關(guān)于企業(yè)網(wǎng)絡安全防范措施有哪些
關(guān)于企業(yè)網(wǎng)絡安全防范措施有哪些
今天學習啦小編要跟大家講講企業(yè)網(wǎng)絡安全防范措施有哪些~下面是小編為大家整理的相關(guān)資料知識點,希望大家參考參考!!!
企業(yè)網(wǎng)絡安全防范措施一:
隨著Internet/Intranet技術(shù)的飛速發(fā)展和廣泛應用,網(wǎng)絡安全問題愈來愈突出,已成為當前的一大技術(shù)熱點。黑客技術(shù)的公開和有組織化,以及網(wǎng)絡的開放性使得網(wǎng)絡受到攻擊的威脅越來越大。而企業(yè)對這一問題嚴重性的認識和所具備的應付能力還遠遠不夠。加上管理不當,應用人員水平參差不齊,沒有有效的方式控制網(wǎng)絡的安全狀況,企業(yè)理想中的安全與實際的安全程度存在巨大的差距。
1、網(wǎng)絡安全面臨的威脅
(1)、人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。
(2)、人為的惡意攻擊,來自內(nèi)部的攻擊者往往會對內(nèi)部網(wǎng)安全造成最大的威脅,因為他們本身就是單位內(nèi)部人員,對單位的業(yè)務流程,應用系統(tǒng),網(wǎng)絡結(jié)構(gòu)甚至是網(wǎng)絡系統(tǒng)管理非常熟悉,而這些人員對Intranet發(fā)起攻擊的成功率可能最高,造成的損失最大,所以這部分攻擊者應該成為我們要防范的主要目標。
(3)、網(wǎng)絡軟件的漏洞和“后門”網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡內(nèi)部的事件大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,可一旦“后門”洞開,其造成的后果將不堪設想。
(4)、互聯(lián)網(wǎng)絡的不安全因素,國際互聯(lián)網(wǎng)絡是跨越時空的,所以安全問題也是跨越時空的。雖然我們國家的網(wǎng)絡不發(fā)達,但是我們遭到的安全危險卻是同國外一樣的,這是一個很嚴重的問題。在不同的行業(yè),所遭受的攻擊因行業(yè)和網(wǎng)絡服務的不同而不同。在電信或者ICP市場,進攻服務系統(tǒng)比較多;而在銀行業(yè),對數(shù)據(jù)系統(tǒng)的進攻相對更頻繁;政府方面,對服務的進攻,尤其是其信息發(fā)布系統(tǒng)很頻繁。
(5)、病毒入侵,目前,網(wǎng)絡病毒種類繁多,病毒很容易通過互聯(lián)網(wǎng)或其他途徑(如通過各接入點、日常維護操作、磁盤、其他外網(wǎng))進入網(wǎng)絡內(nèi)部各服務器,造成網(wǎng)絡擁塞、業(yè)務中斷、系統(tǒng)崩潰。而現(xiàn)在流行的各種新型網(wǎng)絡病毒,將網(wǎng)絡蠕蟲、計算機病毒、木馬程序合為一體,發(fā)展到融和了多種技術(shù)于一體,互相利用和協(xié)同,已不僅僅是單一的攻擊和漏洞利用,使系統(tǒng)自身防不勝防。病毒發(fā)作對系統(tǒng)數(shù)據(jù)的破壞性、和系統(tǒng)本身都將會造成很大的影響。
2、網(wǎng)絡攻擊的一般方法
從黑客的角度來看,黑客可以利用的方式多種多樣,包括:
(1)使用探察軟件,猜測和分析操作系統(tǒng)類別、網(wǎng)絡提供服務、網(wǎng)絡的結(jié)構(gòu)等;
(2)使用強制攻擊軟件對網(wǎng)絡進行攻擊,例如針對POP的強行的密碼猜解,SQL的密碼猜解等;
(3)使用漏洞掃描工具,發(fā)現(xiàn)漏洞,進而采用緩存溢出等手段直接或者間接的獲取系統(tǒng)超級用戶權(quán)限;如系統(tǒng)平臺自身由于漏洞被黑客利用,將直接導致全廠業(yè)務服務的中斷。
(4)使用木馬進行非法連接;
(5)利用疏忽的數(shù)據(jù)庫簡單配置,例如超級管理員密碼簡單甚至為空或者用戶密碼和用戶名相同等漏洞,獲取數(shù)據(jù)庫的某些權(quán)限,進而獲得系統(tǒng)的權(quán)限。
(6)利用可信任的關(guān)系進行攻擊,例如深圳電信網(wǎng)站的某些數(shù)據(jù)庫設定的訪問地址,這樣黑客可以先攻擊這些被數(shù)據(jù)庫信任的地址進行逐“跳”的攻擊。
(7)DDOS攻擊,使用各種工具進行洪水攻擊;利用漏洞的拒絕服務攻擊。
3、企業(yè)網(wǎng)絡安全防護措施
根據(jù)企業(yè)網(wǎng)絡系統(tǒng)的實際防護需要,必須保護的內(nèi)容包括:Web主機(門戶網(wǎng)站、OA系統(tǒng)等基于Web訪問的主機),數(shù)據(jù)庫主機,郵件服務器等,網(wǎng)絡入口,內(nèi)部網(wǎng)絡檢測。對企業(yè)重要的是有效防護Web服務器的非法訪問和網(wǎng)頁被非法修改,防護數(shù)據(jù)庫服務器數(shù)據(jù)被非授權(quán)用戶非法訪問或被黑客篡改、刪除。一旦發(fā)現(xiàn)服務器遭入侵或網(wǎng)頁被篡改,能進行及時報警和恢復處理。
