張君楓

【摘要】 針對企業(yè)網(wǎng)絡(luò)存在的問題,進行全面分析,得出企業(yè)網(wǎng)絡(luò)安全解決方案,對保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可控性等方面有著重要意義。

【關(guān)鍵詞】 網(wǎng)絡(luò)安全;黑客攻擊;病毒攻擊

一、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

大多數(shù)企業(yè)已將互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營發(fā)展戰(zhàn)略中,但是真正實現(xiàn)網(wǎng)上采購、網(wǎng)上銷售或機密數(shù)據(jù)傳遞的企業(yè)卻沒有幾個,更多的企業(yè)只把網(wǎng)絡(luò)當作信息發(fā)布和查詢系統(tǒng)。造成這種局面的原因是客觀存在的安全威脅:黑客入侵企業(yè)信息網(wǎng)絡(luò)系統(tǒng)進行盜竊、篡改等惡意行為;冒充他人進行網(wǎng)上詐騙;非法訪問;數(shù)據(jù)在傳輸過程中被竊取或泄密;計算機病毒的干擾、破壞等。安全問題直接威脅著企業(yè)信息網(wǎng)絡(luò)的建設(shè),成為企業(yè)信息化發(fā)展的障礙。綜合來看,目前企業(yè)網(wǎng)絡(luò)主要有以下幾種安全問題:

1.物理安全

在企業(yè)建設(shè)中,由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程,耐壓值很低。在網(wǎng)絡(luò)工程的設(shè)計和施工中,人和網(wǎng)絡(luò)設(shè)備受電、火災(zāi)和雷擊的侵害;布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離太近;布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全性不夠;防雷系統(tǒng)的功能性不強等。

2.網(wǎng)絡(luò)安全

看似不大的內(nèi)部威脅往往是由于企業(yè)員工的錯誤上網(wǎng)行為和對網(wǎng)絡(luò)資源濫用所引起的,主要體現(xiàn)在以下方面:(1)上網(wǎng)行為得不到管理,員工自由進入不良網(wǎng)站或玩游戲;(2)使用BT等軟件,大量下載不加管理,引進無數(shù)病毒使得網(wǎng)絡(luò)處于高危狀態(tài);(3)無法對網(wǎng)絡(luò)威脅進行診斷,導(dǎo)致網(wǎng)絡(luò)長時間滯緩甚至癱瘓;(4)企業(yè)管理者無法知曉網(wǎng)絡(luò)運用狀況,決策時缺乏有效數(shù)據(jù)依據(jù)。

3.系統(tǒng)安全

企業(yè)操作系統(tǒng)存在安全問題:一些企業(yè)不舍得花費太多的金錢,采用安全性較低的網(wǎng)絡(luò)操作系統(tǒng),沒有進行必要的安全配置,經(jīng)常開啟一些存在安全隱患的應(yīng)用,對一些保存有用戶信息及其口令的關(guān)鍵文件沒有使用權(quán)限。企業(yè)為了節(jié)約資金,使用盜版系統(tǒng)并不及時給系統(tǒng)打補丁,導(dǎo)致系統(tǒng)漏洞百出。

4.黑客攻擊

黑客對企業(yè)網(wǎng)絡(luò)的攻擊方式問題是多種多樣的,企業(yè)中存在惡意代碼,使用IE瀏覽網(wǎng)頁時,就會有受到網(wǎng)頁中惡意代碼的攻擊。為了節(jié)約資金,企業(yè)不安裝硬件防火墻,這樣不法分子很容易進入企業(yè)的計算機,造成資料、文件、企業(yè)機密泄露,甚至造成不可挽回的損失。

5.病毒攻擊

企業(yè)的防毒系統(tǒng)不完善。目前病毒不再限于傳統(tǒng)意義上的病毒,還包括蠕蟲、木馬等。很多蠕蟲不是基于文件傳播,防病毒軟件只能被動去檢測。由于企業(yè)只注重利益關(guān)系,主機安全性能不完善,使蠕蟲得以傳播,這些蠕蟲通常會發(fā)起分布式的拒絕服務(wù)攻擊,造成網(wǎng)絡(luò)堵塞。

6.安全管理

企業(yè)內(nèi)部員工把企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令等重要信息傳播給外人,造成信息泄漏。機房重地任何人都可以來去自由,入侵者便有機會得逞。帶有不滿情緒的員利用服務(wù)器和系統(tǒng)的弱點,開些小玩笑,甚至搞破壞。這些都在威脅企業(yè)網(wǎng)絡(luò)的安全問題。

二、企業(yè)網(wǎng)絡(luò)安全問題分析

(1)可靠性。網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性?？煽啃允窍到y(tǒng)安全的基本要求之一,是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標。

(2)可用性。網(wǎng)絡(luò)信息服務(wù)在需要時,允許授權(quán)用戶或?qū)嶓w使用的特性,或者是網(wǎng)絡(luò)部分受損或需要降級使用時,仍能為授權(quán)用戶提供有效服務(wù)的特性。

