现代企业计算机网络信息安全研究

发布时间:2010-05-13 09:04 作者:李建国来源:万方数据点击:加载中...次

1 不安全因素
    (1)网络内部。即面向企业或单位内部员工的工作站，我们不能保证每一次操作都是正确与安全的，绝大部分情况下，我们仅知道如何去使用面前的计算机来完成属于自己的本职工作。而对于其他，如病毒、木马、间谍程序、下载或运行不可信程序、使用移动设备复制带有病毒的文件等看似平常的操作，往往通过内部网络中某一工作站的误操作而进人到网络并且迅速蔓延。
    (2)硬件故障。计算机硬件如磁盘、内存、网卡、电源、主板等，网络设备如路由器、交换机、传输设备等，以上任何一种硬件故障都可能造成信息丢失，甚至导致整个系统的瘫痪。
    (3)每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。
    (4)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。1-系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难察觉。比如，众所周知的．89源码问题，它是338服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出．89程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。
    (5)只要有程序，就可能存在Bug，甚至连安全工具本身也可能存在安全的漏洞。如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷，网络的迅速发展也给这类威胁提供了高速繁殖的媒介。
    (6)黑客的攻击手段虽然种类繁多，但主要利用以下两类漏洞：一类是TCP／IP协议本身的漏洞，因为TCP／IP协议的最初设计基于互相信任的网络，因此缺乏对安全性的考虑；另一类是操作系统的漏洞，很多操作系统在本身结构设计和代码设计时偏重考虑系统使用的方便性，导致了系统在远程访问、权限控制和口令管理及其它方面存在安全漏洞。黑客的攻击手段在不断地更新，几乎每天都有不同的系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为地参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

2 安全防范措施
    (1)严格管理，制定完善制度。根据具体情况制定出合理安全的网络结构，加强培训，提高网管和工作人员素质。在网络迅速发展的今天，由于操作人员的失误，特别是企业或单位内部拥有高速的网络环境下，给各种威胁的扩散与转移提供了可能。通过各类嵌入攻击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册表和系统设置，种植后门程序，收集用户信息和资料等。这一切都会给工作站造成无法估量的安全风险。一旦工作站遭到攻击与控制，就很可能威胁到整个内部网络和核心区域，所以说保护好工作站的安全是企业或单位网络安全的一个重要部分。
    (2)防火墙与IDS(入侵检测系统)。本着经济、高效的原则．有必要将关键主机和关键网段用防火墙隔离，形成级防护体系。以实现对系统的访问控制和安全的集中管理。在企业网出口处放置防火墙，防止Internet或者本企业外的用。攻击企业网；在安全性要求高的部门(财务部门)与企业网接口处放置防火墙，将该部门与企业网隔离，防止企业内对该部门的攻击。
    防火墙针对非法访问攻击进行限制，对进出防火墙的攻击进行检测并防御，而网络内部用户之间的攻击不经过防火墙，防火墙没有办法去防止。而IDS(入侵检测系统)作为旁路监听设备，放置在需要保护的网络之中，针对合法访问形成的攻击进行检测。当网络内部有攻击出现时，IDS提供实时的入侵检测，将信息交给防火墙，由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的网络，IDS是必不可少的。
    (3)对内部网络的保密。当内部主机与因特网上其它主机进行通信时，为了保证内部网络的安全，可以通过配置IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理，因此IPSec网关可以通过IPSec隧道的方式实现，也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。
    (4)通过安全隧道构建安全的VPN。该VPN通过IPv6的IPSec隧道实现。在路由器之间建立IPSec的安全隧道以构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上是IPSec隧道的终点和起点，为了满足转发性能的要求，该路由器需要专用的加密板卡。

(责任编辑：adminadmin2008)