中小型企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案

1、中小型企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案摘要:本文對中小型企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了調(diào)研，找出問題的來源，從實際出發(fā),提出中小型企業(yè)網(wǎng)絡(luò)安全的需求分析，根據(jù)當(dāng)今主流的網(wǎng)絡(luò)安全策略，提出幾種如VLAN、VPN、防火墻和入侵檢測系統(tǒng)(IDS)等防護(hù)策略，以提高中小型企業(yè)的網(wǎng)絡(luò)安全性。關(guān)鍵詞：網(wǎng)絡(luò)安全VLANVPN對于國內(nèi)占大多數(shù)的中小企業(yè)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護(hù)自身的信息資產(chǎn)，已經(jīng)成為一個嚴(yán)峻的挑戰(zhàn)。根據(jù)目前中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀，網(wǎng)絡(luò)發(fā)展建設(shè)迫在眉睫，而目前網(wǎng)絡(luò)管理安全技術(shù)人員短缺、安全意識相對淡薄的情況下，如何能夠在網(wǎng)絡(luò)建設(shè)初期或正在建設(shè)過程中盡早的建立起網(wǎng)絡(luò)安全意識，了解網(wǎng)絡(luò)安全存在的

2、威脅，選拔和培養(yǎng)自己的安全人才成為急待解決的事，要使新的安全人員能夠了解和掌握基本安全防范措施，制定適合本企業(yè)網(wǎng)絡(luò)安全的安全實施計劃，最大限度的避免和減少網(wǎng)絡(luò)威脅給企業(yè)帶來不必要的損失。1中小型企業(yè)網(wǎng)建設(shè)現(xiàn)狀由于資金、技術(shù)等方面的原因，中小企業(yè)的網(wǎng)絡(luò)安全問題一直隱患重重。與大型企業(yè)、行業(yè)用戶相比，它們更容易受到網(wǎng)絡(luò)病毒的侵害;另一方面，由于網(wǎng)絡(luò)維護(hù)、運(yùn)行、升級等事務(wù)性工作繁重而且成本較咼,這也使得善于精打細(xì)算的中小企業(yè)在防范病毒問題上進(jìn)退兩難總體來說，現(xiàn)階段的中小企業(yè)網(wǎng)主要存在以下幾個問題。(1) 接入層：接入層是企業(yè)員工與網(wǎng)絡(luò)的接口，由于有的企業(yè)員工網(wǎng)絡(luò)安全意識淡薄，對病毒的危害認(rèn)識不清，同

3、時接入層的主機(jī)操作系統(tǒng)有漏洞，也成了網(wǎng)絡(luò)攻擊對象。(2) 匯聚層:匯聚層是將接入層的信息進(jìn)行匯聚，再轉(zhuǎn)發(fā)給核心層。但因為缺少認(rèn)證和過濾，它也會將帶有病毒的信息匯聚過來，造成網(wǎng)絡(luò)上的威脅。核心層:核心層是整個企業(yè)網(wǎng)絡(luò)的關(guān)鍵所在，它能提供高速的轉(zhuǎn)發(fā)數(shù)據(jù)和路由功能，但是由于處于風(fēng)口浪尖”經(jīng)常受到外界黑客攻擊，雖然有防火墻保護(hù)，依然處于很危險的狀態(tài)，比如黑客會利用IP地址欺騙來誤導(dǎo)核心層將企業(yè)信息轉(zhuǎn)發(fā)給他。2中小型企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案2.1設(shè)計原則中小型企業(yè)不像大型企業(yè)，擁有足夠資金和網(wǎng)絡(luò)管理人員來構(gòu)建安全體系，要把中小型企業(yè)網(wǎng)絡(luò)設(shè)計好，不僅要保證其有效可行性，更要考慮人力、財力等經(jīng)濟(jì)因素，不能鋪

4、張浪費(fèi)，也不能為了節(jié)省資金而不采用先進(jìn)的技術(shù)和設(shè)備，所以要想設(shè)計好中小型企業(yè)網(wǎng)絡(luò)，必須遵循以下幾點(diǎn)原則(1) 實用性。網(wǎng)絡(luò)建設(shè)應(yīng)從實際需求出發(fā)，堅持為經(jīng)營管理服務(wù)，為企業(yè)生產(chǎn)建設(shè)服務(wù)。另外，如果是對現(xiàn)有網(wǎng)絡(luò)升級改造，還應(yīng)該充分考慮如何利用現(xiàn)有資源,盡量發(fā)揮設(shè)備效益。(2) 經(jīng)濟(jì)性。設(shè)備等要求價格適中，設(shè)備質(zhì)量要過硬，物美價廉，投資預(yù)算不能太高。(3) 安全可靠性。確保網(wǎng)絡(luò)可靠運(yùn)行，并在各個層面考慮冗余和備份，使系統(tǒng)具有較高的應(yīng)變能力，保證系統(tǒng)可靠和有效運(yùn)作。(4) 適度先進(jìn)性。設(shè)計出來的方案，不僅要能滿足企業(yè)和客戶的需求，還得有一定技術(shù)前瞻性和用戶需求預(yù)見性，采用成熟的先進(jìn)技術(shù)，考慮到能夠滿足

