內網局域網安全防護策略探討

摘要：本文主要討論內網局域網運行可能面臨的安全威脅，以及為了消除隱患所采用的安全措施。著重闡述了對內網局域網內計算機采取的安全防護措施，包括如何對服務器設備和客戶端設備進行策略配置，來保障內網局域網內儲存的數據及傳輸過程的安全可靠。

關鍵詞：局域網 安全防護 策略

0 引言

隨著計算機技術的飛速發展和計算機價格的下降，組建一個內網局域網不再是遙不可及的夢想。越來越多的單位建設了服務器機房來組建局域網，方便員工在內部網絡上工作。同時，為了防止黑客或病毒通過互聯網入侵，此類局域網均是封閉運行，與互聯網物理隔離。因此，為了保障內網局域網運行的安全可靠，需要防范更多的不是來自外部的威脅，而是來自內部的隱患。

1 內網局域網可能存在的安全隱患

內網局域網可能存在的安全隱患主要來自服務器端、客戶端及傳輸線路三個方面，其中服務器端的數據完整及客戶端的數據安全是構建內網局域網系統安全最關鍵的步驟。

1.1 來自服務器端的安全隱患。來自服務器端的安全隱患有多種多樣，其中最主要有自然災害和人為過失造成的兩個方面。

1.1.1 自然災害及意外災害 自然災害有以下幾種可能：①雷電引發。雷電輕則可能造成計算機終端和通信設備的接口損壞，嚴重的可能造成網絡主機損壞，導致網絡癱瘓，設置還有可能引起火災；②供配電系統起火、短路、機房內用電設備（空調設備、電氣設備等）起火、靜電引發火災等；③斷電引起服務器設備故障或數據回檔、丟失；④鼠害咬斷線路造成網絡故障、數據傳輸終端；⑤服務器設備老化、服務器硬盤損壞造成數據丟失等。

1.1.2 人為過失 人為過失有以下幾種可能：①未經查殺病毒等操作，就接入內網的外部介質（如U盤、光盤）所攜帶的病毒、木馬程度，感染服務器引發系統當機或造成網絡擁堵、病毒傳播；②管理員誤操作或未定期備份數據引發數據丟失；③未進行有效管理，使得無權限人員肆意進入機房，竊取、篡改、甚至刪除服務器數據。

1.2 來自客戶端的危害。來自客戶端方面的危害主要有以下病毒傳播、黑客軟件、非法授權等。①病毒傳播。用戶在客戶端非法使用攜帶病毒介質（U盤、移動硬盤、光盤等）感染內網局域網；②黑客軟件。用戶使用黑客軟件掃描網絡端口，非法連接其他計算機，盜取他人資料或篡改內網局域網服務器上存儲的共享文件資料；③非授權訪問。用戶使用自帶的臺式機、筆記本電腦，隨意插上局域網網線，接入網絡，未經許可訪問并下載內網局域網內的數據資源。

