張華貴 劉陽春

摘要：現(xiàn)在已進(jìn)入信息高速發(fā)展的時代，信息成就了局域網(wǎng)的發(fā)展，局域網(wǎng)內(nèi)部通過信息網(wǎng)絡(luò)進(jìn)行辦公管理，大大提高了各方面的效率，但在局域網(wǎng)信息網(wǎng)絡(luò)中，如何保證信息安全，使局域網(wǎng)信息不泄露，不被病毒破壞，這是一個關(guān)鍵性的問題，該文就局域網(wǎng)安全管理問題提出一些相關(guān)的解決方法，使局域網(wǎng)信息網(wǎng)絡(luò)安全得到保障，提升局域網(wǎng)網(wǎng)絡(luò)信息安全。

關(guān)鍵詞：信息安全;漏洞管理;病毒;木馬

中圖分類號：TP393 ? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）31-0078-03

1 背景

隨著國際信息高速的快速發(fā)展，信息網(wǎng)絡(luò)的快速建設(shè)，計算機(jī)和通信技術(shù)的跨越式發(fā)展，網(wǎng)絡(luò)已經(jīng)完全覆蓋了整個世界，無論是局域網(wǎng)、校園等，人們都已經(jīng)離不開信息網(wǎng)絡(luò)了，大到網(wǎng)絡(luò)辦公、視頻會議、遠(yuǎn)程醫(yī)療，小到網(wǎng)上交費(fèi)、訂餐、購物等，就連老人和小孩也能通過信息網(wǎng)絡(luò)來查找遇到的問題，尋求相關(guān)的解決方案。然而，卻并沒有多少人重視信息安全的問題，對于局域網(wǎng)來說更是如此，筆者曾經(jīng)到一個局域網(wǎng)做安全培訓(xùn)工作，結(jié)果發(fā)現(xiàn)這個局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全完全沒有防范意識，路由器直接因特網(wǎng)，內(nèi)部網(wǎng)絡(luò)連上交換機(jī)后通過路由器直接上網(wǎng)，即沒有安裝防火墻，也沒有安裝殺毒軟件，甚至連電腦系統(tǒng)的密碼也沒有設(shè)置。好多人認(rèn)為反正是局域網(wǎng)網(wǎng)，不會有太多的安全風(fēng)險，這種認(rèn)識是非常片面的，因為據(jù)統(tǒng)計，非常多的問題都是由于內(nèi)部缺乏對信息安全的重視所引起的，一旦出現(xiàn)問題，破壞往往是巨大的，輕則數(shù)據(jù)被破壞，重則被黑客入侵，局域網(wǎng)涉密信息被盜走。鑒于此，應(yīng)該加強(qiáng)局域網(wǎng)信息安全管理，防止局域網(wǎng)失泄密及數(shù)據(jù)損壞等情況發(fā)生，有效做好局域網(wǎng)信息安全防護(hù)。

2 ?局域網(wǎng)信息網(wǎng)絡(luò)面臨的威脅

局域網(wǎng)信息網(wǎng)絡(luò)安全所面臨的威脅主要有系統(tǒng)漏洞、病毒導(dǎo)致的威脅、物聯(lián)網(wǎng)帶來的威脅、人工智能帶來的威脅、木馬和間諜軟件帶來的威脅、人為原因帶來的威脅等六種。如圖1所示。

