企業(yè)網(wǎng)絡(luò)安全建設(shè)引言

隨著電子信息和計算機技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)已逐步成為當今社會發(fā)展的一個主題，網(wǎng)絡(luò)已滲透到經(jīng)濟和生活的各個領(lǐng)域，眾多的企業(yè)、組織、政府部門與機構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)。并連接到互聯(lián)網(wǎng)上，以充分共享、利用網(wǎng)絡(luò)的信息和瓷源。

網(wǎng)絡(luò)安全方案設(shè)計分析

（一）網(wǎng)絡(luò)系統(tǒng)安全分析

網(wǎng)絡(luò)入侵者通常有以下步驟進行入侵：

1、信息收集。

信息收集是為了了解所要攻擊目標的詳細信息，通常黑客利用相關(guān)的網(wǎng)絡(luò)協(xié)議或?qū)嵱贸绦騺硎占缬肧NWP協(xié)議可用來查看路由器的路由表，了解目標主機內(nèi)部拓撲結(jié)構(gòu)的細節(jié)，用TraceRoute程序可獲得到達目標主機所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由數(shù)，用Ping程序可以檢測一個指定主機的位置并確定是否可到達等。

2、探測分析系統(tǒng)的安全弱點。

在收集到目標的相關(guān)信息以后，黑客會探測網(wǎng)絡(luò)上的每一臺主機，以尋求系統(tǒng)的安全漏洞或安全弱點，黑客一般會使用Telnet、FTP等軟件向目標主機申請服務(wù)，如果目標主機有應(yīng)答就說明開放了這些端口的服務(wù)，其次使用一些公開的工具軟件如Internet安全掃描程序ISS、兩絡(luò)安全分析工具SATAN等來對整個網(wǎng)絡(luò)或子網(wǎng)進行掃描，尋求系統(tǒng)的安全漏洞，獲取攻擊目標系統(tǒng)的非法訪問權(quán)。

3、實施攻擊在獲得了目標系統(tǒng)的非法訪問權(quán)以后，黑客一般會實施以下的攻擊：試圖毀掉入侵的痕跡，并在受到攻擊的目標系統(tǒng)中建立新的安全漏洞或后門，以便在先前的攻擊點被發(fā)現(xiàn)以后能繼續(xù)訪問該系統(tǒng)：在目標系統(tǒng)安裝探測器軟件，如特洛伊木馬程序，用來窺探目標系統(tǒng)的活動，繼續(xù)收集黑客感興趣的一切信息，如帳號與口令等敏感數(shù)據(jù);進一步發(fā)現(xiàn)目標系統(tǒng)的信任等級，以展開對整個系統(tǒng)的攻擊;如果黑客在被攻擊的目標系統(tǒng)上獲得了特許訪問權(quán)，那么他就可以讀取郵件，搜索和盜取私人文件，毀壞重要數(shù)據(jù)以至破壞整個網(wǎng)絡(luò)系統(tǒng)，那么后果將不堪設(shè)想，黑客攻擊通常采用以下幾種典型的攻擊方式：密碼破解、IP欺騙（Spoofing）與嗅探（Sniffing），系統(tǒng)漏洞，端口掃描。（二）網(wǎng)絡(luò)安全方案分類

通過對網(wǎng)絡(luò)系統(tǒng)的全面了解，按照網(wǎng)絡(luò)風險分析結(jié)果、安全策略的要求、安全目標及整個網(wǎng)絡(luò)安全方案的設(shè)計原則，整個網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)整體建立，具體的安全控制系統(tǒng)由以下幾個方面組成，保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程，網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指，網(wǎng)絡(luò)拓撲結(jié)構(gòu)是否合理;線路是否有冗余：路由是否冗余，防止單點失敗等，工行網(wǎng)絡(luò)在設(shè)計時，比較好的考慮了這些因素，可以說網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的.

對于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如UNIX下：/.host、etc/host、passwd、shadow,、group等;WindowsNT下的LMHOST、SAM等）使用權(quán)限進行嚴格限制等等方法。訪問控制可以通過如下幾個方面來實現(xiàn)，比如制定嚴格的管理制度，配備相應(yīng)的安全設(shè)備，通過交換機劃分VLILN，使用應(yīng)用代理。

數(shù)據(jù)的機密性與完整性，主要是為了保護在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文，可以選擇以下幾種方式：鏈路層加密，網(wǎng)絡(luò)層加密，入侵檢測等，數(shù)據(jù)保護所包含的內(nèi)容比較廣，除了前面講過的訪問控制和通信保密外，還包括以下幾個方面：制定明確的數(shù)據(jù)保護策略和管理制度保護鐿略，可以制定如下管理制度： 《系統(tǒng)信息安全保密等級劃分及保護規(guī)范》、《數(shù)據(jù)安全管理辦法》、《上網(wǎng)數(shù)據(jù)的審批規(guī)定》。

安全審計主要通過如下幾方面實現(xiàn)：制訂審計策略和管理制度，使用安全審計設(shè)備和軟件、網(wǎng)絡(luò)監(jiān)視系統(tǒng)等方法，防病毒措施主要包括技術(shù)和管理方面，技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力，在客戶端的主機也應(yīng)安裝單機防病毒軟件，將病毒在本地清除而不至于擴散到其他主機或服務(wù)器。

管理上應(yīng)制定一整套有關(guān)的規(guī)章制度，如：不許使用來歷不明的軟件或盜版軟件，軟盤使用前要首先進行殺毒等，只有提高了工作人員的安全意識，并自覺遵守有關(guān)規(guī)定，才能從根本上防止病毒對網(wǎng)絡(luò)信息系統(tǒng)的危害，備份恢復(fù)，對重要設(shè)備系統(tǒng)進行備份。數(shù)據(jù)備份則主要通過磁盤、磁帶、光盤等介質(zhì)來進行。

網(wǎng)絡(luò)安全在企業(yè)中的建設(shè)是很重要的環(huán)節(jié)，企業(yè)在這方面是不能疏忽的，在以后的文章中，我們還會繼續(xù)向大家介紹：淺析如何加強中小型企業(yè)網(wǎng)絡(luò)安全建設(shè) 下篇

【編輯推薦】

1. 企業(yè)用戶防御網(wǎng)絡(luò)威脅十要素
2. 擺脫不請自來的黑客掃描與攻擊
3. 網(wǎng)絡(luò)安全已成為企業(yè)競爭力的威脅
4. 阻止黑客進出 個人網(wǎng)絡(luò)安全防衛(wèi)手冊