1. 淺談企業網路管理論文
企業網路成為當今企業的客觀存在方式,隨著環境的變遷,其面對的不確定性日益增加。下面是我為大家整理的淺談企業網路管理論文,供大家參考。
淺談企業網路管理論文篇一《 中小企業網路安全與網路管理 》
摘要:本文對中小企業網路安全與網路管理進行了簡要論述。
關鍵詞:網路安全 網路管理
中國擁有四千萬中小企業,據權威部門調研發現,90%以上的中小企業至少都已經建立了內部網路。但是,隨之而來的,就是企業內部網路的安全性問題。多核、萬兆安全、雲安全這些新技術對於他們而言或許過於高端,中小企業應該如何進行網路安全管理?又該從哪入手呢?
1 企業內部網路建設的三原則
在企業網路安全管理中,為員工提供完成其本職工作所需要的信息訪問許可權、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。
原則一:最小許可權原則
最小許可權原則要求我們在企業網路安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問許可權,而不提供其他額外的許可權。
如企業現在有一個文件伺服器系統,為了安全的考慮,我們財務部門的文件會做一些特殊的許可權控制。財務部門會設置兩個文件夾,其中一個文件夾用來放置一些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件,只有企業高層管理人員才能查看,如企業的現金流量表等等。此時我們在設置許可權的時候,就要根據最小許可權的原則,對於普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對於其沒有訪問許可權的文件夾,則伺服器要拒絕其訪問。
原則二:完整性原則
完整性原則指我們在企業網路安全管理中,要確保未經授權的個人不能改變或者刪除信息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。
完整性原則在企業網路安全應用中,主要體現在兩個方面。一是未經授權的人,不能更改信息記錄。二是指若有人修改時,必須要保存修改的歷史記錄,以便後續查詢。
原則三:速度與控制之間平衡的原則
我們在對信息作了種種限制的時候,必然會對信息的訪問速度產生影響。為了達到這個平衡的目的,我們可以如此做。一是把文件信息進行根據安全性進行分級。對一些不怎麼重要的信息,我們可以把安全控制的級別降低,從而來提高用戶的工作效率。二是盡量在組的級別上進行管理,而不是在用戶的級別上進行許可權控制。三是要慎用臨時許可權。
2 企業內部網路暴露的主要問題
2.1 密碼單一
2.1.1 郵件用統一密碼或者有一定規律的密碼
對於郵件系統、文件伺服器、管理系統等等賬戶的密碼,設置要稍微復雜一點,至少規律不要這么明顯,否則的話,會有很大的安全隱患。
2.1.2 重要文檔密碼復雜性差,容易破解
縱觀企業用戶,其實,他們對於密碼的認識性很差。有不少用戶,知道對一些重要文檔要設置密碼,但是,他們往往出於方便等需要,而把密碼設置的過於簡單。故我們對用戶進行網路安全培訓時,要在這方面給他們重點提示才行。
2.2 網路擁堵、沖突
2.2.1 下電影、游戲,大量佔用帶寬資源
現在不少企業用的都是光纖接入,帶寬比較大。但是,這也給一些酷愛電影的人,提供了契機。他們在家裡下電影,下載速度可能只有10K,但是,在公司里下電影的話,速度可以達到1M,甚至更多。這對於喜歡看電影的員工來說,有很大的吸引力。
2.2.2 IP地址隨意更改,導致地址沖突
有些企業會根據IP設置一些規則,如限制某一段的IP地址不能上QQ等等一些簡單的設置。這些設置的初衷是好的,但是也可能會給我們網路維護帶來一些麻煩。
2.3 門戶把關不嚴
2.3.1 便攜性移動設備控制不嚴
雖然我們公司現在對於移動存儲設備,如U盤、移動硬碟、MP3播放器等的使用有嚴格的要求,如要先審批後使用,等等。但是,很多用戶還是私自在使用移動存儲設備。
私自採用便攜性移動存儲設備,會給企業的內部網路帶來兩大隱患。
一是企業文件的安全。因為企業的有些重要文件,屬於企業的資源,如客戶信息、產品物料清單等等,企業規定是不能夠外傳的。二是,若利用移動存儲設備,則病毒就會漏過我們的設在外圍的病毒防火牆,而直接從企業的內部侵入。
2.3.2 郵件附件具有安全隱患
郵件附件的危害也在慢慢增大。現在隨著電子文檔的普及,越來越多的人喜歡利用郵件附件來傳遞電子文檔。而很多電子文檔都是OFFICE文檔、圖片格式文件或者RAR壓縮文件,但是,這些格式的文件恰巧是病毒很好的載體。
據相關網站調查,現在郵件附件攜帶病毒的案例在逐年攀升。若企業在日常管理中,不加以控制的話,這遲早會影響企業的網路安全。
3 企業內部網路的日常行為管理
由於組織內部員工的上網行為復雜多變,沒有哪一付靈葯包治百病,針對不同的上網行為業界都已有成熟的解決方案。現以上網行為管理領域領導廠商深信服科技的技術為基礎,來簡單介紹一下基本的應對策略。
3.1 外發Email的過濾和延遲審計。
防範Email泄密需要從事前和事後兩方面考慮。首先外發前基於多種條件對Email進行攔截和過濾,但被攔截的郵件未必含有對組織有害的內容,如何避免機器識別的局限性?深信服提供的郵件延遲審計技術可以攔截匹配上指定條件的外發Email,人工審核後在外發,確保萬無一失。
事後審計也不容忽視。將所有外發Email全部記錄,包括正文及附件。另外由於Webmail使用的普遍,對Webmail外發Email也應該能做到過濾、記錄與審計。
3.2 URL庫+關鍵字過濾+SSL加密網頁識別。
通過靜態預分類URL庫實現明文網頁的部分管控是基礎,但同時必須能夠對搜索引擎輸入的關鍵字進行過濾,從而實現對靜態URL庫更新慢、容量小的補充。而對於SSL加密網頁的識別與過濾,業界存在通過代理SSL加密流量、解密SSL加密流量的方式實現,但對於組織財務部、普通員工操作網上銀行賬戶的數據也被解密顯然是存在極大安全隱患的。深信服上網行為管理設備通過對SSL加密網站的數字證書的進行識別、檢測與過濾,既能滿足用戶過濾 SSL加密網址的要求,同時也不會引入新的安全隱患。
3.3 網路上傳信息過濾。
論壇灌水、網路發貼、文件上傳下載都需要基於多種關鍵字進行過濾,並應該能對所有成功上傳的內容進行詳細記錄以便事後查驗。但這是不夠的,如藏污納垢的主要場所之一的互聯網WEB聊天室絕大多數都是採用隨機動態埠訪問,識別、封堵此類動態埠網址成為當下上網行為管理難題之一,只有部分廠商能妥善解決該問題,這是用戶在選擇上網行為管理網關時需要著重考慮的問題。
3.4 P2P的精準識別與靈活管理。
互聯網上的P2P軟體層出不窮,如果只能封堵「昨天的BT」顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術――基於行為統計學的分析的確有其獨到之處。基於行為特徵而非基於P2P軟體本身精準識別了各種P2P,包括加密的、不常見的、版本泛濫的等。有了精準識別,這樣的設備對P2P的流控效果格外出眾。
