企業網絡安全論文大全11篇
時間:2023-04-01 10:10:12緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇企業網絡安全論文范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
(1)從使用網絡的人來看,網絡使用者的安全防范意識不盡相同,有的人非常重視網絡安全,有的人甚至不知道什么是網絡安全,網絡安全意識薄弱。
(2)從黑客的角度來分析,黑客對于網絡安全的威脅是目前最大的。黑客通常是利用技術將帶有病毒的游戲、網頁、多媒體等放入軟件終端,電腦使用者不留意就會點開這些資源,黑客就會監控電腦的一切活動,會偷取計算機上的用戶名、賬戶、密碼等個人隱私數據,或者占用系統資源,嚴重的情況下會導致系統崩潰,企業相關的資料都會消失,損害企業的經濟、財產,并為網絡安全帶來威脅。
1.2客觀因素
石油企業應用網絡辦公都已經形成了企業獨立的網絡系統,但還是受到網絡安全的威脅,主要是由于影響石油企業網絡安全的自然原因主要是操作系統和軟件的漏洞。隨著科技的發展,網絡操作系統和應用軟件總在不斷地更新,而且其更新比較慢,這就為黑客的入侵提供了縫隙。
2、石油企業網絡安全的防護技術措施
隨著石油企業網絡安全問題的頻繁出現,網絡使用者必須重視網絡安全問題,必須對網絡安全采取有效的防護技術和措施,為企業提供安全的網絡管理平臺。
2.1石油企業建立健全企業規章制度
為了確保企業網絡安全,必須建立完善的安全系統,了解網絡安全的重要性。對于網絡安全事故的發生,應采取處罰制度,并進行記錄,一旦出現重大網絡安全事故,可以做到有證據可依。
2.2石油企業應對網絡數據采取加密技術
石油企業內一些重要的文件必須對其進行加密后再放到外部網絡中,并結合防火墻技術,才能進一步提高石油企業網絡信息系統內部數據的保密性和安全性,防止數據被非法人員偷盜,損害企業的利益。
2.3石油企業應加強員工網絡安全知識的培訓
員工作為石油企業網絡的使用者,梳理員工網絡安全意識變得尤為重要,只有讓員工認識到網絡安全的危害和意義才能從根本上防止主觀因素網絡安全問題的發生。石油企業應加強對員工網絡安全信息的培訓工作,提高員工的網絡安全意識,保證企業網絡安全的使用。
2.4石油企業應加強系統平臺與漏洞的處理
網絡管理員可以利用系統漏洞的掃描技術來提前獲取網絡應用過程中的漏洞,并通過漏洞處理技術快速恢復系統漏洞。
3、關于石油企業網絡安全中其它防護技術
在石油企業網絡安全防護技術方案中,還應該應用以下幾個防護技術:訪問控制技術、入侵行為檢測技術、異常流量分析與處理技術、終端安全防護與管理技術、身份認證與管理技術。
3.1訪問控制技術
企業可以根據企業本身的安全需求、安全級別的不同,在網絡的交界處和內部劃分出不同的區域,在這些區域中安裝防火墻設備進行訪問控制。通過防火墻設備對數據包進行過濾、對于有問題的數據進行分析,防止外部未被授權的用戶入侵企業網絡。單向數據輸出的安全區域,防火墻設備應對外區域的訪問請求進行阻止;對于需要進行雙向數據交互的區域,必須按照制源地址、目的地址、服務、協議、端口內容進行精確的匹配,避免網絡安全問題的出現。
3.2入侵行為檢測技術
入侵檢測就是在石油企業網絡的關鍵位置安裝檢測軟件,對入侵行為進行檢測與分析。入侵檢測技術可以對整個企業網絡進行檢測,對產生警告的信息進行記錄并處理。
3.3異常流量分析與處理技術
為了保障供應服務的穩定性,避免拒絕服務攻擊行為導致業務系統可用性的喪失,需要通過深度包檢測。當發現網絡流量有問題時,就會將惡意數據刪除,保留原有的正常數據,這樣就保證了有權限的用戶進行正常訪問。
3.4終端安全防護與管理技術
企業整體信息安全水平取決于安全防護最薄弱的環節。在石油企業中,企業比較重視網絡及應用系統的保護,忽視了對終端計算機的全面防護與管理措施的保護。這些就需要企業利用安全防護管理技術在內部終端計算機進行統一安全防護和安全管理,保證信息的安全。
篇(2)
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇(3)
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇(4)
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
