《N公司网络安全问题及优化策略》9000字(论文)_第1页
《N公司网络安全问题及优化策略》9000字(论文)_第2页
《N公司网络安全问题及优化策略》9000字(论文)_第3页
《N公司网络安全问题及优化策略》9000字(论文)_第4页
《N公司网络安全问题及优化策略》9000字(论文)_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

N公司网络安全问题及完善对策研究目录TOC\o"1-3"\h\u12460第1章前言 I第1章前言网络安全问题在互联网这个大环境下已成为了备受关注的安全问题。社会发展离不开网络。因此需不断地改进安全防护技术,增加安全管理,了解企业可能面临的安全威胁,使用网络安全信息工具,促使企业更好地发展。在频繁发生网络事故的大环境中,N公司属于产品制造公司,创建于20世纪80年代,总公司设在上海,历经多年的发展,分支机构已经遍及全国各地,辖省级分公司、地市支公司、营业部等。由于公司规模大,人员众多,所以信息安全工作一直受到重视。N公司信息网络安全系统在成立之初就具有很高的安全性,并能够适应公司业务发展需要。该信息安全系统不仅保证了各部门之间的通信顺畅,而且为企业内部的各项工作提供可靠保障。但是,随着有关研究工作的不断深入、技术发展和公司业务模式、管理模式转变,当今信息网路安全系统存在着较多地安全漏洞与隐患,并且给公司业务正常发展带来了一些不利影响。其中,病毒入侵、恶意攻击等问题尤为突出。并且由于企业管理层对网络安全的重视程度不高,对于网络安全没有给予足够关注,企业员工对于网络安全的意识普遍不强,造成网络安全事件的频繁发生。所以,目前迫切需要结合N公司的实际业务需求和已有技术、该装置实现了信息网络安全系统的再设计,再部署。网络安全事件直接给公司造成巨大损失。本文的初衷旨在帮助N公司发现网络安全管理中的科学问题,初步为N公司开发合适的解决方案,减少N公司网络安全问题。第2章企业网络安全简述2.1企业网络安全隐患如今,网络安全系统需要预防的已经不只是病毒感染了,更是以网络为载体进行非法入侵、攻击与接入,而企业网络安全隐患来源存在内外网,许多时候,内部网络面临的安全威胁比外部网络大得多,由于在内部进行入侵与攻击是比较方便的,企业网络安全威胁来源有:(1)病毒,木马,恶意软件等侵入。(2)网络黑客攻击。(3)非法窃取重要文件或者邮件,并对其进行存取和操作。(4)关键部门非法进入,敏感信息泄露等。(5)非法侵入外网。(6)备份数据及存储媒体被破坏,遗失。2.2企业网络安全误区(一)安装防火墙就安全了防火墙的主要任务均为控制存取和过滤封包,因此,对于DoS攻击,非法存取和篡改封包这些攻击模式进行预防是极其有效的,能够对网络周围进行安全防护。防火墙除了具备以上功能外,还能防止内部或外部的恶意操作及入侵。但是若攻击行为没有通过防火墙,或把应用层攻击程序藏到普通封包中,则捉襟见肘,很多防火墙只工作于网络层上。防火墙以“防外不防内”为原则,在内部网络接入方面没有障碍,实际上,绝大多数企业网络安全事件仍然来自企业内部。(二)安装了最新的杀毒软件就不怕病毒了装设杀毒软件旨在防止病毒侵入,查杀系统内已经感染计算机病毒,但是,它并不确保不会有病毒的侵入,由于杀毒软件对某种病毒的查杀能力始终落后于它的存在。(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效网络版杀毒软件的核心是对网络防毒系统进行集中管理。在网络中安装一个杀毒软件,就相当于把自己的计算机从网络中移到了安全中心。网络版杀毒软件可通过安全中心对单台服务器全网客户端杀毒软件进行同步病毒查杀控制、对全网病毒进行监测。这种方式能够对所有的网络进行全面有效地监控和集中管理。同时对整个网络来说,管理十分便利,为单机版所不能。

