企业网络安全防护技术措施Word格式文档下载.docx
《企业网络安全防护技术措施Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《企业网络安全防护技术措施Word格式文档下载.docx(38页珍藏版)》请在冰点文库上搜索。
4.3电子邮件的安全性 16
4.3.1E-mail的安全风险 16
4.3.2邮件服务器的安全与可靠性 17
4.3.3邮件客户端的安全 17
第5章网络病毒防范 19
5.1计算机病毒概述 19
5.1.1计算机病毒的定义 19
5.1.2计算机病毒分类 19
5.1.3计算机病毒的特征 19
5.1.4计算机网络病毒的危害性 20
5.2反病毒技术 20
5.2.1计算机病毒的防范 20
5.2.2计算机网络病毒的防范措施 22
第6章防火墙及相关技术应用 23
6.1防火墙概述 23
6.1.1防火墙的概念 23
6.1.2防火墙的目的和功能 23
6.1.3防火墙的局限性 24
6.2防火墙的分类 25
6.3防火墙的体系结构 25
6.3.1双穴主机体系结构 25
6.3.2屏蔽主机体系结构 26
6.3.3屏蔽子网体系结构 26
6.4防火墙的策略与维护 27
6.4.1设置防火墙的策略 27
6.4.2防火墙的维护 28
6.5入侵检测系统 29
6.5.1入侵检测系统的功能及分类 29
6.5.2入侵检测产品的选购原则 30
6.6虚拟专用网(VPN) 30
结论 32
致谢 33
参考文献 34
摘要
随着Internet上的个人和商业应用越来越普遍,基于网络应用和服务的信息资源也面临着更多的安全风险。
然而,在多数情况,网络安全并没有得到应有的重视。
信息是一种必须保护的资产,由于缺少足够的保护或者网络安全措施而造成的损失对企业而言可能是致命的。
为了能够让企业的网络系统避免遭受来自各种不安全的攻击和威胁,从而更加安全可靠地使用网络,我们应该采取各种有效的安全防护措施。
针对目前企业网络所面临的安全问题,本文从如何保护企业的数据安全、网络服务与应用系统安全以及如何预防网络病毒和在网络中设置防火墙等几个方面阐述了如何有效地保护企业网络的安全。
文章通过对当今网络面临的安全问题的总结,并结合当前企业网络的特点,制定出了有效的安全防护措施。
针对企业网络所出现的比较常见的安全问题,通过各种方法给予解决或给出可行方案。
在对各种网络安全防护措施的叙述的同时,文章还通过各种图形来近一步阐述各种原理,使抽象问题变得更加的简洁明了。
当涉及到网络连接等原理时,更能通过各种网络拓扑图,形象的给予描述,使复杂问题的变得简单。
通过本文的叙述,我们将会对企业网络安全有一个更加清晰的认识。
关键字:
防火墙数据备份
第1章绪论
在信息化高速发展的今天,计算机网络已经完全渗透到社会生活的各个方面。
Internet的不可信也会限制企业的商业机会,特别是那些100%基于Web的组织。
制定和颁布安全政策与安全措施并使得用户和潜在的用户感觉到足够安全是必须的。
随着Internet的发展和应用,许多企业已经认识到通过网络建立企业内部的商务平台、为企业雇员提供到自动销售系统的移动连接、向客户和消费者提供电子商务平台等行为,都将为企业节约大量的销售成本。
通过入侵检测、身份鉴定、授权和评估系统,增强了防火墙的功能。
现在,许多企业很好地平衡了防止恶意攻击与增加正当访问渠道之间的矛盾。
在企业安全方面的投资可以保证企业的生产力和确保客户的信任。
一个可靠的安全基础能帮助企业建立与雇员、供应商、合伙人和客户之间的信任关系,使他们相信企业的任何信息都能够受到妥善的保护,任何的网上交易都是可以信赖的。
