企业网络安全管理策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业网络安全管理策略
朱海波
论文完成时间:2008 年09 月10 日
摘要
文章阐述了网络信息安全的基本概念,分析影响网络安全的因素。论述了网络信息安全技术的技术的分类及其主要技术特征。就企业网络现状提出需求分析并制定防范措施。
关键词:网络安全防火墙入侵监测漏洞扫描
目录
第1章前言 (1)
第2章计算机信息网络安全概述 (2)
第3章企业信息安全隐患分析 (4)
第4章对企业信息安全技术概述 (5)
第5章网络安全需求分析 (8)
第6章网络信息安全策略及基本措施 (10)
第7章结论与建议 (13)
第1章前言
随着企业信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不进行有效的安全防护,网络信息系统将会受到具有破坏性的攻击和危害。
第2章计算机信息网络安全概述
网络环境下的信息安全不仅涉及加密、防黑客、反病毒等专业技术问题,而且涉及法律政策问题和管理问题。其中,技术问题是最直接的保证信息安全的手段,法律政策和管理是信息安全的基础和保障。
2.1网络管理政策法规
网络的安全运行,信息的安全传递,必要提高法律意识。强化网络安全,要有一个统一的管理制度,否则信息安全将得不到保障,造成整个网络规划与建设的混乱;网络管理和运行的不规范,所有的数据信息将得不到有效的保护。
网络管理包括三个层次的内容:组织建设、制度建设和人员意识。
●组织建设:是指有关信息安全机构的建设。信息安全的管理包括安全机规划、
风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面的
内容。
●制度建设:建立切实可行的信息安全管理规章制度,以保证信息安全。
●人员意识:主管领导的高度重视和提高广大用户信息安全意识。加强信息安
全意识的教育和培训,提高职工对信息安全的重视和安全防范水平。
2.2网络安全技术
影响计算机网络环境中信息安全的技术问题包括通信安全技术和计算机安全技术,二者共同维护着信息安全。
2.2.1通信安全涉及的技术
信息加密技术:是保障信息安全的最基本、最核心的技术措施和理论基础。
信息确认技术:通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。
网络控制技术:包括防火墙技术、审计技术、访问控制技术、入侵检测技术及相应的安全协议。
2.2.2计算机安全涉及的计算机技术
容错计算机技术:其基本特点是具有稳定可靠的电源、预知故障、保证数据的完整
性和数据恢复等。
安全操作系统:计算机工作平台,具有一定的访问控制、安全内核和系统设计等安全功能。
计算机反病毒技术:计算机病毒其实是一种在计算机运行中能够实现传染和侵害的功能程序,是目前影响计算机安全的重要因素。
第3章企业信息安全隐患分析
3.1网络通信协议
IP层协议安全缺陷,IP地址软件设置是IP地址假冒和IP地址欺骗的安全隐患;应用层协议TELNET、FTP、SMTP等协议缺乏安全认证和保密措施,为攻击者提供了截获秘密的通道。
3.2资源共享
网络应用通常是共享网络资源,比如信息共享、设备共享等。如果缺少必要的访问控制策略,会造成存储设备中各种重要信息泄密。
3.3电子邮件协议
电子邮件为网络用户提供电子邮件应用服务。内部网用户可以通过拔号或其它方式发送和接收电子邮件,这就会被黑客跟踪或收到一些特洛伊木马、病毒程序等,如果用户安全意识比较淡薄,给入侵者提供机会,会给系统带来不安全因素。
3.4操作系统的安全漏洞
计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。
3.5病毒侵害
网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。
3.6网络系统安全策略不健全,或配置失当,产生网络系统安全漏洞。
第4章对企业信息安全技术概述
企业网络系统涉及到各方面的网络安全问题,我们认为整个企业的安全体系必须集成多种安全技术实现,如防火墙技术,入侵监控技术、安全漏洞扫描技术、病毒防护技术等,下面就以上技术加以详细阐述:
4.1防火墙技术
防火墙是指设置在不同网络(如企业内部网和不可信的公共网)之间的一系列部件的组合,分硬件防火墙和软件防火墙,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
根据防火墙所采用的技术不同,可以分为:包过滤型、网络地址转换—NAT、代理型。
4.1.1包过滤型
其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
4.1.2网络地址转换—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规