趙磊

摘要：現(xiàn)今任何企業(yè)的發(fā)展都離不開(kāi)互聯(lián)網(wǎng)，企業(yè)依賴計(jì)算機(jī)網(wǎng)絡(luò)開(kāi)展各種商務(wù)活動(dòng)，若企業(yè)信息系統(tǒng)中存在的重大網(wǎng)絡(luò)安全漏洞一旦被人利用，就會(huì)給企業(yè)帶來(lái)不可挽回的巨大損失。在“互聯(lián)網(wǎng)+”時(shí)代下，網(wǎng)絡(luò)信息安全已經(jīng)成為企業(yè)發(fā)展的命脈。如何加強(qiáng)企業(yè)信息安全意識(shí)，采取有效的防范措施是“互聯(lián)網(wǎng)+”時(shí)代下企業(yè)應(yīng)該認(rèn)真對(duì)待的問(wèn)題。

關(guān)鍵詞：企業(yè);網(wǎng)絡(luò)信息安全;漏洞;威脅;防范措施

中圖分類(lèi)號(hào)：TP393. 08

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1672 - 9129（2018）12 - 0100 - 01

1 企業(yè)面臨的網(wǎng)絡(luò)信息安全威脅

1.1 來(lái)自于互聯(lián)網(wǎng)的威脅。

（1）拒絕服務(wù)攻擊。拒絕服務(wù)攻擊及DOS攻擊，是一種讓攻擊目標(biāo)癱瘓的攻擊手段，攻擊者利用網(wǎng)絡(luò)協(xié)議，例如ICMP和UDP協(xié)議某個(gè)若點(diǎn)，或是企業(yè)對(duì)外服務(wù)系統(tǒng)存在的某一漏洞，對(duì)目標(biāo)發(fā)起大規(guī)模攻擊，致使被攻擊目標(biāo)無(wú)法為用戶提供正常服務(wù)。除此外，某些拒絕服務(wù)攻擊還可以通過(guò)攻擊目標(biāo)使得目標(biāo)服務(wù)緩沖區(qū)溢出獲得系統(tǒng)root權(quán)限。攻擊者以此方法開(kāi)展攻擊，其主要目的就是癱瘓企業(yè)的網(wǎng)上業(yè)務(wù)，影響企業(yè)的正常經(jīng)營(yíng)。

（2）WEB應(yīng)用SQL注入攻擊。企業(yè)業(yè)務(wù)系統(tǒng)大多為web應(yīng)用+數(shù)據(jù)庫(kù)方式實(shí)現(xiàn)與用戶的數(shù)據(jù)交互和開(kāi)支業(yè)務(wù)。例如Pe rl和PHP與SQL數(shù)據(jù)庫(kù)結(jié)合，這些語(yǔ)言是解釋型語(yǔ)言，在web程序運(yùn)行時(shí)會(huì)執(zhí)行用戶輸入，若攻擊者預(yù)先構(gòu)造惡意代碼放置于執(zhí)行內(nèi)容中，則攻擊者可以執(zhí)行惡意SQL語(yǔ)句，獲得數(shù)據(jù)庫(kù)的讀取和修改權(quán)限，進(jìn)而獲得服務(wù)器系統(tǒng)的最高權(quán)限，可以隨意操作數(shù)據(jù)，危害極大。入侵者一般通過(guò)此方法竊取或篡改企業(yè)商業(yè)數(shù)據(jù)或是用戶數(shù)據(jù)。

（3）跨站腳本攻擊?？缯灸_本攻擊又稱(chēng)xss攻擊，由于web頁(yè)面開(kāi)發(fā)方對(duì)用戶輸入的數(shù)據(jù)過(guò)濾不充分，或是完全就沒(méi)有過(guò)濾就放人數(shù)據(jù)庫(kù)中，在一些地方又直接從數(shù)據(jù)庫(kù)中取出，返回給其他用戶，攻擊者就是利用這一點(diǎn)向企業(yè)網(wǎng)站web頁(yè)面插入惡意html代碼，當(dāng)企業(yè)用戶瀏覽該頁(yè)面時(shí)，嵌入其中的html代碼會(huì)被執(zhí)行，達(dá)到攻擊者目的，此類(lèi)攻擊屬于被動(dòng)攻擊，也是web應(yīng)用中常見(jiàn)入侵方式之一。攻擊者利用此類(lèi)漏洞引導(dǎo)用戶在虛假頁(yè)面上登錄賬戶，以竊取用戶數(shù)據(jù)，用于販賣(mài)或是利用盜取賬戶進(jìn)一步滲透入侵。