3.5 管控各種非工作無關網路行為。
業界領先廠商都已摒棄基於IP、埠的應用識別方式,而採用基於應用協議特徵碼的深度內容檢測技術,區別僅在於哪個廠商的應用識別庫最大、更新最快。基於精準的應用識別,加上針對不同用戶、時間段分配不同的網路訪問策略,必將提升員工的工作效率。
伴隨著組織內網員工非善意上網行為的泛濫與蔓延,符合中國客戶需求的上網行為管理技術與解決方案也將快速發展,以持續滿足廣大用戶的需求。
淺談企業網路管理論文篇二《 企業網路基本搭建及網路管理 》
摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,本文在分析當前企業網路建設和管理中存在的問題的基礎上,提出了解決問題的具體對策,旨在提高企業對營銷網路的建設質量和管理水平。系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對企業網網路進行搭建,通過物理、數據等方面的設計對網路管理進行完善是解決上述問題的有效 措施 。
關鍵詞:企業網 網路搭建 網路管理
企業對網路的要求性越來越強,為了保證網路的高可用性,有時希望在網路中提供設備、模塊和鏈路的冗餘。但是在二層網路中,冗餘鏈路可能會導致交換環路,使得廣播包在交換環路中無休止地循環,進而破壞網路中設備的工作性能,甚至導致整個網路癱瘓。生成樹技術能夠解決交換環路的問題,同時為網路提供冗餘。
以Internet為代表的信息化浪潮席捲全球,信息 網路技術 的應用日益普及和深入,伴隨著網路技術的高速發展,企業網網路需要從網路的搭建及網路管理方面著手。
一、 基本網路的搭建
由於企業網網路特性(數據流量大、穩定性強、經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1.網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷設備。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FTDH、千兆乙太網(1000Mbps),快速乙太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FTDH ;是光纖直接到客戶,是多媒體應用系統的理想網路平台,但它的網路帶寬的實際利用率很高;目前千兆乙太網已成為一種成熟的組網技術, 因此個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路管理
1.物理安全設計。為保證企業網信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實了這種截取距離在幾百米甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
2.網路共享資源和數據信息設計。針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。
VLAN是在一個物理網路上劃分出來的邏輯網路。這個網路對應於OSI模型的第二層。通過將企業網路劃分為虛擬網路VLAN,可以強化網路管理和網路安全,控制不必要的數據廣播。VLAN將網路劃分為多個廣播域,從而有效地控制廣播風暴的發生,還可以用於控制網路中不同部門、不同站點之間的互相訪問。 人們對網路的依賴性越來越強,為了保證網路的高可用性,有時希望在網路中提供設備、模塊和鏈路的冗餘。但是在二層網路中,冗餘鏈路可能會導致交換環路,使得廣播包在交換環路中無休止地循環,進而破壞網路中設備的工作性能,甚至導致整個網路癱瘓。生成樹技術能夠解決交換環路的問題,同時為網路提供冗餘。 天驛公司有銷售部和技術部,技術部的計算機系統分散連接在兩台交換機上,它們之間需要相互通信,銷售部和技術部也需要進行相互通信,為了滿足公司的需求,則要在網路設備上實現這一目標。 使在同一VLAN中的計算機系統能夠跨交換機進行相互通信,需要在兩個交換機中間建立中繼,而在不同VLAN中的計算機系統也要實現相互通信,實現VLAN之間的互通
使在同一VLAN中的計算機系統能夠跨交換機進行相互通信,需要在兩個交換機中間建立中繼,而在不同VLAN中的計算機系統也要實現相互通信,實現VLAN之間的通信需要三層技術來實現,即通過路由器或三層交換機來實現。建議使用三層交換機來實現,因為使用路由器容易造成瓶頸。
VLAN是為解決乙太網的廣播問題和安全性而提出的,它在乙太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍,並能夠形成虛擬工作組,動態管理網路。從目前來看,根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員,被設定的埠都在同一個廣播域中,實現網路管理。
企業內部網路的問題,不僅是設備,技術的問題,更是管理的問題。對於企業網路的管理人員來講,一定要提高網路管理識,加強網路管理技術的掌握, 才能把企業網路管理好。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網路(第4版)[M].北京:清華大學出版社,2008.8
[2]袁津生,吳硯農.計算機網路安全基礎[M]. 北京:人民郵電出版社,2006.7
[3]中國IT實驗室.VLAN及技術[J/OL],2009
淺談企業網路管理論文篇三《 企業網路化管理思考 》
摘要:企業實行網路化管理是網路經濟的特徵之一,企業的管理流程、業務數據、與業務相關的財務數據、以及企業的各種資產都需要網路化管理。建立以業務為中心的企業資源計劃系統是 企業管理 信息化的目標。最後分析了這類系統成敗的因數等。
關鍵詞:管理流程網路化;網路財務;資源計劃
Abstract: enterprises implement the network management is one of the characteristics of network economy, enterprise management process and business data, and business related financial data, and all kinds of assets of the enterprise need network management. Establish business centered enterprise resource planning system is the enterprise management information goal. In the final analysis, the success or failure of this kind of system of Numbers.
