企業(yè)網(wǎng)絡(luò)安全淺析

閆志康 李偉洋 高淑平

（1.濮陽(yáng)同力水泥有限公司，河南 濮陽(yáng) 457000；2.濮陽(yáng)市生產(chǎn)力促進(jìn)中心，河南 濮陽(yáng) 457000）

企業(yè)網(wǎng)絡(luò)安全淺析

閆志康1李偉洋1高淑平2

（1.濮陽(yáng)同力水泥有限公司，河南 濮陽(yáng) 457000；2.濮陽(yáng)市生產(chǎn)力促進(jìn)中心，河南 濮陽(yáng) 457000）

隨著計(jì)算機(jī)技術(shù)的發(fā)展，企業(yè)在計(jì)算機(jī)上處理業(yè)務(wù)已由簡(jiǎn)單的辦公處理發(fā)展到ERP系統(tǒng)管理、辦公自動(dòng)化等。在信息處理能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。本文根據(jù)企業(yè)網(wǎng)絡(luò)安全管理中的一些經(jīng)驗(yàn)體會(huì)，談?wù)剬?duì)企業(yè)網(wǎng)絡(luò)的安全的看法和做法。

網(wǎng)絡(luò)；防火墻；木馬

企業(yè)網(wǎng)絡(luò)硬件環(huán)境的復(fù)雜性比較明顯，是因?yàn)楣ぷ髡?、服?wù)器、交換機(jī)等設(shè)備是隨著企業(yè)的發(fā)展，在不同時(shí)期購(gòu)買(mǎi)的，不同的硬件配置，不同的操作系統(tǒng)，使之管理起來(lái)比較復(fù)雜。

1 企業(yè)網(wǎng)絡(luò)安全存在的問(wèn)題

第一,部分計(jì)算機(jī)訪問(wèn)其他的計(jì)算機(jī)時(shí)，難訪問(wèn)，經(jīng)常要幾分鐘才能打開(kāi)，耽誤正常工作。本著先檢查軟件后檢查硬件的處理方法，察看這幾臺(tái)計(jì)算機(jī)，由于購(gòu)置時(shí)間太早，硬件配置較低，所以安裝的是win98系統(tǒng)，發(fā)現(xiàn)在其網(wǎng)絡(luò)協(xié)議里，都添加了NetBIOS協(xié)議，由于企業(yè)網(wǎng)絡(luò)通信部需要這個(gè)協(xié)議，就將其刪除，再進(jìn)行網(wǎng)絡(luò)訪問(wèn)，便可以很快打開(kāi)。而且由于這個(gè)協(xié)議是windows自帶的，所以是任何殺毒軟件都無(wú)法查出來(lái)的最“黑”的一個(gè)后門(mén)。后門(mén)就是端口，可以泄露信息，會(huì)讓別人訪問(wèn)到你的文件系統(tǒng)。

第二，經(jīng)常發(fā)現(xiàn)系統(tǒng)啟動(dòng)時(shí)，系統(tǒng)變得異常緩慢，cpu的使用大幅提高，什么工作也做不了。在注冊(cè)表的啟動(dòng)項(xiàng)里，并沒(méi)有發(fā)現(xiàn)特別的程序，最終在系統(tǒng)服務(wù)管理里面找到一些不明服務(wù)，將其停止，并禁用，系統(tǒng)恢復(fù)正常。系統(tǒng)服務(wù)中的一些服務(wù)是默認(rèn)啟動(dòng)的，而且并不是所必需的，所以可以關(guān)閉。

第三，window xp中自帶的internet連接防火墻功能，禁止外部程序?qū)Ρ緳C(jī)進(jìn)行端口掃描，并自動(dòng)記錄所有發(fā)出、接收數(shù)據(jù)包的IP地址、端口、服務(wù)及其他一些代碼，這樣有效地減少了外部攻擊的威脅，可是一旦激活這項(xiàng)功能，企業(yè)局域網(wǎng)內(nèi)的工作站之間就會(huì)發(fā)生無(wú)法訪問(wèn)的現(xiàn)象。系統(tǒng)的自動(dòng)更新功能是為了減輕用戶(hù)的負(fù)擔(dān)設(shè)計(jì)的一個(gè)功能，但從安全的角度來(lái)看的話，還是建議將其關(guān)閉。系統(tǒng)的默認(rèn)共享是打開(kāi)的，關(guān)鍵的是它將系統(tǒng)盤(pán)也共享了，通過(guò)網(wǎng)絡(luò)映像就可以直接訪問(wèn)，在注冊(cè)表中可以將其關(guān)閉。

