企業(yè)網絡規(guī)劃及安全管理研究

（中國石油吐哈油田分公司信息技術公司，新疆 哈密 839009）

0 引言

信息時代背景下，不少企業(yè)都有專屬的服務器、門戶網站以及各類服務系統(tǒng)。企業(yè)辦公已逐漸脫離紙質文檔，不少報表、檔案都以數據形式留存于企業(yè)服務器。企業(yè)網絡建設已經與企業(yè)的發(fā)展息息相關。但是，隨著企業(yè)的壯大、企業(yè)網絡使用者的增多，網絡系統(tǒng)的負荷隨之加重，不少網絡問題也隨之產生，其中網絡安全問題尤其嚴重。由此可見，為促進企業(yè)的健康發(fā)展，在進行信息化建設時，企業(yè)應該針對自身需求合理地進行網絡規(guī)劃與網絡安全管理。本文將對如何規(guī)劃企業(yè)網絡、增強企業(yè)網絡安全防護進行深入分析。

1 企業(yè)網絡規(guī)劃及安全管理現狀

目前，許多企業(yè)的網絡建設并不到位，公司的網絡平臺十分落后。很多企業(yè)內部并沒有對自己的主干網絡進行虛擬局域網（Virtual Local Area Network）劃分，企業(yè)個人計算機（Personal Computer，PC）可以隨意訪問服務器，使得網絡系統(tǒng)負荷過重，數據傳輸速度過慢。一旦出現網絡問題，網絡管理人員很難進行定位排查，難以把控網絡風險。除此之外，多數企業(yè)并沒有采取相應的網絡安全防護手段，沒有配備統(tǒng)一的防毒軟件，也沒有設置防火墻、虛擬專用網絡（Virtual Private Network，VPN），很容易遭受病毒、黑客攻擊。多數企業(yè)的網絡規(guī)劃狀況與網絡安全狀況堪憂。

2 企業(yè)網絡構建需求

基于企業(yè)的構成情況，一般來說，企業(yè)網絡的構建需要滿足以下幾個需求。首先，企業(yè)內部要能夠訪問互聯網；其次，各個部門需要有專屬于自己部門的局域網，實現部門內部數據共享，限制其他部門訪問；再次，還需要注意網絡帶寬的使用率，保證數據傳輸速度；最后，需要確保網絡環(huán)境穩(wěn)定、安全，以攔截計算機病毒，阻截黑客攻擊，以此來減少企業(yè)經濟損失。

3 企業(yè)網絡安全規(guī)劃實施

3.1 企業(yè)網絡規(guī)劃部署

3.1.1 選擇組網模式

對于中型企業(yè)和大型企業(yè)而言，人數較多，組織結構復雜，需要傳輸的數據也更多。若所有用戶都處在同一個廣域網下，網絡性能將會降低。所以，為提高數據的傳輸效率，大中型企業(yè)通常采用的是路由器與交換機組合的網絡模式。路由器是一種網關設備，工作于開放式系統(tǒng)互聯通信參考模型（Open System Interconnection，OSI）的第三層，可以連接任意兩種不同網絡，還能通過不同的網際互連協議（Internet Protocol，IP）地址來轉發(fā)數據。交換機是一種信號轉發(fā)設備，工作于OSI 網絡模型的第二層，可以為連接該交換機的兩個節(jié)點構建專屬的信號通道。簡言之，路由器能決定數據的最終去向，交換機則能決定接入網絡的終端數量。路由器與交換機結合使用，即利用路由器連接內外網、劃分子網，再用交換機來連接不同的終端PC。

