中小型企業(yè)網絡信息安全技術分析

梅　棟

[摘要]隨著計算機網絡技術飛速發(fā)展,企業(yè)網絡信息安全建設也遇到前所未有的挑戰(zhàn)。通過對企業(yè)單位的調研,在分析網絡信息安全理論基礎上,對于企業(yè)單位網絡信息安全現狀進行總結,并提出企業(yè)網絡信息安全分析及漏洞,最后對于企業(yè)信息安全建設模型提出相關意見措施。

[關鍵詞]網絡安全信息安全安全體系

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0710062-01

在中小企業(yè)特別是偏遠和經濟相對落后的企業(yè),網絡發(fā)展建設迫在眉睫,網絡建設隨后帶來的安全性問題就成為一個艱巨而又長期的問題。而目前網絡管理安全技術人員短缺、安全意識相對淡薄的情況下,如何能夠在網絡建設初期或正在建設過程中盡早的建立起網絡安全意識,了解網絡安全存在的威脅,選拔和培養(yǎng)自己的安全人才,新的安全人員能夠了解和掌握基本安全防范措施,制定適合本單位網絡安全的安全實施計劃,最大限度的避免和減少網絡威脅給企業(yè)帶來不必要的損失[1,2]。

一、企業(yè)網絡現狀和安全性分析

隨著電子信息和計算機技術的發(fā)展,網絡己滲透到經濟和生活的各個領域。同時伴隨著網絡的發(fā)展,也產生各種各樣的問題,其中安全隱患日益突出,無論是企業(yè)、服務供應商、政府部門還是研究和教育機構,安全性顯然決定著網絡要求和工作的優(yōu)先級。計算機網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。

為了更好的保護網絡系統(tǒng)安全,本節(jié)對入侵者的手段和方法作一介紹。網絡入侵者通常以下的步驟和方法達到入侵的目的。(1)信息收集,信息收集是為了了解所要攻擊目標的詳細信息,通常黑客利用相關的網絡協(xié)議或實用程序來收集,如用SNMP協(xié)議可用來查看路由器的路由表,了解目標主機內部拓撲結構的細節(jié),用TraceRoute程序可獲得到達目標主機所要經過的網絡數和路由數,用Ping程序可以檢測一個指定主機的位置并確定是否可到達等。(2)探測分析系統(tǒng)的安全弱點,在收集到目標的相關信息以后,黑客會探測網絡上的每一臺主機,以尋求系統(tǒng)的安全漏洞或安全弱點,黑客一般會使用Telnet、FTP等軟件向目標主機申請服務,如果目標主機有應答就說明開放了這些端口的服務。其次使用一些公開的工具軟件如Internet安全掃描程序ISS、網絡安全分析工具SATAN等來對整個網絡或子網進行掃描,尋求系統(tǒng)的安全漏洞,獲取攻擊目標系統(tǒng)的非法訪問權。(3)實施攻擊在獲得了目標系統(tǒng)的非法訪問權以后,黑客一般會實施以下的攻擊:試圖毀掉入侵的痕跡,并在受到攻擊的目標系統(tǒng)中建立新的安全漏洞或后門,以便在先前的攻擊點被發(fā)現以后能繼續(xù)訪問該系統(tǒng);在目標系統(tǒng)安裝探測器軟件,進一步發(fā)現目標系統(tǒng)的信任等級,以展開對整個系統(tǒng)的攻擊;如果黑客在被攻擊的目標系統(tǒng)上獲得了特許訪問權,那么他就可以讀取郵件,搜索和盜取私人文件,毀壞重要數據以至破壞整個網絡系統(tǒng),那么后果將不堪設想。黑客攻擊通常采用以下幾種典型的攻擊方式:密碼破解、IP欺騙(Spoofing)與嗅探(Sniffing),系統(tǒng)漏洞,端口掃描。

