喬軍利

【摘要】企業(yè)內(nèi)部網(wǎng)絡(luò)安全涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施。為此,企業(yè)要不斷建立和完善網(wǎng)絡(luò)安全管理體系,加強(qiáng)對(duì)硬件和軟件的及時(shí)維護(hù),保證系統(tǒng)運(yùn)行安全。

【關(guān)鍵詞】企業(yè);網(wǎng)絡(luò)安全;防范措施

一、企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)(以下簡(jiǎn)稱內(nèi)網(wǎng))的特點(diǎn)

企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)相對(duì)于廣域網(wǎng)而言,一般具有以下特點(diǎn):

1、與外界網(wǎng)絡(luò)隔離

大部分企業(yè)內(nèi)網(wǎng)是為企業(yè)內(nèi)部生產(chǎn)、管理服務(wù),相對(duì)獨(dú)立,自成體系,一般與外界計(jì)算機(jī)網(wǎng)絡(luò)沒(méi)有進(jìn)行物理上的連接,與外界不進(jìn)行溝通。有的企業(yè)出于與外界聯(lián)系的需要,內(nèi)網(wǎng)中個(gè)別客戶端計(jì)算機(jī)與英特網(wǎng)等進(jìn)行連接,內(nèi)網(wǎng)大部分計(jì)算機(jī)仍與外界隔離。

2、建立了S/C結(jié)構(gòu)的應(yīng)用

內(nèi)網(wǎng)一般建立了S/C結(jié)構(gòu)的應(yīng)用,能夠提供WEB服務(wù)、郵件服務(wù)、FTP服務(wù)、實(shí)時(shí)通訊、網(wǎng)上會(huì)議等功能,有的安裝行業(yè)或本企業(yè)專用軟件,都建有數(shù)據(jù)庫(kù),能夠?yàn)槠髽I(yè)提供公文傳遞、處理,文件傳輸、電子郵局、網(wǎng)上會(huì)議、專用軟件應(yīng)用等功能。

3、企業(yè)的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)網(wǎng)的依賴程度越來(lái)越高

隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,企業(yè)的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來(lái)越高,生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)網(wǎng)絡(luò)成為單位信息和指令傳遞的主要載體,內(nèi)網(wǎng)已經(jīng)成了各個(gè)企業(yè)、單位的生命線。

4、對(duì)網(wǎng)絡(luò)的安全要求越來(lái)越高

內(nèi)網(wǎng)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機(jī)的整體,任何一個(gè)部分的安全漏洞或者問(wèn)題,都可能引發(fā)整個(gè)網(wǎng)絡(luò)的癱瘓,對(duì)內(nèi)網(wǎng)各個(gè)具體部分尤其是服務(wù)器、數(shù)據(jù)庫(kù)的穩(wěn)定性、可靠性和可控性提出高度的要求。

二、一般內(nèi)網(wǎng)安全存在的問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)安全按照級(jí)別從低到高,分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全。根據(jù)內(nèi)網(wǎng)的特點(diǎn),從上面幾個(gè)方面進(jìn)行分析,內(nèi)網(wǎng)安全存在管理使用、技術(shù)兩個(gè)大的層面的問(wèn)題。

1、內(nèi)網(wǎng)管理、使用方面

(1)網(wǎng)絡(luò)安全意識(shí)不強(qiáng)。在部分企業(yè),由于內(nèi)網(wǎng)建成時(shí)間還比較短,部分管理人員、使用人員因?qū)τ?jì)算機(jī)知識(shí)掌握不多,網(wǎng)絡(luò)安全意識(shí)不強(qiáng),對(duì)信息資產(chǎn)保護(hù)的經(jīng)驗(yàn)相對(duì)薄弱。在正常的情況下,往往會(huì)忽視對(duì)網(wǎng)絡(luò)安全的保護(hù)。

(2)管理制度不完善。在部分企業(yè),由于對(duì)內(nèi)網(wǎng)安全重視不夠,管理制度不完善。有的雖建立了內(nèi)網(wǎng)管理制度,但涵蓋不全面。有的企業(yè)對(duì)內(nèi)網(wǎng)管理制度執(zhí)行不到位,甚至還沒(méi)有建立相應(yīng)的制度。

(3)內(nèi)部人員使用不規(guī)范。在內(nèi)網(wǎng)中,由于使用人員使用不當(dāng)而造成的問(wèn)題占絕大多數(shù)。如有些使用人員不等計(jì)算機(jī)完全關(guān)閉而關(guān)閉UPS電源,有的使用人員在多機(jī)上使用U盤、活動(dòng)硬盤拷貝文件而不注意殺毒,導(dǎo)致病毒入侵。有些用戶在計(jì)算機(jī)設(shè)備上隨意安裝軟件。還有的將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享。

