前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇小型企業(yè)網(wǎng)絡(luò)安全解決方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

小型企業(yè)網(wǎng)絡(luò)安全解決方案范文第1篇

在計算機(jī)網(wǎng)絡(luò)飛速發(fā)展的今天，網(wǎng)絡(luò)營銷，電子商務(wù)等快速進(jìn)入企業(yè)業(yè)務(wù)活動中，企業(yè)總部、企業(yè)地方分支機(jī)構(gòu)、移動出差人員，充分利用Internet的公共資源及便利條件，通過VPN（Virtual Private Network，虛擬專用網(wǎng)）技術(shù)它們連接在一起，形成一個跨地域更大的網(wǎng)絡(luò)，方便企業(yè)用戶、分支機(jī)構(gòu)及合作伙伴隨時隨地的接入并訪問企業(yè)網(wǎng)絡(luò)，與企業(yè)總部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息安全傳輸與交流，不但給企業(yè)帶來數(shù)字化時代，方便信息交流與企業(yè)的管理，而且也給企業(yè)帶來不菲的經(jīng)濟(jì)效益，與此同時，也給企業(yè)網(wǎng)帶來了安全隱患，數(shù)據(jù)信息如何跨越公共網(wǎng)絡(luò)的復(fù)雜環(huán)境進(jìn)行安全的遠(yuǎn)程傳輸成為關(guān)鍵。對于中小型企業(yè)資金相對比較貧乏，技術(shù)力量薄弱這種情況，研究經(jīng)濟(jì)實用的遠(yuǎn)程數(shù)據(jù)信息安全性傳輸就顯得非常重要。

2 中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求

國有大中型企業(yè)是我國的經(jīng)濟(jì)支柱，中小企業(yè)是我國經(jīng)濟(jì)組成的重要組成部分，我國中小型企業(yè)眾多，對計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用比較簡單，沒有很好的利用Internet的優(yōu)勢，實現(xiàn)企業(yè)經(jīng)濟(jì)的騰飛及壯大。中小型企業(yè)網(wǎng)絡(luò)主要應(yīng)用是日常辦公，數(shù)據(jù)處理，屬于“單機(jī)版”類型，或者企業(yè)分支機(jī)構(gòu)與總部就是簡單通過電子郵件，或者qq進(jìn)行企業(yè)數(shù)據(jù)信息傳輸，這樣安全保密性太差。主要原因是：

1） 中小型企業(yè)資金比較貧乏，沒有更多的資金來購買成熟網(wǎng)絡(luò)安全產(chǎn)品，而且成熟的網(wǎng)絡(luò)安全產(chǎn)品價格一般比較昂貴，主要面向大型企業(yè)。中小型企業(yè)分布廣，業(yè)務(wù)靈活，經(jīng)濟(jì)實惠的遠(yuǎn)程數(shù)據(jù)安全傳輸解決方案甚少，而且技術(shù)復(fù)雜，維護(hù)較難，不能滿足中小企業(yè)的需要。

2） 中小型企業(yè)技術(shù)力量薄弱，沒有專業(yè)的網(wǎng)絡(luò)技術(shù)人員，一般是企業(yè)年輕的懂點計算機(jī)的員工兼職網(wǎng)絡(luò)管理，與專業(yè)網(wǎng)絡(luò)管理員還有一定的差距。

3） 中小型企業(yè)網(wǎng)絡(luò)基本屬于一個“信息孤島”，與外界進(jìn)行數(shù)據(jù)通信不能做到安全可靠傳輸，不能確保數(shù)據(jù)信息不泄露、不丟失、不被篡改等，影響企業(yè)的快速發(fā)展。

3） 中小型企業(yè)領(lǐng)導(dǎo)重視網(wǎng)絡(luò)建設(shè)還不夠，網(wǎng)絡(luò)建設(shè)相對比較簡單，根據(jù)中小型企業(yè)目前對網(wǎng)絡(luò)的需要及依賴，進(jìn)行簡單網(wǎng)絡(luò)建設(shè)，沒有長遠(yuǎn)的網(wǎng)絡(luò)建設(shè)規(guī)劃，致使企業(yè)在壯大的過程中，網(wǎng)絡(luò)建設(shè)不能快步跟上，往往被忽視。中小企業(yè)網(wǎng)絡(luò)由于資金貧乏，技術(shù)力量不足等原因，在建設(shè)的初期就還可能留下許多漏洞與不足，這樣更容易被黑客攻擊。

4） 中小型企業(yè)用戶不能進(jìn)行遠(yuǎn)程數(shù)據(jù)信息的安全可靠傳輸，企業(yè)員工，或者領(lǐng)導(dǎo)外地出差，或者分支機(jī)構(gòu)的網(wǎng)絡(luò)，就不能訪問企業(yè)網(wǎng)絡(luò)，不能遠(yuǎn)程進(jìn)行辦公，遠(yuǎn)程快速的進(jìn)行事務(wù)處理。

5） 中小型企業(yè)與合作伙伴之間沒有利用互聯(lián)網(wǎng)的優(yōu)勢，在它們之間沒有建立一個企業(yè)擴(kuò)展網(wǎng)絡(luò)，導(dǎo)致數(shù)據(jù)信息的安全交流和企業(yè)的密切合作收到影響。

在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，解決中小型企業(yè)的遠(yuǎn)程數(shù)據(jù)信息安全可靠的傳輸就變得越來越重要了，還需考慮方案的經(jīng)濟(jì)實用，維護(hù)簡單容易。對于中小企業(yè)網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)信息，如財務(wù)報表等，必須保證數(shù)據(jù)信息完整性、可用性和機(jī)密性。完整性是數(shù)據(jù)信息在傳輸或存儲過程中保證沒有被修改，沒有被破壞，沒有被丟失等；可用性是數(shù)據(jù)信息可被授權(quán)實體訪問，并按需求使用的特性，即指定用戶訪問指定數(shù)據(jù)資源；機(jī)密性是保證數(shù)據(jù)信息網(wǎng)絡(luò)傳輸保密性和數(shù)據(jù)存儲的保密性，數(shù)據(jù)信息不會泄露給非授權(quán)的用戶、實體或過程。確保只有授權(quán)用戶才可以訪問指定數(shù)據(jù)資源，其他人限制對數(shù)據(jù)信息的讀寫等操作。

