预防威胁 解决企业网中的安全通病

　　如今，商业交易对计算机网络的依赖日益俱增。在信息流动更加自由、可用资源更为丰富的情况下，企业网的管理者必须了解他们的网络所面向的全部威胁。虽然这些威胁形式多样，但都将导致一定程度上的泄露以及对信息或资源的恶意破坏，从而造成巨大的经济损失。知道网络的哪个部分更容易受到入侵，以及常见的攻击者是谁都是很重要的。对企业网内部的员工和那些被授权从企业外部使用内部网络资源的人员的信任固然重要，但是信任也必须依据现实情况。

　　无线网络的应用越来越广泛，在这些情况下需要更加严格的安全考虑。我们需要对网络的人才和关键资源的使用进行限制，只有确实需要访问网络的人才能访问，这是一个明智的方法，可以阻止危害计算机网络安全的许多威胁。了解常见的攻击和脆弱性类型，以及在策略级别上为了确保一定程度的网络安全所能采取的行动对我们来说是十分重要的。

　　企业网络遭受威胁类型

　　企业网络中有许多不同类型的威胁，在这里我们将分为3种基本的类型即：未经授权的访问、假冒和拒绝服务。

　　未经授权的访问是指当一个未经授权的实体获得了对资源的访问，并可以对资源进行篡改。这种访问通常是通过在不安全的通道上截获正在传输的信息，或者利用技术或产品固有的缺陷来实现的。获取企业内部网络资源的访问通过一些侦测工作来完成。最可能的情况是，企业网络可通过因特网、在物理线路上搭线接听、远程调制解调器拨号接入或无线网络接入等方式被访问。

　　比如在因特网接入方面，如果入侵者试图通过因特网获得未经授权的访问，那么他必须先做一些信息搜集工作，得知哪个网络或资源存在脆弱性。识别潜在目标的一些常用的方法有可达性检测和端口扫描两种。

　　在进行未经授权的访问时，无论最先采用的是什么方法(侦测工作、接到物理线路通过因特网进行接入、远程调制解调器拨号接入或无线网络接入)，阻止未经授权的最好的方法是使用保密和完整性安全服务。这样就能确保经过不安全通道的信息流被加密和在传输过程中被篡改。

　　假冒与未经授权的访问有很密切的联系，但仍然有必要将它们单独列出来。假冒是出示伪造的凭证来冒充别的事务或者别人的能力。向这些攻击可以采取几种形式：偷窃私钥、记录授权序列并在以后重放。这些攻击通常被称为中间人攻击(入侵者能够截获信息流、对现有的回话进行劫持、更改被传输的数据和在网络中插入伪造的信息流)。在大型企业网络中假冒可能是破坏性的，因为假冒绕过了为结构化授权访问而创建的信任关系。使用认证和完整性安全服务(如数字签名)能够在一定程度上阻止假冒的发生。数字签名确认了发送方的身份和所发数据内容的完整性。

　　未经授权和假冒的另一类攻击是拒绝服务攻击。拒绝服务是指服务中断，中断原因可能是系统被毁坏或者暂时不可用。例如摧毁计算机硬盘、切断物理连接和耗尽设备上所有可用的内存。近年来，一个DoS攻击的变体造成了更多的安全问题，这就是分布式拒绝服务攻击，这种攻击采用多台主机发动DoS攻击。DDoS攻击追踪起来相当困难，而且用来执行这类攻击的机制多种多样，因此这些攻击对研究者来说仍然是一个值得关注的问题，但对于运行网络的人来说，却是无尽的痛苦之源。但是，最要紧的就是不要惊慌!威胁是存在的，也是很难避免的，然而你可以部署能够阻止很多DDoS攻击尝试的机制。

　　了解威胁动机对症下葯

　　对攻击部分动机的了解有助于深入了解网络易受攻击部分和入侵者最可能采取的行动。在许多情况下，可以觉察到攻击是从外部的因特网发起的，因而在因特网和被信任的企业网之间设置防火墙是限制攻击发起点的关键部分。防火墙是网络安全中重要部分，但要确保一个网络的安全必须把系统作为一个整体来看待。

　　更为常见的攻击动机：第一、贪婪，受雇于某人的入侵者侵入企业网络，以窃取或更改涉及到大量资金交易的信息。第二、恶作剧，入侵者感到无聊，并且有一定的计算机水平，试图获取所有感兴趣站点的访问权限。第三、扬名，入侵者计算机水平非常高，试图攻破难以进入区域以证明自己的能力。成功的攻击可以使入侵者赢得同行的尊重和认可。第四、报复，入侵者被解雇、开除、降职或受到不公平的对待。这些攻击通常造成有价值的信息被破坏或引起服务中断。最后是无知，入侵者正在学习计算机和网络知识，无意中触及的一些弱点，可能导致数据被毁或者执行非法操作。

　　攻击的动机范围非常广泛。为了保证企业架构的安全，需要把所有这些动机都认为是可能的威胁。