企業局域網安全風險分析與防護策略研究

摘要：計算機技術在創新發展的同時，也給企業局域網帶來了一定威脅。為保護廣大企業的信息安全，加強局域網的安全防護能力，提高企業的信息化水準，文章總結了目前企業局域網在硬件環境、軟件系統、人員管理等方面的潛在安全風險。文章針對企業局域網安全防護的多方面進行了研究，包括硬件環境的設備安全、存儲安全、通信安全和電磁安全；軟件系統的系統漏洞、訪問控制、軟件兼容、病毒防護；人員管理的用戶培訓、管理制度、職責劃分、操作規范等，建立了一個全方位、立體化的企業局域網安全防護體系。

關鍵詞：局域網；網絡安全；硬件安全；軟件安全；管理安全

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）22-0076-03

開放科學（資源服務）標識碼（OSID）

0 引言

隨著計算機技術的迅猛發展，各企業的信息化建設水平日益提升，建設企業局域網已成為大型企業保護內部秘密、存儲核心數據資產、加強網絡信息安全的有效策略，為企業員工的工作學習帶來了諸多便利。

作為計算機網絡的重要組成部分，企業局域網面臨來自硬件、軟件、人為操作等多方面的網絡安全挑戰。這些威脅輕則干擾局域網運行的連續性和穩定性，重則引發失泄密事件，導致企業商業機密外泄，造成重大經濟損失[1]。當前對局域網防護措施的研究，多集中于防火墻、身份驗證、入侵檢測系統、反病毒軟件、數據加密技術和區塊鏈等單項技術領域，雖在一定程度上增強了局域網的安全管理，但難以全面應對多樣化的網絡安全威脅。

鑒于此，本文提出了一種基于硬件、軟件及人為管理三要素的企業局域網安全防護體系。通過精細的層次化構建，針對各類安全問題提供相應的解決策略，有效適應復雜多變的網絡環境，顯著提升了企業局域網的安全防護效能。

1 企業局域網潛在風險分析

企業局域網終端數量少，范圍小，通常是獨立架設的小型網絡空間，通過物理隔離或邏輯隔離使互聯網無法直接訪問，在建設之初的整體安全性也較互聯網更高[2]。盡管如此，相較于互聯網，企業局域網環境的安全優化往往被忽視。隨著信息技術不斷更新迭代，企業局域網逐漸出現了諸多安全問題，主要包括以下三個方面：

1.1 硬件環境風險

硬件環境的安全性是影響網絡安全的基礎，包括但不限于機房環境、硬件設備、信息存儲、電磁安全、通信安全等。其中，機房可能遭受漏水、失火、人為破壞；黑客可能通過攻擊打印機、繪圖儀等直連外設來間接攻擊計算機；硬件設備可能因年久失修導致重要信息丟失；電磁泄漏也可能導致信息泄露；信息交互過程中可能導致局域網遭受外來攻擊。

1.2 軟件系統風險

軟件系統風險表現在以下四個方面。一是操作系統本身的缺陷，主要指系統開發過程中邏輯設計上的技術缺陷、程序錯誤及后續安全配置不當導致的不安全因素[3]；二是對身份訪問控制的管控問題，能導致非法用戶未經許可進入局域網內部造成破壞；三是企業局域網中部署的應用軟件之間彼此不兼容，相互沖突導致報錯甚至癱瘓。四是病毒、惡意代碼對軟件系統的威脅。其中，病毒、惡意代碼最為常見，廣泛存在于整個互聯網上，在局域網與互聯網交互時，隨時可能因為各種原因感染病毒。如下載來源未知的網絡資料導致計算機中毒，隨意點開陌生人發來的郵件導致計算機被黑客掛上木馬，進而感染整個局域網等。這些軟件系統風險對局域網的安全穩定運行造成了巨大影響。

