企业网络安全管控分析

张春雷

(中国一重大连加氢反应器制造有限公司，辽宁 大连 116113)

1 企业网络现状

1.1 网络结构

企业网络基本包含以下几个部分:外部公开网络、Internet、intranet、子公司与总公司间的专线长途链路网络等。

1.2 网络应用

WWW服务、电子邮件服务;提供与Internet的访问;办公自动化、文件共享、文件数据的统一存储以及针对特定的应用在数据库服务器上进行二次开发(如ERP系统)。

2 企业网络安全威胁

由于企业网络对外出入接口较多，网络安全风险较高，潜在的安全威胁有以下几种:

2.1 外部公开网络面临的威胁

外部公开网络主要包含:WWW、EMAIL等服务器，作为公司的信息发布平台，一旦不能运行或者受到攻击，对企业的声誉影响较大。由于外部公开网络主要为外界服务，必须暴漏于公网之上，极易受到攻击和黑客的入侵。

2.2 病毒威胁

计算机病毒及恶意代码的威胁病毒是以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息;从目前病毒的发展趋势来看，木马病毒和蠕虫病毒是企业网络安全的主要威胁，其传播方式也已经由原来的网络传播，发展为多种传播方式，其中在企业中最为常见的是U盘传播。

2.3 移动存储设备带来的安全隐患

首先，移动存储设备易丢失，而其本身往往没有任何防护措施，一旦丢失就可能造成企业信息泄露事件，其次，有些企业内部人员恶意将企业信息拷贝至移动存储设备中将信息外泄的事件也是屡见不鲜。

2.4 系统漏洞风险

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，使攻击者能够在未授权的情况下访问或破坏系统。很多流行的病毒、蠕虫、木马也是依赖于某种漏洞而传播的。

2.5 非法接入与内网外联

非法接入是指未授权人员通过物理连接私自接入内部网络，共享网络资源。内网外联是指企业内部人员使用移动上网设备，在内部计算机上私自连接外网的行为。由于目前运营商的3G上网设备十分普遍，这种设备一旦在企业内部网络计算机中使用，会造成病毒的传入和企业内部信息的外泄。

2.6 服务器区域安全风险

网络内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果网络中服务器区域不进行独立保护，内网中计算机感染病毒，并且通过服务器进行信息递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。

2.7 文件共享，统一存储风险

企业为了方便数据共享，提高效率，一般都建有文件服务器或统一存储服务器。由于很多内网用户网络安全意识淡薄，将一些关键信息随意存放在公共共享区域，造成这些信息被随意复制、修改、删除，给企业带来不必要的损失。

3 企业网络安全管控措施

从网络安全体系的角度来说，网络是分层次的，它分物理层、网络及传输层、系统层、应用层和安全管理层，每个层面上都面临着安全隐患，若把网络比作一个水桶的话，各个网络层次上的安全威胁就是构成水桶的木板，任何一块木板出现问题，都会造成水桶的水泄漏，即造成网络的不安全。

3.1 外部公开网络防护

对于外部网络的安全防护措施主要有以下几个方面:

3.1.1 防火墙是保护计算机网络安全的一项重要技术性措施，同时也是最有效和经济的措施之一。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。防火墙必须融合到整体安全保护系统中，通过以防火墙为中心的安全方案配置，才能更有效的起到安全防护作用。

3.1.2 入侵预防系统是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

3.2 内部网络的安全管控

为将安全风险控制在最小范围，必须在企业网络建立可靠、便捷的网络管理、安全审计和监控系统。内网安全管理系统是企业内网安全管控的发展趋势，内网安全管理系统应包含以下功能:

3.2.1 内网机密信息防护:计算机终端外设管理:对内网计算机所使用外设进行注册和使用审计。移动存储介质认证管理:统一管理内部合法移动存储设备，防止非法非法移动设备的接入。内网用户注册管理:对内网用户注册并能实现权限管理。打印监控:对核心数据信息部位实现打印操作的监控，防止重要信息外泄。文件操作审计:对于重要文件信息部位可以开启文件操作审计功能，防止恶意篡改。文件加密:对于重要文件可进行加密处理，加强文件防护。计算机终端非法外联监控:通过IP准入机制，确保只有授权用户才能访问内部网络。

3.2.2 用户行为监控和审计:进程管理可有效阻止企业内部计算机运行与企业正常工作无关的软件，如游戏、BT下载等。审计功能:能够实现对内网用户，对计算机操作的审计和记录，如计算机软件的安装情况，互联网访问记录等。屏幕监控功能:能够实现对内用主机的屏幕监控，对违规使用计算机进行取证，同时也能通过该功能实现对用户的远程帮助。

3.2.3 内网加固和运行监控:补丁分发管理和病毒库升级管理:通过IP准入机制，对接入内网的合法用户进行安全检查，对于系统补丁和病毒库升级未合格的计算机进行隔离至安全区，进行补丁和病毒库升级，待安检合格后方可接入内部网络。网络参数变更监控:通过对合法接入计算机进行IP和 MAC地址绑定，防止用户随意变更网络参数，浪费网络资源。终端计算机资源占用监控:通过对用户计算机资源的监控，可以有效的帮助用户合理使用计算机，删除不必要的、耗资源的软件，提高计算机运行速度。网络设备、服务器状态监控:通过对网络设备和服务器性能的监控，为企业运维人员合理使用网络设备和服务器提供准确数据。

3.3 病毒防护

采用网络版杀毒软件是企业防病毒软件的首选，将网络版杀毒软件配置在网内所有服务器和终端上，通过发布统一的控制策略可实时监控、查找、清除计算机病毒，由于网络版杀毒软件只需杀毒软件服务器连接互联网升级，其余客户端只需通过服务器端就可升级，避免了客户端联网升级病毒库的麻烦。

3.4 加强企业员工的网络安全意识

加强对员工的网络和计算机安全知识的培训，使员工能够掌握基本的计算机网络安全知识，做到:不随意下载安装不明软件、不随意打开未知来源的陌生邮件，不交叉使用移动存储设备、严格按照权限使用公司重要文件数据等。

4 结束语

网络安全威胁层出不穷、变化多端，我们虽然不断改进，优化防范措施，但是仍然不能保证网络的绝对安全。网络安全建设需要建立多层次的、立体的、完善的管理系统。网络安全管控是一项长期而艰巨的任务，需要不断的实践、探索。

［1］李辉.计算机网络安全与对策［J］.潍坊学院学报，2007(3):54～55.