信息網絡安全是是公安部主管，公安部第三研究所主辦的綜合性專業月刊，是公安部公共信息網絡安全監察局及其下屬各網絡安全監察部門對外宣傳的窗口。本文就是一篇關于企業局域網信息安全的文章。

　　摘要：企業局域網是一個采用lnternet技術建立的機構內聯網絡。它以TCP/IP協議作為基礎。以Web為核心應用.構成統一和便利的信息交換平臺。針對企業局域網絡中存在的各種不安全因素.管理的不完善、人為的蓄意破壞以及技術上的漏洞等問題，設計一套符合企業局域網實際的安全方案.并闡述了方案的具體內容和作用

　　關鍵詞：信息網絡安全,網絡,安全技術,管理措施

　　1前言

　　隨著企業科學管理水平的提高.企業管理信息化越來越受到企業的重視.企業ERP(企業資源計劃)系統、企業電子郵局系統和OA辦公自動化系統等先進的管理系統都進入企業并成為企業重要的綜合管理系統。企業局域網與國際互聯網(Internet)聯接，形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時.也面臨著外部環境——國際互聯網的種種危險。如病毒，黑客、垃圾郵件、流氓軟件等給企業內部網的安全和性能造成極大地沖擊如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題。

　　2網絡安全及影響網絡安全的因素

　　網絡安全一直都是困擾企業用戶的一道難題.影響企業局域網的穩定性和安全性的因素是多方面的，主要表現在以下幾個方面：

　　2.1外網安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅

　　2.2內網安全最新調查顯示.在受調查的企業中60%以上的員工利用網絡處理私人事務對網絡的不正當使用，降低了生產率、阻礙電腦網絡、消耗企業局域網絡資源、并引入病毒和間諜.或者使得不法員工可以通過網絡泄漏企業機密

　　2.3內部網絡之間、內外網絡之間的連接安全。隨著企業的發展壯大，逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享.又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題各地機構與總部之間的網絡連接安全直接影響企業的高效運作

　　3企業局域網安全方案

　　為了更好的解決上述問題.確保網絡信息的安全，企業應建立完善的安全保障體系該體系應包括網絡安全技術防護和網絡安全管理兩方面網絡安全技術防護主要側重于防范外部非法用戶的攻擊和企業重要數據信息安全.網絡安全管理則側重于內部人員操作使用的管理.采用網絡安全技術構筑防御體系的同時，加強網絡安全管理這兩方面相互補充，缺一不可。

　　3.1企業的網絡安全技術防護體系

　　包括入侵檢測系統、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網絡行為監控。

　　1)入侵檢測系統。在企業局域網中構建一套完整立體的主動防御體系.需要同時采用基于網絡和基于主機的入侵檢測系統首先.在校園網比較重要的網段中放置基于網絡的入侵檢測產品.不停地監視網段中的各種數據包.如果數據包與入侵檢測系統中的某些規則吻合.就會發出警報或者直接切斷網絡的連接其次.在重要的主機上(如W WW服務器，E—mail服務器，FTP服務器)安裝基于主機的入侵檢測系統.對該主機的網絡實時連接以及系統審

　　計日志進行智能分析和判斷.如果其中主體活動十分可疑.入侵檢測系統就會采取相應措施

　　2)安全訪問控制系統針對企業局域網絡系統的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術方面需要制定相應的策略.以保護系統內的各種資源不遭到自然與人為的破壞.維護局域網的安全

　　3)漏洞掃描系統。解決網絡層安全問題的方法是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具.利用優化系統配置和打補丁等各種方式.最大可能地彌補最新的安全漏洞并消除安全隱患.

　　4)病毒防護系統。企業局域網防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。校園網需建立統一集中的病毒防范體系.特別是針對重要的網段和服務器.要進行徹底堵截.

　　5)防火墻系統。防火墻在企業局域網與Internet之間執行訪問控制策略.決定哪些內部站點允許外界訪問和允許訪問外界.從而保護內部網免受非法用戶的入侵在外部路由器上設置一個包過濾防火墻，它只讓與屏蔽子網中的辦理服務器、E—mail服務器、信息服務器有關的數據包通過。其他所有類型的數據包都被丟棄.從而把外界Internet對屏蔽子網的訪問限制在特定的服務器的范圍內.

　　6)接入認證系統對計算機終端實行實名制度.固定IP、綁定MAC地址.結合企業門戶、辦公系統等管理業務系統的實施實行機終端接入準入制度.未經過安全認證的計算機不能接人企業局域網絡

　　7)電子文檔保護系統。企業重要信息整個生命周期(信息發布過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程)得到全程透明加密保護，保證只用合法的用戶才能通過認證、授權訪問涉密文件。非法用戶無法在信息的產生到銷毀過程的任何環節竊取、拷貝、打印、另存、發布涉密文件，阻斷一切可能的泄密路徑.有效防護各種主動、被動泄密事件的發生。

　　8)網絡行為監控系統網絡行為監控是指系統管理員根據網絡安全要求和企業的有關行政管理規定.對內網用戶進行管理的一種技術手段.主要用于監控企業內部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網聊天、玩游戲、瀏覽違禁網站等。

　　3.2企業局域網安全管理措施

　　有了先進完善的網絡安全技術保護體系.如果日常的安全管理跟不上.同樣也不能保證企業網絡的“高枕無憂”：可以說規劃制定一套完整的安全管理措施是網絡安全技術保護體系的補充.它會幫助校正企業網絡管理上的一些常見但是有威脅性的漏洞。它主要包括以下內容： 1)隨著企業局域網的不斷應用.應當同步規劃網絡安全體系的技術更新同時.為了避免在緊急情況下.預先制定的安全體系無法發揮作用時.應考慮采用何種應急方案的問題應急方案應該事先制訂并貫徹到企業各部門.事先做好多級的安全響應方案.才能在企業網絡遇到毀滅性破壞時將損失降低到最低.并能盡快恢復網絡到正常狀態;2)扎實做好網絡安全的基礎防護工作：①服務器應當安裝干凈的操作系統.不需要的服務一律不裝.同時要重視網絡終端的安全配置.防止它們成為黑客和病毒的跳板：②遵循“用戶權限最小化”的網絡配置原則.設置重要文件的訪問權限.關閉不必要的端口，專用主機只開專用功能等;③下載安裝最新的操作系統、應用軟件和升級補丁對系統進行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改：④制定完整的系統數據備份計劃.并嚴格實施，確保系統數據庫的可靠性和完整性：3)對各類惡意攻擊要有積極的響應措施制定詳盡的入侵應急措施以及匯報制度。發現入侵跡象.盡力定位入侵者的位置，如有必要。斷開網絡連接在服務主機不能繼續服務的情況下.應該有能力從備份磁盤中恢復服務到備份主機上; 4)建立完善的日志監控措施，加強日志記錄.以報告網絡的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網絡維護管理制度等.約束普通用戶等網絡訪問者.督促管理員很好地完成自身的工作，增強大家的網絡安全意識.防止因粗心大意或不貫徹制度而導致安全事故.尤其要注意制度的監督貫徹執行.否則就形同虛設。

　　4結束語

　　企業局域網絡信息安全與網絡的發展戚戚相關。是一個系統的工程。不能僅依靠殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護，還需要網絡管理員、系統管理員、線路維護人員，以及終端用戶的相互合作.才能保障網絡的安全。