一、概述
近年來(lái),隨著信息網(wǎng)絡(luò)技術(shù)以及Internet的迅速發(fā)展,各種網(wǎng)絡(luò)安全問(wèn)題也接踵而來(lái)。網(wǎng)絡(luò)病毒、操作系統(tǒng)漏洞、棱鏡門(mén)事件等屢見(jiàn)不鮮。企業(yè)開(kāi)始越來(lái)越重視信息化基礎(chǔ)設(shè)施的搭建,而企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)如何抵御病毒的入侵、如何保證內(nèi)部數(shù)據(jù)的安全性、可靠性,是搭建企業(yè)內(nèi)部安全穩(wěn)定的局域網(wǎng)的過(guò)程中必須考慮的重要事情之一。本文以某一中小企業(yè)(簡(jiǎn)稱(chēng)A公司)的網(wǎng)絡(luò)情況為例,結(jié)合自己在信息安全領(lǐng)域的經(jīng)驗(yàn),從安全角度出發(fā),提出中小企業(yè)局域網(wǎng)網(wǎng)絡(luò)的安全解決方案。
二、網(wǎng)絡(luò)概述
2.1 內(nèi)部網(wǎng)絡(luò)構(gòu)成A公司內(nèi)部局域網(wǎng)通過(guò)核心交換機(jī)在主干網(wǎng)絡(luò)上提供10M/100M帶寬,通過(guò)下級(jí)各部門(mén)的交換機(jī)與公司內(nèi)部的服務(wù)器相連,利用核心交換連接的路由器,所有授權(quán)的用戶(hù)可以訪問(wèn)相應(yīng)的Internet的權(quán)限。網(wǎng)絡(luò)按訪問(wèn)區(qū)域一般劃分為三個(gè)區(qū)域:公網(wǎng)區(qū)域(Internet區(qū)域)、內(nèi)部區(qū)域、DMZ服務(wù)器區(qū)域。
2.2網(wǎng)絡(luò)應(yīng)用
1、基于軟件產(chǎn)品的前臺(tái)環(huán)境
2、基于數(shù)據(jù)庫(kù)的應(yīng)用
3、www服務(wù)及提供對(duì)Internet的訪問(wèn)
2.3網(wǎng)絡(luò)特點(diǎn)
1、資金投入少:此種方式搭建的網(wǎng)絡(luò)體系在安全建設(shè)方面的資金投入較少;
2、內(nèi)部訪問(wèn)速度快:由于內(nèi)部計(jì)算機(jī)屬于點(diǎn)到點(diǎn)的連接方式,因此內(nèi)部訪問(wèn)速度較快。但同時(shí)也給系統(tǒng)安全帶來(lái)負(fù)面的影響——病毒的蔓延性也快;
3、計(jì)算機(jī)管理比較復(fù)雜:對(duì)局域網(wǎng)內(nèi)的所有計(jì)算機(jī)系統(tǒng)實(shí)施統(tǒng)一的安全策略(如安裝防病毒軟件、設(shè)置復(fù)雜口令等)非常困難;
4、內(nèi)部網(wǎng)絡(luò)中存在多臺(tái)應(yīng)用服務(wù)器。
三、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
3.1主機(jī)系統(tǒng)中存在安全隱患
由于網(wǎng)絡(luò)中存在很多不同的操作系統(tǒng),例如unxix、linux、aix、windows2008等這些系統(tǒng)自身就存在許多的安全漏洞。
3.2管理人員安全意識(shí)不強(qiáng)
系統(tǒng)管理人員由于缺乏安全意識(shí),私自帶領(lǐng)一些外來(lái)人員進(jìn)入機(jī)房重地,或者無(wú)意識(shí)的泄露一些重要的信息。同時(shí)當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常威脅時(shí),無(wú)法進(jìn)行實(shí)時(shí)的跟蹤、檢測(cè)、監(jiān)控、排除、預(yù)警機(jī)制。
3.3惡意代碼以及病毒的攻擊
病毒具有很強(qiáng)的破壞能力和傳播能力,這一點(diǎn)在網(wǎng)絡(luò)應(yīng)用水平較高的公司中尤其顯著。因?yàn)榫W(wǎng)絡(luò)應(yīng)用水平越高,代表著共享資源訪問(wèn)就越頻繁,計(jì)算機(jī)病毒的傳播速度就會(huì)越快。同時(shí)公司內(nèi)部要加強(qiáng)對(duì)惡意代碼的檢測(cè)(包括未經(jīng)同意的軟件)。
3.4黑客惡意攻擊
黑客通常利用系統(tǒng)和管理上一切可能的漏洞,無(wú)時(shí)無(wú)刻的進(jìn)行攻擊。公司內(nèi)部公開(kāi)的服務(wù)器存在的漏洞就是一個(gè)典型的例子,黑客可以輕松的騙過(guò)服務(wù)器,得到系統(tǒng)的登錄口令并將其送回。一旦黑客侵入成功,有可能從普通用戶(hù)更改為高級(jí)用戶(hù),有對(duì)所有文件的讀寫(xiě)權(quán)限。為了防止黑客攻擊,我們可以在局域網(wǎng)內(nèi)部采用防火墻技術(shù)、web頁(yè)面保護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源。
四、安全解決方案
4.1制定公司內(nèi)部信息系統(tǒng)規(guī)范制度就像所有管理問(wèn)題所說(shuō)的“三分技術(shù),七分管理”,網(wǎng)絡(luò)管理也是這樣。長(zhǎng)久以來(lái),攻擊網(wǎng)絡(luò)事件層出不窮主要是因?yàn)楣芾碇贫壬系牟煌晟、人員責(zé)任心差而導(dǎo)致的。盡管在所有的網(wǎng)絡(luò)安全建設(shè)中,網(wǎng)絡(luò)安全管理制度的建設(shè)都被提到極其重要的位置,但能按相關(guān)標(biāo)準(zhǔn)制定出具有全面性、可行性、合理性的安全制度,并嚴(yán)格按其實(shí)施的項(xiàng)目數(shù)量并不是很多。同時(shí)公司內(nèi)部應(yīng)該完善相應(yīng)的網(wǎng)絡(luò)安全制度。例如,建立完善的機(jī)房管理制度、密碼使用制度、網(wǎng)絡(luò)資源使用制度、病毒防范制度、網(wǎng)絡(luò)應(yīng)急預(yù)案等。
