當前位置：安全 → 技術專區 → 正文

企業內網安全問題分析與解決

責任編輯：hli |來源：企業網D1Net 2012-10-03 10:11:31 原創文章企業網D1Net

從主要本質上講，網絡安全是網絡信息安全，是指網絡硬件、軟件和系統保護的數據不因意外或惡意破壞的緣故而更改，系統可以連續可靠正常地運行。網絡服務不中斷是網絡安全的前提。

目前，很多企業投入大量信息安全保護，然而始終沒有安全感。因此，強調企業內部網絡信息安全和加強信息安全管理是當務之急。

一、企業內網安全常見隱患

1.病毒侵害較多。計算機病毒是威脅企業內部網絡頻率最高、影響最廣、導致信息損失最嚴重的問題，列在所有安全威脅中的首位。病毒通過網頁、電子郵件、可移動媒體、系統漏洞等方式傳播。在企業網絡中，如果一臺計算機感染了病毒，在很短的時間內就可感染內網所有的計算機網絡連接系統。病毒感染可導致網絡的堵塞、系統數據和文件系統的損壞。如果數據的累積是多年的，那么損失是災難性的。

2.被非授權用戶惡意訪問。很多企業使用開放『生網絡，使得很多人通過互聯網打開網絡連接，上網瀏覽游戲，在不經意間瀏覽到病毒網頁，并下載病毒軟件。同時，賬戶轉借、共享、自南復制和分發的f 息等，也將增加不當行為的病毒和木馬的傳播機會，讓企業暴露在巨大的網絡安全風險下，并嚴重影響企業管理秩序的完善。

3.企業內部操作系統存在漏洞。目前，許多企業的網絡操作系統存在各種類型的安全漏洞。有許多新的病毒，或是已知的病毒，仍然可以被利用來傳播病毒的變種。因此，如果企業內部缺乏一個完善的補丁管理系統，將反復導致很多內網的計算機，即使安裝最新的反病毒軟件，仍然可以感染病毒和木馬。

4.應用軟件存在漏洞。企業常見的內網應用軟件都很復雜，包括系統軟件、數據庫軟件，尤其是那些客戶端用戶的應用軟件是更加復雜的。然而，由于許多軟件的開發者在開發自己設計的軟件時，不注重安全政策的建立和完善，會造成嚴重的安全隱患。如程序員在編寫代碼時，不對客戶端輸人數據的合法性進行判斷，有可能被黑客利用進行SQL(結構化查詢語言)注入攻擊。

5.企業黑客入侵。企業黑客入侵常分為四類：入侵、拒絕服務、信息盜竊、欺騙黑客人侵。黑客利用非法行為訪問內部網絡，刪除、復制或銷毀數據。對于使用傳統安全措施的企業網絡，其網絡安全環境是脆弱的，嚴重的情形可能會被竊取企業機密。

二、企業內網安全原因分析

影響企業網絡安全的因素會造成一定的風險：一是用戶安全意識不高;二是預防措施單一; 是網絡安全管理員的技能短缺;四是管理制度不完善;五是制度的執行不到位。

1.相對簡單的防范措施。不同的網絡環境需要不同的安全防范措施。然而，由于傳統防治技術的制約，許多企業沒有采取防范措施來維護內網環境，在部署大量防火墻、IDS入侵檢測系統和防護裝備的同時，卻忽視了安全管理的內部制度。在實踐中，很多企業網絡環境應用默認的安全策略常常被忽視。

2.網絡安全管理制度不完善。企業內網是一個特殊的網絡，網絡的不斷擴大使其更加難以控制。雖然許多企業已建立了相應的內部網絡安全管理制度，但經常是不完整或不全面的，不能有效地規范和約束有些員工的上網行為。

3.企業網絡安全管理員技能不足。在思想方面，許多管理員認為只要網絡不癱瘓，其他都不會有問題;在技術方面，由于管理員的惰性，遇到問題的處理方式就只是重新安裝系統;在管理方面，管理員只依賴于單一的工具，就是網絡維護。

安全技術知識和概念的缺乏使得企業內部網絡的管理和監測計劃缺乏系統監管機制，也沒有主動行為，很難形成積極的反饋機制，這將導致企業網絡的安全風險不容易被發現。

4.網絡平臺結構安全不夠。安全應用與網絡安全相關的網絡拓撲、網絡路由和網絡環境條件，往往是建立在網絡系統之上。網絡系統或安全系統的成熟度直接影響到局域網絡系統的成功建設，只使用一個路由器連接到互聯網的邊界路由器，網絡結構比較簡單，具體的配置使用靜態路由，從而大大減少因網絡結構和網絡路由造成的安全隱患。

5.系統安全的選擇局限性。所謂安全系統，很明顯是整個局域網絡系統，網絡硬件平臺是可靠和值得信賴的。對于國內用戶來說，沒有絕對安全的操作系統時，可以選擇微軟的SERVER(服務器端軟件)系統或任何其他的商業操作系統，如UNIX(一種操作系統)。開發人員為了便于對操作系統的維護，在編寫操作系統的過程中留有自己的后門。因此，要盡可能使用可靠的操作系統和硬件平臺，并要加強安全認證，以確保用戶的合法性。

6.系統應用的安全性低。應用系統的安全與特定的應用程序涉及許多方面，應用程序的安全是動態的，不斷變化的。應用安全，也關系到信息安全，其中包括許多方面。如果局域網不是太大，最重要的信息是在內部，保證信息的保密性和完整陛是比較容易實現的。

三、企業內網安全建設的解決方案

1.建立多層次病毒防護體系。傳播計算機病毒和形式日趨多樣化，因此內網的防病毒工作已不再是單純一臺計算機病毒的檢測和清除，必須建立一個多層次、立體的病毒防護體系，但也應設立最好的管理制度，建立和維護病毒防護策略。

內部網絡病毒防護系統包括客戶端的防病毒安全系統，和服務器的防病毒安全系統。服務器又分為文件服務器、數據庫服務器，以及其他應用級服務器的全面防護，是確保整個內部網絡不被計算機病毒感染的有效方式。

2.建立網絡安全管理制度。在計算機網絡安全管理中，發展絕對安全和健全的安全管理體系是計算機網絡安全的重要保證，不但要注重技術手段的保障，更要注重管理人員的職業操守，盡一切可能控制和減少違法違規行為，最大限度地減少不安全因素。以網絡安全管理負責人任期與職責分離的原則為指導，嚴格執行操作規程，并制定相關方案。

3.建立備份和恢復機制。引人數據庫備份概念，如磁帶庫和備份系統、遠程數據、連續備份、智能恢復、實時監控和統計、數據定期自動存儲備份，完全擺脫了人為干預，以避免由于硬件故障、人為錯誤、病毒和其他各種因素造成的數據丟失。建立數據備份和恢復機制，雖然平時不能夠看到效果，但一旦數據遭受損害或遺失，將使企業的損失最小化。

網絡安全是一個全面的、復雜的工程，僅靠技術手段無法解決問題。只有通過技術和系統的組合方式，從技術層面上，防止并加強用戶的安全意識，加強執法的管理體制，才能形成完整、協調的網絡安全系統，充分保證企業網絡的安全與穩定。

關鍵字：