(1)防火墻,在外部網(wǎng)絡同內(nèi)部網(wǎng)絡之間應設置防火墻設備。如通過防火墻過濾進出網(wǎng)絡的數(shù)據(jù);對進出網(wǎng)絡的訪問行為進行控制和阻斷;封堵某些禁止的業(yè)務;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡攻擊的監(jiān)測和告警。禁止外部用戶進入內(nèi)部網(wǎng)絡,訪問內(nèi)部機器;保證外部用戶可以且只能訪問到某些指定的公開信息;限制內(nèi)部用戶只能訪問到某些特定的Intenet資源,如WWW服務、FTP服務、TELNET服務等;防火墻產(chǎn)品本身具有很強的抗攻擊能力。使用硬件防火墻,管理和維護更加方便有效。
(2)、入侵檢測系統(tǒng),企業(yè)內(nèi)部主機操作系統(tǒng)種類一般在兩種以上,而目前漏洞攻擊手法大部分是基于操作系統(tǒng)已有的安全漏洞進行攻擊,通過使用防火墻設備可以防范大部分的黑客攻擊,但是有些攻擊手法是通過防火墻上開啟的正常服務來實現(xiàn)的,而且防火墻不能防范內(nèi)部用戶的惡意行為和誤操作。通過使用入侵檢測系統(tǒng),可以監(jiān)視用戶和系統(tǒng)的運行狀態(tài),查找非法用戶和合法用戶的越權(quán)操作;檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補漏洞;對用戶非法活動的統(tǒng)計分析,發(fā)現(xiàn)攻擊行為的規(guī)律;檢查系統(tǒng)程序和數(shù)據(jù)的一致性和正確性;能夠?qū)崟r對檢測到的攻擊行為進行反應。
(3)網(wǎng)絡漏洞掃描入侵者一般總是通過尋找網(wǎng)絡中的安全漏洞來尋找入侵點。進行系統(tǒng)自身的脆弱性檢查的主要目的是先于入侵者發(fā)現(xiàn)漏洞并及時彌補,從而進行安全防護。由于網(wǎng)絡是動態(tài)變化的:網(wǎng)絡結(jié)構(gòu)不斷發(fā)生變化、主機軟件不斷更新和增添;所以,我們必須經(jīng)常利用網(wǎng)絡漏洞掃描器對網(wǎng)絡設備進行自動的安全漏洞檢測和分析,包括:應用服務器、WWW服務器、郵件服務器、DNS服務器、數(shù)據(jù)庫服務器、重要的文件服務器及交換機等網(wǎng)絡設備,通過模擬黑客攻擊手法,探測網(wǎng)絡設備中存在的弱點和漏洞,提醒安全管理員,及時完善安全策略,降低安全風險。
(4)、防病毒系統(tǒng)要防止計算機病毒在網(wǎng)絡上傳播、擴散,需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源,才能保證整個網(wǎng)絡免除計算機病毒的干擾,避免網(wǎng)絡上有害信息、垃圾信息的大量產(chǎn)生與傳播。單純的殺毒軟件都是單一版系統(tǒng),只能在單臺計算機上使用,只能保證病毒出現(xiàn)后將其殺滅,不能阻止病毒的傳播和未知病毒的感染;若一個用戶沒有這些殺毒軟件,它將成為一個病毒傳染源,影響其它用戶,網(wǎng)絡傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來考慮,才能較好的達到徹底預防和清除病毒的目的。
因此,使用網(wǎng)絡防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進出企業(yè)網(wǎng)的病毒、郵件病毒進行有效的清除,并提供基于網(wǎng)絡的單機殺毒能力。網(wǎng)絡病毒防護系統(tǒng)能保證病毒庫的及時更新,以及對未知病毒的稽查。另外,要提高網(wǎng)絡運行的管理水平,有效地、全方位地保障網(wǎng)絡安全。
4、企業(yè)網(wǎng)絡安全解決方案
廣義的計算機系統(tǒng)安全的范圍很廣,它不僅包括計算機系統(tǒng)本身,還包括自然災害(如雷電、地震、火災等),物理損壞(如硬盤損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故等。
狹義的系統(tǒng)安全包括計算機主機系統(tǒng)和網(wǎng)絡系統(tǒng)上的主機、網(wǎng)絡設備和某些終端設備的安全問題,主要針對對這些系統(tǒng)的攻擊、偵聽、欺騙等非法手段的防護。以下所有的計算機系統(tǒng)安全均是狹義的系統(tǒng)安全范疇。規(guī)劃企業(yè)網(wǎng)絡安全方案,要根據(jù)企業(yè)的網(wǎng)絡現(xiàn)狀和網(wǎng)絡安全需求,結(jié)合網(wǎng)絡安全分析,一是需要加強對網(wǎng)絡出口安全方面的控制和管理,防止安全事故的發(fā)生;二是加強內(nèi)部網(wǎng)絡訪問控制,以業(yè)務分工來規(guī)劃網(wǎng)絡,限制網(wǎng)絡用戶的訪問范圍;同時增加網(wǎng)絡安全檢測設備,對用戶的非法訪問進行監(jiān)控。我們建議,企業(yè)的安全解決方案一般應有下面一些做法:
