‘壹’ 网络存在哪些安全隐患及如何解决网络安全隐患
网络安全是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从本质上讲就是网络信息安全,包括静态的信息存储安全和信息传输安全。
进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因素。
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被开发和应用。但是,即便是在这样的情况下,网络的安全依旧存在很大的隐患。
企业网络的主要安全隐患
随着企业的信息化热潮快速兴起,由于企业信息化投入不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等多种原因,网络安全也成了中小企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件……这些无一不是企业信息主管的心头之患。
1.安全机制
每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐藏内部网络结构,细致外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往无能为力,很难发觉和防范。
2.安全工具
安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理员和普通用户,不正当的设置就会产生不安全因素。
3.安全漏洞和系统后门
操作系统和应用软件中通常都会存在一些BUG,别有心计的员工或客户都可能利用这些漏洞想企业网络发起进攻,导致某个程序或网络丧失功能。有甚者会盗窃机密数据,直接威胁企业网络和企业数据的安全。即便是安全工具也会存在这样的问题。几乎每天都有新的BUG被发现和公布,程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用,而且这种攻击通常不会产生日志,也无据可查。现有的软件和工具BUG的攻击几乎无法主动防范。
系统后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以经过防火墙而不被察觉。
第2页:网络安全探讨(二)
4.病毒、蠕虫、木马和间谍软件
这些是目前网络最容易遇到的安全问题。病毒是可执行代码,它们可以破坏计算机系统,通常伪装成合法附件通过电子邮件发送,有的还通过即时信息网络发送。
蠕虫与病毒类似,但比病毒更为普遍,蠕虫经常利用受感染系统的文件传输功能自动进行传播,从而导致网络流量大幅增加。
木马程序程序可以捕捉密码和其它个人信息,使未授权远程用户能够访问安装了特洛伊木马的系统。
间谍软件则是恶意病毒代码,它们可以监控系统性能,并将用户数据发送给间谍软件开发者。
5.拒绝服务攻击
尽管企业在不断的强化网络的安全性,但黑客的攻击手段也在更新。拒绝服务就是在这种情况下诞生的。这类攻击会向服务器发出大量伪造请求,造成服务器超载,不能为合法用户提供服务。这类攻击也是目前比较常用的攻击手段。
6.误用和滥用
在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。
网络安全体系的探讨
1.防火墙
防火墙是企业网络与互联网之间的安全卫士,防火墙的主要目的是拦截不需要的流量,如准备感染带有特定弱点的计算机的蠕虫;另外很多硬件防火墙都提供其它服务,如电子邮件防病毒、反垃圾邮件过滤、内容过滤、安全无线接入点选项等等。
在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。
防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
第3页:网络安全探讨(三)
2.网络病毒的防范
在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,并且定期或不定期更新病毒库,使网络免受病毒侵袭。
3.系统漏洞
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患和弱点。面对大型我那个罗的复杂性和变化,仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。有经验的管理员还可以利用黑客工具对网络进行模拟攻击,从而寻找网络的薄弱点。
4.入侵检测
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,能识别出任何不希望有的行为,从而达到限制这些活动,保护系统安全的目的。
5.内网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的入侵则无能为力。在这种情况下我们可以采用对各个子网做一个具有一定功能的审计文件,为管理员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序监听子网内计算机间互联情况,为系统中各个服务器的审计文件提供备份。
企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全的需求也会迅速的成长。
总之,网络安全是一个系统工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,与科学的网络管理结合在一起,才能生成一个高效、通用、安全的网络系统。
‘贰’ 网络的问题急用!!!!!!!!!
中小企业整体网络安全解决方案解析
信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力,使企业能在信息资讯时代脱颖而出。
企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。
外部安全
随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
内部安全
