企業(yè)網(wǎng)絡安全隱患范文
前言:我們精心挑選了數(shù)篇優(yōu)質企業(yè)網(wǎng)絡安全隱患文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
關鍵詞:企業(yè)網(wǎng)絡;網(wǎng)絡安全;安全體系
前言
由于計算機與通信技術的快速發(fā)展,人們的工作方式以及生活方式都因為網(wǎng)絡而逐步的發(fā)生改變。網(wǎng)絡的共享性、開放性以及互聯(lián)性程度逐漸擴大,對社會的影響也日益增大,網(wǎng)絡也成為企業(yè)發(fā)展的主題。隨著企業(yè)的信息化、辦公的全球化以及網(wǎng)絡貿(mào)易等業(yè)務的出現(xiàn),網(wǎng)絡安全也變得日益重要。為了保證企業(yè)網(wǎng)絡自身的安全性,必須采取有效的手段面對網(wǎng)絡中的各種威脅[1]。
1 企業(yè)網(wǎng)絡的威脅及其風險管理
企業(yè)網(wǎng)絡的信息是自由傳輸?shù)模M管有各種各樣的方式威脅著企業(yè)網(wǎng)絡的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應從下列幾點解決對企業(yè)網(wǎng)絡構成的威脅,并根據(jù)這些威脅所導致的企業(yè)風險進行有效管理。首先,企業(yè)一定要確定哪些關鍵的內(nèi)容或資產(chǎn)需要被保護。明確什么設備需要被保護,針對設備可以提供什么樣的訪問和怎么協(xié)調(diào)這樣的工作。其次,評估需要進行網(wǎng)絡安全保護的資源和財產(chǎn)。最后,分析所有對企業(yè)網(wǎng)絡安全的可能威脅,并評估每個威脅的可能攻擊性。威脅是指可能對網(wǎng)絡和其中信息資源造成損失,它可以是偶然的,也可以是刻意的。威脅有很多方式,一般可以簡單歸納為以下三種基本的類型:
1 未經(jīng)授權的訪問。指未經(jīng)過授權的人員卻可以訪問網(wǎng)絡資產(chǎn),而且也存在對網(wǎng)絡資產(chǎn)進行篡改的可能。
2 假冒。指由于偽造的憑證假冒其他人進行活動。
3 拒絕服務。指服務中斷。
2 企業(yè)信息化的網(wǎng)絡安全策略體系[2]
網(wǎng)絡的安全策略是對網(wǎng)絡的安全進行管理指導與支持。企業(yè)應該為網(wǎng)絡安全制定一套安全方針,而且在內(nèi)部網(wǎng)絡的安全策略以及身份證明,從而為網(wǎng)絡安全提供支持和認證。
2.1 安全策略的文檔結構
a) 最高方針。是安全策略的主文檔,屬于綱領性的。陳述安全策略的適用范圍、支持目標、對網(wǎng)絡安全管理的意圖、目的以及其它指導原則,網(wǎng)絡安全各個方面所應遵守的原則方法和指導性策略。
b) 技術的規(guī)范與標準。其內(nèi)容包含:各個主機的操作系統(tǒng)、網(wǎng)絡設備以及主要應用程序等應該遵守的管理技術的標準、安全配置以及規(guī)范。
c) 管理的制度與規(guī)定.其中包含各種管理辦法、管理規(guī)定或是暫行規(guī)定。從最高方針中引出一些具體的管理規(guī)定、實施辦法以及管理辦法。得到的規(guī)定或辦法不但可操作,還能有效的推廣及實行,是由最高方針引申而來,對用戶協(xié)議具有規(guī)范作用。而用戶協(xié)議對其不能違背。
d) 組織機構以及人員的職責。負責安全管理的組織機構以及人員職責,包含負責安全管理的機構的組織形式以及運作方式,還有機構與人員的具體責任或是連帶責任。是機構及員工工作時的依照標準。具有可操作性,需得到有效推廣及實行。
e) 用戶的協(xié)議。與用戶所簽署的文檔及協(xié)議,包含安全管理的網(wǎng)絡、人員以及系統(tǒng)管理員的保密協(xié)議、安全使用承諾、安全責任書等等。作為用戶及員工在日常工作中承諾遵守規(guī)定,并在違反安全規(guī)定時的處罰依據(jù)[3]。
2.2 建立策略體系
目前,大部分企業(yè)都缺少完整的策略體系。也沒有使其成為可操作的、成文的、正式的策略以及規(guī)定來體現(xiàn)出機關或是企業(yè)高層對于網(wǎng)絡安全性的重視。企業(yè)應該建立好網(wǎng)絡安全的策略體系,制定出安全策略的系列文檔。
