企業(yè)信息網(wǎng)絡安全保障體系的構(gòu)建

摘 要:隨著網(wǎng)絡信息技術(shù)的飛躍發(fā)展，企業(yè)信息化已經(jīng)成為提高企業(yè)競爭的重要因素。企業(yè)在大力推行辦公自動化、網(wǎng)絡化、電子化、信息共享，以利用網(wǎng)絡技術(shù)增強各部門的科學決策、監(jiān)管控制、提高工作效率的同時，伴隨著網(wǎng)絡安全就成為每一個企業(yè)需要解決的問題。如何保證企業(yè)網(wǎng)絡信息安全，確保企業(yè)各項業(yè)務的持續(xù)穩(wěn)定運行，已成為當前企業(yè)信息化健康發(fā)展的重要課題。

關(guān)鍵詞:網(wǎng)絡安全 信息 企業(yè) 安全保障

中圖分類號:TP393 文獻標識碼:A 文章編號:1674-098X(2011)03(c)-0242-01

隨著計算機網(wǎng)絡技術(shù)的發(fā)展，企業(yè)越來越多地使用計算機系統(tǒng)處理日常業(yè)務，以滿足不斷發(fā)展的業(yè)務需求，但企業(yè)的網(wǎng)絡系統(tǒng)結(jié)構(gòu)日益復雜，不斷出現(xiàn)的安全隱患在很大程度上制約著企業(yè)業(yè)務的發(fā)展。應用信息安全技術(shù)，通過采取相應的措施在一定程度上降低安全風險，從而建立一個相對安全和可靠的網(wǎng)絡系統(tǒng)，能夠有效地保護信息資源免受威脅。本文將闡述企業(yè)在內(nèi)外部網(wǎng)絡環(huán)境下如何來構(gòu)建一個強有力的安全保障體系。

1企業(yè)信息網(wǎng)絡目前存在的主要問題隱患

1.1 路由器及交換機等設備的安全隱患

路由器是企業(yè)網(wǎng)絡的核心部件，企業(yè)信息網(wǎng)絡與外界的數(shù)據(jù)交換都必須經(jīng)過路由器，它的安全將直接影響整個網(wǎng)絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份，并且在遠程TELNET登錄時以明文傳輸口令，一旦口令泄密，路由器將失去所有的保護能力。同時，路由器口令的弱點是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員部可能使用相同的口令，路由器對于誰曾經(jīng)作過什么修改沒有跟蹤審計的能力。此外，路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網(wǎng)絡的路由設置，達到破壞網(wǎng)絡或為攻擊做準備的目的。一旦控制了企業(yè)網(wǎng)絡的“咽喉”——路由器，那么整個企業(yè)的各種敏感信息隨即也會完全暴露出來！

1.2 網(wǎng)絡病毒和惡意代碼的襲擊

與前幾年病毒和惡意代碼傳播情況相比，如今的病毒和惡意代碼的傳播能力與感染能力得到了極大提升，其破壞能力也在快速增強，所造成的損失也在以幾何極數(shù)上升。當年的“熊貓燒香”病毒就使很多企業(yè)聞風喪膽。在日常辦公和處理業(yè)務中，E-mail、Web、壓縮文件、上傳下載信息等已經(jīng)成為人們獲取信息的主要途徑，這些途徑也正是各種病毒的最好載體，使得它們的寄宿和傳播變得更加容易。目前，全世界發(fā)現(xiàn)的病毒已經(jīng)遠遠超過數(shù)十萬種，這些病毒會對重要的主機或服務器進行攻擊，諸于類似的SYN FLOOD攻擊，或放置邏輯炸彈，有著不可估量的破壞力，造成企業(yè)網(wǎng)絡無法正常運行，降低員工工作效率，影響企業(yè)盈利能力。如何防范各種類型的病毒和惡意程序，是任何一個企業(yè)不得不面對的一個挑戰(zhàn)。

2企業(yè)信息化網(wǎng)絡安全保障的體系

網(wǎng)絡安全保障為網(wǎng)絡安全提供管理指導和支持，具體地說，建立企業(yè)網(wǎng)絡安全綜合解決方案主要作用有以下幾點。

2.1 利用先進網(wǎng)絡安全技術(shù)

2.1.1 防火墻技術(shù)

防火墻技術(shù)一般分為兩類:網(wǎng)絡級防火墻和應用級防火墻。網(wǎng)絡級防火墻防止整個網(wǎng)絡出現(xiàn)外來非法入侵;應用級防火墻是從應用程序來進行接人控制，通常使用應用網(wǎng)關(guān)或代理服務器來區(qū)分各種應用。目前防火墻所采用的技術(shù)主要有:屏蔽路由技術(shù)、基于代理技術(shù)、包過濾技術(shù)、動態(tài)防火墻技術(shù)、DMZ模型。

