企业网络的安全问题分析与对策.doc

本科毕业论文企业网络的安全问题分析与对策作 者 学 号 专 业电子商务指导教师 内 容 摘 要随着信息化技术的高速发展，计算机及其网络技术的迅猛发展给人们的生活带来了极大的方便，企业的网络信息化应用水平也在逐步提高。但网络的开放性以及诸多因素的影响，导致了网络环境下的计算机系统存在很多安全问题，诸如系统漏洞、计算机病毒、黑客攻击、系统后门、人为因素以及安全机制薄弱问题，等等。随之而来的是企业网络存在的安全问题越来越严峻，企业对网络的依赖性使得计算机网络本身运行的可靠性变得至关重要，也向企业网络管理运行提出了更高的要求。而企业网络安全与否，则直接关系到企业的正常生产与经营。企业网络环节上的任何一个小漏洞，都有可能会导致企业整个网络的严重安全问题。因此，如何实施网络安全，建立企业网络防火墙安装、漏洞扫描、入侵检测和反病毒等风险评估机制相当重要，而企业网络安全是一个系统的、全局性的技术及管理性问题,必须融合多种计算机网络安全技术以及有效的管理机制才能形成一个高效、安全的企业网络系统。本文试图就企业网络方面存在的安全问题逐一作出分析，并给出相应的对策。 关键词：企业网络 网络安全 分析 对策目 录引 言 . 3一、 概述 . 4二、 企业网络安全问题全面分析. 5（一） 数据传输信道. 5（二） 操作系统. 5（三） 网络通信协议. 6（四） Web服务器 . 6（五） 计算机病毒. 7（六） 数据库系统. 7（七） 数据存储安全. 8（八） 企业网络内部威胁. 8三、 企业网络安全对策 . 9（一） 企业内部网络防范措施. 91. 计算机病毒防护. 92. 数据传输信道的安全. 93. 内部网络安全审计.104. MAC物理地址绑定 . 115. 操作系统和数据库系统. 116. 数据备份及恢复系统. 127. 本地网络安全策略. 12（二） 外联网系统防范措施. 13 1. 防火墙. 132. 隔离服务器. 133. 反垃圾邮件系统. 144. 代理服务器. 14四、 结论 . 15参考文献. 16引 言 随着计算机网及其网络技术的高速发展，企业办公自动化、ERP及SRM等系统在企业得到了广泛地应用，信息化建设成为企业建设中不可或缺的部分，而企业网络建设作为信息化建设的运行载体和基础,承担着企业对内对外的各种信息的传输任务。来自企业内部(如病毒，非授权访问等行为)及外部互联网(如黑客活动、非法入侵)的各种安全威胁时刻影响着企业网的运行和管理，加强企业网的安全管理是当前重要任务。所以企业网络是企业信息系统的核心，必须建立有效的网络安全防范体系保证网络应用的安全。 目前一些在企业网安全管理方面存在安全手段单一，技术力量薄弱及重视度不够等问题，由此造成在企业网络系统上存在诸多的安全隐患。如缺乏强健的认证及授权，系统存在的漏洞不能及时修补，传统的被动式抵御只能消极等待入侵者的攻击等等。计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露。而企业网络安全则基于计算机网络安全技术，最大限度地保护企业网络的安全，以确保其信息的完整性。 本文首先分析企业网络系统可能存在的安全隐患问题，了解企业网络安全问题的主要威胁因素；然后从用网络安全知识对安全问题从计算机网络、操作系统、数据库及防火墙等方面进行剖析，构建安全防御体系和加强安全管理两方面给出企业网络的安全对策。企业网络的安全问题分析与对策 一、 概述来自企业内部及外部的安全威胁时刻影响着企业网络的运行与管理，企业网是企业信息系统的核心,因此建立有效的网络安全防范体系、保障企业网络的安全运行是当前首要的任务。企业网络面临着一系列的安全问题，其来自外部或内部。对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。