黃 幸，韓 磊，黃清杉

（中國(guó)人民解放軍75310部隊(duì)，湖北 武漢 430071）

局域網(wǎng)安全威脅及防護(hù)分析

黃 幸，韓 磊，黃清杉

（中國(guó)人民解放軍75310部隊(duì)，湖北 武漢 430071）

局域網(wǎng)是在有限范圍內(nèi)實(shí)現(xiàn)數(shù)據(jù)通信和資源共享的封閉型計(jì)算機(jī)網(wǎng)絡(luò)，因使用靈活、便于安裝、易于擴(kuò)展，被廣泛應(yīng)用于公司、企業(yè)、學(xué)校等構(gòu)建高效的內(nèi)部網(wǎng)絡(luò)。大部分單位只注重局域網(wǎng)的應(yīng)用建設(shè)，建設(shè)結(jié)構(gòu)簡(jiǎn)單，但缺乏嚴(yán)密的安全措施，在享受局域網(wǎng)便捷的同時(shí)，也為病毒的傳播提供了通道。因此，要深入了解局域網(wǎng)安全技術(shù)，認(rèn)識(shí)到威脅局域網(wǎng)安全的因素，做好局域網(wǎng)安全防護(hù)工作，使得局域網(wǎng)在日益廣泛的應(yīng)用中提供更為高效可靠的網(wǎng)絡(luò)平臺(tái)。

局域網(wǎng)；安全；防護(hù)

隨著科學(xué)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的普及，許多單位都應(yīng)用簡(jiǎn)單的交換技術(shù)搭建了自己的局域網(wǎng)，實(shí)現(xiàn)無紙化辦公和資源共享，提高工作效率。但在網(wǎng)絡(luò)這個(gè)不斷更新?lián)Q代的世界里，網(wǎng)絡(luò)中的安全威脅無處不在，安全威脅時(shí)時(shí)刻刻都在演化，局域網(wǎng)在帶來便利的同時(shí)，也存在著巨大的安全問題，容易受到惡意軟件、黑客、病毒等的攻擊。因此計(jì)算機(jī)局域網(wǎng)的安全問題隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及越來越為嚴(yán)峻。

1 局域網(wǎng)安全問題分析

簡(jiǎn)單來說，局域網(wǎng)就是將距離比較近的一些通信設(shè)備（包括計(jì)算機(jī)、外部設(shè)備、數(shù)據(jù)處理終端等）通過數(shù)據(jù)交換設(shè)備，傳輸介質(zhì)組成的一個(gè)封閉式的工作網(wǎng)絡(luò)。局域網(wǎng)使用靈活、便于安裝、易于擴(kuò)展，然而由于技術(shù)簡(jiǎn)單，其便捷的也成為網(wǎng)絡(luò)攻擊的弱點(diǎn)，構(gòu)成其安全隱患，主要表現(xiàn)在結(jié)構(gòu)的簡(jiǎn)單化、資源的共享性和用戶自身安全意識(shí)的缺乏3個(gè)方面。

1.1 局域網(wǎng)結(jié)構(gòu)簡(jiǎn)單

目前的局域網(wǎng)基本上都是一條網(wǎng)線經(jīng)過路由器、交換機(jī)連接很多設(shè)備。多臺(tái)電腦共享一條網(wǎng)線，一個(gè)局域網(wǎng)內(nèi)部一般不存在交換節(jié)點(diǎn)和路由選擇問題，如果有一臺(tái)電腦感染了病毒，很快其他電腦也會(huì)感染上，那就將導(dǎo)致病毒直接快速在局域網(wǎng)內(nèi)傳播，輕則降低網(wǎng)絡(luò)速度，影響工作效率，造成數(shù)據(jù)經(jīng)常丟失，數(shù)據(jù)安全性低。如果感染了局域網(wǎng)中服務(wù)器，病毒屢殺不盡，破壞了服務(wù)器信息，那就會(huì)讓整個(gè)數(shù)據(jù)交換共享網(wǎng)絡(luò)處于一種混亂甚至癱瘓狀態(tài)，有可能使得多年保存的工作信息毀于一旦。

1.2 局域網(wǎng)資源的共享性

資源共享是局域網(wǎng)應(yīng)用的主要目的，在工作辦公中，其可以極大地為內(nèi)部相互交流提供便利。對(duì)于外置設(shè)備如打印機(jī)的共享，可以供整個(gè)單位使用，節(jié)省了辦公成本和時(shí)間，大大提高工作效率。隨著聯(lián)網(wǎng)需求的日益增長(zhǎng)，接入局域網(wǎng)計(jì)算機(jī)逐漸增多，這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。

