局域網(wǎng)安全防治策略

【摘要】本文通過局域網(wǎng)受病毒沖擊導(dǎo)致整個網(wǎng)絡(luò)癱瘓的個案，闡述了局域網(wǎng)安全的現(xiàn)狀和其威脅的類型，從而介紹了如何進(jìn)行局域網(wǎng)安全控制與病毒防治的一些策略。

【關(guān)鍵詞】局域網(wǎng)；信息安全；病毒防治；策略

一、前言

近日來，我校數(shù)控系辦公室的局域網(wǎng)受病毒攻擊，使得整個系的網(wǎng)絡(luò)癱瘓，部門日常工作無法正常運(yùn)行，相信其它的工作領(lǐng)域也曾遭遇過同樣的問題，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)黑客、病毒、木馬的盛行，無所不在，因而局域網(wǎng)在信息安全方面，將面臨著前所未有的危險(xiǎn)性，一個沒有安全防范的局域網(wǎng)根本沒有“安全可言”，因此如何建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全就顯得尤為重要。

二、局域網(wǎng)安全現(xiàn)狀

局域網(wǎng)相對于互聯(lián)網(wǎng)來說已經(jīng)有了基本的安全防范體系，而重大的安全問題大致集中于機(jī)房和網(wǎng)絡(luò)入口處。在防火墻等安全設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅已經(jīng)大大地減小，相反地，來自于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅卻缺乏必要的安全管理措施，安全威脅較大，目前，局域網(wǎng)內(nèi)的安全問題主要體現(xiàn)在幾個方面：

1.物理安全

局域網(wǎng)物理安全主要包括網(wǎng)絡(luò)設(shè)備硬件、線路、數(shù)據(jù)服務(wù)器和存儲設(shè)備等物理介質(zhì)造成的信息泄漏、丟失或中斷，其產(chǎn)生的原因多為：硬件損壞、線纜被盜竊、超負(fù)荷、自然災(zāi)害、信息截取竊密等。

2.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要體現(xiàn)在假冒用戶、主機(jī)、IP等非授權(quán)訪問；惡意更改信息或增加無用信息，干擾用戶正常工作的信息攻擊；對網(wǎng)絡(luò)中的實(shí)體進(jìn)行持續(xù)干擾，使其短時間內(nèi)耗盡系統(tǒng)資源而崩潰，無法提供正常服務(wù)的拒絕服務(wù)式攻擊等方面。

3.系統(tǒng)安全

本文中系統(tǒng)安全主要指服務(wù)器操作系統(tǒng)的安全性。

4.應(yīng)用安全

應(yīng)用安全主要體現(xiàn)在網(wǎng)絡(luò)中使用的各種應(yīng)用軟件的安全危險(xiǎn)，或人為操作導(dǎo)致的一些安全問題。

三、局域網(wǎng)安全威脅的類型

局域網(wǎng)（LocalAreaNetwork，LAN）是指在某一區(qū)域內(nèi)由多臺計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組。

它是通過交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦，因而局域網(wǎng)內(nèi)信息的傳輸速率比較高，但由于局域網(wǎng)采用的技術(shù)比較簡單，安全措施較少，因此給病毒傳播提供了有效的通道，同時也給數(shù)據(jù)信息的安全埋下了隱患，那么局域網(wǎng)的網(wǎng)絡(luò)安全威脅有哪幾類呢？

1.欺騙性軟件的攻擊

欺騙性軟件是指在計(jì)算機(jī)上執(zhí)行特定任務(wù)的軟件，通常是在未經(jīng)同意的情況下執(zhí)行。例如“網(wǎng)絡(luò)釣魚攻擊”，其最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)，如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細(xì)信息等，以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，而且所提供的安全功能不斷增強(qiáng)，網(wǎng)絡(luò)釣魚已越來越多地把目標(biāo)對準(zhǔn)了較小的網(wǎng)站，再加上用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

2.計(jì)算機(jī)病毒及惡意代碼的攻擊

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼被稱為計(jì)算機(jī)病毒，其特點(diǎn)有：寄生性、潛伏性、隱蔽性、破壞性、可觸發(fā)性。由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時更新防病毒軟件的病毒庫而造成計(jì)算機(jī)病毒的入侵，許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點(diǎn)，修改磁盤上現(xiàn)有的軟件，并在自己寄生的文件中注入新的代碼。

3.局域網(wǎng)用戶安全意識差

目前很多網(wǎng)絡(luò)安全問題是由于一部分用戶的自身網(wǎng)絡(luò)安全意識薄弱所造成的，如許多用戶經(jīng)常使用移動存儲設(shè)備來進(jìn)行數(shù)據(jù)的傳遞，將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時增加了數(shù)據(jù)泄密的可能性。

4.IP地址沖突

對于局域網(wǎng)來講，由IP地址沖突造成部分計(jì)算機(jī)無法上網(wǎng)的問題經(jīng)常出現(xiàn)，而且用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。

四、局域網(wǎng)安全控制與病毒防治策略

針對以上分析的局域網(wǎng)安全問題，我們應(yīng)當(dāng)從以下幾個主要方面入手，盡可能地將安全威脅問題最小化，從而保障網(wǎng)絡(luò)的安全性。

