關于維護網絡安全的幾點建議

王鈺

【摘 要】隨著網絡的快速發(fā)展與普及，越來越多的公司在利用網絡工作以及提升自己的企業(yè)影響力，然而隨著越來越多危害性因素遍布網絡，如何維護網絡的安全問題也就越來越被公司企業(yè)所重視了。本文從內網安全及外網安全兩個方面提出對建設網絡安全環(huán)境的建議。

【關鍵詞】網絡安全，內網安全，外網安全

【中圖分類號】TP39【文獻標識碼】A【文章編號】1672-5158（2013）02-0375-02

一、企業(yè)網站的安全維護

企業(yè)網站的安全維護應包括服務器硬件的維護，以及服務器相關軟件的維護。

1、服務器硬件的維護

服務器的硬件維護包括增加和卸載設備、更換設備以及設備除塵、防火防潮等工作。企業(yè)網站運行一段時間后，服務器安裝的應用程序增多、網絡資源提升、網絡應用步入多元化，此時為了適應企業(yè)網站發(fā)展的需要應對服務器進行擴充，增加內存和硬盤容量。服務器一般都提供磁盤陣列功能，要保證服務器多兩塊硬盤，保障數(shù)據的冗余才能有存儲方面的安全保障和性能優(yōu)化。另外，為了保證服務器的安全工作，還要定期的拆機打掃灰塵，因為很多莫名其妙的故障都是塵土“惹的禍”。

2、服務器的軟件的維護

服務器軟件系統(tǒng)方面的維護也是服務器維護量最大的一部分，歸納起來網站服務器的日常管理維護工作應包括：網站服務器的內容更新、審計日志文件的安全、新的工具和軟件的安裝、更改服務器配置、對服務器進行安全檢查等。另外還要保障：

①安裝功能強大的防火墻并增設網絡入侵檢測系統(tǒng)所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。安裝功能強大的防火墻，可以有效防御外界對Web服務器的攻擊。所謂入侵檢測系統(tǒng)IDS（Intrusion Detect System）指的是實時網絡違規(guī)自動識別和響應系統(tǒng)。IDS位于需要保護的網絡敏感數(shù)據上或網絡上存在有任何風險的地方，它通過實時截獲網絡數(shù)據流，能夠識別、記錄入侵或破壞性代碼流，并尋找網絡違規(guī)模式和未授權的網絡訪問，一經發(fā)現(xiàn)非法入侵，檢測系統(tǒng)就會做出包括實時報警、自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。

②對網站服務器要定期進行安全檢查對企業(yè)網站來說由于有很多對外開放的網絡服務，如WWW服務、DNS服務、DHCP服務、SMTP服務、FTP服務等，隨著服務器提供的服務越來越多，系統(tǒng)也容易混亂、安全性也將降低，容易受到病毒及黑客的攻擊，所以要將服務器定期進行安全檢查制度化。充分利用漏洞掃描工具和入侵檢測系統(tǒng)IDS等工具，加大對服務器的安全檢測，及時發(fā)現(xiàn)系統(tǒng)的漏洞并在第一時間為服務器安裝各類新漏洞的補丁程序，從而避免服務器受到攻擊使企業(yè)網站發(fā)生異常。

③定期對數(shù)據庫進行維護

對服務器上的數(shù)據進行維護包括：數(shù)據庫導入導出、數(shù)據庫備份、數(shù)據庫后臺維護、網站緊急恢復。對服務器上的數(shù)據定期進行備份是很重要的。網站的核心是數(shù)據，當數(shù)據一旦遭到破壞時，要能及時用備份數(shù)據恢復系統(tǒng)。

二、企業(yè)網站的安全隱患

企業(yè)的計算機網絡可以分為企業(yè)內網和外網兩部分，企業(yè)內網涉及企業(yè)內部的信息資源，需要保證涉密信息的絕對安全，企業(yè)外網與互聯(lián)網相連，主要威脅來源于互聯(lián)網上的惡意攻擊、企業(yè)網絡自身的安全缺陷等幾個方面。

1、企業(yè)內網安全隱患。企業(yè)內網安全隱患造成的危害有時比外網隱患所造成的的破壞性還要強，內網的安全隱患主要表現(xiàn)為以下幾個方面：

①企業(yè)內部員工的誤操作或故意破壞。企業(yè)員工由于業(yè)務不熟或粗心等原因，可能會誤刪除某些文件和數(shù)據，還有可能誤格式化硬盤，甚至損壞網絡設備。另外個別員工也可能由于對企業(yè)不滿而故意對企業(yè)一些重要數(shù)據進行破壞。

②移動存儲介質的不規(guī)范使用。移動存儲介質的使用是企業(yè)信息網絡安全的一個比較難以防范的威脅。未授權拷貝、未授權打印，移動存儲介質丟失等問題均是信息安全中比較難解決的問題。

