企业局域网安全综述

企业局域网安全综述（精选9篇）

企业局域网安全综述 第1篇

1 网络物理安全性

影响网络物理安全性的主要因素有地震、雷击、电磁辐射、水灾、火灾;设备被盗、线路截获;电源故障、操作失误或错误以及计算机、通信设施犯罪对网络的物理破坏。对此, 主要通过以下措施来避免网络的物理风险:加强安全意识, 制定健全的安全管理制度;权衡需求、风险、代价的平衡关系, 建造防震机房, 安装接地装置;综合考虑可能构成电磁辐射、水灾、火灾的各种因素, 对相应的基础设施进行详细设计、精心选材等;健全系统备份、恢复机制;加强对网络机房及基础设施的监控与管理。

2 网络结构安全性

企业网按访问区域可以分为三个区域, 即内部网络、外部网络及公开服务区 (向外发布企业信息、提供Email服务等) 。这三个区域用防火墙进行隔离, 保护的重点是内部网络, 公开服务区时企业信息发布的平台, 一旦不能运行或者受到攻击, 对企业的声誉影响巨大, 同时公开服务器本身要为外界提供服务, 必须开放相应的端口, 但是必须警惕公开服务器成为黑客入侵内部网络的跳板, 所以尽量关闭不必要的端口。外部网络直接连接Internet, 是来自Internet的黑客攻击、病毒、非法访问入侵内网的必经之地。为了避免来自Internet的黑客攻击, 在防火墙与内网交换机之间串联一个入侵防御系统 (IPS) , 同时与防火墙并联一个入侵检测系统 (IDS) ;为了避免非法访问, 可以利用防火墙的访问控制技术, 来限制来自Internet的非法访问, 必要时可以安装AAA服务器, 对用户进行身份验证、授权、审计等。同时启动防火墙的NAT功能来隐藏内部网络结构, 病毒的预防在下文讨论。

内部网络可以根据各区域的职能、安全等级利用交换机的VLAN技术进行子网划分, 如财务子网、领导子网及数据中心子网等属于重要网段, 是被保护的对象, 所以在中心交换机上将这些网段各自划分为一个独立的广播域。为了避免来自内网的攻击, 也可以用防火墙来隔离重要的网段, 必要时可以在重要网段部署入侵防御系统 (IPS) 、入侵检测系统 (IDS) 进行实时监控、跟踪、预警、分析、捕获攻击行为。

3 系统安全性

系统安全性主要指操作系统、应用系统及硬件系统的安全性, 对中国来说, 恐怕没有绝对安全的操作系统可以选择, 无论是Microsoft的Windows还算其他任何商用的Unix操作系统, 其开发厂商必然有其Back-door, 即使我们自己开发操作系统, 其漏洞也是在所难免的。所以没有完全安全的操作系统。但是我们可以对现有操作系统进行周密的配置, 严格限制操作和访问权限, 以提高系统安全性。关键业务尽量采用安全性高的操作系统。针对操作系统的漏洞, 可以在网络中部署一台操作系统自动更新服务器, 以及早弥补系统中的漏洞, 同时安装网络版病毒防御软件, 使全网的所有主机都处于最新版的病毒防御系统的保护下。在网络的关键部位部署入侵监测系统和入侵防御系统以提供实时监测、监控、报告、预警及捕获各种攻击的功能。

在应用系统的二次开发过程中, 要充分利用身份验证、授权、审计等机制对机密数据库服务器、应用服务器等重要服务器进行保护。

网络中的服务器和网络设备尽可能不采用同一家厂的设备, 这样既可以避免通过Back-Door的攻击, 又增加了黑客攻击的难度。

4 应用安全性

应用安全性涉及到网络数据、信息的安全存储、安全访问和安全传输。对重要数据的访问, 实行身份认证、授权、审计, 使访问者通过身份认证后在其权限允许的范围内进行最小限度的访问, 同时跟踪访问轨迹, 审计访问行为, 对非法行为进行取证, 基本能够阻止非法用户的访问。可是, 当整个系统遭到灾难性破坏时, 同时殃及备份数据。另一种方式是冷备份, 将备份数据存储到另一个系统或存储介质中, 此时, 备份数据可存放在远离系统的地方, 非常有利于灾难性恢复, 但投资较昂贵。

数据在传输过程中可能被非法截获, 从而破坏信息的机密性, 完整性。为了保证数据传输的安全性, 我们可以借助VPN技术, 这样即使数据被截获, 但由于数据是加密的, 保证了数据的机密性, 同时所传输的数据附有哈希消息认证码, 可以保证数据的完整性, 这种技术又具有身份认证及数字签名功能, 保证了消息不会是假冒的, 同时也是不可抵赖的。根据具体情况可以采用接入VPN (Access Vpn) 、内部网VPN (Intranet VPN) 和外部网VPN (Extranet VPN) 。

5 管理安全性

安全管理策略包括定义完善的、合理的、长远的、可实施的安全管理规范和高效、可靠的安全管理技术平台。这两个方面必须齐抓共建、有机整合才能保证管理安全性。

5.1 安全管理规范

必须花大气力建立网络安全管理规范, 因为诸多不安全因素恰恰反映在组织管理和人员录用等方面, 而这又是计算机网络安全所必须考虑的基本问题。

5.1.1 安全管理原则

网络信息系统的安全管理主要基于三个原则: (1) 多人负责原则。每一项与安全有关的活动, 都必须有两人以上参加, 他们忠实可靠、能胜任工作, 应记录、签署工作情况以证明相应安全得到保障。具体工作有:访问控制权限的授予与回收;所使用存储介质发放与回收;保密信息的处理;系统的维护;重要程序和数据的删除与销毁等。 (2) 任期有限原则。制定切实可行的任期有限制度, 对工作人员进行操流培训, 不要任命任何人长期担任与安全有关的职务, 应不定期循环任职, 强制实行休假制度。 (3) 职责分离原则。除非领导批准, 信息系统工作的任何人员不要打听、参与职责以为的任何与安全有关的事情, 为了安全, 计算机操作与计算机编程要分开, 机密资料的接受与传送要分开, 应用程序与系统程序的编制要分开, 访问证件的管理与其它工作要分开, 计算机操作与存储媒体的管理要分开等。

5.1.2 安全管理规范的实施

首先严格遵照安全管理规范, 认真完成下面工作:根据工作的实际需要, 把该系统的安全等级确认一下;其次根据我们以前确认好的安全等级, 来更好的确认其安全的可控管理范围;再次机房出入管理制度要制定好, 实行分区管理, 彻底限制好工作人员的工作区域;第三要根据每个人的职责逐个分离和每个人负责的原则, 不准有任何人超越各自的管理范围;第五要对系统进行维护管理时, 要经各个主管部门的批准, 并采取一定的有力保护手段, 同时对发生故障原因、维护内容及维护前后的状态进行详细记录;第六要制定应急方案, 以不变应万变, 以防不测;第七要健全人员雇佣和解聘制度, 对调动和离职人员及时调整访问权限。

5.2 安全管理技术平台

建立能够对整个网络设备 (包括服务器、客户端) 、安全设备、网络防病毒软件、系统升级软件、入侵检测、预防系统等各个网络系统部件进行综合管理的统一安全管理控制中心, 按计划定期对全网进行安全扫描, 漏洞分析, 并及时采取相应的措施;对资源访问进行身份认证、权限设置、轨迹跟踪、行为审计, 如遇到异常行为系统能够自动报警或生成事件消息并及时报告管理员或其他访问控制设备, 及时阻止对网络的威胁, 如果攻击已经发生, 要及时取证, 并妥善保存;对与密钥相关的服务器, 要设置合理的密钥生命周期、进行及时的密钥备份等;对关键的服务器应冗余备份, 以增加网络的安全系数。

安全管理应从网络管理制定和安全管理技术平台两个方面来实现, 二者相辅相成, 缺一不可。

6 结束语

按以上论述设计局域网安全方案基本能够满足一般企业局域网的安全要求, 个别企业根据自身特殊需求可能提出一些特殊的安全要求, 如:安全E-MAIL服务, 安全WEB服务, 安全电子交易 (SET) 等, 但我们讨论的是局域网的基本安全构架, 并不影响用户的特殊安全需求, 用户可以在此基础上构筑符合自身网络安全需求的合理的安全体系。

参考文献

[1]万振凯, 苏华, 韩青.网络安全与维护[M].北京:清华大学出版社, 2004.

