企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)以及保護(hù)的知識(shí)有哪些
企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)以及保護(hù)的知識(shí)有哪些
最近有網(wǎng)友想了解下企業(yè)網(wǎng)絡(luò)安全的設(shè)計(jì)以及保護(hù),所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!
企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)
計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計(jì),防火墻應(yīng)用等,重點(diǎn)針對(duì)企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題,作了個(gè)介紹。對(duì)有關(guān)安全問題方面模塊的劃分,解決的方案與具體實(shí)現(xiàn)等部分.
一、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析
隨著通訊技術(shù)和計(jì)算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題,其改變著人們的工作方式和生活方式。網(wǎng)絡(luò)的互連性,開放性,共享性程度的擴(kuò)大,然而網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大主要是Internet的出現(xiàn)。隨著數(shù)字貨幣,電子現(xiàn)金,電子商務(wù)和政府上網(wǎng)以及網(wǎng)絡(luò)銀行等網(wǎng)絡(luò)行為的出現(xiàn),網(wǎng)絡(luò)安全的問題變得越來越重要。
(一)其他網(wǎng)絡(luò)的攻擊
據(jù)數(shù)據(jù)統(tǒng)計(jì),在美國網(wǎng)絡(luò)中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會(huì)網(wǎng)絡(luò)業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個(gè)傳播途徑使用戶的整個(gè)電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報(bào)告,計(jì)算機(jī)病毒事件在1999年計(jì)算機(jī)安全問題上排名第一位,然而與計(jì)算機(jī)病毒相關(guān)的黑客問題也在其中占有相當(dāng)大的比例。從科研人員的分析結(jié)果科研看出計(jì)算機(jī)病毒的表現(xiàn)有以下新特點(diǎn):
當(dāng)今社會(huì)電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要媒介,它的比例占所有計(jì)算機(jī)病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計(jì)算機(jī)病毒都可通過它來進(jìn)行快速傳播,事實(shí)上,有一些電子郵件病毒根本就沒有附件,因?yàn)樗旧砭褪且粋€(gè)HTML。在不久前出現(xiàn)的許多的計(jì)算機(jī)病毒就無需用戶打開附件就會(huì)感染文件,如果用戶的郵件可以自動(dòng)打開HTML格式的郵件,那么該計(jì)算機(jī)病毒就會(huì)立刻感染用戶的系統(tǒng)。
近年來由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計(jì)算機(jī)病毒種類,比如包含蠕蟲、木馬、電子郵件計(jì)算機(jī)病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁等黑客程序。其種類、數(shù)量正在迅速激增。同時(shí),根據(jù)最新數(shù)據(jù)統(tǒng)計(jì)計(jì)算機(jī)病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過40種新計(jì)算機(jī)病毒出現(xiàn),因此每年的新型計(jì)算機(jī)病毒就有就有1.2萬種左右出現(xiàn),這樣的數(shù)目超過了截至1997年為止世界上計(jì)算機(jī)病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對(duì)掌上電腦和手機(jī)的計(jì)算機(jī)病毒。
