局域網(wǎng)安全分析與策略

【摘要】隨著Internet、網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展及各種應(yīng)用的日益普及，各單位計(jì)算機(jī)局域網(wǎng)已成為重要的基礎(chǔ)設(shè)施。如何保障數(shù)據(jù)的安全性、可靠性是建設(shè)局域網(wǎng)網(wǎng)絡(luò)安全過程中所必須考慮的重要事情之一。本文依據(jù)自己的工作實(shí)際，從安全角度出發(fā)提出局域網(wǎng)網(wǎng)絡(luò)的安全解決方案。

【關(guān)鍵詞】局域網(wǎng)病毒惡意代碼安全控制病毒防治

隨著信息化的不斷擴(kuò)展，各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率，實(shí)現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施。為了確保各項(xiàng)工作的安全高效運(yùn)行，保證網(wǎng)絡(luò)信息安全以及網(wǎng)絡(luò)硬件及軟件系統(tǒng)的正常順利運(yùn)轉(zhuǎn)是基本前提，因此計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)就顯得尤為重要。

一、局域網(wǎng)安全現(xiàn)狀

隨著網(wǎng)絡(luò)應(yīng)用的普及，人們對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也日益深入，廣域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。但是這些產(chǎn)品有一個(gè)共同點(diǎn)：防外不防內(nèi)。相反來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。目前，局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴(yán)重程度。

二、局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務(wù)器和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類：

（1）欺騙性的軟件使數(shù)據(jù)安全性降低。網(wǎng)絡(luò)釣魚攻擊是指利用欺騙性的電子郵件和偽造的WEB站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的用戶名，口令，ID、信用卡號(hào)等敏感數(shù)據(jù)。詐騙者通常會(huì)偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。網(wǎng)絡(luò)釣魚攻擊的主要方法有：發(fā)送電子郵件，以虛假信息引誘用戶中圈套；建立假冒網(wǎng)上銀行，網(wǎng)上證券網(wǎng)站，騙取用戶帳號(hào)、密碼實(shí)施盜竊；利用虛假的電子商務(wù)進(jìn)行詐騙；利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動(dòng)；利用用戶弱口令等漏洞破解、猜測(cè)用戶帳號(hào)和密碼；使用欺騙性的超鏈接。（2）計(jì)算機(jī)病毒及惡意代碼的威脅。由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個(gè)弱點(diǎn)。越是網(wǎng)絡(luò)應(yīng)用水平高，共享資源訪問頻繁的環(huán)境中，計(jì)算機(jī)病毒的蔓延速度就會(huì)越快。惡意代碼（malicious code）是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。（3）黑客攻擊。黑客們的攻擊行動(dòng)是無時(shí)無刻不在進(jìn)行的，而且會(huì)利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過服務(wù)器，得到系統(tǒng)的口令文件并將之送回。黑客侵入服務(wù)器后，有可能修改特權(quán)，從普通用戶變?yōu)楦呒?jí)用戶，一旦成功，黑客可以直接進(jìn)入口令文件。（4）非授權(quán)訪問。利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用，以達(dá)到占用合法用戶資源的目的。（5）主機(jī)系統(tǒng)中存在許多安全漏洞。網(wǎng)絡(luò)中存在大量不同操作系統(tǒng)的主機(jī)如unix、Windows 2000SERVER、windows xp、windows 98。這些操作系統(tǒng)自身也存在許多安全漏洞。（6）服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立防護(hù)。局域網(wǎng)的數(shù)據(jù)傳遞速度快，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。（7）IP地址沖突。對(duì)于局域網(wǎng)來講，此類IP地址沖突的問題會(huì)經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。（8）局域網(wǎng)用戶安全意識(shí)不強(qiáng)。許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。長(zhǎng)期的安全攻擊事件分析證明，很多攻擊事件是由于人員的安全意識(shí)薄弱，無意中觸發(fā)了黑客設(shè)下的機(jī)關(guān)、打開了帶有惡意攻擊企圖的郵件或網(wǎng)頁造成的。（9）管理中存在的問題。管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。

