企业内部网络建设浅析

企业内部网络建设浅析摘要 企业内部网络是企业中十分重要的基础设施，本文提出企业内部网络建设应遵循统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性等原则，并阐述内部网络建设的主要内容，着重讨论了网络平台的建设。关键词 企业内部网络； 基础设施企业内部网络是企业中十分重要的基础设施，可以实现企业内部相关部门及下属单位的数据共享、互联互通，为各类应用系统提供安全、稳定、可靠的工作环境，满足各种数据传输的需求。本文从内部网络的建设原则、建设内容着手，阐述如何建立企业内部网络，着重讨论了网络平台的建设。建设原则企业内部网络建设应遵循以下原则：统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。统一规划：明确内部网络在规划期内的规模，确定总体需求，既能满足企业当前需求，又充分考虑将来整个网络系统的投资保护和对新应用的支持。高可用性：要求关键网络设备具有单点失效保护，能够实现故障预警、报警，以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下，内部网络可以继续工作，不影响业务处理。高性能：内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用对网络带宽的需求。高扩展性：由于内部网络是一个长期使用重要的基础设施。日后随着企业规模扩大和业务量的增长，对内部网络性能的需求可能会超出预期，当内部网络的处理能力不够时，要求可以在原有网络架构的基础上实现灵活扩展。这要求网络设备必须符合国际标准和支持业界统一标准的相关接口，选择广泛应用的网络标准协议，能够与各级下属单位网络、网络以及其他相关网络实现可靠的互联。高安全性：具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。高可维护性：维护便捷简单，尽量减少设备宕机检修时间，特别是减少进行故障修复、网络扩展和变更时的宕机时间，能够提供友好、全面的监控工具，减少网络管理的漏洞风险，增强网络管理维护性能。建设内容企业内部网络建设主要内容包括：网络平台、地址划分、中心机房网络分区、桌面安全管理、网络安全、网络管理及运维。网络平台企业内部网络平台建设通常有两种架构：二层架构和三层架构。二层架构包括：核心层、汇聚层。三层架构包括：核心层、汇聚层和接入层。由于技术进步，目前用于组网的交换机基本上具有三层交换功能，因此不用过多考虑二层交换和三层交换之间路由的问题。核心层通常部署两台核心交换机，实现负载均衡和单点失效保护，核心交换机通常部署在企业中心机房。汇聚层通常指楼层交换机，通常部署在楼层弱电间，每个汇聚交换机同时接入到两个核心交换机，以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时，可以放置多台交换机，通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络，亦可以在汇聚层放置冗余设备，以实现该层设备的负载均衡和单点失效保护。二层架构中该层具有接入和汇聚双重作用，桌面客户端通过楼层布线或者网线接入该层。三层架构中的接入层通常是指办公室接入交换机，通常部署在工作区配线架或者弱电间，每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络，亦可以在接入层放置冗余设备，以实现该层设备的负载均衡和单点失效保护。桌面客户端通过楼层布线或者网线接入该层。两种架构的差别主要在于二层架构中没有接入层，其汇聚层具有接入和汇聚双重作用。二层架构的优缺点优点可用性高。汇聚层（也是接入层）直接双上联核心，减少中间环节。传输路径短，数据流从一个区域到另一个区域，路径只需经过“接入核心接入”，数据就可以传输到对端，优化了网络路径。性能高。汇聚层（也是接入层）直接与核心交换机相连，带宽的收敛比小，实际分配给每一个终端的带宽大，保证时延最小。缺点扩展性弱。当用户的数量增加时，需要在汇聚层增加交换机接入核心交换机，或者通过在汇聚层增加交换机，使用堆叠方式或级联方式实现。安全性低。安全策略只可以分布在汇聚层交换机和核心交换机上。可维护性低。网络变更往往影响到核心交换机。三层架构的优缺点优点可扩展性强。当用户的数量增加时，可通过在接入层增加交换机，直接与汇聚层交换机相连提供扩展，扩展变更仅影响限定在此区域的汇聚层交换机，不会影响核心交换机。