篇(5)
1.2對外部網絡攻擊的防護因連接到因特網,不可避免地會受到外部網絡的攻擊,通常的做法是安裝部署網絡防火墻進行防護。通過設置防護策略防止外部網絡的掃描和攻擊,通過網絡地址轉換技術NAT(NetworkAddressTranslation)等方式隱藏內部網絡的細節,防止其窺探,從而加強網絡的安全性。1.3員工上網行為的管控對于在辦公區內的員工,要禁止其在工作期間做無關工作的網絡行為,如QQ聊天、論壇發帖子、炒股等,尤其禁止其玩征途等各類網絡游戲。常用做法就是安裝網絡行為管理設備(應用網關),也有些企業會出于成本考慮安裝一些網絡管理類軟件,但若操作不當,很容易會造成網絡擁塞,出現莫名其妙的故障。
1.4對不同接入者權限的區分企業網絡中的接入者應用目的是不相同的,有些必須接入互聯網,而有些設備不能接入互聯網;有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設多套網絡。通常的做法是通過3層交換機劃分虛擬局域網VLAN(VirtualLocalAreaNetwork)來區分不同的網段,與防火墻等網絡控制設備配合來實現有關功能。
1.5安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽,捕獲并分析網絡數據包,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網絡,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等,從而使網絡系統性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況,并制定相應的策略來維護穩定網絡的安全運行。
.6外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網獲取相關數據資料,出于安全和便捷等因素考慮,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析,結合中小企業網絡的實際需求進行設計。該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關。它是一種由專用硬件、專用軟件和網絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統一管理平臺[2]。通常,UTM設備應該具備的基本功能有網絡防火墻、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作,有效降低操作管理難度,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現。因其具有多個接口(即多個網卡),可通過設定接口組把辦公區、車間、服務器組等不同區域劃分成不同的網段;通過對不同網段設定不同的訪問規則,制定不同的訪問策略,來實現非軍事化區DMZ(demilitarizedzone)、可信任區以及非信任區的劃分,從而有效增強網絡的安全性和穩定性。對于上網行為的管理,可以通過內置UTM設備的功能來實現管控,并可以實現Web過濾以及安全審計功能。,設定了辦公區和車間1可以訪問互聯網,而車間2不能訪問互聯網。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備,有條件的單位可進行安裝,用以實現對員工上網行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業內部網絡,實現高效安全的網絡應用。
篇(6)
1.2安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽,捕獲并分析網絡數據包,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網絡,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等,從而使網絡系統性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況,并制定相應的策略來維護穩定網絡的安全運行。
