羅衛(wèi)東

摘要：在當(dāng)今這個(gè)信息化的時(shí)代，許多信息都需要在局域網(wǎng)內(nèi)部進(jìn)行傳輸，局域網(wǎng)的存在也提高了企事業(yè)單位以及政府機(jī)關(guān)的辦公效率，轉(zhuǎn)變了人們的日常生活方式。但是，局域網(wǎng)存在的安全隱患卻為局域網(wǎng)的使用帶來了巨大的風(fēng)險(xiǎn)，局域網(wǎng)內(nèi)部的數(shù)據(jù)時(shí)刻面臨著會(huì)受到侵犯和破壞的風(fēng)險(xiǎn)。本文首先簡要介紹了當(dāng)前局域網(wǎng)存在的安全隱患，然后，有針對(duì)性的詳細(xì)闡述了局域網(wǎng)存在的安全隱患的防治策略。

關(guān)鍵詞：局域網(wǎng)安全隱患防治策略

0 引言

隨著局域網(wǎng)的規(guī)模不斷擴(kuò)大，局域網(wǎng)的建設(shè)已經(jīng)成為企事業(yè)單位以及政府機(jī)關(guān)信息化的重要組成部分，然而，局域網(wǎng)存在的安全隱患給信息化建設(shè)的進(jìn)一步推進(jìn)帶來了巨大的阻礙。因此，必須對(duì)于局域網(wǎng)存在的安全隱患提出科學(xué)有效的防治策略。

1 局域網(wǎng)存在的安全隱患

目前，一些局域網(wǎng)內(nèi)部的計(jì)算機(jī)和互聯(lián)網(wǎng)相連，卻并未安裝相應(yīng)的比較高級(jí)的殺毒軟件及防火墻，一些計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞。局域網(wǎng)面臨著黑客攻擊、目錄共享導(dǎo)致信息的外泄、計(jì)算機(jī)操作人員的安全意識(shí)不足等安全隱患。

2 針對(duì)于局域網(wǎng)存在的安全隱患的防治策略

2.1 對(duì)局域網(wǎng)內(nèi)部重要數(shù)據(jù)進(jìn)行備份，做好網(wǎng)絡(luò)安全協(xié)議的配置

局域網(wǎng)內(nèi)部存在著非常重要的信息，必須及時(shí)對(duì)這些信息進(jìn)行完整的備份，以便在出現(xiàn)問題的時(shí)候及時(shí)恢復(fù)。備份一方面包括對(duì)局域網(wǎng)內(nèi)部的重要數(shù)據(jù)的備份，另一方面，也包括對(duì)于核心設(shè)備和線路的備份。對(duì)于局域網(wǎng)內(nèi)部的網(wǎng)頁服務(wù)器，一定要安裝網(wǎng)頁防篡改系統(tǒng)，從而避免網(wǎng)頁被惡意篡改。對(duì)于局域網(wǎng)中的核心設(shè)備的系統(tǒng)配置必須進(jìn)行定期和不定期的檢查和備份，從而在設(shè)備發(fā)生問題的時(shí)候，可以進(jìn)行緊急恢復(fù)。對(duì)于局域網(wǎng)內(nèi)部的核心線路，應(yīng)該保持完備和做出適當(dāng)?shù)膫浞?，從而在一些線路發(fā)生問題的時(shí)候，可以及時(shí)采用備份線路來維持整個(gè)局域網(wǎng)的正常工作。

TCP作為兩臺(tái)計(jì)算機(jī)設(shè)備之間保證數(shù)據(jù)順序傳輸?shù)膮f(xié)議，是面向連接的，它需要在連接雙方都同意的情況下才能進(jìn)行通信。任何兩臺(tái)設(shè)備之間欲建立TCP連接都需要一個(gè)雙方確認(rèn)的起始過程，即“三次握手”。

2.2 建立局域網(wǎng)統(tǒng)一防病毒系統(tǒng)

