浅谈企业网的安全部署的论文.docVIP

　　浅谈企业网的安全部署的论文 摘要：网络的安全，是构建任何一个网络系统时，必须考虑的事情。在企业的内网中，涉及到企业的生产，经营，规划等相对机密重要的数据较多，在办公对网络的依赖越来越高、来自于网络的威胁越来越多的今天，如何行之有效的保证企业网络的安全，是每一个网络管理人员都要面对且正在面对的问题，建立一套行之有效的企业网络安全解决方案十分重要。 　　关键词：机密　数据　威胁　网络安全　网络管理 　　 　　一、概述 　　 　　随着网络在企业生产经营中应用越来越广、越来越深，企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全，也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案，减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失，本文将进行一个浅显的探讨。 　　 　　二、网络安全的基础——网络设计 　　 　　网络的设计与建设，是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销，这些开销包括了设计、成本和系统的效率等。因此，在构建一个网络的初期，就必须将网络系统的安全作为设计的基本要素，考虑到整个系统中。一个大型的企业，如在地域上分部较为集中，其内网为了增大运行保险系数，一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上，当然，根据具体的系统配置的不同，双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型，在这里就不详细介绍了。.一个企业如在地域上较为分散，下属有多家子公司且这些子公司又拥有自己的网络的情况下，最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然，便于内部网络的控制。 　　一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区，财务销售的核心业务区，应用服务器工作区，网络管理维护区，多方网络互联区域，vpn连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的，但是，如果公司还涉及特殊业务的时候应当将这两个区域分开，甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务，因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁，以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙，使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离，以完全绝断不同网络之间的互访。在网络中中有许多服务器，比如病毒服务器、邮件服务器等，有同时被内网及外网访问的需求，应当为这些有外网需求的服务器考虑设置dmz区域。dmz区域的安全级别较普通用户区高，即便得到访问授权的用户，其对dmz区域的访问也是有限制的，只有管理人员才可以对这一区域的服务器进行完全的访问与控制。 　　三、终端的安全防护 　　 　　病毒、木马无论通过何种途径传播，其最终都是感染终端为目的的，无论这个终端是指的服务器还是普通用户的终端，因此，对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统；一种为硬件的防火墙类，一般由管理人员进行专业操作处理的防护系统，包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统；另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力，总之，这种方式是比较偏重于“被动防守”的一种防护措施。 　　现在有厂商提供了一种协调系统，使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端，开机时，客户端自动判定本终端的安全状态并与安全服务器取得联系，当终端被判定正常时，终端可进行正常权限的网络访问；当终端被判定为非正常(威胁)时，此终端可根据预先堤定的安全策略，断绝与普通局域网的连接，只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态，并通过管理终端对客户端进行控制，以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下，以系统管理员专业化的技术知识实现对整个系统的监管与维护，能够在很大程度上减少威胁并提高系统的安全性和网络效率。 　　 　　四、终端用户的规范 　　 　　网络的安全除了在设计、硬件、技术管理上提高水平外，对网络用