通常，计算机网络不安全因素主要表现在以下几个方面：（一） 计算机网络的本身的脆弱性网络本身的开放性、共享性及国际性等特点就决定了企业网络存在着方方面面的挑战，其来自物理传输线路层的攻击，对网络通信协议的攻击， 对管理软件的攻击及窃听、以及对硬件的漏洞实施攻击等。（二） 操作系统存在的安全问题操作系统是作为“底层”支撑软件，使得应用系统有一个稳定的运行环境。其管理着软件资源和硬件资源，操作系统软件自身的不安全性、文件在传输、运行、加载及调用等过程中等都有可能因其存在的漏洞或缺陷等受到攻击。（三） 数据存储及应用系统存在的安全问题数据库管理系统是一种操纵和管理数据库的大型软件，用于建立、使用和维护数据库，它对数据库进行统一的管理和控制，以保证数据库的安全性和完整性。而非授权访问及存储设备故障等都会造成数据的非法存取及完整性。应用系统（如ERP等）在授权模型的建立，以及角色权限的赋予、文档等数据传输过程中的加密控制方面可能存在的问题会造成数据的非法访问。（四） 防火墙的脆弱性所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。但防火墙只能相对保证网络的绝对安全性，但难以防范网络内部和病毒的攻击。本文基于计算机网络安全技术，对企业网络安全中可能存在的问题进行了一系列剖析并试图给出相应的对策。 二、 企业网络安全问题全面分析 （一） 数据传输信道广义的传输信道是指将传输媒体和完成各种形式的信号变换功能的设备包含在内的信道，其包括调制信道和编码信道，按传输介质来分，其网络传输方式通常分为有线介质（如光纤、双绞线等）或无线介质（如IEEE 802.11标准无线局域网传输、微波、红外线、激光、卫星线路传输等）两种方式，均存在诸如信号衰减及干扰、电磁信号泄露、监听干扰、假冒通信、信息假冒等问题，而这些因素又无一例外地对企业网络构成安全威胁，从而造成数据可能遭到人为的恶意攻击、非授权访问、信息泄漏或丢失、通信规程和协议以及信息的完整性遭到破坏等严重问题。通常企业所存在的数据传输信道问题为：1. 网络布线不规范企业通常在数据主干道上(如单位多栋大楼之间)使用光纤传输,而在相同楼层之间采用双绞线。由于企业网络信息化一般都是逐步实施的，在网络综合布线上的可能会存在严重滞后以及规划不合理的现象，例如，数据线缆与电话线缆、电源线缆之间互相造成干扰；布线施工质量差；网络硬件设备无安全防护等；而对于双线线的连接时常会出现不规范的线序打法，造成“串绕”现象并产生干扰而造成局部网络访问缓慢的问题。2网络设备参差不齐企业在网络建设中未能及时淘汰一些安全性差的路由设备，造成网络中某一节点出现安全漏洞从而置整个网络于危险之中。3. 无线局域网络监控不利一些企业往往只通过简单开启无线网络的WEP、WPA或WPA-PSK等加密方式来进行身份验证而授权用户进入网络，很容易造成因密码泄露而使非授权用户非法访问企业内部网络的问题。 （二） 操作系统毫不夸张地说，大多数网络入侵是因为操作系统（如Windows, Unix, Linux等）的漏洞。完善安全操作系统的保护策略，以用户控制、进程控制及对象控制为主，使其具备有效的安全体系结构、提供实时的权限访问控制、信息加密保护及完整性鉴定等安全机制实现数据安全，并通过系统配置以确保操作系统尽量避免实现时的缺陷和具体应用环境因素而产生的不安全因素。但无一例外的是，由于漏洞修复的滞后性，使基于操作系统漏洞的入侵、通信端口的恶意扫描，以及利用通信和共享功能设置(如远程登录、文件及设备共享等)而进行的非法访问等，为黑客攻击和病毒感染留下了“可乘之机”。操作系统通常存在的安全隐患为：1. 操作系统结构体系的缺陷无论是哪种操作系统，其本身均有内存管理、CPU 管理和外设的管理，这些管理模块的缺陷通常会造成系统崩溃而受到攻击。