浅谈企业网络信息安全技术_单松

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

INTELLIGENCE

科技天地

浅谈企业网络信息安全技术

江苏省常州市委党校行政管理教研室单松

由于信息系统本身的脆弱性和复杂性,大量的信息安全问题也伴随着计算机应用的拓展而不断涌现。病毒传播、黑客入侵、网络犯罪等安全事件的发生频率逐年升高,危害性也越来越大。如何构建企业级的信息安全体系,保护企业的利益和信息资产不受侵害,为企业发展和业务经营提供有力支撑,为用户提供可信的服务,已成为各企业当前迫切需要解决的问题。

一、企业信息安全技术

(一)防病毒

随着计算机媒体的不断出现,电子邮件、盗版光盘、压缩文件、上载下载软件等已经取代软盘,成为传播计算机病毒的主要途径,而且也使计算机病毒的寄宿和传播变得更加容易。世界上计算机病毒现已达5万多种,并且还在以每月300多种的速度增加,成为威胁企业信息安全的主要因素之一。企业可从以下几方面进行病毒的防范:

(1)隔离法,计算机网络最突出的优点就是信息共享和传递,这一优点也给病毒提供了快速传播的条件,使病毒很容易传播到网络上的各种资源,若取消信息共享而采取隔离措施,可切断病毒的传播途径。但此方法是以牺牲网络的最大优点来换取,因此只能在发现病毒隐患时使用。

(2)分割法,将用户分割成不能互相访问的子集,由于信息只能在一定的区域中流动,因此建立一个防卫机制,病毒不会在子系统之间相互传染。

(3)选用高效的防病毒软件,利用防病毒软件进行计算机病毒的监测和清除是目前广泛采用的方法。

(4)及时升级防病毒软件,防病毒软件不同于其它应用软件,它不具备主动性,需要实时追踪新的病毒,因此要不断更新病毒样本库和扫引擎,这样才能查,杀新的病毒。

(二)防火墙

防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。

(三)网络入侵检测

随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式也不断翻新。对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,许多攻击(如DOS攻击,会伪装成合法的数据流)可以绕过通常的防火墙,且防火墙因不具备实时入侵检测能力而对病毒束手无策。在这种情况下,网络的入侵检测系统在网络的整个安全系统解决方案中就显示出极大作用。它可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。

(四)数据加密技术

与防火墙技术相比,数据信息加密技术比较灵活,更加适用于开放网络。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密技术。

数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受称为密钥的符号串控制的,加密和解密算法通常是在密钥控制下进行的。完成加密和解密的算法称为密码体制。密码体制有对称密钥密码技术和非对称密钥密码技术。

(五)身份认证技术

身份识别是用户向系统出示自己身份证明的身份证明过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证。是判明和确认通信双方真实身份的两个重要环节。

(六)访问控制

访问控制是提供信息安全保障的主要手段和安全机制,被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。

访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。

二、网络安全技术在企业中的应用

企业网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括网络本身的安全问题,也有物理的和逻辑的技术措施。只有通过明晰的安全策略、先进的技术措施以及高素质的网络管理人才构建一个由安全策略、防护、加密、备份、检测、响应所组成的中小企业网络安全体系,才能完整、实时地保证企业网络环境中信息的完整性和正确性。

(一)网络边界的信息安全

在内、外部网络实施隔离的是以防火墙为主的入侵防御体系。它可以通过分析进出网络的数据来保护内部网络。是保障数据和网络资源安全的强有力的手段。它可以实现以下三个功能:

1连接内部网络和外部网络;

2通过外部网络来连接不同的内部网络;

3保护内部网络数据的完整性和私有性。

在实际的策略制订时主要从三个方面来提高网络信息的安全性,即数据过滤、数据加密和访问控制。通过防火墙的安全规则进行数据过滤,通过对发往外部网络的数据进行加密来

162

INTELLIGENCE

科技天地

苦丁茶培育技术

赤水市长期镇林业站陈林杨枝六

近几年来,一些地方饮用苦丁茶已成为时尚,苦丁茶在市场上售价极为可观,笔者在白云乡工作期间,曾经参加白云乡苦丁茶苗圃场建设,对苦丁茶的幼苗培育已经有几年时间(现四川方向苦丁茶苗可达0.9-1.6元/株)。现将苦丁茶苗几种培育方法整理,希望对种植苦丁茶的朋友们有所帮助。

苦丁茶(CrataxylnmPrunifoliumDyer.)属金丝桃科、黄牛木属,是一种生存能力很强的常绿乔木,在我们赤水市无论河坝、高山、还是深沟峡谷、悬崖峭壁,都有零零星星分布,目前情况野生多,家种少。品种上,目前尚无标准的科学分类,有大、小苦丁茶二类。我们分别采用播种、扦插两种方式繁殖,现就两种方法介绍如下:

