企業網絡信息安全方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業網絡信息安全方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業網絡信息安全方案范文
前言
自中國加入世貿組織后,全球實行經濟一體化,信息資源對于企業的發展經營顯得十分重要,企業只有盡快實施信息化戰略與國際接軌,才能融入到經濟全球化的大潮中去。對于企業進行信息化改革需要進行一些規劃性安排。其中包含有信息資源規劃,這主要是指企業生產經營過程中所需要掌握到的所有信息,從開始采集、處理一直到傳輸、使用全過程的一個整體規劃。企業在生產經營活動過程中,無時不刻都充斥著信息,信息資源與企業人、財、物資源同等重要,都是企業在經營環節中不可缺少的重要資源。而經過長期的發展,很多企業已經開始意識到企業信息資源規劃的重要性,認識到它是企業信息化建設的基礎工程。而對企業信息化安全的解決應該建立在人員管理的基礎之上,致力于整個企業網絡管理。
1企業信息化安全與網絡管理
1.1網絡集成應用系統安全
網絡集成應用系統根據不同企業的需求呈現不同的情況,一些企業中的網絡集成應用系統比較復雜。不能夠很精準的估計防御對象的規模以及價值,也不能簡單的對其加以標定界限,針對這種情況,就只能夠將網絡管理安全保障的工作分解開來。落實到具體的個人,采取一系列有效的措施如主動防御方式去進行。而網絡安全信息的防御是一個保障整體網絡信息安全的手段,其可預見性以及靈敏性等都為工作帶來便利,在面臨網絡空間可能帶來的威脅的同時,站在網絡管理者的角度上去思考,為企業網絡安全提供一定的保障。因此對于現代社會企業發展中提出的有關信息化安全問題其范圍也十分廣泛。計算機系統結構安全的信息防御,注重的是以信息參與者的人為主角的主動型安全防御。
1.2企業人員信息技術安全
企業信息化歸根到底也是人的參與,因此對于企業在信息化過程中會遇到的信息安全問題也需要人員引起足夠的重視。人才是企業在發展中的關鍵競爭力,企業對于人才的重視程度也在日益增加,而同時也要注重企業的管理。隨著時代的發展,信息化已經成為企業不可忽視的發展趨勢,當企業投入大量的資金和精力去培養人才進行信息化管理以及掌握信息化技術之后,更需要加強信息安全管理。目前是信息化時代,“信息”對于企業而言是十分重要的財富,企業信息系統中掌握著企業運行經營的大量資源和信息,而信息系統的一些安全隱患大部分來源于外界的侵擾,信息工作和管理人員個人的疏忽也容易導致信息的外泄,這將是對企業造成嚴重的損失。目前對于企業在信息化方面的標準有多種爭議,面對爭議我們首先要弄清楚企業目前處于什么樣的狀況,這些標準都是隨著技術水平的改進以及管理要求的變化而變化的,因此針對這些變化,企業需要針對自身的實際情況以及實際需求進行安全管理。
1.3網絡管理人員信息技術安全
企業信息化系統管理中最重要的一項安全指標就是信息技術方面的安全,面對高要求的安全管理,對于網絡安全管理人員的職業素養以及業務能力也相應提出了更高的要求。而企業信息化系統的網絡管理在實際的運行過程中必定會涉及到眾多的功能模塊,面臨企業信息化系統中的網絡安全管理一般包含有四大功能模塊:配置管理、性能管理、故障管理以及安全管理。而這四大功能構成了網絡安全管理的基本功能,除此基本功能之外,網絡管理還包括有網絡規劃、網絡操作規范等,以下就來簡單分析介紹這些功能:(1)配置管理:網絡的配置管理要做到的是自動發現網絡拓補結構,構造和維護網絡系統的配置。時時的注意網絡中被管理監測的對象狀態,對網絡設置中的一些設備配置的語法進行檢測,對于配置進行嚴格的檢驗。(2)故障管理:在網絡運行過程中時刻的進行網絡有關事件的過濾和歸并,通過不間斷的檢測及時的發現在網絡管理以及操作過程中出現的一系列網絡故障問題,并根據實際問題情況尋找出有效的應對措施和建議,提供一定的排錯手段以及工具,逐漸形成一套完善的網絡故障預警和解決機制,從而減少故障給企業信息化系統帶來的危害和損失。(3)性能管理:性能管理是對網絡對象的性能方面數據進行收集、分析以及處理功能,通過分析和收集了解網絡在運行過程中的質量安全問題,同時掌握整個網絡運行體制中的運行狀態信息,為整個網絡的使用情況以及未來發展趨勢、狀況進行一個評估,為進一步的網絡規劃提供一定的參考價值。(4)安全管理:網絡信息的安全主要在于存儲在系統中的一些用戶信息資料以及企業內部的資料的泄露,加強安全管理無疑是要加強用戶的認證、訪問控制、數據傳輸以及存儲保密性和完整性,保障網絡系統本身的安全。維護系統日志,使系統的使用情況以及網絡對象的修改都有記錄和有數據可循。加強對網絡資源的訪問量的控制。例如有些企業在加強網絡安全管理方面為了盡量的減少不必要的漏洞,在配置管理中采用了VLAN的方式,這種方式就是將企業內部的不同部門都劃分為各個不同的虛擬網段,而針對不同部門的職員設置相應的權限,只有具有權限的職員才能進入某一個虛擬網段,沒有權限的用戶無法訪問其他網段。VLAN其實就相當于是一個計算機網絡,里面所有內容都由同一個網線連接著,但是其中的網絡又可以分為不同的部分和區域。由于該方式多是通過軟件來操作實施的,因此使其具備了更多的靈活性,而該手段的最大優勢在于提供了更多的管理控制,這相應的減少了很大一部分的管理費用,同時也提供了更多的配置靈活性。另外,在網絡管理中可以通過邊界的路由器來控制外來的用戶對網絡信息的訪問,從而可以有效的防止外來用戶對本企業網絡的侵入和攻擊。加之前文中有提到可以加強網絡安全的預警機制。通過對告警中的危險事件和信息進行有效的分析和處理,及時發現可能存在的攻擊行為,及時發現網絡管理中存在的安全漏洞和安全隱患,從而更好的防患于未然。當然,在進行這些網絡安全管理手段操作中可以充分借助有關的管理網絡的軟件,為網絡管理人員提供有效的技術信息和保障,而且單一的軟件絕對滿足不了網絡安全管理的需求,需要根據實際情況綜合運用多種軟件形式,從而滿足不同方面和層次的需求,無論是加強網絡管理安全還是利用各種管理軟件首先必須要提高網絡管理人員的綜合素質,提升其職業素養和計算機應用水平,人員素質的提升以及相關管理硬件、軟件的配套,才能從根本上解決企業信息化管理以及網絡安全管理中的問題,提高其管理機制和管理水平。
2結束語
從本文中所闡述的眾多問題中可以總結出,無論是網絡集成應用系統的框架還是人員信息化和網絡管理者角度而言,企業信息化的安全問題主要集中在網絡管理方面。而對網絡進行管理的主體部分就是人員。因此加強網絡管理的安全問題要從人員自身方面的水平以及素質和網絡安全管理相關技術兩個方面著手,讓所有的網絡管理者在思想上意識到網絡安全管理的重要性。管理人員的重視才會促進有關技術的改進和革新,這也是我們進行網絡管理的最終目的和有效保障。
參考文獻:
[1]林鵬,葉盛元.互聯網與信息化安全(三)[J].華南金融電腦,2006.
