淺析如何加強中小型企業(yè)網(wǎng)絡安全建設 上篇

中小型企業(yè)網(wǎng)絡安全解決方案分析

（一）中小型企業(yè)網(wǎng)絡基本情況與應用特點

經(jīng)過調查研究，從宏觀上來看。中小型企業(yè)計算機網(wǎng)絡的典型應用如下：辦公自動化系統(tǒng);信息查詢系統(tǒng);WWW應用;郵件服務：財務系統(tǒng);人事、計劃系統(tǒng)。

根據(jù)中小型企業(yè)計算機網(wǎng)絡的應用特點，需要保證網(wǎng)絡中的數(shù)據(jù)具有實時性、機密性、安全性、完整性、可用性、不可抵賴性以及可審計性等，又由于公司計算機網(wǎng)絡跨越公共網(wǎng)絡及與Internet網(wǎng)互聯(lián)，這就給公司計算機網(wǎng)絡帶來嚴峻的安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決，那將會給公司的計算機網(wǎng)絡帶來嚴重的安全隱患。

（二）解決方案分析

通過對某中小型企業(yè)公司計算機網(wǎng)絡結構、網(wǎng)絡應用的全面了解，按照安全風險、需求分析結果、安全目標及安全設計原則，本文為某公司計算機網(wǎng)絡安全進行規(guī)劃，構建一個適合于中小型企業(yè)公司計算機網(wǎng)絡的安全體系?？梢愿鶕?jù)上述分析，得到某種小型企業(yè)的解決方案。這里只給出網(wǎng)路隔離與訪問控制解決方案和網(wǎng)絡系統(tǒng)安全解決方案的詳細分析過程。其余還包括用戶與資源管理、網(wǎng)絡監(jiān)控與入侵檢測偵測、身份認證、網(wǎng)絡病毒解決方案、數(shù)據(jù)備份與回復、安全管理等方面的問題，參照上述分析可以得出。

對于網(wǎng)路隔離與訪問控制解決方案來說，從安全角度來說，是不可以直接與INTERNET公網(wǎng)互聯(lián)的。從理論上說，只要你的網(wǎng)絡直接與INTERNET公網(wǎng)連接，不管采用了什么樣的安全產品和安全技術，肯定存在著被黑客攻擊的可能性。因此，對此公司計算機網(wǎng)絡，從最安全角度來考慮，應該對公司計算機網(wǎng)絡內網(wǎng)與公司計算機嗍絡外網(wǎng)（接入INTERNET公網(wǎng)部分）之間完全物理隔離，對內部網(wǎng)絡中需要上因特網(wǎng)的用戶機器安裝物理隔離卡，保證內部網(wǎng)絡信息不受INTERNET公網(wǎng)用戶的攻擊。

內部辦公自動化網(wǎng)絡根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全訪問需求，在有可能的情況下。可以利用三層交換機來劃分虛擬子網(wǎng)（VLAN）。因為三層交換機具有路由功能，在沒有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問，同時通過在不同VLAN間做限制來實現(xiàn)不同資源的訪問控制。通過虛擬子網(wǎng)的劃分，既方便局域網(wǎng)絡的互聯(lián)，又能夠實現(xiàn)訪問控制。設計方案采用思科公司的專用防火墻產品PIX 525和其網(wǎng)管產品Small Network Management SolutiOil（SNMS），

能夠同公司思科網(wǎng)絡設備系統(tǒng)有效的集成，并很好地起到網(wǎng)絡安全保護作用;整個網(wǎng)的拓撲結構是封閉的，只有唯一的一個出口與防火墻相連。防火墻左側的網(wǎng)絡是在防火墻之外，只有防火墻右側的網(wǎng)絡在防火墻里，防火墻里的server以及其它客戶機可以通過NAT協(xié)議訪問外網(wǎng)，而外網(wǎng)上的客戶只能訪問到web server，如果訪問內部sever必需經(jīng)過防火墻靜態(tài)地址翻譯和存取控制表的安全檢查，以代理服務的方式連接內部sever，而不能直接與其連接。這樣整個內部網(wǎng)的安全可以得到有效保障。對于網(wǎng)絡系統(tǒng)安全解決方案來說，系統(tǒng)安全包括網(wǎng)絡操作系統(tǒng)安全和應用系統(tǒng)安全，

（1）網(wǎng)絡操作系統(tǒng)安全對于網(wǎng)絡操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡操作系統(tǒng)，并進行必要的安全配置，如：關閉一些并不常用卻存在安全隱患的應用、服務及端口。對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制;加強口令字的使用（增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令），并及時給系統(tǒng)打補丁、系統(tǒng)內部的相互調用不對外公開。

（2）應用系統(tǒng)安全，在應用系統(tǒng)安全上，應用服務器盡革不要開放一些沒有經(jīng)常使用的協(xié)議及協(xié)議端口號。如文件服務、電子郵件服務器等應用系統(tǒng)，可以關閉服務器上如HTTP、FTP、TELNET、RLOGlN等服務，還有就是加強登錄身份認證，確保用戶使用的合法性;并嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。同時還要及時升級各種已經(jīng)發(fā)布的升級補丁程序，減少因為升級過程周期長而帶來攻擊事件的發(fā)生。

【編輯推薦】

1. 企業(yè)用戶防御網(wǎng)絡威脅十要素
2. 擺脫不請自來的黑客掃描與攻擊
3. 網(wǎng)絡安全已成為企業(yè)競爭力的威脅
4. 阻止黑客進出 個人網(wǎng)絡安全防衛(wèi)手冊