淺談局域網(wǎng)網(wǎng)絡(luò)安全防范與管理技術(shù)

高艷冬

摘 要 網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，推動了生活和生產(chǎn)方式的改變，同時也引發(fā)了一系列網(wǎng)絡(luò)安全問題?！吨腥A人民共和國網(wǎng)絡(luò)安全法》施行后，對網(wǎng)絡(luò)運營者提出了保障網(wǎng)絡(luò)運行安全和信息安全的要求。本文主要研究局域網(wǎng)網(wǎng)絡(luò)存在的安全問題并提出維護局域網(wǎng)網(wǎng)絡(luò)安全的相關(guān)建議。

關(guān)鍵詞 局域網(wǎng)；網(wǎng)絡(luò)安全；防范與管理

中圖分類號 TP3 文獻標(biāo)識碼 A 文章編號 1674-6708（2018）202-0102-02

隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，為人們的工作、生活、學(xué)習(xí)提供了極大的便利條件，推動了生活和生產(chǎn)方式的改變，但個人信息被竊取、泄露，病毒、蠕蟲的傳播，邊界網(wǎng)絡(luò)設(shè)備被攻擊等網(wǎng)絡(luò)安全問題也隨之而來，愈演愈烈。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行，對網(wǎng)絡(luò)安全和信息安全提出了規(guī)范性規(guī)定，作為網(wǎng)絡(luò)運營者，做好網(wǎng)絡(luò)安全管理工作，防范網(wǎng)絡(luò)風(fēng)險，有著重要的意義。

局域網(wǎng)是連接計算機組的一種網(wǎng)絡(luò)形式，在企業(yè)中較為常見，依靠局域網(wǎng)可以實現(xiàn)信息共享，提高工作效率。一旦局域網(wǎng)發(fā)生故障或者遭到病毒侵入，造成數(shù)據(jù)或者信息丟失，將影響企業(yè)的經(jīng)濟效益，只有做好局域網(wǎng)網(wǎng)絡(luò)的安全防范與管理，才能保證網(wǎng)絡(luò)的運行與使用安全。

1 局域網(wǎng)網(wǎng)絡(luò)存在的安全隱患

1.1 網(wǎng)絡(luò)邊界接入風(fēng)險

網(wǎng)絡(luò)邊界接入風(fēng)險主要包括路由破壞、未授權(quán)訪問、信息竊聽、拒絕服務(wù)攻擊、針對路由器和交換機等邊界網(wǎng)絡(luò)設(shè)備的攻擊，以及病毒、蠕蟲的傳播等。在互聯(lián)網(wǎng)上尤其是拒絕服務(wù)攻擊現(xiàn)在呈多發(fā)趨勢，而且中國是攻擊發(fā)生的重災(zāi)區(qū)，在世界范圍內(nèi)僅次于美國排名第二。海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、（M）Stream Flood等攻擊產(chǎn)生的大量垃圾數(shù)據(jù)包，一方面大量占用網(wǎng)絡(luò)帶寬，另一方面會造成邊界路由器和核心交換機等網(wǎng)絡(luò)設(shè)備的有效數(shù)據(jù)轉(zhuǎn)發(fā)能力下降，甚至?xí)霈F(xiàn)核心路由器和交換機因負(fù)荷過載而造成轉(zhuǎn)發(fā)延遲增大和數(shù)據(jù)包丟包率上升等問題。同時，針對服務(wù)器區(qū)域的HTTP Get Flood、UDP DNS Query Flood、CC等攻擊會造成業(yè)務(wù)服務(wù)器和關(guān)鍵設(shè)備的服務(wù)質(zhì)量下降甚至業(yè)務(wù)中斷。

1.2 面向應(yīng)用層的攻擊

應(yīng)用層攻擊之所以存在，主要是因為程序員發(fā)布的代碼存在導(dǎo)致安全漏洞的錯誤。比如今年在全球大規(guī)模爆發(fā)的勒索病毒就是因為軟件存在漏洞，被黑客利用編制程序而引發(fā)的。

1.3 虛擬化安全風(fēng)險

云計算的迅速發(fā)展，與虛擬化技術(shù)的應(yīng)用密不可分。通過虛擬化技術(shù)生成的虛擬機，同樣也會存在軟件漏洞和系統(tǒng)漏洞，也會遭到病毒木馬的入侵。

