企業(yè)網(wǎng)絡(luò)安全管理策略

1、企業(yè)網(wǎng)絡(luò)安全管理策略朱海波論文完成時間：2008年_09_月日摘要文章闡述了網(wǎng)絡(luò)信息安全的基本概念，分析影響網(wǎng)絡(luò)安全的因素。論述了網(wǎng)絡(luò)信息安全技術(shù)的技術(shù)的分類及其主要技術(shù)特征。就企業(yè)網(wǎng)絡(luò)現(xiàn)狀提出需求分析并制定防范措施。關(guān)鍵詞：網(wǎng)絡(luò)安全防火墻入侵監(jiān)測漏洞掃描目錄第1章前言1第2章計算機(jī)信息網(wǎng)絡(luò)安全概述2第3章企業(yè)信息安全隱患分析4第4章對企業(yè)信息安全技術(shù)概述5第5章網(wǎng)絡(luò)安全需求分析8第6章網(wǎng)絡(luò)信息安全策略及基本措施10第7章結(jié)論與建議13第1章前言隨著企業(yè)信息化水平的逐步提高，網(wǎng)絡(luò)安全與否，直接關(guān)系到油田生產(chǎn)和科研的正常進(jìn)行。網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導(dǎo)致全

2、網(wǎng)的安全問題。如果不進(jìn)行有效的安全防護(hù)，網(wǎng)絡(luò)信息系統(tǒng)將會受到具有破壞性的攻擊和危害。第2章計算機(jī)信息網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)環(huán)境下的信息安全不僅涉及加密、防黑客、反病毒等專業(yè)技術(shù)問題，而且涉及法律政策問題和管理問題。其中，技術(shù)問題是最直接的保證信息安全的手段，法律政策和管理是信息安全的基礎(chǔ)和保障。網(wǎng)絡(luò)管理政策法規(guī)網(wǎng)絡(luò)的安全運行，信息的安全傳遞，必要提高法律意識。強(qiáng)化網(wǎng)絡(luò)安全，要有一個統(tǒng)一的管理制度，否則信息安全將得不到保障，造成整個網(wǎng)絡(luò)規(guī)劃與建設(shè)的混亂；網(wǎng)絡(luò)管理和運行的不規(guī)范，所有的數(shù)據(jù)信息將得不到有效的保護(hù)。網(wǎng)絡(luò)管理包括三個層次的內(nèi)容：組織建設(shè)、制度建設(shè)和人員意識。組織建設(shè)：是指有關(guān)信息安全機(jī)構(gòu)的建

3、設(shè)。信息安全的管理包括安全機(jī)規(guī)劃、風(fēng)險管理、應(yīng)急計劃、安全教育培訓(xùn)、安全系統(tǒng)評估、安全認(rèn)證等多方面的內(nèi)容。制度建設(shè)：建立切實可行的信息安全管理規(guī)章制度，以保證信息安全。人員意識：主管領(lǐng)導(dǎo)的高度重視和提高廣大用戶信息安全意識。加強(qiáng)信息安全意識的教育和培訓(xùn)，提高職工對信息安全的重視和安全防范水平。網(wǎng)絡(luò)安全技術(shù)影響計算機(jī)網(wǎng)絡(luò)環(huán)境中信息安全的技術(shù)問題包括通信安全技術(shù)和計算機(jī)安全技術(shù)，二者共同維護(hù)著信息安全。通信安全涉及的技術(shù)信息加密技術(shù)：是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)。信息確認(rèn)技術(shù)：通過嚴(yán)格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。網(wǎng)絡(luò)控制技術(shù)：包括防火墻技術(shù)、審計技術(shù)、

4、訪問控制技術(shù)、入侵檢測技術(shù)及相應(yīng)的安全協(xié)議。計算機(jī)安全涉及的計算機(jī)技術(shù)容錯計算機(jī)技術(shù)：其基本特點是具有穩(wěn)定可靠的電源、預(yù)知故障、保證數(shù)據(jù)的完整性和數(shù)據(jù)恢復(fù)等。安全操作系統(tǒng)：計算機(jī)工作平臺，具有一定的訪問控制、安全內(nèi)核和系統(tǒng)設(shè)計等安全功能。計算機(jī)反病毒技術(shù)：計算機(jī)病毒其實是一種在計算機(jī)運行中能夠?qū)崿F(xiàn)傳染和侵害的功能程序，是目前影響計算機(jī)安全的重要因素。第3章企業(yè)信息安全隱患分析網(wǎng)絡(luò)通信協(xié)議IP層協(xié)議安全缺陷，IP地址軟件設(shè)置是IP地址假冒和IP地址欺騙的安全隱患；應(yīng)用層協(xié)議TELNET、FTP、SMTP等協(xié)議缺乏安全認(rèn)證和保密措施，為攻擊者提供了截獲秘密的通道。資源共享網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源

