摘要：企業(yè)內(nèi)部網(wǎng)因工作性質(zhì)的原因，網(wǎng)絡安全尤為重要，而威脅網(wǎng)絡安全的一個重要安全隱患，是網(wǎng)絡安全漏洞，其對企業(yè)內(nèi)部網(wǎng)具有潛在的威脅，采取強有力的安全防護措施，是十分重要的。

關鍵詞：網(wǎng)絡安全漏洞危害防范措施

中圖分類號：TP393.08文獻標識碼：A 文章編號：1674-098X(2012)03(c)-0000-00

目前針對計算機網(wǎng)絡的安全事件層出不窮，針對重要信息資源的入侵行為在持續(xù)不斷增加，重要信息、資料與數(shù)據(jù)被竊取，安全事件對各行各業(yè)造成了極大的威脅和帶來重大損失。造成入侵者有機可乘的一個重要原因是網(wǎng)絡安全漏洞，因計算機網(wǎng)絡系統(tǒng)的脆弱性，為計算機網(wǎng)絡安全漏洞提供了客觀條件。

企業(yè)內(nèi)部網(wǎng)雖然局限于企業(yè)內(nèi)部，但因企業(yè)內(nèi)部網(wǎng)的工作性質(zhì)、地理環(huán)境及跨地區(qū)的網(wǎng)絡結構，使得利用網(wǎng)絡信息技術進行工作的同時，網(wǎng)絡安全漏洞時刻威脅著企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡安全和信息安全。因此對網(wǎng)絡安全漏洞的了解及安全防范措施很有必要。

1 網(wǎng)絡安全漏洞的定義

由于人們經(jīng)常使用的各種計算機軟件、應用系統(tǒng)及相關硬件沒有徹底進行完善，能夠被他人利用來干非法的事，且和安全相關的缺陷。這個缺陷可以是設計上的和程序代碼實現(xiàn)上的問題。而問題在沒有得到解決之前，使某些懷有企圖的人，使用某種方法侵入電腦和網(wǎng)絡系統(tǒng)，這就是漏洞。

另一方面，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷，從而可以使入侵者能夠在未經(jīng)系統(tǒng)的許可者授權的情況下訪問或破壞系統(tǒng)。如I E瀏覽器的ActiveX控件被執(zhí)行后門程序，Microsoft Office編程中的內(nèi)存錯誤等都可能被入侵者使用，入侵者利用這些錯誤來運行自己的代碼以達到完全控制設備、操作系統(tǒng)等目的，從而威脅到系統(tǒng)的安全。

2 企業(yè)內(nèi)部網(wǎng)中主要的安全漏洞和危害

企業(yè)內(nèi)部網(wǎng)因為網(wǎng)絡具有的共性，企業(yè)內(nèi)部網(wǎng)中軟件、硬件和外界的直接的、間接的聯(lián)系，使企業(yè)內(nèi)部網(wǎng)中主要存在的網(wǎng)絡安全漏洞有：應用軟件、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡服務、通信協(xié)議等方面的安全漏洞。

