郝全明 郝廷龍 劉仲?gòu)d

[摘 要] 文章介紹了現(xiàn)代企業(yè)網(wǎng)絡(luò)的安全問(wèn)題、帶寬資源問(wèn)題、網(wǎng)絡(luò)行為問(wèn)題等，并提出從合理規(guī)劃IP地址、劃分VLAN、防火墻與入侵檢測(cè)聯(lián)動(dòng)、核心交換機(jī)TCP/IP攔截、建立網(wǎng)絡(luò)防病毒體系、實(shí)施上網(wǎng)行為管理、強(qiáng)化網(wǎng)絡(luò)制度建設(shè)等方面進(jìn)行網(wǎng)絡(luò)安全防護(hù)與管理的基本思路和方法。

[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)網(wǎng)路安全上網(wǎng)行為管理方法

在高速發(fā)展的網(wǎng)絡(luò)信息時(shí)代，網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代企業(yè)員工的有效利用工具，不僅拉近了世界的距離，還為企業(yè)獲取和交互信息提供便利，但它像一把雙刃劍，在帶給企業(yè)種種便利的同時(shí)，也向企業(yè)網(wǎng)絡(luò)管理者提出了更多的挑戰(zhàn)。

1.信息網(wǎng)絡(luò)給企業(yè)帶來(lái)的問(wèn)題

1.1 網(wǎng)絡(luò)安全問(wèn)題。

一個(gè)企業(yè)的網(wǎng)絡(luò)是否安全是企業(yè)內(nèi)部用戶(hù)計(jì)算機(jī)能否正常工作，乃至企業(yè)網(wǎng)絡(luò)能否正常運(yùn)行的關(guān)鍵。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，網(wǎng)路安全事件中40%以上是由互聯(lián)網(wǎng)活動(dòng)引起的?；ヂ?lián)網(wǎng)絡(luò)上的病毒隨處可見(jiàn)，尤其是一些非法網(wǎng)站所攜帶的更多。四通八達(dá)的網(wǎng)絡(luò)方便的不僅僅正常信息的獲取和交流。惡意代碼，比如病毒、蠕蟲(chóng)、間諜軟件等等，也在搭乘著便車(chē)，即由網(wǎng)頁(yè)、Email、聊天工具、下載工具等方式，入侵到網(wǎng)絡(luò)的每個(gè)角落，影響終端計(jì)算機(jī)的運(yùn)行。

1.2 帶寬資源問(wèn)題

目前國(guó)內(nèi)多數(shù)企亊業(yè)單位網(wǎng)絡(luò)出口帶寬不超10M，有的甚至更窄。很多員工一打開(kāi)電腦就會(huì)自覺(jué)地開(kāi)始各種下載工作，包括BT、電騾、迅雷這些網(wǎng)絡(luò)資源的“吞噬者”，這些員工在大量下載電影和軟件的同時(shí)在不停地抱怨網(wǎng)速太慢！據(jù)中國(guó)社會(huì)科學(xué)研究院最新的統(tǒng)計(jì)調(diào)查表明，70%的互聯(lián)網(wǎng)寬帶資源被音樂(lè)、電影下載占用著。從企業(yè)的全局考慮，應(yīng)該盡可能避免這種情況的發(fā)生，當(dāng)某些員工正在用下載工具下載網(wǎng)上與工作無(wú)關(guān)內(nèi)容時(shí)，那么其他員工的正常工作將受到影響。

1.3 網(wǎng)絡(luò)行為問(wèn)題

據(jù)中國(guó)權(quán)威機(jī)構(gòu)調(diào)查表明，企業(yè)員工平均每天的互聯(lián)網(wǎng)活動(dòng)中有近40%的時(shí)間是在用來(lái)在線(xiàn)聊天，瀏覽新聞娛樂(lè)、股票行情、色情網(wǎng)站，或處理個(gè)人事務(wù)，僅有少部分用于工作和學(xué)習(xí)。過(guò)去，一些員工通過(guò)同事間閑聊來(lái)打發(fā)上班時(shí)間。隨著計(jì)算機(jī)和互聯(lián)網(wǎng)普及，員工有了更多的選擇，網(wǎng)上購(gòu)物、好友聊天、下載手機(jī)鈴聲、在線(xiàn)欣賞音樂(lè)、下載電影、收發(fā)個(gè)人郵件、在網(wǎng)絡(luò)論壇上舞文弄墨等等。據(jù)有關(guān)調(diào)查機(jī)構(gòu)調(diào)查顯示：在辦公室中，和其他國(guó)家相比，中國(guó)員工每周多花7.6小時(shí)來(lái)使用即時(shí)通訊、玩游戲、在線(xiàn)媒體；中國(guó)員工上網(wǎng)下載音樂(lè)的時(shí)間比拉美高16%；上網(wǎng)進(jìn)入聊天室和玩在線(xiàn)游戲兩方面花費(fèi)的時(shí)間分別比其他國(guó)家高約8%和12%；60%員工在工作場(chǎng)所瀏覽個(gè)人信件。部分員工沉迷在互聯(lián)網(wǎng)帶來(lái)的誘惑之中，進(jìn)而不能專(zhuān)心投入工作，這勢(shì)必會(huì)給企業(yè)的經(jīng)營(yíng)效益造成影響，使企業(yè)的文化偏離方向。

