1.1物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,网络边界控制和安全访问控制,保持区域之间的信任关系,构建防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3.结语
【关键词】 石油企业 网络安全 防范体系
随着信息技术的飞速发展,石油公司开始广泛应用计算机网络进行往来的贸易和办公,这就给网络安全带来了严峻的挑战。建立和完善规范的石油企业网络安全体系已成为当务之急。所以我们首先需要分析石油企业网络安全的影响因素。
一、石油企业网络安全的影响因素
1.1 主观因素方面
首先,从网民的角度看,网民的安全意识和水平参差不齐,大多数人都知道网络安全知识,对于安全的意识淡薄。其次,从黑客攻击的角度来看,它是计算机网络安全所面临的敌人。。
1.2 客观因素
系统安全漏洞和缺陷是不可避免的,这就给黑客提供了一个着陆点。。此外,在操作系统和应用软件的“漏洞”和“后门”上都是由公司内部的程序员为了方便自己而设置的,在正常情况下,不被外人所知,但一旦打开,其后果可能是灾难性的。
二、石油企业网络的安全防范措施
2.1 健立健全企业规章制度
要确保网络是否是相对安全的,就必须制定详细的安全系统,了解并认识到网络安全的重要性,在网络安全事故的发生中,应该进行相应的处罚,必须严格遵照执行的地方,绝不能姑息怜悯。对于记录中出现不遵守情况的人员,要给予相应的处罚,并编写检查结果的报告,可以为以后出现类似的情况,做到有证据可依的地步。
2.2 树立员工网络安全意识
为了在工作中树立企业员工的网络信息安全意识,并且让员工认识到网络安全是一个首要任务,只有员工对企业信息安全的发展与进步有了足够的重视,才能有效地防范日后工作的网络安全问题。企业应实施适当的网络安全信息培训,从而提高工作人员的网络安全知识,利用各种形式,增强员工的网络安全意识,激励员工养成健康使用计算机的习惯。
2.3 防火墙技术
防火墙技术是现阶段许多石油企业广泛应用的最流行的网络安全技术,在不安全的外部网络环境的前提下,创造一个相对安全的企业内部网络环境。。因此,防火墙是一种屏障技术,是隔断内部网络和外部社会网络环境之间的有效屏障。
2.4 数据加密技术
企业内部一些重要的机密文件需要通过使用数据加密技术进行加密发送到外部网络之中,这需要防火墙技术和数据加密技术结合使用,才能够提高石油企业网络信息系统和内部数据的保密性和安全性,防范外部人员恶意损伤企业的重要机密数据。
2.5 系统平台与漏洞的处理
网络安全管理员可以使用系统漏洞的扫描技术来提前获取网络应用进程中的漏洞,通过漏洞处理技术可以尽快修复网络安全存在漏洞,而且,还应该尽快的修正网络安全设备和持续应用过程中的一些错误配置,在黑客攻击之前进行预防措施。
三、加强石油企业网络安全的建议
面对如今种种的网络安全问题和现象,我们应该加强企业网络安全。首先,对于公司内部的网络系统问题,应该统一公司内部人员对于电脑网络的操作,对于操作过的电脑要进行及时的定期扫描和修补安全漏洞;其次,对于公司内部的网络操作系统应该加入应该具有的防火墙功能,阻挡一切其他恶意的攻击;第三,对于企业的网络安全而言,还应该加强应有的杀毒软件,并且及时更新病毒种类,要坚持每天定期进行病毒的扫描工作,这样可以帮助企业实现网络安全。
参 考 文 献
[1] 邵琳,刘源. 浅谈企业网络安全问题及其对策[J]. 科技传播,2010,(10):186
。ARPA投资推进计算机网络的研究研发,1969年建成了著名的Internet的前身ARPANET,后来随着计算机技术的不断发展,形成了以ARPANET为主干的Internet雏形,直至今日互联网的诞生。在当今的网络环境下,物理安全、网络结构安全、系统安全、管理安全等都会对网络安全造成影响。因此,为了维护网络环境的安全,网络安全技术是必不可少的。随着国家网络信息化的不断建设与发展,各个企业都根据自己公司的需要,建成了符合公司要求的企业网,使企业员工可以很方便的访问企业的通信资源、处理器资源、存贮器资源、信息资源等。但是建立企业网就不得不面对复杂恶劣的网络环境,因为网络安全技术的不成熟,使不少企业的网络信息资源丢失或被篡改,给企业带来了不小的损失。因此,影响网络安全的因素成了企业建立企业网不得不解决的重大难题,网络安全技术也被越来越多的企业重视[1]。
2影响网络安全的因素
2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统,网络协议是信息共享的关键环节,当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议,网络信息共享才会实现,但是网络协议是存在着安全缺陷的,TCP/IP协议是目前使用最为广泛的网络协议,它的安全性,关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题,所以很容易受到“骇客”的攻击,其安全性是没有保障的[2]。
2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分,但是其自身的安全性十分脆弱,主要表现为:a.网络与计算机存在电磁信息泄漏;。在进行信息数据进行传输时,前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外,软件的缺陷也是影响网络安全的重要因素,软件的缺陷是软件具有的先天特征,无论是小程序还是大型的软件系统,都有这样那样的缺陷,目前大多数网络病毒就是以软件的形式在互联网中传播,其影响不容小觑。
