摘 要：本文針對大多數(shù)企業(yè)信息系統(tǒng)中存在的漏洞進行了分析，并明確指出有些漏洞我們是沒有辦法避免的，只能盡最大努力去消除這些影響。但是對企業(yè)信息系統(tǒng)中存在的操作系統(tǒng)，系統(tǒng)用戶權(quán)限以及文件權(quán)限的方面的漏洞等，還是可以盡量去避免的。文章最后，指出進行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。

關(guān)鍵詞：企業(yè)網(wǎng)；信息系統(tǒng)；網(wǎng)絡(luò)安全；硬件問題；用戶權(quán)限；文件權(quán)限

中圖分類號：TP393.08

目前，大多數(shù)企業(yè)都采用計算機管理的方式對企業(yè)中的信息及相關(guān)技術(shù)進行管理。這些信息中有些涉及到企業(yè)的商業(yè)機密或者是核心技術(shù)，對企業(yè)來講很是關(guān)鍵，所以這些信息的安全性在一定程度上對企業(yè)的生存有著決定性的作用，這樣就難免會吸引來自互聯(lián)網(wǎng)各種網(wǎng)絡(luò)黑客的人為攻擊（例如，信息竊取、信息泄漏、數(shù)據(jù)刪除和篡改、計算機病毒等）。

企業(yè)網(wǎng)的信息系統(tǒng)的漏洞總的來說有兩種，一種是來自硬件，一種來自軟件。來自硬件的漏洞是屬于先天性的不足，這個很難去彌補，有些是計算機本身存在的問題，如計算機電磁泄漏等等，還有的計算機的外部設(shè)備是最容易造成信息泄漏或被竊取的地方，是一種很嚴重的信息泄漏途徑。另外計算機的硬件故障也會對信息造成毀滅性的打擊，信息會因此造成永久性的丟失，通過上面的分析可以知道，硬件的故障有時候是沒有辦法避免的。這是計算機存儲及傳輸固有的缺陷，所幸的是硬件故障在硬件的生命周期內(nèi)極少發(fā)生。

從軟件方面來說主要有以下幾個方面的問題：

一是操作系統(tǒng)的問題，我們都知道，任何一個企業(yè)的網(wǎng)站都是依賴于計算機的操作系統(tǒng)而存在的，所以一旦操作系統(tǒng)出了問題企業(yè)的信息也就處于不安全的境地。而恰恰操作系統(tǒng)有不少問題，特別是windows操作系統(tǒng)，曾暴出不少漏洞。所以說企業(yè)網(wǎng)的生存基礎(chǔ)就是有問題的，當然大家也沒有必要去過份擔心這個問題，只要我們正常安裝殺毒軟件，及時更新系統(tǒng)補丁，操作系統(tǒng)還是值得信賴的。

二是系統(tǒng)的權(quán)限問題。一個企業(yè)網(wǎng)對應(yīng)的用戶群往往是多方面的，不同的用戶對應(yīng)著不同的權(quán)限。在企業(yè)內(nèi)部中往往采用的是基于角色的用戶的權(quán)限分配，即將用戶群分成不同的角色，然后對各種角色分配不同的權(quán)限。實際上一個企業(yè)網(wǎng)特別是企業(yè)內(nèi)部網(wǎng)，設(shè)計的一個重點就是用戶權(quán)限，一旦權(quán)限出了問題，往往信息就會產(chǎn)生不對位流出，這樣就對信息的安全產(chǎn)生很大的影響。其實這還不是系統(tǒng)權(quán)限對信息安全產(chǎn)生最大威協(xié)，其最大威協(xié)是如果攻擊者在已有一個本地賬號能夠登錄到系統(tǒng)的情況下，通過系統(tǒng)本身的缺陷，得到系統(tǒng)管理員的權(quán)限，那么他就有可能利用這個權(quán)限和這臺機器去控制企業(yè)網(wǎng)內(nèi)部的一些機器，這將帶來災(zāi)難性的后果。

三是文件的權(quán)限問題。在一個企業(yè)網(wǎng)內(nèi)部，有些文件可能全部的人都可以讀取，但是只有一部分可以寫，這就是文件的權(quán)限。但是如果管理員對某些文件權(quán)限設(shè)置不正確，可能會分配一些只對文件有讀權(quán)限的人寫的權(quán)限，這樣做本身沒有多少危險性，但是如果那些本該只能讀的卻具有寫的權(quán)限的人有別的想法，這就是非常危險的了。另外攻擊者也可以不經(jīng)授權(quán)地從遠程存取系統(tǒng)的某些文件。這類漏洞主要是由一些有缺陷的cgi程序引起的，它們對用戶輸入沒有做適當?shù)暮戏ㄐ詸z查，使攻擊者通過構(gòu)造特別的輸入獲得對文件存取。如Windows IE存在諸多漏洞允許惡意的web頁面讀取瀏覽用戶的本地的文件。這樣的話攻擊者就有可能獲得一些重要信息，從而對企業(yè)造成一定的威脅。

四是密碼丟失問題。目前密碼丟失的問題也是企業(yè)網(wǎng)站的一個重要的信息泄露途徑，密碼丟失主要有密碼是弱口令，很容易通過暴力破解就得到密碼，還有一種情況就是密碼保護不當，被非法獲取。在互聯(lián)網(wǎng)上如果密碼丟失的話那危險性就大大增加了。

