◆閆曉蔚

（潞安集團(tuán)煤炭運(yùn)銷總公司 山西 046204）

企業(yè)內(nèi)網(wǎng)安全防范設(shè)計(jì)方案

◆閆曉蔚

（潞安集團(tuán)煤炭運(yùn)銷總公司 山西 046204）

由于目前計(jì)算機(jī)信息技術(shù)的發(fā)展和經(jīng)濟(jì)全球化水平的快速進(jìn)行，信息全球化越來越成為現(xiàn)在社會(huì)發(fā)展的重點(diǎn)。在最近幾年的發(fā)展中，我國(guó)大多的企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)逐漸趨向于信息和資源的共同傳遞方面。隨著網(wǎng)絡(luò)運(yùn)行的快速發(fā)展，因?yàn)榫W(wǎng)絡(luò)運(yùn)行中存在著許多企業(yè)的重要內(nèi)部消息和資料，所以企業(yè)運(yùn)行中的網(wǎng)絡(luò)安全問題也就顯得越來越重要了。關(guān)于企業(yè)網(wǎng)絡(luò)安全方面的問題，每一個(gè)企業(yè)都要根據(jù)自身企業(yè)面臨的不同的問題來制定和研究出一系列的全面的網(wǎng)絡(luò)安全解決方案，以此來做到對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的信息進(jìn)行嚴(yán)格的安全保護(hù)。

企業(yè)網(wǎng)絡(luò)安全；方案；設(shè)計(jì)

0 引言

由于目前計(jì)算機(jī)信息技術(shù)的發(fā)展和經(jīng)濟(jì)全球化水平的快速進(jìn)行，信息全球化越來越成為現(xiàn)在社會(huì)發(fā)展的重點(diǎn)。但是在網(wǎng)絡(luò)進(jìn)步的同時(shí)，網(wǎng)絡(luò)環(huán)境的安全性所面臨的威脅和攻擊也不斷的增多，原本傳統(tǒng)的預(yù)防網(wǎng)絡(luò)不安全的基本措施已經(jīng)不能很好的維護(hù)如今的網(wǎng)絡(luò)系統(tǒng)安全，這使現(xiàn)代的網(wǎng)絡(luò)安全面臨很大的挑戰(zhàn)。為了迎合時(shí)代的進(jìn)步發(fā)展，目前大多數(shù)的企業(yè)都順應(yīng)時(shí)代的要求，做出了自己企業(yè)的網(wǎng)絡(luò)系統(tǒng)，在各個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)中都存放和記錄著許多的內(nèi)部不可泄露的信息資料，因此，在正常的傳輸運(yùn)送中如果不能有效的保護(hù)網(wǎng)絡(luò)的傳輸安全，就會(huì)很容易被不法分子竊取和盜用重要信息，給企業(yè)帶來許多不必要的麻煩和損害，所以，有效的保護(hù)網(wǎng)絡(luò)的傳輸安全成為現(xiàn)階段網(wǎng)絡(luò)正常運(yùn)行中不可缺少的一部分，我們要正視維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的重要性，對(duì)相關(guān)的傳輸系統(tǒng)、軟件和數(shù)據(jù)進(jìn)行安全防護(hù)，讓它能夠安全可靠的運(yùn)營(yíng)下去。

1 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

由于目前計(jì)算機(jī)信息技術(shù)的發(fā)展和經(jīng)濟(jì)全球化水平的快速進(jìn)行，信息全球化越來越成為現(xiàn)在社會(huì)發(fā)展的重點(diǎn)。在最近幾年的發(fā)展中，我國(guó)大多的企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)逐漸趨向于信息和資源的共同傳遞方面。現(xiàn)代企業(yè)網(wǎng)絡(luò)的快速發(fā)展為企業(yè)的正常工作帶來了諸多便利和優(yōu)點(diǎn)，還有，在目前計(jì)算機(jī)信息技術(shù)的發(fā)展和經(jīng)濟(jì)全球化水平的快速進(jìn)行的同時(shí)，網(wǎng)絡(luò)環(huán)境的安全性所面臨的威脅和攻擊也不斷的增多。相對(duì)于企業(yè)來說的話，如何在更好地利用網(wǎng)絡(luò)系統(tǒng)的優(yōu)點(diǎn)的同時(shí)，也可以在最大程度上對(duì)本企業(yè)的核心系統(tǒng)做到更好的保護(hù)，目前成為了大多數(shù)企業(yè)自身所面臨的主要困難。

