企业网络信息安全威胁与防范浅议
2018-10-20赵磊
赵磊
摘要:现今任何企业的发展都离不开互联网,企业依赖计算机网络开展各种商务活动,若企业信息系统中存在的重大网络安全漏洞一旦被人利用,就会给企业带来不可挽回的巨大损失。在“互联网+”时代下,网络信息安全已经成为企业发展的命脉。如何加强企业信息安全意识,采取有效的防范措施是“互联网+”时代下企业应该认真对待的问题。
关键词:企业;网络信息安全;漏洞;威胁;防范措施
中图分类号:TP393. 08
文献标识码:A
文章编号:1672 - 9129(2018)12 - 0100 - 01
1 企业面临的网络信息安全威胁
1.1 来自于互联网的威胁。
(1)拒绝服务攻击。拒绝服务攻击及DOS攻击,是一种让攻击目标瘫痪的攻击手段,攻击者利用网络协议,例如ICMP和UDP协议某个若点,或是企业对外服務系统存在的某一漏洞,对目标发起大规模攻击,致使被攻击目标无法为用户提供正常服务。除此外,某些拒绝服务攻击还可以通过攻击目标使得目标服务缓冲区溢出获得系统root权限。攻击者以此方法开展攻击,其主要目的就是瘫痪企业的网上业务,影响企业的正常经营。
(2)WEB应用SQL注入攻击。企业业务系统大多为web应用+数据库方式实现与用户的数据交互和开支业务。例如Pe rl和PHP与SQL数据库结合,这些语言是解释型语言,在web程序运行时会执行用户输入,若攻击者预先构造恶意代码放置于执行内容中,则攻击者可以执行恶意SQL语句,获得数据库的读取和修改权限,进而获得服务器系统的最高权限,可以随意操作数据,危害极大。入侵者一般通过此方法窃取或篡改企业商业数据或是用户数据。
(3)跨站脚本攻击。跨站脚本攻击又称xss攻击,由于web页面开发方对用户输入的数据过滤不充分,或是完全就没有过滤就放人数据库中,在一些地方又直接从数据库中取出,返回给其他用户,攻击者就是利用这一点向企业网站web页面插入恶意html代码,当企业用户浏览该页面时,嵌入其中的html代码会被执行,达到攻击者目的,此类攻击属于被动攻击,也是web应用中常见入侵方式之一。攻击者利用此类漏洞引导用户在虚假页面上登录账户,以窃取用户数据,用于贩卖或是利用盗取账户进一步渗透入侵。
(4)口令破解攻击。企业通过网络对外开展业务都会存在与用户交互数据的情况,一旦存在业务交互就会采用用户名和密码的认证方式来控制用户访问,而口令破解就是针对用户名和密码的攻击手段,主要方法是用账户默认密码、字典攻击和暴力攻击等方法进行密码猜测,最终获得用户密码的过程,获得用户密码后可通过合法登录进一步攻击应用系统,继续渗透内部系统以达最终非法目的。
(5)电子邮件攻击。电子邮件是最古老的互联网应用之一,自从1971年诞生以来就作为一种有效的在不同计算机之间传输数据的方法,虽然现在有很多即时通讯软件承担文件信息等传递任务,但电子邮件应用并没有退出市场,反而承担了重要的职能,很多应用把电子邮件作为安全性验证的手段,也正是这个原因,针对电子邮件的攻击数量和案例一直居高不下。一是多数电子邮件会话过程使用明文,这样会话过程毫无秘密可言,攻击者只要在会话链路上进行嗅探,就能获得这些敏感的信息。二是早期smtp协议是没有发送方认证的,这使得发件人可以随意标记自己邮件地址,可以将自己伪装成系统或是公司管理层人员,这一问题容易导致大量的社会工程学欺骗和攻击,是攻击者常用的一种渗透手段。
1.2 来自于企业局域网威胁。由于企业内部应用和工作效率的需求,企业内部网络相比对外网络的安全限制措施更少,而此种策略使得内网终端安全和数据安全显得更加脆弱。内网安全威胁主要来自以下几个方面:
(1)内网蠕虫病毒攻击。蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,主要通过网络共享或电子邮件方式,将自身或变种传播到其它电脑终端上,因此可能造成网络拥塞、终端系统崩溃或重要数据的损毁,蠕虫是内网常见且危害最大的一种网络病毒。例如2017年5月12日,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫病毒,这个病毒被称为“永恒之蓝”也称之为“勒索病毒”,该病毒传染面非常广,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,对重要数据造成不可挽回的损失。