建議企業(yè)按照上文描述的安全策略的文檔結構進行文檔體系的建立。企業(yè)的安全策略的編制原則是一個一體式的企業(yè)安全的策略體系,其內(nèi)容可以覆蓋到企業(yè)中的全部人員、部門、網(wǎng)絡、地點以及分支機構。目前,由于企業(yè)中機構間的網(wǎng)絡現(xiàn)狀與業(yè)務情況的差別較大,所以在基本的策略體系和框架下,可以讓各個機構以自身情況為基礎,對策略和體系中的組織、用戶協(xié)議、操作流程、管理制度以及人員的職責逐步地細化。但細化后的策略所要求的安全程度不允許下降。
2.3 策略的與執(zhí)行
企業(yè)網(wǎng)絡安全的策略系列文檔在制定完成后,必須得到以及有效執(zhí)行。與執(zhí)行的過程除了需要得到高層領導的支持與推動外,而且還要有可行的、合適的以及正確的推動手段。同時在策略與執(zhí)行前,還需要對每個員工進行相關的培訓,以確保每個員工都掌握與內(nèi)容中其相關的部分。而且還要明白這是一個艱苦的、長期的工作,需要經(jīng)過艱苦努力。況且由于牽涉到企業(yè)內(nèi)眾多部門與大部分員工,工作的方式與流程可能還需要改變,所以其推行難度相當大;同時,安全策略的本身還可能存在這樣那樣的缺陷,例如太過復雜及繁瑣、不切實際以及規(guī)定有所缺欠等,都會影響到整體策略的落實[4]。
3 企業(yè)信息化網(wǎng)絡安全技術的總體方案
3.1 引入防火墻系統(tǒng)[5]
通過引入防火墻系統(tǒng),可以利用防火墻功能中的“訪問控制+邊界隔離”,從而實現(xiàn)控制企業(yè)網(wǎng)進出的訪問。尤其是對一些內(nèi)部服務器進行資源訪問的,可以重點進行監(jiān)控,以提高企業(yè)網(wǎng)絡層面的安全。防火墻的子系統(tǒng)還能夠與入侵檢測的子系統(tǒng)聯(lián)動,當入侵檢測的系統(tǒng)對數(shù)據(jù)包進行檢測,發(fā)現(xiàn)異常并告知防火墻時,防火墻可以生成相應的安全策略,并將訪問源拒絕于防火墻之外。
3.2 引入網(wǎng)絡防病毒的子系統(tǒng)
防病毒的子系統(tǒng)是用來對網(wǎng)絡病毒進行實時查殺的,從而保證企業(yè)免遭病毒的危害。企業(yè)需要在內(nèi)部部署郵件級、服務器級、個人主機級和網(wǎng)關級的病毒防護。在整體范圍內(nèi)提高系統(tǒng)的防御能力,提高企業(yè)網(wǎng)絡層面安全性。
3.3 引入漏洞掃描的子系統(tǒng)
漏洞掃描的子系統(tǒng)可以定期分析安全隱患,并在其萌牙狀態(tài)時就把安全隱患消滅。由于企業(yè)網(wǎng)絡中包含眾多類型的數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng),還運行著人力資源系統(tǒng)、產(chǎn)品管理系統(tǒng)、客戶的信息系統(tǒng)、財務系統(tǒng)等諸多重要系統(tǒng),如何確保眾多信息的安全以及各類系統(tǒng)的穩(wěn)定應用,便成為需要高度關注的重點。對漏洞掃描的子系統(tǒng)進行定期掃描,并在定期掃描后提交漏洞和弱點分析報告,可使企業(yè)網(wǎng)的整體系統(tǒng)的安全性得以提高。
3.4 引入數(shù)據(jù)加密的子系統(tǒng)
對企業(yè)網(wǎng)重要的數(shù)據(jù)進行加密,以確保數(shù)據(jù)以密文的形式在網(wǎng)絡中被傳遞。能夠有效防范竊取企業(yè)重要的數(shù)據(jù),可以使企業(yè)網(wǎng)絡的整體安全性得以提高。
4 結語
通過以上對企業(yè)網(wǎng)絡的安全和隱患進行的著重分析,提出了保護企業(yè)信息安全的解決方法。由于網(wǎng)絡技術的快速發(fā)展和應用的廣泛,所以對于企業(yè)網(wǎng)絡安全的建設,需要遵循一個穩(wěn)定的體系框架,同時還要不斷更新技術。這樣才能有效地降低企業(yè)網(wǎng)絡安全隱患的系數(shù),進一步保證企業(yè)信息化在網(wǎng)絡時代能夠更安全、更健康的發(fā)展。
參考文獻
[1] 顧晟. 企業(yè)信息化網(wǎng)絡的安全隱患及解決策略[J].計算機時代,2010,3:19~22.
