企业网络安全建议篇1
[关键词]网络安全管理流程安全体系框架安全防护策略
中图分类号:tp文献标识码:a文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照ppDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
企业网络安全建议篇2
关键词:CDma;20001X;VpDn;隧道技术;接入方式
一、背景
随着CDma20001X网络的逐步完善,其在数据业务方面的优势也日益显现出来,由于其稳定性和速度上已经远远的超过了GpRS,因此许多企业已经考虑将其应用在经常出差的员工访问公司内部网络,以及企业网点中有线网络不能到达或不方便布放有线网络的地方,然而在使用这种接入方式之前,企业往往出于对自身网络以及数据安全性的考虑而提出此种组网方式的安全性问题,下面就接入方式及其安全问题谈谈我的一些看法和观点。
二、VpDn原理
VpDn(VirtualprivateDialnetwork)虚拟拨号专网技术采用专用的网络加密和通信协议,可以使企业在公共ip网络上建立安全的虚拟专网。企业出差人员可以从远程经过公共ip网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VpDn的技术核心主要在于隧道技术和安全技术。
三、CDma1X-VpDn介绍
1.基本组网介绍
(1)用户端设备(Cpe:Customerpremisesequipment):用户端需具备作为VpDn的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和VpDn功能的网络设备。Cpe是VpDn呼叫发起和结束的地方,也是用户方需要设置的唯一VpDn硬件设备。
(2)接入服务器(naS:networkaccessserver):naS由联通公司提供并承担运维工作,其作用是作为VpDn的接入服务器,可以提供广域网接口,负责与企业专用网的Vpn连接,并支持各种Lan局域网协议,支持安全管理和认证,支持隧道及相关技术。
(3)企业端认证服务器:用于用户一次认证,对认证通过的用户将其资料发送给相应的LnS设备的认证系统进行二次认证。
(4)用户终端:具备能使用CDma1X上网的终端设备。
(5)用户端认证服务器:用户端认证服务器是可选的设备,用于对登录用户做鉴权认证,为了便于对用户的账户密码资料进行管理,一般情况下建议设置。
2.VpDn的隧道技术
目前隧道技术有很多种,但从根本上来讲可分为两类:第二层隧道协议pptp、L2F、L2tp和第三层隧道协议GRe、ipsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。
隧道协议有很多好处,例如在拨号网络中,用户大都接受iSp分配的动态ip地址,而企业网一般均采用防火墙、nat等安全措施来保护自己的网络,企业员工通过iSp拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后,企业拨号用户就可以得到企业内部网ip地址,通过对ppp帧进行封装,用户数据包可以穿过防火墙到达企业内部网。
(1)pptp――点对点隧道协议
pptp提供pptp客户机和pptp服务器之间的加密通信。pptp客户机是指运行了该协议的pC机,如启动该协议的windows95/98;pptp服务器是指运行该协议的服务器,如启动该协议的windowsnt服务器。pptp可看作是ppp协议的一种扩展。它提供了一种在internet上建立多协议的安全虚拟专用网(Vpn)的通信方式。远端用户能够透过任何支持pptp的iSp访问公司的专用网络。
通过pptp,客户可采用拨号方式接入公共ip网络internet。拨号客户首先按常规方式拨号到iSp的接入服务器(naS),建立ppp连接;在此基础上,客户进行二次拨号建立到pptp服务器的连接,该连接称为pptp隧道,实质上是基于ip协议上的另一个ppp连接,其中的ip包可以封装多种协议数据,包括tCp/ip、ipX和netBeUi。pptp采用了基于RSa公司RC4的数据加密方法,保证了虚拟连接通道的安全性。对于直接连到internet上的客户则不需要第一重ppp的拨号连接,可以直接与pptp服务器建立虚拟通道。pptp把建立隧道的主动权交给了用户,但用户需要在其pC机上配置pptp,这样做既增加了用户的工作量又会造成网络安全隐患。另外pptp只支持ip作为传输协议。
(2)L2F――第二层转发协议
L2F是由Cisco公司提出的可以在多种介质如atm、帧中继、ip网上建立多协议的安全虚拟专用网(Vpn)的通信方式。远端用户能够透过任何拨号方式接入公共ip网络,首先按常规方式拨号到iSp的接入服务器(naS),建立ppp连接;naS根据用户名等信息,发起第二重连接,通向HGw服务器。在这种情况下隧道的配置和建立对用户是完全透明的。
(3)L2tp――第二层隧道协议
L2tp结合了L2F和pptp的优点,可以让用户从客户端或访问服务器端发起Vpn连接。L2tp是把链路层ppp帧封装在公共网络设施如ip、atm、帧中继中进行隧道传输的封装协议。
Cisco、ascend、microsoft和RedBack公司的专家们在修改了十几个版本后,终于在1999年8月公布了L2tp的标准RFC2661。(可以从ftp://.edu/innotes/rfc2661.txt下载该标准内容。)
目前用户拨号访问internet时,必须使用ip协议,并且其动态得到的ip地址也是合法的。L2tp的好处就在于支持多种协议,用户可以保留原有的ipX、appletalk等协议或公司原有的ip地址。L2tp还解决了多个ppp链路的捆绑问题,ppp链路捆绑要求其成员均指向同一个naS,L2tp可以使物理上连接到不同naS的ppp链路,在逻辑上的终结点为同一个物理设备。L2tp扩展了ppp连接,在传统方式中用户通过模拟电话线或iSDn/aDSL与网络访问服务器(naS)建立一个第2层的连接,并在其上运行ppp,第2层连接的终结点和ppp会话的终结点在同一个设备上(如naS)。L2tp作为ppp的扩展提供更强大的功能,包括第2层连接的终结点和ppp会话的终结点可以是不同的设备。
L2tp主要由LaC(L2tpaccessConcentrator)和LnS(L2tpnetworkServer)构成,LaC(L2tp访问集中器)支持客户端的L2tp,他用于发起呼叫,接收呼叫和建立隧道;LnS(L2tp网络服务器)是所有隧道的终点。在传统的ppp连接中,用户拨号连接的终点是LaC,L2tp使得ppp协议的终点延伸到LnS。
L2tp的建立过程是:
①远程用户使用CDma1X拨入LaC(pDSn),例如拨打号码为#777,并输入username@XXX.133VpDn.Ha和密码。
②LaC将username@XXX.133VpDn.Ha送到分组网aaa服务器,由aaa服务器向LaC(pDSn)提供LnS(用户网关)信息,包括LnSip地址等。
③若XXX.133VpDn.Ha信息为正确的VpDn用户信息,则返回LnS信息,再由aaa送给LaC。
④LaC开始与LnS之间直接进行L2tp隧道建立,并将username@XXX.133VpDn.Ha全部送给LnS,由LnS进行认证。
⑤LnS将username@XXX.133VpDn.Ha送给自己的RaDiUS服务器(认证服务器)。
⑥如果是合法用户则允许接入并保持L2tp隧道。
⑦LaC通知本地aaa进行计费。
⑧VpDn本身与LnS之间进行ppp握手,LnS与远程用户交换ppp信息,分配ip地址。LnS可采用企业专用地址(未注册的ip地址)或服务提供商提供的地址空间分配ip地址。因为内部源ip地址与目的地ip地址实际上都通过服务提供商的ip网络在ppp信息包内传送,企业专用地址对提供者的网络是透明的。
⑨完成VpDn操作,用户可以利用ppp协议透过L2tp隧道进行互联,端到端的数据从拨号用户传到LnS。
在实际应用中,LaC将拨号用户的ppp帧封装后,传送到LnS,LnS去掉封装包头,得到ppp帧,再去掉ppp帧头,得到网络层数据包。
L2tp这种方式给服务提供商和用户带来了许多好处。用户不需要在pC上安装专门的客户端软件,企业可以使用保留ip地址,并在本地管理认证数据库,从而降低了使用成本和培训维护费用。
与pptp和L2F相比,L2tp的优点在于提供了差错和流量控制;L2tp使用UDp封装和传送ppp帧。面向非连接的UDp无法保证网络数据的可靠传输,L2tp使用nr(下一个希望接受的消息序列号)和ns(当前发送的数据包序列号)字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区,一旦数据丢失根据序列号可以进行重发。
作为ppp的扩展,L2tp支持标准的安全特性CHap和pap,可以进行用户身份认证。L2tp定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的数据并不加密。
(4)GRe――通用路由封装
