構建企業中的網絡安全系統

［摘要］ 隨著信息化技術在企業中應用的飛速發展，企業網絡安全逐漸成為人們關注的焦點，如何在企業內構建安全的網絡體系，已成為保障企業信息化發展的關鍵。

［關鍵詞］ 網絡； 防火墻（firewall）； 黑客； Internet

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 14. 040

［中圖分類號］TP393.08 ［文獻標識碼］A ［文章編號］1673 - 0194（2011）14- 0069- 02

１引言

隨著Ｉｎｔｅｒｎｅt迅速發展和普及，接入Ｉｎｔｅｒｎｅt的企業的不斷增加，各個企業都已感到網絡的重要性，陸續建立起了自己的企業網絡。企業網絡在帶來巨大的資源和信息訪問方便的同時，也來了不安全因素和潛在的危險。我國企業在網絡安全方面存在諸多問題，網絡安全意識薄弱。據調查，在我國企業單位７０％未設立相應的安全管理組織，５６％無嚴格的調存管理制度，５４％無應急措施，４７％無事故發生后的系統恢復方案。企業的網絡安全不僅要求具有一般性的防衛規范，還應具有相當專業的防護措施。這就需要企業內部建立完整的網絡安全體系，特別是符合企業自身特點的網絡安全體系。

２企業計算機系統的網絡安全問題

（１） 網絡病毒對于企業內部網絡的入侵行為。據報道，全世界平均每２０秒就發生一次計算機網絡入侵事件。通常大多數企業的網絡都擁有固定的Ｉｎｔｅｒｎｅｔ連接，企業內部的計算機可通過該Ｉｎｔｅｒｎｅｔ連接訪問外部資源，同時，外部網絡也可以通過該Ｉｎｔｅｒｎｅｔ連接訪問企業對外發布信息的服務器，如企業網站和電子郵箱、ＥＲＰ、ＭＳＥ等服務。與此同時，病毒、垃圾郵件和不良信息等也可以通過Ｉｎｔｅｒｎｅｔ連接傳入企業內部網絡，干擾企業網絡的正常運行，影響企業正常業務的順暢運行。因而，有必要在企業的網絡與Ｉｎｔｅｒｎｅｔ間建立安全的防護體系，將不安全因素拒于企業網絡之外，防止非安全因素通過企業網絡與Ｉｎｔｅｒｎｅｔ連接傳播到企業內部的服務器或客戶計算機上。防火墻就是一種有效的安全工具，它不僅可以隱蔽企業內部網絡結構，同時還可以限制企業外部網絡對內部網絡的訪問。但防火墻的缺點是對于企業內部用戶之間的數據訪問安全沒有約束力。

（２） 企業內部網站的后門是傳統安全工具難以考慮到的地方。由于技術條件的限制，目前一些企業網站的管理員為了方便采用了免費下載的源程序，這些源程序雖然使用方便，但卻存在極大的安全隱患。如ＡＳＰ源碼問題，這個問題在ＩＩＳ服務器４．０以前一直存在，它是ＩＩＳ服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ＡＳＰ程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。防火墻對這種攻擊是無法察覺的。

（３） 操作系統或應用程序的漏洞。從安全的角度上說，各種操作系統都是存在漏洞的，或多或少，有的漏洞可能還沒有被發現，有的漏洞可能已經被發現。黑客往往利用互聯網的漏洞入侵企業網絡。

（４） 網絡的ＩＰ地址被他人盜用。我們知道，網絡中每一臺計算機使用的ＩＰ地址是一個相對靜態的邏輯地址，它極易被設置和修改，要防止用戶隨意修改ＩＰ地址，可以使用局域網中的ＤＨＣＰ服務器來為工作站分配動態ＩＰ地址，但用戶也可以使用其他軟件，來修改網卡的ＭＡＣ地址，甚至通過修改注冊表的方式，來修改網卡的ＭＡＣ地址。所以工作站的ＩＰ地址很容易被別人盜用。當發生ＩＰ地址被他人非法盜用的現象時，會造成整個局域網網絡內的所有工作站都不能上網，甚至整個局域網有可能全部癱瘓。

３企業網絡安全體系防護方法

針對以上問題，企業網絡安全體系常用以下幾種防護方法：防火墻、ＶＰＮ、反病毒軟件，以及入侵檢測系統（ＩＤＳ）。大型企業一般會在內網與Ｉｎｔｅｒｎｅｔ連接處架設防火墻，作為企業內部網絡與外網的第一道安全屏障；從網絡安全的角度出發，普通防火墻只能在網絡層上保護內網的計算機、服務器等不受外網的惡意攻擊與非法訪問，并不能阻斷病毒、垃圾郵件等非安全因素進入到內網的計算機等。ＶＰＮ則是在兩個不安全的計算機間建立起一個受保護的專用通道，但是它并不能保護網絡中的資料。防病毒軟件都采用特征碼識別的方法查殺病毒，所以，這種方法決定了防病毒軟件只對已知的病毒具有識別能力。那么，一旦計算機的病毒代碼庫更新不及時，就有可能中病毒。另外，防病毒軟件對于混合式攻擊沒有有效的防護手段，有時影響網絡訪問的整體性能。

