论文部分内容阅读
摘要 随着网络技术的飞速发展,计算机广泛应用在各个领域,信息化建设也成为企业的发展的重要保障,但信息网络安全问题是企业实施信息化的主要障碍。因此,企業一定要提升企业信息网络安全的管控能力,将安全的风险降到最低。本文就企业网络安全进行论述。
关键词 企业;网络安全;防范
中图分类号:C29文献标识码: A
1 加强企业安全技术可靠性建设
对于网络安全我们面前的挑战是,如何使新技术能够可靠地工作。随着顾客对技术的要求日益提高,这一点将会实现。但是,由于厂商同时加速进行产品开发,总体而言,情况没有多少变化:可靠性依然不佳。有时,进行组装的工程师缺乏经验,那些独立工作时运转良好的系统被组装到一起却常会引发一些意想不到的后果。总而言之,现在的安全系统未经标准化。诀窍是在竞争激烈的市场中找到一席之地,既要拥有激动人心的新科技,又要保持传统的乏味的可靠性。
2 其他网络的攻击
据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:
当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。
近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。
计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。
3 加强网络本身的安全措施
信息网络中网络操作系统和相应的服务器软件包都提供了很强的安全性保障,对于一个具有很高安全级别的网络来说,加强其本身的安全设置,是必不可少的一环。
下面以目前最常见的企业建立内部网、通过专线上网并提供信息服务为例,说明企业实现网络安全的防护措施。
假设企业是采用WindowsNT作为服务器和Web服务器平台,内部设置SQLServer7.0作为数据库服务器,并开发相应的应用系统;整个系统通过64K DDN专线与因特网连接,系统对外提供Web信息服务、电子邮件服务、FTP服务等。
内部网络的安全问题可以进一步分为网络操作系统的安全和应用系统的安全。通常采用WindowsNT网络操作系统的安全问题就变得非常重要。应用系统的安全则是用户的Web服务器、FTP眼务器和电子邮件服务器等的安全,以及用户开发的各种应用系统的安全性。下面主要对在WindowsNT系统中提高安全性,给出一些建议。
WindowsNT和IIS(Web服务)的安全模式是完全集成的。在系统中没有指定的Web客户,只有那些被WindowsNT确认在服务器上有账号的客户才能管理。如果使WindowsNT,必须考虑对将创建客户权利的每一个集合都创建一个组。另外,WindowsNT是针对域(do一main)模型的概念而操作的,这意味着对网络维持需求的权利共享和增进的控制。域是控制客户端系统如何进入服务器的基本体系结构,不论客户端系统是在用户的局域网还是因特网中。域提供了一种对系统和客户进行逻辑分组的方法来实现对系统的管理、进入服务器以及在各个系统和客户之间进行交互。
用户可以对信息进行保护,并且强制客户在服务器上进行验证,但是这需要为具有安全保护的资源建立客户账号。这是对客户进行管理的正确实现方法。应该为默认的客户提供广泛的、对大多数没有安全保护的资源的进入;但是对于那些受到保护的信息,应该不允许这种类型的进入。
4 加强“防火墙”技术控制
防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
1)包过滤技术。包过滤防火墙的安全性是基于对包的IP地址的校验。在因特网上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为却无能为力。
2)代理技术。代理服务器接收客户请求后会检查验证其合法性,只有那些被认为“可信赖的”服务才允许通过防火墙。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住,这一点对系统安全是很重要的,另外代理服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP Put(放置)命令,以保证用户不能将文件写到匿名服务器。
代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。网络地址转换服务(NAT—Network Address Translation)可以屏蔽内部网络的IP地址,外部看不到网络结构。
3)状态监视技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。
5 管理及操作人员缺乏安全知识
我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。
现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。
参考文献
[1]高渐翔.浅谈企业网络的安全审计体系[J].科技创新导报,2008,33.
[2]邵绪武.浅谈网络安全技术与策略[J].内蒙古科技与经济,2008,08.
