四項指標評估企業內部網絡安全

我記得我剛進入公司，公司的CIO給我試用期的工作就是評估企業網路的安全。說我什么時候可以做出一份令他滿意的企業網絡安全評估報告，就什么時候結束試用期。盡快做好網絡安全評估，可以減少試用期時間，我就馬不停蹄的開始了評估工作。在企業網絡安全評估中，我主要用了四項指標。

　　一、 網絡監測

　　現在各種黑客工具在網絡上泛濫。其中最流行的一種莫過于網絡監測工具。利用網絡監測工具，我們可以看到在網絡上傳輸的任何沒有加密過的信息，如發送給客戶的郵件內容以及一些個人的聊天信息等等。

　　我以前在學校里，出于寫論文的需要，就玩過這款工具。利用這款工具，可以輕易的知道，在同一個局域網內，人家訪問過哪些網頁，利用QQ、MSN等聊天工具在跟帥哥、美女在聊什么內容，利用郵件給誰發情書了，等等，都可以一目了然的知道。

　　在企業中，網絡監測的危害更大。如企業實現辦公自動化以后，很多企業內部都有了文件服務器或者郵件服務器之類的系統。通過網絡監測，不安好心的員工就可以輕松的略過權限控制與密碼保護，在網絡傳輸的時候，如用戶在向服務器讀取文件或者郵件傳輸的過程中，截取自己需要的信息。而現在因為計算機知識的普及與黑客工具的流行，這網絡監測的難度已經大大降低。而因為我們公司是精細化工企業，對于化工配方、產品工藝等等信息都是高保密級別的，若一有泄露，對于公司來說，可能是致命的。公司在文件服務器與郵件服務器客戶端級別上的權限控制是非常嚴格的，我擔心的就是在網絡傳輸級別上，能否被人輕易獲取信息。

　　我用網絡監測工具一查，果然不出我所料。公司在網絡傳輸級別上，沒有做任何的防護。只要在企業內部網絡上傳遞的數據，通過網絡監測工具監測，可以一目了然的看到所有在網絡上傳輸的數據，包括機密的化工配方信息。

　　二、 密碼保護

　　很多人，特別不是計算機專業的人，很相信密碼。但是，密碼是很容易被破解的。最直觀的就拿我們QQ密碼來說，我想很多人都碰到過QQ號碼被盜的事件吧。其實，這就是QQ密碼泄露所造成的。在外網上密碼信息都這么容易被泄露，那在企業內網上，就更加不用說了。

　　其實，從我個人來看，在企業內部網絡上，想破解用戶的密碼是比較容易的。

　　如財務人員可能會在工資表上設置密碼。這個密碼不可破嗎？其實不然。因為財務人員可能出于方便，設置的密碼不會很復雜，可能是一些純數字或者純字符的密碼。這利用EXCEL密碼破解器很容易破解出來。我以前做過測驗，破解一個六位純數字密碼保護的Excel文件，只需要一個小時就可以了。當然，這要看計算機的運行速度了。若在密碼設置中，數字與字符混用的話，那破解難度高多了。我隨便在公司文件服務器上，獲取了一個EXCLE文件。然后從網上下載一個破解器，用了一天一夜的時間，就破解了這個文件的密碼。該文件實12位純英文字母的密碼。用戶可能覺得這么長的密碼肯定安全了。其實，密碼的安全性，不僅僅取決于密碼的長度，更多的是要看密碼的復雜性。

　　再者，我們公司有自己的郵箱服務器。但是，登陸用戶名與密碼是明文傳輸的，沒有做過任何的加密處理。我用一個簡單的用戶名與密碼竊取工具，裝在一電腦上，就輕易獲取了用戶的郵件登陸名與密碼信息。

　　可見公司在密碼管理上，也存在漏洞。只要有心，稍微有點網絡知識的人都可以輕易的取得或者破解用戶的密碼。

　三、 數據非法修改

　　數據修改也是一個令人頭疼的問題。數據修改大致包括兩部分內容。一是在網絡傳輸過程中進行修改。偵測網絡傳輸數據與修改網絡傳輸數據是兩碼事情。若只是監測、竊取網絡傳輸數據，只需要有工具，很容易實現，也很容易上手。但是，若想修改網絡傳輸數據，那難度就高的多。所以，對于網絡傳輸過程中的修改，不是我這次評估的重點。

　　我現在要評估的是，我們內部網絡上有一文件服務器。這個文件服務器上的文件，能否會用戶非法修改呢。如數據內容的修改或者文件的刪除等等。其實，大部分時候可能修改或者刪除操作是無意的、無心的，不小心就做了刪除或者更改的操作。我在以前管理文件服務器時，經常聽到用戶的投訴，說他們的文件無緣無故就消失了，或者被更改了。

　　我測試了一下我們公司的文件服務器，在這方面還不錯�；�本上實現了從員工、到部門、到子公司、到總部的文件權限分級管理機制。每個用戶根據其身份，都有閱讀、修改、刪除等權限，分的非常清楚。而且，通過文件服務器管理器，我們可以看到哪個用戶在什么時候通過哪臺電腦訪問了哪個文件，做了哪些操作。這對于我們維護文件服務器，提供了很大的便利。

　　四、 拒絕服務攻擊

　　有時候可能網絡中存在病毒，或者員工惡意的報復，會導致企業內部網絡突然變得很慢，這很可能是一些服務在攻擊內部網路。如有一次，員工投訴網絡速度特別慢，從服務器上讀取文件，很長時間還沒有大開，而以前之需要幾秒就可以了。那時，我還沒有什么測試工具，只好在交換機上拔網線，一根根測試，尋找肇事的電腦。功夫不負有心人，終于幫我找到了肇事者，原來這臺電腦用戶用U盤從外面考來一些文件有病毒，導致網絡擁塞。

　　在以前，最出名的拒絕服務攻擊病毒非DoS莫屬。DoS的英文全稱是Denial of Service，也就是“拒絕服務”的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分Inte.net連接和網絡系統失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。

　　DOS服務被我們防止后，其不久又出來了新的變種，DDoS(分布式拒絕服務)，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，象商業公司，搜索引擎和政府部門的站點。DoS攻擊只要一臺單機和一個貓就可實現，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。一般來說，DOS服務攻擊一般都是由于病毒引起的，也就是員工無意中從其他地方考文件或者接受帶病毒的文件，所引發的；其雖然不會導致數據的修改與竊取，但是會導致企業內部網絡的癱瘓，大大影響用戶平時的工作。

　　所以針對這種攻擊性服務，我們要做的就是不變應萬變，在網絡配置上，做好相關的配置，阻止其可以攻擊的漏洞。

　　我們公司現在在這方面做的比較好，如有專門的網路流量監測工具，一發現網絡流量有異常，就可以斷開有問題的電腦，從而，迅速恢復網絡；同時，在單機上也作了一些配置，如關閉來一些不必要的、而容易被利用的服務，等等。

　　當然，影響企業網絡安全的還有其他一些指標，如網絡規劃的合理性、病毒的防護、網絡冗余等等，這里我主要采用了最常見的四大指標，來評估企業網絡的安全性。憑借這份報告，我順利的通過了考核期，提前轉正。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 評估 企業 指標 網絡安全