企業(yè)局域網(wǎng)安全與維護(hù)策略探討

譚惠

摘要：企業(yè)局域網(wǎng)的建設(shè)對(duì)企業(yè)的經(jīng)營(yíng)、管理和辦公有不可估量的益處，與此同時(shí)，企業(yè)局域網(wǎng)的安全問題又給企業(yè)帶來了一定的隱患。數(shù)據(jù)泄露、病毒攻擊以及網(wǎng)絡(luò)設(shè)備遭到破壞等時(shí)有發(fā)生，這些都是影響企業(yè)局域網(wǎng)安全的問題。為此，文章介紹了目前企業(yè)局域網(wǎng)面臨的安全問題，并針對(duì)局域網(wǎng)的安全問題提出了安全維護(hù)策略。

關(guān)鍵詞：企業(yè)；局域網(wǎng)；網(wǎng)絡(luò)安全；數(shù)據(jù)泄露；病毒攻擊；網(wǎng)絡(luò)設(shè)備 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：TP393 文章編號(hào)：1009-2374（2015）17-0085-02 DOI：10.13535/j.cnki.11-4406/n.2015.17.043

1 概述

進(jìn)入新世紀(jì)以來，國家對(duì)于中小企業(yè)的支持力度不斷加大，并且領(lǐng)導(dǎo)著中小型企業(yè)向信息化的方向發(fā)展。一些企業(yè)順應(yīng)國家的號(hào)召，先后成立了自己的網(wǎng)絡(luò)信息平臺(tái)，而此網(wǎng)絡(luò)信息平臺(tái)絕大多數(shù)以局域網(wǎng)為核心。然而，來自網(wǎng)絡(luò)的安全隱患也呈現(xiàn)了高速增長(zhǎng)態(tài)勢(shì)。數(shù)據(jù)泄露、病毒攻擊以及網(wǎng)絡(luò)設(shè)備破壞等安全問題時(shí)有發(fā)生，影響了企業(yè)局域網(wǎng)的安全問題，嚴(yán)重制約了企業(yè)的發(fā)展。因而，關(guān)于企業(yè)局域網(wǎng)安全維護(hù)成為了網(wǎng)絡(luò)管理者的研究熱點(diǎn)，加強(qiáng)構(gòu)建企業(yè)局域網(wǎng)的安全體系勢(shì)在必行。涉及網(wǎng)絡(luò)安全的問題方方面面，大體總結(jié)為：局域網(wǎng)物理安全問題、數(shù)據(jù)安全問題、局域網(wǎng)系統(tǒng)安全性以及管理安全性，而針對(duì)這些問題的安全維護(hù)策略本文將在此一一闡述。

2 企業(yè)局域網(wǎng)面臨的安全問題

2.1 局域網(wǎng)物理安全問題

局域網(wǎng)的物理安全問題主要指設(shè)計(jì)整個(gè)系統(tǒng)的物理設(shè)備、配套部件等問題。為了確保網(wǎng)絡(luò)信息的順利傳遞，就必須確保信息系統(tǒng)的采集、處理、傳輸和儲(chǔ)存過程不受到人為破壞和影響。典型的物理安全威脅有蛇蟲鼠蟻、地震、火災(zāi)等自然災(zāi)害；灰塵、潮濕等外部物理環(huán)境；斷電、靜電以及電磁干擾等電磁環(huán)境影響。

2.2 數(shù)據(jù)安全問題

雖然殺毒軟件和防火墻能夠保護(hù)企業(yè)的網(wǎng)絡(luò)抵擋一定的安全入侵，但是企業(yè)局域網(wǎng)依舊面臨著數(shù)據(jù)安全問題。具體來說表現(xiàn)為以下三點(diǎn)：第一，遭受Internet網(wǎng)絡(luò)木馬程序入侵的企業(yè)網(wǎng)絡(luò)客戶端會(huì)和其他網(wǎng)絡(luò)客戶端進(jìn)行數(shù)據(jù)交換，從而造成大量數(shù)據(jù)爭(zhēng)相擁堵互聯(lián)網(wǎng)與企業(yè)局域網(wǎng)的接口，使得防火墻工具幾近癱瘓。而此時(shí)，企業(yè)網(wǎng)絡(luò)客戶端會(huì)陸續(xù)向Internet發(fā)包，傳輸企業(yè)內(nèi)部的珍貴數(shù)據(jù)，造成數(shù)據(jù)泄露；第二，隨著移動(dòng)網(wǎng)絡(luò)的興起以及企業(yè)特權(quán)用戶的增多，企業(yè)的局域網(wǎng)數(shù)據(jù)受到了越來越多的威脅。企業(yè)的一些保密級(jí)數(shù)據(jù)非常不容易管理，而企業(yè)又沒有統(tǒng)一的有效管理軟件，從而全時(shí)段地監(jiān)督企業(yè)本地網(wǎng)和移動(dòng)網(wǎng)絡(luò)。因而，必須盡快推廣集成化的企管軟件系統(tǒng)，以更好地管理企業(yè)的數(shù)據(jù)網(wǎng)絡(luò)；第三，眾所周知，殺毒軟件的病毒庫總是需要更新，這是因?yàn)椴《編煲恢痹诟拢髽I(yè)局域網(wǎng)進(jìn)行病毒庫更新總是滯后于病毒的產(chǎn)生，病毒完全可能在企業(yè)進(jìn)行殺毒軟件更新之前入侵系統(tǒng)。因而，這種情況下，新病毒的產(chǎn)生使得殺毒軟件毫無用武之地，這也是局域網(wǎng)數(shù)據(jù)安全迫切需要解決的問題之一。

