王正才

【摘要】網(wǎng)絡(luò)在給企業(yè)提供幫助的同時，企業(yè)也面臨著由于網(wǎng)絡(luò)本身存在的缺陷帶來的網(wǎng)絡(luò)安全隱患危險，為了確保企業(yè)網(wǎng)絡(luò)的安全、保證企業(yè)的正常運作，改善企業(yè)網(wǎng)絡(luò)安全防御體系從而提高防御功能是當(dāng)前企業(yè)網(wǎng)絡(luò)首要處理的問題。文中對XX企業(yè)網(wǎng)絡(luò)安全進行分析和評估，擬定網(wǎng)絡(luò)安全需求，在最大化減少費用的情況下，提出了適用于企業(yè)網(wǎng)絡(luò)的安全解決方案。

【關(guān)鍵字】企業(yè)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全需求;安全解決方案

基金項目：貴州省高等學(xué)校人文社會科學(xué)研究基地項目（2018jd113）

1. XX企業(yè)網(wǎng)絡(luò)簡介

XX企業(yè)是一家私人投資，國家扶持建設(shè)的電子商務(wù)平臺企業(yè)。隨著規(guī)模不斷的擴大，現(xiàn)企業(yè)的網(wǎng)絡(luò)信息化的建設(shè)已具有一定的規(guī)模?，F(xiàn)企業(yè)網(wǎng)絡(luò)經(jīng)過不斷的建設(shè)已經(jīng)擁有自己的辦公系統(tǒng)規(guī)模如：財務(wù)系統(tǒng)、人力資源管理系統(tǒng)、郵件服務(wù)系統(tǒng)、ftp服務(wù)系統(tǒng)、DNS服務(wù)系統(tǒng)以及網(wǎng)站服務(wù)系統(tǒng)等子系統(tǒng)等，形成了集生產(chǎn)經(jīng)營管理的企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。該企業(yè)的整體網(wǎng)絡(luò)拓撲圖成星型結(jié)構(gòu)，其拓撲圖如下：

2. 安全需求分析

通過調(diào)查分析，XX企業(yè)網(wǎng)絡(luò)主要的安全需求可以概括以下幾個方面：

2.1 安全人員需求

企業(yè)中從網(wǎng)絡(luò)管理員以及業(yè)務(wù)員兩方面分析用戶需求：在網(wǎng)絡(luò)管理員方面;管理員應(yīng)具有一定的專業(yè)能力，能夠廣泛應(yīng)用和管理網(wǎng)絡(luò)設(shè)備，維護和管理網(wǎng)絡(luò)通信故障處理系統(tǒng)，監(jiān)督機房網(wǎng)絡(luò)設(shè)備及軟件的正常運行，企業(yè)網(wǎng)絡(luò)人員肩負網(wǎng)絡(luò)安全的責(zé)任，按期實時監(jiān)測網(wǎng)絡(luò)狀況，同時組織其他成員對安全意識方面的學(xué)習(xí)。在業(yè)務(wù)員方面：設(shè)置各用戶的訪問權(quán)限，禁止泄露自我權(quán)限密碼，防止公司機密數(shù)據(jù)的泄露;以及越權(quán)處理事件的發(fā)生。

2.2 物理層的安全需求

企業(yè)的網(wǎng)絡(luò)管理中心機房所配置的各類設(shè)備如服務(wù)器等都存在不同程度上的電磁干擾，企業(yè)應(yīng)對中心機房配置電磁干擾器等措施，現(xiàn)有的 UPS 電源系統(tǒng)的功率不足，需要更換，以保證整個網(wǎng)絡(luò)安全環(huán)境的良好運行，在足夠的經(jīng)濟成本條件下，進一步的增加企業(yè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備，如主交換機的備份等。在物理冗余電路的設(shè)計上，應(yīng)進行備份，在核心設(shè)備出現(xiàn)安全故障時，也能夠保證整個企業(yè)網(wǎng)絡(luò)的安全運行。

2.3 網(wǎng)絡(luò)層的安全需求

針對企業(yè)數(shù)據(jù)和信息有效安全傳輸需求;企業(yè)辦公人員經(jīng)常在網(wǎng)上下載各類資源軟件，無法確定其運行是否安全可靠;尤其是通訊軟件的下載，當(dāng)我們通過通訊軟件來傳輸或發(fā)送機密文件時是無法確保數(shù)據(jù)或文件在傳輸?shù)倪^程中是否被其攻擊者篡改或竊取，從而導(dǎo)致數(shù)據(jù)信息的完整性、可靠性以及保密性的缺失，也難以避免其給公司帶來的危害，因此數(shù)據(jù)在傳輸時應(yīng)加密，避免給公司帶來重大傷害。

