■張建國

如今很多企業(yè)都建設(shè)了企業(yè)網(wǎng)并通過各種渠道接入了Internet，企業(yè)的運作越來越融入計算機網(wǎng)絡(luò)，但隨之產(chǎn)生的網(wǎng)絡(luò)安全問題也日漸明顯地擺在了網(wǎng)絡(luò)管理員面前。

對于網(wǎng)絡(luò)管理者來說，網(wǎng)絡(luò)的安全管理直接關(guān)系到企業(yè)工作的穩(wěn)定和正常開展。而企業(yè)對安全性的要求有其自身的特殊性，除了傳統(tǒng)意義上的信息安全以外，還應提高對病毒、惡意攻擊以及物理設(shè)備的安全防范。

本文根據(jù)筆者任職多年網(wǎng)絡(luò)管理員的實際，側(cè)重談了下如何加強對企業(yè)網(wǎng)絡(luò)的安全管理。主要分別從企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范、企業(yè)服務器的安全、基于VLAN 的企業(yè)網(wǎng)絡(luò)安全部署角度作了調(diào)查和研究。

在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機版防病毒產(chǎn)品已經(jīng)很難徹底防范和清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。

在企業(yè)網(wǎng)絡(luò)中，可以配置一臺高性能的汁算機安裝網(wǎng)絡(luò)版殺毒軟件的控制端，負責管理各終端主機病毒的防治工作，在各用戶主機上安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。通過殺毒軟件的控制臺進行定時殺毒的設(shè)置和自動升級的設(shè)置，確保殺毒和升級的時效性，使網(wǎng)絡(luò)具有較強的防病毒能力。

(一)使用和配置防火墻

防火墻是網(wǎng)絡(luò)的第一道防線，一般安裝在內(nèi)網(wǎng)與外網(wǎng)的交界處，如各級路由器上。利用防火墻，在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪間的用戶與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)外的黑客訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。

防火墻是一種行之有效且應用廣泛的網(wǎng)絡(luò)安全機制，可有效防止Internet 上的不安全因素蔓延到企業(yè)內(nèi)部。所以，防火墻是企業(yè)網(wǎng)絡(luò)安全的重要一環(huán)。

(二)采用入提檢測系統(tǒng)

入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于是一種積極主動的安全防護技術(shù)。入侵檢測系統(tǒng)一般要安裝在網(wǎng)絡(luò)的關(guān)鍵點上，如Internet 接入路由器之后的第一臺交換機上，在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。

(三)Web，Email 的安全監(jiān)測系統(tǒng)

在網(wǎng)絡(luò)的WWW 服務器、Email 服務器等環(huán)節(jié)中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet 網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW，Email，F(xiàn)TP，Telnet應用的內(nèi)容，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時采取有效措施。

(四)漏洞掃描系統(tǒng)

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對企業(yè)龐大的網(wǎng)絡(luò)，僅僅依靠個人的技術(shù)和經(jīng)驗尋找安全漏洞、做出評估。顯然是不現(xiàn)實的。我們可以尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和安裝安全補丁等多種方式最大可能地彌補最新的安全漏洞和消除安全隱患。可以利用各種黑客工具，定期對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞，以便更好地發(fā)現(xiàn)和杜絕網(wǎng)絡(luò)中的安全隱患。

(五)ARP 病毒的防御

ARP 是Address Resolution Protocol 的縮寫，即地址解析協(xié)議，它是一個位于TCP/IP 協(xié)議棧中的低層協(xié)議，負責將某個IP 地址解析成對應的MAC 地址。它是系統(tǒng)進行通訊的基礎(chǔ)。是以信任為基礎(chǔ)的，如果破壞了這個信任，那就形成ARP 欺騙了。局域網(wǎng)經(jīng)常會受到來自各方面的攻擊，導致不能正常工作，其中ARP 攻擊是一個經(jīng)常發(fā)生的攻擊，只要有一臺電腦感染ARP, 就可能導致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓，這給網(wǎng)絡(luò)用戶造成了很大的不便，因此了解ARP 攻擊原理，防御ARP 攻擊是保障企業(yè)網(wǎng)絡(luò)正常工作應該引起重視的一個問題。目前對于ARP 攻擊防御問題出現(xiàn)最多是綁定IP 地址和MAC 地址或使用ARP 防護軟件。

采用綁定IP 地址和MAC 地址這種方式進行綁定，如果網(wǎng)絡(luò)中有上百臺計算機，這個工作量是非常大的。所以這種方式不推薦在大型網(wǎng)絡(luò)中使用，企業(yè)內(nèi)部更適合使用ARP防護軟件，目前ARP 防護軟件很多，比較常用的ARP 工具軟件主要是360ARP 防火墻、AntiARP、彩影ARP 防火墻等?？梢栽谶@類軟件中綁定IP 地址和網(wǎng)關(guān)，另外這類軟件還會在提示框內(nèi)出現(xiàn)病毒主機的MAC 地址，方便我們快速找到攻擊源，然后進行清除。根據(jù)實際網(wǎng)絡(luò)環(huán)境，我們采取相應的防御方法，還是非常有效的。

(六)使用GHOST 軟件備份操作系統(tǒng)

Ghost (是General Hardware Oriented Software Transfer 的縮寫譯為“面向通用型硬件系統(tǒng)傳送器”)軟件是美國賽門鐵克公司推出的一款出色的硬盤備份還原工具，可以實現(xiàn)FAT16，F(xiàn)AT3，NTF，OS2 等多種硬盤分區(qū)格式的分區(qū)及硬盤的備份還原。該技術(shù)的應用有效地解決了計算機系統(tǒng)崩潰，重新安裝操作系統(tǒng)及后續(xù)應用程序需要花費大量時間的問題。提供了一種便捷、高效的途徑。

Ghost，的備份還原是以硬盤的扇區(qū)為單位進行的，也就是說可以將一個硬盤上的物理信息完整復制，而不僅僅是數(shù)據(jù)的簡單復制。Ghost 支持將分區(qū)或硬盤直接備份到一個擴展名為。gho。的文件里(賽門鐵克公司把這種文件稱為鏡像文件)，也支持直接備份到另一個分區(qū)或硬盤里。

網(wǎng)絡(luò)管理者可以在完成操作系統(tǒng)及各種驅(qū)動的安裝后，將常用的軟件(如殺毒、媒體播放軟件、office 辦公軟件等)安裝到系統(tǒng)所在盤，接著安裝操作系統(tǒng)和常用軟件的各種升級補丁，然后優(yōu)化系統(tǒng)，最后做系統(tǒng)盤的克隆備份，這樣就可以在下次出現(xiàn)系統(tǒng)故障時免去安裝系統(tǒng)及相關(guān)應用軟件的麻煩，提高工作效率、節(jié)約大量的時間。