國有企業(yè)局域網絡攻擊與安全防范措施

摘 要：計算機網絡技術的發(fā)展和信息化應用的普及，使得局域網在企業(yè)得到了廣泛應用，局域網安全問題將阻礙企業(yè)信息化發(fā)展的進程。如何有效地管理網絡系統(tǒng)，提高系統(tǒng)的安全性，在保證數據及網絡系統(tǒng)安全的前提下，最大限度利用網絡資源進行信息資源共享、數據傳輸，已是企業(yè)迫切需要解決的重要難題之一。本文主要針對國有企業(yè)局域網絡攻擊與安全分析，并提出有效的防范措施。

關鍵詞：國有企業(yè)；局域網；安全；防范

中圖分類號：TP393.08

保護信息系統(tǒng)的安全，要綜合考慮技術保護和管理保護兩種實現方式。技術保護方式是根據風險產生的技術特點和安全目標的要求而采用相應的安全機制、技術措施和專用設備。管理保護方式則根據有關法律法規(guī)和安全目標的要求，針對信息系統(tǒng)的運行、有關人員的行為和技術過程而制訂的相應管理制度[1]。

1 國有企業(yè)局域網安全的總體目標

確定網絡安全總體目標，應該滿足一定的要求：

1.1 機密性（Confidentiality）。保證機密信息不泄漏給非授權用戶或實體，也不能供其利用。對信息的訪問和利用，應該遵循完整健壯的認證授權機制。

1.2 完整性（Integrity）。保證數據的完整性和一致性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失的特性。

1.3 可用性（Availability）。保證合法用戶或實體對信息和資源的使用不會被異常拒絕，允許按照需求使用。網絡環(huán)境下，拒絕服務攻擊、破環(huán)網絡設施和系統(tǒng)正常運行的中斷等都屬于對可用性原則的破壞。

2 國有企業(yè)局域網絡攻擊及面臨的威脅分析

總的來說，國有企業(yè)面臨的安全威脅主要是兩個方面：（1）來自企業(yè)網絡內部的誤操作和惡意攻擊。內部網的人員往往有公司內網局部系統(tǒng)的合法訪問或管理權限，所以他們的誤操作行為可能會給公司內網帶來嚴重的危害；尤其是機要子網與普通子網的安全級別不同，可能導致竊聽、偽造信息的情況發(fā)生；同時源自公司內網內部的惡意網絡行為也可能導致嚴重的網絡安全問題[2]；（2）來自企業(yè)網絡外不得惡意攻擊。接入Internet給外網帶來了工作和信息交換的便利，但同時也給外網帶來了很大的安全威脅。首先，Internet網絡上隨機的惡意漏洞掃描是無時不在的，而這些惡意的漏洞掃描往往是大規(guī)模網絡入侵、滲透和破壞行為的前兆。這也就是說，外網隨時都可能面臨著來自Internet網絡的惡意攻擊。其次，網絡病毒經由Internet網絡可以迅速的感染外網，輕者造成網絡或系統(tǒng)資源的浪費，嚴重的可能造成數據或系統(tǒng)的崩潰甚至局部網絡的完全癱瘓。

3 企業(yè)網絡安全性急需重視

企業(yè)已經越來越依賴網絡以及企業(yè)內部網絡來支持重要的工作流程，內部網絡斷線所帶來的成本也急劇升高。當這--N顯得迫在眉睫時，如何確保核心網絡系統(tǒng)的穩(wěn)定性就變得非常重要，即使一個企業(yè)的虛擬網絡或防火墻只是短暫的中斷，也都可能會中斷非常高額的交易，導致收入流失、客戶不滿意以及生產力的降低[3]。

盡管所有的企業(yè)都應該對安全性加以關注，但其中一些更要注意。那些存儲有私密信息或專有信息、并依靠這些信息運作的企業(yè)尤其需要一套強大而可靠的安全性解決方案，如政府機構、金融機構、保險服務機構、高科技開發(fā)商以及各類醫(yī)療機構。通過一部中央控制臺來進行配置和管理的安全性解決方案能夠為此類企業(yè)提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對網絡的安全性進行升級，從而適應不斷變化的商務需求，并幫助企業(yè)對用戶訪問保持有效的控制。例如，IT管理員能夠根據最近發(fā)現的網絡攻擊行為迅速調整網絡的安全性級別。此外，用戶很難在終端系統(tǒng)上屏蔽掉由一臺遠程服務器控制的網絡安全特性。IT管理人員們將非常自信：一旦他們在整個網絡中配置了適當的安全性規(guī)則，不論是用戶還是系統(tǒng)的安全性都將得到保證，并且始終安全[4]。