傳統(tǒng)的單機(jī)防病毒形式已經(jīng)不能滿足局域網(wǎng)安全的需要，必須建立局域網(wǎng)統(tǒng)一防病毒系統(tǒng)，利用全方位的防病毒產(chǎn)品，對(duì)于局域網(wǎng)內(nèi)部各個(gè)可能的病毒攻擊點(diǎn)都進(jìn)行對(duì)應(yīng)的防病毒軟件的安裝，來實(shí)現(xiàn)全方位、多層次的病毒防治功能。與此同時(shí)，實(shí)現(xiàn)局域網(wǎng)統(tǒng)一防病毒系統(tǒng)的定期自動(dòng)升級(jí)，更好的避免病毒的攻擊。

具體來說，局域網(wǎng)統(tǒng)一防病毒系統(tǒng)應(yīng)該包括防病毒服務(wù)器和客戶端這兩個(gè)模塊。防病毒服務(wù)器是整個(gè)系統(tǒng)的控制中心，負(fù)責(zé)全面防治病毒。通過客戶端安裝或者網(wǎng)絡(luò)分發(fā)的方式，可以在所有的工作站上分別安裝客戶端軟件，同時(shí)設(shè)置所有的工作站都必須接受服務(wù)器的統(tǒng)一管理和部署。局域網(wǎng)管理員僅僅通過控制臺(tái)軟件，就可以實(shí)現(xiàn)統(tǒng)一清除和防治局域網(wǎng)內(nèi)部的所有計(jì)算機(jī)存在的病毒的目標(biāo)，使整個(gè)局域網(wǎng)內(nèi)部病毒的爆發(fā)和蔓延得到有效的控制。一旦出現(xiàn)新病毒庫，那么，僅僅更新防病毒服務(wù)器上的病毒庫就可以了，客戶端能夠自動(dòng)在防病毒服務(wù)器上下載并更新病毒庫。局域網(wǎng)統(tǒng)一防病毒系統(tǒng)的病毒庫能夠?qū)崿F(xiàn)及時(shí)方便的更新，也可以實(shí)現(xiàn)統(tǒng)一徹底的病毒防殺，同時(shí)具備操作簡單快捷的特點(diǎn)，因此，是非常有利于局域網(wǎng)的病毒防治的。360安全衛(wèi)士就是一個(gè)很好的局域網(wǎng)防病毒軟件。

2.3 合理安裝配置防火墻

防火墻是一種非?？茖W(xué)有效且應(yīng)用廣泛的保證局域網(wǎng)安全的軟件，有利于避免計(jì)算機(jī)互聯(lián)網(wǎng)上的不安全因素?cái)U(kuò)散到局域網(wǎng)內(nèi)部。通過合理安裝配置防火墻，可以在利用局域網(wǎng)進(jìn)行通訊的時(shí)候執(zhí)行一種訪問控制列表，允許合法的人和數(shù)據(jù)來訪問局域網(wǎng)，并且拒絕非法的用戶和數(shù)據(jù)對(duì)于局域網(wǎng)的訪問，從而使黑客對(duì)于局域網(wǎng)的攻擊行為得到最大限度的阻止，避免黑客對(duì)于局域網(wǎng)上的重要信息的隨意更改、移動(dòng)甚至刪除。為了切實(shí)做好局域網(wǎng)的安全工作，必須按照局域網(wǎng)的安裝需求，嚴(yán)格配置防火墻內(nèi)部的服務(wù)器和客戶端的各種規(guī)則，PIX是一款實(shí)現(xiàn)對(duì)于局域網(wǎng)防火墻的科學(xué)有效的方案。PIX是CISCO公司開發(fā)的防火墻系列設(shè)備，主要起到策略過濾，隔離內(nèi)外網(wǎng)，根據(jù)用戶實(shí)際需求設(shè)置DMZ（?；饏^(qū)）。

2.4 配備入侵檢測(cè)系統(tǒng)和漏洞掃描系統(tǒng)