3 經(jīng)濟(jì)實用安全方案

從中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求，利用VPN技術(shù)跨越Internet組建中小企業(yè)擴(kuò)展網(wǎng)絡(luò)，保證遠(yuǎn)程移動用戶、企業(yè)分支機(jī)構(gòu)和企業(yè)合作伙伴之間安全可靠的進(jìn)行遠(yuǎn)程數(shù)據(jù)信息傳輸。通過實踐實驗，研究出經(jīng)濟(jì)實用，安全可靠，配置和維護(hù)比較容易的中小型企業(yè)網(wǎng)絡(luò)安全性解決方案，如圖1所示。VPN服務(wù)器也稱為VPN網(wǎng)關(guān)，可以使用高性能的計算機(jī)來擔(dān)當(dāng)，并且安裝兩塊網(wǎng)絡(luò)適配器，一塊網(wǎng)絡(luò)適配器用于連接中小型企業(yè)內(nèi)部網(wǎng)絡(luò)，分配內(nèi)網(wǎng)IP地址，另一塊網(wǎng)絡(luò)適配器連接外部網(wǎng)絡(luò)，分配外網(wǎng)IP地址。VPN服務(wù)器是內(nèi)網(wǎng)和外網(wǎng)連接的必經(jīng)之路，服務(wù)于內(nèi)外兩個網(wǎng)絡(luò)，也是內(nèi)網(wǎng)的安全屏障，相當(dāng)于中小型企業(yè)的防火墻，它可以完成對訪問企業(yè)網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證、數(shù)據(jù)進(jìn)行加密解密處理、密鑰交換等。VPN服務(wù)器安裝Windows Server 2003操作系統(tǒng)，充分利用公共網(wǎng)絡(luò)Internet的資源，通過VPN技術(shù)，實現(xiàn)中小企業(yè)遠(yuǎn)程數(shù)據(jù)信息傳輸?shù)陌踩浴⑼暾?，可用性和保密性?/p>

3.1 IPSec VPN保證數(shù)據(jù)信息遠(yuǎn)程安全傳輸

1） VPN技術(shù)

VPN又稱虛擬專用網(wǎng)，是在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)信息通過建立的虛擬加密“安全隧道”在公共網(wǎng)絡(luò)上進(jìn)行傳輸，即充分利用公共網(wǎng)絡(luò)如Internet的資源，達(dá)到公網(wǎng)“私用”的效果。中小企業(yè)只需接入Internet，就可以實現(xiàn)全國各地分支機(jī)構(gòu)，甚至全世界各地的分支機(jī)構(gòu)，都可以隨時隨地的訪問企業(yè)網(wǎng)絡(luò)，實現(xiàn)遠(yuǎn)程數(shù)據(jù)信息的安全可靠傳輸。而且VPN具有節(jié)省成本、配置相對簡單、提供遠(yuǎn)程訪問、擴(kuò)展性較強(qiáng)、便于管理維護(hù)、實現(xiàn)全面控制等好處，是企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

2） IPSec協(xié)議

IPSec是一個開放的應(yīng)用范圍廣泛的網(wǎng)絡(luò)層VPN協(xié)議標(biāo)準(zhǔn)，是一套安全系統(tǒng)，包括安全協(xié)議選擇、安全算法、確定服務(wù)所使用的密鑰等服務(wù)，在網(wǎng)絡(luò)層為IP協(xié)議提供安全的保障，即IPSec可有效保護(hù)IP數(shù)據(jù)報的安全，如數(shù)據(jù)源驗證、完整性校驗、數(shù)據(jù)內(nèi)容加密解密和防重演保護(hù)等。保證企業(yè)網(wǎng)絡(luò)用戶的身份驗證，保證經(jīng)過網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)信息完整性檢查，加密IP地址及數(shù)據(jù)信息保證其私有性和安全性。

3） 基于IPSec的VPN技術(shù)

基于IPSec的VPN技術(shù)解決了在Internet復(fù)雜的公網(wǎng)上所面臨的開放性及不安全因素的威脅，實現(xiàn)在不信任公共網(wǎng)絡(luò)中，通過虛擬“安全隧道”進(jìn)行數(shù)據(jù)信息的安全傳輸。IPSec協(xié)議應(yīng)用于OSI參考模型的第三層網(wǎng)絡(luò)層，基于TCP/IP的所有應(yīng)用都要通過IP層，將數(shù)據(jù)封裝成一個IP數(shù)據(jù)包后再進(jìn)行傳輸，所有要實現(xiàn)對上層網(wǎng)絡(luò)應(yīng)用軟件的全透明控制，即同時對上層多種應(yīng)用提供安全網(wǎng)絡(luò)服務(wù)，只需要在網(wǎng)絡(luò)層上采用VPN技術(shù)，基于IPSec的VPN技術(shù)提供了5種安全機(jī)制，即隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)、身份驗證技術(shù)和防重演保護(hù)技術(shù)，通過基于IPSe c的VPN技術(shù)，來保證傳輸數(shù)據(jù)的安全性、可用性、完整性和保密性[1]。

（1）隧道技術(shù)，隧道也可稱為通道，是在公用網(wǎng)中建立一條虛擬加密通道，讓數(shù)據(jù)包或者數(shù)據(jù)幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。“隧道”協(xié)議分為二、三層隧道協(xié)議，第二層隧道協(xié)議先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)幀裝入到隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)幀依靠第二層協(xié)議來傳輸，第二層協(xié)議包括PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入到隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層協(xié)議有GRE、IPSec等。這里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子協(xié)議保護(hù)IP數(shù)據(jù)包和IP數(shù)據(jù)首部不被第三方侵入，在兩個網(wǎng)絡(luò)之間建立一個虛擬“安全隧道” 用于數(shù)據(jù)信息的安全傳輸。授權(quán)用戶，通過IPSec安全策略的配置實現(xiàn)對網(wǎng)絡(luò)安全通信的保護(hù)意圖，其安全策略包括什么時候什么地方對AH和ESP保護(hù)，保護(hù)什么樣的通信數(shù)據(jù)，什么時候什么地方進(jìn)行密鑰及保護(hù)強(qiáng)度的協(xié)商。IPSec通過認(rèn)證和鑰匙交換機(jī)制確保中小型網(wǎng)絡(luò)與其分支機(jī)構(gòu)網(wǎng)絡(luò)或合作伙伴進(jìn)行既安全又保密的信息傳輸。在計算機(jī)上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網(wǎng)絡(luò)的安全訪問。