3国内企业网络安全的现状
随着通讯工程和电子信息技术的快速发展,互联网已经成为当今社会不可或缺的一个组成部分,已经渗透到了经济、生活等各个领域之中。。。然而,企业之间的网络硬件设施却是参差不齐的,经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前,企业网络中的具有安全防护特性的硬件设备主要有:防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足,对网络安全的要求只能满足其最基本的使用要求,对于企业网络硬件基础平台的安全性来说,这种投入明显是不够的。此外,企业之间的技术管理水平也存明显的高低差距,企业的经济水平直接决定了该企业在网络技术能力上的强弱,具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度,企业员工的网络应用水平普遍偏低,缺乏网络安全意识。对此,企业应加强员工的网络安全意识,完善网络安全管理制度,如此才能确保网络环境的安全。
4网络安全技术在企业网的应用措施
4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全,通讯线路安全,运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改,为了使信息数据传输更加的安全,可以选择安全性更高的光纤作为传输介质,防止数据被拦截或篡改。此外,对于网络的依赖性比较大的企业,一旦停电或者断电,就会对企业会造成不必要的损失,为了预防这种情况发生,企业应该安装不间断电源(UPS),避免这种情况发生。同时,网络中断也会对企业造成比较大的损失,为了确保通讯线路的畅通,企业做好冗余备份是必要的选择,冗余备份就是多准备一份或者几份,以备不时之需。如此一来,当一条通讯线路出了问题或者故障,导致网络中断时,会自动选择冗余备份的线路,以确保网络连接不被中断,避免不必要的损失。
4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全,由于种种原因,计算机的操作系统存在着比较多的系统漏洞(BUG)。目前大多数网络攻击就是利用BUG进行恶意攻击。。
4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的,为了有效地预防网络攻击及病毒入侵,需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外,还要对账号密码进行有效的保护;关闭不需要的服务和端口;定期对服务器进行备份;检测系统日志。
4.4网络的安全应用措施。为了更容易的获取信息资源,大多数的企业网都与外网进行了连接,这样做在方便了自己的同时,也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。。为了有效防止这种情况的发生,企业网络用户在上网时,要时刻保持警惕,不要轻易的相信来自网络中的任何信息,对任何一个要进入网络的人,都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时,企业网络用户要采取一定的措施来保证信息的安全,避免信息的泄漏。。
5结束语
【关键词】电力企业信息安全管理策略
电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。
1做好安全规划
(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;
(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。
2加强制度建设
安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:
(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。
(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。。
(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。
3设置漏洞防护
(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;
(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。
4提高管理手段
科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。
(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;
(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。
5总结
综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。
参考文献
[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(06):121+123.
