中小企業(yè)網(wǎng)絡(luò)安全五步走.doc

安全實(shí)施： 中小企業(yè)網(wǎng)絡(luò)安全五步走中小企業(yè)網(wǎng)絡(luò)雖小，卻五臟俱全。既有路由交換核心設(shè)備，又有服務(wù)器及存儲(chǔ)設(shè)備，網(wǎng)絡(luò)管理員既要負(fù)責(zé)關(guān)鍵設(shè)備的安全，又要保證員工計(jì)算機(jī)的安全。所以說中小企業(yè)網(wǎng)絡(luò)管理員在保障企業(yè)網(wǎng)絡(luò)安全方面責(zé)任重大，他不同于大型企業(yè)網(wǎng)絡(luò)那樣每個(gè)網(wǎng)絡(luò)管理員分管一攤，中小企業(yè)所有網(wǎng)絡(luò)安全工作全都由一名或兩名網(wǎng)絡(luò)管理員負(fù)責(zé)。所以工作量更大，那么我們?nèi)绾伪ＷC中小企業(yè)網(wǎng)絡(luò)安全呢？下面筆者就根據(jù)自己的經(jīng)驗(yàn)從硬到軟，從系統(tǒng)到制度的為各位IT168的讀者介紹中小企業(yè)網(wǎng)絡(luò)安全五步走。 一、中小企業(yè)網(wǎng)絡(luò)安全范疇： 中小企業(yè)網(wǎng)絡(luò)規(guī)模不大，高級(jí)設(shè)備不多。對(duì)于網(wǎng)絡(luò)管理員來說需要保證安全的對(duì)象主要有以下幾個(gè)方面。 （1）服務(wù)器的安全： 企業(yè)內(nèi)部基本上都有一臺(tái)到多臺(tái)服務(wù)器，這些服務(wù)器負(fù)責(zé)企業(yè)網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)的DNS或DHCP服務(wù)，還承擔(dān)企業(yè)FTP服務(wù)，WWW網(wǎng)站服務(wù)。有的還具備代理功能和防火墻功能。這些設(shè)備的安全是不容忽視的，服務(wù)器出現(xiàn)安全問題將直接導(dǎo)致企業(yè)網(wǎng)絡(luò)的徹底癱瘓。 （2）路由交換設(shè)備的安全： 路由器和交換機(jī)負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)的互連和路由工作，他是企業(yè)網(wǎng)絡(luò)的核心樞紐。這些設(shè)備一般都是24小時(shí)*7天工作的，一年365天不間歇。保障這些設(shè)備的安全也是讓企業(yè)網(wǎng)絡(luò)順利運(yùn)轉(zhuǎn)的關(guān)鍵。 （3）員工計(jì)算機(jī)的安全： 網(wǎng)絡(luò)功能與優(yōu)勢(shì)就體現(xiàn)在員工計(jì)算機(jī)的協(xié)同工作上，所以說企業(yè)內(nèi)部員工計(jì)算機(jī)的安全也是不容忽視的，可以說中小企業(yè)網(wǎng)絡(luò)管理員最多最重的工作就在于負(fù)責(zé)企業(yè)內(nèi)部員工計(jì)算機(jī)的安全上。任何一個(gè)病毒或漏洞的流行都將給網(wǎng)絡(luò)管理員帶來巨大的工作量。操作系統(tǒng)的重新安裝可以說是家常便飯。 （4）其他設(shè)備的安全： 除了上面所說的幾個(gè)關(guān)鍵設(shè)備外，企業(yè)內(nèi)部網(wǎng)絡(luò)中肯定還存在著其他設(shè)備，例如NAS，UPS等，這些設(shè)備的功能也是非常強(qiáng)大的，在企業(yè)中的角色也是很關(guān)鍵的。所以其他設(shè)備的安全也要有所保障。 （5）相關(guān)設(shè)備的防火防盜： 除了網(wǎng)絡(luò)管理員對(duì)設(shè)備的安全防護(hù)，一些相關(guān)設(shè)備的防火防盜工作也要做好。例如機(jī)房中的各種線纜要定期檢查，機(jī)房中的空調(diào)也要及時(shí)保養(yǎng)。企業(yè)應(yīng)該制定嚴(yán)格的管理制度來加強(qiáng)對(duì)于這些設(shè)備的防火防盜工作。二、網(wǎng)絡(luò)安全第一步：從硬件入手保障網(wǎng)絡(luò)安全 企業(yè)網(wǎng)絡(luò)中的硬件包括路由交換設(shè)備，NAS產(chǎn)品，服務(wù)器等。這些設(shè)備也是決定網(wǎng)絡(luò)安全與否的首要因素。從硬件入手保障這些設(shè)備的安全是全公司網(wǎng)絡(luò)安全的基礎(chǔ)。主要手段包括以下幾種。 （1）保存場(chǎng)所的安全： 這些硬件設(shè)備保存場(chǎng)所的安全是非常重要的，我們不可能把這些設(shè)備隨意擺放，如果企業(yè)有條件應(yīng)該使用專門的機(jī)房來儲(chǔ)存關(guān)鍵設(shè)備，并在機(jī)房安裝安全的防盜門等保護(hù)設(shè)施。保存場(chǎng)所也應(yīng)該安排專人值班，避免非法人員接近關(guān)鍵硬件設(shè)備。 （2）電力支持的安全： 任何硬件設(shè)備都需要電力系統(tǒng)的支持，對(duì)于一些偏遠(yuǎn)城市和地區(qū)，電力系統(tǒng)是不穩(wěn)定的，經(jīng)常會(huì)出現(xiàn)斷電或者電壓異常的情況，這很容易造成設(shè)備的硬件損壞，所以說為企業(yè)關(guān)鍵設(shè)備提供必要的電力支持也是非常重要的。我們可以通過安裝合適功率的UPS不間斷電源來實(shí)現(xiàn)電力支持和穩(wěn)定電壓的操作，讓設(shè)備可以穩(wěn)定高效的運(yùn)行。 （3）設(shè)備使用上的安全： 除了硬件防護(hù)和電力支持外，設(shè)備使用上的安全操作也是非常關(guān)鍵的，很多用戶都不太注重使用上的安全，認(rèn)為硬件設(shè)備很皮實(shí)，不是那么容易壞的，這點(diǎn)是一個(gè)很大的誤區(qū)。一般來說服務(wù)器，路由器，交換機(jī)的重新啟動(dòng)和關(guān)閉都需要通過軟件的方式實(shí)現(xiàn)，而不是人為的關(guān)閉電源。服務(wù)器通過系統(tǒng)的重新啟動(dòng)命令實(shí)現(xiàn)，路由器交換機(jī)也通過管理界面中的reboot命令解決。 最為關(guān)鍵的就是NAS設(shè)備了，如果隨意的關(guān)閉電源，那么NAS設(shè)備中數(shù)據(jù)的重組是非常消耗時(shí)間的，可能需要好幾天才能恢復(fù)正常運(yùn)行；另外隨意關(guān)閉NAS設(shè)備電源很有可能造成數(shù)據(jù)的丟失和損壞。UPS設(shè)備的使用也要特別注意，不能夠頻繁的充放電，也不能選擇功率太小的UPS設(shè)備，這都將大大減少設(shè)備的壽命。 （4）設(shè)備冗余是關(guān)鍵： 一般來說企業(yè)網(wǎng)絡(luò)安全是建立在內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行基礎(chǔ)上的，設(shè)備長期不間斷的運(yùn)行難免會(huì)出現(xiàn)這樣或那樣的小問題，這時(shí)設(shè)備的冗余就是關(guān)鍵了。