浅谈企业网安全设计

李玉明

摘要：随着我国信息化的飞速发展，我们正大跨步的走进了“互联网+”时代，各行各业都离不开网络技术和与之密不可分的信息技术，信息的潜在价值越来越被社会公众所认可，企业作为一个独立的个体，与外界交流的方式更加的离不开网络技术，企业内部网络和internet之间的安全问题成为当前各企业网络络建设中不可忽视的首要问题。为了保证企业网的正常运行和安全，本文主要针对企业网的特点和传统局域网的缺陷，提出一些粗浅的设计方案。

关键词：互联网+ 信息技术 internet 安全 局域网

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2016）07-0192-02

随着我国信息化的飞速发展，我们正大跨步走进了“互联网+”时代，各行各业都离不开网络技术和与之密不可分的信息技术，信息的潜在价值越来越被深入的挖掘，企业作为一个独立的个体，与外界交流的方式更加的离不开网络技术，企业内部网络和internet之间的安全问题成为当前各企业网络络建设中不可忽视的首要问题。针对企业网络环境中存在的安全问题我们浅谈一下信息技术安全的方案，其主要思想是：不仅仅依靠单一的网络安全技术或安全机制来保证网络的安全性，从网络的物理安全、安全技术防范系统，安全管理制度等多个层次实现网体系的整体安全性。

1 目前企业网络安全的现状

1.1 密码的安全

我们都知道密码技术是保护信息安全以及网络系统不被攻击的最为有效的一种方法。密码设置的漏洞往往是被黑客攻击的主要原因。

在操作系统安全运行方面，我们严禁使用系统默认的administrator（windows系统）或是root（linux系统）用户名称，同时也禁止用户设置较为短小单一的密码口令。然而一些网网络管理人员，却认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样就为攻击者创造了一个非常容易的攻击条件。

密码长度的设置也是至关重要的。以windows系统为例，由于系统的sam文件中存储了系统中的账户信息，所以该文件也被称作是系统的账户数据库。如果黑客通过系统或网络的漏洞得到了这个文件，就能通过黑客工具（暴力破解工具）对该文件进行破解，。对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，因此密码的长度十分的重要，当然我们建议在保证密码长度的同时还要保证密码的复杂度即密码中字符不能太单一。

1.2 系统的安全

网络入侵者攻击企业内部服务器最为常用的方法是寻找被攻击服务器的安全漏洞，往往安全漏洞就暗含在服务器中没有关闭的服务中，所以修补服务器的安全漏洞至关重要。

对于服务，服务器为了给用户提供便捷，开辟了种种服务功能，但是服务提供的服务越多，安全漏洞存在的几率就越高，被攻击的可能就越大。因些从安全角度考虑，应将不必要的服务关闭，例如：telnet服务、ftp服务等功能应当关闭。

1.3 目录共享的安全

在企业内部用户之间建立对等小型网络，共享硬盘或文件夹是企业工作中的普遍现象，这种提供便利的同时带来了安全的隐患，因此在设置共享的过程中要充分考虑到权限分配的问题，必要的时候可以为共享资源设置密码口令加以辅助。

1.4 IP 地址冲突问题

IP地址是网络中每一台设备的的“虚拟身份”，在网络内部不能出现IP资源的冲突现象，为了彻底解决由于IP地址欺骗而产生的地址冲突问题，当前我们可以从软硬件两个方面加以解决。硬件方面，我们从二层、三层交换机可以开启端口静态地址锁、动态地址锁、MAC地址过滤等安全控制功能，软件方面，可以利用软件防火墙甚至是杀毒软件来加以防护。

1.5 病毒的防范

相信木马对于大多数人来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一旦企业内部网络的某台机器被安装了木马，它就变成了一台傀儡机（肉鸡），对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息等，可以说中了木马的设备上的一切秘密都将暴露在别人面前。因此利用硬件防火墙技术和杀毒软件的配合可以有效的将木马等病毒隔离在企业网络之外。