2.3 系統(tǒng)安全性

對(duì)于企業(yè)的局域網(wǎng)而言，目前國內(nèi)尚無足夠安全的系統(tǒng)。無論是微軟的Windows系統(tǒng)，還是蘋果的Mac系統(tǒng)，甚至是Unix、Linux開源系統(tǒng)，都不是完全安全的。因而，對(duì)于企業(yè)而言，唯一能做的就是更好地保護(hù)系統(tǒng)的安全性。從軟件角度講，安裝防火墻、殺毒軟件等來進(jìn)行定期的更新和殺毒。從管理角度講，通過規(guī)章制度約束計(jì)算機(jī)網(wǎng)絡(luò)管理人員的安全管理方法以及公司內(nèi)部人員的規(guī)范操作等。

2.4 管理安全性

一些企業(yè)認(rèn)為企業(yè)的局域網(wǎng)是一項(xiàng)技術(shù)活，因而不必實(shí)施管理工作。殊不知，管理是網(wǎng)絡(luò)的一項(xiàng)重要組成部分?？茖W(xué)的管理能夠更好地讓局域網(wǎng)為企業(yè)服務(wù)，而網(wǎng)絡(luò)安全管理不到位或者缺乏可操作性則會(huì)進(jìn)一步引起局域網(wǎng)安全風(fēng)險(xiǎn)。例如，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或者內(nèi)部人員進(jìn)行了一些違規(guī)操作，但是沒有實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控、報(bào)告或者預(yù)警時(shí)，則對(duì)企業(yè)造成的損失將是致命的。因?yàn)橐坏┌l(fā)生類似事件，但是無法提供相應(yīng)的犯罪事實(shí)及破案線索。為此，必須做好站點(diǎn)訪問的記錄機(jī)制管理工作，以及時(shí)記錄和發(fā)現(xiàn)非法入侵，及時(shí)制止。

3 企業(yè)局域網(wǎng)的安全維護(hù)對(duì)策

3.1 企業(yè)局域網(wǎng)物理硬件維護(hù)

企業(yè)局域網(wǎng)的物理故障可從以下四處進(jìn)行排查和維護(hù)：第一，網(wǎng)絡(luò)發(fā)生故障的必須排查網(wǎng)卡。如果配置后，網(wǎng)卡不能夠被操作系統(tǒng)檢測(cè)到，說明網(wǎng)卡配置不正確。對(duì)于Windows系統(tǒng)來說，網(wǎng)卡可以使用其自帶的程序進(jìn)行設(shè)置，而在純DOS系統(tǒng)下，則需要配置終端（IRQ）、I/O接口地址范圍等參數(shù)。配置完成后，需要重啟系統(tǒng)，再次檢查網(wǎng)卡是否能被檢測(cè)。檢測(cè)方法很簡(jiǎn)單，通過觀察指示燈即可。一般來說，網(wǎng)卡指示燈不亮則說明網(wǎng)卡損壞，需要更換網(wǎng)卡；第二，保證網(wǎng)絡(luò)連接的正常。網(wǎng)絡(luò)的連通性是指從插座、網(wǎng)線、集線器、調(diào)制解調(diào)器等整個(gè)網(wǎng)絡(luò)通路均正常連通。連通測(cè)試方法可以使用硬件工具進(jìn)行測(cè)試驗(yàn)證；第三，當(dāng)確認(rèn)網(wǎng)卡沒有問題之后，登陸電腦，查看網(wǎng)絡(luò)鄰居中是否能夠看到其他局域網(wǎng)計(jì)算機(jī)。如果能看到則證明物理硬件正常，如果沒有看到，則可能是網(wǎng)絡(luò)連線出問題。包括雙絞線、水晶接頭等接觸不良等問題，都需要進(jìn)行一一排查，可以使用測(cè)線儀進(jìn)行測(cè)量，看看是否線路有斷裂；第四，造成局域網(wǎng)連接不成功的原因也可能是網(wǎng)卡過舊，其他計(jì)算機(jī)無法識(shí)別。這種情況就應(yīng)該更換網(wǎng)卡，使之與局域網(wǎng)其他計(jì)算機(jī)相匹配。

