序論:速發表網結合其深厚的文秘經驗����,特別為您篩選了11篇企業網絡安全論文范文。如果您需要更多原創資料����,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識�!
篇1
(1)從使用網絡的人來看���,網絡使用者的安全防范意識不盡相同���,有的人非常重視網絡安全,有的人甚至不知道什么是網絡安全���,網絡安全意識薄弱���。
(2)從黑客的角度來分析����,黑客對于網絡安全的威脅是目前最大的��。黑客通常是利用技術將帶有病毒的游戲���、網頁、多媒體等放入軟件終端��,電腦使用者不留意就會點開這些資源,黑客就會監控電腦的一切活動�,會偷取計算機上的用戶名�、賬戶、密碼等個人隱私數據����,或者占用系統資源,嚴重的情況下會導致系統崩潰����,企業相關的資料都會消失����,損害企業的經濟�、財產����,并為網絡安全帶來威脅���。
1.2客觀因素
石油企業應用網絡辦公都已經形成了企業獨立的網絡系統���,但還是受到網絡安全的威脅����,主要是由于影響石油企業網絡安全的自然原因主要是操作系統和軟件的漏洞��。隨著科技的發展��,網絡操作系統和應用軟件總在不斷地更新�����,而且其更新比較慢,這就為黑客的入侵提供了縫隙�。
2����、石油企業網絡安全的防護技術措施
隨著石油企業網絡安全問題的頻繁出現���,網絡使用者必須重視網絡安全問題��,必須對網絡安全采取有效的防護技術和措施,為企業提供安全的網絡管理平臺��。
2.1石油企業建立健全企業規章制度
為了確保企業網絡安全,必須建立完善的安全系統,了解網絡安全的重要性����。對于網絡安全事故的發生,應采取處罰制度,并進行記錄,一旦出現重大網絡安全事故�,可以做到有證據可依�。
2.2石油企業應對網絡數據采取加密技術
石油企業內一些重要的文件必須對其進行加密后再放到外部網絡中,并結合防火墻技術���,才能進一步提高石油企業網絡信息系統內部數據的保密性和安全性�����,防止數據被非法人員偷盜���,損害企業的利益��。
2.3石油企業應加強員工網絡安全知識的培訓
員工作為石油企業網絡的使用者���,梳理員工網絡安全意識變得尤為重要���,只有讓員工認識到網絡安全的危害和意義才能從根本上防止主觀因素網絡安全問題的發生���。石油企業應加強對員工網絡安全信息的培訓工作,提高員工的網絡安全意識��,保證企業網絡安全的使用�。
2.4石油企業應加強系統平臺與漏洞的處理
網絡管理員可以利用系統漏洞的掃描技術來提前獲取網絡應用過程中的漏洞�����,并通過漏洞處理技術快速恢復系統漏洞��。
3��、關于石油企業網絡安全中其它防護技術
在石油企業網絡安全防護技術方案中,還應該應用以下幾個防護技術:訪問控制技術��、入侵行為檢測技術�����、異常流量分析與處理技術、終端安全防護與管理技術����、身份認證與管理技術。
3.1訪問控制技術
企業可以根據企業本身的安全需求���、安全級別的不同���,在網絡的交界處和內部劃分出不同的區域���,在這些區域中安裝防火墻設備進行訪問控制�����。通過防火墻設備對數據包進行過濾��、對于有問題的數據進行分析��,防止外部未被授權的用戶入侵企業網絡。單向數據輸出的安全區域,防火墻設備應對外區域的訪問請求進行阻止���;對于需要進行雙向數據交互的區域�����,必須按照制源地址、目的地址���、服務、協議、端口內容進行精確的匹配���,避免網絡安全問題的出現����。
3.2入侵行為檢測技術
入侵檢測就是在石油企業網絡的關鍵位置安裝檢測軟件�����,對入侵行為進行檢測與分析。入侵檢測技術可以對整個企業網絡進行檢測����,對產生警告的信息進行記錄并處理����。
3.3異常流量分析與處理技術
為了保障供應服務的穩定性,避免拒絕服務攻擊行為導致業務系統可用性的喪失���,需要通過深度包檢測��。當發現網絡流量有問題時,就會將惡意數據刪除��,保留原有的正常數據,這樣就保證了有權限的用戶進行正常訪問�����。
3.4終端安全防護與管理技術
企業整體信息安全水平取決于安全防護最薄弱的環節���。在石油企業中,企業比較重視網絡及應用系統的保護��,忽視了對終端計算機的全面防護與管理措施的保護���。這些就需要企業利用安全防護管理技術在內部終端計算機進行統一安全防護和安全管理,保證信息的安全����。
篇2
1引言
隨著計算機網絡的出現和互聯網的飛速發展����,企業基于網絡的計算機應用也在迅速增加����,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益����,但隨之而來的安全問題也在困擾著用戶��,在2003年后,木馬���、蠕蟲的傳播使企業的信息安全狀況進一步惡化����。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展�,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出���。面對這瞬息萬變的市場�����,企業就面臨著如何提高自身核心競爭力的問題�����,而其內部的管理問題����、效率問題��、考核問題���、信息傳遞問題���、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段�����。
在下面的描述中�,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺����,通過內部網相互連接����,根據公司統一規劃,通過防火墻與外網互聯�。在內部網絡中�����,各計算機在同一網段,通過交換機連接���。
圖1
2)應用系統
經過多年的積累�����,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統��。隨著計算機網絡的進一步完善���,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全����,某公司實施了計算機網絡安全項目��,基于當時對信息安全的認識和安全產品的狀況����,信息安全的主要內容是網絡安全�����,部署了防火墻�、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性����,這些產品在此后防范網絡攻擊事件��、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析��,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強�,計算機應用系統對網絡的依賴性增強�����。計算機網絡規模不斷擴大,網絡結構日益復雜�。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求��。
(2)計算機應用系統涉及越來越多的企業關鍵數據���,這些數據大多集中在公司總部數據中心���,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份�,并運用技術手段,提高數據的機密性、完整性和可用性��。
通過對現有的信息安全體系的分析���,也可以看出:隨著計算機技術的發展、安全威脅種類的增加�,某公司的信息安全無論在總體構成����、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強����,安全防護僅限于網絡安全�,系統����、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的�����,主要工作集中于網絡安全��,對于系統和應用的安全防范缺乏技術和管理手段�。如缺乏有效的身份認證����,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段����,很容易被冒充����;又如數據備份缺乏整體方案和制度規范����,容易造成重要數據的丟失和泄露����。
當時的網絡安全的基本是一種外部網絡安全的概念��,是基于這樣一種信任模型的�,即網絡內部的用戶都是可信的����。在這種信任模型下����,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部��,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的��。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的���。在這種信任模型中���,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息�,或者從內部網絡訪問服務器�����,下載重要的信息并盜取出去����。內部網絡安全的這種信任模型更符合現實的狀況�����。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞�����。
信息系統的安全防范是一個動態過程��,某公司缺乏相關的規章制度、技術規范���,也沒有選用有關的安全服務�。不能充分發揮安全產品的效能��。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級��。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求��。如為進一步提高全網的安全性���,擬對系統的互聯網出口進行嚴格限制��,原有的防火墻將成為企業內網和公網之間的瓶頸�。同時病毒的防范���、新的攻擊手段也對防火墻提出了更多的功能上的要求�����,現有的防火墻不具備這些功能��。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求�,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期��,在規劃的過程中,就運用風險評估�����、風險管理的手段��,用戶才可以避免重復建設和投資的浪費���。
3.2需求分析
如前所述����,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡��,也需要做好系統�����、應用����、數據各方面的安全防護���。為此�,要加強安全防護的整體布局,擴大安全防護的覆蓋面��,增加新的安全防護手段����。
(2)網絡規模的擴大和復雜性的增加��,以及新的攻擊手段的不斷出現���,使某公司計算機網絡安全面臨更大的挑戰�����,原有的產品進行升級或重新部署�。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設�����,使安全防范的各項工作都能夠有序�、規范地進行�����。