Keywords: management flow network; Financial network; Resource planning
中圖分類號:C29文獻標識碼:A 文章 編號:
前言
企業的形式不一樣,主營業務不一樣,管理水平不一樣,企業內部的管理系統可能會千差萬別。隨著企業主的商業活動的擴大,需要給出的決策越來越多,越益復雜多樣,不久就認識到,不可能同時在各處出現,不可能把所有的數據都囊括,為給出決策需求從而要求的能力水準,已經大大超出了一個管理人員的才能。因此企業進行決策就要進行多方面的考察研究,要藉助於諸如財務、銷售、生產和人事等職能部門,解決這些問題的第一個步驟是把責任委託給下屬(職責下放給下屬),因此每一個職能部門的工作人員,在完成他們的任務的過程中要充分發揮創新精神,並開始獨立地收集和整理與他們的本職工作有關的數據。結果是產生一種信息系統,其信息由各部門數據組合而成,
盡管收集和存儲這種多路數據流時,在企業范圍內存在著許多重復工作,但當時企業確實首次開始考慮用側重於管理的正式信息系統來代替簿記。這就是管理信息系統的最初動因。隨著設備技術的發展,各種自動化設備都可以幫助管理的信息化和網路化,其中計算機在其中扮演著重要的角色。計算機及網路的發展給網路化管理帶來了方便,同時也給傳統的企業分工提出了新的要求。並且在技術、操作和經濟上可行的管理方案也必須要專業的部門配合才行。
網路對經濟環境、經濟運行方式都產生了變革式的影響。網路對經濟的影響,產生了繼農業經濟、工業經濟之後的一種新的經濟方式——網路經濟。管理的網路化是網路經濟的特徵之一,在這種情況下企業的資金流、物資流、業務流與信息流合一,可以做到精細化管理。
1.企業建立網路化管理的必要性
1.1 企業的管理流程需要網路化
傳統企業的管理就像管理地球儀上的經線(代表管理的各個層面)和緯線(代表管理上的各級部門)的交點(代表部門的管理層面)一樣,是立體化的。採用網路化來管理流程能夠做到扁平化的管理,能夠跨越多個部門而以業務為主線連接在一起。
1.2 企業的業務數據需要網路化管理
一旦對業務數據實現網路化管理,財務上的每一筆賬的來源就會非常清楚,業務溯源就會很方便;並且管理流程的網路化也需要夾帶各個業務流程的數據。
1.3 企業財務數據需要網路化管理
傳統非網路化的 財務管理 系統有諸多缺陷,如財務核算層面難以滿足財務管理的需要、財務控制層面的缺陷和對財務決策的支持手段非常缺乏等;傳統財務管理信息系統無法實現上級部門對下級部門財務收支兩條線的監控、無法滿足規范化統一管理需求、無法控制數據的真實性和有效性等。鑒於這些缺陷,建立業務事件驅動的網路化財務管理系統是非常必要的。
1.4 企業的物資設備、人力技術、客戶關系以及合作夥伴也需要網路化管理
企業的有形資產、無形資產及企業的知識管理實現網路化統一調度以後,效率會有很大程度的提高,各種機器設備及人力的利用率也會提高;企業知識的形成是企業能夠克隆和復制壯大的基礎。
2.建立網路化的管理系統
2.1 業務和財務數據的網路化
信息化網路對網路經濟具有重大的意義,可以說,如果沒有信息化網路的產生,那麼也就不會出現有別於農業經濟、工業經濟的網路經濟。網路按照網路范圍和互聯的距離可劃分為國際互聯網路、企業內部網路、企業間網路。國際互聯網是按照一定的通信協議將分布於不同地理位置上,具有不同功能的計算機或計算機網路通過各種通信線路在物理上連接起來的全球計算機網路的網路系統。企業內部網路是應用國際互聯網技術將企業內部具有不同功能的計算機通過各種通信線路在物理上連接起來的區域網。在該網路中企業內部部門之間可以共享程序與信息,增強員工之間的協作,簡化工作流程。
建立業務事件驅動的信息系統是網路化管理的開端,它就是指在網路經濟環境下,大量利用成熟的信息技術的成就,使管理流程與經濟業務流程有機地融合在一起。當企業的一項經濟業務(事件)發生時,由業務相關部門的一位員工負責錄入業務信息,當信息進入系統後,立即存儲在指定的資料庫;同時,該業務事件通過管理平台,生成實時憑證,自動或經管理人員確認後顯示在所有相關的賬簿和報表上,不再需要第二個部門或任何其他員工再錄入一遍。這樣,信息為所有「授權」的人員共同享用。每個業務管理與財會人員每天必須打開某個信息屏幕,管理和控制相關的經濟業務,做到實時、迅速響應外界及內部經濟環境的變化;所有管理人員都按照統一、實時的信息來源作出決策,避免了不同的決策單位或個人,由於信息所依據的來源不同而作出相互矛盾的決定,造成管理決策的混亂。在這個財務信息系統當中,大部分事件數據都以原始的、未經處理的方式存放,實現了財務信息和非財務信息的同時存儲,實現了物流、資金流、業務數據流的同步生成;原來由財會人員編制的業務憑證、報表等等財務資料,可由計算機實時生成、輸出,大大減少財務部門的重復勞動,提高工作效率的同時減少了差錯做到「數出一門,信息共享」。
以業務事件為驅動,建立業務數據和生成財務信息後,可設立一個與資料庫直接相連的管理模型庫,在模型庫當中設立先進的管理模型,如預警模型、預測模型、決策模型、籌資模型等。對於特殊的信息使用者,可以根據自己的需要,自己設計一些模型滿足企業自身的需要,如根據企業的需要可在企業內部設立成本核算模型、庫存預警模型,滿足企業自身管理的需要。這些模型所需的數據可直接從資料庫中進行提取。
2.2 企業資源計劃(ERP)系統
在網路經濟下,企業之間的競爭,是全方位的競爭,不僅包括企業內部管理等資源的競爭,更包括外部的資源供應鏈、客戶資源等外部資源的競爭。所以,在網路經濟下,要想使企業能夠適應瞬間變化的市場環境,立於不敗之地,建立企業整個資源計劃系統是企業管理的必然趨勢。企業資源計劃系統對人們來說,已不再陌生,企業資源計劃是在20世紀90年代中期由美國著名的咨詢公司加特納提出的一整套企業管理系統體系標准,並很快被管理界和學術界所承認,逐步擴大使用。企業資源計劃系統實際上是先進的管理思想與信息技術的融合,它認為企業資源包括廠房、倉庫、物資、設備、工具、資金、人力、技術、信譽、客戶、供應商等全部可供企業調配使用的有形和無形的資產,它強調人、財、物、產、供、銷全面的結合,全面受控,實時反饋,動態協調,解決客戶、供應商、製造商信息的集成,優化供應鏈,實現協同合作競爭的整個資源的管理。企業資源計劃系統是以業務為中心來組織,把企業的運營流程看作是一個緊密的供應鏈,從供應商到客戶,充分協調企業的內部和外部資源,集成企業的整個信息,實現企業的全面競爭。
