孫吉花 倪雪飛

【摘要】 局域網(wǎng)安全問(wèn)題越來(lái)越受關(guān)注。本文詳細(xì)分析了局域網(wǎng)面臨的各類安全風(fēng)險(xiǎn)，從物理安全、網(wǎng)絡(luò)訪問(wèn)控制和網(wǎng)絡(luò)安全管理三個(gè)層面研究網(wǎng)絡(luò)安全策略，從密碼加密、權(quán)限控制、安全軟件、安全檢測(cè)四方面研究局域網(wǎng)計(jì)算機(jī)的安全防護(hù)，由外而內(nèi)，層層防護(hù)，確保局域網(wǎng)設(shè)備和信息安全。對(duì)提升局域網(wǎng)安全性具有較高參考價(jià)值。

【關(guān)鍵詞】局域網(wǎng) ?安全風(fēng)險(xiǎn) ?安全策略

當(dāng)今時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人類社會(huì)必需品，我們?cè)谙硎芫W(wǎng)絡(luò)便利的同時(shí)，也面臨網(wǎng)絡(luò)安全的巨大威脅。尤其是涉及國(guó)家、軍隊(duì)、商業(yè)秘密的網(wǎng)絡(luò)，安全威脅更是致命的。本文分析了局域網(wǎng)面臨的安全風(fēng)險(xiǎn)，研究網(wǎng)絡(luò)安全防護(hù)的有效策略，對(duì)保護(hù)局域網(wǎng)安全提供參考。

局域網(wǎng)存在的安全隱患

計(jì)算機(jī)網(wǎng)絡(luò)主要面臨對(duì)網(wǎng)絡(luò)中信息和設(shè)備的兩大威脅。組建局域網(wǎng)時(shí)不得不考慮安全防護(hù)問(wèn)題。要保護(hù)局域網(wǎng)安全，首先得分析局域網(wǎng)存在哪些安全隱患。結(jié)合多年從事網(wǎng)絡(luò)安全工作的經(jīng)驗(yàn)，本文從以下幾個(gè)方面分析局域網(wǎng)安全風(fēng)險(xiǎn)。

1.自然災(zāi)害損壞設(shè)備。局域網(wǎng)包括很多網(wǎng)絡(luò)設(shè)備，易受自然災(zāi)害及環(huán)境的影響。

2.使用人安全意識(shí)不強(qiáng)。用戶口令設(shè)置簡(jiǎn)單或不管不慎、隨意使用U盤等移動(dòng)存儲(chǔ)介質(zhì)等，都給覬覦網(wǎng)絡(luò)信息的人可乘之機(jī)。

3.黑客惡意攻擊。黑客攻擊破壞網(wǎng)絡(luò)中信息的有效性和完整性，甚至使網(wǎng)絡(luò)癱瘓;截獲、竊取秘密信息。

4.軟件的漏洞和“后門”。軟件先天設(shè)計(jì)的缺陷產(chǎn)生漏洞，程序設(shè)計(jì)者故意留的“后門”，都為黑客攻擊網(wǎng)絡(luò)大開(kāi)方便之門。

5.計(jì)算機(jī)病毒。計(jì)算機(jī)感染病毒后，輕則系統(tǒng)工作效率下降，重則死機(jī)或毀壞。局域網(wǎng)計(jì)算機(jī)傳播擴(kuò)散的速度很快，整個(gè)網(wǎng)絡(luò)都會(huì)面臨嚴(yán)重危險(xiǎn)。更為嚴(yán)重的是，計(jì)算機(jī)病毒在局域網(wǎng)內(nèi)很容易“死灰復(fù)燃”，是局域網(wǎng)的“頑疾”。

6.網(wǎng)絡(luò)安全管理缺失。組建局域網(wǎng)的單位是否有嚴(yán)格的網(wǎng)絡(luò)管理制度和制度的落實(shí)力度也直接關(guān)系局域網(wǎng)安全，技術(shù)的“漏洞”容易彌補(bǔ)，管理“漏洞”不可預(yù)知不可控。