1.4 APT攻擊風(fēng)險

傳統(tǒng)的防病毒軟件可以一定程度地解決已知病毒、木馬的威脅，但對于越來越多的APT攻擊卻束手無策。APT很多攻擊行為都會利用0day漏洞進行網(wǎng)絡(luò)滲透和攻擊，且具有持續(xù)性及隱蔽性。

1.5 應(yīng)用質(zhì)量分析與流控

當(dāng)前P2P下載、IM軟件等應(yīng)用越來越廣泛，如果不對網(wǎng)絡(luò)流量進行嚴(yán)格的管控，不能有效避免各種網(wǎng)絡(luò)應(yīng)用爭搶帶寬的情況，這將嚴(yán)重影響正常工作效率，有時會造成網(wǎng)絡(luò)癱瘓，增加網(wǎng)絡(luò)運營者管理成本，影響企業(yè)的日常辦公與生產(chǎn)，造成嚴(yán)重的經(jīng)濟損失。

1.6 數(shù)據(jù)泄露風(fēng)險

數(shù)據(jù)泄露是網(wǎng)絡(luò)運營者最為擔(dān)憂的情況之一，尤其是涉及大量敏感信息等關(guān)鍵數(shù)據(jù)庫的存儲，近年來，具有關(guān)鍵數(shù)據(jù)的高密度聚合對潛在的攻擊者具有極大的誘惑力，數(shù)據(jù)安全面臨巨大的挑戰(zhàn)。

1.7 用戶自身安全意識問題

局域網(wǎng)網(wǎng)絡(luò)安全問題的出現(xiàn)，很大一部分源于用戶自身的安全意識較差。例如，用戶使用外部存儲設(shè)備連接計算機組進行數(shù)據(jù)傳輸，如果不對外部存儲設(shè)備進行檢測，容易導(dǎo)致外部數(shù)據(jù)連同木馬和病毒，一起傳輸?shù)接嬎銠C組，這樣就會給局域網(wǎng)絡(luò)留下巨大的安全隱患，導(dǎo)致外部設(shè)備攜帶的病毒或者木馬，在局域網(wǎng)內(nèi)進行傳播。此外，用戶瀏覽來源不明的網(wǎng)站或者不小心下載了偽裝成病毒的軟件，也會導(dǎo)致計算機中毒，進而導(dǎo)致用戶信息泄露，危及整個局域網(wǎng)的用戶安全。

2 局域網(wǎng)網(wǎng)絡(luò)安全防范與管理

2.1 網(wǎng)絡(luò)結(jié)構(gòu)的安全防范

網(wǎng)絡(luò)結(jié)構(gòu)對于局域網(wǎng)網(wǎng)絡(luò)的安全有著重要的影響。網(wǎng)絡(luò)結(jié)構(gòu)的建立和選擇主要影響因素有：網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)維護、設(shè)備配置、通信量等。一個良好的網(wǎng)絡(luò)結(jié)構(gòu)，可以對資源進行合理的分配和使用，并且建立起網(wǎng)絡(luò)安全的保障體系。對網(wǎng)絡(luò)結(jié)構(gòu)進行優(yōu)化設(shè)計，使其具有可靠性、先進性、標(biāo)準(zhǔn)性和實用性，有利于網(wǎng)絡(luò)的運營和維護，以及網(wǎng)絡(luò)安全的管理和控制。

在云計算時代規(guī)劃局域網(wǎng)構(gòu)架時，應(yīng)該充分考慮該企業(yè)局域網(wǎng)的特點來系統(tǒng)地進行規(guī)劃，考慮到局域網(wǎng)外圍物理環(huán)境及網(wǎng)內(nèi)應(yīng)用的各類安全需求和特性，從而達到各類安全產(chǎn)品、安全管理、整體安全策略的統(tǒng)一，發(fā)揮最大的安全防控效率。在設(shè)計安全建議方案時，應(yīng)充分利用現(xiàn)有國內(nèi)和國際安全標(biāo)準(zhǔn)和成熟的安全體系，結(jié)合局域網(wǎng)的實際需求，設(shè)計出一個有針對性的安全設(shè)計方案。解決思路如下：

1）對局域網(wǎng)進行安全域劃分，根據(jù)各區(qū)域的業(yè)務(wù)特性、技術(shù)特性以及安全需求進行對應(yīng)的安全防護設(shè)計；包括：