关键词:企业;内网;安全防护
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-01
Talking on How to Build Enterprise Intranet Security System
Chen Kankan
(Fuzhou Local Taxation Bureau Foreign Tax Bureau,Fuzhou350000,China)
Abstract:At present,China has been into the Internet age,is inseparable from development and construction of network system.However,because too many companies rely on network functions,and ignore the network environment information system operating risks,resulting in unnecessary losses.This will be the construction of corporate Intranetsecurity risks and protection system of the establishment of strategies to analyze and explain the problem to improve network efficiency and security applications.
Keywords:Enterprise;Intranet;Security
随着商业竞争全球化的发展趋势,企业若想得到长远发展,必须不断拓展业务并提高客户满意度,同时加强对运营成本的控制。随着信息化时代的到来,很多企业依赖网络开拓市场,加强与客户、合作商之间的沟通效率。但是应该认识到,电子商务作为一把双刃剑,既给企业带来发展便利、提高综合竞争力,同时也给企业内部及外部带来安全隐患,甚至对企业发展产生不利,对企业的运营成本、盈利水平及客户满意度等均产生负面影响。
一、网络环境下企业发展面临的安全隐患
(一)物理环境影响。在物理环境中,涉及到计算机硬件、网络设备、数据安全等问题,其中对企业网络安全产生影响的主要因素为:辐射、静电、硬件故障、自然灾害等,以及偷窃、盗用等人为因素。另外,除了光缆以外的通信介质都存在不同程度的电磁辐射,而计算机入侵者就可以通过利用电磁辐射,对各种协议分析仪或者信道检测器等窃听,通过对信息的分析,能轻易得到用户口令、账号、ID等重要安全信息。
(二)黑客攻击与非法入侵。黑客通过非法入侵及恶意攻击等行为,对企业用户的网络使用及商务活动产生破坏。黑客已经成为当前互联网业务以及企业辅助工作中最严重的安全问题之一。;通过向企业发送垃圾信息,堵塞网络正常通信;植入木马等病毒,并对企业重要数据进行监控、复制、删除或者毁坏。无论是出于什么目的的黑客入侵,最终都可能导致企业无法正常工作、数据损坏等问题。
(三)网络协议安全隐患。网络协议中多采用tcp/ip协议,目前设计的目标是互联、互通与互操作,而缺乏对安全的重视,同时由于网络处于完全公开状况下,造成协议中存在诸多安全隐患。
二、构建企业网络安全防护体系的有效策略
(一)加强防火墙技术。防火墙主要由硬件设备与软件设备组合而成,是企业或者网络计算机与外界沟通的渠道,对于外部用户对内部网络的访问产生限制,并对内部用户的访问网络权利实现管理。防火墙主要分为内部防火墙与外部防火墙两部分,其中内部防火墙用于控制内部各部门的子网之间通信安全;外部防火墙则用于隔离外部网络与内部网络,又是沟通内部网络与外部网络的通信桥梁。
另外,放置防火墙的位置也十分重要,一般建议使用出口路由器替换防火墙,可在路由形式下开展工作,以实现出口网关工作模式。这种模式可有效确保内部开放服务器与路由器自身安全,并将内部开放服务集中在DMZ区的隔离,在规则配置方面则实现差异化配置,简化了网络拓扑,便于及时监测网络故障。
