計(jì)算機(jī)局域網(wǎng)建設(shè)與網(wǎng)絡(luò)安全

劉雯昕 權(quán)溦

摘要：局域網(wǎng)平臺(tái)為人們提供了一種實(shí)時(shí)交流傳輸、信息化、電子化工作模式，逐步被人們廣泛利用并充分重視。局域網(wǎng)絡(luò)具備顯著的客觀特征，其開放、廣泛的應(yīng)用環(huán)境令自身面臨較多不良風(fēng)險(xiǎn)影響，提升了安全應(yīng)用隱患。為此科學(xué)創(chuàng)建計(jì)算機(jī)局域網(wǎng)絡(luò)安全應(yīng)用環(huán)境，降低風(fēng)險(xiǎn)影響，優(yōu)化維護(hù)管理勢在必行。

關(guān)鍵詞：局域網(wǎng)；建設(shè)；網(wǎng)絡(luò)安全

一、計(jì)算機(jī)局域網(wǎng)建設(shè)

1.創(chuàng)建獨(dú)立完全局域網(wǎng)絡(luò)服務(wù)器

我國當(dāng)前的計(jì)算機(jī)局域網(wǎng)沒有針對服務(wù)器進(jìn)行全方位的保護(hù)和管理，這在很大程度上降低了計(jì)算機(jī)局域網(wǎng)的安全質(zhì)量，方便了病毒、黑客的攻擊。因此在對計(jì)算機(jī)局域網(wǎng)進(jìn)行建立的過程中要對服務(wù)器進(jìn)行單獨(dú)創(chuàng)設(shè)。首先要安裝防火墻。通過防火墻阻止外部網(wǎng)絡(luò)進(jìn)入局域網(wǎng)內(nèi)部，對外部網(wǎng)絡(luò)進(jìn)行訪問。防火墻在很大程度上提高了局域網(wǎng)網(wǎng)絡(luò)安全，可以有效阻止外部網(wǎng)絡(luò)侵襲，限制外部網(wǎng)絡(luò)入侵造成的損失。其次進(jìn)行入侵檢測。通過安全控制軟件進(jìn)行入侵彌補(bǔ)防火墻相對靜態(tài)防護(hù)的缺陷。最后，對計(jì)算機(jī)安全系統(tǒng)進(jìn)行防毒內(nèi)部軟件的安裝，確保從企業(yè)內(nèi)部進(jìn)行殺毒的控制，提高網(wǎng)絡(luò)安全的效果。要在計(jì)算機(jī)局域網(wǎng)內(nèi)部進(jìn)行服務(wù)器控制監(jiān)測，對系統(tǒng)內(nèi)部的各種病毒庫及時(shí)進(jìn)行更新，保證系統(tǒng)的綜合使用質(zhì)量，實(shí)現(xiàn)全過程實(shí)時(shí)監(jiān)督和管理。要對計(jì)算機(jī)內(nèi)部系統(tǒng)中遭受的攻擊及時(shí)進(jìn)行中斷，通過服務(wù)器進(jìn)行數(shù)據(jù)外部保護(hù)，將存在的攻擊及時(shí)報(bào)告病毒中心，實(shí)施全面殺毒，提高計(jì)算機(jī)局域網(wǎng)安全水平。

2.對網(wǎng)絡(luò)使用者進(jìn)行培訓(xùn)

網(wǎng)絡(luò)使用者是網(wǎng)絡(luò)安全的重要環(huán)節(jié)，如果可以在這個(gè)環(huán)節(jié)加強(qiáng)安全保障，那么，網(wǎng)絡(luò)安全隱患將大大減小。所以，對網(wǎng)絡(luò)的使用者以及網(wǎng)絡(luò)管理者應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全使用培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)維護(hù)，降低網(wǎng)絡(luò)隱患。相關(guān)人員要對局域網(wǎng)使用人員的安全防范意識(shí)進(jìn)行提高，對人員進(jìn)行計(jì)算機(jī)局域網(wǎng)絡(luò)安全教育，確保人員嚴(yán)格依照計(jì)算機(jī)局域安全網(wǎng)使用方法進(jìn)行操作，降低局域網(wǎng)中可能出現(xiàn)的感染、攻擊、損壞等現(xiàn)象。要對管理人員的管理責(zé)任進(jìn)行明確，對網(wǎng)絡(luò)使用人員的管理力度進(jìn)行強(qiáng)化，加強(qiáng)管理控制質(zhì)量，從而實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)的安全。對用戶進(jìn)行知識(shí)網(wǎng)絡(luò)系統(tǒng)培訓(xùn)。通過對用戶進(jìn)行培訓(xùn)，確保用戶對網(wǎng)絡(luò)上的信息學(xué)會(huì)篩選，正確運(yùn)用網(wǎng)絡(luò)，發(fā)揮網(wǎng)絡(luò)自身優(yōu)勢，增強(qiáng)用戶的防范意識(shí)以及應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。

