|
中小企业如何搭建安全稳定的局域网网络安全是一个持续、动态的流程,并不是简简单单几个软件的集成。同时从业人员也要时刻保持一个安全的意识,提高自身网络应用水平,只有这样才能保证一个企业内部S网络信息的畅通和安全。 一、概述 近年来,随着信息网络技术以及Internet的迅速发展,各种网络安全问题也接踵而来。网络病毒、操作系统漏洞、棱镜门事件等屡见不鲜。企业开始越来越重视信息化基础设施的搭建,而企业内部的网络系统如何抵御病毒的入侵、如何保证内部数据的安全性、可靠性,是搭建企业内部安全稳定的局域网的过程中必须考虑的重要事情之一。本文以某一中小企业(简称A公司)的网络情况为例,结合自己在信息安全领域的经验,从安全角度出发,提出中小企业局域网网络的安全解决方案。 二、网络概述 2.1 内部网络构成 A公司内部局域网通过核心交换机在主干网络上提供10M/100M带宽,通过下级各部门的交换机与公司内部的服务器相连,利用核心交换连接的路由器,所有授权的用户可以访问相应的Internet的权限。网络按访问区域一般划分为三个区域:公网区域(Internet区域)、内部区域、DMZ服务器区域。 2.2网络应用 1、基于软件产品的前台环境 2、基于数据库的应用 3、www服务及提供对Internet的访问 2.3网络特点 1、资金投入少:此种方式搭建的网络体系在安全建设方面的资金投入较少; 2、内部访问速度快:由于内部计算机属于点到点的连接方式,因此内部访问速度较快。但同时也给系统安全带来负面的影响——病毒的蔓延性也快; 3、计算机管理比较复杂:对局域网内的所有计算机系统实施统一的安全策略(如安装防病毒软件、设置复杂口令等)非常困难; 4、内部网络中存在多台应用服务器。 三、网络安全风险 3.1主机系统中存在安全隐患 由于网络中存在很多不同的操作系统,例如unxix、linux、aix、windows2008等这些系统自身就存在许多的安全漏洞。 3.2管理人员安全意识不强 系统管理人员由于缺乏安全意识,私自带领一些外来人员进入机房重地,或者无意识的泄露一些重要的信息。同时当网络中出现异常威胁时,无法进行实时的跟踪、检测、监控、排除、预警机制。 3.3恶意代码以及病毒的攻击 病毒具有很强的破坏能力和传播能力,这一点在网络应用水平较高的公司中尤其显著。因为网络应用水平越高,代表着共享资源访问就越频繁,计算机病毒的传播速度就会越快。同时公司内部要加强对恶意代码的检测(包括未经同意的软件)。 3.4黑客恶意攻击 黑客通常利用系统和管理上一切可能的漏洞,无时无刻的进行攻击。公司内部公开的服务器存在的漏洞就是一个典型的例子,黑客可以轻松的骗过服务器,得到系统的登录口令并将其送回。一旦黑客侵入成功,有可能从普通用户更改为高级用户,有对所有文件的读写权限。为了防止黑客攻击,我们可以在局域网内部采用防火墙技术、web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源。 四、安全解决方案 4.1制定公司内部信息系统规范制度 就像所有管理问题所说的“三分技术,七分管理”,网络管理也是这样。长久以来,攻击网络事件层出不穷主要是因为管理制度上的不完善、人员责任心差而导致的。尽管在所有的网络安全建设中,网络安全管理制度的建设都被提到极其重要的位置,但能按相关标准制定出具有全面性、可行性、合理性的安全制度,并严格按其实施的项目数量并不是很多。同时公司内部应该完善相应的网络安全制度。例如,建立完善的机房管理制度、密码使用制度、网络资源使用制度、病毒防范制度、网络应急预案等。 4.2加强公司内部使用人员安全意识 完善公司内部相应规章制度的同时也要加强相关操作人员的安全意识。通过调查发现,多数攻击事件都是在操作人员无意中触发了黑客设下的“陷阱”造成的。针对这种情况,企业应该定期对相关人员进行网络安全知识的培训。全面提高网络使用人员的安全意识,是提高网络安全性的有效手段。 4.3内部网络安全保护系统软件的使用 现常见的网络安全防护软件包括isa防火墙、入侵检测系统、漏洞扫描系统等。 1)防火墙 在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。防火墙通常被用来进行网络安全边界的防护,事实证明,在内网中不同安全级别的安全域之间采用防火墙进行安全防护,不但能保证各安全域之间相对安全,同时对于网络日常运行中各安全域中访问权限的调整提供了便利条件。 2)入侵检测系统 入侵检测的出现,很大程度上弥补了防火墙防外不防内的特性。同时,对网络内部的信息做到了实时的监控和预警,入侵检测系统与防火墙的联动,给内网中重要的安全域打造了一个动态的实时防护屏障。 3)金山、360防病毒软件 由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,因此它的防范是网络安全性建设中重要的一环。防毒软件应该构造全网统一的防病毒体系,主要面向MAIL 、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。 五、综述 网络安全是一个持续、动态的流程,并不是简简单单几个软件的集成。同时从业人员也要时刻保持一个安全的意识,提高自身网络应用水平,只有这样才能保证一个企业内部S网络信息的畅通和安全。 责编:李代丽 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 |
最新专题 |
|