趙磊

摘要：現(xiàn)今任何企業(yè)的發(fā)展都離不開互聯(lián)網(wǎng)，企業(yè)依賴計算機(jī)網(wǎng)絡(luò)開展各種商務(wù)活動，若企業(yè)信息系統(tǒng)中存在的重大網(wǎng)絡(luò)安全漏洞一旦被人利用，就會給企業(yè)帶來不可挽回的巨大損失。在“互聯(lián)網(wǎng)+”時代下，網(wǎng)絡(luò)信息安全已經(jīng)成為企業(yè)發(fā)展的命脈。如何加強(qiáng)企業(yè)信息安全意識，采取有效的防范措施是“互聯(lián)網(wǎng)+”時代下企業(yè)應(yīng)該認(rèn)真對待的問題。

關(guān)鍵詞：企業(yè);網(wǎng)絡(luò)信息安全;漏洞;威脅;防范措施

中圖分類號：TP393. 08

文獻(xiàn)標(biāo)識碼：A

文章編號：1672 - 9129（2018）12 - 0100 - 01

1 企業(yè)面臨的網(wǎng)絡(luò)信息安全威脅

1.1 來自于互聯(lián)網(wǎng)的威脅。

（1）拒絕服務(wù)攻擊。拒絕服務(wù)攻擊及DOS攻擊，是一種讓攻擊目標(biāo)癱瘓的攻擊手段，攻擊者利用網(wǎng)絡(luò)協(xié)議，例如ICMP和UDP協(xié)議某個若點，或是企業(yè)對外服務(wù)系統(tǒng)存在的某一漏洞，對目標(biāo)發(fā)起大規(guī)模攻擊，致使被攻擊目標(biāo)無法為用戶提供正常服務(wù)。除此外，某些拒絕服務(wù)攻擊還可以通過攻擊目標(biāo)使得目標(biāo)服務(wù)緩沖區(qū)溢出獲得系統(tǒng)root權(quán)限。攻擊者以此方法開展攻擊，其主要目的就是癱瘓企業(yè)的網(wǎng)上業(yè)務(wù)，影響企業(yè)的正常經(jīng)營。

（2）WEB應(yīng)用SQL注入攻擊。企業(yè)業(yè)務(wù)系統(tǒng)大多為web應(yīng)用+數(shù)據(jù)庫方式實現(xiàn)與用戶的數(shù)據(jù)交互和開支業(yè)務(wù)。例如Pe rl和PHP與SQL數(shù)據(jù)庫結(jié)合，這些語言是解釋型語言，在web程序運(yùn)行時會執(zhí)行用戶輸入，若攻擊者預(yù)先構(gòu)造惡意代碼放置于執(zhí)行內(nèi)容中，則攻擊者可以執(zhí)行惡意SQL語句，獲得數(shù)據(jù)庫的讀取和修改權(quán)限，進(jìn)而獲得服務(wù)器系統(tǒng)的最高權(quán)限，可以隨意操作數(shù)據(jù)，危害極大。入侵者一般通過此方法竊取或篡改企業(yè)商業(yè)數(shù)據(jù)或是用戶數(shù)據(jù)。

（3）跨站腳本攻擊。跨站腳本攻擊又稱xss攻擊，由于web頁面開發(fā)方對用戶輸入的數(shù)據(jù)過濾不充分，或是完全就沒有過濾就放人數(shù)據(jù)庫中，在一些地方又直接從數(shù)據(jù)庫中取出，返回給其他用戶，攻擊者就是利用這一點向企業(yè)網(wǎng)站web頁面插入惡意html代碼，當(dāng)企業(yè)用戶瀏覽該頁面時，嵌入其中的html代碼會被執(zhí)行，達(dá)到攻擊者目的，此類攻擊屬于被動攻擊，也是web應(yīng)用中常見入侵方式之一。攻擊者利用此類漏洞引導(dǎo)用戶在虛假頁面上登錄賬戶，以竊取用戶數(shù)據(jù)，用于販賣或是利用盜取賬戶進(jìn)一步滲透入侵。

（4）口令破解攻擊。企業(yè)通過網(wǎng)絡(luò)對外開展業(yè)務(wù)都會存在與用戶交互數(shù)據(jù)的情況，一旦存在業(yè)務(wù)交互就會采用用戶名和密碼的認(rèn)證方式來控制用戶訪問，而口令破解就是針對用戶名和密碼的攻擊手段，主要方法是用賬戶默認(rèn)密碼、字典攻擊和暴力攻擊等方法進(jìn)行密碼猜測，最終獲得用戶密碼的過程，獲得用戶密碼后可通過合法登錄進(jìn)一步攻擊應(yīng)用系統(tǒng)，繼續(xù)滲透內(nèi)部系統(tǒng)以達(dá)最終非法目的。

