中小型企業組網安全策略的研究

摘 要:Internet的日漸普及，讓網絡開始融入到人們的生活中，與此同時網絡信息資源的安全也更被大家所關注。在中小型企業中，網絡作為支撐各種業務的基礎設施之一，其安全性在企業運營過程中有著至關重要的地位。本文從中小型企業組網現狀出發，重點討論組網安全性策略，并通過對溫州成功鞋業有限責任公司組網策略中存在的安全漏洞進行分析，結合現下中小型企業普遍存在的組網安全問題，提出一套組網過程中安全防護策略和后期網絡維護的具體措施。

關鍵詞:中小企業 網絡 安全策略 服務器 VLAN 帶寬

中圖分類號:TP3\t\t\t文獻標識碼:A\t\t\t文章編號:1672-3791(2011)10(a)-0178-01

隨著網絡技術的日益發展，企業各項業務進一步電子化，網絡化。然而，網絡在帶來各種便利的同時，企業也將面臨網絡應用帶拉的各種危險，包括病毒、木馬、垃圾郵件、間諜軟件等。中小企業流動資金相對缺乏、缺乏網絡專業維護人員的配備，導致在組網過程中資金投入不足，網絡組建后可用性差、回報率低;另一方面，中小企業內部的職能會存在一定程度上的交叉，部門的組織結構短小，層次單一，導致很多安全措施難以到位[1]。因此，中小企業無法采用大型企業已有的組網過程中的安全策略。本文從中小型企業組網現狀出發，重點討論組網安全性策略，并通過對溫州成功鞋業有限責任公司組網策略中存在的安全漏洞進行分析，結合現下中小型企業普遍存在的組網安全問題，提出一套組網過程中安全防護策略和后期網絡維護的具體措施。

1 中小型企業組網安全策略的分析

1.1 中小型企業組網現狀

企業信息化的不斷推進，越來越多的中小型企業開始通過以組建自己的網絡環境，使用高效的辦公軟件，來提高企業的知名度和市場競爭力。然而，隨之而來的除了高效的業務處理速度，還有許多網絡安全問題。中小型企業規模較小，辦公模式多為本地運行，所以其網絡基本上由一個網絡中心構成，這使得中小企業網絡簡單化，便于網絡管理。但許多現行的中小企業的組網過程中由于缺乏專業的網絡技術人員，在安全的防御措施上只依賴于防火墻單一層次上的防御等級，不具備全面性和補救性。此外，很多中小企業在組建網絡后，普遍存在使用不便、安全性低、可維護性低等不足。這不僅對企業的利益造成損害，甚至影響了企業的日常業務。

1.2 中小企業網絡安全需求分析

根據對中小型企業組網現狀的分析，網絡防御措施及日常維護運用是當前中小企業組網安全性面臨的主要問題，因此，我們需要在針對中小企業組網時考慮以下需求:(1)企業網絡在防止外部用戶訪問公司網站的同時，需保證企業內部數據庫數據的安全;(2)當企業網絡內部出現病毒或木馬、收到惡意郵件等網絡危機時，網絡系統能實時控制其傳播，保證企業利益損失最小;(3)在日常應用中，系統能夠進行網絡流量的分配和監控，即使在網絡負荷達到巔峰期時也能保證網絡的通暢、防止網絡崩潰;(4)中小企業網絡投入資金有限，要控制成本，實現利益最大化。

1.3 策略

根據以上需求，結合現下中小企業網絡所存在的普遍問題，我們分析得出中小企業在組網用網過程中的安全性若干策略。

(1)購買企業版防火墻，同時采用WEB服務器和數據服務器相結合的方式，實現雙層防護保證數據服務器讀取信息的安全性，在資金充裕的情況下，酌情購買備份服務器，提高數據的可恢復性[2]。

(2)使用交換機根據部門不同配置好虛擬局域網，各網段之間通過權限的控制防止數據的泄密和病毒、木馬的傳播[3]。

(3)使用服務器對各網段采用網絡限速，一個網段使用共享帶寬，設置該網段可通行最大流量，最大帶寬總和不超過接入帶寬的一半，從而能夠在網絡高峰期保證有空余網段進行網絡連接和分配。

(4)為控制成本，根據企業規模，WEB服務器、數據服務器和交換器可采用購買加租借模式。

2 工程實踐

2.1 案例

溫州成功鞋業有限責任公司是一家中小型規模的企業，組建有企業SOHO網。該企業現的設備有:核心交換機CISCO 4503，接入交換機CISCO 2950，路由器CISCO 2621，防火墻NOKIA IP350;現有網絡基礎為擁有一個公網IP和10M帶寬的接入，一臺CISCO路由器、WEB服務器、文件服務器、FTP服務器等，客戶端辦公電腦100臺左右，多部門劃分VLAN，用ACL控制各部門訪問權限，并配置了網絡打印機。其中，路由器配置快速接入子接口1、2，設置為全雙工自適應端口，速度設置為自動，并指定為連接網絡的內部端口，不自動關機;Core switch配置VTP為服務器模式，設置交換機為服務器模式;配置ACL應用在各個部門VLAN接口上，控制各部門互訪，封掉常見病毒端口。

此外，該企業現有網絡安全措施有:(1)購買了NOKIA IP350防火墻，在病毒、木馬由外網進入后，受到路由器和防火墻的雙層攔截才進入接入交換機，具有不錯的防護效果;(2)使用VTP協議把接入交換機配置為服務器，可以方便的對VLAN進行刪改、安全維護，從可控性方面提高了VLAN的安全性;(3)設置多個服務器，防止一個服務器崩潰后其他項網絡服務不可用，提升網絡使用的可靠性;(4)依據部門劃分多個VLAN，有效控制各種病毒、木馬的傳播和擴散在網段間的傳播，提升內部網段的安全性。

2.2 分析與完善措施

但根據我們提出的安全策略，該企業的組網安全策略中還存在一些不足，我們依照前面策略，對其進行調整。

第一，從網絡設備上來看，該企業在服務器上只購買了必須的3臺服務器，沒有備份的服務器，這里就容易出現當服務器崩潰后只能等專業人員來修復，期間許多工作就不能正常開展，在資金允許的情況下應配置臨時應急備份服務器。

第二，在路由器配置上，該企業并沒有進行路由器的QOS設置，其速度為自動，這就容易導致在網絡使用高峰期時網絡崩潰。我們對路由器進行QOS設置，由于該企業接入帶寬為10M，最多同時有100臺機子在運行，這里可將網絡的峰值使用量控制在5000Kbps，保證網絡的通暢。

3 結語

本文針對中小企業組網用網過程中普遍存在的基本現象及中小企業信息化對網絡安全性的需求，提出了一套適用于中小企業的網絡安全性策略，并依托溫州成功鞋業有限責任公司組網的實際情況進行了策略的實施，結果證明了其有效性。由于時間和條件的限制，本文未在更多企業進行策略驗證，今后我們將深入調研，進一步完善針對中小型企業的安全性策略。

參考文獻

[1]\t王炯.中小企業組網安全整體分析[J].互聯網天地，2007(5):48～49.

[2]\t楊風暴.計算機網絡教程[M].北京:國防工業出版社，2006.

[3]\t劉靜.虛擬局域網的功能與作用[J].通信企業管理，1998(11):59.