淺談企業(yè)局域網(wǎng)信息安全維護(hù)方案

張琦

摘要：隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用已經(jīng)遍布社會(huì)發(fā)展的各行各業(yè)，企業(yè)的工作開(kāi)展對(duì)網(wǎng)絡(luò)的依賴越來(lái)越大，然而隨之而來(lái)的也是一系列的網(wǎng)絡(luò)安全問(wèn)題。企業(yè)局域網(wǎng)是以TCP/IP協(xié)議作為基礎(chǔ)，采用lnternet技術(shù)建立的機(jī)構(gòu)內(nèi)聯(lián)網(wǎng)絡(luò)，以Web為核心應(yīng)用，構(gòu)成統(tǒng)一和便利的信息交換平臺(tái)。企業(yè)局域網(wǎng)信息安全維護(hù)是企業(yè)計(jì)算機(jī)中心部門(mén)工作的重中之重。企業(yè)網(wǎng)絡(luò)安全系統(tǒng)不僅要防范病毒感染，更多防范的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)。本文針對(duì)企業(yè)局域網(wǎng)絡(luò)中存在的各種不安全因素、管理的不完善以及技術(shù)上的漏洞等問(wèn)題，設(shè)計(jì)一套符合企業(yè)局域網(wǎng)實(shí)際的安全方案。

關(guān)鍵詞：局域網(wǎng);網(wǎng)絡(luò)安全;安全技術(shù);管理措施

1前言

隨著企業(yè)科學(xué)管理水平的提高，企業(yè)管理信息化越來(lái)越受到企業(yè)的重視。企業(yè)ERP（企業(yè)資源計(jì)劃）系統(tǒng)、OA辦公自動(dòng)化系統(tǒng)等先進(jìn)的管理系統(tǒng)都進(jìn)入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國(guó)際互聯(lián)網(wǎng)（Internet）聯(lián)接，形成一個(gè)內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺(tái)。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來(lái)工作便利的同時(shí)，也面臨著外部環(huán)境——國(guó)際互聯(lián)網(wǎng)的種種危險(xiǎn)。如病毒、黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊。如何更有效地保護(hù)企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個(gè)重要問(wèn)題。

2網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題。和其它計(jì)算機(jī)網(wǎng)絡(luò)相比局域網(wǎng)對(duì)于數(shù)據(jù)的傳輸更為敏感，因此，網(wǎng)上信息的安全和保密就變得更為重要。

3企業(yè)局域網(wǎng)安全方案

為了更好的解決上述問(wèn)題，確保網(wǎng)絡(luò)信息的安全，企業(yè)應(yīng)建立完善的安全保障體系。網(wǎng)絡(luò)安全技術(shù)防護(hù)主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要數(shù)據(jù)信息安全，網(wǎng)絡(luò)安全管理則側(cè)重于內(nèi)部人員操作使用的管理。采用網(wǎng)絡(luò)安全技術(shù)構(gòu)筑防御體系的同時(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理這兩方面相互補(bǔ)充，缺一不可。

3.1企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)體系

3.1.1入侵檢測(cè)系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動(dòng)防御體系。需要同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，在局域網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，如果數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)中的某些規(guī)則吻合，就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接。

3.1.2安全訪問(wèn)控制系統(tǒng)針對(duì)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的安全威脅。必須建立整體的、卓有成效的安全策略。尤其是在訪問(wèn)控制的管理與技術(shù)方面需要制定相應(yīng)的策略，以保護(hù)系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞，維護(hù)局域網(wǎng)的安全。

3.1.3 漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問(wèn)題的方法是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式，最大可能地彌補(bǔ)最新的安全漏洞并消除安全隱患。

3.1.4 病毒防護(hù)系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計(jì)算機(jī)病毒侵入、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來(lái)源。企業(yè)局域網(wǎng)需建立統(tǒng)一集中的病毒防范體系，特別是針對(duì)重要的網(wǎng)段和服務(wù)器，要進(jìn)行徹底堵截。

3.1.5防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問(wèn)控制策略，決定哪些內(nèi)部站點(diǎn)允許外界訪問(wèn)和允許訪問(wèn)外界。從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵，從而把外界Internet對(duì)屏蔽子網(wǎng)的訪問(wèn)限制在特定的服務(wù)器的范圍內(nèi)。

3.1.6接入認(rèn)證系統(tǒng)對(duì)計(jì)算機(jī)終端實(shí)行實(shí)名制度。固定IP、綁定MAC地址、結(jié)合企業(yè)門(mén)戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實(shí)施實(shí)行機(jī)終端接入準(zhǔn)入制度。未經(jīng)過(guò)安全認(rèn)證的計(jì)算機(jī)不能接人企業(yè)局域網(wǎng)絡(luò)。