5、，比如信息共享、設(shè)備共享等。如果缺少必要的訪問控制策略，會造成存儲設(shè)備中各種重要信息泄密。電子郵件協(xié)議電子郵件為網(wǎng)絡(luò)用戶提供電子郵件應(yīng)用服務(wù)。內(nèi)部網(wǎng)用戶可以通過拔號或其它方式發(fā)送和接收電子郵件，這就會被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，如果用戶安全意識比較淡薄，給入侵者提供機(jī)會，會給系統(tǒng)帶來不安全因素。操作系統(tǒng)的安全漏洞計算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)是被攻擊的重點，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機(jī)器本身而且會消耗大量的網(wǎng)絡(luò)資源，致使整個網(wǎng)絡(luò)陷入癱瘓。病毒侵害網(wǎng)絡(luò)是病毒傳播最好、最快的途徑之一。一旦有主機(jī)受病毒感染，病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，

6、可能造成信息泄漏、文件丟失、機(jī)器不能正常運行等。網(wǎng)絡(luò)系統(tǒng)安全策略不健全，或配置失當(dāng)，產(chǎn)生網(wǎng)絡(luò)系統(tǒng)安全漏洞。第4章對企業(yè)信息安全技術(shù)概述企業(yè)網(wǎng)絡(luò)系統(tǒng)涉及到各方面的網(wǎng)絡(luò)安全問題，我們認(rèn)為整個企業(yè)的安全體系必須集成多種安全技術(shù)實現(xiàn)，如防火墻技術(shù)，入侵監(jiān)控技術(shù)、安全漏洞掃描技術(shù)、病毒防護(hù)技術(shù)等，下面就以上技術(shù)加以詳細(xì)闡述：防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）之間的一系列部件的組合，分硬件防火墻和軟件防火墻，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和

7、信息安全的基礎(chǔ)設(shè)施。根據(jù)防火墻所采用的技術(shù)不同,可以分為:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型。4.1.1包過濾型其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點。一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和

8、端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。4.1.2網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址

9、和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。4.1.3代理型代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這

10、一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。4.2入侵檢測（IDS）技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，它監(jiān)視計算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對它們進(jìn)行分析，以尋找危及機(jī)密性、完整性、可用性或繞過安全機(jī)制的入侵行為。入侵檢測系統(tǒng)作為一種積極主動的安

11、全防護(hù)工具，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護(hù)，在計算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報警、攔截和響應(yīng)。它具有以下主要作用：通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生。檢測其它安全措施未能阻止的攻擊或安全違規(guī)行為。檢測黑客在攻擊前的探測行為，預(yù)先給管理員發(fā)出警報。報告計算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點，利于其進(jìn)行修補。在大型、復(fù)雜的計算機(jī)網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻、

12、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：入侵者可尋找防火墻背后可能敞開的后門。入侵者可能就在防火墻內(nèi)。由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)可分為兩類?；谥鳈C(jī)的入侵檢測系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等?；谥鳈C(jī)的安全監(jiān)控系統(tǒng)具備如下特點：精確，可以精確地判斷入侵事件。高級，可以判斷應(yīng)用層的入侵事件。對入侵時間立即進(jìn)行反應(yīng)。針對不同操作系統(tǒng)特點。占用主機(jī)寶貴資源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，具備如下特點：能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。實時網(wǎng)絡(luò)監(jiān)視。監(jiān)視粒度更細(xì)致。精確度較差。防入侵欺騙的能力較差。交換網(wǎng)絡(luò)環(huán)境難于

13、配置。基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent),分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊(sensor)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。4.3漏洞掃描技術(shù)漏洞掃描系統(tǒng)是網(wǎng)絡(luò)安全產(chǎn)品不可缺少的一部分，漏洞掃描是增強(qiáng)系統(tǒng)安全性的重要措施之一，它能夠有效地預(yù)先評估和分析系統(tǒng)中的安全問題。針對發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞提供詳盡的檢測報告和切實可行的網(wǎng)絡(luò)安全漏洞解決方案，使系統(tǒng)管理員在黑客入侵之前將系統(tǒng)可能存在的各種安全漏洞修補好，避免黑客的入侵而造成不同程度的損