一般情況下，一旦企業(yè)內(nèi)部網(wǎng)絡(luò)受到或大或小的安全性的沖擊，一般來講都是因?yàn)槠髽I(yè)外部人員或者企業(yè)內(nèi)部人員的故意、惡意攻擊和入侵等造成的。企業(yè)外部人員一般會(huì)植入各種病毒而達(dá)到獲取企業(yè)內(nèi)部的機(jī)密資料與信息的目的，這樣就可以獲得一定的報(bào)酬。如果對(duì)于企業(yè)的內(nèi)部人員來說，在開始對(duì)網(wǎng)絡(luò)攻擊時(shí)，輕易地就可以利用網(wǎng)絡(luò)中的小小漏洞或是其軟件漏洞對(duì)企業(yè)的網(wǎng)絡(luò)進(jìn)行破壞。另外的話，還存在另一些方法，比如通過使用假身份訪問或者冒充企業(yè)網(wǎng)絡(luò)的普通員工用戶等方法就可以進(jìn)行破壞企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性，進(jìn)一步對(duì)其系統(tǒng)的正常運(yùn)行達(dá)到威脅，就可以來阻止企業(yè)網(wǎng)絡(luò)系統(tǒng)的日常運(yùn)營(yíng)。

2 企業(yè)網(wǎng)絡(luò)安全需求

2.1 辦公網(wǎng)設(shè)備實(shí)體安全需求

企業(yè)辦公中平時(shí)用的網(wǎng)內(nèi)的專用設(shè)備就是路由器、交換機(jī)和接入設(shè)備。這些平時(shí)要用的機(jī)器設(shè)備在安全和日常的管理應(yīng)用上還有著很大的問題。在比較特殊的時(shí)候，一旦這些設(shè)備發(fā)生各種的問題，企業(yè)就會(huì)因?yàn)樵O(shè)備問題受到十分嚴(yán)重的打擊。在日常正常的工作情況中，企業(yè)辦公中使用的內(nèi)網(wǎng)的核心交換和服務(wù)器在同一機(jī)房中，一般來說大多數(shù)企業(yè)使用的后備電池的能夠儲(chǔ)存的電量較小，如果突然發(fā)生長(zhǎng)時(shí)間停電的情況，相關(guān)的機(jī)器設(shè)備和電腦就會(huì)立即停止工作。另外的話，一般的企業(yè)在對(duì)機(jī)器設(shè)備存放的機(jī)房還沒有一定的管理措施，機(jī)房的進(jìn)出不會(huì)有詳細(xì)的記錄，例如對(duì)設(shè)備房間的進(jìn)出還沒有人員方面的具體規(guī)定，交換機(jī)的使用規(guī)則也沒有詳細(xì)規(guī)定，對(duì)于配置交換機(jī)的重要地點(diǎn)還沒有在不使用的情況下進(jìn)行嚴(yán)格的控制措施等等。這些的比較人為方面的安全問題隨時(shí)都可能使企業(yè)的網(wǎng)絡(luò)出現(xiàn)問題，然后開始影響企業(yè)的正常的日常工作內(nèi)容，最壞的時(shí)候還會(huì)導(dǎo)致相關(guān)服務(wù)器的數(shù)據(jù)丟失或直接損壞，然后給企業(yè)帶來極大的危害。

