時間:2024-02-02 17:14:35
引言:易發(fā)表網(wǎng)憑借豐富的文秘實踐,為您精心挑選了九篇全球網(wǎng)絡(luò)安全范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時聯(lián)系我們的客服老師。
關(guān)鍵詞:網(wǎng)絡(luò)安全防火墻加密技術(shù)PKI技術(shù)
隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來,已被信息社會的各個領(lǐng)域所重視。
計算機網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等,以下就此幾項技術(shù)分別進行分析。
一、防火墻技術(shù)
防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。當一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
二、數(shù)據(jù)加密技術(shù)
與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術(shù)
對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數(shù)據(jù)加密標準DES,DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。
三、PKI技術(shù)
PKI(PublieKeyInfrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。
1.認證機構(gòu)
CA(CertificationAuthorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。
2.注冊機構(gòu)
RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活,就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。
3.密鑰備份和恢復(fù)
為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。
4.證書管理與撤消系統(tǒng)
證書是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。
四、結(jié)束語
網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強大的安全服務(wù)。
參考文獻:
[關(guān)鍵詞]計算機網(wǎng)絡(luò);信息;網(wǎng)絡(luò)安全
[中圖分類號]R197.324 [文獻標識碼]B [文章編號]1674-4721(2009)07(b)-147-02
醫(yī)療業(yè)務(wù)對行業(yè)信息和數(shù)據(jù)的依賴程度越來越高,帶來了不可忽視的網(wǎng)絡(luò)系統(tǒng)安全問題,現(xiàn)分析如下:
1 網(wǎng)絡(luò)安全建設(shè)內(nèi)容
在醫(yī)院信息網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)安全體系是確保其安全可靠運行的重要支柱,能否有效地保護信息資源,保護信息化健康、有序、可持續(xù)地發(fā)展,是關(guān)系到醫(yī)院計算機網(wǎng)絡(luò)建設(shè)成敗的關(guān)鍵。①保障網(wǎng)絡(luò)信息安全,要防止來自外部的惡意攻擊和內(nèi)部的惡意破壞。②運用網(wǎng)絡(luò)的安全策略,實行統(tǒng)一的身份認證和基于角色的訪問控制。③醫(yī)院計算機網(wǎng)絡(luò)提供統(tǒng)一的證書管理、證書查詢驗證服務(wù)及網(wǎng)絡(luò)環(huán)境的安全。④建立和完善統(tǒng)一的授權(quán)服務(wù)體系,實現(xiàn)靈活有效的授權(quán)管理,解決復(fù)雜的權(quán)限訪問控制問題。⑤通過日志系統(tǒng)對用戶的操作進行記錄。
2 網(wǎng)絡(luò)安全體系建設(shè)
網(wǎng)絡(luò)安全體系建設(shè)應(yīng)從多個層次完整地、全方位地對醫(yī)院的信息網(wǎng)絡(luò)及應(yīng)用情況進行分析,所制定的安全機制基本包括了對各種安全隱患的考慮,從而保護關(guān)鍵業(yè)務(wù)系統(tǒng)的正常運行,控制內(nèi)網(wǎng)用戶接入,避免患者電子信息以及醫(yī)院重要數(shù)據(jù)的泄密。如圖1。
2.1 物理設(shè)備安全需求
即使應(yīng)用了功能最強大的安全軟件,如果沒有注意物理安全,會大大地破壞系統(tǒng)安全的整體性,攻擊者會通過物理接觸系統(tǒng)來達到破壞的目的,因此,物理安全是安全策略中最為關(guān)鍵的一步[1]。①設(shè)備和操作系統(tǒng)都提供了通過物理接觸繞過現(xiàn)有密碼的功能。②機房內(nèi)各服務(wù)器和網(wǎng)絡(luò)設(shè)備均放置在上鎖的機柜中,鑰匙專人負責保管,同時要在中心機房安裝視頻監(jiān)視設(shè)備進行監(jiān)控。③網(wǎng)絡(luò)整體要部署防雷系統(tǒng),機房要有防靜電地板,配線間注意散熱且定期進行除塵工作。④主要網(wǎng)絡(luò)設(shè)備可以采用雙路供電或者安裝UPS[2]。
2.2 口令安全需求
網(wǎng)絡(luò)設(shè)備口令一律不采用缺省值,長度至少是8 位,采用字母和數(shù)字的組合且其中至少包含兩個特殊字符[3]。醫(yī)院信息系統(tǒng)如HIS、LIS、PACS、CIS對于醫(yī)院一般用戶的帳號,要求密碼應(yīng)包含字母、特殊字符和數(shù)字。對于重要部門或者崗位操作人員的系統(tǒng)密碼要提醒其定期檢查和更改。網(wǎng)絡(luò)設(shè)備的SNMP 通信字串和口令具有同樣的重要性,也應(yīng)該遵循和口令要求相同的原則,建議采用SNMP探測功能進行弱SNMP 通信字串的檢測。
2.3傳輸安全需求
醫(yī)院網(wǎng)絡(luò)基礎(chǔ)建設(shè)中采用的VPN技術(shù)可以從最底層確保安全[4],既可防止其他網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)使用醫(yī)院信息網(wǎng)絡(luò)的信息資源,也可防止本網(wǎng)絡(luò)的用戶進入其他的網(wǎng)絡(luò)。為了保證醫(yī)院關(guān)鍵業(yè)務(wù)應(yīng)用24小時不間斷地運行,部分重要科室應(yīng)設(shè)計為冗余的網(wǎng)絡(luò)鏈路。如圖1示:門診收費處、住院收費處等關(guān)鍵科室匯聚層交換機互為冗余,從而最大限度地避免了單點傳輸故障造成的業(yè)務(wù)系統(tǒng)崩潰。
2.4網(wǎng)絡(luò)通信安全需求
2.4.1防火墻應(yīng)用
醫(yī)院計算機網(wǎng)絡(luò)需要與Internet外網(wǎng)進行互聯(lián),這種互聯(lián)方式面臨多種安全威脅,會受到外界的探測與攻擊。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描[5],這樣能夠過濾掉一些來自Internet的攻擊,如拒絕服務(wù)攻擊(DoS),阻止ActiveX、Java、Cookies、Javas cript侵入。通過防火墻的病毒掃描和內(nèi)容過濾功能可以避免惡意腳本在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口,而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬,禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
2.4.2 IDS系統(tǒng)應(yīng)用
IDS(入侵檢測系統(tǒng))針對醫(yī)院網(wǎng)絡(luò)中的各種病毒和攻擊,進行有效的檢測,依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視,從而提供入侵實時警告[6]。通過IDS與防火墻的聯(lián)動,可以更有效地阻斷所發(fā)生的攻擊事件,同時也可以加強網(wǎng)絡(luò)的安全管理,保證主機資源不受來自內(nèi)、外部網(wǎng)絡(luò)的安全威脅。
2.4.3 VLAN劃分管理
在一個交換網(wǎng)絡(luò)中,VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制。利用虛擬網(wǎng)絡(luò)技術(shù),可以大大減輕醫(yī)院網(wǎng)絡(luò)管理和維護工作的負擔,也有效地從物理層避免了廣播風暴,防止網(wǎng)絡(luò)病毒的蔓延。
2.5網(wǎng)絡(luò)防病毒體系
在醫(yī)院計算機網(wǎng)絡(luò)中,由于設(shè)計的范圍比較廣,部門又多,通信比較頻繁,很容易導致病毒的泛濫,對系統(tǒng)文件、數(shù)據(jù)庫等造成不可預(yù)測的破壞。面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)防病毒應(yīng)不只是一個單純的系統(tǒng),而應(yīng)是一個聯(lián)動互相配合的體系,包括如下幾個方面的內(nèi)容[7-9]。
2.5.1 網(wǎng)絡(luò)防病毒中心
一旦病毒入侵系統(tǒng)或者從系統(tǒng)向其他資源感染,網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。此外,網(wǎng)絡(luò)防病毒軟件還能夠防止病毒對網(wǎng)絡(luò)操作系統(tǒng)本身的攻擊,如某些針對Windows 系統(tǒng)、Unix系統(tǒng)的病毒。醫(yī)院計算機網(wǎng)絡(luò)建立網(wǎng)絡(luò)防病毒系統(tǒng)時應(yīng)考慮集中管理和自動下載、更新以及分發(fā)病毒庫等。
2.5.2 網(wǎng)絡(luò)分析中心
通過部署專業(yè)的網(wǎng)絡(luò)分析軟件能夠在各種網(wǎng)絡(luò)環(huán)境中,對網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)進行檢測、分析、診斷,形成拓撲幫助用戶排除網(wǎng)絡(luò)事故,規(guī)避安全風險,提高網(wǎng)絡(luò)性能,增大網(wǎng)絡(luò)可用性價值。醫(yī)院不用再擔心網(wǎng)絡(luò)事故難以解決,網(wǎng)絡(luò)分析系統(tǒng)可以把網(wǎng)絡(luò)故障和安全風險會降到最低,找到網(wǎng)絡(luò)瓶頸逐步提升網(wǎng)絡(luò)性能。
2.5.3 SUS服務(wù)中心
Software Update Services(SUS)可以幫助基于Microsoft用戶快速部署最新的重要更新和安全更新。通過使用計劃的SUS,管理員可以完全控制管理通過Windows Update給網(wǎng)絡(luò)中計算機的更新分發(fā),從而統(tǒng)一更新全網(wǎng)主機的補丁和修復(fù)安全漏洞。
2.5.4 桌面管理中心
通過部署集中的局域網(wǎng)桌面管理軟件,保護終端操作系統(tǒng)的安全,對局域網(wǎng)進行有效監(jiān)控管理就顯得非常必要,也可大大降低維護工作量。桌面管理軟件的功能如下:①控制網(wǎng)絡(luò)主機的USB、光驅(qū)、軟驅(qū)等常見的硬件接口,能夠阻斷病毒傳播途經(jīng)。②控制用戶主機使用或者安裝非法軟件,能夠遠程檢測終端主機的界面,方便管理。③對不良網(wǎng)站進行嚴格限制,禁止終端主機訪問,禁止BT以及P2P軟件占用網(wǎng)絡(luò)帶寬。
2.6存儲以及數(shù)據(jù)安全
醫(yī)療業(yè)務(wù)系統(tǒng)24小時不間斷運行需要對存儲以及數(shù)據(jù)進行有效的保護,目前,多數(shù)醫(yī)院已經(jīng)部署了基于Fibre Channel(FC)技術(shù)的SAN(storage area network)存儲系統(tǒng),集中管理與整合儲存設(shè)備資源。SAN解決方案中,你可以得到一個完全冗余的存儲網(wǎng)絡(luò),SAN具有不同尋常的擴展性,通過數(shù)據(jù)權(quán)限管理、數(shù)據(jù)復(fù)制、備份、容災(zāi)等技術(shù)確保存儲數(shù)據(jù)的安全[10-11]。
3 安全管理
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,并利用法律手段來實現(xiàn)。因些必須在管理部門系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求,制定安全管理制度并嚴格執(zhí)行,通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防范外部入侵的安全技術(shù)。對于計算機網(wǎng)絡(luò)的安全管理,要從管理和技術(shù)兩個方面入手,管理和技術(shù)合二為一,才能達到網(wǎng)絡(luò)安全目的。
[參考文獻]
[1]管麗瑩,黃小蓉.醫(yī)院計算機網(wǎng)絡(luò)及信息安全管理[J].現(xiàn)代醫(yī)院,2006,6(8):144.
