如今很多企業(yè)都建設(shè)了企業(yè)網(wǎng)并通過各種渠道接入了Internet，企業(yè)的運作越來越融人計算機網(wǎng)絡(luò)，但隨之產(chǎn)生的網(wǎng)絡(luò)安全問題也日漸明顯地擺在了網(wǎng)絡(luò)管理員面前。對于網(wǎng)絡(luò)管理者來說，網(wǎng)絡(luò)的安全管理直接關(guān)系到企業(yè)工作的穩(wěn)定和正常開展。而企業(yè)對安全性的要求有其自身的特殊性，除了傳統(tǒng)意義上的信息安全以外，還應(yīng)提高對病毒、惡意攻擊以及物理設(shè)備的安全防范。本文根據(jù)本人在企業(yè)任職多年網(wǎng)絡(luò)管理員的實際，側(cè)重談了下如何加強對企業(yè)網(wǎng)絡(luò)的安全管理。主要分別從企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范、企業(yè)服務(wù)器的安全、基于VLAN的企業(yè)網(wǎng)絡(luò)安全部署三個角度作了調(diào)查和研究。

一、企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范

    在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機版防病毒產(chǎn)品已經(jīng)很難徹底防范和清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。在企業(yè)網(wǎng)絡(luò)中，可以配置一臺高性能的汁算機安裝網(wǎng)絡(luò)版殺毒軟件的控制端，負責(zé)管理各終端主機病毒的防治工作，在各用戶主機上安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。通過殺毒軟件的控制臺進行定時殺毒的設(shè)置和自動升級的設(shè)置，確保殺毒和升級的時效性，使網(wǎng)絡(luò)具有較強的防病毒能力。

    (一)使用和配置防火墻

    防火墻是網(wǎng)絡(luò)的第一道防線，一般安裝在內(nèi)網(wǎng)與外網(wǎng)的交界處，如各級路由器上。利用防火墻，在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪間的用戶與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)外的黑客訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，可有效防止Internet上的不安全因素蔓延到企業(yè)內(nèi)部。所以，防火墻是企業(yè)網(wǎng)絡(luò)安全的重要一環(huán)。

    (二)采用入提檢測系統(tǒng)

    入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于是一種積極主動的安全防護技術(shù)。入侵檢測系統(tǒng)一般要安裝在網(wǎng)絡(luò)的關(guān)鍵點上，如Internet接入路由器之后的第一臺交換機上，在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。

    (三)Web, Email的安全監(jiān)測系統(tǒng)

    在網(wǎng)絡(luò)的WWW服務(wù)器、Email服務(wù)器等環(huán)節(jié)中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW，Email，F(xiàn)TP, Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時采取有效措施。

    (四)漏洞掃描系統(tǒng)

    解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對企業(yè)龐大的網(wǎng)絡(luò)，僅僅依靠個人的技術(shù)和經(jīng)驗尋找安全漏洞、做出評估.顯然是不現(xiàn)實的。我們可以尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和安裝安全補丁等多種方式最大可能地彌補最新的安全漏洞和消除安全隱患�？梢岳�用各種黑客工具，定期對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞，以便更好地發(fā)現(xiàn)和杜絕網(wǎng)絡(luò)中的安全隱患。

    (五)ARP病毒的防御

    ARP是Address Resolution Protocol的縮寫，即地址解析協(xié)議，它是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負責(zé)將某個IP地址解析成對應(yīng)的MAC地址。它是系統(tǒng)進行通訊的基礎(chǔ)。是以信任為基礎(chǔ)的，如果破壞了這個信任，那就形成ARP欺騙了。局域網(wǎng)經(jīng)常會受到來自各方面的攻擊，導(dǎo)致不能正常工作，其中ARP攻擊是一個經(jīng)常發(fā)生的攻擊，只要有一臺電腦感染ARP,就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓，這給網(wǎng)絡(luò)用戶造成了很大的不便，因此了解ARP攻擊原理，防御ARP攻擊是保障企業(yè)網(wǎng)絡(luò)正常工作應(yīng)該引起重視的一個問題。目前對于ARP攻擊防御問題出現(xiàn)最多是綁定IP地址和MAC地址或使用ARP防護軟件。

