基于中小型企业内部局域网安全控制策略研究

【 摘 要 】 网络信息技术的迅速发展，使企业对网络的依赖性越来越强，网络安全问题给企业运行、管理和发展带来很大的挑战。本文通过对工作中涉及到部分企业的网络系统安全的案例进行总结，针对企业内部网络的现状及主要安全隐患，从防火墙技术、入侵检测（IDS）技术、VLAN技术等多方面提出具体策略，从而确保企业局域网络系统安全。

【 关键词 】 企业局域网；VLAN；安全隐患；网络安全

Strategy of the Small and Medium-sized Enterprise Internal Safety Control Based on LAN

Mao Xi-jun Tan Jie-qing

（Guizhou Researsch Institute for New Technology GuizhouGuiyang 550025）

【 Abstract 】 The rapid development of network information technology， so that enterprises depend on network more and more strong， the network security problem brought great challenges to the enterprise operation， management and development. I passed on the work， relates to the part of enterprise network security cases were summarized， in view of the current situation of enterprise internal network and the main safety problems， from the firewall technology， intrusion detection（IDS） put forward specific strategies of technology， VLAN technology and other aspects， so as to ensure that the enterprise local area network security.

【 Keywords 】 enterprise network；VLAN；security risks；network security

1 前言

随着计算机及局域网络应用的不断深入，计算机应用系统被相继应用在中小型企业，提高工作效率，实现资源共享。然而，随着近几年网络安全技术的发展，人们也使用了防病毒、防火墙等安全措施，来提高中小型的网络信息化安全。但是，网络安全仍然存在诸多隐患。由于中小型企业内部局域网的不断扩建，这给中小型企业的局域网管理带来了很大的压力和挑战。

2 中小型企业局域网安全现状

我国信息安全方面的发展和发达国家的水平有着很大差距，与此同时计算机网络安全的防护技术也远远落后，大多数中小型企业内部的网络用户往往直接面对数据库、直接对服务器进行操作，利用内网速度快的特性，对关键数据进行窃取或者破坏。

中小型企业网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大，而采取各种安全措施通常只能解决安全威胁的部分问题，而没有形成多层次的、严密的相互协同工作的安全体系，在安全性和费用问题上形成一个相互对立的局面，如何在其中寻找一个平衡点，也是大多数中小型企业存在的焦点问题。

3 中小型企业局域网安全隐患

3.1 TC/IP协议族本身的隐患

TCP/IP网络的结构模型是一个分层结构，在不同程度上会遭受到不同方式的攻击，主要在几个方面：（1）数据链路层：网络探测器、特洛伊木马程序等；（2）网络层：IP缺少身份认证机制，不检查IP地址，产生IP欺骗等攻击；ICMP协议在局域网内还可以伪造ICMP重定向包，使其经过自己主机，就会产生不可达；（3）传输层：TCP协议的三次握手时产生初始序列号（ISN），该号不是随即产生的，有些平台可以计算出该号，进行攻击；UDP协议本身是不可靠的，依靠IP协议传输报文，不能确定报文是否到达，丢弃的包不重传；（4）应用层：攻击Web、FTP、SMTP、DNS和其它服务、病毒攻击。

3.2 操作系统及其它软件不能及时更新、打补丁存在的安全隐患

在中小型企业内网是一个局域网，无法做到系统自动更新，需要操作人员定期进行，一旦更新工作不到位，很容易造成内网安全性降低；有的应用软件在编程中就忽视安全性，造成黑客攻击其中的权限、远程溢出漏洞、SQL数据库的注入式漏洞等，还有的程序员或操作员日后管理便利，在软件中故意设置后门等安全隐患。

3.3 服务器区域没有进行独立防护的隐患

局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击，由于网络出口、网络监控、日志系统等缺乏有效的管理，上网用户的身份无法唯一识别，这些都存在安全隐患。

3.4 局域网用户缺乏安全意识存在的安全隐患

中小型企业内部许多用户缺乏安全意识，用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网；用户对自己的账号管理不严，随意转借他人或与他人共享，选择简单且易破解的用户口令等，这些无意识的失误将给局域网安全带来威胁。

4 中小型企业内部的网络安全控制策略

多数中小型企业利用网络及信息系统进行办公、管理等平台，它们网络多数采用三层结构，如图1所示的中小型企业网络拓朴图。即在三层核心交换机与路由器之间设置防火墙， 并设置合理的安全策略，再与软件相结合， 在局域网的内部和外部， 在客户端和服务器之间， 在用户和网络之间筑起道道屏障，同时加强日常管理工作，做好病毒防治和重要数据的备份工作，把中小型企业系统内部网络遭受攻击的可能性和成功率降到最低， 确保网络的安全运行，可以采取如下的安全策略。

