中小型企业网络安全问题探究(16)

本科毕业论文

图3.1.2 vpn改造

(3)配置集中认证审计系统

企业要提高安全管理能力，必须加强对操作的各种行为的进行有效管理，问题出现就要快速解决。观察中小型企业目前的网络设备与网络拓扑结构，需要在信息网络安全系统中加入认证审计系统。认证审计图系统可以验证身份、检查系统性能和分析故障产生的原因，使只有授权的可信用户才可以访问被保护的网络地址、服务器或业务信息。

(4)安全区域重新划分

保护网络信息安全的一种必要的方法是划分多个区域，区域可以冲业务价值或等级来划分，划分出不同的看网络区域，我们可以确定出清晰的网络区域分界，从而使网络更加的方便安全的管理。

(5)安全区域间的访问控制

既然划分了安全区域例如DMZ区域等，我们就可以在各个区域中应用协议来控制访问权限，各个权限对应可以访问信息，使企业网络管理更加安全方便。协议可以用ACL等来划分，如图3.1.5所示：

图3.1.5 访问控制改造

(6)网络威胁检测

人对于危险都有预知和防范的行为，所以我们希望企业网络可以和人一样有检测

本科毕业论文

威胁的功功能。当面对病毒传播、资源乱用等威胁使，网络可以做出快速的反应。网络系统通过提前的防范可以减少安全的危害。

(7)设备管理集中认证和审计

设备集中管理和认证审计可以加强身份认证。只有集中认证我们才能操作的更加规范，当安全问题产生使可以确切的知道原因是什么。为什么会发生这些问题等。

(8)实现安全方便的远程访问

虚拟隧道专用网络，通过的对应用程序的安全问题和安全套接层虚拟专用网(SSL VPN），可以让企业员工外地出差也能快速安全的访问企业内部信息。都支持认证模式，远程访问企业内部信息时需要输入用户名和密码，更加完全，企业业务也可以更好的完成。

3.2 安全区域划分设计

企业依据网络系统的拓扑和需求，划分多个区域。每个区域都有明确的安全边界，边界可以设置访问权限与密码。例如DMZ区域，根据现有的条件和区域安全的需要，我们可以提高企业的网络的安全级别类型。我们可以把安全区域重新的划分5个区域

（1）生产服务区

管理企业需要生产和服务，这包括信息的接入还有信息的分布等。

（2）运行管理区

管理企业日常的办公运转，维护系统性能的稳定。

（3）用户接入区

用户包括业务用户，维护人员，办公用户等，接入访问系统时可以更好的管理。

（4）外联区内部

又划分为4个小区域：

外联网防火墙边界；

互联网业务服务边界；

互联网办公管理边界；

互联网虚拟隧道边界。

通过以上分析可得总体安全结构应实现大致如图下所示：