淺談作業區網絡安全控制與病毒防治策略

梁曉睿

（大慶油田第七采油廠敖包塔作業區，黑龍江 大慶 163000）

引言

隨著網絡版應用軟件推廣應用，計算機網絡在提高數據傳輸效率，實現數據集中、共享等方面發揮著越來越重要的作用，網絡與信息系統建設已逐步成為各項工作的重要基礎設施。因此計算機網絡和系統安全建設就變得尤為重要。

1 作業區局域網安全隱患現狀分析

隨著作業區網絡資源的發展，其開放性，共享性，互連程度擴大，這就給病毒傳播提供了有效的通道，數據信息的安全埋下了隱患。主要可以歸結為以下幾點：

1.1 開放的共享資源使數據安全性降低

由于作業區網絡資源一部分是資源共享，包括共享文件和FTP等，正是由于共享資源的“數據開放性”，導致數據信息容易被篡改和刪除，安全性較低，同時由于用戶缺乏備份等數據安全方面的意識和手段，因此會造成經常性的信息丟失等現象發生。

1.2 服務器區域沒有進行獨立防護

局域網內計算機的數據快速、便捷的傳遞，造成了病毒感染的直接性和快速性，如果局域網中服務器區域不進行獨立保護，其中一臺電腦感染病毒，并通過服務器進行信息傳遞，就會感染服務器，這樣局域網中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網內部的攻擊。

1.3 計算機病毒及惡意代碼的威脅

由于作業區大部分網絡用戶不能接入Internet，系統漏洞補丁不能自動下載、安裝，另外存在私自卸載防病毒軟件現象，并且使用的是固定IP地址,這就會給計算機病毒入侵提供可乘之機，更容易受到ARP等外部攻擊。

1.4 局域網用戶安全意識不強

許多用戶經常將沒經過安全檢查的外部數據通過移動存儲設備帶入局域網內部，同時將內部數據帶出局域網，這給木馬、蠕蟲等病毒的侵入提供了方便，同時增加了數據泄密的可能性。另外存在個別用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入局域網絡內部使用，造成病毒的傳入和信息泄漏。

1.5 IP地址沖突

同一個網段內的局域網中，個別計算機用戶擅改IP地址，造成IP地址沖突，無法正常上網。由于作業區計算機用戶眾多，所以查找工作困難。正是由于存在這些網絡安全隱患，易造成網內電腦相互感染，病毒快速傳遞，屢殺不盡；數據安全性低，數據易丟失。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。

2 作業區局域網安全控制與病毒防治策略

2.1 作業區局域網安全控制策略

目前作業區網絡管理難度最大的是客戶端安全部分，對網絡的安全運行威脅最大的也是客戶端的安全管理。只有解決網絡內部的安全問題，才能排除網絡中最大的安全隱患，對內部網絡終端安全管理主要有防御、監督和利用現有的安全管理軟件加強對局域網安全控制幾個手段。

2.1.1 屬性安全控制。當使用文件、目錄和網絡設備時，應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來，在權限安全的基礎上提供更進一步的安全性。對網絡上的資源訪問都應預先標出一組安全屬性的控制表，來表明用戶對網絡資源的訪問能力。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤操作等。

2.1.2 啟用密碼策略。強制計算機用戶設置符合安全要求的密碼，如機器密碼、共享文件密碼，并設置使用權限等，以增強文件安全性。

2.1.3 采用防火墻技術。通過安裝網絡防火墻，限制網絡互訪，可以有效地實現計算機對外界信息的過濾，實時監控網絡中的信息流，執行安全管制措施，記錄可疑事件，保護內部網絡資源免遭非法使用者的侵入。

2.1.4 關閉邊界網絡。嚴禁在礦區內部使用二級代理、VPN及撥號上網。控制通過代理接入互聯網的權限。

2.1.5 加強服務器管理。對作業區服務器的帳號、用戶權限、網絡訪問以及文件訪問等實行嚴格的控制和管理，定期做好監視、審計和事件日志記錄和分析。一方面減少各類違規訪問，另一方面，通過系統日志記下來的警告和報錯信息，很容易發現相關問題的癥結所在。并及時升級操作系統，減少系統漏洞，盡可能關閉不需要的端口，以彌補系統漏洞帶來的各類隱患。

2.1.6 屏蔽IP地址更改窗口。通過修改組策略或卸載動態庫文件，來屏蔽網絡連接窗口，限制IP地址更改，可以有效防止IP地址沖突而引起的網絡中斷。

2.2 作業區局域網病毒防治策略

2.2.1 網絡病毒、木馬預防

病毒和木馬的侵入必將對系統資源構成嚴重威脅，能在短時間內使整個網絡處于癱瘓狀態，造成巨大損失。因此，防止病毒的侵入是作業區局域網病毒防治的首要工作。通過嚴格控制傳染途徑來斬斷病毒源頭。主要從以下幾個方面制定有針對性的防病毒策略：

2.2.1.1 啟用Symantec殺毒軟件強制安裝策略，并確保病毒庫及時更新。同時開啟自動防護，定期全面掃描計算。

2.2.1.2 安裝360安全衛士和保險箱。開啟360安全衛士的防火墻，采用主動防御技術攔截木馬，定期查殺木馬及惡意插件。保險箱可以阻止盜號木馬對網游、聊天等程序的侵入，幫助用戶保護網游、聊天、網銀、炒股等帳號，防止由于帳號丟失導致的虛擬資產和真實資產受到損失。

2.2.1.3 提高防病毒意識。首先明確病毒的危害，減少共享文件夾的數量，一旦不需要共享應立即關閉，文件共享應盡量控制權限和設置密碼等，避免自由地訪問共享文件；網絡使用過程中提高警惕性；使用新設備和新軟件之前要檢查等，都可以很好地預防病毒在網絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。

2.2.1.4 補全重要漏洞。由網絡管理人員分發系統重要漏洞補丁，為局域網用戶提供操作系統升級服務。

2.2.1.5 小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。

網絡病毒、攻擊治理

2.2.2 盡管我們能采用多種方法防范病毒，但也不能保證網絡不再中毒，一旦發現網絡中有異常信息傳遞,將采取以下方案處理:

2.2.2.1 立即斷掉發出異常信息的計算機網絡連接；

2.2.2.2 采用專用軟件對異常信息進行分析；

2.2.2.3 是病毒的用病毒清殺工具清除病毒；

2.2.2.4 是惡意攻擊的,立即上報上級業務主管部門處理。

通過以上策略的設置，能夠及時發現網絡運行中存在的問題，快速有效的定位網絡中病毒、蠕蟲等安全威脅的切入點，并及時、準確的切斷源頭。

2.3 加強作業區人員的網絡安全培訓

網絡安全是個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。這個系統的具體操作是人，人也是網絡安全中最薄弱的環節，而這個環節的加固又是見效最快的。所以必須加強對網絡使用人員的安全培訓。增強他們的安全防范意識，掌握一定的網絡安全知識。

結語

作業區局域網安全控制與病毒防治是一項長期艱巨的任務，需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜，網絡安全已不再像單臺計算安全防護那樣簡單，需要建立多層次的、立體的防護體系，要具備完善的管理系統來設置和維護對安全的防護策略。

[1]鐘平.校園網安全防范技術研究[DB].CNKI系列數據庫,2007.

[2]李輝.計算機網絡安全與對策[J].濰坊學院學報,2007.