（2）加密解密技術(shù)，是為了保障虛擬“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取數(shù)據(jù)信息的能力，同時保證必須使偷聽者不能破解或解密攔截到的的數(shù)據(jù)信息，但是授權(quán)用戶可以通過解密技術(shù)，完整的訪問數(shù)據(jù)資源。

（3）身份認(rèn)證技術(shù)是通過對企業(yè)分支用戶或遠(yuǎn)程用戶進(jìn)行身份進(jìn)行驗證，提供安全防護(hù)措施與訪問控制，包括對VPN“安全隧道”訪問控制的功能，有效的抵抗黑客通過VPN通道攻擊中小型企業(yè)網(wǎng)絡(luò)的能力。通過VPN服務(wù)器對授權(quán)用戶的身份及權(quán)限的驗證，嚴(yán)格控制授權(quán)的用戶訪問資源的權(quán)限。在每個VPN服務(wù)器上為遠(yuǎn)端用戶的身份驗證憑據(jù)添加用戶信息，包括用戶名及密碼，并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。

（4）密鑰交換技術(shù)，為了防止密鑰在Internet復(fù)雜的公網(wǎng)上傳輸過程中而不被竊取。提供密鑰中心管理服務(wù)器，現(xiàn)行的密鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。VPN技術(shù)能夠生成并更新客戶端和服務(wù)器的加密密鑰和密鑰的分發(fā)，實現(xiàn)動態(tài)密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接，還需要在每個VPN服務(wù)器上同時安裝客戶端身份驗證證書和服務(wù)器身份驗證證書；如果不安裝證書，則需要配置預(yù)共享的IPSec密鑰。

（5）防重演保護(hù)。具備防止數(shù)據(jù)重演的功能，而且保證通道不能被重演。確保每個IP包的合法性和惟一性，保證信息萬一被截取復(fù)制后，或者攻擊者截取破譯信息后，再用相同的信息包獲取非法訪問權(quán)，確保數(shù)據(jù)信息不會被重新利用、重新傳回目標(biāo)網(wǎng)絡(luò)，

3.2其他輔助安全措施

對VPN服務(wù)器，還可以啟動軟件防火墻功能，如安全訪問策略、日志監(jiān)控等功能，還可以安裝殺毒軟件，為內(nèi)網(wǎng)提供安全屏障，再次增加網(wǎng)絡(luò)安全可靠性能。軟件防火墻通過設(shè)置的包過濾規(guī)則，分析IP數(shù)據(jù)報、TCP報文段、UDP報文段等，決定數(shù)據(jù)包是被阻止，還是繼續(xù)轉(zhuǎn)發(fā)，從網(wǎng)絡(luò)層和傳輸層上再次給予安全控制，提供了多層次安全保障體系。還可以增加應(yīng)用層的過濾規(guī)則配置，再次提升VPN服務(wù)器安全性。

4 實踐應(yīng)用分析

通過實踐應(yīng)用，跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全解決方案分別從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層三個層次上給予安全保障，該方案充分利用VPN的“公網(wǎng)專用”的特點，允許中小型企業(yè)擁有一個世界范圍的專用網(wǎng)絡(luò)，在公用網(wǎng)中開辟虛擬“安全隧道”來保證遠(yuǎn)程數(shù)據(jù)信息傳輸?shù)目煽啃院桶踩?；通過輔助的防火墻功能，進(jìn)一步增加其安全。該方案使用高性能的PC充當(dāng)VPN服務(wù)器，并配以Windows Server 2003操作系統(tǒng)，無需額外的復(fù)雜硬件設(shè)備與高昂的系統(tǒng)軟件，成本低、經(jīng)濟(jì)實用、容易實現(xiàn)、維護(hù)簡單，是中小型企業(yè)網(wǎng)絡(luò)擴(kuò)展不錯的選擇方案。VPN服務(wù)器不但具備VPN技術(shù)的功能外，還是一個中小企業(yè)的防火墻，安全配置、安全策略容易實現(xiàn)，一旦出現(xiàn)較大安全威脅，便于快速隔離網(wǎng)絡(luò)。

當(dāng)然此方案也存在一些缺陷，主要是有依賴操作系統(tǒng)的安全性，操作系統(tǒng)本身的漏洞可能會造成安全隱患；VPN服務(wù)器是集多種服務(wù)于一體，需要較高高性能的計算機(jī)；VPN服務(wù)器故障會導(dǎo)致網(wǎng)絡(luò)連接失效；由軟件實現(xiàn)數(shù)據(jù)加密與解密、包過濾等，一定程度會占用系統(tǒng)資源，也會使通信效率略有降低；同時重注企業(yè)內(nèi)部員工的安全培訓(xùn)，有效地抑制社會學(xué)的攻擊，對來自企業(yè)內(nèi)部員工的攻擊顯得無能為力。

5 結(jié)束語

跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全技術(shù)方案比較經(jīng)濟(jì)、實用、安全、配置簡單，為中小企業(yè)打造一個世界范圍的網(wǎng)絡(luò)提供了較有力的技術(shù)支持，使得中小企業(yè)網(wǎng)絡(luò)也融入到互聯(lián)網(wǎng)這個“大家庭”中，不僅提高了中小型企業(yè)的工作效率，而且增強(qiáng)了其競爭力，將推動中小型企業(yè)電子商務(wù)，電子貿(mào)易，網(wǎng)絡(luò)營銷走向繁榮，加快了中小企業(yè)網(wǎng)絡(luò)信息化和經(jīng)濟(jì)快速發(fā)展的步伐。

參考文獻(xiàn)：

[1] 郝春雷， 鄭陽平.中小型企業(yè)敏感分支網(wǎng)絡(luò)安全解決方案[J].商業(yè)時代，2007，（21）：45.

[2] 阿楠. VPN虛擬專用網(wǎng)的安全[J].互聯(lián)網(wǎng)天地，2007，（7）：46-47.

[3] 李春泉，周德儉，吳兆華. VPN技術(shù)及其在企業(yè)網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用[J]. 桂林工學(xué)院學(xué)報，2004，3：365-368.

[4] 韓儒博，鄔鈞霆，徐孟春.虛擬專用網(wǎng)絡(luò)及其隧道實現(xiàn)技術(shù)[J]. 微計算機(jī)信息，2005，14：1-3.

