摘要：互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)應(yīng)用活躍，中小型企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍也不斷擴大，導(dǎo)致網(wǎng)絡(luò)安全問題日益突顯。企業(yè)網(wǎng)絡(luò)安全一旦出現(xiàn)問題，造成的損失不可估量。因而以中小型企業(yè)為實例，探討這類企業(yè)的網(wǎng)絡(luò)安全問題以及一些解決方案。分析了目前網(wǎng)絡(luò)安全理論相關(guān)技術(shù)、中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則，針對中小型企業(yè)規(guī)劃出了一個較為完善的網(wǎng)絡(luò)拓撲結(jié)構(gòu)且具有一定的擴展能力，運用當前主流的一些網(wǎng)絡(luò)安全技術(shù)從中小型企業(yè)設(shè)備的物理環(huán)境安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)內(nèi)部安全等方面進行了重復(fù)加固和實現(xiàn)，提高了企業(yè)的網(wǎng)絡(luò)安全等級。

關(guān)鍵詞：中小型企業(yè)；網(wǎng)絡(luò)安全規(guī)劃；VLAN技術(shù)；方案

0引言

隨著全球信息化浪潮的不斷推進，社會經(jīng)濟、生活方面都發(fā)生了日新月異的變革，網(wǎng)絡(luò)技術(shù)正在進行一場革命突破。網(wǎng)絡(luò)技術(shù)長期的發(fā)展與完善，在信息安全方面已經(jīng)從最初的數(shù)據(jù)保密逐步轉(zhuǎn)變?yōu)樾畔踩夹g(shù)的可用性、可控性以及完整性，如今網(wǎng)絡(luò)安全又朝著“檢測－管控－攻防”等方向發(fā)展，逐漸成為一個綜合性的學科研究領(lǐng)域，也是目前研究的熱點。如今，無論政府、大中小企業(yè)、學校、醫(yī)院全部采用信息化平臺工作，提高工作效率和社會競爭力。但是在網(wǎng)絡(luò)安全管理和維護上存在一些問題和隱患，尤其中小型企業(yè)網(wǎng)絡(luò)安全更被人忽視。本文深入分析網(wǎng)絡(luò)安全相關(guān)技術(shù)、中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則，進一步提出中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃模型及解決方案，以滿足中小型企業(yè)對網(wǎng)絡(luò)的穩(wěn)定性、可靠性和安全性需求。

1網(wǎng)絡(luò)安全相關(guān)技術(shù)

網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境數(shù)據(jù)的保密性、完整性及可使用性受到保護。常見的技術(shù)有如下幾個：（1）防火墻技術(shù)。防火墻技術(shù)（Firewall）是指設(shè)置在兩個或多個網(wǎng)絡(luò)之間的安全阻隔，用于保證本地網(wǎng)絡(luò)資源的安全，由軟件部分和硬件部分組成的一個系統(tǒng)或多個系統(tǒng)。工作原理是在可信任的網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)控制系統(tǒng)，隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問控制策略，防止外部的未授權(quán)節(jié)點訪問內(nèi)部網(wǎng)絡(luò)和非法向外傳遞內(nèi)部信息，同時也防止非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運行被破壞。（2）虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）是一種利用在互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)上構(gòu)建專有的虛擬私有網(wǎng)絡(luò)安全技術(shù)，通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密，為用戶在公共網(wǎng)絡(luò)上建立一個臨時的、安全的傳輸隧道，以達到專用網(wǎng)絡(luò)的安全級別。用戶數(shù)據(jù)通過發(fā)起端上的VPN設(shè)備建立邏輯隧道，數(shù)據(jù)在傳輸過程中是完全封裝的，在接收端采用相應(yīng)的解密和認證技術(shù)來確認發(fā)起的請求合法性，從而實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)在整個傳輸過程中的安全，使其不要流向非法用戶，以達到防范的目的。VPN優(yōu)點在于加大了安全機制，即使信息被截獲也不用擔心泄密，數(shù)據(jù)傳輸采用認證模式，保證信息的完整性。（3）ACL技術(shù)。ACL技術(shù)在路由器中被廣泛采用，是一種基于包過濾的流控制技術(shù)。控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并且可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常用在企業(yè)的出口控制上，通過ACL的部署，可以有效的規(guī)劃企業(yè)網(wǎng)絡(luò)的出網(wǎng)策略。（4）入侵檢測技術(shù)。入侵檢測技術(shù)是從計算機網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵節(jié)點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為或者遭到入侵的現(xiàn)象，并根據(jù)一定的策略采取一定的措施。（5）VLAN技術(shù)。VLAN（VirtualLocalAreaNetwork）又稱“虛擬局域網(wǎng)”，是一組邏輯上獨立的設(shè)備和用戶，不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素組織起來進行通信，相互之間的通信就好像在同一個網(wǎng)段中一樣。一個VLAN就是一個廣播域，VLAN之間的通信是通過第三層的路由器來完成的。通過VLAN可以靈活定義在同一物理網(wǎng)段上網(wǎng)絡(luò)節(jié)點之間的通信，即在同一VLAN的網(wǎng)絡(luò)節(jié)點之間可以通信，不同VLAN的網(wǎng)絡(luò)節(jié)點之間不可以通信。（6）數(shù)據(jù)存儲備份與恢復(fù)技術(shù)。將計算機硬盤中的數(shù)據(jù)復(fù)制到磁帶或光盤上，而企業(yè)級的數(shù)據(jù)備份是指對精確定義的數(shù)據(jù)收集進行備份，無論數(shù)據(jù)的組織形式是文件、數(shù)據(jù)庫，還是邏輯卷或磁盤，管理保存上述備份介質(zhì)，以便需要時能迅速、準確地找到任何目標數(shù)據(jù)的任何備份，并準確地追蹤大量的介質(zhì)。