安全性高。安全策略可以分布在接入交换机、汇聚层交换机和核心交换机上。可维护性高。网络变更对核心交换机影响小，除了新增汇聚层交换机，需要对核心交换机进行配置外，一般只影响到汇聚层交换机。汇聚层交换机故障，只会影响汇聚区域内的接入，其他汇聚区域不受影响。缺点可用性低。数据传输路径变长，数据流从一个区域到另一个区域，需要经过“接入汇聚核心汇聚接入”，才能将数据传输到对端，增加了路径的物理长度。性能低。带宽相应降低，虽然汇聚到核心可通过链路捆绑或万兆接口的方式增加带宽，但仍会出现当区域之间的数据互通时，汇聚层到核心层带宽争用的问题。综合分析综上所述，两种架构优缺点对比见表1。表仅为二层架构与三层架构之间的相对对比，不是对两种架构性质的绝对分析。实际应用中，二层架构更加适用于楼宇等接入密度较高的内部网络建设，三层架构更加适用于物理范围广、接入密度低的内部网络建设。二层架构和三层架构并不冲突，可以同时运用于一个内部网络建设中，如对于接入密度较高的区域，客户端直接接入汇聚层； 对于接入密度较低的区域，客户端接入接入层。地址划分由于企业有若干个部门和若干个下属单位，将来组织结构也可能有变化，有必要对地址进行划分，来建立若干个子网，制定灵活、可扩展、安全的地址分配策略，以便于网络管理和增强网络安全性。中心机房网络分区中心机房是一个十分重要的区域，需要对中心机房进行网络区域划分，以增强网络的安全性。通常划分几大区域：核心交换区、访问接入区、广域网互联区、区、服务器区等。桌面安全管理内部网络绝大多数攻击来自于企业内部，所以桌面安全管理十分重要。桌面安全管理包括：安全接入控制、安全策略管理、资产管理、软件分发、补丁管理、员工行为管理。网络安全内部网络既要满足内部办公的需要，又要满足与因特网实现数据交换的需要。特别是，保证距离企业总部物理距离较远的下属单位能够有效地访问内部网络。各种场景让网络安全相对复杂，网络安全建设主要包括但不限于：（） 接入交换机的安全。包括：端口安全控制、端口流量控制、广播抑制、防范攻击、防范欺骗中间人攻击技术、配置 等。（） 网络设备自身的安全。网络设备某些缺省设置会导致安全漏洞，变更这些设置。（） 防火墙策略。制定精细的防火墙安全策略，不同端口根据区域不同划分不同的安全级别。（） 入侵监测防御系统。使用先进的、专用的入侵监测防御设备，实现主动监测和防御，并及时将相关信息传送到网管区域，能对用户常用的通讯内容进行审计。网络管理及运维系统网络管理及运维系统的建设包括但不限于：基础资源管理（如计算资源等）、网络资源管理（包括拓扑查看、配置管理、设备性能监控及告警、资产管理等）、用户管理、业务管理、管理、配置管理、流量分析、o管理、用户接入管理、用户行为审计等。以上是企业内部网络建设的主要内容，其中， “ 桌面安全管理”、“ 网络安全”和“网络管理及运维系统”等内容可以参照、 等标准进行建设。综上所述，企业在进行内部网络建设时，需要根据实际情况，参照本文的建设原则和建设内容来进行。中小企业网络建设技术浅析中小企业在发展到一定阶段的时候，通过网络建设能够实电信业内部资源的共享，降低企业成本，可以更好的与外界进行沟通，让外部更加了解企业。目前中小型企业建设过程中，存在很多问题，如有些中小型企业不考虑自身需求，一味追求高性能，构建的网络往往造成不必要的浪费;或另一方面，有些中小型企业建成的网络根本达不到应用本身对网络的需求。一、如何组网企业网络应分为内部网络和外部网络两个部分，其中还包括在这两部分上的实际应用，中小型企业在网络设计之初就应该充分考虑到自身的需求，通过这些需求来具体设计适合自己需求的网络，本文从宏观的方面为我们介绍了中小型企业在组建网络时内部网络、外部网络及实际的应用，在中小型企业组网过程中有很重要的参考作用。中小型企业使用ADSL组网实例近年来，随着互联网在我国的迅速发展，产生了很多宽带接入技术，其中ADSL在众多宽带技术中脱颖而出，在很多不同的应用环境中出现，ADSL利用原有的电话系统进行高速的数据传输，不需要重新布线，具有很高的灵活性，通过这种技术，我们的企业可以实现各种不同的应用，且费用低廉。本篇文章通过两个具体的实例来介绍了ADSL在中小型企业的应用。企业组网：把握“最后一公里”最后一公里是指从局方(一般是电信分局)到用户的数据通信终端设备(MODEM、基带MODEM、ISDN MODEM、ADSL MODEM)这一段线路。