局域網(wǎng)安全防護(hù)策略

本章針對(duì)局域網(wǎng)安全風(fēng)險(xiǎn)，提出以下三類應(yīng)對(duì)策略，有效抵御風(fēng)險(xiǎn)。

網(wǎng)絡(luò)物理安全策略

網(wǎng)絡(luò)的物理安全策略主要是防止網(wǎng)絡(luò)中的服務(wù)器、交換機(jī)、路由器、防火墻、打印機(jī)、通信線路等設(shè)備受到自然災(zāi)害、人為破壞和惡意攻擊。設(shè)置合適的物理安全策略是保護(hù)局域網(wǎng)安全的首要環(huán)節(jié)。

具體措施包括：建設(shè)防盜搶的安全設(shè)施設(shè)備;嚴(yán)格按照安全規(guī)范建設(shè)機(jī)房;建設(shè)必要的電磁泄漏防護(hù)措施;實(shí)現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)物理隔離。

網(wǎng)絡(luò)訪問(wèn)控制策略

網(wǎng)絡(luò)訪問(wèn)控制的主要目的是為了保護(hù)局域網(wǎng)信息安全，避免信息的非法訪問(wèn)與惡意盜取。有效的訪問(wèn)控制策略通常包括以下幾種：

1.入網(wǎng)安全控制。

入網(wǎng)控制為局域網(wǎng)提供了第一層安全控制。包括WHO，WHEN，WHERE等控制要素，即誰(shuí)有資格登錄網(wǎng)絡(luò)服務(wù)器，何時(shí)能夠入網(wǎng)，那臺(tái)計(jì)算機(jī)可以入網(wǎng)。對(duì)WHO的控制分三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查。對(duì)WHEN的控制主要是針對(duì)不同用戶進(jìn)行訪問(wèn)時(shí)段和時(shí)長(zhǎng)的限制，服務(wù)器對(duì)某些用戶只提供定時(shí)訪問(wèn)，不在時(shí)間段內(nèi)的訪問(wèn)都會(huì)被拒絕。對(duì)WHERE的控制分為MAC地址、IP地址、MAC地址與IP地址綁定等限制方式。

2.訪問(wèn)安全控制。

合法用戶登錄網(wǎng)絡(luò)之后，也不能放任其隨意訪問(wèn)和操作網(wǎng)絡(luò)，否則對(duì)局域網(wǎng)的安全性仍有威脅。需對(duì)局域網(wǎng)進(jìn)行訪問(wèn)安全控制，每個(gè)用戶只能擁有適當(dāng)權(quán)限，訪問(wèn)有限數(shù)據(jù)，執(zhí)行有限操作。訪問(wèn)安全控制主要有權(quán)限控制、屬性控制、服務(wù)器控制臺(tái)控制等安全控制策略。

權(quán)限控制即控制不同用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)權(quán)限。系統(tǒng)管理員具有最高權(quán)限，可以創(chuàng)建目錄、文件，也具有對(duì)其進(jìn)行讀、寫、修改、刪除等操作的權(quán)限。系統(tǒng)管理員為普通用戶定制權(quán)限，控制用戶對(duì)服務(wù)器的訪問(wèn)和操作，滿足使用需求的同時(shí)最大限度防止資源被竊取。

屬性控制是指系統(tǒng)管理員在創(chuàng)建文件、目錄時(shí)，給文件、目錄設(shè)定訪問(wèn)屬性，包括修改文件、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱藏文件、共享文件等。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。屬性設(shè)置可以保護(hù)重要的目錄和文件，防止用戶誤刪除、讀寫、修改、顯示等。

服務(wù)器控制臺(tái)控制是指防止通過(guò)服務(wù)器控制臺(tái)對(duì)局域網(wǎng)實(shí)施破壞，要設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);要設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔;管理員離開(kāi)是要鎖定服務(wù)器控制臺(tái)，防止他人操作。