1.加強(qiáng)網(wǎng)絡(luò)安全管理層

網(wǎng)絡(luò)信息安全不僅是技術(shù)問題，也是管理問題，沒有完善的管理，網(wǎng)絡(luò)安全防范只是空談，而安全管理是一個動態(tài)管理的過程，會隨著時間的推移和業(yè)務(wù)的發(fā)展而變化，許多部門盡管擁有了先進(jìn)而昂貴的信息安全設(shè)備，但“政策”或“人”往往無法配合，產(chǎn)生很大問題。因?yàn)樵S多安全問題不是因?yàn)楫a(chǎn)品的功能不佳造成的，所以即使設(shè)置了層層關(guān)卡，仍可能因?yàn)楸黄平獾墓芾碚呙艽a、幫助臺維修后未關(guān)閉的開放權(quán)限，輕易被共享的網(wǎng)絡(luò)文件夾等管理盲點(diǎn)，為黑客及病毒開啟后門。因此，信息安全是管理問題，而非單純的技術(shù)問題，唯有完善的管理，才能降低安全風(fēng)險(xiǎn)，避免不必要的損失，為此網(wǎng)絡(luò)安全管理，就應(yīng)從以下幾方面著手：

（1）提升組織的整體安全意識，加強(qiáng)信息系統(tǒng)的軟硬件建設(shè)的同時，對信息安全管理工作也不能松懈和忽視；

（2）對特定目標(biāo)提供安全訓(xùn)練，協(xié)助建立必要的動作規(guī)程，以及時發(fā)現(xiàn)安全隱患、降低并控制安全事件的損害；

（3）構(gòu)建安全環(huán)境，積極爭取網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)的合作和支持，同時加強(qiáng)信息安全技術(shù)平臺的建設(shè)，加強(qiáng)企業(yè)內(nèi)部的安全技術(shù)建設(shè)和監(jiān)管工作；

（4）對員工實(shí)施安全培訓(xùn)，提高員工個人的安全意識，教會員工常用的安全技能。

2.局域網(wǎng)安全控制策略

目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理，只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進(jìn)行防治。

（1）利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。例如啟用密碼策略，強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改；設(shè)定服務(wù)器登錄時間限制、檢測非法訪問，以防止刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。

（2）使用防火墻技術(shù)。防火墻是將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行分離，對經(jīng)過它的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行掃描，過濾掉非法數(shù)據(jù)，從而禁止非授權(quán)用戶訪問數(shù)據(jù)。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)來降低風(fēng)險(xiǎn)。防火墻可禁止諸如眾所周知的不安全NFS協(xié)議進(jìn)出來保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。因此應(yīng)用好防火墻并對防火墻進(jìn)行正確的設(shè)置將對局域網(wǎng)網(wǎng)絡(luò)的安全起著十分重要的作用。

（3）封存所有空閑的IP地址，啟動IP地址綁定采用上網(wǎng)計(jì)算機(jī)IP地址與MCA地址唯一對應(yīng)，網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。

（4）啟用殺毒軟件強(qiáng)制安裝策略，監(jiān)測所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī)，對沒有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。

3.病毒防治

從病毒發(fā)展趨勢來看，現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為，變成依賴互聯(lián)網(wǎng)傳播，所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點(diǎn)于一身，破壞性大大增強(qiáng)，因?yàn)槠鋽U(kuò)散極快，不再追求隱藏性，而更加注重欺騙性，利用系統(tǒng)漏洞將成為病毒有力的傳播方式。因此，內(nèi)網(wǎng)考慮防病毒時選擇產(chǎn)品需要重點(diǎn)考慮以下幾點(diǎn)：

（1）防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合，不僅有傳統(tǒng)的手動查殺與文件監(jiān)控，還必須對網(wǎng)絡(luò)層、郵件客戶端進(jìn)行實(shí)時監(jiān)控，防止病毒入侵；

（2）產(chǎn)品應(yīng)有完善的在線升級服務(wù)，使用戶隨時擁有最新的防病毒能力；

（3）對病毒經(jīng)常攻擊的應(yīng)用程序提供重點(diǎn)保護(hù)；

（4）產(chǎn)品廠商就具備快速反應(yīng)的病毒檢測網(wǎng)，在病毒爆發(fā)的第一時間即能提供解決方案；

（5）廠商能提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性，盡快地讓用戶了解到新病毒的特點(diǎn)和解決方案。除了安裝殺毒軟件外，還要注意充實(shí)自己的計(jì)算機(jī)安全以及網(wǎng)絡(luò)安全知識，做到不隨意打開陌生的文件或者不安全的網(wǎng)頁，不瀏覽不健康的站點(diǎn)，注意更新自己的隱私密碼，配套使用安全助手與個人防火墻等等，這樣才能更好地維護(hù)好自己的電腦以及網(wǎng)絡(luò)安全。

五、結(jié)論

局域網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程，應(yīng)當(dāng)全面考慮綜合運(yùn)用防火墻、加密技術(shù)、防毒軟件等多項(xiàng)措施互相配合，同時它也是一項(xiàng)長期而艱巨的任務(wù)，需要不斷的探索，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，新的安全問題會出現(xiàn)，相應(yīng)的解決方法將隨之變化，因此網(wǎng)絡(luò)管理人員要不斷地學(xué)習(xí)更多的網(wǎng)絡(luò)知識，從而建立起一套真正適合局域網(wǎng)絡(luò)需要的安全體系。

參考文獻(xiàn)

[1]王秀和，楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國教育技術(shù)設(shè)備，2007（5）.

[2]李輝.計(jì)算機(jī)網(wǎng)絡(luò)安全與對策[J].濰坊學(xué)院學(xué)報(bào).2007（3）.

[3]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[J].機(jī)械工業(yè)出版社，2007.

[4]馬宜興.網(wǎng)絡(luò)安全與病毒防范（第四版）[M].上海交通大學(xué)出版社，2009.

[5]胡小強(qiáng)，戴航.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京郵電大學(xué)出版社，2009.