(4)信息安全防范是一個動態循環的過程���,如何利用專業公司的安全服務�����,做好事前��、事中和事后的各項防范工作���,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題�����。
4設計原則
安全體系建設應按照“統一規劃���、統籌安排��、統一標準��、分步實施”的原則進行,避免重復投入、重復建設�,充分考慮整體和局部的利益����。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定�,使安全技術體系的建設達到標準化�����、規范化的要求,為拓展���、升級和集中統一打好基礎�。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次���、安全防范的各階段全面地進行考慮�,既注重技術的實現�,又要加大管理的力度�����,以形成系統化的解決方案���。
4.3規避風險原則
安全技術體系的建設涉及網絡�、系統�、應用等方方面面���,任何改造、添加甚至移動�����,都可能影響現有網絡的暢通或在用系統的連續�����、穩定運行,這是安全技術體系建設必須面對的最大風險����。本規劃特別考慮規避運行風險問題���,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化�,從提供通用安全基礎服務的要求出發���,設計并實現安全系統與應用系統的平滑連接�。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期��、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施���。因此����,本方案依據保護信息安全投資效益的基本原則,在合理規劃�����、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善���、整合的辦法��,以使其納入總體安全技術體系��,發揮更好的效能�����,而不是排斥或拋棄�����。
4.5多重保護原則
任何安全措施都不是絕對安全的�����,都可能被攻破����。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時�,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊���,隨著網絡規模的擴大及應用的增加�,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的����。針對安全體系的特性����,尋求安全����、風險、開銷的平衡����,采取“統一規劃�����、分步實施”的原則�。即可滿足某公司安全的基本需求��,亦可節省費用開支���。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮�����,全面覆蓋信息系統的各層次��,針對網絡��、系統、應用���、數據做全面的防范����。信息安全防范體系模型顯示安全防范是一個動態的過程���,事前��、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示��。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險��、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析����,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸����,初步確定了本次安全項目的內容����。通過本次安全項目的實施�,基本建成較完整的信息安全防范體系�。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺����,都必須建立在一個安全可信的網絡之上�����。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure��,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系���,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障����,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統����,建立一個完善的網絡安全認證平臺��,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份�����,要求通信雙方的身份不能被假冒或偽裝����,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密�,確保信息不被泄露,在此體系中利用數字證書加密來完成����。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)����,通過哈希函數和數字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為�,確保通信方對自己的行為承認和負責�����,通過數字簽名來完成���,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網�,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比����,具有降低成本及維護費用、易于擴展��、數據傳輸的高安全性�����。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案��。它利用開放性網絡作為信息傳輸的媒體���,通過加密���、認證��、封裝以及密鑰交換技術在公網上開辟一條隧道�,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式����,實現移動用戶�����、遠程LAN的安全連接�����。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控����,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置����。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展����,電子郵件的使用日益廣泛,成為人們交流的重要工具����,大量的敏感信息隨之在網絡上傳播���。然而由于網絡的開放性和郵件協議自身的缺點�����,電子郵件存在著很大的安全隱患��。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的��。首先�,它的認證機制依賴于層次結構的證書認證機構����,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證�����,整個信任關系基本是樹狀的��。其次�,S/MIME將信件內容加密簽名后作為特殊的附件傳送�。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部�����,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示�����,近80%的網絡安全事件��,是來自于企業內部���。同時,由于是內部人員所為���,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取��、財務欺騙等�,因此�,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章���、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起����,形成一個整體�,是針對客戶端安全的整體解決方案�����。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性�。采用組件技術�,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章���,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證��。使用后��,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡���。用戶如果需要離開計算機�,只需拔出智能密碼鑰匙��,即可鎖定計算機����。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲���。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法����,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程�?�;赑KI的身份認證方式是近幾年發展起來的一種方便��、安全的身份認證技術����。它采用軟硬件相結合、一次一密的強雙因子認證模式���,很好地解決了安全性與易用性之間的矛盾��。USBKey是一種USB接口的硬件設備�����,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書����,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能���,還可構建用戶集中管理與認證系統、應用安全組件���、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系��,從而實現上述身份認證、授權與訪問控制�、安全審計��、數據的機密性��、完整性、抗抵賴性的總體要求��。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范�����、攻擊過程中的防范和攻擊后的應對���。安全管理貫穿全流程如圖3所示��。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程�,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中���,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上�����,方案實施方應進行進一步的風險評估,明確需求所在�,務求有的放矢�����,確保技術方案的針對性和投資的回報�。