正是由于越来越多的企业组建了自己的局域网,并依靠现代网络的快速便捷使自己的生产、经营、运作方式等发生了极大的改变。
通过这种方式,企业降低了生产成本,增加了企业收入。
正是出于企业对网络的极度依赖,所以保证一个企业的网络安全是非常重要的。
在网络安全方面,企业采用的防护措施还有弥补操作系统的安全漏洞、以及当网络已经瘫痪时进行灾难恢复等。
此外,虚拟专用网(VPN)技术将逐渐成为企业之间互联的首选产品,因为它能够降低成本、提高效率、增强安全性,在日后的应用中将会有广阔的前景。
然而,为了能够让企业网络变得更加的安全,我们不能只是靠各种安全防护产品,除此之外,我们必须通过各种安全策略,包括制定严格的安全制度、法律,组建安全团队,对网络安全动态实时关注,开发出更完善的安全系统,只有这样,才能保证企业网络处于一个比较安全的位置。
安全风险不能完全消除或者防止,但是可通过有效的风险管理和评估,将风险最小化到可以接受的水平。
至于什么才是可以接受的,这取决于个人或者企业的承受力。
如果减少风险所带来的收益超过了采取各种措施的费用,那么进行风险管理就是值得的。
正是由于企业网络面临的安全问题是各种各样的,针对目前企业网络所面临的安全问题,本文从如何保护企业的数据安全、网络服务与应用系统安全以及如何预防网络病毒和在网络中设置防火墙等几个方面阐述了如何有效地保护企业网络的安全。
第2章企业网络安全概述
2.1网络安全
计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改和泄露,确保系统能连续可靠正常地运行,使网络服务不中断。
计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性科学。
从广义上来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
所以,广义的计算机网络安全还包括信息设备的物理安全性,诸如场地环境保护、防火措施、防水措施、放电保护、静电保护、电源保护、空调设备、计算机辐射和计算机病毒等。
2.2安全隐患
网络安全的目的是实现网络信息的完整性、机密性和可用性。
2.2.1完整性
完整性是指确保数据不允许被非授权人修改或者破坏的能力。
完整性确保了发送信息与接受信息是一致的,即使数据是非保密的,也必须保证数据的完整性,就像一个人允许其他人知道他的日常业务,但决不允许他人擅自修改其业务一样。
2.2.2机密性
机密性将保护数据不泄露给非授权的第三方。
无论是客户数据还是公司内部数据,企业都有责任保证数据的私密性。
所有的客户都有权要求保护他们的个人信息,一个企业也必须尊重客户的隐私权并与客户之间保持一种信任的关系。
公司拥有的信息不仅是敏感的,而且也需要保密,只有被许可的部分才能被访问,这些信息的传递也是以一种安全的方式进行并能阻止未授权的访问。
2.2.3可用性
可用性是指计算机系统的连续操作能力,其对立面是拒绝服务,这种攻击通过垃圾信息来淹没网络设备,减慢直到整个系统崩溃。
应用程序需要不同级别的可用性,这取决于停机时间对业务的影响。
例如,若一个应用程序是可用的,那么所有的组件,包括应用程序和数据库服务器、存储设备和端到端的网络连接等,都必须是可提供持续服务的。
随着更多企业和组织对基于网络应用和Internet依赖性的增加,多媒体数据的集成也对各种应用的可用性提出了更高的要求。
各种原因造成的系统停机,都可能导致可用性的缺乏,降低客户的信任度,甚至减少企业的收入。
2.3安全分类
对于网络安全隐患,主要有以下四方面的原因:
