企業(yè)網(wǎng)絡(luò)安全管控分析

張春雷

(中國(guó)一重大連加氫反應(yīng)器制造有限公司，遼寧 大連 116113)

1 企業(yè)網(wǎng)絡(luò)現(xiàn)狀

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

企業(yè)網(wǎng)絡(luò)基本包含以下幾個(gè)部分:外部公開(kāi)網(wǎng)絡(luò)、Internet、intranet、子公司與總公司間的專線長(zhǎng)途鏈路網(wǎng)絡(luò)等。

1.2 網(wǎng)絡(luò)應(yīng)用

WWW服務(wù)、電子郵件服務(wù);提供與Internet的訪問(wèn);辦公自動(dòng)化、文件共享、文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)以及針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開(kāi)發(fā)(如ERP系統(tǒng))。

2 企業(yè)網(wǎng)絡(luò)安全威脅

由于企業(yè)網(wǎng)絡(luò)對(duì)外出入接口較多，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較高，潛在的安全威脅有以下幾種:

2.1 外部公開(kāi)網(wǎng)絡(luò)面臨的威脅

外部公開(kāi)網(wǎng)絡(luò)主要包含:WWW、EMAIL等服務(wù)器，作為公司的信息發(fā)布平臺(tái)，一旦不能運(yùn)行或者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響較大。由于外部公開(kāi)網(wǎng)絡(luò)主要為外界服務(wù)，必須暴漏于公網(wǎng)之上，極易受到攻擊和黑客的入侵。

2.2 病毒威脅

計(jì)算機(jī)病毒及惡意代碼的威脅病毒是以自我復(fù)制為明確目的編寫(xiě)的代碼。病毒附著于宿主程序，然后試圖在計(jì)算機(jī)之間傳播。它可能損壞硬件、軟件和信息;從目前病毒的發(fā)展趨勢(shì)來(lái)看，木馬病毒和蠕蟲(chóng)病毒是企業(yè)網(wǎng)絡(luò)安全的主要威脅，其傳播方式也已經(jīng)由原來(lái)的網(wǎng)絡(luò)傳播，發(fā)展為多種傳播方式，其中在企業(yè)中最為常見(jiàn)的是U盤(pán)傳播。

2.3 移動(dòng)存儲(chǔ)設(shè)備帶來(lái)的安全隱患

首先，移動(dòng)存儲(chǔ)設(shè)備易丟失，而其本身往往沒(méi)有任何防護(hù)措施，一旦丟失就可能造成企業(yè)信息泄露事件，其次，有些企業(yè)內(nèi)部人員惡意將企業(yè)信息拷貝至移動(dòng)存儲(chǔ)設(shè)備中將信息外泄的事件也是屢見(jiàn)不鮮。

2.4 系統(tǒng)漏洞風(fēng)險(xiǎn)

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。很多流行的病毒、蠕蟲(chóng)、木馬也是依賴于某種漏洞而傳播的。

2.5 非法接入與內(nèi)網(wǎng)外聯(lián)

非法接入是指未授權(quán)人員通過(guò)物理連接私自接入內(nèi)部網(wǎng)絡(luò)，共享網(wǎng)絡(luò)資源。內(nèi)網(wǎng)外聯(lián)是指企業(yè)內(nèi)部人員使用移動(dòng)上網(wǎng)設(shè)備，在內(nèi)部計(jì)算機(jī)上私自連接外網(wǎng)的行為。由于目前運(yùn)營(yíng)商的3G上網(wǎng)設(shè)備十分普遍，這種設(shè)備一旦在企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)中使用，會(huì)造成病毒的傳入和企業(yè)內(nèi)部信息的外泄。

2.6 服務(wù)器區(qū)域安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果網(wǎng)絡(luò)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，內(nèi)網(wǎng)中計(jì)算機(jī)感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。

2.7 文件共享，統(tǒng)一存儲(chǔ)風(fēng)險(xiǎn)