最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。
内部网络之间、内外网络之间的连接安全
随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
1. 中小企业的网络情况分析
中小企业由于规模大小、行业差异、工作方式及管理方式的不同有着不同的网络拓扑机构。网络情况有以下几种。
集中型:
中小企业网络一般只在总部设立完善的网络布局。采取专线接入、ADSL接入或多条线路接入等网络接入方式,一般网络中的终端总数在几十到几百台不等。网络中有的划分了子网,并部署了与核心业务相关的服务器,如数据库、邮件服务器、文档资料库、甚至ERP服务器等。
分散型:
采取多分支机构办公及移动办公方式,各分支机构均有网络部署,数量不多。大的分支采取专线接入,一般分支采取ADSL接入方式。主要是通过VPN访问公司主机设备及资料库,通过邮件或内部网进行业务沟通交流。
综合型:
集中型与分散型的综合。
综合型企业网络简图
2. 网络安全设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。
体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
全局综合性设计原则
从中小企业的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。建议考虑到各种安全措施的使用,使用一个具有相当高度、可扩展性强的安全解决方案及产品。
可行性、可靠性及安全性
可行性是安全方案的根本,它将直接影响到网络通信平台的畅通,可靠性是安全系统和网络通信平台正常运行的保证,而安全性是设计安全系统的最终目的。
3. 整体网络安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
整体安全系统架构
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。如图2所示,这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
1. 整体安全防护体系
基于以上的规划和分析,建议中小企业企业网络安全系统按照系统的实现目的,采用一种整合型高可靠性安全网关来实现以下系统功能:
防火墙系统
VPN系统
入侵检测系统
网络行为监控系统
垃圾邮件过滤系统
病毒扫描系统
带宽管理系统
无线接入系统
2.方案建议内容
2.1. 整体网络安全方案
通过如上的需求分析,我们建议采用如下的整体网络安全方案。网络安全平台的设计由以下部分构成:
防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。
VPN系统:对远程办公人员及分支机构提供方便的IPSec VPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。
入侵检测系统:采用入侵检测设备,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应。
网络行为监控系统:对网络内的上网行为进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。
病毒防护系统:强化病毒防护系统的应用策略和管理策略,增强病毒防护有效性。
垃圾邮件过滤系统:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。
移动用户管理系统:对内部笔记本电脑在外出后,接入内部网进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。
带宽控制系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准,定位网络流量的基线,及时发现网络是否出现异常流量并控制带宽。
总体安全结构如图:
网络安全规划图
本建议书推荐采用法国LanGate®产品方案。LanGate® UTM统一安全网关能完全满足本方案的全部安全需求。LanGate® UTM安全网关是在专用安全平台上集成了防火墙、VPN、入侵检测、网络行为监控、防病毒网关、垃圾邮件过滤、带宽管理、无线安全接入等功能于一身的新一代全面安全防护系统。
LanGate® UTM产品介绍
3.1. 产品概括
LanGate 是基于专用芯片及专业网络安全平台的新一代整体网络安全硬件产品。基于专业的网络安全平台, LanGate 能够在不影响网络性能情况下检测有害的病毒、蠕虫及其他网络上的安全威胁,并且提供了高性价比、高可用性和强大的解决方案来检测、阻止攻击,防止不正常使用和改善网络应用的服务可靠性。
高度模块化、高度可扩展性的集成化LanGate网络产品在安全平台的基础上通过各个可扩展的功能模块为企业提供超强的安全保护服务,以防御外部及内部的网络攻击入。此产品在安全平台上集成各种功能应用模块和性能模块。应用模块添加功能,例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾邮件过滤引擎。这种安全模块化架构可使新的安全服务在网络新病毒、新威胁肆虐时及时进行在线升级挽救网络,而无需进行资金及资源的再投入。轻松安装、轻松升级的LanGate产品简化了网络拓扑结构,降低了与从多个产品供应商处找寻、安装和维护多种安全服务相关的成本。
3.2. 主要功能
基于网络的防病毒
LanGate 是网关级的安全设备,它不同于单纯的防病毒产品。LanGate 在网关上做 HTTP、SMTP、POP 和 IMAP的病毒扫描,并且可以通过策略控制流经不同网络方向的病毒扫描或阻断,其应用的灵活性和安全性将消除企业不必要的顾虑。LanGate的防病毒引擎同时是可在线升级的,可以实时更新病毒库。
基于用户策略的安全管理
整个网络安全服务策略可以基于用户进行管理,相比传统的基于 IP的管理方式,提供了更大的灵活性。
防火墙功能
