防火墻的使用通常并不能避免來自內部的攻擊�����,而且由于數(shù)據(jù)包都要通過防火墻的過濾����,增加了網延遲,降低了網絡性能����,要想充分發(fā)揮防火墻的作用��,還要與其他安全產品配合使用�。
入侵檢測
如果對系統(tǒng)的安全性要求較高���,如為了保護電子商務網站和企業(yè)互聯(lián)網接口等�����,有必要采用入侵檢測產品,對重點主機或設備加強安全防護��。?
大部分入侵檢測系統(tǒng)主要采用基于包特征的檢測技術來實現(xiàn)�,它們的基本原理是:對網絡上的數(shù)據(jù)包進行復制,與內部的攻擊特征數(shù)據(jù)庫進行匹配比較�,如果相符即產生報警或響應。檢測到入侵事件后�,產生報警,并把報警事件計入日志�����,日后可以通過日志分析確定網絡的安全狀態(tài)�,發(fā)現(xiàn)系統(tǒng)漏洞等。如果它與防火墻等其他安全產品配合使用,可以在入侵發(fā)生時��,使防火墻聯(lián)動�����,暫時阻斷非法連接���,保護網絡不受侵害�����。
在部署此類產品時要注意進行性能優(yōu)化��,盡量避免屏蔽沒有價值的檢測規(guī)則�。
認證加密
應用系統(tǒng)的安全同樣是不可缺少的�,在企業(yè)內部,可以通過部署認證加密系統(tǒng)保障辦公自動化流程����、控制敏感信息的訪問,特別是對電子商務����,如何確認交易各方的身份��,確保交易信息的保密性���、完整性和不可否認性是交易正常進行的基本保證。
認證加密是保證應用安全的有效手段�����,它主要是通過數(shù)字證書來實現(xiàn)的���。數(shù)字證書是一個經證書授權中心數(shù)字簽名并包含客戶的公鑰等與客戶身份相關的信息數(shù)字證書�,是網絡通訊中標志通訊各方身份信息的數(shù)據(jù)�����,它提供了一種公開承認的在互聯(lián)網上驗證身份的方式��,一般由權威機構-CA(Certificate Authority)中心發(fā)行���。
數(shù)字證書可以存儲在IC卡、硬盤或磁盤等介質中����,在基于數(shù)字證書的通過過程中�,數(shù)字證書是合法身份的憑證���,是建立保密通訊的基礎��。
操作系統(tǒng)安全使用
在信息化網絡中��,操作系統(tǒng)的安全使用是保證網絡安全的重要環(huán)節(jié)��,試想如果你打算與同事共享一個文件夾�,可是你又沒有加密碼�����,共享的文件就會變成公開的文件�����!
操作系統(tǒng)安全使用主要包括以下幾方面內容:用戶密碼管理�����、系統(tǒng)漏洞檢測����、信息加密等�����。
用戶密碼管理無論是對個人還是企業(yè)都是很重要的�����。用戶密碼管理有許多的原則要遵守����,最重要的就是不要使用空密碼����,如當你使用Windows NT/2000時,如果不幸你使用空密碼����,局域網中的任何人都可以隨意訪問你的計算機資源��。如果你是系統(tǒng)管理員��,制定嚴謹?shù)挠脩裘艽a策略是首要任務之一����。
漏洞檢測對關鍵服務器的操作系統(tǒng)是極為重要的���,特別是對電子商務網站。任何操作系統(tǒng)都不可避免地存在安全漏洞�����,操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網上�,爭取在黑客沒有攻擊你的主機之前及時發(fā)現(xiàn)并修補漏洞是極為關鍵的。另外一種類型的漏洞并不是系統(tǒng)固有的�,而是由于系統(tǒng)安裝配置缺陷造成的,同樣應引起足夠重視�����,對服務器而言�,關閉不需要的服務或端口也是必要的。
即使網絡很安全了�,需要保密的信息在存儲介質上的加密仍然是必要的,因為任何網絡不能保證百分之百的安全���。使用WindowsNT/2000等操作系統(tǒng)時�����,盡量使用NTFS分區(qū)��,對重要信息起用加密保護功能���,這樣就是信息意外泄露���,也無法破解。
