劉建波　袁阿麗

【摘要】局域網(wǎng)在當(dāng)今各單位信息化建設(shè)中的作用舉足輕重，但其存在的安全問題也不容忽視。本文在分析威脅局域網(wǎng)安全主要因素的基礎(chǔ)上，著重探討了安全立法、教育管理以及技術(shù)等方面的防范措施，對提高局域網(wǎng)使用中的安全性具有重要意義。

【關(guān)鍵詞】局域網(wǎng) 安全 措施 技術(shù)

【中圖分類號】TP39 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01—0146-01

當(dāng)今社會，基于網(wǎng)絡(luò)技術(shù)的局域網(wǎng)在各單位、企業(yè)、公司廣泛應(yīng)用，并發(fā)揮了舉足輕重的作用。然而，局域網(wǎng)在給我們工作生活帶來巨大便利的同時，也存在不容忽視的安全問題。分析局域網(wǎng)安全問題，并采取相應(yīng)措施加以防范，對于一個單位的辦公安全、經(jīng)濟(jì)安全乃至整個數(shù)據(jù)信息的安全都具有十分重要的意義。

一、威脅局域網(wǎng)安全的主要因素

目前，局域網(wǎng)中重建設(shè)使用、輕安全管理的現(xiàn)象還很普遍。因此，對安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求。

（一）安全意識淡薄

局域網(wǎng)用戶信息安全的觀念和意識明顯滯后于網(wǎng)絡(luò)建設(shè)速度，這是局域網(wǎng)安全問題的思想根源。比如有的用戶為圖方便，隨意開啟硬盤和打印機共享、遠(yuǎn)程桌面連接等功能，為他人從遠(yuǎn)程發(fā)動攻擊提供了途徑；有的用戶在日常使用中，對超級管理員帳號不設(shè)密碼或所設(shè)密碼過于簡單，他人很容易猜出密碼而獲得超級權(quán)限。

（二）人為攻擊

人為惡意攻擊是局域網(wǎng)安全的主要威脅。攻擊者利用系統(tǒng)的漏洞或用戶的疏忽，以各種方式有選擇地破壞信息的有效性、完整性和真實性，其目的在于篡改系統(tǒng)中所含信息，或改變系統(tǒng)的狀態(tài)和操作，或通過信息的破譯以獲得重要機密信息，對網(wǎng)絡(luò)安全造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。

（三）計算機病毒

自從1986年計算機病毒的出現(xiàn)被專家們在實驗中證實以后，便迅速蔓延到全世界，一個小巧的病毒程序可令一臺微型計算機、一個大型計算機系統(tǒng)或一個網(wǎng)絡(luò)陷入癱瘓。這充分反映了計算機病毒的危害性。這樣的例子很多，例如一個網(wǎng)絡(luò)教室局域網(wǎng)經(jīng)常會發(fā)生這樣的情況：一臺機子染毒，稍不注意，很快所有機子都被感染并使局域網(wǎng)癱瘓。

（四）網(wǎng)絡(luò)軟件漏洞和“后門”

我們使用的網(wǎng)絡(luò)軟件不可能是百分之百無缺陷和漏洞的。這些漏洞和缺陷恰恰也是黑客進(jìn)行攻擊的首選目標(biāo)。軟件的“后門”是軟件設(shè)計編程人員為自便而設(shè)置的，一般不為外人所知，可是一旦“后門”洞開，將使黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用成為可能。

二、局域網(wǎng)安全問題主要對策

局域網(wǎng)安全是一個復(fù)雜的系統(tǒng)工程，它至少應(yīng)包括：社會的法律法規(guī)；安全教育；安全管理；技術(shù)措施如防火墻、網(wǎng)絡(luò)防毒、信息加密、網(wǎng)絡(luò)監(jiān)控等。

（一）安全立法是前提

隨著網(wǎng)絡(luò)應(yīng)用的普及，計算機犯罪日益增加。網(wǎng)絡(luò)的發(fā)展需要法律的支持和保障。世界各國紛紛制定相關(guān)的法律法規(guī)。我國《刑法》對計算機犯罪作了明文規(guī)定，對多種計算機犯罪形式規(guī)定了相應(yīng)的懲治條款，這是防范、打擊計算機犯罪的有力武器。先后出臺的《計算機信息系統(tǒng)保密管理暫行規(guī)定》、《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》等為確保計算機信息網(wǎng)絡(luò)健康有序地發(fā)展提供了保障。

（二）教育管理是保障

對于局域網(wǎng)安全而言，法律制裁只能提供一種威懾，我們還必須從教育管理的角度采取措施，增加局域網(wǎng)系統(tǒng)的自我防范能力。安全教育的目的不僅是提高防范意識，同時還要自覺抵制利用計算機進(jìn)行各類犯罪活動的誘惑。重視信息化的安全教育，還在于盡快培養(yǎng)一批信息化安全的專門人材，提高全民的信息化安全意識。此外，要建立與系統(tǒng)相配套的有效地和健全的管理制度，對管理和操作人員起到鼓勵和監(jiān)督的作用；要制定預(yù)防措施和恢復(fù)補救辦法，杜絕人為差錯和外來干擾，保證網(wǎng)絡(luò)運行過程有章可循、按章辦事。

（三）安全技術(shù)是基礎(chǔ)

