首页 > 文章中心 > 企业网络安全技术

企业网络安全技术范文精选

前言:在撰写企业网络安全技术的过程中,我们可以学习和借鉴他人的优秀作品,小编整理了5篇优秀范文,希望能够为您的写作提供参考和借鉴。

企业网络安全技术

企业网络安全技术范文第1篇

关键词:中小型企业网络安全规划;VLAN技术;方案

0引言

随着全球信息化浪潮的不断推进,社会经济、生活方面都发生了日新月异的变革,网络技术正在进行一场革命突破。网络技术长期的发展与完善,在信息安全方面已经从最初的数据保密逐步转变为信息安全技术的可用性、可控性以及完整性,如今网络安全又朝着“检测-管控-攻防”等方向发展,逐渐成为一个综合性的学科研究领域,也是目前研究的热点。如今,无论政府、大中小企业、学校、医院全部采用信息化平台工作,提高工作效率和社会竞争力。但是在网络安全管理和维护上存在一些问题和隐患,尤其中小型企业网络安全更被人忽视。本文深入分析网络安全相关技术、中小型企业网络安全规划原则,进一步提出中小型企业网络安全规划模型及解决方案,以满足中小型企业对网络的稳定性、可靠性和安全性需求。

1网络安全相关技术

网络安全是指利用网络管理控制和技术措施,保证在一个网络环境数据的保密性、完整性及可使用性受到保护。常见的技术有如下几个:(1)防火墙技术。防火墙技术(Firewall)是指设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,由软件部分和硬件部分组成的一个系统或多个系统。工作原理是在可信任的网络边界上建立网络控制系统,隔离内部网络和外部网络,执行网络访问控制策略,防止外部的未授权节点访问内部网络和非法向外传递内部信息,同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。(2)虚拟专用网技术。虚拟专用网技术(VirtualPrivateNetwork,VPN)是一种利用在互联网或其他公共网络上构建专有的虚拟私有网络安全技术,通过对网络数据的封装和加密,为用户在公共网络上建立一个临时的、安全的传输隧道,以达到专用网络的安全级别。用户数据通过发起端上的VPN设备建立逻辑隧道,数据在传输过程中是完全封装的,在接收端采用相应的解密和认证技术来确认发起的请求合法性,从而实现网络数据在整个传输过程中的安全,使其不要流向非法用户,以达到防范的目的。VPN优点在于加大了安全机制,即使信息被截获也不用担心泄密,数据传输采用认证模式,保证信息的完整性。(3)ACL技术。ACL技术在路由器中被广泛采用,是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并且可以规定符合条件的数据包是否允许通过。ACL通常用在企业的出口控制上,通过ACL的部署,可以有效的规划企业网络的出网策略。(4)入侵检测技术。入侵检测技术是从计算机网络和系统的若干关键节点收集信息并对其进行分析,从中发现网络或系统中是否存在违反安全策略的行为或者遭到入侵的现象,并根据一定的策略采取一定的措施。(5)VLAN技术。VLAN(VirtualLocalAreaNetwork)又称“虚拟局域网”,是一组逻辑上独立的设备和用户,不受物理位置的限制,可以根据功能、部门及应用等因素组织起来进行通信,相互之间的通信就好像在同一个网段中一样。一个VLAN就是一个广播域,VLAN之间的通信是通过第三层的路由器来完成的。通过VLAN可以灵活定义在同一物理网段上网络节点之间的通信,即在同一VLAN的网络节点之间可以通信,不同VLAN的网络节点之间不可以通信。(6)数据存储备份与恢复技术。将计算机硬盘中的数据复制到磁带或光盘上,而企业级的数据备份是指对精确定义的数据收集进行备份,无论数据的组织形式是文件、数据库,还是逻辑卷或磁盘,管理保存上述备份介质,以便需要时能迅速、准确地找到任何目标数据的任何备份,并准确地追踪大量的介质。

