局域網(wǎng)的安全管理

馮興川

[摘 要] 隨著中石油對信息化技術的重視及不斷投入，各個地區(qū)分公司的信息化水平得到了飛速發(fā)展。以吉林石化為例，每個生產廠均組建了自己的局域網(wǎng)，它將各個車間（部門）連接起來，實現(xiàn)了文件管理、打印機共享、電子郵件和即時通通信服務等功能。各個生產廠的局域網(wǎng)絡又與石化公司機關網(wǎng)絡互聯(lián)，更是方便了兩者之間的交流溝通和資源共享，提高了工作效率，降低了辦公成本。其次中石油投資建設的專業(yè)信息系統(tǒng)，如MES系統(tǒng)、ERP系統(tǒng)、網(wǎng)上報銷系統(tǒng)、薪酬管理系統(tǒng)等系統(tǒng)的數(shù)據(jù)采集、上傳也依賴于局域網(wǎng)。因此，局域網(wǎng)的安全平穩(wěn)運行無疑就顯得十分重要。本人近些年來開始從事整個吉林石化公司的網(wǎng)絡運維工作，以下從信息安全管理的角度出發(fā)，首先對信息運維中的局域網(wǎng)安全隱患因素進行分析，然后提出相應有效的解決措施。

[關鍵詞] 信息化；局域網(wǎng)；信息系統(tǒng)；網(wǎng)絡運維；信息安全

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 026

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）06- 0042- 03

1 局域網(wǎng)概述

1.1 局域網(wǎng)的架構

局域網(wǎng)[1]（Local Area Network，LAN）是在一個局部的地理范圍內（如一個部門、工廠或地區(qū)分公司內）將各種計算機，外部設備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)，“局域”意即帶有局限性。局域網(wǎng)之間的信息傳輸主要是通過網(wǎng)絡拓撲結構來實現(xiàn)的。其拓撲結構分為：環(huán)形拓撲結構、樹形拓撲結構和星型拓撲結構等，它們之間可以互相組合，進而組成局域網(wǎng)運行的基礎構架。局域網(wǎng)的硬件主要包括：工作站、網(wǎng)絡服務器、路由器、網(wǎng)橋、網(wǎng)管、網(wǎng)絡傳輸中的線路。與此同時，根據(jù)拓撲結構和連接線路的不同，還需要集中器和集線器等特殊設備，以滿足特定應用要求的網(wǎng)絡軟件的正常運行。

1.2 局域網(wǎng)的數(shù)據(jù)傳輸

局域網(wǎng)數(shù)據(jù)傳輸多以數(shù)字信號和模擬信號的形式進行，但無論是哪種信號的形式進行傳輸，均需實實在在的物理線路為載體。一般而言，終端接入線路用雙絞線，主干線路多用多?；騿文９饫w。

2 局域網(wǎng)存在的安全隱患

根據(jù)局域網(wǎng)的架構及數(shù)據(jù)傳輸形式，我們以下將從物理安全和運行安全這兩個方面對局域網(wǎng)所存在的安全隱患進行討論。

2.1 物理安全隱患

局域網(wǎng)的物理安全指構成局域網(wǎng)的硬件設備的安全，包括各個鏈路的物理線路、線路之間的各層交換機及布置在核心機房的Web服務器、數(shù)據(jù)庫服務器等設備的安全。

局域網(wǎng)鏈路的物理線路在構建局域網(wǎng)時就基本固定，無論是干線鏈路還是支線線路，其存在的安全隱患就是人為有意或無意的破壞，造成線路的物理中斷。對于支線線路損壞影響是少數(shù)用戶的網(wǎng)絡中斷，若是干線線路則其影響范圍就更廣范。

局域網(wǎng)線路之間的各層交換機及布置在核心機房的Web服務器、數(shù)據(jù)庫服務器等設備當然也存在人為有意或無意破壞的安全隱患，甚至是整個設備被盜的潛在風險。但除此外其重點還在于這些設備的運行環(huán)境，比如運行環(huán)境的溫度、濕度及四季變化天氣對設備的影響。以吉林石化為例，X廠所布置的一臺匯聚交換機就因冬天暖氣管線爆裂而導致其整機浸泡在水中，進而影響了整個匯聚層以下用戶對網(wǎng)絡的正常使用。

