对企业网络信息安全威胁的破解分析

来源:用户上传      作者: 王月强

　　【摘 要】随着计算机网络技术的发展，企业的信息化程度越来越高。但从整体来看，网络信息安全还存在很多问题，网络安全工作明显滞后于网络建设。如果企业的网络信息安全遭到破坏，带来的损失将是不可估量的。结合上海长兴供电公司网络管控经验，分析了可能威胁到网络信息安全的各种因素，并从管理机制和常用技术手段来探讨破解网络信息安全威胁的方法。
　　【关键词】企业；网络信息安全；防火墙；入侵检测；管理机制
　　
　　一、前言
　　随着信息技术的蓬勃发展，网络信息系统在各行业的应用越来越广，许多企业亦开始广泛地利用信息化手段来提升自身的竞争力，从而使企业的运转也越来越依赖于信息技术和基础性信息系统，信息化已逐渐成为信息时代企业建设和发展的必然选择。然而，网络信息给企业带来了巨大的资源和信息访问的方便之际，同时也带来了潜在的危险。黑客入侵、病毒破坏、电子欺诈等各种威胁使网络信息处于随时可能被破坏的危险之中[1]。因此，必须充分重视和了解网络信息系统的安全威胁所在，指定保障网络信息安全的应对措施，落实严格的安全管理制度，使网络信息得以安全运行。
　　二、威胁网络信息安全的因素
　　1.内部人员的失误和破坏[2]
　　网络管理员或网络用户拥有一定的权限，利用这些权限破坏网络完全的可能性也是存在的。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。
　　2.非法访问
　　非法访问值的是未经授权使用网络或计算机资源或以未授权的方式使用网络资源，它包括：非法用户如黑客进入网络或系统，进行违法操作；合法用户以未授权的方式进行操作或擅自扩大权限，越权访问信息。造成重要信息泄露。
　　3.服务干扰
　　即干扰系统正常运行，破坏网络系统的可用性。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。如：恶意添加、修改、插入、删除或重复某些无关信息不断对网络信息服务系统进行干扰，使系统响应减慢甚至瘫痪，影响用户的正常使用。
　　4.电脑病毒
　　电脑病毒具有自我复制能力，品种繁多，感染性强，特别是在网络环境下，传播扩散速度更快。电脑病毒可以通过电子邮件、文件下载、软盘使用等各种方式侵入网络内部，删除、破坏文件，导致程序运行错误、死机，甚至毁坏硬件，严重危害网络信息的安全。
　　5.软件的漏洞和“后门”
　　软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如Windows的安全漏洞便有很多，Windows XP、Windows 7都被发现有漏洞。
　　6.电磁辐射
　　电子设备工作过程都有电磁辐射产生，电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄漏。这是因为，网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏，使用特殊设备，在近处甚至远处都可以将这些数据，包括在终端屏幕上显示的数据接收下来，并且重新恢复。
　　7.物理环境
　　它属于计算机设备防止自然灾害的领域，比如火灾和洪水。也包括一般的物理环境的保护，象机房的安全门等。物理环境安全保护的范围不仅包括计算机设备和传输线路，也包括一切可以移动的物品，比如打印数据的打印纸和装有数据和程序的磁盘。
　　三、破解网络信息安全威胁的技术手段
　　1.防火墙技术
　　防火墙[3]是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。
　　防火墙从概念上分为包过滤防火墙（网络层防火墙）、双宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙，从功能上又分为FTP防火墙、网关型防火墙、E-mail防火墙和病毒防火墙等。通常几种防火墙技术同时使用，互相弥补各自缺陷、增加系统的安全性。
　　通过应用防火墙技术，可以做到通过过滤不安全的服务，可以极大地提高网络安全和减少网络中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过等；可以提供对系统的访问控制。可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限；对内部网络实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略；可以阻止攻击者获取攻击网络系统的有用信息。
　　2.VPN技术
　　VPN（虚拟专用网络）技术是将两个地理位置不同的主机或网络通过借助公用网（INTERNET）的物理连接形成一个逻辑上属专用连接的虚拟网络技术。VPN技术远程用户或企业员工可以像访问本地网络一样对企业网络资源进行访问。
　　安置VPN服务器考虑服务器放置位置。若放在防火墙前则整个内网主要以接收VPN用户的数据为主。而放在防火墙后则内网更多的带宽处理非VPN用户的连接。建议将VPN服务器放置在防火墙后边：一接收外网其他数据，二避免VPN服务器直拉暴露在公网上，受到频繁攻击。
　　虽然VPN提供连接上的一定安全性，但是在为VPN用户分配权限时避免为每一个用户授予访问内部网络资源的全部权限，这样可以通过服务器上的登录控制权限列表来限制VPN用户的访问权限。
　　VPN技术是对企业网络的拓展，只要能够连接到INTERNET的地方，都可建立VPN，既方便又经济，所以对于企业而言，采用VPN是很合适的。
　　3.入侵检测技术
　　入侵检测技术简称IDS[4]，主要对用户或系统的行为进行监视。IDS分为基于主机（HIDS）和基于网络（NIDS）的入侵检测。
　　HIDS是对系统的行为进行记录，通过分析审计给出统计分析报告，它只对自身宿主系统进行检测并不对网络进行任何干扰。因此无法保证其他系统的状况。NIDS通过监听网络上的全部信息流量，发送警报及对流量的分析记录，它只对网络状况进行分析并不对系统进行深一步的分析。
　　4.防病毒技术
　　随着INTERNET的发展，病毒已成为了让当前INTERNET用户头痛的问题。由于病毒利用INTERNET信息交换传播，它传播速度迅速，带来的损失是不可估量的。
　　对于企业来说，其企业网络的防病毒能力强弱也直接影响到该企业网络的安全程度。防病毒一般可以划分成基于主机和基于网络两种防护体系。我公司用的是两种技术相结合后的多层防病毒体系。
　　多层防病毒体系的基本思想是：在网络内设立一个管理中心，完整地分布防病毒系统软件，管理中心直接对网内所有的防病毒服务器和客户端进行监护，自动同步的升级客户端软件，对整个网络中的系统的防护状态进行监控。
　　企业网络的病毒防护需要不间断的升级加固，以“集中实施管理，以防为主，防杀结合”为原则。
　　5.其他技术的介绍
　　诸如数据加密技术，身份验证技术，VLAN技术，NAT+DHCP技术，访问控制技术，以及审计系统[5]都是保证一个企业网络安全的重要因素。以下对这几种技术进行简单介绍：
　　VLAN技术可以将整个内部网络划分成几个小的子网，以此对网络进行有效管理。防止越权访问，减小网络所带来的广播域以提高带宽的利用率。

