企業應用計算機的幾個問題

[摘 要] 網絡安全是網絡永恒的主題。任何企業、單位在建設網絡時都要考慮有關網絡安全的問題。

[關鍵詞]內網 外網 隔離

一、內網與外網

將系統進行分級管理，按工作性質的不同分成內網和外網，實行內網與外網嚴格的分離制度，內外網的管理也采用不同的方法。

在外網中，由于基本業務對網絡的實時性要求不是很高，同時往往接入互聯網，本身已存在相當大的安全隱患，可以在一定程度上允許系統存在宕機現象。采用部署網絡安全產品，IP地址管理，訪問權限控制，數據存儲管理等方法，在采用技術手段進行安全管理的同時采取一定的行政管理手段，制定相關的管理制度，在一定程度上保證系統的基本正常，達到安全投入與安全效果的平衡。

在內網中，運行著公司ERP系統，整個公司的業務都依賴于這個系統的安全平穩運行，這個系統的安全性也就被提升到最高的級別，系統的安全穩定運行成了信息中心最主要的責任，在有了責任的同時，也就有了相應的權利，所有的不合理的要求，都以保證系統安全為理由回絕。

在系統中所有的可以進行文件交換的計算機都得到控制，無授權的計算機，不安裝光驅、軟驅、USB等設備的計算機不能訪問互聯網，授權的計算機在進行文件交換過程中也要嚴格按操作流程進行，同時也防止了信息流失的可能，保證了信息的安全，行政管理手段在內網的管理中起到了主要的作用。

1. 雙網隔離。為保證網絡安全，內部網絡與外部網絡完全隔離是最安全的策略。雙網隔離技術就是采取內部網與Internet網完全物理隔離的方式來實現內部網絡相對安全的一種技術。

雙網隔離的實現分為以下兩個方面:

(1) 結構化綜合布線。布線是實現網絡連接的第一步，要實現雙網的完全隔離就必須敷設兩套網線，每套網線分別與內網核心交換機、公眾信息網交換機連接，并通過相應的網絡安全設備實現網絡內部的安全。也就是說，在網絡客戶端部分有兩個網絡接口，以實現終端計算機分別對兩個完全隔離網絡訪問。

(2) 終端計算機。僅有完全隔離的網絡是不足以實現雙網隔離的，還要有完全隔離的計算機。當然采用兩臺計算機分別與兩套布線系紡相連可以實現雙網隔離，但是任何技術的推廣都離不開實現該技術的成本問題，顯然兩臺計算機的成本要高于一臺。

通過共享一臺雙網隔離計算機的方式，可以很好地解決這個問題。雙網隔離計算機就是一臺電腦中裝配兩塊硬盤(或一塊硬盤的不同物理分區)，電腦運行時只有一塊硬盤(或一個物理分區)加電運行而另一塊硬盤(或一個物理分區)并不工作，通過切換開關和電腦的重新啟動來實現不同硬盤(或物理分區)上數據的物理隔離，這樣既保護了投資又實現了雙網的完全隔離。

2. 安全設備。保證網絡安全的主要設備包括:路由器、防火墻和代理服務器。通過客觀存在的組合，可以建立一道安全屏障，并對網絡內部提供必要的保護。由于它們本身及相互組合所提供的安全級別不同，所需要的成本不同，便有了不同的安全防范方案。

3. 高級別安全防范。路由器的訪問控制列表(ACL)對訪問數據流進行初步檢測，只允許合法數據流進人，對內部網提供了基本的安全保障。如:對私有IP地址的過濾，對蒙騙IP地址的過濾，對網絡探測數據流的過濾等。

防火墻對經過路由器過濾后的有效數據流進行進一步檢查，提供更加細化的安全措施和更強大的處理能力。防火墻的訪問控制列表(ACL)可以提供對進入的數據流進行有效控制，禁止非法數據流進人內網;防止自己內部網的用戶非法訪問和攻擊外網的計算機;針對某一IP地址或MAC地址進行訪問控制等功能。防火墻實現了切實的安全控制，為網絡提供了更強大的保護。

二、一般級別的安全防范

在網絡對安全要求不高的情況下通常采用一般級別的安全防范，所花費的費用也比較低。采用路由器或代理服務器就可滿足要求，當然資金允許的條件下采用防火墻可以提供更佳的安全性能。

1. 費用第一型。采用代理服務器是最經濟的安全措施，盡管它只提供基本的安全防范措施，但它以物美價廉吸引了大量的用戶。高性能服務器或PC機作為代理服務器使用時，只需添加一塊網卡和相應的成本。當然一定要在對安全要求較低的情況下使用，否則會得不償失。

2. 普通型。采取路由器可以提供較好的安全防范措施，路由器除了具有路由功能外，還可提供大部分的安全防范措施。在與Internet連接時，如果網絡服務供應商(ISP)提供的是DDN接入，則只能用路由器作為接人設備;在預留有備份線路接人Internet時，也只能采用路由器; Internet上用戶利用VPN技術需要拔入網絡時，只能用路由器。總之路由器的功能是很全面的，是其它設備所無法代替的。有特殊要求時選用路由器是合適的方案。

3. 安全第一型。防火墻是專業的安全防范設備，可以應對各種網絡人侵行為，對網絡提供高級別的安全方案。對于“安全第一”的用戶需要，是合適的選擇。當然也可以與路由器配合使用。

4. 其它方面的安全考慮。結構化綜合布線和網絡安全設備提供了網絡的物理結構安全，但同時還要保證網絡中服務器等應用設備的安全運行，這樣才能提供真正安全的網絡。

核心數據庫的安全、高效運行可通過雙機勢備或網絡負截平衡不保證，盡管費用較高相對于安全而言這樣的費用是值得的，該技術的合理性便它得到了廣泛地應用和推廣。

計算機病毒防范、災難恢復、環境安全(機房防火、防靜電、通風等)、媒體安全(磁帶等)、不間斷電源供應等等方面，盡管相對來說沒有雙網隔離和網絡安全設備那么重要，但同樣不應當忽略。

三、結束語

網絡安全是網絡永恒的主題。任何網絡都不是絕對安全的。威脅可以來自各個方面，甚至包括自己網絡內部，尋求絕對安全的網絡是不現實的，只有相對安全的網絡才是真實的;同樣現在安全的網絡，不等于將來也安全，所以探索是沒有盡頭的，應當不斷地探索、更新，尋求更好的網絡安全技術。