小型企業(yè)網(wǎng)絡(luò)安全解決方案范文第2篇

當(dāng)今的社會是一個數(shù)字化、信息化、地球化的社會，網(wǎng)絡(luò)時代已經(jīng)到來，人們的生活、工作、購物、學(xué)習(xí)、辦公等都已經(jīng)離不開網(wǎng)絡(luò)。對于現(xiàn)代的企業(yè)，已經(jīng)開始實行無紙辦公，公司之間的聯(lián)系、企業(yè)伙伴間的合作、公司外出人員與本部之間的聯(lián)系等等這些都離不開網(wǎng)絡(luò)。版權(quán)所有

在信息化浪潮方興未艾的今天，企業(yè)內(nèi)部的網(wǎng)絡(luò)已經(jīng)成為提升核心競爭力的關(guān)鍵因素。所有的企業(yè)，無論其規(guī)模大小,都會面臨新的機(jī)遇和挑戰(zhàn)。在市場經(jīng)濟(jì)的條件下，企業(yè)應(yīng)用網(wǎng)絡(luò)技術(shù)，其目的就是為了在提高企業(yè)運(yùn)作效率的基礎(chǔ)上，最終增加經(jīng)濟(jì)效益和增強(qiáng)競爭能力。在瞬息萬變的市場上，網(wǎng)絡(luò)應(yīng)用可以幫助企業(yè)決策者運(yùn)籌帷幄，充分利用各種信息資源，優(yōu)化企業(yè)資源配置，網(wǎng)絡(luò)擴(kuò)大了各個產(chǎn)業(yè)的市場空間，減少了傳統(tǒng)商務(wù)流程的環(huán)節(jié)，極大地提高了勞動生產(chǎn)率。置身于網(wǎng)絡(luò)經(jīng)濟(jì)時代，任何企業(yè)，無論其規(guī)模大小，都必須適應(yīng)新的潮流。

網(wǎng)絡(luò)不僅是一種高深的科技，而且成為人們必不可少的工具。企業(yè)上網(wǎng)大大提高了企業(yè)運(yùn)作效益，降低了企業(yè)成本。應(yīng)該看到，企業(yè)在經(jīng)營發(fā)展過程中，除了內(nèi)部的運(yùn)轉(zhuǎn)管理外，還有大量的外部業(yè)務(wù)活動，包括與合作伙伴，上、下游企業(yè)，客戶甚至競爭對手的各式各樣的業(yè)務(wù)往來。過去這些業(yè)務(wù)活動多半是通過電話、傳真、信件等傳統(tǒng)通信方式輔助進(jìn)行，而在因特網(wǎng)出現(xiàn)后的今天，這些業(yè)務(wù)活動幾乎無一例外地正在轉(zhuǎn)移到因特網(wǎng)上，并且這種轉(zhuǎn)變的速度和程度都是非常驚人的。也就是說，過去傳統(tǒng)意義上的企業(yè)內(nèi)外部經(jīng)營活動包括業(yè)務(wù)信息溝通，訂貨訂單處理，庫存物流管理，客戶服務(wù)，批發(fā)或零售等等已經(jīng)全部可以在因特網(wǎng)上實現(xiàn)了。所有這些應(yīng)用都可以稱之為企業(yè)上網(wǎng)，又被業(yè)界稱為電子商務(wù)應(yīng)用，它被認(rèn)為是21世紀(jì)企業(yè)的必由之路。

二、行業(yè)分析

（一）企業(yè)上網(wǎng)的緊迫性

對于中國的企業(yè)來說，企業(yè)網(wǎng)的來臨可謂恰逢其時。隨著中國向混合市場經(jīng)濟(jì)的加速發(fā)展，中國各行各業(yè)的公司企業(yè)都在積極準(zhǔn)備迎接國內(nèi)外市場中日益激烈的競爭形勢。這些公司深知：如果想在這個白熱化的市場競爭中獲得成功，就必須最大限度地提高企業(yè)生產(chǎn)力和降低生產(chǎn)成本。因此，各大企業(yè)都迫切需要建立自己的信息技術(shù)基礎(chǔ)設(shè)施，以便將分散在各地的業(yè)務(wù)部門聯(lián)系在一起并加快整個企業(yè)內(nèi)部的信息交流和服務(wù)速度，從而加強(qiáng)自己在市場中的競爭優(yōu)勢。

（二）、企業(yè)上網(wǎng)的需求

企業(yè)網(wǎng)絡(luò)信息系統(tǒng)建設(shè)應(yīng)該以用戶的需求為著眼點。目前，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用水平的逐步提高，企業(yè)用戶的需求，主要體現(xiàn)為：

（1）先進(jìn)性，要求網(wǎng)絡(luò)采用先進(jìn)的技術(shù)，以保證整個企業(yè)網(wǎng)絡(luò)系統(tǒng)在技術(shù)上的先進(jìn)性；

（2）穩(wěn)定性與可靠性，要求網(wǎng)絡(luò)高度穩(wěn)定、可靠，這是網(wǎng)絡(luò)建設(shè)成功的關(guān)鍵，而高度穩(wěn)定、可靠的網(wǎng)絡(luò)系統(tǒng)有利于維護(hù)和管理，可減少網(wǎng)絡(luò)系統(tǒng)的擁有成本；

（3）高性能，要求網(wǎng)絡(luò)系統(tǒng)具有高性能，以滿足計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行大量關(guān)鍵業(yè)務(wù)（如項目設(shè)計、項目管理、cad、oa、mis、erp及多媒體應(yīng)用等）的需要；

（4）vlan劃分的靈活性，因為網(wǎng)絡(luò)系統(tǒng)站點數(shù)和運(yùn)行的應(yīng)用都在增多，所以要求網(wǎng)絡(luò)平臺具有靈活的虛網(wǎng)（vlan）劃分能力；

（5）由于網(wǎng)絡(luò)系統(tǒng)可能要傳輸多媒體信息，因此要求網(wǎng)絡(luò)平臺具有良好的服務(wù)質(zhì)量和較小的延遲；

（6）要求網(wǎng)絡(luò)平臺具有良好的易管理性，減少運(yùn)行、維護(hù)及管理成本；

（7）要求選擇具有良好發(fā)展前景的網(wǎng)絡(luò)廠商的產(chǎn)品，這樣才能保證平臺具有良好的售后服務(wù)、投資保護(hù)，更為關(guān)鍵的是能夠保證網(wǎng)絡(luò)系統(tǒng)持久的先進(jìn)性。

