吳麗平　宋長青

摘要：信息化浪潮風(fēng)起云涌的今天，各企事業(yè)單位網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升其工作效率和服務(wù)質(zhì)量的重要要求。然而，計(jì)算機(jī)信息和資源很容易遭到各方面的攻擊。如何采取各種有效措施確保網(wǎng)絡(luò)的安全是急需解決的重要問題。筆者根據(jù)多年從事網(wǎng)絡(luò)安全管理的經(jīng)驗(yàn)，提出了中小企事業(yè)單位網(wǎng)絡(luò)安全的一般解決方案，供大家參考。

關(guān)鍵詞：中小企事業(yè)單位；信息化；網(wǎng)絡(luò)安全；解決方案

當(dāng)前，網(wǎng)絡(luò)安全問題主要來源于兩個(gè)方面：一方面來源于Internet，Internet給企事業(yè)網(wǎng)絡(luò)帶來成熟的應(yīng)用技術(shù)的同時(shí)，也把固有的安全問題帶給了企事業(yè)網(wǎng)絡(luò)；另一方面來源于企事業(yè)內(nèi)部，因?yàn)槭莾?nèi)部網(wǎng)絡(luò)，主要針對(duì)企事業(yè)內(nèi)部的人員和企事業(yè)內(nèi)部的信息資源，因此，企事業(yè)網(wǎng)絡(luò)同時(shí)又面臨自身所特有的安全問題。網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時(shí)，也使得網(wǎng)絡(luò)很容易遭受到攻擊，而攻擊的后果是嚴(yán)重的，諸如重要數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。要想解決網(wǎng)絡(luò)的安全問題，我們就要從網(wǎng)絡(luò)的設(shè)計(jì)和使用兩方面著手進(jìn)行分析處理。

1中小企事業(yè)單位網(wǎng)絡(luò)設(shè)計(jì)原則

由于所處行業(yè)不同，各企事業(yè)單位的網(wǎng)絡(luò)結(jié)構(gòu)也存在著一定的差異。但總的來說，網(wǎng)絡(luò)的設(shè)計(jì)原則是一致的。

(1)實(shí)用性和經(jīng)濟(jì)性，根據(jù)中小企事業(yè)單位的特點(diǎn)，網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用、注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企事業(yè)單位的網(wǎng)絡(luò)系統(tǒng)。

(2)先進(jìn)性和成熟性。網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟，不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)網(wǎng)絡(luò)仍占領(lǐng)先地位。

(3)可靠性和穩(wěn)定性。在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠和穩(wěn)定，達(dá)到最大的平均無故障時(shí)間。

(4)安全性和保密性。在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，既要考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的安全措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。

(5)可擴(kuò)展性和易維護(hù)性。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。

2網(wǎng)絡(luò)設(shè)計(jì)階段安全解決方案

網(wǎng)絡(luò)安全問題貫穿于網(wǎng)絡(luò)設(shè)計(jì)和使用階段。在網(wǎng)絡(luò)設(shè)計(jì)階段可采取的網(wǎng)絡(luò)安全措施主要有以下幾種：

(1)物理措施。加強(qiáng)對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、路由器等)的保護(hù)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源(UPS)等措施，確保網(wǎng)絡(luò)關(guān)鍵設(shè)備的正常運(yùn)行。

(2)網(wǎng)絡(luò)分段。目前，大多數(shù)中小企事業(yè)單位網(wǎng)絡(luò)采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，可以被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。

(3)硬件防火墻技術(shù)。防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企事業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。

(4)VLAN技術(shù)。選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò)，它依靠用戶的邏輯設(shè)定將原來物理上互連的一個(gè)局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點(diǎn)的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個(gè)網(wǎng)絡(luò)的信息。

(5)硬件隔離設(shè)置。對(duì)于安全性能要求較高的終端，可采用硬件隔離技術(shù)，物理上徹底隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境，針對(duì)不同安全級(jí)別網(wǎng)絡(luò)的需求，可采用終端級(jí)隔離、信道級(jí)隔離和網(wǎng)絡(luò)級(jí)隔離三種方案，確保信息的安全。

3影響網(wǎng)絡(luò)安全的幾種錯(cuò)誤使用習(xí)慣

盡管在網(wǎng)絡(luò)設(shè)計(jì)階段我們采取了種種安全措施，但在使用過程中仍不可避免受到安全問題的困擾，這要從網(wǎng)絡(luò)具體使用人員的錯(cuò)誤使用習(xí)慣說起。

(1)不恰當(dāng)?shù)拿艽a使用。密碼是最簡(jiǎn)單的安全形式，如果密碼為空或者是過于簡(jiǎn)單(如“123456”或者是“admin”)，未經(jīng)授權(quán)的使用者可以很容易去瀏覽敏感數(shù)據(jù)。如果密碼中既包含字母也包含數(shù)字，并且既有大寫也有小寫，那么密碼就會(huì)更安全。還有一點(diǎn)值得注意的就是密碼要經(jīng)常更換。