通過設(shè)備的冗余可以保證服務(wù)不間斷而設(shè)備的交替運(yùn)行，讓企業(yè)網(wǎng)絡(luò)更加穩(wěn)定。 設(shè)備冗余主要包括網(wǎng)絡(luò)線路的冗余例如用一個(gè)ADSL線路做為網(wǎng)絡(luò)出口線路的備份，如果主要出口線路中斷則用ADSL臨時(shí)提供出口帶寬；服務(wù)器冗余用兩臺(tái)服務(wù)器提供兩種服務(wù)，這樣每個(gè)服務(wù)都由兩臺(tái)服務(wù)器提供，例如DNS服務(wù)，WWW服務(wù)，這樣當(dāng)一臺(tái)服務(wù)器負(fù)載加大或停止服務(wù)的情況下，另一臺(tái)可以馬上接管工作；磁盤的冗余可以說是最常見的設(shè)備冗余工作了，他保證即使有一塊硬盤出現(xiàn)錯(cuò)誤，保存在其上的數(shù)據(jù)也將完好無損。三、網(wǎng)絡(luò)安全第二步：從軟件入手保障網(wǎng)絡(luò)安全 除了上面所說的硬件安全，中小企業(yè)網(wǎng)絡(luò)的安全還需要從軟件入手。軟件主要包括windows系統(tǒng)下的應(yīng)用軟件，linux系統(tǒng)下的應(yīng)用軟件以及路由交換設(shè)備中的IOS軟件設(shè)置。 （1）windows系統(tǒng)下的應(yīng)用軟件： windows系統(tǒng)是大家最常用的操作系統(tǒng)，我們可以通過安裝第三方防火墻和殺毒軟件來提高系統(tǒng)的安全性。畢竟很多時(shí)候系統(tǒng)漏洞補(bǔ)丁不能及時(shí)更新，這時(shí)第三方防火墻可以幫助我們阻擋漏洞病毒的入侵，殺毒軟件也可以提高系統(tǒng)的運(yùn)行效率，將病毒清除出系統(tǒng)。當(dāng)然殺毒軟件的病毒一定要及時(shí)更新，否則將起不到任何安全防護(hù)作用了。 （2）linux系統(tǒng)下的應(yīng)用軟件： 一般來說中小企業(yè)員工使用linux系統(tǒng)的機(jī)會(huì)不多，大部分都是在服務(wù)器上安裝linux，這時(shí)就需要我們這些網(wǎng)絡(luò)管理員安裝提供工作效率的軟件了，例如linux下的系統(tǒng)優(yōu)化和服務(wù)優(yōu)化軟件，幫助服務(wù)器更好的提供服務(wù)。 （3）路由交換設(shè)備中的IOS軟件設(shè)置： 路由交換設(shè)備的軟件防護(hù)對(duì)大家可能比較陌生，很多人認(rèn)為路由交換設(shè)備安裝完畢就可以直接使用了，不用什么設(shè)置。其實(shí)這種想法是錯(cuò)誤，在實(shí)際工作中我們可以通過設(shè)置路由交換設(shè)備的IOS配置來提高企業(yè)網(wǎng)絡(luò)的安全系數(shù)。主要手段包括訪問控制列表的設(shè)置，通過訪問控制列表ACL來防范黑客的入侵和病毒的傳播，還可以更好的管理企業(yè)網(wǎng)絡(luò)，讓員工的網(wǎng)絡(luò)訪問權(quán)限劃分得更加明確； 路由策略的設(shè)置，通過路由策略可以提高企業(yè)網(wǎng)絡(luò)訪問的效率，將各個(gè)部門的出口線路進(jìn)行規(guī)劃，為企業(yè)網(wǎng)絡(luò)出口提供多條備份線路；（如圖7）虛擬局域網(wǎng)的設(shè)置，通過VLAN虛擬局域網(wǎng)幫助企業(yè)更好的管理網(wǎng)絡(luò)，將部門與部門的計(jì)算機(jī)隔離，防止網(wǎng)絡(luò)的非法訪問。四、軟硬件安全是基礎(chǔ)、其他方面也很重要： 企