GRe在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRe的隧道由两端的源ip地址和目的ip地址来定义,它允许用户使用ip封装ip、ipX、appletalk,并支持全部的路由协议如Rip、oSpF、iGRp、eiGRp。通过GRe,用户可以利用公共ip网络连接ipX网络、appletalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的ip地址。
GRe在包头中包含了协议类型,这用于标明乘客协议的类型;校验和包括了GRe的包头和完整的乘客协议与数据;密钥用于接收端验证接收的数据;序列号用于接收端数据包的排序和差错控制;路由用于本数据包的路由。
GRe只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和ipsec在一起使用,由ipsec提供用户数据的加密,从而给用户提供更好的安全性。
(5)ipSec
pptp、L2F、L2tp和GRe各自有自己的优点,但是都没有很好地解决隧道加密和数据加密的问题。而ipSec协议把多种安全技术集合到一起,可以建立一个安全、可靠的隧道。这些技术包括DiffieHellman密钥交换技术,DeS、RC4、iDea数据加密技术,哈希散列算法HmaC、mD5、SHa,数字签名技术等。
ipSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认识ipSec是很重要的。自从1995年开始ipSec的研究工作以来,ietFipSec工作组在它的主页上了几十个internet草案文献和12个RFC文件。其中,比较重要的有RFC2409iKe互连网密钥交换、RFC2401ipSec协议、RFC2402aH验证包头、RFC2406eSp加密数据等文件。
ipSec安全结构包括3个基本协议:aH协议为ip包提供信息源验证和完整性保证;eSp协议提供加密保证;密钥管理协议(iSaKmp)提供双方交流时的共享安全信息。eSp和aH协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(Doi)通过一系列命令、算法、属性、参数来连接所有的ipSec组文件。
3.CDma1X-VpDn技术实现
VpDn有两种实现方法:通过naS与VpDn网关建立隧道;客户机与Vpn网关直接建立隧道方式。
(1)naS与VpDn网关建立隧道
这种方式是naS通过tunnel协议,与VpDn网关建立通道,将客户的ppp连接直接连到企业网的网关上,目前使用的协议有L2F,L2tp。这种方式结构如下:
这种方式的好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网,由企业网进行用户认证和地址分配,不占有公共地址,用户可以使用各种平台上网。这种方式需要naS支持VpDn协议,需要认证系统支持VpDn属性,网关一般使用路由器(Cisco11.3后开始支持L2F),专用网关,nt服务器(5.0开始支持L2tp)。
(2)客户机与VpDn网关建立隧道
这种方式是由客户机首先先建立与internet的连接,如拨号方式,Lan方式等,再通过专用的客户软件(win98支持pptp)与网关建立通道连接,一般使用pptp,ipSec协议。结构如下:
这种方式的好处在于:用户上网的方式地点没有限制,不需要iSp的介入。缺点是需要安装专用的软件,一般都是windows平台,限制了用户使用的平台;用户需要两次认证,一次上iSp,一次接入企业网;用户同时接入internet和企业网,存在着潜在的安全隐患。这种方式一般使用防火墙和专用网关作为VpDn网关。
4.VpDn的安全技术
基于internet的VpDn首先要考虑的就是安全问题。能否保证VpDn的安全性,是VpDn网络能否实现的关键。可以采用下列技术保证VpDn的安全:
・口令保护;
・用户认证技术;
・一次性口令技术;
・用户权限设置;
・在传输中采用加密技术;
・采用防火墙把用户网络中的对外服务器和对内服务器隔离开。
四、几种不同接入方式安全性的阐述
1.公网接入方式
用户端网关设备直接与公网了连接,用户通过公网方式与企业内部取得联系。适用于对安全性要求不高的用户,比如一般移动办公用户,适用的企业用户应大致有以下要求:
a.企业用户为达到某种目的需要使用CDma1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作;
C.用户的网关本身具备一定的安全措施,可以与互联网连接并且用户上网操作对数据安全性要求不苛刻。
此种实现方式较为成熟,目前全国分组网pDSn均已支持,只需要在分组网aaa设置相应的域名以及LnSip地址等数据。公网接入方式由于网络条件成熟,实现快速,成本较低,是联通公司向一般1X-VpDn客户推荐的首选接入方式。
网络拓扑:见接入组网图中企业用户C。
2.长途专线接入
用户端网关与公网完全隔离,LnS以独立专线方式接通分组网LaC服务器前端的用户接入汇接交换机,交换机根据不同的用户划分不同的VLan保证用户相互在逻辑上隔离。适用于对安全性极度苛刻的用户,一般此类用户不允许与公网有连接,比如银行业、国家机密机关的秘密数据传输需求,适用的企业用户应大致有以下要求:
a.企业用户为达到某种目的需要使用CDma1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作;
C.企业用户的网关设备安全要求非常苛刻并且不允许与公网有链路连接;
D.企业用户使用1X无线上网所传输的数据保密性要求非常高;
范例:见接入组网图中企业用户B。
3.互联网专线接入方式
由于完全专线接入的成本较高,一般用户不能承受,但是用户同时希望自己的LnS设备不要直接暴露在公网上,以避免来自公网的各种各样攻击,同时用户实际上对于应用的数据并不是需要极度保密;此时,用户可以选择互联网专线接入达到以上要求。这种接入方式不是严格意义上的物理隔绝的数据包,尽管在省内公网传输部分又封装到一个隧道中,降低了数据被监听的风险,但无法完全避免该风险;但我们也应该看到,如果VpDn业务要允许用户利用互联网进行省外漫游,现有的各方案中,数据包在省外传送部分是无法避免被监听的,适用的企业用户应大致有以下要求:
a.企业用户为达到某种目的需要使用CDma1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作
C.企业用户的网关设备安全要求较为严格,不允许LnS直接与公网连接;
D.企业用户使用1X无线上网所传输的数据保密性要求不是太苛刻。
参考文献:
[1]胡铮.《网络与信息安全》.清华大学出版社.2006.5
[2][美]VijayBollapragadamohamedKhalidScottwainneripSecVpn设计.人民邮电出版社.2006.5
企业网络安全建议篇3
2012年11月份以来,矿业公司齐大山选矿厂紧紧抓住实名制“网络问企”活动的有利契机,充分调动员工主动参与企业管理的积极性、主动性和创造性,助推了企业大发展。
一、广泛宣传培训,员工积极参与
“网络问企”活动开始时,大家比较生疏,为使此项工作在矿业公司处于上游水平,厂长、综合管理室主任、企业管理业务主管带头先提合理化建议,并及时录入系统。
为了保证“网络问企”工作的顺利推进,真正使员工对此入脑入心,迅速在全厂范围掀起“网络问企”活动高潮,有关部门开始了广泛的宣传、教育和培训。一是通过厂局域网、“即时通”、调度会、班前会、研讨会、专题培训等方式,广泛、深入地宣传“网络问企”活动的目的、意义等,使全体员工对开展“网络问企”活动正确理解,达成共识。二是选派骨干人员参加矿业公司组织的“网络问企”知识培训班,回厂后进行规模性内部培训,使广大员工尽快了解掌握“网络问企”的特点、优势及操作方法,很快使“网络问企”队伍形成了规模化。三是采取“传导”式帮带,一个教一个,几个带一帮,使“网络问企”活动迅速在齐选厂的员工中扎下了根。
二、建立管理制度,落实工作责任
制度是执行力的基础,有了制度工作就有了依据,就有了保障。为扎实有效开展“网络问企”活动,按照两级公司要求,齐选厂承接制定了《鞍钢集团公司齐大山选矿厂“网络问企”活动实施办法》为齐选厂顺利开展“网络问企”活动奠定了良好基础,提供了有效依据。
齐选厂成立了“网络问企”工作领导小组,明确了归口管理部门、相关部门及各作业区的职责。坚持每季度召开一次“网络问企”工作会议,总结评价上个季度“网络问企”活动开展情况及存在的主要问题,明确下个季度“网络问企”工作要求。
活动开展中,厂长亲自部署工作,综合管理室主任负责相关业务培训、组织协调等工作,企业管理业务主管负责“网络问企”建议的预审。为达到规范管理的目的,选厂还下发了“网络问企”记录薄,并明确了各部室、作业区“网络问企”记录薄专管人员。综合管理室定期对部室、作业区“网络问企”实际开展情况进行跟踪、指导和检查,以确保各类建议和问题及时得到反馈和解决。
三、加强过程管控,定期总结评比