3.監(jiān)測(cè)安全控制。

局域網(wǎng)服務(wù)器的端口和節(jié)點(diǎn)要嚴(yán)格保護(hù)，防止非法訪問(wèn)和惡意入侵，同時(shí)應(yīng)具有網(wǎng)絡(luò)行為的監(jiān)測(cè)與非法行為報(bào)警功能。服務(wù)器端口使用自動(dòng)回呼設(shè)備防止假冒用戶登錄，使用靜默調(diào)制解調(diào)器防范黑客自動(dòng)撥號(hào)程序的攻擊，還要以加密形式識(shí)別節(jié)點(diǎn)的合法身份。安裝網(wǎng)絡(luò)監(jiān)測(cè)軟件，設(shè)置監(jiān)測(cè)的行為和報(bào)警的條件，并以圖表的形式分析數(shù)據(jù)流量和網(wǎng)絡(luò)行為。

網(wǎng)絡(luò)安全管理策略

網(wǎng)絡(luò)世界的攻防戰(zhàn)愈演愈烈，單純依靠技術(shù)來(lái)防范網(wǎng)絡(luò)攻擊很難，安全管理是一個(gè)低成本高效率的方法。包括以下方面：

1.網(wǎng)絡(luò)技術(shù)文檔管理：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、設(shè)備配置方案、IP地址和域名分配方案、系統(tǒng)操作規(guī)范、數(shù)據(jù)備份策略和安全應(yīng)急方案等文檔應(yīng)完備。

2.網(wǎng)絡(luò)設(shè)施管理：網(wǎng)絡(luò)機(jī)房嚴(yán)格控制、網(wǎng)絡(luò)安全設(shè)備定期檢測(cè)、電磁環(huán)境檢測(cè)、通信線路定期巡視與維護(hù)、終端計(jì)算機(jī)的使用規(guī)范和安全管理。

3.人員管理：;按照網(wǎng)絡(luò)管理員、安全員和普通用戶職責(zé)進(jìn)行分工，各司其職。

4.網(wǎng)絡(luò)維護(hù)制度：記錄網(wǎng)絡(luò)設(shè)備和安全系統(tǒng)日志;定期評(píng)估網(wǎng)絡(luò)安全性;定期掃描網(wǎng)絡(luò)漏洞并更新補(bǔ)丁;及時(shí)升級(jí)防病毒軟件。

局域網(wǎng)內(nèi)計(jì)算機(jī)安全策略

組成局域網(wǎng)的一個(gè)重要部分是計(jì)算機(jī)，對(duì)計(jì)算機(jī)進(jìn)行有效的安全設(shè)置是保障局域網(wǎng)安全的有效措施。對(duì)計(jì)算機(jī)的安全設(shè)置主要包括以下幾個(gè)方面：

密碼與加密

計(jì)算機(jī)應(yīng)設(shè)置密碼，不同用戶設(shè)置不同密碼，嚴(yán)格保護(hù)密碼。密碼安全性由高到低分別為系統(tǒng)啟動(dòng)密碼、用戶密碼、BIOS密碼。其中系統(tǒng)啟動(dòng)密碼在【開(kāi)始】【運(yùn)行】中輸入“SYSKEY”設(shè)置，用戶密碼在【控制面板】【用戶賬戶】中點(diǎn)擊該用戶設(shè)置，BIOS密碼在CMOS設(shè)置的“Advanced BIOS Features”里設(shè)置。

設(shè)置密碼是第一道防線，計(jì)算機(jī)內(nèi)重要信息需建立第二道防線，即加密。常見(jiàn)方法有4種：一是使用組策略工具把存放重要信息的硬盤分區(qū)設(shè)置為不可訪問(wèn);二是設(shè)置注冊(cè)表，在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer中新建一個(gè)DWORD值，命名為NoDriv并賦上相應(yīng)驅(qū)動(dòng)器的值，隱藏該驅(qū)動(dòng)器。三是使用WinRAR 數(shù)據(jù)加密，把想要隱藏的文件和文件夾【添加壓縮文件】，選擇【高級(jí)】【設(shè)置密碼】加密。四是使用專業(yè)的加密軟件，如：《文件夾加密超級(jí)大師》、《文件保護(hù)3000》、《超級(jí)秘密文件夾》等。