1.3 人員管理風險

人員管理風險主要來源于用戶的使用習慣及管理制度的缺失。在企業局域網中，計算機使用者的安全意識、防護水平往往參差不齊，部分使用者缺少安全防護意識，容易受到外部攻擊[4]。例如，對于重要文件沒有隨手加密的習慣；誤操作導致賬號、密碼泄露；通過移動存儲設備上傳下載之前未進行有效的殺毒處理；將企業局域網的內部設備私接互聯網等。這些往往會給企業局域網帶來不少的安全隱患，導致重要數據丟失、局域網本身癱瘓甚至造成經濟損失。同時，部分企業的網絡安全管理制度不健全，難以充分發揮出制度優勢，缺乏相應監管，給不法分子留下了可乘之機，影響了企業局域網的安全性。

2 企業局域網安全防護措施

基于上文提到的企業局域網潛在風險，為強化企業局域網的網絡安全，確保網絡的鏈路暢通，以下將分別從硬件環境、軟件系統以及人員管理三個方面提出相應的安全防護措施[5]。

2.1 硬件環境安全防護措施

企業局域網的硬件環境是網絡安全的第一道防線，其中，設備安全、存儲安全、電磁安全、通信安全應當重點考慮。

首先，設備安全主要是保護機房內的硬件設備的安全，防止環境損傷及人為破壞。機房的選址須盡量避免在樓頂與地下室，以規避漏水、積水危險，并安裝如七氯丙烷、二氧化碳等氣體消防滅火器，以防火災等異常災害的發生，切勿使用水或傳統的干粉滅火器，以免對機房的硬件設備造成不可逆的損壞。機房可安裝專用精密空調與溫濕度監測報警器，保持室內處于干燥、陰涼狀態，可有效延長機房中硬件設備的使用壽命，減少設備故障的發生率[6]。機房還應設置門禁，通過刷卡等方式進行身份驗證，并展開全天監控，必要情況下可加設指紋鎖乃至人臉識別，避免人為破壞導致企業重要信息受到竊取。對于機房內的硬件設備，主要涉及交換機、服務器、防火墻、存儲控制器等，均應選取可靠品牌，確保硬件具有較強穩定性、可靠性，并準備可替換的硬件備件，以便隨時更換老舊故障設備。

其次，存儲安全也十分重要。硬件設備一旦發生損壞，就可能導致數據丟失，進而造成難以挽回的巨大損失。為此，可以選擇專門的服務器作為存儲備份系統，對局域網內的重要數據進行存儲。存儲備份系統可進行雙機熱備，一主一備，一旦一個系統出現故障，另一個系統自動啟動，實現存儲系統的無縫實時切換，確保局域網數據安全。如有條件，也可以建設異地容災備份中心，即本地建設數據中心及備份中心，異地建設容災中心，防止地震、洪水等不可控的自然災害造成損失。異地容災備份中心的數據備份應采用光纖SAN網絡架構，兩地之間不進行直接通信，只通過不與互聯網連通的專線定期交換信息，以保證網絡通信安全。

再次，電磁安全主要是防止電磁泄漏導致信息泄露。應將局域網相關設備設置在距離園區邊緣25米以上的地點，或選用電磁屏蔽儀消除電磁信號，并用電磁信號檢測器確認外部信號的強弱，確保不會發生電磁泄漏。

最后，通信安全主要指局域網與互聯網之間的信息通信的安全性。企業局域網雖然已通過物理隔離或邏輯隔離使互聯網無法直接訪問，但在信息交互時也不可避免會遭受風險。由于通信涉及網絡連接、網絡設置、子網劃分等多個方面，且數據傳輸時整體數量相對較大，不法分子極有可能借此機會竊取企業機密。

對于通信安全，物理隔離和邏輯隔離的企業局域網可通過不同的架構進行應對。對于物理隔離的局域網，應禁止直接接入互聯網網線，且不允許無線上網，以此在最大限度上防止來自外部的惡意入侵行為。在進行信息交互時，具體架構如圖1所示。