③來自內網網絡管理員的安全隱患。一些網絡管理員專業(yè)水平不夠，對用戶及用戶組權限分配的不夠合理、對賬號和口令管理不嚴格、開設不必要的服務端口，一些網絡管理員責任心缺失，還有一些網絡管理員工作負擔過重，這些都將威脅到企業(yè)內部的網絡安全。

④來自內網的網絡攻擊，一些對企業(yè)內部網絡架構非常了解的員工會利用管理上的一些漏洞入侵他人計算機進行破壞。這種網絡攻擊方式可歸納為三類：（1）非法入侵，即在未授權的情況下試圖存取、處理信息或破壞系統(tǒng)；（2）非法接入，即未經網絡管理部門同意，就直接將計算機或各類移動設備接入企業(yè)內網；（3）非法外聯(lián)，即在未經授權的情況下，通過無線網絡等手段將內網主機接入外網或互聯(lián)網。

2、企業(yè)外網的安全威脅。企業(yè)對外業(yè)務的需要一般都會要求企業(yè)的計算機網絡接入互聯(lián)網，而互聯(lián)網上的病毒、木馬數(shù)量眾多，變化和傳播速度都很快，一旦被感染，整個企業(yè)網絡都有癱瘓的可能。黑客是計算機網絡威脅的主要制造者，是企業(yè)網絡安全的最大威脅。另外，間諜軟件、釣魚網站、僵尸網絡等也對企業(yè)的網絡安全帶來了嚴重的威脅。

三、企業(yè)網站的安全防范措施

1、企業(yè)內網的安全重在防范，為了保證內網的安全必須將管理、監(jiān)測和控制三者有機結合起來。將諸如防火墻、物理隔離等網絡安全防范手段與網絡安全監(jiān)測手段相融合，變被動防御為主動防范；要重視對員工的網絡安全培訓，要提高網絡安全管理員的素質；要建立網絡安全日志和審查制度。主要技術措施如下：

①將多種網絡安全防范技術、網絡安全監(jiān)控手段進行集成與融合。在企業(yè)內網與外網物理隔離的前提下，可將防火墻技術、漏洞掃描技術、入侵檢測技術與安全監(jiān)測、安全控制和安全管理進行集成與融合，從而有效地實現(xiàn)對內網的安全防范。

②建立網絡安全日志和審查制度。企業(yè)要建立計算機網絡用戶信息數(shù)據庫，對訪問重點監(jiān)測數(shù)據的用戶、訪問地點、訪問時間要作詳細記錄；企業(yè)要建立內部網絡主機的登錄日志，對登錄用戶、登錄時間和退出時間等信息作詳細記錄，如果發(fā)現(xiàn)現(xiàn)可疑操作應及時報警并采取必要的安全措施；企業(yè)要對未經授權的存取、外聯(lián)、接入均要通過必要的技術手段進行檢測并做出及時響應和生成日志記錄。企業(yè)還要對網絡設備的狀態(tài)從技術層次上進行監(jiān)測，對設備的更改自動形成日志。這樣，一旦出現(xiàn)問題，管理員就可以對通過對日志的審查來分析網絡安全事故的原因，發(fā)現(xiàn)一些可疑的信息，進行重點跟蹤監(jiān)測。

2、企業(yè)外網的安全防范措施

①防火墻技術

防火墻是設置在不同網絡或網絡安全域之間的一系列部件的組合，包括軟件和硬件。配置防火墻是企業(yè)實現(xiàn)網絡安全最基本、最經濟、最有效的措施之一。它是一種被動防范方式，企業(yè)可以根據實際需要來制定安全策略從而控制出入網絡的信息流，有效阻止對信息的非法訪問和未授權用戶的進入。

②病毒防護技術

計算機技術飛速發(fā)展的同時病毒也變得越來越復雜和高級，對計算機信息系統(tǒng)構成了極大的威脅。因此病毒防護技術在企業(yè)計算機網絡安全防御體系中也是一項非常重要的技術。企業(yè)應該購置網絡版殺毒軟件，并為每個用戶安裝其客戶端。

③入侵監(jiān)測技術

入侵檢測技術是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行實時監(jiān)測。它可以識別防火墻不能識別的內部攻擊，可以監(jiān)測并捕捉網絡上的惡意動作，可以防止合法用戶對資源的錯誤操作，從而提供對企業(yè)網絡的實時保護。在企業(yè)網絡中要同時采用基于網絡和基于主機的入侵檢測系統(tǒng)，從而構建成一套完整的主動防御體系。

總的來說，企業(yè)的計算機涉及公司內部諸多方面，因此維護網絡的安全成為了被各個企業(yè)越來越重視的問題。想要保證企業(yè)計算機網絡的安全性，就要同時做好內部安全防護以及外部安全防護，只有這樣，公司的網絡才能長期維持在安全的環(huán)境中。

參考文獻

[1] 劉盛.計算機網絡應用安全探析[J].價值工程，2012，v.31；No. 29636：186-187

[2] 顧舟峰.新技術帶來新風險[N].人民郵電，2012-12-21007