企业网“安全集中管理”之初探

最新推荐文章于 2025-09-06 09:34:58 发布

原创最新推荐文章于 2025-09-06 09:34:58 发布 · 124 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#系统安全 #网络 #运维

本文探讨了企业网络面临的各种安全威胁，如病毒侵袭、***活动等，并提出了一系列应对措施，包括合理规划网络布局、采取技术安全手段、建立管理制度、加强管理员素质培养等。

企业网“安全集中管理”之初探

刘志勇

背景

现今，随着信息化在管理中越来越深入使用，多数政府机关、金融机构、厂矿企业等也拥有了自己的Intranet，内部网络将负责整个单位内部与内部之间、内部与外部之间大部分信息的流通。互联网在中国已经发展起来，各单位、企业的网络从无到有，逐渐发展和完善。但是，目前很多企业并不是很庞大很完善的网络。网络安全是关系到企业命运的大事，保障网络安全又可以说是一个“全民工程”，了解网络安全的基本技术知识对于企业各阶层人士都是有裨益的。

现在有许多网络集成商也纷纷推出了自己的Intranet的解决方案。在本文中，笔者不准备探讨各种Intranet方案的孰优孰劣，只打算以一个普通用户的角度，来窥视企业网的“安全集中管理”中Intranet普遍存在的问题。

威胁安全的主要因素
　　由于企业网络是由内部网络、外部网络和企业广域网组成的，网络结构复杂，威胁主要来自：病毒的侵袭、***的***、拒绝服务、密码破解、网络窃听、数据篡改、垃圾邮件、恶意扫描等。大量的非法信息堵塞合法的网络通信，最后摧毁网络架构本身。

合理规划布局，将外因降至最低

就拿笔者所在单位的Intranet来说，可以视为一个比较典型的企业网。该单位有着四十余年的历史，是一个隶属于知名国有大型企业的一个子公司。由于历史的原因，早年建筑布局没有进行统一的规划，随着企业的不断发展导致办公楼房分布比较分散。而一般的Intranet解决方案只考虑到楼宇间的布线，对于办公室内的布线没有很好的规划，由于建筑物建造年代相当久远，当时中国还没有网络、智能大厦等概念，所以没有进行网络规划。网络建设初期普遍做的不完善，有些办公室由于面积小，没有从长远性考虑，只布了一个信息点，而该办公室由于某种原因后来放置了两台甚至多台计算机，就不得不在墙上打眼另拉网线，或者又破费购置一个Hub，而Hub一般最少也是八口的，多个口闲置造成资源的浪费。办公室里的电脑桌放置因为离信息端子比较远，又不愿意挪移办公室家具的位置，就叫网管员为他做一根很长很长的网线。而网线长度越长，则信号衰减就越厉害。这种情况下，办公室走线的方法五花八门，有的拉一根很长很长的网线，有的捆成一捆，又的干脆直接放在地上而没有埋入线槽，这样一来，网线被踩的几率就大大增加了，这样会造成网线的损坏，造成网络时断时通。有些员工为了视觉上的美观，将网线与电源线路捆在一起，因为交流电的电气特性，所以存在谐波干扰，会造成网线信号衰减失真，导致网络效率低，引起资源的浪费。有些部门使用Hub集线器来连接多台计算机，这样会造成网络数据的泛播，引起网络数据的泄密甚至广播风暴。此种情况建议使用交换机以杜绝这些潜在风险，况且交换机的价格已经大幅度下降了。窃以为，企业在规划布线的时候应该从长远计议，敢于下大本钱去投资，每个办公室的信息接入点宁多勿缺，统一布局，而且，电脑桌要统一规划布置。

采取必要的技术安全手段

安全问题一直是Internet的头等问题，如已经泛滥的病毒、***活动等等，不幸的是，Internet上的问题在企业Intranet也得到了“克隆”。企业Intranet的安全问题也决不能掉以轻心。根据IDG对Intranet安全的分析得出，最普遍的安全问题还是来自内部，并且都是致命的，破坏性远远大于来自外部的***和破坏。实际情况确实如此。就企业Intranet而言，更多潜在的安全风险还是来自企业Intranet内部，包括内部人员的泄密、病毒泛滥、网络嗅探、物理上的安全威胁等等。即使该企业已使用网关或防火墙之类的网络设备将Intranet和Internet相连起来，但仍然会“祸起萧墙”。相当多的单位由于财政或预算或决策层认识不足的问题，并没有直接将Intranet连接到Internet，按说这种情况下安全问题应该好一些。可是实际情况并不是这样，恰恰相反，这种状况下所带来的潜在安全风险更大。因为员工为了上Internet，会私下添置Modem。并且由于科室众多、员工自觉性和安全意识薄弱的问题，强制企业每一台计算机都安装某种软件，在没有完善的行政管理手段和监督制度的情况下似乎不大可能。于是形成了系统软件版本繁多的局面，单机版的防火墙和防毒墙所提供的安全屏障都是很脆弱的，况且由于很多原因，如不能上网更新或不积极主动更新，故很多时候这些防火墙规则库和防毒墙病毒库并不是最新的版本，更有甚者，有些员工干脆关闭了防毒墙和防火墙。这样，一旦私下用Modem连上Internet，如果不幸“引进”网络蠕虫病毒的话，那么这个企业Intranet就会在极短的时间成为蠕虫泛滥重灾区。这一点，笔者是深有体会的，当年尼姆达、SirCAM、VBS/KJ等蠕虫病毒在企业Intranet大面积爆发，屡杀不绝的情景仍然历历在目。最后笔者费了九牛二虎之力才得以控制已经在企业网泛滥的疫情。后来在这家企业中部署了网络版的防毒墙Symantec Norton Antivirus企业版，因为这个防毒墙采用C/S模式，只要服务端经常连上Internet保持更新病毒库，那么客户端就自动从服务端更新，不必每个工作站都自行更新病毒库，从而有效的防止了此类病毒的大面积爆发。具有这种特性的网络版杀毒软件据笔者所知还有趋势公司的IMSS、McAfee公司的ePO等等。另外，也有一些爱好计算机的员工在企业网上滥用各种特洛伊***和各种各样的***工具，如嗅探器之类的工具会给网络带来很高的负荷，并且会带来安全问题。为防范嗅探器，应该采取对网络进行分段，如在交换机上设置VLAN等手段。