一是严格审核严格把关。“网络问企”建议的质量至关重要,它是决定“网络问企”工作成败的关键。为了保证“网络问企”建议的质量,齐选厂综合管理室安排专人对各室、作业区将要录入“网络问企”系统的建议进行审核、把关,审核通过后,再将符合要求的意见反馈给相应的作业区、室,再由各作业区、室自行录入“网络问企”系统,保证了“网络问企”建议的建设性、创新性、可操作性和合理性等要求。
二是定期评比奖励通报。为了充分调动广大员工参与“网络问企”活动的积极性和主动性,综合管理室按季度组织相关部门对“网络问企”建议进行评审,分别评选出优秀组织奖、质量奖和数量奖,其中,优秀组织奖奖励优秀组织单位党政主要领导每人300元;质量奖按照建议评审等级不同奖励200―1000元不等;数量奖每提一条奖励10―20元。每季度按照上述标准对相关单位和个人进行奖励,并将评选奖励结果在厂局域网上进行公示。仅2013年就有四个部室、四个作业区获得优秀组织奖,24条建议获得优秀质量奖,347人次获得数量奖。
四、持续稳步推进,活动效果显著
一年多来,通过持续稳步推进,齐选厂在“网络问企”方面取得了理想的成果。
一是员工潜能得到释放。从2012年11月24日开展“网络问企”活动以来,齐选厂广大员工积极参与,广泛提合理化建议,共257人或多或少提出了不同类型的“网络问企”建议,按现有在岗人员963人计,全员参与率已经达到26.69%。
针对齐选厂生产经营和管理工作中,存在的治理现场跑冒滴漏、降低成本提高效益、提高设备运行效率、提升生产技经指标等方方面面的问题,广大员工通过“网络问企”这个广阔而有效的平台群策群力,献计献策,提出了许多好的建议,为齐选厂实现降本增效、管理升级和持续发展起到了不可估量的推动和促进作用。
尾矿作业区员工王盛钰针对φ53米浓缩机溢流含炉灰渣子影响二选作业区供水问题,提出增设除渣筛的建议被采纳,实施后,大大提高了尾矿作业区对二选作业区的供水质量。动力作业区员工王志远针对高压母联倒合闸操作过程中存在安全隐患问题,提出在母联柜加装电流表的建议被采纳实施后,避免了电工由于高压操作判断困难可能造成的生产、设备及人身安全事故。
二是员工综合素质提高。自‘网络问企’活动开展以来,齐选厂将此项活动作为强化民主管理、凝聚员工智慧的重要载体,对提升员工素质起到了重要作用。
员工敬业爱岗,关心企业的人多了,想事干事,献计献策的人多了,刻苦钻研,求知学技,利用“网络问企”平台展现自我,提升自我的人多了。团队之间、员工之间在智慧上、对企业贡献上形成了比学赶帮、互动共进的良好氛围。同时,“网络问企”建议的层次、质量、可行性等方面都在不断提高。“网络问企”平台发掘了员工的潜质,员工又以素质的提升更好地参与投入“网络问企”,二者相辅相成,相得益彰。
三是活动效果十分显著。“网络问企”活动开展以来,选厂员工共提出合理化建议1894条,其中设备类754条,占建议总量的39.81%;综合管理类404条,占建议总量的21.33%;安全环保类318条,占建议总量的16.79%;生产类188条,占建议总量的9.92%;工程类49条,占建议总量的2.59%;科技类39条,占建议总量的2.06%;其它类142条,占建议总量的7.5%。1894条“网络问企”建议中,已解决763条,占建议总量的40.29%;实施中393条,占建议总量的20.75%,总有效率为61.03%。
1894条“网络问企”建议中明显创效建议70多条,创效额达3000余万元,为保证选厂降本增效任务的完成起到了重大的作用。例如“关于延长风水沟尾矿库1#副坝可替代8#副坝”的建议,节省筑坝费用投资1350万元;“优化两选运行模式,实现节能降耗”的建议,年可创效558.9万元;“合理配矿保证选矿生产稳定”的建议,年可创效244.8万元。
企业网络安全建议篇4
【关键词】信息管理;Vpn;隧道协议
引言
新特级资质标准对施工企业提出了用信息化手段管理企业、管控所建工程的新要求。施工企业一般是以总部为基地,发散状设置分支机构,这种结构对企业建立内部与分支机构、项目部之间快速、安全、稳定的网络环境,实现企业信息化管理提出了更高的要求。Vpn技术,基于广泛分布的internet构建企业虚拟专用广域网络,具有可靠性、稳定性、安全性较高,建立企业级专用广域网周期短,施工难度小,投资较小的优势,是一种经济可行的解决方案。
1、Vpn技术简介
Vpn即虚拟专用网络,它是依靠iSp和其他nSp在公网中建立传输经加密和封装后私有数据的通信网络技术。它能够提供internet远程访问,将企业分支机构、远程用户与企业网连接起来,构成一个扩展的公司企业网,它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
2、Vpn主要特性
1)可扩充性和灵活性:Vpn支持通过intranet和extranet的任何类型的数据流,方便增加新节点,支持多种类型传输媒介,可以满足同时传输语音、图像和数据等对高质量传输以及带宽增加的需求。
2)增强的安全性:目前Vpn网络连接主要采用隧道技术、加密技术、密钥管理技术、身份认证技术这四项技术来保证数据通信安全。
3)低成本:Vpn是利用internet等公众网络建立连接,连接也是临时性的,因此可以节省巨大专线租赁费用和建设费用。
3、基于internet的Vpn网络架构
企业internet环境下的Vpn网络可以建立如下拓扑结构:
1)依据公司规模,设在总部的路由器可选择支持3个或更多的wan口,多个Lan口;wan口通过100mbps宽带DDn方式接入互联网,必要时可采用两条或多条aDSL电话线作为冗余、备份接入线路。
2)各地分支机构路由器至少具有两个网络接口,一个用于内网,一个用于外网;外网通过2mDDn专线或光纤方式接入互联网。分支机构可以选择不同网络营运商的线路,Vpn联机建议采用ipSec协议,以保证联机的安全性。
3)公司重要领导或关键业务人员,出差时可通过移动宽带方式如3G卡接入移动网络,再连接至internet。
公司总部具有动态的ip地址,各地分支机构采用固定或虚拟ip地址、以多种接入方式接入internet,通过Vpn网关在internet上构建起企业内部Vpn。
4、Vpn网络设置
Vpn网络构建需在windows操作系统下进行相应设置。
1)Vpn服务器配置。找到“管理工具”“路由和远程访问”,鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”点下一步,进入服务选择窗口;标准Vpn配置需要两块网卡(分别对应内网和外网),外网使用的是internet拨号上网,因此在弹出的窗口中选择“Vpn”;下一步连接到internet的网络接口,此时会看到服务器上配置的两块网卡及其ip地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的ip地址,新建一个指定的起始ip地址和结束ip地址。最后,“设置此服务器与RaDiUS一起工作选否。
2)Vpn客户端配置。点“网上邻居”图标右键选属性,选择“创建一个新连接”点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”“虚拟专用网络连接”;接输入新连接名字后点下一步;在窗口里,输入Vpn服务端地址,可以是固定ip,或是服务器域名;点下一步依次完成客户端设置。在连接的登录窗口中输入服务器所指定的用户名和密码,即可连接上Vpn服务器端。
3)赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到Vpn服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或Vpn)”选项组下选择“允许访问”,用户即有了拨入Vpn服务器的权限。
5、关键技术
隧道技术是Vpn的基本技术,类似于点对点连接技术,它在公网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中,靠第二层协议进行传输。第二层隧道协议有L2F、pptp、L2tp等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有Vtp、ipSec等。
6、系统安全性策略
由于企业内部重要信息通过开放的公网进行数据传输,因此系统的安全性尤为重要。目前,Vpn的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现。
1)防火墙:主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成,具体应用可以由公司根据实际情况统一部署。此方案中为总部选择了具有高级别防火墙功能的路由器。
2)访问权限控制:对系统管理员及企业内部人员按照职责、级别、时间设置操作权限,让不同级别的人员只能看到并处理自己权限范围内的文件及工作,保证了办公的保密性及整个系统使用的安全性。
3)数据库备份:为了避免数据意外丢失,保证数据安全,系统要具有重要数据的备份功能。
7、小结
施工企业信息化管理的实现离不开互联网络的应用,在网络远程访问中,Vpn技术为信息集成与优化提供了一个很好的解决方案,为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献
[1]闫晓弟,耶健.基于Vpn的电子资源远程访问系统的研究与实现.情报杂志.2009(8).