[2]曲璐.信息化安全在計算機管理中的運用探討[J].信息與電腦(理論版),2013.
第2篇:企業網絡信息安全方案范文
關鍵詞:企業網絡;信息安全;病毒
自從我國的網絡信息技術不斷的走向成熟,網絡信息安全問題逐漸走上的臺面,油田企業是我國的支柱企業,而隨著網絡信息技術在油田企業的應用,安全保密工作也相應的展開,由于網絡信息傳播的速度非常快,而且還缺乏相應的保護,使網絡信息問題成為制約我國石油企業發展的重要因素,我們要采取有效的措施,對泄密事件進行防范,為我國的石油行業發展保駕護航。
1油田企業網絡安全現狀
我國油田企業的管理一直是重中之重,中原油田對這方面的建設也十分的重視,目前,管理工作更多的是依賴網絡信息化的系統,極大的節約了人力、物力和財力,但是,隨之而來的網絡信息安全問題也給中原油田的發展帶來了一定的阻礙。
1.1油田企業的網絡信息安全存在一定的隱患
我國油田企業的管理已經逐步轉向信息化、專業化的方向發展,很多涉及油田生產、開采的一些核心數據目前都主要由專業的信息管理系統來保存,但是,網絡信息是虛擬的,且在目前的技術手段中,非常容易發生泄漏,會給企業帶來巨大的損失。目前,我國的油田企業網絡安全還存在一定的隱患,主要包括以下幾個方面:第一,管理制度不夠完善,我國石油企業的信息化管理起步較晚,尚未建立起完善的管理制度,沒有明確的規范和措施,非常容易發生管理的混亂,這樣,相關的資料就很可能發生遺失,給企業造成很大的危害。第二,管理人員的專業素質不強。油田企業目前的管理模式決定了管理人員需要有很強的責任心和專業能力,才能勝任這項工作,但是,目前,中原油田有很多管理人員的網絡保密意識淡薄,專業素質不強,出現技術問題解決不了,也沒有學習的勁頭,同時,保密意識的淡薄使重要的文件被輕易拷貝,非常容易造成網絡泄密,將給企業帶來不可估量的損失。
1.2病毒入侵和軟件的漏洞
目前,網絡病毒非常猖獗,很多不法人士和機構利用一些特別的手段,編寫一些網絡病毒,利用石油企業管理和軟件的漏洞來感染系統,盜取機密。當然,這些屬于有意識的侵入導致泄密,還有很多通用的病毒由于員工的不合理操作和在很多無意識的情況下侵入了系統,造成了系統的崩潰,導致大量的信息遺失。
2提高油田企業網絡安全的策略
結合上文提到的我國石油企業網絡信息安全方面存在的一些隱患,我們要采取合理的措施,積極解決這些問題,提高中原油田的信息管理能力和網絡安全水平,保證油田的安全有序發展。
2.1建立完善的網絡信息管理制度
要保證油田企業的網絡信息安全,制定完善的管理制度是非常必要的。針對目前出現的諸多問題,根源上就是制度不完善,管理不到位,所以,油田企業要制定翔實細致的管理計劃和規定,讓每一名員工提高網絡信息安全保密的意識,在規范和制度中高效率的完成工作,提高油田企業的工作效率。同時,我們要把責任落實到個人,從誰那出問題,由誰來負責,這樣的責任細化能夠提高每一名員工的工作積極性和責任感,真正的重視起企業的網絡信息保密工作。
2.2加強對軟件安全隱患和病毒的防范
網絡病毒層出不窮,給油田企業的網絡信息安全帶來了非常大的隱患,目前,我們要著力提高技術能力,完善防火墻的建設,積極防御病毒的入侵。同時,技術人員要對油田企業的數據進行及時的備份,這樣就可以有效的避免數據丟失后無法還原的現象。除了這些措施外,我們還要對一些機密度較高的進行加密處理,進一步保證這些信息的安全。在數據和信息的管理中,我們應當設置相應的權限,這樣,能夠掌握高級機密的人員數量就少了很多,對于信息的安全性也就有了很大的把握。
2.3加強企業人員的培訓
我國網絡信息化管理的起步較晚,很多油田的員工年齡較大,對于計算機的應用并不熟練,所以在進行數據處理和分析的時候容易發生紕漏,這樣,就成為了一個非常大的安全隱患,我們要及時的對企業人員進行計算機的培訓和網絡安全保密技術的宣講,將保密意識入腦入心,不斷提升員工的業務能力和水平。
3結語
隨著科學技術的不斷發展,網絡信息將在我國的石油企業中應用更加廣泛,我們要提高信息安全保密意識,采取有效的手段,不斷提高企業的網絡安全保密能力,為石油企業的發展奠定良好的基礎。
參考文獻:
[1]孫廣.油田企業計算機網絡的安全防范技術[J].油氣田地面工程,2013,09:23-24.
[2]劉宏毅.分析與探討網絡信息安全與防范技術[J].現代情報,2004,04:20-22.