在这一段线路上由于电信公司内部的传输网所使用的技术千差万别，接口协议、线路媒介也千差万别。本文从全面为中小企业介绍了如何选择最后一公里的线路。组建局域网对局域网进行分类经常采用以下方法：按拓扑结构分类、按传输介质分类、按访问介质分类和按网络操作系统分类。(1)按拓扑结构分类局域网经常采用总线型、环型、星型和混和型拓扑结构，因此可以把局域网分为总线型局域网、环型局域网、星型局域和混和型局域网等类型。这种分类方法反映的是网络采用的哪种拓扑结构，是最常用的分类方法。(2)按传输介质分类局域网上常用的传输介质有同轴电缆、双绞线、光缆等，因此可以氢局域网分为同轴电缆局域网、双绞线局域和光纤局域网。若采用无线电波，微波，则可以称为无线局域网。(3)按访问传输介质的方法分类传输介质提供了二台或多台计算机互连并进行信息传输的通道。在局域网上，经常是在一条传输介质上连有多台计算机，如总线型和环型局域网，大家共享使用一条传输介质，而一条传输介质在某一时间内只能被一台计算机所使用，那么在某一时刻到底谁能使用或访问传输介质呢?这就需要有一个共同遵守的方法或原则来控制、协调各计算机对传输介质的同时访问，这种方法，这种方法就是协议或称为介质访问控制方法。目前，在局域网中常用的传输介质访问方法有：以太(Ethernet)方法、令牌(Token Ring)、FDDE方法、异步传输模式(ATM)方法等，因此可以把局域网分为以太网(Ethernet)、令牌网(Token Ring)、FDDE网、ATM网等。(4)按网络操作系统分类局域网的工作是局域网操作系统控制之下进行的。正如微机上的DOS、UNIX、WINDOWS、OS/2、等不同操作系统一样，局域网上也有多种网络操作系统。网络操作系统决定网络的功能、服务性能等，因此可以把局域网按其所使用的网络操作系统进行分类，如Novell公司的Netware网，3COM公司的3+OPEN网，Microsoft公司的Windows NT网，IBM公司的LAN Manager网，BANYAN公司的VINES网等。(5)其他分类方法按数据的传输速度分类，可分为10Mbps局域网、100Mbps局域网、155Mbps局域网、千兆局域网等，按信息的交换方式分类，可分为交换式局域网、共享式局域网等。二、网络实际应用根据企业规模、网络系统的复杂程度、网络应用的程度，用户对于网络的需求各不相同，从简单的文件共享、办公自动化，到复杂的电子商务、ERP等等，在此对中小企业的一般应用做一些探讨。1、最简配置对于网络最简单的应用，就是将若干个计算机连接起来，组成对等的网络，计算机之间可以相互之间共享资源，如果其中一台计算机安装了打印机、MODEM等，其余计算机可以通过网络系统，共享打印机和MODEM，进行文件打印、上网查询等，利用相应的软件，可以完成定单管理、信息查询、数据统计等。其网络拓扑结构可以表示为，在PC服务器上，可以安装PROXY、防火墙等网络管理软件，用以防范外部的攻击、对内部员工进行授权等，而用户数量的增加只是体现端口的增加，可以采用堆叠、级联、使用高密度端口网络节点设备来实现。如果在工作中需要大量或者实时的数据通讯，可以用以太网交换机替代集线器，例如在工作中需要处理多媒体或进行图形设计等场合。对于更进一步，在安全、互联网接入方式上有更多要求，可以使用路由器作为连接互联网的设备，具体的拓扑图是在这个方案中，可以使用路由器通过DDN专线连接到特定的网络(如互联网、行业内部网)中，提供更高速、安全的连接，也可以使用ISDN/MODEM，通过拨号连接到互联网中。路由器和集线器之间，可以设置一台安装了两个网卡的服务器，分别连接在路由器和集线器上，作为网关，运行防火墙软件等，进行网络管理和安全防范。在此方案中，用ISDN/MODEM作为统一的出口，避免每台Pc配一个Modem，减少了购买费用，并且容易管理;而使用一台服务器加上网络管理的方法，在一定程度上节约了费用，但可能造成系统不稳定，在维护和管理上也比较困难，所以在经费可以承担的基础上，最好使用路由器作为连接广域网的接口。2、一般性应用对于已经上了一定规模，在内部已经有了几个部门的企业，如果所有部门的用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，而且部门内的大量通讯，也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃。为了克服这个问题，需要将经常进行通讯(通常在同一个部门内)的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起，形成局域网。对于比较大的应用场合，除了网管服务器外，推荐采用专门的服务器进行数据库管理、文件管理，同时作为网络管理主机，可以进行权限限定、子网划分等，也可以将MIS、ERP，甚至网页等系统放入服务器。如果采用DDN与广域网连接，还可以装载电子邮件服务程序。这样做的最大优点在于可以方便地进行管理、维护。在中心使用交换机，以提高整个网络的性能和速度，各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门，例如财务部门，可以考虑使用部门服务器，存放重要数据，并运行防火墙程序，屏蔽非法的访问。而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备，可以根据需要放置在中心或相应部门;而在内部需要大量数据传输的部门，可以采用交换机替代集线器作为部门的网络节点。3、分支机构当企业进一步发展，可能需要建立分支机构，在地理上具有一定距离的分公司，依然需要在企业内部进行信息共享，实现办公自动化。分支机构与总部连接有许多方式，但形式基本相似。在方案中，分支机构通过路由器，与总部的路由器建立点到点的连接，连接方式可以采用DDN，也可以采用ISDN/MODEM通过拨号连接，此时总部的路由器作为拨入端使用。如果分支机构采用DDN与总部连接，虽然两个网在地理上有距离，但在网络中可以看成是一个网络，同时分支机构也可以通过ISDN/MODEM直接访问互联网;如果采用ISDN/MODEM与总部连接，则无法同时通过ISDN/MODEM连接互联网。总部的路由器除使用一个广域网端口或备份接口与分支机构连接外，还可以同时使用另一个广域网接口连接广域网，为整个企业提供对外接口。如果分支结构与总部在一个城市，则采用ISDN/MODM，甚至DDN，都可以为许多企业所接受;如果分布在两个城市，则分支机构也可以连到互联网上，与总部通过VPN方式进行连接，可以节省许多费用，也能保证安全性，但在实时性上有所降低。总结在组建中小型企业网络，首先要做好网络的规划与设计。在构建企业的内部局域网时重点涉及到交换机或集线器等网络设备的选型，办公大楼(区域)的网络布线，网络拓扑结构的规划，内部网络地址的分配以及文件服务器和打印机的共享等工作;在构建企业的外网时重点涉及到 Internet共享上网电信线路的选择，如果要做企业的Web、MAIL或者 FTP网站，还涉及到申请域名的解析，电信给予企业固定的一个或几个Internet IP地址，以及和域名映射的关系;要考虑企业路由器(或防火墙)的选型，为了网络的安全运行，还要做NAT地址转换等工作。浅析如何加强中小型企业网络安全建设针对企业网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改.从内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患，对企业网络安全整体解决方案进行研究.提出中小型企业网络安全解决方案。一、引言随着电子信息和计算机技术的发展，计算机网络已逐步成为当今社会发展的一个主题，网络已渗透到经济和生活的各个领域，众多的企业、组织、政府部门与机构都在组建和发展自己的网络。并连接到互联网上，以充分共享、利用网络的信息和瓷源。伴随着网络的发展，也产生各种各样的问题，其中安全隐患日益突出，无论是企业、服务供应商、政府部门还是研究和教育机构，安全性显然决定着网络要求和工作的优先级，本文研究的目的和意义就是在以上这些方面，为中小型企业网络建设及网络安全管理提供参考指导和帮助，同时，在一些安全技术上，给出分析和经过具体实践的解决方案。二、网络安全方案设计分析（一）网络系统安全分析网络入侵者通常有以下步骤进行入侵：1、信息收集，信息收集是为了了解所要攻击目标的详细信息，通常黑客利用相关的网络协议或实用程序来收集，如用SNWP协议可用来查看路由器的路由表，了解目标主机内部拓扑结构的细节，用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数，用Ping程序可以检测一个指定主机的位置并确定是否可到达等。