企業(yè)網(wǎng)絡(luò)安全防御體系的不安全因素和策略

企業(yè)網(wǎng)絡(luò)安全防御體系的不安全因素和策略

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的不安全因素1網(wǎng)絡(luò)內(nèi)部。在這種情況下，往往是由操作失誤造成的，這是比較常見的原因，可以通過嚴(yán)格的管理和個(gè)人的技術(shù)培訓(xùn)來解決。2硬件故障。計(jì)算機(jī)是一個(gè)系統(tǒng)的整體，設(shè)備內(nèi)部任何一種硬件發(fā)生故障都可能導(dǎo)致信息丟失，甚至造成整個(gè)系統(tǒng)的癱瘓。網(wǎng)絡(luò)線路的物理損傷、網(wǎng)絡(luò)的不規(guī)范擴(kuò)展和網(wǎng)絡(luò)連接的混亂是目前造成硬件故障的三個(gè)最主要的原因。3網(wǎng)絡(luò)內(nèi)部的侵害防火墻對(duì)于網(wǎng)絡(luò)的安全防護(hù)措施來說，防火墻是必不可少的手段，也是最有效的方法之一，其作用就是對(duì)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行防護(hù)和隱藏，防止來自網(wǎng)絡(luò)外部的攻擊和侵害，但是任何措施都是有漏洞的。防火墻的最大問題就是能較好的防止來自外部網(wǎng)絡(luò)的威脅，但是對(duì)于來自網(wǎng)絡(luò)內(nèi)部的侵害，防火墻就無能為力了。4安全工具的使用受到人為因素的影響。任何工具都是人發(fā)明和使用的，只要是與人有關(guān)的，就必然不是完美的。對(duì)數(shù)據(jù)安全來說，有時(shí)最嚴(yán)重的威脅通常來自于企業(yè)內(nèi)部，員工的失誤可能威脅信息的安全或?qū)е虏《镜膫鞑ァ＿€有極少數(shù)員工基于不同的目的設(shè)法竊取超級(jí)用戶口令，在未經(jīng)授權(quán)的情況下訪問機(jī)密信息。除了專業(yè)技術(shù)人員之外，大部分企業(yè)員工對(duì)信息安全的認(rèn)識(shí)不足，如果沒有這種意識(shí)和認(rèn)識(shí)，有再多的技術(shù)安全措施和屏障，也難以達(dá)到預(yù)期的目的。一個(gè)安全工具保護(hù)效果能否實(shí)現(xiàn)，不光是看技術(shù)設(shè)計(jì)的是否出色，更重要的取決于管理人員的素質(zhì)和責(zé)任心。5只要有程序，Bug就可能存在，甚至安全的漏洞也可能存在于安全工具本身?，F(xiàn)在人們常用的個(gè)人計(jì)算機(jī)操作系統(tǒng)其實(shí)并不安全，存在很多的缺陷和漏洞，一些病毒和木馬就會(huì)利用這些漏洞對(duì)網(wǎng)絡(luò)安全進(jìn)行大肆攻擊。很多操作系統(tǒng)都配備了用以改進(jìn)系統(tǒng)管理和提高服務(wù)質(zhì)量的工具軟件，但這些工具同時(shí)也會(huì)被黑客利用去收集非法信息及加強(qiáng)攻擊力度：如NBTSTAT命令是用來給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點(diǎn)的信息的，但是破壞者也用這一命令收集對(duì)系統(tǒng)有威脅性的信息；區(qū)域控制軟件的身份信息、NetBIOS的名字、IIS名甚至是用戶名，這些信息足以被黑客用來破譯口令；網(wǎng)包嗅探器(PacketSniffer)，系統(tǒng)管理員用此工具來監(jiān)控及分發(fā)網(wǎng)包，以便找出網(wǎng)絡(luò)的潛在問題，同時(shí)也為黑客攻擊網(wǎng)絡(luò)提供了機(jī)會(huì)。6黑客的攻擊手段雖然種類繁多，但主要利用以下兩類漏洞：①TCP/IP協(xié)議自設(shè)設(shè)計(jì)的問題，這是因?yàn)門CP/IP協(xié)議一開始設(shè)計(jì)的時(shí)候，是基于互相信任的網(wǎng)絡(luò)的，故而缺乏對(duì)付網(wǎng)絡(luò)惡意攻擊的手段；②一些操作系統(tǒng)的設(shè)計(jì)漏洞，這一點(diǎn)我們?cè)谏衔闹幸呀?jīng)提到。現(xiàn)今的社會(huì)，互聯(lián)網(wǎng)技術(shù)和計(jì)算機(jī)技術(shù)發(fā)展的越來越快，而網(wǎng)絡(luò)黑客的攻擊水平也是水漲船高，各種攻擊手段和病毒式層出不窮，并且技術(shù)越來越高，越來越難以防范，幾乎每天都有新的系統(tǒng)安全問題出現(xiàn)。與之相比，網(wǎng)絡(luò)安全防護(hù)工具的發(fā)展明顯滯后，究其原因，是因?yàn)楹诳褪且粋€(gè)群體，遍布全世界各地，而負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)工具開發(fā)的只是一些固定的網(wǎng)絡(luò)技術(shù)公司和開發(fā)人員，以有限的安全技術(shù)人員對(duì)付無限的龐大黑客群體，再加上這種對(duì)策都是被動(dòng)的，總是等到新的木馬或病毒出現(xiàn)后才會(huì)有相應(yīng)的防護(hù)工具產(chǎn)生，其結(jié)果可想而知。構(gòu)建企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)防御體系的策略根據(jù)當(dāng)前企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展現(xiàn)狀、發(fā)展趨勢(shì)、操作系統(tǒng)對(duì)網(wǎng)絡(luò)傳輸與服務(wù)的要求以及安全保密等相關(guān)規(guī)定，構(gòu)建一個(gè)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系應(yīng)注意以下幾點(diǎn)：①企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)必須做到實(shí)現(xiàn)外部服務(wù)網(wǎng)與內(nèi)部服務(wù)網(wǎng)的分離；②對(duì)信息系統(tǒng)的安全等級(jí)要進(jìn)行劃分，以便在進(jìn)行信息管理時(shí)使用不同的安全域；③在網(wǎng)絡(luò)安全上必須充分開展對(duì)網(wǎng)絡(luò)訪問控制、防火墻設(shè)置、網(wǎng)絡(luò)動(dòng)態(tài)隔離和病毒網(wǎng)關(guān)及日志的管理和維護(hù)；④對(duì)網(wǎng)絡(luò)的流量要進(jìn)行充分控制和保護(hù)；⑤基于數(shù)字證書的用戶身份認(rèn)證、授權(quán)管理建立完善的訪問控制設(shè)施；⑥必須建立日志和審計(jì)系統(tǒng)。要建立企業(yè)計(jì)算機(jī)安全網(wǎng)絡(luò)防御體系，必須將重要行業(yè)的原有的平面結(jié)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)調(diào)整為層次保護(hù)結(jié)構(gòu)的網(wǎng)絡(luò)，形成外部網(wǎng)、辦公網(wǎng)和生產(chǎn)網(wǎng)的三層結(jié)構(gòu)。在外層部署與互聯(lián)