局域網(wǎng)安全管理策略

廖超　宋湘豫　曾冬紅

摘要：網(wǎng)絡(luò)病毒、木馬的大量增加，破壞力的不斷增強(qiáng)，給局域網(wǎng)帶來(lái)了極大的危害，加強(qiáng)網(wǎng)絡(luò)安全性管理和維護(hù)是保證局域網(wǎng)正常運(yùn)行的關(guān)鍵。該文介紹了局域網(wǎng)安全的重要性，目前局域網(wǎng)安全面臨的主要問(wèn)題以及保證局域網(wǎng)運(yùn)行安全的管理策略。

關(guān)鍵詞：網(wǎng)絡(luò)安全；管理策略；局域網(wǎng)；病毒

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）34-0049-02

Abstract： Network viruses， Trojan substantial increase， destructive growing， bring great harm to the local area network. Enhance network security management and maintenance is the key to ensure the normal operation of the LAN. This paper describes the importance of LAN security， the main security issues facing the LAN and to ensure the safe operation of LAN management strategy.

Key words： network security； management strategy； local area network； viruses

1 概述

隨著網(wǎng)絡(luò)信息化的不斷發(fā)展，計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通訊技術(shù)以及多媒體技術(shù)等不斷得到普及。計(jì)算機(jī)網(wǎng)絡(luò)拓展了人們的經(jīng)濟(jì)生活觸角，在共享社會(huì)和科學(xué)資訊上具有革命性的意義，在信息存儲(chǔ)、處理和傳輸上擁有無(wú)可比擬的優(yōu)越性，奠定了網(wǎng)絡(luò)高速發(fā)展、普及的基礎(chǔ)，給人們帶了無(wú)盡的資源[7]。同時(shí)，也給我們的工作和生活帶來(lái)了極大的危害。特別是針對(duì)網(wǎng)絡(luò)本身的種種攻擊和威脅如計(jì)算機(jī)病毒、木馬、黑客攻擊等，嚴(yán)重干擾和破壞了互聯(lián)網(wǎng)信息交互架構(gòu)，甚至影響到國(guó)家機(jī)制的安全運(yùn)轉(zhuǎn)。雖然局域網(wǎng)都設(shè)有防火墻和殺毒軟件，可局域網(wǎng)仍頻繁的受到病毒、木馬等的破壞。記得曾經(jīng)風(fēng)靡一時(shí)的“熊貓燒香”，給網(wǎng)絡(luò)帶來(lái)了極大的破壞，使得各種軟件無(wú)法打開，各種廣告網(wǎng)頁(yè)自動(dòng)重復(fù)打開無(wú)法關(guān)閉導(dǎo)致系統(tǒng)資源耗盡，用戶信息被盜，數(shù)據(jù)被毀等，盡管人們采取各種措施，如及時(shí)更新病毒庫(kù)、打上漏洞補(bǔ)丁等，仍無(wú)濟(jì)于事，這嚴(yán)重困擾了我們的日常生活和工作[1]。故網(wǎng)絡(luò)安全防治問(wèn)題，成為當(dāng)下亟待解決的一個(gè)焦點(diǎn)。

2 常見網(wǎng)絡(luò)安全問(wèn)題

經(jīng)過(guò)分析，目前局域網(wǎng)存在的主要安全問(wèn)題有以下幾個(gè)方面。

2.1 自然環(huán)境的危害

自然災(zāi)害，如地震、雷電、冰雪、火災(zāi)。環(huán)境因素如濕度、溫度、供電、磁場(chǎng)、輻射、粉塵等。這些都可能對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)備造成損壞，軟件系統(tǒng)崩潰，數(shù)據(jù)丟失等。

