淺談局域網(wǎng)安全策略

摘 要：隨著計算機網(wǎng)絡的不斷發(fā)展和普及，計算機網(wǎng)絡帶來了無窮的資源，但隨之而來的網(wǎng)絡安全問題也顯得尤為重要，為了確保信息的安全與暢通，加強網(wǎng)絡安全防護已迫在眉睫。從網(wǎng)絡安全的基本常識入手，初步探討了網(wǎng)絡安全防護方法和措施，并重點介紹了局域網(wǎng)安全防護的一些策略。

關鍵詞：網(wǎng)絡安全；局域網(wǎng)；病毒防治

中圖分類號：D92 文獻標志碼：A 文章編號：1673-291X（2012）04-0338-02

一、計算機網(wǎng)絡安全的含義

計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的認識和要求也就不同。作為企業(yè)網(wǎng)絡的使用和維護人員，深知網(wǎng)絡安全對企業(yè)日常工作的重要性，在保證網(wǎng)絡信息傳輸安全的基礎上，還要考慮遇到緊急情況如何處理，如怎樣應付網(wǎng)絡硬件損壞處理；怎樣恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連慣性。

1.什么是局域網(wǎng)。局域網(wǎng)（Local Area Network），簡稱LAN，是指在某已區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。局域網(wǎng)可以實現(xiàn)文件管理、應用軟件共享、打印機共享等工作組內(nèi)的日常安排、電子郵件和傳真通信服務等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千臺計算機組成。

2.局域網(wǎng)安全現(xiàn)狀。廣域網(wǎng)絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御，重要的安全設施大致集中于機房或網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減少。相反來自網(wǎng)絡內(nèi)部（局域網(wǎng)）的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶可以通過接入到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡，形成極大的安全隱患。目前，局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。

二、局域網(wǎng)安全威脅分析

由于通過交換機和服務器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時局域網(wǎng)采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類：

1.欺騙性的軟件使數(shù)據(jù)安全性降低。由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

2.服務器區(qū)域沒有進行獨立防護。局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

3.計算機病毒及惡意代碼的威脅。由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。

4.局域網(wǎng)用戶安全意識不強。許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。正是由于局域網(wǎng)內(nèi)應用上這些獨特的特點，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。

三、局域網(wǎng)防護策略

1.加強人員的網(wǎng)絡安全培訓。 安全是個過程，它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間相互關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)。同是加強網(wǎng)絡安全系統(tǒng)建設，進一步完善網(wǎng)絡安全的防護策略，以便更加有效的提高安全防護作用。（1）加強安全意識培訓，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。（2）加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。（3）加強網(wǎng)絡知識培訓，通過培訓掌握一定的網(wǎng)絡知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡基本知識，樹立良好的計算機使用習慣。

2.局域網(wǎng)安全控制策略。安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內(nèi)部的安全問題，才可以排除網(wǎng)絡中最大的安全隱患，對于內(nèi)部網(wǎng)絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關鍵所在。（1）利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用，是網(wǎng)絡安全防范和保護的主要策略。它為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。（2）采用防火墻技術。網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，它使內(nèi)部網(wǎng)絡與Internet之間或與其他外部網(wǎng)絡互相隔離，限制網(wǎng)絡互訪，用來保護局域網(wǎng)網(wǎng)絡資源免遭非法使用者的侵入，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡環(huán)境的特殊網(wǎng)絡互聯(lián)設備。（3）入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。

局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。不能僅依靠殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護，還要意識到計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng)，安全保護的對象是計算機，而安全保護的主體則是人，建立一個好的計算機網(wǎng)絡安全系統(tǒng)的同時，也應注重樹立人的計算機安全意識，才可能防微杜漸，生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

參考文獻：

[1] 王秀和，楊明.計算機網(wǎng)絡安全技術淺析[J].中國教育技術設備，2007，(5).

[2] 李輝.計算機網(wǎng)絡安全與對策[J].濰坊學院學報，2007，(3).[責任編輯 陳 鶴]