三、局域網(wǎng)安全控制與病毒防治策略

3.1加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)

安全是個(gè)過程，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三個(gè)層面。增強(qiáng)內(nèi)部人員的安全防范意識(shí)，提高內(nèi)部管理人員整體素質(zhì)。同時(shí)要加強(qiáng)法制建設(shè)，進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。對(duì)局域網(wǎng)內(nèi)部人員，從下面幾方面進(jìn)行培訓(xùn)：

1、加強(qiáng)安全意識(shí)培訓(xùn)，讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。

2、加強(qiáng)安全知識(shí)培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí)，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地?cái)?shù)據(jù)信息的安全可靠。

3、加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)，通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí)，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí)，樹立良好的計(jì)算機(jī)使用習(xí)慣。

4、提高網(wǎng)絡(luò)使用人員的安全意識(shí)，定期進(jìn)行相關(guān)的網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)，全面提高網(wǎng)絡(luò)使用人員的安全意識(shí)，是提高網(wǎng)絡(luò)安全性的有效手段。

3.2局域網(wǎng)安全控制策略

安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對(duì)網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。

1、利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。

2、采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。

3、封存所有空閑的IP地址，啟動(dòng)IP地址綁定，采用上網(wǎng)計(jì)算機(jī)IP地址與MCA地址唯一對(duì)應(yīng)，網(wǎng)絡(luò)沒有空閑IP地址的策略。（1）交換機(jī)控制：交換機(jī)的每一個(gè)端口只允許一臺(tái)主機(jī)通過該端口訪問網(wǎng)絡(luò)，任何其它地址的主機(jī)的訪問被拒絕。（2）路由器隔離：通過SNMP協(xié)議定期掃描局域網(wǎng)各路由器的ARP表，獲得當(dāng)前IP和MAC的對(duì)照關(guān)系，和事先合法的IP和MAC地址比較，如不一致，則為非法訪問。（3）防火墻與代理服務(wù)器：防火墻用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，用戶訪問外部網(wǎng)絡(luò)通過代理服務(wù)器進(jìn)行。

4、服務(wù)器屬性安全控制。它能控制以下幾個(gè)方面的權(quán)限：防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件。

5、啟用殺毒軟件強(qiáng)制安裝策略，監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī)，對(duì)沒有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。

3.3病毒防治

病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運(yùn)行。特別是通過網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個(gè)方面制定有針對(duì)性的防病毒策略：

1、增加安全意識(shí)和安全知識(shí)，對(duì)工作人員定期培訓(xùn)。首先明確病毒的危害，文件共享的時(shí)候盡量控制權(quán)限和增加密碼，對(duì)來歷不明的文件運(yùn)行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對(duì)杜絕病毒，主觀能動(dòng)性起到很重要的作用。

2、小心使用移動(dòng)存儲(chǔ)設(shè)備。在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺，也可把病毒拒絕在外。

3、挑選網(wǎng)絡(luò)版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素。

四、結(jié)語

網(wǎng)絡(luò)安全是動(dòng)態(tài)的、整體的，并不是簡(jiǎn)單的安全產(chǎn)品集成就解決問題。安全不是一勞永逸的，安全總會(huì)隨著用戶網(wǎng)絡(luò)現(xiàn)況的變化而變化。隨著時(shí)間推移，新的安全風(fēng)險(xiǎn)又將隨著產(chǎn)生，只有大力加強(qiáng)信息安全的宣傳和教育，樹立牢固的信息安全意識(shí)，提高網(wǎng)絡(luò)使用人員的技術(shù)水平，才可能實(shí)現(xiàn)網(wǎng)絡(luò)的暢通和信息的安全。

局域網(wǎng)安全控制與病毒防治是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化，安全問題日益復(fù)雜化，網(wǎng)絡(luò)安全建設(shè)已不再像單臺(tái)計(jì)算安全防護(hù)那樣簡(jiǎn)單。計(jì)算機(jī)網(wǎng)絡(luò)安全需要建立多層次的、立體的防護(hù)體系，要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對(duì)安全的防護(hù)策略。