1.4 內(nèi)部信息安全問(wèn)題

網(wǎng)絡(luò)世界充斥著各種各樣的信息，正如打開(kāi)窗口，進(jìn)來(lái)的不止是新鮮空氣。我們?cè)讷@取有用信息的同時(shí)，也被各種不良內(nèi)容侵蝕著。同時(shí)，聯(lián)通的互聯(lián)網(wǎng)絡(luò)也會(huì)把一些保密信息泄露出去。任何企業(yè)都擔(dān)心自己內(nèi)部機(jī)密信息泄露出去，而互聯(lián)網(wǎng)偏偏又提供了方便的信息交流和傳遞環(huán)境。通過(guò)web電子郵件或QQ等即時(shí)通信工具，任何文件都可以方便地通過(guò)互聯(lián)網(wǎng)發(fā)送到企業(yè)外部。企業(yè)核心資源的未授權(quán)傳播令管理者痛心疾首，也就是我們經(jīng)常提到的員工泄密行為，這在國(guó)內(nèi)已有眾多先例。由于互聯(lián)網(wǎng)行為復(fù)雜且難以預(yù)料，無(wú)論是存心還是意外，一個(gè)居心叵測(cè)的員工和一個(gè)忠實(shí)可靠的干將都有可能將局域網(wǎng)內(nèi)的重要資料泄露給第三方組織甚至競(jìng)爭(zhēng)對(duì)手。作為企業(yè)的領(lǐng)導(dǎo)者絕不希望員工因?yàn)樯暇W(wǎng)行為而給公司帶來(lái)名譽(yù)損失與法律責(zé)任，也絕不贊同企業(yè)的商業(yè)機(jī)密被泄漏。

2.企業(yè)進(jìn)行網(wǎng)絡(luò)管理的必要性

以上四個(gè)問(wèn)題是每個(gè)現(xiàn)代化企業(yè)所面臨的切實(shí)難題。分析可以得知，企業(yè)內(nèi)員工的網(wǎng)絡(luò)行為直接關(guān)系到企業(yè)的網(wǎng)絡(luò)能否正常運(yùn)轉(zhuǎn)；企業(yè)的網(wǎng)絡(luò)是否具有足夠帶寬保證通信暢通；員工能否專(zhuān)心于崗位職責(zé)，及時(shí)完成工作；企業(yè)的名譽(yù)和商業(yè)機(jī)密。而我們的企業(yè)要想積極健康、穩(wěn)步發(fā)展就必須加強(qiáng)網(wǎng)絡(luò)技術(shù)防護(hù)的同時(shí)，規(guī)范企業(yè)人員的上網(wǎng)行為。

企業(yè)網(wǎng)絡(luò)覆蓋的地域面積大；運(yùn)行的應(yīng)用繁雜；有極高的網(wǎng)絡(luò)可用性需求；有很高的軟硬件的資產(chǎn)管理需求，有很高的終端管理需求等。正是由于企業(yè)網(wǎng)絡(luò)的這些特點(diǎn)，加強(qiáng)網(wǎng)絡(luò)管理，提高管理手段，構(gòu)建立體的安全架構(gòu)是非常必要的。通過(guò)合理的網(wǎng)絡(luò)設(shè)備形成一套行之有效的安全管理辦法是企業(yè)網(wǎng)絡(luò)管理人員的價(jià)值所在。

3.企業(yè)進(jìn)行網(wǎng)絡(luò)管理的方法

3.1合理規(guī)劃IP地址、劃分VLAN，保證網(wǎng)絡(luò)的高性能

從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，在進(jìn)行具體VLAN規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè)VLAN）的通信主機(jī)不要超過(guò)50臺(tái)。對(duì)于主機(jī)數(shù)量超過(guò)50臺(tái)的業(yè)務(wù)部門(mén)，我們通過(guò)二層隔離，三層交換的方式來(lái)解決。在實(shí)際網(wǎng)絡(luò)運(yùn)行中，這種規(guī)劃使網(wǎng)絡(luò)攻擊者實(shí)施攻擊的難度增加，而網(wǎng)絡(luò)管理中由于終端的范圍細(xì)化，而可采取的手段增多。