2.1.2 虛擬專用網(wǎng)

虛擬專用網(wǎng)(Virtual Private Network．VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸，通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個私有的連接。因此，從本質(zhì)上說VPN是一個虛擬通道，它可用來連接兩個專用網(wǎng)。通過可靠的加密技術(shù)方法保證其他安全性。并且是作為一個公共網(wǎng)絡的一部分存在的。

2.1.3 加密技術(shù)

加密技術(shù)分為對稱加密和非對稱加密兩類。對稱加密技術(shù)有DES、3DES、IDEA．對稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同。也就是說一把鑰匙開一把鎖。非對稱密鑰技術(shù)主要有RSA。非對稱密鑰技術(shù)也稱為公鑰算法，是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應用于身份驗證、數(shù)字簽名、數(shù)據(jù)傳輸。

2.2 采用嚴格訪問控制措施

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問，使非權(quán)限的網(wǎng)絡訪問受到限制，只允許有訪問權(quán)限的用戶獲得網(wǎng)絡資源。首先是要進行身份驗證。身份識別是用戶向系統(tǒng)出示自己身份證明的過程，身份認證是系統(tǒng)查核用戶身份證明的過程。這兩項工作統(tǒng)稱為身份驗證，這是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，用戶名和口令的識別與驗證是常用的方法之一。此外還有數(shù)字證書、動態(tài)口令、智能卡、生物識別等多種認證方式。確保企業(yè)信息資源的訪問得到正式的授權(quán)，驗證資源訪問者的合法身份，將風險進一步細化，盡可能地減輕風險可能造成的損失。其次是有限授權(quán)。對網(wǎng)絡的權(quán)限控制能有效地防止用戶對網(wǎng)絡的非法操作，企業(yè)可以根據(jù)用戶所屬部門和工作性質(zhì)為其制定相應的權(quán)限，用戶只能在自己的權(quán)限范圍內(nèi)對文件、目錄、網(wǎng)絡設備等進行操作。

2.3 部署漏洞掃描技術(shù)和入侵檢測系統(tǒng)

漏洞掃描是對中小型企業(yè)的網(wǎng)絡進行全方位的掃描，檢查網(wǎng)絡系統(tǒng)是否有漏洞，如果有漏洞，則需要馬上進行修復，否則系統(tǒng)很容易受到傷害甚至被黑客借助漏洞進行遠程控制，后果將不堪設想，所以漏洞掃描對于保護中小型企業(yè)網(wǎng)絡安全是必不可少的。面對網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)絡管理員的技術(shù)和經(jīng)驗尋找安全漏洞做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡安全漏洞，評估并提出修改建議的網(wǎng)絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞，消除安全隱患。

入侵檢測系統(tǒng)是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它與其他網(wǎng)絡安全設備的不同之處在于，入侵檢測技術(shù)是一種積極主動的安全防護技術(shù)，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)，是為了保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。在中小型企業(yè)網(wǎng)絡的入侵檢測系統(tǒng)中記錄相關(guān)記錄，入侵檢測系統(tǒng)能夠檢測并且按照規(guī)則識別出任何不符合規(guī)則的活動，能夠限制這些活動，保護網(wǎng)絡系統(tǒng)的安全。

總之，中小型企業(yè)的網(wǎng)絡安全保障體系構(gòu)建是一個系統(tǒng)的工程，需要綜合多個方面的因素和利用防火墻技術(shù)、網(wǎng)絡加密技術(shù)、身份認證技術(shù)、防病毒技術(shù)、入侵檢測技術(shù)等網(wǎng)絡安全技術(shù)，而且需要仔細考慮中小型企業(yè)自身的安全需求，認真部署和嚴格管理，才能建立中小型企業(yè)網(wǎng)絡安全的防御系統(tǒng)。

參考文獻

[1]郭啟全.網(wǎng)絡信息安全學科建設與發(fā)展[J].中國人民公安大學學報，2003(3)．

[2]閆宏生.計算機網(wǎng)絡安全與防護[M].北京:電子工業(yè)出版社，2007．

[3]王靜燕，高偉.企業(yè)網(wǎng)絡安全系統(tǒng)的設計[J].科技信息，2009，17．

[4]張杰.基于互聯(lián)網(wǎng)環(huán)境的企業(yè)信息安全防護策略[J].科技資訊，2007．