1.3外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網獲取相關數據資料,出于安全和便捷等因素考慮,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析,結合中小企業網絡的實際需求進行設計,網絡拓撲如圖1所示。從拓撲圖1可以看出,該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關。它是一種由專用硬件、專用軟件和網絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統一管理平臺[2]。通常,UTM設備應該具備的基本功能有網絡防火墻、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作,有效降低操作管理難度,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現。因其具有多個接口(即多個網卡),可通過設定接口組把辦公區、車間、服務器組等不同區域劃分成不同的網段;通過對不同網段設定不同的訪問規則,制定不同的訪問策略,來實現非軍事化區DMZ(demilitarizedzone)、可信任區以及非信任區的劃分,從而有效增強網絡的安全性和穩定性。
對于上網行為的管理,可以通過內置UTM設備的功能來實現管控,并可以實現Web過濾以及安全審計功能.1可以訪問互聯網,而車間2不能訪問互聯網。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備,有條件的單位可進行安裝,用以實現對員工上網行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業內部網絡,實現高效安全的網絡應用。
篇(7)
(試 行)
一、 網絡類題目的特點
學生絡類題目的特點主要以校園網、小型企業網、大型企業網(多地互聯)為應用場合,進行網絡工程設計類或網絡安全類論文的寫作。
二、 網絡工程設計類論文的寫作
1.論文寫作要求
類似于投標書,但有不同于投標書,不要有商務性質的內容(項目培訓、售后服務、產品說明書、產品報價……),也一般不考慮具體綜合布線(職院學校的要求),主要傾向于其技術實現。
2.論文寫作基本環節
采用工程業務流程,類似于軟件工程:
1)需求分析
2)功能要求
3)邏輯網絡設計(設計原則、拓撲結構圖、背景技術簡介、IP地址規劃表),也稱為總體設計
4)物理網絡設計(實現原則、技術方案對比,一般考慮結構化布線),也稱為詳細設計
5)網絡實現(設備選型和綜合布線屬于這個階段,但我們主要強調各種設備的配置與動態聯調以實現具體目標)
6)網絡測試(比較測試預期結果與實際結果)
具體實現通過采用Dynamips 模擬平臺和Cisco Packet Tracer(PT)模擬平臺。
3.注意事項
1)抓住題目主旨和側重點(類似題目的需求不同,取材角度不同、參考資料的取舍也不同。不同的應用場合會采用不同的拓撲結構、路由技術(BGP、RIP、單區域和多區域的OSPF)、交換技術(Vlan、生成樹、鏈路聚合、堆疊)、訪問(接入)技術、安全技術等,只有這樣題目才能各有千秋,否則就都變成了XX公司(校園)網絡設計。)
2)不要有商務性質的內容(項目培訓、售后服務……)
3)不要產品使用說明書和安裝調試說明書
4)不建議包含綜合布線的整個過程。
4.存在的問題與案例分析
1)結構不太清楚,有些環節沒有
2)不應有產品說明書,具體實現要更清楚
三、 網絡安全類論文的寫作
1.論文寫作基本環節與要求
從技術上講主要有:
1)Internet安全接入防火墻訪問控制;
2)用戶認證系統;
3)入侵檢測系統;
4)網絡防病毒系統;
5)VPN加密系統;
6)網絡設備及服務器加固;
7)數據備份系統;
從模型層次上講主要有:
1)物理層安全風險
2)網絡層安全風險
3)系統層安全風險
不同的應用需求采用不同的技術。
2. 存在的問題與案例分析
1)選題有些過于復雜而有些過于簡單
2)只是簡單敘述各種安全技術,沒有具體實現
四、 論文答辯要求
1)論文格式:從總體上,論文的格式是否滿足《韶關學院本科畢業設計規范》的要求?
