不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 網(wǎng)絡(luò)安全知識(shí) > 關(guān)于企業(yè)網(wǎng)絡(luò)安全防范措施有哪些

關(guān)于企業(yè)網(wǎng)絡(luò)安全防范措施有哪些

時(shí)間: 曉斌668 分享

關(guān)于企業(yè)網(wǎng)絡(luò)安全防范措施有哪些

  今天學(xué)習(xí)啦小編要跟大家講講企業(yè)網(wǎng)絡(luò)安全防范措施有哪些~下面是小編為大家整理的相關(guān)資料知識(shí)點(diǎn),希望大家參考參考!!!

  企業(yè)網(wǎng)絡(luò)安全防范措施一:

  隨著Internet/Intranet技術(shù)的飛速發(fā)展和廣泛應(yīng)用,網(wǎng)絡(luò)安全問(wèn)題愈來(lái)愈突出,已成為當(dāng)前的一大技術(shù)熱點(diǎn)。黑客技術(shù)的公開(kāi)和有組織化,以及網(wǎng)絡(luò)的開(kāi)放性使得網(wǎng)絡(luò)受到攻擊的威脅越來(lái)越大。而企業(yè)對(duì)這一問(wèn)題嚴(yán)重性的認(rèn)識(shí)和所具備的應(yīng)付能力還遠(yuǎn)遠(yuǎn)不夠。加上管理不當(dāng),應(yīng)用人員水平參差不齊,沒(méi)有有效的方式控制網(wǎng)絡(luò)的安全狀況,企業(yè)理想中的安全與實(shí)際的安全程度存在巨大的差距。

  1、網(wǎng)絡(luò)安全面臨的威脅

  (1)、人為的無(wú)意失誤,如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶口令選擇不慎,用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

  (2)、人為的惡意攻擊,來(lái)自內(nèi)部的攻擊者往往會(huì)對(duì)內(nèi)部網(wǎng)安全造成最大的威脅,因?yàn)樗麄儽旧砭褪菃挝粌?nèi)部人員,對(duì)單位的業(yè)務(wù)流程,應(yīng)用系統(tǒng),網(wǎng)絡(luò)結(jié)構(gòu)甚至是網(wǎng)絡(luò)系統(tǒng)管理非常熟悉,而這些人員對(duì)Intranet發(fā)起攻擊的成功率可能最高,造成的損失最大,所以這部分攻擊者應(yīng)該成為我們要防范的主要目標(biāo)。

  (3)、網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。另外,軟件?ldquo;后門(mén)”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,可一旦“后門(mén)”洞開(kāi),其造成的后果將不堪設(shè)想。

  (4)、互聯(lián)網(wǎng)絡(luò)的不安全因素,國(guó)際互聯(lián)網(wǎng)絡(luò)是跨越時(shí)空的,所以安全問(wèn)題也是跨越時(shí)空的。雖然我們國(guó)家的網(wǎng)絡(luò)不發(fā)達(dá),但是我們?cè)獾降陌踩kU(xiǎn)卻是同國(guó)外一樣的,這是一個(gè)很?chē)?yán)重的問(wèn)題。在不同的行業(yè),所遭受的攻擊因行業(yè)和網(wǎng)絡(luò)服務(wù)的不同而不同。在電信或者ICP市場(chǎng),進(jìn)攻服務(wù)系統(tǒng)比較多;而在銀行業(yè),對(duì)數(shù)據(jù)系統(tǒng)的進(jìn)攻相對(duì)更頻繁;政府方面,對(duì)服務(wù)的進(jìn)攻,尤其是其信息發(fā)布系統(tǒng)很頻繁。

  (5)、病毒入侵,目前,網(wǎng)絡(luò)病毒種類(lèi)繁多,病毒很容易通過(guò)互聯(lián)網(wǎng)或其他途徑(如通過(guò)各接入點(diǎn)、日常維護(hù)操作、磁盤(pán)、其他外網(wǎng))進(jìn)入網(wǎng)絡(luò)內(nèi)部各服務(wù)器,造成網(wǎng)絡(luò)擁塞、業(yè)務(wù)中斷、系統(tǒng)崩潰。而現(xiàn)在流行的各種新型網(wǎng)絡(luò)病毒,將網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬程序合為一體,發(fā)展到融和了多種技術(shù)于一體,互相利用和協(xié)同,已不僅僅是單一的攻擊和漏洞利用,使系統(tǒng)自身防不勝防。病毒發(fā)作對(duì)系統(tǒng)數(shù)據(jù)的破壞性、和系統(tǒng)本身都將會(huì)造成很大的影響。

