企业办公自动化网络安全分析与防范

1、莱钢科技2009年 12月企业办公自动化网络安全分析与防范李昕(保卫部 )摘要 :结合莱钢局域网的特点,对莱钢办公自动化网络常见的安全问题进行了分析,并提出了安全策略。关键词 :办公自动化网络安全病毒黑客0 前言随着信息化浪潮的日益深入,企业信息网应用领域从小型业务系统逐渐向大型、关键业务系统扩展 ,办公自动化系统的运用 ,有效的管理和传输各种信息 ,达到了提高工作效率的目的 。办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此 外网及国际互联网中的黑客只要,侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络

2、中的黑客则有可能非常方便的截取任何数据包 ,从而造成信息的失窃 。1 莱钢企业办公自动化网络常见的安全问题1. 1 网络病毒的传播与感染随着计算机和网络的进步和普及, 计算机病毒也不断出现, 总数已经超过20 000种 , 并以每月300种的速度增加 , 其破环性也不断增加 , 而网络病毒破坏性就更强 。一旦文件服务器的硬盘被病毒感染 , 就可能造成系统损坏 、数据丢失 , 使网络服务器无法起动 , 应用程序和数据无法正确使用 , 甚至导致整个网络瘫痪 , 造成不可估量的损失 。网络病毒普遍具有较强的再生机制 , 可以通过网络扩散与传染 。一旦某个公用程序染了毒 , 那么病毒将很快在整个网络上

3、传播 , 感染其它的程序 。由网络病毒造成网络瘫痪的损失是难以估计的 。一旦网络服务器被感染 , 其解毒所需的时间将是单机的几十倍以上 。1. 2 黑客网络技术的入侵目前的企业办公自动化网络基本上都采用以广播为技术基础的以太网 。在同一以太网中 ,任何两个节点之间的通信数据包 ,不仅可以为这两个节点的网卡所接收 ,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外 ,为了工作方便,作者简介 : 李昕 (1981 - ) ,女 , 2003 年 7月毕业于山东大学威海分校计算机信息管理专业。 现为莱钢保卫部助理工程师 ,主要从事网络、通讯技术工作。1. 3 系统数据的破坏在办公自动化网

4、络系统中,有多种因素可能导致数据的破坏 。首先是黑客侵入,黑客基于各种原因侵入网络 ,其中恶意侵入对网络的危害可能是多方面的 。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据 、删除或覆盖原始数据库、破坏应用程序数据等 。其次是病毒破坏病毒可能攻击,系统数据区 , 包括硬盘主引导扇区、Boot 扇区 、FAT表 、文件目录等;病毒还可能攻击文件数据区使文,件数据被删除 、改名 、替换 、丢失部分程序代码、丢失数据文件 , 攻击 CMOS, 破坏系统CMOS 中的数据 ;第三是灾难破坏,由于自然灾害、突然停电 、强烈震动 、误操作等造成数据破坏。重要数据遭到破坏和丢失 会造成企业经营困难

5、、人力 、物力 、财力的巨大,浪费 。2 莱钢企业办公自动化网络安全策略2. 1 网络安全预警办公自动化网络安全预警系统分为入侵预警和病毒预警两部分。入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权 。一旦检测到入侵信息 ,将发出警告 ,从而减少对网络的威胁 。它把包括网络扫描 、互联网扫描 、系统扫描 、实时监控和第三方的防火墙产生的重要安全数据综合起来 ,提供内部和外部的分析并在实际网络中发现75,以便数据丢失后及时有李昕 :企业办公自动化网络安全分析与防范风险源和直接响应; 它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险 、攻击条件 、安全漏洞和攻

6、击分析; 提供详细的入侵告警报告显示入侵告警信息(如入侵地址及目的地,IPIP址 、目的端口 、攻击特征 ),并跟踪分析入侵趋势以,确定网络的安全状态;信息可以发往相关数据库作,为有关网络安全的决策依据。病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描保,持全天 24小时监控所有进出网络的文件,发现病毒可立即产生报警信息,通知管理员, 并可以通过IP地址定位 、端口定位追踪病毒来源并产生功能强大,的扫描日志与报告, 记录规定时间内追踪网络所有病毒的活动。2. 2 数据安全保护针对入侵的安全保护:对于数据库来说,其物理完整性 、逻辑完整性 、数据元素完整性都是十分重要的 。数据库中的数

7、据有纯粹信息数据和功能文件数据两大类 ,入侵保护应主要考虑以下几条原则: 物理设备和安全防护 ,包括服务器、有线 、无线通信线路的安全防护;服务器安全保护不同类型 、不同重要,程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理, 服务器应有合理的访问控制和身份认证措施保护, 并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。用户对数据的存取应有明确的授权策略 , 保证用户只能打开自己权限范围之内的文件 ; 通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据; 客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施

8、 ,提供身份认证 、加密 、解密 、数字签名和信息完整性验证功能 ,并通过软件强制实现各客户机口令的定期更换 ,以防止口令泄漏可能带来的损失 。针对病毒破坏及灾难破坏的安全保护:对于病毒和灾难破坏的数据保护来说 ,最为有效的保护方式有两大类 :物理保护和数据备份 。要防止病毒和灾难破坏数据 ,首先要在网络核心设备上设置物理保护措施 ,包括设置电源冗余模块和交换端口的冗余备份 ; 其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外 ,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份效地恢复 。第 6期 (总第144期 )2. 3 企业自动化入侵防

