文章內(nèi)容

企業(yè)計算機網(wǎng)絡(luò)安全防御體系的不安全因素和策略

發(fā)布時間: 2012/5/25 19:38:07

隨著科學(xué)技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)在企業(yè)的生產(chǎn)和經(jīng)營活動中，發(fā)揮著越來越重要的作用。近年來，許多企業(yè)都相繼實現(xiàn)了企業(yè)內(nèi)部的信息化。企業(yè)的生產(chǎn)和經(jīng)營都離不開計算機網(wǎng)絡(luò)系統(tǒng)的支撐，因此，計算機網(wǎng)絡(luò)的安全穩(wěn)定對于企業(yè)的生存和發(fā)展至關(guān)重要。構(gòu)建了一個安全、穩(wěn)定、可靠的企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)是企業(yè)當(dāng)前亟待解決的重大問題。
　　企業(yè)計算機網(wǎng)絡(luò)中存在的不安全因素
　　1 網(wǎng)絡(luò)內(nèi)部。
　　在這種情況下，往往是由操作失誤造成的，這是比較常見的原因，可以通過嚴(yán)格的管理和個人的技術(shù)培訓(xùn)來解決。
　　2 硬件故障。
　　計算機是一個系統(tǒng)的整體，設(shè)備內(nèi)部任何一種硬件發(fā)生故障都可能導(dǎo)致信息丟失，甚至造成整個系統(tǒng)的癱瘓。網(wǎng)絡(luò)線路的物理損傷、網(wǎng)絡(luò)的不規(guī)范擴展和網(wǎng)絡(luò)連接的混亂是目前造成硬件故障的三個最主要的原因。
　　3 網(wǎng)絡(luò)內(nèi)部的侵害
　　防火墻對于網(wǎng)絡(luò)的安全防護措施來說，防火墻是必不可少的手段，也是最有效的方法之一，其作用就是對內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)進行防護和隱藏，防止來自網(wǎng)絡(luò)外部的攻擊和侵害，但是任何措施都是有漏洞的。防火墻的最大問題就是能較好的防止來自外部網(wǎng)絡(luò)的威脅，但是對于來自網(wǎng)絡(luò)內(nèi)部的侵害，防火墻就無能為力了。
　　4 安全工具的使用受到人為因素的影響。
　　任何工具都是人發(fā)明和使用的，只要是與人有關(guān)的，就必然不是完美的。對數(shù)據(jù)安全來說，有時最嚴(yán)重的威脅通常來自于企業(yè)內(nèi)部，員工的失誤可能威脅信息的安全或?qū)е虏《镜膫鞑�。還有極少數(shù)員工基于不同的目的設(shè)法竊取超級用戶口令，在未經(jīng)授權(quán)的情況下訪問機密信息。
　　除了專業(yè)技術(shù)人員之外，大部分企業(yè)員工對信息安全的認(rèn)識不足，如果沒有這種意識和認(rèn)識，有再多的技術(shù)安全措施和屏障，也難以達到預(yù)期的目的。一個安全工具保護效果能否實現(xiàn)，不光是看技術(shù)設(shè)計的是否出色，更重要的取決于管理人員的素質(zhì)和責(zé)任心。
　　5 只要有程序， Bug就可能存在，甚至安全的漏洞也可能存在于安全工具本身。
　　現(xiàn)在人們常用的個人計算機操作系統(tǒng)其實并不安全，存在很多的缺陷和漏洞，一些病毒和木馬就會利用這些漏洞對網(wǎng)絡(luò)安全進行大肆攻擊。很多操作系統(tǒng)都配備了用以改進系統(tǒng)管理和提高服務(wù)質(zhì)量的工具軟件，但這些工具同時也會被黑客利用去收集非法信息及加強攻擊力度：
　　如NBTSTA T 命令是用來給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點的信息的，但是破壞者也用這一命令收集對系統(tǒng)有威脅性的信息；
　　區(qū)域控制軟件的身份信息、NetBIOS 的名字、IIS名甚至是用戶名，這些信息足以被黑客用來破譯口令；
　　網(wǎng)包嗅探器（PacketSn iffer），系統(tǒng)管理員用此工具來監(jiān)控及分發(fā)網(wǎng)包，以便找出網(wǎng)絡(luò)的潛在問題，同時也為黑客攻擊網(wǎng)絡(luò)提供了機會。
