大型企業網絡的安全威脅及安全管理

曹陽

[摘要]隨著企業對網絡依賴度的與日俱增，安全的網絡系統對于現代大型企業來說是日常辦公和業務應用的支撐體系，企業網絡安全的重要性不言而喻。本文首先分析了大型企業網絡的安全威脅，然后詳細談談強化企業網絡安全管理的若干策略。

[關鍵詞]企業網絡；網絡威脅；安全管理

[中圖分類號]C29 [文獻標識碼]A [文章編號]1672-5158（2013）06-0479-01

計算機網絡技術的發展，使大型企業網絡的安全保護面臨了從未有過的挑戰。計算機泄密已經隨著其在企業領域的廣泛應用悄然來臨，且具有極大的隱蔽性和破壞性。安全管理總監如果對這個新的泄密渠道不加以認真研究，不采取有效的安全堵漏措施，就可能在不知不覺中遭受慘重的損失。

一、企業網絡安全性急需重視

企業已經越來越依賴網絡以及企業內部網絡來支持重要的工作流程，內部網絡斷線所帶來的成本也急劇升高。當這一刻顯得迫在眉睫時，如何確保核心網絡系統的穩定性就變得非常重要，即使一個企業的虛擬網絡或防火墻只是短暫的中斷，也都可能會中斷非常高額的交易，導致收入流失、客戶不滿意以及生產力的降低。盡管所有的企業都應該對安全性加以關注，但其中一些更要注意。那些存儲有私密信息或專有信息、并依靠這些信息運作的企業尤其需要一套強大而可靠的安全性解決方案。通過一部中央控制臺來進行配置和管理的安全性解決方案能夠為此類企業提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對網絡的安全性進行升級，從而適應不斷變化的商務需求，并幫助企業對用戶訪問保持有效的控制。例如，IT管理員能夠根據最近發現的網絡攻擊行為迅速調整網絡的安全性級別。此外，用戶很難在終端系統上屏蔽掉由一臺遠程服務器控制的網絡安全特性。IT管理人員們將非常自信：一旦他們在整個網絡中配置了適當的安全性規則，不論是用戶還是系統的安全性都將得到保證，并且始終安全。而對于那些安全性要求較高的企業來說，基于軟件的解決方案（例如個人防火墻以及防病毒掃描程序等）都不夠強大，無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序，都能輕松將這些防護措施屏蔽掉，甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件。一旦這些軟件系統失效，終端系統將非常容易受到攻擊。更為可怕的是，網絡中的其他部分也將處在攻擊威脅之下。

二、大型企業網絡安全的威脅

企業網絡威脅簡單地說就是指對網絡中軟、硬件的正常使用、數據的完整無損，以及網絡通信正常工作等造成的威脅。當然這種威脅可大可小，大的可以使整個網絡中的PC機和服務器處于癱瘓狀態，網絡數據被無情銷毀，可能會使一個公司因此而被迫停產、關閉；小的可能只是網絡中某個用戶計算機上發現了病毒，造成系統性能下降。那么，具體有哪些網絡威脅呢？其實很簡單，如病毒、木馬、網絡監聽、黑客攻擊以及包括諸如流氓軟件在內的惡意軟件等都屬于網絡威脅的范疇。這些網絡威脅總體來說可分為兩大類：一類是主動攻擊型威脅，另一類就是被動型威脅，如計算機病毒、木馬、惡意軟件等。

目前，企業網絡的最大安全隱患是來自Internet的惡意程序和黑客攻擊。計算機病毒是最常見，也是最主要的安全威脅。隨著計算機網絡技術的發展，計算機病毒技術也在快速地發展變化之中，而且在一定程度上走在了計算機網絡安全技術的前面。就計算機病毒來說，防護永遠只能是一種被動防護，因為計算機病毒也是計算機程序的一種，并沒有非常明顯的特征，更不可以通過某種方法一次性全面預防各種病毒。就像現在的關鍵字過濾技術一樣，同樣一個意思，卻可以有無窮種表達方式，根本是防不勝防。目前計算機病毒已經發展到了新階段，我們所面臨的不再是一個簡簡單單的病毒，而是包含了病毒、黑客攻擊、木馬、間諜軟件等多種危害于一身的基于Internet的網絡威脅。

