时间:2023-09-21 17:49:15
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业网络安全整改范例。如需获取更多原创内容,可随时联系我们的客服老师。
1、制定下发公司《企业邮箱使用管理办法》,并做好对公司本部及下属公司企业邮箱的维护使用工作。
2、梳理公司及下属企业网站现状,指导各企业对接IPV6改造事项,目前各企业初步方案已基本确定,正在履行各自审批程序。
3、配合集团企管部完成公司本部网络安全的检查工作,并就检查出的问题制定整改方案。
4、按照集团公司要求,继续做好公司网络安全的防护工作,及时对的漏洞进行修复,并指导督促下属存在网站漏洞的企业尽快完成整改工作。
5、持续对OA系统进行改进完善工作,并完成定期的数据备份工作。
四季度工作计划:
1、公司本部完成网站的测试、IPV6改造、上线工作,且自网站正式上线后,做好对网站安全的动态管理工作。
2、指导督促下属企业完成网站的IPV6改造,并按照月度定期向集团公司汇报工作进度。
3、鉴于OA系统已运行5年,系统中积累大量流程痕迹及文档内容,因上线后系统维护、数据备份工作均为自行负责维护,系统一直未进行更新及漏洞补丁修复,为防止系统或服务器意外损坏而导致的系统故障,拟于四季度制定OA系统售后服务及数据实时备份方案,待领导审议通过后适时实施。
为进一步提升全员网络安全意识,增强企业网络安全风险管控水平,近日,xx市局(公司)以“网络安全为人民、网络安全靠人民”为主题,扎实开展“国家网络安全宣传周”活动,营造起良好的网络安全环境。
加强组织领导,层层分解责任。结合工作实际,制定“国家网络安全宣传周”活动计划,健全网络安全管理组织机构,细化安全主体责任和监管责任,落实终端病毒防控、日常运维监测、系统隐患整改等方面的管控措施,严防网络安全事故发生。
加强宣传引导,增强安全意识。强化网络风险宣传,定期通过微信群、微信公众号等方式,对网络诈骗手段、个人信息保护措施等进行专题推送;充分利用电梯间展示终端“使用频繁、受众广泛”特点,选取网络安全警示教育短片,进行全天滚动播出,引导全员了解网络安全风险,培养安全意识。
加强教育培训,有效防范风险。组织信息化方面骨干力量,到青岛市局(公司)、xx中百集团等单位学习网络安全风险管控措施和经验;邀请信息化安全方面专家,采用观看网络安全警示教育片、实例讲解、模拟故障处理等形式对网络安全知识进行培训,进一步提高网络安全辨别能力和防御能力。
加强日常管控,提升应急处置能力。联合专业机构,对应用系统、网络核心设备等重点部位进行检测,查找安全漏洞,采取有效防护措施;按照网络安全应急预案演练方案,组织信息化部门人员定期演练,针对发现的问题,及时修订完善应急预案,切实提升突发事件应急处置能力。
关键词:网络管理;ARP欺骗;ARP病毒攻击;IP地址管理;排查与防控手段
中图分类号:TP393.18 文献标识码:A 文章编号:1006-8937(2012)26-0076-04
回顾企业网络安全运行维护工作,有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验,有效利用网络管理防范与处理ARP欺骗、攻击相关经验。
从近年的网络运维,网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通,有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生,所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位,从而给网络管理与网络维护提出了新挑战。
由于这种网络故障来的较突然,既没有可以参考的经验,又没有可用的网络协议分析仪等条件进行客观数据的实地采集,所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”,用逐段排除法对有问题的PC机进行定位后再采取整治方法,但这种方法费时费力,排除故障时间长。通过对故障网络现场观察和体会,加上对网络TCP/IP协议的分析后,得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别,采取有效的防控手段来遏制这些网络安全威胁。
1 ARP欺骗分析
ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议,或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中,以太网的每一帧有两种方式传输。一种对外传,就是用户有一个需求,当需要透过路由将网络帧转发到别的Vlan时,需要通过本地Vlan的网关。另外一种是内传,当有用户需求就在本身这个Vlan网络中时就不需要网关了。
当遇到ARP欺骗的时候,我们就会发现原本发送给本地Vlan网关的数据帧,没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了,就感觉到反复“掉线”或者“断线”,网络好像处在“震荡”中,迫使网络用户重新启动自己的计算机以期重新获得联网的需求,此时正好中了欲进行ARP欺骗计算机的“招”,当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时,进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址,以至于给用户一个重新获得上网的感觉,其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机,这就是ARP欺骗在一个Vlan中的基本原理。
进行网络ARP欺骗的计算机在进行MAC欺骗的过程中,会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法,网络欺骗计算机改写了CAM表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写,以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。
网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”,它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议(ARP)攻击”。
当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时,就发生了ARP攻击。通过这种方式,黑客们可以伪造MAC或IP地址,以便实施如下的两种攻击:“服务拒绝”和“中间人攻击”。
目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主,它们会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成网络断线了。
这就是ARP地址欺骗攻击,造成内部PC和外部网的断线,该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏,由于它与网络病毒相结合,所以无论在传播的速度和攻击特性都有较大的“聚变”,ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时,能够在网络中产生大量的ARP通信量,使网络阻塞或者实现“中间人攻击”(man in the middle) ,进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中机器ARP缓存的崩溃。
下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。
3 原因分析
从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看,这些计算机大多存在如下的共同特征:
①系统安全补丁严重缺失,有的Winxp在SP2后只有一个补丁,所以补丁缺少很多(约两年)。
②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。
③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档,特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。
④有的网络用户违规下载并安装“网络游戏”或使用带毒的“实时通信软件”所至,如“传奇”和“QQ”等。
⑤有的部门信息联络员没有及时将计算机安全基本要求宣传到位。
⑥有的部门领导忙于生产而无法具体落实计算机系统安全的相关规章制度。
4 利用网络管理防范与处理
4.3 对主要网络应用进行必要的网络细分
从对企业总部大楼十二楼Vlan241和原基建大楼Vlan226网络的整改后的使用效果来看,网络规划在必要的网段上要从多方面考虑网络应用的实际需要,特别是要从防控类似ARP欺骗和欺骗攻击病毒上考虑对重要网段的“细分”工作。企业总部大楼十二楼和基建大楼的网络在被“细分”后,实际使用和管理上较整改以前都有较好的网络使用和网络安全的效果,充分说明了这一点。
4.4 用网络管理软件和工具软件进行预防
充分利用网络管理软件的“IP地址管理”在MAC与IP绑定上的作用,对企业网络上运行的计算机系统进行全天候不间断的监控,再利用类似于Antiarp这样的工具软件对有问题故障网段进行现场“抓获”。
5 结 语
在我们这样大型国有企业网络中,网络故障错综复杂,不借助专业网络管理软件和认真细致地对网络故障分析,很难对非物理性网络故障,类似ARP欺骗和欺骗类攻击病毒引起的网络故障进行排查带来很大的困难,同时会给网络产生巨大的安全威胁。
所以,对于企业的网络运行,需要网络管理人员充分利用网络管理工具,对网络进行长期有效的监测和分析,才能最大程度地排除可能的网络故障和网络安全威胁。然而计算机系统安全是与各个使用计算机的企业网络终端用户密切相关的,计算机安全必须及时、有效地去“实施”的观念离实际的网络安全要求还相差的甚远,仅靠企业每年要求信息中心利用“总厂例行岗检”和“计算机系统专项安全大检查”的方法来维持网络安全,那是无法适应日益变换和增长的网络安全需要的。
近年来在网络安全运维实践中在技术层面上总结出一些行之有效方法,让参加企业IT网络运维的同行们能有效地共享,充分利用网络管理系统已有的功能,深化网络与信息系统的安全运行具有重要意义。
参考文献:
关键词安全隐患;网络安全;防火墙;防病毒;入侵检测;安全评估
Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.
Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment
中图分类号:TU714文献标识码:A 文章编号:
随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新。网络信息安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、灾难恢复等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,因此在公司单位制定一套合理的整体网络安全规划,显得尤为重要。
一、信息网络安全管理存在的安全隐患
(1)外部非法接入。包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与公司网络的连接,而这些电脑在很多时候是游离于企业安全体系的有效管理之外的。
(2)局域网病毒、恶意软件的泛滥。公司内部员工对电脑的了解甚少,没有良好的防范意识,造成病毒、恶意软件在局域网内广泛传播以至于影响到正常的日常办公。
(3)资产管理失控。网络中终端用户随意增减调换,每个终端硬件配备(硬盘、内存等)肆意组装拆卸,操作系统随意更换,各类应用软件胡乱安装卸载,各种外设无节制使用。
(4)网络资源滥用。IP地址滥用,流量滥用,甚至工作时间聊天、游戏、疯狂下载等行为影响工作效率,影响网络的正常使用。
(5)内部非法外联。内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网等,或违反规定将专网专用计算机带出网络进入其它网络。
(6)重要信息泄密。因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄漏或毁灭,造成不可弥补的重大企业损失。
(7)补丁管理混乱。终端用户不了解系统补丁的状态,不能及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道。
(8)“灰色网络”的存在。即单位信息网络管理人员对自己所拥有的网络不是太了解,不能识别可能被利用的已知弱点,选择合适的网络安全设备并及时保证设备的策略符合性;工作中疏忽大意等造成对网络的影响。
(9)没有建立完善的管理体系。配置再完善的防火墙、功能再强大的入侵检测系统、结构再复杂的系统密码等也挡不住内部人员从网管背后的一瞥。在公司各单位存在信息网络安全管理制度不明确合理、宣传不力、管理不善等现象,造成执行者执行手段匮乏或执行艰难。
二、网络安全管理应对措施探讨
对严峻的网络安全形势,如何保证网络安全并有效防止入侵事件的发生,成为摆在每个网络管理人员面前的难题。
(1)根据需求部署安全产品。首先要部署防火墙。它是执行安全策略的主要手段。其次,可以考虑IDS(入侵检测系统),以便对发生在防火墙后面的违规行为进行检测,做出反应。其他的比如防病毒软件、VPN产品、IPS等,对企业网络的安全防护也都起着重要的作用。
(2)制定完整的安全策略。安全策略是制定所有安全决策的基础,一个完整的安全策略会帮助企业网络使用者校正一些日常但有威胁性的纰漏,并使之在保护网络安全时做出一定的决定。强制执行的安全策略提供贯彻组织机构的连续性;当对攻击行为做出响应时,安全策略是首先考虑的资源;安全策略可以变动,也可以根据需要随时更新;当安全策略变化时,要让所有员工知道其重要性并遵守。
(3)制定完善的日志策略。日志是网络管理员调查网络入侵行为的必要工具,可以报告网络异常,跟踪入侵者的踪迹,因此制定一个完善的日志策略对企业网络安全很重要。
(4)进行定期的安全评估。相应的安全策略制定完成并实施后,就应当对企业网络进行定期的安全评估。可以定期的请第三方网络安全公司进行网络安全咨询,找出漏洞、分析漏洞及时降低风险。
(5)建立有效的应急响应机制。要拟定一份紧急事件应变措施,以便在事情发生、安全体系失效时发挥作用。应急措施应说明:紧急事件发生时报告给谁?谁负责回应?谁做决策?应急措施的制定要本着“企业损失最小化”的原则,体现出在业务中断时间尽量短、数据丢失尽量少、网络恢复尽量快等方面。
三、采取多种技术措施,保障网络与信息安全
(1)防火墙技术。安装防火墙,实现局域网与互联网的逻辑隔离。通过包过滤技术实现允许或阻止访问与被访问的对象,对通过内容过滤保护网络用户合法有效地使用各种网络对象;通过NAT技术实现动态地址转换,使受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址,这不仅可以对外屏蔽内部网络结构和IP地址,也可以保护内部网络的安全。
(2)入侵检测系统检测的主要方法。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。静态配置分析:通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏;异常性检测方法:是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法;基于行为的检测方法:通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。
(3)防病毒方面。应用防病毒技术,建立全面的网络防病毒体系;在核心机房和部分二级单位选择部署诸如Symantec等防病毒服务器,按照分级方式,从总部、地区、下属单位逐级安装病毒服务器,实行服务器到终端机强制管理方式,实现逐级升级病毒定义文件,制定定期病毒库升级与扫描策略,建立系统运行维护和公司防病毒技术支持相关人员,为公司员工使用的计算机终端加强了防病毒与查杀病毒的能力。
(4)桌面安全管理系统。桌面安全管理系统可以从技术层面帮助管理人员处理好繁杂的客户端问题。其目标是要建立全面可靠的桌面安全防护体系,管理和保护桌面软件系统,为各应用系统创造稳定、可靠和安全的终端使用环境,有力支撑企业的业务和信息化发展,确保信息安全。
(5)网络安全评估。建议每年定期请专业的安全咨询公司对企业内部的网络安全、关键服务器群、物理安全等方面做整体的安全体系的评估与安全加固,并提出一系列应对策略和应急方案,及时发现存在的各类威胁并进行有效整改,提高网络的安全级别。网络安全评估是建立安全防护体系的前提工作,是信息安全工作的基础和重点。
(6)操作系统安全策略管理。由企业相关技术部门制定出一套操作系统安全管理策略配置说明书,详细讲解对操作系统安全策略的配置和管理,包括帐户密码策略、帐户锁定策略、审核策略、目录共享策略、屏保策略、补丁分发策略等,对客户端操作系统的安全性进行必要的设置,使其能够关闭不必要的服务和端口、避免弱口令、删除默认共享、及时更新系统补丁等,消除操作系统级的安全风险。
