企业网安全分析
编者按:担负着企业重大责任而又耗费企业众多人力、物力和财力的网络系统,如果因系统软硬件故障、或黑客恶意攻击、或网络病毒感染的经常出现问题,甚至完全瘫痪,将直接影响企业的正常运行,所带来的经济损失不仅限于企业本身,甚至波及到整个社会。因此,在组建企业网络系统时,一定要充分考虑网络系统的安全建设。那么,怎样才能使网络安全建设卓有成效呢?本文分析了网络安全建设需要考虑的重要问题。
一、全面分析网络安全漏洞
企业网系统的安全隐患除了来自外联网络系统之外,还有企业网络系统本身的,包括操作系统、数据库系统、网络通信协议等。具体来讲,企业网络系统存在以下几项安全隐患。
1.传输信道:不管是内部网络系统,还是外联系统,子网之间的连接总得通过相关传输信道。一般来讲,目前的网络传输主要通过宽带IP、DDN、X.25和PSTN信道。就其传输信道本身来看,存在诸如电磁泄露、信号泄露、监听/干扰、假冒通信和信息假冒等问题。而这些现象又无一例外地要对企业网络构成安全威胁。它们或是因为传输距离太远,或者传输线路质量较差,引起数据传输中的“丢包”现象,从而降低网络传输速度,甚至使远程子网间无法通信。
2.操作系统:毫不夸张地说,大多数网络入侵是因为操作系统的漏洞。像主数据库服务器上运行的Unix、Web和OA等辅助服务器上运行的Windows NT或Novell等,无一例外都有漏洞。另外,在大部分网络操作系统中,为用户提供的方便的通信功能和共享设置,也为黑客攻击和病毒感染留下了“可乘之机”,如Unix系统的远程用户登录、NT系统中基于Netbios的文件共享和打印机共享等功能等。
3.数据库系统:任何企业网络的数据库中都存放着企业的关键数据和重要资料,一旦因管理员管理不善而造成数据库口令被盗用,就会使貌似安全稳定的企业网络核心机构变得相当脆弱。
4.网络通信协议:目前大多数企业网络系统所采用的网络通信协议是TCP/IP、Http、Ftp、Smtp、Telnet等,这些协议大多先天不足和带有安全漏洞。例如,在TCP/IP协议的近期版本中,最大的安全问题是缺乏有效的身份认证和鉴别机制,通信的双方很难确定对方的确切身份及通信时的物理位置等,网络攻击者们往往利用这些安全漏洞来对企业网络进行频繁攻击。
5.Web服务器:WWW服务器是内外部网络连接的纽带和堡垒,因而最容易成为黑客主动攻击的对象。
6.病毒方面:成千上万的网络病毒肆虐在网络环境中,其危害程度甚至高于黑客的恶意攻击。
7.数据的安全存放:由于网络中心,特别是主数据库存放着企业网络全局的所有重要数据,这些数据和信息甚至就是企业的生命,像电信、移动、寻呼等通信企业的数据中心系统所保存的就是所有通信用户的基本信息资料和通信计费数据,如果这样的数据中心遭到毁坏,其后果将使企业遭到灭顶之灾。
8.桌面PC设置:网管员通常都将安全防范的重点集中在服务器上,忽略了客户机和桌面PC的相关设置。特别是某些网管员在安装软件时,为了方便而将客户机或桌面PC设置为完全共享。而某些工作人员又习惯于将一些自己处理过的企业机密文件存放在自己的文档中,或在自己的硬盘上留有备份,这就有可能使得某些重要文件在内部网上随意地流传,为网络系统留下了安全隐患。
9.关注后院起火:网络内部人员,由于对自己的网络非常熟悉,又位于防火墙后端,也就有可能给网络安全带来威胁。网络中可能存在一些绕过网络出口的通道,例如某些子网擅自和一些外部单位连接、某些PC采用拨号方式上网、某些非内部人员外部拨号进入等等,这些都是极大的安全隐患。
10.信息的认证和传输:大型企业在组建网络时,典型的方式是企业各部门所建的子网和计算中心子网建立在同一个局域网内,尤其是管理机构位于同一栋大楼中时。这种建制虽然方便了网络的建设与管理,但也使得从网上窃取信息变得更容易。而像电信、移动、银行、税务等单位,是上有省公司(局),下有区、县分公司的大中型企业网络,内部用户较多,可阅览的机密要件的权限也各不相同,这就需要建立一个安全的身份认证和存取控制机制。尤其值得注意的是,传统的印章制度在一定范围内无法发挥作用,这就要求安全系统能提供这方面的保障,使得信息在传输、存储、共享过程中,既不被非法篡改,也无法进行抵赖。
因此,一个网络所受到的安全威胁,既有技术方面的,也有管理方面的;既有来自网络内部的,也有来自网络外部的;既有人为恶意攻击的,也有无意造成的。所以,网络安全是一个系统的、多层面的和全方位的系统工程。
二、整体落实网络安全策略
1.内部网络系统防范措施
