時間:2023-09-21 17:49:15
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業網絡安全整改范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
1、制定下發公司《企業郵箱使用管理辦法》,并做好對公司本部及下屬公司企業郵箱的維護使用工作。
2、梳理公司及下屬企業網站現狀,指導各企業對接IPV6改造事項,目前各企業初步方案已基本確定,正在履行各自審批程序。
3、配合集團企管部完成公司本部網絡安全的檢查工作,并就檢查出的問題制定整改方案。
4、按照集團公司要求,繼續做好公司網絡安全的防護工作,及時對的漏洞進行修復,并指導督促下屬存在網站漏洞的企業盡快完成整改工作。
5、持續對OA系統進行改進完善工作,并完成定期的數據備份工作。
四季度工作計劃:
1、公司本部完成網站的測試、IPV6改造、上線工作,且自網站正式上線后,做好對網站安全的動態管理工作。
2、指導督促下屬企業完成網站的IPV6改造,并按照月度定期向集團公司匯報工作進度。
3、鑒于OA系統已運行5年,系統中積累大量流程痕跡及文檔內容,因上線后系統維護、數據備份工作均為自行負責維護,系統一直未進行更新及漏洞補丁修復,為防止系統或服務器意外損壞而導致的系統故障,擬于四季度制定OA系統售后服務及數據實時備份方案,待領導審議通過后適時實施。
為進一步提升全員網絡安全意識,增強企業網絡安全風險管控水平,近日,xx市局(公司)以“網絡安全為人民、網絡安全靠人民”為主題,扎實開展“國家網絡安全宣傳周”活動,營造起良好的網絡安全環境。
加強組織領導,層層分解責任。結合工作實際,制定“國家網絡安全宣傳周”活動計劃,健全網絡安全管理組織機構,細化安全主體責任和監管責任,落實終端病毒防控、日常運維監測、系統隱患整改等方面的管控措施,嚴防網絡安全事故發生。
加強宣傳引導,增強安全意識。強化網絡風險宣傳,定期通過微信群、微信公眾號等方式,對網絡詐騙手段、個人信息保護措施等進行專題推送;充分利用電梯間展示終端“使用頻繁、受眾廣泛”特點,選取網絡安全警示教育短片,進行全天滾動播出,引導全員了解網絡安全風險,培養安全意識。
加強教育培訓,有效防范風險。組織信息化方面骨干力量,到青島市局(公司)、xx中百集團等單位學習網絡安全風險管控措施和經驗;邀請信息化安全方面專家,采用觀看網絡安全警示教育片、實例講解、模擬故障處理等形式對網絡安全知識進行培訓,進一步提高網絡安全辨別能力和防御能力。
加強日常管控,提升應急處置能力。聯合專業機構,對應用系統、網絡核心設備等重點部位進行檢測,查找安全漏洞,采取有效防護措施;按照網絡安全應急預案演練方案,組織信息化部門人員定期演練,針對發現的問題,及時修訂完善應急預案,切實提升突發事件應急處置能力。
關鍵詞:網絡管理;ARP欺騙;ARP病毒攻擊;IP地址管理;排查與防控手段
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1006-8937(2012)26-0076-04
回顧企業網絡安全運行維護工作,有必要總結歸納近年來企業級網絡管理系統和網絡管理體系結構有效維護經驗,有效利用網絡管理防范與處理ARP欺騙、攻擊相關經驗。
從近年的網絡運維,網絡管理人員不斷接到網絡用戶反映——“所在的網絡在上網應用時網絡時斷時通,有時基本處于無法使用的狀態”。而與此同時網絡流量管理在對相應網段的監控中又沒有異常情況發生,所以一時間很難使用常規的網絡管理手段、經驗加以判斷與網絡定位,從而給網絡管理與網絡維護提出了新挑戰。
由于這種網絡故障來的較突然,既沒有可以參考的經驗,又沒有可用的網絡協議分析儀等條件進行客觀數據的實地采集,所以我們一開始采用的方法就是在網絡交換機處對網段進行人為手工的“再細分”,用逐段排除法對有問題的PC機進行定位后再采取整治方法,但這種方法費時費力,排除故障時間長。通過對故障網絡現場觀察和體會,加上對網絡TCP/IP協議的分析后,得出對ARP網絡欺騙和ARP網絡病毒攻擊的初步感性、理性雙重認識。那就是如何認識ARP欺騙與攻擊的共同點和區別,采取有效的防控手段來遏制這些網絡安全威脅。
1 ARP欺騙分析
ARP協議是一種將IP轉化成以IP對應網卡的物理地址的協議,或者說ARP協議是將IP地址轉化成MAC地址的一種協議。它靠內存中保存的一張表來使IP得以在網絡上被目標機器應答。在我們企業網絡架構的Vlan中,以太網的每一幀有兩種方式傳輸。一種對外傳,就是用戶有一個需求,當需要透過路由將網絡幀轉發到別的Vlan時,需要通過本地Vlan的網關。另外一種是內傳,當有用戶需求就在本身這個Vlan網絡中時就不需要網關了。
當遇到ARP欺騙的時候,我們就會發現原本發送給本地Vlan網關的數據幀,沒有得到本地Vlan網關MAC正確的回應。從而導致用戶任何應用都沒有辦法使用了,就感覺到反復“掉線”或者“斷線”,網絡好像處在“震蕩”中,迫使網絡用戶重新啟動自己的計算機以期重新獲得聯網的需求,此時正好中了欲進行ARP欺騙計算機的“招”,當用戶在重新啟動自己計算機獲得IP地址和本網段網關MAC地址時,進行ARP欺騙的計算機就會以自己網卡的MAC地址代替本網段網關的MAC地址,以至于給用戶一個重新獲得上網的感覺,其實用戶這時所有的外傳以太網幀全部發給了正在行使ARP欺騙的計算機,這就是ARP欺騙在一個Vlan中的基本原理。
進行網絡ARP欺騙的計算機在進行MAC欺騙的過程中,會將已知某其它主機的MAC地址用來使目標交換機向欺騙計算機轉發以該主機為目的地址的數據幀。通過發送帶有該主機以太網源地址的單個數據幀辦法,網絡欺騙計算機改寫了CAM表格中的條目,使得交換機將以該主機為目的地址的數據包轉發給該網絡實施ARP欺騙的計算機。除非該主機重新啟動PC并從網絡中獲取地址時CAM表中對應的條目會被再次改寫,以便它能恢復到原始的端口。但是否會再次受到ARP的MAC欺騙就取決于本網段中是否存在這樣的欺騙計算機了。
網絡欺騙——MAC的欺騙從來不會停止于只在本網段內進行“欺騙”,它很快就演變為與網絡病毒相結合的具有網絡攻擊特征的更具傳染與殺傷力的——“地址解析協議(ARP)攻擊”。
當有人在未獲得授權就企圖更改MAC和IP地址ARP表格中的信息時,就發生了ARP攻擊。通過這種方式,黑客們可以偽造MAC或IP地址,以便實施如下的兩種攻擊:“服務拒絕”和“中間人攻擊”。
目前以“服務拒絕”演變出來的攻擊以網絡上多種病毒為主,它們會發送假冒的ARP報文,比如發送網關IP地址的ARP報文,把網關的IP對應到自己的MAC上,或者一個不存在的MAC地址上去,同時把這假冒的ARP報文在網絡中廣播,所有的內部PC就會更新了這個IP和MAC的對應表,下次上網的時候,就會把本來發送給網關的MAC的報文,發送到一個不存在或者錯誤的MAC地址上去,這樣就會造成網絡斷線了。
這就是ARP地址欺騙攻擊,造成內部PC和外部網的斷線,該病毒在滿足一定條件的時候會表現的特別猖獗。也對企業內部分局部網段造成非物理“斷網”的中斷網絡破壞,由于它與網絡病毒相結合,所以無論在傳播的速度和攻擊特性都有較大的“聚變”,ARP 地址欺騙攻擊的實施是通過偽造IP地址和MAC地址實現ARP欺騙的同時,能夠在網絡中產生大量的ARP通信量,使網絡阻塞或者實現“中間人攻擊”(man in the middle) ,進行ARP重定向和嗅探攻擊。當攻擊源大量向局域網中發送虛假的ARP信息后,就會造成局域網中機器ARP緩存的崩潰。