企业网络安全建议篇5
【关键词】网络协议;安全系统;方案设计
1引言
易连科技科技有限公司(ningbooceannetworktechnology)是一家专业生产机械塑料类产品。公司成立于1994年,地处境里发达的沿海城市—宁波。按照易连科技有限公司的网络建设规划和总体要求,我们计划对易连科技有限公司的网络在利用原有综合布线系统和设备的基础上,重新规划实施,建设易连科技有限公司的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
按照易连科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的Cisco公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工增长的要求。
易连科技有限公司实施阶段分为五部分,分别是交换机部分,路由器部分,服务器部分,广域网部分和网络安全性部分。
易连科技有限公司地处发达的沿海城市—宁波,该公司通过网络来发展业务。随着该公司业务量的不断扩展,公司的规模不断扩大,员工人数的不断增加,并要在温州建立一个分公司。现有的网络系统逐渐不能满足企业信息化建设的要求。因此计划对宁波总公司的局域网与温州分公司网络进行改善,以提高网络的可用性,安全性,可靠性,并具有一定的可扩展性要求,用来满足企业业务发展的需求。
2需求分析
(1)企业网络需求
宁波总公司和温州分公司的局域网络通过路由连接成一个统一的企业内联网,满足易连科技有限公司对网络统一管理的要求。宁波总公司和温州分公司的路由器相连,计划使用oSpF(开放最短路径优先协议)作为路由协议。选用oSpF的好处在于oSpF作为链路状态协议已成为业界标准,在各厂商中具有广泛的支持基础,并且具有路由信息传输的可控性和路由链路负载均衡的能力。
(2)企业系统的总体需求
温州分公司通过专线连接到宁波总公司网络,使用总公司的单一出口访问因特网,以提高网络的安全性,而且公司的服务器等全部在宁波总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
出口处配置防火墙,出入因特网的通信流量都必须经过防火墙的过滤,通过防火墙对易连科技有线公司的网络加以保护,并实现安全的控制。
宁波总公司局域网部分在网络结构上分为3层,核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到2台汇聚层交换机,也保证了网络的安全性和可靠性。同时Lan部分会启用Vtp和Stp,实现VLan的统一配置管理和环路避免。
(3)企业网安全总体需求分析
运行系统的安全,在宁波总公司应用HSRp对设备进行备份。即保证信息处理和传输系统的安全,它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。系统信息的安全,通过域环境管理用户账户,设置用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密;信息传播的安全,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控。
(4)基于多协议的安全项目整体规划
此次易连科技有限公司网络建设将采用先进的计算机,网络设备和软件,以及先进的系统集成技术和管理模式,实现一个高效的办公网络体系。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性,国内外及各行业的通用性,并且要有良好的市场形象和售后技术,便于维护和升级。
(5)设计原则
工程实施依照国家有关标准完成。项目设计应满足易连科技有限公司未来发展的要求,即公司规模扩大,本设计仍然能够满足公司运营的需求或方便的变更和升级。采用先进的,成熟的,业界标准的,在市场上有着广泛应用的技术。项目设计应遵循实用的原则,避免不切实际贪大求全。所有操作系统及应用软件采用正版软件。所有网络设备应是主流产品,保证所有设备均为新品并能提供良好的技术支持。工程实施严格按照合同规定日期完成并保证质量。工程实施需要提供详细的文档资料及配置手册。应提供完善的培训及售后服务。
3多协议安全系统的设计与实现
按照易连科技科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的Cisco公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的企业办公网运行。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工的可扩展性。
易连科技有限公司安全系统的设计与实现主要为多协议的设计,分别是交换机Vtp协议,Stp和mStp协议,HSRp协议,广域网协议和网络安全协议等。
(1)交换部分Vtp设计实现
当易连科技有限公司网络扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLan的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担。
Vtp版本为v1Vtp域口令为SXY,Vtp修剪设为启用,VtpServer包括SXY-Sw3-1,SXY-Sw3-2,SXY-Sw3-3,VtpClient包括SXY-Sw1~5。
(2)交换部分Stp的设计实现
生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免局域网中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示。
Sw(config)#spanning-treevlaniDpriority4096
Sw(config)#spanning-treevlaniDpriority4096
(3)ethernetChannel以太网通道设计
ethernetChannel以太网通道通过链路聚合技术捆绑多条通道来提高整体带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路。
Sw3-1(config)#interfacerangeF0/6-7
Sw3-1(config-if-range)#channel-groupnumbermodeon
(4)HSRp热备份路由协议设计实现
企业网络两台汇聚层交换机上启用热备份路由协议(HSRp),其设计目标是支持特定情况下ip流量可以从故障设备切换到其他设备上而不会引起混乱,并允许主机使用单臂路由作为网关,在实际第一条路由器使用失败的情况下,仍能保持与网络的连通。
Sw(config)#interfacevlan10
Sw(config-if)#standby10ip192.168.110.1
Sw(config-if)#standby10priority120
(5)Vpn专线技术设计
虚拟专用网(Vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
(6)网络安全性设计
防火墙位于易连科技科技有限公司总公司与外网之间。易连科技有限公司的所有网络通信通过进行流量过滤。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信。它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。所以,在易连科技有限公司网络中我们选择的防火墙是CiSCoaSa5520,能更保证网络的安全性的要求。
参考文献:
企业网络安全建议篇6