LanGate 系列产品防火墙都是基于状态检测技术的,保护企业的计算机网络免遭来自 Internet 的攻击。防火墙通过“外->内”、“内->外”、“内->内”(子网或虚拟子网之间)的接口设置,提供了全面的安全控制策略。
VPN功能
LanGate支持IPSec、PPTP及L2TP的VPN 网络传输隧道。LAN Gate VPN 的特性包括以下几点:
支持 IPSec 安全隧道模式
支持基于策略的 VPN 通信
硬件加速加密 IPSec、DES、3DES
X509 证书和PSK论证
集成 CA
MD5 及 SHA认证和数据完整性
自动 IKE 和手工密钥交换
SSH IPSEC 客户端软件, 支持动态地址访问,支持 IKE
通过第三方操作系统支持的 PPTP 建立 VPN 连接
通过第三方操作系统支持的 L2TP建立 VPN 连接
支持NAT穿越
IPSec 和 PPTP
支持无线连接
星状结构
内容过滤功能
LanGate 的内容过滤不同于传统的基于主机系统结构内容处理产品。LanGate设备是网关级的内容过滤,是基于专用芯片硬件技术实现的。LanGate 专用芯片内容处理器包括功能强大的特征扫描引擎,能使很大范围类型的内容与成千上万种关键词或其它模式的特征相匹配。具有根据关键字、URL或脚本语言等不同类型内容的过滤,还提供了免屏蔽列表和组合关键词过滤的功能。同时,LanGate 还能对邮件、聊天工具进行过滤及屏蔽。
入侵检测功能
LanGate 内置的网络入侵检测系统(IDS)是一种实时网络入侵检测传感器,它能对外界各种可疑的网络活动进行识别及采取行动。IDS使用攻击特征库来识别过千种的网络攻击。同时LanGate将每次攻击记录到系统日志里,并根据设置发送报警邮件或短信给网络管理员。
垃圾邮件过滤防毒功能 包括:
对 SMTP服务器的 IP进行黑白名单的识别
垃圾邮件指纹识别
实时黑名单技术
对所有的邮件信息病毒扫描
带宽控制(QoS)
LanGate为网络管理者提供了监测和管理网络带宽的手段,可以按照用户的需求对带宽进行控制,以防止带宽资源的不正常消耗,从而使网络在不同的应用中合理分配带宽,保证重要服务的正常运行。带宽管理可自定义优先级,确保对于流量要求苛刻的企业,最大限度的满足网络管理的需求。
系统报表和系统自动警告
LanGate系统内置详细直观的报表,对网络安全进行全方位的实时统计,用户可以自定义阀值,所有超过阀值的事件将自动通知管理管理人员,通知方式有 Email 及短信方式(需结合短信网关使用)。
多链路双向负载均衡
提供了进出流量的多链路负载均衡,支持自动检测和屏蔽故障多出口链路,同时还支持多种静态和动态算法智能均衡多个ISP链路的流量。支持多链路动态冗余,流量比率和智能切换;支持基于每条链路限制流量大小;支持多种DNS解析和规划方式,适合各种用户网络环境;支持防火墙负载均衡。
3.2. LanGate产品优势
提供完整的网络保护。
提供高可靠的网络行为监控。
保持网络性能的基础下,消除病毒和蠕虫的威胁。
基于专用的硬件体系,提供了高性能和高可靠性。
用户策略提供了灵活的网络分段和策略控制能力。
提供了HA高可用端口,保证零中断服务。
强大的系统报表和系统自动警告功能。
多种管理方式:SSH、SNMP、WEB。基于WEB(GUI)的配置界面提供了中/英文语言支持。
3.3. LANGATE公司简介
总部位于法国的LANGATE集团公司,创立于1998年,致力于统一网络安全方案及产品的研发,早期作为专业IT安全技术研发机构,专门从事IT综合型网络安全设备及方案的研究。如今,LANGATE已经成为欧洲众多UTM、防火墙、VPN品牌的OEM厂商及专业研发合作伙伴,并在IT安全技术方面领先同行,为全球各地区用户提供高效安全的网络综合治理方案及产品。
专利的LanGate® UTM在专用高效安全硬件平台上集成了Firewall(防火墙)、VPN(虚拟专用网络)、Content Filtering(内容过滤,又称上网行为监管)、IPS(Intruction Prevention System,即入侵检测系统)、QoS(Quality of Services,即流量管理)、Anti-Spam (反垃圾邮件)、Anti-Virus (防病毒网关)及 Wireless Connectivity (无线接入认证)技术。
LANGATE在全球范围内推广UTM整体网络安全解决方案,销售网络遍及全球30多个国家及地区。LANGATE的产品服务部门遍布各地子公司及各地认可合作伙伴、ISPs、分销渠道、认证VARs、认可SIs,为全球用户提供专业全面的IT安全服务。
‘叁’ 企业加强网络营销推广的措施有哪些
互联网经济是未来经济发展的主要趋势,虽然我国的互联网利用率还很低,但是有很多中小企业应经开始或者准备利用网络推广来开拓这一个潜力巨大的市场。那么,中小企业如何进行网络推广?
常见的网络推广的方式主要有:搜索引擎、软文、博客、微博、论坛、网络广告、电子邮件等。其中被大多数企业认可普遍使用的是搜索引擎推广方式,这是因为中小型网站大量的流量都是来自搜索引擎,企业想要网站流量多,就必须优化搜索引擎。具体的是将企业网站提交到各种导航网站上,在相关网站上发布企业或产品信息,增加搜索引擎的抓取。中小企业网络推广离不开网络营销,但是不少中小企业管理者担心,网络营销作为新的营销方式和营销手段应用于中小企业发展上可行吗?经过调查研究以及分析成功中小企业网络营销案例,总结出中小企业网络营销的发展有其可行性和独特的优越性:首先,中国网络用户的迅速增长,为中小企业发展网络营销提供了一个基础性条件。其次,互联网本身的开放性以及内容的丰富性,使企业在进行信息搜索时不再受地域或时间限制,可以在全球开放性的市场范围内去寻找客户。再次,中小企业通过网络营销资源的广域性、地域价格的差异性、交易双方的最短连接性、市场开拓费用的瑞碱性以及无形资产在网络中的延伸性,极大的降低交易成本,在给企业拓宽了销售渠道,带来经济利益的同时也使企业的品牌价值得到扩展和延伸。最后,网络营销中对市场和商情调查的准确把握具有重要的商业价谨族值,是一种不可或缺的方法和手段。
针对我国中小企业的发展现状,怎样实施中小企业网络营销具体策略呢?