2、技術(shù)方面存在的問(wèn)題

(1)操作系統(tǒng)不能及時(shí)升級(jí)。一個(gè)操作系統(tǒng)總是存在著一定的缺陷和漏洞,正是由于有了這些缺陷和漏洞,木馬、病毒才有了可乘之機(jī)。內(nèi)網(wǎng)自成體系,操作系統(tǒng)經(jīng)常不能得到及時(shí)升級(jí),為內(nèi)網(wǎng)安全埋下隱患。

(2)軟件存在安全漏洞不能得到及時(shí)修補(bǔ)。同樣的道理,應(yīng)用的軟件也存在著一定的缺陷和漏洞。有的編程人員對(duì)于編程中安全性重視不夠,造成缺陷和漏洞的存在,甚至有的軟件“后門”是編程人員為了自便而設(shè)置的。

(3)投入不足,信息安全產(chǎn)品部署不到位。有的企業(yè)使用單機(jī)版防火墻和防病毒軟件來(lái)代替網(wǎng)絡(luò)版產(chǎn)品,有的一套防病毒軟件多機(jī)安裝,甚至有的企業(yè)完全沒(méi)有使用任何信息安全產(chǎn)品。

(4)內(nèi)網(wǎng)維護(hù)技術(shù)力量相對(duì)薄弱。一般情況下,企業(yè)對(duì)于內(nèi)網(wǎng)的建設(shè)都是一次性投資,行業(yè)或本企業(yè)專用軟件也是一次性開(kāi)發(fā)的。企業(yè)一般都注重日常的生產(chǎn)、經(jīng)營(yíng),對(duì)于內(nèi)網(wǎng)運(yùn)行、維護(hù)相對(duì)關(guān)注較少。內(nèi)網(wǎng)沒(méi)有或很少有專業(yè)的維護(hù)人員。內(nèi)網(wǎng)維護(hù)的投入費(fèi)用、維護(hù)人員的管理、培訓(xùn)相對(duì)較少,維護(hù)技術(shù)力量相對(duì)薄弱。

三、防范措施

1、提高網(wǎng)絡(luò)安全意識(shí)

加強(qiáng)對(duì)內(nèi)網(wǎng)管理、使用人員安全意識(shí)的教育,使其認(rèn)識(shí)到內(nèi)網(wǎng)安全的重要性。同時(shí)進(jìn)行必要的計(jì)算機(jī)應(yīng)用的培訓(xùn)工作,使其真正了解所用設(shè)備的性能,掌握信息安全的知識(shí)和防范措施,如開(kāi)機(jī)加密、屏幕保護(hù)加密、目錄加密、文件加密、網(wǎng)絡(luò)傳輸加密等技術(shù)。

2、完善有關(guān)規(guī)章制度,加強(qiáng)對(duì)網(wǎng)絡(luò)使用的管理

加強(qiáng)網(wǎng)絡(luò)的安全管理,完善有關(guān)規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行,將起到十分有效的作用。對(duì)計(jì)算機(jī)應(yīng)用的各個(gè)環(huán)節(jié),制定出符合實(shí)際、操作性強(qiáng)的規(guī)章制度。

3、從設(shè)置上加強(qiáng)系統(tǒng)的安全性

(1)用戶安全設(shè)置。禁用Guest賬號(hào),刪除不必要的用戶,如:去掉測(cè)試用戶、共享用戶等等。把系統(tǒng)Administrator賬號(hào)改名,同時(shí)要把共享文件的權(quán)限設(shè)成授權(quán)用戶。在登錄上不讓系統(tǒng)顯示上次登錄的用戶名,使用用戶策略等。

(2)密碼安全設(shè)置。一是使用安全密碼。密碼設(shè)置不要使用公司名、與用戶名相同或簡(jiǎn)單的數(shù)字、生日等,密碼盡量設(shè)成字母、數(shù)字、符號(hào)、漢字等混合排列,要有一定的長(zhǎng)度,還要注意經(jīng)常更改密碼。二是設(shè)置屏幕保護(hù)密碼。三是開(kāi)啟應(yīng)用密碼策略。四是考慮使用智能卡來(lái)代替密碼。如果條件允許,用智能卡來(lái)代替復(fù)雜的密碼是一個(gè)很好的解決方法。

4、加大對(duì)內(nèi)網(wǎng)技術(shù)層面的維護(hù)

