【IT168 专稿】互联网的便捷和高效已经得到诸多企业的认可，尤其是一些中小企业。对于中小企业而言，高额的电话通讯费用已然不在，驾驭在互联网平台的各种即时通讯软件替代了电话这一通讯模式，E-mail代替了既浪费时间又有点浪费钱财的信件，正是有了互联网，中小企业的运营成本才会得到最大程度的压缩。台湾地震事件之后中小企业的反应，足以证明互联网对于企业运营的重要性。

    然而，这个可以提高企业工作效率，节约企业运营成本的互联网，也为一些中小企业带来了若干的烦恼。曾经给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体，虽然中小企业的信息设施规模相对较小，但是其面临的安全威胁却并不比大型企业少。如何才能让中小企业的网络更加安全，这已经成为中小企业网络管理员一个不可回避的问题。

    中小企业网络安全现状
    要想让中小企业的网络更加安全，必须清楚的了解中小企业的网络安全漏洞在哪里，根据现状对症下药，中小企业的网络安全才会得到最大程度的保障。买一台可以连接互联网的路由器设备，再买一台交换机，最后拉上网线，中小企业的网络通常是这样建成的。如此简单的网络规划，也暴露出诸多的安全漏洞，同时也危及了中小企业的信息安全，但这却是中小企业的网络现状。归纳一下，中小企业的网络安全漏洞主要有以下几个方面：

    1、网络攻击：网络攻击无处不在，中小企业的网络亦是如此。一批略微懂得一些网络知识的“准黑客”们，经常会用一些攻击软件，在网络中寻觅攻击对象，没有任何防范措施的中小企业网络自然是这些“准黑客”们的攻击对象。

    2、木马、病毒和流氓软件：在病毒、木马肆意横行的今天，存放着一些机密信息的企业网络也面临着莫大的威胁。与此同时，让人束手无策的流氓软件也在危及着中小企业的网络安全，与病毒不同的是，流氓软件经常会自己光顾中小企业用户的电脑中，从而刺探一些企业信息。木马、病毒和流氓软件已经成为中小企业网络的最大的威胁。   

图一 层出不穷的网络安全漏洞

    3、系统漏洞：从微软的官方网站不难看出，微软每隔一段时间就会发布一些安全补丁，这意味着比尔大叔的操作系统中存在着未知数目的安全漏洞。操作系统的这些安全漏洞，无疑又是中小企业网络的一大安全隐患。

    4、人为的安全漏洞：电脑已经成为中小企业员工工作时必不可少的工具，但员工的电脑水平并不高，尤其是对于网络的使用，很多员工的安全意识缺乏。而正是由于这些缺憾，使得中小企业网络中存在着一些高风险的安全漏洞，这些漏洞基本上是人为的。在日常工作中，员工使用QQ等即时通讯软件时，有可能会感染上病毒，并且传染给本企业的其他员工。

    从网络搭建至网络使用，中小企业都没有在网络安全方面下足功夫，这致使中小企业的网络安全如同沙滩上的城堡，不堪一击。如何才能让中小企业的网络更加安全呢？

    软硬结合增加网络安全性
    在了解了中小企业网络所面临的安全威胁之后，网络管理员可以根据网络的现状，利用现有网络硬件设备，结合一些网络安全软件，让中小企业的网络更安全。软硬结合的方案，建设成本较低，中小企业比较容易接受，安全性能也丝毫不逊色。下面，我们详细介绍一下软硬结合的网络安全保障方案。

    一、网络设备篇
    组建中小企业的网络设备主要有路由器和交换机，路由器的特殊作用也让中小企业的网络变得危机重重。为此，路由器的一些设置对于中小企业的网络安全来说显得非常重要。路由器的不安全因素主要有以下几个方面：

