喬軍利

【摘要】企業(yè)內(nèi)部網(wǎng)絡(luò)安全涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施。為此,企業(yè)要不斷建立和完善網(wǎng)絡(luò)安全管理體系,加強對硬件和軟件的及時維護,保證系統(tǒng)運行安全。

【關(guān)鍵詞】企業(yè);網(wǎng)絡(luò)安全;防范措施

一、企業(yè)內(nèi)部計算機網(wǎng)絡(luò)(以下簡稱內(nèi)網(wǎng))的特點

企業(yè)內(nèi)部計算機網(wǎng)絡(luò)相對于廣域網(wǎng)而言,一般具有以下特點:

1、與外界網(wǎng)絡(luò)隔離

大部分企業(yè)內(nèi)網(wǎng)是為企業(yè)內(nèi)部生產(chǎn)、管理服務(wù),相對獨立,自成體系,一般與外界計算機網(wǎng)絡(luò)沒有進行物理上的連接,與外界不進行溝通。有的企業(yè)出于與外界聯(lián)系的需要,內(nèi)網(wǎng)中個別客戶端計算機與英特網(wǎng)等進行連接,內(nèi)網(wǎng)大部分計算機仍與外界隔離。

2、建立了S/C結(jié)構(gòu)的應(yīng)用

內(nèi)網(wǎng)一般建立了S/C結(jié)構(gòu)的應(yīng)用,能夠提供WEB服務(wù)、郵件服務(wù)、FTP服務(wù)、實時通訊、網(wǎng)上會議等功能,有的安裝行業(yè)或本企業(yè)專用軟件,都建有數(shù)據(jù)庫,能夠為企業(yè)提供公文傳遞、處理,文件傳輸、電子郵局、網(wǎng)上會議、專用軟件應(yīng)用等功能。

3、企業(yè)的日程運轉(zhuǎn)對內(nèi)網(wǎng)的依賴程度越來越高

隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,企業(yè)的日程運轉(zhuǎn)對內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高,生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)網(wǎng)絡(luò)成為單位信息和指令傳遞的主要載體,內(nèi)網(wǎng)已經(jīng)成了各個企業(yè)、單位的生命線。

4、對網(wǎng)絡(luò)的安全要求越來越高

內(nèi)網(wǎng)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發(fā)整個網(wǎng)絡(luò)的癱瘓,對內(nèi)網(wǎng)各個具體部分尤其是服務(wù)器、數(shù)據(jù)庫的穩(wěn)定性、可靠性和可控性提出高度的要求。

二、一般內(nèi)網(wǎng)安全存在的問題

計算機網(wǎng)絡(luò)安全按照級別從低到高,分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全。根據(jù)內(nèi)網(wǎng)的特點,從上面幾個方面進行分析,內(nèi)網(wǎng)安全存在管理使用、技術(shù)兩個大的層面的問題。

1、內(nèi)網(wǎng)管理、使用方面

(1)網(wǎng)絡(luò)安全意識不強。在部分企業(yè),由于內(nèi)網(wǎng)建成時間還比較短,部分管理人員、使用人員因?qū)τ嬎銠C知識掌握不多,網(wǎng)絡(luò)安全意識不強,對信息資產(chǎn)保護的經(jīng)驗相對薄弱。在正常的情況下,往往會忽視對網(wǎng)絡(luò)安全的保護。

(2)管理制度不完善。在部分企業(yè),由于對內(nèi)網(wǎng)安全重視不夠,管理制度不完善。有的雖建立了內(nèi)網(wǎng)管理制度,但涵蓋不全面。有的企業(yè)對內(nèi)網(wǎng)管理制度執(zhí)行不到位,甚至還沒有建立相應(yīng)的制度。

