双拳出击实现企业内部网络安全(转)（有关企业机构开展网络安全）

双拳出击实现企业内部网络安全(转)[@more@]

对企业来说，安全的网络可以使公司的业务信息得到保障，可以使员工的工作隐私得到保护。我们怎么做才能最有效的提高企业内部网络的安全性呢？笔者负责公司网络安全已经有好几个年头了，今天就自己的经验为大家介绍下保证内部网络安全的方法，我们将从技术层和管理层两方面进行介绍。

一、技术层：

网络的安全级别与网络管理员的经验技术是分不开的，如果技术不过硬就不能在第一时间发现问题所在，甚至公司服务器都可能成为他人的肉机。一个对安全重视的网管会对企业内部网络实施这样或那样的安全防御体系的。

1、一名合格的网络管理员：

正如上面所说根据公司规模需要一定数量的网络管理员，最好不是一名，如果只有一名网络管理员的话一旦该人员出现问题，例如跳槽或病假都会给公司网络重大打击的，俗话说不要将所有鸡蛋放在同一个篮子中就是这个道理，适当情况下可以选择一名兼职网管。关于如何才能成为一名合格的网络管理员可以参考以前的《如何成为一名合格的网络管理员》系列文章。

网管需求――至少通过MCSE认证证书，并具备一定计算机故障排除技术。

2、防病毒体系：

网络管理员技术水平再高也无法在不安装任何杀毒软件的前提下手工对抗病毒，所以说公司内部一定要建立一整套防病毒体系。在网络入口处安置防毒墙，或者在每台计算机上安装杀毒软件，并及时升级，随时保证病毒库是最新版本。

网络管理员可以为每台计算机添加计划任务，设定每天杀毒的时间与升级的时间。这样基本可以将病毒排除在企业内部网络之外。还需要说明一点的是如果经费容许的话，应该选购市面上的网络版杀毒软件而不是单机版，因为网络版杀毒软件在可管理与升级体系方面都是单机版无法比拟的，再加上网络版杀毒软件具有相应的全网查杀和漏洞扫描组件可以随时扫描网络中计算机的病毒与漏洞。

防病毒体系需求――可以选择市面上流行的瑞星网络版杀毒软件，也可是使用NORTON的SAV系列。（如下图）

3、防黑客体系：

很多人都觉得防病毒与防黑客是一回事，其实这是不对的，防病毒主要工作在员工计算机上，而防黑客主要工作要放在公司网络出口上，例如使用路由器连接专线的公司就要保证路由器不被黑客攻击，可以采用SSH加密方式连接路由器，另外采用访问控制列表及NAT等技术也可以阻止一些黑客的入侵。

防黑客的另外一个主要工作在于服务器的安全，一般公司都会有对外提供WWW或FTP甚至是MAIL服务的服务器，如何保证这些服务器的安全呢？有三个方法比较有效，第一是为这些服务器安装防火墙，这样可以有效的过滤黑客的攻击；第二是在路由器中仅仅宣告服务器的服务端口，例如对于WWW服务来说只宣告80端口，而其他端口都通过NAT隐藏在路由器之下；第三是开启服务器操作系统的自动更新功能，保证操作系统及相关服务组件的漏洞可以得到即时更新。

防黑客体系――防火墙可以选择天网或MACfee软件防火墙，相对国内产品来说国外的防火墙在功能和性能方面要高出不少。

4、网管工具：

俗话说亡羊补牢虽然不晚但也带来了伤害，所以说防患于未燃才是企业内部网络安全所追求的，如何在危害发生前查出问题呢？这就离不开网管工具了。市面上各种网络管理工具林林总总，有收费的，也有免费的，在选择时还真是头疼。就笔者经验来说对于大型企业及服务器数量比较多的公司来说应该选择一款入侵检测系统，当然对于中小企业直接选择一款专业扫描器再结合sniffer进行监控即可。

网管工具――入侵检测系统推荐选择冰盾，专业扫描器使用免费的x-scan即可，而sniffer就找强大的sniffer pro好了。（如下图）

5、其他措施：

保证安全的手段很多，例如定期分析日志或在没人使用网络的情况下关闭设备等等。这些都是上面四点的有力补充，在实际工作中也是不能缺少的。

二、管理层：

可能有的读者会说管理层是负责公司业务管理的，他和网络安全有什么关系呢？网络的安全还是交给技术吧！其实笔者对管理制度的感触颇深，再高超的网管技术也需要管理制度的配合。

我们举个最简单的例子，就好比说封锁QQ等聊天工具吧，目前QQ软件做的很BT，封锁端口，封锁服务器地址，封锁程序等措施都很难将其进行彻底禁止。即使有了有效的方法封锁了QQ，很快又会有新的办法将限制突破。怎么办呢？这时候就要靠管理制度的制约了，公司制订相应的制度，严禁上班时间使用QQ等聊天工具，违者罚款。这样的效果会别纯技术措施要好得多。因此公司的管理制度是不容忽视的。

作为一个企业的网络管理员我们不但要做到“攘外”――防止外部黑客以及病毒的侵袭，还要做到“安内”――管理好公司内部人员的越权操作，所谓是“无规矩不成方圆”，制定一套严格的管理制度是你轻松管理企业内网的“法宝”。

1、系统安全管理制度

未经网管批准，任何人不得改变网络拓扑结构，网络设备布置，服务器、路由器配置和网络参数。任何人不得进入未经许可的计算机系统更改系统信息和用户数据。企业局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制、和传播妨害单位稳定的有关信息。各部门定期对本部门计算机系统和网络数据进行备份以防发生故障时进行恢复。

2、帐号管理制度

员工入网需要填写“用户入网申请登记表”用户姓名、部门名称、帐号名称及密码、初始目录、权限等等，申请表要经部门领导签字后交网络管理员办理，注销帐号时要通知管理员。网络管理员为员工帐户设置明码口令，员工可以根据自己的保密情况进行修改口令，并且员工应该对计算机设置开机密码和屏保密码。员工帐号下的数据属于私有数据，员工具有全部存取权限，管理员具有管理理和备份存取权限。网络管理员根据企业制度的帐号管理规则对帐号执行管理，并对帐号及数据的安全和保密负责。

3、企业电脑操作人员培训制度

企业中所有操作电脑的员工，都要经过电脑的上岗培训，只有拥有培训合格证才可以有操作电脑的权限，并且自己的机器都设有屏保密码，避免别人的不合理侵入； 企业购买新的软件产品或自己开发的软件产品，安装使用前尽量要生产厂家的专家技术人员来厂进行培训，经过培训合格者，方能取得此软件的操作权限。

4、病毒的防治管理制度

任何人不得在公司的局域网上制造传播任何计算机病毒，不得故意引入病毒。员工发现病毒应立即向网络管理员报告以便获得及时处理。网络服务器的病毒防治由网络管理员负责，各部门的计算机病毒的防治由各部门指定专人负责，网络管理员可以进行指导和协助。各部门应定期查毒，（周期为一周或者10天）管理员应及时升级病毒库，并提示各部门对杀毒软件进行在线升级。

总结：

技术是把双刃剑，一方面他可以保证员工网络的安全；另一方面当他被某些人掌握后会对企业内部网络造成相当大的危害。所以说如何控制这把双刃剑就要靠管理制度了，只有公司制定了行之有效的管理制度，在行为上约束了员工才能最大限度的保证企业内部网络不受黑客和病毒的侵袭，企业内部网络的安全才有保障。