企业网络规划及安全管理研究

（中国石油吐哈油田分公司信息技术公司，新疆 哈密 839009）

0 引言

信息时代背景下，不少企业都有专属的服务器、门户网站以及各类服务系统。企业办公已逐渐脱离纸质文档，不少报表、档案都以数据形式留存于企业服务器。企业网络建设已经与企业的发展息息相关。但是，随着企业的壮大、企业网络使用者的增多，网络系统的负荷随之加重，不少网络问题也随之产生，其中网络安全问题尤其严重。由此可见，为促进企业的健康发展，在进行信息化建设时，企业应该针对自身需求合理地进行网络规划与网络安全管理。本文将对如何规划企业网络、增强企业网络安全防护进行深入分析。

1 企业网络规划及安全管理现状

目前，许多企业的网络建设并不到位，公司的网络平台十分落后。很多企业内部并没有对自己的主干网络进行虚拟局域网（Virtual Local Area Network）划分，企业个人计算机（Personal Computer，PC）可以随意访问服务器，使得网络系统负荷过重，数据传输速度过慢。一旦出现网络问题，网络管理人员很难进行定位排查，难以把控网络风险。除此之外，多数企业并没有采取相应的网络安全防护手段，没有配备统一的防毒软件，也没有设置防火墙、虚拟专用网络（Virtual Private Network，VPN），很容易遭受病毒、黑客攻击。多数企业的网络规划状况与网络安全状况堪忧。

2 企业网络构建需求

基于企业的构成情况，一般来说，企业网络的构建需要满足以下几个需求。首先，企业内部要能够访问互联网；其次，各个部门需要有专属于自己部门的局域网，实现部门内部数据共享，限制其他部门访问；再次，还需要注意网络带宽的使用率，保证数据传输速度；最后，需要确保网络环境稳定、安全，以拦截计算机病毒，阻截黑客攻击，以此来减少企业经济损失。

3 企业网络安全规划实施

3.1 企业网络规划部署

3.1.1 选择组网模式

对于中型企业和大型企业而言，人数较多，组织结构复杂，需要传输的数据也更多。若所有用户都处在同一个广域网下，网络性能将会降低。所以，为提高数据的传输效率，大中型企业通常采用的是路由器与交换机组合的网络模式。路由器是一种网关设备，工作于开放式系统互联通信参考模型（Open System Interconnection，OSI）的第三层，可以连接任意两种不同网络，还能通过不同的网际互连协议（Internet Protocol，IP）地址来转发数据。交换机是一种信号转发设备，工作于OSI 网络模型的第二层，可以为连接该交换机的两个节点构建专属的信号通道。简言之，路由器能决定数据的最终去向，交换机则能决定接入网络的终端数量。路由器与交换机结合使用，即利用路由器连接内外网、划分子网，再用交换机来连接不同的终端PC。

3.1.2 VLAN 规划与子网划分

Internet组织机构定义了五种IP地址，用于主机的有A、B、C三类地址［1］。其中每一类网络都可能拥有上千万台主机，若是让数千万台主机处于同一广播域，将会引起广播风暴，造成网络故障与IP 地址的资源浪费。所以，为了提高企业主机地址的利用率，在进行网络规划时需要注意VLAN 的规划与子网的划分。VLAN 作用于OSI 结构的第二层数据链路层，可不受用户物理位置的影响而对用户进行网络分段，让不同物理位置的用户也能在逻辑上处于同一个网段。除此之外，VLAN 可以通过减小广播域范围，提高带宽利用率。将多台设备划分在同一个VLAN，能将广播信息的传播限制在VLAN 内，缩减广播域范围，减少无意义的广播流量，解决广播流量大的问题。IP 子网划分作用于OSI 结构的第三层网络层，能对网络进行隔离，通过子网划分可以使不同网段的设备无法直接通信。在进行网络规划时，合理地规划VLAN、划分子网，能实现各部门间的网络隔离,在保证共有资源共享的同时，提升各部门私有数据的保密性。

3.1.3 规划IP 地址

IP 是电脑互通的基础，合理地分配IP 能提高员工的工作效率，也能增强企业的信息化管理。IP 地址的分配主要分为静态分配和动态分配两种，选择哪一种分配方式取决于企业的规模大小。对于网络结构简单、PC 数量少的企业可以采用静态地址分配，采用静态分配可以固定IP，将IP 与MAC 地址绑定能快速定位出错的电脑，减少后期维护的工作量。但对于网络结构复杂，PC 数量较多的企业，采用静态分配方式则是十分不明智的。因为，对大型企业而言，手动键入IP 地址的工作量将会十分大。此外，如果将每一台PC 的物理地址都绑定到交换机的端口上，公共办公区的网口的管理任务将变得十分艰巨。因此，中型、大型企业更适合采用DHCP，动态分配IP。相对于静态分配地址而言，动态分配能提高IP 资源利用率，当一台主机不再使用这个IP 后，便可释放这个地址，让其他主机进行使用，有效地节约有限的IP 地址资源。值得一提的是，无论采用何种方式进行IP 地址的分配，都应遵循以下4 个原则。①唯一性：同一网络中一个IP 地址只能对应一台主机。②可扩展性：在进行地址分配时需留出多余的位置，以方便后期扩展。③连续性：分配的地址应保持连续性。④实意性：即能让人一眼看出该地址的使用部门。

