、隱含層節(jié)點(diǎn)數(shù)、隱含層數(shù)以及輸出層節(jié)點(diǎn)數(shù)等來確定。本文建立的遺傳神經(jīng)網(wǎng)絡(luò)模型是根據(jù)經(jīng)驗來確定神經(jīng)網(wǎng)絡(luò)的層數(shù),一般選取BP神經(jīng)網(wǎng)絡(luò)的層數(shù)為3層[7]。通過化工企業(yè)安全評價指標(biāo)的分析,得出BP神經(jīng)網(wǎng)絡(luò)輸入層神經(jīng)元數(shù)目為評價指標(biāo)的總數(shù)12+6+8+5=31。模型最后輸出的結(jié)果為綜合安全評價結(jié)果,因此,神經(jīng)網(wǎng)絡(luò)的輸出層節(jié)點(diǎn)數(shù)確定為1。隱含層中節(jié)點(diǎn)數(shù)的范圍通過經(jīng)驗公式來確定,本文在其確定范圍內(nèi)選12。依據(jù)訓(xùn)練樣本的規(guī)模,設(shè)定學(xué)習(xí)率為0.1,最大訓(xùn)練誤差值設(shè)為10-5,循環(huán)學(xué)習(xí)次數(shù)為1000次。網(wǎng)絡(luò)輸出層為1個節(jié)點(diǎn),即化工企業(yè)的安全評價結(jié)果?;て髽I(yè)安全等級一般分為5級[7],如表6所示。
3.3遺傳算法優(yōu)化遺傳算法中,參數(shù)設(shè)定如下:種群規(guī)模設(shè)為300,交叉概率設(shè)為0.7,進(jìn)化代數(shù)設(shè)為100,變異率設(shè)為0.05。本文運(yùn)用MATLAB軟件中的遺傳算法工具箱gads,在GUI操作界面中輸入以上參數(shù),并輸入適應(yīng)度函數(shù),對神經(jīng)網(wǎng)絡(luò)的權(quán)閾值進(jìn)行優(yōu)化。經(jīng)過遺傳操作后,運(yùn)行遺傳算法工具箱,則可得出最佳適應(yīng)度曲線圖和最佳個體圖(圖2),得到最佳適應(yīng)度個體,將其進(jìn)行解碼,作為該網(wǎng)絡(luò)的初始權(quán)值和閾值賦給BP神經(jīng)網(wǎng)絡(luò)。
3.4GA-BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練在MATLAB界面中編程語言,得到輸出向量和網(wǎng)絡(luò)均方差變化圖。訓(xùn)練結(jié)果與期望輸出見表7,BP網(wǎng)絡(luò)訓(xùn)練過程如圖3所示。從訓(xùn)練結(jié)果可以看出,該網(wǎng)絡(luò)的誤差值不超過10-5,滿足設(shè)定要求。用該網(wǎng)絡(luò)對實例樣本進(jìn)行安全評價,得到結(jié)果為3.9956,對照安全評價輸出結(jié)果等級表為較安全,與目標(biāo)值吻合。從而訓(xùn)練后的網(wǎng)絡(luò)穩(wěn)定性得到驗證,可以用于化工企業(yè)安全評價。
4結(jié)論
一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險狀況概述
企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi),在一定的思想和理論指導(dǎo)下,為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機(jī)網(wǎng)絡(luò)。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加,如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來越強(qiáng)烈。與其它網(wǎng)絡(luò)一樣,企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中,由于對技術(shù)的偏好和運(yùn)營意識的不足,普遍都存在”重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,關(guān)鍵性應(yīng)用的普及和深入,企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題,解決網(wǎng)絡(luò)安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預(yù)知的風(fēng)險,網(wǎng)絡(luò)入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外,由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺,很少考慮實際存在的風(fēng)險和低效率,很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。
因此,在設(shè)計時有必要將公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時還要對網(wǎng)絡(luò)通訊進(jìn)行有效的過濾,使必要的服務(wù)請求到達(dá)主機(jī),對不必要的訪問請求加以拒絕。
二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建
網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護(hù)體系,是動態(tài)加靜態(tài)的防御,是被動加主動的防御甚至抗擊,是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問題不是在網(wǎng)絡(luò)中加一個防火墻就能解決的問題,需要有一個科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。
(一)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)
企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲、處理、傳播和運(yùn)用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護(hù)的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制,網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護(hù)的狀態(tài)。
(二)企業(yè)網(wǎng)防火墻的部署
1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù),除非是必須的服務(wù)才被允許。
2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全),與內(nèi)網(wǎng)和外網(wǎng)間進(jìn)行隔離,內(nèi)網(wǎng)口連接企業(yè)網(wǎng),外網(wǎng)口通過電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營環(huán)節(jié)的實時入侵,在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng),與防火墻并行的接入網(wǎng)絡(luò)中,監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業(yè)網(wǎng)絡(luò)安全體系實施階段。
第一階段:基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù),首先滿足企業(yè)網(wǎng)最迫切的安全需求,所涉及到的安全內(nèi)容有:
①滿足設(shè)備物理安全
②VLAN與IP地址的規(guī)劃與實施
③制定相關(guān)安全策略
④內(nèi)外網(wǎng)隔離與訪問控制
⑤內(nèi)網(wǎng)自身病毒防護(hù)
⑥系統(tǒng)自身安全
⑦相關(guān)制度的完善
第二階段:較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下,全面實現(xiàn)整個企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有:
①入侵檢測與保護(hù)
②身份認(rèn)證與安全審計
③流量控制
④內(nèi)外網(wǎng)病毒防護(hù)與控制
⑤動態(tài)調(diào)整安全策略
關(guān)鍵詞:企業(yè);網(wǎng)絡(luò)安全;問題;策略
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-7712 (2013) 08-0000-01
網(wǎng)絡(luò)安全管理,指的是保護(hù)一些有價值的知識產(chǎn)權(quán)或者數(shù)字信息形式的商業(yè)性質(zhì)信息,避免被非法盜取或者濫用的管理,成為目前日益嚴(yán)峻的問題。在企業(yè)建設(shè)中,網(wǎng)絡(luò)信息的安全管理對于企業(yè)經(jīng)營的安全有著直接的影響,是促進(jìn)我國企業(yè)未來發(fā)展的必要手段。實現(xiàn)企業(yè)網(wǎng)絡(luò)安全管理的信息化,是未來的發(fā)展趨勢,對于保障企業(yè)信息數(shù)據(jù)的安全、促進(jìn)企業(yè)的又好又快發(fā)展具有十分重要的作用。
一、網(wǎng)絡(luò)信息的安全管理概念分析
