（中國(guó)石油吐哈油田分公司信息技術(shù)公司，新疆 哈密 839009）

0 引言

信息時(shí)代背景下，不少企業(yè)都有專屬的服務(wù)器、門戶網(wǎng)站以及各類服務(wù)系統(tǒng)。企業(yè)辦公已逐漸脫離紙質(zhì)文檔，不少報(bào)表、檔案都以數(shù)據(jù)形式留存于企業(yè)服務(wù)器。企業(yè)網(wǎng)絡(luò)建設(shè)已經(jīng)與企業(yè)的發(fā)展息息相關(guān)。但是，隨著企業(yè)的壯大、企業(yè)網(wǎng)絡(luò)使用者的增多，網(wǎng)絡(luò)系統(tǒng)的負(fù)荷隨之加重，不少網(wǎng)絡(luò)問(wèn)題也隨之產(chǎn)生，其中網(wǎng)絡(luò)安全問(wèn)題尤其嚴(yán)重。由此可見(jiàn)，為促進(jìn)企業(yè)的健康發(fā)展，在進(jìn)行信息化建設(shè)時(shí)，企業(yè)應(yīng)該針對(duì)自身需求合理地進(jìn)行網(wǎng)絡(luò)規(guī)劃與網(wǎng)絡(luò)安全管理。本文將對(duì)如何規(guī)劃企業(yè)網(wǎng)絡(luò)、增強(qiáng)企業(yè)網(wǎng)絡(luò)安全防護(hù)進(jìn)行深入分析。

1 企業(yè)網(wǎng)絡(luò)規(guī)劃及安全管理現(xiàn)狀

目前，許多企業(yè)的網(wǎng)絡(luò)建設(shè)并不到位，公司的網(wǎng)絡(luò)平臺(tái)十分落后。很多企業(yè)內(nèi)部并沒(méi)有對(duì)自己的主干網(wǎng)絡(luò)進(jìn)行虛擬局域網(wǎng)（Virtual Local Area Network）劃分，企業(yè)個(gè)人計(jì)算機(jī)（Personal Computer，PC）可以隨意訪問(wèn)服務(wù)器，使得網(wǎng)絡(luò)系統(tǒng)負(fù)荷過(guò)重，數(shù)據(jù)傳輸速度過(guò)慢。一旦出現(xiàn)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)管理人員很難進(jìn)行定位排查，難以把控網(wǎng)絡(luò)風(fēng)險(xiǎn)。除此之外，多數(shù)企業(yè)并沒(méi)有采取相應(yīng)的網(wǎng)絡(luò)安全防護(hù)手段，沒(méi)有配備統(tǒng)一的防毒軟件，也沒(méi)有設(shè)置防火墻、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN），很容易遭受病毒、黑客攻擊。多數(shù)企業(yè)的網(wǎng)絡(luò)規(guī)劃狀況與網(wǎng)絡(luò)安全狀況堪憂。

2 企業(yè)網(wǎng)絡(luò)構(gòu)建需求

基于企業(yè)的構(gòu)成情況，一般來(lái)說(shuō)，企業(yè)網(wǎng)絡(luò)的構(gòu)建需要滿足以下幾個(gè)需求。首先，企業(yè)內(nèi)部要能夠訪問(wèn)互聯(lián)網(wǎng)；其次，各個(gè)部門需要有專屬于自己部門的局域網(wǎng)，實(shí)現(xiàn)部門內(nèi)部數(shù)據(jù)共享，限制其他部門訪問(wèn)；再次，還需要注意網(wǎng)絡(luò)帶寬的使用率，保證數(shù)據(jù)傳輸速度；最后，需要確保網(wǎng)絡(luò)環(huán)境穩(wěn)定、安全，以攔截計(jì)算機(jī)病毒，阻截黑客攻擊，以此來(lái)減少企業(yè)經(jīng)濟(jì)損失。