2.2 網(wǎng)絡(luò)環(huán)境自身的不安全

病毒數(shù)量急劇增加，破壞力不斷增強(qiáng)。有些病毒偽裝成系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)或系統(tǒng)驅(qū)動(dòng)，躲過(guò)殺毒軟件，使得系統(tǒng)出現(xiàn)“藍(lán)屏”或“黑屏”、死機(jī)等，即使在安全模式下都無(wú)法正常運(yùn)行系統(tǒng)。一些對(duì)外服務(wù)的業(yè)務(wù)網(wǎng)址，被黑客利用數(shù)據(jù)庫(kù)漏洞植入木馬，盜取用戶信息。例如“網(wǎng)絡(luò)釣魚攻擊”，就是通過(guò)向用戶發(fā)送一些假裝是知名企業(yè)發(fā)來(lái)的垃圾郵件，引誘收件人填寫用戶名、密碼、銀行賬戶等信息[2]。為了方便操作系統(tǒng)和應(yīng)用軟件的后期維護(hù)與升級(jí)，程序員總會(huì)在系統(tǒng)或軟件的開放過(guò)程中留有“后門”程序。但，如果這些后門信息被非法人員獲取，或是后期仍舊保留有后門程序代碼，就很容易被黑客抓住此漏洞進(jìn)行攻擊，如網(wǎng)頁(yè)后門、線程插入后門、擴(kuò)展后門、 C/S 后門等[6]。TCP/IP 網(wǎng)絡(luò)通信協(xié)議雖然是國(guó)際標(biāo)準(zhǔn)，但它本身也存在一些安全問(wèn)題，會(huì)導(dǎo)致多種類型的網(wǎng)絡(luò)攻擊，如源地址欺騙或 IP 欺騙、源路由選擇欺騙、路由選擇協(xié)議攻擊等[6]。

2.3 缺乏安全意識(shí)

為圖方便，不少用戶喜歡在私人電腦上對(duì)郵箱、QQ等選擇“記住密碼”功能，下次就可以直接登錄，這相當(dāng)于把密碼保護(hù)功能給屏蔽了。隨意打開接收到的不明E-mail文件，下載安裝一些被植入了病毒或木馬的安裝軟件，在同一工作組內(nèi)任意共享文件，沒有對(duì)共享數(shù)據(jù)設(shè)置訪問(wèn)權(quán)限和口令，缺乏重要文件備份意識(shí)。如“熊貓燒香”和“威金蠕蟲”會(huì)破壞EXE、ASP、GHO等文件，使用戶無(wú)法還原系統(tǒng)，找到丟失的文件，給人們帶來(lái)嚴(yán)重的損失。許多用戶只考慮應(yīng)用軟件的實(shí)用性，以便方便、快捷、高效地獲取網(wǎng)絡(luò)信息資源，而不考慮信息的安全性[3]。為了數(shù)據(jù)傳輸?shù)姆奖?，很多用戶?xí)慣用U盤或移動(dòng)硬盤進(jìn)行數(shù)據(jù)的拷貝，有些病毒很容易通過(guò)感染U盤和移動(dòng)硬盤，在內(nèi)外網(wǎng)之間肆意傳播。

2.4網(wǎng)絡(luò)管理制度不完善

許多局域網(wǎng)建網(wǎng)的時(shí)候，沒有全方位的安全管理方案，網(wǎng)絡(luò)管理員只局限于IP地址的分配、服務(wù)器的日常維護(hù)，沒有考慮到網(wǎng)絡(luò)的長(zhǎng)久發(fā)展規(guī)劃、防范措施、安全機(jī)制等。沒有對(duì)服務(wù)區(qū)進(jìn)行獨(dú)立保護(hù)，若局域網(wǎng)內(nèi)一臺(tái)電腦染上病毒，很容易傳遞給服務(wù)器，并通過(guò)服務(wù)器進(jìn)行傳播，造成整個(gè)局域網(wǎng)都癱瘓[2]。局域網(wǎng)用戶利用P2P 應(yīng)用軟件下載視頻或電影，占用有限帶寬，使網(wǎng)絡(luò)訪問(wèn)受到嚴(yán)重干擾[6]。局域網(wǎng)的用戶一般都在同一網(wǎng)段內(nèi)，很容易造成IP地址沖突，部分用戶無(wú)法上網(wǎng)，但局域網(wǎng)內(nèi)有一定規(guī)模的電腦臺(tái)數(shù)時(shí)，會(huì)給查找工作帶來(lái)很大的困難。許多外帶筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)網(wǎng)，也很容易造成病毒的傳播。

