葛永

摘要：針對企業(yè)網(wǎng)絡安全所面臨的現(xiàn)狀，分析企業(yè)在網(wǎng)絡安全問題上所面臨的主要威脅，提出解決企業(yè)網(wǎng)絡安全的設計原則，最大可能解決企業(yè)網(wǎng)絡安全問題。

關鍵詞：網(wǎng)絡安全；網(wǎng)絡設計原則

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)18-4332-02

隨著信息技術的快速發(fā)展、現(xiàn)代網(wǎng)絡的普及、企業(yè)網(wǎng)絡化運作，企業(yè)門戶網(wǎng)站、企業(yè)電子商務等在企業(yè)經(jīng)營運作過程中扮演著重要的角色，許多有遠見的企業(yè)都認識到依托先進的信息技術構建企業(yè)自身業(yè)務和運營平臺將極大地提升企業(yè)的競爭力，使企業(yè)在殘酷的競爭中脫穎而出。然而，企業(yè)在具有信息優(yōu)勢的同時，也對企業(yè)的網(wǎng)絡安全提出了嚴峻的考驗。據(jù)報道，現(xiàn)在全世界平均每20秒就會發(fā)生一次計算機網(wǎng)絡入侵事件。據(jù)智能網(wǎng)絡安全和數(shù)據(jù)保護解決方案的領先供應商SonicWALL公司日前發(fā)布了其2011年年中網(wǎng)絡威脅情報報告：“報告顯示，企業(yè)正面臨越來越多網(wǎng)絡犯罪分子的攻擊，這些人企圖攻擊的主要對象是那些通過移動設備連接訪問企業(yè)網(wǎng)絡以及越來越頻繁使用社交媒體的企業(yè)員工?；趷阂廛浖约吧缃幻襟w詐騙的增多，正引發(fā)新的以及更嚴重的來自數(shù)據(jù)入侵、盜竊和丟失等方面造成的企業(yè)業(yè)務漏洞?！笨梢?，企業(yè)網(wǎng)絡安全面臨的壓力越來越大，認清企業(yè)網(wǎng)絡安全面臨的主要威脅、設計實施合適的網(wǎng)絡安全策略，已成為擺在企業(yè)面前迫在眉睫的問題。

1企業(yè)網(wǎng)絡安全面臨的主要威脅

由于企業(yè)網(wǎng)絡由內(nèi)部網(wǎng)絡、外部網(wǎng)絡和企業(yè)廣域網(wǎng)所組成，網(wǎng)絡結構復雜，面臨的主要威脅有以下幾個方面：

1.1網(wǎng)絡缺陷

Internet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要的是考慮資源共享基本沒有考慮安全問題，缺乏相應的安全監(jiān)督機制。

1.2病毒侵襲

計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復制，并能夠通過網(wǎng)絡、磁盤等諸多手段進行傳播，通過網(wǎng)絡傳播計算機病毒，其傳播速度相當快、影響面大，破壞性大大高于單機系統(tǒng)，用戶也很難防范，因此它的危害最能引起人們的關注，病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。

1.3黑客入侵

黑客入侵是指黑客利用企業(yè)網(wǎng)絡的安全漏洞、木馬等，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡或數(shù)據(jù)資源，從事刪除、復制甚至破壞數(shù)據(jù)的活動。由于缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡安全的主要威脅之一。

1.4數(shù)據(jù)竊聽與攔截

這種方式是直接或間接截取網(wǎng)絡上的特定數(shù)據(jù)包并進行分析來獲取所需信息。這使得企業(yè)在與第三方網(wǎng)絡進行傳輸時，需要采取有效的措施來防止重要數(shù)據(jù)被中途截獲、竊聽。

1.5拒絕服務攻擊

拒絕服務攻擊即攻擊者不斷對網(wǎng)絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)相應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務，是黑客常用的攻擊手段之，其目的是阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的商務活動。

1.6內(nèi)部網(wǎng)絡威脅

據(jù)網(wǎng)絡安全界統(tǒng)計數(shù)據(jù)顯示，近80%的網(wǎng)絡安全事件是來自企業(yè)內(nèi)部。這樣的安全犯罪通常目的比較明確，如對企業(yè)機密信息的竊取、數(shù)據(jù)更改、財務欺騙等，因此內(nèi)部網(wǎng)絡威脅對企業(yè)的威脅更為嚴重。

