企業網絡信息安全威脅與防范淺議

趙磊

摘要：現今任何企業的發展都離不開互聯網，企業依賴計算機網絡開展各種商務活動，若企業信息系統中存在的重大網絡安全漏洞一旦被人利用，就會給企業帶來不可挽回的巨大損失。在“互聯網+”時代下，網絡信息安全已經成為企業發展的命脈。如何加強企業信息安全意識，采取有效的防范措施是“互聯網+”時代下企業應該認真對待的問題。

關鍵詞：企業;網絡信息安全;漏洞;威脅;防范措施

中圖分類號：TP393. 08

文獻標識碼：A

文章編號：1672 - 9129（2018）12 - 0100 - 01

1 企業面臨的網絡信息安全威脅

1.1 來自于互聯網的威脅。

（1）拒絕服務攻擊。拒絕服務攻擊及DOS攻擊，是一種讓攻擊目標癱瘓的攻擊手段，攻擊者利用網絡協議，例如ICMP和UDP協議某個若點，或是企業對外服務系統存在的某一漏洞，對目標發起大規模攻擊，致使被攻擊目標無法為用戶提供正常服務。除此外，某些拒絕服務攻擊還可以通過攻擊目標使得目標服務緩沖區溢出獲得系統root權限。攻擊者以此方法開展攻擊，其主要目的就是癱瘓企業的網上業務，影響企業的正常經營。

（2）WEB應用SQL注入攻擊。企業業務系統大多為web應用+數據庫方式實現與用戶的數據交互和開支業務。例如Pe rl和PHP與SQL數據庫結合，這些語言是解釋型語言，在web程序運行時會執行用戶輸入，若攻擊者預先構造惡意代碼放置于執行內容中，則攻擊者可以執行惡意SQL語句，獲得數據庫的讀取和修改權限，進而獲得服務器系統的最高權限，可以隨意操作數據，危害極大。入侵者一般通過此方法竊取或篡改企業商業數據或是用戶數據。

（3）跨站腳本攻擊。跨站腳本攻擊又稱xss攻擊，由于web頁面開發方對用戶輸入的數據過濾不充分，或是完全就沒有過濾就放人數據庫中，在一些地方又直接從數據庫中取出，返回給其他用戶，攻擊者就是利用這一點向企業網站web頁面插入惡意html代碼，當企業用戶瀏覽該頁面時，嵌入其中的html代碼會被執行，達到攻擊者目的，此類攻擊屬于被動攻擊，也是web應用中常見入侵方式之一。攻擊者利用此類漏洞引導用戶在虛假頁面上登錄賬戶，以竊取用戶數據，用于販賣或是利用盜取賬戶進一步滲透入侵。

（4）口令破解攻擊。企業通過網絡對外開展業務都會存在與用戶交互數據的情況，一旦存在業務交互就會采用用戶名和密碼的認證方式來控制用戶訪問，而口令破解就是針對用戶名和密碼的攻擊手段，主要方法是用賬戶默認密碼、字典攻擊和暴力攻擊等方法進行密碼猜測，最終獲得用戶密碼的過程，獲得用戶密碼后可通過合法登錄進一步攻擊應用系統，繼續滲透內部系統以達最終非法目的。

（5）電子郵件攻擊。電子郵件是最古老的互聯網應用之一，自從1971年誕生以來就作為一種有效的在不同計算機之間傳輸數據的方法，雖然現在有很多即時通訊軟件承擔文件信息等傳遞任務，但電子郵件應用并沒有退出市場，反而承擔了重要的職能，很多應用把電子郵件作為安全性驗證的手段，也正是這個原因，針對電子郵件的攻擊數量和案例一直居高不下。一是多數電子郵件會話過程使用明文，這樣會話過程毫無秘密可言，攻擊者只要在會話鏈路上進行嗅探，就能獲得這些敏感的信息。二是早期smtp協議是沒有發送方認證的，這使得發件人可以隨意標記自己郵件地址，可以將自己偽裝成系統或是公司管理層人員，這一問題容易導致大量的社會工程學欺騙和攻擊，是攻擊者常用的一種滲透手段。

1.2 來自于企業局域網威脅。由于企業內部應用和工作效率的需求，企業內部網絡相比對外網絡的安全限制措施更少，而此種策略使得內網終端安全和數據安全顯得更加脆弱。內網安全威脅主要來自以下幾個方面：

（1）內網蠕蟲病毒攻擊。蠕蟲病毒是一種常見的計算機病毒。它是利用網絡進行復制和傳播，主要通過網絡共享或電子郵件方式，將自身或變種傳播到其它電腦終端上，因此可能造成網絡擁塞、終端系統崩潰或重要數據的損毀，蠕蟲是內網常見且危害最大的一種網絡病毒。例如2017年5月12日，全球范圍內爆發基于Windows網絡共享協議進行攻擊傳播的蠕蟲病毒，這個病毒被稱為“永恒之藍”也稱之為“勒索病毒”，該病毒傳染面非常廣，包括英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招，對重要數據造成不可挽回的損失。

