薛勁松 馮仁君

（國網(wǎng)蘇州供電公司，江蘇 蘇州 215004）

1 引言

在社會經(jīng)濟快速發(fā)展下，計算機已經(jīng)走入千家萬戶，成為我們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡囊徊糠?。而網(wǎng)絡具備共享性、復雜性、開放性等特征，這致使在局域網(wǎng)與廣域網(wǎng)環(huán)境下，計算機網(wǎng)絡安全難以得到有效保障，進而衍生出很多網(wǎng)絡安全問題。本文分析了當前局域網(wǎng)環(huán)境下的計算機網(wǎng)絡安全威脅，并制定相應的安全措施，進而確保計算機網(wǎng)絡信息的保密性、安全性與完整性。

2 局域網(wǎng)環(huán)境下的計算機網(wǎng)絡安全問題

2.1 計算機病毒的威脅

在網(wǎng)絡技術(shù)快速發(fā)展下，出現(xiàn)了多種計算機病毒，這些病毒破壞性強，傳染性強。計算機病毒不但會對計算機內(nèi)部數(shù)據(jù)處理系統(tǒng)進行侵擾，而且對計算機指令造成破壞。一旦有網(wǎng)絡病毒入侵到局域網(wǎng)，當一臺計算機感染病毒，與其進行信息交互的服務器也會被感染，進而病毒會迅速擴散到局域網(wǎng)內(nèi)與該服務器相連的其他計算機，局域網(wǎng)數(shù)據(jù)交互的高速性也加快了病毒的傳播速度，因此，服務器區(qū)域的獨立防護是非常有必要的。

2.2 計算機操作人員缺乏安全意識

計算機操作人員安全意識缺乏，是當前局域網(wǎng)安全問題的主要構(gòu)成因素之一。在通訊技術(shù)快速發(fā)展下，應用計算機網(wǎng)絡人群越發(fā)增多，但實際上，人們普遍缺少網(wǎng)絡安全意識。很多用戶在計算機網(wǎng)絡使用中不加密，內(nèi)網(wǎng)與外網(wǎng)頻繁切換，沒有對計算機系統(tǒng)及時殺毒，訪問不安全網(wǎng)站等等，這些操作往往給計算機病毒創(chuàng)造了侵入的條件，進而造成數(shù)據(jù)泄密的情況發(fā)生。

2.3 局域網(wǎng)管理制度不完善

目前廣域網(wǎng)已經(jīng)有相對完善安全防護體系，如防火墻、入侵檢測、包過濾路由等網(wǎng)絡邊界防護，阻擋來自外網(wǎng)的安全威脅。但是，局域網(wǎng)建設還有很多不足，缺乏完善的網(wǎng)絡管理制度和規(guī)范，局域網(wǎng)接入管理不嚴、服務器端口管理不到位、IP地址規(guī)劃不合理，致使安全威脅較大，加之網(wǎng)絡在使用和管理過程中的疏漏也增加了局域網(wǎng)安全的威脅。

3 局域網(wǎng)網(wǎng)絡安全技術(shù)應用

3.1 防火墻技術(shù)在局域網(wǎng)網(wǎng)絡安全中的應用

在局域網(wǎng)中，防火墻技術(shù)的應用可在內(nèi)網(wǎng)與外網(wǎng)之間形成一道防護屏障。通過防火墻設置，監(jiān)測過濾內(nèi)外網(wǎng)之間的信息交換，記錄通信相關(guān)日志，將不安全數(shù)據(jù)以及信息及時隔離，并對重點網(wǎng)段進行有效隔離，保護內(nèi)網(wǎng)數(shù)據(jù)不被竊取與破壞。同時，還能夠?qū)Ψ掌鲄^(qū)域進行獨立防護，通過設置雙重防火墻劃分出兩個服務器隔離區(qū)域，區(qū)域1可以放置只允許內(nèi)網(wǎng)訪問的一類服務器，區(qū)域2放置允許內(nèi)外網(wǎng)訪問的一類服務器，實現(xiàn)了內(nèi)網(wǎng)，服務器區(qū)域1，服務器區(qū)域2和外網(wǎng)之間的訪問控制，既在網(wǎng)絡出口處阻斷了外網(wǎng)攻擊，又在網(wǎng)絡入口處抵擋了內(nèi)網(wǎng)攻擊。

