局域網的安全管理

馮興川

[摘 要] 隨著中石油對信息化技術的重視及不斷投入，各個地區分公司的信息化水平得到了飛速發展。以吉林石化為例，每個生產廠均組建了自己的局域網，它將各個車間（部門）連接起來，實現了文件管理、打印機共享、電子郵件和即時通通信服務等功能。各個生產廠的局域網絡又與石化公司機關網絡互聯，更是方便了兩者之間的交流溝通和資源共享，提高了工作效率，降低了辦公成本。其次中石油投資建設的專業信息系統，如MES系統、ERP系統、網上報銷系統、薪酬管理系統等系統的數據采集、上傳也依賴于局域網。因此，局域網的安全平穩運行無疑就顯得十分重要。本人近些年來開始從事整個吉林石化公司的網絡運維工作，以下從信息安全管理的角度出發，首先對信息運維中的局域網安全隱患因素進行分析，然后提出相應有效的解決措施。

[關鍵詞] 信息化；局域網；信息系統；網絡運維；信息安全

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 026

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）06- 0042- 03

1 局域網概述

1.1 局域網的架構

局域網[1]（Local Area Network，LAN）是在一個局部的地理范圍內（如一個部門、工廠或地區分公司內）將各種計算機，外部設備和數據庫等互相聯接起來組成的計算機通信網，“局域”意即帶有局限性。局域網之間的信息傳輸主要是通過網絡拓撲結構來實現的。其拓撲結構分為：環形拓撲結構、樹形拓撲結構和星型拓撲結構等，它們之間可以互相組合，進而組成局域網運行的基礎構架。局域網的硬件主要包括：工作站、網絡服務器、路由器、網橋、網管、網絡傳輸中的線路。與此同時，根據拓撲結構和連接線路的不同，還需要集中器和集線器等特殊設備，以滿足特定應用要求的網絡軟件的正常運行。

1.2 局域網的數據傳輸

局域網數據傳輸多以數字信號和模擬信號的形式進行，但無論是哪種信號的形式進行傳輸，均需實實在在的物理線路為載體。一般而言，終端接入線路用雙絞線，主干線路多用多模或單模光纖。

2 局域網存在的安全隱患

根據局域網的架構及數據傳輸形式，我們以下將從物理安全和運行安全這兩個方面對局域網所存在的安全隱患進行討論。

2.1 物理安全隱患

局域網的物理安全指構成局域網的硬件設備的安全，包括各個鏈路的物理線路、線路之間的各層交換機及布置在核心機房的Web服務器、數據庫服務器等設備的安全。

局域網鏈路的物理線路在構建局域網時就基本固定，無論是干線鏈路還是支線線路，其存在的安全隱患就是人為有意或無意的破壞，造成線路的物理中斷。對于支線線路損壞影響是少數用戶的網絡中斷，若是干線線路則其影響范圍就更廣范。

局域網線路之間的各層交換機及布置在核心機房的Web服務器、數據庫服務器等設備當然也存在人為有意或無意破壞的安全隱患，甚至是整個設備被盜的潛在風險。但除此外其重點還在于這些設備的運行環境，比如運行環境的溫度、濕度及四季變化天氣對設備的影響。以吉林石化為例，X廠所布置的一臺匯聚交換機就因冬天暖氣管線爆裂而導致其整機浸泡在水中，進而影響了整個匯聚層以下用戶對網絡的正常使用。

以上提及的局域網物理硬件設備的安全隱患，雖然具有較大的偶然因素成分，但是當我們在討論局域網所存在的各個安全隱患因素時，也是不能將其忽視的。

2.2 運行安全隱患

局域網的運行安全隱患是指局域網的硬件設備（交換機、服務器等）供電系統安全隱患及局域網運行中遭到病毒和惡意代碼攻擊、非授權訪問或破壞數據庫完整性3方面的安全隱患，該3方面隱患在安全風險系數中占有較大的比重，是局域網安全隱患討論的重點。

2.2.1 供電系統安全隱患

局域網中的交換機、服務器平穩運行的基礎是供電系統的正常供電，因此局域網的運行安全隱患也與供電系統有關。對于局域網的供電系統而言，無非就是供電線路老化或者過載導致的電路火災隱患和意外停電等使整個局域網用戶不能訪問Web服務器及數據庫服務器。