3.2防火墻與入侵檢測(cè)的聯(lián)動(dòng)，配合核心交換機(jī)的TCP/IP攔截

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)， 保證了內(nèi)部網(wǎng)絡(luò)的安全。硬件防火墻是企業(yè)網(wǎng)絡(luò)的標(biāo)準(zhǔn)出口設(shè)備，提供了指定和執(zhí)行網(wǎng)絡(luò)安全策略手段。例如保護(hù)脆弱的服務(wù)；控制對(duì)系統(tǒng)的訪問(wèn)；增強(qiáng)的保密性；記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)和非法利用數(shù)據(jù)等。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶(hù)，現(xiàn)在防火墻可以建立集中訪問(wèn)控制點(diǎn)。為各種安全管理手段提供支持。

在網(wǎng)絡(luò)系統(tǒng)的整體安全中，入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

3.3建立一套網(wǎng)絡(luò)防病毒體系。

現(xiàn)在新病毒層出不窮，每天都會(huì)產(chǎn)生20至30種新病毒，比以前增加3倍以上。我國(guó)目前的病毒疫情呈現(xiàn)出兩種趨勢(shì)，一種趨勢(shì)是國(guó)外流行的網(wǎng)絡(luò)化病毒大肆侵襲我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)，另一種趨勢(shì)是出現(xiàn)大量本土病毒，并且傳播能力和破壞性越來(lái)越強(qiáng)。企業(yè)在電子商務(wù)和金融電子化的不斷發(fā)展的環(huán)境下，網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)已成為企業(yè)日常經(jīng)營(yíng)管理的基礎(chǔ)平臺(tái)。企業(yè)管理系統(tǒng)具有多平臺(tái)、多應(yīng)用的特點(diǎn)，所以建立一個(gè)有效的、可管理的企業(yè)整體防病毒體系滿(mǎn)足了這一需要 。

3.4實(shí)施帶寬管理和上網(wǎng)行為管理相結(jié)合的模式對(duì)企業(yè)互聯(lián)網(wǎng)用戶(hù)進(jìn)行管理。

通過(guò)策略與日志，管理者可以跟蹤網(wǎng)絡(luò)中的任何操作。對(duì)用戶(hù)上網(wǎng)行為操作做出規(guī)范管理，減少內(nèi)部泄密行為與病毒傳播隔離。如何令有限的帶寬合理分配使用，需要上網(wǎng)行為管理提供精細(xì)網(wǎng)絡(luò)流量管理功能?？筛鶕?jù)主機(jī)(單 IP、IP 組、用戶(hù)組)、服務(wù)(服務(wù)組)、應(yīng)用程序、時(shí)間、URL、文件類(lèi)型等不同參數(shù)，提供靈活組合來(lái)實(shí)現(xiàn)帶寬的預(yù)留、保障和限制。通過(guò)技術(shù)上的設(shè)置去限制部分或全部上網(wǎng)人員的網(wǎng)絡(luò)訪問(wèn)權(quán)限，將一些非法網(wǎng)站、與工作無(wú)關(guān)的網(wǎng)絡(luò)內(nèi)容屏蔽掉，進(jìn)而達(dá)到規(guī)范網(wǎng)絡(luò)行為的目得。

3.5 強(qiáng)化網(wǎng)絡(luò)制度建設(shè)、營(yíng)造良好的企業(yè)文化

在強(qiáng)化物理技術(shù)防護(hù)企業(yè)網(wǎng)絡(luò)安全和員工行為的同時(shí)，還需加強(qiáng)企業(yè)網(wǎng)絡(luò)管理的制度建設(shè)，應(yīng)制定嚴(yán)格的上網(wǎng)行為管理辦法，通過(guò)制度去約束員工在互聯(lián)網(wǎng)上的行為。要在企業(yè)中要營(yíng)造良好的網(wǎng)絡(luò)文化氛圍，使員工自覺(jué)良好地應(yīng)用網(wǎng)絡(luò)為工作服務(wù)。要提高全體員工的個(gè)人素質(zhì)和敬業(yè)精神，使員工自覺(jué)維護(hù)企業(yè)的名譽(yù)和利益。此外要培養(yǎng)員工的網(wǎng)絡(luò)安全意識(shí)與網(wǎng)絡(luò)安全防護(hù)能力。

4.結(jié)論

企業(yè)網(wǎng)絡(luò)雖然面臨眾多安全威脅、員工網(wǎng)絡(luò)不良行為等影響，但通過(guò)必要的技術(shù)和管理手段，是能夠構(gòu)建一個(gè)安全可靠、運(yùn)行良好的網(wǎng)絡(luò)環(huán)境的，為企業(yè)的快速發(fā)展提供信息化服務(wù)。

參考文獻(xiàn)：

[1] 陳華.企業(yè)網(wǎng)建中VLAN技術(shù)的應(yīng)用[J].化工職業(yè)技術(shù)教育，2008，（04）.

[2] 王迪.防火墻技術(shù)及攻擊方法分析[J].湖南民族職業(yè)學(xué)院學(xué)報(bào)，2007，（04）.