2. 文件传输及应用程序加载隐患操作系统所支持的网络文件传输、加载或安装程序时出现的漏洞，可能就会造成系统崩溃或被非法监控。3. 远程进程调用操作系统支持远程创建、激活进程，并对进程的创建进行继承，使在远端服务器上安装“间谍”软件成为可能。从而使企业网络内数据被非法监控、盗用、以及篡改等严重问题。4. 操作系统的后门和漏洞后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。程序员可能会在软件开发阶段利用软件的后门程序得以便利修改程序设计中的不足,但一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。特别是操作系统的无口令的入口，也是信息安全的重大隐患，其极易被黑客利用并进行攻击，造成信息泄密和丢失。 （三） 网络通信协议 通俗地讲，网络通信协议是计算机在网络中实现通信时必须遵守的规则,它为连接不同操作系统和不同硬件体系结构的互联网络引提供通信支持，是一种网络通用语言。目前大多数企业网络系统所采用的网络通信协议是TCP/IP、HTTP、HTTPS、FTP、SMTP及Telnet等，这些协议大多先天不足或带有安全漏洞。例如，目前广泛使用的TCP/IP协议在实现上力求简单高效，缺乏安全因素的考虑, 由于它脆弱的TCP/IP服务、缺乏足够的安全策略及配置的复杂性等因素，使其数据容易被实施窃听、劫持、电子欺骗及IP地址欺骗等非法行为，网络攻击者们也往往利用这些安全漏洞或技术来对企业网络行地攻击。 （四） Web服务器WEB服务器主要是面向互联网的，是内外部网络连接的纽带和堡垒, 它在企业众多信息化应用中最容易受到攻击的。而现在企业的WEB应用越来越多，特别是其也逐渐在成为其他信息化应用的入口，如企业的邮件系统、SCM、SRM或CRM等系统入口通常都捆绑在WEB服务器上，且Web后端连接着。Web面临的威胁主要有信息泄露、拒绝服务(DoS)、系统崩溃及跳板等，故WEB服务安全更是网络安全管理中的重中之重。通常Web服务器会受到的威胁为： 1. 拒绝服务攻击 拒绝服务攻击(DoS, Denial of Service)即攻击者利用TCP协议缺陷发送大量伪造的TCP连接请求，使被攻击方资源耗尽从而造成系统瘫痪。 2.命令注入式攻击 命令注入攻击(Command Injection)往往是因为目标系统存在设计、实现和配置上的缺陷引起的，比如没有对输入参数做有效过滤，缺乏对非法内容的检测手段等。即， (1) SQL注入（SQL Injection） Web服务中可能涉及数据库的操作，如果未对参数进行严格匹配检查，则攻击者可通过操作参数中夹带恶意命令，通过操作非法获取信息。 (2) XML注入（XML Injection） 当用户输入是直接传入到XML文档时，攻击者可能会插入非法XML内容（如未转义标签）来操纵XPATH查询，以获取非授权的XML文档内容。 (3) 跨站脚本（Cross-Site Scripting） 基于XML注入或其它手段，可以在合法Web服务中植入跨站脚本，使得对这个合法Web服务的请求透明地转移到攻击者控制的Web服务，以实现执行恶意操作的目的。 3. 针对UDDI/WSDL的攻击 UDDI扫描（UDDI Scanning）是对Web服务进行攻击的起始点，恶意攻击者通过UDDI Registry能获得当前Web服务的详细信息，并通过跟踪分析Web服务，抽取出它用于某种目的的必要信息。攻击者可以利用这些信息推测和访问未公开的内部操作，进行WSDL扫描（WSDL Scanning)攻击。 （五） 计算机病毒计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它们通过程序、网络、即时通讯软件以及邮件等多种形式进行传播。