淺析企業(yè)如何提升計算機網絡安全

付洪廣

【摘要】隨著電子科學技術的飛快發(fā)展，計算機領域早已融入社會發(fā)展的各個領域與層面，為各領域的發(fā)展提供了從數據到運行等多方面的支持，極大的提升了人們的工作效率。然而，也正因為這樣的計算機網絡技術的發(fā)展和企業(yè)網絡安全水平的不匹配，導致許多企業(yè)的網絡安全存在極大的漏洞和隱患。筆者將于本文從企業(yè)存在的網絡安全風險著手開始分析，進一步討論解決方案，希望給相關的工作和研究提供更多的借鑒和啟發(fā)。

【關鍵詞】計算機網絡 安全性分析? 策略

一、企業(yè)計算機網絡安全風險綜合分析

我國大多數企業(yè)，尤其是大型企業(yè)，計算機網絡技術對于企業(yè)各方面的運轉起到了巨大作用，尤其是信息的獲取，處理，傳遞與利用變得十分的高效和準確。然而，互聯網是一個全面開放的系統，從網絡結構到操作系統，再到應用安全甚至到管理的方向都存在或多或少的風險。

（一）企業(yè)網絡安全結構堪憂

許多的企業(yè)網絡與外網相連，導致企業(yè)網絡面對著更多的挑戰(zhàn)。除了面對外來入侵者的對于網絡節(jié)點的沖擊，還需要面對如果一臺電腦出現情況，其他在相同網絡上的系統安全直接將處于高風險狀態(tài)的情況。而就大多數企業(yè)目前對于防火墻的搭建和網絡訪問控制的重視程度都還不足。

（二）企業(yè)網絡操作系統臃腫薄弱

由于許多企業(yè)的對于安全系統的安裝目標都是只要工作正常且高效，對于操作系統的安全性考慮更少，許多的對于操作系統的安裝是以缺省選項進行設置。開發(fā)過多不必要的端口及安裝了許多用不著的模塊，使得操作系統臃腫而風險系數顯著提升。

（三）企業(yè)網絡應用系統不靈活

企業(yè)的應用系統由于應用系統的動態(tài)性與變化性，導致對于應用系統的靈活性有著直接要求，不僅需要對于文件服務器、數據庫防護、還需要在病毒防控、數據保護等方面下功夫。而就目前的企業(yè)應用系統而言，其以上述為基礎的各方面的靈活性明顯欠缺。

（四）企業(yè)網絡管理松散

企業(yè)所有的工作，各個環(huán)節(jié)的把控最終還是要落到人的基礎上，所以精準高效的網絡管理顯得十分重要。比如，內部管理人員對于用戶口令的設置沒有任何防范意識，易于被破解。再比如，在公司內部登陸的權限和責任劃分不清，導致管理難度增大;又比如，由于公司關于公司信息保密的相關規(guī)定的懲罰機制存在問題，導致公司信息無意甚至惡意的外泄，使公司處于高風險中。

二、關于企業(yè)計算機網絡多維提升的幾點建議

（一）企業(yè)安全結構布局再調整

網絡結構的布局應該從兩方面、多角度入手：

一方面，是加強對于訪問的控制，首先，是對網絡入侵者對第一目標—路由器進行調整，安裝過濾規(guī)則，過濾掉被屏蔽的IP地址和服務。其次，是對于防火墻的搭建。防火墻對于防止外部攻擊直觸內部體系，起到很好的限制隔離作用，更可以通過其安全機制建立VPN，使得安全級別再上一個臺階。再次，是以交換機為核心的控制，利用交換機通過列表ACL來實現用戶對數據包對源和目的協議、地址、端口等多種差異性需求進行篩選和過濾，除此之外，對于劃分VLAN也是起到重要作用。再次，對于物理隔離與信息交換系統的重視。對于某些特殊企業(yè)，對于內網的穩(wěn)定和運行流暢有著極高要求，所以需要運用物理隔離對于內部網絡與不可信網絡進行人為分割，如此可以阻止各種網絡層面的攻擊。最后是對于病毒網關的搭建。使用網絡病毒網關與查殺軟件（McAfee EPO + Clients）相結合，搭建病毒防護體系，抑制與控制病毒的入侵，從而保證網絡的安全。

另一方面，需要做好檢測工作，在局域網絡的共享網絡設備上配備入侵檢測系統IDS，實時分析進出網絡數據流，對網絡違規(guī)事件跟蹤，實時報警，阻斷連接并做日志。IDS的檢測時被動的監(jiān)測網絡上所有的信息，尋找惡意信息和行為，同時發(fā)出警報。這與前文提到的防火墻的防護功能有著本質區(qū)別，其通過端口進行防護和檢測，故而能夠識別和控制防火墻不能識別的攻擊，并且在發(fā)現入侵企圖后輔助系統進行移植。

（二）企業(yè)網絡操作系統瘦身

操作系統是我們必須要重視的環(huán)節(jié)，總體來說，我們需要對其進行合理的安全配置，及時更新補丁，檢測并且修補漏洞，分析系統安全性，提出補救措施。對于管理人員進行操作的時候需要采用安全級別較高的操作系統進行合理的安全配置，關閉一些不安全應用，對于企業(yè)的重要文件的使用權限進行最嚴格的限制，加強口令的使用等多角度進行完善。具體而言，我們需要進行以下操作，首先，對操作系統進行精減。刪除或者選擇性不安裝沒有必要的系統組件，一改操作系統臃腫的局面。其次，對于操作系統服務進行精減。消除實際沒有使用的端口或者服務甚至磁盤文件。最后，對于操作系統漏洞的控制，在內網中建立漏洞管理服務器。可以考慮微軟WSUS Server及第三方安全管理軟件（BES），用以對網絡內主句進行監(jiān)控，從而實現實時監(jiān)控和及時安裝補丁修復漏洞。

（三）企業(yè)網絡應用搭建

首先，需要配置好病毒防護系統，從而組織病毒的攻擊和散播。其次需要做好數據的備份，從而在意外情況發(fā)生的時候能有條不紊的進行系統恢復。在此是對于數據進行加密，多層保護數據。最后是對于信息進行檢測和鑒別。具體而言，實現應用系統保護的功能包括以下幾個方面：？首先，應用系統網絡訪問漏洞控制。應用系統軟件要求按安全軟件標準開發(fā)，在輸入級、對話路徑級和事務處理三級做到無漏洞;集成的系統要具有良好的恢復能力，這樣才能保證內部生產網中的系統避免因受攻擊而導致的癱瘓、數據破壞或丟失。其次，數字簽名與認證。應用系統須利用CA提供的數字證書進行應用級的身份認證，對文件和數據進行數字簽名和認證，保證文件和數據的完整性以及防止源發(fā)送者抵賴。？在此，數據加密。對重要的數據進行加密存儲。

（四）企業(yè)網絡管理安全的維護

我們都知道，所有的管理都最終落到人的身上，以人為本的去構建合理的企業(yè)網絡管理流程是最好的方法。除了需要提高安全意識意外，還需要有健全的管理制度。內外同時進行提升。具體而言，我們一方面需要通過安全意識培訓，提高管理者的業(yè)務素質和工作素養(yǎng)以外，職業(yè)道德等多方面都需要齊頭并進。另一方面，對于管理制度必須利用法律等手段，在電信部門系統內根據自身的應用與安全需求，制定安全管理制度并嚴格按執(zhí)行，并通過安全知識及法律常識的培訓，加強整體員工的自身安全意識及防范外部入侵的安全技術。

參考文獻：

[1]彭龍.企業(yè)計算機網絡信息安全體系的構建研究[J].科技廣場，2016.