篇(8)
中圖分類號:TP398.1 文獻標識碼:A 文章編號:1006-8937(2015)30-0069-02
1 網絡安全的重要性
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科,是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。具體而言,網絡安全就是保護個人隱私,控制對網絡資源的訪問,保證商業秘密在網絡上傳輸的保密性、完整性及真實性,控制不健康的內容或危害社會穩定的言論,避免機密泄漏等。
2 我廠網絡安全措施
2.1 統一出口,便于管理
將三地的網絡進行了配置更改,兩地間增加了高性能的路由器,建成了企業內部局域網絡。此局域網的建成就像給企業網絡系統安裝了一個“保護殼”,使企業內部網絡的使用更加方便、快捷的同時保證了數據采集、傳輸的安全性,加強了計算機信息和網絡的保密性。
2.2 企業防火墻,墻
在企業局域網的統一出口安裝了Internet防火墻,負責管理Internet和企業內部網絡之間的訪問。在沒有防火墻時,內部網絡上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網絡的安全性要由每一個主機的堅固程度來決定,并且安全性等同于其中最弱的系統。
2.3 生產和辦公物理和虛擬相結合隔離
為了保證生產網的安全穩定運行,采取了生產網和辦公網邏輯隔離,兩網通過防火墻相連,高度融合,進一步強化了生產網的安全性。
2.4 病毒掃描評估
通過專業軟件掃描分析全廠的網絡系統,檢查網絡系統中存在的弱點和漏洞并生成相應的報告,提出修補方法和應實施的安全策略,增強了網絡安全性。
2.5 行為管理
引進了國內先進的“網康”網絡接入管理設備,對企業網絡進行優化管理,實現了對網絡的整體流量分配與控制,加強了網絡數據流量分析,優化了網絡流量調整工作。
2.6 區域WLAN的劃分
將企業辦公、生產區域網絡用戶按照單位、區域和樓層等細化管理,通過劃分不同的WLAN,從邏輯上阻隔網段,徹底阻隔廣播域,縮小區域,減小網絡異常的影響范圍。
3 目前存在的主要問題
3.1 認識上的誤區
①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。
②在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟 件等效。網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡而言,管理非常方便,對于單機版是不可能做到的。
③不上網就不會中毒。雖然不少病毒是通過網頁傳播的,但像QQ聊天接發郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。
④文件設置只讀就可以避免感染病毒。設置只讀只是調用系統的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網中為了共享安全,放置誤刪除,還是比較有用的。
⑤網絡安全主要來自外部。基于內部的網絡攻擊更加容易,不需要借助于其他的網絡連接方式,就可以直接在內部網絡中實施攻擊。所以,加強內部網絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要。
3.2. 技術上的差距
①操作系統使用盜版。由于習慣問題,部分軟件不兼容原裝系統和覺得正版與盜版都一樣等的一些類似原因導致使用盜版系統占到我廠絕大數計算機,給全廠網絡安全帶來了嚴重隱患。
②生產電腦防火墻和殺毒軟件無法自動升級。由于辦公網和生產網隔離,生產電腦無法上網,無法自動升級防火墻和殺毒等軟件,以至于在生產電腦上插拔外置移動設備和局域內傳輸文件帶來的安全危險顯得毫無抵抗之力。
③查找故障機困難。由于三地運行,地域廣,人員多,加之入廠機子相關登記信息空白,給查找故障機帶來更多困難,顯得無從下手。
4 進一步的措施
4.1 環網建設
目前企業網絡鏈路均為單鏈路。致使網絡鏈路抗風險能力較差,鏈路中斷后恢復時間較長。不能滿足生產管理系統的穩定運行需求。為提高網絡鏈路的抗風險能力,計劃在充分利用已建光纜、桿路資源及網絡設備的基礎上,新增傳輸設備,將網絡鏈路構成環網,當網絡中斷后自動切換至反向鏈路,實現網絡“零中斷”。
4.2 層級改造
我廠分場站網絡節點,由于之前采用交換機級聯的方式組網,受到光纜資源的限制,尚有部分網絡級聯層級達到三級或者更多,隨著網絡的不斷擴展,層級數過多問題也日益凸顯,現計劃對此類場站進行層級改造。
4.3 基于DHCP和MAC地址動態綁定的用戶自助接入系 統研究與應用
充分利用現有成熟的DHCP、VPMS和開源Liunx系統的相關技術,實現基于DHCP和MAC地址動態綁定的網絡用戶自助接入指定網絡,無需安裝客戶端,從而簡化日常IT管理人員負擔和提高網絡管理效率與信息安全水平,基于DHCP和MAC地址動態綁定的用戶自助接入系統應用,如圖1所示。
4.4 端口封裝,細化管理
結合以上MAC地址綁定和VLAN劃分,通過客戶端連接交換機做端口分裝策略,進一步固定IP地址,防止IP使用混亂,營造一個平穩暢通的網絡環境。
5 結 語
上述論文主要從我廠當前實際的網絡運行狀況,分析了所存在的網絡安全隱患,及采取的一些相應安全措施和下步主要安全工作的同時,也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網絡安全的現狀,可以使大家有對網絡安全的重要性有了進一步的了解。
參考文獻:
[1] 董玉格.網絡攻擊與防護-網絡安全與實用防護技術[M].北京:人民郵 電出版社,2002.
