企業(yè)網絡安全設計以及保護的知識有哪些

　　最近有網友想了解下企業(yè)網絡安全的設計以及保護,所以學習啦小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!

　　企業(yè)網絡安全設計

　　計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,并嚴重影響正常工作的順利開展。加強企業(yè)網絡安全工作,是一些企業(yè)建設工作的重要工作內容之一。本文主要分析了企業(yè)的網絡結構和一些基本的安全情況,包括系統安全的需求分析、概要設計,防火墻應用等,重點針對企業(yè)網絡中出現的網絡安全問題,作了個介紹。對有關安全問題方面模塊的劃分,解決的方案與具體實現等部分.

　　一、網絡威脅、風險分析

　　隨著通訊技術和計算機技術的飛速發(fā)展,網絡正逐步成為當今社會發(fā)展的一個主題,其改變著人們的工作方式和生活方式。網絡的互連性,開放性,共享性程度的擴大,然而網絡的重要性和對社會的影響也越來越大主要是Internet的出現。隨著數字貨幣,電子現金,電子商務和政府上網以及網絡銀行等網絡行為的出現,網絡安全的問題變得越來越重要。

　　(一)其他網絡的攻擊

　　據數據統計,在美國網絡中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網絡業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統都處于癱瘓狀態(tài)。據“Security Portal”的報告,計算機病毒事件在1999年計算機安全問題上排名第一位,然而與計算機病毒相關的黑客問題也在其中占有相當大的比例。從科研人員的分析結果科研看出計算機病毒的表現有以下新特點:

　　當今社會電子郵件已經成為計算機病毒傳播的主要媒介,它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播,事實上,有一些電子郵件病毒根本就沒有附件,因為它本身就是一個HTML。在不久前出現的許多的計算機病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動打開HTML格式的郵件,那么該計算機病毒就會立刻感染用戶的系統。

　　近年來由于互聯網的快速發(fā)展,互聯網出現了許多新一代的計算機病毒種類,比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網頁等黑客程序。其種類、數量正在迅速激增。同時,根據最新數據統計計算機病毒的數量正在急劇增加,現在每天都有超過40種新計算機病毒出現,因此每年的新型計算機病毒就有就有1.2萬種左右出現,這樣的數目超過了截至1997年為止世界上計算機病毒的總數。然而最近又出現了很多專門針對掌上電腦和手機的計算機病毒。

　　計算機病毒造成的破壞日益嚴重。2000年5月“I Love You”情書病毒的影響,全球的損失預計已經高達100億美元,而受CIH計算機病毒在全球造成的損失據估計已超過10億美元。對于行業(yè)的用戶當系統每死機一小時其損失都在650萬美元以上,其包括電視機構、證券公司、國際航運公司、信用卡公司和郵購公司在內,然而對于Internet公司,尚無人能統計其損失的金額。

　　(二)管理及操作人員缺乏安全知識

　　我們認為,全面的安全管理體系是由全面的安全產品解決方案、雇員的培訓、事后的安全審計、安全策略制定、安全策略架構的實施、企業(yè)系統風險評估、安全架構制定等部分有機結合,構成的完善的管理體系。全面的安全產品解決方案是包含在系統的各個方面和層次上部署相應安全產品的工具。

　　現代計算機網絡要加強系統的總體安全級別,必須從應用業(yè)務系統、網絡、計算機操作系統甚至系統安全管理規(guī)范,因為安全隱患會隱藏在系統的各個角落,使用人員應該考慮安全意識等各個層面統籌。木筒裝水的多少決定于最矮的木板,然而系統的總體安全級別就象裝在木筒中的水,系統安全級別的高低取決于系統安全管理最薄弱的環(huán)節(jié)。所以我們對系統安全管理應該是多方面的、多層次的,要從網絡、應用系統、操作系統各個方面來提高系統的安全級別,還要把原來通過管理規(guī)定由使用人員自覺維護的安全規(guī)則用系統來自動實現,來加強系統的總體安全性。

