局域網(wǎng)網(wǎng)絡(luò)信息安全和防護(hù)策略研究

趙志鵬

摘 要隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊形式日趨復(fù)雜和多樣化。局域網(wǎng)作為當(dāng)前中小企業(yè)的主要聯(lián)網(wǎng)方式，其網(wǎng)絡(luò)信息安全和防護(hù)仍然是一項長期而艱巨的任務(wù)。通過對局域網(wǎng)安全的分析和研究，探討了在局域網(wǎng)環(huán)境下網(wǎng)絡(luò)信息安全防護(hù)技術(shù)和手段的構(gòu)建。

【關(guān)鍵詞】局域網(wǎng) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)防護(hù)

隨著計算機(jī)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已成為人們工作中不可缺少的工具。雖然IPv6技術(shù)和標(biāo)準(zhǔn)已經(jīng)相對成熟，但是IPv4仍然是當(dāng)前互聯(lián)網(wǎng)的主要協(xié)議，IP地址資源緊缺使大多數(shù)企業(yè)單位仍然使用局域網(wǎng)的方式，通過NAT技術(shù)訪問互聯(lián)網(wǎng)。因此，局域網(wǎng)網(wǎng)絡(luò)信息安全和系統(tǒng)安全建設(shè)就顯得尤為重要。

1 局域網(wǎng)網(wǎng)絡(luò)信息安全存在的問題

1.1 安全防護(hù)架構(gòu)

完整的網(wǎng)絡(luò)安全防護(hù)架構(gòu)主要有由硬件、防火墻、漏洞掃描、網(wǎng)絡(luò)防病毒系統(tǒng)等技術(shù)構(gòu)筑一道安全屏障，并通過把不同的產(chǎn)品集成在同一個安全管理平臺上，實現(xiàn)網(wǎng)絡(luò)安全的統(tǒng)一、集中的管理。然而，目前大多數(shù)的局域網(wǎng)僅僅安裝防火墻，造成網(wǎng)絡(luò)安全架構(gòu)不完善，加上局域網(wǎng)采用的技術(shù)比較簡單，使局域網(wǎng)的很容易被攻擊和盜取信息。

1.2 系統(tǒng)漏洞

局域網(wǎng)系統(tǒng)漏洞主要包括網(wǎng)絡(luò)設(shè)備硬件漏洞和用戶計算機(jī)系統(tǒng)漏洞。完整的網(wǎng)絡(luò)設(shè)備、計算機(jī)系統(tǒng)是由硬件和軟件組成，網(wǎng)絡(luò)硬件漏洞就是在網(wǎng)絡(luò)設(shè)備硬件、軟件和協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。比如路由器系統(tǒng)存在BUG，訪問控制規(guī)則設(shè)置存在錯誤等等。用戶計算機(jī)系統(tǒng)漏洞是指用戶沒有及時的對系統(tǒng)漏洞進(jìn)行更新，這些漏洞極易被黑客利用進(jìn)行攻擊，給局域網(wǎng)的信息安全帶來巨大的隱患。

1.3 人為因素

人為因素也是影響局域網(wǎng)信息安全的重要方面。由于個別用戶安全意識不強(qiáng)，使用U盤等移動存儲設(shè)備來進(jìn)行數(shù)據(jù)的傳遞。這些外部數(shù)據(jù)沒有經(jīng)過必要的安全檢查被帶入內(nèi)部局域網(wǎng)，使木馬、蠕蟲等病毒的非常容易地進(jìn)入到內(nèi)部網(wǎng)絡(luò)。另外，許多用戶將未經(jīng)許可的設(shè)備擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，也會造成病毒的傳入和信息的泄密。比如，私自將個人無線路由接入到網(wǎng)絡(luò)中，由于個人無線路由安全性比較低，黑客只要在路由器信號范圍內(nèi)就可以對局域網(wǎng)的數(shù)據(jù)進(jìn)行盜取和攻擊。此外，由于個人原因?qū)⒕钟蚓W(wǎng)密碼泄露、網(wǎng)線接入錯誤造成環(huán)網(wǎng)、ip地址沖突等問題都嚴(yán)重影響了局域網(wǎng)的信息安全。

1.4 病毒和惡意代碼

局域網(wǎng)的病毒來源主要通過以下幾種方式：

（1）黑客借助系統(tǒng)漏洞將病毒和惡意代碼上傳到局域網(wǎng)目的主機(jī)上；

（2）由于人為因素，通過U盤等移動設(shè)備將病毒傳入局域網(wǎng)；

（3）訪問互聯(lián)網(wǎng)，從網(wǎng)站下載的軟件帶有病毒。一旦病毒進(jìn)入到局域網(wǎng)，便對局域網(wǎng)信息數(shù)據(jù)進(jìn)行盜取和破壞，比如ARP病毒能夠進(jìn)行路由欺騙和網(wǎng)關(guān)欺騙，不但影響局域網(wǎng)網(wǎng)絡(luò)速度，而且對用戶的私密信息威脅很大。

2 安全防護(hù)策略與措施

2.1 技術(shù)防護(hù)措施

2.1.1 加密技術(shù)