任何一種防護方法都不能獨自對企業網絡系統起到真正積極有效的防護作用。本文簡單地介紹多種防護措施并用的方法：

（１） 制定一套安全機制，提高工作人員網絡安全的安全意識。要求企業的網絡管理人員，都必須按照這個安全機制來執行。包括對安全設備、操作系統及應用系統的安全管理。企業網絡系統安全的最大風險，來自登錄驗證，取消所有運行程序的默認設置減少泄露信息。傳統的登錄模式可以非常輕松地套取到用戶名和密碼，這樣，企業網絡將再無安全可言。建議網管使用基于ＩＰ＋賬號＋密碼的驗證方式，這樣最大限度地保障網絡的安全，定期更改系統的登錄密碼，定期檢查日志文件，查看有無可疑的登錄行為。

（２） 網絡病毒的防范。 在網絡環境下，病毒傳播擴散快，必須有網絡版的全方位防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

（３） 防火墻的使用。防火墻的作用是可以隔離有一定風險網絡與企業局域網的連接，同時不會妨礙人們對風險區域的訪問。防火墻僅讓安全、核準的信息進入，同時又抵御對企業內部數據的威脅，是企業網絡與外界網絡之間的一道防御系統，大大地提高了企業網絡的安全性。

企業網管員通過防火墻的過濾規則，可以實現端口級控制，限制局域網用戶對Ｉnternet的訪問；同時進行流量控制，確保重要業務對流量的要求；以時間為控制要素，限制大流量網絡應用在上班時間的使用等。

（４） 采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中，利用審計記錄能夠識別出可疑的活動，從而限制這些活動，以保護系統的安全。在企業網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，構建一套完整的主動防御體系。

（５） 修補網絡系統漏洞。企業網絡修補系統漏洞的不及時主要有兩點原因：一是安全漏洞一旦被披露馬上就有黑客利用漏洞發起攻擊，時間間隔非常短，用戶沒有足夠的應急意識去修補系統；二是大量客戶機成為病毒攻擊的目標和幫兇，使病毒傳播得更廣泛、更迅速。面對網絡系統的復雜性和不斷變化的情況，僅僅依靠管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不夠的。系統漏洞修補是一個控制過程，許多用戶忽略了這一點，沒有對補丁程序進行監視、評估、測試、部署和驗證。同時，修補系統不是一個人就能完成的，而是需要企業用戶們共同努力。解決的方案是，應用一種能查找網絡系統漏洞、評估并提出修改建議的網絡系統掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

（６） ＩＰ盜用問題的解決。① 修改組策略，禁止訪問連接屬性。這種方法是通過修改組策略中的有關局域網連接組件的屬性，來達到限制用戶隨意更改網絡連接屬性目的的，一旦用戶無法打開網絡連接屬性窗口，那么他自然也就無法隨意更改工作站網卡的ＩＰ地址。② 設置注冊表，阻止打開網絡屬性。這種方法是通過修改注冊表相關網絡分支的方法，來阻止用戶隨意進入網絡屬性設置窗口，更改ＩＰ地址。③ 修改系統服務，隱藏本地連接圖標。這種方法是通過停止系統的網絡連接服務的方法，來達到阻止用戶進入網絡參數設置窗口隨意修改ＩＰ地址目的的。④ 巧妙綁定地址，拒絕強行更改地址。這種方法是目前最為常用的一種方法，它通過將工作站網卡的ＩＰ地址和物理地址綁定在一起的辦法，來限定指定工作站的網卡只能使用指定的ＩＰ地址，如果隨意改成其他數值的ＩＰ地址，那么該工作站就無法上網。

（７） 防范ＡＳＰ木馬對服務器操作系統的入侵。ＡＳＰ木馬入侵的原理是先將木馬上傳到目標空間，然后直接在用戶端瀏覽器里面運行木馬，接著就可以進行文件修改、目錄刪除等具有破壞性的工作。針對ＡＳＰ木馬入侵原理我們應做到：建議用戶通過ＦＴＰ來上傳、維護網頁，盡量不安裝ＡＳＰ的上傳程序。刪除或隱藏不安全的組件，ＡＳＰ木馬利用的常用組件主要是：ＦｉｌｅＳｙｓｔｅｍＯｂｊｅｃｔ組件、ＷＳｃｒｉｐｔ．Ｓｈｅｌｌ組件、Ｓｈｅｌｌ．Ａｐｐｌｉｃａｔｉｏｎ組件、ＷＳｃｒｉｐｔ．Ｎｅｔｗｏｒｋ組件等，對于不需要的組件可以用ＲｅｇＳｒｖ３２／ｕ命令刪除。及時更新補丁，嚴格控制“Ｉｎｔｅｒｎｅｔ來賓賬戶”訪問權限，盡可能避免ＡＳＰ木馬被非法上傳，定期更換ＡＳＰ管理員的賬號和密碼，ＡＳＰ木馬程序在管理員嚴格的權限控制之下，是可以防范的。

總之，企業網絡安全是一個系統的工程，不能僅僅依靠某一單項的防護系統，而應根據企業自身網絡系統的安全需求，并將各種安全技術結合在一起，才能保障網絡系統安全。

主要參考文獻

［１］ 蔡立軍． 計算機網絡安全技術［Ｍ］． 北京：中國水利水電出版社，２００２．