局域網網絡信息安全和防護策略研究

趙志鵬

摘 要隨著計算機網絡技術的發展，網絡攻擊形式日趨復雜和多樣化。局域網作為當前中小企業的主要聯網方式，其網絡信息安全和防護仍然是一項長期而艱巨的任務。通過對局域網安全的分析和研究，探討了在局域網環境下網絡信息安全防護技術和手段的構建。

【關鍵詞】局域網 網絡安全 網絡防護

隨著計算機信息技術的發展，網絡已成為人們工作中不可缺少的工具。雖然IPv6技術和標準已經相對成熟，但是IPv4仍然是當前互聯網的主要協議，IP地址資源緊缺使大多數企業單位仍然使用局域網的方式，通過NAT技術訪問互聯網。因此，局域網網絡信息安全和系統安全建設就顯得尤為重要。

1 局域網網絡信息安全存在的問題

1.1 安全防護架構

完整的網絡安全防護架構主要有由硬件、防火墻、漏洞掃描、網絡防病毒系統等技術構筑一道安全屏障，并通過把不同的產品集成在同一個安全管理平臺上，實現網絡安全的統一、集中的管理。然而，目前大多數的局域網僅僅安裝防火墻，造成網絡安全架構不完善，加上局域網采用的技術比較簡單，使局域網的很容易被攻擊和盜取信息。

1.2 系統漏洞

局域網系統漏洞主要包括網絡設備硬件漏洞和用戶計算機系統漏洞。完整的網絡設備、計算機系統是由硬件和軟件組成，網絡硬件漏洞就是在網絡設備硬件、軟件和協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。比如路由器系統存在BUG，訪問控制規則設置存在錯誤等等。用戶計算機系統漏洞是指用戶沒有及時的對系統漏洞進行更新，這些漏洞極易被黑客利用進行攻擊，給局域網的信息安全帶來巨大的隱患。

1.3 人為因素

人為因素也是影響局域網信息安全的重要方面。由于個別用戶安全意識不強，使用U盤等移動存儲設備來進行數據的傳遞。這些外部數據沒有經過必要的安全檢查被帶入內部局域網，使木馬、蠕蟲等病毒的非常容易地進入到內部網絡。另外，許多用戶將未經許可的設備擅自接入內部局域網絡使用，也會造成病毒的傳入和信息的泄密。比如，私自將個人無線路由接入到網絡中，由于個人無線路由安全性比較低，黑客只要在路由器信號范圍內就可以對局域網的數據進行盜取和攻擊。此外，由于個人原因將局域網密碼泄露、網線接入錯誤造成環網、ip地址沖突等問題都嚴重影響了局域網的信息安全。

1.4 病毒和惡意代碼

局域網的病毒來源主要通過以下幾種方式：

（1）黑客借助系統漏洞將病毒和惡意代碼上傳到局域網目的主機上；

（2）由于人為因素，通過U盤等移動設備將病毒傳入局域網；

（3）訪問互聯網，從網站下載的軟件帶有病毒。一旦病毒進入到局域網，便對局域網信息數據進行盜取和破壞，比如ARP病毒能夠進行路由欺騙和網關欺騙，不但影響局域網網絡速度，而且對用戶的私密信息威脅很大。

2 安全防護策略與措施

2.1 技術防護措施

2.1.1 加密技術

對重要數據進行加密是網絡傳輸的常用的技術。在數據傳輸前對數據進行加密，綜合數字簽名、身份認證和動態驗證等多種加密技術，杜絕數據在網絡上以明文的方式傳輸，防止用戶數據在傳輸過程中被截獲，增加破解難度。建立復雜密碼機制，并定期進行更換。

2.1.2 防火墻技術

防火墻是內部網絡與外部網絡之間的網絡安全系統，提供邊界安全防護和訪問權限控制。它使內部網絡與Internet 之間或與其他外部網絡互相隔離，防范外部網絡對內部網絡的的攻擊和非法訪問。通過配置安全策略規則，實現對經過防火墻訪問內部網絡數據流的審計和控制，是保障網絡安全的核心技術。

網絡防病毒系統是網絡安全的另一形式的防火墻。在網絡中安裝網關殺毒設備，對網絡數據進行病毒檢測和掃描，確保病毒在到達用戶計算機前被清除；配置全網殺毒策略，同步更新每臺計算機的殺毒軟件，定期進行全網殺毒；對U盤、移動硬盤等移動存儲設備須經專業人員查殺后，方可進行文件的存儲和拷貝等操作，這些安全防護是網絡防病毒系統必不可少的防護措施。

2.1.3 入侵檢測和入侵防御技術

入侵檢測是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。防火墻是按照事先設定的規則判斷數據包的合法性，阻止非法的數據包進入，而入侵檢測系統則監控網絡、系統的入侵行為，通過該系統可以快速定位來自內部網絡和外部網絡的攻擊行為以及網絡的異常流量等等。

入侵防御系統是位于防火墻和網絡設備之間，對網絡中的數據傳輸進行檢測，對可能發現各種攻擊企圖、攻擊行為進行防御，以保證網絡資源的安全。

2.1.4 構建安全防護架構

在完整的硬件防護系統下，搭建集中安全管理平臺，設立用戶、服務器等多區域安全防護機制，建立分級安全防護架構和管理機制。通過搭建文件備份服務器，對重要數據定期備份；設立網絡的重要節點、鏈路設立備份機制，減少故障對網絡信息安全的影響；配置網絡漏洞掃描系統，及時發現網絡安全漏洞、客戶機或者服務器的安全漏洞并及時進行修補等方式，構建全面、安全的局域網網絡防護體系。

2.2 管理制度防護措施

保障信息安全要從多方面角度來實現。除了安全技術的應用，管理制度的完善和管理人員的組織配合是構成完整的信息安全防護體系的重要內容。管理工作是作為網絡安全的重要組成部分，要確保信息安全工作的順利進行，必須由管理人員把每個環節落實到具體的網絡中，而人的不確定性使之成為網絡安全中最薄弱環節。因此，必須用制度來規范人的行為，通過建立完善的安全管理制度達到網絡信息安全的根本目標。具體是要根據企業單位信息系統安全管理需求，建立科學的人員管理、設備管理、災難管理、應急響應、用戶安全服務等管理制度，并與安全技術緊密結合，形成一套可靠、完備局域網信息系統安全管理保障體系。

3 結束語

隨著計算機網絡技術的發展，網絡攻擊形式日趨復雜和多樣化，局域網網絡信息安全和防護作為一項長期而艱巨的任務，需要不斷的探索和改進。合理地配置網絡安全規則，以安全防護技術為依托，充分發揮網絡安全防護設備的能效，建立多層次的、立體的網絡安全防護體系，才能確保整個局域網網絡系統信息安全。

參考文獻

[1]彭珺，高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程， 2011，39（1）：121-124.

[2]周萍.試論計算機網絡信息安全及防護對策[J].科技與企業，2014（13）：109.

作者單位

遼寧稅務高等專科學校 遼寧省大連市 116023