(1)在Internet接入處,放置高性能硬件防火墻(包括防火墻+帶寬管理+流探測+互動IDS等)。防火墻要支持包過濾和應用級代理兩種技術(shù),具有三種管理方式,能夠很方便的設置防火墻的各種安全策略,并且能夠與網(wǎng)絡入侵檢測系統(tǒng)進行互動,相互配合,阻擋黑客的攻擊。
(2)在內(nèi)網(wǎng)快速以大網(wǎng)交換機上連接一個網(wǎng)絡入侵檢測系統(tǒng),對進入內(nèi)網(wǎng)的數(shù)據(jù)包進行檢查,確保沒有惡意的數(shù)據(jù)包進入,從而影響內(nèi)網(wǎng)數(shù)據(jù)服務器的正常工作。
(3)使用互聯(lián)網(wǎng)入侵檢測系統(tǒng)對DMZ區(qū)和內(nèi)網(wǎng)的服務器(包括Web服務器/應用服務器、數(shù)據(jù)服務器、DNS服務器、郵件服務器和管理服務器等),以及桌面計算機進行掃描和評估,進行人工安全分析,以確定其存在的各種安全隱患和漏洞,并根據(jù)掃描的結(jié)果提出加固建議,保護企業(yè)網(wǎng)絡系統(tǒng)的正常工作。
(4)在各主要服務器上安裝服務器防病毒產(chǎn)品,對服務器進行病毒防護,確保病毒不會進入各服務器,并且不會通過服務器進行傳播。
(5)用一臺專用的PC服務器安裝服務器防病毒系統(tǒng),并在內(nèi)網(wǎng)上安裝工作站防病毒產(chǎn)品,通過服務器防病毒系統(tǒng)對這些工作站進行管理和升級。
企業(yè)網(wǎng)絡安全防范措施二:
病毒侵襲幾乎有計算機的地方,就有出現(xiàn)計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi),伺機進行自我復制,并能夠通過網(wǎng)絡、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大,所以它的危害最能引起關(guān)注。病毒的“毒性”不同,輕者只會玩笑性地在受害機器上顯示幾個警告信息,重則有可能破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡的安全。
殺毒軟件是對付病毒的最好方法之一。然而,如果沒有“憂患意識”,很容易陷入“盲從殺毒軟件”的誤區(qū)。據(jù)最新統(tǒng)計顯示:被調(diào)查的近千家企業(yè)中約有百分之八十把單機版殺毒軟件當作網(wǎng)絡版使用;這些企業(yè)網(wǎng)絡安全防范意識非常薄弱,超過八成的計算機曾經(jīng)被病毒入侵過。因此,光有工具不行,還必須在意識上加強防范,并且注重操作的正確性;重要的是在企業(yè)培養(yǎng)集體防毒意識,部署統(tǒng)一的防毒策略,高效、及時地應對病毒的入侵。
黑客入侵
隨著越來越多黑客案件的報道,企業(yè)不得不意識到黑客的存在。一般來說,黑客常用的入侵動機和形式可以分為兩種。
拒絕服務(DOS,DENIAL-OF-SERVICE)攻擊這類攻擊一般能使單個計算機或整個網(wǎng)絡癱瘓,黑客使用這種攻擊方式的意圖很明顯,就是要阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的商務活動。例如,通過破壞兩臺計算機之間的連接而阻止用戶訪問服務;通過向企業(yè)的網(wǎng)絡發(fā)送大量信息而堵塞合法的網(wǎng)絡通信,最后不僅摧毀網(wǎng)絡架構(gòu)本身,也破壞整個企業(yè)運作。
非法入侵非法入侵是指黑客利用企業(yè)網(wǎng)絡的安全漏洞訪問企業(yè)內(nèi)部網(wǎng)絡或數(shù)據(jù)資源,從事刪除、復制甚至毀壞數(shù)據(jù)的活動。無論入侵的人是誰,和企業(yè)有著怎樣的關(guān)系,這種入侵行為都可能致使公司停工、增加清除成本或數(shù)據(jù)被竊而造成無法挽回的損失。除此之外,非法入侵對于企業(yè)的品牌形象、客戶信賴度、市場占有率甚至股價都有潛在性的影響。在未來,黑客入侵將具備企業(yè)殺手的潛力,企業(yè)不得不加以謹慎預防。
從技術(shù)層次分析,試圖非法入侵的黑客,或者通過猜測程序?qū)孬@的用戶賬號和口令進行破譯,以便進入系統(tǒng)后做更進一步的操作;或者利用服務器對外提供的某些服務進程的漏洞,獲取有用信息從而進入系統(tǒng);或者利用網(wǎng)絡和系統(tǒng)本身存在的或設置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘,以獲取進一步的有用信息;或者通過系統(tǒng)應用程序的漏洞獲得用戶口令,侵入系統(tǒng)。
