企业级网络安全策略研究.docx

1、企业级网络安全策略研究摘要随着计算机网络和网络经济的持续发展，越来越多的企业建立了自己的INTERNET/INTRERNET，并且网络规模在不断地扩大。与此同时，由于网络的多样性、开放性和互联性等特征，致使网络受到恶意扫描、病毒的入侵、黑客的攻击和其他不轨行为的攻击，严重威胁着企业网络安全。如何有效地管理网络系统，提高系统的安全性，已是企业迫切需要解决的重要难题之一。本文分析了威胁企业网络安全的主要因素，并结合我国网络安全的现状对目前企业在网络安全问题方面提出相关对策，主要从服务器、防火墙、入侵检测、入侵防御、漏洞扫描、访问控制和文件的灵活备份及恢复等方面提高企业网络安全性。关键词：计算机病毒

2、；网络安全；防火墙；入侵检测；访问控制 The research of Enterprise-class network security strategyCai Yunli（School of New Section）AbstractAlong with the computer network and the networks sustained economic development, more and more enterprises set up their own INTERNET/network scale, and in the INTRERNET continuously

3、expanding. At the same time, because of the diversity of the network, openness and interconnected network, which is characterized by the virus scan, attacks from hacker and other bad behavior of the attacks, a serious threat to enterprise network security. How to effectively manage network system, i

4、mprove the security of the system, is the enterprise is urgent needs to solve one of the important problem. The paper analyses the main enterprise network security threats, and in combination with the current situation of network security in the problem of network security, and puts forward counterm

5、easures from the main servers, firewall, intrusion detection, and intrusion defense, scanning loopholes, access control and flexible backup and restore the document aspects and enterprise network security.Key words: Computer viruses；Network security；Firewall；Intrusion detection；Access control引言随着信息技

6、术的飞速发展，越来越多的企业建立并使用网络，逐渐成为企业处理信息的主要途径。然而，随着计算机网络的不断发展，计算机网络联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、恶意软件和其他不轨行为的攻击，网络安全所面临的危险已经渗透于社会经济、军事技术、国家安全、商业秘密乃至个人隐私等各个方面。尤其对于企业用户来说，通常他们面临着比其他网站更多的威胁，计算机病毒及黑客的侵害行为每年会给企业的商务网络系统造成惨重损失。从全球范围来看，近年来企业因安全问题引起的损失成倍增长。能否保障企业网络安全的问题，更被提到了直接影响企业发展的高度，所以如何提高企业网络的安全是一个至关重

7、要的问题。一、我国网络安全的现状（一）计算机系统遭受病毒感染和破坏的情况相当严重据国家计算机病毒应急处理中心2007年的调查分析报告显示，我国信息网络安全事件发生比例连续3年呈上升趋势，今年达到65.7%，较2006年上升11.7%。信息网络安全事件的主要类型是：感染计算机病毒、蠕虫和木马程序，垃圾电子邮件，遭到网络扫描、攻击和网页篡改。近年来信息网络安全事件持续上升的主要原因是，随着信息化的快速发展，信息网络使用单位的安全防范意识虽有增强，但信息网络安全管理人员不足、专业素质不高，一些安全防范措施管理不善，没有发挥应有作用的问题比较突出。同时，信息安全服务业发展明显滞后于信息网络发展的要求。

8、计算机病毒感染比例在前两年基本持平的情况下，今年达到历年来最高的91.4%。主要原因，一是计算机病毒通过优盘等移动存储介质传播的问题比较突出，从2006年的23%上升到2007年的40%；二是互联网上以盗取用户帐号、密码为目的的“间谍软件”、木马病毒明显增多，“熊猫烧香”、“木马代理”、“网游大盗”和“传奇木马”等一批以侵财为目的的计算机病毒大量传播，直接危害人民群众切身利益，造成的影响较大。2007年5月至2008年5月，62.7%的被调查单位发生过信息网络安全事件，比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况依然最为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改。在发生的安全事

9、件中，攻击或传播源涉及内部人员的达到54%，比去年激增了15；涉及外部人员的却锐减了18。网络（系统）管理员通过技术监测发现网络安全事件的占66.28%，比去年增加了约13，成为主要发现手段，说明网络（系统）管理员安全技术水平有所提高。未修补或防范软件漏洞仍然是导致安全事件发生的最主要原因（54.63%）,比去年上升5。这说明我国企业网络安全管理工作还存在许多问题，必须引起企业经营者的高度重视。（二）电脑黑客活动已形成重要威胁网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国大部分与互联网相连的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻

10、击的重点。（三）缺乏自主技术我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统、数据库和网关软件大多依赖进口。信息安全专家、我国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害：“我们的网络发展很快，但安全状况如何?现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有防范的网。有的网络顾问公司建了很多网，市场很好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于

11、缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。二、威胁企业网络安全的主要因素由于企业网络由内部网络、外部网络和企业广域网组成，网络结构复杂，威胁主要来自：病毒的侵袭、黑客的非法闯入、数据窃听和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。下面来分析几个典型的网络攻击方式：（一）病毒的入侵几乎有计算机的地方，就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内，伺机进行自我复制，并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大，所

12、以它的危害最能引起人们的关注。 病毒的“毒性”不同，轻者只会玩笑似的在受害机器上显示几个警告信息，重则有可能破坏或危及个人计算机乃至整个企业网络的安全。 有些黑客会有意释放病毒来破坏数据，而大部分病毒是在不经意之间被扩散出去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件，这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台，因而很难从某一中心点对其进行检测。 任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件，并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec、Norton和McAfee等。然而，

13、如果没有“忧患意识”，很容易陷入“盲从杀毒软件”的误区。因此，光有工具不行，还必须在意识上加强防范，并且注重操作的正确性；重要的是在企业培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵。 （二）黑客的非法闯入随着越来越多黑客案件的报道，企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞，不经允许非法访问企业内部网络或数据资源，从事删除、复制甚至毁坏数据的活动。黑客通过寻找未设防的路径进入网络或个人计算机，一旦进入，他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络，所有这些都会对企业造成危害。黑客非法闯入将具备企业杀手的潜力，企业不得不加以谨慎预防。

14、（三）拒绝服务攻击这类攻击一般能使单个计算机或整个网络瘫痪，黑客使用这种攻击方式的意图很明显，就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如，通过破坏两台计算机之间的连接而阻止用户访问服务；通过向企业的网络发送大量信息而堵塞合法的网络通信，最后不仅摧毁网络架构本身，也破坏整个企业运作。（四）其他类型的攻击从技术层次分析，试图非法入侵的黑客，或者通过猜测程序对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作；或者利用服务器对外提供的某些服务进程的漏洞，获取有用信息从而进入系统；或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱，以获取进一步的有用信

15、息；或者通过系统应用程序的漏洞获得用户口令，侵入系统。三、提高企业网络安全的策略（一）采用Linux服务器服务器的可靠性，是整个企业网络应用可靠性的基础，我们在企业网络规划的时候，要引起充分的重视。随着信息化技术的普及，服务器在企业中的应用越来越广泛。如企业若采用ERP系统，则需要有ERP系统服务器；采用文件服务器的话，也需要有专门的服务器来支持这个网络应用。现在网络管理员面临着一个问题，就是该采用什么样的服务器操作系统？现在用的最多的是微软的服务器版本的操作系统与LINUX的开源的免费的服务器操作系统。在此建议企业选择LINUX服务器操作系统，为什么选择这个免费的操作系统呢，主要有以下原因：

16、1.是我们都知道，微软的操作系统漏洞多，补丁也多，时不时的需要给操作系统打补丁。从这里也可以看出，微软的操作系统稳定性不容乐观。而这正是企业网络应用可靠性的最大杀手。2.是跟微软相关的网络应用成为了众多黑客等攻击的对象，什么病毒、木马都在其周围打转。而且攻击的不仅仅是其操作系统本身，还有其上面的相关应用。如SQL SERVER数据库系统、Exchange邮件服务器等等，都是其攻击的对象。相对而言，Linux因为是开源的，而且其有很多技术专家在为其服务，所以，针对Linux服务器系统的攻击，跟微软的操作系统比起来，可以说是九牛一毛。虽然Linux在操作性上，没有微软操作系统那么简便，而且，也不是

17、所有的网络应用都支持这个开源的操作系统。但是，企业网络可靠性的考虑，还是建议选择Linux的服务器操作系统。其在稳定性方面，要远远的超过微软的服务器操作系统。而且，还可以省去不断打补丁的烦恼；同时，还可以省一大笔软件的授权费用。（二）防火墙网络防火墙是一种隔离控制技术，通过预定义的安全策略来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备，也是防御黑客攻击的最好手段。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。1. 防火墙是网络安全

18、的屏障作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。一个防火墙可以限制外部网络用户进入内部网络，过滤掉不安全服务和非法用户。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。比如，防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2. 防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软