(2)把應急響應和事故恢復作為技術方案的一部分�����,必要時可借助專業公司的安全服務�����,提高應對重大安全事件的能力�。
(3)該方案投資大�����,覆蓋范圍廣��,根據實際情況���,可采取分地區���、分階段實施的方式。
(4)在方案實施的同時�,加強規章制度、技術規范的建設�����,使信息安全的日常工作進一步制度化����、規范化。
7結論
本文以某公司為例�����,分析了網絡安全現狀�,指出目前存在的風險�����,隨后提出了一整套完整的解決方案�,涵蓋了各個方面����,從技術手段的改進�,到規章制度的完善�;從單機系統的安全加固,到整體網絡的安全管理���。本方案從技術手段上�、從可操作性上都易于實現��、易于部署��,為眾多行業提供了網絡安全解決手段����。
篇3
2企業網絡安全所面臨的威脅
企業網絡安全所面臨的威脅除了技術方面的因素外,還有一部分是管理不善引起的����。企業網絡安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關的管理制度
俗話說“三分技術���,七分管理”����,管理是企業信息化中重要的組成部分��。企業信息化過程中缺乏專門的管理人員和完善的管理制度����,都可能引起企業網絡安全的風險,給企業網絡造成安全事故�。由于大部分企業沒有專門的網絡安全管理人員,相關的網絡管理制度也不完善��,實際運行過程中沒有嚴格要求按照企業的網絡安全管理制度執行����。以至于部分企業選用了最先進的網絡安全設備,但是其管理員賬號一直使用默認的賬號�,密碼使用簡單的容易被猜中的密碼,甚至就是默認的密碼�。由于沒有按照企業信息化安全管理制度中密碼管理的相關條款進行操作�,給系統留下巨大的安全隱患,導致安全事故發生���。
2.2技術因素導致的主要安全威脅
企業網絡應用是架構在現有的網絡信息技術基礎之上,對技術的依賴程度非常高��,因此不可避免的會有網絡信息技術的缺陷引發相關的安全問題,主要表現在以下幾個方面����。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令����。它可以潛伏在計算機的程序或存儲介質中,當條件滿足時就會被激活���。企業網絡中的計算機一旦感染病毒�,會迅速通過網絡在企業內部傳播��,可能導致整個企業網絡癱瘓或者數據嚴重丟失�。
2.2.2軟件系統漏洞
軟件的安全漏洞會被一些別有用心的用戶利用��,使軟件執行一些被精心設計的惡意代碼����。一旦軟件中的安全漏洞被利用,就可能引起機密數據泄露或系統控制權被獲取�,從而引發安全事故。
3企業網絡安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業信息化管理部門要建立完整的企業信息安全防護制度,結合企業自身的信息系統建設和應用的進程��,統籌規劃�����,分步實施��。做好安全風險的評估�����、建立信息安全防護體系�����、根據信息安全策略制定管理制度��、提高安全管理水平����。企業內部的用戶行為約束必須通過嚴格的管理制度進行規范����。同時建立安全事件應急響應機制����。配備專門的網絡安全管理員,負責企業網絡的系統安全事務��。及時根據企業網絡的動向��,建立以預防為主�����,事后補救為輔的安全策略�����。細化安全管理員工作細則�,如日常操作系統維護、漏洞檢測及修補�、應用系統的安全補丁、病毒防治等工作����,并建立工作日志�����。并對系統記錄文件進行存檔管理����。良好的日志和存檔管理,可以為預測攻擊��,定位攻擊�����,以及遭受攻擊后追查攻擊者提供有力的支持�。
3.2防病毒技術
就目前企業網絡安全的情況來看,網絡安全管理員主要是做好網絡防病毒的工作��,主流的技術有分布式殺毒技術����、數字免疫系統技術��、主動內核技術等幾種����。企業需要根據自身的實際情況,靈活選用�����,確保殺毒機制的有效運行����。
3.3系統漏洞修補
現代軟件規模越來越大���,功能越來越多,其中隱藏的系統漏洞也可能越來越多����。不僅僅是應用軟件本身的漏洞����,還有可能來自操作系統,數據庫系統等底層的系統軟件的漏洞引發的系列問題����。因此解決系統漏洞的根本途徑是不斷地更新的系統的補丁。既可以購買專業的第三方補丁修補系統�,也可以使用軟件廠商自己提供的系統補丁升級工具����。確保操作系統����,數據系統等底層的系統軟件是最新的����,管理員還要及時關注應用系統廠商提供的升級補丁的信息��,確保發現漏洞的第一時間更新補丁����,將系統漏洞的危害降到最低。
篇4
現階段���,我國的供電企業內網網絡結構不夠健全�,未能達成建立在供電企業內部網絡信息化的理想狀態�。中部市�����、縣級供電公司因為條件有限,信息安全工作相對投入較少�,安全隱患較大���,各種安全保障措施較為薄弱����,未能建立一個健全的內網網絡系統�����。但隨著各類信息系統不斷上線投運,財務���、營銷�、生產各專業都有相關的信息系統投入應用���,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多�。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系��,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要���,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高�����,安全管理漏洞也較多�����,使得信息管理發展極不平衡��。信息化作為一項系統的工程����,未能有專門的部門來負責執行和管理��。網絡信息安全作為我國供電企業安全文化的重要組成部分�,針對現今我國供電企業網絡安全管理的現狀來看�����,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患���。各種計算機準入技術�,可移動存儲介質加密技術的應用��,給企業信息網絡安全帶來了一定的保障�。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足����。隨著在企業內被廣泛使用的XP操作系統停止更新��,針對操作系統的攻擊將變得更加頻繁����。一旦有計算機網絡病毒的出現���,就會對企業內部計算機進行大規模的傳播���,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞����,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件�,篡改供電系統相關數據���,對國家供電系統進行毀滅性的攻擊����,甚至致使整個供電系統出現大面積癱瘓��。
(3)職工安全防范意識不夠��。
想要保證我國網絡信息的安全�����,就必須要提高供電企業員工的綜合素質�,目前國內供電企業職員的安全防范意識不強�����,水平參差不齊���,多數為年輕職員���,實際操作的能力較低,缺少應對突發事件應對措施知識的積累�。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態�����,與新型網絡技術相脫軌��。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅�����,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多?���,F階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理����,難以保證所有計算機完全處在安全狀態�。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的�,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系��,及時更新網絡防病毒軟件,針對性地引進遠程協助設備�,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統�����,在這個系統中存在信息安全風險也是必然的�����。在這種情況下就要最大程度地降低存在的風險����,對經歷的風險進行剖析,制定針對性的風險評估政策��,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的����,根據信息安全工作的緊迫需求做好全面的風險評估至關重要�����。“掌握核心技術”不只是一句簡單的廣告詞語��,還是國家和各個企業都應該一直貫徹落實的方針政策��。為了避免外界對我國供電企業信息技術的操控�,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略�����、安全服務和安全機制的相結合����,大力開發信息網絡�,促進科技管理水平的快速提高���,以保證我國供電信息管理的安全���。
篇5
近年來,很多現代化企業加大信息建設��,一些下屬公司的網絡接入企業總網絡����,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性�,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界����,防火墻在網絡邊界上的設置受到很多限制�,影響了防火墻的安全防護作用��。