2中小型企业网络安全规划原则

网络安全的实质是指安全立法、安全管理和安全技术的共同运用,这3个方面体现了网络安全策略的约束、监控和保障的一般职能。依据SSE-CMM(系统安全工程能力成熟模型)及ISO17799(信息安全管理标准)等国际标准,综合考虑中小型企业网络安全规划过程中,需要遵循以下几方面的规则:(1)整体性原则。中小型企业网络安全规划应充分考虑到各种安全配套方案的整体一致性,不能片面的只注重对于攻击的防御,也不能只考虑网络遭到攻击后的如何快速修复防护。所以网络安全系统应该包括网络安全防护机制、监测机制和恢复机制。(2)均衡性原则。在设计中小型企业网络安全策略时,应当全面地评估企业对网络安全的实际需求和企业的实际经济能力,从而找寻网络安全风险和企业网络安全实际需求之间的一个均衡点,通过企业的实际网络安全要求和特殊的网络应用环境为基础来进行具体问题具体分析。(3)有效性与实用性原则。根据企业网络安全的实际需求来进行整体评价,实施量身定做的防火墙和杀毒软件更好地进行安全防护就可以了,对于中小型企业来说,购买一些高性能、高价位的设备是没有必要的。(4)易操作性原则。制定的网络安全措施最后的执行者还是网络管理人员,如果过于繁琐复杂,对执行人员的安全素质要求也比较高,这样就很难执行。(5)动态化原则。安全策略制定要充分考虑到企业的规模不断扩大、实力不断提升、网络业务不断变化,因此对网络安全系统就需要根据实际情况不断做出调整,满足新的网络安全需要。依据实际情况,通过使用更高性能的检测和防御的设备、提高安全设备的冗余度等措施来提高网络安全系统的安全等级。

3中小型企业网络安全规划总体解决方案

3.1网络拓扑结构规划

以一栋七层的办公大楼中小型企业为例,每个部门占据一个楼层。七层是经理部,需要1台电脑办公;六层是财务部,需要100台电脑办公;五层是人事部,需要80台电脑办公;四层是策划部,需要110台电脑办公;三层是技术部,需要200台电脑,并且在这层设立一个中心管理机房,放置的是企业中一些外部应用服务器、企业内部的重要服务器,如DNS服务器、FTP服务器和备份服务器等,还需放置核心交换机、汇聚交换机及防火墙等重要的网络安全设备,平时只有网络安全管理人员才拥有进出该中心机房的权限,并且有严格的门禁系统,必须进行刷脸认证;二层是工程部,需要150台电脑来办公;一层是销售部,需要210台电脑来办公。设计该大楼网络拓扑结构如图1所示。该拓扑图首先通过一个路由器和外网相连,然后由这个路由器再连接到防火墙上,分隔外网和内网,并且进行进出数据包的过滤;再次连接到企业的核心交换机上,核心交换机上连接企业的内部服务器,如邮件服务器和一些备份服务器等;最后再连接到汇聚交换机上,汇聚交换机再接到各部门的二层交换机上。

3.2网络安全解决方案

3.2.1网络边界安全解决方案

此企业的网络边界处采用防火墙和VPN相结合的方式构建一个安全的防护网。通过防火墙将外部的网络和企业的内网相互隔离开来,提高安全级别。防火墙上VPN的配置能为在外的企业员工访问企业内网提供安全的远程访问,极大地方便了在外出差的员工,同时这种方式的远程访问也具有极高的安全性。另外,外部网络接入企业内部网络时,可以通过NAT(网络地址转换)来接入Internet,这样做不仅隐藏了企业内部的网络结构,同时节约了大量的IPv4地址,具有一定的实际意义。

3.2.2网络内部安全解决方案

此企业的各个部门进行VLAN的划分,实现各部门的业务数据隔离安全。这样在不同VLAN里面的部门之间则不能相互访问,尤其是财务处需要单独划分在一个VLAN里,确保财务处的数据安全。VLAN的成员可以灵活地增删,当终端设备位置不固定时,也不用修改其IP地址,若要修改用户加入的VLAN时,也无需改变设备的物理连接。

4中小型企业网络安全解决方案的实现

4.1物理和环境的安全

提供专用的中心机房空间,合理的划分机房的各种设备的占用空间,将所有的网络安全设备和重要的数据服务器都放在这个机房中,将这些设备都固定在相应的安全柜中,使其不受外界环境的干扰。对于进出中心机房的人员加强进门审查装置,比如人脸识别技术、指纹识别技术等来保证中心机房的安全。在中心机房内部安装摄像头来实时监控和记录机房内的安全状况,方便后期网络安全维护。

