企业如何做好信息网络安全

浅谈通信企业如何做好信息网络安全工作 20 世纪 80 年代以来，以计算机和因特网技术为主的现代信息技术取得了 突飞猛进的发展，为全球各个领域、各部门的工作带来了深刻的变革。事实说 明，信息与物质能源共同构成了企业乃至国家生存的客观世界三大资源和要素， 其对各行各业的生存与发展所起的重要作用决不亚于物质和能源。随着现代信 息技术的发展，作为 IT 行业排头兵的通信企业在自身的信息网络建设上也得到 了长足的进步，其生产、经营都越来越强烈地依赖于企业的信息网络。对网络 利用和依赖的程度越高，就越要求我们重视网络的安全防护。尤其是随着 INTERNET/INTRANET 技术的兴起，当前的通信企业网已经不再是一个封闭的 内部网，而逐步成为一个开放的、互联的“大”网。 INTERNET 技术应该说是 一把双刃剑，它为通信企业各部门的信息化建设、生产效率和服务质量的提高 带来了极大的促进作用，但是它也对传统的企业安全体系提出了严峻的挑战。 由于计算机信息具有共享和易于扩散等特性，它在处理、存储、传输和使用上 有着严重的脆弱性，即很容易被干扰、滥用和丢失，甚至被泄漏、窃取、篡改、 冒充和破坏，还有可能受到计算机病毒的感染，所以对于通信企业来说，构筑 信息网络的安全防线事关重大、刻不容缓。本文试图就当前通信企业的信息网 络发展现状结合国内外信息安全技术发展的新动向，谈一谈对通信企业信息网 络安全建设的一些心得和体会。 加强通信企业信息安全应采用的主要措施 “魔高一尺，道高一丈” ，针对上述 3 种对信息网络安全的威胁，加强通信 企业的信息安全应当采取以下三个方面的措施。 1、建立严格的信息安全保 障制度，制定完备的机房安全管理规章 这部分的手段包括妥善保护磁带和文 档资料，防止非法人员进入机房进行偷窃和破坏活动，同时采取妥善措施抑制 和防止电磁泄漏，主要可以采用两类防护措施：一类是对传导发射的防护，主 要采取对电源线和信号线性能良好的滤波器，以减小传输阻抗和导线间的交叉 耦合；另一类是对辐射的防护，这类防护措施又可以分为以下两种：一是采用 各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的 下水管、暖气管和金属门窗进行防护和隔离；二是采用干扰的防护措施，即在 计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪 声，向空间辐射来掩盖计算机系统的工作频率和信息特征。另外，还要建立计 算机信息系统安全等级制度、国际互联网备案制度、发生案件报告制度等，定 期监督检查上述制度的落实情况。 2、系统的防护措施 即建立全面立体的 企业防毒和反黑网络，对桌面、网络和服务器进行全方位防护。 3、采用稳 妥的系统保护技术 即系统的备份技术，采用先进的备份手段和备份策略来最 大限度地保证系统信息在遭受破坏后的可恢复性。 采用这三方面的技术，企 业信息网才算是有了全面的安全即通常所说的全面解决方案。这里的第一 种技术与第三种技术与传统的通信网防护措施基本相同，下面我们就第二种技 术的具体实施作一说明。 建立全方位的立体防毒反黑网络 企业的计算机网络通常有很多 PC 机和不同的应用服务器，构建网络防毒 反黑系统时，应当对网络内所有可能作为病毒寄居、传播及受感染的计算机进 行有效地处理，并对黑客可能入侵的节点进行有效的监控和保护。一方面需要 对各种病毒和黑客进行有效的“查”和“防” ；另一方面也要强调防毒反黑网络在实 施、操作、维护和管理中的简洁、方便和高效。最大限度地减轻使用人员和维 护人员的工作量。 一个成功的全方位立体防毒反黑网络应当具有以下特征： 1、防毒反黑网络体系结构应当包括从 PC 到各种服务器，从操作系统到各种 应用软件，从单机到网络的全方位防病毒解决方案； 2、同时，该网络必须集 成中央控管，远程软件分发,远程升级等工具，便于系统管理； 3、网络具有 “查毒”、 “杀毒” 、 “防毒” 、 “预警”等全面的功能，并能够适用于多个平台的产品。另 外，由于目前的病毒传播越来越强烈地体现其网络特性,尤其以电子邮件为载体 的病毒传播日益猖獗，病毒在压缩文件和打包邮件中埋藏极深，因此系统还应 当能够实现邮件的实时防毒，同时能够对压缩文件进行快速查毒。 