5、未來幾年內(nèi)企業(yè)網(wǎng)絡(luò)的安全性。2.2設(shè)計方案企業(yè)內(nèi)網(wǎng)一般用來企業(yè)內(nèi)部人員的進(jìn)行信息交流，資源共享等，也包括企業(yè)與其分支機(jī)構(gòu)進(jìn)行通信。從上面的分析可以看出，內(nèi)網(wǎng)的威脅主要來自員工的失誤導(dǎo)致數(shù)據(jù)泄露，服務(wù)器癱瘓造成網(wǎng)絡(luò)無法順暢運(yùn)行，還有就是分支機(jī)構(gòu)與總部進(jìn)行通信時遭到竊聽等等，要解決這些問題,需要從每一層做好安全措施，即接入層、匯聚層和核心層，采用的技術(shù)一般是劃分VLAN和設(shè)置VPN。(1) Vlan的劃分。企業(yè)各部門處于三層結(jié)構(gòu)中的接入層，要對部門劃分VLAN,即對接入層進(jìn)行劃分,VLAN的劃分有很多標(biāo)準(zhǔn)，有基于端口的，有基于地域的,還有基于二層/三層交換機(jī)位置的，對于中小型企業(yè)，一般來說有四個部

6、門左右：人事部、財務(wù)部、技術(shù)部和宣傳部，它們應(yīng)該處于不同樓層所以VLAN可以根據(jù)部門所處不同樓層來劃分。(2) VPN技術(shù)。目前,有兩種主流的VPN技術(shù)。第一種是基于網(wǎng)絡(luò)層的IPsecVPN;第二種是基于應(yīng)用層的SSLVPN。對企業(yè)來講,SSL方式更便宜，更容易維護(hù)，需要較少的員工培訓(xùn)。而IPsec方式需要在所有的遠(yuǎn)程客戶端安裝VPN網(wǎng)關(guān),連接軟件并進(jìn)行相應(yīng)的配置。它比SSLVPN的成本要高的多。但是，還應(yīng)該根據(jù)企業(yè)的需求來作決策，對于中小型企業(yè)來說，比較適合采用SSLVPN,因為SSL是比較簡單的技術(shù)，通過使用公共密鑰加密技術(shù)(公共/秘密密鑰對)來建立一個加密信道，從而對數(shù)據(jù)進(jìn)行傳輸。而它的

7、部署和實施相比起例如IPsecVPN這樣的技術(shù)而言，也相對沒有那么復(fù)雜。對中小企業(yè)而言,這一點(diǎn)特別的重要，由于它們通常并沒有大量的IT職員或IT專家，而且一般也沒有對IPsecVPN進(jìn)行故障調(diào)試所需的專門技術(shù)。(3) 中小型企業(yè)邊界網(wǎng)安全設(shè)計。中小型企業(yè)邊界網(wǎng)絡(luò)是介于企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)(互聯(lián)網(wǎng)、其他單位網(wǎng)絡(luò)、ISP等)，兩個不同安全等級網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)，是安全防范的重點(diǎn)部分。目前企業(yè)的發(fā)展很大程度上依賴互聯(lián)網(wǎng)的信息和應(yīng)用,而外部網(wǎng)絡(luò)的種種安全隱患也會威脅到各個企業(yè)內(nèi)部的信息安全。因此如何做好這部分網(wǎng)絡(luò)的安全設(shè)計，做好信息安全與應(yīng)用的平衡，是我們設(shè)計的重點(diǎn)。在邊界網(wǎng)，主要實施防火墻方案和入侵檢測方案。3結(jié)語針對中小型企業(yè)的網(wǎng)絡(luò)安全要求，結(jié)合現(xiàn)代網(wǎng)絡(luò)安全的常用技術(shù)本文給出了中小型網(wǎng)絡(luò)的安全配置方案。通過上述的方案，分析了中小型企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，找出了網(wǎng)絡(luò)中存在的問題，提出了幾種可行的防護(hù)策略，并根據(jù)中小型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)針對不同的層次，采用對應(yīng)的技術(shù)，分析每種技術(shù)特點(diǎn)和