梅　棟

[摘要]隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展,企業(yè)網(wǎng)絡(luò)信息安全建設(shè)也遇到前所未有的挑戰(zhàn)。通過(guò)對(duì)企業(yè)單位的調(diào)研,在分析網(wǎng)絡(luò)信息安全理論基礎(chǔ)上,對(duì)于企業(yè)單位網(wǎng)絡(luò)信息安全現(xiàn)狀進(jìn)行總結(jié),并提出企業(yè)網(wǎng)絡(luò)信息安全分析及漏洞,最后對(duì)于企業(yè)信息安全建設(shè)模型提出相關(guān)意見(jiàn)措施。

[關(guān)鍵詞]網(wǎng)絡(luò)安全信息安全安全體系

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0710062-01

在中小企業(yè)特別是偏遠(yuǎn)和經(jīng)濟(jì)相對(duì)落后的企業(yè),網(wǎng)絡(luò)發(fā)展建設(shè)迫在眉睫,網(wǎng)絡(luò)建設(shè)隨后帶來(lái)的安全性問(wèn)題就成為一個(gè)艱巨而又長(zhǎng)期的問(wèn)題。而目前網(wǎng)絡(luò)管理安全技術(shù)人員短缺、安全意識(shí)相對(duì)淡薄的情況下,如何能夠在網(wǎng)絡(luò)建設(shè)初期或正在建設(shè)過(guò)程中盡早的建立起網(wǎng)絡(luò)安全意識(shí),了解網(wǎng)絡(luò)安全存在的威脅,選拔和培養(yǎng)自己的安全人才,新的安全人員能夠了解和掌握基本安全防范措施,制定適合本單位網(wǎng)絡(luò)安全的安全實(shí)施計(jì)劃,最大限度的避免和減少網(wǎng)絡(luò)威脅給企業(yè)帶來(lái)不必要的損失[1,2]。

一、企業(yè)網(wǎng)絡(luò)現(xiàn)狀和安全性分析

隨著電子信息和計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)己滲透到經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域。同時(shí)伴隨著網(wǎng)絡(luò)的發(fā)展,也產(chǎn)生各種各樣的問(wèn)題,其中安全隱患日益突出,無(wú)論是企業(yè)、服務(wù)供應(yīng)商、政府部門還是研究和教育機(jī)構(gòu),安全性顯然決定著網(wǎng)絡(luò)要求和工作的優(yōu)先級(jí)。計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對(duì)網(wǎng)絡(luò)中信息的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。

為了更好的保護(hù)網(wǎng)絡(luò)系統(tǒng)安全,本節(jié)對(duì)入侵者的手段和方法作一介紹。網(wǎng)絡(luò)入侵者通常以下的步驟和方法達(dá)到入侵的目的。(1)信息收集,信息收集是為了了解所要攻擊目標(biāo)的詳細(xì)信息,通常黑客利用相關(guān)的網(wǎng)絡(luò)協(xié)議或?qū)嵱贸绦騺?lái)收集,如用SNMP協(xié)議可用來(lái)查看路由器的路由表,了解目標(biāo)主機(jī)內(nèi)部拓?fù)浣Y(jié)構(gòu)的細(xì)節(jié),用TraceRoute程序可獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由數(shù),用Ping程序可以檢測(cè)一個(gè)指定主機(jī)的位置并確定是否可到達(dá)等。(2)探測(cè)分析系統(tǒng)的安全弱點(diǎn),在收集到目標(biāo)的相關(guān)信息以后,黑客會(huì)探測(cè)網(wǎng)絡(luò)上的每一臺(tái)主機(jī),以尋求系統(tǒng)的安全漏洞或安全弱點(diǎn),黑客一般會(huì)使用Telnet、FTP等軟件向目標(biāo)主機(jī)申請(qǐng)服務(wù),如果目標(biāo)主機(jī)有應(yīng)答就說(shuō)明開(kāi)放了這些端口的服務(wù)。其次使用一些公開(kāi)的工具軟件如Internet安全掃描程序ISS、網(wǎng)絡(luò)安全分析工具SATAN等來(lái)對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描,尋求系統(tǒng)的安全漏洞,獲取攻擊目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)。(3)實(shí)施攻擊在獲得了目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)以后,黑客一般會(huì)實(shí)施以下的攻擊:試圖毀掉入侵的痕跡,并在受到攻擊的目標(biāo)系統(tǒng)中建立新的安全漏洞或后門,以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)以后能繼續(xù)訪問(wèn)該系統(tǒng);在目標(biāo)系統(tǒng)安裝探測(cè)器軟件,進(jìn)一步發(fā)現(xiàn)目標(biāo)系統(tǒng)的信任等級(jí),以展開(kāi)對(duì)整個(gè)系統(tǒng)的攻擊;如果黑客在被攻擊的目標(biāo)系統(tǒng)上獲得了特許訪問(wèn)權(quán),那么他就可以讀取郵件,搜索和盜取私人文件,毀壞重要數(shù)據(jù)以至破壞整個(gè)網(wǎng)絡(luò)系統(tǒng),那么后果將不堪設(shè)想。黑客攻擊通常采用以下幾種典型的攻擊方式:密碼破解、IP欺騙(Spoofing)與嗅探(Sniffing),系統(tǒng)漏洞,端口掃描。