第3篇:企業網絡信息安全方案范文
信息技術的迅猛發展極大地促進了網絡在企業的普及應用,當今的企業必須采用能夠充分利用結合優秀的傳統方法及連網計算的新業務模式,來獲得競爭優勢。對許多企業來講,問題不在于數據安全是否必要,而在于怎樣在預算范圍內以安全的方式管理復雜計算機環境、多種計算機平臺和眾多集成式計算機網絡上的數據。各企業必須獨立確定需要多高級別的安全,以及哪種安全能最有效地滿足其特殊業務需求。這些問題僅靠安全解決方案是無法完成的,而是企業安全管理必須解決的問題。企業郵箱是公司架設的服務于公司內網用戶的企業級郵箱。
1 網絡安全管理系統的應用
公司通過使用萊恩塞克內網安全管理系統和金山毒霸網絡版的配合使用,將公司整個網絡設備對病毒的查、殺、防列入到網絡管理體系當中。
1.1網絡安全系統的需求分析
企業網絡安全管理涉及的需求有諸多方面,僅就計算機網絡系統集中管理、網絡數據存儲與備份管理,兩方面進行說明。
1.1.1計算機網絡系統集中管理
實施網絡系統改造,提高企業網絡系統運行的穩定性,保證企業各種設計信息的安全性,避免圖紙、文檔的丟失和外泄。
通過軟件或安全手段對客戶端的計算機加以保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用情況進行追蹤,防范外來計算機的侵入而造成破壞。
通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。
1.1.2 網絡數據存儲備份管理
互聯網與信息技術的蓬勃發展,在提高了各個行業企業日常業務運營效率的同時,也極大增加了企業內部的數據負擔。隨著Internet、Intranet及Extranet等網絡數據量的指數級增長、以及數據類型的不斷豐富,企業IT管理人員面臨著系統應用數據完整性、安全性、可用性等方面的嚴峻挑戰。他們必須能夠確保企業數據得到有效的保護,并在故障出現時迅速準確的予以恢復,以最大限度減小企業可能的損失,實現業務的持續、正常運轉。
1.2 網絡安全系統的功能
系統投入使用以來,有效地解決了公司信息部門多年以來實際工作中遇到的網絡管理難題,系統實現了對局域網內的所有設備的數量、型號以及配置的統計,還對突發故障及時報警和診斷,對最新病毒、黑客攻擊進行報警判斷并作出有效的控制,對軟件的遠程自動分發和恢復安裝功能,通過分發使網內的各個終端計算機實時的進行系統升級以及防毒軟件的日常升級需求。
1.3 網絡安全系統的應用成果
對于近期危害嚴重的網絡arp病毒一旦局域網內的計算機感染此病毒,由于此病毒通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量導致網絡癱瘓以往我們發現此類故障后只能現場查看網內每臺機器來排查此病毒費時費力工作效率大大降低,現在通過金山毒霸網絡版的病毒日志可以有效地得知病毒來源予以查殺,對于無法殺除病毒的機器通過萊恩塞克內網安全管理端對ip地址和MAC地址綁定功能控制交換機端口,禁止感染病毒的計算機進入網絡,使網絡中病毒的傳播范圍達到最小,把損失降到最低,還可以對內網機器準確的定位,有效杜絕了內部人員未經允許修改自己機器的ip地址,導致其它人員的ip地址被盜用,危險時會使網絡內重要的服務器因ip地址被占用而停止服務的危險隱患。在信息中心利用管理軟件得遠程指導、遠程維護功能可以對網內計算機操作人員的違規操作進行有效的監視,如上網、運行非法軟件、記入到網絡日志,并快速的提出警告。如果哪臺機器感染病毒,迅速報警并采取措施。對于遠程計算機的監視和控制就像操作自己的計算機一樣,避免了跑路,提高效率。在信息中心可以統一向各計算機用戶批量快速發送軟件的升級補丁,發送信息,節省了人力,物力。
2 企業郵箱的應用
郵件系統,在辦公自動化的今天,尤其顯得重要。對于許多企業來說,離開了E-mail,工作已經不能順暢的開展了。目前許多企業通過租用的外部郵箱系統的方式來解決郵件通訊問題。但租用的外部郵箱系統,除了需要花費昂貴的租金外,還不易于管理,同時在郵件安全、提高辦公效率等都遇到了瓶頸。而擁有可靠的郵件系統是現代企業順利發展的必要基礎配置,也利于企業進一步提高自身形象。概括起來講,企業郵箱達到的主要指標如下:
1)實現內外網絡分離;
2)郵箱訪問速度極快,內網用戶文件上傳下載文件速度可達10兆每秒;
3)郵箱擁有的公共地址簿,使用戶使用郵箱時,方便得查找目的用戶,提高了郵箱的使用效;
4)郵箱全部注冊用戶以真實身份進行注冊,用戶名稱也使用真實姓名的英文拼寫,防止了匿名內外網用戶對網絡安全的破壞,方便了管理員對網絡安全的監控;
5)遠程管理方便,管理員可以隨時在互聯網上對郵箱進行管理,提高了管理的效率;
6)郵箱正式運行后較穩定,郵件收發正確率,文件傳輸正確率100%,穩定運行時間95%以上。
4 結論
總的來說,一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之后需要確保這個安全策略可以被徹底貫徹執行。最后,由于移動辦公用戶的存在,企業和網絡經常處在變化中,需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步,應該時刻具有主動性的眼光并在第一時刻更新的安全策略,同時要確保系統已經安裝了足夠的防護產品,來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的,但這樣做足可以使企業網絡處于優勢地位。
參考文獻
[1]廣域網與局域網.
[2]TCP/IP實用技術指南.
[3]網絡分析與設計.
[4]計算機網絡安全與加密技術.
[5]萊恩塞克內網安全管理使用手冊.
[6]Winmail server技術使用手冊.
第4篇:企業網絡信息安全方案范文
【關鍵詞】:信息;網絡;安全管理;策略
1 引言
隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢,我供電公司也在由企業信息化向信息化企業不斷的邁進。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。計算機病毒的泛濫;木馬程序帶來安全保密方面的隱患;易受黑客攻擊特別是洪流攻擊;垃圾郵件阻塞網絡等各類網絡安全的威脅開始蔓延到應用的環節,其中Windows占70%,UNIX占30%。因此網絡的信息安全防護是一個至關重要的問題,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。網絡的安全防護措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。本次調研也正是基于此目的。
2 信息網絡安防的加密策略和安全策略技術
2.1 目前計算機信息網絡面臨的威脅
計算機網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;還有可能是外來黑客對網絡系統資源的非法使有,歸結起來,針對網絡安全的威脅主要有以下三種:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,惡意的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。(3)網絡軟件的漏洞和“后門”:網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善導致的。另外,軟件的“后門”都是軟件公司的設計編程人員為了方便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。
2.2 信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
密碼技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。
2.3 計算機信息網絡的安全策略
(1)物理安全策略。物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(2)訪問控制策略。訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
3 安防管理措施
針對我供電公司目前的網絡現狀,提出以下幾點安防管理措施。
3.1 入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。用戶帳號只有系統管理員才能建立,管理員對普通用戶的帳號使用進行控制和限制,控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。同時對所有入網用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,給出報警信息。
3.2 網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施,網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以通過訪問控制表來描述。
3.3 目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權 限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。網絡系統管理員為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