篇(9)
提起網絡信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網絡安全防護建設中,普遍采用傳統的內網邊界安全防護技術,即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術,對網絡入侵進行監控和防護,抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基于網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。一方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網絡面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網絡,除了利用企業網絡安全防護措施的漏洞外,最大的威脅卻是來自于內部網絡用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網絡用戶在安裝完自己的辦公桌面系統后,未采取任何有效防護措施就連接到危險的網絡環境中,特別是Internet;移動用戶計算機連接到各種情況不明網絡環境,在沒有采取任何防護措施的情況下又連入企業網絡;桌面用戶在終端使用各種數據介質、軟件介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網絡中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟件漏洞隱患
企業網絡通常由數量龐大、種類繁多的軟件系統組成,有系統軟件、數據庫系統、應用軟件等等,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網絡媒介,危及整個企業網絡安全。
3.系統安全配置薄弱
企業網絡建設中應用的各種軟件系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護的增強具有重要作用,但在實際的企業網絡環境中,這些安全配置卻被忽視,尤其是那些網絡的終端用戶,導致軟件系統的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網絡應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網絡接入安全防護
傳統的網絡訪問控制都是在企業網絡邊界進行的,或在不同的企業內網不同子網邊界進行且在網絡訪問用戶的身份被確認后,用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網絡安全漏洞,例如,企業網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,以太網接入等等網絡接入方式,在外網和企業內網之間建立一個安全通道。
另一個傳統網絡訪問控制問題來自企業網絡內部,尤其對于大型企業網絡擁有成千上萬的用戶終端,使用的網絡應用層出不窮,目前對于企業網管很難準確的控制企業網絡的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網絡應用,如郵件服務器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網絡應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內部網絡,進而造成內部網絡中敏感數據的泄密或損毀。
5.企業網絡入侵
現階段黑客攻擊技術細分下來共有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。
對于采取各種傳統安全防護措施的企業內網來說,都沒有萬無一失的把握;對于從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網絡入侵帶入企業網絡。
6.終端用戶計算機安全完整性缺失
隨著網絡技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網絡獲取工作必須的數據。由于這些移動用戶處于專網的保護之外,很有可能被黑客攻陷或感染網絡病毒。同時,企業現有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態,終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內部網絡的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術上的原因,殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞,使整個企業網絡安全不至由于個別軟件系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制臺集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行于各終端設備上的安全,安全執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網絡的安全風險,提高企業網絡整體的補丁升級、安全配置管理效率和效用,使企業網絡的補丁及安全配置管理策略得到有效的落實。