2 針對以上的危害所采用的安全防護措施

應對以上種種危害，我們要努力采用各種行之有效的安全防護措施來保障內網局域網運行的安全、可靠。

2.1 應對自然災害的防御措施。我們一般需要通過增設專用防災減災設備來應對自然災害。

2.1.1 應對雷電隱患。在電源線路上安裝匹配防雷保護器并做好機房的綜合布線。

2.1.2 應對火災隱患。服務器機房內安裝煙霧探測器、惰性氣體滅火裝置。

2.1.3 應對突發性停電。機房使用不間斷電源、UPS供電，UPS每隔三個月進行一次充放電處理，機柜均設置獨立電源。

2.1.4 應對鼠害。建造防鼠隔離墻，機房通往外界的穿墻洞口必須進行嚴密封堵，機房內布線應穿金屬管或硬塑管，防止老鼠撕咬屏蔽線。

2.1.5 應對靜電危害。服務器機房鋪設防靜電地板，消除靜電。

2.1.6 應對其他災害。服務器機房應購置性能更加穩定、可長時間工作的精密空調，保持機房溫度常年處于21-25之間。安裝新風系統保持機房定期通風。

2.2 針對服務器設備的安全防護措施

2.2.1 安裝機房及機柜門禁、電子監控系統，記錄人員出入情況，防止未經授權人員進入機房，接觸設備。

2.2.2 服務器操作系統關閉不需要開放的網絡服務和端口、關閉不需要的共享文件夾。

2.2.3 定期進行漏洞掃描、網絡掃描，及時發現并處理安全隱患。

2.2.4 定期進行網絡審計、安全分析檢查，生成報告并及時整改。

2.2.5 對服務器硬盤中的重要數據定期做好災難備份。

2.2.6 安裝入侵檢測系統，及時對局域網內的可疑數據傳輸及非法操作進行告警并記錄在案，以備查看。

2.2.7 安裝加密機，實現存放CA證書和對網絡上點對點傳輸的數據進行加密，保證數據安全。

2.2.8 使用具有三層交換協議的交換機，在其上劃分Vlan，并設置訪問列表限制，拒絕不同網絡之間互訪。關閉未連接網絡的端口。

2.2.9 安裝殺毒軟件、防火墻，及時更新操作系統、數據庫系統及其他應用系統的補丁，在服務器上安裝補丁發布器，定期讓客戶機進行下載及安裝更新。

2.2.10 安裝防水墻服務器端程序，實現系統配置、策略配置、實時監控、審計報告、安全告警等多種功能，杜絕非法操作和非授權訪問。

2.3 客戶端的安全防護措施

2.3.1 設置操作系統賬號密碼。禁止管理員賬號留空密碼，禁用guest賬戶。具體做法為在計算機本地安全策略中修改密碼策略（啟用密碼必須符合復雜性要求，設置密碼長度最小值及密碼最長留存期，取消密碼永不過期選項）。

2.3.2 設置屏幕保護程序。屏幕保護程序等待時間設置為10分鐘以內，并勾選在恢復時使用密碼保護。使得用戶臨時離開計算機后，在短時間內計算機能自動鎖定到登錄界面。

2.3.3 關閉遠程桌面及遠程協助。防止其他人員通過遠程登錄連接到用戶計算機并瀏覽資料。

2.3.4 安裝網絡版殺毒軟件和防火墻。通過服務器定期更新殺毒軟件，防止病毒傳播。打開操作系統自動更新功能，定期從補丁服務器上下載補丁并安裝。防范U盤病毒。

2.3.5 安裝防水墻客戶端程序，導入服務器端事先配備的策略、白名單等，有效管理客戶端。

2.3.6 關閉客戶端的無關服務，保護系統安全。關閉21、139等端口。

2.3.7 關閉局域網共享和硬盤默認共享，具體代碼參見互聯網資源。

2.3.8 增加計算機日志存放空間，并修改計算機日志的默認存放位置。將系統日志存放到系統盤以外的盤上，以防系統崩潰系統日志丟失，定期將系統日志備份到專用的日志存放硬盤上。修改組策略中的審核策略，使其對系統每一次的策略更改、登錄事件、對象訪問、過程追蹤、目錄服務、特權使用、系統事件、賬戶登錄、賬戶管理等都進行審核并記錄在案。定期備份審核日志或使用專用軟件將審核日志發送給專人查看。

2.4 其他安全策略設置。除此之外，內網局域網的日常管理維護中還應杜絕凌駕于一切角色之上的超級管理員的出現。為此應將超級管理員的權力一分為三：例如管理員一負責數據日常維護，局域網新用戶賬號、IP等的注冊認證。管理員二負責發放被一號管理員注冊的用戶訪問數據的權限許可，并處理系統安全告警。管理員三管理包括一號、二號管理員在內的一切操作員的操作痕跡等，同時保證審計日志加密存放，檢測違規操作及危害系統運行穩定的非法操作的記錄并通知二號管理員。這三個管理員之間是互相監督的關系。

3 結論

制定適合內部局域網的安全策略有利于局域網內設備的安全運行，有效管理局域網內設備的軟硬件。同時還需規定相應的授權等級，防止未授權的外部用戶隨意接入局域網或是低權限用戶試圖訪問高權限數據等，做到數據傳輸安全，操作記錄有跡可循。隨著計算機技術的發展，內網局域網的安全防護措施也不能一成不變，也要隨之不斷更新和完善，因此還要注重管理員的培訓。除此之外，在制定安全策略時，既要符合局域網安全，還要兼顧工作便利，因此在制定策略上應該根據實際情況適當調整，以期更好的發揮局域網功能。