《2022年企业网络信息安全保护措施探讨与实践.docx》由会员分享,可在线阅读,更多相关《2022年企业网络信息安全保护措施探讨与实践.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品学习资源企业网络信息安全爱护措施的探讨与实践随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视;一个安全的运算机网络应当具有牢靠性、可用性、完整性、保密性和真实性等特点;运算机网络不仅要爱护运算机网络设备安全和运算机网络系统安全,仍要爱护数据安全;网络安全风险分析运算机系统本身的脆弱性和通信设施的脆弱性共同构成了运算机网络的潜在威逼;信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上发布信息和猎取信息;这样,网络信息安全问题就成为危害网络进展的核心问题,与外界的因特网连接使信息受侵害的问题特殊严峻;目前企业
2、网络信息的担心全因素来自病毒、黑客、木马、垃圾邮件等几个方面;运算机病毒是一种危害运算机系统和网络安全的破坏性程序;它可以直接破坏运算机数据信息,也可以大量占用磁盘空间、抢占系统资源从而干扰了系统的正常运行;随着 Internet 技术的进展、企业网络环境的日趋成熟和企业网络应用的增多,病毒的感染、传播的才能和途径也由原先的单一、简洁变得 复杂、隐藏,特殊是 Internet 环境和企业网络环境为病毒传播、生存供应了环境;欢迎下载精品学习资源大事层出不穷;黑客利用运算机系统、网络协议及数据库等方面的漏洞 和缺陷,采纳破解口令 password cracking、天窗 trapdoor 、后门b
3、ackdoor、特洛伊木马 Trojan horse 等手段侵入运算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器;一般大型企业的网络都拥有Internet 连接,同时对外供应的WWW 和 EMAIL等服务;因此企业内部网络通过Internet 连接外部进行大量的信息交换,而其中大约80% 信息是电子邮件,邮件中又有一半以上的邮件是垃圾邮件,这一比例仍在逐年上升;企业局域网内部的信息安全更是不容忽视的;网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序
4、入侵他人主机的现象;因此, 网络安全不仅要防范外部网,同时更防范内部网;网络安全措施由此可见,有众多的网络安全风险需要考虑,因此,企业必需实行统一的安全策略来保证网络的安全性;一个完整的安全技术和产品包 括:身份认证、拜访掌握、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全大事的缘由就包括技术因素、治理因素以及安全架构设计上的疏漏等问题;1. 外部入侵的防范措施欢迎下载精品学习资源IP 层是 TCP/IP 网络中最关键的一层, IP 作为网络层协议,其安全机制可对其上层的各种应用服务供应透亮的掩盖式安全爱护;因此,IP 安全是整个 TCP/IP 安全的基础,是网络安全
5、的核心;IPSec 是目前唯独一种能为任何形式的Internet 通信供应安全保证的协议; IPSec 答应供应逐个数据流或者逐个连接的安全,所以能实现特别细致的安全控制;对于用户来说,便可以对于不同的需要定义不同级别地安全爱护即不同爱护强度的 IPSec 通道 ;IPSec 为网络数据传输供应了数据秘密性、数据完整性、数据来源认证、抗重播等安全服务,使得数据在通 过公共网络传输时,不用担忧被监视、篡改和伪造;IPSec 是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全爱护机制来实现这些目的,而这些算法及其参数是储存在进行IPSec 通信两端的 SASecurity Associat
6、ion,安全联盟 ,当两端的 SA中的设置匹配时,两端就可以进行IPSec 通信了;在虚拟专用网 VPN 中主要采纳了 IPSec 技术;2防火墙防火墙是一种网络安全保证手段,是网络通信时执行的一种拜访控制尺度,其主要目标就是通过掌握进、出一个网络的权限,在内部和外部两个网络之间建立一个安全掌握点,对进、出内部网络的服务和拜访进行掌握和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,拜访、干扰和破坏内部网络资源;在规律上,防火墙是一个分别欢迎下载精品学习资源器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全;防火墙有软、硬件之分
