【IT168 专稿】如果您公司企业网与互联网是相通联的，那么从外网一端到其内网的一端，在其传输协议上必定会经历过多种转换技术，来翻译前后两者间的通讯信息。使其能够顺利的避开，因协议的不同，而造成通讯受阻的情况。但是尽管这种“长途跋涉”使其企业网与互联网相连接，黑客也依然可以通过映射内网技术，来控制操终企业网络的所有计算机。可见运用了多种转换技术，也无法挽救企业网络潜在的危机，从安全上讲实在是令人担忧。下面笔者就对安全危机是如何引起、网络安全技术的应用做以下深入讲解。

    企业安全危机是如何引起的
    有些企业为了防止黑客的入侵，纷纷购买安全产品进行防护。发现病毒对企业影响很大，就买了最好的反病毒软件，发现系统不安全，就用了最强的防火墙，发现有黑客入侵，就部署了非常先进的IDS。尽管如此，也没能停止黑客入侵脚步，究竟是什么原因呢？请见下面笔者所罗列出来的安全隐患。

    人为的失误：比如说计算机操作员安全配置不当造成的安全漏洞、用户安全意识不强没能使系统升级到最新、用户口令选择不慎较为简单，以及用户将自己的帐号随意转借他人或与别人共享等，都会对企业网络安全带来一定的威胁。

    信息截取：在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，以前监听技术是作为协助网络管理员监测网络传输数据，排除网络故障等方面的工具，并且其对信息渠道的监听功能，具有不可替代的作用，因而一直倍受网络管理员的青睐。然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多网络入侵往往都伴随着以太网、内网络监听而被黑客所利用，从而造成口令失窃，敏感数据被截获等等连锁性安全事件发生。

    内部窃密和破坏：是指企业公司内部人员，或者已经要离职公司员工，通过内网窃取公司机密、更改信息文件，以及泄漏系统安全结构方案，导致“知己知彼”的那句俗语，会被黑客以实际入侵，运用到企业网络中来，从而能够给其公司，造成严重且直接的经济损失，可见内部窃密和破坏危害的性。据美国联邦调查局1997年9月进行的一项调查显示，70%的攻击是从内部发动的，只有30%是从外部攻进来的。

     黑客攻击：黑客会冒充的客户机将收到来自服务器的SYN/ACK包，而向服务器回发一个RST（复位）包，因为在客户机看来，通话不存在。而黑客可能阻止客户机的复位包产生，或当客户机未按入网络时入侵，再则使客户机的TCP队列溢出。如此看来，客户机将在往服务器上发送数据中会有丢失包的现象出现。

    技术缺陷：由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，由此可造成网络的安全隐患。其次，网络硬件、软件产品多数依靠进口，如全球90%的微机都装微软的Windows操作系统，许多网络黑客就是通过微软操作系统的漏洞和后门而进入网络的,这方面的报道经常见诸于报端。

    病毒侵入：企业与互联网的连接，给病毒提供了一个表演自我的舞台。用户通过收发邮件，查看网站，下载软件等途径受到病毒入侵，可谓是多不胜数。更可怕的是企业网络一台机器感染到病毒，而且还会连累到其他内网的所有机器，也会同时感染到该病毒，容易造成大规模机器瘫痪或者机密文件被泄露等情况出现。

    以上就是笔者归纳企业安全危机是如何引起的六大点，如果你是一位企业负责安全的管理员，那么就一定要注意所讲解的隐患要点，否则黑客入侵的距离，想必离你就不会太远。当然除了注意点以外，你还需要注意网络安全技术的使用，这样才能确保企业网络的安全性。

    企业级防火墙技术
    如果一个企业在决定使用防火墙，作为公司网络的安全“保护神”后，那么在接下来在所要购买的防火墙过程中，就应该挑选较为实惠、便宜且适合自己公司网络使用的防火墙系统。这样不仅可以为公司节省钱财，从而也能有效的防止黑客对企业实施的网络攻击，何乐而不为！

