淺談局域網網絡安全防范與管理技術

高艷冬

摘 要 網絡技術的飛速發展，推動了生活和生產方式的改變，同時也引發了一系列網絡安全問題。《中華人民共和國網絡安全法》施行后，對網絡運營者提出了保障網絡運行安全和信息安全的要求。本文主要研究局域網網絡存在的安全問題并提出維護局域網網絡安全的相關建議。

關鍵詞 局域網；網絡安全；防范與管理

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）202-0102-02

隨著云計算、大數據、移動互聯網、物聯網等網絡技術的飛速發展，為人們的工作、生活、學習提供了極大的便利條件，推動了生活和生產方式的改變，但個人信息被竊取、泄露，病毒、蠕蟲的傳播，邊界網絡設備被攻擊等網絡安全問題也隨之而來，愈演愈烈。2017年6月1日，《中華人民共和國網絡安全法》正式施行，對網絡安全和信息安全提出了規范性規定，作為網絡運營者，做好網絡安全管理工作，防范網絡風險，有著重要的意義。

局域網是連接計算機組的一種網絡形式，在企業中較為常見，依靠局域網可以實現信息共享，提高工作效率。一旦局域網發生故障或者遭到病毒侵入，造成數據或者信息丟失，將影響企業的經濟效益，只有做好局域網網絡的安全防范與管理，才能保證網絡的運行與使用安全。

1 局域網網絡存在的安全隱患

1.1 網絡邊界接入風險

網絡邊界接入風險主要包括路由破壞、未授權訪問、信息竊聽、拒絕服務攻擊、針對路由器和交換機等邊界網絡設備的攻擊，以及病毒、蠕蟲的傳播等。在互聯網上尤其是拒絕服務攻擊現在呈多發趨勢，而且中國是攻擊發生的重災區，在世界范圍內僅次于美國排名第二。海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、（M）Stream Flood等攻擊產生的大量垃圾數據包，一方面大量占用網絡帶寬，另一方面會造成邊界路由器和核心交換機等網絡設備的有效數據轉發能力下降，甚至會出現核心路由器和交換機因負荷過載而造成轉發延遲增大和數據包丟包率上升等問題。同時，針對服務器區域的HTTP Get Flood、UDP DNS Query Flood、CC等攻擊會造成業務服務器和關鍵設備的服務質量下降甚至業務中斷。

1.2 面向應用層的攻擊

應用層攻擊之所以存在，主要是因為程序員發布的代碼存在導致安全漏洞的錯誤。比如今年在全球大規模爆發的勒索病毒就是因為軟件存在漏洞，被黑客利用編制程序而引發的。

1.3 虛擬化安全風險

云計算的迅速發展，與虛擬化技術的應用密不可分。通過虛擬化技術生成的虛擬機，同樣也會存在軟件漏洞和系統漏洞，也會遭到病毒木馬的入侵。

1.4 APT攻擊風險

傳統的防病毒軟件可以一定程度地解決已知病毒、木馬的威脅，但對于越來越多的APT攻擊卻束手無策。APT很多攻擊行為都會利用0day漏洞進行網絡滲透和攻擊，且具有持續性及隱蔽性。

1.5 應用質量分析與流控

當前P2P下載、IM軟件等應用越來越廣泛，如果不對網絡流量進行嚴格的管控，不能有效避免各種網絡應用爭搶帶寬的情況，這將嚴重影響正常工作效率，有時會造成網絡癱瘓，增加網絡運營者管理成本，影響企業的日常辦公與生產，造成嚴重的經濟損失。

1.6 數據泄露風險

數據泄露是網絡運營者最為擔憂的情況之一，尤其是涉及大量敏感信息等關鍵數據庫的存儲，近年來，具有關鍵數據的高密度聚合對潛在的攻擊者具有極大的誘惑力，數據安全面臨巨大的挑戰。

1.7 用戶自身安全意識問題

局域網網絡安全問題的出現，很大一部分源于用戶自身的安全意識較差。例如，用戶使用外部存儲設備連接計算機組進行數據傳輸，如果不對外部存儲設備進行檢測，容易導致外部數據連同木馬和病毒，一起傳輸到計算機組，這樣就會給局域網絡留下巨大的安全隱患，導致外部設備攜帶的病毒或者木馬，在局域網內進行傳播。此外，用戶瀏覽來源不明的網站或者不小心下載了偽裝成病毒的軟件，也會導致計算機中毒，進而導致用戶信息泄露，危及整個局域網的用戶安全。

