任竹 劉楠楠 魯廣宇 陳磊

[摘 要]網(wǎng)絡(luò)安全不僅是當今學(xué)術(shù)界研究的重點課題，同時也是現(xiàn)代信息化建設(shè)的主要制約因素之一。本文從網(wǎng)絡(luò)安全的角度出發(fā)，就當前科研機構(gòu)局域網(wǎng)存在的問題，從多方面經(jīng)過深入探討提出了完善的安全管理方案。

[關(guān)鍵詞]科研機構(gòu);網(wǎng)絡(luò)安全;局域網(wǎng)管理

doi：10.3969/j.issn.1673 - 0194.2018.20.071

[中圖分類號]TP393.08[文獻標識碼]A[文章編號]1673-0194（2018）20-0-02

互聯(lián)網(wǎng)的發(fā)展已經(jīng)成為不可逆轉(zhuǎn)的趨勢，局域網(wǎng)技術(shù)也隨之逐漸普及。為了提高辦公的質(zhì)量，眾多科研機構(gòu)也使用局域網(wǎng)進行管理，但是隨著網(wǎng)絡(luò)安全問題日益嚴重，科研機構(gòu)的局域網(wǎng)管理也面臨著諸多新的挑戰(zhàn)。因此，為了保證局域網(wǎng)能夠良好運作，本文探討了基于網(wǎng)絡(luò)安全的科研機構(gòu)局域網(wǎng)管理。

1? ? ?科研機構(gòu)局域網(wǎng)管理概述

科研機構(gòu)建立的局域網(wǎng)通過以太網(wǎng)與外界的互聯(lián)網(wǎng)進行連接，一般采用防火墻來進行網(wǎng)絡(luò)管理和對威脅因素進行隔離防護。但是隨著木馬病毒的泛濫以及網(wǎng)絡(luò)攻擊形式的多樣化，僅靠防火墻管理已經(jīng)無法滿足當前的管理需要了?？蒲袡C構(gòu)局域網(wǎng)管理面臨著新的挑戰(zhàn)，經(jīng)過分析總結(jié)，主要原因來自以下兩個方面。

1.1? ?用戶管理問題

從局域網(wǎng)使用者角度進行分析，總結(jié)為兩個方面。一方面，科研機構(gòu)的局域網(wǎng)有效使用率很低，很大一部分都是被與辦公無關(guān)的應(yīng)用浪費，這些用戶的行為極大地占用了網(wǎng)絡(luò)帶寬，給局域網(wǎng)網(wǎng)絡(luò)帶來了擁堵。另一方面，由于一些用戶的安全意識薄弱和網(wǎng)絡(luò)安全知識匱乏，在訪問一些釣魚網(wǎng)站、下載一些帶有病毒的應(yīng)用或打開安全性未知的郵件時，惡意入侵者或者病毒會進入局域網(wǎng)，造成信息泄露，或者直接導(dǎo)致整個網(wǎng)

絡(luò)癱瘓。

1.2? ?網(wǎng)絡(luò)管理問題

從局域網(wǎng)管理者角度進行分析，同樣總結(jié)為兩個方面。一方面，科研機構(gòu)局域網(wǎng)在管理方面并沒有一套完善的管理規(guī)則，缺乏對上網(wǎng)信息進行嚴格的把關(guān)，不能及時地對有害信息進行分辨及過濾處理。另一方面，局域網(wǎng)管理人員的網(wǎng)絡(luò)維護意識亟需提高，對于網(wǎng)絡(luò)中需要應(yīng)用的更新和補丁沒有及時安裝，導(dǎo)致病毒或黑客入侵。另外，安全問題預(yù)防、緊急事件處理以及災(zāi)后恢復(fù)能力，從現(xiàn)階段看來都是遠遠不夠的。

2? ? ?科研機構(gòu)局域網(wǎng)管理的對策

科研機構(gòu)局域網(wǎng)的網(wǎng)絡(luò)安全問題，重在防微杜漸。針對局域網(wǎng)的安全現(xiàn)狀，本文從兩方面進行討論，在每個方面又進行細化分析，最大化地對局域網(wǎng)實現(xiàn)安全管理。

2.1? ?針對用戶方面的安全管理

在科研局域網(wǎng)遇到的安全問題中，除了外在惡意的攻擊之外，很多安全問題都是由于局域網(wǎng)中計算機用戶的不合理上網(wǎng)行為導(dǎo)致的。只有首先規(guī)范用戶的上網(wǎng)行為，局域網(wǎng)管理者才能在此基礎(chǔ)上去解決其他方面的安全問題。針對用戶使用的不同階段，分別提出了幾點管理措施。

