构建安全、高效的热力企业计算机网络

李文颖

     摘要：随着网络技术和互联网（Internet）的高速发展，热力企业联入Internet网和构建企业内部局域网的要求越来越迫切。如何在企业内构建安全、可靠的内部网成了网络建设中普遍关心的问题。本文就影响Intranet安全的主要两种方式（非法侵入、网络病毒）的产生原因、主要对策和基于内部网损环后的防护措施及整个网络的安全策略进行了初步探讨，并提出一些实际的方案设计。

     关键词：安全 病毒 非法入侵 应用 策略 方案设计
      一、 前言 随着网络技术和互联网（Internet）的高速发展，开通INTERNET是当今企业发展的必然趋势，他给我们打开了一扇通往世界的窗，使我们可以查阅到丰富的信息，给我们的工作带来了很大的方便，INTERNET是提升管理水平，提高工作效率的有效途径。随着热力企业体制改革的深入和加强，企业信息化已成为发展的大趋势，供热、发电、财务、行政信息处理上广泛应用了计算机管理。

     但正由于计算机网络本身所具有的开放性、多样性等特征，使得计算机网络易受黑客、病毒等恶意软件和手段的攻击，因而在提高工作效率的同时也给热力企业的计算机网络管理带来一定的难度。所以对于热力计算机网络信息系统而言，网上信息的安全是一个至关重要的问题。因此，网络必须有足够强的安全措施，应能全方位地针对各种不同的威胁，这样才能确保网络信息的安全、完整和可用。

     二、产生热力企业计算机网络不安全的主要因素及危害
计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁，主要表现在以下几点：

     （一）人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，应用部门普遍存在重应用软件，轻网络安全的现象；用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等；

     （二）非法入侵或人为的恶意攻击：是指未经允许进入公共的计算机信息系统及他人计算机，破译计算机信息系统口令，突破安全防护措施，达到自己获取数据和非法操纵他人机器的目的。

     （三）计算机网络病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 病毒一旦被激活发作后，对操作系统和应用程序产生影响，轻者降低工作效率，占用CPU时间和内存开销，重则导致死机，删除文件破坏系统功能。

     网络病毒与网络应用普及程度密切相关，网络上的单机一旦染上病毒，会很快感染上网上的其它机器及服务器，而服务器感染上病毒会带来更严重后果，它解毒困难，不象单机可以直接删除带毒文件直至格式化硬盘，网络服务器解毒时间至少是单机的几倍时间。由于Java和ActiveX在网页技术中广泛应用，在我们通过网络浏览各种网站过程中，很多利用它们特性写出的病毒网页，通过网络在浏览同时被悄悄下载到个人机器中，虽然他们不破坏硬盘资料，但在你开机时，可以强迫程序不断开启新视窗，直至耗尽系统宝贵资源为止。

     （四）网络软件的缺陷和漏洞造成不安全隐患 软件的缺陷和漏洞是客观存在的，并且这些漏洞和缺陷恰恰是各类攻击的首选目标。 企业计算机网络的规模愈来愈大，网络上运行着办公自动化系统、热网监测信息系统、WEB网站系统，财务系统、综合管理信息系统、收费系统等，网络上的应用已深入生产管理的各个方面，网络上软件可靠性、可变性、安全性都难以测定。由此可以看出绝对安全的计算机网络系统是不存在的，计算机网络上的安全漏洞实际上很难完全杜绝。 因此,要提高安全防范意识，加强安全防范措施是十分必要的。

     三、计算机网络管理系统应用现状
该热力企业几年前就已经实现了计算机内部联网，目前内部有多种业务服务器运行，现有服务器设备情况如下：综合管理信息系统、网站、OA系统、热网监测系统、文件服务器、主域服务器、安易财务系统、收费系统。

