淺談企業內部網中的網絡安全漏洞及其防范措施

摘要：企業內部網因工作性質的原因，網絡安全尤為重要，而威脅網絡安全的一個重要安全隱患，是網絡安全漏洞，其對企業內部網具有潛在的威脅，采取強有力的安全防護措施，是十分重要的。

關鍵詞：網絡安全漏洞危害防范措施

中圖分類號：TP393.08文獻標識碼：A 文章編號：1674-098X(2012)03(c)-0000-00

目前針對計算機網絡的安全事件層出不窮，針對重要信息資源的入侵行為在持續不斷增加，重要信息、資料與數據被竊取，安全事件對各行各業造成了極大的威脅和帶來重大損失。造成入侵者有機可乘的一個重要原因是網絡安全漏洞，因計算機網絡系統的脆弱性，為計算機網絡安全漏洞提供了客觀條件。

企業內部網雖然局限于企業內部，但因企業內部網的工作性質、地理環境及跨地區的網絡結構，使得利用網絡信息技術進行工作的同時，網絡安全漏洞時刻威脅著企業內部網的網絡安全和信息安全。因此對網絡安全漏洞的了解及安全防范措施很有必要。

1 網絡安全漏洞的定義

由于人們經常使用的各種計算機軟件、應用系統及相關硬件沒有徹底進行完善，能夠被他人利用來干非法的事，且和安全相關的缺陷。這個缺陷可以是設計上的和程序代碼實現上的問題。而問題在沒有得到解決之前，使某些懷有企圖的人，使用某種方法侵入電腦和網絡系統，這就是漏洞。

另一方面，漏洞是在硬件、軟件、協議的具體實現或系統安全策略以及人為因素上存在的缺陷，從而可以使入侵者能夠在未經系統的許可者授權的情況下訪問或破壞系統。如I E瀏覽器的ActiveX控件被執行后門程序，Microsoft Office編程中的內存錯誤等都可能被入侵者使用，入侵者利用這些錯誤來運行自己的代碼以達到完全控制設備、操作系統等目的，從而威脅到系統的安全。

2 企業內部網中主要的安全漏洞和危害

企業內部網因為網絡具有的共性，企業內部網中軟件、硬件和外界的直接的、間接的聯系，使企業內部網中主要存在的網絡安全漏洞有：應用軟件、操作系統、數據庫、網絡服務、通信協議等方面的安全漏洞。

如SMB漏洞：入侵者利用此以包含有漏洞代碼內核的權限執行任意代碼。

RPC服務漏洞：入侵者以通過發送惡意的RPC請求，入侵用戶系統，以系統權限執行任意指令。

SMTP漏洞：入侵者利用此以系統進程權限在系統上執行任意指令。

SNMP服務漏洞：入侵者通過SNMP獲取系統信息，修改系統文件或執行系統命令。

FTP后門漏洞：入侵者用空用戶名，空密碼登錄，獲得root權限，對主機造成威脅。

3 網絡安全漏洞防范措施

為保障企業內部網的網絡安全。采取下列有力措施：

3.1 訪問控制

訪問控制是網絡安全防范的主要策略，是保證網絡信息不被非法使用和非法訪問，是維護網絡系統安全的重要手段：

(1)通過入網訪問控制策略實現第一層防護措施，即入網用戶通過用戶對本地及應用程序的登錄和訪問進行用戶賬戶身份的識別與驗證、用戶口令的識別與驗證，用戶口令為加密的有效長度，而且以數字、字母和其它字符的混合組成，驗證合法，才能登錄成功。以技術手段度解決用戶空口令。

(2)控制和限制普通用戶的訪問權限，控制普通用戶可訪問哪些資源、哪些目錄和文件。對應用系統目錄級的安全屬性：write、modify、erase、access control、create等權限加以控制。

(3)利用交換機做訪問控制，劃分區域，限制端口。

(4)關閉Wireless Zero Configuration、FTP、Telnet等不必要的服務與端口。

(5)禁止共享策略、刪除不必要的協議、修改、重命名Administrator帳戶。

3.2 數據加密

(1)數據傳輸加密，應用現在加密技術，信息在發送端自動加密，進入數據包回封，成為不可識別和不可讀的數據，信息到達目的地，數據自動重組、解密，成為可讀的有效數據。

(2)數據存儲加密，數據庫將原始數據以明文形式存儲于數據庫中對存儲數據進行加密處理、實現加密保護，非法的用戶，無法解讀加密數據。

3.3 系統補丁

及時安裝和更新系統補丁和數據庫補丁，各種新漏洞不斷出現，及時安裝補丁，增強系統的安全性，保證系統的穩定性。

4 防護

4.1 防火墻

應用防火墻限制權限，設置訪問策略，禁止非法用戶訪問。

4.2 入侵檢測

應用入侵檢測系統，對網絡中出現的異常事件和攻擊行為的進行檢測。

防火墻的安全保護是屬于靜態安全防護，其功能及作用范圍也是有限的，不可能做到全面的防護。入侵檢測技術與防火墻的互補。對存在、存放重要信息的網絡，配備入侵檢測系統，通過實時監測進出網絡的數據流，一旦發現不安全的訪問行為，依據策略采取相應的處理手段（阻斷、報警等）。

5 病毒防護軟件

安裝病毒防護軟件，監控、查殺企業網中的病毒，及時更新病毒庫。

采取了有效的安全防范措施，消除網絡安全隱患，才能保障證企業內部網的網絡安全和信息安全。

參考文獻

[1] 宋西軍.計算機網絡安全技術.北京大學出版社.2009，9，7.

[2] 葛秀惠.計算機網絡安全管理（第2版）.清華大學出版社.2008，5，12.

[3] 賀思佳，申浩如.計算機網絡安全與應用.科學出版社.2007，8，1.

[4] 張兆信，等.計算機網絡安全與應用技術.機械工業出版社.2010，5，1.

[5] 蔡毅，周繼軍.windows漏洞攻擊與安全防范/計算機與網絡安全實用叢書.北京大學出版社.2006.

郵寄地址：甘肅省蘭州市南昌路197號（510所家屬院3號樓）

張莉娟 收

電話：13893672608