梅　栋

[摘要]随着计算机网络技术飞速发展,企业网络信息安全建设也遇到前所未有的挑战。通过对企业单位的调研,在分析网络信息安全理论基础上,对于企业单位网络信息安全现状进行总结,并提出企业网络信息安全分析及漏洞,最后对于企业信息安全建设模型提出相关意见措施。

[关键词]网络安全信息安全安全体系

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0710062-01

在中小企业特别是偏远和经济相对落后的企业,网络发展建设迫在眉睫,网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。而目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下,如何能够在网络建设初期或正在建设过程中尽早的建立起网络安全意识,了解网络安全存在的威胁,选拔和培养自己的安全人才,新的安全人员能够了解和掌握基本安全防范措施,制定适合本单位网络安全的安全实施计划,最大限度的避免和减少网络威胁给企业带来不必要的损失[1,2]。

一、企业网络现状和安全性分析

随着电子信息和计算机技术的发展,网络己渗透到经济和生活的各个领域。同时伴随着网络的发展,也产生各种各样的问题,其中安全隐患日益突出,无论是企业、服务供应商、政府部门还是研究和教育机构,安全性显然决定着网络要求和工作的优先级。计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。

为了更好的保护网络系统安全,本节对入侵者的手段和方法作一介绍。网络入侵者通常以下的步骤和方法达到入侵的目的。(1)信息收集,信息收集是为了了解所要攻击目标的详细信息,通常黑客利用相关的网络协议或实用程序来收集,如用SNMP协议可用来查看路由器的路由表,了解目标主机内部拓扑结构的细节,用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数,用Ping程序可以检测一个指定主机的位置并确定是否可到达等。(2)探测分析系统的安全弱点,在收集到目标的相关信息以后,黑客会探测网络上的每一台主机,以寻求系统的安全漏洞或安全弱点,黑客一般会使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务。其次使用一些公开的工具软件如Internet安全扫描程序ISS、网络安全分析工具SATAN等来对整个网络或子网进行扫描,寻求系统的安全漏洞,获取攻击目标系统的非法访问权。(3)实施攻击在获得了目标系统的非法访问权以后,黑客一般会实施以下的攻击:试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统;在目标系统安装探测器软件,进一步发现目标系统的信任等级,以展开对整个系统的攻击;如果黑客在被攻击的目标系统上获得了特许访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据以至破坏整个网络系统,那么后果将不堪设想。黑客攻击通常采用以下几种典型的攻击方式:密码破解、IP欺骗(Spoofing)与嗅探(Sniffing),系统漏洞,端口扫描。

二、网络安全的控制策略分析

安全控制策略需要考虑到来自网络内部和外部两方面的因素,包括制订完善的企业级安全策略、应用级安全策略、系统级安全策略以及网络级安全策略。(1)企业级安全控制。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。(2)应用级安全控制。应用级安全策略是对企业内部应用平台的安全控制,保护合法用户对数据的合法存取。(3)系统级安全控制。由于主机上采用的UNIX操作系统和数据库系统,都具有访问权限的控制,因此有很高的安全性。目前,在UNIX上发现的大多数问题,都归因于一些编程漏洞及管理不善,如果每个网络及系统管理员都能注意以下几点,就可在现有条件下,将系统安全风险降至最低。(4)网络级安全控制。网络安全性通过网络软件和协议来控制对网络的访问。Intranet采用TCP/IP协议作为其标准通信协议,而该协议本身的安全性控制是很弱的。因此本系统应该采取下列几方面技术进行网络安全的控制。

三、网络安全方案设计

通过对网络系统的全面了解,按照网络风险分析结果、安全策略的要求、安全目标及整个网络安全方案的设计原则,整个网络安全措施应按系统整体建立。具体的安全控制系统由以下几个方面组成。

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。网络结构的安全主要指,网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:/.host、etC/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制等等方法。访问控制可以通过如下几个方面来实现,比如制定严格的管理制度,配备相应的安全设备,通过交换机划分VLAN,使用应用代理。数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以选择以下几种方式:链路层加密,网络层加密,入侵检测等。数据保护所包含的内容比较广,除了前面讲过的通信保密和访问控制外,还包括以下几个方面:制定明确的数据保护策略和管理制度保护策略和管理制度有:《系统信息安全保密等级划分及保护规范》、《数据安全管理办法》、《上网数据的审批规定》。安全审计主要通过如下几方面实现:制订审计策略和管理制度,制度有:《审计制度》;安全设备:网络监视系统等方法。防病毒措施主要包括技术和管理方面,技术上可在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不致于扩散到其他主机或服务器。备份恢复,对重要设备进行设备备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。

四、结语

本文以中小型企业网络建设和安全防范的实例为基础,分析了网络不同层次和不同系统中当前网络存在隐患和威胁,如病毒、网络入侵及其他人为因素带来的网络安全问题,设计了相应的防范对策。

参考文献:

[1]陈兵、王立松,网络安全体系结构研究,计算机工程与应用,2002.7:138～140.

[2]李静,计算机网络安全与防范措施,湖南省政法管理干部学院学报,2002.2.18(1):87～89.

作者简介:

梅栋(1987-),男,汉族,江苏人,湖北孝感学院电子信息科学与技术专业,本科在读。