第一篇:企業網絡安全管理三大原則
企業網絡安全管理三大原則
2009-01-21 09:01 作者:千里草 來源:中國IT實驗室
【簡 介】
在企業網絡安全管理中,為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。
在企業網絡安全管理中,為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。原則一:最小權限原則
最小權限原則要求我們在企業網絡安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問權限,而不提供其他額外的權限。
如企業現在有一個文件服務器系統,為了安全的考慮,我們財務部門的文件會做一些特殊的權限控制。財務部門會設置兩個文件夾,其中一個文件夾用來放置一些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件,只有企業高層管理人員才能查看,如企業的現金流量表等等。此時我們在設置權限的時候,就要根據最小權限的原則,對于普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對于其沒有訪問權限的文件夾,則服務器要拒絕其訪問。
最小權限原則除了在這個訪問權限上反映外,最常見的還有讀寫上面的控制。如上面這個財務部門有兩個文件夾A與B.作為普通員工,A文件夾屬于機密級,其當然不能訪問。但是,最為放置報銷憑證格式的文件夾B,我們設置普通員工可以訪問。可是,這個訪問的權限是什么呢?也就是說,普通員工對于這個文件夾下的文件具有哪些訪問權限?刪除、修改、抑或只有只讀?若這個報銷憑證只是一個格式,公司內部的一個通用的報銷格式,那么,除了財務設計表格格式的人除外,其他員工對于這個文件夾下的我文件,沒有刪除、修改的權限,而只有只讀的權限。可見,根據最小權限的原則,我們不僅要定義某個用戶對于特定的信息是否具有訪問權限,而且,還要定義這個訪問權限的級別,是只讀、修改、還是完全控制?
不過在實際管理中,有不少人會為了方便管理,就忽視這個原則。
如文件服務器管理中,沒有對文件進行安全級別的管理,只進行了讀寫權限的控制。也就是說,企業的員工可以訪問文件服務器上的所有內容,包括企業的財務信息、客戶信息、訂單等比較敏感的信息,只是他們不能對不屬于自己的部門的文件夾進行修改操作而已。很明顯,如此設計的話,企業員工可以輕易獲得諸如客戶信息、價格信息等比較機密的文件。若員工把這些信息泄露給企業的競爭對手,那么企業將失去其競爭優勢。
再如,對于同一個部門的員工,沒有進行權限的細分,普通員工跟部門經理具有同等等權限。如在財務管理系統中,一般普通員工沒有審核單據與撤銷單據審核的權限,但是,有些系統管理員往往為了管理的方便,給與普通員工跟財務經理同等的操作權利。普通員工可以自己撤銷已經審核了的單據。這顯然給財務管理系統的安全帶來了不少的隱患。
所以,我們要保證企業網絡應用的安全性,就一定要堅持“最小權限”的原則,而不能因為管理上的便利,而采取了“最大權限”的原則,從而給企業網絡安全埋下了一顆定時炸彈。
原則二:完整性原則
完整性原則指我們在企業網絡安全管理中,要確保未經授權的個人不能改變或者刪除信
息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。完整性原則在企業網絡安全應用中,主要體現在兩個方面。
一是未經授權的人,不等更改信息記錄。如在企業的ERP系統中,財務部門雖然有對客戶信息的訪問權利,但是,其沒有修改權利。其所需要對某些信息進行更改,如客戶的開票地址等等,一般情況下,其必須要通知具體的銷售人員,讓其進行修改。這主要是為了保證相關信息的修改,必須讓這個信息的創始人知道。否則的話,若在記錄的創始人不知情的情況下,有員工私自把信息修改了,那么就會造成信息不對稱的情況發生。所以,一般在信息化管理系統中,如ERP管理系統中,默認都會有一個權限控制“不允許他人修改、刪除記錄”。這個權限也就意味著只有記錄的本人可以修改相關的信息,其他員工最多只有訪問的權利,而沒有修改的權利。
二是指若有人修改時,必須要保存修改的歷史記錄,以便后續查詢。在某些情況下,若不允許其他人修改創始人的信息,也有些死板。如采購經理有權對采購員下的采購訂單進行修改、作廢等操作。遇到這種情況該怎么處理呢?在ERP系統中,可以通過采購變更單處理。也就是說,其他人不能夠直接在原始單據上進行內容的修改,其要對采購單進行價格、數量等修改的話,無論是其他人又或者是采購訂單的主人,都必須通過采購變更單來解決。這主要是為了記錄的修改保留原始記錄及變更的過程。當以后發現問題時,可以稽核。若在修改時,不保存原始記錄的話,那出現問題時,就沒有記錄可查。所以,完整性原則的第二個要求就是在變更的時候,需要保留必要的變更日志,以方便我們后續的追蹤。