  2、網(wǎng)絡(luò)攻擊的一般方法

  從黑客的角度來(lái)看,黑客可以利用的方式多種多樣,包括:

  (1)使用探察軟件,猜測(cè)和分析操作系統(tǒng)類(lèi)別、網(wǎng)絡(luò)提供服務(wù)、網(wǎng)絡(luò)的結(jié)構(gòu)等;

  (2)使用強(qiáng)制攻擊軟件對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,例如針對(duì)POP的強(qiáng)行的密碼猜解,SQL的密碼猜解等;

  (3)使用漏洞掃描工具,發(fā)現(xiàn)漏洞,進(jìn)而采用緩存溢出等手段直接或者間接的獲取系統(tǒng)超級(jí)用戶權(quán)限;如系統(tǒng)平臺(tái)自身由于漏洞被黑客利用,將直接導(dǎo)致全廠業(yè)務(wù)服務(wù)的中斷。

  (4)使用木馬進(jìn)行非法連接;

  (5)利用疏忽的數(shù)據(jù)庫(kù)簡(jiǎn)單配置,例如超級(jí)管理員密碼簡(jiǎn)單甚至為空或者用戶密碼和用戶名相同等漏洞,獲取數(shù)據(jù)庫(kù)的某些權(quán)限,進(jìn)而獲得系統(tǒng)的權(quán)限。

  (6)利用可信任的關(guān)系進(jìn)行攻擊,例如深圳電信網(wǎng)站的某些數(shù)據(jù)庫(kù)設(shè)定的訪問(wèn)地址,這樣黑客可以先攻擊這些被數(shù)據(jù)庫(kù)信任的地址進(jìn)行逐“跳”的攻擊。

  (7)DDOS攻擊,使用各種工具進(jìn)行洪水攻擊;利用漏洞的拒絕服務(wù)攻擊。

  3、企業(yè)網(wǎng)絡(luò)安全防護(hù)措施

  根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的實(shí)際防護(hù)需要,必須保護(hù)的內(nèi)容包括:Web主機(jī)(門(mén)戶網(wǎng)站、OA系統(tǒng)等基于Web訪問(wèn)的主機(jī)),數(shù)據(jù)庫(kù)主機(jī),郵件服務(wù)器等,網(wǎng)絡(luò)入口,內(nèi)部網(wǎng)絡(luò)檢測(cè)。對(duì)企業(yè)重要的是有效防護(hù)Web服務(wù)器的非法訪問(wèn)和網(wǎng)頁(yè)被非法修改,防護(hù)數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)被非授權(quán)用戶非法訪問(wèn)或被黑客篡改、刪除。一旦發(fā)現(xiàn)服務(wù)器遭入侵或網(wǎng)頁(yè)被篡改,能進(jìn)行及時(shí)報(bào)警和恢復(fù)處理。

  (1)防火墻,在外部網(wǎng)絡(luò)同內(nèi)部網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻設(shè)備。如通過(guò)防火墻過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù);對(duì)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行控制和阻斷;封堵某些禁止的業(yè)務(wù);記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的監(jiān)測(cè)和告警。禁止外部用戶進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部機(jī)器;保證外部用戶可以且只能訪問(wèn)到某些指定的公開(kāi)信息;限制內(nèi)部用戶只能訪問(wèn)到某些特定的Intenet資源,如WWW服務(wù)、FTP服務(wù)、TELNET服務(wù)等;防火墻產(chǎn)品本身具有很強(qiáng)的抗攻擊能力。使用硬件防火墻,管理和維護(hù)更加方便有效。

  (2)、入侵檢測(cè)系統(tǒng),企業(yè)內(nèi)部主機(jī)操作系統(tǒng)種類(lèi)一般在兩種以上,而目前漏洞攻擊手法大部分是基于操作系統(tǒng)已有的安全漏洞進(jìn)行攻擊,通過(guò)使用防火墻設(shè)備可以防范大部分的黑客攻擊,但是有些攻擊手法是通過(guò)防火墻上開(kāi)啟的正常服務(wù)來(lái)實(shí)現(xiàn)的,而且防火墻不能防范內(nèi)部用戶的惡意行為和誤操作。通過(guò)使用入侵檢測(cè)系統(tǒng),可以監(jiān)視用戶和系統(tǒng)的運(yùn)行狀態(tài),查找非法用戶和合法用戶的越權(quán)操作;檢測(cè)系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞;對(duì)用戶非法活動(dòng)的統(tǒng)計(jì)分析,發(fā)現(xiàn)攻擊行為的規(guī)律;檢查系統(tǒng)程序和數(shù)據(jù)的一致性和正確性;能夠?qū)崟r(shí)對(duì)檢測(cè)到的攻擊行為進(jìn)行反應(yīng)。