7、,实现防火墙功能的软件,称为软件防火 墙;软件防火墙运行于特定的运算机上,它需要运算机操作系统的支 持;基于专用的硬件平台的防火墙系统,称为硬件防火墙;它们也是基于 PC 架构,运行一些经过裁剪和简化的操作系统,承载防火墙软件;3入侵检测部署入侵检测产品,并与防火墙联动,以监视局域网外部绕过或透过防火墙的攻击,并准时触发联动的防火墙准时关闭该连接;同时监视主服务器网段的反常行为,以防止来自局域网内部的攻击或无意的误用及滥用行为;入侵检测是防火墙的合理补充,帮忙系统应付网络攻击, 扩展了系统治理员的安全治理才能;2. 内部非法活动的防范措施1身份认证网络安全身份认证是指登录运算机网络时系统对用户
8、身份的确认技术;是网络安全的第一道防线,也是最重要的一道防线;用户在拜访安全系统之前,第一经过身份认证系统识别身份,然后拜访监控器依据用户的身份和授权数据库打算用户是否能够拜访某个资源;授权数据库由安全治理员依据需要进行配置;欢迎下载精品学习资源实时或非实时地检测是否有入侵行为;拜访掌握和审计系统都要依靠于身份认证系统供应的用户的身份;身份认证在安全系统中的位置极其重要,是最基本的安全服务,其它的安全服务都要依靠于它;一旦身份认证系统被攻破,那么系统的全部安全措施将形同虚设;黑客攻击的目标往往就是身份认证系统,因此身份认证明在是网络安全的关键;(2) 拜访掌握拜访掌握打算了用户可以拜访的网络范
9、畴、使用的协议、端口;能拜访系统的何种资源以及如何使用这些资源;在路由器上可以建立拜访掌握列表,它是应用在路由器接口的指令列表,这些指令列表用来告知路由器哪些数据包可以接收、哪些数据包需要拒绝;至于数据包是被接收仍是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来打算;建立拜访掌握列表后,可以限制网络流量,提高网络性能,对通信 流量起到掌握的手段,这也是对网络拜访的基本安全手段;由于拜访掌握列表 ACLAccess Control List的表项可以敏捷地增加,所以可以把ACL 当作一种网络掌握的有力工具,用来过滤流入和流出路由器接口的数据包;在应用系统中,拜访掌握的手段包括
10、用户识别代码、口令、登录控制、资源授权 例如用户配置文件、资源配置文件和掌握列表、授权核欢迎下载精品学习资源地猎取数据,依据授予的权限限制其对资源的利用范畴和程度;(3) 流量监测目前有许多因素造成网络的流量反常,如拒绝服务攻击DoS、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP 连接恳求等,很简洁使网络设备瘫痪;这些网络攻击,都是利用系统服务的漏洞或利用网络资源的有限性,在短时间内发动大规模网络攻击,消耗特定资源, 造成网络或运算机系统瘫痪;因此监控网络的反常流量特别重要;流量监测技术主要有基于 SNMP 的流量监测和基于 Netflow 的流量监测;基于 SNMP 的流量信息采集,
11、是通过提取网络设备 Agent 供应的 MIB 治理对象信息库 中收集一些具体设备及流量信息有关的变量;基于 SNMP 收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包 数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等;基于Netflow 流量信息采集是基于网络设备供应的 Netflow 机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和成效均能够满意网络流量反常监测的需求;基于以上的流量检测技术,目前有许多流量监控治理软件,此类软件是判定反常流量流向的有效工具,通过流量大小变化的监控,
12、可以帮忙网管人员发觉反常流量,特殊是大流量反常流量的流向,从而进一步查找反常流量的源、目的地址;欢迎下载精品学习资源接,也可以采纳拜访掌握列表进行包过滤或在路由器上进行流量限定的方法掌握反常流量;(4) 漏洞扫描对一个网络系统而言,存在担心全隐患,将是黑客攻击得手的关键因素;就目前的网络系统来说,在硬件、软件、协议的具体实现或系统安全策略方面都可能存在肯定的安全缺陷即安全漏洞;准时检测出网络中每个系统的安全漏洞是至关重要的;安全扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安全问题;漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序,按功能可分为:操作系统漏洞扫描、