（2）網絡嗅探及數據竊取攻擊。相對于企業外網，企業內網數據傳輸一般多數采用未加密的明文方式，而另一方面，企業內網除有線接入外還可能有無線接人，無線接入且明文傳輸無疑是給網絡嗅探行為提供可乘之機，攻擊者可通過口令破解方式獲得合法接人后，嗅探竊取內網傳遞、存儲的重要信息。

（3）內部網絡結構或是安全策略缺陷。企業內部網絡管理相對外網邊界較為“松散”，一方面源于網絡出口設置了網絡防火墻、防病毒網管等安全設備，多數情況下網絡管理員會認為內網威脅較少。一方面因內網業務應用或數據共享的需求.管理員可能會設置較少或是干脆不設置安全規則以服務于業務效率。基于這兩方面，管理員對于內網安全策略，或是不同等級的業務數據隔離等處理方式就會偏向“寬松”，重要數據或是業務很少單獨隔離。而這就給黑客以可乘之機，一旦黑客控制了內網某臺機器，內網對其來說就是“一馬平川”，重要數據是唾手可得。

2 企業可采取的防范措施

2.1 技術類防范措施。 （1）針對郵件安全，一是可以采取更加安全的郵件傳輸協議，尤其是企業內部網絡如果架設了內部郵件服務器，則可采用最新的安全郵件協議。二是利用密碼技術為郵件提供保密性、完整性、抗抵賴性等一系列服務。三是使用ssl會話對smtp和pop3傳輸進行保護。

（2）sql注入及跨站腳本攻擊防范可以從程序設計、代碼編寫、安全部署和使用等措施。在企業進行業務程序開發過程中，遵循最小特權原則，嚴謹程序設計結構設計，代碼編寫過程中注意格式化輸人數據，過濾危險字符等方式，降低注入風險。

（3）DDOS攻擊防范。DDOS攻擊防御比較困難，依靠單一的技術防范手段無法抵抗此類攻擊，而采取有防御、監測和響應多種機制相結合的防范措施體系，比如借助企業專線提供商進行攻擊地址屏蔽、攻擊流量分流、清洗，配合企業已部署的防火墻設備等就可以吧dos攻擊威脅控制在一個可以接受的水平。

（4）用戶名密碼破解，主要有兩種防范方法，一是阻止攻擊者反復嘗試暴力破解的可能，比如限定試錯次數，特定時間內超過限制錯誤次數即鎖定賬戶，此方法還可配合驗證碼或是圖片識別來是否人工登陸，降低被破解風險;二是提高密碼的強度，強制要求用戶使用的密碼必須包含字符、數字、大小寫等，加大密碼猜測難度。

（5）面對蠕蟲病毒攻擊，防范措施一是對于終端電腦做好病毒庫的及時更新，推薦安裝正版操作系統和殺毒軟件，不論終端電腦或是服務器是否處在內網或是外網，終端電腦病毒庫都應及時更新。二是蠕蟲病毒多以網絡傳播，尤其局域網內容易被利用的139、445等端口應限制開放，同時內網接入交換和路由設備上也應做相應限制策略，終端電腦系統防火墻規則庫也應及時更新。

2.2 管理類防范措施。

（1）科學合理的內網結構部署。較為安全的做法是內部各種業務用網物理隔離或是技術隔離，對于企業內部服務器區尤其是重要企業重要的商業數據或是研發數據服務器采取嚴格的訪問控制策略，或是采取完全的物理隔離作為重點防護區域。而企業對外業務服務器可設立單獨的dmz區域。內網重點防護區域及對外DMZ區域與企業業務內網三者之間設立嚴格的訪問控制策略，以減小DMZ區及業務內網兩大威脅源對企業重要數據資產的威脅。

（2）完善可行的安全管理制度。首先是企業管理層要重視網絡安全，給與網絡安全管理部門足夠的權限，便于推進系統化的網絡安全管理制度落實。制度應涉及企業內信息系統及計算機設備的管理者、使用者，對于不同重要性的IT資產予以區分并制定相應制度。從IT資產、人員、事件（例如應急預案制度等）多個方面人手，形成網絡安全各個層面的保障合力。

（3）IT管理及應用人員安全意識與技術培訓。如今信息技術發展突飛猛進，網絡安全所面臨威脅也是日新月異，及時的更新網絡安全保障人員及網絡終端用戶的網絡安全意和基礎防范技能是十分必要的，企業可考慮采取專項講座和定期培訓相結合的方式，一方面提高網絡安全保障人員在面對大范圍安全威脅下的防范能力，一方面提高終端用戶日常應用的自身防范意識能力，從而提升網絡安全的整體防范能力。

（4）定期更新維護系統，開發系統的漏洞更新。結合完備的網絡安全管理制度，落實執行各個系統的定期巡檢及更新，尤其是內部業務系統，要及時掌握用戶反饋的系統應用錯誤，了解系統開發方補丁更新進度，業務系統補丁更新時開展相應的網絡安全測試工作，確保系統打補丁或是更新后的網絡安全不受影響。