如何建立安全穩(wěn)定的局域網(wǎng)

　　導(dǎo)語：內(nèi)網(wǎng)安全建設(shè)是一項系統(tǒng)工程，需要周密的設(shè)計和部署，同時內(nèi)網(wǎng)安全也是一項長期的任務(wù)，這其中既包含網(wǎng)絡(luò)安全制度建設(shè)和人員安全意識培養(yǎng)層面，也包含了網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)層面。

　　步驟/方法

　　11.網(wǎng)絡(luò)安全管理制度的建設(shè)

　　通常所說的網(wǎng)絡(luò)安全建設(shè)“三分技術(shù)，七分管理”，也就是突出了“管理”在網(wǎng)絡(luò)安全建設(shè)中所處的重要地位。長期以來，由于管理制度上的不完善、人員責(zé)任心差而導(dǎo)致的網(wǎng)絡(luò)攻擊事件層出不窮。

　　盡管在所有的網(wǎng)絡(luò)安全建設(shè)中。網(wǎng)絡(luò)安全管理制度的建設(shè)都被提到極其重要的位置，但能按相關(guān)標(biāo)準(zhǔn)制定出具有全面性、可行性、合理性的安全制度，并嚴(yán)格按其實施的項目數(shù)量并不是很多。

　　這一點，不得不引起用戶的重視，內(nèi)網(wǎng)安全建設(shè)中，安全制度的良好實施和執(zhí)行能從很大程度上保證網(wǎng)絡(luò)的安全，同時為網(wǎng)絡(luò)的管理和長期監(jiān)控提供有理可依的指導(dǎo)性理論。例如，建立完善的機(jī)房管理制度、完善的網(wǎng)絡(luò)使用制度、責(zé)任到人的設(shè)備管理制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)評估制度等。

　　22.網(wǎng)絡(luò)使用人員安全意識的培養(yǎng)

　　長期的安全攻擊事件分析證明，很多攻擊事件是由于人員的安全意識薄弱，無意中觸發(fā)了黑客設(shè)下的機(jī)關(guān)、打開了帶有惡意攻擊企圖的郵件或網(wǎng)頁造成的。針對這種情況，首要解決的問題是提高網(wǎng)絡(luò)使用人員的安全意識，定期進(jìn)行相關(guān)的網(wǎng)絡(luò)安全知識的培訓(xùn)，全面提高網(wǎng)絡(luò)使用人員的安全意識，是提高網(wǎng)絡(luò)安全性的有效手段。

　　在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)層面，主要包括:

　　2.1.合理的網(wǎng)絡(luò)安全區(qū)域劃分

　　對于一個大型的局域網(wǎng)絡(luò)內(nèi)部。往往會根據(jù)實際需要劃分出多個安全等級不同的區(qū)域，合理的進(jìn)行安全域的劃分，利用網(wǎng)絡(luò)設(shè)備所提供的劃分VLAN技術(shù)等對網(wǎng)絡(luò)進(jìn)行初步的安全防護(hù)。

　　2.2.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)

　　當(dāng)前常見的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)、病毒防護(hù)系統(tǒng)、非法外聯(lián)系統(tǒng)、、漏洞掃描系統(tǒng)和綜合網(wǎng)絡(luò)安全管理平臺等。

　　防火墻通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)，事實證明，在內(nèi)網(wǎng)中不同安全級別的安全域之間采用防火墻進(jìn)行安全防護(hù)，不但能保證各安全域之間相對安全，同時對于網(wǎng)絡(luò)日常運行中，各安全域中訪問權(quán)限的調(diào)整提供了便利條件。

　　入侵檢測的出現(xiàn)，很大程度地彌補(bǔ)了防火墻防外不防內(nèi)的特性。同時，對網(wǎng)絡(luò)內(nèi)部的信息做到了實時的監(jiān)控和預(yù)警，入侵檢測系統(tǒng)與防火墻的聯(lián)動，給內(nèi)網(wǎng)中重要的安全域打造了一個動態(tài)的實時防護(hù)屏障。

