王正才

【摘要】網(wǎng)絡(luò)在給企業(yè)提供幫助的同時(shí)，企業(yè)也面臨著由于網(wǎng)絡(luò)本身存在的缺陷帶來的網(wǎng)絡(luò)安全隱患危險(xiǎn)，為了確保企業(yè)網(wǎng)絡(luò)的安全、保證企業(yè)的正常運(yùn)作，改善企業(yè)網(wǎng)絡(luò)安全防御體系從而提高防御功能是當(dāng)前企業(yè)網(wǎng)絡(luò)首要處理的問題。文中對XX企業(yè)網(wǎng)絡(luò)安全進(jìn)行分析和評估，擬定網(wǎng)絡(luò)安全需求，在最大化減少費(fèi)用的情況下，提出了適用于企業(yè)網(wǎng)絡(luò)的安全解決方案。

【關(guān)鍵字】企業(yè)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全需求;安全解決方案

基金項(xiàng)目：貴州省高等學(xué)校人文社會科學(xué)研究基地項(xiàng)目（2018jd113）

1. XX企業(yè)網(wǎng)絡(luò)簡介

XX企業(yè)是一家私人投資，國家扶持建設(shè)的電子商務(wù)平臺企業(yè)。隨著規(guī)模不斷的擴(kuò)大，現(xiàn)企業(yè)的網(wǎng)絡(luò)信息化的建設(shè)已具有一定的規(guī)模?，F(xiàn)企業(yè)網(wǎng)絡(luò)經(jīng)過不斷的建設(shè)已經(jīng)擁有自己的辦公系統(tǒng)規(guī)模如：財(cái)務(wù)系統(tǒng)、人力資源管理系統(tǒng)、郵件服務(wù)系統(tǒng)、ftp服務(wù)系統(tǒng)、DNS服務(wù)系統(tǒng)以及網(wǎng)站服務(wù)系統(tǒng)等子系統(tǒng)等，形成了集生產(chǎn)經(jīng)營管理的企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。該企業(yè)的整體網(wǎng)絡(luò)拓?fù)鋱D成星型結(jié)構(gòu)，其拓?fù)鋱D如下：

2. 安全需求分析

通過調(diào)查分析，XX企業(yè)網(wǎng)絡(luò)主要的安全需求可以概括以下幾個(gè)方面：

2.1 安全人員需求

企業(yè)中從網(wǎng)絡(luò)管理員以及業(yè)務(wù)員兩方面分析用戶需求：在網(wǎng)絡(luò)管理員方面;管理員應(yīng)具有一定的專業(yè)能力，能夠廣泛應(yīng)用和管理網(wǎng)絡(luò)設(shè)備，維護(hù)和管理網(wǎng)絡(luò)通信故障處理系統(tǒng)，監(jiān)督機(jī)房網(wǎng)絡(luò)設(shè)備及軟件的正常運(yùn)行，企業(yè)網(wǎng)絡(luò)人員肩負(fù)網(wǎng)絡(luò)安全的責(zé)任，按期實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)狀況，同時(shí)組織其他成員對安全意識方面的學(xué)習(xí)。在業(yè)務(wù)員方面：設(shè)置各用戶的訪問權(quán)限，禁止泄露自我權(quán)限密碼，防止公司機(jī)密數(shù)據(jù)的泄露;以及越權(quán)處理事件的發(fā)生。

2.2 物理層的安全需求

企業(yè)的網(wǎng)絡(luò)管理中心機(jī)房所配置的各類設(shè)備如服務(wù)器等都存在不同程度上的電磁干擾，企業(yè)應(yīng)對中心機(jī)房配置電磁干擾器等措施，現(xiàn)有的 UPS 電源系統(tǒng)的功率不足，需要更換，以保證整個(gè)網(wǎng)絡(luò)安全環(huán)境的良好運(yùn)行，在足夠的經(jīng)濟(jì)成本條件下，進(jìn)一步的增加企業(yè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備，如主交換機(jī)的備份等。在物理冗余電路的設(shè)計(jì)上，應(yīng)進(jìn)行備份，在核心設(shè)備出現(xiàn)安全故障時(shí)，也能夠保證整個(gè)企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。

