孫吉花 倪雪飛

【摘要】 局域網(wǎng)安全問題越來越受關注。本文詳細分析了局域網(wǎng)面臨的各類安全風險，從物理安全、網(wǎng)絡訪問控制和網(wǎng)絡安全管理三個層面研究網(wǎng)絡安全策略，從密碼加密、權限控制、安全軟件、安全檢測四方面研究局域網(wǎng)計算機的安全防護，由外而內(nèi)，層層防護，確保局域網(wǎng)設備和信息安全。對提升局域網(wǎng)安全性具有較高參考價值。

【關鍵詞】局域網(wǎng) ?安全風險 ?安全策略

當今時代，計算機網(wǎng)絡已經(jīng)成為人類社會必需品，我們在享受網(wǎng)絡便利的同時，也面臨網(wǎng)絡安全的巨大威脅。尤其是涉及國家、軍隊、商業(yè)秘密的網(wǎng)絡，安全威脅更是致命的。本文分析了局域網(wǎng)面臨的安全風險，研究網(wǎng)絡安全防護的有效策略，對保護局域網(wǎng)安全提供參考。

局域網(wǎng)存在的安全隱患

計算機網(wǎng)絡主要面臨對網(wǎng)絡中信息和設備的兩大威脅。組建局域網(wǎng)時不得不考慮安全防護問題。要保護局域網(wǎng)安全，首先得分析局域網(wǎng)存在哪些安全隱患。結合多年從事網(wǎng)絡安全工作的經(jīng)驗，本文從以下幾個方面分析局域網(wǎng)安全風險。

1.自然災害損壞設備。局域網(wǎng)包括很多網(wǎng)絡設備，易受自然災害及環(huán)境的影響。

2.使用人安全意識不強。用戶口令設置簡單或不管不慎、隨意使用U盤等移動存儲介質(zhì)等，都給覬覦網(wǎng)絡信息的人可乘之機。

3.黑客惡意攻擊。黑客攻擊破壞網(wǎng)絡中信息的有效性和完整性，甚至使網(wǎng)絡癱瘓;截獲、竊取秘密信息。

4.軟件的漏洞和“后門”。軟件先天設計的缺陷產(chǎn)生漏洞，程序設計者故意留的“后門”，都為黑客攻擊網(wǎng)絡大開方便之門。

5.計算機病毒。計算機感染病毒后，輕則系統(tǒng)工作效率下降，重則死機或毀壞。局域網(wǎng)計算機傳播擴散的速度很快，整個網(wǎng)絡都會面臨嚴重危險。更為嚴重的是，計算機病毒在局域網(wǎng)內(nèi)很容易“死灰復燃”，是局域網(wǎng)的“頑疾”。

6.網(wǎng)絡安全管理缺失。組建局域網(wǎng)的單位是否有嚴格的網(wǎng)絡管理制度和制度的落實力度也直接關系局域網(wǎng)安全，技術的“漏洞”容易彌補，管理“漏洞”不可預知不可控。

局域網(wǎng)安全防護策略

本章針對局域網(wǎng)安全風險，提出以下三類應對策略，有效抵御風險。

網(wǎng)絡物理安全策略

網(wǎng)絡的物理安全策略主要是防止網(wǎng)絡中的服務器、交換機、路由器、防火墻、打印機、通信線路等設備受到自然災害、人為破壞和惡意攻擊。設置合適的物理安全策略是保護局域網(wǎng)安全的首要環(huán)節(jié)。

具體措施包括：建設防盜搶的安全設施設備;嚴格按照安全規(guī)范建設機房;建設必要的電磁泄漏防護措施;實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)物理隔離。

網(wǎng)絡訪問控制策略

網(wǎng)絡訪問控制的主要目的是為了保護局域網(wǎng)信息安全，避免信息的非法訪問與惡意盜取。有效的訪問控制策略通常包括以下幾種：

1.入網(wǎng)安全控制。

入網(wǎng)控制為局域網(wǎng)提供了第一層安全控制。包括WHO，WHEN，WHERE等控制要素，即誰有資格登錄網(wǎng)絡服務器，何時能夠入網(wǎng)，那臺計算機可以入網(wǎng)。對WHO的控制分三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。對WHEN的控制主要是針對不同用戶進行訪問時段和時長的限制，服務器對某些用戶只提供定時訪問，不在時間段內(nèi)的訪問都會被拒絕。對WHERE的控制分為MAC地址、IP地址、MAC地址與IP地址綁定等限制方式。