2、探测分析系统的安全弱点，在收集到目标的相关信息以后，黑客会探测网络上的每一台主机，以寻求系统的安全漏洞或安全弱点，黑客一般会使用Telnet、FTP等软件向目标主机申请服务，如果目标主机有应答就说明开放了这些端口的服务，其次使用一些公开的工具软件如Internet安全扫描程序ISS、两络安全分析工具SATAN等来对整个网络或子网进行扫描，寻求系统的安全漏洞，获取攻击目标系统的非法访问权。3、实施攻击在获得了目标系统的非法访问权以后，黑客一般会实施以下的攻击：试图毁掉入侵的痕迹，并在受到攻击的目标系统中建立新的安全漏洞或后门，以便在先前的攻击点被发现以后能继续访问该系统：在目标系统安装探测器软件，如特洛伊木马程序，用来窥探目标系统的活动，继续收集黑客感兴趣的一切信息，如帐号与口令等敏感数据;进一步发现目标系统的信任等级，以展开对整个系统的攻击;如果黑客在被攻击的目标系统上获得了特许访问权，那么他就可以读取邮件，搜索和盗取私人文件，毁坏重要数据以至破坏整个网络系统，那么后果将不堪设想，黑客攻击通常采用以下几种典型的攻击方式：密码破解、IP欺骗（Spoofing）与嗅探（Sniffing），系统漏洞，端口扫描。（二）网络安全方案分类通过对网络系统的全面了解，按照网络风险分析结果、安全策略的要求、安全目标及整个网络安全方案的设计原则，整个网络安全措施应按系统整体建立，具体的安全控制系统由以下几个方面组成，保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程，网络结构的安全主要指，网络拓扑结构是否合理;线路是否有冗余：路由是否冗余，防止单点失败等，工行网络在设计时，比较好的考虑了这些因素，可以说网络结构是比较合理的、比较安全的，对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如UNIX下：/.host、etc/host、passwd、shadow,、group等;WindowsNT下的LMHOST、SAM等）使用权限进行严格限制等等方法。访问控制可以通过如下几个方面来实现，比如制定严格的管理制度，配备相应的安全设备，通过交换机划分VLILN，使用应用代理。数据的机密性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文，可以选择以下几种方式：链路层加密，网络层加密，入侵检测等，数据保护所包含的内容比较广，除了前面讲过的访问控制和通信保密外，还包括以下几个方面：制定明确的数据保护策略和管理制度保护镱略，可以制定如下管理制度：系统信息安全保密等级划分及保护规范、数据安全管理办法、上网数据的审批规定，安全审计主要通过如下几方面实现：制订审计策略和管理制度，使用安全审计设备和软件、网络监视系统等方法，防病毒措施主要包括技术和管理方面，技术上可在服务器中安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力，在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不至于扩散到其他主机或服务器。管理上应制定一整套有关的规章制度，如：不许使用来历不明的软件或盗版软件，软盘使用前要首先进行杀毒等，只有提高了工作人员的安全意识，并自觉遵守有关规定，才能从根本上防止病毒对网络信息系统的危害，备份恢复，对重要设备系统进行备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。三、中小型企业网络安全解决方案分析（一）中小型企业网络基本情况与应用特点经过调查研究，从宏观上来看。中小型企业计算机网络的典型应用如下：办公自动化系统;信息查询系统;WWW应用;邮件服务：财务系统;人事、计划系统。根据中小型企业计算机网络的应用特点，需要保证网络中的数据具有实时性、机密性、安全性、完整性、可用性、不可抵赖性以及可审计性等，又由于公司计算机网络跨越公共网络及与Internet网互联，这就给公司计算机网络带来严峻的安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决，那将会给公司的计算机网络带来严重的安全隐患。（二）解决方案分析通过对某中小型企业公司计算机网络结构、网络应用的全面了解，按照安全风险、需求分析结果、安全目标及安全设计原则，本文为某公司计算机网络安全进行规划，构建一个适合于中小型企业公司计算机网络的安全体系。可以根据上述分析，得到某种小型企业的解决方案。这里只给出网路隔离与访问控制解决方案和网络系统安全解决方案的详细分析过程。