由于其繁殖性、传染性、潜伏性、隐蔽性、破坏性及可触发性等特点，由其造成的数据清空、网络连接中断及系统崩溃等，往往会企业造成巨大的损失。尤其是一些通过网络传播的木马及蠕虫类型的流行性病毒，成千上万地肆虐在网络环境中，这些病毒不仅危害性大，而且传播速度非常快，传播形式多样，它们一旦发作便会肆意窃取企业数据并可能造成系统瘫痪，会给企业网络造成巨大的威胁。计算机病毒往往会通过以下方式传播从而进入企业网络，值得引起注意:1. 网页浏览企业员工被诱使或无意中通过企业内部网络浏览了因特网中一些感染了病毒的网站或钓鱼网站，从而感染病毒并危害企业网络。2. 邮件系统黑客通过将病毒放在电子邮件的附件中寄给受害者，诱骗（企业中的员工）受害者打开电子邮件中的附件或恶意链接而传染病毒，如蠕虫类型病毒，从而使企业网络感染。3. 移动存储设备移动存储设备（如U盘、移动硬盘）的广泛使用，使其成为传播病毒的媒介，使一些企业网络外的病毒可能通过网络中的某个用户终端滥用移动设备而进入企业网络。 （六） 数据库系统 随着企业大型软件系统的应用，数据库系统（如Oracle, DB2, Sybase及Microsoft SQL Server等）所占的地位也越来越重要。数据库的完整性主要包括物理完整性和逻辑完整性，前者是指保证数据库的数据不受物理故障的影响，并有可能在灾难性毁坏时重建和恢复数据库；而后者是指对数据库逻辑结构的保护，包括数据的语义完整性和操作完整性。企业数据库中所存放着关乎企业生产经营及决策的关键性数据，一旦出现问题，后果将不堪设想。数据库所存在的潜在威胁包括：非授权访问、推理访问数据、病毒；以及硬件故障威胁(如磁盘故障等)、人为错误及数据传输所造成的威胁等；而数据库安全旨在指保护数据库以防止非法用户的越权使用、窃取、篡改或破坏。 （七） 数据存储安全 由于网络中心，特别是主数据库存放着企业网络全局的所有重要数据，这些数据和信息甚至就是企业的生命。近年来,网络存储系统正被越来越多地应用在有多层接口的复杂网络拓扑结构中,用户可以通过主机、交换机、LAN/WAN和VPN等设备访问网络存储系统 ,这些都给网络存储系统的安全带来了很大的安全隐患。目前造成网络存储安全数据破坏的原因主要有以下几个方面： 1.自然灾害，如水灾、火灾、雷击、地震等造成计算机系统的破坏，导致 存储数据被破坏或丢失； 2.计算机设备故障，其中包括存储介质的老化、失效; 3.系统管理员及维护人员的误操作; 4.病毒感染造成的数据破坏和网络存储安全上的“黑客”攻击等。 因此，必须保护各个系统上的有价值的数据，防止敏感的业务数据或客户资料泄露、杜绝业务记录被篡改或毁坏或阻断未经授权的非法访问。 （八） 企业网络内部威胁 随着Internet接入的普及和带宽的增加，企业员工的上网件得到改善时，却因为缺乏有效的管理机制，给企业带来更多的安全威胁，互联网滥用的问题日益严重。在IDC对全世界企业网络使用情况的调查中发现，员工在上班工作时间里非法使用邮件、浏览与工作无关的Web网站、进行音乐或电影等BT下载，或者在线收看(如.swf, .asf,.rmvb，.mov等格式)流媒体的情况非常普遍。在办公期间上网时间过长、遭受仿冒诈骗，办公时间玩网络游戏和因网络安全缺口而带来的安全风险等问题尤为严峻！另外，由于企业网络缺乏有效管理，企业员工滥用互联网导致内部网络感染病毒、企业信息泄漏等事件，目前已逐渐成为企业网络安全的最大威胁。 三、 企业网络安全对策 （一） 企业内部网络防范措施 1. 计算机病毒防护针对企业网络计算机病毒防护的需求，有针对性地选择并部署性能优秀的专业网络防病毒软件，如迈克菲(McAfee)、卡巴斯基(Kaspersky)、 二版科技（ESET NOD32)及诺顿（Norton）等，并定期自动更新服务器端及用户端病毒特征库，是使网络系统免遭病毒侵扰的重要保证。