中小型企業(yè)網(wǎng)絡(luò)信息安全技術(shù)分析

梅　棟

[摘要]隨著計算機網(wǎng)絡(luò)技術(shù)飛速發(fā)展,企業(yè)網(wǎng)絡(luò)信息安全建設(shè)也遇到前所未有的挑戰(zhàn)。通過對企業(yè)單位的調(diào)研,在分析網(wǎng)絡(luò)信息安全理論基礎(chǔ)上,對于企業(yè)單位網(wǎng)絡(luò)信息安全現(xiàn)狀進行總結(jié),并提出企業(yè)網(wǎng)絡(luò)信息安全分析及漏洞,最后對于企業(yè)信息安全建設(shè)模型提出相關(guān)意見措施。

[關(guān)鍵詞]網(wǎng)絡(luò)安全信息安全安全體系

中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)0710062-01

在中小企業(yè)特別是偏遠和經(jīng)濟相對落后的企業(yè),網(wǎng)絡(luò)發(fā)展建設(shè)迫在眉睫,網(wǎng)絡(luò)建設(shè)隨后帶來的安全性問題就成為一個艱巨而又長期的問題。而目前網(wǎng)絡(luò)管理安全技術(shù)人員短缺、安全意識相對淡薄的情況下,如何能夠在網(wǎng)絡(luò)建設(shè)初期或正在建設(shè)過程中盡早的建立起網(wǎng)絡(luò)安全意識,了解網(wǎng)絡(luò)安全存在的威脅,選拔和培養(yǎng)自己的安全人才,新的安全人員能夠了解和掌握基本安全防范措施,制定適合本單位網(wǎng)絡(luò)安全的安全實施計劃,最大限度的避免和減少網(wǎng)絡(luò)威脅給企業(yè)帶來不必要的損失[1,2]。

一、企業(yè)網(wǎng)絡(luò)現(xiàn)狀和安全性分析

隨著電子信息和計算機技術(shù)的發(fā)展,網(wǎng)絡(luò)己滲透到經(jīng)濟和生活的各個領(lǐng)域。同時伴隨著網(wǎng)絡(luò)的發(fā)展,也產(chǎn)生各種各樣的問題,其中安全隱患日益突出,無論是企業(yè)、服務(wù)供應(yīng)商、政府部門還是研究和教育機構(gòu),安全性顯然決定著網(wǎng)絡(luò)要求和工作的優(yōu)先級。計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。

為了更好的保護網(wǎng)絡(luò)系統(tǒng)安全,本節(jié)對入侵者的手段和方法作一介紹。網(wǎng)絡(luò)入侵者通常以下的步驟和方法達到入侵的目的。(1)信息收集,信息收集是為了了解所要攻擊目標(biāo)的詳細信息,通常黑客利用相關(guān)的網(wǎng)絡(luò)協(xié)議或?qū)嵱贸绦騺硎占?如用SNMP協(xié)議可用來查看路由器的路由表,了解目標(biāo)主機內(nèi)部拓撲結(jié)構(gòu)的細節(jié),用TraceRoute程序可獲得到達目標(biāo)主機所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由數(shù),用Ping程序可以檢測一個指定主機的位置并確定是否可到達等。(2)探測分析系統(tǒng)的安全弱點,在收集到目標(biāo)的相關(guān)信息以后,黑客會探測網(wǎng)絡(luò)上的每一臺主機,以尋求系統(tǒng)的安全漏洞或安全弱點,黑客一般會使用Telnet、FTP等軟件向目標(biāo)主機申請服務(wù),如果目標(biāo)主機有應(yīng)答就說明開放了這些端口的服務(wù)。其次使用一些公開的工具軟件如Internet安全掃描程序ISS、網(wǎng)絡(luò)安全分析工具SATAN等來對整個網(wǎng)絡(luò)或子網(wǎng)進行掃描,尋求系統(tǒng)的安全漏洞,獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)。(3)實施攻擊在獲得了目標(biāo)系統(tǒng)的非法訪問權(quán)以后,黑客一般會實施以下的攻擊:試圖毀掉入侵的痕跡,并在受到攻擊的目標(biāo)系統(tǒng)中建立新的安全漏洞或后門,以便在先前的攻擊點被發(fā)現(xiàn)以后能繼續(xù)訪問該系統(tǒng);在目標(biāo)系統(tǒng)安裝探測器軟件,進一步發(fā)現(xiàn)目標(biāo)系統(tǒng)的信任等級,以展開對整個系統(tǒng)的攻擊;如果黑客在被攻擊的目標(biāo)系統(tǒng)上獲得了特許訪問權(quán),那么他就可以讀取郵件,搜索和盜取私人文件,毀壞重要數(shù)據(jù)以至破壞整個網(wǎng)絡(luò)系統(tǒng),那么后果將不堪設(shè)想。黑客攻擊通常采用以下幾種典型的攻擊方式:密碼破解、IP欺騙(Spoofing)與嗅探(Sniffing),系統(tǒng)漏洞,端口掃描。