其余还包括用户与资源管理、网络监控与入侵检测侦测、身份认证、网络病毒解决方案、数据备份与回复、安全管理等方面的问题，参照上述分析可以得出。对于网路隔离与访问控制解决方案来说，从安全角度来说，是不可以直接与INTERNET公网互联的。从理论上说，只要你的网络直接与INTERNET公网连接，不管采用了什么样的安全产品和安全技术，肯定存在着被黑客攻击的可能性。因此，对此公司计算机网络，从最安全角度来考虑，应该对公司计算机网络内网与公司计算机嗍络外网（接入INTERNET公网部分）之间完全物理隔离，对内部网络中需要上因特网的用户机器安装物理隔离卡，保证内部网络信息不受INTERNET公网用户的攻击。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全访问需求，在有可能的情况下。可以利用三层交换机来划分虚拟子网（VLAN）。因为三层交换机具有路由功能，在没有配置路由的情况下，不同虚拟子网间是不能够互相访问，同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分，既方便局域网络的互联，又能够实现访问控制。设计方案采用思科公司的专用防火墙产品PIX525和其网管产品SmallNetworkManagementSolutiOil（SNMS），能够同公司思科网络设备系统有效的集成，并很好地起到网络安全保护作用;整个网的拓扑结构是封闭的，只有唯一的一个出口与防火墙相连。防火墙左侧的网络是在防火墙之外，只有防火墙右侧的网络在防火墙里，防火墙里的server以及其它客户机可以通过NAT协议访问外网，而外网上的客户只能访问到webserver，如果访问内部sever必需经过防火墙静态地址翻译和存取控制表的安全检查，以代理服务的方式连接内部sever，而不能直接与其连接。这样整个内部网的安全可以得到有效保障。对于网络系统安全解决方案来说，系统安全包括网络操作系统安全和应用系统安全，（1）网络操作系统安全对于网络操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统，并进行必要的安全配置，如：关闭一些并不常用却存在安全隐患的应用、服务及端口。对一些保存有用户信息及其口令的关键文件使用权限进行严格限制;加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），并及时给系统打补丁、系统内部的相互调用不对外公开。（2）应用系统安全，在应用系统安全上，应用服务器尽革不要开放一些没有经常使用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGlN等服务，还有就是加强登录身份认证，确保用户使用的合法性;并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。同时还要及时升级各种已经发布的升级补丁程序，减少因为升级过程周期长而带来攻击事件的发生。中小企业网络安全整体解决方案摘要：随着企业内部网络的日益庞大及与外部网络联系的逐渐增多，一个安全可信的企业网络安全系统显得十分重要。局域网企业信息安全系统是为了防范企业中计算机数据信息泄密而建立的一种管理系统，旨在对局域网中的信息安全提供一种实用、可靠的管理方案。 Abstract:Is day by day huge along with the enterprise interior network and with exterior network contacting gradual increase, a security credible enterprise network safety system appears very important. The local area network enterprise information security system is to guard against one kind of management system management system which in the enterprise the computer data message divulges a secret establishes, is for the purpose of providing one kind to local area networks information security practical, the reliable management plan. 