张如花 屈正庚

摘要： 互联网的飞速发展，互联网技术应用活跃，中小型企业网络规模和应用范围也不断扩大，导致网络安全问题日益突显。企业网络安全一旦出现问题，造成的损失不可估量。因而以中小型企业为实例，探讨这类企业的网络安全问题以及一些解决方案。分析了目前网络安全理论相关技术、中小型企业网络安全规划原则，针对中小型企业规划出了一个较为完善的网络拓扑结构且具有一定的扩展能力，运用当前主流的一些网络安全技术从中小型企业设备的物理环境安全、网络边界安全、网络内部安全等方面进行了重复加固和实现，提高了企业的网络安全等级。

关键词： 中小型企业; 网络安全规划; VLAN技术; 方案

中图分类号： TP311文献标志码： A

Research on Planning and Solution of Network Security for

Small and Mediumsized Enterprises

ZHANG Ruhua1， QU Zhenggeng2

（1. Department of Communication， Shanxi Post and Telecommunication College， Xianyang 712000;

2. School of Mathematics and Computer Application， Shangluo University， Shangluo 726000）

Abstract： With the rapid development of the Internet， Internet technologies have been developed actively， many smalland mediumsized enterprises apply the Internet， and network size and application range are also expanding. Thus， network security issues become increasingly prominent. Enterprise network is once attacked， the loss may be immeasurable. This paper explores network security issues and some solutions for those small and medium enterprises. It analyzes the current network security theory and relative technologies， and designs a relatively complete network topology for those enterprises. It has some abilities to expand the existing mainstream network security technology. The physical environment security， network border security， network security and other aspects are improved， and the enterprise network security level is lifted.

Key words： Small and medium enterprises; Network security planning; VLAN technology; Schemes

0引言

隨着全球信息化浪潮的不断推进，社会经济、生活方面都发生了日新月异的变革，网络技术正在进行一场革命突破。网络技术长期的发展与完善，在信息安全方面已经从最初的数据保密逐步转变为信息安全技术的可用性、可控性以及完整性，如今网络安全又朝着“检测管控攻防”等方向发展，逐渐成为一个综合性的学科研究领域，也是目前研究的热点。

如今，无论政府、大中小企业、学校、医院全部采用信息化平台工作，提高工作效率和社会竞争力。但是在网络安全管理和维护上存在一些问题和隐患，尤其中小型企业网络安全更被人忽视。本文深入分析网络安全相关技术、中小型企业网络安全规划原则，进一步提出中小型企业网络安全规划模型及解决方案，以满足中小型企业对网络的稳定性、可靠性和安全性需求。

1网络安全相关技术

网络安全是指利用网络管理控制和技术措施，保证在一个网络环境数据的保密性、完整性及可使用性受到保护。常见的技术有如下几个：

（1） 防火墙技术。防火墙技术（Firewall）是指设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，由软件部分和硬件部分组成的一个系统或多个系统。工作原理是在可信任的网络边界上建立网络控制系统，隔离内部网络和外部网络，执行网络访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。

（2） 虚拟专用网技术。虚拟专用网技术（Virtual Private Network，VPN）是一种利用在互联网或其他公共网络上构建专有的虚拟私有网络安全技术，通过对网络数据的封装和加密，为用户在公共网络上建立一个临时的、安全的传输隧道，以达到专用网络的安全级别。用户数据通过发起端上的VPN设备建立逻辑隧道，数据在传输过程中是完全封装的，在接收端采用相应的解密和认证技术来确认发起的请求合法性，从而实现网络数据在整个传输过程中的安全，使其不要流向非法用户，以达到防范的目的。VPN优点在于加大了安全机制，即使信息被截获也不用担心泄密，数据传输采用认证模式，保证信息的完整性。

（3） ACL技术。ACL技术在路由器中被广泛采用，是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并且可以规定符合条件的数据包是否允许通过。ACL通常用在企业的出口控制上，通过ACL的部署，可以有效的规划企业网络的出网策略。

（4） 入侵检测技术。入侵检测技术是从计算机网络和系统的若干关键节点收集信息并对其进行分析，从中发现网络或系统中是否存在违反安全策略的行为或者遭到入侵的现象，并根据一定的策略采取一定的措施。

