网络安全问题探讨

马洁　梁楷

摘 要：随着我厂信息化建设的不断深入，信息网络安全已成为信息化高效建设的重要因素。文章针对我厂目前网络信息架构的特点，系统地分析了网络安全存在的问题，结合当前国际网络信息的前沿技术，提出我厂今后信息网络安全的对策。

关键词：网络安全；技术措施；安全风险；安全防范

中图分类号：TP398.1 文献标识码：A 文章编号：1006-8937（2015）30-0069-02

1 网络安全的重要性

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具体而言，网络安全就是保护个人隐私，控制对网络资源的访问，保证商业秘密在网络上传输的保密性、完整性及真实性，控制不健康的内容或危害社会稳定的言论，避免机密泄漏等。

2 我厂网络安全措施

2.1 统一出口，便于管理

将三地的网络进行了配置更改，两地间增加了高性能的路由器，建成了企业内部局域网络。此局域网的建成就像给企业网络系统安装了一个“保护壳”，使企业内部网络的使用更加方便、快捷的同时保证了数据采集、传输的安全性，加强了计算机信息和网络的保密性。

2.2 企业防火墙，外围墙

在企业局域网的统一出口安装了Internet防火墙，负责管理Internet和企业内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

2.3 生产和办公物理和虚拟相结合隔离

为了保证生产网的安全稳定运行，采取了生产网和办公网逻辑隔离，两网通过防火墙相连，高度融合，进一步强化了生产网的安全性。

2.4 病毒扫描评估

通过专业软件扫描分析全厂的网络系统，检查网络系统中存在的弱点和漏洞并生成相應的报告，提出修补方法和应实施的安全策略，增强了网络安全性。

2.5 行为管理

引进了国内先进的“网康”网络接入管理设备，对企业网络进行优化管理，实现了对网络的整体流量分配与控制，加强了网络数据流量分析，优化了网络流量调整工作。

2.6 区域WLAN的划分

将企业办公、生产区域网络用户按照单位、区域和楼层等细化管理，通过划分不同的WLAN，从逻辑上阻隔网段，彻底阻隔广播域，缩小区域，减小网络异常的影响范围。

3 目前存在的主要问题

3.1 认识上的误区

①安装最新的杀毒软件就不怕病毒了。安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

②在每台计算机上安装单机版杀毒软件和网络版杀毒软 件等效。网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络而言，管理非常方便，对于单机版是不可能做到的。

③不上网就不会中毒。虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

④文件设置只读就可以避免感染病毒。设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

⑤网络安全主要来自外部。基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要。

3.2. 技术上的差距

①操作系统使用盗版。由于习惯问题，部分软件不兼容原装系统和觉得正版与盗版都一样等的一些类似原因导致使用盗版系统占到我厂绝大数计算机，给全厂网络安全带来了严重隐患。

②生产电脑防火墙和杀毒软件无法自动升级。由于办公网和生产网隔离，生产电脑无法上网，无法自动升级防火墙和杀毒等软件，以至于在生产电脑上插拔外置移动设备和局域内传输文件带来的安全危险显得毫无抵抗之力。

③查找故障机困难。由于三地运行，地域广，人员多，加之入厂机子相关登记信息空白，给查找故障机带来更多困难，显得无从下手。

4 进一步的措施

4.1 环网建设

目前企业网络链路均为单链路。致使网络链路抗风险能力较差，链路中断后恢复时间较长。不能满足生产管理系统的稳定运行需求。为提高网络链路的抗风险能力，计划在充分利用已建光缆、杆路资源及网络设备的基础上，新增传输设备，将网络链路构成环网，当网络中断后自动切换至反向链路，实现网络“零中断”。

4.2 层级改造

我厂分场站网络节点，由于之前采用交换机级联的方式组网，受到光缆资源的限制，尚有部分网络级联层级达到三级或者更多，随着网络的不断扩展，层级数过多问题也日益凸显，现计划对此类场站进行层级改造。

4.3 基于DHCP和MAC地址动态绑定的用户自助接入系 统研究与应用

充分利用现有成熟的DHCP、VPMS和开源Liunx系统的相关技术，实现基于DHCP和MAC地址动态绑定的网络用户自助接入指定网络，无需安装客户端，从而简化日常IT管理人员负担和提高网络管理效率与信息安全水平，基于DHCP和MAC地址动态绑定的用户自助接入系统应用，如图1所示。

4.4 端口封装，细化管理

结合以上MAC地址绑定和VLAN划分，通过客户端连接交换机做端口分装策略，进一步固定IP地址，防止IP使用混乱，营造一个平稳畅通的网络环境。

5 结 语

上述论文主要从我厂当前实际的网络运行状况，分析了所存在的网络安全隐患，及采取的一些相应安全措施和下步主要安全工作的同时，也客观的提出了所面临的实际困难。最后希望通过本论文的深入研究分析我厂网络安全的现状，可以使大家有对网络安全的重要性有了进一步的了解。

参考文献：

[1] 董玉格.网络攻击与防护-网络安全与实用防护技术[M].北京：人民邮 电出版社，2002.

[2] 周海刚，肖军模.一种基于移动代理的入侵检测系统框架[J].电子科技 大学学报.2003，（6）.

[3] 刘洪斐，王灏，王换招.一个分布式入侵检测系统模型的设计[J].微机发 展，2003，（1）.

[4] 吕志军，黄皓.高速网络下的分布式实时入侵检测系统[J].计算机研究 与发展，2004，（41）.