[2]丁國華,丁國強. 企業(yè)網(wǎng)絡安全體系研究[J].福建電腦,2007,2:66~67.
[3]陸耀賓. 企業(yè)網(wǎng)絡安全體系結構[J].電子工程師,2004,4:55~56.
第2篇
關鍵詞:信息化;網(wǎng)絡安全;企業(yè);解決方案
0 引言
現(xiàn)代企業(yè)信息化網(wǎng)絡是基于內(nèi)部傳輸網(wǎng)和Internet網(wǎng)絡的互聯(lián)網(wǎng)絡,由于公眾網(wǎng)絡是一個相對開放的平臺,網(wǎng)絡接入比較復雜,掛接的相關點比較多,網(wǎng)絡一旦接入公眾網(wǎng)絡,對于一些網(wǎng)絡安全比較敏感的數(shù)據(jù),傳輸?shù)陌踩跃捅容^弱,比較危險。本文將重點分析企業(yè)網(wǎng)絡系統(tǒng)安全性方面以及業(yè)務系統(tǒng)安全性方面存在的問題。
1 企業(yè)信息化網(wǎng)絡存在的安全隱患
1.1 Windows系統(tǒng)的安全隱患
Windows的安全機制不是外加的,而是建立在操作系統(tǒng)內(nèi)部的,可以通過一定的系統(tǒng)參數(shù)、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統(tǒng)時鐘,對用戶賬號、用戶權限及資源權限的合理分配等。
由于Windows系統(tǒng)的復雜性,以及系統(tǒng)的生存周期比較短,系統(tǒng)中存在大量已知和未知的漏洞。一些國際上的安全組織已經(jīng)公示了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,而另一些漏洞則可以被用來實施拒絕服務攻擊。例如,Windows所采用的存儲數(shù)據(jù)庫和加密機制可導致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數(shù)據(jù)庫中,由于采用的算法的原因,NT口令比較脆弱,容易被破譯。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發(fā)現(xiàn)漏洞而破譯―個或多個DomainAdministrator帳戶的口令,并且對NT域中所有主機進行破壞活動。
1.2 路由和交換設備的安全隱患
路由器是企業(yè)網(wǎng)絡的核心部件,它的安全將直接影響整個網(wǎng)絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份,并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密,路由器將失去所有的保護能力。同時,路由器口令的弱點是沒有計數(shù)器功能,所以每個人都可以不限次數(shù)地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,路由器對于誰曾經(jīng)作過什么修改沒有跟蹤審計的能力。此外,路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞,有可能被惡意攻擊者利用來破壞網(wǎng)絡的路由設置,達到破壞網(wǎng)絡或為攻擊作準備的目的。
1.3 數(shù)據(jù)庫系統(tǒng)的安全隱患
一般的現(xiàn)代化企業(yè)信息系統(tǒng)包含著多套數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題,在數(shù)據(jù)庫技術誕生之后就一直存在,并隨著數(shù)據(jù)庫技術的發(fā)展而不斷深化。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于企業(yè)的正常、安全運行至關重要。
我們將企業(yè)數(shù)據(jù)庫系統(tǒng)分成兩個部分:一部分是數(shù)據(jù)庫,按照一定的方式存取各業(yè)務數(shù)據(jù)。一部分是數(shù)據(jù)庫管理系統(tǒng)(DBMS),它為用戶及應用程序提供數(shù)據(jù)訪問,同時對數(shù)據(jù)庫進行管理,維護等多種功能。