① 病毒防护:有针对性地选择性能优秀的专业网络防病毒软件,是网络系统免遭病毒侵扰的重要保证。如Kill网络防毒软件系统,具有较好的网络病毒防范功能,用户可以根据本企业网络的拓扑结构来选择合适的产品。需要注意的是,一个完善、全面、可靠、实用的网络病毒防御系统,不能仅仅使用一种品牌产品,还应同时结合其他防病毒软件,如瑞星、KV300等一起使用,这样才能有较好病毒防范能力。因为,不同品牌的网络防病毒软件,在病毒防范机制上有完全不同的个性,而当前的网络病毒不但种类繁多,而且病毒破坏原理和方式千差万别,要想彻底剿杀网络中可能存在的病毒,非得采用这种“大兵团”的作战方式不可。
② 信道传输的安全:有些可以要求信道提供商通过改造线路质量来完善,另外一些则可以由网络系统自己完善。例如,在大中型企业中,技术力量相对较强,大部分数据库信息的采集和处理都需要自已二次开发,这样,就可以注入信道传输方面的安全措施。比如可采用对应用程序加密、对通信线路(主要是DDN)加密,或采用VPN虚拟专用网络等较好的数据安全传输方案,完善网络安全防范体系。
③ 内部网络安全审计:如果说防火墙是一道保卫内部网络的重要关卡,那么网络安全审计则是一支在网络内部值勤的网上巡警。网络安全审计能够帮助对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度。例如,复旦光华S-Audit审计系统,只要安置在大中型企业网络中心数据库服务器所在的网段上,就可保证信息的收集、分析、统计、存储、报警等顺利进行。
④ 内网IP地址与MAC地址绑定:为了从物理上保证网络的安全性,特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料,完全可以将企业内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的惟一性。显然,对于诸如电信、移动、银行、证券、税务等单位,因其网络系统完善、信息点广泛、人手一台PC、每人的口令各自保管,为MAC地址与IP地址捆绑创造了条件。
⑤ 操作系统和数据库管理:在安装操作系统和数据库后,需要打的补丁一定要打,就是系统运行了一段时间后,厂家再次推出的补丁也最好补上。而该关闭的协议一定要关闭,尽可能踢除一切可能存在的安全隐患。对于数据库,不管是Sybase 还是Lotus Notes,它们都有一套安全机制,可以充分利用,减少内部网络用户利用应用系统漏洞进行的攻击。
⑥ 主要数据库服务器采用小型机:计算机病毒一般都是针对具有统一、标准、广泛应用的网络环境,所以,现代网络病毒大都是针对Windows系列和应用广泛的数据库系统的。有许多事关用户权益的企业,像电信、移动、银行、证券、税务等单位组建的网络系统,其主要数据库服务器不仅硬件必须采用小型机,操作系统也要采用由小型机厂商自己开发的专用产品,数据库也必须是专门为这类小型机开发的。这种专用系统,因其硬件和软件的专用性而无法普及,因而也就不为一般病毒制造者所看好,更谈不上去为此系统专门制造病毒了。
⑦ 数据备份及恢复系统:大中型企业网络系统,其系统各子网不可能都在同一座大楼内,有许多子网分布在离网络中心几公里甚至几十公里之外的下属单位。一般来讲,可将网络系统的重要数据集中在企业网络中心管理,但有的企业因其业务发展的需要,下面的子网系统也有自己独立的数据库系统,像电信系统,不仅省公司有计费业务系统,地市公司也有计费业务系统,就是县公司也有计费业务系统,这些系统既有上下级之间的关联控制,又有相对的独立性,所以必须建立数据异地备份中心。如采用以太网方式的磁带库备份系统来处理数据的备份等。
⑧ 其他网络防护手段:网络的安全防范并非仅仅针对黑客和病毒,还应包括系统自身的物理安全防范,除了采用应有的如双电源双风扇、磁盘镜像、服务器主备结构等设备冗余外,还应采用必要的防雷、防静电、防电磁干扰以及磁盘消磁等安全防护手段。
2.外联网系统防范措施
① 安装防火墙:在企业内部网络与外部网络之间安装防火墙,隔离内外部网络,并将防火墙设置为使所有进出内部网络的信息全部经由防火墙,而外部用户通过网络防火墙时,只能访问事先设置的由内部网数据库系统所指定的端口,并指出WWW服务器的Http协议以及匿名Ftp协议,其他权利一概禁止。
② 安装隔离服务器:像电信、移动等行业系统,从提高生产效率、方便客户以及自身业务发展的需要出发,开办了许多由个人代办或由银行代收的营销与收费系统。虽然这些代办系统中只有几台终端,但这些终端在收取话费或办理客户入网手续时,必须访问本企业网络的数据中心。为了企业网络的安全,一般的方法是专门安装一台前置隔离服务器,使这台隔离服务器作为内部数据