下面給出ARP欺騙攻擊在Vlan229網絡交換機上所看到的特征。
3 原因分析
從對感染ARP欺騙的欺騙攻擊病毒計算機進行現場查殺和計算機系統安全基本要求方面的檢查來看,這些計算機大多存在如下的共同特征:
①系統安全補丁嚴重缺失,有的Winxp在SP2后只有一個補丁,所以補丁缺少很多(約兩年)。
②計算機開機進入系統時幾乎都缺少系統應有的“口令”。有的只有弱口令。
③大部分這樣的計算機系統無防病毒軟件或沒有及時對防病毒軟件升檔,特別是企業網絡中使用的Symantec通知升級后不執行升級就導致防病毒策略與防病毒代碼無法及時更新。
④有的網絡用戶違規下載并安裝“網絡游戲”或使用帶毒的“實時通信軟件”所至,如“傳奇”和“QQ”等。
⑤有的部門信息聯絡員沒有及時將計算機安全基本要求宣傳到位。
⑥有的部門領導忙于生產而無法具體落實計算機系統安全的相關規章制度。
4 利用網絡管理防范與處理
4.3 對主要網絡應用進行必要的網絡細分
從對企業總部大樓十二樓Vlan241和原基建大樓Vlan226網絡的整改后的使用效果來看,網絡規劃在必要的網段上要從多方面考慮網絡應用的實際需要,特別是要從防控類似ARP欺騙和欺騙攻擊病毒上考慮對重要網段的“細分”工作。企業總部大樓十二樓和基建大樓的網絡在被“細分”后,實際使用和管理上較整改以前都有較好的網絡使用和網絡安全的效果,充分說明了這一點。
4.4 用網絡管理軟件和工具軟件進行預防
充分利用網絡管理軟件的“IP地址管理”在MAC與IP綁定上的作用,對企業網絡上運行的計算機系統進行全天候不間斷的監控,再利用類似于Antiarp這樣的工具軟件對有問題故障網段進行現場“抓獲”。
5 結 語
在我們這樣大型國有企業網絡中,網絡故障錯綜復雜,不借助專業網絡管理軟件和認真細致地對網絡故障分析,很難對非物理性網絡故障,類似ARP欺騙和欺騙類攻擊病毒引起的網絡故障進行排查帶來很大的困難,同時會給網絡產生巨大的安全威脅。
所以,對于企業的網絡運行,需要網絡管理人員充分利用網絡管理工具,對網絡進行長期有效的監測和分析,才能最大程度地排除可能的網絡故障和網絡安全威脅。然而計算機系統安全是與各個使用計算機的企業網絡終端用戶密切相關的,計算機安全必須及時、有效地去“實施”的觀念離實際的網絡安全要求還相差的甚遠,僅靠企業每年要求信息中心利用“總廠例行崗檢”和“計算機系統專項安全大檢查”的方法來維持網絡安全,那是無法適應日益變換和增長的網絡安全需要的。
近年來在網絡安全運維實踐中在技術層面上總結出一些行之有效方法,讓參加企業IT網絡運維的同行們能有效地共享,充分利用網絡管理系統已有的功能,深化網絡與信息系統的安全運行具有重要意義。
參考文獻:
關鍵詞安全隱患;網絡安全;防火墻;防病毒;入侵檢測;安全評估
Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.
Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment
中圖分類號:TU714文獻標識碼:A 文章編號:
隨著網絡安全技術的不斷發展,網絡惡意攻擊者的技術也在不斷的改進和創新。網絡信息安全由安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、災難恢復等多個安全組件組成,一個單獨的組件是無法確保信息網絡的安全性。以前簡單的網絡邊界安全解決方案,已經不能從整體上解決企業網絡安全隱患,因此在公司單位制定一套合理的整體網絡安全規劃,顯得尤為重要。
一、信息網絡安全管理存在的安全隱患
(1)外部非法接入。包括客戶、訪客、合作商、合作伙伴等在不經過部門信息中心允許情況下與公司網絡的連接,而這些電腦在很多時候是游離于企業安全體系的有效管理之外的。
(2)局域網病毒、惡意軟件的泛濫。公司內部員工對電腦的了解甚少,沒有良好的防范意識,造成病毒、惡意軟件在局域網內廣泛傳播以至于影響到正常的日常辦公。
(3)資產管理失控。網絡中終端用戶隨意增減調換,每個終端硬件配備(硬盤、內存等)肆意組裝拆卸,操作系統隨意更換,各類應用軟件胡亂安裝卸載,各種外設無節制使用。
(4)網絡資源濫用。IP地址濫用,流量濫用,甚至工作時間聊天、游戲、瘋狂下載等行為影響工作效率,影響網絡的正常使用。
(5)內部非法外聯。內部網絡用戶通過調制解調器、雙網卡、無線網卡等設備進行在線違規撥號上網等,或違反規定將專網專用計算機帶出網絡進入其它網絡。
(6)重要信息泄密。因系統漏洞、病毒入侵、非法接入、非法外聯、網絡濫用、外設濫用等各種原因與管理不善導致組織內部重要信息泄漏或毀滅,造成不可彌補的重大企業損失。
(7)補丁管理混亂。終端用戶不了解系統補丁的狀態,不能及時打補丁,也沒有辦法統一進行補丁的下載、分析、測試和分發,從而為蠕蟲與黑客入侵保留了通道。
(8)“灰色網絡”的存在。即單位信息網絡管理人員對自己所擁有的網絡不是太了解,不能識別可能被利用的已知弱點,選擇合適的網絡安全設備并及時保證設備的策略符合性;工作中疏忽大意等造成對網絡的影響。
(9)沒有建立完善的管理體系。配置再完善的防火墻、功能再強大的入侵檢測系統、結構再復雜的系統密碼等也擋不住內部人員從網管背后的一瞥。在公司各單位存在信息網絡安全管理制度不明確合理、宣傳不力、管理不善等現象,造成執行者執行手段匱乏或執行艱難。
二、網絡安全管理應對措施探討
對嚴峻的網絡安全形勢,如何保證網絡安全并有效防止入侵事件的發生,成為擺在每個網絡管理人員面前的難題。
(1)根據需求部署安全產品。首先要部署防火墻。它是執行安全策略的主要手段。其次,可以考慮IDS(入侵檢測系統),以便對發生在防火墻后面的違規行為進行檢測,做出反應。其他的比如防病毒軟件、VPN產品、IPS等,對企業網絡的安全防護也都起著重要的作用。
(2)制定完整的安全策略。安全策略是制定所有安全決策的基礎,一個完整的安全策略會幫助企業網絡使用者校正一些日常但有威脅性的紕漏,并使之在保護網絡安全時做出一定的決定。強制執行的安全策略提供貫徹組織機構的連續性;當對攻擊行為做出響應時,安全策略是首先考慮的資源;安全策略可以變動,也可以根據需要隨時更新;當安全策略變化時,要讓所有員工知道其重要性并遵守。
(3)制定完善的日志策略。日志是網絡管理員調查網絡入侵行為的必要工具,可以報告網絡異常,跟蹤入侵者的蹤跡,因此制定一個完善的日志策略對企業網絡安全很重要。
(4)進行定期的安全評估。相應的安全策略制定完成并實施后,就應當對企業網絡進行定期的安全評估。可以定期的請第三方網絡安全公司進行網絡安全咨詢,找出漏洞、分析漏洞及時降低風險。
(5)建立有效的應急響應機制。要擬定一份緊急事件應變措施,以便在事情發生、安全體系失效時發揮作用。應急措施應說明:緊急事件發生時報告給誰?誰負責回應?誰做決策?應急措施的制定要本著“企業損失最小化”的原則,體現出在業務中斷時間盡量短、數據丟失盡量少、網絡恢復盡量快等方面。
三、采取多種技術措施,保障網絡與信息安全
(1)防火墻技術。安裝防火墻,實現局域網與互聯網的邏輯隔離。通過包過濾技術實現允許或阻止訪問與被訪問的對象,對通過內容過濾保護網絡用戶合法有效地使用各種網絡對象;通過NAT技術實現動態地址轉換,使受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址,這不僅可以對外屏蔽內部網絡結構和IP地址,也可以保護內部網絡的安全。