随着宽带网络的普及,信息化的发展正在改变着物流企业传统的运作方式。越来越多的企业都在广泛使用现代物流信息技术,控制和集成企业物流活动的所有信息,实现企业内外信息资源共享和有效利用,以提高企业的经济效益和核心竞争力。物流企业业务的特殊性,稍具规模的企业都拥有多个业务点。如何将处于不同地点分支机构的网络互联互通,成了现代物流企业必须解决的问题。传统专用线路(如DDn)的高昂成本和使用费,众多的中小物流企业无法负担,致使他们无法利用这种方式来建立自己的专网。如今,各种宽带上网方式(如aDSL等)得到迅猛发展,网络带宽和通信质量已经不再是瓶颈,资费也极大地降低,完全能够高效率、低成本地解决中小企业网络互联互通的需要。针对以上情况,可以采用一种Vpn的网络技术来解决物流企业内部因地域差异而影响数据信息传递、资源共享以及局域网络安全等一系列问题。
二、Vpn及应用优势
虚拟专用网(Vpn,Virtualprivatenetwork)是一种利用公共网络来构建的私有专用网络技术。它是依靠iSp(internet服务提供商)和其它nSp(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网中,在任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的信道资源动态组成的。所谓虚拟,不再需要拥有实际的专用数据线路,而是使用internet公共数据网络的数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
1.Vpn的经济性。Vpn利用现有互联网,在互联网上开拓隧道,充分利用企业现有的上网条件,无需申请昂贵的DDn专线,运营成本低。
2.Vpn的安全性。目前Vpn主要采用四项技术来保证安全,这四项技术分别是隧道技术(tunneling)、加解密技术(encryption&Decryption)、密钥管理技术(Keymanagement)、使用者与设备身份认证技术(authentication)。
Vpn利用ipSeC等加密技术,使在通道内传输的数据,有着高达168位的加密措施,充分保证了数据在Vpn通道内传输的安全性。
3.Vpn的分类。根据Vpn的组网方式,可将Vpn分为三类:accessVpn、intranetVpn和extranetVpn。
accessVpn。accessVpn是远程用户和企业的Lan(局域网)之间的Vpn。远程用户或移动用户拨号接入到本地的iSp(inetrnet服务提供商)的网络访问服务器naS(networkaccessServer),发出ppp连接请求,naS收到呼叫后,在用户和naS之间建立ppp链路,然后,naS对用户进行身份验证,确定是合法用户,就与公司总部内部连接,访问其内部资源。
intranetVpn。intranetVpn是企业远程分支机构的Lan(局域网)和企业总部Lan(局域网)之间的Vpn。通过internet这一公共网络将公司在各地分支机构的Lan连到公司总部的Lan,以便公司内部的资源共享、文件传递等。
extranetVpn。extranetVpn是供应商、商业合作伙伴的Lan和公司的Lan之间的Vpn。
4.windowsServer2008中的Vpn技术。windowsServer2008中的“路由和远程访问”服务支持Vpn服务器。Vpn客户端可以使用“点对点隧道协议”(pptp)、“第二层隧道协议”(L2tp)和“ip安全协议”(ipSec)来创建一个通往基于windowsServer2008的Vpn服务器的安全隧道。通过这种方法,客户端就变成了专用网络上的一个远程节点。
运行windowsServer2008的Vpn服务器支持点对点隧道协议(pptp)和第二层隧道协议(L2tp)。
三、windowsserver2008vpn的中小物流企业网络组建的应用
由于物流企业业务的特殊性,企业多个业务网点分布在不同的区域,且业务点与企业总部网络之间都有较长的距离,因此,在这些业务网点与企业总部之间,一般采用较为廉价的aDSL连接,实现信息传递与资源共享。这样信息传递过程中得不到安全保障,为了保障企业远程业务点和企业总部的网络信息传输的安全性,采用vpn技术是一种较好的选择。
企业网络安全建议篇7
记者从深圳市五届人大二次会议议案建议组获悉,由市人大代表、腾讯董事长兼首席执行官马化腾领衔提出的关于制定《网络信息安全保护条例》的议案“拔得头筹”,被排在了此次会议第一份议案的位置。该议案共获得了23名代表的联名。该议案的重点内容是提出了立法的建议对策,并附上具体条款。
马化腾的腾讯“掌门人”身份,以及该议案的关键词“网络信息安全”,两者之间的关系很容易让人联想到去年下半年爆发的腾讯和360之间的“3Q大战”。记者注意到,该议案反映的问题的确与该事件所引发的思考息息相关。
当前网络不正当竞争出现三种新情况
该议案指出,随着高新技术的发展,网络环境下的各种非法行为层出不穷,利用新环境下法律的空白、实施违法犯罪活动的行为种类也在不断翻新。这些行为严重危害了网络信息安全,损害了企业和个人利益,严重扰乱了市场秩序,破坏了产业的良性发展。
该议案认为,对比以往的不正当竞争事件,2010年的危及网络安全事件中还出现了一些新情况:一是恶性竞争手段常态化趋势。惯用手段主要有:以维护用户安全之名,恶意对竞争对手产品进行定性、评级,贬损竞争对手商业信誉与产品声誉;非法干扰屏蔽、强行卸载竞争对手产品、服务;限制用户选择竞争对手产品。二是恶意竞争手段变得隐蔽。比如,在某重大项目投标期间,某公司利用技术手段伪造竞争对手的域名广发垃圾邮件、病毒邮件,导致竞争对手的域名被客户邮件系统列入黑名单,造成客户和竞争对手之间的正常邮件通信严重受阻,项目投标受到严重干扰。三是新技术被用于恶性竞争。比如,奇虎公司利用最新的“360云安全技术”通过其后端服务器发出指令封杀竞争对手的产品,该技术在封杀对手推出的杀毒产品以及3Q弹窗大战中均有使用。
相关法律制度面临三大监管问题
2010年9月,奇虎公司指责腾讯公司QQ安全模块“窥私”,由此引发了全国关注的“3Q大战”公共事件。在该议案引用的实例中,就有“3Q大战”。“‘3Q大战’持续了长达一个月的时间里,没有任何相关政府部门出来对双方的行为进行约束和监管。”作为该事件的当事人之一,马化腾在该议案中道出切身感受,指出当前相关法律制度的监管困境。
议案认为,目前的法律制度问题主要有三。一是现有法律制度制定较早,已经很长时间没有经过修订,无法跟上社会的发展,而且,新型的侵权行为没有在法律中明确规定。根据目前三网融合的技术发展趋势,网络的概念已不局限于计算机网络,如广播电视网、通信网等也在日益发展,但是法律的规定还只是限于计算机网络的范围,有些过于狭窄。网络时代的来临,利用网络高新技术手段实施各种违法犯罪行为的现象层出不穷,侵权形式也多种多样,由于很多技术是在法律制定之后的数年间才产生和发展的,法律法规有必要适时修订,进而适应社会生活对法律的要求。
二是相关制度的缺失致使政府监管缺位。对于网络信息安全保护,行业主要机构应该承担相应的监管职责,如通讯运营商、网络服务提供商。但现有的立法中,对哪些机构、应承担何种职责,都没有明确的描述。
三是规范竞争秩序的法律制度难以适应市场快速发展的需要,亟待进行完善。目前,规范网络环境下企业间权利保护与市场竞争的法律是《反不正当竞争法》,但这部制定于上世纪九十年代初的法律已不能满足规范引导互联网企业有序竞争的需要,不正当竞争行为的违法收益大,而违法成本低。此外,司法诉讼冗长的诉讼周期导致恶意竞争行为不能通过司法途径及时得到制止,这也是业界呼吁政府介入监管的重要原因。
立法扩大对“网络”概念外延的解释
该议案建议,在立法中扩大对“网络”概念外延的解释,将网络的范围界定为任何可以进行数据交换的场景之下。理由是:三网融合是中国未来的技术发展趋势,网络的概念已不局限于计算机网络,如广播电视网、通信网等也在日益发展,三网融合或者更多网络融合之后的网络范围异常广泛,基本涵盖了社会生活的方方面面。
增加对网络安全本身保护
该议案建议立法增加对网络安全本身的保护,规定任何组织和个人不得实施非法破坏其他人的网络的行为,包括:破坏网络设备,导致无法正常通信的;破坏网络的安全防护,使网络处于不安全状态的;制作、传播病毒等破坏性程序,攻击网络的。
