淺析中小企業(yè)計算機(jī)網(wǎng)絡(luò)安全及防范

馬秋弘

（天水風(fēng)動機(jī)械有限公司，甘肅天水741020）

隨著互聯(lián)網(wǎng)的迅速發(fā)展和計算機(jī)網(wǎng)絡(luò)應(yīng)用在各行業(yè)的深入滲透，大多數(shù)中小企業(yè)構(gòu)建了自己的計算機(jī)網(wǎng)絡(luò)，以適應(yīng)新時期的競爭要求。受資金、技術(shù)等方面限制，中小企業(yè)無力購買昂貴的整體安全防御系統(tǒng)，網(wǎng)絡(luò)容易遭到非法入侵和未經(jīng)授權(quán)的存取或破壞，造成數(shù)據(jù)丟失、系統(tǒng)崩潰等問題。如何采取有效手段和防護(hù)措施確保計算機(jī)網(wǎng)絡(luò)安全已成為當(dāng)前備受關(guān)注的問題。

1 計算機(jī)網(wǎng)絡(luò)安全的定義

計算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施使計算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計算機(jī)網(wǎng)絡(luò)安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

2 中小企業(yè)計算機(jī)網(wǎng)絡(luò)安全問題

（1）計算機(jī)病毒泛濫，傳播方式多種多樣，其中以“木馬”和“蠕蟲”病毒最令人頭痛。病毒通過移動存儲設(shè)備（如U盤）、局域網(wǎng)傳播，也可以在上網(wǎng)過程中被掛“木馬”網(wǎng)站感染。同時，計算機(jī)的安全軟件更新速度慢，絕大多數(shù)情況是在病毒已經(jīng)感染擴(kuò)散后，安全軟件才更新相關(guān)病毒數(shù)據(jù)庫并采取殺毒措施。因此，病毒往往防不勝防。

（2）防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

防火墻可以限制外部計算機(jī)網(wǎng)絡(luò)到內(nèi)部計算機(jī)網(wǎng)絡(luò)的訪問，卻難以防范計算機(jī)網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。比如病毒可以通過移動存儲設(shè)備在局域網(wǎng)中傳播，根本不必通過外網(wǎng)。隨著技術(shù)的發(fā)展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。

（3）安全工具的使用受到人為因素的影響，能不能實現(xiàn)預(yù)期效果，很大程度上取決于使用者(包括管理員和用戶)的操作，不正當(dāng)?shù)脑O(shè)置和使用產(chǎn)生不安全因素。

（4）員工用計算機(jī)工作、上網(wǎng)，對計算機(jī)網(wǎng)絡(luò)安全基本沒有概念，安全意識薄弱。在上網(wǎng)過程中往往導(dǎo)致病毒入侵，以致感染到企業(yè)局域網(wǎng)，這種由內(nèi)部引起的安全問題往往難以防范。

3 計算機(jī)網(wǎng)絡(luò)安全的防范措施

3.1 技術(shù)層面措施

（1）路由器策略。路由器（指連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備。它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號），是計算機(jī)網(wǎng)絡(luò)抵御外來攻擊的第一道屏障。通過路由器安全設(shè)置，將外部網(wǎng)絡(luò)與企業(yè)內(nèi)部網(wǎng)絡(luò)隔離，抵御外網(wǎng)攻擊。如企業(yè)有外地分部或機(jī)構(gòu)，各分部或機(jī)構(gòu)都有自己的局域網(wǎng)，企業(yè)將它們組成一個企業(yè)廣域網(wǎng)時，可用虛擬專用網(wǎng)(VPN)連接（虛擬專用網(wǎng)絡(luò)技術(shù)是一種新興熱門的網(wǎng)絡(luò)技術(shù)，能夠為網(wǎng)絡(luò)安全提供很好的解決方案。它主要通過互聯(lián)網(wǎng)建立一個連接遠(yuǎn)程客戶機(jī)和各企業(yè)內(nèi)網(wǎng)的臨時虛擬連接，使用這種連接可以對數(shù)據(jù)進(jìn)行數(shù)倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)絡(luò)運(yùn)用的主要技術(shù)有防火墻、身份驗證、數(shù)據(jù)加密、訪問監(jiān)控技術(shù)）。當(dāng)數(shù)據(jù)離開發(fā)送者所在的局域網(wǎng)時，該數(shù)據(jù)首先被用戶連接到互聯(lián)網(wǎng)上的路由器進(jìn)行硬件加密，數(shù)據(jù)在互聯(lián)網(wǎng)上以加密的形式在加密隧道中傳送，當(dāng)達(dá)到目的LAN的路由器時，該路由器對數(shù)據(jù)進(jìn)行解密后，目的局域網(wǎng)中的用戶才可以看到真正的信息，提高了數(shù)據(jù)在互聯(lián)網(wǎng)中的安全性。

