局域網安全控制與病毒防治策略探析

摘 要：隨著網絡的普及，網絡安全日顯重要，為了保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉，計算機網絡和系統安全建設就顯得尤為重要。文章主要介紹了局域網安全控制與病毒防治的一些策略。

關鍵詞：網絡安全；防火墻；病毒；網絡管理

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1006-8937（2014）8-0068-02

1 局域網的安全現狀

如今的局域網絡技術比較成熟，已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。一些局域網內部的計算機和互聯網相連，卻并未安裝相應的比較高級的殺毒軟件及防火墻，用戶就經常遭受到一些網內已中病毒計算機的ARP攻擊，一些計算機系統或多或少都存在著各種的漏洞。局域網面臨著黑客攻擊、目錄共享導致信息的外泄、計算機操作人員的安全意識不足等安全隱患。

2 網絡不安全因素

2.1 局域網網絡安全管理體系不夠完善

目前，許多網絡用戶管理層對網絡安全并不清晰，只是普遍認為網絡管理員只要加強技術，一切網絡安全問題就可得到解決。事實上技術上的建設只是網絡安全中的一個方面，管理體系的建設才是重點。在花費大量資金購買設備和軟件，在技術上雖然能夠達到一定的標準，但如果管理制度不夠完善，可能導致管理出現失控的現象，使軟件有時無法正常使用或操作。如網絡服務器對服務器操作系統設置的缺陷、對內部用戶權限未作合理的限制導致非授權訪問、無限制的文件存儲導致服務器系統長期在超負荷的狀態下工作、操作系統本身的漏洞等等。出現隨意更換IP地址導致地址沖突而無法上網，病毒庫無法更新等問題出現。

2.2 局域網用戶安全意識不強

許多用戶在使用網絡的時候常常忽略網絡安全問題，缺乏安全意識。如使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外用戶在電腦上下載和安裝網上不可靠站點未經嚴格驗證的應用軟件也會帶入病毒，甚至打開匿名郵件都可能被計算機病毒感染，造成病毒的傳入和信息的泄密。

2.3 計算機病毒及惡意代碼的威脅

無孔不入的計算機病毒、惡意的黑客攻擊是計算機網絡最大的威脅，這也是讓網絡管理員較為頭痛的問題。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓，是影響內部網絡安全的主要因素。

3 局域網安全控制與病毒防治策略

3.1 建立網絡安全管理規范

網絡安全技術的解決方案必須依賴安全管理規范的支持，在網絡安全中，除采用技術措施之外，加強網絡的安全管理，制定有關的規章制度，對于確保網絡安全、可靠地運行將起到十分有效的作用。在網絡安全管理中，我們應根據網絡安全的要求和服務規范建設合理的安全制度，加強流程要求，并不斷規范和完善制度，提高可執行性和可操作性。網絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程包括服務器以及個人主機安全管理、包括個級別權限管理，制定網絡系統的維護制度和應急措施等。

3.2 安全備份

對局域網內部存在的非常重要的信息，必須及時對這些信息進行完整的備份，以便在出現問題的時候及時恢復。備份一方面包括對局域網內部的重要數據的備份，另一方面，也包括對于核心設備和線路的備份。對于局域網中的核心設備的系統配置必須進行定期和不定期的檢查和備份，從而在設備發生問題的時候，可以進行緊急恢復。對于局域網內部的核心線路，應該保持完備和做出適當的備份，從而在一些線路發生問題的時候，可以及時采用備份線路來維持整個局域網的正常工作。對關鍵的路由器，配置出一個一樣的來放起備用。為每臺電腦做系統備份。并把備份編號收集起來，以備不時之需。

3.3 建立局域網統一防病毒系統

傳統的單機防病毒形式已經不能滿足局域網安全的需要，必須建立局域網統一防病毒系統，利用全方位的防病毒產品，對于局域網內部各個可能的病毒攻擊點都進行對應的防病毒軟件的安裝，來實現全方位、多層次的病毒防治功能。與此同時，實現局域網統一防病毒系統的定期自動升級，更好的避免病毒的攻擊。防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒需要：①增加安全意識和安全知識，文件共享時盡量控制權限和增加字碼，對來歷不明的文件運行前進行查殺等。②小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。防病毒體系是建立在每個局域網的防病毒系統上的。局域網統一防病毒系統的病毒庫能夠實現及時方便的更新，也可以實現統一徹底的病毒防殺，同時具備操作簡單快捷的特點，因此，是非常有利于局域網的病毒防治的。

