摘 要：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和信息化應(yīng)用的普及，使得局域網(wǎng)在企業(yè)得到了廣泛應(yīng)用，局域網(wǎng)安全問題將阻礙企業(yè)信息化發(fā)展的進(jìn)程。如何有效地管理網(wǎng)絡(luò)系統(tǒng)，提高系統(tǒng)的安全性，在保證數(shù)據(jù)及網(wǎng)絡(luò)系統(tǒng)安全的前提下，最大限度利用網(wǎng)絡(luò)資源進(jìn)行信息資源共享、數(shù)據(jù)傳輸，已是企業(yè)迫切需要解決的重要難題之一。本文主要針對(duì)國有企業(yè)局域網(wǎng)絡(luò)攻擊與安全分析，并提出有效的防范措施。

關(guān)鍵詞：國有企業(yè)；局域網(wǎng)；安全；防范

中圖分類號(hào)：TP393.08

保護(hù)信息系統(tǒng)的安全，要綜合考慮技術(shù)保護(hù)和管理保護(hù)兩種實(shí)現(xiàn)方式。技術(shù)保護(hù)方式是根據(jù)風(fēng)險(xiǎn)產(chǎn)生的技術(shù)特點(diǎn)和安全目標(biāo)的要求而采用相應(yīng)的安全機(jī)制、技術(shù)措施和專用設(shè)備。管理保護(hù)方式則根據(jù)有關(guān)法律法規(guī)和安全目標(biāo)的要求，針對(duì)信息系統(tǒng)的運(yùn)行、有關(guān)人員的行為和技術(shù)過程而制訂的相應(yīng)管理制度[1]。

1 國有企業(yè)局域網(wǎng)安全的總體目標(biāo)

確定網(wǎng)絡(luò)安全總體目標(biāo)，應(yīng)該滿足一定的要求：

1.1 機(jī)密性（Confidentiality）。保證機(jī)密信息不泄漏給非授權(quán)用戶或?qū)嶓w，也不能供其利用。對(duì)信息的訪問和利用，應(yīng)該遵循完整健壯的認(rèn)證授權(quán)機(jī)制。

1.2 完整性（Integrity）。保證數(shù)據(jù)的完整性和一致性，即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和不被丟失的特性。

1.3 可用性（Availability）。保證合法用戶或?qū)嶓w對(duì)信息和資源的使用不會(huì)被異常拒絕，允許按照需求使用。網(wǎng)絡(luò)環(huán)境下，拒絕服務(wù)攻擊、破環(huán)網(wǎng)絡(luò)設(shè)施和系統(tǒng)正常運(yùn)行的中斷等都屬于對(duì)可用性原則的破壞。

2 國有企業(yè)局域網(wǎng)絡(luò)攻擊及面臨的威脅分析

總的來說，國有企業(yè)面臨的安全威脅主要是兩個(gè)方面：（1）來自企業(yè)網(wǎng)絡(luò)內(nèi)部的誤操作和惡意攻擊。內(nèi)部網(wǎng)的人員往往有公司內(nèi)網(wǎng)局部系統(tǒng)的合法訪問或管理權(quán)限，所以他們的誤操作行為可能會(huì)給公司內(nèi)網(wǎng)帶來嚴(yán)重的危害；尤其是機(jī)要子網(wǎng)與普通子網(wǎng)的安全級(jí)別不同，可能導(dǎo)致竊聽、偽造信息的情況發(fā)生；同時(shí)源自公司內(nèi)網(wǎng)內(nèi)部的惡意網(wǎng)絡(luò)行為也可能導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)安全問題[2]；（2）來自企業(yè)網(wǎng)絡(luò)外不得惡意攻擊。接入Internet給外網(wǎng)帶來了工作和信息交換的便利，但同時(shí)也給外網(wǎng)帶來了很大的安全威脅。首先，Internet網(wǎng)絡(luò)上隨機(jī)的惡意漏洞掃描是無時(shí)不在的，而這些惡意的漏洞掃描往往是大規(guī)模網(wǎng)絡(luò)入侵、滲透和破壞行為的前兆。這也就是說，外網(wǎng)隨時(shí)都可能面臨著來自Internet網(wǎng)絡(luò)的惡意攻擊。其次，網(wǎng)絡(luò)病毒經(jīng)由Internet網(wǎng)絡(luò)可以迅速的感染外網(wǎng)，輕者造成網(wǎng)絡(luò)或系統(tǒng)資源的浪費(fèi)，嚴(yán)重的可能造成數(shù)據(jù)或系統(tǒng)的崩潰甚至局部網(wǎng)絡(luò)的完全癱瘓。

