局域網(wǎng)存在的安全隱患及其防治策略

羅衛(wèi)東

摘要：在當(dāng)今這個信息化的時代，許多信息都需要在局域網(wǎng)內(nèi)部進(jìn)行傳輸，局域網(wǎng)的存在也提高了企事業(yè)單位以及政府機關(guān)的辦公效率，轉(zhuǎn)變了人們的日常生活方式。但是，局域網(wǎng)存在的安全隱患卻為局域網(wǎng)的使用帶來了巨大的風(fēng)險，局域網(wǎng)內(nèi)部的數(shù)據(jù)時刻面臨著會受到侵犯和破壞的風(fēng)險。本文首先簡要介紹了當(dāng)前局域網(wǎng)存在的安全隱患，然后，有針對性的詳細(xì)闡述了局域網(wǎng)存在的安全隱患的防治策略。

關(guān)鍵詞：局域網(wǎng)安全隱患防治策略

0 引言

隨著局域網(wǎng)的規(guī)模不斷擴大，局域網(wǎng)的建設(shè)已經(jīng)成為企事業(yè)單位以及政府機關(guān)信息化的重要組成部分，然而，局域網(wǎng)存在的安全隱患給信息化建設(shè)的進(jìn)一步推進(jìn)帶來了巨大的阻礙。因此，必須對于局域網(wǎng)存在的安全隱患提出科學(xué)有效的防治策略。

1 局域網(wǎng)存在的安全隱患

目前，一些局域網(wǎng)內(nèi)部的計算機和互聯(lián)網(wǎng)相連，卻并未安裝相應(yīng)的比較高級的殺毒軟件及防火墻，一些計算機系統(tǒng)或多或少都存在著各種的漏洞。局域網(wǎng)面臨著黑客攻擊、目錄共享導(dǎo)致信息的外泄、計算機操作人員的安全意識不足等安全隱患。

2 針對于局域網(wǎng)存在的安全隱患的防治策略

2.1 對局域網(wǎng)內(nèi)部重要數(shù)據(jù)進(jìn)行備份，做好網(wǎng)絡(luò)安全協(xié)議的配置

局域網(wǎng)內(nèi)部存在著非常重要的信息，必須及時對這些信息進(jìn)行完整的備份，以便在出現(xiàn)問題的時候及時恢復(fù)。備份一方面包括對局域網(wǎng)內(nèi)部的重要數(shù)據(jù)的備份，另一方面，也包括對于核心設(shè)備和線路的備份。對于局域網(wǎng)內(nèi)部的網(wǎng)頁服務(wù)器，一定要安裝網(wǎng)頁防篡改系統(tǒng)，從而避免網(wǎng)頁被惡意篡改。對于局域網(wǎng)中的核心設(shè)備的系統(tǒng)配置必須進(jìn)行定期和不定期的檢查和備份，從而在設(shè)備發(fā)生問題的時候，可以進(jìn)行緊急恢復(fù)。對于局域網(wǎng)內(nèi)部的核心線路，應(yīng)該保持完備和做出適當(dāng)?shù)膫浞?，從而在一些線路發(fā)生問題的時候，可以及時采用備份線路來維持整個局域網(wǎng)的正常工作。

TCP作為兩臺計算機設(shè)備之間保證數(shù)據(jù)順序傳輸?shù)膮f(xié)議，是面向連接的，它需要在連接雙方都同意的情況下才能進(jìn)行通信。任何兩臺設(shè)備之間欲建立TCP連接都需要一個雙方確認(rèn)的起始過程，即“三次握手”。

2.2 建立局域網(wǎng)統(tǒng)一防病毒系統(tǒng)

傳統(tǒng)的單機防病毒形式已經(jīng)不能滿足局域網(wǎng)安全的需要，必須建立局域網(wǎng)統(tǒng)一防病毒系統(tǒng)，利用全方位的防病毒產(chǎn)品，對于局域網(wǎng)內(nèi)部各個可能的病毒攻擊點都進(jìn)行對應(yīng)的防病毒軟件的安裝，來實現(xiàn)全方位、多層次的病毒防治功能。與此同時，實現(xiàn)局域網(wǎng)統(tǒng)一防病毒系統(tǒng)的定期自動升級，更好的避免病毒的攻擊。