3 企業(yè)網(wǎng)絡(luò)安全規(guī)劃實(shí)施

3.1 企業(yè)網(wǎng)絡(luò)規(guī)劃部署

3.1.1 選擇組網(wǎng)模式

對(duì)于中型企業(yè)和大型企業(yè)而言，人數(shù)較多，組織結(jié)構(gòu)復(fù)雜，需要傳輸?shù)臄?shù)據(jù)也更多。若所有用戶都處在同一個(gè)廣域網(wǎng)下，網(wǎng)絡(luò)性能將會(huì)降低。所以，為提高數(shù)據(jù)的傳輸效率，大中型企業(yè)通常采用的是路由器與交換機(jī)組合的網(wǎng)絡(luò)模式。路由器是一種網(wǎng)關(guān)設(shè)備，工作于開(kāi)放式系統(tǒng)互聯(lián)通信參考模型（Open System Interconnection，OSI）的第三層，可以連接任意兩種不同網(wǎng)絡(luò)，還能通過(guò)不同的網(wǎng)際互連協(xié)議（Internet Protocol，IP）地址來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)。交換機(jī)是一種信號(hào)轉(zhuǎn)發(fā)設(shè)備，工作于OSI 網(wǎng)絡(luò)模型的第二層，可以為連接該交換機(jī)的兩個(gè)節(jié)點(diǎn)構(gòu)建專屬的信號(hào)通道。簡(jiǎn)言之，路由器能決定數(shù)據(jù)的最終去向，交換機(jī)則能決定接入網(wǎng)絡(luò)的終端數(shù)量。路由器與交換機(jī)結(jié)合使用，即利用路由器連接內(nèi)外網(wǎng)、劃分子網(wǎng)，再用交換機(jī)來(lái)連接不同的終端PC。

3.1.2 VLAN 規(guī)劃與子網(wǎng)劃分

Internet組織機(jī)構(gòu)定義了五種IP地址，用于主機(jī)的有A、B、C三類地址［1］。其中每一類網(wǎng)絡(luò)都可能擁有上千萬(wàn)臺(tái)主機(jī)，若是讓數(shù)千萬(wàn)臺(tái)主機(jī)處于同一廣播域，將會(huì)引起廣播風(fēng)暴，造成網(wǎng)絡(luò)故障與IP 地址的資源浪費(fèi)。所以，為了提高企業(yè)主機(jī)地址的利用率，在進(jìn)行網(wǎng)絡(luò)規(guī)劃時(shí)需要注意VLAN 的規(guī)劃與子網(wǎng)的劃分。VLAN 作用于OSI 結(jié)構(gòu)的第二層數(shù)據(jù)鏈路層，可不受用戶物理位置的影響而對(duì)用戶進(jìn)行網(wǎng)絡(luò)分段，讓不同物理位置的用戶也能在邏輯上處于同一個(gè)網(wǎng)段。除此之外，VLAN 可以通過(guò)減小廣播域范圍，提高帶寬利用率。將多臺(tái)設(shè)備劃分在同一個(gè)VLAN，能將廣播信息的傳播限制在VLAN 內(nèi)，縮減廣播域范圍，減少無(wú)意義的廣播流量，解決廣播流量大的問(wèn)題。IP 子網(wǎng)劃分作用于OSI 結(jié)構(gòu)的第三層網(wǎng)絡(luò)層，能對(duì)網(wǎng)絡(luò)進(jìn)行隔離，通過(guò)子網(wǎng)劃分可以使不同網(wǎng)段的設(shè)備無(wú)法直接通信。在進(jìn)行網(wǎng)絡(luò)規(guī)劃時(shí)，合理地規(guī)劃VLAN、劃分子網(wǎng)，能實(shí)現(xiàn)各部門間的網(wǎng)絡(luò)隔離,在保證共有資源共享的同時(shí)，提升各部門私有數(shù)據(jù)的保密性。