有效的病毒防治部署是采用基于网络的多层次的病毒防御体系，在整个网络系统的各组成环节处，包括客户端、服务器、Internet网关和防火墙，设置防线，形成多道防线。即使病毒突破了一道防线，还有第二、第三道防线拦截，因此，能够有效地遏制病毒在网络上的扩散。 而在局域网病毒防御的基础上构建广域网总部病毒报警查看系统，监控本地、远程异地局域网病毒防御情况，统计分析整个集团网络的病毒爆发种类、发生频度、易发生源等信息，使企业能在第一时间内检测到企业网络的异常和计算机病毒攻击现象。 对于邮件系统，可以将邮件网关防毒系统放置在邮件网关入口处，接收来自外部的邮件，对病毒、不良邮件（如带有色情、政治反动色彩）等进行过滤，并对邮件附件进行安全扫描，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网络用户的电子邮件安全,杜绝计算机病毒以电子邮件为媒介进行传播从而感染整个企业网络。 对于企业内部员工，在完善企业网络内部软件安装部署策略的同时，要加强企业内计算机的安全参数配置，提高企业员工的安全意识，并从技术上禁止私自安装软件从而杜绝病毒感染的风险。例如，只允许员工通过操作系统控制面板中的Run Advertised Programs渠道安装企业网络内软件服务器上的软件。 另外，要建立应急响应系统，将计算机病毒危害的风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，因此要在突发情况下，建立一个紧急响应系统是极其必要的，以便在计算机病毒爆发的第一时间即能提供有效的解决方案。 2. 数据传输信道的安全针对数据信息道的安全，可以通过在硬件与软件两个层面上执行相应的措施来降低企业网络面临的风险。 （1）硬件设备 不同的传输介质或接入方式，其费用、速度、信号衰减、电磁干扰与安全性都有不同。必要时可以通过改造物理线路质量、重新规划综合布线方案、升级网络核心设备，并加强网络硬件设备的安全参数设置等降低数据泄漏的风险。 （2）软件及数据 在软件及数据传输上可通过网络软件的一些安全机制来实现数据传输的安全，如采用对应用程序加密、对通信线路（主要是DDN）加密，或采用VPN虚拟专用网络等数据安全传输方案，以完善网络安全防范体系。 设置适当的IE安全级别，对连接到Internet上的企业门户网站关键网页内容强制采用HTTPS协议，并将企业与外部交互的文档数据进行数字签名或密钥加密的方式进行传输以保证企业数据的安全。（3）网络接入身份验证对于企业员工在通过外部Internet访问企业网络内部资源时，要加强身份验证，防止非法接入。 静态与动态密码认证 对于通过无线连接到企业局域网的用户，开启密码认证是最基本的安全措施。而当用户试图通过VPN （如F5 Networks VPN Client）接入企业内部网络；或用户试图通过Internet访问Microsoft Outlook Web Access使用企业邮件系统时，除了需要输入域用户名（Domain User Name）及密码（Password）外，可以采用RSA SecurID身份认证解决方案，则用户需要输入由RSA SecurID设备生成的动态密码（Passcode），藉此进行双重密码验证，从而减少网络欺诈现象的发生。 证书认证 对于直接物理连接到企业局域网的用户，除了可以采用MAC地址绑定技术之外，还可以通过CA证书与SSO（单点登录）相结合的方式，用来验证用户身份以，当正确无误后即允许其登录企业的门户网站以及邮件等系统。 USB Key认证 对于企业内经常需要移动办公或出差的用户，也可以采用USB Key认证的方式，通过其内置的单片机或智能芯片存储用户的密钥或数字证书，达到认证的目的。 