壹、企業的網絡安全現狀據統計,我國現有企業的網絡安全現狀是不容樂觀的,其主要表現在以下幾個方面: 信息和網絡的安全防護能力差; 網絡安全人才缺乏; 企業員工對網絡的安全保密意識淡薄,企業領導對網絡安全方面不夠重視等。壹部分企業認為添加了各種安全產品之後,該網絡就已經安全了,企業領導基本上就是只註重直接的經濟利益回報的投資項目,對網絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態度,其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導,導致我國目前企業的網絡安全建設普遍處於不容樂觀的狀況。
二、網絡安全常見威脅
1、計算機病毒計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用並且能夠自我復制的壹組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為:藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等,並且在短時間內傳播從而導致大量的計算機系統癱瘓,對企業或者個人造成重大的經濟損失。
2、非授權訪問指利用編寫和調試計算機程序侵入到他方內部網或專用網,獲得非法或未授權的網絡或文件訪問的行為。如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
3、木馬程序和後門木馬程序和後門是壹種可以通過遠程控制別人計算機的程序,具有隱蔽性和非授權性的特點。企業的某臺計算機被安裝了木馬程序或後門後,該程序可能會竊取用戶信息,包括用戶輸入的各種密碼,並將這些信息發送出去,或者使得黑客可以通過網絡遠程操控這臺計算機,竊取計算機中的用戶信息和文件,更為嚴重的是通過該臺計算機操控整個企業的網絡系統,使整個網絡系統都暴露在黑客間諜的眼前。
三、網絡的安全策略
1、更改系統管理員的賬戶名應將系統管理員的賬戶名由原先的Administrator改為壹個無意義的字符串.這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中並沒有設置.用它的User-*-Rename菜單選項就可以實現這壹功能.如果用的是NT
4.0.可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號.這種封鎖僅僅對由網絡過來的非法疊錄起作用.
2、關閉不必要的向內TCP/IP端口非法用戶進入系統並得到管理員權限之後.首先要做的,必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另壹道防線。即提供web和FTP之類公***服務的NT服務器.這種情況下,只須保留兩條路由器到服務器的向內路徑:端日80的H1vrP和端日2l的FTP.
3、防火墻配置防火墻是在2個網絡間實現訪問控制的1個或1組軟件或硬件系統,它是外部網絡與內部網絡之間的第1道安全屏障。本建設方案主要采用硬件防火墻,其主要功能就是屏蔽和允許指定的數據通訊,而這個功能的實現又主要是依靠壹套訪問控制策略,由訪問控制策略來決定通訊的合法性,該控制策略的具體內容由企業的安全管理員和系統管理員***同來制定。制定的防火墻安全策略主要有: 所有從內到外和從外到內的數據包都必須經過防火墻; 只有被安全策略允許的數據包才能通過防火墻; 服務器本身不能直接訪問互聯網; 防火墻本身要有預防入侵的功能; 默認禁止所有服務,除非是必須的服務才允許。而其他壹些應用系統需要開放特殊的端口由系統管理員來執行。
4、VLAN 的劃分VLAN 是為解決以太網的廣播問題和安全性而提出的壹種協議。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴,在3 層路由交換機的集中式網絡環境下,將網絡中的所有客戶主機和服務器系統分別集中到不同的VLAN 裏,在每個VLAN 裏不允許任何用戶設置IP、用戶主機和服務器之間相互PING,不允許用戶主機對服務器的數據進行編_,只允許數據訪問,從而較好地保護敏感的主機資源和服務器系統的數據。采用3 層交換機,通過VLAN 劃分,來實現同壹部門在同壹個VLAN 中,這樣既方便同部門的數據交換,又限制了不同部門之間用戶的直接訪問。
5、身份認證身份認證是提高網絡安全的主要措施之壹。其主要目的是證實被認證對象是否屬實,常被用於通信雙方相互確認身份,以保證通信的安全。常用的網絡身份認證技術有: 靜態密碼、USB Key 和動態口令、智能卡牌等。其中,最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要采用USB Key的方式。基於USB Key 的身份認證方式采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾,利用USB Key 內置的密碼算法實現對用戶身份的認證。USB Key 身份認證系統主要有2 種應用模式: 壹是基於沖擊、響應的認證模式; 二是基於PKI 體系的認證模式。
6、制訂網絡系統的應急計劃為了將由意外事故引起的網絡系統損害降低到最小程度,企業應制訂應急計劃.以防意外事故使網絡系統遭受破壞.該應急計劃應包括緊急行動方案及軟、硬件系統恢復方案等.絕對的安全是沒有的,安全標準的追求是以資金和方便為代價的.我們應隨時根據網絡系統的運行環境而采用相應的安全保護策略.通過對計算機網絡系統安全問題的充分認識.以及行政、技術和物質手段的保證。網絡系統就能夠有足夠的安全性來對付各種不安全問題.結語如何確保計算機網絡信息的安全是每壹個網絡系統的設計者和管理者都極為關心的熱點,當然,也是企業關心的重點。壹個全方位的安全方案是非常難以實現的,只有在企業領導的支持下,在技術人員和管理人員的努力下,結合企業的實際情況,制定出相應的解決措施,才是符合本企業的安全方案。本文主要討論了計算機網絡的安全的幾種不同的威脅,給出了相應安全策略以及相應的安全產品,提出了計算機網絡系統實施建設的基本方案。
來源:時代財富