4.1 防火墙技术

防火墙是由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是中小型企业内部局域网和外部网络之间通信的唯一通道，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。只有合理配置中小型企业内部局域网的软件、硬件防火墙的安全策略，才可以全面、有效地保障中小型企业内部局域网络安全。

4.2 入侵检测（IDS）技术

入侵检测系统（IDS）是一种主动保护内部网络免受攻击的网络安全技术，可以作为防火墙的合理补充。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。在不影响网络性能的情况下对网络进行实时监测，有效的防止和减轻了网络攻击的威胁。

4.3 采用VLAN（虚拟局域网）技术

根据中小型企业内的局域网进行VLAN（虚拟网络）划分，既可以减少网络广播数据包，提高网络运行效率和网络安全水平；又可以区分不同的应用和用户，方便中小型企业的管理与维护。使用VLAN，可以将非法用户与敏感网络资源相互隔离，从而防止可能的非法访问与侦听。通常的策略是，把敏感部门的所有计算机都集中在一个VLAN中，不允许将其他用户加入至该VLAN，从而有效地保护这些主机中的信息资源。各个密级不同的计算机都在各自的VLAN内，互不侵扰，既保证了数据安全，又减少了不必要数据流量。通过在三层交换机或路由器上设置访问列表，可以有效地控制其他VLAN对敏感VLAN的访问。

4.4 访问控制策略

在中小型企业局域网的应用中，可以采取认证服务器对用户访问进行统一的身份认证，使网络访问只允许使用授权的网络协议和端口，采取IP地址+MAC地址+端口号+账号绑定技术来避免IP地址的欺骗和分布式拒绝服务攻击。

4.5 病毒防治

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。采用适当的措施防治病毒，是进一步提高局域网安全的重要手段。其中，一方面针对黑客的防毒软件可以通过MAC地址与权限列表中的严格匹配，控制可能出现的用户超越权限的行为；另一方面通过部署能集中管理、统一分发的卡巴斯基网络版杀毒软件，限制从网上下载软件和禁用盗版软件，软盘数据和邮件先杀毒后使用等措施来防治病毒。

4.6 做好系统备份

为了保证企业局域网安全，建立好系统的备份制度，做好网络重要资料的备份，以防止因为各种软硬件故障，病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。

4.7 网络安全管理

制定科学严格的企业网络信息安全规章制度，保证严格遵守并加强法制建设和工作人员培训，增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要从管理与技术相结合的高度，制定与时俱进的整体管理策略，并切实认真地实施这些策略，才能达到提高多数企业信息系统安全性的目的。

5 结束语

局域网安全控制是多数企业系统内部网络的安全问题，不仅是设备和技术的问题，更是管理的问题，需要不断的探索。而在计算机网络系统中，绝对的安全是不存在的，只有建立多方面安全设计，软件硬件结构保证，人员培训保证，规章制度保证。从而有效消除网络安全隐患，在局域网安全控制策略技术飞速发展的网络时代保持多数企业信息化网络的健康发展。

参考文献

[1] 罗强.计算机局域网安全浅析.铁道运营技术.2005，11 3，p19-22.

[2] 李敏，介明贝.浅谈企业内部计算机网络安全.信息与电脑.2012.3，p19-20.

[3] 陈一平，李敏. 局域网的安全控制与病毒防治策略. 中小企业管理与科技.2009，第13期，237-238页.

[4] 谢宗晓，郭立生.信息安全管理体系应用手册[M].中国标准出版社，2008.

[5] 任伟.无线网络安全问题初探[J].信息网络安全，2012，（01）：10-13.

[6] 方欣，万扬，文霞等.基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究[J].信息网络安全，2012，（04）：36-38.

[7] 吴小毛.基于点对点即时信息交换安全通信协议模型研究[J].信息网络安全，2012，（04）：72-74.

作者简介：

毛锡军（1973- ），贵州沿河人，大学本科，贵州省新技术研究所，工程师，信息安全等保测评师/工程师；研究方向：计算机科学与技术、计算机信息安全。

谭洁清（1982- ），硕士研究生，贵州省新技术研究所，；研究方向：信息安全、数据仓库。