企業(yè)信息通信網(wǎng)絡(luò )的安全防護發(fā)布者：本站     時(shí)間：2020-05-02 16:05:49

1 信息通信網(wǎng)絡(luò )存在的問(wèn)題

1.1 信息通信網(wǎng)絡(luò )安全風(fēng)險

目前大型企業(yè)網(wǎng)絡(luò )安全風(fēng)險主要是病毒侵襲和黑客入侵。

1.1.1 病毒侵襲。只要有用戶(hù)使用計算機，就會(huì )出現病毒。計算機病毒一般隱藏在文件或者程序代碼內進(jìn)行自我復制，經(jīng)常通過(guò)網(wǎng)絡(luò )、U 盤(pán)、移動(dòng)硬盤(pán)等各種手段進(jìn)行傳播。目前病毒入侵方式主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統修改型、外殼附加型。

1.1.2 黑客入侵。一般來(lái)說(shuō)，黑客常見(jiàn)的入侵模式可以分為兩種。第一種是非破壞攻擊，只擾亂網(wǎng)絡(luò )系統運行，不竊取資料數據，通常采用分布式拒絕服務(wù)(DDOS)攻擊或者信息炸彈。DDOS 是在DOS 攻擊基礎上產(chǎn)生的一種攻擊類(lèi)型，它可以使計算機乃至整個(gè)網(wǎng)絡(luò )癱瘓。信息炸彈是使用一些特殊的工具軟件，短時(shí)間向服務(wù)器、路由器等發(fā)送大量的信息數據包，造成服務(wù)器超負荷，系統崩潰，網(wǎng)絡(luò )堵塞。另一種是破壞攻擊，采用后臺程序非法入侵或者使用網(wǎng)絡(luò )監聽(tīng)工具，黑客利用企業(yè)網(wǎng)絡(luò )后臺程序入侵企業(yè)內部網(wǎng)絡(luò )，造成數據資源的泄露或者損失?；蛘叩顷懼鳈C取得超級用戶(hù)權限，使用網(wǎng)絡(luò )監聽(tīng)截獲網(wǎng)絡(luò )上面的數據，達到一定的目的。這些黑客入侵行為都可能致使公司數據被竊而造成無(wú)法挽回的損失。

1.2 信息通信網(wǎng)絡(luò )中用戶(hù)行為和安全意識問(wèn)題

對于企業(yè)信息通信網(wǎng)絡(luò )環(huán)境來(lái)說(shuō)，容易出現問(wèn)題是用戶(hù)。很多企業(yè)用戶(hù)，包括高級管理人員以及其他具有訪(fǎng)問(wèn)特權的人，每天都在網(wǎng)絡(luò )中進(jìn)行各種行為，沒(méi)有安全意識中進(jìn)行一些違規操作，從而企業(yè)網(wǎng)絡(luò )安全出行問(wèn)題。對此，最佳的防范措施應該是開(kāi)展安全知識培訓，規范用戶(hù)行為，提高安全意識。

1.2.1 網(wǎng)絡(luò )用戶(hù)的行為管理需要規范。網(wǎng)絡(luò )行為的根本出發(fā)點(diǎn)，不僅僅是對設備進(jìn)行保護，也不是對數據進(jìn)行監控防范，而是規范企業(yè)員工在網(wǎng)絡(luò )中的各種行為，也就是對人的管理。規范企業(yè)員工的網(wǎng)絡(luò )行為需要通過(guò)技術(shù)設備和規章制度的結合來(lái)進(jìn)行。網(wǎng)絡(luò )中用戶(hù)的各種不規范行為主要包括：正常使用互聯(lián)網(wǎng)時(shí)訪(fǎng)問(wèn)到被人為惡意控制的網(wǎng)站或者網(wǎng)頁(yè)。這些被控制的網(wǎng)站被黑客植入后門(mén)，方便攻擊者竊取企業(yè)的各類(lèi)內部數據或者控制其連接互聯(lián)網(wǎng)的服務(wù)器。

1.2.2 網(wǎng)絡(luò )用戶(hù)的安全意識需要加強。各種安全設備的建立和安全技術(shù)的應用只是企業(yè)信息通信網(wǎng)絡(luò )安全防護的一部分，關(guān)鍵是加強企業(yè)網(wǎng)絡(luò )用戶(hù)的安全意識，貫徹落實(shí)企業(yè)的安全制度。企業(yè)只依靠技術(shù)不可能完全解決自身的安全防護，因為技術(shù)在不斷發(fā)展，設備在不斷更新，黑客技術(shù)也在發(fā)展和更新。所以企業(yè)管理人員必須有安全意識，重視自己企業(yè)的安全措施。加強對員工的安全培訓，使得全體人員提高安全意識，從根本杜絕安全隱患。

2 企業(yè)信息通信網(wǎng)絡(luò )的安全防護

信息通信網(wǎng)絡(luò )安全防護工作，主要包括幾個(gè)方面：安全組織、安全技術(shù)、安全運行體系。

2.1 安全組織體系的構架

信息通信網(wǎng)絡(luò )安全組織建設方面，需要建立決策、管理、協(xié)作三級組織架構，明確各層組織的職責分工和職能，對應合理的崗位，配備相應的人員，同時(shí)根據企業(yè)信息通信網(wǎng)絡(luò )實(shí)際情況，建立起垂直和水平的溝通、協(xié)調機制。

