企業(yè)信息網(wǎng)絡(luò)安全保障體系的構(gòu)建

摘 要:隨著網(wǎng)絡(luò)信息技術(shù)的飛躍發(fā)展，企業(yè)信息化已經(jīng)成為提高企業(yè)競爭的重要因素。企業(yè)在大力推行辦公自動化、網(wǎng)絡(luò)化、電子化、信息共享，以利用網(wǎng)絡(luò)技術(shù)增強(qiáng)各部門的科學(xué)決策、監(jiān)管控制、提高工作效率的同時，伴隨著網(wǎng)絡(luò)安全就成為每一個企業(yè)需要解決的問題。如何保證企業(yè)網(wǎng)絡(luò)信息安全，確保企業(yè)各項(xiàng)業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)行，已成為當(dāng)前企業(yè)信息化健康發(fā)展的重要課題。

關(guān)鍵詞:網(wǎng)絡(luò)安全 信息 企業(yè) 安全保障

中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2011)03(c)-0242-01

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，企業(yè)越來越多地使用計(jì)算機(jī)系統(tǒng)處理日常業(yè)務(wù)，以滿足不斷發(fā)展的業(yè)務(wù)需求，但企業(yè)的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)日益復(fù)雜，不斷出現(xiàn)的安全隱患在很大程度上制約著企業(yè)業(yè)務(wù)的發(fā)展。應(yīng)用信息安全技術(shù)，通過采取相應(yīng)的措施在一定程度上降低安全風(fēng)險(xiǎn)，從而建立一個相對安全和可靠的網(wǎng)絡(luò)系統(tǒng)，能夠有效地保護(hù)信息資源免受威脅。本文將闡述企業(yè)在內(nèi)外部網(wǎng)絡(luò)環(huán)境下如何來構(gòu)建一個強(qiáng)有力的安全保障體系。

1企業(yè)信息網(wǎng)絡(luò)目前存在的主要問題隱患

1.1 路由器及交換機(jī)等設(shè)備的安全隱患

路由器是企業(yè)網(wǎng)絡(luò)的核心部件，企業(yè)信息網(wǎng)絡(luò)與外界的數(shù)據(jù)交換都必須經(jīng)過路由器，它的安全將直接影響整個網(wǎng)絡(luò)的安全。路由器在缺省情況下只使用簡單的口令驗(yàn)證用戶身份，并且在遠(yuǎn)程TELNET登錄時以明文傳輸口令，一旦口令泄密，路由器將失去所有的保護(hù)能力。同時，路由器口令的弱點(diǎn)是沒有計(jì)數(shù)器功能，所以每個人都可以不限次數(shù)地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員部可能使用相同的口令，路由器對于誰曾經(jīng)作過什么修改沒有跟蹤審計(jì)的能力。此外，路由器實(shí)現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備的目的。一旦控制了企業(yè)網(wǎng)絡(luò)的“咽喉”——路由器，那么整個企業(yè)的各種敏感信息隨即也會完全暴露出來！

1.2 網(wǎng)絡(luò)病毒和惡意代碼的襲擊

與前幾年病毒和惡意代碼傳播情況相比，如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升，其破壞能力也在快速增強(qiáng)，所造成的損失也在以幾何極數(shù)上升。當(dāng)年的“熊貓燒香”病毒就使很多企業(yè)聞風(fēng)喪膽。在日常辦公和處理業(yè)務(wù)中，E-mail、Web、壓縮文件、上傳下載信息等已經(jīng)成為人們獲取信息的主要途徑，這些途徑也正是各種病毒的最好載體，使得它們的寄宿和傳播變得更加容易。目前，全世界發(fā)現(xiàn)的病毒已經(jīng)遠(yuǎn)遠(yuǎn)超過數(shù)十萬種，這些病毒會對重要的主機(jī)或服務(wù)器進(jìn)行攻擊，諸于類似的SYN FLOOD攻擊，或放置邏輯炸彈，有著不可估量的破壞力，造成企業(yè)網(wǎng)絡(luò)無法正常運(yùn)行，降低員工工作效率，影響企業(yè)盈利能力。如何防范各種類型的病毒和惡意程序，是任何一個企業(yè)不得不面對的一個挑戰(zhàn)。

2企業(yè)信息化網(wǎng)絡(luò)安全保障的體系

網(wǎng)絡(luò)安全保障為網(wǎng)絡(luò)安全提供管理指導(dǎo)和支持，具體地說，建立企業(yè)網(wǎng)絡(luò)安全綜合解決方案主要作用有以下幾點(diǎn)。

2.1 利用先進(jìn)網(wǎng)絡(luò)安全技術(shù)

2.1.1 防火墻技術(shù)