13、网络漏洞扫描和数据库漏洞扫描;网络漏洞扫描系统,是指通过网络远程检测目标网络和主机系统漏洞的程序,它对网络系统和设备进行安全漏洞检测和分析,从而发觉可能被入侵者非法利用的漏洞;定期对网络系统进行漏洞扫描,可以主动发觉安全问题并在第一时间完成有效防护,让攻击者无隙可钻;(5) 防病毒企业防病毒系统应当具有系统性与主动性的特点,能够实现全方位多级防护; 考虑到病毒在网络中储备、传播、感染的方式各异且途径多种多样,相应地在构建网络防病毒系统时,应利用全方位的企业防毒欢迎下载精品学习资源对网络中全部可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口
14、;实例分析大庆石化局域网是企业网络,掩盖大庆石化机关、各生产厂和其他的二级单位,网络上运行着各种信息治理系统,储存着大量的重要数 据;为了保证网络的安全,针对运算机网络本身可能存在的安全问题, 在网络安全治理上我们实行了以下技术措施:1. 利用 PPPOE 拨号上网的方式登录局域网我们对网络用户实施了身份认证技术治理;用户采纳PPPOE 拨号方式上局域网,即用户在网络物理线路连通的情形下,需要通过拨号获得 IP 地址才能上局域网;我们选用华为ISN8850 智能 IP 业务交换机作为宽带接入服务器 BAS ,RADIUS 服务器作用户认证系统,每个用户都以实名注册,这样我们就可以治理用户的网上
15、行为,实现了对以太网 接入用户的治理;2. 设置拜访掌握列表在我们的网络中有几十台路由交换机,在交换机上我们配置了拜访 掌握列表,依据信息流的源和目的IP 地址或网段,使用答应或拒绝列表,更精确地掌握流量方向,并确保IP 网络免遭网络侵入;3. 划分虚拟子网欢迎下载精品学习资源对于网络安全要求特殊高的应用,如医疗保险和财务等,划分独立的虚 拟子网,并使其与局域网隔离,限制其他VLAN 成员的拜访,确保了信息的保密安全;4. 在网络出口设置防火墙在局域网的出口,我们设置了防火墙设备,并对防火墙制定安全策略,对一些担心全的端口和协议进行限制,使全部的服务器、工作站及网络设备都在防火墙的爱护之下,同
16、时配置一台日志服务器记录、储存防火墙日志,具体记录了进、出网络的活动;5. 部署 Symantec防病毒系统我们在大庆石化局域网内部署了Symantec 防病毒系统; Symantec系统具有跨平台的技术及强大功能,系统中心是中心治理掌握台;通过 该治理掌握台集中治理运行Symantec AntiVirus 企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒 防护策略,治理病毒定义文件的更新,掌握活动病毒,治理运算机组的 病毒防护、查看扫描、病毒检测和大事历史记录等功能;6. 利用高效的网络治理软件治理全网大庆石化局域网的网络环境比较复杂,含有多种cisco交换设
17、备、华为交换设备、路由设备以及其他一些接入设备,为了能够有效地网络,我们采纳了BT_NM 网络资源治理系统;欢迎下载精品学习资源统采纳物理拓扑的方法来自动生成网络的拓扑图,能够精确和直观地反映网络的实际连接情形,包括设备间的冗余连接、备份连接、均衡负载连接等,对拓扑结构进行层次化治理;通过网络软件的 IP 地址定位功能可以定位 IP 地址所在交换机的端口,有效解决了 IP 地址盗用、查找病毒主机网络黑客等问题;通过网络软件仍可实现对网络故障的监视、流量检测和治理,使网管人员能够对故障预警,以便准时实行措施,保证了整个网络能够坚持长时间的安全无故障运行;7. 建立了 VPN 系统虚拟专用网是对企
18、业内部网的扩展;它可以帮忙远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输;虚拟专用网可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网;为了满意企业用户远程办公需求,同时为了满意网络安全的要求, 我们在石化局域网中建立了VPN 系统; VPN 的核心设备为 Cisco的3825 路由器,远端子公司采纳Cisco 的 2621 路由器,动态接入设备采纳 Cisco 的 1700 路由器;8. 启动应用服务器的审计功能欢迎下载精品学习资源核和记录,保证了系统的安全;大庆石化局域网结构简图网络信息系统安全问题的解决依靠于技术和治理两方面,在实行技术措施保证网络安全的同时,我们仍建立健全网络信息系统安全治理体系,将各种安全技术与运行治理机制、人员思想训练与技术培训、安全规章制度建设相结合;通过以上治理机制和技术措施的实施,提高了网络安全性,降低了网络安全事故的风险,保证了网络长期平稳的运行; X229欢迎下载