在做一個詳細的安全策略方案之前，我們首先要十分清楚哪些是對企業網絡的安全構成威脅的主要因素，然后再從主要因素入手，逐一搜集當前網絡系統的基本系統結構和安全配置信息。你應該主要搜集自己所在企業的網絡系統硬件平臺、操作系統、數據庫管理系統、應用程序、網絡類型/結構、連通性能等方面的具體數據信息。通過這些數據你可以對網絡系統結構有一個較完全的了解，可以得到一份完全的功能級的系統圖表和對所有主要硬件、軟件資源功能的詳盡描述，這對開發安全策略是十分重要的。雖然在本章開始部分就已介紹了企業網絡安全隱患的主要來源，但那只是從宏觀方面進行的闡述，具體到一個企業還是有許多細節要充分考慮的。

　　總的來說，企業網絡的安全隱患是多方面的，綜合起來可以分為：網絡安全隱患、物理安全隱患和網絡設備自身安全隱患三大類。下面具體介紹。

一 網絡安全隱患

　　在企業網絡方面可能存在的安全隱患主要表現在以下幾個方面。

　　(1) 網絡拓撲不合理帶來的安全隱患

　　企業網絡中，應當做到內部網絡與外部網絡的安全隔離，體現在企業網絡拓撲設計上就是統一采用服務器經過路由器和防火墻上網，原則上不允許企業內部用戶從自己的電腦上通過撥號上網。因為這種直接撥號上網在無形之中就給整個企業網絡開了一個后門。要想連接外部網絡必須通過企業防火墻的過濾與監控。如果條件許可，可以采用盡可能安全的網絡體系結構，甚至劃分DMZ非軍事區，在非軍事區的兩端分別過濾指定的數據包。

　　(2) OSI/RM參考模型中各層通信的安全隱患

　　OSI/RM參考模型的每層都可能成為攻擊的目標，因為在每層中運行的服務和協議都可能存一些安全漏洞。我們必須依靠相應的技術、產品和方案來加以彌補。

　　(3) 病毒和黑客安全隱患

　　隨著近年來計算機的普及，病毒也越來越泛濫，為了保護數據，企業應當完善病毒防御體系，避免數據被病毒破壞。當然這里的防毒體系不再是平常我們個人所用的單機版殺毒軟件，而強烈建議采用網絡版的殺毒系統。

　　(4) 數據下載和數據存儲安全隱患

　　隨著Internet的普及，很多軟件都可以共享，在使用每一個應用程序時都要注意其出處，盡量到大的、可信站點下載，以免受到木馬程序或數據驅動型病毒的攻擊。另外還要注意使用的應用程序存在的各項漏洞，及時修正。在數據的保護方面應該采用數據備份與災難恢復體系，根據企業的需求采用相應的數據備份策略，為關鍵應用提供在線的熱備份系統，如果要求很高還應當考慮采用異地容災體系。

　　(5) 用戶身份認證安全隱患

　　在網絡系統中，有遠程訪問權限的用戶應盡可能少，而且對具有遠程訪問權限的用戶連接也應盡量采用先進的加密與身份認證手段，及時彌補認證手段中存在的缺陷。另外當員工向自己的客戶或供應商發送關鍵郵件時，最好采用郵件加密和數字簽名等手段，以確保數據傳輸的安全。不允許在工作中通過QQ或MSN向外發送數據。

　　(6) 防火墻的局限性隱患

　　不要認為公司使用了防火墻就能夠萬無一失了，因為防火墻必須開放某些端口，同時還有很多可以繞過防火墻的攻擊方法。各種類型的防火墻都有其局限性與缺陷，應當及時與防火墻的廠家聯系，取得防火墻的最新補丁。另外設置不當的防火墻過濾規則可能會起到相反的作用，在配置防火墻策略時一定要注意。

