企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)以及保護(hù)的知識(shí)有哪些

　　最近有網(wǎng)友想了解下企業(yè)網(wǎng)絡(luò)安全的設(shè)計(jì)以及保護(hù),所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)

　　計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開(kāi)展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計(jì),防火墻應(yīng)用等,重點(diǎn)針對(duì)企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題,作了個(gè)介紹。對(duì)有關(guān)安全問(wèn)題方面模塊的劃分,解決的方案與具體實(shí)現(xiàn)等部分.

　　一、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析

　　隨著通訊技術(shù)和計(jì)算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題,其改變著人們的工作方式和生活方式。網(wǎng)絡(luò)的互連性,開(kāi)放性,共享性程度的擴(kuò)大,然而網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大主要是Internet的出現(xiàn)。隨著數(shù)字貨幣,電子現(xiàn)金,電子商務(wù)和政府上網(wǎng)以及網(wǎng)絡(luò)銀行等網(wǎng)絡(luò)行為的出現(xiàn),網(wǎng)絡(luò)安全的問(wèn)題變得越來(lái)越重要。

　　(一)其他網(wǎng)絡(luò)的攻擊

　　據(jù)數(shù)據(jù)統(tǒng)計(jì),在美國(guó)網(wǎng)絡(luò)中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會(huì)網(wǎng)絡(luò)業(yè)發(fā)展的最大危害,它們往往通過(guò)電子郵件這個(gè)傳播途徑使用戶的整個(gè)電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報(bào)告,計(jì)算機(jī)病毒事件在1999年計(jì)算機(jī)安全問(wèn)題上排名第一位,然而與計(jì)算機(jī)病毒相關(guān)的黑客問(wèn)題也在其中占有相當(dāng)大的比例。從科研人員的分析結(jié)果科研看出計(jì)算機(jī)病毒的表現(xiàn)有以下新特點(diǎn):

　　當(dāng)今社會(huì)電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要媒介,它的比例占所有計(jì)算機(jī)病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計(jì)算機(jī)病毒都可通過(guò)它來(lái)進(jìn)行快速傳播,事實(shí)上,有一些電子郵件病毒根本就沒(méi)有附件,因?yàn)樗旧砭褪且粋€(gè)HTML。在不久前出現(xiàn)的許多的計(jì)算機(jī)病毒就無(wú)需用戶打開(kāi)附件就會(huì)感染文件,如果用戶的郵件可以自動(dòng)打開(kāi)HTML格式的郵件,那么該計(jì)算機(jī)病毒就會(huì)立刻感染用戶的系統(tǒng)。

　　近年來(lái)由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計(jì)算機(jī)病毒種類,比如包含蠕蟲(chóng)、木馬、電子郵件計(jì)算機(jī)病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁(yè)等黑客程序。其種類、數(shù)量正在迅速激增。同時(shí),根據(jù)最新數(shù)據(jù)統(tǒng)計(jì)計(jì)算機(jī)病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過(guò)40種新計(jì)算機(jī)病毒出現(xiàn),因此每年的新型計(jì)算機(jī)病毒就有就有1.2萬(wàn)種左右出現(xiàn),這樣的數(shù)目超過(guò)了截至1997年為止世界上計(jì)算機(jī)病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對(duì)掌上電腦和手機(jī)的計(jì)算機(jī)病毒。

　　計(jì)算機(jī)病毒造成的破壞日益嚴(yán)重。2000年5月“I Love You”情書(shū)病毒的影響,全球的損失預(yù)計(jì)已經(jīng)高達(dá)100億美元,而受CIH計(jì)算機(jī)病毒在全球造成的損失據(jù)估計(jì)已超過(guò)10億美元。對(duì)于行業(yè)的用戶當(dāng)系統(tǒng)每死機(jī)一小時(shí)其損失都在650萬(wàn)美元以上,其包括電視機(jī)構(gòu)、證券公司、國(guó)際航運(yùn)公司、信用卡公司和郵購(gòu)公司在內(nèi),然而對(duì)于Internet公司,尚無(wú)人能統(tǒng)計(jì)其損失的金額。

　　(二)管理及操作人員缺乏安全知識(shí)

　　我們認(rèn)為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓(xùn)、事后的安全審計(jì)、安全策略制定、安全策略架構(gòu)的實(shí)施、企業(yè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、安全架構(gòu)制定等部分有機(jī)結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個(gè)方面和層次上部署相應(yīng)安全產(chǎn)品的工具。