具體來說，局域網(wǎng)統(tǒng)一防病毒系統(tǒng)應(yīng)該包括防病毒服務(wù)器和客戶端這兩個模塊。防病毒服務(wù)器是整個系統(tǒng)的控制中心，負(fù)責(zé)全面防治病毒。通過客戶端安裝或者網(wǎng)絡(luò)分發(fā)的方式，可以在所有的工作站上分別安裝客戶端軟件，同時設(shè)置所有的工作站都必須接受服務(wù)器的統(tǒng)一管理和部署。局域網(wǎng)管理員僅僅通過控制臺軟件，就可以實現(xiàn)統(tǒng)一清除和防治局域網(wǎng)內(nèi)部的所有計算機存在的病毒的目標(biāo)，使整個局域網(wǎng)內(nèi)部病毒的爆發(fā)和蔓延得到有效的控制。一旦出現(xiàn)新病毒庫，那么，僅僅更新防病毒服務(wù)器上的病毒庫就可以了，客戶端能夠自動在防病毒服務(wù)器上下載并更新病毒庫。局域網(wǎng)統(tǒng)一防病毒系統(tǒng)的病毒庫能夠?qū)崿F(xiàn)及時方便的更新，也可以實現(xiàn)統(tǒng)一徹底的病毒防殺，同時具備操作簡單快捷的特點，因此，是非常有利于局域網(wǎng)的病毒防治的。360安全衛(wèi)士就是一個很好的局域網(wǎng)防病毒軟件。

2.3 合理安裝配置防火墻

防火墻是一種非?？茖W(xué)有效且應(yīng)用廣泛的保證局域網(wǎng)安全的軟件，有利于避免計算機互聯(lián)網(wǎng)上的不安全因素擴散到局域網(wǎng)內(nèi)部。通過合理安裝配置防火墻，可以在利用局域網(wǎng)進(jìn)行通訊的時候執(zhí)行一種訪問控制列表，允許合法的人和數(shù)據(jù)來訪問局域網(wǎng)，并且拒絕非法的用戶和數(shù)據(jù)對于局域網(wǎng)的訪問，從而使黑客對于局域網(wǎng)的攻擊行為得到最大限度的阻止，避免黑客對于局域網(wǎng)上的重要信息的隨意更改、移動甚至刪除。為了切實做好局域網(wǎng)的安全工作，必須按照局域網(wǎng)的安裝需求，嚴(yán)格配置防火墻內(nèi)部的服務(wù)器和客戶端的各種規(guī)則，PIX是一款實現(xiàn)對于局域網(wǎng)防火墻的科學(xué)有效的方案。PIX是CISCO公司開發(fā)的防火墻系列設(shè)備，主要起到策略過濾，隔離內(nèi)外網(wǎng)，根據(jù)用戶實際需求設(shè)置DMZ（停火區(qū)）。

2.4 配備入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)

入侵檢測系統(tǒng)是防火墻的必要補充部分，能夠?qū)崿F(xiàn)更加全面的安全管理功能，有利于局域網(wǎng)更好的應(yīng)對黑客攻擊。入侵檢測系統(tǒng)可以將內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)進(jìn)行實時的捕獲，通過內(nèi)置的攻擊特征庫，利用模式匹配和智能分析的方法，對于局域網(wǎng)內(nèi)部可能出現(xiàn)的入侵行為和異?，F(xiàn)象進(jìn)行實時監(jiān)測，同時進(jìn)行記錄。另外，入侵檢測系統(tǒng)也能夠產(chǎn)生實時報警，從而有利于局域網(wǎng)管理員及時進(jìn)行處理和應(yīng)對。

另外，也要配備漏洞掃描系統(tǒng)。在計算機網(wǎng)絡(luò)飛速發(fā)展的形勢下，局域網(wǎng)中也會不可避免的產(chǎn)生各種各樣的安全漏洞或者“后門”程序。為了進(jìn)行有效的應(yīng)對，必須配備現(xiàn)代化的漏洞掃描系統(tǒng)來對局域網(wǎng)工作站、服務(wù)器等進(jìn)行定期以及不定期的安全檢查，同時提供非常具體的安全性分析數(shù)據(jù)，對于局域網(wǎng)內(nèi)部存在的各種安全漏洞都及時進(jìn)行修復(fù)。

Microsoft基準(zhǔn)安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微軟公司整個安全部署方案中的一種，可以從微軟公司的官方網(wǎng)站http://technet.microsoft.com/zh-cn/security/default.aspx下載。MBSA將掃描基于Windows的計算機，并檢查操作系統(tǒng)和已安裝的其他組件（如IIS和SQL Server）,以發(fā)現(xiàn)安全方面的配置錯誤，并及時通過推薦的安全更新進(jìn)行修補。

通過多種形式的安全產(chǎn)品的配備，可以有效防護、預(yù)警和監(jiān)控局域網(wǎng)存在的各種安全隱患，有效阻斷黑客的非法訪問以及不健康的信息，并且也能夠及時發(fā)現(xiàn)和處理局域網(wǎng)中存在的故障。

2.5 運用VLAN技術(shù)

