中小企事業單位網絡安全解決方案

吳麗平　宋長青

摘要：信息化浪潮風起云涌的今天，各企事業單位網絡的建設已經成為提升其工作效率和服務質量的重要要求。然而，計算機信息和資源很容易遭到各方面的攻擊。如何采取各種有效措施確保網絡的安全是急需解決的重要問題。筆者根據多年從事網絡安全管理的經驗，提出了中小企事業單位網絡安全的一般解決方案，供大家參考。

關鍵詞：中小企事業單位；信息化；網絡安全；解決方案

當前，網絡安全問題主要來源于兩個方面：一方面來源于Internet，Internet給企事業網絡帶來成熟的應用技術的同時，也把固有的安全問題帶給了企事業網絡；另一方面來源于企事業內部，因為是內部網絡，主要針對企事業內部的人員和企事業內部的信息資源，因此，企事業網絡同時又面臨自身所特有的安全問題。網絡的開放性和共享性在方便了人們使用的同時，也使得網絡很容易遭受到攻擊，而攻擊的后果是嚴重的，諸如重要數據被人竊取、服務器不能提供服務等等。要想解決網絡的安全問題，我們就要從網絡的設計和使用兩方面著手進行分析處理。

1中小企事業單位網絡設計原則

由于所處行業不同，各企事業單位的網絡結構也存在著一定的差異。但總的來說，網絡的設計原則是一致的。

(1)實用性和經濟性，根據中小企事業單位的特點，網絡系統建設應始終貫徹面向應用、注重實效的方針，堅持實用、經濟的原則，建設企事業單位的網絡系統。

(2)先進性和成熟性。網絡系統設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟，不但能反映當今的先進水平，而且具有發展潛力，能保證在未來若干年內網絡仍占領先地位。

(3)可靠性和穩定性。在考慮技術先進性和開放性的同時，還應從系統結構、技術措施、設備性能、系統管理、廠商技術支持及維修能力等方面著手，確保系統運行的可靠和穩定，達到最大的平均無故障時間。

(4)安全性和保密性。在網絡系統設計中，既要考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統應分別針對不同的應用和不同的網絡通信環境，采取不同的安全措施，包括系統安全機制、數據存取的權限控制等。

(5)可擴展性和易維護性。為了適應系統變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統的擴展和維護，采用可網管產品，降低了人力資源的費用，提高網絡的易用性。

2網絡設計階段安全解決方案

網絡安全問題貫穿于網絡設計和使用階段。在網絡設計階段可采取的網絡安全措施主要有以下幾種：

(1)物理措施。加強對網絡關鍵設備(如交換機、路由器等)的保護，制定嚴格的網絡安全規章制度，采取防輻射、防火以及安裝不間斷電源(UPS)等措施，確保網絡關鍵設備的正常運行。

(2)網絡分段。目前，大多數中小企事業單位網絡采用以廣播為基礎的以太網，任何兩個節點之間的通信數據包，可以被處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。網絡分段就是將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。

(3)硬件防火墻技術。防火墻在網絡安全的實現當中扮演著重要的角色。防火墻通常位于企事業網絡的邊緣，這使得內部網絡與Internet之間或者與其他外部網絡互相隔離，并限制網絡互訪從而保護企業內部網絡。設置防火墻的目的都是為了在內部網與外部網之間設立唯一的通道，簡化網絡的安全管理。

(4)VLAN技術。選擇VLAN技術可較好地從鏈路層實施網絡安全保障。VLAN指通過交換設備在網絡的物理拓撲結構基礎上建立一個邏輯網絡，它依靠用戶的邏輯設定將原來物理上互連的一個局域網劃分為多個虛擬子網，劃分的依據可以是設備所連端口、用戶節點的MAC地址等。該技術能有效地控制網絡流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網絡的信息。

(5)硬件隔離設置。對于安全性能要求較高的終端，可采用硬件隔離技術，物理上徹底隔斷兩個網絡環境，針對不同安全級別網絡的需求，可采用終端級隔離、信道級隔離和網絡級隔離三種方案，確保信息的安全。

3影響網絡安全的幾種錯誤使用習慣

盡管在網絡設計階段我們采取了種種安全措施，但在使用過程中仍不可避免受到安全問題的困擾，這要從網絡具體使用人員的錯誤使用習慣說起。

(1)不恰當的密碼使用。密碼是最簡單的安全形式，如果密碼為空或者是過于簡單(如“123456”或者是“admin”)，未經授權的使用者可以很容易去瀏覽敏感數據。如果密碼中既包含字母也包含數字，并且既有大寫也有小寫，那么密碼就會更安全。還有一點值得注意的就是密碼要經常更換。

(2)忽視安全補丁。在你的操作系統中，大多數會存在著安全漏洞。沒有任何一種軟件是完美的，一旦一個缺陷或是漏洞被發現，經常就會在很短的一段時間內被黑客和惡意程序利用，對用戶產生巨大的危害。因此，盡快安裝安全補丁是必要的，也是必須的。

(3)不安裝殺毒軟件。沒有安裝殺毒軟件的計算機直接連在網絡上是不安全的。你的個人信息隨時都可能被黑客或者惡意程序所監控。因此，在使用網絡或是無線網卡聯網之前，要先裝上殺毒軟件。理論上來說，這種軟件應該包含病毒防護、間諜軟件掃描以及防止惡意軟件在后臺安裝程序等功能。安裝后及時升級病毒庫是很關鍵的。這樣能確保殺毒軟件監測到最新的病毒和惡意軟件，保證用戶的電腦可以更加安全地運行。

(4)不使用加密技術。儲存和傳遞未加密的數據等于是把這些數據公之于眾。在銀行業和信用卡中，加密技術尤為重要。

4網絡使用階段安全防范措施

以上幾種錯誤使用習慣經常出現的根本原因就是用戶缺少安全意識。未受網絡安全培訓的電腦使用者經常成為病毒、間諜軟件和網絡釣魚的受害者，是與他們缺少安全意識分不開的。對員工進行安全意識教育和網絡安全策略的培訓至關重要。大量的調查研究已經證實，內部的人員已經成為網絡安全的最大潛在威脅，因為他們擁有最大的訪問權限。除了這一點外，網管人員還應根據單位的實際情況，做好如下安全防范措施：

(1)IP地址與MAC綁定。加大網絡監管力度，嚴格控制本單位IP地址的分配，做好IP地址使用備案，做好IP地址與MAC地址的綁定，避免發生因個別計算機遭到ARP攻擊而造成整個網絡癱瘓的問題。

(2)訪問控制，對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如：進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網絡設備配置的權限，等等。

(3)補丁管理。不但要對操作系統打補丁，還要為應用程序打補丁。為所有的系統和第三方的應用程序制定慎密的安全計劃。管理員要清醒地知道，哪些計算機和軟件需要更新和升級。

(4)數據加密。加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。

(5)安裝網絡防病毒系統。及時升級病毒庫，定期對計算機進行查殺，防止病毒對系統安全造成破壞。

(6)無線網絡安全。設置接入密碼和用戶身份確認，設備在不使用時斷電。

5結束語

網絡安全是各企事業單位面臨的一個重要問題，它不僅取決于網絡管理人員的知識水平和所付出的辛勤勞動，更決定于主要領導的重視程度和網絡使用者的網絡安全意識以及使用習慣的好壞等。隨著網絡技術的發展，中小企事業單位所面臨的安全問題會進一步復雜化和深入化。如何保證企事業單位網絡的安全，是一個值得長期研究和付出努力的問題。