大型國(guó)企網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防范對(duì)策

王芳倩

摘要：我國(guó)大型國(guó)企一向都極為重視網(wǎng)絡(luò)安全問(wèn)題，但仍存在著病毒入侵、信息泄露等安全風(fēng)險(xiǎn)，威脅著網(wǎng)絡(luò)安全。為了進(jìn)一步減少?lài)?guó)企的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，一方面，應(yīng)完善網(wǎng)絡(luò)安全管理制度，建立網(wǎng)絡(luò)安全立體防御體系；另一方面，采用“整體防御+重點(diǎn)保護(hù)”的方法，充分利用并發(fā)展現(xiàn)代安防技術(shù)，通過(guò)劃分隔離安全域、優(yōu)化防火墻系統(tǒng)等措施，降低安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。

關(guān)鍵詞：國(guó)有大型國(guó)企；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)防范

中圖分類(lèi)號(hào)：F279 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）01-0204-02

互聯(lián)網(wǎng)的飛速發(fā)展，海量的信息資源極大的方便了用戶(hù)的信息需求，但同時(shí)也給網(wǎng)絡(luò)用戶(hù)帶來(lái)了信息安全問(wèn)題。網(wǎng)絡(luò)的開(kāi)放性使得其在安全性上存在病毒入侵、信息泄露等安全風(fēng)險(xiǎn)，據(jù)不完全統(tǒng)計(jì)全球平均每20秒就會(huì)發(fā)生一次網(wǎng)絡(luò)安全事件；我國(guó)超過(guò)90%的網(wǎng)絡(luò)管理系統(tǒng)都遭到過(guò)黑客攻擊或病毒入侵。盡管完全遏制網(wǎng)絡(luò)攻擊幾乎是不可能的，任一組織的網(wǎng)絡(luò)系統(tǒng)都不可能是真正的“金剛”之身，可以說(shuō)網(wǎng)絡(luò)安全是網(wǎng)絡(luò)時(shí)代的永恒任務(wù)。

