企业网络信息系统安全问题及防御措施

摘 要 ：随着企业局域网络的普及，网络信息系统安全及防御措施日显重要，本文从网络信息系统不安全因素入手，探讨了企业网络信息系统的安全防御措施。

关键词：网络 信息系统 安全 防御 1、概述

企业网络信息系统安全是指为建立信息处理系统而采取的技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点、环境因素和人为疏忽，致使网络信息系统易受自然环境、计算机病毒、黑客或恶意软件的侵害。因此，企业网络信息系统在使用过程中，安全问题一直困扰着使用者，经常出现各种故障，严重时，导致整个企业的信息网络瘫痪，带来巨大经济损失。面对侵袭网络安全的种种威胁，必须考虑网络信息系统安全这个至关重要的问题。

企业网络信息系统安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件的安全；运行服务安全。信息安全则主要是指数据安全，包括数据加密、备份、程序等。

2、 企业信息系统面临的众多安全问题 2.1硬件系统故障。

即网络硬件和存储媒体的安全。主要是：

传输介质因环境因素而老化，引起线路阻值变化或失去传输作用，导致网络无法通信。

主机技术故障，即服务器、工作站等因各种原因部件受到损坏。 存储设备技术故障，是指存储或备份数据的设备发生技术故障。 网络管理／服务技术故障，指网络设备（路由器、交换机）的安全管理和服务出现问题。

网络接口技术故障，指各网络组件的接口出现技术故障。 2.2 软件系统漏洞

任何的系统软件和应用软件都不能是百分之百无缺陷和无漏洞，而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击，主要在以下几个方面： 2.2.1、网络操作系统的漏洞

网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

1）网络操作系统被恶意攻击。就是人们常见的黑客攻击及网络病毒．是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。

2）操作系统协议漏洞。例如，IMAP和POP3协议一定要在Unix根目录下运行，攻击者利用这一漏洞攻击IMAP破坏系统的根目录，从而获得超级用户的。

3）缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下，就接受任何长度的数据输入，把溢出部分放在堆栈内，系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令，来造成系统不稳定状态。

4）操作系统口令攻击。例如，Unix系统软件通常把加密的口令保存在一个文件中，而该文件可通过拷贝或口令破译方法受到入侵。因此，任何不及时更新的系统，都是容易被攻击的。

2.2.2、病毒攻击软件系统

计算机病毒一般分为四类：①文件型病毒（FileViruses）;②引导型病毒（SystemorBootSectorVirus）;③链式病（SYSTEMorCLUSTERVirus）;④宏病毒（MacroVirus）。它们并不存在，而是寄生在其他程序之中，它们具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用，病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种，其传播途径不仅通过软盘、硬盘传播，还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看，计算机病毒呈现出异常活跃的态势。只要带病毒的电脑在运行过程中满足设计者所预定的条件，计算机病毒便会发作，对计算机应用程序、数据信息的直接破坏，轻者造成速度减慢、显示异常、丢失文件，重者损坏硬件、造成系统瘫痪，给用户造成重大损失。

2.2.3.运行服务不安全。即网络中的各个信息系统不能够正常运行、通过网络交流信息。不能通过对网络系统中的各种设备运行状况

监测，发现不安全因素不能及时报警并采取措施改变不安全状态，不能保障网络系统正常运行。

2.2.4、数据失去安全保护。即网络中存储及流通数据不安全。网络中的数据被篡改、非法增删、复制、解密、显示、使用等。

3、企业网络信息系统的安全防御措施 3.1、设计遵循原则

针对网络信息系统实际情况，解决网络的安全保密问题是当务之急，考虑技术难度及经费等因素，设计时应遵循如下原则： 1．大幅度地提高系统的安全性和保密性；

2．保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；

3．易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

4．尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展； 5．安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

6．安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证；

7．分步实施原则：分级管理 分步实施。 3.2、 安全策略

针对上述分析，我们采取以下安全策略：

3.1.1、对硬件设备出现的各种故障，我们制定如下措施：

定期对设备进行保养、检修。

准备充足的备件，经常进行检修、更换老化部件。 对传输线路进行定期检查。

3.1.2针对软件系统出现的安全威胁。

1．采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。

2．采用各种安全技术，构筑防御系统，主要有：

(1) 防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。

(2) NAT技术：隐藏内部网络信息。

(3) VPN：虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。 (4）网络加密技术(Ipsec) ：采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。

(5) 认证：提供基于身份的认证，并在各种认证机制中可选择使用。

(6) 多层次多级别的企业级的防病毒系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。

(7）网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。

3.3．实时响应与恢复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。

3.4．建立分层管理和各级安全管理中心。 参考文献：

《数据通讯与网络教程》 William A.Shay 机械工业出版社 2005 《网络安全与管理.》劳帼龄 北京：高等教育出版社，2003