計算機局域網(wǎng)的安全與維護

摘 要：隨著計算機網(wǎng)絡(luò)技術(shù)及計算機技術(shù)的快速發(fā)展，計算機局域網(wǎng)安全已經(jīng)成為計算機技術(shù)中的熱門研究點，因此，計算機網(wǎng)絡(luò)安全研究及完善計算機網(wǎng)絡(luò)機制顯得格外重要。通過對計算機局域網(wǎng)當前存在的部分安全問題，提出了相關(guān)的防范措施及維護手段，并通過在學(xué)校架設(shè)計算機局域網(wǎng)，進一步的實踐了局域網(wǎng)安全策略。

關(guān)鍵詞：局域網(wǎng)；防范技術(shù)；網(wǎng)絡(luò)安全；入侵檢測

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2095-2163（2013）04-

Security and Maintenance of the computer LAN

LUO Jiyun

（Heilongjiang Television station ， Harbin 150001，China）

Abstract：As the rapid growth of the Computer Science and Computer Network Technology， the security of the Computer LAN has already become the aroused general interest.So，it’s very important to perfect the computer networking mechanism and research the security of the Computer .This article is considering the portion current Security issue of the Computer LAN，and come up with Precautions and Maintenance measures.In addition ，this article practices the tactics of the Computer LAN security according to Establish the Computer LAN in the campus.

Keywords：LAN；Prevention Technology；Network Security；Intrusion Detection.

0 引 言

隨著計算機技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)應(yīng)用已遍及各個領(lǐng)域，如企業(yè)網(wǎng)，校園網(wǎng)等。然而在計算機局域網(wǎng)的發(fā)展中，其安全性、可靠性、開放性等成為衡量此局域網(wǎng)性能品質(zhì)的關(guān)鍵因素。但局域網(wǎng)正是因為其開放性強的特點而容易遭受黑客、病毒、惡意軟件等的攻擊。有鑒于此，局域網(wǎng)作為傳輸內(nèi)部敏感數(shù)據(jù)的重要通道，其安全性、可靠性的研究及建設(shè)顯得尤為重要。

1計算機局域網(wǎng)的安全問題現(xiàn)狀

計算機局域網(wǎng)是一種能夠?qū)?shù)據(jù)庫、計算機、外部設(shè)備等在局部可控范圍內(nèi)連接起來的用于實現(xiàn)通信、傳輸?shù)鹊挠嬎銠C網(wǎng)絡(luò)。計算機局域網(wǎng)具備相對穩(wěn)定的拓撲結(jié)構(gòu)，結(jié)構(gòu)的類型主要包括：總線型結(jié)構(gòu)、樹型結(jié)構(gòu)、星型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)等。通常，局域網(wǎng)具有相對傳輸速度快、數(shù)據(jù)傳輸穩(wěn)定、拓撲簡單等特點。

現(xiàn)今大多數(shù)局域網(wǎng)中的計算機操作系統(tǒng)雖然均為微軟操作系統(tǒng)（如Windows 2007、Windows XP、Windows Vista等），但卻由于操作系統(tǒng)版本多樣化而為局域網(wǎng)的架設(shè)和數(shù)據(jù)傳輸制造了一定的安全隱患。正是由于這些隱患，在數(shù)據(jù)傳輸?shù)倪^程中，就可能導(dǎo)致系統(tǒng)被病毒入侵，使得辦公軟件（如Word，Excel）等陷入軟件崩潰，從而無法實施正常操作。同時，黑客只要在局域網(wǎng)中的任何一個節(jié)點實現(xiàn)連接并入侵，就可以通過局域網(wǎng)對其數(shù)據(jù)包在拆解后進行分析，由此而獲取想要的信息或?qū)嵭兄踩肽抉R和病毒等惡意攻擊行為的操作。如BETCAT、SATAN、ISS等的最初手段即針對局域網(wǎng)竊聽，且局域網(wǎng)的數(shù)據(jù)信息也較易拷貝至終端用戶。因此，現(xiàn)今的防范技術(shù)依然不夠安全，潛伏在四周的危機導(dǎo)致了可能隨時發(fā)生入侵，故計算機局域網(wǎng)安全與維護研究顯得尤為重要[1]。

2計算機局域網(wǎng)的安全問題研究[2-3]

目前，計算機局域網(wǎng)一般是由信息和實體兩部分組成，局域網(wǎng)中的數(shù)據(jù)信息外泄問題是威脅局域網(wǎng)安全的一個重大隱患。局域網(wǎng)信息泄露通常是指局域網(wǎng)中的信息被其他設(shè)備直接或間接地竊取、竊聽、盜用、復(fù)制和截獲，從而導(dǎo)致一些敏感數(shù)據(jù)的流失或者拷貝、甚或更改。盡管如今局域網(wǎng)經(jīng)常設(shè)有多層防線，但對于高級黑客來說，竊取到局域網(wǎng)的信息卻依舊很容易。計算機局域網(wǎng)常態(tài)存在的安全隱患及問題可分為以下幾方面：