生物特征认证 如硬件设备许可，可以采用生物特征验证的方式。需预先采集并存储用户的指纹、声音、视网膜或虹膜等生物特征数据，并在用户试图登录企业网络时再进行采集验证，以确保合用户的访问。 3. 内部网络安全审计随着Internet的飞速发展和企业电子商务的日益普及，网络信息安全问题日益突出，各类黑客攻击事件更是层出不穷，而相应发展起来的安全防范措施也日益增多，特别是防火墙以及IDS（入侵检测技术）更是成为大家关注的焦点。但防火墙只是一项协助确保信息安全的软件或设备，它会依照特定的规则，允许或是限制传输的数据通过，它类似于一道保护内部网络的重要关卡；而网络安全审计能够帮助对网络行为及其内容进行动态实时监控，并通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动，追踪内部网络中的非法篡改数据、信息的非法外泄，以及越权获取资料等行为。 例如，企业可以通过实施Blue Coat Web Filter系统，设置过滤表禁止员工防止具有潜在威胁的网站，阻止其访问并给出错误信息提示,如：“安全警告：你所试图访问的网站存在安全风险,已被代理服务器禁止访问！”4. MAC物理地址绑定为了从物理上保证网络的安全性，特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料，可以在路由设备上设置白名单列表只允许特定MAC地址的设备接入，或将企业内部网络中所分配的静态IP地址与电脑网卡上的MAC地址绑定起来，使网络安全系统在侦别内部信息节点时具有物理上的惟一性,从而杜绝非法接入。 例如，借助诸如思科网络准入控制（Cisco NAC）软件，可以防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。而通过Cisco NAC，企业可以控制合法的、满足（某些必需软件安装等）准入条件的、值得信赖的端点设备 (例如PC、服务器、PDA)接入其网络，并实现认证与授权、扫描与评估、隔离与实施以及更新与修复四项功能。 5. 操作系统和数据库系统对于操作系统，在充分利用其系统策略设置、权限访问控制、信息加密保护及完整性鉴定等安全机制的同时，并可通过： （1）操作系统安全取消不必要的服务、关闭非必要的网络端口、保持最新的系统核心、以域服务器推进的方式强制终端用户安装最新系统补丁（Service Pack）以及更新程序（Hotfix）修补系统漏洞（如下图所示）、设定用户帐号的安全等级、增强安全防护工具，以及限制超级用户权限等方式增强系统安全，并可通过系统扫描器（System Scanner）扫描，找出潜在的权限限设置不当、缓冲区溢出以及不安全服务等安全因素。（2）数据库安全而对于数据库，无论其是Sybase、DB2，还是Oracle ，它们都有一套安全机制可以充分利用，以减少内部网络用户利用其应用系统漏洞而进行的数据非法访问及非法篡改等攻击。 并利用数据库安全扫描器，如Database Scanner对数据库进行系统认证、系统授权及系统完整性方面的扫描，找出潜在漏洞并修复。6. 数据备份及恢复系统 网络运行和维护过程中，经常会有一些难以预料的因素导致数据的丢失，如自然灾祸、硬件毁损、病毒破坏、人为损坏失误等，而且所丢失的数据通常又对企业业务有着举足轻重的作用。所以必须联系数据的特性对数据及时备份，以便于在灾难发生后能迅速恢复数据。 其中一个例子是，美国911事件导致世贸大厦中800多家公司和机构的数据被毁，包括金融巨头Morgan Stanley。然而该公司竟奇迹般地宣布全球营业部第二天可以照常工作。其主要原因在于该公司在美国新泽西州的Teaneck市建有一个远程数据备份系统，保护了其最重要的数据。 