企业信息通信网络的安全防护

　　1 信息通信网络存在的问题

　　1.1 信息通信网络安全风险

　　目前大型企业网络安全风险主要是病毒侵袭和黑客入侵。

　　1.1.1 病毒侵袭。只要有用户使用计算机，就会出现病毒。计算机病毒一般隐藏在文件或者程序代码内进行自我复制，经常通过网络、U 盘、移动硬盘等各种手段进行传播。目前病毒入侵方式主要有源代码嵌入攻击型、代码取代攻击型、系统修改型、外壳附加型。

　　1.1.2 黑客入侵。一般来说，黑客常见的入侵模式可以分为两种。第一种是非破坏攻击，只扰乱网络系统运行，不窃取资料数据，通常采用分布式拒绝服务(DDOS)攻击或者信息炸弹。DDOS 是在DOS 攻击基础上产生的一种攻击类型，它可以使计算机乃至整个网络瘫痪。信息炸弹是使用一些特殊的工具软件，短时间向服务器、路由器等发送大量的信息数据包，造成服务器超负荷，系统崩溃，网络堵塞。另一种是破坏攻击，采用后台程序非法入侵或者使用网络监听工具，黑客利用企业网络后台程序入侵企业内部网络，造成数据资源的泄露或者损失。或者登陆主机取得超级用户权限，使用网络监听截获网络上面的数据，达到一定的目的。这些黑客入侵行为都可能致使公司数据被窃而造成无法挽回的损失。

　　1.2 信息通信网络中用户行为和安全意识问题

　　对于企业信息通信网络环境来说，容易出现问题是用户。很多企业用户，包括高级管理人员以及其他具有访问特权的人，每天都在网络中进行各种行为，没有安全意识中进行一些违规操作，从而企业网络安全出行问题。对此，最佳的防范措施应该是开展安全知识培训，规范用户行为，提高安全意识。

　　1.2.1 网络用户的行为管理需要规范。网络行为的根本出发点，不仅仅是对设备进行保护，也不是对数据进行监控防范，而是规范企业员工在网络中的各种行为，也就是对人的管理。规范企业员工的网络行为需要通过技术设备和规章制度的结合来进行。网络中用户的各种不规范行为主要包括：正常使用互联网时访问到被人为恶意控制的网站或者网页。这些被控制的网站被黑客植入后门，方便攻击者窃取企业的各类内部数据或者控制其连接互联网的服务器。

　　1.2.2 网络用户的安全意识需要加强。各种安全设备的建立和安全技术的应用只是企业信息通信网络安全防护的一部分，关键是加强企业网络用户的安全意识，贯彻落实企业的安全制度。企业只依靠技术不可能完全解决自身的安全防护，因为技术在不断发展，设备在不断更新，黑客技术也在发展和更新。所以企业管理人员必须有安全意识，重视自己企业的安全措施。加强对员工的安全培训，使得全体人员提高安全意识，从根本杜绝安全隐患。

　　2 企业信息通信网络的安全防护

　　信息通信网络安全防护工作，主要包括几个方面：安全组织、安全技术、安全运行体系。

　　2.1 安全组织体系的构架

　　信息通信网络安全组织建设方面，需要建立决策、管理、协作三级组织架构，明确各层组织的职责分工和职能，对应合理的岗位，配备相应的人员，同时根据企业信息通信网络实际情况，建立起垂直和水平的沟通、协调机制。

　　企业中有具体的人和组织来承担安全工作，即成立专业的信息通信网络安全部门，设置不同的岗位，明确对应的职责，并且赋予部门相应的权力和信任；安全部门组织专业人员制订出安全策略来指导和规范安全工作的开展，明确哪些可以做，哪些不能做，哪些如何做，做到何种程度等等。另外需要创造合理的外部环境来推动安全部门的工作，建立起一套快速有效的沟通协调机制，确保安全工作的高效推动。

　　2.2 安全技术的应用

　　有了安全组织制订的安全目标和安全策略后，需要选择合适的安全技术来满足安全目标；这里主要分为信息通信网络系统的整体防护和个人终端的防护。

　　2.2.1 信息通信网络系统的安全防护。系统自身漏洞而导致的安全风险，经常是因为信息通信网络应用本身的漏洞使得网站被病毒入侵或者被植入控制程序，导致企业丢失数据。因此需要建立以下防范措施：（1）部署网络应用防火墙和网络应用安全扫描器，重要的网络应用通过各种安全认证或者许可才能进行使用，同时保证验证程序本身的安全性。（2）时刻对系统进行更新，对应用程序和系统软件进行补丁安装和升级。

　　对于客户端漏洞有以下几种防范措施：（1） 系统管理员要通过相应的认证软件拦截限制用户访问一些具有安全威胁的网页；（2）系统管理员要通过相关方案防止用户访问含有攻击和恶意软件的网站；（3） 系统管理员要禁止用户从网上下载任何媒体播放文件；（4） 系统管理员要通过部署相关软件禁止外网访问企业的邮件服务器；（5）禁止系统管理员在企业内部服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件。

　　从技术层面上而言，安全问题无处不在，单一的防火墙、防病毒软件、区域防御系统已经不能满足企业网的需要，为了应对网络中存在的多元、多层次的安全威胁，必须首先构建一个完备的安全体系，在体系架构下层层设防、步步为营，才能够将安全问题各个击破，实现全网安全。

　　安全体系架构：由以太网交换机、路由器、防火墙、流量控制与行为审计系统、接入认证与强制管理平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面，构成完善的防护体系，从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、防火墙、流量控制与行为审计系统作为部署在网络各个层面的组件，接入认证与强制管理平台作为全网调度和策略分发的决策核心，通过安全联动，从内外两个安全域，三个维度构建自适应的安全体系。

　　2.2.2 信息通信网络中个人应用的安全防护。为了更好地加强企业信息通信网络安全，必须规范用户自己的安全行为，加强个人安全意识，建立自己的计算机安全系统，这就需要企业每个员工做到以下几方面的安全措施：（1）修改计算机管理员账户，为系统管理员和备份操作员创建特殊账户。用户要禁止所有具有管理员和备份特权的账户浏览 Web，严禁设置缺省的 Guest 账户；（2）限制远程管理员访问 NT 平台；（3）在域控制器上，修改注册表设置；（4）严格限制域中 Windows 工作站上的管理员特权，严禁使用缺省值；（5）对于注册表严格限制，只能进行本地注册，不能远程访问；（6）限制打印操作员权限的人数；（7） 合理配置 FTP，确保服务器必须验证所有FTP 申请。

　　在确定了安全组织和安全技术后，必须通过规范的运作过程来实施安全工作，将安全组织和安全技术有机地结合起来，形成一个相互推动、相互联系地整体安全运行体系，最终实现企业信息通信网络的安全防护。

　　3 结束语

　　总的来说，信息通信网络的安全防护是一个非常难的课题，随着社会的发展，云计算、虚拟化、物联网等技术的普及，信息通信网络的安全防护也随着技术的发展不断发生变化，这就需要我们不断学习适应新技术，找出最适合、最有效的安全防护措施，确保信息通信网络的安全。

　　参考文献
　　
　　[1]石志国，等.计算机网络安全教程[M].北京：清华大学出版社，2007.
　　[2]宋宇宁.浅谈计算机网络风险与防范[J].数字应用技术，2010(11).
　　[3]叶宏辉.计算机网络安全问题探析[J].才智，2011(14).
　　[4]王曦.网络安全技术与实务[M].北京：电子工业出版社，2006.