三、企業(yè)網(wǎng)絡(luò)主干技術(shù)選擇：

企業(yè)局域網(wǎng)絡(luò)技術(shù)的選擇主要是主干技術(shù)的選擇，現(xiàn)今適合作局域網(wǎng)絡(luò)主干技術(shù)的主要有千兆以太網(wǎng)及atm兩種。

千兆以太網(wǎng)是網(wǎng)絡(luò)界公認(rèn)的技術(shù)發(fā)展方向之一，它是對成功的10mbps和100mbpsieee802.3以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展，仍然沿用以太網(wǎng)ieee802.3幀格式，全雙工操作和流控制方法。在半雙工模式下，千兆以太網(wǎng)使用同樣的csma/cd訪問方法來解決媒體的通信競爭問題，并使用由ieee802.3小組定義的同樣的管理對象。概括起來，千兆以太網(wǎng)的優(yōu)點在于：網(wǎng)絡(luò)技術(shù)可靠，易于管理，具有可伸縮性，且它相對于atm的價格水平要低得多；缺點為部分標(biāo)準(zhǔn)不統(tǒng)一。

atm規(guī)定各種類型的服務(wù)（聲音、圖像、數(shù)據(jù)）信息都由大小固定的53字節(jié)的信元進(jìn)行傳輸。atm優(yōu)點為：支持線路交換和分組交換；對廣域網(wǎng)和局域網(wǎng)采用相同的技術(shù)；在普通線路上同時傳輸視頻、語音和數(shù)據(jù)；對多種業(yè)務(wù)可保證服務(wù)質(zhì)量，按需分配帶寬。缺點為：管理和維護(hù)復(fù)雜；基于atm的應(yīng)用較少；atm產(chǎn)品相對于以太網(wǎng)產(chǎn)品價格昂貴；部分標(biāo)準(zhǔn)不統(tǒng)一。

千兆以太網(wǎng)能與桌面的以太網(wǎng)和快速以太網(wǎng)無縫銜接，因為他們采用的協(xié)議是相同的。atm網(wǎng)絡(luò)與以太網(wǎng)共存時，需在幀和信元之間進(jìn)行轉(zhuǎn)換。在企業(yè)園區(qū)網(wǎng)，90％的應(yīng)用都是基于以太網(wǎng)或快速以太網(wǎng)的，千兆以太網(wǎng)以其從以太網(wǎng)及快速以太網(wǎng)升級方便、易管理和低廉的價格使atm舉步維艱，atm的傳統(tǒng)優(yōu)勢如傳輸多媒體和傳輸?shù)木嚯x長也日漸遜色。千兆以太網(wǎng)支持資源預(yù)留協(xié)議（rsvp）、ieee802.3、ieee802.1q、ipprecedence、獨立組播路由協(xié)議（pim）、國際互聯(lián)網(wǎng)成組管理協(xié)議（igmp）等，這就使得千兆以太網(wǎng)傳輸多媒體成為可能，已有廠家的千兆以太網(wǎng)產(chǎn)品傳輸距離超過100公里。因此建議，企業(yè)園區(qū)網(wǎng)在主要傳輸數(shù)據(jù)的情況下，應(yīng)選擇千兆以太網(wǎng)作主干技術(shù)。

四、企業(yè)網(wǎng)絡(luò)構(gòu)架的基本方案

企業(yè)網(wǎng)中大部分是中小企業(yè)，中小型企業(yè)最大的特點是小規(guī)模與高效率的結(jié)合。他們往往不擁有完備的信息技術(shù)部門，但是網(wǎng)絡(luò)應(yīng)用對他們同樣關(guān)鍵。因此，中小企業(yè)需要量身定做的解決方案。面對這一情況，上海廣電應(yīng)確信公司針對不同規(guī)模企業(yè)，推出了一系列解決方案，以幫助中小企業(yè)提升其競爭力。

4．1基本網(wǎng)絡(luò)方案簡述

根據(jù)企業(yè)網(wǎng)站可提供的內(nèi)容和它的實際應(yīng)用情況，企業(yè)上網(wǎng)可分為兩部分，一部分是實現(xiàn)各企業(yè)部門內(nèi)部辦公功能的內(nèi)部網(wǎng)，即intranet。另一部分是各企業(yè)部門網(wǎng)站在internet上信息與交流的外部網(wǎng)。

一旦企業(yè)建立了intranet，就可用它來信息、增強(qiáng)企業(yè)的通信能力、建立合作的環(huán)境。有些應(yīng)用很簡單，只是用html語言建立內(nèi)部的環(huán)球網(wǎng)服務(wù)器信息；有些應(yīng)用較復(fù)雜，需要連接數(shù)據(jù)庫。下面列出一些intranet的應(yīng)用：銷售報告、財務(wù)報告、客戶信息、季度統(tǒng)計、廠商信息、產(chǎn)品信息、市場信息小冊子、產(chǎn)品開發(fā)信息、物資和元部件目錄、倉庫信息、網(wǎng)絡(luò)管理、資產(chǎn)管理、新聞組、電子郵件、培訓(xùn)。

4．2具體方案實施：

按照網(wǎng)絡(luò)的規(guī)模可具體劃分為以下幾個方案：

（1）小型企業(yè)信息系統(tǒng)方案：通常指在20－30個工作站以內(nèi)的小型辦公室(辦公環(huán)境較集中)網(wǎng)絡(luò)環(huán)境的方案。

（2）中型企業(yè)信息系統(tǒng)方案：即指在30個工作站以上的中型辦公園區(qū)（辦公環(huán)境較分散，距離教遠(yuǎn)）網(wǎng)絡(luò)環(huán)境的方案。

（3）大型企業(yè)信息系統(tǒng)方案：即指在超過幾百個工作站以上的大型辦公園區(qū)并有外地分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境的方案。

4.2.1小型企業(yè)信息系統(tǒng)方案

小企業(yè)辦公室網(wǎng)絡(luò)，相對于大、中型企業(yè)網(wǎng)絡(luò)，可以說是麻雀雖小，五臟俱全，同樣有著文件共享、打印共享、電子郵件、財務(wù)管理、庫房管理、web等大型網(wǎng)絡(luò)所具有的需求。