(2)入侵檢測系統檢測的主要方法。入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。靜態配置分析:通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞;異常性檢測方法:是一種在不需要操作系統及其防范安全性缺陷專門知識的情況下,就可以檢測入侵者的方法,同時它也是檢測冒充合法用戶的入侵者的有效方法;基于行為的檢測方法:通過檢測用戶行為中那些與已知入侵行為模式類似的行為、那些利用系統中缺陷或間接違背系統安全規則的行為,來判斷系統中的入侵活動。
(3)防病毒方面。應用防病毒技術,建立全面的網絡防病毒體系;在核心機房和部分二級單位選擇部署諸如Symantec等防病毒服務器,按照分級方式,從總部、地區、下屬單位逐級安裝病毒服務器,實行服務器到終端機強制管理方式,實現逐級升級病毒定義文件,制定定期病毒庫升級與掃描策略,建立系統運行維護和公司防病毒技術支持相關人員,為公司員工使用的計算機終端加強了防病毒與查殺病毒的能力。
(4)桌面安全管理系統。桌面安全管理系統可以從技術層面幫助管理人員處理好繁雜的客戶端問題。其目標是要建立全面可靠的桌面安全防護體系,管理和保護桌面軟件系統,為各應用系統創造穩定、可靠和安全的終端使用環境,有力支撐企業的業務和信息化發展,確保信息安全。
(5)網絡安全評估。建議每年定期請專業的安全咨詢公司對企業內部的網絡安全、關鍵服務器群、物理安全等方面做整體的安全體系的評估與安全加固,并提出一系列應對策略和應急方案,及時發現存在的各類威脅并進行有效整改,提高網絡的安全級別。網絡安全評估是建立安全防護體系的前提工作,是信息安全工作的基礎和重點。
(6)操作系統安全策略管理。由企業相關技術部門制定出一套操作系統安全管理策略配置說明書,詳細講解對操作系統安全策略的配置和管理,包括帳戶密碼策略、帳戶鎖定策略、審核策略、目錄共享策略、屏保策略、補丁分發策略等,對客戶端操作系統的安全性進行必要的設置,使其能夠關閉不必要的服務和端口、避免弱口令、刪除默認共享、及時更新系統補丁等,消除操作系統級的安全風險。
(7)信息的安全存儲與安全傳輸。信息的存儲安全是各業務系統的重點,信息的安全傳輸是機密信息交換的保證。對于數據存儲量較大的應用系統,可合理地選擇存儲架構,如采用存儲區域網(storage area network,SAN),實現最大限度的數據共享和可管理性;采用RAID技術,合理的冗余硬件來保證存儲介質內數據的可靠性;采用合理的備份策略,如定期完全備份、實時增量備份、異地容災備份、多介質備份等來保證信息的可用性、可靠性、可管理性、可恢復性;制定和實施嚴密的數據使用權限;針對機密信息的網上傳輸、數據交換采取加密后傳輸。
(8)安全管理。網絡信息安全是一項復雜的系統工程,安全技術和安全設備的應用可起到一定的作用。建立和完善各種安全使用、管理制度,明確安全職責;建立如突發事件的應對預案;加強對網絡使用人員、網絡管理人員的安全教育,樹立安全觀念,提高安全防范意識,減少潛在的安全隱患;建設一支高水平的網絡管理、信息安全管理隊伍,定期進行安全風險評估和策略優化。
(9)應用網絡信息安全管理技術正確面對網絡信息安全漏洞。目前,市場上各類網絡管理設備(網絡交換機、防火墻、入侵檢測/防護系統、防病毒系統等)從技術角度來講都已經成熟,我們只要選擇知名品牌的信得過產品,對其進行合理的利用,對保障企業的網絡信息安全能夠起到積極作用。
五、結束語
建立完善的安全制度和安全響應方案,盡快建立起有效的信息安全防護體系,管理員加強自身學習和責任感,并不斷加強和培養員工的安全意識,讓公司每一位員工在意識和行動上都成為安全的“衛士”。只有這樣,我們才能共同保障好企業的信息網絡安全。通過網絡軟件與硬件產品的結合,正確合理地使用各種安全策略和實施手段,相信會建立一套全面、安全、易于使用管理的配套設施,將網絡信息安全隱患減至最小。只有這樣,才能確保公司的網絡信息暢通、信息安全,才能實現公司信息化建設更好的服務公司的生產經營。
參考文獻:
關鍵詞:軍工企業;網絡信息;安全問題
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 17-0000-01
Study on Military Enterprise Information Security Issues
Su Bin,Sun Hailong
(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)
Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
隨著社會信息化建設進程加快,軍工企業對計算機網絡信息安全的威脅,需要不斷采取自動化的方法,來提高計算機網絡信息的安全性。密碼編碼學技術給計算機網絡信息安全帶來了新的革命,在網絡的各個層面上實現信息安全,提高保密性和認證的密碼編碼算法顯得更為重要,確保計算機網絡信息的安全已經成為社會所關注的熱點問題。
一、軍工企業信息安全問題分析
(一)設備中的漏洞問題
當前,軟硬件的漏洞無處不在。眾所周知,計算機網絡的主要軟硬件大多依賴進口。這些軟硬件都存在大量的安全漏洞,極易給病毒、隱蔽信道和可恢復密碼等開辟捷徑,極易為他人利用。每當發現新的漏洞,就會在短短的幾分鐘內傳遍整個網絡,攻擊者就可以利用這些漏洞對網絡進行攻擊,網絡信息處于被竊聽、監視等多種安全威脅中,信息安全極度脆弱。
(二)計算機病毒問題
互連互通的網絡給人們傳輸信息和共享信息帶來了極大的方便,但同時也給病毒的傳播大開方便之門。而且現在病毒的隱蔽性、傳染性、破壞性歷經演變之后都有了很大的提高,使網絡用戶防不慎防,給企業帶來巨大的損失。境內外各種敵對勢力一直把我國軍工單位作為滲透、情報竊取的重點目標,無時不在對我進行情報竊密活動,黑客攻擊是常用手段之一。黑客利用企業網絡存在的一些安全漏洞,經過一些非法手段訪問企業內部網絡和數據資源,可以刪除、復制、修改甚至毀壞一些重要數據,從而給企業和個人用戶帶來意想不到的損失。
(三)隔離墻問題
大部分軍工企業沒有做到非的內外部網絡的物理隔離,或邏輯隔離強度不夠;另外存在一機多用的情況,在內外網之間隨意轉換使用。致使病毒在多個網絡中流傳,存在一點突破全網盡失的現象。一些單位內部文件共享情況比較普遍,缺乏有效的授權訪問機制,對內不設防的情況比較多。對于一些物理隔離較好的內外部網絡,因移動存儲介質能夠在兩個網絡之間能交叉使用,致使病毒仍能在網絡之間流轉,甚至能通過接入互聯網的計算機把信息傳輸出去,致使內外網的隔離失去實際意義。
二、密碼學解決信息安全的方法
經過加密處理后的信息在網絡中傳輸,將很大的程度上避免了數據信息泄漏,即使黑客或病毒截取了相關信息,也要通過花大量的功失解密才能獲知明文。密碼編碼學是解決網絡信息安全問題的核心技術,保證了數據信息的可控性、保密性完整性、不可否認性和可用性。
(一)數據信息采取加密保存
首選的是運用數據信息加密技術,加密方法有對稱加密和非對稱加密,通過設置對文件設置密碼保存,提高數據信息的安全性,加密的算法有AES密碼算法,DES算法、三重DES算法、RSA算法等。只有解密后才能訪問和理解原始數據信息。可以采用可靠的加密軟件對文件進行加密保護,如電子郵件、口令等數據,通過Outlook發送郵件,自帶有加密和數字簽名等安全設置功能,可以使用安全設置后再發送,達到數據信息安全的目的,即使被截取后,黑客也要耗時間去解密,達到數據信息時效安全性。