第3章N公司网络安全管理现状及问题3.1N公司简介N公司是行业和技术领先的制造商。随着N公司业务的持续增长,公司规模持续扩大,员工人数现已达到600人。无论是在汽车、火车、轮船、飞机、工程机械还是发电厂,N公司的产品都被世界领先的制造商广泛使用。N公司以“持续创新”为公司目标,注重核心技术的培育和开发,认真响应环保减排需求,推动公司工业自动化和综合数据生成、适应。改变市场,为客户创造最大价值,企业正在寻求更多的发展。2020年,N公司进行了工厂扩建、办公室改造、信息化建设升级三个阶段,以满足业务量增加对信息化建设的需求。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。3.2N公司网络安全管理现状3.2.1IT部门组织架构当前N公司的IT部门分为业务系统支持,IT自动化等、基础设施管理等、开发及桌面支持部门。反病毒服务器上安装了许多安全软件,但没有专门的反病毒程序,对所有的用户都进行权限控制。网络安全部门同事报告基础设施部门经理,也就是说,网络安全在N公司的优先级与其他IT功能不同,如图3-1所示。网络安全的重点放在了硬件设施的维护工作,如防火墙、入侵检测等设备以及网络交换机的配置。以N公司现有生产规模来看,管理层不重视网络安全管理等问题。这说明在IT环境下进行日常生产与管理时网络安全在安全技术方向处于相对被动的防护地位。在企业内部,安全管理必须从战略高度出发。在技术上安全管理应紧贴安全政策,开展入侵检查,并采取相应防护措施,对于各种安全事件,制定了标准响应程序。组织结构上要设置专职或兼职的管理人员。标准化的资产管理同样是不可或缺。图3-1N公司IT部门组织架构图从整体上看,IT管理过程通常都无法回避决策这三大难题、决策内容与实施。决策就是选择最佳方案。IT管理与战略密不可分,而在战略管理IT部门中,决策更是必不可少。网络安全是信息安全部门的一个重要方面,其核心就是对网络信息资源进行有效的保护,使之免受各种威胁和破坏。制订网络安全战略,是网络安全部门必须完成的任务,当我们思考网络安全战略的时候,一定要从IT战略开始思考,它与企业战略密不可分。网络安全部门还应该为企业战略服务,即帮助企业实现安全目标,提高信息安全水平,增强企业核心竞争力。所以如何把网络安全战略和IT战略甚至企业的战略目标结合起来,理解和适应企业的需要,间接推动了企业的发展,这是网络安全部门亟待解决的一个课题。企业为了获得更大的经济利润而忽视了网络安全问题,这使得公司的信息安全受到威胁。社会企业发展迅速。企业管理是一个复杂而又系统的工作。合理地安排部门结构,能够极大地提高部门内部工作效率,在各部门间合理配置责任,降低内部冲突,切实强化部门职能等战略眼光,从而促进部门整体生产力的发展。3.2.2网络架构现状N公司设置了多个IT机房。在众多的机房中,有两个中央机房。所有数据中心都通过IPSec连接,可以提高工厂间数据传输速度,节省大量资金,减少网络通信。响应问题。在原有的网络架构设计下,主要存在以下问题:一是N公司中心机房缺少远程备份设计,无法保证机房数据安全。其次,核心网络层缺乏重复。当出现故障时,整个系统的IT服务都会中断。第三是缺乏隔离服务于外部世界的服务器所需的DMZ空间。3.3N公司网络安全问题分析3.3.1安全组织管理题(1)缺乏足够的组织结构。当前的IT组织结构如上所述。在高速发展阶段,IT基础设施基础设施经理还负责带领网络安全部门提高效率。但是,网络安全领域并没有明确的功能分类。N公司在日常的网络安全管理过程中,不重视网络安全管理,缺乏一定的专业性。从专业的角度来看,不可能每天都考虑网络安全管理。一方面,部门职责分工不明确,网安日报分工不明确,处理效率尚不明确。缺乏战略发展规划,阻碍了网络安全规划和发展与公司业务的紧密结合,这有助于确保公司的持续发展。(2)网络安全管理流程和制度不完善。在管理N公司网络安全的日常运营中,网络安全部门主要负责监控终端设备对内部网络的访问、外部设备安全审计、备份和防病毒管理。IT设备过高,缺乏有效管控,用户行为管控过于开放,本地管理员权限管理不合理。此外,由于网络安全部门的同事对安全相关技能的熟练程度不高,在数据建设初期规划时,并未对所有数据资产实施风险识别和风险应对策略。网络安全部门内部绩效考核不完善,导致日常管理工作绩效不佳。