網(wǎng)絡(luò)信息的安全問題,涉及到的范圍比較廣泛,包括了網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)管理兩個大領(lǐng)域的內(nèi)容。在網(wǎng)絡(luò)環(huán)境下,信息的安全涉及到了防盜、加密以及防病毒等專業(yè)性強(qiáng)的技術(shù)難題,還與企業(yè)的信息管理制度有著緊密的聯(lián)系。保障網(wǎng)絡(luò)信息安全的最為核心的內(nèi)容是技術(shù)問題,保障網(wǎng)絡(luò)信息安全問題的基礎(chǔ)是企業(yè)的管理制度,兩者之間是互相依存的關(guān)系。因此,加強(qiáng)企業(yè)網(wǎng)絡(luò)的管理,提高網(wǎng)絡(luò)管理的質(zhì)量,對于共同構(gòu)成網(wǎng)絡(luò)安全信息的安全保障具有重要的作用。
二、企業(yè)網(wǎng)絡(luò)安全管理問題
近年來,隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的快速普及,在我國的企業(yè)中也存在了一定的安全問題,主要表現(xiàn)在以下幾個方面:
(一)企業(yè)網(wǎng)絡(luò)的連接、通信
網(wǎng)絡(luò)通信技術(shù)作為計算機(jī)網(wǎng)絡(luò)中最基礎(chǔ)的功能,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)技術(shù)的快速發(fā)展、實現(xiàn)企業(yè)內(nèi)部與外部之間的聯(lián)系。從我國目前的網(wǎng)絡(luò)通信情況發(fā)展現(xiàn)狀來看,最常采用的是TCPIP協(xié)議,也就是因特網(wǎng)最基礎(chǔ)的協(xié)議,但是這一協(xié)議在實行的過程中存在著相應(yīng)的安全隱患。其中,在IP協(xié)議層中的IP地址軟件在設(shè)置過程中,IP地址出現(xiàn)假冒、欺騙的現(xiàn)象最為嚴(yán)重。另外,在應(yīng)用層協(xié)議中,比如FTP、SMTP等部分協(xié)議中,安全認(rèn)證與保密措施等方面相對來說管理比較匱乏,這就一定程度的為不法分子提供了機(jī)會,使其能夠入侵到企業(yè)中的安全保障系統(tǒng)中,非法盜取企業(yè)的商業(yè)信息,從而造成企業(yè)的網(wǎng)絡(luò)安全管理系統(tǒng)癱瘓,最終影響企業(yè)的健康發(fā)展。
(二)電子郵件
電子郵件以其自身的操作便利的優(yōu)點(diǎn),被企業(yè)所廣泛運(yùn)用。但是電子郵件的自身往往存在著安全問題。其很容易被植入病毒,在電子郵件的發(fā)送和接收過程中均存在著病毒,進(jìn)而泄露企業(yè)信息。另外,我國企業(yè)對于該安全問題的防護(hù)工作沒有做好,意識比較淡薄。
(三)病毒的入侵
計算機(jī)科學(xué)技術(shù)在發(fā)展的同時,病毒也隨之發(fā)展。由于病毒是隨著計算機(jī)的誕生而產(chǎn)生的,做好計算機(jī)病毒的防護(hù)工作是企業(yè)在網(wǎng)絡(luò)安全的管理中必不可少的步驟。病毒在傳播的過程中,最好、最快的途徑就是通過計算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。因此,一旦企業(yè)的計算機(jī)網(wǎng)絡(luò)受到病毒影響,那么整個企業(yè)的網(wǎng)絡(luò)會出現(xiàn)癱瘓的狀況,從而泄露企業(yè)信息,對企業(yè)的發(fā)展構(gòu)成威脅。
(四)企業(yè)的網(wǎng)絡(luò)安全管理制度不健全完善
目前,通過對我國的大多數(shù)企業(yè)的網(wǎng)絡(luò)安全管理發(fā)展現(xiàn)狀進(jìn)行調(diào)查分析后,發(fā)現(xiàn)其中存在著許多問題,比如網(wǎng)絡(luò)安全管理的制度不完善、企業(yè)員工的安全意識不高等。另外,企業(yè)網(wǎng)絡(luò)面臨的安全問題,不能只通過加強(qiáng)網(wǎng)絡(luò)技術(shù)來對網(wǎng)絡(luò)信息的安全進(jìn)行保障。網(wǎng)絡(luò)信息的安全問題不只存在于計算機(jī)自身,更存在于計算機(jī)的使用者、維護(hù)者的身上,因此,也可以說,加強(qiáng)計算機(jī)網(wǎng)絡(luò)的管理,也就是提高對人的管理。
三、企業(yè)網(wǎng)絡(luò)安全管理的解決策略
針對以上對企業(yè)計算機(jī)網(wǎng)絡(luò)的安全問題進(jìn)行分析后,需要從以下幾個方面來進(jìn)行解決:
(一)建立專業(yè)的計算機(jī)網(wǎng)絡(luò)保障體系
伴隨著計算機(jī)科學(xué)技術(shù)的發(fā)展,網(wǎng)絡(luò)的保障技術(shù)也得到了迅速的發(fā)展。因此,通過在企業(yè)中建立網(wǎng)絡(luò)安全管理體制,以防止病毒的入侵、保障網(wǎng)絡(luò)安全問題的安全為最終目的。并通過建立防火墻,制定網(wǎng)絡(luò)安全問題的協(xié)議,從而有效的防止外部的入侵。
(二)制定企業(yè)網(wǎng)絡(luò)的防毒方案
從企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀分析后,可以了解到,病毒的危害對于企業(yè)的信息有非常大的影響。所以,我國的企業(yè)要選擇網(wǎng)絡(luò)防病毒產(chǎn)品,構(gòu)建健全完善的防毒體系,全方位的進(jìn)行防毒工作,采取安全防護(hù)的方法手段,從而有效的提高企業(yè)網(wǎng)絡(luò)的質(zhì)量。另外,伴隨著科學(xué)技術(shù)和網(wǎng)絡(luò)病毒技術(shù)的快速發(fā)展,也相應(yīng)的產(chǎn)生了許多殺毒、防毒軟件,比如金山毒霸、360殺毒軟件以及騰訊電腦管家等,均不同程度的給企業(yè)網(wǎng)絡(luò)的安全提供一定的保障措施。
(三)加強(qiáng)對企業(yè)信息資料的管理
一個企業(yè)發(fā)展的核心就是企業(yè)比較重要的資料信息,重要的資料對企業(yè)的良好發(fā)展有著直接的影響,決定了企業(yè)經(jīng)濟(jì)發(fā)展的好壞。因此,為了能夠有效的防止企業(yè)的網(wǎng)絡(luò)信息被外界不法分子所盜取,避免不必要的經(jīng)濟(jì)損失,企業(yè)就要對內(nèi)部網(wǎng)絡(luò)的軟件進(jìn)行靈活的配置,從而有效全面的維護(hù)企業(yè)信息數(shù)據(jù)的安全。
四、結(jié)束語
總而言之,企業(yè)應(yīng)根據(jù)自身發(fā)展的實際情況,選擇適合企業(yè)發(fā)展的網(wǎng)絡(luò)安全管理方法,提前做好網(wǎng)絡(luò)安全的防御工作,防患于未然。因此,在企業(yè)的網(wǎng)絡(luò)安全管理,建立一個完整、系統(tǒng)、全面的管理體系,對于促進(jìn)企業(yè)的又好又快發(fā)展具有十分重要的積極意義。
參考文獻(xiàn):
[1]張冬亞,王星明.大中企業(yè)信息網(wǎng)絡(luò)安全管理[J].中國科技縱橫,2011,1(23):9-10.
[2]茍有來,周琦.國內(nèi)企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險分析[J].信息安全與通信保密,2010,10(2):95-96.
【關(guān)鍵詞】交換機(jī);路由器;網(wǎng)絡(luò);安全
企業(yè)網(wǎng)絡(luò)面臨的安全威脅不但來自病毒和木馬,而且還有內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)被盜、操作系統(tǒng)和軟件自身存在一些漏洞所造成的危害等,這就需要采取一定的技術(shù)措施來防范。
網(wǎng)絡(luò)互聯(lián)設(shè)備一般可分為網(wǎng)內(nèi)互聯(lián)設(shè)備和網(wǎng)間互聯(lián)設(shè)備,為了構(gòu)建安全的企業(yè)互聯(lián)網(wǎng)絡(luò),設(shè)備的管理和配置非常重要。從網(wǎng)絡(luò)管理和安全方面來說,交換機(jī)和路由器起著非常重要的地位,它們是企業(yè)網(wǎng)絡(luò)中的核心設(shè)備,一些攻擊例如:利用路由器軟件版本的漏洞進(jìn)行攻擊,非法用戶偽裝企業(yè)用戶修改路由信息等,以使機(jī)密泄露或?qū)е侣酚善靼c瘓而不能正常運(yùn)行。為了保障企業(yè)網(wǎng)絡(luò)的安全,防止攻擊者入侵,導(dǎo)致網(wǎng)絡(luò)癱瘓,必須對網(wǎng)絡(luò)設(shè)備進(jìn)行安全管理。
1.概述
傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于系統(tǒng)入侵檢測,反病毒軟件或防火墻。在網(wǎng)絡(luò)安全構(gòu)造中,交換機(jī)和路由器是非常重要的,在七層網(wǎng)絡(luò)中每一層都必須是安全的。很多交換機(jī)和路由器都有豐富的安全功能,要了解有些什么,如何工作,如何部署,一層有問題時不會影響整個網(wǎng)絡(luò)。交換機(jī)和路由器被設(shè)計成缺省安全的,出廠時就處于安全設(shè)置的狀態(tài),特別操作的設(shè)置在用戶要求時才會被激活,所有其他選項都是關(guān)閉的,以減少危險。
1.1密碼設(shè)置
在初始登錄路由器及交換機(jī)時會被強(qiáng)制要求更改密碼,也有密碼的期限選項及登錄嘗試的次數(shù)限制,而且以加密方式存儲。交換機(jī)及路由器在掉電,熱啟動、冷啟動,升級IOS、硬件或一個模塊失敗的情況下都必須是安全的,而且在這些事件發(fā)生后應(yīng)該不會危及安全并恢復(fù)運(yùn)作,因為日志的原因,網(wǎng)絡(luò)設(shè)備應(yīng)該通過網(wǎng)絡(luò)時間協(xié)議保持安全精確的時間。
1.2抵擋DoS攻擊
從可用性出發(fā),交換機(jī)和路由器需要能抵擋拒絕服務(wù)式Dos攻擊,并在攻擊期間保持可用性。理想狀態(tài)是他們在受到攻擊時應(yīng)該能夠做出反應(yīng),屏蔽攻擊IP及端口。每件事件都會立即反應(yīng)并記錄在日志中,同時他們也能識別并對蠕蟲攻擊做出反應(yīng)。