3.實(shí)施數(shù)據(jù)備份管理

當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊后非常容易對信息、數(shù)據(jù)等進(jìn)行竊取，導(dǎo)致局域網(wǎng)形成損壞。因此在進(jìn)行計(jì)算機(jī)局域網(wǎng)系統(tǒng)管理的過程中，相關(guān)人員要對計(jì)算機(jī)系統(tǒng)漏洞、網(wǎng)絡(luò)等進(jìn)行全面控制，降低不安全因素對計(jì)算機(jī)的攻擊，減少數(shù)據(jù)的損失。相關(guān)人員要對計(jì)算機(jī)局域網(wǎng)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份，對備份制度進(jìn)行建立和管理，保證文件、信息的安全效果。進(jìn)行數(shù)據(jù)備份主要是進(jìn)行主機(jī)硬盤和列陣的數(shù)據(jù)復(fù)制，確保數(shù)據(jù)貯存在存儲(chǔ)介質(zhì)中，保障局域網(wǎng)的安全性。將數(shù)據(jù)轉(zhuǎn)移到硬質(zhì)介質(zhì)中，防止出現(xiàn)誤刪、病毒攻擊等狀況，提高局域網(wǎng)的可靠性。除此之外，計(jì)算機(jī)局域網(wǎng)數(shù)據(jù)備份還包括對系統(tǒng)補(bǔ)丁、磁盤加密等的處理，通過對計(jì)算機(jī)補(bǔ)丁的監(jiān)控安裝，降低可能出現(xiàn)的安全問題。要對磁盤進(jìn)行定期查毒，對磁盤備份文件進(jìn)行定期整理，刪除冗余注冊表等，實(shí)現(xiàn)系統(tǒng)安全優(yōu)化。

4.局域網(wǎng)加密處理

計(jì)算機(jī)局域網(wǎng)加密處理技術(shù)主要包括不可逆加密技術(shù)、對稱加密技術(shù)、不對稱加密技術(shù)三種。通過對上述技術(shù)進(jìn)行合理利用，可以在很大程度上改善局域網(wǎng)的保護(hù)效果，降低局域網(wǎng)絡(luò)可能出現(xiàn)的文件、信息、數(shù)據(jù)泄露、篡改等情況，對計(jì)算機(jī)局域網(wǎng)具有至關(guān)重要的作用。加密技術(shù)進(jìn)行落實(shí)時(shí)主要是通過不同的算法形成，通過常規(guī)密碼算法或公鑰密碼算法，對信息數(shù)據(jù)進(jìn)行統(tǒng)一處理，實(shí)現(xiàn)加密操作。常規(guī)密碼算法指在進(jìn)行加密的過程中對雙方密碼進(jìn)行處理，保證加密密碼和解密密碼的完整性和統(tǒng)一性，確保接收體系能夠有效實(shí)現(xiàn)信息傳遞，保證信息傳遞的安全性。公鑰密碼主要指在進(jìn)行加密處理的過程中傳遞信息與接收信息部分使用的密碼不同，這種方法可以有效提高局域網(wǎng)絡(luò)的開放性，在很大程度上簡化了加密操作，降低了管理難度。

二、局域網(wǎng)常見安全威脅分析

1.局域網(wǎng)外網(wǎng)入侵

雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，來自網(wǎng)外的入侵，給局域網(wǎng)工程安全帶來很大的隱患，對數(shù)據(jù)安全造成極大威脅，影響了工作的正常開展。近三十年來，計(jì)算機(jī)病毒、木馬及惡意代碼問題層出不窮，黑客攻擊也呈現(xiàn)出愈演愈烈的趨勢。各種外網(wǎng)入侵方式成為了局域網(wǎng)安全問題的重中之重。

2.ARP欺騙

ARP（Address Resolution Protocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP欺騙的攻擊方式主要有一下幾種：簡單攻擊；“中間人”攻擊；MAC Flooding，將更新信息快速散布到網(wǎng)絡(luò)連接設(shè)備每個(gè)節(jié)點(diǎn)的一種方法；拒絕服務(wù)（Dos）攻擊，這種攻擊方式具備較強(qiáng)的隱蔽性，最終破壞用戶的Internet連接以及使其網(wǎng)絡(luò)系統(tǒng)失效，ARP欺騙危害性大、影響面廣，對局域網(wǎng)的安全產(chǎn)生重大威脅。

