摘要：改革開放以來，中國經(jīng)濟迅速騰飛，科技水平跟著飛快進步，特別是網(wǎng)絡技術(shù)的應用，已經(jīng)遍及各行各業(yè)。中小型企業(yè)是中國經(jīng)濟的重要支撐者，保障企業(yè)信息網(wǎng)絡安全是一切工作順利展開的前提，本文主要對中小型企業(yè)信息網(wǎng)絡安全的架構(gòu)進行了研究。

關(guān)鍵詞：中小企業(yè)；網(wǎng)絡安全；企業(yè)網(wǎng)絡；架構(gòu)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 20-0000-02

1 中小型企業(yè)網(wǎng)絡安全

1.1 中小型企業(yè)網(wǎng)絡安全概念。國際組織（ISO）對網(wǎng)絡安全規(guī)定為在網(wǎng)絡間進行數(shù)據(jù)處理系統(tǒng)建立是所采取的相應的安全技術(shù)，這些技術(shù)可以對網(wǎng)絡進行時時監(jiān)控和安全，并保證不讓任何人使用的程序通過網(wǎng)絡來進行計算機，并始終通過網(wǎng)絡有效的保證計算機算硬件的安全，不通過網(wǎng)絡泄露個人或者企業(yè)等單位的秘密。以此我們可以這樣理解中小型企業(yè)網(wǎng)絡安全為是通過采用各種高科技技術(shù)和一定的管理措施，使的中小企業(yè)網(wǎng)絡系統(tǒng)能夠進行正常運作，進而來保證中小企業(yè)網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。

1.2 中小型企業(yè)網(wǎng)絡職能。一個安全的中小企業(yè)網(wǎng)絡職能應該是具有一定的可靠性、可用性、完整性、保密性和真實性等的。中小企業(yè)網(wǎng)絡的安全不僅要保護企業(yè)內(nèi)部的計算機網(wǎng)絡設備的安全和計算機網(wǎng)絡系統(tǒng)安全，更重要的是要對企業(yè)數(shù)據(jù)安全的保護。所以對于一個中小型企業(yè)來說網(wǎng)絡安全最終的職能就是保護企業(yè)重要的信息數(shù)據(jù)。

2 中小型企業(yè)信息網(wǎng)絡安全的困惑

2.1 中小企業(yè)信息網(wǎng)絡操作系統(tǒng)安全的困惑。中小型企業(yè)經(jīng)常出現(xiàn)的困惑就是針對信息網(wǎng)絡操作時出現(xiàn)的安全困惑，所謂中小型企業(yè)信息網(wǎng)絡操作系統(tǒng)安全就是指通常是指進行信息網(wǎng)絡操作系統(tǒng)的安全。操作系統(tǒng)的某一合法用戶可任意運行一段程序來修改該用戶擁有的文件訪問控制信息，而操作系統(tǒng)無法區(qū)別這種修改是用戶自己的合法操作還是計算機病毒的非法操作；另外，也沒有什么一般的方法能夠防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。為此，中小型企業(yè)認識到必須采取更強有力的訪問控制手段，這就是強制訪問控制。在強制訪問控制中，系統(tǒng)對主體與客體都分配一個特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。中小型企業(yè)為某個目的而運行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強制訪問控制還可以阻止某個進程生成共享文件并通過這個共享文件向其它進程傳遞信息。目前來說中小型企業(yè)的信息網(wǎng)絡操作系統(tǒng)多為Windows和UNIX操作系統(tǒng)，這些操作系統(tǒng)本身就有自身的網(wǎng)絡安全漏洞，因為操作系統(tǒng)本身都是有后門的，而這些后門和安全漏洞都將存在重大的信息網(wǎng)絡安全隱患，造成中小企業(yè)信息網(wǎng)絡的安全困惑。所以這就要求在進行中小型企業(yè)信息網(wǎng)絡系統(tǒng)安裝時，不只要考慮到企業(yè)的自身需求，更多的時候要考慮到中小型企業(yè)的信息網(wǎng)絡安全，不能因為系統(tǒng)的安裝造成過大的中小型企業(yè)信息安全的困惑。

2.2 中小企業(yè)信息網(wǎng)絡應用安全的困惑?，F(xiàn)階段我國的中小型企業(yè)網(wǎng)絡安全應用僅網(wǎng)絡系統(tǒng)就存在很大的安全隱患，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。目前，實施的安全方案是基于當時的認識進行的，主要工作集中于網(wǎng)絡安全，對于系統(tǒng)和應用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證，對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡內(nèi)部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的。針對外部網(wǎng)絡安全，人們提出了內(nèi)部網(wǎng)絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡訪問服務器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。美國聯(lián)邦調(diào)查局（FBI）和計算機安全機構(gòu)（CSI）等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞。信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務。不能充分發(fā)揮安全產(chǎn)品的效能。

