摘 要:Internet的日漸普及，讓網(wǎng)絡(luò)開始融入到人們的生活中，與此同時(shí)網(wǎng)絡(luò)信息資源的安全也更被大家所關(guān)注。在中小型企業(yè)中，網(wǎng)絡(luò)作為支撐各種業(yè)務(wù)的基礎(chǔ)設(shè)施之一，其安全性在企業(yè)運(yùn)營過程中有著至關(guān)重要的地位。本文從中小型企業(yè)組網(wǎng)現(xiàn)狀出發(fā)，重點(diǎn)討論組網(wǎng)安全性策略，并通過對(duì)溫州成功鞋業(yè)有限責(zé)任公司組網(wǎng)策略中存在的安全漏洞進(jìn)行分析，結(jié)合現(xiàn)下中小型企業(yè)普遍存在的組網(wǎng)安全問題，提出一套組網(wǎng)過程中安全防護(hù)策略和后期網(wǎng)絡(luò)維護(hù)的具體措施。

關(guān)鍵詞:中小企業(yè) 網(wǎng)絡(luò) 安全策略 服務(wù)器 VLAN 帶寬

中圖分類號(hào):TP3\t\t\t文獻(xiàn)標(biāo)識(shí)碼:A\t\t\t文章編號(hào):1672-3791(2011)10(a)-0178-01

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，企業(yè)各項(xiàng)業(yè)務(wù)進(jìn)一步電子化，網(wǎng)絡(luò)化。然而，網(wǎng)絡(luò)在帶來各種便利的同時(shí)，企業(yè)也將面臨網(wǎng)絡(luò)應(yīng)用帶拉的各種危險(xiǎn)，包括病毒、木馬、垃圾郵件、間諜軟件等。中小企業(yè)流動(dòng)資金相對(duì)缺乏、缺乏網(wǎng)絡(luò)專業(yè)維護(hù)人員的配備，導(dǎo)致在組網(wǎng)過程中資金投入不足，網(wǎng)絡(luò)組建后可用性差、回報(bào)率低;另一方面，中小企業(yè)內(nèi)部的職能會(huì)存在一定程度上的交叉，部門的組織結(jié)構(gòu)短小，層次單一，導(dǎo)致很多安全措施難以到位[1]。因此，中小企業(yè)無法采用大型企業(yè)已有的組網(wǎng)過程中的安全策略。本文從中小型企業(yè)組網(wǎng)現(xiàn)狀出發(fā)，重點(diǎn)討論組網(wǎng)安全性策略，并通過對(duì)溫州成功鞋業(yè)有限責(zé)任公司組網(wǎng)策略中存在的安全漏洞進(jìn)行分析，結(jié)合現(xiàn)下中小型企業(yè)普遍存在的組網(wǎng)安全問題，提出一套組網(wǎng)過程中安全防護(hù)策略和后期網(wǎng)絡(luò)維護(hù)的具體措施。

1 中小型企業(yè)組網(wǎng)安全策略的分析

1.1 中小型企業(yè)組網(wǎng)現(xiàn)狀

企業(yè)信息化的不斷推進(jìn)，越來越多的中小型企業(yè)開始通過以組建自己的網(wǎng)絡(luò)環(huán)境，使用高效的辦公軟件，來提高企業(yè)的知名度和市場競爭力。然而，隨之而來的除了高效的業(yè)務(wù)處理速度，還有許多網(wǎng)絡(luò)安全問題。中小型企業(yè)規(guī)模較小，辦公模式多為本地運(yùn)行，所以其網(wǎng)絡(luò)基本上由一個(gè)網(wǎng)絡(luò)中心構(gòu)成，這使得中小企業(yè)網(wǎng)絡(luò)簡單化，便于網(wǎng)絡(luò)管理。但許多現(xiàn)行的中小企業(yè)的組網(wǎng)過程中由于缺乏專業(yè)的網(wǎng)絡(luò)技術(shù)人員，在安全的防御措施上只依賴于防火墻單一層次上的防御等級(jí)，不具備全面性和補(bǔ)救性。此外，很多中小企業(yè)在組建網(wǎng)絡(luò)后，普遍存在使用不便、安全性低、可維護(hù)性低等不足。這不僅對(duì)企業(yè)的利益造成損害，甚至影響了企業(yè)的日常業(yè)務(wù)。

