探究局域網安全問題

楊海波

（河南省電力勘測設計院，河南 鄭州 450000）

1 局域網安全形勢分析

隨著社會經濟的飛速發展，人們對生活質量的要求也越來越高?；ヂ摼W的迅速普及，使廣域網應用和局域網應用成為企事業發展中不可缺少的一部分。然而，在感受網絡所帶來的便利的同時，也面臨著各種各樣的進攻和威脅：機密泄漏、數據丟失、網絡濫用、身份冒用、非法入侵等等。目前在廣域網中已有了相對完善的安全防御體系，防火墻、防毒墻、IDS等重要的安全設施大致集中在機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。但在局域網中，雖然有些企業也建立了相應的局域網絡安全系統，并制定了相應的網絡安全使用制度，但在實際使用中，并未起到較好的效果。由于用戶對操作系統安全使用策略的配置及各種技術選項意義不明確，各種安全工具得不到正確的使用，導致系統漏洞、違規軟件、病毒、惡意代碼入侵等現象層出不窮。針對來自網絡內部的計算機客戶端缺乏必要和有效的安全管理措施，導致未經授權的網絡設備或用戶就可能通過局域網的網絡設備自動進入網絡，形成極大的安全隱患。目前局域網的安全隱患正是來自網絡系統本身存在的安全弱點，而系統在使用和管理過程的疏漏則增加了安全問題的嚴重程度，局域網安全形勢十分嚴峻，不可忽視。

2 局域網安全隱患分析

由于局域網的結構和采用的技術比較簡單，僅包括少數網絡設備，安全措施相對較少，這給病毒傳播提供了有效的通道，為數據信息的安全埋下了隱患。通常局域網的安全威脅有以下幾類：

2.1 漏洞和黑客攻擊

由于局域網的主要功能就是資源共享，而正是由于共享資源的“數據開放性”，導致系統存在很多漏洞，黑客就是利用了這些系統漏洞對系統進行攻擊，對數據信息進行篡改和刪除。最常用的手段就是冒充一些真正的網站來騙取用戶的敏感數據，如用戶名、口令、賬號ID或信用卡詳細信息等。由于用戶缺乏數據備份和系統管理等方面的安全意識和安全手段，因此經常會造成數據丟失、信息泄漏等問題。

2.2 病毒威脅

由于網絡用戶不及時安裝防病毒軟件和操作系統補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。病毒和惡意代碼攻擊電腦后，輕則使系統工作效率下降，重則造成系統死機或癱瘓，使部分文件或全部數據丟失，甚至造成計算機硬件設備的損壞，嚴重影響正常工作。

2.3 用戶安全意識不強

許多用戶使用移動存儲設備來進行數據傳遞，經常將外部數據不經過必要的安全檢查就通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便，同時也增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內外網之間頻繁切換使用，許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用，造成病毒的傳入和機密信息的泄露。

3 局域網安全控制分析

3.1 人員網絡安全培訓

網絡安全是個系統，它是一個匯集了硬件、軟件、網絡、人員、協議等諸多元素的系統。從行業和組織的業務角度看，主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行，必須注重把每個環節落實到每個層次上。而進行這種具體操作的是人，人正是網絡安全中最薄弱的環節，然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現方法，從而加強工作人員的安全培訓，增強內部人員的安全防范意識，提高內部管理人員整體素質。對于局域網內部人員可以從以下幾方面進行培訓：

3.1.1 加強安全意識培訓，讓每個工作人員明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任。

3.1.2 加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地數據，保證本地數據信息的安全可靠。

3.1.3 加強網絡知識培訓，通過培訓掌握一定的網絡知識，能夠掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。

3.2 局域網安全技術和防控措施

網絡安全管理是指保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作最重要的部分是客戶端安全，對網絡安全運行威脅最大的也是客戶端安全。只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全問題的關鍵所在。

3.2.1 控制用戶訪問。入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略，它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶被賦予一定的權限，網絡控制用戶可以訪問的目錄、文件和其他資源，指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據，提高系統安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網。

3.2.2 采用防火墻技術。防火墻可以是硬件也可以是軟件，與網絡的其余部分隔開，使內部網絡與互聯網或是其他外部網絡之間相互隔離，用來保護內網資源免遭非法使用者的侵入。它能夠執行安全管制措施，記錄所有可疑事件。在防火墻上可以通過設置訪問控制列表來限制網絡互訪，它實際上是一個在兩個網絡之間實行控制策略的系統，是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。

3.2.3 嚴控IP地址的使用。在網絡中啟動IP地址綁定，采用IP地址與MCA地址唯一對應、網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。

3.2.4 加強數據保護。對重要數據和文件采取必要的權限設置，防止用戶對目錄和文件的誤刪除和修改，防止用戶查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。

3.3 病毒防治

病毒的侵入必將對系統資源構成威脅，影響系統的正常運行。特別是通過網絡傳播的計算機病毒，能在很短的時間內使整個計算機網絡處于癱瘓狀態，從而造成巨大的損失。因此，防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染，防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的，主要從以下幾個方面。制定有針對性的防病毒策略：

3.3.1 增加安全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒能夠起到很重要的作用。

3.3.2 謹慎使用移動存儲設備。在使用移動存儲設備之前進行必要的病毒掃描和查殺，盡可能的避免病毒的入侵，堅決把病毒拒絕在外。

3.3.3 挑選網絡版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實現遠程控制、集中管理是決定一個網絡殺毒軟件是否有效的三大要素。目前很多殺毒軟件都做得相當不錯，能夠熟練掌握殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關鍵。

結語

通過以上策略的設置，能夠及時發現網絡運行中存在的問題，快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點，及時、準確的切斷安全事件發生點和網絡。

局域網安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網絡應用的發展，計算機病毒的存在形式及傳播途徑日趨多樣化，安全問題日益復雜化，網絡安全建設已不再像單臺計算機防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統來設置和維護對安全的防護策略。

[1]鄧亞平.計算機網絡安全[M].北京：人民郵電出版社，2004.

[2]王秀和，楊明.計算機網絡安全技術淺析[J].中國教育技術設備，2007，（5）.

[3]李輝.計算機網絡安全與對策[J].濰坊學院學報，2007，（3）.