◆姜傳江馬 赟

（1 新疆金牛能源物聯(lián)網(wǎng)科技股份有限公司 新疆 834008；2 新疆油田公司工程技術(shù)研究院 新疆 834000）

企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)及相關(guān)問(wèn)題解析

◆姜傳江1馬 赟2

（1 新疆金牛能源物聯(lián)網(wǎng)科技股份有限公司 新疆 834008；2 新疆油田公司工程技術(shù)研究院 新疆 834000）

伴隨著科學(xué)技術(shù)的不斷更新，網(wǎng)絡(luò)信息技術(shù)在各行各業(yè)中普及應(yīng)用，企業(yè)網(wǎng)絡(luò)的規(guī)模也在不斷地?cái)U(kuò)建，以提高自身的知名度，進(jìn)而增強(qiáng)自身在經(jīng)濟(jì)市場(chǎng)中的競(jìng)爭(zhēng)力。規(guī)模擴(kuò)大的過(guò)程中必然會(huì)有些新鮮的元素融入其中，也就是說(shuō)此時(shí)企業(yè)的結(jié)構(gòu)體系變得繁雜化。本文認(rèn)為企業(yè)網(wǎng)絡(luò)的安全性與企業(yè)經(jīng)濟(jì)利益取得的大小息息相關(guān)。

企業(yè)網(wǎng)絡(luò)；安全；結(jié)構(gòu)設(shè)計(jì)；問(wèn)題；解析

0 引言

有關(guān)資料顯示，60%以上的企業(yè)網(wǎng)站都曾遭受過(guò)黑客的侵襲，大約有80%的企業(yè)網(wǎng)站曾受到病毒的困擾，這些數(shù)據(jù)信息證明了企業(yè)中的信息安全問(wèn)題越來(lái)越顯著，因此企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)工作就受到了極高的重視度。本文總結(jié)長(zhǎng)期的工作經(jīng)驗(yàn)，在解析現(xiàn)階段企業(yè)網(wǎng)絡(luò)存在問(wèn)題的基礎(chǔ)上，主觀地認(rèn)為企業(yè)的網(wǎng)絡(luò)可以被劃分為兩個(gè)模板，即企業(yè)園區(qū)網(wǎng)絡(luò)與企業(yè)邊界網(wǎng)絡(luò)。

1 目前企業(yè)網(wǎng)絡(luò)安全存在的顯著問(wèn)題

1.1 企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問(wèn)題

企業(yè)內(nèi)部總會(huì)存在一些缺乏職業(yè)責(zé)任心的工作人員，他們有意破壞網(wǎng)絡(luò)信息系統(tǒng)，對(duì)其穩(wěn)定性造成干擾。有些工作人員甚至將企業(yè)機(jī)密信息外泄出去，使企業(yè)網(wǎng)絡(luò)的安全性遭受嚴(yán)重的威脅。當(dāng)然病毒的侵入帶來(lái)的危害也是不容忽視的，因?yàn)樗鼘?duì)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行造成了干擾。除此之外，科室網(wǎng)上辦公的實(shí)現(xiàn)，使企業(yè)網(wǎng)絡(luò)的監(jiān)督管理工作難度大大增加。

1.2 與外部互聯(lián)網(wǎng)銜接方面存在的安全隱患問(wèn)題

企業(yè)在接受某些業(yè)務(wù)，與外界環(huán)境中的互聯(lián)網(wǎng)網(wǎng)絡(luò)進(jìn)行銜接時(shí)，內(nèi)部網(wǎng)絡(luò)的訪問(wèn)次數(shù)就會(huì)有所增加，那么在與互聯(lián)網(wǎng)網(wǎng)絡(luò)相互連接的情況下，有些企業(yè)的內(nèi)部網(wǎng)絡(luò)就有更大的幾率受到來(lái)自因特網(wǎng)的攻擊。

1.3 黑客的攻擊

現(xiàn)階段，黑客的行為愈發(fā)猖狂，破壞手段也愈發(fā)多元化。其對(duì)企業(yè)網(wǎng)絡(luò)的攻擊會(huì)使重要商業(yè)資料泄密，給企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失，只有在加密技術(shù)以及訪問(wèn)控制技術(shù)的配合下，才會(huì)降低黑客的攻擊行為的幾率。