針對企業(yè)網(wǎng)中存在的這些問題，我們應(yīng)該怎么樣去解決呢？也就是怎么樣才能讓企業(yè)網(wǎng)中的信息更加安全呢。對于硬件中存在的缺陷問題，基本上是無解的，只能保證網(wǎng)絡(luò)設(shè)備少出故障，對電磁輻射及存儲丟失的問題，只能寄希望于少出這類的情況。但是對硬件系統(tǒng)故障以及由硬件系統(tǒng)故障造成的企業(yè)網(wǎng)信息的丟失這種風險我們要降到最低，目前在網(wǎng)絡(luò)中比較流行做法是容災(zāi)設(shè)計。所謂的容災(zāi)設(shè)計主要是在無法避免的災(zāi)難出現(xiàn)后，我們怎么設(shè)計網(wǎng)絡(luò)系統(tǒng)，讓這種損失最小或沒有損失。對硬件來說主要采取冗余線路及電源UPS，冗余線路可以保證在網(wǎng)絡(luò)中出現(xiàn)故障的時候不至于網(wǎng)絡(luò)系統(tǒng)停止運行，系統(tǒng)會自動啟用冗余的線路進行工作。而對計算機本身的故障來說，也是采取冗余磁盤的方法來進行容錯的，如磁盤陣列等，這樣雖然磁盤的利用率低了些，但是對內(nèi)容的保護起到很重要作用。對重要的數(shù)據(jù)一定要采取這種實時備份的方式進行，否則一旦丟失將很難實現(xiàn)數(shù)據(jù)的恢復。電源UPS的主要功能是防止，實然斷電而造成的信息系統(tǒng)停止，從而造成網(wǎng)絡(luò)數(shù)據(jù)的丟失。

系統(tǒng)權(quán)限問題的解決辦法，就是在系統(tǒng)設(shè)置的時候嚴格化分角色，將不同需求的人員進行分類，對于一些有特殊要求的人可以單獨化分一個群組，而不要進行交叉分配權(quán)限。通過系統(tǒng)的設(shè)置將系統(tǒng)權(quán)限分配的危險程度降到最低。

對于文件權(quán)限的問題，同樣可以將企業(yè)內(nèi)部網(wǎng)絡(luò)化分不同的工作組，對不同的工作組給予不同的文件權(quán)限。嚴格限制文件的讀寫，對只能讀的文件絕對不能給寫的功能，當然這樣做還得有一個前提條件，那就是操作系統(tǒng)的安全問題，如果操作系統(tǒng)的安全出了問題，所有的這一切也都是徒勞。密碼的丟失主要還是一個安全意識的問題，如果密碼設(shè)置太簡單，很容易就會被別有用心的人給破解掉，如果設(shè)置的很復雜，每次輸入的時候就會麻煩。特別是一些人有不太好的習慣就是設(shè)置自動登陸。這樣雖然每次省去了輸入的麻煩，但是也帶了不小的危險。其實對于大多數(shù)密碼出現(xiàn)的問題倒不是密碼被破解，而是密碼被偷竊，通過一些軟件（比如鍵盤記錄等）來將輸入的密碼外傳，這樣的話就可以利用輸入的用戶來做一些非法的事情了。

實現(xiàn)企業(yè)網(wǎng)的信息系統(tǒng)安全，還有一個重要的措施就是安裝硬件的防護。就目前的網(wǎng)絡(luò)環(huán)境來說，受到網(wǎng)絡(luò)攻擊是很正常的現(xiàn)象，大部分的攻擊是被網(wǎng)絡(luò)中的防護措施給阻攔。如果是個人電腦，我們只要安裝相應(yīng)的軟件殺毒軟件和軟件防火墻就可以了。對于安全要求更高的企業(yè)網(wǎng)信息系統(tǒng)來說，硬件的保護更能起到保護作用。目前，網(wǎng)絡(luò)中的安全保護硬件系統(tǒng)主要有兩種，一種就是入侵檢測系統(tǒng)，還有一種就是防火墻。對于入檢測系統(tǒng)來說，它的核心功能是對事件進行分析，并從中發(fā)現(xiàn)不符合安全策略的行為，同時它可以對一些特定的行為進行報警。而防火墻主要功能就是防止外網(wǎng)的非法入侵，對企業(yè)網(wǎng)內(nèi)部的攻擊沒有多大效果。防火墻可以設(shè)置特定的數(shù)據(jù)信息屏蔽，可以將一些敏感的數(shù)據(jù)阻止在企業(yè)內(nèi)網(wǎng)以外，對內(nèi)網(wǎng)起到保護作用。

認清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。同時，計算機網(wǎng)絡(luò)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免的存在一些漏洞，因此，進行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。

參考文獻：

[1]東鳥.2020，世界網(wǎng)絡(luò)大戰(zhàn)[M].長沙：湖南人民出版社，2012.

[2]王逸舟.國家利益再思考[J].中國社會科學，2002（02）.

[3]王健.計算機網(wǎng)絡(luò)的安全技術(shù)[J].寧夏機械，2011.

[4]楊戈.中小企業(yè)計算機網(wǎng)絡(luò)安全與防護措施[J].信息安全與技術(shù)，2011.

[5]趙鶴芹.設(shè)計動態(tài)網(wǎng)站的最佳方案Apache+PHP+MySQL[J].計算機工程與設(shè)計，2007.

作者簡介：馬博琴（1979-），女，山西永濟人，本科，研究方向：計算機網(wǎng)絡(luò)安全。

作者單位：納愛斯正定有限公司，石家莊 050800