入侵檢測(cè)系統(tǒng)是防火墻的必要補(bǔ)充部分，能夠?qū)崿F(xiàn)更加全面的安全管理功能，有利于局域網(wǎng)更好的應(yīng)對(duì)黑客攻擊。入侵檢測(cè)系統(tǒng)可以將內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)的捕獲，通過內(nèi)置的攻擊特征庫，利用模式匹配和智能分析的方法，對(duì)于局域網(wǎng)內(nèi)部可能出現(xiàn)的入侵行為和異?，F(xiàn)象進(jìn)行實(shí)時(shí)監(jiān)測(cè)，同時(shí)進(jìn)行記錄。另外，入侵檢測(cè)系統(tǒng)也能夠產(chǎn)生實(shí)時(shí)報(bào)警，從而有利于局域網(wǎng)管理員及時(shí)進(jìn)行處理和應(yīng)對(duì)。

另外，也要配備漏洞掃描系統(tǒng)。在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的形勢(shì)下，局域網(wǎng)中也會(huì)不可避免的產(chǎn)生各種各樣的安全漏洞或者“后門”程序。為了進(jìn)行有效的應(yīng)對(duì)，必須配備現(xiàn)代化的漏洞掃描系統(tǒng)來對(duì)局域網(wǎng)工作站、服務(wù)器等進(jìn)行定期以及不定期的安全檢查，同時(shí)提供非常具體的安全性分析數(shù)據(jù)，對(duì)于局域網(wǎng)內(nèi)部存在的各種安全漏洞都及時(shí)進(jìn)行修復(fù)。

Microsoft基準(zhǔn)安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微軟公司整個(gè)安全部署方案中的一種，可以從微軟公司的官方網(wǎng)站http://technet.microsoft.com/zh-cn/security/default.aspx下載。MBSA將掃描基于Windows的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件（如IIS和SQL Server）,以發(fā)現(xiàn)安全方面的配置錯(cuò)誤，并及時(shí)通過推薦的安全更新進(jìn)行修補(bǔ)。

通過多種形式的安全產(chǎn)品的配備，可以有效防護(hù)、預(yù)警和監(jiān)控局域網(wǎng)存在的各種安全隱患，有效阻斷黑客的非法訪問以及不健康的信息，并且也能夠及時(shí)發(fā)現(xiàn)和處理局域網(wǎng)中存在的故障。

2.5 運(yùn)用VLAN技術(shù)

VLAN 的英文全稱是Virtual Local Area Network，也就是虛擬局域網(wǎng)，它是一種實(shí)現(xiàn)虛擬工作組的先進(jìn)技術(shù)，能夠通過將局域網(wǎng)內(nèi)的設(shè)備對(duì)于整個(gè)局域網(wǎng)進(jìn)行邏輯分段，產(chǎn)生多個(gè)不同的網(wǎng)段。VLAN 技術(shù)的關(guān)鍵就是對(duì)局域網(wǎng)進(jìn)行分段，將整個(gè)局域網(wǎng)劃分為多個(gè)不同的VLAN，它可以按照各種各樣的應(yīng)用業(yè)務(wù)和對(duì)應(yīng)的安全級(jí)別，通過劃分VLAN來實(shí)現(xiàn)隔離，也能夠進(jìn)行相互間的訪問控制，對(duì)于限制非法用戶對(duì)于局域網(wǎng)的訪問起到非常巨大的作用。對(duì)于利用ATM或者以太交換方式的交換式局域網(wǎng)技術(shù)的局域網(wǎng)絡(luò)，能夠通過VLAN 技術(shù)的有效利用來切實(shí)加強(qiáng)對(duì)于內(nèi)部網(wǎng)絡(luò)的管理，從而更加有效的保障局域網(wǎng)安全。

2.6 運(yùn)用訪問控制技術(shù)

通過訪問控制技術(shù)的運(yùn)用，可以保證局域網(wǎng)內(nèi)部的數(shù)據(jù)不被非法使用或者非法訪問。一般來說，用戶的入網(wǎng)訪問控制主要包括用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳戶的缺省限制檢查等幾個(gè)方面。一旦用戶連接并且登陸局域網(wǎng)，局域網(wǎng)管理員就能夠自動(dòng)授予該用戶適當(dāng)?shù)脑L問控制權(quán)限，用戶僅僅可以在它們自身的權(quán)限范圍內(nèi)進(jìn)行數(shù)據(jù)的增加、修改、刪除等操作。因此，通過這種方式，局域網(wǎng)內(nèi)部的數(shù)據(jù)只能夠被授權(quán)用戶進(jìn)行訪問。當(dāng)一個(gè)主體訪問一個(gè)客體時(shí)，必須符合各自的安全級(jí)別需求，應(yīng)遵守如下兩個(gè)原則：

