企業信息化網絡的安全隱患及解決策略

摘要：論述了企業信息化網絡存在的安全隱患，提出了企業信息化網絡的安全策略體系和總體解決方案。

關鍵詞：信息化；網絡安全；企業；解決方案

0 引言

現代企業信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡，由于公眾網絡是一個相對開放的平臺，網絡接入比較復雜，掛接的相關點比較多，網絡一旦接入公眾網絡，對于一些網絡安全比較敏感的數據，傳輸的安全性就比較弱，比較危險。本文將重點分析企業網絡系統安全性方面以及業務系統安全性方面存在的問題。

1 企業信息化網絡存在的安全隱患

1.1 Windows系統的安全隱患

Windows的安全機制不是外加的，而是建立在操作系統內部的，可以通過一定的系統參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統時鐘，對用戶賬號、用戶權限及資源權限的合理分配等。

由于Windows系統的復雜性，以及系統的生存周期比較短，系統中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊。例如，Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患：NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中，由于采用的算法的原因，NT口令比較脆弱，容易被破譯。能解碼SAM數據庫并能破解口令的工具有：PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發現漏洞而破譯—個或多個DomainAdministrator帳戶的口令，并且對NT域中所有主機進行破壞活動。

1.2 路由和交換設備的安全隱患

路由器是企業網絡的核心部件，它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份，并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密，路由器將失去所有的保護能力。同時，路由器口令的弱點是沒有計數器功能，所以每個人都可以不限次數地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令，路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外，路由器實現的某些動態路由協議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網絡的路由設置，達到破壞網絡或為攻擊作準備的目的。

1.3 數據庫系統的安全隱患

一般的現代化企業信息系統包含著多套數據庫系統。數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題，在數據庫技術誕生之后就一直存在，并隨著數據庫技術的發展而不斷深化。如何保證和加強數據庫系統的安全性和保密性對于企業的正常、安全運行至關重要。

我們將企業數據庫系統分成兩個部分：一部分是數據庫，按照一定的方式存取各業務數據。一部分是數據庫管理系統(DBMS)，它為用戶及應用程序提供數據訪問，同時對數據庫進行管理，維護等多種功能。

數據庫系統的安全隱患有如下特點：涉及到信息在不同程度上的安全，即客體具有層次性和多項性；在DBMS中受到保護的客體可能是復雜的邏輯結構，若干復雜的邏輯結構可能映射到同一物理數據客體上，即客體邏輯結構與物理結構的分離；客體之間的信息相關性較大，應該考慮對特殊推理攻擊的防范。

2 企業信息化網絡安全策略的體系

網絡安全策略為網絡安全提供管理指導和支持。企業應該制定一套清晰的指導方針，并通過在組織內對網絡安全策略的發布和保持來證明對網絡安全的支持與承諾。

2.1 安全策略系列文檔結構

(1)最高方針

最高方針，屬于綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則，網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來，并遵照最高方針，不與之發生違背和抵觸。

(2)技術規范和標準

技術標準和規范，包括各個網絡設備、主機操作系統和主要應用程序應遵守的安全配置和管理技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發生違背和沖突。它向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據。

(3)管理制度和規定

管理制度和規定包括各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，必須具有可操作性，而且必須得到有效推行和實施。它向上遵照最高方針，向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法，不與之發生違背。

(4)組織機構和人員職責

安全管理組織機構和人員的安全職責，包括安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照，此部分必須具有可操作性，而目必須得到有效推行和實施。

(5)用戶協議

用戶簽署的文檔和協議，包括安全管理人員、網絡和系統管理員安全責任書、保密協議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規定的承諾，也作為違背安全時處罰的依據。

2.2 策略體系的建立

目前的企業普遍缺乏完整的安全策略體系，沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規定上。企業應當建立策略體系，制定安全策略系列文檔。建議按照上面所描述的策略文檔結構，建立起安全策略文檔體系。

建議策略編制原則為建立一個統一的、體系完整的企業安全策略體系，內容覆蓋企業中的所有網絡、部門、人員、地點和分支機構。鑒于企業中的各個機構業務情況和網絡現狀差別很大，因此在整體的策略框架和體系下，允許各個機構根據各自情況，對策略體系中的管理制度、操作流程、用戶協議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業統一制定的策略文檔中的規定，不允許發生違背和矛盾，其要求的安全程度只能持平或提高，不允許下降。

