杜潤眾

中國電信秦皇島分公司，河北秦皇島 066004

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅

一般來說，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個方面：

1）計算機(jī)病毒的侵襲。計算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓；

2）黑客侵襲。黑客非法進(jìn)入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進(jìn)行非法活動；采用匿名用戶訪問進(jìn)行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等；

3）拒絕服務(wù)攻擊。例如“郵件炸彈”，使用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓；

4）通用網(wǎng)關(guān)接口（CGI）漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的，黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù)；

5）惡意代碼。惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡(luò)安全目標(biāo)

1）建立一套完整可行的網(wǎng)絡(luò)安全與管理策略，將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離；2）建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；3）對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；4）加強(qiáng)合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度,全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；5）加強(qiáng)對各種訪問的審計工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù)；6）提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。

3 安全方案設(shè)計原則

對企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：

1）綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全措施。即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2）需求、風(fēng)險、代價平衡的原則：對任一網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定必要。對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略，是比較經(jīng)濟(jì)的方法。

3）一致性原則：網(wǎng)絡(luò)安全問題貫穿整個網(wǎng)絡(luò)的生命周期，因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，要有效得多。

4）易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。

5）分步實施原則：由于網(wǎng)絡(luò)規(guī)模的擴(kuò)展及應(yīng)用的增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的，費用支出也較大。因此可以分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

6）多重保護(hù)原則：任何安全措施都不是絕對安全的，都可能被攻破。因此需要建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它保護(hù)仍可保護(hù)信息安全。

4 主要防范措施

1）依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機(jī)制和安全制度，加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)。

2）網(wǎng)絡(luò)病毒的防范。作為企業(yè)應(yīng)用網(wǎng)絡(luò)，同時需要基于服務(wù)器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品，通過全方位、多層次的防病毒系統(tǒng)的配置，使網(wǎng)絡(luò)免受病毒的侵襲。

3）配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制。利用防火墻執(zhí)行一種訪問控制尺度，將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4）采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為。利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達(dá)到限制這些活動，以保護(hù)系統(tǒng)的安全。最好采用混合入侵檢測，同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，構(gòu)架成一套完整立體的主動防御體系。

5）漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)安全問題，要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

6）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

7）利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序，長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

5 結(jié)論

網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅依靠殺毒軟件、防火墻、漏洞檢測等等硬件設(shè)備的防護(hù)，還要意識到計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個人機(jī)系統(tǒng)。建立一個好的計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)同時，也應(yīng)注重樹立人的計算機(jī)安全意識，才可能防微杜漸，把可能出現(xiàn)的損失降低到最低點，生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。