企业网络安全管理策略Word文档格式.docx

企业网络安全管理策略Word文档格式.docx

《企业网络安全管理策略Word文档格式.docx》由会员分享，可在线阅读，更多相关《企业网络安全管理策略Word文档格式.docx（12页珍藏版）》请在冰豆网上搜索。

强化网络安全，要有一个统一的管理制度，否则信息安全将得不到保障，造成整个网络规划与建设的混乱；

网络管理和运行的不规范，所有的数据信息将得不到有效的保护。

网络管理包括三个层次的内容：

组织建设、制度建设和人员意识。

●组织建设：

是指有关信息安全机构的建设。

信息安全的管理包括安全机规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等多方面的内容。

●制度建设：

建立切实可行的信息安全管理规章制度，以保证信息安全。

●人员意识：

主管领导的高度重视和提高广大用户信息安全意识。

加强信息安全意识的教育和培训，提高职工对信息安全的重视和安全防范水平。

2.2网络安全技术

影响计算机网络环境中信息安全的技术问题包括通信安全技术和计算机安全技术，二者共同维护着信息安全。

2.2.1通信安全涉及的技术

信息加密技术：

是保障信息安全的最基本、最核心的技术措施和理论基础。

信息确认技术：

通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。

网络控制技术：

包括防火墙技术、审计技术、访问控制技术、入侵检测技术及相应的安全协议。

2.2.2计算机安全涉及的计算机技术

容错计算机技术：

其基本特点是具有稳定可靠的电源、预知故障、保证数据的完整性和数据恢复等。

安全操作系统：

计算机工作平台，具有一定的访问控制、安全内核和系统设计等安全功能。

计算机反病毒技术：

计算机病毒其实是一种在计算机运行中能够实现传染和侵害的功能程序，是目前影响计算机安全的重要因素。

第3章企业信息安全隐患分析

3.1网络通信协议

IP层协议安全缺陷，IP地址软件设置是IP地址假冒和IP地址欺骗的安全隐患；

应用层协议TELNET、FTP、SMTP等协议缺乏安全认证和保密措施，为攻击者提供了截获秘密的通道。

3.2资源共享

网络应用通常是共享网络资源，比如信息共享、设备共享等。

如果缺少必要的访问控制策略，会造成存储设备中各种重要信息泄密。

3.3电子邮件协议

电子邮件为网络用户提供电子邮件应用服务。

内部网用户可以通过拔号或其它方式发送和接收电子邮件，这就会被黑客跟踪或收到一些特洛伊木马、病毒程序等，如果用户安全意识比较淡薄，给入侵者提供机会，会给系统带来不安全因素。

3.4操作系统的安全漏洞

计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。

3.5病毒侵害

网络是病毒传播最好、最快的途径之一。

一旦有主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。

3.6网络系统安全策略不健全，或配置失当，产生网络系统安全漏洞。

第4章对企业信息安全技术概述

企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现，如防火墙技术，入侵监控技术、安全漏洞扫描技术、病毒防护技术等，下面就以上技术加以详细阐述：

4.1防火墙技术

防火墙是指设置在不同网络（如企业内部网和不可信的公共网）之间的一系列部件的组合，分硬件防火墙和软件防火墙，它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

根据防火墙所采用的技术不同,可以分为:

包过滤型、网络地址转换—NAT、代理型。

4.1.1包过滤型

其技术依据是网络中的分包传输技术。

网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。

防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 

。

一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。

系统管理员也可以根据实际情况灵活制订判断规则。

但包过滤技术的缺陷也是明显的。

包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。

有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

4.1.2网络地址转换—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。

它允许具有私有IP地址的内部网络访问因特网。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。

系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。

在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。

防火墙根据预先定义好的映射规则来判断这个访问是否安全。

当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。

当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。

4.1.3代理型 

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。

代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。

从客户机来看,代理服务器相当于一台真正的服务器;

而从服务器来看,代理服务器又是一台真正的客户机。

当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。

由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。

其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

4.2入侵检测（IDS）技术

入侵检测系统是近年出现的新型网络安全技术，它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。

入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。

它具有以下主要作用：

●通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生。

●检测其它安全措施未能阻止的攻击或安全违规行为。

●检测黑客在攻击前的探测行为，预先给管理员发出警报。

●报告计算机系统或网络中存在的安全威胁。

●提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。

●在大型、复杂的计算机网络中部署入侵检测系统，可以显著提高网络安全管理的质量。

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。

但是，仅仅使用防火墙、网络安全还远远不够：

●入侵者可寻找防火墙背后可能敞开的后门。

●入侵者可能就在防火墙内。

●由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

入侵检测系统可分为两类。

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等。

基于主机的安全监控系统具备如下特点：

●精确，可以精确地判断入侵事件。

●高级，可以判断应用层的入侵事件。

●对入侵时间立即进行反应。

●针对不同操作系统特点。

●占用主机宝贵资源。

基于网络的入侵检测系统用于实时监控网络关键路径的信息，具备如下特点：

●能够监视经过本网段的任何活动。

●实时网络监视。

●监视粒度更细致。

●精确度较差。

●防入侵欺骗的能力较差。

●交换网络环境难于配置。

基于主机及网络的入侵监控系统通常均可配置为分布式模式：

●在需要监视的服务器上安装监视模块（agent），分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

●在需要监视的网络路径上，放置监视模块（sensor）,分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

