摘 要：計算機網(wǎng)絡(luò)系統(tǒng)安全是當前社會議論的熱點，它對于企業(yè)未來的發(fā)展有著非常大的影響?；诖?，本文從網(wǎng)絡(luò)安全現(xiàn)狀與常見威脅出發(fā)，重點分析了網(wǎng)絡(luò)安全結(jié)構(gòu)，以期能夠?qū)ζ髽I(yè)信息安全建言獻策。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；安全；VLAN

中圖分類號：TP393.08

伴隨著我國網(wǎng)絡(luò)普及率的不斷提高，網(wǎng)絡(luò)安全問題已經(jīng)成為當前社會議論的熱點。計算機網(wǎng)絡(luò)安全已經(jīng)不再是關(guān)乎到企業(yè)經(jīng)營利益，更重要的是關(guān)乎到國家未來發(fā)展的安全與穩(wěn)定。所以現(xiàn)代社會網(wǎng)絡(luò)安全問題將是未來最重要的安全性問題，必須要整個社會共同努力，全面提高安全防護措施。

1 網(wǎng)絡(luò)安全現(xiàn)狀與常見威脅分析

（1）企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析。就目前形勢來看，國內(nèi)企業(yè)數(shù)據(jù)信息安全很多樂觀，特別是在信息網(wǎng)絡(luò)安全方面、網(wǎng)絡(luò)安全技術(shù)人才方面、企業(yè)內(nèi)部員工網(wǎng)絡(luò)安全防護意識方面均存在著較大問題。更有甚者，一些企業(yè)領(lǐng)導認為像防火墻此類的安全防護軟件可有可無。殊不知，網(wǎng)絡(luò)安全體系的構(gòu)建是一項長期的工作，只有在關(guān)鍵時刻才能夠顯示其最大的價值。

（2）企業(yè)網(wǎng)絡(luò)面臨的安全威脅。第一，自然威脅與無意失誤。所謂自然威脅即是指因自然災害所導致的企業(yè)數(shù)據(jù)丟失，這種網(wǎng)絡(luò)威脅是不可避免的。無意失誤顧名思義就是指由于企業(yè)內(nèi)部安全管理人員的誤操作所導致的企業(yè)機密信息丟失或者泄露。企業(yè)網(wǎng)絡(luò)管理員在進行網(wǎng)絡(luò)安全配置時，由于網(wǎng)絡(luò)安全設(shè)置不當，導致用戶口令較為容易破解。第二，非授權(quán)訪問。所謂非授權(quán)訪問是指通過編寫各種木馬病毒或者通過調(diào)整計算機程序入侵其他用戶的網(wǎng)絡(luò)，或者以非法未授權(quán)的方式訪問其他用戶系統(tǒng)文件。有些黑客會通過一些非法手段，肆意擴大訪問權(quán)限或者以虛假身份進入他人計算機網(wǎng)絡(luò)進行各種數(shù)據(jù)信息的讀取。第三，木馬程序及后門。這種威脅主要是指利用遠程控制手段，對他人計算機程序進行非常隱蔽或者未授權(quán)方式的讀取。如果企業(yè)的某臺計算機被非法安裝了木馬程序或者后門，那么該計算機上的各種機密信息就極有可能被黑客竊取。譬如該計算機上輸入的各種密碼，相互交換的各種數(shù)據(jù)信息，均會通過非法程序向黑客直接發(fā)送?，F(xiàn)階段這種遠程控制方式非常普遍，也是黑客竊取他人信息的主要手段之一。第四，計算機病毒。這種網(wǎng)絡(luò)威脅方式通常情況下均是由不法分子直接在計算機程序中安裝破壞計算機功能，竊取計算機數(shù)據(jù)而安裝的。計算機病毒的出現(xiàn)肯定會對該計算機系統(tǒng)的運行產(chǎn)生一定的影響，它既能夠自我復制計算機指令來控制計算機，同時也能夠在該系統(tǒng)中寄生更多的病毒。一般情況下，計算機一旦被病毒感染之后，均會出現(xiàn)藍屏、自動重啟、卡機等問題，而且會在非常短的時間之內(nèi)致使整個計算機系統(tǒng)癱瘓，給企業(yè)帶來非常慘重的損失。