1、不论是传统的线下营销方式还是目前新兴的网络营销方式,想要获得更好更长远的发展,必须始终坚持以客户为中心。
2、深化中小企业对网络营销的认识和芹晌滚理解。根据企业实际建立自己的网站域名,构建自身的网络营销团队,确保企业网络英雄活动的顺利开展。
3、目前企业发的关键是人才,中小企业想要在网络营销总获利,就要加大对网络营销人嫌余才的培养和管理,为企业网络营销的发展提供人才保障。
4、完善中小企业网站建设,加强网络安全。以及努力建立物流业基础设施的建设等。虽然,现阶段我国的网络营销还存在很多问题,特别对于广大中小企业来说,在观念、人才、网络安全等方面存在着一系列困难,在一定程度上制约了中小企业的电子商务战略发展。但是网络营销作为未来营销的发展方向,近年来,随着我国互联网技术的日益成熟,特别是网络推广服务的普及,越来越多的中小企业通过网络推广产品获利,企业对网络营销的认知正在从概念走向务实。
‘肆’ 一个中小企业网络,现阶段采用那些网络安全技术
(1)备份技术:用备份技术来提高数据恢复时的完整性。像多备份这样的云备份产品就不错。
(2)身份验证技术:身份认证的目的是确定系统和网络的访问者是否是合法用户。
(3)访问控制:访问控制的目的是防止合法用户越权访问系统和网络资源。因此,中小型企业会规定职工对哪些资源享有使用权以及可进行何种类型的访问操作(比如读、写、运行等)。
(4) 数据加密技术:数据加密被公认为是保护数据传输安全惟一实用的方法和保护存储数据知祥安全的有效方法,它是数据保护在技术上的最后防线。所以大部分中小型企业都会使用数据加密技术。也比较推荐用多备份,它就是把你的数据加密之后,上传到云端的
(5)路由器选择:安全路由器保障中小企业安全。在中小企业这种网络中,它也可以成为整个网络的核心设备,承担网络的路由转发和安全防护双向功能。深受中小企业的欢迎。
(6)防火墙技术:在局域网中腔猛数安装防火墙系统,防火墙是采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统防止发生不可预测伍首的、潜在破坏性的侵入。
(7)安全审计:在局域网中安装网络安全审计系统。安全审计技术使用某种或几种安全检测工具,采取预先扫描漏洞的方法,检查系统的安全漏洞,得到系统薄弱环节的检查报告,并采用相应的增强系统安全性的措施。
(8)网络和系统安全扫描技术:网络安全扫描和系统扫描产品可以对内部网络、操作系统、系统服务、以及防火墙等系统的安全漏洞进行检测, 即时发现漏洞给予修补, 使入侵者无机可乘。漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果,而受到网络安全业界的重视。
‘伍’ 信息安全方法
网络信息安全的防范措施:
1、 安装杀毒软件
计算机病毒有以下五种特征:寄生性、传染性、破坏性、可触发性、可潜伏性。根据计算机病毒的特征春孝,人们摸索出了许多检扒帆稿测计算机病毒和杀毒的软件。国内的有瑞星、KV3000、金山毒霸、360杀毒软件等,国外的有诺顿、卡巴斯基等。但是,没有哪种杀毒软件是万能的,所以当本机的杀毒软件无法找到病毒时,用户可以到网上下载一些专杀工具,如木马专杀工具、蠕虫专杀工具或宏病毒专杀工具等。值得注意的是,安装了杀毒软件后,我们还必须每周至少更新一次杀毒软件病毒库,因为轿历防病毒软件只有最新才是最有效的。每周还要对电脑硬盘进行一次全面的扫描、杀毒,以便及时发现并清除隐藏在系统中的病毒。当不慎感染上病毒时,应立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描,清除一切可以查杀的病毒。当受到网络攻击时,我们的第一反应就是拔掉网络连接端口以断开网络。
2、 安装网络防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。常见的个人网络防火墙有天网防火墙、瑞星防火墙和360安全卫士等。
3 、数据加密
数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的,它以很小的代价来提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的惟一方法。一般把受保护的原始信息称为明文,编码后的称为密文。数据加密的基本过程包括对明文进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该加密的编码信息转化为原来的形式的过程。机密资料被加密后,无论是被人通过复制数据、还是采用网络传送的方式窃取过去,只要对方不知道你的加密算法,该机密资料就成了毫无意义的乱码一堆。常见的加密软件有SecWall、明朝万达、完美数据加密大师等。
4、 警惕“网络钓鱼”
“网络钓鱼”(phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。黑客就是利用这种欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。黑客通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。对此,用户应该提高警惕,不登录不熟悉的网站,键入网站地址时要认真校对,以防输入错误误入圈套。
5、养成良好的上网习惯
(1)不要打开来历不明的邮件附件,因为附件中可能包含病毒。
(2)使用QQ、MSN等软件聊天时,不要接收陌生人发来的任何文件,因为文件中可能包含病毒;也不要轻易单击对方从聊天窗口发过来的网页链接信息,因为这些网页可能包含病毒代码。
(3)不要访问一些低级粗俗的网站,这些网站的网页中大多都包含恶意代码,访问它时,病毒会通过网页种植在用户的电脑中。
(4)不要下载一些来历不明的软件并安装。许多不正规的下载网站提供的软件可能包含病毒。我们可以到一些大型的软件下载网站下载软件,例如华军软件园(www.newhua.com)、天空软件站(www.skycn.com)等。
(5)不要下载来历不明的文件,因为文件中可能包含病毒。
5、结语
本文简要地分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
‘陆’ 中小企业网络营销的方式及策略