　　現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)要加強(qiáng)系統(tǒng)的總體安全級(jí)別,必須從應(yīng)用業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因?yàn)榘踩[患會(huì)隱藏在系統(tǒng)的各個(gè)角落,使用人員應(yīng)該考慮安全意識(shí)等各個(gè)層面統(tǒng)籌。木筒裝水的多少?zèng)Q定于最矮的木板,然而系統(tǒng)的總體安全級(jí)別就象裝在木筒中的水,系統(tǒng)安全級(jí)別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對(duì)系統(tǒng)安全管理應(yīng)該是多方面的、多層次的,要從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)各個(gè)方面來(lái)提高系統(tǒng)的安全級(jí)別,還要把原來(lái)通過(guò)管理規(guī)定由使用人員自覺(jué)維護(hù)的安全規(guī)則用系統(tǒng)來(lái)自動(dòng)實(shí)現(xiàn),來(lái)加強(qiáng)系統(tǒng)的總體安全性。

　　二、網(wǎng)絡(luò)安全總體設(shè)計(jì)

　　據(jù)統(tǒng)計(jì),在英國(guó)50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒(méi)有正確的配置,60%的防火墻按缺省設(shè)置安裝。然而對(duì)于系統(tǒng)安全的維護(hù)和管理需要各種層次的系統(tǒng)和安全專家才能完成。如果沒(méi)有專業(yè)人員的介入,根據(jù)實(shí)際情況對(duì)安全管理產(chǎn)品進(jìn)行詳細(xì)地配置,對(duì)于企業(yè)的策略進(jìn)行設(shè)計(jì)和安全管理規(guī)范,就算功能再?gòu)?qiáng)大的安全產(chǎn)品也會(huì)達(dá)不到非常好的安全防護(hù)作用。

　　三、安全系統(tǒng)的建設(shè)原則

　　“使入侵者花費(fèi)不可接受的金錢與時(shí)間,并且承受非常高的風(fēng)險(xiǎn)才可以闖入的系統(tǒng)叫做安全系統(tǒng)。我們認(rèn)為,絕對(duì)安全與可靠的信息系統(tǒng)并不存在。然而安全性的增加通常會(huì)導(dǎo)致企業(yè)費(fèi)用的增長(zhǎng),這些費(fèi)用包括系統(tǒng)復(fù)雜性增加、系統(tǒng)性能下降、操作與維護(hù)成本增加和系統(tǒng)可用性降低等等。安全不是目的而是一個(gè)過(guò)程。威脅與弱點(diǎn)會(huì)隨時(shí)間變化。然而安全的努力依賴于許多因素,例如新業(yè)務(wù)應(yīng)用的實(shí)施、職員的調(diào)整、安全漏洞和新攻擊技術(shù)與工具的導(dǎo)入。

　　企業(yè)網(wǎng)絡(luò)安全保護(hù)

　　一、網(wǎng)絡(luò)安全

　　現(xiàn)代經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)的運(yùn)用已經(jīng)遍布世界各地。保證網(wǎng)絡(luò)安全，也就是保證網(wǎng)絡(luò)硬件軟件和數(shù)據(jù)在除自然、人為因素破壞之外受到應(yīng)有的保護(hù)，，保證其不被破壞、惡意泄露等，保密、完整和可用時(shí)網(wǎng)絡(luò)安全的三大指標(biāo)。

　　現(xiàn)如今，垃圾信息，的大量產(chǎn)生嚴(yán)重減緩網(wǎng)絡(luò)速度，影響這個(gè)系統(tǒng)的運(yùn)行。連續(xù)的操作能力對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是至關(guān)重要的。保證一個(gè)完整的程序完整的運(yùn)行，不僅是服務(wù)器還是數(shù)據(jù)終端都要產(chǎn)生必須的可持續(xù)服務(wù)的。再者，網(wǎng)絡(luò)的安全也受場(chǎng)地環(huán)境、電源等條件的影響和制約。技術(shù)上的不足，其實(shí)是影響網(wǎng)絡(luò)安全最主要的因素，其次還有配置不高、人為錯(cuò)誤和政策錯(cuò)誤等都有可能對(duì)網(wǎng)絡(luò)安全造成威脅。

　　網(wǎng)絡(luò)的安全就是要達(dá)到網(wǎng)絡(luò)不被惡意修改、惡意泄露個(gè)人用戶信息。不管是內(nèi)部的還是外部的網(wǎng)絡(luò)的安全都要能夠有效的防治攻擊，這其中就包括保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全，有效制止網(wǎng)絡(luò)病毒對(duì)于網(wǎng)絡(luò)的侵犯。