而专业级的数据备份是系统级的，能够将数据从正在运行的数据库文件中提取出来，实现在线备份。因此，建立灾难备份系统是必要的且必需的。对于数据库和数据系统，可根据实际需要，采用定期备份、多机备份措施，本地备份和远程（异地）备份等多种方式， 防止意外灾难下的数据丢失，并可在需要时即时恢复数据到某一个时间点，从而将企业因数据丢失而造成的损失程度杜绝或最小化。 7. 本地网络安全策略 计算机网络安全管理是计算机网络安全的重要环节，也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动，规范组织的各项业务活动，使网络有序地进行，是获取安全的重要条件。根据组织和部门的安全需求和风险评估的结论，制定组织和部门的计算机网络安全策略,规范组织的各项业务活动，使网络活动有序地进行， 并根据企业和组织和部门对安全的需求的变化，适时调整其安全策略，规范其在企业内的网络活动。即： （1） 物理安全策略保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 （2） 访问控制策略保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。 （3） 信息加密策略保护企业网内的数据、文件、口令和控制信息，保护网上传输的数据。例如，制定及设置用户密码规则以加强密码强度来保证合法用户的密码不被破解及窃取。如相应的密码策略可以制定为：§ 密码长度不能少于8位；§ 密码不能为一个单词；§ 不能包含用户登录名或者用户的姓名；§ 必须是大写字母、小写字母、数字以及特殊字符的组合；§ 最近5次更改的密码不能相同；§ 至少180天更改一次密码 （4）网络安全管理策略在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。 例如，确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。 （5）安全审计 定期地对企业网络内的操作系统、应用系统、设备以及网络进行审计 ，分析系统中的各种事件（如系统事件、安全事件、应用事件以及网络事件等）及日志，可以为已经发生的系统破坏行为提供追究责任的证据，并为及时发现入侵行为或潜在的系统漏洞提供帮助。 （二） 外联网系统防范措施 1. 防火墙在企业内部网络与外部网络之间安装硬件或软件防火墙，隔离内外部网络，并将防火墙设置为使所有进出内部网络的信息全部经由防火墙，而外部用户通过网络防火墙时，只能访问事先设置的由内部网数据库系统所指定的端口，并指定如WWW服务器的HTTP或HTTPS协议许可，其他协议（如FTP，MMS、RTSP、PNM及RTMP）一概禁止以加强网络安全。 企业级防火墙可选用的品牌很多，如思科(Cisco)、NetGear、Checkpoint以及华为等等。 2. 隔离服务器目前电子采购等电子商务方面的系统（如SRM、CRM、e-Sourcing）的大量使用，使一些大型企业将自己的内部网络（Intranet）与外部互联网（Internet）连接起来，在加强了与其客户与供应商协用的同时，也相应地增加了其数据泄漏的风险。为了企业网络的安全，一般的方法是专门安装一台前置隔离服务器（如电力系统通常使用的“双网隔离”方案），使这台隔离服务器作为内部数据与外部数据交换的中间环节，从而达到确保中心数据库安全的目的。 例如，国网的双网数据隔方案，通过在内外网之间建立一个隔离服务器，使外部数据只能通过隔离服务器中的JDBC服务器与企业网络内部进行数据交换，杜绝外部协作用户直接访问企业内部的数据库系统，从而降低了企业内部遭受外部攻击的可能。 3. 反垃圾邮件系统反垃圾邮件系统是设置在企业邮件系统服务器之前的阻挡垃圾邮件进入邮件系统对了的一套装置或者设备。