(2)网络嗅探及数据窃取攻击。相对于企业外网,企业内网数据传输一般多数采用未加密的明文方式,而另一方面,企业内网除有线接入外还可能有无线接人,无线接入且明文传输无疑是给网络嗅探行为提供可乘之机,攻击者可通过口令破解方式获得合法接人后,嗅探窃取内网传递、存储的重要信息。
(3)内部网络结构或是安全策略缺陷。企业内部网络管理相对外网边界较为“松散”,一方面源于网络出口设置了网络防火墙、防病毒网管等安全设备,多数情况下网络管理员会认为内网威胁较少。一方面因内网业务应用或数据共享的需求.管理员可能会设置较少或是干脆不设置安全规则以服务于业务效率。基于这两方面,管理员对于内网安全策略,或是不同等级的业务数据隔离等处理方式就会偏向“宽松”,重要数据或是业务很少单独隔离。而这就给黑客以可乘之机,一旦黑客控制了内网某台机器,内网对其来说就是“一马平川”,重要数据是唾手可得。
2 企业可采取的防范措施
2.1 技术类防范措施。 (1)针对邮件安全,一是可以采取更加安全的邮件传输协议,尤其是企业内部网络如果架设了内部邮件服务器,则可采用最新的安全邮件协议。二是利用密码技术为邮件提供保密性、完整性、抗抵赖性等一系列服务。三是使用ssl会话对smtp和pop3传输进行保护。
(2)sql注入及跨站脚本攻击防范可以从程序设计、代码编写、安全部署和使用等措施。在企业进行业务程序开发过程中,遵循最小特权原则,严谨程序设计结构设计,代码编写过程中注意格式化输人数据,过滤危险字符等方式,降低注入风险。
(3)DDOS攻击防范。DDOS攻击防御比较困难,依靠单一的技术防范手段无法抵抗此类攻击,而采取有防御、监测和响应多种机制相结合的防范措施体系,比如借助企业专线提供商进行攻击地址屏蔽、攻击流量分流、清洗,配合企业已部署的防火墙设备等就可以吧dos攻击威胁控制在一个可以接受的水平。
(4)用户名密码破解,主要有两种防范方法,一是阻止攻击者反复尝试暴力破解的可能,比如限定試错次数,特定时间内超过限制错误次数即锁定账户,此方法还可配合验证码或是图片识别来是否人工登陆,降低被破解风险;二是提高密码的强度,强制要求用户使用的密码必须包含字符、数字、大小写等,加大密码猜测难度。
(5)面对蠕虫病毒攻击,防范措施一是对于终端电脑做好病毒库的及时更新,推荐安装正版操作系统和杀毒软件,不论终端电脑或是服务器是否处在内网或是外网,终端电脑病毒库都应及时更新。二是蠕虫病毒多以网络传播,尤其局域网内容易被利用的139、445等端口应限制开放,同时内网接入交换和路由设备上也应做相应限制策略,终端电脑系统防火墙规则库也应及时更新。
2.2 管理类防范措施。
(1)科学合理的内网结构部署。较为安全的做法是内部各种业务用网物理隔离或是技术隔离,对于企业内部服务器区尤其是重要企业重要的商业数据或是研发数据服务器采取严格的访问控制策略,或是采取完全的物理隔离作为重点防护区域。而企业对外业务服务器可设立单独的dmz区域。内网重点防护区域及对外DMZ区域与企业业务内网三者之间设立严格的访问控制策略,以减小DMZ区及业务内网两大威胁源对企业重要数据资产的威胁。
(2)完善可行的安全管理制度。首先是企业管理层要重视网络安全,给与网络安全管理部门足够的权限,便于推进系统化的网络安全管理制度落实。制度应涉及企业内信息系统及计算机设备的管理者、使用者,对于不同重要性的IT资产予以区分并制定相应制度。从IT资产、人员、事件(例如应急预案制度等)多个方面人手,形成网络安全各个层面的保障合力。
(3)IT管理及应用人员安全意识与技术培训。如今信息技术发展突飞猛进,网络安全所面临威胁也是日新月异,及时的更新网络安全保障人员及网络终端用户的网络安全意和基础防范技能是十分必要的,企业可考虑采取专项讲座和定期培训相结合的方式,一方面提高网络安全保障人员在面对大范围安全威胁下的防范能力,一方面提高终端用户日常应用的自身防范意识能力,从而提升网络安全的整体防范能力。
(4)定期更新维护系统,开发系统的漏洞更新。结合完备的网络安全管理制度,落实执行各个系统的定期巡检及更新,尤其是内部业务系统,要及时掌握用户反馈的系统应用错误,了解系统开发方补丁更新进度,业务系统补丁更新时开展相应的网络安全测试工作,确保系统打补丁或是更新后的网络安全不受影响。