企业内网安全建设

企业内网安全建设（共8篇）

企业内网安全建设 篇1

0 引言

随着信息技术的发展,信息化在企业的生产经营活动中起到越来越重要的支撑作用。企业局域网的普及,办公自动化的广泛应用,企业内部ERP、MES、生产自动化等各种应用系统的实施,在给企业活动带来极大便利的同时,也带来了众多的安全隐患,如:病毒的传播、企业机密信息的泄漏、生产业务数据的丢失、网络的滥用等。而此时企业的防护手段还是主要以防火墙为代表的网络边界防护,一旦越过防火墙,来到企业局域网内部,就会对企业的内部网络造成极大的破坏和风险。

造成这种情况多是由于企业内大多数用户计算机知识有限,对信息安全认识程度不高,缺乏防护意识,加之企业网络防范技术措施的缺失,因而难以对局域网内的单点威胁爆发进行有效监控和防范。依靠单一的边界防火墙、防病毒软件无法应付病毒和其他信息安全的威胁,只有在将每个客户端都保护起来才能有效防止病毒入侵、信息泄露、蠕虫爆发,网络滥用等问题。因此,企业内网安全的管理显得日趋重要。

1 内网安全和管理概述

内网安全的概念:一般而言,我们通常以企业局域网的网络边界为限,将企业网络划分为内部网和外部网两个部分。因此,内网安全指的就是企业内部局域网的信息安全。具体地说,就是对企业局域网防火墙以内的网络的信息安全综合管理,进一步也包括局域网终端的综合管理。由于IT技术的快速发展变化,新的技术和新的安全威胁不断涌现,因此内网安全的概念自始至终就在不断的变化着。

2 内网安全现状

随着企业信息化建设的发展,企业生产经营的各种资料、数据80%以上都是以电子文档和数据的形式保存。这些信息包含了企业的核心生产技术、经营成本信息、日常生产数据等各方面的数据,对可靠性、保密性要求很高,如果发生数据丢失或泄密,将会给企业的生产经营活动造成无法估计的后果。

企业局域网的普及,为企业提高员工工作效率,提高企业整体竞争实力奠定了基础。但是,员工不规范的桌面行为,如上班时间炒股、网上玩游戏、在线看电影等行为严重影响了工作效率。同时由于BT下载、在线视频、迅雷应用等行为,造成企业局域网的堵塞,影响正常业务的开展。还有非法和不健康网站的浏览,可能会导致病毒、木马等被非法下载进入企业局域网内部,对企业网络的安全产生严重危害。

外来人员不能有效进行管理。企业合作和外协单位的工作人员来厂交流,由于不能及时对相关人员的计算机设备进行检查,容易由其计算机设备将病毒、木马等带入企业内部网络。同时,外来人员监控的缺失,也会造成企业内部资料的泄漏等情况。

由于企业的发展,办公地点分散,由此造成大量计算机系统分散布置,企业内部的资产统计工作非常繁琐。维护计算机系统的正常运转是IT部门的日常工作,但由于缺少适合的管理工具,企业内部动辄几百上千台计算机系统维护,也使得有限的IT管理人员要将有限的时间都投入到无限的系统维护工作上。

3 内网安全建设

3.1 内网安全建设原则

按照BS7799信息系统安全管理规范的要求,在设计信息安全系统时,必须掌握安全原则。

3.1.1 相对安全原则

没有100%的信息安全,安全是相对的,在安全保护方面投入的资源是有限的。保护的目的是要使信息资产得以有效利用,不能为了保护而过度限制对信息资产的使用。

3.1.2 分级/分组保护原则

对信息系统分类,不同对象定义不同的安全级别,首先要保障安全级别高的对象。

3.1.3 全局性原则

解决安全问题不只是一个技术问题,要从组织、流程、管理上予以整体考虑、解决。

3.2 内网安全建设架构

企业的内网安全系统建设应建立一个统一的集成化的管理平台,有整体的终端安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。

通过统一的集成化的管理平台,管理员可以完成所有与终端安全管理维护相关的各种任务,包括用户身份认证,网络准入控制管理,网络拓扑发现及设备快速定位,终端安全策略设置(主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等),网络异常监控,移动介质管理,终端软件及补丁管理,终端的远程管理和维护,终端资产管理等多个方面。

3.3 安全功能模块

3.3.1 准入控制管理

系统对于非法进入企业内网的终端进入进行监控与管理。管理员将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源:访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表。通过网络准入控制杜绝非法外来电脑接入内部网络;同时将有问题的客户机隔离或限制其访问,直到这些有问题的客户机修复为止,这样,一方面可以防止这些客户机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。

对于非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络进行攻击或者试图窃密。

3.3.2 网络拓扑发现及IT资产管理

通过二层拓扑发现功能可以发现网络中的所有IT设备,包括网络设备、主机设备、网络打印机、终端设备等。实现跨网络、跨路由发现设备,支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现,能够获得网络设备之间、主机和网络设备之间的物理连接关系,获得设备的基本信息如IP地址、MAC地址、设备名、在线时间、离线时间、IP地址历史使用信息等。

利用局域网终端计算机代理客户端的安装,系统可以自动终端详细的软硬件配置信息,包括CPU、主板信息、内存信息、硬盘信息、光驱信息、网卡信息、外设信息、操作系统信息等各种计算机系统信息。同时,系统可以自动收集分析终端计算机安装的软件信息,包括安装的软件名、软件厂商、版本、语言、安装日期等。

通过上述技术,管理员可以可以快速发现接入网络的所有设备(无需准入控制),无论接入网络的终端是否安装个人防火墙,均可以对其快速发现并予以定位,实现企业局域网设备的实时监控。系统智能实现自动监测系统软硬件资产的变动,记录日志并可以产生报警,同时可以根据策略自主采用响应措施,防止资产变更给客户端或者网络带来更大的危害。

3.3.3 移动介质管理

移动介质的管理一直是企业IT管理中的难点,也是最容易出现安全问题的设备,对移动介质的管理主要在以下几点上进行控制:外部的或非法的移动存储设备不能随意的进入IT系统,必须经过一个安全的注册认证流程来实现对管理;经过注册的内部移动存储设备的使用要进行监管,未经授权无法到外部使用,进行加密存储;为了防御移动介质的自运行程序,在使用移动介质时,无法运行移动介质中的可执行程序;对移动介质的文件传输进行审计或禁止。

3.3.4 客户端反卸载功能

终端计算机客户端代理具有自我保护功能,可以防止客户端用户随意卸载、停止代理或者删除代理的安装目录下文件。管理员必须有卸载口令才能对客户端进行卸载操作,而且卸载口令可以动态变化并下发到终端上。

即使终端客户通过格式化系统盘并重装操作系统来卸载客户端,系统也可以通过与网络准入控制功能的联动来实现对该终端的强制控制,当终端再次接入内网后,网络准入控制系统会自动把该终端划到访客区中,该终端必须重新安装客户端来实现进入网络。