2.1 系統(tǒng)漏洞帶來的安全威脅

系統(tǒng)漏洞是指我們平常使用的應(yīng)用軟件以及操作系統(tǒng)如Windows，Unix，VMware，Linux等，它們在開發(fā)的時候由于各種原因最終導(dǎo)致程序出現(xiàn)了缺陷或漏洞[2]，電腦高手可以充分利用這些缺陷和漏洞進(jìn)攻電腦，獲取電腦的控制權(quán)，往電腦或局域網(wǎng)網(wǎng)絡(luò)中植入木馬和病毒等，破壞計算機(jī)系統(tǒng)和網(wǎng)絡(luò)，嚴(yán)重時還會造成大面積網(wǎng)絡(luò)癱瘓，造成局域網(wǎng)重大損壞。漏洞的影響非常大，不單是對服務(wù)器系統(tǒng)，甚至是交換機(jī)系統(tǒng)以及防火墻系統(tǒng)都有可能會存在各種安全漏洞。如我們所熟知的UPNP漏洞，可以直接與網(wǎng)絡(luò)進(jìn)行連接進(jìn)行WEB訪問，我們所需要做的就是要關(guān)閉這項服務(wù);還有3389遠(yuǎn)程訪問、壓縮文件漏洞等很多。任何一個軟件或操作系統(tǒng)的設(shè)計都不是完美的，或多或少都會有些漏洞，我們只有正視這些漏洞，才能處理好系統(tǒng)漏洞給我們帶來的安全威脅。

2.2 病毒帶來的安全威脅

現(xiàn)代計算機(jī)病毒發(fā)展特別快，種類繁多，這方面的高手也是層出不窮，病毒帶來的危害也是越來越大。前幾年的CIH病毒，甚至能夠破壞計算機(jī)的主板CMOS中的程序，導(dǎo)致硬件損壞。而這幾年的病毒增加了不少新花樣。如勒索軟件，它實際上也是一種病毒，一旦感染，它會將計算機(jī)中所有的文檔進(jìn)行加密處理，導(dǎo)致用戶的文檔打不開，要想打開文檔并編輯，除非支付酬金解除程序的鎖定，這就類似于把你的計算機(jī)進(jìn)行了綁架，除非你拿贖金進(jìn)行交換。僵尸網(wǎng)絡(luò)也是一種比較嚴(yán)重的病毒，通常，黑客會通過遠(yuǎn)程技術(shù)控制僵尸網(wǎng)絡(luò)計算機(jī)，然后攻擊其他計算機(jī)，并發(fā)送相應(yīng)的文件等，破壞巨大，客戶端的計算機(jī)通常點(diǎn)擊下載或收發(fā)EMAIL，就會中招計算機(jī)蠕蟲病毒，它會感染計算機(jī)及網(wǎng)絡(luò)，使他們不能運(yùn)行或停止工作，現(xiàn)代局域網(wǎng)的網(wǎng)絡(luò)中，這種病毒存在比較廣泛。加密貨幣劫持，就是黑客通過控制你的計算機(jī)進(jìn)行有關(guān)貨幣劫持的相關(guān)操作，如“挖礦”等操作，加密貨幣劫持的工作原理是通過計算機(jī)病毒感染受害者的計算機(jī)，這種病毒利用處理器等硬件資源來挖掘加密貨幣，這將大大影響計算機(jī)使用者的性能，還被動地為黑客提供了經(jīng)濟(jì)利益。

2.3 物聯(lián)網(wǎng)帶來的安全威脅

現(xiàn)代社會，信息網(wǎng)絡(luò)已經(jīng)聯(lián)通了各個行業(yè)，物聯(lián)網(wǎng)和人工智能也已經(jīng)來到了我們身邊。上至家庭使用的冰箱、彩電、加溫器等，下至公司局域網(wǎng)的物流及各種設(shè)備都可以連入網(wǎng)絡(luò)，與之帶來的安全問題也尤為突出，人們對物聯(lián)網(wǎng)的安全認(rèn)識并沒有提高，所以導(dǎo)致物聯(lián)網(wǎng)的設(shè)備很容易被黑客利用作為入侵的肉雞和跳板，如果不做好相應(yīng)的防范措施，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)就會出現(xiàn)極大風(fēng)險。

2.4 人工智能帶來的安全威脅

人工智能是現(xiàn)今社會發(fā)展的一大趨勢，各行各業(yè)都在使用人工智能設(shè)備，雖然人工智能本身也具備防病毒和黑客的功能，但其由于其AI技術(shù)的發(fā)展，也容易被黑客利用，我們經(jīng)常在新聞中看到有智能機(jī)器人不受控制、智能汽車失控、智能電視播放不受控制的內(nèi)容等，當(dāng)人工智能底層程序被植入相關(guān)代碼后，人工智能進(jìn)行自我學(xué)習(xí)，進(jìn)行改造自身程序，自我進(jìn)化，使網(wǎng)絡(luò)安全的防范更為困難，現(xiàn)在已經(jīng)發(fā)生過關(guān)于智能機(jī)器人攻擊人類、智能駕駛汽車不聽指令等事件，這些都給我們敲響了安全的警鐘。

