企業網絡安全設計

摘要:本文從網絡威脅、風險分析了企業網絡安全隱患。在閱讀大量專家學者的相關理論著作和實踐案例的基礎上，歸納總結了幾種常見的網絡威脅和風險:內部竊密和破壞、竊聽、假冒、完整性破壞、其它網絡的攻擊、管理及操作人員缺乏安全知識。并且闡述了企業網絡建設的原則。本文的重點是研究如何更好的進行網絡安全設計。在網絡安全設計總體考慮之后，主要從應用系統安全、網絡安全、管理安全、物理安全這幾個方面具體的落實網絡安全設計。文章最后對安全設備選擇提出了安全性、可用性、可靠性的原則。

關鍵詞:網絡安全;網絡攻擊;建設原則

中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0114-01

計算機系統一旦遭受破壞，將給使用單位造成重大經濟損失，并嚴重影響正常工作的順利開展。加強企業網絡安全工作，是一些企業建設工作的重要工作內容之一。本文主要分析了企業的網絡結構和一些基本的安全情況，包括系統安全的需求分析、概要設計，防火墻應用等，重點針對企業網絡中出現的網絡安全問題，作了個介紹。對有關安全問題方面模塊的劃分，解決的方案與具體實現等部分.

一、網絡威脅、風險分析

隨著通訊技術和計算機技術的飛速發展，網絡正逐步成為當今社會發展的一個主題，其改變著人們的工作方式和生活方式。網絡的互連性，開放性，共享性程度的擴大，然而網絡的重要性和對社會的影響也越來越大主要是Internet的出現。隨著數字貨幣，電子現金，電子商務和政府上網以及網絡銀行等網絡行為的出現，網絡安全的問題變得越來越重要。

(一)其他網絡的攻擊

據數據統計，在美國網絡中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網絡業發展的最大危害，它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統都處于癱瘓狀態。據“Security Portal”的報告，計算機病毒事件在1999年計算機安全問題上排名第一位，然而與計算機病毒相關的黑客問題也在其中占有相當大的比例。從科研人員的分析結果科研看出計算機病毒的表現有以下新特點:

當今社會電子郵件已經成為計算機病毒傳播的主要媒介，它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件，所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播，事實上，有一些電子郵件病毒根本就沒有附件，因為它本身就是一個HTML。在不久前出現的許多的計算機病毒就無需用戶打開附件就會感染文件，如果用戶的郵件可以自動打開HTML格式的郵件，那么該計算機病毒就會立刻感染用戶的系統。

近年來由于互聯網的快速發展，互聯網出現了許多新一代的計算機病毒種類，比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網頁等黑客程序。其種類、數量正在迅速激增。同時，根據最新數據統計計算機病毒的數量正在急劇增加，現在每天都有超過40種新計算機病毒出現，因此每年的新型計算機病毒就有就有1.2萬種左右出現，這樣的數目超過了截至1997年為止世界上計算機病毒的總數。然而最近又出現了很多專門針對掌上電腦和手機的計算機病毒。

計算機病毒造成的破壞日益嚴重。2000年5月“I Love You”情書病毒的影響，全球的損失預計已經高達100億美元，而受CIH計算機病毒在全球造成的損失據估計已超過10億美元。對于行業的用戶當系統每死機一小時其損失都在650萬美元以上，其包括電視機構、證券公司、國際航運公司、信用卡公司和郵購公司在內，然而對于Internet公司，尚無人能統計其損失的金額。

(二)管理及操作人員缺乏安全知識

我們認為，全面的安全管理體系是由全面的安全產品解決方案、雇員的培訓、事后的安全審計、安全策略制定、安全策略架構的實施、企業系統風險評估、安全架構制定等部分有機結合，構成的完善的管理體系。全面的安全產品解決方案是包含在系統的各個方面和層次上部署相應安全產品的工具。

現代計算機網絡要加強系統的總體安全級別，必須從應用業務系統、網絡、計算機操作系統甚至系統安全管理規范，因為安全隱患會隱藏在系統的各個角落，使用人員應該考慮安全意識等各個層面統籌。木筒裝水的多少決定于最矮的木板，然而系統的總體安全級別就象裝在木筒中的水，系統安全級別的高低取決于系統安全管理最薄弱的環節。所以我們對系統安全管理應該是多方面的、多層次的，要從網絡、應用系統、操作系統各個方面來提高系統的安全級別，還要把原來通過管理規定由使用人員自覺維護的安全規則用系統來自動實現，來加強系統的總體安全性。

二、網絡安全總體設計

據統計，在英國50%的用戶口令都是寵物名稱，而在全世界銷售的150，000套防火墻中有85%的防火墻沒有正確的配置，60%的防火墻按缺省設置安裝。然而對于系統安全的維護和管理需要各種層次的系統和安全專家才能完成。如果沒有專業人員的介入，根據實際情況對安全管理產品進行詳細地配置，對于企業的策略進行設計和安全管理規范，就算功能再強大的安全產品也會達不到非常好的安全防護作用。

三、安全系統的建設原則

“使入侵者花費不可接受的金錢與時間，并且承受非常高的風險才可以闖入的系統叫做安全系統。我們認為，絕對安全與可靠的信息系統并不存在。然而安全性的增加通常會導致企業費用的增長，這些費用包括系統復雜性增加、系統性能下降、操作與維護成本增加和系統可用性降低等等。安全不是目的而是一個過程。威脅與弱點會隨時間變化。然而安全的努力依賴于許多因素，例如新業務應用的實施、職員的調整、安全漏洞和新攻擊技術與工具的導入。

參考文獻:

[1]張千里，陳光英.網絡安全新技術[M].北京:人民郵電出版社，2003

[2]高永強，郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社，2003

[3]周國民.入侵檢測系統評價與技術發展研究[J].現代電子技術，2004，12

[4]耿麥香.網絡入侵檢測技術研究綜述[J].網絡安全，2004，6