3.3.5 终端安全策略管理

系统可以对客户端操作系统漏洞进行扫描,包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示,提醒用户自己机器存在的安全漏洞,并且也会通知管理员。

系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。

系统可以通过白名单、黑名单方式定义违禁软件,这些违禁软件被运行时可以产生告警事件通知管理员,或者直接禁止违禁软件的使用。

利用网络行为审计功能实现终端用户上网行为审计和控制,包括:通过白名单和黑名单,审计和控制Web网站的访问,可以禁止终端用户访问一些非法Web网站;通过白名单和黑名单,审计和控制通过POP3和SMTP服务器收发邮件,可以禁止终端用户通过外部邮箱收发邮件;对文件拷贝进行审计和控制;对MSN、QQ等聊天软件的使用进行审计和控制,可以禁止某个时间段内使用这些聊天工具;对BT、电驴等P2P软件的使用进行审计和控制,可以禁止这些P2P软件的使用。

3.3.6 网络异常监控

系统客户端能够自动抵御ARP网关欺骗和DHCP欺骗,能够实现自动识别,并选用正确的网关MAC。当发现ARP网关欺骗时,能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时,无需更改终端的配置,终端能够自动适应,选择新的网关MAC地址。

3.3.7 终端行为审计与控制

系统可以实现局域网内终端计算机的个人行为审计,包括:U盘控制功能,实现U盘的读写控制;定义终端设备能够通过哪些POP3和SMTP服务器收发邮件,禁止通过哪些POP3和SMTP服务器收发邮件,哪些需要进行审计;通过Web访问控制,可以限制桌面终端用户通过Web Mail方式外传文件,从而防止文件非法外传;能够对桌面终端用户使用MSN/QQ等进行监控和管理,禁止其通过QQ/MSN外传文件,也能够防止桌面终端用户通过文件共享和FTP等的方式外传文件,从而保证了企业的核心机密数据不被泄漏。

另外,补丁分发、软件分发等功能较为简单,就不再详细描述。

4 结束语

随着信息技术的不断发展和进步,内网安全的管理也在不断的发展。从最初的资产管理、补丁分发,到准入控制、设备加密、行为审计,再到数据防泄漏、透明加密,随着技术的进步和内网安全理念的不断深入发展,内网安全的建设也越来越全面,越来越成熟。

目前,内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题,单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发,对信息安全进行全方位、多角度的设计,统筹规划、统一安排,全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段,根据企业局域网内安全等级的不同,涉密级别的不同,部署级别不同、力度不一的梯度式防护系统,将管理、技术、审计、人员进行有机的结合,在企业内部构建一个立体化的整体安全网络,才能实现真正意义上的内网安全。

摘要：随着信息技术的发展,企业内网安全得到了越来越多企业的重视,如何建立一个合格的内网安全系统,如何进行网络安全策略设置,如何实施内网安全系统,如何保证企业内部核心数据安全,成为企业迫切需要解决的问题。本文从内网安全的概念,内网安全系统的实施原则、建设的架构、具体的实现功能和内网安全系统发展展望等方面进行了探讨,为企业内网安全系统的建设提供了参考指导和帮助。

关键词：内网安全,准入控制,审计,安全策略

参考文献

[1]杨义先,钮心忻.网络安全理论与技术[M].人民邮电出版社,2003.

[2]LindaMcCarthy.信息安全-企业抵御风险之道[M].北京:清华大学出社,2003.

[3]覃健.网络安全与防范措施.《中国科教创新导刊》,2010年第25期.

[4]刘葵.现代信息条件下的计算机网络安全管理.《重庆科技学院学报:社会科学版》,2010年第16期.

企业内网安全建设 篇2

随着互联网技术在企业的中大规模运用，现代化企业已经离不开网络，但是由于许多企业网络管理意识薄弱，越来越多的网络问题就在不断危害着企业的利益。网络问题会给企业带来什么样的危害呢？小草上网行为管理软路由从众多企业的反馈中，收集整理了一些。

首先员工对互联网的滥用使企业的生产力严重流失、工作效率降低。使用QQ、MSN等即时通信工具是目前最为普遍的网络使用形式之一。上自企业管理者，下至普通员工，均对此情有独钟。大量的时间被用来聊天、处理私事，经由聊天工具传播的病毒、恶意软件更是不胜枚举。企业花巨资打造的信息化工作平台成为员工的私人领地和病毒桃花源。

P2P等下载软件导致关键业务应用带宽无法保证。P2P下载技术使人们可以高速获取海量的网络资源，员工可以通过这些下载工具以最快捷的方式获得自己喜欢的资源(主要是影音娱乐文件)。企业组织有限的带宽资源成为这些员工获取娱乐享受的专用通道，一条条专用通道的建立使企业组织的IT系统建设事倍功半。

通过 E-mail、MSN或者移动硬盘造成文件流失、泄露。现在越来越多的泄密事件在网上流传，比如前段时间，由于一封著名企业的高管发给同事的内部邮件不慎泄露，其中相关内容在企业内部及业内均造成了重大影响，直接致使该高管离职。

这些泄密事件表明：通过论坛、外发邮件等导致的组织内部机密信息泄漏事件的发生越来越普遍，企业所建立的机密文件管理体系形同虚设。

网页和邮件中潜伏着病毒、木马、间谍程序。调查发现，很多病毒事件是因为员工访问一些非法网页、BBS论坛或下载通过即时通信软件传播的文件而引发的。这些病毒程序不仅会降低系统效率、侵占网络带宽，而且会使企业组织的网络门户洞开，受到各种形式的威胁，从而使企业网络处于高风险和不稳定的状态，企业组织网络成了病毒实验所。

面对这些问题，小草上网行为管理软路由能够轻松管理P2P软件下载、P2P视频、在线电影、网络电视;针对带宽拥堵难题，还可以智能分配带宽，同时能够根据总流量的限制合理管控带宽资源使用，更出色的是还可以为企业关键业务设置优先级带宽使用，从而最大程度保障公司业务流通顺畅。

企业内网安全建设 篇3

随着信息网络技术的普及,越来越多的领域开始应用信息网络技术,而电子商务战略的开展,促使企业网络安全面临着更高的挑战。企业内部管理的网络化建设以及电子报税系统的推广, 对企业网络安全也提出了新要求,只有做好网络安全工作,才能实现企业信息化建设。基于这种发展形势下,企业在网络化建设过程中,必须对网络安全建设给予高度重视,加大管理力度,采取科学合理的手段,对网络软件与硬件进行有效管理,从而确保企业网络化工程实现安全建设。

1企业网络安全建设中的障碍性因素

1.1安全防御意识缺失

企业内部人员并没有充分认知到网络安全防护的重要性,安全防护意识存在很大程度的缺失。随着数字化技术的普及,网络办公方式将逐步实现数字化,办公模式网络化将会致使企业内部人员对自动化技术产生高度依赖性。但是企业内部人员并没有对网络安全防护工作给予高度重视,很多企业内部的防御系统都存在陈旧老化的现象,没有对网络防御系统进行及时更新,网络建设没有足够的资金支持,没有针对网络安全构建完善的防护机制;面对网络恶意破坏,企业内部的网络系统并不具备良好的抵抗能力,一旦遭受破坏,将会很难进行维修;企业领导者并没针对网络安全开设相应的管理部门,也没有配备专业人员对网络系统进行信息安全监管。