1.3漏洞管理
交換機(jī)及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代碼漏洞,在漏洞被發(fā)現(xiàn)報告后,應(yīng)該及時安裝升級包或補(bǔ)丁。
1.4權(quán)限管理
基于角色的管理給予管理員最低程度的許可來完成任務(wù),允許分派任務(wù),提供檢查及平衡,只有受信任的連接才能管理它們。管理權(quán)限可賦予設(shè)備或其他主機(jī),例如管理權(quán)限可授予一定IP地址及特定的TCP/UDP端口。
控制管理權(quán)限的最好辦法是在授權(quán)進(jìn)入前分權(quán)限,可以通過認(rèn)證和帳戶服務(wù)器,例如遠(yuǎn)程接入服務(wù),終端服務(wù),或LDAP服務(wù)。
1.5遠(yuǎn)程連接的加密
在有些情況下,管理員需要遠(yuǎn)程管理交換機(jī)及路由器。為了保證管理傳輸?shù)陌踩枰用軈f(xié)議,SSH是所有遠(yuǎn)程命令行設(shè)置和文件傳輸?shù)臉?biāo)準(zhǔn)協(xié),基于WEB的則使用SSL或TLS協(xié)議,LDAP通常是通訊的協(xié)議,而SSL/TLS則用于加密此通訊。
1.6網(wǎng)絡(luò)管理協(xié)議
SNMP用來發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備,SNMP3是足夠安全的版本,可以保證授權(quán)的通信。
2.常用網(wǎng)絡(luò)安全方法
(1)網(wǎng)絡(luò)服務(wù)器及交換機(jī)和路由器口令設(shè)置應(yīng)該采用沒有意義的數(shù)字、字母和特殊符號的組合,長度應(yīng)該大于9位,以減少使用暴力破解或密碼字典破解密碼口令的可行行。
(2)建立登錄控制可以減輕受攻擊的可能性,設(shè)定嘗試登錄的次數(shù),在遇到這種掃描時能做出反應(yīng)。詳細(xì)的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時是非常有效的。
(3)交換機(jī)及路由器的配置文件的安全也是不容忽視的,通常配置文件應(yīng)該保存在安全的位置,有些交換機(jī)結(jié)合了入侵檢測的功能,一些通過端口映射支持,允許管理員選擇監(jiān)控端口。
(4)虛擬網(wǎng)絡(luò)的角色:通常,只有通過劃分子網(wǎng)才可以隔離廣播,但是VLAN的出現(xiàn)打破了這個定律。VLAN叫做虛擬局域網(wǎng),它的作用就是將物理上互連的網(wǎng)絡(luò)在邏輯上劃分為多個互不相干的網(wǎng)絡(luò),這些網(wǎng)絡(luò)之間是無法通訊的,就好像互相之間沒有連接一樣,因此廣播也就隔離開了。
VLAN的實現(xiàn)原理非常簡單,通過交換機(jī)的控制,某一VLAN成員發(fā)出的數(shù)據(jù)包交換機(jī)只發(fā)個同一VLAN的其它成員,而不會發(fā)給該VLAN成員以外的計算機(jī)。
使用VLAN的目的不僅僅是隔離廣播,還有安全和管理等方面的應(yīng)用,例如將重要部門與其它部門通過VLAN隔離,即使同在一個網(wǎng)絡(luò)也可以保證他們不能互相通訊,確保重要部門的數(shù)據(jù)安全;也可以按照不同的部門、人員,位置劃分VLAN,分別賦給不同的權(quán)限來進(jìn)行管理。
VLAN的劃分有很多種,可以按照IP地址來劃分,按照端口來劃分、按照MAC地址劃分或者按照協(xié)議來劃分,常用的劃分方法是將端口和IP地址結(jié)合來劃分VLAN,某幾個端口為一個VLAN,并為該VLAN配置IP地址,那么該VLAN中的計算機(jī)就以這個地址為網(wǎng)關(guān),其它VLAN則不能與該VLAN處于同一子網(wǎng)。
不同VLAN中的計算機(jī)之間進(jìn)行通訊,可以通過VLAN Trunk來解決。VLAN Trunk目前有兩種標(biāo)準(zhǔn),ISL和802.1q,前者是Cisco專有技術(shù),后者則是IEEE的國際標(biāo)準(zhǔn)。
(5)安裝防火墻。防火墻可以控制網(wǎng)絡(luò)之間的訪問,最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機(jī)上的。防火墻的不同主要在于他們掃描包的深度,是端到端的直接通訊還是通過,是否有session。
3.結(jié)束語
現(xiàn)在的網(wǎng)絡(luò)要求設(shè)計成各層次都是安全的,通過部署交換機(jī)和路由器的安全設(shè)置,可以使用安全技術(shù)創(chuàng)建起強(qiáng)壯、各層都安全的系統(tǒng)。網(wǎng)絡(luò)安全是一項巨大的系統(tǒng)工程,其涉及的領(lǐng)域很廣泛?;诼酚善骱徒粨Q機(jī)的安全只是其中一項,但只要合理有效地配置好設(shè)備,就可以有效、安全、方便地保護(hù)我們的內(nèi)部網(wǎng)絡(luò),加強(qiáng)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全控制與病毒防范是一項長期而艱巨的任務(wù),需要不斷的探索。隨著網(wǎng)絡(luò)的發(fā)展計算機(jī)病毒形式日趨多樣化,網(wǎng)絡(luò)安全問題日益復(fù)雜化,網(wǎng)絡(luò)安全建設(shè)不再像單臺計算機(jī)安全防護(hù)那樣簡單。計算機(jī)網(wǎng)絡(luò)安全需要建立多層次的,立體的防護(hù)體系,要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對安全的防護(hù)策略?!?/p>
【參考文獻(xiàn)】
[1]麥奎里,李祥瑞,張明,等.Cisco網(wǎng)絡(luò)設(shè)備互連(第2版)[M].北京:人民郵電出版社出版社,2010.
[2]王群.計算機(jī)網(wǎng)絡(luò)安全管理[M].北京:人民郵電出版社出版社,2010.
[3]宗明耀.企業(yè)網(wǎng)絡(luò)組建維護(hù)運(yùn)營技術(shù)與網(wǎng)絡(luò)安全控制措施及故障診斷排除實用全書[M].北京:中國企業(yè)管理出版社,2007.
[4]顧巧論,高鐵杠,賈春福.計算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2008.
在現(xiàn)代互聯(lián)網(wǎng)的時代,很多人為了便利和網(wǎng)絡(luò)文獻(xiàn)的豐富性就導(dǎo)致了惰性,不管是好是壞就胡編亂造的拿來充數(shù),這樣的參考文獻(xiàn)是沒有任何價值意義的,下面是學(xué)術(shù)參考網(wǎng)的小編整理的關(guān)于網(wǎng)絡(luò)安全論文參考文獻(xiàn),歡迎大家閱讀借鑒。
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]張金輝,王衛(wèi),侯磊.信息安全保障體系建設(shè)研究.計算機(jī)安全,2012,(8).
[2]肖志宏,楊倩雯.美國聯(lián)邦政府采購的信息安全保障機(jī)制及其啟示.北京電子科技學(xué)院學(xué)報,2009,(3).
[3]沈昌祥.構(gòu)建積極防御綜合防范的信息安全保障體系.金融電子化,2010,(12).
[4]嚴(yán)國戈.中美軍事信息安全法律保障比較.信息安全與通信保密,2007,(7).
[5]楊紹蘭.信息安全的保障體系.圖書館論壇,2005,(2).
[6]侯安才,徐瑩.建設(shè)網(wǎng)絡(luò)信息安全保障體系的新思路.現(xiàn)代電子技術(shù),2004,(3).
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]王爽.探討如何加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全及防范[J].計算機(jī)光盤軟件與應(yīng)用,2012(11).
[2]田文英.淺談計算機(jī)操作系統(tǒng)安全問題[J].科技創(chuàng)新與應(yīng)用,2012(23).
[3]張曉光.試論計算機(jī)網(wǎng)絡(luò)的安全隱患與解決對策[J].計算機(jī)光盤軟件與應(yīng)用,2012(18).
[4]郭晶晶,牟勝梅,史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用,2013,12(09):123-125.
[5]王擁軍,李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密,2013,11(07):153-171.
[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問題[J].計算機(jī)安全,2013,11(07):152-160.
[7]周連兵,張萬.淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計[J].中國公共安全:學(xué)術(shù)版,2013,10(02):163-175.
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]古田月.一場在網(wǎng)絡(luò)戰(zhàn)場上的較量與爭奪[N].中國國防報,2013-05-20(6).
[2]蘭亭.美國秘密監(jiān)視全球媒體[N].中國國防報,2010-10-24(1).
[3]李志偉.法國網(wǎng)絡(luò)安全戰(zhàn)略正興起[N].人民日報,2013-01-01(3).
[4]石純民,楊洋.網(wǎng)絡(luò)戰(zhàn):信息時代的戰(zhàn)略戰(zhàn)[N].中國國防報,2013-09-23(6).
