摘要：互聯網的飛速發展，互聯網技術應用活躍，中小型企業網絡規模和應用范圍也不斷擴大，導致網絡安全問題日益突顯。企業網絡安全一旦出現問題，造成的損失不可估量。因而以中小型企業為實例，探討這類企業的網絡安全問題以及一些解決方案。分析了目前網絡安全理論相關技術、中小型企業網絡安全規劃原則，針對中小型企業規劃出了一個較為完善的網絡拓撲結構且具有一定的擴展能力，運用當前主流的一些網絡安全技術從中小型企業設備的物理環境安全、網絡邊界安全、網絡內部安全等方面進行了重復加固和實現，提高了企業的網絡安全等級。

關鍵詞：中小型企業；網絡安全規劃；VLAN技術；方案

0引言

隨著全球信息化浪潮的不斷推進，社會經濟、生活方面都發生了日新月異的變革，網絡技術正在進行一場革命突破。網絡技術長期的發展與完善，在信息安全方面已經從最初的數據保密逐步轉變為信息安全技術的可用性、可控性以及完整性，如今網絡安全又朝著“檢測－管控－攻防”等方向發展，逐漸成為一個綜合性的學科研究領域，也是目前研究的熱點。如今，無論政府、大中小企業、學校、醫院全部采用信息化平臺工作，提高工作效率和社會競爭力。但是在網絡安全管理和維護上存在一些問題和隱患，尤其中小型企業網絡安全更被人忽視。本文深入分析網絡安全相關技術、中小型企業網絡安全規劃原則，進一步提出中小型企業網絡安全規劃模型及解決方案，以滿足中小型企業對網絡的穩定性、可靠性和安全性需求。

1網絡安全相關技術

網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境數據的保密性、完整性及可使用性受到保護。常見的技術有如下幾個：（1）防火墻技術。防火墻技術（Firewall）是指設置在兩個或多個網絡之間的安全阻隔，用于保證本地網絡資源的安全，由軟件部分和硬件部分組成的一個系統或多個系統。工作原理是在可信任的網絡邊界上建立網絡控制系統，隔離內部網絡和外部網絡，執行網絡訪問控制策略，防止外部的未授權節點訪問內部網絡和非法向外傳遞內部信息，同時也防止非法和惡意的網絡行為導致內部網絡的運行被破壞。（2）虛擬專用網技術。虛擬專用網技術（VirtualPrivateNetwork，VPN）是一種利用在互聯網或其他公共網絡上構建專有的虛擬私有網絡安全技術，通過對網絡數據的封裝和加密，為用戶在公共網絡上建立一個臨時的、安全的傳輸隧道，以達到專用網絡的安全級別。用戶數據通過發起端上的VPN設備建立邏輯隧道，數據在傳輸過程中是完全封裝的，在接收端采用相應的解密和認證技術來確認發起的請求合法性，從而實現網絡數據在整個傳輸過程中的安全，使其不要流向非法用戶，以達到防范的目的。VPN優點在于加大了安全機制，即使信息被截獲也不用擔心泄密，數據傳輸采用認證模式，保證信息的完整性。（3）ACL技術。ACL技術在路由器中被廣泛采用，是一種基于包過濾的流控制技術。控制列表通過把源地址、目的地址及端口號作為數據包檢查的基本元素，并且可以規定符合條件的數據包是否允許通過。ACL通常用在企業的出口控制上，通過ACL的部署，可以有效的規劃企業網絡的出網策略。（4）入侵檢測技術。入侵檢測技術是從計算機網絡和系統的若干關鍵節點收集信息并對其進行分析，從中發現網絡或系統中是否存在違反安全策略的行為或者遭到入侵的現象，并根據一定的策略采取一定的措施。（5）VLAN技術。VLAN（VirtualLocalAreaNetwork）又稱“虛擬局域網”，是一組邏輯上獨立的設備和用戶，不受物理位置的限制，可以根據功能、部門及應用等因素組織起來進行通信，相互之間的通信就好像在同一個網段中一樣。一個VLAN就是一個廣播域，VLAN之間的通信是通過第三層的路由器來完成的。通過VLAN可以靈活定義在同一物理網段上網絡節點之間的通信，即在同一VLAN的網絡節點之間可以通信，不同VLAN的網絡節點之間不可以通信。（6）數據存儲備份與恢復技術。將計算機硬盤中的數據復制到磁帶或光盤上，而企業級的數據備份是指對精確定義的數據收集進行備份，無論數據的組織形式是文件、數據庫，還是邏輯卷或磁盤，管理保存上述備份介質，以便需要時能迅速、準確地找到任何目標數據的任何備份，并準確地追蹤大量的介質。