2 局域網網絡安全防范與管理

2.1 網絡結構的安全防范

網絡結構對于局域網網絡的安全有著重要的影響。網絡結構的建立和選擇主要影響因素有：網絡環境、網絡應用、網絡維護、設備配置、通信量等。一個良好的網絡結構，可以對資源進行合理的分配和使用，并且建立起網絡安全的保障體系。對網絡結構進行優化設計，使其具有可靠性、先進性、標準性和實用性，有利于網絡的運營和維護，以及網絡安全的管理和控制。

在云計算時代規劃局域網構架時，應該充分考慮該企業局域網的特點來系統地進行規劃，考慮到局域網外圍物理環境及網內應用的各類安全需求和特性，從而達到各類安全產品、安全管理、整體安全策略的統一，發揮最大的安全防控效率。在設計安全建議方案時，應充分利用現有國內和國際安全標準和成熟的安全體系，結合局域網的實際需求，設計出一個有針對性的安全設計方案。解決思路如下：

1）對局域網進行安全域劃分，根據各區域的業務特性、技術特性以及安全需求進行對應的安全防護設計；包括：

（1）邊界接入區，可以劃分為互聯網接入區、外聯接入區、內部接入區；（2）網絡基礎設施區，一般為三層網絡設計，可以劃分為核心區、匯聚區與接入區；（3）業務接入區，分為一般工作區、重要工作區、核心數據區及運維管理區等。

2）要充分考慮網絡層、操作系統層、虛擬化層、應用層以及數據層的安全防護需求，特別是虛擬化等新技術帶來的問題。

3）強調安全運營的價值，實現預警、檢測、響應、溯源的閉環流程。針對上述局域網的安全架構，我們可以結合本單位實際情況，在內網中安置不同的網絡安全產品來進行安全防控。主要有防范DDos攻擊（分布式拒絕服務攻擊）產品、智慧防火墻產品、VPN接入網關產品、Web應用防火墻、漏洞掃描產品、日志采集分析產品、數據庫審計產品、堡壘機、IPS、IDS、防病毒網關、態勢感知及安全運營平臺等等。

2.2 網絡安全管理措施

為了保證局域網絡的安全，需要注意以下幾點：首先，保護計算機的系統安全。局域網絡的安全，一部分來源于系統的安全，保證計算機系統的安全，避免局域網內的計算機組出現病毒入侵的情況。

例如，計算機系統安裝殺毒軟件，定期對計算機進行殺毒，對計算機軟件更新，文件分類歸檔，保證計算機的運行狀態。其次，對用戶加強網絡安全培訓。用戶的安全用網意識，可以大幅度地降低局域網絡遭到病毒侵害的發生概率。

3 結論

綜上所述，在網絡時代下，隨著網絡的應用越來越廣，在提升生活質量和工作效率的同時，也帶來了安全隱患，例如，重要信息和數據的泄露、大規模拒絕服務攻擊、APT攻擊、木馬、病毒等，需要我們更加注重對網絡的安全管理。在局域網升級網絡安全防范措施前，要做好需求調查，設計好方案并進行必要的論證，對于重要的局域網系統，要盡快進行信息系統等級保護。

同時，要加強局域網的安全管理，包括網內用戶入網的管理，嚴格做到“實名制”綁定，建立健全網絡管理制度與操作流程并嚴格執行，同時要有完善的網絡安全應急預案并定期演練，定期進行網內用戶的網絡安全培訓等，各項措施齊抓共管才能提升局域網的網絡安全防護能力。

參考文獻

[1]張頡.淺析局域網網絡安全防范與管理技術[J].電子世界，2017（7）：149.

[2]梁欣祺.淺談局域網計算機的安全防護[J].科技展望，2017，27（7）.

[3]王英強.淺析當前局域網面對攻擊的安全問題與防范策略[J].黑龍江科技信息，2017（9）：167.

[4]劉志明.淺談無線局域網的安全問題及對策[J].數字技術與應用，2017（4）：219.

[5]沈亮.淺談計算機局域網信息安全與防范[J].電腦知識與技術，2017，13（12）：29-30.