網(wǎng)絡(luò)安全問題探討

馬潔　梁楷

摘 要：隨著我廠信息化建設(shè)的不斷深入，信息網(wǎng)絡(luò)安全已成為信息化高效建設(shè)的重要因素。文章針對我廠目前網(wǎng)絡(luò)信息架構(gòu)的特點，系統(tǒng)地分析了網(wǎng)絡(luò)安全存在的問題，結(jié)合當前國際網(wǎng)絡(luò)信息的前沿技術(shù)，提出我廠今后信息網(wǎng)絡(luò)安全的對策。

關(guān)鍵詞：網(wǎng)絡(luò)安全；技術(shù)措施；安全風險；安全防范

中圖分類號：TP398.1 文獻標識碼：A 文章編號：1006-8937（2015）30-0069-02

1 網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務不中斷。具體而言，網(wǎng)絡(luò)安全就是保護個人隱私，控制對網(wǎng)絡(luò)資源的訪問，保證商業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄浴⑼暾约罢鎸嵭裕刂撇唤】档膬?nèi)容或危害社會穩(wěn)定的言論，避免機密泄漏等。

2 我廠網(wǎng)絡(luò)安全措施

2.1 統(tǒng)一出口，便于管理

將三地的網(wǎng)絡(luò)進行了配置更改，兩地間增加了高性能的路由器，建成了企業(yè)內(nèi)部局域網(wǎng)絡(luò)。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡(luò)系統(tǒng)安裝了一個“保護殼”，使企業(yè)內(nèi)部網(wǎng)絡(luò)的使用更加方便、快捷的同時保證了數(shù)據(jù)采集、傳輸?shù)陌踩裕訌娏擞嬎銠C信息和網(wǎng)絡(luò)的保密性。

2.2 企業(yè)防火墻，外圍墻

在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻，負責管理Internet和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。

2.3 生產(chǎn)和辦公物理和虛擬相結(jié)合隔離

為了保證生產(chǎn)網(wǎng)的安全穩(wěn)定運行，采取了生產(chǎn)網(wǎng)和辦公網(wǎng)邏輯隔離，兩網(wǎng)通過防火墻相連，高度融合，進一步強化了生產(chǎn)網(wǎng)的安全性。

2.4 病毒掃描評估

通過專業(yè)軟件掃描分析全廠的網(wǎng)絡(luò)系統(tǒng)，檢查網(wǎng)絡(luò)系統(tǒng)中存在的弱點和漏洞并生成相應的報告，提出修補方法和應實施的安全策略，增強了網(wǎng)絡(luò)安全性。

2.5 行為管理

引進了國內(nèi)先進的“網(wǎng)康”網(wǎng)絡(luò)接入管理設(shè)備，對企業(yè)網(wǎng)絡(luò)進行優(yōu)化管理，實現(xiàn)了對網(wǎng)絡(luò)的整體流量分配與控制，加強了網(wǎng)絡(luò)數(shù)據(jù)流量分析，優(yōu)化了網(wǎng)絡(luò)流量調(diào)整工作。

2.6 區(qū)域WLAN的劃分

將企業(yè)辦公、生產(chǎn)區(qū)域網(wǎng)絡(luò)用戶按照單位、區(qū)域和樓層等細化管理，通過劃分不同的WLAN，從邏輯上阻隔網(wǎng)段，徹底阻隔廣播域，縮小區(qū)域，減小網(wǎng)絡(luò)異常的影響范圍。

3 目前存在的主要問題

3.1 認識上的誤區(qū)

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。

②在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟 件等效。網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務器上通過安全中心控制整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時對于整個網(wǎng)絡(luò)而言，管理非常方便，對于單機版是不可能做到的。

③不上網(wǎng)就不會中毒。雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

④文件設(shè)置只讀就可以避免感染病毒。設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

⑤網(wǎng)絡(luò)安全主要來自外部。基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實施攻擊。所以，加強內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理非常必要。

