淺談局域網的信息安全與病毒防治策略

洪超善

（廣西區腫瘤醫院放療中心，廣西 南寧 530000）

淺談局域網的信息安全與病毒防治策略

洪超善

（廣西區腫瘤醫院放療中心，廣西 南寧 530000）

針對局域網的信息安全，文章主要從局域網安全威脅分析、局域網安全控制與病毒防治策略這兩個方面進行闡述，以供參考。

網絡；局域網；信息安全；病毒防治

局域網（LAN）是指在小范圍內，將服務器、外部設備和數據庫等互相聯接起來組成的計算機通信網。由于通過交換機和服務器連接網內每一臺電腦，因此局域網內信息的傳輸速率比較高。但由于局域網采用的技術比較簡單，缺乏必要的安全管理措施，安全威脅較大，易造成局域網內的病毒快速傳遞，數據安全性低，網內電腦相互感染，病毒屢殺不盡，數據經常丟失，形成極大的安全隱患。在此，本文就局域網的信息安全與病毒防治策略進行探討，以供參考。

1 局域網安全威脅分析

1.1 欺騙性的軟件使數據安全性降低

由于局域網很大一部分作用是資源共享，而正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，數據安全性較低。同時，由于用戶缺乏數據備份等數據安全方面的知識和手段，因此會造成經常性的信息丟失等現象發生。

1.2 服務器區域沒有進行獨立防護

目前，很多局域網尚未獨立保護服務器區域，這樣其中一臺電腦感染病毒，就會極易感染服務器，那么在局域網內，只要通過服務器進行信息傳遞的電腦，都會被病毒感染，造成整個局域網癱瘓。

1.3 計算機病毒及惡意代碼的威脅

由于網絡用戶不及時安裝防病毒軟件和操作系統補丁，或未及時更新防病毒軟件的病毒庫，而造成計算機病毒的入侵，特別是當接入廣域網后，為外面病毒進入局域網內大開方便之門，并對自身的局域網造成干擾和破壞。另外，惡意代碼是指黑客們編寫的擾亂社會和人的，起著破壞作用的計算機程序。這些惡意破壞，會造成網絡部分或全部的癱瘓。據CNCERT檢測指出，2009年8月病毒、木馬等惡意代碼威脅程度相對較高，這些惡意代碼正是利用了用戶的弱點，通過已公布的系統和應用軟件漏洞來傳播病毒和惡意代碼等。

1.4 局域網用戶安全意識不強

許多用戶使用移動存儲設備來進行數據的傳遞，經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的進入提供了方便，同時也增加了數據泄密的可能性。同時，將筆記本電腦在內外網之間平凡切換使用，將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用，造成病毒的傳入和信息的泄密。另外，還有人認為，網絡安全問題與個人無關，只需要網絡管理員加強安全技術，網絡的安全威脅問題就不會出現。由于網絡安全意識的淡薄，導致網絡安全問題愈發嚴重。

1.5 IP地址沖突

局域網用戶在同一個網段內，經常IP地址沖突，造成部分計算機無法使用網絡。隨著網絡應用大力推廣，網絡客戶急劇膨脹，由于靜態IP地址分配，IP地址沖突帶來的麻煩相繼而來。IP地址沖突造成了很壞的影響，首先，網絡客戶不能正常工作，只要網絡上存在沖突的機器，只要電源打開，在客戶機上都會頻繁出現地址沖突的提示；如果網絡上某項應用的安全策略（諸如訪問權限，存取控制等）是基于IP地址進行的，這種非法的IP用戶會對應用系統的安全造成嚴重威脅。

1.6 網絡安全維護資金投入嚴重不足

很多網絡管理部門不想投入過多的資金進行網絡維護，也沒有指定正確的網絡維護費用量，導致費用年年萎縮，計算機信息系統未得到更新，信息數據易被人盜取。所以，大多網絡管理部門只能力爭，能否爭取到或者爭取多少運維費用存在很大變數，這造成計算機系統硬件設備的落后，網絡安全無法得到保障。