①Read Down:主體安全級(jí)別必須高于被讀取對(duì)象的原則。

②Write up:主體安全級(jí)別必須低于被寫入對(duì)象的級(jí)別。

應(yīng)該注意的是，對(duì)于訪問控制權(quán)限的設(shè)定一定要嚴(yán)格按照最小權(quán)限原則，也就是說，用戶所擁有的權(quán)限不能超過他實(shí)現(xiàn)某個(gè)操作所必須的權(quán)限。只有明確用戶的操作，找出實(shí)現(xiàn)用戶操作的最小權(quán)限集，根據(jù)這個(gè)最小權(quán)限集，對(duì)用戶所擁有的權(quán)限進(jìn)行限制，才能實(shí)現(xiàn)最小權(quán)限原則。

2.7 建立良好的人才隊(duì)伍，提高計(jì)算機(jī)操作人員的安全意識(shí)

為了保證局域網(wǎng)的安全，建立良好的人才隊(duì)伍是非常重要的。通過具備較高的專業(yè)水平、較好的業(yè)務(wù)能力、較強(qiáng)的工作責(zé)任心的人才隊(duì)伍，可以做好局域網(wǎng)的合理規(guī)劃與建設(shè)，切實(shí)保證局域網(wǎng)日常的維護(hù)及管理工作，利用最為先進(jìn)的技術(shù)來防治局域網(wǎng)的各種安全隱患。

與此同時(shí)，也應(yīng)該提高計(jì)算機(jī)操作人員的安全意識(shí)?？梢约訌?qiáng)有關(guān)局域網(wǎng)安全的教育培訓(xùn)，建立健全科學(xué)合理的規(guī)章制度，切實(shí)提高所有人的安全意識(shí)。要求計(jì)算機(jī)操作人員必須規(guī)范操作各種局域網(wǎng)設(shè)備，合理設(shè)置設(shè)備以及軟件的密碼，特別是服務(wù)器密碼，必須是系統(tǒng)管理員才能掌握。

3 結(jié)束語

針對(duì)于局域網(wǎng)存在的安全隱患的防治工作不是一勞永逸的，而是一項(xiàng)復(fù)雜艱巨的系統(tǒng)工程。在進(jìn)行局域網(wǎng)的建設(shè)和管理過程中，一定要對(duì)于局域網(wǎng)中所存在的各種安全隱患進(jìn)行及時(shí)分析，采取最有效的措施來保證局域網(wǎng)的正常工作，為單位的信息化建設(shè)提供強(qiáng)有力的支撐力量。

參考文獻(xiàn)：

[1]洪超善.淺談局域網(wǎng)的信息安全與病毒防治策略[J].科學(xué)之友，2011，(04).

[2]閆雪萍，權(quán)琳.局域網(wǎng)安全隱患及其管理[J].廣播電視信息，2010，(01).

[3]羅弘.局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)中需要把握的三個(gè)技術(shù)環(huán)節(jié)[J]. 空中交通管理，2010，(08).

[4]華杰.局域網(wǎng)常見故障的解決方法及維護(hù)[J].軟件導(dǎo)刊，2009，(08).

[5]劉冰.關(guān)于局域網(wǎng)計(jì)算機(jī)的網(wǎng)絡(luò)維護(hù)[A].低碳經(jīng)濟(jì)與科學(xué)發(fā)展——吉林省第六屆科學(xué)技術(shù)學(xué)術(shù)年會(huì)論文集[C]，2010.

[6]劉天華，孫陽，朱宏峰.《網(wǎng)絡(luò)安全》科學(xué)出版社，2010.4.