论文部分内容阅读
摘 要:信息化浪潮风起云涌的今天,各企事业单位网络的建设已经成为提升其工作效率和服务质量的重要要求。然而,计算机信息和资源很容易遭到各方面的攻击。如何采取各种有效措施确保网络的安全是急需解决的重要问題。笔者根据多年从事网络安全管理的经验,提出了中小企事业单位网络安全的一般解决方案,供大家参考。
关键词:中小企事业单位;信息化;网络安全;解决方案
当前,网络安全问题主要来源于两个方面:一方面来源于Internet,Internet给企事业网络带来成熟的应用技术的同时,也把固有的安全问题带给了企事业网络;另一方面来源于企事业内部,因为是内部网络,主要针对企事业内部的人员和企事业内部的信息资源,因此,企事业网络同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如重要数据被人窃取、服务器不能提供服务等等。要想解决网络的安全问题,我们就要从网络的设计和使用两方面着手进行分析处理。
1 中小企事业单位网络设计原则
由于所处行业不同,各企事业单位的网络结构也存在着一定的差异。但总的来说,网络的设计原则是一致的。
(1)实用性和经济性,根据中小企事业单位的特点,网络系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则,建设企事业单位的网络系统。
(2)先进性和成熟性。网络系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟,不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内网络仍占领先地位。
(3)可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠和稳定,达到最大的平均无故障时间。
(4)安全性和保密性。在网络系统设计中,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的安全措施,包括系统安全机制、数据存取的权限控制等。
(5)可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
2 网络设计阶段安全解决方案
网络安全问题贯穿于网络设计和使用阶段。在网络设计阶段可采取的网络安全措施主要有以下几种:
(1)物理措施。加强对网络关键设备(如交换机、路由器等)的保护,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保网络关键设备的正常运行。
(2)网络分段。目前,大多数中小企事业单位网络采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
(3)硬件防火墙技术。防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企事业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
(4)VLAN技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
(5)硬件隔离设置。对于安全性能要求较高的终端,可采用硬件隔离技术,物理上彻底隔断两个网络环境,针对不同安全级别网络的需求,可采用终端级隔离、信道级隔离和网络级隔离三种方案,确保信息的安全。
3 影响网络安全的几种错误使用习惯
尽管在网络设计阶段我们采取了种种安全措施,但在使用过程中仍不可避免受到安全问题的困扰,这要从网络具体使用人员的错误使用习惯说起。
(1)不恰当的密码使用。密码是最简单的安全形式,如果密码为空或者是过于简单(如“123456”或者是“admin”),未经授权的使用者可以很容易去浏览敏感数据。如果密码中既包含字母也包含数字,并且既有大写也有小写,那么密码就会更安全。还有一点值得注意的就是密码要经常更换。
(2)忽视安全补丁。在你的操作系统中,大多数会存在着安全漏洞。没有任何一种软件是完美的,一旦一个缺陷或是漏洞被发现,经常就会在很短的一段时间内被黑客和恶意程序利用,对用户产生巨大的危害。因此,尽快安装安全补丁是必要的,也是必须的。
(3)不安装杀毒软件。没有安装杀毒软件的计算机直接连在网络上是不安全的。你的个人信息随时都可能被黑客或者恶意程序所监控。因此,在使用网络或是无线网卡联网之前,要先装上杀毒软件。理论上来说,这种软件应该包含病毒防护、间谍软件扫描以及防止恶意软件在后台安装程序等功能。安装后及时升级病毒库是很关键的。这样能确保杀毒软件监测到最新的病毒和恶意软件,保证用户的电脑可以更加安全地运行。
(4)不使用加密技术。储存和传递未加密的数据等于是把这些数据公之于众。在银行业和信用卡中,加密技术尤为重要。
4 网络使用阶段安全防范措施
以上几种错误使用习惯经常出现的根本原因就是用户缺少安全意识。未受网络安全培训的电脑使用者经常成为病毒、间谍软件和网络钓鱼的受害者,是与他们缺少安全意识分不开的。对员工进行安全意识教育和网络安全策略的培训至关重要。大量的调查研究已经证实,内部的人员已经成为网络安全的最大潜在威胁,因为他们拥有最大的访问权限。除了这一点外,网管人员还应根据单位的实际情况,做好如下安全防范措施:
(1)IP地址与MAC绑定。加大网络监管力度,严格控制本单位IP地址的分配,做好IP地址使用备案,做好IP地址与MAC地址的绑定,避免发生因个别计算机遭到ARP攻击而造成整个网络瘫痪的问题。
(2)访问控制,对用户访问网络资源的权限进行严格的认证和控制。例如:进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
(3)补丁管理。不但要对操作系统打补丁,还要为应用程序打补丁。为所有的系统和第三方的应用程序制定慎密的安全计划。管理员要清醒地知道,哪些计算机和软件需要更新和升级。
(4)数据加密。加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
(5)安装网络防病毒系统。及时升级病毒库,定期对计算机进行查杀,防止病毒对系统安全造成破坏。
(6)无线网络安全。设置接入密码和用户身份确认,设备在不使用时断电。
5 结束语