2.1.1? ?接入階段：計算機準入機制管理

至今仍存在很多科研機構(gòu)對于外來計算機的接入不做任何識別和安全檢測，對于無線終端的接入更沒有準入控制。如果新接入的終端帶有病毒，將對整個局域網(wǎng)造成極大的安全威脅，因此必須對試圖連接局域網(wǎng)的新用戶進行準入控制。準入機制的原理很簡單，用戶的計算機或者無線終端在試圖接入時，必須進行嚴格的身份認證，只有符合安全狀態(tài)下的用戶才允許接入局域網(wǎng)，不符合安全條件的用戶被分入隔離區(qū)。另外，局域網(wǎng)中如果某臺計算機感染了病毒，準入機制就會自動將此計算機隔離到隔離區(qū)進行修復(fù)（包括病毒查殺、取消代理、升級病毒庫等操作），直到修復(fù)為安全狀態(tài)才能正常接入局域網(wǎng)使用。計算機的準入機制，是真正實現(xiàn)了檢查、隔離、修復(fù)為一體的安全預(yù)防機制。

2.1.2? ?分配階段：網(wǎng)絡(luò)地址管理

對于符合準入機制的用戶，局域網(wǎng)管理者需要對新用戶進行IP地址的分配與管理，如果分配不合理，則會對網(wǎng)絡(luò)造成嚴重的破壞，比如重復(fù)的IP地址會導(dǎo)致用戶無法上網(wǎng)，非法的IP地址可能會使入侵者發(fā)動IP地址欺騙攻擊。新一代的IP管理，能夠?qū)崿F(xiàn)高性能DHCP服務(wù)，采用IP地址與MAC地址進行綁定的方法，不僅避免了IP地址沖突，還可以減少ARP攻擊。另外，IP地址按照部門分段，由管理者統(tǒng)一分配，從而便于管理部門間的計算機，一旦出現(xiàn)問題也能更好地進行定位。

2.1.3? ?使用階段：用戶上網(wǎng)以及行為管理

對于局域網(wǎng)內(nèi)的用戶，控制其上網(wǎng)行為也非常重要，由于部分用戶的安全意識薄弱和安全知識匱乏，很容易造成不安全的上網(wǎng)行為，從而導(dǎo)致信息泄露或者病毒感染，所以對用戶的上網(wǎng)以及行為進行管理十分必要。下面從兩個方面進行分析。

（1）用戶訪問權(quán)限控制。局域網(wǎng)管理員會對安全問題提供防御策略以及對用戶的上網(wǎng)日志進行審查，一般通過對防火墻或者系統(tǒng)參數(shù)進行安全設(shè)置，這些特定的文件以及設(shè)置好的參數(shù)，禁止用戶訪問和進行刪改操作。另外，按部門管理計算機設(shè)備，不同的部門間禁止相互訪問。最后，對于未經(jīng)安全認證的外網(wǎng)，也禁止用戶訪問。

（2）用戶上網(wǎng)流量控制。很多用戶借用局域網(wǎng)下載視頻或者使用與工作無關(guān)的應(yīng)用占用大量的網(wǎng)絡(luò)帶寬，輕則影響網(wǎng)速，重則會因操作不當感染病毒。因此，需要控制用戶的使用流量，限制其帶寬。對于迅雷、各類網(wǎng)盤以及視頻網(wǎng)站的下載流量應(yīng)該進行嚴格控制，封閉所有頁游以及在線小說網(wǎng)站的端口。對上下行流量進行嚴格控制，是減少用戶因訪問感染病毒的有效方法，也是保證網(wǎng)絡(luò)暢通的有效手段。

2.2? ?針對技術(shù)方面的安全管理

除了用戶層面的管理外，更重要的取決于局域網(wǎng)管理者的管理。局域網(wǎng)管理者需要從技術(shù)方面進行多維的安全部署和防范，以及出現(xiàn)安全問題后對問題的排查以及災(zāi)后的恢復(fù)，都是局域網(wǎng)管理中的核心所在。下面從兩個方面進行探討。

2.2.1? ?流量的監(jiān)控以及帶寬的管理

通過流量分析以及帶寬管理，進行網(wǎng)絡(luò)優(yōu)化和安全防御。如果局域網(wǎng)內(nèi)某個計算機感染了病毒，最常見的表現(xiàn)就是大量發(fā)送數(shù)據(jù)，導(dǎo)致大量的帶寬被占用，從而出現(xiàn)網(wǎng)絡(luò)異?；蛘甙c瘓。對此，防御策略主要從3個方面進行討論。