3.全面的網絡準入控制
篇(10)
網絡安全是一個系統的概念,可靠的網絡安全解決方案必須建立在集成網絡安全技術的基礎上,比如系統認證和各類服務授權,數據庫的加密及備份,訪問及操作的控制等。但是,通過對現有電力網絡的粗略調查,發現網絡本身的脆弱性才是現有電力網絡安全的最大威脅。
1威臉電力企業網絡安全的行為
網絡本身存在的脆弱性,導致了眾多威脅電力企業網絡安全的行為。
1.1惡意入侵
我相信我們可以在我們的電力企業網絡上,找到很多我們需要的資料,包括機密度很高的資料。所以,想得到這些資料的人,會通過網絡攻擊人侵來達到目的。網絡攻擊人侵是一項系統性很強的工作,主要內容包括:目標分析;文檔獲取;密碼破解;登陸系統、獲取資料與日志清除等技術。正像前文提到的一樣,我們的網絡安全形勢真的是不容樂觀,所以,這種惡意人侵的行為,在電力企業網絡中變得相對簡單了許多。密碼的獲得,簡直容易之至,因為有些就是空。當人侵者得到了密碼之后,就可以很方便的與該機器建立連接,得到機器上的資料輕而易舉,且不留痕跡。
1.2惡作劇式的網絡搗亂行為
隨著 計算 機技術的推廣,計算機安全技術也得到了廣泛的應用,各種計算機安全軟件隨處可見。其中不乏功能強大且完全免費的網絡安全軟件,就是某些軟件的共享版的功能也絲毫不可小看。在電力企業內部使用計算機的人員中,有很多計算機安全技術的愛好者。他們沒有接受過系統的安全知識的學習,但是,很多網絡安全軟件的使用相當簡單,只需點幾下鼠標,就可以執行其強大的功能。而其使用者可能根本不知道這種行為所存在的危險性,也不知道目標機器的功能何在。
1.3網絡病毒的傳播
計算機病毒對大家來說并不陌生,任何一個接觸計算機的人可能都遭遇過病毒的危害。準確來講,計算機病毒又可以分為兩大種:一種是病毒,另一種稱之為蠕蟲。
病毒是一個程序,‘段可執行碼。就像生物病毒一樣,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從.個用戶傳送到另一個用戶時廠白們就隨同文件一起蔓延開來。除復制能力夕卜,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體。
蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在于內存中)對網絡造成拒絕服務,以及和黑客技術相結合等等!
1.4惡意網頁
當我們的電力企業擁有了自己的網站,連接上了internet,每一個電腦使用者都在不斷地點擊各種網頁,以尋找對自己有用的信息。這是我們不可避免的問題,但是,并不是所有的網頁都是安全的。有的網站的開發者或是擁有者,為了達到某種目的,就會修改自己的網頁,使之具有某種特殊的功能。例如:當我們不經意間,點擊了某個網站的鏈接,發現我們的瀏覽器ie已經被改頭換面,標題永遠被換成了那個惡意網站的名稱。通過正常的途徑已經無法修改。還有的網頁本身具有木馬的功能,只要你瀏覽之后,你的機器就有可能被種下了木馬,隨之而來的就是你個人信息的泄露。
1.5各種軟件本身的漏洞涌現
軟件本身的特點決定了它一定是個不完善的產品,會不斷的涌現出不同嚴重程度的bug。隨著軟件的使用,使得軟件所接觸的條件日趨復雜,從而暴露出沒有發現的自身缺陷。以我們熟悉的微軟公司的windows系列操作系統為例,每隔一段時間,都會在微軟的官方網站上貼出最近發現的漏洞補丁。
2電力 企業 網絡 安全基本防范措施
針對電力網絡脆弱性,需要加強的網絡安全配置和策略應該有以下幾個方面。
2.1防火墻攔截
防火墻是最近幾年 發展 起來的一種保護 計算 機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制逾出兩個方向通信的門檻。在網絡邊界上通過建立起相應的網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵人;針對電力企業的實際,我個人認為“防火墻十殺毒軟件”的配置手段是比較合適的,但定期的升級工作是必須的,否則也只能是一種擺設。
即便企業有了各種各樣防火墻和殺毒軟件的保護,企業系統管理員也不能夠高枕無憂。為了預防意外的破壞造成信息丟失和網絡癱瘓,有必要事先做好網絡信息和系統的備份。當然,定期檢驗備份的有效性也非常重要。定期的恢復演習是對備份數據有效性的有力鑒定,同時也是對網管人員數據恢復技術操作的演練,做到遇到問題不慌亂,從容應付,提供有保障的網絡訪間服務。
防火墻類型主要包括包過濾防火墻、防火墻和雙穴防火墻。其中包過濾防火墻設置在網絡層,可以在路由器上實現包過濾。這種防火墻可以用于禁止外部非法用戶的訪問,也可以用來禁止訪問某些服務類型。防火墻又稱應用層網管級防火墻,由服務器和過濾路由器組成,是目前教為流行的一種防火墻。雙穴防火墻從一個網絡搜集數據,并巨有選擇的把它發送到另一個網絡。
合理的配置防火墻,是確保我們電力企業網絡安全的首要選項。保證我們的網絡之間的連接安全,不會在連接端口出現安全漏洞。
2.2用戶管理機制
計算機在網絡中的應用,存在兩種身份:一種是作為本地計算機,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶,并在本地分配不同的權限。在網絡的服務器中安裝的網絡操作系統,更是存在嚴格的用戶管理模式。微軟的windows系列操作系統,從winnf開始,到win2000 server的用戶管理日趨完善,從單純的域管理,發展到活動目錄的集成管理。在月朗民務器上我門可以詳細規定用戶的權限,有效地防止非法用戶的登陸和惡意人侵。
