網絡安全現狀以及企業中的網絡安全新版多篇

企業的網絡安全 篇一

一、企業網絡安全存在的主要問題

（一）內部網絡存在的主要問題

企業內部人員對信息網絡形成的威脅，肆意破壞信息系統，有意或者無意泄密，非授權人員有意竊取機密信息，病毒的破壞作用，而其也是不容忽視的，它會影響計算機系統的正常運行，是影響企業內部網絡安全的最主要的因素；另一方面因為企業內部網絡是一個極其特殊的網絡環境，隨着企業內部網絡的規模的不斷擴大與發展，很多企業基本上實現了科室辦公上網，這同時也伴隨着一定的問題，內部網絡的監管與控制更加困難；除此之外，企業的內部規章制度還不夠完善，不能夠有效的約束和規範領導和員工上網的行為，從而存在一定的安全隱患。

（二）與外部互聯網的連接存在的安全隱患

與外部互聯網聯接時會遭到外部網絡的攻擊，來自外部互聯網絡的安全威脅主要是在進行某些業務時，要與外部互聯網絡進行某些連接，連接集中在存有安全威脅的外部互聯網絡的數據上，因為沒有一定的防護設施，內部的網絡會很容易被訪問，內部的整個網絡系統就會被攻擊，另一方面，企業工作人員經常需要出差，在出差在外時與企業的連接，這種連接就使得企業的內部網絡非常容易受到來自因特網的攻擊。

（三）因網絡黑客攻擊而造成資料的泄密

黑客肆意妄為，破壞的手段也越來越多樣化。企業的內部資料對於整個企業經營來説相當重要，因為它關係到整個企業的生死存完，一旦泄露定會給企業造成一定甚至是巨大的損失，在不同的環境中使用加密技術來實現對網絡信息的保護，存在一定的侷限性，雖然訪問控制技術在某種程度上能夠控制其傳播的範圍和信息的使用，然而當業務的效率和控制發生衝突時，企業存放的信息的安全隱患定會迅速暴露，就會因網絡黑客攻擊而造成資料的泄密。

（四）網絡癱瘓

一般情況就是網絡崩潰了，導致整體無法訪問，例如廣播風暴，網絡環路，除此之外就是因為設備出的問題，例如某台電腦的交換壞了，也會影響到整個企業的網絡系統，還有ARP病毒攻擊造成網絡的癱瘓，黑客會針對弊端攻擊操作系統，讓計算機網絡系統尤其是服務器的系統立即癱瘓；也會通過控制企業網絡系統，內部網絡系統就會被攻擊，讓電腦的主機沒有辦法進行相關工作，系統和整個網絡就有癱瘓的可能。

二、存在問題的原因分析

企業的網絡要能夠正常的進行，就必須保證企業的網絡是安全的，企業網絡安全不僅要求其單點是安全的，其整個信息網絡也必須是安全的，這就要從各個方面對網絡加強防護措施，確保其能正常運行，才能達到維護企業網絡安全的效果。為了確保整個網絡系統的安全，最重要的是要明白那些安全隱患是如何產生的，從哪裏來。網絡安全涉及到管理方面和技術方面，包括其網絡層，管理層，系統層上等各種風險，只要任何一個方面出現問題，安全隱患問題就會很快暴露出來，而這些安全隱患問題都會造成企業的整個網絡無法正常工作，下面我根據企業網絡的基本情況，從網絡系統的各方面進行系統地分析。

（一）操作系統存在的相關安全風險分析

電腦的系統安全的含義是指電腦的整個操作系統是安全的。操作系統是以能使電腦正常工作為出發點，很少考慮到了安全性的問題。因此在安裝操作系統的時候存在很多缺省的選項，這必然會存在一定的風險。而又安裝了一些沒有什麼作用的模塊，這樣不該開放的端口也會處於開放的狀態，安全問題自然就會馬上暴露出來，然而目前電腦的整個操作系統現在並不完善，現有的操作系統不管是UNIX還是Windows的操作系統或是其他的一些應用系統，一定會將後門運用到系統上。任何事物都不會是完美的，操作系統也一樣，它也存在一定的安全隱患，運用後門就會存在很大的風險問題。而操作系統的安全度和相關的配置及系統的相關應用都有着密切的聯繫，一旦缺少了好的適合操作系統的安全設備，就會導致一系列的安全問題，就很容易被不法分子攻擊。