    1、关好路由器的大门
    在搭建中小企业网络时，不少网络管理人员通常会忽视路由器的安全设置工作，既便是路由器的出厂密码也没有做一下更改，这为病毒及黑客的入侵提供了便利。为此，要想保障中小企业的网络安全，必须关好路由器的大门。有了互联网，查阅一切信息变得非常便捷，通过Google或者百度或者任何一种搜索引擎，我们可以查询到任何一款路由器的默认用户名和密码信息，这样一来，没有更改路由器出厂密码的路由器根本没有什么安全性可言。为此，中小企业的网络搭建完成之后，必须将路由器的出厂默认密码更改掉。在一些品牌的路由器中，不仅提供了更改密码的选项，还提供了更改用户名的选项，使用自定义的用户名，也可以提高中小企业的网络安全。

图二 修改路由器的密码

    在路由器的密码设置方面，尽量用数字与字母组合的密码，而且要定期更改，只有这样，路由器的安全才能得到保证。

    2、让路由器的网络安全设置活起来
    目前，即便是家庭用的路由器也提供了相关的网络安全设置，中小企业用的路由器也不例外，然而，很多网络管理员却忽视了这些网络安全设置。要想保障中小企业的网络安全，必须让路由器的网络安全设置活起来。在路由器的网络安全设置中，防火墙是必须启用的功能。注意，有些路由器在不启用防火墙时，其他的一些安全设置是不生效的。

图三 开启路由器中的防火墙

    同时，为了防止外来的攻击，强烈建议把防DdoS攻击功能启用。“震荡波”及“冲击波”病毒对网络的危害已经上人人共知，将“忽略来自WAN口的Ping”以及“禁止来自Lan口的Ping包通过路由器”等安全功能启用，可以有效的防止“震荡波”及“冲击波”病毒的侵蚀。

图四 路由器中的高级安全设置

    目前，一些企业路由器的安全设置还是非常丰富的，网络管理员必须引起足够的重视，让路由器的网络安全设置发挥作用，切不可闲置路由器的安全设置。

    二、软件防守篇
    要想保证中小企业的网络安全，每台PC的安全防守工作也不容忽视，一旦中小企业网络中的一台PC存在安全隐患，同样会危及整个网络的安全。中小企业PC的安全防范，主要是软件方面的。

    1、操作系统的安全设置
    目前，Windows XP几乎成为了中小企业的主流操作系统，尽管以安全著称的Vista已经上市，但高额的成本之下使得Windows XP仍然是中小企业PC操作系统的首选。其实，操作系统中也存在一些高风险的漏洞，要想保证中小企业网络的安全，必须对操作系统进行必要的安全设置。影响Windows XP操作系统安全的因素，主要是一些诸如“自动任务”及“文件共享”等服务。从表面看，“自动任务”及“文件共享”服务与网络安全似乎扯不上什么关系，事实上，一些木马经常通过“自动任务”来启动，通过“文件共享”传播到中小企业的整个网络。为此，我们必须关闭这些有安全隐患的服务。 

图五 系统服务的状态

    在“开始”菜单的“运行”中输入“Services.msc”就可以看到系统当前启动了哪些服务。以关闭“Server文件共享”服务为例，双击“Server”服务之后，在“常规”选项的“启动类型”中，选择“禁用”后点击确定就可以禁用该服务了。除了文件共享服务之外，有安全隐患的服务还有以下几个：
    Remote desktop help session manager：远程帮助服务，该服务一般为自动运行，黑客或入侵者可以轻松控制中小企业网络中的机器Remote registry：远程管理注册表服务，黑客入侵的非常好的漏洞，该服务默认为自动运行。Task scheduler windows：计划服务，植入木马后可以让木马自动运行，这就是该项服务启动的后果。TCP/IP NetBIOS Helper Service ：TCP/IP NetBIOS支持服务，该服务可以让入侵者非常方便的找到局域网中的PC。Server：文件、磁盘及打印机共享服务，该服务默认也是自动运行，这是病毒传播的非常好的捷径。Terminal Services：远程登录服务，黑客远程登录的窗口。上述服务是中小企业日常应用中不需要，而且对于中小企业的网络有着重大安全隐患的服务，必须禁用这些服务。

