企业网络安全风险分析及对策

【摘要】企业网络化已经成为目前企业办公的主要模式，但企业网络化的同时注重得不应仅是网络的正常运行，还应注重企业办公网络的安全性，本文将从网络结构安全、网络操作系统安全、数据安全等方面进行分析并提出相应保障企业网络安全的对策。

【关键词】企业网络安全；风险分析；对策

一、网络结构安全风险分析及对策

1、外部网络安全分析及对策

企业网络通常与外部网络连接，方便企业员工与外界互连。但由于网络涵盖面广，外网中存在太多的不安全因素，如果系统内部局域网与系统外部网络之间没有采取安全防护措施，内部网络很容易遭到来自外部网络一些入侵者的攻击，这些攻击或影响企业网络系统的正常运行或使资料泄漏，所以可以采取以下的网络安全措施：

（1）加强网络结构设置：为了加固网络结构可以将网络结构设置为如图1所示的结构：

第一道安全防线：外部防火墙抵挡外部网络的攻击。第二道安全防线：DMZ区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点，把整个网络的安全问题集中在堡垒主机上解决，从而省时省力，不用考虑其它主机的安全问题，能进一步抵挡外部网络的攻击。第三道安全防线：内部防火墙。负责管理DMZ区域主机对内部网络的访问，并管理所有内部网络对DMZ区域的访问。通过以上网络结构的设置，非法用户必须经过三个独立的区域才能到达内网，加大了入侵者攻击的难度，加固了内部网络的安全性，但网络运维的成本相对较大。

（2）加强员工的网络安全意识：内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼，而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件，所以加强员工的安全教育，对于保障网络安全非常重要。

2、内部网络安全分析及对策

企业网络内部攻击相对于外网入侵要略显容易，大约有70%～80%的网络攻击来自于网络内部，所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括：误用和滥用关键敏感数据；内部人员故意泄漏内部网络的网络结构；内部不怀好意的员工通过各种方式盗取他人信息传播出去。针对以上内部网络安全问题，可以采用以下安全措施：

（1）软件管理：启用内网监听软件、加强内网的监控；固定企业内客户端的IP地址、加强用户的管理；查看服务器日志文件，保护内网安全。（2）硬件管理：网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全，将其安置在相对安全的地方，不要安置到所有员工都容易接触的地方；其次管理人员应正确理解硬件设备的应用，避免由于疏忽或不正确理解而使这些设备安全性不佳。

二、网络操作系统安全风险分析与对策

目前常用网络操作系统有windows、UNIX、linux操作系统，这些操作系统开发在过程中要考虑到方便用户使用，但在方便使用的前提下也暴露出一些问题：（1）操作系统默认配置存在安全隐患：如Windows操作系统默认设置可以从光盘或U盘启动，这种设置可以避开登录密码直接进入操作系统，另外操作系统默认安装了一些不常用的服务和端口，为非法用户的入侵提供了便利。（2）操作系统支持在网络上共享数据、加载或安装程序，这些功能方便了非法用户注入和运行木马程序，为获取用户的信息提供了方便之门。（3）操作系统自身结构问题，如：windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息；ftp服务传输过程为明码传输，使用抓包工具即可获取FTP服务器的登录账号和密码，telnet远程登录需要经过很多的环节，中间的通讯环节可能会出现被人监控等安全问题，所以为了加固网路操作安全可以采用以下措施：

1、加强物理安全管理 禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令，禁止使用U盘或光驱引导系统。

2、加强用户名和口令的管理 windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限，所以是入侵者想要获取的信息。用户名保护：Windows非管理员账户在输入密码错误后可设置成锁定该用户，但是Administrator不能删除和禁用，所以攻击者可以反复尝试登陆，试图获取密码。为了增加攻击者获取管理员权限的难度，可以为Administrator重命名，这样攻击者不但要猜出密码，还要先猜出管理员修改后的用户名。Root用户不能更名，为了保护该用户，在没有必要的情况下，不要用root用户登录本机及远程登录服务器。密码保护：密码设置应按照密码复杂度要求设置并定期更换密码，同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。

3、加强用户访问权限的管理 有些管理员为了方便用户访问文件系统，为用户开放了所有权限，如windows操作系统中为everyone工作组授予了“完全控制”权限，UNIX/Linux操作系统为所有用户设置读写执行权限，这样的设置方便非法用户上传木马，所以为了文件系统的安全，必须重新设置文件系统的权限，在保证正常运行的前提下，为用户设置最小的访问权限。

4、加强服务和端口的管理 当用户开启操作系统后，操作系统自带的某些服务会自动运行，而非法用户会针对这些服务进行远程攻击，而一些不常使用的端口也容易被非法用户利用，作为再次入侵的后门，所以应该将不常使用的服务和端口关闭。

三、数据安全风险分析及对策

企业网络的数据安全不可避免的受到外界的威胁，而数据的任何失误，都可能对企业带来巨大的损失。目前数据泄漏的主要途径是：办公计算机或硬盘的外带；利用移动存储设备将数据带出；通过网络传输文件；通过外设拷贝数据；服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施：

1、磁盘加密 针对硬盘丢失或被盗造成的泄密风险，可以通过对磁盘驱动层的加密加固处理，保证硬盘在被非法外带或丢失后呈“锁死”状态，硬盘内容无法被他人所读取。

2、移动存储设备使用管理 对于移动存储设备设置加密写入，即拷贝到该类设备的文档都会以密文形式存在，密文只有拷贝回本地计算机才能解除加密。

3、文档传输控制 对于文档传输可以采取文件外发对象控制（指定可以外发文件的对象列表）、文件外发加密（外发的文档处于加密状态）、文件外发审批（外发的文件需要经领导审批方可发送）等形式进行控制。

4、外设与外设端口管理 针对具备数据传输的数据端口和外设，如红外、蓝牙、无线网卡、刻录光驱等，只要与办公无实质性的联系应设置为禁用。

5、文件服务器安全管理 公司内部之间最为普及的是利用文件服务器进行文件传递。文件服务器上的数据经过长期累积存储，往往会成为“窃密”的重灾区。为了防止服务器的外泄，可以在防火墙中过滤和排查来访者身份的真实性与有效性，只有合法的客户端且得到管理员授权的用户会被放行，非法用户将被禁止。