（1） 攻擊防火墻的問題。目前國內(nèi)防火墻架設(shè)技術(shù)相對成熟，但一般架設(shè)防火墻多用于針對來自外網(wǎng)的入侵，而局域網(wǎng)中的攻擊，70%卻來自于局域網(wǎng)內(nèi)部攻擊。

（2） 服務(wù)器數(shù)據(jù)存儲問題。此問題主要體現(xiàn)在服務(wù)器的訪問權(quán)限設(shè)置方面，即一些未授權(quán)的用戶也能輕易竊取服務(wù)器中的數(shù)據(jù)信息，而使得局域網(wǎng)數(shù)據(jù)信息發(fā)生了外泄。

（3） 信息傳輸過程攻擊問題。通過物理或邏輯的手段截獲局域網(wǎng)傳輸路線上的信息，用于竊聽、盜取等，使得信息泄露。

（4） 身份認證出錯問題。非法用戶為進入系統(tǒng)而欺騙通信系統(tǒng)，從而使系統(tǒng)默認其合法性，或低權(quán)限用戶越界行使高級別用戶權(quán)限。

3計算機局域網(wǎng)安全維護[4]

3.1利用網(wǎng)絡(luò)系統(tǒng)操作的安全措施維護

現(xiàn)以網(wǎng)絡(luò)操作系統(tǒng)Netware為例，提出如下安全維護措施，用于解決不熟悉網(wǎng)絡(luò)的用戶留下的安全隱患，并提高系統(tǒng)安全等級。相應(yīng)措施為：

（1）入網(wǎng)訪問控制。訪問網(wǎng)絡(luò)的第一層控制為入網(wǎng)訪問控制。其主要作用是控制具有對應(yīng)權(quán)限的用戶在規(guī)定的操作時間內(nèi)訪問自己的工作站。即通過用戶口令、用戶名、賬號等多重訪問控制進行驗證。必須通過所有驗證才能允許用戶進入該網(wǎng)絡(luò)，若有任意一個驗證沒有通過，則該用戶即無法進入此網(wǎng)絡(luò)。

（2）控制權(quán)限。控制權(quán)限主要針對那些具有一定意圖的非法用戶進入網(wǎng)絡(luò)以實施非法操作的情況。要求對每名用戶均分配對應(yīng)的訪問權(quán)限，進而控制用戶只能訪問其自身享有權(quán)限下的相應(yīng)數(shù)據(jù)。同時還可以設(shè)置用戶是否能夠?qū)?shù)據(jù)進行享有權(quán)限內(nèi)的相應(yīng)操作。

（3）設(shè)置安全控制目錄級。網(wǎng)絡(luò)管理員設(shè)置用戶的訪問權(quán)限，同時設(shè)置其訪問、操作設(shè)備、目錄、文件的權(quán)限。用戶若在目錄級指定了相應(yīng)的訪問及操作權(quán)限，則此用戶對所有的該級目錄下的文件、數(shù)據(jù)和目錄均將有效。其中，目錄文件的訪問、操作權(quán)限可分為：修改權(quán)限、管理員權(quán)限、創(chuàng)建權(quán)限、存取權(quán)限、文件查詢權(quán)限、寫權(quán)限、刪除權(quán)限、讀寫權(quán)限。

（4）服務(wù)器安全控制。網(wǎng)絡(luò)服務(wù)器安全是指通過設(shè)置口令來鎖定服務(wù)器控制臺進入權(quán)限，用以防止非法用戶入侵，因其可能破壞或修改重要數(shù)據(jù)及信息。例如，可通過設(shè)置服務(wù)器登錄時間區(qū)間、使用時間間隔設(shè)置和非法訪問等實現(xiàn)。

3.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)技術(shù)[5]是用以及時發(fā)現(xiàn)并報告系統(tǒng)中存在的未經(jīng)授權(quán)用戶或者異常現(xiàn)象的檢測技術(shù)，主要用于檢測網(wǎng)絡(luò)中是否存在違反安全設(shè)置的行為及操作等現(xiàn)象。利用審計記錄可以檢測發(fā)現(xiàn)非正常網(wǎng)絡(luò)活動，并通過相應(yīng)的防范補救措施限制這些活動，由此而保護局域網(wǎng)絡(luò)的安全。對重要的系統(tǒng)服務(wù)器等，需要安裝基于主機的防入侵檢測系統(tǒng)，對該服務(wù)器主機網(wǎng)絡(luò)實時連接并記錄審計日志進行分析判斷，如該主機行為異常，則及時采取相應(yīng)的補救、維護措施。

3.3 數(shù)據(jù)冗余

如果沒有進行定時的數(shù)據(jù)備份，當系統(tǒng)因為、意外斷電、用戶的不可逆錯誤操作或者自然災(zāi)難等引發(fā)的對于數(shù)據(jù)的破壞，就可能造成比病毒和黑客攻擊要大上許多的損失，因此建立完善的局域網(wǎng)數(shù)據(jù)備份系統(tǒng)，并設(shè)立完整的備份策略，就是極為必要和重要的。如此即可避免因軟硬件故障或自然災(zāi)害等原因?qū)е碌南到y(tǒng)崩潰、數(shù)據(jù)流失等事故而可能遭受的巨大損失。

