企业网络安全：统安全性问题是主流

    在今天，网络正在逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个重要主题。而与此同时网络所暴露出的安全隐患问题却日益突出。病毒、黑客几乎每天都在困挠着互联网的用户，杀毒软件、防火墙等网络安全产品也随之成为IT市场的“宠儿”。在银行、证券、电信、IT信息等行业领域，往往还要面对信息管理、密码保护、系统日常维护等工作，其网络的安全更是关系到整个国家的经济命脉，他们的网络信息安全现状又存在着什么样的问题呢？

    从目前国内各行业用户来看，他们的网络安全主要还是系统安全的问题。而在这些行业用户中最有代表性的是金融、证券及相关的IT信息行业，他们以交易及信息交流为中心形成的行业网络，与外界的互联性和共享性强，其安全问题因此也显得尤为重要。行业信息管理的任务和目的是通过对数据采集、录入、存储、加工、传递等数据流动的各个环节进行精心组织和严格控制，确保数据的准确性、完整性、及时性、适用性、共享性和安全性。

    数据是信息的基础，是企业的财富和命脉，因而数据的安全乃是重中之中。根据目前所了解的国内行业信息化安全的现状来看，大多数行业对企业内部信息的管理通常是采取限制用户授权机制的方法。在其安全体系中，应用系统成为隔离用户和数据库的防火墙，其本身就必须具备相当的安全特性。尤其是用户授权管理机制，其严密性将直接影响整个系统的安全。基于此，将整个系统细分为若干个可分配的最小权限单元，这些权限具体表现在对数据库中所涉及的表、视图的数据操作（插入、修改、删除、查询等）的划分上。然后再运用角色或工作组的概念，结合各种系统使用人员的工作性质，为系统创建了4类基本等级：系统管理员，高级操作员，一般操作员及简单操作员，并相应地为每个等级赋予了不同的权限，以此来简化权限管理工作。

    为了增加系统安全管理的灵活性，授权管理模块还可以对属于某一等级用户的权限作进一步限制，达到所有权限均可任意组合的效果。同时，为了进一步提高系统管理员的工作效率，系统为系统权限、用户及每种等级所对应的默认权限组合都建立了数据字典，以便在不同的应用环境下管理员都能方便地增加或改变某种等级的默认权限。此外，为了能暂时封锁某一帐号的使用，安全系统还提供了帐号冻结及解冻的功能。通过这种方式，在统一管理之下，又具有相当的灵活性，有助于系统管理员更为方便，更为严密地控制整个系统的安全。

    行业用户面对的另一个问题是信息的保存问题。一些大的金融或信息机构每天都有大量的数据要保存而且还需保密，而一般的数据的备份主要分四种：立即备份（另一电脑同步备份）、异地备份（第三台电脑备份）、光盘备份和笔记本备份。这样做的目的无非也是为了防止意外事故发生而导致数据丢失。

    可是尽管各企业做了看似完美的防范措施，还是存在并发生着许多的网络安全问题，而目前网络安全的最大隐患来自黑客，他们恶意的攻击服务器，更改数据，甚至破坏系统和硬件。但各个行业用户防止攻击通常只采用两种方法：一是防火墙，二是密码保护。防火墙包括物理防火墙和软件防火墙。所谓物理防火墙主要是指用户内部局域网不与外部网相连接从而保证自身网络的安全，软件防火墙是通过软件来隔离非法访问。

    密码保护主要是指两方面：一是系统密码，二是用户密码。系统密码通常只有各企业主要负责人才知道，而用户密码是指终端用户的个人密码，但就针对我们目前的行业网络的实际状况而言，无论是防火墙还是密码对于黑客来说要攻击都没有多大的难度。因为目前大多行业用户所用的操作系统都是WINDOWS等“多洞”的、简单的操作系统，而且几乎所有的商业软件都有安全漏洞。

    黑客攻击比病毒破坏更具目的性，因而也更具危害性。Yahoo！、Amazon等国际著名网站被黑事件早已不是新闻。据统计，全球平均每20秒就有一个网站遭到黑客攻击。目前各个企业对付黑客的攻击办法不是很多，甚至大部分企业连自己的网络漏洞在哪都不知道，只有当黑客进入到自己网络并破坏后才发现。简单的从这方面来讲黑客还是“有利于”网络安全的，黑客的攻击在某一方面来说还是提升了企业的安全意识，但是如果当破坏发生之后，人们才开始疾呼“亡羊补牢”似乎是太晚了点。

    网络系统的严格管理上的培训是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理方面的培训。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备不足。目前，美国75％-85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃，其中25％的企业损失在25万美元以上。此外，管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏，从而为一些不法分子制造了可乘之机。

    针对网络信息安全来说，目前国内的行业内各企业普遍存在的问题是“响应”的速度迟缓，无论是技术的更新、防火墙的维护还是产品的升级都比较滞后，而造成这些严峻问题罪魁祸首却是各个行业企业充当“网络信息主管”的人员其自身网络安全知识的严重匮乏。

    众所周知，IT及网络信息方面的知识更新换代的周期非常的短，而目前大多数的从业人员并没有经过非常严密、系统的培训，他们中许多人的知识仍停留在学校学习时的阶段，极少部分人虽然在实际的工作中有进修或者自学，但仍然无法满足目前的工作需求。

    虽然某些行业企业在硬件的投入力度上很大，对于整个网络的硬件投入达到1000多万，所用的几乎全部都是外国品牌，一些大的公司对整个网络的投入仅硬件的基础部分甚至达到5000万，但在安全方面的投入则少的可怜，在人员的培训方面还远远达不到实际工作所需要的标准，这也正是绝大部分企业只注重眼前利益轻视安全的长远效益所造成的。

    此外，随着企业应用软件系统规模的不断增大，系统中的安全漏洞或"后门"也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。

    基于这些现实，上网企业不得不考虑一个问题：我们的网络安全吗？怎么解决网络安全问题？据去年CCID对500家企业网络的调查表明，已采取相应安全解决方案的企业有11.21%，计划近期加强网络安全的企业有46.67%，想进一步了解的用户有32.42%，而近期不考虑的用户仅有9.7%。

    自2006年1月1日起，截止2006年12月25日，针对企业的网站入侵篡改事件就高达11828起，占全年度网站篡改事件的77%，位居被篡改网站统计之榜首。