理由是:网络信息的安全很大程度上依赖网络本身的安全,加强对网络本身的保护势在必行。另外,现在出现的部分侵权行为只限于破坏行为,该行为没有直接造成网络信息的泄露、丢失等后果,但是却造成了网络的安全风险,法律有必要对这类行为进行规制。
立法保护下特定的“商业标识”
该议案建议立法增加对“域名”、“网站名称”、“网站标识”等网络环境下特定“商业标识”的保护,规定经营者不得采取下列手段进行经济活动:擅自使用与他人在先使用的为相关公众所知悉的商标、域名、网站名称、网站标识、企业名称、企业简称、字号、姓名等相同或者近似的商业标识,造成或者足以造成市场混淆的。
理由是:在商业标识中,增加“网站名称”、“网站标识”,具有现实意义。目前,网站名称和标识并没有单独的登记注册程序,也没有类似《商标法》、《企业名称登记管理实施条例》、《中国互联网域名管理条例》等专门性的规则。实践中,互联网服务企业主要通过宣传“网站名称”、“网站标识”来扩大企业影响,也是通过“网站名称”和“网站标识”来与其他的互联网服务企业相区别。由于网站名称和网站标识用于注册商标的周期比较长,在其未能作为商标加以保护时,有一定影响力的网站名称、网站标识往往被人擅自利用,以达到分流有影响力网站流量实施不正当目的。立法扩大对于商标标识的保护范围,对于维护市场竞争秩序有非常大的帮助。
将网络不正当竞争纳入规制
企业网络安全建议篇8
关键词:企业财务;网络安全;防护
企业财务部门是最早使用微机办公的部门之一,在加强信息化建设的同时,以指挥自动化网为平台的企业财务网络化建设也取得了长足的发展,且各局域网之间留有相应的接口,起到了很好的示范作用。
随着现代企业纵横配套的光纤线路的建成,企业内部已经基本上实现了数字化通信,企业财务系统的网络框架已经基本显现。但各相关单位企业财务信息化建设进度不一,相关的网络协议标准不一致,防护水平不高,绝大部分设备还没有更新,其技术水平还不能适应更高的要求,一些关键部位的设计构造,如网络拓朴构型,通信协议标准的制定等,与抵抗信息化打击的要求相差甚远。
为了确保企业财务信息系统畅通和财务保障的精确、及时、高效,就要尽快把企业财务网络安全纳入到信息网络的综合防护中来。
一、企业财务网络安全所面临的主要威胁
一般来讲,网络面临的威胁主要可分两大类:一是对网络中软件、协议以及所传输信息的威胁,即“软”威胁;二是对网络中基站、终端、传输媒介等网络实体的威胁,即“硬”威胁。从形式上表现为:计算机犯罪、人为行为、“黑客”行为、信息泄露、电子谍报、电子干扰、病毒攻击、火力打击、意外事故、网络软件与协议中的缺陷等,都是威胁网络安全的重要因素。
另外,从技术的因素考虑,影响网络安全的因素还存在着技术与非技术的两种情况。
技术因素,即网络系统自身存在的不安全因素。如网络协议中存在的漏洞;应用软件(财务软件等)在开发设计时,聘请的编程人员可在软件中设置非外人所知的程序入口(即“后门”),必要时可通过此处访问用户,盗取文件;网络通信平台中主机设备、线路、光缆发射电磁声光信号而泄密;在数据传输过程中,各接口的不可靠性,造成信息丢失等。
非技术因素,即人为的管理因素造成的网络漏洞。如保密观念不强,在与互联网相连的主机上处理密级材料,并将其存入硬盘中;忽视口令管理和用户访问权限的设置,虽给计算机上了“锁”,却“锁”而不严,谁都能打开;在大部分企业内部,办公主机既连单位的局域网,又接地方的互联网,出现一机多用的现象等。要实现网络的安全就必须想办法在一定程度上克服以上所述的种种威胁与隐患,通过技术策略和安全策略两方面的努力,来确保网络系统的安全。
二、企业财务网络安全的防护
(一)企业财务网络安全的技术防护
1、采用安全传输技术进行防护。企业财务网络的传输介质由光纤线缆、金属线缆和通信卫星等构成,对传输的信息以光信号、电信号和电磁信号的形式进行传递,基于传输介质的特性和所传输信息的特征,对企业财务网络中所传送的信息可采用加密技术、业务流填充技术和干扰与屏蔽技术来进行防护。首先,加密技术可采用先进的密码体制及成熟的加密系统等,对所传信息予以加密保护。如用量子密码体制可对光纤中所传输的光信号以光量子的形式进行加密,采用此技术不仅可以防止窃听,而且通信双方还可以及时发现有人在进行窃听,进而结束通信,再生成新的密钥进行传输。这改变了以往信息被窃听而不易被发现的局面,这一技术还可以在网络中运用于卫星通信,但不适用于金属线缆通信。其次,业务流填充技术可以在网络中连续发送随机序列码流,使网络中不论忙时或闲时信息流变化都不大。从而防止网络窃听者通过对网络中信息流流向和流量的分析来获取敏感信息。再次,通过干扰和屏蔽技术来抑制金属线缆通信、卫星通信中电磁信号的外泄,利用反相抵消技术和特殊调制方法来减弱和隐蔽信息流,采用扩频、跳频技术,干扰敌方的电磁窥探。
2、采用网络防御技术进行防护。所谓网络防御就是要构筑网络系统的“铜墙铁壁”。(1)对基站及终端的主机设置各层次的账号、口令,利用地址识别技术、包过滤技术、网络地址转换――nat技术、技术等构建第一道防线――防火墙,即在内部网络和外部网络之间建立相应的网络通信监控系统,来阻止“黑客”、病毒等对内部网络的攻击。(2)采用相关软件的底层接口技术、扫描技术、算法优化技术等对那些透过第一道防线的“黑客”,病毒等进行及时的堵截封杀,防止其在网络中蔓延。如:应用程序底层接口技术,是为了在查杀那些针对某一类应用软件而设计的病毒时,能够从应用程序底层的接口深度地开展查毒、杀毒。(3)利用访问控制技术可以防止来自于网络内部的威胁,既防止合法用户非法操作,对隐蔽在系统内部的潜在威胁也有一定的御防作用,如利用强制访问控制技术可以抵抗特洛伊木马的攻击。
3、采用入侵检测技术进行防护。入侵检测是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略。如网络入侵检测系统可以判断出应用层的入侵事件,这样就极大地提高了判断“黑客”攻击行为的准确程度;利用扫描功能对系统软件、应用软件以及硬件进行缺陷、漏洞以及隐蔽程序(陷阱门)进行检测,使管理人员能及时发现并对其进行修补。并可以对非法用户的入侵进行识别和处理,可以作为网络系统的最后一道安全防线。同时它还能提供扫描、安全审计、监视等多种功能,不仅能检测来自外部的入侵行为,也能检测内部用户的非法越权操作。
(二)对企业财务网络中网络实体的防护
1、对网络实体要尽量国产化。网络实体是指网络中各类设备(包括节点机设备、通信设备、终端设备、存储设备、电源系统等)以及为此服务的其他硬件设备的总称。对于生产通信设备、存储设备和电源系统中所涉及到的产品技术,我国已经达到甚至超过了世界先进水平,因此这些设备已基本上实现了国产化,然而终端设备、节点机设备在某种程度上还依赖于进口。目前,我军各级各类网络计算机都是民用产品,其机内核心芯片基本为进口产品,倘若对方在出口我国的计算机产品中隐藏“逻辑炸弹”或预留“陷阱门”,后果将不堪设想。据悉,奔腾iii处理器,就留有窥视用户信息的后门,对此要保持高度的警惕性。2000年深圳桑达公司与清华大学合作研制成功了集互联、路由、管理、带宽优化、防火墙等功能于一体的SeD―R系列路由器,缓解了此类设备依赖于进口的局面。
2、对网络实体进行合理的配置。网络实体的配置可分为实体与实体之间的配置和实体与软件之间的配置。对这两种配置要把握科学、安全和效率最大化的原则。首先,实体与实体之间的配置,就是对实体进行科学的组合以及实体的空间配置是否安全。如在电磁泄漏严重的显示器、金属线缆等周围加装一些射频信号干扰器,可以有效地阻止信息泄漏,防止敌方的电磁窥探;数据加密设备Dee(Dataencryptionequipment)可以与modem安装在一起构成密码调制解调器,防止信息被非法截获;为了保障内部网络的安全,可以用过滤式路由器和堡垒主机对内部网络进行隔离。实体的空间配置可采用地面疏散及地下隐藏等手段,防止敌方的火力摧毁。其次,实体与软件之间的配置。该种配置主要从方便操作,易于管理,安全可靠的角度出发。根据实体的性能,选择最佳的软件(首选国产软件),由于各种软件都存在着一定的漏洞与缺陷,因此在慎重选择各种软件的同时,结合它们自身的优缺点,对实体和软件,以优补缺进行科学合理的配置,层层安装,层层设“卡”。并对操作系统及相关软件进行定期升级。