3.4 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。
3.5 網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該帳戶將被自動鎖定。
3.6 防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入。
第5篇:企業網絡信息安全方案范文
關鍵詞:信息安全 網絡安全 風險
隨著信息技術迅猛發展,計算機及其網絡、移動通信和辦公自動化設備日益普及,國內大中型企業為了提高企業競爭力,都廣泛使用信息技術,特別是網絡技術。企業信息設施在提高企業效益的同時,給企業增加了風險隱患,網絡安全問題也一直層出不窮,給企業所造成的損失不可估量。
1企業面臨的網絡安全威脅
1.1來自企業內部的攻擊
大量事實表明,在所有的網絡攻擊事件當中,來自企業內部的攻擊占有相當大的比例,這包括了懷有惡意的,或者對網絡安全有著強烈興趣的員工的攻擊嘗試,以及計算機操作人員的操作失誤等。內部人員知道系統的布局、有價值的數據放在何處以及何種安全防范系統在工作。因內部人員攻擊來自區域內部,常常最難于檢測和防范。
1.2來自企業外部的惡意攻擊
隨著黑客技術在互連網上的擴散,對一個既定目標的攻擊變得越來越容易。一方面,對攻擊目標造成的破壞所帶來的成就感使越來越多的年輕人加人到黑客的行列,另一方面商業競爭也在導致更多的惡意攻擊事件的產生。
1.3網絡病毒和惡意代碼的襲擊
與前幾年病毒和惡意代碼傳播情況相比,如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升,其破壞能力也在快速增強,所造成的損失也在以幾何極數上升。如何防范各種類型的病毒和惡意程序,特別是網絡病毒與郵件病毒,是任何一個企業都不得不面對的一個挑戰。
2企業網絡安全常用的防護措施
目前,不同種類的安全威脅混合在一起給企業網絡的安全帶來了極大的挑戰,從而要求我們的網絡安全解決方案集成不同的產品與技術,來有針對性地抵御各種威脅。我們的總體目標就是通過信息與網絡安全工程的實施,建立完整的企業信息與網絡系統的安全防護體系,在安全法律、法規、政策的支持與指導下,通過制定適度的安全策略,采用合適的安全技術,進行制度化的安全管理,保障企業信息與網絡系統穩定可靠地運行,確保企業與網絡資源受控合法地使用。
2.1部署統一的網絡防病毒系統
在網絡出口處部署反病毒網關。對郵件服務器安裝特定的防病毒插件以防范郵件病毒,保護郵件服務器安全。在服務器及客戶端上部署統一的防病毒軟件客戶端,實現對系統、磁盤、光盤、郵件及Internet的病毒防護。
2.2部署安全可靠的防火墻
企業為了在互聯網上信息,共享資源,就不得不將自己的內部網絡在一定程度上對外開放,這就在無形中增加了安全隱患,使有不良企圖的人有機可乘。為了使信息系統在保障安全的基礎上被正常訪問,需要一定的設備來對系統實施保護,保證只有合法的用戶才可以訪問系統‘就目前看,能夠實現這種需求的性能價格比最優的設備就是防火墻。防火墻的目的是要在不同安全區域(如:內部,外部、DMZ、數據中心)網絡之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。具體地說,設置防火墻的目的是隔離內部和外部網,保護內部網絡不受攻擊。
2.3部署入侵檢測系統
作為防火墻的補充,入侵檢測系統(工DS)用于發現和抵御黑客攻擊。人侵檢測系統是一種網絡/計算機安全技術,它試圖發現入侵者或識別出對計算機的非法訪問行為,并對其進行隔離。攻擊者可能來自外部網絡連接,如互聯網、撥號連接,或來自內部網絡。攻擊目標通常是服務器,也可能是路由器和防火墻。
入侵檢測系統能發現其他安全措施無法發現的攻擊行為,并能收集可以用來訴訟的犯罪證據。一般入侵檢側系統有兩類:基于網絡的實時入侵檢測系統和基于主機的實時人侵檢測系統。
2.4配置漏洞掃描工具
漏洞掃描是一項重要的安全技術,它采用模擬攻擊的形式對網絡系統組成元素(服務器、工作站、路由器、防火墻、應用系統和數據庫等)可能存在的安全漏洞進行逐項檢查,根據檢查結果提供詳細的漏洞描述和修補方案,形成系統安全性分析報告,從而為網絡管理員來完善網絡系統提供依據。通常,我們將完成漏洞掃描的軟件、硬件或軟硬一體的組合稱為漏洞掃描器。
2.5部署綜合審計系統
通俗地說,網絡安全審計就是在企業的網絡環境下,為了保障網絡和數據不受來自外網和內網用戶的入侵、破壞、竊取和失泄,而運用各種技術手段實時收集和監視網絡環境中每一個組成部分的系統狀態、操作以及安全事件,以便集中報警、分析、處理的一種技術手段。
網絡審計分為行為審計和內容審計,行為審計是對上網的所有操作的行為(諸如:瀏覽網頁、登錄網站從事各種活動、收發郵件、下載各種信息、論壇和博客發表言論等)進行審計,內容審計是在行為審計的基礎上,不僅要知道用戶的操作行為,而且還要對行為的詳細內容進行審計。它可以使關心內容安全的管理人員清晰地知道通過網絡有無沒有采用加密處理就在網上傳送的重要數據或內部和涉密文件被發出(用戶行為)和被盜取(黑客行為);有無瀏覽不良網頁;有無在論壇和博客上發表不負責的言論;有無使用即時通信工具談論內部或涉密的話題。
2.6部署終端安全管理系統
由于企業內部終端數量多,人員層次不同,流動性大,安全意識薄弱而產生病毒泛濫、終端濫用資源、非授權訪問、惡意終端破壞、信息泄密等安全事件不勝枚舉。通過部署終端安全管理系統杜絕了非法終端和不安全終端的接人網絡;對有權訪問企業網絡的終端進行根據其賬戶身份定義的安全等級檢查和接入控制;對相關的內部人員的行為進行審計,通過嚴格的內部行為審計和檢查,來減少內部安全威脅,同時也是對內部員工的一種威懾,有效強化內部信息安全的管理,將企業的信息安全管理規定通過技術的手段得到落實。
2.7建立企業身份認證系統
第6篇:企業網絡信息安全方案范文
互聯通始終以滿足企業網絡應用需求,協助企業建立可靠、安全、多服務,可管理的企業網絡為己任,為用戶提供全方位的IT及企業數據通信服務。
互聯通憑借卓越優秀的網絡服務質量、國際領先的客戶服務機制、專業的技術創新實力和資深穩健的管理團隊,為企業用戶提供全方位的信息科技綜合解決方案。
互聯通擁有超過十年專業資深的網管中心(NOC)運營經驗,為客戶提供7×24小時的網絡監控和運行維護服務,提供符合國際標準的服務等級協議(SLA)和服務等級保證(SLG)。透過互聯通獨創的IP五環網絡結構,服務全國,連結亞太和全球。
互聯通核心節點覆蓋全國十大核心城市,并在各大主要城市建立二級節點,輻射全國七大區域,為各類型企業用戶提供多點多地的一站式服務。
互聯通同時還可為廣大客戶提供中國香港、中國臺北、日本東京、美國洛杉磯、美國新澤西、歐洲多個城市等多個網絡服務節點。
互聯通利用互聯通獨自開發的BMS/CRM/OSS管理平臺為企業用戶海外業務的拓展提供單一窗口、靈活付費方案的全球全網服務。
資深的ISP/IDC服務提供商
北京互聯通網絡科技有限公司于1999年由互聯網業界的資深專業人士創辦,是國內最早從事ISP/IDC業務的服務商之一。
多年來互聯通憑借先進的專業技術、優秀的管理服務和資深的科研及管理團隊、以豐厚的行業資源為背景,以廣泛的客戶群為堅實的平臺,為企業提供專業的全方位的企業信息科技綜合解決方案。
遍布全國的節點覆蓋
互聯通目前的網絡接入節點設于北京、上海、廣州、深圳、東莞、蘇州、天津、大連、成都、無錫、長沙等地區,覆蓋華北、華東、華南、華中和西部地區,可以為企業用戶提供多點多地的一站式服務。
全方位的解決方案
互聯通為客戶提供全方位的解決方案,從售前咨詢到線路申請、從網絡構架到硬件采購、從調試設定到品質保障,互聯通為用戶提供一系列的周全的服務。
第7篇:企業網絡信息安全方案范文
關鍵詞:電力信息網絡;安全防護;策略
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 17-0000-01
The Network Security System Construction and Improvement for Power System
Shen Fanyun
(Inner Mongolia Electric Power(Group)Co.,Ltd.Erdos Electric Power Bureau,Erdos017000,China)
Abstract:With the power industry's continuous development of information technology,information security is facing increasingly serious challenges.Adapt to the new situation,the article from the power dispatch and power system development point of view of market needs,analysis of the electric power information network of the major categories and characteristics,focusing on the technical and management aspects of power system described the establishment of information network protection systems and strategies.
