网络安全及应对策略.doc

目 录摘要3一、 目前企业内部网络的安全现状41、 操作系统的安全问题42、 病毒的破坏43、 黑客44、 口令入侵45、 非正常途径访问或内部破坏46、 设备受损4二、企业办公网络的常见威胁和攻击手段51、企业办公网络面临的主要威胁52、办公网络中常见的攻击手段5三、 常见的企业网络安全认识误区61、安装了防火墙就安全了72、安装了最新的杀毒软件就不怕病毒了73、只要网络不连接互联网就不会有病毒74、安装多个不同的杀毒和防火墙软件能更安全7四、企业网络安全的几大策略71、内/外有别、内/外共防策略72、严禁私设外线策略83、安全密码和身份验证策略84、网络访问控制策略9五、实施网络安全策略的基本步骤101、确定应用范围102、获得管理层的支持103、进行安全分析104、广泛听取意见115、制定安全策略草案116、安全策略评估117、发布并实施安全策略118、随需修订安全策略11参考文献13摘要：企业内部网络的安全问题，不仅是设备，技术的问题，更是管理的问题。对于企业网络的管理人员来讲，一定要提高网络安全意识，加强网络安全技术的掌握，注重对领导和员工的网络安全知识培训，而且更需要制定一套完整的规章制度来规范上网人员的行为。企业内部网络作为信息化建设的主要载体，其网络安全已经成为当前各企业内部网络建设中不可忽视的首要问题。文章基于当前企业内部网络安全的现状及面临的威胁，提出相应的网络安全应对策略。关键字：企业 网络 安全策略 威胁 攻击 一、 目前企业内部网络的安全现状1、操作系统的安全问题 目前，被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等，这些操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。 2、病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响企业内部网络安全的主要因素。 3、黑客 在中华人民共和国公共安全行业标准中，黑客的定义是：“对计算机系统进行非授权访问的人员”，这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具，他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有：端口监听、端口扫描、口令入侵、JAVA炸弹等。 4、口令入侵 为管理方便，一般来说，企业为每个上网的领导和工人分配一个账号，并根据其应用范围，分配相应的权限。某些人员为了访问不属于自己应该访问的内容，用不正常的手段窃取别人的口令，造成了企业管理的混乱及企业重要文件的外流。 5、非正常途径访问或内部破坏在企业中，有人为了报复而销毁或篡改人事档案记录；有人改变程序设置，引起系统混乱；有人越权处理公务，为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。 6、 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内，管理起来非常困难，任何安置在不能上锁的地方的设施，都有可能被人有意或无意地损坏，这样会造成企业内部网络全部或部分瘫痪的严重后果。 二、企业办公网络的常见威胁和攻击手段1、企业办公网络面临的主要威胁对企业办公网络的主要威胁既有来自网络内部的入侵，也有来自办公网络外部的入侵。相对其他办公而言，企业办公网络与外网的网络通信的节点数量很少，传输的信息量都较少，办公网络的信息主要是通过内部网络传递，重要的信息大都存放在计算机内或者内部网络中。而且企业办公网络的内网与外网之间大都安装有防火墙，大部分都采用比较严密的防范措施。因此，企业办公网络最主要的安全威胁来自办公网络内部。企业办公网络面临的主要威胁有：企业经营者和网络管理员对办公网络的内部安全不够重视。很多企业办公网络的信息安全保护措施比较松散，采取“防外不防内”的策略，认为企业办公网络只要能保障外部网络的安全，把能正常办公为主要任务，设置的安全安全策略大都把防火墙系统放置于网络边界，当网络受到来自内部的攻击时却是束手无策，使企业蒙受巨大损失。来自企业内部人员的威胁。对于经常使用或熟悉办公网络的内部人员来说，他们比较容易接触网络内部的敏感信息，而且对企业办公系统的各种操作、结构、运作都非常熟悉。由于某些企业内部人员缺乏专业的网络安全防护知识，出于好奇，在使用过程中可能使用一些的非法软件和用户技术，造成企业办公网络系统出现漏洞、数据丢失、瘫痪等等。2、办公网络中常见的攻击手段（1）侦听(Sniff)。侦听也称为嗅探，它是通过某种工具，截获到网络中其他计算机之间的通讯信息，从而得传输的资料或者为进行下一步攻击做准备。侦听是进行未授权访问和身份仿冒的基本手段。由于办公网络大多传输比较敏感的信息，如果被未授权的用户截获，产生的后果将是不可设想的。（2）拒绝服务攻击。DoS是Denial of Service简称，也称为拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法为合法用户提供正常的服务。（3）会话劫持。在某些口令策略设置较好的系统中，例如使用一次性口令，这样非法用户即使通过侦听捕获到用户的口令也无法再次登录系统。