(二)鏈路和端對端加密相結合傳輸
數據信息在網絡傳輸過程中,采取鏈路加密還是端對端的加密都是有一定的缺陷的,只有把兩種方法結合起來應用,才能使數據信息保護更加安全,主機使用端對端加密密鑰來加密用戶數據,整個分組則使用鏈路加密,分組在網絡中傳輸是,每個結點用鏈路加密密鑰來解密它,讀取信息頭,然后在對它加密,發送到下一條鏈路上,這樣除了在分組交換結點的存儲器逗留的時間里信息頭是明文外,整個分組一直都是安全的。
三、軍工企業信息安全的策略
解決網絡信息安全的對策和措施的遵旨是技術與管理相結合:技術和管理不是相互孤立的。對于任何一個企業來說,網絡信息的安全不僅是技術方面的問題,更是管理的問題。制定完善的安全管理制度,精確到細節,從企業高管到部門負責人以及普通員工,確定每個用戶在網絡中扮演的角色和承擔的安全責任義務,職責分明。企業應將網絡安全管理工作作為一項重要指標納入年度考核,營造“網絡安全,人人有責”的全體動員的氛圍。同時應制定詳細的安全管理策略,并每年定時或不定時的對非網絡的服務器和計算機進行抽查,根據檢查結果,對不符合要求的要實事求是的下發整改通知,并在公司網絡安全管理會議上進行通報。軍工企業的網絡信息安全建設是一項系統的、龐雜的、長期的工程。但我們也清醒的認識到,安全不是技術,而是技術與管理的結合,任何先進的安全技術都需要嚴謹的管理作為后盾,否則,只是一堆軟硬件的組合。我們必須從自身做起,堅持不懈,確保軍工企業的網絡信息安全。
參考文獻:
關鍵詞:電子商務;外貿企業;對策
一、電子商務對于現在外貿企業的發展引起的影響
(一)電子商務對傳統外貿環境的影響
在中國加入到WTO后,對于中國中小型企業的外貿生意提供了便利條件,相關的政策和營業權限的批準均是為了企業進行“松綁”,很多中小型企業獲得了相關的自營權力。但是在金融危機背景下,外貿企業面臨著經營上的窘境,創新思維和技術革新締造了這一行業的更高價值,使得中小型企業在全球市場上得到了又一光明大道。電子商務是通過網絡平臺拓寬了企業的發展市場,更好的促進外貿企業的全球化進程。
(二)電子商務對外貿企業在運營商的影響
電子商務為了中國外貿企業在運營渠道上開辟了更廣闊的市場,也給外貿企業發展速度提供了國際化的平臺。電子商務改變了傳統商務交流模式上的弊端,減少中間商賺差價,降低了一定的成本,并且交易過程更加透明化、合理化,滿足消費者價格心理的同時,也為各大企業的經理利益提供了一定的保障。
二、電子商務對于現在外貿企業的發展引起的一些問題
(一)需求的目標用戶不明確
現有的中小型企業中對于網絡貿易的認識并不透徹,構建網頁的時候目標較為盲目,功能上過于簡單化,網頁長時間不進行維護,這對企業的整體形象影響深遠。
(二)企業電子商務的普及率較低
在現有的很多企業中信息化模式使用并不完全,在企業網絡更新和維護上并不上心,對客戶的反饋和客戶的詢問并不能及時的回復。有的企業并沒有自己的官方網站,就會借助第三方的平臺進行進一步銷售,例如阿里巴巴、中國制造網等等,但是依然秉承傳統模式的觀念,沒有將電子商務運用到實際中來。
(三)相關的電子商務系統配套服務并不完善
制約著電子商務的主要原因在于物流服務,首先打造較大、較全、系統的倉庫系統是可以完成的,但是如何將貨物安全、完整、無破損的進行輸送成為外貿企業應該關注的問題。
(四)現有的外貿環境需要完善
在電子商務不斷發展的今天,網絡安全成為大家關注的問題,網上交付、網絡環境安全、有關網絡安全構建的制度和條例建設等都是需要再次梳理和完善的。這些均是制約外貿企業拓展業務的關鍵問題。
(五)中國企業的信用問題有待改善
在國際購物網站上,每家店鋪的網上信用問題成為大家選擇的重要憑證,網上的購物評價也成為了大家選擇的一個標準。而電子商務的平臺構建成為了消費者與企業合作的重要溝通工具,這不僅會嚴重影響到交易成功率也會影響品牌的名譽。所以,在構建外貿企業電子商務平臺過程中,相應健全的機制成為保駕護航的關鍵。
三、問題對策
(一)外貿企業要重新定位,用發展的眼光看問題
在傳統貿易中將線下貿易改革成為線上貿易的發展新局勢和新方法,知識單純的依靠企業宣傳和人工宣傳已經不能滿足,隨意當機立斷的進行有效的制度改革,通過政府的監管與扶持,將市場作為主要的實施媒介。在對外腦企業進行有效的整改過程中,積極地相應市場的新格局和社會的變化發展,建立屬于自己的網站,宣傳企業產品,在網上開拓市場信息。在對企業網站進行設計時要突出屬于適合自己企業網站的風格,創建針對企業的、獨特的服務功能和網絡環境,及時找到適合企業定位的溝通方式,使得企業實體與網絡經營的雙模式綜合體,為外貿經濟創造更大的發展空間。
(二)利用全新的電子商務模式進行企業營銷
首先,根據企業的特點和使用人群進行電子商務的系統優化,盡可能的減少中間繁雜的中間環節,在用戶購物時,可以設定一定的優惠服務,吸引消費者眼球,博得產品關注在某種程度上說是引導消費者進行選購;可以建立會員制度,在一定時期進行會員優惠,這不僅可以穩定用戶,還可以促進客戶的消費心理。這樣更好的構建經營、人脈、金融多層經濟關系。
(三)國際貿易要加強先關的法律法規,完善網絡的信用制度
在現有的相關貿易法律法規中,對于電子商務的網絡交易還有一部本并沒有完善。根據相關部門的調查走訪進行系統分析,網絡安全、網絡管理、支付安全等方面的法律條文需要進行系統整改,從技術上到電子商務意識方面,均要求有所涉及。要做到企業懂法,處處合理安全。
(一)信息安全中的道德問題。
信息安全問題是網絡營銷領域中的核心問題,網絡營銷中比較常見的信息安全道德失范問題常見的有:有意或者無意地向顧客傳播木馬、病毒或者惡意代碼;強行更改瀏覽器的起始頁面或者篡改瀏覽器標題欄上的公司信息;為了醒目和增加識別性,使用他人的知名商標、字號、商品名作為鏈接標志等等。
(二)消費者權益中的道德問題。
受經濟利益的驅使,一些網絡營銷企業采用cookie、WebBugs或者其他技術手段在網絡里暗中監視和收集消費者的瀏覽痕跡,再進行數據歸檔,使得消費者個人隱私權受到了侵害。甚至未經當事人同意,在互聯網上公開、傳播或轉讓他人和自己之間的隱私。
(三)商品交易中的道德問題。
網上交易中買賣雙方不可能“一手交錢、一手交貨”,交易的虛擬性強,導致消費者即使被騙后也不好采取法律行動,這便給一些不道德的營銷者提供了欺詐的空間,虛假交易時常發生。
二、我國網絡營銷中道德問題產生的原因
(一)網絡營銷倫理失范的環境因素。
一是網絡的虛擬性使得人們的社會角色和要承擔的道德義務責任與現實中有很大不同,更容易受到不道德、反倫理的信息的侵犯,導致網絡群體道德水平下降。二是復雜的網絡技術支撐下的高效率的全新商業模式也為網絡運營商、第三方電子商務平臺、政府管理部門的監管帶來了新挑戰和難度。三是網絡營銷的超前性和成長性特點使得網絡管理具有滯后性,導致了網絡營銷中倫理失范問題的嚴重性。
(二)網絡營銷倫理失范的主體因素。
開展網絡營銷的企業是網絡營銷倫理規范的主體,其存在的問題有:
1.網絡營銷企業缺乏倫理道德觀念,片面追求利潤最大化。追求利潤最大化是市場經濟中企業奉行的首要經營原則。一些企業置商業倫理道德于不顧,過分強調自己的經濟利益,致使在網絡營銷過程中出現了種種違背倫理原則的經營行為。
