前言：本站為你精心整理了中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃與解決方案范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)應(yīng)用活躍，中小型企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍也不斷擴(kuò)大，導(dǎo)致網(wǎng)絡(luò)安全問題日益突顯。企業(yè)網(wǎng)絡(luò)安全一旦出現(xiàn)問題，造成的損失不可估量。因而以中小型企業(yè)為實例，探討這類企業(yè)的網(wǎng)絡(luò)安全問題以及一些解決方案。分析了目前網(wǎng)絡(luò)安全理論相關(guān)技術(shù)、中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則，針對中小型企業(yè)規(guī)劃出了一個較為完善的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)且具有一定的擴(kuò)展能力，運用當(dāng)前主流的一些網(wǎng)絡(luò)安全技術(shù)從中小型企業(yè)設(shè)備的物理環(huán)境安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)內(nèi)部安全等方面進(jìn)行了重復(fù)加固和實現(xiàn)，提高了企業(yè)的網(wǎng)絡(luò)安全等級。

關(guān)鍵詞：中小型企業(yè)；網(wǎng)絡(luò)安全規(guī)劃；VLAN技術(shù)；方案

0引言

隨著全球信息化浪潮的不斷推進(jìn)，社會經(jīng)濟(jì)、生活方面都發(fā)生了日新月異的變革，網(wǎng)絡(luò)技術(shù)正在進(jìn)行一場革命突破。網(wǎng)絡(luò)技術(shù)長期的發(fā)展與完善，在信息安全方面已經(jīng)從最初的數(shù)據(jù)保密逐步轉(zhuǎn)變?yōu)樾畔踩夹g(shù)的可用性、可控性以及完整性，如今網(wǎng)絡(luò)安全又朝著“檢測－管控－攻防”等方向發(fā)展，逐漸成為一個綜合性的學(xué)科研究領(lǐng)域，也是目前研究的熱點。如今，無論政府、大中小企業(yè)、學(xué)校、醫(yī)院全部采用信息化平臺工作，提高工作效率和社會競爭力。但是在網(wǎng)絡(luò)安全管理和維護(hù)上存在一些問題和隱患，尤其中小型企業(yè)網(wǎng)絡(luò)安全更被人忽視。本文深入分析網(wǎng)絡(luò)安全相關(guān)技術(shù)、中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則，進(jìn)一步提出中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃模型及解決方案，以滿足中小型企業(yè)對網(wǎng)絡(luò)的穩(wěn)定性、可靠性和安全性需求。

1網(wǎng)絡(luò)安全相關(guān)技術(shù)