2.3密碼機制
生活在信息時代,密碼對每個人來說,都不陌生。在能源部門的主力軍—電力企業的網絡環境里,密碼更是顯得尤為重要。可以這樣說,誰掌握了密碼,誰就掌握了信息資源。當你失去了密碼,就像你雖然鎖上了門,可是別人卻有了和你同樣的門鑰匙一樣。
特別將這個題目單獨列出,是因為作為一個網絡管理人員,深刻感覺到我們電力企業內部網絡中,存在大量不安全的密碼。比如弱口令:123, 000, admin等等。這些密碼表面1二看是存在密碼,但實際上用專用的網絡工具查看的時候,很容易的就會被破解。某些網站和服務器的密碼便是如此。
篇(11)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)28-6262-03
1 概述
有別于有線網絡的設備可利用線路找尋設備信息,無論是管理、安全、記錄信息,比起無線網絡皆較為方便,相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于,無線網絡僅透過無線電波透過空氣傳遞訊號,一旦內部架設發射訊號的儀器,在收訊可及的任一節點,都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內,即便在圍墻外,都能截取訊號信息。
因此管理無線網絡安全維護比有線網絡更具挑戰性,有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求,本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討,以下將分別探討無線網絡傳輸可能產生的風險,以及減少風險產生的可能性,進而提出建議之無線網絡建置規劃檢查項目。
2 無線網絡傳輸風險
現今無線網絡裝置架設便利,簡單設定后即可進行網絡分享,且智能型行動裝置已具備可架設熱點功能以分享網絡,因此皆可能出現不合法之使用者聯機合法基地臺,或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務,或者考慮網絡存取便利性,架設無線網絡基地臺,皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡,所使用之聯機傳輸加密機制是否合乎信息安全規范。
倘若黑客企圖偽冒企業內部合法基地臺提供聯機時,勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺,以及非法使用者透過加密機制的弱點破解無線網絡基地臺,針對這2個情境加以分析其風險。
2.1 偽冒基地機風險
目前黑客的攻擊常會偽冒正常的無線網絡基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現今,可能會讓用戶在不知情的情況下進行聯機,當連上線后,攻擊者即可進行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯機上的AP是否合法,而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據,造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時,需考慮該類風險問題。
2.2 弱加密機制傳輸風險
WEP (Wired Equivalent Privacy)為一無線加密協議保護無線局域網絡(Wireless LAN,以下簡稱WLAN)數據安全的加密機制,因WEP的設計是要提供和傳統有線的局域網絡相當的機密性,隨著計算器運算能力提升,許多密碼分析學家已經找出WEP好幾個弱點,但WEP加密方式是目前仍是許多無線基地臺使用的防護方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無線破解工具皆已存在且純熟,因此利用WEP認證加密之無線AP,當破解被其金鑰后,即可透過該AP連接至該無線局域網絡,再利用探測軟件進行無線局域網絡掃描,取得該無線局域網絡內目前有哪些聯機的裝置。
當使用者使用行動裝置連上不安全的網絡,可能因本身行動裝置設定不完全,而將弱點曝露在不安全的網絡上,因此當企業允許使用者透過行動裝置進行聯機時,除了提醒使用者應加強自身終端安全外,更應建置安全的無線網絡架構,以提供使用者使用。
3 無線網絡安全架構
近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時,如何達到無線局域網絡之安全,亦為重要。
3.1 企業無線局域網安全目標
企業之無線網絡架構應符合無線局域網絡安全目標:機密性、完整性與驗證性。
機密性(Confidentiality)
無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序,且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式,并可對無線網絡使用進行稽核。
完整性(Integrity)
無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源,并保證員工無法自行架設非法無線網絡存取點設備,以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者,可建立一個隔離區之無線網絡,僅提供外部網際網絡連路連接,并禁止存取機關內部網絡。
