張君楓

【摘要】 針對企業(yè)網絡存在的問題,進行全面分析,得出企業(yè)網絡安全解決方案,對保證企業(yè)網絡系統(tǒng)的保密性、完整性、可控性等方面有著重要意義。

【關鍵詞】 網絡安全;黑客攻擊;病毒攻擊

一、企業(yè)網絡安全現狀

大多數企業(yè)已將互聯網戰(zhàn)略納入企業(yè)經營發(fā)展戰(zhàn)略中,但是真正實現網上采購、網上銷售或機密數據傳遞的企業(yè)卻沒有幾個,更多的企業(yè)只把網絡當作信息發(fā)布和查詢系統(tǒng)。造成這種局面的原因是客觀存在的安全威脅:黑客入侵企業(yè)信息網絡系統(tǒng)進行盜竊、篡改等惡意行為;冒充他人進行網上詐騙;非法訪問;數據在傳輸過程中被竊取或泄密;計算機病毒的干擾、破壞等。安全問題直接威脅著企業(yè)信息網絡的建設,成為企業(yè)信息化發(fā)展的障礙。綜合來看,目前企業(yè)網絡主要有以下幾種安全問題:

1.物理安全

在企業(yè)建設中,由于網絡系統(tǒng)屬于弱電工程,耐壓值很低。在網絡工程的設計和施工中,人和網絡設備受電、火災和雷擊的侵害;布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離太近;布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全性不夠;防雷系統(tǒng)的功能性不強等。

2.網絡安全

看似不大的內部威脅往往是由于企業(yè)員工的錯誤上網行為和對網絡資源濫用所引起的,主要體現在以下方面:(1)上網行為得不到管理,員工自由進入不良網站或玩游戲;(2)使用BT等軟件,大量下載不加管理,引進無數病毒使得網絡處于高危狀態(tài);(3)無法對網絡威脅進行診斷,導致網絡長時間滯緩甚至癱瘓;(4)企業(yè)管理者無法知曉網絡運用狀況,決策時缺乏有效數據依據。

3.系統(tǒng)安全

企業(yè)操作系統(tǒng)存在安全問題:一些企業(yè)不舍得花費太多的金錢,采用安全性較低的網絡操作系統(tǒng),沒有進行必要的安全配置,經常開啟一些存在安全隱患的應用,對一些保存有用戶信息及其口令的關鍵文件沒有使用權限。企業(yè)為了節(jié)約資金,使用盜版系統(tǒng)并不及時給系統(tǒng)打補丁,導致系統(tǒng)漏洞百出。

4.黑客攻擊

黑客對企業(yè)網絡的攻擊方式問題是多種多樣的,企業(yè)中存在惡意代碼,使用IE瀏覽網頁時,就會有受到網頁中惡意代碼的攻擊。為了節(jié)約資金,企業(yè)不安裝硬件防火墻,這樣不法分子很容易進入企業(yè)的計算機,造成資料、文件、企業(yè)機密泄露,甚至造成不可挽回的損失。

5.病毒攻擊

企業(yè)的防毒系統(tǒng)不完善。目前病毒不再限于傳統(tǒng)意義上的病毒,還包括蠕蟲、木馬等。很多蠕蟲不是基于文件傳播,防病毒軟件只能被動去檢測。由于企業(yè)只注重利益關系,主機安全性能不完善,使蠕蟲得以傳播,這些蠕蟲通常會發(fā)起分布式的拒絕服務攻擊,造成網絡堵塞。

6.安全管理

企業(yè)內部員工把企業(yè)網絡結構、管理員用戶名及口令等重要信息傳播給外人,造成信息泄漏。機房重地任何人都可以來去自由,入侵者便有機會得逞。帶有不滿情緒的員利用服務器和系統(tǒng)的弱點,開些小玩笑,甚至搞破壞。這些都在威脅企業(yè)網絡的安全問題。

二、企業(yè)網絡安全問題分析

(1)可靠性。網絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內完成規(guī)定的功能的特性。可靠性是系統(tǒng)安全的基本要求之一,是所有網絡信息系統(tǒng)的建設和運行目標。

(2)可用性。網絡信息服務在需要時,允許授權用戶或實體使用的特性,或者是網絡部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。

