企业内部计算机网络安全问题与防范

乔军利

【摘要】企业内部网络安全涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施。为此,企业要不断建立和完善网络安全管理体系,加强对硬件和软件的及时维护,保证系统运行安全。

【关键词】企业;网络安全;防范措施

一、企业内部计算机网络(以下简称内网)的特点

企业内部计算机网络相对于广域网而言,一般具有以下特点:

1、与外界网络隔离

大部分企业内网是为企业内部生产、管理服务,相对独立,自成体系,一般与外界计算机网络没有进行物理上的连接,与外界不进行沟通。有的企业出于与外界联系的需要,内网中个别客户端计算机与英特网等进行连接,内网大部分计算机仍与外界隔离。

2、建立了S/C结构的应用

内网一般建立了S/C结构的应用,能够提供WEB服务、邮件服务、FTP服务、实时通讯、网上会议等功能,有的安装行业或本企业专用软件,都建有数据库,能够为企业提供公文传递、处理,文件传输、电子邮局、网上会议、专用软件应用等功能。

3、企业的日程运转对内网的依赖程度越来越高

随着ERP、OA和CAD等生产和办公系统的普及,企业的日程运转对内部信息网络的依赖程度越来越高,生产和办公系统的电子化,使得内网络成为单位信息和指令传递的主要载体,内网已经成了各个企业、单位的生命线。

4、对网络的安全要求越来越高

内网由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对内网各个具体部分尤其是服务器、数据库的稳定性、可靠性和可控性提出高度的要求。

二、一般内网安全存在的问题

计算机网络安全按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全。根据内网的特点,从上面几个方面进行分析,内网安全存在管理使用、技术两个大的层面的问题。

1、内网管理、使用方面

(1)网络安全意识不强。在部分企业,由于内网建成时间还比较短,部分管理人员、使用人员因对计算机知识掌握不多,网络安全意识不强,对信息资产保护的经验相对薄弱。在正常的情况下,往往会忽视对网络安全的保护。

(2)管理制度不完善。在部分企业,由于对内网安全重视不够,管理制度不完善。有的虽建立了内网管理制度,但涵盖不全面。有的企业对内网管理制度执行不到位,甚至还没有建立相应的制度。

(3)内部人员使用不规范。在内网中,由于使用人员使用不当而造成的问题占绝大多数。如有些使用人员不等计算机完全关闭而关闭UPS电源,有的使用人员在多机上使用U盘、活动硬盘拷贝文件而不注意杀毒,导致病毒入侵。有些用户在计算机设备上随意安装软件。还有的将自己的帐号随意转借他人或与别人共享。

2、技术方面存在的问题

(1)操作系统不能及时升级。一个操作系统总是存在着一定的缺陷和漏洞,正是由于有了这些缺陷和漏洞,木马、病毒才有了可乘之机。内网自成体系,操作系统经常不能得到及时升级,为内网安全埋下隐患。

(2)软件存在安全漏洞不能得到及时修补。同样的道理,应用的软件也存在着一定的缺陷和漏洞。有的编程人员对于编程中安全性重视不够,造成缺陷和漏洞的存在,甚至有的软件“后门”是编程人员为了自便而设置的。

(3)投入不足,信息安全产品部署不到位。有的企业使用单机版防火墙和防病毒软件来代替网络版产品,有的一套防病毒软件多机安装,甚至有的企业完全没有使用任何信息安全产品。

(4)内网维护技术力量相对薄弱。一般情况下,企业对于内网的建设都是一次性投资,行业或本企业专用软件也是一次性开发的。企业一般都注重日常的生产、经营,对于内网运行、维护相对关注较少。内网没有或很少有专业的维护人员。内网维护的投入费用、维护人员的管理、培训相对较少,维护技术力量相对薄弱。

三、防范措施

1、提高网络安全意识

加强对内网管理、使用人员安全意识的教育,使其认识到内网安全的重要性。同时进行必要的计算机应用的培训工作,使其真正了解所用设备的性能,掌握信息安全的知识和防范措施,如开机加密、屏幕保护加密、目录加密、文件加密、网络传输加密等技术。

2、完善有关规章制度,加强对网络使用的管理

加强网络的安全管理,完善有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。对计算机应用的各个环节,制定出符合实际、操作性强的规章制度。

3、从设置上加强系统的安全性

(1)用户安全设置。禁用Guest账号,删除不必要的用户,如:去掉测试用户、共享用户等等。把系统Administrator账号改名,同时要把共享文件的权限设成授权用户。在登录上不让系统显示上次登录的用户名,使用用户策略等。

(2)密码安全设置。一是使用安全密码。密码设置不要使用公司名、与用户名相同或简单的数字、生日等,密码尽量设成字母、数字、符号、汉字等混合排列,要有一定的长度,还要注意经常更改密码。二是设置屏幕保护密码。三是开启应用密码策略。四是考虑使用智能卡来代替密码。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。

4、加大对内网技术层面的维护

(1)加强对专业人才的引进和培训。一是引进计算机专业技术人才。二是对内网维护专业技术人员定期进行专业技术知识培训,以跟上计算机技术发展的步伐。

(2)加强对计算机物理硬件定期巡视维护。内网设备投入使用后,需要对内网中的各种设备使用环境、运行情况进行日常的巡视、检查,做好保养、除尘,维修更换损坏或老化配件、线路,才能保证设备的正常运行。

(3)及时对操作系统进行更新。对操作系统及时更新和打补丁是保证操作系统稳定运行的必要条件。由于内网与互联网没有直通,不能自动更新和升级,需要维护人员进行手动升级。对于内网中服务器、终端较多的情况,推荐使用补丁管理软件以减轻维护人员的工作量。

(4)对于服务系统、应用系统、数据库及时打补丁。第一,提供网络服务的系统如IIS、数据库、应用系统最好不要安装到系统盘上,安装在专用磁盘空间内。第二,关闭不需要的端口,如3389端口等。第三,禁

用不必要的服务,如远程协助、局域网管理共享文件、telnet服务。第四,删除默认共享。第五,及时更新升级和打补丁。第六,通过对IIS、数据库正确设置,提高安全性。如修改IIS、数据库的默认安装路径,在IIS管理器中删除必须之外的其他没有用到的映射,数据库中删除不需要的存储过程,为IIS中的文件分类设置权限。建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,而且每天均要审查日志。

(5)完善编程,堵塞漏洞。涉及用户名与口令的程序最好封装在服务器端,尽量少在客户端进行验证,涉及到与数据库连接的用户名与口令应给予用户最小的权限,尽量将程序写得严密和安全等。

(6)建立重要文件备份。如果计算机的硬盘损坏,将会导致数据丢失,因此必须定期建立数据备份。一旦硬盘发生问题时,可以确保尽量少的数据丢失或根本不丢失,使整个系统能尽早恢复正常使用。

(7)使用防火墙、防病毒软件、网络监测软件等定期对网络进行监测和检查。一是采用防火墙技术,通过在服务器、各终端边界上建立起来的通信监控系统来实时检查、隔离,以阻挡木马病毒的传播和侵入,从而实施安全访问控制,提高内网的安全性。二是安装网络版防病毒软件,加强病毒检测,及时发现病毒并予以清杀,可有效阻止其在网络上蔓延和破坏。三是安装网络监控软件,能够及时发现内网中存在的异常情况,并在内网发生安全事件后,提供有效的证据,实现事后追查问题根源的目标。

总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此,企业要不断建立和完善网络安全管理体系,加强对硬件和软件的及时维护,保证系统运行安全。