3.2 入侵檢測技術(shù)在局域網(wǎng)網(wǎng)絡安全中的應用

入侵檢測技術(shù)是繼防火墻之后的第二道網(wǎng)絡防御系統(tǒng)。通過對網(wǎng)絡中關(guān)鍵點的信息收集和分析，檢測包括安全日志、用戶行為、審計信息等內(nèi)容，發(fā)現(xiàn)是否有被攻擊的跡象，并適時作出響應。入侵檢測技術(shù)的應用有助于管理人員對網(wǎng)絡系統(tǒng)中的變化情況及時了解，擴展了系統(tǒng)管理員對安全審計、監(jiān)視、攻擊識別和響應方面的安全管理能力，提高了網(wǎng)絡安全架構(gòu)的完整性。

3.3 網(wǎng)絡分段技術(shù)在局域網(wǎng)網(wǎng)絡安全中的應用

網(wǎng)絡分段是一種確保系統(tǒng)安全的關(guān)鍵措施，也是一項基本手段，其功能是隔離網(wǎng)絡資源與非法用戶，進而達到對用戶非法訪問進行限制。網(wǎng)絡分段有兩種方式，即：邏輯分段、物理分段。在具體應用中，一般采用邏輯與物理分段相互融合的方式來實現(xiàn)控制網(wǎng)絡系統(tǒng)的可靠性與安全性。當前，我國局域網(wǎng)的網(wǎng)絡格局主要是以交換機為中心，邊界是以路由器為主，應對中心交換機的訪問控制功能進行優(yōu)化，并對物理與邏輯分段綜合運用，進而更好地控制局域網(wǎng)的安全。

3.4 交換式集線器在局域網(wǎng)網(wǎng)絡安全中的應用

在對局域網(wǎng)中心交換機進行網(wǎng)絡分段之后，雖然可以在一定程度上提升網(wǎng)絡安全，但依然存在以太網(wǎng)被偵聽的風險。導致其安全隱患的主要原因是，終端使用者在接入局域網(wǎng)時經(jīng)常使用分支集線器進行接入。當前較主流的分支集線器，多數(shù)產(chǎn)品都是采用共享的方式。從而，當用戶之間進行數(shù)據(jù)包交換時，處于同一個局域網(wǎng)中的其他用戶則能夠?qū)ζ鋽?shù)據(jù)進行偵聽。所以，要從根本上解決網(wǎng)絡安全問題，需要將共享式集線器替換為交換式集線器進行使用，確保在進行單播包數(shù)據(jù)傳送過程中，保持在兩個節(jié)點中進行數(shù)據(jù)傳送。

3.5 虛擬網(wǎng)技術(shù)在局域網(wǎng)網(wǎng)絡安全中的應用

隨著局域網(wǎng)交換技術(shù)的不斷發(fā)展，基于廣播局域網(wǎng)的傳統(tǒng)技術(shù)已經(jīng)開始向面向連接的技術(shù)發(fā)展。局域網(wǎng)維護管理人員可以通過局域網(wǎng)的廣播機制進行切入，使用交換器和VLAN技術(shù)來實現(xiàn)點對點通訊。通過虛擬網(wǎng)技術(shù)在局域網(wǎng)網(wǎng)絡安全中的應用，針對相關(guān)訪問控制進行設置，讓處于虛擬網(wǎng)外的網(wǎng)絡節(jié)點無法對其網(wǎng)內(nèi)節(jié)點進行直接訪問，有效提高了局域網(wǎng)網(wǎng)絡安全。

3.6 IKE--Internet密鑰交換協(xié)議在局域網(wǎng)網(wǎng)絡安全中的應用

IKE屬于一種混合型協(xié)議，由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）及兩種密鑰交換協(xié)議OAKLEY與SKEME組成。在進行IKE創(chuàng)建時，需要基于ISAKM框架來進行定義，沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。