2.4 應(yīng)用層的安全需求

整個系統(tǒng)從應(yīng)用層上來說，所提供的高性能服務(wù)，如web安全以及電子郵件等都是發(fā)生在整個網(wǎng)絡(luò)層次中的這一層。正因為如此才導(dǎo)致針對企業(yè)網(wǎng)絡(luò)所發(fā)生的攻擊都發(fā)生在這一層次上。對于企業(yè)來說，企業(yè)網(wǎng)絡(luò)再向用戶提供服務(wù)時所使用的服務(wù)軟件如應(yīng)用軟件、數(shù)據(jù)庫軟件等，在安全性方面都需要得到保證，這就是應(yīng)用層上的安全需求。

3. 總體解決方案

3.1 優(yōu)化網(wǎng)絡(luò)布局

主要通過以下幾個方面升級與改善企業(yè)網(wǎng)絡(luò)：

①添加備份交換機，防止主交換機出現(xiàn)瓶頸障礙時整個企業(yè)的網(wǎng)絡(luò)無法運行，在主交換機與備用交換機之間配置冗余線路，避免單個交換機的負載過大，而造成的網(wǎng)絡(luò)癱瘓。

②細化企業(yè)整體局域網(wǎng)的規(guī)劃，縮小VLAN網(wǎng)段的劃分范圍;改善后的企業(yè)的各項部門各占一個VLAN網(wǎng)段;各部門的VLAN網(wǎng)段的劃分。如圖3所示。

③建立專用的數(shù)據(jù)庫服務(wù)器與web服務(wù)器，構(gòu)建企業(yè)網(wǎng)站的搭建，便于信息資源的共享，解決資源存儲浪費的問題，以及更新不變的問題;低成本的在web查詢?yōu)g覽所需信息。

④部署安裝VPN系統(tǒng)，給企業(yè)搭建虛擬專用網(wǎng)，運用認證技術(shù)等使合法用戶能夠合法訪問，以實現(xiàn)出差在外的人員及遠程用戶安全訪問。

⑤主交換機接入IDS入侵檢測系統(tǒng)，便于網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)進行監(jiān)聽，隨時發(fā)現(xiàn)外來入侵，達到及時阻斷，并防患于未然的目的。

⑥在路由器與防火墻之間部署IPS入侵防御系統(tǒng)，實現(xiàn)對外來攻擊的實時檢測與阻斷，抵御外來攻擊。

3.2 網(wǎng)絡(luò)層上的安全設(shè)計

網(wǎng)絡(luò)層的目的是實現(xiàn)兩個端系統(tǒng)之間的透明傳送，所以訪問控制、身份認證、數(shù)據(jù)的遠程發(fā)送與接收的保密性及完整性等;以及入侵檢測技術(shù)的實現(xiàn)、路由器的配置等都是屬于網(wǎng)絡(luò)層所解決的問題。在本企業(yè)的整體網(wǎng)絡(luò)的設(shè)計中，網(wǎng)絡(luò)層主要是劃分各個VLAN子網(wǎng)，將企業(yè)所有的部門如營銷部、財務(wù)部、人力資源部等各為一個VLAN子網(wǎng)、企業(yè)內(nèi)部子網(wǎng)進行物理邏輯隔離;有利于整個企業(yè)網(wǎng)絡(luò)整體的部署與規(guī)劃管理。每個部門之間相互設(shè)置訪問控制列表，避免數(shù)據(jù)在傳輸過程中發(fā)生異常。同時運用VPN建立通信隧道，保障數(shù)據(jù)進行傳輸時，不被盜取或是被修改。在整體企業(yè)網(wǎng)絡(luò)的內(nèi)網(wǎng)與外網(wǎng)之間部署專用防火墻，以確保整個網(wǎng)絡(luò)邊界的安全;并在路由器上設(shè)立訪問控制權(quán)限，同時對用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)時設(shè)置用戶權(quán)限。

3.3 應(yīng)用層上的安全設(shè)計

應(yīng)用層上的安全問題可涵蓋訪問控制安全、數(shù)據(jù)傳輸安全等問題。針對本企業(yè)應(yīng)用層上的應(yīng)用安全問題和使用現(xiàn)狀，在企業(yè)的應(yīng)用層上的安全設(shè)計包括以下幾個方面：定期查看設(shè)備操作記錄，以及服務(wù)器的訪問日志并對其進行審計，一旦發(fā)現(xiàn)需要進行修復(fù)的問題立即修復(fù)，從而提高審計效率;定期查看審計日志避免攻擊者的攻擊;同時采用備份手段，對系統(tǒng)進行備份，避免由于操作不當(dāng)致使系統(tǒng)無法啟動而導(dǎo)致的數(shù)據(jù)的喪失等問題。并運用可靠性高的大容量磁盤陣列對計算機網(wǎng)絡(luò)數(shù)據(jù)進行集中存儲，對機密數(shù)據(jù)進行單獨存儲，實現(xiàn)數(shù)據(jù)的存儲備份。同時在web服務(wù)器上安全配置web服務(wù)器，以及網(wǎng)頁防篡改技術(shù)等來避免未授權(quán)訪問拒絕服務(wù)攻擊等發(fā)生。郵件服務(wù)器配置安裝好email系統(tǒng)，避免郵件在傳輸過程中被竊聽篡改。并使用身份驗證技術(shù)，確保雙方信息不被假冒，機密信息不被泄露，篡改等。