2.訪問安全控制。

合法用戶登錄網(wǎng)絡之后，也不能放任其隨意訪問和操作網(wǎng)絡，否則對局域網(wǎng)的安全性仍有威脅。需對局域網(wǎng)進行訪問安全控制，每個用戶只能擁有適當權限，訪問有限數(shù)據(jù)，執(zhí)行有限操作。訪問安全控制主要有權限控制、屬性控制、服務器控制臺控制等安全控制策略。

權限控制即控制不同用戶對目錄、文件、設備的訪問權限。系統(tǒng)管理員具有最高權限，可以創(chuàng)建目錄、文件，也具有對其進行讀、寫、修改、刪除等操作的權限。系統(tǒng)管理員為普通用戶定制權限，控制用戶對服務器的訪問和操作，滿足使用需求的同時最大限度防止資源被竊取。

屬性控制是指系統(tǒng)管理員在創(chuàng)建文件、目錄時，給文件、目錄設定訪問屬性，包括修改文件、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱藏文件、共享文件等。屬性安全在權限安全的基礎上提供更進一步的安全性。屬性設置可以保護重要的目錄和文件，防止用戶誤刪除、讀寫、修改、顯示等。

服務器控制臺控制是指防止通過服務器控制臺對局域網(wǎng)實施破壞，要設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);要設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;管理員離開是要鎖定服務器控制臺，防止他人操作。

3.監(jiān)測安全控制。

局域網(wǎng)服務器的端口和節(jié)點要嚴格保護，防止非法訪問和惡意入侵，同時應具有網(wǎng)絡行為的監(jiān)測與非法行為報警功能。服務器端口使用自動回呼設備防止假冒用戶登錄，使用靜默調(diào)制解調(diào)器防范黑客自動撥號程序的攻擊，還要以加密形式識別節(jié)點的合法身份。安裝網(wǎng)絡監(jiān)測軟件，設置監(jiān)測的行為和報警的條件，并以圖表的形式分析數(shù)據(jù)流量和網(wǎng)絡行為。

網(wǎng)絡安全管理策略

網(wǎng)絡世界的攻防戰(zhàn)愈演愈烈，單純依靠技術來防范網(wǎng)絡攻擊很難，安全管理是一個低成本高效率的方法。包括以下方面：

1.網(wǎng)絡技術文檔管理：網(wǎng)絡拓撲結構、設備配置方案、IP地址和域名分配方案、系統(tǒng)操作規(guī)范、數(shù)據(jù)備份策略和安全應急方案等文檔應完備。

2.網(wǎng)絡設施管理：網(wǎng)絡機房嚴格控制、網(wǎng)絡安全設備定期檢測、電磁環(huán)境檢測、通信線路定期巡視與維護、終端計算機的使用規(guī)范和安全管理。

3.人員管理：;按照網(wǎng)絡管理員、安全員和普通用戶職責進行分工，各司其職。

4.網(wǎng)絡維護制度：記錄網(wǎng)絡設備和安全系統(tǒng)日志;定期評估網(wǎng)絡安全性;定期掃描網(wǎng)絡漏洞并更新補丁;及時升級防病毒軟件。

局域網(wǎng)內(nèi)計算機安全策略

組成局域網(wǎng)的一個重要部分是計算機，對計算機進行有效的安全設置是保障局域網(wǎng)安全的有效措施。對計算機的安全設置主要包括以下幾個方面：

密碼與加密

計算機應設置密碼，不同用戶設置不同密碼，嚴格保護密碼。密碼安全性由高到低分別為系統(tǒng)啟動密碼、用戶密碼、BIOS密碼。其中系統(tǒng)啟動密碼在【開始】【運行】中輸入“SYSKEY”設置，用戶密碼在【控制面板】【用戶賬戶】中點擊該用戶設置，BIOS密碼在CMOS設置的“Advanced BIOS Features”里設置。

