網(wǎng)絡(luò)安全技術(shù)及策略在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

梁錦銳（南寧職業(yè)技術(shù)學(xué)院，廣西 南寧 530003）

網(wǎng)絡(luò)安全技術(shù)及策略在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

梁錦銳
（南寧職業(yè)技術(shù)學(xué)院，廣西 南寧 530003）

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用越來(lái)越普及，許多中小企業(yè)也都建立了自己的網(wǎng)絡(luò)系統(tǒng)，并在企業(yè)信息化建設(shè)中起到了非常重要的作用。但是，因?yàn)槭艿浆F(xiàn)有企業(yè)條件和信息技術(shù)力量的限制，以及計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性，互聯(lián)網(wǎng)帶來(lái)的蠕蟲(chóng)、木馬、釣魚(yú)網(wǎng)站等各種攻擊方式對(duì)企業(yè)網(wǎng)絡(luò)的安全產(chǎn)生了嚴(yán)重威脅。文章以某酒店網(wǎng)絡(luò)為例對(duì)企業(yè)網(wǎng)絡(luò)安全存在的問(wèn)題進(jìn)行分析，并提出具有針對(duì)性的安全防范策略。

企業(yè)網(wǎng)絡(luò)；安全技術(shù)；防火墻；訪問(wèn)控制

隨著互聯(lián)網(wǎng)的飛速發(fā)展，許多企業(yè)都依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)網(wǎng)絡(luò)來(lái)提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。然而，隨著企業(yè)的發(fā)展和擴(kuò)充，企業(yè)網(wǎng)絡(luò)需要處理的數(shù)據(jù)負(fù)載日趨增加，如何有效簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維、降低網(wǎng)絡(luò)運(yùn)維成本，如何保證企業(yè)的信息安全，是企業(yè)網(wǎng)絡(luò)首要解決的問(wèn)題。

1 企業(yè)網(wǎng)絡(luò)的安全隱患

隨著企業(yè)的信息化熱潮快速興起，由于企業(yè)信息化投入不足、缺乏高水平的軟硬件專(zhuān)業(yè)人才、以及企業(yè)員工安全意識(shí)淡薄等多種原因，網(wǎng)絡(luò)安全也成了中小企業(yè)必須重視并加以有效防范的問(wèn)題。

1.1 病毒和黑客安全隱患

網(wǎng)絡(luò)硬件和軟件上存在的漏洞，使企業(yè)的信息安全狀況進(jìn)一步惡化。病毒破壞并感染計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)問(wèn)題比較嚴(yán)重。網(wǎng)絡(luò)黑客攻擊也對(duì)企業(yè)網(wǎng)絡(luò)形成重要威脅。

1.2 軟件本身的安全漏洞隱患

某酒店網(wǎng)絡(luò)中的軟件主要是操作系統(tǒng)和酒店管理系統(tǒng)等軟件，操作系統(tǒng)主要選用Windows系統(tǒng)，Windows系統(tǒng)的安全漏洞比較多，此外酒店管理人員安全防范意識(shí)淡薄，系統(tǒng)的登錄密碼過(guò)于簡(jiǎn)單，也導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生。

1.3 網(wǎng)絡(luò)管理漏洞帶來(lái)的安全隱患

由于酒店沒(méi)有專(zhuān)職的網(wǎng)絡(luò)管理人員，對(duì)酒店內(nèi)部員工的權(quán)限設(shè)置不合理，也沒(méi)有及時(shí)處理離職員工的賬號(hào)，這些也給企業(yè)網(wǎng)絡(luò)帶來(lái)了安全隱患。

1.4 文件共享和用戶權(quán)限安全隱患

在酒店內(nèi)部，打印機(jī)和有些文件是需要共享給所有或部分用戶的，但這些共享權(quán)限配置不適當(dāng)，也可能給企業(yè)網(wǎng)絡(luò)帶來(lái)安全隱患。