(7)信息的安全存储与安全传输。信息的存储安全是各业务系统的重点,信息的安全传输是机密信息交换的保证。对于数据存储量较大的应用系统,可合理地选择存储架构,如采用存储区域网(storage area network,SAN),实现最大限度的数据共享和可管理性;采用RAID技术,合理的冗余硬件来保证存储介质内数据的可靠性;采用合理的备份策略,如定期完全备份、实时增量备份、异地容灾备份、多介质备份等来保证信息的可用性、可靠性、可管理性、可恢复性;制定和实施严密的数据使用权限;针对机密信息的网上传输、数据交换采取加密后传输。
(8)安全管理。网络信息安全是一项复杂的系统工程,安全技术和安全设备的应用可起到一定的作用。建立和完善各种安全使用、管理制度,明确安全职责;建立如突发事件的应对预案;加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患;建设一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。
(9)应用网络信息安全管理技术正确面对网络信息安全漏洞。目前,市场上各类网络管理设备(网络交换机、防火墙、入侵检测/防护系统、防病毒系统等)从技术角度来讲都已经成熟,我们只要选择知名品牌的信得过产品,对其进行合理的利用,对保障企业的网络信息安全能够起到积极作用。
五、结束语
建立完善的安全制度和安全响应方案,尽快建立起有效的信息安全防护体系,管理员加强自身学习和责任感,并不断加强和培养员工的安全意识,让公司每一位员工在意识和行动上都成为安全的“卫士”。只有这样,我们才能共同保障好企业的信息网络安全。通过网络软件与硬件产品的结合,正确合理地使用各种安全策略和实施手段,相信会建立一套全面、安全、易于使用管理的配套设施,将网络信息安全隐患减至最小。只有这样,才能确保公司的网络信息畅通、信息安全,才能实现公司信息化建设更好的服务公司的生产经营。
参考文献:
关键词:军工企业;网络信息;安全问题
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Study on Military Enterprise Information Security Issues
Su Bin,Sun Hailong
(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)
Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
随着社会信息化建设进程加快,军工企业对计算机网络信息安全的威胁,需要不断采取自动化的方法,来提高计算机网络信息的安全性。密码编码学技术给计算机网络信息安全带来了新的革命,在网络的各个层面上实现信息安全,提高保密性和认证的密码编码算法显得更为重要,确保计算机网络信息的安全已经成为社会所关注的热点问题。
一、军工企业信息安全问题分析
(一)设备中的漏洞问题
当前,软硬件的漏洞无处不在。众所周知,计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞,极易给病毒、隐蔽信道和可恢复密码等开辟捷径,极易为他人利用。每当发现新的漏洞,就会在短短的几分钟内传遍整个网络,攻击者就可以利用这些漏洞对网络进行攻击,网络信息处于被窃听、监视等多种安全威胁中,信息安全极度脆弱。
(二)计算机病毒问题
互连互通的网络给人们传输信息和共享信息带来了极大的方便,但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高,使网络用户防不慎防,给企业带来巨大的损失。境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标,无时不在对我进行情报窃密活动,黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞,经过一些非法手段访问企业内部网络和数据资源,可以删除、复制、修改甚至毁坏一些重要数据,从而给企业和个人用户带来意想不到的损失。
(三)隔离墙问题
大部分军工企业没有做到非的内外部网络的物理隔离,或逻辑隔离强度不够;另外存在一机多用的情况,在内外网之间随意转换使用。致使病毒在多个网络中流传,存在一点突破全网尽失的现象。一些单位内部文件共享情况比较普遍,缺乏有效的授权访问机制,对内不设防的情况比较多。对于一些物理隔离较好的内外部网络,因移动存储介质能够在两个网络之间能交叉使用,致使病毒仍能在网络之间流转,甚至能通过接入互联网的计算机把信息传输出去,致使内外网的隔离失去实际意义。
二、密码学解决信息安全的方法
经过加密处理后的信息在网络中传输,将很大的程度上避免了数据信息泄漏,即使黑客或病毒截取了相关信息,也要通过花大量的功失解密才能获知明文。密码编码学是解决网络信息安全问题的核心技术,保证了数据信息的可控性、保密性完整性、不可否认性和可用性。
(一)数据信息采取加密保存
首选的是运用数据信息加密技术,加密方法有对称加密和非对称加密,通过设置对文件设置密码保存,提高数据信息的安全性,加密的算法有AES密码算法,DES算法、三重DES算法、RSA算法等。只有解密后才能访问和理解原始数据信息。可以采用可靠的加密软件对文件进行加密保护,如电子邮件、口令等数据,通过Outlook发送邮件,自带有加密和数字签名等安全设置功能,可以使用安全设置后再发送,达到数据信息安全的目的,即使被截取后,黑客也要耗时间去解密,达到数据信息时效安全性。
(二)链路和端对端加密相结合传输
数据信息在网络传输过程中,采取链路加密还是端对端的加密都是有一定的缺陷的,只有把两种方法结合起来应用,才能使数据信息保护更加安全,主机使用端对端加密密钥来加密用户数据,整个分组则使用链路加密,分组在网络中传输是,每个结点用链路加密密钥来解密它,读取信息头,然后在对它加密,发送到下一条链路上,这样除了在分组交换结点的存储器逗留的时间里信息头是明文外,整个分组一直都是安全的。
三、军工企业信息安全的策略
解决网络信息安全的对策和措施的遵旨是技术与管理相结合:技术和管理不是相互孤立的。对于任何一个企业来说,网络信息的安全不仅是技术方面的问题,更是管理的问题。制定完善的安全管理制度,精确到细节,从企业高管到部门负责人以及普通员工,确定每个用户在网络中扮演的角色和承担的安全责任义务,职责分明。企业应将网络安全管理工作作为一项重要指标纳入年度考核,营造“网络安全,人人有责”的全体动员的氛围。同时应制定详细的安全管理策略,并每年定时或不定时的对非网络的服务器和计算机进行抽查,根据检查结果,对不符合要求的要实事求是的下发整改通知,并在公司网络安全管理会议上进行通报。军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到,安全不是技术,而是技术与管理的结合,任何先进的安全技术都需要严谨的管理作为后盾,否则,只是一堆软硬件的组合。我们必须从自身做起,坚持不懈,确保军工企业的网络信息安全。
参考文献:
关键词:电子商务;外贸企业;对策