3.1.2 VLAN 規(guī)劃與子網劃分

Internet組織機構定義了五種IP地址，用于主機的有A、B、C三類地址［1］。其中每一類網絡都可能擁有上千萬臺主機，若是讓數千萬臺主機處于同一廣播域，將會引起廣播風暴，造成網絡故障與IP 地址的資源浪費。所以，為了提高企業(yè)主機地址的利用率，在進行網絡規(guī)劃時需要注意VLAN 的規(guī)劃與子網的劃分。VLAN 作用于OSI 結構的第二層數據鏈路層，可不受用戶物理位置的影響而對用戶進行網絡分段，讓不同物理位置的用戶也能在邏輯上處于同一個網段。除此之外，VLAN 可以通過減小廣播域范圍，提高帶寬利用率。將多臺設備劃分在同一個VLAN，能將廣播信息的傳播限制在VLAN 內，縮減廣播域范圍，減少無意義的廣播流量，解決廣播流量大的問題。IP 子網劃分作用于OSI 結構的第三層網絡層，能對網絡進行隔離，通過子網劃分可以使不同網段的設備無法直接通信。在進行網絡規(guī)劃時，合理地規(guī)劃VLAN、劃分子網，能實現各部門間的網絡隔離,在保證共有資源共享的同時，提升各部門私有數據的保密性。

3.1.3 規(guī)劃IP 地址

IP 是電腦互通的基礎，合理地分配IP 能提高員工的工作效率，也能增強企業(yè)的信息化管理。IP 地址的分配主要分為靜態(tài)分配和動態(tài)分配兩種，選擇哪一種分配方式取決于企業(yè)的規(guī)模大小。對于網絡結構簡單、PC 數量少的企業(yè)可以采用靜態(tài)地址分配，采用靜態(tài)分配可以固定IP，將IP 與MAC 地址綁定能快速定位出錯的電腦，減少后期維護的工作量。但對于網絡結構復雜，PC 數量較多的企業(yè)，采用靜態(tài)分配方式則是十分不明智的。因為，對大型企業(yè)而言，手動鍵入IP 地址的工作量將會十分大。此外，如果將每一臺PC 的物理地址都綁定到交換機的端口上，公共辦公區(qū)的網口的管理任務將變得十分艱巨。因此，中型、大型企業(yè)更適合采用DHCP，動態(tài)分配IP。相對于靜態(tài)分配地址而言，動態(tài)分配能提高IP 資源利用率，當一臺主機不再使用這個IP 后，便可釋放這個地址，讓其他主機進行使用，有效地節(jié)約有限的IP 地址資源。值得一提的是，無論采用何種方式進行IP 地址的分配，都應遵循以下4 個原則。①唯一性：同一網絡中一個IP 地址只能對應一臺主機。②可擴展性：在進行地址分配時需留出多余的位置，以方便后期擴展。③連續(xù)性：分配的地址應保持連續(xù)性。④實意性：即能讓人一眼看出該地址的使用部門。

3.2 網絡安全保護措施

3.2.1 加強病毒防范

企業(yè)網絡的頭號敵人便是計算機病毒。當前，各類計算機病毒層出不窮，不少企業(yè)都因計算機病毒的損害而遭受了巨大的經濟損失。根據病毒依附的媒體類型的不同，可將計算機病毒大致分為網絡病毒、文件型病毒以及引導型病毒3 類。顧名思義，網絡病毒即通過計算機網絡來感染計算機文件的病毒，常見的網絡病毒通常是通過未知安全性的網絡鏈接來對訪問者電腦進行感染。對待這類病毒，可以采用病毒防治技術，不瀏覽未知的網站、不閱讀不安全的郵件。文件型病毒，會先感染.EXE文件和.com 文件，一旦用戶運行了被感染的文件，計算機便會中毒。所以，針對文件型病毒需要對未知應用做到“先查殺、再運行”。引導型病毒，寄生于磁盤引導區(qū)或主引導區(qū)，可以在引導系統(tǒng)的過程中入侵系統(tǒng)。對待這類病毒可以給企業(yè)所有計算機統(tǒng)一安裝殺毒軟件，如360 安全殺毒、金山毒霸、火絨安全軟件等。除對病毒進行查殺外，企業(yè)還應該建立統(tǒng)一分級管理病毒的管理體系，用來存儲網絡病毒事件［2］。

