当前位置:文档之家› 企业网络安全管理策略

企业网络安全管理策略

企业网络安全管理策略朱海波论文完成时间:2008 年09 月10 日摘要文章阐述了网络信息安全的基本概念,分析影响网络安全的因素。

论述了网络信息安全技术的技术的分类及其主要技术特征。

就企业网络现状提出需求分析并制定防范措施。

关键词:网络安全防火墙入侵监测漏洞扫描目录第1章前言 (1)第2章计算机信息网络安全概述 (2)第3章企业信息安全隐患分析 (4)第4章对企业信息安全技术概述 (5)第5章网络安全需求分析 (8)第6章网络信息安全策略及基本措施 (10)第7章结论与建议 (13)第1章前言随着企业信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。

网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。

如果不进行有效的安全防护,网络信息系统将会受到具有破坏性的攻击和危害。

第2章计算机信息网络安全概述网络环境下的信息安全不仅涉及加密、防黑客、反病毒等专业技术问题,而且涉及法律政策问题和管理问题。

其中,技术问题是最直接的保证信息安全的手段,法律政策和管理是信息安全的基础和保障。

2.1网络管理政策法规网络的安全运行,信息的安全传递,必要提高法律意识。

强化网络安全,要有一个统一的管理制度,否则信息安全将得不到保障,造成整个网络规划与建设的混乱;网络管理和运行的不规范,所有的数据信息将得不到有效的保护。

网络管理包括三个层次的内容:组织建设、制度建设和人员意识。

●组织建设:是指有关信息安全机构的建设。

信息安全的管理包括安全机规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面的内容。

●制度建设:建立切实可行的信息安全管理规章制度,以保证信息安全。

●人员意识:主管领导的高度重视和提高广大用户信息安全意识。

加强信息安全意识的教育和培训,提高职工对信息安全的重视和安全防范水平。

2.2网络安全技术影响计算机网络环境中信息安全的技术问题包括通信安全技术和计算机安全技术,二者共同维护着信息安全。

2.2.1通信安全涉及的技术信息加密技术:是保障信息安全的最基本、最核心的技术措施和理论基础。

信息确认技术:通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。

网络控制技术:包括防火墙技术、审计技术、访问控制技术、入侵检测技术及相应的安全协议。

2.2.2计算机安全涉及的计算机技术容错计算机技术:其基本特点是具有稳定可靠的电源、预知故障、保证数据的完整性和数据恢复等。

安全操作系统:计算机工作平台,具有一定的访问控制、安全内核和系统设计等安全功能。

计算机反病毒技术:计算机病毒其实是一种在计算机运行中能够实现传染和侵害的功能程序,是目前影响计算机安全的重要因素。

第3章企业信息安全隐患分析3.1网络通信协议IP层协议安全缺陷,IP地址软件设置是IP地址假冒和IP地址欺骗的安全隐患;应用层协议TELNET、FTP、SMTP等协议缺乏安全认证和保密措施,为攻击者提供了截获秘密的通道。

3.2资源共享网络应用通常是共享网络资源,比如信息共享、设备共享等。

如果缺少必要的访问控制策略,会造成存储设备中各种重要信息泄密。

3.3电子邮件协议电子邮件为网络用户提供电子邮件应用服务。

内部网用户可以通过拔号或其它方式发送和接收电子邮件,这就会被黑客跟踪或收到一些特洛伊木马、病毒程序等,如果用户安全意识比较淡薄,给入侵者提供机会,会给系统带来不安全因素。

3.4操作系统的安全漏洞计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。

3.5病毒侵害网络是病毒传播最好、最快的途径之一。

一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。

3.6网络系统安全策略不健全,或配置失当,产生网络系统安全漏洞。

第4章对企业信息安全技术概述企业网络系统涉及到各方面的网络安全问题,我们认为整个企业的安全体系必须集成多种安全技术实现,如防火墙技术,入侵监控技术、安全漏洞扫描技术、病毒防护技术等,下面就以上技术加以详细阐述:4.1防火墙技术防火墙是指设置在不同网络(如企业内部网和不可信的公共网)之间的一系列部件的组合,分硬件防火墙和软件防火墙,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。

它是提供信息安全服务,实现网络和信息安全的基础设施。

根据防火墙所采用的技术不同,可以分为:包过滤型、网络地址转换—NAT、代理型。

4.1.1包过滤型其技术依据是网络中的分包传输技术。

网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。

防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。

一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。

系统管理员也可以根据实际情况灵活制订判断规则。

但包过滤技术的缺陷也是明显的。

包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。

有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

4.1.2网络地址转换—NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。

它允许具有私有IP地址的内部网络访问因特网。

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。

系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。

在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。

防火墙根据预先定义好的映射规则来判断这个访问是否安全。

当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。

当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。

4.1.3代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。

代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。

从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。

当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。

由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。

其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

4.2入侵检测(IDS)技术入侵检测系统是近年出现的新型网络安全技术,它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。

入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。

它具有以下主要作用:●通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生。

●检测其它安全措施未能阻止的攻击或安全违规行为。

●检测黑客在攻击前的探测行为,预先给管理员发出警报。

●报告计算机系统或网络中存在的安全威胁。

●提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。

●在大型、复杂的计算机网络中部署入侵检测系统,可以显著提高网络安全管理的质量。

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。

但是,仅仅使用防火墙、网络安全还远远不够:●入侵者可寻找防火墙背后可能敞开的后门。

●入侵者可能就在防火墙内。

●由于性能的限制,防火墙通常不能提供实时的入侵检测能力。

入侵检测系统可分为两类。

基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等。

基于主机的安全监控系统具备如下特点:●精确,可以精确地判断入侵事件。

●高级,可以判断应用层的入侵事件。

●对入侵时间立即进行反应。

●针对不同操作系统特点。

●占用主机宝贵资源。

基于网络的入侵检测系统用于实时监控网络关键路径的信息,具备如下特点:●能够监视经过本网段的任何活动。

●实时网络监视。

●监视粒度更细致。

●精确度较差。

●防入侵欺骗的能力较差。

●交换网络环境难于配置。

基于主机及网络的入侵监控系统通常均可配置为分布式模式:●在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。

●在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。

4.3漏洞扫描技术漏洞扫描系统是网络安全产品不可缺少的一部分,漏洞扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安全问题。

针对发现的网络安全漏洞提供详尽的检测报告和切实可行的网络安全漏洞解决方案,使系统管理员在黑客入侵之前将系统可能存在的各种安全漏洞修补好,避免黑客的入侵而造成不同程度的损失。

漏洞扫描工具通常分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。

通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。

漏洞扫描器多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。

扫描器首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。

4.4病毒防护技术病毒历来是信息系统安全的主要问题之一。

由于网络的广泛互联,病毒的传播途径和速度大大加快。

病毒程序可以通过文件下载、电子邮件、使用盗版光盘或软盘、通过Web游览传播(主要是恶意的Java控件网站)、人为投放等传播途径潜入内部网。

相关主题