[2]中软.中软统一终端安全管理系统技术白皮书[M].中国软件与技术服务股份有限公司, 2006.

[3]赵洪彪.信息安全策略[M].北京:清华大学出版社, 2004.

[4]蒋东兴, 郭大勇, 符群卫.清华大学新一代数字校园建设规划与实践[J].厦门大学学报:自然科学版, 2007.

[5]查贵庭.校园网安全威胁及安全系统构建[J].计算机应用研究, 2005.

企业局域网网络安全解决方案 第2篇

本方案为某大型局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等，本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对他们局域网全面的安全管理。

1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

3.通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。

第二章 网络系统概况

2.1 网络概况

这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。

2 .1.1 网络概述

这个企业的局域网，物理跨度不大，通过千兆交换机在主干网络上提供1000M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器，所有用户可直接访问Internet。

2.1.2 网络结构

这个企业的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等，

在安全方案设计中，我们基于安全的重要程度和要保护的对象，可以在Catalyst 型交换机上直接划分四个虚拟局域网(VLAN)，即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。(图省略)

2 .2网络应用

这个企业的局域网可以为用户提供如下主要应用：

1.文件共享、办公自动化、WWW服务、电子邮件服务;

2.文件数据的统一存储;

3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统)

;

4.提供与Internet的访问;

5.通过公开服务器对外发布企业信息、发送电子邮件等;

2.3 网络结构的特点

在分析这个企业局域网的安全风险时，应考虑到网络的如下几个特点：

1.网络与Internet直接连结，因此在进行安全方案设计时要考虑与Internet连结的有关风险，包括可能通过Internet传播进来病毒， 攻击，来自Internet的非授权访问等。

。

2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。

3.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。

4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。

总而言之，在进行网络方案设计时，应综合考虑到这个企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。

第三章 网络系统安全风险分析

试论企业局域网安全风险及防范对策 第3篇

关键词：局域网；安全风险；防范

中图分类号：TP393.18

目前企业中对计算机信息技术的运用越来越广泛，这大大方便了办公，使企业实现了信息共享，大大提高了企业的办公效率，为企业赢得了更高的经济效益。但是随着而来的还有网络安全的问题，这给企业带来了巨大的信息隐患，局域网安全隐患严重威胁到了企业商业机密，为企业运营安全带来很大的隐患，因此必须认真分析影响企业局域网安全的风险因素，并针对这些因素提出安全性的防范措施。

1 企业对局域网的要求

局域网是由软件和硬件构成，软件能够实现企业中各台计算机之间的资源和信息共享，而硬件则作为计算机和计算机之间的物理连接。企业中的局域网不同于别的网络平台，它通常覆盖的范围比较小，针对性也很强。企业对局域网的要求可以进行如下总结：

（1）机密性。在企业局域网中进行的数据和信息传输通常都是企业的内部资料，所以企业对局域网的机密性的要求非常高。企业内部的办公人员在进行数据和信息传输时必须保证数据或信息不被暴漏，保护商业机密。

（2）完整性。局域网必须保证在数据和信息在进行传输的过程中不被删减和修改，确保信息的完整性。

（3）可用性。企业中的局域网必须能够保证企业内部人员具有数据访问权，即局域网的可用性。

（4）审查性和安全审计。企业网络维护人员必须能够对局域网进行监督和控制，并进行安全审计，对影响局域网安全的风险进行调查。

2 企业局域网存在的安全风险

2.1 硬件设备风险

2.1.1 网络设备风险

企业局域网的网络设备（以最常用的路由器为例）存在的安全风险如下：路由器缺省时，通过简单的口令即可进行用户身份验证，如果口令泄露，那么路由器就不再受保护；路由器口令没有计数功能，所以登陆者能够无数次尝试性进行登陆，并且利用口令字典很容易就能够将口令破解；由于管理人员能够使用相同的口令登陆路由器，所以，即使路由器能够对登陆操作自动记录，但是却无法查证是哪一个管理人员进行的操作；动态路由协议有安全漏洞，恶意攻击者很可能通过路由器的安全漏洞攻击企业的局域网等。

2.1.2 网络服务器风险

企业运行数据一般都存储在网络服务器中，所以企业对网络服务器的可靠性、稳定性以及安全性非常高，这是确保服务器中存储的数据的安全和完整的关键。服务器面临的安全风险主要有：第一，服务器中信息的机密性风险；第二，信息的完整性风险；第三；信息的可用性风险；第四，服务器的访问风险。

2.2 线路传输风险

企业局域网在进行信息传输过程中，线路传输存在以下风险：对企业不怀好意者会通过传输线路侦听的方式盗取局域网中正在传输的信息，或者通过开放环境中的路由器以及其他交换设备将线路中的信息截取；惡意攻击者通过截取线路传输中的信息，然后进行篡改或者删减，这导致接收者受到的文件不完整或者文件失真；攻击者也有可能进行重放数据包的攻击方式，让传输的数据严重失真；伪装成企业用户，通过请求文件传输等方式造成企业信息泄露。

3 应用平台中存在的风险

应用平台包括操作系统、数据库系统以及中间系统平台等。操作系统平台风险的产生原因主要是恶意攻击人员对操作平台的漏洞攻击。操作系统经常出现的漏洞包括：UNIX操作系统漏洞、微软操作系统漏洞。下面主要对数据库系统平台的风险进行分析：

3.1 黑客威胁。网络世界错综复杂，黑客通过先进的技术手段对企业局域网应用平台进行恶意攻击，进而达到窃取数据的目的。黑客们通过盗取信息得到非法利益，这对整个企业局域网成了巨大的威胁。

3.2 病毒威胁。据统计，全球电脑病毒以每月三百种的速度增加，病毒的增加速度令人担忧，它给企业造成的危害是巨大的。企业局域网一旦遭受病毒入侵，那么整个系统就会遭到破坏，严重时就会造成全部数据丢失的后果，这无疑给企业带来的巨大的威胁。

3.3 自然因素。例如雷电、火灾等会造成数据库受到破坏。

操作失误。在实际应用过程中，由于操作人员的疏忽大意，出现错误的操作。这些错误的操作很可能会让一些外来风险趁虚而入，进而造成信息外泄的情况。

3.4 软件资源共享风险隐患。企业中的局域网的应用程序大部分都实现了资源共享，这样加快的工作人员的办公速度，提高了办公效率。但是应用程序中的漏洞也引起了工作人员的忧虑，如果没有设定科学的、严密的访问权限，那么这种资源共享就很容易被他人所利用，成为窃取企业信息的手段。

4 企业局域网安全防范措施

4.1 设置网络安全预警。防范风险首要步骤就是设置风险预警系统，这有利于及时发现局域网中存在的风险，并为解除风险赢得更多的时间，保障企业信息数据的机密性和安全性。网络维护人员需要对局域网中可能存在的安全漏洞、病毒或黑客等的攻击手段、风险因素等进行综合性分析，建立有针对性的预警系统，并针对该系统进行安全评估，当出现安全隐患或者发现恶意攻击时立即发出预警信号，这样就能够及时保护局域网的安全。