3、对网络实体的综合防护。实现由过去单纯的防护向伪装、设障、拦截、干扰、欺骗等综合防护转变,实现被动防护与主动防护相结合,完成企业财务网络安全防护的新跨越,对网络实体的配置地域实行区域屏蔽,防止敌方报文嗅探(网络窃听)。以“骗、打、藏”来提高实体的生存能力,即运用电子欺骗、伪装欺骗;实施信息对抗、火力对抗;采取疏散配置、工程防护。采用一切先进技术手段,完善防护措施和配套建设。在提高企业财务网络安全系数,使其经得起“软硬武器”杀伤破坏的同时,增强防护预警能力。
(三)建立企业财务网络安全防护的专业力量
集中专业人才,组建企业财务网络防护分队和计算机应急反应分队。以研究对付来自网络的计算机病毒攻击或“黑客”入侵等的对策,特召既熟悉专门业务,又精通计算机网络技术,具有丰富网络工程建设经验的工程技术人员、管理人员。切实做到让网络人才来管网用网。
国家人事部公布的2003年我国人才市场招聘与求职专业的情况中了解到,计算机专业的招聘数量为14.8万人,但求职人数为39.6万人,是招聘人数的2.7倍,这表明我国计算机人才市场充满活力,同时也可以在网络界和各大院校内广纳“贤才”,“以牙还牙”用“黑客”对付“黑客”,从而确保企业内部网络系统的安全。
(四)企业财务网络的安全管理策略
1、制定和完善相应的政策法规和标准规范。安全的基石是严格的法规、细致的章程制度和相应的手段。财务部应该成立相应的信息网络管理与安全中心,负责制定财务信息、基础设施(含安全保密部分)建设、使用和全寿命管理的政策和程序,建立信息网络安全标准认证和质量检测机制,指导后勤财务信息化建设的实施,保证企业财务网络持续、快速、安全地正常运转。
2、采用先进的技术。首先,先进的安全技术是财务信息安全的根本保障,企业财务网络对自身面临的威胁进行风险评估,决定其需要的安全服务种类,从而选择相应的安全机制,然后集成先进的安全技术,形成全方位的安全系统。其次,加强防护技术的研究,使防护手段由单一性向多样性转变。同时抓紧研究和发展主动防护技术,使其在理论和实践上有进一步的突破和创新,从理论上提高企业财务网络系统的防护能力。
企业网络安全建议篇9
所谓“网络财务”是指基于internet/intranet技术,以财务管理为核心,业务管理与财务管理一体化,支持电子商务,能够实现各种远程操作(如:远程记账、远程报表、远程查账、远程审计及远程监控等)和事中动态会计核算与在线财务管理,能够处理电子单据和进行电子货币结算的一种全新的财务管理模式,是电子商务的重要组成部分。这里,需要注意的是:(1)“网络财务”所指的“网络”既非企业传统的自成体系的局域网或广域网,也非单纯的因特网,而是internet/intranet相互协同形成的开放式网络;(2)“网络财务”并非单纯的财务系统,而是以财务管理为核心,业务管理与财务管理协同的综合系统;(3)“网络财务”是企业级的财务应用;(4)“网络财务”应完全支持电子商务;(5)“网络财务”的各项功能基于管理而非核算。
“网络财务”的提出和推行其重要意义体现在:
1.“网络财务”改变了财会工作的空间和模式,使各项业务能在广阔的网域范围内进行实时处理,标志着一个新的财务管理时代,即网络财务管理时代的到来;2.由于采用了internet/lntranet技术,为财务信息系统由核算型向管理型、决策型转变并最终形成以财务管理为核心的企业全面管理信息系统提供了技术上无限的空间;3.“网络财务”改变了财务信息的获取方式,财务数据将从传统的纸质页面数据、磁盘数据发展到网页数据,有利于信息的多元化利用;4.“网络财务”全面支持电子商务,使得企业能够紧跟时代潮流,从电子商务的角度进行业务重整,有利于保持和加强企业的竞争地位;5“网络财务”将对传统的会计观念、会计理论、会计实务等产生重大的影响。
二、“网络财务”的技术基础
(一)internet/intranet技术是“网络财务”的应用基础
80年代后期至90年代初,企业信息系统结构实现了由主机系统(fs)向客户机服务器(cs)方式的转变,而目前正向internet/intranet方式转变。internet是一个广域网(wan)的集合,它包括一系列的网络。internet的用户使用internet上的应用程序(如:电子邮件e-mail、浏览器www等)彼此联系以获取大量信息。用户可以访问的信息存放在运行多种internet协议的服务器上,这些协议包括超文本协议(http),文件传输协议(ftp)等。
而internet是应用internet技术的企业内部网络,它基于internet通信标准、web技术和设备来构造或改建可提供web信息服务以及连接数据库等其他服务应用的自成体系的企业内部网。intranet可以连接到internet成为其一部分,当有安全需要时,采用“防火墙”等网络安全技术与internet隔离;intranet也可进一步向企业外延伸,使其使用范围扩大到企业与企业之间,从而使企业与关联企业、上游的供应商和下游的经销商之间形成范围更为广阔的信息系统,即extranet.由于internet/intranet投资回报率高,风险小,对提高通信质量,降低经营成本,实现资源共享,提高机构运作效率大有益处,因此,各国企业纷纷采用。internet/intranet技术为建立管理决策型的企业全面信息系统提供了优越的信息资源管理平台,它不仅能处理结构化的数据(如各类关系数据库),也能处理各种非结构化数据(如文本、图形、图像、声音等),使企业信息资源更加全曲、丰富;另一方面,由于internet/intranet具有开放性、标准化、分布式、使用简单、易于维护等特点,因此它为企业信息系统的集成化发展提供了有效的技术保障,比如它采用了公开的tcpm协议,允许工作站通过同构或异构的计算机网络系统共享资源,实现各类信息系统的无缝连接;又如它利用超文本、超媒体传输技术,将分布于企业内外的数据有机地联结起来。无疑internet/intranet技术为企业涉足电子商务,扩大其竞争优势,提供了技术基础。
(二)大型数据库技术
“网络财务”环境下,抛弃了传统财务系统所采用的小型数据库access、xbase、foxpro等(由于其数据处理的局限,不能达到海量数据处理。高速运行和数据安全性的要求)而采用了诸如sybase、informix、oracle、sqlserver等大型数据库,这些大型的数据库有高达tb(itb=1000gb)级的数据处理能力,使业务量完全不受限制,不仅可以实现跨年度查询,还可以通过数据仓库技术,整合采购、库存、销售、计划、工资等数据供决策分析。另外,这些大型数据库大大改进了海量数据下读取的性能和安全性能,加强了网络控制,减少了由于网络并发用户操作对数据库造成的关键字丢失的问题,使得数据库系统能够高速运行并增强了安全性。
(三)三层结构技术和组件开发技术
三层结构技术就是将客户机服务器(cs)系统中各系统部件分成三层服务(客户服务端、中间层服务器和数据库服务器)的一种技术。其特点是联机用户多、每次业务处理时间短、处理的业务量大等。第一层客户服务端负责基本的可在客户机上执行的规则验证、数据描述和显示以及查询生成。第二层中间层服务器存储着应用程序的所有事务规则;客户机向中间层服务器发出处理请求,然后中间层服务器负责与数据库服务器打交道。第三层数据库服务器是所有特定应用程序数据和以存储过程形式表现事务规则的某些特定厂商的实用工具,它起到了中心数据仓库的作用。三层结构技术是一个基于组件的开发模式,即根据业务涉及的数据和处理流程、不同的行业特性设计成属性、方法并独立封装,使业务工作对象化,用户可在安装时选择适合本企业的构件。比如,在软件设计上,将凭证管理作为一个组件,形成凭证模块,将账簿管理也作为一个组件形成账簿模块,用户可在三层结构的中间层封装某类适合自己企业特点的财务规则组件,如果凭证管理有问题就换凭证模块,如果账簿有问题就换账簿模块。三层结构组件技术具有如下优点:1.安全性能好;2减少硬件投资;3.安装、维护、使用或二次开发比较方便;4.能使企业实现远程应用。正是由于采用以上先进的技术为基础,网络财务才获得了技术上无限的发展空间,为企业建立其全面信息系统,涉足电子商务提供了技术保障。