3.管理系統的問題
再好的管理系統也要靠人來參與,如果參與人員覺得系統與他無關,輸入的是垃圾數據,那麼輸出的也是垃圾數據,管理系統也起不到應有的作用。這就要求開發管理系統的人員盡量讓系統簡便地輸入、精確地輸入和不重復錄入數據,這些應該盡量採用自動化的輸入設備,讓數據採集自動化,減少人為出錯因數。管理系統應當量身定製,做到適用和實用。另外,企業各級領導的重視程度也是這類管理系統成敗的重要因數。
有關淺談企業網路管理論文推薦:
1. 淺談企業網路管理論文
2. 網路管理論文精選範文
3. 網路管理論文
4. 網路管理技術論文
5. 網路管理與維護論文
6. 淺談現代企業管理論文
7. 淺談企業團隊管理論文
2. 網路安全解決方案
企業網路安全管理方案
大致包括: 1) 企業網路安全漏洞分析評估2) 網路更新的拓撲圖、網路安全產品采購與報價3) 管理制度制定、員工安全教育與安全知識培訓計劃4) 安全建設方案5) 網管設備選擇與網路管理軟體應用6) 網路維護與數據災難備份計劃7) 企業防火牆應用管理與策略8) 企業網路病毒防護9) 防內部攻擊方案10) 企業VPN設計
網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施,安全技術措施應用等
按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序,包括監測上網行為、包括入侵監測
三、從技術層面上,你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網,這樣的話你做不到上網行為管理,你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據,造成泄密 這已經是很常見的事情 所以做好主機防護很重要。
當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段
3. 企業如何做好網路安全
中小企業網路安全問題嚴重
垃圾郵件、病毒、間諜軟體和不適內容會中斷業務運行,這些快速演變的威脅隱藏在電子郵件和網頁中,並通過網路快速傳播,消耗著有限的網路和系統資源。要防範這些威脅,就需要在網路安全方面有所投入才行。但現在的經濟形勢讓眾多中小企業面臨生存挑戰,IT投入的縮減,專業人員的不足等因素,相比大型企業來說,都讓中小企業在對付網路威脅方面更加無助。
即使投入有限,中小企業的網路安全需求一點也不比大企業少。在現實情況中,中小企業往往還對便捷的管理、快速的服務響應等要求更高。那麼中小企業如何在有限的投入中構建完善的網路安全體系呢?試試下面這幾招。
第一招:網關端防護事半功倍
內部病毒相互感染、外部網路的間諜軟體、病毒侵襲等危害,使得僅僅依靠單一安全產品保證整個網路安全穩定運行的日子一去不復返了。而應對目前新型的Web威脅,利用架設在網關處的安全產品,在威脅進入企業網路之前就將其攔截在大門之外是更加有效的方法。對於中小企業來說,選擇一款功能全面、易於管理和部署的網關安全設備,不但可以在第一時間內對各類Web流量內容進行掃描過濾,同時也可以大大減輕各應用伺服器主機的負荷。
比如,趨勢科技推出的IGSA就包含了防病毒、防垃圾郵件和內容過濾、防間諜軟體、防網路釣魚、防僵屍保護以及URL過濾服務等眾多功能,並且可以統一集中管理,通過日誌報告還讓網路運行安全情況一目瞭然,大大減少了信息安全管理的工作量。
第二招:運用「雲安全」免去內存升級壓力
目前中小企業內網安全也不容忽視,而且要求實現集中管理和保護內部桌面計算機。在網路威脅飆升的今天,更新病毒碼成為每天必備的工作,但傳統代碼比對技術的流程性問題正在導致查殺病毒的有效性急劇下降。趨勢科技推出的雲安全解決方案超越了病毒樣本分析處理機制,通過雲端伺服器群對互聯網上的海量信息源進行分析整理,將高風險信息源保存到雲端資料庫中,當用戶訪問時,通過實時查詢信息源的安全等級,就可以將高風險信息及時阻擋,從而讓用戶頻繁的更新病毒碼工作成為歷史。
目前,桌面端防護的用戶數是網關防護用戶數的5倍,桌面防護在現階段也是必不可少的手段,但要求減輕更新負擔和加強管理便捷性。這方面,趨勢科技的Office Scan通過應用最新的雲安全技術,使桌面端防護不再依賴於病毒碼更新,降低了帶寬資源和內存資源的佔用和壓力。
第三招:安全服務節省管理成本
網路安全管理成本在整個網路安全解決方案中佔有一定比例,如果用三分技術、七分管理的理論來解釋,這方面成本顯然更高。如何才能在專業管理人員有限的狀況下,達到安全管理的目標呢?中小企業可以藉助安全廠商的專家技術支持,高效、專業地保障網路安全運行。也就是借用外力來管理自己的網路安全設備,將比自己培養管理人員成本更低,而且效果更佳。
目前,已有包括趨勢科技在內的多家廠商提供此類服務。
第四招:培養安全意識一勞永逸
對於網路安全而言,薄弱的環節除了安全技術的滯後外,內部員工的安全意識不強也是重要因素。大量網路威脅的出現,與員工的應用操作不當有密切關聯,如隨意訪問含有惡意代碼的網站、下載和使用電子郵件發送帶有病毒的附件、不更新病毒碼等。所以,組織網路安全知識培訓也必不可少,管理層還要制定一套完善的網路安全策略。
網路安全建設要具有長遠的眼光,不能僅僅為了眼前的幾種威脅而特意部署安全方案,只有從硬體、軟體、服務等方面綜合考慮,選擇實力強的安全解決方案,才可以低價優質的保護網路安全。
4. 企業網路安全解決方案論文
企業基於網路的計算機應用也在迅速增加,基於網路信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,研究解決網路安全問題的方案顯得及其重要。下面是我帶來的關於企業網路安全解決方案論文的內容,歡迎閱讀參考!