數(shù)據(jù)庫系統(tǒng)的安全隱患有如下特點:涉及到信息在不同程度上的安全,即客體具有層次性和多項性;在DBMS中受到保護的客體可能是復雜的邏輯結構,若干復雜的邏輯結構可能映射到同一物理數(shù)據(jù)客體上,即客體邏輯結構與物理結構的分離;客體之間的信息相關性較大,應該考慮對特殊推理攻擊的防范。
2 企業(yè)信息化網(wǎng)絡安全策略的體系
網(wǎng)絡安全策略為網(wǎng)絡安全提供管理指導和支持。企業(yè)應該制定一套清晰的指導方針,并通過在組織內(nèi)對網(wǎng)絡安全策略的和保持來證明對網(wǎng)絡安全的支持與承諾。
2.1 安全策略系列文檔結構
(1)最高方針
最高方針,屬于綱領性的安全策略主文檔,陳述本策略的目的、適用范圍、網(wǎng)絡安全的管理意圖、支持目標以及指導原則,網(wǎng)絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來,并遵照最高方針,不與之發(fā)生違背和抵觸。
(2)技術規(guī)范和標準
技術標準和規(guī)范,包括各個網(wǎng)絡設備、主機操作系統(tǒng)和主要應用程序應遵守的安全配置和管理技術標準和規(guī)范。技術標準和規(guī)范將作為各個網(wǎng)絡設備、主機操作系統(tǒng)和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準,不允許發(fā)生違背和沖突。它向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據(jù)。
(3)管理制度和規(guī)定
管理制度和規(guī)定包括各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法,必須具有可操作性,而且必須得到有效推行和實施。它向上遵照最高方針,向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法,不與之發(fā)生違背。
(4)組織機構和人員職責
安全管理組織機構和人員的安全職責,包括安全管理機構組織形式和運作方式,機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照,此部分必須具有可操作性,而目必須得到有效推行和實施。
(5)用戶協(xié)議
用戶簽署的文檔和協(xié)議,包括安全管理人員、網(wǎng)絡和系統(tǒng)管理員安全責任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規(guī)定的承諾,也作為違背安全時處罰的依據(jù)。
2.2 策略體系的建立
目前的企業(yè)普遍缺乏完整的安全策略體系,沒有將政府高層對于網(wǎng)絡安全的重視體現(xiàn)在正式的、成文的、可操作的策略和規(guī)定上。企業(yè)應當建立策略體系,制定安全策略系列文檔。建議按照上面所描述的策略文檔結構,建立起安全策略文檔體系。
建議策略編制原則為建立一個統(tǒng)一的、體系完整的企業(yè)安全策略體系,內(nèi)容覆蓋企業(yè)中的所有網(wǎng)絡、部門、人員、地點和分支機構。鑒于企業(yè)中的各個機構業(yè)務情況和網(wǎng)絡現(xiàn)狀差別很大,因此在整體的策略框架和體系下,允許各個機構根據(jù)各自情況,對策略體系中的管理制度、操作流程、用戶協(xié)議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業(yè)統(tǒng)一制定的策略文檔中的規(guī)定,不允許發(fā)生違背和矛盾,其要求的安全程度只能持平或提高,不允許下降。
2.3 策略的有效和執(zhí)行
安全策略系列文檔制定后,必須和有效執(zhí)行。和執(zhí)行過程中除了要得到企業(yè)高層領導的大力支持和推動外,還必須要有合適的、可行的和推動手段,同時在和執(zhí)行前對每個本員要進行與其相關部分的充分培訓,保證每個人員都了解與其相關部分的內(nèi)容。必須要注意到這是一個長期、艱苦的工作,需要付出艱苦的努力,而且由于牽扯到企業(yè)許多部門和絕大多數(shù)人,可能需要改變工作方式和流程,所以推行起