1.3 用戶安全意識(shí)不夠

為了維護(hù)好本單位自身局域網(wǎng)，很多單位都設(shè)置了網(wǎng)絡(luò)信息中心這樣的部門，但是也存在一種這樣的普遍現(xiàn)象。許多人都認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全與維護(hù)只與網(wǎng)管中心的人有關(guān)系，自己只要會(huì)使用電腦就可以了，根本就沒有概念及時(shí)對(duì)電腦網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期的更新、維護(hù)和檢查工作。計(jì)算機(jī)終端使用者的安全意識(shí)不足，在日常計(jì)算機(jī)使用中對(duì)網(wǎng)絡(luò)安全抱著無所謂不關(guān)心的態(tài)度，認(rèn)為不過是病毒而已也沒什么大的問題。殊不知只要一臺(tái)電腦感染了病毒不及時(shí)處理將會(huì)影響到局域網(wǎng)中的其他電腦和整個(gè)局域網(wǎng)的運(yùn)行，甚至?xí)斐蓡挝痪W(wǎng)絡(luò)系統(tǒng)全盤崩散，給單位造成不可避免的損失。

2 局域網(wǎng)安全防護(hù)措施

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是局域網(wǎng)信息傳輸?shù)臉屑~，提供局域網(wǎng)安全防護(hù)的基礎(chǔ)；網(wǎng)絡(luò)防衛(wèi)軟件是局域網(wǎng)信息傳輸?shù)倪^濾器，是局域網(wǎng)安全防護(hù)的衛(wèi)士；使用者的安全防護(hù)意識(shí)和知識(shí)，是局域網(wǎng)信息傳輸?shù)睦?，提供網(wǎng)絡(luò)日新月異發(fā)展下網(wǎng)絡(luò)安全保護(hù)的保障。只有做到了這些方面的措施，才能實(shí)現(xiàn)對(duì)局域網(wǎng)的安全防護(hù)。

2.1 建立分級(jí)防護(hù)機(jī)制

由于局域網(wǎng)信息系統(tǒng)是科學(xué)技術(shù)發(fā)展的產(chǎn)物，應(yīng)生活和工作的需要而構(gòu)造建立的，是社會(huì)構(gòu)成、行政組織體系的反映，這種信息系統(tǒng)的結(jié)構(gòu)是分層次和級(jí)別的。各種信息系統(tǒng)具有重要的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值，而不同的系統(tǒng)具有的價(jià)值和社會(huì)意義也是不一樣的。系統(tǒng)基礎(chǔ)資源多少、用戶訪問權(quán)限的大小、信息資源的價(jià)值大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等等就是劃分不同級(jí)別的客觀體現(xiàn)。

信息安全保護(hù)必須符合網(wǎng)絡(luò)構(gòu)建客觀存在和發(fā)展規(guī)律，將其分級(jí)、分區(qū)域、分類和分階段，對(duì)于做好國(guó)家信息安全保護(hù)很重要。根據(jù)局域網(wǎng)內(nèi)部各節(jié)點(diǎn)的重要性和私密性來劃分不同的安全等級(jí)，比如普通用戶處于第一層級(jí)，特權(quán)用戶處于第二層級(jí)，應(yīng)用服務(wù)器屬于第三層級(jí)，數(shù)據(jù)服務(wù)器處于第四層級(jí)。在不同層級(jí)、不同業(yè)務(wù)系統(tǒng)之間，通過軟件或者硬件防火墻、ACL等措施加以隔離和過濾，按最低權(quán)限的準(zhǔn)則發(fā)放各層級(jí)的訪問權(quán)限。

2.2 安裝防火墻

防火墻系統(tǒng)作為一種網(wǎng)絡(luò)安全部件可分為硬件防火墻、軟件防火墻和芯片級(jí)防火墻。這些安全部件所安裝的位置和保護(hù)作用都是不一樣的，比如硬件防火墻處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，在物理上將局域網(wǎng)內(nèi)部相互隔開；軟件防火墻則根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾接收進(jìn)出于被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，在計(jì)算機(jī)終端起到阻隔保護(hù)的作用。防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓。對(duì)于一些大型單位和企業(yè)，部門較多，各個(gè)部門又相互獨(dú)立但是又要同時(shí)存在一個(gè)大型局域網(wǎng)內(nèi)，這種情況我們可以采取劃分VLAN的形式將各個(gè)部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都放在各自的VLAN內(nèi)，互不干擾，控制內(nèi)網(wǎng)安全。

