信息与电脑2018年第4期China Computer&Communication信息安全与管理企业内部网络安全策略韩 明(武汉城市职业学院,湖北 武汉 430064)摘 要:在企业网络中安全是一个非常重要的问题,如果企业不重视其网络信息安全,可能对企业的财产安全及社会形象造成巨大的影响。在如今这样一个信息化、网络化的社会中,黑客攻击手段层出不穷,如何有效防御网络攻击、提升企业网络安全性是亟需解决的问题。笔者简单阐述了企业如何通过安全策略来提高其网络安全性。关键词:网络安全;缓冲区溢出;拒绝服务;入侵检测中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2018)04-157-02Internal Enterprise Network Security StrategyHan MingAbstract: Security in enterprise (Wuhan City Polytechnic, Wuhan Hubei 430064, China)information security, they may cause huge losses to the property and social image of enterprises. In today's information-based and networks is a very important issue. If enterprises do not pay attention to their network networked society, hacker attacks are emerging in an endless stream. How to effectively defend against network attacks and enhance the security of corporate networks is a problem that we urgently need to solve. The author briefly describes how enterprises can improve their network security through security strategies.Key words: network security; buffer overflow; denial of service; intrusion detection1 常见的网络攻击行为获取客户相应信息。1.1 病毒及木马1.5 拒绝服务攻击企业网络通常会遭遇到病毒或木马的侵袭[1]。其中蠕虫攻击者对企业的服务器发起大量的连接会话,企业服务病毒居多,蠕虫病毒往往通过网络进行传播,大量耗费了企器在收到大量的服务请求后,一一回应,在这个过程后会消业网络硬件资源。其中破坏力比较大的有尼姆亚和熊猫烧香。耗大量硬件资源,一直到服务器死机,服务停止。拒绝服务现在的木马往往会窃取用户的相关账户信息,造成财产损失。攻击中比较典型的是死亡之ping,客户机向服务器发出大量1.2 扫描大尺寸的Icmp报文,服务器在回应的过程中消耗大量资源。黑客攻击前的准备阶段,通过流光等端口扫描工具,扫1.6 缓冲区溢出攻击描网络中的计算机,获取客户机的一些相关信息,如操作系此种攻击行为往往利用操作系统和网络服务软件漏洞进统版本、是否存在弱口令、网络服务端口开放情况。行入侵,通过对系统注入大量超出缓冲区长度的数据位来造1.3 窃听成系统缓冲区溢出,同时,可执行相应的黑客代码,造成服务器停止服务和安全策略失效的严重后果。黑客通过一些抓包软件,收集网络中所有的数据,并分析收集到的数据,找出自己需要的相应信息。2 企业内部网络面临的威胁1.4 伪造相关信息在早期网络安全中往往认为外部网络的威胁要远远大于企业内部网络的威胁。包括防火墙的外网接口会默认设置为不信如Web欺骗攻击,黑客伪造网站,欺骗其他客户端主机,任区域,而内网接口会被设置为信任区域。但是实际上大部分同时,自身又以客户端的形式连接到企业真正的网站,从而的网络攻击行为都是由内部网络发起的。所以要重视企业内部作者简介:韩明(1977-),男,湖北武汉人,本科,实验师。研究方向:计算机网络技术。— 157 —信息安全与管理信息与电脑China Computer&Communication2018年第4期网络的恶意攻击行为。企业内部网络常见的攻击行为主要有拒定期升级病毒特征库,同时,启用防病毒功能,在第一道防绝服务、Arp攻击、IP地址欺骗、Dhcp攻击等[2],可以针对这线就将病毒隔离开,防止病毒与木马感染内网。(7)部分些恶意的行为制定相应的安全策略,提升内部网络安全性。