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展�����,網絡攻擊����、計算機病毒不斷變化��,其破壞力強�、速度快��、形式多樣���、難以防范��,嚴重威脅企業網絡安全�。當前,很多企業缺乏完善的入侵審計和防御體系�,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低�����,缺乏一致性的安全防護規范�,安全策略落實不到位�����。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標���、使用主體�、性質等因素�����,合理劃分企業邏輯子網����,對不同的邏輯子網設置不同的安全防護體系����,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系���,構建企業網絡安全防護體系,實現網絡安全目標:第一����,將大型的、復雜的企業網絡安全問題轉化為小區域的��、簡單的安全防護問題����,有效控制企業網絡系統風險,提高網絡安全���;第二��,合理劃分企業網絡安全域��,優化網絡架構,實現企業網絡安全設計����、規劃和入網;第三����,明確企業網絡各個區域的安全防護難點和重點�,加大安全設備投入量,提高企業網絡安全設備的利用率��;第四�����,加強企業網絡運行維護,合理部署企業網絡的審計設備�����,提供全面的網絡審核和檢查依據��,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為�����、安全防護等級和業務系統這三種方式來劃分安全域�����。由于企業網絡在不同區域和不同層次關注的內容不同�,因此在劃分企業網絡安全域時���,應結合業務屬性和網絡管理�����,不僅要確保企業正常的生產運營���,還應考慮網絡安全域劃分是否合理。針對這個問題����,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式��,充分發揮不同方式的優勢��,結合企業網絡管理要求和網絡業務需求����,有針對性地進行企業網絡安全域劃分�。首先,根據業務需求���,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網����,企業網絡可以在外網用戶端和內網之間設置隔離����,使外網服務和內網服務分離����,隔離各種安全威脅��,確保企業內網業務的安全性��。其次��,按照企業業務系統方式�,分別劃分外網和內網安全域��,企業外網可以分為員工公寓網絡�����、項目網絡���、對外服務網絡等子網,內網可以分為辦公網���、生產網����,其中再細分出材料采購網�����、保管網��、辦公管理網等子網��,通過合理劃分安全域��,確定明確的網絡邊界��,明確安全防護范圍和對象目標���。最后,按照網絡安全防護等級和系統行為���,細分各個子網的安全域,劃分出基礎保障域�、服務集中域和邊界接入域��。基礎保障域主要用來防護網絡系統管理控制中心�����、軟件和各種安全設備��,服務集中域主要用于防護企業網絡的信息系統����,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求��,可以采用分級防護措施��,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展�����,企業網絡面臨的安全威脅也不斷發生變化�����,網絡攻擊手段日益多樣化����,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化��,綜合考慮工作人員��、防護策略���、防護技術等多方面的因素�����,實現基于入侵檢測的動態防護?��;谌肭謾z測的動態防護主要包括備份恢復、風險分析����、應急機制、入侵檢測和安全防護����,以入侵檢測為基礎����,一旦檢測到企業網絡的入侵威脅�,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞�,可利用備份恢復機制,及時恢復企業網絡設置�����,確保企業網絡的安全運行。通過動態安全防護策略���,利用動態反饋機制����,提高企業網絡的風險評估分析能力和主動防御能力�����。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻�,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限��。企業網絡可采用分層縱深安全防護策略���,保障網絡安全防護的深度和廣度��,構建高效、綜合���、全面的安全防護體系����,對于企業網絡中的應用層�����、數據層��、系統層����、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護��、操作系統安全防護�、網絡保護���、物理安全保護等防護手段,根據不同網絡系統的特點�����,有針對性地進行安全防護���,例如�,在網絡層可利用資源控制模塊和訪問控制模塊����,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統����,避免用戶的違規操作和越權操作�。又例如,由于網絡環境比較復雜���,可在企業網絡的應用層、數據層和系統層����,設置網絡監控和檢測模塊,保護企業網絡的服務器����,防止權限濫用和誤操作。
篇6
2化工企業的遺傳神經網絡安全評價模型
2.1遺傳神經網絡遺傳算法優化神經網絡的方法主要有2種:對神經網絡的初始權值和閾值進行優化;對神經網絡的結構進行優化[5]�����。本文在保持神經網絡的結構不變的情況下�,用遺傳算法對BP神經網絡初始權值和閾值進行優化�。
2.2遺傳神經網絡評價模型遺傳神經網絡優化的數學模型[6]如下:本文構建的遺傳神經網絡模型的運行過程如下:(1)初始化BP神經網絡。(2)把BP神經網絡的全部權值與閾值實數編碼���,確定其長度l,確定其為遺傳算法的初始種群個體��。(3)設置遺傳算法的相關參數以及終止條件,執行遺傳算法;遺傳算法包括對群體中個體適應度進行評價�,執行選擇、交叉�����、變異遺傳操作���,進化生成新的群體;反復操作至設定的進化代數�����,最終取得最佳染色體個體。(4)把最佳染色體個體解碼�,分解為BP網絡對應的權值�����、閾值����,輸入訓練樣本,利用BP網絡進行訓練�。(5)得到訓練好的BP神經網絡�,則可輸入實例樣本進行評價����。
3遺傳神經網絡評價模型在化工企業的應用
3.1學習樣本的準備根據前文所確定的評價指標體系和對某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收�、一氧化碳變換、甲醇洗滌��、液氮洗滌等工序的安全原始數據�����,參考文獻中化工企業安全評價指標取值標準���,進行分析和整理,得出11個實例樣本�����,如表5所示�。選擇10個樣本作為遺傳神經網絡的訓練樣本,1個樣本作為測試樣本����。
3.2BP網絡結構的確定BP網絡拓撲結構一般是由網絡層數、輸入層節點數�����、隱含層節點數��、隱含層數以及輸出層節點數等來確定�。本文建立的遺傳神經網絡模型是根據經驗來確定神經網絡的層數�����,一般選取BP神經網絡的層數為3層[7]�����。通過化工企業安全評價指標的分析�����,得出BP神經網絡輸入層神經元數目為評價指標的總數12+6+8+5=31�。模型最后輸出的結果為綜合安全評價結果,因此����,神經網絡的輸出層節點數確定為1。隱含層中節點數的范圍通過經驗公式來確定�,本文在其確定范圍內選12。依據訓練樣本的規模���,設定學習率為0.1,最大訓練誤差值設為10-5�,循環學習次數為1000次�����。網絡輸出層為1個節點�,即化工企業的安全評價結果?;て髽I安全等級一般分為5級[7]��,如表6所示����。
3.3遺傳算法優化遺傳算法中,參數設定如下:種群規模設為300��,交叉概率設為0.7,進化代數設為100��,變異率設為0.05����。本文運用MATLAB軟件中的遺傳算法工具箱gads�,在GUI操作界面中輸入以上參數,并輸入適應度函數�����,對神經網絡的權閾值進行優化�����。經過遺傳操作后�����,運行遺傳算法工具箱��,則可得出最佳適應度曲線圖和最佳個體圖(圖2)�����,得到最佳適應度個體��,將其進行解碼�����,作為該網絡的初始權值和閾值賦給BP神經網絡�。
3.4GA-BP神經網絡訓練在MATLAB界面中編程語言����,得到輸出向量和網絡均方差變化圖��。訓練結果與期望輸出見表7�,BP網絡訓練過程如圖3所示��。從訓練結果可以看出��,該網絡的誤差值不超過10-5����,滿足設定要求。用該網絡對實例樣本進行安全評價����,得到結果為3.9956,對照安全評價輸出結果等級表為較安全����,與目標值吻合。從而訓練后的網絡穩定性得到驗證�,可以用于化工企業安全評價��。
篇7
(試 行)
一�、 網絡類題目的特點
學生絡類題目的特點主要以校園網、小型企業網�、大型企業網(多地互聯)為應用場合,進行網絡工程設計類或網絡安全類論文的寫作����。
二、 網絡工程設計類論文的寫作
1.論文寫作要求
類似于投標書����,但有不同于投標書��,不要有商務性質的內容(項目培訓、售后服務����、產品說明書���、產品報價……)����,也一般不考慮具體綜合布線(職院學校的要求)��,主要傾向于其技術實現�。
2.論文寫作基本環節
采用工程業務流程,類似于軟件工程:
1)需求分析
2)功能要求
3)邏輯網絡設計(設計原則��、拓撲結構圖����、背景技術簡介�����、IP地址規劃表)����,也稱為總體設計
4)物理網絡設計(實現原則��、技術方案對比�����,一般考慮結構化布線)�,也稱為詳細設計
5)網絡實現(設備選型和綜合布線屬于這個階段,但我們主要強調各種設備的配置與動態聯調以實現具體目標)
6)網絡測試(比較測試預期結果與實際結果)
具體實現通過采用Dynamips 模擬平臺和Cisco Packet Tracer(PT)模擬平臺���。
3.注意事項
1)抓住題目主旨和側重點(類似題目的需求不同���,取材角度不同、參考資料的取舍也不同����。不同的應用場合會采用不同的拓撲結構、路由技術(BGP��、RIP、單區域和多區域的OSPF)�����、交換技術(Vlan、生成樹�、鏈路聚合、堆疊)�����、訪問(接入)技術���、安全技術等�,只有這樣題目才能各有千秋�����,否則就都變成了XX公司(校園)網絡設計�。)
2)不要有商務性質的內容(項目培訓、售后服務……)
3)不要產品使用說明書和安裝調試說明書
4)不建議包含綜合布線的整個過程�����。
4.存在的問題與案例分析
1)結構不太清楚��,有些環節沒有
2)不應有產品說明書,具體實現要更清楚
三�����、 網絡安全類論文的寫作
1.論文寫作基本環節與要求
從技術上講主要有:
1)Internet安全接入防火墻訪問控制���;
2)用戶認證系統��;
3)入侵檢測系統�;
4)網絡防病毒系統��;
5)VPN加密系統���;
6)網絡設備及服務器加固��;
7)數據備份系統;
從模型層次上講主要有:
1)物理層安全風險
2)網絡層安全風險
3)系統層安全風險
不同的應用需求采用不同的技術�。
2. 存在的問題與案例分析
1)選題有些過于復雜而有些過于簡單
2)只是簡單敘述各種安全技術�����,沒有具體實現
四�、 論文答辯要求
1)論文格式:從總體上�,論文的格式是否滿足《韶關學院本科畢業設計規范》的要求���?
