【文章內容簡介】 辦公自動化系統(OA系統)是為企業(yè)數據共享、員工之間或員工與外部團體聯系提供的消息與協作平臺，已經為幾乎所有的大中型企業(yè)所應用。信息的集成度要求擴大到企業(yè)的整個資源的利用、管理，從而產生了新一代的管理理論與計算機系統——企業(yè)資源計劃ERP。企業(yè)資源計劃系統（ERP）是一套將財會、分銷、制造及其他業(yè)務功能集成的應用軟件系統。一般來講，ERP 系統包括生產計劃、銷售定單處理、采購管理、銷售計劃、倉庫管理、財務會計及報表等功能。同時，對于大中型制造企業(yè)來講一般還有Portal系統，向分公司、合作伙伴、供應商、客戶發(fā)布其企業(yè)信息。對于企業(yè)信息化系統的安全問題，大多數企業(yè)考慮最多的還是病毒，認為病毒對企業(yè)的ERP和 OA系統影響最大，所以大部分的財力人力都投向了防病毒系統，當然這是對的。但這還遠遠不夠，仍然會有很多心懷叵測的人或者組織（尤其是競爭對手）對企業(yè)發(fā)起攻擊，甚至數據竊密等，往往會對企業(yè)的核心數據造成不可彌補的損失。目前在全球，商業(yè)間諜引起的商業(yè)竊密現象屢見不鮮。影響網絡安全性的因素主要有以下幾個方面。 新能通信公司現有計算機50余臺，通過內部網相互連接，根據公司統一規(guī)劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。 圖31 新能通信公司網絡拓撲圖 在建造內部網時，用戶為了節(jié)省開支，必然會保護原有的網絡基礎設施。另外，網絡公司為生存的需要，對網絡協議的兼容性要求越來越高，使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時，也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。 由于內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網絡，而是一個專用網絡)，網絡往往跨越城際，甚至國際。地理位置復雜，通信線路質量難以保證，這會造成信息在傳輸過程中的損壞和丟失，也給一些”黑客”造成可乘之機。 企業(yè)建造自己的內部網是為了加快信息交流，更好地適應市場需求。建立之后，用戶的范圍必將從企業(yè)員工擴大到客戶和想了解企業(yè)情況的人。用戶的增加，也給網絡的安全性帶來了威脅，因為這里可能就有商業(yè)間諜或“黑客” 建立內部網時，使原來的各局域網、單機互聯，增加了主機的種類，如工作站、服務器，甚至小型機、大中型機。由于它們所使用的操作系統和網絡操作系統不盡相同，某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶)，就可能造成整個網絡的大隱患。 實踐證明，80％的安全問題是由網絡內部引起的，因此，單位對自己內部網的安全性要有高度的重視，必須制訂出一套安全管理的規(guī)章制度。 人的因素是安全問題的薄弱環(huán)節(jié)。要對用戶進行必要的安全教育，選擇有較高職業(yè)道德修養(yǎng)的人做網絡管理員，制訂出具體措施，提高安全意識。 其他因素如自然災害等，也是影響網絡安全的因素。（1）“傳統”保護的不足該公司部署了防彈式的防御體系來應對“典型的”互聯網攻擊，如：病毒、木馬、蠕蟲以及間諜軟件等。他們從總經銷商那里購買安全技術的使用權限，這樣，企業(yè)就擁有了安全公司提供的軟件以及升級服務。因此，公司的網絡環(huán)境感覺上非常安全，IT部門的人員也可以高枕無憂了。但是對于公司的安全美夢很快變成了噩夢。由于員工違法使用iPod音樂播放系統和PtoP，公司的網絡性能被大大削弱。同時下載音樂、視頻以及一些軟件也給公司帶來了違反著作權的法律問題。企業(yè)的知識產權會因為員工的不當操作或不道德的行為通過郵件泄露出去。肆意的使用即時消息會使公司陷入員工服從性的危險之中。有時，一個有賭博習慣的員工會持續(xù)在線玩賭博游戲，可那時他手頭上還有一項緊要任務沒有完成，同時對于網絡上不良信息的訪問還會給企業(yè)帶來法律訴訟。公司無法施行那些可接受的網絡使用政策，因此公司就無法保證員工的生產力，無法保護網絡資源被濫用，或者其它與網絡濫用相關企業(yè)威脅。（2）移動辦公的員工破壞企業(yè)的周邊安全該公司采取了進一步的安全防護。