1.6 技术之外的问题

企业网是一个比较特殊的网络环境。随着企业规模的扩大，经营渠道的拓展，其内部网络规模也随之扩大，目前，大多数企业基本实现了办公自动化，生产自动化、企业财务、人事办公自动化等。由于网络节点数的增加，地理范围的扩大，使得网络监管更是难上加难。由于大多数企业存在不重视信息安全的观念，认为信息看不到摸不着，不具备价值，因此疏于在网络信息安全管理方面的规章制度，加之企业员工的安全意识薄弱，为不法分子提供了可乘之机。

2 安全设计方案

2.1 防火墙

建议在企业网络出口的地方部署一台高性能防火墙（可以选择国产的锐捷或者是国外的思科），防火墙对外接入各大主流运营商或其他运营商，目前的主流高性能防火墙还可以提供IPv6 的接入功能，为企业未来接入技术的提升提供了升级空间。

2.2 VLAN

（1）传统LAN环境。传统LAN通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成，各节点通常按照它们的物理连接被自然地划分到各个广播域。处于同一LAN内的网络节点间可以直接通信，而处于不同局域网之间的通信则必须通过路由器才能通信。

（2）VLAN技术。VLAN技术是在局域网内将工作站逻辑的划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了802.1Q关于VLAN的协议草案。是为了解决以太网广播问题和安全性而提出的协议。

VLAN并非一种新型的网络，是包含一组端站点的逻辑上的LAN，其中的站点好像被同一网线连接在一起，而实际上可能出于LAN的不同物理网段。是一组逻辑上的设备或用户，它们就好像处于同一个物理LAN中一样相互通信，不受物理位置的限制。利用VLAN技术的特点我们在企业内部可以根据办公的物理区域或者是逻辑的ip地址段进行逻辑区域划分，然后在核心交换机上利用端口技术进行VLAN的划分，实现逻辑区域的隔离。

2.3 杀毒服务器

在企业的网络中心设置核心杀毒服务器，负责管理该机构总部的主机网点的计算机；在分支机构分别设置中心杀毒服务器所对应的网络分控系统，分别负责管理本地局域网内的计算机，形成企业内部安全云杀毒服务器群，同时在企业内部每台客户机机上均安装杀毒软件网络版的客户端，并保证每台客户端和服务器端上均时刻运行。

2.4 通过域控制器控制密码安全

（1）设置密码历史要求：安全目标：设置重复使用密码的频率限制。设置此值时，将会对比新的密码和所设定数量的早期密码，并在新密码与现有密码匹配时拒绝所进行的密码更改。

（2）设置密码最长使用期限。安全目标：设置用户在不得不修改密码前可以使用该密码的时间。

（3）设置最短密码长度。安全目标：设置用户密码所需的最少字符数。

值得注意的是：密码中每增一个字符，都将按指数级提升密码的安全性。如果要求最少8个字符，则较弱的LMHash也将增强很多，这使破解者必须破解LMHash的全部两个7字节部分，而不是其中一个。如果密码是7个字节或更少，则LMHash的第二部分将具有一个特定的值，破解者可以通过该值判断密码短于8个字符。

2.5 制定企业内部信息安全管理规范

企业网络的安全问题，不仅是设备，技术的问题，更是管理的问题。对于网络的管理人员来讲，一定要提高网络安全意识，加强网络安全技术的掌握，注重对企业员工的网络安全知识培训，将我国最新制定网络信息安全法的内容向企业员工传达，提高员工整体的安全意识，与此同时更需要制定一套完整的规章制度来规范上网人员的行为。

3 结语

企业网络的安全，需要依靠先进的网络安全设备，需要科学方法制定的安全策略，同时也需要技术过硬的网络管理团队。当然企业网络的绿色运行也不能仅仅依靠硬件设备和软件技术，更需要一套科学有效的管理制度作保障，一定要做到提高全员的网络安全意识，加强网络安全技术的掌握，注重对企业员工的网络安全知识培训，并长期进行网络信息安全法律法规的宣传，让全员感受到信息安全和生产安全同样重要，这样企业的网络环境才是绿色环保的。