3.4 物理環(huán)境的安全設(shè)計

針對目前企業(yè)的物理環(huán)境的安全設(shè)計措施包含以下幾個方面：

①增大中心機房面積，對機房中所隨地存放的設(shè)備進行合理存放。

②添加一定的電磁防護設(shè)備和防靜電設(shè)備以及消防安全達到國家標(biāo)準(zhǔn)。

③現(xiàn)有的 UPS電源系統(tǒng)的功率不足，需要更換更大的UPS 電源系統(tǒng)的功率，確保機房的網(wǎng)絡(luò)運行的電力充足。

④在中心機房原有一臺空調(diào)的情況下，添加一臺空調(diào)，兩條空調(diào)電路不相同，以確保其中一臺無法運行的情況下，另一臺依舊能夠運行。

⑤為所有的機房設(shè)備設(shè)置管理權(quán)限，避免越權(quán)管理的發(fā)生;并在機房中心張貼機房安全管理條例。

⑥在中心機房安裝指紋識別門的技術(shù)，并在機房內(nèi)部安裝監(jiān)視系統(tǒng)，監(jiān)視機房內(nèi)的情況并予以記錄以便日后的查詢和取證。

3.5 網(wǎng)絡(luò)安全管理策略

網(wǎng)絡(luò)安全管理策略方面應(yīng)從以下幾個方面著手：

①劃分工作職責(zé)，使責(zé)任明確化。企業(yè)在網(wǎng)絡(luò)管理方面應(yīng)當(dāng)劃分各個管理員的崗位職責(zé)，避免出現(xiàn)問題時互相推諉，使責(zé)任明確化，定期對網(wǎng)絡(luò)安全系統(tǒng)進行檢測以及更新時應(yīng)填寫記錄檔案。

②建立合理的內(nèi)部安全管理制度。建立設(shè)備管理條例及機房管理制度，并粘貼在企業(yè)中心機房的存放設(shè)備的顯眼處。對于該企業(yè)員工而言應(yīng)建立防病毒制度，操作安全管理制度，以達到培養(yǎng)員工的網(wǎng)絡(luò)安全制度意識的目的。同時建立網(wǎng)絡(luò)應(yīng)急制度，保證企業(yè)網(wǎng)絡(luò)突發(fā)事故時能夠及時處理，恢復(fù)網(wǎng)絡(luò)。

③改善企業(yè)應(yīng)用平臺管理安全制度。目前企業(yè)缺少一個應(yīng)用系統(tǒng)平臺對系統(tǒng)進行安全管理，所以急需建立統(tǒng)一的應(yīng)用安全平臺來進行管理，以達到高效，便捷的管理模式;涵蓋統(tǒng)一的數(shù)據(jù)庫、統(tǒng)一的維護資源目錄、統(tǒng)一授權(quán)等。

4. 結(jié)論

本文通過對企業(yè)的網(wǎng)絡(luò)安全問題的現(xiàn)狀分析，主要運用入侵檢測技術(shù)、入侵防御系統(tǒng)、訪問控制技術(shù)等幾個方面的網(wǎng)絡(luò)技術(shù)，保證了企業(yè)網(wǎng)絡(luò)的安全，也對企業(yè)安全管理方面提出了相應(yīng)的建議;另外也從網(wǎng)絡(luò)層、系統(tǒng)層以及應(yīng)用層等企業(yè)網(wǎng)絡(luò)管理層次上做出相應(yīng)的設(shè)計，已達到改善企業(yè)在網(wǎng)絡(luò)安全管理方面升級與優(yōu)化的目的。企業(yè)安全管理策略的實施將給企業(yè)的網(wǎng)絡(luò)安全環(huán)境帶來一定的改善與保障。當(dāng)今網(wǎng)絡(luò)化的迅速發(fā)展，勢必會給企業(yè)帶來更多的安全問題，企業(yè)在以后不斷的發(fā)展過程中仍然需要不斷的改進企業(yè)網(wǎng)絡(luò)安全防護技術(shù)，加強企業(yè)管理人員在網(wǎng)絡(luò)安全技術(shù)方面的學(xué)習(xí)，不斷引進國內(nèi)外安全技術(shù)，提高企業(yè)的網(wǎng)絡(luò)安全管理能力。

參考文獻：

[1]孫金霞.中小型企業(yè)網(wǎng)絡(luò)服務(wù)器安全加固分析[J].價值工程，2019（27）：231-232.

[2]劉天琪，楊朋威，孫曉達，郭俊英.企業(yè)網(wǎng)絡(luò)安全管理平臺的設(shè)計研究[J]. 現(xiàn)代信息科技，2019，3（13）：184-185.

[2]李艾國.信息化時代企業(yè)網(wǎng)絡(luò)安全的重要性[J].電子技術(shù)與軟件工程， 2019（10）：213.