由于小型企業(yè)網(wǎng)絡(luò)站點數(shù)較少，而且聯(lián)網(wǎng)的站點較集中（例如，在一幢樓內(nèi)）。因此，結(jié)構(gòu)化布線時就可以只采用雙絞線就足夠了，每個站點（計算機(jī)）與集線器或交換機(jī)之間的距離不能超過100米。

方案說明

網(wǎng)絡(luò)配置：中心選用infiniteswitch5024機(jī)架型快速以太網(wǎng)交換機(jī)(24口10/100m自適應(yīng)以太網(wǎng)交換機(jī))，采用10/100m自適應(yīng)端口連接服務(wù)器及工作站。針對小型企業(yè)用戶我們推出桌面型硬件安全設(shè)備isp1102，嵌入式的硬件安全架構(gòu)，使其性價比很高。簡單配置的防火墻安全規(guī)則，方便客戶應(yīng)用。同時可以作為dhcp服務(wù)器，具有本地路由器功能，支持以太網(wǎng)方式/cablemodem/adsl等方式接入internet，方便的實現(xiàn)共享上網(wǎng)。

方案特點：

(1)性價比高；在方案中，沒有使用很多高端的設(shè)備，但已經(jīng)完全可以滿足小型企業(yè)網(wǎng)絡(luò)的需求。

（2）功能齊全；提供了文件共享、打印共享、電子郵件、電子公告、庫房管理、遠(yuǎn)程辦公、工資管理、財務(wù)分析、采購管理、資金管理、庫存管理、銷售管理等較齊全的功能，很適合于小型企業(yè)網(wǎng)絡(luò)環(huán)境。

（3）安全性高；采用infiniteswitch5024智能以太網(wǎng)交換機(jī)交換機(jī)，可以將單一的局域網(wǎng)劃分為多個相對獨立、互不干擾的vlan（虛擬子網(wǎng)），可以方便地控制不同部門對某些資源的訪問權(quán)限，并能夠縮小廣播域，減少不必要的帶寬占用，有效提高網(wǎng)絡(luò)的安全性和性能。isp1102通過ip過濾提供防火墻功能?？梢詫p地址、端口號、協(xié)議種類等進(jìn)行設(shè)置并加以控制。

5.2.2中型企業(yè)信息系統(tǒng)方案

由于中型企業(yè)辦公環(huán)境較分散，距離教遠(yuǎn)，對網(wǎng)絡(luò)的性能要求較高（數(shù)據(jù)交換的安全性，設(shè)備運(yùn)行的可靠性，網(wǎng)絡(luò)管理的全面性），對網(wǎng)絡(luò)的速度亦有提高。同時，每個網(wǎng)段最長只能100米的有效距離的雙絞線傳輸介質(zhì)已經(jīng)不能滿足中型企業(yè)網(wǎng)絡(luò)的使用需求，有時必須使用多模光纖或單模光纖做為布線時所采用的傳輸線纜，使得有效傳輸距離能夠延伸至2公里（多模光纖）或更遠(yuǎn)（單模光纖）。

方案說明

中心選用infiniteswitch5000系列交換機(jī)，根據(jù)用戶數(shù)量及功能要求選用is5048/5024/5024s+.為了保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，在接入internet時采用上海廣電應(yīng)確信的防火墻isp91*，可以防止來自外部的非法的、惡意的攻擊。

由于中型企業(yè)辦公環(huán)境較分散，距離教遠(yuǎn)，則在中心交換機(jī)上配置100base-f或1000base-l/s光纖模塊.企業(yè)內(nèi)部采用svaisp91*通過ddn、framerlay、.25等廣域網(wǎng)專線接入internet，提供安全、快捷、簡便的企業(yè)外部網(wǎng)站方案。isp91*適用于中小型企業(yè)用戶，利用checkpoint軟件及其opsec合作伙伴構(gòu)成頂級配置，為用戶提供一個完整的網(wǎng)絡(luò)安全解決方案。

應(yīng)用二：

方案說明

對于一個中型企業(yè)，如果公司內(nèi)部有較多的部門，位置比較分散，而且相互之間要獨立的工作，對于用戶的訪問權(quán)限可以限制（如要求劃分vlan）,所有的部門通過公司的網(wǎng)絡(luò)中心的一臺三層交換機(jī)來接入internet，采用svahammerhead9300/9500/9800來對進(jìn)行對網(wǎng)絡(luò)的安全進(jìn)行保護(hù)。對于一些移動用戶可以采用無線接入設(shè)備(2020/1011/1001)來連入企業(yè)內(nèi)部網(wǎng)及上internet.

在公司的各個部門中采用的交換機(jī)均支持vlan的劃分，根據(jù)每個部門的規(guī)劃及距離網(wǎng)絡(luò)中心的遠(yuǎn)近采用100mutp或者100/1000m光纖接入。隨著員工數(shù)的增多，可以利用5024s/5024s+堆疊來擴(kuò)展網(wǎng)絡(luò)，5024s/5024s+最多分別可堆疊至4臺/16臺，因此網(wǎng)絡(luò)有很好的擴(kuò)展性及可管理性。

接入internet可以采用多種方式,通過pstn/isdn/ddn線路等多種方式，用戶可能根據(jù)需要來實現(xiàn)企業(yè)網(wǎng)接入公用網(wǎng)。

中型企業(yè)方案特點：

（1）較充分發(fā)揮了internet/intranet應(yīng)用的特性

除了傳統(tǒng)的文件共享、打印共享等功能外，電子郵件、web、電子公告、庫房管理、遠(yuǎn)程辦公等功能都是基于internet/intranet應(yīng)用實現(xiàn)的。使得整個網(wǎng)絡(luò)系統(tǒng)充分發(fā)揮了internet/intranet應(yīng)用的跨平臺、與硬件無關(guān)、標(biāo)準(zhǔn)統(tǒng)一等特點，使得中小型企業(yè)可以與外界透明地通訊。

（2）維護(hù)小、投入少

中型企業(yè)網(wǎng)絡(luò)系統(tǒng)使用了較少的高端產(chǎn)品，投入少而功能齊。由于使用了internet/intranet結(jié)構(gòu)構(gòu)造中小辦公室網(wǎng)絡(luò)系統(tǒng)，使得網(wǎng)絡(luò)結(jié)構(gòu)更加client/server化，作為網(wǎng)絡(luò)的管理維護(hù)，只需對server端進(jìn)行維護(hù)工作，對client的維護(hù)工作大大減少，所以總體上也就大大減少了維護(hù)工作量，并節(jié)省了投資。