篇8
3: 吉林省林業設計院網絡中心網絡改造與發展規劃.
4: 吉林省林業系統生態信息高速公路構建課題.
二�、論文撰寫與設計研究的目的:
跟隨1946年第一臺計算機在美國誕生,人類文明發展到一個嶄新的時代.尤其是20世紀后10年,以計算機網絡的飛速發展為契機,我們進入了信息時代.人們的生活和工作逐漸以信息為中心,信息時代更離不開網絡, 任何一個規模企業尤其開始依賴網絡,沒有網絡企業就面臨著落后.
吉林省的林業分布十分廣泛,以長白山系為主要脈絡的山地廣泛分布各種森林資源,而作為林業及林業環境的發展,林業生態信息則是一個更為龐大的系統,快捷,準確,合理,系統的采集,處理,分析,存儲這些信息是擺在我們面前的十分現實的問題.在信息交流的這個世界中,信息好比貨物,我們需要將這些貨物(信息)進行合理的處理,其中以硬件為主的計算機網絡系統是這些貨物(信息)交流的"公路"和"處理廠",我做這個題目,就是要為它畫出一條"公路"和若干"處理方法"的藍圖.
由于森工集團這樣的特定企業,其一,它是一個統一管理的企業,具有集團化的特點,網絡的構建具有統一性.其二,它又在地理上是一個分散的企業,網絡點也具有分散性.然而,分散中還具有集中的特點,它的網絡系統的設計就應該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設計的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.
沒有最好,只有更好;更新觀念,大步向前.我相信,在導師的精心指導下,經過我的努力,我將為它們創造出一條平坦,寬闊的"高速公路".
1,論文(設計)研究的對象:
擬訂以吉林省林業系統為地理模型,以林業網絡綜合服務為基本需求,以網絡拓撲結構為設計方向,以軟件整合為應用方法,開發設計一套完整的基于集散集團企業的企業網絡系統.
2,論文(設計)研究預期達到目標:
通過設計,論文的撰寫,預期達到網絡設計全面化,軟件整合合理化,網絡性能最優化,資金應用最低化,工程周期最短化的目標.
3,論文(設計)研究的內容:
一),主要問題:
設計解決網絡地域規范與現有網絡資源的利用和開發.
設計解決集中單位的網絡統一部署.
設計解決多類型網絡的接口部署.
設計解決分散網絡用戶的接入問題.
設計解決遠程瘦用戶網絡分散點的性能價格合理化問題.
設計解決具有針對性的輸入設備的自動化信息采集問題.
合理部署網絡服務中心的網絡平衡.
優化網絡服務系統,營造合理的網絡平臺.
網絡安全問題.
10,基本應用軟件整合問題.
二),論文(設計)包含的部分:
1,地理模型與網絡模型的整合.
2,企業內部集中部門網絡設計.
3,企業內部分散單元網絡設計——總體分散.
4,企業內部分散單元網絡設計——遠程結點.
5,企業內部分散單元網絡設計——移動結點.
6,企業網絡窗口(企業外信息交流)設計.
7,企業網絡中心,服務平臺的設計.
8,企業網絡基本應用軟件結構設計.
9,企業網絡特定終端接點設計.
10,企業網絡整合設計.
5,論文(設計)的實驗方法及理由:
由于設計的過程并不是工程的施工過程,在設計過程中詳盡的去現場建設肯定有很大的難度,也不是十分可行的,那么我們在設計的階段就應該進行仿真試驗和科學計算.第一步,通過小型網絡測試軟件平臺,第二步,構建多個小型網絡搭建全局網絡模擬環境,第三步,構建干擾源利用小型網絡集總仿真測試.
6,論文(設計)實施安排表:
1.論文(設計)階段第一周次:相關理論的學習研究,閱讀參考文獻資料,制訂課題研究的實施方案,準備試驗用網絡硬件和軟件形成試驗程序表及試驗細則.
2.論文(設計)階段第二周次:開始第一輪實驗,進行小型網絡構建試驗,模擬網絡服務中心,模擬區域板塊,模擬遠程及移動網絡.
3.論文(設計)階段第三周次:進行接口模擬試驗,測試軟件應用平臺,完善課題研究方案.
4.論文(設計)階段第四周次:完成第一輪實驗,提交中期成果(實驗報告1).
5.論文(設計)階段第五周次:進行第二輪實驗,模擬環境(干擾仿真)實驗,提交實驗報告2.
6.論文(設計)階段第六周次:完成結題報告,形成論文.
三,論文(設計)實施工具及參考資料:
小型網絡環境,模擬干擾環境,軟件平臺.
吳企淵《計算機網絡》.
鄭紀蛟《計算機網絡》.
陳濟彪 丹青 等 《計算機局域網與企業網》.
christian huitema 《因特網路由技術》.
[美]othmar kyas 《網絡安全技術——風險分析,策略與防火墻》.
其他相關設備,軟件的說明書.
1、論文(設計)的創新點:
努力實現網絡資源的全面應用,擺脫將單純的網絡硬件設計為企業網絡設計的模式,大膽實踐將軟件部署與硬件設計階段相整合的網絡設計方法.
題目可行性說明及預期成果:
2��、可行性說明:
篇9
1 引言
隨著網絡的廣泛普及和應用��,政府��、軍隊大量的機密文件和重要數據�����,企業的商業秘密乃至個人信息都存儲在計算機中�����,一些不法之徒千方百計地“闖入”網絡��,竊取和破壞機密材料及個人信息�。據專家分析�����,我國80%的網站是不安全的��,40%以上的網站可以輕易的被入侵��。網絡給人們生活帶來不愉快和尷尬的事例舉不勝舉:存儲在計算機中的信息不知不覺被刪除;在數據庫中的記錄不知道何時被修改;正在使用的計算機卻不知道何故突然“死機”等等諸如此類的安全威脅事件數不勝數����。因此����,網絡信息的安全性具有舉足輕重的作用。
本論文主要針對分布式網絡的信息安全展開分析討論�,通過對分布式網絡安全管理系統的設計研究,以期找到可供借鑒的提高分布式網絡信息安全水平的防范手段或方法��,并和廣大同行分享���。
2 網絡安全管理技術概述
在當今這個信息化社會中�,一方面�,硬件平臺����,操作系統平臺����,應用軟件等IT系統已變得越來越復雜和難以統一管理;另一方面���,現代社會生活對網絡的高度依賴,使保障網絡的通暢�����、可靠就顯得尤其重要�。這些都使得網絡管理技術成為網絡安全技術中人們公認的關鍵技術。
網絡管理從功能上講一般包括配置管理���、性能管理���、安全管理、故障管理等�。由于網絡安全對網絡信息系統的性能、管理的關聯及影響趨于更復雜���、更嚴重����,網絡安全管理還逐漸成為網絡管理技術中的一個重要分支�,正受到業界及用戶的日益深切的廣泛關注。
目前��,在網絡應用的深入和技術頻繁升級的同時����,非法訪問�����、惡意攻擊等安全威脅也在不斷推陳出新��,愈演愈烈���。防火墻、VPN����、防病毒、身份認證����、數據加密�、安全審計等安全防護和管理系統在網絡中得到了廣泛應用�。雖然這些安全產品能夠在特定方面發揮一定的作用��,但是這些產品大部分功能分散�,各自為戰,形成了相互沒有關聯的��、隔離的“安全孤島”����,各種安全產品彼此之間沒有有效的統一管理調度機制��,不能互相支撐�����、協同工作�����,從而使安全產品的應用效能無法得到充分的發揮。
從網絡安全管理員的角度來說���,最直接的需求就是在一個統一的界面中監視網絡中各種安全設備的運行狀態��,對產生的大量日志信息和報警信息進行統一匯總��、分析和審計;同時在一個界面完成安全產品的升級、攻擊事件報警����、響應等功能��。但是���,一方面�����,由于現今網絡中的設備���、操作系統、應用系統數量眾多���、構成復雜���,異構性、差異性非常大��,而且各自都具有自己的控制管理平臺����、網絡管理員需要學習、了解不同平臺的使用及管理方法�,并應用這些管理控制平臺去管理網絡中的對象(設備����、系統、用戶等)��,工作復雜度非常之大���。另一方面�����,應用系統是為業務服務的;企業內的員工在整個業務處理過程中處于不同的工作崗位���,其對應用系統的使用權限也不盡相同��,網絡管理員很難在各個不同的系統中保持用戶權限和控制策略的全局一致性�。
另外�,對大型網絡而言���,管理與安全相關的事件變得越來越復雜�����。網絡管理員必須將各個設備�����、系統產生的事件����、信息關聯起來進行分析,才能發現新的或更深層次的安全問題����。因此,用戶的網絡管理需要建立一種新型的整體網絡安全管理解決方案—分布式網絡安全管理平臺來總體配置、調控整個網絡多層面����、分布式的安全系統,實現對各種網絡安全資源的集中監控�、統一策略管理、智能審計及多種安全功能模塊之間的互動�,從而有效簡化網絡安全管理工作,提升網絡的安全水平和可控制性�、可管理性�����,降低用戶的整體安全管理開銷��。