1)技术缺陷:
每个网络和计算机技术都存在内在的安全问题。
2)配置缺陷:
暴露出的安全问题,甚至大多数是安全技术的配置错误。
3)政策缺陷:
缺乏安全策略或者不正确的执行和管理,都可能使最好的安全和网络技术失去作用。
4)人为错误:
工作人员写下自己的口令随意放置,或者多人共享一个口令等,都是一些常见的问题。
2.4网络安全的目标
网络安全最重要的一个目标是获得那些任何不是被明确许可的操作被禁止的情况。
正在发展的一个安全策略目标是定义一个组织的计算机和网络的使用期望值。
“安全”意味着防止系统内部和外部两方面的攻击。
网络安全包括安全的数据、应用和用户。
2.4.1消除盗窃
据统计美国的公司因为信息失窃而损失1000亿美元的收益,这通常发生于报表和机密信息被当成垃圾丢弃。
2.4.2确定身份
安全措施可能降低方便性,一般来说,简单的口令是一个效率较低的身份鉴定形式,但是更强大的身份鉴定需要更多的成本开销。
2.4.3鉴别假冒
任何隐藏的假冒都是一个潜在的安全漏洞,为了防止假冒,一般来说,要有足够的身份鉴定、授权和审核以及专家的确认或者否定,然后在提出相应的建议。
2.4.4保密
大多数安全是建立在保密基础上的。
许多安全专家发现漏洞都是一些很容易修补的众所周知的缺陷,因此必须确保网络安装最新的版本的补丁。
在以后的几年当中,据估计90%的对计算机的攻击将继续利用那些已有的补丁程序或预防措施的安全缺陷。
对数据进行分类并确定哪些数据需要保密是一件迫切的事,需要保密的包括口令、信用卡号、银行账户等。
为了确保秘密数据的安全性,必须对系统进行分层并确保安装最新的补丁程序。
第3章企业数据安全
3.1数据库安全
数据库系统是存储重要信息的场所,并担负着管理这些数据信息的任务。
数据库安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。
因而,如何保证和加强其安全性和保密性,已成为目前迫切需要解决的热门课题。
3.1.1数据库安全问题
计算机安全性的三个方面是安全性、保密性和可用性,都与数据库管理系统有关系。
数据库系统安全问题可归纳为以下三个方面:
1.保障数据库系统的保密性。
2.保障数据库系统的完整性。
3.数据库系统的可用性。
3.1.2数据库安全策略与配置
数据库的安全策略包括系统的策略、数据安全的策略、用户安全的策略等。
1、系统安全的策略
1)数据库用户的管理
每个数据库系统都有一个或几个管理员,负责维护所有的安全策略方面的问题,这类管理员称为安全管理员。
如果数据库系统很小,数据库管理员也就担当起安全管理员的责任。
但是,如果数据库系统很大,通常就要指定一个人或一群人专门担当安全管理员的责任。
2)用户的鉴别
数据库用户可以通过操作系统、网络服务、或数据库进行身份确认,来鉴别(核实合法用户)。
3)操作系统的安全
如果可以的话,对于任何数据库应用的操作系统来说,还应该考虑数据库管理员必须具有操作系统权限,以便创建和删除文件。
一般数据库用户不应该具有操作系统权限。
如果操作系统会识别用户的数据库角色,那么,安全管理员就必须有操作系统权限,以便修改操作系统账户的安全域。
2、数据安全的策略
安全包括在对象层上控制访问和使用数据库的机制。
数据库安全策略应确定,能访问特殊的模式对象、允许每个用户在对象上所做的特殊的动作类型。
例如,访问数据库表时,一些用户只能执行SELECT和INSERT语句,而不能执行DELETE语句。
3、用户安全的策略
1)普通用户的权限管理
安全管理员应该考虑涉及所有类型用户的权限管理问题。
