摘 要：計(jì)算機(jī)信息技術(shù)的發(fā)展，為企業(yè)單位的各項(xiàng)工作帶來(lái)了便利。企業(yè)通過(guò)建立信息化網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)了企業(yè)的高效率管理。然而，企業(yè)的局域網(wǎng)的建立和運(yùn)行，不但關(guān)乎到企業(yè)的整體運(yùn)營(yíng)，而且還涉及到企業(yè)內(nèi)部信息的安全性。面對(duì)局域網(wǎng)中所存在的安全隱患，就需要對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行分析，并做出規(guī)劃。本文針對(duì)企業(yè)局域網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)分析及設(shè)計(jì)規(guī)劃進(jìn)行探討。

關(guān)鍵詞：企業(yè)局域網(wǎng)；安全風(fēng)險(xiǎn)；分析；方案設(shè)計(jì)規(guī)劃；討論

中圖分類號(hào)：TP393.1

建立企業(yè)風(fēng)險(xiǎn)意識(shí)，做好網(wǎng)絡(luò)安全防范預(yù)測(cè)，成為了企業(yè)風(fēng)險(xiǎn)管理中的一項(xiàng)重要內(nèi)容。防火墻、漏洞掃描、防病毒、入侵檢測(cè)等維護(hù)網(wǎng)絡(luò)安全的軟件，有效地提高網(wǎng)絡(luò)信息的安全性。隨著網(wǎng)絡(luò)與信息技術(shù)應(yīng)用的范圍不斷擴(kuò)大，各種形式的服務(wù)被展開(kāi)，各種的網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)了。為了確保企業(yè)局域網(wǎng)信息能夠在網(wǎng)絡(luò)上進(jìn)行有效傳播，并且免受網(wǎng)絡(luò)黑客的攻擊，可以加筑安全屏障在企業(yè)的局域信息網(wǎng)。為了維護(hù)局域網(wǎng)絡(luò)信息系統(tǒng)的安全性，采用防火墻技術(shù)與入侵檢測(cè)系統(tǒng)相結(jié)合的防護(hù)技術(shù)，使網(wǎng)絡(luò)的安全防御能力大大地提高了，實(shí)現(xiàn)了維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)營(yíng)。對(duì)企業(yè)的局域網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，并根據(jù)實(shí)際的需要進(jìn)行合理地規(guī)劃設(shè)計(jì)，是非常必要的。

1 企業(yè)局域網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)分析

企業(yè)局域網(wǎng)系統(tǒng)普遍存在的安全風(fēng)險(xiǎn)包括有網(wǎng)絡(luò)安全的物理風(fēng)險(xiǎn)和網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)。

1.1 網(wǎng)絡(luò)安全的物理風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全的物理風(fēng)險(xiǎn)一般是建立網(wǎng)絡(luò)的硬件設(shè)施很容易出現(xiàn)故障。除了一些自然因素，如火災(zāi)、水災(zāi)、地震等所造成的故障之外，主要還是諸如由于不當(dāng)操作而造成的設(shè)備損壞或者是設(shè)備丟失以及線路被劫等等的人為因素影響。對(duì)于性能較高的硬件配置，主要體現(xiàn)在雙機(jī)設(shè)計(jì)、報(bào)警系統(tǒng)、機(jī)房的內(nèi)部環(huán)境的安全性上。

1.2 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)主要體現(xiàn)服務(wù)器的風(fēng)險(xiǎn)和整體結(jié)構(gòu)與路由的風(fēng)險(xiǎn)。

（1）服務(wù)器風(fēng)險(xiǎn)。作為企業(yè)信息發(fā)布的平臺(tái)，局域網(wǎng)的服務(wù)器一旦受到攻擊，就容易導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。網(wǎng)絡(luò)管理人員就有其需要對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)提高警惕，因?yàn)檫@里是黑客試圖闖入的關(guān)鍵。

（2）網(wǎng)絡(luò)的整體結(jié)構(gòu)與路由風(fēng)險(xiǎn)。企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的建立是非常簡(jiǎn)單的，只要一臺(tái)路由器，加之一些輔助設(shè)備，就可以將局域網(wǎng)絡(luò)系統(tǒng)建立起來(lái)。因此，很容易出現(xiàn)安全問(wèn)題。

2 網(wǎng)絡(luò)安全的總體設(shè)計(jì)原則

2.1 網(wǎng)絡(luò)安全設(shè)計(jì)方案需要遵循的原則

（1）綜合規(guī)劃原則。計(jì)算機(jī)的網(wǎng)絡(luò)結(jié)構(gòu)主要包括數(shù)據(jù)、軟件、設(shè)備等等，那么，在對(duì)網(wǎng)絡(luò)工程系統(tǒng)進(jìn)行安全設(shè)計(jì)的時(shí)候，就需要從整體角度出發(fā)對(duì)設(shè)計(jì)方案進(jìn)行制定，并根據(jù)專業(yè)的需要分析、修改。

