張廣瑞

[摘 要] 網(wǎng)絡(luò)體系中，用戶最接近的環(huán)節(jié)就是局域網(wǎng)，用戶數(shù)量最多的也是局域網(wǎng)。局域網(wǎng)的應(yīng)用方式多種多樣，局域網(wǎng)安全面臨眾多威脅。本文結(jié)合局域網(wǎng)技術(shù)的基本結(jié)構(gòu)與基本條件，重點(diǎn)分析了當(dāng)前局域網(wǎng)技術(shù)面臨的威脅因素，并提出了具有建設(shè)性的局域網(wǎng)安全防護(hù)策略。

[關(guān)鍵詞] 局域網(wǎng)；威脅；安全；策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 05. 027

[中圖分類號] TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）05- 0046- 02

伴隨計(jì)算機(jī)和通信技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐漸成為人們?nèi)粘W(xué)習(xí)生活中必備的信息交換手段。當(dāng)前的大部分局域網(wǎng)需要使用TCP/IP通信協(xié)議，盡管帶來了更廣泛的網(wǎng)絡(luò)適用性，但也帶來了很多來自互聯(lián)網(wǎng)的攻擊與威脅，局域網(wǎng)面臨更加嚴(yán)峻的安全形勢。因此，局域網(wǎng)安全策略研究具有非常重要的理論和實(shí)踐意義。

1 局域網(wǎng)的基本結(jié)構(gòu)與基本條件

1.1 局域網(wǎng)的基本結(jié)構(gòu)

1.1.1 硬件系統(tǒng)

局域網(wǎng)主要是由以下幾個(gè)部分來組成其硬件系統(tǒng)：（1）服務(wù)器，即以一種高度集中的手段來管理局域網(wǎng)內(nèi)全部信息資源的計(jì)算機(jī)；（2）網(wǎng)絡(luò)工作站，即一種配置較低的計(jì)算機(jī)，其主要是為本地用戶訪問網(wǎng)絡(luò)資源和本地資源提供服務(wù)；（3）網(wǎng)絡(luò)適配器，即網(wǎng)卡，是一塊插接在計(jì)算機(jī)主板上擴(kuò)展槽中的插件板，把工作站和服務(wù)器連到傳輸介質(zhì)上并與電信號進(jìn)行匹配，最終將數(shù)據(jù)傳輸出去；（4）集線器，作為一種網(wǎng)絡(luò)傳輸介質(zhì)，集中多個(gè)計(jì)算機(jī)的雙絞線，將數(shù)據(jù)向每一個(gè)接口轉(zhuǎn)發(fā)，最終構(gòu)成一個(gè)局域網(wǎng)。

1.1.2 軟件系統(tǒng)

局域網(wǎng)主要是由以下幾個(gè)部分來組成其軟件系統(tǒng)：（1）操作系統(tǒng)，其主要功能是為局域網(wǎng)用戶提供各種接口，從而方便用戶接入網(wǎng)絡(luò)搜集信息資料，并加強(qiáng)用戶之間的聯(lián)系；（2）數(shù)據(jù)庫系統(tǒng)，其可全面收集信息資料，并對其進(jìn)行匯總整理、分類儲存或傳輸；（3）應(yīng)用軟件，具體是指軟件開發(fā)商依據(jù)客戶要求而專門開發(fā)的軟件，種類繁多，功能繁雜[1]。

