導語：企業如何應對信息安全威脅一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】當前在全球范圍內，計算機病毒進入網絡時代后無孔不入，互聯網安全威脅問題愈演愈烈。網絡安全將面臨服務器端的變形、客制化加殼技術、特定應用的“點殺”技術、季節性的流行網站攻擊、“眾包”模式新的五大威脅。單一的安全防護技術并不足以構筑一個安全的網絡安全體系，多種技術的綜合應用才能夠控制安全風險。

【關鍵詞】信息；病毒；網絡攻擊；安全

0引言

當前在全球范圍內，計算機病毒進入網絡時代后無孔不入，互聯網安全威脅問題愈演愈烈。各種病毒、木馬等惡意程序變種速度快，傳播范圍小，且更加隱蔽，目的性更強，已經成為了當前病毒的主旋律。網絡安全將面臨服務器端的變形、客制化加殼技術、特定應用的“點殺”技術、季節性的流行網站攻擊、“眾包”模式新的五大威脅。在網絡安全的實際應用中，單一的安全防護技術并不足以構筑一個安全的網絡安全體系，多種技術的綜合應用才能夠將安全風險控制在盡量小的范圍內。合理部署傳統防火墻、ips入侵防御系統、防毒墻、上網行為管理器、桌面殺毒軟件，融合各種安全技術，防范于未然。

1傳統防火墻

一般而言，安全防范體系具體實施的第一項內容就是在內部網和外部網之間構筑一道防線，以抵御來自外部的絕大多數攻擊，完成這項任務的網絡邊防產品我們稱其為防火墻。類似于建筑大廈中用于防止火災蔓延的隔斷墻，Internet防火墻是一個或一組實施訪問控制策略的系統，它監控可信任網絡（相當于內部網絡）和不可信任網絡（相當于外部網絡）之間的訪問通道，以防止外部網絡的危險蔓延到內部網絡上。防火墻是一類防范措施的總稱，它使得內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。其功能：在互聯網接口處提供安全保護措施，防止外部入侵；對服務器進行保護，不僅防止來自互聯網的攻擊，也可以防止內部員工利用內網對服務器進行攻擊；構建VPN，解決總部和分支機構間的互聯互通和移動辦公需求，合作伙伴、在家辦公的員工、出差在外的員工可以在企業之外訪問公司的內部網絡資源；通過安全檢查，過濾包含非法內容的網頁，郵件，FTP；帶寬管理，確保即使在網絡出現擁堵時；重要部門也能夠快速、便捷、順暢、優先上網；對員工上網進行管理，防止他們在上班時間利用網絡做與工作無關的事，而且控制策略多種多樣；控制策略可以做到基于人而不是基于電腦；控制策略還可以基于時間。在某個時間段以外就不能上網；可以限制每臺主機，每個網段的并發連接數。

2IPS入侵防御系統

近年來企業所面臨的安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡、DDoS、攻擊、垃圾郵件、網絡資源濫用（P2P下載、IM即時通訊、網游、視頻）等，極大地困擾著用戶，給企業的信息網絡造成嚴重的破壞。基于目前網絡安全形勢的嚴峻，入侵保護系統IPS（IntrusionPreventionSystem）作為新一代安全防護產品應運而生。網絡入侵防御系統作為一種在線部署的產品提供主動的、實時的防護，其設計目標旨在準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。IPS是通過直接串聯到網絡鏈路中而實現這一功能的，即IPS接收到外部數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。此系統適于部署在具有重要業務系統或內部網絡安全性、保密性較高單位的網絡出口處。

3防毒墻

傳統的計算機病毒防范是在需要保護的計算機內部建立反病毒系統，隨著網絡病毒的日益嚴重和各種網絡威脅的侵害，如何更好、有效地保護企業內部網絡是當前安全廠家、企業用戶都在關心的問題。從企業角度而言，如果能將病毒在通過服務器或公司內部網關之前予以過濾，將是防病毒最有效的方法。防毒墻就滿足了這一要求。防毒墻是集成了強大的網絡防殺病毒機制網絡層狀態包過濾、敏感信息的加密傳輸和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。防毒墻在毀滅性病毒和蠕蟲病毒進入網絡前即在網絡邊緣進行全面掃描，防毒墻可用于獨立式邊緣病毒掃描結構，同時，它也可以作為企業整體網絡防病毒的一個組成部分，建立網絡邊緣（網關）、客戶端和服務器三層病毒掃描架構的立體網絡防病毒體系，是一個網絡一體安全解決方案的網絡安全產品。防毒墻適用于各種復雜的網絡拓撲環境，可以根據用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協議內容檢查、清除病毒的能力，同時通過實施安全策略可以在網絡環境中的內外網之間建立一道功能強大的防火墻體系，不但可以保護內部資源不受外部網絡的侵犯，同時可以阻止內部用戶對外部不良資源的濫用。防毒墻從完整意義上解決了企業網絡防護和網絡邊緣殺毒的問題。此設備適合部署在單位網絡邊緣提供進出整個網絡的病毒查殺。