對重要數(shù)據(jù)進(jìn)行加密是網(wǎng)絡(luò)傳輸?shù)某Ｓ玫募夹g(shù)。在數(shù)據(jù)傳輸前對數(shù)據(jù)進(jìn)行加密，綜合數(shù)字簽名、身份認(rèn)證和動態(tài)驗證等多種加密技術(shù)，杜絕數(shù)據(jù)在網(wǎng)絡(luò)上以明文的方式傳輸，防止用戶數(shù)據(jù)在傳輸過程中被截獲，增加破解難度。建立復(fù)雜密碼機(jī)制，并定期進(jìn)行更換。

2.1.2 防火墻技術(shù)

防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，提供邊界安全防護(hù)和訪問權(quán)限控制。它使內(nèi)部網(wǎng)絡(luò)與Internet 之間或與其他外部網(wǎng)絡(luò)互相隔離，防范外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的的攻擊和非法訪問。通過配置安全策略規(guī)則，實現(xiàn)對經(jīng)過防火墻訪問內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)流的審計和控制，是保障網(wǎng)絡(luò)安全的核心技術(shù)。

網(wǎng)絡(luò)防病毒系統(tǒng)是網(wǎng)絡(luò)安全的另一形式的防火墻。在網(wǎng)絡(luò)中安裝網(wǎng)關(guān)殺毒設(shè)備，對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行病毒檢測和掃描，確保病毒在到達(dá)用戶計算機(jī)前被清除；配置全網(wǎng)殺毒策略，同步更新每臺計算機(jī)的殺毒軟件，定期進(jìn)行全網(wǎng)殺毒；對U盤、移動硬盤等移動存儲設(shè)備須經(jīng)專業(yè)人員查殺后，方可進(jìn)行文件的存儲和拷貝等操作，這些安全防護(hù)是網(wǎng)絡(luò)防病毒系統(tǒng)必不可少的防護(hù)措施。

2.1.3 入侵檢測和入侵防御技術(shù)

入侵檢測是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。防火墻是按照事先設(shè)定的規(guī)則判斷數(shù)據(jù)包的合法性，阻止非法的數(shù)據(jù)包進(jìn)入，而入侵檢測系統(tǒng)則監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的入侵行為，通過該系統(tǒng)可以快速定位來自內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的攻擊行為以及網(wǎng)絡(luò)的異常流量等等。

入侵防御系統(tǒng)是位于防火墻和網(wǎng)絡(luò)設(shè)備之間，對網(wǎng)絡(luò)中的數(shù)據(jù)傳輸進(jìn)行檢測，對可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為進(jìn)行防御，以保證網(wǎng)絡(luò)資源的安全。

2.1.4 構(gòu)建安全防護(hù)架構(gòu)

在完整的硬件防護(hù)系統(tǒng)下，搭建集中安全管理平臺，設(shè)立用戶、服務(wù)器等多區(qū)域安全防護(hù)機(jī)制，建立分級安全防護(hù)架構(gòu)和管理機(jī)制。通過搭建文件備份服務(wù)器，對重要數(shù)據(jù)定期備份；設(shè)立網(wǎng)絡(luò)的重要節(jié)點、鏈路設(shè)立備份機(jī)制，減少故障對網(wǎng)絡(luò)信息安全的影響；配置網(wǎng)絡(luò)漏洞掃描系統(tǒng)，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞、客戶機(jī)或者服務(wù)器的安全漏洞并及時進(jìn)行修補(bǔ)等方式，構(gòu)建全面、安全的局域網(wǎng)網(wǎng)絡(luò)防護(hù)體系。

2.2 管理制度防護(hù)措施

保障信息安全要從多方面角度來實現(xiàn)。除了安全技術(shù)的應(yīng)用，管理制度的完善和管理人員的組織配合是構(gòu)成完整的信息安全防護(hù)體系的重要內(nèi)容。管理工作是作為網(wǎng)絡(luò)安全的重要組成部分，要確保信息安全工作的順利進(jìn)行，必須由管理人員把每個環(huán)節(jié)落實到具體的網(wǎng)絡(luò)中，而人的不確定性使之成為網(wǎng)絡(luò)安全中最薄弱環(huán)節(jié)。因此，必須用制度來規(guī)范人的行為，通過建立完善的安全管理制度達(dá)到網(wǎng)絡(luò)信息安全的根本目標(biāo)。具體是要根據(jù)企業(yè)單位信息系統(tǒng)安全管理需求，建立科學(xué)的人員管理、設(shè)備管理、災(zāi)難管理、應(yīng)急響應(yīng)、用戶安全服務(wù)等管理制度，并與安全技術(shù)緊密結(jié)合，形成一套可靠、完備局域網(wǎng)信息系統(tǒng)安全管理保障體系。

3 結(jié)束語

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊形式日趨復(fù)雜和多樣化，局域網(wǎng)網(wǎng)絡(luò)信息安全和防護(hù)作為一項長期而艱巨的任務(wù)，需要不斷的探索和改進(jìn)。合理地配置網(wǎng)絡(luò)安全規(guī)則，以安全防護(hù)技術(shù)為依托，充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)設(shè)備的能效，建立多層次的、立體的網(wǎng)絡(luò)安全防護(hù)體系，才能確保整個局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)信息安全。

參考文獻(xiàn)

[1]彭珺，高珺.計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計算機(jī)與數(shù)字工程， 2011，39（1）：121-124.

[2]周萍.試論計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)對策[J].科技與企業(yè)，2014（13）：109.

作者單位

遼寧稅務(wù)高等?？茖W(xué)校 遼寧省大連市 116023