2.3 策略的有效發布和執行

安全策略系列文檔制定后，必須發布和有效執行。發布和執行過程中除了要得到企業高層領導的大力支持和推動外，還必須要有合適的、可行的發布和推動手段，同時在發布和執行前對每個本員要進行與其相關部分的充分培訓，保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到企業許多部門和絕大多數人，可能需要改變工作方式和流程，所以推行起來阻力會相當大；同時安全策略本身存在的缺陷，包括不切實際的、太過復雜和繁瑣的、規定有缺欠的情況等，都會導致整體策略難以落實。

3 企業信息化網絡安全技術總體解決方案

參考以上所論述的，結合現有網絡安全核心技術，本文認為，企業信息化網絡總體的安全技術解決方案將圍繞著企業信息化網絡的物理層、網絡層、系統層、應用層和安全服務層搭建整體的解決方案，企業信息化網絡建設將著重從邊界防護、系統加固、認證授權、數據加密、集中管理五個方面進行，在企業信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統，并通過統一的平臺進行集中管理，從而實現企業信息化網絡安全既定的目標。

3.1 防火墻系統的引入

通過防火墻系統的引入，利用防火墻“邊界隔離+訪問控制”的功能，實現對進出企業網的訪問控制，特別是針對內網服務器資源的訪問，進行重點監控，可以提高企業網的網絡層面安全。防火墻子系統能夠與入侵檢測子系統進行聯動，當入侵檢測系統對網絡中的數據包進行細粒度檢測，發現異常，并通知防火墻時，防火墻會自動生成安全策略，將訪問源阻斷在防火墻之外。

3.2 入侵檢測子系統的引入

入侵檢測系統用于實時檢測針對重要網絡資源的網絡攻擊行為，它會對企業網內異常的訪問及數據包發出報警，以便企業的網絡管理人員及時采取有效的措施，防范重要的信息資產遭到破壞。同時，可在入侵檢測探測器與防火墻之間建立互動響應體系，當探測器檢測到攻擊行為時，向防火墻發出指令，防火墻根據入侵檢測系統上報的信息，自動生成動態規則，對發出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合，能夠共同提高企業網整體網絡層面的安全性，兩個系統共同構成了企業網的邊界防護體系。

3.3 網絡防病毒子系統的引入

防病毒子系統用于實時查殺各種網絡病毒，可防范企業網遭到病毒的侵害。企業應在內部部署網關級、服務器級、郵件級，以及個人主機級的病毒防護。從整體上提高系統的容災能力，提升企業網整體網絡層面的安全性。

3.4 漏洞掃描子系統的引入

漏洞掃描子系統能定期分析網絡系統存在的安全隱患，把隱患消滅在萌牙狀態。針對企業網絡中存在眾多類型的操作系統、數據庫系統，運行著營銷系統、財務系統、客戶信息系統、人力資源系統等重要的應用，如何確保各類應用系統的穩定和眾多信息資產的安全，是企業信息化網絡中需要重點關注的問題。通過漏洞掃描子系統對操作系統、數據庫、網絡設備的掃描，定期提交漏洞及弱點報告，可大大提高企業網整體系統層面的安全性。該系統與病毒防范系統一起構成了企業網的系統加固平臺。

3.5 數據加密子系統的引入

通過對企業網重要數據的加密，確保數據在網絡中以密文的方式被傳遞，可以有效防范攻擊者通過偵聽網絡上傳輸的數據，竊取企業的重要數據，或以此為基礎實施進一步的攻擊，從而提高了企業網整體應用層面的安全性。

4 結束語

本文分析了企業信息化網絡的安全隱患，深入探討了企業信息化網絡安全技術的解決方案。網絡安全是個動態的、不斷發展的概念。企業信息化網絡建設中既要保持網絡有一個相對穩定的安全框架，同時也要不斷地吸收新興的安全技術，只有這樣，才能有效消除網絡安全隱患，在技術飛速發展的網絡時代保持企業信息化網絡的健康發展。