企業(yè)網(wǎng)絡(luò)安全建設(shè)引言

隨著電子信息和計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已逐步成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題，網(wǎng)絡(luò)已滲透到經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域，眾多的企業(yè)、組織、政府部門(mén)與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)。并連接到互聯(lián)網(wǎng)上，以充分共享、利用網(wǎng)絡(luò)的信息和瓷源。

網(wǎng)絡(luò)安全方案設(shè)計(jì)分析

（一）網(wǎng)絡(luò)系統(tǒng)安全分析

網(wǎng)絡(luò)入侵者通常有以下步驟進(jìn)行入侵：

1、信息收集。

信息收集是為了了解所要攻擊目標(biāo)的詳細(xì)信息，通常黑客利用相關(guān)的網(wǎng)絡(luò)協(xié)議或?qū)嵱贸绦騺?lái)收集，如用SNWP協(xié)議可用來(lái)查看路由器的路由表，了解目標(biāo)主機(jī)內(nèi)部拓?fù)浣Y(jié)構(gòu)的細(xì)節(jié)，用TraceRoute程序可獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由數(shù)，用Ping程序可以檢測(cè)一個(gè)指定主機(jī)的位置并確定是否可到達(dá)等。

2、探測(cè)分析系統(tǒng)的安全弱點(diǎn)。

在收集到目標(biāo)的相關(guān)信息以后，黑客會(huì)探測(cè)網(wǎng)絡(luò)上的每一臺(tái)主機(jī)，以尋求系統(tǒng)的安全漏洞或安全弱點(diǎn)，黑客一般會(huì)使用Telnet、FTP等軟件向目標(biāo)主機(jī)申請(qǐng)服務(wù)，如果目標(biāo)主機(jī)有應(yīng)答就說(shuō)明開(kāi)放了這些端口的服務(wù)，其次使用一些公開(kāi)的工具軟件如Internet安全掃描程序ISS、兩絡(luò)安全分析工具SATAN等來(lái)對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋求系統(tǒng)的安全漏洞，獲取攻擊目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)。

3、實(shí)施攻擊在獲得了目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)以后，黑客一般會(huì)實(shí)施以下的攻擊：試圖毀掉入侵的痕跡，并在受到攻擊的目標(biāo)系統(tǒng)中建立新的安全漏洞或后門(mén)，以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)以后能繼續(xù)訪問(wèn)該系統(tǒng)：在目標(biāo)系統(tǒng)安裝探測(cè)器軟件，如特洛伊木馬程序，用來(lái)窺探目標(biāo)系統(tǒng)的活動(dòng)，繼續(xù)收集黑客感興趣的一切信息，如帳號(hào)與口令等敏感數(shù)據(jù);進(jìn)一步發(fā)現(xiàn)目標(biāo)系統(tǒng)的信任等級(jí)，以展開(kāi)對(duì)整個(gè)系統(tǒng)的攻擊;如果黑客在被攻擊的目標(biāo)系統(tǒng)上獲得了特許訪問(wèn)權(quán)，那么他就可以讀取郵件，搜索和盜取私人文件，毀壞重要數(shù)據(jù)以至破壞整個(gè)網(wǎng)絡(luò)系統(tǒng)，那么后果將不堪設(shè)想，黑客攻擊通常采用以下幾種典型的攻擊方式：密碼破解、IP欺騙（Spoofing）與嗅探（Sniffing），系統(tǒng)漏洞，端口掃描。（二）網(wǎng)絡(luò)安全方案分類(lèi)

通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的全面了解，按照網(wǎng)絡(luò)風(fēng)險(xiǎn)分析結(jié)果、安全策略的要求、安全目標(biāo)及整個(gè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則，整個(gè)網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)整體建立，具體的安全控制系統(tǒng)由以下幾個(gè)方面組成，保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程，網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理;線路是否有冗余：路由是否冗余，防止單點(diǎn)失敗等，工行網(wǎng)絡(luò)在設(shè)計(jì)時(shí)，比較好的考慮了這些因素，可以說(shuō)網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的.

對(duì)于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件（如UNIX下：/.host、etc/host、passwd、shadow,、group等;WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制等等方法。訪問(wèn)控制可以通過(guò)如下幾個(gè)方面來(lái)實(shí)現(xiàn)，比如制定嚴(yán)格的管理制度，配備相應(yīng)的安全設(shè)備，通過(guò)交換機(jī)劃分VLILN，使用應(yīng)用代理。

數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過(guò)配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文，可以選擇以下幾種方式：鏈路層加密，網(wǎng)絡(luò)層加密，入侵檢測(cè)等，數(shù)據(jù)保護(hù)所包含的內(nèi)容比較廣，除了前面講過(guò)的訪問(wèn)控制和通信保密外，還包括以下幾個(gè)方面：制定明確的數(shù)據(jù)保護(hù)策略和管理制度保護(hù)鐿略，可以制定如下管理制度： 《系統(tǒng)信息安全保密等級(jí)劃分及保護(hù)規(guī)范》、《數(shù)據(jù)安全管理辦法》、《上網(wǎng)數(shù)據(jù)的審批規(guī)定》。

安全審計(jì)主要通過(guò)如下幾方面實(shí)現(xiàn)：制訂審計(jì)策略和管理制度，使用安全審計(jì)設(shè)備和軟件、網(wǎng)絡(luò)監(jiān)視系統(tǒng)等方法，防病毒措施主要包括技術(shù)和管理方面，技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng)，以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力，在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件，將病毒在本地清除而不至于擴(kuò)散到其他主機(jī)或服務(wù)器。

管理上應(yīng)制定一整套有關(guān)的規(guī)章制度，如：不許使用來(lái)歷不明的軟件或盜版軟件，軟盤(pán)使用前要首先進(jìn)行殺毒等，只有提高了工作人員的安全意識(shí)，并自覺(jué)遵守有關(guān)規(guī)定，才能從根本上防止病毒對(duì)網(wǎng)絡(luò)信息系統(tǒng)的危害，備份恢復(fù)，對(duì)重要設(shè)備系統(tǒng)進(jìn)行備份。數(shù)據(jù)備份則主要通過(guò)磁盤(pán)、磁帶、光盤(pán)等介質(zhì)來(lái)進(jìn)行。

網(wǎng)絡(luò)安全在企業(yè)中的建設(shè)是很重要的環(huán)節(jié)，企業(yè)在這方面是不能疏忽的，在以后的文章中，我們還會(huì)繼續(xù)向大家介紹：淺析如何加強(qiáng)中小型企業(yè)網(wǎng)絡(luò)安全建設(shè) 下篇

【編輯推薦】

1. 企業(yè)用戶防御網(wǎng)絡(luò)威脅十要素
2. 擺脫不請(qǐng)自來(lái)的黑客掃描與攻擊
3. 網(wǎng)絡(luò)安全已成為企業(yè)競(jìng)爭(zhēng)力的威脅
4. 阻止黑客進(jìn)出 個(gè)人網(wǎng)絡(luò)安全防衛(wèi)手冊(cè)