图六 天网防火墙的设置向导

    “天网防火墙”安装之后会自动弹出一个设置向导，对于中小企业的用户来讲，“安全级别设置”可以选择“中级”并且让“天网防火墙”开机自动启动。 在日常应用中，如果“天网防火墙”的“中级”安全设置无法满足需要，我们可以根据自己的实际需要对安全设置进行修改。双击任务栏中的“天网防火墙”图标既可以启动设置界面。在设置界面中，我们可以清楚的看到“天网防火墙”目前的安全设置级别，把“鼠标”移动至上面的各选项，系统会给出各按钮的功能提示。

    “天网防火墙”比较智能，默认的“中级”安全设置中已经启用了入侵检测功能，不过并没有给出处理方法，在如图所示的设置中，激活“检测到入侵后，无需提示自动静默入侵主机的网络包”功能启用之后，“天网防火墙”可以对来自网络的攻击进行处理。另外，“天网防火墙”还可以禁止一些网络程序的运行。如果我们要禁止该用户使用QQ软件，在“天网防火墙”的“应用程序规则”中找到QQ的规则，双击打开该规则出现如图所示的设置选项，将所有选项勾掉，并且禁止QQ规则的运行，保存该规则之后，该客户机的QQ将无法登录了。  

图七 天网防火墙中的禁止QQ使用的规则

    为了防止他人更改“天网防火墙”的设置，我们还可以对“天网防火墙”加个锁，在“设置”选项中设置了管理员密码之后，其他人将无法更改防火墙的设置。更重要的是，“天网防火墙”对于一些有安全隐患的网络程度，通常会给出提示，这样可以最大限度的保障中小企业网络中PC的安全。

    四、用管理软件约束人为的漏洞
    除了外界的攻击之外，影响中小企业网络安全的重要因素就是企业员工的人为安全漏洞。目前，一些网站尤其是色情网站，已经成为病毒或木马的一个传播途径，员工在日常办公时，一旦进行误操作，感染病毒亦是情理之中。更重要的是，如何防止企业的机密信息通过互联网这个渠道传播，也是中小企业网络的最大隐患。要想合理约束企业员工的上网行为，可以借助一些网络管理软件。
    在诸多的网络管理软件中，“网路岗”是一款非常出色的管理软件。安装了“网路岗”软件之后，不仅可以过滤色情网站和邮箱，还可以监控每位员工的上网行为，并可以监控员工的聊天及邮件内容。有了“网路岗”管理软件，中小企业中人为的网络安全漏洞将会得到有效的控制。“网路岗”软件分为服务端和客户端，安装完成之后，可以在服务器端看到监控对象。为了方便用户，“网路岗”不仅可以根据客户机的MAC地址监控，还可以根据客户机的IP地址进行监控。选中监控对象之后，在“网路岗”服务端可以对客户端的上网行为进行监控了。图八

网路岗服务端的监控对象

    各企业可以根据自己的需要，在“网路岗”服务端设置监控项目。然后，网络管理员就可以监控到相应的项目了。“网路岗”不仅可以提供网站名称过滤，还支持基于网络端口的过滤。如果要过滤UDP登录方式的QQ，可以设置Port 8000-8001针对每条通讯的外网端口的过滤，这样，客户机的QQ将无法登录了。图九

网路岗的监控项目

    一般来讲，中小企业的网络带宽是非常有限的，一些员工经常在上班时间使用P2P软件下载，这将影响员工的正常办公。“网路岗”可以对企业的每台客户机进行流量限制，而且可以根据时间对流量进行限制。有了“网路岗”管理软件之后，中小企业员工的上网行为将会得到合理的约束，企业的网络安全也得到了最大限度的保障。

    后记：中小企业网络之所以如此不安全，主要原因是中小企业在网络建设初期就缺乏安全意识，在日常应用中更是缺乏管理。对网络硬件进行了相应的安全加固，安装了相应的软件之后，中小企业的网络安全得到了最大的保障，但安全是相对的。要想真正保障中小企业的网络安全，网络管理员必须时刻紧绷安全这根弦，及时封堵中小企业存在的安全漏洞。