1.2 局域網(wǎng)的基本條件

高質(zhì)量的局域網(wǎng)應(yīng)該滿足以下幾個(gè)方面的條件：第一，性能較高，局域網(wǎng)的運(yùn)行速度要足夠快，以實(shí)現(xiàn)多用戶同時(shí)載入網(wǎng)絡(luò)，并且不會出現(xiàn)響應(yīng)較慢和網(wǎng)絡(luò)阻塞現(xiàn)象；第二，系統(tǒng)安全穩(wěn)定，通常接入局域網(wǎng)的個(gè)人計(jì)算機(jī)性能差異較大，不利于局域網(wǎng)的正常管理，只有安全穩(wěn)定的系統(tǒng)才能應(yīng)對各種突發(fā)狀況，例如黑客攻擊等；第三，便于管理，一般局域網(wǎng)的日常管理工作量非常大，不僅包括對部門和員工的管理，還涉及網(wǎng)絡(luò)性能、配置及安全等方面的管理，因此，只有管理方便才能有效提高局域網(wǎng)的整體性能和穩(wěn)定性；第四，擴(kuò)展性好，計(jì)算機(jī)技術(shù)一直以來都進(jìn)步神速，企事業(yè)單位也會經(jīng)常調(diào)整業(yè)務(wù)流程和管理模塊，因此，在進(jìn)行局域網(wǎng)設(shè)計(jì)時(shí)一定要使其具有較好的擴(kuò)展性，而且長期內(nèi)不需對其進(jìn)行大規(guī)模的調(diào)整。

2 局域網(wǎng)面臨的威脅因素

2.1 互聯(lián)網(wǎng)帶來的安全威脅

通常來說局域網(wǎng)和互聯(lián)網(wǎng)是相通的，但由于局域網(wǎng)的安全防范工作不夠嚴(yán)謹(jǐn)，使其經(jīng)常受到來自互聯(lián)網(wǎng)的攻擊，例如，非授權(quán)訪問，偽造、竊聽、篡改數(shù)據(jù)，計(jì)算機(jī)病毒或木馬程序攻擊等。

2.2 局域網(wǎng)自身的安全威脅

通常來說，外網(wǎng)的攻擊只能算是小打小鬧，而來自局域網(wǎng)內(nèi)部的攻擊可能導(dǎo)致更嚴(yán)重的后果，因?yàn)槠潆[蔽性好、目標(biāo)性強(qiáng)。局域網(wǎng)自身存在的安全威脅因素也有很多，例如系統(tǒng)自身的漏洞、系統(tǒng)缺陷、用戶安全意識薄弱、安全防范功能落后等。具體包括以下幾個(gè)方面的因素：（1）欺騙性軟件危及數(shù)據(jù)安全，資源共享作為局域網(wǎng)的一個(gè)重要功能，使得網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)資源相對開放，這也降低了數(shù)據(jù)的安全性，使得信息刪除和篡改較易發(fā)生，例如網(wǎng)絡(luò)釣魚攻擊事件中就是使用欺騙性郵件和網(wǎng)絡(luò)站點(diǎn)來實(shí)施詐騙活動，導(dǎo)致很多財(cái)務(wù)數(shù)據(jù)的泄露；（2）服務(wù)器缺乏獨(dú)立防護(hù)，計(jì)算機(jī)系統(tǒng)的核心即服務(wù)器，因此對服務(wù)器增設(shè)獨(dú)立防護(hù)也顯得尤為重要，否則一旦一臺計(jì)算機(jī)感染了病毒就很容易傳染給服務(wù)器，繼而會陸續(xù)傳染給局域網(wǎng)中的其他計(jì)算機(jī)，后果不堪設(shè)想；（3）惡意程序及計(jì)算機(jī)病毒的威脅，計(jì)算機(jī)病毒是一組程序代碼或指令，它能夠毀壞數(shù)據(jù)信息、破壞計(jì)算機(jī)功能，并能夠進(jìn)行自我復(fù)制，并且伴隨網(wǎng)絡(luò)技術(shù)的迅速普及，一般用戶的安全意識遠(yuǎn)遠(yuǎn)識別不出隱蔽性好、傳染性強(qiáng)、持久存在的計(jì)算機(jī)病毒，從而使得很多病毒入侵并引起網(wǎng)絡(luò)癱瘓[2]。