1.2网络非法入侵

企业网络系统存在较多漏洞,网络黑客将会利用这些漏洞非法入侵企业内部网络系统,继而篡改企业信息资源、下载企业重要资料,致使企业内部商业机密出现损坏、丢失或是泄漏等问题, 会对企业的生存与发展造成巨大的不良影响。除此之外,网络黑客还可以利用网络系统漏洞,冒充他人,在网络上进行非法访问、 窃取商业机密、泄露传输信息、诈骗、对计算进行病毒破坏以及干扰等行为,对企业的信息化网络工程建设造成非常大的威胁, 是企业实现信息化建设的主要障碍性因素。

1.3网络病毒

网络病毒可以通过多种途径对企业网络系统进行感染与侵害,例如,文件打开、软件下载、聊天传输信息以及邮寄电子邮件等。病毒可以通过及时网络进行传播,因此网络病毒的感染范围非常大,感染效率较快,对企业网络系统具有较大的危害性。 随着计算机技术的普及,网络技术在各个领域受到了大力推广, 为网络病毒的传播提供了主要途径,并在很大程度上提高了网络病毒的感染效率。企业内部人员在使用介质软件或是数据时,都有可能促使企业网络系统感染网络病毒,致使企业网络系统出现崩溃现象,整个网络工程处于瘫痪状态,导致企业网络系统无法发挥自身的服务功能,会给企业造成严重的经济损失。除此之外, 网络病毒还可以采取其他手段对企业网络系统进行病毒感染,例如窃取用户名、登录密码等。

1.4忽视内部防护

企业在构建网络化工程时,将对外工程作为系统防护重点, 高度重视安全防火墙技术,并没有对内部防护工程的重要性形成正确的认知。安全防火墙只能提高企业网络工程的对外防护质量,对内部防护毫无作用,如果使用企业内的计算机攻击网络工程的局部区域,网络工程的局部区域将会受到严重破坏。现阶段, 内部攻击行为也被列为企业网络安全建设的主要障碍性因素之一,因此,企业领导者要高度重视内部防护工程建设,只有这样, 才能确保企业网络化工程实现安全建设。根据相关调查资料显示,现阶段,我国企业网络所遭受的安全攻击中,内部网络攻击在中发生事件中占据着非常大的比例,企业内部人员对于网络安全没有形成良好的防范意识、网络结构被无意泄漏、IP地址随意更改、乱用敏感数据等都会对企业网络系统内部防护工程造成巨大威胁。

2企业实现网络安全建设的具体措施

2.1完善网络安全体系

企业内部人员在构建网络化工程前,要深入了解网络信息的安全情况,对网络信息的需求进行准确把握,具体分析企业内部人员的使用情况以及非法攻击情况,继而采取科学合理的措施, 开展具有针对性的信息安全管理工作,这样可以为网络安全建设提供基础保障。企业网络化工程安全性受到影响主要体现在两方面,分别是外部入侵、内部使用。内部使用是指企业内部工作人员没有遵照相关规范标准进行网络操作、信息安全防护意识存在缺失等,致使企业内部信息出现泄漏等现象;外部入侵是指网络木马、黑客攻击以及网络病毒等。这两种方式都会对企业网络安全建设造成巨大的不良影响,会致使企业信息丢失,危害企业的生存与发展,因此,企业内部人员应根据企业网络化工程的实际使用情况,构建相应的安全体系,企业领导者还要针对工作人员的行为进行标准规范,避免工作人员在实际网络应用中,出现违规操作行为,提高企业内部人员的安全防护意识,并构建软硬件防护体系,可以有效抵抗外部入侵,从而保障企业网络信息的安全。

2.2构建网络安全系统

现阶段,企业在网络化工程建设过程中,主要采取两种防护方式构建安全系统,分别是软件防护、硬件防护。面对现阶段科学技术发展对网络安全建设提出的要求,企业内部人员在构建网络安全系统时,应该将软件防护与硬件防护进行有效结合,只有这样,才能确保企业网络工程系统实现安全化建设,提高网络信息的安全性,促使网络化工程的服务功能得以全面发挥。随着企业规模的不断扩大,企业内部人员要想全面提升企业的网络化工程的防护能力,还要对网络硬件的使用情况进行深入分析,继而才能对防火墙服务器标准进行选择,这样可以有效提升服务器的可行性。企业内部人员要想构建良好的网络安全系统,首先要对系统硬件设备进行深入调查,确定系统设备类型,准确把握企业内部人员的实际使用需求,继而再对防火墙类型进行选择。

2.3对网络安全设置进行有效强化

首先,企业内部人员要对企业网络系统进行充分了解,准确把握其与互联网之间的接入方式,然后选择适宜的软件设备以及防火墙设备,这样可以促使互联网与企业网络化工程之间实现安全接入,有效提升企业网络工程的防护能力。对于企业原有的防火墙,不应进行拆除,应该在其基础上构建入侵检测系统,这样可以对企业内部网络工程的运行状况进行实时检测,如果有突发情况,可以进行及时反映,这样不仅可以为企业内部人员的工作提供很大的便捷性,还能为企业网络信息安全建设提供技术保障。为了实现移动办公,企业内部人员可以构建一种加密系统, 例如,VPN加密系统,利用该系统,企业内部人员可以通过互联网对企业内网进行访问,而不必担心出现信息泄露等情况,可以有效提升企业网络安全的防护功效。

3结语

企业网络安全建设直接影响着企业的信息化管理工作进程、 信息安全性以及工作传达程度,对企业的生存与发展有着至关重要的作用。因此,企业内部人员必须对网络完全建设给予高度重视,只有确保网络化工程实现安全建设,才能促使企业实现持续发展。

参考文献

[1]景怀民,陈高辉,秦博,李世红,高省库.层次化网络安全建设[J].微处理机,2011.

[2]潘惠勇,杨要科.企业网络安全建设的探析[J].黑龙江科技信息,2011.

[3]辛钢.当前企业网络安全问题和策略研究[J].中国传媒科技,2011.

