吳東澤

（南寧市華地土地開發(fā)整理工程設(shè)計(jì)有限公司，廣西 南寧 530021）

所謂局域網(wǎng)，是指在一個(gè)局部的地域內(nèi)，把計(jì)算機(jī)、各種外部設(shè)備以及數(shù)據(jù)庫(kù)等連接起來(lái)組合成的計(jì)算機(jī)通信網(wǎng)絡(luò)。當(dāng)前，隨著信息網(wǎng)絡(luò)化的發(fā)展，大部分企業(yè)都進(jìn)行了本單位局域網(wǎng)的建設(shè)，并將其連入Internet中，形成內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺(tái)。企業(yè)局域網(wǎng)的應(yīng)用，雖然在一定程度上方便了企業(yè)網(wǎng)上辦公、網(wǎng)上商務(wù)貿(mào)易及企業(yè)管理，促進(jìn)了辦公及技術(shù)科研信息化，但同時(shí)也帶來(lái)了許多不安全因素，一方面，網(wǎng)絡(luò)黑客、病毒、垃圾郵件、惡意軟件、流氓軟件等給企業(yè)局域網(wǎng)的安全及性能造成很大沖擊，另一方面，企業(yè)內(nèi)部員工在上網(wǎng)過程中無(wú)意識(shí)地泄漏企業(yè)內(nèi)部信息，也會(huì)給企業(yè)帶來(lái)無(wú)法估量的損失，基于此，本文圍繞企業(yè)局域網(wǎng)的安全隱患就其安全構(gòu)建策略進(jìn)行相關(guān)探討。

1 企業(yè)局域網(wǎng)安全隱患分析

如前所述，企業(yè)局域網(wǎng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)極大便利與經(jīng)濟(jì)效益的同時(shí)，也存在諸多安全隱患，主要表現(xiàn)在：1）企業(yè)往往極度重視對(duì)Internet的物理隔離及嚴(yán)防死守，但卻忽視來(lái)自網(wǎng)絡(luò)內(nèi)部的安全空隙，系統(tǒng)的安裝有大量的漏洞沒有打上補(bǔ)丁。2）企業(yè)為使用方便，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往不加密，增加了別有用心者竊取機(jī)密數(shù)據(jù)的幾率。3）內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對(duì)數(shù)據(jù)庫(kù)、直接對(duì)服務(wù)器進(jìn)行操作，可以直接對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。4）眾多的使用者所有不同的權(quán)限，增加了管理難度，系統(tǒng)更易遭到口令及越權(quán)操作的攻擊。同時(shí)服務(wù)器對(duì)使用者的管理較為寬松，也使黑客有機(jī)可乘。5）涉密信息除了服務(wù)器，還分布于各工作計(jì)算機(jī)中，而目前對(duì)個(gè)人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。

2 局域網(wǎng)安全體系的構(gòu)建

針對(duì)上述隱患，很多企業(yè)均采取了相應(yīng)措施，在網(wǎng)絡(luò)平臺(tái)上建立了內(nèi)外網(wǎng)，并對(duì)內(nèi)外網(wǎng)實(shí)行了物理隔離，同時(shí)購(gòu)置了防火墻、防病毒、入侵檢測(cè)等部分網(wǎng)絡(luò)安全產(chǎn)品配置在網(wǎng)絡(luò)上，但這些產(chǎn)品主要是針對(duì)外網(wǎng)可能遭到的安全威脅而采取的措施，在內(nèi)網(wǎng)使用上局限性較大，下面，筆者針對(duì)企業(yè)局域網(wǎng)的特點(diǎn)，提出幾點(diǎn)安全防范措施：

2.1 強(qiáng)化物理安全策略

物理安全足指計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、信息基礎(chǔ)設(shè)施遭受雷擊、地震、水災(zāi)，火災(zāi)等自然因素，以及人為操作失誤，電磁干擾等導(dǎo)致的破壞，物理安全是整個(gè)信息系統(tǒng)安全的基礎(chǔ)，措施主要如下：1）設(shè)備安全與保密：主要包括設(shè)備的防破壞、防盜竊等。應(yīng)對(duì)中心機(jī)房采取安全防范措施，拒絕非授權(quán)人員進(jìn)入。如采用有效的電子門禁系統(tǒng)，采用磁卡或生理特征進(jìn)行身份鑒別，并安裝視頻監(jiān)控系統(tǒng)等。2）應(yīng)用熱備份連接及冗余熱備技術(shù)：備份連接在主連接失敗后立即啟動(dòng)，自動(dòng)接替主連接的工作。核心設(shè)備的冗余熱備技術(shù)，可以有效地保障網(wǎng)絡(luò)設(shè)備的安全性。

2.2 使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT)技術(shù)控制內(nèi)外網(wǎng)的相互訪問

NAT為一個(gè)IETF標(biāo)準(zhǔn)，允許一個(gè)局域網(wǎng)以一個(gè)地址出現(xiàn)在Internet上。它把內(nèi)部私有網(wǎng)絡(luò)IP地址譯成合法網(wǎng)絡(luò)IP地址，訪問外部網(wǎng)絡(luò)，解決IP地址緊缺問題。同時(shí)，NAT還能對(duì)外網(wǎng)隱藏內(nèi)網(wǎng)計(jì)算機(jī)，簡(jiǎn)化網(wǎng)絡(luò)配置，增強(qiáng)網(wǎng)絡(luò)規(guī)劃的靈活性。當(dāng)兩個(gè)有地址重疊的私有內(nèi)部網(wǎng)要連接在一起時(shí)，可使用NAT來(lái)防止地址沖突，避免逐個(gè)改變節(jié)點(diǎn)的地址。在建設(shè)局域網(wǎng)時(shí)，可在路由器、防火墻或網(wǎng)關(guān)服務(wù)器上設(shè)置NAT服務(wù)，但須考慮如此給網(wǎng)絡(luò)中已有的安全機(jī)制帶來(lái)的影響，如防火墻根據(jù)IP報(bào)頭中包含的信宿地址、TCP端口號(hào)、信源地址以及其他一些信息來(lái)決定是否讓該數(shù)據(jù)包通過。

