企業(yè)網(wǎng)絡(luò)安全防范方案研究

孫二華?鄭俏妍

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和技術(shù)的提高給網(wǎng)絡(luò)的安全帶來了很大的沖擊，Internet的安全成了新信息安全的熱點(diǎn)。計(jì)算機(jī)系統(tǒng)的互聯(lián)，在大大擴(kuò)展信息資源的共享空間的同時(shí)，也將其本身暴露在更多惡意攻擊之下，因此如何保證網(wǎng)絡(luò)安全問題是企業(yè)面臨的問題之一。本文分析了企業(yè)網(wǎng)絡(luò)現(xiàn)狀，提出對(duì)應(yīng)的安全防范方案，包括防火墻、防病毒軟件、系統(tǒng)備份等基本方法，在實(shí)際應(yīng)用中具有現(xiàn)實(shí)意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全;網(wǎng)絡(luò)系統(tǒng)

引言：企業(yè)網(wǎng)絡(luò)安全已成為當(dāng)今值得關(guān)注的問題，它的重要性是不言而喻的，黑客竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長(zhǎng)遠(yuǎn)的商業(yè)價(jià)值。因此，如何保障企業(yè)網(wǎng)絡(luò)的安全變得重要起來。

1.企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

公司的發(fā)展壯大使其企業(yè)布局發(fā)生了巨大的變化。隨著公司發(fā)展，需要重新規(guī)劃：其網(wǎng)絡(luò)結(jié)構(gòu)。存在著遠(yuǎn)端數(shù)據(jù)收集困難，病毒威脅、黑客入侵、垃圾和病毒郵件威脅，帶寬利用率低等

問題。

（1）病毒威脅，病毒是網(wǎng)絡(luò)安全最大威脅，每年給各種企業(yè)帶來的損失巨大，使所有企業(yè)都對(duì)病毒“談毒色變”。

（2）ARP攻擊威脅，ARP本是網(wǎng)絡(luò)體系結(jié)構(gòu)中的一個(gè)協(xié)議，這個(gè)協(xié)議關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)通信必不可少的兩個(gè)地址IP與MAC地址的轉(zhuǎn)換功能。

（3）通過網(wǎng)絡(luò)方式泄露企業(yè)機(jī)密，造成企業(yè)損失。網(wǎng)絡(luò)在成為羲要交流工具的同時(shí)也成了重要的泄密渠道。

2.企業(yè)局域網(wǎng)安全防范方案

（1） 防火墻技術(shù)安全配置。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過濾防火墻工作在網(wǎng)絡(luò)層上，有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行交換。一般利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾，能根據(jù)企業(yè)的安全政策來控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實(shí)時(shí)告警等功能。代理服務(wù)防火墻也有一定功效，是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān)，位于internet和intranet之間，自動(dòng)截取內(nèi)部用戶訪問internet的請(qǐng)求，驗(yàn)證其有效性，代表用戶建立訪問外部網(wǎng)絡(luò)的連接。代理服務(wù)器在很大程度上對(duì)用戶是透明的，如果外部網(wǎng)絡(luò)個(gè)站點(diǎn)之間的連接被切斷了，必須通過代理服務(wù)器方可相互連通。

（2）攻擊檢測(cè)技術(shù)及方法。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，所以要及時(shí)發(fā)現(xiàn)并修正網(wǎng)絡(luò)中存在的弱點(diǎn)和漏洞。網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。這樣，防火墻將得到合理配置，內(nèi)外WEB站點(diǎn)的安全漏洞減為最低，網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性，對(duì)網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送E-mail），一般包括控制臺(tái)和探測(cè)器，也不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。

（3）審計(jì)與監(jiān)控技術(shù)實(shí)施。由于企業(yè)需要的是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對(duì)整個(gè)網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對(duì)記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣的使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于去定問題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)的識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。

（4） 企業(yè)局域網(wǎng)防病毒設(shè)置。隨著網(wǎng)絡(luò)病毒的泛濫，對(duì)于一個(gè)局域網(wǎng)來說，以前各掃門前雪的防病毒方式經(jīng)顯得力不從心了，如果僅靠局域網(wǎng)中部分計(jì)算機(jī)的單機(jī)版防病毒軟件，根本不可能做到對(duì)病毒的及時(shí)防御。因此，在局域網(wǎng)中構(gòu)建一個(gè)完整的防病毒體系己經(jīng)成為當(dāng)務(wù)之急，網(wǎng)絡(luò)防病毒軟件也應(yīng)運(yùn)而生。主要面向MAIL、Web服務(wù)器，以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對(duì)網(wǎng)絡(luò)、服務(wù)器和工作站的實(shí)時(shí)病毒監(jiān)控;能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個(gè)目標(biāo)的病毒防治情況;支持多種平臺(tái)的病毒防范;能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒;支持對(duì)Internet/ Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞;支持對(duì)電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒;支持對(duì)壓縮文件的病毒檢測(cè);支持廣泛的病毒處理選項(xiàng)，如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒，移出，重新命名等;支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個(gè)染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站的連接;提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能（聲音、圖像、電子郵件等）等。

為了保護(hù)網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。

3.結(jié)束語(yǔ)

在信息化時(shí)代，網(wǎng)絡(luò)的安全應(yīng)用是非常必要的，它將有效防止?jié)撛跀橙撕筒环ǚ肿拥钠茐?，有效保護(hù)企業(yè)機(jī)密，降低企業(yè)的辦公成本。網(wǎng)絡(luò)安全的發(fā)展過程中，我們必須更進(jìn)一步的開展企業(yè)信息安全應(yīng)用研究。

參考文獻(xiàn)：

[1]郭軍.網(wǎng)絡(luò)管理.北京：北京郵電大學(xué)出版社，2001

[2]勞幗齡.網(wǎng)絡(luò)安全與管理.北京：高等教育出版社，2003

[3]祁明.網(wǎng)絡(luò)安全與保密.北京：高等教育出版社，2001