企业网络安全风险剖析及对策.docVIP

企业网络安全风险剖析及对策 　　【摘要】企业网络化已经成为目前企业办公的主要模式，但企业网络化的同时注重得不应仅是网络的正常运行，还应注重企业办公网络的安全性，本文将从网络结构安全、网络操作系统安全、数据安全等方面进行分析并提出相应保障企业网络安全的对策。 　　【关键词】企业网络安全；风险分析；对策 　　一、网络结构安全风险分析及对策 　　1、外部网络安全分析及对策 　　企业网络通常与外部网络连接，方便企业员工与外界互连。但由于网络涵盖面广，外网中存在太多的不安全因素，如果系统内部局域网与系统外部网络之间没有采取安全防护措施，内部网络很容易遭到来自外部网络一些入侵者的攻击，这些攻击或影响企业网络系统的正常运行或使资料泄漏，所以可以采取以下的网络安全措施： 　　（1）加强网络结构设置：为了加固网络结构可以将网络结构设置为如图1所示的结构： 　　第一道安全防线：外部防火墙抵挡外部网络的攻击。第二道安全防线：DMZ区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点，把整个网络的安全问题集中在堡垒主机上解决，从而省时省力，不用考虑其它主机的安全问题，能进一步抵挡外部网络的攻击。第三道安全防线：内部防火墙。负责管理DMZ区域主机对内部网络的访问，并管理所有内部网络对DMZ区域的访问。通过以上网络结构的设置，非法用户必须经过三个独立的区域才能到达内网，加大了入侵者攻击的难度，加固了内部网络的安全性，但网络运维的成本相对较大。 　　（2）加强员工的网络安全意识：内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼，而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件，所以加强员工的安全教育，对于保障网络安全非常重要。 　　2、内部网络安全分析及对策 　　企业网络内部攻击相对于外网入侵要略显容易，大约有70%～80%的网络攻击来自于网络内部，所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括：误用和滥用关键敏感数据；内部人员故意泄漏内部网络的网络结构；内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。针对以上内部网络安全问题，可以采用以下安全措施： 　　（1）软件管理：启用内网监听软件、加强内网的监控；固定企业内客户端的IP地址、加强用户的管理；查看服务器日志文件，保护内网安全。（2）硬件管理：网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全，将其安置在相对安全的地方，不要安置到所有员工都容易接触的地方；其次管理人员应正确理解硬件设备的应用，避免由于疏忽或不正确理解而使这些设备安全性不佳。 　　二、网络操作系统安全风险分析与对策 　　目前常用网络操作系统有windows、UNIX、linux操作系统，这些操作系统开发在过程中要考虑到方便用户使用，但在方便使用的前提下也暴露出一些问题：（1）操作系统默认配置存在安全隐患：如Windows操作系统默认设置可以从光盘或U盘启动，这种设置可以避开登录密码直接进入操作系统，另外操作系统默认安装了一些不常用的服务和端口，为非法用户的入侵提供了便利。（2）操作系统支持在网络上共享数据、加载或安装程序，这些功能方便了非法用户注入和运行木马程序，为获取用户的信息提供了方便之门。（3）操作系统自身结构问题，如：windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息；ftp服务传输过程为明码传输，使用抓包工具即可获取FTP服务器的登录账号和密码，telnet远程登录需要经过很多的环节，中间的通讯环节可能会出现被人监控等安全问题，所以为了加固网路操作安全可以采用以下措施： 　　1、加强物理安全管理 禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令，禁止使用U盘或光驱引导系统。 　　2、加强用户名和口令的管理 windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限，所以是入侵者想要获取的信息。用户名保护：Windows非管理员账户在输入密码错误后可设置成锁定该用户，但是Administrator不能删除和禁用，所以攻击者可以反复尝试登陆，试图获取密码。为了增加攻击者获取管理员权限的难度，可以为Administrator重命名，这样攻击者不但要猜出密码，还要先猜出管理员修改后的用户名。Root用户不能更名，为了保护该用户，在没有必要的情况下，不要用root用户登录本机及远程登录服务器。密码保护：密码设置应按照密码复杂度要求设置并定期更换密码，同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。 　　3、加强用户访问权限的管理