企业网络安全探讨

摘要 随着网络技术的飞速发展，计算机广泛应用在各个领域，信息化建设也成为企业的发展的重要保障，但信息网络安全问题是企业实施信息化的主要障碍。因此，企业一定要提升企业信息网络安全的管控能力，将安全的风险降到最低。本文就企业网络安全进行论述。

关键词 企业；网络安全；防范

中图分类号 F27 文献标识码 A 文章编号 1673-9671-(2012)101-0237-01

1 加强企业安全技术可靠性建设

对于网络安全我们面前的挑战是，如何使新技术能够可靠地工作。随着顾客对技术的要求日益提高，这一点将会实现。但是，由于厂商同时加速进行产品开发，总体而言，情况没有多少变化：可靠性依然不佳。有时，进行组装的工程师缺乏经验，那些独立工作时运转良好的系统被组装到一起却常会引发一些意想不到的后果。总而言之，现在的安全系统未经标准化。诀窍是在竞争激烈的市场中找到一席之地，既要拥有激动人心的新科技，又要保持传统的乏味的可靠性。

2 加强防范意识

大多数安全风险最终牵扯到人，粗枝大叶的人或坏人，经常两者全占。到处都有人想打人系统盗取有价值的数据、搜寻机密，甚至只是制造混乱。口令、防火墙和其他障碍构成第一道防线，但由于使用者的疏忽，这些措施常常不能发挥很好的作用。同时，许多防火墙非常死板，毫无应变能力，雇员常常可以绕过它们。公司需要对人员控制进行更特殊的规定，这对管理人员来说通常较为复杂。

3 加强网络本身的安全措施

信息网络中网络操作系统和相应的服务器软件包都提供了很强的安全性保障，对于一个具有很高安全级别的网络来说，加强其本身的安全设置，是必不可少的一环。

下面以目前最常见的企业建立内部网、通过专线上网并提供信息服务为例，说明企业实现网络安全的防护措施。

假设企业是采用WindowsNT作为服务器和Web服务器平台，内部设置SQLServer7.0作为数据库服务器，并开发相应的应用系统；整个系统通过64K DDN专线与因特网连接，系统对外提供Web信息服务、电子邮件服务、FTP服务等。

内部网络的安全问题可以进一步分为网络操作系统的安全和应用系统的安全。通常采用WindowsNT网络操作系统的安全问题就变得非常重要。应用系统的安全则是用户的Web服务器、FTP眼务器和电子邮件服务器等的安全，以及用户开发的各种应用系统的安全性。下面主要对在WindowsNT系统中提高安全性，给出一些建议。

WindowsNT和IIS（Web服务）的安全模式是完全集成的。在系统中没有指定的Web客户，只有那些被WindowsNT确认在服务器上有账号的客户才能管理。如果使WindowsNT，必须考虑对将创建客户权利的每一个集合都创建一个组。另外，WindowsNT是针对域（do一main）模型的概念而操作的，这意味着对网络维持需求的权利共享和增进的控制。域是控制客户端系统如何进入服务器的基本体系结构，不论客户端系统是在用户的局域网还是因特网中。域提供了一种对系统和客户进行逻辑分组的方法来实现对系统的管理、进入服务器以及在各个系统和客户之间进行交互。

用户可以对信息进行保护，并且强制客户在服务器上进行验证，但是这需要为具有安全保护的资源建立客户账号。这是对客户进行管理的正确实现方法。应该为默认的客户提供广泛的、对大多数没有安全保护的资源的进入；但是对于那些受到保护的信息，应该不允许这种类型的进入。

4 加强“防火墙”技术控制

防火墙的技术已经经历了三个阶段，即包过滤技术、技术和状态监视技术。

1）包过滤技术。包过滤防火墙的安全性是基于对包的IP地址的校验。在因特网上，所有信息都是以包的形式传输的，信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。这是一种基于网络层的安全技术，对于应用层的黑客行为却无能为力。

2）技术。服务器接收客户请求后会检查验证其合法性，只有那些被认为“可信赖的”服务才允许通过防火墙。它将内部系统与外界隔离开来，从外面只能看到服务器而看不到任何内部资源。服务器只允许有的服务通过，而其他所有服务都完全被封锁住，这一点对系统安全是很重要的，另外服务还可以过滤协议，如可以过滤FTP连接，拒绝使用FTP Put（放置）命令，以保证用户不能将文件写到匿名服务器。

服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。网络地址转换服务（NAT—Network Address Translation）可以屏蔽内部网络的IP地址，外部看不到网络结构。

3）状态监视技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各个层次实行监测，并作安全决策的依据。监视模块支持多种网络协议和应用协议，可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC（远程过程调用）和UDP（用户数据报）端口信息，而包过滤和服务则都无法做到。

5 加强开放型网络安全保障系统建设

开放型网络安全保障系统是建立在数据加密、用户确认授权机制上的，通过对网络数据（包括用户数据和保证网络正常运行所需的数据）的可靠加密和用户确认，在不影响网络开放性的前提下实现对网络的安全保障。这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据，从而在不对网络环境作特殊要求的前提下根本上解决网络安全的要求。以数据加密和用户确认为基础的开放型安全保障技术可望成为网络安全问题的最终的一体化解决途径。

参考文献

[1]高渐翔.浅谈企业网络的安全审计体系[J].科技创新导报,2008,33.

[2]邵绪武.浅谈网络安全技术与策略[J].内蒙古科技与经济,2008,08.

[3]颜廷睿,侯晓霞.一种网络应用系统信息安全模型的研究和应用[J].计算机应用与软件,2008,05.