例如,在一个有许多用户名的数据库中,使用角色来管理用户可用的权限是非常有益的。
否则,如果数据库中只有少数用户名,就将权限明确地赋予用户,避免使用角色,这样反而更容易。
2)密码的安全
如果用户是通过数据库进行用户身份的确认,那么建议使用密码加密的方法与数据库进行连接。
3)终端用户的安全
安全管理员必须定义终端用户的安全策略。
如果一个数据库有很多用户,安全管理员可以决定将那些用户的组分类成用户组,然后为这些组创建用户角色。
安全管理员可以给每个用户角色赋予必要的权限或应用角色,再将用户角色赋予给这些用户。
对于例外情况,安全管理员还必须确定,必须将什么权限明确地授予那个用户。
4)管理员的安全
安全管理员应该有一个处理数据库管理员的安全的策略。
例如,当数据库很大,且有几种类型的数据库管理员时,安全管理员就应该将相关的管理权限划分成几个管理角色。
然后将这些管理角色授予适当的管理员用户。
相反,当数据库很小而且只有几个管理员时,创建一个管理角色并把这个管理角色授予所有管理员,可能就更方便些。
3.1.3数据库的加密
1、数据库加密概述
大型数据库管理系统的运行平台一般是WindowsNT/2000和UNIX,这些操作系统的安全级别通常为C1、C2级。
它们具有用户注册、识别用户、任意存取控制、审计等安全功能。
虽然数据库管理系统在操作系统的基础上增加了不少安全措施,例如基于权限的控制等,但操作系统和数据库管理系统对数据库文件本身仍然缺乏有效的保护措施,有经验的网上黑客会绕道而行,直接利用操作系统工具窃取或篡改数据库文件的内容。
这种隐患被称为通向数据库管理系统的隐秘通道,它所带来的危害一般数据库用户难以觉察。
分析和堵塞隐秘通道被认为是B2级的安全技术措施。
对数据库中的敏感数据进行加密处理,是堵塞这一隐秘通道的有效手段。
2、加密算法
加密算法是数据加密的核心。
算法必须适应数据库系统的特点,加密解密速度要快。
著名的背包算法就是一种适合数据库加密的算法。
算法的思路是假定某人拥有大量的物品,重量各不相同。
此人通过秘密地选择一部分物品并将它们放到背包中来加密消息。
背包中的物品总重量是公开的,所有可能的物品也是公开的,但背包中的物品却是保密的。
附加一定的限制条件,给出重量,而要列出可能的物品,在计算上是不可实现的。
3.2数据备份与恢复
随着各单位局域网和互连网络的深入应用,系统内的服务器担负着企业的关键应用,存储着重要的信息和数据,为网络环境下的大量客户机提供快速高效的信息查询、数据处理和Internet等的各项服务,一旦数据丢失,将会造成无法弥补的损失。
为了计算机网络系统出现故障时,网络中的核心数据必须能安全的保存和迅速的恢复,因此,对于企业来说,可靠的数据备份和恢复措施是非常必要的。
3.2.1数据备份与恢复概述
1、数据备份和恢复的基本概念
数据备份和恢复是指将计算机硬盘上的原始数据复制到其他存储媒体上,如磁带、光盘等,在出现数据丢失或系统灾难时将复制在其他存储媒体上的数据恢复到硬盘上,从而保护计算机的系统数据和应用数据。
对于计算机网络数据,备份不仅仅是文件的复制,还应该包括文件的权限、属性等信息。
2、数据备份的原则
对数据进行备份是为了保证数据的安全性,消除系统使用者和操作者的后顾之忧。
不同的应用环境要求不同的解决方案来适应,一般来说,要求满足以下原则。
1)稳定性。
备份产品的主要作用是为了系统提供一个数据保护方法,于是该产品本身的稳定性就变成了最重要的一个方面,一定要与操作系统百分之百的兼容。
2)全面性。
在计算机网络环境中,可能包括了各种操作平台,如Netware、WindowsNT、UNIX等。