(二)重视网络安全预警。在现代化企业网络安全预警系统中,主要分为入侵预警与病毒预警。一方面,入侵预警系统中的入侵检查工作可对网络传输数据的授权进行确认,如果检测到入侵信号,将会及时发出警报,避免网络威胁问题产生。通过入侵预警系统,可以对网络、系统等实现扫描,并综合实时监控与防火墙产生的安全数据,提供内部网络与外部网络的实时分析,对发现的风险源产生直接响应,并提供企业网络安全风险管理报告,报告中应包含实时风险、安全漏洞、攻击条件等内容的分析。通过入侵告警报告,可对入侵信息起到提示作用,并分析入侵趋势,最终确定网络是否在安全环境下运行。。
(三)强化入侵防御系统(IPS)。入侵防御系统(IPS)通过深度感知及监测数据流量,可实现对恶意攻击的阻断,对滥用报文现象限流,以确保网络带宽资源,如果发现攻击行为,立即发出响应,主动切断连接。在部署形式上,IPS主要以串联方式接入,当监测到攻击时,会在攻击扩散到网络之前阻止,及时终止通信。因此,IPS技术更符合企业内网安全建设。
(四)充分利用数字加密与数字签名。由于网络安全很难做到完全控制,因此在企业内网中可采用一系列加密手段,尤其对重要文件实现加密存储,如重要邮件的发送及文件传输等,也可实现文件加密或者数字签名,以确保数据安全性。数据加密技术是当前保护数据传输安全与存储安全的有效方法之一,可实现对内网数据、口令、文件及控制信息的保护,避免信息被非法用户阅读、操作或者修改,防止非授权用户入网。
(五)定期备份数据。在企业网络安全防护体系中,应按照规定及时采取定期备份数据处理,完善应用程序与系统软件,并对备份的存储介质加强安全保护。一般数据应采取每天备份的形式,而应用程序与系统软件由于一般变化不大,可每周或者每月进行备份。对于整个企业网络系统的备份频率主要由信息系统读写与修改的情况决定。如果计算机系统中的操作参数或者安全控制参数等发生改变,应对整个系统进行重新备份。对于已经备份好的资料应注意维护与保存,内部审计师也应加强对其存放的检查工作,并对存放场所的安全可靠性进行评价。
由上可见,企业通过网络安全防护体系的建立,提高安全防范意识,有效保障信息系统运行的稳定性、可靠性、完整性,确保数据传输在快捷、安全的环境下运行,同时企业网络系统安全性的提高,也需要管理人员及用户等多方面的努力,主观因素与客观因素缺一不可。
参考文献:
[1]别玉玉.企业网络安全防护策略之"人工层"策略[J].硅谷,2010,17
[2]孙乐.某科技企业网络防病毒系统的设计与实施[J].北京邮电大学:软件工程,2008
[3]徐茂或.防火墙技术在企业网络中的应用[J].魅力中国,2009,28
关键词: 网络安全;无线网络;WEP;加密
中图分类号:TN92 文献标识码:A 文章编号:1671-7597(2012)0210193-01
0 引言
油田企业设机关处室、基层生产单位、后勤辅助单位等诸多机构,其中油气一线生产单位基层站点、井场距离遥远,各类办公、生产数据传输依靠传统的有线网络难以全面覆盖。无线局域网(Wireless Local Area Network,WLAN)具有可移动性、安装简单、高灵活性和扩展能力,作为对传统有线网络的延伸,在油田复杂特殊环境中得到了广泛的应用。但是随着无线网络环境的普及和深入应用,来自无线网络的安全问题也日显突出,为保障油田企业无线网络安全,必须从技术和管理两方面入手,打造一个安全、高效的企业网络环境。
1 无线网络安全隐患
1.1 非法数据窃取。企业终端计算机用户保存着各类生产、经营信息和资料,入侵者破解无线网络后,会窃取企业的机密信息。由于很多员工缺乏电脑安全意识,电脑不设口令或口令十分简单,这种情况之下,入侵者连接了企业网络之后,企业的各类资料,入侵者可以随意复制、删除或更改,直接影响企业的正常生产、经营。
1.2 网络带宽盗用。非法入侵者在企业无线网络的覆盖范围之内,盗用企业的带宽资源,造成企业网络的带宽被非法接入者白白盗用。。
1.3 拒绝服务。攻击者可对AP进行泛洪式攻击,使AP拒绝服务,这是一种后果非常严重的攻击方式,造成设备死机,无法进行正常通信,同时消耗大量的网络带宽。
1.4 MAC地址欺骗。非法用户通过工具软件窃取数据,从而获得AP允取通信的静态地址,利用MAC地址伪装等手段合法接入无线网络。
1.5 网络监听。无线局域网开放性的特点,使得非法用户无需将窃听或分析设备物理接入被窃听网络,就可以在无线信号覆盖范围之内截获、转发数据。