1.4 網(wǎng)絡(luò)癱瘓

廣播風(fēng)暴、網(wǎng)絡(luò)環(huán)路的產(chǎn)生，都會(huì)致使企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)問(wèn)題。此外ARP病毒的侵襲也會(huì)致使網(wǎng)絡(luò)癱瘓現(xiàn)象的發(fā)生，還有黑客的肆意攻擊也會(huì)使計(jì)算機(jī)系統(tǒng)的主機(jī)正常工作受到阻礙。

2 企業(yè)園區(qū)網(wǎng)安全相關(guān)的設(shè)計(jì)工作

企業(yè)園區(qū)網(wǎng)可以被視為企業(yè)的內(nèi)部網(wǎng)絡(luò)，它可以細(xì)化為核心網(wǎng)絡(luò)、分布層網(wǎng)絡(luò)、接入層網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)以及邊界分布網(wǎng)絡(luò)這五個(gè)部分，以下本文對(duì)前三種模板進(jìn)行詳細(xì)的探究，解析使設(shè)計(jì)工作達(dá)到安全目標(biāo)的手段和技術(shù)。

2.1 核心網(wǎng)絡(luò)模塊安全

在企業(yè)網(wǎng)絡(luò)體系中，核心模塊的功能是使兩個(gè)以上不同網(wǎng)絡(luò)體系中的信息源實(shí)現(xiàn)迅速流通以及交匯融合的目標(biāo)。

在該類型網(wǎng)絡(luò)模塊的設(shè)計(jì)工作中，第三層交換設(shè)施必須參與其中，它能夠使兩個(gè)異樣的模板實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)信息傳遞與互換的目標(biāo)。此外該設(shè)施的性價(jià)比是極高的，可以使數(shù)據(jù)信息傳輸?shù)乃俾蚀蠓鹊靥嵘?，其在輔助信息傳送的進(jìn)程中，通過(guò)冗余熱備份結(jié)構(gòu)的應(yīng)用，對(duì)核心網(wǎng)絡(luò)體系起到了極大的維護(hù)作用，使其更具穩(wěn)定性?？傊?，核心網(wǎng)絡(luò)模塊如果實(shí)現(xiàn)安全的目標(biāo)，那么企業(yè)網(wǎng)絡(luò)中分組竊聽等事件發(fā)生的幾率就會(huì)大大地縮減。

2.2 分布層網(wǎng)絡(luò)模塊安全

分布層網(wǎng)絡(luò)模塊設(shè)計(jì)的必要性體現(xiàn)在其能夠?yàn)榻尤雽踊Q機(jī)供應(yīng)路由、質(zhì)量服務(wù)（QoS）以及訪問(wèn)限制等服務(wù)內(nèi)容，當(dāng)然該服務(wù)內(nèi)容均攜有分布層的這一特殊性質(zhì)，數(shù)據(jù)信息傳送的需求必須經(jīng)過(guò)該類互換機(jī)的允許才有機(jī)會(huì)傳輸進(jìn)企業(yè)核心網(wǎng)絡(luò)模塊中，否則以相反的方向運(yùn)行。