4、网络节 点应具备“ 防火墙 ”功能，由于通信企业信息网中潜在着可能的黑客入侵，所以 在每个网络节点上都应安装有“防火墙”，防火墙能够起到实时监控的作用，当 用户上网时，防火墙将充当个人电脑与网络间的过滤器，并对黑客可能入侵的 各个网络端口进行屏蔽与防护。 目前，组建这样的系统可以有许多选择，比 如冠群金辰的 Kill for Windows NT/Windows 2000，Norton 公司的 Norton Antivirus 2000 以及 Network Associate 公司的面向企业网络的病毒防保方案 TVD(Total Virus Defense)Enterprise 都是很好的选择，对于个人防火墙来说， Network ICE 公司的 Black ICE 是一个值得推荐的产品，其运行如图 1（略）所 示，除了可以监测入侵者外，还可以给出对系统安全的各种“忠告”。 另外， 除了采取上述技术措施外，建立严密的规章制度也是十分必要的，如告知员工 不要通过无防护的接口上网，不要随便执行附加在电子邮件中来历不明的附件, 反病毒软件要经常升级等，并设置专职人员监督执行。 应用实例 如某企业信息网络有 10 多台服务器，使用的软件平台主要为 Windows NT 和 Windows 2000，客户端有将近 150 台 PC 工作站，主要安装 Windows 98， 完成 Web 服务、邮件服务、数据库服务、电子办公等工作，根据上一部分所讲 述的全方位立体防毒反黑网络特征和要求，该企业在进行认真的系统选型后， 认为选择冠群金辰的 Kill 2000 更符合本企业的网络系统需求。为此，利用 Kill 2000 部署了反病毒解决方案。下面，简要介绍一下系统的应用情况。 1、全 方位立体防护体系的实施情况 全方位防护体系包括服务器病毒防护、客户 端病毒防护、电子邮件病毒防护和 INTERNET 网关病毒防护。我们在 Windows NT、Windows 2000 服务器上分别安装相应的 Kill 2000 for Windows NT、Kill 2000 for Windows 2000，实现对所有服务器的网络防护及管理功能、 防毒墙功能、整个网络的自动更新和分发、网络报警和广播服务；在 Windows 98 工作站上安装 Kill 2000 for Windows 98 客户端软件，以实现对客户端的实 时防毒功能及管理功能，图 2（略）为 Kill 2000 实时监视器的工作画面；对电 子邮件系统安装 Kill for Microsoft Exchange 防病毒代理程序选件，建立对群件 信息系统的防毒保护。 通过组建 Kill 2000 网络防病毒架构，在整个网络体 系的信息发送端和接收端都安装了相应的 Kill 反病毒软件控制病毒源，从而对 网络系统的各个关口严密把守，使病毒无法入侵，由此也解决了对网络流量影 响的问题，形成一种病毒源控制防护方式。通过 Kill 2000 这种对病毒源严密控 制方式，实现了整个系统的全面病毒防护。 2、报警功能的实现 反病毒 网络建设完成后，整个企业网便具有了相互间的通讯能力和报警能力，即通过 Kill 2000 提供的网络广播、故障打印、MS Mail、Lotus Notes 邮件等多种报警 方式对病毒情况进行通报。与此相配合的是日志记录，它包括了从服务器到客 户端所有出现问题的计算机名称、用户名、使用时间、染毒情况、处理情况信 息记录。因此，根据报警和日志信息，系统管理员便能够全面掌握整个网络的 安全状况，使网络管理更加简单明了且具有针对性，图 3（略）为系统的报警 管理器。 3、升级及维护功能 升级及维护问题一直是系统管理员感到费时 费力的事情。Kill 2000 提供的自动简单的升级方法解决了这一难题。Kill 2000 具有自动下载功能，图 4（略）为其“自动下载管理器 ”的工作界面，能够直接将 最新升级版本通过网络方式下载到本地服务器。同时，企业内部网通过简单配 置，在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作， 大大减轻了系统管理员的工作量，提高了工作效率。 结束语、 安全本身不是目的，它只是一种保障。网络安全涉及的范围非常宽广。不 管是从技术角度，还是从实际意义角度，它都是一个太大的话题。本文仅讨论 了在通信企业信息网络中网络安全的实现。 企业网络安全是国家网络安全的 基石，也是针对未来的信息战来加强国防建设的重要基础。一般来说，安全性 越高，其实现就越复杂，费用也