企業(yè)為了方便數(shù)據(jù)共享，提高效率，一般都建有文件服務(wù)器或統(tǒng)一存儲(chǔ)服務(wù)器。由于很多內(nèi)網(wǎng)用戶網(wǎng)絡(luò)安全意識(shí)淡薄，將一些關(guān)鍵信息隨意存放在公共共享區(qū)域，造成這些信息被隨意復(fù)制、修改、刪除，給企業(yè)帶來(lái)不必要的損失。

3 企業(yè)網(wǎng)絡(luò)安全管控措施

從網(wǎng)絡(luò)安全體系的角度來(lái)說(shuō)，網(wǎng)絡(luò)是分層次的，它分物理層、網(wǎng)絡(luò)及傳輸層、系統(tǒng)層、應(yīng)用層和安全管理層，每個(gè)層面上都面臨著安全隱患，若把網(wǎng)絡(luò)比作一個(gè)水桶的話，各個(gè)網(wǎng)絡(luò)層次上的安全威脅就是構(gòu)成水桶的木板，任何一塊木板出現(xiàn)問(wèn)題，都會(huì)造成水桶的水泄漏，即造成網(wǎng)絡(luò)的不安全。

3.1 外部公開(kāi)網(wǎng)絡(luò)防護(hù)

對(duì)于外部網(wǎng)絡(luò)的安全防護(hù)措施主要有以下幾個(gè)方面:

3.1.1 防火墻是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù)性措施，同時(shí)也是最有效和經(jīng)濟(jì)的措施之一。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須融合到整體安全保護(hù)系統(tǒng)中，通過(guò)以防火墻為中心的安全方案配置，才能更有效的起到安全防護(hù)作用。

3.1.2 入侵預(yù)防系統(tǒng)是電腦網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件和防火墻的補(bǔ)充。入侵預(yù)防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

3.2 內(nèi)部網(wǎng)絡(luò)的安全管控

為將安全風(fēng)險(xiǎn)控制在最小范圍，必須在企業(yè)網(wǎng)絡(luò)建立可靠、便捷的網(wǎng)絡(luò)管理、安全審計(jì)和監(jiān)控系統(tǒng)。內(nèi)網(wǎng)安全管理系統(tǒng)是企業(yè)內(nèi)網(wǎng)安全管控的發(fā)展趨勢(shì)，內(nèi)網(wǎng)安全管理系統(tǒng)應(yīng)包含以下功能:

3.2.1 內(nèi)網(wǎng)機(jī)密信息防護(hù):計(jì)算機(jī)終端外設(shè)管理:對(duì)內(nèi)網(wǎng)計(jì)算機(jī)所使用外設(shè)進(jìn)行注冊(cè)和使用審計(jì)。移動(dòng)存儲(chǔ)介質(zhì)認(rèn)證管理:統(tǒng)一管理內(nèi)部合法移動(dòng)存儲(chǔ)設(shè)備，防止非法非法移動(dòng)設(shè)備的接入。內(nèi)網(wǎng)用戶注冊(cè)管理:對(duì)內(nèi)網(wǎng)用戶注冊(cè)并能實(shí)現(xiàn)權(quán)限管理。打印監(jiān)控:對(duì)核心數(shù)據(jù)信息部位實(shí)現(xiàn)打印操作的監(jiān)控，防止重要信息外泄。文件操作審計(jì):對(duì)于重要文件信息部位可以開(kāi)啟文件操作審計(jì)功能，防止惡意篡改。文件加密:對(duì)于重要文件可進(jìn)行加密處理，加強(qiáng)文件防護(hù)。計(jì)算機(jī)終端非法外聯(lián)監(jiān)控:通過(guò)IP準(zhǔn)入機(jī)制，確保只有授權(quán)用戶才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

