李玉明

摘要：隨著我國信息化的飛速發(fā)展，我們正大跨步的走進(jìn)了“互聯(lián)網(wǎng)+”時(shí)代，各行各業(yè)都離不開網(wǎng)絡(luò)技術(shù)和與之密不可分的信息技術(shù)，信息的潛在價(jià)值越來越被社會公眾所認(rèn)可，企業(yè)作為一個(gè)獨(dú)立的個(gè)體，與外界交流的方式更加的離不開網(wǎng)絡(luò)技術(shù)，企業(yè)內(nèi)部網(wǎng)絡(luò)和internet之間的安全問題成為當(dāng)前各企業(yè)網(wǎng)絡(luò)絡(luò)建設(shè)中不可忽視的首要問題。為了保證企業(yè)網(wǎng)的正常運(yùn)行和安全，本文主要針對企業(yè)網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)的缺陷，提出一些粗淺的設(shè)計(jì)方案。

關(guān)鍵詞：互聯(lián)網(wǎng)+ 信息技術(shù) internet 安全 局域網(wǎng)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）07-0192-02

隨著我國信息化的飛速發(fā)展，我們正大跨步走進(jìn)了“互聯(lián)網(wǎng)+”時(shí)代，各行各業(yè)都離不開網(wǎng)絡(luò)技術(shù)和與之密不可分的信息技術(shù)，信息的潛在價(jià)值越來越被深入的挖掘，企業(yè)作為一個(gè)獨(dú)立的個(gè)體，與外界交流的方式更加的離不開網(wǎng)絡(luò)技術(shù)，企業(yè)內(nèi)部網(wǎng)絡(luò)和internet之間的安全問題成為當(dāng)前各企業(yè)網(wǎng)絡(luò)絡(luò)建設(shè)中不可忽視的首要問題。針對企業(yè)網(wǎng)絡(luò)環(huán)境中存在的安全問題我們淺談一下信息技術(shù)安全的方案，其主要思想是：不僅僅依靠單一的網(wǎng)絡(luò)安全技術(shù)或安全機(jī)制來保證網(wǎng)絡(luò)的安全性，從網(wǎng)絡(luò)的物理安全、安全技術(shù)防范系統(tǒng)，安全管理制度等多個(gè)層次實(shí)現(xiàn)網(wǎng)體系的整體安全性。

1 目前企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀

1.1 密碼的安全

我們都知道密碼技術(shù)是保護(hù)信息安全以及網(wǎng)絡(luò)系統(tǒng)不被攻擊的最為有效的一種方法。密碼設(shè)置的漏洞往往是被黑客攻擊的主要原因。

在操作系統(tǒng)安全運(yùn)行方面，我們嚴(yán)禁使用系統(tǒng)默認(rèn)的administrator（windows系統(tǒng)）或是root（linux系統(tǒng)）用戶名稱，同時(shí)也禁止用戶設(shè)置較為短小單一的密碼口令。然而一些網(wǎng)網(wǎng)絡(luò)管理人員，卻認(rèn)為服務(wù)服務(wù)器只由自己一個(gè)人管理使用，常常對系統(tǒng)不設(shè)置密碼。這樣就為攻擊者創(chuàng)造了一個(gè)非常容易的攻擊條件。

密碼長度的設(shè)置也是至關(guān)重要的。以windows系統(tǒng)為例，由于系統(tǒng)的sam文件中存儲了系統(tǒng)中的賬戶信息，所以該文件也被稱作是系統(tǒng)的賬戶數(shù)據(jù)庫。如果黑客通過系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個(gè)文件，就能通過黑客工具（暴力破解工具）對該文件進(jìn)行破解，。對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時(shí)，但是對于7位或以上它至少耗時(shí)一個(gè)月左右，因此密碼的長度十分的重要，當(dāng)然我們建議在保證密碼長度的同時(shí)還要保證密碼的復(fù)雜度即密碼中字符不能太單一。

1.2 系統(tǒng)的安全

網(wǎng)絡(luò)入侵者攻擊企業(yè)內(nèi)部服務(wù)器最為常用的方法是尋找被攻擊服務(wù)器的安全漏洞，往往安全漏洞就暗含在服務(wù)器中沒有關(guān)閉的服務(wù)中，所以修補(bǔ)服務(wù)器的安全漏洞至關(guān)重要。

