浅谈通信企业如何做好信息网络安全工作.doc

浅谈通信企业如何做好信息网络安全工作 20 世纪 80 年代以来，以计算机和因特网技术为主的现代信息技术取得了 突飞猛进的发展，为全球各个领域、各部门的工作带来了深刻的变革。事实说 明，信息与物质能源共同构成了企业乃至国家生存的客观世界三大资源和要素， 其对各行各业的生存与发展所起的重要作用决不亚于物质和能源。随着现代信 息技术的发展，作为 IT 行业排头兵的通信企业在自身的信息网络建设上也得到 了长足的进步，其生产、经营都越来越强烈地依赖于企业的信息网络。对网络 利用和依赖的程度越高，就越要求我们重视网络的安全防护。尤其是随着 INTERNET/INTRANET 技术的兴起，当前的通信企业网已经不再是一个封闭的 内部网，而逐步成为一个开放的、互联的“大”网。 INTERNET 技术应该说是 一把双刃剑，它为通信企业各部门的信息化建设、生产效率和服务质量的提高 带来了极大的促进作用，但是它也对传统的企业安全体系提出了严峻的挑战。 由于计算机信息具有共享和易于扩散等特性，它在处理、存储、传输和使用上 有着严重的脆弱性，即很容易被干扰、滥用和丢失，甚至被泄漏、窃取、篡改、 冒充和破坏，还有可能受到计算机病毒的感染，所以对于通信企业来说，构筑 信息网络的安全防线事关重大、刻不容缓。本文试图就当前通信企业的信息网 络发展现状结合国内外信息安全技术发展的新动向，谈一谈对通信企业信息网 络安全建设的一些心得和体会。通信企业信息网络面临的主要安全威胁 纵观近年来信息网络安全的发展动态，当前通信企业信息网络安全主要来 自于以下三个方面的威胁 1 、物理威胁 信息网络在物理上可以分为网络 设施和网络操作人员两大类，网络设施包括路由器、交换机、工作站等硬件实 体和网络通讯使用的通信链路，还包括通信设备所在的机房等工作环境，而网 络操作人员指的是网络的使用者和维护者，由于信息网络在企业的各个生产和 经营环节中都得到了广泛的应用，所以所谓的网络操作人员这一概念可以延伸 到企业的所有员工。 信息网络的物理威胁主要来自于火灾、水灾等自然灾害 以及违法犯罪人员闯入机房进行偷窃和破坏所造成的设备损失。 2 、病毒威 胁 网络的发展为企业办公和生产带来巨大变革的同时，也为计算机病毒的蔓 延打开了方便之门，各种各样的病毒无时无刻不在对网络的安全构成潜在的威 胁，它们有可能从任一节点潜入并蔓延至整个网络，稍一疏忽，就可能招致无 穷后患。尤其是人们频繁使用的电子邮件如今更成为病毒栖身、散播的载体。3 、黑客威胁 黑客攻击早在主机/终端时代就已经出现，那时的主要进攻手 段有窃取口令、强力闯入、窃取额外特权、植入“特洛伊木马”等等。随着 INTERNET 的发展，现在黑客的进攻手段从以系统为主的攻击转变到以网络为 主的攻击，新的攻击手法包括通过网络监听获取网上用户的帐号和密码；监 听密钥分配过程；通过隐蔽通道进行非法活动；突破网络防火墙等等。目前已 知的黑客攻击手段已多达 500 余种。 随着通信企业信息网与 INTERNET 的 互联互通，电子商务以及其它互联网应用的开展，黑客入侵已经成为目前最大 的威胁，是企业信息网络发展的最大障碍，也是通信企业信息网络安全建设最 需要解决的问题。 加强通信企业信息安全应采用的主要措施“魔高一尺，道高一丈”，针对上述 3 种对信息网络安全的威胁，加强通信企业的信息安全应当采取以下三个方面的措施。 1 、建立严格的信息安全保 障制度，制定完备的机房安全管理规章 这部分的手段包括妥善保护磁带和文 档资料，防止非法人员进入机房进行偷窃和破坏活动，同时采取妥善措施抑制 和防止电磁泄漏，主要可以采用两类防护措施一类是对传导发射的防护，主 要采取对电源线和信号线性能良好的滤波器，以减小传输阻抗和导线间的交叉 耦合；另一类是对辐射的防护，这类防护措施又可以分为以下两种一是采用 各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的 下水管、暖气管和金属门窗进行防护和隔离；二是采用干扰的防护措施，即在 计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪 声，向空间辐射来掩盖计算机系统的工作频率和信息特征。另外，还要建立计 算机信息系统安全等级制度、国际互联网备案制度、发生案件报告制度等，定 期监督检查上述制度的落实情况。 2 、系统的防护措施 即建立全面立体的 企业防毒和反黑网络，对桌面、网络和服务器进行全方位防护。 3 、采用稳 妥的系统保护技术 即系统的备份技术，采用先进的备份手段和备份策略来最 大限度地保证系统信息在遭受破坏后的可恢复性。 采用这三方面的技术，企 业信息网才算是有了全面的安全即通常所说的全面解决方案。这里的第一 种技术与第三种技术与传统的通信网防护措施基本相同，下面我们就第二种技 术的具体实施作一说明。 建立全方位的立体防毒反黑网络 企业的计算机网络通常有很多 PC 机和不同的应用服务器，构建网络防毒 反黑系统时，应当对网络内所有可能作为病毒寄居、传播及受感染的计算机进 行有效地处理，并对黑客可能入侵的节点进行有效的监控和保护。一方面需要 对各种病毒和黑客进行有效的“查”和“防”；另一方面也要强调防毒反黑网络在实 施、操作、维护和管理中的简洁、方便和高效。最大限度地减轻使用人员和维 护人员的工作量。 一个成功的全方位立体防毒反黑网络应当具有以下特征1 、防毒反黑网络体系结构应当包括从 PC 到各种服务器，从操作系统到各种 应用软件，从单机到网络的全方位防病毒解决方案； 2 、同时，该网络必须集 成中央控管，远程软件分发,远程升级等工具，便于系统管理； 3 、网络具有 “查毒”、 “杀毒”、 “防毒” 、 “预警”等全面的功能，并能够适用于多个平台的产品。另 外，由于目前的病毒传播越来越强烈地体现其网络特性,尤其以电子邮件为载体 的病毒传播日益猖獗，病毒在压缩文件和打包邮件中埋藏极深，因此系统还应 当能够实现邮件的实时防毒，同时能够对压缩文件进行快速查毒。 4 、网络节 点应具备“防火墙”功能，由于通信企业信息网中潜在着可能的黑客入侵，所以 在每个网络节点上都应安装有“防火墙”，防火墙能够起到实时监控的作用，当 用户上网时，防火墙将充当个人电脑与网络间的过滤器，并对黑客可能入侵的 各个网络端口进行屏蔽与防护。 目前，组建这样的系统可以有许多选择，比 如冠群金辰的 Kill for Windows NT/Windows 2000，Norton 公司的 Norton Antivirus 2000 以及 Network Associate 公司的面向企业网络的病毒防保方案 TVDTotal Virus DefenseEnterprise 都是很好的选择，对于个人防火墙来说， Network ICE 公司的 Black ICE 是一个值得推荐的产品，其运行如图 1 （略）所 示，除了可以监测入侵者外，还可以给出对系统安全的各种“忠告”。 另外， 除了采取上述技术措施外，建立严密的规章制度也是十分必要的，如告知员工