一、电子商务对于现在外贸企业的发展引起的影响
(一)电子商务对传统外贸环境的影响
在中国加入到WTO后,对于中国中小型企业的外贸生意提供了便利条件,相关的政策和营业权限的批准均是为了企业进行“松绑”,很多中小型企业获得了相关的自营权力。但是在金融危机背景下,外贸企业面临着经营上的窘境,创新思维和技术革新缔造了这一行业的更高价值,使得中小型企业在全球市场上得到了又一光明大道。电子商务是通过网络平台拓宽了企业的发展市场,更好的促进外贸企业的全球化进程。
(二)电子商务对外贸企业在运营商的影响
电子商务为了中国外贸企业在运营渠道上开辟了更广阔的市场,也给外贸企业发展速度提供了国际化的平台。电子商务改变了传统商务交流模式上的弊端,减少中间商赚差价,降低了一定的成本,并且交易过程更加透明化、合理化,满足消费者价格心理的同时,也为各大企业的经理利益提供了一定的保障。
二、电子商务对于现在外贸企业的发展引起的一些问题
(一)需求的目标用户不明确
现有的中小型企业中对于网络贸易的认识并不透彻,构建网页的时候目标较为盲目,功能上过于简单化,网页长时间不进行维护,这对企业的整体形象影响深远。
(二)企业电子商务的普及率较低
在现有的很多企业中信息化模式使用并不完全,在企业网络更新和维护上并不上心,对客户的反馈和客户的询问并不能及时的回复。有的企业并没有自己的官方网站,就会借助第三方的平台进行进一步销售,例如阿里巴巴、中国制造网等等,但是依然秉承传统模式的观念,没有将电子商务运用到实际中来。
(三)相关的电子商务系统配套服务并不完善
制约着电子商务的主要原因在于物流服务,首先打造较大、较全、系统的仓库系统是可以完成的,但是如何将货物安全、完整、无破损的进行输送成为外贸企业应该关注的问题。
(四)现有的外贸环境需要完善
在电子商务不断发展的今天,网络安全成为大家关注的问题,网上交付、网络环境安全、有关网络安全构建的制度和条例建设等都是需要再次梳理和完善的。这些均是制约外贸企业拓展业务的关键问题。
(五)中国企业的信用问题有待改善
在国际购物网站上,每家店铺的网上信用问题成为大家选择的重要凭证,网上的购物评价也成为了大家选择的一个标准。而电子商务的平台构建成为了消费者与企业合作的重要沟通工具,这不仅会严重影响到交易成功率也会影响品牌的名誉。所以,在构建外贸企业电子商务平台过程中,相应健全的机制成为保驾护航的关键。
三、问题对策
(一)外贸企业要重新定位,用发展的眼光看问题
在传统贸易中将线下贸易改革成为线上贸易的发展新局势和新方法,知识单纯的依靠企业宣传和人工宣传已经不能满足,随意当机立断的进行有效的制度改革,通过政府的监管与扶持,将市场作为主要的实施媒介。在对外脑企业进行有效的整改过程中,积极地相应市场的新格局和社会的变化发展,建立属于自己的网站,宣传企业产品,在网上开拓市场信息。在对企业网站进行设计时要突出属于适合自己企业网站的风格,创建针对企业的、独特的服务功能和网络环境,及时找到适合企业定位的沟通方式,使得企业实体与网络经营的双模式综合体,为外贸经济创造更大的发展空间。
(二)利用全新的电子商务模式进行企业营销
首先,根据企业的特点和使用人群进行电子商务的系统优化,尽可能的减少中间繁杂的中间环节,在用户购物时,可以设定一定的优惠服务,吸引消费者眼球,博得产品关注在某种程度上说是引导消费者进行选购;可以建立会员制度,在一定时期进行会员优惠,这不仅可以稳定用户,还可以促进客户的消费心理。这样更好的构建经营、人脉、金融多层经济关系。
(三)国际贸易要加强先关的法律法规,完善网络的信用制度
在现有的相关贸易法律法规中,对于电子商务的网络交易还有一部本并没有完善。根据相关部门的调查走访进行系统分析,网络安全、网络管理、支付安全等方面的法律条文需要进行系统整改,从技术上到电子商务意识方面,均要求有所涉及。要做到企业懂法,处处合理安全。
(一)信息安全中的道德问题。
信息安全问题是网络营销领域中的核心问题,网络营销中比较常见的信息安全道德失范问题常见的有:有意或者无意地向顾客传播木马、病毒或者恶意代码;强行更改浏览器的起始页面或者篡改浏览器标题栏上的公司信息;为了醒目和增加识别性,使用他人的知名商标、字号、商品名作为链接标志等等。
(二)消费者权益中的道德问题。
受经济利益的驱使,一些网络营销企业采用cookie、WebBugs或者其他技术手段在网络里暗中监视和收集消费者的浏览痕迹,再进行数据归档,使得消费者个人隐私权受到了侵害。甚至未经当事人同意,在互联网上公开、传播或转让他人和自己之间的隐私。
(三)商品交易中的道德问题。
网上交易中买卖双方不可能“一手交钱、一手交货”,交易的虚拟性强,导致消费者即使被骗后也不好采取法律行动,这便给一些不道德的营销者提供了欺诈的空间,虚假交易时常发生。
二、我国网络营销中道德问题产生的原因
(一)网络营销伦理失范的环境因素。
一是网络的虚拟性使得人们的社会角色和要承担的道德义务责任与现实中有很大不同,更容易受到不道德、反伦理的信息的侵犯,导致网络群体道德水平下降。二是复杂的网络技术支撑下的高效率的全新商业模式也为网络运营商、第三方电子商务平台、政府管理部门的监管带来了新挑战和难度。三是网络营销的超前性和成长性特点使得网络管理具有滞后性,导致了网络营销中伦理失范问题的严重性。
(二)网络营销伦理失范的主体因素。
开展网络营销的企业是网络营销伦理规范的主体,其存在的问题有:
1.网络营销企业缺乏伦理道德观念,片面追求利润最大化。追求利润最大化是市场经济中企业奉行的首要经营原则。一些企业置商业伦理道德于不顾,过分强调自己的经济利益,致使在网络营销过程中出现了种种违背伦理原则的经营行为。
2.网络营销企业尚未构建良好的企业营销伦理文化。目前我国网络营销企业当中具有良好企业文化的为数不多,基于良好企业文化的企业价值观将引导企业合法和积极地经营,错误的企业价值观则会致使企业只片面追求利益最大化,很可能导致道德失范。3.网络营销企业领导者的自身道德素质良莠不齐。我国的网络营销企业以中小型企业为主,网络营销企业的企业家有部分人急功近利,社会责任感不强,忽视了伦理道德在经济活动中的约束作用。
(三)网络营销伦理失范的外部因素。
1.网络营销相关的法律法规缺失,政府监管不力。目前我国现阶段并没有关于网络营销相关的专门法律法规,法律和制度的缺失使得我国网络营销漏洞百出,让非法者有机可乘,扰乱了正常的市场经济秩序。
2.网络消费者维权意识较为淡薄。网络营销的虚拟性决定了消费者购买商品时间和空间上的分离,利益受损的消费者有可能会抱着“多一事不如少一事”的态度,放弃维护自身的合法权益。
3.“信息不对称”造成的企业诚信缺失。营销企业拥有的信息量大,占据信息优势,而消费者无法准确掌握商品质量等信息而处于信息劣势。这种信息量不平衡造成部分企业在经营过程中违背道德原则,进行违德违法营销,以求获得更多的利益。
三、治理我国网络营销中道德问题的对策建议
(一)加强企业内部道德建设,提升企业网络营销伦理水平。