若是針對文件服務器,則完整性就要求文件服務器能夠按時點進行恢復。對文件服務器中某個文件進行修改,我們可能很難記錄下修改的內容。文件服務器日志最多記錄某某時間、某某用戶對某個文件夾下的某個文件進行了哪種操作。但是,不會記錄下具體操作了什么內容。如把某個文件刪除了或者修改了某個文件的內容。此時,我們就需要文件服務器實現按時點進行恢復的功能。當用戶發現某個文件被非法修改時,要能夠恢復到最近的時刻。當然這個恢復需要針對具體的文件夾甚至是特定的文件,若把文件服務器中所有的文件都恢復了,那其他用戶就要叫死了。
總之,完整性原則要求我們在安全管理的工作中,要保證未經授權的人對信息的非法修改,及信息的內容修改最好要保留歷史記錄。
原則三:速度與控制之間平衡的原則
我們在對信息作了種種限制的時候,必然會對信息的訪問速度產生影響。如當采購訂單需要變更時,員工不能在原有的單據上直接進行修改,而需要通過采購變更單進行修改等等。這會對工作效率產生一定的影響。這就需要我們對訪問速度與安全控制之間找到一個平衡點,或者說是兩者之間進行妥協。
為了達到這個平衡的目的,我們可以如此做。
一是把文件信息進行根據安全性進行分級。對一些不怎么重要的信息,我們可以把安全控制的級別降低,從而來提高用戶的工作效率。如對于一些信息化管理系統的報表,我們可以設置比較低的權限,如在部門內部員工可以察看各種報表信息,畢竟這只是查詢,不會對數據進行修改。
二是盡量在組的級別上進行管理,而不是在用戶的級別上進行權限控制。我們試想一下,若公司的文件服務器上有50個員工帳戶,若一一為他們設置文件服務器訪問權限的話,那么我們的工作量會有多大。所以,此時我們應該利用組的級別上進行權限控制。把具有相同權限的人歸類為一組,如一個部門的普通員工就可以歸屬為一組,如此的話,就可以把用戶歸屬于這個組,我們只需要在組的級別上進行維護,從而到達快速管理與控制的目的。如我們在進行ERP等信息化管理系統的權限管理時,利用組權限控制以及一些例外控制規則,就可以實現對信息的全面安全管理,而且,其管理的效率也會比較高。
三是要慎用臨時權限。有時候,可能某個員工需要某個權限,如其需要導出客戶基本信息的權限,此時我們該怎么辦呢?一般情況下,為了防止客戶信息的泄露,我們是不允許用戶成批的導出客戶信息。但是,有時候出于一些諸如客戶信息備檔等方面的需要,用戶提出這方面權限的申請的時候,我們該如何處理呢?有些人喜歡給他們設置臨時權限來解決。我個人不怎么贊成這么處理。因為臨時權限比較難于管理,而且,一旦開了這個口的話,下次遇到類似問題的時候,他們就會頻繁的申請這些臨時權限。我遇到這種情況時,一般就讓他們去找有這種權限的人。如普通銷售員沒有客戶信息成批導出的權限,但是,銷售經理又這個權限,那么就讓銷售員告知他們的銷售經理,讓他們的銷售經理幫助其導出。而且如此處理的話,銷售經理也知道確實有這么一回事情。若我們盲目的給員工走后門、開綠色通道,那么就會增加數據泄露的風險。
第二篇:企業網絡安全管理技術分析
企業網絡安全管理技術分析
網絡技術的發展,促進了涉密網絡技術的應用和人們安全防范意識的增強。各種內外網安全管理的技術也隨之增多。加強安全的身份識別,個人行為管理的軟件,涉密文件的保護加密軟件,為了保護計算機系統而開發的防病毒軟件等,已經逐步被人們認識和接受,例如我們熟知的小草上網行為管理軟路由能有效對局域網加強監控,內容審計,防止企業信息信息泄露。
但是,這各種應用軟件都需要在個人的系統中安裝一個管理程序,都有一套自己獨立的工作方式和策略,都需要進行不同的分別化管理。這些系統獨立性明顯,各自的管理功能往往不夠全面,以點帶面的情況嚴重。在實際的應用中會產生負效應,比如:不同的軟件之間的功能重疊。不同的軟件都需要消耗額外的系統資源,導致沖突,引發系統穩定性下降;安全系統各自獨立,沒有統一的管理方式,出現安全事件的時候不具備聯合“作戰”的能力。
因此,表面看涉密網絡的安全管理軟件是實現了一定的防護功能,但是其增加的管理復雜性,又很難保證整體安全性的完整和統一。按照動態安全模式,一個安全系統的信息處理系統應具備:檢測、保護,效應這三個基本環節,以此保證系統的獨立工作的安全性。總之現代的涉密網絡安全管理技術缺乏一個整體性的平臺,將各種保護軟件進行必要的整合和優化,形成完整的保護及信息處理體系。
涉密網絡安全管理,主要的管理對象就是在網絡中威脅涉密網絡信息安全的用戶所采取的“非法”獲取數據的行為。這些“非法”主要是指利用技術手段違反安全規則,并以此獲得涉密信息。因此要進行安全管理就應當將不安全的用戶行為進行分類并進行相應的措施進行管理才能達到保證安全的目的。
