淺談企業網安全設計

李玉明

摘要：隨著我國信息化的飛速發展，我們正大跨步的走進了“互聯網+”時代，各行各業都離不開網絡技術和與之密不可分的信息技術，信息的潛在價值越來越被社會公眾所認可，企業作為一個獨立的個體，與外界交流的方式更加的離不開網絡技術，企業內部網絡和internet之間的安全問題成為當前各企業網絡絡建設中不可忽視的首要問題。為了保證企業網的正常運行和安全，本文主要針對企業網的特點和傳統局域網的缺陷，提出一些粗淺的設計方案。

關鍵詞：互聯網+ 信息技術 internet 安全 局域網

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）07-0192-02

隨著我國信息化的飛速發展，我們正大跨步走進了“互聯網+”時代，各行各業都離不開網絡技術和與之密不可分的信息技術，信息的潛在價值越來越被深入的挖掘，企業作為一個獨立的個體，與外界交流的方式更加的離不開網絡技術，企業內部網絡和internet之間的安全問題成為當前各企業網絡絡建設中不可忽視的首要問題。針對企業網絡環境中存在的安全問題我們淺談一下信息技術安全的方案，其主要思想是：不僅僅依靠單一的網絡安全技術或安全機制來保證網絡的安全性，從網絡的物理安全、安全技術防范系統，安全管理制度等多個層次實現網體系的整體安全性。

1 目前企業網絡安全的現狀

1.1 密碼的安全

我們都知道密碼技術是保護信息安全以及網絡系統不被攻擊的最為有效的一種方法。密碼設置的漏洞往往是被黑客攻擊的主要原因。

在操作系統安全運行方面，我們嚴禁使用系統默認的administrator（windows系統）或是root（linux系統）用戶名稱，同時也禁止用戶設置較為短小單一的密碼口令。然而一些網網絡管理人員，卻認為服務服務器只由自己一個人管理使用，常常對系統不設置密碼。這樣就為攻擊者創造了一個非常容易的攻擊條件。

密碼長度的設置也是至關重要的。以windows系統為例，由于系統的sam文件中存儲了系統中的賬戶信息，所以該文件也被稱作是系統的賬戶數據庫。如果黑客通過系統或網絡的漏洞得到了這個文件，就能通過黑客工具（暴力破解工具）對該文件進行破解，。對于5位以下的密碼它最多只要用十幾分鐘就完成，對于6位字符的密碼它也只要用十幾小時，但是對于7位或以上它至少耗時一個月左右，因此密碼的長度十分的重要，當然我們建議在保證密碼長度的同時還要保證密碼的復雜度即密碼中字符不能太單一。

1.2 系統的安全

網絡入侵者攻擊企業內部服務器最為常用的方法是尋找被攻擊服務器的安全漏洞，往往安全漏洞就暗含在服務器中沒有關閉的服務中，所以修補服務器的安全漏洞至關重要。

對于服務，服務器為了給用戶提供便捷，開辟了種種服務功能，但是服務提供的服務越多，安全漏洞存在的幾率就越高，被攻擊的可能就越大。因些從安全角度考慮，應將不必要的服務關閉，例如：telnet服務、ftp服務等功能應當關閉。

1.3 目錄共享的安全

在企業內部用戶之間建立對等小型網絡，共享硬盤或文件夾是企業工作中的普遍現象，這種提供便利的同時帶來了安全的隱患，因此在設置共享的過程中要充分考慮到權限分配的問題，必要的時候可以為共享資源設置密碼口令加以輔助。

1.4 IP 地址沖突問題

IP地址是網絡中每一臺設備的的“虛擬身份”，在網絡內部不能出現IP資源的沖突現象，為了徹底解決由于IP地址欺騙而產生的地址沖突問題，當前我們可以從軟硬件兩個方面加以解決。硬件方面，我們從二層、三層交換機可以開啟端口靜態地址鎖、動態地址鎖、MAC地址過濾等安全控制功能，軟件方面，可以利用軟件防火墻甚至是殺毒軟件來加以防護。

1.5 病毒的防范

相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具，以簡便、易行、有效而深受廣大黑客青睞。一旦企業內部網絡的某臺機器被安裝了木馬，它就變成了一臺傀儡機（肉雞），對方可以在你的電腦上上傳下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息等，可以說中了木馬的設備上的一切秘密都將暴露在別人面前。因此利用硬件防火墻技術和殺毒軟件的配合可以有效的將木馬等病毒隔離在企業網絡之外。

