關於企業網路安全防範措施有哪些
今天小編要跟大家講講企業網路安全防範措施有哪些~下面是小編為大家整理的相關資料知識點,希望大家參考參考!!!
企業網路安全防範措施一:
隨著Internet/Intranet技術的飛速發展和廣泛應用,網路安全問題愈來愈突出,已成為當前的一大技術熱點。黑客技術的公開和有組織化,以及網路的開放性使得網路受到攻擊的威脅越來越大。而企業對這一問題嚴重性的認識和所具備的應付能力還遠遠不夠。加上管理不當,應用人員水平參差不齊,沒有有效的方式控制網路的安全狀況,企業理想中的安全與實際的安全程度存在巨大的差距。
1、網路安全面臨的威脅
1、人為的無意失誤,如操作員安全配置不當造成的安全漏洞,使用者安全意識不強,使用者口令選擇不慎,使用者將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
2、人為的惡意攻擊,來自內部的攻擊者往往會對內部網安全造成最大的威脅,因為他們本身就是單位內?a href='//' target='_blank'>咳嗽保?緣ノ壞囊滴窳鞽蹋?τ孟低常??緗峁股踔潦峭?縵低徹芾矸淺J煜ぃ??廡┤嗽倍訧ntranet發起攻擊的成功率可能最高,造成的損失最大,所以這部分攻擊者應該成為我們要防範的主要目標。
3、網路軟體的漏洞和“後門”網路軟體不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過的黑客攻入網路內部的事件大部分就是因為安全措施不完善所招致的苦果。另外,軟體的“後門”都是軟體公司的設計程式設計人員為了自便而設定的,一般不為外人所知,可一旦“後門”洞開,其造成的後果將不堪設想。
4、網際網路絡的不安全因素,國際網際網路絡是跨越時空的,所以安全問題也是跨越時空的。雖然我們國家的網路不發達,但是我們遭到的安全危險卻是同國外一樣的,這是一個很嚴重的問題。在不同的行業,所遭受的攻擊因行業和網路服務的不同而不同。在電信或者ICP市場,進攻服務系統比較多;而在銀行業,對資料系統的進攻相對更頻繁;政府方面,對服務的進攻,尤其是其資訊釋出系統很頻繁。
5、病毒入侵,目前,網路病毒種類繁多,病毒很容易通過網際網路或其他途徑如通過各接入點、日常維護操作、磁碟、其他外網進入網路內部各伺服器,造成網路擁塞、業務中斷、系統崩潰。而現在流行的各種新型網路病毒,將網路蠕蟲、計算機病毒、木馬程式合為一體,發展到融和了多種技術於一體,互相利用和協同,已不僅僅是單一的攻擊和漏洞利用,使系統自身防不勝防。病毒發作對系統資料的破壞性、和系統本身都將會造成很大的影響。
2、網路攻擊的一般方法
從黑客的角度來看,黑客可以利用的方式多種多樣,包括:
1使用探察軟體,猜測和分析作業系統類別、網路提供服務、網路的結構等;
2使用強制攻擊軟體對網路進行攻擊,例如針對POP的強行的密碼猜解,SQL的密碼猜解等;
3使用漏洞掃描工具,發現漏洞,進而採用快取溢位等手段直接或者間接的獲取系統超級使用者許可權;如系統平臺自身由於漏洞被黑客利用,將直接導致全廠業務服務的中斷。
4使用木馬進行非法連線;
5利用疏忽的資料庫簡單配置,例如超級管理員密碼簡單甚至為空或者使用者密碼和使用者名稱相同等漏洞,獲取資料庫的某些許可權,進而獲得系統的許可權。
6利用可信任的關係進行攻擊,例如深圳電信網站的某些資料庫設定的訪問地址,這樣黑客可以先攻擊這些被資料庫信任的地址進行逐“跳”的攻擊。
7DDOS攻擊,使用各種工具進行洪水攻擊;利用漏洞的拒絕服務攻擊。
3、企業網路安全防護措施
根據企業網路系統的實際防護需要,必須保護的內容包括:Web主機入口網站、OA系統等基於Web訪問的主機,資料庫主機,郵件伺服器等,網路,內部網路檢測。對企業重要的是有效防護Web伺服器的非法訪問和網頁被非法修改,防護資料庫伺服器資料被非授權使用者非法訪問或被黑客篡改、刪除。一旦發現伺服器遭入侵或網頁被篡改,能進行及時報警和恢復處理。
1防火牆,在外部網路同內部網路之間應設定防火牆裝置。如通過防火牆過濾進出網路的資料;對進出網路的訪問行為進行控制和阻斷;封堵某些禁止的業務;記錄通過防火牆的資訊內容和活動;對網路攻擊的監測和告警。禁止外部使用者進入內部網路,訪問內部機器;保證外部使用者可以且只能訪問到某些指定的公開資訊;限制內部使用者只能訪問到某些特定的Intenet資源,如WWW服務、FTP服務、TELNET服務等;防火牆產品本身具有很強的抗攻擊能力。使用硬體防火牆,管理和維護更加方便有效。