首先網絡安全涉及的概念有這樣幾個:(1)涉密網絡,即存在有機密數據傳輸的內部網絡。(2)網絡行為,即用戶通過網絡的技術支持所實現的各種操作。(3)安全事件,即違反了某個個網絡安全規則,對網絡機密數據產生威脅的網絡事件,其中包括用戶、行為、時間這三個必備的屬性。4)安全行為,即針對產生網絡威脅安全事件的管理行為。包括的是時間,對象,動作這三個基本屬性。
通過對網絡安全事件的記錄和統計,可以發現違反網絡安全規則的行為可以是訪問敏感信息,竊聽、誤用、機密文件傳輸等。這些行為可以是主動的也可以足被動的,而其具體的行為就是竊聽、傳輸、訪問。具體看安全事件的行為有這樣幾個實例:(1)主動的訪問敏感的信息,包括HTTP、BBS、聊天軟件等。(2)誤用的網絡行為,包括誤用物理鏈接。將內外網絡連通,木馬病毒感染,導致內外信息被盜。(3)網絡竊聽,主要就是sniff行為。(4)機密文
件的傳輸,涉密網絡中的機密文件被非法的進行傳輸,包括郵件,聊天軟件、ftp文件等。
涉密網絡的安全管理系統構建
安全管理硬件結構
針對不同的網絡安全事件,涉密信息網絡的安全管理應當從幾個層面進行全面的安全防護體系的構建。其涉及的網絡系統包括,服務器、信息服務系統、數據庫服務系統,網絡存儲器等。
首先,應當明確應用服務器是內網絡實現連接和數據傳輸的重要通道。信息服務器、網絡存儲、數據服務器與應用服務器相互聯系實現涉密信息的封閉式傳輸。這里的應用服務器采用的服務運算模式,主要是遠程接入技術和軟件操作系統組成的策略技術為主導,專門負責基于網絡封閉計算的應用交互,是具備獨立計算模式應用的服務器,也是整個專網涉密信息安全傳輸的基礎。信息服務器和網絡存儲、數據庫服務器都是通過這個服務器所建立起來的通道進行涉密信息的傳遞,在一個封閉內網環境中接受指定用戶對涉密信息的應用請求,分別提供相應的瀏覽、存儲、交互等服務。同時也識別和拒絕某些非法的安全事件的發生,并利用自身的軟件系統來抵御主動的安全事件的訪問。
安全管理的軟件系統構建
(1)操作系統和應用軟件。這些軟件是最基本的網絡訪問接入軟件,而網絡訪問應用接入軟件可以對操作系統進行深入的訪問。為此,安全化管理從操作系統的基本運行機制入手將應用邏輯和操作界面分開,以實現整個內部網絡的封閉和安全。
(2)應用程序的完善,應用程序主要是在操作系統的基礎上形成的具有特定功能的用于程序,實際上在內部網絡是遠程接入軟件實現功能的對象,即遠程接入軟件實現連接后,就會使用這些應用程序完成某項操作,而達到訪問的目的。
(3)是最高級別的安全管理組件的應用,有:基本安全管理組件;傳輸監測組件,主要包括網絡數據捕獲、協議數據還原、敏感信息過濾及結果處理等四個子模塊;竊聽檢測組件,竊聽監測安全組件主要包括共享式網絡Sniff行為。
安全管理的具體措施
(1)客戶端卸載限制,客戶端經控制臺授權安裝,未經授權用戶將無法卸載,即卸載程序的存放和發起均在控制端,且客戶端的權限為使用權。(2)網絡連接限制,即客戶端通過控制臺分配的IP地址訪問內網,且1P地址與客戶端對應計算機的MAC地址綁定,做到一個IP地址對應一個MAC地址,從而將計算機進行戶籍管理,客戶端每次訪問內網時均自動與控制臺存儲的該計算機信息進行核對,既防止了非授權計算機接入內網,又能夠在違規事
件發生的第一時間鎖定違規計算機,控制或限制其行為。(3)登陸限制,可以采用KEY登陸方式,可以是USB KEY,也可以是密碼KEY,也可以將二者綁定,結合使用。設置密碼復雜度策略和控制密碼輸入次數策略,對登陸進行限制。(4)移動存儲器限制,移動存儲器在使用時應當在控制臺上進行注冊,并設計其經過控制臺的驗證方可使用。對沒有注冊的移動存儲器不予以驗證而無法使用。同時應保證沒有客戶端的計算機不能對其進行驗證,以此避免客戶利益非客戶端網絡進行數據的轉移和下載,保證涉密信息的安全。(5)客戶端的硬件限制,客戶端用戶在計算機上安裝的硬件設備可能存在失密隱患,諸如光驅,帶藍牙,紅外等無線收發數據的模塊。可以通過在控制臺配置策略將光驅、藍牙,紅外等接口關閉,策略下發到客戶端后即可控制相應端口的使用。以此保證非安全的硬件接入到涉密網絡中。
第三篇:網絡安全管理
摘 要
隨著計算機信息技術時代的飛速發展,計算機技術已經成為我們日常生活中的各種方面不可缺少的。無論是在商業、工業、農業、生活等方面都起著重大的作用,計算機信息技術是我們每個人生活中不可缺少的一部分。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。計算機的廣泛應用是我們新時代的通訊工具。由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅,病毒擴散、黑客攻擊、網絡犯罪等違法事件的數量迅速增長,網絡的安全問題越來越嚴峻。因此,如何提高計算機網絡的防御能力,增強網絡的安全措施,已成為當前急需解決的問題。否則網絡不僅不能發揮其有利的作用,甚至會危及國家、企業及個人的安全。
