企业网络及应用层安全防护技术精要

　　企业网络及应用层由于网络的开发性、网络协议等自身设计的薄弱和脆弱性以及由于经济利益驱动而导致的黑客技术的攻击性和目标性的不断增强等原因，经受着来自网络和应用等多层次、多方面的网络威胁和攻击。可以说，企业网络信息安全能否得以保障，在绝大程度上取决于这个层次的安全防护技术的部署，本文将从企业网络及应用层面临的网络威胁出发，阐述该层所必需的一些安全防护技术。

　　1、企业网络及应用层面临的网络威胁

　　最近的研究表明，安全问题是企业目前面临的最大挑战。来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难，并最终影响企业的盈利能力和客户满意度。此外，中小型企业还要注意遵从为了保护消费者隐私和保障电子信息安全而制定的各种法律法规。

　　1).蠕虫和病毒

　　计算机蠕虫和病毒是最常见的一类安全威胁。调查显示，去年有75%的中小型企业感染过一种以上的病毒。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性，其传播速度也更快，甚至能在片刻间感染整个办公场所，而要清除被感染计算机中的病毒所要耗费的时间也更长。可能造成的严重后果包括遗失订单、破坏数据库和降低客户满意度。虽然企业可以通过给计算机安装防病毒软件和升级操作系统补丁来加以防范，但是新病毒仍会随时突破这些防线。同时，公司员工也可能通过访问恶意网站、下载不可靠的资料或打开含有病毒代码的电子邮件附件在不经意间传播病毒和间谍软件，进而给企业造成巨大的经济损失。网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。

　　2).信息窃取

　　信息窃取是一个大问题。网络黑客通过入侵企业网络盗取客户的信用卡和社会保障号码而牟利。相对于大型企业，中小型企业的防范措施较弱因而更易遭受攻击。仅仅在物理周边加强防范还远远不够，因为黑客可能会伙同公司内部人员，如员工或承包商，一起作案。信息窃取会对中小型企业的发展造成严重影响，因为它会破坏中小型企业赖以生存的企业商誉和客户关系。此外，没能采取充分措施保障信息安全的企业也可能会面临负面报道、政府罚金和法律诉讼等问题。例如，美国加利福尼亚州在新出台的消费者权益保护法中规定，任何企业在发现自己的客户信息泄漏给非授权人员后必须马上通知所有的客户。任何安全策略必须能够在企业内部和外部对敏感的电子信息进行保护。

　　3).业务有效性

　　计算机蠕虫和病毒会严重影响企业网络的可靠性，进而影响企业对客户请求的响应速度。然而，蠕虫和病毒并不是威胁业务有效性的唯一因素。随着企业运营与网络越来越密不可分，网络恐怖分子以破坏公司网站和电子商务运行为威胁，对企业进行敲诈勒索。其中，以DoS(拒绝服务)攻击为代表的网络攻击会占用关键网络组件的大量带宽，使其无法正常处理用户的服务请求。结果是灾难性的：数据和订单丢失，客户请求被拒绝。而当被攻击的消息公之于众后，企业的声誉也会受到影响。虽然见诸报端的DoS攻击主要发生在银行和全球500强企业，但实际上中小型企业由于自身较弱的防范能力而更易遭到攻击。此外，其他攻击形式也会影响中小型企业的业务有效性，并进而影响企业的盈利能力和客户满意度。例如，资源窃取攻击会入侵企业的计算机和网络，并利用这些设备进行非法的文件(如音乐、电影和软件)交换服务。然而企业很难发现这种安全漏洞，它们的计算机和网络响应客户请求的速度会大打折扣，而且还会因参与非法的文件交换而面临法律诉讼的危险。

　　4).垃圾邮件

　　2006年最后一个季度垃圾邮件猛增，这在很大程度是由于基于图像的垃圾邮件可以逃避大部分反垃圾邮件过滤器造成的。由于发送大量垃圾邮件的成本很低--特别是通过"僵尸网络"(botnet)。因此，网络犯罪将更多地采用这种介质发布木马病毒。

　　2、拒绝服务攻击防护技术

　　DoS的英文全称是Denial of Service，也就是"拒绝服务"的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS是一种很简单但又很有效的进攻方式。其目的就是拒绝你的服务访问，破坏服务器的正常运行，最终会使用户的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS攻击的基本过程是：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

　　DDoS(分布式拒绝服务)，其英文全称为Distributed Denial of Service，是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。通常，DoS攻击只要一台单机和一个MODEM就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

　　拒绝服务攻击攻击很难解决。首先，被用来探测DDoS和DoS击的网络流没有统一的特征;其次，DDoS布式特性使得它们极难被抵抗或追踪;再次，配置拒绝服务攻击的自动化的工具可以非常容易的下载得到，攻击者也可以使用IP伪装技术来隐藏他们的真实身份，这就导致拒绝服务攻击的追踪更加困难。当前，较为成熟和可用的决绝服务攻击防护技术包括：

　　(1)入侵预防：对所有攻击最好的缓解策略就是完全拦截这些攻击。这个阶段首先是要阻断已经发动的DoS攻击，有许多DoS防御机制试图使系统免遭DoS攻击：

　　I)入口过滤：设置一个路由器来禁止带有非法源地址的包进入网络;

　　II)出口过滤：确定了离开网络的分配的地址空间;

　　III)基于历史的IP地址过滤：可以利用边路由器根据之前建立的地址数据库根据路由器之前的连接历史来允许包进入。

　　(2)关闭不使用的服务：通常如果网络服务不需要或没有使用，则可以关闭这些服务来阻止攻击发生的可能。

　　(3)应用安全补丁。

　　(4)负载平衡：使网络提供方在重要的连接上增加带宽，并防止万一攻击发生时带宽下降。

　　(5)使用蜜罐：是具有一定安全性的系统，用来欺骗攻击者来攻击蜜罐而不是真正的系统。