作者：鐘豪單位：麗水市煙草公司松陽分公司

企業計算機網絡所面臨的威脅

當前，大多數企業都實現了辦公自動化、網絡化，這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴，容易因為一些主客觀因素對計算機網絡造成妨礙，并給企業造成無法估計的損失。

1網絡管理制度不完善

網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的。“沒有規矩，不成方圓。”制度就是規矩。當前，一些企業的網絡管理制度不完善，尚未形成規范的管理體系，存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題，使企業相關人員不能采取有效措施防范網絡威脅，也給一些攻擊者接觸并獲取企業信息提供很大的便利。

2網絡建設規劃不合理

編者按：本論文主要從內網安全風險分析；內網安全實施策略等進行講述，包括了病毒、蠕蟲入侵、軟件漏洞隱患、系統安全配置薄弱、脆弱的網絡接入安全防護、企業網絡入侵、終端用戶計算機安全完整性缺失、多層次的病毒、蠕蟲防護、終端用戶透明、自動化的補丁管理，安全配置、全面的網絡準入控制等，具體資料請見：

一、背景分析

提起網絡信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據權威機構調查：三分之二以上的安全威脅來自泄密和內部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業等社會組織在網絡安全防護建設中，普遍采用傳統的內網邊界安全防護技術，即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術，對網絡入侵進行監控和防護，抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失，保證組織業務流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障，企業基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業內網中，這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡，發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。

二、內網安全風險分析

一、背景分析

提起網絡信息安全，人們自然就會想到病毒破壞和黑客攻擊。其實不然，政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失，據權威機構調查：三分之二以上的安全威脅來自泄密和內部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業等社會組織在網絡安全防護建設中，普遍采用傳統的內網邊界安全防護技術，即在組織網絡的邊緣設置網關型邊界防火墻、AAA認證、入侵檢測系統IDS等等網絡邊界安全防護技術，對網絡入侵進行監控和防護，抵御來自組織外部攻擊、防止組織網絡資源、信息資源遭受損失，保證組織業務流程的有效進行。

這種解決策略是針對外部入侵的防范，對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障，企業基于網絡邊界的安全防護技術就更是鞭長莫及了，由此危及到內部網絡的安全。一方面，企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網，而這些機器通常又置于企業內網中，這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡，發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。

二、內網安全風險分析

現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中，顧名思義，開放的環境既為信息時代的企業提供與外界進行交互的窗口，同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑，使企業網絡面臨種種威脅和風險：病毒、蠕蟲對系統的破壞；系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏，導致企業安全策略不能真正的得到很好的落實，開放的網絡給企業的信息安全帶來巨大的威脅。

作者：杜尚權單位：貴陽中化開磷化肥有限公司

網絡安全管理技術

目前，網絡安全管理技術越來越受到人們的重視，而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大，網絡安全防范技術也得到了迅猛發展，同時出現了若干問題，例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題，以及網絡中大量數據的安全存儲和使用問題等等。網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分，從信息安全管理的方向來看，網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。在實際應用中，網絡安全管理并不僅僅是一個軟件系統，它涵蓋了多種內容，包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。

防火墻技術

互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入，是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統，目的是為了保證整個網絡系統不受到任何侵犯。防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業不同網絡之間，或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施，它不僅是一個限制器，更是一個分離器和分析器，能夠有效控制企業內部網絡與外部網絡之間的數據信息交換，從而保證整個網絡系統的安全。將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全，很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務，更容易受到網絡的攻擊和竊聽。目前，互聯網中較為常用的協議就是TCP/IP協議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設置從很大程度上解決了子網系統的安全問題。

1入侵檢測技術入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估，并根據評價結果來判斷行為的正常性，從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。