由上述諸多入侵方式可見,遭遇黑客入侵恐怕是難免的,企業(yè)可以做的是如何盡可能降低危害程度。除了采用防火墻、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外,對安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡上專門機構(gòu)公布的常見入侵行為特征數(shù)據(jù)—通過分析這些數(shù)據(jù),企業(yè)可以形成適合自身的安全性策略,努力使風險降低到企業(yè)可以接受且可以管理的程度。
企業(yè)網(wǎng)絡安全防范措施三:
在當今網(wǎng)絡化的世界中,計算機信息和資源很容易遭到各方面的攻擊。一方面,來源于Internet,Internet給企業(yè)網(wǎng)帶來成熟的應用技術(shù)的同時,也把固有的安全問題帶給了企業(yè)網(wǎng);另一方面,來源于企業(yè)內(nèi)部,因為是企業(yè)內(nèi)部的網(wǎng)絡,主要針對企業(yè)內(nèi)部的人員和企業(yè)內(nèi)部的信息資源,因此,企業(yè)網(wǎng)同時又面臨自身所特有的安全問題。網(wǎng)絡的開放性和共享性在方便了人們使用的同時,也使得網(wǎng)絡很容易遭受到攻擊,而攻擊的后果是嚴重的,諸如數(shù)據(jù)被人竊取、服務器不能提供服務等等。隨著信息技術(shù)的高速發(fā)展,網(wǎng)絡安全技術(shù)也越來越受到重視,由此推動了防火墻、人侵檢測、虛擬專用網(wǎng)、訪問控制等各種網(wǎng)絡安全技術(shù)的蓬勃發(fā)展。 企業(yè)網(wǎng)絡安全是系統(tǒng)結(jié)構(gòu)本身的安全,所以必須利用結(jié)構(gòu)化的觀點和方法來看待企業(yè)網(wǎng)安全系統(tǒng)。企業(yè)網(wǎng)安全保障體系分為4個層次,從高到低分別是企業(yè)安全策略層、企業(yè)用戶層、企業(yè)網(wǎng)絡與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術(shù)防范系統(tǒng),常見的企業(yè)網(wǎng)安全技術(shù)有如下一些。
VLAN(虛擬局域網(wǎng))技術(shù) 選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡安全保障。VLAN指通過交換設備在網(wǎng)絡的物理拓撲結(jié)構(gòu)基礎上建立一個邏輯網(wǎng)絡,它依*用戶的邏輯設定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng),劃分的依據(jù)可以是設備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡流量、防止廣播風暴,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個網(wǎng)絡的信息。
網(wǎng)絡分段 企業(yè)網(wǎng)大多采用以廣播為基礎的以太網(wǎng),任何兩個節(jié)點之間的通信數(shù)據(jù)包,可以被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此,黑客只要接人以太網(wǎng)上的任一節(jié)點進行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包,對其進行解包分析,從而竊取關(guān)鍵信息。網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離,從而達到限制用戶非法訪問的目的。
硬件防火墻技術(shù) 任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護防火墻,因此防火墻在網(wǎng)絡安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡的邊緣,這使得內(nèi)部網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離,并限制網(wǎng)絡互訪從而保護企業(yè)內(nèi)部網(wǎng)絡。設置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設立唯一的通道,簡化網(wǎng)絡的安全管理。
入侵檢測技術(shù) 入侵檢測方法較多,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應用層入侵檢測中已有實現(xiàn)。