信息網(wǎng)絡(luò)安全是是公安部主管，公安部第三研究所主辦的綜合性專業(yè)月刊，是公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局及其下屬各網(wǎng)絡(luò)安全監(jiān)察部門對(duì)外宣傳的窗口。本文就是一篇關(guān)于企業(yè)局域網(wǎng)信息安全的文章。

　　摘要：企業(yè)局域網(wǎng)是一個(gè)采用lnternet技術(shù)建立的機(jī)構(gòu)內(nèi)聯(lián)網(wǎng)絡(luò)。它以TCP/IP協(xié)議作為基礎(chǔ)。以Web為核心應(yīng)用.構(gòu)成統(tǒng)一和便利的信息交換平臺(tái)。針對(duì)企業(yè)局域網(wǎng)絡(luò)中存在的各種不安全因素.管理的不完善、人為的蓄意破壞以及技術(shù)上的漏洞等問題，設(shè)計(jì)一套符合企業(yè)局域網(wǎng)實(shí)際的安全方案.并闡述了方案的具體內(nèi)容和作用

　　關(guān)鍵詞：信息網(wǎng)絡(luò)安全,網(wǎng)絡(luò),安全技術(shù),管理措施

　　1前言

　　隨著企業(yè)科學(xué)管理水平的提高.企業(yè)管理信息化越來越受到企業(yè)的重視.企業(yè)ERP(企業(yè)資源計(jì)劃)系統(tǒng)、企業(yè)電子郵局系統(tǒng)和OA辦公自動(dòng)化系統(tǒng)等先進(jìn)的管理系統(tǒng)都進(jìn)入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國(guó)際互聯(lián)網(wǎng)(Internet)聯(lián)接，形成一個(gè)內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺(tái)。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時(shí).也面臨著外部環(huán)境——國(guó)際互聯(lián)網(wǎng)的種種危險(xiǎn)。如病毒，黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊如何更有效地保護(hù)企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個(gè)重要問題。

　　2網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素

　　網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題.影響企業(yè)局域網(wǎng)的穩(wěn)定性和安全性的因素是多方面的，主要表現(xiàn)在以下幾個(gè)方面：

　　2.1外網(wǎng)安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅

　　2.2內(nèi)網(wǎng)安全最新調(diào)查顯示.在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)局域網(wǎng)絡(luò)資源、并引入病毒和間諜.或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密

　　2.3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享.又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過程中不得不考慮的問題各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作

　　3企業(yè)局域網(wǎng)安全方案

　　為了更好的解決上述問題.確保網(wǎng)絡(luò)信息的安全，企業(yè)應(yīng)建立完善的安全保障體系該體系應(yīng)包括網(wǎng)絡(luò)安全技術(shù)防護(hù)和網(wǎng)絡(luò)安全管理兩方面網(wǎng)絡(luò)安全技術(shù)防護(hù)主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要數(shù)據(jù)信息安全.網(wǎng)絡(luò)安全管理則側(cè)重于內(nèi)部人員操作使用的管理.采用網(wǎng)絡(luò)安全技術(shù)構(gòu)筑防御體系的同時(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理這兩方面相互補(bǔ)充，缺一不可。

　　3.1企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)體系

　　包括入侵檢測(cè)系統(tǒng)、安全訪問控制、漏洞掃描、病毒防護(hù)、防火墻、接入認(rèn)證、電子文檔保護(hù)和網(wǎng)絡(luò)行為監(jiān)控。

　　1)入侵檢測(cè)系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動(dòng)防御體系.需要同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)首先.在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品.不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.如果數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)中的某些規(guī)則吻合.就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接其次.在重要的主機(jī)上(如W WW服務(wù)器，E—mail服務(wù)器，F(xiàn)TP服務(wù)器)安裝基于主機(jī)的入侵檢測(cè)系統(tǒng).對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審

　　計(jì)日志進(jìn)行智能分析和判斷.如果其中主體活動(dòng)十分可疑.入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施

　　2)安全訪問控制系統(tǒng)針對(duì)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術(shù)方面需要制定相應(yīng)的策略.以保護(hù)系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞.維護(hù)局域網(wǎng)的安全

　　3)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題的方法是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具.利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式.最大可能地彌補(bǔ)最新的安全漏洞并消除安全隱患.

　　4)病毒防護(hù)系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計(jì)算機(jī)病毒侵入、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系.特別是針對(duì)重要的網(wǎng)段和服務(wù)器.要進(jìn)行徹底堵截.

　　5)防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問控制策略.決定哪些內(nèi)部站點(diǎn)允許外界訪問和允許訪問外界.從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵在外部路由器上設(shè)置一個(gè)包過濾防火墻，它只讓與屏蔽子網(wǎng)中的辦理服務(wù)器、E—mail服務(wù)器、信息服務(wù)器有關(guān)的數(shù)據(jù)包通過。其他所有類型的數(shù)據(jù)包都被丟棄.從而把外界Internet對(duì)屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi).

