企業的網路安全 篇一
一、企業網路安全存在的主要問題
(一)內部網路存在的主要問題
企業內部人員對資訊網路形成的威脅,肆意破壞資訊系統,有意或者無意洩密,非授權人員有意竊取機密資訊,病毒的破壞作用,而其也是不容忽視的,它會影響計算機系統的正常執行,是影響企業內部網路安全的最主要的因素;另一方面因為企業內部網路是一個極其特殊的網路環境,隨著企業內部網路的規模的不斷擴大與發展,很多企業基本上實現了科室辦公上網,這同時也伴隨著一定的問題,內部網路的監管與控制更加困難;除此之外,企業的內部規章制度還不夠完善,不能夠有效的約束和規範領導和員工上網的行為,從而存在一定的安全隱患。
(二)與外部網際網路的連線存在的安全隱患
與外部網際網路聯接時會遭到外部網路的攻擊,來自外部網際網路絡的安全威脅主要是在進行某些業務時,要與外部網際網路絡進行某些連線,連線集中在存有安全威脅的外部網際網路絡的資料上,因為沒有一定的防護設施,內部的網路會很容易被訪問,內部的整個網路系統就會被攻擊,另一方面,企業工作人員經常需要出差,在出差在外時與企業的連線,這種連線就使得企業的內部網路非常容易受到來自因特網的攻擊。
(三)因網路黑客攻擊而造成資料的洩密
黑客肆意妄為,破壞的手段也越來越多樣化。企業的內部資料對於整個企業經營來說相當重要,因為它關係到整個企業的生死存完,一旦洩露定會給企業造成一定甚至是巨大的損失,在不同的環境中使用加密技術來實現對網路資訊的保護,存在一定的侷限性,雖然訪問控制技術在某種程度上能夠控制其傳播的範圍和資訊的使用,然而當業務的效率和控制發生衝突時,企業存放的資訊的安全隱患定會迅速暴露,就會因網路黑客攻擊而造成資料的洩密。
(四)網路癱瘓
一般情況就是網路崩潰了,導致整體無法訪問,例如廣播風暴,網路環路,除此之外就是因為裝置出的問題,例如某臺電腦的交換壞了,也會影響到整個企業的網路系統,還有ARP病毒攻擊造成網路的癱瘓,黑客會針對弊端攻擊作業系統,讓計算機網路系統尤其是伺服器的系統立即癱瘓;也會通過控制企業網路系統,內部網路系統就會被攻擊,讓電腦的主機沒有辦法進行相關工作,系統和整個網路就有癱瘓的可能。
二、存在問題的原因分析
企業的網路要能夠正常的進行,就必須保證企業的網路是安全的,企業網路安全不僅要求其單點是安全的,其整個資訊網路也必須是安全的,這就要從各個方面對網路加強防護措施,確保其能正常執行,才能達到維護企業網路安全的效果。為了確保整個網路系統的安全,最重要的是要明白那些安全隱患是如何產生的,從哪裡來。網路安全涉及到管理方面和技術方面,包括其網路層,管理層,系統層上等各種風險,只要任何一個方面出現問題,安全隱患問題就會很快暴露出來,而這些安全隱患問題都會造成企業的整個網路無法正常工作,下面我根據企業網路的基本情況,從網路系統的各方面進行系統地分析。
(一)作業系統存在的相關安全風險分析
電腦的系統安全的含義是指電腦的整個作業系統是安全的。作業系統是以能使電腦正常工作為出發點,很少考慮到了安全性的問題。因此在安裝作業系統的時候存在很多預設的選項,這必然會存在一定的風險。而又安裝了一些沒有什麼作用的模組,這樣不該開放的埠也會處於開放的狀態,安全問題自然就會馬上暴露出來,然而目前電腦的整個作業系統現在並不完善,現有的作業系統不管是UNIX還是Windows的作業系統或是其他的一些應用系統,一定會將後門運用到系統上。任何事物都不會是完美的,作業系統也一樣,它也存在一定的安全隱患,運用後門就會存在很大的風險問題。而作業系統的安全度和相關的配置及系統的相關應用都有著密切的聯絡,一旦缺少了好的適合作業系統的安全裝置,就會導致一系列的安全問題,就很容易被不法分子攻擊。
