淺談中小企業(yè)網(wǎng)絡(luò)安全及解決方案

楊 博

（聊城日?qǐng)?bào)社，山東 聊城252000）

1 中小企業(yè)網(wǎng)絡(luò)安全概述

隨著信息高度共享，信息化程度不斷提高，給企業(yè)帶來了諸多便利的同時(shí)，網(wǎng)絡(luò)安全問題日趨嚴(yán)重，由外網(wǎng)迅速延伸至內(nèi)網(wǎng)。從近來病毒發(fā)作的情況來看，病毒的攻擊目標(biāo)沒有特定性，而且越來越隱蔽，如不提前防范，一旦被襲，網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等，無疑將給企業(yè)業(yè)務(wù)帶來巨大的經(jīng)濟(jì)損失。

2 中小企業(yè)網(wǎng)絡(luò)安全解決方案

2.1 訪問控制解決方案

網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是否合理是決定網(wǎng)絡(luò)安全的重要環(huán)節(jié)，不同的目的子網(wǎng)的要求，有不同的網(wǎng)絡(luò)設(shè)計(jì)。把具有相同安全目的的主機(jī)劃分在同一子網(wǎng)之內(nèi)，區(qū)別不同的安全水平。只有更好地考慮這些因素，將網(wǎng)絡(luò)結(jié)構(gòu)存在的安全隱患將至最低。

2.1.1 安全物理隔離

內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接連接是不安全的。只要是內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接鏈接，無論通過什么樣的手段，肯定存在著被黑客攻擊的可能。

因此，從安全角度來考慮，應(yīng)該對(duì)企業(yè)計(jì)算機(jī)內(nèi)網(wǎng)與企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)外網(wǎng)之間架設(shè)一道物理屏蔽，對(duì)內(nèi)部網(wǎng)絡(luò)中需要上因特網(wǎng)的用戶機(jī)器安裝物理隔離卡，從而保證內(nèi)部信息不被泄露。

2.1.2 配備防火墻

網(wǎng)絡(luò)安全最經(jīng)濟(jì)，安全最有效措施就是防火墻。防火墻通過制定嚴(yán)格的安全策略來實(shí)施內(nèi)部和外部網(wǎng)絡(luò)區(qū)域之間的隔離和訪問控制，單向或雙向控制的實(shí)現(xiàn)是通過各種信任的網(wǎng)絡(luò)和防火墻，可根據(jù)時(shí)間、流量的訪問控制，過濾一些不安全服務(wù)。

2.2網(wǎng)絡(luò)系統(tǒng)解決方案

2.2.1 網(wǎng)絡(luò)操作系統(tǒng)安全

使用更高版本的網(wǎng)絡(luò)操作系統(tǒng)，使一些不常用，不安全的應(yīng)用程序和端口處于關(guān)閉狀態(tài)。對(duì)于一些保存了用戶信息和使用密鑰的文件嚴(yán)格限制，加強(qiáng)密碼的安全水平，并及時(shí)修補(bǔ)系統(tǒng)漏洞補(bǔ)丁，不對(duì)外公開系統(tǒng)內(nèi)部的使用情況。

2.2.2 應(yīng)用系統(tǒng)安全

應(yīng)用服務(wù)器盡量不要打開一些不經(jīng)常使用的協(xié)議和協(xié)定窗口。作為檔案服務(wù)和E-mail服務(wù)器的應(yīng)用系統(tǒng)等，可關(guān)閉HTTP、FTP、遠(yuǎn)程登錄服務(wù)等不常用協(xié)議。還有就是加強(qiáng)登錄時(shí)的密碼強(qiáng)度。管理者限制登陸者操作權(quán)限，限制在最小的范圍內(nèi)。

2.3 入侵檢測(cè)解決方案

在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)，并在不同網(wǎng)段（本地或遠(yuǎn)程）上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)代理，對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)和響應(yīng)。