　　NAT+DHCP技术使内部网络彻底的隐藏并通过NAT实现共享上网，对于外部网络来说由于内部网络的不可见性，可以对内部网络直接攻击。
　　访问控制技术可限定用户的访问范围，使用的端口，协议以及可以访问哪些资源，减少服务器的负载，降低受攻击的成功率。
　　审计系统可以记录用户的请求和行为，了解用户对系统所做的事情及运行状况。
　　四、维护网络信息安的管理机制
　　要减少对网络信息安全的威胁，除了采用上述网络信息安全技术外，还必须加强网络的安全管理。
　　1.合理划分安全域[6]
　　企业应根据整体的安全规划和信息安全密级，合理地划分安全域，把不同的业务放置在不同的安全域当中，不同的安全域实施不同的安全措施，通过有效的手段实现不同安全域之间有效的隔离和安全控制。一般可划分出安全区域（即内网区域）、非军事区（DMZ）和不安全区域。我公司已经合理划分了信息内网和信息外网，两者之间做了强物理隔离。
　　2.建立完善、可操作性强的安全管理制度
　　建立完善、可操作性强的安全管理制度，并严格执行，是企业真正实现网络信息安全的重要环节。安全管理制度主要包括：用户权限管理制度，口令保密制度，密码及密钥管理制度，网络系统安全管理制度，系统信息备份与恢复制度，病毒防范制度等。
　　3.加强人员培训与安全教育，提高职工安全意识
　　网络信息安全，是一个系统工程，除了采取必要的技术手段和管理制度外，企业员工和网络管理人员的素质非常重要。我公司经常对全体员工和各级网络管理人员进行安全培训，使他们明确各自的安全权限和责任，自觉遵守和执行国家有关安全保密的各种政策、法规，严格执行本单位网络信息安全的有关管理制度，养成良好的网络行为规范。
　　五、结论
　　网络信息安全是企业信息化过程中亟待解决的一个重要任务。上海长兴供电公司要从技术和管理两个方面着手，抓好网络信息安全工作，尽可能将网络信息安全威胁程度减到最小。其中，良好的安全技术是网络安全的手段和基础，高素质的职工和网络管理人员是实现网络信息安全的保证，落实严格规范的安全管理制度是网络安全的关键。
　　
　　
　　参考文献
　　[1]石淑华,弛瑞楠.计算机网络安全基础[M]. 北京:人民邮电出版社.2005.
　　[2]郭护林.企业网络信息安全分析[J].西北电力技术,2002.30：P83-86.
　　[3]李俊勇，刘明刚，王明举译.NTERNET防火墙与网络安全[M].北京：机械工业出版社.1998.
　　[4]李俊宇.信息安全技术基础[M].北京：北京冶金工业出版社.2004.
　　[5]江和平.浅谈网络信息安全技术[J].现代情报.2004,(12):125-127.
　　[6]沈昌祥.信息安全工程导论[M].北京:电子工业出版社.2003.

转载注明来源:https://www.xzbu.com/6/view-2267593.htm