（4）口令破解攻擊。企業(yè)通過(guò)網(wǎng)絡(luò)對(duì)外開(kāi)展業(yè)務(wù)都會(huì)存在與用戶交互數(shù)據(jù)的情況，一旦存在業(yè)務(wù)交互就會(huì)采用用戶名和密碼的認(rèn)證方式來(lái)控制用戶訪問(wèn)，而口令破解就是針對(duì)用戶名和密碼的攻擊手段，主要方法是用賬戶默認(rèn)密碼、字典攻擊和暴力攻擊等方法進(jìn)行密碼猜測(cè)，最終獲得用戶密碼的過(guò)程，獲得用戶密碼后可通過(guò)合法登錄進(jìn)一步攻擊應(yīng)用系統(tǒng)，繼續(xù)滲透內(nèi)部系統(tǒng)以達(dá)最終非法目的。

（5）電子郵件攻擊。電子郵件是最古老的互聯(lián)網(wǎng)應(yīng)用之一，自從1971年誕生以來(lái)就作為一種有效的在不同計(jì)算機(jī)之間傳輸數(shù)據(jù)的方法，雖然現(xiàn)在有很多即時(shí)通訊軟件承擔(dān)文件信息等傳遞任務(wù)，但電子郵件應(yīng)用并沒(méi)有退出市場(chǎng)，反而承擔(dān)了重要的職能，很多應(yīng)用把電子郵件作為安全性驗(yàn)證的手段，也正是這個(gè)原因，針對(duì)電子郵件的攻擊數(shù)量和案例一直居高不下。一是多數(shù)電子郵件會(huì)話過(guò)程使用明文，這樣會(huì)話過(guò)程毫無(wú)秘密可言，攻擊者只要在會(huì)話鏈路上進(jìn)行嗅探，就能獲得這些敏感的信息。二是早期smtp協(xié)議是沒(méi)有發(fā)送方認(rèn)證的，這使得發(fā)件人可以隨意標(biāo)記自己郵件地址，可以將自己偽裝成系統(tǒng)或是公司管理層人員，這一問(wèn)題容易導(dǎo)致大量的社會(huì)工程學(xué)欺騙和攻擊，是攻擊者常用的一種滲透手段。

1.2 來(lái)自于企業(yè)局域網(wǎng)威脅。由于企業(yè)內(nèi)部應(yīng)用和工作效率的需求，企業(yè)內(nèi)部網(wǎng)絡(luò)相比對(duì)外網(wǎng)絡(luò)的安全限制措施更少，而此種策略使得內(nèi)網(wǎng)終端安全和數(shù)據(jù)安全顯得更加脆弱。內(nèi)網(wǎng)安全威脅主要來(lái)自以下幾個(gè)方面：

（1）內(nèi)網(wǎng)蠕蟲(chóng)病毒攻擊。蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，主要通過(guò)網(wǎng)絡(luò)共享或電子郵件方式，將自身或變種傳播到其它電腦終端上，因此可能造成網(wǎng)絡(luò)擁塞、終端系統(tǒng)崩潰或重要數(shù)據(jù)的損毀，蠕蟲(chóng)是內(nèi)網(wǎng)常見(jiàn)且危害最大的一種網(wǎng)絡(luò)病毒。例如2017年5月12日，全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲(chóng)病毒，這個(gè)病毒被稱(chēng)為“永恒之藍(lán)”也稱(chēng)之為“勒索病毒”，該病毒傳染面非常廣，包括英國(guó)、俄羅斯、整個(gè)歐洲以及中國(guó)國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專(zhuān)網(wǎng)中招，對(duì)重要數(shù)據(jù)造成不可挽回的損失。

（2）網(wǎng)絡(luò)嗅探及數(shù)據(jù)竊取攻擊。相對(duì)于企業(yè)外網(wǎng)，企業(yè)內(nèi)網(wǎng)數(shù)據(jù)傳輸一般多數(shù)采用未加密的明文方式，而另一方面，企業(yè)內(nèi)網(wǎng)除有線接入外還可能有無(wú)線接人，無(wú)線接入且明文傳輸無(wú)疑是給網(wǎng)絡(luò)嗅探行為提供可乘之機(jī)，攻擊者可通過(guò)口令破解方式獲得合法接人后，嗅探竊取內(nèi)網(wǎng)傳遞、存儲(chǔ)的重要信息。