构建积极健康的网络营销伦理,作为市场主体的网络营销企业要自觉按照道德规范自我教育、自我约束,网络营销企业要注重对优秀企业文化的培育,并依托良好的企业进行规章制度的建设。
1.树立网络营销伦理观,打造道德过硬的营销团队。企业不仅是经济组织,也是社会组织,企业要有正确的经营指导思想,处理好“义”与“利”之间的关系,在网络营销活动中要切实维护国家利益、人民利益、消费者利益以及竞争者之间的利益。
2.加强企业网络营销伦理文化建设,增加企业竞争软实力。要将健康向上的企业文化渗透到企业的伦理承诺中,并且与整个企业的伦理状况进行紧密的关联,一种具有凝聚力的企业文化能够保证企业的营销行为合乎伦理的要求。
3.建立企业网络营销道德规范,提高网络营销者的道德水平。公司信条或者伦理章程能很大程度上影响到公司内的伦理行为,其执行的好坏将深刻影响到企业职工的素质和道德素养,并将极大地影响企业营销的伦理水平。
(二)加强网络安全建设,确保消费者的利益。
随着网络营销的发展,安全问题更加突出,在计算机互联网络上实现的商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。解决好这个问题,应从完善网络安全技术和网络安全协议两方面入手。
(三)发挥政府在网络营销伦理建设中的调控作用。
企业在网络营销中出现的一系列伦理失范问题的规制,除了内部自律,也需要外部约束,在此之中,政府因素是影响企业营销道德水平高低的重要外部因素。
1.健全网络营销的法律法规,保障网络营销健康发展。健全网络营销的法律法规主要可以主要从四方面进行完善:一是尽快出台《电子商务法》。二是修改完善《广告法》,加快制定《网络广告法》。三是加快完善《合同法》。四是针对网络隐私安全问题,完善《消费者权益保护法》,将网络营销纳入到法律的控制范围内,这是我国网络营销规范化和法制化发展的必由之路。
2.加强对网络营销道德违规行为的制裁和处理。从我国的实际情况看,不仅需要“有法可依”,更需要“有法必依和执法必严”。鉴于此,行政监管部门应组织成立专门机构,加强与工商行政、物价、税务、技术监督等部门的协调合作,定期清查网络营销企业的道德违规情况,及时提出整改意见,加大惩罚力度,提高失信网络营销的违信成本,从而有效遏制不道德网络营销行为的蔓延。
关键词:信息 安全 现状分析 存在问题 防控措施
随着国家电网公司信息化战略的部署和资金、技术的投入,县级供电企业的信息化建设水平得到了很快的提升,供电企业的生产调度和经营管理对计算机和网络信息系统的依赖程度也越来越强,甚至,离开了信息系统的支撑,日常的生产、经营、管理活动已经不能顺利进行。但是,需要引起重视的是,县级供电企业在信息化跃进过程中,在人员、设备、技术和管理中的不足,使信息安全面临的风险也在日益突出。
一、信息安全风险
信息作为一种特殊资源与其它资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。
县级供电公司信息安全的风险有内部的,也有外部的。内部的表现为:网络故障、应用系统故障等;外部的表现为:网络入侵、外部泄密等。内、外部网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取商业秘密和机密信息,非法使用网络资源等,将给企业造成巨大的损失。
二、信息化网络及应用现状分析
在网络硬件方面,已经建成CISCO7603、CISCO4507R为主交换机,主干为千兆的以太网。上联网络连接升级为光纤通信为主,以太网2M为备用的方式。建成了覆盖全公司20多个乡镇供电所及变电所的农村信息网。实现百兆到桌面、三层交换、VLAN等技术普及使用。主要分为两类网络系统,一类是实时系统,有调度自动化系统、设备监控操作系统;另一类是非实时的办公自动化应用系统、电能量采集系统、集中抄表系统。两类网络系统是物理隔离,分网运行的。
在软件方面,各应用主要包括调度自动化系统、负荷监控系统等。计算机及信息网络系统在电力生产、建设等各个领域有着十分广泛的应用,为安全生产、降低成本等方面取得了明显的社会效益和经济效益。
三、信息安全现状分析
按照省、市公司信息化工作的统一部署,我公司信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行了物理隔离。按江苏省电力公司系统集成、数据集中要求,调度系统、电力营销等核心数据都集中在省市公司管理,对公司网站、NOTES、下属企业财务数据都建立了备份策略和容错措施。企业内网和互联网采取了严格的隔离措施,严防内外网机器混用造成信息外联。信息网络按业务划分了10个VLAN,设置了访问控制。采取了统一的域名管理,与市公司共享操作系统LiveUpdate系统,及时派发更新程序,堵塞操作系统漏洞。部署了symantec防病毒软件,通过派发的形式对整个网络部署查、杀毒。全面应用了国网桌面终端管理系统,实时监控客户端的异常情况。采用了国网移动存储介质管理系统,加强对移动存储介质的管理。
但是客观来说,县级供电企业在信息安全管理上人员、技术薄弱,职工信息安全意识不到位,管理流程上存在疏漏,给网络的安全埋伏了很多的不利因素。
四、信息安全存在的问题
1、操作系统及网络安全问题。
目前,电力企业信息网络中使用的硬件设备及操作系统的核心技术基本上来自国外,被认为是易窥视和易打击的“玻璃网”,网络安全处于被窃听、干扰等多种信息安全威胁的脆弱的状态。同时,县级供电企业的操作系统大部分缺乏正版保护,难以得到有效升级和修补,难免受到“木马”与“后门”的威胁;用户习惯于默认密码或管理者设置的初始密码,较容易被他人破解;操作系统不安全的默认设置、共享等都可能给非法入侵提供方便。对于网络设备,用户使用tracert等工具较容易获知核心交换机的IP地址,如果管理端口不加限制,使用空密码,明文密码或默认密码,交换设备有被恶意控制的可能。局域网络布点缺乏有效的规划和管理,对使用普通交换机随意串接,甚至使用无线路由串入,缺乏侦控手段,同时对计算机设备接入也缺乏有效的审查管理,内网外联风险比较突出。
2、应用系统用户身份认证和访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统之间没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。三是用户安全意识不强,习惯于默认密码或管理者设置的初始密码。应用系统人员变换后,延用以前的密码,疏于更换帐号与口令。习惯于使用“保存账号”、“保存密码”的方式登陆应用系统。
3、木马与病毒问题。
随着Internet技术的发展、企业网络环境的壮大和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。同时,黑客攻击的风险增大。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。非正版保护的操作系统和应用软件的使用,为木马与病毒的植入及黑客攻击提供了可能;部分客户机的操作系统和防病毒软件未能及时得到升级,系统用户在使用移动介质在外网和内网之间交换数据时,很容易携入木马与病毒,使之成为发动攻击的肉鸡。