(2)忽視安全補(bǔ)丁。在你的操作系統(tǒng)中，大多數(shù)會(huì)存在著安全漏洞。沒有任何一種軟件是完美的，一旦一個(gè)缺陷或是漏洞被發(fā)現(xiàn)，經(jīng)常就會(huì)在很短的一段時(shí)間內(nèi)被黑客和惡意程序利用，對(duì)用戶產(chǎn)生巨大的危害。因此，盡快安裝安全補(bǔ)丁是必要的，也是必須的。

(3)不安裝殺毒軟件。沒有安裝殺毒軟件的計(jì)算機(jī)直接連在網(wǎng)絡(luò)上是不安全的。你的個(gè)人信息隨時(shí)都可能被黑客或者惡意程序所監(jiān)控。因此，在使用網(wǎng)絡(luò)或是無線網(wǎng)卡聯(lián)網(wǎng)之前，要先裝上殺毒軟件。理論上來說，這種軟件應(yīng)該包含病毒防護(hù)、間諜軟件掃描以及防止惡意軟件在后臺(tái)安裝程序等功能。安裝后及時(shí)升級(jí)病毒庫是很關(guān)鍵的。這樣能確保殺毒軟件監(jiān)測(cè)到最新的病毒和惡意軟件，保證用戶的電腦可以更加安全地運(yùn)行。

(4)不使用加密技術(shù)。儲(chǔ)存和傳遞未加密的數(shù)據(jù)等于是把這些數(shù)據(jù)公之于眾。在銀行業(yè)和信用卡中，加密技術(shù)尤為重要。

4網(wǎng)絡(luò)使用階段安全防范措施

以上幾種錯(cuò)誤使用習(xí)慣經(jīng)常出現(xiàn)的根本原因就是用戶缺少安全意識(shí)。未受網(wǎng)絡(luò)安全培訓(xùn)的電腦使用者經(jīng)常成為病毒、間諜軟件和網(wǎng)絡(luò)釣魚的受害者，是與他們?nèi)鄙侔踩庾R(shí)分不開的。對(duì)員工進(jìn)行安全意識(shí)教育和網(wǎng)絡(luò)安全策略的培訓(xùn)至關(guān)重要。大量的調(diào)查研究已經(jīng)證實(shí)，內(nèi)部的人員已經(jīng)成為網(wǎng)絡(luò)安全的最大潛在威脅，因?yàn)樗麄儞碛凶畲蟮脑L問權(quán)限。除了這一點(diǎn)外，網(wǎng)管人員還應(yīng)根據(jù)單位的實(shí)際情況，做好如下安全防范措施：

(1)IP地址與MAC綁定。加大網(wǎng)絡(luò)監(jiān)管力度，嚴(yán)格控制本單位IP地址的分配，做好IP地址使用備案，做好IP地址與MAC地址的綁定，避免發(fā)生因個(gè)別計(jì)算機(jī)遭到ARP攻擊而造成整個(gè)網(wǎng)絡(luò)癱瘓的問題。

(2)訪問控制，對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如：進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

(3)補(bǔ)丁管理。不但要對(duì)操作系統(tǒng)打補(bǔ)丁，還要為應(yīng)用程序打補(bǔ)丁。為所有的系統(tǒng)和第三方的應(yīng)用程序制定慎密的安全計(jì)劃。管理員要清醒地知道，哪些計(jì)算機(jī)和軟件需要更新和升級(jí)。

(4)數(shù)據(jù)加密。加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。

(5)安裝網(wǎng)絡(luò)防病毒系統(tǒng)。及時(shí)升級(jí)病毒庫，定期對(duì)計(jì)算機(jī)進(jìn)行查殺，防止病毒對(duì)系統(tǒng)安全造成破壞。

(6)無線網(wǎng)絡(luò)安全。設(shè)置接入密碼和用戶身份確認(rèn)，設(shè)備在不使用時(shí)斷電。

5結(jié)束語

網(wǎng)絡(luò)安全是各企事業(yè)單位面臨的一個(gè)重要問題，它不僅取決于網(wǎng)絡(luò)管理人員的知識(shí)水平和所付出的辛勤勞動(dòng)，更決定于主要領(lǐng)導(dǎo)的重視程度和網(wǎng)絡(luò)使用者的網(wǎng)絡(luò)安全意識(shí)以及使用習(xí)慣的好壞等。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，中小企事業(yè)單位所面臨的安全問題會(huì)進(jìn)一步復(fù)雜化和深入化。如何保證企事業(yè)單位網(wǎng)絡(luò)的安全，是一個(gè)值得長期研究和付出努力的問題。