從管理的角度來(lái)看，網(wǎng)絡(luò)安全的設(shè)計(jì)上，要符合有關(guān)的法律法規(guī)已經(jīng)相應(yīng)的管理制度；在專業(yè)技術(shù)上，采取多種方法向融合的措施，以獲得最可行、最有效的方案。

（2）平衡一致的原則。使用局域網(wǎng)絡(luò)，其可以帶來(lái)諸多的便利的同時(shí)，用戶也要承擔(dān)了一定的風(fēng)險(xiǎn)。通過(guò)對(duì)網(wǎng)絡(luò)的實(shí)際功能進(jìn)行研究，在設(shè)計(jì)安全策略之前，要對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)、性能等進(jìn)行必要的分析，使其與網(wǎng)絡(luò)安全的需求保持一致。不但可以提高網(wǎng)絡(luò)的運(yùn)行效率，而且還會(huì)降低資金投入成本。

（3）多重保護(hù)，分步實(shí)施。為了防止系統(tǒng)在黑客的攻擊下，受到破壞。建立起多重保護(hù)網(wǎng)絡(luò)的系統(tǒng)，可以加大安全防護(hù)系數(shù)，以各層保護(hù)之間的互補(bǔ)，實(shí)現(xiàn)保護(hù)系統(tǒng)信息的安全。

鑒于網(wǎng)絡(luò)系統(tǒng)實(shí)際應(yīng)用范圍的不斷擴(kuò)展，網(wǎng)絡(luò)規(guī)模也在不斷加大，這就導(dǎo)致網(wǎng)絡(luò)更加脆弱。網(wǎng)絡(luò)安全問(wèn)題不能一次性的解決，并且在使用安全措施時(shí)，需要支出一定的費(fèi)用，針對(duì)這一問(wèn)題，可以采用分步實(shí)施的凡是來(lái)滿足網(wǎng)絡(luò)安全的需求，也能夠盡量節(jié)省開(kāi)支。

2.2 安全技術(shù)、服務(wù)、機(jī)制

（1）安全技術(shù)。在開(kāi)放的環(huán)境下，用戶可以使用病毒預(yù)防技術(shù)、防火墻技術(shù)等等。

（2）安全服務(wù)、機(jī)制。安全服務(wù)中，除了包括可靠服務(wù)、認(rèn)證對(duì)象服務(wù)之外，必要的控制服務(wù)也是非常很總要的。相應(yīng)地，也將認(rèn)證機(jī)制以及控制訪問(wèn)機(jī)制建立了起來(lái)。

3 企業(yè)局域網(wǎng)系統(tǒng)安全設(shè)計(jì)規(guī)劃

建立防火墻和入侵檢測(cè)系統(tǒng)，成為了企業(yè)局域網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的規(guī)劃方案。

3.1 防火墻技術(shù)

應(yīng)用防火墻，可以保證信息安全。防火墻技術(shù)的功能就是阻攔一些不被允許的垃圾信息，因?yàn)檫@些信息容易對(duì)網(wǎng)絡(luò)造成干擾，有效組織可以避免出現(xiàn)信息上的濫竽充數(shù)?？梢?jiàn)，防火墻的目的就是對(duì)網(wǎng)絡(luò)之間的通信進(jìn)行控制。

防火墻其實(shí)就是一種軟件或者是硬件設(shè)備的組合，將其安裝在企業(yè)信息網(wǎng)絡(luò)與Internet之間，可以在網(wǎng)絡(luò)信息相互傳送的過(guò)程中實(shí)現(xiàn)保護(hù)系統(tǒng)安全的作用。在兩個(gè)信任程度不同的網(wǎng)絡(luò)之間安裝適當(dāng)?shù)姆阑饓?，可以防止重要的信息資源被非法存取和訪問(wèn)。

3.2 入侵檢測(cè)系統(tǒng)

防火墻的作用是采用強(qiáng)制的方式，攔截不符合局域網(wǎng)絡(luò)要求的信息。那么，在企業(yè)的局域網(wǎng)絡(luò)信息系統(tǒng)中安裝入侵檢測(cè)系統(tǒng)，不但可以實(shí)現(xiàn)防火墻的黑客堵截功能，而且，還會(huì)對(duì)局域網(wǎng)絡(luò)內(nèi)部的攻擊性信息進(jìn)行監(jiān)督。對(duì)于沒(méi)有被授權(quán)瀏覽的信息，依然會(huì)采取相應(yīng)的干擾措施。