4.2 数据备份和数据加密。为了防止因自然原因造成的数据丢失，我们需要在企业内部做好数据备份工作，这样就能够避免或减小因不可预测的自然灾害给企业带来的损失。另外，为了防止非法访问，我们必须对数据进行加密，这样即使外界人员通过路由器进入到企业局域网中也无法立即获取企业信息，这给企业信息增加了一份保险。

4.3 防止病毒侵害。由于病毒对局域网造成的危害是巨大的，因此我们需要对公司的局域网进行多方位的、全面的防病毒保护。（1）进行网络隔离，这种方法是防病毒入侵的一种有效手段。我们首先对公司的路由器进行全面隔离，屏蔽全部的IP地址，然后再单独放行公司用的IP地址。接着，采用防火墙进行病毒隔离。防火墙对外来非法访问有极高的敏感性，并且能够自动过滤数据，严禁非法的数据访问，一旦企业内部出现高风险的网络活动，就会立即被禁止，最大程度上保护了企业的信息安全。（2）在企业局域网中建立防病毒系统。全面的病毒防空系统能够协助网络隔离，加强病毒防控，它能够发现被病毒隔离软件忽略的个别病毒并消除，提高网络对病毒的防控力度。

4.4 运用虚拟局域网。虚拟局域网是通过划分网络来保护局域网的安全性，通过网络分段能够将企业中的信息数据和具有安全风险的用户隔离，这样能够有效防止信息数据被盗。并且网络分段技术还能够抵抗来自网络的威胁，这也增加了局域网的安全性。如果局域网中的某个环节受到了侵害后，网络分段就会将风险自动隔离，控制在这一环节中，这样就能够保护其他环节的安全。

4.5 提高工作人员的防范意识。网络维护人员应该定期对企业网络操作人员进行防范性培训，增强工作人员的网络安全意识，避免操作失误，提高局域网的安全性。

参考文献：

[1]邓海峰.企业无线局域网的安全管理探讨[J].无线互联科技，2012，7（5）：25-26.

[2]何秋萍，宁建创.局域网和无线局域网的差异及安全研究[J].信息安全与通信保密，2011，12（10）：66-68.

[3]马哲.浅析办公局域网的安全风险及防护措施[J].计算机光盘软件与应用，2012，22（3）：11-12.

[4]张卫华.企业局域网安全风险分析[J].计算机安全，2010，25（12）：24-25.

无线局域网安全技术发展综述 第4篇

1 WEP有线等价保密协议

1.1 WEP工作原理

802.11标准中的WEP是一种在接入点和客户端之间采用RC4密钥算法对分组信息进行加密的技术，采用40位(或104位)的共享密钥，24位的初始向量 (IV) ，并且IV明文的形式传送，各无线局域网终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端尝试链接上接入点时，接入点会发出一个挑战值封包给客户端，客户端再利用共享密钥将此值传回存取点进行认证比对，若正确无误才能获准存取网络的资源。

1.2 WEP存在的安全缺陷

WEP的加密机制在多年来的使用过程中表明：WEP所采用的RC4使用方式所变现出的密钥更新速度慢;初始化向量IV的重复使用;完整性校验无加密性，令安全性大大降低。

RC4使用静态WEP密钥和24位的随机数初始化向量IV混合产生的密钥来进行加密，其中IV位于802.11报文的头部，是以不加密的方式附加在每个信息包上，使得接受方能够解密，很容易被窃听者捕获，初始化向量只有24位，也就是2的24次方可能的值，当2的24次方值都用完时，同样的初始化向量又会出现在信息包中重复产生，只要窃取足够的信息包就可以对比出密钥进而将加密的数据还原成明文。

1.3 适用范围

虽然WEP安全技术不能够为无线用户提供足够的安全保护，但由于大多数攻击都是依靠搜集传输数据的合理样本来实现的，因此对于家庭用户而言，如果传送数据包的数量足够小，WEP仍然是安全的选择。对于还在使用旧型路由器只支持WEP的用户来说，使用128位的WEP密钥会让无线网络更安全些。

2 WPA系列

802.11标准中安全技术不能真正的保证无线局域网的安全，面对着一方面对无线局域网需求的不断增长另一方面是无线局域网技术自身存在的安全上的缺陷，IEEE802.11的i小组致力于制定新一代安全标准IEEE802.11i，它引入了IEEE802.1x安全标准，在加密处理中引入了密钥管理协议TKIP，计数器模式及密码区块链信息认证码协议CCMP和无线健壮身份验证协议WRAP。基于市场的需求，在802.11i尚未正式发表前，Wi-Fi联盟制定了一个过渡草案WPA。

2.1 WPA无线访问保护接入

WPA的核心是802.1x机制和TKIP。它将TKIP与一种称为Message IntegrityCheck (MIc) 又简称为Michael信息完整性检查的技术结合起来，是WEP的替代方案，TKIP虽然基于RC4算法，但比采用固定密钥的WEP先进，同时还具有以可扩展认证协议EAP为核心的用户审核机制，可以通过服务器审核接入用户的ID，在一定程度上可避免黑客非法接入，保证数据机密性，Michael可保证数据完整性。

2.1.1 WPA的特点

它的主要特点如下：

1)在TKIP中，IV的大小增加了一倍，达到48位;

2)使用Micheal提供强数据完整性的算法;

3) TKIP和Micheal使用从密钥和其他值派生的临时密钥。主密钥从可扩展身份验证协议传输层安全性EAP-TLS或受保护的EAP802.1x身份验证派生而来;

4)自动重新生成密钥以派生新临时密钥租;

5)无重放保护TKIP将IV作帧计数器以提空重放保护。

2.1.2 WPA的优点

WPA在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成，并且也能保证兼容之后推出的IEEE802.11i安全标准。

2.1.3 WPA的适用范围

虽然相对于WEP, WPA在安全性上有了很大的改善，但仍然是采用比较薄弱的RC4加密算法，黑客只要监听到足够的数据包，借助强大的计算设备，即使在TKIP的保护下，同样可能破解网络，不能满足高端企业和政府的加密需求，因此，WPA更多应用于企业与家庭无线网络部署。

2.2 WPA2无线访问保护接入

IEEE完成并公布IEEE802.11i无线局域网安全标准后，Wi-Fi联盟也随即公布了WPA第2版(WPA2)。它支持更高级的使用计数器模式和密码块链消息身份验证代码协议的高级加密标准AES。研究人员对WPA与WPA2做出了如下的总结：

WPA=IEEE802.11idraft3=IEEE802.1X/EAP+WEP(选择性项目)/TKIP

WPA2=IEEE 802.11i=IEEE 802.1X/EAP+WEP (选择性项目) /TKIP/CCMP

2.2.1 WPA2的特点

WPA2与WPA后向兼容，支持更高级的AES加密，能够更好地解决无线网络的安全问题。

1)在AES-CCMP中，IV被替换为“数据包编号”字段，并且其大小将倍增至48位。

2)采用可严格实现数据完整性的AES-CBC-MAC算法。CBC-MAC算法计算得出一个128位的值，然后WPA2使用高阶64位作为消息完整性代码 (MIC) 。WPA2采用AES计数器模式加密方式对MIC进行加密。

3)与WPA的临时密钥完整性协议TKIP类似，AES-CCMP使用一组从主密钥和其他值派生的临时密钥。

4)主密钥是从可扩展身份验证协议-传输层安全性(EAP-TLS)或受保护的EAP (LEAP) 802.1X身份验证过程派生而来的。

5) AES-CCMP使用数据包编号字段作为计数器来提供重播保护。

6) AES-CCMP自动重新生成密钥以派生新的临时密钥组。

2.2.2 WPA2的优点

在加密方面，WPA2同时支持动态密钥完整性协议(RC4加密算法的一个执行版本)和高级加密标准(适合于顶级的政府安全策略)，而WPA只是支持动态密钥完整性协议和可选的高级(下转第109页)(上接第96页)加密标准。尽管动态密钥完整性协议和高级加密标准目前都没有被破解，但高级加密标准在安全方面毫无疑问有一定的优势。

