企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及對(duì)策

【摘要】企業(yè)網(wǎng)絡(luò)化已經(jīng)成為目前企業(yè)辦公的主要模式，但企業(yè)網(wǎng)絡(luò)化的同時(shí)注重得不應(yīng)僅是網(wǎng)絡(luò)的正常運(yùn)行，還應(yīng)注重企業(yè)辦公網(wǎng)絡(luò)的安全性，本文將從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)操作系統(tǒng)安全、數(shù)據(jù)安全等方面進(jìn)行分析并提出相應(yīng)保障企業(yè)網(wǎng)絡(luò)安全的對(duì)策。

【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)分析；對(duì)策

一、網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險(xiǎn)分析及對(duì)策

1、外部網(wǎng)絡(luò)安全分析及對(duì)策

企業(yè)網(wǎng)絡(luò)通常與外部網(wǎng)絡(luò)連接，方便企業(yè)員工與外界互連。但由于網(wǎng)絡(luò)涵蓋面廣，外網(wǎng)中存在太多的不安全因素，如果系統(tǒng)內(nèi)部局域網(wǎng)與系統(tǒng)外部網(wǎng)絡(luò)之間沒(méi)有采取安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)很容易遭到來(lái)自外部網(wǎng)絡(luò)一些入侵者的攻擊，這些攻擊或影響企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行或使資料泄漏，所以可以采取以下的網(wǎng)絡(luò)安全措施：

（1）加強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置：為了加固網(wǎng)絡(luò)結(jié)構(gòu)可以將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置為如圖1所示的結(jié)構(gòu)：

第一道安全防線：外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊。第二道安全防線：DMZ區(qū)域的堡壘主機(jī)。堡壘主機(jī)作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在堡壘主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全問(wèn)題，能進(jìn)一步抵擋外部網(wǎng)絡(luò)的攻擊。第三道安全防線：內(nèi)部防火墻。負(fù)責(zé)管理DMZ區(qū)域主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，并管理所有內(nèi)部網(wǎng)絡(luò)對(duì)DMZ區(qū)域的訪問(wèn)。通過(guò)以上網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)置，非法用戶必須經(jīng)過(guò)三個(gè)獨(dú)立的區(qū)域才能到達(dá)內(nèi)網(wǎng)，加大了入侵者攻擊的難度，加固了內(nèi)部網(wǎng)絡(luò)的安全性，但網(wǎng)絡(luò)運(yùn)維的成本相對(duì)較大。

（2）加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)：內(nèi)網(wǎng)用戶所遭到的攻擊多來(lái)自于木馬、病毒和網(wǎng)絡(luò)釣魚(yú)，而讓這種攻擊得逞的原因是內(nèi)網(wǎng)用戶點(diǎn)擊了不安全網(wǎng)站、木馬綁定的圖片或文件，所以加強(qiáng)員工的安全教育，對(duì)于保障網(wǎng)絡(luò)安全非常重要。

2、內(nèi)部網(wǎng)絡(luò)安全分析及對(duì)策

企業(yè)網(wǎng)絡(luò)內(nèi)部攻擊相對(duì)于外網(wǎng)入侵要略顯容易，大約有70%～80%的網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)內(nèi)部，所以企業(yè)面臨的最大網(wǎng)絡(luò)安全威脅是在辦公室內(nèi)部。常見(jiàn)的內(nèi)部局域網(wǎng)威脅包括：誤用和濫用關(guān)鍵敏感數(shù)據(jù)；內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；內(nèi)部不懷好意的員工通過(guò)各種方式盜取他人涉密信息傳播出去。針對(duì)以上內(nèi)部網(wǎng)絡(luò)安全問(wèn)題，可以采用以下安全措施：