选用的备份软件,要支持各种操作系统、数据库和典型应用。
3)安全性。
计算机网络是计算机病毒传播的通道,给数据安全带来极大威胁。
如果在备份的时候,把计算机病毒也完整的备份下来,将会是一种恶性循环。
因此,要求在备份的过程中有查毒、防毒、杀毒、的功能,确保无毒备份,同时还要保证备份介质不丢失和备份数据的完整性。
4)容错性。
确认备份数据的可靠性,也是一个至关重要的方面。
如果引入RAID技术,对磁带进行镜像,就可以更好的保证数据安全可靠,给用户再加一把保险锁。
3、常用数据备份的方法
1)磁带备份
在所有备份介质中,磁带备份是可靠、成本低、传输率高、易于使用和管理的数据备份介质。
2)硬盘备份
在计算机中安装多块硬盘,将数据备份在不同的硬盘上,通常采用磁盘阵列(RAID)的方法。
在硬盘备份中也有采用移动硬盘进行手动备份的。
硬盘备份的速度快、实时性高,一块硬盘出现故障时不影响系统的运行。
但使用硬盘备份时,由于硬盘无法从系统中分离,一旦发生自然灾害将引起重大的数据损失。
3)网络备份
随着网络技术的发展,该技术也应用到数据的存储和备份中。
采用网络备份可以实现备份的集中管理、异地备份等。
通过制定相应的备份策略,备份工作可以自动进行,不需要太多的人干预,减少了日常的管理负担,并可避免人为的疏忽或错误,提高了数据备份的可靠性。
特别是通过网络进行的异地备份可以有效的预防自然灾害对数据的破坏。
4、数据备份的注意事项
1)制定备份策略。
根据企业对数据安全的实际需要来制定适合的备份方案和策略。
2)将备份介质存储在异地。
备份后的介质一定要保存在异地或防火、防水、防磁的保险箱内。
3)定期清洁备份设备。
由于频繁进行备份操作,清洁备份设备是保证备份质量的关键。
4)使用合格的备份介质。
对备份介质的读写操作会造成一定的磨损,当出现损坏或老化时要及时更换,制定备份介质轮换策略。
5)选用有报警功能的备份设备。
用户可以检测备份设备的状态是否正常。
6)每两三个星期检查备份介质,并从中恢复一些文件,从而得知备份文件是否处在可恢复的状态。
3.2.2数据备份策略
备份策略指确定需备份的内容、备份时间及备份方式。
各个单位要根据自己的实际情况来制定不同的备份策略。
企业可以选取的备份策略有以下三种。
1、完全备份
对系统中的数据进行完全备份。
例如,星期一用一盘磁带对整个系统进行备份,星期二用另一盘磁带对整个系统进行备份,依次类推。
这种备份策略的好处是当发生数据丢失的灾难时,只要用一盘磁带(灾难发生前一天的备份磁带),就可以恢复丢失的数据。
然而它亦有不足之处。
首先,由于每天都对整个系统进行备份,造成备份的数据大量重复,这些重复的数据占用了大量的磁带空间,这对用户来说就意味着增加成本。
其次,由于需要备份的数据量较大,因此备份所需的时间也就较长。
对于那些业务繁忙、备份时间有限的单位来说,选择这种备份策略是不明智的。
2、增量备份
增量备份是进行一次完全备份,然后在接下来只对当天新的或被修改过的数据进行备份。
这种备份策略的优点是节省了磁带空间,缩短了备份时间。
但它的缺点在于:
当灾难发生时,数据的恢复比较麻烦。
3、差分备份
差分备份是管理员先进行一次系统完全备份,然后在接下来的几天里,管理员再将当天所有与完全备份后发生改变的数据(新的或修改过的)备份到磁带上。
差分备份策略在避免了以上两中策略的缺陷的同时,又具有了它们的所有优点。
首先,它无需每天都对系统做完全备份,因此备份所需时间短,并节省了磁带空间;
其次,它的灾难恢复也很方便。
系统管理员只需两盘磁带,即完全备份磁带与灾难发生前一天的磁带,就可以将系统恢复。