3.1.7電子文檔保護(hù)系統(tǒng)。企業(yè)重要信息整個(gè)生命周期（信息發(fā)布過(guò)程、信息操作過(guò)程、信息傳輸過(guò)程、信息存儲(chǔ)過(guò)程、信息銷(xiāo)毀過(guò)程）得到全程透明加密保護(hù)，保證只用合法的用戶才能通過(guò)認(rèn)證、授權(quán)訪問(wèn)涉密文件。

3.1.8網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)。網(wǎng)絡(luò)行為監(jiān)控是指系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)安全要求和企業(yè)的有關(guān)行政管理規(guī)定，對(duì)內(nèi)網(wǎng)用戶進(jìn)行管理的一種技術(shù)手段。

3.1.9保證機(jī)房環(huán)境安全。信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。機(jī)房安全要從以下三個(gè)方面考慮：1）自然災(zāi)害、物理?yè)p壞和設(shè)備故障。2）電磁輻射、乘機(jī)而入、痕跡泄漏等。 3）操作失誤、意外疏漏等。

3.2企業(yè)局域網(wǎng)安全管理措施

有了先進(jìn)完善的網(wǎng)絡(luò)安全技術(shù)保護(hù)體系，如果計(jì)算機(jī)網(wǎng)絡(luò)的管理監(jiān)督不嚴(yán)格，也有可能造成計(jì)算機(jī)網(wǎng)絡(luò)存在安全問(wèn)題，同樣也不能保證企業(yè)網(wǎng)絡(luò)的安全。規(guī)劃制定一套完整的安全管理措施可以作為網(wǎng)絡(luò)安全技術(shù)保護(hù)體系的補(bǔ)充。

3.2.1加強(qiáng)安全管理

盡快建立一個(gè)新的網(wǎng)絡(luò)安全機(jī)制，計(jì)算機(jī)中心網(wǎng)絡(luò)管理者可以通過(guò)改善網(wǎng)絡(luò)安全意識(shí)和訪問(wèn)網(wǎng)站活動(dòng)多層次記錄，這樣下來(lái)非法入侵行為將被發(fā)現(xiàn)，進(jìn)而可以并采取相應(yīng)的措施。應(yīng)當(dāng)事先做好多級(jí)的安全響應(yīng)方案，為了避免在緊急情況下，預(yù)先制定的安全體系無(wú)法發(fā)揮作用時(shí)，能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時(shí)將損失降低到最低，并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài);

3.2.2扎實(shí)做好網(wǎng)絡(luò)安全的基礎(chǔ)防護(hù)工作：①服務(wù)器應(yīng)當(dāng)安裝干凈的操作系統(tǒng)，不需要的服務(wù)一律不裝，同時(shí)要重視網(wǎng)絡(luò)終端的安全配置，防止它們成為黑客和病毒的跳板;②遵循“用戶權(quán)限最小化”的網(wǎng)絡(luò)配置原則，設(shè)置重要文件的訪問(wèn)權(quán)限，關(guān)閉不必要的端口，專用主機(jī)只開(kāi)專用功能等;③下載安裝最新的操作系統(tǒng)、應(yīng)用軟件和升級(jí)補(bǔ)丁對(duì)系統(tǒng)進(jìn)行完整性檢查。定期檢查用戶的脆弱口令，并通知用戶盡快修改;④制定完整的系統(tǒng)數(shù)據(jù)備份計(jì)劃，并嚴(yán)格實(shí)施，確保系統(tǒng)數(shù)據(jù)庫(kù)的可靠性和完整性。

3.2.3對(duì)各類(lèi)惡意攻擊要有積極的響應(yīng)措施，制定詳盡的入侵應(yīng)急措施以及匯報(bào)制度。發(fā)現(xiàn)入侵跡象，盡力定位入侵者的位置。

3.2.4建立完善的日志監(jiān)控措施，加強(qiáng)日志記錄。以報(bào)告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡。

3.2.5制定并貫徹安全管理制度。如制定計(jì)算機(jī)安全管理制度、機(jī)房管理制度、管理員網(wǎng)絡(luò)維護(hù)管理制度等。

4 結(jié)束語(yǔ)

本文針對(duì)企業(yè)局域網(wǎng)絡(luò)的安全問(wèn)題進(jìn)行了相應(yīng)的分析，提出改善機(jī)房局域網(wǎng)安全性能的方法。目前互聯(lián)網(wǎng)的環(huán)境越來(lái)越復(fù)雜，存在的安全問(wèn)題是越來(lái)越難解決，保障企業(yè)局域網(wǎng)絡(luò)信息安全與企業(yè)工作的順暢開(kāi)展息息相關(guān)。不能僅依靠殺毒軟件、防火墻、漏洞檢測(cè)等等硬件設(shè)備的防護(hù)，還需要網(wǎng)絡(luò)管理員、系統(tǒng)管理員、線路維護(hù)人員，以及終端用戶的相互合作，才能保障網(wǎng)絡(luò)的安全。

（作者單位：黑龍江煙草工業(yè)有限責(zé)任公司綏化卷煙廠）