2010年4月刊信息安全信息与电脑ChinaComputer&Communication前言随着计算机技术和通讯技术的迅猛发展,使信息共享应用日益广泛与深入。计算机网络正在改变着学习和生活方式[1]。但是,任何技术进步在促进社会发展的同时也会带来一些负面影响。信息在公共通信网络上存储、共享和传输,会被非法窃听、截取、篡改或毁坏,从而导致不可估量的损失。因此,如何提高企业信息安全是企业管理和发展面临的重大难题。本文针对企业中存在的信息安全问题,从实体安全和信息安全两个方面出发,对现存的计算机网络安全进行基本的分析。重点在信息安全方面给出了企业网络的整体网络安全策略和解决方案。从防火墙、网络防病毒、入侵检测、虚拟专用网、数据存储与备份以及灾难恢复五个方面特别介绍了提高企业网络安全的有效方法。1.计算机网络安全的基本概述计算机网络的安全主要包括实体安全和信息安全。实体安全是指具体的物理设备(线路的安全;信息安全就是指如何保证信息在存储和传输过程中不被未经授权的用户窃取、篡改、伪造或破坏,以保证其保密性、完整性。一个企业网络的整体网络安全解决方案,包括以下几个方面:实体安全(物理设备、防火墙、网络防病毒、入侵检测、虚拟专用网、数据存储与备份以及灾难恢复。2.网络安全解决方案2.1入侵检测入侵是指一些人(“”“”称为黑客或骇客试图进入或者滥用其它人的系统[3],入侵检测系统(IDS是用来检测这些入侵的系统。其中,网络入侵检测系统(NIDS监视网线的数据包并试图检测是否有黑客试图进入系统或者进行服务攻击。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身,也可以运行在独立主机上观察整个网络的流量(集线器,路由器,探测器。值得注意的是一个NIDS监视很多主机,而其他的只监视一个主机。所以,建议企业至少装有一套入侵检测软件监测防火墙的出口,监测通过防火墙的任何可疑活动。2.2数据存储与备份及灾难恢复数据存储与备份及灾难恢复是指服务器内的数据通过某种周期(周、月等进行备份,在数据发生丢失与破坏的时候提供灾难恢复的帮助,从而最大限度的保证数据的安全。在网络系统安全建设中必不可少的环节就是数据的常规备份和历史保存。一个完整的灾难备份及恢复方案应包括:备份硬件、备份软件、备份制度和灾难恢复计划四个部分。2.3防火墙防火墙作为企业系统安全的第一道屏障,在企业系统安全方面起着关键性作用。防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统还决定了哪些内部服务可以被外部访问,外界的那些人可以访问内部的服务,以及哪些外部服务可以被内部人员访问。在选用防火墙时,需要对所安装的防火墙做一些攻击测试。2.4防病毒计算机病毒历来是信息系统安全的主要问题之一。在《中华人民共和国计算机“信息系统安全保护条例》中被明确定义为指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,”影响计算机使用并且能够自我复制的一组计算机指令或者程序代码[2]。网络防病毒技术包括预防病毒、检测病毒和消除病毒等三方面的技术,主要在几个方面防范,如表1。表1网络防病毒技术与相应方式技术定义应对方式防毒根据系统特性采取相应的系统安全措施预防病毒侵入计算机在防火墙、代理服务器、SMTP服务器、网络服务器上安装病毒过滤软件在网络的入口处就将病毒拒之门外防止病毒进入各级主机禁止内部网络成员中未经许可的下载和安装查毒对于确定的环境能够准确地报出病毒名称在主机和应用的计算机上及时检查和清除病毒在防火墙、代理服务器上安装Java及ActiveX控件扫描软件解毒按照病毒的感染特性所进行的恢复安装网络版的防病毒软件,由病毒服务器自动管理客户端2.5虚拟专用网虚拟专用网(VPN被定义为通过一个公共网络(internet建立的一个临时的、安全的连接,是一条穿过混乱的公用网络的安全稳定的隧道,是对企业内部网的扩展。在公网上为用户提供虚拟的专线,通过加密的方式实现外地分公司、出差用户与总公司之间的可信安全的网络交流。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商通公司的内部网建立可信的安全连接。...