3.2.2 用戶行為監(jiān)控和審計(jì):進(jìn)程管理可有效阻止企業(yè)內(nèi)部計(jì)算機(jī)運(yùn)行與企業(yè)正常工作無(wú)關(guān)的軟件，如游戲、BT下載等。審計(jì)功能:能夠?qū)崿F(xiàn)對(duì)內(nèi)網(wǎng)用戶，對(duì)計(jì)算機(jī)操作的審計(jì)和記錄，如計(jì)算機(jī)軟件的安裝情況，互聯(lián)網(wǎng)訪問(wèn)記錄等。屏幕監(jiān)控功能:能夠?qū)崿F(xiàn)對(duì)內(nèi)用主機(jī)的屏幕監(jiān)控，對(duì)違規(guī)使用計(jì)算機(jī)進(jìn)行取證，同時(shí)也能通過(guò)該功能實(shí)現(xiàn)對(duì)用戶的遠(yuǎn)程幫助。

3.2.3 內(nèi)網(wǎng)加固和運(yùn)行監(jiān)控:補(bǔ)丁分發(fā)管理和病毒庫(kù)升級(jí)管理:通過(guò)IP準(zhǔn)入機(jī)制，對(duì)接入內(nèi)網(wǎng)的合法用戶進(jìn)行安全檢查，對(duì)于系統(tǒng)補(bǔ)丁和病毒庫(kù)升級(jí)未合格的計(jì)算機(jī)進(jìn)行隔離至安全區(qū)，進(jìn)行補(bǔ)丁和病毒庫(kù)升級(jí)，待安檢合格后方可接入內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)參數(shù)變更監(jiān)控:通過(guò)對(duì)合法接入計(jì)算機(jī)進(jìn)行IP和 MAC地址綁定，防止用戶隨意變更網(wǎng)絡(luò)參數(shù)，浪費(fèi)網(wǎng)絡(luò)資源。終端計(jì)算機(jī)資源占用監(jiān)控:通過(guò)對(duì)用戶計(jì)算機(jī)資源的監(jiān)控，可以有效的幫助用戶合理使用計(jì)算機(jī)，刪除不必要的、耗資源的軟件，提高計(jì)算機(jī)運(yùn)行速度。網(wǎng)絡(luò)設(shè)備、服務(wù)器狀態(tài)監(jiān)控:通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器性能的監(jiān)控，為企業(yè)運(yùn)維人員合理使用網(wǎng)絡(luò)設(shè)備和服務(wù)器提供準(zhǔn)確數(shù)據(jù)。

3.3 病毒防護(hù)

采用網(wǎng)絡(luò)版殺毒軟件是企業(yè)防病毒軟件的首選，將網(wǎng)絡(luò)版殺毒軟件配置在網(wǎng)內(nèi)所有服務(wù)器和終端上，通過(guò)發(fā)布統(tǒng)一的控制策略可實(shí)時(shí)監(jiān)控、查找、清除計(jì)算機(jī)病毒，由于網(wǎng)絡(luò)版殺毒軟件只需殺毒軟件服務(wù)器連接互聯(lián)網(wǎng)升級(jí)，其余客戶端只需通過(guò)服務(wù)器端就可升級(jí)，避免了客戶端聯(lián)網(wǎng)升級(jí)病毒庫(kù)的麻煩。

3.4 加強(qiáng)企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)

加強(qiáng)對(duì)員工的網(wǎng)絡(luò)和計(jì)算機(jī)安全知識(shí)的培訓(xùn)，使員工能夠掌握基本的計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)，做到:不隨意下載安裝不明軟件、不隨意打開(kāi)未知來(lái)源的陌生郵件，不交叉使用移動(dòng)存儲(chǔ)設(shè)備、嚴(yán)格按照權(quán)限使用公司重要文件數(shù)據(jù)等。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全威脅層出不窮、變化多端，我們雖然不斷改進(jìn)，優(yōu)化防范措施，但是仍然不能保證網(wǎng)絡(luò)的絕對(duì)安全。網(wǎng)絡(luò)安全建設(shè)需要建立多層次的、立體的、完善的管理系統(tǒng)。網(wǎng)絡(luò)安全管控是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，需要不斷的實(shí)踐、探索。

［1］李輝.計(jì)算機(jī)網(wǎng)絡(luò)安全與對(duì)策［J］.濰坊學(xué)院學(xué)報(bào)，2007(3):54～55.