企業網路安全解決方案論文篇1
淺談中小企業網路安全整體解決方案
摘要:隨著企業內部網路的日益龐大及與外部網路聯系的逐漸增多,一個安全可信的企業網路安全系統顯得十分重要。區域網企業信息安全系統是為了防範企業中計算機數據信息泄密而建立的一種管理系統,旨在對區域網中的信息安全提供一種實用、可靠的管理方案。
關鍵詞:網路安全 防病毒 防火牆 入侵檢測
一、網路安全的含義
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域。網路安全,通常定義為網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
二、中小企業網路安全方案的基本設計原則
(一)綜合性、整體性原則。應用系統工程的觀點、 方法 ,分析網路的安全及具體 措施 。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。
(二)需求、風險、代價平衡的原則。對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
(三)分步實施原則。由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需要,亦可節省費用開支。
三、中小企業網路安全方案的具體設計
網路安全是一項動態的、整體的系統工程,從技術上來說,網路安全由安全的 操作系統 、應用系統、防病毒、防火牆、入侵檢測、網路監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保您信息網路的安全性。
該方案主要包括以下幾個方面:
(一)防病毒方面:應用防病毒技術,建立全面的網路防病毒體系。隨著Internet的不斷發展,信息技術已成為促進經濟發展、社會進步的巨大推動力:當今社會高度的計算機化信息資源對任何人無論在任何時候、任何地方都變得極有價值。不管是存儲在工作站中、伺服器里還是流通於Internet上的信息都已轉變成為一個關系事業成敗關鍵的策略點,這就使保證信息的安全變得格外重要。
(二)應用防火牆技術,控制訪問許可權,實現網路安全集中管理。防火牆技術是今年發展起來的重要網路安全技術,其主要作用是在網路入口處檢查網路通訊,根據客戶設定的安全規則,在保護內部網路安全的前提下,保障內外網路通訊。在網路出口處安裝防火牆後,內部網路與外部網路進行了有效的隔離,所有來自外部網路的訪問請求都要通過防火牆的檢查,內部網路的安全有了很大的提高。
防火牆可以完成以下具體任務:通過源地址過濾,拒絕外部非法IP地址,有效的避免了外部網路上與業務無關的主機的越權訪問;防火牆可以只保留有用的服務,將其他不需要的服務關閉,這樣可以將系統受攻擊的可能性降低到最小限度,使黑客無機可乘。
隨著網路的廣泛應用和普及,網路入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們日趨關注的焦點。防火牆作為網路邊界的第一道防線,由最初的路由器設備配置訪問策略進行安全防護,到形成專業獨立的產品,已經充斥了整個網路世界。在網路安全領域,隨著黑客應用技術的不斷「傻瓜化」,入侵檢測系統IDS的地位正在逐漸增加。一個網路中,只有有效實施了IDS,才能敏銳地察覺攻擊者的侵犯行為,才能防患於未然。
參考文獻:
[1]陳家琪.計算機網路安全.上海理工大學,電子教材,2005
[2]胡建斌.網路與信息安全概論.北京大學網路與信息安全研究室,電子教材,2005
企業網路安全解決方案論文篇2淺談網路安全技術與企業網路安全解決方案
網路由於其系統方面漏洞導致的安全問題是企業的一大困擾,如何消除辦企業網路的安全隱患成為 企業管理 中的的一大難題。各種網路安全技術的出現為企業的網路信息安全帶來重要保障,為企業的發展奠定堅實的基礎。
1 網路安全技術
1.1 防火牆技術
防火牆技術主要作用是實現了網路之間訪問的有效控制,對外部不明身份的對象採取隔離的方式禁止其進入企業內部網路,從而實現對企業信息的保護。
如果將公司比作人,公司防盜系統就如同人的皮膚一樣,是阻擋外部異物的第一道屏障,其他一切防盜系統都是建立在防火牆的基礎上。現在最常用也最管用的防盜系統就是防火牆,防火牆又可以細分為代理服務防火牆和包過濾技術防火牆。代理服務防火牆的作用一般是在雙方進行電子商務交易時,作為中間人的角色,履行監督職責。包過濾技術防火牆就像是一個篩子,會選擇性的讓數據信息通過或隔離。
1.2 加密技術
加密技術是企業常用保護數據信息的一種便捷技術,主要是利用一些加密程序對企業一些重要的數據進行保護,避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基於公鑰的加密演算法。數據加密方法主要是對重要的數據通過一定的規律進行變換,改變其原有特徵,讓外部人員無法直接觀察其本質含義,這種加密技術具有簡便性和有效性,但是存在一定的風險,一旦加密規律被別人知道後就很容易將其解除。基於公鑰的加密演算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強的隱蔽性,外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙,因此具有較強的保密性。
1.3 身份鑒定技術
身份鑒定技術就是根據具體的特徵對個人進行識別,根據識別的結果來判斷識別對象是否符合具體條件,再由系統判斷是否對來人開放許可權。這種方式對於冒名頂替者十分有效,比如指紋或者後虹膜, 一般情況下只有本人才有許可權進行某些專屬操作,也難以被模擬,安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中,具有較強的實用性。
2 企業網路安全體系解決方案
2.1 控制網路訪問
對網路訪問的控制是保障企業網路安全的重要手段,通過設置各種許可權避免企業信息外流,保證企業在激烈的市場競爭中具有一定的競爭力。企業的網路設置按照面向對象的方式進行設置,針對個體對象按照網路協議進行訪問許可權設置,將網路進行細分,根據不同的功能對企業內部的工作人員進行許可權管理。企業辦公人員需要使用到的功能給予開通,其他與其工作不相關的內容即取消其訪問許可權。另外對於一些重要信息設置防寫或讀保護,從根本上保障企業機密信息的安全。另外對網路的訪問控制可以分時段進行,例如某文件只可以在相應日期的一段時間內打開。
企業網路設計過程中應該考慮到網路安全問題,因此在實際設計過程中應該對各種網路設備、網路系統等進行安全管理,例如對各種設備的介面以及設備間的信息傳送方式進行科學管理,在保證其基本功能的基礎上消除其他功能,利用當前安全性較高的網路系統,消除網路安全的脆弱性。
企業經營過程中由於業務需求常需要通過遠端連線設備連接企業內部網路,遠程連接過程中脆弱的網路系統極容易成為別人攻擊的對象,因此在企業網路系統中應該加入安全性能較高的遠程訪問設備,提高遠程網路訪問的安全性。同時對網路系統重新設置,對登入身份信息進行加密處理,保證企業內部人員在操作過程中信息不被外人竊取,在數據傳輸過程中通過相應的 網路技術 對傳輸的數據審核,避免信息通過其他 渠道 外泄,提高信息傳輸的安全性。
2.2 網路的安全傳輸
電子商務時代的供應鏈建立在網路技術的基礎上,供應鏈的各種信息都在企業內部網路以及與供應商之間的網路上進行傳遞,信息在傳遞過程中容易被不法分子盜取,給企業造成重大經濟損失。為了避免信息被竊取,企業可以建設完善的網路系統,通過防火牆技術將身份無法識別的隔離在企業網路之外,保證企業信息在安全的網路環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理,技術一些黑客解除企業的防火牆,竊取到的信息也是難以理解的加密數據,加密過後的信息常常以亂碼的形式存在。從理論上而言,加密的信息仍舊有被解除的可能性,但現行的數據加密方式都是利用復雜的密匙處理過的,即使是最先進的密碼解除技術也要花費相當長的時間,等到數據被解除後該信息已經失去其時效性,成為一條無用的信息,對企業而言沒有任何影響。
2.3 網路攻擊檢測
一些黑客通常會利用一些惡意程序攻擊企業網路,並從中找到漏洞進入企業內部網路,對企業信息進行竊取或更改。為避免惡意網路攻擊,企業可以引進入侵檢測系統,並將其與控制網路訪問結合起來,對企業信息實行雙重保護。根據企業的網路結構,將入侵檢測系統滲入到企業網路內部的各個環節,尤其是重要部門的機密信息需要重點監控。利用防火牆技術實現企業網路的第一道保護屏障,再配以檢測技術以及相關加密技術,防火記錄用戶的身份信息,遇到無法識別的身份信息即將數據傳輸給管理員。後續的入侵檢測技術將徹底阻擋黑客的攻擊,並對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據,難以從中得到有效信息。通過這些網路安全技術的配合,全方位消除來自網路黑客的攻擊,保障企業網路安全。