(3)保密性。防止信息泄漏給非授權(quán)個人或?qū)嶓w,信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎(chǔ)之上,保障網(wǎng)絡(luò)信息安全的重要手段。

(4)完整性。網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

(5)可控性?？煽匦允菍W(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。

(6)不可抵賴性。也稱作不可否認性,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中,所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。

三、企業(yè)網(wǎng)絡(luò)安全問題解決方案

1.物理安全解決策略

(1)環(huán)境安全。機房與設(shè)施安全,環(huán)境與人員安全,預(yù)防其他自然災(zāi)害;(2)設(shè)備安全。主要考慮計算機設(shè)備的防盜、防毀、防電磁泄漏發(fā)射、抗電磁干擾及電源保護等;(3)介質(zhì)安全。包括媒體本身的防盜、防毀、防霉,以及防止數(shù)據(jù)被非法竊取、破壞或使用。

2.網(wǎng)絡(luò)隔離與訪問控制解決策略

企業(yè)通過網(wǎng)絡(luò)隔離可以禁止網(wǎng)絡(luò)間的資源共享,防止一個網(wǎng)絡(luò)的信息泄露到另一個網(wǎng)絡(luò)中去,防止資金的流失,并達到安全保密的目的。用戶身份識別及其訪問權(quán)限控制是業(yè)務(wù)的核心,必須對其實行有效的管理。電子商務(wù)企業(yè)采用更為自動化且更為安全的身份識別與訪問管理解決策略。

3.網(wǎng)絡(luò)系統(tǒng)安全解決策略

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全包括網(wǎng)絡(luò)操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。對于網(wǎng)絡(luò)操作系統(tǒng)的安全防范盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng),并進行必要的安全配置,如關(guān)閉一些并不常用卻存在安全隱患的應(yīng)用、服務(wù)及端口。對一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進行嚴格限制;加強口令字的使用(增加口令復(fù)雜程度、不使用容易猜測的信息作口令),并及時給系統(tǒng)打補丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。

在應(yīng)用系統(tǒng)安全上,應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng),可以關(guān)閉服務(wù)器上如HTTP;FTP等服務(wù)。還有就是加強登錄身份認證,確保用戶使用的合法性;并嚴格限制登錄者的操作權(quán)限,將其操作限制在最小的范圍內(nèi)。

4.智能防火墻解決策略

智能防火墻針對不同安全需求動態(tài)設(shè)置自適應(yīng)檢測系統(tǒng),為電子商務(wù)企業(yè)增加了主機自動加固、故障自動恢復(fù)等功能。該防火墻針對不同安全級別的外部入侵攻擊,由實時監(jiān)測系統(tǒng)記錄相應(yīng)的安全日志,動態(tài)實施多級網(wǎng)絡(luò)安全防火墻策略進行主機加固,并對最終導(dǎo)致的系統(tǒng)災(zāi)難動態(tài)恢復(fù)。

5.網(wǎng)絡(luò)防病毒解決策略

企業(yè)網(wǎng)絡(luò)系統(tǒng)中,由于需要大量的網(wǎng)絡(luò)操作,網(wǎng)絡(luò)防病毒至關(guān)重要,可從以下幾個方面著手:(1)在工作站上安裝防病毒軟件。(2)郵件是重要的病毒來源,郵件服務(wù)器要安裝防病毒軟件。(3)文件服務(wù)器中存放企業(yè)重要的數(shù)據(jù)。在Internet服務(wù)器上安裝防病毒軟件是頭等重要的,上載和下載的文件不帶有病毒對網(wǎng)絡(luò)是非常重要的。

6.安全管理解決策略

(1)多人負責原則。每一項與安全有關(guān)的活動,都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的,忠誠可靠,能勝任此項工作;應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關(guān)的活動:訪問控制使用證件的發(fā)放與回收;信息處理系統(tǒng)使用的媒介發(fā)放與回收;處理保密信息;硬件和軟件的維護;系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改等。

(2)任期有限原則。任何人最好不要長期擔任與安全有關(guān)的職務(wù),以免使他認為這個職務(wù)是專有的或永久性的。為遵循任期有限原則,假制度,并規(guī)定對工作人員進行輪流培訓(xùn),以使任期有限制度切實可行。

(3)職責分離原則。在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全相關(guān)的事情,除非系統(tǒng)主管領(lǐng)導(dǎo)批準。出于對安全的考慮,下面每組內(nèi)的兩項信息處理工作應(yīng)當分開:計算機操作與計算機編程;機密資料的接收和傳送;安全管理和系統(tǒng)管理;應(yīng)用程序和系統(tǒng)程序的編制;計算機操作與信息處理系統(tǒng)使用媒介的保管等。

(4)制訂應(yīng)急措施。組織應(yīng)急響應(yīng)小組,要求制訂系統(tǒng)在緊急情況下,如何盡快恢復(fù)的應(yīng)急措施,使損失減至最小。建立人員雇用和解聘制度,對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。

參考文獻

[1]于國華,丁國強.企業(yè)網(wǎng)絡(luò)安全體系研究[J].福建電腦.2007(2):66～67