  (3)網(wǎng)絡(luò)漏洞掃描入侵者一般總是通過(guò)尋找網(wǎng)絡(luò)中的安全漏洞來(lái)尋找入侵點(diǎn)。進(jìn)行系統(tǒng)自身的脆弱性檢查的主要目的是先于入侵者發(fā)現(xiàn)漏洞并及時(shí)彌補(bǔ),從而進(jìn)行安全防護(hù)。由于網(wǎng)絡(luò)是動(dòng)態(tài)變化的:網(wǎng)絡(luò)結(jié)構(gòu)不斷發(fā)生變化、主機(jī)軟件不斷更新和增添;所以,我們必須經(jīng)常利用網(wǎng)絡(luò)漏洞掃描器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析,包括:應(yīng)用服務(wù)器、WWW服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、重要的文件服務(wù)器及交換機(jī)等網(wǎng)絡(luò)設(shè)備,通過(guò)模擬黑客攻擊手法,探測(cè)網(wǎng)絡(luò)設(shè)備中存在的弱點(diǎn)和漏洞,提醒安全管理員,及時(shí)完善安全策略,降低安全風(fēng)險(xiǎn)。

  (4)、防病毒系統(tǒng)要防止計(jì)算機(jī)病毒在網(wǎng)絡(luò)上傳播、擴(kuò)散,需要從Internet、郵件、文件服務(wù)器和用戶終端四個(gè)方面來(lái)切斷病毒源,才能保證整個(gè)網(wǎng)絡(luò)免除計(jì)算機(jī)病毒的干擾,避免網(wǎng)絡(luò)上有害信息、垃圾信息的大量產(chǎn)生與傳播。單純的殺毒軟件都是單一版系統(tǒng),只能在單臺(tái)計(jì)算機(jī)上使用,只能保證病毒出現(xiàn)后將其殺滅,不能阻止病毒的傳播和未知病毒的感染;若一個(gè)用戶沒(méi)有這些殺毒軟件,它將成為一個(gè)病毒傳染源,影響其它用戶,網(wǎng)絡(luò)傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來(lái)考慮,才能較好的達(dá)到徹底預(yù)防和清除病毒的目的。

  因此,使用網(wǎng)絡(luò)防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進(jìn)出企業(yè)網(wǎng)的病毒、郵件病毒進(jìn)行有效的清除,并提供基于網(wǎng)絡(luò)的單機(jī)殺毒能力。網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)能保證病毒庫(kù)的及時(shí)更新,以及對(duì)未知病毒的稽查。另外,要提高網(wǎng)絡(luò)運(yùn)行的管理水平,有效地、全方位地保障網(wǎng)絡(luò)安全。

  4、企業(yè)網(wǎng)絡(luò)安全解決方案

  廣義的計(jì)算機(jī)系統(tǒng)安全的范圍很廣,它不僅包括計(jì)算機(jī)系統(tǒng)本身,還包括自然災(zāi)害(如雷電、地震、火災(zāi)等),物理?yè)p壞(如硬盤(pán)損壞、設(shè)備使用壽命到期等),設(shè)備故障(如停電、電磁干擾等),意外事故等。

  狹義的系統(tǒng)安全包括計(jì)算機(jī)主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)上的主機(jī)、網(wǎng)絡(luò)設(shè)備和某些終端設(shè)備的安全問(wèn)題,主要針對(duì)對(duì)這些系統(tǒng)的攻擊、偵聽(tīng)、欺騙等非法手段的防護(hù)。以下所有的計(jì)算機(jī)系統(tǒng)安全均是狹義的系統(tǒng)安全范疇。規(guī)劃企業(yè)網(wǎng)絡(luò)安全方案,要根據(jù)企業(yè)的網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)安全需求,結(jié)合網(wǎng)絡(luò)安全分析,一是需要加強(qiáng)對(duì)網(wǎng)絡(luò)出口安全方面的控制和管理,防止安全事故的發(fā)生;二是加強(qiáng)內(nèi)部網(wǎng)絡(luò)訪問(wèn)控制,以業(yè)務(wù)分工來(lái)規(guī)劃網(wǎng)絡(luò),限制網(wǎng)絡(luò)用戶的訪問(wèn)范圍;同時(shí)增加網(wǎng)絡(luò)安全檢測(cè)設(shè)備,對(duì)用戶的非法訪問(wèn)進(jìn)行監(jiān)控。我們建議,企業(yè)的安全解決方案一般應(yīng)有下面一些做法:

