网络安全系统

一、企业网络威胁分析

许多企业计算机网络当前所面临的威胁大体可分为两种：一是对网络中资源的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的;可能是人为的，也可能是非人为的;可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有以下几点：

1、人为的无意失误，如用户对计算机安全配置不当造成的安全漏洞，用户安全意识不强，密码口令设置较弱，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

2、人为的恶意攻击，这是计算机网络所面临的最大威胁。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

3、网络软件的漏洞和系统后门，网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，系统后门都是软件公司的设计编程人员为了自己方便而设置的，一般不为外人所知，但一旦后门洞开，其造成的后果将不堪设想。

4、病毒是网络安全的一大隐患，目前全球已发现四万余种病毒，并且以每月新增300多种的速度继续破坏着网络上宝贵的信息资源。计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。

二、企业网络脆弱性分析

1、难以抵制针对系统自身缺陷的攻击，此类攻击手段包括特洛伊木马、口令猜测、缓冲区溢出等。利用系统固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其它系统。

2、安全监控手段不多，许多企业没有部署有效的流量管理措施，不能对企业网络中的流量进行监控。当网络中垃圾数据包大量产生，P2P、BT下载猖獗，会严重阻塞网络，拖慢网络中重要业务应用，并最终导致系统瘫痪。

3、防病毒系统难以应对复杂多变的病毒环境，现在很多病毒为利用操作系统漏洞进行传播的蠕虫病毒，这种类型的病毒整合了传统病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。它不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击，其传播和感染速度极快，破坏性也更强，受感染的系统通常伴随着木马程序种植。这种类型的病毒除了破坏被感染的机器，在传播过程中也会形成DOS攻击，阻塞网络。

4、网络设计不合理，网络设计是指拓扑结构的设计和各种网络设备的选择、配置等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。企业的网络架构简单，交换机配置不合理，都会对网络造成威胁。

5、缺少严格合理的安全管理制度 政策的不完善、落实不彻底、安全管理制度的不健全、措施不得力和缺乏有效的动态管理网络系统安全策略的能力等都可能形成对系统安全的威胁。

三、防范措施

1、防火墙部署，防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问，以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层，可保护内部系统不被外部系统攻击。

通过配置安全访问控制策略，可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤，通过防火墙的设置，对内网、公网、DMZ区进行划分，并实施安全策略，防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能，对经常出差的领导、员工支持远程私有网络，用户通过公网可以象访问本地内部局域网一样任意进行访问。此外，防火墙还可以收集和记录关于系统和网络使用的多种信息，为流量监控和入侵检测提供可靠的数据支持。

2、防病毒系统，在网络环境下，计算机病毒有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。

通过部署防病毒系统，做到实现集中病毒管理，在中心控制台可监视所有部署防病毒客户端的计算机和服务器。并可据具体需要制定出相应的防范和救治措施，如删除，隔离，杀毒等;能够对进入系统的病毒做实时的响应。自动由中心控制台向其它计算机和服务器更新病毒库。可以预先设定对某些重要文件进行实时扫描监控。

3、流量监控系统，什么是流量监控?众所周知，网络通信是通过数据包来完成的，所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”，是借助发送与接收数据包来完成的。所谓流量监控，实际上就是针对这些网络通信数据包进行管理与控制，同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输，禁止或限制非法数据包传输，一保一限是流量监控的本质。在P2P技术广泛应用的今天，企业部署流量监控是非常有必要的。

4、合理的配置策略，通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全。

5、增加了网络连接的灵活性 借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

6、控制网络上的广播，VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

7、增加网络的安全性，因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

8、安全管理制度，面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，制订相应的管理制度或采用相应的规范。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可安装自动识别登记系统，采用指纹锁、身份卡等手段，对人员进行识别、登记管理。

四、结束语

总之，网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作，并且持续的时间将随着整个拓扑和应用的周期而扩展。网络管理人员必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，根据规定的安全策略制定出合理灵活的部署，这样才能真正做到整个网络的安全。