付洪廣

【摘要】隨著電子科學(xué)技術(shù)的飛快發(fā)展，計(jì)算機(jī)領(lǐng)域早已融入社會(huì)發(fā)展的各個(gè)領(lǐng)域與層面，為各領(lǐng)域的發(fā)展提供了從數(shù)據(jù)到運(yùn)行等多方面的支持，極大的提升了人們的工作效率。然而，也正因?yàn)檫@樣的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和企業(yè)網(wǎng)絡(luò)安全水平的不匹配，導(dǎo)致許多企業(yè)的網(wǎng)絡(luò)安全存在極大的漏洞和隱患。筆者將于本文從企業(yè)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)著手開始分析，進(jìn)一步討論解決方案，希望給相關(guān)的工作和研究提供更多的借鑒和啟發(fā)。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò) 安全性分析? 策略

一、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)綜合分析

我國(guó)大多數(shù)企業(yè)，尤其是大型企業(yè)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對(duì)于企業(yè)各方面的運(yùn)轉(zhuǎn)起到了巨大作用，尤其是信息的獲取，處理，傳遞與利用變得十分的高效和準(zhǔn)確。然而，互聯(lián)網(wǎng)是一個(gè)全面開放的系統(tǒng)，從網(wǎng)絡(luò)結(jié)構(gòu)到操作系統(tǒng)，再到應(yīng)用安全甚至到管理的方向都存在或多或少的風(fēng)險(xiǎn)。

（一）企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)堪憂

許多的企業(yè)網(wǎng)絡(luò)與外網(wǎng)相連，導(dǎo)致企業(yè)網(wǎng)絡(luò)面對(duì)著更多的挑戰(zhàn)。除了面對(duì)外來(lái)入侵者的對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)的沖擊，還需要面對(duì)如果一臺(tái)電腦出現(xiàn)情況，其他在相同網(wǎng)絡(luò)上的系統(tǒng)安全直接將處于高風(fēng)險(xiǎn)狀態(tài)的情況。而就大多數(shù)企業(yè)目前對(duì)于防火墻的搭建和網(wǎng)絡(luò)訪問(wèn)控制的重視程度都還不足。

（二）企業(yè)網(wǎng)絡(luò)操作系統(tǒng)臃腫薄弱

由于許多企業(yè)的對(duì)于安全系統(tǒng)的安裝目標(biāo)都是只要工作正常且高效，對(duì)于操作系統(tǒng)的安全性考慮更少，許多的對(duì)于操作系統(tǒng)的安裝是以缺省選項(xiàng)進(jìn)行設(shè)置。開發(fā)過(guò)多不必要的端口及安裝了許多用不著的模塊，使得操作系統(tǒng)臃腫而風(fēng)險(xiǎn)系數(shù)顯著提升。

（三）企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)不靈活

企業(yè)的應(yīng)用系統(tǒng)由于應(yīng)用系統(tǒng)的動(dòng)態(tài)性與變化性，導(dǎo)致對(duì)于應(yīng)用系統(tǒng)的靈活性有著直接要求，不僅需要對(duì)于文件服務(wù)器、數(shù)據(jù)庫(kù)防護(hù)、還需要在病毒防控、數(shù)據(jù)保護(hù)等方面下功夫。而就目前的企業(yè)應(yīng)用系統(tǒng)而言，其以上述為基礎(chǔ)的各方面的靈活性明顯欠缺。

（四）企業(yè)網(wǎng)絡(luò)管理松散

企業(yè)所有的工作，各個(gè)環(huán)節(jié)的把控最終還是要落到人的基礎(chǔ)上，所以精準(zhǔn)高效的網(wǎng)絡(luò)管理顯得十分重要。比如，內(nèi)部管理人員對(duì)于用戶口令的設(shè)置沒(méi)有任何防范意識(shí)，易于被破解。再比如，在公司內(nèi)部登陸的權(quán)限和責(zé)任劃分不清，導(dǎo)致管理難度增大;又比如，由于公司關(guān)于公司信息保密的相關(guān)規(guī)定的懲罰機(jī)制存在問(wèn)題，導(dǎo)致公司信息無(wú)意甚至惡意的外泄，使公司處于高風(fēng)險(xiǎn)中。

二、關(guān)于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)多維提升的幾點(diǎn)建議

（一）企業(yè)安全結(jié)構(gòu)布局再調(diào)整

網(wǎng)絡(luò)結(jié)構(gòu)的布局應(yīng)該從兩方面、多角度入手：

一方面，是加強(qiáng)對(duì)于訪問(wèn)的控制，首先，是對(duì)網(wǎng)絡(luò)入侵者對(duì)第一目標(biāo)—路由器進(jìn)行調(diào)整，安裝過(guò)濾規(guī)則，過(guò)濾掉被屏蔽的IP地址和服務(wù)。其次，是對(duì)于防火墻的搭建。防火墻對(duì)于防止外部攻擊直觸內(nèi)部體系，起到很好的限制隔離作用，更可以通過(guò)其安全機(jī)制建立VPN，使得安全級(jí)別再上一個(gè)臺(tái)階。再次，是以交換機(jī)為核心的控制，利用交換機(jī)通過(guò)列表ACL來(lái)實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)包對(duì)源和目的協(xié)議、地址、端口等多種差異性需求進(jìn)行篩選和過(guò)濾，除此之外，對(duì)于劃分VLAN也是起到重要作用。再次，對(duì)于物理隔離與信息交換系統(tǒng)的重視。對(duì)于某些特殊企業(yè)，對(duì)于內(nèi)網(wǎng)的穩(wěn)定和運(yùn)行流暢有著極高要求，所以需要運(yùn)用物理隔離對(duì)于內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)進(jìn)行人為分割，如此可以阻止各種網(wǎng)絡(luò)層面的攻擊。最后是對(duì)于病毒網(wǎng)關(guān)的搭建。使用網(wǎng)絡(luò)病毒網(wǎng)關(guān)與查殺軟件（McAfee EPO + Clients）相結(jié)合，搭建病毒防護(hù)體系，抑制與控制病毒的入侵，從而保證網(wǎng)絡(luò)的安全。

