網(wǎng)絡(luò)安全問題探討

馬潔　梁楷

摘 要：隨著我廠信息化建設(shè)的不斷深入，信息網(wǎng)絡(luò)安全已成為信息化高效建設(shè)的重要因素。文章針對(duì)我廠目前網(wǎng)絡(luò)信息架構(gòu)的特點(diǎn)，系統(tǒng)地分析了網(wǎng)絡(luò)安全存在的問題，結(jié)合當(dāng)前國(guó)際網(wǎng)絡(luò)信息的前沿技術(shù)，提出我廠今后信息網(wǎng)絡(luò)安全的對(duì)策。

關(guān)鍵詞：網(wǎng)絡(luò)安全；技術(shù)措施；安全風(fēng)險(xiǎn)；安全防范

中圖分類號(hào)：TP398.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2015）30-0069-02

1 網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。具體而言，網(wǎng)絡(luò)安全就是保護(hù)個(gè)人隱私，控制對(duì)網(wǎng)絡(luò)資源的訪問，保證商業(yè)秘密在網(wǎng)絡(luò)上傳輸?shù)谋Ｃ苄?、完整性及真?shí)性，控制不健康的內(nèi)容或危害社會(huì)穩(wěn)定的言論，避免機(jī)密泄漏等。

2 我廠網(wǎng)絡(luò)安全措施

2.1 統(tǒng)一出口，便于管理

將三地的網(wǎng)絡(luò)進(jìn)行了配置更改，兩地間增加了高性能的路由器，建成了企業(yè)內(nèi)部局域網(wǎng)絡(luò)。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡(luò)系統(tǒng)安裝了一個(gè)“保護(hù)殼”，使企業(yè)內(nèi)部網(wǎng)絡(luò)的使用更加方便、快捷的同時(shí)保證了數(shù)據(jù)采集、傳輸?shù)陌踩?，加?qiáng)了計(jì)算機(jī)信息和網(wǎng)絡(luò)的保密性。

2.2 企業(yè)防火墻，外圍墻

在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻，負(fù)責(zé)管理Internet和企業(yè)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī)，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。

2.3 生產(chǎn)和辦公物理和虛擬相結(jié)合隔離

為了保證生產(chǎn)網(wǎng)的安全穩(wěn)定運(yùn)行，采取了生產(chǎn)網(wǎng)和辦公網(wǎng)邏輯隔離，兩網(wǎng)通過防火墻相連，高度融合，進(jìn)一步強(qiáng)化了生產(chǎn)網(wǎng)的安全性。

2.4 病毒掃描評(píng)估

通過專業(yè)軟件掃描分析全廠的網(wǎng)絡(luò)系統(tǒng)，檢查網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞并生成相應(yīng)的報(bào)告，提出修補(bǔ)方法和應(yīng)實(shí)施的安全策略，增強(qiáng)了網(wǎng)絡(luò)安全性。

2.5 行為管理

引進(jìn)了國(guó)內(nèi)先進(jìn)的“網(wǎng)康”網(wǎng)絡(luò)接入管理設(shè)備，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化管理，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的整體流量分配與控制，加強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)流量分析，優(yōu)化了網(wǎng)絡(luò)流量調(diào)整工作。

2.6 區(qū)域WLAN的劃分

將企業(yè)辦公、生產(chǎn)區(qū)域網(wǎng)絡(luò)用戶按照單位、區(qū)域和樓層等細(xì)化管理，通過劃分不同的WLAN，從邏輯上阻隔網(wǎng)段，徹底阻隔廣播域，縮小區(qū)域，減小網(wǎng)絡(luò)異常的影響范圍。

3 目前存在的主要問題

3.1 認(rèn)識(shí)上的誤區(qū)

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

②在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟 件等效。網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)而言，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

③不上網(wǎng)就不會(huì)中毒。雖然不少病毒是通過網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。

④文件設(shè)置只讀就可以避免感染病毒。設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

⑤網(wǎng)絡(luò)安全主要來自外部。基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要。

3.2. 技術(shù)上的差距

①操作系統(tǒng)使用盜版。由于習(xí)慣問題，部分軟件不兼容原裝系統(tǒng)和覺得正版與盜版都一樣等的一些類似原因?qū)е率褂帽I版系統(tǒng)占到我廠絕大數(shù)計(jì)算機(jī)，給全廠網(wǎng)絡(luò)安全帶來了嚴(yán)重隱患。

