淺談企業局域網信息安全維護方案

張琦

摘要：隨著互聯網信息技術的發展，計算機網絡應用已經遍布社會發展的各行各業，企業的工作開展對網絡的依賴越來越大，然而隨之而來的也是一系列的網絡安全問題。企業局域網是以TCP/IP協議作為基礎，采用lnternet技術建立的機構內聯網絡，以Web為核心應用，構成統一和便利的信息交換平臺。企業局域網信息安全維護是企業計算機中心部門工作的重中之重。企業網絡安全系統不僅要防范病毒感染，更多防范的是基于網絡的非法入侵、攻擊和訪問。本文針對企業局域網絡中存在的各種不安全因素、管理的不完善以及技術上的漏洞等問題，設計一套符合企業局域網實際的安全方案。

關鍵詞：局域網;網絡安全;安全技術;管理措施

1前言

隨著企業科學管理水平的提高，企業管理信息化越來越受到企業的重視。企業ERP（企業資源計劃）系統、OA辦公自動化系統等先進的管理系統都進入企業并成為企業重要的綜合管理系統。企業局域網與國際互聯網（Internet）聯接，形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時，也面臨著外部環境——國際互聯網的種種危險。如病毒、黑客、垃圾郵件、流氓軟件等給企業內部網的安全和性能造成極大地沖擊。如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題。

2網絡安全及影響網絡安全的因素

網絡安全一直都是困擾企業用戶的一道難題。和其它計算機網絡相比局域網對于數據的傳輸更為敏感，因此，網上信息的安全和保密就變得更為重要。

3企業局域網安全方案

為了更好的解決上述問題，確保網絡信息的安全，企業應建立完善的安全保障體系。網絡安全技術防護主要側重于防范外部非法用戶的攻擊和企業重要數據信息安全，網絡安全管理則側重于內部人員操作使用的管理。采用網絡安全技術構筑防御體系的同時，加強網絡安全管理這兩方面相互補充，缺一不可。

3.1企業的網絡安全技術防護體系

3.1.1入侵檢測系統。在企業局域網中構建一套完整立體的主動防御體系。需要同時采用基于網絡和基于主機的入侵檢測系統，在局域網比較重要的網段中放置基于網絡的入侵檢測產品，不停地監視網段中的各種數據包，如果數據包與入侵檢測系統中的某些規則吻合，就會發出警報或者直接切斷網絡的連接。

3.1.2安全訪問控制系統針對企業局域網絡系統的安全威脅。必須建立整體的、卓有成效的安全策略。尤其是在訪問控制的管理與技術方面需要制定相應的策略，以保護系統內的各種資源不遭到自然與人為的破壞，維護局域網的安全。

3.1.3 漏洞掃描系統。解決網絡層安全問題的方法是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式，最大可能地彌補最新的安全漏洞并消除安全隱患。

3.1.4 病毒防護系統。企業局域網防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。企業局域網需建立統一集中的病毒防范體系，特別是針對重要的網段和服務器，要進行徹底堵截。

3.1.5防火墻系統。防火墻在企業局域網與Internet之間執行訪問控制策略，決定哪些內部站點允許外界訪問和允許訪問外界。從而保護內部網免受非法用戶的入侵，從而把外界Internet對屏蔽子網的訪問限制在特定的服務器的范圍內。

3.1.6接入認證系統對計算機終端實行實名制度。固定IP、綁定MAC地址、結合企業門戶、辦公系統等管理業務系統的實施實行機終端接入準入制度。未經過安全認證的計算機不能接人企業局域網絡。

3.1.7電子文檔保護系統。企業重要信息整個生命周期（信息發布過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程）得到全程透明加密保護，保證只用合法的用戶才能通過認證、授權訪問涉密文件。

3.1.8網絡行為監控系統。網絡行為監控是指系統管理員根據網絡安全要求和企業的有關行政管理規定，對內網用戶進行管理的一種技術手段。

3.1.9保證機房環境安全。信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。機房安全要從以下三個方面考慮：1）自然災害、物理損壞和設備故障。2）電磁輻射、乘機而入、痕跡泄漏等。 3）操作失誤、意外疏漏等。

3.2企業局域網安全管理措施

有了先進完善的網絡安全技術保護體系，如果計算機網絡的管理監督不嚴格，也有可能造成計算機網絡存在安全問題，同樣也不能保證企業網絡的安全。規劃制定一套完整的安全管理措施可以作為網絡安全技術保護體系的補充。

3.2.1加強安全管理

盡快建立一個新的網絡安全機制，計算機中心網絡管理者可以通過改善網絡安全意識和訪問網站活動多層次記錄，這樣下來非法入侵行為將被發現，進而可以并采取相應的措施。應當事先做好多級的安全響應方案，為了避免在緊急情況下，預先制定的安全體系無法發揮作用時，能在企業網絡遇到毀滅性破壞時將損失降低到最低，并能盡快恢復網絡到正常狀態;

3.2.2扎實做好網絡安全的基礎防護工作：①服務器應當安裝干凈的操作系統，不需要的服務一律不裝，同時要重視網絡終端的安全配置，防止它們成為黑客和病毒的跳板;②遵循“用戶權限最小化”的網絡配置原則，設置重要文件的訪問權限，關閉不必要的端口，專用主機只開專用功能等;③下載安裝最新的操作系統、應用軟件和升級補丁對系統進行完整性檢查。定期檢查用戶的脆弱口令，并通知用戶盡快修改;④制定完整的系統數據備份計劃，并嚴格實施，確保系統數據庫的可靠性和完整性。

3.2.3對各類惡意攻擊要有積極的響應措施，制定詳盡的入侵應急措施以及匯報制度。發現入侵跡象，盡力定位入侵者的位置。

3.2.4建立完善的日志監控措施，加強日志記錄。以報告網絡的異常以及跟蹤入侵者的蹤跡。

3.2.5制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網絡維護管理制度等。

4 結束語

本文針對企業局域網絡的安全問題進行了相應的分析，提出改善機房局域網安全性能的方法。目前互聯網的環境越來越復雜，存在的安全問題是越來越難解決，保障企業局域網絡信息安全與企業工作的順暢開展息息相關。不能僅依靠殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護，還需要網絡管理員、系統管理員、線路維護人員，以及終端用戶的相互合作，才能保障網絡的安全。

（作者單位：黑龍江煙草工業有限責任公司綏化卷煙廠）