不完善的安全管理制度和程序,导致网络安全事件发生时,缺乏相应的网络安全事件应急响应程序。回溯源代码、事后诸葛亮和错误修复会产生巨大的影响。3.3.2安全技术管理问题(1)公司缺乏有效的防病毒管理。杀毒服务器数据库经常不更新,服务缺乏定期维护管理。在N公司数据调查中,反病毒服务器数据库与上周相同,只有72%的计算机与服务器病毒数据库数据匹配。内部共享文件一旦被病毒感染,无法有效识别和隔离,将导致内部文件大量感染,直接给公司带来损失。(2)备份服务器不受管理。公司N备份数据目前每周备份一次。缺乏每日备份意味着数据有数周或更长时间无法恢复的风险。另外,备份策略不遵循321备份原则,即3个备份、2个数据格式、1个异地备份,也没有静态备份计划来检查备份工作和检查备份数据。研究资料的时候,也发现还是备份失败,也没有相应的解决办法。没有定期备份检查和备份数据验证,就无法保证备份数据的可用性。在这种情况下,如果有N公司想要恢复数据,恢复失败的概率最高。(3)公司缺乏主动防御技术。N公司没有积极使用防御技术。缺乏入侵检测和入侵防御,意味着N公司面对主动攻击没有有效的防范措施,入侵的可能性增大,内网安全得不到保障。一旦黑客突破防御并成功干预,他们所能做的就是被人任人宰割。N公司虽然早期考虑了信息系统规划的方方面面,却忽略了针对基础设施的网络安全威胁的防护计划。3.3.3用户安全意识问题在对公司网络进行安全管理中,最弱的一环,一般为人为因素,而非技术管理。随着我国经济建设与信息技术的快速发展,计算机网络也得到了广泛应用。大量调查显示。由于各种人为原因引起的计算机事故占整个信息系统故障总数的三分之一以上。由于人为因素或者自然灾害等原因导致计算机信息系统遭受损失的事件,起码百分之七十是由于管理措施不力或管理不善造成的,而这些信息中,有百分之九十五都能被适当的信息安全配置管理所杜绝。因此,加强对计算机信息系统安全管理工作的研究和探讨,就显得十分必要了。在另一方面,执行安全法律法规,具体落实安全技术措施,必须有有力的管理。因此,加强对企业计算机信息安全管理工作进行研究具有重要意义。强化管理意识,加强管理措施,是搞好计算机信息系统安全防护的必要保证,而在安全管理中最关键的因素恰恰就是人。一个组织只有建立了一套行之有效的管理制度才能有效地控制各种风险,确保信息系统的安全运行。企业发布的所有规定,均以减少或者避免人为因素所带来的麻烦,而人,常常是最难控制的。所以说,要保证计算机系统安全可靠运行,首先必须确保每个员工都具有良好的安全防范意识。所以我们一方面将工作重点放在了技术与软硬件的改进上,还要重视公司内部人员安全意识培养与提升。要想使计算机网络安全得到有效地维护和控制,就必须对公司内所有工作人员进行系统培训并定期开展考核与认证,让每个员工认识到自己的职责及所应承担的责任。因为在计算机网络安全中,除技术范畴外,还存在着更重要的要素,即人。在网络上发生事故时,人的作用是关键的。在网络安全的每一个环节中,都有人参与其中。没有人的积极参与就不可能实现真正意义上的信息安全保障。由于人们主观能动性的发挥,任何一个牢不可破的安全系统,都是有人参与其中,它的安全性均会存在不确定性。有时候,安全问题并非技术原因—而是人员与管理之间的关系。安全系统一旦被破坏,后果不堪设想。许多N公司员工为了提高工作效率,将公司文件存储在个人云或收件箱中,方便随时办公。此类行为增加了公司机密泄露的可能性。由于公司在IT系统的日常使用中设置了强制更改密码的时间,为便于记忆,密码是用明文的方式写入标签或者记事本的,用的时候能很容易的看到,然而这也很方便未经授权的访问和具有非法想法的个人的访问。第4章N公司网络安全管理对策4.1网络安全组织管理对策4.1.1网络安全规章制度制定制定网络安全规章制度,为企业网络安全管理提供依据。网络安全制度应根据不同时期网络安全状况进行调整,以确保企业安全生产和经营业务正常运行。在企业网络安全架构日益发展,日趋成熟的今天,与之相对应的网络安全规章制度,也需经常或者及时地进行更新,并且对公司的所有职工开放。