（1）邊界接入?yún)^(qū)，可以劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)接入?yún)^(qū)、內(nèi)部接入?yún)^(qū)；（2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施區(qū)，一般為三層網(wǎng)絡(luò)設(shè)計，可以劃分為核心區(qū)、匯聚區(qū)與接入?yún)^(qū)；（3）業(yè)務(wù)接入?yún)^(qū)，分為一般工作區(qū)、重要工作區(qū)、核心數(shù)據(jù)區(qū)及運維管理區(qū)等。

2）要充分考慮網(wǎng)絡(luò)層、操作系統(tǒng)層、虛擬化層、應(yīng)用層以及數(shù)據(jù)層的安全防護需求，特別是虛擬化等新技術(shù)帶來的問題。

3）強調(diào)安全運營的價值，實現(xiàn)預(yù)警、檢測、響應(yīng)、溯源的閉環(huán)流程。針對上述局域網(wǎng)的安全架構(gòu)，我們可以結(jié)合本單位實際情況，在內(nèi)網(wǎng)中安置不同的網(wǎng)絡(luò)安全產(chǎn)品來進行安全防控。主要有防范DDos攻擊（分布式拒絕服務(wù)攻擊）產(chǎn)品、智慧防火墻產(chǎn)品、VPN接入網(wǎng)關(guān)產(chǎn)品、Web應(yīng)用防火墻、漏洞掃描產(chǎn)品、日志采集分析產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品、堡壘機、IPS、IDS、防病毒網(wǎng)關(guān)、態(tài)勢感知及安全運營平臺等等。

2.2 網(wǎng)絡(luò)安全管理措施

為了保證局域網(wǎng)絡(luò)的安全，需要注意以下幾點：首先，保護計算機的系統(tǒng)安全。局域網(wǎng)絡(luò)的安全，一部分來源于系統(tǒng)的安全，保證計算機系統(tǒng)的安全，避免局域網(wǎng)內(nèi)的計算機組出現(xiàn)病毒入侵的情況。

例如，計算機系統(tǒng)安裝殺毒軟件，定期對計算機進行殺毒，對計算機軟件更新，文件分類歸檔，保證計算機的運行狀態(tài)。其次，對用戶加強網(wǎng)絡(luò)安全培訓(xùn)。用戶的安全用網(wǎng)意識，可以大幅度地降低局域網(wǎng)絡(luò)遭到病毒侵害的發(fā)生概率。

3 結(jié)論

綜上所述，在網(wǎng)絡(luò)時代下，隨著網(wǎng)絡(luò)的應(yīng)用越來越廣，在提升生活質(zhì)量和工作效率的同時，也帶來了安全隱患，例如，重要信息和數(shù)據(jù)的泄露、大規(guī)模拒絕服務(wù)攻擊、APT攻擊、木馬、病毒等，需要我們更加注重對網(wǎng)絡(luò)的安全管理。在局域網(wǎng)升級網(wǎng)絡(luò)安全防范措施前，要做好需求調(diào)查，設(shè)計好方案并進行必要的論證，對于重要的局域網(wǎng)系統(tǒng)，要盡快進行信息系統(tǒng)等級保護。

同時，要加強局域網(wǎng)的安全管理，包括網(wǎng)內(nèi)用戶入網(wǎng)的管理，嚴(yán)格做到“實名制”綁定，建立健全網(wǎng)絡(luò)管理制度與操作流程并嚴(yán)格執(zhí)行，同時要有完善的網(wǎng)絡(luò)安全應(yīng)急預(yù)案并定期演練，定期進行網(wǎng)內(nèi)用戶的網(wǎng)絡(luò)安全培訓(xùn)等，各項措施齊抓共管才能提升局域網(wǎng)的網(wǎng)絡(luò)安全防護能力。

參考文獻

[1]張頡.淺析局域網(wǎng)網(wǎng)絡(luò)安全防范與管理技術(shù)[J].電子世界，2017（7）：149.

[2]梁欣祺.淺談局域網(wǎng)計算機的安全防護[J].科技展望，2017，27（7）.

[3]王英強.淺析當(dāng)前局域網(wǎng)面對攻擊的安全問題與防范策略[J].黑龍江科技信息，2017（9）：167.

[4]劉志明.淺談無線局域網(wǎng)的安全問題及對策[J].數(shù)字技術(shù)與應(yīng)用，2017（4）：219.

[5]沈亮.淺談計算機局域網(wǎng)信息安全與防范[J].電腦知識與技術(shù)，2017，13（12）：29-30.