3.網(wǎng)內(nèi)IP地址沖突

在同一個(gè)網(wǎng)段里，IP地址常常發(fā)生沖突，造成部分計(jì)算機(jī)聯(lián)網(wǎng)失效。這種沖突隨著用戶規(guī)模的擴(kuò)大而是問題變得更加難以解決，而且出現(xiàn)頻率高。

三、局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)

在計(jì)算機(jī)安全技術(shù)方面，主要有防火墻、系統(tǒng)安全管理技術(shù)、實(shí)時(shí)監(jiān)測技術(shù)、完整性檢驗(yàn)保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)、實(shí)時(shí)掃描技術(shù)。針對以上對局域網(wǎng)安全威脅的分析，綜合考慮可以采取如下技術(shù)加強(qiáng)安全。

1.防火墻技術(shù)

防火墻在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上構(gòu)造保護(hù)屏障，對網(wǎng)絡(luò)通訊進(jìn)行訪問控制尺度把握。在Internet和Intranet之間構(gòu)建安全網(wǎng)關(guān)。執(zhí)行安全管制，保護(hù)內(nèi)部網(wǎng)，最大限度的阻止來自外網(wǎng)的各種方式的入侵。防火墻是網(wǎng)絡(luò)安全的阻塞屏障和控制屏障。它處于網(wǎng)絡(luò)邊緣，全天候應(yīng)對外界的入侵。防火墻可以起到保護(hù)信息安全、控制不同信任度數(shù)據(jù)流的傳送、掃描網(wǎng)絡(luò)通信、過濾攻擊等作用。因此，建立完善的防火墻體系對于局域網(wǎng)的安全意義十分重大。

2.對IP地址及工作組進(jìn)行合理分配

每臺(tái)計(jì)算機(jī)都有一個(gè)固定的IP地址，這樣做可以便于路由器對流量進(jìn)行查看記錄，也可以有效的對局域網(wǎng)進(jìn)行管理。對IP地址的合理分配可以將整體劃分為多個(gè)子體，分成不同的工作組，這樣就能有效的在局部網(wǎng)絡(luò)內(nèi)控制住木馬病毒的傳播。

3.網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是一種控制的基本手段，更是一項(xiàng)重要的保證措施。由于任何兩個(gè)節(jié)點(diǎn)之間的通信不僅被這兩個(gè)節(jié)點(diǎn)接收，同時(shí)處在同一以太網(wǎng)上的任何一節(jié)點(diǎn)也能接收。因此，只要在節(jié)點(diǎn)間進(jìn)行分析就能竊取關(guān)鍵信息。這就造成安全隱患。網(wǎng)絡(luò)分段正是基于此種機(jī)制隱患，加強(qiáng)了對網(wǎng)絡(luò)資源的安全保護(hù)。通過將網(wǎng)內(nèi)信息與網(wǎng)外未授權(quán)用戶隔離的方式，達(dá)到保護(hù)局域網(wǎng)信息安全的目的。

4.雙向綁定 IP地址與MAC地址

即在網(wǎng)關(guān)的交換機(jī)處靜態(tài)綁定網(wǎng)關(guān)IP地址和MAC地址的同時(shí)，在客戶端靜態(tài)綁定網(wǎng)關(guān)IP地址和MAC地址。流量過濾時(shí)，網(wǎng)關(guān)軟件實(shí)施流量過濾都是基于IP或MAC地址。由于IP或是MAC地址的隨意更改性，對高級用戶，綁定就顯得無能為力。所以必須先綁定實(shí)施用戶與交換機(jī)端口的MAC，然后實(shí)施IP/MAC綁定。這樣用戶就無法隨意改動(dòng)二者。從而達(dá)到很好的過濾效果。

四、結(jié)束語

總之，計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)尤為重要，我們只有明晰其攻擊影響特征、安全隱患狀況，制定切實(shí)可行的防護(hù)管理策略，規(guī)范操作行為、做好病毒查殺、危險(xiǎn)源防控，及時(shí)更新升級，才能真正提升計(jì)算機(jī)局域網(wǎng)安全環(huán)境水平，進(jìn)而創(chuàng)設(shè)顯著的經(jīng)濟(jì)效益與社會(huì)效益。

參考文獻(xiàn)

[1] 竇雪英.局域網(wǎng)安全問題的分析與對策[J]. 當(dāng)代化工，2008，37（3）.

（作者單位：國網(wǎng)陜西省電力公司培訓(xùn)中心）