關(guān)鍵詞:發(fā)電企業(yè);網(wǎng)絡(luò)安全;有效措施
0引言
當(dāng)前階段,電力生產(chǎn)流程針對網(wǎng)絡(luò)體系的依賴性要求愈發(fā)嚴(yán)格,網(wǎng)絡(luò)體系逐漸發(fā)展為電力企業(yè)運(yùn)行管理、科學(xué)技術(shù)創(chuàng)新以及長久發(fā)展的重要平臺,且網(wǎng)絡(luò)安全使用直接關(guān)聯(lián)到電力整個體系的穩(wěn)定性和高效性,在一定程度上決定著我國電企業(yè)朝向智能化電網(wǎng)方向發(fā)展的速度。目前電企業(yè)網(wǎng)絡(luò)安全問題引起諸多人士的關(guān)注和重視,怎樣對電企業(yè)的網(wǎng)絡(luò)安全性進(jìn)行深化與整合作為新時期下電企業(yè)管理者重點(diǎn)思考的問題,以下為筆者對此給予的相關(guān)分析與建議。
1現(xiàn)階段發(fā)電企業(yè)網(wǎng)絡(luò)安全風(fēng)險現(xiàn)狀
1.1網(wǎng)絡(luò)安全風(fēng)險因素
其一,網(wǎng)絡(luò)安全管理工作者。管理作為網(wǎng)絡(luò)安全的基本條件,高效的安全管理本質(zhì)上是約束網(wǎng)絡(luò)的參與者,電力企業(yè)不缺少人員的管理機(jī)制,然而在網(wǎng)絡(luò)安全管理工作中管理工作者總是淡化針對網(wǎng)絡(luò)使用者的監(jiān)督和控制。比如對網(wǎng)絡(luò)使用者具備的網(wǎng)絡(luò)使用權(quán)限劃分不夠合理,導(dǎo)致網(wǎng)絡(luò)使用者做一些越權(quán)的行為,包括對賬號以及系統(tǒng)的過度使用等;網(wǎng)絡(luò)使用者自由出入網(wǎng)絡(luò)機(jī)房,掌握網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu);管理者安全風(fēng)險控制積極性不高,缺少對網(wǎng)絡(luò)安全性的管理認(rèn)知,無意間滲透一些和網(wǎng)絡(luò)安全相關(guān)的信息,而以上問題的出現(xiàn)都來源于網(wǎng)絡(luò)安全管理機(jī)制的不健全,以致威脅到網(wǎng)絡(luò)的安全運(yùn)行效率。其二,網(wǎng)絡(luò)使用者。電力企業(yè)的工作人員缺少安全保護(hù)網(wǎng)絡(luò)的意識,沒有設(shè)置較高強(qiáng)度的網(wǎng)絡(luò)使用密碼,或者隨意將自己網(wǎng)絡(luò)賬號借給他人使用,實現(xiàn)信息的共享。此外電力企業(yè)工作人員可能把自己的計算機(jī)內(nèi)網(wǎng)信息設(shè)置在外網(wǎng)計算機(jī)上,沒有科學(xué)性的安裝應(yīng)用軟件,導(dǎo)致網(wǎng)絡(luò)出現(xiàn)安全風(fēng)險等,由此電力企業(yè)的網(wǎng)絡(luò)安全使用管理效果不佳。
1.2惡意攻擊
針對信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全,惡意攻擊主要是針對性的竊取和損壞網(wǎng)絡(luò)信息,或者對其他用戶的使用權(quán)限加以約束等。惡意攻擊經(jīng)常存在于網(wǎng)絡(luò)安全中,借助系統(tǒng)以及網(wǎng)絡(luò)安全的所有漏洞,網(wǎng)絡(luò)攻擊者能夠系統(tǒng)性的觀察到電力企業(yè)網(wǎng)絡(luò)體系可以訪問的一切信息以及資源,登陸操作后共享電力企業(yè)內(nèi)部的信息和資源,并且建立或者故意刪除一些資源。在這種情況下,惡意攻擊會威脅到電力企業(yè)的內(nèi)部穩(wěn)固,以致出現(xiàn)數(shù)據(jù)信息丟失的問題。
1.3計算機(jī)病毒
處在網(wǎng)絡(luò)狀態(tài)中,病毒自身具備較強(qiáng)的破壞強(qiáng)度,然而其的本質(zhì)為可以操作的代碼。計算機(jī)病毒的傳播途徑多樣,基于以往的軟盤或者光盤傳播轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)傳播。現(xiàn)階段,電企業(yè)網(wǎng)絡(luò)基本上創(chuàng)建出“雙網(wǎng)雙機(jī)”的體系,將內(nèi)網(wǎng)以及互聯(lián)網(wǎng)加以隔離,且病毒傳播的產(chǎn)生轉(zhuǎn)變?yōu)橘Y源共享的模式。存在病毒的存儲介質(zhì)可以在大量的計算機(jī)中同時使用,導(dǎo)致病毒如同感冒大面積的在網(wǎng)絡(luò)系統(tǒng)中傳播。針對互聯(lián)模式的網(wǎng)絡(luò),計算機(jī)信息數(shù)據(jù)要想實現(xiàn)共享更是簡捷,在此期間形成了計算機(jī)病毒的共享。在病毒入侵網(wǎng)絡(luò)之后,會在網(wǎng)絡(luò)中快速的增長和傳播,以至于出現(xiàn)網(wǎng)絡(luò)交流阻塞或者文件體系被破壞的問題,造成的破壞趨近于災(zāi)難性。
2現(xiàn)階段發(fā)電企業(yè)網(wǎng)絡(luò)安全深化有效措施
2.1強(qiáng)化安全管理
其一,關(guān)注網(wǎng)絡(luò)設(shè)備的安全管理。首先,針對進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)信息加以檢測,這涉及網(wǎng)絡(luò)訪問管理、入侵保護(hù)以及虛擬專用網(wǎng)絡(luò)等。其次,在網(wǎng)絡(luò)檢查的過程中,應(yīng)該科學(xué)地對網(wǎng)絡(luò)使用環(huán)境加以凈化,同時業(yè)務(wù)數(shù)據(jù)信息在網(wǎng)絡(luò)中的傳播進(jìn)程應(yīng)該具備嚴(yán)謹(jǐn)?shù)谋C苄?,借助加密以及解密的理念。確保敏感類型的數(shù)據(jù)在網(wǎng)絡(luò)中傳播不被入侵。最后,借助內(nèi)外網(wǎng)隔離或者服務(wù)器保護(hù)和入侵檢查體系等技術(shù)融合新時期下的網(wǎng)絡(luò)監(jiān)督方式,降低網(wǎng)絡(luò)安全風(fēng)險的出現(xiàn)幾率。其二,加強(qiáng)網(wǎng)絡(luò)安全機(jī)制。對于網(wǎng)絡(luò)使用的實際需求,相關(guān)人員要落實網(wǎng)絡(luò)安全管理的調(diào)整工作,健全安全管理機(jī)制,規(guī)范性地對網(wǎng)絡(luò)安全性進(jìn)行保護(hù),指定電企業(yè)網(wǎng)絡(luò)安全管理計劃、維修管理計劃、安全保密計劃、信息網(wǎng)絡(luò)使用計劃以及安全保護(hù)計劃等,動態(tài)化地對網(wǎng)絡(luò)進(jìn)行安全管理,確保網(wǎng)絡(luò)高效的運(yùn)行。其三,組建網(wǎng)絡(luò)安全管理單位。電企業(yè)可以組建網(wǎng)絡(luò)安全管理單位,包括安全管理小組、信息體系維修小組以及信息專業(yè)傳輸小組,其中安全管理小組主要是執(zhí)行相關(guān)機(jī)制,宣傳安全使用網(wǎng)絡(luò)的機(jī)制;信息體系維修小組主要是排查網(wǎng)絡(luò)安全性問題,及時地對安全隱患加以處理;信息專業(yè)傳輸小組主要是安全性地傳遞信息,將網(wǎng)絡(luò)安全使用加以落實。
2.2嚴(yán)格防止外部惡意攻擊
其一,及時關(guān)閉不需要的網(wǎng)絡(luò)端口。在網(wǎng)絡(luò)體系存在漏洞的過程中,相關(guān)人員要切合實際地升級網(wǎng)絡(luò)補(bǔ)丁,以免出現(xiàn)網(wǎng)絡(luò)受到惡意攻擊的問題。關(guān)閉網(wǎng)絡(luò)服務(wù)器上潛在安全風(fēng)險的端口,對黑客入侵行為加以預(yù)防,可以在很大程度上保證電氣企業(yè)網(wǎng)絡(luò)安全運(yùn)行。其二,設(shè)計防火墻以及入侵檢查體系。首先是防火墻的設(shè)置,其作為防止惡意攻擊的有效屏障,作為識別非法訪問網(wǎng)絡(luò)的一種技術(shù),將其設(shè)計在計算機(jī)網(wǎng)絡(luò)中,可以顯示出計算機(jī)含有資源被外界使用的信息,以及外部信息被計算機(jī)操作者運(yùn)用的信息。此外,防火墻往往存在于網(wǎng)絡(luò)的邊緣處,其自身具備一定的攻擊免疫力,能自主地對電企業(yè)內(nèi)部計算機(jī)網(wǎng)絡(luò)加以分類,從而制約局部網(wǎng)絡(luò)安全風(fēng)險對整個網(wǎng)絡(luò)體系產(chǎn)生的威脅。其次是入侵檢查體系,其作為防火墻的另外一種補(bǔ)充形式,其可以自主地提供安全保護(hù)服務(wù),動態(tài)化地對網(wǎng)絡(luò)中存在的攻擊以及濫用行為加以呈現(xiàn),入侵檢查的設(shè)計可以節(jié)省網(wǎng)絡(luò)安全管理培訓(xùn)需求的時間,有效地對網(wǎng)絡(luò)安全風(fēng)險進(jìn)行解決。
2.3防治計算機(jī)病毒的形成
其一,設(shè)置防病毒計算機(jī)軟件。電企業(yè)內(nèi)部要設(shè)置統(tǒng)一形式的防病毒體系,借助本地區(qū)的公司以及市局權(quán)利,升級防病毒的客戶端,由此每一種信息在經(jīng)過企業(yè)內(nèi)網(wǎng)絡(luò)期間都會被防病毒客戶端識別,時刻監(jiān)控計算機(jī)存有的數(shù)據(jù)信息,對計算機(jī)進(jìn)行殺毒處理。其二,工作人員優(yōu)先清除病毒之后使用存儲介質(zhì)或者光盤。電企業(yè)的網(wǎng)絡(luò)安全管理,每一位工作人員都要做到計算機(jī)網(wǎng)絡(luò)的專人和專用,計算機(jī)桌面的統(tǒng)一性已經(jīng)被電企業(yè)中心監(jiān)督,而存儲介質(zhì)的使用需要引起工作者的高度重視,可以將重點(diǎn)的數(shù)據(jù)信息存放在存儲介質(zhì)內(nèi)部的保密區(qū)域內(nèi),之后設(shè)置安全防護(hù)密碼。其三,信息維修工作者可以借助虛擬子網(wǎng)對病毒擴(kuò)散行為進(jìn)行分解,提升計算機(jī)網(wǎng)絡(luò)自身的綜合性能。因為多種虛擬子網(wǎng)不可以直接進(jìn)行訪問,因此分解的越徹底越有助于實現(xiàn)網(wǎng)絡(luò)的安全使用。在病毒出現(xiàn)時,虛擬子網(wǎng)的存在可以及時的控制病毒擴(kuò)散,不阻礙計算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。
3結(jié)束語
綜上所述,網(wǎng)絡(luò)安全運(yùn)行作為電企業(yè)持續(xù)化發(fā)展的關(guān)鍵,其不僅關(guān)乎電企業(yè)自身經(jīng)營數(shù)據(jù)信息產(chǎn)生的實效性,還為電企業(yè)各項工作的開展提供有利依據(jù),因此開展現(xiàn)階段發(fā)電企業(yè)網(wǎng)絡(luò)安全深化思考研究課題具有十分重要的現(xiàn)實意義和價值,每一個電企業(yè)都要切合實際地分析網(wǎng)絡(luò)安全運(yùn)行問題,找到安全風(fēng)險產(chǎn)生的源頭,制定切實可行的網(wǎng)絡(luò)管理方案,通過強(qiáng)化安全管理、嚴(yán)格防止外部惡意攻擊、防治計算機(jī)病毒的形成等,確保電企業(yè)的網(wǎng)絡(luò)安全使用,加快電企業(yè)現(xiàn)代化建設(shè)進(jìn)程。
參考文獻(xiàn):
[1]張惠姝,汪有杰,張琳,等.中國電信安徽公司多措并舉深化網(wǎng)絡(luò)安全防護(hù)工作[J].通信世界,2017(31):17-18.