企业内网信息安全管理 篇4

对网络的滥用会带来成本的增加、效益的流失。据中科院调查显示:如果员工的月薪是4000元, 每天工作时间为8小时, 而他每天拿出1小时进行“网事”, 那这个员工每月就给企业带来500元【4000× (1/8) 】的损失, 每年就是6000元【500×12】;而对于员工在500人左右的企业, 一年中因为网络滥用而带来的损失将高达300万元!细算, 惊人。

上述是看得到的成本, 并不包括带来的无形效益损失, 如造成管理效率的下降, 团队精神的影响, 如纪律松散、组织效率低下、文化萧条等。员工“沉溺网络”的问题可能会出现“过分依赖网络”症状, 出现孤独不安、情绪低落、思维迟钝、创造性降低等症状, 严重者甚至有自杀倾向, 影响企业形象, 这些都是值得企业关注的问题。

另外, 员工不规范的网络行为例如为了方便在家工作调用办公室电脑的资料, 开启办公室电脑的远程控制功能。或利用无线网卡等设备进行违规拨号上网, 这种行为给企业带来严重的网络安全稳患, 如受到病毒、黑客攻击, 导致内部网络瘫痪, 甚至导致数据文件损坏、机密丢失和泄露。

对于现代企业而言, 网络无疑是一把棘手的双刃剑。如何改变员工滥用网络的局面, 不规范使用网络的行为, 如何对员工上网行为进行有效的管理, 都是企业面对的新问题。

策略一:制定有效的上网管理制度

上网管理制度建设的滞后, 是员工沉迷网络的重要原因。应对员工非工作上网行为进行明确的界定, 制定管理条例, 做到有章可依、有令可处, 并加以宣传教育, 引导员工规范使用网络, 增强安全意识, 避免无意的泄露公司信息的行为, 从制度上有效地减少员工非工作上网行为。

日本本田公司为了应对员工沉迷网事, 制定了明确条文, 如网上该做什么、不该做什么, 让员工有心理准备, 从而避免进一步激化劳工矛盾。

策略二:设置专门上网的电脑

对于大部分员工工作不需要上网的企业来说, 设置若干上网的电脑, 以给有要事急需上网的员工使用, 同时限定上网的时段。这些电脑应装有定时更新的杀毒软件, 保护整个局域网安全。员工在上网时, 最好有网络管理员进行监督, 并设置网络监控管理软件。

策略三:合理安排上网时间

企业可制定网络使用作息时间, 将上网时段分为上班和下班两个时段, 将网络资源分段开放。在上班时间内, 根据不同的部门开放工作允许的资源, 在关业务高峰时段, 限制部分员工上网或禁止使用某些网络;下班时间内, 给员工1～2小时上网时间, 让其在紧张的工作之余调解紧绷的神经, 保持员工活力。

策略四:因人而设上网权限

为防止网络滥用、保护企业机密, 对不同岗位设置不同权限。如市场部人员只允许通过公司邮件服务器收发Email, 所有邮件内容和附件要被记录;商务部门允许在任何时段上QQ、MSN, 并收发Email, 但所有日志及内容将被记录;研发人员允许上技术网站, 并禁止使用QQ、MSN;部门经理以上中层干部, 则允许拥有所有权限。

策略五:自动跟踪的安全策略

自动执行实时跟踪的安全策略是有效实现网络安全的关键。借助先进的互联网上网行为管理系统软件【网管软件】和设备。主要是安装在服务器端或是互联网络进出口处, 对整个网络的各种活动进行网络监控, 主要包括email、上传下载、网页浏览、QQ/MSN即时通信、网络游戏、P2P行为、流媒体软件等, 以规范普通员工、管理人员、公司领导等的网络权限。 (可参考目前最专业全面的:ANYVIEW (网络警) 网络监控软件) 。并且要求网络管理人员花时间审阅安全记录, 这样可以有效查出危害网络安全的行为。

策略六:建立准许进入和外出的地址过滤政策

可以使用静态路由器来实现:指定相应的IP地址对内网的路由。封锁入网胡192.168.X.X、172.16.X.X和10.X.X.X等地址。拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过, 包括回送地址127.0.0.1或者E类地址段240.0.0.0-254.255.255.255.

策略七:终端设备端口的管理

对于高度安全的网络来说, 特别是在存储或者保持秘密数据的时候, 移动设备 (包括笔记本电脑、移动硬盘等) 和增设的设备通常要求经过允许才可以过滤。在这种规定下, 除了网络功能的需要, 所有的端口包括U口都有必要封锁。例如, 用于WEB通信的端口80和用于SMTP的110、25允许来自指定地址的访问, 而其它端口都可以关闭。禁止员工使用无线网卡上网, 因为这种接入方式极有可能使的黑客绕过防火墙在企业毫不知情的情况下进入内部网络, 而造成敏感数据的丢失和病毒的传播。

策略八:修改默认口令

据国外调查显示, 80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的默认口令列表, 你可以肯定在某些地方的某个人会知道你的生日。虽然网络上有突破密码的软件, 但一个复杂的口令可以使你有时间觉察黑客的非法入侵。

策略九:优化激励分配体系

员工行为中一个重大的内部动力就是追求自身利益的最大化, 当员工认为上班的正当收益低于社会平均水平, 甚至低于非工作上网所获得的收益时, 这种行为就愈发严重;反之, 则减少。因此要扭转这种局面, 重点就是优化单位的激励分配体系。要从薪酬制定依据、薪酬水平、奖金形式等方面进行最优设计, 体现“按能取酬、多劳多得”的原则。

策略十:对岗位进行再设计

员工上班过于闲暇, 工作密度、强度不大时, 就会滋生更多的非工作上网行为, 因此就必须对工作流程再优化、岗位再设计, 适度加强员工工作强度, 提高员工工作责任心。

策略十一:开展心理辅导, 积极建立娱乐活动室, 针对员工沉迷网络出现的心理问题, 企业有必要加强心理辅导, 建立心理交流机制, 处理好员工的消极情绪, 调解其的心态, 让其树立健康心智模式, 全身心投入工作中。目前, 在世界500强中有80%的企业为员工提供了心理援助计划 (EAP) 。

建立娱乐活动室, 以积极向上的体育活动代替网络娱乐, 举行形式多样、喜闻乐见的文化娱乐活动, 增强员工对公司的信任, 增强员工之间交流, 和谐企业气氛, 达到员工和企业的双赢。因此, 加强企业文化建设, 也是一种低成本减少非工作上网行为的重要“软管理”招式。

综上所述, 企业的内网管理在某种意义上是将终端管理、网络管理和应用监管配以积极向上的企业文化共同完成的全面的管理, 企业的网管要在细节关注网络的运行, 时刻关注网络的安全。

参考文献

[1]《企业网络安全》萧文龙编著.出版社:中国铁道出版社

企业内网安全防范设计方案 篇5

由于目前计算机信息技术的发展和经济全球化水平的快速进行, 信息全球化越来越成为现在社会发展的重点。但是在网络进步的同时, 网络环境的安全性所面临的威胁和攻击也不断的增多, 原本传统的预防网络不安全的基本措施已经不能很好的维护如今的网络系统安全, 这使现代的网络安全面临很大的挑战。为了迎合时代的进步发展, 目前大多数的企业都顺应时代的要求, 做出了自己企业的网络系统, 在各个企业的网络系统中都存放和记录着许多的内部不可泄露的信息资料, 因此, 在正常的传输运送中如果不能有效的保护网络的传输安全, 就会很容易被不法分子窃取和盗用重要信息, 给企业带来许多不必要的麻烦和损害, 所以, 有效的保护网络的传输安全成为现阶段网络正常运行中不可缺少的一部分, 我们要正视维护网络系统安全的重要性, 对相关的传输系统、软件和数据进行安全防护, 让它能够安全可靠的运营下去。