在嚴格的政策支持下，公司增加了強勁的外圍安全保護來控制包括：P2P、即時消息系統、網絡音樂系統以及網頁在內的內容。問題就這樣解決了么？其實問題遠遠不止如此。公司的員工經常會在公司以外的其它地方辦公，如在客戶端、家里、酒店、列車或是機場，凡是能夠提供網絡連接的地方。當員工不在公司內部使用網絡時，他會不經意的將惡意軟件下載到自己的筆記本電腦中，（這些軟件正是公司的在竭盡全力抵御的）然后把這些惡意軟件帶到公司，任其肆意傳播。同時像U盤這類移存儲設備也會在公司的嚴密監(jiān)視散播新的威脅。（3）復雜的威脅該公司做足了工作，并宣稱他們擁有能夠抵御包括面向移動辦公人員和離線工作人員在在內的各種威脅的防御體系。只要這些設施不需要費時費力的去管理和維護，那么該公司的網絡保護設施令許多其他公司都羨慕不已。實際上，這些解決方案只有部分得到了執(zhí)行，需要把現有的IT資源發(fā)揮到極致。由于最初的部署存在太多漏洞，負擔繁重的IT人員無法滿足企業(yè)對于公司政策、風險控制以符合性的個性化需求。技術支持的呼聲很高而附加咨詢服務卻很昂貴。IT財力人力的短缺影響IT更新步伐。企業(yè)耗費大量時間金錢仍不能獲得有效安全防護。企業(yè)用戶網絡中現有的防火墻一般都是采用X86架構，采用Asic架構的都很少。他們的網絡性能一般都不高，尤其是對于Internet應用驟增的企業(yè)網絡環(huán)境來說，現有防火墻的網絡性能更是導致網絡傳輸延遲增大的直接原因，使其成為整個網絡傳輸的瓶頸之一，嚴重影響企業(yè)的正常辦公需求，已經不能夠滿足企業(yè)持續(xù)發(fā)展的需要。而一款高性能、高吞吐、價格適中的防火墻是企業(yè)用戶所急切需要的。一般認為Internet上充斥著各種病毒和攻擊源，但隨著局域網技術的發(fā)展，網絡安全不再只是外網的專利，包括內、外網在內的整個網絡環(huán)境都需要足夠的安全防護意識及安全防護措施。具有Internet接入的企業(yè)網在訪問眾多Internet免費資源的同時，也在承受著巨大的攻擊壓力，如：synflood 、udpflood、icmpflood、Winnuke、Smurf/Fraggle、畸形報文、報文分片攻擊、IP異常選項攻擊、地址欺騙、地址掃描和端口掃描等攻擊壓力。在內網，企業(yè)同樣面臨著巨大的攻擊壓力。如：Arp欺騙攻擊、Mac欺騙攻擊、流量攫取、地址欺騙、地址掃描和端口掃描。而企業(yè)現有防火墻并不具備內、外網防攻擊手段及能力，在面臨大范圍病毒爆發(fā)或攻擊發(fā)作的時候無法提供良好的處理性能，嚴重時將導致設備宕機，嚴重影響企業(yè)用戶的正常工作。 網絡中所有的網絡通訊都是基于應用的。而目前Internet上的應用以幾何倍數在增長，每天都有大量新應用出現，如何有效管控這些網絡應用是企業(yè)用戶急需解決的問題。(1)帶寬管理：網絡應用中很大一部分應用都是嚴重消耗帶寬的，尤其是那些非業(yè)務應用，企業(yè)用戶一般很難拿出有效的解決方法，只能默默地承受著這些非辦公應用對企業(yè)關鍵辦公應用進行帶寬擠壓。企業(yè)網絡使用效率及工作效率都很低。(2)內容過濾： 企業(yè)的網絡資源是用來作業(yè)務支撐和業(yè)務拓展使用的，而使用這些資源的過程中必須進行內容的控制以避免相關的法律等問題。網頁URL和網頁內容的關鍵字過濾能為用戶解決相關問題。(3)會話管理：企業(yè)內部每個IP地址都會對網絡資源創(chuàng)建一定數量的會話連接，合理的會話連接是企業(yè)所允許的，但過大的會話連接同樣是對企業(yè)資源的一種濫用，同樣需要進行有效管控。企業(yè)網絡在企業(yè)生產中扮演著至關重要的角色，企業(yè)網絡的穩(wěn)定性嚴重影響著企業(yè)生產的穩(wěn)定性，以致影響著企業(yè)的生產效率。更有甚者，企業(yè)網絡的穩(wěn)定性關乎企業(yè)生存。因此，維護企業(yè)網絡的持久穩(wěn)定是目前企業(yè)最嚴重關注的網絡建設問題。冗余技術是解決網絡單點故障、維護網絡持續(xù)穩(wěn)定性的最有效解決方案。企業(yè)網絡建設需要充分考慮冗余技術的應用，尤其是網絡關鍵節(jié)點，如網絡接入端、網絡核心層等等。 VPN (Virtual Private Networks)在企業(yè)網絡應用中極為廣泛，是企業(yè)擴展遠程應用的有效解決方案。