2.2.3 WPA2的适用范围

由于部分AP和移动客户端不支持此协议，因此需对客户端逐一进行部署。该方法使用于企业、政府及一般无线用户。

2.3 WPA系列的其它形式

为了更好地支持用户对WPA的实施，WPA系列针对中小办公室/家庭用户和企业推出了不同的形式。

WPA/WPA2个人版，也就是WPA-PSK/WPA2-PSK，是WPA/WPA2协议的简化版本。它使用预共享的密钥，是一个没有802.1x的WPA或WPA2，在这种PSK模式下不须使用验证服务器 (例如RADIUSServer) ，特别适合SOHO/家庭用户。

WPA/WPA2企业版，即WPA-Enterprise/WPA2-Enterprise，需要一台具有802.1X功能的远程用户拨号认证系统RADIUS的服务器。不少企业喜欢使用自己内部的RADIUS服务器运行WPA2企业版。这类服务器包括思科ACS、FreeRADIUS、FunkOdyssey、微软IAS等。WPA和WPA2企业版的主要差别对RADIUS服务器几乎没有影响。

3 结束语

企业局域网信息安全研究 第5篇

1 信息安全的主要内容以及目标

信息安全是指信息网络中的硬件、信息网络中的软件以及系统中的数据都受到了保护, 不受偶然、恶意的原因来破坏、更改以及泄露其中的数据, 只有这样才可以确保信息网络的可靠运行。信息安全的实现包括了以下几个层次:第一层次, 物理安全层次, 其中是由机房、线路、主机等组成的;第二层次, 网络安全层次, 该层次的目的是为了保证网络的安全畅通以及保障网络数据的安全性;第三层次, 应用安全层次, 该层次的目的是为了服务其他应用。

保证信息网络的安全性以及可靠性成为信息安全的主要目标, 具体包括以下几点:第一, 信息来源具有真实性, 通过鉴别信息来源, 对伪造信息的来源进行详细的判断;第二, 信息安全具有保密性, 确保机密信息不被泄漏;第三, 信息数据具有完整性, 保证信息数据具有完整性, 避免非法篡改数据;第四, 信息服务具有可用性, 促使合法用户可以正常连续使用信息、资源或者服务等;第五, 防抵赖性, 促使用户不可以随意否认其行为, 在电子商务中这一点起着非常重要的作用;第六点, 信息可控性, 避免信息内容的传播;第七点, 可审查性, 当出现信息安全问题的时候可以为其提供科学的调查手段以及依据。

2 企业局域网信息安全风险

近几年来, 随着企业局域网应用的不断增多, 这就促使企业的生产率得以提高。与此同时企业越来越依赖局域网, 如果大部分企业的局域网出现了中断, 这就会促使整个业务陷入瘫痪的状态下。企业在实际使用局域网的过程中遇到了很多挑战, 其所遇到的安全风险如下:

第一类, 主动网络攻击。来自对企业有恶意的实体会主动攻击企业局域网。其中恶意的实体包括了商业竞争的对手公司、企业内部有仇恨情绪的员工、对企业持不满态度的顾客等, 为了进行报复或者获取不正当的利益, 他们会破坏或者窃密企业网络。除此之外, 还有一类就是与企业没有直接利益关系关系的群体, 他们想要借助入侵企业局域网或者攻击企业局域网来实现个人的价值或者利用窃取来的企业内部信息来获得非法利益, 有时候也会通过攻击企业局域网来进行网络敲诈。

第二类, 扩散的病毒木马。近几年来, 随着网络技术的快速发展, 病毒、木马开始泛滥, 每一天都会特别多的病毒或木马产生。然而在大部分企业的局域网中, 由于缺乏安全技术、信息安全管理较为松散、员工缺乏安全意识等问题的存在, 这就导致企业的局域网经常会受到病毒或者木马的攻击。当前企业局域网与网外数据之间的联系越来越密切, 病毒木马很容易的在企业局域网中进行传播, 并且也会造成一定的危害, 严重的情况还会中断整个企业网络, 导致企业的业务不可用。病毒木马的危害方式是多种多样、危害多发易发、变化迅速、结果有时轻有时严重。

第三类, 非技术安全风险。非技术安全风险是指由于员工操作错误、偶然事故等给企业局域网信息带来的安全风险。当前, 企业员工都比较缺乏安全知识, 并且安全意识较为淡薄, 在偶尔操作过程中不太谨慎, 这就会造成误操作或者泄漏信息。偶然事故类中包括了软件设施的偶然故障、硬件设施的偶然故障、电力供应中断以及网络服务线路的故障等。

3 网络安全以及影响网络安全的因素

一直以来, 网络安全都困扰着企业用户, 然而影响企业局域网的稳定性以及安全性具有多种多样的原因, 其中具体表现如下:一方面, 外网安全和内网安全。外网安全中包括了病毒传播、垃圾邮件以及敏感信息泄漏等; 内网安全是由于企业的员工不正当使用公司电脑, 这就消耗了企业局域网络资源, 并且也会引入一些病毒;另一方面, 内部网络之间与外部网络之间的连接安全。近几年来, 越来越多的企业开始发展壮大, 并且在全国各地设置了分机构, 总部为了能够实时了解到分部的情况, 其就会采取新型的互动运营模式, 此模式可以实现信息共享, 但是在这一过程中企业需要考虑到机密泄漏这一事件。各地机构与总部之间的网络连接是否安全会对企业的运行产生一定的影响。

4 企业局域网安全解决方案

企业局域网安全技术是为了应对企业局域网面临信息安全的风险而发展起来的技术, 通常情况会采用以下几种方案来应对网络安全:

第一, 边界安全防护技术。该技术主要用于企业局域网边界来进行保护的安全技术, 该技术的目的就是为了防止来自外部网络的各种攻击。其中包括了防火墙、入侵检测、逻辑隔离、物理隔离以及信息过滤等多种技术。

第二, 防火墙技术。当前局域网信息安全中最主要的一个手段那就是防火墙, 该技术是一种将计算机硬件与计算机软件相结合的技术, 此技术往往会对防火墙的数据流进行监测、限制以及更改, 避免外部网络用户借助非法手段从外部网络进入到内部网络中, 从而可以对内部网络的资源以及信息进行访问。

第三, 入侵检测技术。入侵检测是指检测局域网的入侵行为。它通过对网络行为、安全日志、审计数据以及其他网络信息进行收集以及分析, 然后检查网络中是否存在着违法安全策略的行为, 是否存在着被攻击的情况。入侵检测是一种较为主动的安全防护技术, 这一技术可以实时保护内部攻击、外部攻击以及误操作, 因此入侵检测技术成为继防火墙之后的一项非常重要的技术。

第四, 安全审计技术。安全审计技术可以发现各种与安全事件有关的行为, 并且也可以记录这些行为。同时还要以安全策略为依据来处理其所发现的安全事件。安全审计技术为企业局域网的运行提供了审计支持。

第五, 容灾容错技术。通过资源冗余与备份重点网络设备、重点数据或者相关的应用, 这样做可以快速处理以及恢复信息系统不间断运行以及故障。其中容灾容错技术分为了热备份技术以及网络复用技术等。

第六, 网络监控技术。该技术可以监测以及控制局域网内的计算机以及网络设备的实际运行情况。在进行监视以及管理的时候, 要从网络设备的实际运行情况、计算活动情况出发, 合法使用网络资源, 针对异常的情况要及时采取相关的干预措施。

第七, 数据加密技术。当前最常用的安全保密手段就是加密技术, 也就是说将一定的算法作为依据来保存或者传送乱码, 在需要使用数据的时候要利用相同的手段或者不同的手段来还原乱码。算法与密钥成为加密技术的两个要素。其中机密技术分为以下几种技术:对称加密技术、非对称加密技术。