9、范要有效地防范非法入侵 ,应做到内外网隔离 、访问控制 、内部网络隔离和分段管理 。1)内外网隔离:在内部办公自动化网络和外网之间 ,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址 ,然后有选择的放行一些地址进入办公自动化网络。第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看 ,都应具有以下五大基本功能 : 过滤进 、出网络的数据 ; 管理进 、出网络的访问行为 ; 封堵某些禁止的业务 ; 记录通过防火墙的信息内容和活

10、动 ;对网络攻击的检测和告警 。2)访问控制 :办公自动化网络应采用访问控制的安全措施, 将整个网络结构分为三部分, 内部网络 、隔离区以及外网。每个部分设置不同的访问控制方式 。其中 : 内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址 ,也难以对它进行攻击 。隔离区对外提供服务 , 系统开放的信息都放在该区 ,由于它的开放性 ,使它成为黑客们攻击的对象 ,但由于它与内部网是隔离开的 ,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害 ,也方便管理员监视和诊断网络故障 。3)内部网络的隔离及分段管理:内部网络分段是保证安全的一项重要措

11、施 ,同时也是一项基本措施 ,其指导思想在于将非法用户与网络资源相互隔离 ,从而达到限制用户非法访问的目的。办公自动化网络可以根据部门或业务需要分段。网络分段可采用物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段 ,各网段相互之间无法进行直接通讯; 逻辑分段则是指将整个系统在网络层上进行分段 。并能实现子网隔离 。在实际应用过程中 ,通常采取物理分段与逻辑分段相结合的方法来实现隔离。采取相应的安全措施后 ,子网间可相互访问 。对于 TCP/ IP网络 , 可把网络分成若干 IP子网 ,各子网间必须通过路由器 、路由交换机、网关或防火墙等设备进行连接,利用这些

12、中间设备 (含软件 、硬件 )的安全机制来控制各子网间的访问 。在这里 , 防火墙被用来隔离内部网络的一个网段与另一个网段,可以限制局部网络76莱钢科技2009年 12月安全问题对全局网络造成的影响。复程度依赖于数据备份方案。数据备份的目的在于2. 4病毒防治尽可能快地全盘恢复运行计算机系统所需的数据和相对于单机病毒的防护来说,网络病毒的防治系统信息 。根据系统安全需求可选择的备份机制具有更大的难度 网络病毒防治应与网络管理紧密有实时高速度 、大容量自动的数据存储、备份与恢,:结合 。网络防病毒最大的特点在于网络的管理功复 ;定期的数据存储、备份与恢复; 对系统设备的备能 ,如果没有管理功能,

13、很难完成网络防毒的任务。份 。备份不仅在网络系统硬件故障或入为失误时起只有管理与防范相结合,才能保证系统正常运行。到保护作用 ,也在入侵者非授权访问或对网络攻击计算机病毒的预防在于完善操作系统和应用软件的及破坏数据完整性时起到保护作用同时也是系统,安全机制 。在网络环境下 ,病毒传播扩散快,仅用单灾难恢复的前提之一。机防杀病毒产品已经难以清除网络病毒必须有适,3 结语用于局域网 、广域网的全方位防杀病毒产品。为实现计算机病毒的防治 , 可在办公自动化网络系统上随着莱钢企业各部门之间 、企业和企业之间、国安装网络病毒防治服务器,并在内部网络服务器上际间信息交流的日益频繁, 办公自动化网络的安全安

14、装网络病毒防治软件,在单机上安装单机环境的问题已经提到重要的议事日程上来, 借助 Internet/反病毒软件 。安装网络病毒防治服务器的目标是以Intranet方式的办公自动化系统,可以方便地与网上实时作业方式扫描所有进出网络的文件。本地网络的各种应用系统连接凭借网络安全管理平台不仅,与其它网络间的数据交换、本地网络工作站与服务保证了莱钢企业局域网大环境的安全,同时也为办器间的数据交换 、本地网络各工作站之间的数据交公自动化系统终端设备提供了“健康检查 ”的措施 ,换都要经过网络病毒防治服务器的检测与过滤,这使莱钢企业职工应用办公自动化系统的每台终端设样就保证了网络病毒的实时查杀与防治。备都

15、可以保持健康、安全 也不会把可能存在的病毒,2. 5 数据恢复“传染 ”别人 。办公自动化系统数据遭到破坏之后其数据恢特邀编辑:张继春,Ana lysis of O ff ice Automa tion NetworkSecur ity andPreven tionL i Xin( The Security Dep .t)Abstract: In the light of the characteristics of Laigang LAN ,common security p roblem s in Laigang officeautomation network are analyzed,

16、 withsafety strategiesadvanced.Key words: office automation; network security; virus; hacker(上接第 74页 )行车带病作业及长期满负荷运行的安全隐患,具有2. 4 其它设计按国家相关标准良好的安全 、社会效益 。2)该车改造后可以更好的满足生产, 为炼钢厂3应用效果的安全 、可靠 、稳定运行,提供强有力的安全保障。1)该车改造后,可从行车的安全本质化上解决特邀编辑 : 李慎霞Ana lysis of Causes of Cracks in Travelli ng Crane M eta l Struc

17、ture at the Steelworks Jia Congjie Du Shouhu L iu Tao D ing Hongzhou W ang Yexia ( The Steelworks)Abstract: A imed at the statusof cracks in varying degreesat the sides of the crane bridge stwo ends and the lower cover of the continuous castingmain span for travelling cranes #52, #53 and #54 ( 75 /20