馬秋弘

（天水風(fēng)動(dòng)機(jī)械有限公司，甘肅天水741020）

隨著互聯(lián)網(wǎng)的迅速發(fā)展和計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用在各行業(yè)的深入滲透，大多數(shù)中小企業(yè)構(gòu)建了自己的計(jì)算機(jī)網(wǎng)絡(luò)，以適應(yīng)新時(shí)期的競(jìng)爭(zhēng)要求。受資金、技術(shù)等方面限制，中小企業(yè)無(wú)力購(gòu)買(mǎi)昂貴的整體安全防御系統(tǒng)，網(wǎng)絡(luò)容易遭到非法入侵和未經(jīng)授權(quán)的存取或破壞，造成數(shù)據(jù)丟失、系統(tǒng)崩潰等問(wèn)題。如何采取有效手段和防護(hù)措施確保計(jì)算機(jī)網(wǎng)絡(luò)安全已成為當(dāng)前備受關(guān)注的問(wèn)題。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

2 中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題

（1）計(jì)算機(jī)病毒泛濫，傳播方式多種多樣，其中以“木馬”和“蠕蟲(chóng)”病毒最令人頭痛。病毒通過(guò)移動(dòng)存儲(chǔ)設(shè)備（如U盤(pán)）、局域網(wǎng)傳播，也可以在上網(wǎng)過(guò)程中被掛“木馬”網(wǎng)站感染。同時(shí)，計(jì)算機(jī)的安全軟件更新速度慢，絕大多數(shù)情況是在病毒已經(jīng)感染擴(kuò)散后，安全軟件才更新相關(guān)病毒數(shù)據(jù)庫(kù)并采取殺毒措施。因此，病毒往往防不勝防。

（2）防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

防火墻可以限制外部計(jì)算機(jī)網(wǎng)絡(luò)到內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn)，卻難以防范計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。比如病毒可以通過(guò)移動(dòng)存儲(chǔ)設(shè)備在局域網(wǎng)中傳播，根本不必通過(guò)外網(wǎng)。隨著技術(shù)的發(fā)展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。

（3）安全工具的使用受到人為因素的影響，能不能實(shí)現(xiàn)預(yù)期效果，很大程度上取決于使用者(包括管理員和用戶)的操作，不正當(dāng)?shù)脑O(shè)置和使用產(chǎn)生不安全因素。

（4）員工用計(jì)算機(jī)工作、上網(wǎng)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全基本沒(méi)有概念，安全意識(shí)薄弱。在上網(wǎng)過(guò)程中往往導(dǎo)致病毒入侵，以致感染到企業(yè)局域網(wǎng)，這種由內(nèi)部引起的安全問(wèn)題往往難以防范。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

3.1 技術(shù)層面措施

（1）路由器策略。路由器（指連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備。它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號(hào)），是計(jì)算機(jī)網(wǎng)絡(luò)抵御外來(lái)攻擊的第一道屏障。通過(guò)路由器安全設(shè)置，將外部網(wǎng)絡(luò)與企業(yè)內(nèi)部網(wǎng)絡(luò)隔離，抵御外網(wǎng)攻擊。如企業(yè)有外地分部或機(jī)構(gòu)，各分部或機(jī)構(gòu)都有自己的局域網(wǎng)，企業(yè)將它們組成一個(gè)企業(yè)廣域網(wǎng)時(shí)，可用虛擬專用網(wǎng)(VPN)連接（虛擬專用網(wǎng)絡(luò)技術(shù)是一種新興熱門(mén)的網(wǎng)絡(luò)技術(shù)，能夠?yàn)榫W(wǎng)絡(luò)安全提供很好的解決方案。它主要通過(guò)互聯(lián)網(wǎng)建立一個(gè)連接遠(yuǎn)程客戶機(jī)和各企業(yè)內(nèi)網(wǎng)的臨時(shí)虛擬連接，使用這種連接可以對(duì)數(shù)據(jù)進(jìn)行數(shù)倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)絡(luò)運(yùn)用的主要技術(shù)有防火墻、身份驗(yàn)證、數(shù)據(jù)加密、訪問(wèn)監(jiān)控技術(shù)）。當(dāng)數(shù)據(jù)離開(kāi)發(fā)送者所在的局域網(wǎng)時(shí)，該數(shù)據(jù)首先被用戶連接到互聯(lián)網(wǎng)上的路由器進(jìn)行硬件加密，數(shù)據(jù)在互聯(lián)網(wǎng)上以加密的形式在加密隧道中傳送，當(dāng)達(dá)到目的LAN的路由器時(shí)，該路由器對(duì)數(shù)據(jù)進(jìn)行解密后，目的局域網(wǎng)中的用戶才可以看到真正的信息，提高了數(shù)據(jù)在互聯(lián)網(wǎng)中的安全性。