2 網(wǎng)絡(luò)安全體系研究

關(guān)于網(wǎng)絡(luò)安全體系的實施過程，其實施前提是系統(tǒng)已經(jīng)部署了較為完善的安全產(chǎn)品，如計算機防入侵檢測系統(tǒng)、網(wǎng)絡(luò)防火墻系統(tǒng)、計算機防病毒軟件、VPN以及相關(guān)的安全認證等。對于各種類型的安全產(chǎn)品集成的有機體系與系統(tǒng)動態(tài)的安全策略是一致性的，其維護是對網(wǎng)絡(luò)安全體系進行構(gòu)架的關(guān)鍵因素。系統(tǒng)安全的策略拓展的時效性，則是為了實現(xiàn)系統(tǒng)安全目標的必要條件。

（1）互操作性。對于各個服務(wù)都必須遵循的基本安全策略工作時，就是為了解決系統(tǒng)互操作性的關(guān)鍵要素。也就是說系統(tǒng)安全策略必須保證其各個服務(wù)都遵循一致。此外，對于某些服務(wù)的活動范圍其依據(jù)并不是直接來源于系統(tǒng)安全策略，而是出于服務(wù)間的聯(lián)動規(guī)則。所以說針對此類系統(tǒng)控制中心必須能夠及時的實現(xiàn)這種聯(lián)動規(guī)則。

（2）可管理性。對于一個設(shè)計良好的可靠地信息安全集成管理平臺來說，其應(yīng)該能夠從管理技術(shù)和管理策略上保證系統(tǒng)的安全策略能夠得到更好更整準確地實現(xiàn)，進而促使對安全需求方面能夠更加全面準確地得到滿足。這即包括了確定必需的安全服務(wù)也包含了對安全機制與技術(shù)管理方面的要求，從而實現(xiàn)網(wǎng)絡(luò)安全體系在系統(tǒng)中的合理部署與配置。

（3）可擴展性。關(guān)于網(wǎng)絡(luò)安全體系集成可擴展性的要求是：對于每種新投入的安全服務(wù)或安全設(shè)備，或者新型的網(wǎng)絡(luò)安全技術(shù)的使用，系統(tǒng)可接納其無縫集成運行到系統(tǒng)中無需對操作本身作修改，或只作較少配置改動。

3 網(wǎng)絡(luò)安全設(shè)計結(jié)構(gòu)

依據(jù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)，安全防御策略應(yīng)是全方位和動態(tài)縱深的，對網(wǎng)絡(luò)實行分層、分級以及實時防護，對于網(wǎng)絡(luò)中的特定的安全漏洞能夠及時評估和發(fā)現(xiàn)，對于各種網(wǎng)絡(luò)的侵入行為實時監(jiān)測并能依據(jù)監(jiān)測結(jié)果預警，甚至是遭受攻擊時，自發(fā)地發(fā)出報警信號、處理措施；這樣就使得在惡意入侵某一層安全防御措施后，能被后續(xù)的應(yīng)急措施阻攔，確保系統(tǒng)的最大程度安全。

（1）VLAN的網(wǎng)絡(luò)分割。在以太網(wǎng)發(fā)展的過程中，出現(xiàn)了廣播相關(guān)的技術(shù)問題以及安全性問題，為了解決這個問題，人們提出了VLAN協(xié)議。這個協(xié)議的原理是，在傳統(tǒng)以太網(wǎng)幀上增加了VLAN頭，通過這樣的VLAN ID將網(wǎng)絡(luò)上的計算機分為相對獨立的工作組，而不同組之間的計算機不能進行直接互相訪問，每個VLAN就是一個虛擬局域網(wǎng)，這樣使得技能限制廣播的范圍，并能夠組成虛擬的工作組，VLAN之間的互相訪問則需要有協(xié)議中的授權(quán)進行信息交換。為了防止敏感資源的泄露以及廣播信息的泛濫，在0層交換機的集中式網(wǎng)絡(luò)環(huán)境中，將網(wǎng)絡(luò)中的所有客戶計算機和服務(wù)器分別分配到不同的VLAN中，而在相對獨立的VLAN中，用戶通過設(shè)置IP來進行與服務(wù)器之間的互相ping是被禁止的，同樣也需要禁止用戶計算機對服務(wù)器相關(guān)數(shù)據(jù)資源的寫入，只允許相關(guān)數(shù)據(jù)的讀出，通過這樣的協(xié)議機制，能夠更好地保護主機資源和服務(wù)器中的敏感信息。而在實際應(yīng)用中，企業(yè)的部門位置有些分散，有些交叉重疊、不易分離，我們通過三層交換機網(wǎng)絡(luò)，經(jīng)過VLAN的相關(guān)劃分，實現(xiàn)部門都有各自獨有的VLAN，既方便了互相訪問，有保證了信息的安全。