3 結束語
隨著電子商務時代的到來,網路技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用,企業網路安全也將長期伴隨企業經營管理,因此必須對企業網路實行動態管理,保證網路安全的先進性,為企業的發展建立安全的網路環境。
>>>下一頁更多精彩的「企
5. 如何解決企業遠程辦公網路安全問題
企業遠程辦公的網路安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:微信新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用雲計算大力推動企業上雲,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼籲,全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平台也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體[4]。
通過信息技術實現遠程辦公,無論是網路層、系統層,還是業務數據,都將面臨更加復雜的網路安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網路與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、雲計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟體企包括企業微信、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具,代表軟體包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的雲存儲和在線共享、修改或審閱功能,代表軟體包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟體包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟體包括創客貼、Canvas等。
二、遠程辦公不同模式下的網路安全責任主體
《網路安全法》(「《網安法》」)的主要規制對象是網路運營者,即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。
對於遠程辦公系統而言,不同的系統運營方式下,網路安全責任主體(即網路運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限,以明確判斷自身應採取的網路安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有伺服器上,系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高,但因不存在數據流向第三方伺服器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由於系統架構完畢後由企業單獨所有並自主管理,因此企業構成相關辦公系統的網路運營者,承擔相應的網路安全責任。
(2)雲辦公系統
此類辦公系統通常為SaaS系統或APP,由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有許可權對系統進行開發或修改,而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。
由於雲辦公系統(SaaS或APP)的網路、資料庫、應用伺服器都由平台運營方運營和管理,因此,雲辦公系統的運營方構成網路運營者,通常對SaaS和APP的網路運行安全和信息安全負有責任。
實踐中,平台運營方會通過用戶協議等法律文本,將部分網路安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平台的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有伺服器和第三方伺服器上,綜合了自有系統和雲辦公,系統的運營不完全由企業控制,多用於有多地架設本地伺服器需求的跨國企業。
雲辦公系統的供應商和企業本身都可能構成網路運營者,應當以各自運營、管理的網路系統為邊界,對各自運營的網路承擔相應的網路安全責任。
對於企業而言,為明確其與平台運營方的責任邊界,企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限於以下:
辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員許可權;
辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器;
企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平台運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網路系統,雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定,盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此,對於共同管理、運營遠程協作辦公服務平台的情況下,企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。
三、遠程辦公涉及的網路安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網路安全熱點事件,就涉及的網路安全問題進行簡要的風險評估,並為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平台「短時間奔潰」,平台運營方是否需要承擔網路運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之後的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案,但是巨量的並發響應需求還是超出了各平台運營商的預期,多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障[6]。在出現故障後,平台運營方迅速採取了網路限流、伺服器擴容等措施,提高了平台的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網路安全法》(以下簡稱《網安法》)第22條的規定,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平台的運營方,作為平台及相關網路的運營者,應當對網路的運行安全負責。對於短時間的系統故障,平台運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對於上述事件而言,基於我們從公開渠道了解的信息,盡管多個雲辦公平台出現了響應故障問題,給用戶遠程辦公帶來了不便,但平台本身並未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網路數據泄露等實質的危害結果,因此,各平台很可能並不會因此而承擔網路安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平台產品均免費開放,因此,各平台都會有大量的新增客戶。對於平台運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。
為進一步降低平台運營方的風險,提高用戶體驗,我們建議平台運營方可以:
將用戶流量激增作為平台應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等;
對用戶流量實現實時的監測,及時調配平台資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網路攻擊風險?