網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。常見的技術(shù)有如下幾個：（1）防火墻技術(shù)。防火墻技術(shù)（Firewall）是指設(shè)置在兩個或多個網(wǎng)絡(luò)之間的安全阻隔，用于保證本地網(wǎng)絡(luò)資源的安全，由軟件部分和硬件部分組成的一個系統(tǒng)或多個系統(tǒng)。工作原理是在可信任的網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)控制系統(tǒng)，隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問控制策略，防止外部的未授權(quán)節(jié)點訪問內(nèi)部網(wǎng)絡(luò)和非法向外傳遞內(nèi)部信息，同時也防止非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運行被破壞。（2）虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)技術(shù)（VirtualPrivateNetwork，VPN）是一種利用在互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)上構(gòu)建專有的虛擬私有網(wǎng)絡(luò)安全技術(shù)，通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密，為用戶在公共網(wǎng)絡(luò)上建立一個臨時的、安全的傳輸隧道，以達(dá)到專用網(wǎng)絡(luò)的安全級別。用戶數(shù)據(jù)通過發(fā)起端上的VPN設(shè)備建立邏輯隧道，數(shù)據(jù)在傳輸過程中是完全封裝的，在接收端采用相應(yīng)的解密和認(rèn)證技術(shù)來確認(rèn)發(fā)起的請求合法性，從而實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)在整個傳輸過程中的安全，使其不要流向非法用戶，以達(dá)到防范的目的。VPN優(yōu)點在于加大了安全機(jī)制，即使信息被截獲也不用擔(dān)心泄密，數(shù)據(jù)傳輸采用認(rèn)證模式，保證信息的完整性。（3）ACL技術(shù)。ACL技術(shù)在路由器中被廣泛采用，是一種基于包過濾的流控制技術(shù)?？刂屏斜硗ㄟ^把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并且可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常用在企業(yè)的出口控制上，通過ACL的部署，可以有效的規(guī)劃企業(yè)網(wǎng)絡(luò)的出網(wǎng)策略。（4）入侵檢測技術(shù)。入侵檢測技術(shù)是從計算機(jī)網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵節(jié)點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為或者遭到入侵的現(xiàn)象，并根據(jù)一定的策略采取一定的措施。（5）VLAN技術(shù)。VLAN（VirtualLocalAreaNetwork）又稱“虛擬局域網(wǎng)”，是一組邏輯上獨立的設(shè)備和用戶，不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素組織起來進(jìn)行通信，相互之間的通信就好像在同一個網(wǎng)段中一樣。一個VLAN就是一個廣播域，VLAN之間的通信是通過第三層的路由器來完成的。通過VLAN可以靈活定義在同一物理網(wǎng)段上網(wǎng)絡(luò)節(jié)點之間的通信，即在同一VLAN的網(wǎng)絡(luò)節(jié)點之間可以通信，不同VLAN的網(wǎng)絡(luò)節(jié)點之間不可以通信。（6）數(shù)據(jù)存儲備份與恢復(fù)技術(shù)。將計算機(jī)硬盤中的數(shù)據(jù)復(fù)制到磁帶或光盤上，而企業(yè)級的數(shù)據(jù)備份是指對精確定義的數(shù)據(jù)收集進(jìn)行備份，無論數(shù)據(jù)的組織形式是文件、數(shù)據(jù)庫，還是邏輯卷或磁盤，管理保存上述備份介質(zhì)，以便需要時能迅速、準(zhǔn)確地找到任何目標(biāo)數(shù)據(jù)的任何備份，并準(zhǔn)確地追蹤大量的介質(zhì)。

2中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃原則

網(wǎng)絡(luò)安全的實質(zhì)是指安全立法、安全管理和安全技術(shù)的共同運用，這3個方面體現(xiàn)了網(wǎng)絡(luò)安全策略的約束、監(jiān)控和保障的一般職能。依據(jù)SSE－CMM（系統(tǒng)安全工程能力成熟模型）及ISO17799（信息安全管理標(biāo)準(zhǔn)）等國際標(biāo)準(zhǔn)，綜合考慮中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃過程中，需要遵循以下幾方面的規(guī)則：（1）整體性原則。中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃應(yīng)充分考慮到各種安全配套方案的整體一致性，不能片面的只注重對于攻擊的防御，也不能只考慮網(wǎng)絡(luò)遭到攻擊后的如何快速修復(fù)防護(hù)。所以網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括網(wǎng)絡(luò)安全防護(hù)機(jī)制、監(jiān)測機(jī)制和恢復(fù)機(jī)制。（2）均衡性原則。在設(shè)計中小型企業(yè)網(wǎng)絡(luò)安全策略時，應(yīng)當(dāng)全面地評估企業(yè)對網(wǎng)絡(luò)安全的實際需求和企業(yè)的實際經(jīng)濟(jì)能力，從而找尋網(wǎng)絡(luò)安全風(fēng)險和企業(yè)網(wǎng)絡(luò)安全實際需求之間的一個均衡點，通過企業(yè)的實際網(wǎng)絡(luò)安全要求和特殊的網(wǎng)絡(luò)應(yīng)用環(huán)境為基礎(chǔ)來進(jìn)行具體問題具體分析。（3）有效性與實用性原則。根據(jù)企業(yè)網(wǎng)絡(luò)安全的實際需求來進(jìn)行整體評價，實施量身定做的防火墻和殺毒軟件更好地進(jìn)行安全防護(hù)就可以了，對于中小型企業(yè)來說，購買一些高性能、高價位的設(shè)備是沒有必要的。（4）易操作性原則。制定的網(wǎng)絡(luò)安全措施最后的執(zhí)行者還是網(wǎng)絡(luò)管理人員，如果過于繁瑣復(fù)雜，對執(zhí)行人員的安全素質(zhì)要求也比較高，這樣就很難執(zhí)行。（5）動態(tài)化原則。安全策略制定要充分考慮到企業(yè)的規(guī)模不斷擴(kuò)大、實力不斷提升、網(wǎng)絡(luò)業(yè)務(wù)不斷變化，因此對網(wǎng)絡(luò)安全系統(tǒng)就需要根據(jù)實際情況不斷做出調(diào)整，滿足新的網(wǎng)絡(luò)安全需要。依據(jù)實際情況，通過使用更高性能的檢測和防御的設(shè)備、提高安全設(shè)備的冗余度等措施來提高網(wǎng)絡(luò)安全系統(tǒng)的安全等級。

