何向东

0 引言

随着计算机和网络技术的发展，网络安全技术也有了很大的进步，但是，单个的安全技术的功能和性能都有其局限性，如何有效的管理网络以及系统中的安全产品和安全技术，成为研究网络和信息安全的一个重要内容。

企业的信息化热潮快速兴起，由于企业信息化投入不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等多种原因，网络安全也成了中小企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件等等，这些无一不是企业信息主管的心头之患。

1 网络安全的问题

网络安全可以简单的分成3个部分：人为的无意失误，人为的恶意失误和网络软件的漏洞和“后门”。哪个方面都会给企业带来损失，简单说明如下：

1.1 人为的无意失误

人为的无意失误：如操作员安全配置不当，造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享，等都会对网络安全带来威胁。

1.2 人为的恶意失误

人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪，就属于这一类。此类攻击，又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击，均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

1.3 网络软件的漏洞和“后门”

无论多么优秀的网络软件，都可能存在这样那样的缺陷和漏洞，而那些水平较高的黑客，就将这些漏洞和缺陷作为网络攻击的首选目标。在曾经出现过的黑客攻击事件中，大部分都是因为软件安全措施不完善所招致的苦果。一般，软件的“后门”，都是软件公司的设计和编程人员为了方便设计而设置的，很少为外人所知。不过，一旦“后门”公开或被发现，其后果将不堪设想。

2 企业网络安全的解决方案

2.1 企业网络安全的部署图

一个典型的生产型企业的网络架构，如图1所示：

图1 一个生产型企业的网络示意图

2.2 企业网络安全的管理办法

安全综合管理是针对安全部署，对管理域内的安全设备进行安全信息收集和信息综合。下面围绕如何规划企业网络安全环境进行研究：

2.2.1 网络设备的安全

在网络安全防护中，确保网络设备安全是最基本的防护手段。首先，要合理的配置设备，确保只开放设备上必要的服务，只运行指定人员的访问；其次，关注设备厂商发布的漏洞，及时安装网络设备补丁；再次，网络中的所有设备，必须定期更换密码，同时，密码要满足一定复杂度，不易于破解；最后，合理地维护设备，确保网络设备稳定运营。

2.2.2 企业数据安全

企业中实施网络安全的主要目的，一个是预防病毒威胁，另一个就是保护数据安全。数据是一个企业的核心内容，特别是对于一些高科技企业来说。因此，企业内部保护数据安全尤为重要。对于企业来说，让特定的人员看到特定的数据，是有效利用数据的基本要求。应该禁止非业务相关人员查看。实现方法有两点：

1）总公司与子公司之间传送的数据必须加密。

目前一般大中型企业都在各个地方有分支机构，这些公司之间传送的数据是企业的核心信息，必须加密后才可以发送。以防非法人员查看。同时，禁止通过Internet发送邮件等。

2）构筑客户端的软件系统，防止公司内部人员私自复制数据带出公司。

潘多拉是希腊神话中的女子。普罗米修斯盗天火给人间后，主神宙斯为惩罚人类，命令神用黏土塑成一个年轻美貌、虚伪狡诈的姑娘，取名“潘多拉”，意为“具有一切天赋的女人”，并给了她一个礼盒，然后将她许配给普罗米修斯的弟弟埃庇米修斯（意为“后知”）。

此软件系统，应该具有禁止使用U盘、移动硬盘、DVD刻录机功能，具有禁止无线、蓝牙功能，防止内部用户私自带走数据。同时，应该构筑办公软件加密系统，指定办公文档，必须有权限的人员才可以查看。

2.2.3 远程接入安全及Internet安全访问

移动办公用户，需要远程登录公司邮箱系统，可以通过VPN实现，对于上传和下载的文件，应该备份，方便以后查询。内部用户访问 Internet，应该有专门的上网行为管理设备，进行严格的限制，禁止使用邮箱、网上硬盘、游戏、色情等等网站，以防内部数据丢失和病毒传染。上网行为管理系统，同时应该开启如下设置：启用HTTP下载杀毒、FTP下载杀毒、POP3（接收邮件）杀毒、SMTP（发送邮件）杀毒等等。另外一个必须的措施是部署企业级的防火墙系统。