3 企業(yè)網(wǎng)絡(luò)安全性急需重視

企業(yè)已經(jīng)越來越依賴網(wǎng)絡(luò)以及企業(yè)內(nèi)部網(wǎng)絡(luò)來支持重要的工作流程，內(nèi)部網(wǎng)絡(luò)斷線所帶來的成本也急劇升高。當(dāng)這--N顯得迫在眉睫時(shí)，如何確保核心網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性就變得非常重要，即使一個(gè)企業(yè)的虛擬網(wǎng)絡(luò)或防火墻只是短暫的中斷，也都可能會(huì)中斷非常高額的交易，導(dǎo)致收入流失、客戶不滿意以及生產(chǎn)力的降低[3]。

盡管所有的企業(yè)都應(yīng)該對(duì)安全性加以關(guān)注，但其中一些更要注意。那些存儲(chǔ)有私密信息或?qū)Ｓ行畔ⅰ⒉⒁揽窟@些信息運(yùn)作的企業(yè)尤其需要一套強(qiáng)大而可靠的安全性解決方案，如政府機(jī)構(gòu)、金融機(jī)構(gòu)、保險(xiǎn)服務(wù)機(jī)構(gòu)、高科技開發(fā)商以及各類醫(yī)療機(jī)構(gòu)。通過一部中央控制臺(tái)來進(jìn)行配置和管理的安全性解決方案能夠?yàn)榇祟惼髽I(yè)提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對(duì)網(wǎng)絡(luò)的安全性進(jìn)行升級(jí)，從而適應(yīng)不斷變化的商務(wù)需求，并幫助企業(yè)對(duì)用戶訪問保持有效的控制。例如，IT管理員能夠根據(jù)最近發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊行為迅速調(diào)整網(wǎng)絡(luò)的安全性級(jí)別。此外，用戶很難在終端系統(tǒng)上屏蔽掉由一臺(tái)遠(yuǎn)程服務(wù)器控制的網(wǎng)絡(luò)安全特性。IT管理人員們將非常自信：一旦他們?cè)谡麄€(gè)網(wǎng)絡(luò)中配置了適當(dāng)?shù)陌踩砸?guī)則，不論是用戶還是系統(tǒng)的安全性都將得到保證，并且始終安全[4]。

而對(duì)于那些安全性要求較高的企業(yè)來說，基于軟件的解決方案（例如個(gè)人防火墻以及防病毒掃描程序等）都不夠強(qiáng)大，無法滿足用戶的要求。因?yàn)榧词挂粋€(gè)通過電子郵件傳送過來的惡意腳本程序，都能輕松將這些防護(hù)措施屏蔽掉，甚至是那些運(yùn)行在主機(jī)上的“友好”應(yīng)用都可能為避免驅(qū)動(dòng)程序的沖突而無意中關(guān)掉這些安全性防護(hù)軟件。一旦這些軟件系統(tǒng)失效，終端系統(tǒng)將非常容易受到攻擊。更為可怕的是，網(wǎng)絡(luò)中的其他部分也將處在攻擊威脅之下。

4 國有企業(yè)局域網(wǎng)絡(luò)攻擊與安全防范措施

4.1 安全防范要點(diǎn)。公司網(wǎng)絡(luò)目前從內(nèi)部至Internet并沒有做相關(guān)的安全措施，特別是核心區(qū)和互聯(lián)區(qū)存在很大安全隱患，黑客攻擊、信息丟失、服務(wù)被拒絕等，一旦發(fā)生任何攻擊，對(duì)公司網(wǎng)絡(luò)而言是致命性的，影響公司業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。針對(duì)公司網(wǎng)絡(luò)的結(jié)構(gòu)及特點(diǎn)確定以下幾個(gè)必須考慮的安全防范要點(diǎn)：（1）網(wǎng)絡(luò)安全隔離。為了各行業(yè)間、部門之間加強(qiáng)業(yè)務(wù)聯(lián)系以及信息化建設(shè)都需要網(wǎng)絡(luò)和網(wǎng)絡(luò)之間互聯(lián)，交流信息、信息共享等措施，給企事業(yè)單位的工作帶來極大的便利，同時(shí)給有意、無意的黑客或破壞者帶來了充分的施展空間。所以網(wǎng)絡(luò)之間進(jìn)行有效的安全隔離是必需的；（2）網(wǎng)絡(luò)監(jiān)控措施。網(wǎng)間隔離起邊緣區(qū)保護(hù)作用，無法防備內(nèi)部不滿者的攻擊行為。往往內(nèi)部來的攻擊比外部攻擊更具有致命性。在不影響網(wǎng)絡(luò)的正常運(yùn)行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制可以做到最大限度的網(wǎng)絡(luò)資源保護(hù)。從網(wǎng)絡(luò)監(jiān)控中得到統(tǒng)計(jì)信息來確定網(wǎng)絡(luò)安全規(guī)范及安全風(fēng)險(xiǎn)評(píng)估。網(wǎng)絡(luò)安全目標(biāo)為保證整個(gè)網(wǎng)絡(luò)的正常運(yùn)行；在受到黑客攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。保證信息數(shù)據(jù)的完整性和保密性：在網(wǎng)絡(luò)傳輸時(shí)數(shù)據(jù)不被修改和不被竊取。具有先進(jìn)的入侵檢測體系；正確確定安全策略及做科學(xué)的安全風(fēng)險(xiǎn)評(píng)估。保證網(wǎng)絡(luò)的穩(wěn)定性：安全措施不形成網(wǎng)絡(luò)的負(fù)擔(dān)，而且提供全天候滿意服務(wù)和應(yīng)用。

