企业内网的安全与管理

I企业内网的安全与管理摘要一直以来，安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。在所有的网络安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。关键字：安全，风险，控制，防御II目录第一章、背景分析.............................................................................................................................III1、信息：内部机密文档安全........................................................................................................III2、用户：用户桌面行为规范........................................................................................................IV3、系统：系统维护、资产管理.....................................................................................................IV第二章、需求分析.............................................................................................................................V2.1企业的设计目标....................................................................................................................V2.2构建企业内网总体介绍............................................................................................................V第三章、网络接入选择........................................................................................................................VI第四章、企业的四个子网...................................................................................................................VII第五章、企业拓扑结构图..................................................................................................................VIII6.1WEB服务器的配置.................................................................................................................IX6.2.1DNS服务器安装与配置..........................................................................................................X6.3FTP服务器安装与配置...........................................................................................................XI6.4安装配置邮件服务器...........................................................................................................XII6.5DHCP服务器安装与配置......................................................................................................XII第七章、防范内部人员.....................................................................................................................XIV参考文献.........................................................................................................................................XVI致谢....................................................................................................................错误!未定义书签。III第一章、背景分析内网安全的首要任务:全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全。现代计算机及通信技术飞跃发展，企业内部管理的网络化及信息化成为一种必然的发展趋势，网络技术己经广泛地应用到各个技术领域和整个社会的各个方面。许多企业都已建成或正在组建自己的企业网络。本设计就企业网络的总体规划进行了可行性的论证，并可作为将来真正实现企业网建设的一个方案。另外，基于企业网络的开发是将先进技术应用到企业内部，通过简单的浏览界面，方便地集成了各类已有的服务,极大改变了传统的信息系统的结构设计，开发环境和应用环境，打破了信息共享的障碍。企业内网对于一个企业网络安全面临的风险，并充分评估这些风险可能带来的危险，将是实施安全建设中必须首要解决的问题，也是制定安全策略的基础和依据。那么，究竟企业在那些方面存在安全风险？企业内网安全产品又能给企业带来什么样的价值？对此，溢信科技研发总监黄凯从内网安全涉及到的信息、用户、系统三方面做了解读。1、信息：内部机密文档安全企业中与业务相关的信息有九成左右都会以电子文档的形式存在，这些内部信息往往涉及商业机密，甚至是企业的核心关键技术，保密性要求甚高，一旦泄密，极有可能给企业带来巨大的经济损失。1.1企业内部可能存在专门的文档服务器，用以存储各类文档。如果缺乏有效的管理，任何内网用户都可以接触到文档，即可随意把企业内部文件甚至机密信息传播出去，造成企业重大的损失。因此，企业需要对文档进行高强度的加密并设置基于角色的用户权限管理。IP-guard采用高强度的透明加密技术，对机密信息进行安全保护，使文件在用户新建后就自动被加密保护。加密后的文件即使被非法传输到企业外部也无法解密和应用。另外，还能够根据不同的部门和级别，设置不同的内部文档访问控制权限，从而建立完整的保密体系。1.2企业内部或许缺乏对移动存储设备进行有效的管控，任何人都可以使用自己的U盘、MP3、移动硬盘等设备复制转移电子文档，文档泄露的隐患大大增加。如果彻底禁止U盘的移动设备的使用，又会为企业内部正常的文档传输带来不便。因此，企业需要在享受移动存储设备带来的便捷性的同时最大限度保障信息安全。IP-guard能够解决组织内部移动存储设备应用矛盾，其核心是在总体控制计算机外部设备包括USB、蓝牙、光存储设备使用权限的基础上，分类规范网内的移动存储设备使用行为并进行加密，辅之以全面的移动存储审计，最终达到移动存储设备便携性与安全性兼得的目的。1.3企业员工因工作需要经常使用qq、飞信、MSN、电子邮件等基于网络的程序运用，这些程序都有文件传输功能，如果不对其进行限制，文件被有意或者无意泄露的风险性很大。所以，企业应该对电子邮件、即时通讯工具进行有效的管理和控制。IP-guard能够对外发文档的权限进行管理。限制外发超过指定大小或包含指定关键字的文档，甚至彻底禁止外发文档，保护重要的文档不会通过即时通讯工具泄露出去。同时完整记录用户的聊天内容、发送的邮件内容，方便管理者了解用户在进行对话时是否有意或无意地泄露公司重要信息。IV2、用户：用户桌面行为规范除了企业内部的机密信息，对企业发展起到至关重要作用的就是员工的工作效率。网络的普及，无疑改善了员工的工作条件，提高了企业的整体效率。但是，企业内部可能存在部分员工沉迷于网络或者桌面游戏，忽视专职工作，严重影响企业发展。1.2.1部分用户可能存在不规范的桌面行为，比如上班时间炒股、浏览无关新闻、网上游戏、看在线电影、听音乐等，工作效率十分低下，同时还存在BT下载、在线视频、迅雷应用等P2P行为，导致公司带宽经常被堵，正常的网络业务无法开展。企业必须对上网行为进行适当的管控和审计。IP-guard能够过滤一切与工作无关的应用程序，分时段或全天候阻止游戏、炒股、媒体播放、即时通讯、BT等程序的运行。同时，还可限制P2P软件的使用，帮助企业合理分配带宽资源，力保网络平稳。另外，IP-guard还提供用户应用程序和网页浏览情况的统计表，让管理者对用户的桌面行为一清二楚。1.2.2丰富的网站资源除了带来有用的信息，还包含一些色情、反动类型的网站及其应用，员工的不良上网行为可能导致病毒、木马被非法下载进入企业内部。IP-guard可过滤黄色、暴力和恶意传播病毒的网站，保证用户在合规、合法范围内使用网页，既不能访问下载也不能上传散播任何含色情暴力成分的内容。3、系统：系统维护、资产管理企业要健康发展，还离不开IT系统的正常运作。由于企业规模的扩大、实力的增强，企业的办公地点可能分布在不同楼层甚至不同地区，由此造成大量计算机系统分布分散、企业内部的资产统计工作非常繁琐。计算机系统，是企业内部必不可少的一个重要组成部分。维护系统的正常运转是IT管理员的日常工作，由于缺少适合的管理工具，企业内部动辄几百上千台计算机系统维护，也使得有限的IT管理人员对系统的日常维护变得不再灵活，系统漏洞风险不断升高。针对此情况，系统管理员可以通过IP-guard控制台实时查看客户端计算机的应用程序、网络连接、进程、系统信息等基本资料和运行情况，在单一控制台上就可以实现对整个网络内计算机运行信息的掌握。同时它还可以协助管理员对系统运行情况做分析，在系统发生异样时及时解决，预防系统故障的发生。另外，系统管理员可以在IP-guard控制台直接远程控制和操作任一计算机，可在控制台对需要帮助的远程计算机进行操作，实现远程桌面访问、双向文件传输。多数企业内部存在着大量的软、硬资产和非IT资产。如果使用传统的资产维护和管理方法，既繁琐而又耗费时间，人手统计完毕后还得手工录入信息。当资料统计或录入到一半时，系统新增了资产，工作往往因此而被打断。如此重复多次，IT管理者也难免变得糊涂，繁琐手续就变得如此简单。因此，企业