淺談計算機網(wǎng)絡局域網(wǎng)系統(tǒng)安全存在的問題

【摘 要】本文分析了計算機網(wǎng)絡局域網(wǎng)系統(tǒng)安全存在的問題，并且提出了局域網(wǎng)系統(tǒng)安全防范策略。

【關鍵詞】局域網(wǎng)系統(tǒng) 安全 問題

一、引言

隨著計算機網(wǎng)絡的不斷發(fā)展和普及，計算機網(wǎng)絡帶來了無窮的資源，但隨之而來的網(wǎng)絡安全問題也顯得尤為重要。由于來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡，形成極大的安全隱患。目前，局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。

二、計算機網(wǎng)絡局域網(wǎng)系統(tǒng)安全存在的問題

（一）欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息，如用戶名、口令、賬號ID、ATM、PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應比較迅速，而且所提供的安全功能不斷增強，網(wǎng)絡釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

（二）計算機病毒及惡意代碼的威脅

對計算機局域網(wǎng)絡安全造成威脅的主要問題在于病毒的危害。由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。因為局域網(wǎng)絡在數(shù)據(jù)共享上給用戶提供方便的同時，也便于病毒的傳播。近些年來，網(wǎng)絡病毒層出不窮，其中蠕蟲病毒和木馬病毒最為嚴重，一旦出現(xiàn)蠕蟲病毒，整個網(wǎng)絡就會陷于癱瘓，無法進行正常的運行，而木馬病毒能將用戶的各種信息盜竊，致使用戶的工作和生活受到嚴重威脅。許多網(wǎng)絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。

（三）破壞數(shù)據(jù)庫完整性

由于數(shù)據(jù)庫作為所有業(yè)務系統(tǒng)的數(shù)據(jù)處理和存儲的平臺，存儲了大量重要信息，因此極易受到非法者的攻擊。非法者利用各種工具監(jiān)視、收集網(wǎng)絡中傳輸?shù)男畔?，當他們截獲用戶賬號或者口令后即可隨意進出數(shù)據(jù)庫，對數(shù)據(jù)庫進行篡改、偽造，竊取。另外，若數(shù)據(jù)庫的個別帳戶權限過大，容易造成合法用戶的非授權訪問，例如：訪問、修改其他合法用戶的信息等，從而造成數(shù)據(jù)庫信息紊亂，丟失等嚴重后果。

三、計算機網(wǎng)絡局域網(wǎng)系統(tǒng)安全防范策略

（一）采用VLAN（虛擬局域網(wǎng)）技術

VLAN是一種不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡分段的虛擬局域網(wǎng)，其具有靈活性和擴張性等特點，利于網(wǎng)絡的維護和管理。在局域網(wǎng)中，對VLAN技術進行有效利用，可以為局域網(wǎng)解決沖突域、廣播域、寬帶問題，從而大大提高網(wǎng)絡運行效率。VLAN在劃分后，可以縮小廣播域，從而大大降低網(wǎng)絡中廣播包消耗帶寬所占的比例，大幅度提高網(wǎng)絡的安全性能。由于是通過網(wǎng)絡層的路來實現(xiàn)不同VLAN之間的數(shù)據(jù)傳輸，因此，采用VLAN技術，結合數(shù)據(jù)鏈路層和網(wǎng)絡層的交換設備，可以搭建安全可靠的網(wǎng)絡。

（二）應用防火墻技術

防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防火墻高可靠性網(wǎng)絡部署是為了避免因為網(wǎng)絡的故障和設備的停工造成的損失。配置防火墻冗余總共需要三套IP地址，其中每個防火墻有一套自己真實的地址（內部地址、外部地址和DMZ區(qū)地址），另外兩個防火墻還共享一套虛擬的地址，而真正起到作用的正是這套真實的地址，內部用戶的網(wǎng)關以及外部的一些相關的路由設置都需要指向這個虛擬的地址。

分布式的環(huán)境一般分為一個中心節(jié)點和多個分支節(jié)點，一般來說，中心節(jié)點采用性能高的防火墻，可以采用雙機熱備份的模式，保證網(wǎng)絡的可靠性；另外也可以通過對VPN功能實現(xiàn)與總部的信息通訊的安全；對于沒有專線的分支節(jié)點，可以采用防火墻自帶的對子網(wǎng)撥號的VPN功能，也能夠實現(xiàn)與總部之間的安全通訊。

（三）局域網(wǎng)防病毒技術

對于局域網(wǎng)防病毒技術主要有以下幾種：分布式殺毒技術。是一種建立在集中式管理基礎上的網(wǎng)絡防病毒技術。安裝在網(wǎng)絡系統(tǒng)中特定計算機的中央控制臺和安裝在每臺計算機的殺毒軟件，共同構筑成協(xié)調一致的病毒防護體系。網(wǎng)絡管理員只需要通過控制臺就可管理整個網(wǎng)絡的所有殺毒程序，掌管全網(wǎng)各節(jié)點的病毒防護狀況，對各節(jié)點同一實施病毒特征代碼庫和殺毒軟件的聯(lián)網(wǎng)升級和更新；病毒源監(jiān)控技術。密切關注和測控外部網(wǎng)絡中的病毒動向，將所有病毒堵截在網(wǎng)絡入口處，是當前網(wǎng)絡防病毒技術的一個重點。例如用于Internet訪問代理服務器的模塊、用于郵件服務器的模塊、用于文件服務器的模塊和用與計算機的模塊，形成一個全方位的防病毒解決方案，構成了一道網(wǎng)關防毒網(wǎng)；數(shù)字免疫系統(tǒng)。采用該技術的網(wǎng)絡防病毒產(chǎn)品能夠應付網(wǎng)絡病毒爆發(fā)和極端惡意事件的發(fā)生。在網(wǎng)絡系統(tǒng)的管理中，數(shù)字免疫系統(tǒng)能夠根據(jù)網(wǎng)絡管理員的要求，自動進行病毒檢測和分析，還可以自動監(jiān)視計算機和網(wǎng)絡中的可疑行為，為網(wǎng)絡防病毒產(chǎn)品對付未知病毒提供依據(jù)。

（四）加強數(shù)據(jù)庫的信息保密防護

文件和數(shù)據(jù)庫網(wǎng)絡中兩種數(shù)據(jù)組織形式，缺乏共享性的文件組織形式的數(shù)據(jù)已成為現(xiàn)在網(wǎng)絡存儲數(shù)據(jù)的主要形式。由于在對系統(tǒng)的操作過程中，對數(shù)據(jù)庫沒有進行特殊的保密措施，而數(shù)據(jù)庫的數(shù)據(jù)就會以可讀的形式存儲系統(tǒng)中，因此，須要采取另外的方法進行數(shù)據(jù)庫的保密。例如，可以針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。

四、結束語

綜上所訴，局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。

參考文獻：

[1]吳儉.局域網(wǎng)安全內部防范措施的思考[J].信息與電腦（理論版）.2010（12）

[2]凌金波.局域網(wǎng)的安全管理與維護[J].科技傳播.2010（21）