梁曉睿

（大慶油田第七采油廠敖包塔作業(yè)區(qū)，黑龍江 大慶 163000）

引言

隨著網(wǎng)絡版應用軟件推廣應用，計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。因此計算機網(wǎng)絡和系統(tǒng)安全建設就變得尤為重要。

1 作業(yè)區(qū)局域網(wǎng)安全隱患現(xiàn)狀分析

隨著作業(yè)區(qū)網(wǎng)絡資源的發(fā)展，其開放性，共享性，互連程度擴大，這就給病毒傳播提供了有效的通道，數(shù)據(jù)信息的安全埋下了隱患。主要可以歸結為以下幾點：

1.1 開放的共享資源使數(shù)據(jù)安全性降低

由于作業(yè)區(qū)網(wǎng)絡資源一部分是資源共享，包括共享文件和FTP等，正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，安全性較低，同時由于用戶缺乏備份等數(shù)據(jù)安全方面的意識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

1.2 服務器區(qū)域沒有進行獨立防護

局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造成了病毒感染的直接性和快速性，如果局域網(wǎng)中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并通過服務器進行信息傳遞，就會感染服務器，這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

1.3 計算機病毒及惡意代碼的威脅

由于作業(yè)區(qū)大部分網(wǎng)絡用戶不能接入Internet，系統(tǒng)漏洞補丁不能自動下載、安裝，另外存在私自卸載防病毒軟件現(xiàn)象，并且使用的是固定IP地址,這就會給計算機病毒入侵提供可乘之機，更容易受到ARP等外部攻擊。

1.4 局域網(wǎng)用戶安全意識不強

許多用戶經(jīng)常將沒經(jīng)過安全檢查的外部數(shù)據(jù)通過移動存儲設備帶入局域網(wǎng)內(nèi)部，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的侵入提供了方便，同時增加了數(shù)據(jù)泄密的可能性。另外存在個別用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入局域網(wǎng)絡內(nèi)部使用，造成病毒的傳入和信息泄漏。

1.5 IP地址沖突

同一個網(wǎng)段內(nèi)的局域網(wǎng)中，個別計算機用戶擅改IP地址，造成IP地址沖突，無法正常上網(wǎng)。由于作業(yè)區(qū)計算機用戶眾多，所以查找工作困難。正是由于存在這些網(wǎng)絡安全隱患，易造成網(wǎng)內(nèi)電腦相互感染，病毒快速傳遞，屢殺不盡；數(shù)據(jù)安全性低，數(shù)據(jù)易丟失。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。

2 作業(yè)區(qū)局域網(wǎng)安全控制與病毒防治策略

2.1 作業(yè)區(qū)局域網(wǎng)安全控制策略

目前作業(yè)區(qū)網(wǎng)絡管理難度最大的是客戶端安全部分，對網(wǎng)絡的安全運行威脅最大的也是客戶端的安全管理。只有解決網(wǎng)絡內(nèi)部的安全問題，才能排除網(wǎng)絡中最大的安全隱患，對內(nèi)部網(wǎng)絡終端安全管理主要有防御、監(jiān)督和利用現(xiàn)有的安全管理軟件加強對局域網(wǎng)安全控制幾個手段。

2.1.1 屬性安全控制。當使用文件、目錄和網(wǎng)絡設備時，應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來，在權限安全的基礎上提供更進一步的安全性。對網(wǎng)絡上的資源訪問都應預先標出一組安全屬性的控制表，來表明用戶對網(wǎng)絡資源的訪問能力。網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤操作等。

2.1.2 啟用密碼策略。強制計算機用戶設置符合安全要求的密碼，如機器密碼、共享文件密碼，并設置使用權限等，以增強文件安全性。

2.1.3 采用防火墻技術。通過安裝網(wǎng)絡防火墻，限制網(wǎng)絡互訪，可以有效地實現(xiàn)計算機對外界信息的過濾，實時監(jiān)控網(wǎng)絡中的信息流，執(zhí)行安全管制措施，記錄可疑事件，保護內(nèi)部網(wǎng)絡資源免遭非法使用者的侵入。

2.1.4 關閉邊界網(wǎng)絡。嚴禁在礦區(qū)內(nèi)部使用二級代理、VPN及撥號上網(wǎng)?？刂仆ㄟ^代理接入互聯(lián)網(wǎng)的權限。