2.5 木馬和間諜軟件帶來的安全威脅

木馬，也就是“特洛伊木馬”，它是通過合法的手段隱藏在正常程序或代碼里面，利用正常手段進(jìn)入局域網(wǎng)網(wǎng)絡(luò)，在被觸發(fā)后實施相應(yīng)的控制[3]。進(jìn)入到計算機(jī)后，它可以控制攝像頭，控制鍵盤等，記錄用戶所有的相關(guān)操作及敏感數(shù)據(jù)，如登錄銀行地址、輸入的用戶名和密碼等信息，然后通過設(shè)定好的路徑將這些信息發(fā)送給發(fā)給制作者。間諜軟件也基本相同，通常會附加在正常的軟件或電子郵件中，當(dāng)用戶下載軟件并運(yùn)行、或點(diǎn)擊某個電子郵件的附件后就會被安裝到計算機(jī)中而用戶卻并不知情，在此情況下竊取信息。

2.6 人為原因?qū)е碌陌踩{

人為原因?qū)е碌陌踩{有很多，比如因為單位一些管理制度不健全、規(guī)章制度落實得不好，工作人員不注意將信息拷貝后拿到家里進(jìn)行編輯，同時還聯(lián)通WEB網(wǎng)絡(luò)，隨意在局域網(wǎng)網(wǎng)絡(luò)中使用移動存儲設(shè)備等，這些都會給網(wǎng)絡(luò)帶來一系列的嚴(yán)重問題。

3 針對安全威脅實施的有效管理方法

3.1 部署漏洞掃描補(bǔ)丁更新服務(wù)器

在局域網(wǎng)內(nèi)部的信息網(wǎng)絡(luò)中，部署一臺漏洞掃描和補(bǔ)丁分發(fā)的服務(wù)器，這臺服務(wù)器主要實現(xiàn)3個功能：

1） 漏洞掃描功能：漏洞掃描主要是使用系統(tǒng)定制的攻擊方案對網(wǎng)內(nèi)的所有計算機(jī)進(jìn)行各種端口掃描，如果某臺計算機(jī)開放了某個端口，就可能會出現(xiàn)針對這個端口的漏洞，掃描完成后會對整個網(wǎng)絡(luò)生成一個漏洞掃描報告，管理人員就可針對這些情況做出相應(yīng)的對策，漏洞掃描不僅針對局域網(wǎng)網(wǎng)絡(luò)中的個人計算機(jī)，也可以掃描內(nèi)部網(wǎng)絡(luò)的服務(wù)器和各種網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器和防火墻等，對于這些設(shè)備發(fā)現(xiàn)的漏洞也要采取相應(yīng)的方案進(jìn)行解決。

2） 補(bǔ)丁下載功能：服務(wù)器會根據(jù)網(wǎng)絡(luò)掃描情況，將網(wǎng)內(nèi)系統(tǒng)需要的補(bǔ)丁自動下載到服務(wù)器中的UPDATE目錄中，這個補(bǔ)丁也包括了系統(tǒng)中的常用軟件更新補(bǔ)丁，因為許多常用軟件也會存在相應(yīng)的漏洞，同時，服務(wù)器會向所有的客戶端計算機(jī)發(fā)送更新通知，讓用戶進(jìn)行系統(tǒng)更新，修復(fù)系統(tǒng)和軟件的漏洞。

3） 服務(wù)通信功能：負(fù)責(zé)網(wǎng)絡(luò)內(nèi)的計算機(jī)和這臺服務(wù)器之間傳輸補(bǔ)丁數(shù)據(jù)并統(tǒng)計補(bǔ)丁更新情況，也可以在服務(wù)器中實施自動部署更新方案，比例利用每天晚上11點(diǎn)自動為客戶端系統(tǒng)更新所有掃描到的漏洞補(bǔ)丁包。