隨著企業(yè)規(guī)模的擴大及業(yè)務發(fā)展的需要，各分支機構之間、移動辦公員工和公司之間以及合作伙伴和公司之間的VPN加密遠程數據傳輸是企業(yè)解決遠程傳輸數據的私密性、安全性和降低費用的有效辦法。而如何簡單、方便快捷的維護整個企業(yè)的VPN以及降低企業(yè)VPN的維護成本是企業(yè)用戶同樣需要考慮的。(1)IPSec VPN：分支機構之間需要部署站點到站點的IPSec VPN，采用網狀架構或者星形架構；合作伙伴和公司之間需要部署站點到站點的IPSec VPN；(2)SSL VPN：考慮到IT維護成本，遠程移動辦公員工和公司之間部署SSL VPN，能夠快速、便捷的進行VPN互聯訪問。該系統的網絡安全需求如下： ①防止不同系之間用戶非授權訪問和惡意攻擊； ②防止來自Internet病毒對重要服務器的攻擊與破壞； ③調度網與辦公網的安全隔離； ④防止本地郵件病毒、文件病毒及網絡病毒的危害和傳播； ⑤加強對內部用戶的身份辨別、權限控制 、角色管理和訪問控制管理，防止對應用系統的數據庫服務器、郵件服務器及文檔服務器的非法存取、刪改和破壞。 ⑥防止電磁輻射和電磁傳導泄露； ⑦實現對網站文件屬性和文件內容的實時監(jiān)控，可以自動、安全恢復網站文件系統； ⑧在重要的網絡和系統中充分考慮災備和容錯措施，防止因系統故障導致系統服務中斷； ⑨建立完整的網絡安全系統管理體系，實現對全網設備的統一管理、安全策略的統一制定及安全事件的統一管理等。在企業(yè)對于信息化系統嚴重依賴的情況下，如何有效地增強企業(yè)安全防范以及有效的控制安全。網絡安全的體系結構是一個理論基礎，可以使網絡安全建設綱舉目張、有條不紊、全面周到、相對完善。國外的一些政府部門、研究機構和公司已經就網絡安全體系結構提出了一些模型，趙戰(zhàn)先生在其基礎上提出了適合中國國情的模型，即WPDRRC（預警、保護、檢測、反應、恢復和反擊）。預警是指預測網絡可能受到的攻擊，評估面臨的風險，為安全決策提供依據；保護是指依據不同等級的安全要求，采用不同的保護等級；檢測是指動態(tài)、實時地查明網絡所受到的威脅性質和程度；反應是指對于危及安全的事件及時做出相應的處理，把危害減至最低限度；恢復是指采用容錯、冗余、替換、修復和一致性保證等技術使網絡迅速恢復正常工作；反擊是指具有犯罪取證能力和打擊手段。 (1)物理隔離，就是兩個網絡之間不存在數據流，也不存在可以共享的存儲和信道。物理隔離的實施方案有：支持雙主機、單終端的終端切換方案；雙硬盤、雙網卡的物理隔離方案；具有雙網隔離功能的隔離網卡方案；外部網使用單獨硬盤，內部網使用服務器端統一存儲的隔離方案；后來又出現了雙主板、單CPU、通過硬件體系結構實現隔離的方案。用戶可以靈活設計自己的物理隔離方案，但它仍然無法抵御來自內部的無意疏忽和有意攻擊。(2)邏輯隔離，就是兩個網絡之間只允許合法的數據交流，而不允許非法的數據流進入專網。邏輯隔離可使用防火墻、網閘等來實現，例如校園網與互聯網通過防火墻來互聯，防火墻可將互聯網上的色情、恐怖、邪教宣傳等信息拒之于校園網之外。但是防火墻是防外不防內的，防火墻的標簽區(qū)分能力仍有大量的盲點，防火墻自身往往也存在漏洞使攻擊者有隙而入，防火墻的過濾規(guī)則如果定義不恰當也會有“漏網之魚”，防火墻若不能適應新的安全威脅即時升級和更新也將有名無實。另外需要指出的是，為了安全關閉網絡是因噎廢食；為了安全而與外部網物理隔絕，會使內部網變成“信息孤島”，大大降低使用效能；采用相對完善的安全方案，使內部網與外部網（包括互聯網）安全互聯，使專網用戶也能共享互聯網的豐富資源。 防火墻是一種按某種規(guī)則對專網和互聯網，或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制（包括隔離），從而阻斷不希望發(fā)生的網絡間通信的系統。防火墻可以用硬件、也可以用軟件、或用硬軟件共同來實現。防火墻按應用場合可分為企業(yè)防火墻和個人防火墻，按技術原理可分為包過濾型和應用網關型，按工作模式可分為網橋模式和路由模式。防火墻可以為專網加強訪問控制、提供信息過濾、應用層的專用代理、日志分析統計報告、對用戶進行“鑰匙口令+防火墻一次性口令”的雙因于認證等功能。防火墻的介入不應過多影響網絡的效能，正常工作時應能阻擋或捕捉到非法闖入者，特別是一旦防火墻被攻