    在目前防火墙安全产品中，主要包括以下防御功能：包过滤、代理服务器、状态监视，以及抵御外来数据包攻击的功能。比如典型的DDOS攻击，也就是人们常说到的“拒绝服务”攻击。它是一种基于Dos的特殊形式的拒绝服务攻击，其特点分布、协作的大规模攻击方式，主要瞄准比较大的商业型站点、企业公司网络，一旦攻击，令人很难防范。但是对于强大的硬件防火墙来说，这些只是“毛毛雨”，因为大部分防火墙采用的是HA口用于多台守护神设备互连，以实现链路冗余，这样不仅增强了对拒绝服务攻击的抵御能力，而且在一定程度上，可以粉碎其具有毁灭性的DDOS攻击，来确保企业网络的正常运作。当然维护防火墙的日常运作，才能使它有效地工作。一个维护不当的防火墙可能会给人一种安全的假象，而实际上却存在着很多安全漏洞。安全策略应清楚地反应有效地进行防火墙维护的重要性，在公司的管理上应给予防火墙维护足够的支持，如优先提供人员、资金和其他必要的资源，等等一系列具有连带意义上人员、物质的帮助，才能使其防火墙系统的发防御功能发挥到及至。

    IDS入侵检测技术
    企业系统自身的安全，是保证不被黑客入侵的关键，如果没有完善的自身防护体系作为保障，即使拥有再强大的防火墙系统，也是无济于事。如同其他安全产品一样，IDS入侵检测技术一直是广大网络安全爱好者，所关注的热点话题。

    即IDS入侵检测系统，主要用于检测Hacker或Cracker通过网络入侵到其企业系统的行为，能够做出检测、预警、评估与响应的一系列安全警报。给企业提供明确的风险指数，从而能使其管理员在知道自己安全缺陷的基础上，将其漏洞快速修补，以避免黑客再次使用同种方法入侵进来。除了对攻击发出警报，IDS还能自动抵御一些简单攻击，比如通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息数据包，另外同时还可以切断网络上发送Reset数据包，这样就不会因无响应数据，而导致主机延迟的情况出现。总而言之，IDS入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护能力，在网络系统受到危害之前能够及时拦截攻击、黑客入侵。或者换句话说，如果你的IDS若不能抵御针对IDS的信息攻击，那么将会导致系统出现假死、崩溃等情况发生，可见拥有IDS检测功能，将其应用到“及至”才是防御恶意攻击的根本之道。

    加密技术
    现在加密技术分为对称加密及非对称加密：对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（Pretty Good Privacy）系统使用。但是其加密算法相当可观，所以通常在数据量有限的情形下使用。而大部分企业系统里的口令，就是利用加密算法进行加密的。近些年来，随着计算机系统性能的不断提高，加密算法也已经从过去的简单走向了复杂，所以现在密码一旦加密，黑客要想破解出其明文密码，简直是不可能。

    使你的系统“百毒不侵”
    病毒是附在程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机，而且还极具有杀伤性，可损坏机器里的软件、硬件和文件，与其人体病毒按严重性分类相同，它们也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

    但是为了防御病毒的侵入，这里还请打开“系统配置”程序，在其默认切换的“一般”标签内，选择里面“有选择的启动”单选框，此时下方关联复选框，就会变更为“勾选”状态（如图1），将其复选框上的勾全部去掉，以防止其他病毒再加载到系统服务内。但是这样并不能解决，已经加载到系统服务内的病毒，所以还需要分别切换到系统配置程序的服务、启动标签，并且将里面的复选框勾，也一同全部去掉。然后打开“注册表”编辑器，只要将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的Ctfmon数值保留（如图2），这个键值的作用是控制本机输入法的启动项目。其余没有点到名字的主键和键值，全部删除即可，即使删到非病毒主键也不会影响到系统的正常运作。最后操作完毕后，重新启动一下计算机，使以上设置、删除操作生效，这样就算是再“顽固不堪”的病毒，也不会赖在系统或者闯入到系统里。当然安装杀毒软件，经常升级系统修补漏洞，才是防御病毒的根本，希望大家在运用以上防御病毒方法的同时，杀毒软件也要经常升级、杀毒，这样才能使你的系统更加安全稳固。

图1

图2