淺議企業(yè)局域網(wǎng)信息安全

陳德軍

【摘要】 隨著信息化技術(shù)的不斷發(fā)展完善，越來越多的企業(yè)擁有了自己的內(nèi)部局域網(wǎng)，為企業(yè)現(xiàn)代化奠定了基礎(chǔ)。企業(yè)局域網(wǎng)一般是一個(gè)以TCP/IP協(xié)議作為基礎(chǔ)，以Web為核心應(yīng)用，構(gòu)成統(tǒng)一和便利的信息交換平臺(tái)。但是企業(yè)局域網(wǎng)中也存在著各種不安全因素，比如管理的不完善、人為的蓄意破壞以及技術(shù)上的漏洞等問題，本文給出一套符合企業(yè)局域網(wǎng)實(shí)際的安全解決方案，并具體闡述了方案各方面的內(nèi)容和作用。

【關(guān)鍵詞】 企業(yè)局域網(wǎng)；信息安全；管理制度

隨著企業(yè)科學(xué)管理水平的提高，企業(yè)管理信息化越來越受到企業(yè)的重視。企業(yè)ERP（企業(yè)資源計(jì)劃）系統(tǒng)、企業(yè)電子郵局系統(tǒng)和OA辦公自動(dòng)化系統(tǒng)等先進(jìn)的管理系統(tǒng)都進(jìn)入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國(guó)際互聯(lián)網(wǎng)（Internet）聯(lián)接，形成一個(gè)內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺(tái)。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時(shí)，也面臨著外部環(huán)境——國(guó)際互聯(lián)網(wǎng)的種種危險(xiǎn)。如病毒，黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊如何更有效地保護(hù)企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個(gè)重要問題。

1.網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題，影響企業(yè)局域網(wǎng)的穩(wěn)定性和安全性的因素是多方面的，主要表現(xiàn)在以下幾個(gè)方面：

1.1外網(wǎng)安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。

1.2內(nèi)網(wǎng)安全最新調(diào)查顯示。在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)局域網(wǎng)絡(luò)資源、并引入病毒和間諜.或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密。

1.3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享.又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過程中不得不考慮的問題各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。

2.企業(yè)局域網(wǎng)信息安全風(fēng)險(xiǎn)

隨著企業(yè)局域網(wǎng)應(yīng)用的增加，很大的提高了企業(yè)的生產(chǎn)率，同時(shí)企業(yè)對(duì)局域網(wǎng)的依賴也越來越強(qiáng)。很多企業(yè)局域網(wǎng)一旦中斷，整個(gè)業(yè)務(wù)都將陷入癱瘓。實(shí)際使用中企業(yè)局域網(wǎng)信息安全面臨著多種多樣的挑戰(zhàn)，主要的安全風(fēng)險(xiǎn)可以歸結(jié)為以下幾類：

2.1 主動(dòng)網(wǎng)絡(luò)攻擊。來自對(duì)企業(yè)有惡意的實(shí)體對(duì)企業(yè)局域網(wǎng)發(fā)動(dòng)的主動(dòng)的網(wǎng)絡(luò)攻擊。惡意的實(shí)體包括有商業(yè)競(jìng)爭(zhēng)的對(duì)手公司，企業(yè)內(nèi)部有仇恨情緒的員工，甚至對(duì)企業(yè)持不滿態(tài)度的顧客等，出于獲得不當(dāng)利益或報(bào)復(fù)情緒都可能對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行破壞與竊密。另外還有一類可能本身與企業(yè)沒有直接利益關(guān)系的群體，他們?cè)嚲W(wǎng)通過對(duì)企業(yè)局域網(wǎng)的入侵或攻擊來證明其個(gè)人價(jià)值、使用企業(yè)內(nèi)部信息牟取非法利益更或者通過攻擊企業(yè)局域網(wǎng)進(jìn)行網(wǎng)絡(luò)敲詐。

2.2 病毒木馬的擴(kuò)散。如今的計(jì)算機(jī)網(wǎng)絡(luò)世界，病毒和木馬泛濫，每一天都會(huì)有成千上百種病毒或者木馬產(chǎn)生。而在很多企業(yè)局域網(wǎng)中，安全技術(shù)力量不足，信息安全管理松散、員工安全意識(shí)淡薄等問題廣泛存。隨著企業(yè)局域網(wǎng)與網(wǎng)外數(shù)據(jù)交流聯(lián)系日益緊密.病毒木馬更容易在企業(yè)局域網(wǎng)內(nèi)傳播并造成危害，嚴(yán)重時(shí)甚至有可能造成整個(gè)企業(yè)網(wǎng)絡(luò)的中斷，導(dǎo)致企業(yè)業(yè)務(wù)不可用。病毒木馬擴(kuò)散類安全風(fēng)險(xiǎn)，危害方式多種多樣，技術(shù)特性發(fā)展變化迅速、危害多發(fā)易發(fā)、后果可輕可重。

