二、某公司网络系统威胁风险分析

　　2.1来自外部网络的安全威胁

　　随着公司的网络系统逐步完善，所有的工作数据都要经互联网平台传输。由于各业务部门要利用互联网与外部网络进行连接，内网员工在访问公共网的同时，也接入在公司内部网络上，导致公网用户可直接访问内网系统。如果内部网络和外部网络之间为无保护直接连接，也没有采取有效的隔离措施，内部系统就容易遭到黑客的攻击，网络安全威胁就此集中体现出来。由于内网与Internet直连，因此公司机关内部网络主机很容易受到来自Internet的攻击，攻击一旦发生，首先遭到重创的将是内网系统的关键业务部门。入侵者通过登录内部主机，亦可继续攻击公司机关的其他节点，攻击手段以及可能造成的危害多种多样，如释放病毒，占用系统资源，使系统不能完成相应的工作，造成系统乃至全网的瘫痪。为了向社会发布公交线路运营信息，更好地为广大乘客服务，公司内网系统部署且开通了公共Web站点。公开服务器群的架设，亦为公司对外宣传提供了一个良好的平台。但是，由于公共web站点具有为外界提供服务的属性，网络操作系统、服务器、路由和交换机等设备将打开多个服务端口。端口的开放保障了进程间的通信，而与此同时，也成了计算机病毒、木马及黑客入侵内部网络的通道。当前在Internet上，每一时刻都有大量黑客企图侵入公网在线主机，如果不采取有效的防范措施，内部计算机很可能被黑客攻击甚至利用，成为入侵其他企业计算机的驿站。

　　2.2来自内部网络的安全威胁

　　在已发生的计算机网络安全事件中，绝大多数攻击风险来源于内部网络，因此内网的安全问题尤为重要。依据各部门行政职能，公司机关局域网被划分为财务子网、电子票务子网、车辆维修保养子网、运营计划子网等多个单元，它们对应着不同角色的用户组，每个用户组的安全级别不尽相同。如果在网络安全建设中忽略了这一点，没有在不同的业务部门组之间采取有效的安全访问控制策略和必要的隔离措施，各科室用户可任意访问网络资源，将会引发重要、敏感数据的误用和滥用，也可能造成公司信息外泄或恶意攻击事件。

　　三、网络平台安全解决方案

　　司机关是典型的以太交换网，是一个广播型网络。中心机房的服务器群、公司机关所有业务用户、其他网络设备都处在这个大广播域中。如果不做网络隔离，那么网络中的任一主机就会收到大量并非以自身为目的地的报文。导致的结果是：广播流量增大，浪费了大量带宽资源，也造成了一定的安全隐患。

　　我们在核心交换机H3C-S3600上，把公司机关这个物理上的大局域网划分成多个逻辑上的网段，每个网段是是一个虚拟工作组，也一个独立广播域。虚拟工作组内的各主机间通信就和在一个局域网内一样，而不同网段内的主机不能相互通信。具体工作是：在H3C-S3600上，我们采用的是基于端口静态VLAN划分方法。因为公司数据中心的服务器群、各网络设备、业务应用系统以及机关各用户组连接位置比较固定，这种划分定义虚拟工作组清晰明了，且易于管理。通过将H3C-S3600交换机上连接用户组和设备的端口划分到不同VLAN，实现组间的隔离。

　　在公司机关中心网络中配置VLAN，经过一段时间应用后，体验其优点是：

　　1、控制了广播风暴。在S3600交换机上划分VLAN后，广播被限制在一个VLAN内。由VLAN各成员如：VLAN4、VLAN6等所发送的信息帧或数据包仅在虚拟工作组内传送，这样可减少主干网的流量，节省了带宽，提高了网络处理能力。

　　2、增强了公司整个局域网内的安全性。VLAN间不能直接通信，如公司业务用户网段内的主机无法随意访问数据中心内的资源，如果要访问则需通过H3CS3600三层交换机等三层设备。这样，就限制了未经安全许可的用户和网络成员对网络的滥用。