3中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃總體解決方案

3．1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃

以一棟七層的辦公大樓中小型企業(yè)為例，每個部門占據(jù)一個樓層。七層是經(jīng)理部，需要1臺電腦辦公；六層是財務(wù)部，需要100臺電腦辦公；五層是人事部，需要80臺電腦辦公；四層是策劃部，需要110臺電腦辦公；三層是技術(shù)部，需要200臺電腦，并且在這層設(shè)立一個中心管理機(jī)房，放置的是企業(yè)中一些外部應(yīng)用服務(wù)器、企業(yè)內(nèi)部的重要服務(wù)器，如DNS服務(wù)器、FTP服務(wù)器和備份服務(wù)器等，還需放置核心交換機(jī)、匯聚交換機(jī)及防火墻等重要的網(wǎng)絡(luò)安全設(shè)備，平時只有網(wǎng)絡(luò)安全管理人員才擁有進(jìn)出該中心機(jī)房的權(quán)限，并且有嚴(yán)格的門禁系統(tǒng)，必須進(jìn)行刷臉認(rèn)證；二層是工程部，需要150臺電腦來辦公；一層是銷售部，需要210臺電腦來辦公。設(shè)計該大樓網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。該拓?fù)鋱D首先通過一個路由器和外網(wǎng)相連，然后由這個路由器再連接到防火墻上，分隔外網(wǎng)和內(nèi)網(wǎng)，并且進(jìn)行進(jìn)出數(shù)據(jù)包的過濾；再次連接到企業(yè)的核心交換機(jī)上，核心交換機(jī)上連接企業(yè)的內(nèi)部服務(wù)器，如郵件服務(wù)器和一些備份服務(wù)器等；最后再連接到匯聚交換機(jī)上，匯聚交換機(jī)再接到各部門的二層交換機(jī)上。

3．2網(wǎng)絡(luò)安全解決方案

3．2．1網(wǎng)絡(luò)邊界安全解決方案

此企業(yè)的網(wǎng)絡(luò)邊界處采用防火墻和VPN相結(jié)合的方式構(gòu)建一個安全的防護(hù)網(wǎng)。通過防火墻將外部的網(wǎng)絡(luò)和企業(yè)的內(nèi)網(wǎng)相互隔離開來，提高安全級別。防火墻上VPN的配置能為在外的企業(yè)員工訪問企業(yè)內(nèi)網(wǎng)提供安全的遠(yuǎn)程訪問，極大地方便了在外出差的員工，同時這種方式的遠(yuǎn)程訪問也具有極高的安全性。另外，外部網(wǎng)絡(luò)接入企業(yè)內(nèi)部網(wǎng)絡(luò)時，可以通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）來接入Internet，這樣做不僅隱藏了企業(yè)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，同時節(jié)約了大量的IPv4地址，具有一定的實際意義。

3．2．2網(wǎng)絡(luò)內(nèi)部安全解決方案

此企業(yè)的各個部門進(jìn)行VLAN的劃分，實現(xiàn)各部門的業(yè)務(wù)數(shù)據(jù)隔離安全。這樣在不同VLAN里面的部門之間則不能相互訪問，尤其是財務(wù)處需要單獨劃分在一個VLAN里，確保財務(wù)處的數(shù)據(jù)安全。VLAN的成員可以靈活地增刪，當(dāng)終端設(shè)備位置不固定時，也不用修改其IP地址，若要修改用戶加入的VLAN時，也無需改變設(shè)備的物理連接。