4、存储介质管理问题。
目前,县级供电公司虽然推广使用了国家电网移动存储介质管理系统,但是在使用中仍存在三种信息失密可能:一是用户习惯使用注册时的默认密码,不加以个性化更改,这样移动介质被他人获取后很容易被破解,使数据泄密。二是部分用户在移动存储介质注册时,为图使用方便,划分出自由区域,在实际使用时,绕过保密区登陆使用,将工作文档存储在自由区,如此使用移动介质,毫无保密可言,极易形成信息外泄;移动存储介质的交叉使用,也可能造成信息内部失密。另外,机器维修也需加强管理,目前,县级供电公司基本上计算机专职配置为1人,需要管理300台左右的机器和庞大的局域网络,基本上是疲于应付,计算机故障处理、系统重装等一般外包给社会电脑门市,将单机信息保密工作寄托于维修商的良知,风险极大。
5、数据库数据和文件的明文存储。
电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以绕过应用系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。
五、针对信息安全漏洞的防控措施
1、加强信息安全教育。应该将信息纳入到供电企业安全管理中,并与生产安全置于同等重要的位置,长效管理,常抓常新。为了保证安全的成功和有效,信息主管部门应当对企业各级管理人员、用户、技术人员进行安全培训。特别是对基层班组和供电所信息用户,应用能力相对薄弱,亟需开展定期的应用能力培训和考核。所有的职工必须了解并严格执行企业安全策略,明确其对企业信息安全所承担的职责和义务,要求能够保证自己的计算机和相关应用的安全。
2、加强密码管理工作。对网络设备、操作系统等各类密码要妥善治理,杜绝默认密码,出厂密码,无密码和容易猜测的密码,防止非法用户入侵使用。密码要及时更新,特别是有职员调离时密码一定要及时更新。减少应用系统的账号共用、通用。
3、加强信息介质的管理。备份的介质要防止丢失和被盗。移动存储介质注册时要限制使用自由存储区域,减少使用通用密码。建立报废的介质的清除和销毁制度,加强报废介质管理。增加计算机管理人员配备和加强计算机管理网络建立,逐步减少外送维修,防范外修过程中存储介质信息的泄密。
4、加强设备技术投入。应用先进的加密技术和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求。引进进侵检测系统提供企业级的安全检测手段,最大限度地、全天候地实施网络监控。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络治理提供强有力的保障。建议取消DHCP服务,在交换设备上使用MAC地址与IP地址的绑定,加强接入内网设备的有序管理。
5、加强内网外联治理。在管理上,加强内网外联知识与危害性的广泛宣传,对发生内网外联事件的人要严肃处理,捆绑考核。在技术上,内、外网的设备接入要有明显的物理隔离和标志,防止误操作的发生;杜绝计算机内外网混用;严格防范ADSL等设备接入内网终端。
6、加强信息责任制考核。要强化信息安全考核机制的执行,对发生的信息安全事故或隐患,要通过技术手段追踪到责任人,并按照四不放过的要求,组织分析调查,落实考核、落实整改措施,并举一反三,深化对全体职工信息安全养成教育。
六、结束语
综上所述,技术是信息安全的主体,管理是安全的灵魂,信息安全,三分技术,七分管理。只有将有效的安全管理实践自始至终贯彻落实于信息安全工作当中,信息安全的长期性和稳定性才能有所保证。
参考文献:
[1]刘立兵.浅谈计算机网络在电力系统的应用及安全性
关键词:防火墙;双机;状态检测;VRRP
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10454-03
随着互联网以及现代通讯技术的发展,以及用户对服务品质的需求,高可用性网络已经越来越成为Internet组网设计的目标。因网络中断给用户带来的损失以及潜在损失已经十分巨大,有研究表明,网络停运带来的损失已经高达几百万美元/每小时,而由此带来的隐性损失则更是难以估量。
在防火墙的可靠性试验之前,先了解目前防火墙的技术以及该技术特点对防火墙可靠性的影响,目前各类型的防火墙从其实现原理上来说基于以下三大类:
1) 基于逐包转发过滤的包过滤;
2) 通过检测会话状态基于会话流的状态;
3) 基于应用方式的全。
这三种防火墙技术的优缺点不作详细讨论,对于第一种逐包转发过滤的包过滤防火墙因为其不能很好的区分和保护不同的区域,在运行内部网络访问外部网络的同时也提供了外部网络访问内部网络的安全漏洞,因此这种防火墙技术在近年来属于逐步被淘汰的技术,但是就可靠性而言,因为该技术采用逐包转发过滤,对会话流的来回路径不敏感,因此在不做Nat的时候,其冗余设备的备份可以做到平滑过渡,不过在启动了Nat功能的情况下,由于不同的设备很难做到对同一会话进行相同的地址转换,导致包过滤防火墙在Nat的应用中也出现问题。
对于基于应用方式的全防火墙,由于其隔离了与外部网络和内部网络的连接,它能给内部网络提供很好的保护,但是他的优点同时也是最大的缺点,由于采用的是应用的方式,对于应用程序而言就不透明了,需要应用程序为这种连接进行适配;并且由于采用了全方式,其处理的性能要明显低于其它两种类型的防火墙。就可靠性而言,要做到双机热备的话,不仅要求会话的来回路径一致,而且因为它是全,这要求每一个报文都需要适时地备份到备机上去,这种特性使得全方式的防火墙的双机热备实现起来很困难,在实际应用中也很少见这种防火墙的备份方案。
下面我们将通过两组实验讨论基于会话流的状态防火墙的可靠性问题,所谓状态防火墙是指用户通过防火墙访问外部网络时,会在防火墙上创建一个会话表项(该会话表项通常情况下会包含该会话的五元组信息――源/目的IP地址、源/目的端口、协议类型),这样从外面回应的报文如果能匹配该五元组就能顺利通过防火墙到达用户,而从外面主动发起的会话请求因为不能匹配任何会话表项,而被ACL规则过滤掉。这样就可以提供给用户不同级别的保护,从而有效地保护用户的内部网络。目前大部分防火墙产品都是属于这种技术的防火墙。由于这种基于会话流的防火墙要求每个会话的来回路径一致,因此在做双机热备的时候对组网有特殊的要求,以下将通过实验了解防火墙可靠性技术,以及实验过程中出现的问题并提出的解决方案。
1 防火墙双机试验组网及配置
单组防火墙双机可靠性实验中采用设备有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及华为Quidway 6500系列交换机, sinfor互联网安全控制产品。根据可靠性要求将网络安全设备和交换设备进行如下组网设计和部署,通过实验测试防火墙HA情况下不同安全区域的数据过滤及交换情况以及在该种模式和网络结构中存在的故障现象。
