21世紀以來，隨著計算機網絡技術的飛速發展，我們邁入了以網絡為核心的信息時代。許多企業都構建了企業網絡運營平臺，企業經營、生產與管理對計算機網絡的依賴性日益增強。網絡規模的不斷增大， 網絡結構的日益復雜都對網絡安全提出了更高的要求。網絡安全應從整體上考慮，全面覆蓋網絡系統的各個方面，針對網絡、系統、應用、數據做全面的防范。

    目前，大多數企業都建設了以辦公系統(OA)與ERP為中心，集成公文流轉、即時消息、門戶網站、業務應用的辦公系統，這些系統均以網絡平臺為支撐，采用B／S模式運行，并且各系統對于安全性要求不同。安全可靠性不同的多種應用，運行在同一個網絡中，給黑客、病毒攻擊提供了方便之門，給企業的網絡安全造成了極大的威脅。

    在一定的資金支持下， 網絡管理都要在網絡安全程度和建設成本之間作出取舍，充分使用現有的成熟技術，并且盡可能地發揮管理的功效，提高企業網絡安全，為業務系統的安全、穩定運行保駕護航。我們可以采用了以下技術和策略提高網絡的安全性。

一、網絡安全隔離

    網絡隔離有兩種方式：物理隔離和邏輯隔離。將網絡進行隔離后，為了能夠滿足網絡內授權用戶對相關子網資源的訪問，保證各業務不受影響，在各子網之間應采取不同的訪問策略。物理隔離是最安全的網絡隔離方式，但是它的建設成本非常大，要求在網絡設備、計算機終端、網絡線路上都進行重復性投資，花費很大，除涉密的計算機信息系統必須實行物理隔離外，其它系統以邏輯隔離方式為主。

    考慮企業的應用情況，針對不同業務的不同需求，劃分不同的虛擬子網(VLAN)進行邏輯隔離。例如：為財務、人力、工程各部門的客戶端劃分單獨的VLAN，通過將不同用戶或資源劃分到不同的VLAN中，利用路由器或者防火墻對VLAN間的訪問進行控制。

二、網絡安全準入與訪問控制

    企業在信息資源共享的同時也要阻止非授權用戶對企業敏感信息的訪問，訪問控制的目的是為了保護企業在信息系統中存儲和處理信息的安全，它是計算機網絡信息安全最重要的核心策略之一，是通過準入策略準許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。

    (一)網絡邊界安全設計。企業一般有大量業務數據流運行于Internet網絡，在企業內外網絡的邊界處，部署網絡防火墻實現私有地址和公有地址的相互映射和轉換，屏蔽內部網絡結構，并按照最小需求原則配置訪問策略，以防范來自外部的威脅與攻擊。

    (二)內部網絡用戶準入。采用DHCP服務器做地址綁定，用戶_IP地址與MAC地址做一對一保留，防止網絡接入的隨意性，并在交換機設置DHCP Snooping、動態ARP檢測防止用戶任意修改IP，保證地址獲取的合法性。對于重要的業務系統服務器，還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定，可以有效的阻止ARP等病毒的攻擊。

    (三)分支機構及移動辦公用戶的準入。外部用戶訪問企業內網，應在基于VPN的撥號接入之上，建立AAA認證服務器，一方面方便用戶經常更換口令，另一方面可以實施更加嚴格的安全策略，并且對這些策略的實施予以監視。

    為了方便用戶對資源的訪問和管理網絡，有必要建立一個統一的安全認證及授權系統，統一的帳號管理有助于確保安全策略的實施及管理。

三、主機與系統平臺安全

    網絡是病毒傳播最好最快的途徑之一。在網絡環境下，計算機病毒有不可估量的威脅性和破壞力，它使得網絡癱瘓、機密信息泄漏、重要業務系統不能提供正常服務，嚴重影響網絡安全，造成不良的社會影響。計算機病毒的防范是網絡安全性建設中重要的一環，在企業網中應建立一套網絡版的防病毒系統，它能構造全網統一的防病毒體系，支持對網絡、服務器、工作站的實時病毒監控；能夠在中心控制臺向多個目標分發布及安裝新版殺毒軟件，并監視多個目標的病毒防治情況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知病毒，支持廣泛的病毒處理選項；支持病毒主機隔離；提供對病毒特征信息和檢測引擎的定期在線更新服務；支持日志記錄功能；支持多種方式的告警功能(聲音、圖像、電子郵件等)等。

    其次，為了彌補防病毒軟件被動防范的不足，可采用兩種策略提高網絡主動防范的能力。

    (一)在網絡邊界防火墻上配置嚴格的安全策略， 強制關閉常見病毒攻擊的服務端口，防止病毒入侵。在核心層和匯聚層交換機上，依據業務數據流流向建立一系列的訪問控制列表，服務器只向必須訪問它的客戶端開放，其它客戶端一概被策略拒絕訪問。

    (二)由于企業中大多數計算機安裝Windows系列的操作系統，所以在網絡中建設一套Windows補丁分發系統，利用微軟的WSUS服務器進行強聯動，輔以行之有效的用戶端保護措施，幫助客戶機高效、安全的完成Windows補丁更新，解決為Windows系統自動安裝系統補丁程序的問題，進一步提高了計算機安全性，當然也提高了網絡的安全性。

四、網絡安全監測與審計

    (一)網絡管理系統。利用網絡管理系統軟件，實現對網絡管理信息的收集、整理、預警，以視圖方式實時監控各種網絡設備運行狀態。網絡管理一般包括網絡性能管理，配置管理，安全管理，計費管理和故障管理等五大管理功能。建立針對全網絡的管理平臺，對網絡、計算機系統、數據庫、應用程序等進行統一監管理，把網絡系統平臺由原先的被動管理轉向主動監控，被動處理故障變為主動故障預警。

    (二)網絡入侵檢測。作為防火墻功能的有效補充，入侵檢測／防御系統(IDS／IPS)可實時監控網絡傳輸，主動檢測可疑行為，分析網絡外部入侵信號和內部非法活動，在系統遭受危害前發出報警，對攻擊作出及時的響應，并提供相應的補救措施，最大限度地保障網絡安全。

    (三)網絡安全審計。將網絡安全審計系統布署在企業網絡中，能夠監控、審查、追溯內部人員操作行為，防止企業機密資料泄露，統計網絡系統的實際使用狀況，幫助管理者及時發現潛在的漏洞和威脅，為企業的網絡提供保障，使企業的網絡資源發揮應有的經濟效益。

五、企業網絡安全管理制度保障

    管理是企業網絡安全的核心，技術是企業安全管理的保證。網絡安全系統必須包括技術和管理兩方面。只有完整的規章制度、行為準則并和安全技術手段結合， 網絡系統的安全才會得到最大限度的保障。只有制定合理有效的網絡管理制度來約束員工，這樣才能最大限度的保證企業網絡平穩正常的運轉，例如禁止員工濫用計算機，禁止利用工作時間隨意下載軟件，隨意執行安裝操作，禁止使用IM工具聊天等。最終制度通過網絡管理平臺得以具體體現，管理平臺使得制度被嚴格的執行起來。

六、結束語

    本文從分析企業網絡安全形勢入手，指出當前網絡安全存在的問題，然后提出了一套較詳細的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全審計。本文從技術手段上、可操作性上都易于實現、易于部署， 為企業提供了實用的網絡安全性設計。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：論企業計算機網絡的安全性設計

本文網址：http://www.guhuozai8.cn/html/consultation/1083952557.html