　　6 黑客的攻擊手段雖然種類繁多，但主要利用以下兩類漏洞：
　�、賂CP/IP協(xié)議自設(shè)設(shè)計的問題，這是因為TCP/IP協(xié)議一開始設(shè)計的時候，是基于互相信任的網(wǎng)絡(luò)的，故而缺乏對付網(wǎng)絡(luò)惡意攻擊的手段；
　�、谝恍┎僮飨到y(tǒng)的設(shè)計漏洞，這一點我們在上文中已經(jīng)提到。
　　現(xiàn)今的社會，互聯(lián)網(wǎng)技術(shù)和計算機技術(shù)發(fā)展的越來越快，而網(wǎng)絡(luò)黑客的攻擊水平也是水漲船高，各種攻擊手段和病毒式層出不窮，并且技術(shù)越來越高，越來越難以防范，幾乎每天都有新的系統(tǒng)安全問題出現(xiàn)。
　　與之相比，網(wǎng)絡(luò)安全防護工具的發(fā)展明顯滯后，究其原因，是因為黑客是一個群體，遍布全世界各地，而負(fù)責(zé)網(wǎng)絡(luò)安全防護工具開發(fā)的只是一些固定的網(wǎng)絡(luò)技術(shù)公司和開發(fā)人員，以有限的安全技術(shù)人員對付無限的龐大黑客群體，再加上這種對策都是被動的，總是等到新的木馬或病毒出現(xiàn)后才會有相應(yīng)的防護工具產(chǎn)生，其結(jié)果可想而知。
　　構(gòu)建企業(yè)計算機網(wǎng)絡(luò)防御體系的策略
　　根據(jù)當(dāng)前企業(yè)計算機網(wǎng)絡(luò)的發(fā)展現(xiàn)狀、發(fā)展趨勢、操作系統(tǒng)對網(wǎng)絡(luò)傳輸與服務(wù)的要求以及安全保密等相關(guān)規(guī)定，構(gòu)建一個企業(yè)計算機網(wǎng)絡(luò)安全防御體系應(yīng)注意以下幾點：
　�、倨髽I(yè)計算機網(wǎng)絡(luò)結(jié)構(gòu)必須做到實現(xiàn)外部服務(wù)網(wǎng)與內(nèi)部服務(wù)網(wǎng)的分離；
　�、趯π畔⑾到y(tǒng)的安全等級要進行劃分，以便在進行信息管理時使用不同的安全域；
　�、墼诰W(wǎng)絡(luò)安全上必須充分開展對網(wǎng)絡(luò)訪問控制、防火墻設(shè)置、網(wǎng)絡(luò)動態(tài)隔離和病毒網(wǎng)關(guān)及日志的管理和維護；
　�、軐W(wǎng)絡(luò)的流量要進行充分控制和保護；
　�、莼跀�(shù)字證書的用戶身份認(rèn)證、授權(quán)管理建立完善的訪問控制設(shè)施；⑥必須建立日志和審計系統(tǒng)。
　　要建立企業(yè)計算機安全網(wǎng)絡(luò)防御體系，必須將重要行業(yè)的原有的平面結(jié)構(gòu)的計算機網(wǎng)絡(luò)調(diào)整為層次保護結(jié)構(gòu)的網(wǎng)絡(luò)，形成外部網(wǎng)、辦公網(wǎng)和生產(chǎn)網(wǎng)的三層結(jié)構(gòu)。在外層部署與互聯(lián)網(wǎng)的接口，外層網(wǎng)絡(luò)屏蔽內(nèi)層網(wǎng)絡(luò)，實現(xiàn)外層網(wǎng)絡(luò)對內(nèi)層網(wǎng)絡(luò)的保護。在不同的網(wǎng)絡(luò)區(qū)域邊界，通過邊界保衛(wèi)策略實施多點控制，使網(wǎng)絡(luò)劃分為不同級別的保護層次和區(qū)域，控制各層次之間的信息流。
　　企業(yè)計算機網(wǎng)絡(luò)是一個典型的計算機網(wǎng)絡(luò)的應(yīng)用，其作為互聯(lián)網(wǎng)和信息時代的產(chǎn)物，已經(jīng)深入到企業(yè)生產(chǎn)、經(jīng)營、管理等各個部門，但是由于建立一個安全可靠的計算機網(wǎng)絡(luò)防御體系是一個復(fù)雜而又龐大的系統(tǒng)工程，涉及到問題眾多，因此，需要我們加強對計算機網(wǎng)絡(luò)體系的研究，不斷的改進網(wǎng)絡(luò)軟硬件技術(shù)，確保計算機網(wǎng)絡(luò)的安全，如此才可以使得這項新技術(shù)和新的管理手段最大化的發(fā)揮作用，為企業(yè)的不斷現(xiàn)代化保駕護航。