第八, 身份鉴别技术。该技术是确认实体身份真实性的一项技术。通常情况下鉴别技术分为以下几种:第一种, 口令鉴别技术;第二种, 指纹之别技术;第三种, 口令卡、数字证书等技术。

第九, 访问控制技术。通过控制主体的资源访问来保证信息安全的一种技术。其中访问控制技术分为了自主访问控制、强制访问控制以及以角色为基础的访问控制这三种技术。

第十, 安全管理技术。一般是从设计企业局域网、建设企业局域网以及使用企业局域网来保证网络安全的一种手段。特别是在使用过程中要计划设置安全管理计划、管理机构, 还要审查以及管理人员, 最终保证局域网的安全运行。

5 企业局域网的安全管理措施

虽然有一部分企业已经建立起完整的网络安全技术保护体系, 但是如果日常的安全管理跟不上, 这就不能够保证企业网络的安全运行。在网络安全技术保护体系中, 完整的安全管理措施起着补充性的作用, 其会帮助企业弥补管理中的漏洞。其主要的措施如下:

5.1 制定合理的解决方案

近几年来, 企业局域网得到了广泛的应用, 但是企业局域网在应用过程中要不断更新网络安全体系的技术。与此同时由于预先制定的安全体系无法充分发挥作用, 那么就应该考虑采取有效的应急方案。在制定应急方案的时候, 要制定并且贯彻企业的各个部门中, 事先要做好安全响应方案, 这样做可以降低企业的损失, 并且能够促使企业局域网在最快的速度恢复到正常的状态。

5.2 做好网络安全的基础防护工作

首先要保证服务器干净, 不安装那些不需要的服务, 与此同时压做好网络终端的安全配置, 避免它们成为黑客以及病毒的跳板。其次要按照用户权限最小化的网络配置原则来对重要文件的访问权限进行设置, 及时关闭那些不需要的端口, 对于专用主机仅仅需要开通专用功能;再次要下载最新的操作系统、应用软件以及升级补丁, 并且还要及时安装它们, 另外还要认真检查系统以及定期检查用户的脆弱口令, 及时通知做好修改工作。最后要制定合理的系统数据备份计划, 并且要严格实施这些计划, 保证系统数据库具有完整性以及可靠性。

5.3 对于各类的恶意攻击要采取有效的措施

企业要制定合理的入侵应急措施以及完整的汇报制度, 如果发现存在着入侵迹象, 那么就要明确入侵者的位置, 如果有必要就要及时断开网络连接。如果服务主机不能为其提供服务, 那么就要从备份磁盘中恢复到备份主机上。此外不断完善日志监控措施, 做好日志记录工作, 方便报告网络的异常以及跟踪入侵者的踪迹。

5.4 企业要制定合理的安全管理制度 , 并且要积极贯彻这些制度

企业可以制定机房管理制度、制定管理员网络维护管理制度等, 通过各项制度来增强全体员工的网络安全意识, 避免由于员工粗心而带来安全事故, 特别是要注意制度的监督、贯彻以及执行, 如果不这样做就会使得这些制度形同虚设。企业要定期组织员工学习这些制度中的内容, 让员工可以全面掌握这些制度中的规定, 减少其在工作中的失误。

5.5 从机房出发来采取相关的管理措施

机房工作人员进入机房必须遵守相关工作制度和条例, 不得从事与本职工作无关的事宜, 每天上、下班前须检查设备电源情况, 在确保安全的情况下才可以离开。 (1) 为防止磁化记录的破坏, 机房内不准使用磁化杯、收音机等产生磁场的物体。 (2) 机房工作人员要严格按照设备操作规程进行操作, 保证设备处于良好的运行状态。 (3) 机房温度要保持温度在15度到25度之间, 相对湿度要控制在65%到75%之间。 (4) 做好机房和设备的卫生清扫工作 , 定期对设备进行除尘 , 保证机房和设备卫生、整洁。 (5) 机房设备必须符合防雷、防静电规定的措施, 每年进行一次全面检查处理, 计算机及辅助设备的电源须是接地的电源。 (6) 机房的每一位工作人员必须遵守劳动纪律, 坚守岗位, 认真履行机房值班制度, 做好防火、防水、防盗等工作。 (7) 不可随意断开机房电源, 对重要设备必须提供双套电源, 同时还配备UPS电源供电。公司办公楼如长时间停电要立即通知公司的技术部, 技术部要采取相关的措施, 并指明电源恢复时间。

5.6 从系统安全出发来制定管理措施

第一, 实行专人负责检测病毒, 定期进行检查, 同时还配备相应的实时病毒检测工具。第二, 严禁随意使用软盘和U盘等存储介质, 如果确确实实工作需要, 那么就要经过病毒检测才可以进行使用。第三, 每一位工作人员不得以任何途径和媒体传播计算机病毒, 并且要根据传播和感染计算机病毒者, 根据情节轻重来给予其适当的处分。同时企业要严肃处理制造病毒或修改病毒程序制成者。第四, 当工作人员发现病毒之后, 要对感染病毒的设备进行隔离, 情况严重时报相关部门并及时妥善处理。第六, 实时进行防病毒监控, 做好防病毒软件和病毒代码的智能升级。第七, 应当注意保护网络数据信息的安全, 对于存储在数据库中的关键数据以及关键的应用系统应作数据备份。

6 总结

企业局域网络信息安全与网络的发展有着非常密切的联系, 为了能够保障网络的安全, 不仅要依靠杀毒软件以及防火墙等技术, 还要借助网络管理人员、系统管理人员以及线路维护人员的努力。企业要采取有效的措施来保护自身重要的信息数据, 促使企业局域网系统的安全性得以提高。

摘要：当前企业重要的信息载体以及传输渠道就是指计算机以及网络, 然而在享受计算机以及计算机网络所带来的方便性的同时, 安全隐患也逐渐显露出来, 尤其是企业内部重要信息的外泄会给企业带来一些损失。所以要针对企业内部网络的数据信息安全隐患而采取有效的解决方式。局域网企业信息安全系统是一种防范企业中计算机数据信息泄密而建立的一种管理系统。本文主要阐述了信息安全的主要内容、企业局域网信息安全风险以及网络安全以及影响网络安全的因素, 还分析了企业局域网安全解决方案以及企业局域网的安全管理措施。

关键词：企业,局域网,信息安全

参考文献

[1]崔金.计算机网络接入控制技术在企业局域网中的应用[J].科学时代, 2012 (15) .

企业局域网安全设计与实现 第6篇

项目所在单位为一家大型外资食品企业, 公司于2002年成立, 专业从事大豆产品的深加工与相关技术服务, 同年, 公司局域网也建成投入使用。随着网络规模的不断扩展和企业应用系统对网络安全性要求的提高, 现有局域网的安全性问题日益突显出来, 客户机病毒集中爆发, 服务器拒绝服务等网络安全问题时有发生, 提升网络安全性势在必行。经多方面准备, 网络升级改造项目于2013年6月开始, 历经3个月完成。在本项目中, 作者担任了该项目的主要负责人, 负责整个网络安全系统升级方案的规划设计, 并指导网络工程师进行具体的网络安全实现。

2. 企业局域网物理安全设计与实现

物理安全是系统安全的第一道关卡, 由于原网络主机房使用已近8年, 在机房面积、防火、防雷及供电系统等方面都不能满足企业信息安全的需求, 此次升级, 机房的物理安全是作者重点关注的对象。主要作了以下设计和改进:机房按《电子计算机机房设计规范》重新装修, 机房的直流接地、交流接地机、防雷保护接地均与机房所在大楼的联合接地体相连, 并采用了50mm*50mm宽的铜箔做成等电位基准接地网格, 与机房的接地系统相连, 提高了机房的按地安全性。房内地板、墙面、电线均采用防火材质。机房供电线路采用了独立的输入输出设计, 对服务器和网络设备采用了山特公司的30千伏安UPS实行了双回路供电。机房大门安装门禁系统, 建立了机房出入管理制度。采用硬盘录像机加固定摄像枪, 建立实时的全天候24小时机房视频监控系统。

