摘要：企業(yè)內(nèi)部網(wǎng)因工作性質(zhì)的原因，網(wǎng)絡(luò)安全尤為重要，而威脅網(wǎng)絡(luò)安全的一個重要安全隱患，是網(wǎng)絡(luò)安全漏洞，其對企業(yè)內(nèi)部網(wǎng)具有潛在的威脅，采取強有力的安全防護(hù)措施，是十分重要的。

關(guān)鍵詞：網(wǎng)絡(luò)安全漏洞危害防范措施

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X(2012)03(c)-0000-00

目前針對計算機網(wǎng)絡(luò)的安全事件層出不窮，針對重要信息資源的入侵行為在持續(xù)不斷增加，重要信息、資料與數(shù)據(jù)被竊取，安全事件對各行各業(yè)造成了極大的威脅和帶來重大損失。造成入侵者有機可乘的一個重要原因是網(wǎng)絡(luò)安全漏洞，因計算機網(wǎng)絡(luò)系統(tǒng)的脆弱性，為計算機網(wǎng)絡(luò)安全漏洞提供了客觀條件。

企業(yè)內(nèi)部網(wǎng)雖然局限于企業(yè)內(nèi)部，但因企業(yè)內(nèi)部網(wǎng)的工作性質(zhì)、地理環(huán)境及跨地區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)，使得利用網(wǎng)絡(luò)信息技術(shù)進(jìn)行工作的同時，網(wǎng)絡(luò)安全漏洞時刻威脅著企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全和信息安全。因此對網(wǎng)絡(luò)安全漏洞的了解及安全防范措施很有必要。

1 網(wǎng)絡(luò)安全漏洞的定義

由于人們經(jīng)常使用的各種計算機軟件、應(yīng)用系統(tǒng)及相關(guān)硬件沒有徹底進(jìn)行完善，能夠被他人利用來干非法的事，且和安全相關(guān)的缺陷。這個缺陷可以是設(shè)計上的和程序代碼實現(xiàn)上的問題。而問題在沒有得到解決之前，使某些懷有企圖的人，使用某種方法侵入電腦和網(wǎng)絡(luò)系統(tǒng)，這就是漏洞。

另一方面，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷，從而可以使入侵者能夠在未經(jīng)系統(tǒng)的許可者授權(quán)的情況下訪問或破壞系統(tǒng)。如I E瀏覽器的ActiveX控件被執(zhí)行后門程序，Microsoft Office編程中的內(nèi)存錯誤等都可能被入侵者使用，入侵者利用這些錯誤來運行自己的代碼以達(dá)到完全控制設(shè)備、操作系統(tǒng)等目的，從而威脅到系統(tǒng)的安全。

2 企業(yè)內(nèi)部網(wǎng)中主要的安全漏洞和危害

企業(yè)內(nèi)部網(wǎng)因為網(wǎng)絡(luò)具有的共性，企業(yè)內(nèi)部網(wǎng)中軟件、硬件和外界的直接的、間接的聯(lián)系，使企業(yè)內(nèi)部網(wǎng)中主要存在的網(wǎng)絡(luò)安全漏洞有：應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)服務(wù)、通信協(xié)議等方面的安全漏洞。

如SMB漏洞：入侵者利用此以包含有漏洞代碼內(nèi)核的權(quán)限執(zhí)行任意代碼。

RPC服務(wù)漏洞：入侵者以通過發(fā)送惡意的RPC請求，入侵用戶系統(tǒng)，以系統(tǒng)權(quán)限執(zhí)行任意指令。

SMTP漏洞：入侵者利用此以系統(tǒng)進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令。

SNMP服務(wù)漏洞：入侵者通過SNMP獲取系統(tǒng)信息，修改系統(tǒng)文件或執(zhí)行系統(tǒng)命令。

FTP后門漏洞：入侵者用空用戶名，空密碼登錄，獲得root權(quán)限，對主機造成威脅。

3 網(wǎng)絡(luò)安全漏洞防范措施

為保障企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全。采取下列有力措施：

3.1 訪問控制

訪問控制是網(wǎng)絡(luò)安全防范的主要策略，是保證網(wǎng)絡(luò)信息不被非法使用和非法訪問，是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的重要手段：