关键词：网络安全 防病毒 防火墙 入侵检测 key word: Network security Anti-virus Firewall The invasion examines 作者简介：张敏（1981- ），女，满族，辽宁锦州北镇人，本科学历，辽宁财贸学院经贸系教师。 一、网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这,转自教育期刊网是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。网络安全，通常定义为网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 二、中小企业网络安全方案的基本设计原则 （一）综合性、整体性原则。应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 （二）需求、风险、代价平衡的原则。对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 （三）分步实施原则。由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需要，亦可节省费用开支。 三、中小企业网络安全方案的具体设计 网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。 该方案主要包括以下几个方面： （一）防病毒方面：应用防病毒技术，建立全面的网络防病毒体系。随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力：当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。 （二）应用防火墙技术，控制访问权限，实现网络安全集中管理。防火墙技术是今年发展起来的重要网络安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。 防火墙可以完成以下具体任务：通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问；防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘。 随着网络的广泛应用和普及，网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。防火墙作为网络边界的第一道防线，由最初的路由器设备配置访问策略进行安全防护，到形成专业独立的产品，已经充斥了整个网络世界。在网络安全领域，随着黑客应用技术的不断“傻瓜化”，入侵检测系统IDS的地位正在逐渐增加。一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵犯行为，才能防患于未然。 参考文献： 1陈家琪.计算机网络安全.上海理工大学，电子教材，2005 2胡建斌.网络与信息安全概论.北京大学网络与信息安全研究室，电子教材，2005浅谈中小企业网络安全与防护摘要：办公自动化已成为企业内部运作的主流方式，数据通信的实时性、高效性、便捷性，网络资源的共享是计算机网络不断发展的前提，如何确保网络信息的纯净，网络安全如何防护则成为重要的问题。文章重点介绍了企业局域网病毒防护及所采取的一些措施。关键词：局域网；病毒； 防护措施随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来月广泛，网络的开放性和自由性给人们带来大量信息来源的同时也给网络安全带来的病毒入侵的威胁。为了确保企业内部工作的正常运行，保证信息数据传输安全是开展各项工作的前提基础，因此计算机网络安全的防护和病毒的查杀变得尤为重要。一、 局域网内容简介局域网是计算机网络的一种，它覆盖地理范围是有限的，适用于公司、机关、校园、工厂等有限范围内的计算机、终端与各类信息处理设备连网的需求，它能提供高数据传输速率（10Mbps10Gbps）、低误码率的高质量数据传输环境，易于建立、维护、扩展。二、 局域网安全威胁1、 局域网安全定义：局域网安全是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网络系统没有被危险虚拟事物侵害的状态。