企業(yè)中有具體的人和組織來(lái)承擔安全工作，即成立專(zhuān)業(yè)的信息通信網(wǎng)絡(luò )安全部門(mén)，設置不同的崗位，明確對應的職責，并且賦予部門(mén)相應的權力和信任；安全部門(mén)組織專(zhuān)業(yè)人員制訂出安全策略來(lái)指導和規范安全工作的開(kāi)展，明確哪些可以做，哪些不能做，哪些如何做，做到何種程度等等。另外需要創(chuàng )造合理的外部環(huán)境來(lái)推動(dòng)安全部門(mén)的工作，建立起一套快速有效的溝通協(xié)調機制，確保安全工作的高效推動(dòng)。

2.2 安全技術(shù)的應用

有了安全組織制訂的安全目標和安全策略后，需要選擇合適的安全技術(shù)來(lái)滿(mǎn)足安全目標；這里主要分為信息通信網(wǎng)絡(luò )系統的整體防護和個(gè)人終端的防護。

2.2.1 信息通信網(wǎng)絡(luò )系統的安全防護。系統自身漏洞而導致的安全風(fēng)險，經(jīng)常是因為信息通信網(wǎng)絡(luò )應用本身的漏洞使得網(wǎng)站被病毒入侵或者被植入控制程序，導致企業(yè)丟失數據。因此需要建立以下防范措施：（1）部署網(wǎng)絡(luò )應用防火墻和網(wǎng)絡(luò )應用安全掃描器，重要的網(wǎng)絡(luò )應用通過(guò)各種安全認證或者許可才能進(jìn)行使用，同時(shí)保證驗證程序本身的安全性。（2）時(shí)刻對系統進(jìn)行更新，對應用程序和系統軟件進(jìn)行補丁安裝和升級。

對于客戶(hù)端漏洞有以下幾種防范措施：（1） 系統管理員要通過(guò)相應的認證軟件攔截限制用戶(hù)訪(fǎng)問(wèn)一些具有安全威脅的網(wǎng)頁(yè)；（2）系統管理員要通過(guò)相關(guān)方案防止用戶(hù)訪(fǎng)問(wèn)含有攻擊和惡意軟件的網(wǎng)站；（3） 系統管理員要禁止用戶(hù)從網(wǎng)上下載任何媒體播放文件；（4） 系統管理員要通過(guò)部署相關(guān)軟件禁止外網(wǎng)訪(fǎng)問(wèn)企業(yè)的郵件服務(wù)器；（5）禁止系統管理員在企業(yè)內部服務(wù)器上使用網(wǎng)頁(yè)瀏覽器、電子郵件客戶(hù)端、媒體播放器以及辦公軟件。

從技術(shù)層面上而言，安全問(wèn)題無(wú)處不在，單一的防火墻、防病毒軟件、區域防御系統已經(jīng)不能滿(mǎn)足企業(yè)網(wǎng)的需要，為了應對網(wǎng)絡(luò )中存在的多元、多層次的安全威脅，必須首先構建一個(gè)完備的安全體系，在體系架構下層層設防、步步為營(yíng)，才能夠將安全問(wèn)題各個(gè)擊破，實(shí)現全網(wǎng)安全。

安全體系架構：由以太網(wǎng)交換機、路由器、防火墻、流量控制與行為審計系統、接入認證與強制管理平臺等多種網(wǎng)絡(luò )設備做技術(shù)支撐。從可信終端準入、資產(chǎn)管理、訪(fǎng)問(wèn)控制、入侵防御、遠程訪(fǎng)問(wèn)、行為審計、全局安全管理等多方面，構成完善的防護體系，從而實(shí)現“可信、可控、可取證”的全網(wǎng)安全。其中以太網(wǎng)交換機、路由器、防火墻、流量控制與行為審計系統作為部署在網(wǎng)絡(luò )各個(gè)層面的組件，接入認證與強制管理平臺作為全網(wǎng)調度和策略分發(fā)的決策核心，通過(guò)安全聯(lián)動(dòng)，從內外兩個(gè)安全域，三個(gè)維度構建自適應的安全體系。

2.2.2 信息通信網(wǎng)絡(luò )中個(gè)人應用的安全防護。為了更好地加強企業(yè)信息通信網(wǎng)絡(luò )安全，必須規范用戶(hù)自己的安全行為，加強個(gè)人安全意識，建立自己的計算機安全系統，這就需要企業(yè)每個(gè)員工做到以下幾方面的安全措施：（1）修改計算機管理員賬戶(hù)，為系統管理員和備份操作員創(chuàng )建特殊賬戶(hù)。用戶(hù)要禁止所有具有管理員和備份特權的賬戶(hù)瀏覽 Web，嚴禁設置缺省的 Guest 賬戶(hù)；（2）限制遠程管理員訪(fǎng)問(wèn) NT 平臺；（3）在域控制器上，修改注冊表設置；（4）嚴格限制域中 Windows 工作站上的管理員特權，嚴禁使用缺省值；（5）對于注冊表嚴格限制，只能進(jìn)行本地注冊，不能遠程訪(fǎng)問(wèn)；（6）限制打印操作員權限的人數；（7） 合理配置 FTP，確保服務(wù)器必須驗證所有FTP 申請。

在確定了安全組織和安全技術(shù)后，必須通過(guò)規范的運作過(guò)程來(lái)實(shí)施安全工作，將安全組織和安全技術(shù)有機地結合起來(lái)，形成一個(gè)相互推動(dòng)、相互聯(lián)系地整體安全運行體系，最終實(shí)現企業(yè)信息通信網(wǎng)絡(luò )的安全防護。