企業(yè)內(nèi)部局域網(wǎng)安全管理策略

1、企業(yè)內(nèi)部局域網(wǎng)安全管理策略             摘要:數(shù)字化企業(yè)管理已成為當(dāng)前各大型企業(yè)信息化建設(shè)發(fā)展的主要目標(biāo)。企業(yè)內(nèi)部網(wǎng)絡(luò)作為信息化建設(shè)的主要載體,其網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。文章基于當(dāng)前企業(yè)內(nèi)部網(wǎng)絡(luò)安全的現(xiàn)狀及特點(diǎn),提出相應(yīng)的控制策略。     關(guān)鍵詞:網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪問(wèn)     0 引言     隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展,企業(yè)數(shù)字化管理作為

2、為網(wǎng)絡(luò)時(shí)代的產(chǎn)物,已經(jīng)成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),企業(yè)內(nèi)部網(wǎng)安全問(wèn)題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。     1 目前企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀     1.1 操作系統(tǒng)的安全問(wèn)題 目前,被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等,這些操作系統(tǒng)都存在各種各樣的安全問(wèn)題,許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對(duì)操作系統(tǒng)進(jìn)行及時(shí)更新,彌補(bǔ)各種漏洞,計(jì)算機(jī)即使安裝了防毒軟件也會(huì)反復(fù)感染。     1.2 病

3、毒的破壞 計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的主要因素。     1.3 黑客 在中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)中,黑客的定義是:“對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的人員”,這也是目前大多數(shù)人對(duì)黑客的理解。大多數(shù)黑客不會(huì)自己分析操作系統(tǒng)或應(yīng)用軟件的源代碼、找出漏洞、編寫工具,他們只是能夠靈活運(yùn)用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有:端口監(jiān)聽、端口掃描、口令入侵、JAVA炸彈等。     1.4 口令入侵 為管理方便

4、,一般來(lái)說(shuō),企業(yè)為每個(gè)上網(wǎng)的領(lǐng)導(dǎo)和工人分配一個(gè)賬號(hào),并根據(jù)其應(yīng)用范圍,分配相應(yīng)的權(quán)限。某些人員為了訪問(wèn)不屬于自己應(yīng)該訪問(wèn)的內(nèi)容,用不正常的手段竊取別人的口令,造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。     1.5 非正常途徑訪問(wèn)或內(nèi)部破壞 在企業(yè)中,有人為了報(bào)復(fù)而銷毀或篡改人事檔案記錄;有人改變程序設(shè)置,引起系統(tǒng)混亂;有人越權(quán)處理公務(wù),為了個(gè)人私利竊取機(jī)密數(shù)據(jù)。這些安全隱患都嚴(yán)重地破壞了學(xué)校的管理秩序。     1.6 設(shè)備受損 設(shè)備破壞主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。企業(yè)內(nèi)部網(wǎng)絡(luò)涉及的設(shè)備分布在整個(gè)企業(yè)內(nèi),管理起來(lái)非常困難,任何安

5、置在不能上鎖的地方的設(shè)施,都有可能被人有意或無(wú)意地?fù)p壞,這樣會(huì)造成企業(yè)內(nèi)部網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)重后果。     1.7 敏感服務(wù)器使用的受限 由于財(cái)務(wù)等敏感服務(wù)器上存有大量重要數(shù)據(jù)庫(kù)和文件,因擔(dān)心安全性問(wèn)題,不得不與企業(yè)內(nèi)部網(wǎng)絡(luò)物理隔離,使得應(yīng)用軟件不能發(fā)揮真正的作用。     1.8 技術(shù)之外的問(wèn)題 企業(yè)內(nèi)部網(wǎng)是一個(gè)比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的擴(kuò)大,目前,大多數(shù)企         業(yè)基本實(shí)現(xiàn)了科室辦公上網(wǎng)。由于上網(wǎng)地點(diǎn)的擴(kuò)大,使得網(wǎng)絡(luò)監(jiān)管

6、更是難上加難。由于企業(yè)中部分員工對(duì)網(wǎng)絡(luò)知識(shí)很感興趣,而且具有相當(dāng)高的專業(yè)知識(shí)水平,有的員工上學(xué)時(shí)所學(xué)的專業(yè)甚至就是網(wǎng)絡(luò)安全,攻擊企業(yè)內(nèi)部網(wǎng)就成了他們表現(xiàn)才華,甚至是泄私憤的首選。其次,許多領(lǐng)導(dǎo)和員工的計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)薄弱、安全知識(shí)缺乏。企業(yè)的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束領(lǐng)導(dǎo)和員工的上網(wǎng)行為。     2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略     安全策略是指一個(gè)特定環(huán)境中,為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚

7、自己需要什么,制定恰當(dāng)?shù)臐M足需求的策略方案,然后才考慮技術(shù)上如何實(shí)施。     2.1 物理安全策略 保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web 服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個(gè)方面:環(huán)境安全。對(duì)系統(tǒng)所在環(huán)境的安全保護(hù), 確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾

8、及電源保護(hù)等。     2.2 訪問(wèn)控制策略 訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn), 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。主要有以下七種方式:入網(wǎng)訪問(wèn)控制。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制, 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源;控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。目錄級(jí)安全控制。網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí),網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器

9、控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn),對(duì)非法的網(wǎng)絡(luò)訪問(wèn),服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。端口是虛擬的“門戶”,信息通過(guò)它進(jìn)入和駐留于計(jì)算機(jī)中,網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。     2.3 防火墻控制策略 防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來(lái)限制外部非法(未經(jīng)許可)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。     2.4 信息加密策略 信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。信息加密過(guò)程是由