该设备接收所有进入到企业内部的邮件，对邮件进行处理，让良性邮件进入企业邮件服务器。反垃圾邮件系统通常建立在基于Linux或者BSD的加固的操作系统之上，也有个别厂商基于其他操作系统制作解决方案。硬件的形式及加固操作系统使垃圾邮件防火墙更加不容易被黑客等攻击。一个良好的反垃圾邮件系统不仅可以阻断垃圾邮件，而且可以保护邮件服务器不受其他形式的攻击。而比较专业的反垃圾邮件系统可以帮助企业和政府的邮件系统抵御最新的垃圾邮件、钓鱼邮件、欺诈性邮件、间谍程序邮件以及病毒邮件等各类邮件威胁，避免企业网络因此则蒙受损失。 例如，可采用Eleven公司的反垃圾邮件系统解决方案（Eleven eXpurgate Anti-Spam Filter solution），它会采用全面的防护与过滤技术，通过基于规则的评分系统，邮件指纹技术、意图分析技术以及贝叶斯过滤技术等方法对邮件进行过滤，然后将过滤后邮件列表发给收件人进行进一步确认，并可适时恢复。 4. 代理服务器代理服务器是一种重要的安全功能，它的工作主要在开放系统互联模型的对话层，从而起到防火墙的作用，在企业内代理服务器可被用来连接Internet（国际互联网/外网）和Intranet（企业内部局域网），可以实现： （1）用户验证和记账功能 按用户进行记账，控制授权用户通过代理服务器访问外部网络，并对用户的访问信息，如访问时间、网址以及流量等进行统计。 （2）用户进行分级管理 设置不同用户的访问权限，并对地址进行过滤。 （3）充当防火墙功能 隔离内外网的，从而起到保护企业内部网络的功能。因为所有内部网用户均通过代理服务器访问外部网络，只映射为一个IP地址，所以外界不能直接访问到内部网，从而起到保护企业网络的功能。 同时，利用代理服务器的网络地址转换（NAT）功能，将所有的内部地址进行转换，使外部网络无法了解内部网络的内部结构，使外部网络的连接功能只能由内部网络发起，从而极大地提高内部网络的安全性。 在产品采用上，可以采用Blue Coat的ProxySG系列，它是企业的Web代理网关，Blue Coat ProxySG设备结合了高性能硬件与基于对象的定制操作系统SGOS，能够对内容、用户、应用程序和协议进行灵活的策略控制，在最大限度保证网络访的安全。 四、 结论总之，一个网络所受到的安全威胁，既有技术方面的，也有管理方面的；既有来自网络内部的，也有来自网络外部的；既有人为恶意攻击的，也有无意行为造成的。所以，网络安全是一个系统的、多层面的和全方位的系统工程。建立一套完整并且完善的网络安全防御系统，达到既可方便地对外提供各种服务，与外部进行协作，又能有效地保护内部网络的安全，是非常重要的网络安全策略。当然，网络安全的建设并不是一劳永逸的，需要跟随计算机及其网络技术的发展，不断完善企业自身的网络系统。本文在从多个角度分析了企业网络安全问题的基础上，针对各种不同的威胁与攻击给出了相应的对策。而计算机网络安全的问题是一个永久的课题，它将随着计算机及其网络技术的发展而一直存在，“道高一尺、魔高一丈”，计算机网络的威胁与安全防护会一直较量下去，而来自外部或内部的网络威胁也促进了网络安全防范技术的发展。所以，计算机网络安全技术乃至企业网络安全是个永无止境的研究课题。参考文献1肖遥，网络渗透攻击与安防修炼，电子工业出版社，2009年。2史达，电子商务与网络经济，东北财经大学出版社，2006年。3高波,“浅谈计算机网络安全问题分析及防范对策”，计算机光盘软件与应用第23期, 2011年。4贺正求，吴礼发，洪征，王睿，李华波，“Web服务安全问题研究”，计算机科学第37卷第8期，2010年。5张亚涛，魏凯斌，“基于虹膜的网络身份验证系统研究”，计算机工程与设计第29卷第9期，2008年。6张天长，徐伟，计算机犯罪与防控,中国地质大学出版社，2008年。