资源预览内容
第1页 / 共75页
第2页 / 共75页
第3页 / 共75页
第4页 / 共75页
第5页 / 共75页
第6页 / 共75页
第7页 / 共75页
第8页 / 共75页
第9页 / 共75页
第10页 / 共75页
亲,该文档总共75页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
北京富力通能源软件技术有限公司第 1 页 共 77 页网络安全整体设计建议书2006 年 2 月北京富力通能源技术有限公司 北京富力通能源软件技术有限公司第 2 页 共 77 页第一章 网络安全概述随着公共互联网、电子商务、个人计算机和计算机网络的蓬勃发展,如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻击的危害。黑客、病毒、不满的员工,甚至人为故障都会给网络带来巨大的威胁。所有计算机用户从最普通的互联网冲浪者到大型企业都可能受到网络安全漏洞的影响。但是,通常可以轻松地防范这些安全漏洞。那么怎么防范呢?这手册将向您概述最常见的网络安全威胁,以及您和您的企业可以用于防范这些威胁,以及确保您网络中的数据的安全的措施。1. 安全的重要性互联网无疑已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络;而在互联网上通过 WWW 方式完成的商业贸易现在已经成为企业收入的重要组成部分。尽管互联网已经转变,并大大改进了我们开展业务的方式,但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机,因而企业必须学会保护自己免受这些威胁的危害。尽管人们认为网络攻击者们在入侵存储着敏感性数据(例如个人的医疗或者财务记录)的企业时会比较谨慎,但是对任何对象的攻击所造成的后果包括从轻微的不便直到完全失效重要数据丢失,隐私被侵犯,网络可能停机几个小时、甚至几天。如果不考虑这些潜在的安全漏洞所带来的昂贵的风险,互联网可能是最安全的开展业务的手段。例如,通过电话线或者餐厅中的侍者提交信用卡信息可能比通过网站提交这些信息更危险,因为电子商务交易通常会受到加密技术的保护,而侍者和电信从业人员则并不总是会被监控或者值得信赖。但是对于企业来说,对安全问题的恐惧可能会像实际的安全漏洞一样有害。对计算机的恐惧和怀疑仍然存在,相伴而来的是对互联网的不信任。这种不信任可能会限制企业的商业机会,尤其是那些完全基于 Web 的公司。因此,企业必须制定安全策略,采取保护措施,这些措施不仅要非常有效,而且也要让客户能感觉到它的有效性。企业必须能够以适当的方式向公众说明,他们打算怎样保护他们的客户。除了保护他们的客户以外,企业必须保护他们的员工和合作伙伴不受安全漏洞的威胁。 北京富力通能源软件技术有限公司第 3 页 共 77 页互联网、内联网、外联网让员工和合作伙伴可以在彼此之间进行迅速的、有效的通信。但是,这种通信和效率必然也会受到网络攻击的影响。对于员工来说,一次攻击可能会导致数小时的停机,而网络必须停止工作,以修复故障或者恢复数据。显然,宝贵的时间和数据的损失可能会大幅度地降低员工的效率和士气。 法律也是推动对于网络安全的需求的另外一股重要力量。政府不仅认识到了互联网的重要性,也认识到,世界的很大一部分经济产值都依赖于互联网。但是他们同时也意识到,敞开世界经济的基础设施可能会导致犯罪分子的恶意使用,从而带来严重的经济损失。各国政府因而制定了相关的法律,以管理庞大的电子信息流量。而且,为了遵守政府所颁行的各项法规,计算机行业也制定了一系列安全标准,以帮助企业确保数据的安全,并证明它的安全性。 没有制定可行的安全策略来保护其数据的企业将无法达到这些标准,并受到相应的惩罚。2. 对数据的威胁和其他任何一种犯罪一样,对于数据的保密性和完整性的威胁来自于一小部分恶意破坏者。但是,尽管一个窃车贼一次只能窃取一辆汽车,而一个来自于一台很普通的计算机的黑客却可能会损害大量的计算机网络,从而在全球造成严重的灾难。可能更加令人不安的是威胁可能来自于我们所认识的一些人。事实上,大多数网络安全专家都认为,大部分网络攻击都是由存在漏洞的企业的内部员工所发起的。这些员工通常会出于恶作剧、恶意或者过失,设法损害他们自己公司的网络并销毁数据。而且,随着远程连接技术的逐渐普及,企业增加了大量的远程办公人员、分支机构和业务伙伴。这些远程员工和合作伙伴会带来像内部员工一样的威胁,如果他们的远程联网设备没有得到妥善的保护和监控,他们还会带来安全漏洞的风险。无论您是要保障一辆汽车、一个家庭、一个国家还是一个计算机网络的安全,大致地了解谁是潜在的敌人和他们的攻击方法是最重要的。3. 敌人是谁? (1)黑客这个概括的、通常被过度传奇化的名词指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。很多黑客只满足于闯入网络,并留下他们的足迹,这些通常是一些玩笑式的应用程序和在计算机桌面上的留言。而其他一些被称为 破坏者(cracker)的黑客则怀有恶意,他们会摧毁整个计算机系统,窃取或者损害保密数据, 北京富力通能源软件技术有限公司第 4 页 共 77 页修改网页,甚至最终导致业务的中断。一些业余水平的黑客只会在网上寻找黑客工具,再在不了解这些工具的工作方式和它们的后果的情况下使用这些工具。 (2)没有警惕性的员工当员工关注于他们自己的工作时,他们常常会忽略以下标准的网络安全准则。例如,他们可能会选择一些非常容易记忆的密码,以便他们可以方便地登录他们的网络。但是,这种密码可能很容易被黑客们通过简单的常识或者某种被广泛使用的密码破解软件而猜出或者破解。员工可能会无意中导致其他的安全漏洞,包括意外地接收和传播计算机病毒等。最常见的感染病毒的方式是通过软盘拷贝文件和从互联网上下载文件。通过软件传输数据的员工可能会无意地将他们从复制中心或者图书馆感染的病毒传播到他们的企业网络。他们甚至可能并不知道病毒是否驻留在他们的 PC 中。