3 分布式網絡安全管理系統的設計
3.1 分布式網絡安全管理系統架構分析
隨著Internet技術的發展��,現在的企業網絡規模在不斷擴大���,設備物理分布變得十分復雜,許多企業都設有專門的網絡管理部門�,來應對企業網絡中可能出現的問題,以保證企業業務的正常運行�。這些網絡管理部門的工作人員可能會根據需要分布在不同的業務部門中�,甚至不同的城市中��,這就導致原有的集中式網絡設備平臺管理已經不能滿足企業的需求�����。復合式網絡安全管理平臺必須能夠實現遠程�、多用戶、分級式管理�,同時要保證整個平臺系統的安全性。
針對以上需求��,本網絡安全管理平臺設計為一種網絡遠程管理系統�,采取服務器和客戶端的模式�。
(1) 分布式網絡安全管理平臺服務器端
分布式網絡安全管理平臺的服務器端是整個管理系統的核心�����,它位于要管理的企業網絡內部的一臺服務器上��,掌控著所有的網絡資源�����,對被管網絡資源的操作都是由平臺服務器端直接完成�����。
分布式網絡安全管理平臺的各種管理功能模塊是相對獨立存在的��,而服務器端相當于一個大容器��,當需要某種管理功能時����,就可以通過一定的方法,將管理模塊動態加載到服務器端上�。管理模塊完成管理的具體功能,管理模塊既可以單獨完成某種管理功能�����,也可以通過服務器端提供的服務�,協作完成特定的管理功能�����。服務器端還提供了一個公共的通信接口��,通過這個通信接口�����,服務器端上的管理功能模塊就可以實現與客戶端的交互���。
(2) 分布式網絡安全管理平臺客戶端
客戶端相當于一個個企業網絡的管理員���,這些管理員己經被分配給不同的用戶名和密碼,從而對應于不同的平臺操作權限�����。管理員可以通過局域網或者Internet登陸到管理平臺的服務器����。_服務器端實現網絡安全管理平臺的各種管理功能。每當有用戶登陸到服務器時�����,首先服務器端有一個用戶鑒別和權限判斷�����,通過后��,根據權限不同的平臺管理信息被傳送回客戶端��,客戶端將這些管理信息顯示出來�����。如果管理員在客戶端進行了某些操作,客戶端會將這些操作信息發送到服務器���,服務器對用戶和操作進行權限鑒定��,通過后�,服務器就調用相應的管理功能模塊來實現操作�����,并將結果返回給客戶端�����,客戶端進行相應的顯示����。
3.2 分布式網絡的安全策略管理設計
策略管理的目標是可以通過集中的方式高效處理大量防火墻的策略配 置問題�。隨著網絡規模與業務模式的不斷增長變化��,對IT基礎設施的全局統一管理越來越成為企業IT部門的重要職責;策略的集中管理更有效的描述了全網設備的基本情況����,便于設備間的協作、控制���,能夠提高問題診斷能力���,提高運營的可靠性;另一方面,也極大的減輕了管理員的工作強度�,使其工作效率大幅度提高�����。
策略管理并不是系統中孤立的模塊�����,它與節點管理��、權限管理有著緊密的聯系���。由于節點管理將全網劃分為若干管理域,每個管理域中還有相應的下級組織部門�����,因此策略管理首先與節點信息相聯系�����,這也就隱含了策略的層級配置管理�����。
另外�����,策略是由某個具有一定權限的管理員對某個管理域或設備制訂的�,因此策略是否能定制成功需要調用權限管理中的功能加以判定,因此隱含了策略的可行性管理����。全網策略被統一存儲���,結合節點管理,策略存儲有它自身的結構特點�,這些屬于策略的存儲管理�����。
策略按照一定的時間���、順序被部署到具體的設備上,無論策略是對管理域定制的����,還是對設備制訂的,所有相關的策略最終都要被下發的設備中去�����,下發的方式能夠根據實際網絡拓撲的變化而做適應性調整�,這些屬于策略的管理。
3.3 分布式網絡信息安全構建技術
(1) 構筑入侵檢測系統(IDS)
不同于防火墻��,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上�����,無須網絡流量流經它便可以工作����。因此,對IDS的部署�����,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上���。
(2) 構筑入侵防御(IPS)
入侵防御是一種主動的�����、積極的入侵防范�����、阻止系統��,它部署在網絡的進出口處����,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷����。入侵防御系統在網絡邊界檢查到攻擊包的同時將其直接拋棄,則攻擊包將無法到達目標��,從而可以從根本上避免黑客的攻擊�。
(3) 采用郵件防病毒服務器
郵件防病毒服務器安裝位置一般是郵件服務器與防火墻之間。郵件防病毒軟件的作用:對來自INTERNTE的電子郵件進行檢測�,根據預先設定的處理方法處理帶毒郵件。郵件防病毒軟件的監控范圍包括所有來自INTERNET的電子郵件以及所屬附件����。
4 結語
篇10
網絡安全是一個系統的概念,可靠的網絡安全解決方案必須建立在集成網絡安全技術的基礎上���,比如系統認證和各類服務授權�,數據庫的加密及備份���,訪問及操作的控制等��。但是�,通過對現有電力網絡的粗略調查���,發現網絡本身的脆弱性才是現有電力網絡安全的最大威脅。
1威臉電力企業網絡安全的行為
網絡本身存在的脆弱性���,導致了眾多威脅電力企業網絡安全的行為�。
1.1惡意入侵
我相信我們可以在我們的電力企業網絡上�,找到很多我們需要的資料,包括機密度很高的資料���。所以,想得到這些資料的人����,會通過網絡攻擊人侵來達到目的。網絡攻擊人侵是一項系統性很強的工作�����,主要內容包括:目標分析;文檔獲取;密碼破解;登陸系統��、獲取資料與日志清除等技術。正像前文提到的一樣��,我們的網絡安全形勢真的是不容樂觀����,所以�����,這種惡意人侵的行為��,在電力企業網絡中變得相對簡單了許多�。密碼的獲得,簡直容易之至�����,因為有些就是空��。當人侵者得到了密碼之后�,就可以很方便的與該機器建立連接��,得到機器上的資料輕而易舉���,且不留痕跡�����。
1.2惡作劇式的網絡搗亂行為
隨著 計算 機技術的推廣�,計算機安全技術也得到了廣泛的應用,各種計算機安全軟件隨處可見�。其中不乏功能強大且完全免費的網絡安全軟件,就是某些軟件的共享版的功能也絲毫不可小看�。在電力企業內部使用計算機的人員中,有很多計算機安全技術的愛好者��。他們沒有接受過系統的安全知識的學習���,但是,很多網絡安全軟件的使用相當簡單���,只需點幾下鼠標,就可以執行其強大的功能��。而其使用者可能根本不知道這種行為所存在的危險性����,也不知道目標機器的功能何在��。
1.3網絡病毒的傳播
計算機病毒對大家來說并不陌生,任何一個接觸計算機的人可能都遭遇過病毒的危害��。準確來講���,計算機病毒又可以分為兩大種:一種是病毒����,另一種稱之為蠕蟲����。
病毒是一個程序,‘段可執行碼�����。就像生物病毒一樣�,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延��,又常常難以根除����。它們能把自身附著在各種類型的文件上。當文件被復制或從.個用戶傳送到另一個用戶時廠白們就隨同文件一起蔓延開來�����。除復制能力夕卜�����,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體����。
蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性�,如傳播性,隱蔽性����,破壞性等等�����,同時具有自己的一些特征�,如不利用文件寄生(有的只存在于內存中)對網絡造成拒絕服務��,以及和黑客技術相結合等等!