對于服務(wù)，服務(wù)器為了給用戶提供便捷，開辟了種種服務(wù)功能，但是服務(wù)提供的服務(wù)越多，安全漏洞存在的幾率就越高，被攻擊的可能就越大。因些從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，例如：telnet服務(wù)、ftp服務(wù)等功能應(yīng)當(dāng)關(guān)閉。

1.3 目錄共享的安全

在企業(yè)內(nèi)部用戶之間建立對等小型網(wǎng)絡(luò)，共享硬盤或文件夾是企業(yè)工作中的普遍現(xiàn)象，這種提供便利的同時(shí)帶來了安全的隱患，因此在設(shè)置共享的過程中要充分考慮到權(quán)限分配的問題，必要的時(shí)候可以為共享資源設(shè)置密碼口令加以輔助。

1.4 IP 地址沖突問題

IP地址是網(wǎng)絡(luò)中每一臺設(shè)備的的“虛擬身份”，在網(wǎng)絡(luò)內(nèi)部不能出現(xiàn)IP資源的沖突現(xiàn)象，為了徹底解決由于IP地址欺騙而產(chǎn)生的地址沖突問題，當(dāng)前我們可以從軟硬件兩個(gè)方面加以解決。硬件方面，我們從二層、三層交換機(jī)可以開啟端口靜態(tài)地址鎖、動態(tài)地址鎖、MAC地址過濾等安全控制功能，軟件方面，可以利用軟件防火墻甚至是殺毒軟件來加以防護(hù)。

1.5 病毒的防范

相信木馬對于大多數(shù)人來說不算陌生。它是一種遠(yuǎn)程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一旦企業(yè)內(nèi)部網(wǎng)絡(luò)的某臺機(jī)器被安裝了木馬，它就變成了一臺傀儡機(jī)（肉雞），對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息等，可以說中了木馬的設(shè)備上的一切秘密都將暴露在別人面前。因此利用硬件防火墻技術(shù)和殺毒軟件的配合可以有效的將木馬等病毒隔離在企業(yè)網(wǎng)絡(luò)之外。

1.6 技術(shù)之外的問題

企業(yè)網(wǎng)是一個(gè)比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)規(guī)模的擴(kuò)大，經(jīng)營渠道的拓展，其內(nèi)部網(wǎng)絡(luò)規(guī)模也隨之?dāng)U大，目前，大多數(shù)企業(yè)基本實(shí)現(xiàn)了辦公自動化，生產(chǎn)自動化、企業(yè)財(cái)務(wù)、人事辦公自動化等。由于網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)的增加，地理范圍的擴(kuò)大，使得網(wǎng)絡(luò)監(jiān)管更是難上加難。由于大多數(shù)企業(yè)存在不重視信息安全的觀念，認(rèn)為信息看不到摸不著，不具備價(jià)值，因此疏于在網(wǎng)絡(luò)信息安全管理方面的規(guī)章制度，加之企業(yè)員工的安全意識薄弱，為不法分子提供了可乘之機(jī)。

2 安全設(shè)計(jì)方案

2.1 防火墻

建議在企業(yè)網(wǎng)絡(luò)出口的地方部署一臺高性能防火墻（可以選擇國產(chǎn)的銳捷或者是國外的思科），防火墻對外接入各大主流運(yùn)營商或其他運(yùn)營商，目前的主流高性能防火墻還可以提供IPv6 的接入功能，為企業(yè)未來接入技術(shù)的提升提供了升級空間。

2.2 VLAN

（1）傳統(tǒng)LAN環(huán)境。傳統(tǒng)LAN通常由HUB、網(wǎng)橋、交換機(jī)等網(wǎng)絡(luò)設(shè)備將同一網(wǎng)段的所有節(jié)點(diǎn)連接在一起而形成，各節(jié)點(diǎn)通常按照它們的物理連接被自然地劃分到各個(gè)廣播域。處于同一LAN內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)間可以直接通信，而處于不同局域網(wǎng)之間的通信則必須通過路由器才能通信。

（2）VLAN技術(shù)。VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。IEEE于1999年頒布了802.1Q關(guān)于VLAN的協(xié)議草案。是為了解決以太網(wǎng)廣播問題和安全性而提出的協(xié)議。