關鍵詞:計算機技術; 應用技術 網絡安全
緒論
計算機網絡的普及和網絡技術的發展深刻地改變了傳統的生產、經營、管理和生活方式,在構建信息防衛系統時,應著力發展自己獨特的安全產品,要想真正解決網絡安全問題,要從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。通過運用多種網絡安全技術,如數據加密技術、訪問控制、認證授權、防火墻、入侵檢測和防病毒等來實現信息安全。計算機網絡的高速發展帶給人類巨大利益的同時,也帶來了許多負面的影響,在網絡安全體系中,為了彌補 TCP/IP協議等各種安全漏洞,防火墻技術是很常用、很有效的防御系統,是網絡安全防護的重要組成部分。
一、網絡技術的安全性非常脆弱由于網絡技術
本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等缺陷,加上一些人為的因素,使得網絡信息的安全受到很大威脅。首先,TCP/IP 的協議集就存在安全缺點。由于在每一層,數據存在的方式和遵守的協議各不相同,而這些協議在開始制定時就沒有考慮到通信路徑的安全性,從而導致了安全漏洞。從純技術的角度上說,缺乏安全防護設備與管理系統、缺乏通信協議的基本安全機制、基于 HTTP 與FTP 上的應用軟件問題以及不夠完善的服務程序等都是產生系統安全漏洞的主要原因。其次,由于信息安全還處在初期發展階段,缺少網絡環境下用于產品評價的安全性準則和評價工具。加上許多網絡系統管理人員素質不高,缺乏安全意識,當系統安全受到威脅時,缺少應有的安全管理方法、步驟和安全對策,如事故通報、風險評估、改正安全缺陷、評估損失、相應的補救恢復措施等。
二、計算機網絡安全面臨的威脅影響計算機網絡安全的因素很多。
歸結起來,主要有 4 個方面: 1自然因素。主要包括自然災害的破壞,如地震、雷擊、洪水及其他不可抗拒的天災造成的損害。以及因網絡及計算機硬件的老化及自然損壞造成的損失。2無意失誤。誤操作引起文件被刪除,磁盤被格式化,或因為網絡管理員對網絡的設置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等,都會給網絡安全帶來威脅。3黑客攻擊。這是計算機網絡所面臨的最大威脅。此類攻擊又可分為兩種:一種是網絡攻擊,就是以各種方式有選擇地破壞對方信息的有效性和完整性;另一種是網絡偵察,就是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得對方重要的機密信息。4利用網絡軟件的漏洞和“后門”進行攻擊。軟件的“后門”都是軟件公司的編程設計人員為了自己方便而設置的,一般不為外人所知,一旦“后門”被洞開,所造成的后果不堪設想。
三、當今網絡攻擊的手段及發展趨勢
1.拒絕服務攻擊。攻擊的主要目的是使計算機及網絡無法提供正常的服務。它會破壞計算機網絡的硬件設備,破壞計算機網絡的各種配置,消耗計算機及網絡中不可再生的資源等。2.欺騙攻擊。黑客會利用 TCP/IP 協議本身的缺陷進行攻擊,或者進行 DNS 欺騙和 Web 欺騙。
3.通過協同工具進行攻擊。各種協同工具使用的增長,可能導致泄漏機密商業數據。4.對移動設備的攻擊。2005 年以來,手機、PDA 及其他無線設備感染惡意軟件的數量在激增,但因為其不能靠自身傳播,所以還沒有大規模爆發。但今后仍需要關注它的發展趨勢。5.電子郵件攻擊。2005 年,英國電子郵件安全公司MessageLabs 每周攔截大約 2 至 3 次有目標的電子郵件攻擊,而 2004 年這一數字還小得幾乎可以忽略,這標志著網絡攻擊的性質和目的都發生了轉變。這些攻擊常常針對政府部門、軍事機構及其他大型組織。總而言之,根據攻擊能力的組織結構程度和使用的手段,可以將威脅歸納為四種基本類型:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。
四、網絡信息安全的技術保障策略不安全的網絡一旦遭到惡意攻擊,將會造成巨大的損失。目前,技術措施仍是最直接、最常用和有效的的屏障。技術保障策略主要有如下幾種。
