張君楓

【摘要】 針對(duì)企業(yè)網(wǎng)絡(luò)存在的問(wèn)題,進(jìn)行全面分析,得出企業(yè)網(wǎng)絡(luò)安全解決方案,對(duì)保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可控性等方面有著重要意義。

【關(guān)鍵詞】 網(wǎng)絡(luò)安全;黑客攻擊;病毒攻擊

一、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

大多數(shù)企業(yè)已將互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營(yíng)發(fā)展戰(zhàn)略中,但是真正實(shí)現(xiàn)網(wǎng)上采購(gòu)、網(wǎng)上銷售或機(jī)密數(shù)據(jù)傳遞的企業(yè)卻沒(méi)有幾個(gè),更多的企業(yè)只把網(wǎng)絡(luò)當(dāng)作信息發(fā)布和查詢系統(tǒng)。造成這種局面的原因是客觀存在的安全威脅:黑客入侵企業(yè)信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行盜竊、篡改等惡意行為;冒充他人進(jìn)行網(wǎng)上詐騙;非法訪問(wèn);數(shù)據(jù)在傳輸過(guò)程中被竊取或泄密;計(jì)算機(jī)病毒的干擾、破壞等。安全問(wèn)題直接威脅著企業(yè)信息網(wǎng)絡(luò)的建設(shè),成為企業(yè)信息化發(fā)展的障礙。綜合來(lái)看,目前企業(yè)網(wǎng)絡(luò)主要有以下幾種安全問(wèn)題:

1.物理安全

在企業(yè)建設(shè)中,由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程,耐壓值很低。在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中,人和網(wǎng)絡(luò)設(shè)備受電、火災(zāi)和雷擊的侵害;布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離太近;布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全性不夠;防雷系統(tǒng)的功能性不強(qiáng)等。

2.網(wǎng)絡(luò)安全

看似不大的內(nèi)部威脅往往是由于企業(yè)員工的錯(cuò)誤上網(wǎng)行為和對(duì)網(wǎng)絡(luò)資源濫用所引起的,主要體現(xiàn)在以下方面:(1)上網(wǎng)行為得不到管理,員工自由進(jìn)入不良網(wǎng)站或玩游戲;(2)使用BT等軟件,大量下載不加管理,引進(jìn)無(wú)數(shù)病毒使得網(wǎng)絡(luò)處于高危狀態(tài);(3)無(wú)法對(duì)網(wǎng)絡(luò)威脅進(jìn)行診斷,導(dǎo)致網(wǎng)絡(luò)長(zhǎng)時(shí)間滯緩甚至癱瘓;(4)企業(yè)管理者無(wú)法知曉網(wǎng)絡(luò)運(yùn)用狀況,決策時(shí)缺乏有效數(shù)據(jù)依據(jù)。

3.系統(tǒng)安全

企業(yè)操作系統(tǒng)存在安全問(wèn)題:一些企業(yè)不舍得花費(fèi)太多的金錢,采用安全性較低的網(wǎng)絡(luò)操作系統(tǒng),沒(méi)有進(jìn)行必要的安全配置,經(jīng)常開(kāi)啟一些存在安全隱患的應(yīng)用,對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件沒(méi)有使用權(quán)限。企業(yè)為了節(jié)約資金,使用盜版系統(tǒng)并不及時(shí)給系統(tǒng)打補(bǔ)丁,導(dǎo)致系統(tǒng)漏洞百出。

4.黑客攻擊

黑客對(duì)企業(yè)網(wǎng)絡(luò)的攻擊方式問(wèn)題是多種多樣的,企業(yè)中存在惡意代碼,使用IE瀏覽網(wǎng)頁(yè)時(shí),就會(huì)有受到網(wǎng)頁(yè)中惡意代碼的攻擊。為了節(jié)約資金,企業(yè)不安裝硬件防火墻,這樣不法分子很容易進(jìn)入企業(yè)的計(jì)算機(jī),造成資料、文件、企業(yè)機(jī)密泄露,甚至造成不可挽回的損失。

5.病毒攻擊

企業(yè)的防毒系統(tǒng)不完善。目前病毒不再限于傳統(tǒng)意義上的病毒,還包括蠕蟲、木馬等。很多蠕蟲不是基于文件傳播,防病毒軟件只能被動(dòng)去檢測(cè)。由于企業(yè)只注重利益關(guān)系,主機(jī)安全性能不完善,使蠕蟲得以傳播,這些蠕蟲通常會(huì)發(fā)起分布式的拒絕服務(wù)攻擊,造成網(wǎng)絡(luò)堵塞。

6.安全管理

企業(yè)內(nèi)部員工把企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令等重要信息傳播給外人,造成信息泄漏。機(jī)房重地任何人都可以來(lái)去自由,入侵者便有機(jī)會(huì)得逞。帶有不滿情緒的員利用服務(wù)器和系統(tǒng)的弱點(diǎn),開(kāi)些小玩笑,甚至搞破壞。這些都在威脅企業(yè)網(wǎng)絡(luò)的安全問(wèn)題。

二、企業(yè)網(wǎng)絡(luò)安全問(wèn)題分析

(1)可靠性。網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性?？煽啃允窍到y(tǒng)安全的基本要求之一,是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。

(2)可用性。網(wǎng)絡(luò)信息服務(wù)在需要時(shí),允許授權(quán)用戶或?qū)嶓w使用的特性,或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí),仍能為授權(quán)用戶提供有效服務(wù)的特性。