（5） VLAN技术。VLAN（Virtual Local Area Network） 又称“虚拟局域网”，是一组逻辑上独立的设备和用户，不受物理位置的限制，可以根据功能、部门及应用等因素组织起来进行通信，相互之间的通信就好像在同一个网段中一样。一个VLAN就是一个广播域，VLAN之间的通信是通过第三层的路由器来完成的。通过VLAN可以灵活定义在同一物理网段上网络节点之间的通信，即在同一VLAN的网络节点之间可以通信，不同VLAN的网络节点之间不可以通信。

（6） 数据存储备份与恢复技术。将计算机硬盘中的数据复制到磁带或光盘上，而企业级的数据备份是指对精确定义的数据收集进行备份，无论数据的组织形式是文件、数据库，还是逻辑卷或磁盘，管理保存上述备份介质，以便需要时能迅速、准确地找到任何目标数据的任何备份，并准确地追踪大量的介质。

2中小型企业网络安全规划原则

网络安全的实质是指安全立法、安全管理和安全技术的共同运用，这3个方面体现了网络安全策略的约束、监控和保障的一般职能。依据SSECMM（系统安全工程能力成熟模型）及ISO17799（信息安全管理标准）等国际标准，综合考虑中小型企业网络安全规划过程中，需要遵循以下几方面的规则：

（1） 整体性原则。中小型企业网络安全规划应充分考虑到各种安全配套方案的整体一致性，不能片面的只注重对于攻击的防御，也不能只考虑网络遭到攻击后的如何快速修复防护。所以网络安全系统应该包括网络安全防护机制、监测机制和恢复机制。

（2） 均衡性原则。在设计中小型企业网络安全策略时，应当全面地评估企业对网络安全的实际需求和企业的实际经济能力，从而找寻网络安全风险和企业网络安全实际需求之间的一个均衡点，通过企业的实际网络安全要求和特殊的网络应用环境为基础来进行具体问题具体分析。

（3） 有效性与实用性原则。根据企业网络安全的实际需求来进行整体评价，实施量身定做的防火墙和杀毒软件更好地进行安全防护就可以了，对于中小型企业来说，购买一些高性能、高价位的设备是没有必要的。

（4） 易操作性原则。制定的网络安全措施最后的执行者还是网络管理人员，如果过于繁琐复杂，对执行人员的安全素质要求也比较高，这样就很难执行。

（5） 动态化原则。安全策略制定要充分考虑到企业的规模不断扩大、实力不断提升、网络业务不断变化，因此对网络安全系统就需要根据实际情况不断做出调整，满足新的网络安全需要。依据实际情况，通过使用更高性能的检测和防御的设备、提高安全设备的冗余度等措施来提高网络安全系统的安全等级。

3中小型企业网络安全规划总体解决方案

3.1网络拓扑结构规划

以一栋七层的办公大楼中小型企业为例，每个部门占据一个楼层。七层是经理部，需要1台电脑办公;六层是财务部，需要100台电脑办公;五层是人事部，需要80台电脑办公;四层是策划部，需要110台电脑办公;三层是技术部，需要200台电脑，并且在这层设立一个中心管理机房，放置的是企业中一些外部应用代理服务器、企业内部的重要服务器，如DNS服务器、FTP服务器和备份服务器等，还需放置核心交换机、汇聚交换机及防火墙等重要的网络安全设备，平时只有网络安全管理人员才拥有进出该中心机房的权限，并且有严格的门禁系统，必须进行刷脸认证;二层是工程部，需要150台电脑来办公;一层是銷售部，需要210台电脑来办公。设计该大楼网络拓扑结构如图1所示。

该拓扑图首先通过一个路由器和外网相连，然后由这个路由器再连接到防火墙上，分隔外网和内网，并且进行进出数据包的过滤;再次连接到企业的核心交换机上，核心交换机上连接企业的内部服务器，如邮件服务器和一些备份服务器等;最后再连接到汇聚交换机上，汇聚交换机再接到各部门的二层交换机上。

3.2网络安全解决方案

3.2.1网络边界安全解决方案

此企业的网络边界处采用防火墙和VPN相结合的方式构建一个安全的防护网。通过防火墙将外部的网络和企业的内网相互隔离开来，提高安全级别。防火墙上VPN的配置能为在外的企业员工访问企业内网提供安全的远程访问，极大地方便了在外出差的员工，同时这种方式的远程访问也具有极高的安全性。