計(jì)算機(jī)病毒造成的破壞日益嚴(yán)重。2000年5月“I Love You”情書病毒的影響,全球的損失預(yù)計(jì)已經(jīng)高達(dá)100億美元,而受CIH計(jì)算機(jī)病毒在全球造成的損失據(jù)估計(jì)已超過10億美元。對(duì)于行業(yè)的用戶當(dāng)系統(tǒng)每死機(jī)一小時(shí)其損失都在650萬美元以上,其包括電視機(jī)構(gòu)、證券公司、國際航運(yùn)公司、信用卡公司和郵購公司在內(nèi),然而對(duì)于Internet公司,尚無人能統(tǒng)計(jì)其損失的金額。
(二)管理及操作人員缺乏安全知識(shí)
我們認(rèn)為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓(xùn)、事后的安全審計(jì)、安全策略制定、安全策略架構(gòu)的實(shí)施、企業(yè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、安全架構(gòu)制定等部分有機(jī)結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個(gè)方面和層次上部署相應(yīng)安全產(chǎn)品的工具。
現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)要加強(qiáng)系統(tǒng)的總體安全級(jí)別,必須從應(yīng)用業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因?yàn)榘踩[患會(huì)隱藏在系統(tǒng)的各個(gè)角落,使用人員應(yīng)該考慮安全意識(shí)等各個(gè)層面統(tǒng)籌。木筒裝水的多少?zèng)Q定于最矮的木板,然而系統(tǒng)的總體安全級(jí)別就象裝在木筒中的水,系統(tǒng)安全級(jí)別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對(duì)系統(tǒng)安全管理應(yīng)該是多方面的、多層次的,要從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)各個(gè)方面來提高系統(tǒng)的安全級(jí)別,還要把原來通過管理規(guī)定由使用人員自覺維護(hù)的安全規(guī)則用系統(tǒng)來自動(dòng)實(shí)現(xiàn),來加強(qiáng)系統(tǒng)的總體安全性。
二、網(wǎng)絡(luò)安全總體設(shè)計(jì)
據(jù)統(tǒng)計(jì),在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設(shè)置安裝。然而對(duì)于系統(tǒng)安全的維護(hù)和管理需要各種層次的系統(tǒng)和安全專家才能完成。如果沒有專業(yè)人員的介入,根據(jù)實(shí)際情況對(duì)安全管理產(chǎn)品進(jìn)行詳細(xì)地配置,對(duì)于企業(yè)的策略進(jìn)行設(shè)計(jì)和安全管理規(guī)范,就算功能再強(qiáng)大的安全產(chǎn)品也會(huì)達(dá)不到非常好的安全防護(hù)作用。
三、安全系統(tǒng)的建設(shè)原則
“使入侵者花費(fèi)不可接受的金錢與時(shí)間,并且承受非常高的風(fēng)險(xiǎn)才可以闖入的系統(tǒng)叫做安全系統(tǒng)。我們認(rèn)為,絕對(duì)安全與可靠的信息系統(tǒng)并不存在。然而安全性的增加通常會(huì)導(dǎo)致企業(yè)費(fèi)用的增長,這些費(fèi)用包括系統(tǒng)復(fù)雜性增加、系統(tǒng)性能下降、操作與維護(hù)成本增加和系統(tǒng)可用性降低等等。安全不是目的而是一個(gè)過程。威脅與弱點(diǎn)會(huì)隨時(shí)間變化。然而安全的努力依賴于許多因素,例如新業(yè)務(wù)應(yīng)用的實(shí)施、職員的調(diào)整、安全漏洞和新攻擊技術(shù)與工具的導(dǎo)入。
企業(yè)網(wǎng)絡(luò)安全保護(hù)
一、網(wǎng)絡(luò)安全
現(xiàn)代經(jīng)濟(jì)的發(fā)展,網(wǎng)絡(luò)的運(yùn)用已經(jīng)遍布世界各地。保證網(wǎng)絡(luò)安全,也就是保證網(wǎng)絡(luò)硬件軟件和數(shù)據(jù)在除自然、人為因素破壞之外受到應(yīng)有的保護(hù),,保證其不被破壞、惡意泄露等,保密、完整和可用時(shí)網(wǎng)絡(luò)安全的三大指標(biāo)。
