《淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護(hù)措施》由會員分享,可在線閱讀,更多相關(guān)《淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護(hù)措施(3頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護(hù)措施
論文關(guān)鍵詞:信息安全 網(wǎng)絡(luò)安全 風(fēng)險 論文摘要:計算機網(wǎng)絡(luò)高速發(fā)展的同時,給信息安全帶來了新的挑戰(zhàn)。通過對國內(nèi)
2、企業(yè)信息安全面臨的風(fēng)險分析,有針襯性地提出常用技術(shù)防護(hù)措施。 隨著信息技術(shù)迅猛發(fā)展,計算機及其網(wǎng)絡(luò)、移動通信和辦公自動化設(shè)備日益普及,國內(nèi)大中型企業(yè)為了提高企業(yè)競爭力,都廣泛使用信息技術(shù),特別是網(wǎng)絡(luò)技術(shù)。企業(yè)信息設(shè)施在提高企業(yè)效益的同時,給企業(yè)增加了風(fēng)險隱患,網(wǎng)絡(luò)安全問題也一直層出不窮,給企業(yè)所造成的損失不可估量。 1企業(yè)面臨的網(wǎng)絡(luò)安全威脅 1.1來自企業(yè)內(nèi)部的攻擊 大量事實表明,在所有的網(wǎng)絡(luò)攻擊事件當(dāng)中,來自企業(yè)內(nèi)部的攻擊占有相當(dāng)大的比例,這包括了懷有惡意的,或者對網(wǎng)絡(luò)安全有著強烈興趣的員工的攻擊嘗試,以及計算機操作人員的操作失誤等。內(nèi)部人員知道系統(tǒng)的布局、有價值的數(shù)據(jù)放在何處以及何
3、種安全防范系統(tǒng)在工作。因內(nèi)部人員攻擊來自區(qū)域內(nèi)部,常常最難于檢測和防范。 1.2來自企業(yè)外部的惡意攻擊 隨著黑客技術(shù)在互連網(wǎng)上的擴散,對一個既定目標(biāo)的攻擊變得越來越容易。一方面,對攻擊目標(biāo)造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列,另一方面商業(yè)競爭也在導(dǎo)致更多的惡意攻擊事件的產(chǎn)生。 1.3網(wǎng)絡(luò)病毒和惡意代碼的襲擊 與前幾年病毒和惡意代碼傳播情況相比,如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升,其破壞能力也在快速增強,所造成的損失也在以幾何極數(shù)上升。如何防范各種類型的病毒和惡意程序,特別是網(wǎng)絡(luò)病毒與郵件病毒,是任何一個企業(yè)都不得不面對的一個挑戰(zhàn)。 2企業(yè)網(wǎng)
4、絡(luò)安全常用的防護(hù)措施 目前,不同種類的安全威脅混合在一起給企業(yè)網(wǎng)絡(luò)的安全帶來了極大的挑戰(zhàn),從而要求我們的網(wǎng)絡(luò)安全解決方案集成不同的產(chǎn)品與技術(shù),來有針對性地抵御各種威脅。我們的總體目標(biāo)就是通過信息與網(wǎng)絡(luò)安全工程的實施,建立完整的企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)體系,在安全法律、法規(guī)、政策的支持與指導(dǎo)下,通過制定適度的安全策略,采用合適的安全技術(shù),進(jìn)行制度化的安全管理,保障企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運行,確保企業(yè)與網(wǎng)絡(luò)資源受控合法地使用。 2.1部署統(tǒng)一的網(wǎng)絡(luò)防病毒系統(tǒng) 在網(wǎng)絡(luò)出口處部署反病毒網(wǎng)關(guān)。對郵件服務(wù)器安裝特定的防病毒插件以防范郵件病毒,保護(hù)郵件服務(wù)器安全。在服務(wù)器及客戶端上部署統(tǒng)一的防
5、病毒軟件客戶端,實現(xiàn)對系統(tǒng)、磁盤、光盤、郵件及Internet的病毒防護(hù)。 2.2部署安全可靠的防火墻 企業(yè)為了在互聯(lián)網(wǎng)上發(fā)布信息,共享資源,就不得不將自己的內(nèi)部網(wǎng)絡(luò)在一定程度上對外開放,這就在無形中增加了安全隱患,使有不良企圖的人有機可乘。為了使信息系統(tǒng)在保障安全的基礎(chǔ)上被正常訪問,需要一定的設(shè)備來對系統(tǒng)實施保護(hù),保證只有合法的用戶才可以訪問系統(tǒng)‘就目前看,能夠?qū)崿F(xiàn)這種需求的性能價格比最優(yōu)的設(shè)備就是防火墻。防火墻的目的是要在不同安全區(qū)域(如:內(nèi)部,外部、DMZ、數(shù)據(jù)中心)網(wǎng)絡(luò)之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。
6、具體地說,設(shè)置防火墻的目的是隔離內(nèi)部和外部網(wǎng),保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。 2.3部署入侵檢測系統(tǒng) 作為防火墻的補充,入侵檢測系統(tǒng)(工DS)用于發(fā)現(xiàn)和抵御黑客攻擊。人侵檢測系統(tǒng)是一種網(wǎng)絡(luò)/計算機安全技術(shù),它試圖發(fā)現(xiàn)入侵者或識別出對計算機的非法訪問行為,并對其進(jìn)行隔離。攻擊者可能來自外部網(wǎng)絡(luò)連接,如互聯(lián)網(wǎng)、撥號連接,或來自內(nèi)部網(wǎng)絡(luò)。攻擊目標(biāo)通常是服務(wù)器,也可能是路由器和防火墻。 入侵檢測系統(tǒng)能發(fā)現(xiàn)其他安全措施無法發(fā)現(xiàn)的攻擊行為,并能收集可以用來訴訟的犯罪證據(jù)。一般入侵檢側(cè)系統(tǒng)有兩類:基于網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)和基于主機的實時人侵檢測系統(tǒng)。 2.4配置漏洞掃描工具 漏洞掃描是一項重要的安全技術(shù),