Keywords:Power Information Network;Security;Strategy
一、電力信息網絡的主要分類和特點
電力系統中網絡應用的分類有許多種,根據業務類型、實時等級、安全等級等因素可分為生產數據傳輸和管理信息傳送兩大類,其它應用還包括音頻傳輸和對外服務等。不同的應用系統對安全有不同的要求:如生產控制類基于TCP/IP的數據服務業務實時性較強,遙控遙調更與電網安全直接相關,可靠性要求較高;與計費相關的電力市場業務對安全性有特殊要求,不僅要可靠,還要保密;管理信息類業務突發性強、速率較高、實時性不強,但對保密性要求又較高。無論對于何種應用,都要求電力信息網絡的防護措施能按各類業務的具體要求保證其安全運行。
二、電力調度系統對網絡安全防護體系的要求
近年來,特別是隨著電力市場化進程的加快,電力調度自動化的內涵也有了較大的延伸,由原來單一的EMS系統擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監視、故障錄波遠傳、遙測、電力市場技術支持和調度生產管理系統等。電力信息網絡是支持調度自動化系統的重要技術平臺,實時性要求秒級或微秒級。其中發電報價系統、市場信息等電力市場信息系統由于需要與公網連接,因而還要求做加密和隔離處理。因此,要保障調度自動化的安全運行,就需要信息網絡從應用系統的各個層面出發,按照其不同的安全要求,制定相應的防護策略,形成一整套完善的防護體系。
三、電力系統網絡安全體系
(一)安全系統建設。安全系統的建設,是根據網絡應用的安全需求,建立包括網絡防火墻、入侵檢測、漏洞掃描、安全審計、撥號網絡安全、安全電子郵件和敏感數據保護、計算機防病毒、流量監控等在內的安全系統。安全系統建設中最重要環節的是整體系統規劃。
(二)安全管理建設。在信息系統安全上,安全不僅僅是技術問題,更是一個管理的問題。因此,信息安全保障體系建設的下一個階段就是安全管理建設。安全管理建設與安全策略建設密不可分,管理是在策略的指導下進行的,而管理經驗和運行?管理之間的互動則為策略的制定提供依據。為此,有必要建立集中式、全方位、動態的安全管理中心。其目標在于:將與整體安全有關的各項安全技術和產品捏合在一個規范的、整體的、集中的安全平臺上的同時,使技術因素、策略因素以及人員的因素能夠更加緊密地結合在一起,從而提高用戶在安全領域的各種分散投資的最終整體安全效益。
(三)安全策略建設。關于安全策略建設,尤其是安全策略的電子化和自動化管理,正在進行一個全方位的、動態的、持續的過程,遵循均衡、動態和立體性的原則,安全系統建設是基礎,在恰當有效的安全策略的指導下,實施集中式、全方位、動態的安全管理是實現信息系統整體安全的有效保障。
四、對安全體系建設和完善的幾點思路
信息系統安全保障體系的建設是一個全方位的、動態的、持續的過程,要完善已有的安全保障體系,滿足企業網上應用系統安全需求,提出有效的安全解決方案,應從如下幾個方面進行深入和細致的工作。
(一)對電力企業網絡結構模型的分析。企業的網絡結構模型可分為兩層,一層是企業互聯網絡,一層是企業內部網絡。所產生的安全需求也不同,那么相應的安全解決方案就不一樣。
無論是公司本部或是下屬企業,其內部網絡的結構大同小異。均具有一個中心網絡,提供公共應用服務,同時行使網絡管理權利。各局域網也具有自己的服務器,或Web或應用服務器。這些局域都是直接連接到中心網絡,共享公共應用服務,同時也提供自己的信息給其他單位共享。
(二)對網絡層風險的分析。1.網絡風險來源:(1)網絡中心連通Internet之后,企業網可能遭受到來自Internet惡意攻擊;(2)在Internet上廣為傳播的網絡病毒將通過Web訪問、郵件、新聞組、網絡聊天以及下載軟件、信息等傳播,感染企業網內部的服務器、主機;更有一些黑客程序也將通過這種方式進入企業網;(3)企業網內部連接的用戶很多,很難保證沒有用戶會攻擊企業的服務器。事實上,來自于內部的攻擊,其成功的可能性要遠遠大于來自于Internet的攻擊,而且內部攻擊的目標主要是獲取企業的機密信息,其損失要遠遠高于系統破壞。
2.回避風險措施。基于以上風險,在上述兩層網絡結構中,網絡層安全主要解決企業網絡互聯時和在網絡通訊層安全問題,需要解決的問題有:(1)企業網絡進出口控制(即IP過濾);(2)企業網絡和鏈路層數據加密;(3)安全檢測和報警、防殺病毒。
重點在于企業網絡本身內部的安全,如果解決了各個企業網的安全,那么企業互聯掃安全只需解決鏈路層的通訊加密。
五、結束語
電力是關系到國計民生的基礎產業,有很強的信息保密與安全需求。由于自身業務的需要,實現內部網絡的互通,以及內部網絡與Internet的互通,要求建立一個權限清晰、服務完善、安全到位的網絡。由于不可避免地與外網相連,就必須時刻防備來自外部的黑客、病毒的威脅。為了維護電力信息安全,確保信息網絡系統穩定可靠,網絡安全體系建設極為重要。
參考文獻:
第8篇:企業網絡信息安全方案范文
【關鍵詞】企業信息化 網絡管理 網絡安全 解決措施
1 網絡管理的基本知識
1.1 網絡管理的基本概念
所謂的企業網絡管理指的是利用資源的調度和協調整個企業網絡系統設計和規劃、運行監控、管理控制和故障診斷,從而保護企業網絡系統和穩定運行,優化網絡環境,網絡安全,以保證正常的企業工作安全、穩定、有效運行。
1.2 網絡管理的基本對象
企業網絡管理主要包括網絡設備、網絡性能、網絡系統和其他方面的管理。
2 中小企業網絡管理現狀及解決辦法
2.1 網絡管理在中小企業的現狀
中小企業特是指一種員工相對較少,業務的規模也較小的企業。 同時網絡布局和管理在中小企業更加靈活,但由于沒有雄厚的資金投入、及有限的技術人員等原因,以至于一些企業至今一直未能實施合理有效的網絡管理。即使一些企業已有了一定程度網絡管理,但是對于網絡管理重視程度不夠,關鍵技術細節理解不完整,造成網絡管理還存在許多不足。
2.2 中小型企業形勢分析
經過對90%以上的中小型企業網絡管理的數據分析,中小型企業網絡問題的根源主要集中在以下幾個方面:
2.2.1企業網絡管理的安全意識薄弱
企業高層管理人員對于發展生產技術和擴大企業經營規模的興趣,遠遠大于對于網絡管理的學習和安全方面的重視,安全意識薄弱。對于企業網絡安全的投資較少、有關管理領域較為寬松,無法滿足現代網絡信息安全的基本要求。另外中小企業對網絡的穩定性和網絡安全存在僥幸心理,對于網絡安全沒有充分積極的認識,一旦出現問題,更不會積極應對,這就導致一旦出現安全問題不但不會去解決,更會任由問題擴大。