目前,国内许多企业都已开始重视网络安全建设,但对网络安全制度缺乏足够的认识,没有明确的安全目标,缺少完善的安全管理体系,也不清楚网络安全教育的内容和方法等问题。所以建立网络安全领导小组很有必要,主要是对N公司的网络安全工作进行日常管理,公司内部网络安全管理制度的制定和实施,经常举办网络安全培训活动和宣传。以及传播与网络安全有关的系统信息。在网络安全管理体系建设中,要从基础层开始着手,逐步实现信息安全等级保护制度、防火墙技术以及入侵检测等各项安全措施的有机结合,最终达到提升整体网络安全水平的目的。构建网络安全体系的重点是:①信息保密管理②安全、网络运行管理③安全意识管理④网络安全责任管理⑤网络安全事件管理⑥网络安全发展规划。构建较为完善的网络安全体系,对后续网络安全工作的日常管理具有重要作用。4.1.2协调组织安全活动按照网络安全合规规章制度,协调部门的安全,定期组织全厂职工进行网络安全活动及培训,通过采取应对措施,对企业目前的安全状况及操作风险进行了评价。对网络安全问题进行分析总结并提出整改建议。网络安全领域工作人员。需要对自己所面临的问题进行分析和总结,确定工作重点并采取针对性的解决策略,从而提升自身的信息安全意识。事件又设定了相应方向,以促进网络安全。确保网络安全工作有序进行。N公司的长期持续安全行动方案主要有:①通过建立用户群和安全意识培训、有效的安全信息发布渠道、安全教育培训体系等。建立针对安全需求的有效沟通方式。识别N公司要带来的安全信息,培养和提高安全意识N公司应该从多角度进入文化消费群体。改变员工对网络安全的认知并非易事,必须努力维护企业安全文化。安全意识培训计划的建立很大程度上取决于安全组织的支持。安全机构必须建立、促进和补充安全意识培训。安全意识培训的最终目的是:①让员工意识到自己的责任。②展示公司安全部门的权利和义务。③提高员工安全意识和组织报告流程。开展网络安全活动,可以更好地提高员工网络安全意识,改变个人“危险”行为,进而认清企业安全目标,提高企业网络安全水平。4.2网络安全技术管理对策4.2.1加强用户登录管理

一旦发生网络安全事件,黑客攻击N公司的第一步就是获得N公司网络的访问权,而VPN账号就是访问网络的人。如果用户的网络安全意识不足,企业账号很容易因疏忽行为被盗,存在安全隐患。如果使用者网络安全意识不强,企业账号很容易因疏忽大意行为被盗用,存在隐患。如果客户账号被盗用后,将给公司带来严重影响。若客户账号被窃取,进而导致顾客资金的流失。如果公司账户被窃,那么公司就会面临巨额经济损失,甚至还会危及员工生命健康安全。如果用户的公司账号被盗用,表示黑客可以直接攻击企业内网,故意取得内网资源,威胁可想而知。因此,公司必须要做好信息安全工作,提高自身的防范能力,才能保证公司的正常运营。另外,因公司内部人员均具有不同的计算机操作经历,因此,在企业受到黑客入侵的情况,为了抵御黑客的攻击,通常都选择在家或附近配置服务器,但此法也不是很靠谱的。另外,公司内部的计算机和网络环境比较复杂,很容易受到黑客攻击而导致数据丢失或泄露,严重影响了公司正常运营。因此在对职工和其他账户用户进行网络安全培训时,通过多因素身份验证的方式登录账户,是提高帐户和公司安全的有效方法之一。多因素认证的字面意思是,在所述认证账号登录时,除了账号登录所需密码外,还需要身份验证方式,以确认登录人的地位,避免了用户试图在外部登录账号的行为。本文介绍了一种基于双密钥和多重加密算法的多因素认证方法。该方法多采用账户双重加密。在实际应用中,由于黑客入侵了网站服务器,从而使得网站无法正常运行。是黑客窃取了用户帐户,由此看来,提高了用户帐户的安全级别。因此登录时必须输入真实的姓名和口令,并且无法使用他人账号登录,否则,将导致账号被盗刷。为了防止黑客盗刷账号,还需要在用户与雇员之间建立一个安全通道。此外,当员工启用多个身份验证时,设定用户使用强密码的要求。4.2.2可用性保障IT部门是以系统为中心,该系统以数据为中心。系统部署完成之后,必须要保证体系内数据一致和安全稳定。保证数据的安全,是保证系统准备就绪的一个重要先决条件。