[2]張軼鵬,高飛飛.深化專項監(jiān)督強(qiáng)化涉網(wǎng)安全——2018年度全區(qū)電力運(yùn)行安全生產(chǎn)管理暨電力運(yùn)行技術(shù)監(jiān)督工作會召開[J].內(nèi)蒙古電力技術(shù),2018(2).
[3]田銳.淺談電力系統(tǒng)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全[J].中國信息化,2017(9):64-65.
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);信息安全;安全方案構(gòu)建
1 企業(yè)計算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建意義
目前,我國大中型企業(yè)信息化建設(shè)中的關(guān)鍵部分就是信息安全建設(shè),解決信息安全問題有利于企業(yè)信息化建設(shè)工作的全面推進(jìn)。企業(yè)信息安全建設(shè)的最終目的是要真正做到“防患于未然”,信息安全的有效性建設(shè)能夠控制企業(yè)信息化建設(shè)的總體成本,為企業(yè)節(jié)約大量資金,實現(xiàn)資源優(yōu)化配置。企業(yè)計算機(jī)網(wǎng)絡(luò)安全建設(shè)工作要始終堅持等級保護(hù)理念,才能促進(jìn)企業(yè)信息安全建設(shè)工作的穩(wěn)步實施,保證企業(yè)信息管理系統(tǒng)的建設(shè)符合行業(yè)標(biāo)準(zhǔn)和政策規(guī)定,全面提升企業(yè)在激烈的市場競爭中的競爭力。
2 企業(yè)計算機(jī)網(wǎng)絡(luò)安全的弱點(diǎn)和威脅
2.1 信息安全弱點(diǎn)
信息安全弱點(diǎn)與企業(yè)信息資源密切相關(guān),信息安全弱點(diǎn)的暴露很有可能導(dǎo)致企業(yè)資產(chǎn)的嚴(yán)重?fù)p失。但是,信息安全弱點(diǎn)本身并不會為企業(yè)帶來損失,只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產(chǎn)損失,例如,企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題,管理員的管理措施問題等,這些信息安全弱點(diǎn)都為非法攻擊者提供了非法入侵的可能。
2.2 信息安全威脅
信息安全威脅指的是對企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素,信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素。信息安全威脅可能是偶然發(fā)生的事件,也有可能是人為蓄意制造的時間,包括信息泄露、信息篡改等,這些事件都會導(dǎo)致企業(yè)信息的可用性、完整性和保密性遭到破壞,屬于對企業(yè)信息的惡意攻擊。
2.3 網(wǎng)絡(luò)安全事件
由于網(wǎng)絡(luò)特有的開放性特點(diǎn),造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發(fā)生,信息安全領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全的研究也日益重視。根據(jù)大量網(wǎng)絡(luò)安全事件分析來看,企業(yè)信息管理系統(tǒng)的應(yīng)用設(shè)計存在著諸多缺陷和弊端,給情報機(jī)構(gòu)的非法入侵提供了極大的可能性。由此,內(nèi)容分級制度、脆弱性檢測技術(shù)、智能分析技術(shù)已經(jīng)廣泛應(yīng)用于企業(yè)信息系統(tǒng)開發(fā)過程中。
3 企業(yè)計算機(jī)網(wǎng)絡(luò)安全存在的主要問題
⑴企業(yè)分部采用寬帶撥號上網(wǎng)的方式與企業(yè)總部實現(xiàn)通信傳輸,這種落后的網(wǎng)絡(luò)通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩?。企業(yè)信息安全級別較高的部門通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中,沒有采取任何數(shù)據(jù)加密措施,非常容易造成數(shù)據(jù)信息的泄露和篡改,同時,企業(yè)信息管理系統(tǒng)的操作應(yīng)用沒有設(shè)置明確的管理人員,導(dǎo)致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡(luò)中,對服務(wù)器數(shù)據(jù)進(jìn)行竊取和篡改。以上兩種網(wǎng)絡(luò)安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露,甚至給企業(yè)帶來不看估計的損失。
⑵隨著企業(yè)網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大,在網(wǎng)絡(luò)邊界如果仍然采用路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),已經(jīng)無法適應(yīng)飛速發(fā)展的網(wǎng)絡(luò)互連技術(shù)。企業(yè)雖然可以在網(wǎng)絡(luò)邊界的路由器中設(shè)置訪問控制策略,但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊、IP地址攻擊、ARP協(xié)議欺騙等問題,這表明了企業(yè)需要一善可靠的防火墻設(shè)備,來對企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸提供有效控制和保護(hù)。
⑶由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,為企業(yè)提供了豐富的信息資源,除了企業(yè)日常運(yùn)營需要使用網(wǎng)絡(luò)資源,其他工作人員也有可能通過網(wǎng)絡(luò)獲取信息資源,例如使用迅雷、BT等軟件下載視音頻信息等,網(wǎng)絡(luò)下載會占用企業(yè)大部分帶寬資源,嚴(yán)重的會導(dǎo)致系統(tǒng)管理員無法對網(wǎng)絡(luò)終端的訪問情況進(jìn)行有效管理,或者某一個計算機(jī)終端因下載感染病毒而引發(fā)ARP欺騙。
⑷隨著互聯(lián)網(wǎng)應(yīng)用的日益普及,木馬病毒的廣泛傳播,企業(yè)員工計算機(jī)使用水平參差不齊,不能保證對網(wǎng)絡(luò)中的有害信息進(jìn)行有效識別,由此導(dǎo)致了木馬病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)的感染和傳播。因此,需要定期對企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進(jìn)行病毒查殺和威脅分析,以此起到有害信息過濾的作用,使流入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息能夠安全可靠,真正降低企業(yè)信息安全風(fēng)險。同時,企業(yè)可以采用網(wǎng)關(guān)防病毒產(chǎn)品,在企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)處進(jìn)行隔離保護(hù),當(dāng)木馬病毒出現(xiàn)時可以被攔截在企業(yè)內(nèi)部網(wǎng)絡(luò)之外,為企業(yè)提供可靠的安全邊界保護(hù)。
4 企業(yè)計算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建實施
企業(yè)總部需要與企業(yè)分部,以及其他合作企業(yè)之間實現(xiàn)數(shù)據(jù)傳輸與交換,企業(yè)派往外地出差的員工也需要通過遠(yuǎn)程網(wǎng)絡(luò)訪問企業(yè)總部內(nèi)網(wǎng)的信息管理系統(tǒng),因此,不同用戶企業(yè)總部內(nèi)部網(wǎng)絡(luò)的訪問有著不同需求,企業(yè)必須具有安全可靠、性能較高、成本較低的網(wǎng)絡(luò)接入方式。由于企業(yè)分部大部分與企業(yè)總部不在一個城市,在企業(yè)總部與企業(yè)分部之間鋪設(shè)光纜線路是極為不現(xiàn)實的;如果租用專用光纖網(wǎng)絡(luò)通信線路,高額的租賃費(fèi)用會嚴(yán)重增加企業(yè)運(yùn)營發(fā)展的經(jīng)濟(jì)負(fù)擔(dān);如果將企業(yè)總部內(nèi)部網(wǎng)絡(luò)的應(yīng)用服務(wù)器映射在網(wǎng)關(guān)位置,雖然能夠方面用戶遠(yuǎn)程訪問企業(yè)內(nèi)部信息管理系統(tǒng),但會給企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患。本文基于以上分析,本文選擇利用VPN技術(shù)(虛擬局域網(wǎng))在企業(yè)內(nèi)部網(wǎng)絡(luò)出口處,虛擬設(shè)置一條網(wǎng)絡(luò)專線,以此將企業(yè)總部與企業(yè)分部網(wǎng)絡(luò)進(jìn)行有效連接,形成一個規(guī)模較大的局域網(wǎng),真正實現(xiàn)了用戶遠(yuǎn)程訪問和接入。VPN技術(shù)不僅能夠滿足異地用戶對企業(yè)總部網(wǎng)絡(luò)信息管理系統(tǒng)的訪問需求,而且充分保證了用戶訪問的安全性,避免了單點(diǎn)登錄技術(shù)對企業(yè)整個網(wǎng)絡(luò)構(gòu)成的安全威脅。