（2）防火墻策略。防火墻作為第二道防線，被廣泛運(yùn)用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，是中小企業(yè)對(duì)付病毒直接攻擊的主要手段。它能在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)。從而使內(nèi)部網(wǎng)不受非法用戶侵入。防火墻是一種計(jì)算機(jī)硬件和軟件的組合體。在計(jì)算機(jī)網(wǎng)絡(luò)上配置防火墻是保護(hù)網(wǎng)絡(luò)安全最直接、最經(jīng)濟(jì)的措施之一。因?yàn)樗?jiǎn)單實(shí)用且透明度高，不僅提高了內(nèi)部網(wǎng)絡(luò)的安全性，而且可以降低風(fēng)險(xiǎn)。防火墻可將公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開(kāi)。防火墻通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制，常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)等。

（3）身份認(rèn)證制度和訪問(wèn)控制策略。身份認(rèn)證系統(tǒng)是整個(gè)網(wǎng)絡(luò)安全體系的基礎(chǔ)，讓每個(gè)用戶在網(wǎng)絡(luò)上有唯一的身份標(biāo)識(shí)，以此確定用戶的權(quán)限和責(zé)任。訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)，對(duì)靜態(tài)信息（是指企業(yè)的人、財(cái)、物等基本生產(chǎn)要素的固有屬性數(shù)據(jù)）保護(hù)用處很大。訪問(wèn)控制與身份認(rèn)證相結(jié)合，可以有效進(jìn)行入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)控制以及防火墻控制等。它能控制用戶登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源的權(quán)限，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和入網(wǎng)端口；控制用戶和用戶組訪問(wèn)目錄和文件的權(quán)限，可以指定用戶對(duì)哪些目錄和文件執(zhí)行哪些操作；記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)情況。當(dāng)出現(xiàn)非法訪問(wèn)企業(yè)網(wǎng)絡(luò)的情況時(shí)，服務(wù)器會(huì)發(fā)出警報(bào)以提醒網(wǎng)絡(luò)管理員。要實(shí)現(xiàn)身份認(rèn)證和訪問(wèn)控制策略，需要運(yùn)用IP—MAC—PORT端口綁定、編輯制作訪問(wèn)控制列表(ACL)、劃分VLAN等技術(shù)。

IP—MAC—PORT端口綁定，是指在IP、MAC（網(wǎng)卡硬件地址）綁定的基礎(chǔ)上，把交換機(jī)端口(PORT)綁定進(jìn)去，它是解決IP地址被盜用問(wèn)題最有效的方法。這需要在布線時(shí)做好端口定時(shí)管理工作。在布線時(shí)應(yīng)該把用戶墻上的接線盒和交換機(jī)的端口一一對(duì)應(yīng)并做好登記工作，然后把用戶交上來(lái)的MAC地址填入對(duì)應(yīng)的交換機(jī)端口，進(jìn)而與IP一起綁定，達(dá)到IP—MAC—PORT三者綁定。這樣即使盜用者擁有IP對(duì)應(yīng)的MAC地址，也無(wú)法對(duì)中小企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成威脅，從物理通道上隔離了盜用者。

ACL是一種基于包過(guò)濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問(wèn)控制列表把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。通過(guò)ACL技術(shù)管理局域網(wǎng)內(nèi)部資源的訪問(wèn)能力，進(jìn)而保障資源的安全性。一個(gè)虛擬局域網(wǎng)（VLAN）組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴（一個(gè)數(shù)據(jù)幀或包被傳輸?shù)奖镜鼐W(wǎng)段(由廣播域定義)上的每個(gè)節(jié)點(diǎn)就是廣播；由于網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)和連接問(wèn)題，或其他原因?qū)е聫V播在網(wǎng)段內(nèi)大量復(fù)制，傳播數(shù)據(jù)幀，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)癱瘓，這就是廣播風(fēng)暴），還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù)，對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。這樣，即使黑客攻破某一虛擬子網(wǎng)，也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息。