    采用綁定IP地址和MAC地址這種方式進行綁定，如果網(wǎng)絡(luò)中有上百臺計算機，這個工作量是非常大的.所以這種方式不推薦在大型網(wǎng)絡(luò)中使用，企業(yè)內(nèi)部更適合使用ARP防護軟件，目前ARP防護軟件很多，比較常用的ARP工具軟件主要是360ARP防火墻、AntiARP、彩影ARP防火墻等。可以在這類軟件中綁定IP地址和網(wǎng)關(guān)，另外這類軟件還會在提示框內(nèi)出現(xiàn)病毒主機的MAC地址，方便我們快速找到攻擊源，然后進行清除。根據(jù)實際網(wǎng)絡(luò)環(huán)境，我們采取相應(yīng)的防御方法，還是非常有效的。

    (六)使用GHOST軟件備份操作系統(tǒng)

    Ghost(是General Hardware Oriented Software Transfer的縮寫譯為“面向通用型硬件系統(tǒng)傳送器”)軟件是美國賽門鐵克公司推出的一款出色的硬盤備份還原工具，可以實現(xiàn)FAT16, FAT32, NTFS,OS2等多種硬盤分區(qū)格式的分區(qū)及硬盤的備份還原。該技術(shù)的應(yīng)用有效地解決了計算機系統(tǒng)崩潰，重新安裝操作系統(tǒng)及后續(xù)應(yīng)用程序需要花費大量時間的問題。提供了一種便捷、高效的途徑。

    Ghos，的備份還原是以硬盤的扇區(qū)為單位進行的，也就是說可以將一個硬盤上的物理信息完整復(fù)制，而不僅僅是數(shù)據(jù)的簡單復(fù)制。Ghost支持將分區(qū)或硬盤直接備份到一個擴展名為.gho。的文件里(賽門鐵克公司把這種文件稱為鏡像文件)，也支持直接備份到另一個分區(qū)或硬盤里。

    網(wǎng)絡(luò)管理者可以在完成操作系統(tǒng)及各種驅(qū)動的安裝后，將常用的軟件(如殺毒、媒體播放軟件、office。辦公軟件等)安裝到系統(tǒng)所在盤，接著安裝操作系統(tǒng)和常用軟件的各種升級補丁，然后優(yōu)化系統(tǒng)，最后做系統(tǒng)盤的克隆備份，這樣就可以在下次出現(xiàn)系統(tǒng)故障時免去安裝系統(tǒng)及相關(guān)應(yīng)用軟件的麻煩，提高工作效率、節(jié)約大量的時間。

二、企業(yè)網(wǎng)絡(luò)服務(wù)器的安全

    企業(yè)網(wǎng)絡(luò)服務(wù)器的安全一般可分為硬件系統(tǒng)安全及軟件系統(tǒng)安全。

    (一)硬件系統(tǒng)的安全防護

    硬件系統(tǒng)的安全主要是指防止意外事件或人為破壞設(shè)備。機房和機柜的鑰匙一定要管理好，不要讓無關(guān)人員隨意進入機房;放置服務(wù)器的機房應(yīng)做好防雷、防電、防火、防水、防高溫等常規(guī)防護工作。