另一方面，需要做好檢測(cè)工作，在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上配備入侵檢測(cè)系統(tǒng)IDS，實(shí)時(shí)分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)違規(guī)事件跟蹤，實(shí)時(shí)報(bào)警，阻斷連接并做日志。IDS的檢測(cè)時(shí)被動(dòng)的監(jiān)測(cè)網(wǎng)絡(luò)上所有的信息，尋找惡意信息和行為，同時(shí)發(fā)出警報(bào)。這與前文提到的防火墻的防護(hù)功能有著本質(zhì)區(qū)別，其通過(guò)端口進(jìn)行防護(hù)和檢測(cè)，故而能夠識(shí)別和控制防火墻不能識(shí)別的攻擊，并且在發(fā)現(xiàn)入侵企圖后輔助系統(tǒng)進(jìn)行移植。

（二）企業(yè)網(wǎng)絡(luò)操作系統(tǒng)瘦身

操作系統(tǒng)是我們必須要重視的環(huán)節(jié)，總體來(lái)說(shuō)，我們需要對(duì)其進(jìn)行合理的安全配置，及時(shí)更新補(bǔ)丁，檢測(cè)并且修補(bǔ)漏洞，分析系統(tǒng)安全性，提出補(bǔ)救措施。對(duì)于管理人員進(jìn)行操作的時(shí)候需要采用安全級(jí)別較高的操作系統(tǒng)進(jìn)行合理的安全配置，關(guān)閉一些不安全應(yīng)用，對(duì)于企業(yè)的重要文件的使用權(quán)限進(jìn)行最嚴(yán)格的限制，加強(qiáng)口令的使用等多角度進(jìn)行完善。具體而言，我們需要進(jìn)行以下操作，首先，對(duì)操作系統(tǒng)進(jìn)行精減。刪除或者選擇性不安裝沒(méi)有必要的系統(tǒng)組件，一改操作系統(tǒng)臃腫的局面。其次，對(duì)于操作系統(tǒng)服務(wù)進(jìn)行精減。消除實(shí)際沒(méi)有使用的端口或者服務(wù)甚至磁盤文件。最后，對(duì)于操作系統(tǒng)漏洞的控制，在內(nèi)網(wǎng)中建立漏洞管理服務(wù)器?？梢钥紤]微軟WSUS Server及第三方安全管理軟件（BES），用以對(duì)網(wǎng)絡(luò)內(nèi)主句進(jìn)行監(jiān)控，從而實(shí)現(xiàn)實(shí)時(shí)監(jiān)控和及時(shí)安裝補(bǔ)丁修復(fù)漏洞。

（三）企業(yè)網(wǎng)絡(luò)應(yīng)用搭建

首先，需要配置好病毒防護(hù)系統(tǒng)，從而組織病毒的攻擊和散播。其次需要做好數(shù)據(jù)的備份，從而在意外情況發(fā)生的時(shí)候能有條不紊的進(jìn)行系統(tǒng)恢復(fù)。在此是對(duì)于數(shù)據(jù)進(jìn)行加密，多層保護(hù)數(shù)據(jù)。最后是對(duì)于信息進(jìn)行檢測(cè)和鑒別。具體而言，實(shí)現(xiàn)應(yīng)用系統(tǒng)保護(hù)的功能包括以下幾個(gè)方面：？首先，應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問(wèn)漏洞控制。應(yīng)用系統(tǒng)軟件要求按安全軟件標(biāo)準(zhǔn)開發(fā)，在輸入級(jí)、對(duì)話路徑級(jí)和事務(wù)處理三級(jí)做到無(wú)漏洞;集成的系統(tǒng)要具有良好的恢復(fù)能力，這樣才能保證內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)避免因受攻擊而導(dǎo)致的癱瘓、數(shù)據(jù)破壞或丟失。其次，數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA提供的數(shù)字證書進(jìn)行應(yīng)用級(jí)的身份認(rèn)證，對(duì)文件和數(shù)據(jù)進(jìn)行數(shù)字簽名和認(rèn)證，保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。？在此，數(shù)據(jù)加密。對(duì)重要的數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

（四）企業(yè)網(wǎng)絡(luò)管理安全的維護(hù)

我們都知道，所有的管理都最終落到人的身上，以人為本的去構(gòu)建合理的企業(yè)網(wǎng)絡(luò)管理流程是最好的方法。除了需要提高安全意識(shí)意外，還需要有健全的管理制度。內(nèi)外同時(shí)進(jìn)行提升。具體而言，我們一方面需要通過(guò)安全意識(shí)培訓(xùn)，提高管理者的業(yè)務(wù)素質(zhì)和工作素養(yǎng)以外，職業(yè)道德等多方面都需要齊頭并進(jìn)。另一方面，對(duì)于管理制度必須利用法律等手段，在電信部門系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求，制定安全管理制度并嚴(yán)格按執(zhí)行，并通過(guò)安全知識(shí)及法律常識(shí)的培訓(xùn)，加強(qiáng)整體員工的自身安全意識(shí)及防范外部入侵的安全技術(shù)。

參考文獻(xiàn)：

[1]彭龍.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系的構(gòu)建研究[J].科技廣場(chǎng)，2016.