論企業(yè)計算機網絡的安全性設計

    21世紀以來，隨著計算機網絡技術的飛速發(fā)展，我們邁入了以網絡為核心的信息時代。許多企業(yè)都構建了企業(yè)網絡運營平臺，企業(yè)經營、生產與管理對計算機網絡的依賴性日益增強。網絡規(guī)模的不斷增大， 網絡結構的日益復雜都對網絡安全提出了更高的要求。網絡安全應從整體上考慮，全面覆蓋網絡系統(tǒng)的各個方面，針對網絡、系統(tǒng)、應用、數據做全面的防范。

    目前，大多數企業(yè)都建設了以辦公系統(tǒng)(OA)與ERP為中心，集成公文流轉、即時消息、門戶網站、業(yè)務應用的辦公系統(tǒng)，這些系統(tǒng)均以網絡平臺為支撐，采用B／S模式運行，并且各系統(tǒng)對于安全性要求不同。安全可靠性不同的多種應用，運行在同一個網絡中，給黑客、病毒攻擊提供了方便之門，給企業(yè)的網絡安全造成了極大的威脅。

    在一定的資金支持下， 網絡管理都要在網絡安全程度和建設成本之間作出取舍，充分使用現有的成熟技術，并且盡可能地發(fā)揮管理的功效，提高企業(yè)網絡安全，為業(yè)務系統(tǒng)的安全、穩(wěn)定運行保駕護航。我們可以采用了以下技術和策略提高網絡的安全性。

一、網絡安全隔離

    網絡隔離有兩種方式：物理隔離和邏輯隔離。將網絡進行隔離后，為了能夠滿足網絡內授權用戶對相關子網資源的訪問，保證各業(yè)務不受影響，在各子網之間應采取不同的訪問策略。物理隔離是最安全的網絡隔離方式，但是它的建設成本非常大，要求在網絡設備、計算機終端、網絡線路上都進行重復性投資，花費很大，除涉密的計算機信息系統(tǒng)必須實行物理隔離外，其它系統(tǒng)以邏輯隔離方式為主。

    考慮企業(yè)的應用情況，針對不同業(yè)務的不同需求，劃分不同的虛擬子網(VLAN)進行邏輯隔離。例如：為財務、人力、工程各部門的客戶端劃分單獨的VLAN，通過將不同用戶或資源劃分到不同的VLAN中，利用路由器或者防火墻對VLAN間的訪問進行控制。

二、網絡安全準入與訪問控制

    企業(yè)在信息資源共享的同時也要阻止非授權用戶對企業(yè)敏感信息的訪問，訪問控制的目的是為了保護企業(yè)在信息系統(tǒng)中存儲和處理信息的安全，它是計算機網絡信息安全最重要的核心策略之一，是通過準入策略準許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。

    (一)網絡邊界安全設計。企業(yè)一般有大量業(yè)務數據流運行于Internet網絡，在企業(yè)內外網絡的邊界處，部署網絡防火墻實現私有地址和公有地址的相互映射和轉換，屏蔽內部網絡結構，并按照最小需求原則配置訪問策略，以防范來自外部的威脅與攻擊。

    (二)內部網絡用戶準入。采用DHCP服務器做地址綁定，用戶_IP地址與MAC地址做一對一保留，防止網絡接入的隨意性，并在交換機設置DHCP Snooping、動態(tài)ARP檢測防止用戶任意修改IP，保證地址獲取的合法性。對于重要的業(yè)務系統(tǒng)服務器，還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定，可以有效的阻止ARP等病毒的攻擊。

    (三)分支機構及移動辦公用戶的準入。外部用戶訪問企業(yè)內網，應在基于VPN的撥號接入之上，建立AAA認證服務器，一方面方便用戶經常更換口令，另一方面可以實施更加嚴格的安全策略，并且對這些策略的實施予以監(jiān)視。

