楊海波

（河南省電力勘測設(shè)計(jì)院，河南 鄭州 450000）

1 局域網(wǎng)安全形勢分析

隨著社會經(jīng)濟(jì)的飛速發(fā)展，人們對生活質(zhì)量的要求也越來越高。互聯(lián)網(wǎng)的迅速普及，使廣域網(wǎng)應(yīng)用和局域網(wǎng)應(yīng)用成為企事業(yè)發(fā)展中不可缺少的一部分。然而，在感受網(wǎng)絡(luò)所帶來的便利的同時(shí)，也面臨著各種各樣的進(jìn)攻和威脅：機(jī)密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用、身份冒用、非法入侵等等。目前在廣域網(wǎng)中已有了相對完善的安全防御體系，防火墻、防毒墻、IDS等重要的安全設(shè)施大致集中在機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。但在局域網(wǎng)中，雖然有些企業(yè)也建立了相應(yīng)的局域網(wǎng)絡(luò)安全系統(tǒng)，并制定了相應(yīng)的網(wǎng)絡(luò)安全使用制度，但在實(shí)際使用中，并未起到較好的效果。由于用戶對操作系統(tǒng)安全使用策略的配置及各種技術(shù)選項(xiàng)意義不明確，各種安全工具得不到正確的使用，導(dǎo)致系統(tǒng)漏洞、違規(guī)軟件、病毒、惡意代碼入侵等現(xiàn)象層出不窮。針對來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端缺乏必要和有效的安全管理措施，導(dǎo)致未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。目前局域網(wǎng)的安全隱患正是來自網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用和管理過程的疏漏則增加了安全問題的嚴(yán)重程度，局域網(wǎng)安全形勢十分嚴(yán)峻，不可忽視。

2 局域網(wǎng)安全隱患分析

由于局域網(wǎng)的結(jié)構(gòu)和采用的技術(shù)比較簡單，僅包括少數(shù)網(wǎng)絡(luò)設(shè)備，安全措施相對較少，這給病毒傳播提供了有效的通道，為數(shù)據(jù)信息的安全埋下了隱患。通常局域網(wǎng)的安全威脅有以下幾類：

2.1 漏洞和黑客攻擊

由于局域網(wǎng)的主要功能就是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致系統(tǒng)存在很多漏洞，黑客就是利用了這些系統(tǒng)漏洞對系統(tǒng)進(jìn)行攻擊，對數(shù)據(jù)信息進(jìn)行篡改和刪除。最常用的手段就是冒充一些真正的網(wǎng)站來騙取用戶的敏感數(shù)據(jù)，如用戶名、口令、賬號ID或信用卡詳細(xì)信息等。由于用戶缺乏數(shù)據(jù)備份和系統(tǒng)管理等方面的安全意識和安全手段，因此經(jīng)常會造成數(shù)據(jù)丟失、信息泄漏等問題。

2.2 病毒威脅

由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫而造成計(jì)算機(jī)病毒的入侵。病毒和惡意代碼攻擊電腦后，輕則使系統(tǒng)工作效率下降，重則造成系統(tǒng)死機(jī)或癱瘓，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)硬件設(shè)備的損壞，嚴(yán)重影響正常工作。

2.3 用戶安全意識不強(qiáng)

許多用戶使用移動存儲設(shè)備來進(jìn)行數(shù)據(jù)傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查就通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便，同時(shí)也增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間頻繁切換使用，許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和機(jī)密信息的泄露。

3 局域網(wǎng)安全控制分析

3.1 人員網(wǎng)絡(luò)安全培訓(xùn)

網(wǎng)絡(luò)安全是個(gè)系統(tǒng)，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人員、協(xié)議等諸多元素的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三個(gè)層面。要確保信息安全工作的順利進(jìn)行，必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上。而進(jìn)行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個(gè)環(huán)節(jié)的加固又是見效最快的。所以必須加強(qiáng)對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實(shí)現(xiàn)方法，從而加強(qiáng)工作人員的安全培訓(xùn)，增強(qiáng)內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)。對于局域網(wǎng)內(nèi)部人員可以從以下幾方面進(jìn)行培訓(xùn)：