2.網絡營銷企業尚未構建良好的企業營銷倫理文化。目前我國網絡營銷企業當中具有良好企業文化的為數不多,基于良好企業文化的企業價值觀將引導企業合法和積極地經營,錯誤的企業價值觀則會致使企業只片面追求利益最大化,很可能導致道德失范。3.網絡營銷企業領導者的自身道德素質良莠不齊。我國的網絡營銷企業以中小型企業為主,網絡營銷企業的企業家有部分人急功近利,社會責任感不強,忽視了倫理道德在經濟活動中的約束作用。
(三)網絡營銷倫理失范的外部因素。
1.網絡營銷相關的法律法規缺失,政府監管不力。目前我國現階段并沒有關于網絡營銷相關的專門法律法規,法律和制度的缺失使得我國網絡營銷漏洞百出,讓非法者有機可乘,擾亂了正常的市場經濟秩序。
2.網絡消費者維權意識較為淡薄。網絡營銷的虛擬性決定了消費者購買商品時間和空間上的分離,利益受損的消費者有可能會抱著“多一事不如少一事”的態度,放棄維護自身的合法權益。
3.“信息不對稱”造成的企業誠信缺失。營銷企業擁有的信息量大,占據信息優勢,而消費者無法準確掌握商品質量等信息而處于信息劣勢。這種信息量不平衡造成部分企業在經營過程中違背道德原則,進行違德違法營銷,以求獲得更多的利益。
三、治理我國網絡營銷中道德問題的對策建議
(一)加強企業內部道德建設,提升企業網絡營銷倫理水平。
構建積極健康的網絡營銷倫理,作為市場主體的網絡營銷企業要自覺按照道德規范自我教育、自我約束,網絡營銷企業要注重對優秀企業文化的培育,并依托良好的企業進行規章制度的建設。
1.樹立網絡營銷倫理觀,打造道德過硬的營銷團隊。企業不僅是經濟組織,也是社會組織,企業要有正確的經營指導思想,處理好“義”與“利”之間的關系,在網絡營銷活動中要切實維護國家利益、人民利益、消費者利益以及競爭者之間的利益。
2.加強企業網絡營銷倫理文化建設,增加企業競爭軟實力。要將健康向上的企業文化滲透到企業的倫理承諾中,并且與整個企業的倫理狀況進行緊密的關聯,一種具有凝聚力的企業文化能夠保證企業的營銷行為合乎倫理的要求。
3.建立企業網絡營銷道德規范,提高網絡營銷者的道德水平。公司信條或者倫理章程能很大程度上影響到公司內的倫理行為,其執行的好壞將深刻影響到企業職工的素質和道德素養,并將極大地影響企業營銷的倫理水平。
(二)加強網絡安全建設,確保消費者的利益。
隨著網絡營銷的發展,安全問題更加突出,在計算機互聯網絡上實現的商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。解決好這個問題,應從完善網絡安全技術和網絡安全協議兩方面入手。
(三)發揮政府在網絡營銷倫理建設中的調控作用。
企業在網絡營銷中出現的一系列倫理失范問題的規制,除了內部自律,也需要外部約束,在此之中,政府因素是影響企業營銷道德水平高低的重要外部因素。
1.健全網絡營銷的法律法規,保障網絡營銷健康發展。健全網絡營銷的法律法規主要可以主要從四方面進行完善:一是盡快出臺《電子商務法》。二是修改完善《廣告法》,加快制定《網絡廣告法》。三是加快完善《合同法》。四是針對網絡隱私安全問題,完善《消費者權益保護法》,將網絡營銷納入到法律的控制范圍內,這是我國網絡營銷規范化和法制化發展的必由之路。
2.加強對網絡營銷道德違規行為的制裁和處理。從我國的實際情況看,不僅需要“有法可依”,更需要“有法必依和執法必嚴”。鑒于此,行政監管部門應組織成立專門機構,加強與工商行政、物價、稅務、技術監督等部門的協調合作,定期清查網絡營銷企業的道德違規情況,及時提出整改意見,加大懲罰力度,提高失信網絡營銷的違信成本,從而有效遏制不道德網絡營銷行為的蔓延。
關鍵詞:信息 安全 現狀分析 存在問題 防控措施
隨著國家電網公司信息化戰略的部署和資金、技術的投入,縣級供電企業的信息化建設水平得到了很快的提升,供電企業的生產調度和經營管理對計算機和網絡信息系統的依賴程度也越來越強,甚至,離開了信息系統的支撐,日常的生產、經營、管理活動已經不能順利進行。但是,需要引起重視的是,縣級供電企業在信息化躍進過程中,在人員、設備、技術和管理中的不足,使信息安全面臨的風險也在日益突出。
一、信息安全風險
信息作為一種特殊資源與其它資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。
縣級供電公司信息安全的風險有內部的,也有外部的。內部的表現為:網絡故障、應用系統故障等;外部的表現為:網絡入侵、外部泄密等。內、外部網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力企業網絡上連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,盜取商業秘密和機密信息,非法使用網絡資源等,將給企業造成巨大的損失。
二、信息化網絡及應用現狀分析
在網絡硬件方面,已經建成CISCO7603、CISCO4507R為主交換機,主干為千兆的以太網。上聯網絡連接升級為光纖通信為主,以太網2M為備用的方式。建成了覆蓋全公司20多個鄉鎮供電所及變電所的農村信息網。實現百兆到桌面、三層交換、VLAN等技術普及使用。主要分為兩類網絡系統,一類是實時系統,有調度自動化系統、設備監控操作系統;另一類是非實時的辦公自動化應用系統、電能量采集系統、集中抄表系統。兩類網絡系統是物理隔離,分網運行的。
在軟件方面,各應用主要包括調度自動化系統、負荷監控系統等。計算機及信息網絡系統在電力生產、建設等各個領域有著十分廣泛的應用,為安全生產、降低成本等方面取得了明顯的社會效益和經濟效益。
三、信息安全現狀分析
按照省、市公司信息化工作的統一部署,我公司信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行了物理隔離。按江蘇省電力公司系統集成、數據集中要求,調度系統、電力營銷等核心數據都集中在省市公司管理,對公司網站、NOTES、下屬企業財務數據都建立了備份策略和容錯措施。企業內網和互聯網采取了嚴格的隔離措施,嚴防內外網機器混用造成信息外聯。信息網絡按業務劃分了10個VLAN,設置了訪問控制。采取了統一的域名管理,與市公司共享操作系統LiveUpdate系統,及時派發更新程序,堵塞操作系統漏洞。部署了symantec防病毒軟件,通過派發的形式對整個網絡部署查、殺毒。全面應用了國網桌面終端管理系統,實時監控客戶端的異常情況。采用了國網移動存儲介質管理系統,加強對移動存儲介質的管理。
但是客觀來說,縣級供電企業在信息安全管理上人員、技術薄弱,職工信息安全意識不到位,管理流程上存在疏漏,給網絡的安全埋伏了很多的不利因素。
四、信息安全存在的問題
1、操作系統及網絡安全問題。
目前,電力企業信息網絡中使用的硬件設備及操作系統的核心技術基本上來自國外,被認為是易窺視和易打擊的“玻璃網”,網絡安全處于被竊聽、干擾等多種信息安全威脅的脆弱的狀態。同時,縣級供電企業的操作系統大部分缺乏正版保護,難以得到有效升級和修補,難免受到“木馬”與“后門”的威脅;用戶習慣于默認密碼或管理者設置的初始密碼,較容易被他人破解;操作系統不安全的默認設置、共享等都可能給非法入侵提供方便。對于網絡設備,用戶使用tracert等工具較容易獲知核心交換機的IP地址,如果管理端口不加限制,使用空密碼,明文密碼或默認密碼,交換設備有被惡意控制的可能。局域網絡布點缺乏有效的規劃和管理,對使用普通交換機隨意串接,甚至使用無線路由串入,缺乏偵控手段,同時對計算機設備接入也缺乏有效的審查管理,內網外聯風險比較突出。
