企业局域网安全风险分析与防护策略研究

摘要：计算机技术在创新发展的同时，也给企业局域网带来了一定威胁。为保护广大企业的信息安全，加强局域网的安全防护能力，提高企业的信息化水准，文章总结了目前企业局域网在硬件环境、软件系统、人员管理等方面的潜在安全风险。文章针对企业局域网安全防护的多方面进行了研究，包括硬件环境的设备安全、存储安全、通信安全和电磁安全；软件系统的系统漏洞、访问控制、软件兼容、病毒防护；人员管理的用户培训、管理制度、职责划分、操作规范等，建立了一个全方位、立体化的企业局域网安全防护体系。

关键词：局域网；网络安全；硬件安全；软件安全；管理安全

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2024）22-0076-03

开放科学（资源服务）标识码（OSID）

0 引言

随着计算机技术的迅猛发展，各企业的信息化建设水平日益提升，建设企业局域网已成为大型企业保护内部秘密、存储核心数据资产、加强网络信息安全的有效策略，为企业员工的工作学习带来了诸多便利。

作为计算机网络的重要组成部分，企业局域网面临来自硬件、软件、人为操作等多方面的网络安全挑战。这些威胁轻则干扰局域网运行的连续性和稳定性，重则引发失泄密事件，导致企业商业机密外泄，造成重大经济损失[1]。当前对局域网防护措施的研究，多集中于防火墙、身份验证、入侵检测系统、反病毒软件、数据加密技术和区块链等单项技术领域，虽在一定程度上增强了局域网的安全管理，但难以全面应对多样化的网络安全威胁。

鉴于此，本文提出了一种基于硬件、软件及人为管理三要素的企业局域网安全防护体系。通过精细的层次化构建，针对各类安全问题提供相应的解决策略，有效适应复杂多变的网络环境，显著提升了企业局域网的安全防护效能。

1 企业局域网潜在风险分析

企业局域网终端数量少，范围小，通常是独立架设的小型网络空间，通过物理隔离或逻辑隔离使互联网无法直接访问，在建设之初的整体安全性也较互联网更高[2]。尽管如此，相较于互联网，企业局域网环境的安全优化往往被忽视。随着信息技术不断更新迭代，企业局域网逐渐出现了诸多安全问题，主要包括以下三个方面：

1.1 硬件环境风险

硬件环境的安全性是影响网络安全的基础，包括但不限于机房环境、硬件设备、信息存储、电磁安全、通信安全等。其中，机房可能遭受漏水、失火、人为破坏；黑客可能通过攻击打印机、绘图仪等直连外设来间接攻击计算机；硬件设备可能因年久失修导致重要信息丢失；电磁泄漏也可能导致信息泄露；信息交互过程中可能导致局域网遭受外来攻击。

1.2 软件系统风险

软件系统风险表现在以下四个方面。一是操作系统本身的缺陷，主要指系统开发过程中逻辑设计上的技术缺陷、程序错误及后续安全配置不当导致的不安全因素[3]；二是对身份访问控制的管控问题，能导致非法用户未经许可进入局域网内部造成破坏；三是企业局域网中部署的应用软件之间彼此不兼容，相互冲突导致报错甚至瘫痪。四是病毒、恶意代码对软件系统的威胁。其中，病毒、恶意代码最为常见，广泛存在于整个互联网上，在局域网与互联网交互时，随时可能因为各种原因感染病毒。如下载来源未知的网络资料导致计算机中毒，随意点开陌生人发来的邮件导致计算机被黑客挂上木马，进而感染整个局域网等。这些软件系统风险对局域网的安全稳定运行造成了巨大影响。

1.3 人员管理风险

人员管理风险主要来源于用户的使用习惯及管理制度的缺失。在企业局域网中，计算机使用者的安全意识、防护水平往往参差不齐，部分使用者缺少安全防护意识，容易受到外部攻击[4]。例如，对于重要文件没有随手加密的习惯；误操作导致账号、密码泄露；通过移动存储设备上传下载之前未进行有效的杀毒处理；将企业局域网的内部设备私接互联网等。这些往往会给企业局域网带来不少的安全隐患，导致重要数据丢失、局域网本身瘫痪甚至造成经济损失。同时，部分企业的网络安全管理制度不健全，难以充分发挥出制度优势，缺乏相应监管，给不法分子留下了可乘之机，影响了企业局域网的安全性。