1.密碼技術。包括加密與解密技術。加密是網絡與信息安全保密的重要基礎。它是將原文用某種既定方式規則重排、修改,使其變為別人讀不懂的密文。解密則是將密文根據原加密方法還原。目前,已成熟的加密方法有很多,如替換加密、移位加密、一次性密碼本加密、序列密碼等。2.數字簽名。對于網絡上傳輸的電子文檔,可使用數字簽名的方法來實現內容的確認。簽名有兩個鍵,一是簽名不能被仿照,二是簽名必須與相應的信息捆綁在一起。保證該信息就是簽名欲確認的對象,以解決偽造、抵賴、冒充和篡改等安全問題。數字簽名采用一種數據交換協議,使得收發數據的雙方能夠滿足兩個條件:接受方能夠鑒別發送方的身份;發送方不能否認他發送過數據這一事實。數據簽名一般采用不對稱加密技術,發送方對整個明文進行加密變換,得到一個值,將其作為簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。3.鑒別。鑒別的目的是驗明用戶或信息的正身。對實體聲稱的身份進行惟一識別,以便驗證其訪問請求,或保證信息來源以驗證消息的完整性,有效地對抗非法訪問、冒充、重演等威脅。按照鑒別對象的不同,鑒別技術可以分為消息鑒別和通信雙方相互鑒別;按照鑒別內容不同,鑒別技術可以分為用戶身份鑒別和消息內容鑒別。4.網絡訪問控制策略。訪問控制是網絡安全防范和保護的主要策略,主要任務是保證網絡資源不被非法使用和訪問。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。目前進行網絡訪問控制的方法主要有:MAC 地址過濾VLAN 隔離、IEEE802.1Q 身份驗證、基于 IP 地址的訪問控制列表和防火墻控制等。
五、網絡安全任重道遠據國際調查顯示,目前有 55的企業網沒有自己的安全策略。
僅靠一些簡單的安全措施來保障網絡安全,這些安全措施可能存在互相分立、互相矛盾、互相重復、各自為戰等問題,既無法保障網絡的安全可靠,又影響網絡的服務性能,并且隨著購物運行而對安全措施進行不斷的修補,使整個安全系統變得臃腫,難以使用和維護。這些都是迫切需要解決的問題,只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,避免國家、企業或個人的損失。所以,網絡安全仍任重道遠。
六、企業信息化為管理者提供了一個和員工面對面交流的平臺,能具體了解到員工的想法和工作情況,有效的保證了管理的規范化。
1企業通訊運用了計算機網絡技術,從而縮短了企業空間距離,實現了各部門“近距離”聯系和控制。許多現代企業管理中運用了騰訊通和 OA 系統等一些計算機技術,大大拉近了
公司管理者和員工之間的距離。這種管理不但使公司更加的和諧,還是決策層的決策更加的正確。企業實行這種管理和監控有效的保障了公司的運作,加快了公司的管理結構的優化,甚至是加快管理層次的轉變,從而實現企業的扁平化管理。公司會議有傳統的人人到場轉向現在的視頻會議和網絡會議,這樣不但節約了參與者的時間,還加快了整個企業的運行效率。網絡會議正逐漸的代替傳統的會議模式成為企業會議主要方式,它的出現不僅為企業節約了成本,還在很大某種程度上促進了企業管理的進步以及提高員工自身素質。隨著計算機網絡技術的進步,各行各業的企業使用的通訊軟件也不斷更新,這些軟件的作用也日益凸顯。快速傳遞信息的軟件使企業各部門間的溝通更加順暢。2計算機技術能夠準確而快速的分析企業信息。對信息的準確把握和分析是企業決策層做出正確決策的可靠依據。企業的規模不斷擴大,其內部信息量也會逐步擴大,各層的信息匯集量也會越來越大,而大量的信息需要專門的人員進行管理和分析。傳統的信息的匯總和分析都是依靠人力來解決的,但其效率和效果都不能讓人滿意。此外,通過人力來匯總會導致信息丟失和信息失真,進一步導致企業決策層做出錯誤決策,給企業帶來巨大的經濟損失。計算機技術具備運行效率高,計算準確等優點,真好彌補了人為的不足。計算機技術的這些優勢真好符合企業對信息的處理。企業信息的收集和處理利用大量計算機技術,將會是企業介紹大量的成本和人力。利用現代信息技術處理信息給企業決策層提高可靠的依據。使決策更加的科學和合理,這也是現代企業健康發展的具體表現。
七、計算機技術在財務工作中的應用
1企業財務數據監控 利用計算機技術,從而保證了企業財務信息的準確性。企業的核心部門就是財務系統,其對企業起著著重要的作用,財務系統的數據準確性將直接關系到企業的決策和發展方向。轉貼 計算機技術的集成性能對企業的財務數據進行全面監控,從而決策層能夠隨時的獲取正確的財務數據,并能做出正確科學的決策。2企業的財務分析 運用計算機技術,從而保證了企業財務分析的合理性和準確性。計算技術利用其自身的邏輯性,用于財務分析,為企業提供科學的分析數據和分析結果,實現財務分析數據的科學化,避免人工誤差,幫助企業朝著正確的方向健康發展。
八、計算機技術在企業運營方面的應用