1.4惡意網頁
當我們的電力企業擁有了自己的網站,連接上了internet����,每一個電腦使用者都在不斷地點擊各種網頁,以尋找對自己有用的信息����。這是我們不可避免的問題,但是�����,并不是所有的網頁都是安全的��。有的網站的開發者或是擁有者��,為了達到某種目的�����,就會修改自己的網頁�,使之具有某種特殊的功能��。例如:當我們不經意間,點擊了某個網站的鏈接�,發現我們的瀏覽器ie已經被改頭換面,標題永遠被換成了那個惡意網站的名稱����。通過正常的途徑已經無法修改。還有的網頁本身具有木馬的功能���,只要你瀏覽之后,你的機器就有可能被種下了木馬����,隨之而來的就是你個人信息的泄露。
1.5各種軟件本身的漏洞涌現
軟件本身的特點決定了它一定是個不完善的產品��,會不斷的涌現出不同嚴重程度的bug��。隨著軟件的使用�,使得軟件所接觸的條件日趨復雜,從而暴露出沒有發現的自身缺陷��。以我們熟悉的微軟公司的windows系列操作系統為例����,每隔一段時間�,都會在微軟的官方網站上貼出最近發現的漏洞補丁�����。
2電力 企業 網絡 安全基本防范措施
針對電力網絡脆弱性,需要加強的網絡安全配置和策略應該有以下幾個方面�。
2.1防火墻攔截
防火墻是最近幾年 發展 起來的一種保護 計算 機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障����,也可稱之為控制逾出兩個方向通信的門檻。在網絡邊界上通過建立起相應的網絡通信監控系統來隔離內部和外部網絡����,以阻檔外部網絡的侵人;針對電力企業的實際,我個人認為“防火墻十殺毒軟件”的配置手段是比較合適的���,但定期的升級工作是必須的����,否則也只能是一種擺設�����。
即便企業有了各種各樣防火墻和殺毒軟件的保護�,企業系統管理員也不能夠高枕無憂。為了預防意外的破壞造成信息丟失和網絡癱瘓���,有必要事先做好網絡信息和系統的備份��。當然���,定期檢驗備份的有效性也非常重要。定期的恢復演習是對備份數據有效性的有力鑒定��,同時也是對網管人員數據恢復技術操作的演練�����,做到遇到問題不慌亂�,從容應付�����,提供有保障的網絡訪間服務�����。
防火墻類型主要包括包過濾防火墻、防火墻和雙穴防火墻����。其中包過濾防火墻設置在網絡層,可以在路由器上實現包過濾���。這種防火墻可以用于禁止外部非法用戶的訪問,也可以用來禁止訪問某些服務類型�。防火墻又稱應用層網管級防火墻,由服務器和過濾路由器組成�,是目前教為流行的一種防火墻。雙穴防火墻從一個網絡搜集數據����,并巨有選擇的把它發送到另一個網絡。
合理的配置防火墻�,是確保我們電力企業網絡安全的首要選項�����。保證我們的網絡之間的連接安全�,不會在連接端口出現安全漏洞。
2.2用戶管理機制
計算機在網絡中的應用����,存在兩種身份:一種是作為本地計算機���,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統�,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶����,并在本地分配不同的權限���。在網絡的服務器中安裝的網絡操作系統����,更是存在嚴格的用戶管理模式���。微軟的windows系列操作系統�����,從winnf開始��,到win2000 server的用戶管理日趨完善���,從單純的域管理����,發展到活動目錄的集成管理��。在月朗民務器上我門可以詳細規定用戶的權限���,有效地防止非法用戶的登陸和惡意人侵。
2.3密碼機制
生活在信息時代��,密碼對每個人來說��,都不陌生����。在能源部門的主力軍—電力企業的網絡環境里,密碼更是顯得尤為重要���?����?梢赃@樣說��,誰掌握了密碼�,誰就掌握了信息資源。當你失去了密碼�����,就像你雖然鎖上了門�,可是別人卻有了和你同樣的門鑰匙一樣�����。
特別將這個題目單獨列出����,是因為作為一個網絡管理人員,深刻感覺到我們電力企業內部網絡中�����,存在大量不安全的密碼���。比如弱口令:123, 000, admin等等��。這些密碼表面1二看是存在密碼�,但實際上用專用的網絡工具查看的時候,很容易的就會被破解�。某些網站和服務器的密碼便是如此。
篇11
信息技術正以其廣泛的滲透性和無與倫比的先進性與傳統產業結合��,隨著Internet網絡的飛速發展����,使網絡的重要性和對社會的影響越來越大。企業的辦公自動化�����、生產業務系統及電子商務系統對網絡系統的依賴性尤其突出���,但病毒及黑客對網絡系統的惡意入侵使企業的信息網絡系統面臨著強大的生存壓力�,網絡安全問題變得越來越重要。
企業網絡安全主要來自以下幾個方面:①來自INTERNET的安全問題�����;②來自外部網絡的安全威脅���;③來自內部網絡的安全威脅���。
針對以上安全威脅����,為了確保企業的信息資源���、生產數據資料的安全保密,解決企業計算機網絡中存在的安全隱患�����,本文介紹一種靜態技術和動態技術相結合的安全解決方案��,即在網絡中的各個部分采取多種安全防范技術來構筑企業網絡整體安全體系:①防病毒技術���;②防火墻技術�;③入侵檢測技術����;④網絡性能監控及故障分析技術;⑤漏洞掃描安全評估技術�����;⑥主機訪問控制。
一�����、防病毒技術
對于企業網絡及網內大量的計算機�����,各種病毒更是防不勝防����,如宏病毒和變形病毒。徹底清除病毒�,必須采用多層的病毒防護體系。企業網絡防病毒系統采用多層的病毒防衛體系和層次化的管理結構��,即在企業信息中心設防病毒控制臺�����,通過該控制臺控制各二級網絡中各個服務器和工作站的防病毒策略��,監督整個網絡系統的防病毒軟件配置和運行情況,并且能夠進行相應策略的統一調整和管理:在較大的下屬子公司設置防病毒服務器,負責防病毒策略的設置�����、病毒代碼分發等工作���。其中信息中心控制臺作為中央控制臺負責控制各分控制臺的防病毒策略,采集網絡中所有客戶端防毒軟件的運行狀態和配置參數��,對客戶端實施分組管理等�����。管理員可以通過管理員客戶端遠程登錄到網絡中的所有管理服務器上��,實現對整個網絡的管理��。根據需要各個管理服務器還可以由專門的區域管理員管理�����。管理服務器負責收集網絡中的客戶端的實時信息��, 分發管理員制定的防毒安全策略等�。