（4） 缓冲区溢出。缓冲区是计算机内存中存放数据的地方。在计算机程序试图将数据放到计算机内存中的某一个位置的时候，如果数据超出了预定的存储范围就会发生缓冲区溢出。缓冲区溢出可能会出现两种情形，一是是利用这种漏洞可以执行任意指令，甚至可以取得系统的管理员权限：另一种情形就过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃。大多造成缓；中区溢出的原因是程序中没有仔细检查用户输入参数而造成。三、 常见的企业网络安全认识误区于目前网络安全的威胁来源明显增多，而且还相当复杂，再加上现有的网络安全产品价格通常都比较贵，一些企业，特别是一些小型企业根本无力承受，所以即使是网络管理员也无法全面认识这些安全产品和对应的安全技术。这样就导致了，包括企业老总和网络管理员在内的一些网络安全策略制定的决策者都或多或少地存在一些认识上的误区，给策略的制定带来漏洞。本节先来与大家一起分析一下当前存在的一些主要安全认识误区。1、安装了防火墙就安全了直到今日，仍有不少人，甚至是网络管理员都认为只要安装了防火墙便可以高枕无忧，或至少可以阻挡大部分的攻击行为。这显然是非常荒唐的。防火墙固然是重要且必备的安全机制，而且随着技术的进步，防火墙的功能也越来越强大，但是防火墙不能代表网络安全防御的全部，它只是许多解决方案中的一种。况且，无论是那个品牌的防火墙，它的主要功能仍是控制存取与包过滤，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范比较有效。可是如果攻击行为不经过防火墙(例如自网络内部发动攻击)，或是将应用层的攻击程序隐藏于正常的封包内，防火墙便力不从心了。2、安装了最新的杀毒软件就不怕病毒了这更是错误的想法，冈为任何一款杀毒软件都不能保证能完全查杀所有已知和未知的病毒。况且安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已有的病毒，但这并不能保证安装了最新的杀毒软件后就没有病毒的入侵了。因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现，所以当杀病毒软件还没有提供相应查杀能力支持的情况下，这些新病毒仍可能成功入侵系统。况且，不同品牌的杀毒软件查杀病毒的能力不尽相同，病毒代码更新的速度也不完全一样，所以安装1i同的杀毒系统结果可能不完全一样3、只要网络不连接互联网就不会有病毒病毒不仅只是在连接互联网的情况下才有的。没有互联网，同样有病毒。尽管现在病毒传播的途径主要是通过网络，但仍可能通过诸如软盘、移动硬盘、U盘和光盘等存储媒体来传播。网络中只要有一个用户通过这些途径感染了病毒，则整个网络就可能都会感染。4、安装多个不同的杀毒和防火墙软件能更安全理论上来说，这并没有错，因为不同杀病毒软件和防火墙的防毒和防攻击能力不一样。笔者也曾实验过，在一台计算机上安装了三个杀毒软件，结果在运行这三个杀毒软件后，所查出的病毒各不一样。四、企业网络安全的几大策略网络安全策略的设计也必须充分考虑到当前网络的实际应用需求和企业自身的经济承受能力，并全面分析当前网络可能存在的安全隐患，包括局域网内部，以及与外部网络连接的所有应用。大多企业重视提高企业网的边界安全，但却忽视了企业内部网络的安全隐患。如安装了企业级的硬件防火墙、入侵检测软件等设施，并希望以此实现内网与外网之间的安全隔离。然而，企业网络中却经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，这就给企业网络带来了巨大的潜在安全威胁。从某种意义来讲，企业耗费巨资配备的防火墙、入侵检测设施已失去了意义。因为用户的这种私自外网连接，就极有可能使得黑客绕过防火墙、入侵检测设施，在毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒等灾难性恶果。本节要向大家介绍应着重注意的十大典型安全策略。这十大安全策略既充分考虑到内网与外网的连接，同时又充分考虑到了企业内部网络的安全隐患。1、内/外有别、内/外共防策略这一策略看似不是一个具体的策略，但却往被忽视，只重视了网络边界的安全防护。最终的结果是外网的安全隐患虽然有效避免了，但内网的安全威胁频繁发生，如网络病毒四处可见、网络数据丢失、公司机密文件泄露等，整个网络仍不得安宁。内网的安全威胁不同于外网的安全威胁。网络边界安全技术防范主要来自互联网上的攻，如基于HTTP或SMTP服务器的攻击。网络边界防范(如边界防火墙系统等)只是减小了那些专业黑客通过简单的互联网接入、程序编写就可访问企业内部网络的几率。但防火墙的防原理就是防外不防内，所以防火墙对于内部网络的安全威胁是视而不见的。内网安全威胁主要源于企业内部的网络安全管理，如用户密码、用户权限、内网隔离、数加密、身份验证方式、媒体使用、机房管理等，而不是依靠防火墙这种网络边界安全设施。一点大家一定要有清晰的认识。 2、严禁私设外线策略一般来说，在企业网络与外网边界中都会安装有防火墙和入侵检测设施，这正是基于内部网络与外部网络连接的安全性考虑的。