企業網絡規劃及安全管理研究

（中國石油吐哈油田分公司信息技術公司，新疆 哈密 839009）

0 引言

信息時代背景下，不少企業都有專屬的服務器、門戶網站以及各類服務系統。企業辦公已逐漸脫離紙質文檔，不少報表、檔案都以數據形式留存于企業服務器。企業網絡建設已經與企業的發展息息相關。但是，隨著企業的壯大、企業網絡使用者的增多，網絡系統的負荷隨之加重，不少網絡問題也隨之產生，其中網絡安全問題尤其嚴重。由此可見，為促進企業的健康發展，在進行信息化建設時，企業應該針對自身需求合理地進行網絡規劃與網絡安全管理。本文將對如何規劃企業網絡、增強企業網絡安全防護進行深入分析。

1 企業網絡規劃及安全管理現狀

目前，許多企業的網絡建設并不到位，公司的網絡平臺十分落后。很多企業內部并沒有對自己的主干網絡進行虛擬局域網（Virtual Local Area Network）劃分，企業個人計算機（Personal Computer，PC）可以隨意訪問服務器，使得網絡系統負荷過重，數據傳輸速度過慢。一旦出現網絡問題，網絡管理人員很難進行定位排查，難以把控網絡風險。除此之外，多數企業并沒有采取相應的網絡安全防護手段，沒有配備統一的防毒軟件，也沒有設置防火墻、虛擬專用網絡（Virtual Private Network，VPN），很容易遭受病毒、黑客攻擊。多數企業的網絡規劃狀況與網絡安全狀況堪憂。

2 企業網絡構建需求

基于企業的構成情況，一般來說，企業網絡的構建需要滿足以下幾個需求。首先，企業內部要能夠訪問互聯網；其次，各個部門需要有專屬于自己部門的局域網，實現部門內部數據共享，限制其他部門訪問；再次，還需要注意網絡帶寬的使用率，保證數據傳輸速度；最后，需要確保網絡環境穩定、安全，以攔截計算機病毒，阻截黑客攻擊，以此來減少企業經濟損失。

3 企業網絡安全規劃實施

3.1 企業網絡規劃部署

3.1.1 選擇組網模式

對于中型企業和大型企業而言，人數較多，組織結構復雜，需要傳輸的數據也更多。若所有用戶都處在同一個廣域網下，網絡性能將會降低。所以，為提高數據的傳輸效率，大中型企業通常采用的是路由器與交換機組合的網絡模式。路由器是一種網關設備，工作于開放式系統互聯通信參考模型（Open System Interconnection，OSI）的第三層，可以連接任意兩種不同網絡，還能通過不同的網際互連協議（Internet Protocol，IP）地址來轉發數據。交換機是一種信號轉發設備，工作于OSI 網絡模型的第二層，可以為連接該交換機的兩個節點構建專屬的信號通道。簡言之，路由器能決定數據的最終去向，交換機則能決定接入網絡的終端數量。路由器與交換機結合使用，即利用路由器連接內外網、劃分子網，再用交換機來連接不同的終端PC。

3.1.2 VLAN 規劃與子網劃分

Internet組織機構定義了五種IP地址，用于主機的有A、B、C三類地址［1］。其中每一類網絡都可能擁有上千萬臺主機，若是讓數千萬臺主機處于同一廣播域，將會引起廣播風暴，造成網絡故障與IP 地址的資源浪費。所以，為了提高企業主機地址的利用率，在進行網絡規劃時需要注意VLAN 的規劃與子網的劃分。VLAN 作用于OSI 結構的第二層數據鏈路層，可不受用戶物理位置的影響而對用戶進行網絡分段，讓不同物理位置的用戶也能在邏輯上處于同一個網段。除此之外，VLAN 可以通過減小廣播域范圍，提高帶寬利用率。將多臺設備劃分在同一個VLAN，能將廣播信息的傳播限制在VLAN 內，縮減廣播域范圍，減少無意義的廣播流量，解決廣播流量大的問題。IP 子網劃分作用于OSI 結構的第三層網絡層，能對網絡進行隔離，通過子網劃分可以使不同網段的設備無法直接通信。在進行網絡規劃時，合理地規劃VLAN、劃分子網，能實現各部門間的網絡隔離,在保證共有資源共享的同時，提升各部門私有數據的保密性。

3.1.3 規劃IP 地址

IP 是電腦互通的基礎，合理地分配IP 能提高員工的工作效率，也能增強企業的信息化管理。IP 地址的分配主要分為靜態分配和動態分配兩種，選擇哪一種分配方式取決于企業的規模大小。對于網絡結構簡單、PC 數量少的企業可以采用靜態地址分配，采用靜態分配可以固定IP，將IP 與MAC 地址綁定能快速定位出錯的電腦，減少后期維護的工作量。但對于網絡結構復雜，PC 數量較多的企業，采用靜態分配方式則是十分不明智的。因為，對大型企業而言，手動鍵入IP 地址的工作量將會十分大。此外，如果將每一臺PC 的物理地址都綁定到交換機的端口上，公共辦公區的網口的管理任務將變得十分艱巨。因此，中型、大型企業更適合采用DHCP，動態分配IP。相對于靜態分配地址而言，動態分配能提高IP 資源利用率，當一臺主機不再使用這個IP 后，便可釋放這個地址，讓其他主機進行使用，有效地節約有限的IP 地址資源。值得一提的是，無論采用何種方式進行IP 地址的分配，都應遵循以下4 個原則。①唯一性：同一網絡中一個IP 地址只能對應一臺主機。②可擴展性：在進行地址分配時需留出多余的位置，以方便后期擴展。③連續性：分配的地址應保持連續性。④實意性：即能讓人一眼看出該地址的使用部門。