4中小型企業(yè)網(wǎng)絡(luò)安全解決方案的實現(xiàn)

4．1物理和環(huán)境的安全

提供專用的中心機(jī)房空間，合理的劃分機(jī)房的各種設(shè)備的占用空間，將所有的網(wǎng)絡(luò)安全設(shè)備和重要的數(shù)據(jù)服務(wù)器都放在這個機(jī)房中，將這些設(shè)備都固定在相應(yīng)的安全柜中，使其不受外界環(huán)境的干擾。對于進(jìn)出中心機(jī)房的人員加強(qiáng)進(jìn)門審查裝置，比如人臉識別技術(shù)、指紋識別技術(shù)等來保證中心機(jī)房的安全。在中心機(jī)房內(nèi)部安裝攝像頭來實時監(jiān)控和記錄機(jī)房內(nèi)的安全狀況，方便后期網(wǎng)絡(luò)安全維護(hù)。

4．2防火墻和虛擬專用網(wǎng)（VPN）的聯(lián)動安全實現(xiàn)

中小型企業(yè)一般會考慮到經(jīng)濟(jì)承受能力，一般采用Cis－coPIX525作為企業(yè)接入網(wǎng)絡(luò)時過濾數(shù)據(jù)的防火墻，將企業(yè)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開來，維護(hù)網(wǎng)絡(luò)的邊界安全。上述圖1所示，防火墻和與外部網(wǎng)絡(luò)的路由器相連，作為與外網(wǎng)相連的第一道防護(hù)，可以有效的防止來自外部的惡意攻擊，也可以確保對DMZ區(qū)的應(yīng)用服務(wù)器進(jìn)行方便管理和安全維護(hù)。員工如果外出時，通過VPN來實現(xiàn)遠(yuǎn)程接入的安全性，這樣就可以構(gòu)成強(qiáng)大功能的審計系統(tǒng)，可以實時記錄企業(yè)中關(guān)鍵業(yè)務(wù)的數(shù)據(jù)流向，并且可以對那些不斷訪問關(guān)鍵業(yè)務(wù)數(shù)據(jù)的主機(jī)進(jìn)行實時監(jiān)控。

4．3NAT和ACL的實現(xiàn)

目前IPv4的地址比較緊張，通過NAT轉(zhuǎn)換技術(shù)來解決這個問題，企業(yè)只需購買一個全球的IP地址，比如172．138．2．5，然后在連接外部網(wǎng)絡(luò)的路由器上配置NAT轉(zhuǎn)換。當(dāng)企業(yè)內(nèi)部用戶需要訪問外部的網(wǎng)絡(luò)時，經(jīng)過企業(yè)的入口處路由器，將內(nèi)部IP地址轉(zhuǎn)換為全球的IP地址，才能把數(shù)據(jù)包發(fā)送出去，在外部網(wǎng)絡(luò)中經(jīng)傳輸?shù)竭_(dá)目的地。如果目的地報文發(fā)回時，首先在外網(wǎng)中用全球IP地址查詢，當(dāng)?shù)竭_(dá)企業(yè)網(wǎng)絡(luò)邊界的入口路由器時，再經(jīng)過NAT地址轉(zhuǎn)換，將外網(wǎng)IP地址轉(zhuǎn)換為企業(yè)內(nèi)部的IP地址，通過NAT地址轉(zhuǎn)換表，就可以將報文發(fā)送給對應(yīng)的主機(jī)，完成消息的發(fā)送。同時在企業(yè)的入口路由器上可以部署ACL，通過訪問控制列表嚴(yán)格控制進(jìn)出的數(shù)據(jù)包，通過設(shè)定一系列的過濾規(guī)則，當(dāng)數(shù)據(jù)包要通過時，訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并決定符合條件的數(shù)據(jù)包是否允許通過。

4．4VLAN技術(shù)和單臂路由技術(shù)的實現(xiàn)