2.3 中小企業(yè)信息網(wǎng)絡管理安全的困惑。中小型企業(yè)信息網(wǎng)絡管理方面存在的安全困惑主要包括了，中小型企業(yè)的內(nèi)部管理人員們或者是員工們圖方便省事，對自身的計算機不進行密碼的設置，沒用自己的用戶口令，或者是有些管理者和員工設置的密碼和口令過短或者是過于簡單，這樣就導致密碼和口令很容易被破解，這樣來當出現(xiàn)了信息網(wǎng)絡的安全問題時，容易責任不清，并且很難一下就找到問題出現(xiàn)的計算機，因為整個公司都使用相同的用戶名和口令，使得整體信息網(wǎng)絡的管理出現(xiàn)嚴重的混亂，并且容易出現(xiàn)企業(yè)重要信息的泄密。進行中小型企業(yè)信息網(wǎng)絡管理是信息網(wǎng)絡安全的重要組成部分，是能保證中小型企業(yè)信息網(wǎng)絡安全的重要組成部分，是可以對外來病毒進行防止的重要環(huán)節(jié)，是中小型企業(yè)內(nèi)部信息網(wǎng)絡不被入侵必須的部分。也是中小型企業(yè)信息網(wǎng)絡暗中的管理困惑，是普遍中小型企業(yè)都會存在的困惑之一。

3 如何進行中小型企業(yè)信息網(wǎng)絡安全的架構(gòu)

3.1 中小型企業(yè)信息網(wǎng)絡安全架構(gòu)Internet的接入。中小型企業(yè)信息網(wǎng)絡安全構(gòu)架中Internet的接入，多是采用了PIX515作為外部邊緣得防火墻設備，中小型企業(yè)內(nèi)部的用戶登錄則是通過互聯(lián)網(wǎng)時會經(jīng)過NetEye防火墻，然后再由PIX映射到互聯(lián)網(wǎng)。PIX與NetEye之間形成了DMZ映射區(qū)，這是一種需要進行提供互聯(lián)網(wǎng)服務的郵件服務和Web服務器等防止在該DMZ區(qū)內(nèi)。中小型企業(yè)進行此防火墻的安全策略步驟是：首先要從Internet上設置只能訪問到DMZ內(nèi)Web服務器的80端口和郵件服務器的25端口，其次，則是要從Internet和DMZ區(qū)設定出不能進行訪問內(nèi)部網(wǎng)任何資源，最后則是要從Internet進行訪問內(nèi)部網(wǎng)資源的時候只能通過VPN系統(tǒng)進行。

3.2 中小型企業(yè)信息網(wǎng)絡安全架構(gòu)用戶的認證。中小型企業(yè)信息網(wǎng)絡安全架構(gòu)的用戶認證系統(tǒng)主要就是用于解決通過電話進行撥號時出現(xiàn)的安全問題和通過VPN進行接入時出現(xiàn)的安全問題，信息網(wǎng)絡安全架構(gòu)的用戶認證系統(tǒng)是目前為止運用最為完善的系統(tǒng)用戶認證系統(tǒng)、訪問控制系統(tǒng)和使用審計系統(tǒng)方面的功能來增強信息網(wǎng)絡系統(tǒng)的安全性，并采用了目前為止最為高端的ACS用戶認證系統(tǒng)。中小型企業(yè)的ERP系統(tǒng)一般采用C/S（客戶機/服務器）體系結(jié)構(gòu)，架構(gòu)于企業(yè)內(nèi)網(wǎng)Intranet上。通常，VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸；VPN還可用于不斷增長的移動用戶的全球互聯(lián)網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路。在信息網(wǎng)絡的主域服務器上安裝Radius服務器，在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。這樣當任何人進行電話撥號和VPN用戶身份認證時，就會在Radius的服務器上直接進行，這樣一來用戶賬號就會集中的在主域服務器上進行開設。這樣做就可以在系統(tǒng)中設置較為嚴格的用戶訪問策略和口令策略，能有效的強制使用用戶進行定期的口令修改。

綜上所述，中小型企業(yè)信息網(wǎng)絡安全保障是開展其它一切業(yè)務往來與技術(shù)交流的關(guān)鍵，要想企業(yè)長足發(fā)展，必須重視信息網(wǎng)絡安全的構(gòu)建。

參考文獻：

[1]安德森.信息安全工程[M].齊寧，韓智文，劉國萍.北京：清華大學出版社，2012.

[2]胡愛群，宋宇波，蔣睿.企業(yè)信息網(wǎng)絡安全[M].武漢：華中科技大學出版社，2011.