【IT168 专稿】随着网络技术与网络应用的飞速发展，越来越多的企业已经离不开内网使用了，然而当企业应用与服务积累到一定程度后，网络安全和隐私等数据的保护成为了关键，轻者防范不好造成珍贵数据的丢失，重者被其他企业窃取商业机密而痛失买卖。不过就个人感觉很多企业内网应用对局域网安全保密这些方面还不太重视，很多防患于未燃的举措都没有实施。下面笔者就给在这些方面有所疏忽的网络管理员提个醒，将个人在局域网安全保密方面的经验介绍给各位IT168网络频道的读者。

　　一，加密方面安全保密措施——文本水印技术：

　　文本水印技术也叫数字水印(Digital Watermark)技术，他是指用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只有通过专用的检测器或阅读器才能提取。数字水印是信息隐藏技术的一个重要研究方向。嵌入数字作品中的信息必须具有以下基本特性才能称为数字水印。

　　通过针对重要数据添加数字水印可以在信息泄露时第一时间找到泄露者，从而有效定位了泄密内鬼，另一方面这种数字水印也能够起到责任到人的功能，让员工在处理珍贵数据时不会太过随意。

　　至于如何使用数字水印，一般我们都使用专门的加密工具来完成，对于中小公司来说也可以利用网上免费的数字水印加盖工具来完成。(如图1)

　　二，软件方面安全保密措施：

　　一般来说就局域网安全保密措施方面以硬件为主软件为辅，就个人经验大部分企业内部网络都是以单一模式来建立的，即ADSL接入(或者专线接入)->网关->交换机->工作站。这种方式下的监控相对简单，要想防止企业内部隐私资料泄密我们可以依次采用下面几个方法。

　　(1)用printusage来纪录打印：(如图2)

　　通过printusage工具来记录打印信息，从而清楚的掌握打印对象内容，另外还可以通过严格分发打印用纸并在打印机上留存打印文档的方式来杜绝隐私信息通过打印方式泄露。printusage是一个工具，将他部署在支持printusage管理的打印机上就可以通过图形化管理界面来记录打印信息了，所有打印过的文件名和内容都可以指定打印机输出到一个服务器上进行保存，同时打印该文件的用户和计算机名也会妥善保管记录下来。

　　(2)用devicelocak来控制各种端口：

　　利用devicelocak来控制员工计算机的各种端口，同时结合给机箱加锁加柜子等方式防止机箱被打开而造成硬盘数据泄露。

　　(3)从USB接口入手进行屏蔽：

　　同时还可以采取软硬结合的办法，从注册表，系统服务以及硬件锁等角度入手来针对USB接口进行屏蔽，要知道USB接口是最容易造成泄密的设备之一，U盘，移动硬盘等存储介质都需要通过USB接口与系统连接，所以为了避免这方面产生不必要的麻烦我们应该选择PS2接口的键盘鼠标并针对所有USB接口进行屏蔽。

　　(4)建造封闭式网络：

　　当然除了避免U盘等移动存储介质泄露外，网络硬盘还有邮件等方式也是在提高网络安全保密时需要特别注意的，我们可以通过限制路由，目的站点等方法来禁止上述网络介质的使用。如果企业对网络访问要求不高大部分办公都是内部的话，我们完全可以通过建立一个封闭式的企业内网来隔断与外界的联系，从而彻底杜绝珍贵数据通过网络泄露。

　　(5)域模式管理：(如图3)

　　有时我们还可以使用windows系统中的域模式对企业内网进行管理，域模式管理有两个最大的好处，第一是管理灵活，第二是员工使用也很方便，可以轻松的实现帐户的漫游。不过这需要企业拿出两台服务器作为DC和BDC使用，通过域模式管理可以让员工权限更加细化，避免越权行为的发生。

　　(6)其他手段：

　　当然如果员工反响不大的话，我们还可以在员工计算机上安装桌面管理工具，对员工的操作和行为进行监控，从而避免信息的泄露。不过这个方法在一定程度上侵犯了隐私，所以企业要根据自己内部网络和公司文化的实际情况去部署。

　　三，硬件方面安全保密措施：

　　在硬件方面的保密措施要多得多，我们完全可以从硬件设置入手，这样既可以有效的提高企业内网安全和保密级别，还不会带来员工针对侵犯隐私的抱怨。笔者使用过的手段主要有以下几种。

　　(1)MAC地址与IP绑定：

　　在网关上(可以是服务器也可以是路由交换设备)把MAC地址与IP绑定，这样就可以最大限度的禁止非法用户和网络设备的接入，保证了员工专机专用。我们这里所说的MAC地址与IP地址绑定实现的方法很多，可以在DHCP服务器上做硬绑定，也可以直接在路由交换设备的端口上添加IP与端口的绑定，总之绑定可以最大限度的减少非法计算机和网络设备的连接。

　　(2)划分VLAN虚拟局域网：

　　根据端口或MAC地址划分VLAN，各部门VLAN不能互访或者每一个交换机端口为一个VLAN。各个部门划分到不同VLAN后就不会互相访问了，同时我们可以根据不同VLAN划分不同的资源访问权限，让网络管理更加灵活。

　　(3)配置监控镜像：(如图4)

　　在核心交换机上做端口镜像，然后利用sniffer类软件或专门的流量分析硬件设备对数据进行监控，对监控的数据要妥善保管，在出现问题或定期进行分析。在做监控时记得把端口镜像目标设置为上连端口或者企业网络出口，这样监控的数据才最为全面。

　　(4)购买额外硬件设备：

　　当然要想最大限度的追求企业内网安全保密级别，我们还需要购买专门的安全设备，例如防火墙和ips等，通过他们可以更灵活更轻松的实现监控和管理，让数据通讯更加安全。

　　(5)RADIUS服务配合让身份验证更有效：

　　如果企业对网络接入或资源访问等方面要求比较高的话，我们还可以通过802.1x协议进行身份验证，这需要在企业内部建立一个RADIUS服务器，两者配合使用完成身份验证的功能。

　　四，规章制度方面安全保密措施：(如图5)

　　最后我们还要说一下企业的规章制度，不管怎么说技术约束终究不能够百分之百的避免泄密和安全问题的发生，这时我们就需要企业领导和网络管理员制订一套行之有效的规章制度来约束员工行为了，例如固定IP地址和计算机名称，用户不得私自更改等。当然这个规章制度一定要合理且在日后严格执行，只有提高保密意识、完善相关规章制度才能最大限度的提高企业内网安全和保密级别。

　　五，总结：

　　技术永远都是走在规章制度后面的，所以说不管我们在实际工作中使用什么样的网络技术对员工行为和企业内网应用进行约束，如果企业规章制度没有及时跟上的话，一切努力都是徒劳的，员工可以私自利用VPN突破网络限制，利用接口转接线将硬盘数据复制走，同样他们也可以利用无线上网卡将隐私数据存储到网络空间中。因此希望本文可以引起更多企业管理层人士的重视，不要出了问题就找网络管理员，必要时考虑下制订严格的企业内网使用规章制度往往比再好的技术都有效。