淺析中小企業計算機網絡安全及防范

馬秋弘

（天水風動機械有限公司，甘肅天水741020）

隨著互聯網的迅速發展和計算機網絡應用在各行業的深入滲透，大多數中小企業構建了自己的計算機網絡，以適應新時期的競爭要求。受資金、技術等方面限制，中小企業無力購買昂貴的整體安全防御系統，網絡容易遭到非法入侵和未經授權的存取或破壞，造成數據丟失、系統崩潰等問題。如何采取有效手段和防護措施確保計算機網絡安全已成為當前備受關注的問題。

1 計算機網絡安全的定義

計算機網絡安全是指利用網絡管理控制和技術措施使計算機網絡系統的硬件、軟件及系統中的數據受到保護，不受偶然的或惡意的破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。計算機網絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

2 中小企業計算機網絡安全問題

（1）計算機病毒泛濫，傳播方式多種多樣，其中以“木馬”和“蠕蟲”病毒最令人頭痛。病毒通過移動存儲設備（如U盤）、局域網傳播，也可以在上網過程中被掛“木馬”網站感染。同時，計算機的安全軟件更新速度慢，絕大多數情況是在病毒已經感染擴散后，安全軟件才更新相關病毒數據庫并采取殺毒措施。因此，病毒往往防不勝防。

（2）防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。

防火墻可以限制外部計算機網絡到內部計算機網絡的訪問，卻難以防范計算機網絡內部的攻擊和病毒的侵犯。比如病毒可以通過移動存儲設備在局域網中傳播，根本不必通過外網。隨著技術的發展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。

（3）安全工具的使用受到人為因素的影響，能不能實現預期效果，很大程度上取決于使用者(包括管理員和用戶)的操作，不正當的設置和使用產生不安全因素。

（4）員工用計算機工作、上網，對計算機網絡安全基本沒有概念，安全意識薄弱。在上網過程中往往導致病毒入侵，以致感染到企業局域網，這種由內部引起的安全問題往往難以防范。

3 計算機網絡安全的防范措施

3.1 技術層面措施

（1）路由器策略。路由器（指連接因特網中各局域網、廣域網的設備。它會根據信道的情況自動選擇和設定路由，以最佳路徑，按前后順序發送信號），是計算機網絡抵御外來攻擊的第一道屏障。通過路由器安全設置，將外部網絡與企業內部網絡隔離，抵御外網攻擊。如企業有外地分部或機構，各分部或機構都有自己的局域網，企業將它們組成一個企業廣域網時，可用虛擬專用網(VPN)連接（虛擬專用網絡技術是一種新興熱門的網絡技術，能夠為網絡安全提供很好的解決方案。它主要通過互聯網建立一個連接遠程客戶機和各企業內網的臨時虛擬連接，使用這種連接可以對數據進行數倍加密達到安全使用互聯網的目的。虛擬專用網絡運用的主要技術有防火墻、身份驗證、數據加密、訪問監控技術）。當數據離開發送者所在的局域網時，該數據首先被用戶連接到互聯網上的路由器進行硬件加密，數據在互聯網上以加密的形式在加密隧道中傳送，當達到目的LAN的路由器時，該路由器對數據進行解密后，目的局域網中的用戶才可以看到真正的信息，提高了數據在互聯網中的安全性。

（2）防火墻策略。防火墻作為第二道防線，被廣泛運用于保護計算機網絡安全，是中小企業對付病毒直接攻擊的主要手段。它能在互聯網與內部網之間建立起一個安全網關。從而使內部網不受非法用戶侵入。防火墻是一種計算機硬件和軟件的組合體。在計算機網絡上配置防火墻是保護網絡安全最直接、最經濟的措施之一。因為它簡單實用且透明度高，不僅提高了內部網絡的安全性，而且可以降低風險。防火墻可將公共網絡服務器和企業內部網絡隔開。防火墻通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術等。

（3）身份認證制度和訪問控制策略。身份認證系統是整個網絡安全體系的基礎，讓每個用戶在網絡上有唯一的身份標識，以此確定用戶的權限和責任。訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問，對靜態信息（是指企業的人、財、物等基本生產要素的固有屬性數據）保護用處很大。訪問控制與身份認證相結合，可以有效進行入網訪問控制、網絡權限控制、網絡監測、鎖定控制、網絡端口和節點控制以及防火墻控制等。它能控制用戶登錄到服務器并獲取網絡資源的權限，控制準許用戶入網的時間和入網端口；控制用戶和用戶組訪問目錄和文件的權限，可以指定用戶對哪些目錄和文件執行哪些操作；記錄用戶對網絡資源的訪問情況。當出現非法訪問企業網絡的情況時，服務器會發出警報以提醒網絡管理員。要實現身份認證和訪問控制策略，需要運用IP—MAC—PORT端口綁定、編輯制作訪問控制列表(ACL)、劃分VLAN等技術。