操作權(quán)限管理

按照權(quán)限最小原則為不同用戶分別配屬權(quán)限，合理使用系統(tǒng)資源。計(jì)算機(jī)默認(rèn)用戶組比較多，實(shí)際有Administrators和Users兩個(gè)用戶組就足夠了，建議刪除Guests組。關(guān)閉計(jì)算機(jī)用戶不使用的系統(tǒng)服務(wù)，特別是可以遠(yuǎn)程控制計(jì)算機(jī)的服務(wù)，如RemoteDesktop、RealVNC和NetBIOS等。

安全防護(hù)軟件

給計(jì)算機(jī)安裝一些安全防護(hù)軟件，也可提高計(jì)算機(jī)安全性。常見(jiàn)的有：

1.防病毒軟件。為局域網(wǎng)每臺(tái)計(jì)算機(jī)安裝殺毒軟件。

2.防火墻。安裝個(gè)人防火墻并正確設(shè)置它，指定可信程序連接網(wǎng)絡(luò)，阻止其它計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)址連接計(jì)算機(jī)。

3.保密管理程序。對(duì)保密要求較高的計(jì)算機(jī)安裝專業(yè)保密管理程序，監(jiān)測(cè)該計(jì)算機(jī)的所有行為，并對(duì)數(shù)據(jù)流出進(jìn)行限制。

定期安全檢測(cè)

定期對(duì)計(jì)算機(jī)做以下9方面的安全檢查可以讓用戶了解計(jì)算機(jī)存在哪些安全隱患。

1.上網(wǎng)記錄：檢查計(jì)算機(jī)訪問(wèn)過(guò)的網(wǎng)址和訪問(wèn)時(shí)間;

2.近期處理過(guò)的文件：檢查計(jì)算機(jī)近期處理過(guò)的文件;

3.操作系統(tǒng)和補(bǔ)丁信息：檢查計(jì)算機(jī)的操作系統(tǒng)信息和已安裝的補(bǔ)丁包信息;

4.系統(tǒng)用戶：檢查操作系統(tǒng)的用戶、用戶權(quán)限、用戶描述;

5.共享目錄：檢查操作系統(tǒng)共享的文件夾名稱和路徑;

6.開(kāi)放端口：檢查操作系統(tǒng)開(kāi)放的網(wǎng)絡(luò)端口情況，包括協(xié)議、地址、端口號(hào)、狀態(tài)等;

7.運(yùn)行進(jìn)程：檢查系統(tǒng)當(dāng)前運(yùn)行的進(jìn)程、進(jìn)程ID等;

8.系統(tǒng)服務(wù)：檢查系統(tǒng)的服務(wù)名稱，服務(wù)當(dāng)前的狀態(tài)等;

9.USB存儲(chǔ)設(shè)備：檢查系統(tǒng)使用過(guò)的所有USB存儲(chǔ)設(shè)備名稱、類型和硬件編號(hào)。

局域網(wǎng)安全是一個(gè)很有意義的研究方向，可以解決國(guó)家企事業(yè)單位、政府機(jī)構(gòu)、軍隊(duì)、公司企業(yè)等內(nèi)部信息需要保密的單位對(duì)局域網(wǎng)安全的擔(dān)憂。本文分析了局域網(wǎng)面臨哪些安全風(fēng)險(xiǎn)，從如何設(shè)置網(wǎng)絡(luò)安全策略和局域網(wǎng)計(jì)算機(jī)安全防護(hù)兩個(gè)方面研究局域網(wǎng)安全策略，對(duì)保護(hù)局域網(wǎng)安全提供參考。但是網(wǎng)絡(luò)技術(shù)飛速發(fā)展，黑客攻擊手段層出不窮，要筑牢局域網(wǎng)的安全防線，網(wǎng)絡(luò)安全技術(shù)的發(fā)展也要與時(shí)俱進(jìn)。未來(lái)發(fā)展還有很多新變化，網(wǎng)絡(luò)安全的前路還很漫長(zhǎng)。

【參考文獻(xiàn)】

[1]Yan Ye. Text Image Compression Based on Pattern Matching[D]. University of California，2002

[2]Kia Omid E， Doermann David S， Rosenfeld Azriel， et al. Symbolic Compression and Processing of Document Images[J]. Computer Vision and Image Understanding， 1998，70（3）：335-349