2 企业局域网安全防护措施

基于上文提到的企业局域网潜在风险，为强化企业局域网的网络安全，确保网络的链路畅通，以下将分别从硬件环境、软件系统以及人员管理三个方面提出相应的安全防护措施[5]。

2.1 硬件环境安全防护措施

企业局域网的硬件环境是网络安全的第一道防线，其中，设备安全、存储安全、电磁安全、通信安全应当重点考虑。

首先，设备安全主要是保护机房内的硬件设备的安全，防止环境损伤及人为破坏。机房的选址须尽量避免在楼顶与地下室，以规避漏水、积水危险，并安装如七氯丙烷、二氧化碳等气体消防灭火器，以防火灾等异常灾害的发生，切勿使用水或传统的干粉灭火器，以免对机房的硬件设备造成不可逆的损坏。机房可安装专用精密空调与温湿度监测报警器，保持室内处于干燥、阴凉状态，可有效延长机房中硬件设备的使用寿命，减少设备故障的发生率[6]。机房还应设置门禁，通过刷卡等方式进行身份验证，并展开全天监控，必要情况下可加设指纹锁乃至人脸识别，避免人为破坏导致企业重要信息受到窃取。对于机房内的硬件设备，主要涉及交换机、服务器、防火墙、存储控制器等，均应选取可靠品牌，确保硬件具有较强稳定性、可靠性，并准备可替换的硬件备件，以便随时更换老旧故障设备。

其次，存储安全也十分重要。硬件设备一旦发生损坏，就可能导致数据丢失，进而造成难以挽回的巨大损失。为此，可以选择专门的服务器作为存储备份系统，对局域网内的重要数据进行存储。存储备份系统可进行双机热备，一主一备，一旦一个系统出现故障，另一个系统自动启动，实现存储系统的无缝实时切换，确保局域网数据安全。如有条件，也可以建设异地容灾备份中心，即本地建设数据中心及备份中心，异地建设容灾中心，防止地震、洪水等不可控的自然灾害造成损失。异地容灾备份中心的数据备份应采用光纤SAN网络架构，两地之间不进行直接通信，只通过不与互联网连通的专线定期交换信息，以保证网络通信安全。

再次，电磁安全主要是防止电磁泄漏导致信息泄露。应将局域网相关设备设置在距离园区边缘25米以上的地点，或选用电磁屏蔽仪消除电磁信号，并用电磁信号检测器确认外部信号的强弱，确保不会发生电磁泄漏。

最后，通信安全主要指局域网与互联网之间的信息通信的安全性。企业局域网虽然已通过物理隔离或逻辑隔离使互联网无法直接访问，但在信息交互时也不可避免会遭受风险。由于通信涉及网络连接、网络设置、子网划分等多个方面，且数据传输时整体数量相对较大，不法分子极有可能借此机会窃取企业机密。

对于通信安全，物理隔离和逻辑隔离的企业局域网可通过不同的架构进行应对。对于物理隔离的局域网，应禁止直接接入互联网网线，且不允许无线上网，以此在最大限度上防止来自外部的恶意入侵行为。在进行信息交互时，具体架构如图1所示。

具体如下：

1） 分为外部互联网、输入输出区、企业局域网三个区域，三个区域各自隔离，不同等级的网络之间采用最小耦合。

2） 外部互联网区为专门设置的互联网区域，与输入输出区域不直接连接。需要导入信息时，仅通过专用的内部U盘，硬盘或光盘等安全设备进行信息交互，发送至中间机，再由中间机经过杀毒等一系列处理后传输至输入输出机，由输入输出机转发至企业局域网内部。

