企業內部計算機網絡安全問題與防范

喬軍利

【摘要】企業內部網絡安全涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施。為此,企業要不斷建立和完善網絡安全管理體系,加強對硬件和軟件的及時維護,保證系統運行安全。

【關鍵詞】企業;網絡安全;防范措施

一、企業內部計算機網絡(以下簡稱內網)的特點

企業內部計算機網絡相對于廣域網而言,一般具有以下特點:

1、與外界網絡隔離

大部分企業內網是為企業內部生產、管理服務,相對獨立,自成體系,一般與外界計算機網絡沒有進行物理上的連接,與外界不進行溝通。有的企業出于與外界聯系的需要,內網中個別客戶端計算機與英特網等進行連接,內網大部分計算機仍與外界隔離。

2、建立了S/C結構的應用

內網一般建立了S/C結構的應用,能夠提供WEB服務、郵件服務、FTP服務、實時通訊、網上會議等功能,有的安裝行業或本企業專用軟件,都建有數據庫,能夠為企業提供公文傳遞、處理,文件傳輸、電子郵局、網上會議、專用軟件應用等功能。

3、企業的日程運轉對內網的依賴程度越來越高

隨著ERP、OA和CAD等生產和辦公系統的普及,企業的日程運轉對內部信息網絡的依賴程度越來越高,生產和辦公系統的電子化,使得內網絡成為單位信息和指令傳遞的主要載體,內網已經成了各個企業、單位的生命線。

4、對網絡的安全要求越來越高

內網由大量的終端、服務器和網絡設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對內網各個具體部分尤其是服務器、數據庫的穩定性、可靠性和可控性提出高度的要求。

二、一般內網安全存在的問題

計算機網絡安全按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全。根據內網的特點,從上面幾個方面進行分析,內網安全存在管理使用、技術兩個大的層面的問題。

1、內網管理、使用方面

(1)網絡安全意識不強。在部分企業,由于內網建成時間還比較短,部分管理人員、使用人員因對計算機知識掌握不多,網絡安全意識不強,對信息資產保護的經驗相對薄弱。在正常的情況下,往往會忽視對網絡安全的保護。

(2)管理制度不完善。在部分企業,由于對內網安全重視不夠,管理制度不完善。有的雖建立了內網管理制度,但涵蓋不全面。有的企業對內網管理制度執行不到位,甚至還沒有建立相應的制度。

(3)內部人員使用不規范。在內網中,由于使用人員使用不當而造成的問題占絕大多數。如有些使用人員不等計算機完全關閉而關閉UPS電源,有的使用人員在多機上使用U盤、活動硬盤拷貝文件而不注意殺毒,導致病毒入侵。有些用戶在計算機設備上隨意安裝軟件。還有的將自己的帳號隨意轉借他人或與別人共享。

2、技術方面存在的問題

(1)操作系統不能及時升級。一個操作系統總是存在著一定的缺陷和漏洞,正是由于有了這些缺陷和漏洞,木馬、病毒才有了可乘之機。內網自成體系,操作系統經常不能得到及時升級,為內網安全埋下隱患。

(2)軟件存在安全漏洞不能得到及時修補。同樣的道理,應用的軟件也存在著一定的缺陷和漏洞。有的編程人員對于編程中安全性重視不夠,造成缺陷和漏洞的存在,甚至有的軟件“后門”是編程人員為了自便而設置的。

(3)投入不足,信息安全產品部署不到位。有的企業使用單機版防火墻和防病毒軟件來代替網絡版產品,有的一套防病毒軟件多機安裝,甚至有的企業完全沒有使用任何信息安全產品。

(4)內網維護技術力量相對薄弱。一般情況下,企業對于內網的建設都是一次性投資,行業或本企業專用軟件也是一次性開發的。企業一般都注重日常的生產、經營,對于內網運行、維護相對關注較少。內網沒有或很少有專業的維護人員。內網維護的投入費用、維護人員的管理、培訓相對較少,維護技術力量相對薄弱。