（5）電子郵件攻擊。電子郵件是最古老的互聯(lián)網(wǎng)應(yīng)用之一，自從1971年誕生以來就作為一種有效的在不同計算機(jī)之間傳輸數(shù)據(jù)的方法，雖然現(xiàn)在有很多即時通訊軟件承擔(dān)文件信息等傳遞任務(wù)，但電子郵件應(yīng)用并沒有退出市場，反而承擔(dān)了重要的職能，很多應(yīng)用把電子郵件作為安全性驗證的手段，也正是這個原因，針對電子郵件的攻擊數(shù)量和案例一直居高不下。一是多數(shù)電子郵件會話過程使用明文，這樣會話過程毫無秘密可言，攻擊者只要在會話鏈路上進(jìn)行嗅探，就能獲得這些敏感的信息。二是早期smtp協(xié)議是沒有發(fā)送方認(rèn)證的，這使得發(fā)件人可以隨意標(biāo)記自己郵件地址，可以將自己偽裝成系統(tǒng)或是公司管理層人員，這一問題容易導(dǎo)致大量的社會工程學(xué)欺騙和攻擊，是攻擊者常用的一種滲透手段。

1.2 來自于企業(yè)局域網(wǎng)威脅。由于企業(yè)內(nèi)部應(yīng)用和工作效率的需求，企業(yè)內(nèi)部網(wǎng)絡(luò)相比對外網(wǎng)絡(luò)的安全限制措施更少，而此種策略使得內(nèi)網(wǎng)終端安全和數(shù)據(jù)安全顯得更加脆弱。內(nèi)網(wǎng)安全威脅主要來自以下幾個方面：

（1）內(nèi)網(wǎng)蠕蟲病毒攻擊。蠕蟲病毒是一種常見的計算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，主要通過網(wǎng)絡(luò)共享或電子郵件方式，將自身或變種傳播到其它電腦終端上，因此可能造成網(wǎng)絡(luò)擁塞、終端系統(tǒng)崩潰或重要數(shù)據(jù)的損毀，蠕蟲是內(nèi)網(wǎng)常見且危害最大的一種網(wǎng)絡(luò)病毒。例如2017年5月12日，全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲病毒，這個病毒被稱為“永恒之藍(lán)”也稱之為“勒索病毒”，該病毒傳染面非常廣，包括英國、俄羅斯、整個歐洲以及中國國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，對重要數(shù)據(jù)造成不可挽回的損失。

（2）網(wǎng)絡(luò)嗅探及數(shù)據(jù)竊取攻擊。相對于企業(yè)外網(wǎng)，企業(yè)內(nèi)網(wǎng)數(shù)據(jù)傳輸一般多數(shù)采用未加密的明文方式，而另一方面，企業(yè)內(nèi)網(wǎng)除有線接入外還可能有無線接人，無線接入且明文傳輸無疑是給網(wǎng)絡(luò)嗅探行為提供可乘之機(jī)，攻擊者可通過口令破解方式獲得合法接人后，嗅探竊取內(nèi)網(wǎng)傳遞、存儲的重要信息。

（3）內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)或是安全策略缺陷。企業(yè)內(nèi)部網(wǎng)絡(luò)管理相對外網(wǎng)邊界較為“松散”，一方面源于網(wǎng)絡(luò)出口設(shè)置了網(wǎng)絡(luò)防火墻、防病毒網(wǎng)管等安全設(shè)備，多數(shù)情況下網(wǎng)絡(luò)管理員會認(rèn)為內(nèi)網(wǎng)威脅較少。一方面因內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用或數(shù)據(jù)共享的需求.管理員可能會設(shè)置較少或是干脆不設(shè)置安全規(guī)則以服務(wù)于業(yè)務(wù)效率?；谶@兩方面，管理員對于內(nèi)網(wǎng)安全策略，或是不同等級的業(yè)務(wù)數(shù)據(jù)隔離等處理方式就會偏向“寬松”，重要數(shù)據(jù)或是業(yè)務(wù)很少單獨隔離。而這就給黑客以可乘之機(jī)，一旦黑客控制了內(nèi)網(wǎng)某臺機(jī)器，內(nèi)網(wǎng)對其來說就是“一馬平川”，重要數(shù)據(jù)是唾手可得。

2 企業(yè)可采取的防范措施

2.1 技術(shù)類防范措施。 （1）針對郵件安全，一是可以采取更加安全的郵件傳輸協(xié)議，尤其是企業(yè)內(nèi)部網(wǎng)絡(luò)如果架設(shè)了內(nèi)部郵件服務(wù)器，則可采用最新的安全郵件協(xié)議。二是利用密碼技術(shù)為郵件提供保密性、完整性、抗抵賴性等一系列服務(wù)。三是使用ssl會話對smtp和pop3傳輸進(jìn)行保護(hù)。

（2）sql注入及跨站腳本攻擊防范可以從程序設(shè)計、代碼編寫、安全部署和使用等措施。在企業(yè)進(jìn)行業(yè)務(wù)程序開發(fā)過程中，遵循最小特權(quán)原則，嚴(yán)謹(jǐn)程序設(shè)計結(jié)構(gòu)設(shè)計，代碼編寫過程中注意格式化輸人數(shù)據(jù)，過濾危險字符等方式，降低注入風(fēng)險。