具體如下：

1） 分為外部互聯網、輸入輸出區、企業局域網三個區域，三個區域各自隔離，不同等級的網絡之間采用最小耦合。

2） 外部互聯網區為專門設置的互聯網區域，與輸入輸出區域不直接連接。需要導入信息時，僅通過專用的內部U盤，硬盤或光盤等安全設備進行信息交互，發送至中間機，再由中間機經過殺毒等一系列處理后傳輸至輸入輸出機，由輸入輸出機轉發至企業局域網內部。

3） 如果需要將企業局域網的計算機中的資料導出，應經過相應審批后轉發至輸入輸出級，并在專門的輸入輸出機中輸出，做到事過留痕。

4） 應禁止公司員工將自己的筆記本計算機、U盤等傳輸介質帶入隔離的局域網區域，一經發現，嚴肅處理。

5） 企業局域網中計算機上的U盤接口、串口、并口等，應使用封條封上，與互聯網區域的信息交互應通過專用的內部U盤或光盤進行。

對于邏輯隔離的企業局域網，局域網與互聯網直接連接。因此需要VPN或者加密機進行隔離防護。在進行信息交互時，具體架構如圖2所示。

具體如下：

1） 分為外部互聯網、加密區、企業局域網三個區域，三個區域各自隔離，不同等級的網絡之間采用最小耦合。

2） 如連接互聯網的PC機或手機等終端，在訪問企業局域網時，須安裝有專用的VPN或加密機軟件，通過加密區進行身份認證，才能訪問局域網內部。

3） 對于加密區VPN、加密機等設備的運行情況，應安排專業人員定期檢查并進行安全維護，以防被黑客突破。

4） 在加密區的邊界處，可以通過防火墻和上網行為管理嚴格控制出網流量，禁止企業局域網中對外暴露的多余端口和服務，并部署全流量威脅檢測類設備對加密區與外部互聯網的進出流量進行檢測，以保護數據安全。

2.2 軟件系統安全防護措施

要提升軟件系統的防護能力，應從修補系統漏洞、身份訪問控制、規范應用軟件、防護病毒與惡意代碼四個方向入手。

首先，要針對系統本身漏洞，可通過漏洞掃描設備，在發現漏洞的第一時間打上安全補丁，以防止非法攻擊或惡意代碼造成的損失。此外，目前的大多數常見攻擊主要針對Windows操作系統的系統缺陷，將服務器的操作系統更換為Centos、Redhat、MacOS等多種操作系統混用，可大大降低遭受攻擊的強度與頻次。同時，對操作系統進行正確的安全配置，也可大大提升安全性，規避系統本身缺陷導致的技術漏洞或程序錯誤。

其次，要對用戶進行身份訪問控制。在用戶訪問企業局域網時，可采用包括賬號密碼、“USBKEY+PIN碼”、指紋、虹膜等多種手段完成雙因子認證，禁止非授權用戶訪問企業局域網，以保證訪問的安全性。在局域網內部，也應進行身份訪問控制，對重要的數據信息（文件、資料、數據庫等）采取最小化原則，基于“零信任”架構僅授予必要的訪問權限，禁止其他人員獲取工作中不需要的信息[7]。

再次，應用軟件的問題主要來自軟件本身的BUG或與企業局域網中其他軟件彼此沖突造成的。因為應用軟件的開發存在開放、通用等特征，極容易產生安全漏洞，為此，企業應完成軟件的標準化規范相關工作，制定應用標準、應用開發環境，同時對應用軟件的相關數據進行安全分析，及時做好補丁更新、漏洞修復，合理利用實時監控數據，做好運維工作，提高應用軟件的安全性與兼容性。

最后，病毒與惡意代碼對軟件的威脅也不容忽視。為防止病毒與惡意代碼入侵，應在企業局域網環境中完成硬件防火墻、殺毒軟件及惡意代碼查殺工具、入侵檢測裝置等設備的建設。防火墻可以過濾進入局域網的數據流，并自動屏蔽可疑數據。殺毒軟件及惡意代碼查殺工具，可以定期進行更新，準確預警計算機感染的各類病毒與惡意代碼。入侵檢測設備可以在面臨入侵時及時報警、隔離、清除、查殺，切斷外部攻擊的源頭，以避免病毒在局域網內的傳播擴散。