第一，對局域網(wǎng)內(nèi)端口的流量都設(shè)置一個閾值，當使用的流量超過這個閾值時則發(fā)出安全警報，對超出部分進行區(qū)間劃分，超出越多則表明安全問題越嚴重，通過設(shè)立嚴重級別的方式進行流量分級。第二，部署入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是防火墻的補充，是第二道安全防線，通過實時監(jiān)測網(wǎng)絡(luò)中的報文和流量，進而做出響應(yīng)。入侵檢測系統(tǒng)對局域網(wǎng)中的異常流量進行監(jiān)控和分析，精準定位局域網(wǎng)中哪臺計算機有異常，從而進行處理。第三，應(yīng)用QoS（質(zhì)量管理）技術(shù)對帶寬進行管理。當用戶的不當操作或者感染病毒時，帶寬被大量消耗，導(dǎo)致網(wǎng)絡(luò)擁塞嚴重，管理者可以借助QoS技術(shù)有效增加網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)延遲。QoS技術(shù)通過利用區(qū)分服務(wù)模型區(qū)分不同類型的數(shù)據(jù)流量，進而保障各種網(wǎng)絡(luò)數(shù)據(jù)流量得到相應(yīng)的帶寬使用。

2.2.2? ?防范病毒

隨著網(wǎng)絡(luò)攻擊形式的多樣化，計算機病毒破壞造成的損失非常巨大，因具有復(fù)制性和傳染性，一旦局域網(wǎng)內(nèi)某臺計算機感染了病毒，則很可能造成整個網(wǎng)絡(luò)癱瘓。因此管理者必須要有完善的防御措施。

（1）安全意識和習(xí)慣。這一點不論是局域網(wǎng)的用戶還是管理者都應(yīng)該做到，要讓科研機構(gòu)局域網(wǎng)的所有使用者都能正確認識計算機病毒以及帶來的危害，普及相關(guān)的網(wǎng)絡(luò)安全常識，做到定期使用殺毒軟件殺毒、定期對系統(tǒng)應(yīng)用進行更新、及時處理安全補丁、不打開未知文件和不明鏈接。用戶能做到這些就能在很大程度上避免安全威脅。

（2）防御技術(shù)。在局域網(wǎng)內(nèi)使用虛擬專用網(wǎng)絡(luò)，即兩個設(shè)備之間不通過物理連接，而是網(wǎng)絡(luò)虛擬化來實現(xiàn)臨時的、安全的連接。并且它還提供防火墻技術(shù)、加密解密技術(shù)以及身份認證技術(shù)，可以從根本上減少黑客入侵以及病毒威脅。另外，對于不常用端口或者不需要的服務(wù)（如共享服務(wù)、Telnet等），管理員都可以進行關(guān)閉，避免成為攻擊的目標。

3? ? ?結(jié) 語

在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，局域網(wǎng)技術(shù)也被應(yīng)用于各個領(lǐng)域。隨著網(wǎng)絡(luò)安全技術(shù)的日益成熟，科研機構(gòu)局域網(wǎng)的安全問題也越來越引起了人們的重視。在現(xiàn)有的研究狀況下，雖然不能完全杜絕計算機病毒的感染和百分百防御黑客的攻擊，但是局域網(wǎng)內(nèi)相關(guān)人員必須認識到安全問題的嚴重性，通過了解網(wǎng)絡(luò)攻防的基礎(chǔ)知識，制訂一套有效可行的管理方案，盡最大可能地保證局域網(wǎng)環(huán)境的安全和穩(wěn)定。局域網(wǎng)用戶需要增強安全意識以及養(yǎng)成安全習(xí)慣，局域網(wǎng)的管理人員則需要做到事前預(yù)防、事中處理以及事后恢復(fù)，從而才能保證科研機構(gòu)局域網(wǎng)能夠正常運行，不斷提高工作效率。

注：陳磊，通訊作者

主要參考文獻

[1]聶凱，周清雷，朱維軍，等.基于時序邏輯的3種網(wǎng)絡(luò)攻擊建模[J].計算機科學(xué)，2018（2）.

[2]孫庚欣.淺談高校VPS主機安全風險及解決方案[J].中小企業(yè)管理與科技，2015（2）.

[3]張曉峰.交換機端口安全防護措施在內(nèi)網(wǎng)中的應(yīng)用[J].電子技術(shù)與軟件工程，2017（21）.

[4]馬占飛，陳虎年，楊晉，等.一種基于IPSO-SVM算法的網(wǎng)絡(luò)入侵檢測方法[J].計算機科學(xué)，2018（2）.

[5]林儀.基于集中存儲的文件系統(tǒng)的安全和保密研究（內(nèi)網(wǎng)安全管理系統(tǒng)的研究）[D].蘭州：蘭州大學(xué)，2012.

[6]劉家玉，荀廣連，曹萌，等.基于安全域的省級農(nóng)業(yè)科研單位網(wǎng)絡(luò)安全建設(shè)研究[J].江蘇農(nóng)業(yè)科學(xué)，2018（6）.

[7]葉峻.關(guān)于計算機無線局域網(wǎng)網(wǎng)絡(luò)的安全建設(shè)研究[J].計算機光盤軟件與應(yīng)用，2012（1）.

[8]楊慧娟.科研機構(gòu)信息系統(tǒng)的信息安全管理評價方法研究[D].北京：北京交通大學(xué)，2009.