(二)網路結構的安全風險分析
1、企業內部網路的安全威脅
根據有關的調查顯示,網路中存在安全隱患主要是因為內部網路遭到攻擊目,而會讓企業內部網路有安全隱患,主要是因為企業員工的洩密,故意亂用企業的重要資訊資料,通過各種途徑將企業資訊傳播給他人。
2、外部網際網路的威脅
企業的網路與外部網路有互連。由於企業的整個網路覆蓋的面積很廣,範圍也大,其內部網路就會面臨著更大更多的風險,一些不法分子會想方設法進到企業網路的相關節點。員工主機上及網路系統中的辦公系統都會有一些被洩漏的資訊資料。無論企業內部網路哪個電腦受到了損害,存在安全問題,企業的其他的很多系統就會受到一定程度的影響,經過不斷的傳播,連線到本網路的任何其他單位的整個網路系統也都會被影響,如果外部連線和內部的連線之間沒有實行一些安全保護措施,內部網路就會很容易受到來自外網某些居心叵測的入侵者攻擊。
3、企業網路的裝置存在的安全隱患
企業網路的所有裝置由防火牆,路由器和交換機等組成,這些裝置很重要,因為其都有著複雜的設定程式,即使在被誤解和忽略的情況下也能使用,但卻沒有安全保障,它的安全性很低。
(三)管理的安全分析
管理方面上的安全隱患主要包括有相關人員沒有分清責任,設定的口令和使用者名稱稱相同,是的有關許可權的管理方面非常的混亂,從而造成企業資訊外洩;另一方面內部網路結構,重要資料,使用者名稱稱及管理的口令被他人知曉,就存在了資訊洩密的可能性,一些工作人員及本企業的管理人員想要圖方便省事,所設定的口令過於簡單或過短,或者乾脆不設使用者口令,導致其很容易被解除。內部員工的不滿會給企業帶來很大的安全問題,管理制度不完善,責任和職權不分明,沒有可操作性等一系列因素都會致使管理上存在一定的風險。管理很重要,對企業網路安全起著決定性的作用,它是防止出現內部網路安全隱患問題的必要措施之一,除了要從技術上下功夫外,還得通過一定的安全管理來實現。
網路安全機制 篇二
1 訪問控制
訪問控制是網路安全防範和保護的主要策略之一,其主要內容是保證網路資源不被非法使用和訪問。訪問控制涉及到技術比較廣,主要包括:第一,入網訪問控制。入網訪問控制為網路訪問提供了第一層訪問控制。能控制那些使用者能登陸到伺服器並獲取網路資源,控制准許使用者入網的時間和准許他們在哪臺工作站入網。使用者的入網訪問控制可分為三個步驟:使用者名稱的識別與驗證、使用者口令的識別與驗證、使用者帳號的預設限制檢查。三道關卡中只要任何一關不過,使用者便不能進入網路。第二,網路許可權控制。網路許可權控制是針對網路非法操作所提出的一種安全保護措施。使用者和使用者組被賦予一定的許可權,控制使用者可以訪問那些目錄、子目錄、檔案和其他資源。例如,可以根據訪問許可權將使用者分為幾類:特殊使用者、一般使用者、審計使用者等,對不同的使用者分配不同的資源訪問許可權。第三,目錄級安全控制。網路允許合法使用者對相關目錄,檔案和裝置的訪問。例如,對目錄和檔案的訪問許可權一般有八中:系統管理員許可權、讀許可權、寫許可權、建立許可權、刪除許可權、修改許可權、檔案查詢許可權和訪問控制權限。網路管理員應當為使用者指定適當的訪問許可權,這些訪問許可權控制著使用者的訪問和操作,八種訪問許可權的有效組合可以讓使用者有效的完成工作,同時又能有效地控制使用者對伺服器資源的訪問,從而加強網路與伺服器的安全性。第四,屬性安全控制。當使用檔案,目錄和網路裝置等資源時,系統管理員應給檔案、目錄等指定訪問屬性。屬性安全是在許可權安全的基礎上提供進一步的安全性。網路上的資源都應預先標出一組安全屬性,使用者對網路資源的訪問許可權對應一張訪問控制表,用以表明使用者對網路資源的訪問能力。屬性往往能控制以下幾個方面的許可權:向某個檔案寫資料、拷貝一個檔案、刪除目錄或檔案、檢視目錄和檔案、執行檔案、隱含檔案、共享等。