　　二、企業(yè)網(wǎng)絡(luò)安全防護(hù)措施

　　雖然現(xiàn)在有相當(dāng)一部分企業(yè)通過(guò)使用內(nèi)網(wǎng)企圖阻斷互聯(lián)網(wǎng)對(duì)于企業(yè)網(wǎng)絡(luò)安全的威脅，但是這樣在一些方面也制約著企業(yè)的發(fā)展，網(wǎng)絡(luò)的運(yùn)用對(duì)于一個(gè)企業(yè)來(lái)說(shuō)是無(wú)法避免的，使企業(yè)陷入尷尬境地。企業(yè)對(duì)于網(wǎng)絡(luò)的監(jiān)管以及采取必要的網(wǎng)絡(luò)安全措施是必不可少的。

　　1.企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全防護(hù)

　　作為儲(chǔ)存信息的重要場(chǎng)所-數(shù)據(jù)庫(kù)，擔(dān)負(fù)著管理整理和保護(hù)這一系列責(zé)任重大的任務(wù)。新生事物與問(wèn)題一直以來(lái)都是并存的，數(shù)據(jù)庫(kù)的產(chǎn)生與數(shù)據(jù)庫(kù)安全問(wèn)題也是并存的，并且隨著數(shù)據(jù)庫(kù)技術(shù)不斷發(fā)展問(wèn)題不斷加深。 當(dāng)前，郵箱用戶密碼泄露等各種泄密門的頻繁發(fā)生，已經(jīng)為企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全敲響警鐘。對(duì)于數(shù)據(jù)庫(kù)的安全防護(hù)我們可以從以下幾方面入手。

　　對(duì)于特殊的訪問(wèn)模式對(duì)象，數(shù)據(jù)庫(kù)應(yīng)該允許用戶在莎草操作的對(duì)象上特殊動(dòng)作模式。簡(jiǎn)單而言，就是數(shù)據(jù)庫(kù)應(yīng)該允許一些特殊對(duì)象層上的訪問(wèn)和使用數(shù)據(jù)庫(kù)機(jī)制。比如說(shuō)在對(duì)一個(gè)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)的時(shí)候，部分用戶僅僅只能操作INSERT、SELECT的語(yǔ)句程序，像DELETE這樣的語(yǔ)句在這里將不被允許使用。對(duì)于用戶也可以分門別類的進(jìn)行安全管理策略。

　　對(duì)于普通用戶，管理員應(yīng)該在涉及所有用戶的權(quán)限管理方面加強(qiáng)考慮改善，要么就是用角色來(lái)管理控制用戶可用權(quán)限，要么就只允許少部分用戶使用數(shù)據(jù)庫(kù)，明確用戶權(quán)限，不適用角色。一般來(lái)說(shuō)，對(duì)于用戶身份的確認(rèn)，最簡(jiǎn)單也是最直接的辦法就是用戶自行設(shè)置密碼，同這樣的方式與數(shù)據(jù)庫(kù)進(jìn)行連接。一個(gè)數(shù)據(jù)庫(kù)有大量的用戶使用的時(shí)候，管理員應(yīng)該將用戶分成若干用戶組來(lái)管理，并且創(chuàng)建各個(gè)用戶組的角色。管理員給予一個(gè)角色所應(yīng)有的權(quán)限，這樣也就把這些權(quán)限賦予了這些用戶。這使得管理更加條理明晰化。

　　當(dāng)然也有特殊例外情況，對(duì)于一些特殊權(quán)限，管理員必須明確權(quán)限到每一個(gè)用戶層面上。對(duì)于一個(gè)大的數(shù)據(jù)庫(kù)，應(yīng)該根據(jù)實(shí)際情況把管理員也分成幾個(gè)類型的，根據(jù)管理權(quán)限把管理員分割成幾個(gè)管理角色。對(duì)于操作系統(tǒng)的安全，管理員應(yīng)該具備管理操作系統(tǒng)的權(quán)限，這樣做是便于創(chuàng)建和刪除一些文件，保護(hù)數(shù)據(jù)庫(kù)環(huán)境良好。而一般的數(shù)據(jù)庫(kù)用戶不能擁有操作系統(tǒng)的權(quán)限，這便于保證數(shù)據(jù)庫(kù)必要的安全和其他用戶信息的保密性能。