[2]王瑋,魯萬鵬,牟鑫.醫(yī)院信息系統(tǒng)中的安全運行保障[J].中國醫(yī)療設(shè)備,2008,23(1):63-65.
[3]古金華.突發(fā)公共衛(wèi)生事件中網(wǎng)絡(luò)信息安全的保障措施[J].中國數(shù)字醫(yī)學,2008,3(12):21-22.
[4]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學出版社,2006:320.
[5]王輝.淺議網(wǎng)絡(luò)信息安全[J].農(nóng)業(yè)圖書情報學刊,2008,20(6):112-115.
[6]陳克霞,袁耀嵐,李平.計算機網(wǎng)絡(luò)信息安全策略探討[J].數(shù)字石油和化工,2008,4:38-40.
[7]魏常友.中小醫(yī)院計算機網(wǎng)絡(luò)信息系統(tǒng)建設(shè)探討與建議[J].中國醫(yī)藥導報,2007,4(10):89.
[8]肖敏.穩(wěn)定與高速兼顧 安全與管理并重――珠江醫(yī)院網(wǎng)絡(luò)改造紀實[J].中國醫(yī)藥導報,2007,4(25):11.
[9]丁士富.醫(yī)院網(wǎng)絡(luò)信息化建設(shè)探討[J].中國醫(yī)藥導報,2007,4(10):58.
[10]宋穎杰,于明臻.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護[J].中國現(xiàn)代醫(yī)生,2007,45(17):104.
隨著我國綜合國力的不斷增強,現(xiàn)代通信技術(shù)也取得了較快的發(fā)展,已經(jīng)走在了世界的前列。特別是最近幾年,現(xiàn)代通信技術(shù)越來越受到人們的高度重視,但是隨之而來的安全通信問題也嚴重干擾了行業(yè)的正常發(fā)展。通信安全問題是直接關(guān)系整體信息領(lǐng)域安全的重要環(huán)節(jié)之一,通信技術(shù)的安全有效傳播為信息的傳輸提供了強有力的支持和保障。所以,通信領(lǐng)域的安全問題已經(jīng)成為全社會特別重視的議題。本文通過對現(xiàn)階段網(wǎng)絡(luò)通信安全現(xiàn)狀的梳理,研究現(xiàn)代網(wǎng)絡(luò)安全通信存在的復(fù)雜性技術(shù)問題,并對通信安全方面的改進提出了一些建議,我們要增強和改進通信安全領(lǐng)域的防范措施,才可以保障信息傳輸技術(shù)的安全可靠。
關(guān)鍵詞:
通信安全;傳輸;防范措施;重視
0引言
信息是人類文明進步的重要標志。經(jīng)濟社會的發(fā)展更是依賴信息技術(shù)作為媒介。隨著信息技術(shù)的迅速發(fā)展,經(jīng)濟全球化的趨勢迅猛加快,我們已經(jīng)邁進了信息化時代。尤其是近些年,通信技術(shù)產(chǎn)業(yè)獲得了高速健康的發(fā)展,現(xiàn)在通信技術(shù)和通信網(wǎng)已經(jīng)真正的進入了千家萬戶。由微電子、多媒體等相關(guān)技術(shù)產(chǎn)業(yè)和通信技術(shù)產(chǎn)業(yè)組成的信息產(chǎn)業(yè),已經(jīng)作為信息化基礎(chǔ)內(nèi)容在社會結(jié)構(gòu)上占據(jù)重要地位。在很多經(jīng)濟社會發(fā)達的國家里,信息技術(shù)產(chǎn)業(yè)都是作為領(lǐng)導產(chǎn)業(yè)。
1通信技術(shù)行業(yè)安全問題的現(xiàn)狀
1.1無線電領(lǐng)域的通信安全
無線電通信技術(shù)的使用已經(jīng)相當普及,隨著使用人數(shù)的不斷增長,無線電通信安全問題也變得更加復(fù)雜。現(xiàn)在,數(shù)字化科技已經(jīng)普遍應(yīng)用在通信技術(shù)中,衛(wèi)星通信、無線電接入和擴頻技術(shù)等相關(guān)產(chǎn)業(yè)快速發(fā)展。無線電基站也到達了很多偏遠地區(qū),覆蓋率已經(jīng)很高,這就導致以前的衛(wèi)星軌道和無線電頻率資源捉襟見肘,同時電磁環(huán)境也受到一定的破壞。與此同時,無線電通信干擾也是通信安全問題的另一個誘因,主要是由于超短波發(fā)射機的干擾,這種機器通常是架設(shè)在相對較高的區(qū)域上,又因為無線電的信號天線安排緊密,無線電的輸出功率十分巨大,還有很多設(shè)備是不符合國家相關(guān)標準或者是設(shè)備都超期服役,巨大的工作量會導致設(shè)備的性能根本得不到有效的保障,這樣會導致的后果是互調(diào)干擾、諧波干擾以及散亂發(fā)射的情況加重。
1.2移動通信安全和發(fā)展問題
移動通信作為較為先進的通信方式被普遍使用,它在我們的日常生活中越來越重要。當大量使用的移動通信技術(shù)為人們的信息交流提供方便的同時,通信信息技術(shù)的安全性和網(wǎng)絡(luò)技術(shù)的安全性也變得十分嚴峻。移動通信作為當代全球普遍使用的信息傳遞工具,面臨著復(fù)雜嚴峻的安全問題。第一,面臨嚴重的使用安全問題。移動通信行業(yè)的使用安全問題主要集中在數(shù)量和種類方面,比較常見的問題是,客戶個人資料信息外流和大量垃圾短信的侵入等問題,這些安全隱患極大地損害了客戶的自身利益并客戶帶來了重大的經(jīng)濟損失和心理陰影。第二,系統(tǒng)和網(wǎng)絡(luò)方面安全問題。移動通信的終端智能化變革十分明顯,功能也呈現(xiàn)出多樣發(fā)展,現(xiàn)在很多的用戶終端的病毒、木馬病毒、黑客等大量安全問題的顯現(xiàn)嚴重影響了大家的正常生活,破壞了終端的軟件系統(tǒng)和相關(guān)數(shù)據(jù)資料,更為嚴重的是移動通信網(wǎng)絡(luò)后臺服務(wù)器的破壞,會給移動通信網(wǎng)絡(luò)造成整體損壞,更有可能給整體經(jīng)濟發(fā)展帶來嚴重的破壞。
1.3多媒體網(wǎng)絡(luò)的通信安全問題
新型多媒體網(wǎng)絡(luò)通信的普遍使用,造成的安全隱患更加頻繁,大量的網(wǎng)絡(luò)通信安全問題給網(wǎng)絡(luò)正常運行造成嚴重的威脅。在日常生活中,通常見到的計算機安全問題會對客戶造成巨大的經(jīng)濟損,還會對社會的穩(wěn)定造成一定的影響。這就要求加快改進計算機網(wǎng)絡(luò)安全隱患工作刻不容緩。計算機安全問題的形成多由很多方面原因造成的,除了上面提到的還有很多人為原因的影響,例如:計算機系統(tǒng)的泄露等原因,這些問題也充分說明計算機網(wǎng)絡(luò)的安全工作任重道遠。
1.4移動電話中存在的安全問題
曾經(jīng)有一個機構(gòu)聲稱給他提供一個手機號碼,他就可以復(fù)制一個和機主相同的SIM卡,這樣就可以達到監(jiān)控主人手機信息的目的。可能在實際情況中,單是依靠一個手機號不能完全復(fù)制SIM卡,但是復(fù)制卡這種情況是完全可能的,這就說明手機是很有可能泄露個人相關(guān)信息的。并且去年,某權(quán)威機構(gòu)對手機病毒樣本進行了專項檢測,發(fā)現(xiàn)手機中病毒樣本明顯增強的趨勢沒有得到控制,手機通信的安全問題依然十分嚴峻。
2加強網(wǎng)絡(luò)通信安全的辦法
第一,全面升級信息系統(tǒng)的安全防范體系。加強所有的信息系統(tǒng)相互之間的配合與預(yù)防,成功抵擋黑客病毒的侵入。第二,認真建立一套改進信息系統(tǒng)的防范機制,即大家通常所理解的防火墻系統(tǒng)和殺毒軟件,尤其是要經(jīng)常性的開展殺毒的更新工作,防范各種新型病毒的入侵。第三,用戶要提高自身的防范能力,在使用自己的信息系統(tǒng)時要兼顧信息的便捷效率也要考慮信息的安全性,把自身的遭遇網(wǎng)絡(luò)通信病毒的可能性降到最小。
3結(jié)語
企業(yè)網(wǎng)絡(luò)正面臨前所未有的高風險: 每個企業(yè)都必須遵從數(shù)量眾多且時常發(fā)生沖突的內(nèi)部政策、政府法規(guī)、第三方條例,以及與安全相關(guān)的行業(yè)最佳做法,這種高度復(fù)雜的安全環(huán)境本身又滋生出一種新的“極端風險”――可能導致一個或多個設(shè)備出現(xiàn)配置錯誤,或來不及應(yīng)用最新的規(guī)則或軟件補丁,進而使企業(yè)陷入危險境地。跨國企業(yè)在這方面面臨的問題尤甚。
如何在紛亂復(fù)雜的環(huán)境中成功降低跨國企業(yè)網(wǎng)絡(luò)的安全風險?
