[摘 要] 網(wǎng)絡(luò)安全是網(wǎng)絡(luò)永恒的主題。任何企業(yè)、單位在建設(shè)網(wǎng)絡(luò)時都要考慮有關(guān)網(wǎng)絡(luò)安全的問題。

[關(guān)鍵詞]內(nèi)網(wǎng) 外網(wǎng) 隔離

一、內(nèi)網(wǎng)與外網(wǎng)

將系統(tǒng)進(jìn)行分級管理，按工作性質(zhì)的不同分成內(nèi)網(wǎng)和外網(wǎng)，實行內(nèi)網(wǎng)與外網(wǎng)嚴(yán)格的分離制度，內(nèi)外網(wǎng)的管理也采用不同的方法。

在外網(wǎng)中，由于基本業(yè)務(wù)對網(wǎng)絡(luò)的實時性要求不是很高，同時往往接入互聯(lián)網(wǎng)，本身已存在相當(dāng)大的安全隱患，可以在一定程度上允許系統(tǒng)存在宕機(jī)現(xiàn)象。采用部署網(wǎng)絡(luò)安全產(chǎn)品，IP地址管理，訪問權(quán)限控制，數(shù)據(jù)存儲管理等方法，在采用技術(shù)手段進(jìn)行安全管理的同時采取一定的行政管理手段，制定相關(guān)的管理制度，在一定程度上保證系統(tǒng)的基本正常，達(dá)到安全投入與安全效果的平衡。

在內(nèi)網(wǎng)中，運行著公司ERP系統(tǒng)，整個公司的業(yè)務(wù)都依賴于這個系統(tǒng)的安全平穩(wěn)運行，這個系統(tǒng)的安全性也就被提升到最高的級別，系統(tǒng)的安全穩(wěn)定運行成了信息中心最主要的責(zé)任，在有了責(zé)任的同時，也就有了相應(yīng)的權(quán)利，所有的不合理的要求，都以保證系統(tǒng)安全為理由回絕。

在系統(tǒng)中所有的可以進(jìn)行文件交換的計算機(jī)都得到控制，無授權(quán)的計算機(jī)，不安裝光驅(qū)、軟驅(qū)、USB等設(shè)備的計算機(jī)不能訪問互聯(lián)網(wǎng)，授權(quán)的計算機(jī)在進(jìn)行文件交換過程中也要嚴(yán)格按操作流程進(jìn)行，同時也防止了信息流失的可能，保證了信息的安全，行政管理手段在內(nèi)網(wǎng)的管理中起到了主要的作用。

1. 雙網(wǎng)隔離。為保證網(wǎng)絡(luò)安全，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)完全隔離是最安全的策略。雙網(wǎng)隔離技術(shù)就是采取內(nèi)部網(wǎng)與Internet網(wǎng)完全物理隔離的方式來實現(xiàn)內(nèi)部網(wǎng)絡(luò)相對安全的一種技術(shù)。

雙網(wǎng)隔離的實現(xiàn)分為以下兩個方面:

(1) 結(jié)構(gòu)化綜合布線。布線是實現(xiàn)網(wǎng)絡(luò)連接的第一步，要實現(xiàn)雙網(wǎng)的完全隔離就必須敷設(shè)兩套網(wǎng)線，每套網(wǎng)線分別與內(nèi)網(wǎng)核心交換機(jī)、公眾信息網(wǎng)交換機(jī)連接，并通過相應(yīng)的網(wǎng)絡(luò)安全設(shè)備實現(xiàn)網(wǎng)絡(luò)內(nèi)部的安全。也就是說，在網(wǎng)絡(luò)客戶端部分有兩個網(wǎng)絡(luò)接口，以實現(xiàn)終端計算機(jī)分別對兩個完全隔離網(wǎng)絡(luò)訪問。

(2) 終端計算機(jī)。僅有完全隔離的網(wǎng)絡(luò)是不足以實現(xiàn)雙網(wǎng)隔離的，還要有完全隔離的計算機(jī)。當(dāng)然采用兩臺計算機(jī)分別與兩套布線系紡相連可以實現(xiàn)雙網(wǎng)隔離，但是任何技術(shù)的推廣都離不開實現(xiàn)該技術(shù)的成本問題，顯然兩臺計算機(jī)的成本要高于一臺。

通過共享一臺雙網(wǎng)隔離計算機(jī)的方式，可以很好地解決這個問題。雙網(wǎng)隔離計算機(jī)就是一臺電腦中裝配兩塊硬盤(或一塊硬盤的不同物理分區(qū))，電腦運行時只有一塊硬盤(或一個物理分區(qū))加電運行而另一塊硬盤(或一個物理分區(qū))并不工作，通過切換開關(guān)和電腦的重新啟動來實現(xiàn)不同硬盤(或物理分區(qū))上數(shù)據(jù)的物理隔離，這樣既保護(hù)了投資又實現(xiàn)了雙網(wǎng)的完全隔離。