（二）網絡結構的安全風險分析

1、企業內部網絡的安全威脅

根據有關的調查顯示，網絡中存在安全隱患主要是因為內部網絡遭到攻擊目，而會讓企業內部網絡有安全隱患，主要是因為企業員工的泄密，故意亂用企業的重要信息資料，通過各種途徑將企業信息傳播給他人。

2、外部互聯網的威脅

企業的網絡與外部網絡有互連。由於企業的整個網絡覆蓋的面積很廣，範圍也大，其內部網絡就會面臨着更大更多的風險，一些不法分子會想方設法進到企業網絡的相關節點。員工主機上及網絡系統中的辦公系統都會有一些被泄漏的信息資料。無論企業內部網絡哪個電腦受到了損害，存在安全問題，企業的其他的很多系統就會受到一定程度的影響，經過不斷的傳播，連接到本網絡的任何其他單位的整個網絡系統也都會被影響，如果外部連接和內部的連接之間沒有實行一些安全保護措施，內部網絡就會很容易受到來自外網某些居心叵測的入侵者攻擊。

3、企業網絡的設備存在的安全隱患

企業網絡的所有設備由防火牆，路由器和交換機等組成，這些設備很重要，因為其都有着複雜的設置程序，即使在被誤解和忽略的情況下也能使用，但卻沒有安全保障，它的安全性很低。

（三）管理的安全分析

管理方面上的安全隱患主要包括有相關人員沒有分清責任，設置的口令和用户名稱相同，是的有關權限的管理方面非常的混亂，從而造成企業信息外泄；另一方面內部網絡結構，重要資料，用户名稱及管理的口令被他人知曉，就存在了信息泄密的可能性，一些工作人員及本企業的管理人員想要圖方便省事，所設置的口令過於簡單或過短，或者乾脆不設用户口令，導致其很容易被解除。內部員工的不滿會給企業帶來很大的安全問題，管理制度不完善，責任和職權不分明，沒有可操作性等一系列因素都會致使管理上存在一定的風險。管理很重要，對企業網絡安全起着決定性的作用，它是防止出現內部網絡安全隱患問題的必要措施之一，除了要從技術上下功夫外，還得通過一定的安全管理來實現。

網絡安全機制 篇二

1 訪問控制

訪問控制是網絡安全防範和保護的主要策略之一，其主要內容是保證網絡資源不被非法使用和訪問。訪問控制涉及到技術比較廣，主要包括：第一，入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制。能控制那些用户能登陸到服務器並獲取網絡資源，控制准許用户入網的時間和准許他們在哪台工作站入網。用户的入網訪問控制可分為三個步驟：用户名的識別與驗證、用户口令的識別與驗證、用户帳號的默認限制檢查。三道關卡中只要任何一關不過，用户便不能進入網絡。第二，網絡權限控制。網絡權限控制是針對網絡非法操作所提出的一種安全保護措施。用户和用户組被賦予一定的權限，控制用户可以訪問那些目錄、子目錄、文件和其他資源。例如，可以根據訪問權限將用户分為幾類：特殊用户、一般用户、審計用户等，對不同的用户分配不同的資源訪問權限。第三，目錄級安全控制。網絡允許合法用户對相關目錄，文件和設備的訪問。例如，對目錄和文件的訪問權限一般有八中：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。網絡管理員應當為用户指定適當的訪問權限，這些訪問權限控制着用户的訪問和操作，八種訪問權限的有效組合可以讓用户有效的完成工作，同時又能有效地控制用户對服務器資源的訪問，從而加強網絡與服務器的安全性。第四，屬性安全控制。當使用文件，目錄和網絡設備等資源時，系統管理員應給文件、目錄等指定訪問屬性。屬性安全是在權限安全的基礎上提供進一步的安全性。網絡上的資源都應預先標出一組安全屬性，用户對網絡資源的訪問權限對應一張訪問控制表，用以表明用户對網絡資源的訪問能力。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享等。