來阻力會相當大;同時安全策略本身存在的缺陷,包括不切實際的、太過復雜和繁瑣的、規(guī)定有缺欠的情況等,都會導致整體策略難以落實。
3 企業(yè)信息化網(wǎng)絡安全技術總體解決方案
參考以上所論述的,結合現(xiàn)有網(wǎng)絡安全核心技術,本文認為,企業(yè)信息化網(wǎng)絡總體的安全技術解決方案將圍繞著企業(yè)信息化網(wǎng)絡的物理層、網(wǎng)絡層、系統(tǒng)層、應用層和安全服務層搭建整體的解決方案,企業(yè)信息化網(wǎng)絡建設將著重從邊界防護、系統(tǒng)加固、認證授權、數(shù)據(jù)加密、集中管理五個方面進行,在企業(yè)信息化網(wǎng)絡中重點部署防火墻、入侵檢測、漏洞掃描、網(wǎng)絡防病毒、VPN五大子系統(tǒng),并通過統(tǒng)一的平臺進行集中管理,從而實現(xiàn)企業(yè)信息化網(wǎng)絡安全既定的目標。
3.1 防火墻系統(tǒng)的引入
通過防火墻系統(tǒng)的引入,利用防火墻“邊界隔離+訪問控制”的功能,實現(xiàn)對進出企業(yè)網(wǎng)的訪問控制,特別是針對內(nèi)網(wǎng)服務器資源的訪問,進行重點監(jiān)控,可以提高企業(yè)網(wǎng)的網(wǎng)絡層面安全。防火墻子系統(tǒng)能夠與入侵檢測子系統(tǒng)進行聯(lián)動,當入侵檢測系統(tǒng)對網(wǎng)絡中的數(shù)據(jù)包進行細粒度檢測,發(fā)現(xiàn)異常,并通知防火墻時,防火墻會自動生成安全策略,將訪問源阻斷在防火墻之外。
3.2 入侵檢測子系統(tǒng)的引入
入侵檢測系統(tǒng)用于實時檢測針對重要網(wǎng)絡資源的網(wǎng)絡攻擊行為,它會對企業(yè)網(wǎng)內(nèi)異常的訪問及數(shù)據(jù)包發(fā)出報警,以便企業(yè)的網(wǎng)絡管理人員及時采取有效的措施,防范重要的信息資產(chǎn)遭到破壞。同時,可在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發(fā)出指令,防火墻根據(jù)入侵檢測系統(tǒng)上報的信息,自動生成動態(tài)規(guī)則,對發(fā)出異常訪問及數(shù)據(jù)包的源地址給予阻斷。入侵檢測和防火墻相互配合,能夠共同提高企業(yè)網(wǎng)整體網(wǎng)絡層面的安全性,兩個系統(tǒng)共同構成了企業(yè)網(wǎng)的邊界防護體系。
3.3 網(wǎng)絡防病毒子系統(tǒng)的引入
防病毒子系統(tǒng)用于實時查殺各種網(wǎng)絡病毒,可防范企業(yè)網(wǎng)遭到病毒的侵害。企業(yè)應在內(nèi)部部署網(wǎng)關級、服務器級、郵件級,以及個人主機級的病毒防護。從整體上提高系統(tǒng)的容災能力,提升企業(yè)網(wǎng)整體網(wǎng)絡層面的安全性。
3.4 漏洞掃描子系統(tǒng)的引入
漏洞掃描子系統(tǒng)能定期分析網(wǎng)絡系統(tǒng)存在的安全隱患,把隱患消滅在萌牙狀態(tài)。針對企業(yè)網(wǎng)絡中存在眾多類型的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng),運行著營銷系統(tǒng)、財務系統(tǒng)、客戶信息系統(tǒng)、人力資源系統(tǒng)等重要的應用,如何確保各類應用系統(tǒng)的穩(wěn)定和眾多信息資產(chǎn)的安全,是企業(yè)信息化網(wǎng)絡中需要重點關注的問題。通過漏洞掃描子系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備的掃描,定期提交漏洞及弱點報告,可大大提高企業(yè)網(wǎng)整體系統(tǒng)層面的安全性。該系統(tǒng)與病毒防范系統(tǒng)一起構成了企業(yè)網(wǎng)的系統(tǒng)加固平臺。
3.5 數(shù)據(jù)加密子系統(tǒng)的引入
通過對企業(yè)網(wǎng)重要數(shù)據(jù)的加密,確保數(shù)據(jù)在網(wǎng)絡中以密文的方式被傳遞,可以有效防范攻擊者通過偵聽網(wǎng)絡上傳輸?shù)臄?shù)據(jù),竊取企業(yè)的重要數(shù)據(jù),或以此為基礎實施進一步的攻擊,從而提高了企業(yè)網(wǎng)整體應用層面的安全性。