（1）軟件管理：?jiǎn)⒂脙?nèi)網(wǎng)監(jiān)聽(tīng)軟件、加強(qiáng)內(nèi)網(wǎng)的監(jiān)控；固定企業(yè)內(nèi)客戶端的IP地址、加強(qiáng)用戶的管理；查看服務(wù)器日志文件，保護(hù)內(nèi)網(wǎng)安全。（2）硬件管理：網(wǎng)絡(luò)設(shè)備中包含路由器、交換機(jī)、防火墻等。首先應(yīng)注意保障硬件設(shè)備的物理安全，將其安置在相對(duì)安全的地方，不要安置到所有員工都容易接觸的地方；其次管理人員應(yīng)正確理解硬件設(shè)備的應(yīng)用，避免由于疏忽或不正確理解而使這些設(shè)備安全性不佳。

二、網(wǎng)絡(luò)操作系統(tǒng)安全風(fēng)險(xiǎn)分析與對(duì)策

目前常用網(wǎng)絡(luò)操作系統(tǒng)有windows、UNIX、linux操作系統(tǒng)，這些操作系統(tǒng)開(kāi)發(fā)在過(guò)程中要考慮到方便用戶使用，但在方便使用的前提下也暴露出一些問(wèn)題：（1）操作系統(tǒng)默認(rèn)配置存在安全隱患：如Windows操作系統(tǒng)默認(rèn)設(shè)置可以從光盤(pán)或U盤(pán)啟動(dòng)，這種設(shè)置可以避開(kāi)登錄密碼直接進(jìn)入操作系統(tǒng)，另外操作系統(tǒng)默認(rèn)安裝了一些不常用的服務(wù)和端口，為非法用戶的入侵提供了便利。（2）操作系統(tǒng)支持在網(wǎng)絡(luò)上共享數(shù)據(jù)、加載或安裝程序，這些功能方便了非法用戶注入和運(yùn)行木馬程序，為獲取用戶的信息提供了方便之門(mén)。（3）操作系統(tǒng)自身結(jié)構(gòu)問(wèn)題，如：windows操作系統(tǒng)自身提供的IPC$鏈接、遠(yuǎn)程調(diào)用等都存在安全隱患。IPC$鏈接是通過(guò)DOS界面在獲得管理員權(quán)限的前提下獲得遠(yuǎn)程計(jì)算機(jī)的信息；ftp服務(wù)傳輸過(guò)程為明碼傳輸，使用抓包工具即可獲取FTP服務(wù)器的登錄賬號(hào)和密碼，telnet遠(yuǎn)程登錄需要經(jīng)過(guò)很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全問(wèn)題，所以為了加固網(wǎng)路操作安全可以采用以下措施：

1、加強(qiáng)物理安全管理 禁止通過(guò)DOS或其它操作系統(tǒng)訪問(wèn)NTFS分區(qū)。在BIOS中設(shè)置口令，禁止使用U盤(pán)或光驅(qū)引導(dǎo)系統(tǒng)。

2、加強(qiáng)用戶名和口令的管理 windows操縱系統(tǒng)Administrator管理員用戶和Unix/Linux操作系統(tǒng)root特權(quán)用戶均具有對(duì)操作系統(tǒng)的完全控制權(quán)限，所以是入侵者想要獲取的信息。用戶名保護(hù)：Windows非管理員賬戶在輸入密碼錯(cuò)誤后可設(shè)置成鎖定該用戶，但是Administrator不能刪除和禁用，所以攻擊者可以反復(fù)嘗試登陸，試圖獲取密碼。為了增加攻擊者獲取管理員權(quán)限的難度，可以為Administrator重命名，這樣攻擊者不但要猜出密碼，還要先猜出管理員修改后的用戶名。Root用戶不能更名，為了保護(hù)該用戶，在沒(méi)有必要的情況下，不要用root用戶登錄本機(jī)及遠(yuǎn)程登錄服務(wù)器。密碼保護(hù)：密碼設(shè)置應(yīng)按照密碼復(fù)雜度要求設(shè)置并定期更換密碼，同時(shí)密碼的設(shè)置不要用普通的英文單詞或比較公開(kāi)的信息如生日、車(chē)牌等。