（2）防火墻策略。防火墻作為第二道防線，被廣泛運(yùn)用于保護(hù)計算機(jī)網(wǎng)絡(luò)安全，是中小企業(yè)對付病毒直接攻擊的主要手段。它能在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)。從而使內(nèi)部網(wǎng)不受非法用戶侵入。防火墻是一種計算機(jī)硬件和軟件的組合體。在計算機(jī)網(wǎng)絡(luò)上配置防火墻是保護(hù)網(wǎng)絡(luò)安全最直接、最經(jīng)濟(jì)的措施之一。因為它簡單實用且透明度高，不僅提高了內(nèi)部網(wǎng)絡(luò)的安全性，而且可以降低風(fēng)險。防火墻可將公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開。防火墻通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)等。

（3）身份認(rèn)證制度和訪問控制策略。身份認(rèn)證系統(tǒng)是整個網(wǎng)絡(luò)安全體系的基礎(chǔ)，讓每個用戶在網(wǎng)絡(luò)上有唯一的身份標(biāo)識，以此確定用戶的權(quán)限和責(zé)任。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，對靜態(tài)信息（是指企業(yè)的人、財、物等基本生產(chǎn)要素的固有屬性數(shù)據(jù)）保護(hù)用處很大。訪問控制與身份認(rèn)證相結(jié)合，可以有效進(jìn)行入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)監(jiān)測、鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)控制以及防火墻控制等。它能控制用戶登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源的權(quán)限，控制準(zhǔn)許用戶入網(wǎng)的時間和入網(wǎng)端口；控制用戶和用戶組訪問目錄和文件的權(quán)限，可以指定用戶對哪些目錄和文件執(zhí)行哪些操作；記錄用戶對網(wǎng)絡(luò)資源的訪問情況。當(dāng)出現(xiàn)非法訪問企業(yè)網(wǎng)絡(luò)的情況時，服務(wù)器會發(fā)出警報以提醒網(wǎng)絡(luò)管理員。要實現(xiàn)身份認(rèn)證和訪問控制策略，需要運(yùn)用IP—MAC—PORT端口綁定、編輯制作訪問控制列表(ACL)、劃分VLAN等技術(shù)。

IP—MAC—PORT端口綁定，是指在IP、MAC（網(wǎng)卡硬件地址）綁定的基礎(chǔ)上，把交換機(jī)端口(PORT)綁定進(jìn)去，它是解決IP地址被盜用問題最有效的方法。這需要在布線時做好端口定時管理工作。在布線時應(yīng)該把用戶墻上的接線盒和交換機(jī)的端口一一對應(yīng)并做好登記工作，然后把用戶交上來的MAC地址填入對應(yīng)的交換機(jī)端口，進(jìn)而與IP一起綁定，達(dá)到IP—MAC—PORT三者綁定。這樣即使盜用者擁有IP對應(yīng)的MAC地址，也無法對中小企業(yè)的計算機(jī)網(wǎng)絡(luò)構(gòu)成威脅，從物理通道上隔離了盜用者。

ACL是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可規(guī)定符合條件的數(shù)據(jù)包是否允許通過。通過ACL技術(shù)管理局域網(wǎng)內(nèi)部資源的訪問能力，進(jìn)而保障資源的安全性。一個虛擬局域網(wǎng)（VLAN）組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴（一個數(shù)據(jù)幀或包被傳輸?shù)奖镜鼐W(wǎng)段(由廣播域定義)上的每個節(jié)點(diǎn)就是廣播；由于網(wǎng)絡(luò)拓?fù)涞脑O(shè)計和連接問題，或其他原因?qū)е聫V播在網(wǎng)段內(nèi)大量復(fù)制，傳播數(shù)據(jù)幀，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)癱瘓，這就是廣播風(fēng)暴），還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。這樣，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息。