3. 企业局域网网络体系结构安全设计与实现

一个好的网络体系结构是实现一个网络安全的前提条件。现有网络体系结构存在的主要问题:首先是服务器数量众多, 造成配置复杂, 管理混乱, 容易留下安全隐患。其次, 原网络采用二层的网络结构体系, 对于一个具有3000多个用户节点的中型企业局域网络来说, 在管理和安全上是存在隐患的。第三, 企业内网没有实现子网隔离, 网络性能低下, 导致ERP、OA等应用服务器响应时间缓慢, 财务部等敏感部门的数据容易被窃取和监听。分析了现有网络体系存在的问题后, 提出以下网络体系结构安全解决方案。

第一, 对整个网络采用三层的网络体系架构 (接入层, 汇聚层和核心层) 进行重新设计。接入层负责将客户机接入网络, 并在接入层交换机上对重要的服务器做IP地址、MAC地址及端口绑定, 有效阻止ARP等病毒攻击。在汇聚层通过访问控制列表实现流量控制和访问权限约束, 配置2台cisco6509三层交换机作为核心层交换机, 保证核心层拥有较好的可靠性和高速数据吞吐量, 并通过应用HSRP协议, 实现核心网关设备的冗余。第二, 整个内部网络采用基于端口的VLAN划分方法, 按部门和管理需求划分成15个VLAN, 以保障重要部门如财务部门等的数据安全、提高网络带宽利用率和减少广播风暴。第三, 采用VMware公司的ESX Server虚拟服务器软件, 将多个网络服务和企业应用服务以虚拟机的形式整合运行在配置较高的10台IBM System x3650服务器上, 实现服务器的集中管理和配置, 并通过ESX的HA (高可用性) 形成服务器的冗余。原分布在各台服务器上单独存贮的数据采用IBM DS3400专业磁盘柜进行数据的集中存储, 并通过Veritas Net Backup For Windows专业备份软件备份到IBM TS2900磁带库中。第四, 升级Internet接入路由器和核心交换机之间的防火墙为华赛USG3030, 主要是为了增加接入设备的报文过滤功能, 减轻路由器的处理负担。该防火墙启用NAT, 方便内网用户访问互联网络。使用PIX515E防火墙能有效防止SYN FLOOD、UDP FLOOD、ICMP FLOOD和DNS FLOOD等Dos攻击, 能有效阻断RPC这类漏洞攻击。同时, 在防火墙上启用了IPSec VPN, 这样公司员工可以远程连接到公司内网。

4. 企业局域网防病毒和垃圾邮件系统设计与实现

第一, 防病毒解决方案:经过多次调研和测试, 采用趋势科技的防毒墙网络版8.0代替代原来的单机版的杀毒软件。除了趋势科技防毒墙正常的扫毒杀毒功能以外, 作者还在其上配置了与防毒墙配套的损害清除服务和Web威胁防护组件, 形成了具有高度集成的防病毒解决方案。针对防病毒软件的被动防护特点, 作者在Internet接入路由器上建立了一个策略禁止访问常见病毒攻击端口, 并且把它应用到Internet出口上, 防止病毒入侵。第二, 防垃圾邮件解决方案:通过引入Symantec 8360垃圾邮件硬件防火墙, 通过配置IP阻断清单、用户自定义规则、垃圾邮件指纹过滤、垃圾邮件意图分析等, 解决了公司邮件服务器经常中毒、接收转发大量的垃圾邮件问题。

5. 企业局域网网络管理安全设计与实现

该公司网络规模较大, 为了避免网络安全管理上的混乱和漏洞, 将网络从被动管理状态转为主动管理状态, 采用一套专业网络管理软件建立统一的网络管理平台是非常重要的。本方案中采用溢信科技的IP-Guard专业网络管理软件对网络进行监控和安全管理。利用IP-Guard的补丁管理功能实现了局域网内所有服务器和客户机微软补丁下载、安装自动化, 避免了操作系统和软件漏洞引起的网络安全。利用IP-Guard的漏洞检查功能, 定期对网内所有机器进行安全检查, 包括共享资源权限、管理员帐号密码是否安全、Guest帐号是否禁用、是否有限制匿名连接、启用了哪些服务和端口、IE安全漏洞等, 帮助作者公司信息化部门的网络管理人员确定计算机是否安全。IP-Guard系统报警功能一旦检查出网络配置、系统启动项、系统服务、系统时钟等发生变化, 将及时通过邮件对网络管理员发出报警。因此, IP-Guard为网络管理人员提供了强大而又实用的网络安全管理平台。最后, 安全是“三分技术、七分管理”, 如果没有良好的管理机制, 没有落实好管理机制, 所有的技术都将成为空谈, 为此, 作者制定了严格的企业信息安全管理制度, 并确保执行到位, 如作者要求网管人员每天必须检查服务器的运行日志, 通过日志可以及时发现有无异常登录、有无对系统作出修改等操作。

6. 总结

本文从企业局域网物理安全、网络体系结构、防病毒及垃圾邮件和网络管理四个方面阐述了企业局域网的安全设计与实现, 升级后的网络体系结构层次分明, 内、外网络安全隔离, 内网核心设备具备冗余功能, 服务器通过虚拟化技术实现集中配置和管理, 并形成服务器冗余。公司数据集中存储和备份。在局域网中部署了网络版防毒软件, 配置了专业的网络安全管理软件, 基本实现了一个运行良好、可管理的安全企业局域网。由于成本等原因, 也存在一些不足之处, 未来可进一步改进:一是Internet接入路由器和接入链路都没有冗余备份, 容易出现单点故障, 引起整个网络出口中断;二是如果资金充足, 可在网络中加装专业的IDS或IPS设备, 与防火墙设备联动, 可更加有效地预防和阻挡来自内、外部的网络攻击。

参考文献

[1]朱俊.计算机网络安全方案的设计[J].中北大学学报, 2008, (24) :74.

局域网企业信息安全系统设计研究 第7篇

关键词：局域网,企业信息安全系统,系统设计

自进入二十一世纪, 人类社会也正式进入了网络信息时代, 而计算机网络技术和信息技术也成为时代发展的标志和主要发展方向。 伴随着计算机网络技术和信息技术的不断发展, 在企业信息管理系统应用的过程中, 会时常出现信息泄露和机密外泄的情况, 对企业的经营和管理工作造成较为严重的影响, 因此, 为了能够有效解决该问题, 现代企业开始应用局域网信息安全系统对企业信息进行管理, 以求为企业提供一个安全、 可靠的信息办公环境, 确保企业的健康发展。

1局域网企业信息安全系统设计需求

1.1全面性

局域网企业信息安全系统设计要满足全面性需求, 通过信息安全系统不仅要能够对企业信息进行全面保护, 避免其出现外泄情况, 还要能够对企业所有管理系统的运行情况进行有效监督, 如果发现异常及时对其进行有效处理 。 同时 , 通过安全系统还要能够对企业所有系统中相关设备和仪器的运行情况进行监督, 避免因为硬件设备问题而导致企业信息外泄问题的发生。

1.2安全性

安全性, 是局域网企业信息安全系统设计中的最主要要求, 而系统安全性主要体现在两个方面。(1) 系统要能够对内部信息安全进行管理和控制, 如果在运行中发现系统中出现病毒, 要及时对病毒进行查杀, 避免其对企业信息造成破坏; 即使无力对病毒进行查杀也要及时切断企业系 统运行 , 对信息进行及时保护, 并通知相关人员及时对问题进行有效处理。(2) 系统要具备抵御外部攻击的能力, 当前企业信息系统经常会遭受外部病毒和恶意代码攻击, 对此局域网企业安全信息系统要能够对其进行有效抵御, 避免系统从外部被攻破。