在实际应用中,备份策略通常是以下三种的结合。
例如在每周一至周六每天进行一次增量备份或差分备份,每周日进行全备份,每月底进行一次全备份,每年底进行一次全备份。
3.2.3数据库的备份
1、数据库备份技术概述
当企业用户使用一个数据库时,总希望数据库的内容是可靠的、正确的,但由于数据库在传输、存储和交换的过程中出现计算机系统的故障(包括机器故障、介质故障、误操作等),同时,计算机系统也会发生意料不到的事故,数据库也可能遭到破坏,这时如何尽快恢复数据就成为当务之急。
如果平时对数据库做了备份,那么此时恢复数据就显得很容易。
如果没有事先采取数据备份和数据恢复措施,数据就会丢失,将造成惨重的损失。
数据的备份与恢复作为信息安全的重要内容不可忽视。
因此,数据的备份与恢复也是数据库系统的一个安全功能。
2、数据库的备份
大多数操作系统都带有备份工具,例如,在Windows2000中,通过在桌面上单击[开始]/[程序]/[附件]/[备份工具]/[备份]选项,单击[备份向导]按扭,启动系统的备份向导。
其它操作系统亦可以通过系统备份工具对数据库进行备份,也可以利用专用的备份工具。
第4章网络服务与应用系统的安全
4.1Web服务器安全
在计算机网络应用服务中,Web技术被广泛的使用,给人们的生活、工作和学习带来了很大的方便,同时在这个虚幻的网络世界里,经常出现一些Web站点被攻击、被篡改、信息泄露等,这就使得能否保证使用者的安全和隐私成为Web应用中的一个主要问题。
Web的安全性是Web应用中必须考虑的重要问题。
Web(WorldWideWeb)又称万维网,其基本结构是采用开放试的客户机/服务器(Client/Server)结构,其基本工作原理如图4-1所示。
图4-1客户机/服务器工作模式
4.1.1Web的安全概述
通常的网络安全总是设置各种各样的限制,使得不明身份的人无法获得非授权的服务,但是Web服务器恰恰相反,它希望接受尽可能多的客户,对客户几乎没有限制和要求,这样,相当于其他网络服务器,Web是最容易受到攻击的。
Web安全风险一般可分为三类,即对Web服务器及其相连LAN的威胁、对服务器和客户机之间的通信信道的威胁。
从Web服务器角度来将,服务器风险比Web浏览器用户更大,服务器受攻击要比客户机受攻击危险的多。
4.1.2Web站点的安全和漏洞
1、Web站点主要安全问题
1)未经授权的存取动作。
该类问题指的是用户未经授权就使用系统资源,即使未对系统造成破坏,也侵犯了隐私。
2)窃取系统的信息。
该类问题指的是攻击者非法访问、获取目标机器(Web服务器或者浏览器)上的敏感信息;
或者中途截取Web服务器和浏览器之间传输的敏感信息;
或者由于配置、软件等的原因无意泄露的敏感信息,如账号、密码和客户资料等。
这种行为给用户造成非常大的损失。
3)破坏系统。
该类问题指的是入侵者进入系统后,破坏系统的重要数据、系统运行的重要文件,从而导致Web站点系统无法正常运行。
4)拒绝服务。
该类问题指的是攻击者的直接目的不在于侵入计算机,而是在短时间内向目标发送大量的正常的请求数据包并使得目标机器维持相应的连接,或者发送需要目标机器解析的大量无用的数据包。
使得目标机器资源耗尽或是应接不暇,根本无法响应正常的服务。
这种威胁不容易抵御。
5)非法使用。
该类问题指的是入侵者利用系统从事非法用途,如存放、发布非法信息。
6)病毒破坏。
该类问题指的是由于不小心执行病毒程序、系统存在安全漏洞被网络病毒攻击等,从而导致系统数据被破坏、被窃取、甚至系统崩溃。
2、Web站点典型安全漏洞
1)操作系统类安全漏洞。
该类问
升级会员 