一是防火墻技術(shù)。防火墻是位于局域網(wǎng)與外部網(wǎng)絡(luò)之間的屏障，它主要對進(jìn)出局域網(wǎng)的數(shù)據(jù)包進(jìn)行過濾。它一般有包過濾技術(shù)、代理技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)等三種工作方式。包過濾技術(shù)通過數(shù)據(jù)包的簡單信息對其安全性加以判斷，因此，其安全性不高。而應(yīng)用網(wǎng)關(guān)技術(shù)則將要進(jìn)入局域網(wǎng)的信息包打開，檢查里面的內(nèi)容有沒有破壞性的信息。一旦信息包被檢查通過，網(wǎng)關(guān)按其內(nèi)容創(chuàng)建一個新的信息包在局域網(wǎng)中傳輸，從而確保網(wǎng)內(nèi)數(shù)據(jù)包的安全。代理服務(wù)技術(shù)則是在局域網(wǎng)與外部網(wǎng)絡(luò)之間設(shè)立一個代理服務(wù)器，局域網(wǎng)與外部網(wǎng)絡(luò)之間沒有直接的連接關(guān)系。局域網(wǎng)內(nèi)部的客戶機欲訪問外部網(wǎng)絡(luò)，首先訪問作為防火墻的代理服務(wù)器，然后通過代理服務(wù)器運行的代理服務(wù)程序，再去訪問外部網(wǎng)絡(luò)的資源。因此，代理服務(wù)技術(shù)有較高的安全性。

二是數(shù)據(jù)加密技術(shù)。加密技術(shù)是在存儲或傳輸數(shù)據(jù)之前，先對數(shù)據(jù)按照一定的規(guī)則進(jìn)行編碼，以防止非法用戶讀取數(shù)據(jù)，從而保障信息數(shù)據(jù)的安全性。目前，網(wǎng)絡(luò)中常用的加密方法有對稱密鑰加密方法和非對稱密鑰加密方法兩大類。對稱密鑰加密方法雖然簡單易行，但它也存在密鑰管理量巨大、易被破解等問題。而非對稱密鑰加密法采用了復(fù)雜的數(shù)學(xué)處理，因此其加密強度高但加密速度較慢。在實際應(yīng)用中，通常把非對稱密鑰法與對稱密鑰法結(jié)合起來以實現(xiàn)最佳性能。對涉密信息在局域網(wǎng)內(nèi)部存儲以及在網(wǎng)間傳輸可以使用上述加密法進(jìn)行處理，以提高信息的保密性。

三是安全監(jiān)控技術(shù)。網(wǎng)絡(luò)安全監(jiān)控就是檢查網(wǎng)絡(luò)中的各個系統(tǒng)的文件和登錄以及各種網(wǎng)絡(luò)行為。常用的方法有入侵檢測和漏洞掃描。入侵檢測系統(tǒng)位于局域網(wǎng)與外部網(wǎng)絡(luò)之間或位于局域網(wǎng)的敏感部位，通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流，將用戶當(dāng)前的網(wǎng)絡(luò)行為與其正常行為的統(tǒng)計概要或入侵行為規(guī)則進(jìn)行對比，尋找網(wǎng)絡(luò)攻擊行為和違規(guī)的網(wǎng)絡(luò)活動。一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或違規(guī)活動時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出實時響應(yīng)，包括實時報警、自動阻斷通信連接或執(zhí)行用戶自定義的策略程序等。而漏洞掃描本身并不能起到保護(hù)計算機系統(tǒng)的作用，對每個發(fā)現(xiàn)的漏洞也不會及時加補丁。漏洞掃描只是幫助局域網(wǎng)管理者發(fā)現(xiàn)入侵者潛在的進(jìn)入點。漏洞掃描不檢測合法用戶不合適的訪問，也不檢測已經(jīng)在系統(tǒng)中的入侵者。因此其安全功能具有一定的局限性。

四是數(shù)據(jù)備份和冗余技術(shù)。數(shù)據(jù)備份是把存儲的數(shù)據(jù)復(fù)制到其他存儲介質(zhì)上，以確保在系統(tǒng)發(fā)生災(zāi)難事件后能盡可能的恢復(fù)數(shù)據(jù)減小損失。數(shù)據(jù)冗余技術(shù)是一種技術(shù)更高的磁盤備份技術(shù)，它是將數(shù)據(jù)同時寫入不同硬盤，就好像是同時建立了幾個相同的硬盤，一個出故障，另一個能立即頂替，防止系統(tǒng)硬盤的單點故障，保證系統(tǒng)不間斷的正常工作。這一安全環(huán)節(jié)與局域網(wǎng)管理員的實際工作關(guān)系密切，所以系統(tǒng)管理員要定期地備份文件系統(tǒng)或選擇合適的磁盤冗余陣列，以便在非常情況下（如系統(tǒng)癱瘓或受到黑客的攻擊破壞時）能及時恢復(fù)系統(tǒng)，將損失減少到最低。

五是病毒防治技術(shù)。病毒的防治，防是主動的，治是被動的。防就是盡量避免病毒的入侵。我們應(yīng)盡量做到：對外來存儲介質(zhì)要做到先掃描殺毒然后再使用；不要隨意打開來歷不明的文件或郵件。在治理上，則要盡量安裝正版知名的殺毒軟件，并經(jīng)常對殺毒軟件病毒庫升級，對全盤進(jìn)行徹底掃描殺毒。

其實，從某種意義上說，局域網(wǎng)安全的各種防范對策并不能從根本上解決網(wǎng)絡(luò)安全問題，安全的問題歸根結(jié)底還是人的問題，安全問題的最終解決還在于提高人的道德素質(zhì)。