企业应用计算机的几个问题

[摘 要] 网络安全是网络永恒的主题。任何企业、单位在建设网络时都要考虑有关网络安全的问题。

[关键词]内网 外网 隔离

一、内网与外网

将系统进行分级管理,按工作性质的不同分成内网和外网,实行内网与外网严格的分离制度,内外网的管理也采用不同的方法。

在外网中,由于基本业务对网络的实时性要求不是很高,同时往往接入互联网,本身已存在相当大的安全隐患,可以在一定程度上允许系统存在宕机现象。采用部署网络安全产品,IP地址管理,访问权限控制,数据存储管理等方法,在采用技术手段进行安全管理的同时采取一定的行政管理手段,制定相关的管理制度,在一定程度上保证系统的基本正常,达到安全投入与安全效果的平衡。

在内网中,运行着公司ERP系统,整个公司的业务都依赖于这个系统的安全平稳运行,这个系统的安全性也就被提升到最高的级别,系统的安全稳定运行成了信息中心最主要的责任,在有了责任的同时,也就有了相应的权利,所有的不合理的要求,都以保证系统安全为理由回绝。

在系统中所有的可以进行文件交换的计算机都得到控制,无授权的计算机,不安装光驱、软驱、USB等设备的计算机不能访问互联网,授权的计算机在进行文件交换过程中也要严格按操作流程进行,同时也防止了信息流失的可能,保证了信息的安全,行政管理手段在内网的管理中起到了主要的作用。

1. 双网隔离。为保证网络安全,内部网络与外部网络完全隔离是最安全的策略。双网隔离技术就是采取内部网与Internet网完全物理隔离的方式来实现内部网络相对安全的一种技术。

双网隔离的实现分为以下两个方面:

(1) 结构化综合布线。布线是实现网络连接的第一步,要实现双网的完全隔离就必须敷设两套网线,每套网线分别与内网核心交换机、公众信息网交换机连接,并通过相应的网络安全设备实现网络内部的安全。也就是说,在网络客户端部分有两个网络接口,以实现终端计算机分别对两个完全隔离网络访问。

(2) 终端计算机。仅有完全隔离的网络是不足以实现双网隔离的,还要有完全隔离的计算机。当然采用两台计算机分别与两套布线系纺相连可以实现双网隔离,但是任何技术的推广都离不开实现该技术的成本问题,显然两台计算机的成本要高于一台。

通过共享一台双网隔离计算机的方式,可以很好地解决这个问题。双网隔离计算机就是一台电脑中装配两块硬盘(或一块硬盘的不同物理分区),电脑运行时只有一块硬盘(或一个物理分区)加电运行而另一块硬盘(或一个物理分区)并不工作,通过切换开关和电脑的重新启动来实现不同硬盘(或物理分区)上数据的物理隔离,这样既保护了投资又实现了双网的完全隔离。

2. 安全设备。保证网络安全的主要设备包括:路由器、防火墙和服务器。通过客观存在的组合,可以建立一道安全屏障,并对网络内部提供必要的保护。由于它们本身及相互组合所提供的安全级别不同,所需要的成本不同,便有了不同的安全防范方案。

3. 高级别安全防范。路由器的访问控制列表(ACL)对访问数据流进行初步检测,只允许合法数据流进人,对内部网提供了基本的安全保障。如:对私有IP地址的过滤,对蒙骗IP地址的过滤,对网络探测数据流的过滤等。

防火墙对经过路由器过滤后的有效数据流进行进一步检查,提供更加细化的安全措施和更强大的处理能力。防火墙的访问控制列表(ACL)可以提供对进入的数据流进行有效控制,禁止非法数据流进人内网;防止自己内部网的用户非法访问和攻击外网的计算机;针对某一IP地址或MAC地址进行访问控制等功能。防火墙实现了切实的安全控制,为网络提供了更强大的保护。

二、一般级别的安全防范

在网络对安全要求不高的情况下通常采用一般级别的安全防范,所花费的费用也比较低。采用路由器或服务器就可满足要求,当然资金允许的条件下采用防火墙可以提供更佳的安全性能。

1. 费用第一型。采用服务器是最经济的安全措施,尽管它只提供基本的安全防范措施,但它以物美价廉吸引了大量的用户。高性能服务器或PC机作为服务器使用时,只需添加一块网卡和相应的成本。当然一定要在对安全要求较低的情况下使用,否则会得不偿失。

2. 普通型。采取路由器可以提供较好的安全防范措施,路由器除了具有路由功能外,还可提供大部分的安全防范措施。在与Internet连接时,如果网络服务供应商(ISP)提供的是DDN接入,则只能用路由器作为接人设备;在预留有备份线路接人Internet时,也只能采用路由器; Internet上用户利用VPN技术需要拔入网络时,只能用路由器。总之路由器的功能是很全面的,是其它设备所无法代替的。有特殊要求时选用路由器是合适的方案。

3. 安全第一型。防火墙是专业的安全防范设备,可以应对各种网络人侵行为,对网络提供高级别的安全方案。对于“安全第一”的用户需要,是合适的选择。当然也可以与路由器配合使用。

4. 其它方面的安全考虑。结构化综合布线和网络安全设备提供了网络的物理结构安全,但同时还要保证网络中服务器等应用设备的安全运行,这样才能提供真正安全的网络。

核心数据库的安全、高效运行可通过双机势备或网络负截平衡不保证,尽管费用较高相对于安全而言这样的费用是值得的,该技术的合理性便它得到了广泛地应用和推广。

计算机病毒防范、灾难恢复、环境安全(机房防火、防静电、通风等)、媒体安全(磁带等)、不间断电源供应等等方面,尽管相对来说没有双网隔离和网络安全设备那么重要,但同样不应当忽略。

三、结束语

网络安全是网络永恒的主题。任何网络都不是绝对安全的。威胁可以来自各个方面,甚至包括自己网络内部,寻求绝对安全的网络是不现实的,只有相对安全的网络才是真实的;同样现在安全的网络,不等于将来也安全,所以探索是没有尽头的,应当不断地探索、更新,寻求更好的网络安全技术。