4.3漏洞扫描技术

漏洞扫描系统是网络安全产品不可缺少的一部分，漏洞扫描是增强系统安全性的重要措施之一，它能够有效地预先评估和分析系统中的安全问题。

针对发现的网络安全漏洞提供详尽的检测报告和切实可行的网络安全漏洞解决方案，使系统管理员在黑客入侵之前将系统可能存在的各种安全漏洞修补好，避免黑客的入侵而造成不同程度的损失。

漏洞扫描工具通常分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。

通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。

漏洞扫描器多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。

扫描器首先通过请求/应答，或通过执行攻击脚本，来搜集目标主机上的信息，然后在获取的信息中寻找漏洞特征库定义的安全漏洞，如果有，则认为安全漏洞存在。

4.4病毒防护技术

病毒历来是信息系统安全的主要问题之一。

由于网络的广泛互联，病毒的传播途径和速度大大加快。

病毒程序可以通过文件下载、电子邮件、使用盗版光盘或软盘、通过Web游览传播（主要是恶意的Java控件网站）、人为投放等传播途径潜入内部网。

网络中一旦有一台主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等

病毒防护的主要技术如下：

●阻止病毒的传播。

在所有计算机上安装病毒监控软件。

●检查和清除病毒。

使用防病毒软件检查和清除病毒。

●病毒数据库的升级。

病毒数据库应不断更新，并下发到桌面系统。

第5章网络安全需求分析

5．1当前网络状况

冀东油田计算机网络属中石油冀东油田分公司企业网，从网络拓扑结构上主要分为唐山基地、唐海基地和生产前线三大块。

网络控制中心设在唐山科研大楼，其中包括核心交换机、路由器等主要网络和DNS、WWW、EMAIL等各种服务器。

在唐海基地网络设备主要以交换机为主。

生产前线各单位的上网主要是以无线方式接入。

网络拓扑图见图5－1。

图5－1网络拓扑图

5．2网络安全的需求

5．2．1企业网络的基本安全需求

满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则。

企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。

对于各种各样的网络攻击，需要在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段。

5．2．2业务系统的安全需求　　　　　　　

与普通网络应用不同的是，业务系统是企业应用的核心。

对于业务系统应该具有最高的网络安全措施。

企业网络应保障：

访问控制，确保业务系统不被非法访问；

数据安全，保证数据库软硬件系统的整体安全性和可靠性；

入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据；

来自网络内部其他系统的破坏，或误操作造成的安全隐患。

5．2．3Internet服务网络的安全需求

Internet服务网络分为两个部分：

提供网络用户对Internet的访问：

提供Internet对网内服务的访问。

网络内客户对Internet的访问，有可能带来某些类型的网络安全。

如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。

因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。

网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求：

需要保证信息网络之间安全互联，能够实现网络安全隔离；

对于专有应用的安全服务；

必要的信息交互的可信任性；

能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能够实现安全应用；

同时信息网络公共资源能够对开放用户提供安全访问；

对网络安全事件的审计；

对于网络安全状态的量化评估；

对网络安全状态的实时监控；

能够防范包括：

●利用Http应用，通过JavaApplet、ActiveX以及JavaScript形式；

●利用Ftp应用，通过文件传输形式；

●利用SMTP应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害。

5．2．4安全管理需求分析

网络安全可以采用多种技术来增强和执行，但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。

安全威胁主要利用以下途径：

系统实现存在的漏洞；

系统安全体系的缺陷；

使用人员的安全意识薄弱；

管理制度的薄弱。

良好的网络管理有助于增强系统的安全性：

及时发现系统安全的漏洞；

审查系统安全体系；

加强对使用人员的安全知识教育；

建立完善的系统管理制度。

如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说是至关重要的。

第6章网络信息安全策略及基本措施

信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；

对网络中所有的装置（如Web服务器、路由器和内部网络等）进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。