事件回顧:
疫情期間,某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送,網路釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以「疫情防控」相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一,無論是接入網路還是移動終端本身,都更容易成為網路攻擊的對象。一方面,公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點,這些網路可能毫無安全防護,存在很多常見的容易被攻擊的網路漏洞,容易成為網路犯罪組織侵入企業內網的中轉站;另一方面,部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件,員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件,嚴重威脅企業內部網路的安全。
在計算機病毒或外部網路攻擊等網路安全事件下,被攻擊的企業盡管也是受害者,但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案,導致網路數據泄露或者被竊取、篡改,給企業的用戶造成損失的,很可能依舊需要承擔相應的法律責任。
應對建議:
對於企業而言,為遵守《網安法》及相關法律規定的網路安全義務,我們建議,企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全:
(1)企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識,制定相適應的網路安全事件管理機制,包括但不限於:
制定包括數據泄露在內的網路安全事件的應急預案;
建立應對網路安全事件的組織機構和技術措施;
實時監測最新的釣魚網站、勒索郵件事件;
建立有效的與全體員工的通知機制,包括但不限於郵件、企業微信等通告方式;
制定與員工情況相適應的信息安全培訓計劃;
設置適當的獎懲措施,要求員工嚴格遵守公司的信息安全策略。
(2)企業應當根據現有的信息資產情況,採取以下措施,進一步保障移動終端設備安全:
根據員工的許可權等級,制定不同的移動終端設備安全管理方案,例如,高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備;
制定針對移動終端設備辦公的管理制度,對員工使用自帶設備進行辦公提出明確的管理要求;
定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描;
在終端設備上,對終端進行身份准入認證和安全防護;
重點監測遠程接入入口,採用更積極的安全分析策略,發現疑似的網路安全攻擊或病毒時,應當及時採取防範措施,並及時聯系企業的信息安全團隊;
就移動辦公的信息安全風險,對員工進行專項培訓。
(3)保障數據傳輸安全,企業可以採取的安全措施包括但不限於:
使用HTTPS等加密傳輸方式,保障數據傳輸安全。無論是移動終端與內網之間的數據交互,還是移動終端之間的數據交互,都宜對數據通信鏈路採取HTTPS等加密方式,防止數據在傳輸中出現泄漏。
部署虛擬專用網路(VPN),員工通過VPN實現內網連接。值得注意的是,在中國,VPN服務(尤其是跨境的VPN)是受到電信監管的,僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,應當向持有相應電信業務許可證的基礎運營商租用。
3.內部員工通過VPN進入公司內網,破壞資料庫。企業應當如何預防「內鬼」,保障數據安全?
事件回顧:
2月23日晚間,微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障,系統崩潰,生產環境和數據遭受嚴重破壞,導致上百萬的商戶的業務無法順利開展,遭受重大損失。根據微盟25日中午發出的聲明,此次事故系人為造成,微盟研發中心運維部核心運維人員賀某,於2月23日晚18點56分通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前,賀某被上海市寶山區公安局刑事拘留,並承認了犯罪事實[8]。由於資料庫遭到嚴重破壞,微盟長時間無法向合作商家提供電商支持服務,此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業,微盟的股價也在事故發生之後大幅下跌。
從微盟的公告可以看出,微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員,通過個人VPN登錄到了公司內網跳板機,並具有刪庫的許可權」。該事件無論是對SaaS服務商而言,還是對普通的企業用戶而言,都值得反思和自省。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
內部員工泄密一直是企業數據泄露事故的主要原因之一,也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下,企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權,進一步增大數據泄露甚至被破壞的風險。
與用戶流量激增導致的系統「短時間崩潰」不同,「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失,不排除平台運營者可能需要承擔網路安全相關的法律責任。
應對建議:
為有效預防員工惡意破壞、泄露公司數據,保障企業的數據安全,我們建議企業可以採取以下預防措施:
制定遠程辦公或移動辦公的管理制度,區分辦公專用移動設備和員工自有移動設備,進行分類管理,包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權,尤其是企業資料庫的管理許可權;
建立數據分級管理制度,例如,應當根據數據敏感程度,制定相適應的訪問、改寫許可權,對於核心資料庫的數據,應當禁止員工通過遠程登錄方式進行操作或處理;
根據員工工作需求,依據必要性原則,評估、審核與限制員工的數據訪問和處理許可權,例如,禁止員工下載數據到任何用戶自有的移動終端設備;
建立數據泄露的應急管理方案,包括安全事件的監測和上報機制,安全事件的響應預案;
制定遠程辦公的操作規范,使用文件和材料的管理規范、應用軟體安裝的審批流程等;
組建具備遠程安全服務能力的團隊,負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況;
加強對員工遠程辦公安全意識教育。
4.疫情期間,為了公共利益,企業通過系統在線收集員工疫情相關的信息,是否需要取得員工授權?疫情結束之後,應當如何處理收集的員工健康信息?