企業(yè)在部署上網(wǎng)行為管理設(shè)備(SINFOR M5X00-AC)時,應(yīng)該開啟VPN功能,在企業(yè)總部內(nèi)部網(wǎng)絡(luò)的邊界防火墻設(shè)備中進(jìn)行端口映射,同時在企業(yè)分部網(wǎng)絡(luò)中安裝上網(wǎng)行為管理設(shè)備,并且與企業(yè)總部的上網(wǎng)行為管理設(shè)備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡(luò),在對數(shù)據(jù)信息進(jìn)行加密后在互聯(lián)網(wǎng)上傳輸。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡(luò)時,只要在任何一端的連接管理設(shè)置中輸入對方網(wǎng)絡(luò)地址,VPN設(shè)備就可以自動進(jìn)行虛擬局域網(wǎng)組建,網(wǎng)絡(luò)中的任何計算機(jī)終端都可以通過虛擬專用網(wǎng)實現(xiàn)數(shù)據(jù)傳輸與共享。如果還有其他分部需要加入到虛擬局域網(wǎng)中,則可以通過輸入加密的訪問WAN扣地址實現(xiàn)。需要注意的是,已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同。
企業(yè)在部署上網(wǎng)行為管理設(shè)備時,由于訪問控制策略是信息安全策略的核心部分,也是對網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)年P(guān)鍵保護(hù)措施,由此,需要對接入企業(yè)總部網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證,根據(jù)不同用戶的身份授予不同權(quán)限,再利用配置邏輯隔離服務(wù)器實現(xiàn)不同用戶身份對不同應(yīng)用服務(wù)器的接入,從而對企業(yè)內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)信息管理系統(tǒng)進(jìn)行訪問和使用。同時,安全級別為五級的QoS安全機(jī)制能夠為企業(yè)不同信息系統(tǒng)提供相應(yīng)的安全服務(wù)保障,并且可以按照業(yè)務(wù)類別劃分優(yōu)先級別,重要的數(shù)據(jù)信息將會獲得優(yōu)先傳輸?shù)臋?quán)限。對用戶訪問權(quán)限的細(xì)致劃分可以限制非法用戶對網(wǎng)絡(luò)資源的訪問和使用,防止非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行破壞性操作,直接對接入企業(yè)內(nèi)部網(wǎng)絡(luò)的各項訪問應(yīng)用進(jìn)行管控,真正提高了企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性。
在企業(yè)內(nèi)部網(wǎng)絡(luò)部署應(yīng)用安全產(chǎn)品過程中,需要綜合考慮如何完成安全產(chǎn)品的部署策略,才能使安全產(chǎn)品的性能充分發(fā)揮,同時,企業(yè)內(nèi)部網(wǎng)絡(luò)還可以將不同的安全產(chǎn)品集成應(yīng)用,使其發(fā)揮最大功能,充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。
本文基于信息安全等級指導(dǎo)思想下,對企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問題進(jìn)行了分析,并提出了良好的解決方案,包括防火墻的部署、入侵檢測設(shè)備的部署、上網(wǎng)行為管理設(shè)備的部署、防毒墻的部署、企業(yè)版殺毒軟件的部署等。
5 結(jié)論
綜上所述,本文在網(wǎng)絡(luò)信息安全等級保護(hù)理念下,將企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)的有效性作為最終目標(biāo),對企業(yè)網(wǎng)絡(luò)信息安全存在的風(fēng)險進(jìn)行深入分析,結(jié)合企業(yè)實際情況,提出了企業(yè)計算機(jī)網(wǎng)絡(luò)安全設(shè)計方案,保障了企業(yè)總部內(nèi)部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)之間數(shù)據(jù)傳輸通信的安全性和可靠性。
[參考文獻(xiàn)]
[1]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實踐[J].中國新通信,2013,09:25-27.
[2]王迅.電信企業(yè)計算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析[J].科技傳播,2013,07:217+209.
[3]陳瑋.企業(yè)無線網(wǎng)絡(luò)移動辦公的安全接入問題分析[J].信息通信,2013,03:239.
關(guān)鍵詞:穩(wěn)定性 體驗 平衡點(diǎn) 路由
一、引言
近幾年,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)應(yīng)用的不斷豐富,用戶可存在于網(wǎng)絡(luò)空間的活動越來越多,上至六七十的老人,下到小學(xué)生都加入了這個行列。而企業(yè)因網(wǎng)絡(luò)接入用戶數(shù)急劇增加,隨之接入的網(wǎng)絡(luò)設(shè)備數(shù)量也在增多,設(shè)備配置也隨著應(yīng)用的需求不斷的變化。在實際工作中,簡單的擴(kuò)充網(wǎng)絡(luò)帶寬來提高網(wǎng)絡(luò)訪問速度的做法效果并不理想。經(jīng)過反復(fù)研究分析,采用綜合性技術(shù)手段提高網(wǎng)絡(luò)穩(wěn)定性,對于訪問速度的提高,用戶體驗十分顯著。網(wǎng)絡(luò)速度實際是恒定的,用戶上網(wǎng)訪問快慢的感受實際上是受帶寬影響,但又存在有效帶寬問題。
隨著網(wǎng)絡(luò)規(guī)模的增大并變得更為復(fù)雜,需要更多的功能、更好地控制網(wǎng)絡(luò)組建。
二、如何提高網(wǎng)絡(luò)穩(wěn)定性問題研究
網(wǎng)絡(luò)穩(wěn)定,帶寬中的有效帶寬就比較高,用戶上網(wǎng)訪問速度就比較平穩(wěn),用戶的訪問體驗就不會出現(xiàn)高低起伏,但網(wǎng)絡(luò)訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡(luò)穩(wěn)定性,首先應(yīng)找出造成網(wǎng)絡(luò)不穩(wěn)定的原因,并結(jié)合實際情況盡可能把這些問題解決掉。
1.影響網(wǎng)絡(luò)穩(wěn)定性的因素。影響網(wǎng)絡(luò)不穩(wěn)定的因素很多,總結(jié)起來主要表現(xiàn)在五個方面:網(wǎng)絡(luò)架構(gòu)、路由體系、網(wǎng)絡(luò)安全、桌面安全和系統(tǒng)安全。目前,對企業(yè)網(wǎng)絡(luò)在這幾方面情況分析如下:
(1)企業(yè)網(wǎng)絡(luò)架構(gòu)主要采用的是“三級”架構(gòu)(核心、匯聚、接入)??傮w思路很明確,但隨著網(wǎng)絡(luò)的不斷延伸,接入用戶的不斷增加和新技術(shù)的應(yīng)用,網(wǎng)絡(luò)邊界不斷賦予新的內(nèi)涵,邊界功能化、明晰化成為現(xiàn)在存在的問題。
(2)隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入原來的路由體系是否適合現(xiàn)在不斷擴(kuò)展的企業(yè)網(wǎng)絡(luò),如何找出路由體系中關(guān)鍵技術(shù)的平衡點(diǎn)這都是技術(shù)難點(diǎn)。
(3)網(wǎng)絡(luò)安全的隱患是影響網(wǎng)絡(luò)穩(wěn)定性的直接因素。經(jīng)過近幾年的努力,企業(yè)網(wǎng)絡(luò)安全問題已得到很大提升,尤其是網(wǎng)絡(luò)安全域劃分的實施。
(4)桌面安全和系統(tǒng)安全對網(wǎng)絡(luò)的局部穩(wěn)定起到至關(guān)重要的作用。近兩年部署的桌面安全準(zhǔn)入系統(tǒng)的實施,使桌面安全和系統(tǒng)安全從根本上得到改善,為快速預(yù)測和提前相應(yīng)提供了支持。
2.提高網(wǎng)絡(luò)穩(wěn)定性的措施。從影響網(wǎng)絡(luò)穩(wěn)定性的因素出發(fā),我們結(jié)合業(yè)界的相關(guān)技術(shù),提出了提高網(wǎng)絡(luò)穩(wěn)定性的措施。
(1)網(wǎng)絡(luò)架構(gòu)。企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署,但是缺乏真正意義上的三層核心,不同功能網(wǎng)絡(luò)之間邊界不夠清晰,沒有使用安全設(shè)備進(jìn)行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務(wù)功能規(guī)劃物理網(wǎng)絡(luò)的設(shè)計原則,靈活性欠佳,且網(wǎng)絡(luò)單元連接關(guān)系規(guī)劃的不盡合理,造成部分應(yīng)用數(shù)據(jù)流路徑的不合理性。
針對企業(yè)網(wǎng)絡(luò)現(xiàn)狀,按照功能分區(qū)、邏輯分層的原則,并考慮安全區(qū)域劃分的方式進(jìn)行構(gòu)造網(wǎng)絡(luò),增加統(tǒng)一的三網(wǎng)絡(luò)核心,整合網(wǎng)絡(luò)安全邊界,優(yōu)化網(wǎng)絡(luò)單元連接和應(yīng)用數(shù)據(jù)流路徑。增加開發(fā)測試區(qū),增強(qiáng)開發(fā)測試類應(yīng)用的獨(dú)立性和安全性;增加運(yùn)行管理區(qū),為企業(yè)網(wǎng)絡(luò)運(yùn)行管理、網(wǎng)絡(luò)安全管理提供網(wǎng)絡(luò)基礎(chǔ)接入平臺;增加數(shù)據(jù)擺渡區(qū),隔離保護(hù)生產(chǎn)和科研網(wǎng)絡(luò),以保障企業(yè)核心業(yè)務(wù);針對各網(wǎng)絡(luò)功能區(qū),定義網(wǎng)絡(luò)安全邊界,實施網(wǎng)絡(luò)安全控制;增加各功能區(qū)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)連接的冗余性,提高網(wǎng)絡(luò)的可用性,包括:各功能區(qū)的冗余分布層和連接。
