局域網安全威脅及防護分析

黃 幸，韓 磊，黃清杉

（中國人民解放軍75310部隊，湖北 武漢 430071）

局域網安全威脅及防護分析

黃 幸，韓 磊，黃清杉

（中國人民解放軍75310部隊，湖北 武漢 430071）

局域網是在有限范圍內實現數據通信和資源共享的封閉型計算機網絡，因使用靈活、便于安裝、易于擴展，被廣泛應用于公司、企業、學校等構建高效的內部網絡。大部分單位只注重局域網的應用建設，建設結構簡單，但缺乏嚴密的安全措施，在享受局域網便捷的同時，也為病毒的傳播提供了通道。因此，要深入了解局域網安全技術，認識到威脅局域網安全的因素，做好局域網安全防護工作，使得局域網在日益廣泛的應用中提供更為高效可靠的網絡平臺。

局域網；安全；防護

隨著科學技術的飛速發展，計算機網絡的普及，許多單位都應用簡單的交換技術搭建了自己的局域網，實現無紙化辦公和資源共享，提高工作效率。但在網絡這個不斷更新換代的世界里，網絡中的安全威脅無處不在，安全威脅時時刻刻都在演化，局域網在帶來便利的同時，也存在著巨大的安全問題，容易受到惡意軟件、黑客、病毒等的攻擊。因此計算機局域網的安全問題隨著計算機網絡的普及越來越為嚴峻。

1 局域網安全問題分析

簡單來說，局域網就是將距離比較近的一些通信設備（包括計算機、外部設備、數據處理終端等）通過數據交換設備，傳輸介質組成的一個封閉式的工作網絡。局域網使用靈活、便于安裝、易于擴展，然而由于技術簡單，其便捷的也成為網絡攻擊的弱點，構成其安全隱患，主要表現在結構的簡單化、資源的共享性和用戶自身安全意識的缺乏3個方面。

1.1 局域網結構簡單

目前的局域網基本上都是一條網線經過路由器、交換機連接很多設備。多臺電腦共享一條網線，一個局域網內部一般不存在交換節點和路由選擇問題，如果有一臺電腦感染了病毒，很快其他電腦也會感染上，那就將導致病毒直接快速在局域網內傳播，輕則降低網絡速度，影響工作效率，造成數據經常丟失，數據安全性低。如果感染了局域網中服務器，病毒屢殺不盡，破壞了服務器信息，那就會讓整個數據交換共享網絡處于一種混亂甚至癱瘓狀態，有可能使得多年保存的工作信息毀于一旦。

1.2 局域網資源的共享性

資源共享是局域網應用的主要目的，在工作辦公中，其可以極大地為內部相互交流提供便利。對于外置設備如打印機的共享，可以供整個單位使用，節省了辦公成本和時間，大大提高工作效率。隨著聯網需求的日益增長，接入局域網計算機逐漸增多，這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。

1.3 用戶安全意識不夠

為了維護好本單位自身局域網，很多單位都設置了網絡信息中心這樣的部門，但是也存在一種這樣的普遍現象。許多人都認為計算機網絡安全與維護只與網管中心的人有關系，自己只要會使用電腦就可以了，根本就沒有概念及時對電腦網絡系統進行定期的更新、維護和檢查工作。計算機終端使用者的安全意識不足，在日常計算機使用中對網絡安全抱著無所謂不關心的態度，認為不過是病毒而已也沒什么大的問題。殊不知只要一臺電腦感染了病毒不及時處理將會影響到局域網中的其他電腦和整個局域網的運行，甚至會造成單位網絡系統全盤崩散，給單位造成不可避免的損失。

2 局域網安全防護措施

網絡基礎設施是局域網信息傳輸的樞紐，提供局域網安全防護的基礎；網絡防衛軟件是局域網信息傳輸的過濾器，是局域網安全防護的衛士；使用者的安全防護意識和知識，是局域網信息傳輸的利器，提供網絡日新月異發展下網絡安全保護的保障。只有做到了這些方面的措施，才能實現對局域網的安全防護。

2.1 建立分級防護機制

由于局域網信息系統是科學技術發展的產物，應生活和工作的需要而構造建立的，是社會構成、行政組織體系的反映，這種信息系統的結構是分層次和級別的。各種信息系統具有重要的社會價值和經濟價值，而不同的系統具有的價值和社會意義也是不一樣的。系統基礎資源多少、用戶訪問權限的大小、信息資源的價值大小、大系統中各子系統重要程度的區別等等就是劃分不同級別的客觀體現。