4.2防火墙和虚拟专用网(VPN)的联动安全实现

中小型企业一般会考虑到经济承受能力,一般采用Cis-coPIX525作为企业接入网络时过滤数据的防火墙,将企业的内部网络和外部网络隔离开来,维护网络的边界安全。上述图1所示,防火墙和与外部网络的路由器相连,作为与外网相连的第一道防护,可以有效的防止来自外部的恶意攻击,也可以确保对DMZ区的应用服务器进行方便管理和安全维护。员工如果外出时,通过VPN来实现远程接入的安全性,这样就可以构成强大功能的审计系统,可以实时记录企业中关键业务的数据流向,并且可以对那些不断访问关键业务数据的主机进行实时监控。

4.3NAT和ACL的实现

目前IPv4的地址比较紧张,通过NAT转换技术来解决这个问题,企业只需购买一个全球的IP地址,比如172.138.2.5,然后在连接外部网络的路由器上配置NAT转换。当企业内部用户需要访问外部的网络时,经过企业的入口处路由器,将内部IP地址转换为全球的IP地址,才能把数据包发送出去,在外部网络中经传输到达目的地。如果目的地报文发回时,首先在外网中用全球IP地址查询,当到达企业网络边界的入口路由器时,再经过NAT地址转换,将外网IP地址转换为企业内部的IP地址,通过NAT地址转换表,就可以将报文发送给对应的主机,完成消息的发送。同时在企业的入口路由器上可以部署ACL,通过访问控制列表严格控制进出的数据包,通过设定一系列的过滤规则,当数据包要通过时,访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并决定符合条件的数据包是否允许通过。

4.4VLAN技术和单臂路由技术的实现

该中小型企业包含的部门有经理、人事部、销售部、财务部、技术部、策划部和工程部七个部门,对部门进行VLAN的划分。(1)首先按部门划分VLAN,分别定义VLAN的标签。经理:VLAN10;人事部:VLAN20;销售部:VLAN30;财务部:VLAN40;技术部:VLAN50;策划部:VLAN60;工程部:VLAN70。(2)根据各部门员工的要求,规定VLAN之间的通信规则为:VLAN10可以和其它VLAN中的各部门都可以通信,但是除过经理所在的VLAN10,其余的部门不能访问财务部,然后其余部门之间都不能相互访问。(3)实现不同部门之间的访问需要使用单臂路由技术来实现。单臂路由原理简单,配置容易,还可以在各部门入口路由器上配置ACL规则,提高VLAN之间通信的安全性。(4)根据各部门的网络安全要求,VLAN划分及各部门IP地址段划分的具体情况如表1所示:(5)根据员工要求配置单臂路由技术,经理所连交换机上面连接一个路由器,使用单臂路由技术,实现经理所在的VLAN10可以和其它的不同部门之间的VLAN通信。其余部门的VLAN之间不需要配置单臂路由,保证不同VLAN之间不能相互访问。

4.5企业数据存储备份与恢复技术

一般中小型企业内部数据包括客户服务系统、MIS管理系统和数据营销系统等,因此制定一套完善的数据备份方案,建立方便有效的企业级数据备份系统,保证企业中这些关键业务数据的安全性至关重要。充分考虑到中小型企业的经济承受能力和经济费用,推荐使用LAN-Base与LAN-Free相结合的备份方式。在整个企业的数据备份中心采用LAN-Free的技术方案,这样可以很好地解决传统备份方式中在备份大量的业务数据时占用网络带宽较多的问题,在各个部门中采用LAN-Base的备份方式,通过配置的备份管理服务器来管理各个部门备份的操作。

5总结

企业网络安全技术范文第2篇

企业计算机网络所面临的威胁

当前,大多数企业都实现了办公自动化、网络化,这是提高办公效率、扩大企业经营范围的重要手段。但也正是因为对计算机网络的过分依赖,容易因为一些主客观因素对计算机网络造成妨碍,并给企业造成无法估计的损失。

1网络管理制度不完善

网络管理制度不完善是妨碍企业网络安全诸多因素中破坏力最强的。“没有规矩,不成方圆。”制度就是规矩。当前,一些企业的网络管理制度不完善,尚未形成规范的管理体系,存在着网络安全意识淡漠、管理流程混乱、管理责任不清等诸多严重问题,使企业相关人员不能采取有效措施防范网络威胁,也给一些攻击者接触并获取企业信息提供很大的便利。