建立合理的管理制度

通常情况下，企业Intranet所提供的网络服务多种多样，计划内一般有文件共享、打印机共享、FTP、E-mail、Web、NNTP、MS SQL等等，但由于有些爱好计算机的员工也在企业网上自建了很多设计外的网络服务和应用，如CS服务器、星际、红警、VOD视频点播服务器或流媒体服务器等等充斥着网络，使得网络负担加重，并且分散的网络服务带来了低下的效率和盲目的管理，造成了网络资源的浪费，也对网络的正常使用和运行带来了不可预料的危害。此时制定必要的行政管理制度并认真落实就显得很重要了。

企业网的建设和管理并不仅仅是计算机管理员的事情，它是需要整个企业自上到下全体员工的共同参的。

IP地址的合理分配

在日益庞大的企业网中，从长远来看，在企业网内动态分配IP地址根本是不现实的，IP地址的分配应本着“合理规划，预留扩展，顺序分配，便于管理”的原则，尽可能按照处、室（部门）或用户集来分配IP地址，并且为每个处、室（部门）或用户集预留恰当的扩展空间。由此可见，IP地址的分配也是网络建设和管理的一个重要的问题。

加强企业网管理员的素质培养

企业网管理员要敬业，不能太依赖程序，自己却不尽职。要好学，要勤奋，尽快使用新版本的程序，对过低版本的明显漏洞，要及时采取补救措施，对 web服务器和系统都细心的进行安全配置。安全意识要强，对于发出的安全信息不能漠不关心，要及时查清和处理。管理要严肃认真，要严格的控制好各工作组之间的访问权限，认真做好单机的防范工作。

企业网集中安全管理的几条措施

1、管理员必须熟练运用扫描器、嗅探器等安全工具进行检测，以及时了解系统出现的漏洞，解决网络的一些实质性问题。

2、任何操作系统都有漏洞，作为管理员要及时的打上各种补丁（Patch）。

3、对密码进行安全、有效地管理是管理员义不容辞的职责。

4、关闭不必要的服务。

5、病毒与大型网络形影不离，慎重选择好杀毒软件。

6、错误操作、停电、硬盘损坏等意外事故随时都可能发生。为防止数据丢要随时进行数据备份工作。

网络安全管理只有不断学习和探索才能做好和完善。

积极进行网络使用技能、知识的普及培训

在企业中，有很多员工（尤其是岁数稍大一些的）普遍缺乏计算机网络的基础知识，导致在网络使用过程中经常造成不必要的麻烦。据估计，由于客户端的原因和其他很简单的问题造成网络无法使用的原因占了90%以上。计算机网络基础知识的普及应该是当前企业的员工培训的一个重要内容。

技术要与管理结合
　　技术与管理不是孤立的，对于一个信息化的企业来说，网络信息安全不仅仅是一个技术问题，也是一个管理问题。保证系统安全的第一步，首先要做到重视安全管理，在很多病毒或安全漏洞出现不久，网上通常就会有相应的杀毒程序或者软件补丁出现，微软主页上面也会及时发布软件补丁以及各种各样查杀Nimda、Redcode的工具，管理员要养成主动维护系统安全的习惯，同时要健全安全方面良好的管理机制。

要做好“御毒”和“歼毒”

企业网络安全性主要有两个最大威胁，一是病毒侵袭，二是******。使用计算机难免不遭遇计算机病毒，而计算机网络的普及则为******提供了基础。
　　病毒侵袭几乎有计算机的地方，就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内，伺机进行自我复制，并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大，所以它的危害最能引起关注。病毒的“毒性”不同，轻者只会玩笑性地在受害机器上显示几个警告信息，重则有可能破坏或危及个人计算机乃至整个企业网络的安全。
　　杀毒软件是对付病毒的最好方法之一。据最新统计显示：被调查的多家企业中约有百分之八十以上把单机版杀毒软件当作网络版使用；这些企业网络安全防范意识非常薄弱，大部分计算机曾经被病毒***过。因此，光有工具不行，还必须在意识上加强防范，并且注重操作的正确性；重要的是在企业培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的***。

后话

企业网络安全是一个永远的话题，企业网络安全已被提到重要的议事日程。企业网的“安全集中管理”则是保证企业网络安全的一个重要手段。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每个员工的安全操作等都有密切的关系。网络安全是动态的，新的Internet***站点、病毒与安全技术每日剧增。怎样才能持续把住企业网络安全的大门这将是对新一代网络管理人员的挑战。

　　可以说，企业网的“安全集中管理”一个整体的问题，需要从管理与技术相结合的高度，制定与时俱进的整体管理策略，并切实认真地实施这些策略，才能达到提高企业信息系统安全性的目的。

本文为《网管员世界》和联想公司联合举办的主题征文二等奖。