1 大型國(guó)企的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

我國(guó)大型國(guó)有企業(yè)已普遍建立了統(tǒng)一的計(jì)算機(jī)信息系統(tǒng)平臺(tái)，由于生產(chǎn)、管理數(shù)據(jù)集中于一個(gè)平臺(tái)上，一損俱損，因而對(duì)網(wǎng)絡(luò)安全提出了很高的要求。以目前我國(guó)大型國(guó)企的網(wǎng)絡(luò)安全現(xiàn)狀來(lái)看，其安全威脅主要來(lái)自以下方面：（1）內(nèi)網(wǎng)威脅。有調(diào)查顯示約有七成的網(wǎng)絡(luò)安全威脅來(lái)自于企業(yè)內(nèi)部，對(duì)于國(guó)有企業(yè)而言，內(nèi)部人員的非法操作或誤操作對(duì)企業(yè)的危害是極大的。這些威脅主要表現(xiàn)為：內(nèi)部人員無(wú)意或有意的泄露、盜取企業(yè)涉密信息，濫用或誤用內(nèi)部敏感、關(guān)鍵數(shù)據(jù)等。盡管目前我國(guó)大型國(guó)企雖然內(nèi)部員工的網(wǎng)絡(luò)隱患防范意識(shí)正在逐步提高，但這些安全威脅仍然普遍存在的現(xiàn)實(shí)情況。（2）外網(wǎng)威脅。在當(dāng)前這個(gè)信息互聯(lián)的時(shí)代，幾乎任何國(guó)有企業(yè)的局域網(wǎng)都實(shí)現(xiàn)是與外網(wǎng)互聯(lián)。在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中，可能每一天都有入侵者試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)。一旦有員工主機(jī)受到網(wǎng)絡(luò)攻擊或感染病毒，就有可能影響整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)，甚至還可能影響到與企業(yè)網(wǎng)絡(luò)系統(tǒng)有鏈接的其它單位網(wǎng)絡(luò)。（3）系統(tǒng)風(fēng)險(xiǎn)。系統(tǒng)風(fēng)險(xiǎn)包括，操作系統(tǒng)風(fēng)險(xiǎn)與應(yīng)用系統(tǒng)風(fēng)險(xiǎn)兩大類(lèi)。目前沒(méi)有安全漏洞的操作系統(tǒng)是不存在的，當(dāng)企業(yè)網(wǎng)絡(luò)連上外網(wǎng)之后，必然存在非法入侵的可能。如果大型國(guó)有企業(yè)操作系統(tǒng)沒(méi)有采用較高安全級(jí)別的系統(tǒng)配置與系統(tǒng)應(yīng)用，就很容易被人侵入，給企業(yè)帶來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)則更為復(fù)雜，因?yàn)閼?yīng)用系統(tǒng)是動(dòng)態(tài)的。對(duì)于大型國(guó)企而言，應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)主要包括：1）服務(wù)器風(fēng)險(xiǎn)。大型國(guó)有企業(yè)的網(wǎng)絡(luò)應(yīng)用多為共享資源，員工有意或無(wú)意將硬盤(pán)中的涉密信息共享，并長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上的現(xiàn)象是很常見(jiàn)的，這些信息很容易被泄露出去，影響企業(yè)的信息安全。2）數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)。包括猜測(cè)或盜取口令訪問(wèn)、非授權(quán)用戶(hù)的訪問(wèn)、攻擊數(shù)據(jù)庫(kù)漏洞等風(fēng)險(xiǎn)。當(dāng)然，因意外導(dǎo)致數(shù)據(jù)庫(kù)信息丟失，造成的安全問(wèn)題也不應(yīng)該被忽視。3）病毒侵害。通常病毒程序會(huì)通過(guò)網(wǎng)上下載、人為投放、電子郵件等途徑潛入企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。由于大型國(guó)企的網(wǎng)絡(luò)平臺(tái)是統(tǒng)一的，因此一旦有一臺(tái)主機(jī)感染病毒，就可能迅速影響整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)，造成信息泄露、死機(jī)、文件數(shù)據(jù)丟失等安全隱患。4）數(shù)據(jù)傳送風(fēng)險(xiǎn)。對(duì)于大型國(guó)有企業(yè)而言，數(shù)據(jù)安全尤為重要，數(shù)據(jù)在公網(wǎng)傳輸過(guò)程中也可能被人非法竊取、刪改，一些與競(jìng)爭(zhēng)對(duì)手可能通過(guò)技術(shù)手段給傳送線路上的信息做手腳，造成數(shù)據(jù)受損或泄露。（4）管理風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理是大型國(guó)有企業(yè)網(wǎng)絡(luò)安全防范中的重要內(nèi)容，是必要的部分，對(duì)降低企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作用重大。其主要包括：1）責(zé)任不清，權(quán)限管理混亂，致使信息泄露，且出現(xiàn)問(wèn)題后，追責(zé)也較為困難；2）內(nèi)部不滿(mǎn)員工也可能導(dǎo)致信息泄露；3）為了省事或便于記憶，有些大型國(guó)有企業(yè)設(shè)置的登錄口令過(guò)于簡(jiǎn)單，導(dǎo)致極易破解，造成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等。

2 確保大型國(guó)企網(wǎng)絡(luò)安全的主要技術(shù)