配套軟件:冠群金辰KILL6.0��。KILL采用服務器/客戶端構架�,實時保護Windows NT/Windows 2000�����、Unix�、Linux、NetWare�����、Windows95/98���、Windows3.X����、DOS工作站�、Lotus Notes 和 Microsoft Exchange 群件系統的服務器及Internet網關服務器,防止各種引導型病毒����、文件型病毒����、宏病毒�����、傳播速度快且破壞性很大的蠕蟲病毒進入企業內部網����,阻止不懷好意的Java��、ActiveX小程序等攻擊企業內部網絡系統���。它通過全方位的網絡管理、多種報警機制���、完整的病毒報告�、支持遠程服務器�、軟件自動分發,幫助管理員更好的實施網絡防病毒工作�����。
二�����、防火墻技術
防火墻是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯網與內部網之間建立起一個安全網關( scurity gateway), 從而抵御網絡外部安全威脅,保護內部網絡免受非法用戶的侵入���,它是一個把互聯網與內部網(局域網或城域網)隔開的屏障��,控制客戶機和真實服務器之間的通訊�����,主要包括以下幾方面的功能:①隔離不信任網段間的直接通訊����;②拒絕非法訪問����;③系統認證;④日志功能����。在計算機網絡中設置防火墻后,可以有效防止非法訪問���,保護重要主機上的數據�����,提高網絡的安全性��。
配套軟件:NetScreen���。NetScreen是唯一把防火墻、負載均衡及流量控制結合起來�����,且提供100M的線速性能的軟硬件相結合的產品�,在Internet出口、撥號接入入口����、企業關鍵服務器的前端及與電信���、聯通的連接出口處增設NetScreen-100f防火墻,可以實現企業網絡與外界的安全隔離����,保護企業的關鍵信息��。
三���、入侵檢測系統
入侵檢測系統(IDS)是一種為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術����,是對防火墻的必要補充,它可以對系統或網絡資源進行實時檢測����,及時發現惡意入侵者或識別出對計算機的非法訪問行為,并對其進行隔離����,并能收集可以用來訴訟的犯罪證據。
配套軟件: eTrust Intrusion Detection(Sessionwall-3)���。利用基于網絡的eTrust Intrusion Detection建立入侵檢測系統來保證企業網絡系統的安全性����。
首先��,信息管理中心設立整個網絡監控系統的控制中心。通過該控制臺���,管理員能夠對其它網絡入侵檢測系統進行監控和配置��。在該機器上安裝集中控制的eID中央控制臺模塊�����、eID日志服務器模塊和eID日志瀏覽器模塊,使所有eTrust Intrusion Detection監控工作站處于集中控制之下��,該安全主控臺也被用于集中管理所有的主機保護系統軟件��。
其次����,在Internet出口路由器和防火墻之間部署一套eTrust Intrusion Detection的監控工作站,重點解決與Internet的邊界安全問題���,在這些工作站上安裝軟件���,包括eID基本模塊、eID模塊和日志數據庫客戶端�。
四、網絡性能監控及故障分析
性能監控和故障分析就是利用計算機的網絡接口截獲目的地址為其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面��,它自動接收著來自網絡的各種信息���,通過對這些數據的分析,網絡管理員可以了解網絡當前的運行狀況�����,以便找出所關心的網絡中潛在的問題��。
配套軟件——NAI Sniffer���。NAI Sniffer 是一套功能強大的網絡故障偵測工具�����,它可以幫助用戶快速診斷網絡故障原因�����,并提出具體的解決辦法���。在信息中心安裝這樣的工具����,用于對網絡流量和狀態進行監控���,而且無論全網任何地方發生問題時�,都可以利用它及時診斷并排除故障���。
五����、網絡系統的安全評估
網絡安全性之所以這么低的一個主要原因就是系統漏洞�����。譬如管理漏洞��、軟件漏洞�����、結構漏洞�����、信任漏洞���。采用安全掃描技術與防火墻����、安全監控系統互相配合來檢測系統安全漏洞���。
網絡安全漏洞掃描系統通常安裝在一臺與網絡有連接的主機上���。系統中配有一個信息庫,其中存放著大量有關系統安全漏洞和可能的黑客攻擊行為的數據�。掃描系統根據這些信息向網絡上的其他主機和網絡設備發送數據包,觀察被掃描的設備是否存在與信息庫中記錄的內容相匹配的安全漏洞���。掃描的內容包括主機操作系統本身���、操作系統的配置、防火墻配置��、網路設備配置以及應用系統等�����。
網絡安全掃描的主要性能應該考慮以下方面:①速度����。在網絡內進行安全掃描非常耗時;②網絡拓撲����。通過GUI的圖形界面�����,可選擇一個或某些區域的設備��;③能夠發現的漏洞數量���;④是否支持可定制的攻擊方法;⑤掃描器應該能夠給出清楚的安全漏洞報告�����。⑥更新周期���。提供該項產品的廠商應盡快給出新發現的安全漏洞掃描特性升級�,并給出相應的改進建議。
通過網絡掃描�,系統管理員可以及時發現網路中存在的安全隱患,并加以必要的修補��,從而減小網絡被攻擊的可能��。
配套軟件:Symantec Enterprise Security Manger 5.5���。
六����、主機防護系統
在一個企業的網絡環境中����,大部分信息是以文件、數據庫的形式存放在服務器中的�。在信息中心,使用WWW�、Mail、文件服務器�����、數據庫服務器來對內部���、外部用戶提供信息����。但無論是UNIX還是Windows 9X/NT/2K,都存在著這樣和那樣的安全薄弱環節�,存放在這些機器上的關鍵業務數據存在著被破壞和竊取的風險。因此�����,對主機防護提出了專門的需求����。
配套軟件:CA eTrust Access。eTrust Access Control在操作系統的安全功能之上提供了一個安全保護層��。通過從核心層截取文件訪問控制�����,以加強操作系統安全性�。它具有完整的用戶認證��,訪問控制及審計的功能���,采用集中式管理�����,克服了分布式系統在管理上的許多問題���。
通過eTrust Access Control,我們可以集中維護多臺異構平臺的用戶���、組合安全策略�����,以簡化安全管理工作。
通過以上幾種安全措施的實施��,從系統級安全到桌面級安全��,從靜態訪問控制到動態入侵檢測主要層面:方案覆蓋網絡安全的事前弱點漏洞分析修正���、事中入侵行為監控響應和事后信息監控取證的全過程�,從而全面解決企業的信息安全問題,使企業網絡避免來自內外部的攻擊����,防止病毒對主機的侵害和在網絡中的傳播。使整個網絡的安全水平有很大程度的提高�。