1 企业网络安全现状

由于目前计算机信息技术的发展和经济全球化水平的快速进行, 信息全球化越来越成为现在社会发展的重点。在最近几年的发展中, 我国大多的企业内部的网络系统逐渐趋向于信息和资源的共同传递方面。现代企业网络的快速发展为企业的正常工作带来了诸多便利和优点, 还有, 在目前计算机信息技术的发展和经济全球化水平的快速进行的同时, 网络环境的安全性所面临的威胁和攻击也不断的增多。相对于企业来说的话, 如何在更好地利用网络系统的优点的同时, 也可以在最大程度上对本企业的核心系统做到更好的保护, 目前成为了大多数企业自身所面临的主要困难。

一般情况下, 一旦企业内部网络受到或大或小的安全性的冲击, 一般来讲都是因为企业外部人员或者企业内部人员的故意、恶意攻击和入侵等造成的。企业外部人员一般会植入各种病毒而达到获取企业内部的机密资料与信息的目的, 这样就可以获得一定的报酬。如果对于企业的内部人员来说, 在开始对网络攻击时, 轻易地就可以利用网络中的小小漏洞或是其软件漏洞对企业的网络进行破坏。另外的话, 还存在另一些方法, 比如通过使用假身份访问或者冒充企业网络的普通员工用户等方法就可以进行破坏企业网络系统的安全性, 进一步对其系统的正常运行达到威胁, 就可以来阻止企业网络系统的日常运营。

2 企业网络安全需求

2.1 办公网设备实体安全需求

企业办公中平时用的网内的专用设备就是路由器、交换机和接入设备。这些平时要用的机器设备在安全和日常的管理应用上还有着很大的问题。在比较特殊的时候, 一旦这些设备发生各种的问题, 企业就会因为设备问题受到十分严重的打击。在日常正常的工作情况中, 企业办公中使用的内网的核心交换和服务器在同一机房中, 一般来说大多数企业使用的后备电池的能够储存的电量较小, 如果突然发生长时间停电的情况, 相关的机器设备和电脑就会立即停止工作。另外的话, 一般的企业在对机器设备存放的机房还没有一定的管理措施, 机房的进出不会有详细的记录, 例如对设备房间的进出还没有人员方面的具体规定, 交换机的使用规则也没有详细规定, 对于配置交换机的重要地点还没有在不使用的情况下进行严格的控制措施等等。这些的比较人为方面的安全问题随时都可能使企业的网络出现问题, 然后开始影响企业的正常的日常工作内容, 最坏的时候还会导致相关服务器的数据丢失或直接损坏, 然后给企业带来极大的危害。

2.2 个人办公电脑系统安全需求

在正常情况下, 企业中的重要的各种核心内容都会存放在各个员工的日常公用的电脑当中, 这样的话可以很好地便于日常工作的进行, 可以在很大程度上为工作带来便利条件。不过同时, 这也给企业的安全运行带来了极大的考验。正常情况下如果员工的个人电脑被黑掉或者遭受攻击, 就会很容易使企业中的核心内容被窃取, 让企业本身处于被动的地位, 最近很受推广的移动的办公方式一不留神就会发生这种不好的状况。在这种挑战下, 对于企业存放有内部信息的电脑就要被引起重视才对, 对于电脑进行合理的管理, 做到切实的保护, 这样就可以在一定程度上为企业正常运营带来帮助。另外一部分, 针对员工的个人电脑, 应该设置自己的密码, 这样就能够在一定程度上避免公司内部不良用心的人来盗取企业的重要核心的内容。

2.3 病毒防护需求

由于目前计算机信息技术的发展和经济全球化水平的快速进行, 信息全球化越来越成为现在社会发展的重点, 因此, 同类别的关于计算机的病毒技术也在不断快速进行, 病毒的可怕程度也开始不断提高。所以, 想要在一定程度上减少病毒对系统带来的伤害, 就要特别对企业中的计算机、各种重要用途的计算机装上可靠的杀毒系统, 保证系统的正常运行。还要对计算机和企业内部网络开展一定程度的的病毒安全防护, 这样就可以确保企业或者整个网络业务数据的安全完整性, 防止它受到病毒的攻击, 使企业能够更好地进行正常的工作。所以, 我们必须要定期定时的对安全系统进行更新检测, 保证其能够正常的工作。另外还要加强管理相关员工对计算机进行防病毒的管理工作的意识上的培训, 更好的保护企业的网络系统。

3 企业网络安全解决方案

3.1 物理安全

设备安全:

在中心机房和关键节点建立安全防护措施, 建立准入机制, 在机房进出口处设置门禁系统, 有效控制确保非授权人员无法进入。

机房建设要符合GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。

3.2 网络安全

在企业内网中合理划分VLAN, 并分配不同的权限, 有效隔离保密的部门 (例如财务、研发部门) 网段, 保证数据与信息的安全。

为了要有效的保障企业网络系统的安全, 边界防火墙可以很好的做到保障企业网络系统的安全性作用。边界防火墙一般存在于网络核心交换与边界路由器之间。边界防火墙的一般情况下会给企业的内部网络与外部网络之间带来一道比较安全的隔阂, 在防火墙设置以后, 防火墙会对于进入系统内部的一切东西进行过滤和审查, 在符合一定的条件后才会被允许进入系统的内部。企业中使用边界防火墙可以有效地保证企业网络系统的安全性, 同时还可以对外部信息进行监控, 对不合法的请求直接做到拒绝。

3.3 漏洞扫描

企业内部网路是一个相对于比较安全和合理的系统, 在使用过程中按照正确的方式就可以更好的保证企业系统的安全。开启企业内部网络的漏洞扫描系统, 就可以做到对网络中存在的各种问题进行及时的修复和弥补。

4 结语

想要企业在发展中更好的提升其市场竞争力, 就要在一定程度上保证企业网络的绝对的安全。如不定期地对其进行检测管理, 就可以更好地监管企业网络系统, 控制其多方面的安全性。

参考文献

[1]袁国强.企业网络安全整体解决方案的研究与应用[D].大连理工大学, 2003.

[2]高辰.基础电信企业的网络安全防护和风险评估方案设计与实施[D].北京邮电大学, 2012.

[3]孔祥.县级供电企业信息网络安全方案的设计与应用[D].中国海洋大学, 2011.

[4]沈庆刚.网络安全技术与企业网络安全解决方案研究[A].旭日华夏 (北京) 国际科学技术研究院.首届国际信息化建设学术研讨会论文集 (三) [C].旭日华夏 (北京) 国际科学技术研究院, 2016.