第3篇
關鍵詞:信息化;網(wǎng)絡安全;企業(yè);解決方案
0 引言
現(xiàn)代企業(yè)信息化網(wǎng)絡是基于內(nèi)部傳輸網(wǎng)和Internet網(wǎng)絡的互聯(lián)網(wǎng)絡,由于公眾網(wǎng)絡是一個相對開放的平臺,網(wǎng)絡接入比較復雜,掛接的相關點比較多,網(wǎng)絡一旦接入公眾網(wǎng)絡,對于一些網(wǎng)絡安全比較敏感的數(shù)據(jù),傳輸?shù)陌踩跃捅容^弱,比較危險。本文將重點分析企業(yè)網(wǎng)絡系統(tǒng)安全性方面以及業(yè)務系統(tǒng)安全性方面存在的問題。
1 企業(yè)信息化網(wǎng)絡存在的安全隱患
1.1 Windows系統(tǒng)的安全隱患
Windows的安全機制不是外加的,而是建立在操作系統(tǒng)內(nèi)部的,可以通過一定的系統(tǒng)參數(shù)、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統(tǒng)時鐘,對用戶賬號、用戶權限及資源權限的合理分配等。
由于Windows系統(tǒng)的復雜性,以及系統(tǒng)的生存周期比較短,系統(tǒng)中存在大量已知和未知的漏洞。一些國際上的安全組織已經(jīng)公示了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,而另一些漏洞則可以被用來實施拒絕服務攻擊。例如,Windows所采用的存儲數(shù)據(jù)庫和加密機制可導致一系列安全隱患:NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數(shù)據(jù)庫中,由于采用的算法的原因,NT口令比較脆弱,容易被破譯。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發(fā)現(xiàn)漏洞而破譯―個或多個DomainAdministrator帳戶的口令,并且對NT域中所有主機進行破壞活動。
1.2 路由和交換設備的安全隱患
路由器是企業(yè)網(wǎng)絡的核心部件,它的安全將直接影響整個網(wǎng)絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份,并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密,路由器將失去所有的保護能力。同時,路由器口令的弱點是沒有計數(shù)器功能,所以每個人都可以不限次數(shù)地嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令,路由器對于誰曾經(jīng)作過什么修改沒有跟蹤審計的能力。此外,路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞,有可能被惡意攻擊者利用來破壞網(wǎng)絡的路由設置,達到破壞網(wǎng)絡或為攻擊作準備的目的。
1.3 數(shù)據(jù)庫系統(tǒng)的安全隱患
一般的現(xiàn)代化企業(yè)信息系統(tǒng)包含著多套數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題,在數(shù)據(jù)庫技術誕生之后就一直存在,并隨著數(shù)據(jù)庫技術的發(fā)展而不斷深化。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于企業(yè)的正常、安全運行至關重要。
我們將企業(yè)數(shù)據(jù)庫系統(tǒng)分成兩個部分:一部分是數(shù)據(jù)庫,按照一定的方式存取各業(yè)務數(shù)據(jù)。一部分是數(shù)據(jù)庫管理系統(tǒng)(DBMS),它為用戶及應用程序提供數(shù)據(jù)訪問,同時對數(shù)據(jù)庫進行管理,維護等多種功能。