復(fù)雜即風險
每個企業(yè)的當務(wù)之急就是避免配置錯誤和違規(guī)行為,這不僅是為了規(guī)避法律風險、罰款及其他違規(guī)處罰,同時也是為了維護企業(yè)的誠信、聲譽和品牌。然而,降低企業(yè)風險現(xiàn)在已成為縱貫多個層面的課題,需要在多個層面上制定并實施相應(yīng)策略――由此產(chǎn)生的復(fù)雜性已成為當今企業(yè)面臨的最大難題之一。
當今企業(yè)面臨著各種各樣的安全漏洞,防范它們所需要的工具各不相同。這些漏洞主要包括:
使網(wǎng)絡(luò)易受其他形式攻擊的網(wǎng)絡(luò)漏洞;
數(shù)據(jù)竊取,包括跨網(wǎng)絡(luò)數(shù)據(jù)劫持;
導致服務(wù)器、個人電腦或虛擬應(yīng)用行為失常或成為其他攻擊類型源頭的惡意軟件;
拒絕服務(wù)(DoS)攻擊,可造成數(shù)據(jù)不可用,或授權(quán)用戶無法訪問網(wǎng)絡(luò)。
企業(yè)不僅面臨上述威脅,還必須遵從數(shù)量眾多的行業(yè)及監(jiān)管條例:
首先是外部監(jiān)管。企業(yè)必須遵從各種因國家和地區(qū)而異的客戶隱私條例,除此之外,還有專門針對特定垂直市場的第三方條例。比如,在美國,由信用卡公司組成的支付卡行業(yè)(PCI)協(xié)會分別對零售商和接受信用卡付款的實體規(guī)定了消費者隱私標準,其中涵蓋IT及網(wǎng)絡(luò)域名。企業(yè)如果違規(guī),就要接受該協(xié)會嚴厲的罰款和其他違規(guī)處罰。
其次是最佳做法標準。許多企業(yè)通過實施行業(yè)標準的IT安全管理最佳做法(國際標準化組織ISO 27000系列文件中有詳述)來增強其安全措施。這固然可使企業(yè)建立起適當?shù)陌踩雷o網(wǎng),以保護其知識產(chǎn)權(quán)(IP)、機密數(shù)據(jù)及客戶信息,同時為業(yè)務(wù)持續(xù)性計劃提供支持,但遵循行業(yè)最佳做法卻會產(chǎn)生一個新的安全規(guī)則層。
此外,正在潛入企業(yè)內(nèi)部的Web 2.0社交網(wǎng)絡(luò)、需要不斷更新的軟件及安全補丁……也都會增加企業(yè)的安全復(fù)雜性。
進入企業(yè)的新通道社交網(wǎng)絡(luò)
近年來,Web 2.0技術(shù)使網(wǎng)絡(luò)安全形勢再起波瀾。一年前,很多企業(yè)可能都沒聽說過Twitter、Facebook、YouTube之類的流行社交網(wǎng)絡(luò),而如今,它們已借合法商業(yè)及營銷之名滲透到了企業(yè)網(wǎng)絡(luò)內(nèi)部,雖然目前可能仍然只限于員工個人使用。
進入企業(yè)網(wǎng)絡(luò)內(nèi)部的新通道正在形成。理想情況下,這些通道可用于增強企業(yè)的商業(yè)意識和改善運營; 但另一方面,它們也開辟了行使惡作劇或竊取企業(yè)數(shù)據(jù)的新途徑,為員工向企業(yè)外部泄露敏感信息提供了方便。比如,社交網(wǎng)站就經(jīng)常被用來發(fā)動網(wǎng)絡(luò)釣魚詐騙。
移動和無線
傳統(tǒng)的網(wǎng)絡(luò)邊界及其相關(guān)的保護措施正隨著企業(yè)用戶轉(zhuǎn)向無線網(wǎng)絡(luò)(包括蜂窩移動網(wǎng)絡(luò)和/或 Wi-Fi無線網(wǎng)絡(luò))而逐漸發(fā)生改變。企業(yè)必須為移動設(shè)備提供保護,加密存儲在移動設(shè)備上的機密數(shù)據(jù)和通過無線傳輸?shù)馁Y料,以及保護企業(yè)網(wǎng)絡(luò)、防范移動網(wǎng)絡(luò)入侵(如黑客或惡意軟件),這已成為移動設(shè)備管理(MDM)的一個分支。
總的來說,信息和網(wǎng)絡(luò)技術(shù)的“消費化”開辟了(且還將繼續(xù)開辟)大量“進出”企業(yè)的新途徑,其中多數(shù)可在戰(zhàn)略上幫助企業(yè)獲益。隨著 Web 2.0 應(yīng)用的演變和移動網(wǎng)絡(luò)的興起,安全成了一套動態(tài)、不斷變化的規(guī)則,必須予以密切關(guān)注。安全已不再是一種“設(shè)定后即可置之不理”的方針。
“緊跟變化”的難題
以上因素營造了一個復(fù)雜、多變的安全環(huán)境,而且該環(huán)境本身就是個巨大的風險。其復(fù)雜程度更高、安全層數(shù)更多、員工專業(yè)知識更趨多樣化,必須予以管理和簡化。來自軟件和網(wǎng)絡(luò)設(shè)備公司的新軟件補丁、漏洞修補程序和安全更新不斷增加,與時俱進的要求會迅速造成操作人員不堪重負,致使企業(yè)不得不在設(shè)備和軟件方面做出額外投資。此外,萬一負責基礎(chǔ)架構(gòu)不同部分的 IT 員工,比如安全管理員與應(yīng)用服務(wù)器管理員,未能協(xié)調(diào)好工作,導致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。
CIO和其他負責IT安全工作的員工應(yīng)考慮的一個基本問題是: 如何準確創(chuàng)建、實施、過濾和關(guān)聯(lián)所有這些策略、事件和潛在違規(guī)行為,以便時刻把握安全形勢?多管齊下地進行風險管理,目標就是確保公司始終遵守各項法規(guī),并消除針對其知識產(chǎn)權(quán)及數(shù)據(jù)保密性、完整性和可用性的威脅。
此外,降低風險還需要一套自上而下的管理方法,這種方法根據(jù)來自上層的管理策略編寫規(guī)則。應(yīng)確保公司各個層級都了解這套安全策略,并使之成為企業(yè)文化的一部分。安全應(yīng)成為業(yè)務(wù)運作的一個組成部分。
四招
降低風險
要想在復(fù)雜環(huán)境中降低企業(yè)網(wǎng)絡(luò)風險,首先要縱觀全局,評估涉及隱私及機密信息的各項數(shù)據(jù)資產(chǎn)。其實質(zhì)操作與業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃相同,目標均為防止數(shù)據(jù)失竊、受損或無法訪問。因此,數(shù)據(jù)安全評估和業(yè)務(wù)持續(xù)性評估可同時執(zhí)行。
掌控企業(yè)整體安全形勢并降低風險,還可從以下幾方面入手:
1. 風險/漏洞評估
執(zhí)行風險/漏洞評估的第一步,是引入能夠發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)上運行的一切網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備及軟件的管理工具集。必須先了解都有哪些部件,然后才能確定是否所有部件都符合最新的策略規(guī)定,遵從適用的法規(guī)、條例,以及應(yīng)用軟件補丁。
幸運的是,網(wǎng)絡(luò)發(fā)現(xiàn)及安全工具的準確性在過去幾年里得到了極大提高。它們現(xiàn)在能夠從網(wǎng)絡(luò)及全網(wǎng)服務(wù)器設(shè)備處收集海量的安全事件數(shù)據(jù),然后將之歸納到超長的報告中,詳述網(wǎng)絡(luò)安全的各個方面。
現(xiàn)在,您可以捕獲所有此類信息了,然而您面臨的更大難題是,如何利用這些信息制定出有實際意義的舉措。這就需要您掌控這些信息,排定其優(yōu)先順序,并加以組織――所有這些必須迅速完成。捕獲到的大部分事件信息是無關(guān)緊要或重復(fù)的,因此,過濾信息并在攻擊發(fā)動之前迅速找到實際潛在的風險至關(guān)重要。
過濾可通過編寫能夠分離大量冗余信息和異常活動的自定義算法來完成。無論在企業(yè)內(nèi)部還是在開放的互聯(lián)網(wǎng)上,數(shù)據(jù)分析均基于已知攻擊類型和流量歷史數(shù)據(jù)。許多公司對安全問題的認知不夠全面,也未將其作為分析的一部分對待,而事實上,安全問題已對全球范圍的網(wǎng)絡(luò)造成了巨大影響。此外,公司還缺乏可幫助其捕獲數(shù)據(jù)并排定優(yōu)先順序的數(shù)據(jù)收集工具,比如分析軟件。
要不斷更新設(shè)備,企業(yè)還必須具有實現(xiàn)多種設(shè)備或設(shè)備類型相關(guān)聯(lián),以及定期執(zhí)行漏洞掃描的能力,這些功能需要不同的專業(yè)知識和人力資源。
2. 集中化=簡單+可靠
所有收集到的數(shù)據(jù)(來自面向公眾的設(shè)備以及內(nèi)部設(shè)備)應(yīng)集中進行分析,以反映企業(yè)全貌。其目標應(yīng)為簡化信息,以幫助企業(yè)加快獲得基于業(yè)務(wù)需求的優(yōu)先順序警報,并能夠根據(jù)檢測到的威脅或漏洞做出適當反應(yīng)。