云安全两方面保障企业内网安全 篇6

内网安全呈现两大需求

对于目前企业用户安全需求情况, 杨嗣坤表示, 主要包括传统安全隐患和虚拟化等新技术带来的安全需求。

传统需求方面, 以广东省邮政公司的情况为例, 趋势科技通过与该公司安全专员进行了深入的沟通, 了解到目前其安全威胁主要为三点。一是U盘, U盘等移动外设是广东邮政内网病毒交叉感染的主要通道, 大量的用户把U盘作为办公网、OA网以及家庭PC的数据媒体, 病毒会通过这个途径进行扩散。二是OA应用平台, 邮政OA系统与Internet相连, 受到来自互联网以HTTP、FTP等数据流为载体的潜在病毒的威胁以及使用者的疏忽带来的病毒感染。三是生产网, 生产网中的WINDOWS平台是传播病毒的隐患。

在新技术应用带来隐患方面, 目前有很多客户在应用虚拟化、云计算技术, 服务器虚拟化很有用, 但其对应的防护体系还没有完全建立起来, 这是一个很大隐患。“尤其是在北美等市场, 虚拟化系统安全需求非常显著。而国内在近几年内对该安全系统的需求也不断增加。”杨嗣坤表示。

云安全方案“双管”齐下

针对如何应对企业安全需求变化, 杨嗣坤介绍说, 趋势科技历时2年半、斥资3亿美金研发的“云安全”智能网络防护方案 (Web防病毒网关IWSA+全网终端防护Officescan) 能做到内网与外网防御双管齐下, 从技术、服务、流程方面多层次提供全面的安全保障。

杨嗣坤介绍, 以广东省邮政安全需求为例, 趋势科技在用户网络的Internet出口部署第一道防线:趋势科技Web安全网关—IWSA。通过在IWSA上启用Web信誉评估技术 (WRT) , 该系统拦截了大量由内部用户发起的对可疑高风险URL的访问, 降低了内网OfficeScan客户端的防毒压力。

对于用户担心的U盘病毒扩散, 该系统通过在全网终端部署Officescan来进行防护。Officescan具备独特的U盘病毒自动播放拦截功能, 能够在U盘接入电脑时, 对包含在U盘中能够自动注入内存的病毒进行清除, 有效提高了广东省邮政对U盘病毒的控制。

企业内网安全建设 篇7

近年来, 许多企业内网数据信息泄露事件频繁出现, 这预示企业内容数据信息泄露防御工作存在严重的缺陷。并且随着各种新型技术、热门应用的应用, 增加了对企业内网的攻击频率和针对性, 造成大量的数据信息泄露, 这对于企业的健康、稳定以及长足发展是非常不利的。十八大之后, 信息安全作为重大战略, 上升到国家高度, 加强并构筑企业信息防御能力显得更为重要和迫切。因此, 文章针对信息泄露防御模型在企业内网安全中应用的研究具有一定的现实意义。

2 企业内网安全现状分析

目前, 黑客间谍、木马等在不停的给企业内网制造安全麻烦, 并且利用各种新型技术、热门应用等, 增加了对企业内网的攻击频率, 并且攻击目标越来越具有针对性, 盗取了企业内网中的众多重要数据信息, 给企业内网安全埋下严重的隐患。同时, 对企业内网数据信息泄露事件进行分析, 影响企业内网信息安全的因素, 不仅仅是黑客间谍、木马的攻击, 还有一部分是由于企业并没有创建科学、有效的信息防御模型, 再加上企业内网安全维护人员自身疏忽、操作不当或者其他原因可能引发内网数据信息的泄露。正是由于上述众多原因, 并且企业在运行的过程中的业务流程以及数据信息量的不断的增多, 加上泄露防御系统、员工失误等导致的信息泄露事件逐渐的增多, 因此亟待采取有效的措施进行安全控制和处理。目前, 企业针对内网信息泄露的防御措施包括以下几个方面:禁止使用打印机、光驱、软驱等;禁止使用可移动储存器;禁止使用网络连接等, 上述“人治”的方式虽然组织了敏感信息进入到企业内网, 但是却降低了系统的可用性, 实用性不强。

3 信息泄露防御模型在企业内网安全中的应用分析

3.1 信息泄漏防御模型原理

本文提出了基于密码隔离的信息泄露防御模型, 利用密码以及访问控制的方式, 在企业内网中创建一个虚拟涉密网, 以此解决企业内网敏感信息泄露的问题。文章给出一个科学的秘钥管理协议, 结合对称加密算法, 赋予了该信息泄露防御模型一人加密指定多人解密的功能, 即企业中的任何用户对敏感信息进行加密后, 能够指定一个或者多个解密者, 以此控制敏感信息的传播途径与范围。该信息泄露防御模型在企业内网安全中应用的最大特点在于拥有者与使用者不分离, 例如, 企业内部人员在不改变终端的前提下, 同时不影响其任何权限, 具有访问终端上的所有客体的权限, 这样很容易导致企业内网的敏感信息外泄, 但是这样必须控制用户的行为, 因此, 文章提出的基于密码隔离的信息泄露防御模型, 将系统的主体、客体进行分级, 即低安全级与高安全级, 其中高安全级储存以及传递的信息需要受到保护, 不能泄露到企业外部。因此, 该模型的核心思想表现为:当模型判断信息为敏感信息时, 将信息的安全等级提升为高安全级, 如果高安全级的信息被传递至外部网络或者设备时, 会对信息进行加密, 然后将敏感信息相对应的数据文件标记成高安全级, 在应用环境中形成一个密码隔离的虚拟网络, 在该虚拟网络中敏感信息以密文的形式存在, 即使黑客或者恶意用户将信息通过移动储存器、网络等传递到企业外部, 但是得不到相应的解密密钥, 也不会导致企业信息被泄露。

3.2 CIBSM模型的应用

近年来, 企业内网信息系统规模不断的扩大, 覆盖范围越来越广, 因此信息系统的组成也逐渐的向复杂化方向发展, 威胁信息系统安全的因素不断的增多, 如果仅仅提出保证企业内网信息安全的理论, 并不能够保证企业内网信息安全, 还需要给出科学、合理、可行的实施方法, 基于此创建了OM/AM框架, 即O-objective (目标) 、M-model (模型) 、A-architecture (架构) 、M-mechanism (机制) , 该架构实现了“做什么”到“怎样做”的转变, 即将CIBSM模型从理论到实践, 从工程上给出可行的实施方法, 有效的解决了企业内网信息外泄的隐患。CIBSM模型的工程实现采用安全内核方式, 通过控制文件读写以及进程的方式防止信息泄露, 在实际应用的过程中应该注意以下两个方面:

3.2.1 密钥管理协议方面

密钥管理机制在一定程度上决定了CIBSM模型的实用性以及安全性, 因此密钥管理机制应该保证企业内网的所有合法终端都能够对敏感信息进行加密, 并且在企业的应用环境中对加密的敏感信息进行解密, 并且保证非法终端部能够解密加密的敏感信息。同时, 还应该保证解密秘钥的透明性, 防止用户将密钥带到企业外部环境。基于此, CIBSM模型采用基于身份的密钥管理机制, 便于实现企业内网信息的安全传递与储存。