另外，外部网络接入企业内部网络时，可以通过NAT（网络地址转换）来接入Internet，这样做不仅隐藏了企业内部的网络结构，同时节约了大量的IPv4地址，具有一定的实际意义。

3.2.2网络内部安全解决方案

此企业的各个部门进行VLAN的划分，实现各部门的

业务数据隔离安全。这样在不同VLAN里面的部门之间则不能相互访问，尤其是财务处需要单独划分在一个VLAN里，确保财务处的数据安全。VLAN的成员可以灵活地增删，当终端设备位置不固定时，也不用修改其IP地址，若要修改用户加入的VLAN时，也无需改变设备的物理连接。

4中小型企业网络安全解决方案的实现

4.1物理和环境的安全

提供专用的中心机房空间，合理的划分机房的各种设备的占用空间，将所有的网络安全设备和重要的数据服务器都放在这个机房中，将这些设备都固定在相应的安全柜中，使其不受外界环境的干扰。

对于进出中心机房的人员加强进门审查装置，比如人脸识别技术、指纹识别技术等来保证中心机房的安全。在中心机房内部安装摄像头来实时监控和记录机房内的安全状况，方便后期网络安全维护。

4.2防火墙和虚拟专用网（VPN）的联动安全实现

中小型企业一般会考虑到经济承受能力，一般采用Cisco PIX 525作为企业接入网络时过滤数据的防火墙，将企业的内部网络和外部网络隔离开来，维护网络的边界安全。上述图1所示，防火墙和与外部网络的路由器相连，作为与外网相连的第一道防护，可以有效的防止来自外部的恶意攻击，也可以确保对DMZ区的应用代理服务器进行方便管理和安全维护。员工如果外出时，通过VPN来实现远程接入的安全性，这样就可以构成强大功能的审计系统，可以实时记录企业中关键业务的数据流向，并且可以对那些不断访问关键业务数据的主机进行实时监控。

4.3NAT和ACL的实现

目前IPv4的地址比较紧张，通过NAT转换技术来解决这个问题，企业只需购买一个全球的IP地址，比如172.138.2.5，然后在连接外部网络的路由器上配置NAT转换。当企业内部用户需要访问外部的网络时，经过企业的入口处路由器，将内部IP地址转换为全球的IP地址，才能把数据包发送出去，在外部网络中经传输到达目的地。如果目的地报文发回时，首先在外网中用全球IP地址查询，当到达企业网络边界的入口路由器时，再经过NAT地址转换，将外网IP地址转换为企业内部的IP地址，通过NAT地址转换表，就可以将报文发送给对应的主机，完成消息的发送。

同时在企业的入口路由器上可以部署ACL，通过访问控制列表严格控制进出的数据包，通过设定一系列的过滤规则，当数据包要通过时，访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并决定符合条件的数据包是否允许通过。

4.4VLAN技术和单臂路由技术的实现

该中小型企业包含的部门有经理、人事部、销售部、财务部、技术部、策划部和工程部七个部门，对部门进行VLAN的划分。

（1） 首先按部门划分VLAN，分别定义VLAN的标签。经理：VLAN10;人事部：VLAN20;销售部：VLAN30;财务部：VLAN40;技术部：VLAN50;策划部：VLAN60;

工程部：VLAN70。

（2） 根据各部门员工的要求，规定VLAN之间的通信规则为：VLAN10可以和其它VLAN中的各部门都可以通信，但是除过经理所在的VLAN10，其余的部门不能访问财务部，然后其余部门之间都不能相互访问。

（3） 实现不同部门之间的访问需要使用单臂路由技术来实现。单臂路由原理简单，配置容易，还可以在各部门入口路由器上配置ACL规则，提高VLAN之间通信的安全性。

（4） 根据各部门的网络安全要求，VLAN划分及各部门IP地址段划分的具体情况如表1所示：

（5） 根据员工要求配置单臂路由技术，经理所连交换机上面连接一个路由器，使用单臂路由技术，实现经理所在的VLAN10可以和其它的不同部门之间的VLAN通信。其余部门的VLAN之间不需要配置单臂路由，保证不同VLAN之间不能相互访问。

