浅谈大型企业信息安全

张绍洁

浅谈大型企业信息安全

张绍洁

（天津市红桥区职工大学，天津市 300131）

信息的安全性在大型企业网络建设和改造提升中，得到的关注日益提高。文章主要介绍了作者本人通过在企业中实习，对信息的安全性方面的一点理解和认识，并对企业中信息管理人员如何结合工作中的需求来实现信息的安全性提出了一些建议。

信息；安全；防火墙；病毒

企业不断发展的同时其网络规模也在不断的扩大，大型企业由于其自身业务的需要，在不同的地区建有分公司或分支机构，本地庞大的Intranet和分布在全国各地的Intranet之间互相连接形成一个更加庞大的网络。这样一个网网相连的企业网在为企业提高效率、增加竞争力的同时也带来了更多的安全问题。不仅本地网络的安全需要保证，而且更要兼顾总部与分支机构、分支机构之间的机密信息传输安全，以及集团的设备管理等问题，这样的网络使用环境一般存在下列安全隐患和需求：

计算机病毒在企业内部网络传播；内部网络可能被外部黑客攻击；对外的服务器（如：www、ftp、邮件服务器等）没有安全防护，容易被黑客攻击；分支机构网络和总部网络连接安全和之间数据交换的安全问题；内部某些重要的服务器或网络被非法访问，造成信息泄密；大量的垃圾邮件占用网络和系统资源，影响正常的工作；内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患；远程、移动用户对公司内部网络的安全访问。针对大型企业的上述特点，必须利用一系列网络安全产品为企业量身定制一套安全高效的网络安全整体解决方案。

一、安装杀毒软件

对于单机来说，最简单最直接的办法就是在单机或局域网上安装杀毒软件，现在市面上出现的杀毒软件主要有瑞星、江民、诺顿、金山、卡巴斯基等几大公司的，选择的随意性比较强，此处不做赘述。

二、安装防火墙

为了更好、更有效地保护企业内部网络安全，最有效的办法就是办法是在它们进入网络前即阻断它们，即安装防火墙。防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包及链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换—NAT、代理型和监测型。技术人员根据不同的需求在不同的地方选择安装不同类型的防火墙。

究竟应该在哪些地方部署防火墙呢？首先，应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网（VPN）。

安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。防火墙具有防病毒、防垃圾邮件、内容过滤等功能。应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远程的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

三、安装入侵检测设备

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，特别是来自于防火墙内部的恶意攻击，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测系统通常由两部分组成：传感器和控制台。传感器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件。控制台主要起到中央管理的作用，提供图形界面的控制台。根据采集的数据源，入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统都是安装在需要进行检测的主机上，一般都是安装在需要严格监控的主机上；基于网络的入侵检测系统部署复杂一些，通常采取在各个重要网段部署探测器，然后通过统一的控制管理台进行管理，对于交换式网络，要想探测器获取到网络数据，需要交换机端口镜像功能的支持。侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

市面上的入侵检测产品很多，判断一款入侵检测产品的好坏以及它是否适合自己应用通常需要考虑的要点有：特征库升级与维护的费用、最大可处理流量（包／秒PPS）、该产品是否容易被躲避、产品的可伸缩性、产品支持的入侵特征数、产品的响应方法、是否通过了国家权威机构的评测、是否有成功案例、系统的价格等。

四、安装漏洞扫描设备

漏洞扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。通过网络安全扫描，系统管理员能够发现所维护的Web服务器的各种TCP／IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。网络安全扫描技术与防火墙、安全监控系统互相配合就能够为网络提供很高的安全性。漏洞扫描方案有很多，要找到最适合企业网络配置和企业规模的漏洞扫描方案，需要考虑以下几个方面：

漏洞扫描涵盖的范围；主动扫描还是被动扫描；是否提供人机交互图形化用户界面设计（GUI）；升级机制；危险报告方式；漏洞扫描器是否提供漏洞修复功能；网络操作系统寿命以及周边设备；漏洞扫描器是否便于管理；认证机制；是选择单独的产品还是多解决方案产品；产品性能；网络承受能力；成本。

五、安装垃圾邮件过滤器

目前经常采用的垃圾邮件过滤技术一般包括白名单与黑名单技术、规则过滤以及基于关键词匹配的内容扫描等。现在市面上流行一些专门的硬件设备可以实现这一技术，产品很多可根据不同需求进行选择。

六、安装上网行为管理设备

目前“上网行为管理”设备逐渐被越来越多的企业认可。通过对内部用户（员工）上网行为的管控，上网行为管理产品能够有效过滤不良网站，灵活控制网络应用，全面规范内部上网行为，实现网络流量的总体规划及精准控制，降低企业办公网及业务网的接入风险，提升带宽使用价值。资深网络安全与互联网管理专家建议，选购上网行为管理产品，除关注“网页过滤”、“应用控制”、“带宽管理”、“内容审计”四大核心功能之外，还要关注以下四个要点：

第一，以需求为导向，兼顾可扩展性；第二，要关注品牌，关注厂商在行业内的持续发展能力；第三，要避免大而全，选择上网行为管理要有一定的侧重点；第四，要关注服务。

七、应用虚拟专用网（VPN）

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。许多大型企业采用这一技术帮助远程用户、公司分支机构、商业伙伴及供应商与本公司的内部网络建立可信的安全连接，并保证数据的安全传输同时减少用户花费在城域网和远程网络连接上的费用。另外，虚拟专用网还可简化网络的设计和管理，并用于移动用户的远程接入。

［1］刘远生.计算机网络安全［M］.北京：清华大学出版社出版，2006.

［2］胡道元.计算机网络［M］.北京：清华大学出版社出版，2005.

A Brief Discussion On Information Security in the Large－scale Enterprise

ZHANG Shao－jie

（Tianjin Hongqiao District Staff and Workers University，Tianjin300131 China）

Information security is paid increasing attention in a large enterprise＇s network construction and improvement.This essay describes the recognition of information security through author＇s own practice in the enterprise.It presents some suggestions on information management.

information；security；firewall；virus

TP393.08

A

1673－582X（2011）11－0087－03

2010－10－10

张绍洁（1979－），女，天津市人，天津市红桥区职工大学讲师，主要从事计算机软件类和网络类课程及电子商务类课程的教学和研究。