該中小型企業(yè)包含的部門有經(jīng)理、人事部、銷售部、財務(wù)部、技術(shù)部、策劃部和工程部七個部門，對部門進(jìn)行VLAN的劃分。（1）首先按部門劃分VLAN，分別定義VLAN的標(biāo)簽。經(jīng)理：VLAN10；人事部：VLAN20；銷售部：VLAN30；財務(wù)部：VLAN40；技術(shù)部：VLAN50；策劃部：VLAN60；工程部：VLAN70。（2）根據(jù)各部門員工的要求，規(guī)定VLAN之間的通信規(guī)則為：VLAN10可以和其它VLAN中的各部門都可以通信，但是除過經(jīng)理所在的VLAN10，其余的部門不能訪問財務(wù)部，然后其余部門之間都不能相互訪問。（3）實現(xiàn)不同部門之間的訪問需要使用單臂路由技術(shù)來實現(xiàn)。單臂路由原理簡單，配置容易，還可以在各部門入口路由器上配置ACL規(guī)則，提高VLAN之間通信的安全性。（4）根據(jù)各部門的網(wǎng)絡(luò)安全要求，VLAN劃分及各部門IP地址段劃分的具體情況如表1所示：（5）根據(jù)員工要求配置單臂路由技術(shù)，經(jīng)理所連交換機(jī)上面連接一個路由器，使用單臂路由技術(shù)，實現(xiàn)經(jīng)理所在的VLAN10可以和其它的不同部門之間的VLAN通信。其余部門的VLAN之間不需要配置單臂路由，保證不同VLAN之間不能相互訪問。

4．5企業(yè)數(shù)據(jù)存儲備份與恢復(fù)技術(shù)

一般中小型企業(yè)內(nèi)部數(shù)據(jù)包括客戶服務(wù)系統(tǒng)、MIS管理系統(tǒng)和數(shù)據(jù)營銷系統(tǒng)等，因此制定一套完善的數(shù)據(jù)備份方案，建立方便有效的企業(yè)級數(shù)據(jù)備份系統(tǒng)，保證企業(yè)中這些關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全性至關(guān)重要。充分考慮到中小型企業(yè)的經(jīng)濟(jì)承受能力和經(jīng)濟(jì)費用，推薦使用LAN－Base與LAN－Free相結(jié)合的備份方式。在整個企業(yè)的數(shù)據(jù)備份中心采用LAN－Free的技術(shù)方案，這樣可以很好地解決傳統(tǒng)備份方式中在備份大量的業(yè)務(wù)數(shù)據(jù)時占用網(wǎng)絡(luò)帶寬較多的問題，在各個部門中采用LAN－Base的備份方式，通過配置的備份管理服務(wù)器來管理各個部門備份的操作。

5總結(jié)

隨著網(wǎng)絡(luò)的不斷普及，中小型企業(yè)無處不在使用網(wǎng)絡(luò)，但是網(wǎng)絡(luò)安全卻日益凸顯，所以企業(yè)中的網(wǎng)絡(luò)安全策略也應(yīng)該動態(tài)變化，要逐漸從被動的防御轉(zhuǎn)變?yōu)橹鲃拥臋z測和防御，安全防御產(chǎn)品也要及時的更新，逐漸向智能化的方向發(fā)展，提高安全防護(hù)能力。本文對當(dāng)前主流的一些網(wǎng)絡(luò)安全技術(shù)理論進(jìn)行了深入的分析和研究，例如防火墻技術(shù)、VPN技術(shù)、VLAN技術(shù)、存儲備份與恢復(fù)技術(shù)等，然后通過一棟大樓的中小型企業(yè)進(jìn)行了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計與規(guī)劃，研究了網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)部的安全解決方案，運用網(wǎng)絡(luò)安全相關(guān)技術(shù)對中小型企業(yè)網(wǎng)絡(luò)安全方面進(jìn)行全面加固與實現(xiàn)，對中小型企業(yè)的網(wǎng)絡(luò)安全建設(shè)具有一定的實際應(yīng)用意義。

作者:張如花 屈正庚 單位:陜西郵電職業(yè)技術(shù)學(xué)院 商洛學(xué)院數(shù)學(xué)與計算機(jī)應(yīng)用學(xué)院