2 數據加密技術

通常由加密和解密兩個過程組成，通過加密密鑰將明文轉變成不可讀的密文，通過解密算法和解密密鑰將密文恢復為可讀的明文。加密的目的是防止有價值的信息在網絡上別攔截和竊取。根據加密方和解密方使用的密鑰是否相同，可將加密技術分為對稱加密算法和非對稱加密算法。前者算法簡單，算法效率高，但是密鑰管理非常麻煩，因為任意一對通信之間都需要分配一個密鑰。它在一些特殊的應用場合非常有效，如銀行系統中應用等。而後者算法複雜，算法效率低，但是密鑰管理簡單，因為其中有一方的密鑰是公開的。下面通過ATM取款來説明加密算法的應用。如何保證客户在ATM機上輸入的銀行賬號數據不泄露呢？用數據加密使客户的銀行數據在ATM端通過加密後，將數據傳送到銀行的服務器端，服務器完成數據解密和處理後，再將處理結果傳送給ATM端。

3 防火牆

一個實施訪問控制策略的系統，它位於內部網與公共網絡之間，將內部網與公共網絡分隔開來，用於控制進出內部網的通信數據，加強網間訪問控制。防火牆軟件可以運行在一台路由器或者主機之上，也可以運行在由這些設備構成的小規模網絡上。運行防火牆軟件的硬件設備可以是專門的路由器或者主機，也可以是兼有傳輸功能的路由器或計算機功能的主機。兩種類型的防火牆可以相互補充，相互配合。實現防火牆的技術包括分組過濾技術、代理服務器技術和狀態檢測技術。防火牆不能保證網絡上數據的完整性。它本身不是完整的安全解決方案，需要與其他安全措施相結合，如加密技術、認證技術和入侵檢測技術。

4 Windows XP的基本安全防範手段

主要包括用户管理、密碼設置、共享管理、系統信息備份與恢復以及硬盤安全操作等。這些針對身份認證、基本訪問控制、災難恢復方面的基本設置可以提高系統的安全性，提供對病毒和惡意代碼攻擊的防禦能力。

要進一步提高系統的安全保障，可以使用更高級的安全措施，如Windows XP提供的更高級安全防範手段包括關閉不必要的端口和服務、Office辦公軟件的保密性設置、壓縮文件的加密方法、電子郵件和IE瀏覽器的安全使用等。

下面以關閉端口為例説明Windows XP的高級安全防範手段：端口是計算機與外界通信的渠道，它們就像一道道門一樣控制着數據與指令的傳輸。各類數據包在最終封包時都會加入端口信息，以標識不同的協議和應用。許多蠕蟲病毒就是利用端口信息實現惡意騷擾的。因此，有必要把一些危險而又不常用的端口關閉掉，以保證系統安全。

在TCP/IP中關閉端口的步驟如下：⑴進入配置IP地址的“Internet協議（TCP/IP)屬性”對話框後，單機“高級”按鈕，打開“高級TCP/IP設置”對話框；⑵選擇“選項”選項卡；⑶選中“TCP/IP篩選”，單擊“屬性”按鈕，打開“TCP/IP篩選”對話框。選中“只允許”單選按鈕，單擊“確定”按鈕後，就關閉了除指定的三個端口以外的其他端口。這樣，計算機安全得多。還可以對其他選項卡設置。例如，要禁NetBIOS(Network Basic Input/Output System，網絡基本輸入輸出系統），只需選擇“WINS”選項卡，然後選中“禁用TCP/IP上的NetBIOS”單選按鈕即可。禁用NetBIOS後，可避免黑客利用NetBIOS漏洞入侵計算機系統。