2.3 網(wǎng)絡(luò)層的安全需求

針對企業(yè)數(shù)據(jù)和信息有效安全傳輸需求;企業(yè)辦公人員經(jīng)常在網(wǎng)上下載各類資源軟件，無法確定其運(yùn)行是否安全可靠;尤其是通訊軟件的下載，當(dāng)我們通過通訊軟件來傳輸或發(fā)送機(jī)密文件時(shí)是無法確保數(shù)據(jù)或文件在傳輸?shù)倪^程中是否被其攻擊者篡改或竊取，從而導(dǎo)致數(shù)據(jù)信息的完整性、可靠性以及保密性的缺失，也難以避免其給公司帶來的危害，因此數(shù)據(jù)在傳輸時(shí)應(yīng)加密，避免給公司帶來重大傷害。

2.4 應(yīng)用層的安全需求

整個(gè)系統(tǒng)從應(yīng)用層上來說，所提供的高性能服務(wù)，如web安全以及電子郵件等都是發(fā)生在整個(gè)網(wǎng)絡(luò)層次中的這一層。正因?yàn)槿绱瞬艑?dǎo)致針對企業(yè)網(wǎng)絡(luò)所發(fā)生的攻擊都發(fā)生在這一層次上。對于企業(yè)來說，企業(yè)網(wǎng)絡(luò)再向用戶提供服務(wù)時(shí)所使用的服務(wù)軟件如應(yīng)用軟件、數(shù)據(jù)庫軟件等，在安全性方面都需要得到保證，這就是應(yīng)用層上的安全需求。

3. 總體解決方案

3.1 優(yōu)化網(wǎng)絡(luò)布局

主要通過以下幾個(gè)方面升級與改善企業(yè)網(wǎng)絡(luò)：

①添加備份交換機(jī)，防止主交換機(jī)出現(xiàn)瓶頸障礙時(shí)整個(gè)企業(yè)的網(wǎng)絡(luò)無法運(yùn)行，在主交換機(jī)與備用交換機(jī)之間配置冗余線路，避免單個(gè)交換機(jī)的負(fù)載過大，而造成的網(wǎng)絡(luò)癱瘓。

②細(xì)化企業(yè)整體局域網(wǎng)的規(guī)劃，縮小VLAN網(wǎng)段的劃分范圍;改善后的企業(yè)的各項(xiàng)部門各占一個(gè)VLAN網(wǎng)段;各部門的VLAN網(wǎng)段的劃分。如圖3所示。

③建立專用的數(shù)據(jù)庫服務(wù)器與web服務(wù)器，構(gòu)建企業(yè)網(wǎng)站的搭建，便于信息資源的共享，解決資源存儲浪費(fèi)的問題，以及更新不變的問題;低成本的在web查詢?yōu)g覽所需信息。

④部署安裝VPN系統(tǒng)，給企業(yè)搭建虛擬專用網(wǎng)，運(yùn)用認(rèn)證技術(shù)等使合法用戶能夠合法訪問，以實(shí)現(xiàn)出差在外的人員及遠(yuǎn)程用戶安全訪問。

⑤主交換機(jī)接入IDS入侵檢測系統(tǒng)，便于網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，隨時(shí)發(fā)現(xiàn)外來入侵，達(dá)到及時(shí)阻斷，并防患于未然的目的。

⑥在路由器與防火墻之間部署IPS入侵防御系統(tǒng)，實(shí)現(xiàn)對外來攻擊的實(shí)時(shí)檢測與阻斷，抵御外來攻擊。

3.2 網(wǎng)絡(luò)層上的安全設(shè)計(jì)