2.2.2網絡管理措施不足
中小企業由于專項資金不足,這也成為網絡管理經驗技術力量薄弱的的主要原因。路由器、交換機、服務器等網絡設備、及軟件系統在中小企業一般沒有相關的管理策略。對于由其生產商或集成商發出的用來修補或升級軟件系統信息沒有有效的處理方式。對于服務器和其他重要數據不配備備份或數據加密,冗余措施。這些無法更新的系統和缺乏配置的硬件設備讓惡意人員有機可乘,對病毒、木馬或惡意程序的更是毫無抵抗,企業網絡的可能性,存在著嚴重的安全隱患。通信設計與應用。
2.2.3全面解決方案的缺乏
在大多數中小型企業缺乏網絡管理解決方案情況下,他們的安全意識大都建立在防火墻、防病毒軟件及加密技術升級上,進而讓自己的心理更加依賴。大家都知道,對于企業網絡管理,簡單的解決方案并不能完全保證企業網絡安全性,隨著信息技術的發展,網絡的更新換代極快,網絡安全這個問題遠遠不是單一的殺毒軟件和防火墻就可以解決的,也不是很多標準的安全產品可以處理的。這些問題需要一個綜合且全面的技術解決方案,而這個方案很大程度依賴專業的網絡管理。
2.3 中小型企業網絡管理存在問題的解決方案
2.3.1 加強企業網絡管理實踐,提高安全意識
企業想獲得健康,穩定,快速的發展,規范網絡管理經營行為,提高員工的網絡安全意識勢在必行。詳細的解決方案措施:
(1)可分為虛擬VLAN網絡段,應用數據控制和管理控制,將公司的主營業務和非主營業務分開有效管理或者將公司各個部門、小組按照業務不同分開管理。
(2)對于企業員工應用固定IP設置或者使用DCHP動態分配IP地址,與此同時進行MAC地址綁定,啟動防網絡風暴管理制度,強化互聯網的網絡安全。這樣操作一方面便于監視與維護,另一方面減少了網絡中毒,網絡癱瘓等問題出現的可能性。
2.3.2 采取切實可行的網絡安全管理措施
對于企業來說,最典型的網絡安全問題是數據的丟失、損壞與泄漏,數據的安全問題,以及網絡安全協議的問題。提高整體網絡安全意識,重要數據定期備份是網絡管理中對信息進行有效處理的必要手段。
(1)為了解決數據安全的問題,需要進行業務關鍵數據進行遠程備份,以防止數據因為木馬、病毒、及人為原因導致數據安全問題。
(2)對于服務器、路由器、交換機等突然損壞的硬件問題,重要的是要進行設備冗余設置。網絡的關鍵設備設置一用一備的組網方式。
(3)對于軟件系統的問題,則需要檢查系統的編碼,嚴格編碼標準,從而消除系統本身的問題。
(4)基于網絡的安全協議問題,需要專用網絡執行加密操作,以防止惡意黑客攻擊。
2.3.3 制定切實完備的網絡技術應對方案
在當前的網絡信息如此開放的大環境中,任何網絡都不是百分之百保證安全的,所以一套完整有效的網絡技術應對方案對于網絡管理尤為重要。網絡技術應對方案一方面是指應對網絡安全方面的技術方案,一方面是應對網絡故障方面的技術方案。因此,企業需要結合自己本身的實際情況,制定完善的應對措施及方案。
(1)制定一個完整的防火墻和防護軟件的升級規則,及時更新系統補丁,避免網絡安全漏洞。
(2)進行網絡故障實戰演練,提供網絡管理人員的技術業務水平。
(3)對于發生的故障及安全事故要及時備案,分析,避免類似的情況再次發生。
3 結論
隨著網絡信息技術的迅猛發展,信息容量在這個開放的環境中不斷增長,網絡規模也將隨之增加,越來越多的企業的管理者們開始認識到網絡管理的重要性,并且在企業資金的投入上有了一定的傾斜。信息化程度的高低已經成為衡量一個企業是否是現代化企業的重要標準。從在整個國民經濟中有著非常重要地位的中小企業來看,一個高效、穩定、安全的網絡是確保其健康發展的命脈之一。網絡管理在中小企業的原材料采購、產品營銷、客戶關系等等方面也起著底層建筑的基礎。目前很多企業在網絡管理方面還有很大的完善空間,還有很多工作需要踏踏實實的去完成。
第9篇:企業網絡信息安全方案范文
在美劇《實習醫生格蕾》里,外科主任歐文拋棄了固定的辦公室,用一個iPad在醫院里隨時隨地移動辦公,一時間成為醫院里的一道風景。現實生活中,用自己的移動設備在單位辦公,正在被越來越多的企業所接受。員工用自己的筆記本電腦到單位辦公、用手機和平板電腦收發郵件,在企業中隨處可見。與此同時,BYOD(Bring YourOwn Device,員工攜帶自己的設備辦公)的經濟性開始被更多的企業所認知,但在這種辦公模式中隱藏的安全風險,已經遠遠超過了我們的想象。
BYOD正在普及
市場調研機構IDC的最新報告顯示,2011年第四季度全球智能手機市場的總出貨規模達到1.578億部,比IDC之前的預期提升了40%。此外,智能手機出貨量在2011年首次超過PC出貨量。移動終端正在取代PC,成為人們在辦公中最需要的工具之一。
隨著智能終端的普及,IT消費化的趨勢日益明顯,BYOD已經在企業間悄然興起,尤其是在歐美等發達國家和地區,BYOD已經形成一種文化。據統計,在歐洲26%的醫生擁有iPad,他們在行醫過程中超過25%的時間會利用iPad,還有40%的醫生表示在接下來的6個月里會購買手持智能設備。
在支持BYOD的企業中,員工可以根據自己的喜好選擇移動終端的品牌和類型,實現對IT設備的個性化需求,滿足對時尚設備的追求。根據美國知名市場研究機構波耐蒙研究所的《全球移動風險研究報告》:77%的受訪者認為移動設備是幫助他們高效完成工作的得力助手之一。提升效率也正是BYOD興起的重要原因。
跟以往的移動辦公不同,BYOD環境下,員工使用的是自己購買的設備,企業無需再為員工購買統一的電腦、定制手機或平板電腦等辦公設備。因此,節約成本是BYOD之所以迅速普及的另一個重要原因,例如,思科公司從BYOD上節約了17%~22%的IT成本。
但是,并不是所有企業都能像思科一樣,從BYOD環境中受益。由于沒有被納入企業原有的安全防護體系中,BYOD設備在提高工作效率和愉悅員工的同時,也讓企業出現了難以掌控的安全風險。
不少企業已冷靜下來,比如美國聯邦政府部門的信息技術管理者們就在熱烈爭論,是否應該允許雇員將自己的智能手機和平板設備用于工作中,是否應該制定BYOD的相關政策。美國國家安全局移動委員會負責人Troy Lange就表示反對提供BYOD的辦公模式。美國退伍軍人事務部企業系統工程移動和安全保障服務部門的負責人Donald Kachman也表示了他的擔心:“一旦設備出現問題,我們能管理好設備嗎?我們能確保設備安全嗎?”他指出最新一代智能手機和平板電腦依然被視為新事物,而“其安全隱患是未知的”。反對BYOD的情況也同樣出現在香港,據飛天誠信副總經理鄭相啟介紹,在香港,引入辦公的移動設備必須經過認證才行。