14、失。漏洞掃描工具通常分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器?；诜?wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機(jī)、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。漏洞掃描器多數(shù)采用基于特征的匹配技術(shù)，與基于誤用檢測技術(shù)的入侵檢測系統(tǒng)相類似。掃描器首先通過請求/應(yīng)答，或通過執(zhí)行攻擊腳本，來搜集目標(biāo)主機(jī)上的信息，然后在獲取的信息中尋找漏洞特征庫定義的安全漏洞，如果有，則認(rèn)為

15、安全漏洞存在。4.4病毒防護(hù)技術(shù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。病毒程序可以通過文件下載、電子郵件、使用盜版光盤或軟盤、通過Web游覽傳播（主要是惡意的Java控件網(wǎng)站）、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器不能正常運行等病毒防護(hù)的主要技術(shù)如下：阻止病毒的傳播。在所有計算機(jī)上安裝病毒監(jiān)控軟件。檢查和清除病毒。使用防病毒軟件檢查和清除病毒。病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。第5章網(wǎng)絡(luò)安全需求分析

16、51當(dāng)前網(wǎng)絡(luò)狀況冀東油田計算機(jī)網(wǎng)絡(luò)屬中石油冀東油田分公司企業(yè)網(wǎng)，從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上主要分為唐山基地、唐?；睾蜕a(chǎn)前線三大塊。網(wǎng)絡(luò)控制中心設(shè)在唐山科研大樓，其中包括核心交換機(jī)、路由器等主要網(wǎng)絡(luò)和DNS、WWW、EMAIL等各種服務(wù)器。在唐?；鼐W(wǎng)絡(luò)設(shè)備主要以交換機(jī)為主。生產(chǎn)前線各單位的上網(wǎng)主要是以無線方式接入。網(wǎng)絡(luò)拓?fù)鋱D見圖51。圖51網(wǎng)絡(luò)拓?fù)鋱D5.2網(wǎng)絡(luò)安全的需求5.21企業(yè)網(wǎng)絡(luò)的基本安全需求滿足基本的安全要求，是該網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，

17、是企業(yè)網(wǎng)絡(luò)的基本安全需求。對于各種各樣的網(wǎng)絡(luò)攻擊，需要在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。5.2.2業(yè)務(wù)系統(tǒng)的安全需求與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。企業(yè)網(wǎng)絡(luò)應(yīng)保障：訪問控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問；數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性；入侵檢測，對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)；來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。523Internet服務(wù)網(wǎng)絡(luò)的安全需求Internet服務(wù)網(wǎng)絡(luò)分為兩個部分:提供網(wǎng)絡(luò)用戶對I

18、nternet的訪問：提供Internet對網(wǎng)內(nèi)服務(wù)的訪問。網(wǎng)絡(luò)內(nèi)客戶對Internet的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全。如通過電子郵件、FTP引入病毒、危險的Java或ActiveX應(yīng)用等。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。網(wǎng)絡(luò)安全需求是保護(hù)網(wǎng)絡(luò)不受破壞，確保網(wǎng)絡(luò)服務(wù)的可用性，作為信息網(wǎng)絡(luò)之間的互聯(lián)的邊界安全應(yīng)作為主要安全需求:需要保證信息網(wǎng)絡(luò)之間安全互聯(lián)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離；對于專有應(yīng)用的安全服務(wù)；必要的信息交互的可信任性；能夠提供對于主流網(wǎng)絡(luò)應(yīng)用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能夠?qū)崿F(xiàn)安全應(yīng)用；同時信息網(wǎng)絡(luò)公

19、共資源能夠?qū)﹂_放用戶提供安全訪問；對網(wǎng)絡(luò)安全事件的審計；對于網(wǎng)絡(luò)安全狀態(tài)的量化評估；對網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控；能夠防范包括:利用Http應(yīng)用，通過JavaApplet、ActiveX以及JavaScript形式；利用Ftp應(yīng)用，通過文件傳輸形式；利用SMTP應(yīng)用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息對于信息網(wǎng)絡(luò)的侵害。524安全管理需求分析網(wǎng)絡(luò)安全可以采用多種技術(shù)來增強(qiáng)和執(zhí)行，但是，很多安全威脅來源于管理上的松懈及對安全威脅的認(rèn)識。安全威脅主要利用以下途徑:系統(tǒng)實現(xiàn)存在的漏洞；系統(tǒng)安全體系的缺陷；使用人員的安全意識薄弱；管理制度的薄弱。良好的網(wǎng)絡(luò)管理有助于增強(qiáng)系統(tǒng)的安全性:及時發(fā)