所謂網(wǎng)絡(luò)安全技術(shù)，即解決介入控制及確保數(shù)據(jù)傳輸安全的技術(shù)手段。目前主要的網(wǎng)絡(luò)安全技術(shù)有：（1）網(wǎng)絡(luò)防火墻技術(shù)。作為一種加強(qiáng)網(wǎng)絡(luò)間訪問(wèn)控制，阻止外網(wǎng)非法入侵的技術(shù)手段，網(wǎng)絡(luò)防火墻技術(shù)對(duì)保護(hù)大型國(guó)企內(nèi)部網(wǎng)絡(luò)操作環(huán)境，維護(hù)網(wǎng)絡(luò)安全有著重要的作用。它能夠按照一定得安全策略檢測(cè)網(wǎng)絡(luò)間得通信許可，并監(jiān)視系統(tǒng)的網(wǎng)絡(luò)運(yùn)行情況。防火墻負(fù)責(zé)網(wǎng)絡(luò)的安全認(rèn)證，是整個(gè)網(wǎng)絡(luò)安全體系中的最底一層?，F(xiàn)代防火墻技術(shù)發(fā)展迅速，目前已開(kāi)始向網(wǎng)絡(luò)層之外的其他安全層級(jí)延伸，不再只是單純的安全過(guò)濾，還可以向網(wǎng)絡(luò)應(yīng)用提供一定的安全服務(wù)，有一些防火墻產(chǎn)品甚至可以提供數(shù)據(jù)安全、病毒防御、用戶(hù)認(rèn)證等多種安全服務(wù)。（2）安全隔離。從安全風(fēng)險(xiǎn)來(lái)看，基于網(wǎng)絡(luò)層與基于應(yīng)用層的攻擊較多，難以防范。幾年來(lái)興起了一種全新安全防護(hù)技術(shù)——安全隔離技術(shù)。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成信息的安全交換。（3）網(wǎng)絡(luò)防毒及防蠕蟲(chóng)技術(shù)。蠕蟲(chóng)病毒與普通病毒不同，這類(lèi)病毒通?？梢詥为?dú)安裝到系統(tǒng)中，可以獨(dú)立運(yùn)行——這也是蠕蟲(chóng)病毒與普通計(jì)算機(jī)病毒的主要區(qū)別。目前，蠕蟲(chóng)病毒越來(lái)越多，隱蔽性也越來(lái)越強(qiáng)，很難被用戶(hù)發(fā)現(xiàn)，因此危害極大?？刂破胀ú《镜姆椒ㄊ谴罱ㄈW(wǎng)終端的集中式防病毒系統(tǒng)；而控制蠕蟲(chóng)病毒需要“阻斷”其傳播途徑，構(gòu)建郵件防御、漏洞防御、共享防御等立體式的防病毒系統(tǒng)。（4）加密技術(shù)。加密技術(shù)可分對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密。對(duì)稱(chēng)加密即對(duì)信息的加密和解密都使用相同的鑰，該方法可簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換鑰的加密算法。非對(duì)稱(chēng)加密即將密鑰被分解公鑰和私有密鑰。這對(duì)密鑰中任何一把都可以作為公鑰（加密密鑰）通過(guò)非加密方式向他人公開(kāi)，而另一把作為私有密鑰（解密密鑰）加以保存。

3 大型國(guó)企網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范措施

對(duì)于大型國(guó)有企業(yè)而言，計(jì)算機(jī)網(wǎng)絡(luò)信息資源直接關(guān)系到其內(nèi)部各項(xiàng)業(yè)務(wù)的運(yùn)行，如果出現(xiàn)安全問(wèn)題，輕則影響其網(wǎng)絡(luò)的正常使用，重則導(dǎo)致整個(gè)網(wǎng)絡(luò)平臺(tái)癱瘓，數(shù)據(jù)丟失，信息外泄，給企業(yè)帶來(lái)巨大的損失。因此應(yīng)根據(jù)大型國(guó)企的實(shí)際情況制定安全防范措施，確保網(wǎng)絡(luò)安全。