　　6)接入認(rèn)證系統(tǒng)對(duì)計(jì)算機(jī)終端實(shí)行實(shí)名制度.固定IP、綁定MAC地址.結(jié)合企業(yè)門戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實(shí)施實(shí)行機(jī)終端接入準(zhǔn)入制度.未經(jīng)過安全認(rèn)證的計(jì)算機(jī)不能接人企業(yè)局域網(wǎng)絡(luò)

　　7)電子文檔保護(hù)系統(tǒng)。企業(yè)重要信息整個(gè)生命周期(信息發(fā)布過程、信息操作過程、信息傳輸過程、信息存儲(chǔ)過程、信息銷毀過程)得到全程透明加密保護(hù)，保證只用合法的用戶才能通過認(rèn)證、授權(quán)訪問涉密文件。非法用戶無法在信息的產(chǎn)生到銷毀過程的任何環(huán)節(jié)竊取、拷貝、打印、另存、發(fā)布涉密文件，阻斷一切可能的泄密路徑.有效防護(hù)各種主動(dòng)、被動(dòng)泄密事件的發(fā)生。

　　8)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)網(wǎng)絡(luò)行為監(jiān)控是指系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)安全要求和企業(yè)的有關(guān)行政管理規(guī)定.對(duì)內(nèi)網(wǎng)用戶進(jìn)行管理的一種技術(shù)手段.主要用于監(jiān)控企業(yè)內(nèi)部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時(shí)間上網(wǎng)聊天、玩游戲、瀏覽違禁網(wǎng)站等。

　　3.2企業(yè)局域網(wǎng)安全管理措施

　　有了先進(jìn)完善的網(wǎng)絡(luò)安全技術(shù)保護(hù)體系.如果日常的安全管理跟不上.同樣也不能保證企業(yè)網(wǎng)絡(luò)的“高枕無憂”：可以說規(guī)劃制定一套完整的安全管理措施是網(wǎng)絡(luò)安全技術(shù)保護(hù)體系的補(bǔ)充.它會(huì)幫助校正企業(yè)網(wǎng)絡(luò)管理上的一些常見但是有威脅性的漏洞。它主要包括以下內(nèi)容： 1)隨著企業(yè)局域網(wǎng)的不斷應(yīng)用.應(yīng)當(dāng)同步規(guī)劃網(wǎng)絡(luò)安全體系的技術(shù)更新同時(shí).為了避免在緊急情況下.預(yù)先制定的安全體系無法發(fā)揮作用時(shí).應(yīng)考慮采用何種應(yīng)急方案的問題應(yīng)急方案應(yīng)該事先制訂并貫徹到企業(yè)各部門.事先做好多級(jí)的安全響應(yīng)方案.才能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時(shí)將損失降低到最低.并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài);2)扎實(shí)做好網(wǎng)絡(luò)安全的基礎(chǔ)防護(hù)工作：①服務(wù)器應(yīng)當(dāng)安裝干凈的操作系統(tǒng).不需要的服務(wù)一律不裝.同時(shí)要重視網(wǎng)絡(luò)終端的安全配置.防止它們成為黑客和病毒的跳板：②遵循“用戶權(quán)限最小化”的網(wǎng)絡(luò)配置原則.設(shè)置重要文件的訪問權(quán)限.關(guān)閉不必要的端口，專用主機(jī)只開專用功能等;③下載安裝最新的操作系統(tǒng)、應(yīng)用軟件和升級(jí)補(bǔ)丁對(duì)系統(tǒng)進(jìn)行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改：④制定完整的系統(tǒng)數(shù)據(jù)備份計(jì)劃.并嚴(yán)格實(shí)施，確保系統(tǒng)數(shù)據(jù)庫(kù)的可靠性和完整性：3)對(duì)各類惡意攻擊要有積極的響應(yīng)措施制定詳盡的入侵應(yīng)急措施以及匯報(bào)制度。發(fā)現(xiàn)入侵跡象.盡力定位入侵者的位置，如有必要。斷開網(wǎng)絡(luò)連接在服務(wù)主機(jī)不能繼續(xù)服務(wù)的情況下.應(yīng)該有能力從備份磁盤中恢復(fù)服務(wù)到備份主機(jī)上; 4)建立完善的日志監(jiān)控措施，加強(qiáng)日志記錄.以報(bào)告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計(jì)算機(jī)安全管理制度、機(jī)房管理制度、管理員網(wǎng)絡(luò)維護(hù)管理制度等.約束普通用戶等網(wǎng)絡(luò)訪問者.督促管理員很好地完成自身的工作，增強(qiáng)大家的網(wǎng)絡(luò)安全意識(shí).防止因粗心大意或不貫徹制度而導(dǎo)致安全事故.尤其要注意制度的監(jiān)督貫徹執(zhí)行.否則就形同虛設(shè)。

　　4結(jié)束語

　　企業(yè)局域網(wǎng)絡(luò)信息安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)。是一個(gè)系統(tǒng)的工程。不能僅依靠殺毒軟件、防火墻、漏洞檢測(cè)等等硬件設(shè)備的防護(hù)，還需要網(wǎng)絡(luò)管理員、系統(tǒng)管理員、線路維護(hù)人員，以及終端用戶的相互合作.才能保障網(wǎng)絡(luò)的安全。