该如何做好企业网络安全审计呢？笔者认为，该从如下几个方面出发。

　　一是要考虑，该记录什么内容？

　　要知道，跟网络相关的操作每秒钟都在发生，若一点风吹草动都记录的话，则其安全审计记录的数量会成几何级别上升。如此海量的数据记录信息，不仅存储方面会带来很大的压力，而且后续查看起来也会有非常大的困难。所以说，最好局域网安全审计，不一定是要把所有的操作情况都一一的记录下来。而是要根据企业实际情况，对于安全程度的要求不同，选择记录不同的信息。就拿笔者的企业来说，虽然说网络设计比较复杂，但是，其网络安全审计涉及的面还是比较小的，主要包括以下几个方面的内容.

　　一是重要网络设备的运行情况。如防火墙、路由器等等关键设备的运行与管理记录，都会被一一的进行审计。而一些次要的网络设备，如DHCP服务器等等，由于相对来说不易受到攻击，而且，平时也做好了相关的备份工作，所以就没有对他进行相关的安全审计。

　　二是一些重要应用服务器的局域网安全审计。企业现在有ERP服务器、Oracle数据库服务器、OA服务器、邮箱服务器、文件服务等应用服务器。这些服务器跟企业的正常工作息息相关。当这些服务器出现故障的时候，很可能企业的生产经营活动就会受到不良影响。所以，对这些应用服务器进行局域网安全审计，是必要的。

　　总之，笔者认为，若要对所有的网络活动进行局域网安全审计的话，是一件吃力不讨好的工作。在对网络活动进行局域网安全审计的过程中，要考虑到20/80的原则。即一般来说，只要对20%左右的关键设备、重要服务器与企业级的活动进行局域网安全审计即可。而完全没有必要眉毛胡子一把抓。因为如此收集过来的信息太过于海量，虽然说，收集这些信息很简单，但是企业没有这么大的精力去统计、分析这些信息。如此的话，这些信息也就变成了垃圾。

　　二是要考虑，什么时候需要记录什么信息？

　　我们除了要考虑需要收集什么信息之外，在网络安全审计过程中，还需要考虑一个问题，就是在什么时候触发网络安全审计这个动作。这也是为了尽量的让网络安全审计记录一些有价值的信息，从而减少后续的记录统计与分析的工作，尽快发现网络的异常行为。如对于用户登录文件服务器这一个动作，若用户属于正常访问，则我们没有必要对其进行详细记录。相反，若用户三次试图登录文件服务器，仍然以失败告终；或者其试图访问未经授权的文件时，则就需要记录这些记录。很明显，这可以大幅度的缩小记录的信息量。而把局域网安全审计的重点放在一些异常活动中。笔者现在在企业局域网安全审计中，主要选择以下事件，作为安全记录的触发时机。

　　一是一些失败访问的动作。如某些用户试图多次登陆服务器或者网络设备，当用户名或者密码错误超过三次的时候，这些记录的话，都需要记录下来。这主要是因为这往往可以说明是有人试图采用猜密码或者使用密码字典攻击等工具，想非法登陆这些设备。

　　二是一些未经授权的操作。如某个用户虽然可以登录文件服务器访问某些文件，但是，其也有权限的限制。如其不能够访问某些文件夹，或者对于某些文件夹不能够进行读写操作。如果未经授权的用户有了这些操作，则它们也将成为我们局域网安全审计的对象。这些用户以及它们试图操作的行为，都将会被一一的记录下来。以后我们就会分析这些信息，以判断用户是恶意的还是无意的。

　　三是一些异常的信息。如在局域网安全审计中，还会记录用户的操作是否会被相应的设备产生比较重大的影响。如是否占用了大量的服务器资源，等等。如在文件服务器中，设置了磁盘限额的话，当用户在文件服务上存储的数据超过了一定的容量时，局域网安全审计就需要记录这方面的信息。网络管理人员需要去审查该用户的文件信息，若这些文件都是必要的，则就需要调整该用户的磁盘限额，否则的话，当容量达到磁盘限额时，就会给他们的工作带来不良的影响。

　　所以，笔者认为，在企业网络安全审计的过程中，我们还需要考虑什么时候触发这个局域网安全审计的动作。合理的选择这个触发的时机，可以大大的减少我们的工作量，把时间与精力都用在刀刃上。

　　三是要考虑，如何实现自动报警？

　　在局域网安全审计过程中，有时候实现自动报警也是非常必要的。因为有时候若不采取自动报警制度的话，有些异常信息我们无法及时发现，而不能够采取及时的措施。等到异常情况出现了再去局域网安全审计相关的行为时，损失已经造成了，即使找到责任人的话，也不能够挽回。所以，通过自动报警的行为，我们可以把问题消除在萌芽状态，尽量的帮助企业减少损失。如对于服务器，很多攻击都会造成服务器资源的耗竭，这就是通常所说的“拒绝服务式攻击”。若我们在相关的服务器上，能够采用自动报警制度。如到CPU或者内存使用率达到80%以上时，能够自动向网络安全管理人员报警。如此的话，我们网络安全管理人员就可以及时的采取措施。而不是等到服务器崩溃了，才去想办解决。

　　如有时候，我们在邮件服务器安全设计的时候，会考虑某些邮箱地址不能够向外部发送邮件，而只能够在企业内部发送邮件。此时，若有些邮箱帐户试图向外部的邮箱发送邮件的时候，就需要记录这些信息。因为此时，网络安全管理人员就需要注意他们是否在把一些机密信息发送给他人。这也是我们局域网安全审计中需要注意的一个内容，需要对其执行自动报警。所以，为了把问题消除在萌芽状态，而不是等到不可挽回的时候，才去想解决措施。这就必须要求我们在局域网安全审计的过程中，实现一定的自动报警功能。

　　四是要考虑，如何防止这些记录被非法修改？

　　我们在实现局域网安全审计的过程中，大部分都是通过服务器的日志来实现的。可以这么说，任何非法攻击都会在相关的日志中，如网络日志或者系统日志中，留下一定的痕迹。而很多非法攻击者，为了隐藏自己的攻击行为，在事后，他们都会试图消除这些痕迹，以方面他们后续的攻击。所以，在局域网安全审计的实现过程中，还需要考虑如何防止这些信息被非法的修改与利用。一般情况下，我们可以采取如下措施来保证这些审计信息的安全。

　　一方面，我们可以修改这些记录信息的位置与文件名。若我们开启了网络日志或者系统日志的话，系统会自动为其创建一个文件来存放这些记录信息。我们在管理中，往往需要更改这些日志文件的名字已经存储路径。如此的话，就可以防止非法攻击者更改这些信息。

　　另一方面，可以采用一些局域网安全审计工具。这些局域网安全审计服务器会及时的把相关信息收集起来。如此的话，即使非法攻击者修改服务器或者操作系统上的日志，也无济于事。因为这些信息，已经被局域网安全审计服务器所记录下来。他们再进行修改也无用。