2.2 個(gè)人辦公電腦系統(tǒng)安全需求

在正常情況下，企業(yè)中的重要的各種核心內(nèi)容都會(huì)存放在各個(gè)員工的日常公用的電腦當(dāng)中，這樣的話可以很好地便于日常工作的進(jìn)行，可以在很大程度上為工作帶來便利條件。不過同時(shí)，這也給企業(yè)的安全運(yùn)行帶來了極大的考驗(yàn)。正常情況下如果員工的個(gè)人電腦被黑掉或者遭受攻擊，就會(huì)很容易使企業(yè)中的核心內(nèi)容被竊取，讓企業(yè)本身處于被動(dòng)的地位，最近很受推廣的移動(dòng)的辦公方式一不留神就會(huì)發(fā)生這種不好的狀況。在這種挑戰(zhàn)下，對(duì)于企業(yè)存放有內(nèi)部信息的電腦就要被引起重視才對(duì)，對(duì)于電腦進(jìn)行合理的管理，做到切實(shí)的保護(hù)，這樣就可以在一定程度上為企業(yè)正常運(yùn)營(yíng)帶來幫助。另外一部分，針對(duì)員工的個(gè)人電腦，應(yīng)該設(shè)置自己的密碼，這樣就能夠在一定程度上避免公司內(nèi)部不良用心的人來盜取企業(yè)的重要核心的內(nèi)容。

2.3 病毒防護(hù)需求

由于目前計(jì)算機(jī)信息技術(shù)的發(fā)展和經(jīng)濟(jì)全球化水平的快速進(jìn)行，信息全球化越來越成為現(xiàn)在社會(huì)發(fā)展的重點(diǎn)，因此，同類別的關(guān)于計(jì)算機(jī)的病毒技術(shù)也在不斷快速進(jìn)行，病毒的可怕程度也開始不斷提高。所以，想要在一定程度上減少病毒對(duì)系統(tǒng)帶來的傷害，就要特別對(duì)企業(yè)中的計(jì)算機(jī)、各種重要用途的計(jì)算機(jī)裝上可靠的殺毒系統(tǒng)，保證系統(tǒng)的正常運(yùn)行。還要對(duì)計(jì)算機(jī)和企業(yè)內(nèi)部網(wǎng)絡(luò)開展一定程度的的病毒安全防護(hù)，這樣就可以確保企業(yè)或者整個(gè)網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的安全完整性，防止它受到病毒的攻擊，使企業(yè)能夠更好地進(jìn)行正常的工作。所以，我們必須要定期定時(shí)的對(duì)安全系統(tǒng)進(jìn)行更新檢測(cè)，保證其能夠正常的工作。另外還要加強(qiáng)管理相關(guān)員工對(duì)計(jì)算機(jī)進(jìn)行防病毒的管理工作的意識(shí)上的培訓(xùn)，更好的保護(hù)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。

3 企業(yè)網(wǎng)絡(luò)安全解決方案

3.1 物理安全

設(shè)備安全：

在中心機(jī)房和關(guān)鍵節(jié)點(diǎn)建立安全防護(hù)措施，建立準(zhǔn)入機(jī)制，在機(jī)房進(jìn)出口處設(shè)置門禁系統(tǒng)，有效控制確保非授權(quán)人員無法進(jìn)入。

機(jī)房建設(shè)要符合GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361-88《計(jì)算站場(chǎng)地安全要求》。

3.2 網(wǎng)絡(luò)安全

在企業(yè)內(nèi)網(wǎng)中合理劃分VLAN，并分配不同的權(quán)限，有效隔離保密的部門（例如財(cái)務(wù)、研發(fā)部門）網(wǎng)段，保證數(shù)據(jù)與信息的安全。

為了要有效的保障企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全，邊界防火墻可以很好的做到保障企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性作用。邊界防火墻一般存在于網(wǎng)絡(luò)核心交換與邊界路由器之間。邊界防火墻的一般情況下會(huì)給企業(yè)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間帶來一道比較安全的隔閡，在防火墻設(shè)置以后，防火墻會(huì)對(duì)于進(jìn)入系統(tǒng)內(nèi)部的一切東西進(jìn)行過濾和審查，在符合一定的條件后才會(huì)被允許進(jìn)入系統(tǒng)的內(nèi)部。企業(yè)中使用邊界防火墻可以有效地保證企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性，同時(shí)還可以對(duì)外部信息進(jìn)行監(jiān)控，對(duì)不合法的請(qǐng)求直接做到拒絕。

3.3 漏洞掃描

企業(yè)內(nèi)部網(wǎng)路是一個(gè)相對(duì)于比較安全和合理的系統(tǒng)，在使用過程中按照正確的方式就可以更好的保證企業(yè)系統(tǒng)的安全。開啟企業(yè)內(nèi)部網(wǎng)絡(luò)的漏洞掃描系統(tǒng)，就可以做到對(duì)網(wǎng)絡(luò)中存在的各種問題進(jìn)行及時(shí)的修復(fù)和彌補(bǔ)。