入侵檢測(cè)系統(tǒng)與防火墻相比，更具有優(yōu)越性。作為一種動(dòng)態(tài)的安全技術(shù)，其可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)以及計(jì)算機(jī)系統(tǒng)中風(fēng)險(xiǎn)系數(shù)比較高的關(guān)鍵點(diǎn)信息進(jìn)行收集，并對(duì)這些信息進(jìn)行技術(shù)分析和檢測(cè)。通過(guò)對(duì)于檢測(cè)記錄進(jìn)行匯總，就可以從中判斷出一些信息所呈現(xiàn)出來(lái)的違反安全策略的行為。此時(shí)，入侵檢測(cè)系統(tǒng)就會(huì)啟動(dòng)報(bào)警系統(tǒng)，同時(shí)阻撓不良信息的侵入。

3.3 建立入侵檢測(cè)系統(tǒng)與防火墻相結(jié)合的安全防護(hù)體系

將防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)充分地結(jié)合起來(lái)，可以達(dá)到加強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)防護(hù)墻的作用。

具體操作上，首先要安裝防火墻系統(tǒng)，以使外部的入侵信息被過(guò)濾在局域網(wǎng)之外，從而達(dá)到基本的防護(hù)作用，此為企業(yè)局域網(wǎng)絡(luò)防止黑客入侵的第一道防線。之后，將入侵檢測(cè)系統(tǒng)進(jìn)行安裝，形成防止黑客入侵的第二道防線。一旦有不良信息闖過(guò)防火墻，遇到了入侵檢測(cè)系統(tǒng)后，就會(huì)降低對(duì)信息網(wǎng)絡(luò)干擾力。而入侵檢測(cè)系統(tǒng)可以對(duì)黑客進(jìn)行有效檢測(cè)，并啟動(dòng)報(bào)警系統(tǒng)。這樣安裝系統(tǒng)防御設(shè)備，既可以降低保護(hù)局域網(wǎng)系統(tǒng)的風(fēng)險(xiǎn)系數(shù)，也可以將其工作負(fù)載降低。

3.4 防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的組合安裝方式

防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的組合安裝方式包括有兩種，一種是將入侵檢測(cè)系統(tǒng)嵌入到防火墻中；另一種是將防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口，將兩者進(jìn)行外部連接。

采用入侵檢測(cè)系統(tǒng)嵌入的方式，其數(shù)據(jù)并不是來(lái)源于數(shù)據(jù)包，而是流經(jīng)防火墻的數(shù)據(jù)流；使用接口進(jìn)行外部聯(lián)結(jié)的方式，則具有靈活性的優(yōu)勢(shì)。很顯然，兩者不是簡(jiǎn)單的疊加，而是技術(shù)性的組合。

4 總結(jié)

綜上所述，網(wǎng)絡(luò)信息的安全問(wèn)題已經(jīng)成為一種社會(huì)問(wèn)題，如果不及時(shí)將局域網(wǎng)系統(tǒng)產(chǎn)生的安全問(wèn)題分析。解決，那么對(duì)企業(yè)來(lái)說(shuō)將是巨大的威脅。由于網(wǎng)絡(luò)安全一直處在不斷變化與動(dòng)態(tài)發(fā)展的過(guò)程中，因此我們要及時(shí)掌握網(wǎng)絡(luò)變化的第一手資料，對(duì)現(xiàn)階段存在的各類病毒全面了解，以便制定出有效的防范措施，將網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題降到最低。

參考文獻(xiàn)：

[1]張麗肖，劉勁松，李超，柴文磊，李清霞.企業(yè)局域網(wǎng)系統(tǒng)安全的風(fēng)險(xiǎn)分析及設(shè)計(jì)規(guī)劃探討[J].信息與電腦（理論版），2011，16（08）：218-221.

[2]劉亞麗，鄧高峰，郝卓，俞能海.企業(yè)局域網(wǎng)ARP攻擊原理分析及防御措施[J].計(jì)算機(jī)安全，2011，23（07）：264-266.

[3]王家蘭，鄭京香，朱金錄，劉俠.中小型企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)及應(yīng)用技術(shù)的探討[J].電腦知識(shí)與技術(shù)，2011，12（23）：159-162.

[4]郭籽蔚，唐偉，王耀民，周木良，陳震.企業(yè)局域網(wǎng)防范ARP欺騙的解決方案[J].中國(guó)新技術(shù)新產(chǎn)品，2011，12（16）：140-144.