三、“网络财务”的实施方案
首先,企业应根据自身的实际情况进行需求分析确定企业到底要利用“网络财务”系统完成什么工作、“网络财务”系统应用要达到什么目标和要求。例如:某企业根据自身业务迅速发展,财务需要集中监控、企业管理核心在于抓财务的实际情况出发进行网络财务的需求分析,确定了其开展“网络财务”应做的工作和要求:l.要使财务管理和业务管理紧密配合,全面实现财务业务管理一体化;2要实行集团财务集中监控;3支持电子商务,能提供方便的网上应用,可以同时使用测览器界面和gui界面;4.具有良好的可扩展性和融合性;5.软件功能适用。其次,选择或开发网络财务软件。再次,根据企业需求进行网络方案设计。目前常用的高速网络技术包括以下几种:l.快速以太网;2.fddi(分布式光纤数据接口);3.atm(异步传输模式);4千兆位以太网。前两种技术价格较低,性能也不错,适用于一般企业;后两种技术性能远远超过前两种,但价格较高,投资很大,适用于有实力的大型集团企业,如中国石油天然气集团公司就是用atm技术和千兆以太网技术。对于一般企业,可以采用快速以太网或fddi技术建立自己的局域网,远程子网可用ddn专线连接,移动用户群可以用电话连接;另外,可用msⅱs建立自己的网站,通过exchangeserver建立自己的电子邮件系统。对于许多中小企业来说,可能既想推行网络财务,又不想太多的投资,这时财务软件公司可从以下几个方面去帮助企业推行网络财务:1.提供网络财务软件。2提供基于互联网的服务业务;提供网络财务软件的在线支持和内容服务;建立专业网站,提供网上理财服务,用户无需购买软件,可通过专业网站获取理财服务并按服务项目和数量付费。3.为企业用户提供全套服务;帮助企业设计和构建网络体系,提供软件并帮助安装和维护等。
企业网络安全建议篇10
关键词:企业;内部计算机;网络安全;策略
中图分类号:tp393文献标识码:a文章编号:1009-3044(2013)19-4401-02
1企业内部计算机网络相关知识
1.1企业内部计算机的网络安全基本概念
企业内部的重要信息都是通过网络来进行传输的,而企业内部计算机网络安全就是使企业的计算机网络能够在一个既健康又稳定的环境中来进行重要信息的传输,以确保信息的安全。对于企业的网络管理者,则可以利用先进的网络技术来保证企业商业信息的安全性。
1.2企业内部计算机网络的特点
1)很强的独立性
企业内部网络是为企业生产管理来服务的,和外界网络没有关联,具有很强的独立性。企业内部的计算机和外界计算机无直接的物理连接,但是有些企业偶尔会利用因特网来提高公司的业务量。
2)企业内网应用了S/C结构
这种结构不仅可以为企业提供电子邮件、网上会议等多种服务功能,企业还可以通过这类软件的应用,方便企业内部的不同部门相互传输数据,也可开展网上视频会议,为整个企业的办公提供了很大便利。
3)企业的日常运作对内部网络依赖性越来越强
随着经济全球化和信息时代的到来,网络的使用范围越来越广,涉及到的内容也越来越多,在当前的大多数企业中,一些日常的运营和办公逐渐进入了无纸化时代,利用计算机处理事务、进行管理等方面也逐渐被网络化所替代。企业内部利用网络进行信息交流和传输的趋势已不可逆转,企业的发展对网络的依赖性越来越强,也成为企业运行的最重要因素。
2企业计算机网络维护中存在的问题
企业计算机网络的安全问题直接关系到企业的利益甚至影响到企业的安危,及时发现其中的问题所在对于企业的发展有着重要的意义,也是解决网络安全的重要前提条件。在现今企业计算机维护过程中,主要存在以下几方面问题:
2.1维护企业计算机的过程中保证网络协议的安全问题
在互联网上的网络协议和构架等很多资源都是共享的,这样以来就导致了企业计算机存在很大的安全隐患和漏洞。这一问题不可否认地成为了现在计算机信息安全威胁的主要来源,其对计算机的系统所造成的威胁和破坏也是相当严重的。
2.2企业计算机网络在运行和工作中所产生的安全管理问题
企业计算机网络在运行与工作中所产生的安全管理问题也是计算机网络安全问题中的重要问题,对企业的发展有着重要的作用与影响。就目前的发展来看,在我国一些企业计算机操作系统和数据库的典型用户中,这些体统的本身都或多或少会存在一些安全隐患和漏洞,而这些安全隐患自然会对计算机的安全运行构成一定的威胁。在这些安全隐患主要来源于企业计算机自身体系结构建设问题,以及系统错误等问题而产生的漏洞。这些问题的存在之所以值得重视,是因为这些漏洞处于网络系统的最底层,是不会被轻易发现的,在使用的过程中,稍微有所不当,就会导致整个系统的瘫痪。因此,必须引起足够的重视。
2.3计算机系统的安全问题
计算机的系统安全问题对企业的健康、稳定的发展有重要的影响,甚至影响到企业的安危。而在企业的用户中,大部分都已经使用了相关信息的安全产品。然而,在这个过程中,一旦发生安全问题或系统错误,就会导致企业内部网络安全防范机制失效。与此同时,计算机的安全隐患就不再是产品自身的问题了,即使安全产品自身没有安全漏洞,但如果由于企业自身的原因比如使用不恰当,使产品的安全性能受到破坏,这样就导致企业计算机网络的安全性能大幅度的降低。
3完善和维护企业内部计算机的网络安全的策略
3.1建立完整的计算机网络安全系统策略
现今社会计算机应用于各个领域,这对于计算机病毒的传播提供了更大更广阔的平台,从而使得计算机病毒以很快的速度传播,并且带有很强的破坏性。不管病毒以何种方式入侵企业计算机系统,都可以破坏企业内部的信息,更有甚者会摧毁企业,仅仅依赖于计算机本身的保护系统是不可能达到保护企业内部资源和信息的要求,因此,建立完整的计算机网络安全系统变得尤为迫切和必须。
3.2物理安全保护策略
所谓的物理安全就是硬件安全,而企业中的物理安全策略就是针对计算机上的硬件设施和设备进行保护,通过这种硬件上的保护可以为企业创造一个安全的工作环境。同时,采取这种保护策略,可以设定用户的访问权限,还能够通过计算机的使用制度,可以有效的防止黑客的攻击或盗窃信息资源等。
3.3访问控制的策略
所谓的访问控制策略,就是对企业内部的计算机网络采取访问控制的手段来防范一些非法的访问者或使用企业内部网络资源的人。通常情况下会采取三种措施:
1)属性安全控制。这种控制主要就是在计算机文件和网络设备之间开设一条专属通道,同过这种专属通道可以有效保证信息的安全。
2)防火墙的控制。这种控制的方法在很多企业的网络系统中都得到了广泛的运用,对企业的安全起到了重要的保护作用,其中最有效的作用就是防止黑客进攻企业电脑。
3)入网访问进行控制。这种控制的目的就是为了限制用户和使用某些资源,同时,能够最大程度地控制非法访问情况的发生。
3.4完善网络安全的规章制度
除去以上几种策略之外,企业还可以通过对企业内部重要信息和资源进行加密,完善企业内部网络维护安全的规章制度,引进或者培养网络信息安全人才等措施来保护企业内部信息免受黑客的攻击、破坏,从而达到加强企业内部计算机网络安全的目的。
4结束语
在现今社会,计算机已经广泛和应用于各个领域,计算机网络的完全问题成为各界关注的一个重点,一般性的企业更是尤其关心这个问题。每个企业都希望最大限度发挥出计算机的优势,防止黑客攻击,但是很多企业内部计算机网络安全维护机制并不健全,网络技术也不成熟,企业内部的信息系统安全也存在诸多问题,这就要求企业必须根据自身的需要和本企业内部存在的问题,完善企业自身的网络安全维护机制,并制定出一套健全的计算机网络安全维护措施。做好企业内部的计算机网络安全,不仅可以大大提高企业的工作效率,还可以在很大程度上促进企业快速而稳定的发展。
参考文献:
[1]谢鹤,金贤.探析企业内部计算机网络安全与维护机制完善[J].信息与电脑(理论版),2013(1).