（3）內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)或是安全策略缺陷。企業(yè)內(nèi)部網(wǎng)絡(luò)管理相對(duì)外網(wǎng)邊界較為“松散”，一方面源于網(wǎng)絡(luò)出口設(shè)置了網(wǎng)絡(luò)防火墻、防病毒網(wǎng)管等安全設(shè)備，多數(shù)情況下網(wǎng)絡(luò)管理員會(huì)認(rèn)為內(nèi)網(wǎng)威脅較少。一方面因內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用或數(shù)據(jù)共享的需求.管理員可能會(huì)設(shè)置較少或是干脆不設(shè)置安全規(guī)則以服務(wù)于業(yè)務(wù)效率。基于這兩方面，管理員對(duì)于內(nèi)網(wǎng)安全策略，或是不同等級(jí)的業(yè)務(wù)數(shù)據(jù)隔離等處理方式就會(huì)偏向“寬松”，重要數(shù)據(jù)或是業(yè)務(wù)很少單獨(dú)隔離。而這就給黑客以可乘之機(jī)，一旦黑客控制了內(nèi)網(wǎng)某臺(tái)機(jī)器，內(nèi)網(wǎng)對(duì)其來(lái)說(shuō)就是“一馬平川”，重要數(shù)據(jù)是唾手可得。

2 企業(yè)可采取的防范措施

2.1 技術(shù)類(lèi)防范措施。 （1）針對(duì)郵件安全，一是可以采取更加安全的郵件傳輸協(xié)議，尤其是企業(yè)內(nèi)部網(wǎng)絡(luò)如果架設(shè)了內(nèi)部郵件服務(wù)器，則可采用最新的安全郵件協(xié)議。二是利用密碼技術(shù)為郵件提供保密性、完整性、抗抵賴性等一系列服務(wù)。三是使用ssl會(huì)話對(duì)smtp和pop3傳輸進(jìn)行保護(hù)。

（2）sql注入及跨站腳本攻擊防范可以從程序設(shè)計(jì)、代碼編寫(xiě)、安全部署和使用等措施。在企業(yè)進(jìn)行業(yè)務(wù)程序開(kāi)發(fā)過(guò)程中，遵循最小特權(quán)原則，嚴(yán)謹(jǐn)程序設(shè)計(jì)結(jié)構(gòu)設(shè)計(jì)，代碼編寫(xiě)過(guò)程中注意格式化輸人數(shù)據(jù)，過(guò)濾危險(xiǎn)字符等方式，降低注入風(fēng)險(xiǎn)。

（3）DDOS攻擊防范。DDOS攻擊防御比較困難，依靠單一的技術(shù)防范手段無(wú)法抵抗此類(lèi)攻擊，而采取有防御、監(jiān)測(cè)和響應(yīng)多種機(jī)制相結(jié)合的防范措施體系，比如借助企業(yè)專(zhuān)線提供商進(jìn)行攻擊地址屏蔽、攻擊流量分流、清洗，配合企業(yè)已部署的防火墻設(shè)備等就可以吧dos攻擊威脅控制在一個(gè)可以接受的水平。

（4）用戶名密碼破解，主要有兩種防范方法，一是阻止攻擊者反復(fù)嘗試暴力破解的可能，比如限定試錯(cuò)次數(shù)，特定時(shí)間內(nèi)超過(guò)限制錯(cuò)誤次數(shù)即鎖定賬戶，此方法還可配合驗(yàn)證碼或是圖片識(shí)別來(lái)是否人工登陸，降低被破解風(fēng)險(xiǎn);二是提高密碼的強(qiáng)度，強(qiáng)制要求用戶使用的密碼必須包含字符、數(shù)字、大小寫(xiě)等，加大密碼猜測(cè)難度。