(1)加強(qiáng)對(duì)專業(yè)人才的引進(jìn)和培訓(xùn)。一是引進(jìn)計(jì)算機(jī)專業(yè)技術(shù)人才。二是對(duì)內(nèi)網(wǎng)維護(hù)專業(yè)技術(shù)人員定期進(jìn)行專業(yè)技術(shù)知識(shí)培訓(xùn),以跟上計(jì)算機(jī)技術(shù)發(fā)展的步伐。

(2)加強(qiáng)對(duì)計(jì)算機(jī)物理硬件定期巡視維護(hù)。內(nèi)網(wǎng)設(shè)備投入使用后,需要對(duì)內(nèi)網(wǎng)中的各種設(shè)備使用環(huán)境、運(yùn)行情況進(jìn)行日常的巡視、檢查,做好保養(yǎng)、除塵,維修更換損壞或老化配件、線路,才能保證設(shè)備的正常運(yùn)行。

(3)及時(shí)對(duì)操作系統(tǒng)進(jìn)行更新。對(duì)操作系統(tǒng)及時(shí)更新和打補(bǔ)丁是保證操作系統(tǒng)穩(wěn)定運(yùn)行的必要條件。由于內(nèi)網(wǎng)與互聯(lián)網(wǎng)沒(méi)有直通,不能自動(dòng)更新和升級(jí),需要維護(hù)人員進(jìn)行手動(dòng)升級(jí)。對(duì)于內(nèi)網(wǎng)中服務(wù)器、終端較多的情況,推薦使用補(bǔ)丁管理軟件以減輕維護(hù)人員的工作量。

(4)對(duì)于服務(wù)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)及時(shí)打補(bǔ)丁。第一,提供網(wǎng)絡(luò)服務(wù)的系統(tǒng)如IIS、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)最好不要安裝到系統(tǒng)盤上,安裝在專用磁盤空間內(nèi)。第二,關(guān)閉不需要的端口,如3389端口等。第三,禁

用不必要的服務(wù),如遠(yuǎn)程協(xié)助、局域網(wǎng)管理共享文件、telnet服務(wù)。第四,刪除默認(rèn)共享。第五,及時(shí)更新升級(jí)和打補(bǔ)丁。第六,通過(guò)對(duì)IIS、數(shù)據(jù)庫(kù)正確設(shè)置,提高安全性。如修改IIS、數(shù)據(jù)庫(kù)的默認(rèn)安裝路徑,在IIS管理器中刪除必須之外的其他沒(méi)有用到的映射,數(shù)據(jù)庫(kù)中刪除不需要的存儲(chǔ)過(guò)程,為IIS中的文件分類設(shè)置權(quán)限。建議使用W3C擴(kuò)充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,而且每天均要審查日志。

(5)完善編程,堵塞漏洞。涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少在客戶端進(jìn)行驗(yàn)證,涉及到與數(shù)據(jù)庫(kù)連接的用戶名與口令應(yīng)給予用戶最小的權(quán)限,盡量將程序?qū)懙脟?yán)密和安全等。

(6)建立重要文件備份。如果計(jì)算機(jī)的硬盤損壞,將會(huì)導(dǎo)致數(shù)據(jù)丟失,因此必須定期建立數(shù)據(jù)備份。一旦硬盤發(fā)生問(wèn)題時(shí),可以確保盡量少的數(shù)據(jù)丟失或根本不丟失,使整個(gè)系統(tǒng)能盡早恢復(fù)正常使用。

(7)使用防火墻、防病毒軟件、網(wǎng)絡(luò)監(jiān)測(cè)軟件等定期對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和檢查。一是采用防火墻技術(shù),通過(guò)在服務(wù)器、各終端邊界上建立起來(lái)的通信監(jiān)控系統(tǒng)來(lái)實(shí)時(shí)檢查、隔離,以阻擋木馬病毒的傳播和侵入,從而實(shí)施安全訪問(wèn)控制,提高內(nèi)網(wǎng)的安全性。二是安裝網(wǎng)絡(luò)版防病毒軟件,加強(qiáng)病毒檢測(cè),及時(shí)發(fā)現(xiàn)病毒并予以清殺,可有效阻止其在網(wǎng)絡(luò)上蔓延和破壞。三是安裝網(wǎng)絡(luò)監(jiān)控軟件,能夠及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)中存在的異常情況,并在內(nèi)網(wǎng)發(fā)生安全事件后,提供有效的證據(jù),實(shí)現(xiàn)事后追查問(wèn)題根源的目標(biāo)。

總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問(wèn)題,而不是萬(wàn)能的。為此,企業(yè)要不斷建立和完善網(wǎng)絡(luò)安全管理體系,加強(qiáng)對(duì)硬件和軟件的及時(shí)維護(hù),保證系統(tǒng)運(yùn)行安全。