企業局域網安全構建策略探究

吳東澤

（南寧市華地土地開發整理工程設計有限公司，廣西 南寧 530021）

所謂局域網，是指在一個局部的地域內，把計算機、各種外部設備以及數據庫等連接起來組合成的計算機通信網絡。當前，隨著信息網絡化的發展，大部分企業都進行了本單位局域網的建設，并將其連入Internet中，形成內、外部信息共享的網絡平臺。企業局域網的應用，雖然在一定程度上方便了企業網上辦公、網上商務貿易及企業管理，促進了辦公及技術科研信息化，但同時也帶來了許多不安全因素，一方面，網絡黑客、病毒、垃圾郵件、惡意軟件、流氓軟件等給企業局域網的安全及性能造成很大沖擊，另一方面，企業內部員工在上網過程中無意識地泄漏企業內部信息，也會給企業帶來無法估量的損失，基于此，本文圍繞企業局域網的安全隱患就其安全構建策略進行相關探討。

1 企業局域網安全隱患分析

如前所述，企業局域網給企業的經營管理帶來極大便利與經濟效益的同時，也存在諸多安全隱患，主要表現在：1）企業往往極度重視對Internet的物理隔離及嚴防死守，但卻忽視來自網絡內部的安全空隙，系統的安裝有大量的漏洞沒有打上補丁。2）企業為使用方便，在內網傳輸的數據往往不加密，增加了別有用心者竊取機密數據的幾率。3）內部網絡的用戶往往直接面對數據庫、直接對服務器進行操作，可以直接對關鍵數據進行竊取或者破壞。4）眾多的使用者所有不同的權限，增加了管理難度，系統更易遭到口令及越權操作的攻擊。同時服務器對使用者的管理較為寬松，也使黑客有機可乘。5）涉密信息除了服務器，還分布于各工作計算機中，而目前對個人硬盤上的涉密信息缺乏有效的控制和監督管理辦法。

2 局域網安全體系的構建

針對上述隱患，很多企業均采取了相應措施，在網絡平臺上建立了內外網，并對內外網實行了物理隔離，同時購置了防火墻、防病毒、入侵檢測等部分網絡安全產品配置在網絡上，但這些產品主要是針對外網可能遭到的安全威脅而采取的措施，在內網使用上局限性較大，下面，筆者針對企業局域網的特點，提出幾點安全防范措施：

2.1 強化物理安全策略

物理安全足指計算機網絡設備、信息基礎設施遭受雷擊、地震、水災，火災等自然因素，以及人為操作失誤，電磁干擾等導致的破壞，物理安全是整個信息系統安全的基礎，措施主要如下：1）設備安全與保密：主要包括設備的防破壞、防盜竊等。應對中心機房采取安全防范措施，拒絕非授權人員進入。如采用有效的電子門禁系統，采用磁卡或生理特征進行身份鑒別，并安裝視頻監控系統等。2）應用熱備份連接及冗余熱備技術：備份連接在主連接失敗后立即啟動，自動接替主連接的工作。核心設備的冗余熱備技術，可以有效地保障網絡設備的安全性。

2.2 使用網絡地址轉換（NAT)技術控制內外網的相互訪問

NAT為一個IETF標準，允許一個局域網以一個地址出現在Internet上。它把內部私有網絡IP地址譯成合法網絡IP地址，訪問外部網絡，解決IP地址緊缺問題。同時，NAT還能對外網隱藏內網計算機，簡化網絡配置，增強網絡規劃的靈活性。當兩個有地址重疊的私有內部網要連接在一起時，可使用NAT來防止地址沖突，避免逐個改變節點的地址。在建設局域網時，可在路由器、防火墻或網關服務器上設置NAT服務，但須考慮如此給網絡中已有的安全機制帶來的影響，如防火墻根據IP報頭中包含的信宿地址、TCP端口號、信源地址以及其他一些信息來決定是否讓該數據包通過。

2.3 設立防火墻阻斷惡性攻擊

防火墻是指設置在不同網絡 (內外網)或網絡安全域間的一系列部件的組合。防火墻可建立起一個安全網關，從而保護內網免受非法用戶的侵入。防火墻最基本的功能是控制在計算機網絡中，不同信任程度區域間傳送的數據流，能允許“同意”的人和數據進入網絡，同時將“不同意”的人及數據拒之門外，最大限度地阻止網絡中的黑客來訪問網絡。即，若不通過防火墻，企業內部人員就無法訪問Internet，Internet上的人也無法和公司內部人員進行通信。

2.4 使用虛擬專用網絡(VPN)技術訪問內網資源

VPN可以在防火墻與防火墻或移動的客戶端間對所有網絡傳輸的內容加密，建立一個虛擬通道，讓兩者可以安全且不受拘束地互相存取。因VPN連接的特點，內部網絡的通信內容會在外部網絡上傳輸，出于安全及效率的考慮一般通信內容需加密或壓縮。而通信過程的打包及解包工作則必須通過一個雙方協商好的協議進行，這樣在兩個私有網絡之間建立VPN通道需要一個專門的過程，依賴于一系列不同的協議。當需要從外網訪問內網所有資源或進行遠程控制內網計算機時，可通過在網關服務器上設置VPN服務來實現安全連接。

2.5 采用備份與景象技術

計算機里的重要信息對企業至關重要，一旦不慎丟失損失不可估量，而備份與景象技術能提高信息安全的結構完整性，確保信息的真實可靠性。即，備份能夠實現數據、文件、重要信息等的丟失事后處理的完善程度，一旦丟失還能重新用備份的文件去進行的下一步工作的開展。而鏡像技術則是指兩個同樣的設備在進行工作，當一個設備出現了內部系統故障或是其他方面的技術故障等，另一個設備仍然能夠勝任其工作，從而不影響工作的效率與質量。

2.6 積極防范網絡病毒保證網絡健康

網絡病毒是網絡應用中最常見的，也是造成危害極大的一種網絡不安全因素，目前病毒的形式及傳播日趨多樣化，且感染速度快、擴散面廣、難于徹底清除、破壞性大，因此，局域網系統的防病毒工作已不再像單臺計算機病毒的檢測及清除那樣簡單，而是要建立多層次的、立體的病毒防護體系。一是要提高網絡安全意識，提醒使用網絡的員工經常進行系統補丁的安裝或更新，防止有些病毒利用系統漏洞進行傳播，不要隨意打開陌生的郵件或郵件附件、不要輕易運行程序，安裝正版殺毒軟件并及時進行病毒庫的更新，養成及時查殺病毒的習慣，二是根據企業自身的防病毒要求，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。這種策略可以在防火墻里、路由器里、交換機里進行設置。只有積極有效的進行網絡病毒的防范，網絡才會高性能、高可靠性的運轉。

如上所述，主要是從技術層面對企業局域網進行管理及控制，在實際應用中，還需要企業再輔以相關的行政手段，并加強員工以及領導自身的網絡安全業務技能的相關知識，進行相關的科學培訓，從而在相應設立的防范管理制度下去約束不規范行為，全方位確保網絡的安全，進一步推動企業信息化建設的發展。

[1]王瑜，周武強.淺談企業局域網的安全管理[J].計算機光盤軟件與應用，2011（7）：117.

[2]鄧鋒.企業局域網絡安至策略分析[J].科園月刊，2010（4）：29-30.

[3]王建.局域網網絡安全綜合防御體系構建與分析[J].電腦知識與技術，9630-9634.