4 結(jié)語(yǔ)

想要企業(yè)在發(fā)展中更好的提升其市場(chǎng)競(jìng)爭(zhēng)力，就要在一定程度上保證企業(yè)網(wǎng)絡(luò)的絕對(duì)的安全。如不定期地對(duì)其進(jìn)行檢測(cè)管理，就可以更好地監(jiān)管企業(yè)網(wǎng)絡(luò)系統(tǒng)，控制其多方面的安全性。

[1]袁國(guó)強(qiáng).企業(yè)網(wǎng)絡(luò)安全整體解決方案的研究與應(yīng)用[D].大連理工大學(xué)，2003.

[2]高辰.基礎(chǔ)電信企業(yè)的網(wǎng)絡(luò)安全防護(hù)和風(fēng)險(xiǎn)評(píng)估方案設(shè)計(jì)與實(shí)施[D].北京郵電大學(xué)，2012.

[3]孔祥.縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)安全方案的設(shè)計(jì)與應(yīng)用[D].中國(guó)海洋大學(xué)，2011.

[4]沈慶剛.網(wǎng)絡(luò)安全技術(shù)與企業(yè)網(wǎng)絡(luò)安全解決方案研究[A].旭日華夏（北京）國(guó)際科學(xué)技術(shù)研究院.首屆國(guó)際信息化建設(shè)學(xué)術(shù)研討會(huì)論文集（三）[C].旭日華夏（北京）國(guó)際科學(xué)技術(shù)研究院，2016.

[5]李全文，薛靜鋒.大型企業(yè)網(wǎng)絡(luò)系統(tǒng)安全實(shí)施方案的設(shè)計(jì)[A].中國(guó)人工智能學(xué)會(huì)智能數(shù)字內(nèi)容安全專業(yè)委員會(huì).Proceedings of 2010 Asia-Pacific Conference on Information Network and Digital Content Security（2010APCID）[C].中國(guó)人工智能學(xué)會(huì)智能數(shù)字內(nèi)容安全專業(yè)委員會(huì)，2010.

圖2 線路的雙機(jī)熱備處理模式

2.3 網(wǎng)絡(luò)層級(jí)風(fēng)險(xiǎn)解析和應(yīng)對(duì)方案

網(wǎng)絡(luò)裝置中包含很多路由，交換以及重要的服務(wù)裝置，因而隨時(shí)面對(duì)未授權(quán)使用者的登入，對(duì)網(wǎng)絡(luò)安全帶來很大風(fēng)險(xiǎn)。網(wǎng)絡(luò)層級(jí)安全應(yīng)對(duì)方案主要包括邊界防范，登錄控制，病毒防范，入侵校驗(yàn)，審核統(tǒng)計(jì)等部分。計(jì)算機(jī)網(wǎng)絡(luò)安全針對(duì)網(wǎng)絡(luò)裝置病毒防范需要構(gòu)建一個(gè)完備的防范病毒模式，包含網(wǎng)絡(luò)層防病毒，服務(wù)裝置防病毒，郵件防病毒以及客戶端防病毒等板塊。

針對(duì)網(wǎng)絡(luò)層級(jí)安全策略實(shí)現(xiàn)可以從以下方向著手，實(shí)現(xiàn)網(wǎng)絡(luò)裝置以及服務(wù)裝置的身份驗(yàn)證，選取集中化的驗(yàn)證模式；針對(duì)不同的安全區(qū)間給定不同的安全需求，在服務(wù)核心層級(jí)以及網(wǎng)絡(luò)交換層級(jí)之間選取防火墻的方式進(jìn)行訪問鏈接，針對(duì)網(wǎng)絡(luò)使用者的網(wǎng)絡(luò)行為完成審核功能，避免非授權(quán)網(wǎng)址，炒股以及娛樂等操作干擾網(wǎng)絡(luò)審核。