VLAN 的英文全稱是Virtual Local Area Network，也就是虛擬局域網(wǎng)，它是一種實現(xiàn)虛擬工作組的先進(jìn)技術(shù)，能夠通過將局域網(wǎng)內(nèi)的設(shè)備對于整個局域網(wǎng)進(jìn)行邏輯分段，產(chǎn)生多個不同的網(wǎng)段。VLAN 技術(shù)的關(guān)鍵就是對局域網(wǎng)進(jìn)行分段，將整個局域網(wǎng)劃分為多個不同的VLAN，它可以按照各種各樣的應(yīng)用業(yè)務(wù)和對應(yīng)的安全級別，通過劃分VLAN來實現(xiàn)隔離，也能夠進(jìn)行相互間的訪問控制，對于限制非法用戶對于局域網(wǎng)的訪問起到非常巨大的作用。對于利用ATM或者以太交換方式的交換式局域網(wǎng)技術(shù)的局域網(wǎng)絡(luò)，能夠通過VLAN 技術(shù)的有效利用來切實加強對于內(nèi)部網(wǎng)絡(luò)的管理，從而更加有效的保障局域網(wǎng)安全。

2.6 運用訪問控制技術(shù)

通過訪問控制技術(shù)的運用，可以保證局域網(wǎng)內(nèi)部的數(shù)據(jù)不被非法使用或者非法訪問。一般來說，用戶的入網(wǎng)訪問控制主要包括用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳戶的缺省限制檢查等幾個方面。一旦用戶連接并且登陸局域網(wǎng)，局域網(wǎng)管理員就能夠自動授予該用戶適當(dāng)?shù)脑L問控制權(quán)限，用戶僅僅可以在它們自身的權(quán)限范圍內(nèi)進(jìn)行數(shù)據(jù)的增加、修改、刪除等操作。因此，通過這種方式，局域網(wǎng)內(nèi)部的數(shù)據(jù)只能夠被授權(quán)用戶進(jìn)行訪問。當(dāng)一個主體訪問一個客體時，必須符合各自的安全級別需求，應(yīng)遵守如下兩個原則：

①Read Down:主體安全級別必須高于被讀取對象的原則。

②Write up:主體安全級別必須低于被寫入對象的級別。

應(yīng)該注意的是，對于訪問控制權(quán)限的設(shè)定一定要嚴(yán)格按照最小權(quán)限原則，也就是說，用戶所擁有的權(quán)限不能超過他實現(xiàn)某個操作所必須的權(quán)限。只有明確用戶的操作，找出實現(xiàn)用戶操作的最小權(quán)限集，根據(jù)這個最小權(quán)限集，對用戶所擁有的權(quán)限進(jìn)行限制，才能實現(xiàn)最小權(quán)限原則。

2.7 建立良好的人才隊伍，提高計算機操作人員的安全意識

為了保證局域網(wǎng)的安全，建立良好的人才隊伍是非常重要的。通過具備較高的專業(yè)水平、較好的業(yè)務(wù)能力、較強的工作責(zé)任心的人才隊伍，可以做好局域網(wǎng)的合理規(guī)劃與建設(shè)，切實保證局域網(wǎng)日常的維護及管理工作，利用最為先進(jìn)的技術(shù)來防治局域網(wǎng)的各種安全隱患。

與此同時，也應(yīng)該提高計算機操作人員的安全意識?？梢约訌娪嘘P(guān)局域網(wǎng)安全的教育培訓(xùn)，建立健全科學(xué)合理的規(guī)章制度，切實提高所有人的安全意識。要求計算機操作人員必須規(guī)范操作各種局域網(wǎng)設(shè)備，合理設(shè)置設(shè)備以及軟件的密碼，特別是服務(wù)器密碼，必須是系統(tǒng)管理員才能掌握。

3 結(jié)束語

針對于局域網(wǎng)存在的安全隱患的防治工作不是一勞永逸的，而是一項復(fù)雜艱巨的系統(tǒng)工程。在進(jìn)行局域網(wǎng)的建設(shè)和管理過程中，一定要對于局域網(wǎng)中所存在的各種安全隱患進(jìn)行及時分析，采取最有效的措施來保證局域網(wǎng)的正常工作，為單位的信息化建設(shè)提供強有力的支撐力量。

參考文獻(xiàn)：

[1]洪超善.淺談局域網(wǎng)的信息安全與病毒防治策略[J].科學(xué)之友，2011，(04).

[2]閆雪萍，權(quán)琳.局域網(wǎng)安全隱患及其管理[J].廣播電視信息，2010，(01).

[3]羅弘.局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)中需要把握的三個技術(shù)環(huán)節(jié)[J]. 空中交通管理，2010，(08).

[4]華杰.局域網(wǎng)常見故障的解決方法及維護[J].軟件導(dǎo)刊，2009，(08).

[5]劉冰.關(guān)于局域網(wǎng)計算機的網(wǎng)絡(luò)維護[A].低碳經(jīng)濟與科學(xué)發(fā)展——吉林省第六屆科學(xué)技術(shù)學(xué)術(shù)年會論文集[C]，2010.

[6]劉天華，孫陽，朱宏峰.《網(wǎng)絡(luò)安全》科學(xué)出版社，2010.4.