3.2 安裝網(wǎng)絡(luò)版殺毒軟件

在局域網(wǎng)網(wǎng)絡(luò)內(nèi)部服務(wù)器上安裝內(nèi)網(wǎng)的網(wǎng)絡(luò)版殺毒軟件管理平臺[1]，網(wǎng)絡(luò)版的殺毒軟件運(yùn)行速度快，可以在全網(wǎng)輕松部署，而且可以在服務(wù)端部署相應(yīng)的查殺策略，管理比較容易。在每臺客戶端都安裝上客戶端殺毒軟件，服務(wù)端可以控制客戶端在任意時刻進(jìn)行殺毒，而不用用戶進(jìn)行干預(yù)。只要服務(wù)端的殺毒程序更新后，客戶端程序就會自動更新，服務(wù)端程序會在空閑時自動監(jiān)測全網(wǎng)情況并生成報告，如果發(fā)現(xiàn)某臺計算機(jī)的某些病毒不能刪除，工作人員還可以進(jìn)行遠(yuǎn)程操作，解決問題，這樣可以提高管理人員的工作效率。

3.3 加強(qiáng)網(wǎng)絡(luò)設(shè)備安全管理

所有的網(wǎng)絡(luò)設(shè)備在默認(rèn)的情況下都會存在風(fēng)險，我們要做的就是解決這些問題。首先是路由器的問題，局域網(wǎng)網(wǎng)絡(luò)大部分接入了路由器，很多路由器都使用默認(rèn)的密碼來進(jìn)行管理，為了防止非常接入，我們要關(guān)閉這個功能，或者修改默認(rèn)密碼為安全的數(shù)據(jù)加字母的密碼。大部分的交換機(jī)也存在這樣的問題，所以對于交換機(jī)，我們也應(yīng)該這么做，防止出現(xiàn)問題。我們還應(yīng)該定期到網(wǎng)絡(luò)設(shè)備提供商的官網(wǎng)查看是否有該設(shè)備的更新包，及時下載更新包修復(fù)設(shè)備漏洞。對于硬件防火墻來說，除了上面針對路由器和交換機(jī)所做的操作外，還應(yīng)該指定管理主機(jī)IP地址，然后增加對內(nèi)和對外的訪問控制列表，做好相應(yīng)的安全策略，盡量把非法訪問控制在萌芽之中。

3.4 口令安全管理

網(wǎng)內(nèi)的所有設(shè)備都要設(shè)置相應(yīng)的口令，這些口令必須符合相應(yīng)的復(fù)雜度要求，我們就曾發(fā)現(xiàn)在單位中許多工作人員在離開工作崗位后，計算機(jī)沒有關(guān)閉處于屏?；蚝谄林?，只要有人過去動動鼠標(biāo)或鍵盤，系統(tǒng)喚醒后恢復(fù)正常使用狀態(tài)，很容易泄密，所以必須設(shè)置密碼，這些密碼還需要用戶定期進(jìn)行修改，否則，如果不改變則鎖定此計算機(jī)。計算機(jī)的密碼設(shè)置至少8位，其中必須包含大小寫字母和數(shù)字以及某些特殊字符，來保證密碼不能通過窮舉法輕易被破解。終端用戶應(yīng)該設(shè)置三重密碼，這三重密碼為開機(jī)密碼、操作系統(tǒng)密碼和屏保密碼，這樣能防止非常用法使用此終端。密碼的使用時間一般為30天左右，定期更換密碼是一個口令安全管理的好習(xí)慣。