IKE使用了兩個階段的ISAKMP：第一階段通過協(xié)商方式來創(chuàng)建IKE的安全關(guān)聯(lián)，其能夠?qū)λ鶆?chuàng)建的通信信道進行認證，從而可以讓通信雙方的IKE通信更加保密，通信信息更加完整。第二階段在所創(chuàng)建的IKE安全關(guān)聯(lián)的基礎上，為IPsec協(xié)商具體的安全關(guān)聯(lián)。對于配置的兩個階段而言，一階段中可以采用主模式和野蠻模式來進行工作，二階段中的工作模式只是單純的快速模式。其中，主模式是為整個信息交換提供相對應的身份保護，需要通過6個消息交換完成IKE SA的建立。在進行預共享密鑰主模式認證過程中，雙方的身份信息只能以IP地址標識。如果是采用數(shù)字證書驗證的主模式，可以從所提供的證書中提取相應的公開密鑰。在進行野蠻模式工作時，該模式會通過信息交換的方式創(chuàng)建一個新的驗證密碼，然后使用IKE進行安全協(xié)議創(chuàng)建安全關(guān)聯(lián)，其工作模式只需通過3條信息的交換，較主模式能夠更快建立IKE SA。因此，對于野蠻工作模式而言，其更加適用于遠程訪問。兩者在進行信息交換時，同時使用共享密碼驗證模式來創(chuàng)建IKE安全聯(lián)盟。如果發(fā)起者非常熟悉響應者的安全策略，則可以通過快速創(chuàng)建IKE SA方式來進行訪問。對于快速模式而言，主要是在創(chuàng)建安全關(guān)聯(lián)的基礎上，通過快速模式來與其他IPSEC協(xié)議進行交換，并讓兩者的SA提供IKE安全關(guān)聯(lián)加密，整個加密過程可以對所交換的信息進行驗證。

IKE的安全機制主要是以身份驗證為主，可以通過對通信雙方身份進行驗證，系統(tǒng)會自動對其身份進行識別。此外，以DH算法交換與密鑰分發(fā)安全機制為輔，這種安全機制主要是在進行數(shù)據(jù)交換過程中，通信對等體并不會進行密鑰傳送，而且通過計算的方式來獲取共享密鑰。通過這樣的安全機制，一旦某一個密鑰出現(xiàn)被破解的問題，其他密鑰也不會受到影響。因為在其安全體系中，不同密鑰間不存在派生關(guān)系，可以最大限度地增強局域網(wǎng)網(wǎng)絡安全性。

3.7 加強局域網(wǎng)管理

制定完善的網(wǎng)絡管理和監(jiān)督辦法，加強局域網(wǎng)接入管理、服務器端口管理、IP地址分配管理等制度，是確保局域網(wǎng)安全穩(wěn)定運行的保障。強化信息保密約束、使用者行為約束、管理者行為約束，減少因網(wǎng)絡使用者和管理者的各種不當行為造成的網(wǎng)絡安全威脅。

4 結(jié)語

計算機網(wǎng)絡技術(shù)的快速發(fā)展，在為用戶的工作和生活帶來許多便利的同時，網(wǎng)絡安全問題的出現(xiàn)對用戶的影響也是巨大的。人們應樹立安全風險意識，做好網(wǎng)絡安全防范管理工作，完善計算機的安全使用性，健全有關(guān)計算機操作管理制度，切實做好維護和管理局域網(wǎng)網(wǎng)絡運行工作。

[1]韓銳．計算機網(wǎng)絡安全的主要隱患及管理措施分析[J]．信息通信，2014(01)：152-153．

[2]王濤．淺析計算機網(wǎng)絡安全問題及其防范措施[J]．科技創(chuàng)新與應用，2013(02)：45-45．

[3]楊曉紅．局域網(wǎng)環(huán)境背景下的計算機網(wǎng)絡安全技術(shù)應用研究[J].電腦知識與技術(shù)，2013(4 X)：2572-2574．

[4]楊麗．對局域網(wǎng)環(huán)境背景下的計算機網(wǎng)絡安全技術(shù)應用分析[J].數(shù)字技術(shù)與應用，2016(4)：213-213．