2.3 非技術(shù)安全風(fēng)險(xiǎn)。非技術(shù)安全風(fēng)險(xiǎn)是指諸如員工誤操作、偶然事故等造成的企業(yè)局域網(wǎng)信息安全風(fēng)險(xiǎn)。由于日前企業(yè)員工普遍存在安全知識(shí)缺乏、安全意識(shí)薄弱、偶爾操作過程不夠謹(jǐn)慎仔細(xì)，很可能造成誤操作或信息泄漏。偶然事故類則包含軟硬件設(shè)施的偶然故障，電力供應(yīng)中斷，網(wǎng)絡(luò)服務(wù)線路故障等等。

3.企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)體系

主要包括入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、病毒防護(hù)、防火墻、認(rèn)證系統(tǒng)和網(wǎng)絡(luò)行為監(jiān)控等幾大安全系統(tǒng)。

3.1 入侵檢測(cè)系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動(dòng)防御體系，同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，在重要的服務(wù)器上（如WEB服務(wù)器，郵件服務(wù)器，協(xié)同辦公服務(wù)器等）安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷，如果其中主體活動(dòng)十分可疑，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。

3.2漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

3.3病毒防護(hù)系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計(jì)算機(jī)病毒侵入、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系。特別是針對(duì)重要的網(wǎng)段和服務(wù)器。要進(jìn)行徹底堵截。

3.4 防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問控制策略，決定哪些內(nèi)部站點(diǎn)允許外界訪問和允許訪問外界，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵在外部路由器上設(shè)置一個(gè)包過濾防火墻，它只允許與屏蔽子網(wǎng)中的應(yīng)用服務(wù)器有關(guān)的數(shù)據(jù)包通過，其他所有類型的數(shù)據(jù)包都被丟棄，從而把外界網(wǎng)絡(luò)對(duì)屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi)，保證內(nèi)部網(wǎng)絡(luò)的安全。

3.5認(rèn)證系統(tǒng)。比如網(wǎng)絡(luò)內(nèi)應(yīng)使用固定IP、綁定MAC地址；結(jié)合企業(yè)門戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實(shí)施實(shí)行機(jī)終端接入準(zhǔn)入制度，未經(jīng)過安全認(rèn)證的計(jì)算機(jī)不能接人企業(yè)局域網(wǎng)絡(luò)。

4.企業(yè)局域網(wǎng)安全管理措施

雖然先進(jìn)完善的網(wǎng)絡(luò)安全技術(shù)保護(hù)體系，如果日常的安全管理跟不上，同樣也不能保證企業(yè)網(wǎng)絡(luò)的絕對(duì)安全，一套完整的安全管理措施是必不可缺少的。

4.1為了避免在緊急情況下預(yù)先制定的安全體系無法發(fā)揮作用時(shí)，應(yīng)考慮采用何種應(yīng)急方案的問題應(yīng)急方案應(yīng)該事先制訂并貫徹到企業(yè)各部門，事先做好多級(jí)的安全響應(yīng)方案，才能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時(shí)將損失降低到最低，并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài)；

4.2對(duì)各類惡意攻擊要有積極的響應(yīng)措施，并制定詳盡的入侵應(yīng)急措施以及匯報(bào)制度。發(fā)現(xiàn)入侵跡象，盡力定位入侵者的位置，如有必要，斷開網(wǎng)絡(luò)連接在服務(wù)主機(jī)不能繼續(xù)服務(wù)的情況下，應(yīng)該有能力從備份磁盤中恢復(fù)服務(wù)到備份主機(jī)上。

4.3扎實(shí)做好網(wǎng)絡(luò)安全的基礎(chǔ)防護(hù)工作，建立完善的日志監(jiān)控措施，加強(qiáng)日志記錄，以報(bào)告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡。

4.4制定并貫徹安全管理制度。如制定計(jì)算機(jī)安全管理制度、機(jī)房管理制度、管理員網(wǎng)絡(luò)維護(hù)管理制度等，約束普通用戶等網(wǎng)絡(luò)訪問者，督促管理員很好地完成自身的工作，增強(qiáng)大家的網(wǎng)絡(luò)安全意識(shí)，防止因粗心大意或不貫徹制度而導(dǎo)致安全事故。

總之，企業(yè)局域網(wǎng)絡(luò)信息安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)，是一個(gè)系統(tǒng)的工程。不能僅依靠殺毒軟件、防火墻、漏洞檢測(cè)等等硬件設(shè)備的防護(hù)，還需要網(wǎng)絡(luò)管理員、系統(tǒng)管理員、線路維護(hù)人員，以及終端用戶的相互合作.才能保障網(wǎng)絡(luò)的安全。