操作系統(tǒng)的易用性和安全總是難以兼得�,安裝操作系統(tǒng)時盡量不要使用默認值,在微軟尚未做出策略性調整之前�����,根據(jù)微軟現(xiàn)在的理念�,系統(tǒng)的易用性仍然是首先考慮的,所以默認安裝會自動安全一些你并不熟悉且根本無用的服務和應用��,并打開了許多特殊端口�,這些服務、應用和端口很可能成為別人入侵你的跳板�����。
采用VPN(虛擬專用網)
VPN是當前實現(xiàn)遠程辦公和電子商務合作伙伴間通訊的重要方法����,它可以有效地降低廣域網通訊費用,并實現(xiàn)從任何位置安全地訪問企業(yè)內部網絡���,它也可以作為企業(yè)內部重要資源訪問控制的一種手段����。
VPN通過Internet或其他公用IP網絡實現(xiàn)�����,可以滿足遠程通訊安全的基本需求����,它將通訊信息進行加密和認證傳輸,從而保證了信息傳輸?shù)谋C苄?�、?shù)據(jù)完整性和信息源的可靠性�,實現(xiàn)安全的遠程端到端連接。
VPN的實現(xiàn)主要基于以下技術:
IPSec���,IETF(Internet工程師任務組)制定的IP安全標準���。
通過認證機構發(fā)放數(shù)字證書和進行第三方認證。
使用共享密鑰認證用于小規(guī)模的VPN網絡。
VPN一般采用專用的設備實現(xiàn)��,在選用VPN產品時應主要考慮幾點:可管理性��、可擴展性�、可靠性、兼容性和價格�。
建立安全保障體系
安全保障體系主要是指:對信息化安全管理的整套體制,包括管理組織���、制度��、措施等��,通過安全管理�����,保證物理安全��、網絡安全和信息安全措施的實現(xiàn)��。
建立安全管理組織
建立安全管理組織是安全保障體系的關鍵�,對企業(yè)而言���,應成立以主管領導��、網絡管理員���、安全操作員、安全專家等人員組成的多級安全管理體系���,主管領導負責安全體系的建設和實施以及部門間協(xié)調工作���,網絡管理員負責指定安全策略和組織技術實施,安全操作員負責安全措施的具體實施��,安全專家參與重大安全問題決策和緊急情況下安全問題處理���。
建立安全管理制度
把安全策略執(zhí)行制度化�,可以方便實施和管理�。安全管理制度主要是指信息化設備和系統(tǒng)的使用、運行����、管理和維護的有關規(guī)定以及其他相關安全策略的實施。
制定安全應急方案
在企業(yè)中�����,小的安全問題可能比較容易解決,但是嚴重的安全問題對生產的影響是很大的���,如系統(tǒng)設備故障或大范圍病毒感染等�����,這時的問題處理起來會特別復雜���,有必要針對特定的安全問題制定安全應急方案。安全應急方案主要確定安全應急處理時的領導組織結構����,解決問題的思路、方法和步驟����,做好事前準備,不至于遇到問題時慌了手腳���。
加強網絡管理
加強網絡管理是信息化安全的重要環(huán)節(jié)���,網絡管理的內容主要包括:操作系統(tǒng)安全策略的維護和檢查�、系統(tǒng)和數(shù)據(jù)的備份�、防火墻路由器等的安全檢查、審計分析網絡安全事件日志��、設備和系統(tǒng)的日常維護等��。只有加強網絡管理�����,才能保證網絡的安全可靠運行�。
加強安全宣傳
安全問題很多時候都出在內部�����,許多典型的網絡入侵事件都是借助于內部人員才得以實現(xiàn)的�,而且嚴格的安全策略大多是針對外部的,所以應高度重視內部安全�。除了從技術上盡量保證安全以外,通過加強宣傳�����,增加職工的安全和遵紀守法意識��,讓廣大職工自覺地參與到安全保護中來,認真執(zhí)行安全策略��,減少安全漏洞���,信息化安全才有保證��。
5? 總結
信息化安全問題是一個嚴峻的問題��,特別是隨著廣域網和互聯(lián)網應用的發(fā)展����,安全問題變得更加突出���。安全問題是融入到信息化建設的整個過程中的�����,它是一項系統(tǒng)工程�����,因此�����,僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的��。對石化企業(yè)而言�,針對行業(yè)特點,通過“建設高可用性網絡����,部署安全防護系統(tǒng),建立安全保障體系”�,信息化安全才能得到最好保證����。
