王 涛

[摘 要]随着企事业单位信息化的飞速发展,网络信息系统发挥的作用越来越大,现代企事业单位对网络信息系统的依赖也日益增强。本文通过对企事业单位的调研,在分析网络信息安全理论基础上,对企事业单位网络信息安全现状进行了总结,并对企事业单位网络信息安全风险及漏洞等关键技术进行了详细的分析。

[关键词]网络安全 信息安全 安全体系 安全系统

[中图分类号]TP394[文献标识码]A[文章编号]1007-9416(2009)11-0128-01

1 引言

随着信息网络的高速发展,企事业单位也不可抗拒的加入到了信息网络的时代之中。越来越多的企事业单位都逐步的组建了自己的本地局域网络,从而实现了其生产过程自动化和管理水平信息化。信息化的实现使企事业单位的工作效率得以极大的提高。因此,信息管理工作在现代的企事业单位中发挥着越来越重要的作用。随着信息技术的广泛、深入的应用,各种先进的局域网络给企事业单位办公和管理带来高效率的同时,也带来了新的网络信息安全问题。

2 网络信息安全概述

2.1安全的含义

网络信息安全涉及到信息的机密性、完整性、可用性、可控性。它是为数据处理系统而采取的技术的管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。随着网络时代的迅速前进,信息安全的含义也在不断的变化发展,单纯的保密和静态的保护已经不能适应当今的需求,如今的信息安全已变成为了一个信息保障体系系统。信息保障以依赖于人、操作和技术三个因素,实现有组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施。

2.2安全威胁

网络信息安全威胁可以来源于内部某个被认为可信的雇员对系统的欺骗,也可以来源于外部黑客,或粗心的数据录入员。各种威胁的影响千差万别,有些影响数据的保密性和完整性,而另一些则会影响系统的可用性。具体来说,信息安全面临的威胁可分为认为威胁和自然威胁。

2.3安全体系结构

网络安全体系结构系统划分为结构层次、完全特性和系统单元三个方面。

3 企事业单位信息化网络所存在的安全风险分析

3.1路由/交换设备的安全风险

路由设备负责为网络中的信息传输和交换选择优化路径,由此可见,路由设备在信息网络中的核心地位,路由设备的安全直接影响到整个网络的安全。路由设备的安全风险主要有:(1)路由器缺省情况下只使用简单的口令验证用户身份,并且远程TELNET登陆时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。(2)路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。(3)每个管理员都可能使用相同的口令,因此,路由器对于谁曾经做过什么修改,系统没有跟踪审计的能力。(4)路由器实现的某些动态路由协存在一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络路由设置,达到破坏网络或为攻击做准备的目的。

3.2数据库系统安全风险

数据库系统是局域网络体系里不可缺少的重要组成部分,它负责担负管理和储存网络中数据信息的任务。随着数据库技术的不断发展,一些非法用户也利用先进的技术攻击、破坏数据库系统,窃取数据库中的数据。数据库系统的安全风险日益严重。数据库中的安全风险主要表现在两个方面:1、数据库数据的安全,数据库中存放着大量的数据,它应能确保当数据库系统崩溃时,当数据库存储媒体被破坏熟以及当数据库用户错误操作时,数据库信息不至丢失。2、数据库系统的安全,数据库系统应该不被非法用户侵入,应该尽可能的堵住潜在的各种漏洞,防止非法用户利用他们侵入。现实中,数据库系统的安全风险主要来源于操作系统、管理和用户风险三个方面。操作系统的风险主要集中在病毒、后门、数据库系统和操作系统的关联性方面;用户安全意识薄弱,对信息网络安全重视不够,安全管理措施不落实,导致安全事件的发生,这些都是当前安全管理工作存在的重要问题。

3.3 WINDOWS系统安全风险

由于目前企事业单位局域网中最流行的操作系统是WINDOWS系列,所以本文对操作系统安全分析基于WINDOWS之上。由于WINDOWS系统的复杂性,以及系统的生存中期比较短,系统中存在大量已知和未知的漏洞,一些国际上的安全组织已经发布了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。大量漏洞可以使入侵者在主机上或通过网络获取SAM数据库的拷贝。如系统中的备份操作员,服务器操作员,以及所有具备备份特权的人员可以直接拷贝SAM数据库;一些远程入侵工具可以利用WINDOWS的服务器信息块协议(Server Message Block protocol)SMB的一些为公开的命令下载SAM数据库等等。

4 企事业单位局域网络安全的实施

4.1建立网络安全管理组织

企事业单位应该建立自己的网络信息系统,并按照从高到低的权利进行管理组织,从而负责规划本单位局域网络信息安全有关规划、建设、投资、安全政策等方面的决策和实施。单位建立网络安全管理组织还能确定网络信息安全各岗位人员的职责和权限,建立健全本系统安全规程和制度,做到安全审计跟踪和分析检查,及时发现和处理安全风险隐患。

4.2建立完善的网络安全体系

(1)建立完善的局域网中心网络安全体系:面对日益复杂的网络入侵技术和网络环境,如何确保单位内部关键业务信息和生产数据安全的前提下实现信息共享,已经成为突出尖锐的问题。要较为有效的解决这个问题,企事业单位必须采取一系列的网络安全措施放案,尤其有必要在单位局域网中建立完善的中心网络安全体系。在企事业单位局域网内设置中心网络完全体系采用物理隔离的方法实现了将内网和外网间接相连,大大加强了单位的局域网的信息安全系能。

(2)建立完善的网络安全策略体系:在局域网信息安全管理中,技术是基础,是科学管理的立足点。但一味依赖技术的安全保证是远远不够的,企业的规模制度保障、组织保障及网络安全教育、人员素质提高等往往成为信息网络安全的决定因素。因此,建立相应的科学网络安全策略体系是局域网信息安全体系的保障。

5 结语

随着计算机技术的发展和INTERNET的普及,局域网内的应用日益广泛,与IXPERNET的交互也日益频繁,大量来自内部的攻击,混杂在日常的应用中,更加难以查找攻击源。而目前大多数的企业局域网将安全产品部署在网络的边界,内部只有特定的漏洞检测和防毒产品等。因此本文针对企事业单位局域网所存在的风险,从网络的管理和技术两个方面提出了相应的安全实施措施.

[参考文献]

[1] 刘建培.校园网信息安全探讨.网络安全技术与应用,2006,10期:28.29.36.

[2] 孙洪洋.浅谈校园网信息安全策略.职业技术,2006,10期:58.