實現(xiàn)這一目標的最可靠方法之一,是通過網(wǎng)關(guān)與防火墻(位于不同網(wǎng)絡(luò)結(jié)點的設(shè)備,如LAN與 WAN之間或WAN與互聯(lián)網(wǎng)之間的設(shè)備)的統(tǒng)一視圖收集事件數(shù)據(jù),然后將其聚合到一個中央位置。無論這項功能是內(nèi)部處理還是外包處理,跨設(shè)備的網(wǎng)絡(luò)事件數(shù)據(jù)關(guān)聯(lián)與聚合形成的企業(yè)全貌,可幫助您預(yù)測事件即將發(fā)生的時間,讓您在其損害到企業(yè)之前主動化解這些事件,從而大幅降低風險。
強大的發(fā)現(xiàn)工具或第三方發(fā)現(xiàn)服務(wù)能夠篩選數(shù)以億計的警報,過濾掉不相關(guān)的數(shù)據(jù),并將數(shù)據(jù)削減到100~200個需要網(wǎng)絡(luò)分析師介入的事件。之后,分析師應(yīng)能夠解決約50個需要警惕的重要事件。
將事件削減到網(wǎng)絡(luò)分析師能夠處理的重要事件數(shù)量,是簡化復(fù)雜/整體網(wǎng)絡(luò)安全形勢的關(guān)鍵步驟。如果本地IT員工的工作與其他站點的工作脫節(jié),就必定會形成安全漏洞。
無論如何,跨國公司都必須應(yīng)對不同國家/地區(qū)的不同法規(guī)和條例。這可能會導致不同的網(wǎng)絡(luò)需要不同的防火墻策略設(shè)置。此外,防火墻補丁是定期的,而多數(shù)大型IT部門傾向于按某種優(yōu)先順序來為設(shè)備打補丁和升級。這一過程通常會導致優(yōu)先級較低的站點疏于管理。實際上,一個站點的防火墻如果幾年都未升過級,那就跟沒有防火墻一樣。
集中變更管理功能可外包給大型實體來予以簡化,這些實體應(yīng)具有規(guī)模效益、最新工具以及能夠作為一個完整實體來評估和更新整個網(wǎng)絡(luò)的安全專家。如果要內(nèi)部處理這些事務(wù),則需要在各個國家/地區(qū)雇用專家,這些專家應(yīng)了解哪類信息可以在哪些國家/地區(qū)之間傳遞,負責維護能夠獲取每個國家/地區(qū)策略全貌并創(chuàng)建適用于所有策略的集中式策略的核心團隊。
3. 策略設(shè)置與實施
今天的許多防火墻和防火墻服務(wù)都將數(shù)量眾多的安全功能合并到一個設(shè)備或服務(wù)之中。這些功能有多個“層級”,每個防火墻內(nèi)集成的功能取決于介于各個站點之間(WAN 服務(wù)與專用網(wǎng)絡(luò)、專用網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)、公共服務(wù)器與專用網(wǎng)絡(luò)等)的網(wǎng)絡(luò)。另外,它們還取決于與該網(wǎng)段相關(guān)的漏洞/風險。
入侵防護工具可能會集成這樣一類策略: 對流量執(zhí)行代表異常的特征碼進行掃描。防火墻和安全軟件廠商會針對已知惡意軟件的特征碼迅速制作并發(fā)送補丁,將其自動從流量中過濾掉。這就是必須確保所有設(shè)備不斷更新的原因,新的威脅時時刻刻都在涌現(xiàn)。
安全程序還可以簡單地尋找任何“不尋常”的活動――例如,特定服務(wù)器或其他計算機上出現(xiàn)非常多的通信請求,會使其過于“忙碌”,而造成用戶無法訪問。
根據(jù)某個企業(yè)必須遵從的一系列內(nèi)部最佳做法和監(jiān)管要求,用戶訪問列表和驗證可能是基于角色的,且可能因國家/地區(qū)、行業(yè)而異。這對于加密數(shù)據(jù)是一樣的,無論這些數(shù)據(jù)是保存在個人電腦硬盤上,還是使用IP Sec或SSL VPN專用“隧道”通過網(wǎng)絡(luò)進行傳輸。
4. 與可信第三方合作
今時今日,要保持不斷更新自己遍布全球的分支機構(gòu)網(wǎng)絡(luò)上日新月異的策略和安全設(shè)置(需要實施、評估和審核),是大型跨國企業(yè)面臨的一道難題,甚至是一項不可能完成的任務(wù)。它們需要一個專注于該領(lǐng)域并經(jīng)過授權(quán)的安全/網(wǎng)絡(luò)運營中心(S/NOC)為其提供全天候不間斷的政策和法規(guī)審查、風險評估、應(yīng)對即將來臨的警報并主動規(guī)避風險。
有些跨國企業(yè)會依靠自己的力量,努力管理和維護這些中心。只要新的法規(guī)和安全威脅不斷出現(xiàn),此類企業(yè)就必須不斷為升級設(shè)備、軟件和提高員工技能持續(xù)投資。
但是,也有很多跨國企業(yè)認為信息和網(wǎng)絡(luò)安全體系并不屬于公司的核心業(yè)務(wù),不妨將持續(xù)監(jiān)控、評估和審核這些工作交由專業(yè)、可信的合作伙伴來完成。
用戶在使用無線網(wǎng)絡(luò)時可以進行安全設(shè)置從而提升應(yīng)用的穩(wěn)定性和防范攻擊的能力。對數(shù)據(jù)進行加密處理是保證無線網(wǎng)絡(luò)的基本方法,運用一定的加密方式能夠?qū)崿F(xiàn)對未授權(quán)數(shù)據(jù)攻擊行為的攔截,避免了由于攻擊者的侵犯而造成的數(shù)據(jù)丟失、篡改或損壞等后果,目前應(yīng)用比較成熟的加密方式為鏈路加密和節(jié)點加密;安全認證是保證通信渠道安全的必要措施,通過實體認證或者數(shù)據(jù)源認證可以防止偽裝用戶接入到網(wǎng)絡(luò)中從事非法訪問,需要注意的是應(yīng)用安全認證實施防范時要構(gòu)建多重的、雙向的認證體系,從而避免單一性認證所具有的脆弱性;訪問控制能夠限制未授權(quán)用戶的訪問,并且對授權(quán)用戶進行規(guī)范,使其在權(quán)限內(nèi)開展活動;數(shù)據(jù)校驗是一種保證數(shù)據(jù)完整性和真實性的校驗方式,通過保密協(xié)議防止惡意截留數(shù)據(jù)現(xiàn)象的發(fā)生。
2無線網(wǎng)絡(luò)存在的威脅因素
無線網(wǎng)絡(luò)具有互聯(lián)網(wǎng)絡(luò)所共有的開放特征,但同時也具有其自身的獨特性,因此對無線網(wǎng)絡(luò)造成的安全威脅呈現(xiàn)出多樣化的發(fā)展趨勢。
2.1網(wǎng)絡(luò)劫持和監(jiān)視
網(wǎng)絡(luò)劫持是有線網(wǎng)絡(luò)常見的攻擊方式,在安全防范不完善的無線網(wǎng)絡(luò)中通過通信業(yè)務(wù)也可以實現(xiàn)劫持和監(jiān)視,從而實現(xiàn)對無線數(shù)據(jù)包的分析以及對廣播包的監(jiān)視。對無線數(shù)據(jù)包無線網(wǎng)絡(luò)安全方法與技術(shù)研究文/劉喜洋無線網(wǎng)絡(luò)技術(shù)目前漸趨成熟,在日常生活、公司辦公等諸多領(lǐng)域進行了廣泛的應(yīng)用,但是由于網(wǎng)絡(luò)所具有的開放性特征以及自身建設(shè)和應(yīng)用中存在各種漏洞,其安全性能大大降低,為無線網(wǎng)絡(luò)更進一步的發(fā)展設(shè)置了阻礙。本文基于對無線網(wǎng)絡(luò)威脅因素的分析,探討了加強無線網(wǎng)絡(luò)安全防護的相關(guān)問題。摘要進行分析通常需要較為熟練的攻擊技能,利用和有線網(wǎng)絡(luò)技術(shù)類似的方式對無線通信數(shù)據(jù)實行捕獲。目前發(fā)展的劫持工具較為多樣化,并且基本上都能夠捕獲會話的基礎(chǔ)數(shù)據(jù),這些數(shù)據(jù)通常包含用戶名和口令等重要信息,在獲得這些信息的基礎(chǔ)上攻擊者可以偽造合法用戶并執(zhí)行一些非授權(quán)指令。廣播包監(jiān)視要借助于集線器,在具體實踐中較為少見。
2.2插入攻擊
插入攻擊造成的危害通常較大,并且對反制技術(shù)也要求較高。插入攻擊的作用方式是構(gòu)建新的無線網(wǎng)絡(luò),也有少數(shù)攻擊者會使用未授權(quán)的設(shè)備進行攻擊,而這些設(shè)備或者網(wǎng)絡(luò)不會經(jīng)過合法協(xié)議的檢查。一般的無線網(wǎng)絡(luò)會設(shè)置接口指令來加強防護效果,但是如果用戶防范意識薄弱,沒有設(shè)置輸入口令,攻擊者就會運用無線客戶端連接到正常用戶的網(wǎng)絡(luò)中。
2.3雙面惡魔攻擊
也即是常說的“無線釣魚”,這種攻擊方式本質(zhì)是在用戶無線網(wǎng)絡(luò)附近構(gòu)建一個隱藏名稱的無線網(wǎng)絡(luò),進而實施欺詐性接入。這種網(wǎng)絡(luò)安全威脅具有一定的被動型,它需要等待無線網(wǎng)用戶接入構(gòu)建好的錯誤接入點中,然后才能進行網(wǎng)絡(luò)信息的竊取或者攻擊。