信息安全保護必須符合網絡構建客觀存在和發展規律，將其分級、分區域、分類和分階段，對于做好國家信息安全保護很重要。根據局域網內部各節點的重要性和私密性來劃分不同的安全等級，比如普通用戶處于第一層級，特權用戶處于第二層級，應用服務器屬于第三層級，數據服務器處于第四層級。在不同層級、不同業務系統之間，通過軟件或者硬件防火墻、ACL等措施加以隔離和過濾，按最低權限的準則發放各層級的訪問權限。

2.2 安裝防火墻

防火墻系統作為一種網絡安全部件可分為硬件防火墻、軟件防火墻和芯片級防火墻。這些安全部件所安裝的位置和保護作用都是不一樣的，比如硬件防火墻處于被保護網絡和其他網絡的邊界，在物理上將局域網內部相互隔開；軟件防火墻則根據防火墻所配置的訪問控制策略進行過濾接收進出于被保護網絡的數據流，在計算機終端起到阻隔保護的作用。防火墻系統不僅能夠保護網絡資源不受外部的侵入，而且還能夠攔截被保護網絡向外傳送有價值的信息。防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓。對于一些大型單位和企業，部門較多，各個部門又相互獨立但是又要同時存在一個大型局域網內，這種情況我們可以采取劃分VLAN的形式將各個部門內部的所有服務器和用戶節點都放在各自的VLAN內，互不干擾，控制內網安全。

2.3 安裝網絡監聽監測系統

防火墻只能根據局域網通信規則和現有的經驗來制定相應的ACL，以此達到控制流量的目的，但對于潛在的、未知的網絡攻擊并不能做到智能化檢測和隔離。在網絡環境日益復雜，攻擊手段層出不窮的今天，必須采用網絡監聽監測系統，對關鍵出入口的流量進行長期的監聽，對日常流量進行統計分析，建立保存相關數據，在此基礎上，分析可能潛在的攻擊行為、攔截傳輸的非法內容，以便及時更新防火墻，并向上級安全網管中心報告，采取下一步的措施。

2.4 加強網絡安全管理保障

俗話說：“三分技術，七分管理”這不僅僅要求對工作人員進行定期培訓，還要求客戶端使用人員增強安全意識和豐富安全知識，提高單位全體人員整體網絡安全素質。一方面要讓技術人員真正掌握網絡安全產品和網絡管理各方面的知識，使整套安全策略得到充分的執行和實施，組織專門的計算機運維隊伍；另一方面，要清醒地認識到很多時候系統運行失敗是內部人員對計算機操作不當造成的。對員工進行安全意識培訓，建立合理的政策指導客戶端使用人員正確安裝防病毒軟件和軟件防火墻，學習查殺病毒和備份重要的數據。特別注意在使用移動存儲設備之前，要先進行病毒的掃描和查殺，確認安全后再使用，減少移動存儲設備將病毒傳入到本地電腦引起局域網崩盤。

3 結語

在信息技術日新月異發展的今天，網絡安全工作仍是復雜的系統工程，只有通過網絡管理人員與使用人員的共同努力，運用一切可以使用的工具和技術，制定合理的維護手段，不斷調整安全策略，盡可能地把不安全的因素降到最低，才能減少網絡事故的發生，維持局域網的安全，才能生成一個高效、通用、安全的網絡系統，真正提供一個高效、可靠、安全的網絡化自動化辦公環境。

[1]倪超凡.計算機網絡安全技術初探[J].赤峰學院學報，2009（12）：45-46.

[2]蔡立軍，李立明，李峰.計算機網絡安全技術[M].北京：中國水利水電出版社，2005.

LAN security threats and protection analysis

Huang Xing, Han Lei, Huang Qingshan
（PLA 75310 Unit, Wuhan 430071, China）

Local area network(LAN) is the closed computer network that realizes over a limited range of data communication and resource sharing. Due to the advantages of flexible use, easy to install, easy to expand, it is widely used building efficient internal network of the companies, enterprises and schools, etc. But due to the lack of the strict security measures and simple construction structure, most units only focus on the application of LAN construction convenient. While enjoying the convenience of LAN, it also provides the effective channel for the spread of the virus. So we should deeply understand LAN technology, realizing the factors threaten the security of a local area network, doing a good job in local area network security protection. Then, local area network in the increasingly extensive application will provide a more effective and reliable network platform.

local area network; security; protection

黃幸（1984— ），女，湖南懷化，碩士，助理工程師。