2、入侵檢測系統,企業內部主機作業系統種類一般在兩種以上,而目前漏洞攻擊手法大部分是基於作業系統已有的安全漏洞進行攻擊,通過使用防火牆裝置可以防範大部分的黑客攻擊,但是有些攻擊手法是通過防火牆上開啟的正常服務來實現的,而且防火牆不能防範內部使用者的惡意行為和誤操作。通過使用入侵檢測系統,可以監視使用者和系統的執行狀態,查詢非法使用者和合法使用者的越權操作;檢測系統配置的正確性和安全漏洞,並提示管理員修補漏洞;對使用者非法活動的統計分析,發現攻擊行為的規律;檢查系統程式和資料的一致性和正確性;能夠實時對檢測到的攻擊行為進行反應。
3網路漏洞掃描入侵者一般總是通過尋找網路中的安全漏洞來尋找入侵點。進行系統自身的脆弱性檢查的主要目的是先於入侵者發現漏洞並及時彌補,從而進行安全防護。由於網路是動態變化的:網路結構不斷髮生變化、主機軟體不斷更新和增添;所以,我們必須經常利用網路漏洞掃描器對網路裝置進行自動的安全漏洞檢測和分析,包括:應用伺服器、WWW伺服器、郵件伺服器、DNS伺服器、資料庫伺服器、重要的檔案伺服器及交換機等網路裝置,通過模擬黑客攻擊手法,探測網路裝置中存在的弱點和漏洞,提醒安全管理員,及時完善安全策略,降低安全風險。
4、防病毒系統要防止計算機病毒在網路上傳播、擴散,需要從Internet、郵件、檔案伺服器和使用者終端四個方面來切斷病毒源,才能保證整個網路免除計算機病毒的干擾,避免網路上有害資訊、垃圾資訊的大量產生與傳播。單純的防毒軟體都是單一版系統,只能在單臺計算機上使用,只能保證病毒出現後將其殺滅,不能阻止病毒的傳播和未知病毒的感染;若一個使用者沒有這些防毒軟體,它將成為一個病毒傳染源,影響其它使用者,網路傳播型病毒的影響更甚。只有將防毒、防毒融為一體來考慮,才能較好的達到徹底預防和清除病毒的目的。
因此,使用網路防、防毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進出企業網的病毒、郵件病毒進行有效的清除,並提供基於網路的單機防毒能力。網路病毒防護系統能保證病毒庫的及時更新,以及對未知病毒的稽查。另外,要提高網路執行的管理水平,有效地、全方位地保障網路安全。
4、企業網路安全解決方案
廣義的計算機系統安全的範圍很廣,它不僅包括計算機系統本身,還包括自然災害如雷電、地震、火災等,物理損壞如硬碟損壞、裝置使用壽命到期等,裝置故障如停電、電磁干擾等,意外事故等。
狹義的系統安全包括計算機主機系統和網路系統上的主機、網路裝置和某些終端裝置的安全問題,主要針對對這些系統的攻擊、偵聽、欺騙等非法手段的防護。以下所有的計算機系統安全均是狹義的系統安全範疇。規劃企業網路安全方案,要根據企業的網路現狀和網路安全需求,結合網路安全分析,一是需要加強對網路出口安全方面的控制和管理,防止安全事故的發生;二是加強內部網路訪問控制,以業務分工來規劃網路,限制網路使用者的訪問範圍;同時增加網路安全檢測裝置,對使用者的非法訪問進行監控。我們建議,企業的安全解決方案一般應有下面一些做法:
1在Internet接入處,放置高效能硬體防火牆包括防火牆+頻寬管理+流探測+互動IDS等。防火牆要支援包過濾和應用級代理兩種技術,具有三種管理方式,能夠很方便的設定防火牆的各種安全策略,並且能夠與網路入侵檢測系統進行互動,相互配合,阻擋黑客的攻擊。
2在內網快速以大網交換機上連線一個網路入侵檢測系統,對進入內網的資料包進行檢查,確保沒有惡意的資料包進入,從而影響內網資料伺服器的正常工作。
3使用網際網路入侵檢測系統對DMZ區和內網的伺服器包括Web伺服器/應用伺服器、資料伺服器、DNS伺服器、郵件伺服器和管理伺服器等,以及桌面計算機進行掃描和評估,進行人工安全分析,以確定其存在的各種安全隱患和漏洞,並根據掃描的結果提出加固建議,保護企業網路系統的正常工作。
4在各主要伺服器上安裝伺服器防病毒產品,對伺服器進行病毒防護,確保病毒不會進入各伺服器,並且不會通過伺服器進行傳播。
5用一臺專用的PC伺服器安裝伺服器防病毒系統,並在內網上安裝工作站防病毒產品,通過伺服器防病毒系統對這些工作站進行管理和升級。
企業網路安全防範措施二:
病毒侵襲幾乎有計算機的地方,就有出現計算機病毒的可能性。計算機病毒通常隱藏在檔案或程式程式碼內,伺機進行自我複製,並能夠通過網路、磁碟、光碟等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大,所以它的危害最能引起關注。病毒的“毒性”不同,輕者只會玩笑性地在受害機器上顯示幾個警告資訊,重則有可能破壞或危及個人計算機乃至整個企業網路的安全。
防毒軟體是對付病毒的最好方法之一。然而,如果沒有“憂患意識”,很容易陷入“盲從防毒軟體”的誤區。據最新統計顯示:被調查的近千家企業中約有百分之八十把單機版防毒軟體當作網路版使用;這些企業網路安全防範意識非常薄弱,超過八成的計算機曾經被病毒入侵過。因此,光有工具不行,還必須在意識上加強防範,並且注重操作的正確性;重要的是在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