以上提及的局域網(wǎng)物理硬件設備的安全隱患，雖然具有較大的偶然因素成分，但是當我們在討論局域網(wǎng)所存在的各個安全隱患因素時，也是不能將其忽視的。

2.2 運行安全隱患

局域網(wǎng)的運行安全隱患是指局域網(wǎng)的硬件設備（交換機、服務器等）供電系統(tǒng)安全隱患及局域網(wǎng)運行中遭到病毒和惡意代碼攻擊、非授權訪問或破壞數(shù)據(jù)庫完整性3方面的安全隱患，該3方面隱患在安全風險系數(shù)中占有較大的比重，是局域網(wǎng)安全隱患討論的重點。

2.2.1 供電系統(tǒng)安全隱患

局域網(wǎng)中的交換機、服務器平穩(wěn)運行的基礎是供電系統(tǒng)的正常供電，因此局域網(wǎng)的運行安全隱患也與供電系統(tǒng)有關。對于局域網(wǎng)的供電系統(tǒng)而言，無非就是供電線路老化或者過載導致的電路火災隱患和意外停電等使整個局域網(wǎng)用戶不能訪問Web服務器及數(shù)據(jù)庫服務器。

2.2.2 病毒和惡意代碼攻擊、非授權訪問及破壞數(shù)據(jù)庫完整性等對局域網(wǎng)構成的安全隱患

2.2.2.1 病毒和惡意代碼攻擊

病毒和惡意代碼一直是計算機安全的主要威脅。計算機病毒通過網(wǎng)絡進行傳播，對網(wǎng)絡的可用性進行攻擊，損耗可用帶寬；破壞網(wǎng)絡管理的通信，通過攻擊網(wǎng)絡基礎設施的控制信息，從而干擾網(wǎng)絡中的信息流，造成網(wǎng)絡基礎設施不能正常使用。吉林石化研究院某部門就曾因一臺終端中毒，導致整個部門網(wǎng)絡中斷的事故發(fā)生。而惡意代碼主要利用本地主機上一些特殊的Native API 函數(shù)和內核系統(tǒng)函數(shù)，進行感染、傳播和隱藏，從而控制系統(tǒng)進程、文件、注冊表、系統(tǒng)服務和網(wǎng)絡服務等。雖然采用物理方法將公司局域網(wǎng)和互聯(lián)網(wǎng)隔離，可以降低從互聯(lián)網(wǎng)上感染病毒以及受到惡意代碼攻擊的幾率，但是采用物理方法的同時又會使用移動存儲介質，若感染病毒的移動存儲介質被頻繁使用，系統(tǒng)的安全隱患依然不容忽視。

2.2.2.2 非授權訪問

用戶分為合法用戶和非法用戶兩種，當兩者對網(wǎng)絡資源進行非授權訪問時，因占用大量的系統(tǒng)資源，容易導致網(wǎng)絡發(fā)生異常甚至癱瘓等危險，還極有可能留下泄密的安全隱患。所謂非授權訪問即未經允許，就使用網(wǎng)絡或計算機資源。如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設備及資源進行非正常使用，或擅自擴大權限、越權訪問信息。非授權訪問主要有以下幾種形式：假冒合法用戶入侵系統(tǒng)、對合法賬戶進行身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。因此假如網(wǎng)絡資源被非授權訪問，則會造成信息被非法獲取的隱患。

2.2.2.3 破壞數(shù)據(jù)庫完整性

數(shù)據(jù)庫作為所有業(yè)務系統(tǒng)的數(shù)據(jù)處理和存儲的平臺，存儲了大量重要信息，因此極易受到非法者的攻擊。非法者利用各種工具監(jiān)視、收集網(wǎng)絡中傳輸?shù)男畔ⅲ斔麄兘孬@用戶賬號或者口令后即可隨意進出數(shù)據(jù)庫，對數(shù)據(jù)庫進行篡改、偽造，竊取。另外，若數(shù)據(jù)庫的個別用戶賬號戶權限過大，容易造成合法用戶的非授權訪問，如：訪問、修改其他合法用戶的信息等，從而造成數(shù)據(jù)庫信息紊亂，丟失等極其嚴重的后果。