  (1)在Internet接入處,放置高性能硬件防火墻(包括防火墻+帶寬管理+流探測(cè)+互動(dòng)IDS等)。防火墻要支持包過(guò)濾和應(yīng)用級(jí)代理兩種技術(shù),具有三種管理方式,能夠很方便的設(shè)置防火墻的各種安全策略,并且能夠與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行互動(dòng),相互配合,阻擋黑客的攻擊。

  (2)在內(nèi)網(wǎng)快速以大網(wǎng)交換機(jī)上連接一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),對(duì)進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行檢查,確保沒(méi)有惡意的數(shù)據(jù)包進(jìn)入,從而影響內(nèi)網(wǎng)數(shù)據(jù)服務(wù)器的正常工作。

  (3)使用互聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)對(duì)DMZ區(qū)和內(nèi)網(wǎng)的服務(wù)器(包括Web服務(wù)器/應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器、DNS服務(wù)器、郵件服務(wù)器和管理服務(wù)器等),以及桌面計(jì)算機(jī)進(jìn)行掃描和評(píng)估,進(jìn)行人工安全分析,以確定其存在的各種安全隱患和漏洞,并根據(jù)掃描的結(jié)果提出加固建議,保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常工作。

  (4)在各主要服務(wù)器上安裝服務(wù)器防病毒產(chǎn)品,對(duì)服務(wù)器進(jìn)行病毒防護(hù),確保病毒不會(huì)進(jìn)入各服務(wù)器,并且不會(huì)通過(guò)服務(wù)器進(jìn)行傳播。

  (5)用一臺(tái)專(zhuān)用的PC服務(wù)器安裝服務(wù)器防病毒系統(tǒng),并在內(nèi)網(wǎng)上安裝工作站防病毒產(chǎn)品,通過(guò)服務(wù)器防病毒系統(tǒng)對(duì)這些工作站進(jìn)行管理和升級(jí)。

  企業(yè)網(wǎng)絡(luò)安全防范措施二:

  病毒侵襲幾乎有計(jì)算機(jī)的地方,就有出現(xiàn)計(jì)算機(jī)病毒的可能性。計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi),伺機(jī)進(jìn)行自我復(fù)制,并能夠通過(guò)網(wǎng)絡(luò)、磁盤(pán)、光盤(pán)等諸多手段進(jìn)行傳播。正因?yàn)橛?jì)算機(jī)病毒傳播速度相當(dāng)快、影響面大,所以它的危害最能引起關(guān)注。病毒的“毒性”不同,輕者只會(huì)玩笑性地在受害機(jī)器上顯示幾個(gè)警告信息,重則有可能破壞或危及個(gè)人計(jì)算機(jī)乃至整個(gè)企業(yè)網(wǎng)絡(luò)的安全。

  殺毒軟件是對(duì)付病毒的最好方法之一。然而,如果沒(méi)有“憂患意識(shí)”,很容易陷入“盲從殺毒軟件”的誤區(qū)。據(jù)最新統(tǒng)計(jì)顯示:被調(diào)查的近千家企業(yè)中約有百分之八十把單機(jī)版殺毒軟件當(dāng)作網(wǎng)絡(luò)版使用;這些企業(yè)網(wǎng)絡(luò)安全防范意識(shí)非常薄弱,超過(guò)八成的計(jì)算機(jī)曾經(jīng)被病毒入侵過(guò)。因此,光有工具不行,還必須在意識(shí)上加強(qiáng)防范,并且注重操作的正確性;重要的是在企業(yè)培養(yǎng)集體防毒意識(shí),部署統(tǒng)一的防毒策略,高效、及時(shí)地應(yīng)對(duì)病毒的入侵。

  黑客入侵

  隨著越來(lái)越多黑客案件的報(bào)道,企業(yè)不得不意識(shí)到黑客的存在。一般來(lái)說(shuō),黑客常用的入侵動(dòng)機(jī)和形式可以分為兩種。

  拒絕服務(wù)(DOS,DENIAL-OF-SERVICE)攻擊這類(lèi)攻擊一般能使單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)癱瘓,黑客使用這種攻擊方式的意圖很明顯,就是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動(dòng)。例如,通過(guò)破壞兩臺(tái)計(jì)算機(jī)之間的連接而阻止用戶訪問(wèn)服務(wù);通過(guò)向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信,最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身,也破壞整個(gè)企業(yè)運(yùn)作。