2.3 設(shè)立防火墻阻斷惡性攻擊

防火墻是指設(shè)置在不同網(wǎng)絡(luò) (內(nèi)外網(wǎng))或網(wǎng)絡(luò)安全域間的一系列部件的組合。防火墻可建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)網(wǎng)免受非法用戶的侵入。防火墻最基本的功能是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流，能允許“同意”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將“不同意”的人及數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問網(wǎng)絡(luò)。即，若不通過防火墻，企業(yè)內(nèi)部人員就無(wú)法訪問Internet，Internet上的人也無(wú)法和公司內(nèi)部人員進(jìn)行通信。

2.4 使用虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)訪問內(nèi)網(wǎng)資源

VPN可以在防火墻與防火墻或移動(dòng)的客戶端間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者可以安全且不受拘束地互相存取。因VPN連接的特點(diǎn)，內(nèi)部網(wǎng)絡(luò)的通信內(nèi)容會(huì)在外部網(wǎng)絡(luò)上傳輸，出于安全及效率的考慮一般通信內(nèi)容需加密或壓縮。而通信過程的打包及解包工作則必須通過一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道需要一個(gè)專門的過程，依賴于一系列不同的協(xié)議。當(dāng)需要從外網(wǎng)訪問內(nèi)網(wǎng)所有資源或進(jìn)行遠(yuǎn)程控制內(nèi)網(wǎng)計(jì)算機(jī)時(shí)，可通過在網(wǎng)關(guān)服務(wù)器上設(shè)置VPN服務(wù)來(lái)實(shí)現(xiàn)安全連接。

2.5 采用備份與景象技術(shù)

計(jì)算機(jī)里的重要信息對(duì)企業(yè)至關(guān)重要，一旦不慎丟失損失不可估量，而備份與景象技術(shù)能提高信息安全的結(jié)構(gòu)完整性，確保信息的真實(shí)可靠性。即，備份能夠?qū)崿F(xiàn)數(shù)據(jù)、文件、重要信息等的丟失事后處理的完善程度，一旦丟失還能重新用備份的文件去進(jìn)行的下一步工作的開展。而鏡像技術(shù)則是指兩個(gè)同樣的設(shè)備在進(jìn)行工作，當(dāng)一個(gè)設(shè)備出現(xiàn)了內(nèi)部系統(tǒng)故障或是其他方面的技術(shù)故障等，另一個(gè)設(shè)備仍然能夠勝任其工作，從而不影響工作的效率與質(zhì)量。

2.6 積極防范網(wǎng)絡(luò)病毒保證網(wǎng)絡(luò)健康

網(wǎng)絡(luò)病毒是網(wǎng)絡(luò)應(yīng)用中最常見的，也是造成危害極大的一種網(wǎng)絡(luò)不安全因素，目前病毒的形式及傳播日趨多樣化，且感染速度快、擴(kuò)散面廣、難于徹底清除、破壞性大，因此，局域網(wǎng)系統(tǒng)的防病毒工作已不再像單臺(tái)計(jì)算機(jī)病毒的檢測(cè)及清除那樣簡(jiǎn)單，而是要建立多層次的、立體的病毒防護(hù)體系。一是要提高網(wǎng)絡(luò)安全意識(shí)，提醒使用網(wǎng)絡(luò)的員工經(jīng)常進(jìn)行系統(tǒng)補(bǔ)丁的安裝或更新，防止有些病毒利用系統(tǒng)漏洞進(jìn)行傳播，不要隨意打開陌生的郵件或郵件附件、不要輕易運(yùn)行程序，安裝正版殺毒軟件并及時(shí)進(jìn)行病毒庫(kù)的更新，養(yǎng)成及時(shí)查殺病毒的習(xí)慣，二是根據(jù)企業(yè)自身的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。這種策略可以在防火墻里、路由器里、交換機(jī)里進(jìn)行設(shè)置。只有積極有效的進(jìn)行網(wǎng)絡(luò)病毒的防范，網(wǎng)絡(luò)才會(huì)高性能、高可靠性的運(yùn)轉(zhuǎn)。

如上所述，主要是從技術(shù)層面對(duì)企業(yè)局域網(wǎng)進(jìn)行管理及控制，在實(shí)際應(yīng)用中，還需要企業(yè)再輔以相關(guān)的行政手段，并加強(qiáng)員工以及領(lǐng)導(dǎo)自身的網(wǎng)絡(luò)安全業(yè)務(wù)技能的相關(guān)知識(shí)，進(jìn)行相關(guān)的科學(xué)培訓(xùn)，從而在相應(yīng)設(shè)立的防范管理制度下去約束不規(guī)范行為，全方位確保網(wǎng)絡(luò)的安全，進(jìn)一步推動(dòng)企業(yè)信息化建設(shè)的發(fā)展。

[1]王瑜，周武強(qiáng).淺談企業(yè)局域網(wǎng)的安全管理[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（7）：117.

[2]鄧鋒.企業(yè)局域網(wǎng)絡(luò)安至策略分析[J].科園月刊，2010（4）：29-30.

[3]王建.局域網(wǎng)網(wǎng)絡(luò)安全綜合防御體系構(gòu)建與分析[J].電腦知識(shí)與技術(shù)，9630-9634.