網(wǎng)絡(luò)層的目的是實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的透明傳送，所以訪問控制、身份認(rèn)證、數(shù)據(jù)的遠(yuǎn)程發(fā)送與接收的保密性及完整性等;以及入侵檢測技術(shù)的實(shí)現(xiàn)、路由器的配置等都是屬于網(wǎng)絡(luò)層所解決的問題。在本企業(yè)的整體網(wǎng)絡(luò)的設(shè)計(jì)中，網(wǎng)絡(luò)層主要是劃分各個(gè)VLAN子網(wǎng)，將企業(yè)所有的部門如營銷部、財(cái)務(wù)部、人力資源部等各為一個(gè)VLAN子網(wǎng)、企業(yè)內(nèi)部子網(wǎng)進(jìn)行物理邏輯隔離;有利于整個(gè)企業(yè)網(wǎng)絡(luò)整體的部署與規(guī)劃管理。每個(gè)部門之間相互設(shè)置訪問控制列表，避免數(shù)據(jù)在傳輸過程中發(fā)生異常。同時(shí)運(yùn)用VPN建立通信隧道，保障數(shù)據(jù)進(jìn)行傳輸時(shí)，不被盜取或是被修改。在整體企業(yè)網(wǎng)絡(luò)的內(nèi)網(wǎng)與外網(wǎng)之間部署專用防火墻，以確保整個(gè)網(wǎng)絡(luò)邊界的安全;并在路由器上設(shè)立訪問控制權(quán)限，同時(shí)對用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)設(shè)置用戶權(quán)限。

3.3 應(yīng)用層上的安全設(shè)計(jì)

應(yīng)用層上的安全問題可涵蓋訪問控制安全、數(shù)據(jù)傳輸安全等問題。針對本企業(yè)應(yīng)用層上的應(yīng)用安全問題和使用現(xiàn)狀，在企業(yè)的應(yīng)用層上的安全設(shè)計(jì)包括以下幾個(gè)方面：定期查看設(shè)備操作記錄，以及服務(wù)器的訪問日志并對其進(jìn)行審計(jì)，一旦發(fā)現(xiàn)需要進(jìn)行修復(fù)的問題立即修復(fù)，從而提高審計(jì)效率;定期查看審計(jì)日志避免攻擊者的攻擊;同時(shí)采用備份手段，對系統(tǒng)進(jìn)行備份，避免由于操作不當(dāng)致使系統(tǒng)無法啟動(dòng)而導(dǎo)致的數(shù)據(jù)的喪失等問題。并運(yùn)用可靠性高的大容量磁盤陣列對計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行集中存儲，對機(jī)密數(shù)據(jù)進(jìn)行單獨(dú)存儲，實(shí)現(xiàn)數(shù)據(jù)的存儲備份。同時(shí)在web服務(wù)器上安全配置web服務(wù)器，以及網(wǎng)頁防篡改技術(shù)等來避免未授權(quán)訪問拒絕服務(wù)攻擊等發(fā)生。郵件服務(wù)器配置安裝好email系統(tǒng)，避免郵件在傳輸過程中被竊聽篡改。并使用身份驗(yàn)證技術(shù)，確保雙方信息不被假冒，機(jī)密信息不被泄露，篡改等。

3.4 物理環(huán)境的安全設(shè)計(jì)

針對目前企業(yè)的物理環(huán)境的安全設(shè)計(jì)措施包含以下幾個(gè)方面：

①增大中心機(jī)房面積，對機(jī)房中所隨地存放的設(shè)備進(jìn)行合理存放。

②添加一定的電磁防護(hù)設(shè)備和防靜電設(shè)備以及消防安全達(dá)到國家標(biāo)準(zhǔn)。

③現(xiàn)有的 UPS電源系統(tǒng)的功率不足，需要更換更大的UPS 電源系統(tǒng)的功率，確保機(jī)房的網(wǎng)絡(luò)運(yùn)行的電力充足。

④在中心機(jī)房原有一臺空調(diào)的情況下，添加一臺空調(diào)，兩條空調(diào)電路不相同，以確保其中一臺無法運(yùn)行的情況下，另一臺依舊能夠運(yùn)行。

⑤為所有的機(jī)房設(shè)備設(shè)置管理權(quán)限，避免越權(quán)管理的發(fā)生;并在機(jī)房中心張貼機(jī)房安全管理?xiàng)l例。