2 資料加密技術
通常由加密和解密兩個過程組成,通過加密金鑰將明文轉變成不可讀的密文,通過解密演算法和解密金鑰將密文恢復為可讀的明文。加密的目的是防止有價值的資訊在網路上別攔截和竊取。根據加密方和解密方使用的金鑰是否相同,可將加密技術分為對稱加密演算法和非對稱加密演算法。前者演算法簡單,演算法效率高,但是金鑰管理非常麻煩,因為任意一對通訊之間都需要分配一個金鑰。它在一些特殊的應用場合非常有效,如銀行系統中應用等。而後者演算法複雜,演算法效率低,但是金鑰管理簡單,因為其中有一方的金鑰是公開的。下面通過ATM取款來說明加密演算法的應用。如何保證客戶在ATM機上輸入的銀行賬號資料不洩露呢?用資料加密使客戶的銀行資料在ATM端通過加密後,將資料傳送到銀行的伺服器端,伺服器完成資料解密和處理後,再將處理結果傳送給ATM端。
3 防火牆
一個實施訪問控制策略的系統,它位於內部網與公共網路之間,將內部網與公共網路分隔開來,用於控制進出內部網的通訊資料,加強網間訪問控制。防火牆軟體可以執行在一臺路由器或者主機之上,也可以執行在由這些裝置構成的小規模網路上。執行防火牆軟體的硬體裝置可以是專門的路由器或者主機,也可以是兼有傳輸功能的路由器或計算機功能的主機。兩種型別的防火牆可以相互補充,相互配合。實現防火牆的技術包括分組過濾技術、代理伺服器技術和狀態檢測技術。防火牆不能保證網路上資料的完整性。它本身不是完整的安全解決方案,需要與其他安全措施相結合,如加密技術、認證技術和入侵檢測技術。
4 Windows XP的基本安全防範手段
主要包括使用者管理、密碼設定、共享管理、系統資訊備份與恢復以及硬碟安全操作等。這些針對身份認證、基本訪問控制、災難恢復方面的基本設定可以提高系統的安全性,提供對病毒和惡意程式碼攻擊的防禦能力。
要進一步提高系統的安全保障,可以使用更高階的安全措施,如Windows XP提供的更高階安全防範手段包括關閉不必要的埠和服務、Office辦公軟體的保密性設定、壓縮檔案的加密方法、電子郵件和IE瀏覽器的安全使用等。
下面以關閉埠為例說明Windows XP的高階安全防範手段:埠是計算機與外界通訊的渠道,它們就像一道道門一樣控制著資料與指令的傳輸。各類資料包在最終封包時都會加入埠資訊,以標識不同的協議和應用。許多蠕蟲病毒就是利用埠資訊實現惡意騷擾的。因此,有必要把一些危險而又不常用的埠關閉掉,以保證系統安全。
在TCP/IP中關閉埠的步驟如下:⑴進入配置IP地址的“Internet協議(TCP/IP)屬性”對話方塊後,單機“高階”按鈕,開啟“高階TCP/IP設定”對話方塊;⑵選擇“選項”選項卡;⑶選中“TCP/IP篩選”,單擊“屬性”按鈕,開啟“TCP/IP篩選”對話方塊。選中“只允許”單選按鈕,單擊“確定”按鈕後,就關閉了除指定的三個埠以外的其他埠。這樣,電腦保安得多。還可以對其他選項卡設定。例如,要禁NetBIOS(Network Basic Input/Output System,網路基本輸入輸出系統),只需選擇“WINS”選項卡,然後選中“禁用TCP/IP上的NetBIOS”單選按鈕即可。禁用NetBIOS後,可避免黑客利用NetBIOS漏洞入侵計算機系統。