[3]颜廷睿,侯晓霞.一种网络应用系统信息安全模型的研究和应用[J].计算机应用与软件,2008,05.
关键词 企业;网络安全;防范
中图分类号:C29文献标识码: A
1 加强企业安全技术可靠性建设
对于网络安全我们面前的挑战是,如何使新技术能够可靠地工作。随着顾客对技术的要求日益提高,这一点将会实现。但是,由于厂商同时加速进行产品开发,总体而言,情况没有多少变化:可靠性依然不佳。有时,进行组装的工程师缺乏经验,那些独立工作时运转良好的系统被组装到一起却常会引发一些意想不到的后果。总而言之,现在的安全系统未经标准化。诀窍是在竞争激烈的市场中找到一席之地,既要拥有激动人心的新科技,又要保持传统的乏味的可靠性。
2 其他网络的攻击
据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:
当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。
近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。
计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。
3 加强网络本身的安全措施
信息网络中网络操作系统和相应的服务器软件包都提供了很强的安全性保障,对于一个具有很高安全级别的网络来说,加强其本身的安全设置,是必不可少的一环。
下面以目前最常见的企业建立内部网、通过专线上网并提供信息服务为例,说明企业实现网络安全的防护措施。
假设企业是采用WindowsNT作为服务器和Web服务器平台,内部设置SQLServer7.0作为数据库服务器,并开发相应的应用系统;整个系统通过64K DDN专线与因特网连接,系统对外提供Web信息服务、电子邮件服务、FTP服务等。
内部网络的安全问题可以进一步分为网络操作系统的安全和应用系统的安全。通常采用WindowsNT网络操作系统的安全问题就变得非常重要。应用系统的安全则是用户的Web服务器、FTP眼务器和电子邮件服务器等的安全,以及用户开发的各种应用系统的安全性。下面主要对在WindowsNT系统中提高安全性,给出一些建议。
WindowsNT和IIS(Web服务)的安全模式是完全集成的。在系统中没有指定的Web客户,只有那些被WindowsNT确认在服务器上有账号的客户才能管理。如果使WindowsNT,必须考虑对将创建客户权利的每一个集合都创建一个组。另外,WindowsNT是针对域(do一main)模型的概念而操作的,这意味着对网络维持需求的权利共享和增进的控制。域是控制客户端系统如何进入服务器的基本体系结构,不论客户端系统是在用户的局域网还是因特网中。域提供了一种对系统和客户进行逻辑分组的方法来实现对系统的管理、进入服务器以及在各个系统和客户之间进行交互。
用户可以对信息进行保护,并且强制客户在服务器上进行验证,但是这需要为具有安全保护的资源建立客户账号。这是对客户进行管理的正确实现方法。应该为默认的客户提供广泛的、对大多数没有安全保护的资源的进入;但是对于那些受到保护的信息,应该不允许这种类型的进入。
4 加强“防火墙”技术控制
防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
1)包过滤技术。包过滤防火墙的安全性是基于对包的IP地址的校验。在因特网上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为却无能为力。
2)代理技术。代理服务器接收客户请求后会检查验证其合法性,只有那些被认为“可信赖的”服务才允许通过防火墙。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住,这一点对系统安全是很重要的,另外代理服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP Put(放置)命令,以保证用户不能将文件写到匿名服务器。
代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。网络地址转换服务(NAT—Network Address Translation)可以屏蔽内部网络的IP地址,外部看不到网络结构。
3)状态监视技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。
5 管理及操作人员缺乏安全知识
我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。
现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。
参考文献
[1]高渐翔.浅谈企业网络的安全审计体系[J].科技创新导报,2008,33.
[2]邵绪武.浅谈网络安全技术与策略[J].内蒙古科技与经济,2008,08.
[3]颜廷睿,侯晓霞.一种网络应用系统信息安全模型的研究和应用[J].计算机应用与软件,2008,05.