而對于那些安全性要求較高的企業(yè)來說，基于軟件的解決方案（例如個人防火墻以及防病毒掃描程序等）都不夠強大，無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序，都能輕松將這些防護措施屏蔽掉，甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件。一旦這些軟件系統(tǒng)失效，終端系統(tǒng)將非常容易受到攻擊。更為可怕的是，網絡中的其他部分也將處在攻擊威脅之下。

4 國有企業(yè)局域網絡攻擊與安全防范措施

4.1 安全防范要點。公司網絡目前從內部至Internet并沒有做相關的安全措施，特別是核心區(qū)和互聯區(qū)存在很大安全隱患，黑客攻擊、信息丟失、服務被拒絕等，一旦發(fā)生任何攻擊，對公司網絡而言是致命性的，影響公司業(yè)務的正常運轉。針對公司網絡的結構及特點確定以下幾個必須考慮的安全防范要點：（1）網絡安全隔離。為了各行業(yè)間、部門之間加強業(yè)務聯系以及信息化建設都需要網絡和網絡之間互聯，交流信息、信息共享等措施，給企事業(yè)單位的工作帶來極大的便利，同時給有意、無意的黑客或破壞者帶來了充分的施展空間。所以網絡之間進行有效的安全隔離是必需的；（2）網絡監(jiān)控措施。網間隔離起邊緣區(qū)保護作用，無法防備內部不滿者的攻擊行為。往往內部來的攻擊比外部攻擊更具有致命性。在不影響網絡的正常運行的情況下，增加內部網絡監(jiān)控機制可以做到最大限度的網絡資源保護。從網絡監(jiān)控中得到統(tǒng)計信息來確定網絡安全規(guī)范及安全風險評估。網絡安全目標為保證整個網絡的正常運行；在受到黑客攻擊的情況下，能夠保證網絡系統(tǒng)正常運行。保證信息數據的完整性和保密性：在網絡傳輸時數據不被修改和不被竊取。具有先進的入侵檢測體系；正確確定安全策略及做科學的安全風險評估。保證網絡的穩(wěn)定性：安全措施不形成網絡的負擔，而且提供全天候滿意服務和應用。

4.2 方案具體實施過程中包括：（1）防火墻使用方案。根據公司網絡整體安全考慮采用一臺瑞星防火墻安排在互聯區(qū)。其中WWW、數據庫、郵件、DNS等對外服務器連接在防火墻的DMZ區(qū)與內、外網間進行隔離。建立合理有效的安全過濾原則對網絡數據包的協議、端口、源/目的地址、流向進行審核，嚴格控制外網用戶非法訪問。防火墻的DMZ區(qū)訪問控制規(guī)則，只打開必需的服務HTTP、FTP、SMTP、POP3以及所需其他服務。防范外部來的拒絕服務攻擊。對辦公網用戶進行流量控制，采用時間安全規(guī)則變化策略，控制內網用戶訪問外網時間。防火墻設置IP地址MAC地址綁定，防止IP地址欺騙。定期查看防火墻訪問日志。嚴格控制防火墻的管理員的權限；（2）入侵檢測（IDS）系統(tǒng)方案。以太網的共享通信介質技術，在進行網絡通信時，隨著數據包在網絡上的廣播，任何聯網的計算機都可以監(jiān)聽正在通信的數據包，因此存在著安全隱患，網絡入侵系統(tǒng)利用以太網的這種特性，進行有效的網絡監(jiān)控，調整網絡資源分配，及時發(fā)現不正常數據包，并根據安全策略原則進行處理，確保網絡系統(tǒng)的安全。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。根據公司網絡的特點，采用瑞星的入侵檢測系統(tǒng)。

5 結束語

由于國有企業(yè)局域網的安全問題是一個系統(tǒng)工程，在制定安全網絡策略時應盡可能地考慮到網絡中的各個方面及網絡的拓展性，采用TCP/IP進行網絡通信的網絡，在網絡層對計算機通信進行安全保護是業(yè)界流行的安全解決辦法。

參考文獻：

[1]李春潔.企業(yè)局域網的建設與維護[J].信息通信，2013（10）：116-117.

[2]郝靜.提高企業(yè)局域網帶寬質量五步驟[J].計算機與網絡，2014（Z1）：67.

[3]王大明.企業(yè)局域網維護管理策略的研究和分析[J].電子技術與軟件工程，2014（29）：28.

[4]張濤，周春紅.無線局域網在企業(yè)中的架設與應用[J].電子世界，2014（05）：165-166.

作者簡介：葛玉峰（1969.01-）男，河北廊坊人，本科，工程師，從事信息管理工作。

作者單位：中國石油天然氣管道局，河北廊坊 065000