　　(7) 軟件本身的安全漏洞隱患

　　迄今為止沒有一款軟件是牢不可摧的，各種系統總會有大大小小的安全漏洞，應當及時修補這些漏洞，并對系統做好盡可能安全的各項設置，盡量采用服務最小化原則。目前所發現的微軟的Windows系統的安全漏洞比較多，更應及時安裝補丁。

　　在軟件方面，主要是考慮各種網絡服務器操作系統和應用服務器的安全，因為這是攻擊者首選的攻擊的目標。目前主流的網絡服務器操作系統有Windows、UNIX和Linux這三種，但是不管是哪種類型的操作系統，每隔一段時間都會被發現有一些大大小小的漏洞，其中有很多漏洞可以使攻擊者直接取得系統管理員的高級控制權限。服務器一旦被控制，那后果是不堪設想的，輕則會被拿來作為進攻其他機器的跳板，重則可能造成信息泄漏，更有甚者可能會破壞你所有的數據。但是只要扎扎實實地做好系統的各項安全設置工作，及時打上各種操作系統的補丁，堵住一系列的安全漏洞，同時加強在系統及企業信息安全方面的管理，我們還是可以抵御絕大多數入侵的。

　　另外，有很多基于操作系統的軟件或者是數據庫系統的漏洞也可能使得攻擊者取得系統權限，例如，IIS的各種大大小小的漏洞，MS SQL Server的漏洞和Oracle的漏洞等。同時操作系統和數據庫系統等的弱密碼策略也是系統的巨大安全隱患，所以也必須加強操作系統和數據庫系統的密碼管理，提高密碼的復雜性。

　　同時要注意，網絡上沒有絕對安全的服務器，也沒有絕對安全的主機，即使在一段時間內實現了安全，但是隨著新的漏洞被發現，新的攻擊手段被發現，你的服務器又會處于威脅之下。所以我們必須保持對服務器和所有工作系統及時更新，以及時堵住黑客入侵、攻擊的途徑。

　　(8) IT管理漏洞帶來的安全隱患

　　公司內部員工的權限設置，離職員工的賬號處理等都是企業存在的安全隱患。對于暫停使用的員工賬戶，網絡管理員要立即禁用。對于已離開公司的員工的賬戶一定要及時注銷或者刪除。內、外網用戶的訪問控制必須有適當的身份驗證機制，對外網的遠程訪問網絡活動應及時監控。

　　(9) 文件共享和用戶權限安全隱患

　　在企業網絡內部有時我們必須為所有或部分用戶提供一些共享文件，但如果共享權限配置不當，這些都可能給企業網絡帶來安全隱患。如具有寫權限的賬戶就可以在對方計算機上放置文件，這些文件就可能是黑客們安排的惡意程序。還有就是對一些企業的敏感數據，一定要嚴格限制用戶的訪問權限。

二 物理安全隱患

　　物理安全隱患是指網絡設備或工作場所使用不當可能帶來的安全隱患，特別嚴重的是采用無線局域網連接的企業用戶。主要包括機房安全隱患，數據安全隱患和用戶習慣安全隱患。

　　(1) 機房安全隱患

　　機房作為企業網絡系統的核心所在，其安全性應該是最高的。因為在其中不僅集中了整個企業網絡的核心設備，而且它還是整個企業網絡正常運行的核心、企業信息中心和企業數據中心。對于這么重要的工作場所，現在絕大多數企業沒有給予足夠的重視，所有員工進出機房就像進出辦公大廳一樣隨便，還有的企業甚至允許員工進入機房使用服務器等設備登錄，更有甚者在管理員不在的情況下機房長期開敞，這些都可能給整個企業網絡帶來巨大的安全隱患。只要有一些別有用心的人，就很容易使整個企業網絡處于停止、癱瘓，甚至崩潰狀態。因為雖然網絡服務器可能進不去，但是對其他各種網絡設備，包括UPS電源等都是十分容易控制的，只要把某些網線一拔、電源一關就可能造成嚴重的安全事件。而對于一些技能高超的黑客來說，在機房中長時間沒人，或者被允許使用服務器登錄時就可以很輕松地竊取服務器中的關鍵數據或信息，為他日后進行網絡攻擊打下基礎。這樣的安全隱患，對于一個有責任心的IT經理或網管員來說，真是想都不敢想，然而卻實實在在地在許多企業，特別是中小企業中存在。