（4）上網(wǎng)行為監(jiān)控。通過(guò)安裝上網(wǎng)行為監(jiān)控硬件或軟件，設(shè)置并應(yīng)用管理策略，能有效地控制內(nèi)部用戶網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)行為，減少或避免不安全操作。當(dāng)出現(xiàn)不安全事件時(shí)，也能及時(shí)定位解決問(wèn)題。

（5）部署網(wǎng)絡(luò)殺毒。為了減少病毒在整個(gè)內(nèi)網(wǎng)的感染、傳播和發(fā)作，在網(wǎng)內(nèi)的服務(wù)器和各節(jié)點(diǎn)計(jì)算機(jī)上部署網(wǎng)絡(luò)殺毒軟件，定時(shí)對(duì)病毒進(jìn)行掃描檢測(cè)及漏洞修復(fù)，定時(shí)升級(jí)病毒庫(kù)并查毒殺毒，使整個(gè)網(wǎng)絡(luò)保持防病毒能力。目前“360”殺毒軟件可以做到實(shí)時(shí)升級(jí)，對(duì)于服務(wù)器外的計(jì)算機(jī)是很好的選擇。

（6）數(shù)據(jù)加密策略。數(shù)據(jù)加密可以幫助保護(hù)數(shù)據(jù)不被未授權(quán)人查看和修改，確保數(shù)據(jù)來(lái)自特定一方。數(shù)據(jù)加密是安全的盾牌，采用加密技術(shù)對(duì)文件、資料、數(shù)據(jù)進(jìn)行加密存儲(chǔ)和密文傳輸，在出現(xiàn)第三方進(jìn)行網(wǎng)絡(luò)竊聽(tīng)、網(wǎng)絡(luò)竊取以及載體流失等安全問(wèn)題時(shí)，讓其難以解密數(shù)據(jù)，確保信息內(nèi)容的安全。密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

（7）網(wǎng)絡(luò)系統(tǒng)備份與恢復(fù)。網(wǎng)絡(luò)系統(tǒng)的備份是指對(duì)網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份，以便在網(wǎng)絡(luò)出現(xiàn)意外時(shí)能快速、全面地恢復(fù)。網(wǎng)絡(luò)系統(tǒng)核心設(shè)備的備份主要包括核心交換機(jī)、核心路由器、重要服務(wù)器等。數(shù)據(jù)信息備份包括對(duì)網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份。數(shù)據(jù)信息備份有三種主要備份策略：只備份數(shù)據(jù)庫(kù)、備份數(shù)據(jù)庫(kù)和事務(wù)日志、增量備份。網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)備份是網(wǎng)絡(luò)日常維護(hù)工作的重要環(huán)節(jié)之一，做好相關(guān)備份工作，才能在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時(shí)及時(shí)、迅速、有效地恢復(fù)系統(tǒng)，確保系統(tǒng)的正常運(yùn)行。

3.2 管理層面措施

（1）建立網(wǎng)絡(luò)安全制度。網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，企業(yè)要結(jié)合業(yè)務(wù)需求和安全現(xiàn)狀建立并實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全管理辦法和管理系統(tǒng)，加強(qiáng)用戶和授權(quán)管理，加強(qiáng)安全審計(jì)和跟蹤體系的完善，提高對(duì)網(wǎng)絡(luò)安全的整體意識(shí)。

（2）加強(qiáng)員工安全意識(shí)，提高計(jì)算機(jī)操作水平。安全制度的執(zhí)行需要員工來(lái)執(zhí)行，增強(qiáng)員工的計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)和計(jì)算機(jī)操作水平，可以減少企業(yè)網(wǎng)絡(luò)計(jì)算機(jī)成為“僵尸網(wǎng)絡(luò)”中任人宰割的“肉雞”的幾率，從整體上提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

（3）建立應(yīng)急預(yù)案。計(jì)算機(jī)病毒攻擊無(wú)處不在，防不勝防，所以應(yīng)建立有效的應(yīng)急預(yù)案以備不時(shí)之需。

[1]全豐菽.計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].信息與電腦，2010（8）.

[2]王宏偉.網(wǎng)絡(luò)安全威脅與對(duì)策[J].應(yīng)用技術(shù)，2006（5）.

[3]王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社，2008.