企业还面临着在员工从互联网下载文件(例如 PowerPoint 演示文件)时感染病毒的风险。令人吃惊的是,企业还必须警惕人为错误。员工无论他们是计算机新手还是计算机行家都会犯下一些错误,例如错误地安装病毒防护软件或者意外地忽视了关于安全威胁的警告信息。 (3)心怀不满的员工与因员工错误导致对网络的损害相比,更令人不安的是某个恼怒的或者意图报复的员工造成网络损害的可能性。恼怒的员工通常是那些被指责、解雇或者停职的员工可能会报复性地通过病毒或者有意删除重要文件,来损害他们的网络。这种群体最为危险,因为他们通常比较了解网络、网络中的信息的价值、高度重要的信息所在的位置,以及它所采取的保护措施。 (4)爱打听消息的人无论对工作满意还是不满意,有些员工还可能非常好奇或者爱恶作剧。在这些被称为爱打听消息的人的员工中,有些可能会参阅商业间谍行为,未经授权地访问保密信息,从而为竞争对手提供一些通过其他方式无法获得的信息。其他一些则只是通过访问私人的信息(例如财务数据,同事之间的一封浪漫的电子邮件,或者某个同事的工资)来满足他们个人的好奇心。在这样的行为中,有些可能相对来说没有什么害处,但是有些行为(例如事先查看私人的财务、医疗或者人力资源数据)则要严重得多,可能会伤害别人的声誉,导致公司遭受经济损失。 北京富力通能源软件技术有限公司第 5 页 共 77 页4. 这些敌人将做什么? (1)病毒病毒是最广为人知的安全威胁,因为它们通常会获得广泛的媒体报道。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。例如,被称宏病毒的病毒可以将自身添加到含有宏指令(可以自动重复的日常任务,例如邮件合并)的文件,并在每次宏运行时被激活。一些病毒的效果相对比较良性,会导致讨厌的中断,例如当用户在键盘上敲击某个字符时显示某个滑稽的消息。其他有一些病毒则更具有破坏性,可能导致各种问题,例如删除硬盘上的文件或者降低系统的速度。 如果在病毒可以通过某个外界来源进入网络时(大多数是通过某个受到感染的磁盘或者某个从互联网上下载的文件) ,网络才会感染病毒。当网络上的一台计算机被感染时,网络上的其他计算机就非常有可能感染到这种病毒。 (2)特洛伊木马程序特洛伊木马程序,或者简称特洛伊,是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序,例如计算机游戏,但是它们实际上是伪装的敌人。特洛伊可以删除数据,将自身的复本发送给电子邮件地址簿中的收件人,从而进行广泛传播。 (3)恶意破坏程序网站会提供一些软件应用(例如 ActiveX 和 Java Applet)的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而让网站更具有吸引力和互动性。但是,由于这些应用非常便于下载和运行,从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者 Java 小程序。一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。 (4)攻击目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。 探测式攻击。实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络。通常,软件工具(例如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现 北京富力通能源软件技术有限公司第 6 页 共 77 页那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常危险的武器。访问攻击。用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。 DoS 攻击。可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS) ,在这种攻击中攻击者将会危及到多个设备或者主机的安全。 (5)数据阻截通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。例如 IP 伪装方法,即通过使用数据接收者的 IP 地址,伪装成数据传输中的经过授权的一方。 (6)社会活动社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的手段。例如,一个社会活动者可能会伪装成一个技术支持代表,打电话给员工,获取密码信息。社会活动的其他例子包括贿赂某一员工,以获取对某个服务器的访问权限,或者搜索某个同事的办公室,以寻找可能写在某个隐蔽地点的密码等。 (7)垃圾信件垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。 5. 安全工具在找出了可能的威胁来源和可能导致的损害以后,制定适当的安全策略和保护措施就变得比较容易了。企业可以选择多种技术从杀毒软件包到专用的网络安全硬件(例如防火墙和入侵检测系统) ,来为网络的所有部分提供保护。 北京富力通能源软件技术有限公司第 7 页 共 77 页与一个建筑物一样,网络也需要多层保护才能真正安全。在确定了这种解决方案以后,就可以部署能够周期性地检测网络中的安全漏洞,提供持续、主动的安全保护的工具。另外还需要聘请专业的网络安全顾问来帮助企业为网络设计合适的安全解决方案,或者确保现有的解决方案的及时和安全。在所有这些选择都准备好以后,就可以在不严重影响用户对于快速、方便地访问信息的需求的前提下,实现足够的保护。十大安全注意事项 一. 鼓励或者要求员工选择比较复杂的密码。二. 要求员工每 90 天更换一次密码。三. 确保您的杀毒软件的版本是最新的。四.
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号