現(xiàn)如今,垃圾信息,的大量產(chǎn)生嚴(yán)重減緩網(wǎng)絡(luò)速度,影響這個(gè)系統(tǒng)的運(yùn)行。連續(xù)的操作能力對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)來說是至關(guān)重要的。保證一個(gè)完整的程序完整的運(yùn)行,不僅是服務(wù)器還是數(shù)據(jù)終端都要產(chǎn)生必須的可持續(xù)服務(wù)的。再者,網(wǎng)絡(luò)的安全也受場地環(huán)境、電源等條件的影響和制約。技術(shù)上的不足,其實(shí)是影響網(wǎng)絡(luò)安全最主要的因素,其次還有配置不高、人為錯(cuò)誤和政策錯(cuò)誤等都有可能對(duì)網(wǎng)絡(luò)安全造成威脅。
網(wǎng)絡(luò)的安全就是要達(dá)到網(wǎng)絡(luò)不被惡意修改、惡意泄露個(gè)人用戶信息。不管是內(nèi)部的還是外部的網(wǎng)絡(luò)的安全都要能夠有效的防治攻擊,這其中就包括保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫的安全,有效制止網(wǎng)絡(luò)病毒對(duì)于網(wǎng)絡(luò)的侵犯。
二、企業(yè)網(wǎng)絡(luò)安全防護(hù)措施
雖然現(xiàn)在有相當(dāng)一部分企業(yè)通過使用內(nèi)網(wǎng)企圖阻斷互聯(lián)網(wǎng)對(duì)于企業(yè)網(wǎng)絡(luò)安全的威脅,但是這樣在一些方面也制約著企業(yè)的發(fā)展,網(wǎng)絡(luò)的運(yùn)用對(duì)于一個(gè)企業(yè)來說是無法避免的,使企業(yè)陷入尷尬境地。企業(yè)對(duì)于網(wǎng)絡(luò)的監(jiān)管以及采取必要的網(wǎng)絡(luò)安全措施是必不可少的。
1.企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)
作為儲(chǔ)存信息的重要場所-數(shù)據(jù)庫,擔(dān)負(fù)著管理整理和保護(hù)這一系列責(zé)任重大的任務(wù)。新生事物與問題一直以來都是并存的,數(shù)據(jù)庫的產(chǎn)生與數(shù)據(jù)庫安全問題也是并存的,并且隨著數(shù)據(jù)庫技術(shù)不斷發(fā)展問題不斷加深。 當(dāng)前,郵箱用戶密碼泄露等各種泄密門的頻繁發(fā)生,已經(jīng)為企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫安全敲響警鐘。對(duì)于數(shù)據(jù)庫的安全防護(hù)我們可以從以下幾方面入手。
對(duì)于特殊的訪問模式對(duì)象,數(shù)據(jù)庫應(yīng)該允許用戶在莎草操作的對(duì)象上特殊動(dòng)作模式。簡單而言,就是數(shù)據(jù)庫應(yīng)該允許一些特殊對(duì)象層上的訪問和使用數(shù)據(jù)庫機(jī)制。比如說在對(duì)一個(gè)數(shù)據(jù)庫進(jìn)行訪問的時(shí)候,部分用戶僅僅只能操作INSERT、SELECT的語句程序,像DELETE這樣的語句在這里將不被允許使用。對(duì)于用戶也可以分門別類的進(jìn)行安全管理策略。
對(duì)于普通用戶,管理員應(yīng)該在涉及所有用戶的權(quán)限管理方面加強(qiáng)考慮改善,要么就是用角色來管理控制用戶可用權(quán)限,要么就只允許少部分用戶使用數(shù)據(jù)庫,明確用戶權(quán)限,不適用角色。一般來說,對(duì)于用戶身份的確認(rèn),最簡單也是最直接的辦法就是用戶自行設(shè)置密碼,同這樣的方式與數(shù)據(jù)庫進(jìn)行連接。一個(gè)數(shù)據(jù)庫有大量的用戶使用的時(shí)候,管理員應(yīng)該將用戶分成若干用戶組來管理,并且創(chuàng)建各個(gè)用戶組的角色。管理員給予一個(gè)角色所應(yīng)有的權(quán)限,這樣也就把這些權(quán)限賦予了這些用戶。這使得管理更加條理明晰化。