數(shù)據(jù)庫系統(tǒng)的安全隱患有如下特點:涉及到信息在不同程度上的安全,即客體具有層次性和多項性;在DBMS中受到保護的客體可能是復雜的邏輯結構,若干復雜的邏輯結構可能映射到同一物理數(shù)據(jù)客體上,即客體邏輯結構與物理結構的分離;客體之間的信息相關性較大,應該考慮對特殊推理攻擊的防范。
2 企業(yè)信息化網(wǎng)絡安全策略的體系
網(wǎng)絡安全策略為網(wǎng)絡安全提供管理指導和支持。企業(yè)應該制定一套清晰的指導方針,并通過在組織內(nèi)對網(wǎng)絡安全策略的和保持來證明對網(wǎng)絡安全的支持與承諾。
2.1 安全策略系列文檔結構
(1)最高方針
最高方針,屬于綱領性的安全策略主文檔,陳述本策略的目的、適用范圍、網(wǎng)絡安全的管理意圖、支持目標以及指導原則,網(wǎng)絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來,并遵照最高方針,不與之發(fā)生違背和抵觸。
(2)技術規(guī)范和標準
技術標準和規(guī)范,包括各個網(wǎng)絡設備、主機操作系統(tǒng)和主要應用程序應遵守的安全配置和管理技術標準和規(guī)范。技術標準和規(guī)范將作為各個網(wǎng)絡設備、主機操作系統(tǒng)和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準,不允許發(fā)生違背和沖突。它向上遵照最高方針,向下延伸到安全操作流程,作為安全操作流程的依據(jù)。
(3)管理制度和規(guī)定
管理制度和規(guī)定包括各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法,必須具有可操作性,而且必須得到有效推行和實施。它向上遵照最高方針,向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法,不與之發(fā)生違背。
(4)組織機構和人員職責
安全管理組織機構和人員的安全職責,包括安全管理機構組織形式和運作方式,機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照,此部分必須具有可操作性,而目必須得到有效推行和實施。
(5)用戶協(xié)議
用戶簽署的文檔和協(xié)議,包括安全管理人員、網(wǎng)絡和系統(tǒng)管理員安全責任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規(guī)定的承諾,也作為違背安全時處罰的依據(jù)。
2.2 策略體系的建立
目前的企業(yè)普遍缺乏完整的安全策略體系,沒有將政府高層對于網(wǎng)絡安全的重視體現(xiàn)在正式的、成文的、可操作的策略和規(guī)定上。企業(yè)應當建立策略體系,制定安全策略系列文檔。建議按照上面所描述的策略文檔結構,建立起安全策略文檔體系。
建議策略編制原則為建立一個統(tǒng)一的、體系完整的企業(yè)安全策略體系,內(nèi)容覆蓋企業(yè)中的所有網(wǎng)絡、部門、人員、地點和分支機構。鑒于企業(yè)中的各個機構業(yè)務情況和網(wǎng)絡現(xiàn)狀差別很大,因此在整體的策略框架和體系下,允許各個機構根據(jù)各自情況,對策略體系中的管理制度、操作流程、用戶協(xié)議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業(yè)統(tǒng)一制定的策略文檔中的規(guī)定,不允許發(fā)生違背和矛盾,其要求的安全程度只能持平或提高,不允許下降。
2.3 策略的有效和執(zhí)行
安全策略系列文檔制定后,必須和有效執(zhí)行。和執(zhí)行過程中除了要得到企業(yè)高層領導的大力支持和推動外,還必須要有合適的、可行的和推動手段,同時在和執(zhí)行前對每個本員要進行與其相關部分的充分培訓,保證每個人員都了解與其相關部分的內(nèi)容。必須要注意到這是一個長期、艱苦的工作,需要付出艱苦的努力,而且由于牽扯到企業(yè)許多部門和絕大多數(shù)人,可能需要改變工作方式和流程,所以推行起 來阻力會相當大;同時安全策略本身存在的缺陷,包括不切實際的、太過復雜和繁瑣的、規(guī)定有缺欠的情況等,都會導致整體策略難以落實。