2.2.2 病毒和惡意代碼攻擊、非授權訪問及破壞數據庫完整性等對局域網構成的安全隱患

2.2.2.1 病毒和惡意代碼攻擊

病毒和惡意代碼一直是計算機安全的主要威脅。計算機病毒通過網絡進行傳播，對網絡的可用性進行攻擊，損耗可用帶寬；破壞網絡管理的通信，通過攻擊網絡基礎設施的控制信息，從而干擾網絡中的信息流，造成網絡基礎設施不能正常使用。吉林石化研究院某部門就曾因一臺終端中毒，導致整個部門網絡中斷的事故發生。而惡意代碼主要利用本地主機上一些特殊的Native API 函數和內核系統函數，進行感染、傳播和隱藏，從而控制系統進程、文件、注冊表、系統服務和網絡服務等。雖然采用物理方法將公司局域網和互聯網隔離，可以降低從互聯網上感染病毒以及受到惡意代碼攻擊的幾率，但是采用物理方法的同時又會使用移動存儲介質，若感染病毒的移動存儲介質被頻繁使用，系統的安全隱患依然不容忽視。

2.2.2.2 非授權訪問

用戶分為合法用戶和非法用戶兩種，當兩者對網絡資源進行非授權訪問時，因占用大量的系統資源，容易導致網絡發生異常甚至癱瘓等危險，還極有可能留下泄密的安全隱患。所謂非授權訪問即未經允許，就使用網絡或計算機資源。如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限、越權訪問信息。非授權訪問主要有以下幾種形式：假冒合法用戶入侵系統、對合法賬戶進行身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。因此假如網絡資源被非授權訪問，則會造成信息被非法獲取的隱患。

2.2.2.3 破壞數據庫完整性

數據庫作為所有業務系統的數據處理和存儲的平臺，存儲了大量重要信息，因此極易受到非法者的攻擊。非法者利用各種工具監視、收集網絡中傳輸的信息，當他們截獲用戶賬號或者口令后即可隨意進出數據庫，對數據庫進行篡改、偽造，竊取。另外，若數據庫的個別用戶賬號戶權限過大，容易造成合法用戶的非授權訪問，如：訪問、修改其他合法用戶的信息等，從而造成數據庫信息紊亂，丟失等極其嚴重的后果。

3 局域網安全策略研究

通過以上對局域網安全隱患的分析，現進行安全隱患的策略研究，提出對應的防范及解決措施。

3.1 物理安全隱患的防范及解決措施

對于局域網物理線路的安全隱患來說，主要還是預防為主，做到定期檢查，對可能會被損壞的線路進行及時的環境整治，避免其遭到破壞。其次是對于主干鏈路，要有備份鏈路，這樣做的好處是在主干鏈路損壞中斷后，可以切換到備份鏈路，從而在盡可能短的時間里讓網路恢復正常，進而減輕網路中斷的影響。

局域網交換機、Web服務器、數據庫服務器等硬件設備的安全隱患，主要在于其運行環境。①要求其所處環境地點安全可靠，保證不會被人為破壞甚至是丟失，這就要求在局域網的管理上形成嚴格的規章制度，由專門的信息管理員負責監督執行。②設備所處自然環境，針對一年四季的氣候變化做好相應的安全隱患預防工作，比如局域網重要的服務器、核心交換機要有防雷設施。總的說來，對于局域網硬件設備安全隱患的解決措施重點還在于做好定期的檢查工作，針對檢查結果再進行問題整改或是提前預防隱患發生。

3.2 運行安全隱患的防范及解決措施

3.2.1 供電系統安全隱患的解決措施

解決局域網供電系統線路老化或過載的安全隱患主要還依賴于制定的局域網管理規章制度，做到定期檢查、發現問題、整改問題，進而避免隱患事故的發生。其次是對核心設備的供電系統提供UPS備用應急電源，以防止意外停電帶來的大規模網絡中斷。

3.2.2 病毒和惡意代碼攻擊、非授權訪問及破壞數據庫完整性等對局域網構成的安全隱患解決措施

根據病毒和惡意代碼攻擊、非授權訪問及破壞數據庫完整性等局域網安全隱患的各自特點，我們將采取病毒防護、授權管理以及數據庫管理這3方面對應措施來保障局域網的安全平穩運行。