　通过对油田网络信息安全现状的分析与研究以及对当前安全技术的研究分析，我们制定如下企业信息安全策略，附油田网络安全方案拓扑图见图6－1。

图6－1油田网络安全方案拓扑图

6．1网络信息安全方案实施

6．1．1防火墙实施方案

根据网络整体安全考虑，采用两台ciscopix535防火墙，一防火墙对业务网与企业内网进行隔离，另一防火墙对Internet与企业内网之间进行隔离，其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。

防火墙设置原则如下所示：

建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问；

防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其他服务，防范外部来的拒绝服务攻击；

定期查看防火墙访问日志；

对防火墙的管理员权限严格控制。

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

6．1．2入侵检测方案

在核心交换机监控端口部署CA入侵检测系统（eTrustIntrusionDetection），并在不同网段（本地或远程）上安装由中央工作站控制的网络入侵检测代理，对网络入侵进行检测和响应。

入侵检测系统实时捕获内外网之间传输的所有数据，以动态图形方式展现出来，使管理员能够时刻掌握当前内外网之间正在进行的连接和访问情况；

运用协议分析和模式匹配方法，可以有效地识别各种网络攻击和异常现象，如拒绝服务攻击，非授权访问尝试，预攻击探测等；

当攻击发生时，可根据管理员的配置以多种方式发出实时报警;

对于严重的网络入侵事件，也可由入侵检测引擎直接发出阻断信号切断发生攻击的连接，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。

6．1．3网络安全漏洞

企业网络拥有WWW、邮件、域、视频等服务器，还有重要的数据库服务器，对于管理人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，达到增强网络安全性的目的。

6．1．4防病毒方案

采用Symantec网络防病毒软件，建立企业整体防病毒体系，对网络内的服务器和所有计算机设备采取全面病毒防护。

并且需要在网络中心设置病毒防护管理中心，通过防病毒管理中心将局域网内所有计算机创建在同一防病毒管理域内。

通过防病毒管理域的主服务器，对整个域进行防病毒管理，制定统一的防毒策略，设定域扫描作业，安排系统自动查、杀病毒。

可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控；

可实现对所有防毒软件的集中管理、集中设置、集中维护；

可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式，对病毒的爆发进行报警；

可集中获得防毒系统的日志信息；

管理人员可方便地对系统情况进行汇总和分析。

根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒工具，采取相关措施，防范于未然。

6．1．5访问控制管理

实施有效的用户口令和访问控制，确保只有合法用户才能访问合法资源。

在内网中系统管理员必须管理好所有的设备口令，不要在不同系统上使用同一口令；

口令中最好要有大小写字母、字符、数字；

定期改变自己的口令。

6．1．6重要文件及内部资料管理

定期对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。

可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件，全面地保护数据的安全。

系统软件、应用软件及信息数据要实施保密，并自觉对文件进行分级管理，注意对系统文件、重要的可执行文件进行写保护。

对于重要的服务器，利用RAID5等数据存储技术加强数据备份和恢复措施；

对敏感的设备和数据要建立必要的物理或逻辑隔离措施。

6．2网络信息管理策略

安全管理主要包括三个方面：

内部安全管理：

主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。

内部安全管理主要采取行政手段和技术手段相结合的方法。

网络安全管理：

在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改。

网络层的安全管理可以通过网管、防火墙、安全检测等一些网络层的管理工具来实现。

应用安全管理：

应用系统的安全管理是一件很复杂的事情。

由于各个应用系统的安全机制不一样，因此需要通过建立统一的应用安全平台来管理，包括建立建立统一的用户库、统一维护资源目录、统一授权等。

第7章结论

通过对企业信息安全现状分析，引进防火墙等、入侵监测、漏洞扫描、防病毒技术，从技术上保证了企业信息安全。

同时提出了应该加强企业信息管理规章制度建设，提高企业员工信息安全防范意识，从管理上强化企业信息安全。

企业信息安全策略的实施与应用，为企业信息安全提供了保障，也使企业网络的正常运行有一个良好环境。

企业的各种信息能够快捷、准确的提供给领导决策者和科研生产者，在油田的生产和科研中必将发挥着重要作用。

随着信息技术的快速发展，对信息安全技术的要求也会随之增高。

今后油田企业信息安全发展应该继续跟踪、学习国内外信息安全技术方面知识，并加强该方面人员的技术培训，提高企业信息安全管理技术水平。

参考文献

［1］张宏网络安全基础机械工业出版社2004年第一版21-24页

［2］AnneCarasik-Henmi等防火墙核心技术精解中国水利水电出版社2005年第一版10-14

［3］PaulE.Proctor入侵检测实用手册中国电力出版社200年第一版24-30,52-57

致谢

本论文是在权怀斌老师的悉心指导下完成的。

权怀斌老师渊博的专业知识，严谨的治学态度，精益求精的工作作风，严以律己、宽以待人的崇高风范，朴实无华、平易近人的人格魅力对我影响深远。