網路安全的現狀 篇三
一、網路安全現狀
如今,網路技術出現了高速發展的狀態,越來越多的人可以坐在辦公室或是家裡從全球網際網路上了解到各種各樣的資訊資源,處理各種繁雜事務。然而,網路技術的發展在給計算機使用者帶來便利的同時也帶來了巨大的安全隱患,尤其是Internet和Intranet的飛速發展對網路安全提出了前所未有的挑戰。技術是一把雙刃劍,不法分子試圖不斷利用新的技術伺機攻入他人的網路系統。下面以幾個例項說明網路中存在的安全隱患。
2009年新華網北京報到,7月13日韓國政府網站受到新一輪黑客攻擊,暴露了韓國網路安全方面存在的問題,也使韓國作為國際“資訊科技產業發電站”的形象受到影響。韓聯社13日報道說,身份不明的黑客攻擊了包括總統辦公室網站在內的26個韓國政府網站,造成網站癱瘓或速度變慢,使合法使用者無法正常登入。這些黑客摧毀了1000多臺私人電腦的硬碟。韓國相關部門的報告顯示,在665個政府部門機構中,每個機構只有平均0.7名專家負責網路安全。還有68%的政府部門根本就沒有網路安全專。
據鳳凰網報到,2007年4月26日晚上10時左右,在沒有任何預兆的情況下,愛沙尼亞政府網站突然被電子資訊淹沒。儘管有防火牆、額外伺服器和人員應付這類突發性事件,但防線還是遭攻破,攻擊次數呈指數式增長。國會電郵伺服器是最先遭殃的網路設施之一。被攻擊的目標迅速增加到好幾百個,包括政府、銀行、新聞媒體和大學的網站。5月18日出現最後一波攻擊後,這一場網路戰才逐漸平息下來。
IBM2005年8月4日公佈的全球業務安全指數(Global Business Securty Index)報告顯示,今年上半年,全球針對政府部門、金融及工業領域的電子網路攻擊增加了50%,共錄得23700萬起,其中政府部門位列“靶首”,錄得5400萬起,其次是工業部門3600萬起,金融部門3400萬起,衛生部門1700起。這些電子攻擊的目的主要是為了竊取重要資料、身份證明或金錢。而美國是大部分電子網路攻擊的源頭。今年上半年全球遭受的電子網路攻擊案中,共有1200萬起源於美國,120萬起源於紐西蘭,100萬起源於中國。
不久前,根據CNCERT,就是國家計算機網路應急處理技術協調中心公佈的2007年上半年的報告,其中特別提到“殭屍網路” 和“木馬”對國家安全造成的嚴重危害。報告指出,今年上半年中國大陸地區的大量主機被境外黑客植入木馬程式。據一位網路安全技術專家所說,“木馬”不僅是一般黑客常用的工具,更是網上情報刺探活動的一種主要手段。這位專家介紹,“木馬”特指計算機後門程式,它通常包括控制端和被控制端兩部分,被控制端一旦植入受害者的計算機,操縱者就可以通過控制端實時監視該使用者的所有操作,有目的地竊取重要資訊和檔案,甚至還可以遠端控制受害計算機,使其對其他計算機發動攻擊。
網路的開放性決定了它的複雜性和多樣性,隨著技術的不斷進步,各種各樣高明的黑客還會不斷誕生,同時,他們使用的手段也會越來越先進。因此,網路安全問題會隨著網路的存在一直伴隨著人類。
二、產生網路安全問題的原因
第一個方面,設計:在早期的系統設計中,由於人們認識的有限性,設計能力的侷限性,導致在開發系統時就留下了漏洞,以至於使得系統在使用過程中變的脆弱,容易受到攻擊。
1、協議缺陷