　　二、網絡安全總體設計

　　據統計,在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設置安裝。然而對于系統安全的維護和管理需要各種層次的系統和安全專家才能完成。如果沒有專業(yè)人員的介入,根據實際情況對安全管理產品進行詳細地配置,對于企業(yè)的策略進行設計和安全管理規(guī)范,就算功能再強大的安全產品也會達不到非常好的安全防護作用。

　　三、安全系統的建設原則

　　“使入侵者花費不可接受的金錢與時間,并且承受非常高的風險才可以闖入的系統叫做安全系統。我們認為,絕對安全與可靠的信息系統并不存在。然而安全性的增加通常會導致企業(yè)費用的增長,這些費用包括系統復雜性增加、系統性能下降、操作與維護成本增加和系統可用性降低等等。安全不是目的而是一個過程。威脅與弱點會隨時間變化。然而安全的努力依賴于許多因素,例如新業(yè)務應用的實施、職員的調整、安全漏洞和新攻擊技術與工具的導入。

　　企業(yè)網絡安全保護

　　一、網絡安全

　　現代經濟的發(fā)展，網絡的運用已經遍布世界各地。保證網絡安全，也就是保證網絡硬件軟件和數據在除自然、人為因素破壞之外受到應有的保護，，保證其不被破壞、惡意泄露等，保密、完整和可用時網絡安全的三大指標。

　　現如今，垃圾信息，的大量產生嚴重減緩網絡速度，影響這個系統的運行。連續(xù)的操作能力對于一個網絡系統來說是至關重要的。保證一個完整的程序完整的運行，不僅是服務器還是數據終端都要產生必須的可持續(xù)服務的。再者，網絡的安全也受場地環(huán)境、電源等條件的影響和制約。技術上的不足，其實是影響網絡安全最主要的因素，其次還有配置不高、人為錯誤和政策錯誤等都有可能對網絡安全造成威脅。

　　網絡的安全就是要達到網絡不被惡意修改、惡意泄露個人用戶信息。不管是內部的還是外部的網絡的安全都要能夠有效的防治攻擊，這其中就包括保護網絡數據庫的安全，有效制止網絡病毒對于網絡的侵犯。

　　二、企業(yè)網絡安全防護措施

　　雖然現在有相當一部分企業(yè)通過使用內網企圖阻斷互聯網對于企業(yè)網絡安全的威脅，但是這樣在一些方面也制約著企業(yè)的發(fā)展，網絡的運用對于一個企業(yè)來說是無法避免的，使企業(yè)陷入尷尬境地。企業(yè)對于網絡的監(jiān)管以及采取必要的網絡安全措施是必不可少的。

　　1.企業(yè)網絡數據庫安全防護

　　作為儲存信息的重要場所-數據庫，擔負著管理整理和保護這一系列責任重大的任務。新生事物與問題一直以來都是并存的，數據庫的產生與數據庫安全問題也是并存的，并且隨著數據庫技術不斷發(fā)展問題不斷加深。 當前，郵箱用戶密碼泄露等各種泄密門的頻繁發(fā)生，已經為企業(yè)網絡數據庫安全敲響警鐘。對于數據庫的安全防護我們可以從以下幾方面入手。

　　對于特殊的訪問模式對象，數據庫應該允許用戶在莎草操作的對象上特殊動作模式。簡單而言，就是數據庫應該允許一些特殊對象層上的訪問和使用數據庫機制。比如說在對一個數據庫進行訪問的時候，部分用戶僅僅只能操作INSERT、SELECT的語句程序，像DELETE這樣的語句在這里將不被允許使用。對于用戶也可以分門別類的進行安全管理策略。