3 企業(yè)信息化網(wǎng)絡安全技術總體解決方案
參考以上所論述的,結合現(xiàn)有網(wǎng)絡安全核心技術,本文認為,企業(yè)信息化網(wǎng)絡總體的安全技術解決方案將圍繞著企業(yè)信息化網(wǎng)絡的物理層、網(wǎng)絡層、系統(tǒng)層、應用層和安全服務層搭建整體的解決方案,企業(yè)信息化網(wǎng)絡建設將著重從邊界防護、系統(tǒng)加固、認證授權、數(shù)據(jù)加密、集中管理五個方面進行,在企業(yè)信息化網(wǎng)絡中重點部署防火墻、入侵檢測、漏洞掃描、網(wǎng)絡防病毒、VPN五大子系統(tǒng),并通過統(tǒng)一的平臺進行集中管理,從而實現(xiàn)企業(yè)信息化網(wǎng)絡安全既定的目標。
3.1 防火墻系統(tǒng)的引入
通過防火墻系統(tǒng)的引入,利用防火墻“邊界隔離+訪問控制”的功能,實現(xiàn)對進出企業(yè)網(wǎng)的訪問控制,特別是針對內(nèi)網(wǎng)服務器資源的訪問,進行重點監(jiān)控,可以提高企業(yè)網(wǎng)的網(wǎng)絡層面安全。防火墻子系統(tǒng)能夠與入侵檢測子系統(tǒng)進行聯(lián)動,當入侵檢測系統(tǒng)對網(wǎng)絡中的數(shù)據(jù)包進行細粒度檢測,發(fā)現(xiàn)異常,并通知防火墻時,防火墻會自動生成安全策略,將訪問源阻斷在防火墻之外。
3.2 入侵檢測子系統(tǒng)的引入
入侵檢測系統(tǒng)用于實時檢測針對重要網(wǎng)絡資源的網(wǎng)絡攻擊行為,它會對企業(yè)網(wǎng)內(nèi)異常的訪問及數(shù)據(jù)包發(fā)出報警,以便企業(yè)的網(wǎng)絡管理人員及時采取有效的措施,防范重要的信息資產(chǎn)遭到破壞。同時,可在入侵檢測探測器與防火墻之間建立互動響應體系,當探測器檢測到攻擊行為時,向防火墻發(fā)出指令,防火墻根據(jù)入侵檢測系統(tǒng)上報的信息,自動生成動態(tài)規(guī)則,對發(fā)出異常訪問及數(shù)據(jù)包的源地址給予阻斷。入侵檢測和防火墻相互配合,能夠共同提高企業(yè)網(wǎng)整體網(wǎng)絡層面的安全性,兩個系統(tǒng)共同構成了企業(yè)網(wǎng)的邊界防護體系。
3.3 網(wǎng)絡防病毒子系統(tǒng)的引入
防病毒子系統(tǒng)用于實時查殺各種網(wǎng)絡病毒,可防范企業(yè)網(wǎng)遭到病毒的侵害。企業(yè)應在內(nèi)部部署網(wǎng)關級、服務器級、郵件級,以及個人主機級的病毒防護。從整體上提高系統(tǒng)的容災能力,提升企業(yè)網(wǎng)整體網(wǎng)絡層面的安全性。
3.4 漏洞掃描子系統(tǒng)的引入
漏洞掃描子系統(tǒng)能定期分析網(wǎng)絡系統(tǒng)存在的安全隱患,把隱患消滅在萌牙狀態(tài)。針對企業(yè)網(wǎng)絡中存在眾多類型的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng),運行著營銷系統(tǒng)、財務系統(tǒng)、客戶信息系統(tǒng)、人力資源系統(tǒng)等重要的應用,如何確保各類應用系統(tǒng)的穩(wěn)定和眾多信息資產(chǎn)的安全,是企業(yè)信息化網(wǎng)絡中需要重點關注的問題。通過漏洞掃描子系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備的掃描,定期提交漏洞及弱點報告,可大大提高企業(yè)網(wǎng)整體系統(tǒng)層面的安全性。該系統(tǒng)與病毒防范系統(tǒng)一起構成了企業(yè)網(wǎng)的系統(tǒng)加固平臺。
3.5 數(shù)據(jù)加密子系統(tǒng)的引入
通過對企業(yè)網(wǎng)重要數(shù)據(jù)的加密,確保數(shù)據(jù)在網(wǎng)絡中以密文的方式被傳遞,可以有效防范攻擊者通過偵聽網(wǎng)絡上傳輸?shù)臄?shù)據(jù),竊取企業(yè)的重要數(shù)據(jù),或以此為基礎實施進一步的攻擊,從而提高了企業(yè)網(wǎng)整體應用層面的安全性。