2企業(yè)網(wǎng)絡安全設計的主要原則

針對企業(yè)網(wǎng)絡安全中主要面臨的威脅，考慮信息安全的機密性、完整性、可用性、可控性、可審查性等要素，建議在設計企業(yè)網(wǎng)絡時應遵循以下幾個原則：

2.1整體性原則

在設計網(wǎng)絡時，要分析網(wǎng)絡中的安全隱患并制定整體網(wǎng)絡的安全策略，然后根據(jù)制定的安全策略設計出合理的網(wǎng)絡安全體系結構。要清楚計算機網(wǎng)絡中的設備、數(shù)據(jù)等在整個網(wǎng)絡中的作用及其訪問使用權限，從系統(tǒng)整體的角度去分析，制定有效可行的方案。網(wǎng)絡的整體安全是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網(wǎng)絡監(jiān)控、安全掃描、通信加密、災難恢復等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。

2.2平衡性原則

任何一個網(wǎng)絡，不可能達到絕對的安全。這就要求我們對企業(yè)的網(wǎng)絡需求（包括網(wǎng)絡的作用、性能、結構、可靠性、可維護性等）進行分析研究，制定出符合需求、風險、代價相平衡的網(wǎng)絡安全體系結構。

2.3擴展性原則

隨著信息技術的發(fā)展、網(wǎng)絡規(guī)模的擴大及應用的增加，面臨的網(wǎng)絡威脅的也會隨之增多，網(wǎng)絡的脆弱性也會增多，一勞永逸地解決網(wǎng)絡中的安全問題也是不可能的，這就要求我們在做網(wǎng)絡安全設計時要考慮到系統(tǒng)的可擴展性，包括接入能力的擴展、帶寬的擴展、處理能力的擴展等。

2.4多層保護原則

任何的網(wǎng)絡安全措施都不會是絕對的安全，都有可能被攻擊被破壞。這就要求我們要建立一個多層保護系統(tǒng)，各層保護相互補充、相互協(xié)調(diào)，組成一個統(tǒng)一的安全防護整體，當一層保護被攻擊時，其它層保護仍可保護信息的安全。

圖1基于網(wǎng)絡安全設計原則的拓撲示意圖

防火墻：網(wǎng)絡安全的大門，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內(nèi)部網(wǎng)絡，阻斷來自外部的威脅，防火墻是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，防止外部的非法入侵，能根據(jù)網(wǎng)絡的安全策略控制訪問資源。

VPN：是Internet公共網(wǎng)絡在局域網(wǎng)絡之間或單點之間安全傳遞數(shù)據(jù)的技術，是進行加密的最好辦法。一條VPN鏈路是一條采用加密隧道構成的遠程安全鏈路，遠程用戶可以通過VNP鏈路來訪問企業(yè)內(nèi)部數(shù)據(jù)，提高了系統(tǒng)安全性。

訪問控制：為不同的用戶設置不同的訪問權限，為特定的文件或應用設定密碼保護，將訪問限制在授權用戶的范圍內(nèi)，提高數(shù)據(jù)訪問的安全性。

數(shù)據(jù)備份：是為確保企業(yè)數(shù)據(jù)在發(fā)生故障或災難性事件的情況下不丟失，可以將數(shù)據(jù)恢復到發(fā)生故障、災難數(shù)據(jù)備份的那個狀態(tài)，盡可能的減少損失。

3小結

通過分析企業(yè)網(wǎng)絡安全面臨的主要威脅及主要設計原則，提出了一個簡單的企業(yè)網(wǎng)絡安全設計拓撲示意圖，該圖從技術手段、可操作性上都易于實現(xiàn)，易于部署，為企業(yè)提供了一個解決網(wǎng)絡安全問題的方案。

參考文獻：

[1]鄧吉,張奎亭,羅詩堯.網(wǎng)絡安全攻防實戰(zhàn)[M].北京:電子工業(yè)出版社,2008.

[2]陳雷.企業(yè)網(wǎng)絡安全防護體系的建立與維護[J].企業(yè)信息化,2010.