中小型企业网络安全加固方案

中小型企业网络安全加固方案

周大勇

（长江艺术工程职业学院

湖北·荆州

434000）

摘要十以来*总就网络安全和信息化工作作出一系列重大决策、提出一系列重大举措，形成了网络强国战略思想，推动我国网络安全和信息化事业取得历史性成就，但中小型企业因资金、技术等原因面临的网络安全形势依旧严峻，本文根据中小型企业现状设计的安全加固方案已得到应用，值得借鉴和推广应用。关键词网络网络安全安全加固

TP393A中图分类号：文献标识码：0引言

95期互联网威胁报根据国家互联网应急中心（CNCERT）

2018年11月境内感染网络病毒的终端数为84万余告指出，

个；境内被篡改网站数量为1,357个，其中被篡改网站数量为68个；境内被植入后门的网站数量为2,513个，其中网站有45个；针对境内网站的仿冒页面数量为6,469个；国家信息安全漏洞共享平台（CNVD）收集整理信息系统安全漏洞810个，其中，高危漏洞308个，可被利用来实施远程攻击的漏洞有700个。

中小企业因资金、技术以及安全意识等原因难以投入大量网络安全设备用于企业网的安全应用，这也进一步导致了相当数量的中小企业内部网络在安全领域几乎是“裸奔”，毫无安全防范能力。网络安全法的全面施行以及相关法律责任的明确，确保网络安全成了企业负责人必须承担的法律责任。鉴于此，加固中小企业网络安全是重要而紧迫的。

网络安全保障体系包括技术要求和管理要求，管理要求因企业间存在较大的差异化，本文不予讨论。技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全，本文着重讨论网络安全方面的安全加固方案，网络是信息化建设和应用基础，应是首要考虑的对象。

1常见中小企业网络安全架构及其安全风险1.1网络安全架构

中小企业基于成本及网络功能实现考虑，不会投入太多网络安全设备。网络拓扑设计中考虑安全防范一般会使用一台防火墙代替作为网络出口（一般不考虑路由器），常见网络拓扑如下图：

访问控制，但还需增加IPS模块或者部署IPS网络安全设备；

边界没有网络病毒检测防范措施，无法对当前猖獗的网络病毒实现有效隔离；

核心设备和链路未能实现冗余，存在单点失效的可能和性能瓶颈。

2网络安全加固方案2.1加固方案及说明

任何网络系统都不能做到绝对安全，在安全需求、安全风险和安全成本之间平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

网络安全问题从来就不是单纯的技术问题，仅仅通过部署安全产品任然很难完全覆盖所有的安全问题，本文不讨论管理要求，但管理措施也是及其重要的。

网络安全架构如下图：

1.2主要安全风险

网络架构中核心交换机与服务器区域之间没有部署防火墙或其他网络安全产品，未能有效实现对服务器进行相应的访问控制，无法对服务器进行有效的细粒度防护；

整个架构中缺少对设备日志收集、监控及保护的措施，不利于网络管理人员对全网络的监管；

没有实现对非法内联和外联的检查和保护措施，无法充分有效的保护到企业内网安全；

边界处部署有防火墙，可以对内实现一定粗粒度的

加固方案中将原有防火墙利旧用于办公部门的网络与核心区域边界，在内边界处增加下一代防火墙；在服务器区域与核心区域增加WAF防火墙。加强网络访问控制，优化防火墙配置，根据应用访问需求，制定详细的访问控制策略，对现有和新增的防火墙加强访问控制粒度，控制到网段级，访问控制范围包括互联网区域和服务器区域，同时可以通过防火墙的流量控制及连接数控制功能，网络最大流量数及网络连接数。

组建核心交换区域灾备系统，实现双机热备和负载均衡。2.2总体部署效果

通过加固方案的网络安全部署，中小型企业网络能够具有抵御较大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力。参考文献

[1]全国人民代表大会常务委员会.中华人民共和国网络安全法[Z].2016-11-07.[2]关于信息系统等级保护安全建设整改工作的指导意见(公信安[2009]1429

号)[Z].[3]

杨楚华.校园网安全防御策略[J].软件导刊,2012(03).

—科教导刊（电子版）·2019年第8期/3月（中）—

257