浅谈企业网络安全面临的威胁及设计原则

来源:用户上传      作者: 葛永

　　摘要：针对企业网络安全所面临的现状，分析企业在网络安全问题上所面临的主要威胁，提出解决企业网络安全的设计原则，最大可能解决企业网络安全问题。
　　关键词：网络安全；网络设计原则
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4332-02
　　随着信息技术的快速发展、现代网络的普及、企业网络化运作，企业门户网站、企业电子商务等在企业经营运作过程中扮演着重要的角色，许多有远见的企业都认识到依托先进的信息技术构建企业自身业务和运营平台将极大地提升企业的竞争力，使企业在残酷的竞争中脱颖而出。然而，企业在具有信息优势的同时，也对企业的网络安全提出了严峻的考验。据报道，现在全世界平均每20秒就会发生一次计算机网络入侵事件。据智能网络安全和数据保护解决方案的领先供应商SonicWALL公司日前发布了其2011年年中网络威胁情报报告：“报告显示，企业正面临越来越多网络犯罪分子的攻击，这些人企图攻击的主要对象是那些通过移动设备连接访问企业网络以及越来越频繁使用社交媒体的企业员工。基于恶意软件以及社交媒体诈骗的增多，正引发新的以及更严重的来自数据入侵、盗窃和丢失等方面造成的企业业务漏洞。”可见，企业网络安全面临的压力越来越大，认清企业网络安全面临的主要威胁、设计实施合适的网络安全策略，已成为摆在企业面前迫在眉睫的问题。
　　 1企业网络安全面临的主要威胁
　　由于企业网络由内部网络、外部网络和企业广域网所组成，网络结构复杂，面临的主要威胁有以下几个方面：
　　1.1网络缺陷
　　Internet由于它的开放性迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要的是考虑资源共享基本没有考虑安全问题，缺乏相应的安全监督机制。
　　1.2病毒侵袭
　　计算机病毒通常隐藏在文件或程序代码内，伺机进行自我复制，并能够通过网络、磁盘等诸多手段进行传播，通过网络传播计算机病毒，其传播速度相当快、影响面大，破坏性大大高于单机系统，用户也很难防范，因此它的危害最能引起人们的关注，病毒时时刻刻威胁着整个互联网。
　　1.3黑客入侵
　　黑客入侵是指黑客利用企业网络的安全漏洞、木马等，不经允许非法访问企业内部网络或数据资源，从事删除、复制甚至破坏数据的活动。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。
　　1.4数据窃听与拦截
　　这种方式是直接或间接截取网络上的特定数据包并进行分析来获取所需信息。这使得企业在与第三方网络进行传输时，需要采取有效的措施来防止重要数据被中途截获、窃听。
　　1.5拒绝服务攻击
　　拒绝服务攻击即攻击者不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统相应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务，是黑客常用的攻击手段之，其目的是阻碍合法网络用户使用该服务或破坏正常的商务活动。
　　1.6内部网络威胁
　　据网络安全界统计数据显示，近80%的网络安全事件是来自企业内部。这样的安全犯罪通常目的比较明确，如对企业机密信息的窃取、数据更改、财务欺骗等，因此内部网络威胁对企业的威胁更为严重。
　　 2企业网络安全设计的主要原则
　　针对企业网络安全中主要面临的威胁，考虑信息安全的机密性、完整性、可用性、可控性、可审查性等要素，建议在设计企业网络时应遵循以下几个原则：
　　2.1整体性原则
　　在设计网络时，要分析网络中的安全隐患并制定整体网络的安全策略，然后根据制定的安全策略设计出合理的网络安全体系结构。要清楚计算机网络中的设备、数据等在整个网络中的作用及其访问使用权限，从系统整体的角度去分析，制定有效可行的方案。网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、灾难恢复等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。
　　2.2平衡性原则
　　任何一个网络，不可能达到绝对的安全。这就要求我们对企业的网络需求（包括网络的作用、性能、结构、可靠性、可维护性等）进行分析研究，制定出符合需求、风险、代价相平衡的网络安全体系结构。
　　2.3扩展性原则
　　随着信息技术的发展、网络规模的扩大及应用的增加，面临的网络威胁的也会随之增多，网络的脆弱性也会增多，一劳永逸地解决网络中的安全问题也是不可能的，这就要求我们在做网络安全设计时要考虑到系统的可扩展性，包括接入能力的扩展、带宽的扩展、处理能力的扩展等。
　　2.4多层保护原则
　　任何的网络安全措施都不会是绝对的安全，都有可能被攻击被破坏。这就要求我们要建立一个多层保护系统，各层保护相互补充、相互协调，组成一个统一的安全防护整体，当一层保护被攻击时，其它层保护仍可保护信息的安全。
　　
　　图1基于网络安全设计原则的拓扑示意图
　　防火墙：网络安全的大门，用来鉴别什么样的数据包可以进出企业内部网络，阻断来自外部的威胁，防火墙是不同网络或网络安全域之间信息的唯一出入口，防止外部的非法入侵，能根据网络的安全策略控制访问资源。
　　VPN：是Internet公共网络在局域网络之间或单点之间安全传递数据的技术，是进行加密的最好办法。一条VPN链路是一条采用加密隧道构成的远程安全链路，远程用户可以通过VNP链路来访问企业内部数据，提高了系统安全性。
　　访问控制：为不同的用户设置不同的访问权限，为特定的文件或应用设定密码保护，将访问限制在授权用户的范围内，提高数据访问的安全性。
　　数据备份：是为确保企业数据在发生故障或灾难性事件的情况下不丢失，可以将数据恢复到发生故障、灾难数据备份的那个状态，尽可能的减少损失。
　　 3小结
　　通过分析企业网络安全面临的主要威胁及主要设计原则，提出了一个简单的企业网络安全设计拓扑示意图，该图从技术手段、可操作性上都易于实现，易于部署，为企业提供了一个解决网络安全问题的方案。
　　参考文献：
　　[1]邓吉,张奎亭,罗诗尧.网络安全攻防实战[M].北京:电子工业出版社,2008.
　　[2]陈雷.企业网络安全防护体系的建立与维护[J].企业信息化,2010.
转载注明来源:https://www.xzbu.com/8/view-3434118.htm