2、應用系統用戶身份認證和訪問控制急需加強。企業中的信息系統一般為特定范圍的用戶使用,包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定程度上能夠加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制。二是各應用系統之間沒有一個統一的用戶管理,使用起來非常不方便,更不用說賬號的有效管理和安全了。三是用戶安全意識不強,習慣于默認密碼或管理者設置的初始密碼。應用系統人員變換后,延用以前的密碼,疏于更換帳號與口令。習慣于使用“保存賬號”、“保存密碼”的方式登陸應用系統。
3、木馬與病毒問題。
隨著Internet技術的發展、企業網絡環境的壯大和企業網絡應用的增多,病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網絡環境為病毒傳播、生存提供了環境。同時,黑客攻擊的風險增大。黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入計算機系統,進行信息破壞或占用系統資源,使得用戶無法使用自己的機器。非正版保護的操作系統和應用軟件的使用,為木馬與病毒的植入及黑客攻擊提供了可能;部分客戶機的操作系統和防病毒軟件未能及時得到升級,系統用戶在使用移動介質在外網和內網之間交換數據時,很容易攜入木馬與病毒,使之成為發動攻擊的肉雞。
4、存儲介質管理問題。
目前,縣級供電公司雖然推廣使用了國家電網移動存儲介質管理系統,但是在使用中仍存在三種信息失密可能:一是用戶習慣使用注冊時的默認密碼,不加以個性化更改,這樣移動介質被他人獲取后很容易被破解,使數據泄密。二是部分用戶在移動存儲介質注冊時,為圖使用方便,劃分出自由區域,在實際使用時,繞過保密區登陸使用,將工作文檔存儲在自由區,如此使用移動介質,毫無保密可言,極易形成信息外泄;移動存儲介質的交叉使用,也可能造成信息內部失密。另外,機器維修也需加強管理,目前,縣級供電公司基本上計算機專職配置為1人,需要管理300臺左右的機器和龐大的局域網絡,基本上是疲于應付,計算機故障處理、系統重裝等一般外包給社會電腦門市,將單機信息保密工作寄托于維修商的良知,風險極大。
5、數據庫數據和文件的明文存儲。
電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以繞過應用系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。
五、針對信息安全漏洞的防控措施
1、加強信息安全教育。應該將信息納入到供電企業安全管理中,并與生產安全置于同等重要的位置,長效管理,常抓常新。為了保證安全的成功和有效,信息主管部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。特別是對基層班組和供電所信息用戶,應用能力相對薄弱,亟需開展定期的應用能力培訓和考核。所有的職工必須了解并嚴格執行企業安全策略,明確其對企業信息安全所承擔的職責和義務,要求能夠保證自己的計算機和相關應用的安全。
2、加強密碼管理工作。對網絡設備、操作系統等各類密碼要妥善治理,杜絕默認密碼,出廠密碼,無密碼和容易猜測的密碼,防止非法用戶入侵使用。密碼要及時更新,特別是有職員調離時密碼一定要及時更新。減少應用系統的賬號共用、通用。
3、加強信息介質的管理。備份的介質要防止丟失和被盜。移動存儲介質注冊時要限制使用自由存儲區域,減少使用通用密碼。建立報廢的介質的清除和銷毀制度,加強報廢介質管理。增加計算機管理人員配備和加強計算機管理網絡建立,逐步減少外送維修,防范外修過程中存儲介質信息的泄密。
4、加強設備技術投入。應用先進的加密技術和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求。引進進侵檢測系統提供企業級的安全檢測手段,最大限度地、全天候地實施網絡監控。在事后分析的時候,可以清楚地界定責任人和責任事件,為網絡治理提供強有力的保障。建議取消DHCP服務,在交換設備上使用MAC地址與IP地址的綁定,加強接入內網設備的有序管理。
5、加強內網外聯治理。在管理上,加強內網外聯知識與危害性的廣泛宣傳,對發生內網外聯事件的人要嚴肅處理,捆綁考核。在技術上,內、外網的設備接入要有明顯的物理隔離和標志,防止誤操作的發生;杜絕計算機內外網混用;嚴格防范ADSL等設備接入內網終端。
6、加強信息責任制考核。要強化信息安全考核機制的執行,對發生的信息安全事故或隱患,要通過技術手段追蹤到責任人,并按照四不放過的要求,組織分析調查,落實考核、落實整改措施,并舉一反三,深化對全體職工信息安全養成教育。
六、結束語
綜上所述,技術是信息安全的主體,管理是安全的靈魂,信息安全,三分技術,七分管理。只有將有效的安全管理實踐自始至終貫徹落實于信息安全工作當中,信息安全的長期性和穩定性才能有所保證。
參考文獻:
[1]劉立兵.淺談計算機網絡在電力系統的應用及安全性
關鍵詞:防火墻;雙機;狀態檢測;VRRP
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03
隨著互聯網以及現代通訊技術的發展,以及用戶對服務品質的需求,高可用性網絡已經越來越成為Internet組網設計的目標。因網絡中斷給用戶帶來的損失以及潛在損失已經十分巨大,有研究表明,網絡停運帶來的損失已經高達幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量。
在防火墻的可靠性試驗之前,先了解目前防火墻的技術以及該技術特點對防火墻可靠性的影響,目前各類型的防火墻從其實現原理上來說基于以下三大類:
1) 基于逐包轉發過濾的包過濾;
2) 通過檢測會話狀態基于會話流的狀態;
3) 基于應用方式的全。
這三種防火墻技術的優缺點不作詳細討論,對于第一種逐包轉發過濾的包過濾防火墻因為其不能很好的區分和保護不同的區域,在運行內部網絡訪問外部網絡的同時也提供了外部網絡訪問內部網絡的安全漏洞,因此這種防火墻技術在近年來屬于逐步被淘汰的技術,但是就可靠性而言,因為該技術采用逐包轉發過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設備很難做到對同一會話進行相同的地址轉換,導致包過濾防火墻在Nat的應用中也出現問題。
對于基于應用方式的全防火墻,由于其隔離了與外部網絡和內部網絡的連接,它能給內部網絡提供很好的保護,但是他的優點同時也是最大的缺點,由于采用的是應用的方式,對于應用程序而言就不透明了,需要應用程序為這種連接進行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言,要做到雙機熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機上去,這種特性使得全方式的防火墻的雙機熱備實現起來很困難,在實際應用中也很少見這種防火墻的備份方案。
下面我們將通過兩組實驗討論基于會話流的狀態防火墻的可靠性問題,所謂狀態防火墻是指用戶通過防火墻訪問外部網絡時,會在防火墻上創建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址、源/目的端口、協議類型),這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶,而從外面主動發起的會話請求因為不能匹配任何會話表項,而被ACL規則過濾掉。這樣就可以提供給用戶不同級別的保護,從而有效地保護用戶的內部網絡。目前大部分防火墻產品都是屬于這種技術的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機熱備的時候對組網有特殊的要求,以下將通過實驗了解防火墻可靠性技術,以及實驗過程中出現的問題并提出的解決方案。