⑥在中心機(jī)房安裝指紋識別門的技術(shù)，并在機(jī)房內(nèi)部安裝監(jiān)視系統(tǒng)，監(jiān)視機(jī)房內(nèi)的情況并予以記錄以便日后的查詢和取證。

3.5 網(wǎng)絡(luò)安全管理策略

網(wǎng)絡(luò)安全管理策略方面應(yīng)從以下幾個(gè)方面著手：

①劃分工作職責(zé)，使責(zé)任明確化。企業(yè)在網(wǎng)絡(luò)管理方面應(yīng)當(dāng)劃分各個(gè)管理員的崗位職責(zé)，避免出現(xiàn)問題時(shí)互相推諉，使責(zé)任明確化，定期對網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行檢測以及更新時(shí)應(yīng)填寫記錄檔案。

②建立合理的內(nèi)部安全管理制度。建立設(shè)備管理?xiàng)l例及機(jī)房管理制度，并粘貼在企業(yè)中心機(jī)房的存放設(shè)備的顯眼處。對于該企業(yè)員工而言應(yīng)建立防病毒制度，操作安全管理制度，以達(dá)到培養(yǎng)員工的網(wǎng)絡(luò)安全制度意識的目的。同時(shí)建立網(wǎng)絡(luò)應(yīng)急制度，保證企業(yè)網(wǎng)絡(luò)突發(fā)事故時(shí)能夠及時(shí)處理，恢復(fù)網(wǎng)絡(luò)。

③改善企業(yè)應(yīng)用平臺管理安全制度。目前企業(yè)缺少一個(gè)應(yīng)用系統(tǒng)平臺對系統(tǒng)進(jìn)行安全管理，所以急需建立統(tǒng)一的應(yīng)用安全平臺來進(jìn)行管理，以達(dá)到高效，便捷的管理模式;涵蓋統(tǒng)一的數(shù)據(jù)庫、統(tǒng)一的維護(hù)資源目錄、統(tǒng)一授權(quán)等。

4. 結(jié)論

本文通過對企業(yè)的網(wǎng)絡(luò)安全問題的現(xiàn)狀分析，主要運(yùn)用入侵檢測技術(shù)、入侵防御系統(tǒng)、訪問控制技術(shù)等幾個(gè)方面的網(wǎng)絡(luò)技術(shù)，保證了企業(yè)網(wǎng)絡(luò)的安全，也對企業(yè)安全管理方面提出了相應(yīng)的建議;另外也從網(wǎng)絡(luò)層、系統(tǒng)層以及應(yīng)用層等企業(yè)網(wǎng)絡(luò)管理層次上做出相應(yīng)的設(shè)計(jì)，已達(dá)到改善企業(yè)在網(wǎng)絡(luò)安全管理方面升級與優(yōu)化的目的。企業(yè)安全管理策略的實(shí)施將給企業(yè)的網(wǎng)絡(luò)安全環(huán)境帶來一定的改善與保障。當(dāng)今網(wǎng)絡(luò)化的迅速發(fā)展，勢必會給企業(yè)帶來更多的安全問題，企業(yè)在以后不斷的發(fā)展過程中仍然需要不斷的改進(jìn)企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)，加強(qiáng)企業(yè)管理人員在網(wǎng)絡(luò)安全技術(shù)方面的學(xué)習(xí)，不斷引進(jìn)國內(nèi)外安全技術(shù)，提高企業(yè)的網(wǎng)絡(luò)安全管理能力。

參考文獻(xiàn)：

[1]孫金霞.中小型企業(yè)網(wǎng)絡(luò)服務(wù)器安全加固分析[J].價(jià)值工程，2019（27）：231-232.

[2]劉天琪，楊朋威，孫曉達(dá)，郭俊英.企業(yè)網(wǎng)絡(luò)安全管理平臺的設(shè)計(jì)研究[J]. 現(xiàn)代信息科技，2019，3（13）：184-185.

[2]李艾國.信息化時(shí)代企業(yè)網(wǎng)絡(luò)安全的重要性[J].電子技術(shù)與軟件工程， 2019（10）：213.