網絡安全的現狀 篇三

一、網絡安全現狀

如今，網絡技術出現了高速發展的狀態，越來越多的人可以坐在辦公室或是家裏從全球互聯網上了解到各種各樣的信息資源，處理各種繁雜事務。然而，網絡技術的發展在給計算機使用者帶來便利的同時也帶來了巨大的安全隱患，尤其是Internet和Intranet的飛速發展對網絡安全提出了前所未有的挑戰。技術是一把雙刃劍，不法分子試圖不斷利用新的技術伺機攻入他人的網絡系統。下面以幾個實例説明網絡中存在的安全隱患。

2009年新華網北京報到，7月13日韓國政府網站受到新一輪黑客攻擊，暴露了韓國網絡安全方面存在的問題，也使韓國作為國際“信息技術產業發電站”的形象受到影響。韓聯社13日報道説，身份不明的黑客攻擊了包括總統辦公室網站在內的26個韓國政府網站，造成網站癱瘓或速度變慢，使合法用户無法正常登錄。這些黑客摧毀了1000多台私人電腦的硬盤。韓國相關部門的報告顯示，在665個政府部門機構中，每個機構只有平均0.7名專家負責網絡安全。還有68%的政府部門根本就沒有網絡安全專。

據鳳凰網報到，2007年4月26日晚上10時左右，在沒有任何預兆的情況下，愛沙尼亞政府網站突然被電子信息淹沒。儘管有防火牆、額外服務器和人員應付這類突發性事件，但防線還是遭攻破，攻擊次數呈指數式增長。國會電郵服務器是最先遭殃的網絡設施之一。被攻擊的目標迅速增加到好幾百個，包括政府、銀行、新聞媒體和大學的網站。5月18日出現最後一波攻擊後，這一場網絡戰才逐漸平息下來。

IBM2005年8月4日公佈的全球業務安全指數(Global Business Securty Index)報告顯示，今年上半年，全球針對政府部門、金融及工業領域的電子網絡攻擊增加了50%，共錄得23700萬起，其中政府部門位列“靶首”，錄得5400萬起，其次是工業部門3600萬起，金融部門3400萬起，衞生部門1700起。這些電子攻擊的目的主要是為了竊取重要資料、身份證明或金錢。而美國是大部分電子網絡攻擊的源頭。今年上半年全球遭受的電子網絡攻擊案中，共有1200萬起源於美國，120萬起源於新西蘭，100萬起源於中國。

不久前，根據CNCERT，就是國家計算機網絡應急處理技術協調中心公佈的2007年上半年的報告，其中特別提到“殭屍網絡” 和“木馬”對國家安全造成的嚴重危害。報告指出，今年上半年中國大陸地區的大量主機被境外黑客植入木馬程序。據一位網絡安全技術專家所説，“木馬”不僅是一般黑客常用的工具，更是網上情報刺探活動的一種主要手段。這位專家介紹，“木馬”特指計算機後門程序，它通常包括控制端和被控制端兩部分，被控制端一旦植入受害者的計算機，操縱者就可以通過控制端實時監視該用户的所有操作，有目的地竊取重要信息和文件，甚至還可以遠程控制受害計算機，使其對其他計算機發動攻擊。

網絡的開放性決定了它的複雜性和多樣性，隨着技術的不斷進步，各種各樣高明的黑客還會不斷誕生，同時，他們使用的手段也會越來越先進。因此，網絡安全問題會隨着網絡的存在一直伴隨着人類。

二、產生網絡安全問題的原因

第一個方面，設計：在早期的系統設計中，由於人們認識的有限性，設計能力的侷限性，導致在開發系統時就留下了漏洞，以至於使得系統在使用過程中變的脆弱，容易受到攻擊。

1、協議缺陷

網絡協議是計算機之間為了互聯共同遵守的規則。目前的互聯網絡所採用的主流協議TCP/IP，由於在其設計初期人們過分強調其開發性和便利性，沒有仔細考慮其安全性，因此很多的網絡協議都存在嚴重的安全漏洞，給Internet留下了許多安全隱患。比如説應用層的Telnet協議、FTP協議、SMTP協議等都缺乏一些認證和保密措施，這就為一些不正當行為打開了一扇方便的大門，如否認和拒絕等欺瞞行為。