4.2加強(qiáng)公司內(nèi)部使用人員安全意識(shí)
完善公司內(nèi)部相應(yīng)規(guī)章制度的同時(shí)也要加強(qiáng)相關(guān)操作人員的安全意識(shí)。通過(guò)調(diào)查發(fā)現(xiàn),多數(shù)攻擊事件都是在操作人員無(wú)意中觸發(fā)了黑客設(shè)下的“陷阱”造成的。針對(duì)這種情況,企業(yè)應(yīng)該定期對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)。全面提高網(wǎng)絡(luò)使用人員的安全意識(shí),是提高網(wǎng)絡(luò)安全性的有效手段。
4.3內(nèi)部網(wǎng)絡(luò)安全保護(hù)系統(tǒng)軟件的使用
現(xiàn)常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)軟件包括isa防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)等。
1)防火墻
在內(nèi)部網(wǎng)與外部網(wǎng)之間,設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻一般利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過(guò)濾,能根據(jù)企業(yè)的安全政策來(lái)控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、審記與實(shí)時(shí)告警等功能。由于這種防火墻安裝在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上,因此也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。防火墻具有以下五大基本功能:過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;封堵某些禁止的業(yè)務(wù);記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。防火墻通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù),事實(shí)證明,在內(nèi)網(wǎng)中不同安全級(jí)別的安全域之間采用防火墻進(jìn)行安全防護(hù),不但能保證各安全域之間相對(duì)安全,同時(shí)對(duì)于網(wǎng)絡(luò)日常運(yùn)行中各安全域中訪問(wèn)權(quán)限的調(diào)整提供了便利條件。
2)入侵檢測(cè)系統(tǒng)
入侵檢測(cè)的出現(xiàn),很大程度上彌補(bǔ)了防火墻防外不防內(nèi)的特性。同時(shí),對(duì)網(wǎng)絡(luò)內(nèi)部的信息做到了實(shí)時(shí)的監(jiān)控和預(yù)警,入侵檢測(cè)系統(tǒng)與防火墻的聯(lián)動(dòng),給內(nèi)網(wǎng)中重要的安全域打造了一個(gè)動(dòng)態(tài)的實(shí)時(shí)防護(hù)屏障。
3)金山、360防病毒軟件
由于在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有不可估量的威脅性和破壞力,因此它的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系,主要面向MAIL 、Web服務(wù)器,以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對(duì)網(wǎng)絡(luò)、服務(wù)器、和工作站的實(shí)時(shí)病毒監(jiān)控;能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)新版殺毒軟件,并監(jiān)視多個(gè)目標(biāo)的病毒防治情況;支持多種平臺(tái)的病毒防范;能夠識(shí)別廣泛的已知和未知病毒,包括宏病毒;支持對(duì)Internet/ Intranet服務(wù)器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對(duì)電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對(duì)壓縮文件的病毒檢測(cè);支持廣泛的病毒處理選項(xiàng),如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒,移出,重新命名等;支持病毒隔離;提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線(xiàn)更新服務(wù);支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
五、綜述
網(wǎng)絡(luò)安全是一個(gè)持續(xù)、動(dòng)態(tài)的流程,并不是簡(jiǎn)簡(jiǎn)單單幾個(gè)軟件的集成。同時(shí)從業(yè)人員也要時(shí)刻保持一個(gè)安全的意識(shí),提高自身網(wǎng)絡(luò)應(yīng)用水平,只有這樣才能保證一個(gè)企業(yè)內(nèi)部S網(wǎng)絡(luò)信息的暢通和安全。核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:中小企業(yè)如何搭建安全穩(wěn)定的局域網(wǎng)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121810574.html