標(biāo)準(zhǔn)網(wǎng)絡(luò)的設(shè)計(jì)以及安裝對(duì)企業(yè)使用者的網(wǎng)絡(luò)安全起到了的保護(hù)作用，而對(duì)交互機(jī)相關(guān)零件優(yōu)化工作的開展，使入侵檢驗(yàn)以及分層網(wǎng)絡(luò)模塊這些環(huán)節(jié)顯得不再必要。但是如果在服務(wù)器、遠(yuǎn)程接入設(shè)備以及互聯(lián)網(wǎng)共同參與的重要數(shù)據(jù)信息傳送的模塊中，信息就必須經(jīng)歷入侵檢驗(yàn)這一道程序。分層網(wǎng)絡(luò)模塊也可以被看作為“防御門”，通過(guò)設(shè)置訪問(wèn)權(quán)限的途徑，可以防止企業(yè)內(nèi)部中一個(gè)部門頻繁地對(duì)另一個(gè)部門進(jìn)行訪問(wèn)活動(dòng)，這就提高了服務(wù)器上信息資源的保密性。對(duì)分層網(wǎng)絡(luò)模塊的作用進(jìn)行歸納，其最重要的作用是實(shí)現(xiàn)與企業(yè)接入層網(wǎng)絡(luò)第二層交互機(jī)連接的目標(biāo)。其次它的設(shè)計(jì)與應(yīng)用，有效地遏制了沒(méi)有獲得訪問(wèn)權(quán)的用戶隨意對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行探訪現(xiàn)象的出現(xiàn)，使IP不法電子欺騙行為得到管控，使分組竊聽不會(huì)再對(duì)企業(yè)網(wǎng)絡(luò)的安全環(huán)境構(gòu)成威脅。

2.3 接入層網(wǎng)絡(luò)模塊安全

該網(wǎng)絡(luò)作為企業(yè)內(nèi)部攻擊的核心部分，為了落實(shí)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行全方位維護(hù)的目標(biāo)，主機(jī)以及IDS網(wǎng)絡(luò)、專用VLAN的應(yīng)用發(fā)揮了全面保護(hù)的作用。交換機(jī)端口鏡像的安設(shè)優(yōu)化了企業(yè)網(wǎng)絡(luò)的監(jiān)控形式。在該網(wǎng)絡(luò)模塊中，主要參與的設(shè)備有以下幾類：第三層交換機(jī)、企業(yè)有關(guān)部門的服務(wù)器、內(nèi)部郵件服務(wù)器。在主機(jī)的IDS的管控下，那些帶有危害性的未授權(quán)訪問(wèn)者就不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的安全性造成破壞。此外在其的保護(hù)下，網(wǎng)絡(luò)安裝端口二次定向代理現(xiàn)象被有效地杜絕。與此同時(shí)，如果網(wǎng)絡(luò)系統(tǒng)的相關(guān)設(shè)施實(shí)現(xiàn)了及時(shí)更新更換的目標(biāo)，那么在接入層網(wǎng)絡(luò)模塊的輔助下，企業(yè)網(wǎng)絡(luò)體系的安全系數(shù)必然提高。

3 企業(yè)邊界網(wǎng)絡(luò)安全的設(shè)計(jì)工作

企業(yè)邊界網(wǎng)絡(luò)是存在于企業(yè)內(nèi)、外部網(wǎng)之間的結(jié)構(gòu)，該網(wǎng)絡(luò)的設(shè)計(jì)工作中的重大內(nèi)容是使將企業(yè)內(nèi)外部的信息處于平衡。

3.1 企業(yè)互聯(lián)網(wǎng)模塊安全

防火墻的安裝一直是企業(yè)互聯(lián)網(wǎng)模塊設(shè)計(jì)工作中的核心程序[2]，換句話說(shuō)這一裝置的安設(shè)使企業(yè)內(nèi)部用戶在對(duì)企業(yè)網(wǎng)絡(luò)體系應(yīng)用時(shí)提供了安全保障。這是因?yàn)楦鱾€(gè)方向的信息資源若想要流入企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中，防火墻就像一道“防護(hù)門”一樣，對(duì)信息資源進(jìn)行檢測(cè)，將那些非法的信息拒之門外。

企業(yè)互聯(lián)網(wǎng)模塊的結(jié)構(gòu)設(shè)計(jì)并非是復(fù)雜的，它將ISP客戶邊緣路由器最為設(shè)計(jì)的初始點(diǎn)，在面對(duì)那些不在預(yù)定門限范圍之內(nèi)的、并且重要性不大的信息，對(duì)其運(yùn)行的速率進(jìn)行管控，以使DoS結(jié)構(gòu)受到的傷害程度降低。