第四，接到某些部門(mén)的電話，在計(jì)算機(jī)上出現(xiàn)“網(wǎng)絡(luò)IP地址沖突”的信息，無(wú)法使用網(wǎng)絡(luò)。這些部門(mén)有個(gè)共同點(diǎn)，就是都有訪問(wèn)Internet的權(quán)限。企業(yè)網(wǎng)絡(luò)是通過(guò)路由器連接到Internet的，路由器安裝調(diào)試之處，只是設(shè)置了可以訪問(wèn)Internet的計(jì)算機(jī)IP地址及訪問(wèn)時(shí)間段，所以沒(méi)有訪問(wèn)權(quán)限的計(jì)算機(jī)為了達(dá)到某種目的，私自更改本機(jī)的IP地址，造成IP地址沖突。為了解決這個(gè)問(wèn)題，更換了新的路由器，這種路由器具有MAC地址過(guò)濾，MAC地址綁定，網(wǎng)絡(luò)流量分配等功能。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的計(jì)算機(jī)的MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則不允許通過(guò)路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的計(jì)算機(jī)返回一個(gè)警告信息。同時(shí)也限定了工作站的訪問(wèn)流量，防止使用BT，迅雷等下載工具長(zhǎng)時(shí)間的大量占用網(wǎng)絡(luò)寬帶。

2006年末的“熊貓燒香”病毒，造成上百萬(wàn)臺(tái)電腦和千余家企業(yè)網(wǎng)絡(luò)被感染，特別是對(duì)企業(yè)網(wǎng)絡(luò)造成了很大的危害，也使人們對(duì)企業(yè)網(wǎng)絡(luò)安全有了進(jìn)一步的認(rèn)識(shí)。

2 網(wǎng)絡(luò)安全措施

第一，在企業(yè)網(wǎng)絡(luò)中，利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享，進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但是在設(shè)置過(guò)程中，要充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶(hù)可以訪問(wèn)到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問(wèn)。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。有些人認(rèn)為計(jì)算機(jī)只有自己使用，不需要設(shè)置密碼，這就造成非法用戶(hù)可以通過(guò)網(wǎng)絡(luò)共享隨意訪問(wèn)計(jì)算機(jī)中的數(shù)據(jù)。為了防止資料的外泄，在設(shè)置共享時(shí)一定要設(shè)置訪問(wèn)密碼。只有這樣，才能保證共享目錄資料的安全。有條件的話，應(yīng)設(shè)立專(zhuān)門(mén)的文件服務(wù)器，進(jìn)行統(tǒng)一管理。

第二，企業(yè)內(nèi)部網(wǎng)速變得異常緩慢，許多計(jì)算機(jī)之間無(wú)法相互訪問(wèn)，ERP系統(tǒng)軟件經(jīng)常出現(xiàn)不能正常登錄的情況。排除掉硬件因素，將工作站的共享去掉后，網(wǎng)速恢復(fù)正常，經(jīng)調(diào)查，發(fā)現(xiàn)是病毒在作怪，一旦聯(lián)網(wǎng)，病毒就開(kāi)始四處散播，占用了相當(dāng)大的網(wǎng)絡(luò)寬帶，造成了網(wǎng)速下降。在“熊貓燒香”病毒發(fā)作期間，曾經(jīng)采取斷開(kāi)網(wǎng)絡(luò)，進(jìn)行逐臺(tái)計(jì)算機(jī)殺毒，但聯(lián)網(wǎng)后很快又被傳染，始終不能徹底清除。因此在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有合適于局域網(wǎng)的全方位防病毒產(chǎn)品。企業(yè)網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)，就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。所以采用網(wǎng)絡(luò)版殺毒軟件是唯一的方法，這樣不必每臺(tái)工作站都需上網(wǎng)升級(jí)，由殺毒服務(wù)器統(tǒng)一升級(jí)，也能做到統(tǒng)一管理，避免了無(wú)故退出，非法卸載等誤操作。

另外，操作人員的素質(zhì)不同，也造成了許多安全的隱患。使用外來(lái)磁盤(pán)、光盤(pán)、U盤(pán)等存儲(chǔ)介質(zhì)，應(yīng)該養(yǎng)成先殺毒的習(xí)慣。上網(wǎng)時(shí)，不訪問(wèn)非法的網(wǎng)站，下載不明的文件，接收到的郵件中，可能包含木馬病毒等非法程序，所以不認(rèn)識(shí)的信件盡量不要打開(kāi)，而那些業(yè)務(wù)上、朋友的信件也要認(rèn)真檢查。制定相應(yīng)的計(jì)算機(jī)管理制度也是加強(qiáng)企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要手段，使企業(yè)人員從認(rèn)識(shí)上積極對(duì)待，工作中嚴(yán)格實(shí)行。

[1]盧開(kāi)澄.計(jì)算機(jī)密碼學(xué)—計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)防安全[M].北京：清華大學(xué)出版社，1998.

[2]余建斌.黑客的攻擊手段及用戶(hù)對(duì)策[M].北京：北京人民郵電出版社，1998.

TP393.18

A

1671-0037（2014）04-59-1