1 防火墻雙機試驗組網及配置
單組防火墻雙機可靠性實驗中采用設備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機, sinfor互聯網安全控制產品。根據可靠性要求將網絡安全設備和交換設備進行如下組網設計和部署,通過實驗測試防火墻HA情況下不同安全區域的數據過濾及交換情況以及在該種模式和網絡結構中存在的故障現象。
首先我們做單組防火墻雙機的實驗,其網絡結構如圖1所示。
該結構使用H3C系列高端網絡及安全設備組網,適用于大中型企業核心網絡安全控制區域的網絡拓撲結構。通過這種網絡結構的部署可以有效的防御外部網絡及企業內部網絡對重要服務器的安全攻擊、漏洞掃描、木馬入侵等等,進而有效地對企業的研發、生產、商業、財務等機密數據進行保護和可控授權訪問。本實驗中將主要針對這種結構下所使用設備部署完成后出現的故障進行分析和討論。
單組防火墻雙機實驗采用H3C9512高端交換作為企業的核心交換,H3C9508作為企業應用服務器區域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業務單板,防火墻單板通過9508內置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連,設備互連接口地址均使用30位掩碼。9508交換作為二層交換使用,服務器區域的三層網關地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協議,將互連及三層VLAN地址段到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區域內,所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區域,安全區域的默認訪問規則為單向,也就是高優先級區域默認可訪問低優先級區域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區域級別的VLAN中。最后啟用防火墻的雙機熱備功能,并選擇防火墻業務板上的一個接口作為心跳接口,服務器(unix系統,需要雙網卡)通過EtherChannel IEEE802.3ad配置成網卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網卡放在9508-A上,將server2的主網卡放在9508-B上。為避免因靜態路由帶來的不能檢測設備故障的情況,該組網采用了動態路由協議,在防火墻和交換上都啟用ospf協議。
串聯多組防火墻雙機試驗設備采用了Juniper及Topsec防火墻、H3c9512交換機、深信服行為控制設備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯網線路。這些設備都是我們選用的支持雙機的網絡及安全設備進行串聯,進行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區域之間數據通訊測試。由于實驗1已經介紹了單組防火墻雙機的實驗情形,故這里只介紹軍事化區域至互聯網區域數據通訊的實驗情況,該實驗的網絡拓撲結構如圖2所示。
該網絡結構使用雙重防火墻及上網行為控制設備對企業軍事化區域和互聯網區域進行了嚴格的數據過濾和行為控制,是企業軍事化區域、半軍事化區域及互聯網區域之間數據互訪受控的一種常用網絡結構,適用于大中型企業對內外部數據交換須進行嚴格控制、審計、授權訪問等操作,或網絡運營服務商對外部用戶提供高可靠和安全性互聯網服務在互聯網出口部分至企業核心交換層的網絡部署。通過本網絡可以有效對內外部上至應用層下至物理層數據的交換有效的控制、阻斷、審計。
同樣先簡單介紹該組網拓撲結構及設備配置的基本信息。我們同樣使用9512作為核心交換,雙機之間通過TRUNK接口互聯,上行與SSG520防火墻相連的接口配置VRRP與其互聯。SSG通過廠商的NSRP協議配置HA,并將其配置為橋接路由模式。SINFOR設備通過串口心跳配置好HA,并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態路由技術來配置冗余備份雙機結構,并將其配置為NAT模式。負載設備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設備限制,只做單機)。為防止動態路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態路由的方式進行配置。
2 防火墻雙機試驗故障現象
對于實驗1我們做如下的數據訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務器(可使用普通pc代替)分別接入到9508上的,使用同一個網段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測,從pc1和pc2分別發至server1和server2的檢測包結果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現丟包或者不通的現象。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發現pc1跟蹤server2的路由到SecBlade-A后出現中斷,pc2至server1的路由到SecBladeB出現中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發現故障依舊,根據路由情況得知基于會話狀態的防火墻在特殊的網絡結構中存在來回路徑不一致而導致的中斷現象發生。
對于實驗2做了如下數據訪問測試:首先現在沒有任何設備、接口、線路故障的情況下,三組雙機設備都是主機在工作的,此時PC至互聯網server的訪問數據會通過所有雙機的主設備;我們手動的將SSG520主機的外網接口shutdown后會自動切換到備機工作,sinfor發現與其lan口相連的接口down了也會自動的切換到備機, topsec主機發現與其互聯的sinfor主機故障切換了,topsec主機也會切換到備機工作,這種情況并未發生中斷現象。但當我們將剛才shutdown的接口還原時,我們發現此時出現的故障情況為PC至server的數據會出現中斷現象。將SSG520手動down的接口還原后的情況發現三組冗余雙機設備開始在不斷的進行主備的切換,無法達到一致狀態。這時情況是三組雙機因為切換的時間和檢測的故障的。根據各種設備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設備主備切換的時間存在差異,導致其他兩組設備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設備有效,而在設備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充,這種情況下三組設備很難達到同步切換的狀態,因此導致故障現象的發生。