2.4占用網(wǎng)絡(luò)資源
這種現(xiàn)象在當前極為常見,特別是隨著手機、平板電腦等移動設(shè)備的普及,“蹭網(wǎng)”現(xiàn)象已經(jīng)成為當下非常流行的事情。這種現(xiàn)象雖然并且處于惡意或者不具備攻擊性,但是毋庸置疑的是它仍會占用網(wǎng)絡(luò)寬帶,對于無線網(wǎng)構(gòu)建者來說是一種損失。
3加強無線網(wǎng)絡(luò)防護技術(shù)的改進
3.1加強無線網(wǎng)絡(luò)監(jiān)視
對入侵者進行持續(xù)性的監(jiān)視能夠在最大程度上攔截攻擊,防止數(shù)據(jù)丟失或者惡意篡改事件的發(fā)生。進行這一活動要加強對網(wǎng)絡(luò)管理員的教育和訓練,尤其是加強對“黑客”和安全威脅的認識,只有這樣才能夠根據(jù)經(jīng)驗提高網(wǎng)絡(luò)跟蹤效率。在日常的管理中,網(wǎng)管員應(yīng)該對掃描和訪問企圖日志進行針對性的收集,通過專業(yè)統(tǒng)計工具將數(shù)據(jù)轉(zhuǎn)化為有效信息,從而發(fā)現(xiàn)網(wǎng)絡(luò)入侵者或者潛在威脅。
3.2增強WEP保護
WEP也即是無線加密協(xié)議,是構(gòu)建無線網(wǎng)絡(luò)對信息進行加密的常用方式,同時也是具有標準化執(zhí)行協(xié)議的保護措施。由于無線網(wǎng)絡(luò)的普及度越來越廣,因此無線路由器基本上都會提供信息加密服務(wù),并且具有多種可供選擇的方式,如果用戶能夠合理使用這些加密協(xié)議,就能夠有效避免重要信息的泄露。此外,目前的WiFi訪問加密技術(shù)如WPA2通常會比WEP協(xié)議更為完善,因此要加強在這方面的應(yīng)用,保障通信安全。
3.3MAC地址過濾
MAC地址過濾的實現(xiàn)能夠防止未授權(quán)網(wǎng)絡(luò)設(shè)備對無線網(wǎng)絡(luò)進行非法連接,其主要作用機制是對連接到路由器的MAC地址以及在路由器內(nèi)部保存的MAC地址進行比較,然后通過選擇合法訪問點實現(xiàn)保護功能。但是出于技術(shù)考慮,通常情況下路由器在出廠時并不會開啟MAC地址過濾功能,因此需要通過用戶設(shè)置使其連接到網(wǎng)絡(luò)中,并將用戶MAC地址進行單獨化的設(shè)置從而防止未知訪問盜用網(wǎng)絡(luò)事件的發(fā)生。
3.4更改服務(wù)集標識符
SSID是無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的“身份證”,也只有用過SSID才能夠?qū)崿F(xiàn)接入點之間的相互聯(lián)系。無線設(shè)備在出廠時都具有獨自的服務(wù)集標識符,并且不同的生產(chǎn)廠家通常還會設(shè)置具有差異性的缺省值。網(wǎng)絡(luò)攻擊者非常容易就能夠獲取這些原裝標識符,因此也就會發(fā)生占用無線資源事件。為了避免這類現(xiàn)象,用戶就要對每一個接入點的SSID進行非常規(guī)設(shè)置,并且增強這些標識符的保密程度。此外,盡量減少SSID廣播,使自己的無線網(wǎng)絡(luò)自動屏蔽也能夠起到防范網(wǎng)絡(luò)資源失竊的效果。
4結(jié)論
在2007年,Microsoft ForeFront家族產(chǎn)品逐一亮相,ISA Server 2006又一次成為人們關(guān)注的對象。這一次它不是單打獨斗,而是Microsoft ForeFront陣營里的前排哨兵。作為微軟企業(yè)安全解決方案的一部分,ISA Server 2006的特性能否滿足企業(yè)網(wǎng)絡(luò)的安全需求呢?
企業(yè)對網(wǎng)絡(luò)安全的需求
綜合性
隨著近兩年越來越多的惡性網(wǎng)絡(luò)安全事件的爆發(fā),企業(yè)的信息管理者已經(jīng)感覺到網(wǎng)絡(luò)安全問題不再僅僅是網(wǎng)絡(luò)中某個環(huán)節(jié)上的問題,在很多時侯,企業(yè)需要全面、綜合地提高自身網(wǎng)絡(luò)的安全性能。
防火墻、病毒防護、VPN連接、身份驗證、訪問控制、流量控制、服務(wù)器、客戶端安全集中管理、補丁管理、事件報告及報表等網(wǎng)絡(luò)安全涉及到的內(nèi)容,雖然不能完全綜合到一款軟件上,但一個好的網(wǎng)絡(luò)安全產(chǎn)品的綜合性是不可或缺的。網(wǎng)絡(luò)安全管理者都不希望每種網(wǎng)絡(luò)安全方面的部署都要新架一臺服務(wù)器來作為支持。
集成性
沒有一個網(wǎng)絡(luò)安全管理者希望,在企業(yè)的網(wǎng)絡(luò)安全的部署中,有一款產(chǎn)品與已經(jīng)部署好的或者即將部署的產(chǎn)品之間互相對立、格格不入。相反,他們都希望各種產(chǎn)品能相互溝通、相互依存,各自的功能和產(chǎn)生的數(shù)據(jù)信息能被其它產(chǎn)品所利用,各類產(chǎn)品可以緊密地集成在一起,讓企業(yè)網(wǎng)絡(luò)安全更清晰可控,更便于部署和管理。
網(wǎng)絡(luò)部署中涉及到許多硬件、軟件服務(wù)商,在各類產(chǎn)品之間可能存在著意想不到的網(wǎng)絡(luò)安全隱患。因此,在部署中需要盡可能地使用產(chǎn)品線比較豐富和完善的廠商的產(chǎn)品,增強產(chǎn)品間的集成性,可以從網(wǎng)絡(luò)建立的初期就減少“非受迫性”網(wǎng)絡(luò)安全事故。
易用性
眾所周知,IT部門的工作十分忙碌。如果網(wǎng)絡(luò)安全產(chǎn)品的復(fù)雜度很高,那么IT技術(shù)人員就不得不犧牲更多的休息時間去適應(yīng)企業(yè)網(wǎng)絡(luò)安全方面的新產(chǎn)品。使用易用性高的產(chǎn)品則可以減少IT技術(shù)人員在學習新知識中花的時間,從而更好地專注于企業(yè)的網(wǎng)絡(luò)安全服務(wù)。
另外,并不是每一個公司都有強大的技術(shù)團隊來為網(wǎng)絡(luò)安全提供保障,一旦網(wǎng)絡(luò)安全事件發(fā)生,會給企業(yè)造成很大的損失。使用一些易用性強的產(chǎn)品,將對企業(yè)網(wǎng)絡(luò)高效運行提供一定的保障作用。
可用性
如果企業(yè)部署的安全產(chǎn)品三天兩頭地Down掉,如一句俗語所說:“泥菩薩過河,自身難保”,那企業(yè)網(wǎng)絡(luò)還有什么安全可言呢!所以,可用性是網(wǎng)絡(luò)安全的最基本的要求。只有網(wǎng)絡(luò)安全產(chǎn)品正常可用,它才能起到保護企業(yè)網(wǎng)絡(luò)安全的作用。
病從口入,禍從口出。網(wǎng)絡(luò)邊界的安全是網(wǎng)絡(luò)安全中很重要的一個部分。以上的分析表明,企業(yè)的網(wǎng)絡(luò)安全問題需要一款好的網(wǎng)絡(luò)邊界產(chǎn)品。ISA Server 2006就是這樣一款集成的邊界安全網(wǎng)關(guān)產(chǎn)品,在用戶對應(yīng)用系統(tǒng)和數(shù)據(jù)進行快速而安全的遠程訪問的同時,能夠保護企業(yè)IT環(huán)境免受來自基于Internet的威脅。
ISA Server 2006的特性
綜合性
ISA Server 2006不但可以作為高效的Web、強大的防火墻、安全的VPN,還可以作為內(nèi)部服務(wù)器的平臺。同時,它可協(xié)助企業(yè)保護其環(huán)境免受內(nèi)部和來自Internet的威脅。借助――防火墻的混合架構(gòu)、深入的內(nèi)容檢查、細化的策略以及全面的報警和監(jiān)控功能,它能夠更加輕松地管理和保護企業(yè)網(wǎng)絡(luò)。
通過設(shè)置合理的防火墻策略,ISA Server 2006可以控制哪些用戶可以上網(wǎng)、在什么時間上、使用哪些協(xié)議、訪問哪些網(wǎng)站等,另外,它可以細化到控制用戶訪問哪種類型的文件,并可以控制含有某些簽名的數(shù)據(jù)包的傳遞。這樣用戶就可以輕松地對一些IM軟件和P2P軟件進行控制,讓網(wǎng)絡(luò)可以更高效地運轉(zhuǎn)。
[關(guān)鍵詞] 全球生產(chǎn)網(wǎng)絡(luò);企業(yè)檔案;信息化管理
[中圖分類號] C931.9 G271 [文獻標識碼] A [文章編號] 1671-6639(2013)02-0036-05