1.3可扩展性

计算机网络技术和信息技术更新换代速度非常快, 在企业的经营和管理过程中, 要及时对企业信息管理系统进行升级和扩展。 因此, 在对局域网企业信息安全系统进行设计的过程中, 一定要充分体现出系统的可扩展性, 要支持企业正常升级和扩展, 不能对其造成限制, 否则不仅会影响企业信息管理的安全性, 还会在一定程度上增加企业系统设计和实施成本。

2系统结构设计

在本世纪初期, 企业信息管理系统结构设计多采用C/S结构, 而随着信息技术的不断发展, C/S结构已经逐渐升级为性能更加强大的B/S结构, 局域网企业信息安全系统, 其设计结构就多采用B/S结构。

B/S结构指的是浏览器和服务器结构 , 是从原有的C/S结构基础上进一步发展衍化而得出的新型结构。 相对于升级前的C/S结构, B/S结构性能更加 完善 , 运用和操 作也更加 简单, 结构稳定性和可靠性也更强。 在B/S结构下, 局域网企业信息安全系统中的用户工作界面可以直接通过WWW浏览器来实现窗口化操作, 系统中事务逻辑也只需要通过服务器端即可实现, 只有极少部分较为复杂的事务逻辑需要通过前端实现。

基于B/S结构的局域网企业信息安全系统, 其应用程序主要分为3个部分:

(1) 为用户工作站 , 主要功能是对系统运行情况进行监督和对系统运行进行指令控制。 该部分主要包括提供图形用户操作界面的应用程序、 入口表格操作的应用程序以及交互式窗口的应用程序。

(2) 为局域网服务器或者是其他共享主机上的事务逻辑处, 作为响应工作站所发出子命令请求的服务器, 该部分决定了数据的读取需求路径以及数据存储路径。

(3) 为整个系统中最重要的组成部分 , 即数据库 。 该部分囊括了数据库应有的所有功能, 包括数据处理、 数据读写以及访问数据库的功能。 在局域网企业信息安全系统中, 数据库功能性的高低, 在很大程度上会对整个系统运行效率的高低造成影响。

与C/S结构相比, B/S结构最大优点在于可以随时随地对系统运行情况进行监督和控制, 并且操作简单。 同时, 应用B/S结构进行构建的局域网企业信息安全系统还具有比较强的扩展性, 并能够大幅度降低系统运行过程中服务器 的负担 , 增加交互性, 对系统运行进行实时监控。

3系统功能结构

整个局域 网企业信 息安全系 统的功能 结构组成 如图1所示。

在整个系统功能结构组成中, 屏幕录制模块、 网络监听模块以及移动存储设备访问控制模块是其中最为重要的组成部分, 需要对其设计给予足够重视。 接下来, 便以某企业的局域网信息安全管理系统为例, 对其进行详细分析。

3.1屏幕录制模块

局域网企业信息安全系统构建的主要目的就是为了对企业的信息进行保护, 确保企业信息管理的安全性, 避免企业信息外泄和遭受破坏等问题的出现。 而在企业信息外泄过程中, 绝大部分都与企业员工操作有关, 而非外部入侵和攻击。 因此, 为了能够对企业员工的管理行为进行有效监督, 避免企业信息有内部外泄问题的出现, 企业一直在寻求有效的管理办法。 局域网企业信息安全系统的出现, 实现了对员工操作行为的有效监管。 通过屏幕录制模块, 系统可以在不影响客户端正常运行的情况下, 对系统上每一个用户电脑的屏幕操作情况进行录制, 进而对员工操作行为进行有效监管。 在该企业构建信息安全系统之前, 曾经发生几起企业信息外泄的情况, 给企业造成了较大经济损失, 并且企业无法找到泄密人员。 在利用安全系统之后, 企业便实现了对员工行为的有效监督, 再也没有发生员工泄密事件。

3.2网络监听模块

该模块的主要作用是提升系统的网络防护能力, 其要具有以下3个基本功能。

(1) 数据包截获

对网络数据流行和流量进行监管, 并自动对数据包进行截获, 生成网络管理日志。

(2) 协议的解码

对网络数据分配和转换协议进行破译和解码, 从数据中获取需要信息, 并以此来提升网络运行的可靠性和安全性。

(3) ARP欺骗

ARP欺骗的主要作用是对企业内网运行情况进行有效控制, 对外来电脑的访问进行禁止和对内部问题电脑进行限制, 避免内部信息外泄。

该企业应用安全系统之后, 在网络监听中曾经多次截取可疑信息和外部入侵数据, 很好地对企业局域网络进行了管理, 大大提升了网络运行的稳定性和安全性。 自安全系统运行之日起, 再也未发生企业内部网络被外部攻破的情况, 很好地保障了企业信息的安全性。

3.3移动存储设备访问控制模块

该模块的主要作用是对存储设备的访问情况进行有效控制, 避免他人通过移动储存设备将企业信息资源带出。 在传统的企业信息档案管理工作中, 其多将纸质文件进行密封保存, 外来人员和企业无权限人员很难将其带出。 而在网络信息化时代, 企业信息多储存在系统中, 其信息档案只需要小小的U盘或者是硬盘就能够轻易带出, 对整个企业信息安全威胁较大。 因此为了能够有效杜绝该问题的发生, 在局域网企业信息安全系统构建过程中, 该企业对系统移动存储设备的访问情况进行有效控制, 对USB借口、 光驱以及软驱等进行限制。 尤其是财务和经营部门, 该企业更是对工作人员的网络数据传输情况也进行限制。 通过该方法, 该企业获得了很好的应用效果, 全面避免了企业信息的外泄, 提高了企业信息的安全性。

4结语

企业内部局域网安全控制策略分析 第8篇

(一) 企业内部局域网。

局域网是指在某一区域内由多台计算机联成的计算机组, 可以在这一区域范围内进行资源共享。局域网是一个较为封闭的网络。而企业内部局域网是指在企业内部建立的较为封闭的网络, 只有通过企业的内部局域网才可以进入到企业的工作管理中, 在企业内部网络以外的网络中无法完成企业的各项工作[1]。

(二) 企业内部局域网的安全。

企业内部局域网络的安全不仅仅只是企业的计算机硬件设施和应用软件的安全管理, 更主要是保证企业内部的信息数据的保密性和完整性。企业内部的信息数据包括了企业的经营理念和经营管理中独有的方法或手段, 属于商业机密。企业内部局域网的安全受到威胁, 企业的商业机密的安全也同样会受到侵害。

二、企业内部局域网存在的安全隐患

(一) 企业内部计算机中的病毒破坏难以根除。

企业的工作人员中, 计算机专业人士除外, 对于计算机的使用也只停留在最基本的操作层面, 缺乏计算机网络的安全防范意识。在计算机出现病毒侵害时, 无法将病毒清除。以至于病毒对计算机造成的破坏无法修复。在企业内部局域网中, 由于一台计算机受到病毒的侵害, 会使整个局域网内的其他计算机也产生连锁侵害, 为整个局域网络的应用造成危害, 严重者会使整个局域网络陷于瘫痪状态, 影响整个企业工作的正常进行。

(二) 网络操作系统存在漏洞。

每个操作系统都或多或少存在漏洞, 给病毒和木马的入侵提供了便利的条件。因而对于网络操作系统进行定期更新和定期检查, 查杀病毒, 修复漏洞, 能够减少病毒对计算机的破坏[2]。