4桌面殺毒管理

在客戶端安裝LANDesk進行監控，Landesk管理軟件和安全套件為Landesk的旗艦產品，能幫助我們簡單方便的通過單一控制臺和單一數據庫全面主動的了解、管理、更新和保護所有桌面電腦、服務器、以及各種各樣的移動設備。并且可以允許我們通過單一控制臺同時使用Landesk資產管理器、Landesk系統管理器、Landesk應用程序虛擬化、Landesk企業版防病毒軟件以及主機入侵防護系統等各種其它可選的產品功能。同時還能與Landesk流程管理器和Landesk服務器管理器集成使用。Landesk管理軟件可以幫助我們詳細統計的所有終端軟硬件的信息，及時掌握全網IT軟硬件資源的每一個細節；使我們迅速方便的解決終端的故障，提高對可疑事件的定位精度和響應速度；可以有效的降低故障的出現頻率，減輕I我們的工作強度，降低IT維護的成本；可以幫助我們限制終端的軟件非法使用及操作；可以幫助我們解決一些應用軟件之間的相互沖突問題，降低維護軟件的復雜性；可以幫助我們解決現有應用軟件對操作系統的依賴性，減少軟件升級帶來的成本增加。

5上網行為管理系統

上網行為管理系統從網頁過濾、帶寬管理，流量控制、信息外發監控(對Email、Webmail、BBS、IM等信息傳遞渠道的監控能力)等方面對上網的人員進行管理。以達到健康、干凈的網絡。可以禁止網絡發帖和網頁登陸郵箱，保護企業的內部資料及知識產權。能過濾網址的關鍵字和文件后綴名，限制用戶下載某些類型的文件（例如EXE、BT種子文件等），減少病毒來源，提高網絡速度和工作效率。1．聊天及P2P軟件過濾：可以管制QQ\MSN\飛信\SKYPE等聊天工具，允許例外的QQ號碼正常使用；有效限制BT\迅雷\PPLIVE\電驢等P2P軟件、及炒股軟件，，防止帶寬被濫用。2．上網時間控制：可以對內網用戶進行上網時間控制，合理安排各部門成員的上網時間。可設置每周上網時間，也能設置每天的上網時段。這個功能對于實現上網計費的需求極具擴展價值。3．郵件管理與監控：對用戶使用郵件客戶端（例如OUTLOOK、FAXMAIL等）通過POP3/SMTP協議收發郵件時，進行收發郵件的鏡像和監控。4．分組管理：通過IP地址組來規劃局域網的組織結構，好的規劃會使整個網絡架構井然有序。為不同部門或級別的用戶分配不同的上網權限，并有效降低您的維護量。

6Windows系統安全加固

使用Windowsupdate安裝最新補丁；更改密碼長度最小值、密碼最長存留期、密碼最短存留期、帳號鎖定計數器、帳戶鎖定時間、帳戶鎖定閥值，保障帳號以及口令的安全；卸載不需要的服務；將暫時不需要開放的服務停止；限制特定執行文件的權限；設置主機審核策略；調整事件日志的大小、覆蓋策略；禁止匿名用戶連接；刪除主機管理共享；限制Guest用戶權限。

7結束語

隨著科學技術的發展，計算機技術、網絡技術已經滲透到我們工作中的每一個角落，各網絡系統必須建立一個較為完整的集主動式入侵防御、防病毒、認證和訪問控制于一體的、針對內部終端防御、外部安全威脅傳播以及數據的安全傳輸的安全體系。

作者:高慶芳 單位:冀中能源股份有限公司東龐礦

【參考文獻】

［1］周學廣,等.信息安全學[M].北京機械工業出版社,2003,3.

［2］高傳善,錢松榮,毛迪林.數據通信與計算機網絡[M].高等教育出版社,2007,1.

［3］馮元.計算機網絡安全基礎[M].北京科學出版社,2003,10.