（4）提高工作效率、節(jié)省開支。

在此方案中，提供了電子郵件、電子公告、web等實用、快捷的功能，大大提高了企業(yè)的辦公效率。同時提供了網(wǎng)絡(luò)內(nèi)用戶對internet的透明訪問，使企業(yè)內(nèi)部可以充分利用internet這個巨大的信息資源，更加提高了企業(yè)的辦公效率和資源利用。

5.2.3大型企業(yè)信息系統(tǒng)方案

大型企業(yè)辦公環(huán)境即指在超過幾百個工作站以上的大型辦公園區(qū)并有外地分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境。對網(wǎng)絡(luò)的性能要求很高，同時對網(wǎng)絡(luò)的速度亦有很高的要求。大型企業(yè)網(wǎng)支持各種網(wǎng)絡(luò)功能，能夠通過廣域網(wǎng)接口實現(xiàn)internet接入，建立企業(yè)主頁，為園區(qū)用戶提供e-mail電子郵件、www、ftp服務(wù)，同時支持網(wǎng)絡(luò)管理和電子信息的存儲、訪問管理。推薦采用局域網(wǎng)專線接入方式，此方式需要配備接入路由器,防火墻等網(wǎng)絡(luò)設(shè)備，租用電信部門的專線并向cernet管理部門申請ip地址及注冊域名。接入路由器可以通過ddn專線、framerelay等與internet相連。還可以按照需要組合配置多種wan廣域網(wǎng)端口模塊，提供寬帶、qos保證的遠(yuǎn)程多媒體服務(wù)。為了保證企業(yè)網(wǎng)的安全，方案中提供svahammerhead9000安全平臺，svahammerhead9000系列是業(yè)界唯一模塊化網(wǎng)絡(luò)安全平臺和應(yīng)用系統(tǒng)，在單一的設(shè)備上集成了路由、防火墻、入侵檢測、vpn、lan連接和其他安全應(yīng)用，為用戶提供可擴(kuò)容及可靠的網(wǎng)絡(luò)安全整體解決方案。

在布線上，除了采用多?；騿文９饫w之外，甚至還需要從電信部門租用ddn、幀中繼、.25、isdn等專線，或者利用無線微波方式進(jìn)行遠(yuǎn)距離連接。版權(quán)所有

方案說明

在網(wǎng)絡(luò)中心選擇上海廣電應(yīng)確信的infiniteswitch7508三層交換機(jī)和5024交換機(jī)。在各分部門或者分公司根據(jù)信息點數(shù)選擇infiniteswitch4000/5000系列交換機(jī)。

在網(wǎng)絡(luò)中心的核心層配置的infiniteswitch7508g第三層交換機(jī)，可完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能交換，是一種功能強(qiáng)大的企業(yè)網(wǎng)主干交換機(jī)，使網(wǎng)絡(luò)管理者能方便的監(jiān)督和管理網(wǎng)絡(luò)，同時，又能將主干網(wǎng)帶寬提升到千兆速度，infiniteswitch7000/7500系列是可網(wǎng)管的，高端口密度，配置靈活的高性能路由交換機(jī)。提供7個擴(kuò)展插槽，22g交換背板上。網(wǎng)絡(luò)管理員能夠隨時通過任意一個端口配置以上功能，以消除傳統(tǒng)路由器的瓶頸，設(shè)置優(yōu)先級給不同類型的網(wǎng)絡(luò)傳輸及保證某些應(yīng)用的流量帶寬，如視頻傳輸。

infiniteswitch7508g提供了廣泛的管理選擇，包括hpopenview和其他的snmp管理系統(tǒng)，或者infiniteswitch7508g自己提供的網(wǎng)絡(luò)管理系統(tǒng)。infiniteswitch7508g提供到與infiniteswitch4000/5000系列以太網(wǎng)交換機(jī)、防火墻和服務(wù)器群（其中包括主域服務(wù)器、備份域服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、www服務(wù)器等）、網(wǎng)管終端的高速連接，重要的服務(wù)器及主干鏈路均可采用千兆模塊進(jìn)行生成樹（spanningtree）冗余鏈路連接。

接入層交換機(jī)，在本方案設(shè)計中，為了保證網(wǎng)絡(luò)的高性能，可采用infiniteswitch4000/5000系列智能以太網(wǎng)交換機(jī)，根據(jù)具體實際需求，接入層交換機(jī)可選用infiniteswitch4024/4032/5024/5024s/5048交換機(jī)。

在方案中的防火墻，選用svahammerhead9300.hammerhead9300是3插槽機(jī)箱式的安全平臺，用戶可以根據(jù)需求選擇服務(wù)器、交換機(jī)、路由器等模塊。svahammerhead9000的多種應(yīng)用模塊能支持linu,hp/u,bsduni,windowsnt和sunsolaris等系統(tǒng)，它能為用戶提供防火墻保護(hù)、入侵偵測、身份認(rèn)證、安全報告、內(nèi)容安全、高可靠性。svahammerhead9000的有多種網(wǎng)絡(luò)模塊，它可支持多種的lan/wan互連，包括：frame、isdn、atm、以太網(wǎng)。實現(xiàn)完整的一體化的網(wǎng)絡(luò)安全解決方案。

方案特點：

1、高性能；網(wǎng)絡(luò)中采用了第三層交換機(jī)，第三層交換不僅擁有高速的交換功能，同時也具有全部的第三層控制功能，可以對流量基于ip地址、ip的協(xié)議類型、以及tcp/udp的端口進(jìn)行交換控制，從而在提高網(wǎng)絡(luò)處理效率的同時，保障了vlan之間通訊的安全性。

2、可擴(kuò)展性；網(wǎng)絡(luò)設(shè)計具有層次結(jié)構(gòu)，用戶能靈活地接入到相應(yīng)的層次當(dāng)中。可擴(kuò)展的網(wǎng)絡(luò)接口。

3、靈活性；適當(dāng)?shù)慕lan，方便地理位置不同的用戶的網(wǎng)絡(luò)連接.