1.6 技術之外的問題

企業網是一個比較特殊的網絡環境。隨著企業規模的擴大，經營渠道的拓展，其內部網絡規模也隨之擴大，目前，大多數企業基本實現了辦公自動化，生產自動化、企業財務、人事辦公自動化等。由于網絡節點數的增加，地理范圍的擴大，使得網絡監管更是難上加難。由于大多數企業存在不重視信息安全的觀念，認為信息看不到摸不著，不具備價值，因此疏于在網絡信息安全管理方面的規章制度，加之企業員工的安全意識薄弱，為不法分子提供了可乘之機。

2 安全設計方案

2.1 防火墻

建議在企業網絡出口的地方部署一臺高性能防火墻（可以選擇國產的銳捷或者是國外的思科），防火墻對外接入各大主流運營商或其他運營商，目前的主流高性能防火墻還可以提供IPv6 的接入功能，為企業未來接入技術的提升提供了升級空間。

2.2 VLAN

（1）傳統LAN環境。傳統LAN通常由HUB、網橋、交換機等網絡設備將同一網段的所有節點連接在一起而形成，各節點通常按照它們的物理連接被自然地劃分到各個廣播域。處于同一LAN內的網絡節點間可以直接通信，而處于不同局域網之間的通信則必須通過路由器才能通信。

（2）VLAN技術。VLAN技術是在局域網內將工作站邏輯的劃分成一個個網段從而實現虛擬工作組的技術。IEEE于1999年頒布了802.1Q關于VLAN的協議草案。是為了解決以太網廣播問題和安全性而提出的協議。

VLAN并非一種新型的網絡，是包含一組端站點的邏輯上的LAN，其中的站點好像被同一網線連接在一起，而實際上可能出于LAN的不同物理網段。是一組邏輯上的設備或用戶，它們就好像處于同一個物理LAN中一樣相互通信，不受物理位置的限制。利用VLAN技術的特點我們在企業內部可以根據辦公的物理區域或者是邏輯的ip地址段進行邏輯區域劃分，然后在核心交換機上利用端口技術進行VLAN的劃分，實現邏輯區域的隔離。

2.3 殺毒服務器

在企業的網絡中心設置核心殺毒服務器，負責管理該機構總部的主機網點的計算機；在分支機構分別設置中心殺毒服務器所對應的網絡分控系統，分別負責管理本地局域網內的計算機，形成企業內部安全云殺毒服務器群，同時在企業內部每臺客戶機機上均安裝殺毒軟件網絡版的客戶端，并保證每臺客戶端和服務器端上均時刻運行。

2.4 通過域控制器控制密碼安全

（1）設置密碼歷史要求：安全目標：設置重復使用密碼的頻率限制。設置此值時，將會對比新的密碼和所設定數量的早期密碼，并在新密碼與現有密碼匹配時拒絕所進行的密碼更改。

（2）設置密碼最長使用期限。安全目標：設置用戶在不得不修改密碼前可以使用該密碼的時間。

（3）設置最短密碼長度。安全目標：設置用戶密碼所需的最少字符數。

值得注意的是：密碼中每增一個字符，都將按指數級提升密碼的安全性。如果要求最少8個字符，則較弱的LMHash也將增強很多，這使破解者必須破解LMHash的全部兩個7字節部分，而不是其中一個。如果密碼是7個字節或更少，則LMHash的第二部分將具有一個特定的值，破解者可以通過該值判斷密碼短于8個字符。

2.5 制定企業內部信息安全管理規范

企業網絡的安全問題，不僅是設備，技術的問題，更是管理的問題。對于網絡的管理人員來講，一定要提高網絡安全意識，加強網絡安全技術的掌握，注重對企業員工的網絡安全知識培訓，將我國最新制定網絡信息安全法的內容向企業員工傳達，提高員工整體的安全意識，與此同時更需要制定一套完整的規章制度來規范上網人員的行為。

3 結語

企業網絡的安全，需要依靠先進的網絡安全設備，需要科學方法制定的安全策略，同時也需要技術過硬的網絡管理團隊。當然企業網絡的綠色運行也不能僅僅依靠硬件設備和軟件技術，更需要一套科學有效的管理制度作保障，一定要做到提高全員的網絡安全意識，加強網絡安全技術的掌握，注重對企業員工的網絡安全知識培訓，并長期進行網絡信息安全法律法規的宣傳，讓全員感受到信息安全和生產安全同樣重要，這樣企業的網絡環境才是綠色環保的。