《淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護措施》由會員分享���,可在線閱讀���,更多相關(guān)《淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護措施(3頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1�����、淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護措施
論文關(guān)鍵詞:信息安全 網(wǎng)絡(luò)安全 風(fēng)險 論文摘要:計算機網(wǎng)絡(luò)高速發(fā)展的同時�,給信息安全帶來了新的挑戰(zhàn)。通過對國內(nèi)
2�����、企業(yè)信息安全面臨的風(fēng)險分析��,有針襯性地提出常用技術(shù)防護措施。 隨著信息技術(shù)迅猛發(fā)展��,計算機及其網(wǎng)絡(luò)����、移動通信和辦公自動化設(shè)備日益普及,國內(nèi)大中型企業(yè)為了提高企業(yè)競爭力�����,都廣泛使用信息技術(shù)��,特別是網(wǎng)絡(luò)技術(shù)�����。企業(yè)信息設(shè)施在提高企業(yè)效益的同時�,給企業(yè)增加了風(fēng)險隱患,網(wǎng)絡(luò)安全問題也一直層出不窮���,給企業(yè)所造成的損失不可估量。 1企業(yè)面臨的網(wǎng)絡(luò)安全威脅 1.1來自企業(yè)內(nèi)部的攻擊 大量事實表明���,在所有的網(wǎng)絡(luò)攻擊事件當(dāng)中�����,來自企業(yè)內(nèi)部的攻擊占有相當(dāng)大的比例�����,這包括了懷有惡意的�����,或者對網(wǎng)絡(luò)安全有著強烈興趣的員工的攻擊嘗試���,以及計算機操作人員的操作失誤等���。內(nèi)部人員知道系統(tǒng)的布局、有價值的數(shù)據(jù)放在何處以及何
3�、種安全防范系統(tǒng)在工作。因內(nèi)部人員攻擊來自區(qū)域內(nèi)部�����,常常最難于檢測和防范���。 1.2來自企業(yè)外部的惡意攻擊 隨著黑客技術(shù)在互連網(wǎng)上的擴散���,對一個既定目標(biāo)的攻擊變得越來越容易�。一方面�����,對攻擊目標(biāo)造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列���,另一方面商業(yè)競爭也在導(dǎo)致更多的惡意攻擊事件的產(chǎn)生�����。 1.3網(wǎng)絡(luò)病毒和惡意代碼的襲擊 與前幾年病毒和惡意代碼傳播情況相比�����,如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升��,其破壞能力也在快速增強����,所造成的損失也在以幾何極數(shù)上升����。如何防范各種類型的病毒和惡意程序,特別是網(wǎng)絡(luò)病毒與郵件病毒����,是任何一個企業(yè)都不得不面對的一個挑戰(zhàn)。 2企業(yè)網(wǎng)
4���、絡(luò)安全常用的防護措施 目前��,不同種類的安全威脅混合在一起給企業(yè)網(wǎng)絡(luò)的安全帶來了極大的挑戰(zhàn)�����,從而要求我們的網(wǎng)絡(luò)安全解決方案集成不同的產(chǎn)品與技術(shù)����,來有針對性地抵御各種威脅��。我們的總體目標(biāo)就是通過信息與網(wǎng)絡(luò)安全工程的實施��,建立完整的企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全防護體系�,在安全法律、法規(guī)�、政策的支持與指導(dǎo)下,通過制定適度的安全策略�,采用合適的安全技術(shù)�����,進行制度化的安全管理���,保障企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運行,確保企業(yè)與網(wǎng)絡(luò)資源受控合法地使用���。 2.1部署統(tǒng)一的網(wǎng)絡(luò)防病毒系統(tǒng) 在網(wǎng)絡(luò)出口處部署反病毒網(wǎng)關(guān)���。對郵件服務(wù)器安裝特定的防病毒插件以防范郵件病毒,保護郵件服務(wù)器安全����。在服務(wù)器及客戶端上部署統(tǒng)一的防