4.2 方案具體實(shí)施過程中包括：（1）防火墻使用方案。根據(jù)公司網(wǎng)絡(luò)整體安全考慮采用一臺(tái)瑞星防火墻安排在互聯(lián)區(qū)。其中WWW、數(shù)據(jù)庫、郵件、DNS等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問。防火墻的DMZ區(qū)訪問控制規(guī)則，只打開必需的服務(wù)HTTP、FTP、SMTP、POP3以及所需其他服務(wù)。防范外部來的拒絕服務(wù)攻擊。對(duì)辦公網(wǎng)用戶進(jìn)行流量控制，采用時(shí)間安全規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)間。防火墻設(shè)置IP地址MAC地址綁定，防止IP地址欺騙。定期查看防火墻訪問日志。嚴(yán)格控制防火墻的管理員的權(quán)限；（2）入侵檢測（IDS）系統(tǒng)方案。以太網(wǎng)的共享通信介質(zhì)技術(shù)，在進(jìn)行網(wǎng)絡(luò)通信時(shí)，隨著數(shù)據(jù)包在網(wǎng)絡(luò)上的廣播，任何聯(lián)網(wǎng)的計(jì)算機(jī)都可以監(jiān)聽正在通信的數(shù)據(jù)包，因此存在著安全隱患，網(wǎng)絡(luò)入侵系統(tǒng)利用以太網(wǎng)的這種特性，進(jìn)行有效的網(wǎng)絡(luò)監(jiān)控，調(diào)整網(wǎng)絡(luò)資源分配，及時(shí)發(fā)現(xiàn)不正常數(shù)據(jù)包，并根據(jù)安全策略原則進(jìn)行處理，確保網(wǎng)絡(luò)系統(tǒng)的安全。入侵檢測能力是衡量一個(gè)防御體系是否完整有效的重要因素。強(qiáng)大的、完整的入侵檢測體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。根據(jù)公司網(wǎng)絡(luò)的特點(diǎn)，采用瑞星的入侵檢測系統(tǒng)。

5 結(jié)束語

由于國有企業(yè)局域網(wǎng)的安全問題是一個(gè)系統(tǒng)工程，在制定安全網(wǎng)絡(luò)策略時(shí)應(yīng)盡可能地考慮到網(wǎng)絡(luò)中的各個(gè)方面及網(wǎng)絡(luò)的拓展性，采用TCP/IP進(jìn)行網(wǎng)絡(luò)通信的網(wǎng)絡(luò)，在網(wǎng)絡(luò)層對(duì)計(jì)算機(jī)通信進(jìn)行安全保護(hù)是業(yè)界流行的安全解決辦法。

參考文獻(xiàn)：

[1]李春潔.企業(yè)局域網(wǎng)的建設(shè)與維護(hù)[J].信息通信，2013（10）：116-117.

[2]郝靜.提高企業(yè)局域網(wǎng)帶寬質(zhì)量五步驟[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014（Z1）：67.

[3]王大明.企業(yè)局域網(wǎng)維護(hù)管理策略的研究和分析[J].電子技術(shù)與軟件工程，2014（29）：28.

[4]張濤，周春紅.無線局域網(wǎng)在企業(yè)中的架設(shè)與應(yīng)用[J].電子世界，2014（05）：165-166.

作者簡介：葛玉峰（1969.01-）男，河北廊坊人，本科，工程師，從事信息管理工作。

作者單位：中國石油天然氣管道局，河北廊坊 065000