构建企业中网络安全系统.docVIP

构建企业中网络安全系统 　　［摘要］ 随着信息化技术在企业中应用的飞速发展，企业网络安全逐渐成为人们关注的焦点，如何在企业内构建安全的网络体系，已成为保障企业信息化发展的关键。 　　［关键词］ 网络； 防火墙（firewall）； 黑客； Internet 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 14. 040 　　［中图分类号］TP393.08 ［文献标识码］A ［文章编号］1673 - 0194（2011）14- 0069- 02 　　 　　１引言 　　 　　随着Ｉｎｔｅｒｎｅt迅速发展和普及，接入Ｉｎｔｅｒｎｅt的企业的不断增加，各个企业都已感到网络的重要性，陆续建立起了自己的企业网络。企业网络在带来巨大的资源和信息访问方便的同时，也来了不安全因素和潜在的危险。我国企业在网络安全方面存在诸多问题，网络安全意识薄弱。据调查，在我国企业单位７０％未设立相应的安全管理组织，５６％无严格的调存管理制度，５４％无应急措施，４７％无事故发生后的系统恢复方案。企业的网络安全不仅要求具有一般性的防卫规范，还应具有相当专业的防护措施。这就需要企业内部建立完整的网络安全体系，特别是符合企业自身特点的网络安全体系。 　　 　　２企业计算机系统的网络安全问题 　　 　　（１） 网络病毒对于企业内部网络的入侵行为。据报道，全世界平均每２０秒就发生一次计算机网络入侵事件。通常大多数企业的网络都拥有固定的Ｉｎｔｅｒｎｅｔ连接，企业内部的计算机可通过该Ｉｎｔｅｒｎｅｔ连接访问外部资源，同时，外部网络也可以通过该Ｉｎｔｅｒｎｅｔ连接访问企业对外发布信息的服务器，如企业网站和电子邮箱、ＥＲＰ、ＭＳＥ等服务。与此同时，病毒、垃圾邮件和不良信息等也可以通过Ｉｎｔｅｒｎｅｔ连接传入企业内部网络，干扰企业网络的正常运行，影响企业正常业务的顺畅运行。因而，有必要在企业的网络与Ｉｎｔｅｒｎｅｔ间建立安全的防护体系，将不安全因素拒于企业网络之外，防止非安全因素通过企业网络与Ｉｎｔｅｒｎｅｔ连接传播到企业内部的服务器或客户计算机上。防火墙就是一种有效的安全工具，它不仅可以隐蔽企业内部网络结构，同时还可以限制企业外部网络对内部网络的访问。但防火墙的缺点是对于企业内部用户之间的数据访问安全没有约束力。 　　（２） 企业内部网站的后门是传统安全工具难以考虑到的地方。由于技术条件的限制，目前一些企业网站的管理员为了方便采用了免费下载的源程序，这些源程序虽然使用方便，但却存在极大的安全隐患。如ＡＳＰ源码问题，这个问题在ＩＩＳ服务器４．０以前一直存在，它是ＩＩＳ服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ＡＳＰ程序的源码，从而可以收集系统信息，进而对系统进行攻击。防火墙对这种攻击是无法察觉的。 　　（３） 操作系统或应用程序的漏洞。从安全的角度上说，各种操作系统都是存在漏洞的，或多或少，有的漏洞可能还没有被发现，有的漏洞可能已经被发现。黑客往往利用互联网的漏洞入侵企业网络。 　　（４） 网络的ＩＰ地址被他人盗用。我们知道，网络中每一台计算机使用的ＩＰ地址是一个相对静态的逻辑地址，它极易被设置和修改，要防止用户随意修改ＩＰ地址，可以使用局域网中的ＤＨＣＰ服务器来为工作站分配动态ＩＰ地址，但用户也可以使用其他软件，来修改网卡的ＭＡＣ地址，甚至通过修改注册表的方式，来修改网卡的ＭＡＣ地址。所以工作站的ＩＰ地址很容易被别人盗用。当发生ＩＰ地址被他人非法盗用的现象时，会造成整个局域网网络内的所有工作站都不能上网，甚至整个局域网有可能全部瘫痪。 　　 　　３企业网络安全体系防护方法 　　 　　针对以上问题，企业网络安全体系常用以下几种防护方法：防火墙、ＶＰＮ、反病毒软件，以及入侵检测系统（ＩＤＳ）。大型企业一般会在内网与Ｉｎｔｅｒｎｅｔ连接处架设防火墙，作为企业内部网络与外网的第一道安全屏障；从网络安全的角度出发，普通防火墙只能在网络层上保护内网的计算机、服务器等不受外网的恶意攻击与非法访问，并不能阻断病毒、垃圾邮件等非安全因素进入到内网的计算机等。ＶＰＮ则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。防病毒软件都采用特征码识别的方法查杀病毒，所以，这种方法决定了防病毒软件只对已知的病毒具有识别能力。那么，一旦计算机的病毒代码库更新不及时，就有可能中病毒。另外，防病毒软件对于混合式攻击没有有效的防护手段，有时影响网络访问的整体性能。 　　任何一种防护方法都不能独自对企业网络系统起到真正积极有效的防护作用。本文简单地介绍多种防护措施并用的方法： 　　（１） 制定一套安全机制，提高工作人员网络安全的安全意识。要求企业的网络管理人员，都