1計算機技術的集成性使得企業人力管理更加安全和順暢。企業的人力資本是企業發展的核心資本因而備受企業關注,計算機技術通過集成人力管理的各個模塊,實現人力的動態管理和數據化分析,保證企業可以及時得到企業人力的狀況和前景分析,提高企業對于人才的預警能力和風險防范能力,從而使得決策層可以快速做出反應,保障企業人力安全。計算機技術在人力資本管理上的應用還表現在其先進的信息收集系統,可以為企業收集和儲備大量的備用人才,在企業發展過程中不斷為企業提供強有力的人才保障和人力資本輸入。企業人力資源部門可以利用計算機技術大規模的減少工作量,從而減少人力管理成本,實現企業利潤的最大化和企業人力資本儲備的最大化以及人力資本運用的科學化。在人力成本核算上,計算機技術可以集成財務與人力的雙重功效,實現資源和信息的共享,從而提高企業的運作效率,提高人力決策的準確性和科學性。2計算機技術為企業采購及物流儲運提供有序的保障。企業的采購及物流儲運系統需要順暢的流程和密切的協同才能發揮其作用,為企業發展提供強有力的保障。計算機技術通過各類系統集成,可以實現采購、儲運、物流的最優化配置,實現效益的最大化和成本的最低化,從而在保障企業產品供應的前提下,實現利潤最大化。科學的計算機技術在運營調配中起著以往人力無法達到的作用,強大的運算能力保障了其作為調配中心的作用,安全快速的調配方案保證了企業在高速發展的同時降低自身成本,獲得客戶認同。
結束語
計算機信息管理技術是新時代的管理系統,計算機信息管理的應用事首要的出發點,也是我們生活的不可缺的。計算機信息管理專業具有知識覆蓋面廣的特點,對學生素質的要求絕不僅僅局限于技術層面。隨著我們社會經濟生活的發展,不斷提高計算機的管理應用水平,應采用各種有效的創新方法技術來提高計算機在生活中的工作效益。在建立現代化發展的社會進程中,在新的經濟和管理環境中,為使計算機信息管理技術在我們的工作生活中發揮其應有的作用,有必要對其進行不斷的創新,進行改革,完善激勵機制,才能促進計算機信息管理的實施和發展。
第四篇:加強網絡安全管理
加強網絡安全管理提升網絡應用效率
馬王堆中學近年來的改造、擴建工程,為學校的騰飛奠定了基礎。這幾年,我校校園網建設飛速發展,各種硬軟件設備配套齊全,學校于2005年成功申報長沙市現代教育技術實驗學校,2006年又獲得了湖南省現代教育技術實驗學校稱號,馬王堆中學已成為一所全新的現代教育技術實驗學校。有了這樣良好的條件,怎樣加強網絡安全管理使之發揮最大效率,為教育教學搞好服務,成為了學校行政和網絡管理員共同面對和思考的問題。基如上述思考,我們做了下列幾方面工作:
1、積極支持網管員工作,妥善處理好網絡安全問題。
因特網的迅速發展,給我們的教育教學工作提供了許多方便,但學校網絡畢竟與家庭電腦存在著很大的差異。如果沒有一套完善的上網制度,將會出現很多麻煩,甚者將導致整個校園網癱瘓。因此,我校領導和網管員經過認真討論研究,加強了校園網使用權限的管理,每位老師必須用自己的姓名和密碼登陸電腦,網管員對每位老師上網作了一定權限的限制,例如,不能修改電腦的設置,不能安裝軟件,不能上在線游戲等。一開始,老師們不能理解接受這些限制,也不支持網管員的工作,經常為此事,網管員和老師們之間產生矛盾。但學校領導親自帶頭執行規定,并且在教職工大會上多次做解說工作,反復強調校園網絡的特殊性和網絡安全的重要性。使老師們認識到校園網是一個有機的系統,如果任由大家隨便下載安裝軟件,玩網絡游戲等,勢必給網絡管理員的工作帶來很大的麻
煩,給學校網絡安全使用帶來隱患。學校提倡健康上網,綠色上網,有序上網。經過一段時間的磨合,全體教職工適用且樂意地接收了這些限制,并積極配合網管員對校園網進行維護,老師們在使用電腦時自己能查毒殺毒,學校網管員也定時在周一、周三、周五中午對校園網統一殺毒。
2、用差異化管理做好網絡資源共享工作。
要保存個人資料,我們都會想到使用“U“盤,但我校教職工除此外還有其他方法,把資料保存在學校校園網上。我校100多位教職工人人都有一個文件夾,需要保存的資料都可以存儲在里面,不但自己可以查看,別人也可以參考,但只有本人才有權限進行提交和修改。學校行政人員有專用資料文件夾,教育處、教務處、教研室、也有各處室的文件夾,這些特殊的文件夾只有相關人才能打開,其它與該處室無關的老師不能進入。這樣既保證了資源的共享,又保證了資源的私密。還有,我校各備課組的課件整理得相當好,網管員授權各備課組長,只有他們才有修改該備課組下的課件資料的權利,其他老師只可以運用這些資料,這樣為我校的教育教學提供了許多方便。上述使用方法既方便了教師資源的備份和共享,又有效地防止了計算機病毒的破壞。
3、加強培訓,強調應用,促進全體教職工網絡技術水平的提高 從2005年校園網的建立起,我校就注重教師信息技術水平的培訓工作,網管員利用周三、周四的下午對全體教職員工進行上網技巧的培訓,先后舉辦專題培訓達20多次,現在我校計算機高級證獲得率為應擁有人數的100%。在加強信息技術培訓的同時,強調對多
媒體設備和校園網的應用,到現在為止,日常課堂使用多媒體課件進行輔助教學達到70%以上,85 %以上的教師都會制作和修改課件,現代教育技術設備不是擺設,真正成為了教師提高教育教學的有效工具。