傳統防護體系已失效
BYOD所帶來的安全問題首先體現在數據泄漏的風險上。越來越多的企業資料在知情或不知情的情況下被存儲在這些設備上,而這些設備又很難受控于企業原有的管理體系。但是,移動設備給企業帶來的風險,恰恰是它們現有的安全管控方法和可執行策略所無法覆蓋的。而且,員工往往還會刻意回避針對移動設備的安全管理,這也是一個非常嚴重的問題。
隨著移動終端不斷增長,企業用戶本身無法完全有效地對移動平臺和使用移動設備的用戶進行統一管理,也導致企業敏感信息和數據泄漏的風險上升。“例如,蘋果AppStore或者安卓市場中有許多應用,一些惡意軟件會偽裝成應用供用戶下載,當這些惡意軟件被下載到員工的移動設備并且進入了企業網絡范圍之內,企業的信息安全風險就會增加。”Websense中國區技術經理陳綱稱,當BYOD成為一種趨勢時候,這是企業管理者最擔心的問題。
不僅如此,企業在接受BYOD的同時,傳統的安全防護體系也在失效。互聯網訪問出現,無線網絡應用更為頻繁……很多過去企業沒有意識到的安全環節,如今反而需要進行重點防護。企業的網絡安全邊界也延展到廣域網,企業機密數據傳輸的路徑不僅走出了企業網,還變得極度復雜,企業內部的安全防護手段已鞭長莫及。
以往,企業的安全防護策略主要針對內網安全,但隨著移動終端的普及、虛擬化技術的廣泛應用,企業網絡邊界的延展,也在改變安全防護體系的基礎架構。在這種情況下,傳統的防火墻、防病毒軟件、IPS等企業安全防護的“老三樣”,已不足以滿足企業信息安全防護的需求。另外,由于移動終端和操作系統復雜多樣,BYOD也為信息安全管理帶來了新的挑戰。
同時,員工在使用移動設備時,很難主動產生安全意識。當員工通過3G網絡,利用自己的移動設備收發公司郵件,或者登錄公司應用辦公時,很少有人會意識到,自己的移動終端可能給企業帶來數據泄漏的風險。黑客可能通過惡意軟件或僵尸網絡,對企業網絡發起攻擊,或者竊取企業的核心數據。
最新的“全球移動風險研究報告”顯示:企業引入移動設備和員工攜帶個人設備上班的現象正在架空企業現行的安全體系和安全策略。來自12個國家的4000多名受訪者中有76%的人認同在采用移動設備的同時也將風險帶給了企業,只有36%的受訪者表示已經配備了必要的安全控制手段來應對這一類風險。
需要新的防護策略
由于企業網的邊界向操作系統和移動終端進行了延展,安全廠商提供的解決方案必須要覆蓋這些設備,以滿足企業的安全防護需求。這就要求安全廠商必須針對不同終端和操作系統的特點研發新技術,推出相關的解決方案。
《全球移動風險研究報告》指出:59%的調查對象表示,員工會繞行或者故意使安全防護策略失效。如何管理操作系統、硬件平臺各異的BYOD設備,并規避BYOD帶來的安全風險,如何保證業務和管理系統在多種設備上兼容運行等問題,對于大多數企業IT管理人員而言都是難以應對的挑戰。
在綠盟科技副總裁吳云坤看來,BYOD雖然在中國才剛剛起步,但是由于國內企業還沒有對BYOD帶來的威脅建立合理的安全防護策略,它給中國企業帶來的風險可能比其他國家更加嚴重。BYOD可能會造成企業核心業務系統受到攻擊,企業郵件、通信錄和在線業務系統中的企業和個人信息遭到竊取。這些威脅呼喚著以郵件防護和數據防護為中心的解決方案。
BYOD對企業的信息安全系統提出了新的需求,一個僅僅支持局域網訪問的應用很難支撐BYOD環境下的信息安全防護需求。因此,整個IT業界正在試圖尋找應對BYOD安全風險的不同思路和解決方案。
>桌面虛擬化:安全風險向后端轉移
虛擬化技術是云計算時代的一項重要技術。它將數據和應用程序在數據中心上集中管控,被認為是降低企業IT基礎設施安全風險的有效措施。以VMware、思杰和微軟為代表的桌面虛擬化技術,為BYOD環境下的信息安全防護提供了新的思路。
桌面虛擬化技術的本質是將桌面的操作環境與機器運行環境分離,實現在任何地點,通過非特定設備(例如不同的PC、筆記本電腦、PDA、手機)都可以實現對桌面的訪問與操作。通過該技術,所有的數據和應用程序將在數據中心進行托管并統一管理;用戶可以通過任何設備、任何網絡遠程訪問應用程序和數據,并且獲得與傳統PC一致的用戶體驗。
由于桌面虛擬化之后,用戶和后臺之間的通信只是簡單的鼠標點擊等操作,應用程序和數據并不存放在本地設備中,因此即便是惡意軟件入侵了用戶的設備,也無法獲取企業數據或信息。這為BYOD環境下,防止數據泄漏和惡意軟件威脅提供了一種行之有效的方法。
桌面虛擬化讓企業的IT信息管理者獲益匪淺,集中式桌面和應用管理能夠有效降低企業IT設備和網絡的安全威脅,而在整個企業范圍內取消獨立的標準化設備則有助于增加終端的靈活性,提高員工的工作效率,并簡化設備管理。
正如思杰公司認為的那樣,企業應采取“安全源于設計”的做法,將數據集中存放在數據中心、加密傳送到終端設備以及在脫機工作時隔離端點上的數據這三大措施共同實現了“允許任何員工通過任何設備隨時隨地安全訪問”的設想。而這些,都是通過細粒度訪問控制政策加以管理。
盡管桌面虛擬化的理念得到IT業界的認同,但是當前桌面虛擬化的普及速度卻比較緩慢。“由于跟便利性有沖突,放眼望去,虛擬化企業應用得比較好的是應用虛擬化和服務器虛擬化,終端虛擬化發展比較緩慢,這是因為員工希望個性化。如果一夜之間讓所有人都使用同一種模式,讓人非常難以接受。”Websense中國區技術經理陳綱稱,盡管從技術角度看,桌面虛擬化的效果顯而易見,但是其普及率不高,至少需要兩三年的推廣時間,因此難以在短期內有效解決問題。
此外,桌面虛擬化技術在降低終端安全風險的同時,增加了后端數據中心的安全管理壓力。由于應用程序和數據都存儲在后端的數據中心里,企業需要有效管理大量數據的安全性,進行數據保護和數據加密,保證虛擬化環境下數據中心的安全。此時,企業需要購買虛擬化安全解決方案或服務,造成安全成本上漲。
>>終端解決方案向移動領域拓展