3 局域網(wǎng)安全策略研究

通過以上對局域網(wǎng)安全隱患的分析，現(xiàn)進行安全隱患的策略研究，提出對應的防范及解決措施。

3.1 物理安全隱患的防范及解決措施

對于局域網(wǎng)物理線路的安全隱患來說，主要還是預防為主，做到定期檢查，對可能會被損壞的線路進行及時的環(huán)境整治，避免其遭到破壞。其次是對于主干鏈路，要有備份鏈路，這樣做的好處是在主干鏈路損壞中斷后，可以切換到備份鏈路，從而在盡可能短的時間里讓網(wǎng)路恢復正常，進而減輕網(wǎng)路中斷的影響。

局域網(wǎng)交換機、Web服務器、數(shù)據(jù)庫服務器等硬件設備的安全隱患，主要在于其運行環(huán)境。①要求其所處環(huán)境地點安全可靠，保證不會被人為破壞甚至是丟失，這就要求在局域網(wǎng)的管理上形成嚴格的規(guī)章制度，由專門的信息管理員負責監(jiān)督執(zhí)行。②設備所處自然環(huán)境，針對一年四季的氣候變化做好相應的安全隱患預防工作，比如局域網(wǎng)重要的服務器、核心交換機要有防雷設施?？偟恼f來，對于局域網(wǎng)硬件設備安全隱患的解決措施重點還在于做好定期的檢查工作，針對檢查結果再進行問題整改或是提前預防隱患發(fā)生。

3.2 運行安全隱患的防范及解決措施

3.2.1 供電系統(tǒng)安全隱患的解決措施

解決局域網(wǎng)供電系統(tǒng)線路老化或過載的安全隱患主要還依賴于制定的局域網(wǎng)管理規(guī)章制度，做到定期檢查、發(fā)現(xiàn)問題、整改問題，進而避免隱患事故的發(fā)生。其次是對核心設備的供電系統(tǒng)提供UPS備用應急電源，以防止意外停電帶來的大規(guī)模網(wǎng)絡中斷。

3.2.2 病毒和惡意代碼攻擊、非授權訪問及破壞數(shù)據(jù)庫完整性等對局域網(wǎng)構成的安全隱患解決措施

根據(jù)病毒和惡意代碼攻擊、非授權訪問及破壞數(shù)據(jù)庫完整性等局域網(wǎng)安全隱患的各自特點，我們將采取病毒防護、授權管理以及數(shù)據(jù)庫管理這3方面對應措施來保障局域網(wǎng)的安全平穩(wěn)運行。

3.2.2.1 局域網(wǎng)病毒和惡意代碼攻擊類安全隱患的解決措施

針對病毒[2]入侵一般采用病毒掃描的方法。病毒掃描就是在文件和引導文件記錄中使用病毒掃描程序來搜索病毒的工作。病毒掃描程序一般分為按需掃描型和內存駐留型兩種。

按需掃描型：按需掃描程序是在系統(tǒng)后臺運行的程序，通常在事后工作，往往造成系統(tǒng)先被感染病毒后才被發(fā)現(xiàn)。

內存駐留型：每個系統(tǒng)在系統(tǒng)初始化時都會啟動一個內存駐留掃描程序，以便在病毒留存本地文件之前或進入內存運行之前把它們清除。一般來說，反病毒程序都含有一個內存掃描組件，負責通過掃描內存來搜索存儲在內存中的文件和引導記錄病毒。內存掃描病毒主要是針對計算機感染了讀取隱藏病毒的情況。