2、操作系統缺陷

操作系統缺陷也是目前網絡存在安全隱患的一個原因。現在網絡用户使用的操作系統種類繁多，但是，不同的類型和版本在運行過程中所處的狀態不同，運行結果也不同，這是設計者也很難預測到的，因此會給入侵者留下漏洞。Windows系統就是這樣 。

第二個方面，管理：網絡管理不僅包括內網管理，也包括整個通信網絡其它部分如廣域網或設備等的管理。嚴格管理是使企業、組織及政府部門和用户免受網絡安全問題威脅的重要措施。當前許多網絡在建設時缺乏前瞻性，導致網絡信息安全建設資金投入不夠，各項基礎性管理工作相對較弱。很多企業、機構及用户的網站或系統都疏於管理，沒有制定嚴格的管理制度或執行不嚴。

第三個方面，信任：還有一類入侵威脅，那就是來自於網絡內部。網絡內部的成員一般很難確定出它的好壞，因此，這給攻擊者帶來了可乘之機。攻擊者很可能是企業網內部的心懷不滿的員工、網絡黑客，甚至是競爭對手。這些人羣一旦存在於網絡內部，那會很容易接觸到核心數據和資源，這無疑會對網絡安全造成很大的隱患。此時，防火牆早已失去了它的防護意義。

三、網絡安全的研究現狀

什麼是計算機網絡安全？其實簡單理解就是指網絡中所保存的東西不被他人竊取。要想保證網絡的安全，就要利用網絡管理和控制技術，這樣才能使得網絡環境中的信息數據具有機密性、完整性和可用性，也能保證網上保存和流動的數據，不被他人偷看、竊取和篡改。防火牆技術、病毒軟件、加密技術、用户認證、入侵檢測系統等技術是當前比較常用的安全技術。其中，防火牆和入侵檢測是兩種重要的、可以互為補充的安全技術，兩者從不同的角度、不同的層次實現了被保護的網絡系統的安全。

研究者把安裝在內外網絡之間或者是可以限制網絡與網絡之間相互訪問的一種安全保護措施叫做防火牆技術。防火牆把內外網絡隔離開，形成了一道安全保護屏障。主要技術有：包過濾技術，應用網關技術，代理服務技術。

把一個信息經過密鑰及加密函數轉換成無意義的密文，然後接收方將此密文通過解密函數或者解密鑰匙還原成明文的技術叫做網絡數據加密技術。它是數據保護的最基本的方法，也是一種安全機制，它可以在網絡環境中對抗被攻擊的行為。但是這種方法也有弊端，它只能防止第三者獲取網絡中的真實數據，這只是解決了網絡安全的一個方面，而且加密技術也存在漏洞。

為了保證系統的足夠安全，僅僅依賴防火牆是遠遠不夠的，因此，研究者可以用入侵檢測系統來彌補防火牆的不足，作為它的合理補充，從而共同應對各種不同的網絡攻擊，提高系統管理員的管理能力，增強網絡安全結構的完整性。入侵檢測收集並分析若干關鍵點信息，通過分析從而檢測是否有可以行跡或是否遭到襲擊。入侵檢測可以作為防火牆之後的第二道安全防護，它能夠對網絡所有的運行情況進行檢測，並且不會因此影響網絡的正常性能，所以，它可以提供全方位的安全保護。

現在，人們已經將免疫算法、優化理論、Agent技術和數據挖掘等許多技術應用到入侵檢測領域，這無疑對入侵檢測技術的研究起到了一個推動作用。基於短序列匹配算法的系統來檢測異常的技術就是由新墨西哥大學Stephanie Forrest研究組研製成功的。另外，哥倫比亞大學的Wenke Lee研究小組在入侵檢測技術中應用了數據挖掘的分類算法、關聯數據挖掘、序列挖掘等算法，他們是在入侵檢測系統中最早應用數據挖掘的研究工作小組。