随着网络逐渐成为人们生活中的一部分,网络营销成为企业营销的重要手段,对于我国中小企业来说,开展网络营销既有很强的现实意义同时又存在很多问题。为此我为大家整理了中小企业网络营销的方式及策略,欢迎参阅。
中小企业网络营销的方式及策略篇一
、准确进行网络市场定位
定位是指根据顾客对网络服务的不同需要,确定企业网站在网络市场中所处位置的过程,一般包括顾客服务定位、网站类型定位、服务半径定位等。顾客上网一般基于各种不同的需要,如信息查询、信息发布、信息交流、在线订货或购买、娱乐等,中小企业的网站应当在满足顾客的需要方面明确自己的位置。中小企业应当根据自身营销现状、网上客户的特征、顾客的网上消费行为和主要竞争者的网络营销情况等,采取避强定位或者迎头定位、重新定位等方式,准确进行自己的网络市场定位,体现出特色和满足客户的需要,这样对客户才有吸引力,从而提高网络营销的效果。
二、改变营销观念制定4PS策略
网络营销是传统的营销活动在网络新媒体下面的延续和发展,中小企业应走出网络营销就是网上销售的误区,从如何满足网上顾客的需求出发,制定产品策略,实行网上定制营销,满足顾客个性化的需求。这就需要满足四个要求,即确定产品定位、精心设计产品定价、建立畅通的网络营销渠道、多样化的促销手段。只有这样才能满足网络营销方式和策略的重大革新。
三、循序渐进地开展网络营销
中小企业应根据自身产品或服务的特点、生产经营的规模、资金实力及人才技术力量等情况,循序渐进,逐步实施网络营销。网络营销一般可分为五个层次,即网上宣传、网上市场调研、开发客户、网上直接销售、网络整合营销等,这五个层次由简到繁、由易到难、逐渐深入。不同条件的中小企业适合不同的层次,如对于刚开始上网的中小企业来说,首先是开展网上宣传,提高企业知名度,同时利用电子邮件与客户方便快捷地联系。这一层次实现后,再通过网上的资源进行市场调研和开发市场,进而提高层氏如次。网络整合营销是网络营销的最高层次,它是依靠网络与供应商、制造商、经销商、消费者建立密切联系,并通过网络收集传递信息,从而根据消费需求,充分利用网络伙伴的能力,实现产品设计、制造及销售服务的全过程的一种模式。就目前而言,中小企业开展网络整合营销的条件尚未成熟,中小企业在进行网络营销时要对自己目前所处的阶段做到心中有数,进行网络营销计划时要结合自己的实际‘青况来安排下一步的工作重点,切不可操之过急。
歼碧启四、制定切实可行的网站建设、维护和推广方案
创建网站是一项技术性较强的工作,中小企业因人才缺乏,可以将网站建设等具体任务外包给专业性的网络公司,以得到可靠的技术支持,建立简捷方便、内容充实、功能实用的面向客户的营销网站。在网站设计中,要避免网站规划和栏目设置不合理、信息不完整、网页信息量小、栏目层次过多等问题,还应该重视免费网络服务功能的建设,如免费信箱、论坛、会员服务等,以增加与客户交流的机会。中小企业需安排专人负责管理和维护,可以制定由外包给专业网络公司的定期维护和企业自己日常维护相结合的制度,以保证网站的正常运行和及时更新,吸引更多的浏览者。同时须加强网站的推广,制定可行的网站推广方案。
五、重视与传统营销
慧滚虽然网络营销具有许多优势,但是,目前我国许多中小企业在传统营销领域尚处于学习和完善之中。我国网络分布不均匀,诚信环境欠缺,电子商务物流发展滞后,部分产品不适合网络交易;另一方面,中小企业在传统营销方面积累了一定的经验,形成了特有的优势,不应轻易地完全放弃。所以中小企业应扬长避短,在进行网络营销时,与传统营销结合,逐步对传统营销进行优化,以发挥其应有的作用,如网站的推广就需要传统促销手段的运用,在采购、销售中采用适合中小企业的网上订货、网下交易等。
六、培训专业化网络营销队伍
目前中小企业普遍缺乏开展网络营销人才,部分中小企业还不了解网络营销的处理方式,不懂得如何应用电子手段来改进企业经营。为此中小企业必须充分利用各种途径和手段,投入一部分资金,培养、引进并合理使用好一批素质较高、层次合理,既懂得计算机和网络知识,又懂市场营销及经营管理知识的专业人才为企业网络营销的发展提供人才保障。人才培养是一项重要而艰难的工作,应区分不同层次、依照不同形式开展这项工作。一是培养IT技术人员;二是培训企业的决策者和各级领导;三是培养网络营销所涉及的不同领域的人员;四是培养普通员工。
七、强化客户服务,加强与客户的沟通
客户服务是企业与客户之间沟通的重要方式,对于加强与客户联系,促进客户对企业的信任,维护客户忠诚有着非常重要的意义。网络营销中的客户服务,主要形式为企业通过网络交流方式,对客户的要求和问题,做出及时的反应和解释,主要工具有电子邮件、电子论坛,对常见问题解答等。为了提高企业的信誉度,可以在公司的主页中,公布真实的E-mail地址、电话、公司地址,让客户在虚拟世界中感觉到真实的存在,从而缩短彼此之间的距离。
中小企业网络营销的方式及策略篇二
1.竞价推广
现在竞价推广是最流行的网络营销方式之一,而且这种方式特别受到中小企业甚至是个人商户的亲睐。竞价推广可以通过关键词搜索的方式,将网民和企业联系起来,为企业带来精确目标的潜在客户,大大增加了营销的成功率。当然,配合使用小脑袋智能推广软件则如虎添翼,盈利更加快捷,方便,安全。
2.软文推广
这种方式主要是企业自己或者雇佣专业网文编辑,撰写优质的文章,里面又夹杂着企业的广告。一篇优质的软文,可以让企业获得大量的流量,还可以树立公司形象,增加竞争度。前提就是这篇软文有足够的杀伤力,可以不断引导别人来阅读。当然,软文写的好了,自然会有人摘抄转发,有些人则会更改文章关键词然后变成他们自己的东西,这个也是软文不足的地方。
3.邮件营销
这个虽然已经不多见了,但是在某些行业,邮件营销还是有着非常大的比重的。因为很多互联网企业都认为,只要你获得了用户的邮件,你就有了可以向客户推广产品的渠道。因为邮件只需要你发送,而且几乎没有成本,发海量的邮件,肯定会有些效果的。如果企业手里有一些邮箱资源,肯定会选择发邮件,因为发不发邮箱都在那,为什么不试一试呢?但是邮件营销要注意的就是不要发垃圾广告,发的内容需要有创意,能引起别人的兴趣才能让效果最大化哦。
中小企业网络营销的方式及策略篇三
中小企业要进行网络营销,出路在哪里呢?竞价太贵,不适合中小企业进行网上的推广,而要想获得收益,排名很关键的一步,那么,既然竞价不行,中小企业可以进行seo优化来达到同样的目的,这是中小企业网络营销最合适的,也是必须的!强企科技从以下方面来进行分析:
1、中小企业有哪些优势劣势?