4.5企业数据存储备份与恢复技术

一般中小型企业内部数据包括客户服务系统、MIS管理系统和数据营销系统等，因此制定一套完善的数据备份方案，建立方便有效的企业级数据备份系统，保证企业中这些关键业务数据的安全性至关重要。

充分考虑到中小型企业的经济承受能力和经济费用，推荐使用LANBase与LANFree相结合的备份方式。在整个企业的数据备份中心采用LANFree的技术方案，这样可以很好地解决传统备份方式中在备份大量的业务数据时占用网络带宽较多的问题，在各个部门中采用LANBase的备份方式，通过配置的备份管理服务器来管理各个部门备份的操作。

5总结

随着网络的不断普及，中小型企业无处不在使用网络，但是网络安全却日益凸显，所以企业中的网络安全策略也应该动态变化，要逐渐从被动的防御转变为主动的检测和防御，安全防御产品也要及时的更新，逐渐向智能化的方向发展，提高安全防护能力。

本文对当前主流的一些网络安全技术理论进行了深入的分析和研究，例如防火墙技术、VPN技术、VLAN技术、存储备份与恢复技术等，然后通过一栋大楼的中小型企业进行了网络拓扑结构的设计与规划，研究了网络边界和网络内部的安全解决方案，运用网络安全相关技术对中小型企业网络安全方面进行全面加固与实现，对中小型企业的网络安全建设具有一定的实际应用意义。

参考文献

[1]徐琨，刘宏立，詹杰.容忍恶意攻击的无线传感网络安全定位算法[J].通信学报，2016，37（12）：95102.

[2]李方伟，张新跃，朱江.基于信息融合的网络安全态势评估模型[J].计算机应用，2015，35（7）：18821887.

[3]郭祖华，李扬波，徐立新.面向云计算的网络安全风险预测模型的研究[J].计算机应用研究，2015，32（11）：34213425.

[4]刘静，赖英旭，赵虎.基于大类招生的网络安全实践能力培养体系研究[J].实验室研究与探索，2017，36（1）：196200.

[5]汪波，聶晓伟.基于多目标数学规划的网络入侵检测方法[J].计算机研究与发展，2015，52（10）：22392246.

[6]屈正庚.一种无线多媒体传感器网络路径最优路由算法[J].太赫兹科学与电子信息学报2016，14（6）：943947.

[7]尹建玲，刘高俊，王婷.核电厂实时信息监控系统的网络与数据安全设计[J].原子能科学技术，2014，48（11）：10591064.

[8]李永涛，竺小松，敦鹏.基于连接质量和节点相关度的机会网络路由[J].太赫兹科学与电子信息学报2014，12（1）：6266.

[9]芦荻，商慧琳.基于反导作战环的装备作战网络能力评估[J].太赫兹科学与电子信息学报2016，14（3）：372377.

[10]方玲，仲伟俊，梅姝娥.多入侵检测系统与人工调查组合的安全技术管理策略[J].东南大学学报（自然科学版），2015，45（4）：811816.

[11]曹玉林，王小明，何早波.移动无线传感网中恶意软件传播的最优安全策略[J].电子学报，2016，44（8）：18511857.

[12]苏雪，宋国新.一种基于安全策略的云数据访问控制优化技术[J].华东理工大学学报（自然科学版）.2016，42（6）：858862.

[13]周诚，李伟伟，马媛媛.基于马尔可夫攻防模型的电力信息光网安全策略加固[J].科学技术与工程，2017，17（11）：7983.

[14]秦威，徐家品，李桃.双向跳空通信系统的物理层安全方案[J].应用科学学报，2016，34（3）：263274.

[15]佘远亚，朱宇.一种适合于认知无线传感网络的路由算法[J].太赫兹科学与电子信息学报2014，12（3）：386391.

（收稿日期： 2018.12.20）

基金项目：国家自然科学基金资助项目（61173190）;陕西省教育厅科研计划项目资助（16JK1236）; 商洛市科学技术研究发展计划项目（SK201633）

作者简介：张如花（1981），女，长安人，硕士，研究方向：宽带接入技术，交换网，网络控制。

屈正庚（1982），男，西乡县人，硕士，副教授，研究方向：领域为协同设计与网络控制、电子商务。文章编号：1007757X（2020）02000104