企业局域网安全构建的策略探究.doc

企业局域网安全构建的策略探究 　　摘要：随着信息网络化的发展，网域网在各行各业得到越来越广泛的应用，但同时也带来了许多不安全因素，因此网络安全也成为一个重要的话题。本文从局域网的安全隐患出发，着重从技术角度，从六大方面构建了具有普遍适用意义的局域网安全解决方案。 　　关键词：企业；局域网；安全 　　中图分类号：TP393.1 文献标识码：A 　　所谓局域网，是指在一个局部的地域内，把计算机、各种外部设备以及数据库等连接起来组合成的计算机通信网络。当前，随着信息网络化的发展，大部分企业都进行了本单位局域网的建设，并将其连入Internet中，形成内、外部信息共享的网络平台。企业局域网的应用，虽然在一定程度上方便了企业网上办公、网上商务贸易及企业管理，促进了办公及技术科研信息化，但同时也带来了许多不安全因素，一方面，网络黑客、病毒、垃圾邮件、恶意软件、流氓软件等给企业局域网的安全及性能造成很大冲击，另一方面，企业内部员工在上网过程中无意识地泄漏企业内部信息，也会给企业带来无法估量的损失，基于此，本文围绕企业局域网的安全隐患就其安全构建策略进行相关探讨。 　　1 企业局域网安全隐患分析 　　如前所述，企业局域网给企业的经营管理带来极大便利与经济效益的同时，也存在诸多安全隐患，主要表现在：1）企业往往极度重视对Internet的物理隔离及严防死守，但却忽视来自网络内部的安全空隙，系统的安装有大量的漏洞没有打上补丁。2）企业为使用方便，在内网传输的数据往往不加密，增加了别有用心者窃取机密数据的几率。3）内部网络的用户往往直接面对数据库、直接对服务器进行操作，可以直接对关键数据进行窃取或者破坏。4）众多的使用者所有不同的权限，增加了管理难度，系统更易遭到口令及越权操作的攻击。同时服务器对使用者的管理较为宽松，也使黑客有机可乘。5）涉密信息除了服务器，还分布于各工作计算机中，而目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。 　　2 局域网安全体系的构建 　　针对上述隐患，很多企业均采取了相应措施，在网络平台上建立了内外网，并对内外网实行了物理隔离，同时购置了防火墙、防病毒、入侵检测等部分网络安全产品配置在网络上，但这些产品主要是针对外网可能遭到的安全威胁而采取的措施，在内网使用上局限性较大，下面，笔者针对企业局域网的特点，提出几点安全防范措施： 　　2.1 强化物理安全策略 　　物理安全足指计算机网络设备、信息基础设施遭受雷击、地震、水灾，火灾等自然因素，以及人为操作失误，电磁干扰等导致的破坏，物理安全是整个信息系统安全的基础，措施主要如下：1）设备安全与保密：主要包括设备的防破坏、防盗窃等。应对中心机房采取安全防范措施，拒绝非授权人员进入。如采用有效的电子门禁系统，采用磁卡或生理特征进行身份鉴别，并安装视频监控系统等。2）应用热备份连接及冗余热备技术：备份连接在主连接失败后立即启动，自动接替主连接的工作。核心设备的冗余热备技术，可以有效地保障网络设备的安全性。 　　2.2 使用网络地址转换（NAT)技术控制内外网的相互访问 　　NAT为一个IETF标准，允许一个局域网以一个地址出现在Internet上。它把内部私有网络IP地址译成合法网络IP地址，访问外部网络，解决IP地址紧缺问题。同时，NAT还能对外网隐藏内网计算机，简化网络配置，增强网络规划的灵活性。当两个有地址重叠的私有内部网要连接在一起时，可使用NAT来防止地址冲突，避免逐个改变节点的地址。在建设局域网时，可在路由器、防火墙或网关服务器上设置NAT服务，但须考虑如此给网络中已有的安全机制带来的影响，如防火墙根据IP报头中包含的信宿地址、TCP端口号、信源地址以及其他一些信息来决定是否让该数据包通过。 　　2.3 设立防火墙阻断恶性攻击 　　防火墙是指设置在不同网络(内外网)或网络安全域间的一系列部件的组合。防火墙可建立起一个安全网关，从而保护内网免受非法用户的侵入。防火墙最基本的功能是控制在计算机网络中，不同信任程度区域间传送的数据流，能允许“同意”的人和数据进入网络，同时将“不同意”的人及数据拒之门外，最大限度地阻止网络中的黑客来访问网络。即，若不通过防火墙，企业内部人员就无法访问Internet，Internet上的人也无法和公司内部人员进行通信。 　　2.4 使用虚拟专用网络(VPN)技术访问内网资源 　　VPN可以在防火墙与防火墙或移动的客户端间对所有网络传输的内容加密，建立一个虚拟通道，让两者可以安全且不受拘束地互相存取。因VPN连接的特点，内部网络的通信内容会在外部网络上传输，出于安全及效率的考虑一般通信内容需加密或压缩。而通信过程的打包及解包工作则必须通过一个双方协商好的协议进行，这样在两个私有网络之间建立VPN通道需要一