2 局域網安全控制與病毒防治策略

2.1 局域網安全控制策略

2.1.1 用桌面管理系統控制用戶入網

入網訪問控制是保證網絡資源不被非法使用，是網絡安全防范和保護的主要策略，它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限，網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據，提高系統安全性，對密碼不符合要求的計算機在多次警告后阻斷其連網。

2.1.2 配置防火墻

防火墻技術通常安裝在單獨的計算機上，與網絡的其余部分隔開，它使內部網絡與Internet之間或與其他外部網絡互相隔離，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度的保護內部網絡資源免遭非法使用者的侵入，防止局域網信息被隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，根據不同網絡的安裝需求，要做好防火墻內服務器及客戶端的各種規則配置，更加有效利用防火墻。

一般采用防火墻技術發現及封阻應用攻擊所采用的技術有以下幾種：①深度數據包處理。在尋找攻擊異常行為的同時，保持整個數據流的狀態；②IP/URL過濾。一旦應用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，一般URL過濾可以阻止通常的腳本類型的攻擊；③TCP/IP終止；④網絡進程跟蹤，以判斷進程訪問網絡的合法性，并進行有效攔截。

2.1.3 封存所有空閑的IP地址

采用無空閑IP地址策略，可有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。

2.1.4 網絡屬性安全控制

可保護重要的目錄和文件，可防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。

2.1.5 用殺毒軟件強制安裝策略

監測所有運行在局域網絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

2.2 網絡病毒的防治

病毒的侵入必將對系統資源構成威脅，影響系統的正常運行，特別是通過網絡傳播的計算機病毒，傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品，即需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的防病毒軟件，加強網上計算機的安全；如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。

一般網絡病毒的防治策略有以下幾種：①增加工作人員的安全意識和安全知識，使其能意識到病毒的危害，在文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，以很好地防止病毒在網絡中的傳播；②在使用移動存儲設備之前，先進行病毒的掃描和查殺，以把病毒拒絕在外；③挑選網絡版殺毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監測，使網絡免受病毒的侵襲，現在網絡版殺毒軟件比較多，如瑞星、江民、卡巴斯基等；④網絡管理員和終端操作員根據自己的權限設置，選擇不同的口令對應用程序數據進行控制，防止用戶越權訪問數據和使用網絡資源。只有加強網絡病毒的防治策略，才能及時發現網絡運行中存在的問題，快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點，及時、準確的切斷安全事件發生點和網絡。

2.3 加強人員的網絡安全培訓

人是網絡安全中最薄弱的環節，因此須加強對使用網絡的人員的管理，①加強安全意識培訓，讓每個工作人員明白數據信息安全的重要性，理解保證數據信息安全是所有計算機使用者共同的責任；②加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，如讓其能熟悉掌握如何備份數據，保證本地數據信息的安全可靠；③加強網絡知識培訓，通過培訓使其掌握一定的網絡知識，能夠掌握IP地址的配置、數據的共享等網絡基本知識，樹立良好的計算機使用習慣。

3 結束語

綜上所述，隨著網絡應用的發展，計算機病毒形式及傳播途徑日趨多樣化，致使局域網安全問題日益復雜化。但由于每個單位局域網有著自己不同的特點，這就要求局域網管理員應根據自己網絡的特點，建立適合于自己的、多層次的、立體的防護體系，使得局域網速度、安全得到更大的提高。

1 王華.淺談計算機網絡安全技術應用［J］.科技經濟市場，2010（9）

2 李星.淺談局域網的維護和安全［J］.中國電子商務，2010（9）

3 米強.局域網的安全控制與病毒防治策略［J］.教育教學論壇，2010（3）

Discusses Local Area Network’s Information Security and the Viral Prevention Strategy

Hong Chaoshan

In view of local area network’s information security article mainly from the local area network security threat analysis, the local area network safety control and viral prevention plan slightly these two aspects carries on the elaboration, supplies the reference.

network; local area network; information security; viral prevention

TP309.5

A

1000－8136（2011）06－0147－02