病毒透過文件、操作系統或網絡來進行復制，特別是通過插入代碼，再得到一個表面合法的程序復制，然后在遭到感染的程序啟動時執行它們的功能。接著，它們就進駐到內存，使它們能夠更進一步感染系統，并將這種感染能力傳送到其他系統。從黑客程序進入被侵害電腦的途徑看，黑客程序與病毒也有很多相似之處。病毒通過網絡傳輸、磁盤交換等途徑，未經用戶允許強行侵入電腦。而絕大多數黑客程序采用了與電子郵件捆綁，偽裝成趣味程序誘騙用戶，制作蠕蟲+黑客類病毒等傳播手段。如“網絡神偷可以和其他程序捆綁在一起，當用戶安裝運行帶有服務端的程序后，服務端可以從捆綁程序釋放后駐留電腦。可見兩者的侵入電腦的途徑大同小異，只是采用的手段有一點點不同罷了。無論如何，不會有用戶主動給電腦安裝木馬，這就像沒有人主動將小偷領進家門一樣。從這個意義上講，黑客程序與私闖民宅的行徑性質相同，所以將黑客程序列入病毒范疇是不容置疑的。

三、大型企業網絡安全管理

目前，企業在信息化建設中均已配置了防火墻、IDS/IDP、VPN、身份驗證、企業版反病毒軟件等安全產品來增強企業網絡的安全性。

企業必須要強化網絡病毒的防范意識，做好計算機病毒的防范工作，就是不使計算機感染上病毒，防患于未然，預防工作從宏觀上講是一個系統工程，要求全社會的共同努力和法律法規的進一步規范，即規范制造網絡病毒的懲治辦法。就企業來講，應當制定出一套具體的措施，防止病毒的相互傳播，對于計算機操作和維護人員來說，不僅要遵守病毒防治的有關措施，還應當不斷增長知識，積累防治病毒的經驗，了解病毒，消除病毒。預防病毒，最關鍵的是在思想上給予足夠的重視，根據病毒隱蔽性和主動攻擊性強的特點，制定出切實可行的安全措施和規范，盡可能的減少病毒的傳染機率。要堵塞計算機病毒的傳染途徑。堵塞傳播途徑是預防計算機病毒傳染的有效方法，根據病毒傳染的規律，確定嚴防死守的入口點，在計算機上安裝具有動態預防病毒入侵的軟件，做好病毒的檢驗工作，使病毒的入侵機率和危害程度降至最低。要掌握計算機病毒的預防檢測和消除免疫技術。計算機病毒給企業和個人帶來的損失是無法彌補的，要想有效的阻止病毒入侵，掌握計算機病毒的預防檢測和消除免疫技術是最直接和最有效的保證。病毒防范技術總是在與病毒的較量中得到發展的，總體來說計算機病毒的防范需要在預防檢測和消除免疫等方面進行不斷改進和提高。

網絡安全管理是一種管理模式，主要體現在管理上，技術是實現管理的基礎。目前的網絡安全管理還處在初級探索階段，預防病毒要求其代碼至少每周升級2到3次。網絡安全管理是一個動態的系統工程，關系到安全項目規劃、應用需求分析、網絡技術應用、安全策略制定、安全等級評定、網絡用戶管理、人員安全培訓、規章制度制定等方方面面的問題，僅僅依靠技術是不行的，還需要決策者的正確引導和大力支持。網絡安全要求安全管理人員不但要懂網絡、懂安全，還要了解應用需求、網絡協議和網絡攻擊手段等，要充分認識到不同網絡的計算機、內部網和互聯網接入的計算機以及商業涉密計算機與非涉密的計算機在管理方面的不同。網絡安全最大的威脅不是來自外部，而是內部人員由于對網絡安全知識缺乏、人為錯誤操作造成和引起的。人是信息安全目標實現的主體，網絡安全需要全體人員積極認識、共同努力，避免出現“木桶效應”。最后，要建立嚴格制度的文檔。網絡安全制度的規范是確保這項工作順利實施的動力，是保證這項工作制度化、規范化開展的保證。需對制度進行完善和規范，確保網絡安全工作的實際效果。

參考文獻

[1]石淑華，池瑞楠編著，計算機網絡安全基礎[M]，人民郵電出版社，2005

[2]江和平，淺談網絡信息安全技術[J]現代情報，2004（12）