1.2 中小企業(yè)網(wǎng)絡(luò)安全需求分析

根據(jù)對(duì)中小型企業(yè)組網(wǎng)現(xiàn)狀的分析，網(wǎng)絡(luò)防御措施及日常維護(hù)運(yùn)用是當(dāng)前中小企業(yè)組網(wǎng)安全性面臨的主要問題，因此，我們需要在針對(duì)中小企業(yè)組網(wǎng)時(shí)考慮以下需求:(1)企業(yè)網(wǎng)絡(luò)在防止外部用戶訪問公司網(wǎng)站的同時(shí)，需保證企業(yè)內(nèi)部數(shù)據(jù)庫數(shù)據(jù)的安全;(2)當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)部出現(xiàn)病毒或木馬、收到惡意郵件等網(wǎng)絡(luò)危機(jī)時(shí)，網(wǎng)絡(luò)系統(tǒng)能實(shí)時(shí)控制其傳播，保證企業(yè)利益損失最小;(3)在日常應(yīng)用中，系統(tǒng)能夠進(jìn)行網(wǎng)絡(luò)流量的分配和監(jiān)控，即使在網(wǎng)絡(luò)負(fù)荷達(dá)到巔峰期時(shí)也能保證網(wǎng)絡(luò)的通暢、防止網(wǎng)絡(luò)崩潰;(4)中小企業(yè)網(wǎng)絡(luò)投入資金有限，要控制成本，實(shí)現(xiàn)利益最大化。

1.3 策略

根據(jù)以上需求，結(jié)合現(xiàn)下中小企業(yè)網(wǎng)絡(luò)所存在的普遍問題，我們分析得出中小企業(yè)在組網(wǎng)用網(wǎng)過程中的安全性若干策略。

(1)購買企業(yè)版防火墻，同時(shí)采用WEB服務(wù)器和數(shù)據(jù)服務(wù)器相結(jié)合的方式，實(shí)現(xiàn)雙層防護(hù)保證數(shù)據(jù)服務(wù)器讀取信息的安全性，在資金充裕的情況下，酌情購買備份服務(wù)器，提高數(shù)據(jù)的可恢復(fù)性[2]。

(2)使用交換機(jī)根據(jù)部門不同配置好虛擬局域網(wǎng)，各網(wǎng)段之間通過權(quán)限的控制防止數(shù)據(jù)的泄密和病毒、木馬的傳播[3]。

(3)使用服務(wù)器對(duì)各網(wǎng)段采用網(wǎng)絡(luò)限速，一個(gè)網(wǎng)段使用共享帶寬，設(shè)置該網(wǎng)段可通行最大流量，最大帶寬總和不超過接入帶寬的一半，從而能夠在網(wǎng)絡(luò)高峰期保證有空余網(wǎng)段進(jìn)行網(wǎng)絡(luò)連接和分配。

(4)為控制成本，根據(jù)企業(yè)規(guī)模，WEB服務(wù)器、數(shù)據(jù)服務(wù)器和交換器可采用購買加租借模式。

2 工程實(shí)踐

2.1 案例

溫州成功鞋業(yè)有限責(zé)任公司是一家中小型規(guī)模的企業(yè)，組建有企業(yè)SOHO網(wǎng)。該企業(yè)現(xiàn)的設(shè)備有:核心交換機(jī)CISCO 4503，接入交換機(jī)CISCO 2950，路由器CISCO 2621，防火墻NOKIA IP350;現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)為擁有一個(gè)公網(wǎng)IP和10M帶寬的接入，一臺(tái)CISCO路由器、WEB服務(wù)器、文件服務(wù)器、FTP服務(wù)器等，客戶端辦公電腦100臺(tái)左右，多部門劃分VLAN，用ACL控制各部門訪問權(quán)限，并配置了網(wǎng)絡(luò)打印機(jī)。其中，路由器配置快速接入子接口1、2，設(shè)置為全雙工自適應(yīng)端口，速度設(shè)置為自動(dòng)，并指定為連接網(wǎng)絡(luò)的內(nèi)部端口，不自動(dòng)關(guān)機(jī);Core switch配置VTP為服務(wù)器模式，設(shè)置交換機(jī)為服務(wù)器模式;配置ACL應(yīng)用在各個(gè)部門VLAN接口上，控制各部門互訪，封掉常見病毒端口。