中小企业相对于大企业来说资金少,规模小,运营能力肯定也相差很大,说白了很多时候我们遇到的局面的就是:大鱼吃小鱼,小鱼吃虾。中小企业是小鱼所以一定要有小鱼的觉悟,要知道自己的优势劣势,才能在大鱼嘴里抢到一些食物。虽然不能像大企业一样烧钱来推广,但可以选着合适的搜索引擎优化来同大企业竞争,毕竟有的人还是乐意去找自然排名的网站。
2、中小企业该如何开源节流?
中小企业要想很好的发展自己,要想更快的发展自己,一定要做到开源节流,而开源节流就必须抓住网络这块领域。利用网络我们可以做的有很多,要想很快的看到效果,我们可以利用网络推广,花一部分钱,引导消费者来购买我们的产品,或者接受我们的服务。如果想要长期发展,最好的办法就是做SEO,请专业的优化公司或者人员来给我们的网站做诊断优化以及推广运营,因为SEO是最小的投入,最大的收益里面最高效的办法。
强企科技:中小企业的出路在于找对专业的seo优化团队
中小企业的出路其实在前面已经谈到了,中小企业不仅仅要在线下发展传统的一些业务,也需要抓住网络上的机遇。相对于实力较弱的企业,就更需要注意向网络上发展,有时候线下可能毫无起色,线上却风生水起。我认为小企业的出路就在于网络,而SEO是最好的选择。
A、SEO能为小企业带来巨幅的效益增长
大家如果做过企业站的优化就知道,有很多的企业站都是靠一个或者多个网站来维持盈利。如果不靠网站,单单靠投广告,每年花的钱差不多有挣的钱一半,这样十分的不划算。我认识一个朋友,是做装修的,他们之前都是靠业务谈业务才来一些单子再加上在网络和分类信息站里面花些钱做做推广,每年过的还不错,但是却不能挣到很多钱,他接触网络多一点,就想着找人做一个网站优化来看看效果,第一年他们小团队挣得钱翻了一倍,第二年挣了更多,现在他们第三个年头,正准备再弄几个网站。SEO其实花费的也不多,特别是一些个人站长,要求也不是很高,但是能力非常的强,通过SEO我们能让小企业的收入成倍增长。
B、SEO能为小企业节省更多的开支
SEO作为一项廉价而高效率的技术,
能给我们的企业带来的不仅仅只是高额的回报,还会帮我们节省开支。还是以我的那位朋友为例,他们的装修团队之前一年在广告上投入是3-5万,但是自从请人做了网站做了优化之后,他们只花费了几千元的优化费用,帮他们没人节约了几千元不说,还额外的增长了收入。
‘柒’ 企业网络安全解决方案论文
企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,研究解决网络安全问题的方案显得及其重要。下面是我带来的关于企业网络安全解决方案论文的内容,欢迎阅读参考!