　　還可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密。目前大型數(shù)據(jù)庫(kù)平臺(tái)一般都是Windows NT/2000等，其對(duì)應(yīng)的安全等級(jí)基本都在C1\C2級(jí)別。雖然這些數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)安全方面增加不少措施，但是在操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)庫(kù)文件本身的防護(hù)措施仍然不足。

　　網(wǎng)上黑客往往繞開(kāi)這些防護(hù)措施直接通過(guò)對(duì)操作系統(tǒng)的工具的運(yùn)行篡改數(shù)據(jù)庫(kù)文件內(nèi)部的內(nèi)容。針對(duì)這一漏洞，一般采取的是B2級(jí)別的安全技術(shù)防護(hù)措施，增加對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的加密處理，達(dá)到阻塞這一黑客攻擊行為。

　　算法在適應(yīng)數(shù)據(jù)庫(kù)系統(tǒng)特點(diǎn)的前提下，對(duì)于加密和解密的速度要達(dá)到一定程度，通過(guò)加密算法對(duì)數(shù)據(jù)庫(kù)加密核心。把計(jì)算機(jī)硬盤的數(shù)據(jù)進(jìn)行備份和回復(fù)，就會(huì)有效的防止因?yàn)閿?shù)據(jù)庫(kù)的損壞或泄漏而帶來(lái)的經(jīng)濟(jì)損失。一般來(lái)說(shuō)，可以通過(guò)磁帶備份、硬盤備份和網(wǎng)絡(luò)備份三種方式來(lái)進(jìn)行數(shù)據(jù)的備份。

　　保存這些備份資料的物質(zhì)要存儲(chǔ)在異地，并且保存介質(zhì)要防火、防潮、防水和防磁。并且還要定期清潔備份設(shè)備，安裝報(bào)警設(shè)備，隔期檢查。除此之外，企業(yè)還應(yīng)該制定完備的數(shù)據(jù)備份策略，一般情況下，完全備份、增量備份和差分備份這三種備份策略結(jié)合使用。

　　2.企業(yè)網(wǎng)絡(luò)病毒的防范

　　網(wǎng)絡(luò)的運(yùn)行使得各種網(wǎng)絡(luò)病毒滋生，企業(yè)在加強(qiáng)用戶遵守和加強(qiáng)安全操作控制措施的前提下還應(yīng)該加強(qiáng)安全操作，靈活運(yùn)用硬件和軟件病毒工具，利用網(wǎng)絡(luò)優(yōu)勢(shì)，把病毒納入到網(wǎng)絡(luò)安全體系之中，形成一套完整的安全機(jī)制，使病毒得到有效的控制，不會(huì)在企業(yè)網(wǎng)絡(luò)中傳播。在思想和制度方面，應(yīng)該加強(qiáng)員工制度管理，打擊盜版，建立健全網(wǎng)絡(luò)安全管理制度。在技術(shù)方面，采取采取縱深防御方法，運(yùn)用多種阻塞渠道和安全機(jī)制對(duì)病毒進(jìn)行防范。

　　對(duì)于病毒的防范最根本的是操作系統(tǒng)的安全，開(kāi)發(fā)并完善高性能安全的操作系統(tǒng)，全面升級(jí)操作系統(tǒng)，提高操作系統(tǒng)的安全性能，能有效提高對(duì)網(wǎng)絡(luò)病毒入侵的防范。還可以通過(guò)軟件過(guò)濾對(duì)病毒予以識(shí)別，隔離病毒，對(duì)于已經(jīng)存在在系統(tǒng)內(nèi)部的病毒，一般而言會(huì)采用系統(tǒng)參數(shù)分析之后，識(shí)別系統(tǒng)的不正常和惡意改變。

　　在數(shù)據(jù)庫(kù)后臺(tái)建立一個(gè)嚴(yán)密的病毒監(jiān)視系統(tǒng)，可以大大提高病毒入侵的防止工作力度和效率。對(duì)于一些需要下載的、有附件的的文件，系統(tǒng)可以對(duì)其進(jìn)行實(shí)時(shí)掃描，存在異常則隔離處理，及時(shí)更新病毒庫(kù)，集中處理病毒，便于管理。

　　在網(wǎng)絡(luò)出口處進(jìn)行訪問(wèn)控制，可以在出口處安裝防火器或者路由器，這樣也可以有效的防止內(nèi)部網(wǎng)絡(luò)中感染網(wǎng)絡(luò)病毒。只有建立一個(gè)有層次的、立體的、系統(tǒng)的防反病毒體系，才能有效地制止病毒在網(wǎng)絡(luò)內(nèi)的蔓延和傳播。