7、它采用模擬攻擊的形式對網(wǎng)絡(luò)系統(tǒng)組成元素(服務(wù)器、工作站、路由器、防火墻、應(yīng)用系統(tǒng)和數(shù)據(jù)庫等)可能存在的安全漏洞進(jìn)行逐項檢查,根據(jù)檢查結(jié)果提供詳細(xì)的漏洞描述和修補方案,形成系統(tǒng)安全性分析報告,從而為網(wǎng)絡(luò)管理員來完善網(wǎng)絡(luò)系統(tǒng)提供依據(jù)。通常,我們將完成漏洞掃描的軟件、硬件或軟硬一體的組合稱為漏洞掃描器。
8、 2.5部署綜合審計系統(tǒng) 通俗地說,網(wǎng)絡(luò)安全審計就是在企業(yè)的網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵、破壞、竊取和失泄,而運用各種技術(shù)手段實時收集和監(jiān)視網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、操作以及安全事件,以便集中報警、分析、處理的一種技術(shù)手段。 網(wǎng)絡(luò)審計分為行為審計和內(nèi)容審計,行為審計是對上網(wǎng)的所有操作的行為(諸如:瀏覽網(wǎng)頁、
9、登錄網(wǎng)站從事各種活動、收發(fā)郵件、下載各種信息、論壇和博客發(fā)表言論等)進(jìn)行審計,內(nèi)容審計是在行為審計的基礎(chǔ)上,不僅要知道用戶的操作行為,而且還要對行為的詳細(xì)內(nèi)容進(jìn)行審計。它可以使關(guān)心內(nèi)容安全的管理人員清晰地知道通過網(wǎng)絡(luò)有無沒有采用加密處理就在網(wǎng)上傳送的重要數(shù)據(jù)或內(nèi)部和涉密文件被發(fā)出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網(wǎng)頁;有無在論壇和博客上發(fā)表不負(fù)責(zé)的言論;有無使用即時通信工具談?wù)搩?nèi)部或涉密的話題。 2.6部署終端安全管理系統(tǒng) 由于企業(yè)內(nèi)部終端數(shù)量多,人員層次不同,流動性大,安全意識薄弱而產(chǎn)生病毒泛濫、終端濫用資源、非授權(quán)訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。通過部署終端
10、安全管理系統(tǒng)杜絕了非法終端和不安全終端的接人網(wǎng)絡(luò);對有權(quán)訪問企業(yè)網(wǎng)絡(luò)的終端進(jìn)行根據(jù)其賬戶身份定義的安全等級檢查和接入控制;對相關(guān)的內(nèi)部人員的行為進(jìn)行審計,通過嚴(yán)格的內(nèi)部行為審計和檢查,來減少內(nèi)部安全威脅,同時也是對內(nèi)部員工的一種威懾,有效強化內(nèi)部信息安全的管理,將企業(yè)的信息安全管理規(guī)定通過技術(shù)的手段得到落實。 2.7建立企業(yè)身份認(rèn)證系統(tǒng) 傳統(tǒng)的口令認(rèn)證方式雖然簡單,但是由于其易受到竊聽、重放等攻擊的安全缺陷,使其已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求,因此涌現(xiàn)了諸如:數(shù)字證書、動態(tài)口令、智能卡、生物識別等多種認(rèn)證方式。目前,基于PKI(PublicKeyInfrastructure)技術(shù)體
11、系的身份 認(rèn)證系統(tǒng)能夠為企業(yè)的敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真實性和不可否認(rèn)。確保企業(yè)信息資源的訪問得到正式的授權(quán),驗證資源訪問者的合法身份,將風(fēng)險進(jìn)一步細(xì)化,盡可能地減輕風(fēng)險可能造成的損失。 2.8安全服務(wù)與培訓(xùn) 任何安全策略的制定與實施、安全設(shè)備的安裝配置與管理,其中最關(guān)鍵的因素還是人。因此根據(jù)相關(guān)的法律、法規(guī)、政策,制定出符合企業(yè)自身特點的安全戰(zhàn)略并加以實施,對企業(yè)的網(wǎng)絡(luò)安全人員進(jìn)行相關(guān)的專業(yè)知識及安全意識的培訓(xùn),是整個網(wǎng)絡(luò)安全解決方案中重要的一個環(huán)節(jié)。 2.9完善安全管理制度 俗話說“信息安全,三分技術(shù),七分管理”,企業(yè)除了做好應(yīng)用安全,網(wǎng)絡(luò)安全,
12、系統(tǒng)安全等保障措施外,還必須建立相應(yīng)的管理機構(gòu),健全相應(yīng)的管理措施,并利用必要的技術(shù)和工具、依據(jù)有效的管理流程對各種孤立、松散的安全資源的日常操作、運行維護(hù)、審計監(jiān)督、文檔管理進(jìn)行統(tǒng)一管理,以期使它們發(fā)揮更大的功效,避免由于我們管理中存在的漏洞引起整個信息與網(wǎng)絡(luò)系統(tǒng)的不安全。 3總結(jié) 企業(yè)信息化雖然面臨眾多安全威脅,但通過必要的技術(shù)和管理手段,是能夠構(gòu)建一個安全可靠網(wǎng)絡(luò)環(huán)境的,為企業(yè)的快速發(fā)展提供信息化服務(wù)。