當(dāng)然也有特殊例外情況,對(duì)于一些特殊權(quán)限,管理員必須明確權(quán)限到每一個(gè)用戶層面上。對(duì)于一個(gè)大的數(shù)據(jù)庫,應(yīng)該根據(jù)實(shí)際情況把管理員也分成幾個(gè)類型的,根據(jù)管理權(quán)限把管理員分割成幾個(gè)管理角色。對(duì)于操作系統(tǒng)的安全,管理員應(yīng)該具備管理操作系統(tǒng)的權(quán)限,這樣做是便于創(chuàng)建和刪除一些文件,保護(hù)數(shù)據(jù)庫環(huán)境良好。而一般的數(shù)據(jù)庫用戶不能擁有操作系統(tǒng)的權(quán)限,這便于保證數(shù)據(jù)庫必要的安全和其他用戶信息的保密性能。
還可以對(duì)數(shù)據(jù)庫進(jìn)行加密。目前大型數(shù)據(jù)庫平臺(tái)一般都是Windows NT/2000等,其對(duì)應(yīng)的安全等級(jí)基本都在C1\C2級(jí)別。雖然這些數(shù)據(jù)庫在網(wǎng)絡(luò)安全方面增加不少措施,但是在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)對(duì)數(shù)據(jù)庫文件本身的防護(hù)措施仍然不足。
網(wǎng)上黑客往往繞開這些防護(hù)措施直接通過對(duì)操作系統(tǒng)的工具的運(yùn)行篡改數(shù)據(jù)庫文件內(nèi)部的內(nèi)容。針對(duì)這一漏洞,一般采取的是B2級(jí)別的安全技術(shù)防護(hù)措施,增加對(duì)數(shù)據(jù)庫中的敏感數(shù)據(jù)的加密處理,達(dá)到阻塞這一黑客攻擊行為。
算法在適應(yīng)數(shù)據(jù)庫系統(tǒng)特點(diǎn)的前提下,對(duì)于加密和解密的速度要達(dá)到一定程度,通過加密算法對(duì)數(shù)據(jù)庫加密核心。把計(jì)算機(jī)硬盤的數(shù)據(jù)進(jìn)行備份和回復(fù),就會(huì)有效的防止因?yàn)閿?shù)據(jù)庫的損壞或泄漏而帶來的經(jīng)濟(jì)損失。一般來說,可以通過磁帶備份、硬盤備份和網(wǎng)絡(luò)備份三種方式來進(jìn)行數(shù)據(jù)的備份。
保存這些備份資料的物質(zhì)要存儲(chǔ)在異地,并且保存介質(zhì)要防火、防潮、防水和防磁。并且還要定期清潔備份設(shè)備,安裝報(bào)警設(shè)備,隔期檢查。除此之外,企業(yè)還應(yīng)該制定完備的數(shù)據(jù)備份策略,一般情況下,完全備份、增量備份和差分備份這三種備份策略結(jié)合使用。
2.企業(yè)網(wǎng)絡(luò)病毒的防范
網(wǎng)絡(luò)的運(yùn)行使得各種網(wǎng)絡(luò)病毒滋生,企業(yè)在加強(qiáng)用戶遵守和加強(qiáng)安全操作控制措施的前提下還應(yīng)該加強(qiáng)安全操作,靈活運(yùn)用硬件和軟件病毒工具,利用網(wǎng)絡(luò)優(yōu)勢,把病毒納入到網(wǎng)絡(luò)安全體系之中,形成一套完整的安全機(jī)制,使病毒得到有效的控制,不會(huì)在企業(yè)網(wǎng)絡(luò)中傳播。在思想和制度方面,應(yīng)該加強(qiáng)員工制度管理,打擊盜版,建立健全網(wǎng)絡(luò)安全管理制度。在技術(shù)方面,采取采取縱深防御方法,運(yùn)用多種阻塞渠道和安全機(jī)制對(duì)病毒進(jìn)行防范。
對(duì)于病毒的防范最根本的是操作系統(tǒng)的安全,開發(fā)并完善高性能安全的操作系統(tǒng),全面升級(jí)操作系統(tǒng),提高操作系統(tǒng)的安全性能,能有效提高對(duì)網(wǎng)絡(luò)病毒入侵的防范。還可以通過軟件過濾對(duì)病毒予以識(shí)別,隔離病毒,對(duì)于已經(jīng)存在在系統(tǒng)內(nèi)部的病毒,一般而言會(huì)采用系統(tǒng)參數(shù)分析之后,識(shí)別系統(tǒng)的不正常和惡意改變。
在數(shù)據(jù)庫后臺(tái)建立一個(gè)嚴(yán)密的病毒監(jiān)視系統(tǒng),可以大大提高病毒入侵的防止工作力度和效率。對(duì)于一些需要下載的、有附件的的文件,系統(tǒng)可以對(duì)其進(jìn)行實(shí)時(shí)掃描,存在異常則隔離處理,及時(shí)更新病毒庫,集中處理病毒,便于管理。
在網(wǎng)絡(luò)出口處進(jìn)行訪問控制,可以在出口處安裝防火器或者路由器,這樣也可以有效的防止內(nèi)部網(wǎng)絡(luò)中感染網(wǎng)絡(luò)病毒。只有建立一個(gè)有層次的、立體的、系統(tǒng)的防反病毒體系,才能有效地制止病毒在網(wǎng)絡(luò)內(nèi)的蔓延和傳播。