企业网络安全解决方案论文篇1
浅谈中小企业网络安全整体解决方案
摘要:随着企业内部网络的日益庞大及与外部网络联系的逐渐增多,一个安全可信的企业网络安全系统显得十分重要。局域网企业信息安全系统是为了防范企业中计算机数据信息泄密而建立的一种管理系统,旨在对局域网中的信息安全提供一种实用、可靠的管理方案。
关键词:网络安全 防病毒 防火墙 入侵检测
一、网络安全的含义
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全,通常定义为网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
二、中小企业网络安全方案的基本设计原则
(一)综合性、整体性原则。应用系统工程的观点、 方法 ,分析网络的安全及具体 措施 。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
(二)需求、风险、代价平衡的原则。对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
(三)分步实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需要,亦可节省费用开支。
三、中小企业网络安全方案的具体设计
网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的 操作系统 、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
该方案主要包括以下几个方面:
(一)防病毒方面:应用防病毒技术,建立全面的网络防病毒体系。随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力:当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。
(二)应用防火墙技术,控制访问权限,实现网络安全集中管理。防火墙技术是今年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。
防火墙可以完成以下具体任务:通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘。
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。防火墙作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的产品,已经充斥了整个网络世界。在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然。
参考文献:
[1]陈家琪.计算机网络安全.上海理工大学,电子教材,2005
[2]胡建斌.网络与信息安全概论.北京大学网络与信息安全研究室,电子教材,2005
企业网络安全解决方案论文篇2浅谈网络安全技术与企业网络安全解决方案
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为 企业管理 中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为代理服务防火墙和包过滤技术防火墙。代理服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其解除。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的 网络技术 对传输的数据审核,避免信息通过其他 渠道 外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客解除企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被解除的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码解除技术也要花费相当长的时间,等到数据被解除后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
>>>下一页更多精彩的“企
‘捌’ 企业如何做好网络安全
中小企业网络安全问题严重
垃圾邮件、病毒、间谍软件和不适内容会中断业务运行,这些快速演变的威胁隐藏在电子邮件和网页中,并通过网络快速传播,消耗着有限的网络和系统资源。要防范这些威胁,就需要在网络安全方面有所投入才行。但现在的经济形势让众多中小企业面临生存挑战,IT投入的缩减,专业人员的不足等因素,相比大型企业来说,都让中小企业在对付网络威胁方面更加无助。
即使投入有限,中小企业的网络安全需求一点也不比大企业少。在现实情况中,中小企业往往还对便捷的管理、快速的服务响应等要求更高。那么中小企业如何在有限的投入中构建完善的网络安全体系呢?试试下面这几招。
第一招:网关端防护事半功倍
内部病毒相互感染、外部网络的间谍软件、病毒侵袭等危害,使得仅仅依靠单一安全产品保证整个网络安全稳定运行的日子一去不复返了。而应对目前新型的Web威胁,利用架设在网关处的安全产品,在威胁进入企业网络之前就将其拦截在大门之外是更加有效的方法。对于中小企业来说,选择一款功能全面、易于管理和部署的网关安全设备,不但可以在第一时间内对各类Web流量内容进行扫描过滤,同时也可以大大减轻各应用服务器主机的负荷。
比如,趋势科技推出的IGSA就包含了防病毒、防垃圾邮件和内容过滤、防间谍软件、防网络钓鱼、防僵尸保护以及URL过滤服务等众多功能,并且可以统一集中管理,通过日志报告还让网络运行安全情况一目了然,大大减少了信息安全管理的工作量。
第二招:运用“云安全”免去内存升级压力
目前中小企业内网安全也不容忽视,而且要求实现集中管理和保护内部桌面计算机。在网络威胁飙升的今天,更新病毒码成为每天必备的工作,但传统代码比对技术的流程性问题正在导致查杀病毒的有效性急剧下降。趋势科技推出的云安全解决方案超越了病毒样本分析处理机制,通过云端服务器群对互联网上的海量信息源进行分析整理,将高风险信息源保存到云端数据库中,当用户访问时,通过实时查询信息源的安全等级,就可以将高风险信息及时阻挡,从而让用户频繁的更新病毒码工作成为历史。
目前,桌面端防护的用户数是网关防护用户数的5倍,桌面防护在现阶段也是必不可少的手段,但要求减轻更新负担和加强管理便捷性。这方面,趋势科技的Office Scan通过应用最新的云安全技术,使桌面端防护不再依赖于病毒码更新,降低了带宽资源和内存资源的占用和压力。
第三招:安全服务节省管理成本
网络安全管理成本在整个网络安全解决方案中占有一定比例,如果用三分技术、七分管理的理论来解释,这方面成本显然更高。如何才能在专业管理人员有限的状况下,达到安全管理的目标呢?中小企业可以借助安全厂商的专家技术支持,高效、专业地保障网络安全运行。也就是借用外力来管理自己的网络安全设备,将比自己培养管理人员成本更低,而且效果更佳。