网络安全是各企事业单位面临的一个重要问题,它不仅取决于网络管理人员的知识水平和所付出的辛勤劳动,更决定于主要领导的重视程度和网络使用者的网络安全意识以及使用习惯的好坏等。随着网络技术的发展,中小企事业单位所面临的安全问题会进一步复杂化和深入化。如何保证企事业单位网络的安全,是一个值得长期研究和付出努力的问题。
关键词:中小企事业单位;信息化;网络安全;解决方案
当前,网络安全问题主要来源于两个方面:一方面来源于Internet,Internet给企事业网络带来成熟的应用技术的同时,也把固有的安全问题带给了企事业网络;另一方面来源于企事业内部,因为是内部网络,主要针对企事业内部的人员和企事业内部的信息资源,因此,企事业网络同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如重要数据被人窃取、服务器不能提供服务等等。要想解决网络的安全问题,我们就要从网络的设计和使用两方面着手进行分析处理。
1 中小企事业单位网络设计原则
由于所处行业不同,各企事业单位的网络结构也存在着一定的差异。但总的来说,网络的设计原则是一致的。
(1)实用性和经济性,根据中小企事业单位的特点,网络系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则,建设企事业单位的网络系统。
(2)先进性和成熟性。网络系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟,不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内网络仍占领先地位。
(3)可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠和稳定,达到最大的平均无故障时间。
(4)安全性和保密性。在网络系统设计中,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的安全措施,包括系统安全机制、数据存取的权限控制等。
(5)可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
2 网络设计阶段安全解决方案
网络安全问题贯穿于网络设计和使用阶段。在网络设计阶段可采取的网络安全措施主要有以下几种:
(1)物理措施。加强对网络关键设备(如交换机、路由器等)的保护,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保网络关键设备的正常运行。
(2)网络分段。目前,大多数中小企事业单位网络采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
(3)硬件防火墙技术。防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企事业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
(4)VLAN技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
(5)硬件隔离设置。对于安全性能要求较高的终端,可采用硬件隔离技术,物理上彻底隔断两个网络环境,针对不同安全级别网络的需求,可采用终端级隔离、信道级隔离和网络级隔离三种方案,确保信息的安全。
3 影响网络安全的几种错误使用习惯
尽管在网络设计阶段我们采取了种种安全措施,但在使用过程中仍不可避免受到安全问题的困扰,这要从网络具体使用人员的错误使用习惯说起。
(1)不恰当的密码使用。密码是最简单的安全形式,如果密码为空或者是过于简单(如“123456”或者是“admin”),未经授权的使用者可以很容易去浏览敏感数据。如果密码中既包含字母也包含数字,并且既有大写也有小写,那么密码就会更安全。还有一点值得注意的就是密码要经常更换。
(2)忽视安全补丁。在你的操作系统中,大多数会存在着安全漏洞。没有任何一种软件是完美的,一旦一个缺陷或是漏洞被发现,经常就会在很短的一段时间内被黑客和恶意程序利用,对用户产生巨大的危害。因此,尽快安装安全补丁是必要的,也是必须的。
(3)不安装杀毒软件。没有安装杀毒软件的计算机直接连在网络上是不安全的。你的个人信息随时都可能被黑客或者恶意程序所监控。因此,在使用网络或是无线网卡联网之前,要先装上杀毒软件。理论上来说,这种软件应该包含病毒防护、间谍软件扫描以及防止恶意软件在后台安装程序等功能。安装后及时升级病毒库是很关键的。这样能确保杀毒软件监测到最新的病毒和恶意软件,保证用户的电脑可以更加安全地运行。
(4)不使用加密技术。储存和传递未加密的数据等于是把这些数据公之于众。在银行业和信用卡中,加密技术尤为重要。
4 网络使用阶段安全防范措施
以上几种错误使用习惯经常出现的根本原因就是用户缺少安全意识。未受网络安全培训的电脑使用者经常成为病毒、间谍软件和网络钓鱼的受害者,是与他们缺少安全意识分不开的。对员工进行安全意识教育和网络安全策略的培训至关重要。大量的调查研究已经证实,内部的人员已经成为网络安全的最大潜在威胁,因为他们拥有最大的访问权限。除了这一点外,网管人员还应根据单位的实际情况,做好如下安全防范措施:
(1)IP地址与MAC绑定。加大网络监管力度,严格控制本单位IP地址的分配,做好IP地址使用备案,做好IP地址与MAC地址的绑定,避免发生因个别计算机遭到ARP攻击而造成整个网络瘫痪的问题。
(2)访问控制,对用户访问网络资源的权限进行严格的认证和控制。例如:进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
(3)补丁管理。不但要对操作系统打补丁,还要为应用程序打补丁。为所有的系统和第三方的应用程序制定慎密的安全计划。管理员要清醒地知道,哪些计算机和软件需要更新和升级。
(4)数据加密。加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
(5)安装网络防病毒系统。及时升级病毒库,定期对计算机进行查杀,防止病毒对系统安全造成破坏。
(6)无线网络安全。设置接入密码和用户身份确认,设备在不使用时断电。
5 结束语
网络安全是各企事业单位面临的一个重要问题,它不仅取决于网络管理人员的知识水平和所付出的辛勤劳动,更决定于主要领导的重视程度和网络使用者的网络安全意识以及使用习惯的好坏等。随着网络技术的发展,中小企事业单位所面临的安全问题会进一步复杂化和深入化。如何保证企事业单位网络的安全,是一个值得长期研究和付出努力的问题。