网络安全与防范在企业中的应用

1、网络安全与防范在企业中的应用翟冲内容提要：对影响企业信息网络安全的因素进行了分析，就目前企业中应用的网络安全技术及其适用性进行了详细的讨论，最后指出建立企业网络安全防护体系是一个系统工程，即需要解决好企业信息化发展过程中个体突出的问题，又需要解决好总体规划问题。 关键词；网络安全 网络加密 防范 计算机1 网络安全的含义及特征1.1 含义 网络安全是指：为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时，能使网络得到保护，正常运行。它具有三方面内容：保密性：指网络能够阻止未经授权的用户读取保密信息。完整性：包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不

2、被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。可用性：指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。1.2 特征 网络安全根据其本质的界定，应具有以下基本特征：机密性：是指信息不泄露给非授权的个人、实体和过程，或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性，因此也需要有相应的网络安全防范措施。在物理层，要保护系统实体的信息外露，在运行层面，保证能够为授权使用者正常的使用，并对非授权的人禁止使用，并有防范黑客，病毒等的恶行攻击能力。完整性：是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。可用性：是指授权的

3、用户能够正常的按照顺序使用的特征，也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层，要提高系统在恶劣环境下的工作能力。在运行层面，要保证系统时刻能为授权人提供服务，保证系统的可用性，使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容，对数据抵赖采取数字签名。2 企业网络安全影响因素21世纪全世界的计算机通过网络联到了一起，组成了一个庞大的计算机信息网络体系，网络安全已经从一般性的防卫变成了一种非常普遍且需要专业化的防范。因此，在构建企业网络安全信息防范系统时，需要首先分析影响计算机防范体系。影响计算机网络安全的因素很多，有人为因素，也有自然因素，其中人为因素的危

4、害最大。对手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种；一种是主动攻击，它以各种方式有选择的破坏信息的有效性和完整性，这既是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者，积极侵犯者截取网上的信息包，并对其进行更改使它失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登陆进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户权益，所以，积极侵犯者的破坏作用最大。另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获，窃取，破译，以获得重要机密信息，这种仅窃听而不破坏网络中传输信息的侵犯者被称为消极侵犯者，这两种攻击均可对计算机网络造成极大的危害，并导

5、致机密数据的泄露。3 网络安全解决方案要解决网络安全，首先要明确实现目标：身份真实性：对通信实体身份的真实性进行识别。信息机密性：保证机密信息不会泄露给非授权的人或实体。信息完整性：保证数据的一致性，防止非授权用户或实体对数据进行任何破坏。服务可用性：防止合法拥护对信息和资源的使用被不当的拒绝。不可否认性：建立有效的责任机智，防止实体否认其行为。系统可控性：能够控制使用资源的人或实体的使用方式。系统易用性：在满足安全要求的条件下，系统应该操作简单、维护方便。可审查性：对出现问题的网络安全问题提供调查的依据和手段。4 网络安全是一项动态、整体的系统工程。网络安全有安全的操作系统、应用系统、防病毒

6、、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术，在这里主要介绍防火墙技术：防火墙是不同网络或网络安全域之间信息的惟一出入口， 通过预定义的访问控制策略， 对内外网通信强制实施访问控制， 且本身具有较强的抗攻击能力。常用的防火墙技术有包过滤技术、状态检测技术、 应用网关技术 防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最

7、经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,

8、可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是当前保护网络安全最有效的屏障之一，为了保护服务器和内部网络的安全，目地遍的做法是实现双层防火墙。 外层防火墙实现包过滤功能， 内部防火墙允许最中间的部网络可以访问外部网络。防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用

9、的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。在外部防火墙和内部防火墙之间形成一个单独区域，提供外部网络访问的服务器就位于这个区域，即使攻击者通过外部防火墙进入这个区域， 也无法攻入内部网络。 防火墙是指一个由硬件和软件设备组合而成， 处于计算机与外界

10、通道之间， 限制外界用户对内部网络进行访问，同时限定内部用户访问外界网络的权限。当计算机连接上 I n t e r n e t 之后， 对计算机系统的安全维护工作将尤为重要，除了需要考虑查杀计算机病毒之外， 更重要的是防止非法用户的入侵， 目前普遍采用的防止措施是依赖防火墙的技术来完成。操作计算机时的所有访问都经过防火墙， 那么， 防火墙就能记录下这些访问并做出日志记录。 当发现系统内有可疑动作时， 防火墙能进行适当 的阻隔， 并提供网络被攻击的详细信息， 可以防止计算机内部信息资料泄露防病毒技术。病毒因网络而猖獗，对计算机系统安全威胁也最大，做好防护至关重要。应采取全方位的企业防毒产品，实施

11、层层设防、集中控制、以防为主、防杀结合的策略。防火墙技术。通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。入侵检测技术。入

12、侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控，从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动；系统构造和弱点审计；识别反映已进攻的活动规模并报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合，对网络安全的提高非常有效。通过对系统以及网络的扫描，能够对自身系统和网络环境有一个整体的评价，并得出网络安全风险级别，还能够及时的

13、发现系统内的安全漏洞，并自动修补。 如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，做到防患于未然。网络安全紧急响应体系。网络安全作为一项动态工程，意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略，并及时组建网络安全紧急响应体系，专人负责，防范安全突发事件。安全加密技术。加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密

14、钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后，是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。而且，系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。5 结语总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种