2.3 人員管理安全防護措施

正所謂“三分技術、七分管理”，對于企業局域網，僅用技術手段無法做到全方位的防護，整體防御能力的提升不能只依靠專業技術團隊，也需要制度化的人員管理措施[8]。有效的用戶培訓、科學的管理制度、明確的職責劃分、可行的操作規范，都可以在很大程度上降低局域網的安全風險。

首先，開展有效的用戶培訓。與各領域專家定期進行技術交流，對廣大員工宣傳安全培訓的重要性，可以將面向使用企業局域網的各類使用者都變為安全防護體系中的一環，提高安全意識，強化專業知識，增強技術能力，以保障局域網的信息安全。

其次，制定科學的管理制度。建立包括上網瀏覽、身份認證、系統維護、安全防護等的多方面制度，組織員工內部學習并嚴格執行，將安全責任落實到個人，可以從根源上降低企業局域網所面臨的風險[9]。

再次，進行明確的職責劃分。在發現異常現象與違規操作時，可以第一時間進行響應，并對相應人員進行獎懲，層層劃分責任，防止推諉塞責，能在一定程度上保證企業局域網的安全可靠，有效減少安全隱患。

最后，確立可行的操作規范。對可能遭遇的風險制定全方位綜合性的預案，并根據網絡技術的發展不斷迭代優化，不僅可以讓新來的局域網使用者迅速熟悉環境，也能讓管理員在遇到問題時不至于手忙腳亂，更迅速地做出響應[10]。

3 結束語

現有的企業局域網信息防護措施較為傳統，不能適應大數據時代的信息防護要求。為提高網絡信息安全，須針對現有網絡信息防護特點，構建專屬的企業局域網安全防護體系。本文從硬件、軟件、人員管理三方面出發，以硬件環境安全為基礎，軟件系統安全為關鍵，人員管理安全為重要保障，建立了一個高效可靠的安全防護體系，為企業信息安全構筑起全新防線，彌補了企業局域網的網絡安全短板，強化了企業局域網的安全防護能力，確保了企業局域網的安全性與穩定性[11]。

參考文獻：

[1] 劉艷輝.針對局域網環境的網絡安全防護問題及措施探析[J].長江信息通信，2022（7）：168-170.

[2] 白天毅.局域網環境背景下的計算機網絡安全技術應用探析[J].網絡安全技術與應用，2023（8）：19-21.

[3] 支立勛.信息化背景下計算機網絡攻防手段分析[J].信息與電腦（理論版），2023，35（18）：184-186.

[4] 王益峰.局域網環境背景下的計算機網絡安全技術應用分析[J].軟件，2023，44（5）：145-147.

[5] 張勝昌，張艷，趙良昆.局域網環境下計算機網絡安全防護技術應用分析[J].現代工業經濟和信息化，2022，12（1）：125-127.

[6] 武振龍.淺析計算機技術與網絡技術在機房運維管理中的實現[J].信息記錄材料，2020，21（11）：181-182.

[7] 莫海輝.局域網環境背景下的計算機網絡安全技術應用策略[J].信息記錄材料，2023，24（11）：51-53.

[8] 盧艷靜.局域網環境下的計算機網絡安全技術應用分析[J].軟件，2022，43（7）：107-109.

[9] 王杰.局域網環境下的計算機網絡安全技術研究[J].信息記錄材料，2022，23（4）：136-138.

[10] 韓陽，石穎.局域網環境下計算機網絡安全防護技術應用研究[J].中國新通信，2022，24（16）：113-115.

[11] 張靚晶，盤采華.局域網網絡安全防護問題及策略[J].網絡安全和信息化，2021（12）：123-125.

【通聯編輯：代影】