上述介紹,僅僅是我校校園網管理和應用方面的一些嘗試,還有很多不盡人意的地方,還需要進一步完善,歡迎各位多提出寶貴意見,我們一定虛心聽取。讓我們一起攜手,加強研究和探討,為芙蓉區城域網和各校校園網更趨成熟和日臻完善而努力。
芙蓉區馬王堆中學
2007-12-20
第五篇:企業網絡安全方案設計
信息安全課程設計
企業網絡安全方案的設計企業網絡安全方案設計
摘 要:在這個信息技術飛速發展的時代,許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺來極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業整體網絡安全方案以及該方案的組織和實施等方面的闡述,為企業提供一個可靠地、完整的方案。
關鍵詞: 信息安全、企業網絡安全、安全防護
一、引言
隨著國內計算機和網絡技術的迅猛發展和廣泛普及,企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅,甚至處于癱瘓狀態,將會給企業、社會、乃至整個國家帶來巨大的經濟損失。應此如何使企業信息網絡系統免受黑客和病毒的入侵,已成為信息事業健康發展所要考慮的重要事情之一。
一般企業網絡的應用系統,主要有WEB、E-mail、OA、MIS、財務系統、人事系統等。而且隨著企業的發展,網絡體系結構也會變得越來越復雜,應用系統也會越來越多。但從整個網絡系統的管理上來看,通常包括內部用戶,也有外部用戶,以及內外網之間。因此,一般整個企業的網絡系統存在三個方面的安全問題:
(1)Internet的安全性:隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
(2)企業內網的安全性:最新調查顯示,在受調查的企業中60%以上的員信息安全課程設計
企業網絡安全方案的設計工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。所以企業內部的網絡安全同樣需要重視,存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。
(3)內部網絡之間、內外網絡之間的連接安全:隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
二、以某公司為例,綜合型企業網絡簡圖如下,分析現狀并分析需求:
信息安全課程設計
企業網絡安全方案的設計
圖說明 圖一 企業網絡簡圖
對該公司的信息安全系統無論在總體構成、信息安全產品的功能和性能上也都可能存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
(3)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(4)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
由以上分析可知該公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
三、設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。具體如下: 1.標準化原則 信息安全課程設計
企業網絡安全方案的設計2.系統化原則 3.規避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則
四、企業網絡安全解決方案的思路
1.安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。2.安全防護體系
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。如圖二所示:
圖說明 圖二 網絡與信息安全防范體系模型 信息安全課程設計
企業網絡安全方案的設計3.企業網絡安全結構圖
通過以上分析可得總體安全結構應實現大致如圖三所示的功能:
圖說明 圖三
總體安全結構圖
五、整體網絡安全方案
1.網絡安全認證平臺
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(Public Key Infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
1)身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。信息安全課程設計
企業網絡安全方案的設計
2)數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
3)數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