    (二)軟件系統(tǒng)的安全防護

    同硬件系統(tǒng)相比，服務(wù)器軟件系統(tǒng)的安全問題是最多的。

    1、安裝補丁程序

    補丁程序即修復(fù)系統(tǒng)漏洞的程序。一般在一個軟件的開發(fā)過程中，一開始有很多因素是沒有考慮到的，但是隨著時問的推移，軟件所存在的問題會慢慢的被發(fā)現(xiàn)。這時候.為了對軟件本身存在的問題進行修復(fù)，軟件開發(fā)者會發(fā)布相應(yīng)的補丁，目前大部分企業(yè)服務(wù)器使用的是微軟的Windows Server操作系統(tǒng)，由于使用的人比較多，漏洞不斷被發(fā)現(xiàn)，所以微軟也經(jīng)常有新的補丁程序發(fā)布。我們應(yīng)及時安裝好新的補丁程序，配置好自動升級功能，以防漏洞被非授權(quán)人員利用。

    2、安裝防火墻與殺毒軟件

    在企業(yè)網(wǎng)絡(luò)中，重要的數(shù)據(jù)通常保存在整個中心結(jié)點的服務(wù)器上，所以保證服務(wù)器免受病毒攻擊就成了保證企業(yè)網(wǎng)絡(luò)安全的重要任務(wù)。我們可以在服務(wù)器上安裝最新的殺毒軟件和防火墻，通過合理的配置達到防御病毒破壞，抵制非法人侵的目的。

    3、加強操作系統(tǒng)權(quán)限管理和口令管理

    刪除所有非法用戶;禁止Guest用戶，因為黑客常用Guest進行系統(tǒng)控制;對于Administrator則應(yīng)進行改名操作并設(shè)置足夠復(fù)雜的密碼，密碼至少8個字符，至少包含四類字符中的三類，即大寫字母、小寫字母、數(shù)字，以及鍵盤上的符號。

    4、關(guān)閉服務(wù)器上沒有必要的網(wǎng)絡(luò)服務(wù)

    系統(tǒng)安全的最大漏洞就在于網(wǎng)絡(luò)服務(wù)，對于系統(tǒng)中沒有必要的服務(wù)我們就應(yīng)關(guān)閉，往往是越精簡的系統(tǒng)越安全。

    5、監(jiān)測系統(tǒng)日志

    系統(tǒng)日志即記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因，或者尋找受到攻擊時攻擊者留下的痕跡，便于及時解決出現(xiàn)的問題。

    6、定期對服務(wù)器文件進行備份與維護

    為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，系統(tǒng)管理員需要定期備份服務(wù)器上的重要文件。服務(wù)器最好采用RAID方式進行備份，重要的資料還應(yīng)保存在其它服務(wù)器上或者備份在光盤中。監(jiān)視服務(wù)器上資源的使用情況，刪除過期和無用的文件，確保服務(wù)器高效運行。

三、基于VLAN的企業(yè)網(wǎng)絡(luò)安全部署

    VLAN(Virtual Local Area Network)即“虛擬局域網(wǎng)”。ULAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。這一技術(shù)主要應(yīng)用于交換機和路由器中.但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具有此功能。

    采用通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。

    VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互問的訪問控制以達到限制非法訪問的目的。為了提高網(wǎng)絡(luò)的安全性，應(yīng)避免將企業(yè)不同部門處于同一網(wǎng)段，可將不同部門劃分在不同的VLAN中。設(shè)置VLAN還可以縮小ARP病毒的影響范圍，ARP病毒的有效作用域為帶毒主機所在的廣播域。按照使用的需要在企業(yè)網(wǎng)內(nèi)設(shè)置多個廣播域可以有效抑制由ARP病毒發(fā)作造成的廣播風(fēng)暴。ULAN技術(shù)很好地解決了網(wǎng)絡(luò)管理的問題，提高了網(wǎng)絡(luò)的安全性。

    企業(yè)網(wǎng)絡(luò)安全是一個系統(tǒng)性工程，不能僅僅依靠技術(shù)，還需要建立相應(yīng)的管理制度，將各種技術(shù)與管理手段結(jié)合在一起，就能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：企業(yè)網(wǎng)絡(luò)安全管理維護之探析

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112154589.html