服务器支持认证功能,在防火墙上开启认证功能可以提高内3 企业内部网络安全策略部署网安全性,企业员工只有通过认证之后才能访问网络,避免了员工进行非授权的访问。3.1 企业网络设备安全防护策略3.1.5 部署入侵检测设备3.1.1 计算机操作系统安全 预算充足且对网络安全性要求高的企业可以考虑部署入企业的终端主机需要安装正版的操作系统,定期更新系侵检测设备IDS。IDS是一个网络旁路设备,可以在三层交统,安装各种系统补丁,同时,系统需要设置密码,关闭非换机设备上开启镜像功能,将需监控的数据流输出到IDS传常用的服务,安装杀毒软件及防火墙软件,并定期升级扫描。感器,由IDS分析流经的数据流量,发现入侵行为后IDS会企业的服务器需安装安全性更高的Linux系统,同时,记录并报警,相同设备厂商的IDS和防火墙可进行联动,定期更新服务软件版本,避免遭受溢出攻击。IDS发现攻击,防火墙阻断攻击。3.1.2 二层交换网络安全3.1.6 在企业网络中部署上网行为管理设备 在二层交换机上配置合理的安全防护策略,可以有效提出口带宽不足是企业网络当中普遍存在的问题,往往企升企业内部网络安全性。(1)可以通过Vlan技术来隔离广业提升了带宽,但是上网时仍然卡顿,这是因为大部分带宽播域,这样在蠕虫病毒感染的情况下,可以有效避免病毒的被内部的P2P下载占用。通过在汇聚层和核心层之间部署上大面积扩散,缩小企业受损的范围。(2)也可以通过配置网行为管理设备可以解决这个问题。上网行为管理设备工作Arp动态绑定技术来防止出现IP地址欺骗造成的网关失效问在应用层,能够分析经过的流量,过滤企业禁止的P2P下载、题。(3)在二层设备上启用Dhcp防护功能可以有效解决非网游等应用。同时,在设备上可以配置URL过滤,避免员工法Dhcp服务器攻击行为带来的IP地址分配混乱问题,避免访问非法网站。设备自带日志管理功能,如员工下载非法资源、了客户机获取到无效的网关及Dns服务器地址。(4)如企传播不良言论,都会记录在案,使企业避免承担法律责任。业在二层设备上已配置了生成树技术,必须考虑到企业内部3.2 定期评估企业的网络安全的Bpdu攻击报文,一定要在设备上开启生成树的Bpdu防护功能,避免设备收到攻击报文后产生拓扑抖动。目前,各种黑客攻击手段层出不穷,任何情况下都不能放松警惕。企业需要定期检查与更新安全设备,最好每年都聘3.1.3 三层交换网络安全请权威的信息安全公司对企业网络安全性进行整体评估,避免对于汇聚层的三层交换机而言,其具有较多的安全功能。出现信息安全的木桶效应,提早发现安全问题并解决问题。(1)利用设备访问控制列表功能来实现流量的过滤。从安3.3 培训管理人员全的角度来讲,需对企业不同的业务流量进行精确的访问控制。可以配置三层交换机的访问控制列表将核心部门的主机在保证网络安全当中应以人为本,很多企业在这个过程和其他部门的主机隔离开来。(2)三层交换机往往承担了中忽略了人的因素。部分企业网络安全人员业务水平低下,企业内部网络的路由功能,设备在使用动态路由协议时必须平时管理疏松,设备系统多年得不到更新,系统无安全密码。开启路由协议的密码认证功能。对于这样的企业,即使使用了高安全性的网络设备,其网络安全性也极其低下。所以企业需要定期对相关技术人员进行3.1.4 路由器和防火墙安全网络安全培训,提高其业务水平,增强相关安全意识,这样路由器和防火墙是企业内网和外网的边界,是信息安全才能更好利用安全设备,提升企业网络的安全性。防护当中的第一道门户,也是最重要的一道门户,是保证企4 结 语业内部网络安全的主要安全设备。(1)在部署路由器和防企业网络安全工作必须得到重视,一旦轻视网络安全可火墙时要考虑企业安全需求的级别,部署时采用多台设备安能会给企业带来巨大的经济损失和不可挽回的负面影响。企全性更高。(2)无条件购买硬件防火墙的企业,可以通过业在网络安全建设中不能完全依靠硬件设备,也要重视自身配置路由器的访问控制列表来实现包过滤防火墙的功能。在的管理工作,要加强对网络管理人员的业务培训,定期评估配置访问控制列表时需要添加常见的蠕虫病毒传播端口与常网络安全性能,必须时刻保持警惕。见的黑客软件攻击端口。(3)如企业有分支机构互联,可以通过防火墙的VPN技术来构建一条安全的互联网通道,避免信息在互联网上传递时遭到窃听及篡改。(4)将服务参考文献器集群部署到防火墙的Dmz区域可以提升企业内网安全性,[1]张琳,黄仙姣.浅谈网络安全技术[J].电脑知识与技避免黑客将服务器作为跳板侵入企业内部网络。(5)部分术,2006(11).防火墙工作在应用层,需定期升级系统,保证企业内部各种[2]郭兰坤.浅谈中小企业网络安全问题[J].中小企业管应用能够正常通信。(6)部分防火墙自带防病毒功能,需理科技,2013(2).— 158 —