2.4 系統(tǒng)層級(jí)風(fēng)險(xiǎn)解析和應(yīng)對(duì)方案

系統(tǒng)層級(jí)風(fēng)險(xiǎn)包含賬號(hào)，RPC，Web，SNMP，F(xiàn)TP等部分的漏洞。處理方案為在網(wǎng)絡(luò)核心安置一整套解析系統(tǒng)漏洞的方案，便于隨時(shí)獲取網(wǎng)絡(luò)安全狀況。并且針對(duì)整體網(wǎng)絡(luò)安全狀況進(jìn)行估測(cè)，將獲取的安全狀況以及獲得的系統(tǒng)漏洞梳理，對(duì)整個(gè)網(wǎng)絡(luò)主機(jī)完成加固，并處理系統(tǒng)的安全設(shè)置。

2.5 應(yīng)用層級(jí)風(fēng)險(xiǎn)解析和應(yīng)對(duì)方案

應(yīng)用層級(jí)面對(duì)的風(fēng)險(xiǎn)主要包含隱含的網(wǎng)頁(yè)病毒，鏈接病毒等，當(dāng)使用者打開會(huì)“中招”，針對(duì)層出不窮的應(yīng)用層級(jí)風(fēng)險(xiǎn)，防火墻應(yīng)當(dāng)具備針對(duì)突發(fā)病毒狀況的防范功能，并且在防火墻上裝設(shè)應(yīng)用層級(jí)的控制功能，避開惡意襲擊程序，完成相關(guān)網(wǎng)站的URL過濾。

2.6 管理層級(jí)風(fēng)險(xiǎn)解析和應(yīng)對(duì)方案

計(jì)算機(jī)網(wǎng)絡(luò)僅在技術(shù)上是不能完全保證的，還需要構(gòu)建完備、機(jī)密的網(wǎng)絡(luò)安全監(jiān)管模式。依據(jù)管理層級(jí)的安全特點(diǎn)，其管理規(guī)則應(yīng)包含技術(shù)、機(jī)構(gòu)、應(yīng)急狀況、安全策略、安全訓(xùn)練這幾個(gè)部分。因而可以采用相關(guān)協(xié)議，譬如SNMP以及TOP協(xié)議的網(wǎng)絡(luò)系統(tǒng)，選取集中測(cè)控，分級(jí)監(jiān)管模式構(gòu)建一個(gè)網(wǎng)絡(luò)安全監(jiān)管平臺(tái)。并且采用網(wǎng)路安全監(jiān)管中心獲取整個(gè)網(wǎng)絡(luò)體系的安全狀況，給全站的安全防范相應(yīng)的監(jiān)管準(zhǔn)則。

2.7 本章總結(jié)

本章主要給出計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)，包含整體方案設(shè)計(jì)，給出物理層級(jí)，網(wǎng)絡(luò)層級(jí)，系統(tǒng)層級(jí)以及管理層級(jí)的風(fēng)險(xiǎn)解析和應(yīng)對(duì)方案。

3 總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)安全是現(xiàn)有數(shù)據(jù)安全領(lǐng)域中的重要環(huán)節(jié)，因而研究整體方案的設(shè)計(jì)以及實(shí)施策略能夠保證計(jì)算機(jī)網(wǎng)絡(luò)整體的安全處理策略。本文首先分析了計(jì)算機(jī)安全主要策略，包含防火墻策略，信息加密策略，對(duì)稱加密方案以及簽名驗(yàn)證策略。進(jìn)而給出計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)，包含整體方案設(shè)計(jì)，給出物理層級(jí)，網(wǎng)絡(luò)層級(jí)，系統(tǒng)層級(jí)以及管理層級(jí)的風(fēng)險(xiǎn)解析和應(yīng)對(duì)方案。

參考文獻(xiàn)：

[1]黃偉.網(wǎng)絡(luò)安全技術(shù)及防護(hù)體系分析[J].微型電腦應(yīng)用，2015.

[2]Julie Greensmith,Jan Feyereisl.SOMe Comparison Acomparative study between two biologically[J].Inspiredalgorithms Evolutionary Intelligence,2016.

[3]莊友軍.計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理[J].電腦知識(shí)與技術(shù)，2013.

[4]王景偉，郭英敏.密碼技術(shù)在信息網(wǎng)絡(luò)安全中的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2012.

[5]Stuart McClure.Network Security Secrets & Solutions[J]. McGraw-Hill，2012.