淺談企業計算機網絡安全及防護

摘 要：隨著計算機網絡技術的發展，全球信息化已成為現代發展的趨勢。企業信息網絡的互聯，最大限度地實現了信息資源的共享和提高企業的工作效率。然而，網絡易受惡意軟件、黑客等的非法攻擊，從而導致計算機網絡癱瘓甚至數據泄露。如何保障企業計算機網絡及其數據的安全已經成為了一個備受矚目的問題。

關鍵詞：企業；網絡；安全

通常而言，企業的計算機網絡系統由以下幾個部分組成：提供信息管理、業務窗口以及資源共享等服務的平臺；支撐企業數據庫的內部網絡的服務器以及跨區域的Internet網絡；為企業各部門的業務提供資源信息、管理方案、數據采集、流程審批、信息發布、網絡視頻會議等功能的應用。它可以極大地提高企業工作的效率，已經成為當代大型企業日常辦公必不可少的工具，因此，企業也對其計算機網絡的可操作性、安全性以及保密性等方面提出了很高的要求。

1 計算機網絡安全的概念和它的基本組成

1.1 計算機網絡安全的概念

網絡安全是指為數據處理系統建立和采取的技術上和管理上的安全保護措施，使系統能夠保持連續可靠正常地運行，同時使相關的網絡服務不中斷，以達到保護計算機軟硬件及其系統中的數據不受突然或惡意的非法攻擊而遭到破壞、更改、泄露的目的。計算機安全的定義包含了兩方面的內容：物理安全和邏輯安全。其中，物理安全是指對計算機系統硬件設備、存儲媒體設備以及通信和網絡設備等采取的安全上的技術措施；而邏輯上的安全的內容可以簡單地理解為我們常說的信息的安全，它是指對信息安全的保密、完整以及可用的保護，而網絡安全是信息安全的延伸。

1.2 計算機網絡安全的基本組成

計算機網絡安全的基本組成主要包含了四個部分：

1.2.1 實體安全。主要指構成計算機網絡的各個物理設備的安全，主要包括計算機基本硬件及其附屬設備、網絡傳輸設備及其線路的正確安裝與配置等。

1.2.2 軟件安全。主要指在軟件系統層面保護計算機網絡不被非法侵入，以確保計算機的系統及應用軟件不被惡意地篡改、復制、不受病毒的侵害等。

1.2.3 數據安全。主要指保護計算機網絡信息資源的安全，使其不被非法篡改或者存取，從而使得數據完整、可靠。

1.2.4 安全管理。主要指計算機網絡運行時遇突發事件的安全處理措施，主要包括采取計算機網絡安全技術、建立計算機網絡安全管理制度以及開展計算機網絡安全審計等。

2 企業計算機網絡安全現狀及其面臨的威脅

2.1 企業網絡安全現狀

我國是黑客網絡攻擊的受害國之一，據統計，我國企業的網絡安全也正面臨著很大的威脅，形勢相當不樂觀，主要的表現在：網絡安全防護能力比較差；網絡安全方面的人才缺乏；企業員工的網絡安全意識較淡薄，企業相關領導對網絡安全不夠重視等幾個方面。部分企業認為增加了安全產品后，企業網絡的安全就能得到保障了，企業領導更加關注的是能得到直接經濟利益回報的投資項目，而對網絡安全這個看不到實際回饋的資金投入采取了消極的態度，其中的一個主要因素就是這些企業缺少網絡安全方面的專業人才和專業的指導，從而導致了我國企業的網絡安全建設普遍處于不容樂觀的狀況。

2.2 企業計算機網絡安全面臨的威脅

2.2.1 網絡病毒。網絡病毒一般指在系統中植入的惡意破壞計算機功能、盜取計算機網絡的數據、影響系統的正常使用而且能夠進行自我復制的一組程序代碼或指令，它具有復制性、隱蔽性、傳染性等特點。常見的破壞比較強的病毒常表現為：計算機突然藍屏、卡機、突然黑屏、數據丟失、無法開啟殺毒產品的軟件等，并且能夠短時間內在網絡上進行傳播，從而導致大量的系統癱瘓，對企業或個人用戶造成重大的經濟損失。