目前,已有包括趋势科技在内的多家厂商提供此类服务。
第四招:培养安全意识一劳永逸
对于网络安全而言,薄弱的环节除了安全技术的滞后外,内部员工的安全意识不强也是重要因素。大量网络威胁的出现,与员工的应用操作不当有密切关联,如随意访问含有恶意代码的网站、下载和使用电子邮件发送带有病毒的附件、不更新病毒码等。所以,组织网络安全知识培训也必不可少,管理层还要制定一套完善的网络安全策略。
网络安全建设要具有长远的眼光,不能仅仅为了眼前的几种威胁而特意部署安全方案,只有从硬件、软件、服务等方面综合考虑,选择实力强的安全解决方案,才可以低价优质的保护网络安全。
‘玖’ 如何解决企业远程办公网络安全问题
企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即InstantMessaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即OfficeAutomation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(VPN),员工通过VPN实现内网连接。值得注意的是,在中国,VPN服务(尤其是跨境的VPN)是受到电信监管的,仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过VPN进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人VPN登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。
‘拾’ 2019网络安全的十大趋势
2018年,很多轰动的数据泄露和勒索软件攻击震惊了企业界。Juniper Research公司估计,在未来五年内,网络犯罪分子窃取的数据量会增加高达175%。再加上全球经济的不确定性,2019年对于网络安全专业人士来说将是充满挑战的一年。
1.实施GDPR
欧盟的通用数据保护条例(GDPR)要求在欧盟运营的每一家企业都要保护欧盟公民的隐私和个人数据。如果不合规会受到很高的处罚,GDPR对个人数据的构成的规定非常宽泛,因此,这会是一项非常繁重的工作。Ovum在2018年7月一份有关数据隐私法的报告中指出,三分之二的企业认为他们将不得不调整自己的工作流程以实现合规,一半以上的企业担心他们可能会因为不合规而被罚款。
2.管理托管和非托管设备
随着用户使用的移动设备(包括托管的和非托管的)的数量和范围不断增加,企业网络在降低相关风险方面面临着艰巨的挑战。物联网已经把很多联网的设备(其中很多设备几乎没有或者根本没有内置安全性)连接到以前的安全网络中,导致易被攻击的端点数量呈指数增长。企业应把握好这一趋势,对非托管设备的使用进行一定程度的控制,并为托管设备建立明确的协议。
3.做一个完整的清单
Ponemon在2018年进行的一项调查发现,尽管97%的安全专业人士认为由不安全设备引起的网络攻击对他们的企业来说可能是灾难性的,但只有15%的企业拥有与其系统相连的物联网设备的清单,不到一半的企业拥有允许他们断开与被视为高风险设备的连接的安全协碧配迹议。企业必须对这些漏洞主动采取措施。今年,我们希望看到有更多的企业遵循NIST的最佳实践建议,为所有连接设备建立实时清单。不仅是那些通过有线连接的设备,还有通过Wi-Fi和蓝牙连接的设备。
4.有目标的网络钓鱼攻击
对于黑客来说,个人数据是越来越有利可图的宝藏。可以从暗网上买到从Facebook等社交媒体网站的攻击中挖掘出来的数据,然后利用这些数据为 社会 工程攻击工程师提供成功瞄准个人所需的信息。这导致了APT(高级持续威胁)组织能够发起越来越复杂的攻击。现在很少有人会陷入“尼日尔爾利亚”骗局,但如果网络钓鱼电子邮件来自可信来源或者引用了你认为垃圾邮件发送者不会拥有的个人数据,那这就很难被发现。卡巴斯基公司认为,鱼叉式网络钓鱼将是2019年对企业和个人最大的一种威胁。
5.勒索软件和挖矿劫持
虽然勒索软件攻击在减少,但在某种程度上已经被挖矿劫持(劫持计算机以挖掘加密货币)所取代。这些攻击采用与勒索软件类似的战术,但需要较少的技术专业知识。恶意软件是在用户不知情的情况下在后台工作,因此很难估计这个问卖誉题的真实规模,但所有证据都表明这一问题越来越严重。
2018年(WannaCry、NotPetya)发生的轰动的攻击也表明,尽管随机的低级勒索软件攻击数量在减少,但复杂的有目标的攻击在一段时间内仍是问题。我们预计,2019年挖矿劫持和有目标的勒索软件攻击仍然会持续增长。
6.用户访问权限
有效的管理用户权限是强大的安全措施的基石之一。授予用户不必要的数据访问权限或者系统权限会导致意外和故意滥用数据,并给外部攻击留下漏洞。识别和访问管理(IAM)系统是应对这种风险的主要途径,它为管理员提供了监视和评估访问的工具,以确保符合政府法规和公司协议。在这一新兴领域中的很多解决方案仍处于起步阶段,但它们已经证明了自己的业务价值。我们预计在未来一年会有越来越多的解决方案。
7.端点检测与响应(EDR)
端点检测和响应是一种新兴的技术,它连续监视接入点,对高级威胁做出直接响应。EDR解决方案主要侧重于检测入口点的事件,包括防止网络感染的事件、调查任何可疑的活动,以及恢复系统完整性的补救措施等。传统的端点保护平台(EPP)主要是预防性的。EDR增强威胁检测远远超出了传统EPP解决方案的能力,并使用行为监视和人工智能工具去主动搜索异常情况。网络威胁的性质已经发生了变化,我们期望能够有一波新的安全解决方案,能够把传统的EPP与新兴的EDR技术结合起来。
8.深度虚假视频
眼见不一定为实。自动化的人工智能技术已经开发出来,能够创建和检测深度虚假视频。这类视频可能悔并描述了一个从事非法或者色情活动的名人或者政治家,也可能是一个发表煽动性言论的国家元首。即使图像被证明是假的,但也会造成持久的名誉损害,或者严重的不可挽回的后果。这不仅突出了事实检验的重要性,而且这项技术还令人感到隐隐的担忧。深度虚假视频经常会像病毒一样传播,这使其成为传播恶意软件和发起网络钓鱼攻击的绝佳工具。在接下来的一年里,我们都应警惕这种恶劣的趋势。
9.云安全
把服务和计算解决方案迁移到云端给企业带来了很多好处。然而,这也打开了新的风险领域。令人担忧的是,网络安全技能方面的差距仍然很大,新一代网络犯罪分子正在积极 探索 利用基于云的服务,寻找漏洞。很多企业仍然不确定他们应在多大程度上负责保护数据,即使是最好的系统也可能因为违反协议而被攻破。我们需要重新定义云的安全性并采取主动措施。
10.用户认识
在上述几乎所有的领域中,最终都取决于用户认识。木桶的容量取决于最短的那块木板,如果我们想保护好我们的数据和网络,那么我们都必须承担风险。最重要的是,我们希望所有用户都能提高认识,并在限制威胁和补救方面开展更全面的教育。知识就是力量,它就在我们的掌握之中。
(原标题:这十个网络安全趋势,谁都躲不掉!但结果取决于……)