3.2.2.1 局域網病毒和惡意代碼攻擊類安全隱患的解決措施

針對病毒[2]入侵一般采用病毒掃描的方法。病毒掃描就是在文件和引導文件記錄中使用病毒掃描程序來搜索病毒的工作。病毒掃描程序一般分為按需掃描型和內存駐留型兩種。

按需掃描型：按需掃描程序是在系統后臺運行的程序，通常在事后工作，往往造成系統先被感染病毒后才被發現。

內存駐留型：每個系統在系統初始化時都會啟動一個內存駐留掃描程序，以便在病毒留存本地文件之前或進入內存運行之前把它們清除。一般來說，反病毒程序都含有一個內存掃描組件，負責通過掃描內存來搜索存儲在內存中的文件和引導記錄病毒。內存掃描病毒主要是針對計算機感染了讀取隱藏病毒的情況。

針對網絡之前殘留的病毒以及移動存儲介質的使用導致用戶終端交叉感染惡意代碼等安全隱患，主要采用安裝網絡版查毒軟件，定期更新病毒庫，并設置定時且強制查殺病毒的策略以及開機對內存進行病毒掃描策略，降低病毒爆發的隱患。另外移動存儲介質采用集中管理的方式，確保每次使用完成后由專人進行病毒查殺，從而避免用戶終端之間的病毒交叉感染。

3.2.2.2 通過授權管理解決非授權訪問的安全隱患

授權管理主要采用防火墻和交換機來實現：

（1） 防火墻

防火墻設置[3]在不同網絡或網絡安全域之間的信息的唯一出入口處。通過監測、限制、更改通過防火墻的數據流，盡可能地對外屏蔽被保護的網絡內部信息、結構和運行情況等，從而實現對網絡的保護。雖然防火墻的主要作用用于禁止外部非法信息流入，但是為了避免內部員工的泄密事件，防火墻對內部信息的流向也同樣需要審核和限制。防火墻主要具有以下5大功能：①過濾進、出網絡的數據；②管理進、出網絡的訪問行為；③封堵某些禁止的業務；④記錄通過防火墻的信息內容和活動；⑤對網絡攻擊的檢測和告警。

根據防火墻的特性，在防火墻上，開放客戶端與服務器之間的訪問策略，根據雙向最小化原則，進行相應的設置。雙向最小化的原則即為滿足用戶的正常使用需求而開放相應的端口。

（2）交換機

在吉林石化這樣規模較大的企業局域網中，通常存在多個功能不同的網絡分支，如財務部、科技發展部及各個二級廠的生產業務等，為了企業的機密信息不發生外漏現象， 需要對不同部門用戶的訪問進行合理控制， 通過在交換機上劃分虛擬網絡（Virtual Local Area Network，VLAN）可以將整個網絡按部門劃分為幾個不同的廣播域，實現不同部門網絡隔離的訪問控制。這樣還可以防止影響一個網段的問題傳播到整個網絡。

3.2.2.3 數據庫安全隱患解決措施

數據庫作為應用系統的數據處理和存儲的重要平臺，為防止其遭受攻擊而破壞其數據庫完整性，需指定專人管理，及時更新數據庫補丁，對數據庫的默認設置進行更改，完善各種安全設置，對賬戶進行最小授權，定期備份數據庫確保數據的完整性。

4 結 語

隨著吉林石化信息化水平的不斷提高，各種專業生產系統和辦公信息系統也陸續建設起來，這些IT信息系統的平穩運行更是離不開局域網網絡，企業對網絡安全性的需求也會隨之日益增強。為此，我們作為企業網絡運維的信息人員，需要在不斷鞏固現有網絡安全的基礎上，進一步結合企業未來的發展，加強網絡安全措施，為企業提供一個安全、穩定的網絡環境。

主要參考文獻

[1]李全紅.局域網組建與維護[M].上海：上海科學普及出版社，2010.

[2]王建鋒，鐘瑋，楊威.計算機病毒分析與防范大全[M].第3版.北京：電子工業出版社，2011.

[3]閻慧.防火墻原理與技術[M].北京：機械工業出版社，2004.