3 網(wǎng)絡(luò)安全管理策略

信息網(wǎng)絡(luò)的飛速發(fā)展，給我們的工作帶來(lái)了方便，同時(shí)，也帶來(lái)了危害。如何提高網(wǎng)絡(luò)安全性成為了我們急切解決的問(wèn)題。網(wǎng)絡(luò)管理中最重要的是保證服務(wù)器和客戶端的安全，保護(hù)網(wǎng)絡(luò)用戶的資源、設(shè)備和系統(tǒng)本身不被未經(jīng)許可的用戶訪問(wèn)。

3.1 網(wǎng)絡(luò)安全科學(xué)規(guī)劃

在架設(shè)局域網(wǎng)時(shí)，應(yīng)做好規(guī)劃，綜合考慮各種影響網(wǎng)絡(luò)安全的因素，如局域網(wǎng)規(guī)模、服務(wù)類型、網(wǎng)速、IP分配類型、可靠性、國(guó)際標(biāo)準(zhǔn)等。

3.2 提高網(wǎng)絡(luò)安全意識(shí)

很多病毒或黑客喜歡利用系統(tǒng)默認(rèn)共享進(jìn)行傳播和攻擊，如果必須打開共享服務(wù)，最好設(shè)為只讀或?qū)⒐蚕砟夸涬[藏，一般情況下，關(guān)閉共享。定期掃描病毒，檢查和更新系統(tǒng)、數(shù)據(jù)庫(kù)等漏洞補(bǔ)丁，升級(jí)殺毒軟件，查看系統(tǒng)日志信息。關(guān)閉系統(tǒng)中一些不必要、占用資源又存在安全隱患的服務(wù)，如Clipbook、Messenger、Remote Registry、Terminal Services、Workstation服務(wù)。啟用Windows 防火墻和其他防火墻軟件，保護(hù)系統(tǒng)和注冊(cè)表的安全。使用安全性能高的瀏覽器，如IE或火狐。關(guān)閉U盤和移動(dòng)硬盤等有介質(zhì)傳輸驅(qū)動(dòng)的自動(dòng)運(yùn)行功能，減少病毒的傳播。

3.3 制定網(wǎng)絡(luò)管理制度

針對(duì)局域網(wǎng)系統(tǒng)和數(shù)據(jù)安全性的要求，從數(shù)據(jù)的采集、傳輸、 處理和存儲(chǔ)上進(jìn)行全方位多層次的安全處理，防止重要數(shù)據(jù)的丟失、篡改和泄露，建立一套健全的管理規(guī)章制定[7]。這些規(guī)章制度主要包括：系統(tǒng)安全責(zé)任與監(jiān)管制度；重要軟件系統(tǒng)和關(guān)鍵硬件設(shè)備的操作制度；系統(tǒng)管理人員、操作人員責(zé)任制度；網(wǎng)絡(luò)服務(wù)器管理制度；系統(tǒng)數(shù)據(jù)日常備份與數(shù)據(jù)恢復(fù)制度；口令的設(shè)置、保密和保管制度；用戶權(quán)限分配和管理制度；密碼及密鑰管理制度；系統(tǒng)災(zāi)難應(yīng)急預(yù)案；事故責(zé)任認(rèn)定和責(zé)任追究制度；病毒監(jiān)控和防范制度等[4]。

3.4 加強(qiáng)網(wǎng)絡(luò)監(jiān)測(cè)