　　一般來說，為了杜絕機房不安全事件的發生，我們必須在下班后，或者在管理員不在機房的情況下，用有效的鎖鎖住機房，并且盡可能封鎖其他進入機房的途徑。對于本企業中一些用戶需要進入機房的情況，要事先做好相應的規定，這樣一來執行起來就容易許多，否則很可能上、下不討好。同時要注意，現在無線網絡技術已非常發達，一些技術高超的黑客可以通過各種無線手段，如電磁滲透技術竊取服務器數據，所以建議在機房周圍劃出一定的安全區，防止別人通過電磁手段截取網絡中的數據，甚至是截獲屏幕顯示。

　　(2) 數據安全隱患

　　對于企業網絡數據應當及時做好各種類型的備份(具體選擇哪種備份類型，依據各自企業的容災方案而定)，而且數據的備份媒體應當保存在安全的專用保管柜或租用的銀行保管箱中。這里的安全包括物理上的安全(就是指鑰匙不容易自配、保管柜不容易被撬開)和環境上的安全，如不潮濕、沒蟲咬、鼠咬危險。

　　如有必要采用雙機熱備份甚至是異地容災系統，計算機應當處于UPS不間斷電源的保護之下，防止因突然斷電導致意外數據丟失。網絡的電纜也不能夠暴露在可視范圍內，防止別人采用電子手段通過電纜的電磁泄漏竊取重要數據(如果條件許可，盡量采用光纖)。另外，敏感的信息不能夠放在桌面或抽屜等別人可以接觸到的地方，對于敏感的打印文檔和磁帶應當及時申請銷毀。

　　(3) 用戶習慣安全

　　IT經理或網管員必須做好員工培訓計劃，使企業中所有使用計算機的員工，養成當離開自己的電腦或服務器時，隨時鎖住電腦或注銷登錄賬戶的習慣，不要把寫有密碼或者密碼提示的便條放在桌面上。如果員工所使用的電腦在CMOS中有開機密碼設置項，建議由系統管理員設置開機密碼(之所以應由管理員來設，主要是為了預防員工離職后不給管理員密碼，帶來不必要的麻煩)，這樣在關機后其他不知道密碼的用戶就不能使用這臺電腦登錄系統了。

　　還有，如果自己所使用的電腦裝有軟驅、光驅，最好在平常不用時在CMOS中禁用這兩個驅動器，只是當需要使用時再啟用它們。但這個CMOS設置一定要加密碼保護。加密碼后，其他用戶就不能隨便更改了，杜絕了非法用戶修改CMOS設置進入系統，或者使用一些可能給網絡帶來安全隱患的設備，如軟驅、光盤(它們都可能因使用帶毒媒體而感染網絡)。

三 網絡設備自身的安全隱患

　　盡管，網絡硬件設備受攻擊的難度要遠比軟件高，但在一些特殊行業中，網絡設備自身的安全性也要受到足夠的重視。因為攻擊者都知道，一旦成功入侵并實施攻擊，可以獲得巨大的利益，這點攻擊難度也就不是主要考慮的方面了。

　　目前企業網絡中最主要的網絡設備包括交換機、路由器和防火墻這三大類，還有就是各種WLAN設備。對這些設備自身的安全保護考慮主要是采用部件、設備和線路冗余方式進行。

　　在了解了以上各方面的網絡安全隱患后，我們接下來就要按上述隱患收集當前企業網絡安全系統的運行情況。當然還要包括整個企業網絡系統結構，這對于網絡安全策略的設計非常重要。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業網絡安全隱患詳解

本文網址：http://www.guhuozai8.cn/html/consultation/1083954156.html