  非法入侵非法入侵是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源,從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。無(wú)論入侵的人是誰(shuí),和企業(yè)有著怎樣的關(guān)系,這種入侵行為都可能致使公司停工、增加清除成本或數(shù)據(jù)被竊而造成無(wú)法挽回的損失。除此之外,非法入侵對(duì)于企業(yè)的品牌形象、客戶信賴(lài)度、市場(chǎng)占有率甚至股價(jià)都有潛在性的影響。在未來(lái),黑客入侵將具備企業(yè)殺手的潛力,企業(yè)不得不加以謹(jǐn)慎預(yù)防。

  從技術(shù)層次分析,試圖非法入侵的黑客,或者通過(guò)猜測(cè)程序?qū)孬@的用戶賬號(hào)和口令進(jìn)行破譯,以便進(jìn)入系統(tǒng)后做更進(jìn)一步的操作;或者利用服務(wù)器對(duì)外提供的某些服務(wù)進(jìn)程的漏洞,獲取有用信息從而進(jìn)入系統(tǒng);或者利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯(cuò)誤引起的薄弱環(huán)節(jié)和安全漏洞實(shí)施電子引誘,以獲取進(jìn)一步的有用信息;或者通過(guò)系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令,侵入系統(tǒng)。

  由上述諸多入侵方式可見(jiàn),遭遇黑客入侵恐怕是難免的,企業(yè)可以做的是如何盡可能降低危害程度。除了采用防火墻、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外,對(duì)安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡(luò)上專(zhuān)門(mén)機(jī)構(gòu)公布的常見(jiàn)入侵行為特征數(shù)據(jù)—通過(guò)分析這些數(shù)據(jù),企業(yè)可以形成適合自身的安全性策略,努力使風(fēng)險(xiǎn)降低到企業(yè)可以接受且可以管理的程度。

  企業(yè)網(wǎng)絡(luò)安全防范措施三:

  在當(dāng)今網(wǎng)絡(luò)化的世界中,計(jì)算機(jī)信息和資源很容易遭到各方面的攻擊。一方面,來(lái)源于Internet,Internet給企業(yè)網(wǎng)帶來(lái)成熟的應(yīng)用技術(shù)的同時(shí),也把固有的安全問(wèn)題帶給了企業(yè)網(wǎng);另一方面,來(lái)源于企業(yè)內(nèi)部,因?yàn)槭瞧髽I(yè)內(nèi)部的網(wǎng)絡(luò),主要針對(duì)企業(yè)內(nèi)部的人員和企業(yè)內(nèi)部的信息資源,因此,企業(yè)網(wǎng)同時(shí)又面臨自身所特有的安全問(wèn)題。網(wǎng)絡(luò)的開(kāi)放性和共享性在方便了人們使用的同時(shí),也使得網(wǎng)絡(luò)很容易遭受到攻擊,而攻擊的后果是嚴(yán)重的,諸如數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。隨著信息技術(shù)的高速發(fā)展,網(wǎng)絡(luò)安全技術(shù)也越來(lái)越受到重視,由此推動(dòng)了防火墻、人侵檢測(cè)、虛擬專(zhuān)用網(wǎng)、訪問(wèn)控制等各種網(wǎng)絡(luò)安全技術(shù)的蓬勃發(fā)展。 企業(yè)網(wǎng)絡(luò)安全是系統(tǒng)結(jié)構(gòu)本身的安全,所以必須利用結(jié)構(gòu)化的觀點(diǎn)和方法來(lái)看待企業(yè)網(wǎng)安全系統(tǒng)。企業(yè)網(wǎng)安全保障體系分為4個(gè)層次,從高到低分別是企業(yè)安全策略層、企業(yè)用戶層、企業(yè)網(wǎng)絡(luò)與信息資源層、安全服務(wù)層。按這些層次建立一套多層次的安全技術(shù)防范系統(tǒng),常見(jiàn)的企業(yè)網(wǎng)安全技術(shù)有如下一些。

  VLAN(虛擬局域網(wǎng))技術(shù) 選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過(guò)交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò),它依*用戶的邏輯設(shè)定將原來(lái)物理上互連的一個(gè)局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng),劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點(diǎn)的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù),對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息。

  網(wǎng)絡(luò)分段 企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,可以被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接人以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng),就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對(duì)其進(jìn)行解包分析,從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問(wèn)的目的。

  硬件防火墻技術(shù) 任何企業(yè)安全策略的一個(gè)主要部分都是實(shí)現(xiàn)和維護(hù)防火墻,因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣,這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡(jiǎn)化網(wǎng)絡(luò)的安全管理。

  入侵檢測(cè)技術(shù) 入侵檢測(cè)方法較多,如基于專(zhuān)家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)。

367020