現(xiàn)在提倡扁平化管理,企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署,按照功能分區(qū)、邏輯分層的原則,網(wǎng)絡(luò)架構(gòu)為核心——匯聚——接入。但隨著網(wǎng)絡(luò)規(guī)模的增大企業(yè)網(wǎng)絡(luò)變得更為復(fù)雜,在網(wǎng)絡(luò)接入層中有的地方包含了三層、四層,甚至五層接連,增加了數(shù)據(jù)轉(zhuǎn)發(fā)層數(shù),也就增加了故障點(diǎn):上聯(lián)設(shè)備故障,直接影響其下聯(lián)設(shè)備。對用戶來說直接影響了其上網(wǎng)體驗。
(2)路由體系。路由協(xié)議是網(wǎng)絡(luò)基礎(chǔ)規(guī)則的重要內(nèi)容,需要考察路由協(xié)議的開放性、可擴(kuò)展性、靈活性和可管理性等方面,進(jìn)行比較和選擇。
下表中列出了幾種路由協(xié)議各自的優(yōu)點(diǎn)和需注意的問題。
根據(jù)前文提出的企業(yè)網(wǎng)絡(luò)架構(gòu),考慮各種路由協(xié)議的特點(diǎn),企業(yè)在內(nèi)部網(wǎng)絡(luò)采用OSPF路由和Static路由相結(jié)合的方式。
(3)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全體系架構(gòu)需要考慮三個層面的內(nèi)容:網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全,并通過不斷的評估和規(guī)劃,提高企業(yè)整體的安全水平。對企業(yè)網(wǎng)絡(luò)安全技術(shù)部署現(xiàn)狀的了解和分析,考慮認(rèn)證鑒權(quán)、訪問控制、審計跟蹤、響應(yīng)恢復(fù)、內(nèi)容安全這五個方面。安全應(yīng)該貫徹到整個IT架構(gòu)中的各個層次,網(wǎng)絡(luò)設(shè)備配置安全也非常重要,利用設(shè)備操作系統(tǒng)軟件的許多安全技術(shù),可以大大增強(qiáng)網(wǎng)絡(luò)設(shè)備的安全性,從而為整個網(wǎng)絡(luò)的安全又提供了一層保障。從口令管理、服務(wù)管理、訪問控制和管理、攻擊防范和路由安全這幾個方面,提出網(wǎng)絡(luò)設(shè)備配置安全:
①口令管理:要求使用加密口令,避免口令被惡意截取;
②服務(wù)管理:強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的服務(wù),減少被攻擊者利用的可能;
③訪問控制和管理:要求對客戶端的操作進(jìn)行嚴(yán)格的認(rèn)證、授權(quán)和審計;
④攻擊防范:增加網(wǎng)絡(luò)設(shè)備防范攻擊功能的配置,減少網(wǎng)絡(luò)設(shè)備被惡意攻擊的風(fēng)險;
⑤路由安全:關(guān)注路由協(xié)議認(rèn)證,消除路由安全問題。
(4)桌面安全和系統(tǒng)安全。信息安全風(fēng)險管理就是可以接受的代價,識別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風(fēng)險管理并不僅僅只是著眼于防病毒,防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個問題:
①不能確保所有計算機(jī)都安裝了防火墻和殺毒軟件;
②不能及時對殺毒軟件、防火墻進(jìn)行更新;
③不知道怎樣對系統(tǒng)防護(hù)進(jìn)行策略配置,不知道怎樣對漏洞進(jìn)行補(bǔ)丁安裝。
近兩年企業(yè)部署的桌面安全準(zhǔn)入系統(tǒng)的實施,使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應(yīng)從提高桌面準(zhǔn)入客戶端的安裝率,挖掘該系統(tǒng)的深入應(yīng)用,提高系統(tǒng)補(bǔ)丁的安裝出發(fā)來解決這些問題。
三、企業(yè)提高網(wǎng)絡(luò)穩(wěn)定性實踐方案
本實踐方案是在影響網(wǎng)絡(luò)穩(wěn)定的五大因素的基礎(chǔ)上,通過結(jié)合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡(luò)穩(wěn)定性的實踐方案。以下將從網(wǎng)絡(luò)結(jié)構(gòu)介紹出發(fā),詳細(xì)闡述該實踐方案。
1.網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)在功能分區(qū)、邏輯分層的總體思路指導(dǎo)下,采用“三級”架構(gòu),核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器,邊界路由器與核心A和核心B采用雙鏈,數(shù)據(jù)中心與核心采用雙鏈,重要并具備條件的各匯聚采用雙鏈,從而實現(xiàn)核心A和核心B熱備,無論核心A或B其中任何一個故障,各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數(shù)據(jù)中心資源,進(jìn)行日常辦公。從而加固了網(wǎng)絡(luò)核心,明晰了網(wǎng)絡(luò)邊界,提高了企業(yè)網(wǎng)絡(luò)穩(wěn)定性。
圖 網(wǎng)絡(luò)架構(gòu)總體設(shè)計
2.路由體系。根據(jù)OSPF(開放式最短路徑優(yōu)先)路由和Static(靜態(tài))路由的優(yōu)缺點(diǎn),結(jié)合企業(yè)現(xiàn)狀,提出企業(yè)路由體系需遵循的三個原則:(1)動靜路由的選擇。
(2)減少路由器同步和收斂時間。
(3)明晰并統(tǒng)一語法。
企業(yè)網(wǎng)絡(luò)是采用OSPF路由和Static路由結(jié)合的方式,這兩種方式各有優(yōu)缺點(diǎn)。Static路由可以精確的控制互聯(lián)網(wǎng)絡(luò)的路由行為,然而,如果經(jīng)常發(fā)生網(wǎng)絡(luò)拓?fù)渥兓敲词謩优渲梅绞綄?dǎo)致靜態(tài)路由的管理工作根本無法進(jìn)行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓?。但對于任何程序而言,自動化程度越高,可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式,即減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響,又在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。
企業(yè)網(wǎng)絡(luò)核心到邊界,核心到匯聚采用OSPF路由,使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓?,減少路由維護(hù)工作量。邊界其他一些網(wǎng)絡(luò)用戶數(shù)較大的接入單位采用Static路由,通過這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式,減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響,在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。接入邊界的網(wǎng)絡(luò)用戶數(shù)較大的單位內(nèi)部網(wǎng)絡(luò)采用動態(tài)路由。并且統(tǒng)一路由規(guī)則,主要包括以下幾點(diǎn):
(1)RID(router id)是用來唯一表示OSPF網(wǎng)絡(luò)中的一個節(jié)點(diǎn),為避免由于組網(wǎng)不當(dāng)造成相同自治系統(tǒng)中的RID沖突,路由器均需設(shè)置RID,RID的地址最好選擇網(wǎng)絡(luò)中最大的IP地址;
(2)合理使用OSPF的0區(qū)域,統(tǒng)一OSPF的語法和規(guī)則。
在本方案中,由于指出了網(wǎng)絡(luò)路由協(xié)議使用原則,規(guī)范了路由的語法和規(guī)則,從而避免了路由配置錯誤;并且把可能產(chǎn)生的路由震蕩局限在了比較小的范圍,從而提高了網(wǎng)絡(luò)穩(wěn)定性。
3.網(wǎng)絡(luò)安全。啟用接入層交換機(jī)端口安全,采用適合企業(yè)現(xiàn)狀的相關(guān)參數(shù),減少ARP攻擊。
4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實際情況,提出從兩方面出發(fā):(1)把IPS桌面化和桌面防火墻的使用實現(xiàn)防攻擊。
(2)提高終端計算機(jī)補(bǔ)丁安裝率。
基于策略的終端安全檢查和控制功能,通過在sep(終端準(zhǔn)入系統(tǒng))策略服務(wù)器上制定詳細(xì)的wsus()策略來控制計算機(jī)的補(bǔ)丁更新,安裝了sep客戶端計算機(jī)只要接入網(wǎng)絡(luò),sep客戶端就會執(zhí)行相應(yīng)的wsus策略檢查并將結(jié)果提交給sep策略服務(wù)器,策略服務(wù)器在收到客戶端傳來檢查結(jié)果后和制定的wsus策略進(jìn)行比對,如客戶端計算機(jī)滿足wsus策略才被允許使用網(wǎng)絡(luò),否則只能訪問隔離網(wǎng)段內(nèi)的網(wǎng)絡(luò)資源。針對不同區(qū)域?qū)嵤┎煌呗?,實現(xiàn)多組wsus服務(wù)器之間負(fù)載均衡,使客戶端能在最短時間內(nèi)獲取補(bǔ)丁資源 。
5.實踐總結(jié)。企業(yè)網(wǎng)絡(luò)是在不斷的擴(kuò)展,各種新技術(shù)也是層出不窮,如何解決網(wǎng)絡(luò)穩(wěn)定性的問題已成為當(dāng)今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發(fā),思考、分析、解決問題,“頭痛醫(yī)頭,腳痛醫(yī)腳”的方式無法適應(yīng)當(dāng)下網(wǎng)絡(luò)的運(yùn)維工作;并且要從體系角度進(jìn)行網(wǎng)絡(luò)建設(shè)和維護(hù),改變簡單的把“網(wǎng)絡(luò)維護(hù)”看成“網(wǎng)絡(luò)設(shè)備維護(hù)”的傳統(tǒng)思想。
參考文獻(xiàn):
[1](美)多伊爾 著.葛建立,吳劍章譯.TCP/IP路由技術(shù),第一卷,2003.10.