3 試驗故障分析及解決方案
針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實驗1中防火墻可靠性實驗中,出現的故障情況后對PC至server的路由分別進行了跟蹤和分析。本次的整個網絡結構中全部使用ospf協議,并將路由都在AREA0區中。根據我國有關部門的提出的規范在默認不改變各條路由開銷(cost)值的情況下,所有設備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上。這種情況下當其中一臺交換或者防火墻出現故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數據不會出現中斷現象,這種改造的弊端在于不能做到雙機負載也就是雙A狀態的運行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步,保證主防火墻和備防火墻實時的去同步授權允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現象,同時也將該組網結構中的兩臺防火墻形成了雙A狀態,分擔了負載。特別說明該實驗中根據設備的特性使用心跳線來代替實驗1中的防火墻的三層互聯即可。
對于在第二個實驗中出現的故障現象,由于現網中使用的各廠商設備的故障檢測機制的不一致性,如要統一算法需要將研究制定統一的故障檢測方法和切換機制。因此分析了實際情況后,我們可根據故障現象和原因對網絡結構進行整改和優化后解決做實驗2中一組冗余雙機出現主備切換時導致網絡中斷的問題。我們可在該網絡結構中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設備以同樣的連接和配置方式與另外一臺交換機互聯。兩臺交換機通過TRUNK口互聯并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區域的核心交換使用的,這樣內網與外網同時可以接入到這兩臺交換上,可以節省硬件資源。我們在進行同樣的實驗,將三組冗余設備在任何一組設備中任何一個模擬故障現象都不會導致其它兩組設備的主備切換,即使我們設備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設備的因存在故障切換時間的差異而造成網絡中斷的現象發生。即各種故障或者切換都不會導致PC至server鏈路的中斷。具體的網絡整改拓撲圖如圖3所示。
從實驗3的網絡拓撲中可以清楚的看到,無論三組設備的故障切換是否能夠同步進行,PC至server的鏈路都會有一條通暢的路存在。這是本實驗中解決故障問題的較實用的方案。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權威機構的統一和制定,研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協議類型。使該算法或協議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機制和統一的切換算法,使雙機設備都能通過該算法或協議在各種不同的故障情形下進行快速有效統一地故障同步切換也是解決該問題的重要方法,也是統一網絡設備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協議已經將huawei的防火墻進行了較好的狀態一致檢測和會話同步的管理。
4 總結
在整個網絡結構設計和實施過程中詳細分析和說明了三組雙機實驗的網絡結構在企業不同安全區域部署的目的、作用和效果,同時對在部署過程中出現的問題進行了分析和研究,在網絡結構的基礎上給出問題解決方案,并對其進行網絡改造和優化,用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業的核心數據受控區域,為嚴格控制各應用服務器之間以及用戶與服務器之間的數據訪問,采用可自定義多區域的防火墻能夠很好的實現企業對不同敏感數據的安全控制需求。但在基于會話狀態的理想全冗余交叉的網絡連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態,并將全部的會話狀態進行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設備都得到了充分的利用,減輕和降低了單設備的負載和單點故障引起切換帶來的業務中斷。第二組實驗部署在企業互聯網出口的網絡結構中,將軍事化、半軍事化及非軍事化控制區域的數據進行了嚴格的區域控劃分和數據控制,并通過行為控制審計設備嚴格地對軍事化區域數據交換進行控制、審計及記錄。安全與性能本來存在對立的一面,因此實驗二雖然在給企業的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網絡結構勢必會對企業網絡性能造成一定的負面影響,企業可根據實際情況選擇網絡安全的程度。實驗二中針對該實驗中由于故障引起的雙機設備主備切換不一致導致鏈路中斷的現象進行了網絡結構改造后形成了實驗三的網絡拓撲結構,實驗三的網絡結構不僅解決了實驗二切換的故障問題,同時也將多組雙機網絡結構的故障率降為最低,設備切換帶來的業務中斷時間降為最少。實驗三的網絡拓撲方案適用于目前多數企業的互聯網出口結構。本文為企業網絡架構的設計及安全部署,網絡故障處理提供了一定的實踐依據和說明。
本文通過三組實驗的網絡拓撲結構的設計實現、故障測試分析及解決,對幾款目前國內較流行的狀態防火墻和安全設備的雙機基本配置、工作模式、安全防范、故障檢測切換機制都有了基本的了解和認識,并給企業用戶在企業安全區域網絡拓撲結構的設計方面提供了較好的理論應用和實踐基礎。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業安全網絡的合理設計提供的實踐證明,也為功能全面防火墻的設計和實現提供了重要的研究方向和思想依據。
參考文獻:
[1] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2002.
[2] 胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004:22-26
[3] 柯宏力.Intranet信息網絡技術與企業信息化[M].北京:北京郵電學院出版社,2000,24-32,71-82,150-176.
[4] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.
[5] 雷震甲,馬建峰.Internet安全和防火墻技術安全體系結構[J].通信保密,1998(2).
[6] 劉曉輝.網管從業寶典――交換機路?由器?防火墻.重慶:重慶大學出版社, 2008-5-9,81-86, 117-185,270-275,371-400.
[7] 吳昕,李之棠.并行防火墻研究[J].計算機工程與科學,2000,22(2):54-57.
[8] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.
[9] 張云鵬.網絡安全與防護技術的研究及應用[D].中國優秀博碩士學位論文全文數據庫,2006(6).