3.4防火墻技術(shù)

防火墻技術(shù)是用于外網(wǎng)與局域網(wǎng)連接的技術(shù)，可分為外部防火墻和內(nèi)部防火墻兩種。其中，外部防火墻是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)立的一道保護墻，使用限制和監(jiān)聽等方式掌控數(shù)據(jù)進出通道，預(yù)防敏感信息的泄露并抵御非法信息的入侵。而內(nèi)部防火墻是將一個大的內(nèi)部網(wǎng)劃分為多個小局域網(wǎng)，假如小局域網(wǎng)受到攻擊，則其他局域網(wǎng)將不會受到影響，可以進行正常運轉(zhuǎn)和工作，通過此方式有效地限制了外部入侵攻擊對整個內(nèi)部網(wǎng)絡(luò)的嚴重破壞，極大地降低了數(shù)據(jù)流失泄露而帶來的損失。

3.5計算機病毒防護

通過服務(wù)器病毒防護、客戶端病毒防護和網(wǎng)關(guān)病毒防護進行三重病毒查殺。其中，第一防線是網(wǎng)關(guān)防護，用于抵御外來病毒的入侵，阻止外網(wǎng)病毒侵害內(nèi)部系統(tǒng)，預(yù)防內(nèi)部系統(tǒng)的系統(tǒng)資源和網(wǎng)絡(luò)資源遭到破壞。例如，可以通過安裝類似于過濾王的設(shè)備濾掉非正常信息，其配置包括軟件光盤、網(wǎng)卡、讀卡器等，主要負責檢查、記錄及過濾相應(yīng)的信息。客戶端病毒防護和服務(wù)器病毒防護也可以通過使用殺毒軟件等手段獲得實現(xiàn)。

3.6使用加密技術(shù)

加密技術(shù)是通過網(wǎng)絡(luò)數(shù)據(jù)加密，從而保障其傳輸過程的安全性、可靠性的技術(shù)，主要用于局域網(wǎng)的數(shù)據(jù)應(yīng)用層和鏈路層。數(shù)據(jù)加密技術(shù)分為三種形式：不可逆加密技術(shù)、對稱加密技術(shù)、非對稱加密技術(shù)。技術(shù)實現(xiàn)過程是，將明文數(shù)據(jù)處理加密成密文數(shù)據(jù)，接收方必須對此加密數(shù)據(jù)實施解密，才能得到明文數(shù)據(jù)。該技術(shù)包括了密鑰生產(chǎn)及密鑰管理等技術(shù)，即在需要傳輸數(shù)據(jù)時自動或非自動產(chǎn)生并分配密鑰。當相對應(yīng)的明文數(shù)據(jù)收到密鑰時，用此密鑰加密相應(yīng)數(shù)據(jù)，使其變成密文數(shù)據(jù)，加密完成后傳輸密文數(shù)據(jù)給對應(yīng)接收端；接收端需根據(jù)已有的密鑰進行數(shù)據(jù)解密，如果對應(yīng)的明文信息內(nèi)容符合校驗信息內(nèi)容，則數(shù)據(jù)傳輸成功，否則即會通知發(fā)送方重新傳輸。

4結(jié)束語

本文采用內(nèi)、外部防火墻結(jié)合，身份認證，入侵檢測等技術(shù)手段闡述了如何解決計算機局域網(wǎng)中存在的信息泄露，防火墻遭受攻擊等安全隱患。通過上述技術(shù)手段的實施，達到了計算機局域網(wǎng)設(shè)定的安全要求。在網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展的今天，計算機局域網(wǎng)建設(shè)已相對普及，隨之而來的計算機局域網(wǎng)安全問題也日益突出，網(wǎng)絡(luò)安全隱患種類繁多、且機理各有不同，如何保障計算機網(wǎng)絡(luò)安全問題已愈顯重要和緊急。本文提到的技術(shù)手段可解決部分計算機網(wǎng)絡(luò)安全問題，但網(wǎng)絡(luò)安全問題及安全機制仍需不斷地改進與完善。

參考文獻：

[1]黃健. 計算機局域網(wǎng)安全與防范技術(shù)探究[J]. 中國高薪技術(shù)企業(yè)，2011（11）：69-71.

[2]王曉艷. 計算機機房的管理與維護[J].中國現(xiàn)代教育裝備，2007（11）：139-140.

[3]趙洪汶. 計算機局域網(wǎng)的維護[J]. 中國有線電視，2003，（5）：84-86.

[4]李利民，王紅艷. 計算機局域網(wǎng)建設(shè)與網(wǎng)絡(luò)安全[J]. 計算機光盤軟件與應(yīng)用，2012（23）：88-90.

[5]馬傳香，李慶華，王卉. 入侵檢測研究綜述[J]. 計算機工程，2005（3）：4-6+56

作者簡介：羅繼云（1962-），女，博士，黑龍江哈爾濱人，高級工程師，主要研究方向：廣播媒體、計算機應(yīng)用、計算機網(wǎng)絡(luò)系統(tǒng)。