二、網(wǎng)絡(luò)安全的控制策略分析

安全控制策略需要考慮到來(lái)自網(wǎng)絡(luò)內(nèi)部和外部?jī)煞矫娴囊蛩?包括制訂完善的企業(yè)級(jí)安全策略、應(yīng)用級(jí)安全策略、系統(tǒng)級(jí)安全策略以及網(wǎng)絡(luò)級(jí)安全策略。(1)企業(yè)級(jí)安全控制。安全策略必須建立在精心進(jìn)行的安全分析、風(fēng)險(xiǎn)評(píng)估以及商業(yè)需求分析基礎(chǔ)之上。(2)應(yīng)用級(jí)安全控制。應(yīng)用級(jí)安全策略是對(duì)企業(yè)內(nèi)部應(yīng)用平臺(tái)的安全控制,保護(hù)合法用戶對(duì)數(shù)據(jù)的合法存取。(3)系統(tǒng)級(jí)安全控制。由于主機(jī)上采用的UNIX操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng),都具有訪問(wèn)權(quán)限的控制,因此有很高的安全性。目前,在UNIX上發(fā)現(xiàn)的大多數(shù)問(wèn)題,都?xì)w因于一些編程漏洞及管理不善,如果每個(gè)網(wǎng)絡(luò)及系統(tǒng)管理員都能注意以下幾點(diǎn),就可在現(xiàn)有條件下,將系統(tǒng)安全風(fēng)險(xiǎn)降至最低。(4)網(wǎng)絡(luò)級(jí)安全控制。網(wǎng)絡(luò)安全性通過(guò)網(wǎng)絡(luò)軟件和協(xié)議來(lái)控制對(duì)網(wǎng)絡(luò)的訪問(wèn)。Intranet采用TCP/IP協(xié)議作為其標(biāo)準(zhǔn)通信協(xié)議,而該協(xié)議本身的安全性控制是很弱的。因此本系統(tǒng)應(yīng)該采取下列幾方面技術(shù)進(jìn)行網(wǎng)絡(luò)安全的控制。

三、網(wǎng)絡(luò)安全方案設(shè)計(jì)

通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的全面了解,按照網(wǎng)絡(luò)風(fēng)險(xiǎn)分析結(jié)果、安全策略的要求、安全目標(biāo)及整個(gè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則,整個(gè)網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)整體建立。具體的安全控制系統(tǒng)由以下幾個(gè)方面組成。

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理;線路是否有冗余;路由是否冗余,防止單點(diǎn)失敗等。工行網(wǎng)絡(luò)在設(shè)計(jì)時(shí),比較好的考慮了這些因素,可以說(shuō)網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略:盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件(如UNIX下:/.host、etC/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用權(quán)限進(jìn)行嚴(yán)格限制等等方法。訪問(wèn)控制可以通過(guò)如下幾個(gè)方面來(lái)實(shí)現(xiàn),比如制定嚴(yán)格的管理制度,配備相應(yīng)的安全設(shè)備,通過(guò)交換機(jī)劃分VLAN,使用應(yīng)用代理。數(shù)據(jù)的機(jī)密性與完整性,主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息,經(jīng)過(guò)配備加密設(shè)備,使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式,而不是明文?？梢赃x擇以下幾種方式:鏈路層加密,網(wǎng)絡(luò)層加密,入侵檢測(cè)等。數(shù)據(jù)保護(hù)所包含的內(nèi)容比較廣,除了前面講過(guò)的通信保密和訪問(wèn)控制外,還包括以下幾個(gè)方面:制定明確的數(shù)據(jù)保護(hù)策略和管理制度保護(hù)策略和管理制度有:《系統(tǒng)信息安全保密等級(jí)劃分及保護(hù)規(guī)范》、《數(shù)據(jù)安全管理辦法》、《上網(wǎng)數(shù)據(jù)的審批規(guī)定》。安全審計(jì)主要通過(guò)如下幾方面實(shí)現(xiàn):制訂審計(jì)策略和管理制度,制度有:《審計(jì)制度》;安全設(shè)備:網(wǎng)絡(luò)監(jiān)視系統(tǒng)等方法。防病毒措施主要包括技術(shù)和管理方面,技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng),以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件,將病毒在本地清除而不致于擴(kuò)散到其他主機(jī)或服務(wù)器。備份恢復(fù),對(duì)重要設(shè)備進(jìn)行設(shè)備備份。數(shù)據(jù)備份則主要通過(guò)磁盤、磁帶、光盤等介質(zhì)來(lái)進(jìn)行。

四、結(jié)語(yǔ)

本文以中小型企業(yè)網(wǎng)絡(luò)建設(shè)和安全防范的實(shí)例為基礎(chǔ),分析了網(wǎng)絡(luò)不同層次和不同系統(tǒng)中當(dāng)前網(wǎng)絡(luò)存在隱患和威脅,如病毒、網(wǎng)絡(luò)入侵及其他人為因素帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題,設(shè)計(jì)了相應(yīng)的防范對(duì)策。

參考文獻(xiàn):

[1]陳兵、王立松,網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究,計(jì)算機(jī)工程與應(yīng)用,2002.7:138～140.

[2]李靜,計(jì)算機(jī)網(wǎng)絡(luò)安全與防范措施,湖南省政法管理干部學(xué)院學(xué)報(bào),2002.2.18(1):87～89.

作者簡(jiǎn)介:

梅棟(1987-),男,漢族,江蘇人,湖北孝感學(xué)院電子信息科學(xué)與技術(shù)專業(yè),本科在讀。