20、現(xiàn)系統(tǒng)安全的漏洞；審查系統(tǒng)安全體系；加強(qiáng)對使用人員的安全知識教育；建立完善的系統(tǒng)管理制度。如前所述，能否制定一個統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全管理，對于信息網(wǎng)來說是至關(guān)重要的。第6章網(wǎng)絡(luò)信息安全策略及基本措施信息安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置，應(yīng)用防火墻及入侵檢測、安全掃描、網(wǎng)絡(luò)防病毒等技術(shù)，對出入口的信息進(jìn)行嚴(yán)格的控制；對網(wǎng)絡(luò)中所有的裝置（如Web服務(wù)器、路由器和內(nèi)部網(wǎng)絡(luò)等）進(jìn)行檢測、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風(fēng)險，建議補救措施，并有效地防止黑客入侵和病毒擴(kuò)散，監(jiān)控整個網(wǎng)絡(luò)的運行狀況。通過對油田網(wǎng)絡(luò)信息安全現(xiàn)狀的分析與研究以及對當(dāng)前安全技術(shù)的研究分

21、析，我們制定如下企業(yè)信息安全策略，附油田網(wǎng)絡(luò)安全方案拓?fù)鋱D見圖61。跆由骼FIX535肪火壇ProxyIDSWEBDNSEMAIL圖61油田網(wǎng)絡(luò)安全方案拓?fù)鋱D61網(wǎng)絡(luò)信息安全方案實施611防火墻實施方案根據(jù)網(wǎng)絡(luò)整體安全考慮，采用兩臺ciscopix535防火墻，一防火墻對業(yè)務(wù)網(wǎng)與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一防火墻對Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等對外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。防火墻設(shè)置原則如下所示：建立合理有效的安全過濾原則對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問；防火墻DMZ區(qū)訪問控制，只打開服務(wù)必須的HTTP

22、、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來的拒絕服務(wù)攻擊；定期查看防火墻訪問日志；對防火墻的管理員權(quán)限嚴(yán)格控制。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。612入侵檢測方案在核心交換機(jī)監(jiān)控端口部署CA入侵檢測系統(tǒng)(eTrustintrusionDetection

23、)，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測代理，對網(wǎng)絡(luò)入侵進(jìn)行檢測和響應(yīng)。入侵檢測系統(tǒng)實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，以動態(tài)圖形方式展現(xiàn)出來，使管理員能夠時刻掌握當(dāng)前內(nèi)外網(wǎng)之間正在進(jìn)行的連接和訪問情況；運用協(xié)議分析和模式匹配方法，可以有效地識別各種網(wǎng)絡(luò)攻擊和異?，F(xiàn)象，如拒絕服務(wù)攻擊，非授權(quán)訪問嘗試，預(yù)攻擊探測等；當(dāng)攻擊發(fā)生時，可根據(jù)管理員的配置以多種方式發(fā)出實時報警;對于嚴(yán)重的網(wǎng)絡(luò)入侵事件，也可由入侵檢測引擎直接發(fā)出阻斷信號切斷發(fā)生攻擊的連接，還可以動態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個動態(tài)的智能的的防護(hù)體系。613網(wǎng)絡(luò)安全漏洞企業(yè)網(wǎng)絡(luò)擁有WWW、郵件、域、視

24、頻等服務(wù)器，還有重要的數(shù)據(jù)庫服務(wù)器，對于管理人員來說，無法確切了解和解決每個服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風(fēng)險，建議補救措施，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。614防病毒方案采用Symantec網(wǎng)絡(luò)防病毒軟件，建立企業(yè)整體防病毒體系，對網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，通過防病毒管理中心將局域網(wǎng)內(nèi)所有計算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務(wù)器，對整個域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動查、殺病毒?？蓪崿F(xiàn)

25、對病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控；可實現(xiàn)對所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù)；可集中反映整個系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報方式，對病毒的爆發(fā)進(jìn)行報警；可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對系統(tǒng)情況進(jìn)行匯總和分析。根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時下載系統(tǒng)補丁和殺毒工具，采取相關(guān)措施，防范于未然。615訪問控制管理實施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內(nèi)網(wǎng)中系統(tǒng)管理員必須管理好所有的設(shè)備口令，不要在不同系統(tǒng)上使用同一口令；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令。616重要文件及內(nèi)部資料管理定期對重要資料進(jìn)行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失?？蛇x擇功能完善、使用靈活的備份軟件配合各種災(zāi)難恢復(fù)軟件，全面地保護(hù)數(shù)據(jù)的安全。系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實施保密，并自覺對文件進(jìn)行分級管理，注意對系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)。對于重要的服務(wù)器，利用RAID5等數(shù)據(jù)存儲技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和數(shù)據(jù)要建立必要