淺談中小企業(yè)網(wǎng)絡(luò)安全及解決方案

楊 博

（聊城日報社，山東 聊城252000）

1 中小企業(yè)網(wǎng)絡(luò)安全概述

隨著信息高度共享，信息化程度不斷提高，給企業(yè)帶來了諸多便利的同時，網(wǎng)絡(luò)安全問題日趨嚴重，由外網(wǎng)迅速延伸至內(nèi)網(wǎng)。從近來病毒發(fā)作的情況來看，病毒的攻擊目標沒有特定性，而且越來越隱蔽，如不提前防范，一旦被襲，網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等，無疑將給企業(yè)業(yè)務帶來巨大的經(jīng)濟損失。

2 中小企業(yè)網(wǎng)絡(luò)安全解決方案

2.1 訪問控制解決方案

網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是否合理是決定網(wǎng)絡(luò)安全的重要環(huán)節(jié)，不同的目的子網(wǎng)的要求，有不同的網(wǎng)絡(luò)設(shè)計。把具有相同安全目的的主機劃分在同一子網(wǎng)之內(nèi)，區(qū)別不同的安全水平。只有更好地考慮這些因素，將網(wǎng)絡(luò)結(jié)構(gòu)存在的安全隱患將至最低。

2.1.1 安全物理隔離

內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接連接是不安全的。只要是內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接鏈接，無論通過什么樣的手段，肯定存在著被黑客攻擊的可能。

因此，從安全角度來考慮，應該對企業(yè)計算機內(nèi)網(wǎng)與企業(yè)計算機網(wǎng)絡(luò)外網(wǎng)之間架設(shè)一道物理屏蔽，對內(nèi)部網(wǎng)絡(luò)中需要上因特網(wǎng)的用戶機器安裝物理隔離卡，從而保證內(nèi)部信息不被泄露。

2.1.2 配備防火墻

網(wǎng)絡(luò)安全最經(jīng)濟，安全最有效措施就是防火墻。防火墻通過制定嚴格的安全策略來實施內(nèi)部和外部網(wǎng)絡(luò)區(qū)域之間的隔離和訪問控制，單向或雙向控制的實現(xiàn)是通過各種信任的網(wǎng)絡(luò)和防火墻，可根據(jù)時間、流量的訪問控制，過濾一些不安全服務。

2.2網(wǎng)絡(luò)系統(tǒng)解決方案

2.2.1 網(wǎng)絡(luò)操作系統(tǒng)安全

使用更高版本的網(wǎng)絡(luò)操作系統(tǒng)，使一些不常用，不安全的應用程序和端口處于關(guān)閉狀態(tài)。對于一些保存了用戶信息和使用密鑰的文件嚴格限制，加強密碼的安全水平，并及時修補系統(tǒng)漏洞補丁，不對外公開系統(tǒng)內(nèi)部的使用情況。

2.2.2 應用系統(tǒng)安全

應用服務器盡量不要打開一些不經(jīng)常使用的協(xié)議和協(xié)定窗口。作為檔案服務和E-mail服務器的應用系統(tǒng)等，可關(guān)閉HTTP、FTP、遠程登錄服務等不常用協(xié)議。還有就是加強登錄時的密碼強度。管理者限制登陸者操作權(quán)限，限制在最小的范圍內(nèi)。

2.3 入侵檢測解決方案

在核心交換機監(jiān)控端口部署CA入侵檢測系統(tǒng)，并在不同網(wǎng)段（本地或遠程）上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測代理，對網(wǎng)絡(luò)入侵進行檢測和響應。

入侵檢測系統(tǒng)實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，以動態(tài)圖形方式展現(xiàn)出來，使管理員能夠時刻掌握當前內(nèi)外網(wǎng)之間正在進行的連接和訪問情況；運用協(xié)議分析和模式匹配方法，可以有效地識別各種網(wǎng)絡(luò)攻擊和異常現(xiàn)象，如拒絕服務攻擊，非授權(quán)訪問嘗試，預攻擊探測等；當攻擊發(fā)生時，可根據(jù)管理員的配置以多種方式發(fā)出實時報警；對于嚴重的網(wǎng)絡(luò)入侵事件，也可由入侵檢測引擎直接發(fā)出阻斷信號切斷發(fā)生攻擊的連接，還可以動態(tài)地調(diào)整防火墻的防護策略，使得防火墻成為一個動態(tài)的智能的防護體系。

2.4 網(wǎng)絡(luò)防病毒解決方案

量衡反病毒技術(shù)是基于計算機病毒功能來判斷技術(shù)來確定病毒的類型。計算機防病毒技術(shù)在分析病毒代碼的基礎(chǔ)上，制定了刪除病毒程序并恢復原始文件的軟件。反病毒的具體實現(xiàn)方法包括網(wǎng)絡(luò)服務器、文件、E-mail等工作站技術(shù)進行頻繁掃描和監(jiān)測。一旦發(fā)現(xiàn)和病毒代碼庫匹配病毒代碼，反病毒程序?qū)⒉扇∠鄳胧乐共《具M入網(wǎng)絡(luò)相互傳播。防病毒系統(tǒng)可以防止病毒侵權(quán)使用。但是，新的病毒會隨著時間的推移不斷出現(xiàn)。這就需要及時通過互聯(lián)網(wǎng)或防病毒系統(tǒng)更新等手段安全管理員或用戶升級。一般中小型企業(yè)大都采用Windows服務器的操作系統(tǒng)根據(jù)國內(nèi)外各種網(wǎng)上的反病毒軟件的綜合比較，所以本文建議采用Symantec公司Symantec系列產(chǎn)品。

2.5 數(shù)據(jù)備份和恢復安全解決方案

備份和恢復系統(tǒng)存在的目的，是盡快分發(fā)給計算機系統(tǒng)整體必要的數(shù)據(jù)和系統(tǒng)信息。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為錯誤時起到保護，在黑客的網(wǎng)絡(luò)攻擊時起到保護作用，也同時作為一個系統(tǒng)崩潰恢復的先決條件。

這個解決方案我們使用Symantec Ghost，Ghost備份和恢復系統(tǒng)具有以下功能：備份數(shù)據(jù)的完整性，并要備份介質(zhì)的管理技巧。支持多個備份，定期自動備份，還可以設(shè)置備份自動啟動和停止為多個文件的格式備份，支持多種日期標定方法，以保證備份的正確性，提供在線數(shù)據(jù)備份功能；支持RAID的容錯技術(shù)和圖像備份功能。

3 總結(jié)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，極大地改變了人們的生活方式，中小企業(yè)在享受網(wǎng)絡(luò)技術(shù)帶來好處的同時，也面臨著日益突出的安全問題。網(wǎng)絡(luò)安全防護是一個綜合性的工程，無論采取何種措施，安全總是相對的，因而作為網(wǎng)絡(luò)安全管理員，應隨網(wǎng)絡(luò)安全狀況及安全需求的變化，適度的調(diào)整安全策略，這樣才能做到有的放矢。

［1］朱衛(wèi)東.計算機安全基礎(chǔ)教程[M].北京大學出版社，2009，9.

［2］肖松嶺.網(wǎng)絡(luò)安全技術(shù)內(nèi)幕[M].科學出版社，2008.

［3］李彥軍.基于中小企業(yè)網(wǎng)絡(luò)安全的防火墻配置艇略[J].太原大學學報，2006.

［4］網(wǎng)絡(luò)安全[OL].http://sec.chinabyte.com/.

［5］杜向文.中小企業(yè)的網(wǎng)絡(luò)安全[J].計算機安全,2006(8).