3.2. 技術(shù)上的差距

①操作系統(tǒng)使用盜版。由于習慣問題，部分軟件不兼容原裝系統(tǒng)和覺得正版與盜版都一樣等的一些類似原因?qū)е率褂帽I版系統(tǒng)占到我廠絕大數(shù)計算機，給全廠網(wǎng)絡(luò)安全帶來了嚴重隱患。

②生產(chǎn)電腦防火墻和殺毒軟件無法自動升級。由于辦公網(wǎng)和生產(chǎn)網(wǎng)隔離，生產(chǎn)電腦無法上網(wǎng)，無法自動升級防火墻和殺毒等軟件，以至于在生產(chǎn)電腦上插拔外置移動設(shè)備和局域內(nèi)傳輸文件帶來的安全危險顯得毫無抵抗之力。

③查找故障機困難。由于三地運行，地域廣，人員多，加之入廠機子相關(guān)登記信息空白，給查找故障機帶來更多困難，顯得無從下手。

4 進一步的措施

4.1 環(huán)網(wǎng)建設(shè)

目前企業(yè)網(wǎng)絡(luò)鏈路均為單鏈路。致使網(wǎng)絡(luò)鏈路抗風險能力較差，鏈路中斷后恢復時間較長。不能滿足生產(chǎn)管理系統(tǒng)的穩(wěn)定運行需求。為提高網(wǎng)絡(luò)鏈路的抗風險能力，計劃在充分利用已建光纜、桿路資源及網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，新增傳輸設(shè)備，將網(wǎng)絡(luò)鏈路構(gòu)成環(huán)網(wǎng)，當網(wǎng)絡(luò)中斷后自動切換至反向鏈路，實現(xiàn)網(wǎng)絡(luò)“零中斷”。

4.2 層級改造

我廠分場站網(wǎng)絡(luò)節(jié)點，由于之前采用交換機級聯(lián)的方式組網(wǎng)，受到光纜資源的限制，尚有部分網(wǎng)絡(luò)級聯(lián)層級達到三級或者更多，隨著網(wǎng)絡(luò)的不斷擴展，層級數(shù)過多問題也日益凸顯，現(xiàn)計劃對此類場站進行層級改造。

4.3 基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系 統(tǒng)研究與應用

充分利用現(xiàn)有成熟的DHCP、VPMS和開源Liunx系統(tǒng)的相關(guān)技術(shù)，實現(xiàn)基于DHCP和MAC地址動態(tài)綁定的網(wǎng)絡(luò)用戶自助接入指定網(wǎng)絡(luò)，無需安裝客戶端，從而簡化日常IT管理人員負擔和提高網(wǎng)絡(luò)管理效率與信息安全水平，基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系統(tǒng)應用，如圖1所示。

4.4 端口封裝，細化管理

結(jié)合以上MAC地址綁定和VLAN劃分，通過客戶端連接交換機做端口分裝策略，進一步固定IP地址，防止IP使用混亂，營造一個平穩(wěn)暢通的網(wǎng)絡(luò)環(huán)境。

5 結(jié) 語

上述論文主要從我廠當前實際的網(wǎng)絡(luò)運行狀況，分析了所存在的網(wǎng)絡(luò)安全隱患，及采取的一些相應安全措施和下步主要安全工作的同時，也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網(wǎng)絡(luò)安全的現(xiàn)狀，可以使大家有對網(wǎng)絡(luò)安全的重要性有了進一步的了解。

參考文獻：

[1] 董玉格.網(wǎng)絡(luò)攻擊與防護-網(wǎng)絡(luò)安全與實用防護技術(shù)[M].北京：人民郵 電出版社，2002.

[2] 周海剛，肖軍模.一種基于移動代理的入侵檢測系統(tǒng)框架[J].電子科技 大學學報.2003，（6）.

[3] 劉洪斐，王灝，王換招.一個分布式入侵檢測系統(tǒng)模型的設(shè)計[J].微機發(fā) 展，2003，（1）.

[4] 呂志軍，黃皓.高速網(wǎng)絡(luò)下的分布式實時入侵檢測系統(tǒng)[J].計算機研究 與發(fā)展，2004，（41）.