企業網絡安全淺析

2014-12-24 03:00:40閆志康李偉洋高淑平

創新科技 2014年8期

關鍵詞：網絡安全計算機企業

閆志康李偉洋高淑平

（1.濮陽同力水泥有限公司，河南濮陽 457000；2.濮陽市生產力促進中心，河南濮陽 457000）

企業網絡安全淺析

閆志康1李偉洋1高淑平2

（1.濮陽同力水泥有限公司，河南濮陽 457000；2.濮陽市生產力促進中心，河南濮陽 457000）

隨著計算機技術的發展，企業在計算機上處理業務已由簡單的辦公處理發展到ERP系統管理、辦公自動化等。在信息處理能力提高的同時，基于網絡連接的安全問題也日益突出。本文根據企業網絡安全管理中的一些經驗體會，談談對企業網絡的安全的看法和做法。

網絡；防火墻；木馬

企業網絡硬件環境的復雜性比較明顯，是因為工作站、服務器、交換機等設備是隨著企業的發展，在不同時期購買的，不同的硬件配置，不同的操作系統，使之管理起來比較復雜。

1 企業網絡安全存在的問題

第一,部分計算機訪問其他的計算機時，難訪問，經常要幾分鐘才能打開，耽誤正常工作。本著先檢查軟件后檢查硬件的處理方法，察看這幾臺計算機，由于購置時間太早，硬件配置較低，所以安裝的是win98系統，發現在其網絡協議里，都添加了NetBIOS協議，由于企業網絡通信部需要這個協議，就將其刪除，再進行網絡訪問，便可以很快打開。而且由于這個協議是windows自帶的，所以是任何殺毒軟件都無法查出來的最“黑”的一個后門。后門就是端口，可以泄露信息，會讓別人訪問到你的文件系統。

第二，經常發現系統啟動時，系統變得異常緩慢，cpu的使用大幅提高，什么工作也做不了。在注冊表的啟動項里，并沒有發現特別的程序，最終在系統服務管理里面找到一些不明服務，將其停止，并禁用，系統恢復正常。系統服務中的一些服務是默認啟動的，而且并不是所必需的，所以可以關閉。

第三，window xp中自帶的internet連接防火墻功能，禁止外部程序對本機進行端口掃描，并自動記錄所有發出、接收數據包的IP地址、端口、服務及其他一些代碼，這樣有效地減少了外部攻擊的威脅，可是一旦激活這項功能，企業局域網內的工作站之間就會發生無法訪問的現象。系統的自動更新功能是為了減輕用戶的負擔設計的一個功能，但從安全的角度來看的話，還是建議將其關閉。系統的默認共享是打開的，關鍵的是它將系統盤也共享了，通過網絡映像就可以直接訪問，在注冊表中可以將其關閉。

第四，接到某些部門的電話，在計算機上出現“網絡IP地址沖突”的信息，無法使用網絡。這些部門有個共同點，就是都有訪問Internet的權限。企業網絡是通過路由器連接到Internet的，路由器安裝調試之處，只是設置了可以訪問Internet的計算機IP地址及訪問時間段，所以沒有訪問權限的計算機為了達到某種目的，私自更改本機的IP地址，造成IP地址沖突。為了解決這個問題，更換了新的路由器，這種路由器具有MAC地址過濾，MAC地址綁定，網絡流量分配等功能。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的計算機的MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則不允許通過路由器，同時給發出這個IP廣播包的計算機返回一個警告信息。同時也限定了工作站的訪問流量，防止使用BT，迅雷等下載工具長時間的大量占用網絡寬帶。

2006年末的“熊貓燒香”病毒，造成上百萬臺電腦和千余家企業網絡被感染，特別是對企業網絡造成了很大的危害，也使人們對企業網絡安全有了進一步的認識。

2 網絡安全措施

第一，在企業網絡中，利用在對等網中對計算機中的某個目錄設置共享，進行資料的傳輸與共享是人們常采用的一個方法。但是在設置過程中，要充分認識到當一個目錄共享后，就不光是企業網絡內部的用戶可以訪問到，而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。有些人認為計算機只有自己使用，不需要設置密碼，這就造成非法用戶可以通過網絡共享隨意訪問計算機中的數據。為了防止資料的外泄，在設置共享時一定要設置訪問密碼。只有這樣，才能保證共享目錄資料的安全。有條件的話，應設立專門的文件服務器，進行統一管理。

第二，企業內部網速變得異常緩慢，許多計算機之間無法相互訪問，ERP系統軟件經常出現不能正常登錄的情況。排除掉硬件因素，將工作站的共享去掉后，網速恢復正常，經調查，發現是病毒在作怪，一旦聯網，病毒就開始四處散播，占用了相當大的網絡寬帶，造成了網速下降。在“熊貓燒香”病毒發作期間，曾經采取斷開網絡，進行逐臺計算機殺毒，但聯網后很快又被傳染，始終不能徹底清除。因此在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有合適于局域網的全方位防病毒產品。企業網絡是內部局域網，就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的防病毒軟件，加強上網計算機的安全。所以采用網絡版殺毒軟件是唯一的方法，這樣不必每臺工作站都需上網升級，由殺毒服務器統一升級，也能做到統一管理，避免了無故退出，非法卸載等誤操作。

另外，操作人員的素質不同，也造成了許多安全的隱患。使用外來磁盤、光盤、U盤等存儲介質，應該養成先殺毒的習慣。上網時，不訪問非法的網站，下載不明的文件，接收到的郵件中，可能包含木馬病毒等非法程序，所以不認識的信件盡量不要打開，而那些業務上、朋友的信件也要認真檢查。制定相應的計算機管理制度也是加強企業網絡安全的一個重要手段，使企業人員從認識上積極對待，工作中嚴格實行。

[1]盧開澄.計算機密碼學—計算機網絡中的數據預防安全[M].北京：清華大學出版社，1998.

[2]余建斌.黑客的攻擊手段及用戶對策[M].北京：北京人民郵電出版社，1998.

TP393.18

1671-0037（2014）04-59-1