5、病毒軟件客戶端���,實現(xiàn)對系統(tǒng)�����、磁盤�����、光盤���、郵件及Internet的病毒防護。 2.2部署安全可靠的防火墻 企業(yè)為了在互聯(lián)網(wǎng)上發(fā)布信息���,共享資源�,就不得不將自己的內(nèi)部網(wǎng)絡(luò)在一定程度上對外開放�����,這就在無形中增加了安全隱患��,使有不良企圖的人有機可乘��。為了使信息系統(tǒng)在保障安全的基礎(chǔ)上被正常訪問���,需要一定的設(shè)備來對系統(tǒng)實施保護����,保證只有合法的用戶才可以訪問系統(tǒng)‘就目前看����,能夠?qū)崿F(xiàn)這種需求的性能價格比最優(yōu)的設(shè)備就是防火墻��。防火墻的目的是要在不同安全區(qū)域(如:內(nèi)部��,外部�����、DMZ��、數(shù)據(jù)中心)網(wǎng)絡(luò)之間建立一個安全控制點���,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流���,實現(xiàn)對進���、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。
6��、具體地說�����,設(shè)置防火墻的目的是隔離內(nèi)部和外部網(wǎng),保護內(nèi)部網(wǎng)絡(luò)不受攻擊�。 2.3部署入侵檢測系統(tǒng) 作為防火墻的補充,入侵檢測系統(tǒng)(工DS)用于發(fā)現(xiàn)和抵御黑客攻擊�����。人侵檢測系統(tǒng)是一種網(wǎng)絡(luò)/計算機安全技術(shù)�����,它試圖發(fā)現(xiàn)入侵者或識別出對計算機的非法訪問行為����,并對其進行隔離��。攻擊者可能來自外部網(wǎng)絡(luò)連接���,如互聯(lián)網(wǎng)���、撥號連接,或來自內(nèi)部網(wǎng)絡(luò)���。攻擊目標(biāo)通常是服務(wù)器�����,也可能是路由器和防火墻���。 入侵檢測系統(tǒng)能發(fā)現(xiàn)其他安全措施無法發(fā)現(xiàn)的攻擊行為�����,并能收集可以用來訴訟的犯罪證據(jù)����。一般入侵檢側(cè)系統(tǒng)有兩類:基于網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)和基于主機的實時人侵檢測系統(tǒng)�。 2.4配置漏洞掃描工具 漏洞掃描是一項重要的安全技術(shù),
7�、它采用模擬攻擊的形式對網(wǎng)絡(luò)系統(tǒng)組成元素(服務(wù)器、工作站�����、路由器�、防火墻、應(yīng)用系統(tǒng)和數(shù)據(jù)庫等)可能存在的安全漏洞進行逐項檢查�,根據(jù)檢查結(jié)果提供詳細的漏洞描述和修補方案,形成系統(tǒng)安全性分析報告�,從而為網(wǎng)絡(luò)管理員來完善網(wǎng)絡(luò)系統(tǒng)提供依據(jù)��。通常�����,我們將完成漏洞掃描的軟件�、硬件或軟硬一體的組合稱為漏洞掃描器�。
8、 2.5部署綜合審計系統(tǒng) 通俗地說����,網(wǎng)絡(luò)安全審計就是在企業(yè)的網(wǎng)絡(luò)環(huán)境下���,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵�、破壞���、竊取和失泄���,而運用各種技術(shù)手段實時收集和監(jiān)視網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、操作以及安全事件���,以便集中報警�、分析、處理的一種技術(shù)手段��。 網(wǎng)絡(luò)審計分為行為審計和內(nèi)容審計�,行為審計是對上網(wǎng)的所有操作的行為(諸如:瀏覽網(wǎng)頁、
