局域網存在的安全隱患及其防治策略

摘要：在當今這個信息化的時代，許多信息都需要在局域網內部進行傳輸，局域網的存在也提高了企事業單位以及政府機關的辦公效率，轉變了人們的日常生活方式。但是，局域網存在的安全隱患卻為局域網的使用帶來了巨大的風險，局域網內部的數據時刻面臨著會受到侵犯和破壞的風險。本文首先簡要介紹了當前局域網存在的安全隱患，然后，有針對性的詳細闡述了局域網存在的安全隱患的防治策略。

關鍵詞：局域網 安全隱患 防治策略

0 引言

隨著局域網的規模不斷擴大，局域網的建設已經成為企事業單位以及政府機關信息化的重要組成部分，然而，局域網存在的安全隱患給信息化建設的進一步推進帶來了巨大的阻礙。因此，必須對于局域網存在的安全隱患提出科學有效的防治策略。

1 局域網存在的安全隱患

目前，一些局域網內部的計算機和互聯網相連，卻并未安裝相應的比較高級的殺毒軟件及防火墻，一些計算機系統或多或少都存在著各種的漏洞。局域網面臨著黑客攻擊、目錄共享導致信息的外泄、計算機操作人員的安全意識不足等安全隱患。

2 針對于局域網存在的安全隱患的防治策略

2.1 對局域網內部重要數據進行備份，做好網絡安全協議的配置

局域網內部存在著非常重要的信息，必須及時對這些信息進行完整的備份，以便在出現問題的時候及時恢復。備份一方面包括對局域網內部的重要數據的備份，另一方面，也包括對于核心設備和線路的備份。對于局域網內部的網頁服務器，一定要安裝網頁防篡改系統，從而避免網頁被惡意篡改。對于局域網中的核心設備的系統配置必須進行定期和不定期的檢查和備份，從而在設備發生問題的時候，可以進行緊急恢復。對于局域網內部的核心線路，應該保持完備和做出適當的備份，從而在一些線路發生問題的時候，可以及時采用備份線路來維持整個局域網的正常工作。

TCP作為兩臺計算機設備之間保證數據順序傳輸的協議，是面向連接的，它需要在連接雙方都同意的情況下才能進行通信。任何兩臺設備之間欲建立TCP連接都需要一個雙方確認的起始過程，即“三次握手”。

2.2 建立局域網統一防病毒系統

傳統的單機防病毒形式已經不能滿足局域網安全的需要，必須建立局域網統一防病毒系統，利用全方位的防病毒產品，對于局域網內部各個可能的病毒攻擊點都進行對應的防病毒軟件的安裝，來實現全方位、多層次的病毒防治功能。與此同時，實現局域網統一防病毒系統的定期自動升級，更好的避免病毒的攻擊。

具體來說，局域網統一防病毒系統應該包括防病毒服務器和客戶端這兩個模塊。防病毒服務器是整個系統的控制中心，負責全面防治病毒。通過客戶端安裝或者網絡分發的方式，可以在所有的工作站上分別安裝客戶端軟件，同時設置所有的工作站都必須接受服務器的統一管理和部署。局域網管理員僅僅通過控制臺軟件，就可以實現統一清除和防治局域網內部的所有計算機存在的病毒的目標，使整個局域網內部病毒的爆發和蔓延得到有效的控制。一旦出現新病毒庫，那么，僅僅更新防病毒服務器上的病毒庫就可以了，客戶端能夠自動在防病毒服務器上下載并更新病毒庫。局域網統一防病毒系統的病毒庫能夠實現及時方便的更新，也可以實現統一徹底的病毒防殺，同時具備操作簡單快捷的特點，因此，是非常有利于局域網的病毒防治的。360安全衛士就是一個很好的局域網防病毒軟件。

2.3 合理安裝配置防火墻

防火墻是一種非常科學有效且應用廣泛的保證局域網安全的軟件，有利于避免計算機互聯網上的不安全因素擴散到局域網內部。通過合理安裝配置防火墻，可以在利用局域網進行通訊的時候執行一種訪問控制列表，允許合法的人和數據來訪問局域網，并且拒絕非法的用戶和數據對于局域網的訪問，從而使黑客對于局域網的攻擊行為得到最大限度的阻止，避免黑客對于局域網上的重要信息的隨意更改、移動甚至刪除。為了切實做好局域網的安全工作，必須按照局域網的安裝需求，嚴格配置防火墻內部的服務器和客戶端的各種規則，PIX是一款實現對于局域網防火墻的科學有效的方案。PIX是CISCO公司開發的防火墻系列設備，主要起到策略過濾，隔離內外網，根據用戶實際需求設置DMZ（停火區）。

2.4 配備入侵檢測系統和漏洞掃描系統

入侵檢測系統是防火墻的必要補充部分，能夠實現更加全面的安全管理功能，有利于局域網更好的應對黑客攻擊。入侵檢測系統可以將內外網之間傳輸的數據進行實時的捕獲，通過內置的攻擊特征庫，利用模式匹配和智能分析的方法，對于局域網內部可能出現的入侵行為和異常現象進行實時監測，同時進行記錄。另外，入侵檢測系統也能夠產生實時報警，從而有利于局域網管理員及時進行處理和應對。

