随着互联网网络应用的不断普及，企业网作为互联网最重要的部分之一，也在不断地发展。企业网不是一个简单的局域网，因为其具有高使用性、服务应用的多样性等，因此企业网运行的安全性、稳定性的问题，以及用户的安全管理问题都十分复杂和困难，这关系到一个企业的支持运行。

    1 企业网安全分析

    1．1 网络层的安全分析

    网络设备主要包括网络的出口防火墙、路由器、交换机等设备。网络层不仅为网络提供连接通路和网络数据交换的连接，而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP／IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络会受到来自网络外部和内部的双重威胁。

    在外网互联网中存在着大量的黑客攻击，黑客主要以攻击Web服务器和邮件服务器作为突破口，进行网络攻击和渗透。常见的一些手法如下：IP欺骗、重放或重演、拒绝服务攻击(SYN FL00D，PINGFL00D等)、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客可以容易地在网络出口进出，对系统进行攻击或非法访问。

    而在网络内部，有内部网络用户无意识地使用了带有病毒或木马等的程序，也可能有内部用户的恶意攻击和入侵，就可以导致网络中更多人中病毒，而且导致网络瘫痪。加上用户的安全意识不强和安全管理上的不够完善等因素，或者在已有的服务器与单机中存在着后门程序(木马程序)的话，攻击者就可以很容易地取得网络管理员权限，从而进一步控制计算机系统，网络中大量的数据就会被窃取和破坏。

    由于现在流行的P2P应用越来越多，比如BT下载、在线视频等等，这种应用是建立在大量的连接数上，网络整体流量会因为部分用户使用P2P软件而不断增大，严重影响带宽，从而影响常见WWW、E-mail等应用的正常使用。不能保证正常的应用，将无法保证教学和办公的正常进行。因此，P2P应用对网络安全也有很大危险。

    1．2 网络系统层的安全分析

    在网络中都运行着不同的操作系统，如：Windows、Linux、Solaris等等，这些系统或多或少地存在着各种各样的漏洞。据IDC统计1000个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽，使用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。

    企业网中常用的服务器，如：

    数据库服务器、邮件服务器、FTP、WEB、DNS、DH CP、文件服务器等等，而这些服务器都担负着重要的服务功能，如果这些服务器(尤其是有大量的数据处理的服务器)，一旦瘫痪或者因被人植入后门造成远程控制窃取数据，后果不堪设想。为了保证业务数据的正常流通和安全，需对这些重要的服务器进行全方位的防护。

    1．3 网络应用层的安全分析

    应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题，黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的，比如针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、SAP、Peoplesoft缺省账户。

    应用层的安全威胁还包括对各种不良网络内容的访问，比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。有的互联网站点上还包含有害的Java Applet或ActiveX小程序，如果不慎访问将有可能带入病毒和木马程序，甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统，对网络安全和效率都将造成极大破坏。

    另外，除了操作系统和应用系统自身的安全漏洞外，一些企业网的网站也存在一些程序漏洞，这是由于网页开发技术水平限制造成的。常见的程序漏洞会导致操作系统受到完全控制，入侵者可以做恶意操作，篡改网页、删除文件等等。

    1．4 病毒风险分析

    计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA(国际计算机安全协会)的统计，目前已经有超过90％的病毒是通过网络进行传播的。企业网网络内用户访问互联网时，无论是浏览Web页面，还是通过FTP下载文件，或者是收发E-mail，都可能将互联网上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络中的一台计算机感染蠕虫病毒后，它会自动地以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞，并主动地将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击(DoS)。

    1．5 网络管理层安全分析

    网络安全并不仅仅涉及到技术问题，因为有用户人的因素存在，就需要有用户安全管理。但大多数企业还没有建立完善的网络管理制度或者用户使用规则，网络用户对网络的使用没有有效的管理和正确的引导，造成滥用网络资源、破坏网络秩序等不良现象。

2 企业网安全策略

    针对以上常见的安全问题，需要从用户管理、应用安全、设备安全等几方面实施针对性的安全策略。安全策略的原则是保证常用服务的正常运行，保证合法用户使用网络资源，拒绝非法或者未经认证用户访问，对网络用户的行为进行监控与记录。

    2．1 网络设备安全管理策略

    网络设备一旦遭到攻击或者破坏，必将导致部分用户无法稳定正常地访问网络，甚至整个网络瘫痪。一方面要保证物理安全，防止盗窃、防止人为破坏，还有物理环境的保障，电源、温度、清晰度等等。另外，网络设备安全配置也十分重要。因此，需要从网络设备的几个方面来强化网络安全。