認證性(Authentication)
建議無線網絡安全架構應提供使用者及設備進行身份驗證,讓使用者能確保自己設備安全性,且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機關的無線網絡。
因應以上無線局域網絡安全目標,應將網絡區分為內部網絡及一般網絡等級,依其不同等級實施不同的保護措施及其應用,說明如下。
內部網絡:
為網絡內負責傳送一般非機密性之行政資料,其系統能處理中信任度信息,并使用機關內部加密認證以定期更變密碼,且加裝防火墻、入侵偵測等作業。
一般網絡:
主要在提供非企業內部人員或訪客使用之網絡系統,不與內部其它網絡相連,其網絡系統僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機制。
因此建議企業在建構無線網絡架構,須將內部網絡以及提供給一般使用者之一般網絡區隔開,以達到無線網絡安全目標,以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。
3.2內部網絡安全架構
減輕無線網絡風險之基礎評估,應集中在四個方面:人身安全、AP位置、AP設定及安全政策。人身安全方面,須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡,僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內,且使用者須經過適當的身份驗證才允許進入,而只有企業信息管理人員允許存取并管理無線網絡設備。
企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低,評估每臺AP有可能造成的網絡安全漏洞,可請網絡工程師進行現場調查,確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力,攻擊者仍有機會竊聽辦公室無線網絡通訊,建議企業將無線網絡架構放置于防火墻外,并使用高加密性VPN以保護流量通訊,此配置可降低無線網絡竊聽風險。
企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼,企業信息管理人員需使用復雜度高之密碼以確保密碼安全,并定期更換密碼。企業應制定相關無線內部網絡安全政策,包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。
為提供安全無線辦公室環境,企業應進行使用者MAC控管,并禁用遠程SNMP協議,只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰,未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡,因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。
企業應增加額外政策,要求存取無線內部網絡之設備系統需進行安全性更新和升級,定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外,政策應規定若企業內部使用者之無線裝置遺失或被盜,企業內部使用者應盡快通知企業信息管理人員,以防止該IP地址存取無線內部網絡。
為達到一個安全的無線內部網絡架構,建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構無線內部網絡應具備之安全策略,并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考,詳見表1。
企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險,始可進行無線內部網絡架構建置。然而,盡管在風險評估上實行徹底,但無線網絡環境之技術不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環節,建議企業必須持續對企業內部使用者進行相關無線安全教育,以達到縱深防御之目標。
另外,企業應定期進行安全性更新和升級會議室公用網絡之系統,定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構,建議企業采用IPS設備以進行無線環境之防御。
IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御策略。
4 結論
由于無線網絡的存取及使用上存在相當程度的風險,更顯無線局域網絡的安全性之重要,本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求,有鑒于目前行動裝置使用量大增,企業可能面臨使用者要求開放無線網絡之需求,應建立相關無線網絡方案,本研究針對目前常見之無線網絡風險威脅為出發,以及內部網絡與外部網絡使用者,針對不同安全需求強度,規劃無線網絡使用方案,提供作為建置參考依據,進而落實傳輸風險管控,加強企業網絡安全強度。
參考文獻:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