2 企業(yè)網(wǎng)絡(luò)安全解決方案

2.1 優(yōu)化網(wǎng)絡(luò)拓樸

企業(yè)網(wǎng)絡(luò)中，應(yīng)當(dāng)做到內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全隔離，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 某酒店網(wǎng)絡(luò)拓樸圖

利用防火墻實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全隔離，不允許企業(yè)內(nèi)部用戶從自己的電腦上通過(guò)撥號(hào)上網(wǎng)。酒店員工和用戶要想連接外部網(wǎng)絡(luò)必須通過(guò)企業(yè)防火墻的過(guò)濾與監(jiān)控。同時(shí)在企業(yè)網(wǎng)絡(luò)中劃分DMZ非軍事區(qū)，把企業(yè)對(duì)外孤服務(wù)器放在在非軍事區(qū)，而內(nèi)部服務(wù)器則通過(guò)防火墻與外網(wǎng)隔離。這樣不僅能夠在企業(yè)網(wǎng)絡(luò)中對(duì)訪問(wèn)權(quán)限進(jìn)行控制，還可以過(guò)濾進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，防止內(nèi)部信息泄漏，最大限度保證企業(yè)信息數(shù)據(jù)的安全。

防火墻可以攔截不需要的流量，如準(zhǔn)備感染帶有特定弱點(diǎn)的計(jì)算機(jī)的蠕蟲(chóng)；另外防火墻還可以提供其它服務(wù)，如電子郵件防病毒、反垃圾郵件過(guò)濾、內(nèi)容過(guò)濾、安全無(wú)線接入點(diǎn)選項(xiàng)等等。

2.2 內(nèi)網(wǎng)系統(tǒng)安全

對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決，但是對(duì)于網(wǎng)絡(luò)內(nèi)部的入侵則無(wú)能為力。解決辦法是從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動(dòng)防御能力，強(qiáng)制檢查用戶終端的病毒庫(kù)和系統(tǒng)補(bǔ)丁信息，降低病毒和蠕蟲(chóng)蔓延的風(fēng)險(xiǎn)，同時(shí)強(qiáng)制實(shí)施網(wǎng)絡(luò)接入用戶的安全策略，阻止來(lái)自企業(yè)內(nèi)部的安全威脅。同時(shí)防止賓客自帶電腦攜帶病毒，威脅酒店網(wǎng)絡(luò)；通過(guò)客房間端口隔離，客房網(wǎng)與辦公網(wǎng)、服務(wù)器區(qū)隔離，ACL訪問(wèn)控制等，確保企業(yè)網(wǎng)絡(luò)安全。

2.3 防范網(wǎng)絡(luò)病毒

在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散加快，為避免數(shù)據(jù)被病毒破壞，可以在企業(yè)網(wǎng)絡(luò)中完善病毒防御體系，采用網(wǎng)絡(luò)版的殺毒軟件，針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件，并且定期或不定期更新病毒庫(kù)，使網(wǎng)絡(luò)免受病毒侵襲。

此外，在下載文件時(shí)要注意其出處，盡量到大的、可信站點(diǎn)下載，以免受到木馬程序或數(shù)病毒的攻擊。

2.4 建立完善的身份認(rèn)證體系

在企業(yè)網(wǎng)絡(luò)系統(tǒng)中，對(duì)不同的員工設(shè)置不同的訪問(wèn)權(quán)限，盡量減少有遠(yuǎn)程訪問(wèn)權(quán)限的用戶，并且使用先進(jìn)的加密與身份認(rèn)證手段來(lái)實(shí)現(xiàn)遠(yuǎn)程用戶的連接。在酒店內(nèi)部，當(dāng)員工向自己的客戶或供應(yīng)商發(fā)送關(guān)鍵郵件時(shí)，要使用郵件加密和數(shù)字簽名等手段，以確保數(shù)據(jù)傳輸?shù)陌踩?。同時(shí)不允許員工在工作中通過(guò)QQ或MSN向外發(fā)送數(shù)據(jù)。