　　利用安全審計系統(tǒng)的記錄功能，對網(wǎng)絡(luò)中所出現(xiàn)的操作和數(shù)據(jù)等做詳細(xì)的記錄，為事后攻擊事件的分析提供了有力的原始依據(jù)。

　　利用網(wǎng)關(guān)防病毒系統(tǒng)將病毒盡最大可能地攔截在網(wǎng)絡(luò)外部，同時在網(wǎng)絡(luò)內(nèi)部采用全方位的網(wǎng)絡(luò)防病毒客戶端進(jìn)行全網(wǎng)的病毒防護(hù)，針對服務(wù)器采用專有的服務(wù)器防病毒客戶端，同時保證全網(wǎng)病毒防護(hù)系統(tǒng)做到統(tǒng)一管理和病毒防護(hù)策略的統(tǒng)一。

　　非法外聯(lián)系統(tǒng)能有效的保證內(nèi)網(wǎng)中接入節(jié)點的合法性，同時對于通過非正常鏈路連入非安全域的節(jié)點做實時預(yù)警和阻斷。

　　針對內(nèi)網(wǎng)中重要的服務(wù)器部分，為保證訪問人員身份的合法性，采用身份認(rèn)證系統(tǒng)對訪問人員身份的合法性加以確認(rèn)，對訪問服務(wù)器的人員做詳細(xì)的訪問控制。

　　綜合網(wǎng)絡(luò)安全管理平臺

　　網(wǎng)絡(luò)中各安全設(shè)備協(xié)同工作，各自提供相應(yīng)的安全數(shù)據(jù)，綜合網(wǎng)絡(luò)安全管理平臺對各數(shù)據(jù)的統(tǒng)一并進(jìn)行綜合分析，得出整個網(wǎng)絡(luò)的安全分析報告，為后續(xù)的網(wǎng)絡(luò)安全設(shè)備的策略制定和網(wǎng)絡(luò)安全制度的管理提供指導(dǎo)性的建議。

　　33.安全可控的網(wǎng)絡(luò)

　　當(dāng)企業(yè)建設(shè)一個相對封閉的內(nèi)部網(wǎng)絡(luò)時，一定要保證對該網(wǎng)絡(luò)做到完全控制，所謂完全控制，在這里包含以下幾層含義:

　　1.連入網(wǎng)絡(luò)的節(jié)點的監(jiān)控。內(nèi)部網(wǎng)絡(luò)是相對封閉的環(huán)境，對于網(wǎng)絡(luò)中的節(jié)點信息和與連入內(nèi)部網(wǎng)絡(luò)的節(jié)點，要做詳細(xì)的監(jiān)控和及時的防范。

　　2.非法對外訪問的監(jiān)控。內(nèi)部網(wǎng)絡(luò)中的節(jié)點通過非正當(dāng)渠道對外訪問，如通過Modem撥號的方式連入外部網(wǎng)絡(luò)的方式，及時發(fā)現(xiàn)并做到安全防范。

　　3.網(wǎng)絡(luò)數(shù)據(jù)實時監(jiān)控和審計。針對內(nèi)部網(wǎng)絡(luò)中的傳輸數(shù)據(jù)，通過網(wǎng)絡(luò)設(shè)備做到實時監(jiān)控，實時發(fā)現(xiàn)可疑信息并報警，同時做相應(yīng)的安全審計，從而為事后的電子取證提供有力的依據(jù)。

　　4.實時病毒監(jiān)控。對內(nèi)部網(wǎng)絡(luò)進(jìn)行實時的病毒防范，對網(wǎng)絡(luò)中病毒的防護(hù)狀況做實時監(jiān)控，包括重要的服務(wù)器、工作站和工作PC等網(wǎng)絡(luò)安全系統(tǒng)。

　　5.全網(wǎng)的統(tǒng)一監(jiān)控。對全網(wǎng)的安全數(shù)據(jù)做到統(tǒng)一管理，統(tǒng)一下發(fā)安全策略，統(tǒng)一分析安全數(shù)據(jù)，得出全網(wǎng)安全狀況和風(fēng)險級別。