企业局域网的安全分析及防范措施探讨

摘要：随着网络在企业内部的广泛应用，企业的网络资源越来越多，因此企业信息化集合程度也越来越高。但是内部网络的规模更加扩大，应用系统更加复杂，人员也更加庞杂给企业的内部的信息安全也带来了很大的压力。因此网络安全也成为一个重要的话题。本文主要围绕着企业局域网的安全问题进行分析，并提出相应的方法措施。

关键词：企业；局域网；安全；防范措施

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Enterprise LAN Security Analysis and Preventive Measures

Liu Haojiang

(Suzhou Rail Transit Co.,Ltd.,Suzhou215006,China)

Abstract:With the wide range of network applications within the enterprise,the enterprise's network resources more and more,so the collection of corporate information has become increasingly high.However,the size of the internal network more expanded,more complex applications,personnel and more numerous to the enterprise's internal information security has also brought a lot of pressure.Therefore,network security has become an important topic.This paper mainly focus on the enterprise LAN security analysis,and the corresponding methods and measures.

Keywords:Business;LAN;Security;Precautions

随着现代技术的迅速发展，大部分企业都开始应用了本单位的局域网，对企业的生产经营与管理产生重要影响。但是随之而来的网络中各种各样的安全事件，对企业正常的生产活动造成影响，因此要充分重视企业局域网的安全问题。

所谓的局域网是指在一个局部的地域内，例如学校和工厂等，把计算机、各种外部设备以及数据库等连接起来组合成的计算机通信网络[1]。通过将数据通信网络或者专用的数据电路和远方的局域网或者处理中心相连接，可以组成一个较大范围的信息处理系统，这个系统简称LAN。局域网的网络功能主要有：实现文件管理、共享应用软件、共享打印机以及扫描仪等等。

一、局域网安全分析

（一）系统与程序的安全漏洞。漏洞就是通常所说的BUG。任何的程序与系统都会或多或少存在着漏洞，在所有网络安全问题中，漏洞问题是最常见，也是最多且较难处理的。大多数时候漏洞只会影响系统的正常使用，但是当其能够影响到整个系统安全时，就可能遭到黑客或者病毒的利用，从而变成攻击系统的工具。近年来网上流行的NIMDA、求职信以及红色代码等病毒，通过在网络上产生大量垃圾流量，达到影响网络系统的性能的目的。它们的技术特点就是利用系统中的漏洞，这些漏洞有可能直接造成系统崩溃与信息失密。

（二）信息收集。通常信息收集是指嗅探和扫描。嗅探主要是利用特殊技术捕捉网络底层数据，对其进行分析。扫描是指访问目标计算机协议端口，以了解目标计算机的网络行为。这些手段本身并不会对网络产生影响，但是通过嗅探和扫描能够比较完整的了解大部分的网络应用与使用的系统平台，因此这些信息如果配上适合的漏洞工具就能够攻破整个网络系统。但是由于目前国内企业网络环境的不规范导致了网络信息的不可靠，造成了很多的误报，从而导致我国在对嗅探和扫描进行反跟踪方面的效果很不理想。

（三）人为失误。人为失误带来安全隐患的例子非常多，例如没有及时进行系统或者应用程序的升级或者打补丁、执行不明来历的程序、口令泄密、保留缺省账号、密码过于简单或者干脆不设口令等等。因此减少人为失误的办法是提高员工的网络安全意识。制定严格明确的网络安全守则，并实施切实可行的管理手段。

二、企业局域网安全防范措施

我国目前大多数企业的局域网都存在安全隐患，保持现有的网络手段与运作方式，极有可能会给企业带来无法弥补的数据灾难。因此有必要针对上述问题进行研究，从而进一步提出防范措施。

（一）设置防火墙。防火墙的主要作用在于保护内部网络敏感的数据，同时记录有关企业内外通讯状态的信息日志。防火墙的应用能够使你的网络规划更加清晰，有效阻止超越权限的数据访问。如果企业的局域网接入互联网络但没有设置防火墙，可能会受到许多系统入侵。因此为保证局域网安全，有必要在局域网与互联网之间设置防火墙。

（二）建立内网型的边界防护。企业总部局域网应作为广域网的一个单独区域，在通向各个下级单位的广域网的通道的接口处应设置防火墙，而且进行相应的设置，以保护企业总部局域网的安全[3]。此外还应该将广域网上的各个单位要访问的企业资源设置于防火墙的DMZ区域中，禁止它们访问企业总部局域网的其他资源。

（三）为所有服务器进行自动更新。目前众多企业电脑使用的是微软的操作系统。每隔一段时间操作系统补丁服务包才会推出，在新的补丁服务包没有推出来的这段时间，企业主要通过安装小补丁来防范漏洞。一般来说，最有效的方法就是借助操作系统的自动更新来完成。打开企业局域网中的服务器与电脑的自动更新功能，适时更新操作系统的补丁程序，能够确保局域网的电脑都能够自动把系统补丁更新到最新状态。

（四）建立功能完善的防病毒控制台。一般来说，病毒的入口点非常多。因此就在企业局域网部署反病毒软件来说，要在需要防护的应用上都要布置防病毒软件。而企业局域网防病毒所关注的不仅仅是防病毒软件，更加注重的是对防病毒软件借助网络实施集中的管理与合理的配置，对病毒特征码进行集中的自动升级。所谓企业局域网的发病毒软件的最大特征是构筑功能完善的防病毒软件的控制台。

（五）建立系统备份文件以及由应用软件产生的数据的文件备份。企业应根据企业与应用程序的实际情况，对服务器程序产生的数据文件采取有效的备份工具做定期备份，并要把这些备份文件好好保存。一旦需要进行服务器的系统重装与数据恢复，就可以利用备份文件快速完成工作。

三、结束语

众所周知，并不存在万能的网络安全解决方案。网络是公共设施，企业局域网的安全管理是一个系统的工程。保障网络安全并不能仅仅靠防火墙和杀毒软件等硬件设备的防护，还需要网络用户的密切配合。只有群策群力，群防群治，才能真正确保网络的安全，进一步推动企业信息化建设的发展[4]。

参考文献：

[1]W.Richard Stevens,范建华(译).TCP/IP详解[M].北京:机械工业出版社,2000

[2]林东和.防反黑客攻击不求人[M].北京:人民邮电出版社,2002

[3]许荣生.黑客攻击技术揭秘[M].北京:机械工业出版社,2001

[4]张卫华.企业局域网安全风险分析[J].计算机安全,2010,12