首先我们做单组防火墙双机的实验,其网络结构如图1所示。
该结构使用H3C系列高端网络及安全设备组网,适用于大中型企业核心网络安全控制区域的网络拓扑结构。通过这种网络结构的部署可以有效的防御外部网络及企业内部网络对重要服务器的安全攻击、漏洞扫描、木马入侵等等,进而有效地对企业的研发、生产、商业、财务等机密数据进行保护和可控授权访问。本实验中将主要针对这种结构下所使用设备部署完成后出现的故障进行分析和讨论。
单组防火墙双机实验采用H3C9512高端交换作为企业的核心交换,H3C9508作为企业应用服务器区域的核心交换。在4台9500系列的交换上分别配置万兆光纤交换单板,在9508上加H3C的SecBlade III防火墙业务单板,防火墙单板通过9508内置的万兆接口与9508互连。两台9500系列交换通过万兆光纤接口卡进行交叉互连,设备互连接口地址均使用30位掩码。9508交换作为二层交换使用,服务器区域的三层网关地址全部配置在SecBlade防火墙与9508互连的万兆接口的逻辑子接口上,并且这些VLAN都配置为VRRP模式,可根据需要将其中一台防火墙或者其中一部分VLAN配置为master vlan,另外一台或者另外一部分VLAN配置为slaver vlan。在防火墙和9512上都启用ospf协议,将互连及三层VLAN地址段到ospf中。因该防火墙可将不同的VLAN划分在不同的安全区域内,所以我们在防火墙上配置3个不同的安全域,并将配置好的逻辑子接口划分到不同的安全域中,这样就形成了不同的安全区域,安全区域的默认访问规则为单向,也就是高优先级区域默认可访问低优先级区域。然后在9508上增加与防火墙三层接口相同的VLAN,在将千兆物理接口添加到不同安全区域级别的VLAN中。最后启用防火墙的双机热备功能,并选择防火墙业务板上的一个接口作为心跳接口,服务器(unix系统,需要双网卡)通过EtherChannel IEEE802.3ad配置成网卡冷备的模式,为了能模拟出各种情况,我们特意将server1的主网卡放在9508-A上,将server2的主网卡放在9508-B上。为避免因静态路由带来的不能检测设备故障的情况,该组网采用了动态路由协议,在防火墙和交换上都启用ospf协议。
串联多组防火墙双机试验设备采用了Juniper及Topsec防火墙、H3c9512交换机、深信服行为控制设备、Radware的LinkProof链路负载均衡及2条不同ISP互联网线路。这些设备都是我们选用的支持双机的网络及安全设备进行串联,进行Intranet和internet互访、Intranet与DMZ、Internet与DMZ区域之间数据通讯测试。由于实验1已经介绍了单组防火墙双机的实验情形,故这里只介绍军事化区域至互联网区域数据通讯的实验情况,该实验的网络拓扑结构如图2所示。
该网络结构使用双重防火墙及上网行为控制设备对企业军事化区域和互联网区域进行了严格的数据过滤和行为控制,是企业军事化区域、半军事化区域及互联网区域之间数据互访受控的一种常用网络结构,适用于大中型企业对内外部数据交换须进行严格控制、审计、授权访问等操作,或网络运营服务商对外部用户提供高可靠和安全性互联网服务在互联网出口部分至企业核心交换层的网络部署。通过本网络可以有效对内外部上至应用层下至物理层数据的交换有效的控制、阻断、审计。
同样先简单介绍该组网拓扑结构及设备配置的基本信息。我们同样使用9512作为核心交换,双机之间通过TRUNK接口互联,上行与SSG520防火墙相连的接口配置VRRP与其互联。SSG通过厂商的NSRP协议配置HA,并将其配置为桥接路由模式。SINFOR设备通过串口心跳配置好HA,并将其配置为透明桥接模式。Topsec防火墙通过CISCO 的HSRP和浮动静态路由技术来配置冗余备份双机结构,并将其配置为NAT模式。负载设备LinkProof采用标准VRRP配置为冗余双机(由于本次实验设备限制,只做单机)。为防止动态路由的动荡引起链路路由切换,两组防火墙的路由都采用静态路由的方式进行配置。
2 防火墙双机试验故障现象
对于实验1我们做如下的数据访问测试:在9512A上和9512B上分别做一个用户VLAN并接入两台pc,两台服务器(可使用普通pc代替)分别接入到9508上的,使用同一个网段的地址。我们通过pc使用ICMP包对pc至server端的链路进行检测,从pc1和pc2分别发至server1和server2的检测包结果显示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包则出现丢包或者不通的现象。查看路由得知pc至server 都有三条下一跳路由,跟踪路由发现pc1跟踪server2的路由到SecBlade-A后出现中断,pc2至server1的路由到SecBladeB出现中断。之后我们将交叉链路去除后再次做上面同样的测试发现故障依旧,根据路由情况得知基于会话状态的防火墙在特殊的网络结构中存在来回路径不一致而导致的中断现象发生。
对于实验2做了如下数据访问测试:首先现在没有任何设备、接口、线路故障的情况下,三组双机设备都是主机在工作的,此时PC至互联网server的访问数据会通过所有双机的主设备;我们手动的将SSG520主机的外网接口shutdown后会自动切换到备机工作,sinfor发现与其lan口相连的接口down了也会自动的切换到备机, topsec主机发现与其互联的sinfor主机故障切换了,topsec主机也会切换到备机工作,这种情况并未发生中断现象。但当我们将刚才shutdown的接口还原时,我们发现此时出现的故障情况为PC至server的数据会出现中断现象。将SSG520手动down的接口还原后的情况发现三组冗余双机设备开始在不断的进行主备的切换,无法达到一致状态。这时情况是三组双机因为切换的时间和检测的故障的。根据各种设备切故障检测和切换机制分析得知:目前大部分的冗余双机故障检测基本上为互联接口物理up/down和IP跟踪两种检测方式,由于各不同厂商设备主备切换的时间存在差异,导致其他两组设备切换却得不到一致和同步切换的效果,而在故障检测中增加IP跟踪的检测机制只能对存在接口地址的双机设备有效,而在设备互连接口不存在IP地址作为透明模式使用时依然无法进行更有效的补充,这种情况下三组设备很难达到同步切换的状态,因此导致故障现象的发生。
3 试验故障分析及解决方案
