局域網安全防治策略

【摘要】本文通過局域網受病毒沖擊導致整個網絡癱瘓的個案，闡述了局域網安全的現狀和其威脅的類型，從而介紹了如何進行局域網安全控制與病毒防治的一些策略。

【關鍵詞】局域網；信息安全；病毒防治；策略

一、前言

近日來，我校數控系辦公室的局域網受病毒攻擊，使得整個系的網絡癱瘓，部門日常工作無法正常運行，相信其它的工作領域也曾遭遇過同樣的問題，因為計算機網絡黑客、病毒、木馬的盛行，無所不在，因而局域網在信息安全方面，將面臨著前所未有的危險性，一個沒有安全防范的局域網根本沒有“安全可言”，因此如何建設計算機網絡和系統安全就顯得尤為重要。

二、局域網安全現狀

局域網相對于互聯網來說已經有了基本的安全防范體系，而重大的安全問題大致集中于機房和網絡入口處。在防火墻等安全設備的嚴密監控下，來自網絡外部的安全威脅已經大大地減小，相反地，來自于網絡內部的計算機客戶端的安全威脅卻缺乏必要的安全管理措施，安全威脅較大，目前，局域網內的安全問題主要體現在幾個方面：

1.物理安全

局域網物理安全主要包括網絡設備硬件、線路、數據服務器和存儲設備等物理介質造成的信息泄漏、丟失或中斷，其產生的原因多為：硬件損壞、線纜被盜竊、超負荷、自然災害、信息截取竊密等。

2.網絡安全

網絡安全主要體現在假冒用戶、主機、IP等非授權訪問；惡意更改信息或增加無用信息，干擾用戶正常工作的信息攻擊；對網絡中的實體進行持續干擾，使其短時間內耗盡系統資源而崩潰，無法提供正常服務的拒絕服務式攻擊等方面。

3.系統安全

本文中系統安全主要指服務器操作系統的安全性。

4.應用安全

應用安全主要體現在網絡中使用的各種應用軟件的安全危險，或人為操作導致的一些安全問題。

三、局域網安全威脅的類型

局域網（LocalAreaNetwork，LAN）是指在某一區域內由多臺計算機互聯成的計算機組。

它是通過交換機和服務器連接網內每一臺電腦，因而局域網內信息的傳輸速率比較高，但由于局域網采用的技術比較簡單，安全措施較少，因此給病毒傳播提供了有效的通道，同時也給數據信息的安全埋下了隱患，那么局域網的網絡安全威脅有哪幾類呢？

1.欺騙性軟件的攻擊

欺騙性軟件是指在計算機上執行特定任務的軟件，通常是在未經同意的情況下執行。例如“網絡釣魚攻擊”，其最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據，如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等，以往此類攻擊的冒名的多是大型或著名的網站，但由于大型網站反應比較迅速，而且所提供的安全功能不斷增強，網絡釣魚已越來越多地把目標對準了較小的網站，再加上用戶缺乏數據備份等數據安全方面的知識和手段，因此會造成經常性的信息丟失等現象發生。

2.計算機病毒及惡意代碼的攻擊

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼被稱為計算機病毒，其特點有：寄生性、潛伏性、隱蔽性、破壞性、可觸發性。由于網絡用戶不及時安裝防病毒軟件和操作系統補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵，許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點，修改磁盤上現有的軟件，并在自己寄生的文件中注入新的代碼。

3.局域網用戶安全意識差

目前很多網絡安全問題是由于一部分用戶的自身網絡安全意識薄弱所造成的，如許多用戶經常使用移動存儲設備來進行數據的傳遞，將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。

4.IP地址沖突

對于局域網來講，由IP地址沖突造成部分計算機無法上網的問題經常出現，而且用戶規模越大，查找工作就越困難，所以網絡管理員必須加以解決。

四、局域網安全控制與病毒防治策略

針對以上分析的局域網安全問題，我們應當從以下幾個主要方面入手，盡可能地將安全威脅問題最小化，從而保障網絡的安全性。

1.加強網絡安全管理層

網絡信息安全不僅是技術問題，也是管理問題，沒有完善的管理，網絡安全防范只是空談，而安全管理是一個動態管理的過程，會隨著時間的推移和業務的發展而變化，許多部門盡管擁有了先進而昂貴的信息安全設備，但“政策”或“人”往往無法配合，產生很大問題。因為許多安全問題不是因為產品的功能不佳造成的，所以即使設置了層層關卡，仍可能因為被破解的管理者密碼、幫助臺維修后未關閉的開放權限，輕易被共享的網絡文件夾等管理盲點，為黑客及病毒開啟后門。因此，信息安全是管理問題，而非單純的技術問題，唯有完善的管理，才能降低安全風險，避免不必要的損失，為此網絡安全管理，就應從以下幾方面著手：