針對網(wǎng)絡之前殘留的病毒以及移動存儲介質的使用導致用戶終端交叉感染惡意代碼等安全隱患，主要采用安裝網(wǎng)絡版查毒軟件，定期更新病毒庫，并設置定時且強制查殺病毒的策略以及開機對內存進行病毒掃描策略，降低病毒爆發(fā)的隱患。另外移動存儲介質采用集中管理的方式，確保每次使用完成后由專人進行病毒查殺，從而避免用戶終端之間的病毒交叉感染。

3.2.2.2 通過授權管理解決非授權訪問的安全隱患

授權管理主要采用防火墻和交換機來實現(xiàn)：

（1） 防火墻

防火墻設置[3]在不同網(wǎng)絡或網(wǎng)絡安全域之間的信息的唯一出入口處。通過監(jiān)測、限制、更改通過防火墻的數(shù)據(jù)流，盡可能地對外屏蔽被保護的網(wǎng)絡內部信息、結構和運行情況等，從而實現(xiàn)對網(wǎng)絡的保護。雖然防火墻的主要作用用于禁止外部非法信息流入，但是為了避免內部員工的泄密事件，防火墻對內部信息的流向也同樣需要審核和限制。防火墻主要具有以下5大功能：①過濾進、出網(wǎng)絡的數(shù)據(jù)；②管理進、出網(wǎng)絡的訪問行為；③封堵某些禁止的業(yè)務；④記錄通過防火墻的信息內容和活動；⑤對網(wǎng)絡攻擊的檢測和告警。

根據(jù)防火墻的特性，在防火墻上，開放客戶端與服務器之間的訪問策略，根據(jù)雙向最小化原則，進行相應的設置。雙向最小化的原則即為滿足用戶的正常使用需求而開放相應的端口。

（2）交換機

在吉林石化這樣規(guī)模較大的企業(yè)局域網(wǎng)中，通常存在多個功能不同的網(wǎng)絡分支，如財務部、科技發(fā)展部及各個二級廠的生產業(yè)務等，為了企業(yè)的機密信息不發(fā)生外漏現(xiàn)象， 需要對不同部門用戶的訪問進行合理控制， 通過在交換機上劃分虛擬網(wǎng)絡（Virtual Local Area Network，VLAN）可以將整個網(wǎng)絡按部門劃分為幾個不同的廣播域，實現(xiàn)不同部門網(wǎng)絡隔離的訪問控制。這樣還可以防止影響一個網(wǎng)段的問題傳播到整個網(wǎng)絡。

3.2.2.3 數(shù)據(jù)庫安全隱患解決措施

數(shù)據(jù)庫作為應用系統(tǒng)的數(shù)據(jù)處理和存儲的重要平臺，為防止其遭受攻擊而破壞其數(shù)據(jù)庫完整性，需指定專人管理，及時更新數(shù)據(jù)庫補丁，對數(shù)據(jù)庫的默認設置進行更改，完善各種安全設置，對賬戶進行最小授權，定期備份數(shù)據(jù)庫確保數(shù)據(jù)的完整性。

4 結 語

隨著吉林石化信息化水平的不斷提高，各種專業(yè)生產系統(tǒng)和辦公信息系統(tǒng)也陸續(xù)建設起來，這些IT信息系統(tǒng)的平穩(wěn)運行更是離不開局域網(wǎng)網(wǎng)絡，企業(yè)對網(wǎng)絡安全性的需求也會隨之日益增強。為此，我們作為企業(yè)網(wǎng)絡運維的信息人員，需要在不斷鞏固現(xiàn)有網(wǎng)絡安全的基礎上，進一步結合企業(yè)未來的發(fā)展，加強網(wǎng)絡安全措施，為企業(yè)提供一個安全、穩(wěn)定的網(wǎng)絡環(huán)境。

主要參考文獻

[1]李全紅.局域網(wǎng)組建與維護[M].上海：上海科學普及出版社，2010.

[2]王建鋒，鐘瑋，楊威.計算機病毒分析與防范大全[M].第3版.北京：電子工業(yè)出版社，2011.

[3]閻慧.防火墻原理與技術[M].北京：機械工業(yè)出版社，2004.