3.2.2 可信终端引入方面

通过引入可信终端, 能够实现对敏感信息的降级处理, 实现对企业内部敏感信息的正确管理, 并且所有的敏感信息都需要经过可信终端的降级处理, 即用户需要将敏感信息通过外部储存装置或者打印带至企业应用环境以外时, 可信终端会对所有的敏感信息进行降级处理, 以此保证企业内网敏感信息的安全性。可信终端的引入, 在不降低系统可用性的基础上, 提高了企业内网敏感信息的安全性。

4 结束语

总而言之, 企业必须加强内网信息安全防护, 信息泄露防御模型在企业内网安全中的应用, 在不影响系统可用性的基础上, 控制敏感信息的传播范围, 以此保证企业内网信息安全, 由此可见信息泄露防御模型的重要作用。

摘要：文章分析了企业内网安全现状, 提出了基于密码隔离的信息泄露防御模型, 该模型在不影响用户使用的基础上, 保证敏感信息不被无意或者有意的泄露, 用于解决企业敏感信息泄露问题, 以此保证企业内网安全。

关键词：信息泄露防御模型,企业内网安全,应用

参考文献

[1]似飞雪.加强防护让内网远离数据泄露[J].个人电脑, 2012, (5) :101-102.

企业内网安全建设 篇8

关键词：计算机网络,打印系统,网络打印

0 引言

随着企业局域网的发展, 实现了计算机联网, 达成信息共享、资源共享和提高企业管理水平, 这时原有的打印管理模式也不断地发展, 需要对局域网内的打印安全管理工作进行规划与建设。

1 局域网打印管理历程分析

1.1 共享连接方式

该种方式下, 网络上的共享打印机以本地安装方式通过普通并行接口 (或串行接口) 连接在网络上的一台计算机上, 这台计算机与其它计算机一样连接在大家共同使用的网络上面, 连接打印机的计算机或工作站将所连接的打印机设置成共享设备, 供网络上的其他计算机使用。其它计算机上的打印命令和打印任务传输到这台与打印机相连的计算机上, 由该计算机处理打印命令和打印任务, 然后通过连接的打印机将大家的打印任务打印出来。这样, 这台计算机事实上就起到了打印服务器的作用了。

1.2 外置打印服务器连接方式

外置打印服务器连接方式是通过打印机的主板提供的并口或者USB接口的连接方式, 通过一些厂商提供的一种硬件, 这种硬件的一端插在打印机提供的并口或者USB接口上, 另一端上有一个网络接口。这样这台打印机同样也能够一个单独的网络设备直接连接在网络环境上了。这种硬件常常被称作为外置打印服务器。

需要注意的是, 这种外置打印服务器和主机相连时, 其工作形式和主机打印服务器工作形式并不相同, 该种形式下, 与打印服务器相连的电脑主机无任何打印工作负担。

1.3 内置网卡打印服务器连接方式

该种方式相当于在打印机内置一个打印服务器, 这样就不需要单独闲置一台电脑用做打印服务器。这些打印机上常常会直接安装一块网络接口卡, 这块网络接口卡直接插在打印机的主板上, 在网络接口卡上提供一个网络接口。通过一根普通的网线可以将打印机的网络接口与办公环境网络接口直接连接上, 这样这台打印机就以一个单独的网络设备直接连接在网络环境上了。这台打印机的地位与该网络环境上的计算机是相同的。这块网络接口卡就是一个打印服务器。

在使用内置打印服务器的时候, 一些打印机上有操作面板可以为打印机设置IP地址。同时也可以采取另外一种方式, 在网络环境中的一台计算机上安装网络打印软件, 通过该软件在这台计算机上为打印机设置IP地址。

该连接方式的特点是:

(1) 适合各种规模的网络环境, 构成灵活简便, 适合现代网络系统布线。

(2) 使用性能较高、扩展能力和工作负荷能力较强的激光打印设备。

(3) 打印系统成本主要取决于打印机的配置, 庞大的扩充部件库价值可能不低于打印机本身。

(4) 网络功能极强、工作效率很高、安全管理完善、设备可靠性较高。

(5) 可以同时跨接两个以上不同协议、不同操作系统的网络。

2 局域网打印管理趋势分析

纵观网络打印的发展历程, 不难发现共享打印和网络打印之间的前后继承性, 和相互包容的范畴性, 具体来讲, 网络打印仍然是共享打印, 只不过这样的共享打印已经远非昨日的共享打印所能比拟的。事实上利用PC实现共享打印是网络打印的最原始方式, 实际上并不是真正意义上的网络打印。

现代的网络打印不是传统意义上的局域打印, 打印机已不在是一个外设, 而作为网络上的一个节点存在, 能够以网络的速度实现高速打印输出。而共享打印则是一种低端的网络打印, 打印机处于PC外设的地位, 主要通过PC服务器或者共享服务器实现简单的网络连接, 但是数据传输仍然必须通过打印机的并口来进行, 因此速度很低。在打印效率方面, 它们实际上是有本质区别的。

网络打印与共享打印最大的不同是它具有管理性, 易用性和高可靠性, 其中最核心的是可管理性, 管理软件已经与打印服务器并列为其两个核心部件。网络打印管理软件可提供卓越的管理性, 极大地减少了管理人员用于处理网络中打印相关问题的时间。现在的网络打印已经可以满足用户日益增加的需求, 也已具备很多传统共享打印所没有的优势, 它在提高设备使用效率、打印速度和质量、提供个性化的打印满足以及降低整体拥有成本方面的一系列优势, 也逐渐为用户所认识, 随着信息化的进一步推进, 无论是个人企业, 还是行业用户对网络打印需求的增加, 用户选择网络打印势在必行。

3 企业局域网内网络打印安全管理方案

实践证明, 完整有效的局域网内网络打印安全管理方案包括软件、硬件和管理三个方面内容。网络打印安全管理方案仅仅依靠技术是有其局限性, 根据经验, 管理性要求甚至比网络打印能力显得更为重要, 如果不能做到全网打印的统一管理, 再强的软件也不能发挥应有作用。

3.1 严格的权限控制

权限控制策略也称安全策略, 是用来控制和管理主体对客体访问的一系列规则, 它反映网络打印管理对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则集三者之间的关系展开的, 在安全打印管理策略的制定和实施中, 要遵循下列原则:

最小特权原则:最小特权原则是指主体执行操作时, 按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体实施授权行为, 可以避免来自突发事件、错误和未授权使用主体的危险。

最小泄露原则:最小泄露原则是指主体执行网络打印任务时, 按照主体所需要知道的信息最小化的原则分配给主体权力。

多级安全策略:多级安全策略是指主体和客体间的网络打印数据流向和权限控制按照安全级别的绝密、机密、秘密、内部和非秘密五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源, 只有安全级别比他高的主体才能够访问然后进行打印。