9�、登錄網(wǎng)站從事各種活動、收發(fā)郵件�����、下載各種信息��、論壇和博客發(fā)表言論等)進行審計����,內(nèi)容審計是在行為審計的基礎(chǔ)上,不僅要知道用戶的操作行為��,而且還要對行為的詳細內(nèi)容進行審計�。它可以使關(guān)心內(nèi)容安全的管理人員清晰地知道通過網(wǎng)絡(luò)有無沒有采用加密處理就在網(wǎng)上傳送的重要數(shù)據(jù)或內(nèi)部和涉密文件被發(fā)出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網(wǎng)頁;有無在論壇和博客上發(fā)表不負責(zé)的言論;有無使用即時通信工具談?wù)搩?nèi)部或涉密的話題。 2.6部署終端安全管理系統(tǒng) 由于企業(yè)內(nèi)部終端數(shù)量多�,人員層次不同,流動性大�,安全意識薄弱而產(chǎn)生病毒泛濫、終端濫用資源����、非授權(quán)訪問����、惡意終端破壞��、信息泄密等安全事件不勝枚舉����。通過部署終端
10、安全管理系統(tǒng)杜絕了非法終端和不安全終端的接人網(wǎng)絡(luò);對有權(quán)訪問企業(yè)網(wǎng)絡(luò)的終端進行根據(jù)其賬戶身份定義的安全等級檢查和接入控制;對相關(guān)的內(nèi)部人員的行為進行審計�,通過嚴(yán)格的內(nèi)部行為審計和檢查,來減少內(nèi)部安全威脅��,同時也是對內(nèi)部員工的一種威懾�����,有效強化內(nèi)部信息安全的管理���,將企業(yè)的信息安全管理規(guī)定通過技術(shù)的手段得到落實。 2.7建立企業(yè)身份認證系統(tǒng) 傳統(tǒng)的口令認證方式雖然簡單���,但是由于其易受到竊聽���、重放等攻擊的安全缺陷�,使其已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認證需求��,因此涌現(xiàn)了諸如:數(shù)字證書�、動態(tài)口令、智能卡�、生物識別等多種認證方式。目前�,基于PKI(PublicKeyInfrastructure)技術(shù)體
11、系的身份 認證系統(tǒng)能夠為企業(yè)的敏感通信和交易提供一套信息安全保障����,包括保密性、完整性�、真實性和不可否認。確保企業(yè)信息資源的訪問得到正式的授權(quán)���,驗證資源訪問者的合法身份����,將風(fēng)險進一步細化�,盡可能地減輕風(fēng)險可能造成的損失。 2.8安全服務(wù)與培訓(xùn) 任何安全策略的制定與實施����、安全設(shè)備的安裝配置與管理�����,其中最關(guān)鍵的因素還是人���。因此根據(jù)相關(guān)的法律、法規(guī)���、政策���,制定出符合企業(yè)自身特點的安全戰(zhàn)略并加以實施,對企業(yè)的網(wǎng)絡(luò)安全人員進行相關(guān)的專業(yè)知識及安全意識的培訓(xùn)����,是整個網(wǎng)絡(luò)安全解決方案中重要的一個環(huán)節(jié)。 2.9完善安全管理制度 俗話說“信息安全���,三分技術(shù),七分管理”����,企業(yè)除了做好應(yīng)用安全���,網(wǎng)絡(luò)安全,
12�、系統(tǒng)安全等保障措施外,還必須建立相應(yīng)的管理機構(gòu)���,健全相應(yīng)的管理措施�,并利用必要的技術(shù)和工具��、依據(jù)有效的管理流程對各種孤立���、松散的安全資源的日常操作�����、運行維護�、審計監(jiān)督��、文檔管理進行統(tǒng)一管理���,以期使它們發(fā)揮更大的功效�,避免由于我們管理中存在的漏洞引起整個信息與網(wǎng)絡(luò)系統(tǒng)的不安全���。 3總結(jié) 企業(yè)信息化雖然面臨眾多安全威脅��,但通過必要的技術(shù)和管理手段���,是能夠構(gòu)建一個安全可靠網(wǎng)絡(luò)環(huán)境的���,為企業(yè)的快速發(fā)展提供信息化服務(wù)。
淺談大中型企業(yè)網(wǎng)絡(luò)信息安全面臨風(fēng)險及常用防護措施