    為了方便用戶對資源的訪問和管理網絡，有必要建立一個統(tǒng)一的安全認證及授權系統(tǒng)，統(tǒng)一的帳號管理有助于確保安全策略的實施及管理。

三、主機與系統(tǒng)平臺安全

    網絡是病毒傳播最好最快的途徑之一。在網絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，它使得網絡癱瘓、機密信息泄漏、重要業(yè)務系統(tǒng)不能提供正常服務，嚴重影響網絡安全，造成不良的社會影響。計算機病毒的防范是網絡安全性建設中重要的一環(huán)，在企業(yè)網中應建立一套網絡版的防病毒系統(tǒng)，它能構造全網統(tǒng)一的防病毒體系，支持對網絡、服務器、工作站的實時病毒監(jiān)控；能夠在中心控制臺向多個目標分發(fā)布及安裝新版殺毒軟件，并監(jiān)視多個目標的病毒防治情況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知病毒，支持廣泛的病毒處理選項；支持病毒主機隔離；提供對病毒特征信息和檢測引擎的定期在線更新服務；支持日志記錄功能；支持多種方式的告警功能(聲音、圖像、電子郵件等)等。

    其次，為了彌補防病毒軟件被動防范的不足，可采用兩種策略提高網絡主動防范的能力。

    (一)在網絡邊界防火墻上配置嚴格的安全策略， 強制關閉常見病毒攻擊的服務端口，防止病毒入侵。在核心層和匯聚層交換機上，依據業(yè)務數據流流向建立一系列的訪問控制列表，服務器只向必須訪問它的客戶端開放，其它客戶端一概被策略拒絕訪問。

    (二)由于企業(yè)中大多數計算機安裝Windows系列的操作系統(tǒng)，所以在網絡中建設一套Windows補丁分發(fā)系統(tǒng)，利用微軟的WSUS服務器進行強聯(lián)動，輔以行之有效的用戶端保護措施，幫助客戶機高效、安全的完成Windows補丁更新，解決為Windows系統(tǒng)自動安裝系統(tǒng)補丁程序的問題，進一步提高了計算機安全性，當然也提高了網絡的安全性。

四、網絡安全監(jiān)測與審計

    (一)網絡管理系統(tǒng)。利用網絡管理系統(tǒng)軟件，實現對網絡管理信息的收集、整理、預警，以視圖方式實時監(jiān)控各種網絡設備運行狀態(tài)。網絡管理一般包括網絡性能管理，配置管理，安全管理，計費管理和故障管理等五大管理功能。建立針對全網絡的管理平臺，對網絡、計算機系統(tǒng)、數據庫、應用程序等進行統(tǒng)一監(jiān)管理，把網絡系統(tǒng)平臺由原先的被動管理轉向主動監(jiān)控，被動處理故障變?yōu)橹鲃庸收项A警。

    (二)網絡入侵檢測。作為防火墻功能的有效補充，入侵檢測／防御系統(tǒng)(IDS／IPS)可實時監(jiān)控網絡傳輸，主動檢測可疑行為，分析網絡外部入侵信號和內部非法活動，在系統(tǒng)遭受危害前發(fā)出報警，對攻擊作出及時的響應，并提供相應的補救措施，最大限度地保障網絡安全。

    (三)網絡安全審計。將網絡安全審計系統(tǒng)布署在企業(yè)網絡中，能夠監(jiān)控、審查、追溯內部人員操作行為，防止企業(yè)機密資料泄露，統(tǒng)計網絡系統(tǒng)的實際使用狀況，幫助管理者及時發(fā)現潛在的漏洞和威脅，為企業(yè)的網絡提供保障，使企業(yè)的網絡資源發(fā)揮應有的經濟效益。

五、企業(yè)網絡安全管理制度保障

    管理是企業(yè)網絡安全的核心，技術是企業(yè)安全管理的保證。網絡安全系統(tǒng)必須包括技術和管理兩方面。只有完整的規(guī)章制度、行為準則并和安全技術手段結合， 網絡系統(tǒng)的安全才會得到最大限度的保障。只有制定合理有效的網絡管理制度來約束員工，這樣才能最大限度的保證企業(yè)網絡平穩(wěn)正常的運轉，例如禁止員工濫用計算機，禁止利用工作時間隨意下載軟件，隨意執(zhí)行安裝操作，禁止使用IM工具聊天等。最終制度通過網絡管理平臺得以具體體現，管理平臺使得制度被嚴格的執(zhí)行起來。

六、結束語

    本文從分析企業(yè)網絡安全形勢入手，指出當前網絡安全存在的問題，然后提出了一套較詳細的解決方案，涵蓋了各個方面，從技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網絡的安全審計。本文從技術手段上、可操作性上都易于實現、易于部署， 為企業(yè)提供了實用的網絡安全性設計。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：論企業(yè)計算機網絡的安全性設計

本文網址：http://m.hanmeixuan.com/html/consultation/1083952557.html