三、防范措施

1、提高網絡安全意識

加強對內網管理、使用人員安全意識的教育,使其認識到內網安全的重要性。同時進行必要的計算機應用的培訓工作,使其真正了解所用設備的性能,掌握信息安全的知識和防范措施,如開機加密、屏幕保護加密、目錄加密、文件加密、網絡傳輸加密等技術。

2、完善有關規章制度,加強對網絡使用的管理

加強網絡的安全管理,完善有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。對計算機應用的各個環節,制定出符合實際、操作性強的規章制度。

3、從設置上加強系統的安全性

(1)用戶安全設置。禁用Guest賬號,刪除不必要的用戶,如:去掉測試用戶、共享用戶等等。把系統Administrator賬號改名,同時要把共享文件的權限設成授權用戶。在登錄上不讓系統顯示上次登錄的用戶名,使用用戶策略等。

(2)密碼安全設置。一是使用安全密碼。密碼設置不要使用公司名、與用戶名相同或簡單的數字、生日等,密碼盡量設成字母、數字、符號、漢字等混合排列,要有一定的長度,還要注意經常更改密碼。二是設置屏幕保護密碼。三是開啟應用密碼策略。四是考慮使用智能卡來代替密碼。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。

4、加大對內網技術層面的維護

(1)加強對專業人才的引進和培訓。一是引進計算機專業技術人才。二是對內網維護專業技術人員定期進行專業技術知識培訓,以跟上計算機技術發展的步伐。

(2)加強對計算機物理硬件定期巡視維護。內網設備投入使用后,需要對內網中的各種設備使用環境、運行情況進行日常的巡視、檢查,做好保養、除塵,維修更換損壞或老化配件、線路,才能保證設備的正常運行。

(3)及時對操作系統進行更新。對操作系統及時更新和打補丁是保證操作系統穩定運行的必要條件。由于內網與互聯網沒有直通,不能自動更新和升級,需要維護人員進行手動升級。對于內網中服務器、終端較多的情況,推薦使用補丁管理軟件以減輕維護人員的工作量。

(4)對于服務系統、應用系統、數據庫及時打補丁。第一,提供網絡服務的系統如IIS、數據庫、應用系統最好不要安裝到系統盤上,安裝在專用磁盤空間內。第二,關閉不需要的端口,如3389端口等。第三,禁

用不必要的服務,如遠程協助、局域網管理共享文件、telnet服務。第四,刪除默認共享。第五,及時更新升級和打補丁。第六,通過對IIS、數據庫正確設置,提高安全性。如修改IIS、數據庫的默認安裝路徑,在IIS管理器中刪除必須之外的其他沒有用到的映射,數據庫中刪除不需要的存儲過程,為IIS中的文件分類設置權限。建議使用W3C擴充日志文件格式,每天記錄客戶IP地址,用戶名,服務器端口,而且每天均要審查日志。

(5)完善編程,堵塞漏洞。涉及用戶名與口令的程序最好封裝在服務器端,盡量少在客戶端進行驗證,涉及到與數據庫連接的用戶名與口令應給予用戶最小的權限,盡量將程序寫得嚴密和安全等。

(6)建立重要文件備份。如果計算機的硬盤損壞,將會導致數據丟失,因此必須定期建立數據備份。一旦硬盤發生問題時,可以確保盡量少的數據丟失或根本不丟失,使整個系統能盡早恢復正常使用。

(7)使用防火墻、防病毒軟件、網絡監測軟件等定期對網絡進行監測和檢查。一是采用防火墻技術,通過在服務器、各終端邊界上建立起來的通信監控系統來實時檢查、隔離,以阻擋木馬病毒的傳播和侵入,從而實施安全訪問控制,提高內網的安全性。二是安裝網絡版防病毒軟件,加強病毒檢測,及時發現病毒并予以清殺,可有效阻止其在網絡上蔓延和破壞。三是安裝網絡監控軟件,能夠及時發現內網中存在的異常情況,并在內網發生安全事件后,提供有效的證據,實現事后追查問題根源的目標。

總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。為此,企業要不斷建立和完善網絡安全管理體系,加強對硬件和軟件的及時維護,保證系統運行安全。