4、安全性；vlan的建立，可以控制廣播和應(yīng)用的信息流動，從而防止用戶非法在網(wǎng)絡(luò)上截獲其它用戶或它們的資源。hammerhead9000網(wǎng)絡(luò)安全產(chǎn)品保護(hù)企業(yè)內(nèi)部資源，防止外部入侵，控制和監(jiān)督外部用戶對企業(yè)內(nèi)部網(wǎng)的訪問；控制、監(jiān)督和管理企業(yè)內(nèi)部對外部internet的訪問。

5、層次化、模塊化；本網(wǎng)絡(luò)設(shè)計的特點為層次化、模塊化設(shè)計。

6、優(yōu)良的性價比

六、總結(jié)

小型企業(yè)網(wǎng)絡(luò)安全解決方案范文第3篇

關(guān)鍵詞：等級保護(hù)分級管理；中小型網(wǎng)絡(luò)；安全建設(shè)

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部關(guān)于等級保護(hù)分級管理的要求

如何利用等級保護(hù)中分級管理制度，確定不同的系統(tǒng)不同的安全策略，消除內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽或篡改等等安全隱患，對中小網(wǎng)絡(luò)而言至關(guān)重要。為此，自2010年3月1日起，工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(以下簡稱《辦法》)開始施行?！掇k法》要求通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)按照各通信網(wǎng)絡(luò)單元遭到破壞后可能造成的危害程度，將本單位已正式投入運(yùn)行的通信網(wǎng)絡(luò)單元由低到高分別劃分為一級、二級、三級、四級、五級?！掇k法》要求，通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)在通信網(wǎng)絡(luò)定級評審?fù)ㄟ^后三十日內(nèi)，將通信網(wǎng)絡(luò)單元的劃分和定級情況按照有關(guān)規(guī)定向電信管理機(jī)構(gòu)備案。電信管理機(jī)構(gòu)對通信網(wǎng)絡(luò)運(yùn)行單位開展通信網(wǎng)絡(luò)安全防護(hù)工作的情況進(jìn)行檢查。

二、中小型網(wǎng)絡(luò)基本情況與應(yīng)用特點

中小型計算機(jī)網(wǎng)絡(luò)主要應(yīng)用于辦公自動化系統(tǒng)、信息查詢系統(tǒng)、郵件服務(wù)、財務(wù)、人事、計劃系統(tǒng)等實際工作和WWW應(yīng)用中。根據(jù)中小型計算機(jī)網(wǎng)絡(luò)的應(yīng)用特點，需要保證網(wǎng)絡(luò)中的數(shù)據(jù)具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機(jī)網(wǎng)絡(luò)跨越公共網(wǎng)絡(luò)及與Internet網(wǎng)互聯(lián)，這就給計算機(jī)網(wǎng)絡(luò)帶來嚴(yán)峻的安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機(jī)病毒等。這些安全問題如果得不到解決，那將會給計算機(jī)網(wǎng)絡(luò)帶來嚴(yán)重的安全隱患。所謂可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用?？煽啃允侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運(yùn)行的性能，是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求；保密性是指網(wǎng)絡(luò)信息不被泄露的特性，保密性是保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容；完整性即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，也稱作不可否認(rèn)性。從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括四個方面，即：網(wǎng)絡(luò)實體安全、軟件安全網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)安全管理。由此可見，計算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全。因此實施網(wǎng)絡(luò)安全保護(hù)方案，目的是以保證算機(jī)網(wǎng)絡(luò)自身的安全。

三、中小型網(wǎng)絡(luò)安全解決方案

隨著網(wǎng)絡(luò)威脅越來越普遍、破壞性越來越嚴(yán)重，網(wǎng)絡(luò)入侵者攻擊來源廣泛，形式多樣。通常采用信息收集、探測分析系統(tǒng)的安全弱點和實施攻擊有步驟地進(jìn)行入侵。如在目標(biāo)系統(tǒng)安裝木馬程序用來窺探目標(biāo)，網(wǎng)絡(luò)所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲等對網(wǎng)絡(luò)造成了巨大損失。本文按照安全風(fēng)險、需求分析結(jié)果、安全目標(biāo)及安全設(shè)計原則，為中小型計算機(jī)網(wǎng)絡(luò)解決網(wǎng)絡(luò)安全問題，力求構(gòu)建一個適合于中小型計算機(jī)網(wǎng)絡(luò)的安全體系。

（一）外網(wǎng)安全設(shè)計

1.防火墻系統(tǒng)：采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進(jìn)行保護(hù)。

2.入侵檢測系統(tǒng)：采用入侵檢測設(shè)備，作為防火墻的功能互補(bǔ)，提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。

3.病毒防護(hù)系統(tǒng)：強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。

4.垃圾郵件過濾系統(tǒng)：過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

（二）內(nèi)網(wǎng)安全設(shè)計

采用訪問控制策略，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。對內(nèi)部采用：網(wǎng)絡(luò)管理軟件系統(tǒng)：使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。

具體可采用Juniper的整合式安全設(shè)備+三層交換機(jī)的配置方案。Juniper的整合式安全設(shè)備專為互聯(lián)網(wǎng)網(wǎng)絡(luò)安全而設(shè)，將硬件狀態(tài)防火墻、虛擬專用網(wǎng)（IP sec VPN）、入侵防護(hù)（IPS）和流量管理等多種安全功能集于一體，可以通過內(nèi)置的Web UI、命令行界面或中央管理方案進(jìn)行統(tǒng)一管理。

三層交換機(jī)具用于日志審計及監(jiān)控。根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全訪問需求，網(wǎng)絡(luò)利用三層交換機(jī)來劃分虛擬子網(wǎng)（VLAN）。因為三層交換機(jī)具有路由功能，在沒有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問，同時通過在不同VLAN間做限制來實現(xiàn)不同資源的訪問控制。通過虛擬子網(wǎng)的劃分，既方便局域網(wǎng)絡(luò)的互聯(lián)，又能夠?qū)崿F(xiàn)訪問控制。

四、結(jié)束語

總之，我們必須不斷強(qiáng)化信息安全觀念，加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作的檢查和監(jiān)督，充分利用《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》關(guān)于安全等級劃分的要求制定具體的信息安全防護(hù)策略，全面落實各項制度、預(yù)案，加強(qiáng)技術(shù)積累，定期進(jìn)行網(wǎng)絡(luò)漏洞掃描等安全有效措施，切實加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全保障工作，確保中小型網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：