（2）MAC地址綁定。這樣的綁定是通過0層交換機，在其安全控制列表中，使得計算機的MAC地址和交換機上的端口進行捆綁，由于MAC地址是網(wǎng)絡(luò)適配卡的網(wǎng)絡(luò)身份標識，通過這樣的綁定，可以有效防止未注冊的非法計算機訪問網(wǎng)絡(luò)，這也就是物理層面的安全防御。同樣，我們也可以使用內(nèi)部網(wǎng)絡(luò)的安全管理系統(tǒng)，統(tǒng)籌分配網(wǎng)絡(luò)中的硬件資源。

（3）防火墻配置。上述我們講述了VLAN將網(wǎng)絡(luò)劃分為獨立的VLAN網(wǎng)絡(luò)，而在這些網(wǎng)絡(luò)之間，需要我們使用特定的軟件或硬件系統(tǒng)，來保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的相對隔離防護，也即防火墻的配置。本文則是采用硬件防火墻方式，是通過控制特定的數(shù)據(jù)通訊的是否與許出入來實現(xiàn)的，這是通過訪問控制策略來決定一個數(shù)據(jù)的出入是否被允許的。

對于一個網(wǎng)絡(luò)，在保證安全性的同時，也要考慮信息通信的運行速度以及經(jīng)濟性等問題，因此在防火墻配置的軟硬件選型中，要選用符合相關(guān)保密要求的國產(chǎn)防火墻，從而有效防止外部用戶的非法訪問，而為了充分的保證網(wǎng)絡(luò)安全，可以配置1套備份防火墻，在其中一臺出現(xiàn)問題時，另一臺迅速啟動，以達到無縫保護網(wǎng)絡(luò)安全。而當今的防火墻訪問控制策略有如下幾種所示：所有往復數(shù)據(jù)均需經(jīng)過防火墻的過濾與監(jiān)測；符合安全策略的數(shù)據(jù)包才能經(jīng)防火墻過濾而通過；服務(wù)器訪問互聯(lián)網(wǎng)不能直接通行；防火墻本身作為一個系統(tǒng)，也要有抵御非法訪問以及攻擊的功能；在沒經(jīng)設(shè)置的情況下，默認禁止各種網(wǎng)絡(luò)服務(wù)，除非是客戶計算機等發(fā)起的或者必須服務(wù)，而需要網(wǎng)絡(luò)開放特殊端口的特定服務(wù)要經(jīng)過系統(tǒng)管理員的允許。

（4）入侵檢測系統(tǒng)的部署。傳統(tǒng)的網(wǎng)絡(luò)安全防御方法還不足以滿足當今的網(wǎng)絡(luò)安全要求，新的防御技術(shù)應(yīng)運而生，入侵檢測技術(shù)就是其中一種，它能夠很好的彌補防火墻的不足，有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對網(wǎng)絡(luò)安全能夠進行全方位的保護，并且具有了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)所不具備的主動性，在提供實時監(jiān)測的同時，并根據(jù)特定的網(wǎng)絡(luò)安全情況來采取相應(yīng)的手段。相對于防火墻的部署位置，入侵監(jiān)測是部署在網(wǎng)絡(luò)的旁路中，不必像防火墻那樣對所有出入網(wǎng)絡(luò)的信息進行訪問控制，不會影響整個網(wǎng)絡(luò)的整體性能；在對全部網(wǎng)絡(luò)的內(nèi)容進行入侵檢測和判斷，并對分析歷史進行記錄，以利于事故追憶和系統(tǒng)恢復，并斷開特定的網(wǎng)絡(luò)鏈接等。

