導語：淺談企業(yè)網(wǎng)絡安全系統(tǒng)的應用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

0引言

隨著企業(yè)網(wǎng)絡信息技術的快速發(fā)展和廣泛應用，社會信息化進程不斷加快，生產(chǎn)制造、物流網(wǎng)絡、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大，因此，保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要。如何保證企業(yè)網(wǎng)絡信息化安全、穩(wěn)定運行就需要網(wǎng)絡規(guī)劃設計師在設計初始周全的考慮到網(wǎng)絡安全所需達到的條件（包括硬件、OSI/RM各層、各種系統(tǒng)操作和應用）。

1網(wǎng)絡安全、信息安全標準

網(wǎng)絡安全性標準是指為了規(guī)范網(wǎng)絡行為，凈化網(wǎng)絡環(huán)境而制定的強制性或指導性的規(guī)定。目前，網(wǎng)絡安全標準主要有針對系統(tǒng)安全等級、系統(tǒng)安全等級評定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標準。世界各國紛紛頒布了計算機網(wǎng)絡的安全管理條例，我國也頒布了《計算機網(wǎng)絡國際互聯(lián)網(wǎng)安全管理方法》等多個國家標準，用來制止網(wǎng)絡污染，規(guī)范網(wǎng)絡行為，同時各種網(wǎng)絡技術在不斷的改進和完善。1999年9月13日，中國頒布了《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859：1999），定義了計算機信息系統(tǒng)安全保護能力的5個等級，分別如下：（1）第一級：用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。（2）第二級：系統(tǒng)審計保護級。除繼承前一個級別的安全功能外，還要求創(chuàng)建和維護訪問的審計蹤記錄，使所有的用戶對自己行為的合法性負責。（3）第三級：安全標記保護級。除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現(xiàn)對訪問對象的強制訪問。（4）第四級：結(jié)構化保護級。除繼承前一個級別的安全功能外，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力。（5）第五級：訪問驗證保護級。除繼承前一個級別的安全功能外，還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。

2企業(yè)網(wǎng)絡主要安全隱患

企業(yè)網(wǎng)絡主要分為內(nèi)網(wǎng)和外網(wǎng)，網(wǎng)絡安全體系防范的不僅是病毒感染，還有基于網(wǎng)絡的非法入侵、攻擊和訪問，但這些非法入侵、攻擊、訪問的途徑非常多，涉及到整個網(wǎng)絡通信過程的每個細節(jié)。從以往的網(wǎng)絡入侵、攻擊等可以總結(jié)出，內(nèi)部網(wǎng)絡的安全威脅要多于外部網(wǎng)絡，因為內(nèi)網(wǎng)受到的入侵和攻擊更加容易，所以做為網(wǎng)絡安全體系設計人員要全面地考慮，注重內(nèi)部網(wǎng)絡中存在的安全隱患。

3企業(yè)網(wǎng)絡安全防護策略

設計一個更加安全的網(wǎng)絡安全系統(tǒng)包括網(wǎng)絡通信過程中對OSI/RM的全部層次的安全保護和系統(tǒng)的安全保護。七層網(wǎng)絡各個層次的安全防護是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊，而非計算機通信過程中的安全保護是為了預防網(wǎng)絡的物理癱瘓和網(wǎng)絡數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護措施及系統(tǒng)層的安全防護如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線路的屏蔽主要體現(xiàn)在兩個方面：一方面是采用屏蔽性能好的傳輸介質(zhì)，另一方面是把傳輸介質(zhì)、網(wǎng)絡設備、機房等整個通信線路安裝在屏蔽的環(huán)境中。（1）屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條（4對）芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外，還有這些屏蔽層就是用來進行電磁屏蔽的，一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸，另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。（2）屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網(wǎng)或者金屬板材（主要是鋼板）包圍，其中包括六面板體和一面屏蔽門。根據(jù)機房屏蔽性能的不同，可以將屏蔽機房分為A、B、C三個級別，最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成，這些機柜的結(jié)構與普通的機柜是一樣的，都是標準尺寸的。（3）WLAN的物理層安全保護對于無線網(wǎng)絡，因為采用的傳輸介質(zhì)是大氣，大氣是非固定有形線路，安全風險比有線網(wǎng)絡更高，所以在無線網(wǎng)絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來，成本太高，現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動態(tài)密鑰、IEEE802.1X身份驗證等。現(xiàn)在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊，如網(wǎng)絡阻塞、干擾，顯得很脆弱，以后將提高發(fā)射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴頻技術。