IP—MAC—PORT端口綁定，是指在IP、MAC（網卡硬件地址）綁定的基礎上，把交換機端口(PORT)綁定進去，它是解決IP地址被盜用問題最有效的方法。這需要在布線時做好端口定時管理工作。在布線時應該把用戶墻上的接線盒和交換機的端口一一對應并做好登記工作，然后把用戶交上來的MAC地址填入對應的交換機端口，進而與IP一起綁定，達到IP—MAC—PORT三者綁定。這樣即使盜用者擁有IP對應的MAC地址，也無法對中小企業的計算機網絡構成威脅，從物理通道上隔離了盜用者。

ACL是一種基于包過濾的流控制技術。標準訪問控制列表把源地址、目的地址及端口號作為數據包檢查的基本元素，并可規定符合條件的數據包是否允許通過。通過ACL技術管理局域網內部資源的訪問能力，進而保障資源的安全性。一個虛擬局域網（VLAN）組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴（一個數據幀或包被傳輸到本地網段(由廣播域定義)上的每個節點就是廣播；由于網絡拓撲的設計和連接問題，或其他原因導致廣播在網段內大量復制，傳播數據幀，導致網絡性能下降，甚至網絡癱瘓，這就是廣播風暴），還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN端口實施MAC幀過濾。這樣，即使黑客攻破某一虛擬子網，也無法得到整個網絡的信息。

（4）上網行為監控。通過安裝上網行為監控硬件或軟件，設置并應用管理策略，能有效地控制內部用戶網絡帶寬和網絡行為，減少或避免不安全操作。當出現不安全事件時，也能及時定位解決問題。

（5）部署網絡殺毒。為了減少病毒在整個內網的感染、傳播和發作，在網內的服務器和各節點計算機上部署網絡殺毒軟件，定時對病毒進行掃描檢測及漏洞修復，定時升級病毒庫并查毒殺毒，使整個網絡保持防病毒能力。目前“360”殺毒軟件可以做到實時升級，對于服務器外的計算機是很好的選擇。

（6）數據加密策略。數據加密可以幫助保護數據不被未授權人查看和修改，確保數據來自特定一方。數據加密是安全的盾牌，采用加密技術對文件、資料、數據進行加密存儲和密文傳輸，在出現第三方進行網絡竊聽、網絡竊取以及載體流失等安全問題時，讓其難以解密數據，確保信息內容的安全。密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。

（7）網絡系統備份與恢復。網絡系統的備份是指對網絡中的核心設備和數據信息進行備份，以便在網絡出現意外時能快速、全面地恢復。網絡系統核心設備的備份主要包括核心交換機、核心路由器、重要服務器等。數據信息備份包括對網絡設備的配置信息、服務器數據等的備份。數據信息備份有三種主要備份策略：只備份數據庫、備份數據庫和事務日志、增量備份。網絡系統數據備份是網絡日常維護工作的重要環節之一，做好相關備份工作，才能在網絡系統出現故障時及時、迅速、有效地恢復系統，確保系統的正常運行。

3.2 管理層面措施

（1）建立網絡安全制度。網絡安全最重要的還是要思想上高度重視，企業要結合業務需求和安全現狀建立并實施嚴密的計算機網絡安全管理辦法和管理系統，加強用戶和授權管理，加強安全審計和跟蹤體系的完善，提高對網絡安全的整體意識。

（2）加強員工安全意識，提高計算機操作水平。安全制度的執行需要員工來執行，增強員工的計算機網絡安全意識和計算機操作水平，可以減少企業網絡計算機成為“僵尸網絡”中任人宰割的“肉雞”的幾率，從整體上提高計算機網絡的安全性。

（3）建立應急預案。計算機病毒攻擊無處不在，防不勝防，所以應建立有效的應急預案以備不時之需。

[1]全豐菽.計算機網絡安全的防范策略分析[J].信息與電腦，2010（8）.

[2]王宏偉.網絡安全威脅與對策[J].應用技術，2006（5）.

[3]王群.計算機網絡安全技術[M].清華大學出版社，2008.