【IT168 专稿】对企业来说，安全的网络可以使公司的业务信息得到保障，可以使员工的工作隐私得到保护。我们怎么做才能最有效的提高企业内部网络的安全性呢？笔者负责公司网络安全已经有好几个年头了，今天就自己的经验为大家介绍下保证内部网络安全的方法，我们将从技术层和管理层两方面进行介绍。

    一、技术层：

    网络的安全级别与网络管理员的经验技术是分不开的，如果技术不过硬就不能在第一时间发现问题所在，甚至公司服务器都可能成为他人的肉机。一个对安全重视的网管会对企业内部网络实施这样或那样的安全防御体系的。

    1、一名合格的网络管理员：

    正如上面所说根据公司规模需要一定数量的网络管理员，最好不是一名，如果只有一名网络管理员的话一旦该人员出现问题，例如跳槽或病假都会给公司网络重大打击的，俗话说不要将所有鸡蛋放在同一个篮子中就是这个道理，适当情况下可以选择一名兼职网管。关于如何才能成为一名合格的网络管理员可以参考以前的《如何成为一名合格的网络管理员》系列文章。

    网管需求——至少通过MCSE认证证书，并具备一定计算机故障排除技术。

    2、防病毒体系：

    网络管理员技术水平再高也无法在不安装任何杀毒软件的前提下手工对抗病毒，所以说公司内部一定要建立一整套防病毒体系。在网络入口处安置防毒墙，或者在每台计算机上安装杀毒软件，并及时升级，随时保证病毒库是最新版本。

    网络管理员可以为每台计算机添加计划任务，设定每天杀毒的时间与升级的时间。这样基本可以将病毒排除在企业内部网络之外。还需要说明一点的是如果经费容许的话，应该选购市面上的网络版杀毒软件而不是单机版，因为网络版杀毒软件在可管理与升级体系方面都是单机版无法比拟的，再加上网络版杀毒软件具有相应的全网查杀和漏洞扫描组件可以随时扫描网络中计算机的病毒与漏洞。

    防病毒体系需求——可以选择市面上流行的瑞星网络版杀毒软件，也可是使用NORTON的SAV系列。（如下图）

    3、防黑客体系：

    很多人都觉得防病毒与防黑客是一回事，其实这是不对的，防病毒主要工作在员工计算机上，而防黑客主要工作要放在公司网络出口上，例如使用路由器连接专线的公司就要保证路由器不被黑客攻击，可以采用SSH加密方式连接路由器，另外采用访问控制列表及NAT等技术也可以阻止一些黑客的入侵。

    防黑客的另外一个主要工作在于服务器的安全，一般公司都会有对外提供WWW或FTP甚至是MAIL服务的服务器，如何保证这些服务器的安全呢？有三个方法比较有效，第一是为这些服务器安装防火墙，这样可以有效的过滤黑客的攻击；第二是在路由器中仅仅宣告服务器的服务端口，例如对于WWW服务来说只宣告80端口，而其他端口都通过NAT隐藏在路由器之下；第三是开启服务器操作系统的自动更新功能，保证操作系统及相关服务组件的漏洞可以得到即时更新。

    防黑客体系——防火墙可以选择天网或MACfee软件防火墙，相对国内产品来说国外的防火墙在功能和性能方面要高出不少。

    4、网管工具：

    俗话说亡羊补牢虽然不晚但也带来了伤害，所以说防患于未燃才是企业内部网络安全所追求的，如何在危害发生前查出问题呢？这就离不开网管工具了。市面上各种网络管理工具林林总总，有收费的，也有免费的，在选择时还真是头疼。就笔者经验来说对于大型企业及服务器数量比较多的公司来说应该选择一款入侵检测系统，当然对于中小企业直接选择一款专业扫描器再结合sniffer进行监控即可。

    网管工具——入侵检测系统推荐选择冰盾，专业扫描器使用免费的x-scan即可，而sniffer就找强大的sniffer pro好了。（如下图）

    5、其他措施：

    保证安全的手段很多，例如定期分析日志或在没人使用网络的情况下关闭设备等等。这些都是上面四点的有力补充，在实际工作中也是不能缺少的。