2.3 安裝網(wǎng)絡(luò)監(jiān)聽監(jiān)測(cè)系統(tǒng)

防火墻只能根據(jù)局域網(wǎng)通信規(guī)則和現(xiàn)有的經(jīng)驗(yàn)來制定相應(yīng)的ACL，以此達(dá)到控制流量的目的，但對(duì)于潛在的、未知的網(wǎng)絡(luò)攻擊并不能做到智能化檢測(cè)和隔離。在網(wǎng)絡(luò)環(huán)境日益復(fù)雜，攻擊手段層出不窮的今天，必須采用網(wǎng)絡(luò)監(jiān)聽監(jiān)測(cè)系統(tǒng)，對(duì)關(guān)鍵出入口的流量進(jìn)行長(zhǎng)期的監(jiān)聽，對(duì)日常流量進(jìn)行統(tǒng)計(jì)分析，建立保存相關(guān)數(shù)據(jù)，在此基礎(chǔ)上，分析可能潛在的攻擊行為、攔截傳輸?shù)姆欠▋?nèi)容，以便及時(shí)更新防火墻，并向上級(jí)安全網(wǎng)管中心報(bào)告，采取下一步的措施。

2.4 加強(qiáng)網(wǎng)絡(luò)安全管理保障

俗話說：“三分技術(shù)，七分管理”這不僅僅要求對(duì)工作人員進(jìn)行定期培訓(xùn)，還要求客戶端使用人員增強(qiáng)安全意識(shí)和豐富安全知識(shí)，提高單位全體人員整體網(wǎng)絡(luò)安全素質(zhì)。一方面要讓技術(shù)人員真正掌握網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)管理各方面的知識(shí)，使整套安全策略得到充分的執(zhí)行和實(shí)施，組織專門的計(jì)算機(jī)運(yùn)維隊(duì)伍；另一方面，要清醒地認(rèn)識(shí)到很多時(shí)候系統(tǒng)運(yùn)行失敗是內(nèi)部人員對(duì)計(jì)算機(jī)操作不當(dāng)造成的。對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，建立合理的政策指導(dǎo)客戶端使用人員正確安裝防病毒軟件和軟件防火墻，學(xué)習(xí)查殺病毒和備份重要的數(shù)據(jù)。特別注意在使用移動(dòng)存儲(chǔ)設(shè)備之前，要先進(jìn)行病毒的掃描和查殺，確認(rèn)安全后再使用，減少移動(dòng)存儲(chǔ)設(shè)備將病毒傳入到本地電腦引起局域網(wǎng)崩盤。

3 結(jié)語

在信息技術(shù)日新月異發(fā)展的今天，網(wǎng)絡(luò)安全工作仍是復(fù)雜的系統(tǒng)工程，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，制定合理的維護(hù)手段，不斷調(diào)整安全策略，盡可能地把不安全的因素降到最低，才能減少網(wǎng)絡(luò)事故的發(fā)生，維持局域網(wǎng)的安全，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)，真正提供一個(gè)高效、可靠、安全的網(wǎng)絡(luò)化自動(dòng)化辦公環(huán)境。

[1]倪超凡.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].赤峰學(xué)院學(xué)報(bào)，2009（12）：45-46.

[2]蔡立軍，李立明，李峰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國(guó)水利水電出版社，2005.

LAN security threats and protection analysis

Huang Xing, Han Lei, Huang Qingshan
（PLA 75310 Unit, Wuhan 430071, China）

Local area network(LAN) is the closed computer network that realizes over a limited range of data communication and resource sharing. Due to the advantages of flexible use, easy to install, easy to expand, it is widely used building efficient internal network of the companies, enterprises and schools, etc. But due to the lack of the strict security measures and simple construction structure, most units only focus on the application of LAN construction convenient. While enjoying the convenience of LAN, it also provides the effective channel for the spread of the virus. So we should deeply understand LAN technology, realizing the factors threaten the security of a local area network, doing a good job in local area network security protection. Then, local area network in the increasingly extensive application will provide a more effective and reliable network platform.

local area network; security; protection

黃幸（1984— ），女，湖南懷化，碩士，助理工程師。