場景示例:
在遠程辦公期間,為加強用工管理,確保企業辦公場所的健康安全和制定相關疫情防控措施,企業會持續地向員工收集各類疫情相關的信息,包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測,在必要時,向監管部門報告企業員工的整體情況。如發現疑似病例,企業也會及時向相關的疾病預防控制機構或者醫療機構報告。
風險評估:
2020年1月20日,新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病,並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。
2月9日,中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《通知》),各地方各部門要高度重視個人信息保護工作,除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
各地也陸續出台了針對防疫的規范性文件,以北京為例,根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》,本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作,建立健全防控工作責任制和管理制度,配備必要的防護物品、設施,加強對本單位人員的健康監測,督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察,發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求,積極組織人員參加疫情防控工作。
依據《通知》及上述法律法規和規范性文件的規定,我們理解,在疫情期間,如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權,企業在授權范圍內,應當可以收集本單位人員疫情相關的健康信息,而無需取得員工的授權同意。如果不能滿足上述例外情形,企業還是應當依照《網安法》的規定,在收集前獲得用戶的授權同意。
《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,但因聯防聯控工作需要,且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責,採取嚴格的管理和技術防護措施,防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦<關於做好個人信息保護利用大數據支撐防疫聯控工作的通知>》
應對建議:
在遠程期間,如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息,我們建議各企業應當:
制定隱私聲明或用戶授權告知文本,在員工初次提交相關信息前,獲得員工的授權同意;
遵循最小必要原則,制定信息收集的策略,包括收集的信息類型、頻率和顆粒度;
遵循目的限制原則,對收集的疫情防控相關的個人信息進行區分管理,避免與企業此前收集的員工信息進行融合;
在對外展示企業整體的健康情況時或者披露疑似病例時,對員工的相關信息進行脫敏處理;
制定信息刪除管理機制,在滿足防控目的之後,及時刪除相關的員工信息;
制定針對性的信息管理和保護機制,將收集的員工疫情相關的個人信息,作為個人敏感信息進行保護,嚴格控制員工的訪問許可權,防止數據泄露。
5.遠程辦公期間,為有效監督和管理員工,企業希望對員工進行適當的監測,如何才能做到合法合規?
場景示例:
遠程辦公期間,為了有效監督和管理員工,企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施,要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時,很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。
同時,在使用遠程OA系統或App時,辦公系統也會自動記錄員工的登錄日誌,記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外,如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作,終端設備和虛擬機軟體中可能預裝了監測插件或軟體,在滿足特定條件的情況下,會記錄員工在終端設備的操作行為記錄、上網記錄等。
風險評估:
上述場景示例中,企業會通過1)員工主動提供和2)辦公軟體自動或觸發式收集兩種方式收集員工的個人信息,構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求,遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並獲取員工的同意。
對於視頻監控以及系統監測軟體或插件的使用,如果操作不當,並且沒有事先取得員工的授權同意,很可能還會侵犯到員工的隱私,企業應當尤其注意。
應對建議:
遠程辦公期間,尤其在當前員工還在適應該等工作模式的情形下,企業根據自身情況採取適當的監督和管理措施,具有正當性。我們建議企業可以採取以下措施,以確保管理和監測行為的合法合規:
評估公司原有的員工合同或員工個人信息收集授權書,是否能夠滿足遠程辦公的監測要求,如果授權存在瑕疵,應當根據企業的實際情況,設計獲取補充授權的方式,包括授權告知文本的彈窗、郵件通告等;
根據收集場景,逐項評估收集員工個人信息的必要性。例如,是否存在重復收集信息的情況,是否有必要通過視頻監控工作狀態,監控的頻率是否恰當;
針對系統監測軟體和插件,設計單獨的信息收集策略,做好員工隱私保護與公司數據安全的平衡;
遵守目的限制原則,未經員工授權,不得將收集的員工數據用於工作監測以外的其他目的。
四、總結
此次疫情,以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用,也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果,也代表了未來新的生產力和新的發展方向[9]。此次「突發性的全民遠程辦公熱潮」之後,遠程辦公、線上運營將愈發普及,線下辦公和線上辦公也將形成更好的統一,真正達到提升工作效率的目的。
加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署,強調要推進數字政府建設,加強數據共享,建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則[10]。
為平穩加速推進數字化智能化發展,契合政府現代化治理的理念,企業務必需要全面梳理並完善現有的網路安全與數據合規策略,為迎接新的智能化管理時代做好准備。
6. 企業應該如何防禦ddos攻擊
一、尋找機會應對
如果已遭受攻擊,那所能做的防範工作是非常有限的,因為在未准備好的情況下,有大流量災難性攻擊沖向用戶,很可能在用戶還沒回過神之際,網路已經癱瘓。但是,用戶還是可以抓住機會尋求一線希望的。
檢查攻擊來源,通常黑客會通過很多假IP地址發起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然後了解這些IP來自哪些網段,再找網網管理員將這些機器關閉,從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話,可以採取臨時過濾的方法,將這些IP地址在伺服器或路由器上過濾掉。
找出攻擊者所經過的路由,把攻擊屏蔽掉。若黑客從某些埠發動攻擊,用戶可把這些埠屏蔽掉,以阻止入侵。不過此方法對於公司網路出口只有一個,而又遭受到來自外部的DDoS攻擊時不太奏效,畢竟將出口埠封閉後所有計算機都無法訪問internet了。
最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP後可以有效地防止攻擊規模的升級,也可以在一定程度上降低攻擊的級別。
二、預防為主
DoS攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規方法:
1. 過濾所有RFC1918IP地址
RFC1918IP地址是內部網的IP地址,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把它們過濾掉。此方法並不是過濾內部員工的訪問,而是將攻擊時偽造的大量虛假內部IP過濾,這樣也可以減輕DDoS的攻擊。
2. 用足夠的機器承受黑客攻擊
是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處於空閑狀態,和目前中小企業網路實際運行情況不相符。
3. 充分利用網路設備保護網路資源
所謂網路設備是指路由器、防火牆等負載均衡設備,它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重啟後會恢復正常,而且啟動起來還很快,沒有什麼損失。若其他伺服器死掉,其中的數據會丟失,而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一台路由器被攻擊死機時,另一台將馬上工作。從而最大程度的削減了DDoS的攻擊。
4. 配置防火牆
防火牆本身能抵禦DDoS攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux漏洞少和天生防範攻擊優秀的系統。
5. 限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網路訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對於DDoS效果不太明顯了,不過仍然能夠起到一定的作用。
6. 定期掃描
要定期掃描現有的網路主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網路主節點的都是伺服器級別的計算機,所以定期掃描漏洞就變得更加重要了。