作者：鐘豪單位：麗水市煙草公司松陽分公司

企業(yè)計算機網(wǎng)絡(luò)所面臨的威脅

當前，大多數(shù)企業(yè)都實現(xiàn)了辦公自動化、網(wǎng)絡(luò)化，這是提高辦公效率、擴大企業(yè)經(jīng)營范圍的重要手段。但也正是因為對計算機網(wǎng)絡(luò)的過分依賴，容易因為一些主客觀因素對計算機網(wǎng)絡(luò)造成妨礙，并給企業(yè)造成無法估計的損失。

1網(wǎng)絡(luò)管理制度不完善

網(wǎng)絡(luò)管理制度不完善是妨礙企業(yè)網(wǎng)絡(luò)安全諸多因素中破壞力最強的?！皼]有規(guī)矩，不成方圓?！敝贫染褪且?guī)矩。當前，一些企業(yè)的網(wǎng)絡(luò)管理制度不完善，尚未形成規(guī)范的管理體系，存在著網(wǎng)絡(luò)安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題，使企業(yè)相關(guān)人員不能采取有效措施防范網(wǎng)絡(luò)威脅，也給一些攻擊者接觸并獲取企業(yè)信息提供很大的便利。

2網(wǎng)絡(luò)建設(shè)規(guī)劃不合理

編者按：本論文主要從內(nèi)網(wǎng)安全風險分析；內(nèi)網(wǎng)安全實施策略等進行講述，包括了病毒、蠕蟲入侵、軟件漏洞隱患、系統(tǒng)安全配置薄弱、脆弱的網(wǎng)絡(luò)接入安全防護、企業(yè)網(wǎng)絡(luò)入侵、終端用戶計算機安全完整性缺失、多層次的病毒、蠕蟲防護、終端用戶透明、自動化的補丁管理，安全配置、全面的網(wǎng)絡(luò)準入控制等，具體資料請見：

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網(wǎng)絡(luò)安全防護建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護技術(shù)，對網(wǎng)絡(luò)入侵進行監(jiān)控和防護，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風險分析

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會組織在網(wǎng)絡(luò)安全防護建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護技術(shù)，對網(wǎng)絡(luò)入侵進行監(jiān)控和防護，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護技術(shù)就更是鞭長莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng)，而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風險分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

作者：杜尚權(quán)單位：貴陽中化開磷化肥有限公司

網(wǎng)絡(luò)安全管理技術(shù)

目前，網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視，而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機關(guān)和高等院校的各種計算機網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴大，網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展，同時出現(xiàn)了若干問題，例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風險監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題，以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等。網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個關(guān)鍵的組成部分，從信息安全管理的方向來看，網(wǎng)絡(luò)安全管理涉及到整個企業(yè)的策略規(guī)劃和流程、保護數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認證、數(shù)據(jù)傳輸安全和外界攻擊保護等等。在實際應(yīng)用中，網(wǎng)絡(luò)安全管理并不僅僅是一個軟件系統(tǒng)，它涵蓋了多種內(nèi)容，包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風險監(jiān)控等多個方面。

防火墻技術(shù)

互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進行出入，是一個控制經(jīng)過防火墻進行網(wǎng)絡(luò)活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng)，目的是為了保證整個網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業(yè)不同網(wǎng)絡(luò)之間，或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施，它不僅是一個限制器，更是一個分離器和分析器，能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換，從而保證整個網(wǎng)絡(luò)系統(tǒng)的安全。將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全，很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù)，更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前，互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。

1入侵檢測技術(shù)入侵檢測是一種增強系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估，并根據(jù)評價結(jié)果來判斷行為的正常性，從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。