監(jiān)測(cè)局域網(wǎng)中的計(jì)算機(jī)是否安裝有殺毒軟件，對(duì)未安裝殺毒軟件的用戶，采取強(qiáng)制彈窗安裝或阻斷其接入局域網(wǎng)。強(qiáng)制局域網(wǎng)用戶設(shè)定安全訪問(wèn)密碼，對(duì)重要數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，避免非法訪問(wèn)對(duì)重要數(shù)據(jù)進(jìn)行篡改。采用計(jì)算機(jī)IP地址與MAC地址一對(duì)一綁定機(jī)制，減少局域網(wǎng)中空閑的IP地址，可以有效解決IP地址沖突造成的網(wǎng)絡(luò)中斷，同時(shí)也可阻止P2P等軟件，避免IP地址的盜用、ARP病毒的襲擊?，F(xiàn)在的路由器一般都集成了 ACL 訪問(wèn)控制功能，可以對(duì)流過(guò)路由器的數(shù)據(jù)報(bào)文的協(xié)議、端口、源IP 地址和目標(biāo) IP 地址等進(jìn)行過(guò)濾，適當(dāng)限制某些 P2P下載服務(wù)，保證局域網(wǎng)用戶訪問(wèn)外網(wǎng)的速度[6]。

借助網(wǎng)絡(luò)管理軟件，實(shí)時(shí)監(jiān)控整個(gè)局域網(wǎng)的運(yùn)行質(zhì)量及穩(wěn)定性，記錄網(wǎng)絡(luò)用戶使用日志， 包括用戶名、目的 IP 地址、訪問(wèn)時(shí)間、用戶主機(jī) IP 地址、MAC 地址等信息。在網(wǎng)絡(luò)發(fā)生故障時(shí)通過(guò)分析日志以便快速定位故障并修護(hù)及追究責(zé)任人[5]。如入侵檢測(cè)系統(tǒng)（IDS），它能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。建立網(wǎng)絡(luò)安全分級(jí)制度，將網(wǎng)絡(luò)系統(tǒng)分為不同的級(jí)別，根據(jù)不同的角色賦予不同用戶訪問(wèn)服務(wù)器上不同資源、目錄、文件的權(quán)限[2]。對(duì)網(wǎng)絡(luò)中的 P2P/IM 帶寬的濫用、各種游戲、在線視頻、網(wǎng)上炒股、非法站點(diǎn)訪問(wèn)等行為進(jìn)行識(shí)別與控制，對(duì)網(wǎng)絡(luò)流量、校園網(wǎng)用戶上網(wǎng)行為進(jìn)行深入分析與全面的排除[6]。

4 結(jié)論

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)得以正常運(yùn)行的前提條件，網(wǎng)絡(luò)安全不僅是技術(shù)問(wèn)題，而是人、法律和網(wǎng)絡(luò)技術(shù)的綜合體[3]。在有網(wǎng)絡(luò)安全設(shè)備和殺毒軟件護(hù)航的前提下，還要做好安全管理工作，提高局域網(wǎng)用戶的安全意識(shí)，制定局域網(wǎng)安全上網(wǎng)規(guī)章制度，及時(shí)發(fā)現(xiàn)問(wèn)題，采取相應(yīng)的安全技術(shù)措施。只有把法律、技術(shù)手段和管理機(jī)制有機(jī)結(jié)合起來(lái)，提高人們的防范意識(shí)，才能從根本上保護(hù)網(wǎng)絡(luò)運(yùn)行的安全。

參考文獻(xiàn)：

[1] 吳孟春.局域網(wǎng)的安全和管理的策略[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2007，15：60-62.

[2] 鮑麗春，劉雪玲.局域網(wǎng)的信息安全與病毒防治[J].信息系統(tǒng)，2012，4（35）：114-116.

[3] 張海燕.淺談校園網(wǎng)安全技術(shù)[J].青海社會(huì)科學(xué)，2008，5（3）：174-177.

[4] 金文新.高校圖書館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略的設(shè)計(jì)與實(shí)現(xiàn)[J].圖書館論壇，2009，3（29）：80-83.

[5] 王力.高校圖書館無(wú)線網(wǎng)絡(luò)安全隱患應(yīng)對(duì)策略及技巧[J].情報(bào)雜志，2009，6（28）：105-106.

[6] 施勇，王宗斌.高校校園網(wǎng)信息安全隱患深挖與排除[J].中國(guó)教育信息化，2013，9：79-81.

[7] 武文斌，楊智榕.信息化背景下對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的概述與探索[J].河北大學(xué)學(xué)報(bào)，2013，5（38）：158-160.