另外，也要配備漏洞掃描系統。在計算機網絡飛速發展的形勢下，局域網中也會不可避免的產生各種各樣的安全漏洞或者“后門”程序。為了進行有效的應對，必須配備現代化的漏洞掃描系統來對局域網工作站、服務器等進行定期以及不定期的安全檢查，同時提供非常具體的安全性分析數據，對于局域網內部存在的各種安全漏洞都及時進行修復。

Microsoft基準安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微軟公司整個安全部署方案中的一種，可以從微軟公司的官方網站http://technet.microsoft.com/zh-cn/security/default.aspx下載。MBSA將掃描基于Windows的計算機，并檢查操作系統和已安裝的其他組件（如IIS和SQL Server），以發現安全方面的配置錯誤，并及時通過推薦的安全更新進行修補。

通過多種形式的安全產品的配備，可以有效防護、預警和監控局域網存在的各種安全隱患，有效阻斷黑客的非法訪問以及不健康的信息，并且也能夠及時發現和處理局域網中存在的故障。

2.5 運用VLAN技術

VLAN 的英文全稱是Virtual Local Area Network，也就是虛擬局域網，它是一種實現虛擬工作組的先進技術，能夠通過將局域網內的設備對于整個局域網進行邏輯分段，產生多個不同的網段。VLAN 技術的關鍵就是對局域網進行分段，將整個局域網劃分為多個不同的VLAN，它可以按照各種各樣的應用業務和對應的安全級別，通過劃分VLAN來實現隔離，也能夠進行相互間的訪問控制，對于限制非法用戶對于局域網的訪問起到非常巨大的作用。對于利用ATM或者以太交換方式的交換式局域網技術的局域網絡，能夠通過VLAN 技術的有效利用來切實加強對于內部網絡的管理，從而更加有效的保障局域網安全。

2.6 運用訪問控制技術

通過訪問控制技術的運用，可以保證局域網內部的數據不被非法使用或者非法訪問。一般來說，用戶的入網訪問控制主要包括用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳戶的缺省限制檢查等幾個方面。一旦用戶連接并且登陸局域網，局域網管理員就能夠自動授予該用戶適當的訪問控制權限，用戶僅僅可以在它們自身的權限范圍內進行數據的增加、修改、刪除等操作。因此，通過這種方式，局域網內部的數據只能夠被授權用戶進行訪問。當一個主體訪問一個客體時，必須符合各自的安全級別需求，應遵守如下兩個原則：

①Read Down:主體安全級別必須高于被讀取對象的原則。

②Write up:主體安全級別必須低于被寫入對象的級別。

應該注意的是，對于訪問控制權限的設定一定要嚴格按照最小權限原則，也就是說，用戶所擁有的權限不能超過他實現某個操作所必須的權限。只有明確用戶的操作，找出實現用戶操作的最小權限集，根據這個最小權限集，對用戶所擁有的權限進行限制，才能實現最小權限原則。

2.7 建立良好的人才隊伍，提高計算機操作人員的安全意識

為了保證局域網的安全，建立良好的人才隊伍是非常重要的。通過具備較高的專業水平、較好的業務能力、較強的工作責任心的人才隊伍，可以做好局域網的合理規劃與建設，切實保證局域網日常的維護及管理工作，利用最為先進的技術來防治局域網的各種安全隱患。

與此同時，也應該提高計算機操作人員的安全意識。可以加強有關局域網安全的教育培訓，建立健全科學合理的規章制度，切實提高所有人的安全意識。要求計算機操作人員必須規范操作各種局域網設備，合理設置設備以及軟件的密碼，特別是服務器密碼，必須是系統管理員才能掌握。

3 結束語

針對于局域網存在的安全隱患的防治工作不是一勞永逸的，而是一項復雜艱巨的系統工程。在進行局域網的建設和管理過程中，一定要對于局域網中所存在的各種安全隱患進行及時分析，采取最有效的措施來保證局域網的正常工作，為單位的信息化建設提供強有力的支撐力量。

參考文獻：

[1]洪超善.淺談局域網的信息安全與病毒防治策略[J].科學之友，2011，(04).

[2]閆雪萍，權琳.局域網安全隱患及其管理[J].廣播電視信息，2010，(01).

[3]羅弘.局域網網絡安全建設中需要把握的三個技術環節[J]. 空中交通管理，2010，(08).

[4]華杰.局域網常見故障的解決方法及維護[J].軟件導刊，2009，(08).

[5]劉冰.關于局域網計算機的網絡維護[A].低碳經濟與科學發展——吉林省第六屆科學技術學術年會論文集[C]，2010.

[6]劉天華，孫陽，朱宏峰.《網絡安全》科學出版社，2010.4.