　　對于普通用戶，管理員應該在涉及所有用戶的權限管理方面加強考慮改善，要么就是用角色來管理控制用戶可用權限，要么就只允許少部分用戶使用數據庫，明確用戶權限，不適用角色。一般來說，對于用戶身份的確認，最簡單也是最直接的辦法就是用戶自行設置密碼，同這樣的方式與數據庫進行連接。一個數據庫有大量的用戶使用的時候，管理員應該將用戶分成若干用戶組來管理，并且創(chuàng)建各個用戶組的角色。管理員給予一個角色所應有的權限，這樣也就把這些權限賦予了這些用戶。這使得管理更加條理明晰化。

　　當然也有特殊例外情況，對于一些特殊權限，管理員必須明確權限到每一個用戶層面上。對于一個大的數據庫，應該根據實際情況把管理員也分成幾個類型的，根據管理權限把管理員分割成幾個管理角色。對于操作系統的安全，管理員應該具備管理操作系統的權限，這樣做是便于創(chuàng)建和刪除一些文件，保護數據庫環(huán)境良好。而一般的數據庫用戶不能擁有操作系統的權限，這便于保證數據庫必要的安全和其他用戶信息的保密性能。

　　還可以對數據庫進行加密。目前大型數據庫平臺一般都是Windows NT/2000等，其對應的安全等級基本都在C1\C2級別。雖然這些數據庫在網絡安全方面增加不少措施，但是在操作系統和數據庫管理系統對數據庫文件本身的防護措施仍然不足。

　　網上黑客往往繞開這些防護措施直接通過對操作系統的工具的運行篡改數據庫文件內部的內容。針對這一漏洞，一般采取的是B2級別的安全技術防護措施，增加對數據庫中的敏感數據的加密處理，達到阻塞這一黑客攻擊行為。

　　算法在適應數據庫系統特點的前提下，對于加密和解密的速度要達到一定程度，通過加密算法對數據庫加密核心。把計算機硬盤的數據進行備份和回復，就會有效的防止因為數據庫的損壞或泄漏而帶來的經濟損失。一般來說，可以通過磁帶備份、硬盤備份和網絡備份三種方式來進行數據的備份。

　　保存這些備份資料的物質要存儲在異地，并且保存介質要防火、防潮、防水和防磁。并且還要定期清潔備份設備，安裝報警設備，隔期檢查。除此之外，企業(yè)還應該制定完備的數據備份策略，一般情況下，完全備份、增量備份和差分備份這三種備份策略結合使用。

　　2.企業(yè)網絡病毒的防范

　　網絡的運行使得各種網絡病毒滋生，企業(yè)在加強用戶遵守和加強安全操作控制措施的前提下還應該加強安全操作，靈活運用硬件和軟件病毒工具，利用網絡優(yōu)勢，把病毒納入到網絡安全體系之中，形成一套完整的安全機制，使病毒得到有效的控制，不會在企業(yè)網絡中傳播。在思想和制度方面，應該加強員工制度管理，打擊盜版，建立健全網絡安全管理制度。在技術方面，采取采取縱深防御方法，運用多種阻塞渠道和安全機制對病毒進行防范。

　　對于病毒的防范最根本的是操作系統的安全，開發(fā)并完善高性能安全的操作系統，全面升級操作系統，提高操作系統的安全性能，能有效提高對網絡病毒入侵的防范。還可以通過軟件過濾對病毒予以識別，隔離病毒，對于已經存在在系統內部的病毒，一般而言會采用系統參數分析之后，識別系統的不正常和惡意改變。

　　在數據庫后臺建立一個嚴密的病毒監(jiān)視系統，可以大大提高病毒入侵的防止工作力度和效率。對于一些需要下載的、有附件的的文件，系統可以對其進行實時掃描，存在異常則隔離處理，及時更新病毒庫，集中處理病毒，便于管理。

　　在網絡出口處進行訪問控制，可以在出口處安裝防火器或者路由器，這樣也可以有效的防止內部網絡中感染網絡病毒。只有建立一個有層次的、立體的、系統的防反病毒體系，才能有效地制止病毒在網絡內的蔓延和傳播。