2. 安全設(shè)備。保證網(wǎng)絡(luò)安全的主要設(shè)備包括:路由器、防火墻和代理服務(wù)器。通過客觀存在的組合，可以建立一道安全屏障，并對網(wǎng)絡(luò)內(nèi)部提供必要的保護(hù)。由于它們本身及相互組合所提供的安全級別不同，所需要的成本不同，便有了不同的安全防范方案。

3. 高級別安全防范。路由器的訪問控制列表(ACL)對訪問數(shù)據(jù)流進(jìn)行初步檢測，只允許合法數(shù)據(jù)流進(jìn)人，對內(nèi)部網(wǎng)提供了基本的安全保障。如:對私有IP地址的過濾，對蒙騙IP地址的過濾，對網(wǎng)絡(luò)探測數(shù)據(jù)流的過濾等。

防火墻對經(jīng)過路由器過濾后的有效數(shù)據(jù)流進(jìn)行進(jìn)一步檢查，提供更加細(xì)化的安全措施和更強(qiáng)大的處理能力。防火墻的訪問控制列表(ACL)可以提供對進(jìn)入的數(shù)據(jù)流進(jìn)行有效控制，禁止非法數(shù)據(jù)流進(jìn)人內(nèi)網(wǎng);防止自己內(nèi)部網(wǎng)的用戶非法訪問和攻擊外網(wǎng)的計算機(jī);針對某一IP地址或MAC地址進(jìn)行訪問控制等功能。防火墻實現(xiàn)了切實的安全控制，為網(wǎng)絡(luò)提供了更強(qiáng)大的保護(hù)。

二、一般級別的安全防范

在網(wǎng)絡(luò)對安全要求不高的情況下通常采用一般級別的安全防范，所花費的費用也比較低。采用路由器或代理服務(wù)器就可滿足要求，當(dāng)然資金允許的條件下采用防火墻可以提供更佳的安全性能。

1. 費用第一型。采用代理服務(wù)器是最經(jīng)濟(jì)的安全措施，盡管它只提供基本的安全防范措施，但它以物美價廉吸引了大量的用戶。高性能服務(wù)器或PC機(jī)作為代理服務(wù)器使用時，只需添加一塊網(wǎng)卡和相應(yīng)的成本。當(dāng)然一定要在對安全要求較低的情況下使用，否則會得不償失。

2. 普通型。采取路由器可以提供較好的安全防范措施，路由器除了具有路由功能外，還可提供大部分的安全防范措施。在與Internet連接時，如果網(wǎng)絡(luò)服務(wù)供應(yīng)商(ISP)提供的是DDN接入，則只能用路由器作為接人設(shè)備;在預(yù)留有備份線路接人Internet時，也只能采用路由器; Internet上用戶利用VPN技術(shù)需要拔入網(wǎng)絡(luò)時，只能用路由器?？傊酚善鞯墓δ苁呛苋娴模瞧渌O(shè)備所無法代替的。有特殊要求時選用路由器是合適的方案。

3. 安全第一型。防火墻是專業(yè)的安全防范設(shè)備，可以應(yīng)對各種網(wǎng)絡(luò)人侵行為，對網(wǎng)絡(luò)提供高級別的安全方案。對于“安全第一”的用戶需要，是合適的選擇。當(dāng)然也可以與路由器配合使用。

4. 其它方面的安全考慮。結(jié)構(gòu)化綜合布線和網(wǎng)絡(luò)安全設(shè)備提供了網(wǎng)絡(luò)的物理結(jié)構(gòu)安全，但同時還要保證網(wǎng)絡(luò)中服務(wù)器等應(yīng)用設(shè)備的安全運行，這樣才能提供真正安全的網(wǎng)絡(luò)。

核心數(shù)據(jù)庫的安全、高效運行可通過雙機(jī)勢備或網(wǎng)絡(luò)負(fù)截平衡不保證，盡管費用較高相對于安全而言這樣的費用是值得的，該技術(shù)的合理性便它得到了廣泛地應(yīng)用和推廣。

計算機(jī)病毒防范、災(zāi)難恢復(fù)、環(huán)境安全(機(jī)房防火、防靜電、通風(fēng)等)、媒體安全(磁帶等)、不間斷電源供應(yīng)等等方面，盡管相對來說沒有雙網(wǎng)隔離和網(wǎng)絡(luò)安全設(shè)備那么重要，但同樣不應(yīng)當(dāng)忽略。

三、結(jié)束語

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)永恒的主題。任何網(wǎng)絡(luò)都不是絕對安全的。威脅可以來自各個方面，甚至包括自己網(wǎng)絡(luò)內(nèi)部，尋求絕對安全的網(wǎng)絡(luò)是不現(xiàn)實的，只有相對安全的網(wǎng)絡(luò)才是真實的;同樣現(xiàn)在安全的網(wǎng)絡(luò)，不等于將來也安全，所以探索是沒有盡頭的，應(yīng)當(dāng)不斷地探索、更新，尋求更好的網(wǎng)絡(luò)安全技術(shù)。