（1）提升組織的整體安全意識，加強信息系統的軟硬件建設的同時，對信息安全管理工作也不能松懈和忽視；

（2）對特定目標提供安全訓練，協助建立必要的動作規程，以及時發現安全隱患、降低并控制安全事件的損害；

（3）構建安全環境，積極爭取網絡安全認證機構的合作和支持，同時加強信息安全技術平臺的建設，加強企業內部的安全技術建設和監管工作；

（4）對員工實施安全培訓，提高員工個人的安全意識，教會員工常用的安全技能。

2.局域網安全控制策略

目前網絡管理工作量最大的部分是客戶端安全部分，對網絡的安全運行威脅最大的也同樣是客戶端安全管理，只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防治。

（1）利用桌面管理系統控制用戶入網。入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執行的操作。例如啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改；設定服務器登錄時間限制、檢測非法訪問，以防止刪除重要信息或破壞數據，提高系統安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網。

（2）使用防火墻技術。防火墻是將內網和外網進行分離，對經過它的網絡數據進行掃描，過濾掉非法數據，從而禁止非授權用戶訪問數據。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務來降低風險。防火墻可禁止諸如眾所周知的不安全NFS協議進出來保護網絡，這樣外部的攻擊者就不能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。因此應用好防火墻并對防火墻進行正確的設置將對局域網網絡的安全起著十分重要的作用。

（3）封存所有空閑的IP地址，啟動IP地址綁定采用上網計算機IP地址與MCA地址唯一對應，網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。

（4）啟用殺毒軟件強制安裝策略，監測所有運行在局域網絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

3.病毒防治

從病毒發展趨勢來看，現在的病毒已經由單一傳播、單種行為，變成依賴互聯網傳播，所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強，因為其擴散極快，不再追求隱藏性，而更加注重欺騙性，利用系統漏洞將成為病毒有力的傳播方式。因此，內網考慮防病毒時選擇產品需要重點考慮以下幾點：

（1）防殺毒方式需要全面地與互聯網結合，不僅有傳統的手動查殺與文件監控，還必須對網絡層、郵件客戶端進行實時監控，防止病毒入侵；

（2）產品應有完善的在線升級服務，使用戶隨時擁有最新的防病毒能力；

（3）對病毒經常攻擊的應用程序提供重點保護；

（4）產品廠商就具備快速反應的病毒檢測網，在病毒爆發的第一時間即能提供解決方案；

（5）廠商能提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性，盡快地讓用戶了解到新病毒的特點和解決方案。除了安裝殺毒軟件外，還要注意充實自己的計算機安全以及網絡安全知識，做到不隨意打開陌生的文件或者不安全的網頁，不瀏覽不健康的站點，注意更新自己的隱私密碼，配套使用安全助手與個人防火墻等等，這樣才能更好地維護好自己的電腦以及網絡安全。

五、結論

局域網的安全問題是一個較為復雜的系統工程，應當全面考慮綜合運用防火墻、加密技術、防毒軟件等多項措施互相配合，同時它也是一項長期而艱巨的任務，需要不斷的探索，隨著網絡技術的發展，新的安全問題會出現，相應的解決方法將隨之變化，因此網絡管理人員要不斷地學習更多的網絡知識，從而建立起一套真正適合局域網絡需要的安全體系。

參考文獻

[1]王秀和，楊明.計算機網絡安全技術淺析[J].中國教育技術設備，2007（5）.

[2]李輝.計算機網絡安全與對策[J].濰坊學院學報.2007（3）.

[3]鄭成興.網絡入侵防范的理論與實踐[J].機械工業出版社，2007.

[4]馬宜興.網絡安全與病毒防范（第四版）[M].上海交通大學出版社，2009.

[5]胡小強，戴航.計算機網絡[M].北京郵電大學出版社，2009.