     四、构建安全、高效的计算机网络安全策略
针对以上威胁，根据热力企业计算机网络应用的实际情况，我想从物理性安全策略及软件安全策略的几个角度来进行简单阐述。

     （一）物理性的安全策略：
1.网络结构：采用符合国际通行的IEEE802.3标准的星型拓扑结构 以太网络结构。

2.设备选型：关键设备采用高端产品；为了节约成本，非关键设备采用价格相对较低的产品，性能价格比较高。

3.加装网络防火墙

防火墙就是一个或一组系统，用来在两个或多个网络间加强访问控制。它是一个网络与其它网络之间的可控网关，通常置于一个私有的、有确认的网络和公开的Internet之间。 。

     目前企业一般使用代理型防火墙。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。网络示意图如下：

     （二）软安全策略的简单阐述：
每一个网络应用服务都是由一个或多个程序构成，在讨论安全性问题时，不仅要考虑到服务端程序，也需要考虑客户端程序。服务端的安全问题主要表现在非法的远程访问，客户端的安全问题主要表现在本地越权使用客户程序。

1.入网访问控制

入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。当用户访问某些不健康和违法的网络时，网络应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

2.网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。

3.目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

4.网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

5.打好系统补丁

系统补丁往往要替换或修改某些系统文件，因此应该在所有应用程序安装完之后再进行，否则新安装的应用程序可能会又把动态链接库替换回老的版本，导致补丁起不到应有的效果。

6.做好升级、维护工作：

即便企业有了各种各样防火墙和杀毒软件的保护，企业系统管理员也不能够高枕无忧。要经常访问微软和一些安全站点，了解漏洞状况和病毒公告，下载并安装最新的service pack和系统补丁，也是保障服务器安全的必要条件之一。

五、企业计算机网络管理的系统备份、紧急恢复计划的安全性方案

（一）系统备份的方案设计

任何的安全措施都不能保证系统的万无一失，在事故发生时损失是难免的，但企业还是难以接受机密、敏感和重要数据丢失或受损产生的后果，所以我们要最好软硬件的备份。

1.软件备份的方案设计

在系统实现正常运转后，首先应该对注册表进行一次备份，因为很多 的问题都出在注册表被更改后，有时甚至会导致系统无法启动，如果能保留一个备份到时候恢复起来很快，也很方便。除此之外还应使用系统备份工具如Ghost把整个系统分区备份到另一个分区上，最好随后存放到另一台机器上或刻成光盘，以防止将来当系统被彻底破坏的时候，具备快速恢复手段。在此以后每次进行了较大的设置更改也应该尽可能进行重新备份。

2.硬件备份的方案设计

在今天的企业环境中，大多数应用服务器都是通过并行SCSI直接连 接到专用的磁带驱动器上。因为需要管理的磁带设备的数量与应用服务器的数量成正比，所以专用资源的部署和维护成本都很高。但是，直接连接的磁带驱动器可以保障性能，因为服务器是唯一使用驱动器的设备。成本因素促使企业转向网络备份模式，即磁带驱动器放置在一个LAN 上，供多个服务器共享。在一个典型的基于LAN的备份模式中，数据和备份流量都会通过相同的LAN传输。这种网络备份模式有助于提高磁带的利用率和可管理性，示意图如下：


     该备份方案的特点：最大限度节约成本，满足公司的备份需要，性价比很高；操作简单，界面友好；自动化操作，只在更换磁带时需人工干预。

（二）系统紧急恢复计划
安全性系统的一项重要元素就是紧急事故恢复计划，企业应拟好一份系统紧急恢复计划，以防在不安全事件发生时，按照计划以最短时间、最小的损失恢复整个网络系统。此外，应定期对系统做试验、检查，发现问题或网络环境有改变时，也应立即检查计划，决定是否需要修正，以保证其可靠性和可行性。

     六、总结
网络安全防范有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段也越来越多。企业网络安全防范技术是一个十分复杂的系统工程。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全防范技术产业将来也是一个随着新技术发展而不断发展的产业。

随着市场的发展和改革开发的进一步深入，热力企业必将被一步步的推向市场，热力企业计算机网络的建设会越来越得到大家的重视。一个安全、稳定的内部网可以给企业带来最大的利益。

参考文献：
     【1】邱磊 网络安全技术在企业中的应用
     【2】徐斌 关于企业内部网（Intranet）安全防范的几点看法