(1)通過入網(wǎng)訪問控制策略實現(xiàn)第一層防護(hù)措施，即入網(wǎng)用戶通過用戶對本地及應(yīng)用程序的登錄和訪問進(jìn)行用戶賬戶身份的識別與驗證、用戶口令的識別與驗證，用戶口令為加密的有效長度，而且以數(shù)字、字母和其它字符的混合組成，驗證合法，才能登錄成功。以技術(shù)手段度解決用戶空口令。

(2)控制和限制普通用戶的訪問權(quán)限，控制普通用戶可訪問哪些資源、哪些目錄和文件。對應(yīng)用系統(tǒng)目錄級的安全屬性：write、modify、erase、access control、create等權(quán)限加以控制。

(3)利用交換機做訪問控制，劃分區(qū)域，限制端口。

(4)關(guān)閉Wireless Zero Configuration、FTP、Telnet等不必要的服務(wù)與端口。

(5)禁止共享策略、刪除不必要的協(xié)議、修改、重命名Administrator帳戶。

3.2 數(shù)據(jù)加密

(1)數(shù)據(jù)傳輸加密，應(yīng)用現(xiàn)在加密技術(shù)，信息在發(fā)送端自動加密，進(jìn)入數(shù)據(jù)包回封，成為不可識別和不可讀的數(shù)據(jù)，信息到達(dá)目的地，數(shù)據(jù)自動重組、解密，成為可讀的有效數(shù)據(jù)。

(2)數(shù)據(jù)存儲加密，數(shù)據(jù)庫將原始數(shù)據(jù)以明文形式存儲于數(shù)據(jù)庫中對存儲數(shù)據(jù)進(jìn)行加密處理、實現(xiàn)加密保護(hù)，非法的用戶，無法解讀加密數(shù)據(jù)。

3.3 系統(tǒng)補丁

及時安裝和更新系統(tǒng)補丁和數(shù)據(jù)庫補丁，各種新漏洞不斷出現(xiàn)，及時安裝補丁，增強系統(tǒng)的安全性，保證系統(tǒng)的穩(wěn)定性。

4 防護(hù)

4.1 防火墻

應(yīng)用防火墻限制權(quán)限，設(shè)置訪問策略，禁止非法用戶訪問。

4.2 入侵檢測

應(yīng)用入侵檢測系統(tǒng)，對網(wǎng)絡(luò)中出現(xiàn)的異常事件和攻擊行為的進(jìn)行檢測。

防火墻的安全保護(hù)是屬于靜態(tài)安全防護(hù)，其功能及作用范圍也是有限的，不可能做到全面的防護(hù)。入侵檢測技術(shù)與防火墻的互補。對存在、存放重要信息的網(wǎng)絡(luò)，配備入侵檢測系統(tǒng)，通過實時監(jiān)測進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，一旦發(fā)現(xiàn)不安全的訪問行為，依據(jù)策略采取相應(yīng)的處理手段（阻斷、報警等）。

5 病毒防護(hù)軟件

安裝病毒防護(hù)軟件，監(jiān)控、查殺企業(yè)網(wǎng)中的病毒，及時更新病毒庫。

采取了有效的安全防范措施，消除網(wǎng)絡(luò)安全隱患，才能保障證企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全和信息安全。

參考文獻(xiàn)

[1] 宋西軍.計算機網(wǎng)絡(luò)安全技術(shù).北京大學(xué)出版社.2009，9，7.

[2] 葛秀惠.計算機網(wǎng)絡(luò)安全管理（第2版）.清華大學(xué)出版社.2008，5，12.

[3] 賀思佳，申浩如.計算機網(wǎng)絡(luò)安全與應(yīng)用.科學(xué)出版社.2007，8，1.

[4] 張兆信，等.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù).機械工業(yè)出版社.2010，5，1.

[5] 蔡毅，周繼軍.windows漏洞攻擊與安全防范/計算機與網(wǎng)絡(luò)安全實用叢書.北京大學(xué)出版社.2006.

郵寄地址：甘肅省蘭州市南昌路197號（510所家屬院3號樓）

張莉娟 收

電話：13893672608