3.2 網絡安全保護措施

3.2.1 加強病毒防范

企業網絡的頭號敵人便是計算機病毒。當前，各類計算機病毒層出不窮，不少企業都因計算機病毒的損害而遭受了巨大的經濟損失。根據病毒依附的媒體類型的不同，可將計算機病毒大致分為網絡病毒、文件型病毒以及引導型病毒3 類。顧名思義，網絡病毒即通過計算機網絡來感染計算機文件的病毒，常見的網絡病毒通常是通過未知安全性的網絡鏈接來對訪問者電腦進行感染。對待這類病毒，可以采用病毒防治技術，不瀏覽未知的網站、不閱讀不安全的郵件。文件型病毒，會先感染.EXE文件和.com 文件，一旦用戶運行了被感染的文件，計算機便會中毒。所以，針對文件型病毒需要對未知應用做到“先查殺、再運行”。引導型病毒，寄生于磁盤引導區或主引導區，可以在引導系統的過程中入侵系統。對待這類病毒可以給企業所有計算機統一安裝殺毒軟件，如360 安全殺毒、金山毒霸、火絨安全軟件等。除對病毒進行查殺外，企業還應該建立統一分級管理病毒的管理體系，用來存儲網絡病毒事件［2］。

3.2.2 合理利用VPN 技術

VPN 指將分布在不同物理區域上的網絡通過公用骨干網連接起來而形成的邏輯上的虛擬專用網［3］。目前，VPN 主要采用4 項技術來保證安全，這4 項技術分別是隧道技術、加/解密技術、密鑰管理技術、使用者與設備身份認證技術。其中，隧道技術能夠將來源地址不同的數據重新組裝后從同一個設備的不同隧道傳輸出去；加/解密技術能夠讓用戶直接對加密文件進行操作；密鑰管理技術則用于解決密鑰從產生到消失這一過程中的相關問題，比如，系統的初始化，密鑰的生成、保存、分配以及后續對密鑰的管理與備份；使用者與設備身份認證技術則是通過用戶在計算機中建立的用戶信息來識別用戶身份的一種手段。VPN 能夠使用外網訪問內部服務器，所以使用VPN 能夠在異地訪問公司服務器，方便員工異地辦公。除此之外，基于VPN 的安全技術防護，使用VPN 能夠保障數據傳輸的安全，提高服務質量。

3.2.3 使用防火墻技術

顧名思義，防火墻就是防止外來者非法訪問的一堵“墻”，其處于內部網絡和外部網絡之間，可將內部私有網絡和外部公眾訪問網絡分隔開，是一種用于控制兩個網絡間通信的技術手段。防火墻可以根據運作環境的不同分為網絡層防火墻和應用層防火墻兩類。其中，網絡層防火墻是典型的包過濾防火墻，能對各類IP、網段、目標端口、網絡協議進行過濾，從而對進入網絡的數據進行篩選。應用層防火墻則能夠檢測應用程序的信息流，通過對進出某個應用程序的所有封包進行監測，來阻止信息流中的惡意軟件、間諜軟件所攜帶的惡意代碼。

3.2.4 增強入侵檢測

與防火墻技術的被動防守不同，入侵檢測技術能夠通過對網絡中的特殊節點信息的收集、分析和處理，判斷出網絡是否被攻擊，還能通過對系統的各個數據指標進行監控來預測各種攻擊可能帶來的結果，從而主動進行防護。根據檢測對象的不同，入侵檢測可以分為基于主機的入侵檢測、基于網絡的入侵檢測以及混合型入侵檢測3 類。其中，基于主機的入侵檢測，能通過對計算機操作系統的事務日志、系統調用等進行監管、分析，來判斷系統是否遭遇攻擊，以此來決定是否進行自我防御，主要防護的是計算機主機。基于網絡的入侵檢測，能根據對網絡上的數據包的分析處理結果，來決定是否開啟防御機制，主要保護的是整個網段。前面兩種入侵檢測皆不夠全面，各有欠缺，于是混合型入侵檢測應運而生。混合型入侵檢測既能發現來自網絡中的攻擊，又能通過分析系統日志發現異常情況。

3.2.5 加強網絡安全管理

“七分靠管理，三分靠技術”，要保證網絡的安全，并不能只依靠技術，管理也非常重要［4］，所以除使用安全技術外，還需要對員工的網絡使用情況進行規范管理。建立完善的安全管理制度能夠有效地對員工行為進行約束，比如，要求員工合理使用企業計算機、不讓非企業人員進入機房等。加強對網絡安全的管理能減少計算機中毒概率，降低企業關鍵信息泄露的可能性，以此有效保證企業網絡的安全性［5］。

4 結語

做好企業網絡規劃、增強企業網絡安全管理是促進企業信息化的關鍵。合理地做好網絡規劃，能有效地對整個企業的所有電腦進行管理，提高數據傳輸速度，從而提高員工工作效率。增強企業網絡安全管理，能盡可能避免企業內部信息泄露，使企業安全、健康發展。