一、育苗播种

苦丁茶是每年10~11月成熟,椭圆形蒴果,成熟后皮黑色,收集果实堆数日

后放入水中搓洗果肉,果皮脱落,阴干后

用沙藏法将种子贮藏,第二年筛子播种,

播种时可用APT生根粉兑水浸种,时间

三月份为宜。苗圃地选择半阴半阳的位

置为宜,透水性好的微酸性土壤为佳。播

种前,先将土地整细刮平,1.5M开厢,再将

种子均匀播于厢上,(以种子不重叠为宜),

然后盖上0.5-1厘米细泥浇透水。播种结

束后,用地膜拱状覆盖,此后随时检查温

度与湿度,温度高时要通风,湿度不够要

浇水。用种子育苗虽然便宜,但种子难寻,

要几十年树木才结实,又加之苦丁茶种子

与女贞种子极为相似,因此市场上极难买

到正点苦丁茶种子。(辩别苦丁茶种子的

方法:苦丁茶种子咬入口中有近似黄连

的味道,其它相似种子无此味)。

二、扦插育苗

苦丁茶的扦插育苗春、秋两季均可

进行,通常在2月下旬-3月下旬进行,

扦穗主要来源于野生苦丁茶树。扦插前,

先将土地整平1.5米开厢,并全部浇水

湿透。因为苦丁茶木质坚硬,脱水很快,

故穗条必须现插现采,不宜久放。老枝、

嫩枝均可用作插穗,插穗条每枝12-18

厘米为宜。扦插前,先用生根粉对水浸

泡,老枝浸泡时间稍长,嫩枝稍短。扦插

时,插穗入土部分占其长度3/4为宜,叶

子保留2-3片,每片叶子用剪刀剪去一

半,扦插密度800株/平方米。扦插结束

后浇水,进行地膜拱形覆盖。

近几年白云乡苦丁茶育苗的实践,

苦丁茶扦插成活率都不得在90%以上,

且扦插苗根须较好.赤水市白云乡近几

年来发展1500多亩苦丁茶,都是扦插苗

移栽造林,而且是长势良好。

保护数据的私有性。访问控制限制访问内部网络的系统资源,限制对敏感数据的存取(读、写、执行)。而整个网络数据的传输安全可以分为:

1主机和防火墙之间的数据安全;

2防火墙之间的数据安全;

3主机和主机之间的数据安全,即发送数据者和接收数据者之间的安全。

(二)内部网络的数据信息安全

在实现企业内部网络安全时主要从两方面来考虑:网络安全和主机安全。网路安全主要考虑网络上主机之间的访问控制,防止来自外部的入侵,保护网络上的数据在传输时不被篡改和泄露。主机安全是保护合法用户对授权资源的使用,防止非法用户对于系统资源的侵占和破坏。其实现的结构:外网:用户非用户级访问外部资料——

—安全检查加密界密——

—用户认证模块——

—合法用户——

—外部资源访问控制——

—内部资料访问控制——

—内网:内部资源。

使得系统对网络的保护贯穿于网络层、传输层和应用层。在各个不同的层次中实施不同的安全策略。

网络层:通过对数据包头的分析,基于源地址、目的地址、源端口、目的端口和协议来实现访问控制.也可以通过工PSEC进行加密传输。

传输层:实现加密的传输。

应用层:实施严格的访问控制手段,安装杀毒软件并及时更新。

(三)安全接入

虚拟专用网络被定义为通过一个公共网络建立的一个临时的安全的连接,是一条穿越混乱的公共网络的安全、稳定的隧道,它是对企业内部网络的扩展。VPN可以帮助远程用户、企业的分支机构、合作伙伴企业的内部网络建立可信任的安全接入。它可以提供数据加密,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户具有不同的权限。

三、小结

由于网络安全产品、计算机硬软件是发展的,病毒和黑客技术也在发展,所以网络安全是动态的,因此,网络和信息安全应是技术和管理的综合。企业除了采取一些技术安全措施外,还应针对内部用户进行网络安全教育,建立健全各种管理制度,对威胁和破坏企业信息和数据安全的行为严肃处理。同时加强网络和系统管理员队伍的建设和培训,加强网络系统和数据库的维护,及时弥补漏洞,监控来自企业外部的各种攻击和入侵行为,发现异常马上采取措施。定期对企业网和关键数据进行安全评估,并有针对性的制定安全防护策略、制定管理规章制度。

参考文献

[1]瞿坦:《计算机网络原理及应用基础》.华中理工大学出版社,2005年9月

[2]贾筱景、肖辉进:《基于防火墙的网络安全技术》.达县师范高等专科学校学报,2005,(02).

[3]钟福训:《网络安全方案探讨》.齐鲁石油化工,2004,(04)

163

相关文档
最新文档