3.2 数据加密管理

对数据进行加密, 是解决泄密的最好方法, 数据加密要求只有在指定的用户或网络下, 才能解除密码而获得原来的数据, 在未知网络或者未授权用户使用的情况下, 数据显示为密文。加密技术, 能在源头上保护数据。

按照作用的不同, 数据加密技术可以分为数据传输加密、数据存储加密、数据完整性加密管理等。数据传输加密是对传输中的数据流进行加密, 常用的方法有链路加密、节点加密和端到端加密三种。数据存储加密, 是为了防止在存储环节中造成信息泄露, 分为密文存储和存取控制两种。数据完整性鉴别技术是对接入信息的传送、存取、处理的人的身份和相关数据内容进行验证, 达到保密的要求。

链路加密, 对于在两个网络节点的某一次通信链路, 链路加密能为网上传输的数据提供安全保证, 所有的信息均以密文形式出现, 掩盖了被传输消息的源点和终点, 从而防止了对通信业务的分析。但是链路加密通常在点对点的同步或异步线路上, 要求先对在链路两端的加密设备进行同步, 然后使用一种链模式对链路上传输的数据进行加密, 这给网络的性能和可管理性带来了副作用。

节点加密, 同链路加密操作方式类似, 均在通信链路上为传输的消息提供安全性, 这种方法对于防止攻击者分析通信业务是脆弱的, 同样也会给网络性能带来不良影响。

端到端的加密, 允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密 (又称脱线加密或包加密) , 消息在被传输到达终点之前不进行解密, 因为消息在整个传输过程中均受到保护, 所以即使有节点被损坏也不会使消息泄露, 端到端的加密系统成本较低, 并且与链路加密和节点加密相比更加可靠, 更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题, 因为每个数据包均是独立加密的, 所以一个报文包所发生的传输错误不会影响后续的报文包。此外, 从用户对安全需求的直觉上讲, 端到端加密更自然些。

从上述分析可以看出, 采用链路加密或者节点加密, 整个数据包都采用密文形式进行传输, 这样会造成网络结构的改变或网络性能的降低, 并且成本太高。

由于网络打印安全系统工作在局域网中, 采用集线器将用户PC和网络打印机进行连接, 不涉及中间节点, 按照不对网络结构做较大改动的要求, 采用端到端的加密技术最为合适。在不改变网络打印机传输网络数据协议的基础上, 只对数据包内容进行加密, 网络数据包以密文的形式在线路上进行传输, 在网络打印机的前端配置解密平台对数据包进行解密。

3.3 安全审计

审计是对访问控制的必要补充, 是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用 (执行何种操作) 进行记录与监控。日志用于全程记录系统所有操作, 便于分析判断违规行为。日志分为打印任务日志、回收任务日志和系统日志。

打印任务日志对于打印任务从发起到输出至打印机前的各个事件和状态变化进行完整记录, 可追溯打印过程中发生的打印任务提出、审批、进入打印队列、打印输出等环节的关键信息。

回收任务日志记录了回收任务各环节的关键信息。日志记录了回收任务从发起请求至监督确认的各个环节的关键信息。主要记录了文档编号、文件名称、打印人、密级、文件用途、审批人、监销人、操作类型、操作结果、操作时间、打印机名、打印内容、任务状态、回收份数、回收销毁页数、已回收份数、申请回收份数、申请回收页数等信息。

系统日志中详细记录了所有类型用户除查询外的所有操作日志, 可以通过选择开始时间以及结束时间来检索要查看的系统日志。系统日志记录了操作人、事件类型、操作时间、操作结果。

对于打印来说, 打印内容也是日志的一部分, 但是其占用空间相对较大, 管理员可以根据需要设置自动删除的策略, 或者手动删除, 为新的打印任务腾出空间。

3.4 打印机隔离

随着网络打印机技术的发展, 现在的网络打印机通过内置打印服务器, 使用独立的网络接口卡, 拥有自己的IP地址, 使用的网络协议也是多种多样, 有些高端网络打印机甚至内置操作系统、存储设备和IP协议栈。

从网络角度来看, 网络打印机作为网络中的一个独立节点, 不需要依附于网络中的任何一台电脑主机, 通过自身携带的网络端口和网络连接, 网络中的任何一台主机只要和该打印机在同一个局域网中, 都可以访问到该网络打印机, 并且任何一台主机的开/关都不影响网络打印机的正常使用。网络打印机己经从一个哑终端变成了一个独立的同普通PC一样的网络设备, 但是由于网络打印机其自身的特殊性, 不能像普通PC一样通过安装软件来抵抗网络攻击, 这就给网络打印机的安全造成很大的威胁, 所以要针对网络打印机自身的特点寻求增强其抗攻击能力的方法。

从目前情况来看, 网络打印机主要存在两方面的漏洞:第一, 内置的FTP服务器不限制FTP PORT命令的使用, 利用该漏洞, 黑客可以通过FTP服务器任意连接系统;第二, 内置的HTTP服务器不能正确验证特定HTTP请求, 这样黑客就可以任意更改系统配置, 或发动Do S攻击。

鉴于网络打印机自身存在的安全漏洞及其特殊性, 本文提出采用防火墙技术增强网络打印机的安全性能, 由于无法在其自身系统上安装防火墙软件以增强其自身安全性, 可以通过在网络打印机前端安装一个嵌入式防火墙系统来解决这个问题。根据网络打印机所处的环境, 采用两级过滤模式在两个不同的过滤点进行网络数据包的过滤, 第一级在内核下采用内核模块过滤的方式过滤发往网络打印机的数据包, 第二级在用户层采用IPtables规则进行过滤, 控制网络上主机对网络打印机的访问, 同时也限制了打印机对局域网的嗅探, 从而增强网络打印机的抗攻击能力。

3.5 建立完善管理制度

要做好企业数据安全保护工作, 除实施以上技术手段外, 应结合企业所处行业及企业自身的特点, 制定一套完善的数据安全管理制度。流程化、规范化安全打印的相关工作。比如:在员工入职时需签订保密协议, 确保员工保护好公司数据安全义务, 如果发生丢失、外泄, 应以窃取公司机密而做出处理, 让员工明白他们应承担怎样的后果。应建立起文件打印的审批制度, 明确责任人及其应负的相应职责;应建立起涉密文件回收制度, 定期进行涉密文件回收销毁工作。

4 总结

通过以上措施, 可以有效地保证企业网络安全打印管理, 封堵打印输出泄露、遗失的途径, 并通过审计证据迅速定位事故源头, 从事前、事中、事后三个层面保障网络打印安全。

参考文献

[1]李华来, 刘载文, 许继平, 等.基于HOOK技术的本地打印监控系统开发, 计算机工程与设计, 2011, 32 (1) :374-377.

[2]黎伶锋, 郝东白, 张诚, 等.打印监控审计技术研究, 计算机工程与设计, 2009, 30 (2) :484-486.

[3]赵志强, 张雁.高校图书馆电子阅览室网络打印解决方案图书馆学研究, 2009 (4) :50-53