随着网络技术与网络应用的飞速发展，越来越多的企业已经离不开内网使用了，然而当企业应用与服务积累到一定程度后，网络安全和隐私等数据的保护成为了关键，轻者防范不好造成珍贵数据的丢失，重者被其他企业窃取商业机密而痛失买卖。不过就个人感觉很多企业内网应用对局域网安全保密这些方面还不太重视，很多防患于未燃的举措都没有实施。下面笔者就给在这些方面有所疏忽的网络管理员提个醒，将个人在局域网安全保密方面的经验介绍给大家。

　　一、加密方面安全保密措施——文本水印技术：

　　文本水印技术也叫数字水印（Digital Watermark）技术，他是指用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只有通过专用的检测器或阅读器才能提取。数字水印是信息隐藏技术的一个重要研究方向。嵌入数字作品中的信息必须具有以下基本特性才能称为数字水印。

　　通过针对重要数据添加数字水印可以在信息泄露时第一时间找到泄露者，从而有效定位了泄密内鬼，另一方面这种数字水印也能够起到责任到人的功能，让员工在处理珍贵数据时不会太过随意。

　　至于如何使用，一般我们都使用专门的加密工具来完成，对于中小公司来说也可以利用网上免费的数字水印加盖工具来完成。（如图1）

　　二、软件方面安全保密措施：

　　一般来说就局域网安全保密措施方面以硬件为主软件为辅，就个人经验大部分企业内部网络都是以单一模式来建立的，即ADSL接入（或者专线接入）->网关->交换机->工作站。这种方式下的监控相对简单，要想防止企业内部隐私资料泄密我们可以依次采用下面几个方法。

　　（1）用printusage来纪录打印：（如图2）

　　通过printusage工具来记录打印信息，从而清楚的掌握打印对象内容，另外还可以通过严格分发打印用纸并在打印机上留存打印文档的方式来杜绝隐私信息通过打印方式泄露。printusage是一个工具，将他部署在支持printusage管理的打印机上就可以通过图形化管理界面来记录打印信息了，所有打印过的文件名和内容都可以指定打印机输出到一个服务器上进行保存，同时打印该文件的用户和计算机名也会妥善保管记录下来。

　　（2）用devicelocak来控制各种端口：

　　利用devicelocak来控制员工计算机的各种端口，同时结合给机箱加锁加柜子等方式防止机箱被打开而造成硬盘数据泄露。

　　（3）从USB接口入手进行屏蔽：

　　同时还可以采取软硬结合的办法，从注册表，系统服务以及硬件锁等角度入手来针对USB接口进行屏蔽，要知道USB接口是最容易造成泄密的设备之一，U 盘，移动硬盘等存储介质都需要通过USB接口与系统连接，所以为了避免这方面产生不必要的麻烦我们应该选择PS2接口的键盘鼠标并针对所有USB接口进行屏蔽。

　　（4）建造封闭式网络：

　　当然除了避免U盘等移动存储介质泄露外，网络硬盘还有邮件等方式也是在提高网络安全保密时需要特别注意的，我们可以通过限制路由，目的站点等方法来禁止上述网络介质的使用。如果企业对网络访问要求不高大部分办公都是内部的话，我们完全可以通过建立一个封闭式的企业内网来隔断与外界的联系，从而彻底杜绝珍贵数据通过网络泄露。

　　（5）域模式管理：（如图3）

　　有时我们还可以使用windows系统中的域模式对企业内网进行管理，域模式管理有两个最大的好处，第一是管理灵活，第二是员工使用也很方便，可以轻松的实现帐户的漫游。不过这需要企业拿出两台服务器作为DC和BDC使用，通过域模式管理可以让员工权限更加细化，避免越权行为的发生。

　　（6）其他手段：

　　当然如果员工反响不大的话，我们还可以在员工计算机上安装桌面管理工具，对员工的操作和行为进行监控，从而避免信息的泄露。不过这个方法在一定程度上侵犯了隐私，所以企业要根据自己内部网络和公司文化的实际情况去部署。