(3)保密性。防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w,信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎(chǔ)之上,保障網(wǎng)絡(luò)信息安全的重要手段。

(4)完整性。網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

(5)可控性。可控性是對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。

(6)不可抵賴性。也稱作不可否認(rèn)性,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中,所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。

三、企業(yè)網(wǎng)絡(luò)安全問(wèn)題解決方案

1.物理安全解決策略

(1)環(huán)境安全。機(jī)房與設(shè)施安全,環(huán)境與人員安全,預(yù)防其他自然災(zāi)害;(2)設(shè)備安全。主要考慮計(jì)算機(jī)設(shè)備的防盜、防毀、防電磁泄漏發(fā)射、抗電磁干擾及電源保護(hù)等;(3)介質(zhì)安全。包括媒體本身的防盜、防毀、防霉,以及防止數(shù)據(jù)被非法竊取、破壞或使用。

2.網(wǎng)絡(luò)隔離與訪問(wèn)控制解決策略

企業(yè)通過(guò)網(wǎng)絡(luò)隔離可以禁止網(wǎng)絡(luò)間的資源共享,防止一個(gè)網(wǎng)絡(luò)的信息泄露到另一個(gè)網(wǎng)絡(luò)中去,防止資金的流失,并達(dá)到安全保密的目的。用戶身份識(shí)別及其訪問(wèn)權(quán)限控制是業(yè)務(wù)的核心,必須對(duì)其實(shí)行有效的管理。電子商務(wù)企業(yè)采用更為自動(dòng)化且更為安全的身份識(shí)別與訪問(wèn)管理解決策略。

3.網(wǎng)絡(luò)系統(tǒng)安全解決策略

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全包括網(wǎng)絡(luò)操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。對(duì)于網(wǎng)絡(luò)操作系統(tǒng)的安全防范盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng),并進(jìn)行必要的安全配置,如關(guān)閉一些并不常用卻存在安全隱患的應(yīng)用、服務(wù)及端口。對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制;加強(qiáng)口令字的使用(增加口令復(fù)雜程度、不使用容易猜測(cè)的信息作口令),并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)。

在應(yīng)用系統(tǒng)安全上,應(yīng)用服務(wù)器盡量不要開(kāi)放一些沒(méi)有經(jīng)常用的協(xié)議及協(xié)議端口號(hào)。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng),可以關(guān)閉服務(wù)器上如HTTP;FTP等服務(wù)。還有就是加強(qiáng)登錄身份認(rèn)證,確保用戶使用的合法性;并嚴(yán)格限制登錄者的操作權(quán)限,將其操作限制在最小的范圍內(nèi)。

4.智能防火墻解決策略

智能防火墻針對(duì)不同安全需求動(dòng)態(tài)設(shè)置自適應(yīng)檢測(cè)系統(tǒng),為電子商務(wù)企業(yè)增加了主機(jī)自動(dòng)加固、故障自動(dòng)恢復(fù)等功能。該防火墻針對(duì)不同安全級(jí)別的外部入侵攻擊,由實(shí)時(shí)監(jiān)測(cè)系統(tǒng)記錄相應(yīng)的安全日志,動(dòng)態(tài)實(shí)施多級(jí)網(wǎng)絡(luò)安全防火墻策略進(jìn)行主機(jī)加固,并對(duì)最終導(dǎo)致的系統(tǒng)災(zāi)難動(dòng)態(tài)恢復(fù)。

5.網(wǎng)絡(luò)防病毒解決策略

企業(yè)網(wǎng)絡(luò)系統(tǒng)中,由于需要大量的網(wǎng)絡(luò)操作,網(wǎng)絡(luò)防病毒至關(guān)重要,可從以下幾個(gè)方面著手:(1)在工作站上安裝防病毒軟件。(2)郵件是重要的病毒來(lái)源,郵件服務(wù)器要安裝防病毒軟件。(3)文件服務(wù)器中存放企業(yè)重要的數(shù)據(jù)。在Internet服務(wù)器上安裝防病毒軟件是頭等重要的,上載和下載的文件不帶有病毒對(duì)網(wǎng)絡(luò)是非常重要的。

6.安全管理解決策略

(1)多人負(fù)責(zé)原則。每一項(xiàng)與安全有關(guān)的活動(dòng),都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的,忠誠(chéng)可靠,能勝任此項(xiàng)工作;應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項(xiàng)是與安全有關(guān)的活動(dòng):訪問(wèn)控制使用證件的發(fā)放與回收;信息處理系統(tǒng)使用的媒介發(fā)放與回收;處理保密信息;硬件和軟件的維護(hù);系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改等。

(2)任期有限原則。任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù),以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則,假制度,并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn),以使任期有限制度切實(shí)可行。

(3)職責(zé)分離原則。在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全相關(guān)的事情,除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮,下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開(kāi):計(jì)算機(jī)操作與計(jì)算機(jī)編程;機(jī)密資料的接收和傳送;安全管理和系統(tǒng)管理;應(yīng)用程序和系統(tǒng)程序的編制;計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。

(4)制訂應(yīng)急措施。組織應(yīng)急響應(yīng)小組,要求制訂系統(tǒng)在緊急情況下,如何盡快恢復(fù)的應(yīng)急措施,使損失減至最小。建立人員雇用和解聘制度,對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。

參考文獻(xiàn)

[1]于國(guó)華,丁國(guó)強(qiáng).企業(yè)網(wǎng)絡(luò)安全體系研究[J].福建電腦.2007(2):66～67