隨著信息化時代的來臨,對企業(yè)檔案進行信息化管理是時代必然的要求。在國家檔案局了《關(guān)于加強企業(yè)檔案信息化建設(shè)的意見》之后,不少學者對企業(yè)檔案信息化管理進行了相應(yīng)的研究。經(jīng)濟全球化促進了生產(chǎn)與信息技術(shù)的進步,國際生產(chǎn)網(wǎng)絡(luò)逐漸形成,為了獲得全面可持續(xù)競爭優(yōu)勢,跨國企業(yè)需要進行知識創(chuàng)新、機制創(chuàng)新,這對承載著大量信息資源的檔案管理也提出了新的挑戰(zhàn)。但迄今為止,很少有學者結(jié)合全球生產(chǎn)網(wǎng)絡(luò)這一背景,對企業(yè)檔案信息化管理進行具體闡述。因此,本文根據(jù)全球生產(chǎn)網(wǎng)絡(luò)的特點,剖析企業(yè)檔案信息化管理對全球生產(chǎn)網(wǎng)絡(luò)的重要性,并對如何構(gòu)建全球生產(chǎn)網(wǎng)絡(luò)條件下的企業(yè)檔案信息化管理系統(tǒng)提出了自己的看法,從而為企業(yè)檔案信息化管理提供一定的理論與現(xiàn)實意義。
一、企業(yè)檔案信息化管理概述及問題提出
企業(yè)檔案信息化管理是指在企業(yè)檔案管理活動中,以給企業(yè)發(fā)展提供更便捷有效的服務(wù)為目的,充分利用現(xiàn)代信息、網(wǎng)絡(luò)等技術(shù),對企業(yè)檔案信息資源進行有效的管理和開發(fā)。它是基于計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展而形成的檔案管理的一種新模式,可以及時、準確地為企業(yè)各部門提供有效的檔案利用服務(wù)。自2000年邰曉彤、王玉霞在機電兵船檔案發(fā)表的《淺談企業(yè)檔案信息化管理》一文中,首次提出企業(yè)檔案信息化管理這個話題后,企業(yè)檔案信息化開始受到了廣大學者及企業(yè)界人士的關(guān)注[1]。例如,唐超嫦、張曼琴等人基于企業(yè)經(jīng)營行業(yè)的不同,對其進行了分析[2][3];宋奇芳、黃榮等人對企業(yè)如何實施檔案信息化管理提供了建議[4][5];金楠、徐茹民等人針對企業(yè)檔案信息化管理中存在的問題進行了分析,并提出了相應(yīng)的解決思路[6][7]。然而,縱觀企業(yè)檔案信息化管理相關(guān)的文獻,關(guān)于其在全球生產(chǎn)網(wǎng)絡(luò)下如何實施的研究卻比較匱乏。
全球生產(chǎn)網(wǎng)絡(luò)是當今經(jīng)濟形態(tài)發(fā)展的產(chǎn)物,是指跨國企業(yè)將產(chǎn)品價值鏈分割為若干個獨立的模塊,把每個模塊都置于全球范圍內(nèi)能夠以最低成本完成生產(chǎn)的國家和地區(qū),進而形成的多個國家參與產(chǎn)品價值鏈的不同階段的國際分工體系。這種不斷細化的分工體系也給企業(yè)檔案管理帶來了全新的挑戰(zhàn)。因此,在全球生產(chǎn)網(wǎng)絡(luò)條件下,如何滿足企業(yè)對檔案信息化管理的需求,是當今企業(yè)面臨的一個重要問題。
二、企業(yè)檔案信息化管理在全球生產(chǎn)網(wǎng)絡(luò)中的必要性
在全球生產(chǎn)網(wǎng)絡(luò)中,信息的及時獲取與傳遞是企業(yè)有序運行的保障。作為企業(yè)日常經(jīng)營活動信息的載體,企業(yè)檔案實現(xiàn)從實體管理向信息化管理的轉(zhuǎn)變是推動全球生產(chǎn)網(wǎng)絡(luò)運行的前提條件,其具體作用有以下幾點。
(一)加速信息流動,促進全球生產(chǎn)網(wǎng)絡(luò)資源共享
隨著經(jīng)濟一體化的深入發(fā)展,市場競爭日益激烈,面對全球生產(chǎn)網(wǎng)絡(luò)中各個研發(fā)、生產(chǎn)、銷售機構(gòu)的全球性分布特征,相關(guān)信息的及時獲取是其取得成功的首要條件,而傳統(tǒng)的企業(yè)檔案管理模式無法滿足這一點,因此,對其進行信息化管理是時代必然的趨勢。
其一,企業(yè)檔案信息化管理擴大了信息的接收范圍。借助信息化管理系統(tǒng)的構(gòu)建,企業(yè)能夠迅速地從分布在世界各地的網(wǎng)絡(luò)成員中采集信息,突破了地理上的限制。
其二,加快信息傳遞速度,實現(xiàn)信息資源及時共享。實行企業(yè)檔案信息化管理,可以將捕捉于全球各地的信息及時地錄入檔案系統(tǒng),供全球生產(chǎn)網(wǎng)絡(luò)中有相關(guān)需求的成員共享。這種自動化、數(shù)字化的檔案管理方式為全球生產(chǎn)網(wǎng)絡(luò)構(gòu)建了一個資源快速共享的平臺。
(二)促進企業(yè)檔案管理規(guī)范性,降低管理成本
企業(yè)檔案管理涉及企業(yè)日常的一系列活動,包括檔案采集、整理、保管、利用等多個環(huán)節(jié)。全球生產(chǎn)網(wǎng)絡(luò)中的成員分布在不同地區(qū),難免會受到當?shù)厣鐣贫取⒐芾砦幕⒄Z言文字等因素影響,導致企業(yè)總部與成員機構(gòu)之間的檔案管理產(chǎn)生差別[8]。這不僅增大了檔案統(tǒng)一管理的難度,也限制了檔案資源在全球生產(chǎn)網(wǎng)絡(luò)各個機構(gòu)間的共享,而檔案信息化管理系統(tǒng)的構(gòu)建則能有效解決以上問題。
一方面,企業(yè)檔案信息化管理系統(tǒng)通過電子技術(shù)的采用,設(shè)定錄入、整理、查詢等模塊,形成一個規(guī)范統(tǒng)一的檔案管理模式,可以自動對錄入信息進行歸類整理,提高了企業(yè)檔案管理的專業(yè)化、規(guī)范化程度,方便企業(yè)總部與各機構(gòu)之間的統(tǒng)一管理。
另一方面,傳統(tǒng)的檔案管理模式不僅需要耗費大量的人力成本,而且利用檔案的效率低下。而信息化的企業(yè)檔案管理依托網(wǎng)絡(luò)技術(shù)的進步,在企業(yè)總部形成檔案數(shù)據(jù)庫,網(wǎng)絡(luò)成員通過權(quán)限驗證便可自行登錄系統(tǒng)查閱, 從而提升了企業(yè)檔案利用率,也大大降低了人力成本。
(三)實現(xiàn)檔案管理轉(zhuǎn)型,提供科學決策
傳統(tǒng)的企業(yè)檔案管理主要是關(guān)注企業(yè)發(fā)展歷史,進行檔案存儲工作。而日新月異的市場動態(tài)以及全球生產(chǎn)網(wǎng)絡(luò)特有的需求,都迫切需要檔案管理進行轉(zhuǎn)型,從而為企業(yè)決策提供科學依據(jù)。在2010年企業(yè)檔案國際研討會上,瑞士的羅氏集團、丹麥的馬士基都提出了檔案管理由面向過去,轉(zhuǎn)為面向現(xiàn)在和未來的必要性[9]。而這種轉(zhuǎn)型目標的成功實現(xiàn),離不開對企業(yè)檔案實行信息化管理。
首先,通過企業(yè)檔案信息化管理系統(tǒng),可以及時采集整個生產(chǎn)網(wǎng)絡(luò)的動態(tài)信息,為企業(yè)總部迅速把握市場動態(tài)、進行戰(zhàn)略規(guī)劃提供了依據(jù)。
其次,實行企業(yè)檔案信息化管理,可以隨時向全球生產(chǎn)網(wǎng)絡(luò)中的成員展示關(guān)乎企業(yè)文化的檔案,有助于形成統(tǒng)一的企業(yè)價值觀,為企業(yè)樹立良好的形象。
三、企業(yè)檔案信息化管理系統(tǒng)在全球生產(chǎn)網(wǎng)絡(luò)中的應(yīng)用
從上文分析中可見,實現(xiàn)企業(yè)檔案信息化管理可以為全球生產(chǎn)網(wǎng)絡(luò)帶來更大的協(xié)調(diào)效應(yīng)。本節(jié)根據(jù)全球生產(chǎn)網(wǎng)絡(luò)的職能結(jié)構(gòu),提出了企業(yè)檔案信息化管理相應(yīng)的功能模塊圖,并以用例圖的形式構(gòu)建了面向全球生產(chǎn)網(wǎng)絡(luò)的企業(yè)檔案信息化管理系統(tǒng)。
(一)全球生產(chǎn)網(wǎng)絡(luò)職能結(jié)構(gòu)
全球生產(chǎn)網(wǎng)絡(luò)是一種靈活的新型組織形式,在全球生產(chǎn)網(wǎng)絡(luò)中,企業(yè)不再是簡單的層級關(guān)系,而是表現(xiàn)為體系內(nèi)部國際分工[10]。其職能結(jié)構(gòu)的一般模式如下圖:
圖1 全球生產(chǎn)網(wǎng)絡(luò)職能結(jié)構(gòu)圖
(注:圖中P1,P2,Pi表示全球生產(chǎn)網(wǎng)絡(luò)中分布在全球各地的生產(chǎn)機構(gòu),D1,D2,Di,S1,S2……Si分別表示各地的研發(fā)和營銷機構(gòu)。)
(二)全球生產(chǎn)網(wǎng)絡(luò)下企業(yè)檔案信息化管理系統(tǒng)模塊