關(guān)鍵詞:廣電網(wǎng)絡(luò) 有線通 安全策略 信息加密
中途分類號:TP309.2 文獻(xiàn)識別碼:A 文章編號:1007-9416(2016)05-0000-00
作為一個信息與技術(shù)均密集型的行業(yè)來說,廣電網(wǎng)絡(luò)企業(yè)所采用的現(xiàn)代化計算機(jī)網(wǎng)絡(luò),不僅要提高內(nèi)部自動化辦公的效率,更要保證使用有線通寬帶的用戶通訊時有舒適暢通的體驗,其通常有線通、數(shù)據(jù)專線網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)三個部分。為了使系統(tǒng)正常運(yùn)作,并且可以保證其穩(wěn)定性,所以多種高性能設(shè)備和先進(jìn)技術(shù)是必不可少的。這是因為廣電的應(yīng)用系統(tǒng)較為復(fù)雜,需要滿足比較嚴(yán)格的條件,比如數(shù)據(jù)、圖像、視頻等傳輸要求
1 廣電網(wǎng)絡(luò)安全需及隱患
“有線通”業(yè)務(wù)是廣電網(wǎng)絡(luò)公司為用戶提供的基于雙向有線網(wǎng)絡(luò)的寬帶接入服務(wù),利用遍布本市有線電視雙向網(wǎng)絡(luò),通過EOC、EPON和 CMTS為用戶提供寬帶接入服務(wù),目前“有線通”用戶超過5000戶,另外還包括本市銀行、醫(yī)保等數(shù)據(jù)專線業(yè)務(wù),因此要加大對信息資源的保護(hù)力度,控制管理服務(wù)資源予。
1.1 廣電網(wǎng)絡(luò)安全需求
消除信息網(wǎng)絡(luò)內(nèi)部各類信息的完整性,真實性,以及可用性和不被非法泄露盜用的安全隱患,使其在存儲、獲取、傳遞以及處理過程中處于安全狀態(tài)。為了使區(qū)域網(wǎng)保持其完整性、真實性、以及不被非法泄露盜用,使網(wǎng)絡(luò)外部的攻擊無效,加強(qiáng)對內(nèi)部用戶訪問資源的控制,各類信息的獲取、存儲、處理和傳遞必須能夠應(yīng)對各種層次的管理要求
1.2 廣電企業(yè)網(wǎng)絡(luò)安全隱患
現(xiàn)如今廣電企業(yè)網(wǎng)絡(luò)面臨的主要安全隱患:(1)其它網(wǎng)絡(luò)的攻擊INTERNET上黑客、惡意用戶等會利用廣電企業(yè)在INTERNET上接入網(wǎng)絡(luò)系統(tǒng)的這一特點(diǎn)來攻擊網(wǎng)絡(luò),如企圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、實現(xiàn)對敏感信息的竊取、系統(tǒng)數(shù)據(jù)的破壞、惡意代碼的設(shè)置、來嚴(yán)重降低或癱瘓系統(tǒng)服務(wù)。這個問題相當(dāng)嚴(yán)重,不能忽視,所以相應(yīng)的安全措施要適時采取,防止這類事情的發(fā)生。(2)管理及操作人員缺乏安全知識現(xiàn)如今信息的應(yīng)用和安全技術(shù)與網(wǎng)絡(luò)的技術(shù)發(fā)展不成正比,前者相對滯后,用戶在引入和采用安全設(shè)備和系統(tǒng)時,沒有進(jìn)行全面和深入的培訓(xùn)和學(xué)習(xí),沒有對信息安全的重要性與技術(shù)的認(rèn)識,這就會導(dǎo)致安全設(shè)備/系統(tǒng)發(fā)揮不了正確的作用,最終成為擺設(shè)。(3)雷擊當(dāng)?shù)貫槔纂姙?zāi)難多發(fā)的沿海沿江地區(qū)。一旦遭受到雷電襲擊,連鎖反應(yīng)就會產(chǎn)生,整個網(wǎng)絡(luò)就會癱瘓,設(shè)備也會收到損害,后果十分嚴(yán)重,這是因為很多的網(wǎng)絡(luò)設(shè)備、終端、線路等都會牽扯到網(wǎng)絡(luò)系統(tǒng)中,它們的傳輸方式都是通過通信電纜傳輸完成的,所以受到雷擊的概率特別大。為了減少雷擊造成的損失,就必須對整個網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。
2 廣電網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)安全策略
2.1 訪問控制策略
為了防止非法訪問,使用戶身份鑒別和對重要網(wǎng)絡(luò)、服務(wù)器的安全控制起作用,此時,最關(guān)鍵的是實施訪問控制。為了能夠使網(wǎng)絡(luò)安全得到保證,玩不可缺的是防火墻。防火墻會進(jìn)行限制網(wǎng)絡(luò)流,合法網(wǎng)絡(luò)流得到許可,并將非法網(wǎng)絡(luò)流截止,在根據(jù)網(wǎng)絡(luò)流的來源和訪問目標(biāo)的安全性作出判斷后。可以提供在網(wǎng)絡(luò)邊界處的安全策略,對有效的簡化復(fù)雜的網(wǎng)絡(luò)安全問題,使管理成本縮小,并將潛藏的風(fēng)險降低,是防火墻最大的存在意義。
2.2 加密信息策略
信息加密在實現(xiàn)對網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和加強(qiáng)對信息的控制的保護(hù),網(wǎng)上的數(shù)據(jù)傳輸?shù)谋WC,是必不可缺的。網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全可以通過鏈路加密得到保證;源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路可以通過節(jié)點(diǎn)加密得到保護(hù);端與端加密能夠保護(hù)源端用戶到目的端用戶的數(shù)據(jù)。因此,鏈路加密、節(jié)點(diǎn)加密和端點(diǎn)加密三種方法是網(wǎng)絡(luò)加密常用的方法。用戶可根據(jù)實際情況進(jìn)行選擇。
密碼技術(shù)是網(wǎng)絡(luò)安全頗為有效的技術(shù)中的一個。通過網(wǎng)絡(luò)加密,可以禁止非授權(quán)用戶搭線偷聽和入網(wǎng),并且讓惡意軟件也沒有可乘之機(jī)。
2.3 內(nèi)外網(wǎng)互聯(lián)安全策略
在網(wǎng)絡(luò)的邊界必須用安全設(shè)備進(jìn)行分離,通過防火墻的路由及NAT功能,廣電的信息網(wǎng)絡(luò)對醫(yī)保、銀行專網(wǎng)的訪問就得以實現(xiàn)。這是因為廣電的銀行、醫(yī)保專網(wǎng)和內(nèi)部網(wǎng)絡(luò)的安全級別以及安全防護(hù)的要求不同,其作為核心網(wǎng)絡(luò)是屬于兩個截然不同單位的。并且這樣可以通過在防火墻配置嚴(yán)格的訪問控制措施,,其他未經(jīng)授權(quán)的用戶不得相互訪問,訪問醫(yī)保專網(wǎng)和廣電信息網(wǎng)絡(luò)的權(quán)利只有授權(quán)用戶及IP地址。
3 數(shù)據(jù)備份策略
3.1 數(shù)據(jù)容災(zāi)備份設(shè)計
“本地備份”和“異地災(zāi)備”是尋常的備份方式。如果備份設(shè)備與要操作的數(shù)據(jù)、系統(tǒng)支撐設(shè)備的數(shù)據(jù)交換方式通常是光纖高速通路的,且兩者的距離非常小,那么使用本地備份的方式。異地災(zāi)備與本地備份恰好相背,備份中心建立在離源數(shù)據(jù)、系統(tǒng)存放地的距離相當(dāng)遠(yuǎn)的地方,這樣做的好處是,當(dāng)一些不能避免的事件發(fā)生時,數(shù)據(jù)或系統(tǒng)受到影響,而不會將破損災(zāi)備中心。
3.2 容災(zāi)恢復(fù)建議方案設(shè)計
在廣電系統(tǒng)業(yè)務(wù)平常運(yùn)作中,為了能夠在出現(xiàn)問題故障時及時將至關(guān)重要的數(shù)據(jù)恢復(fù),操作并備份關(guān)鍵數(shù)據(jù)和數(shù)據(jù)庫是關(guān)鍵組成成份。當(dāng)出現(xiàn)非常大的數(shù)據(jù)量或發(fā)生突發(fā)性災(zāi)難時,備份磁帶卻不能發(fā)揮實際作用,不能及時的將數(shù)據(jù)恢復(fù)出來,這是因為數(shù)據(jù)通常采用磁帶離線備份。所以若想要編定一套完整的災(zāi)難備份方案,那么軟件,特別對相關(guān)的備份,存儲設(shè)備,服務(wù)器以及災(zāi)難恢復(fù)的解決是一個都不能缺少的。 應(yīng)該含有主數(shù)據(jù)中心和備份中心,主數(shù)據(jù)中心是相對比較可靠的解決方案,主數(shù)據(jù)中心與備份數(shù)據(jù)中心的連接方式是通過光纖或電信網(wǎng)實現(xiàn)的。主中心系統(tǒng)配置主機(jī)的存儲磁盤陣列中存儲著數(shù)據(jù),由于是由兩臺或多臺服務(wù)器以及其他相關(guān)服務(wù)器組成的,所以它有很高的可靠性。有相同結(jié)構(gòu)的磁盤陣列存儲在異地備份中心,同樣也有一臺或多臺備份服務(wù)器??梢栽谥鲾?shù)據(jù)中心通過配置磁帶備份服務(wù)器這一途徑,完成備份軟件和磁帶庫的安裝。在存儲陣列和磁帶庫上直接將備份服務(wù)器連接上,從而實現(xiàn)對系統(tǒng)的日常數(shù)據(jù)的磁帶備份的控制。
參考文獻(xiàn)