楊 博

（聊城日報社，山東 聊城252000）

1 中小企業(yè)網(wǎng)絡安全概述

隨著信息高度共享，信息化程度不斷提高，給企業(yè)帶來了諸多便利的同時，網(wǎng)絡安全問題日趨嚴重，由外網(wǎng)迅速延伸至內(nèi)網(wǎng)。從近來病毒發(fā)作的情況來看，病毒的攻擊目標沒有特定性，而且越來越隱蔽，如不提前防范，一旦被襲，網(wǎng)絡阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等，無疑將給企業(yè)業(yè)務帶來巨大的經(jīng)濟損失。

2 中小企業(yè)網(wǎng)絡安全解決方案

2.1 訪問控制解決方案

網(wǎng)絡的拓撲結(jié)構(gòu)是否合理是決定網(wǎng)絡安全的重要環(huán)節(jié)，不同的目的子網(wǎng)的要求，有不同的網(wǎng)絡設計。把具有相同安全目的的主機劃分在同一子網(wǎng)之內(nèi)，區(qū)別不同的安全水平。只有更好地考慮這些因素，將網(wǎng)絡結(jié)構(gòu)存在的安全隱患將至最低。

2.1.1 安全物理隔離

內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接連接是不安全的。只要是內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接鏈接，無論通過什么樣的手段，肯定存在著被黑客攻擊的可能。

因此，從安全角度來考慮，應該對企業(yè)計算機內(nèi)網(wǎng)與企業(yè)計算機網(wǎng)絡外網(wǎng)之間架設一道物理屏蔽，對內(nèi)部網(wǎng)絡中需要上因特網(wǎng)的用戶機器安裝物理隔離卡，從而保證內(nèi)部信息不被泄露。

2.1.2 配備防火墻

網(wǎng)絡安全最經(jīng)濟，安全最有效措施就是防火墻。防火墻通過制定嚴格的安全策略來實施內(nèi)部和外部網(wǎng)絡區(qū)域之間的隔離和訪問控制，單向或雙向控制的實現(xiàn)是通過各種信任的網(wǎng)絡和防火墻，可根據(jù)時間、流量的訪問控制，過濾一些不安全服務。

2.2網(wǎng)絡系統(tǒng)解決方案

2.2.1 網(wǎng)絡操作系統(tǒng)安全

使用更高版本的網(wǎng)絡操作系統(tǒng)，使一些不常用，不安全的應用程序和端口處于關閉狀態(tài)。對于一些保存了用戶信息和使用密鑰的文件嚴格限制，加強密碼的安全水平，并及時修補系統(tǒng)漏洞補丁，不對外公開系統(tǒng)內(nèi)部的使用情況。

2.2.2 應用系統(tǒng)安全

應用服務器盡量不要打開一些不經(jīng)常使用的協(xié)議和協(xié)定窗口。作為檔案服務和E-mail服務器的應用系統(tǒng)等，可關閉HTTP、FTP、遠程登錄服務等不常用協(xié)議。還有就是加強登錄時的密碼強度。管理者限制登陸者操作權(quán)限，限制在最小的范圍內(nèi)。

2.3 入侵檢測解決方案

在核心交換機監(jiān)控端口部署CA入侵檢測系統(tǒng)，并在不同網(wǎng)段（本地或遠程）上安裝由中央工作站控制的網(wǎng)絡入侵檢測代理，對網(wǎng)絡入侵進行檢測和響應。

入侵檢測系統(tǒng)實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，以動態(tài)圖形方式展現(xiàn)出來，使管理員能夠時刻掌握當前內(nèi)外網(wǎng)之間正在進行的連接和訪問情況；運用協(xié)議分析和模式匹配方法，可以有效地識別各種網(wǎng)絡攻擊和異常現(xiàn)象，如拒絕服務攻擊，非授權(quán)訪問嘗試，預攻擊探測等；當攻擊發(fā)生時，可根據(jù)管理員的配置以多種方式發(fā)出實時報警；對于嚴重的網(wǎng)絡入侵事件，也可由入侵檢測引擎直接發(fā)出阻斷信號切斷發(fā)生攻擊的連接，還可以動態(tài)地調(diào)整防火墻的防護策略，使得防火墻成為一個動態(tài)的智能的防護體系。

2.4 網(wǎng)絡防病毒解決方案

量衡反病毒技術是基于計算機病毒功能來判斷技術來確定病毒的類型。計算機防病毒技術在分析病毒代碼的基礎上，制定了刪除病毒程序并恢復原始文件的軟件。反病毒的具體實現(xiàn)方法包括網(wǎng)絡服務器、文件、E-mail等工作站技術進行頻繁掃描和監(jiān)測。一旦發(fā)現(xiàn)和病毒代碼庫匹配病毒代碼，反病毒程序?qū)⒉扇∠鄳胧?，防止病毒進入網(wǎng)絡相互傳播。防病毒系統(tǒng)可以防止病毒侵權(quán)使用。但是，新的病毒會隨著時間的推移不斷出現(xiàn)。這就需要及時通過互聯(lián)網(wǎng)或防病毒系統(tǒng)更新等手段安全管理員或用戶升級。一般中小型企業(yè)大都采用Windows服務器的操作系統(tǒng)根據(jù)國內(nèi)外各種網(wǎng)上的反病毒軟件的綜合比較，所以本文建議采用Symantec公司Symantec系列產(chǎn)品。

2.5 數(shù)據(jù)備份和恢復安全解決方案

備份和恢復系統(tǒng)存在的目的，是盡快分發(fā)給計算機系統(tǒng)整體必要的數(shù)據(jù)和系統(tǒng)信息。備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為錯誤時起到保護，在黑客的網(wǎng)絡攻擊時起到保護作用，也同時作為一個系統(tǒng)崩潰恢復的先決條件。

這個解決方案我們使用Symantec Ghost，Ghost備份和恢復系統(tǒng)具有以下功能：備份數(shù)據(jù)的完整性，并要備份介質(zhì)的管理技巧。支持多個備份，定期自動備份，還可以設置備份自動啟動和停止為多個文件的格式備份，支持多種日期標定方法，以保證備份的正確性，提供在線數(shù)據(jù)備份功能；支持RAID的容錯技術和圖像備份功能。

3 總結(jié)

網(wǎng)絡技術的飛速發(fā)展，極大地改變了人們的生活方式，中小企業(yè)在享受網(wǎng)絡技術帶來好處的同時，也面臨著日益突出的安全問題。網(wǎng)絡安全防護是一個綜合性的工程，無論采取何種措施，安全總是相對的，因而作為網(wǎng)絡安全管理員，應隨網(wǎng)絡安全狀況及安全需求的變化，適度的調(diào)整安全策略，這樣才能做到有的放矢。

［1］朱衛(wèi)東.計算機安全基礎教程[M].北京大學出版社，2009，9.

［2］肖松嶺.網(wǎng)絡安全技術內(nèi)幕[M].科學出版社，2008.

［3］李彥軍.基于中小企業(yè)網(wǎng)絡安全的防火墻配置艇略[J].太原大學學報，2006.

［4］網(wǎng)絡安全[OL].http://sec.chinabyte.com/.

［5］杜向文.中小企業(yè)的網(wǎng)絡安全[J].計算機安全,2006(8).