黑客入侵
隨著越來越多黑客案件的報道,企業不得不意識到黑客的存在。一般來說,黑客常用的入侵動機和形式可以分為兩種。
拒絕服務DOS,DENIAL-OF-SERVICE攻擊這類攻擊一般能使單個計算機或整個網路癱瘓,黑客使用這種攻擊方式的意圖很明顯,就是要阻礙合法網路使用者使用該服務或破壞正常的商務活動。例如,通過破壞兩臺計算機之間的連線而阻止使用者訪問服務;通過向企業的網路傳送大量資訊而堵塞合法的網路通訊,最後不僅摧毀網路架構本身,也破壞整個企業運作。
非法入侵非法入侵是指黑客利用企業網路的安全漏洞訪問企業內部網路或資料資源,從事刪除、複製甚至毀壞資料的活動。無論入侵的人是誰,和企業有著怎樣的關係,這種入侵行為都可能致使公司停工、增加清除成本或資料被竊而造成無法挽回的損失。除此之外,非法入侵對於企業的品牌形象、客戶信賴度、市場佔有率甚至股價都有潛在性的影響。在未來,黑客入侵將具備企業殺手的潛力,企業不得不加以謹慎預防。
從技術層次分析,試圖非法入侵的黑客,或者通過猜測程式對截獲的使用者賬號和口令進行破譯,以便進入系統後做更進一步的操作;或者利用伺服器對外提供的某些服務程序的漏洞,獲取有用資訊從而進入系統;或者利用網路和系統本身存在的或設定錯誤引起的薄弱環節和安全漏洞實施電子引誘,以獲取進一步的有用資訊;或者通過系統應用程式的漏洞獲得使用者口令,侵入系統。
由上述諸多入侵方式可見,遭遇黑客入侵恐怕是難免的,企業可以做的是如何儘可能降低危害程度。除了採用防火牆、資料加密以及藉助公鑰密碼體制等手段以外,對安全係數要求高的企業還可以充分利用網路上專門機構公佈的常見入侵行為特徵資料—通過分析這些資料,企業可以形成適合自身的安全性策略,努力使風險降低到企業可以接受且可以管理的程度。
企業網路安全防範措施三:
在當今網路化的世界中,計算機資訊和資源很容易遭到各方面的攻擊。一方面,來源於Internet,Internet給企業網帶來成熟的應用技術的同時,也把固有的安全問題帶給了企業網;另一方面,來源於企業內部,因為是企業內部的網路,主要針對企業內部的人員和企業內部的資訊資源,因此,企業網同時又面臨自身所特有的安全問題。網路的開放性和共享性在方便了人們使用的同時,也使得網路很容易遭受到攻擊,而攻擊的後果是嚴重的,諸如資料被人竊取、伺服器不能提供服務等等。隨著資訊科技的高速發展,網路安全技術也越來越受到重視,由此推動了防火牆、人侵檢測、虛擬專用網、訪問控制等各種網路安全技術的蓬勃發展。 企業網路安全是系統結構本身的安全,所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次,從高到低分別是企業安全策略層、企業使用者層、企業網路與資訊資源層、安全服務層。按這些層次建立一套多層次的安全技術防範系統,常見的企業網安全技術有如下一些。
VLAN虛擬區域網技術 選擇VLAN技術可較好地從鏈路層實施網路安全保障。VLAN指通過交換裝置在網路的物理拓撲結構基礎上建立一個邏輯網路,它依*使用者的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網,劃分的依據可以是裝置所連埠、使用者節點的MAC地址等。該技術能有效地控制網路流量、防止廣播風暴,還可利用MAC層的資料包過濾技術,對安全性要求高的VLAN埠實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網路的資訊。
網路分段 企業網大多采用以廣播為基礎的乙太網,任何兩個節點之間的通訊資料包,可以被處在同一乙太網上的任何一個節點的網絡卡所擷取。因此,黑客只要接人乙太網上的任一節點進行偵聽,就可以捕獲發生在這個乙太網上的所有資料包,對其進行解包分析,從而竊取關鍵資訊。網路分段就是將非法使用者與網路資源相互隔離,從而達到限制使用者非法訪問的目的。
硬體防火牆技術 任何企業安全策略的一個主要部分都是實現和維護防火牆,因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣,這使得內部網路與Internet之間或者與其他外部網路互相隔離,並限制網路互訪從而保護企業內部網路。設定防火牆的目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。
入侵檢測技術 入侵檢測方法較多,如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。