    (1)在网络出口处应配置应用级防火墙来加强访问控制，对外来的攻击进行防范及拦断，对企业内部对外的攻击进行压制；在对外服务器区再配置一台防火墙设置DMZ对服务器群进行二级保护;

    (2)部署入侵监控系统，监控来自内部或外部的攻击，保证网络安全可靠地正常运行;

    (3)部署第三方的网管软件，直观监控各网络设备的运行状况，以及各链路的负载量，同时对不正常的负载进行报警，对网络运行性能的瓶颈进行分析，对网络问题可以及时预发现;

    (4)为了保证网络的可用性，需要在出口设备上加冗余设备，避免出现单点故障，造成网络瘫痪；

    (5)在网络设备上做各种安全策略，例如访问限制、安全访问，用户权限与密码安全等等，

    (6)需要限制网络应用，进行带宽管理，保证常用服务。

    2．2 系统安全策略

    操作系统是信息系统运行的基础平台，它的安全是信息安全的基石。根据具体的安全需求，应规定所要采用的操作系统类型、安全级别及使用要求，及时给系统打补丁，填补安全漏洞。关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口，通过操作系统安全扫描系统对操作系统进行安全性扫描，发现存在安全漏洞，对操作系统进行升级，或添加安全外壳。

    (1)部署漏洞扫描软件，及时发现服务器以及重要的办公计算机有什么漏洞或网络危险存在，从而对其进行打补丁和维护。

    (2)部署防病毒软件系统，对服务器及重要的办公计算机进行安装防病毒软件。

    2．3 应用系统安全策略

    应用系统安全是指保障数据、应用软件等的安全，使其不受非法的访问，修改和删除等，应用系统连续、可靠和正常运行，应用不中断。再就是要加强登录身份认证，确保用户使用的合法性，并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。要充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。此外，资源的共享、电子邮件的收发处理等不谨慎都会使系统暴露在入侵者的攻击范围内。

    2．4 病毒防范

    对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。对于内网的病毒防范，则需要通过实施网络版的防病毒软件来实现。

    (1)部署防病毒软件系统，对服务器及重要的办公计算机进行安装防病毒软件。

    (2)部署防病毒网关在出口处，针对FTP、WWW、POP3和SMTP协议的病毒进行过滤，防止病毒从外网到内网的进入，也防止病毒从内网到外网的传播，以及可以检测到内网哪里有病毒在传播。

    2．5 入网访问控制策略

    访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法用户或未经授权的用户访问，也是维护网络系统安全、保护网络资源的重要手段：各种安全策略都必须相互配合才能真正起到保护作用，访问控制可以说是保证网络安全最重要的核心策略之一。

    入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。当前大多数网络管理者忽略了内网的安全，其实绝大部分的网络攻击、网络病毒传播等安全隐患都是由内网发起的。企业网内定位攻击主机和攻击者，查找故障源，最好的办法是实施统一用户注册认证，这对于及时排查故障和记录网络用户的行为是十分有效的。

    2．6 监控与审计策略

    网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。

    审计是记录用户使用计算机网络系统进行所有活动的过程，是提高网络安全性的重要工具。它不仅能够识别谁访问了系统，同时还能指出系统正被怎样地使用，这对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源是很重要的。系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。

    2．7 网络安全管理策略

    在网络安全中，除了采用上述的技术措施之外，加强网络的安全管理，制定有关规章制度，提高网络用户的安全意识，对于确保网络安全、可靠地运行，将起到十分重要的作用。有效的安全策略，如果得不到很好的实施，也是白纸一张。

    网络的安全管理策略包括确定安全管理等级和安全管理范围，制订有关网络操作，使用规程和人员出入机房管理制度；制定网络系统维护制度和应急措施等。

    严格的管理实施是实现网络信息安全的关键。

    3 结束语

    企业网的安全问题是一个安全策略问题，并不能靠几个软件和硬件就可以完全解决。在考虑企业网的安全策略时，技术上需要整体考虑，有针对性地考虑，任何一个环节被忽略都会导致漏洞出现。笔者在工作实践过程中发现，只有单纯的技术策略是不够的，需要加强制度建立和完善的管理，所以在实施安全策略时，要结合技术、制度、管理方面综合考虑。，所以在实施安全策略时，要结合技术、制度、管理方面综合考虑。