根據(jù)前面小節(jié)分析的全球生產(chǎn)網(wǎng)絡(luò)對企業(yè)檔案資源的需求,企業(yè)檔案信息化管理系統(tǒng)需要包含以下功能模塊,如下圖。
圖2 企業(yè)檔案信息化管理功能模塊圖
1.檔案錄入
處于生產(chǎn)網(wǎng)絡(luò)中的各個機構(gòu),需要及時地把信息錄入檔案系統(tǒng)。若信息以紙質(zhì)形式出現(xiàn)時,可以通過電子掃描儀轉(zhuǎn)成電子檔案再導入系統(tǒng),這將實現(xiàn)檔案資料按統(tǒng)一的格式錄入。需要注意的一點是,在這個模塊的設(shè)定中,應(yīng)該遵循“唯一性”原則,即每份檔案只能對應(yīng)一個主題詞。應(yīng)該根據(jù)企業(yè)需要,按主題、部門等具體條目進行分類設(shè)定。如此一來,每份錄入的檔案信息都能準確地歸類到所屬的條目之下,方便之后的檔案查閱。
2.檔案更新
這一模塊主要是面向企業(yè)檔案的及時性與準確性。一方面,當全球生產(chǎn)網(wǎng)絡(luò)中的某些成員將新的檔案信息錄入系統(tǒng)之后,需要及時將其保存到數(shù)據(jù)庫中,更新之前的數(shù)據(jù)庫,從而能為網(wǎng)絡(luò)中其他成員及時提供最新信息,為檔案更新流動提供保障。另一方面,若有些錄入系統(tǒng)的檔案信息出現(xiàn)錯誤或偏差,需要將其改正或刪除。企業(yè)總部在對錄入的檔案信息進行審核之后,若發(fā)現(xiàn)有錯誤,需及時對信息進行改正,然后再反饋給全球成員。
3.檔案查詢
這一模塊是檔案管理的主要目的,是指對檔案的有效利用。通過前面兩個模塊的設(shè)定,形成了檔案信息數(shù)據(jù)庫,當全球生產(chǎn)網(wǎng)絡(luò)中的成員需要相應(yīng)的檔案信息時,檔案查詢功能能夠幫助他們及時獲取所需的資料。在這一模塊中,需要注意以下兩點:一,設(shè)定檔案查詢的檢索模式,例如分為高級查詢和簡單查詢,從而更利于使用者快速查閱到所需檔案;二,若有些檔案涉及到機密,應(yīng)該根據(jù)用戶權(quán)限管理的設(shè)定,對不同級別的用戶公開不同密級的檔案資料。
4.系統(tǒng)管理與維護
這一模塊是針對系統(tǒng)管理員而設(shè)定的,主要是檔案管理系統(tǒng)的日常維護工作,包括用戶管理、系統(tǒng)設(shè)置以及安全維護三個方面。
首先,用戶管理。用戶管理主要涉及權(quán)限控制和身份驗證。對訪問權(quán)限進行控制,主要是對系統(tǒng)的用戶及其權(quán)限進行管理。一般系統(tǒng)默認創(chuàng)建兩個用戶組,一個是管理員用戶組,可以擁有系統(tǒng)的任何權(quán)限,對系統(tǒng)進行統(tǒng)籌協(xié)調(diào)。另一個用戶組是公共用戶組,可以使用系統(tǒng)提供給他們的相應(yīng)功能。在權(quán)限控制設(shè)定中,還需要設(shè)定權(quán)限使用的有效期,從而達到自動管理用戶的目的[11]。身份驗證是指對用戶權(quán)限的承認與允許。用戶在進入檔案管理系統(tǒng)之前,都需要進行身份驗證,只有與系統(tǒng)中的身份數(shù)據(jù)相匹配時,才能進入檔案系統(tǒng),進行檔案查詢等活動。
其次,系統(tǒng)設(shè)置。在系統(tǒng)設(shè)置中,需要設(shè)定系統(tǒng)日志,通過日志管理,可以自動對訪問過系統(tǒng)的所有用戶的訪問情況進行如實記錄。同時,需要設(shè)定系統(tǒng)日志子系統(tǒng),可以日志文件的保存時間視企業(yè)情況而定,一般不少于六個月[12]。
最后,安全維護。檔案信息化管理有利于全球生產(chǎn)網(wǎng)絡(luò)的良好運行,但也帶來了檔案管理的安全問題。因為企業(yè)檔案囊括了企業(yè)所有的信息,其中有些資料是企業(yè)的機密,如果管理不當,導致被他人竊取機密,將給企業(yè)帶來巨大的損失。因此,安全中心這個模塊是企業(yè)檔案信息化管理系統(tǒng)的重要組成部分。應(yīng)該根據(jù)不同級別的用戶,對一些機密檔案進行密級劃分。同時,在這個模塊中,需要進行數(shù)據(jù)備份,這主要是為了防止由一些意外突發(fā)事件引起的檔案文件丟失問題。
5.檔案分析
檔案分析是針對企業(yè)總部而設(shè)定的模塊,主要是為了發(fā)揮檔案信息的“面向未來”的作用。在前文中也已經(jīng)分析到,我們不應(yīng)僅把企業(yè)檔案看作是企業(yè)的歷史,還應(yīng)該充分發(fā)揮它的歸納預(yù)測功能。通過這一模塊的設(shè)立,企業(yè)高層能夠?qū)n案資料進行統(tǒng)計匯總,并根據(jù)相應(yīng)軟件,對歷史資料進行分析,為企業(yè)當前乃至未來的活動提供參考。如此一來,企業(yè)檔案信息化管理能夠有助于企業(yè)及時地把握市場形勢。
(三)面向全球生產(chǎn)網(wǎng)絡(luò)的企業(yè)檔案信息化管理系統(tǒng)構(gòu)建
前面小節(jié)已經(jīng)對全球生產(chǎn)網(wǎng)絡(luò)下的企業(yè)檔案信息化管理所需的功能模塊進行了具體介紹,為了更清楚地認識企業(yè)檔案信息化管理系統(tǒng)在全球生產(chǎn)網(wǎng)絡(luò)中的作用,本節(jié)構(gòu)建了一個面向全球生產(chǎn)網(wǎng)絡(luò)的企業(yè)檔案信息化管理系統(tǒng),如下圖所示。
四、企業(yè)檔案信息化管理需要注意的問題
在前文中,我們分析了實行企業(yè)檔案信息化管理對于全球生產(chǎn)網(wǎng)絡(luò)的重要意義,并構(gòu)建了一個面向全球生產(chǎn)網(wǎng)絡(luò)的檔案信息化管理系統(tǒng)。通過對當今一些企業(yè)檔案管理的研究,筆者認為有效地應(yīng)用全球生產(chǎn)網(wǎng)絡(luò)下的企業(yè)檔案信息化管理系統(tǒng),還需要解決以下一些問題。
(一)創(chuàng)新培訓手段,完善檔案管理員工知識結(jié)構(gòu)
如今,企業(yè)對檔案資源信息化管理的認識逐步提高,逐漸增加了對企業(yè)檔案基礎(chǔ)設(shè)施建設(shè)的投入。然而,企業(yè)檔案實現(xiàn)信息化管理的關(guān)鍵在于人才,面向全球生產(chǎn)網(wǎng)絡(luò)的企業(yè)檔案信息化管理系統(tǒng)對檔案管理人員提出了新的要求,檔案管理人員不僅需要具備一定的業(yè)務(wù)操作能力,還需要擁有對檔案信息的分析和開發(fā)利用能力。傳統(tǒng)的檔案管理人員由于知識結(jié)構(gòu)老化等原因,不能較好地勝任檔案信息化管理工作。目前為止,既具有較強的計算機應(yīng)用能力,又熟悉全球生產(chǎn)網(wǎng)絡(luò)管理的檔案管理人員還比較缺乏。因此,在對檔案管理人員的培訓上,企業(yè)應(yīng)改變傳統(tǒng)單一的業(yè)務(wù)知識培訓模式,以培養(yǎng)員工的信息分析利用能力、計算機軟硬件開發(fā)能力、網(wǎng)絡(luò)環(huán)境下系統(tǒng)運行維護能力為目標,探索綜合性的培訓機制,完善檔案管理人員的知識結(jié)構(gòu)。同時, 還可以通過建立一套激勵機制, 如支持檔案管理創(chuàng)新的獎勵機制或用人機制,來激發(fā)檔案管理人員工作的主動性以及創(chuàng)造性。
(二)健全管理制度,提高檔案資料安全系數(shù)
實行企業(yè)檔案信息化管理有效地促進了檔案資料在全球生產(chǎn)網(wǎng)絡(luò)中作用的發(fā)揮,然而,這同時也引發(fā)了檔案管理的安全問題。若檔案管理系統(tǒng)受到不法分子的攻擊,導致部分關(guān)乎企業(yè)機密的檔案信息泄露,將會給企業(yè)帶來巨大的損失。同時,近年來,企業(yè)員工流失率比較高,跳槽現(xiàn)象非常頻繁,這也帶來了企業(yè)商業(yè)機密的泄露問題。因此,一方面,亟需建立起一套完整的現(xiàn)代檔案管理體系,健全新形式下的檔案管理制度,推動檔案管理的法制化、規(guī)范化。另一方面,企業(yè)應(yīng)該從內(nèi)部管理入手,加強員工的職業(yè)道德培訓,采取一切可利用的手段來防止檔案資料的泄露。
五、結(jié)束語
本文主要分析了在全球生產(chǎn)網(wǎng)絡(luò)中實行企業(yè)檔案信息化管理的積極意義,并探討了一個面向全球生產(chǎn)網(wǎng)絡(luò)的企業(yè)檔案信息化管理系統(tǒng)的構(gòu)建。通過分析可以看到,在全球生產(chǎn)網(wǎng)絡(luò)中,企業(yè)檔案信息化管理有助于企業(yè)總部對整條價值鏈的控制,發(fā)揮檔案資料的動態(tài)預(yù)測作用,同時,也促進了信息在全球生產(chǎn)網(wǎng)絡(luò)中的及時傳遞,形成檔案信息共享平臺。全面實行企業(yè)檔案信息化管理是一個需要長期探索的問題,如何結(jié)合具體實踐,實現(xiàn)檔案信息化管理在全球生產(chǎn)網(wǎng)絡(luò)中的效用最大化,還有待于進一步的研究。