针对以上三组实验的故障情况我们分别作了简单的分析并给出了不同的解决方案。对于实验1中防火墙可靠性实验中,出现的故障情况后对PC至server的路由分别进行了跟踪和分析。本次的整个网络结构中全部使用ospf协议,并将路由都在AREA0区中。根据我国有关部门的提出的规范在默认不改变各条路由开销(cost)值的情况下,所有设备直连的路由开销值都相同,在两台防火墙上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到这两个网段的路由是通过ospf分别从SecBladeA和SecBladeB上的路由表中学到的,这样从pc1至server2的路由就会从secblade-A走,而server2至pc1的路由则会从secblade-B走,这是就出现了来回的路径不一致,同理pc2与server1的互访路径也会出项这种情况。针对实验中因会话来回路由不一致所遇到的问题,就此故障现象,我们可将9512与防火墙之间的交叉链路去除,并更改各条链路的cost值,保证其来回的路径在一条路由上。这种情况下当其中一台交换或者防火墙出现故障后可通过VRRP保证master和slaver vlan之间切换,从而使PC至server的数据不会出现中断现象,这种改造的弊端在于不能做到双机负载也就是双A状态的运行模式。因此另一种解决方案将SecBlade 防火墙的会话通过心跳进行同步,保证主防火墙和备防火墙实时的去同步授权允许的会话列表,这样一来,既解决了会话流来回路径不一致的现象,同时也将该组网结构中的两台防火墙形成了双A状态,分担了负载。特别说明该实验中根据设备的特性使用心跳线来代替实验1中的防火墙的三层互联即可。
对于在第二个实验中出现的故障现象,由于现网中使用的各厂商设备的故障检测机制的不一致性,如要统一算法需要将研究制定统一的故障检测方法和切换机制。因此分析了实际情况后,我们可根据故障现象和原因对网络结构进行整改和优化后解决做实验2中一组冗余双机出现主备切换时导致网络中断的问题。我们可在该网络结构中增加一组交换,在该组交换上分别配置两个Vlan,我们这里配置Vlan100和Vlan200,然后将Sinfor的wan口和Topsec的Intratnat接口直接接在新增交换机的两个接口上,并把这两个接口配置到Vlan200中,同样将Sinfor的lan口和SSG520的Internet接口也接入到与这台交换机上的两个接口上,并将这两个接口配置到Vlan100中。另外一组设备以同样的连接和配置方式与另外一台交换机互联。两台交换机通过TRUNK口互联并允许Vlan 100和Vlan 200 通过。其实这里新增加的两台交换是用作半军事化区域的核心交换使用的,这样内网与外网同时可以接入到这两台交换上,可以节省硬件资源。我们在进行同样的实验,将三组冗余设备在任何一组设备中任何一个模拟故障现象都不会导致其它两组设备的主备切换,即使我们设备的故障检测是包含Track IP的方式也不会导致另外三组冗余设备的因存在故障切换时间的差异而造成网络中断的现象发生。即各种故障或者切换都不会导致PC至server链路的中断。具体的网络整改拓扑图如图3所示。
从实验3的网络拓扑中可以清楚的看到,无论三组设备的故障切换是否能够同步进行,PC至server的链路都会有一条通畅的路存在。这是本实验中解决故障问题的较实用的方案。对于该实验中存在的故障原因还存在另外一种解决方案,但有待于研究讨论及权威机构的统一和制定,研究和制定出一套通用的双机故障检测及切换算法或者制定一种新的双机故障同步切换通讯协议类型。使该算法或协议能够支持端口检测、会话同步、IP跟踪等多种故障检测机制和统一的切换算法,使双机设备都能通过该算法或协议在各种不同的故障情形下进行快速有效统一地故障同步切换也是解决该问题的重要方法,也是统一网络设备冗余双机故障检测及切换机制的研究方向。目前huawei研究的VGMP和HRP协议已经将huawei的防火墙进行了较好的状态一致检测和会话同步的管理。
4 总结
在整个网络结构设计和实施过程中详细分析和说明了三组双机实验的网络结构在企业不同安全区域部署的目的、作用和效果,同时对在部署过程中出现的问题进行了分析和研究,在网络结构的基础上给出问题解决方案,并对其进行网络改造和优化,用来满足用户信息安全的需求和目的。第一组实验部署在企业的核心数据受控区域,为严格控制各应用服务器之间以及用户与服务器之间的数据访问,采用可自定义多区域的防火墙能够很好的实现企业对不同敏感数据的安全控制需求。但在基于会话状态的理想全冗余交叉的网络连接中存在的来回路径不一致的故障情形,因此解决方案为将主备防火墙置于双A的工作状态,并将全部的会话状态进行较好的同步,这样不仅解决了路由不一致的问题,也使主备设备都得到了充分的利用,减轻和降低了单设备的负载和单点故障引起切换带来的业务中断。第二组实验部署在企业互联网出口的网络结构中,将军事化、半军事化及非军事化控制区域的数据进行了严格的区域控划分和数据控制,并通过行为控制审计设备严格地对军事化区域数据交换进行控制、审计及记录。安全与性能本来存在对立的一面,因此实验二虽然在给企业的信息安全带来高可靠的保障和受控手段,但同时这种高安全的网络结构势必会对企业网络性能造成一定的负面影响,企业可根据实际情况选择网络安全的程度。实验二中针对该实验中由于故障引起的双机设备主备切换不一致导致链路中断的现象进行了网络结构改造后形成了实验三的网络拓扑结构,实验三的网络结构不仅解决了实验二切换的故障问题,同时也将多组双机网络结构的故障率降为最低,设备切换带来的业务中断时间降为最少。实验三的网络拓扑方案适用于目前多数企业的互联网出口结构。本文为企业网络架构的设计及安全部署,网络故障处理提供了一定的实践依据和说明。
本文通过三组实验的网络拓扑结构的设计实现、故障测试分析及解决,对几款目前国内较流行的状态防火墙和安全设备的双机基本配置、工作模式、安全防范、故障检测切换机制都有了基本的了解和认识,并给企业用户在企业安全区域网络拓扑结构的设计方面提供了较好的理论应用和实践基础。在故障测试过程中通过对故障分析和处理,提出的解决方案和处理思想对企业安全网络的合理设计提供的实践证明,也为功能全面防火墙的设计和实现提供了重要的研究方向和思想依据。
参考文献:
[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
[2] 胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004:22-26
[3] 柯宏力.Intranet信息网络技术与企业信息化[M].北京:北京邮电学院出版社,2000,24-32,71-82,150-176.
[4] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.
[5] 雷震甲,马建峰.Internet安全和防火墙技术安全体系结构[J].通信保密,1998(2).
[6] 刘晓辉.网管从业宝典――交换机路・由器・防火墙.重庆:重庆大学出版社, 2008-5-9,81-86, 117-185,270-275,371-400.
[7] 吴昕,李之棠.并行防火墙研究[J].计算机工程与科学,2000,22(2):54-57.
[8] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.
[9] 张云鹏.网络安全与防护技术的研究及应用[D].中国优秀博硕士学位论文全文数据库,2006(6).