入侵檢測(cè)系統(tǒng)實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，以動(dòng)態(tài)圖形方式展現(xiàn)出來，使管理員能夠時(shí)刻掌握當(dāng)前內(nèi)外網(wǎng)之間正在進(jìn)行的連接和訪問情況；運(yùn)用協(xié)議分析和模式匹配方法，可以有效地識(shí)別各種網(wǎng)絡(luò)攻擊和異常現(xiàn)象，如拒絕服務(wù)攻擊，非授權(quán)訪問嘗試，預(yù)攻擊探測(cè)等；當(dāng)攻擊發(fā)生時(shí)，可根據(jù)管理員的配置以多種方式發(fā)出實(shí)時(shí)報(bào)警；對(duì)于嚴(yán)重的網(wǎng)絡(luò)入侵事件，也可由入侵檢測(cè)引擎直接發(fā)出阻斷信號(hào)切斷發(fā)生攻擊的連接，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的智能的防護(hù)體系。

2.4 網(wǎng)絡(luò)防病毒解決方案

量衡反病毒技術(shù)是基于計(jì)算機(jī)病毒功能來判斷技術(shù)來確定病毒的類型。計(jì)算機(jī)防病毒技術(shù)在分析病毒代碼的基礎(chǔ)上，制定了刪除病毒程序并恢復(fù)原始文件的軟件。反病毒的具體實(shí)現(xiàn)方法包括網(wǎng)絡(luò)服務(wù)器、文件、E-mail等工作站技術(shù)進(jìn)行頻繁掃描和監(jiān)測(cè)。一旦發(fā)現(xiàn)和病毒代碼庫(kù)匹配病毒代碼，反病毒程序?qū)⒉扇∠鄳?yīng)措施，防止病毒進(jìn)入網(wǎng)絡(luò)相互傳播。防病毒系統(tǒng)可以防止病毒侵權(quán)使用。但是，新的病毒會(huì)隨著時(shí)間的推移不斷出現(xiàn)。這就需要及時(shí)通過互聯(lián)網(wǎng)或防病毒系統(tǒng)更新等手段安全管理員或用戶升級(jí)。一般中小型企業(yè)大都采用Windows服務(wù)器的操作系統(tǒng)根據(jù)國(guó)內(nèi)外各種網(wǎng)上的反病毒軟件的綜合比較，所以本文建議采用Symantec公司Symantec系列產(chǎn)品。

2.5 數(shù)據(jù)備份和恢復(fù)安全解決方案

備份和恢復(fù)系統(tǒng)存在的目的，是盡快分發(fā)給計(jì)算機(jī)系統(tǒng)整體必要的數(shù)據(jù)和系統(tǒng)信息。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為錯(cuò)誤時(shí)起到保護(hù)，在黑客的網(wǎng)絡(luò)攻擊時(shí)起到保護(hù)作用，也同時(shí)作為一個(gè)系統(tǒng)崩潰恢復(fù)的先決條件。

這個(gè)解決方案我們使用Symantec Ghost，Ghost備份和恢復(fù)系統(tǒng)具有以下功能：備份數(shù)據(jù)的完整性，并要備份介質(zhì)的管理技巧。支持多個(gè)備份，定期自動(dòng)備份，還可以設(shè)置備份自動(dòng)啟動(dòng)和停止為多個(gè)文件的格式備份，支持多種日期標(biāo)定方法，以保證備份的正確性，提供在線數(shù)據(jù)備份功能；支持RAID的容錯(cuò)技術(shù)和圖像備份功能。

3 總結(jié)

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，極大地改變了人們的生活方式，中小企業(yè)在享受網(wǎng)絡(luò)技術(shù)帶來好處的同時(shí)，也面臨著日益突出的安全問題。網(wǎng)絡(luò)安全防護(hù)是一個(gè)綜合性的工程，無論采取何種措施，安全總是相對(duì)的，因而作為網(wǎng)絡(luò)安全管理員，應(yīng)隨網(wǎng)絡(luò)安全狀況及安全需求的變化，適度的調(diào)整安全策略，這樣才能做到有的放矢。

［1］朱衛(wèi)東.計(jì)算機(jī)安全基礎(chǔ)教程[M].北京大學(xué)出版社，2009，9.

［2］肖松嶺.網(wǎng)絡(luò)安全技術(shù)內(nèi)幕[M].科學(xué)出版社，2008.

［3］李彥軍.基于中小企業(yè)網(wǎng)絡(luò)安全的防火墻配置艇略[J].太原大學(xué)學(xué)報(bào)，2006.

［4］網(wǎng)絡(luò)安全[OL].http://sec.chinabyte.com/.

［5］杜向文.中小企業(yè)的網(wǎng)絡(luò)安全[J].計(jì)算機(jī)安全,2006(8).