[參考文獻]
[1]邰曉彤,王玉霞.淺談企業(yè)檔案信息化管理[J].機電兵船檔案,2000(2):p35~36.
[2]唐超嫦.企業(yè)檔案管理工作淺析[J].建材與裝飾,2009(10):p33.
[3]張曼琴.檔案信息化標準研究綜述[J].辦公自動化,2011(16):p27~28.
[4]宋奇芳.淺談企業(yè)檔案的信息化管理[J].企業(yè)管理,2010(18):p169.
[5]黃榮.淺談企業(yè)檔案的信息化管理[J].南方論刊,2012(8):p84~86.
[6]金楠.淺析企業(yè)檔案信息化建設(shè)存在的問題及對策[J].黑龍江教育學院學報,2011(9): p199 ~200.
[7]徐茹民.建筑施工企業(yè)檔案信息化管理中的問題及解決思路[J].城建檔案,2012(12): p36~38.
[8]韓晶.試論經(jīng)濟全球化背景下企業(yè)檔案管理工作的改革和創(chuàng)新[J].中國行政管理, 2005(5):p86~88.
[9]王嵐.經(jīng)濟全球化條件下跨國公司檔案管理新理念[J].機電兵船檔案,2011(1):p6~8.
[10]劉春生.全球生產(chǎn)網(wǎng)絡(luò)中跨國公司組織結(jié)構(gòu)的變化[J].軟件工程師,2007(7):p36~37.
集成性
ISA Server 2006誕生于微軟這個大家庭,與生俱來就有與企業(yè)已有的微軟其它產(chǎn)品緊密集成的特性。它通過使用Windows內(nèi)建的LDAP、RADIUS或者RSA SecurID驗證,實現(xiàn)對用戶的身份驗證。前端和后端設(shè)置分離,提供更高的靈活性和細化程度。它支持將單點登錄用于對Web站點的驗證,可以對任何命名空間中的用戶或用戶組應(yīng)用規(guī)則,同時,第三方供應(yīng)商能夠使用SDK來擴展這些內(nèi)置的驗證機制。
ISA Server 2006通過使用內(nèi)置的各類規(guī)則,將SharePoint站點、Exchange服務(wù)器、Exchange Web客戶端、內(nèi)部網(wǎng)站、非Web服務(wù)器等內(nèi)網(wǎng)資源出去,并且通過鏈接轉(zhuǎn)換的設(shè)置,可以讓網(wǎng)站的更安全、靈活,并能保證網(wǎng)站上鏈接的有效性。
ISA Server 2006不但可以和微軟自己的產(chǎn)品很好地集成,還可以與路由器配合,通過配置差異服務(wù)(DiffServ)控制封包的優(yōu)先順序,以達到高效使用有限的帶寬。
易用性
ISA Server 2006提供了圖形化的任務(wù)面板管理和安裝向?qū)В朱`活并易于管理員使用。它包含多網(wǎng)絡(luò)體系結(jié)構(gòu)功能、統(tǒng)一的VPN,可通過可靠的可視化策略編輯器、直觀的網(wǎng)絡(luò)模板、自動化向?qū)Ш驮鰪姷囊呻y解答工具進行防火墻管理、服務(wù)器和訪問控制,它還支持導出配置信息、實時防火墻會話監(jiān)視、防火墻用戶組等功能,使管理員能夠?qū)⒕械綐I(yè)務(wù)規(guī)則而不是繁瑣的操作步驟上。
ISA Server 2006沿用了一貫的圖形化管理界面、簡潔的安裝向?qū)В尦醮谓佑|的人也可順利地安裝。根據(jù)網(wǎng)絡(luò)實際環(huán)境,用戶可以從網(wǎng)絡(luò)模板中選擇一種網(wǎng)絡(luò)模式,輕松地將它的網(wǎng)絡(luò)關(guān)系配置完成。通過防火墻策略向?qū)В梢赃x擇訪問源、訪問目標、訪問使用的協(xié)議、訪問時間、例外等選項,讓用戶很輕松地完成企業(yè)所要的訪問策略的設(shè)置。
VPN的設(shè)置簡化到只有4步,配置VPN地址范圍、啟用VPN客戶端訪問、建立訪問規(guī)則(VPN客戶端對內(nèi)部網(wǎng)絡(luò))、配置允許拔入的用戶,一個看似復(fù)雜的VPN的配置,在談笑間就完成了。
ISA Server 2006的易用性不僅僅體現(xiàn)在以上方面,其他很多看似復(fù)雜的功能在ISA里可以很容易地得到實現(xiàn),而且掌握這些技巧不需要太多時間。一切都很自然,讓用戶仿佛感覺已經(jīng)使用過ISA Server 2006很久了。
穩(wěn)定性
ISA Server 2006不但提供了強大的自我保護功能,還在企業(yè)版中提供了陣列和網(wǎng)絡(luò)負載平衡功能。在ISA Server 2006中,用戶可以找到啟用入侵檢測和DNS攻擊檢測、配置淹沒緩解設(shè)置、配置IP保護等幾個配置項。
通過配置淹沒緩解設(shè)置,簡化客戶端IP警報集中和連接限額,提高了抵制蠕蟲的靈活性,將已感染病毒的計算機對網(wǎng)絡(luò)的影響降到最低。增強的淹沒保護和入侵檢測功能,有助于阻止淹沒攻擊,如拒絕服務(wù)(DoS)攻擊和分布式拒絕服務(wù)(DDoS)攻擊。
配置IP保護,可通過完善的反電子欺騙機制來提供IP電子欺騙保護。ISA Server 2006通過檢查數(shù)據(jù)包的源IP地址是否有效來防止IP電子欺騙。
關(guān)鍵詞:無線網(wǎng)絡(luò)安全防范措施
隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時也由于無線網(wǎng)絡(luò)本身的特點造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號由于其傳播的開放性設(shè)計,使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計的時候為無線網(wǎng)絡(luò)信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當前無線網(wǎng)絡(luò)面臨的重大課題。
一、無線網(wǎng)絡(luò)的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機制來保護信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護措施難度原因大于有線網(wǎng)絡(luò)。
IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。
針對無線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計算機通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見的無線網(wǎng)絡(luò)安全措施
綜合上述針對無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對入侵者設(shè)防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設(shè)置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務(wù)標識符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計算機接入某一個SSID的網(wǎng)絡(luò)后就不能直接與另一個SSID的網(wǎng)絡(luò)進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標識。一個SSID最多有32個字符構(gòu)成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡(luò)中去的。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備進行主動防御,也是進一步加強無線網(wǎng)絡(luò)安全性的有效手段。
最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡(luò)安全意識,才能真正實現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時,因為對無線網(wǎng)絡(luò)的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證,是當前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。
參考文獻:
[1]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.