2、 局域网病毒特点：、可传播性：病毒传播速度快，传播方式主要为两种：a：单机模式下主要是通过移动存储设备进行病毒传播。b：网络模式下，由于通过服务器连接电脑，为病毒传播提供较好的传播途径，在网内的每一个计算机只要有一个感染病毒，其他则计算机都会相继感染中毒，网络是病毒繁殖、传播的绝佳环境。、可执行性：一旦感染了病毒，不用激活，立即运行。、破坏性：病毒破坏性很大，小则导致终端计算机蓝屏、死机等；大则导致计算机内部数据被破坏甚至整个网络瘫痪。局域网内感染病毒，主要体现在传输速率减慢，计算机操作速度减慢，硬盘空间莫名减小，应用软件被禁用等等。、隐蔽性：一般病毒不易被发现，也不易彻底清除。3、企业内部病毒传播途径分析、移动存储设备的使用：使用前不能做好病毒查杀的工作就进行数据的读写操作，这就使得木马、蠕虫等病毒广泛传播。、邮件传播：企业内部数据通讯最好的体现就是邮箱的使用，但由于发邮件的计算机中病毒，不可避免的就可将所发送邮件感染，导致病毒传播。、一机多网，交替使用：企业内部个别部门存在特殊性，往往存在一机多用的情况，例如，某公司财务部门，其部门内部有单独的财务网、外网而且也包括公司的局域网，根据需要不定时的切换不同网络使用，也是病毒传播的来源之一。、服务器的病毒防护：企业内部局域网是通过服务器连接进行数据传递的，一台电脑感染病毒，如果服务器没有病毒防护，则一旦这台感染病毒的计算机进行数据传递，则会导致服务器感染病毒，继而就有可能扩散到其他网内通过服务器传递数据的计算机。三、 局域网安全防护措施一个安全的计算机网络应该具有可靠性、真实性、完整性、保密性等特点，为了保证网络的信息的纯净度，网络运行的流畅，就要保护计算机设备安全、数据安全。1、 切断网络病毒传染源及传播途径由于移动存储设备便于携带，使用方便，成为企业员工辅助工作的好帮手，但是存储设备的使用相对于企业局域网来说是病毒广泛传播的源头之一，经常有刚刚将u盘连接到计算机就出现黑屏、蓝屏等现象，导致计算机无法使用，数据丢失。企业内部应该合理的限制移动存储设备的使用数量，建议将大部分电脑u口封闭，其余u口开放的用户做好防护措施，安装专杀工具，定期升级。使用移动存储设备前要先查杀病毒，防止病毒入侵。2、 安装网络杀毒软件 安装杀毒软件是必备的防病毒入侵手段，我公司现阶段使用的是卡巴斯基工作站版杀毒软件及卡巴斯基服务器版杀毒软件，现使用情况表明此款软件更新快，杀毒较为彻底，能实现远程控制、集中管理，做到有效的病毒查杀与防护。3、 做好网路监控管理安排专人进行网络监控管理，实时监控网络运行状态，发现异常，应进行干预、中断，查找原因。网络管理人员应具备较高的警觉性，了解网络系统所使用的系统软件、应用软件，以及硬件中可能存在的安全漏洞，做到发现问题及时解决，尽快的时间内还原良好的网络运行状态。4、 做好数据备份主要数据及时备份，建议做好一键还原设置，以备不时之需。5、 做好相关服务器的权限设置由于网络连接需要服务器做为数据中转站，而企业内部发布信息资源共享的服务器应设置权限使用，有专门维护人员进行维护，定期检测。6、 做好网络维护，防止ip盗用 网络监控中常常发现ip冲突，有效解决办法即绑定ip地址，使网内计算机ip地址与其MCA地址唯一对应，将空闲ip地址封闭，防止网络盗用，限制其他非网络用户私自接网，增加病毒传播的可能性。7、 防火墙的使用防火墙通常安装在单独的计算机上，将局域网与外部网相互隔离，限制网络互访防止信息资料泄露。局域网通常安装网络防火墙，主要用来防止整个网络出现外来病毒入侵。防火墙提供功能有两个：一个是阻止，另一个是允许，但大多数情况下采用阻止功能。8、 做好企业员工网络安全培训 企业各项业务进行的是否流畅，数据传输是否正常，都将影响企业工作效率，增加企业员工网络知识，使其了解网络配置如何分配，计算机病毒的危害性，提高操作水平，养成良好的使用习惯。四、结束语 “病毒”这一词汇是当今计算机、网络广泛应用中人们经常谈论的话题，病毒实时防护，刻不容缓，良好的操作环境，优质的网络运行状态，给人们提供了便捷的工作环境。病毒防控应从多方面进行。本文只是从维护角度出发，结合工作实际，浅谈网络病毒的防护措施。参考文献：1 彭澎 吴震瑞 等编著计算机网络教程(第三版) 机械工业出版社 2007.11.92 朱卫东著计算机安全基础教程 清华大学出版社，北京大学出版社 2009.93 卓新建 郑康锋 辛阳编著计算机病毒原理与防治 （第二版）水利水电出版社 2004.4.1