二、網(wǎng)絡(luò)安全的控制策略分析

安全控制策略需要考慮到來自網(wǎng)絡(luò)內(nèi)部和外部兩方面的因素,包括制訂完善的企業(yè)級安全策略、應(yīng)用級安全策略、系統(tǒng)級安全策略以及網(wǎng)絡(luò)級安全策略。(1)企業(yè)級安全控制。安全策略必須建立在精心進行的安全分析、風(fēng)險評估以及商業(yè)需求分析基礎(chǔ)之上。(2)應(yīng)用級安全控制。應(yīng)用級安全策略是對企業(yè)內(nèi)部應(yīng)用平臺的安全控制,保護合法用戶對數(shù)據(jù)的合法存取。(3)系統(tǒng)級安全控制。由于主機上采用的UNIX操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng),都具有訪問權(quán)限的控制,因此有很高的安全性。目前,在UNIX上發(fā)現(xiàn)的大多數(shù)問題,都歸因于一些編程漏洞及管理不善,如果每個網(wǎng)絡(luò)及系統(tǒng)管理員都能注意以下幾點,就可在現(xiàn)有條件下,將系統(tǒng)安全風(fēng)險降至最低。(4)網(wǎng)絡(luò)級安全控制。網(wǎng)絡(luò)安全性通過網(wǎng)絡(luò)軟件和協(xié)議來控制對網(wǎng)絡(luò)的訪問。Intranet采用TCP/IP協(xié)議作為其標(biāo)準(zhǔn)通信協(xié)議,而該協(xié)議本身的安全性控制是很弱的。因此本系統(tǒng)應(yīng)該采取下列幾方面技術(shù)進行網(wǎng)絡(luò)安全的控制。

三、網(wǎng)絡(luò)安全方案設(shè)計

通過對網(wǎng)絡(luò)系統(tǒng)的全面了解,按照網(wǎng)絡(luò)風(fēng)險分析結(jié)果、安全策略的要求、安全目標(biāo)及整個網(wǎng)絡(luò)安全方案的設(shè)計原則,整個網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)整體建立。具體的安全控制系統(tǒng)由以下幾個方面組成。

保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提。網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指,網(wǎng)絡(luò)拓撲結(jié)構(gòu)是否合理;線路是否有冗余;路由是否冗余,防止單點失敗等。工行網(wǎng)絡(luò)在設(shè)計時,比較好的考慮了這些因素,可以說網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的。對于操作系統(tǒng)的安全防范可以采取如下策略:盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件(如UNIX下:/.host、etC/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用權(quán)限進行嚴格限制等等方法。訪問控制可以通過如下幾個方面來實現(xiàn),比如制定嚴格的管理制度,配備相應(yīng)的安全設(shè)備,通過交換機劃分VLAN,使用應(yīng)用代理。數(shù)據(jù)的機密性與完整性,主要是為了保護在網(wǎng)上傳送的涉及企業(yè)秘密的信息,經(jīng)過配備加密設(shè)備,使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式,而不是明文。可以選擇以下幾種方式:鏈路層加密,網(wǎng)絡(luò)層加密,入侵檢測等。數(shù)據(jù)保護所包含的內(nèi)容比較廣,除了前面講過的通信保密和訪問控制外,還包括以下幾個方面:制定明確的數(shù)據(jù)保護策略和管理制度保護策略和管理制度有:《系統(tǒng)信息安全保密等級劃分及保護規(guī)范》、《數(shù)據(jù)安全管理辦法》、《上網(wǎng)數(shù)據(jù)的審批規(guī)定》。安全審計主要通過如下幾方面實現(xiàn):制訂審計策略和管理制度,制度有:《審計制度》;安全設(shè)備:網(wǎng)絡(luò)監(jiān)視系統(tǒng)等方法。防病毒措施主要包括技術(shù)和管理方面,技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng),以提供對病毒的檢測、清除、免疫和對抗能力。在客戶端的主機也應(yīng)安裝單機防病毒軟件,將病毒在本地清除而不致于擴散到其他主機或服務(wù)器。備份恢復(fù),對重要設(shè)備進行設(shè)備備份。數(shù)據(jù)備份則主要通過磁盤、磁帶、光盤等介質(zhì)來進行。

四、結(jié)語

本文以中小型企業(yè)網(wǎng)絡(luò)建設(shè)和安全防范的實例為基礎(chǔ),分析了網(wǎng)絡(luò)不同層次和不同系統(tǒng)中當(dāng)前網(wǎng)絡(luò)存在隱患和威脅,如病毒、網(wǎng)絡(luò)入侵及其他人為因素帶來的網(wǎng)絡(luò)安全問題,設(shè)計了相應(yīng)的防范對策。

參考文獻:

[1]陳兵、王立松,網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究,計算機工程與應(yīng)用,2002.7:138～140.

[2]李靜,計算機網(wǎng)絡(luò)安全與防范措施,湖南省政法管理干部學(xué)院學(xué)報,2002.2.18(1):87～89.

作者簡介:

梅棟(1987-),男,漢族,江蘇人,湖北孝感學(xué)院電子信息科學(xué)與技術(shù)專業(yè),本科在讀。