3.2.2 合理利用VPN 技術

VPN 指將分布在不同物理區(qū)域上的網絡通過公用骨干網連接起來而形成的邏輯上的虛擬專用網［3］。目前，VPN 主要采用4 項技術來保證安全，這4 項技術分別是隧道技術、加/解密技術、密鑰管理技術、使用者與設備身份認證技術。其中，隧道技術能夠將來源地址不同的數據重新組裝后從同一個設備的不同隧道傳輸出去；加/解密技術能夠讓用戶直接對加密文件進行操作；密鑰管理技術則用于解決密鑰從產生到消失這一過程中的相關問題，比如，系統(tǒng)的初始化，密鑰的生成、保存、分配以及后續(xù)對密鑰的管理與備份；使用者與設備身份認證技術則是通過用戶在計算機中建立的用戶信息來識別用戶身份的一種手段。VPN 能夠使用外網訪問內部服務器，所以使用VPN 能夠在異地訪問公司服務器，方便員工異地辦公。除此之外，基于VPN 的安全技術防護，使用VPN 能夠保障數據傳輸的安全，提高服務質量。

3.2.3 使用防火墻技術

顧名思義，防火墻就是防止外來者非法訪問的一堵“墻”，其處于內部網絡和外部網絡之間，可將內部私有網絡和外部公眾訪問網絡分隔開，是一種用于控制兩個網絡間通信的技術手段。防火墻可以根據運作環(huán)境的不同分為網絡層防火墻和應用層防火墻兩類。其中，網絡層防火墻是典型的包過濾防火墻，能對各類IP、網段、目標端口、網絡協議進行過濾，從而對進入網絡的數據進行篩選。應用層防火墻則能夠檢測應用程序的信息流，通過對進出某個應用程序的所有封包進行監(jiān)測，來阻止信息流中的惡意軟件、間諜軟件所攜帶的惡意代碼。

3.2.4 增強入侵檢測

與防火墻技術的被動防守不同，入侵檢測技術能夠通過對網絡中的特殊節(jié)點信息的收集、分析和處理，判斷出網絡是否被攻擊，還能通過對系統(tǒng)的各個數據指標進行監(jiān)控來預測各種攻擊可能帶來的結果，從而主動進行防護。根據檢測對象的不同，入侵檢測可以分為基于主機的入侵檢測、基于網絡的入侵檢測以及混合型入侵檢測3 類。其中，基于主機的入侵檢測，能通過對計算機操作系統(tǒng)的事務日志、系統(tǒng)調用等進行監(jiān)管、分析，來判斷系統(tǒng)是否遭遇攻擊，以此來決定是否進行自我防御，主要防護的是計算機主機?；诰W絡的入侵檢測，能根據對網絡上的數據包的分析處理結果，來決定是否開啟防御機制，主要保護的是整個網段。前面兩種入侵檢測皆不夠全面，各有欠缺，于是混合型入侵檢測應運而生?；旌闲腿肭謾z測既能發(fā)現來自網絡中的攻擊，又能通過分析系統(tǒng)日志發(fā)現異常情況。

3.2.5 加強網絡安全管理

“七分靠管理，三分靠技術”，要保證網絡的安全，并不能只依靠技術，管理也非常重要［4］，所以除使用安全技術外，還需要對員工的網絡使用情況進行規(guī)范管理。建立完善的安全管理制度能夠有效地對員工行為進行約束，比如，要求員工合理使用企業(yè)計算機、不讓非企業(yè)人員進入機房等。加強對網絡安全的管理能減少計算機中毒概率，降低企業(yè)關鍵信息泄露的可能性，以此有效保證企業(yè)網絡的安全性［5］。

4 結語

做好企業(yè)網絡規(guī)劃、增強企業(yè)網絡安全管理是促進企業(yè)信息化的關鍵。合理地做好網絡規(guī)劃，能有效地對整個企業(yè)的所有電腦進行管理，提高數據傳輸速度，從而提高員工工作效率。增強企業(yè)網絡安全管理，能盡可能避免企業(yè)內部信息泄露，使企業(yè)安全、健康發(fā)展。