要安全，从自身入手

要安全，从自身入手

企业网络的建设不仅便利了组织内部的信息资源共享，还可以通过以企业网络为传输平台的办公自动化系统、信息管理系统以及其他的ERP应用系统的建设，极大地提高企业的生产、经营和管理效率。但是企业在加强信息化建设、利用开放的网络实现经营、管理电子化的同时，信息网络本身的安全也变得日益重要。

潜在风险分析

◆ 片面理解网络安全概念。在某次安全产品发布会上，一位企业的老总曾这样说道：“我们公司买了防火墙，买了几十套单机版杀毒软件，都安装到客户机和工作站上，定期对每台机器进行病毒检测，同时定期在网上对杀毒软件进行升级。这样就构筑起了一道坚固的信息安全防护体系。”这段话或许就是大多数企业领导的心声，也代表着目前广大企业信息网络安全的现状。但这样的防护体系真的坚固吗？作为一个整体网络安全解决方案，管理、防护、监测、审计、服务这五个方面一个也不能少。防火墙作为防护设备，可以对所有的访问进行严格控制（允许、禁止、报警），但不可能完全防止新的攻击、来自内部网络的攻击、夹带攻击、网络蠕虫等。所以，要确保网络更加安全还必须采用其他网络设备，对所有进出内部网络的访问行为进行检查并做相应反应（记录、报警、阻断）。　　◆ 各自为营的网络安全产品。用户的安全需求催生了网络安全行业的发展，反过来，安全产品的功能和形态也影响着用户的使用习惯。由于安全产品一开始走的是单项功能的路子，很多用户在潜意识里已经形成思维定势，认为防火墙负责静态防御，IDS负责动态监测，VPN负责认证和传输……从而致使网络安全设备之间各自为营，相互孤立。目前，企业网络中的每个接点都可能存在着安全隐患，相对独立的网络安全设备之间缺乏统一的安全策略管理，无疑会给企业网络安全造成无法弥补的损失和灾害。　　◆ 企业远程访问的开放。许多企业因工作需要都设置了自己的拨号服务器(VPN)，为移动用户和远程用户提供接入服务。事实上，绝大多数的入侵也是通过拨号网络实现的，这部分自然也就成为企业网络安全中非常薄弱的一环。　　◆ 移动设备的普及。现今，移动设备（笔记本电脑、闪存、移动硬盘、MP3等）已经非常普及，经常出外工作的员工亦会将移动设备与企业系统做信息同步处理，极有可能将电脑蠕虫和病毒从移动设备带至企业网络，从而威胁网络安全。退一步讲，企业即使可以通过现有的安全产品成功抵御来自互联网的攻击，但只要有一个员工的系统在外面感染了病毒并带回公司，再将其接入内部网络，整个企业网络便可能受到感染。“冲击波”和“震荡波”就是良好的例子。　　◆ 员工网络安全知识匮乏。“2004年全国网络安全状况调查报告”中指出，在被调查的全国16个城市2800多个企业中，认为引发网络安全事件的原因中最主要的是“利用未打补丁或未受保护的软件漏洞”占50.3％，对员工不充分的安全操作和流程的培训及教育占36.3％；紧随其后的是缺乏全面的网络安全意识教育占28.7％。未打补丁、不充分的安全操作等都体现为员工缺乏网络安全知识，可见员工网络安全知识匮乏这一风险在企业网络安全中占据怎样的位置。

规避风险建议

针对如此之多的企业网络安全风险，作为企业信息安全主管的我们应该如何去应对，如何去解决呢？希望下面的这些策略能帮助我们规避这些风险：　　◆ 成立专门的企业信息安全部门。成立专门的企业信息安全部门,并设立首席安全官（CSO）负责该职能部门。他们的职责不仅仅是规划和制定网络安全解决方案，重要的是从风险管理开始，知道目前的企业网络存在着什么样的风险，这些风险会给企业网络造成多大的危害，针对这些风险应该采取什么样的方法和手段，制定什么样的政策，如何对员工进行全面的网络安全培训。一旦企业网络发生问题，也应该告诉大家如何应急、响应和处理。◆ 整合网络安全产品。单一的安全产品和技术已越来越无法满足行业和企业用户保障网络安全的需要：一方面，网络安全需要更加丰富有效的各种工具以及随之跟进的各种技术技能；另一方面，用户在提高对网络安全认识的同时，深感到安全技术的复杂与精深。用户可以选择整合网络安全产品，或者能够整合各类安全产品的安全管理平台，加强集中管理，从而打破不同网络安全产品间“孤芳自赏”、面对破坏却又“束手无措”的壁垒。◆ 加强网络认证与数据加密技术。远程访问是黑客攻击一个系统的常用手段。防止外来入侵最好的功能是认证系统。Windows客户机不仅可以交换加密用户ID和口令数据，而且还使用Windows专用的挑战/响应协议，可以确保不会多次出现相同的认证数据，还可以有效阻止内部黑客捕捉网络信息包。同时，如果条件允许，应该使用回叫安全机制，并尽量采用数据加密技术，保证数据安全。同时，还应该检查最后访问特权账户的时间，并和系统管理员保存的日志文件进行比较，检查有关账号的命令使用情况记录。也要注意检查对口令和用户授权文件的最新修改，查找有无异常的增加或删除以及有无组或用户ID号的改变。◆ 加强高新安全技术的应用。目前，生物识别技术、虚拟专用网络、数字签名和证书的使用率普遍较低，甚至被访者中有很多人不清楚这些技术，更不用说这些技术的应用了。事实上，这些新兴技术的出现对网络安全起到了举足轻重的作用。例如生物识别技术,它启发于人的身体特征具有不可复制的特点,利用人的指纹、面孔、声音、视网膜等具有惟一性和稳定性的特征作为用户身份认证的物理条件。它与密码机制有机地结合在一起，可以为企业提供更加安全、便捷的用户身份认证技术。