3.1.1 加強(qiáng)安全意識培訓(xùn)，讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。

3.1.2 加強(qiáng)安全知識培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識，至少能夠掌握如何備份本地?cái)?shù)據(jù)，保證本地?cái)?shù)據(jù)信息的安全可靠。

3.1.3 加強(qiáng)網(wǎng)絡(luò)知識培訓(xùn)，通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計(jì)算機(jī)使用習(xí)慣。

3.2 局域網(wǎng)安全技術(shù)和防控措施

網(wǎng)絡(luò)安全管理是指保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作最重要的部分是客戶端安全，對網(wǎng)絡(luò)安全運(yùn)行威脅最大的也是客戶端安全。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強(qiáng)對以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全問題的關(guān)鍵所在。

3.2.1 控制用戶訪問。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時(shí)間和在哪臺工作站入網(wǎng)。用戶被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶可以訪問的目錄、文件和其他資源，指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改。設(shè)定服務(wù)器登錄時(shí)間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。

3.2.2 采用防火墻技術(shù)。防火墻可以是硬件也可以是軟件，與網(wǎng)絡(luò)的其余部分隔開，使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或是其他外部網(wǎng)絡(luò)之間相互隔離，用來保護(hù)內(nèi)網(wǎng)資源免遭非法使用者的侵入。它能夠執(zhí)行安全管制措施，記錄所有可疑事件。在防火墻上可以通過設(shè)置訪問控制列表來限制網(wǎng)絡(luò)互訪，它實(shí)際上是一個(gè)在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。

3.2.3 嚴(yán)控IP地址的使用。在網(wǎng)絡(luò)中啟動IP地址綁定，采用IP地址與MCA地址唯一對應(yīng)、網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。

3.2.4 加強(qiáng)數(shù)據(jù)保護(hù)。對重要數(shù)據(jù)和文件采取必要的權(quán)限設(shè)置，防止用戶對目錄和文件的誤刪除和修改，防止用戶查看目錄和文件、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。

3.3 病毒防治

病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運(yùn)行。特別是通過網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點(diǎn)是控制病毒的傳染，防毒的關(guān)鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個(gè)方面。制定有針對性的防病毒策略：

3.3.1 增加安全意識和安全知識，對工作人員定期培訓(xùn)。首先明確病毒的危害，文件共享的時(shí)候盡量控制權(quán)限和增加密碼，對來歷不明的文件運(yùn)行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對杜絕病毒能夠起到很重要的作用。

3.3.2 謹(jǐn)慎使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進(jìn)行必要的病毒掃描和查殺，盡可能的避免病毒的入侵，堅(jiān)決把病毒拒絕在外。

3.3.3 挑選網(wǎng)絡(luò)版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件是否有效的三大要素。目前很多殺毒軟件都做得相當(dāng)不錯(cuò)，能夠熟練掌握殺毒軟件使用，及時(shí)升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關(guān)鍵。

結(jié)語

通過以上策略的設(shè)置，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問題，快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點(diǎn)，及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。

局域網(wǎng)安全控制與病毒防治是一項(xiàng)長期而艱巨的任務(wù)，需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，計(jì)算機(jī)病毒的存在形式及傳播途徑日趨多樣化，安全問題日益復(fù)雜化，網(wǎng)絡(luò)安全建設(shè)已不再像單臺計(jì)算機(jī)防護(hù)那樣簡單。計(jì)算機(jī)網(wǎng)絡(luò)安全需要建立多層次的、立體的防護(hù)體系，要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對安全的防護(hù)策略。

[1]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：人民郵電出版社，2004.

[2]王秀和，楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國教育技術(shù)設(shè)備，2007，（5）.

[3]李輝.計(jì)算機(jī)網(wǎng)絡(luò)安全與對策[J].濰坊學(xué)院學(xué)報(bào)，2007，（3）.