全面评估企业网络安全的五大方面

据美国联邦调查局(FBI)于公布的年度调查显示，在涵盖政府机关、企业、财务、医疗机构、大学等503家美国公司中，91%曾被电脑黑客入侵，但因害怕揭露后遭各界质疑该公司网络安全堪虑，仅34%的企业向主管当局上报，而平均各企业因被入侵而损失约200万美元。

然而，过去企业多以架设防火墙来提高电脑网路的安全性，但随着病毒种类逐渐复杂化、企业网络连结更加频繁、黑客手法愈渐高明，防火墙已经难堪重用。目前加强网络安全须就几方面着手，除了防火墙外，透过加密(encryption)及虚拟专用网络(virtual private network，VPN)加强网路连线安全，利用侦测系统(detection system)侦查黑客入侵等，都是使用者可以努力的方向。而目前各安全公司所提供的完备企业网路安全方案，皆是协助客户以更轻松且更符合成本效益之方式，构建及维护网络的良好安全性能。

网络安全性的关键要素

要保证最大限度的发挥Internet优势的前提，就必须能够保护信息及网络资源，避免资料损毁和遭受非法入侵。

网路安全五大关键要素包括：

• 识别(Identity)

识别是指正确地分辨网路使用者、主机、应用程式、服务和资源。提供识别功能的标准技术包括一些验证协定，如RADIUS、TACACS+、Kerberos以及一次性的密码工具等。而以数位认证、smart card与目录服务(directory service)等的新技术为例，也开始在识别方案上扮演越来越重要的角色。

• 边界网络安全性(Perimeter Security)

边界网络安全性提供一系列保护方法，以控制网络中关键应用程式与资料及服务的存取，并确保只有合法使用者及信息才能通过网路。具备存取控制表单或"stateful"防火墙功能的路由器、交换器，以及专门的防火墙设备等，都可以提供此类控制能力，而辅助性的工具也有助于控制网络边界的安全性，其包括病毒扫描与内容过滤等。

• 数据隐私(Data Privacy)

当重要信息必须被严加保护以防他人窃取时，数据隐私（Data Privacy）所提供的验证与机密通讯的功能就成为一项关键要素。一般情况下，利用通道(tunneling)技术分离数据的方法能提供有效的数据隐蔽性，如一般性路径选择封装(genericrouting encapsulation，GRE)或Layer 2通道协定(Layer 2 TunnelingProtocol， L2TP)等。然而，当有额外的隐私需求时，则必须采用数位加密技术与协定，例如IPSec;以建置企业虚拟网路(VPN)为例，这样的安全保护就显得特别重要。

• 安全监控(Security Monitoring)

为确保网络的安全性，必须定期监控网络的安全状态。系统及网络安全漏洞扫描工具能主动辨识安全缺损，进入检测系统监控并回应安全事件。企业可以藉由安全监督方案，深入掌握系统及网络数据流和安全状态。

• 策略管理(Policy Management)

随着网络规模与复杂性的增加，集中化策略管理工具需求也相对提高。具备分析、解析、组态和监控安全策略状态的高复合功能工具，加上以浏览器为基础的使用者界面，都可以明显强化网络安全方案的使用性和效率。

网路安全建置

高级的网路安全维护必须遵循以下三项重要标准：

• 建立安全策略：定义企业的安全目标；
• 建置网络安全技术：采取广泛且分阶层的建构方法，避免仅依靠一种技术解决所有安全问题；
• 网络审核：反覆确认安全策略已适当地实施，且网络未出现不规则性。如有需要的话，亦可利用审核结果修改安全策略与技术。

结论

详细评估企业网络状况以及可用性需求，并将上述关键要素进行评估，以便为您的组织拟定安全策略时，可良好的保护网络与资源，以免遭受骇客攻击，避免系统难以支持合法用途，降低生产效率。更重要的是，网络攻击者除了是网络中游走的黑客外，也有可能是内部使用者，因此保护工作的第一步应了解涉及网络功能以及互动的各种元素。在了解网络安全问题及防范法则后，相信将为企业带来更便利与安全的网络使用环境。

来源：IT专家网