一方面，要加強(qiáng)網(wǎng)絡(luò)安全管理。對(duì)于大型國(guó)有企業(yè)而言，網(wǎng)絡(luò)安全管理特別重要，在實(shí)踐中，我們發(fā)現(xiàn)許多網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)在組織資源管理上。大型國(guó)有企業(yè)，可在遵循網(wǎng)絡(luò)安全多人負(fù)責(zé)、職責(zé)分離、任期有限制的原則下，根據(jù)企業(yè)需要，制定與企業(yè)安防重點(diǎn)、工作環(huán)境、業(yè)務(wù)流程相應(yīng)的安全管理制度，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。第一，加強(qiáng)口令安全管理。所有企業(yè)內(nèi)部員工必須對(duì)自己的工號(hào)或上機(jī)口令保密，并定期更改，以防被盜用，尤其是要加強(qiáng)對(duì)超級(jí)用戶(hù)的口令保密。為了確保超級(jí)用戶(hù)口令安全，超級(jí)用戶(hù)或系統(tǒng)管理員應(yīng)只在中心機(jī)房登陸，減少密碼口令被盜風(fēng)險(xiǎn)。第二，建立嚴(yán)格的設(shè)備維護(hù)制度。設(shè)備安全是其他安全性措施的前提。除了要做好計(jì)算機(jī)的防火、防雷、防水、防盜等物理設(shè)備安全外，還應(yīng)在不同地點(diǎn)，采用多介質(zhì)備份操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)，以防因設(shè)備問(wèn)題導(dǎo)致數(shù)據(jù)、信息丟失。此外，對(duì)于大型國(guó)有企業(yè)而言，還應(yīng)編制網(wǎng)絡(luò)系統(tǒng)的運(yùn)行記錄，以便及時(shí)掌握全網(wǎng)運(yùn)行狀態(tài)。第三，構(gòu)建病毒立體防御管理機(jī)制。包括定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行查毒、殺毒、升級(jí)殺毒程序；對(duì)員工進(jìn)行防病毒教育；嚴(yán)謹(jǐn)在生產(chǎn)機(jī)器上安全與業(yè)務(wù)無(wú)關(guān)的軟件等。通過(guò)安全管理，可使大型國(guó)企員工充分意識(shí)到網(wǎng)絡(luò)安全工作的重要性。

另一方面，病毒與黑客技術(shù)也發(fā)展很快，且種類(lèi)很多，因此，對(duì)于大型國(guó)有企業(yè)來(lái)說(shuō)，充分利用、發(fā)展現(xiàn)代安防技術(shù)，構(gòu)建立體防御體系也是極為必要的。第一，劃分并隔離不同安全域。以大型國(guó)有企業(yè)的安全需求劃分、隔離不同的安全域，防止誤操作域無(wú)權(quán)訪問(wèn)。第二，建立防火墻系統(tǒng)。對(duì)網(wǎng)絡(luò)接口、網(wǎng)絡(luò)撥號(hào)接口、數(shù)據(jù)庫(kù)、PC終端、DMZ等建立防火墻系統(tǒng)，并有針對(duì)性的進(jìn)行防火墻隔離。第三，防范病毒和外部入侵。大型國(guó)企網(wǎng)管可以在CISCO路由設(shè)備中設(shè)置用戶(hù)口令及EN—ABLE口令，解決網(wǎng)絡(luò)層的安全問(wèn)題；可以利用UNIX系統(tǒng)的安全機(jī)制，保證用戶(hù)身份、用戶(hù)授權(quán)和基于授權(quán)的系統(tǒng)的安全；對(duì)各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)設(shè)立訪問(wèn)權(quán)限，以防非法用戶(hù)使用TELNET、FTP等遠(yuǎn)程登錄工具非法入侵。第四，加密、認(rèn)證技術(shù)。加密技術(shù)主要用于網(wǎng)絡(luò)安全傳輸、公文安全傳輸、桌面安全防護(hù)等方面；采取信息偵聽(tīng)的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試和違規(guī)行為，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。第五，PKI體系。公鑰基礎(chǔ)設(shè)施（PKI）是通過(guò)使用公鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)網(wǎng)絡(luò)安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系。PKI可以提供的服務(wù)包括：認(rèn)證服務(wù)，保密性服務(wù)（加密），完整性服務(wù)，安全通信，安全時(shí)間戳，不可否認(rèn)服務(wù)（抗抵賴(lài)服務(wù)），特權(quán)管理，密鑰管理等。總之，大型國(guó)企的網(wǎng)絡(luò)安全管理，其重要在于關(guān)鍵點(diǎn)管理，企業(yè)應(yīng)在可以接受的成本范圍內(nèi)對(duì)癥下藥，通過(guò)“整體防御+重點(diǎn)保護(hù)”相結(jié)合，維護(hù)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]吳健.企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與防范措施[J].山東通信技術(shù)，2005，25（2）：19-22.

[2]賈斌.淺析企業(yè)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)與防范措施[J].信息技術(shù)與應(yīng)用，2016，244（16）：21.