企業網絡安全管控分析

張春雷

(中國一重大連加氫反應器制造有限公司，遼寧 大連 116113)

1 企業網絡現狀

1.1 網絡結構

企業網絡基本包含以下幾個部分:外部公開網絡、Internet、intranet、子公司與總公司間的專線長途鏈路網絡等。

1.2 網絡應用

WWW服務、電子郵件服務;提供與Internet的訪問;辦公自動化、文件共享、文件數據的統一存儲以及針對特定的應用在數據庫服務器上進行二次開發(如ERP系統)。

2 企業網絡安全威脅

由于企業網絡對外出入接口較多，網絡安全風險較高，潛在的安全威脅有以下幾種:

2.1 外部公開網絡面臨的威脅

外部公開網絡主要包含:WWW、EMAIL等服務器，作為公司的信息發布平臺，一旦不能運行或者受到攻擊，對企業的聲譽影響較大。由于外部公開網絡主要為外界服務，必須暴漏于公網之上，極易受到攻擊和黑客的入侵。

2.2 病毒威脅

計算機病毒及惡意代碼的威脅病毒是以自我復制為明確目的編寫的代碼。病毒附著于宿主程序，然后試圖在計算機之間傳播。它可能損壞硬件、軟件和信息;從目前病毒的發展趨勢來看，木馬病毒和蠕蟲病毒是企業網絡安全的主要威脅，其傳播方式也已經由原來的網絡傳播，發展為多種傳播方式，其中在企業中最為常見的是U盤傳播。

2.3 移動存儲設備帶來的安全隱患

首先，移動存儲設備易丟失，而其本身往往沒有任何防護措施，一旦丟失就可能造成企業信息泄露事件，其次，有些企業內部人員惡意將企業信息拷貝至移動存儲設備中將信息外泄的事件也是屢見不鮮。

2.4 系統漏洞風險

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，使攻擊者能夠在未授權的情況下訪問或破壞系統。很多流行的病毒、蠕蟲、木馬也是依賴于某種漏洞而傳播的。

2.5 非法接入與內網外聯

非法接入是指未授權人員通過物理連接私自接入內部網絡，共享網絡資源。內網外聯是指企業內部人員使用移動上網設備，在內部計算機上私自連接外網的行為。由于目前運營商的3G上網設備十分普遍，這種設備一旦在企業內部網絡計算機中使用，會造成病毒的傳入和企業內部信息的外泄。

2.6 服務器區域安全風險

網絡內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果網絡中服務器區域不進行獨立保護，內網中計算機感染病毒，并且通過服務器進行信息遞，就會感染服務器，這樣局域網中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。

2.7 文件共享，統一存儲風險

企業為了方便數據共享，提高效率，一般都建有文件服務器或統一存儲服務器。由于很多內網用戶網絡安全意識淡薄，將一些關鍵信息隨意存放在公共共享區域，造成這些信息被隨意復制、修改、刪除，給企業帶來不必要的損失。

3 企業網絡安全管控措施

從網絡安全體系的角度來說，網絡是分層次的，它分物理層、網絡及傳輸層、系統層、應用層和安全管理層，每個層面上都面臨著安全隱患，若把網絡比作一個水桶的話，各個網絡層次上的安全威脅就是構成水桶的木板，任何一塊木板出現問題，都會造成水桶的水泄漏，即造成網絡的不安全。

3.1 外部公開網絡防護

對于外部網絡的安全防護措施主要有以下幾個方面:

3.1.1 防火墻是保護計算機網絡安全的一項重要技術性措施，同時也是最有效和經濟的措施之一。防火墻技術可以決定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。防火墻必須融合到整體安全保護系統中，通過以防火墻為中心的安全方案配置，才能更有效的起到安全防護作用。

3.1.2 入侵預防系統是電腦網絡安全設施，是對防病毒軟件和防火墻的補充。入侵預防系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

3.2 內部網絡的安全管控

為將安全風險控制在最小范圍，必須在企業網絡建立可靠、便捷的網絡管理、安全審計和監控系統。內網安全管理系統是企業內網安全管控的發展趨勢，內網安全管理系統應包含以下功能:

3.2.1 內網機密信息防護:計算機終端外設管理:對內網計算機所使用外設進行注冊和使用審計。移動存儲介質認證管理:統一管理內部合法移動存儲設備，防止非法非法移動設備的接入。內網用戶注冊管理:對內網用戶注冊并能實現權限管理。打印監控:對核心數據信息部位實現打印操作的監控，防止重要信息外泄。文件操作審計:對于重要文件信息部位可以開啟文件操作審計功能，防止惡意篡改。文件加密:對于重要文件可進行加密處理，加強文件防護。計算機終端非法外聯監控:通過IP準入機制，確保只有授權用戶才能訪問內部網絡。

3.2.2 用戶行為監控和審計:進程管理可有效阻止企業內部計算機運行與企業正常工作無關的軟件，如游戲、BT下載等。審計功能:能夠實現對內網用戶，對計算機操作的審計和記錄，如計算機軟件的安裝情況，互聯網訪問記錄等。屏幕監控功能:能夠實現對內用主機的屏幕監控，對違規使用計算機進行取證，同時也能通過該功能實現對用戶的遠程幫助。

3.2.3 內網加固和運行監控:補丁分發管理和病毒庫升級管理:通過IP準入機制，對接入內網的合法用戶進行安全檢查，對于系統補丁和病毒庫升級未合格的計算機進行隔離至安全區，進行補丁和病毒庫升級，待安檢合格后方可接入內部網絡。網絡參數變更監控:通過對合法接入計算機進行IP和 MAC地址綁定，防止用戶隨意變更網絡參數，浪費網絡資源。終端計算機資源占用監控:通過對用戶計算機資源的監控，可以有效的幫助用戶合理使用計算機，刪除不必要的、耗資源的軟件，提高計算機運行速度。網絡設備、服務器狀態監控:通過對網絡設備和服務器性能的監控，為企業運維人員合理使用網絡設備和服務器提供準確數據。

3.3 病毒防護

采用網絡版殺毒軟件是企業防病毒軟件的首選，將網絡版殺毒軟件配置在網內所有服務器和終端上，通過發布統一的控制策略可實時監控、查找、清除計算機病毒，由于網絡版殺毒軟件只需殺毒軟件服務器連接互聯網升級，其余客戶端只需通過服務器端就可升級，避免了客戶端聯網升級病毒庫的麻煩。

3.4 加強企業員工的網絡安全意識

加強對員工的網絡和計算機安全知識的培訓，使員工能夠掌握基本的計算機網絡安全知識，做到:不隨意下載安裝不明軟件、不隨意打開未知來源的陌生郵件，不交叉使用移動存儲設備、嚴格按照權限使用公司重要文件數據等。

4 結束語

網絡安全威脅層出不窮、變化多端，我們雖然不斷改進，優化防范措施，但是仍然不能保證網絡的絕對安全。網絡安全建設需要建立多層次的、立體的、完善的管理系統。網絡安全管控是一項長期而艱巨的任務，需要不斷的實踐、探索。

［1］李輝.計算機網絡安全與對策［J］.濰坊學院學報，2007(3):54～55.