在傳統信息安全架構的基礎上,延伸BYOD環境下的安全防護策略,拓展移動終端管理解決方案,對大多數企業而言,是比較容易接受的方案,因為企業無需徹底顛覆原有的信息安全防護架構,只要在原有的防火墻、防病毒軟件和IPS的基礎上,安裝一個插件或者軟件,就能與原有的安全體系融合起來,對BYOD設備,尤其是智能手機、平板電腦等移動終端進行統一管理和監控。例如,趨勢科技通過企業移動終端管理方案(TMMS7.1)、企業無限網絡接入管理方案(WSG)、個人移動終端安全方案(TMMS2.0),針對BYOD環境下的信息安全防護,推出了組合產品。
“不管是設備層面,還是系統層面或應用層面,都需要一些防護策略,集中化管理客戶的終端安全,才能減少數據外泄的風險。”趨勢科技中國區移動安全產品市場經理劉政平在接受本報記者采訪時表示,趨勢科技的移動安全產品設計也正是從這三個角度來考慮的。企業移動終端安全管理方案包含終端策略管理平臺、移動網關防護、移動應用管理、移動終端防護等四個方面。移動終端策略管理平臺統一管理所有移動終端,包括用戶的各種移動智能終端;移動網關防護通過設備準入、流量控制、設備管理等方式,阻斷外部威脅對內部應用的威脅;移動應用管理幫助企業建立起針對內部的企業級移動應用商店,在檢測確保應用程序安全安全之后,將蘋果AppStore或安卓市場中的應用程序上傳到企業自建的移動應用商店中,供內部員工下載使用。此外,趨勢科技移動應用管理還建立了黑白名單機制,過濾掉不允許安裝的、存在威脅的應用程序。
“智能手機、平板電腦等移動終端屬于消費產品,操作系統多種多樣,有的基于安卓,有的基于iOS,還有的基于Windows Phone等平臺。”劉政平建議企業用戶“把這些離散的、不是統一標準的平臺,集成到一個安全管控平臺上,企業內部必須對設備進行統一的管控”。他向記者介紹,趨勢科技已經為一些銀行提供類似的解決方案,為銀行提供應用程序的安全信譽評估服務,以使銀行內部網絡的應用程序中不包含惡意軟件。
對移動終端進行集中管控的方式,能降低企業的部署成本,減少管理這些設備的復雜度,確保訪問企業網絡資源的設備的安全性。然而,調查顯示,59%的員工會有意避開企業的這些終端管理措施,而建立企業內部的移動應用商店的方式的確能夠讓員工下載綠色的安全軟件。不過,當前在企業內部建立應用商店的還比較少,應用數量不多,功能不夠豐富,很難滿足員工的需求。大多數員工仍然在蘋果AppStore或者各類安卓市場中下載應用程序。
因此,從終端統一管控的角度出發構建企業的信息安全體系,需要在企業內部對員工進行不斷循環往復的培訓和教育,使其認同企業安全防護的理念,并且遵守相關安全管理規定。
>>>以數據為核心的數據防泄漏方案
在BYOD環境中,郵件訪問和企業業務系統是員工訪問最多的內容,也是最容易導致企業敏感數據泄漏的。而且,越是企業高管,使用移動設備辦公的概率越大,這些設備中可能包含的企業核心信息和機密數據的概率也越大。無論是信息的轉發、存儲,還是設備遺失,都會讓企業的安全風險增加。“在通過廣域網訪問企業應用的情況下,傳統的基于防火墻、VPN、IPS的解決方案,已經不足以支撐當前的安全防護體系。員工通過廣域網訪問企業網的路徑中,需要增加更多控制來保證企業網的數據和應用的安全。”Websense陳綱表示,針對移動終端訪問的熱門應用,新的解決方案也會應運而生。
圍繞郵件安全,安全防護策略需要解決的問題是什么數據能夠同步到BYOD設備上。Websene的解決方案是將DLP數據防護解決方案延伸到智能終端領域,通過關鍵詞、語義分析、指紋控制等技術對內容進行識別,無論員工使用企業網絡還是3G、家庭網絡,只要訪問企業郵件,DLP移動數據防護解決方案都能確保沒有訪問權限的BYOD設備無法訪問或同步這些敏感數據。
“另一種更加嚴格的控制方法是,讓所有訪問企業網絡的設備都必須通過VPN接入Websense云端進行敏感信息過濾。”陳綱介紹稱,Websense移動云安全解決方案是Websense針對BYOD開發的云安全策略,主要針對郵件安全和設備離開網絡之后的安全控制。
通過這種方式,當BYOD設備嘗試上傳或下載企業相關資料時,都必須接受Websense移動云的過濾和監控。無論員工使用的是哪種移動終端,通過哪種網絡訪問企業信息,都能被納入企業的安全防范策略中,與傳統的上網行為管理和終端解決方案相互補充,彌補了后兩者的不足。
今年的RSA大會上,Websense了以數據安全為核心的全新的Websense TRITON移動安全解決方案。它具有四個關鍵特點。第一,提供基于內容感知的數據安全功能以阻止基于iPads、iPhones、Android系統和其他移動設備的數據泄露;第二,提供實時的Web和應用安全及策略管控,并提供相關報告讓用戶能夠清楚地了解移動設備上敏感文件的風險狀態;第三,能阻止用戶下載惡意應用程序并阻攔惡意軟件;最后,它還融入了一個移動設備管理(MDM)程序。
陳綱稱,Websense TRITON移動安全解決方案包括Web安全、郵件安全、數據安全三部分,涵蓋了Websense所有解決方案的核心,能夠讓用戶通過統一的管理平臺,同時對Web、郵件、數據的安全進行管理和控制,而且用戶還可以選擇任意的交付形式,軟件、硬件和云的形式都可以。它支持在跨平臺交付形式下對不同設備進行統一管理。
>>>>讓數據安全地移動
在BYOD的浪潮中,企業員工在個性化需求得到滿足的同時,也應該為企業的網絡安全付出努力,增強相應的安全意識和防范措施。
對這些員工的BYOD設備,傳統的防火墻、反病毒軟件和VPN等工具依然必不可少。同時,檢測移動應用的安全性,及時發現智能終端上的安全陷阱,也是必要的防護策略。
此外,平板電腦、智能手機等終端的一個很重要的問題是容易丟失。當設備遺失時,其同步的郵件信息、企業敏感數據也面臨被泄露的風險。對此,各個安全廠商的移動終端安全解決方案,都將遠程手機定位和數據擦除作為重點功能。
例如,趨勢科技針對個人移動終端推出的個人移動終端安全方案(TMMS2.0),在智能手機丟失之后,在手機開機的狀態下,可以對其進行遠程定位,鎖定設備所在位置,讀取GPS的經緯度,然后通過谷歌地圖或百度地圖進行精確定位。
個人移動終端安全方案(TMMS2.0)的另一個功能是通過管理平臺發指令給手機,進行遠程數據擦除。在開機的狀態下,手機可以通過網絡或短信接收到指令,其中的敏感數據就會被自動擦除。用戶也可以選擇將這些數據同步到趨勢科技提供的云端存儲空間中,這樣用戶就可以將數據同步到另一臺設備中,避免重要數據丟失。而針對員工離職等情況,管理員也可以設置只將跟公司工作相關的信息擦除,保留員工的個人信息。