(3)內(nèi)部人員使用不規(guī)范。在內(nèi)網(wǎng)中,由于使用人員使用不當(dāng)而造成的問題占絕大多數(shù)。如有些使用人員不等計算機完全關(guān)閉而關(guān)閉UPS電源,有的使用人員在多機上使用U盤、活動硬盤拷貝文件而不注意殺毒,導(dǎo)致病毒入侵。有些用戶在計算機設(shè)備上隨意安裝軟件。還有的將自己的帳號隨意轉(zhuǎn)借他人或與別人共享。

2、技術(shù)方面存在的問題

(1)操作系統(tǒng)不能及時升級。一個操作系統(tǒng)總是存在著一定的缺陷和漏洞,正是由于有了這些缺陷和漏洞,木馬、病毒才有了可乘之機。內(nèi)網(wǎng)自成體系,操作系統(tǒng)經(jīng)常不能得到及時升級,為內(nèi)網(wǎng)安全埋下隱患。

(2)軟件存在安全漏洞不能得到及時修補。同樣的道理,應(yīng)用的軟件也存在著一定的缺陷和漏洞。有的編程人員對于編程中安全性重視不夠,造成缺陷和漏洞的存在,甚至有的軟件“后門”是編程人員為了自便而設(shè)置的。

(3)投入不足,信息安全產(chǎn)品部署不到位。有的企業(yè)使用單機版防火墻和防病毒軟件來代替網(wǎng)絡(luò)版產(chǎn)品,有的一套防病毒軟件多機安裝,甚至有的企業(yè)完全沒有使用任何信息安全產(chǎn)品。

(4)內(nèi)網(wǎng)維護技術(shù)力量相對薄弱。一般情況下,企業(yè)對于內(nèi)網(wǎng)的建設(shè)都是一次性投資,行業(yè)或本企業(yè)專用軟件也是一次性開發(fā)的。企業(yè)一般都注重日常的生產(chǎn)、經(jīng)營,對于內(nèi)網(wǎng)運行、維護相對關(guān)注較少。內(nèi)網(wǎng)沒有或很少有專業(yè)的維護人員。內(nèi)網(wǎng)維護的投入費用、維護人員的管理、培訓(xùn)相對較少,維護技術(shù)力量相對薄弱。

三、防范措施

1、提高網(wǎng)絡(luò)安全意識

加強對內(nèi)網(wǎng)管理、使用人員安全意識的教育,使其認(rèn)識到內(nèi)網(wǎng)安全的重要性。同時進行必要的計算機應(yīng)用的培訓(xùn)工作,使其真正了解所用設(shè)備的性能,掌握信息安全的知識和防范措施,如開機加密、屏幕保護加密、目錄加密、文件加密、網(wǎng)絡(luò)傳輸加密等技術(shù)。

2、完善有關(guān)規(guī)章制度,加強對網(wǎng)絡(luò)使用的管理

加強網(wǎng)絡(luò)的安全管理,完善有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)的安全、可靠地運行,將起到十分有效的作用。對計算機應(yīng)用的各個環(huán)節(jié),制定出符合實際、操作性強的規(guī)章制度。

3、從設(shè)置上加強系統(tǒng)的安全性

(1)用戶安全設(shè)置。禁用Guest賬號,刪除不必要的用戶,如:去掉測試用戶、共享用戶等等。把系統(tǒng)Administrator賬號改名,同時要把共享文件的權(quán)限設(shè)成授權(quán)用戶。在登錄上不讓系統(tǒng)顯示上次登錄的用戶名,使用用戶策略等。

(2)密碼安全設(shè)置。一是使用安全密碼。密碼設(shè)置不要使用公司名、與用戶名相同或簡單的數(shù)字、生日等,密碼盡量設(shè)成字母、數(shù)字、符號、漢字等混合排列,要有一定的長度,還要注意經(jīng)常更改密碼。二是設(shè)置屏幕保護密碼。三是開啟應(yīng)用密碼策略。四是考慮使用智能卡來代替密碼。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。