如SMB漏洞：入侵者利用此以包含有漏洞代碼內(nèi)核的權限執(zhí)行任意代碼。

RPC服務漏洞：入侵者以通過發(fā)送惡意的RPC請求，入侵用戶系統(tǒng)，以系統(tǒng)權限執(zhí)行任意指令。

SMTP漏洞：入侵者利用此以系統(tǒng)進程權限在系統(tǒng)上執(zhí)行任意指令。

SNMP服務漏洞：入侵者通過SNMP獲取系統(tǒng)信息，修改系統(tǒng)文件或執(zhí)行系統(tǒng)命令。

FTP后門漏洞：入侵者用空用戶名，空密碼登錄，獲得root權限，對主機造成威脅。

3 網(wǎng)絡安全漏洞防范措施

為保障企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡安全。采取下列有力措施：

3.1 訪問控制

訪問控制是網(wǎng)絡安全防范的主要策略，是保證網(wǎng)絡信息不被非法使用和非法訪問，是維護網(wǎng)絡系統(tǒng)安全的重要手段：

(1)通過入網(wǎng)訪問控制策略實現(xiàn)第一層防護措施，即入網(wǎng)用戶通過用戶對本地及應用程序的登錄和訪問進行用戶賬戶身份的識別與驗證、用戶口令的識別與驗證，用戶口令為加密的有效長度，而且以數(shù)字、字母和其它字符的混合組成，驗證合法，才能登錄成功。以技術手段度解決用戶空口令。

(2)控制和限制普通用戶的訪問權限，控制普通用戶可訪問哪些資源、哪些目錄和文件。對應用系統(tǒng)目錄級的安全屬性：write、modify、erase、access control、create等權限加以控制。

(3)利用交換機做訪問控制，劃分區(qū)域，限制端口。

(4)關閉Wireless Zero Configuration、FTP、Telnet等不必要的服務與端口。

(5)禁止共享策略、刪除不必要的協(xié)議、修改、重命名Administrator帳戶。

3.2 數(shù)據(jù)加密

(1)數(shù)據(jù)傳輸加密，應用現(xiàn)在加密技術，信息在發(fā)送端自動加密，進入數(shù)據(jù)包回封，成為不可識別和不可讀的數(shù)據(jù)，信息到達目的地，數(shù)據(jù)自動重組、解密，成為可讀的有效數(shù)據(jù)。

(2)數(shù)據(jù)存儲加密，數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲于數(shù)據(jù)庫中對存儲數(shù)據(jù)進行加密處理、實現(xiàn)加密保護，非法的用戶，無法解讀加密數(shù)據(jù)。

3.3 系統(tǒng)補丁

及時安裝和更新系統(tǒng)補丁和數(shù)據(jù)庫補丁，各種新漏洞不斷出現(xiàn)，及時安裝補丁，增強系統(tǒng)的安全性，保證系統(tǒng)的穩(wěn)定性。

4 防護

4.1 防火墻

應用防火墻限制權限，設置訪問策略，禁止非法用戶訪問。

4.2 入侵檢測

應用入侵檢測系統(tǒng)，對網(wǎng)絡中出現(xiàn)的異常事件和攻擊行為的進行檢測。

防火墻的安全保護是屬于靜態(tài)安全防護，其功能及作用范圍也是有限的，不可能做到全面的防護。入侵檢測技術與防火墻的互補。對存在、存放重要信息的網(wǎng)絡，配備入侵檢測系統(tǒng)，通過實時監(jiān)測進出網(wǎng)絡的數(shù)據(jù)流，一旦發(fā)現(xiàn)不安全的訪問行為，依據(jù)策略采取相應的處理手段（阻斷、報警等）。

5 病毒防護軟件

安裝病毒防護軟件，監(jiān)控、查殺企業(yè)網(wǎng)中的病毒，及時更新病毒庫。

采取了有效的安全防范措施，消除網(wǎng)絡安全隱患，才能保障證企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡安全和信息安全。

參考文獻

[1] 宋西軍.計算機網(wǎng)絡安全技術.北京大學出版社.2009，9，7.

[2] 葛秀惠.計算機網(wǎng)絡安全管理（第2版）.清華大學出版社.2008，5，12.

[3] 賀思佳，申浩如.計算機網(wǎng)絡安全與應用.科學出版社.2007，8，1.

[4] 張兆信，等.計算機網(wǎng)絡安全與應用技術.機械工業(yè)出版社.2010，5，1.

[5] 蔡毅，周繼軍.windows漏洞攻擊與安全防范/計算機與網(wǎng)絡安全實用叢書.北京大學出版社.2006.

郵寄地址：甘肅省蘭州市南昌路197號（510所家屬院3號樓）

張莉娟 收

電話：13893672608