动静结合，加固安全

研究企业信息网络的安全机制，并以之为依据，通过信息网络安全技术实施，提高企业信息网络的安全水平有着极大的重要性。　　企业信息网络应从网络安全静态防御机制和网络安全动态监控机制二个环节建设相应的安全技术框架。

网络安全静态防御机制　　◆ 安全隔离机制。为了使网络系统达到一定的安全水平，必须对网络中的各部分都采取均衡的保护措施。但对于大型企业的信息网络来说，对整个网络都采用相同的安全措施是不现实的。为了解决这个问题，可以采用网络安全的层次化原则，根据网络不同部分的重要性划分为不同的安全区域，对不同的安全区域采用不同强度的安全措施，并在安全区域的边界上布置防火墙进行隔离。根据企业信息网络的一般情况，可以把企业信息网络划分为服务器系统、个人用机和外部网络这三个安全域，不同安全域之间的隔离可以采用一台多端口的防火墙系统来实现。由于各安全域的功能和安全级别不同，所以对不同的安全域应给予不同的访问控制策略。　　◆ 系统安全加固机制。划分安全域并对重要的安全区域实施边界保护后，还必须采用相应的安全技术来保证这些区域的网络内部环境安全。网络内部环境保护的一个重要目标就是减少内部环境中存在的安全漏洞。为了减少网络内部环境存在的安全漏洞，对网络中的主机系统和网络设备进行安全加固是一个经济有效的方法。通过对系统的安全升级、补丁程序安装、无关服务的关闭、口令策略的设置、文件权限的设定等方法，可以在不必借助其他安全产品的条件下很大地提高系统的安全性。　　◆ 防病毒机制。为了防止病毒在网络内部环境的传播，要尽量修补网络中存在的安全漏洞，并采用防病毒系统。病毒的入口点非常多，任何一点没有部署防病毒系统，对整个网络都是一个安全的威胁。所以，为了防止各种计算机病毒进入企业信息网络并对企业信息网络的用户造成危害，应该采用网关防病毒和桌面防病毒两级防范机制。　　◆ 数据传输安全机制。由于IP网络本身的特点，所有的网络流量在默认的情况下都以明文方式进行传输，可能在网络传输路径中的任一点被网络攻击者截获而导致失密。因此，敏感信息在网络上传输前，对其采用安全机制进行保护是十分重要的，可以通过数据加密技术来实现。　　◆ 移动办公用户安全保护机制。移动办公用户的安全保护机制主要实现移动用户接入到企业信息网的身份认证和数据传输的安全性。目前采用的方法多是远程接入VPN。

网络安全动态监控机制　　◆ 入侵检测机制。防火墙只能提供静态的安全保护，而不能主动、动态地发现非法入侵。为了达到这个目的，就需要使用入侵检测机制。有了入侵检测机制，我们就可以及时发现在企业信息网络中出现的各种网络安全问题，及时对安全事件进行处理，控制网络攻击影响的范围，减小安全事件造成的损失。入侵检测系统分为主机入侵检测系统（HIDS）和网络入侵检测系统（NIDS）两类。考虑到HIDS将对应用系统产生一定的负面影响，并且成本相对较高，部署工作量较大，因此，建议选用NIDS。　　◆ 网络弱点评估机制。由于安全漏洞层出不穷，所以对系统进行安全加固只能确保当时是安全的，过了一段时间可能就不再安全了。为了确保网络安全性，应该对网络的安全性进行定期测试，以便针对新的漏洞进行系统加固。为了保证企业信息网络的正常运行，建议选取基于远程扫描方式工作的弱点扫描产品。为了达到最好的扫描检测结果，避免由于防火墙等设备的干扰，建议在服务器安全域和个人用机安全域分别部署弱点扫描产品。　　需要注意的是，企业内的网络安全应该从整体的安全策略考虑，在安全这个闭环上，任何一个点的疏忽都可能带来整体安全问题，同时在安全策略的定制与具体执行上应该尽量重合，从而实现从单点的网络安全防御到全局的安全渗透网络的转变，提高企业网络的安全应变能力。