(三) 网站管理中疲于防范。

网络中病毒通常以插件的形式, 在网页中安插各种问题插件, 对浏览过网页的计算机进行侵害。很多网站在管理中, 由于疏忽或持有疲于管理的态度, 导致网站中存在病毒, 也不进行清理。对进入网站、浏览网页的计算机造成连锁感染, 使计算机也携带了病毒。在企业内部局域网中, 一台计算机携带病毒, 造成局域网内部的其他计算机也感染病毒, 对企业的数据安全造成威胁。

三、企业内部局域网的安全防范措施

(一) 对企业内部局域网设置防火墙和网络侵入检测技术。

防火墙是指一个内部局域网络与外部网络之间的安全系统。设置网络防火墙, 可以有效防止外部网络的非法用户对内部局域网络的入侵, 对内部网络的资源和数据造成破坏。在企业内部局域网设置防火墙, 可以有效保护企业各项资源不受破坏, 保证企业的商业秘密不被泄漏。

(二) 制定网络管理制度。

为维护企业内部局域网的安全, 要加强网络管理, 制定网络管理制度。首先, 企业要聘用高素质人员, 在企业的管理工作中, 高素质人才对计算机的应用知识有一定的了解, 在计算机的使用过程中能够保证计算机的网络安全。其次, 企业要雇佣计算机专业人士, 专门负责维护企业内部局域网的安全问题。最后, 提高工作人员的网络安全意识, 对工作人员普及网络安全防范知识, 加强宣传。

(三) 进行数据备份和加密。

在企业内部局域网的安全易受到威胁的情况下, 对数据进行备份和加密, 是保证数据安全的有效手段。企业的工作人员在工作中要经常进行数据备份, 对数据进行加密设置。在数据丢失时, 数据备份可以找回丢失的数据;数据加密能够限制其他用户对数据的访问, 保证数据安全。

结论

在现代企业的经营管理中, 对于网络的应用范围不断扩大。企业内部局域网络的资源安全直接影响着企业的经营与管理。企业内部局域网络的安全问题, 是企业要解决的关键性问题。对企业而言, 加强企业的内部局域网的安全管理, 可以保证企业各项工作的有效进行, 促进企业的顺利发展。

摘要：随着信息技术的不断提高, 网络技术得到了广泛的应用。在企业的经营管理中, 各企业也建立了企业内部的局域网络, 以方便企业的工作安排和员工管理。但近几年来, 网络上的病毒和木马等恶意程序时刻威胁着企业内部局域网的安全。本文主要介绍企业内部局域网的相关概念, 结合企业内部局域网络存在的安全隐患, 提出相关的解决对策, 为企业保证内部局域网的安全提供依据。

关键词：局域网,黑客,防火墙

参考文献

[1]孟海霞.计算机局域网的维护管理与网络安全分析措施[J].硅谷, 2015, 04 (03) :212.

企业局域网环境中安全技术的应用 第9篇

1 局域网环境安全现状分析

对于企业局域网环境而言,其安全关系到企业正常工作的各个细节,随着信息应用的不断深入,局域网的影响也不仅仅停留在单纯的效率提升方面,在企业安全以及技术安全领域,同样有着不容忽视的重要价值。

从局域网的安全体系构成角度看,整个局域网安全可以大体划分为4个层级,即物理链路层安全、网络工作层安全、应用环境安全及数据管理层安全。其中物理链路层的安全,是从物理硬件角度出发,重点考察光缆以及设备工作过程中的稳定性以及对于数据传输的处理能力,关系到数据完整性以及实时性等相关安全属性。网络工作层主要是考察整个网络环境构成的稳定性,即在物理链路上通过软件协议来实现整个数据通信网络的构成。在实际安全环境的考察中,可以发现协议本身也有可能存在漏洞而易招致来自广域网的攻击。应用环境安全主要是指各类软件群体环境的安全,其中包括应用软件、操作系统及数据平台等。通常来说,一个系统编码时产生错误,可能导致漏洞的产生,病毒及相应的外部攻击都在这一环境中产生,因此应用环境是局域网安全防范的重点所在。最上一层安全隐患,存在于数据管理环境之中,相关统计表明,有超过60%的数据泄漏源于管理系统的不完善。在该领域之下,数据的合理授权和动态管理是保障工作安全的重点所在,在实际工作中,这几个方面虽然已经得到重视,但仍不足以满足数据体系安全需求,还有进一步的提升空间。

随着信息技术的深入发展,数据安全防范工作的重点也发生着相应的变化。在局域网发展的初期阶段,物理链路和相关设备的质量以及数据传输与处理能力都相对有限,因此安全工作的重点放置于相对较低的两个层面。而随着局域网信息技术的不断发展,企业环境中更多支持性数据平台和软件得以引入,同时相关网络构建的硬件以及协议层面的技术日渐成熟,因此安全工作的重点也开始得到转移,朝向整个网络安全体系的两个高层转移,就目前的情况看,在很多局域网环境中已基本实现了转移。

2 构建完整的局域网数据安全体系

随着局域网自身的发展,一方面其安全工作重点开始朝向软件与管理环境倾斜,另一个方面,无线数据传输得到更为广泛应用,也是造成安全隐患的重要因素。在这样的环境之下,如何在企业局域网中搭建起完善的数据安全架构,是当前企业所面临的重点问题之一。

2.1 积极引入先进的行业标准

积极引入先进的行业标准,提供稳定和完善的数据传输环境,对于有效保证局域网安全意义重大,包括诸如IEEE 802.11体系下的相关标准以及中国制定的无线局域网鉴别和保密基础结构(Wireless LAN Authentication and Privacy Infrastructure)等,都是必须要关注的标准,对其遵守和执行是确保局域网安全的基础。

2.2 积极引入先进技术

积极引入先进技术是保证企业局域网整体环境的必然趋势。安全技术与安全威胁技术必然呈现出相互推进的增长趋势,因此,对于局域网的安全而言,放任安全技术自行发展而不给予必要的关注并非理智行为。从目前的发展状况看,除了相对常规的对操作系统以及病毒库及时打补丁和完善以外,入侵检测系统作为面向局域网环境内部数据传输实现主动安全监测保障的重要手段,在近年里得到了长足发展。而这种发展本身也与其他相关技术,包括大数据分析以及数据识别等技术的发展相辅相成。进一步考察大型工业企业环境中,局域网数据传输的数据种类和总量都空前高涨,因此如果对整个网络环境中的所有数据不加以区分,实施同一个级别的安全保护,必然会给局域网内的安全运算能力带来额外负担。针对此种情况,基于生命周期的数据识别技术必然会成为未来一段时间安全技术的重要支持。此项技术主要是考虑到在企业环境中,尤其是在工业生产环境中,不同的数据在不同的时间会具有不同的特征,并且在安全需求方面也有所不同。依据这些特征来进行判断并给予不同的安全保护,对局域网环境中安全保护能源的优化利用和安全整体水平的提升均具有积极价值。最后,大数据作为当前主要的技术发展方向,对于数据识别以及入侵检测等相关技术的支持价值也不容忽视,加强这一领域技术发展的关注,还需合理引入包括人工智能等相关分支技术。

2.3 加强数据授权

在管理层面,加强数据授权,特别是面向岗位的授权,这是确保局域网数据安全的必由之路。同时还应当注重授权的动态管理,依据岗位所承担的职责,以及其对于数据读写的需求,来管理授权,避免授权过大,从而减少数据暴露问题的发生。

3 结语

局域网的数据安全,目前已经上升到关乎企业生存的重要位置,因此必须加强关注。在实际工作中,应深入考察局域网自身变化以及其承担的数据变化,跟踪领域内先进技术的发展,这是切实保障局域网安全的重要基础。

摘要：本文首先就当前局域网环境安全现状展开分析,指出了安全工作体系的4个层级,而后进一步在此基础之上,结合当前我国企业局域网技术发展,对如何有效构建起完整的安全体系,弥补安全短板,有针对性地提出建议。

关键词：企业,局域网,安全体系,技术

参考文献