4)不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。2.VPN系統
VPN(Virtual Private Network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
3.網絡防火墻
采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行防護。其網絡結構一般如下:
圖說明 圖四 防火墻
此外在實際中可以增加入侵檢測系統,作為防火墻的功能互補,提供對監控信息安全課程設計
企業網絡安全方案的設計網段的攻擊的實時報警和積極響應等功能。4.病毒防護系統
應強化病毒防護系統的應用策略和管理策略,增強勤業網絡的病毒防護功能。這里我們可以選擇瑞星網絡版殺毒軟件企業版。瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發的網絡防病毒軟件,通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統,并且可以實現防病毒體系的統一、集中管理,實時掌握、了解當前網絡內計算機病毒事件,并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護
在一個企業中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統保護的簡圖(透明方式): 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖五
郵件系統保護 6.關鍵網段保護
企業中有的網段上傳送的數據、信息是非常重要的,應此對外應是保密的。所以這些網段我們也應給予特別的防護。簡圖如下圖六所示。
圖說明
圖六
關鍵網段的防護 7.日志分析和統計報表能力
對網絡內的安全事件也應都作出詳細的日志記錄,這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外,報表系統還應自動生成各種形式的攻擊統計報表,形式包括日報表,月報表,年報表等,通過來源分析,目信息安全課程設計
企業網絡安全方案的設計標分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網絡上發生的各種事件,有助于管理人員提高網絡的安全管理。8.內部網絡行為的管理和監控
除對外的防護外,對網絡內的上網行為也應該進行規范,并監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。企業內部用戶上網信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監控可以規范網絡內部的上網行為,提高工作效率,同時避免企業內部產生網絡安全隱患。因此對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。分別有以下幾種系統:
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
則內網綜合保護簡圖如下圖七所示: 信息安全課程設計
企業網絡安全方案的設計
圖說明
圖七
內網綜合保護 9.移動用戶管理系統
對于企業內部的筆記本電腦在外工作,當要接入內部網也應進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。10.身份認證的解決方案
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。
基于PKI的USB Key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
六、方案的組織與實施方式
由以上的分析及設計,可知網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計
企業網絡安全方案的設計流程圖,如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖說明
圖八 安全管理貫穿全流程圖
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
七、總結
本設計以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。也希望通過本方案的信息安全課程設計
企業網絡安全方案的設計實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
點擊咨詢 