3） 如果需要将企业局域网的计算机中的资料导出，应经过相应审批后转发至输入输出级，并在专门的输入输出机中输出，做到事过留痕。

4） 应禁止公司员工将自己的笔记本计算机、U盘等传输介质带入隔离的局域网区域，一经发现，严肃处理。

5） 企业局域网中计算机上的U盘接口、串口、并口等，应使用封条封上，与互联网区域的信息交互应通过专用的内部U盘或光盘进行。

对于逻辑隔离的企业局域网，局域网与互联网直接连接。因此需要VPN或者加密机进行隔离防护。在进行信息交互时，具体架构如图2所示。

具体如下：

1） 分为外部互联网、加密区、企业局域网三个区域，三个区域各自隔离，不同等级的网络之间采用最小耦合。

2） 如连接互联网的PC机或手机等终端，在访问企业局域网时，须安装有专用的VPN或加密机软件，通过加密区进行身份认证，才能访问局域网内部。

3） 对于加密区VPN、加密机等设备的运行情况，应安排专业人员定期检查并进行安全维护，以防被黑客突破。

4） 在加密区的边界处，可以通过防火墙和上网行为管理严格控制出网流量，禁止企业局域网中对外暴露的多余端口和服务，并部署全流量威胁检测类设备对加密区与外部互联网的进出流量进行检测，以保护数据安全。

2.2 软件系统安全防护措施

要提升软件系统的防护能力，应从修补系统漏洞、身份访问控制、规范应用软件、防护病毒与恶意代码四个方向入手。

首先，要针对系统本身漏洞，可通过漏洞扫描设备，在发现漏洞的第一时间打上安全补丁，以防止非法攻击或恶意代码造成的损失。此外，目前的大多数常见攻击主要针对Windows操作系统的系统缺陷，将服务器的操作系统更换为Centos、Redhat、MacOS等多种操作系统混用，可大大降低遭受攻击的强度与频次。同时，对操作系统进行正确的安全配置，也可大大提升安全性，规避系统本身缺陷导致的技术漏洞或程序错误。

其次，要对用户进行身份访问控制。在用户访问企业局域网时，可采用包括账号密码、“USBKEY+PIN码”、指纹、虹膜等多种手段完成双因子认证，禁止非授权用户访问企业局域网，以保证访问的安全性。在局域网内部，也应进行身份访问控制，对重要的数据信息（文件、资料、数据库等）采取最小化原则，基于“零信任”架构仅授予必要的访问权限，禁止其他人员获取工作中不需要的信息[7]。

再次，应用软件的问题主要来自软件本身的BUG或与企业局域网中其他软件彼此冲突造成的。因为应用软件的开发存在开放、通用等特征，极容易产生安全漏洞，为此，企业应完成软件的标准化规范相关工作，制定应用标准、应用开发环境，同时对应用软件的相关数据进行安全分析，及时做好补丁更新、漏洞修复，合理利用实时监控数据，做好运维工作，提高应用软件的安全性与兼容性。

最后，病毒与恶意代码对软件的威胁也不容忽视。为防止病毒与恶意代码入侵，应在企业局域网环境中完成硬件防火墙、杀毒软件及恶意代码查杀工具、入侵检测装置等设备的建设。防火墙可以过滤进入局域网的数据流，并自动屏蔽可疑数据。杀毒软件及恶意代码查杀工具，可以定期进行更新，准确预警计算机感染的各类病毒与恶意代码。入侵检测设备可以在面临入侵时及时报警、隔离、清除、查杀，切断外部攻击的源头，以避免病毒在局域网内的传播扩散。

2.3 人员管理安全防护措施

正所谓“三分技术、七分管理”，对于企业局域网，仅用技术手段无法做到全方位的防护，整体防御能力的提升不能只依靠专业技术团队，也需要制度化的人员管理措施[8]。有效的用户培训、科学的管理制度、明确的职责划分、可行的操作规范，都可以在很大程度上降低局域网的安全风险。

首先，开展有效的用户培训。与各领域专家定期进行技术交流，对广大员工宣传安全培训的重要性，可以将面向使用企业局域网的各类使用者都变为安全防护体系中的一环，提高安全意识，强化专业知识，增强技术能力，以保障局域网的信息安全。

其次，制定科学的管理制度。建立包括上网浏览、身份认证、系统维护、安全防护等的多方面制度，组织员工内部学习并严格执行，将安全责任落实到个人，可以从根源上降低企业局域网所面临的风险[9]。

再次，进行明确的职责划分。在发现异常现象与违规操作时，可以第一时间进行响应，并对相应人员进行奖惩，层层划分责任，防止推诿塞责，能在一定程度上保证企业局域网的安全可靠，有效减少安全隐患。