2 常见的无线网络安全技术
2.1 默认设置不能用。无线网络中最重要的设备之一就是无线路由器或中继器,每个品牌无线网络设备都自己默认的设备管理IP地址和用户登陆信息,网络管理员对设备参数进行配置后,应该及时更改设备默认的用户名和口令,从而保证入侵者无法从设备默认登陆信息进入到你的无线网络系统,对网络系统构成威胁。
1)屏蔽SSID广播。服务集标识符(SSID)是无线接入的身份标识符,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。同一厂家生产的无线网络产品使用了相同的SSID,因此知道这些标识符的入侵非常容易通过个后门进入企业网络无线网络。所以为了保证无线网络安全,最好禁止“SSID广播”。这样无线网络信息不出现在入侵者所索搜到的可用网络列表中,虽然无线网络效率受到了一定影响了,但却保证了企业的无线网络更加安全可靠。
2)过滤设置。MAC地址过滤功能是指通过对AP的设定,在无线路由设备中预先设置合法的MAC地址列表,当客户机需要连接入网时,设备会将预先设置的MAC地址表与客户机的MAC地址进行匹配,如果验证成功,数据才被转发,AP才会与客户机进行通信,实现物理地址过滤。这样可防止一般入侵者连入企业无线网络,这种设置方法适用于企业小型办公场所。
2.2 设置密钥。针对无线设置,一般来说都会要求用户进行安全认证设置。对此,虽然设置了密钥,将可能给无线客户端的使用增加操作上的复杂程度,但是这与安全相比,还是非常重要的。为了加强无线AP的安全性,建设将加密方式设成为WAP2形式,这是目前最高级别的加密技术手段,同时密码要设置为8位以上由字母、数字、符字组合的复杂密码,从而进一步提高无线AP的可靠性。
2.3 关闭设备无线发射。对于基层办公单位,晚上进行数据传输地可能性较小,因此在晚上关闭无线AP,是最有效和安全的方法了。没有了信号源,入侵者也就无从下手了。可以为无线AP加装一个电源定时器进行自动控件,既保证了网络安全,又避免了人工每天操作的繁琐。
2.4 企业级加密技术(802.1x)。油田企业无线网络较为普及,覆盖面广泛,环境复杂,对于长距传输的基层站、井场应当用企业模式进行保护,因为这种保护模式向无线连接过程增加802.1X/EAP认证。802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。认证通过以后,正常的数据可以顺利地通过以太网端口。用户通过一个用户名和口令登录,加密密钥是以隐藏方式安全地使用,并且对每一个用户和会话都是唯一的。这种方法提供了集中管理功能和更好的无线网络安全技术。
2.5 控制信号的覆盖。合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。通过控制信号强度改变信号传输距离,设制摆放天线和禁用一个天线切断访问点某一侧的信号,消除访问点之间的干扰,限制不需要的信号。
2.6 入侵检测系统。通过在访问外设置防火墙,加强对无线网络的检测和监控,监测非法的网络行为,对常的网络流量发出警报,通过设置相应的安全策略,使无线网络更加安全。
3 如何保护无线网络的安全
在加强技术安全措施的同时,还要加强无线网络的日常管理,制订一套严格的无线网络安全管理制度,从管理层面上保护无线网络的安全。
1)加强对终端网络用户的安全意识教育,普及无线网络安全知识,经常对网络管理人员进行安全技术培训,让用户掌握一些无线网络安全策略。2)强化员工保密意识,规定员工不得随意向外部人员透露网络设置信息,禁止设置P2P的Ad hoc网络结构。3)加强无线终端管理,禁止员工私自安装AP,通过便携机配置无线网卡和无线扫描软件可以进行扫描。4)建立监测日志,企业网管人员需要建立完整的网络用户数据库,严格对系统日志进行管理,定期查看系统日志并进行备份,及时解决出现的问题。
4 结束语
随着无线网络在油田基层生产单位的普及和应用,无线网络所产生的安全问题是企业网络管理人员面对的一个新问题。通过技术和管理两种手段,合理规范使用,加强日常管理和监控,能够最大限度地保护企业网环境,保证企业的网络信息安全。
参考文献:
因篇幅问题不能全部显示,请点此查看更多更全内容