防火墙作为传统的安全设备，在网络中的位置不可取代。防火墙是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许,并监视网络运行状态, 用来保障计算机网络的安全。

2.2.4 内部的网络安全

防止网络外部的入侵，可以通过安装防火墙来解决，但是对于网络内部的入侵则无能为力。详细分析制造型企业的性质，有必要进一步划分内部网络。

企业的内部网络可以细分为办公网络和生产网络。办公网络可以访问 Internet，安全隐患较大；生产网络只需要连接内部的服务器，不需要访问 Internet。两个网络之间，架设防火墙系统隔离，最大化保护生产网络，来确认公司核心业务无故障运行。为了进一步缩小网络故障影响，可以再划分网络区域，不同的网络区域之间，通过 VLAN隔离，VLAN间设置安全策略，分割区域间的影响，实现一个 VLAN的故障，不会影响到其他 VLAN。同时对各个 VLAN做一个具有一定功能的审计文件，为管理员分析自己的网络运作状态提供依据。设计一个VLAN专用的监听程序监听VLAN内计算机间互联情况，为系统中各个服务器的审计文件提供备份。

大中型企业客户端较多，且基本上都是 Windows操作系统，一台台地管理很麻烦，这就需要企业内部通过Windows组策略来管理客户端。组策略就是通过做一次设定，影响一批对象(用户、计算机)。可以在组策略上设置严格的策略，控制客户端的安全。具体措施包括：强制客户端同步WSUS服务器，自动安装必须的Windows补丁；实施符合一定规则的密码策略；强化账户策略，删除Guest等无关用户；删除系统默认共享，关闭共享文件功能，要求内部所有的数据传送，必须通过文件服务器或是邮箱进行；最小化系统服务，关闭不使用的服务；严格限制非管理员的操作权限；强化系统日志审核功能等等。这些策略是公司内部的通用策略。

对于生产使用的客户端，由于作业员只需要使用几个简单的操作，所以，需要进行更严格的限制。例外：最小化账户权限；最小化运行的用户进程（除指定的系统进程外，其他进程不可以使用）；最小化系统开放端口；最小化系统操作（如：禁用鼠标右键、禁用控制面板、禁用命令提示符、禁用注册表等等）。

2.2.6 无线网络的安全

由于无线网络信号通过空气，很容易被恶意用户非法窃取，所以无线网络安全越来越成为安全隐患的重灾区。仅仅对无线信号加密已经不能满足安全性要求。目前企业里面推荐使用的加密和认证同时使用的方式，其中认证最好是能和AD相结合，提高账户的可管理性。

2.2.7 安全制度的管理

制定合理的制度，是网络安全管理中必不可少的手段，应该和人事部门一起，制定公司网络安全管理规定，对于违反信息安全的行为，给予一定的人事处罚。

3 结束语

网络安全是一个综合性问题，它涉及到诸多因素，包括多种技术、产品和管理等。不能仅仅依靠单一的防护系统，也不能虽然有了多个防护系统，但是不善于管理。而是需要仔细考虑网络的安全需求，将各种安全产品和技术整合，与科学的网络管理方法结合在一起，才能生成高效、通用、安全的网络系统。

[1]Merike Kaeo(著),吴中福（译）,网络安全性设计（第二版）,[M]人民邮电出版社，2005年09月；

[2]Eric Cole(著),曹继军,林龙信.网络安全宝典(第2版).[M]清华大学出版社,2010年11月.

[3]向宏,傅鹂,詹榜华(著).信息安全测评与风险评估.[M]电子工业出版社,2009年1月.

[4]Shon Harris(著),石华耀,张辉,段海新(译).CISSP认证考试指南(第四版).[M]北京科海电子出版社,2010年4月.

[5]黄传河(主编).网络规划设计师教程.[M]清华大学出版社.2009年6月.