一些中小型企業(yè)所處的區(qū)域中經(jīng)常會(huì)存在電子欺騙事件，這對(duì)企業(yè)網(wǎng)絡(luò)體系造成攻擊，而防火墻結(jié)構(gòu)中的RFC1918和2827處于ISP路由器出口位置，可以對(duì)那些不法分子的電子欺騙行為進(jìn)行過(guò)濾，起到了緩沖的效果。

3.2 VPN與遠(yuǎn)程接入模塊安全

企業(yè)外部用戶可以分為三種類型，但是一般情況下這三種外部用戶是相對(duì)獨(dú)立存在的，只有在企業(yè)網(wǎng)絡(luò)VPN與遠(yuǎn)程接入模塊得以設(shè)計(jì)并落實(shí)應(yīng)用之時(shí)，它們的身份才會(huì)得到準(zhǔn)確的驗(yàn)證，同時(shí)實(shí)現(xiàn)了相互連接的目標(biāo)。

該模板具體由遠(yuǎn)程接入VPN、撥號(hào)接入使用者、點(diǎn)對(duì)點(diǎn)VPN等元素構(gòu)成。遠(yuǎn)程接入VPN可以理解為那些從企業(yè)互聯(lián)網(wǎng)模塊接入路由器發(fā)出的VPN信息源經(jīng)過(guò)一系列的處理程序最終流向?qū)賄PN服務(wù)體系的某一特定的IP地址以及協(xié)議中，例如IPSec、PPTP以及L2TP這些常見的安全協(xié)議；撥號(hào)接入面對(duì)的對(duì)象大多數(shù)為傳統(tǒng)的撥號(hào)用戶，為了保證他們所提供信息的安全性，路由器服務(wù)的供應(yīng)發(fā)揮了很大的成效，此時(shí)驗(yàn)證方式是多種多樣的，可以是CHAP，也可以是AAA或者是OTP等；點(diǎn)對(duì)點(diǎn)VPN就是將點(diǎn)站間的IP信息資源在ESP的維護(hù)下而達(dá)到傳輸?shù)哪繕?biāo)。

3.3 電子商務(wù)模塊安全

電子商務(wù)模塊的構(gòu)建實(shí)現(xiàn)了企業(yè)與外界網(wǎng)絡(luò)數(shù)據(jù)資源相互交換的目標(biāo)，其應(yīng)用以及服務(wù)性能是極為重要的。此外該模塊的設(shè)計(jì)理念必須有平衡性接入以及安全性作為支柱。該網(wǎng)絡(luò)模塊的中心部分是Web，ISP邊界路由器的安裝起到了輔助與維護(hù)的作用。對(duì)電子商務(wù)模塊進(jìn)行細(xì)致地觀察分析，研究者發(fā)現(xiàn)主機(jī)IDS軟件的安裝對(duì)服務(wù)器起到了全面維護(hù)的作用，其發(fā)揮的保護(hù)作用是不可替代的。

4 結(jié)束語(yǔ)

盡管科學(xué)技術(shù)日新月異，不斷改善優(yōu)化，但是企業(yè)網(wǎng)絡(luò)安全問(wèn)題還是存在的，解決企業(yè)內(nèi)外部以及黑客攻擊等問(wèn)題是企業(yè)工作中的重點(diǎn)內(nèi)容，因此企業(yè)管理人員必須提高對(duì)企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的重視度，結(jié)合企業(yè)網(wǎng)絡(luò)的現(xiàn)實(shí)情況，將模塊化這一新型的設(shè)計(jì)理念滲入其中[3]，切實(shí)地做好企業(yè)園區(qū)網(wǎng)以及企業(yè)邊界網(wǎng)的設(shè)計(jì)工作，同時(shí)也可以借助購(gòu)買第三方軟件、對(duì)不同廠商的設(shè)備進(jìn)行協(xié)調(diào)管理等方法，去建立健全企業(yè)信息資源統(tǒng)一管理的平臺(tái)。

[1]陳麗，陳姍雪.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)與方案選擇[J].中國(guó)石油和化工，2011.

[2]戎小芳.淺談網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].機(jī)械管理開發(fā)，2007.

[3]徐善美.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2010.