②生產(chǎn)電腦防火墻和殺毒軟件無法自動(dòng)升級(jí)。由于辦公網(wǎng)和生產(chǎn)網(wǎng)隔離，生產(chǎn)電腦無法上網(wǎng)，無法自動(dòng)升級(jí)防火墻和殺毒等軟件，以至于在生產(chǎn)電腦上插拔外置移動(dòng)設(shè)備和局域內(nèi)傳輸文件帶來的安全危險(xiǎn)顯得毫無抵抗之力。

③查找故障機(jī)困難。由于三地運(yùn)行，地域廣，人員多，加之入廠機(jī)子相關(guān)登記信息空白，給查找故障機(jī)帶來更多困難，顯得無從下手。

4 進(jìn)一步的措施

4.1 環(huán)網(wǎng)建設(shè)

目前企業(yè)網(wǎng)絡(luò)鏈路均為單鏈路。致使網(wǎng)絡(luò)鏈路抗風(fēng)險(xiǎn)能力較差，鏈路中斷后恢復(fù)時(shí)間較長(zhǎng)。不能滿足生產(chǎn)管理系統(tǒng)的穩(wěn)定運(yùn)行需求。為提高網(wǎng)絡(luò)鏈路的抗風(fēng)險(xiǎn)能力，計(jì)劃在充分利用已建光纜、桿路資源及網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，新增傳輸設(shè)備，將網(wǎng)絡(luò)鏈路構(gòu)成環(huán)網(wǎng)，當(dāng)網(wǎng)絡(luò)中斷后自動(dòng)切換至反向鏈路，實(shí)現(xiàn)網(wǎng)絡(luò)“零中斷”。

4.2 層級(jí)改造

我廠分場(chǎng)站網(wǎng)絡(luò)節(jié)點(diǎn)，由于之前采用交換機(jī)級(jí)聯(lián)的方式組網(wǎng)，受到光纜資源的限制，尚有部分網(wǎng)絡(luò)級(jí)聯(lián)層級(jí)達(dá)到三級(jí)或者更多，隨著網(wǎng)絡(luò)的不斷擴(kuò)展，層級(jí)數(shù)過多問題也日益凸顯，現(xiàn)計(jì)劃對(duì)此類場(chǎng)站進(jìn)行層級(jí)改造。

4.3 基于DHCP和MAC地址動(dòng)態(tài)綁定的用戶自助接入系 統(tǒng)研究與應(yīng)用

充分利用現(xiàn)有成熟的DHCP、VPMS和開源Liunx系統(tǒng)的相關(guān)技術(shù)，實(shí)現(xiàn)基于DHCP和MAC地址動(dòng)態(tài)綁定的網(wǎng)絡(luò)用戶自助接入指定網(wǎng)絡(luò)，無需安裝客戶端，從而簡(jiǎn)化日常IT管理人員負(fù)擔(dān)和提高網(wǎng)絡(luò)管理效率與信息安全水平，基于DHCP和MAC地址動(dòng)態(tài)綁定的用戶自助接入系統(tǒng)應(yīng)用，如圖1所示。

4.4 端口封裝，細(xì)化管理

結(jié)合以上MAC地址綁定和VLAN劃分，通過客戶端連接交換機(jī)做端口分裝策略，進(jìn)一步固定IP地址，防止IP使用混亂，營(yíng)造一個(gè)平穩(wěn)暢通的網(wǎng)絡(luò)環(huán)境。

5 結(jié) 語(yǔ)

上述論文主要從我廠當(dāng)前實(shí)際的網(wǎng)絡(luò)運(yùn)行狀況，分析了所存在的網(wǎng)絡(luò)安全隱患，及采取的一些相應(yīng)安全措施和下步主要安全工作的同時(shí)，也客觀的提出了所面臨的實(shí)際困難。最后希望通過本論文的深入研究分析我廠網(wǎng)絡(luò)安全的現(xiàn)狀，可以使大家有對(duì)網(wǎng)絡(luò)安全的重要性有了進(jìn)一步的了解。

參考文獻(xiàn)：

[1] 董玉格.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民郵 電出版社，2002.

[2] 周海剛，肖軍模.一種基于移動(dòng)代理的入侵檢測(cè)系統(tǒng)框架[J].電子科技 大學(xué)學(xué)報(bào).2003，（6）.

[3] 劉洪斐，王灝，王換招.一個(gè)分布式入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)[J].微機(jī)發(fā) 展，2003，（1）.

[4] 呂志軍，黃皓.高速網(wǎng)絡(luò)下的分布式實(shí)時(shí)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)研究 與發(fā)展，2004，（41）.