（5）身份認證。網(wǎng)絡(luò)通信的最終目的是為了提供網(wǎng)絡(luò)上計算機之間的數(shù)據(jù)通信和數(shù)據(jù)交換，而身份認證正是基于對通信雙方進行身份的確認，保證每次通信雙方的信息安全。當前比較常用的通信身份認證技術(shù)有：靜態(tài)密碼、智能卡、USB Key和動態(tài)口令等，得到普遍應(yīng)用的是用戶名和靜態(tài)密碼的方式；本文中我們使用USB Key方法，這種方法是基于軟硬件認證技術(shù)，在保證安全性的同時，也保證了易用性。這種該設(shè)備內(nèi)部有微機芯片，存放有用戶特定的密鑰或者數(shù)字證書，通過其內(nèi)置的密碼算法來達到用戶的身份認證的目的，這樣的身份認證系統(tǒng)有兩種認證方法：一是基于沖擊響應(yīng)的模式，二是基于PKI體系的認證模式。

（6）內(nèi)網(wǎng)安全管理。傳統(tǒng)的安全防御理念，重點集中在常規(guī)的漏洞掃描、入網(wǎng)檢測等方面，重要的安全設(shè)備雖然集中在機房中，處在層層的保衛(wèi)中，來自網(wǎng)絡(luò)外部的安全威脅大大的縮小了，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻相對比較突出，這也是由于內(nèi)網(wǎng)頻頻出現(xiàn)的違規(guī)安裝軟件，私自撥號上網(wǎng)以及私自接入其他非法計算機等情況使得內(nèi)網(wǎng)網(wǎng)絡(luò)問題頻頻出現(xiàn)，危及網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)管理員相應(yīng)的需要從準入控制管理以及信息訪問控制等六大功能體系出發(fā)，來有效地解決出現(xiàn)的問題。

（7）數(shù)據(jù)備份與恢復。為了防止數(shù)據(jù)丟失，造成重要數(shù)據(jù)的無法挽回，網(wǎng)絡(luò)系統(tǒng)需要經(jīng)常性的進行數(shù)據(jù)備份，把特定的數(shù)據(jù)轉(zhuǎn)存到目的介質(zhì)中。這樣，即使整個網(wǎng)絡(luò)系統(tǒng)崩潰，數(shù)據(jù)部分或全部丟失，數(shù)據(jù)也能恢復到備份時的狀態(tài)。

本文中的網(wǎng)絡(luò)體系的構(gòu)建，在集中式網(wǎng)絡(luò)管理工具對系統(tǒng)數(shù)據(jù)進行備份，通過內(nèi)部網(wǎng)路管理系統(tǒng)對其進行統(tǒng)一管理，用專門管理備份數(shù)據(jù)的服務(wù)器監(jiān)控相應(yīng)的備份作業(yè)，這樣使得系統(tǒng)的備份數(shù)據(jù)能夠統(tǒng)一集中的備份到統(tǒng)一磁盤陣列上。而對于網(wǎng)絡(luò)數(shù)據(jù)的備份，實現(xiàn)的方式主要有以下幾種：采用自動增量備份，使得系統(tǒng)管理員的工作量得到相應(yīng)的降低；制定數(shù)據(jù)備份日程，按照計劃進行備份；全面地備份存儲介質(zhì)的物理管理，一定程度上避免讀寫時的誤操作；對備份后的數(shù)據(jù)所在的存儲介質(zhì)，通過合理的分類存放，使得保存科學可靠；在備份服務(wù)器為核心的備份系統(tǒng)中，對各種備份數(shù)據(jù)統(tǒng)籌管理，合理分配資源，實時監(jiān)控，實現(xiàn)分布式存放，集中式管理，既提高了存儲的可靠性，又保證了存取的快速性。

4 結(jié)束語

企業(yè)計算機網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個非常復雜的系統(tǒng)工程，它涉及到多個學科的內(nèi)容，同時也需要企業(yè)各個部門的相互協(xié)調(diào)配合。只有企業(yè)自身重視數(shù)據(jù)信息保護，制定相對完善的數(shù)據(jù)信息安全保護制度，才能夠從根本上實現(xiàn)企業(yè)機密信息的絕對安全。在今后的工作中，筆者將繼續(xù)致力于該領(lǐng)域的研究工作，以期能夠獲得更多有價值的研究成果。

參考文獻：

[1]魏昱曈.如何解決計算機網(wǎng)絡(luò)系統(tǒng)的安全問題[J].電子制作，2013（07）：134-135.

[2]趙健.淺析計算機網(wǎng)絡(luò)系統(tǒng)的安全[J].青春歲月，2011（12）：362.

作者簡介：周俊峰（1972.09-），男，碩士研究生，講師，研究方向：計算機、電子商務(wù)。

作者單位：蘭州職業(yè)技術(shù)學院，蘭州 730070