4、加大對內(nèi)網(wǎng)技術(shù)層面的維護

(1)加強對專業(yè)人才的引進和培訓(xùn)。一是引進計算機專業(yè)技術(shù)人才。二是對內(nèi)網(wǎng)維護專業(yè)技術(shù)人員定期進行專業(yè)技術(shù)知識培訓(xùn),以跟上計算機技術(shù)發(fā)展的步伐。

(2)加強對計算機物理硬件定期巡視維護。內(nèi)網(wǎng)設(shè)備投入使用后,需要對內(nèi)網(wǎng)中的各種設(shè)備使用環(huán)境、運行情況進行日常的巡視、檢查,做好保養(yǎng)、除塵,維修更換損壞或老化配件、線路,才能保證設(shè)備的正常運行。

(3)及時對操作系統(tǒng)進行更新。對操作系統(tǒng)及時更新和打補丁是保證操作系統(tǒng)穩(wěn)定運行的必要條件。由于內(nèi)網(wǎng)與互聯(lián)網(wǎng)沒有直通,不能自動更新和升級,需要維護人員進行手動升級。對于內(nèi)網(wǎng)中服務(wù)器、終端較多的情況,推薦使用補丁管理軟件以減輕維護人員的工作量。

(4)對于服務(wù)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫及時打補丁。第一,提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)如IIS、數(shù)據(jù)庫、應(yīng)用系統(tǒng)最好不要安裝到系統(tǒng)盤上,安裝在專用磁盤空間內(nèi)。第二,關(guān)閉不需要的端口,如3389端口等。第三,禁

用不必要的服務(wù),如遠(yuǎn)程協(xié)助、局域網(wǎng)管理共享文件、telnet服務(wù)。第四,刪除默認(rèn)共享。第五,及時更新升級和打補丁。第六,通過對IIS、數(shù)據(jù)庫正確設(shè)置,提高安全性。如修改IIS、數(shù)據(jù)庫的默認(rèn)安裝路徑,在IIS管理器中刪除必須之外的其他沒有用到的映射,數(shù)據(jù)庫中刪除不需要的存儲過程,為IIS中的文件分類設(shè)置權(quán)限。建議使用W3C擴充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,而且每天均要審查日志。

(5)完善編程,堵塞漏洞。涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少在客戶端進行驗證,涉及到與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予用戶最小的權(quán)限,盡量將程序?qū)懙脟?yán)密和安全等。

(6)建立重要文件備份。如果計算機的硬盤損壞,將會導(dǎo)致數(shù)據(jù)丟失,因此必須定期建立數(shù)據(jù)備份。一旦硬盤發(fā)生問題時,可以確保盡量少的數(shù)據(jù)丟失或根本不丟失,使整個系統(tǒng)能盡早恢復(fù)正常使用。

(7)使用防火墻、防病毒軟件、網(wǎng)絡(luò)監(jiān)測軟件等定期對網(wǎng)絡(luò)進行監(jiān)測和檢查。一是采用防火墻技術(shù),通過在服務(wù)器、各終端邊界上建立起來的通信監(jiān)控系統(tǒng)來實時檢查、隔離,以阻擋木馬病毒的傳播和侵入,從而實施安全訪問控制,提高內(nèi)網(wǎng)的安全性。二是安裝網(wǎng)絡(luò)版防病毒軟件,加強病毒檢測,及時發(fā)現(xiàn)病毒并予以清殺,可有效阻止其在網(wǎng)絡(luò)上蔓延和破壞。三是安裝網(wǎng)絡(luò)監(jiān)控軟件,能夠及時發(fā)現(xiàn)內(nèi)網(wǎng)中存在的異常情況,并在內(nèi)網(wǎng)發(fā)生安全事件后,提供有效的證據(jù),實現(xiàn)事后追查問題根源的目標(biāo)。

總之,網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。為此,企業(yè)要不斷建立和完善網(wǎng)絡(luò)安全管理體系,加強對硬件和軟件的及時維護,保證系統(tǒng)運行安全。