3、加強(qiáng)用戶訪問(wèn)權(quán)限的管理 有些管理員為了方便用戶訪問(wèn)文件系統(tǒng)，為用戶開(kāi)放了所有權(quán)限，如windows操作系統(tǒng)中為everyone工作組授予了“完全控制”權(quán)限，UNIX/Linux操作系統(tǒng)為所有用戶設(shè)置讀寫(xiě)執(zhí)行權(quán)限，這樣的設(shè)置方便非法用戶上傳木馬，所以為了文件系統(tǒng)的安全，必須重新設(shè)置文件系統(tǒng)的權(quán)限，在保證正常運(yùn)行的前提下，為用戶設(shè)置最小的訪問(wèn)權(quán)限。

4、加強(qiáng)服務(wù)和端口的管理 當(dāng)用戶開(kāi)啟操作系統(tǒng)后，操作系統(tǒng)自帶的某些服務(wù)會(huì)自動(dòng)運(yùn)行，而非法用戶會(huì)針對(duì)這些服務(wù)進(jìn)行遠(yuǎn)程攻擊，而一些不常使用的端口也容易被非法用戶利用，作為再次入侵的后門(mén)，所以應(yīng)該將不常使用的服務(wù)和端口關(guān)閉。

三、數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對(duì)策

企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)安全不可避免的受到外界的威脅，而數(shù)據(jù)的任何失誤，都可能對(duì)企業(yè)帶來(lái)巨大的損失。目前數(shù)據(jù)泄漏的主要途徑是：辦公計(jì)算機(jī)或硬盤(pán)的外帶；利用移動(dòng)存儲(chǔ)設(shè)備將數(shù)據(jù)帶出；通過(guò)網(wǎng)絡(luò)傳輸文件；通過(guò)外設(shè)拷貝數(shù)據(jù)；服務(wù)器被非法入侵等。為了防止企業(yè)數(shù)據(jù)泄露可以采用如下措施：

1、磁盤(pán)加密 針對(duì)硬盤(pán)丟失或被盜造成的泄密風(fēng)險(xiǎn)，可以通過(guò)對(duì)磁盤(pán)驅(qū)動(dòng)層的加密加固處理，保證硬盤(pán)在被非法外帶或丟失后呈“鎖死”狀態(tài)，硬盤(pán)內(nèi)容無(wú)法被他人所讀取。

2、移動(dòng)存儲(chǔ)設(shè)備使用管理 對(duì)于移動(dòng)存儲(chǔ)設(shè)備設(shè)置加密寫(xiě)入，即拷貝到該類(lèi)設(shè)備的文檔都會(huì)以密文形式存在，密文只有拷貝回本地計(jì)算機(jī)才能解除加密。

3、文檔傳輸控制 對(duì)于文檔傳輸可以采取文件外發(fā)對(duì)象控制（指定可以外發(fā)文件的對(duì)象列表）、文件外發(fā)加密（外發(fā)的文檔處于加密狀態(tài)）、文件外發(fā)審批（外發(fā)的文件需要經(jīng)領(lǐng)導(dǎo)審批方可發(fā)送）等形式進(jìn)行控制。

4、外設(shè)與外設(shè)端口管理 針對(duì)具備數(shù)據(jù)傳輸?shù)臄?shù)據(jù)端口和外設(shè)，如紅外、藍(lán)牙、無(wú)線網(wǎng)卡、刻錄光驅(qū)等，只要與辦公無(wú)實(shí)質(zhì)性的聯(lián)系應(yīng)設(shè)置為禁用。

5、文件服務(wù)器安全管理 公司內(nèi)部之間最為普及的是利用文件服務(wù)器進(jìn)行文件傳遞。文件服務(wù)器上的數(shù)據(jù)經(jīng)過(guò)長(zhǎng)期累積存儲(chǔ)，往往會(huì)成為“竊密”的重災(zāi)區(qū)。為了防止服務(wù)器的外泄，可以在防火墻中過(guò)濾和排查來(lái)訪者身份的真實(shí)性與有效性，只有合法的客戶端且得到管理員授權(quán)的用戶會(huì)被放行，非法用戶將被禁止。