3.2 网络安全保护措施

3.2.1 加强病毒防范

企业网络的头号敌人便是计算机病毒。当前，各类计算机病毒层出不穷，不少企业都因计算机病毒的损害而遭受了巨大的经济损失。根据病毒依附的媒体类型的不同，可将计算机病毒大致分为网络病毒、文件型病毒以及引导型病毒3 类。顾名思义，网络病毒即通过计算机网络来感染计算机文件的病毒，常见的网络病毒通常是通过未知安全性的网络链接来对访问者电脑进行感染。对待这类病毒，可以采用病毒防治技术，不浏览未知的网站、不阅读不安全的邮件。文件型病毒，会先感染.EXE文件和.com 文件，一旦用户运行了被感染的文件，计算机便会中毒。所以，针对文件型病毒需要对未知应用做到“先查杀、再运行”。引导型病毒，寄生于磁盘引导区或主引导区，可以在引导系统的过程中入侵系统。对待这类病毒可以给企业所有计算机统一安装杀毒软件，如360 安全杀毒、金山毒霸、火绒安全软件等。除对病毒进行查杀外，企业还应该建立统一分级管理病毒的管理体系，用来存储网络病毒事件［2］。

3.2.2 合理利用VPN 技术

VPN 指将分布在不同物理区域上的网络通过公用骨干网连接起来而形成的逻辑上的虚拟专用网［3］。目前，VPN 主要采用4 项技术来保证安全，这4 项技术分别是隧道技术、加/解密技术、密钥管理技术、使用者与设备身份认证技术。其中，隧道技术能够将来源地址不同的数据重新组装后从同一个设备的不同隧道传输出去；加/解密技术能够让用户直接对加密文件进行操作；密钥管理技术则用于解决密钥从产生到消失这一过程中的相关问题，比如，系统的初始化，密钥的生成、保存、分配以及后续对密钥的管理与备份；使用者与设备身份认证技术则是通过用户在计算机中建立的用户信息来识别用户身份的一种手段。VPN 能够使用外网访问内部服务器，所以使用VPN 能够在异地访问公司服务器，方便员工异地办公。除此之外，基于VPN 的安全技术防护，使用VPN 能够保障数据传输的安全，提高服务质量。

3.2.3 使用防火墙技术

顾名思义，防火墙就是防止外来者非法访问的一堵“墙”，其处于内部网络和外部网络之间，可将内部私有网络和外部公众访问网络分隔开，是一种用于控制两个网络间通信的技术手段。防火墙可以根据运作环境的不同分为网络层防火墙和应用层防火墙两类。其中，网络层防火墙是典型的包过滤防火墙，能对各类IP、网段、目标端口、网络协议进行过滤，从而对进入网络的数据进行筛选。应用层防火墙则能够检测应用程序的信息流，通过对进出某个应用程序的所有封包进行监测，来阻止信息流中的恶意软件、间谍软件所携带的恶意代码。

3.2.4 增强入侵检测

与防火墙技术的被动防守不同，入侵检测技术能够通过对网络中的特殊节点信息的收集、分析和处理，判断出网络是否被攻击，还能通过对系统的各个数据指标进行监控来预测各种攻击可能带来的结果，从而主动进行防护。根据检测对象的不同，入侵检测可以分为基于主机的入侵检测、基于网络的入侵检测以及混合型入侵检测3 类。其中，基于主机的入侵检测，能通过对计算机操作系统的事务日志、系统调用等进行监管、分析，来判断系统是否遭遇攻击，以此来决定是否进行自我防御，主要防护的是计算机主机。基于网络的入侵检测，能根据对网络上的数据包的分析处理结果，来决定是否开启防御机制，主要保护的是整个网段。前面两种入侵检测皆不够全面，各有欠缺，于是混合型入侵检测应运而生。混合型入侵检测既能发现来自网络中的攻击，又能通过分析系统日志发现异常情况。

3.2.5 加强网络安全管理

“七分靠管理，三分靠技术”，要保证网络的安全，并不能只依靠技术，管理也非常重要［4］，所以除使用安全技术外，还需要对员工的网络使用情况进行规范管理。建立完善的安全管理制度能够有效地对员工行为进行约束，比如，要求员工合理使用企业计算机、不让非企业人员进入机房等。加强对网络安全的管理能减少计算机中毒概率，降低企业关键信息泄露的可能性，以此有效保证企业网络的安全性［5］。

4 结语

做好企业网络规划、增强企业网络安全管理是促进企业信息化的关键。合理地做好网络规划，能有效地对整个企业的所有电脑进行管理，提高数据传输速度，从而提高员工工作效率。增强企业网络安全管理，能尽可能避免企业内部信息泄露，使企业安全、健康发展。