網絡安全問題探討

馬潔　梁楷

摘 要：隨著我廠信息化建設的不斷深入，信息網絡安全已成為信息化高效建設的重要因素。文章針對我廠目前網絡信息架構的特點，系統地分析了網絡安全存在的問題，結合當前國際網絡信息的前沿技術，提出我廠今后信息網絡安全的對策。

關鍵詞：網絡安全；技術措施；安全風險；安全防范

中圖分類號：TP398.1 文獻標識碼：A 文章編號：1006-8937（2015）30-0069-02

1 網絡安全的重要性

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科，是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。具體而言，網絡安全就是保護個人隱私，控制對網絡資源的訪問，保證商業秘密在網絡上傳輸的保密性、完整性及真實性，控制不健康的內容或危害社會穩定的言論，避免機密泄漏等。

2 我廠網絡安全措施

2.1 統一出口，便于管理

將三地的網絡進行了配置更改，兩地間增加了高性能的路由器，建成了企業內部局域網絡。此局域網的建成就像給企業網絡系統安裝了一個“保護殼”，使企業內部網絡的使用更加方便、快捷的同時保證了數據采集、傳輸的安全性，加強了計算機信息和網絡的保密性。

2.2 企業防火墻，外圍墻

在企業局域網的統一出口安裝了Internet防火墻，負責管理Internet和企業內部網絡之間的訪問。在沒有防火墻時，內部網絡上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網絡的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統。

2.3 生產和辦公物理和虛擬相結合隔離

為了保證生產網的安全穩定運行，采取了生產網和辦公網邏輯隔離，兩網通過防火墻相連，高度融合，進一步強化了生產網的安全性。

2.4 病毒掃描評估

通過專業軟件掃描分析全廠的網絡系統，檢查網絡系統中存在的弱點和漏洞并生成相應的報告，提出修補方法和應實施的安全策略，增強了網絡安全性。

2.5 行為管理

引進了國內先進的“網康”網絡接入管理設備，對企業網絡進行優化管理，實現了對網絡的整體流量分配與控制，加強了網絡數據流量分析，優化了網絡流量調整工作。

2.6 區域WLAN的劃分

將企業辦公、生產區域網絡用戶按照單位、區域和樓層等細化管理，通過劃分不同的WLAN，從邏輯上阻隔網段，徹底阻隔廣播域，縮小區域，減小網絡異常的影響范圍。

3 目前存在的主要問題

3.1 認識上的誤區

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。

②在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟 件等效。網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡而言，管理非常方便，對于單機版是不可能做到的。

③不上網就不會中毒。雖然不少病毒是通過網頁傳播的，但像QQ聊天接發郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

④文件設置只讀就可以避免感染病毒。設置只讀只是調用系統的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。

⑤網絡安全主要來自外部。基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要。

3.2. 技術上的差距

①操作系統使用盜版。由于習慣問題，部分軟件不兼容原裝系統和覺得正版與盜版都一樣等的一些類似原因導致使用盜版系統占到我廠絕大數計算機，給全廠網絡安全帶來了嚴重隱患。

②生產電腦防火墻和殺毒軟件無法自動升級。由于辦公網和生產網隔離，生產電腦無法上網，無法自動升級防火墻和殺毒等軟件，以至于在生產電腦上插拔外置移動設備和局域內傳輸文件帶來的安全危險顯得毫無抵抗之力。

③查找故障機困難。由于三地運行，地域廣，人員多，加之入廠機子相關登記信息空白，給查找故障機帶來更多困難，顯得無從下手。

4 進一步的措施

4.1 環網建設

目前企業網絡鏈路均為單鏈路。致使網絡鏈路抗風險能力較差，鏈路中斷后恢復時間較長。不能滿足生產管理系統的穩定運行需求。為提高網絡鏈路的抗風險能力，計劃在充分利用已建光纜、桿路資源及網絡設備的基礎上，新增傳輸設備，將網絡鏈路構成環網，當網絡中斷后自動切換至反向鏈路，實現網絡“零中斷”。

4.2 層級改造

我廠分場站網絡節點，由于之前采用交換機級聯的方式組網，受到光纜資源的限制，尚有部分網絡級聯層級達到三級或者更多，隨著網絡的不斷擴展，層級數過多問題也日益凸顯，現計劃對此類場站進行層級改造。

4.3 基于DHCP和MAC地址動態綁定的用戶自助接入系 統研究與應用

充分利用現有成熟的DHCP、VPMS和開源Liunx系統的相關技術，實現基于DHCP和MAC地址動態綁定的網絡用戶自助接入指定網絡，無需安裝客戶端，從而簡化日常IT管理人員負擔和提高網絡管理效率與信息安全水平，基于DHCP和MAC地址動態綁定的用戶自助接入系統應用，如圖1所示。

4.4 端口封裝，細化管理

結合以上MAC地址綁定和VLAN劃分，通過客戶端連接交換機做端口分裝策略，進一步固定IP地址，防止IP使用混亂，營造一個平穩暢通的網絡環境。

5 結 語

上述論文主要從我廠當前實際的網絡運行狀況，分析了所存在的網絡安全隱患，及采取的一些相應安全措施和下步主要安全工作的同時，也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網絡安全的現狀，可以使大家有對網絡安全的重要性有了進一步的了解。

參考文獻：

[1] 董玉格.網絡攻擊與防護-網絡安全與實用防護技術[M].北京：人民郵 電出版社，2002.

[2] 周海剛，肖軍模.一種基于移動代理的入侵檢測系統框架[J].電子科技 大學學報.2003，（6）.

[3] 劉洪斐，王灝，王換招.一個分布式入侵檢測系統模型的設計[J].微機發 展，2003，（1）.

[4] 呂志軍，黃皓.高速網絡下的分布式實時入侵檢測系統[J].計算機研究 與發展，2004，（41）.