2.2.2 木馬程序和后門。木馬程序和后門是一種可以遠程操作別人計算機的應用程序，它具有高隱蔽性、非授權性的特點。當木馬程序或后門程序感染企業內部網絡中的某臺計算機后，該應用程序可能會盜竊用戶的信息，包括用戶輸入的各種賬號和密碼，并將這些信息發送到指定的地方，也可以竊取計算機中的資料。更為嚴重的是，操作者可能可以通過這臺計算機控制整個企業的網絡系統，使整個網絡系統都暴露在他人的眼前，從而對企業造成巨大損失。

3 企業計算機網絡如何進行安全的防護

3.1 企業內部和外部網絡之間加裝和配置防火墻

防火墻是在兩個網絡之間用來實現訪問控制的一個或一組軟件或硬件系統，它是內部網絡與外部網絡之間的一道安全屏障。其中，用硬件防火墻的安全性會相對比較高，它的主要功能就是允許和屏蔽指定的數據進行通訊，然而這種功能主要依靠訪問和控制策略來進行實現的。訪問和控制策略決定了數據在網絡中進行通訊的合法性，其配置的主要內容通常由企業的網絡安全的管理人員和系統管理的人員共同制定出來的。一般而言，網絡防火墻的安全策略主要包含；所有從內部網絡到外部網絡和從外部網絡到內部網絡的數據包都必須經過防火墻；只有被安全策略允許的數據包才可以通過防火墻；防火墻本身要包含預防外部入侵的功能；服務器本身不能直接訪問互聯網；默認禁止所有服務，除非是必須的服務才允許開；如應用系統需要開放某些重要的端口，應由系統管理人員來執行開啟。

3.2 企業內部網VLAN的劃分

VLAN它是為了更好的解決內部網之間的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭，限制不同VLAN之間的計算機不能直接互訪，簡而言之，就是將局域網從邏輯上劃分為各個網段，從而實現虛擬工作組。對于企業的各個部門，采用三層交換機，通過VLAN進行劃分，可以實現同一部門在同一個VLAN中，既方便了同部門的數據互訪，又限制了不同部門之間員工的直接交換數據，這樣做的好處是有助于網絡流量的控制、簡化網絡的管理、提高網絡的安全性。若不同VLAN之間要進行訪問，就要通過應用系統的授權進行實現。為保護重要的數據資源和控制不必要的廣播風暴，則可以在三層交換機的網絡環境下，將所有企業員工的計算機和服務器系統分別劃分到不同的VLAN里。

3.3 計算機網絡安全規章制度方面的管理

企業的計算機網絡安全的實現不僅需要在技術上下功夫，同時也要注重網絡安全管理。通過建立、修訂網絡安全管理的規章制度、標準，對違規行為進行統計分析，制定緊急響應預案，進行安全流程的變更和組織調整，加強人員技能培訓，行成一套完整的、嚴格的、規范的網絡安全管理的規章制度，對于實現企業計算機網絡的安全具有重要的作用。

4 結束語

企業計算機網絡安全的本質目的就是要保障企業的信息安全，從而保障企業相關工作的正常運轉。計算機網絡安全工程不是簡單的軟硬件疊加，它是一個全方位的系統工程，需要不斷在實踐和工作中發現和解決問題，將各種安全技術，員工的網絡安全意識、安全管理等有機結合在一起，建立一個安全的計算機網絡系統，才能更好地為企業工作服務。

參考文獻

[1]陳家遷.網絡安全防范體系及設計原理分析[J].信息安全與技術，2011（1）.

[2]陳豪然.計算機網絡安全與防范技術研究[J].科技風，2009（22）：35-36.

[3]李鋼.改進的BP網絡在入侵檢測中的應用[J].重慶科技學院學報：自然科學版，2010（1）：157-159

[4]殷偉.計算機安全與病毒防治[M].合肥：安徽科學技術出版社，2004

作者簡介：黃淮彩（1986.6-）男，福建省龍巖市人，現職稱：助理工程師，學歷：大專，專業：計算機信息管理。