局域網(wǎng)安全管理及優(yōu)化

孟英杰，曲晶晶

（山東絲綢紡織職業(yè)學院，山東 淄博 255300）

互聯(lián)網(wǎng)絡體系中，遍布于各類公司、企業(yè)的局域網(wǎng)成為社會生產(chǎn)生活的重要組成部分。隨著信息化的不斷擴展，各類網(wǎng)絡版應用軟件推廣應用，計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率、實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉(zhuǎn)是基本前提，因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。

1 局域網(wǎng)安全現(xiàn)狀

廣域網(wǎng)絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御，重要的安全設施大致集中于機房或網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減小。相反，來自網(wǎng)絡內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就有可能通過局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡，形成極大的安全隱患。

2 局域網(wǎng)安全問題的形成原因

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。目前絕大多數(shù)的局域網(wǎng)通信使用TCP/IP協(xié)議，由于局域網(wǎng)中采用廣播方式，黑客通過對信息包的分析，廣播域傳遞的信息就會暴露在黑客面前。網(wǎng)絡的開放性和自由性產(chǎn)生私有信息和數(shù)據(jù)被破壞或侵犯的可能性。

2.1 TCP/IP的脆弱性

因特網(wǎng)的基石是TCP/IP協(xié)議，但不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多，并且由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。

2.2 網(wǎng)絡結(jié)構的不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當一臺主機與另一局域網(wǎng)的主機進行通信時，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就有可能劫持用戶的數(shù)據(jù)包。

2.3 易被竊聽

由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用一些工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。黑客通常借用系統(tǒng)漏洞非法侵入重要信息系統(tǒng)，竊聽、獲取、攻擊侵入網(wǎng)的有關敏感性重要信息，修改和破壞信息網(wǎng)絡的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家和個人造成重大政治影響和經(jīng)濟損失。

2.4 缺乏安全意識

雖然部分網(wǎng)絡中設置了許多安全保障，但人們普遍缺乏信息安全意識，從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外證，進行直接的PPP連接，從而失去了防火墻的保護。釣魚工具就是通過偽裝為一些知名機構，發(fā)送大量欺騙性垃圾郵件引誘收信人給出隱秘信息的一種攻擊方式。冒充大型門戶網(wǎng)站來騙取用戶信任，盜取他人財產(chǎn)。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因而經(jīng)常引起信息丟失等現(xiàn)象發(fā)生。

3 局域網(wǎng)安全保障

通常有效的無線局域網(wǎng)安全技術包括：物理地址（MAC）過濾：每個無線工作站網(wǎng)卡都由唯一的物理地址標示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位?？稍跓o線訪問點AP中手工維護一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。

3.1 分級多重防護的網(wǎng)絡結(jié)構調(diào)整

局域網(wǎng)網(wǎng)絡結(jié)構主要特點是混網(wǎng)，最大的優(yōu)點是成本低，在現(xiàn)有網(wǎng)絡結(jié)構基礎上，盡可能地降低網(wǎng)絡結(jié)構造成的安全風險。服務區(qū)標識符（SSID）匹配：無線工作站必需出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務區(qū)上網(wǎng)。因此，可以認為 SSID是一個簡單的口令，從而提供口令認證機制，實現(xiàn)一定的安全。非可信終端往往是病毒和蠕蟲重要的傳播途徑，對不可信終端的控制可以采取兩種措施進行網(wǎng)絡控制：一是禁止接入網(wǎng)絡；另一種是限制對網(wǎng)絡的訪問，如分配到客戶VLAN，只允許訪問有限的資源。

3.2 服務器區(qū)進行獨立防護，劃分安全級別

局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并通過服務器進行信息傳遞，就會感染服務器，這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。按照不同的分支機構的安全等級和網(wǎng)絡級別設定獨特的安全策略，便于網(wǎng)絡管理員進行管理。做好安全域劃分。安全域的劃分將保護劃分等級。合理的VLAN規(guī)劃，對安全域的劃分提供有力的支撐。應用環(huán)境安全包括操作系統(tǒng)安全、應用程序安全、數(shù)據(jù)安全等。

3.3 構建主機入侵防御系統(tǒng)（HIPS）

在安全局域網(wǎng) HIPS系統(tǒng)中，對需要宿主程序的和不需要宿主程序的兩類惡意軟件均可進行防范。HIPS系統(tǒng)會在創(chuàng)建進程前與白名單中的進程名和進程校驗進行比對，因此惡意進程即使想要偽裝成白名單中的進程，也會因為無法通過校驗和匹配而失敗。HIPS系統(tǒng)也能夠通過白名單的擴展信息判斷出該宿主程序違反了既定的安全行為規(guī)則，實現(xiàn)實時阻止惡意軟件訪問操作系統(tǒng)的關鍵文件和注冊表的關鍵區(qū)域，防止機密文件泄密和系統(tǒng)遭到毀滅性破壞。該安全局域網(wǎng)結(jié)構可以對終端的文件訪問、進程創(chuàng)建和注冊表讀寫等操作進行監(jiān)控，并通過事先建立的安全行為規(guī)則來判斷當前系統(tǒng)調(diào)用是否是入侵攻擊行為；該框架還可防范針對安全局域網(wǎng)特點的拒絕服務攻擊。實驗結(jié)果證明，該主機入侵防御系統(tǒng)框架能夠阻止惡意軟件運行，在合適的參數(shù)設置情況下，也能較為準確的阻止利用安全局域網(wǎng)機制進行的拒絕服務攻擊。

1 王秀和、楊明.計算機網(wǎng)絡安全技術淺析［J］.中國教育技術設備，2007（5）