二、網絡安全的控制策略分析

安全控制策略需要考慮到來自網絡內部和外部兩方面的因素,包括制訂完善的企業(yè)級安全策略、應用級安全策略、系統(tǒng)級安全策略以及網絡級安全策略。(1)企業(yè)級安全控制。安全策略必須建立在精心進行的安全分析、風險評估以及商業(yè)需求分析基礎之上。(2)應用級安全控制。應用級安全策略是對企業(yè)內部應用平臺的安全控制,保護合法用戶對數據的合法存取。(3)系統(tǒng)級安全控制。由于主機上采用的UNIX操作系統(tǒng)和數據庫系統(tǒng),都具有訪問權限的控制,因此有很高的安全性。目前,在UNIX上發(fā)現的大多數問題,都歸因于一些編程漏洞及管理不善,如果每個網絡及系統(tǒng)管理員都能注意以下幾點,就可在現有條件下,將系統(tǒng)安全風險降至最低。(4)網絡級安全控制。網絡安全性通過網絡軟件和協(xié)議來控制對網絡的訪問。Intranet采用TCP/IP協(xié)議作為其標準通信協(xié)議,而該協(xié)議本身的安全性控制是很弱的。因此本系統(tǒng)應該采取下列幾方面技術進行網絡安全的控制。

三、網絡安全方案設計

通過對網絡系統(tǒng)的全面了解,按照網絡風險分析結果、安全策略的要求、安全目標及整個網絡安全方案的設計原則,整個網絡安全措施應按系統(tǒng)整體建立。具體的安全控制系統(tǒng)由以下幾個方面組成。

保證計算機信息系統(tǒng)各種設備的物理安全是整個計算機信息系統(tǒng)安全的前提。網絡結構的安全主要指,網絡拓撲結構是否合理;線路是否有冗余;路由是否冗余,防止單點失敗等。工行網絡在設計時,比較好的考慮了這些因素,可以說網絡結構是比較合理的、比較安全的。對于操作系統(tǒng)的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統(tǒng)并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件(如UNIX下:/.host、etC/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用權限進行嚴格限制等等方法。訪問控制可以通過如下幾個方面來實現,比如制定嚴格的管理制度,配備相應的安全設備,通過交換機劃分VLAN,使用應用代理。數據的機密性與完整性,主要是為了保護在網上傳送的涉及企業(yè)秘密的信息,經過配備加密設備,使得在網上傳送的數據是密文形式,而不是明文。可以選擇以下幾種方式:鏈路層加密,網絡層加密,入侵檢測等。數據保護所包含的內容比較廣,除了前面講過的通信保密和訪問控制外,還包括以下幾個方面:制定明確的數據保護策略和管理制度保護策略和管理制度有:《系統(tǒng)信息安全保密等級劃分及保護規(guī)范》、《數據安全管理辦法》、《上網數據的審批規(guī)定》。安全審計主要通過如下幾方面實現:制訂審計策略和管理制度,制度有:《審計制度》;安全設備:網絡監(jiān)視系統(tǒng)等方法。防病毒措施主要包括技術和管理方面,技術上可在服務器中安裝服務器端防病毒系統(tǒng),以提供對病毒的檢測、清除、免疫和對抗能力。在客戶端的主機也應安裝單機防病毒軟件,將病毒在本地清除而不致于擴散到其他主機或服務器。備份恢復,對重要設備進行設備備份。數據備份則主要通過磁盤、磁帶、光盤等介質來進行。

四、結語

本文以中小型企業(yè)網絡建設和安全防范的實例為基礎,分析了網絡不同層次和不同系統(tǒng)中當前網絡存在隱患和威脅,如病毒、網絡入侵及其他人為因素帶來的網絡安全問題,設計了相應的防范對策。

參考文獻:

[1]陳兵、王立松,網絡安全體系結構研究,計算機工程與應用,2002.7:138～140.

[2]李靜,計算機網絡安全與防范措施,湖南省政法管理干部學院學報,2002.2.18(1):87～89.

作者簡介:

梅棟(1987-),男,漢族,江蘇人,湖北孝感學院電子信息科學與技術專業(yè),本科在讀。