防火墻技術(shù)一般分為兩類:網(wǎng)絡(luò)級防火墻和應(yīng)用級防火墻。網(wǎng)絡(luò)級防火墻防止整個網(wǎng)絡(luò)出現(xiàn)外來非法入侵;應(yīng)用級防火墻是從應(yīng)用程序來進(jìn)行接人控制，通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。目前防火墻所采用的技術(shù)主要有:屏蔽路由技術(shù)、基于代理技術(shù)、包過濾技術(shù)、動態(tài)防火墻技術(shù)、DMZ模型。

2.1.2 虛擬專用網(wǎng)

虛擬專用網(wǎng)(Virtual Private Network．VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個私有的連接。因此，從本質(zhì)上說VPN是一個虛擬通道，它可用來連接兩個專用網(wǎng)。通過可靠的加密技術(shù)方法保證其他安全性。并且是作為一個公共網(wǎng)絡(luò)的一部分存在的。

2.1.3 加密技術(shù)

加密技術(shù)分為對稱加密和非對稱加密兩類。對稱加密技術(shù)有DES、3DES、IDEA．對稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同。也就是說一把鑰匙開一把鎖。非對稱密鑰技術(shù)主要有RSA。非對稱密鑰技術(shù)也稱為公鑰算法，是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應(yīng)用于身份驗(yàn)證、數(shù)字簽名、數(shù)據(jù)傳輸。

2.2 采用嚴(yán)格訪問控制措施

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，使非權(quán)限的網(wǎng)絡(luò)訪問受到限制，只允許有訪問權(quán)限的用戶獲得網(wǎng)絡(luò)資源。首先是要進(jìn)行身份驗(yàn)證。身份識別是用戶向系統(tǒng)出示自己身份證明的過程，身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩項(xiàng)工作統(tǒng)稱為身份驗(yàn)證，這是判明和確認(rèn)通信雙方真實(shí)身份的兩個重要環(huán)節(jié)，用戶名和口令的識別與驗(yàn)證是常用的方法之一。此外還有數(shù)字證書、動態(tài)口令、智能卡、生物識別等多種認(rèn)證方式。確保企業(yè)信息資源的訪問得到正式的授權(quán)，驗(yàn)證資源訪問者的合法身份，將風(fēng)險(xiǎn)進(jìn)一步細(xì)化，盡可能地減輕風(fēng)險(xiǎn)可能造成的損失。其次是有限授權(quán)。對網(wǎng)絡(luò)的權(quán)限控制能有效地防止用戶對網(wǎng)絡(luò)的非法操作，企業(yè)可以根據(jù)用戶所屬部門和工作性質(zhì)為其制定相應(yīng)的權(quán)限，用戶只能在自己的權(quán)限范圍內(nèi)對文件、目錄、網(wǎng)絡(luò)設(shè)備等進(jìn)行操作。

2.3 部署漏洞掃描技術(shù)和入侵檢測系統(tǒng)

漏洞掃描是對中小型企業(yè)的網(wǎng)絡(luò)進(jìn)行全方位的掃描，檢查網(wǎng)絡(luò)系統(tǒng)是否有漏洞，如果有漏洞，則需要馬上進(jìn)行修復(fù)，否則系統(tǒng)很容易受到傷害甚至被黑客借助漏洞進(jìn)行遠(yuǎn)程控制，后果將不堪設(shè)想，所以漏洞掃描對于保護(hù)中小型企業(yè)網(wǎng)絡(luò)安全是必不可少的。面對網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞做出風(fēng)險(xiǎn)評估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞，評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞，消除安全隱患。

入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，入侵檢測技術(shù)是一種積極主動的安全防護(hù)技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)，是為了保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。在中小型企業(yè)網(wǎng)絡(luò)的入侵檢測系統(tǒng)中記錄相關(guān)記錄，入侵檢測系統(tǒng)能夠檢測并且按照規(guī)則識別出任何不符合規(guī)則的活動，能夠限制這些活動，保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

總之，中小型企業(yè)的網(wǎng)絡(luò)安全保障體系構(gòu)建是一個系統(tǒng)的工程，需要綜合多個方面的因素和利用防火墻技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、防病毒技術(shù)、入侵檢測技術(shù)等網(wǎng)絡(luò)安全技術(shù)，而且需要仔細(xì)考慮中小型企業(yè)自身的安全需求，認(rèn)真部署和嚴(yán)格管理，才能建立中小型企業(yè)網(wǎng)絡(luò)安全的防御系統(tǒng)。

參考文獻(xiàn)

[1]郭啟全.網(wǎng)絡(luò)信息安全學(xué)科建設(shè)與發(fā)展[J].中國人民公安大學(xué)學(xué)報(bào)，2003(3)．

[2]閆宏生.計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].北京:電子工業(yè)出版社，2007．

[3]王靜燕，高偉.企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)[J].科技信息，2009，17．

[4]張杰.基于互聯(lián)網(wǎng)環(huán)境的企業(yè)信息安全防護(hù)策略[J].科技資訊，2007．