3.1.3 規(guī)劃IP 地址

IP 是電腦互通的基礎(chǔ)，合理地分配IP 能提高員工的工作效率，也能增強(qiáng)企業(yè)的信息化管理。IP 地址的分配主要分為靜態(tài)分配和動(dòng)態(tài)分配兩種，選擇哪一種分配方式取決于企業(yè)的規(guī)模大小。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、PC 數(shù)量少的企業(yè)可以采用靜態(tài)地址分配，采用靜態(tài)分配可以固定IP，將IP 與MAC 地址綁定能快速定位出錯(cuò)的電腦，減少后期維護(hù)的工作量。但對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，PC 數(shù)量較多的企業(yè)，采用靜態(tài)分配方式則是十分不明智的。因?yàn)?，?duì)大型企業(yè)而言，手動(dòng)鍵入IP 地址的工作量將會(huì)十分大。此外，如果將每一臺(tái)PC 的物理地址都綁定到交換機(jī)的端口上，公共辦公區(qū)的網(wǎng)口的管理任務(wù)將變得十分艱巨。因此，中型、大型企業(yè)更適合采用DHCP，動(dòng)態(tài)分配IP。相對(duì)于靜態(tài)分配地址而言，動(dòng)態(tài)分配能提高IP 資源利用率，當(dāng)一臺(tái)主機(jī)不再使用這個(gè)IP 后，便可釋放這個(gè)地址，讓其他主機(jī)進(jìn)行使用，有效地節(jié)約有限的IP 地址資源。值得一提的是，無(wú)論采用何種方式進(jìn)行IP 地址的分配，都應(yīng)遵循以下4 個(gè)原則。①唯一性：同一網(wǎng)絡(luò)中一個(gè)IP 地址只能對(duì)應(yīng)一臺(tái)主機(jī)。②可擴(kuò)展性：在進(jìn)行地址分配時(shí)需留出多余的位置，以方便后期擴(kuò)展。③連續(xù)性：分配的地址應(yīng)保持連續(xù)性。④實(shí)意性：即能讓人一眼看出該地址的使用部門。

3.2 網(wǎng)絡(luò)安全保護(hù)措施

3.2.1 加強(qiáng)病毒防范

企業(yè)網(wǎng)絡(luò)的頭號(hào)敵人便是計(jì)算機(jī)病毒。當(dāng)前，各類計(jì)算機(jī)病毒層出不窮，不少企業(yè)都因計(jì)算機(jī)病毒的損害而遭受了巨大的經(jīng)濟(jì)損失。根據(jù)病毒依附的媒體類型的不同，可將計(jì)算機(jī)病毒大致分為網(wǎng)絡(luò)病毒、文件型病毒以及引導(dǎo)型病毒3 類。顧名思義，網(wǎng)絡(luò)病毒即通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)感染計(jì)算機(jī)文件的病毒，常見(jiàn)的網(wǎng)絡(luò)病毒通常是通過(guò)未知安全性的網(wǎng)絡(luò)鏈接來(lái)對(duì)訪問(wèn)者電腦進(jìn)行感染。對(duì)待這類病毒，可以采用病毒防治技術(shù)，不瀏覽未知的網(wǎng)站、不閱讀不安全的郵件。文件型病毒，會(huì)先感染.EXE文件和.com 文件，一旦用戶運(yùn)行了被感染的文件，計(jì)算機(jī)便會(huì)中毒。所以，針對(duì)文件型病毒需要對(duì)未知應(yīng)用做到“先查殺、再運(yùn)行”。引導(dǎo)型病毒，寄生于磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)，可以在引導(dǎo)系統(tǒng)的過(guò)程中入侵系統(tǒng)。對(duì)待這類病毒可以給企業(yè)所有計(jì)算機(jī)統(tǒng)一安裝殺毒軟件，如360 安全殺毒、金山毒霸、火絨安全軟件等。除對(duì)病毒進(jìn)行查殺外，企業(yè)還應(yīng)該建立統(tǒng)一分級(jí)管理病毒的管理體系，用來(lái)存儲(chǔ)網(wǎng)絡(luò)病毒事件［2］。

3.2.2 合理利用VPN 技術(shù)

VPN 指將分布在不同物理區(qū)域上的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)連接起來(lái)而形成的邏輯上的虛擬專用網(wǎng)［3］。目前，VPN 主要采用4 項(xiàng)技術(shù)來(lái)保證安全，這4 項(xiàng)技術(shù)分別是隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。其中，隧道技術(shù)能夠?qū)?lái)源地址不同的數(shù)據(jù)重新組裝后從同一個(gè)設(shè)備的不同隧道傳輸出去；加/解密技術(shù)能夠讓用戶直接對(duì)加密文件進(jìn)行操作；密鑰管理技術(shù)則用于解決密鑰從產(chǎn)生到消失這一過(guò)程中的相關(guān)問(wèn)題，比如，系統(tǒng)的初始化，密鑰的生成、保存、分配以及后續(xù)對(duì)密鑰的管理與備份；使用者與設(shè)備身份認(rèn)證技術(shù)則是通過(guò)用戶在計(jì)算機(jī)中建立的用戶信息來(lái)識(shí)別用戶身份的一種手段。VPN 能夠使用外網(wǎng)訪問(wèn)內(nèi)部服務(wù)器，所以使用VPN 能夠在異地訪問(wèn)公司服務(wù)器，方便員工異地辦公。除此之外，基于VPN 的安全技術(shù)防護(hù)，使用VPN 能夠保障數(shù)據(jù)傳輸?shù)陌踩?，提高服?wù)質(zhì)量。