3.5 移動存儲設(shè)備安全管理

對于移動存儲設(shè)備，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)該統(tǒng)一使用加密的方法進(jìn)行管理。所有的設(shè)備必須使用專用的管理軟件，通過服務(wù)器安裝加密狗來注冊使用這些移動存儲設(shè)備，所有未加密的設(shè)備不能在計算機(jī)終端進(jìn)行識別，只能被格式化，但不能正常存儲數(shù)據(jù)，這樣就保證了所有非注冊的移動存儲設(shè)備不能在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)使用，也防止了木馬和病毒通過移動存儲設(shè)備在網(wǎng)絡(luò)中進(jìn)行傳播。服務(wù)管理端可以對移動存儲設(shè)備時進(jìn)行各種授權(quán)操作，如只讀、只寫、可讀可寫、規(guī)定時間讀寫等操作。只要存儲設(shè)備插入電腦終端，服務(wù)器端就能檢測到使用情況并形成日志文件，在需要時從日志文件中分析實際情況，從而保證了內(nèi)部信息不會被任意拷貝泄露，病毒也不會通過移動存儲設(shè)備進(jìn)入到內(nèi)部網(wǎng)絡(luò)，木馬和間諜軟件也不可能會傳播到局域網(wǎng)內(nèi)部網(wǎng)，極大地提高了局域網(wǎng)網(wǎng)絡(luò)的安全性和保密性。

3.6 安裝終端審計管理系統(tǒng)

在局域網(wǎng)內(nèi)部服務(wù)器安裝終端安全管理系統(tǒng)，系統(tǒng)能夠?qū)崟r地展示全網(wǎng)的設(shè)備聯(lián)網(wǎng)情況，每臺終端的軟硬件及操作系統(tǒng)信息，并生成相應(yīng)的報表供管理員審計?？梢赃M(jìn)行各種網(wǎng)絡(luò)接入控制，利用各種認(rèn)證方式，使終端用戶安全接入網(wǎng)絡(luò)。對網(wǎng)絡(luò)中所有用戶的各種操作如收發(fā)郵件、刻錄光盤、下載軟件、打印文件等形成LOG文件存儲在服務(wù)器中以作審計資料。對終端用戶電腦的USB口進(jìn)行管理，可禁止某些移動設(shè)備接入，如移動WIFI設(shè)備等，進(jìn)一步提升內(nèi)部網(wǎng)絡(luò)的安全性。

4 結(jié)束語

現(xiàn)在，局域網(wǎng)信息網(wǎng)絡(luò)安全管理變得越來越重要，這是一個全局性的大問題，我們也經(jīng)常在中央臺的新聞聯(lián)播中聽到講信息網(wǎng)絡(luò)安全的重要性，特別是去年年底在國家信息網(wǎng)絡(luò)安全戰(zhàn)略中，“等保2.0”已經(jīng)正式發(fā)布了[4]，要求每個局域網(wǎng)必須執(zhí)行此安全標(biāo)準(zhǔn)，進(jìn)一步加強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全環(huán)境。如果我們不注意局域網(wǎng)網(wǎng)絡(luò)安全，有可能會導(dǎo)致局域網(wǎng)內(nèi)部出現(xiàn)重大損失，我們可以通過上面的多種手段，構(gòu)建出一個真正的、安全的局域網(wǎng)內(nèi)部網(wǎng)絡(luò)，此外，對局域網(wǎng)使用人員還應(yīng)該加強(qiáng)使用培訓(xùn)，使他們認(rèn)識到網(wǎng)絡(luò)安全的重要性，國家現(xiàn)在推出的等保2.0的安全標(biāo)準(zhǔn)，如果每個局域網(wǎng)都能夠做到，就可以把局域網(wǎng)信息網(wǎng)鑄就成一個銅墻鐵壁。

參考文獻(xiàn)：

[1] 王克.內(nèi)網(wǎng)安全防范技術(shù)[J].信息網(wǎng)絡(luò)安全，2009（1）：20-21.

[2] 張一新.網(wǎng)絡(luò)信息安全風(fēng)險及需求分析[J].水利水電技術(shù)，2007，38（5）：67-69.

[3] 劉自成.計算機(jī)網(wǎng)絡(luò)信息安全管理存在問題及對策分析[J].通訊世界，2017（2）：41-42.

[4] 王會.基于等級保護(hù)的黨校網(wǎng)絡(luò)安全體系的研究與應(yīng)用[D].廣州：中山大學(xué)，2012.

【通聯(lián)編輯：謝媛媛】