設置密碼是第一道防線，計算機內(nèi)重要信息需建立第二道防線，即加密。常見方法有4種：一是使用組策略工具把存放重要信息的硬盤分區(qū)設置為不可訪問;二是設置注冊表，在HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer中新建一個DWORD值，命名為NoDriv并賦上相應驅動器的值，隱藏該驅動器。三是使用WinRAR 數(shù)據(jù)加密，把想要隱藏的文件和文件夾【添加壓縮文件】，選擇【高級】【設置密碼】加密。四是使用專業(yè)的加密軟件，如：《文件夾加密超級大師》、《文件保護3000》、《超級秘密文件夾》等。

操作權限管理

按照權限最小原則為不同用戶分別配屬權限，合理使用系統(tǒng)資源。計算機默認用戶組比較多，實際有Administrators和Users兩個用戶組就足夠了，建議刪除Guests組。關閉計算機用戶不使用的系統(tǒng)服務，特別是可以遠程控制計算機的服務，如RemoteDesktop、RealVNC和NetBIOS等。

安全防護軟件

給計算機安裝一些安全防護軟件，也可提高計算機安全性。常見的有：

1.防病毒軟件。為局域網(wǎng)每臺計算機安裝殺毒軟件。

2.防火墻。安裝個人防火墻并正確設置它，指定可信程序連接網(wǎng)絡，阻止其它計算機、網(wǎng)絡和網(wǎng)址連接計算機。

3.保密管理程序。對保密要求較高的計算機安裝專業(yè)保密管理程序，監(jiān)測該計算機的所有行為，并對數(shù)據(jù)流出進行限制。

定期安全檢測

定期對計算機做以下9方面的安全檢查可以讓用戶了解計算機存在哪些安全隱患。

1.上網(wǎng)記錄：檢查計算機訪問過的網(wǎng)址和訪問時間;

2.近期處理過的文件：檢查計算機近期處理過的文件;

3.操作系統(tǒng)和補丁信息：檢查計算機的操作系統(tǒng)信息和已安裝的補丁包信息;

4.系統(tǒng)用戶：檢查操作系統(tǒng)的用戶、用戶權限、用戶描述;

5.共享目錄：檢查操作系統(tǒng)共享的文件夾名稱和路徑;

6.開放端口：檢查操作系統(tǒng)開放的網(wǎng)絡端口情況，包括協(xié)議、地址、端口號、狀態(tài)等;

7.運行進程：檢查系統(tǒng)當前運行的進程、進程ID等;

8.系統(tǒng)服務：檢查系統(tǒng)的服務名稱，服務當前的狀態(tài)等;

9.USB存儲設備：檢查系統(tǒng)使用過的所有USB存儲設備名稱、類型和硬件編號。

局域網(wǎng)安全是一個很有意義的研究方向，可以解決國家企事業(yè)單位、政府機構、軍隊、公司企業(yè)等內(nèi)部信息需要保密的單位對局域網(wǎng)安全的擔憂。本文分析了局域網(wǎng)面臨哪些安全風險，從如何設置網(wǎng)絡安全策略和局域網(wǎng)計算機安全防護兩個方面研究局域網(wǎng)安全策略，對保護局域網(wǎng)安全提供參考。但是網(wǎng)絡技術飛速發(fā)展，黑客攻擊手段層出不窮，要筑牢局域網(wǎng)的安全防線，網(wǎng)絡安全技術的發(fā)展也要與時俱進。未來發(fā)展還有很多新變化，網(wǎng)絡安全的前路還很漫長。

【參考文獻】

[1]Yan Ye. Text Image Compression Based on Pattern Matching[D]. University of California，2002

[2]Kia Omid E， Doermann David S， Rosenfeld Azriel， et al. Symbolic Compression and Processing of Document Images[J]. Computer Vision and Image Understanding， 1998，70（3）：335-349