對(duì)于暫停使用的員工賬戶，網(wǎng)絡(luò)管理員要立即禁用。對(duì)于已離開(kāi)公司的員工的賬戶一定要及時(shí)注銷(xiāo)或者刪除。內(nèi)、外網(wǎng)用戶的訪問(wèn)控制必須有適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制，對(duì)外網(wǎng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)活動(dòng)應(yīng)及時(shí)監(jiān)控。

2.5 堵住系統(tǒng)安全漏洞

操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的漏洞可能讓攻擊者取得系統(tǒng)權(quán)限，例如，IIS的漏洞，MS SQL Server的漏洞和Oracle的漏洞等。同時(shí)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等的弱密碼策略也是系統(tǒng)的巨大安全隱患，所以也必須加強(qiáng)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的密碼管理，提高密碼的復(fù)雜性。及時(shí)打上各種操作系統(tǒng)的補(bǔ)丁，堵住一系列的安全漏洞，同時(shí)加強(qiáng)在系統(tǒng)及企業(yè)信息安全方面的管理，保持對(duì)服務(wù)器和所有工作系統(tǒng)及時(shí)更新，以及時(shí)堵住黑客入侵、攻擊的途徑。

在數(shù)據(jù)的保護(hù)方面應(yīng)該采用數(shù)據(jù)備份與災(zāi)難恢復(fù)體系，根據(jù)企業(yè)的需求采用相應(yīng)的數(shù)據(jù)備份策略，為關(guān)鍵應(yīng)用提供在線的熱備份系統(tǒng)，如果要求很高還應(yīng)當(dāng)考慮采用異地容災(zāi)體系。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)結(jié)合在一起，與科學(xué)的網(wǎng)絡(luò)管理結(jié)合在一起，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

[1] 李武剛.網(wǎng)絡(luò)安全技術(shù)及策略在校園中的應(yīng)用研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014(19):177-178.

[2] 辛皓煒.校園網(wǎng)中網(wǎng)絡(luò)安全技術(shù)及策略的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(5):91.

[3] 傅明娣.當(dāng)今網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀及策略分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(9):15-16.

[4] 張國(guó)亮.論網(wǎng)絡(luò)安全技術(shù)及策略在數(shù)字化校園中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(7):91-92.

[5] 王殿超.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及網(wǎng)絡(luò)安全技術(shù)策略分析[J].科技風(fēng),2016(7):111.

[6] 宋大偉,馬鳳娟.網(wǎng)絡(luò)安全技術(shù)及策略在校園網(wǎng)中的應(yīng)用研究[J].信息通信,2014(8):133-134.

[7] 吳燕.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與技術(shù)管理策略分析[J].電腦編程技巧與維護(hù),2016(5):90.

[8] 劉建宇.計(jì)算機(jī)網(wǎng)絡(luò)安全及其防范技術(shù)策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(6):151.

Network security technology and strategy in the enterprise network application

In recent years, with the rapid development of computer network technology, network application is more and more popular, many small and medium-sized enterprises have established their own network system, and in the construction of enterprise information has played a very important role. However, because under the existing conditions of enterprises and the limitation of information technology, as well as the openness of the computer network, the Internet worms, trojans, phishing and other attacks has a serious threat to the safety of the enterprise network, based on a hotel network as an example to the enterprise network security analysis of existing problems, and put forward targeted security strategy. In recent years, with the rapid development of computer network technology, network application is more and more popular, many small and medium-sized enterprises have established their own network system, and in the construction of enterprise information has played a very important role. However, because under the existing conditions of enterprises and the limitation of information technology, as well as the openness of the computer network, the Internet worms, trojans, phishing and other attacks has a serious threat to the safety of the enterprise network, based on a hotel network as an example to the enterprise network security analysis of existing problems, and put forward targeted security strategy.

enterprise networks; security technology; firewall; access control

TP393.08

A

1008-1151(2016)11-0001-02

2016-10-12

梁錦銳（1964－），女，廣西桂平人，南寧職業(yè)技術(shù)學(xué)院信息工程學(xué)院副教授，研究方向?yàn)榫W(wǎng)絡(luò)技術(shù)。