企业网络安全风险分析及对策

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

企业网络安全风险分析及对策

【摘要】企业网络化已经成为目前企业办公的主要模式,但企业网络化的同时注重得不应仅是网络的正常运行,还应注重企业办公网络的安全性,本文将从网络结构安全、网络操作系统安全、数据安全等方面进行分析并提出相应保障企业网络安全的对策。

【关键词】企业网络安全;风险分析;对策

一、网络结构安全风险分析及对策

1、外部网络安全分析及对策

企业网络通常与外部网络连接,方便企业员工与外界互连。但由于网络涵盖面广,外网中存在太多的不安全因素,如果系统内部局域网与系统外部网络之间没有采取安全防护措施,内部网络很容易遭到来自外部网络一些入侵者的攻击,这些攻击或影响企业网络系统的正常运行或使资料泄漏,所以可以采取以下的网络安全措施:

(1)加强网络结构设置:为了加固网络结构可以将网络结构设置为如图1所示的结构:

第一道安全防线:外部防火墙抵挡外部网络的攻击。第二道安全防线:DMZ 区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点,把整个网络的安全问题集中在堡垒主机上解决,从而省时省力,不用考虑其它主机的安全问题,能进一步抵挡外部网络的攻击。第三道安全防线:内部防火墙。负责管理DMZ区域主机对内部网络的访问,并管理所有内部网络对DMZ区域的访问。通过以上网络结构的设置,非法用户必须经过三个独立的区域才能到达内网,加大了入侵者攻击的难度,加固了内部网络的安全性,但网络运维的成本相对较大。

(2)加强员工的网络安全意识:内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼,而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件,所以加强员工的安全教育,对于保障网络安全非常重要。

2、内部网络安全分析及对策

企业网络内部攻击相对于外网入侵要略显容易,大约有70%~80%的网络攻击来自于网络内部,所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括:误用和滥用关键敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。针对以上内部网络安全问题,可以采用以下安全措施:

(1)软件管理:启用内网监听软件、加强内网的监控;固定企业内客户端

的IP地址、加强用户的管理;查看服务器日志文件,保护内网安全。(2)硬件管理:网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全,将其安置在相对安全的地方,不要安置到所有员工都容易接触的地方;其次管理人员应正确理解硬件设备的应用,避免由于疏忽或不正确理解而使这些设备安全性不佳。

二、网络操作系统安全风险分析与对策

目前常用网络操作系统有windows、UNIX、linux操作系统,这些操作系统开发在过程中要考虑到方便用户使用,但在方便使用的前提下也暴露出一些问题:(1)操作系统默认配置存在安全隐患:如Windows操作系统默认设置可以从光盘或U盘启动,这种设置可以避开登录密码直接进入操作系统,另外操作系统默认安装了一些不常用的服务和端口,为非法用户的入侵提供了便利。(2)操作系统支持在网络上共享数据、加载或安装程序,这些功能方便了非法用户注入和运行木马程序,为获取用户的信息提供了方便之门。(3)操作系统自身结构问题,如:windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息;ftp服务传输过程为明码传输,使用抓包工具即可获取FTP服务器的登录账号和密码,telnet远程登录需要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题,所以为了加固网路操作安全可以采用以下措施:

1、加强物理安全管理禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令,禁止使用U盘或光驱引导系统。

2、加强用户名和口令的管理windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限,所以是入侵者想要获取的信息。用户名保护:Windows非管理员账户在输入密码错误后可设置成锁定该用户,但是Administrator不能删除和禁用,所以攻击者可以反复尝试登陆,试图获取密码。为了增加攻击者获取管理员权限的难度,可以为Administrator重命名,这样攻击者不但要猜出密码,还要先猜出管理员修改后的用户名。Root用户不能更名,为了保护该用户,在没有必要的情况下,不要用root用户登录本机及远程登录服务器。密码保护:密码设置应按照密码复杂度要求设置并定期更换密码,同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。

3、加强用户访问权限的管理有些管理员为了方便用户访问文件系统,为用户开放了所有权限,如windows操作系统中为everyone工作组授予了“完全控制”权限,UNIX/Linux操作系统为所有用户设置读写执行权限,这样的设置方便非法用户上传木马,所以为了文件系统的安全,必须重新设置文件系统的权限,在保证正常运行的前提下,为用户设置最小的访问权限。

4、加强服务和端口的管理当用户开启操作系统后,操作系统自带的某些服务会自动运行,而非法用户会针对这些服务进行远程攻击,而一些不常使用的端口也容易被非法用户利用,作为再次入侵的后门,所以应该将不常使用的服务和

端口关闭。

三、数据安全风险分析及对策

企业网络的数据安全不可避免的受到外界的威胁,而数据的任何失误,都可能对企业带来巨大的损失。目前数据泄漏的主要途径是:办公计算机或硬盘的外带;利用移动存储设备将数据带出;通过网络传输文件;通过外设拷贝数据;服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施:

1、磁盘加密针对硬盘丢失或被盗造成的泄密风险,可以通过对磁盘驱动层的加密加固处理,保证硬盘在被非法外带或丢失后呈“锁死”状态,硬盘内容无法被他人所读取。

2、移动存储设备使用管理对于移动存储设备设置加密写入,即拷贝到该类设备的文档都会以密文形式存在,密文只有拷贝回本地计算机才能解除加密。

3、文档传输控制对于文档传输可以采取文件外发对象控制(指定可以外发文件的对象列表)、文件外发加密(外发的文档处于加密状态)、文件外发审批(外发的文件需要经领导审批方可发送)等形式进行控制。

4、外设与外设端口管理针对具备数据传输的数据端口和外设,如红外、蓝牙、无线网卡、刻录光驱等,只要与办公无实质性的联系应设置为禁用。

5、文件服务器安全管理公司内部之间最为普及的是利用文件服务器进行文件传递。文件服务器上的数据经过长期累积存储,往往会成为“窃密”的重灾区。为了防止服务器的外泄,可以在防火墙中过滤和排查来访者身份的真实性与有效性,只有合法的客户端且得到管理员授权的用户会被放行,非法用户将被禁止。

相关文档
最新文档