2.1.5 加強服務器管理。對作業(yè)區(qū)服務器的帳號、用戶權限、網(wǎng)絡訪問以及文件訪問等實行嚴格的控制和管理，定期做好監(jiān)視、審計和事件日志記錄和分析。一方面減少各類違規(guī)訪問，另一方面，通過系統(tǒng)日志記下來的警告和報錯信息，很容易發(fā)現(xiàn)相關問題的癥結所在。并及時升級操作系統(tǒng)，減少系統(tǒng)漏洞，盡可能關閉不需要的端口，以彌補系統(tǒng)漏洞帶來的各類隱患。

2.1.6 屏蔽IP地址更改窗口。通過修改組策略或卸載動態(tài)庫文件，來屏蔽網(wǎng)絡連接窗口，限制IP地址更改，可以有效防止IP地址沖突而引起的網(wǎng)絡中斷。

2.2 作業(yè)區(qū)局域網(wǎng)病毒防治策略

2.2.1 網(wǎng)絡病毒、木馬預防

病毒和木馬的侵入必將對系統(tǒng)資源構成嚴重威脅，能在短時間內(nèi)使整個網(wǎng)絡處于癱瘓狀態(tài)，造成巨大損失。因此，防止病毒的侵入是作業(yè)區(qū)局域網(wǎng)病毒防治的首要工作。通過嚴格控制傳染途徑來斬斷病毒源頭。主要從以下幾個方面制定有針對性的防病毒策略：

2.2.1.1 啟用Symantec殺毒軟件強制安裝策略，并確保病毒庫及時更新。同時開啟自動防護，定期全面掃描計算。

2.2.1.2 安裝360安全衛(wèi)士和保險箱。開啟360安全衛(wèi)士的防火墻，采用主動防御技術攔截木馬，定期查殺木馬及惡意插件。保險箱可以阻止盜號木馬對網(wǎng)游、聊天等程序的侵入，幫助用戶保護網(wǎng)游、聊天、網(wǎng)銀、炒股等帳號，防止由于帳號丟失導致的虛擬資產(chǎn)和真實資產(chǎn)受到損失。

2.2.1.3 提高防病毒意識。首先明確病毒的危害，減少共享文件夾的數(shù)量，一旦不需要共享應立即關閉，文件共享應盡量控制權限和設置密碼等，避免自由地訪問共享文件；網(wǎng)絡使用過程中提高警惕性；使用新設備和新軟件之前要檢查等，都可以很好地預防病毒在網(wǎng)絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。

2.2.1.4 補全重要漏洞。由網(wǎng)絡管理人員分發(fā)系統(tǒng)重要漏洞補丁，為局域網(wǎng)用戶提供操作系統(tǒng)升級服務。

2.2.1.5 小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。

網(wǎng)絡病毒、攻擊治理

2.2.2 盡管我們能采用多種方法防范病毒，但也不能保證網(wǎng)絡不再中毒，一旦發(fā)現(xiàn)網(wǎng)絡中有異常信息傳遞,將采取以下方案處理:

2.2.2.1 立即斷掉發(fā)出異常信息的計算機網(wǎng)絡連接；

2.2.2.2 采用專用軟件對異常信息進行分析；

2.2.2.3 是病毒的用病毒清殺工具清除病毒；

2.2.2.4 是惡意攻擊的,立即上報上級業(yè)務主管部門處理。

通過以上策略的設置，能夠及時發(fā)現(xiàn)網(wǎng)絡運行中存在的問題，快速有效的定位網(wǎng)絡中病毒、蠕蟲等安全威脅的切入點，并及時、準確的切斷源頭。

2.3 加強作業(yè)區(qū)人員的網(wǎng)絡安全培訓

網(wǎng)絡安全是個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。這個系統(tǒng)的具體操作是人，人也是網(wǎng)絡安全中最薄弱的環(huán)節(jié)，而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對網(wǎng)絡使用人員的安全培訓。增強他們的安全防范意識，掌握一定的網(wǎng)絡安全知識。

結語

作業(yè)區(qū)局域網(wǎng)安全控制與病毒防治是一項長期艱巨的任務，需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜，網(wǎng)絡安全已不再像單臺計算安全防護那樣簡單，需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。

[1]鐘平.校園網(wǎng)安全防范技術研究[DB].CNKI系列數(shù)據(jù)庫,2007.

[2]李輝.計算機網(wǎng)絡安全與對策[J].濰坊學院學報,2007.