(3)保密性。防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上,保障網絡信息安全的重要手段。

(4)完整性。網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

(5)可控性?？煽匦允菍W絡信息的傳播及內容具有控制能力的特性。

(6)不可抵賴性。也稱作不可否認性,在網絡信息系統(tǒng)的信息交互過程中,所有參與者都不可能否認或抵賴曾經完成的操作和承諾。

三、企業(yè)網絡安全問題解決方案

1.物理安全解決策略

(1)環(huán)境安全。機房與設施安全,環(huán)境與人員安全,預防其他自然災害;(2)設備安全。主要考慮計算機設備的防盜、防毀、防電磁泄漏發(fā)射、抗電磁干擾及電源保護等;(3)介質安全。包括媒體本身的防盜、防毀、防霉,以及防止數據被非法竊取、破壞或使用。

2.網絡隔離與訪問控制解決策略

企業(yè)通過網絡隔離可以禁止網絡間的資源共享,防止一個網絡的信息泄露到另一個網絡中去,防止資金的流失,并達到安全保密的目的。用戶身份識別及其訪問權限控制是業(yè)務的核心,必須對其實行有效的管理。電子商務企業(yè)采用更為自動化且更為安全的身份識別與訪問管理解決策略。

3.網絡系統(tǒng)安全解決策略

企業(yè)網絡系統(tǒng)安全包括網絡操作系統(tǒng)以及網絡應用系統(tǒng)的安全。對于網絡操作系統(tǒng)的安全防范盡量采用安全性較高的網絡操作系統(tǒng),并進行必要的安全配置,如關閉一些并不常用卻存在安全隱患的應用、服務及端口。對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制;加強口令字的使用(增加口令復雜程度、不使用容易猜測的信息作口令),并及時給系統(tǒng)打補丁、系統(tǒng)內部的相互調用不對外公開。

在應用系統(tǒng)安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。如文件服務、電子郵件服務器等應用系統(tǒng),可以關閉服務器上如HTTP;FTP等服務。還有就是加強登錄身份認證,確保用戶使用的合法性;并嚴格限制登錄者的操作權限,將其操作限制在最小的范圍內。

4.智能防火墻解決策略

智能防火墻針對不同安全需求動態(tài)設置自適應檢測系統(tǒng),為電子商務企業(yè)增加了主機自動加固、故障自動恢復等功能。該防火墻針對不同安全級別的外部入侵攻擊,由實時監(jiān)測系統(tǒng)記錄相應的安全日志,動態(tài)實施多級網絡安全防火墻策略進行主機加固,并對最終導致的系統(tǒng)災難動態(tài)恢復。

5.網絡防病毒解決策略

企業(yè)網絡系統(tǒng)中,由于需要大量的網絡操作,網絡防病毒至關重要,可從以下幾個方面著手:(1)在工作站上安裝防病毒軟件。(2)郵件是重要的病毒來源,郵件服務器要安裝防病毒軟件。(3)文件服務器中存放企業(yè)重要的數據。在Internet服務器上安裝防病毒軟件是頭等重要的,上載和下載的文件不帶有病毒對網絡是非常重要的。

6.安全管理解決策略

(1)多人負責原則。每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的,忠誠可靠,能勝任此項工作;應該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關的活動:訪問控制使用證件的發(fā)放與回收;信息處理系統(tǒng)使用的媒介發(fā)放與回收;處理保密信息;硬件和軟件的維護;系統(tǒng)軟件的設計、實現和修改等。

(2)任期有限原則。任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,假制度,并規(guī)定對工作人員進行輪流培訓,以使任期有限制度切實可行。

(3)職責分離原則。在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全相關的事情,除非系統(tǒng)主管領導批準。出于對安全的考慮,下面每組內的兩項信息處理工作應當分開:計算機操作與計算機編程;機密資料的接收和傳送;安全管理和系統(tǒng)管理;應用程序和系統(tǒng)程序的編制;計算機操作與信息處理系統(tǒng)使用媒介的保管等。

(4)制訂應急措施。組織應急響應小組,要求制訂系統(tǒng)在緊急情況下,如何盡快恢復的應急措施,使損失減至最小。建立人員雇用和解聘制度,對工作調動和離職人員要及時調整相應的授權。

參考文獻

[1]于國華,丁國強.企業(yè)網絡安全體系研究[J].福建電腦.2007(2):66～67