3.2 建立起安全數(shù)據(jù)訪問控制

通過統(tǒng)一終端集成管理軟件，將數(shù)據(jù)終端的監(jiān)視全部納入管理軟件之下。具體做到以下四點(diǎn)：第一，只能通過網(wǎng)絡(luò)受控端提供系統(tǒng)信息，從而注冊(cè)將受控段納入LDAP管理體系中去；第二，通過安全控制根據(jù)用戶可能存在的安全風(fēng)險(xiǎn)選擇合適的安全防護(hù)方法；第三，采用邊界防護(hù)的方法，通過防火墻、VPN以及身份認(rèn)證等技術(shù)來進(jìn)行網(wǎng)絡(luò)邊界的監(jiān)控，從而確保核心的業(yè)務(wù)和數(shù)據(jù)不會(huì)被刪除；第四，在終端運(yùn)行的過程中，要進(jìn)行實(shí)時(shí)監(jiān)控，并且生成日志記錄模塊，為可能存在的安全隱患提供分析依據(jù)。如圖1所示，如果應(yīng)用程序使用SQL身份驗(yàn)證連接到SQL Server或者連接到需要顯式登錄憑據(jù)的非Microsoft數(shù)據(jù)庫，則在這些情況中，連接字符串包含明文形式用戶名和密碼。利用調(diào)用進(jìn)程的進(jìn)程標(biāo)識(shí)、一個(gè)或多個(gè)服務(wù)標(biāo)識(shí)或者原調(diào)用方的標(biāo)識(shí)（使用模擬/委派）可以執(zhí)行數(shù)據(jù)訪問。選擇什么樣的標(biāo)識(shí)由數(shù)據(jù)訪問模型確定-受信任的子系統(tǒng)或模擬/委派。

3.3 系統(tǒng)安全防護(hù)

正是由于沒有足夠安全的操作系統(tǒng)供企業(yè)局域網(wǎng)直接使用，使得系統(tǒng)的安全漏洞成為了黑客的攻擊目標(biāo)。為了能夠更好地保護(hù)系統(tǒng)的安全性，不同的企業(yè)級(jí)用戶應(yīng)該根據(jù)其自身特點(diǎn)采用不同的網(wǎng)絡(luò)分析方法來確定自身選用的系統(tǒng)。選擇系統(tǒng)盡量選擇安全系數(shù)高的系統(tǒng)，例如Linux或者Unix等系統(tǒng)。不僅如此，企業(yè)網(wǎng)絡(luò)管理人員還需要進(jìn)行科學(xué)的安全配置工作，以充分地為企業(yè)局域網(wǎng)安全打造“防護(hù)衣”。為此，需要進(jìn)行用戶的安全登錄驗(yàn)證，特別是遠(yuǎn)程登錄認(rèn)證，確保用戶的合法性。與此同時(shí)，還應(yīng)該嚴(yán)格地限制登陸者的權(quán)限。

3.4 局域網(wǎng)管理策略

第一，制定局域網(wǎng)管理?xiàng)l例。用規(guī)章制度來規(guī)范局域網(wǎng)的使用規(guī)則和檢修制度，從而從管理的角度約束局域網(wǎng)中工作人員的網(wǎng)絡(luò)行為；第二，可以采取限制帶寬、封閉BT下載、切斷使用BT的電腦網(wǎng)絡(luò)等，以防止非法入侵或者病毒入侵等；第三，可以使用現(xiàn)成的局域網(wǎng)安全管理軟件，通過集成化的管理軟件進(jìn)行機(jī)器流量檢測(cè)和網(wǎng)絡(luò)智能監(jiān)控等。例如：網(wǎng)絡(luò)執(zhí)法官局域網(wǎng)中任意一臺(tái)機(jī)器上運(yùn)行網(wǎng)絡(luò)執(zhí)法官的主程序NetRobocop.exe，都可以穿透防火墻、實(shí)時(shí)監(jiān)控、記錄整個(gè)局域網(wǎng)用戶上線情況，限制各用戶上線時(shí)所用的IP、時(shí)段，并可將非法用戶踢出局域網(wǎng)。

4 結(jié)語

綜上所述，企業(yè)的局域網(wǎng)因其自身特點(diǎn)不同，需要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點(diǎn)采取合適的方法進(jìn)行維護(hù)。企業(yè)局域網(wǎng)的安全問題解決之后，企業(yè)就可以毫無阻力的利用好該平臺(tái)，更好地服務(wù)自身的發(fā)展，節(jié)約企業(yè)的管理成本，為企業(yè)帶來更加便捷的現(xiàn)代化管理方式。

（責(zé)任編輯：秦遜玉）