（5）面對(duì)蠕蟲(chóng)病毒攻擊，防范措施一是對(duì)于終端電腦做好病毒庫(kù)的及時(shí)更新，推薦安裝正版操作系統(tǒng)和殺毒軟件，不論終端電腦或是服務(wù)器是否處在內(nèi)網(wǎng)或是外網(wǎng)，終端電腦病毒庫(kù)都應(yīng)及時(shí)更新。二是蠕蟲(chóng)病毒多以網(wǎng)絡(luò)傳播，尤其局域網(wǎng)內(nèi)容易被利用的139、445等端口應(yīng)限制開(kāi)放，同時(shí)內(nèi)網(wǎng)接入交換和路由設(shè)備上也應(yīng)做相應(yīng)限制策略，終端電腦系統(tǒng)防火墻規(guī)則庫(kù)也應(yīng)及時(shí)更新。

2.2 管理類(lèi)防范措施。

（1）科學(xué)合理的內(nèi)網(wǎng)結(jié)構(gòu)部署。較為安全的做法是內(nèi)部各種業(yè)務(wù)用網(wǎng)物理隔離或是技術(shù)隔離，對(duì)于企業(yè)內(nèi)部服務(wù)器區(qū)尤其是重要企業(yè)重要的商業(yè)數(shù)據(jù)或是研發(fā)數(shù)據(jù)服務(wù)器采取嚴(yán)格的訪問(wèn)控制策略，或是采取完全的物理隔離作為重點(diǎn)防護(hù)區(qū)域。而企業(yè)對(duì)外業(yè)務(wù)服務(wù)器可設(shè)立單獨(dú)的dmz區(qū)域。內(nèi)網(wǎng)重點(diǎn)防護(hù)區(qū)域及對(duì)外DMZ區(qū)域與企業(yè)業(yè)務(wù)內(nèi)網(wǎng)三者之間設(shè)立嚴(yán)格的訪問(wèn)控制策略，以減小DMZ區(qū)及業(yè)務(wù)內(nèi)網(wǎng)兩大威脅源對(duì)企業(yè)重要數(shù)據(jù)資產(chǎn)的威脅。

（2）完善可行的安全管理制度。首先是企業(yè)管理層要重視網(wǎng)絡(luò)安全，給與網(wǎng)絡(luò)安全管理部門(mén)足夠的權(quán)限，便于推進(jìn)系統(tǒng)化的網(wǎng)絡(luò)安全管理制度落實(shí)。制度應(yīng)涉及企業(yè)內(nèi)信息系統(tǒng)及計(jì)算機(jī)設(shè)備的管理者、使用者，對(duì)于不同重要性的IT資產(chǎn)予以區(qū)分并制定相應(yīng)制度。從IT資產(chǎn)、人員、事件（例如應(yīng)急預(yù)案制度等）多個(gè)方面人手，形成網(wǎng)絡(luò)安全各個(gè)層面的保障合力。

（3）IT管理及應(yīng)用人員安全意識(shí)與技術(shù)培訓(xùn)。如今信息技術(shù)發(fā)展突飛猛進(jìn)，網(wǎng)絡(luò)安全所面臨威脅也是日新月異，及時(shí)的更新網(wǎng)絡(luò)安全保障人員及網(wǎng)絡(luò)終端用戶的網(wǎng)絡(luò)安全意和基礎(chǔ)防范技能是十分必要的，企業(yè)可考慮采取專(zhuān)項(xiàng)講座和定期培訓(xùn)相結(jié)合的方式，一方面提高網(wǎng)絡(luò)安全保障人員在面對(duì)大范圍安全威脅下的防范能力，一方面提高終端用戶日常應(yīng)用的自身防范意識(shí)能力，從而提升網(wǎng)絡(luò)安全的整體防范能力。

（4）定期更新維護(hù)系統(tǒng)，開(kāi)發(fā)系統(tǒng)的漏洞更新。結(jié)合完備的網(wǎng)絡(luò)安全管理制度，落實(shí)執(zhí)行各個(gè)系統(tǒng)的定期巡檢及更新，尤其是內(nèi)部業(yè)務(wù)系統(tǒng)，要及時(shí)掌握用戶反饋的系統(tǒng)應(yīng)用錯(cuò)誤，了解系統(tǒng)開(kāi)發(fā)方補(bǔ)丁更新進(jìn)度，業(yè)務(wù)系統(tǒng)補(bǔ)丁更新時(shí)開(kāi)展相應(yīng)的網(wǎng)絡(luò)安全測(cè)試工作，確保系統(tǒng)打補(bǔ)丁或是更新后的網(wǎng)絡(luò)安全不受影響。