随着信息化的不断扩展，PC已经从一种高端设备转变为普通的办公设备，国内企业经历了2000—2005年左右使用EXCEL，WORD等OFFICE系列单机软件制作企业经营管理的报表，到2006—2010年随着ERP系统的推广，越来越多的导入了SAP，金蝶等ERP。这类系统都是基于C／S模式或者B／S模式，因此企业投资构筑了局域网(LAN)。并且这些内部网络又和Intemet实现了连接。事实上网络是一把双刃剑，它给企业的业务发展提供高速动力的同时，由于员工通过QQ．MSN，或者访问带有木马的恶意网站，病毒被带人到企业的内部网，威胁到ERP服务器的安全。企业的各种商业机密数据被黑客盗取。不少企业因此失去商机走向衰败。如此一来，信息安全的重要性凸显。现提供8个方面的策略，供参考。

1 服务器IP隔离

目前核心交换机都提供VLAN划分功能，因此可以将所有服务器的IP地址划分到一个独立的网段，并且在这个网段上添加ACL控制表，将135，139，445等常见病毒端口屏蔽掉。防止病毒的攻击。使用VLAN的另一个好处是，避免普通用户更改IP地址。造成与服务器的IP地址冲突，现在大型的企业的ERP系统通常都是构筑在小型机上，使用UNIX和ORACLE，DB2等数据库，还构筑了双机的环境。一旦服务器IP地址冲突，解决的时问通常要半小时到一小时，造成的业务损失相当的严重。使用VLAN划分不同的网段后，普通用户根本无法更改到服务器的IP，也就无法与服务器的IP地址冲突。

2 IP地址分级管理

限制普通用户不能连接Intemet，电脑感染病毒的机率就大大降低。但是在网络经济繁荣的今天，销售、采购部门因为业务需要是必须要连接Intemet的，所以需要将IP地址进行分级。通常的情况是区分为3类：C类完全受限。B类部分受限，和A类VIP。C类作为普通用户，只能访问Microsoft的网站和杀毒软件网站进行补丁下载和病毒库更新，这类地址在防火墙上被限制到某几个固定的网站和固定的端口进行连接。B类作为部分限制用户，虽然赋予他们使用Internet的权限，但是不能利用职务之便使用网络资源进行游戏和聊天等私人活动。在防火墙上将淘宝。QQ．MSN等服务器IP地址屏蔽掉，并且监控他们的使用记录，对访问非业务用网站进行及时的纠正。同时对这类用户进行网络信息安全教育，提高他们的主动防御意识，这也是降低网络攻击的一个重要手段。A类VIP作为高管的IP使用地址，对这类用户除了国家严禁的网站进行限制外，一般不做任何限制。A类也作为网络管理员使用的地址，无任何限制对于网络故障判断也是非常有效的方法。

3 Proxy服务器的防止

IP地址的分级必然导致代理服务器的使用泛滥。c类完全被限制用户可以通过人际关系在B类用户的电脑上安装Proxy软件来问接连接Intemet，管理员需要时常使用代理服务器嗅探软件及时发现局域网络中的代理服务器并及时清除掉。

4 IP盗用的防止

由于IP等级的划分，权限小的C类地址用户往往在下班时间修改有Intemet使用权限的B类地址或者A类地址，使用后又忘记修改回原来的IP，第二天上班由于两个Pc使用同样的IP，造成IP地址冲突，计算机无法上网，对于大型局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大。查找工作就越困难，一种解决办法是启用IP地址绑定策略，将IP地址和MAC地址进行绑定，但是现在Ⅵ1ND0wS提供修改MAC地址的简单方法，所以第二种方案就是使用管理软件，封存所有空闲的IP地址。在公司内部所有的Pc上安装管理软件。公司有一种名称为INCOPS的Pc管理软件，在软件安装的工程中，就将Pc的原始MAC地址和IP地址收集到INCOPS管理服务器中，并和个人身份信息进行绑定。这个客户端软件实时和服务器通信，一旦用户向WINDOWS发送修改MAC地址或者Pc IP地址的请求时，这个软件进行中途拦截，发送修改信息到服务器上对应的这个客户端lD的情报进行比较，如果发现用户的身份信息和服务器上的IP地址和MAC地址绑定的身份信息不一致，则认为是非授权的修改行为，会直接拒绝。如果是管理员在服务器上已经同意的m地址修改，则这个Pc管理软件将修改信息传送给wIND0wS的注册表，完成修改的过程。通过这样的方式避免那些非法修改IP地址的情况。

5监控软件的应用

通过对Sniffer等工具的使用，可以迅速的找到网络中存在的故障和响应缓慢的原因。特别是针对蠕虫病毒和ARP病毒的攻击，我们可以通过某个IP的流量突增来进行判断。PRTG则是监控整个网络流量的很好工具。如果流量异常，可以开启Sniffer进行抓包分析，这些监控软件的组合应用，对网络安全的确有不可或缺的作用。当然．信息安全人员的个人技术能力也至关重要，同样的工具，可以得出不同的判断。因此我们需要在长期的工作实践中，积累经验，这样才能在嘲络故障的危机关头，凸显技术能力，迅速解决问题点。

6定期进行内部扫描

既然黑客可以使用漏洞扫描软件进行网络脆弱项的扫描，也可以定期的对局域网中的服务器和Pc进行模拟攻击，发现那些没有及时补丁以及简单密码或者共享文件没设密码漏洞的情况。及时的通知使用者进行修补工作。最有效的OS打补丁的方法就是在局域网内安装Microsoft的WSUS服务器，这样不需要用户关心就可以实现PC的补丁及时更新。

7强制杀毒软件安装及更新

在Pc管理软件中，管理公司内每台Pc的软件安装情况，对没有安装杀毒软件的计算机．或者病毒库不是最新的用户采用30分钟自动重新启动Pc的警告方式强制使用人安装杀毒软件。并小心使用移动存储设备，在使用移动存储之前进行病毒的扫描和查杀，也可把病毒拒绝在外。对于在业务中没有必要使用USB的用户，可以使用Pc管理软件将Pc的USB，CD—ROM read／write功能全部屏蔽掉。实际工作中，我们发现很多病毒，是普通使用者为了把游戏或者音乐拷贝到工作用的PC而造成的，封闭掉USB和光盘的读写功能既可以防止计算机病毒的带入，也可以防止商业机密的流出，是一件一举两得的事情。

8加强人员的安全培训

要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人。人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。

(责任编辑：)