19、件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在访问网络时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。3. 对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网

20、络需求分析和威胁分析等而言也是非常重要的。4. 防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger、DNS等服务。Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连

21、线上网，这个系统是否在被攻击时引起注意等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。5. 防御功能防火墙的防御功能主要表现如下：1) 支持防病毒功能，如扫描电子邮件中的DOC和ZIP文件、FTP中的下载或上载文件内容，以发现其中包含的危险信息。2) 支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是允许通过、修改后允许通过、禁止通过、记录日志、报警等。6. 管理功能主要通过集成策略集中管理多个防火墙。防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管

22、理员的行为主要包括通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。（三）VPNVPN（VirtualPrivateNetwork）即虚拟专用网络，它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接，并保证数据的安全传输。为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性和完整性等措施，以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现，如在应用层有SSL协议，它广泛应用于Web浏览程序

23、和Web服务器程序，提供对等的身份认证和应用数据的加密；在会话层有Socks协议，在该协议中，客户程序通过Socks客户端的1080端口透过防火墙发起连接，建立到Socks服务器的VPN隧道；在网络层有IPSec协议，它是一种由IETF设计的端到端的确保IP层通信安全的机制，对IP包进行的IPSec处理有AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）两种方式。（四）入侵检测入侵检测系统（IntrusionDetectionSystem，IDS）是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它

24、通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充，入侵检测技术能够帮助系统对付已知和未知网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。（五）入侵防御入侵防御系统（IntrusionPreventionSystem，IPS）则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术，IPS的检测功能类似于IDS，防御功能类似于防火墙。IDS是一种并联在网络上的设备，它只

25、能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限；而IPS部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统，但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，同时具备网络地址转换、服务代理、流量统计、VPN等功能。（六）漏洞扫描漏洞扫描技术是一项重要的主动防范安全技术，它主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否

26、有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，模拟攻击成功，则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统，它是故意让人攻击的目标，引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析，来发现攻击者的攻击方法及系统存在的漏洞。（七）物理安全物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破

27、坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。（八）访问控制访问控制是企业网络安全防范和保护的主要策略，它的主要任务是保证企

28、业网络资源不被非法使用和非常访问。它也是维护企业网络系统安全、保护企业网络资源的重要手段。下面我们分述各种访问控制策略。1.入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。2.网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以

29、指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。3.目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。4.属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、

30、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。5.网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。（九）灵活的备份与恢复方案针对这个数据备份与恢复，从网络应用的可靠性出发，我们至少需要考虑如下这几个方面。一是要考虑数据

31、的异地备份。如文件服务器的数据备份，我们不仅要在文件服务器本身的硬盘上对文件进行备份，同时，我们也需要在文件服务器以外的其他硬盘载体上，对其进行异地备份。以防当文件服务器的硬盘发生损坏时，能够及时利用其他硬盘上的备份镜象进行还原，把损失降到最低。二是要考虑备份的频率。如我们对文件服务器至少不能够一个星期备份一次。如此的话，当一个星期中的最后一天发现文件意外丢失时，需要还原到一周以前的状态。那损失可能企业仍然是无法忍受的。个人认为，最少企业应该一天备份一次，而且，备份文件至少保存三个月。只有如此，才可以根据用户的需求，恢复到某一天的数据。如此的话，用户损失的可能也只是一天的数据。当然，出于硬盘空

32、间以及数据备份效率的考虑，我们可以采取一个星期一次的完全备份、其他的实行差异性备份的策略。三是在信息还原的时候，我们还需要可以还原具体的内容。如我们对文件服务器进行数据备份后，在还原的时候，我们不能针对文件服务器下的所有文件夹进行还原，那样的话，涉及面太广。我们需要实现，针对某个具体的文件夹进行还原。如用户反映，某个文件夹被意外删除了，那么我们在进行还原操作的时候，可以只还原这个具体的文件夹，而不会对其他文件夹产生影响。所以，良好的数据备份与恢复方案，是对企业网络应用可靠性的一个有力的补充。四、结束语企业网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全事故。安全不能简单的通过一系列的网络安全设备来解决，必须把安全的建设融入到基础网络平台建设过程中，不能单纯考虑网络安全问题，应该从多个层面去考虑网络安全问题，一个完善的而且能够严格执行的安全管理策略，才是安全的核心。建设一个安全的企业网络，除了在网络设计上必须增加安全服务功能，逐步完善系统的安全措施外，还必须花大力气加强企业网络的安全管理，良好的系统管理非常有助于增强系统的安全性。企业网络安