企业网络安全问题的研究
在现代信息社会,以计算机为基础的现代信息技术广泛应用于企业管理中。因此企业网络安全问题尤为突出。基于此,笔者结合工作实践体会,就企业网络安全问题作如下分析与探讨。
1网络安全系统结构分析
从当前典型的企业网络系统结构来看,系统安全设计到的因素众多,且关系复杂。
2防火墙
周边安全可以控制对关键性应用、服务和数据的访问,使得只有合法的用户和信息才能从一个网络进入另外一个网络。防火墙就等同于互联网和DMZ和/或内部企业网之间的周边安全卫士,并且还具有更加宽泛的定义还包括访问控制列表和一些辅助性的工具,例如杀毒软件和内容过滤工具。防火墙不仅可以用在互联网和企业网络的交叉点;它们实际上可以用在网络的各个地方。它们可以用于保护关键性的服务器,防火墙还可以防护远程用户,防止他们在利用虚拟专用网进行连接时,不会受到未经授权的访问。本次设计准备在互联网入口和防火墙入口各部署一套防火墙,一方而用于防御Internet黑客对于网络的入侵,一方而保护核心服务器的应用及数据安全。
1)增强型状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP,HTTP, SMTP, RTSP, H. 323应用层协议的状态监控,支持TCP/UDP应用的状态监控。
2)抗攻击防范能力:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。
3入侵检测系统
入侵检测系统的作用类似于现实生活中的监视摄像机。它们可以不℃间断地扫描网络流量,查找可疑的数据分组。利用一个跟踪特征数据库,它们可以记录任何不正常的情况,并采取相应的措施:发出警报,重置攻击者的TCP连接,或者禁止攻击者的IP地址再次登录网络。网络IDS CNIDS)检则器通常可以利用一个不可寻址的混和接口卡监听某个子网上的所有流量,并通过另外一个更加可靠的接口发送任何警报和记录的流量。本次设计准备在互联网入口和防火墙入口各部署一套入侵检测系统,一方而用♥于防御Internet黑客对于网络的入侵,一方而保护核心服务器的应用及数据安全。
4网络准入控制系统
虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在而临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
5网络视频监控系统
在控制室及调度室看不到现场的生产情况,对生产现场缺乏直观了解,为了加强生产管理,及时发现各种异常情况,可以采用工业电视技术来加强生产和安全管理。企业信息化建设中,视频监控系统是一个重要组成部分,其经济效益是潜在的,通过视频监控系统的建设,对企业的生产和经营存在潜在的、巨大的推动力,提高公司的管理水平。实施数字监控系统是一个很有利的管理手段,通过该系统,公司领导及管理人员可以 ϡ很方便的监控到整个企业的运行状况,按照保证系统先进、实用、安全、可靠、经济、易扩展、易维护ฑ和高性价比的原则,为企业有效的进行生产管理和决策分析提供有效的手段。
网络视频监控系统应当采用国际最先进的网络视频监控技术作为企业尤其是生产型企业的首选方案,以网络化、整合化、灵活化的特点搭建企业生产监控平台,同时将嵌入式网络视频技术与视频服务器技术进行有机的结合,通过与网络系统的结合保护用户的投资。
对于不同特点的监控点位采用不同的监控方案,对于位置相对分散,监控主体比较多的点位采用数字网络视频监控方案,提高监控系统部署的灵活性和整合性,节省了大量布线工程,为企业节省了大量的资金。对于位置相对集中,图像的清晰性要求高,监控主体相对较少采用模拟视频监控系统,最大程度的ค减少视频信号的损失,保证视频图像的清晰性。
6企业数据库服务器
数据库服务器就是安装数据库的服务器。数据库通常包含最为敏感、机密的数据,必须安全地存储这类数据,并防止其在未经授权的情况下被披露、篡改或恶意使用。即便数据库服务器并未直接与Internet相连,仍需防止其遭受利用配置弱点、现有缓冲器溢出或不良开发惯例而实施的攻击。
企业数据库服务器主要考虑高可靠性和高可用性,要求满足7X24小时工作。
选择两台高性能UNIX类服务器作为数据库服务器,采用双机热备。
一台中等性能的UNIX类服务器作为数据备份服务器。