4.2數(shù)據(jù)鏈路層安全

在數(shù)據(jù)鏈路層可以采用的安全保護方案主要包括：數(shù)據(jù)鏈路加密、MAC地址綁定（防止MAC地址欺騙）、VLAN網(wǎng)段劃分、網(wǎng)絡嗅探預防、交換機保護。VLAN隔離技術是現(xiàn)代企業(yè)網(wǎng)絡建設中用的最多的技術，該技術可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網(wǎng)絡層安全

在網(wǎng)絡層首先是身份的認證，最簡單的身份認證方式是密碼認證，它是基于windows服務器系統(tǒng)的身份認證可針對網(wǎng)絡資源的訪問啟用“單點登錄”，采用單點登錄后，用戶可以使用一個密碼或智能卡一次登錄到windows域，然后向域中的任何計算機驗證身份。網(wǎng)絡上各種服務器提供的認證服務，使得口令不再是以明文方式在網(wǎng)絡上傳輸，連接之間的通信是加密的。加密認證分為PKI公鑰機制（非對稱加密機制），Kerberos基于私鑰機制（對稱加密機制）。IPSec是針對IP網(wǎng)絡所提出的安全性協(xié)議，用途就是保護IP網(wǎng)絡通信安全。它支持網(wǎng)絡數(shù)據(jù)完整性檢查、數(shù)據(jù)機密保護、數(shù)據(jù)源身份認證和重發(fā)保護，可為絕大部分TCP/IP族協(xié)議提供安全服務。IPSec提供了兩種使用模式：傳輸模式（TransportMode）和隧道模式（TUNNELMode）。

4.4傳輸層安全

傳輸層的主要作用是保證數(shù)據(jù)安全、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議，它不僅可以為網(wǎng)絡通信中的數(shù)據(jù)提供強健的安全加密保護，還可以結(jié)合證書服務，提供強大的身份誰、數(shù)據(jù)簽名和隱私保護。TLS/SSL協(xié)議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。

4.5防火墻

因防火墻技術在OSI/RM各層均有體現(xiàn)，在這里簡單分析一下防火墻，防火墻分為網(wǎng)絡層防火墻和應用層防火墻，網(wǎng)絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。應用層防火墻是在TCP/IP堆棧的“應用層”上運作，應用層防火墻可以攔截進出某應用程序的所有封包。目前70%的攻擊是發(fā)生在應用層，而不是網(wǎng)絡層。對于這類攻擊，傳統(tǒng)網(wǎng)絡防火墻的防護效果，并不太理想。

5結(jié)語

以上對于實現(xiàn)企業(yè)網(wǎng)絡建設安全技術及信息安全的簡單論述，是基于網(wǎng)絡OSI/RM各層相應的安全防護分析，重點分析了物理層所必須做好的各項工作，其余各層簡單分析了應加強的主要技術。因網(wǎng)絡技術日新月益，很多新的網(wǎng)絡技術在本文中未有體現(xiàn)，實則由于本人時間、水平有限，請各位讀者給予見解。文章中部分內(nèi)容借簽于參考文獻,在此非常感謝各位作者的好書籍。

作者:單位:西山煤電（集團）有限公司物資供應分公司

引用：

[1]李磊.網(wǎng)絡工程師考試輔導.北京：清華大學出版社，2009．

[2]王達，闞京茂.網(wǎng)絡工程方案規(guī)劃與設計.北京：中國水利水電出版社，2010．

[3]黃傳河.網(wǎng)絡規(guī)劃設計師教程.北京：清華大學出版社，2009．

[4]林果園.操作系統(tǒng)安全.北京：北京郵電大學出版社，2010．