（4）上網(wǎng)行為監(jiān)控。通過安裝上網(wǎng)行為監(jiān)控硬件或軟件，設(shè)置并應(yīng)用管理策略，能有效地控制內(nèi)部用戶網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)行為，減少或避免不安全操作。當(dāng)出現(xiàn)不安全事件時，也能及時定位解決問題。

（5）部署網(wǎng)絡(luò)殺毒。為了減少病毒在整個內(nèi)網(wǎng)的感染、傳播和發(fā)作，在網(wǎng)內(nèi)的服務(wù)器和各節(jié)點(diǎn)計算機(jī)上部署網(wǎng)絡(luò)殺毒軟件，定時對病毒進(jìn)行掃描檢測及漏洞修復(fù)，定時升級病毒庫并查毒殺毒，使整個網(wǎng)絡(luò)保持防病毒能力。目前“360”殺毒軟件可以做到實時升級，對于服務(wù)器外的計算機(jī)是很好的選擇。

（6）數(shù)據(jù)加密策略。數(shù)據(jù)加密可以幫助保護(hù)數(shù)據(jù)不被未授權(quán)人查看和修改，確保數(shù)據(jù)來自特定一方。數(shù)據(jù)加密是安全的盾牌，采用加密技術(shù)對文件、資料、數(shù)據(jù)進(jìn)行加密存儲和密文傳輸，在出現(xiàn)第三方進(jìn)行網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)竊取以及載體流失等安全問題時，讓其難以解密數(shù)據(jù)，確保信息內(nèi)容的安全。密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

（7）網(wǎng)絡(luò)系統(tǒng)備份與恢復(fù)。網(wǎng)絡(luò)系統(tǒng)的備份是指對網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份，以便在網(wǎng)絡(luò)出現(xiàn)意外時能快速、全面地恢復(fù)。網(wǎng)絡(luò)系統(tǒng)核心設(shè)備的備份主要包括核心交換機(jī)、核心路由器、重要服務(wù)器等。數(shù)據(jù)信息備份包括對網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份。數(shù)據(jù)信息備份有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)備份是網(wǎng)絡(luò)日常維護(hù)工作的重要環(huán)節(jié)之一，做好相關(guān)備份工作，才能在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時及時、迅速、有效地恢復(fù)系統(tǒng)，確保系統(tǒng)的正常運(yùn)行。

3.2 管理層面措施

（1）建立網(wǎng)絡(luò)安全制度。網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，企業(yè)要結(jié)合業(yè)務(wù)需求和安全現(xiàn)狀建立并實施嚴(yán)密的計算機(jī)網(wǎng)絡(luò)安全管理辦法和管理系統(tǒng)，加強(qiáng)用戶和授權(quán)管理，加強(qiáng)安全審計和跟蹤體系的完善，提高對網(wǎng)絡(luò)安全的整體意識。

（2）加強(qiáng)員工安全意識，提高計算機(jī)操作水平。安全制度的執(zhí)行需要員工來執(zhí)行，增強(qiáng)員工的計算機(jī)網(wǎng)絡(luò)安全意識和計算機(jī)操作水平，可以減少企業(yè)網(wǎng)絡(luò)計算機(jī)成為“僵尸網(wǎng)絡(luò)”中任人宰割的“肉雞”的幾率，從整體上提高計算機(jī)網(wǎng)絡(luò)的安全性。

（3）建立應(yīng)急預(yù)案。計算機(jī)病毒攻擊無處不在，防不勝防，所以應(yīng)建立有效的應(yīng)急預(yù)案以備不時之需。

[1]全豐菽.計算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].信息與電腦，2010（8）.

[2]王宏偉.網(wǎng)絡(luò)安全威脅與對策[J].應(yīng)用技術(shù)，2006（5）.

[3]王群.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社，2008.