VLAN并非一種新型的網(wǎng)絡(luò)，是包含一組端站點(diǎn)的邏輯上的LAN，其中的站點(diǎn)好像被同一網(wǎng)線連接在一起，而實(shí)際上可能出于LAN的不同物理網(wǎng)段。是一組邏輯上的設(shè)備或用戶，它們就好像處于同一個(gè)物理LAN中一樣相互通信，不受物理位置的限制。利用VLAN技術(shù)的特點(diǎn)我們在企業(yè)內(nèi)部可以根據(jù)辦公的物理區(qū)域或者是邏輯的ip地址段進(jìn)行邏輯區(qū)域劃分，然后在核心交換機(jī)上利用端口技術(shù)進(jìn)行VLAN的劃分，實(shí)現(xiàn)邏輯區(qū)域的隔離。

2.3 殺毒服務(wù)器

在企業(yè)的網(wǎng)絡(luò)中心設(shè)置核心殺毒服務(wù)器，負(fù)責(zé)管理該機(jī)構(gòu)總部的主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)；在分支機(jī)構(gòu)分別設(shè)置中心殺毒服務(wù)器所對應(yīng)的網(wǎng)絡(luò)分控系統(tǒng)，分別負(fù)責(zé)管理本地局域網(wǎng)內(nèi)的計(jì)算機(jī)，形成企業(yè)內(nèi)部安全云殺毒服務(wù)器群，同時(shí)在企業(yè)內(nèi)部每臺客戶機(jī)機(jī)上均安裝殺毒軟件網(wǎng)絡(luò)版的客戶端，并保證每臺客戶端和服務(wù)器端上均時(shí)刻運(yùn)行。

2.4 通過域控制器控制密碼安全

（1）設(shè)置密碼歷史要求：安全目標(biāo)：設(shè)置重復(fù)使用密碼的頻率限制。設(shè)置此值時(shí)，將會對比新的密碼和所設(shè)定數(shù)量的早期密碼，并在新密碼與現(xiàn)有密碼匹配時(shí)拒絕所進(jìn)行的密碼更改。

（2）設(shè)置密碼最長使用期限。安全目標(biāo)：設(shè)置用戶在不得不修改密碼前可以使用該密碼的時(shí)間。

（3）設(shè)置最短密碼長度。安全目標(biāo)：設(shè)置用戶密碼所需的最少字符數(shù)。

值得注意的是：密碼中每增一個(gè)字符，都將按指數(shù)級提升密碼的安全性。如果要求最少8個(gè)字符，則較弱的LMHash也將增強(qiáng)很多，這使破解者必須破解LMHash的全部兩個(gè)7字節(jié)部分，而不是其中一個(gè)。如果密碼是7個(gè)字節(jié)或更少，則LMHash的第二部分將具有一個(gè)特定的值，破解者可以通過該值判斷密碼短于8個(gè)字符。

2.5 制定企業(yè)內(nèi)部信息安全管理規(guī)范

企業(yè)網(wǎng)絡(luò)的安全問題，不僅是設(shè)備，技術(shù)的問題，更是管理的問題。對于網(wǎng)絡(luò)的管理人員來講，一定要提高網(wǎng)絡(luò)安全意識，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，注重對企業(yè)員工的網(wǎng)絡(luò)安全知識培訓(xùn)，將我國最新制定網(wǎng)絡(luò)信息安全法的內(nèi)容向企業(yè)員工傳達(dá)，提高員工整體的安全意識，與此同時(shí)更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。

3 結(jié)語

企業(yè)網(wǎng)絡(luò)的安全，需要依靠先進(jìn)的網(wǎng)絡(luò)安全設(shè)備，需要科學(xué)方法制定的安全策略，同時(shí)也需要技術(shù)過硬的網(wǎng)絡(luò)管理團(tuán)隊(duì)。當(dāng)然企業(yè)網(wǎng)絡(luò)的綠色運(yùn)行也不能僅僅依靠硬件設(shè)備和軟件技術(shù)，更需要一套科學(xué)有效的管理制度作保障，一定要做到提高全員的網(wǎng)絡(luò)安全意識，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，注重對企業(yè)員工的網(wǎng)絡(luò)安全知識培訓(xùn)，并長期進(jìn)行網(wǎng)絡(luò)信息安全法律法規(guī)的宣傳，讓全員感受到信息安全和生產(chǎn)安全同樣重要，這樣企業(yè)的網(wǎng)絡(luò)環(huán)境才是綠色環(huán)保的。