3 局域網(wǎng)的安全防護(hù)策略

3.1 確保局域網(wǎng)的物理安全

可以從以下幾個(gè)方面出發(fā)來加強(qiáng)局域網(wǎng)的物理安全：（1）構(gòu)建合適的局域網(wǎng)工作環(huán)境，局域網(wǎng)必須在電磁工作環(huán)境中才能發(fā)揮功能，所以要遵守國家出臺的法律法規(guī)，還要遵守業(yè)內(nèi)的線路規(guī)格和鋪設(shè)標(biāo)準(zhǔn)，配備適當(dāng)?shù)姆辣I、防火、防斷電、防雷擊等安全防護(hù)措施；（2）選擇質(zhì)量達(dá)標(biāo)的設(shè)備，只有設(shè)備的質(zhì)量達(dá)標(biāo)才能保障局域網(wǎng)的正常運(yùn)行，所以要選擇可靠的廠商來購買所需設(shè)備，還要其提供有效的售后保障；（3）完善管理制度，局域網(wǎng)的物理安全主要通過有效的安全管理來實(shí)現(xiàn)，而對用戶行為的規(guī)范需要完善的管理制度作保障，防止人為破壞和事故發(fā)生，最終確保網(wǎng)絡(luò)設(shè)備保持良好的工作狀態(tài)[3]。

3.2 控制局域網(wǎng)的訪問

網(wǎng)絡(luò)的整體安全防護(hù)工作的核心是控制訪問的策略，這也是確保網(wǎng)絡(luò)體系正常運(yùn)行的關(guān)鍵手段。而控制訪問主要是為了保護(hù)和規(guī)范對網(wǎng)絡(luò)信息資源的合法合理使用，以確保網(wǎng)絡(luò)體系的安全。通常情況下，可以通過以下幾個(gè)方面的設(shè)置來控制局域網(wǎng)的訪問：（1）控制網(wǎng)絡(luò)終端的用戶登錄，可以通過網(wǎng)絡(luò)管理員來設(shè)置終端的使用權(quán)限，即對局域網(wǎng)用戶進(jìn)行用戶名和密碼的分配，在使用局域網(wǎng)的時(shí)候，只有用戶名和密碼正確才能正常登錄局域網(wǎng)并使用；（2）控制局域網(wǎng)交換設(shè)備的入網(wǎng)用戶，可以通過網(wǎng)絡(luò)管理員來設(shè)置網(wǎng)絡(luò)終端的使用權(quán)限，即對每一個(gè)合法的網(wǎng)絡(luò)終端都分配相應(yīng)的網(wǎng)絡(luò)標(biāo)識，其中包括IP地址和MAC地址、VLAN及接入端口，通過對網(wǎng)絡(luò)標(biāo)識的正常設(shè)置來控制入網(wǎng)的用戶，等等。

3.3 對局域網(wǎng)的信息資料進(jìn)行加密

通?？梢允褂脭?shù)學(xué)手段或者物理手段來轉(zhuǎn)變原有信息資料，使未授權(quán)的局域網(wǎng)用戶因?yàn)椴恢澜饷苊荑€而無法使用其獲得的已加密信息資料，即信息加密。信息加密是一種非常安全的局域網(wǎng)安全策略，主要是因?yàn)檫M(jìn)行信息加密的密鑰極難破解。

4 結(jié) 論

綜上所述，局域網(wǎng)應(yīng)用已非常廣泛，但是局域網(wǎng)技術(shù)仍然面臨許多方面的威脅因素。只有采取全面的網(wǎng)絡(luò)安全防護(hù)策略，才能確保局域網(wǎng)的正常運(yùn)行。

主要參考文獻(xiàn)

[1]史罕初，彭毓?jié)?基于 IP DHCP Snooping 的大型局域網(wǎng)安全策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（11）：20-23.

[2]劉佳.局域網(wǎng)安全隱患及防范策略研究[J].電腦知識與技術(shù)，2012（5）.

[3]陳小勇.無線局域網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用及安全策略研究[J].科技信息：下旬刊，2010（5）.