数据加密是保证数据安全的主要方法之一。在P2DR2理论中,核心是战略,战略侧重于动态保护。安全事件发生后,需要及时响应,恢复系统服务。系统恢复后,会重新记录事故过程,找出问题原因,记录差距,及时修复,防止类似事故再次发生。然后,根据N公司当前的安全需求和业务的持续需求,多数数据保护采用强化备份管理的方法。在日常工作中,对数据和服务器进行全面检查并建立完善的记录。对重要的数据及系统服务器定期进行备份,以实现当数据或者服务器被破坏时,数据恢复完全。在此基础上,还可以增加对数据库的维护。日常进行系统备份,增加关键数据,每周末进行一次完整系统及数据备份。为了保证系统运行稳定可靠,备份必须保持连续性。在数据存储方面,在卸载过程中,首先要考虑备份文件在物理位置上,为了保证备份文件失效后不会对原系统造成破坏。对于备份和系统维护人员来说,备份和维护的主要问题在于如何提高备份文件的可用性。灾害的发生,能确保备份文件准确,以及检测出现灾害或安全事件情况下的反应及恢复时间,为了对安全保护策略进行调整与验证。尽管重要客户数据可保存到服务器中并备份,能够确保用户数据安全,但是无法确保顾客可用。由于服务器上安装了许多漏洞程序或软件缺陷,这些漏洞会对客户端产生潜在的威胁,从而使客户遭受损失。所以,要降低可能被不安全顾客导致黑客攻击,客户应该定期对补丁分发以及软件版本进行扫描,并且对状态进行更新,为了保证顾客在第一时间打补丁以便最大限度的减少补丁。本文从四个方面介绍了如何加强对网络中的计算机。操作系统与软件薄弱等。通过对这些漏洞进行检测,能够有效地防止攻击者利用系统缺陷或病毒入侵,从而达到保护客户信息安全的目的。,增强了保护使用者安全不受客观条件干扰的功能。4.3用户网络安全意识培养对策4.3.1网络安全宣传网络安全宣传主要是为了使每个职工都尽可能的认识到网络安全对工作的意义,充分了解网络安全中出现的问题,确定网络安全管理原则与目标,最终提升网络安全水平。要达到这个目标,必须从安全文化建设开始。全员安全意识。网络安全公共规划的核心是建立安全文化。所以网络安全的公共规划起码应该包括如下几个方面的重点:①安全事件对企业和用户的潜在影响。②说明公司网络安全管理的政策标准和目标。③用户在网络安全管理中必须承担的安全责任和必须承担的违规后果。④最高管理者必须对网络安全管理负责。网络安全宣传以所有职工为主体,因此,在实施方式与渠道的选择上,一般都选择能够在短期内迅速与员工取得联系,具体办法还在于便于公关。通常有以下几种做法:①不限次数的讲座和讨论。②公司内部刊物或内网网站。③广告海报。④参与度高的各种员工会议。⑤登录信息系统时的提醒或促销信息。⑥网络安全意识培训宣传片。此外N公司还有内刊,N公司网络安全团队可经常在内刊刊登文章,公开目标,执行情况和项目成果。在企业内开展网络信息安全培训和宣传工作也是很好的选择。内部期刊受N公司自总部至中国,可以考虑将有关网络安全信息在内网公布,以作辅助。4.3.2网络安全培训在网络安全培训中,网络安全培训的主要目的是传播用户所需的安全和安全技能,使用户能够执行与培训内容相一致的任务。与外展相比,教育的呈现更加强制性和正式。同时,研究也更加关注其受众的接受程度、工作的具体背景、应用环境的技能要求。因此,培训内容也更有针对性。大部分培训管理采用有规律的、不一致的方式,结合N公司员工的密集时间,并结合适当的培训内容,使N公司员工的采用更广泛,培训效果更有效,网络更安全。使用企业和信息系统,培训内容也因角色而异。通过网络安全培训让N公司的员工们了解、识别并防御日常办公场景中最广泛存在的安全威胁。

第5章结论随着互联网的不断发展,社会经济的发展依附网络的不断发展。互联网经济下的网络安全问题层出不穷。企业想在互联网时代下稳步发展,内部网络安全问题必须及时防御,洞察,解决。网络安全问题不容小觑。本文对企业网络安全存在的隐患及误区进行了概述,以P2DR2网络安全模型和ISMS信息安全管理

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论