（3）DDOS攻擊防范。DDOS攻擊防御比較困難，依靠單一的技術(shù)防范手段無法抵抗此類攻擊，而采取有防御、監(jiān)測和響應(yīng)多種機(jī)制相結(jié)合的防范措施體系，比如借助企業(yè)專線提供商進(jìn)行攻擊地址屏蔽、攻擊流量分流、清洗，配合企業(yè)已部署的防火墻設(shè)備等就可以吧dos攻擊威脅控制在一個可以接受的水平。

（4）用戶名密碼破解，主要有兩種防范方法，一是阻止攻擊者反復(fù)嘗試暴力破解的可能，比如限定試錯次數(shù)，特定時間內(nèi)超過限制錯誤次數(shù)即鎖定賬戶，此方法還可配合驗證碼或是圖片識別來是否人工登陸，降低被破解風(fēng)險;二是提高密碼的強(qiáng)度，強(qiáng)制要求用戶使用的密碼必須包含字符、數(shù)字、大小寫等，加大密碼猜測難度。

（5）面對蠕蟲病毒攻擊，防范措施一是對于終端電腦做好病毒庫的及時更新，推薦安裝正版操作系統(tǒng)和殺毒軟件，不論終端電腦或是服務(wù)器是否處在內(nèi)網(wǎng)或是外網(wǎng)，終端電腦病毒庫都應(yīng)及時更新。二是蠕蟲病毒多以網(wǎng)絡(luò)傳播，尤其局域網(wǎng)內(nèi)容易被利用的139、445等端口應(yīng)限制開放，同時內(nèi)網(wǎng)接入交換和路由設(shè)備上也應(yīng)做相應(yīng)限制策略，終端電腦系統(tǒng)防火墻規(guī)則庫也應(yīng)及時更新。

2.2 管理類防范措施。

（1）科學(xué)合理的內(nèi)網(wǎng)結(jié)構(gòu)部署。較為安全的做法是內(nèi)部各種業(yè)務(wù)用網(wǎng)物理隔離或是技術(shù)隔離，對于企業(yè)內(nèi)部服務(wù)器區(qū)尤其是重要企業(yè)重要的商業(yè)數(shù)據(jù)或是研發(fā)數(shù)據(jù)服務(wù)器采取嚴(yán)格的訪問控制策略，或是采取完全的物理隔離作為重點防護(hù)區(qū)域。而企業(yè)對外業(yè)務(wù)服務(wù)器可設(shè)立單獨的dmz區(qū)域。內(nèi)網(wǎng)重點防護(hù)區(qū)域及對外DMZ區(qū)域與企業(yè)業(yè)務(wù)內(nèi)網(wǎng)三者之間設(shè)立嚴(yán)格的訪問控制策略，以減小DMZ區(qū)及業(yè)務(wù)內(nèi)網(wǎng)兩大威脅源對企業(yè)重要數(shù)據(jù)資產(chǎn)的威脅。

（2）完善可行的安全管理制度。首先是企業(yè)管理層要重視網(wǎng)絡(luò)安全，給與網(wǎng)絡(luò)安全管理部門足夠的權(quán)限，便于推進(jìn)系統(tǒng)化的網(wǎng)絡(luò)安全管理制度落實。制度應(yīng)涉及企業(yè)內(nèi)信息系統(tǒng)及計算機(jī)設(shè)備的管理者、使用者，對于不同重要性的IT資產(chǎn)予以區(qū)分并制定相應(yīng)制度。從IT資產(chǎn)、人員、事件（例如應(yīng)急預(yù)案制度等）多個方面人手，形成網(wǎng)絡(luò)安全各個層面的保障合力。

（3）IT管理及應(yīng)用人員安全意識與技術(shù)培訓(xùn)。如今信息技術(shù)發(fā)展突飛猛進(jìn)，網(wǎng)絡(luò)安全所面臨威脅也是日新月異，及時的更新網(wǎng)絡(luò)安全保障人員及網(wǎng)絡(luò)終端用戶的網(wǎng)絡(luò)安全意和基礎(chǔ)防范技能是十分必要的，企業(yè)可考慮采取專項講座和定期培訓(xùn)相結(jié)合的方式，一方面提高網(wǎng)絡(luò)安全保障人員在面對大范圍安全威脅下的防范能力，一方面提高終端用戶日常應(yīng)用的自身防范意識能力，從而提升網(wǎng)絡(luò)安全的整體防范能力。

（4）定期更新維護(hù)系統(tǒng)，開發(fā)系統(tǒng)的漏洞更新。結(jié)合完備的網(wǎng)絡(luò)安全管理制度，落實執(zhí)行各個系統(tǒng)的定期巡檢及更新，尤其是內(nèi)部業(yè)務(wù)系統(tǒng)，要及時掌握用戶反饋的系統(tǒng)應(yīng)用錯誤，了解系統(tǒng)開發(fā)方補(bǔ)丁更新進(jìn)度，業(yè)務(wù)系統(tǒng)補(bǔ)丁更新時開展相應(yīng)的網(wǎng)絡(luò)安全測試工作，確保系統(tǒng)打補(bǔ)丁或是更新后的網(wǎng)絡(luò)安全不受影響。