3.4 合理安裝配置防火墻

防火墻是一種用來阻止外面未經授權的用戶非法訪問網絡的設備工具，它通常是軟件和硬件的結合體。防火墻在網絡通訊時執行一種訪問控制尺度，在它使內部網絡與Internet之間或與其他外部網絡互相隔離，限制網絡互訪，用來保護內部網絡資源免遭非法使用者的侵入，執行安全管制措施，記錄所有可疑事件。防火墻的基本準則有：

①過濾不安全服務?；谶@個準則，防火墻應封鎖所有信息流，然后對希望提供的安全服務逐項開放，對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。

②過濾非法用戶和訪問特殊站點。防火墻應先允許所有的用戶和站點對內部網絡的訪問，然后管理員根據IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。

通過合理安裝配置防火墻，可以在利用局域網進行通訊的時候執行一種訪問控制列表，允許合法的人和數據來訪問局域網，并且拒絕非法的用戶和數據對于局域網的訪問，從而使黑客對于局域網的攻擊行為得到最大限度的阻止，避免黑客對于局域網上的重要信息的隨意更改、移動甚至刪除。

3.5 運用VLAN技術

VLAN 的英文全稱是Virtual Local Area Network，也就是虛擬局域網，利用它來實現對內部子網的物理隔離。通過在交換機上劃分VLAN 可以將整個網絡劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止一個網段的問題穿過整個網絡傳播。這對于限制非法用戶對于局域網的訪問起到非常巨大的作用。劃分VLAN有以下優點：①控制廣播風暴；②增強網絡的安全性；③增強網絡管理。

VLAN 的劃分方法分三種：①基于端口的劃分。這是最常用、最有效的一種VLAN 劃分方法，目前絕大多數VLAN 協議的交換機都提供這種VLAN 配置方法。②基于MAC地址的劃分。這是最常用、最有效的一種VLAN 劃分方法，目前絕大多數VLAN 協議的交換機都提供這種VLAN 配置方法。③基于網絡層的VLAN，基于第3層的VLAN是采用在路由器中常用的方法：IP子網和IPX網絡號等。

3.6 運用訪問控制技術

通過訪問控制技術的運用，可以保證局域網內部的數據不被非法使用或者非法訪問。它是保證網絡安全最重要的核心策略之一。主要有以下七種方式：

①入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務器并獲取網絡資源；控制準許用戶入網的時間和準許他們在哪臺工作站入網。②網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。③目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。④屬性安全控制。當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。⑤網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。⑥網絡監測和鎖定控制。網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。⑦網絡端口和節點的安全控制。端口是虛擬的“門戶”，信息通過它進入和駐留于計算機中，網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。

3.7 控制IP地址

封存所有空閑的IP地址，啟動IP地址綁定，采用上網計算機IP地址與MCA地址唯一對應，網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。

3.8 提高使用網絡人員的安全意識

要確保信息安全工作的順利進行，必須注重把每個環節落實到每個層次上，而進行這種具體操作的是人，也正是網絡安全中最薄弱的環節，然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理，注意管理方式和實現方法，從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質。切實保證局域網日常的維護及管理工作，利用最為先進的技術來防治局域網的各種安全隱患。

4 結 語

局域網安全控制是一項長期而艱巨的任務，針對于局域網存在的安全隱患的防治工作不是一勞永逸的，而是一項復雜艱巨的系統工程。在實際工作中既需要綜合運用以上方法，還要將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，又需要規范和創建必要的安全管理模式、規章制度來約束人們的行為，加強管理，從而來保證局域網絡的安全運行。

參考文獻：

[1] 鄭成興.網絡入侵防范的理論與實踐[M].北京：機械工業出版社，2006.

[2] 趙江，馬憲延.局域網管理精講[M].北京：人民郵電出版社，2007.

[3] 朱建軍.網絡安全防范手冊[M].北京：人民郵電出版社，2007.

[4] 閻惠.防火墻原理與技術[M].北京：機械工業出版社，2004.

[5] 王金光，周子琨.淺談局域網計算機及網絡維護[J].甘肅科技，2008，（9）.