2网络建设规划不合理

网络建设规划不合理是企业网络安全中存在的普遍问题。企业在成立初期对网络建设并不是十分重视,但随着企业的发展与扩大,对网络应用的日益频繁与依赖,企业未能对网络建设进行合理规划的弊端也就会日益凸显,如,企业所接入的网络宽带的承载能力不足,企业内部网络计算机的联接方式不够科学,等等。

3网络设施设备的落后

网络设施设备与时展相比始终是落后。这是因为计算机和网络技术是发展更新最为迅速的科学技术,即便企业在网络设施设备方面投入了大笔资金,在一定时间之后,企业的网络设施设备仍是落后或相对落后的,尤其是一些企业对于设施设备的更新和维护不够重视,这一问题会更加突出。

4网络操作系统自身存在漏洞

操作系统是将用户界面、计算机软件和硬件三者进行有机结合的应用体系。网络环境中的操作系统不可避免地会存在安全漏洞。其中包括计算机工作人员为了操作方便而主动留出的“后门”以及一些因技术问题而存在的安全隐患,一旦这些为网络黑客所了解,就会给其进行网络攻击提供便利。

网络安全防护体系的构建策略

如前所述,企业网络安全问题所面临的形势十分严峻,构建企业网络安全防护体系已经刻不容缓。要结合企业计算机网络的具体情况,构建具有监测、预警、防御和维护功能的安全防护体系,切实保障企业的信息安全。

1完善企业计算机网络制度

制度的建立和完善是企业网络安全体系的重要前提。要结合企业网络使用要求制定合理的管理流程和使用制度,强化企业人员的网络安全意识,明确网络安全管护责任,及时更新并维护网络设施设备,提高网络设施的应用水平。如果有必要,企业应聘请专门的信息技术人才,并为其提供学习和培训的机会,同时,还要为企业员工提供网络安全的讲座和培训,引导企业人员在使用网络时主动维护网络安全,避免网络安全问题的出现。

2配置有效的防火墙

防火墙是用于保障网络信息安全的设备或软件,防火墙技术是网络安全防御体系的重要构成。防火墙技术主要通过既定的网络安全规则,监视计算机网络的运行状态,对网络间传输的数据包进行安全检查并实施强制性控制,屏蔽一些含有危险信息的网站或个人登录或访问企业计算机,从而防止计算机网络信息泄露,保护计算机网络安全。

3采用有效的病毒检测技术

计算机病毒是指编制或在计算机原有程序中插入的能够破坏系统运行或破坏数据,并具有自我复制能力的计算机指令或程序代码。病毒是对网络造成最大威胁的因素,要采用一些有效的病毒检测及反应技术,及时检测到病毒并对其进行删除。

企业网络安全技术范文第3篇

一、背景分析

提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。

目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。

这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。

二、内网安全风险分析

现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。

1.病毒、蠕虫入侵

目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。

病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。

2.软件漏洞隐患

企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。

3.系统安全配置薄弱

企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。

4.脆弱的网络接入安全防护

传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。

另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。

5.企业网络入侵

现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。

对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。

6.终端用户计算机安全完整性缺失

随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。

三、内网安全实施策略

1.多层次的病毒、蠕虫防护

病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。

2.终端用户透明、自动化的补丁管理,安全配置

为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。

用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。

3.全面的网络准入控制

为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。

企业网络安全技术范文第4篇

提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。

目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。

这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。

二、内网安全风险分析

现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。

1.病毒、蠕虫入侵

目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。

病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。

2.软件漏洞隐患

企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。

3.系统安全配置薄弱

企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。

4.脆弱的网络接入安全防护

传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。

另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。

5.企业网络入侵

现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。

对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。

6.终端用户计算机安全完整性缺失

随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。

三、内网安全实施策略

1.多层次的病毒、蠕虫防护

病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。

2.终端用户透明、自动化的补丁管理,安全配置

为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。

用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。

3.全面的网络准入控制

为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。

企业网络安全技术范文第5篇

网络安全管理技术

目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。

防火墙技术

互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。

1入侵检测技术入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。

2系统设计目标该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。

系统原理框图

该文设计了一种通用的企业网络安全管理系统。

1系统总体架构网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。

2系统网络安全管理中心组件功能系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。

系统架构特点

1统一管理,分布部署该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。

2模块化开发方式本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。

3分布式多级应用对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。

友情链接