3.2.3 使用防火墻技術(shù)

顧名思義，防火墻就是防止外來(lái)者非法訪問(wèn)的一堵“墻”，其處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，可將內(nèi)部私有網(wǎng)絡(luò)和外部公眾訪問(wèn)網(wǎng)絡(luò)分隔開(kāi)，是一種用于控制兩個(gè)網(wǎng)絡(luò)間通信的技術(shù)手段。防火墻可以根據(jù)運(yùn)作環(huán)境的不同分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩類。其中，網(wǎng)絡(luò)層防火墻是典型的包過(guò)濾防火墻，能對(duì)各類IP、網(wǎng)段、目標(biāo)端口、網(wǎng)絡(luò)協(xié)議進(jìn)行過(guò)濾，從而對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行篩選。應(yīng)用層防火墻則能夠檢測(cè)應(yīng)用程序的信息流，通過(guò)對(duì)進(jìn)出某個(gè)應(yīng)用程序的所有封包進(jìn)行監(jiān)測(cè)，來(lái)阻止信息流中的惡意軟件、間諜軟件所攜帶的惡意代碼。

3.2.4 增強(qiáng)入侵檢測(cè)

與防火墻技術(shù)的被動(dòng)防守不同，入侵檢測(cè)技術(shù)能夠通過(guò)對(duì)網(wǎng)絡(luò)中的特殊節(jié)點(diǎn)信息的收集、分析和處理，判斷出網(wǎng)絡(luò)是否被攻擊，還能通過(guò)對(duì)系統(tǒng)的各個(gè)數(shù)據(jù)指標(biāo)進(jìn)行監(jiān)控來(lái)預(yù)測(cè)各種攻擊可能帶來(lái)的結(jié)果，從而主動(dòng)進(jìn)行防護(hù)。根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)可以分為基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)以及混合型入侵檢測(cè)3 類。其中，基于主機(jī)的入侵檢測(cè)，能通過(guò)對(duì)計(jì)算機(jī)操作系統(tǒng)的事務(wù)日志、系統(tǒng)調(diào)用等進(jìn)行監(jiān)管、分析，來(lái)判斷系統(tǒng)是否遭遇攻擊，以此來(lái)決定是否進(jìn)行自我防御，主要防護(hù)的是計(jì)算機(jī)主機(jī)?；诰W(wǎng)絡(luò)的入侵檢測(cè)，能根據(jù)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包的分析處理結(jié)果，來(lái)決定是否開(kāi)啟防御機(jī)制，主要保護(hù)的是整個(gè)網(wǎng)段。前面兩種入侵檢測(cè)皆不夠全面，各有欠缺，于是混合型入侵檢測(cè)應(yīng)運(yùn)而生?；旌闲腿肭謾z測(cè)既能發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)中的攻擊，又能通過(guò)分析系統(tǒng)日志發(fā)現(xiàn)異常情況。

3.2.5 加強(qiáng)網(wǎng)絡(luò)安全管理

“七分靠管理，三分靠技術(shù)”，要保證網(wǎng)絡(luò)的安全，并不能只依靠技術(shù)，管理也非常重要［4］，所以除使用安全技術(shù)外，還需要對(duì)員工的網(wǎng)絡(luò)使用情況進(jìn)行規(guī)范管理。建立完善的安全管理制度能夠有效地對(duì)員工行為進(jìn)行約束，比如，要求員工合理使用企業(yè)計(jì)算機(jī)、不讓非企業(yè)人員進(jìn)入機(jī)房等。加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理能減少計(jì)算機(jī)中毒概率，降低企業(yè)關(guān)鍵信息泄露的可能性，以此有效保證企業(yè)網(wǎng)絡(luò)的安全性［5］。

4 結(jié)語(yǔ)

做好企業(yè)網(wǎng)絡(luò)規(guī)劃、增強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理是促進(jìn)企業(yè)信息化的關(guān)鍵。合理地做好網(wǎng)絡(luò)規(guī)劃，能有效地對(duì)整個(gè)企業(yè)的所有電腦進(jìn)行管理，提高數(shù)據(jù)傳輸速度，從而提高員工工作效率。增強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理，能盡可能避免企業(yè)內(nèi)部信息泄露，使企業(yè)安全、健康發(fā)展。