但是在一些企业中，仍可以见到，一些员工，特别是比较高级别的员工(如部门主管、经理等)往往采用单独的外网连接方式(如Modem拨号、ADSL PPPoE拨号等)，而这些独自使用的外网连接线路上并没有可信赖的安全防御措施。这样一来，网络边界中所安装的昂贵的防火墙、入侵检测设备就失去了它存在的意义，因为网络病毒和黑客攻击仍可以通过这些私自线路入侵到内部网络。3、安全密码和身份验证策略获取用户密码并通过身份验证是一切网络攻击的前提，所有黑客在实施攻击前都必须获得相当权限的用户账户信息，以此来通过内网的身份验证。用户账户密码和身份验证是息息相关的，因为身份验证通常是通过用户账户和密码进行的。但并不是任何网络环境中都采用这种原始的身份验证方式，如在外部网络访问中，用户的身份验证方式就应当采取更加安全的IEEE8021x、智能卡、计算机证书等验证方式。在用户账户密码策略中，一定要严格按照系统所规定的复杂性(如要求同时包括数字、大小写字母和符号，不能包括完整或部分连续的英文单词等)要求进行部署，不允许用户随意设置和更改。这样黑客猜测用户密码的难度会大许多，也就极大地减少了黑客入侵成功的机会，提高了网络的安全性。当然用户密码的管理也是相当重要的，要求员工一定不得把自己的密码记录在工作台或者记事簿等容易被人发现的位置，也不要当着别人输入自己的账户和密码。4、 网络访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，是保证网络安全最重要的核心策略之一。访问控制策略主要包括以下几个方面。（1）网络远程访问控制网络的远程访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的网络访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要有任何一关未通过，该用户便不能进入该网络。（2）文件访问控制文件访问控制是针对用户(或黑客)所进行的非法文件操作所提出的一种安全保护措施。用户和用户组被赋予一定的文件访问权限。管理员要合理地控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。（3） 网络服务器的安全控制这是基于远程管理的远程访问控制而言的。在远程管理中，具有管理权限的用户可以使用控制台装载和卸载模块，可以安装和删除软件等。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据：可以设定服务器登录时间限制、非法访问者检测等的时间间隔。（4）网络监控和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形、文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。（5）网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)，在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。（6）网络数据备份与恢复策略数据备份与恢复在网络安全管理中的重要性不言而喻，它可以说是一切网络灾难的最有效防御措施，因为它保存了企业网络中最重要的部分网络系统和网络数据。通常只要严格制定和遵守了网络容灾方案，再大的灾难都可以在有限的时间内迅速得以恢复，使损失程度减小到最低。五、实施网络安全策略的基本步骤网络安全策略设计好后，就要付诸实施。但实施之前，还必须进行相关的分析和测试，并取得公司决策层的支持和所有员工的理解。下面是实施网络安全策略的基本步骤。1、确定应用范围在制订安全策略之前必须确认该策略所应用的范同，例如是在整个组织还是在某个部门。没有明确范同就制订策略无异于无的放矢。2、获得管理层的支持任何项目的推进都无法离开管理层的支持，安全策略的实施更是如此，因为安全策略项目不直接产生经济效益，却要投入巨大的资金。没有管理层的支持，所制定的策略也就没有意义，因为一个完整的安全策略系统不可能不需要资金上的支持。3、进行安全分析这是一个经常被忽略的工作步骤，同时也是安全策略制订工作中的一个重要步骤。这个步骤的主要目标是确定需要进行保护的信息资产，及其对组织的绝对和相对价值，在决定保护措施的时候需要参照这一步骤所获得的信息。进行这项工作时需要考虑的关键问题包括需要保护什么，需要防范哪些威胁，受到攻击的可能性有多大，在攻击发生时可能造成的损失，能够采取什么防范措施，防范措施的成本和效果评估等。4、广泛听取意见 通常来说至少应该与技术部门和业务部门的人员进行一些会议，在这些会议上一方面要向这些人员灌输在分析阶段所得出的结论，并争取这些人员的认同和支持；另一方面也要尽可能地听取他们的意见。如果有其他属于安全策略应用范围内的业务单位，那么也应该让其加入到这项工作。5、制定安全策略草案 一旦就应用范围内采集的信息达成一致并获得了组织内部足够的支持，就可以开始着手建立实际的策略了。这个策略版本会形成最终策略的框架和主要内容，并作为最后评估和确认工作的基准。策略制定的依据就是上节所介绍的主要安全策略，要全面、细致地分析当前网络可能存在的安全隐患，并给出相应的安全防御措施。当然这些安全防御措施一定要与当前企业的实际相结合。6、安全策略评估 策略的制定一般由信息小组成员负责，虽然在专业性方面有足够的保