構建企業計算機網絡安全防御體系分析

摘要：21世紀，企業應用計算機網絡的程度不斷深入，并開始致力于在更高的水平層面推動網絡辦公的全面開展。各項數據資料的傳輸、接收、存儲以及程序的裝載、應用，還有內部成員依靠網絡載體開展的各項交流，以及企業利用網絡展開的交易活動等，在獲得諸多便利的同時，也面臨著嚴重的安全威脅，企業在新時期為網絡構筑完善的防御體系已是迫在眉睫。本文就具體分析了防御體系的構建應注意的問題以及具體的構筑工作。

關鍵詞：企業；計算機網絡；安全防御體系；構建

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2012） 16-0054-01

計算機網絡的高效、便捷、快速等各項特征，使得企業在當前時期開展各項工作時獲得了極大的助益，但是，與此同時，網絡應用所固有的一些安全隱患也引發了企業的重視，不管是外部環境還是內部系統問題，都會將網絡置于危險的境地，從而對企業造成程度不等的損失。因此，為計算機網絡在工作中的應用構筑完善的防御體系，成為當前時期企業管理活動的又一重要內容。近年來，企業紛紛針對此項工作采取了充分的措施，并為安全防御體系這一工作積累了諸多的經驗。

一、企業為計算機網絡構筑安全防御體系的問題

計算機網絡在企業中的應用面臨著人員故意破壞、操作失誤、設備運行故障、系統遭遇病毒木馬等惡意入侵、網絡線路損傷、外部環境磁干擾及雷擊等諸多的安全威脅，每一項問題都會使企業正常的工作受到不良影響，因此，企業必須為網絡構筑有效的安防體系。其構筑工作應當注意以兩個大的問題：

首先，企業構筑安全防御體系應當將內部網絡與外部網絡進行分離的應用，做好對于網絡流量的保護與控制，并且，為網絡信息系統劃分安全等級，以各個安全域作為載體實施安全管理。同時，企業還要利用防火墻、病毒網關、訪問控制（網絡授權、身份認證、網絡密鑰等）、故障的實時動態監測與隔離技術等對網絡各個環節進行全面的安全保護，還要利用日志系統做好對于網絡安全防御工作的日志記錄與管理。

其次，企業對于網絡安全體系的架構，要轉變原有的單一平面結構，致力于構筑多樣的層次化的結構體系，對企業所有工作進行屬性劃分，以辦公網、日常應用網、生產網、外部服務網等幾層機構構筑全面的獨立的不同級別的安全管理。同時，要盡可能地利用高效屏蔽技術將內部網絡與外部網絡隔離開來，避免二者在運行過程中相互滲透和影響，并且為各層次結構的邊界區域增加控制措施點的布設，切實地將各網絡之間的信息流通置于可控狀態。

二、企業為計算機網絡進行安全防御體系構建的內容

安全防御體系一般包括路由器、交換機、安全防護這三個層面的內容，其中最后一項又包括了致力于實現網絡安全的監測技術、隔離技術、授權與認證技術、防火墻技術、病毒防護體系與操作系統維護措施等幾個方面。本文下面就具體地對這些方面加以分析：

（一）路由器與交換機

計算機網絡安防體系一般都是由路由器與交換機兩種關鍵因素共同布設的，其中前者為安防體系的第一道防護屏障，后者則為核心屏障，二者共同發揮作用為計算機網絡尤其是局域網進行安全防御。

1.路由器。路由器作為安防體系第一層的結構設備，同時也是體系架構的邊界防護，入侵者要想對網絡進行非法入侵，首先就要對路由器進行攻擊，突破其防線。因此，企業要為路由器設置全面完善的過濾規則，并根據網絡問題的發生不斷地對此規則加以補充，以切實地達到對于非法服務請求和IP地址的屏蔽。

2.交換機。交換機是安防體系架構的核心，它主要是用來對各種訪問請求進行控制，并實施安全的信息交換功能。其中訪問請求控制的實現主要是以ACL控制列表來實施，用戶數據包展現的源地址端口、目的地址及端口、協議等各項因素，都要經過列表的篩選以及過濾。

（二）安全防護各項技術

1.監測技術。目前應用于網絡行為監測工作的技術主要是入侵監測系統，企業通過為計算機網絡關鍵部位設置此系統，能夠在用戶設置的監測規則指引下，掃描并監測各種端口，進而對各種異常訪問行為實施動態的監控、捕捉以及報警，最終達到對于網絡的安全防御。但是，它在當前的應用容易出現對于某些正常行為的監測與抵制，影響到正常應用的效果，一般要和其他的技術進行配合使用。

2.隔離技術。企業一般利用網閘（即物理隔離、信息交換）來開展，它會在企業應用外部網絡服務系統時，對內部網絡實施保護，通過將內部網絡與其他的不可信網絡實施物理的隔離，同時及時破除某些攻擊性的行為，避免外部網絡影響到內部網絡的安全。

3.授權與認證技術。此種技術大致包括數據加密、數字簽名認證以及漏洞控制這樣幾類，前者是企業通過對某些重要的數據資料進行強化的加密處理，以避免安全事故的發生，而數字簽名則是要利用數字證書對各項文件資料進行簽名與認證，使文件資料得以完整存儲，并避免源發送者故意不承認所發送的信息。

4.防火墻技術。防火墻是當前應用于網絡安全保護最普遍的技術，它通過以固定的訪問控制尺度作為標準，對網絡進行設置，進而將可以訪問和不可以訪問的數據與IP地址加以區分，從而將可以訪問的數據及地址納入本身的防御系統中，將其與其他的用戶隔離開來，避免非法訪問的用戶入侵網絡，使網絡信息免于遭受惡意修改或其他破壞行為的威脅。

5.病毒防護與操作系統維護。企業可以利用網絡上本身有的殺毒軟件，與自身所選擇的系統病毒診斷工具加以連接應用，以構筑有效的防止病毒的體系，進而有針對性地實現對于病毒的監測與抵御。而且，企業要為網絡加設漏洞管理的服務器，并在日常應用中及時關閉那些不常使用或不使用的端口以及服務器，及時地清理磁盤，進而保證操作系統的安全。

三、結語

企業在當前時期針對計算機網絡的使用構筑安全防御體系，已經成為其自身健康發展所必須落實的一項工作，因此，管理人員要加強對于此問題的重視，并著力完善體系的構建。

參考文獻：

[1]楊永剛.計算機網絡安全技術的影響因素與防范措施[J].中國管理信息化，2010，18.

[2]魯林鑫.企業計算機網絡安全防護措施和對策研究[J].科技創新導報，2010，4.

[3]郭永.企業計算機網絡安全防御體系的構建[J].科技情報開發與經濟，2009，26.