網路協議是計算機之間為了互聯共同遵守的規則。目前的網際網路絡所採用的主流協議TCP/IP,由於在其設計初期人們過分強調其開發性和便利性,沒有仔細考慮其安全性,因此很多的網路協議都存在嚴重的安全漏洞,給Internet留下了許多安全隱患。比如說應用層的Telnet協議、FTP協議、SMTP協議等都缺乏一些認證和保密措施,這就為一些不正當行為打開了一扇方便的大門,如否認和拒絕等欺瞞行為。
2、作業系統缺陷
作業系統缺陷也是目前網路存在安全隱患的一個原因。現在網路使用者使用的作業系統種類繁多,但是,不同的型別和版本在執行過程中所處的狀態不同,執行結果也不同,這是設計者也很難預測到的,因此會給入侵者留下漏洞。Windows系統就是這樣 。
第二個方面,管理:網路管理不僅包括內網管理,也包括整個通訊網路其它部分如廣域網或裝置等的管理。嚴格管理是使企業、組織及政府部門和使用者免受網路安全問題威脅的重要措施。當前許多網路在建設時缺乏前瞻性,導致網路資訊保安建設資金投入不夠,各項基礎性管理工作相對較弱。很多企業、機構及使用者的網站或系統都疏於管理,沒有制定嚴格的管理制度或執行不嚴。
第三個方面,信任:還有一類入侵威脅,那就是來自於網路內部。網路內部的成員一般很難確定出它的好壞,因此,這給攻擊者帶來了可乘之機。攻擊者很可能是企業網內部的心懷不滿的員工、網路黑客,甚至是競爭對手。這些人群一旦存在於網路內部,那會很容易接觸到核心資料和資源,這無疑會對網路安全造成很大的隱患。此時,防火牆早已失去了它的防護意義。
三、網路安全的研究現狀
什麼是計算機網路安全?其實簡單理解就是指網路中所儲存的東西不被他人竊取。要想保證網路的安全,就要利用網路管理和控制技術,這樣才能使得網路環境中的資訊資料具有機密性、完整性和可用性,也能保證網上儲存和流動的資料,不被他人偷看、竊取和篡改。防火牆技術、病毒軟體、加密技術、使用者認證、入侵檢測系統等技術是當前比較常用的安全技術。其中,防火牆和入侵檢測是兩種重要的、可以互為補充的安全技術,兩者從不同的角度、不同的層次實現了被保護的網路系統的安全。
研究者把安裝在內外網路之間或者是可以限制網路與網路之間相互訪問的一種安全保護措施叫做防火牆技術。防火牆把內外網路隔離開,形成了一道安全保護屏障。主要技術有:包過濾技術,應用閘道器技術,代理服務技術。
把一個資訊經過金鑰及加密函式轉換成無意義的密文,然後接收方將此密文通過解密函式或者解金鑰匙還原成明文的技術叫做網路資料加密技術。它是資料保護的最基本的方法,也是一種安全機制,它可以在網路環境中對抗被攻擊的行為。但是這種方法也有弊端,它只能防止第三者獲取網路中的真實資料,這只是解決了網路安全的一個方面,而且加密技術也存在漏洞。
為了保證系統的足夠安全,僅僅依賴防火牆是遠遠不夠的,因此,研究者可以用入侵檢測系統來彌補防火牆的不足,作為它的合理補充,從而共同應對各種不同的網路攻擊,提高系統管理員的管理能力,增強網路安全結構的完整性。入侵檢測收集並分析若干關鍵點資訊,通過分析從而檢測是否有可以行跡或是否遭到襲擊。入侵檢測可以作為防火牆之後的第二道安全防護,它能夠對網路所有的執行情況進行檢測,並且不會因此影響網路的正常效能,所以,它可以提供全方位的安全保護。
現在,人們已經將免疫演算法、優化理論、Agent技術和資料探勘等許多技術應用到入侵檢測領域,這無疑對入侵檢測技術的研究起到了一個推動作用。基於短序列匹配演算法的系統來檢測異常的技術就是由新墨西哥大學Stephanie Forrest研究組研製成功的。另外,哥倫比亞大學的Wenke Lee研究小組在入侵檢測技術中應用了資料探勘的分類演算法、關聯資料探勘、序列挖掘等演算法,他們是在入侵檢測系統中最早應用資料探勘的研究工作小組。