此外，該企業(yè)現(xiàn)有網(wǎng)絡(luò)安全措施有:(1)購買了NOKIA IP350防火墻，在病毒、木馬由外網(wǎng)進(jìn)入后，受到路由器和防火墻的雙層攔截才進(jìn)入接入交換機(jī)，具有不錯(cuò)的防護(hù)效果;(2)使用VTP協(xié)議把接入交換機(jī)配置為服務(wù)器，可以方便的對(duì)VLAN進(jìn)行刪改、安全維護(hù)，從可控性方面提高了VLAN的安全性;(3)設(shè)置多個(gè)服務(wù)器，防止一個(gè)服務(wù)器崩潰后其他項(xiàng)網(wǎng)絡(luò)服務(wù)不可用，提升網(wǎng)絡(luò)使用的可靠性;(4)依據(jù)部門劃分多個(gè)VLAN，有效控制各種病毒、木馬的傳播和擴(kuò)散在網(wǎng)段間的傳播，提升內(nèi)部網(wǎng)段的安全性。

2.2 分析與完善措施

但根據(jù)我們提出的安全策略，該企業(yè)的組網(wǎng)安全策略中還存在一些不足，我們依照前面策略，對(duì)其進(jìn)行調(diào)整。

第一，從網(wǎng)絡(luò)設(shè)備上來看，該企業(yè)在服務(wù)器上只購買了必須的3臺(tái)服務(wù)器，沒有備份的服務(wù)器，這里就容易出現(xiàn)當(dāng)服務(wù)器崩潰后只能等專業(yè)人員來修復(fù)，期間許多工作就不能正常開展，在資金允許的情況下應(yīng)配置臨時(shí)應(yīng)急備份服務(wù)器。

第二，在路由器配置上，該企業(yè)并沒有進(jìn)行路由器的QOS設(shè)置，其速度為自動(dòng)，這就容易導(dǎo)致在網(wǎng)絡(luò)使用高峰期時(shí)網(wǎng)絡(luò)崩潰。我們對(duì)路由器進(jìn)行QOS設(shè)置，由于該企業(yè)接入帶寬為10M，最多同時(shí)有100臺(tái)機(jī)子在運(yùn)行，這里可將網(wǎng)絡(luò)的峰值使用量控制在5000Kbps，保證網(wǎng)絡(luò)的通暢。

3 結(jié)語

本文針對(duì)中小企業(yè)組網(wǎng)用網(wǎng)過程中普遍存在的基本現(xiàn)象及中小企業(yè)信息化對(duì)網(wǎng)絡(luò)安全性的需求，提出了一套適用于中小企業(yè)的網(wǎng)絡(luò)安全性策略，并依托溫州成功鞋業(yè)有限責(zé)任公司組網(wǎng)的實(shí)際情況進(jìn)行了策略的實(shí)施，結(jié)果證明了其有效性。由于時(shí)間和條件的限制，本文未在更多企業(yè)進(jìn)行策略驗(yàn)證，今后我們將深入調(diào)研，進(jìn)一步完善針對(duì)中小型企業(yè)的安全性策略。

參考文獻(xiàn)

[1]\t王炯.中小企業(yè)組網(wǎng)安全整體分析[J].互聯(lián)網(wǎng)天地，2007(5):48～49.

[2]\t楊風(fēng)暴.計(jì)算機(jī)網(wǎng)絡(luò)教程[M].北京:國防工業(yè)出版社，2006.

[3]\t劉靜.虛擬局域網(wǎng)的功能與作用[J].通信企業(yè)管理，1998(11):59.